01.Ryuk 勒索软件运营商是如何从受害者处赚取 3400 万美金
黑客组织利用 Ryuk 勒索软件专门来攻击一些高收入的公司,并从受害者那里获得了 3400 万美元。攻击者在那些被受到攻击的网络内部部署 Ryuk 勒索软件。近期受害者包括技术,医疗保健,能源,金融服务和政府部门的公司。医疗保健和社会服务领域的机构在受此威胁因素袭击的所有受害者中所占比例略高于13%。自恢复活动以来,很多公司都受到了 Ryuk 勒索软件的攻击。Check Point 10 月的一份报告指出,该团伙在 2020 年第三季度平均每周攻击 20 家公司。研究人员说,这个特殊群体的平均付款是 48 比特币 (接近 75 万美元),自 2018 年以来他们至少赚了 1.5 亿美元。Kremez 在今天的一份报告中说,这位说俄语的攻击者在谈判中很强硬,很少表现出宽大处理。他们获得的最大确认付款是 2,200 比特币,目前接近 3400 万美元。
发布时间:2020-11-07
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/how-ryuk-ransomware-operators-made-34-million-from-one-victim/
02.勒索软件运营商针对有 CVE-2020-14882 漏洞的 WebLogic
10 月底,攻击者已开始在 Internet 上扫描是否有运行 Oracle WebLogic 的服务器,以尝试利用 CVE-2020-14882 漏洞。未经身份验证的攻击者可以利用 CVE-2020-14882 通过发送简单的 HTTP GET 请求来接管系统。该漏洞的严重等级为 9.8 (满分为 10 分),Oracle 在本月的关键补丁更新版本中予以解决。会受到此漏洞影响的 Oracle WebLogic Server 版本是 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0。该漏洞是由 Chaitin 安全研究实验室的安全研究员 Voidfyoo 发现的,漏洞已在 Oracle 2020 年 10 月的重要补丁更新中得到解决。11 月初,Oracle 发布了带外安全更新,以解决另一个严重的远程代码执行 (RCE) 漏洞,漏洞编号为 CVE-2020-14882。Morphus Labs 的安全研究员称他们设置的 WebLogic 蜜罐受到了 CVE-2020–14882 大量扫描的攻击。从上周下旬开始,我们观察到对 WebLogic 蜜罐的大量扫描,以检测它们是否容易受到 CVE-2020–14882 的攻击。CVE-2020–14882 大约在两周前进行了修补,这是 Oracle 季度关键补丁更新的一部分。除了简单地枚举易受攻击的服务器的扫描之外,我们还发现从周五 (10 月 30 日) 开始的少量扫描尝试安装加密货币挖掘工具。上周末,专家们发现了针对相同漏洞并利用一堆混淆的 PowerShell 脚本来获取 CobaltStrike 有效负载的活动。思科 Talos 2020 年第 4 季度 CTIR 报告显示,第 4 季度所有勒索软件攻击中有 66% 涉及使用 CobaltStrike,因此,专家推测,攻击者正在利用 CVE-2020–14882 来部署这种特定类型的恶意软件。防止这些攻击的唯一方法是尽快将安全更新应用于 WebLogic 安装。Morphus Labs 发布的分析还包括这些攻击的 IOC。
发布时间:2020-11-07
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/110530/cyber-crime/weblogic-cve-2020-14882-ransowmare.html
03.RansomExx 勒索软件开始攻击 Linux 系统
