前言 2020年6月以来，新一波URSA木马程序（ESET称之为mispadu恶意软件）已影响到多个国家的用户，包括玻利维亚、智利、墨西哥、阿根廷、厄瓜多尔、秘鲁、哥伦比亚、巴拉圭、哥斯达黎加、巴西、西班牙、意大利和葡萄牙。此软件是恶意木马，当安装在受害者的设备上时，它从浏览器和流行软件（如FTP和电子邮件服务）收集密码，并执行银行浏览器覆盖，以诱使受害者介绍银行凭证，这些流程由攻击者在后台逐步执行。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1338/     消息与封面来源：Seguranca-Informatica  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文旨在为读者提供有关PRODAFT＆INVICTUS威胁情报（PTI）团队针对不同威胁者的最新详细信息，以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 感谢您曾阅读在本系列文章的第一部分。在公开Fin7和REvil组织关系之前，我们试图与勒索软件的受害者联系，同时，我们将继续发布有关Fin7攻击者工具的文章。 在第一篇文章中，我们检查了Carbank后门控制面板的版本更改，并公开了以前未知的Tirion Loader。我们希望Fin7组织在未来使用该装载机取代Carbanak后门。 在本系列的这一部分中，我们将深入研究Fin7攻击者进行的BadUSB攻击。 我们将分以下几部分来介绍整篇文章： BadUSB攻击概述 macOS针对BadUSB攻击 攻击者收集的AV检测统计信息 受害者统计     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1336/ 消息与封面来源：threatinte  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文旨在为读者提供有关PRODAFT＆INVICTUS威胁情报（PTI）团队针对不同威胁者的最新详细信息，以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 所有这些都源自威胁者方面的一次OPSEC故障，我们将尝试逐步扩展主题，类似于我们在不断发现的基础上扩大范围。 关于Fin7和Carbanak的前所未有的事实：第1部分 在5月至2020年7月之间；PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故障。当然，后来发现这些威胁因素与臭名昭著的Fin7 / Carbanak威胁因素有联系。 PTI的OP源于攻击者一方的OPSEC故障。与以前发现和发布的数据不同，使此OP如此与众不同的是，我们设法发现了大量有关攻击者工具集的未发布信息，这些信息揭示了攻击者的TTP。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1335/ 消息与封面来源：threatinte  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

介绍 TeamTNT是一个网络犯罪组织，其目标是包括Docker和Kubernetes实例在内的云环境。该组织先前已使用多种工具进行了记录，包括加密矿工和Amazon Web Services（AWS）凭证窃取蠕虫。 TeamTNT还被发现使用了恶意Docker镜像，该镜像可在Docker Hub上找到，以感染受害者的服务器。现在该小组正在发展。在Intezer观察到的近期攻击中，TeamTNT通过滥用Weave Scope来使用一种新技术，该工具可为用户提供对其云环境的完全访问权限，并与Docker，Kubernetes，分布式云操作系统（DC / OS）集成在一起，和AWS Elastic Compute Cloud（ECS）。攻击者安装此工具是为了映射受害者的云环境并执行系统命令，而无需在服务器上部署恶意代码。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1333/ 消息与封面来源：INTEZER   ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 2020年7月，NVISO检测到一组恶意Excel文档，也称为“ maldocs”，它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷，但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术，使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下，这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外，它简要描述了观察到的有效负载，最后以建议和危害指标结尾，以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1328/ 消息来源：NVISO   ，封面来源：网络，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 ESET研究人员发现了迄今未记录的恶意软件家族，我们将其命名为KryptoCibule。对加密货币而言，这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币，试图通过替换剪贴板中的钱包地址来劫持交易，并泄漏与加密货币相关的文件，同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写，还使用了一些合法软件。有些东西，例如Tor和Transmission torrent客户端，与安装程序捆绑在一起。其他的则在运行时下载，包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1326/ 消息与封面来源：welivesecurity   ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 一、背景 腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner，黑客通过SQL Server服务器弱口令爆破入侵，爆破成功后在目标系统释放C#语言编写的木马assm.exe，进一步通过该木马与C2服务器通信，然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到，并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”，腾讯安全威胁情报中心将其命名为“MrbMiner“。 MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载器会将挖矿木马安装为系统服务以实现持久化运行，同时会搜集中招系统信息（包括CPU型号、CPU数量、.NET版本信息），关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。 MrbMiner挖矿木马会小心隐藏自身，避免被管理员发现。木马会监测任务管理器进程，当用户启动“任务管理器”进程查看系统时，挖矿进程会立刻退出，并删除相关文件。 腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件，推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据，MrbMiner挖矿木马已控制上千台服务器组网挖矿。 腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马，详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）MrbMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）MrbMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）MrbMiner挖矿木马关联的IOCs已支持识别检测； 2）SQL Server弱口令爆破登陆预警。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀MrbMiner相关木马程序； 2）SQL Server弱口令爆破登陆预警。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测MrbMiner挖矿木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀MrbMiner入侵释放的木马程序。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 黑客通过批量扫描和爆破SQL Server服务，执行shellcode下载assm.exe到服务器一下位置，并启动assm.exe： c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe c:/windows/temp/sqlmanagement/assm.exe assm.exe采用C#编写，执行后首先杀死已有挖矿进程，并删除文件。 然后向服务器vihansoft.ir:3341发送上线信息“    StartProgram    ok”。 从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。 对下载得到的文件进行Zip解压缩。 挖矿木马文件名伪装成与Windows正常服务相似的文件名： Microsoft Media Service.exe Microsoft Agent System.exe WindowsSecurityService.exe WindowsAgentService.exe WindowsHostService.exe Windows Desktop Service.exe Windows Host Management.exe Windows Update Service.exe SecurityService.exe InstallWindowsHost.exe SystemManagement.exe 文件描述也使用类似的伪装手法： Services Service-Mrb WindowsSecurityService MrbMngService SetAllconfig()设置挖矿配置文件，首先向服务器发送消息“getConfig”获取配置文件，然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”，ProcessorCount为当前机器CPU数量。 同时根据环境下不同的CPU数量设置不同的挖矿端口，默认端口为3333： CPU：1，port:3331 CPU：2，port:3332 CPU：4，port:3334 CPU：8，port:3338 默认挖矿配置参数： 一旦检测到挖矿进程退出，则重新启动。 一旦检测到“taskmgr”进程存在，则退出挖矿进程，并删除相关文件。（非常狡猾的设计，如果用户发现系统异常，准备打开任务管理器检查时，挖矿进程就结束，并删除文件） 私有矿池：mrbpool.xyz:443 公有矿池：pool.supportxmr.com:3333 门罗币钱包： 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 目前该钱包的收益为7个XMR，其私有矿池收益无法查询，而挖矿木马收益主要来源于私有矿池，因此该挖矿木马的实际收益会远远超过当前数额。 分析发现，黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载门罗币挖矿木马之后，还会将其安装服务进行持久化，服务名为”Microsoft Agent Service”、”Windows Host Service”。 添加Windows账号”Default”，密码：”@fg125kjnhn987″，以便后续入侵系统。 执行Powershell命令，关闭系统升级服务： 获取系统内存信息： 获取IP地址： 获取CPU名称： 获取CPU数量： 获取.NET Framework版本信息： 此外，腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上，还发现了基于Linux平台和ARM平台的挖矿木马： Linux和ARM平台挖矿使用矿池：pool.supportxmr.com:80 钱包： 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh 该钱包目前收益3.38个XMR。 IOCs IP 145.239.225.15 145.239.225.18 Domain mrbfile.xyz vihansoft.ir C&C vihansoft.ir:3341 URL http[:]//mrbfile.xyz/Hostz.zip http[:]//mrbfile.xyz/PowerShellInstaller.exe http[:]//mrbfile.xyz/sql/SqlServer.dll http[:]//mrbfile.xyz/Agentz.zip http[:]//mrbfile.xyz/Agenty.zip http[:]//mrbfile.xyz/sql/syslib.dll http[:]//mrbfile.xyz/sys.dll http[:]//mrbfile.xyz/35/sys.dll http[:]//mrbfile.xyz/Hosty.zip http[:]//vihansoft.ir/sys.dll https[:]//vihansoft.ir/Sys.dll http[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/d.zip http[:]//vihansoft.ir/k.exe http[:]//vihansoft.ir/d.zip https[:]//vihansoft.ir/Hostx.zip http[:]//vihansoft.ir/p.zip https[:]//vihansoft.ir/k.exe https[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/vhost.tar.gz https[:]//vihansoft.ir/P.zip https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true https[:]//vihanSoft.ir/Agent.zip https[:]//vihanSoft.ir/host.zip ftp[:]//145.239.225.15/armv.tar.gz ftp[:]//145.239.225.15/linux-os.tar.gz ftp[:]//145.239.225.15/linuxservice.tar.gz ftp[:]//145.239.225.15/osx.tar.gz ftp[:]//145.239.225.15/vhost.tar.gz