据外媒报道，一家大型国际外汇兑换公司证实在12月31日的时候遭到了恶意软件攻击并由此暂停了一些服务。据悉，这家总部位于伦敦的公司在全球经营着1500多家门店。该公司表示，为了保护数据以及阻止恶意软件的进一步传播，作为预防他们将对系统做下线处理。 目前，这家公司的英国网站处于离线状态，当用户登入后会看到“服务器错误”的提示。这家公司网站表示，他们正在升级过程中所以处于离线状态。Travelex通过官推表示，员工现无法在网站上或通过应用进行交易。据称，一些门店甚至采取手动操作的方式来处理客户的请求。 而像Tesco Bank等需要依赖Travelex的公司也因此陷入宕机状态。 不过Travelex指出，截止到目前还没有发现有客户数据遭到泄露，但其并没有就此做详细说明或提供相关证据。   （稿源：cnBeta，封面源自网络。）

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序，该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现，被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃，活动目标是窃取全球范围内的企业支付卡信息，目前疑似已经袭击了100多家美国公司，袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月，臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉，并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外，BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看，BOOSTWRITE也是一个与FIN7组织相关联的加载程序，它也能够将恶意软件直接放入内存，但BIOLOAD通过二进制植入技术，采用dll的劫持方法，将恶意代码加载到合法程序中。 在研究过程中，Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库，这个链接库从windows 10 1803中开始清理安装Windows OS.此外，研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看，BIOLOAD装载机样本于分别2019年3月和7月进行了编制，而BOOSTWRITE样本于5月编制。在加载器上，BIOLOAD不支持多个有效载荷，而使用XOR来解密有效载荷，并不是ChaCha密码。在秘钥连接上，BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示，BIOLOAD加载器主要被用来进行程序攻击，并进行Carbank病毒传输。专家发现，这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明：BIOLOAD是由FIN7网络犯罪集团开发的，很可能是BOOSTWRITE的前身。 Fortinet因此得出结论：“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件，Fin7拥有最新工具的共享代码库，以及同样的技术和后门，导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议：由于加载程序是专门为每台目标计算机构建的，需要管理权限才能部署，因此建议相关部门要注意收集有关目标网络的信息。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序，以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一，它包含一个面板，面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本，它是一个用C语言编写的PE可执行文件，只有删除包含后门Powershell脚本的功能。在同样的逻辑下，还发现了另一个PowerShell脚本，它有两个不同的长字符串，包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件，OilRig威胁组织成员还巧妙使用了计俩，将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现，起到欺瞒用户的作用，使用户误认为是应用程序或互联网的接入有问题，而实际上却是在悄悄的将后门安装在系统上。”   消息来源：gbhackers， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

Maze勒索软件近期发布2GB的文件，有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击，该市的通信系统受到影响，网络系统几近瘫痪。据Bleeping Computer证实，这一事件的发生正是因为受到Maze勒索软件的攻击。昨天，Maze勒索软件也发布了32GB文件中的2GB文件，他们声称这些文件来源于在加密网络前就已盗取该市的网络数据，若想解密数据，需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中，Maze方透露，他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误，我们所盗取的数据远不止如此，我们也不想给这座城市造成压力，也早已表明了真实的意图，但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时，他们的回答是“这取决于彭萨科拉市政府”。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

Proofpoint 网络安全研究人员刚刚发现，有一款名叫 Emotet 的恶意软件，正在以“支持 Greta Thunberg.doc”的名义进行传播。尽管看似一封电子邮件，但其本质上是一款窃取 Windows PC 上金融信息的网银木马。攻击者试图以这位瑞典环保少女的名义，邀请受害者参加圣诞前夕的气候变化抗议活动。 早些时候，Greta Thunberg 因一系列旨在提升全球环保意识的活动，被《时代》杂志评为了 2019 年度人物。 对于那些毫无戒心的网友们来说，需要对这类基于电子邮件的恶意软件传播活动提高警惕。 Proofpoint 安全研究人员指出，这轮攻击主要针对美国、欧洲和亚洲地区拥有 .edu 电子邮件地址的学生群体，甚至出现了使用多种语言的版本。 Proofpoint 补充道：“我们发现受攻击的 .edu 域名数量超过与任何特定国家 / 地区相关的域名。鉴于 Thunberg 得到了学生和年轻人群体的有力支持，黑客的套路也是有些讲究的”。 遗憾的是，转发此电子邮件，并不会对缓解气候危机有任何帮助，反而只会让更多计算机不小心感染上 Emotet 恶意软件。 这款网银木马伪装成了微软 Word 文档附件，并且使用了与邮件主题相同的“支持 Greta Thunberg.doc”文件名。 Proofpoint 提醒道：“假日期间，攻击者会毫不犹豫地瞄准和利用人们的善意，也算是一种另类的公益意识晴雨表了”。   （稿源：cnBeta，封面源自网络。）