RansomExx 勒索软件运营商正在通过开发 Linux 版本的恶意软件来扩展其业务。卡巴斯基的研究人员分析了 Linux 版本的 RansomExx 勒索软件 (也称为 Defray777)。本周,RansomExx 勒索软件已经参与了针对巴西高级法院的攻击。RansomEXX 是人为操作的勒索软件,这意味着攻击者在获得对目标网络的访问权限后是需要手动去感染系统。2020 年 6 月,相同的勒索软件被用于对德克萨斯州交通运输部的攻击。8 月,跨国技术柯尼卡美能达也受到影响;9月,IPG Photonics 高性能激光开发商的系统也受到了感染。最近发现的 Linux 版本的 RansomExx 勒索软件是作为 ELF 可执行文件构建的,名为 svc-new,可对目标服务器进行加密。经过初步分析,我们注意到木马程序的代码,勒索信息文本和 RansomExx 有相似之处,这表明我们实际上已经遇到了以前已知的勒索软件家族 RansomEXX 的 Linux 版本。启动木马程序后,它将生成一个 256 位密钥,该密钥用于使用 ECB 模式下的 AES 块密码对受害者文件进行加密。AES 密钥由嵌入在恶意软件代码中的公共 RSA-4096 密钥加密,并附加到所有加密文件中。专家指出,勒索软件缺乏其他木马已有的功能,例如 C2 通信,反分析功能以及杀死进程的能力。与 Windows 版本不同,Linux 版本不会清除可用空间。专家注意到,当受害者支付赎金时,他们将同时获得 Linux 和 Windows 解密器,以及相应的 RSA-4096 私钥。
发布时间:2020-11-06
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/110491/malware/linux-version-ransomexx-ransowmare.html
04.xHunt 黑客组织利用两个后门攻击了 Microsoft Exchange
Palo Alto Networks 的安全专家在调查科威特一家机构攻击事件时,发现了两个前所未有的 Powershell 后门,此次攻击针对的是 Microsoft Exchange 服务器。专家将此次袭击归因于 xHunt 组织 (又名 Hive0081),该组织于 2018 年首次被发现。在过去,该组织已瞄上科威特政府,他还对航运和运输组织进行了攻击。在最近的攻击中,攻击者使用了两个新后门,分别称为 TriFive 和 Snugy,后者是先前发现的基于 PowerShell 的后门 (称为 CASHY200) 的变体。TriFive 和 Snugy 后门是 PowerShell 脚本,它们使用不同的命令和控制 (C2) 通道与攻击者进行通信,从而提供对受感染的 Exchange 服务器的后门访问。TriFive 后门使用基于电子邮件的渠道,该渠道使用 Exchange Web Services (EWS) 在受感染电子邮件帐户的 Deleted Items 文件夹中创建草稿。Snugy 后门使用 DNS 隧道在受感染的服务器上运行命令。在发布该报告时,专家们尚未确定攻击者是如何访问 Exchange 服务器。攻击发生在 9 月,攻击者正在通过 IIS 进程 w3wp.exe 向 Exchange 服务器发送可疑命令。
发布时间:2020-11-09
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/110644/apt/xhunt-attackers-hit-microsoft-exchange.html
Sonatype 的安全研究人员今天发现了一个 npm 软件包 (JavaScript 库),该软件包包含旨在从用户的浏览器和 Discord 应用程序中窃取敏感文件的恶意代码。名为 discord.dll 的恶意 JavaScript 库仍然可以通过 npm,Web 门户,命令行实用程序以及 JavaScript 程序包管理器来使用。开发人员使用 npm 加载并更新其 JavaScript 项目中的库 (npm 程序包),Sonatype 称一旦安装,discord.dll 将运行恶意代码,以在开发人员的计算机上搜索某些应用程序,然后检索其内部 LevelDB 数据库。目标应用包括谷歌浏览器,Brave,Opera 和 Yandex 之类的浏览器,以及 Discord 即时消息应用,如今在大多数在线游戏玩家中都很流行。恶意软件检索的文件是 LevelDB 数据库,上述应用程序使用该数据库来存储信息,例如浏览历史记录和各种访问令牌。discord.dll 将读取文件,并尝试将其内容发布到 Discord 通道中 (Discord Webhook)。Sonatype 表示,经过审查,发现该恶意代码是在 8 月份看到的恶意库的改进版本。这个名为 fallguys 的库也以相同的方式收集了相同的信息,尽管方式并不那么复杂。Sonatype 是一家将公共软件包存储库作为其开发人员安全操作 (DevSecOps) 服务的公司,该公司表示 discord.dll 已在五个多月前发布,已被下载了 100 多次。相比之下,尽管 fallguys 软件包仅在 npm 门户上提供了两周的时间,却被下载了 300 多次。
