分类: 网络攻击

CISA 和 FBI 警告针对 K12 教育的勒索软件攻击增多

在周四发布的联合安全警报中,美国网络基础设施安全局及联邦调查局表示:针对美国K-12教育的勒索软件网络攻击的数量有所增加,这些网络攻击活动通常会导致数据泄露和远程学习的中断。 警报写道:“截至2020年12月,FBI、CISA和MS-ISAC持续收到来自K-12教育机构的网络攻击报告。” “黑客可能将学校视为攻击目标,预计这类攻击将持续到2020/2021学年。” 勒索软件攻击 CISA和FBI表示:“ 针对K-12教育机构的今年所有网络攻击中,勒索软件一直是最重大的威胁。MS-ISAC数据显示2020学年开始之际,针对K-12教育的勒索软件事件的百分比有所增加。”他们说:“在8月和9月,MS-ISAC已知的勒索软件事件中有57%针对K-12教育,而从1月到7月,针对K12教育的网络攻击占比只有28%。” 该数字与Emsisoft最新报告一致  ,该公司还注意到2020年第三季度针对教育行业的勒索软件攻击激增。 根据两家机构收到的报告,今年针对美国K-12的五个最活跃的勒索软件组织是Ryuk、Maze、Nefilim、AKO和Sodinokibi / REvil。 这五个都是勒索软件操作,它们已知运行“泄漏站点”,通常在这些泄漏站点上从没有付款的受害者中转储数据,这也存在将学生数据在线发布的危险。 商品性恶意软件 但是,勒索软件攻击的增加并不是本学年K-12教育机构面临的唯一问题。CISA和FBI表示,商品性质的恶意软件已在美国网络攻击中流行。 恶意软件的变种是偶然性的,因为它们不仅影响教育机构,还影响其他组织。 在K-12网络攻击上最常见的恶意软件感染中,ZeuS(Zloader)木马(Windows)和Shlayer loader(macOS)在感染排行榜上名列前茅。 我们不应轻视这种恶意软件,因为这些威胁通常演变成更大的网络攻击,需要立即加以解决。 DDOS攻击和视频会议中断 除了恶意软件之外,美国网络基础设施安全局及联邦调查局还警告K-12教育机构要注意其他形式的网络攻击:包括DDoS攻击和实时视频会议中断(也称为“ 缩放轰炸”)。 随着学校IT系统现在需要满负荷工作以保持学校资源正常运行,DDoS攻击已成为最受欢迎的攻击媒介,用于勒索学校以牟取收益或学生逃课。 这两点由卡巴斯基 在今年早些时候指出,针对教育机构的DDoS攻击数量在美国乃至全世界都大量增加。 自2020年3月以来,视频会议中断一直是学校面临的问题。 警报中也包含应对措施,受害组织可以采用这些对策预防今年以来最常见的威胁。       消息及封面来源:zdnet;译者:小江 本文由 HackerNews.cc 翻译整理 转载请注明“转自 HackerNews.cc ”   

黑客捐赠勒索来的比特币:慈善机构犯难却无法退款

据英国卫报报道,黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构,价值1万美元。捐款后,Darkside在暗网公布了得到捐款的这两家慈善机构的收据。根据法律,慈善机构不得保留犯罪收益捐款,但因捐赠加密算法导致捐款无法退回,机构因此陷入尴尬境地。 Children International表示:“如果这笔捐款跟黑客有关,我们将无意保留。” 但Darkside发出警告称:这笔钱是通过加密算法mixer发送的,模糊了比特币的真正发送者和接收者,故无法退回。 资料显示,网络犯罪组织Darkside主要开发勒索软件,通过给电脑加密,借此向大公司勒索牟利。 据了解,这些慈善捐款是Darkside怪异的品牌宣传活动的一部分,其目的是将自己塑造成不同于普通罪犯的形象。该组织表示,根据他们的原则,其不会攻击医院、学校、政府或慈善机构,勒索只针对盈利的大公司进行,如果要求得不到满足,他们就会在网上泄露大公司的数据。             (消息来源:cnBeta;封面来自网络)

