分类: 恶意软件

巴尔的摩市已被加密货币勒索软件困扰两周

本月早些时候,黑客成功地在巴尔的摩市部署了一批勒索软件。在两周的时间里,它已经导致了该市一系列重要的公共服务被关闭。外媒指出,本次攻击锁定了大约 10000 台政府计算机。虽然攻击者的真实身份不得而知,但其向政府勒索 13 个莱特币(当前市值约 10.2 万美元),否则就不予恢复设备上的正常数据。 (图 via:Bleeping Computer,文自:BGR) 显然,勒索软件已经让巴尔的摩全市沦为了人质,因为市政府无法访问电子邮件账户,甚至连给雇员发工资都做不到。此外,市民无法支付一系列公共事业费用,房地产相关的交易也无法顺利展开。 令人欣慰的是,市政官员表示他们无意支付这部分赎金,因为只要妥协过一次,无疑会鼓励别有用心者在未来发起更多类似的攻击。 只是在此期间,巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行。 在数日前发布的新闻稿中,巴尔的摩市市长 Bernard Young 说到:“我们建立了一套基于 Web 的事故指挥方案,将操作转换到了手动模式,并会通过其它方案来继续向公众提供服务” 巴尔的摩市将继续调整和完善那些被中断服务的交付,同时寻求重新激活任何完全中断的服务的方法。 在恢复的过程中,我们还与 FBI 合作展开了调查,不过具体的细节还无法向大家分享。如被允许,我们将继续向公众通报相关进展。 Bernard Young 补充道:作为控制勒索软件并实施工具更新的一部分,该市正在与业内顶尖的网络安全专家合作,以确保此类事件不再发生。 至于一切恢复正常运转的时间,目前暂不得而知。不过按照估计,部分系统可能要画上几个月的时间,才能完全恢复。 正如许多大企业那样,巴尔的摩市拥有数千套系统和相关应用程序。当前的重点是让关键服务优先上线,并在期间将安全性视为首要任务之一。 市民们可在未来几周内看到部分服务开始恢复运转,但一些较复杂的系统,可能需要几个月才能彻底恢复。 实际上,这并不是巴尔的摩市首次遭遇勒索软件攻击。因为去年的时候,该市的 911 应急报警系统就曾遭遇过一次。幸运的是,这次勒索软件并没有影响到 911 系统。 至于本轮勒索软件攻击的细节,《巴尔的摩太阳报》指出,罪魁祸首是被称作 RobbinHood 的勒索软件变种。在对其展开深入研究后,专家称其是由经验丰富的编程者捣鼓出来的。   (稿源:cnBeta,封面源自网络。)

研究人员发现 Linux 版本的 Winnti 恶意软件

据外媒报道,Alphabet网络安全部门Chronicle的研究人员,发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本,其与中国APT组织有关。 研究人员认为,在Winnti Umbrella黑客组织的背后,有几个APT组织,包括Winnti,Gref,PlayfullDragon,APT17,ViceDog,Axiom,BARIUM,LEAD,PassCV,Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序(TTP),在某些情况下,甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时,发现了Linux版本的Winnti恶意软件,其可以追溯到2015年,当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告,Winnti恶意软件采用模块化结构,使用插件实现不同的功能。通过进一步分析发现,Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处,Linux版本也使用多种协议处理出站通信,如ICMP,HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求,但也可能只是尝试利用许多企业的安全盲点,与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

报告称黑客利用华硕云存储在 PC 上安装 Plead 后门

安全研究人员近日报告称,黑客组织BlackTech在中国台湾通过中间人攻击(“MITM攻击”)部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。 根据Eset的安全研究人员的说法,黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead,主要由被称为BlackTech的黑客组织部署,该组织主要针对亚洲政府和公司。 通常,恶意软件通过网络钓鱼攻击进行传播。然而,这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。 研究人员认为,黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击,”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后,软件在执行前不会验证其真实性。因此,如果更新过程被攻击者截获,他们就可以推送恶意更新。” Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器,其管理设置可通过互联网访问。 “因此,我们认为路由器级别的MitM攻击是最可能的情况,”Cherepanov说道。“为了应对这次攻击,华硕云已经改进了更新服务器的主机架构,并实施了旨在加强数据保护的安全措施。” Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中,其中安全措施可能不严格。然而,研究人员表示,尽管这种载体是可能的,但它的可能性要小得多。 Cherepanov提供了这样的建议:“对于软件开发人员来说,不仅要彻底监控他们的环境是否存在可能的入侵,还要在他们的产品中实施适当的更新机制,以抵御MitM攻击。” TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明: “华硕云首次了解到2019年4月下旬发生的一起事件,当时一位遭受安全问题的客户与我们取得联系。在得知此事件后,华硕云立即采取行动,通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知,从而有效地阻止攻击。 “为了应对这次攻击,华硕云已经改进了更新服务器的主机架构,并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过,华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描,以确保您的个人数据的完整性。”   (稿源:cnBeta,封面源自网络。)

