一种新的蠕虫僵尸网络通过GitHub和Pastebin传播，在目标系统上安装加密货币矿工和后门，并扩展了攻击web应用程序、IP摄像机和路由器的能力。 上个月初，Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动，该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码，这些代码通过从Pastebin URL下载的命令执行。 这些攻击发生在2020年10月15日开始的12天中，而Pastebin URL和存储库于2020年10月30日被关闭。 现在，根据Juniper的说法，第二波攻击始于11月10日，使用的是来自不同GitHub存储库的有效负载，其中包括一个Linux加密矿工（ls）、一个包含暴力尝试密码列表的文件（pass），以及一个针对x86_64 Linux系统的本地权限提升漏洞。 最初的感染是通过X10-unix（一种用Go编程语言编写的二进制文件），然后从GitHub下载下一阶段的有效负载。 Juniper的研究员Asher Langton指出，“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击，涉及至少31个已知漏洞（其中7个漏洞在之前的Gitspaste-12示例中也出现过），试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。” 31个漏洞中包括F5 BIG-IP流量管理用户界面（CVE-2020-5902）、Pi-hole Web（CVE-2020-8816）、Tenda AC15 AC1900（CVE-2020-10987）、vBulletin（CVE-2020-17496），以及FUEL CMS（CVE-2020-17463），这些漏洞都是今年曝光的。 值得注意的是，今年10月，人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞，传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马（RAT）。 除了在机器上安装X10-unix和Monero加密挖掘软件外，该恶意软件还打开了监听端口30004和30006的后门，将受害者的外部IP地址上传到私有的Pastebin，并试图连接到5555端口上的Android Debug Bridge连接。 连接成功后，它继续下载Android APK文件（“weixin.apk”），最终安装了一个ARM CPU版本的X10-unix。 据Juniper估计，总共至少有100个不同的宿主被发现传播这种感染。 完整的恶意二进制文件和其他与活动相关的危害指标（IOC）可以在这里访问。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

企业监控软件提供商SolarWinds目前处于最严重的供应链攻击的中心，该公司表示，多达18000名客户可能安装了受污染的Orion产品。 据SolarWinds披露，这起事件很可能是外部国家对供应链进行高度复杂、有针对性和人工攻击的结果。 该公司还在其安全公告中重申，除了2019.4 HF 5和2020.2版本的SolarWinds Orion平台外，监控软件的其他版本或其他非Orion产品均未受到该漏洞的影响。 目前，关于黑客如何侵入SolarWinds网络的细节仍不清楚。根据安全研究员Vinoth Kumar的报告，一个可公开访问的SolarWinds GitHub存储库似乎正在泄露“downloads.solarwinds.com”域的FTP凭据。从而允许攻击者将伪装为Orion软件更新的恶意可执行文件上传到门户。更糟糕的是，FTP服务器受一个普通密码的保护。 在Kumar去年披露之后，该公司于2019年11月22日解决了这一配置错误。 此前一天，网络安全公司FireEye表示，他们发现了一个长达9个月的全球性入侵活动。攻击者的目标是公共和私人实体，这些实体将恶意代码引入SolarWinds Orion软件的合法软件更新中，以进入这些公司的网络并安装一个名为SUNBURST的后门（SolarWinds.Orion.Core.BusinessLayer.dll）。 微软在一份报告中表示，“恶意的DLL使用avsvmcloud.com域调用远程网络基础结构，以准备第二阶段有效负载，在组织中横向移动，泄露数据。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

