恶意软件包括勒索软件、病毒、广告软件、蠕虫、特洛伊木马或任何其他可以进入系统的恶意软件程序，通常在未经用户同意的情况下感染并获得对受害计算机的访问权限，进而达成窃取信息、破坏运营、需求付款等目的。目前网络空间软件攻击事件频现，企业巨头同样面临着不幸中招的局面。 总部位于新泽西州的信息技术 (IT) 产品和服务提供商 SHI International 已证实，在上周末，其网络遭受到恶意软件攻击。SHI 声称是北美最大的 IT 解决方案提供商之一，2021 年的收入为 123 亿美元，在美国、英国和荷兰的运营中心在全球拥有 5,000 名员工。它还表示，它为全球超过 15,000 家企业、企业、公共部门和学术客户组织提供服务。 针对本次专业恶意软件攻击事件，SHI 在一份声明中说：“在7月4日美国国庆日假期的周末，SHI 成为了专业恶意软件协同攻击的目标。由于 SHI 的安全性和 IT 团队的快速反应，该事件被迅速发现并采取了相应的措施，从而将本次攻击对 SHI 系统和运营的影响降到了最低。” 攻击发生后，SHI 还在其网站上添加了一条消息，警告客户和访问者，由于“持续中断”，其信息系统正在进行维护。该消息后来被公司博客上发布的恶意软件攻击声明所取代。 SHI 维护消息 自攻击以来，一些网站页面也返回Amazon CloudFront/S3 SHI 错误，这种错误一直持续到本文发表。在评估其系统的完整性和调查安全事件时，SHI 被迫将其部分系统下线，包括公司的公共网站和电子邮件。 从周三早上开始，SHI 的工作人员在攻击后关闭了所有电子邮件服务器重新上线。它的 IT 专家也在努力恢复对网络上其他受影响系统的访问。该公司补充说：“虽然对该事件的调查正在进行中——SHI 正在与包括 FBI 和 CISA 在内的联邦机构联络——没有证据表明客户数据在攻击期间被泄露。”SHI 还表示，它将在整个过程中让客户保持最新状态，并且在恶意软件攻击期间，其供应链中的第三方系统没有受到影响。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/e_7-eq_AIBnQ7Utgka-kCA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： “Hive勒索软件即服务”(RaaS)计划的幕后运营者已经彻底修改了他们的文件加密软件，完全迁移到Rust，并采用了更复杂的加密方法。 Hive于2021年6月首次被观察到，现已成为最多产的RaaS组织之一，仅在2022年5月就与Black Basta和Conti一起发生了17次攻击事件。 从GoLang到Rust的转变使Hive成为继BlackCat之后第二种用编程语言编写的勒索软件，使该恶意软件能够获得额外的好处，如内存安全性、对底层资源更深入的控制以及广泛密码库的使用。它还提供了使恶意软件抵抗逆向工程的能力，使其更具规避性。此外，它还具有停止与安全解决方案相关的服务和进程的功能，这些服务和进程可能会阻止其追踪。 Hive和其他勒索软件系列没有什么不同，它会删除备份以防止恢复，但在新的基于Rust的变体中，显著变化的是它的文件加密方法。 MSTIC解释说:“它不是在每个加密的文件中嵌入一个加密的密钥，而是在内存中生成两组密钥，用它们来加密文件，然后将这两组密钥集加密并写入它加密的驱动器的根目录，这两组密钥的扩展名都是.key。” 为了确定两个密钥中哪一个用于锁定特定文件，将加密文件重命名为包含密钥的文件名，然后后跟下划线和Base64编码的字符串(例如，”C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8″)，该字符串指向对应的.key文件中的两个不同位置。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

根据BleepingComputer消息，一种名为RedAlert的新勒索软件对企业网络进行攻击，目前已经有Windows和Linux VMWare ESXi系统中招。MalwareHunterTeam 在今天发现了这款新的勒索软件，并在推特上发布了关于该团伙数据泄露站点的各种图片。 根据勒索信中使用的字符串，勒索软件被称为“RedAlert”。但从已获得的消息，勒索者在内部将其称为“N13V”，如下所示。 RedAlert / N13V 勒索软件命令行选项 来源：BleepingComputer Linux 加密器是针对 VMware ESXi 服务器而创建的，其命令行选项允许勒索者在加密文件之前关闭任何正在运行的虚拟机。 命令行选项的完整列表如下所示。 -w      Run command for stop all running VM`s -p      Path to encrypt (by default encrypt only files in directory, not include subdirectories) -f      File for encrypt -r      Recursive. used only with -p ( search and encryption will include subdirectories ) -t      Check encryption time(only encryption, without key-gen, memory allocates …) -n      Search without file encryption.