感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/GnXrOJ2Ep469c0WUbMplag   一、概述 腾讯安全威胁情报中心检测到一款名为FushenKingdee的勒索病毒正在活跃，已有企业遭受攻击。该病毒系Scarab勒索病毒的变种，会使用RSA+AES的方式对文件进行加密。病毒不仅会加密文件内容，同时还会使用RC4+非标准的Base64对文件名进行加密编码，被攻击后系统内文件将被修改为“固定名的编码数据.cov19”格式。 攻击者留下勒索信，要求联系指定邮箱FushenKingdee@protonmail.com购买解密工具。被该病毒加密破坏的文件，目前暂不能解密恢复，腾讯安全专家提醒用户小心处理不明邮件，政企用户须强化网络安全管理措施，避免受害。 FushenKingdee勒索病毒作者疑似来自俄语地区，病毒加密时会排除俄罗斯、白俄罗斯、乌克兰等地。根据攻击者在受害电脑残留的processhacker（一款安全分析工具），NetworkShare v.2.exe（网络共享扫描）等工具，腾讯安全专家推测攻击者不仅限于加密一台电脑，还有进行网络扫描横向扩散的意图，攻击者可能采用钓鱼邮件、弱口令爆破、或漏洞入侵等方式尝试入侵，再释放勒索病毒。 目前，腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀FushenKingdee勒索病毒。 二、安全建议与解决方案 腾讯安全专家建议用户采取必要措施提升网络安全性，避免遭遇勒索病毒攻击。 企业用户 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆； 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问； 3、采用高强度的密码，避免使用弱口令密码，并定期更换。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 5、对重要文件和数据（数据库等数据）定期备份，至少保留一份非本地的备份； 6、建议企业终端用户谨慎处理陌生电子邮件附件，若非必要，应禁止启用Office宏代码； 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。. 8、建议全网安装腾讯T-Sce终端安全管理系统（腾讯御点，https://s.tencent.com/product/yd/index.html）。 御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、建议启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 三、样本分析 FushenKingdee勒索病毒使用了复杂的加密流程，在没有获得私钥的情况下，无法完成解密，因而中招后会损失惨重。 加密部分分析 病毒运行后首先从内存中使用ZLib解压出大量要使用的明文字串信息，其中包含了硬编码的RSA 2048公钥信息。 随后生成本地RSA 512密钥对信息，将其RSA 512 Private Key（N , D）导出后拼接保存待用。 之后再使用解压后配置中硬编码的RSA 2048 Public Key对其RSA 512 Private Key进行加密，加密结果待进一步处理。 RSA 512 Private Key被加密后，再进行以下3个流程处理： 计算RSA 512 Private Key被加密后的内容长度：下图（Offset:0x0，Size: 0x8）； 对RSA 512 Private Key被加密后的内容进行CRC32校验，保存其Hash：下图（Offset:0x8,Size:0x4）； 将其RSA 512 Private Key被加密后的内容进行ZLib-Level 2压缩，去除其压缩前2字节压缩标志，去除尾5字节后保存（Offset:0xC,Size:压缩后大小）。 最后再对其处理后的3部分数据使用修改过的Base64进行编码： 标准Base64-Table为： ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 病毒修改后的Base64-Table为： ABCDEFGHIJKLMNOPQRSTUVWXYZ+=0123456789abcdefghijklmnopqrstuvwxyz 非标准Base64处理后的结果将保存作为用户ID，即勒索信中的personal identifier部分内容。 病毒加密文件前，会使用rdtsc对每个文件单独生成共计0x30（0x10+0x20两部分）字节的随机密钥数据。 其生成大小0x20字节部分会被首先作为Key，并结合使用RC4对其文件名进行加密 随后对RC4加密过的文件名数据进行非标准Base64编码，编码后的字串就是文件加密后的随机文件名，例如下图中文件名cef_100_percent.pak最终将被重命名为iDQbLSy99iHpsRqiT2f7kwmrQhhHKOcKFaq5TnhlZgEX5gLATUo.cov19 文件加密则使用了AES-256 CBC模式，之前生成的0x10字节数据将再次作为IV，0x20字节部分随机数据为作为Key，对文件内容进行加密。 文件内容加密完成后，再把随机生成的0x30字节数据拼接到一起使用本地生成的RSA 512 Public Key进行加密，最后附加到文件末尾，由于RSA 512 Private Key信息被硬编码RSA 2048 Public Key加密后再Zlib压缩Base64编码存放在勒索信中，无法获取其明文，故被加密文件在无私钥情况下无法解密。 其他行为分析 该病毒作者疑似来自俄语系国家，病毒加密会避开以下地域0x7（俄罗斯），0x177（白俄罗斯）,0x17C（乌克兰） 病毒会加密大量扩展后缀文件，几乎包括所有的数据文件类型： 由于病毒会删除系统备份，文件卷影信息，被加密后的文件也无法通过文件恢复的方式找回，系统内大量文件将被加密为”乱码.cov19”形式，且病毒会对文件修改时间进行重设置以防止时间相关的随机生成参数被爆破的可能。 在病毒的实际攻击环境中，同时还发现了攻击者留下的processhacker（一款安全分析工具），NetworkShare v.2.exe（网络共享扫描）等工具，这说明攻击者并不满足于只加密一台机器，攻击者还会尝试扫描攻击局域网内其它机器以扩大战果。 IOCs MD5 aa87be1b17d851905ea3fa5d93223912

