黑客正在分发一种新的以AutoHotkey（AHK）脚本语言编写的凭据窃取程序，这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标，特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications（VBA）AutoOpen宏的带有恶意软件的Excel文件，该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务，而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示：“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露，特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器（比如Google Chrome、Opera、Microsoft Edge等）的凭证窃取程序。一旦安装，窃取程序会尝试在受感染的机器上下载SQLite模块（“sqlite3.dll”），使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后，窃取程序从浏览器收集并解密凭证，并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”，其中包含的使用说明（用俄语编写）可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结：“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言，加载恶意组件并频繁更改C&C服务器，黑客就能隐藏其恶意意图。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1440/         消息来源：intezer，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月，我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击，而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中，我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次，JS sniffer的代码使用了Radix模糊处理。然后，攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中，UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1438/       消息来源：group-ib，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在跟踪Lazarus组织的活动时，我们发现他们最近瞄准了与COVID-19相关实体。9月底，他们袭击了一家制药公司。此外，他们还袭击了与COVID-19有关的政府部门。而且，每一次攻击都使用了不同的战术、技术和程序（TTP）。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1437/         消息来源：securelist，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国网络安全基础设施和安全局（CISA）警告称，Treck开发的一个低级TCP/IP软件库存在严重漏洞，远程攻击者可以运行任意命令并发动拒绝服务（DoS）攻击。 这四个漏洞影响Treck TCP/IP Stack 6.0.1.67及更早版本，其中两个漏洞的等级为严重。 Treck的嵌入式TCP/IP Stack部署在全球制造业、信息技术、医疗保健和运输系统中。 其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞（CVE-2020-25066），该漏洞允许攻击者重置目标设备或使其崩溃，甚至执行远程代码。它的CVSS得分是9.8分（最高10分）。 第二个漏洞是IPv6组件（CVE-2020-27337，CVSS评分9.1）中的越界写入，未经身份验证的用户可利用该漏洞通过网络访问造成DoS。 其他两个漏洞涉及IPv6组件中的越界读取（CVE-2020-27338，CVSS得分5.9），未经身份验证的攻击者可能会利用该漏洞导致DoS。同一模块中的输入验证错误漏洞（CVE-2020-27336，CVSS得分3.7）可能导致越界读取（通过网络访问最多读取三个字节）。 Treck建议用户更新到6.0.1.68版本。在无法应用最新补丁的情况下，建议使用防火墙以过滤掉HTTP报头中包含负内容长度的数据包。 在Treck TCP/IP Stack出现新漏洞的6个月前，以色列网络安全公司JSOF发现了名为Ripple20的软件库中的19个漏洞，这可能使攻击者在不需要任何用户交互的情况下获得对目标物联网设备的完全控制。 此外，本月早些时候，Forescout的研究人员发现了33个漏洞，统称为“AMNESIA：33”。这些漏洞可能导致TCP/IP Stack被滥用，使得攻击者可以控制易受攻击的系统。 考虑到复杂的物联网供应链，该公司发布了一种名为“project-memoria-detector”的新检测工具，以确定目标网络设备是否在实验室环境下运行易受攻击的TCP/IP Stack。 该工具可以通过GitHub访问。         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

今年早些时候，我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services（AWS）secure shell（SSH）凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC（互联网中继聊天）bot。IRC bot被称为TNTbotinger，能够进行分布式拒绝服务（DDoS）。 需要注意的是，攻击者首先必须在初始目标机器上执行远程代码（RCE），然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1436/         消息来源：trendmicro，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