(show ffiles and folders with some info) -x      Asymmetric cryptography performance tests. DEBUG TESTS -h      Show this message 当使用 ‘ -w’ 参数运行勒索软件时，Linux 加密器将使用以下 esxcli 命令关闭所有正在运行的 VMware ESXi 虚拟机： esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | tail -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’ 在加密文件时，该勒索软件利用NTRUEncrypt公钥加密算法，该算法支持各种 “参数集”，提供不同的安全级别。 RedAlert/N13V 的一个有趣特性是“-x”命令行选项，它使用这些不同的 NTRUEncrypt 参数集执行“非对称加密性能测试”。然而目前还不清楚是否有办法在加密时强制使用特定的参数集，以及/或者赎金软件是否会选择一个更有效的参数集。目前已知唯一使用此加密算法的其他勒索软件操作是FiveHands。 NTRUEncrypt 加密速度测试 来源：BleepingComputer 加密文件时，勒索软件只会针对与 VMware ESXi 虚拟机关联的文件，包括日志文件、交换文件、虚拟磁盘和内存文件，如下所列。 .log .vmdk .vmem .vswp .vmsn 在 BleepingComputer 分析的样本中，勒索软件会对这些文件类型进行加密，并将.crypt658扩展名附加到加密文件的文件名中。 使用 RedAlert 在 Linux 中加密文件 来源：BleepingComputer 在每个文件夹中，该勒索软件还将创建一个名为HOW_TO_RESTORE的自定义勒索说明，其中包含对被盗数据的描述和专门针对受害者的TOR赎金支付网站的链接。 RedAlert /N13V 赎金票据 来源：BleepingComputer Tor 支付站点与其他勒索软件操作站点类似，它同样是显示赎金需求并提供与攻击者协商的方式。但是RedAlert/N13V 只接受门罗币加密货币进行支付，因为它是一种隐私币，所以在美国加密货币交易所并不常见。 RedAlert / N13V Tor 协商网站 来源：BleepingComputer 虽然只找到了一个 Linux 加密器，但支付网站有隐藏的元素表明也存在有 Windows 解密器。 请警惕！ 与几乎所有新的针对企业的勒索软件操作一样，RedAlert 进行双重勒索攻击，即数据被盗，然后部署勒索软件来加密设备。 这种策略提供了两种勒索方法，使威胁者不仅可以要求解密器赎金，还可以要求赎金以保证被盗数据不被泄露。 当受害者不支付赎金要求时，RedAlert 团伙会在他们的数据泄露网站上发布被盗数据，任何人都可以下载。 RedAlert / N13V 数据泄露站点 来源：BleepingComputer 目前，RedAlert 数据泄露站点仅包含一个组织的数据，表明勒索行为很可能是最近才发生的。 虽然新的 N13V/RedAlert 勒索软件操作没有出现大范围的勒索活动，但由于其先进的功能和对 Linux 和 Windows 的即时支持，我们是肯定需要密切关注它。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/338387.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员详细介绍了勒索软件行为者为在网上掩盖其真实身份以及网络服务器基础设施的托管位置而采取的各种措施。 “大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管提供商来托管他们的勒索软件运营网站，”Cisco Talos公司的研究员Paul Eubanks说。“当他们连接到勒索软件网络基础设施执行远程管理任务时，他们使用VPS跳点作为代理来隐藏自己的真实位置。” 众所周知，勒索软件集团依靠暗网来隐藏他们的非法活动，从泄露被盗数据到与受害者协商付款，Talos 透露，他们能够识别“与暗网上的黑客基础设施托管相同的公共IP地址。” Eubanks说：“我们用来识别公共互联网 IP 的方法涉及将威胁参与者的 [自签名] TLS 证书序列号和页面元素与公共互联网上的索引进行匹配。”除了 TLS 证书匹配之外，用于发现攻击者清晰网络基础设施的第二种方法是，使用像Shodan这样的网络爬虫检查暗网网站相关的图标来对抗公共互联网。 调查结果表明，不仅互联网上的任何用户都可以访问犯罪分子的泄露站点，其他基础设施组件(包括识别服务器数据)也被暴露，从而有效地获得用于管理勒索软件服务器的登录位置。 