每当备受期待的节目或电影上映甚至临近上映时，盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法，而一些不良行为者总是很快就可以利用这一趋势。例如去年，恶意软件伪装成《权力的游戏》等剧集，该剧的种子资源病毒泛滥，占比高达17%。 由于剧集非常受欢迎，骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在，似乎骗子再次利用了这些策略。在迪士尼发行《星球大战：天行者崛起》电影之后，似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道，卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言，这是一个惊人的数字，但据报道，最近，该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言，这些“活动”中的大多数显然都是可疑的，并且很容易避免。 但是，对于那些缺乏网络经验的人来说，很容易就可以从表面上获得这些太过真实的提议，这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内，虚假的《星球大战》下载“活动”的数量可能只会增加，因此卡巴斯基建议用户保持警惕，并最好前往影院观看电影。另外，也可以等待其登陆官方流媒体或下载平台，例如Amazon，Disney +或其他平台。   (稿源：cnBeta，封面源自网络。）

由于被一个名为Mozi的P2P僵尸网络入侵，Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码，可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后，对其进行了为期四个月的监控，发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息，然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快，也会导致大量僵尸网络在DHT协议中巧妙藏身，更难被检测。 此外，Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播，该行为主要通过登录加密性弱的路由器或CCTV DVR来实现，在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备，新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后，新的网络节点将接收并执行僵尸网络主机的命令，此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象，研究人员做出解释：Mozi在通过DHT协议建立p2p网络后，配置的网络设备会同步更新，相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备： 像Nugache、Storm（又名Peacomm）、Sality P2P、Waledac、Kelihos（又名Hlux）、ZeroAccess（又名Sirefefef）、Miner和Zeus这样的P2P僵尸网络从2006年初开始，就为他们的主人组建了庞大的僵尸网络系统，但现在大部分已经灭绝，而另一些设备如Hajime 、Hide’N Seek（简称HNS），他们仍在寻找易受攻击的设备。 2018年9月，Hide’N Seek在短短几天内感染9万多台设备，而Hajime自2016年秋季首次被发现以来，在短短6个月内，感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性，但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前，关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是，在此项检测之前，若相关目标还未被修补，Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外，另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现，该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描，而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源：bleepingcomputer， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

美国司法部发布报告：美国企业及金融机构盗窃案告破，其中三名犯罪分子已被监禁判刑。 该案件发生在2015至2016年间，犯罪分子主要是利用 GozNym banking Trojan病毒入侵全球的4000多台计算机来进行网络欺诈，最终盗取近1亿美元，美国和欧洲损失最为严重。而Goznym病毒的本质是一个银行木马，它由两大部分组成，分别是2012年首次出现的银行木马Gozi ISFB 以及类似勒索软件的木马下载器Nymaim。 今年五月，欧洲刑警组织捣毁这一犯罪网络，美国对该犯罪组织10名成员提出指控，5名成员当场被捕，包括开发者在内的另外五名成员潜逃。 周五，在匹兹堡的一家联邦法院，事件中担任财务的Krasimir  Nikolov以网络欺诈罪名被联邦政府指控。Nikolov于2016年9月被保加利亚当局逮捕，并于2016年12月被引渡到保加利亚。而在格鲁吉亚被逮捕起诉并判刑的另外两名成员Alexander Konovolov及Marat Kazandjian也分别被判监禁7年和5年。 该恶意软件运行流程为：先利用大规模恶意软件来攻击受害者的电脑，然后进行病毒传播，在受害者将他们的银行密码输入浏览器后，通过恶意软件来捕获账户密码，继而登录银行账户进行资金转移。 对于该案件的告破，美国检察官Scott W. Brady说到：“这是全球各执法伙伴共同合作的功劳。”   消息来源：thehackernews， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

