黑客组织 Clop 声称已从 E-Land 窃取了 200 万张信用卡。 E-Land 是一家韩国企业集团，总部位于韩国首尔麻浦区昌田洞。其业务包括零售商场、饭店、主题公园、酒店建筑和时尚服装业务，并通过其子公司E-Land World在全球开展业务。 Clop黑客组织声称在过去12个月中从E-Land Retail窃取了200万张信用卡信息。 上个月，被勒索软件感染之后，该公司被迫关闭了23家NC百货商店和New Core。 该公司表示已对相关服务器进行了加密，并通知了有关当局。“我们正在努力迅速恢复损失并使业务正常化，全国大多数分支机构都采取紧急措施，可进行基本的交易活动。” 公司声称，“尽管这种勒索软件攻击对公司的网络和系统造成了一定的损害，但客户信息和敏感数据在单独的服务器上进行了加密，因此处于安全状态。” 然而，Clop黑客组织告诉Bleeping Computer，情况大不相同。他们声称在一年前曾入侵过E-Land，并使用PoS恶意软件窃取了信用卡数据。 黑客声称已窃取并解密了信用卡数据（Track 2数据）长达12个月，且未被该公司发现。 Clop黑客组织声称已盗取包括信用卡号、有效期等相关信息，信用卡CVV代码不包含在Track 2数据中，因此只能用于复制信用卡并将其用于个人消费。         消息来源：securityaffairs；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者，该窃取者在2015年至2020年初针对特定目标进行了部署。 该恶意软件被ESET研究人员命名为“Crutch”，被归咎于Turla，这是一家总部位于俄罗斯的高级黑客组织，通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。 网络安全公司的分析报告显示：“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。” 这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。 除了发现2016年的一个Crutch样本与Turla另一个名为Gazer的第二阶段后门程序之间的紧密联系外，他们多样化的工具集中的最新恶意软件表明，该组织持续专注针对知名目标的间谍和侦察活动。 Crutch要么通过Skipper套件（一种最初由Turla设计的植入程序）交付，要么由一个名为PowerShell Empire的后攻击代理（2019年发现的恶意软件）交付。 前者包括一个后门，可以使用官方的HTTP API与硬编码Dropbox帐户进行通信，以接收命令和上传结果，较新的变体（Crutch v4）避开了一个新功能，该功能可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。 ESET研究人员Matthieu Faou说：“攻击的复杂性和发现的技术细节进一步强化了这样一种看法，即Turla组织拥有相当多的资源来运营如此庞大和多样化的武器库。” “此外，Crutch能够通过滥用合法的基础设施（这里指Dropbox）绕过一些安全层，以混入正常的网络流量，同时窃取文件和接收来自其运营商的命令。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软周一表示，越南政府支持的黑客最近被发现部署加密货币挖掘恶意软件。 该报告强调了网络安全行业的增长趋势，越来越多的国家支持的黑客组织也将目光投向了常规的网络犯罪活动，这使得区分金钱和情报收集为动机的犯罪活动变得更加困难。   APT32涉足MONERO领域 该越南小组由Microsoft追踪为 Bismuth，自2012年以来一直活跃，并以代号APT32 和 OceanLotus等 广为人知。 该组织大部分时间都在组织国内外黑客活动，目的是收集信息以帮助其政府处理政治、经济和外交政策决策。 但微软在周一晚间发布的 一份报告中说，观察到该小组的策略发生了变化。 微软表示：“在2020年7月至8月的竞选活动中，该组织将Monero部署到了针对法国及越南私营企业和政府机构的攻击中。”   目前尚不清楚该黑客组织为何更改，但是Microsoft有两种理论: 第一点是该组织正在使用网络犯罪操作相关的加密恶意软件掩饰某些攻击。 第二点是，该小组正在尝试使用新方式从感染系统中创收。   其他国家赞助的黑客组织也为个人利益而犯罪 这一理论符合网络安全行业的普遍趋势，近年来，中国、俄罗斯、伊朗和朝鲜政府资助的黑客组织也出于个人利益开展网络犯罪活动，而非网络间谍活动。 这些组织通常在当地政府的保护下开展活动，无论是作为承包商还是情报人员，他们也都在与美国没有引渡条约的国家/地区内开展攻击活动，从而使他们自己不承担任何后果。 由于越南也缺乏与美国的引渡条约，预计该国因“处于边缘”而成为未来十年的网络犯罪和网络间谍中心。     消息来源：zdnet；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Check Point的研究人员发现，利用DHL、亚马逊和联邦快递的品牌，试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前，Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%，最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌，占到与运输相关的钓鱼邮件总量的56%，其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大，但其他地区的增幅也很大。在欧洲，运费钓鱼邮件增加了401%，其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%，其中亚马逊是被冒充最多的品牌，65%是假冒的亚马逊送货邮件。在亚太地区，送货钓鱼邮件增加了185%，其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验，在人们购物之前和之后，”Check Point的数据情报经理Omer Dembinsky说。“首先，黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后，黑客会发送一封关于交付购买的电子邮件，即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束，我们正在转向等式的另一边，也就是送货。当你在这个假日季节打开任何购买后的电子邮件时，请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚，黑客在网上购物体验的每一步都在瞄准网上购物者，在你购物前后，危险是非常真实的。” 诈骗范例：     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃，国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币（BTC）。随着文件加密+数据窃取的勒索模式流行，该团伙会在勒索信中威胁称：“已收集了高度机密的资料，不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中，发现Medusalocker勒索团伙使用的样本托管资产（IP:45.141.84.182(ZoomEye搜索结果)），对该资产其进行分析后发现，Medusalocker勒索团伙除使用加密模块对文件进行加密外，其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现，Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities（类Teamviwer软件）进行了破解重打包（系对官方版本的窗口、托盘、模块完整校验位置进行Patch）。 由于RemoteUtilities属于正规商业远程控制软件，如果被用于窃密监听，会更加隐蔽，安全软件通常并不将此类商业远控软件报告为病毒。