在万物逐渐互联的当下，利用漏洞攻击并控制汽车已经不是什么新鲜事。最近，专家警告称，网络犯罪分子正利用控制器局域网总线（CAN）注入攻击的方式窃取联网汽车。 对这项攻击的调查由 EDAG 集团汽车网络安全专家 Ian Tabor 和 Canis Automotive Labs，以及首席技术官 Ken Tindell 发起，因为Tabor自己的丰田RAV4汽车曾在2021年被盗，他们所揭露的漏洞被追踪为CVE-2023-29389。 Tabor观察到，他的汽车在被盗前几天，拱形轮辋和前保险杠被拉下，大灯的接线插头被拆下，汽车漆面有螺丝刀产生损坏痕迹。Tabor分析了丰田MyT应用程序的数据记录，发现他的RAV4中的电子控制单元（ECU）已经检测到多个故障，并在盗窃发生之前被记录为诊断故障代码（DTC）。 Tabor记录到的车辆损坏情况 进一步调查显示，攻击者通过CAN注入，利用智能前照灯的线路进入了汽车的系统总线。CAN 总线几乎存在于所有现代化车辆中，微控制器使用它在不同系统之间进行通信并执行其功能。 在这种类型的攻击中，攻击者获得网络访问权限，通过智能钥匙接收器发送虚假指令，这些信息会“诱骗”汽车的安全系统解锁车辆并解除发动机防盗装置，从而让汽车被成功偷走。此漏洞的存在是因为大多数车型的内部指令不受任何安全机制保护，无法对其进行辨别。 需要注意，攻击者不能直接连接到智能钥匙，而必须通过连接到大灯的线缆，只有当两者都在同一CAN总线上时，才能连接。此外，攻击者必须通过某种特殊设备与线缆相连，向 ECU 发送伪造的 CAN指令，并向车门 ECU 发送另一条指令来验证密钥以解锁汽车。据悉，这种特殊设备在暗网可以卖到5500美元，且不仅仅针对丰田，包括宝马、GMC、凯迪拉克、克莱斯勒、福特、本田、捷豹、吉普、玛莎拉蒂、日产、标致、雷诺和大众在内的汽车品牌均有涉及。 这一发现凸显了增强汽车安全措施的必要性，以防止利用CAN 注入攻击的车辆盗窃行为。汽车制造商和网络安全专家解决此漏洞并实施必要的保护措施以保护现代车辆中的通信网络和系统。汽车厂商和网络安全专家需要解决这一漏洞，并实施必要的保障措施，以确保汽车的通信网络和系统安全。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363176.html 封面来源于网络，如有侵权请联系删除  

一个名为Mispadu的银行木马与多个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙等国家的垃圾邮件活动有关，其目的是窃取凭证并提供其他有效载荷。 拉丁美洲网络安全公司 Metabase Q 的 Ocelot 团队在与黑客新闻分享的一份报告中表示，这项活动于 2022 年 8 月开始，目前正在进行中。 certutil 方法使 Mispadu 能够绕过各种安全软件的检测，并从超过 17,500 个独特的网站获取超过 90,000 个银行账户凭证，其中包括许多政府网站：智利 105 个，墨西哥 431 个，秘鲁 265 个。 Mispadu（又名 URSA）于 2019 年 11 月首次被 ESET记录，描述了其进行货币和凭据盗窃以及通过截屏和捕获击键充当后门的能力。 “他们的主要策略之一是破坏合法网站，搜索易受攻击的 WordPress 版本，将它们变成他们的命令和控制服务器，从那里传播恶意软件，过滤掉他们不想感染的国家，丢弃不同类型的基于被感染国家的恶意软件。”研究人员 Fernando García 和 Dan Regalado 说。 据说它还与其他针对该地区的银行木马有相似之处，例如Grandoreiro、Javali和Lampion。涉及Delphi 恶意软件的攻击链利用电子邮件消息敦促收件人打开虚假的逾期发票，从而触发多阶段感染过程。 如果受害者打开通过垃圾邮件发送的 HTML 附件，它会验证该文件是从桌面设备打开的，然后重定向到远程服务器以获取第一阶段的恶意软件。 RAR 或 ZIP 存档在启动时旨在利用流氓数字证书（一个是 Mispadu 恶意软件，另一个是 AutoIT 安装程序）通过滥用合法的 certutil 命令行实用程序来解码和执行木马。 