12月14日，网络安全公司Sophos和ReversingLabs首次联合发布了面向公众的恶意软件研究数据集，旨在建立有效的防御措施，推动全行业在安全检测和响应方面的改进。 “SoReL-20M”是一个数据集，包含2000万个Windows可移植可执行文件（.PE）的元数据、标签和功能，1000万个已解除防护的恶意软件样本，其目标是设计机器学习方法，以获得更好的恶意软件检测能力。 Sophos AI组织表示：“对网络威胁的开放认识和理解也会导致更具预测性的网络安全。他防御者将能够预见攻击者在做什么，并为下一步行动做好更好的准备。” 伴随发布的是一组基于Pythorch和LightGBM的机器学习模型，这些模型以这些数据为基础进行了预先训练。 EMBER（又名Endgame Malware BEnchmark for Research）于2018年发布，是一种开源恶意软件分类器，但其较小的样本量（110万个样本）及其作为单标签数据集（良性/恶意软件）的功能意味着它“限制了可以用它执行的实验范围”。 SoReL-20M旨在用2000万个PE样本来解决这些问题，其中包括1000万个已解除防护的恶意软件样本（无法执行），以及为另外1000万个良性样本提取的特征和元数据。 此外，该方法利用了一个基于深度学习的标记模型来生成人类可解释的语义描述，指定所涉及样本的重要属性。 ReversingLabs的研究人员表示：“在安全领域共享威胁情报并不新鲜，但攻击者近几年来不断创新，因此共享威胁情报十分重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

这篇文章包含近期国家网络攻击背后攻击者的技术细节。以下是攻击者常使用的工具及技术： 通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者在网络中获得立足点，从而获得更高的凭据。详请参阅SolarWinds安全咨询。 一旦进入网络，攻击者就会使用通过本地泄露获得的管理权限来访问组织的全局管理员帐户/可信的SAML令牌签名证书。这使得攻击者能够伪造SAML令牌，以模拟任何现有用户和帐户，包括高权限帐户。 然后，可以针对任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）使用由受损令牌签名证书创建的SAML令牌进行异常登录。因为SAML令牌是用它们自己的可信证书签名的，所以组织可能会忽略异常。 使用全局管理员帐户/可信证书来模拟高权限帐户，攻击者可以向现有应用程序或服务主体添加自己的凭据，使它们能够使用分配给该应用程序的权限调用API。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1427/         消息及封面来源：Microsoft，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究发现，一种新的勒索软件可以扩大目标范围，躲避安全软件的检测，发动双重勒索攻击。 MountLocker勒索软件在2020年7月开始出现，它在加密前窃取文件，并且要求数百万赎金，这种策略被称为双重勒索。 BlackBerry Research and Intelligence Team的研究人员表示，“MountLocker背后的攻击者显然只是在热身。从7月份开始，他们的勒索要求越来越高。” “与MountLocker相关联的公司效率很高，能够快速过滤敏感文档，在几个小时内对目标进行加密。” MountLocker还加入了其他勒索软件家族，比如Maze（上个月关闭），这些勒索软件在暗网上运营一个网站，羞辱受害者，并提供泄露数据的链接。 到目前为止，这款勒索软件已经有5名受害者，但研究人员怀疑人数可能“多得多”。 MountLocker作为勒索软件即服务（RaaS）提供，它在今年8月初针对瑞典安全公司Gunnebo进行了部署。 尽管该公司表示已成功阻止了勒索软件攻击，但攻击者最终在10月份窃取并在网上发布了18G的敏感文件，这些文件包括客户银行保险库和监控系统的示意图。 现在根据BlackBerry的分析，MountLocker背后的攻击者利用远程桌面（RDP）和泄露的凭证，在受害者的环境中获得初步的立足点（这在Gunnebo的黑客攻击中也有观察到）。然后部署工具执行网络侦察（AdFind），接着部署勒索软件和横向跨网络传播，通过FTP过滤关键数据。 勒索软件本身是轻量级且高效的。执行后，它会终止安全软件，使用ChaCha20密码触发加密，并创建一张勒索便条，其中包含一个Tor.onion URL的链接，通过暗网聊天服务协商解密软件的价格。 它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密，删除卷影副本以阻止加密文件的恢复，并最终将自己从磁盘中删除以隐藏踪迹。 然而，研究人员指出，勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥，该方法可能容易受到暴力攻击。 MountLocker的加密目标非常广泛，支持2600多个文件扩展名，包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。 除此之外，我们在11月底发现了MountLocker的一个新变种（称为“版本2”），它删除了加密所需的扩展名列表，转而使用精简的排除列表：.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。 研究人员总结说：“自从成立以来，MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进，但可能短期内变得更强大。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