莫斯科 PickPoint 快递箱遭网络攻击:2732 个柜子被打开

据外媒报道,一位神秘的黑客利用网络攻击强行打开了位于莫斯科的2732个快递寄存柜的门。据悉,这次袭击发生在当地时间12月4日周五下午,目标是当地快递服务公司PickPoint的网络。该公司在莫斯科和圣彼得堡持有8000多个包裹寄存柜的网络。 据了解,俄罗斯人可以在网上订购商品并选择将他们的任何订单送到一个PickPoint储物柜,而非他们的家庭住址。一旦包裹送达,用户就会收到一封电子邮件或手机通知,然后他们就可以使用PickPoint应用来领取他们的订单。 然而,这个允许用户打开储物柜并取回他们的包裹的系统在周五遭到了攻击。 视频链接:https://v.youku.com/v_show/id_XNDk5ODQ1MzEwMA==.html?refer=shipinyunPC_operation.liuliling_bofangqi_1244000_fQZ7Fj_18101900 一名神秘的黑客利用一种尚未识别的漏洞强行打开了PickPoint 1/3的储物柜,进而使得莫斯科各地数千个包裹暴露在失窃的危险之下。 遭攻击的原因尚未查明,但PickPoint在周末发布的新闻稿中称,它已通知了相关部门。 这家俄罗斯公司表示,他们目前正在努力恢复在攻击中受损的网络。 目前还不清楚包裹是否有包裹被从储物柜盗走。根据社交媒体上的帖子,保安和房东在周五迅速介入从而阻止被盗事件的发生。 正如PickPoint在周六的一份新闻稿中强调的那样,这似乎是“全球首次针对邮寄网关网络的针对性网络攻击”。       (消息及封面来源:cnBeta)

资深黑客确认:M1 Mac无法在离线时重置设备

在安全性问题上,苹果公司一直走在前列。人在德国的黑客、安全研究专家Jeffrey Paul日前更新博客文章,并详细介绍了对搭载T2安全芯片和M1处理器MacBook的新发现,简单来说,你无法在离线状态下对设备进行重置恢复。 他提到这意味着这些Mac对于某些场景将不再适用,比如气隙系统。 至于具体的原理是,不管你出于何种原因想要重置电脑(遭遇病毒、遭遇死机卡顿、想要卖二手等),T2和M1处理器中的安全单元也需要同步重置,而其重置的前提是拿到苹果下发的一个密钥凭证。 该密钥凭证针对绑定了Apple ID的特定硬件,需要联网从苹果服务器免费获取。这是因为,T2运行了名为BridgeOS的安全子系统,其权限和优先级高于macOS,M1处理器同样。 Paul提到几点担忧,首先是如果想要用M1做孤岛式的网络连接或者安全部署,那已经不可能。其次是,如若苹果服务器在某些国家和地区遭到限制,重置Mac变成天方夜谭。         (消息来源:cnBeta;封面来源于网络)

黑客组织 Clop 声称已从 E-Land 攻击了 200 万张信用卡

黑客组织 Clop 声称已从 E-Land 窃取了 200 万张信用卡。 E-Land 是一家韩国企业集团,总部位于韩国首尔麻浦区昌田洞。其业务包括零售商场、饭店、主题公园、酒店建筑和时尚服装业务,并通过其子公司E-Land World在全球开展业务。 Clop黑客组织声称在过去12个月中从E-Land Retail窃取了200万张信用卡信息。 上个月,被勒索软件感染之后,该公司被迫关闭了23家NC百货商店和New Core。 该公司表示已对相关服务器进行了加密,并通知了有关当局。“我们正在努力迅速恢复损失并使业务正常化,全国大多数分支机构都采取紧急措施,可进行基本的交易活动。” 公司声称,“尽管这种勒索软件攻击对公司的网络和系统造成了一定的损害,但客户信息和敏感数据在单独的服务器上进行了加密,因此处于安全状态。” 然而,Clop黑客组织告诉Bleeping Computer,情况大不相同。他们声称在一年前曾入侵过E-Land,并使用PoS恶意软件窃取了信用卡数据。 黑客声称已窃取并解密了信用卡数据(Track 2数据)长达12个月,且未被该公司发现。 Clop黑客组织声称已盗取包括信用卡号、有效期等相关信息,信用卡CVV代码不包含在Track 2数据中,因此只能用于复制信用卡并将其用于个人消费。         消息来源:securityaffairs;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