Mispadu 能够收集受感染主机上安装的防病毒解决方案列表，从 Google Chrome 和 Microsoft Outlook 窃取凭据，并促进检索其他恶意软件。 这包括一个混淆的 Visual Basic Script dropper，用于从硬编码域下载另一个有效载荷，一个基于.NET 的远程访问工具，可以运行由参与者控制的服务器发出的命令，以及一个用 Rust 编写的加载器，再反过来，执行 PowerShell 加载程序以直接从内存运行文件。 更重要的是，该恶意软件利用恶意覆盖屏幕来获取与在线银行门户和其他敏感信息相关的凭据。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/XWi07oilpA2ind0tlS8J_w 封面来源于网络，如有侵权请联系删除

一个新的恶意僵尸网络被发现，它以Realtek SDK、华为路由器和Hadoop YARN服务器为目标，将设备引入到DDoS（分布式拒绝服务）群中，有可能进行大规模攻击。 这个新的僵尸网络是Akamai的研究人员今年年初在自己的HTTP和SSH蜜罐上发现的，该僵尸网络利用了CVE-2014-8361和CVE-2017-17215等漏洞。 Akamai说，HinataBot的操作者最初分发Mirai二进制文件，而HinataBot首次出现在2023年1月中旬。它以Mirai为基础，是基于Go的变体。 显著的DDoS能力 该恶意软件通过对SSH端点进行暴力攻击或使用已知漏洞的感染脚本和RCE有效载荷进行分发。感染设备后，恶意软件会默默地运行，等待来自命令和控制服务器的命令执行。 HinataBot的旧版本支持HTTP、UDP、ICMP和TCP洪水，但较新的变体只具有前两种。然而，即使只有两种攻击模式，该僵尸网络也可以潜在地进行非常强大的分布式拒绝服务攻击。 攻击函数 虽然 HTTP 和 UDP 攻击命令不同，但它们都创建了一个包含 512 个工作线程（进程）的工作线程池，这些工作线程在自定义的持续时间内向目标发送硬编码数据包。 HTTP数据包的大小在484和589字节之间。而HinataBot产生的UDP数据包则特别大（65,549字节），由大量的空字节组成。 UDP泛滥数据包捕获 HTTP产生大量的网站请求，而UDP则向目标发送大量的垃圾流量；攻击者通过两种不同的方法来实现断网。 Akamai对僵尸网络的HTTP和UDP的10秒攻击进行了基准测试，在HTTP攻击中，恶意软件产生了20,430个请求，总大小为3.4MB。UDP产生了6733个包，总大小为421MB。 研究人员估计，如果有1000个节点，UDP可以产生大约336Gbps，而在10000个节点，攻击数据量将达到3.3Tbps。 在HTTP洪的情况下，1000个被捕获的设备将产生每秒2000000个请求，而10000个节点将采取这个数字的20400000 rps和27 Gbps。 目前，HinataBot仍在不断开发中，随时可能实施更多的漏洞并扩大其目标范围。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361013.html 封面来源于网络，如有侵权请联系删除

自2021年以来，被称为Winter Vivern的高级持续威胁与针对印度、立陶宛、斯洛伐克和梵蒂冈政府官员的活动有关。 SentinelOne 在与黑客新闻分享的一份报告中称，该活动针对波兰政府机构、乌克兰外交部、意大利外交部以及印度政府内部的个人。 “特别令人感兴趣的是APT以私营企业为目标，包括在正在进行的战争中支持乌克兰的电信组织。”高级威胁研究员汤姆黑格尔说。 Winter Vivern，也被追踪为UAC-0114，上个月在乌克兰计算机应急响应小组(CERT-UA)详细介绍了针对乌克兰和波兰国家当局的新恶意软件活动后引起了人们的注意，该活动旨在传播一种名为 Aperetif 的恶意软件。 此前记录该组织的公开报告显示，它利用包含XLM宏的武器化Microsoft Excel文档在受感染主机上部署PowerShell植入程序。 