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击，目前，它主要针对如WhatsApp，Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余，主要进行代码重叠，开源项目复制粘贴，类的实例化，不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件，由于该恶意软件（其命令和控制（C2）基础结构）与Wolf Research之间的结构重合以及字符串的引用，因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭，但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动，部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用，通过这些策略，诱使用户对这些面板进行访问，其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程，如Google服务，GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后，Wolf Research被关闭但成立了一个名为LokD的新组织，该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘，我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外，在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系，而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：talosintelligence， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动，旨在挖掘比特币，同时使用专门制作的rootkit以避免检测。 该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备，然后该设备下载其他脚本。在受害者设备执行下载的脚本之后，它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行，但这种僵尸网络不仅可能影响基于unix的系统，还可能影响使用Linux子系统的Windows 10系统。 本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程，并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字，暗指一个墨西哥犯罪组织，该组织被认为是该国最危险的贩毒集团之一。尽管如此，他们实际上不太可能是这个犯罪组织的一部分。此外，这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet，讨论了包括恶意软件和网络犯罪在内的各种主题。 而且，僵尸网络在被发现时仍在开发中。但是，重要的是在攻击者危害更多设备之前阻止它。我们观察到，僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具，在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到，例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计，如果Eleethub僵尸网络在一到两年的时间内扩张，它也可以赚取数千美元。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1214/     消息来源：PaloAltoNetworks， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw 一、概述 近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行，随后释放大灰狼远控木马DhlServer.exe，并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe，腾讯安全威胁情报中心将其命名为MoyuMiner。 大灰狼远控木马安装后会完全控制用户系统，上传用户文件，窃取隐私，在用户电脑下载安装其他木马，利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后，会增加系统资源消耗，影响游戏软件的流畅运行。 《魔域》是网龙网络控股有限公司研发的大型网络游戏，在外网存在较多私服版本，这些私服版本游戏由于不受官方控制，容易成为病毒木马的传播渠道，截止目前MoyuMiner已感染超过5000台电脑。腾讯电脑管家和腾讯T-Sec终端安全管理系统均可查杀该病毒。 二、解决方案 针对MoyuMiner挖矿木马，腾讯系列安全软件已支持全面检测和拦截。 三、样本分析 传播大灰狼远控木马的游戏为《魔域》，并且是由私服下载的版本，官网下载的游戏安装包不包含病毒。 通过溯源分析发现，传播病毒的部分游戏文件md5和文件路径如下： 木马伪装成游戏的保护模块C:\Program Files(x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe，随着游戏启动而运行。 TQAT.exe拷贝自身到：C:\Users\Administrator\AppData\Roaming\TQAT.exe，然后释放大灰狼远控木马到Temp目录：C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、 C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe DhlServer.exe申请内存空间，解密出大灰狼DLL文件并通过LoadLibrary加载执行。 大灰狼DLL具有标记SER-V1.8，导出3个函数：DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。 远控木马部分协议字段如下： 大灰狼远控木马利用下载并执行文件的功能下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe，存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll，BthUdTask.exe通过写入垃圾数据增肥文件大小到超过70兆。 BthUdTask.exe解密BthUdTask.dll得到门罗币矿机程序System.exe，然后连接矿池141.255.164.28:5559挖矿 IOCs Md5 1a0f5b63b51eb71baa1b3b273edde9c9 a5532e7929a1912826772a0e221ce50f 1b6a3fa139983b69f9205aabe89d6747 418b11efdd38e3329fbb47ef27d64c14 37dff5776986eb5f6bb01c3b1df18557   Domain fujinzhuang.f3322.net linbin522.f3322.net mine.gsbean.com www.baihes.com   C2 116.202.251.12:8585 114.115.156.39:9624 43.248.188.172:30017   URL http[:]//www.baihes.com:8285/ws.exe http[:]//www.baihes.com:8282/cpa.exe