专家发现俄罗斯恶意软件“Crutch”用于 APT 攻击达 5 年之久

网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者,该窃取者在2015年至2020年初针对特定目标进行了部署。 该恶意软件被ESET研究人员命名为“Crutch”,被归咎于Turla,这是一家总部位于俄罗斯的高级黑客组织,通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。 网络安全公司的分析报告显示:“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。” 这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。 除了发现2016年的一个Crutch样本与Turla另一个名为Gazer的第二阶段后门程序之间的紧密联系外,他们多样化的工具集中的最新恶意软件表明,该组织持续专注针对知名目标的间谍和侦察活动。 Crutch要么通过Skipper套件(一种最初由Turla设计的植入程序)交付,要么由一个名为PowerShell Empire的后攻击代理(2019年发现的恶意软件)交付。 前者包括一个后门,可以使用官方的HTTP API与硬编码Dropbox帐户进行通信,以接收命令和上传结果,较新的变体(Crutch v4)避开了一个新功能,该功能可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。 ESET研究人员Matthieu Faou说:“攻击的复杂性和发现的技术细节进一步强化了这样一种看法,即Turla组织拥有相当多的资源来运营如此庞大和多样化的武器库。” “此外,Crutch能够通过滥用合法的基础设施(这里指Dropbox)绕过一些安全层,以混入正常的网络流量,同时窃取文件和接收来自其运营商的命令。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软:越南国家黑客与加密采矿恶意软件活动有关

微软周一表示,越南政府支持的黑客最近被发现部署加密货币挖掘恶意软件。 该报告强调了网络安全行业的增长趋势,越来越多的国家支持的黑客组织也将目光投向了常规的网络犯罪活动,这使得区分金钱和情报收集为动机的犯罪活动变得更加困难。   APT32涉足MONERO领域 该越南小组由Microsoft追踪为 Bismuth,自2012年以来一直活跃,并以代号APT32 和 OceanLotus等 广为人知。 该组织大部分时间都在组织国内外黑客活动,目的是收集信息以帮助其政府处理政治、经济和外交政策决策。 但微软在周一晚间发布的 一份报告中说,观察到该小组的策略发生了变化。 微软表示:“在2020年7月至8月的竞选活动中,该组织将Monero部署到了针对法国及越南私营企业和政府机构的攻击中。”   目前尚不清楚该黑客组织为何更改,但是Microsoft有两种理论: 第一点是该组织正在使用网络犯罪操作相关的加密恶意软件掩饰某些攻击。 第二点是,该小组正在尝试使用新方式从感染系统中创收。   其他国家赞助的黑客组织也为个人利益而犯罪 这一理论符合网络安全行业的普遍趋势,近年来,中国、俄罗斯、伊朗和朝鲜政府资助的黑客组织也出于个人利益开展网络犯罪活动,而非网络间谍活动。 这些组织通常在当地政府的保护下开展活动,无论是作为承包商还是情报人员,他们也都在与美国没有引渡条约的国家/地区内开展攻击活动,从而使他们自己不承担任何后果。 由于越南也缺乏与美国的引渡条约,预计该国因“处于边缘”而成为未来十年的网络犯罪和网络间谍中心。     消息来源:zdnet;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Check Point:今年 11 月包裹投递钓鱼诈骗案上升 400%

Check Point的研究人员发现,利用DHL、亚马逊和联邦快递的品牌,试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前,Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%,最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌,占到与运输相关的钓鱼邮件总量的56%,其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大,但其他地区的增幅也很大。在欧洲,运费钓鱼邮件增加了401%,其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%,其中亚马逊是被冒充最多的品牌,65%是假冒的亚马逊送货邮件。在亚太地区,送货钓鱼邮件增加了185%,其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验,在人们购物之前和之后,”Check Point的数据情报经理Omer Dembinsky说。“首先,黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后,黑客会发送一封关于交付购买的电子邮件,即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束,我们正在转向等式的另一边,也就是送货。当你在这个假日季节打开任何购买后的电子邮件时,请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚,黑客在网上购物体验的每一步都在瞄准网上购物者,在你购物前后,危险是非常真实的。” 诈骗范例:     (消息及封面来源:cnBeta)

