最近，我们观察到了Silent Librarian APT黑客组织针对全球范围内大学的网络钓鱼活动。10月19日，通过伪装的COVID-19调查，我们确定了针对哥伦比亚大学（UBC）员工的新型网络钓鱼文档，该文档是一个会自动下载勒索软件并勒索受害者的恶意Word文件。幸运的是，基于UBC网络安全团队的迅速对应措施，该网络钓鱼活动并未成功。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1390/       消息来源：Malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Cybereason Nightnus团队一直在追踪朝鲜的各种黑客组织，其中包括名为Kimsuky（又名：Velvet Chollima、Black Banshee和Thillium）的网络间谍组织。该组织至少从2012年开始活跃，在全球有许多攻击历史，包括针对韩国智库的攻击，在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。他们的观测目标包括： Pharmaceutical/Research companies working on COVID-19 vaccines and therapies UN Security Council South Korean Ministry of Unification Various Human Rights Groups South Korean Institute for Defense Analysis Various Education and Academic Organizations Various Think Tanks Government Research Institutes Journalists covering Korean Peninsula relations South Korean Military … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1385/     消息来源：Cybereason ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

本周谷歌从官方Play Store删除了17款Android应用程序。据来自Zscaler的安全研究人员Viral Gandhi称，这17个应用程序全部感染了Joker（又名Bread）恶意软件。他说：“这个间谍软件旨在窃取短信、联系人名单和设备信息，同时，也在悄悄地为受害者注册高级无线应用协议（WAP）服务”。 这17款应用分别是： All Good PDF Scanner Mint Leaf Message-Your Private Message Unique Keyboard – Fancy Fonts and Free Emoticons Tangram App Lock Direct Messenger Private SMS One Sentence Translator – Multifunctional Translator Style Photo Collage Meticulous Scanner Desire Translate Talent Photo Editor – Blur focus Care Message Part Message Paper Doc Scanner Blue Scanner Hummingbird PDF Converter – Photo to PDF All Good PDF Scanner 谷歌已经从Play Store中删除了这些应用程序，并启动了Play Protect禁用服务，但用户仍然需要手动干预从设备中删除这些应用程序。 Joker是游戏商店的祸根。截止本次，这已经是最近几个月，谷歌安全团队第三次处理Joker感染的应用程序。 本月初，谷歌团队刚删除6款被感染的应用。而在此前的7月，谷歌安全研究人员也发现了一批被Joker感染的应用程序。 据调查发现，这批病毒软件从3月份开始活跃，已经成功感染了数百万台设备。 这些被感染的应用程序采用的是一种叫做“滴管（dropper）”的技术。这种技术能让受感染的应用程序绕过Google的安全防御系统，直达Play Store，并分多个阶段感染受害者的设备。 从谷歌的角度来看，这项技术非常简单，但却很难防御。 首先，恶意软件的创造者会克隆合法的应用程序功能，并上传到Play Store。通常来讲，此应用程序功能齐全，可以请求访问权限，但首次运行时不会执行任何恶意操作。由于恶意操作往往会延迟数小时或数天，谷歌的安全扫描也不会检测到恶意代码，因此，此类应用程序通常会出现在Play Store商店内。 但一旦用户安装到设备上，应用程序就会在设备上下载并“丢弃”（由此得名为droppers或loaders）其他组件或应用程序，而这些组件或应用程序包含了Joker恶意软件或其他恶意软件。 今年1月，谷歌发表了一篇博文，声称Joker是过去几年来，他们应对过的最持久、最先进的威胁之一。同时，谷歌也表示，自2017年以来，其安全团队已从Play Store删除了1700多个应用程序。总之，防范Joker很困难，但是如果用户在安装具有广泛权限的应用程序时能够谨慎一些，可以降低被感染的可能。 此外，Bitdefender也向谷歌安全团队报告了一批恶意应用，其中一些应用程序仍然可以在Play Store上使用。Bitdefender没有透露应用程序的名称，只透露了上传应用程序的开发者帐户名称，并表示安装了这些开发人员的应用程序的用户应立即将其删除。       （消息及封面来源：cnBeta）

