据Bleeping Computer网站8月28日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索实力。 近期，该团伙曾遭到数字安全巨头 Entrust组织的DDoS攻击，这是由于在6月18日，Entrust 的数据在一次攻击中被 LockBit 窃取。Entrust拒绝支付赎金，该团伙宣布在 8 月 19 日公布所有被盗数据，但Entrust发动的DDoS攻击成功阻止了这次公开行为。 上周，LockBit的对外账号LockBitSupp发布消息称，该组织已重新开展业务，拥有更大的基础设施，可以进行不受 DDoS 攻击影响的数据泄露，并表示正在招募 dudosers（DDoSers），试图将 DDoS 作为一种勒索策略。经历了来自Entrust的攻击，该团伙似乎认为三重勒索、加密 + 数据泄漏 +DDoS的攻击组合方式不仅威力更大，也更加有趣。 可能是出于对攻击的报复，LockBit承诺会泄露从Entrust 窃取的超过 300GB数据，并宣称“要让全世界都知道你的秘密”。 LockBit表示，他们将与任何与他们联系的人私下分享 Entrust 数据，目前看来LockBit似乎信守了承诺，在上周末发布了一个名为“entrust.com”的种子文件，其中包含 343GB大小的文件。 Lockbit 泄露的 Entrust 数据 LockBit希望Entrust 的数据可以从多个渠道公开，除了在他其自有网站上发布之外，他们还通过至少两个文件存储服务共享了 Torrent。 为了防止进一步的 DDoS 攻击，LockBit已在受害者的赎金记录中使用唯一链接，此外还增加镜像和复制的服务器数量，并计划通过防弹存储服务（bulletproof storage service）及 Clearnet 访问被盗数据，从而提高被盗数据的可用性。 自 2019 年 9 月以来，LockBit 勒索软件已经活跃了近三年，近期除了针对Entrust进行攻击，还攻陷了意大利税务局，并窃取了78GB的个人数据信息。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343132.html 封面来源于网络，如有侵权请联系删除

安全内参8月25日消息，作为服务全球多家大型航空公司的技术提供商，Accelya表示，近期刚刚遭遇勒索软件攻击，部分系统已经受到影响。 Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。 勒索软件公开发布窃取数据 8月23日，该公司披露，其聘请解决此事的两家安全厂商发现，Accelya内部数据已经被发布至专门的勒索泄密网站。 上周四（8月18日），AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。 Accelya公司一位发言人称，他们聘请的专家设法“隔离”了勒索软件，阻断其在系统内进一步传播。 这位发言人表示，“我们的取证调查人员证实，受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统，横向移动到我们客户的环境当中。” 他们还补充称，Accelya公司正在审查上周AlphV泄露网站上发布的数据，并将向受到信息泄露影响的客户发布通报。 Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台，与9个国家共250多家航空企业保持着合作关系。 2022年，航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月，印度香料航空（SpiceJet）和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。 AlphV/BlackCat勒索软件是谁？ AlphV/BlackCat是当前最活跃的勒索软件团伙之一，上个月刚刚对路易斯安那州亚历山大市政府发动攻击，今年春季还先后攻击了多所大学。 同样是在上个月，该团伙又先后攻击了卢森堡两家能源公司，以及日本电子游戏巨头万代南梦宫。 根据几位专家的介绍，AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”，而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小，最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。 该团伙的一位代表在今年2月接受了美媒The Record的采访，声称大多数主要勒索软件团伙间都有着某种形式的关联。 说起AlphV跟BlackMatter及DarkSide之间的关系，这位代表表示，“可以这么说，我们借用了他们的优势，同时回避了他们的劣势。” FBI在4月的警报中提到，截至今年3月，执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/46226 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。” MagicWeb与另一个名为FoggyWeb的工具有相似之处，据评估，它已部署用于在补救工作期间维护访问权限和抢占驱逐，但只有在获得对环境的高度特权访问并横向移动到AD FS服务器之后。 虽然FoggyWeb具有专门的功能来提供额外有效负载和从Active Directory Federation Services（AD FS）服务器窃取敏感信息，但MagicWeb是一个流氓DLL（“Microsoft.IdentityServer.Diagnostics.dll”的后门版本），它通过身份验证旁路促进对AD FS系统的秘密访问。 “Nobelium部署MagicWeb的能力取决于能否访问对AD FS服务器具有管理权限的高特权凭据，从而使他们能够在其访问的系统上执行任何恶意活动。”微软表示。 此前，一项以APT29为主导的针对北约附属组织的行动被披露，目的是获取外交政策信息。 