虽然威胁行为者的来源尚不清楚，但攻击模式表明该集群符合支持白俄罗斯和俄罗斯政府利益的目标。 UAC-0114 采用了多种方法，从网络钓鱼网站到恶意文档，这些方法都是为目标组织量身定制的，以分发其自定义有效负载并获得对敏感系统的未授权访问。 在2022年，年中观察到的一批攻击中，Winter Vivern 设置了凭据网络钓鱼网页，以引诱印度政府合法电子邮件服务email.gov.in的用户。 典型的攻击链涉及使用伪装成病毒扫描程序的批处理脚本来触发 Aperetif 木马从参与者控制的基础设施（例如受感染的WordPress站点）的部署。 Aperetif 是一种基于 Visual C++ 的恶意软件，具有收集受害者数据、维护后门访问以及从命令和控制 (C2) 服务器检索额外有效载荷的功能。 “Winter Vivern APT 是一个资源有限但极富创造力的组织，他们在攻击范围内表现出克制，”黑格尔说，“他们引诱目标参与攻击的能力，以及他们以政府和高价值私营企业为目标，都表明了他们行动的复杂程度和战略意图。” 虽然 Winter Vivern 可能已经成功地在很长一段时间内避开了公众的视线，但一个不太担心保持低调的组织是 Nobelium，它与 APT29（又名 BlueBravo、Cozy Bear 或 The Dukes）有重叠。 因2020年12月的SolarWinds供应链妥协而臭名昭著的克里姆林宫支持的民族国家组织继续发展其工具集，开发新的自定义恶意软件，如MagicWeb和GraphicalNeutrino。 这也归因于另一场针对欧盟外交实体的网络钓鱼活动，特别强调“帮助乌克兰公民逃离该国并向乌克兰政府提供帮助”的机构。 “Nobelium 积极收集有关在俄乌战争中支持乌克兰的国家的情报信息，”黑莓表示。“威胁行为者会仔细跟踪地缘政治事件，并利用它们来增加成功感染的可能性。” 该公司的研究和情报团队发现的网络钓鱼电子邮件包含一个武器化文档，其中包含一个指向HTML文件的链接。 这些武器化的URL托管在位于萨尔瓦多的合法在线图书馆网站上，具有与LegisWrite和eTrustEx相关的诱饵，欧盟国家使用这两者进行安全文件交换。 活动中提供的HTML投放程序（称为ROOTSAW或EnvyScout）嵌入了一个ISO映像，而该映像又旨在启动一个恶意动态链接库 (DLL)，该库有助于通过Notion的API传送下一阶段的恶意软件。 Recorded Future 曾于2023年1月披露了流行的笔记应用程序 Notion 用于C2通信的情况。值得注意的是，APT29使用了Dropbox、Google Drive、Firebase和Trello等各种在线服务，试图逃避检测。 “Nobelium 仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织(NGO)、政府间组织(IGO)和智库开展多项活动.”微软上个月表示。 调查结果发布之际，企业安全公司 Proofpoint 披露了自2021年初以来与俄罗斯结盟的威胁行为者TA499（又名Lexus和Vovan）策划的攻击性电子邮件活动，以诱骗目标参与录制的电话或视频聊天并提取有价值的信息。 该公司表示：“威胁行为者一直在从事稳定的活动，并将其目标扩大到包括为乌克兰人道主义工作提供大笔捐款或公开声明俄罗斯虚假信息和宣传的知名商人和知名人士。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/6YqWUKXS_bKSSkJR7xBIJA 封面来源于网络，如有侵权请联系删除

