该活动被Blackberry研究人员称为“CostaRicto”，这场运动似乎是APT组织的杰作，他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。 研究人员表示，“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家，但最大的集中似乎在南亚（特别是印度、孟加拉国、新加坡和中国），这表明攻击者可能驻扎在该地区。但是，他们从不同的客户那里获得了广泛的佣金。” 攻击者通过被盗凭证在目标环境中获得了立足之地后，便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器，该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。 除了DNS隧道管理命令与控制（C2）服务器，上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。 后门配备了50个不同的命令来执行特定任务（可分为core、taskman、config、storage、debug、network函数），从将恶意dll注入内存到枚举存储中的文件，再到将捕获的数据泄漏到攻击者控制的服务器。 总共已经确定了6个版本的SombRAT，第一个版本可以追溯到2019年10月，最新的版本在今年8月初观测到，这意味着后门正在积极开发中。 虽然攻击者的身份仍不清楚，但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关，该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的，暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。 这是Blackberry发现的第二起黑客雇佣行动，第一起是由一个名为Bahamut的组织发起的一系列行动，他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。 Blackberry研究人员表示:“勒索软件即服务（RaaS）取得了不可否认的成功，因此网络犯罪市场扩大其业务范围，将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。” “将攻击或攻击链的某些部分外包给独立的佣兵组织，对攻击者有很多好处——它可以节省自己的时间和资源，简化程序，最重要的是，它利于保护自己的真实身份。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员发现了针对巴西，拉丁美洲和欧洲金融机构的银行木马“Tetrade”，四个月后，调查表明，攻击者扩大了策略，利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队（GReAT）的说法，总部位于巴西的威胁集团Guildma部署了“Ghimob”，这是一种Android银行木马，针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示，“Ghimob是您一种成熟间谍：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上，其功能与其他移动RAT十分相似，它通过隐藏应用程序中的图标来掩饰自己的存在，并滥用Android的辅助功能来获得持久性，禁用手动卸载并允许银行木马捕获击键信息，操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示：“即使用户有适当的屏幕锁定模式，Ghimob也能够记录下来，然后再解锁设备。” “当攻击者准备执行交易时，他们可以插入黑屏作为覆盖或以全屏方式打开某些网站，因此当用户查看该屏幕时，攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外，Ghimob的目标多达153个移动应用程序，其中112个是巴西的金融机构，其余的是德国，葡萄牙，秘鲁，巴拉圭，安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说：“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近日有报道称，某些防病毒产品会将戴尔的打印机驱动程序标记为恶意软件。目前尚不清楚到底是什么情况，但戴尔已经紧急撤除了下载链接。Windows Central 援引网络安全观察记者 Brian Krebs 的话称，大家应暂时尽量避免安装任何戴尔打印机的驱动程序更新。 戴尔在致 Windows Central 的一份声明中称：公司网络安全团队已将问题驱动文件从可被公共访问的资源库中剔除，并就此事展开深入的调查。该公司致力于保护客户的信息，网络和产品的安全性一直是其第一要务。 如果你正在使用戴尔的打印机产品，目前看来最好还是临时避免安装任何驱动程序更新，直到本次被防病毒软件标记为恶意软件的事件被调查得水落石出。以下是 VirusTotal 上的检测清单： Virus Total 的结果表明，已有超过 24 款反病毒软件的引擎，在本次戴尔打印机驱动程序更新文件中检测到了恶意软件，其中包括 Avast、BitDefender、Microsoft Security、以及 McAfee 等知名厂商。 这些大牌软件都将本次驱动更新标记为不安全，普遍认定其具有特洛伊木马或通用恶意软件的特征。至于是否有人攻击、替换、或篡改了戴尔的文件下载服务器，仍有待进一步的调查去澄清。       （消息来源：cnBeta；封面来自网络）

Ghacks 报道称，Mozilla 已经发布了 Firefox Web 浏览器的最新稳定版本，与 Thunderbird 电子邮件客户端一样修复了一个严重的安全漏洞。首先是 Firefox 82.0.3 和 Firefox 78.4.1 长期支持版（ESR），Mozilla 推荐用户通过“帮助 -> 关于”菜单来手动执行更新检查，或直接下载最新版的安装包。 （截图 via Ghacks） Thunderbird 电子邮件客户端的用户，亦可通过“帮助 -> 关于”菜单来手动执行更新检查，或通过官网下载完整的更新安装包。 由 Firefox 82.0.3 和 Thunderbird 78.4.2 的发行说明可知，本次更新仅仅修复了 CVE-2020-26950 安全漏洞，问题在于未充分考虑 MCallGetProperty 操作码在某些情况下的写入副作用。 据悉，该漏洞是在 2020 年 11 月 7-8 日举办的《2020 天府杯国际网络安全大赛》（中国版的 Pwn2Own 竞赛）期间被披露的。 Mozilla 基金会的 2020-49 安全通报显示，已在新版浏览器和电子邮件客户端中被修复的这个安全问题，属于严重度最高的等级。 作为应对，Mozilla 迅速生成了一个补丁程序，来修复当前所有版本的 Firefox Web 浏览器和 Thunderbird 电子邮件客户端中的安全隐患。 至于 Firefox 的下一个稳定版本，仍定于 2020 年 11 月 17 日发布。       （消息及封面来源：cnBeta）

