Hackernews 编译，转载请注明出处： 乌克兰计算机紧急响应小组（CERT-UA）警告称，当地关键基础设施可能受到古巴勒索软件攻击。 2022年10月21日，乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接，用于下载标题为“Наказ_309.pdf”的文档。 该网页旨在诱骗读者更新软件（PDF阅读器）来阅读文档。 单击“下载”按钮后，名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。 运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件，即ROMCOM RAT。 研究人员将RomCom后门的使用与黑客Tropical Scorpius（又名UNC2596）联系在一起，CERT-UA将其追踪为UAC-0132，负责古巴勒索软件的分发。 乌克兰发布的警报称：“考虑到RomCom后门的使用以及相关文件的其他功能，我们认为可以将检测到的活动与Tropical Scorpius (Unit42)，又名UNC2596（Mandiant）的活动联系起来，该集团负责古巴勒索软件的分发；CERT-UA 在标识符UAC-0132下监视活动。” 从2022年5月初开始，Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件，包括定制后门RomCom。 警报还包括此次活动的妥协指标。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

微软报告称，新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中，所有受害者在一小时内相互攻击。 该活动的一个显著特点是，很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出，该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。 微软威胁情报中心 (MSTIC) 发布的报告中写道：“该活动与最近与俄罗斯国家相关的活动，特别是在受影响的地区和国家，并与FoxBlade恶意软件（也称为HermeticWiper）的先前受害者重叠”。 HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器，其恶意代码被用于袭击乌克兰数百台机器的攻击。 微软注意到，该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击，这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。 MSTIC 尚未将这些攻击归因于已知的威胁组，同时，它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前，使用以下两个远程执行使用程序观察了威胁参与者： RemoteExec – 一种用于无代理远程代码执行的商用工具 Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案 DEV-0960 在一些攻击中使用以下工具来访问高权限凭证： winPEAS – 在 Windows 上执行权限提升的开源脚本集合 comsvcs.dll  – 用于转储 LSASS 进程的内存并窃取凭据 ntdsutil.exe – 用于备份 Active Directory 数据库，可能供以后使用凭据 “在所有观察到的部署中，攻击者已经获得了对域管理员等高权限凭证的访问权限，以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量，但在某些情况下，攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。” MSTIC 研究人员观察到威胁参与者使用三种方法部署 Prestige 勒索软件： 方法一：将勒索软件payload复制到远程系统的ADMIN$共享中，使用Impacket在目标系统上远程创建Windows Scheduled Task来执行payload 方法二：将勒索软件payload复制到远程系统的ADMIN$共享，使用Impacket在目标系统上远程调用编码的PowerShell命令来执行payload 方法三：将勒索软件负载复制到 Active Directory 域控制器并使用默认域组策略对象部署到系统 部署后，Prestige 勒索软件会在其加密的每个驱动器的根目录中放置一个名为“README.txt”的勒索记录。 Prestige 使用 CryptoPP C++ 库对每个符合条件的文件进行 AES 加密，以防止数据恢复，勒索软件会从系统中删除备份目录。 Microsoft 发布了一份入侵指标 (IOC) 列表，高级搜索查询可检测 Prestige 勒索软件感染。微软将继续监控 DEV-0960 活动并为我们的客户实施保护措施。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Wkww3B6prx4LMVSA5hTJIQ 封面来源于网络，如有侵权请联系删除

韩国网络安全公司AhnLab报告说，Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。 据悉，2022年7月，该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell，然后只花了7天时间就将权限升级为活动目录管理员，并在加密网络中托管的系统之前窃取了大约1.3TB的数据。 根据研究人员的说法，攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史，远程代码执行漏洞是在2021年12月16日披露的（CVE-2022-21969），特权升级漏洞是在2022年2月披露的，而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。  也就是说，在5月之后披露的漏洞中，没有与远程命令或文件创建有关的漏洞报告。因此，考虑到WebShell是在7月21日创建的，预计攻击者使用了一个未公开的零日漏洞。 专家们认为，攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。 在这份关于LockBit勒索软件的报告中，有很多内容，我不相信这是一个零日（报告中没有证据），但要注意一个问题。 – Kevin Beaumont (@GossiTheDog) 2022年10月11日 漏洞研究者Will Dormann指出，该报告没有包括利用一个新的零日漏洞的证据。 到目前为止，我只粗略浏览了该页面的翻译版本，但有什么证据表明这是一个不同的漏洞？ – Will Dormann (@wdormann) 2022年10月11日 Bleeping Computer指出，由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932，于2022年9月20日报告。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/eXa5J_TZeTO41ynS9oA9ig 封面来源于网络，如有侵权请联系删除