Maze 是最活跃、最臭名昭著的数据窃取勒索软件组织之一，不过现在它宣布“正式关闭”。这是一个令人费解的公告，公告中不仅多处出现拼写错误，而且是在暗网网站上发布的。在过去一年中，该组织已针对大量目标公司发起了攻击，包括信息技术咨询及业务流程提供商 Cognizant、网络安全保险公司 Chubb、制药巨头 ExecuPharm、特斯拉和SpaceX的零件供应商 Visser 和国防承包商 Kimchuk。 通常情况下，勒索软件会对硬盘数据进行加密，用户只有交付赎金之后才能解锁。而 Maze 的做法更加激进，它们会首先泄漏受害者的部分数据，并威胁他们如果不支付赎金就公开这些数据。它很快成为勒索软件组织的首选策略，勒索软件组织通常在黑暗的网络上建立网站，以在受害者拒绝付款时泄露其窃取的文件。 Maze最初使用漏洞攻击工具包和垃圾邮件活动来感染受害者，但后来开始使用已知的安全漏洞专门针对大型公司。Maze 随后使用易受攻击的虚拟专用网（VPN）和远程桌面（RDP）服务器对受害者的网络发动有针对性的攻击。 部分要求的赎金高达数百万美元。据报道，Maze向一家佐治亚州的电线和电缆制造商索要600万美元，并向一个未具名的组织索要 1500 万美元。但是，在 3 月宣布 COVID-19 大流行之后，Maze 以及其他勒索软件组织承诺不会以医院和医疗设施为目标。 安全公司 EMSIsoft 的勒索软件专家和威胁分析师布雷特·卡洛（Brett Callow）说：“显然，Maze 的这次退休是将信将疑的。这可能是该团体已经赚够了钱，可以关门大吉。不过更大的可能是他们要重新命名。由于迷宫是一个附属机构，他们的犯罪伙伴不太可能退休，而只会与另一个团体结盟。”       （消息来源：cnBeta；封面来自网络）