同时，由于破解修改版本与官方版本程序代码仅存在少量差异，也将比一般窃密木马具备更好的免杀效果。 近年来，勒索病毒从广撒网模式到针对性特定企业的精准打击，从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后，通常并不立刻进行加密操作。而是通过长时间的扫描探测，窃取机密信息后，再大面积对企业实施加密勒索。若企业使用备份数据进行还原，勒索团伙则威胁公开受害企业的机密数据继续敲诈，这对企业带来经济和社会声誉的双重损失。因此，我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统（御点）均可查杀拦截Medusalocker勒索病毒，腾讯安全针对Medusalocker勒索病毒的完整响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）Medusalocker勒索网络相关联的IOCs已支持识别检测； 2）支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀Medusalocker相关联的利用模块，勒索模块； 2）已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 （Vulnerability Scan Service，VSS） 1）已集成无损检测POC，企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Medusalocker团伙相关联的IOCs已支持识别检测； 2）Medusalocker团伙发起的爆破攻击行为已支持检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）企业终端管理系统可查杀Medusalocker团伙相关联的利用模块，勒索模块； 2）企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3）企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费，可商用，能够自建中继服务器的远程控制软件（类似于Teamviewer、向日葵等工具），该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端（Agent）运行后会弹出明显的服务端窗口信息，托盘展示信息等，一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后，将其作为窃密木马使用，达到植入目标系统持久化控制的目的，其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端（Agent）运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件，修改版本安装后后仅使用3个模块（移除非远程控制必须组件以外的其他模块），精简破解后重打包的版本安装完成后，会添加计划任务启动，进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件，下为病毒修改版安装文件： 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理，导致官方版本被控端启动时的所有窗口界面消失，从而实现无交互界面被远程控制，系统托盘、消息界面全部被隐藏： 官方版本完整代码： 修改后病毒版本代码：   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理，导致官方被控端相关快捷退出方式失效，从而让攻击者稳定持久的远程控制，持续进行窃密活动。   官方版本完整代码： 修改后病毒版本代码：   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验，当发现安装模块缺失后则直接会退出。病毒对其代码进行patch，使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码： 修改破解后病毒版本代码： 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块，并将其执行起来，如果该文件不存在，则弹出一个系统错误对话框，随后服务端直接退出。病毒对其相关路径参数进行patch（破解），导致该处校验流程失效。 被绕过的模块完整性校验提示窗口，正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码： 破解修改后病毒版本代码： 下图为控制端界面，攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器，可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马，该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe，随后将Beacon恶意payload注入到mstsc.exe进程内，进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密，解密后得到C2地址如下： oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内，也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等，这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分： EnableLUA，避免系统提示以管理员权限执行等问题； 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持，侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用； 开启3389端口并允许远程控制，关闭RDP相关的远程登录安全策略项； 删除系统卷影，删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月，2019年11月腾讯安全检测到该病毒开始在国内活跃，该病毒主要通过弱口令爆破方式进行传播，由于该勒索病毒加密使用RSA+AES的方式对文件进行加密，目前尚无有效的解密工具，被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据； 使用硬编码RSA公钥加密后的后缀信息数据； 被加密文件原始明文长度0x0000000000000018； 文件后缀明文长度0x00000014； AES密钥原始长度0x0000002C； 1、2部分密文长度0x00000200； 0x0000001标记。 具体分析可参考：《警惕Medusalocker勒索变种攻击企业，中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀，留下名为Recovery_Instructions.html的勒索文件，攻击者使用的勒索邮箱为asaphelper@protonmail.com，asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作，以提升系统安全性： 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 3、采用高强度的密码，避免使用弱口令。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据（数据库等数据）进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统（御点、https://s.tencent.com/product/yd/index.html）。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe（魔改RemoteUtilities） hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe（加壳的CobaltStrike） hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip（勒索工具包） hxxp://45.141.84.182/AN_UPD.exe（Medusalocker勒索病毒） C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱： asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址： hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7    

