兰云科技

LABORATORIES 银河实验室

PC 安全

Dharma 勒索软件源代码在黑客论坛出售

上周末，俄罗斯两家黑客论坛上出现了名为 Dharma 勒索软件源代码。在今年的 RSA 安全会议上，FBI 将 Dharma 列为近年来第二赚钱的勒索软件，在 2016 年 11 月至 2019 年 11 月期间，从受害者那里勒索了 2400 多万美元。现在，它的源代码售价低至 2000 美元，这让安全研究人员感到不安。几位勒索软件专家今天接受了 ZDNet 的采访，他们表示，出售 Dharma 勒索软件源代码很可能会导致其最终泄露到公共互联网上，并向更广泛的受众泄露。这进而将导致多个网络犯罪集团之间的更广泛扩散，并最终导致攻击的激增。大家担心的原因是 Dharma 是一个高级勒索软件，由一个有经验的恶意软件作者创建。它的加密方案非常先进，自 2017 年以来一直无法解密。

关键词：Dharma

信息来源

发布时间：2020-03-29

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/source-code-of-dharma-ransomware-pops-up-for-sale-on-hacking-forums/

一些俄语国家的黑客攻击欧洲的制药和制造业公司

属于讲俄语的威胁行动者的恶意软件在 1 月下旬被用来攻击至少两家欧洲制药和制造业公司。根据袭击中使用的工具，嫌疑人很可能是 Silence 和 TA505 这样的以金钱为目标组织团体。尽管 TA505 的攻击历史包括医疗领域的目标，但如果安全研究人员正确的话，这些事件将标志着 Silence 偏离其常规目标，即银行和金融机构。

关键词：Silence、TA505

信息来源

发布时间：2020-03-27

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/russian-speaking-hackers-attack-pharma-manufacturing-companies-in-europe/

黑客开始用 Zoom 传播恶意软件

随着人们越来越多地使用家庭和在线交流平台（例如 Zoom）在 冠状病毒 爆发后变得越来越流行，网络犯罪分子通过注册新的虚假 Zoom 域名和恶意的 Zoom 可执行文件来利用使用量的激增诱骗人们在其设备上下载恶意软件。根据 Check Point 发布并与 The Hacker News 共享的报告，自大流行以来，已经注册了 1,700 多个新的 Zoom 域名，仅在过去的7天中就注册了 25％的域名。Check Point 网络研究经理 Omer Dembinsky 说：“我们发现已注册的 Zoom 域名数量急剧增加，尤其是在上周。“

关键词：Zoom、冠状病毒

信息来源

发布时间：2020-03-30

发布平台：The Hacker News

原文链接：

https://thehackernews.com/2020/03/zoom-video-coronavirus.html

严重的 WordPress 插件错误使黑客能将用户转变为管理员

WordPress SEO 插件 – Rank Math 中存在一个严重的特权升级漏洞，如果未修补，攻击者可以让攻击者向 200,000 个站点之一中具有活动安装位置的任何注册用户授予管理员特权。Rank Math 是一个 WordPress 插件，其开发人员称其为 “WordPress SEO 的瑞士军刀”，旨在帮助网站所有者通过搜索引擎优化（SEO）吸引更多流量到其网站。该插件随附一个安装向导，可通过逐步安装过程对其进行配置，并支持 Google 架构标记（又名 Rich Rich Snippets），关键字优化，Google Search Console 集成，Google 关键字排名跟踪等。

关键词：WordPress、Rank Math

信息来源

发布时间：2020-03-31

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-lets-hackers-turn-users-into-admins/

万豪报告数据泄露影响 520 万客人

万豪国际 今天披露，到 2020 年 2 月底检测到的 数据泄露 事件影响了大约 520 万酒店客人的个人信息。该公司在一份声明中说：“到 2020 年 2 月底，我们注意到使用特许经营权中两名员工的登录凭据访问了意外数量的访客信息。我们认为这项活动始于 2020 年 1 月中。发现后，我们立即确保登录凭据被禁用，开始调查，实施了严格的监控，并安排了资源来告知和帮助客人。”

关键词：万豪国际、数据泄露

信息来源

发布时间：2020-03-31

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/marriott-reports-data-breach-affecting-up-to-52-million-guests/

SMBGhost 漏洞允许 Windows 系统上提权

研究人员已发布概念验证（PoC）漏洞，以证明跟踪为 SMBGhost 和 CVE-2020-0796 的 Windows 漏洞可用于本地特权提升。微软表示，该漏洞于 3 月 12 日通过带外更新进行了修补，可以利用该漏洞在 SMB 客户端和服务器上执行远程代码。严重漏洞被描述为“wormable”，与 SMB 3.1.1 处理某些请求的方式有关，会影响 Windows 10 和 Windows Server 1903 和 1909 版。在针对 SMB 服务器的攻击中，攻击者需要将特制数据包发送到目标系统。对于客户端，攻击者必须说服目标用户连接到恶意 SMBv3 服务器。研究人员已经创建了可用于扫描易受攻击的服务器的工具，并发布了实现 DoS 条件的 PoC 攻击。用于远程执行代码的 PoC 尚未公开，但是网络安全公司 ZecOps 已经开发并发布了 PoC，该 PoC 展示了如何利用 SMBGhost 将特权提升到 SYSTEM。研究人员 DanielGarcíaGutiérrez 和 Manuel BlancoParajón 也提供了 PoC，该 PoC 利用 SMBGhost 将特权提升为 SYSTEM。

关键词：SMBGhost、CVE-2020-0796

信息来源

发布时间：2020-04-01

发布平台：Security Week

原文链接：

https://www.securityweek.com/smbghost-vulnerability-allows-privilege-escalation-windows-systems

COVID-19 恶意软件可清除你的电脑并重写 MBR

随着冠状病毒（COVID-19）大流行在全球范围内蔓延，一些恶意软件作者已经开发出了恶意软件，这些恶意软件可以通过擦除文件或重写计算机的主启动记录（MBR）来破坏受感染的系统。在信息安全社区的帮助下，ZDNet 已经识别出至少五种恶意软件，其中有些是在野外散布的，而另一些似乎只是作为测试或玩笑而创建的。在这四个样本中，共同的主题是它们使用冠状病毒主题，并且倾向于破坏而不是经济利益。在上个月安全研究人员发现的四个恶意软件样本中，最高级的是重写 MBR 扇区的两个样本。需要一些高级技术知识来创建这些病毒，因为修补主引导记录并不是一件容易的事，并且很容易导致系统根本无法引导。第一个 MBR 重写器是由一位安全研究人员发现的，该研究人员的名字叫 MalwareHunterTeam，本周在 SonicWall 的一份报告中对此进行了详细介绍。使用 COVID-19.exe 的名称，此恶意软件感染计算机，并具有两个感染阶段。

关键词：COVID-19.exe、MBR

信息来源

发布时间：2020-04-02

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/theres-now-covid-19-malware-that-will-wipe-your-pc-and-rewrite-your-mbr/

- End -