美国政府警告说，多个网络犯罪团伙，包括一个国家支持的黑客组织，利用一个四年前的软件漏洞损害一个美国联邦政府机构。CISA、联邦调查局和多国信息共享和分析中心（称为MS-ISAC）周三发布的一份联合警报显示，来自多个黑客团伙的黑客利用了网络服务器的用户界面工具Telerik的已知漏洞。 这个软件旨在为网络应用程序构建组件和主题，在多个美国机构面向互联网的网络服务器上运行。 CISA没有说出被入侵的联邦文职行政部门（FCEB）机构的完整名字，但这个名单包括国土安全部、财政部和联邦贸易委员会。 Telerik漏洞被追踪为CVE-2019-18935，漏洞严重程度评级为9.8（满分10.0），被列为2020年和2021年最常被利用的漏洞之一。该漏洞在2019年首次被发现，美国国家安全局此前警告说，该漏洞已被国家支持的黑客积极利用，以持有”敏感知识产权、经济、政治和军事信息”的计算机网络为目标。 CISA说，该漏洞允许恶意攻击者在该机构的网络服务器上”成功执行远程代码”，暴露了对该机构内部网络的访问。公告指出，该机构的漏洞扫描器未能发现该漏洞，因为Telerik的软件被安装在扫描器通常不扫描的地方。 根据CISA的咨询，该网络安全机构表示，从2022年11月到2023年1月初，它观察到多个黑客组织在利用这个漏洞，包括国家支持的黑客组织，以及一个与越南有联系的信用卡盗刷行为者，称为XE Group。 CISA已经发布了入侵防御指导，并敦促运行有漏洞的Telerik软件的组织确保应用安全补丁。 CISA本周还将一个Adobe ColdFusion漏洞添加到其已知的被利用的漏洞列表中，警告说该漏洞–被追踪为CVE-2023-26360，严重性评分为8.6–可以被利用，允许攻击者实现任意代码执行。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7211131095138435599/ 封面来源于网络，如有侵权请联系删除

3月10日，美国硅谷银行（Silicon Valley Bank，SVB）宣布倒闭，为全球金融体系带来冲击，影响不少新创公司，同时也带来了各种安全问题。 SVB的崩溃非常严重，许多初创公司现在面临财务不稳定甚至可能裁员的情况。因此，这些受影响的公司寻求替代融资方式来维持业务运营。 然而，这种对金融稳定的追求使他们成为威胁行为者的主要目标，这些威胁行为者利用当前形势进行各种恶意活动。 系统网路安全协会（SANS Institute）旗下的Internet Storm Center发出警告，他们发现黑客在美国硅谷银行宣布倒闭后，大肆注册与SVB有关的网域名称，很有可能将其用于攻击行动。 Cyble Research & Intelligence Labs (CRIL)也观察到相关攻击行动。其中一起假借SVB的名义，声称要回馈稳定币USDC（USD Coin）给用户，然而使用者若是依照指示透过加密货币钱包App扫描骇客提供的QR Code，他们的加密货币就有可能遭到洗劫一空。 CRIL已经确定了几个在SVB倒闭后出现的可疑网站。 一些网站在2023年3月10日SVB倒闭之后出现，这引发了对潜在威胁的担忧。这些网站似乎是由希望利用当前形势谋取私利的助教开发的。 3月13日，美国财政部、美联储和 FDIC 发布了一份联合声明，以保护所有储户的资金并确保他们可以使用他们的钱。尽管对受影响的存款人来说是一种解脱，但威胁行为者已经开始使用此公告来发起他们的恶意活动。 利用 SVB 崩溃危机进行的加密欺诈就是这种趋势的典型例子。在监控网络钓鱼活动的同时，CRIL已经检测到几种加密网络钓鱼计划，这些计划利用围绕SVB崩溃的当前情况来欺骗毫无戒心的受害者。 这些钓鱼网站，如svb-usdc.com和svb-usdc.net，已经建立了一个虚假的 USDC 奖励计划，声称“硅谷银行正在积极分发 USDC 作为 SVB USDC 回报计划的一部分给符合条件的 USDC持有人。” 如果用户单击“点击此处领取”按钮以在钓鱼网站上接收承诺的 USDC，则会显示一个二维码。受害者被指示使用任何加密货币钱包扫描此二维码，例如 Trust、Metamask 或 Exodus。但是，扫码会导致用户钱包账户被盗。 此外，Circle 表示，USDC 仍可按 1 换 1 的比例用美元兑换。在此公告发布后不久，CRIL 注意到几个钓鱼网站冒充 Circle 并宣传 1 USDC 换 1 美元的交易。 一个网址为hxxps://circle-reserves.com 的网站，它模拟了 Circle。该欺骗性网站向符合条件的持有者提供 USDC 空投代币，要求用户通过扫描二维码领取代币。但是，扫描代码会导致用户的钱包被盗用。 