分类: 恶意软件

Kaseya 遭遇严重勒索软件攻击 REvil 团伙索要高达 7000 万美元赎金

上周五,美国软件开发商 Kaseya Ltd. 遭遇勒索软件攻击,攻击主要集中在 Kaseya VSA 软件上。据悉很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新,并向电脑网络上的系统发布软件更新。援引外媒 The Record 报道,REvil 勒索软件团伙索要7000 万美元的赎金,以发布一个通用的的解码器。 REvil 是一个臭名昭着的勒索软件团伙。勒索软件会锁住受害者的电脑,直到受害者支付数字赎金,通常以比特币形式支付。此次网络攻击似乎是 REvil 有史以来发起的规模最大的一次。据网络安全专家称,此次攻击事件可能已导致全球多达 4 万台电脑被感染。 在暗网博客上发布的一条信息中,REvil 勒索软件团伙声称锁定了超过 100 万个系统: 上周五(02.07.2021)我们对 MSP 供应商发起了一次攻击。超过 100 万的系统被感染。如果有人想就通用解密器进行谈判–我们的价格是 70000000 美元(BTC),我们将公开发布解密器,解密所有受害者的文件,所以每个人都将能够在不到一个小时内从攻击中恢复。如果你对这样的交易感兴趣,请按照受害者的 “readme”文件说明与我们联系。 如果兑现,该要求将成为有史以来最高的勒索软件赎金。Kaseya 发言人没有在现场评论该公司是否会考虑支付 REvil 团伙的赎金要求。在撰写本报告时,Kaseya 勒索软件事件据信已影响到全球数以千计的公司。   (消息及封面来源:cnBeta)

卡巴斯基:IcedID 网银木马新变种正在疯狂传播

卡巴斯基研究人员称,一款 IcedID 网银木马的新变种正在迅速传播,检测峰值甚至达到了每日 100 个。截止 2021 年 3 月,其在德国(8.58%)、意大利(10.73%)、印度(11.59%)和美国(10.73%)等地区的传播力最为显著。与旧版木马相比,新变种利用了修改过的英文下载器,其中包含了经过压缩的 ZIP 格式恶意软件。 至于 IcedID 的感染过程,主要分成下载器和本体两个部分。前者将用户信息发送到服务器端,以供恶意软件本体使用。在将自身映射到内存后,后者会将恶意软件进一步渗透到受害者的系统中。 此外该木马还可启动其它恶意操作,比如允许威胁行为者绕过双因素身份验证(2FA)或运行恶意动态链接库(DLL)的 Web 注入。这两种方法,都允许下载和执行渗透到系统身处的其它恶意模块。 IcedID 攻击的地理位置分布 包括下载电子邮件收集器、Web 注入模块、密码抓取器、以及 hVNC 远程控制模块等组件,以执行 Web 注入、流量拦截、系统接管、以及密码窃取。 至于 QBot 和 IcedID 的区别,主要是新变种变得能够利用 x86-64 CPU 架构、从服务器端移除了假配置、且核心也略有改动,因为作者决定不将 shellcode 交换为包含一些加载程序数据的常规 PE 文件。   QBot 攻击的地理位置分布 最后,网络攻击涉及的一些 IP / 域名,涵盖了Karantino[.]xyz、uqtgo16datx03ejjz[.]xyz、188.127.254[.]114、以及 Apoxiolazio55[.]space 。   (消息及封面来源:cnBeta)

新的勒索软件被发现可以利用虚拟机发动攻击

据赛门铁克威胁猎手团队称,网络犯罪分子正在通过虚拟机运行越来越多的恶意载荷。Help Net Security调查了一次尝试性的勒索软件攻击,该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与记录的RagnarLocker攻击使用Windows XP的虚拟机不同,新的威胁似乎是运行Windows 7。 此外,根据赛门铁克威胁猎手团队的Dick O’Brien的说法,该虚拟机是通过一个恶意的可执行程序部署的,该程序在行动的侦察和横向移动阶段就已经被预先安装。 到目前为止,研究人员无法确定虚拟机中的恶意软件载荷是Mount Locker还是Conti勒索软件。后者在Endpoint安全软件被检测到,需要一个用户名和密码组合,这是以前Conti勒索软件活动的特征。 假设该恶意软件驻留在虚拟机的硬盘上,一旦操作系统被完全启动,恶意程序就可以跟随自动启动。可执行文件会检查主机是否是活动目录控制器,而在其他情况下,它采用俄罗斯键盘布局来识别,如果是的话就终止操作。 赛门铁克威胁猎手团队解释说:”一种可能的解释是,攻击者是一个同时拥有Conti和Mount Locker控制权限的恶意软件联盟团伙。他们可能试图在虚拟机上运行一个有效载荷(无论是Conti还是Mount Locker),当它判断无法工作时,选择在主机上保底运行Mount Locker。” 我们知道,大多数攻击者和勒索软件运营者喜欢使用合法的、非目的性的工具来加强他们的活动,同时尽可能长时间地保持不被发现。   (消息及封面来源:cnBeta)