美国政府警告:朝鲜的 ELECTRICFISH 恶意软件试图窃取数据

据外媒报道,美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告,在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH,其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议,允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统,并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置,所以能够“连接位于代理服务器内的系统”,从而规避受感染系统的身份验证。绕过身份验证后,ELECTRICFISH将与目标IP建立会话,其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接,ELECTRICFISH就可以在两台机器之间汇集网络流量,允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

黑客利用 Jenkins 漏洞传播 Kerberods 恶意软件

HackerNews.cc 5 月 9日消息,黑客正利用2018年揭露的Jenkins漏洞(CVE-2018-1000861 )来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装,拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动,来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称,攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞,其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐,且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后,他创建了下图所示的图表(可以按照蓝色数字来理解每一步)。 Kerberods包含自定义版本的UPX打包程序,它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后,Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件,有许多方法可以修改UPX,使得用常规UPX版本解压缩文件很难。幸运的是,在本例中,UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此,将二进制文件的不同部分还原为UPX,可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限,Kerberods会将一个库加载到操作系统中,该操作系统挂钩Glibc的不同功能,就像一个木马一样。在没有root权限的情况下,恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器,它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源:Securityaffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全研究人员玩上怀旧梗:“邪恶大眼夹”可帮助隐性感染 Office 文档

一种名叫Evil Clippy(邪恶大眼夹)的工具现在正在帮助黑客感染您的Office文档。白帽黑客一边写病毒一边玩上了怀旧梗,还配上了剧情:“多年的嘲笑使得大眼夹走向黑暗的一面。”来自荷兰的安全研究人员刚刚发布了这一“协助安全专家和测试人员创建恶意MS Office文档的工具”。 Evil Clippy可以使恶意的Microsoft Office文档无法被反病毒软件检测到,它可以隐藏VBA宏,并让流行的宏分析工具发生混淆。 该应用程序依赖于Office功能才能够运行,例如“VBA Stomping”。如果检测到已知MS Office版本,则可以使用伪代码替换恶意VBA源代码,而恶意代码仍将通过p-code执行。这样一来,该应用程序可以欺骗任何分析VBA源代码的工具,包括防病毒软件。 安全研究人员可以在此处找到该工具的最新源代码)。     (稿源:cnBeta,封面源自网络。)

Mac 恶意软件威胁在 2019 年一季度上涨超 60% 广告软件涨幅更甚

根据 Malwarebytes 新发布的报告,针对 Mac 用户的恶意软件威胁,已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比,今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时,广告软件的涨幅,更是飙过了 200% 。Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出,针对消费者的威胁数量在下降,基于恶意软件的加密和勒索软件的数量也在上一季显著减少,整体恶意软件的检出量也下降。 然而网络犯罪分子们并没有就此收手,而是转移到了针对基础设施和商业用户的攻击上。显然,在它们的眼中,这些大目标比“小鱼小虾”有利可图多了。 最终结果是,与 2018 年四季度相比,Mac 恶意软件的数量在 2019 年一季度增长了 62% 。同时 macOS 广告软件增长了 201%,成为了增长最快的威胁类型。 2019 年一季度最臭名昭著的恶意软件是 PCVARK,它将上季度的前三名 —— MacKeeper、MacBooster、以及 MplayerX —— 分别挤到了第 2、3、7 位。 与此同时,一款名叫 NewTab 的广告软件家族的数量出现了跃升,从 60 名突然窜到了第 4 位。 此外,Mac 也在本季度遭受了新型攻击,包括使用开源代码创建后门、加密恶意软件,甚至在 macOS 桌面上发现了 Windows 可执行文件。 对于猖獗的加密货币挖矿,Mac 平台也未能幸免。此外因为有人利用钱包漏洞打造了一款特殊的带木马的版本,Mac 上比特币和以太坊钱包失窃的总额估计为 230 万美元。 Malwarebytes 指出,恶意软件开发者开始越来越多地使用开源的 Python 来编写恶意和广告软件。 从 2017 年的 Bella 后门开始,采用开源代码的恶意软件数量开始大增。2018 年的时候,我们还见到了 EvilOSX、EggShell、EmPyre、以及反向 shell(Metasploit)等恶意软件。 除了后门,恶意与广告软件开发者也对基于 Python 的 MITMProxy(中间人攻击代理)程序表现出了浓厚的兴趣,希望监测网络流量,从中挖掘出加密的 SSL 和其它数据。 开源的 XMRig 加密货币挖矿软件代码,也不幸成为了 2019 年一季度曝光的恶意挖矿软件的重要一环。 据悉,Malwarebytes 的这份报告,基于 2019 年 1 月 1 日 – 3 月 31 日期间,从其企业和消费者软件产品中提取到的数据。 展望未来,Malwarebytes 预测中小企业将看到大量新攻击,而亚太地区将被迫应对基于 WannaCry 或 Backdoor.Vools 的严重威胁。 预计今年勒索软件的数量会有所增加,但攻击可能仅限于企业。因为黑客为了实现收益的最大化,显然更喜欢向较大的目标发起挑战。   (稿源:cnBeta,封面源自网络。)