它经常利用正在进行的场景和事件发起大规模感染活动，用户可能会因恐惧、虚假的紧迫感和缺乏关注而上当受骗。 CRIL 发现的钓鱼网站旨在针对受SVB崩溃影响的组织，通过向受害者提供免费的 USDC 来窃取受害者账户中的加密货币。因此，受影响的组织必须保持警惕并采取积极措施来保护其敏感数据免受潜在的网络威胁。 列出了一些基本的网络安全最佳实践，这些最佳实践创建了针对攻击者的第一线控制，建议遵循以下最佳实践： 避免从未知网站下载文件。 在连接的设备（包括 PC、笔记本电脑和移动设备）上使用知名的防病毒和互联网安全软件包。 不要在未先验证其真实性的情况下打开不受信任的链接和电子邮件附件。 教育员工保护自己免受网络钓鱼/不受信任的 URL 等威胁。 监控网络级别的信标，以阻止恶意软件或 TA 的数据泄露。 在员工系统上启用数据丢失防护 (DLP) 解决方案。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/X3YyakS9uw79J-Ojz3lyrg 封面来源于网络，如有侵权请联系删除

近日，一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是，在其官网上 ，Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生，主动保护数据、系统和应用程序。” 从网络上公开披露的信息获悉，网络安全公司 Acronis 主要提供集成了备份、恢复以及下一代基于人工智能的防恶意软件和保护管理整体解决方案，覆盖预防、检测、响应、恢复和取证的五个网络安全关键阶段。 黑客异常嚣张 3 月 9 日， FalconFeedsio 突然在推特上爆出安全公司 Acronis 遭遇网络攻击，包括证书文件、命令日志、系统配置和文件系统存档，Maria.db 数据库的 Python 脚本、备份配置内容以及备份操作的屏幕截图在内的大量数据被盗（超过 21GB）。 此外，FalconFeedsio 还提到网络犯罪分子嚣张的在黑客论坛上宣称“我泄露了一家名为 Acronis 的网络安全公司的并附上了一个微笑的表情符号。 数据被盗事件不断发酵后，Acronis 官方账号在 FalconFeedsio 的爆料推文下面回复称，只有一个客户上传诊断数据到 Acronis 文件服务器的凭据受到损害，其它的 Acronis 产品并未受到影响，公司的内部客户服务团队正在与该客户合作处理，会根据需要进行更新。 Acronis 作为一家拥有 2000 名员工的老牌网络安全公司，年收入数以亿计，正常逻辑下，如此规模的安全企业，内部势必有专业的安全团队，完善的安全运营体系以及强大的网络安全技术，才能获得市场认可，对外输出安全产品。 然而，这样的背景下，黑客仍能够轻松突破防御体系并盗取数据，侧面反映出当下网络攻击手段的高超以及网络环境的危险。 被鹰啄的“冤大头”不止 Acronis一家 数字化转型浪潮下，数据泄漏、勒索软件、黑客攻击层出不穷，数据泄露、勒索软件、DDoS 攻击、APT 攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变，滋养了一大批的黑客组织，对企业发展造成了严重威胁。 黑客组织经过不断优化网络攻击技术，已不能仅仅满足攻击普通的企业组织带来的成就感，开始向外部展现“实力”，首选目标无疑便是网络安全企业。当然，Acronis 也并非是首家遭受黑客攻击的安全企业，其它安全巨头同样深陷网络危机中。 网络安全公司 FireEye 遭受国家级网络攻击 网络安全公司 FireEye 在应对国家级网络威胁方面有着丰富经验，但仍难逃黑客组织的攻击。2020 年 8月， FireEye 公司首席执行官 Kevin Mandia 向外界证实其内部遭受网络袭击，并表示黑客访问了 FireEye 的内部系统，但没有证据表明任何数据或元数据被盗。 这看似是一起普通的网路攻击事件，但鉴于FireEye 有几个政府客户，恰巧黑客主要搜寻目标也是某些与 FireEye 政府客户有关的信息，再加上发动此次攻击的黑客组织拥有严格的纪律、顶尖的安全运营和技术。