官方 Python 存储库被发现六款加密货币挖矿恶意软件

专注于软件供应链安全管理的研究公司 Sonatype,刚刚在官方的 Python 软件存储库(PyPI)上发现了六个包含不同恶意软件的 Python 包。这些恶意内容被藏于 setup.py 的安装说明文件中,继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。 Nexus 防火墙组件的分析过程(图自:Sonatype) 过去数月,这几款恶意软件包被下载量将近 5000 次,且发布者使用了 nedog123 的用户名。 learninglib 中包含的 maratlib 依赖项 以下是对应的六款恶意软件的名称与下载数: ● maratlib:2371 ● maratlib1:379 ● matplatlib-plus:913 ● mllearnlib:305 ● mplatlib:318 ● learninglib:626   LKEK 也指向了 maratlib 依赖项 其中一些明显利用了错误的单词拼接方法,并且故意碰瓷 PyPI 上热门的机器学习包文件(比如用李鬼 mplatlib 来假冒官方的 matplotlib)。 maratlib 代码中包含了严重的混淆 尽管此类攻击似乎只是为了窃取部分系统资源,但供应链安全攻击还是让 Sonatype 感到十分紧张。 0.6 代码中高亮显示的 GitHub 网址 即便代码被严重加花、并从 GitHub 上调用了其它包,但 Sonatype 还是详细解释了他们是如何检测到加密货币挖矿类恶意软件的。 aza2.sh 中的 Bash 脚本,也被发现了某些版本的 maratlib 。 最后,Sonatype 指出,此类恶意软件不大可能影响大多数运行高级反病毒防护软件的普通用户,而是更加针对那些拥有高性能 Linux 机器的机器学习研究人员们。   (消息及封面来源:cnBeta)

Clop 勒索软件团伙在警方展开突袭行动后又曝光了两位受害者

据外媒报道,就在几天前,乌克兰警方逮捕了Clop勒索软件背后组织的6名成员。上周,乌克兰国家警察(National Police of Ukraine)跟韩国和美国的官员一起进行了一次执法行动,他们逮捕了多名据信跟Clop勒索软件团伙有关的嫌疑人。这被认为是国家执法机构首次大规模逮捕涉及勒索软件的团伙。 乌克兰警方还称,他们已成功关闭了该团伙使用的服务器基础设施。但行动似乎并不完全成功。 尽管Clop行动在被捕后保持沉默,但该团伙本周在其暗网站上公布了一批新的机密数据,声称这些数据是从两位新受害者–一家农用设备零售商和一家建筑事务所–那里窃取的。 尽管上周遭到了史无前例的执法打击,但被逮捕的嫌疑人可能只包括那些在Clop行动中扮演次要角色的人。网络安全公司Intel 471表示,它认为上周的逮捕行动针对的是洗钱活动,该团伙的核心成员并没有被捕。 这家安全公司表示:“我们认为,Clop背后的任何核心人物都没有被捕。对Clop的总体影响预计不大,尽管执法部门的关注可能会导致Clop品牌被放弃,就像我们最近看到的其他勒索软件组织如DarkSide和Babuk。” Clop似乎仍在运营,但该集团能运营多久还有待观察。今年,执法部门不仅多次打击了勒索软件集团,而且俄罗斯本周也证实将开始跟美国合作定位网络罪犯。 截止到目前,俄罗斯在对付黑客方面一直采取不干涉的态度。路透社周三报道称,俄罗斯联邦安全局(FSB)局长Alexander Bortnikov表示,FSB将在未来的网络安全行动中跟美国当局合作。 Intel 471此前表示,它不认为Clop的主要成员在上周的行动中被捕,因为“他们可能住在俄罗斯”,而俄罗斯长期以来一直拒绝采取行动,这为网络罪犯提供安全港。 Clop勒索软件团伙于2019年初首次被发现,此后该组织跟多起备受瞩目的攻击事件被发现存在关联。这些事件包括美国制药巨头ExecuPharm在2020年4月的数据泄露事件、Accellion最近的数据泄露事件。   (消息及封面来源:cnBeta)