今年10月以来，研究人员发现，恶意软件攻击者在利用一种远程访问木马njRAT（也被称为Bladabindi）从Pastebin下载并传送第二阶段的有效负载。Pastebin是一个流行网站，可匿名存储数据。攻击者利用这一服务发布恶意数据，恶意软件可以通过一个简短的URL访问这些数据，避免使用他们自己的命令和控制（C2）基础设施，以免引起注意。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1425/         消息及封面来源：paloaltonetworks，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。 网络安全公司Intezer将这一行动与APT28（又名Sofacy、Sednit、Fancy Bear或STRONTIUM）联系起来，并表示，这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy（或Zekapab）恶意软件的Go版本。这些活动是上个月底观察到的。 Zebrocy主要通过网络钓鱼进行攻击，该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。 该恶意软件的幕后攻击者于2015年被发现，并与GreyEnergy有所联系。GreyeEnergy被认为是BlackEnergy（又名Sandworm）的继承者，这表明攻击者与Sofacy和GreyEnergy都有关联。 它充当后门和下载程序，能够收集系统信息、文件操作、捕获屏幕截图和执行恶意命令，然后将这些命令过滤到攻击者控制的服务器上。 虽然Zebrocy最初是用Delphi（称为DelPHOCY）编写的，但此后已用五六种语言来实现，包括AutoIT、C++、C#、GO、Python和VB.NET。 本次攻击使用了Go版本的恶意软件。该恶意软件首先由Palo Alto Networks于2018年10月记录，随后Kaspersky于2019年初再次发现。诱饵作为虚拟硬盘（VHD）文件的一部分提供，该文件要求受害者使用Windows 10访问。 VHD文件一旦安装，就会显示为带有两个文件的外部驱动器，其中一个是PDF文件，据称包含关于Sinopharm International Corporation（一家中国制药公司）的幻灯片，该公司研制COVID-19疫苗在后期临床试验中对病毒的有效预防率为86%。 第二个文件是一个可执行文件，它伪装成Word文档，打开后运行Zebrocy恶意软件。 Intezer称，他们还观察到了一次针对哈萨克斯坦的单独攻击，攻击者可能使用了网络钓鱼诱饵，冒充印度民航总局的撤离信。 近几个月来，我们在野外多次发现了提供Zebrocy的网络钓鱼活动。 去年9月，ESET详细介绍了Sofacy针对东欧和中亚国家外交部的攻击活动。 今年8月早些时候，QuoIntelligence发现了一个针对阿塞拜疆政府机构的单独攻击。攻击者假借分享北约训练课程来分发Zebrocy Delphi变种。 Golang版本的Zebrocy后门也引起了美国网络安全和基础设施安全局（CISA）的注意。该局在10月底发布了一份报告，表示：“该恶意软件允许远程攻击者在受损系统上执行各种功能。” 为了阻止此类攻击，CISA建议在使用可移动媒体、打开来自未知发件人的电子邮件和附件、扫描可疑电子邮件附件时要谨慎，并确保扫描附件的扩展名与文件头相匹配。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

