黑客正在分发一种新的以AutoHotkey（AHK）脚本语言编写的凭据窃取程序，这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标，特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言，旨在为宏创建和软件自动化提供简单的热键，允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications（VBA）AutoOpen宏的带有恶意软件的Excel文件，该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务，而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示：“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露，特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器（比如Google Chrome、Opera、Microsoft Edge等）的凭证窃取程序。一旦安装，窃取程序会尝试在受感染的机器上下载SQLite模块（“sqlite3.dll”），使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后，窃取程序从浏览器收集并解密凭证，并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”，其中包含的使用说明（用俄语编写）可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结：“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言，加载恶意组件并频繁更改C&C服务器，黑客就能隐藏其恶意意图。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务：密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中，该蠕虫还尝试利用WebLogic的最新漏洞：CVE-2020-14882。 在我们的分析过程中，攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态，并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1440/         消息来源：intezer，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞，在目标环境中部署SUPERNOVA恶意软件。 CERT协调中心发布的咨询报告表示，用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），该漏洞可能允许黑客执行未经身份验证的攻击API命令，从而导致SolarWinds实例的妥协。 SolarWinds在12月24日发布的安全公告表示，黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止，我们仍不清楚相关漏洞的细节。 在过去的一周中，Microsoft透露黑客可能正在滥用SolarWinds的Orion软件，在目标系统上投放另一种名为SUPERNOVA的恶意软件。 网络安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点，他们都将其描述为.NET Web Shell：一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。 虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件，但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。 Unit 42研究人员指出：“SUPERNOVA的新颖之处在于：在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。” 政府机构和网络安全专家正在努力挽救此次黑客攻击的后果，并汇总全球入侵活动。 为了修复身份验证绕过漏洞，安全专家建议用户将SolarWinds Orion Platform更新至最新版本： 2019.4 HF 6（2020年12月14日发布） 2020.2.1 HF 2（2020年12月15日发布） 2019.2 SUPERNOVA补丁（2020年12月23日发布） 2018.4 SUPERNOVA补丁（2020年12月23日发布） 2018.2 SUPERNOVA补丁（2020年12月23日发布）       消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月，我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击，而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中，我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次，JS sniffer的代码使用了Radix模糊处理。然后，攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中，UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1438/       消息来源：group-ib，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在跟踪Lazarus组织的活动时，我们发现他们最近瞄准了与COVID-19相关实体。9月底，他们袭击了一家制药公司。此外，他们还袭击了与COVID-19有关的政府部门。而且，每一次攻击都使用了不同的战术、技术和程序（TTP）。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1437/         消息来源：securelist，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作，安全与技术研究所（IST）正倡导组建全新的勒索软件特别工作组（RTF）。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括：“RTF 将评估现有解决方案在处理勒索软件方面的级别，寻找其中的差距，并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献，RTF将委托专家撰写论文，并让各行业的利益相关者参与进来，围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         （消息及封面来源：cnBeta；）

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件，又陆续揭示了更多的受害者。据说有俄方背景的黑客组织，对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击，且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多，外媒猜测有更多大型科技企业遭到了类似的攻击。 （图 via SeekingAlpha） 《华尔街日报》的最新报道称，包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络，也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示，有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少，但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查，且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样，后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响，可能要花费相当长的时间。此外美联社的早前报道指出，企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是，调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”（Supernova）的早期攻击，只是被称作 Sunburst 的主攻击的一部分。 最后，虽然私企对 SolarWinds 系统攻击事件的反应并不强烈，但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         （消息来源：cnBeta；封面来源于网络）

远程访问木马（RAT）的防御者不会立即辨别这是来自APT黑客的恶意软件。同样，网络服务（例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL）的恶意攻击也是如此。在2020年，APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1434/         消息来源：trendmicro，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者总是在寻找一种方法来执行受害者机器上的文件，并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器，那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey（AHK）就属于这种脚本语言。特别是，AHK是一种面向Windows的开源脚本语言，旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1432/         消息及封面来源：trendmicro，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。 在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。” ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。 ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。 在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。 Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”