Medusalocker 勒索团伙破解 RemoteUtilities 商业远控软件实施窃密勒索

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁称:“已收集了高度机密的资料,不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中,发现Medusalocker勒索团伙使用的样本托管资产(IP:45.141.84.182(ZoomEye搜索结果)),对该资产其进行分析后发现,Medusalocker勒索团伙除使用加密模块对文件进行加密外,其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现,Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities(类Teamviwer软件)进行了破解重打包(系对官方版本的窗口、托盘、模块完整校验位置进行Patch)。 由于RemoteUtilities属于正规商业远程控制软件,如果被用于窃密监听,会更加隐蔽,安全软件通常并不将此类商业远控软件报告为病毒。同时,由于破解修改版本与官方版本程序代码仅存在少量差异,也将比一般窃密木马具备更好的免杀效果。 近年来,勒索病毒从广撒网模式到针对性特定企业的精准打击,从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后,通常并不立刻进行加密操作。而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。若企业使用备份数据进行还原,勒索团伙则威胁公开受害企业的机密数据继续敲诈,这对企业带来经济和社会声誉的双重损失。因此,我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统(御点)均可查杀拦截Medusalocker勒索病毒,腾讯安全针对Medusalocker勒索病毒的完整响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Medusalocker勒索网络相关联的IOCs已支持识别检测; 2)支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Medusalocker相关联的利用模块,勒索模块; 2)已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)已集成无损检测POC,企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Medusalocker团伙相关联的IOCs已支持识别检测; 2)Medusalocker团伙发起的爆破攻击行为已支持检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀Medusalocker团伙相关联的利用模块,勒索模块; 2)企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费,可商用,能够自建中继服务器的远程控制软件(类似于Teamviewer、向日葵等工具),该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端(Agent)运行后会弹出明显的服务端窗口信息,托盘展示信息等,一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后,将其作为窃密木马使用,达到植入目标系统持久化控制的目的,其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端(Agent)运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件,修改版本安装后后仅使用3个模块(移除非远程控制必须组件以外的其他模块),精简破解后重打包的版本安装完成后,会添加计划任务启动,进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件,下为病毒修改版安装文件: 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理,导致官方版本被控端启动时的所有窗口界面消失,从而实现无交互界面被远程控制,系统托盘、消息界面全部被隐藏: 官方版本完整代码: 修改后病毒版本代码:   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理,导致官方被控端相关快捷退出方式失效,从而让攻击者稳定持久的远程控制,持续进行窃密活动。   官方版本完整代码: 修改后病毒版本代码:   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验,当发现安装模块缺失后则直接会退出。病毒对其代码进行patch,使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码: 修改破解后病毒版本代码: 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块,并将其执行起来,如果该文件不存在,则弹出一个系统错误对话框,随后服务端直接退出。病毒对其相关路径参数进行patch(破解),导致该处校验流程失效。 被绕过的模块完整性校验提示窗口,正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码: 破解修改后病毒版本代码: 下图为控制端界面,攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器,可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马,该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe,随后将Beacon恶意payload注入到mstsc.exe进程内,进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密,解密后得到C2地址如下: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内,也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等,这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分: EnableLUA,避免系统提示以管理员权限执行等问题; 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持,侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用; 开启3389端口并允许远程控制,关闭RDP相关的远程登录安全策略项; 删除系统卷影,删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月,2019年11月腾讯安全检测到该病毒开始在国内活跃,该病毒主要通过弱口令爆破方式进行传播,由于该勒索病毒加密使用RSA+AES的方式对文件进行加密,目前尚无有效的解密工具,被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据; 使用硬编码RSA公钥加密后的后缀信息数据; 被加密文件原始明文长度0x0000000000000018; 文件后缀明文长度0x00000014; AES密钥原始长度0x0000002C; 1、2部分密文长度0x00000200; 0x0000001标记。 具体分析可参考:《警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀,留下名为Recovery_Instructions.html的勒索文件,攻击者使用的勒索邮箱为asaphelper@protonmail.com,asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作,以提升系统安全性: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点、https://s.tencent.com/product/yd/index.html)。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe(魔改RemoteUtilities) hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe(加壳的CobaltStrike) hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip(勒索工具包) hxxp://45.141.84.182/AN_UPD.exe(Medusalocker勒索病毒) C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱: asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址: hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7    

有黑客组织利用 macOS 后门对越南地区 Mac 用户发起攻击

援引外媒报道,一支有国家背景的黑客组织正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告,这款升级版恶意软件能让攻击者访问受感染的 Mac,并监控和窃取敏感信息。 图 1-2. OceanLotus样本(上)和最新OceanLotus样本(下)的比较 图 3. 样本文件名、图标和app bundle结构 图 4. “.” 和 “doc”之间的特殊字符 图 5. 样本的代码签名信息 图 6. “ALL tim nha Chi Ngoc Canada” 文件内容 图 7. 执行文件后展示的文件 图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist 图 9. 释放文件的时间戳 图 10. 加密的字符串 图 11-12. 解密方法 报告指出,该恶意软件以 ZIP 文件的形式进行传播,并伪装成 Word 文档,通过钓鱼电子邮件方式进行传播。目前,使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。 一旦安装在计算机上,该恶意软件就会启动一系列有效负载,这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件,获取有关计算机的其他信息以及上载其他恶意软件。 趋势科技认为,该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关,该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名,人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。 研究人员写道:“ OceanLotus等威胁组织正在积极更新恶意软件变种,以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的,因此它不太可能给大多数macOS用户带来很大的风险。         (稿源:cnBeta;封面来自网络)