兰云科技

LABORATORIES 银河实验室

PC 安全

新的 Mirai 变种 Mukashi 瞄准 Zyxel NAS 设备

僵尸网络利用了上个月发现的一个漏洞，该漏洞允许威胁者远程入侵和控制设备。安全研究人员称，Mirai 僵尸网络的另一个变种是利用最近才发现的一个关键漏洞攻击 Zyxel 网络连接存储 NAS 设备。据帕洛阿尔托网络公司旗下 Unit 42 全球威胁情报小组的研究人员称，这种名为 Mukashi 的变种利用了 Zyxel NAS 存储设备中发现的预认证命令注入漏洞。CVE-2020-9054 这一漏洞概念的证明上个月才公开发表。

关键词：Mirai、Mukashi、CVE-2020-9054

信息来源

发布时间：2020-03-20

发布平台：Threat Post

原文链接：

https://threatpost.com/new-mirai-variant-mukashi-targets-zyxel-nas-devices/153982/

精英黑客企图入侵 WHO，身份尚不清楚

WHO 信息安全官员 Flavio Aggio 表示，黑客的身份尚不清楚，而且没有成功侵入。但是他警告说，在 WHO 及其伙伴忙着控制新冠疫情之际，这些黑客侵入企图升高。罗马尼亚 Bitdefender 和总部在莫斯科的卡巴斯基等网路安全公司表示，他们追踪 DarkHotel 的行动有许多可以追溯至东亚--此处正是特别受新冠病毒影响的地区。特定的目标包括位于中国、朝鲜、日本及美国等地的政府雇员和企业高管。

关键词：WHO、DarkHotel

信息来源

发布时间：2020-03-24

发布平台：REUTERS

原文链接：

https://cn.reuters.com/article/who-hacker-health-attack-0324-idCNKBS21B05U

FireEye 对现在的 ICS 黑客工具的扩散发出了警告

FireEye 安全研究人员警告称，具有瞄准工业控制系统 ICS 能力的黑客工具的正在扩散，这会降低攻击者的进入门槛，增加工业部门运营组织的风险。在发布的一份研究报告中，这家美国网络安全公司表示，它分析了近年来发布的所有带有 ICS 瞄准功能的 黑客工具。

关键词：ICS、黑客工具

信息来源

发布时间：2020-03-23

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/fireeye-warns-about-the-proliferation-of-ready-made-ics-hacking-tools/

严重的 RCE 漏洞影响基于 OpenWrt 网络设备

今年早些时候，来自 ForAllSecure 软件公司的安全专家 Guido Vranken 发现了基于 OpenWrt linux 的网络设备操作系统的一个关键漏洞。CVE-2020-7982 是一个影响操作系统的重要远程代码执行漏洞，它是一个广泛用于路由器和网关等网络设备的基于 linux 的操作系统。该漏洞存在于 OpenWrt 的 OPKG 包管理器中，它与使用嵌入在签名存储库索引中的 SHA-256 校验和对下载的包执行完整性检查的方式有关。

关键词：OpenWrt、CVE-2020-7982

信息来源

发布时间：2020-03-25

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/100400/hacking/critical-rce-openwrt-devices.html

发送新冠疫情投递商业远控木马 Warzone RAT

黑客伪造美国疾病控制和预防中心（CDC）作为发件人，投递附带 Office 公式编辑器漏洞的文档至目标邮箱，收件人在存在 Office 公式编辑器漏洞（CVE-2017-11882）的电脑上打开文档，就可能触发漏洞下载商业远控木马 Warzone RAT。

关键词：CVE-2017-11882、Warzone RAT

信息来源

发布时间：2020-03-25

发布平台：腾讯御见威胁情报中心

原文链接：[阅读原文]

三个勒索软件软件家族创建泄露被盗数据网站

三个勒索软件家族创建了一些网站，用来泄露未付款受害者的被盗数据，这进一步说明了为什么所有的勒索软件攻击都必须被视为数据泄露。自从 Maze 公司创建了他们的网站，发布那些选择不付款的受害者的被盗数据以来，其他勒索软件的参与者，如 Sodinokibi/REvil、Nemty 和 DoppelPaymer，已经迅速跟进。