2019年秋，相关网站发布了一篇文章，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。同年11月下旬，相关搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过进一步的研究表明，它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上，其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1212/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

作为Unit 42主动监控野外传播威胁工作的一部分，我最近发现了新的Hoaxcalls和Mirai僵尸网络活动，是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰，于2015年到期，产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击，我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞，他们还想强调一点，此漏洞不会影响安全的Web网关解决方案，包括代理程序和Web安全服务。 2020年4月24日，第一个利用该漏洞的攻击实例浮出水面，这是同月早些时候首次发现的僵尸网络演化的一部分。这个最新版本的Hoaxcalls支持其它命令，这些命令允许攻击者对受感染的设备进行更大的控制，比如代理通信、下载更新、保持跨设备重启的持久性或防止重启，以及可以发起更多的DDoS攻击。在漏洞细节公布的几天后，就开始在野外使用该漏洞利用程序，这说明了一个事实，这个僵尸网络的作者一直在积极测试新漏洞的有效性。 此后，在5月的第一周，我还发现了一个Mirai变体活动，其中涉及使用相同的漏洞利用，尽管在该活动中，样本本身不包含任何DDoS功能。相反，它们的目的是使用证书暴力进行传播以及利用赛门铁克Web网关RCE漏洞。本文讲述有关这两个活动值得注意的技术细节。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1211/     消息来源：PaloAltoNetworks， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

本周，欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件，沦为挖矿肉鸡。据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告，表示关闭ARCHER的系统进行调查，并且为了防止再次被攻击，重置了SSH（安全外壳协议）密码。 同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题，旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。 周三安全研究员Felix von Leitner在博客中称，位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响，因此被关闭。 周四更多被感染的超级计算机浮出水面，巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞，其管理的计算集群断开互联网连接。 当天晚些时候，德国朱利希研究中心紧接着表示由于发生“IT安全事件”，必须关闭旗下JURECA，JUDAC和JUWELS超级计算机。 就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前，将持续关闭其超级计算机的外部访问。 目前尚不清楚究竟是什么人或组织实施了这些攻击，但据安全公司分析，黑客是通过窃取SSH凭证获得了超级计算机的访问权限，而大学内部人士因为有权访问这些超级计算机而最有嫌疑。 实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。 而且虽然没有证据证明所有的攻击都是由同一组织实施的，但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。     （稿源：快科技，封面源自网络。）

ESET研究人员剖析了部署在针对亚洲两个重要基础设施领域的多个政府机构和主要组织的攻击中的后门程序。 在这篇与Avast研究员的联合博文中，我们提供了一项技术分析，介绍一种不断发展的RAT技术，自2017年末以来，它被用于各种针对公共和私人目标的间谍活动中。我们观察到该RAT的多起攻击实例，而且都发生在中亚地区。目标对象包括电信和天然气行业中的几家重要公司以及政府机构。 此外，我们把最新的间谍活动与之前发表的三篇报道联系起来：卡巴斯基(Kaspersky)对针对俄罗斯军事人员的Microcin的报道、Palo Alto Networks对针对白俄罗斯政府的BYEBY的报道，以及Checkpoint对针对蒙古公共部门的Vicious Panda的报道。此外，我们还讨论了通常是攻击者工具集中一部分的其他恶意软件。我们选择了“Mikroceen”这个名字来涵盖RAT的所有实例，以感谢卡巴斯基关于这个恶意软件家族的最初报告。这里的拼写错误是我们有意的，为了区别已有的微生物概念，同时也保持发音一致。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1206/   消息来源：welivesecurity， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