ftp[:]//145.239.225.15/xmr.tar.gz ftp[:]//145.239.225.15/arm.tar.gz Md5 c79d08c7a122f208edefdc3bea807d64 6bcc710ba30f233000dcf6e0df2b4e91 ac72e18ad3d55592340d7b6c90732a2e 6c929565185c42e2e635a09e7e18fcc8 04612ddd71bb11069dd804048ef63ebf 68206d23f963e61814e9a0bd18a6ceaa a5adecd40a98d67027af348b1eee4c45 c417197bcd1de05c8f6fcdbfeb6028eb 76c266d1b1406e8a5e45cfe279d5da6a 605b858b0b16d4952b2a24af3f9e8c8e c3b16228717983e1548570848d51a23b c10b1c31cf7f1fcf1aa7c79a5529381c 391694fe38d9fb229e158d2731c8ad7c 5d457156ea13de71c4eca7c46207890d f1cd388489270031e659c89233f78ce9 54b14b1aa92f8c7e33a1fa75dc9ba63d f9e91a21d4f400957a8ae7776954bd17 61a17390c68ec9e745339c1287206fdb f13540e6e874b759cc3b51b531149003 2915f1f58ea658172472b011667053df 3cb03c04a402a57ef7bb61c899577ba4 f2d0b646b96cba582d53b788a32f6db2 5eaa3c2b187a4fa71718be57b0e704c9 8cf543527e0af3b0ec11f4a5b5970810 36254048a516eda1a13fab81b6123119 0a8aac558c77f9f49b64818d7ab12000 59beb43a9319cbc2b3f3c59303989111 ce8fdec586e258ef340428025e4e44fa e4284f80b9066adc55079e8e564f448c 2f402cde33437d335f312a98b366c3c8 25a579dcc0cd6a70a56c7a4a0b8a1198 2d1159d7dc145192e55cd05a13408e9b 2dd8a0213893a26f69e6ae56d2b58d9d 0d8838116a25b6987bf83214c1058aad 0c883e5bbbbb01c4b32121cfa876d9d6 2d26ecc1fdcdad62e608a9de2542a1a6 27c91887f44bd92fb5538bc249d0e024 96b0f85c37c1523f054c269131755808 028f24eb796b1bb20b85c7c708efa497 门罗币钱包： 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

摘要 自容器诞生以来，安全专家就将不安全的Docker daemons 称为主要威胁。我们最近还撰写了有关Graboid（第一个Docker密码劫持蠕虫和不安全的Docker daemons）的文章。我通过设置Docker daemons蜜罐进行了进一步的研究，以研究在野外寻找普通Docker daemons的情况，并了解由COVID-19导致的向云的转移是否增加了针对性云攻击的普及率和复杂性。 本文将详细介绍Cetus的发现，Cetus是针对Monero的一种新的和改进的Docker密码劫持蠕虫挖掘，可在我们创建的Docker daemons蜜罐中找到。 蜜罐 为了进行研究，我设置了受限的Docker daemons，并记录了5月份的所有流量。在这段时间里，我目睹了各种各样的攻击，从僵尸网络到蠕虫，一切都在进行，其中大多数是为了进行加密劫持，特别是对门罗币。 最常见的攻击之一引起了我的注意，因为它具有蠕虫的潜在特征。与其他攻击不同，蜜罐在这里受到来自许多不同的不安全Docker daemons实例的攻击。根据我的honeypot部署和其他有关容器安全性的研究项目，看到蠕虫针对不安全的Docker daemons的情况并不常见。我分析有效负载，并确定这是一个新的Docker蠕虫：恶意软件的每个实例都试图发现和感染本地网络和外部的其他Docker daemons实例。 Cetus如何运作     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1322/ 消息与封面来源：paloalto ，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

企业一直是恶意加密矿工团队的首选目标。他们不仅经常操作大量的计算资源（这有助于密码劫持者更快地开采加密货币），而且企业运营的网络对随后的攻击也很有帮助：犯罪分子可能会使用最初的受感染机器作为立足点，从中试图横向移动。在网络中感染更多计算机，并通过新的漏洞和社交工程技术不断调整攻击 “柠檬鸭”（Lemon_Duck）是一个我们见过的十分先进的密码劫持者。它的创建者不断使用新的威胁向量和混淆技术来更新代码，以逃避检测，并且矿工本身是“无文件的”，这意味着它驻留在内存中，并且不会在受害者的文件系统上留下任何痕迹。 在这篇文章中，我分享了有关此活动使用新攻击媒介的信息，以及我在上一则文章中讨论的其余媒介的一些后续工作。 以Covid-19为主题的电子邮件和附件 一些传播垃圾邮件的攻击者通常从重大事件中获利，例如年末假期，各个国家/地区的报税截止日期。因此，柠檬鸭背后的威胁者与许多其他威胁者一样，在大规模垃圾邮件活动中利用了全球对COVID-19大流行的忧虑，使收件人收到恶意附件。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1314/ 消息与封面来源：Sophos   ，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

国家赞助的威胁者和复杂的攻击经常成为人们关注的焦点。确实，他们的创新技术，先进的恶意软件平台和 0day漏洞利用链吸引了我们的想象力。但是，在大多数公司中，这些群体仍然不太可能成为风险模型的一部分，也不应该成为风险模型的一部分。当今的企业面临着更多直接的威胁，从勒索软件和客户信息泄漏到从事不道德商业行为的竞争对手。在此博客文章中，我们将重点关注DeathStalker：这是一个独特的威胁组，似乎针对律师事务所和金融部门的公司（尽管我们偶尔在其他垂直行业也看到过）。据我们所知，他们不受经济利益的驱使。他们不部署勒索软件，不窃取付款信息并转售，或从事与网络犯罪黑社会相关的任何类型的活动。他们对收集敏感的业务信息感兴趣，这使我们相信DeathStalker是一群雇佣兵，他们提供黑客出租服务，或在金融界充当某种信息经纪人的角色。 DeathStalker首先通过Powersing的基于PowerShell的植入程序引起了我们的注意。通过分解该线程，我们可以确定可追溯到2018年甚至2012年的活动。但是，在深入探究DeathStalker的历史之前，我们将从一些背景开始，以下先介绍威胁者的武器库。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1312/ 消息与封面来源：SUCURELIST，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。