谷歌已从Play Store中删除了几款Android应用程序，原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现，称21个恶意应用（从此处列出）从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用，并带有HiddenAds恶意软件，该恶意软件是一个臭名昭著的木马，以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初，Avast发现了类似的HiddenAds广告活动，其中涉及47个游戏应用程序，下载量超过1500万次，用于显示设备范围内的入侵广告。 Avast的JakubVávra说：“广告软件开发商越来越多地使用社交媒体渠道，就像普通的营销人员一样。” “这次，用户报告显示，他们的目标是在YouTube上宣传游戏的广告。” “9月份，我们看到广告软件通过TikTok传播。这些社交网络的普及使它们成为有吸引力的广告平台，也使攻击者以年轻的受众为目标。” 安装后，这些应用程序不仅会隐藏其图标以防止删除，而且还隐藏在具有相关外观的广告后面，从而使其难以识别。 此外，这些应用还可以覆盖其他应用，以显示无法跳过的定时广告，在某些情况下，甚至可以打开浏览器用广告轰炸用户。 谷歌一直在积极阻止流氓Android应用渗透到谷歌Play Store。它利用谷歌Play Protect来筛选可能有害的应用程序，并于去年与网络安全公司ESET、Lookout和Zimperium结成“App Defense Alliance”，以降低基于应用程序的恶意软件的风险。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Boyne Resorts是一家经营度假活动服务的企业，WastedLocker勒索软件攻击了其网络系统，导致顾客无法进行网上预订业务。 据BleepingComputer报道，勒索软件通过添加“ .easy2lock”扩展名重命名文件，侵入了公司办公室网络并横向感染了IT系统，以至于公司被迫关闭部分网络进而防止勒索软件的传播。 7月，Smartwatch和设备制造商Garmin在遭到WastedLocker勒索软件的网络攻击后不得不关闭部分服务器。6月，安全专家报告，WastedLocker勒索软件已锁定对美国至少31个组织进行网络攻击。 NCC Group研究人员报告，经Smartwatch证实，该勒索软件由俄罗斯“Evil Corp”开发 。2019年12月，美国财政部因其造成了1亿多美元的经济损失，对Evil Corp施加制裁。美国司法部（DoJ）已指控俄罗斯公民Maksim V.（32）和Igor Turashev（38）传播了臭名昭著的 Dridex银行木马，还参与了国际银行欺诈和网络黑客计划。 美国当局禁止向WastedLocker支付赎金，这意味着如果Boyne Resorts支付赎金，就可能会受到严厉的制裁。       消息来源：securityaffairs ；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在过去的三个月里，勒索软件上升了50%，在一系列高调攻击之后，Ryuk勒索软件获得了最多的关注。上个月，有报道称，Ryuk攻击了UHS的医院网络，攻击范围为美国各海岸之间UHS的医疗设施。这一攻击使得许多医院工作人员无法正常使用实验室、放射检查和患者记录，这导致工作人员不得不使用纸笔对患者进行分类。目前，Ryuk每周攻击大约20个组织，这个数字可能会不断扩大。 Ryuk利用了TrickBot和Emotet等其他工具，快速响应了Zerologon等新暴露的漏洞。我们还看到，Ryuk自出现以来一直在进行迭代以逃避检测，显著提高了从执行到完全加密所需的时间，这使得我们的防范变得越发艰难。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1380/       消息与封面来源：SentinelLABS  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在 2018 年的一份报告中，FireEye 推测俄罗斯 CNIIHM（又名 TsNIIKhM）就是 Triton 恶意软件的幕后开发者。经过长时间的深入调查，美方现已决定对该机构实施制裁。据悉，Triton 恶意软件又被称作 Trisis 或 HatMan，能够有针对性地向特定类型的工业控制系统发起攻击，比如施耐德电气的 Triconex 安全仪表系统（SIS）控制器。 网页截图（来自：US Treasury） FireEye、Dragos、赛门铁克等机构的技术分析报告表明，Triton 类恶意软件主要通过网络钓鱼的形式进行诱骗传播。一旦感染了工作站，它就会在受害网络上寻找 SIS 控制器，然后尝试修改目标设置。 当然，这并不是我们首次听闻针对工业控制系统的恶意软件攻击报道。毕竟早在 2010 年，美方针对伊朗核设施的“震网”（Stuxnet）病毒就曾引发过强烈的争议。 研究人员指出，Triton 包含的指令可能导致生产中断、或使 SIS 控制的机器在可能引发爆炸的不安全状态下工作，对人类操作者的生命造成了巨大的威胁。 2017 年的时候，这款恶意软件在成功入侵后被初次发现，受害者是沙特私营企业 Tasnee 旗下的一座石化厂，当时差点造成了工厂的爆炸。自那时起，此类恶意软件还针对其它企业发起了攻击。 美国财政部在今日的一份新闻稿中补充道，调查发现该恶意软件背后的组织（TEMP.Veles 或 Xenotime）正在对美国至少 20 家电力公司进行漏洞扫描和探测。 作为制裁的一部分，美方宣布禁止该国实体与 CNIIHM 接触，并没收该研究机构在美国境内的所有资产。     （消息来源：cnBeta； 封面来自网络）

恶意软件攻击者希望通过便利功能吸引客户。现在，攻击者只需使用智能手机和Telegram应用程序，就可以远程控制恶意软件。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1379/       消息与封面来源：GDATA  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

最近几周，攻击者利用Purple Fox攻击Internet Explorer的次数激增。 我们的调查显示，Purple Fox利用了两个最新的CVEs—CVE-2020-1054和CVE-2019-0808。 此外，我们还注意到他们的攻击流发生了变化，这使得他们能够更好地规避防火墙保护和一些检测工具，通过采用代码虚拟化技术隐藏恶意代码。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1376/       消息与封面来源：SentinelLABS  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。