援引外媒报道，一支有国家背景的黑客组织正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告，这款升级版恶意软件能让攻击者访问受感染的 Mac，并监控和窃取敏感信息。 图 1-2. OceanLotus样本（上）和最新OceanLotus样本（下）的比较 图 3. 样本文件名、图标和app bundle结构 图 4. “.” 和 “doc”之间的特殊字符 图 5. 样本的代码签名信息 图 6. “ALL tim nha Chi Ngoc Canada” 文件内容 图 7. 执行文件后展示的文件 图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist 图 9. 释放文件的时间戳 图 10. 加密的字符串 图 11-12. 解密方法 报告指出，该恶意软件以 ZIP 文件的形式进行传播，并伪装成 Word 文档，通过钓鱼电子邮件方式进行传播。目前，使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。 一旦安装在计算机上，该恶意软件就会启动一系列有效负载，这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件，获取有关计算机的其他信息以及上载其他恶意软件。 趋势科技认为，该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关，该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名，人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。 研究人员写道：“ OceanLotus等威胁组织正在积极更新恶意软件变种，以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的，因此它不太可能给大多数macOS用户带来很大的风险。         （稿源：cnBeta；封面来自网络）

周一，内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候，本·古里安的研究小组表示，黑客不再需要物理接触“危险”物质即可生产“病毒”。相反，黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性：合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言，合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。 向合成基因者下达DNA命令时，美国卫生与公众服务部（HHS）指南要求制定筛选方案以扫描潜在有害DNA。 但是，该黑客团队有可能通过混淆来规避这些方案，在50个混淆的DNA样本中，有16个未针对“最佳匹配” DNA筛选被检测到。 用于设计和管理合成DNA项目的软件也可能会受到浏览器内人为攻击的攻击，该攻击可用于将任意DNA字符串注入基因顺序，从而简化了团队所谓的“端到端网络生物学攻击”。这些系统提供的合成基因工程管道可以在基于浏览器的攻击中被篡改。黑客可能使用恶意浏览器插件，例如“将混淆的病原体DNA注入合成基因的在线顺序中”。 在证明这种攻击可能性的案例中，研究小组引用了残留的Cas9蛋白，并使用恶意软件将该序列转化为活性病原体。研究小组说，“当使用CRISPR协议时，Cas9蛋白可以被用来‘模糊化宿主细胞内的恶意DNA’。”对于不知情的科学家来说，这可能会导致意外产生了危险物质，包括合成病毒或有毒物质。 BGU复杂网络分析实验室负责人Rami Puzis表示：“为了管制有意和无意的危险物质生成，大多数合成基因提供者会筛选DNA指令，这是目前抵御此类攻击的最有效方法。” “不幸的是，筛查指南尚未适应反映合成生物学和网络战的最新发展。” 潜在攻击链概述如下： Puzis补充说：“这种攻击情景强调了必须通过防御网络生物学威胁来强化合成DNA供应链。” 为了解决这些威胁，我们提出了一种改进的筛选算法，该算法考虑了体内基因编辑。       消息及封面来源：zdnet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客通常会开发自己的Linux恶意软件，BlackTech的新型恶意软件ELF_PLEAD 和Winnti的PWNLNX 工具就是最近的例子。结合这种趋势，我们发现了与Stantinko group相关的新版本Linux代理木马。在本文发布之时，只检测到一个在VirusTotal中的恶意软件。 Stantinko黑客组织以Windows操作系统为目标而闻名，其活动可以追溯到2012年。恶意软件主要包括硬币矿工和广告软件僵尸网络。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1410/           消息及封面来源：intezer，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Egregor勒索软件是Sekhmet恶意软件家族的一个分支，该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织，窃取敏感用户数据，加密数据，并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件，它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1409/           消息及封面来源：SentinelLABS，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证（2FA）并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布，其 漏洞研究团队（VRT） 发现了一个未披露的漏洞，该漏洞影响了cPanel＆WebHost Manager（WHM）网络托管平台。” “ c_Panel＆WHM版本11.90.0.5（90.0 Build 5）具有两因素身份验证绕过漏洞，易受到攻击，从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响，因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在，将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说，攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题： 11.92.0.2（ZoomEyes搜索结果） 11.90.0.17（ZoomEyes搜索结果） 11.86.0.32（ZoomEyes搜索结果） 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源：securityaffairs ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”