12月22日，来自美国、德国、荷兰、瑞士、法国的执法机构，以及欧洲刑警组织的欧洲网络犯罪中心（EC3）宣布关闭Safe Inet。这是一种流行的虚拟专用网络（VPN）服务，曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭，其基础设施被查封，这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语，已经活跃了十多年，它为网站访问者提供“防弹托管服务”，对黑社会来说代价高昂。 截至12月1日，Pro订阅的费用在1.3美元/天到190美元/年之间，可以完全访问其整个服务器名单。 防弹托管（BPH）也被称为抗滥用服务，它不同于常规的web托管，因为它允许内容提供商更加方便地托管在这些服务器上的数据类型，从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析，防弹主机利用各种方式维持其翼下的犯罪活动，并能够在全球范围内战略性地分配资源，牢记地区法律和地理特征。众所周知，它们可以最大限度地减少有用的日志文件的数量，并且只能从匿名来源（例如Tor网络）访问系统。 “这种活动可能以借口回应受害者提出的投诉，将其客户数据从一个IP地址、服务器或国家转移到另一个，以帮助他们逃避检测。美国司法部（DoJ）表示没有日志可供执法部门审查。” 司法部补充，“BPH服务故意支持其客户的犯罪活动，并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示，他们在全球范围内发现了大约250家被犯罪分子监视的公司，攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

12月21日，一个研究小组公布了他们在Dell Wyse Thin客户端中发现的两个严重漏洞，这些漏洞可能使攻击者能够远程执行恶意代码并访问受影响设备上的任意文件。 这些漏洞由CyberMDX发现，并于2020年6月向戴尔报告。这两个漏洞的CVSS评分均为10分，影响ThinOS 8.6及以下版本的设备。戴尔在21日发布的更新中已解决了这两个漏洞。 Thin客户端通常是使用存储在中央服务器上的资源而不是本地化硬盘驱动器运行的计算机。它们通过建立到服务器的远程连接来工作，服务器负责启动和运行应用程序并存储相关数据。 本次漏洞的编号为CVE-2020-29491和CVE-2020-29492，用于从本地服务器获取固件更新和配置的FTP会话是不受保护的，没有任何身份验证（“匿名”），从而使同一网络中的攻击者能够读取和更改其配置。 第一个漏洞CVE-2020-29491允许用户访问服务器并读取属于其他客户端的配置（.ini文件）。 由于没有FTP凭据，网络上的任何人都可以访问FTP服务器并直接更改保存其他Thin客户端设备配置的.ini文件（CVE-2020-29492）。 更糟糕的是，该配置可能包含敏感数据，包括可能被用来危害设备的密码和帐户信息。 这些漏洞的利用相对容易，我们建议用户尽快使用补丁来降低风险。 CyberMDX还建议将兼容的客户端更新到ThinOS9，从而删除INI文件管理功能。如果无法进行升级，建议禁用FTP，使用HTTPS服务器或Wyse管理套件。 CyberMDX的研究人员表示：“读取或更改（ini文件中）这些参数会加剧攻击。在配置和启用VNC以进行完全远程控制、泄漏远程桌面凭据以及操纵DNS结果时，我们需要格外注意。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

攻击者总是在寻找一种方法来执行受害者机器上的文件，并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器，那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey（AHK）就属于这种脚本语言。特别是，AHK是一种面向Windows的开源脚本语言，旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1432/         消息及封面来源：trendmicro，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

最新研究显示，越来越多的网络犯罪分子利用商品恶意软件和攻击工具，将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示，Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说：“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用，以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的，但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月，Proofpoint首次记录了SystemBC。它是一种代理恶意软件，它利用SOCKS5互联网协议屏蔽命令和控制（C2）服务器的流量并下载DanaBot银行木马。 此后，SystemBC RAT利用新特性扩展了工具集的范围，允许它使用Tor连接来加密和隐藏C2通信的目的地，从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出，SystemBC已被用于许多勒索软件攻击中，通常与其他后攻击工具（如cobaltstake）一起使用，以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本，以及服务器通过匿名连接发送的其他DLL blob。 另外，SystemBC似乎只是众多商品工具中的一个，这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序，这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的，或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示：“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动，而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势，即勒索软件作为服务提供给附属公司，就像MountLocker那样，攻击者向附属公司提供双重勒索能力，以便以最小的代价分发勒索软件。 Gallagher表示：“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式，IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”