美国大型连锁医院之一疑似遭到勒索软件攻击，导致手术延迟、患者护理中断以及在全国范围内重新安排医生预约。拥有逾 140 间医院、被《贝克尔医院评论》（Becker’s Hospital Review）杂志评为全美第四大医疗系统的 CommonSpirit Health 本周二宣布遭遇“IT 安全问题”，迫使某些系统宕机。 虽然 CommonSpirit 拒绝透露具体细节，但一位熟悉其补救措施的人士向 NBC 新闻证实，它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而，包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。 一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说，她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术，但医生推荐等待医院的技术问题修复之后再进行手术。 对医疗保健链的勒索软件攻击相对普遍，两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院，它也可以使部分或全部数字系统脱机，从而切断医生和护士对数字信息的访问，例如患者记录和护理建议。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1325679.htm 封面来源于网络，如有侵权请联系删除

响应 NoMoreRansom Initiative 活动号召，罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器，LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现，以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro，导致这家挪威铝制造商停产近一周，损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称，LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击，造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态，当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示，逮捕后，警方花了几个月的时间检查突袭期间收集的数据，并发现了该组织的加密密钥，以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示：“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时，通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥，根据我们与相关执法部门的合作，这些密钥已私下与我们共享”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在Conti今年正式退出威胁领域后，包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马，但随着时间的推移，该恶意软件已成为巨大的威胁，它能够将其他有效负载下载到受害者的机器上，从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除，但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。 AdvIntel在上周发布的一份咨询报告中表示：“从2021年11月到2022年6月Conti解散，Emotet是Conti独有的勒索软件工具，然而，Emotet感染链目前被归咎于Quantum和BlackCat。” 典型的攻击序列需要使用Emotet（又名SpmTools）作为初始访问向量来投放Cobalt Strike，然后将其用作勒索软件操作的后利用工具。 臭名昭著的Conti勒索软件团伙可能已经解散，但它的一些成员仍然一如既往地活跃，要么是BlackCat和Hive等其他勒索软件团队的成员，要么是专注于数据勒索和其他犯罪活动的独立团体。 Quantum也是Conti的一个衍生组织，在随后的几个月里，它利用了回调网络钓鱼技术（称为BazaCall或BazarCall）来突破目标网络。 Recorded Future在上个月发布的一份报告中指出：“Conti附属公司使用各种初始访问媒介，包括网络钓鱼、凭据泄露、恶意软件分发和利用漏洞。” AdvIntel表示，自今年年初以来，它在全球范围内观察到超过1267000例Emotet感染病例，活动高峰出现在2月和3月，恰逢俄罗斯入侵乌克兰。 由于Quantum和BlackCat等勒索软件集团的使用，感染人数在6月至7月间再次激增。这家网络安全公司获取的数据显示，Emotet攻击最多的国家是美国，其次是芬兰、巴西、荷兰和法国。 ESET此前报告称，与2021年9月至12月的前四个月相比，2022年前四个月的Emotet检测数量增加了100倍。 据以色列网络安全公司Check Point称，Emotet在2022年8月最流行的恶意软件列表中从第一名跌至第五名，仅次于FormBook、Agent Tesla、XMRig和GuLoader。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国财政部海外资产控制办公室（OFAC）昨天宣布，对隶属于伊朗伊斯兰革命卫队（IRGC）的10名个人和两家实体实施制裁，理由是他们参与了勒索软件攻击。 美国财政部声称，过去两年以来，这些个人涉嫌参与多起勒索软件攻击，并入侵了美国和全球其他地区组织的网络。 这些恶意活动，还与多家网络厂商分别跟踪的国家资助黑客活动存在交集，具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。 美国财政部表示，“已经有多家网络安全公司发现，这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击，包括勒索软件和网络间谍活动。” “该团伙针对全球各组织及官员发起广泛攻击，重点针对美国及中东地区的国防、外交和政府工作人员，同时也将矛头指向媒体、能源、商业服务和电信等私营行业。” 三名成员信息被悬赏3000万美元 作为伊朗伊斯兰革命卫队的附属组织，该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC（简称Najee Technology）和Afkar System Yazd公司（简称Afkar System）员工，其中包括： Mansour Ahmadi：Najee Technology公司法人、董事总经理兼董事会主席 Ahmad Khatibi Aghda：Afkar System公司董事总经理兼董事会成员 其他雇员及同事：Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo”in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh 美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员，理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部（MOIS）开展合作。 一年之后，美国财政部又制裁了Rana Intelligence Computing公司及部分员工，称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。 在此次制裁公告中，美国国务院提供3000万美元，征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击，面临美国司法部的指控。 图：悬赏海报（美国国务院） 美国安全公司提供溯源证据链 昨天，美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告，描述了该威胁团伙的恶意活动并披露了技术细节。 安全公司Secureworks也紧跟发布一份报告，证实了美国财政部的信息。 Secureworks公司表示，由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误，该公司成功将Nemesis Kitten（也称Cobalt Mirage）团伙同伊朗的Najee Technology、Afkar System两家公司，以及名为Secnerd的另一家实体联系了起来。 Secureworks公司反威胁部门（CTU）在今年5月的报告中，也曾提到涉及Nemesis Kitten的类似恶意攻击（与Phosphorus APT团伙存在交集）。 上周，微软表示，Nemesis Kitten（也称DEV-0270）团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙（又名Charming Kitten和APT35）的子部门，为个人或公司获取非法收入。” 微软将该团伙与多家伊朗企业联系了起来，其中包括Najee Technology、Secnerd和Lifeweb。 微软解释道，“该团伙的攻击目标有很大的随机性：他们会首先扫描互联网以查找易受攻击的服务器和设备，因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”   转自 安全内参，原文链接：https://www.secrss.com/articles/46950 封面来源于网络，如有侵权请联系删除