比特梵德实验室的一支研究团队，刚刚曝光了一款名叫 Mandrake 的 Android 恶意软件。自 2016 年以来，它就一直在窃取用户的数据。Bitdefender 指出，其行为与大多数常见的威胁有所不同。Mandrake 并不致力于感染更多的设备，而是希望从用特定用户手上榨取更多的数据。从这一点来看，这款恶意软件在挑选受害者时，还算相当“挑剔”的。 与现实世界中的生物病毒一样，高传染性意味着更容易被发现。Mandrake 极力在隐藏自己，对特定受害设备的数据窃取利用到了极致。 实际上，根据 BitDefender 的深入分析，可知这款恶意软件被明确指定不得攻击某些地区的用户，包括前苏联、非洲和中东。澳大利亚被高度针对，美国、加拿大和某些欧洲国家也出现了很多感染案例。 Mandrake 于今年早些时候被首次发现，但其历史可追溯到 2016 年。据估计，当时该病毒已感染成千上万的设备，但最近一轮又扩散到了数十万人。 之所以谷歌 Play 商店迟迟未能揪出这款恶意软件，是因为 Mandrake 并未直接将这部分内容包含在程序本体。只有在接到指示之后，才会开启加载恶意行为的过程。 如此一来，它便能够避免被谷歌在早期筛查中发现。一旦将有效负载置于设备上，恶意软件便可立即窃取任何想要的数据，包括网站和应用的登陆凭据。 Mandrake 甚至可以重绘屏幕上的内容，意味着即使受害者看到了“完全正常”的页面、实际上却是在向恶意软件的幕后主使授予权限和相关数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 称之为“迄今为止最强大的 Android 恶意软件之一”，其最终目标是完全控制设备并染指用户账户。 为了不被发现，多年来 Mandrake 已经在谷歌 Play 商店里通过各种明目进行了传播，以及使用不同的开发者名称来打造诸多全新的应用。 此外为了给维持用户眼中“可信赖”的错误印象，开发者对“正经功能”的反馈响应也很是积极，甚至某些 App 还有与之关联的社交媒体活跃账号。 然而一旦恶意软件收集到了所有的数据，它便能够从设备上完全擦除自己的痕迹，导致用户根本不知道自己都经历了什么。 有鉴于此，我们还是建议大家尽量留意开发者的信誉是否良好，且不要通过不靠谱的平台去下载 App 。   （稿源：cnBeta，封面源自网络。）

Unit 42安全团队在过去4个月里观察到了Hangover组织(又名Neon, Viceroy Tiger, MONSOON)使用的BackConfig恶意软件的活动。该组织使用鱼叉式钓鱼攻击，目标包括南亚的政府和军事组织。 BackConfig定制木马具有灵活的插件架构，用于提供各种特性的组件，包括收集系统和键盘记录信息以及上传和执行额外payload的能力。 最初，感染是通过一个武器化的Microsoft Excel (XLS)文档发生的，该文档通过受感染的合法网站发布，url很可能是通过电子邮件共享的。这些文档使用Visual Basic for Applications (VBA)宏代码，如果受害者启用了这些宏代码，就会启动一个由多个组件组成的安装过程，从而导致插件加载程序payload被下载和执行。模块化的特性当然允许对单个组件进行更快的更改，而且对于攻击者来说可能更重要的是，能够阻止沙箱和动态分析系统的方式拆分恶意行为，尤其是在单独分析组件时。 我们基于WildFire的威胁预防平台可以检测到与此组织相关的活动，同时更新PAN-DB URL过滤解决方案中的“恶意软件”类别，用于已识别恶意的或受危害的域名。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1202/   消息来源：PaloAltoNetworks， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接