研究发现，一些D-Link VPN路由器易受三个新的高危漏洞的攻击，这使得数百万的家庭和商业网络即使有强大的密码保护也容易受到网络攻击。 Digital Defense的研究人员发现了这些漏洞，并于8月11日向D-Link披露。如果漏洞被利用，远程攻击者可以通过特制请求在易受攻击的网络设备上执行任意命令，甚至发起拒绝服务攻击。 Link DSR-150、DSR-250、DSR-500和DSR-1000AC以及DSR系列中运行固件版本14和3.17的其他VPN路由器型号易受根命令注入漏洞的远程攻击。 这家台湾网络设备制造商在12月1日的一份咨询报告中证实了这些问题，并补充说，他们正在针对其中两个漏洞开发补丁。目前，这些补丁已发布。 Digital Defense在报告中表示：“从广域网和局域网接口来看，这些漏洞可以在网上被利用。” “因此，未经身份验证的远程攻击者可以通过访问路由器web界面，作为根用户执行任意命令，从而有效地获得对路由器的完全控制。” 易受攻击的组件“Lua-CGI”可以在不经过身份验证的情况下访问，并且缺少服务器端过滤，从而使得攻击者（无论是否经过身份验证）都有可能注入将以根用户权限执行的恶意命令。 Digital Defense报告的另一个漏洞涉及修改路由器配置文件，以根用户身份注入恶意CRON条目并执行任意命令。 然而，D-Link表示，它不会“在这一代产品上”修复这一漏洞，并表示这是预期的功能。 Digital defence警告说，由于COVID-19的流行，在家工作的人数空前增加，可能会有更多的员工使用受影响的设备连接到企业网络。 随着远程工作的增加，vpn中的漏洞成为攻击者进入企业内部网络的目标。 建议使用受影响产品的企业进行相关更新。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

大多数恶意软件都是以“打包”的形式分发的：通常是一个包含代码的可执行文件，在提取和执行预期负载之前，这些代码可以逃避防病毒检测和沙盒。我们讨论了两个常见的打包器，它们用于分发恶意软件，但在图像中隐藏了预期的有效载荷。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1423/       消息及封面来源：proofpoint，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

12月7日，研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发，可以让攻击者从流行的即时通讯应用程序中监视私人聊天，强迫Wi-Fi连接，自动接听特定号码的来电，以窃听通话。 今年9月，美国财政部对伊朗黑客组织APT39（又名Chaffer、ITG07或Remix Kitten）实施制裁。在制裁的同时，美国联邦调查局（FBI）发布了一份威胁分析报告，描述了Rana Intelligence Computing公司使用的几种工具，该公司充当了APT39组织进行恶意网络活动的幌子。 FBI正式将APT39的活动与Rana联系起来，详细列出了8套独立且不同的恶意软件。这些恶意软件是该组织用来进行电脑入侵和侦察活动的，其中包括一款名为“optimizer.apk”的Android间谍软件，具有信息窃取和远程访问功能。 该机构表示：“APK植入程序具有信息窃取和远程访问功能，在用户不知情的情况下，可以在Android设备上获得根用户访问权限。” “主要功能包括从C2服务器检索HTTP GET请求、获取设备数据、压缩和AES加密收集的数据，并通过HTTP POST请求将其发送到恶意C2服务器。” ReversingLabs在最新发表的一份报告中，对这种植入程序（“ com.android.providers.optimizer”）进行了更深入的研究。 据研究人员Karlo Zanki称，这种植入程序不仅可以出于政府目的进行音频录制和拍摄照片，还可以添加自定义的Wi-Fi接入点并强制受损设备连接。 Zanki在分析报告中表示：“这项功能的引入可能是为了避免因目标手机账户上数据流量的异常使用而被发现。” 除此之外，它还可以自动接听来自特定电话号码的电话，从而允许攻击者按需打开对话。 除了支持接收通过SMS消息发送的命令外，联邦调查局引用的最新“optimizer”恶意软件还滥用了辅助功能，以访问即时消息应用程序，如WhatsApp、Instagram、Telegram、Viber、Skype和一个名为Talaeii的非官方伊朗电报客户端。 值得注意的是，在伊朗人权中心（CHRI）以安全考虑为由披露消息后，Telegram此前曾在2018年12月向Talaeii和Hotgram的用户发出“不安全”警告。 Zanki总结说：“当目标锁定个人时，攻击者通常希望监控他们的沟通和行动。手机最适合实现这样的目标，因为大多数人都会随身携带。由于安卓平台占据了全球智能手机最大的市场份额，因此它是移动恶意软件的主要目标。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”