发布时间:2020-11-09
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/npm-package-caught-stealing-sensitive-discord-and-browser-files/
06.微软修复了谷歌上个月发现的 Windows 0day 漏洞
微软今天已经修复了一个 Windows 内核 0day 漏洞,该漏洞在有针对性的攻击中被广泛利用,在上个月由 Google 的 0day 漏洞寻找小组 0day 项目公开披露。由 0day 项目研究人员 Mateusz Jurczyk 和 Sergei Glazunov 发现,当前被跟踪为 CVE-2020-17087,为 Windows 内核密码驱动程序 (cng.sys) 中基于 pool 的缓冲区溢出。研究人员称该 Bug 存在于 cng!CfgAdtpFormatPropertyBlock 函数中,并且是由 16 位整数截断问题引起的。严重性等级为 7.8,该漏洞可以在不需要用户交互的低复杂度攻击中被具有低特权的本地攻击者利用以进行提权 (包括沙箱逃逸)。CVE-2020-17087 影响 Windows 7 或更高版本的桌面系统以及运行 Windows Server 2008 或更高版本的服务器。可在 Microsoft 的 MSRC (Microsoft 安全响应中心) 门户上获得所有受影响的 Windows 平台的安全更新。正如微软所说,至少可以使用一种 PoC,并且该代码可以在存在漏洞的大多数情况下工作。0day 项目在 2020 年 10 月 30 日披露该 Bug 时提供了 PoC,即使没有默认系统配置,该漏洞也可以使未打补丁的 Windows 设备崩溃。Google 的研究人员在 Windows 10 1903 (64位) 的最新版本上测试了 PoC,并确认当时至少从 Windows 7 开始就存在此漏洞。根据 Google TAG 小组的调查,持续的利用上个月 0day 项目检测到的 0day 攻击与美国大选无关。
发布时间:2020-11-10
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/microsoft-fixes-windows-zero-day-disclosed-by-google-last-month/
07.勒索软件组织入侵 Facebook 帐户以投放广告进行勒索
勒索软件组织现已开始投放 Facebook 广告,以迫使受害者支付赎金。现代勒索软件于 2012 年首次推出时,我们看到了一种新的勒索攻击,攻击者通过加密文件来勒索受害者,然后要求勒索以获取解密器。在 2019 年 11 月,勒索软件组织采用了一种新的双重勒索策略,这使得黑客在加密设备之前还窃取了未加密的文件。然后,攻击者威胁说,如果不支付赎金,就会在勒索软件数据泄漏站点上公开这些被盗文件。自那时以来,勒索软件组织变得很了解媒体,在那里他们发布新闻稿或联系记者,以分享他们最新的攻击手段,向受害者施加压力。昨天,Ragnar Locker 背后的勒索软件运营商入侵了 Facebook 广告客户的帐户,并制作了广告宣传对 Campari Group 的攻击,从而将其带入了一个新的高度。上周,意大利酒类公司 Campari Group 遭受了 Ragnar Locker 勒索软件攻击,攻击者声称在加密网络之前窃取了 2TB 的未加密文件。为了恢复其文件,黑客要求支付 1500 万美元。正如布莱恩·克雷布斯 (Brian Krebs) 首次报道的那样,Ragnar Locker 团伙入侵了一个 Facebook 帐户,投放广告,警告 Campari 如果不支付赎金,其数据将被发布。该 Facebook 广告被 Ragnar Locker 团队称为 Campari Group 网络的安全漏洞,并警告称将发布进一步的敏感数据。被黑客入侵的 Facebook 帐户 Chris Hodson 告诉 Brian Krebs,在 Facebook 将其检测为欺诈活动之前,该广告已向 7,000 多个 Facebook 用户展示。勒索软件参与者长期以来一直威胁要通过与证券交易所,媒体和客户联系以了解受害者的攻击和数据丢失来扩大勒索企图。通过 Facebook 进行攻击的这种新策略表明勒索软件勒索的持续发展。随着赎金要求和付款的增加,我们有望在未来看到进一步的升级。