新兴跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制（C2）基础设施，这一发展暗示着该组织的运营节奏正在提速。 使用Go编程语言编写的BianLian勒索软件于2022年7月中旬首次被发现，截至9月1日已声称有15个受害组织。 值得注意的是，这一新兴的双重勒索勒索软件家族与同名的Android银行木马没有联系，后者主要针对移动银行和加密货币应用程序窃取敏感信息。 安全研究人员Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介绍称， “该勒索软件对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞实现的，利用它来删除web shell或ngrok有效负载以进行后续活动。BianLian还将SonicWall VPN设备作为攻击目标，这是勒索软件组织的另一个常见目标。” 与另一个名为“Agenda”的新Golang恶意软件不同，BianLian攻击者从初始访问到实施加密的停留时间最长可达6周，这一持续时间远高于2021年报告的15天入侵者停留时间的中值。 除了利用离地攻击（living-off-the-land，LotL）技术进行网络分析和横向移动外，该组织还部署定制植入物作为维持对网络的持久访问的替代手段。 据研究人员介绍，后门的主要目标是从远程服务器检索任意有效负载，将其加载到内存中，然后执行它们。 BianLian与Agenda类似，能够在Windows安全模式下启动服务器以执行其对文件加密恶意软件，同时不被系统上安装的安全解决方案检测到。 为消除安全障碍而采取的其他步骤包括删除卷影副本、清除备份以及通过Windows远程管理（WinRM）和PowerShell脚本运行其Golang加密器模块。 据报道，已知最早的与BianLian相关的C2服务器于2021年12月出现在网络上。但此后，该C2基础设施经历了“令人不安的扩张”，现已超过30个活跃IP地址。 网络安全公司Cyble在本月早些时候详细介绍了该勒索软件的作案手法，据Cyble称，该勒索软件的目标组织跨越多个行业，如媒体、银行、能源、制造、教育、医疗保健和专业服务等。而且大多数组织位于北美、英国和澳大利亚。 BianLian是网络犯罪分子继续使用跳跃战术（hopping tactics）以避免被发现的又一迹象。它还增加了使用Go作为基础语言的越来越多的威胁，使攻击者能够在单个代码库中进行快速更改，然后可以针对多个平台进行编译。 研究人员补充道，BianLian已经证明自身擅长使用离地攻击（LOtL）方法来横向移动，并根据他们在网络中遇到的防御能力来调整操作。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343832.html 封面来源于网络，如有侵权请联系删除

洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击，导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务，并雇用了超过 26000 名教师。 本周一，该学区承认在上周末遭到网络攻击，随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”，不过该学区表示正着手恢复受影响的服务。LAUSD 表示，预计技术问题不会影响交通、食品或课后活动，但指出“业务运营可能会延迟或修改”。 该学区警告说，持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实，教师和学生可能无法访问 Google Drive 和 Schoology，这是一个 K- 12 学习管理系统，直至另行通知。 LAUSD 表示，根据对关键业务系统的初步分析，“员工医疗保健和工资单没有受到影响，网络事件也没有影响学校的安全和应急机制”。然而，目前尚不清楚攻击期间是否有任何数据被盗，LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件，旨在进一步勒索受害者，威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313305.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： QNAP发布了一项新的公告，建议其网络连接存储（NAS）设备的用户升级到最新版本的Photo Station。此前，又一轮DeadBolt勒索软件攻击在野外肆虐，利用了软件中的零日漏洞。 这家台湾公司表示，它在9月3日检测到了这些攻击，并表示该活动似乎针对运行Photo Station且暴露在互联网上的QNAP NAS设备。 该问题已在以下版本中得到解决： QTS 5.0.1：Photo Station 6.1.2及更高版本 QTS 5.0.0/4.5.x：Photo Station 6.0.22及更高版本 QTS 4.3.6：Photo Station 5.7.18及更高版本 QTS 4.3.3：Photo Station 5.4.15及更高版本 QTS 4.2.6：Photo Station 5.2.14及更高版本 目前该漏洞的细节尚不清楚，该公司建议用户禁用路由器上的端口转发，防止NAS设备在互联网上访问，升级NAS固件，为用户帐户应用强密码，并定期备份以防止数据丢失。 自2022年1月以来，这是针对QNAP设备第四轮DeadBolt攻击的最新进展，随后在5月和6月发生了类似的入侵。 该公司表示：“QNAP NAS不应该直接连接到互联网。我们建议用户使用QNAP提供的myQNAPcloud Link功能，或启用VPN服务。这样可以有效加固NAS，降低被攻击的几率。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文