美国政府机构今天发布了一份恶意软件分析报告，披露了朝鲜黑客在针对美国政府承包商的攻击中远程访问木马（RAT）恶意软件的相关信息。该恶意软件称之为“BLINDINGCAN”，已经得到了网络安全和基础设施安全局（CISA）和联邦调查局（FBI）的确认。 这两个机构表示，该木马背后的黑客组织有朝鲜政府的资助，追踪到的黑客组织为HIDDEN COBRA（又名Lazarus Group 和 APT38）。根据各机构分析，该 RAT 自带 “用于远程操作的内置功能，可在受害者的系统上实现各种功能”。 在警告中写道：“CISA 共收到 4 个 Microsoft Word Open Extensible Markup Language (XML)文档（.docx），两个动态链接库（DLL）”。此外写道：“.docx 文档尝试连接到外部域中进行下载，提交的 32 位/ 64 位 DLL 分别安装名为 ‘iconcache.db’的 32 位/ 64 位 DLL。DLL ‘iconcache.db’会解压并执行 Hidden Cobra RAT 的功能”。 根据CISA和FBI的恶意软件分析结果，BLINDINGCAN恶意软件还可以从被入侵的系统中删除自己，并清理其痕迹以避免被检测等功能。     （稿源：cnBeta，封面源自网络）

Infostealer是网络犯罪分子最赚钱的工具之一，因为从感染了该恶意软件的系统收集的信息可以在地下网络犯罪分子中出售或用于凭据填充攻击。Zscaler ThreatLabZ团队遇到了一个名为PurpleWave的新Infostealer，它是用C ++编写的，并自动将其静默安装到用户的系统上。它连接到命令和控制（C＆C）服务器以发送系统信息，并将新的恶意软件安装到受感染的系统上。 该恶意软件的作者在俄罗斯网络犯罪论坛上销售PurpleWave，终身更新的费用为5,000 RUB（US 54）。 图1：俄罗斯论坛上的PurpleWave销售帖子出售PurpleWave的作者声称，这种窃取程序能够窃取Chromium和Mozilla浏览器的密码，cookie，卡以及自动填充形式。该窃取程序还会从指定路径中收集文件，进行屏幕截图并安装其他模块。     … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1298/ 消息与封面来源：zscaler，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

安全研究专家近日发现了疑似首个加密挖矿恶意软件，可以从受感染的服务器中窃取 AWS 凭证。这种新型数据窃取功能是 TeamTNT（主要针对 Docker 安装的网络犯罪集团） 使用的恶意软件。 根据安全公司趋势科技今年早些时候发布的研究报告，该组织至少从 4 月开始就已经开始活跃。根据报告，TeamTNT 的运作方式是在互联网上扫描那些被错误配置的 Docker 系统，并在没有密码的情况下将其管理 API 暴露在互联网上。 该组织会访问 API，并在 Docker 安装内部署服务器，运行 DDoS 和加密挖掘恶意软件。根据英国安全公司 Cado Security 在8月17日发布的最新报告，这款恶意程序除了上述功能之外，还将攻击范围扩大到了 Kubernetes 安装。 虽然扩大目标通常是非常重要的，不过 Cado 研究人员表示该恶意程序还有一个更严重的功能，即扫描底层受感染服务器的任意亚马逊网络服务（AWS）凭证。 如果受感染的 Docker 和 Kubernetes 系统运行在 AWS 基础设施之上，TeamTNT 团伙就会扫描 ~/.aws/redentials 和 ~/.aws/config，并将这两个文件复制并上传到其命令和控制服务器上。这两个文件都没有加密，包含了底层AWS账户和基础设施的明文凭证和配置细节。     （稿源：cnBeta，封面源自网络）