加密货币挖矿僵尸网络MyKingz（也称为Smominru，DarkCloud或Hexmen）在感染链中使用流行歌手泰勒·斯威夫特（Taylor Swift）的图像来隐藏恶意软件payload。   MIKINGZ僵尸网络的简短历史 MyKingz首次出现的时间在2017年底，其在此后一直是市场上最大的加密采矿恶意软件。 MyKingz背后的小组主要致力于感染Windows系统，通过在系统中部署各种挖矿程序来获取利润。 MyKingz具有僵尸网络中最多样化的Internet扫描和感染机制。如果有什么可以扫描的端口或者可以利用的漏洞，MyKingz有相当一部分的概率参与其中。从MySQL到MS-SQL，从Telnet到SSH，从RDP到IPC和WMI等，都是它的目标。 这使僵尸网络发展非常迅速。据报道，在MyKingz诞生的头几个月，它便已经感染了超过525,000个Windows系统，价值超过230万美元。 MyKingz也是EternalBlue漏洞的忠实拥护者，其隐藏在公司网络内部，规模估计高达100万个，并可能更大。 尽管有些人认为僵尸网络自2018年初以来就已经消失了，但Guardicore和Carbon Black在今年夏天发布的报告显示，僵尸网络仍然非常活跃，仍在感染大量计算机，估计每天大约有4700个新系统受到感染。 泰勒·斯威夫特 总部位于英国的安全公司Sophos在本月发现了该僵尸网络的新进展。 由于MyKingz的Internet扫描模块可以识别易受攻击的主机并在受感染的计算机上立足，因此，他们需要一种在被入侵的系统上部署各种恶意软件payload的方法。 据Sophos称，MyKingz的工作人员现在正在尝试进行隐写术，该技术可以使他们将合法文件内的恶意文件隐藏起来。MyKingz团队将恶意EXE隐藏在流行歌手Taylor Swift的JPEG图像内。 图片：Sophos Labs 使用此技术的目的是欺骗在企业网络上运行的安全软件。这些安全产品将只会使主机系统下载普通的JPEG文件，而不下载危险得多的EXE文件。 MyKingz绝不是第一个利用隐写术或名人形象的恶意软件团伙。去年，另一个恶意软件团伙使用女演员斯嘉丽·约翰逊（Scarlett Johansson）的图像在PostgreSQL数据库上部署了恶意软件。 近几个月来，恶意软件帮派也从图像中完全消失了，一些恶意软件操作正在尝试使用其他文件格式进行基于隐写术的攻击，例如WAV音频文件。 但是，尽管这对于MyKingz近期的攻击活动来说可能是一个有趣的发现，但使用Taylor Swift映像隐藏恶意软件并不是最主要的问题。 最主要的问题是，在过去的两年中，MyKingz被证明是对Windows计算机和企业网络的最大威胁之一。该僵尸网络很可能会破坏任何未打补丁或端口未保护的系统。 根据Sophos关于MyKingz的最新报告，MyKingz运营商目前平均每天可赚取约300美元，使他们的历史记录总数达到9,000 XMR左右，价值超过300万美元。     消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw   一、概述 腾讯安全御见威胁情报中心接受到用户求助，称其公司内服务器文件被全盘加密，被加密文件全部修改为.geer类型。经远程协助查看，攻击者疑似通过RDP弱口令登录成功后投毒，再将系统日志全部清除，并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多，攻击者利用这些工具，对内网其它机器实施攻击，以扩大勒索病毒对该企业网络的破坏数量，勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件，暂无有效的解密工具，我们提醒各政企机构高度警惕，尽快消除危险因素，强化内网安全。 二、分析 该勒索病毒编写极为简洁，仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数，希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时，该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件，整个勒索加密模块更像是为了此次攻击，紧急编写制作而成。 病毒使用RSA+salsa20的方式对文件进行加密，RSA公钥硬编码Base64编码后存放，全局生成的salsa20密钥将被该公钥加密后作为用户ID使用，对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾，被加密文件暂时无法解密。 如下图中，文件被加密后添加geer扩展后缀，同时留下名为READ_ME.txt勒索信，要求用户联系指定邮箱geerban@email.tg购买解密工具。 查看用户侧染毒环境可知，攻击者并不满足于只攻陷这一条服务器，还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知，攻击者在目标机器部署了大量对抗工具，主要有进程对抗工具(processhacker，Pchunter等)，内网扫描工具（NS），系统日志清理工具(Loggy cleaner.exe)，同时还有大量的本地密码抓取工具（包括mimikztz本地口令抓取，各类浏览器密码抓取，邮箱密码抓取，RDP，VNC登录口令抓取等工具）。 被攻击环境中存在大量残留的密码抓取工具，此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器，一旦该部分机器使用了与本机相同被窃取的弱密码，则也会同时成为攻击者加密目标。 联系攻击者可知，其索要0.37比特币的解密赎金，市值约1.7万人民币。 三、安全建议 企业用户： 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据（数据库等数据）进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户： 启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码 打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs MD5: b27e50375a815f59a8a8b33fd5d04367