因此，不能排除攻击是某个“拥有一流网络攻击能力的国家”所发起的。 攻击事件发生后，FireEye 联合联邦调查局以及其它主要合作伙伴（微软）一起展开调查。随着调查的深入，安全人员发现这伙黑客明显经过高强度的安全作战训练，严格执行纪律，使用了非常罕见的技术组合来窃取 FireEye 的资料，并为 FireEye 定制了一套极具针对性的攻击方案。 FBI 网络司助理局长 Matt Gorham 更是直接指出，初步攻击迹象表明，攻击者的攻击水平与技术成熟度可以与国家级技术比肩。 FireEye 之所以成为攻击目标，可能是由于拥有专业的网络攻击武器库，并掌握一些行业内尚未发现的漏洞，这些漏洞具有较高的价值。值得一提的是，这并非 FireEye 公司首次遭到黑客攻击。2017年，FireEye 旗下的 Mandiant 公司的内网也曾被黑客入侵，导致大量内部资料泄露。 FireEye 作为全球最大的网络安全公司之一，仍没有逃脱被网络攻击的厄运。由此可见“没有黑不了的系统”，就算再专业的安全公司也不能保证百分百安全。 数字安全巨头 Entrust 遭遇勒索攻击 FireEye 遭受的网络攻击幕后黑手可能有国家背景，并不能呈现出现阶段黑客组织的恐怖（毕竟是国家力量），但接下来这家安全公司的遭遇，可见当下的安全环境是多么危险。 2022 年 7 月，安全资讯网站 Bleeping Computer 突然爆出消息，数字安全巨头 Entrust 承认自身遭遇了网络攻击，并表示攻击者大肆破坏了其内部网络以及窃取大规模敏感数据。 Entrust 作为是一家专注于在线信任、身份管理、支付和数据安全的信息安全巨头，提供广泛的安全服务，包括加密通信、安全数字支付、身份验证和数据保护解决方案，由此推断本次攻击造成内部数据泄露，很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。 此外，Entrust 的客户不仅仅是企业机构，包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等在内的许多美国政府机构都是其忠实客户，因此此次事件带来的威胁无疑是巨大的。 经过安全专家验证，Entrust 可能早在 6 月 18 日就被黑客攻击和破坏，同时对方趁机窃取了公司的机密数据，攻击者确实从 Entrust 的内部系统中窃取了一部分数据，但是尚不清楚这部分数据是来自公司、客户还是供应商，最糟糕的情况是，三者都被窃取了。 Entrust 是一家全球性的数字安全巨头，相较于普通企业拥有大量优秀的安全人员以及完善的安全防护体系，仍旧成为了黑客组织的“刀下亡魂”，对于普通企业，特别是小微企业，在没有安全预算，资源投入的背景下，暴露在互联网世界，安全何以保障？ 写在最后 全球数字化转型浪潮下，企业机构纷纷“重注”数据变革，产生海量数据资源，滋养了大批网络犯罪团体，网络安全事件频频发生，攻击手段不断迭代升级，类似 Entrust ，FireEye 等大型网络安全公司尚且难逃黑客的“毒手”，其它企业组织更难抵御。 坦白讲，现阶段的互联网环境，漏洞频出、勒索软件蔓延、攻击面广泛、黑客攻击手段不断升级，网络威胁层出不穷，黑客组织炫耀“武力”的方式也越来越残暴，数据安全公司遭受网络攻击也侧面证目前网络环境日渐危险，毕竟保护企业信息安全的”警卫员”都被黑客组织打穿了。 最后，虽然企业机构想要彻底从源头解决安全问题并不现实，但仍旧不能坐以待毙，应该尝试做好充足的防范措施，以期最大程度降低安全事件带来的影响。       转自 Freebuf，原文链接：https://www.freebuf.com/articles/neopoints/360353.html 封面来源于网络，如有侵权请联系删除