勒索软件攻击渗透到各行各业，影像行业也不例外。 近日，日本影像科技巨头柯尼卡美能达企业服务近一周。该勒索事件发生在7月底，影响了商业技术巨头柯尼卡美能达企业服务近一周。 柯尼卡美能达是日本跨国商业技术巨头，拥有近44000名员工，2019年的收入超过90亿美元。企业提供大规模的服务和多种产品，从打印解决方案，医疗技术到为企业提供托管等IT服务。 始于网站停机机 2020年7月30日，有客户反馈柯尼卡美能达产品供应与支持网站无法访问，并呈现以下信息： 柯尼卡美能达“ MyKMBS”客户门户暂时不可用。我们正在努力解决此问题，对于指出给您带来的任何不便，我们深表遗憾意。如果您亟需服务帮助，请致电1-800- 456-5664（美国）或1-800-263-4410（加拿大）致电我们的全球客户服务。 网站关闭了近一周，客户也并不清楚网站无法访问的具体原因。某些柯尼卡美能达打印机还显示“服务通知失败”错误，该组织也及时更新了网站停止访问的消息。 遭遇RansomEXX勒索 随后，网上传出黑客勒索柯尼卡美能达使用的退款金票据的副本。如下图所示，该退款金记录称为“！KONICA_MINOLTA_README !!。txt，”公司设备都被加密了，文件也加上了“ .K0N1M1N0”的扩展后缀。 RansomEXX是一种新型勒索软件，因攻击了德克萨斯州交通运输部的网络在今年6月首次被发现。和其他勒索软件一样，以企业为目标，但是和其他通过网络钓鱼和恶意软件分发的勒索软件不同的是，RansomEXX需要人为纠正。执行攻击后，勒索软件将打开一个控制台，该控制台在攻击者运行时向其显示信息。 黑客入侵企业网络潜藏，并通过时间的流逝，再传播到其他设备以获取管理员位置。一旦获得管理员权限并访问Windows域控制器，他们便可以在网络上部署勒索软件并提供所有设备进行加密。 Ransom X在整个加密过程中插入的命令，这些命令包括： 清除Windows事件日志 删除NTFS日记 补充系统还原 局部Windows恢复环境 删除Windows备份目录 清除本地驱动器上的可用空间。     （稿件与封面来源：FreeBuf）

趋势科技本周四报告称，在多个 Xcode 项目中发现了 XCSSET 恶意软件系列，发现了导致恶意有效荷载的兔子洞（rabbit hole）。在探索讨论攻击行为的报告[PDF]中，网络安全研究人员表示在其中一个开发者项目中“不寻常”感染还发现了两个零日漏洞。 Xcode 是 macOS 系统中用于开发苹果相关软件和应用的免费集成开发环境（IDE）。虽然目前还不清楚 XCSSET 是如何感染到 Xcode 项目中的，可一旦被嵌入，恶意软件就会在项目构建时运行。 该团队表示：“根据推测，这些系统主要由开发人员使用。这些 Xcode 项目已经被修改，在构建时，这些项目将运行一个恶意代码。这最终会导致主要的XCSSET恶意软件被丢弃并在受影响的系统上运行”。 一些受影响的开发者已经在 GitHub 上分享了他们的项目，研究人员表示针对 Mac 用户的一项运动正在推广 XCSSET恶意软件套件，它能够劫持Safari网络浏览器，并注入各种 JavaScript 有效负载，这些负载可以窃取密码、金融数据和个人信息，部署赎金等。 隐藏在项目中的初始有效载荷以Mach-O可执行文件的形式出现。研究人员能够追踪受感染项目的Xcode工作数据文件，并发现一个隐藏文件夹中包含Mach-O，位于其中一个.xcodeproj文件中。     （稿源：cnBeta，封面源自网络）