具体来说，这需要禁用名为Purview Audit（以前称为高级审核）的企业日志记录功能，以从Microsoft 365帐户中获取电子邮件。Mandiant说：“APT29将继续展现卓越的操作安全性和规避战术。” 黑客在最近的操作中使用的另一种新策略是使用密码猜测攻击来获取与休眠帐户相关联的凭据，并将其注册为多重身份验证，从而允许其访问组织的VPN基础设施。 APT29仍然是一个多产的威胁组织。上个月，Palo Alto Networks Unit 42标记了一场网络钓鱼活动，该活动利用Dropbox和Google Drive云存储服务进行恶意软件部署和其他入侵后行动。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Microsoft Security 博客官方发布的最新《Cyber Signals》报告指出，勒索软件即服务 (RaaS)日益猖獗，但是常规的软件设置就能应对，可以阻止大部分勒索软件攻击。此外，报告中还发现客户错误配置云服务、依赖不可靠的安全软件、通过默认宏设置流量勒索软件，这导致微软制造了某种勒索软件攻击，即人为操作的勒索软件。 在报告中指出：“你可能会使用某个热门应用来实现某种目的，但是这并不意味着攻击者将其武器化以实现另一个目标。其中最为常见的是，应用的‘经典’配置意味着它的默认状态，允许该组织内的任意用户进行广泛访问。不要忽视这种风险，也不要担心中断而更改应用设置”。 那么解决方案是什么呢？ 微软威胁情报分析师 Emily Hacker 建议删除重复或未使用的应用程序，这有助于防止有风险的程序成为勒索软件攻击的门户。其次，注意授予 TeamViewer 等应用程序的权限。 Hacker 发现的其他一些勒索软件端点包括密码被盗、身份不受保护、安全产品丢失或禁用以及修补速度缓慢，她为此提供了身份验证、解决安全盲点以及保持系统最新等解决方案。Hacker 分析认为，与实施增强的安全协议相比，早期和常规的预防措施成本更低。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308853.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，多米尼加共和国的多米尼加农业研究所（Instituto Agrario Dominicano）遭到了 Quantum 勒索软件的疯狂攻击，该勒索软件加密了整个政府机构的多项服务和工作站，导致部分工作暂时停滞。 当地媒体报道称，勒索软件攻击发生在 8 月 18 日，严重影响了多米尼加农业研究所（IAD）的运作。（IAD 隶属于农业部管理，主要负责执行多米尼加共和国的土地改革计划，是该国重要的政府机构）。 攻击者索要 60 万美元赎金 IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏，此次勒索软件攻击导致 IAD几乎所有服务器出现问题（ 四个物理服务器和八个虚拟服务器出现故障）。此外，，因为数据库、应用程序、电子邮件等都受到影响，数据信息也基本都遭受了破坏。 值得一提的是，IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件，缺乏专业的安全部门。此次事件，攻击者索要 60 多万美元赎金。 攻击事件发生后，多米尼加共和国立即开始响应，经过家网络安全中心（CNCS）分析后发现，攻击者的 IP 地址来自美国和俄罗斯。 攻击背后的勒索软件组织 Bleeping Computer 从 Venezuela BT 处获悉，后者表示 IAD 不太可能支付赎金，60 万美元超出了他们的负担范围。 从媒体披露的信息来看，Quantum 勒索软件声称已经窃取了超过 1TB 的数据，最初要求 IAD 支付 65 万美元的赎金，并威胁如果 IAD 不公开支付赎金，就会立即泄露这些数据。 赎金说明（来源：BleepingComputer） 据了解，Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支，主要接管了之前 MountLocker 勒索软件操作，此外，Quantum 与对 PFC 的攻击有关，影响了 650 多个医疗机构，正在成为针对企业的勒索软件操作中的主要角色。 MountLocker 从 2020 年 9 月开始首次部署在攻击中，随后以不同的名称多次更名，主要使用了 AstroLocker、XingLocker 等，最后是 Quantum。 更名为 Quantum 发生在 2021 年 8 月，在此之后，该品牌的重塑从未变得特别活跃，行动大多处于休眠状态，直到 Conti 勒索软件操作开始关闭，其成员开始寻找其他操作进行渗透。 从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看，一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342859.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站8月23日消息，网络安全研究人员发现了多个恶意软件传播活动，目标针对下载盗版软件的互联网用户。 该活动使用 SEO 投毒和恶意广告推高这些“带毒”的共享软件网站在 Google 搜索结果中的排名，据发现此事件的Zscaler 称，这些盗版软件包括了3DMark、Adobe Acrobat Pro等时下热门应用。多数情况下，这些软件安装程序的恶意可执行文件位于文件托管服务上，因此登陆页面将受害者重定向到其他服务以下载这些文件。 含恶意盗版软件的高排名搜索结果 网站重定向流程图 这些传播恶意文件的重定向站点名称不那么花哨，并且位于“xyz”和“cfd”顶级域上。下载的文件包含一个 1.3MB、有密码保护的 ZIP 文件，以此来逃避 AV 扫描，此外还附带一个包含解密密码的文本文件。