关键词：Maze、Sodinokibi/REvil、Nemty、DoppelPaymer

信息来源

发布时间：2020-03-24

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/three-more-ransomware-families-create-sites-to-leak-stolen-data/

Ryuk 勒索软件一直把医院当作目标

即使这些组织在冠状病毒大流行期间不堪重负，Ryuk 勒索软件运营商仍继续以医院为目标。上周，BleepingComputer 联系了各种勒索软件组织，询问他们是否会在流感大流行期间将目标对准医院和其他医疗机构。考虑到医疗组织在这次大流行期间承受的压力，我希望勒索软件的操作者能够避开这些组织，这样他们就可以专注于治疗病人。

关键词：Ryuk

信息来源

发布时间：2020-03-26

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-keeps-targeting-hospitals-during-the-pandemic/

中国 APT41 黑客发起大规模网络攻击

中国 APT41 黑客组织利用思科、Citrix 和 Zoho 产品的漏洞，对全球数十个国家发动了大规模网络攻击。澳大利亚、加拿大、丹麦、芬兰、法国、印度、意大利、日本、马来西亚、墨西哥、菲律宾、波兰、卡塔尔、沙特阿拉伯、新加坡、瑞典、瑞士、阿联酋、英国和美国。在这次攻击中有 3 个主要产品被利用，分别是 Citrix 应用程序交付控制器、Cisco 路由器和 Zoho ManageEngine 桌面中心。攻击目标包括多个政府和私人部门，包括医疗、高科技、高等教育、法律、制造业、媒体、非盈利组织、石油天然气、石化、制药、房地产、电信、交通、旅游和公用事业。FireEye 的研究人员观察到，攻击发生在 1 月 20 日至 3 月 11 日之间。

关键词：Citrix、Cisco、Zoho ManageEngine

信息来源

发布时间：2020-03-26

发布平台：GBHackers on Security

原文链接：

https://gbhackers.com/apt-41-exploits-cisco-citrix-zoho-bugs/

移动安全

Cerberus 银行木马在 COVID-19 下传播

自从 COVID-19 流行开始以来，网络犯罪分子和恶意软件参与者就利用普遍的恐慌，恐惧和渴望信息来提出不同的策略来分发恶意软件并感染用户的设备。Cerberus 银行木马的 “ Corona-Apps.apk” 变体就是这种情况。通常通过网络钓鱼活动传播，Corona-Apps.apk 使用其与实际病毒名称的联系来诱骗用户将其安装在智能手机上。该木马主要专注于窃取信用卡号等财务数据。此外，它可以使用覆盖攻击来诱骗受害者提供个人信息，并可以捕获两因素身份验证详细信息。

关键词：COVID-19、Cerberus

信息来源

发布时间：2020-03-23

发布平台：Avira

原文链接：

https://blog.avira.com/cerberus-flies-under-covid-19-flag/

在谷歌应用商店发现广告软件木马能够执行 BeanShell 脚本

Doctor Web 恶意软件分析师在 Google Play 上发现了一个由 BeanShell 脚本控制的多功能 Android 机器人。该恶意软件结合了广告软件和 Clicker 木马功能，可用于执行网络钓鱼攻击。该木马被称为 Android.Circle.1，已作为墙纸集，星座应用，图像编辑器，游戏，系统工具，在线约会应用和其他软件传播。我们的专家发现，对该恶意软件进行了 18 次修改，下载次数超过 700,000 次。Doctor Web 向 Google 报告后，所有这些都已从 Google Play 中删除。此外，C2 服务器域也已终止。

关键词：BeanShell、Clicker、Android.Circle.1

信息来源

发布时间：2020-03-24

发布平台：Dr.WEB

原文链接：

https://news.drweb.com/show/?i=13740&lng=en

- End -