据外媒报道，日前，FBI发出了一个安全警报，其警告威胁行为者正在滥用配置错误的SonarQube应用以访问并窃取美国政府机构和私人企业的源代码库。该机构在上个月发出并于本周在其网站上公布的一份警告中指出，这种类型的攻击事件至少从2020年4月就已经开始了。 该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用，各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。 SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI表示，一些公司没有保护这些系统，它们使用的是默认的管理凭证(admin/admin)并在默认配置（端口9000）上运行。 FBI官员称，威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库，然后访问和窃取私有/敏感的应用。 FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。 网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告，但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。 当时，数据泄露猎人Bob Diachenko警告称，那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。 今年，瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉，Kottmann在一年的时间中通过一个公共门户网站收集了 为了防止这样的泄露，FBI的警告列出了公司可以采取的一系列保护措施，首先是改变应用的默认配置和凭证，然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。     （消息来源：cnBeta；封面来自于网络）

据外媒报道，巴西高等司法法院(STJ)遭遇重大网络攻击，将使其业务停顿整整一周。事件是在周二（3日）发现的，当时正有几个审判庭在进行。据STJ称，在法院的网络中发现了一种病毒，作为预防措施，与互联网的链接被切断，促使审判会议被取消。法院的所有系统，包括电子邮件以及电话系统也因此无法使用。 STJ部长Humberto Martins 5日就这一事件发表声明，称此次攻击并没有影响到正在进行的法院诉讼的相关信息。根据部长的说明，入侵利用加密技术阻止了数据的访问，但有备份。后来，它出现了攻击也影响了法院的备份，这被描述为巴西有史以来最严重的网络安全事件。 除了巴西陆军网络防御中心和STJ的技术供应商(包括微软等公司)，该机构目前正在利用磁带备份恢复系统环境。原本以虚拟方式进行的STJ会议也全部暂停。据该法院表示，在恢复专责小组进展期间，只处理紧急的案件工作，预计11月10日系统将恢复运行。 在STJ的要求下，联邦警方已经展开调查。巴西总统博索纳罗5日在直播中表示，网络攻击事件的始作俑者已经索要赎金，并且已经找到了事件的肇事者。但截至发稿时，尚未得到警方证实。 在STJ网络攻击事件发生之前，上周日有消息称，巴西国家司法委员会的服务器遭到 “未经授权的访问”。     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg   一、概述 腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警SSH爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化，并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时，客户未遭受损失。 腾讯威胁情报中心建议企业用户检查Linux服务器上是否存在以下文件，若存在，建议删除木马文件并将SSH的登陆口令设置为强密码。 /usr/lib/8uc_bt /usr/8uc_bt /boot/8uc_bt /root/8uc_bt.1 /root/8uc_bt /dev/8uc_bt /8uc_bt   腾讯安全系列产品针对Kaiji木马最新变种的响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Kaiji木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Kaiji木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1)Kaiji木马关联的IOCs已支持识别检测； 2)检测SSH弱口令爆破攻击； 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1)已支持查杀kaiji木马程序； 2)支持检测SSH弱口令爆破攻击； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1)已支持通过协议检测kaiji木马与服务器的网络通信； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀kaiji木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、详细分析 SSH是 Secure Shell的缩写，由IETF的网络小组（Network Working Group）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。云上服务器使用SSH服务的占比较高，而部分用户往往又未对其采取安全的配置，使得SSH监听在默认的22端口且不具备高强度密码、甚至使用空口令，导致黑客可轻易针对服务器22端口进行爆破入侵。Kaiji以root用户为目标，通过SSH暴力破解进行攻击传播。Kaiji通过根用户登陆，可以实现某些自定义网络数据包的DDoS攻击（在Linux中，自定义网络数据包仅提供给特权用户）。建立SSH连接后，会执行bash脚本，下载二进制木马文件8uc_bt并执行。 8uc_bt采用golang编写，执行后会通过修改系统初始化脚本init.d将恶意代码添加到启动项。 然后解密内置的C2服务器地址。     进入Main_doTask循环代码，从C2：a.kaiqingd.com:2323获取命令并执行。 执行的命令包括： DDoS指令； SSH暴力破解指令； 运行shell命令； 替换C2服务器； 删除自身和所有持久化任务。 其中DDoS 攻击类型包括： tcpflood udpflood getflood tapflood tcpddosag synddos 部分执行命令的函数名如下： main_runkshell：通过rc.d和Systemd服务安装持久性； main_runghost：通过/etc/profile.d（/etc/profile.d/linux.sh）安装持久化任务； main_rundingshi（汉字拼音：运行定时）：通过crontab安装持久化任务； main_runshouhu（汉字拼音：运行守护）：调用rootkit，将rootkit复制到/etc/32679并每30秒运行一次； main_Getjiechi、main_Jiechixieru、main_Jiechigo（汉字拼音：劫持写入）：通过劫持系统程序启动木马。 其中“dingshi”、“shouhu”、“jiechi”等汉语拼音字符显示该木马作者疑似来自国内。   IOC Md5 348e35db572ad76271220280c5a64190   C&C a.kaiqingd.com:2323   IP 113.200.151.118 (ZoomEye搜索结果）   参考链接： https://securityaffairs.co/wordpress/102753/malware/kaiji-linux-iot-malware.html https://www.intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang

英国隐私监管机构表示，已就喜达屋酒店及度假酒店国际集团(Starwood Hotels & Resorts Worldwide Inc., 简称﹕喜达屋)遭受网络攻击对万豪国际集团(Marriott International Inc., MAR)处以1840万英镑（2380万美元）的罚款。 英国信息委员办公室（ICO）表示，一项调查发现万豪未能实施适当的技术或组织措施来保护其系统上处理的个人数据，该机构对该公司未能确保客户个人数据的安全而实施处罚。 今年3月31日，万豪国际集团发布公告，称约520万名客人的信息可能被泄露，包括姓名、地址、联系方式、偏好等。 这已经不是万豪首次大规模泄露客人的个人隐私。 早在2018年11月，万豪国际集团官方发布声明称，喜达屋旗下酒店的客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。这些客人中约有3.27亿人的信息包括：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生日期、性别、到达与离开信息、预定日期和通信偏好。对于某些客人而言，泄露的信息还包括支付卡号和支付卡有效期，但支付卡号已通过高级加密标准(AES-128)加密。 上述消息公布后，万豪国际股价大跌5.75%。当时万豪国际集团并表示已向相关执法部门报告此事件，并配合调查。 资料显示，2016年美国连锁酒店运营商万豪国际集团以超120亿美金收购喜达屋酒店及度假村全球公司。       （消息来源：cnBeta；封面来自网络）

最近，我们观察到了Silent Librarian APT黑客组织针对全球范围内大学的网络钓鱼活动。10月19日，通过伪装的COVID-19调查，我们确定了针对哥伦比亚大学（UBC）员工的新型网络钓鱼文档，该文档是一个会自动下载勒索软件并勒索受害者的恶意Word文件。幸运的是，基于UBC网络安全团队的迅速对应措施，该网络钓鱼活动并未成功。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1390/       消息来源：Malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节，该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞，部署恶意软件进行间谍活动。 Trend Micro称其为“Operation Earth Kitsune”，该活动包括使用SLUB（用于SLack和githUB）恶意软件和两个新的后门（dneSpy和agfSpy）来过滤系统信息并获得对受损机器的额外控制。 网络安全公司称，这些攻击发生在3月、5月和9月。 Watering Hole允许攻击者通过插入漏洞攻击（意图访问受害者的设备并用恶意软件感染）来危害精心选择的网站，从而危害目标企业。 据说，“Earth Kitsune”行动已经在与朝鲜有关的网站上部署了间谍软件样本，但是，这些网站的访问被阻止，因为这些网站是来自韩国IP地址的用户。 多元化的运动 尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统，并将执行结果发布到攻击者控制的私人Slack渠道上，但最新的恶意软件攻击的目标是Mattermost，一个类似slacko的开源协作消息传递系统。 Trend Micro表示：“这次行动非常多样化，他们在受害者机器上部署了大量样本，并使用了多个命令和控制（C&C）服务器。”“总的来说，我们发现该活动使用了5台C&C服务器，7个样本，并利用了4个N-day的漏洞。” 攻击者利用一个已经修补过的Chrome漏洞（CVE-2019-5782），通过一个特别制作的HTML页面，在沙箱中执行任意代码。 另外，Internet Explorer中的一个漏洞 （CVE-2020-0674）也被用来通过被攻击的网站传递恶意软件。 dneSpy和agfSpy-全功能间谍后门 尽管他们的感染媒介不同，但利用链的步骤相同——启动与C&C服务器的连接，接收dropper，然后检查目标系统上是否存在反恶意软件解决方案，之后继续下载三个后门示例（以“.jpg”格式）并执行它们。 这次的改变是使用Mattermost服务器跟踪多台受感染机器的部署情况，此外还为每台机器创建一个单独的通道，从受感染主机检索收集的信息。 在其他两个后门dneSpy和agfSpy中，前者被设计成收集系统信息、截图、下载并执行从C&C服务器接收到的恶意命令，这些命令的结果被压缩、加密并过滤到服务器上。 “dneSpy一个有趣的方面是它的 C&C pivoting行为，”Trend Micro的研究人员说，“中央C&C服务器的响应实际上是下一级C&C服务器的域/IP，dneSpy必须与该域/IP进行通信才能接收进一步的指令。” 与dneSpy相对应的agfSpy自带自己的C&C服务器机制，用于获取shell命令并返回执行结果。它的主要特性包括枚举目录和列表、上载、下载和执行文件的功能。 研究人员得出结论：“Earth Kitsune”使用新样本来避免被安全工具发现。 “从Chrome exploit shellcode到agfSpy，操作中的元素都是自定义编码的，这表明操作背后有一个组织。这个组织今年似乎非常活跃，我们预测他们将继续朝这个方向发展一段时间。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。