自2022年11月以来，新版本的Prometei的僵尸网络已经感染了全球超过10000个系统。这些感染没有地域的限制，大多数受害网络在巴西、印度尼西亚和土耳其。 Prometei在2016年首次被发现，是一个模块化的僵尸网络，具有大量的组件和几种扩散方法，其中一些还包括利用ProxyLogon微软Exchange服务器的缺陷。 这个跨平台僵尸网络的目标是金融领域，主要是利用其受感染的主机池来挖掘加密货币和收获凭证。 在《黑客新闻》的报告中说，Prometei的最新变体（称为v3）在其现有功能的基础上进行了改进，以进行取证分析，并进一步在受害者机器上钻取访问。 其攻击序列如下：在成功站稳脚跟后，执行PowerShell命令，从远程服务器下载僵尸网络恶意软件。然后，Prometei的主要模块被用来检索实际的加密采矿有效载荷和系统中的其他辅助组件。 其中一些辅助模块作为传播者，旨在通过远程桌面协议（RDP）、安全外壳（SSH）和服务器信息块（SMB）传播恶意软件。 Prometei v3还值得注意的是，它使用域生成算法（DGA）来建立其命令和控制（C2）基础设施。它还包括一个自我更新机制和一个扩展的命令集，以获取敏感数据并控制主机。 最后，该恶意软件还部署了一个Apache网络服务器，它捆绑了一个基于PHP的网络外壳，能够执行Base64编码的命令并进行文件上传。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360219.html 封面来源于网络，如有侵权请联系删除

The Record 网站披露，西班牙巴塞罗那的一家医院遭遇勒索软件攻击，导致医院计算机系统故障，许多实验室、诊室和急诊室的电脑无法使用。据《国家报》报道，约 150 个非紧急手术和数千病人的预约检查被迫取消。 勒索事件严重影响医院开展工作 此次勒索攻击对医院正常运转产生了严重影响，由于无法进入电子病人数据共享系统，医疗人员只能被迫将诊断信息纸质化，一些紧急的病患也不得不转移到其它医院。 医院院长安东尼-卡斯特尔斯（Antoni Castells）告诉媒体，目前无法预测系统何时能够恢复正常，但好在内部有一个应急计划，基本可以保持医院持续运转几天。 勒索事件发生后，加泰罗尼亚地区网络安全局表示，Ransom House 勒索团伙“站出来”对此事负责，该团伙曾攻击过半导体公司 AMD，并声称出售了其“合作伙伴”窃取来的数据。 令人讽刺的是，在 Ransom House 团伙的泄露网站上赫然写着“与任何违规网络攻击没有联系，也没有生产或使用任何勒索软件”。 医院不会支付赎金 众所周知，勒索软件团伙在成功进行攻击活动后，通常会发送威胁邮件，提出在某个截止日期前没有支付勒索款，将公开泄露被盗数据。但截至当地时间周一，Ransom House 泄露网站上没有任何来自该医院的信息。 加泰罗尼亚地区政府的电信秘书 Segi Marcén 指出，目前医院还没有收到勒索要求，并一再强调即使受到勒索信息，医院也不会支付赎金。此外，《国家报》披露，地区政府正在统筹安全专家，以期快速恢复受攻击影响的计算机系统以及数据信息。       转自 Freebuf，原文链接：https://www.freebuf.com/news/359584.html 封面来源于网络，如有侵权请联系删除

当地时间2月28日消息，美国软件公司Beeline的数据库被攻击者发布在黑客论坛上，数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。 该数据库大约1.5GB，据称是攻击者从Beeline的Jira帐户中窃取的。Jira是由Atlassian开发的问题跟踪软件，用于bug跟踪和项目管理活动。与此同时，Beeline运营着一项软件即服务（SaaS）业务，专注于寻找和管理劳动力。 攻击者在黑客论坛上的发帖 攻击者声称该数据库包含Beeline的客户数据，例如名字、姓氏、Beeline用户名、职位以及其他数据。黑客论坛的帖子表明，这些数据窃取于2月25日。 记者通过邮件联系Beeline，但截至文章发表前暂未收到回复。 Cybernews研究人员调查了论坛上发布的样本数据，推测泄露的数据包括合法的公司数据。攻击者在论坛帖子中的一些屏幕截图的文件类型是用俄语编写的，这表明攻击者的操作系统默认语言可能是俄语。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/database/359008.html 封面来源于网络，如有侵权请联系删除