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一，由具有能力的参与者进行分发。 我们发现了一个Maze分支机构，在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样，行动者使用HTA有效载荷作为交互式外壳，能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用，成为全世界许多不同参与者的最终有效载荷。今年，臭名昭著的Maze运营商不仅开始通过加密文件勒索公司，而且威胁会在线发布被窃取的文件，从而勒索公司。最近，我们抓住了一个Maze会员，该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中，我们分享有关该Maze会员使用方法的详细信息，以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1294/ 消息与封面来源：SentinelLABS，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国国家安全局(NSA)和联邦调查局(FBI)近日发布的新闻稿中，共同披露了俄罗斯军事黑客在网络间谍活动中所使用的恶意软件。本周四披露的详细报告中，为俄罗斯总参谋部总情报局第 85 军特殊服务中心（第26165部队）工作的黑客利用名为“Drovorub”的恶意程序，专门针对 Linux 系统发起攻击。 这些黑客也被称之为 APT28 或者 Fancy Bear，他们于 2016 年入侵了民主党全国委员会，并经常向国防、政府、航空航天等领域发起进攻。 虽然在这份警报中并未包含有关于“Drovorub”受害者的具体细节，不过美国官员表示已经于本周四向多家机构发出警报，提高人们对黑客入侵和国防部门漏洞的认识。 国家安全局和联邦调查局在报告中说：“该恶意软件已经构成了威胁，因为目前美国的国家安全系统，国防部和国防工业基地中广泛使用 Linux 系统的”。     （稿件与封面来源：cnBeta）

Tesla RAT（远程访问特洛伊木马）已成为2020年上半年威胁企业的最流行的恶意软件系列之一，被发现的攻击次数甚至超过TrickBot或Emotet，仅次于Dridex 。尽管Agent RAT代理已经存在了至少6年，但它仍在不断适应和发展，挫败了许多组织的安全工作。在COVID-19大流行期间，引入了具有附加功能的新变种，并且该恶意软件已广泛用于以冠状病毒为主题的网络钓鱼活动中。 AgentTesla | 背景与概述 AgentTesla的核心是键盘记录程序和信息窃取者。AgentTesla于2014年底首次发现，在过去的1-2年中，其使用量一直稳定增长。该恶意软件最初在各种地下论坛和市场上出售，还有它自己的AgentTesla.com网站（现已停产），与许多同时代代理商一样，AgentTesla也提供了该恶意软件本身以及数据收集管理面板，从被攻击设备获取的信息可以通过面板界面快速获得给攻击者。 最初推出时，可以购买各种“包”。每个软件包的基本区别在于许可期限和构建/更新的访问权限。当时，价格颇具竞争力，1个月的许可证售价为12.00美元，一直到6个月的许可证售价为35.00美元。还值得注意的是，与许多其他这种性质的工具一样，AgentTesla大力的破解版很快出现。   … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1293/  消息与封面来源：SentinelLABS，译者：叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司McAfee今天表示，NetWalker勒索软件的运营者据信自今年3月以来已经从勒索金支付中赚取了超过2500万美元。虽然没有精确的最新统计数据，但2500万美元的数字使NetWalker在目前已知最成功的勒索软件团伙中排名靠前，其他已知的名字包括Ryuk、Dharma和REvil（Sodinokibi）。 McAfee最近发布了一份关于NetWalker行动的综合报告，它能够追踪受害者向该勒索软件团伙比特币地址支付的款项。然而，安全专家认为，由于他们的观点并不完整，该团伙可能从他们的非法行动中获得更多的利益。NetWalker作为一个勒索软件，最早出现在2019年8月。在最初的版本中，该勒索软件的名称为Mailto，但在2019年年底重新命名为NetWalker。 该勒索软件以封闭访问的RaaS–勒索软件即服务门户的形式运行。其他黑客团伙注册并通过审查，之后他们被授予访问一个门户网站的权限，在那里他们可以构建定制版本的勒索软件。分发工作由这些二线帮派（即所谓的附属机构）负责，每个帮派都会根据自己的情况进行部署。通过这一审查过程，NetWalker最近开始选择专门针对高价值实体网络进行定向攻击的关联公司，而不是那些专门采用大规模传播方法的关联公司，如利用工具包或电子邮件垃圾邮件。原因是，以大公司为目标进行精准和外科手术式的入侵，可以让该团伙提出更大的赎金要求，因为与小公司相比，大公司在倒闭时损失的利润更多。 NetWalker的作者似乎更青睐于能够通过网络攻击，对RDP服务器、网络设备、VPN服务器、防火墙等执行入侵的关联公司。值得注意的是，NetWalker的作者化名为Bugatti，只对雇佣说俄语的二级帮派感兴趣。McAfee专家表示，从历史上看，NetWalker通过利用Oracle WebLogic和Apache Tomcat服务器中的漏洞，通过RDP端点以薄弱的凭证进入网络，或者通过对重要公司的工作人员进行鱼叉式钓鱼来进行入侵。 但根据FBI上周发布的警报，最近，该团伙还加入了针对Pulse Secure VPN服务器的漏洞(CVE-201911510)和针对使用Telerik UI组件网络应用的漏洞(CVE-2019-18935)，使他们的武器库多样化。同一警报还警告美国公司和政府组织一定要更新系统，因为该局看到NetWalker团伙的活动有所增加，甚至冲击了一些政府网络。 而该团伙如此受欢迎的原因之一，也是因为它的 “泄密门户”，该团伙在网站上公布拒绝支付其赎金要求的受害者的姓名，并且发布数据。一旦NetWalker联盟入侵网络，他们首先会窃取公司的敏感数据，然后对文件进行加密。如果受害者在最初的谈判中拒绝支付解密文件的费用，勒索软件团伙就会在他们的泄密网站上创建一个条目。该条目有一个计时器，如果受害者仍然拒绝支付，该团伙就会泄公布他们从受害者网络中窃取的文件。     （稿件与封面来源：cnBeta。）