LockBit在其改进的RaaS操作中添加了一个漏洞奖励计划 随着Black Basta勒索软件的开发，勒索软件团伙通过使用QakBot进行初始访问和横向移动，并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作，扩大了其攻击武库。 更重要的是，LockBit勒索软件团伙上周宣布了LockBit 3.0的发布消息“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞奖励计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000美元至100万美元不等的奖励。 漏洞奖励计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括联盟计划负责人在内的成员可能被人肉搜索的方式，以及在该组织用于内部通信的消息传递软件和Tor网络本身中发现漏洞。 被加密或识别的威胁表明，像LockBit这样的组织显然非常担心执法行动。最后，该集团计划提供Zcash为一种支付选择，这一点很重要，因为Zcash比比特币更难追踪，这让研究人员更难监视该集团的活动。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

尽管马斯特里赫特大学在 2019 年遭受了勒索软件攻击，但随着部分 BTC 赎金的退还，身为受害者的该校竟然也受益于这三年的加密货币价格上涨。外媒报道称，三年前的攻击导致该校学生无法访问有价值的数据，直到他们被迫支付 20 万欧元的赎金。 （来自：Maastricht University） 荷兰《人民报》（De Volkskrant）报道称，犯罪分子加密了数百台 Windows 服务器和备份系统，导致 2.5 万名学生和员工无法访问科学数据、图书馆和电子邮件。 为避免个人数据丢失风险（学生无法参加考试或撰写论文），该校被迫于一周后向勒索软件攻击者支付了一笔赎金。 好消息是，作为网络攻击事件调查的一部分，荷兰警方追溯到了某个乌克兰洗钱者的账户，里面有价值约 40000 欧元的 BTC 。 据悉，检察官在 2020 年罚没了该账户，并在其中找到了诸多不同的加密代币。 两年后，当局将部分赎金返还给了马斯特里赫特大学。 与此同时，该账户持有的 BTC 价值，也从三年前的 4 万欧元、增加到了 50 万欧元。 对于这笔“失而复得”的意外之财，该校 ICT 主任 Michiel Borgers 表示，他们会将之用于帮扶经济拮据的学生，而不是纳入其它基金。 最后，荷兰《人民报》称有关这轮勒索软件攻击的调查仍在持续，警方正在对幕后的主要负责人展开追查。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1288391.htm 封面来源于网络，如有侵权请联系删除

微软365防御团队表示，有一种越来越流行的恶意软件可以在受害者不知情的情况下为其订阅高级服务。不过，这种攻击相当精细，恶意软件必须执行相当多的步骤。窝藏恶意软件的应用程序通常被归类为”收费欺诈”，并使用”动态代码加载”来实施攻击。 简而言之，该恶意软件借助运营商的月度账单会订阅了一项高级服务，不知情的受害者只能被迫付款。 该恶意软件只通过利用蜂窝网络使用的所谓WAP（无线应用协议）来工作。这就是为什么某些形式的恶意软件会禁用手机Wi-Fi或等待到Wi-Fi覆盖范围之外才激活。这就是前面提到的动态代码加载发挥作用的地方。然后，恶意软件在后台会下达订阅服务的指令，读取你在订阅前可能收到的OTP（一次性确认密码），自动填写OTP字段，同时隐藏通知以掩盖其踪迹。 好消息是，由于Google的政策限制了应用程序使用动态代码加载，所以该恶意软件主要是在Google的官方应用商店之外传播。因此使用手机的时候要要小心，尽量避免侧载Android应用程序。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1287875.htm 封面来源于网络，如有侵权请联系删除

近期，一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本，据威胁分析师称，它能快速发动攻击，并直接从电子邮件附件中删除其有效负载。这种方法是很少见的，因为所有典型的电子邮件攻击都会尽量逃避检测，并尽量减少电子邮件安全产品发出危险信号的几率。 根据一直跟踪AstraLocker的ReversingLabs的说法，攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反，他们追求以最大的力量发起对目标的攻击，来换取快速回报。 勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档，该文档隐藏了一个带有勒索软件有效载荷的OLE对象，其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载，用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略，选择OLE对象而不是恶意软件发行版中更常见的VBA宏。 