发布时间:2020-11-11
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/ransomware-gang-hacks-facebook-account-to-run-extortion-ads/
多个消息人士今天告诉 ZDNet,最近有两次针对以色列公司的勒索软件浪潮可以追溯到伊朗的攻击者。勒索软件攻击自 10 月中旬以来一直在发生,本月有所增加,并一再针对以色列目标。都使用 Pay2Key 和 WannaScream 勒索软件来攻击威胁者。黑客破坏了公司网络,窃取了公司数据,加密文件,并要求巨额支出以提供解密密钥。此外,除此策略外,本周,Pay2Key 勒索软件团伙还在暗网上启动了一个泄漏目录,该组织现在正在泄漏他们从拒绝支付赎金要求的公司那里窃取的数据。Pay2Key 攻击是一个奇怪的案例,因为与今天进行的大多数其他勒索软件操作不同,这些攻击已反复且主要集中在感染以色列公司。WannaScream 勒索软件的攻击已在全球范围内发现,但是以色列安全公司 Profero 的创始人兼首席执行官 Omri Segev Moyal 告诉 ZDNet,该勒索软件目前可以通过软件即服务 (RaaS) 模型获得。
发布时间:2020-11-11
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/recent-ransomware-wave-targeting-israel-linked-to-iranian-threat-actors/
01.新的 Ghimob 恶意软件可以监视和窃取 153 个安卓应用程序的数据
安全研究人员发现了一种新的 Android 银行木马,可以监视和窃取 153个Android应用程序中的数据。据安全公司卡巴斯基周一发布的一份报告称,该木马名为 Ghimob,是由 Astaroth (Guildma) Windows 恶意软件背后的同一组织开发的。卡巴斯基表示,新的 Android 木马已被打包到 Astaroth (Guildama) 以前使用的网站和服务器上。发行从未通过官方 Play 商店进行。相反,Ghimob 组使用电子邮件和恶意网站将用户重定向到宣传 Android 应用程序的网站。这些应用程序模仿了官方应用程序和品牌,并带有 Google Defender,Google Docs,WhatsApp Updater 或 Flash Update 之类的名称。尽管在用户设备上显示了所有警告,但用户仍不注意的话,恶意应用程序就会请求访问 Accessibility 服务,这是感染过程的最后一步。如果获得批准,这些应用程序将在受感染的手机中搜索 153 个应用程序,并在其中列出虚假的登录页面,以窃取用户的凭据。卡巴斯基表示,大多数目标应用程序是针对巴西银行的,但在最近更新的版本中,Ghimob 还扩展了其功能,开始针对德国 (五个应用程序),葡萄牙 (三个应用程序),秘鲁 (两个应用程序),巴拉圭 (两个应用程序) 的银行,安哥拉和莫桑比克。此外,Ghimob 还添加了针对目标加密货币交换应用程序的更新,以尝试访问加密货币帐户,Ghimob 遵循了 Android 恶意软件领域的总体趋势,该趋势已逐渐转移到目标加密货币所有者。在网络钓鱼成功之后,所有收集的凭据都被发送回 Ghimob 团伙,该团伙随后将访问受害者的帐户并发起非法交易。如果帐户受到严格的安全措施保护,则 Ghimob 团伙将通过对设备的完全控制来响应受攻击智能手机上显示的所有安全探测和提示。Ghimob 的功能并不是唯一的,但实际上可以复制其他 Android 银行木马的功能,例如 BlackRock 或 Alien。卡巴斯基指出,Ghimob 的发展目前与巴西恶意软件市场的全球趋势相呼应,本地恶意软件团伙正在缓慢地扩展到针对国外的受害者。
关键词:Ghimob
发布时间:2020-11-10
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/new-ghimob-malware-can-spy-on-153-android-mobile-applications/
- End -