Barracuda Networks称，越来越多网络犯罪分子，利用在Gmail和AOL等合法平台上注册的帐户来进行BEC攻击。 BEC攻击影响了成千上万个组织 Barracuda的研究人员在最新的报告中发现：6170个使用Gmail，AOL和其他电子邮件服务的恶意帐户，造成了100,000多次BEC攻击。这些攻击影响了近6,600个组织。 而且，自4月1日以来的“恶意帐户” 攻击量，是检测到的BEC攻击总量的45％。 通常，网络罪犯使用恶意帐户来假冒员工或可信赖的合作伙伴，并发送与被冒充者本人非常相似的消息来诱骗其他员工泄漏敏感信息或转账。 Gmail是网络犯罪分子的首选方式 Gmail是这些恶意帐户首选的电子邮件服务，该方式的使用率占网络犯罪分子所有电子邮件使用中的59％。雅虎是第二受欢迎的方式，占比6％。 研究人员还观察到，有29％的恶意帐户的使用时间少于24小时。这有可能是网络犯罪分子为了避免电子邮件平台的检测，他们通常是经过长时间休息后又重新使用电子邮件地址进行攻击。 如何避免此类攻击 Barracuda的研究人员通过对6,600个组织的攻击事件进行分析发现，在许多情况下，网络犯罪分子使用相同的电子邮件地址来攻击不同的组织。每个恶意帐户攻击的组织数量范围，从一个到256个不等。一个恶意帐户发送的电子邮件攻击的数量在1到600多封电子邮件之间，平均仅为19。 事实上，免费设置Gmail之类的电子邮件服务可以让任何人建立潜在的BEC攻击恶意帐户。为了使自己免受这种威胁的侵害，各组织需要自己进行防御保护，如：在电子邮件安全性方面有更多投入，利用人工智能来识别异常的发件人和请求。 不过，没有任何安全软件能够100％有效，特别是在发件人似乎使用完全合法的电子邮件的情况下。因此，员工培训和教育是必不可少的，应该让员工提升意识，主动发现，标记和阻止任何潜在的恶意内容。” 参考来源： https://www.helpnetsecurity.com/2020/08/10/6600-organizations-bombarded-with-100000-bec-attacks/     （稿件与封面来源：FreeBuf。）