另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件，这是一个非常陈旧过时的打包程序，几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行，并且没有在其他活动进程中加载调试器之后，恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程，删除卷映像副本，以及停止一系列备份和反病毒服务。 根据 ReversingLabs 的代码分析，AstraLocker 是基于泄露的Babuk源代码，这是一种有缺陷但仍然很危险的勒索软件，好在它已于2021 年9月退出该领域。此外，勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件，这种情况并不少见。但从最新的案例来看，AstraLocker 2.0似乎不是一个老练的威胁行为者的行为，因为他会尽可能地破坏更多目标。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/337881.html 封面来源于网络，如有侵权请联系删除

根据Google威胁分析小组（TAG）公布的研究，一个复杂的间谍软件活动正在得到互联网服务提供商（ISP）内部人士的暗中帮助以欺骗用户下载恶意的应用程序。这证实了安全研究组织Lookout早些时候的发现，该组织将这种被称为Hermit的间谍软件与意大利间谍软件供应商RCS实验室联系起来。 一个被攻击和篡改的网站案例 Lookout称，RCS实验室与NSO集团 – 也就是PegASUS间谍软件背后臭名昭著的监控雇佣公司是同一家公司，他们向各国各级政府机构兜售商业间谍软件。Lookout的研究人员认为Hermit已经被哈萨克斯坦政府和意大利当局部署。根据这些发现，Google已经确定了这两个国家的受害者，并表示它将通知受影响的用户。 正如Lookout的报告中所描述的，Hermit是一个模块化的威胁，可以从一个指挥和控制（C2）服务器上下载额外的功能。这使得间谍软件能够访问受害者设备上的通话记录、位置、照片和短信。Hermit还能录制音频，拨打和拦截电话，以及root到Android设备，这使它能够完全控制其核心操作系统。 “含有Hermit的应用程序从未通过Google Play或苹果应用商店提供” 这种间谍软件可以通过将自己伪装成合法来源来感染Android和苹果iPhone手机，通常以移动运营商或消息应用程序的形式出现。Google的网络安全研究人员发现，一些攻击者实际上与互联网服务提供商合作，关闭受害者的移动数据，以推进其计划。然后，不良行为者会通过短信冒充受害者的移动运营商，欺骗用户相信下载一个恶意的应用程序将恢复他们的互联网连接。如果攻击者无法与互联网服务供应商合作，Google说他们会冒充看似真实的消息应用程序，欺骗用户下载。 Lookout和TAG的研究人员说，含有Hermit的应用程序从始至终从未通过Google Play或苹果应用商店提供。然而，攻击者却能够通过注册苹果公司的开发者企业计划，在iOS上分发受感染的应用程序。这使得不怀好意者可以绕过App Store的标准审查程序，获得”满足任何iOS设备上所有iOS代码签名要求”的证书。 苹果公司表示，他们已经注意到并撤销了与该威胁有关的任何账户或证书。除了通知受影响的用户，Google还向所有用户推送了Google Play Protect更新。 阅读安全报告全文： https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1285141.htm 封面来源于网络，如有侵权请联系删除

据BleepingComputer网站6月17日消息，网络附加存储 (NAS) 供应商威联通（QNAP） 于当日再次向客户发出提醒，要求他们采取措施保护好设备，以免受 DeadBolt 勒索软件新型攻击活动的影响。 QNAP表示，它们于近期检测到新的 DeadBolt 勒索软件活动，根据目前受害者的报告，该攻击活动似乎针对运行 QTS 4.x 系统版本的 QNAP NAS 设备。为此，QNAP强烈建议所有用户立即将其 NAS 设备上的 QTS 或 QuTS hero 操作系统更新到最新版本，确保勒索软件不会通过 Internet 进行远程访问。 根据QNAP披露，受感染的设备升级系统固件后，能让内置的 Malware Remover 应用程序自动隔离已知劫持登录页面的 DeadBolt 赎金记录。若在升级固件输入DeadBolt解密密钥后无法找到赎金记录，可向QNAP支持部门寻求帮助。 如同在今年1月DeadBolt 发动的攻击一样，它会在所劫持设备的登录页面上留下“您的文件已被 DeadBolt 锁定”的警告，受感染设备一旦启动，DeadBolt 就会使用 AES128 加密文件，并在其名称后附加 .deadbolt 的扩展名。为了方便受害者能看到赎金记录，它还替换了 /home/httpd/index.html 文件。在受害者支付了0.03比特币的赎金后，攻击者会向同一比特币地址创建一个比特币交易，其中包含OP_RETURN输出下的解密密钥。 勒索软件专家Michael Gillespie创建了一个免费的Windows解密器，可以帮助解密文件而不使用DeadBolt提供的可执行程序。然而，受DeadBolt勒索软件攻击的QNAP用户仍需要支付赎金，以获得有效的解密密钥来恢复数据。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336646.html 封面来源于网络，如有侵权请联系删除