由于采用字节填充技术，ZIP解压后的文件大小有600M，这是许多恶意软件遵循的常见反分析做法，其中包含的可执行文件是一个恶意软件加载程序，它会生成一个编码的 PowerShell 命令，该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe)，以逃避沙盒分析。 cmd.exe 进程会下载一个 JPG 文件，该文件实际上是一个 DLL 文件，其内容反向排列。加载程序以正确的顺序重新排列内容，派生出最终的 DLL，即 RedLine Stealer 有效负载，并将其加载到当前线程中。 获取恶意图像文件 RedLine Stealer是一种强大的信息窃取恶意软件，它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等。 今年6月，FreeBuf也曾报道过类似事件，信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播。 为了避免上述情况发生，用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342855.html 封面来源于网络，如有侵权请联系删除

安全内参8月24日消息，距巴黎市中心28公里，拥有1000张床位的Center Hospitalier Sud Francilien（简称CHSF）医院上周日（8月21日）遭遇网络攻击，迫使其将患者转诊至其他机构，并推迟了手术预约。 CHSF为当地60万居民提供诊疗服务，因此任何运营中断，都有可能给身处危急关头的病患造成健康甚至是生命威胁。 经谷歌翻译，CHSF发布的公告称，“此次计算机网络攻击，导致我院业务软件、存储系统（特别是医学影像）及与患者入院相关的信息系统暂时无法访问。” 该医院的管理部门尚未发布进一步事态更新，目前IT系统中断引发的运营紧缺也仍未结束。 CHSF的医生们已经在对需要紧急护理的病患进行评估，如果迫切需要医学影像诊疗，病患们将被转移至另一处医疗中心。 法媒《世界报》称，攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。 一位警方消息人士向《世界报》透露，“目前，巴黎检察官办公室旗下的网络犯罪部门，已经启动了对这一入侵计算机系统，并企图实施勒索的有组织黑客团伙的调查”，由“调查工作由打击数字犯罪中心（C3N）的宪兵负责。” 幕后黑手或为LockBit 3.0 法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象，并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。 Riess-Marchive表示，根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点，这次事件应该不是其所为。相比之下，LockBit 3.0的攻击目标则要广泛得多。 如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手，那他们就违反了RaaS的“行规”，即不得由附属组织向医疗保健服务商的系统发动加密攻击。 目前，这场事端究竟是谁所为还不明确，LockBit 3.0的勒索网站上也还没挂出CHSF的信息，所以前面的一切分析仍然只是假设。 转自 安全内参，原文链接：https://www.secrss.com/articles/46196 封面来源于网络，如有侵权请联系删除

安全内参8月23日消息，欧洲国家希腊最大的天然气分销商DESFA在上周六（8月20日）证实，由于遭受网络攻击，该公司出现了一定程度的数据泄露与IT系统中断。 在向当地新闻媒体发布的公开声明中，DESFA称有黑客试图渗透其网络，但因为IT团队快速反应而被阻断。然而，对方仍在有限范围内实施了入侵，导致部分文件和数据被访问并可能“外泄”， DESFA为此停用了多项在线服务，希望保护客户数据。而且随着专家们努力进行恢复，各项服务已经逐渐恢复运行。 DESFA向消费者保证称，此次事件不会影响到天然气供应，所有天然气输入/输出点均保持正常容量运行。 该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部，希望在最短时间内以最低影响解决问题。 最后，DESFA宣布绝不会与网络犯罪分子对话，也就不存在进行赎金谈判。 Ragnar Locker宣布对事件负责 上周五（8月19日），Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前，并在2021年发起过多起大型网络攻击活动。 Ragnar Locker在今年活跃度仍然不低，但攻击数量上较去年有所下降。FBI最近一份报告提到，Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。 该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单，展示了一小部分似乎不涉及机密信息的被盗文件。 此外，Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞，并向对方告知了这一情况。这可能是该团伙勒索行动的一部分，但据称受害者并未做出回应。 如果受害组织不满足赎金要求，该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。 图：DESFA公司名字已被挂上Ragnar Locker勒索页面 此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖，因此不可避免要产生问题。 预计在即将到来的冬季，供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演，届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。 转自 安全内参，原文链接：https://www.secrss.com/articles/46146 封面来源于网络，如有侵权请联系删除

勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭，这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬，数字安全机构 Entrust 确认在今年 6 月遭到网络攻击，攻击者从网络中窃取了部分数据。 当时消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但我们无法独立确认背后的原因。上周末，LockBit 宣布对本次攻击负责，并于上周五开始公开泄漏的数据。 在描述中提供了 30 张样本截图，显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久，研究人员开始报告说，勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。 昨天，安全研究小组 VX-Underground 从 LockBitSupp（LockBit 勒索软件运营的公众账号）处获悉，其 Tor 站点遭到了攻击，而且他们认为和 Entrust 有关联。 LockBitSupp 表示：“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了，很显然这是 Entrust 的手笔，不然还有谁需要呢？此外，在攻击日志中就提到了要求移除这些数据”。 从这些 HTTPS 请求中可以看出，攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息，告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示，对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。 作为对攻击的报复，LockBit 的数据泄露站点现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传，这将使其几乎不可能被删除。 此外，威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明，最初的赎金要求为 800 万美元，后来降至 680 万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307537.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Donot Team黑客，又名APT-C-35，为其Jaca Windows恶意软件框架添加了新功能。 Donot团队自2016年以来一直活跃，重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。 2021年10月，大赦国际发布的一份报告表示，“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件，针对多哥著名人权捍卫者进行攻击。过去，在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施，与印度网络安全公司Innefu Labs之间的联系。” 攻击链从包含恶意附件的鱼叉式网络钓鱼电子邮件开始，一旦启用Microsoft Office宏，就会加载下一阶段的恶意软件，利用公式编辑器漏洞打开RTF文件，并通过远程模板注入。 “Morphisec Labs 确定了一个新的DoNot感染链，它将新模块引入Windows框架。在这篇文章中，我们详细介绍了shellcode加载器机制及其后续模块，确定了浏览器窃取器组件中的新功能，并分析了反向shell的新DLL变体。DoNot最新的鱼叉式网络钓鱼电子邮件活动使用了RTF文件针对政府部门，包括巴基斯坦国防部门。”Morphisec发布的报告中写道。 该组织现在改进了其Jaca Windows恶意软件框架，例如，它增强了浏览器窃取模块。与以前版本的模块不同，新版本使用前一阶段下载的四个附加可执行文件 (WavemsMp.dll)，而不是在DLL中实现窃取功能。每个附加的可执行文件都允许从Google Chrome和/或Mozilla Firefox中窃取信息。 在最近的攻击中，该组织使用RTF文档发送消息，欺骗用户启用宏。启用宏后，将一段shellcode注入内存，然后从C2服务器下载并执行第二阶段的shellcode。 第二阶段的shellcode从不同的远程服务器获取主DLL文件（“pgixedfxglmjirdc.dll”），它负责向C2服务器发送信号通知感染成功。它向服务器发送受感染机器的系统信息，然后下载下一阶段DLL，即模块下载器“WavemsMp.dll”。 这个阶段的主要目的是下载并执行用于窃取用户信息的模块。为了了解当前感染中使用了哪些模块，恶意软件与另一台C2服务器进行通信。恶意软件从嵌入式链接中获取新地址，该链接指向包含加密地址的Google Drive文档。 攻击者还实现了一个反向shell模块，该模块被重新编译为DLL。其功能保持不变，打开攻击者机器的套接字（位于162.33.177[.]41），创建一个新的隐藏cmd.exe进程并将STDIN、STDOUT和STDERR设置为套接字。 研究人员总结道：“防御像DoNot团队这样的APT需要深度防御策略，该策略使用多个安全层，以确保任何给定层被破坏时的冗余。最难防御的攻击是那些在运行时以应用程序为目标的攻击——比如这里详述的Windows框架。这是因为流行的安全解决方案（例如NGAV、EDR、EPP、XDR等）侧重于检测磁盘或操作系统上的异常情况，它们在运行时检测或阻止内存攻击的能力是有限的。在一定程度上，它们会导致严重的系统性能问题和错误警报，因为必须将它们调到最高警告级别。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文