苹果企业证书再爆丑闻 间谍软件窃取用户隐私信息

移动安全公司Lookout发现,一款强大的间谍软件正瞄准iPhone用户,并窃取他们的隐私信息。研究人员宣称,这款软件的开发者滥用了苹果公司颁发的企业证书,绕过其应用商店审查,感染毫无戒心的受害者设备。 这种伪装软件被安装后,它可以悄无声息地获取受害者的联系人、音频记录、照片、视频和其他设备信息,包括他们的实时位置数据。 研究人员发现,这款应用还可以被远程触发,监听人们的谈话。尽管没有数据显示谁可能成为攻击目标,但研究人员指出,这款恶意应用出现在意大利和土库曼斯坦手机运营商的虚假网站上。此前,也曾出现针对安卓设备的类似间谍软件Exodus。 Lookout高级安全情报工程师亚当·鲍尔(Adam Bauer)表示,这两款软件都使用了相同的后端基础设施,而iOS版本使用了多种技术,使得分析网络流量变得非常困难,显然有专业团体负责开发这些软件。 研究人员表示,他们不知道有多少苹果用户受到了影响。苹果还没有就此置评。   (稿源:网易科技,封面源自网络。)

研究人员可通过恶意软件添加或删除 CT 扫描结果中的癌症节点

恶意软件(如病毒,广告软件或间谍软件等),通常会给用户带来了极大的烦恼,最糟糕的可能是隐私和安全威胁。很少有人会认为它们会危及生命。然而,这是一个令人恐惧的现实是,两位研究人员正在展示的一种恶意软件不仅可以改变CT扫描结果,还可以通过这种“现实主义”来设法欺骗专业人员关于癌症的存在,并可能导致误诊。 解读CT扫描和MRI图像并非易事。这可以通过软件在某种程度上完成,但人类和程序都依赖于相同的东西——需要一张准确的图像。然而,来自以色列本·古里安大学网络安全研究中心的研究人员表明,愚弄两者是多么容易。 一项涉及70项改良CT肺部扫描的盲法研究证明,放射科医生和肺癌筛查软件一直认为CT扫描结果中存在癌细胞节点,但实际情况却是没有的。相反,删除实际存在的节点的扫描同样被诊断为健康。即使被告知图像被改变,医生仍然有很高的误诊率。 这要归功于研究人员编写的恶意软件能够以惊人的准确度改变这些数字图像。然而,不仅仅是恶意软件本身的存在,还存在一个令人担忧的问题,即医院和医疗机构如何保护数据免受诸如此类恶意软件的攻击。虽然他们非常小心在机构之外共享哪些数据,但他们不太愿意在内部保护数据。这部分是由于旧软件不包括加密等安全措施,而且还因为旧的硬件和系统与更新、更安全的软件不兼容。 虽然他们可能会进行一些检查和备份以确保诊断正确,但此类恶意软件仍可能造成无法弥补的伤害。除了对患者造成情绪困扰和保险问题之外,误诊可能不仅会损害医院的名声,甚至会影响患者对医院及其系统的信任。   (稿源:cnBeta,封面源自网络。)

卡巴斯基:将跟踪软件标记为恶意程序 倡议其他安全公司跟进

经过多年的更迭,跟踪软件(stalkerware)已经发展到可以避开防病毒应用程序的严苛审查。本周三,卡巴斯基实验室表示他们已经将跟踪软件标记为恶意程序,并且在手机端上安装跟踪应用的时候会向用户发出提醒。2018年,卡巴斯基实验室在58487台移动设备上检测到了跟踪软件。 跟踪软件也称为“间谍软件”,“消费者监控软件”等,采用应用程序的形式或对设备进行修改,使某人能够远程监控目标的活动。例如,一个名为 PhoneSheriff 的应用程序允许监视者阅读目标设备上的文本并查看照片,并秘密访问其手机的 GPS 位置。 跟踪软件可以安静地安装在用户设备上,然后访问包括GPS位置、短信、照片和麦克风等个人数据。而且使用跟踪软件并不需要很高的技术能力,甚至于每月花费数百美元就能买到。据卡巴斯基实验室称,一些供应商还提供每月68美元的订阅计划。 卡巴斯基实验室表示,在与电子前沿基金会网络安全负责人伊娃•加尔佩林(Eva Galperin)交谈后,公司已经开始行动起来将跟踪应用标记为恶意程序。卡巴斯基实验室的安全研究员Alexey Firsh在一份声明中表示:“因此,我们会对商业间谍软件进行标记,并发出特定的警报,告知用户关注跟踪软件带来的危险。我们相信用户有权知道他们的设备上是否安装了这样的程序。” 图片来自于 卡巴斯基实验室 在接受Wired采访时候,加尔佩林表示卡巴斯基实验室的这项倡议能够得到其他防病毒公司的响应,然后成为行业的标准。未来卡巴斯基实验室的扫描不仅会检测是否存在跟踪软件,而且会为用户提供删除它们的选项。这项保护目前正面向Android设备推广,不过跟踪软件在iOS上并不常见。   (稿源:cnBeta,封面源自网络。)