新的罗宾汉式恶意软件只针对 Windows 上的盗版软件用户

安全公司Sophos发表了一份新的研究报告–《“义务劳动”式恶意软件在阻止海盗湾的同时赶走软件盗版者》,其中详细介绍了一个网络攻击活动,该活动以盗版软件的用户为目标,恶意软件旨在阻止对托管盗版软件的网站的访问。 恶意软件被伪装成流行游戏的破解版,如《Minecraft》和《Among Us》,以及微软Office、安全软件等生产力应用程序。这种恶意软件并不寻求窃取密码或向计算机所有者勒索赎金,而是阻止受害者访问一长串网站,包括许多分发盗版软件的网站。从本质上讲,这是一个自带干粮义务劳动的恶意软件,它只针对软件盗版者。 伪装后的恶意软件通过BitTorrent协议从ThePirateBay(领先的数字文件共享网站)上的一个账户分发。这些链接和恶意软件文件也被托管在Discord上。 “从表面上看,对手的目标和工具表明这可能是某种粗制滥造的反盗版义务劳动。然而,攻击者庞大的潜在目标受众–从游戏玩家到商业专业人士–再加上过时的和新的工具、技术和程序(TTP)的奇怪组合,以及被恶意软件封锁的奇怪的网站列表,都使这次行动的最终目的有点模糊不清。” – 安德鲁-勃兰特,索福斯公司首席威胁研究员 修改HOSTS文件是一种粗略的方法,可以防止计算机能够到达一个网站地址。它很有效,是的,但任何人都可以从HOSTS文件中删除条目来解决问题。 恶意文件是面向64位Windows 10编译的,然后用假的数字证书签名。在现代Windows电脑上,该恶意软件必须以管理员权限用户的身份运行,因此,更有意识和谨慎的用户将能够轻松避免攻击。该恶意软件在运行时还会触发一个假的错误信息,要求人们重新安装软件。Sophos研究人员认为这可能是为了打消怀疑。   (消息及封面来源:cnBeta)

微软警告 SolarMarker 恶意软件正在利用狡猾的 SEO 中毒手段来传播

微软安全情报团队刚刚通过 Twitter 平台发出了一则警告,提醒广大软件用户注意提防一款利用了古老且狡猾的手段来传播的新型恶意软件。据悉,疑似 SolarMarker 幕后的恶意软件操纵者,正在通过所谓的“搜索引擎优化中毒”(SEO Poisoning)手段,来将恶意代码植入受害者的计算机。 具体说来是,微软指出这涉及利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档。 然后这些链接会启动一系列的重定向,最终将毫无戒心的用户引导至托管有恶意软件的地址。 微软安全情报团队在一系列推文中解释称:攻击者试图通过对搜索结果进行排名的 PDF 文档来实施传播。 为达成这一目的,攻击者在这些文档中填充了超过 10 页的关键词、且涵盖的主题也十分宽泛,从‘保单’到‘合同’、乃至‘SQL 数据库中的 join in 查询指令用法’和‘数学答案’。 接着,微软提到了 eSentire 的一篇博客文章,指出攻击者此前曾利用谷歌网站来托管这些受感染的文档。 而在近期的活动中,微软研究人员又注意到攻击者已转向亚马逊云服务(AWS)和 Strikingly 。 最近几周,不少商业专业人士被黑客所操控、且托管于 Google Sites 上的网站所引诱,并在不经意间安装了一种已知但新兴的远程访问木马(简称 RAT)。 eSentire 指出,攻击始于潜在受害者对商业表单的搜索,比如发票、问卷和收据。但在利用谷歌搜索重定向来层层设陷的情况下,一旦受害者计算机上的 RAT 被激活,攻击者即可向目标计算机发送指令、并将其它恶意软件(比如勒索软件),上传到受感染的系统上。 此外上文中提到的 SolarMarker 也是一款后门型的恶意软件,能够从浏览器窃取数据和相关凭据。 考虑到“SEO 中毒”型的恶意软件攻击防不胜防,微软建议广大计算机用户升级到带有最新安全措施的操作系统和相关配套软件。 与此同时,该公司的 Microsoft Defender 反病毒软件仍会持续开展检测、以阻止在诸多环境中的数以千计的此类 PDF 文档。 最后,eSentire 威胁情报经理 Spence Hutchinson 曾于 4 月接受 ThreatPost 采访时称,安全领导者与他们的团队,必须知晓 SolarMarker 幕后团队在商业危害上的斑斑劣迹。     (消息及封面来源:cnBeta)

