01.美国政府和火眼因 SolarWinds 软件供应链攻击而被黑客入侵
SolarWinds 的 Orion IT 监视和管理软件的木马版本已用于供应链攻击,在攻击者部署了 SUNBURST 或 Solorigate 后门后,直接导致了政府和知名企业遭到了破坏。路透社首次报道,由微软和 FireEye 认为这是国家级黑客所作,这次大规模攻击的受害者名单包括几个联邦机构,例如美国财政部和美国国家电信和信息管理局。SolarWinds 的客户清单 (全球超过 30 万客户) 包括《美国财富》500 强企业中的 425 家,美国十大电信公司,数百所大学和学院,美国军方,美国五角大楼的五个分支机构,美国国务院,美国国家航空航天局,美国国家安全局,邮政服务,美国国家航空航天局,司法部和美国总统办公室。DHS-CISA 在周末还发布了警报,内容为攻击者正在积极利用 SolarWinds Orion Platform 软件的木马版本,攻击者使用该版本通过更新机制在未打补丁的服务器上部署后门。DHS-CISA 还发布了紧急指令,该指令命令所有联邦民用机构从其网络中立即停用版本为 2019.4 至 2020.2.1 HF1 的 SolarWinds Orion 产品。还禁止这些机构将 Windows 主机操作系统加入企业域。
发布时间:2020-12-14
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/us-govt-fireeye-breached-after-solarwinds-supply-chain-attack/
02.Pay2Key 勒索软件入侵了 Intel 的 Habana Labs 并窃取数据
英特尔旗下的 AI 处理器开发商 Habana Labs 遭受了网络攻击,攻击者窃取了数据并泄露了。Habana Labs 之前是以色列 AI 处理器的开发商,此 AI 处理器可加速数据中心中的人工智能工作负载,后来英特尔于 2019 年 12 月以约 20 亿美元的价格收购了该公司。今天,Pay2Key 勒索软件操作者泄露了据称在网络攻击期间从Habana Labs窃取的数据。该数据包括 Windows 域帐户信息,域的 DNS 区域信息以及来自其 Gerrit 开发代码查看系统的文件列表。
除了在其数据泄漏站点上发布的内容之外,Pay2Key 运营商还泄漏了商业文档和源代码图片信息。根据以色列网络安全公司 Check Point 和 Profero 的报道,Pay2Key 是一个相对较新的勒索软件,其背后是 2020 年 11 月对以色列企业的一系列攻击。Profero 认为,在跟踪该组织向伊朗比特币交易所的赎金支付钱包后,伊朗攻击者是勒索软件的幕后推手。
发布时间:2020-12-13
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/intels-habana-labs-hacked-by-pay2key-ransomware-data-stolen/
Molerats 网络间谍组织在最近的鱼叉式钓鱼活动中一直使用依赖 Dropbox,Google Drive 和 Facebook 的新恶意软件来进行命令和控制通信以及存储被盗数据。至少从 2012 年起,黑客就开始活跃起来,并被认为是名为 Gaza Cybergang 的大型组织的低预算部门。Molerats 攻击者在最近的行动中使用了两个新的后门,一个为 SharpStage,另一个为 DropBook,以及一个以前未记录的恶意软件下载程序 MoleNet。该恶意软件是专为网络间谍而设计的,它试图通过使用 Dropbox 和 Facebook 服务来窃取数据并接收来自运营商的指令,从而避免检测。这两个后门都利用了 Dropbox 来提取被盗的数据。攻击始于一封电子邮件,诱使中东 (巴勒斯坦,阿联酋,埃及,土耳其) 的政治人物或政府官员下载恶意文件。PDF 文件引用了以色列总理本杰明·内塔尼亚胡与沙特王储穆罕默德·本·萨勒曼殿下最近的会谈,这是传播这种新恶意软件的诱饵之一。该文档仅显示内容摘要,并指示收件人下载存储在 Dropbox 或 Google 云端硬盘中的受密码保护的存档,以获取全部信息。这些文件中的两个是 SharpStage 和 DropBook 后门。
关键词:SharpStage、DropBook、MoleNet
发布时间:2020-12-14
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/hacking-group-s-new-malware-abuses-google-and-facebook-services/
04.Gitpaste-12 僵尸网络针对 Linux 服务器和物联网设备
一个新的蠕虫僵尸网络可通过 GitHub 和 Pastebin 进行传播,以在目标系统上安装加密货币挖矿和后门程序,可以破坏 Web 应用程序,IP 摄像机和路由器。上个月初,Juniper 网络威胁实验室的研究人员跟踪了一个名为 Gitpaste-12 的加密挖矿活动,该活动使用 GitHub 托管包含多达 12 个已知攻击模块的恶意代码,这些恶意代码通过从 Pastebin URL 下载的命令执行。攻击发生在从 2020 年 10 月 15 日开始的 12 天内,然后在 2020 年 10 月 30 日关闭了 Pastebin URL 和存储库。根据 Juniper 的说法,第二波攻击始于 11 月 10 日,使用的是来自另一个 GitHub 存储库的 Payload,其中包括一个 Linux 加密挖矿,该文件包含用于暴力破解的密码列表,以及针对 x86_64 Linux 系统的本地特权升级漏洞。最初的感染是通过 X10-unix (一种用 Go 编程语言编写的二进制文件) 进行,然后从 GitHub 下载下一阶段的 Payload。该蠕虫针对 Web 应用程序,IP 摄像机,路由器等进行了一系列广泛的攻击,包括至少 31 个已知漏洞 (在以前的 Gitpaste-12 中也发现了 7 个漏洞),并试图破坏开放的网络。
发布时间:2020-12-15
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2020/12/wormable-gitpaste-12-botnet-returns-to.html
攻击者正在为 Cyberpunk 2077 游戏分发伪造的 Windows 和 Android 安装程序,该游戏最终会受害用户安装一个 CoderWare 勒索软件。为了诱骗用户安装恶意软件,攻击者通常以作弊软件和针对受版权保护软件的破解的形式分发它们。本周,卡巴斯基恶意软件分析师 Tatyana Shishkova 发现了伪装成 Cyberpunk 2077 游戏移动版本的 Android 勒索软件。该游戏是从冒充合法 Google Play 商店的假网站分发的。Shishkova 发推说,CoderWare 勒索软件使用硬编码密钥,这意味着可以在必要时制作解密器以免费恢复文件。具有硬编码密钥的 RC4 算法 (在此示例中为 21983453453435435738912738921) 被用于加密。这意味着,如果你使用此勒索软件对文件进行了加密,则可以不支付赎金就对其进行解密。你可以在下面显示的勒索软件源代码中看到硬编码的密钥 21983453453435435738912738921。
该勒索软件与 MalwareHunterTeam 在 11 月发现的伪装成 Windows Cyberpunk 2077 安装程序的勒索软件相同。与 Android 版本一样,此勒索软件为 CoderWare,但它是 BlackKingdom 勒索软件的变种。
变种版本是 python 编译的可执行文件,它将加密受害者的文件,并将 .DEMON 作为加密后文件的扩展名。
关键词:CoderWare、Black-Kingdom
发布时间:2020-12-13
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/
- End -