ASEC 分析团队最近发现，许多下载器类型的恶意软件 Bumblebee 正在传播。Bumblebee 下载器正在通过网络钓鱼电子邮件作为 ISO 文件分发，该 ISO 文件包含一个快捷方式文件和一个恶意 dll 文件。此外，还确认了通过电子邮件劫持向国内用户分发的案例。 以下是分发 Bumblebee 下载器的网络钓鱼电子邮件。这封电子邮件会截获一封正常的电子邮件，并在回复用户时附上恶意文件。在收到电子邮件的用户的情况下，判断为正常回复，可以毫无疑问地执行附件，因此需要注意。额外确认的网络钓鱼电子邮件也正在使用电子邮件劫持方法进行分发。除了通过附件进行传播之外，还有一种传播方法是通过在电子邮件正文中包含恶意 URL 来诱导下载。在通过恶意 URL 进行分发的方法中使用 Google Drive 有一个特点。 在钓鱼邮件附件的压缩文件中设置了密码，密码显示在邮件正文中。该文件伪装成发票或请求相关文件名，可见压缩文件内部存在ISO文件。 执行 ISO 文件时，会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项，则只出现lnk文件，因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。 lnk 命令 %windir%\system32\rundll32.exeneval.dll,jpHgEctOOP 通过lnk文件执行的恶意dll是打包形式的，解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下，它是一个代码，检查用于恶意代码分析的程序是否正在运行，虚拟环境中使用的文件是否存在，以及是否通过mac地址与特定制造商匹配。除了相应的检查外，还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。 如果上述所有过程都通过，则执行了实际的恶意操作。首先，对编码数据进行解码，得到如下的多个C2信息。之后，它通过收集用户PC信息来尝试连接和传输C2。 解码 C2 73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 ：443、101.88.16[.]100:443、19.71.13[.]153:443、108.16.90[.]159:443、103.175.16[.]122:443、121.15.221[.]97：443、19.71.13[.]153:443、22.175.0[.]90:443、19.71.13[.]153:443、146.19.253[.]49:443、38.12.57[.]131：443、191.26.101[.]13:443 目前无法连接相关的C2，但如果连接成功，可以根据攻击者的指令进行以下动作。将文件名为“my_application_path”的恶意DLL复制到%APPDATA%文件夹，创建执行复制的dll的vbs文件，将恶意数据注入正常程序，保存并执行从C2接收到的文件名恶意数据“wab.exe” 还有各种附加功能，例如 注入目标程序 \\Windows Photo Viewer\\ImagingDevices.exe \\Windows Mail \\wab.exe \\Windows Mail\\wabmig.exe 近期，Bumblebee 下载器数量大幅增加，存在通过 Bumblebee 下载器下载 Cobalt Strike 等恶意数据的案例。另外，国内用户已经确认使用邮件劫持的方式进行分发，需要用户注意，对邮件中的附件和网址进行限制阅读和访问。目前，在V3中，恶意代码诊断如下。 【文件诊断】 Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02) 木马/Win.BumbleBee.R497004 (2022.06.11.01) Dropper/ISO.Bumblebee (2022.06.13.02) 木马/BAT.Runner (2022.06.13.02) 木马/LNK.Runner (2022.06.13.02) [IOC ] 11999cdb140965db45055c0bbf32c6ec b7936d2eed4af4758d2c5eac760baf1d e50fff61c27e6144823dd872bf8f8762 2c9a4291387fd1472081c9c464a8a4caed20bfa   转自 cnBeta，原文链接：https://mp.weixin.qq.com/s/WqLgxg4jN_43z9RHR_MIwA 封面来源于网络，如有侵权请联系删除