Avaddon 勒索软件背后的黑客向安全研究人员主动寄出解密密钥

最近,勒索软件困扰着美国和世界上的许多大公司。不久前,美国的一次攻击关闭了一条输油管,导致一些地区出现燃料短缺,拥有该输油管的公司支付了数百万美元来解密其文件。另一个备受瞩目的勒索软件攻击看到一家美国食品公司向黑客支付了数百万美元,以解密他们的系统并防止文件被泄露。 虽然勒索软件攻击非常有效,并且可以成为攻击者的大笔财富,但Avaddon背后的组织正在关闭,并且已经为所有受害者发布了解密密钥。 报告指出,一封假装来自联邦调查局的电子邮件已经发出,其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给来自EMSIsoft的名为Fabian Wosar的安全研究员和来自Coverware的Michael Gillespie。 这两名研究人员调查了电子邮件所附的软件,并确定它是无害的,并且包含了为成为Avaddon勒索软件受害者的用户提供的解密密钥。Emsisoft与BleepingComputer分享了一个测试解密器,实验证明可以解密一个用Avaddon最近的样本加密的虚拟机。 勒索软件背后的一个或多个黑客发布了2934个解密密钥,每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序,任何该软件的受害者都可以用它来免费恢复他们的文件,该解密程序文件可以在这里访问到: https://www.emsisoft.com/ransomware-decryption-tools/avaddon 当勒索软件被关闭时,软件背后的黑客发布解密密钥作为一种善意的姿态,这并不是完全不常见。然而,这有可能表明该软件的一个新版本即将到来。在这个例子中,与Avaddon有关的暗网网站已经被关闭,表明该行动可能已经结束。   (消息及封面来源:cnBeta)

美司法部指控一拉脱维亚女性协助开发 Trickbot 恶意软件

据外媒报道,美国司法部(DOJ)在一份新闻发布会上称,一名拉脱维亚妇女因涉嫌开发Trickbot恶意软件而受到指控,该恶意软件使数百万台电脑受到感染,目标是学校、医院、公共设施和政府部门。DOJ称,Alla Witte是一个名为Trickbot集团的犯罪组织的一部分,该组织在俄罗斯、白俄罗斯、乌克兰和苏里南活动。 据称,她帮助开发了用于勒索软件要求和支付的恶意软件。该部门表示,受害者将收到一份通知,通知会告知他们的电脑已被加密并被指示通过一个跟Trickbot Group相关的比特币地址购买特殊软件以破解他们的文件。 据美DOJ介绍称,恶意软件Trickbot的目的是捕获网上银行的登录凭证以获取其他个人信息–包括信用卡号、电子邮件、密码、社会安全号码和地址。DOJ称,该团伙涉嫌利用窃取的个人信息“进入网上银行账户、进行未经授权的电子资金转账并通过美国和外国的受益人账户洗钱”。 去年10月,FBI曾向医院和医疗保健供应商发出过警告,攻击者会利用Trickbot来部署Ryuk和Conti等勒索软件以构成可信的勒索软件威胁。 Witte于2月6日在迈阿密被捕。她被控19项罪名,其中包括合谋实施计算机欺诈和严重身份盗窃、合谋实施影响金融机构的电信和银行欺诈、严重身份盗窃和合谋洗钱。   (消息及封面来源:cnBeta)

微软发出 StrRAT 恶意软件警告:不要点击不信任的 PDF 附件

请不要贸然打开电子邮件中的 PDF 附件,除非你完全确定文件的来源以及是谁发送给你的。近日,微软的安全情报团队发现了新型恶意软件攻击,通过包含恶意的 PDF 附件进行大规模传播。 这些 PDF 附件中包含了名为 StrRAT,这是一个可远程访问的木马程序,可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外,微软研究人员还发现,这种恶意软件可以将自己伪装成伪造的勒索软件。 关于该恶意软件的推文中,微软表示:“一旦系统被感染,StrRAT 就会连接 C2 服务器。1.5版明显比以前的版本更加模糊和模块化,但后门功能大多保持不变:收集浏览器密码,运行远程命令和PowerShell,记录键盘输入等等”。 微软表示本次恶意活动主要通过电子邮件方式船舶,鼓励人们点击一个看似 PDF 的附件文件,但实际上包含恶意文件。微软说它的Microsoft 365 Defender可以保护系统免受StrRAT的影响,基于机器学习的保护也可以检测和阻止计算机系统上的恶意软件。   (消息及封面来源:cnBeta)