俄罗斯黑客组织“数字革命”（Digital Revolution）近日宣布，成功入侵了一家俄罗斯联邦安全局 (FSB) 的外包商，并发现了后者关于入侵物联网设备的项目计划。本周该组织公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。本周早些时候ZDNet和BBC Russia获取并详细阅读了这些文档，并邀请安全专家对这些报告截图进行了分析，基本上确认FSB外包商建设Fronton项目的可行性。 根据目前披露的12份Fronton技术文档，是由FSB内部部门No. 64829（也称之为FSB信息安全中心）采购的。而外包商则是InformInvestGroup CJSC，这家公司和俄罗斯政府内部建立着紧密的合作，并创建了物联网入侵工具。 根据BBC的报道，InformInvestGroup似乎已将该项目分包给了总部位于莫斯科的软件公司ODT（Oday）LLC，而后者在2019年4月遭到黑客组织Digital Revolution的入侵。 根据文件时间戳，该项目已经在2017年至2018年实施。该文档大量参考并从Mirai（一种物联网病毒，在2016年年底用于构建大型物联网僵尸网络）中汲取了灵感，用于向从ISP到核心互联网服务提供商的广泛目标发起毁灭性DDoS攻击。 这些文件建议建立一个类似的物联网僵尸网络，供FSB使用。根据规范，Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后，该设备将在僵尸网络中被奴役。   （稿源：cnBeta，封面源自网络。）

根据网络安全公司 FireEye 发布的最新报告：为了最大程度地提高攻击效率，绝大多数勒索软件都会选择在正常上班时间之外采取行动，以避免被 IT 人员发现并扫除。在 FireEye 调查的案例中，76% 的勒索软件是在周末、或者上午 8 点 ~ 下午 6 点之外的时间段完成部署的。 FireEye 表示：通常情况下，IT 人员不会在上述时间段内上班，因此响应效率会变得更慢。在某些情况下，比如传统节假日或周末，一些企业根本不会安排任何 IT 人员值班。 数据还显示，在大约 75％ 的事件中，从恶意活动到勒索软件的部署，至少会间隔三天左右的时间。这意味着，若是 IT 部门的响应足够迅速，就有很大的可能性避免感染。 不过这家网络安全公司预计，未来勒索软件感染的数量将继续增加。更糟糕的是，威胁行为发起者会不断升级赎金要求，甚至将勒索软件攻击与其它策略结合起来，比如针对关键业务系统和窃取数据。 如上文所示，破局的关键，是能否在恶意软件的部署和破坏之间介入。若信息技术专家能够及时发现并消除威胁（或让系统具有防止受到威胁的能力），便可转移大部分与勒索软件相关的应对成本。   (稿源：cnBeta，封面源自网络。）

Cybereason 的 Amit Serper 在一轮新的恶意软件活动中发现，通过重新打包被感染的恶意软件，黑客本身也成为了其他黑客的攻击目标。此前多年，黑客普遍在利用现有的工具来实施网络犯罪行动，比如从数据库中窃取数据、通过破解 / 注册码生成器来解锁试用软件的完整版等。 然而功能强大的远程工具本身，也成为了某些别有用心者的目标。通过注入木马，制作者可在工具打开后获得对目标计算机的完全访问权限。 Amit Serper 表示，攻击者倾向于在黑客论坛上发布经其重新打包的工具来‘诱骗’其他黑客，甚至为已经遭到恶意软件破坏的系统进一步打开后门。 如果黑客利用这些木马工具对某企业发动了网络攻击（包括从事安全研究工作的白帽），那重新打包攻击工具的那个人，也能够访问到受害者的敏感数据。 据悉，这些迄今未知的攻击者，正在使用功能强大的 njRat 木马来注入代码并重新打包黑客工具，攻击者可完全访问目标桌面、文件、木马、甚至网络摄像头和麦克风。 该木马至少可追溯到 2013 年，当时它经常被用于对付中东地区的目标，多通过网络钓鱼电子邮件和受感染的闪存驱动器来传播。 然而最近，黑客已将恶意软件注入到休眠或不安全的网站中，以逃避检测。以最近的攻击为例，可知幕后黑手正在使用相同的黑客技术来托管 njRat 。 Amit Serper 指出，攻击者破坏了不知谁拥有的几个网站，以托管数百个 njRat 恶意软件样本、以及攻击者用于控制的基础结构。 更糟的是，这种将 njRat 木马注入黑客工具的过程几乎每天都在发生，意味着它可能是在无人直接干预的情况下自动完成的。 至于幕后主使者和发起攻击的确切原因，目前暂不得而知。   （稿源：cnBeta，封面源自网络。）

在上周举行的 RSA 安全会议上，微软工程师讲到，他们每月追踪到的 99.9％ 受感染帐户都没有启用多因素身份验证（MFA），而该解决方案可以阻止大多数自动帐户攻击。根据微软的数据，他们每天跟踪超过 300 亿次登录和超过 10 亿的月活用户。平均每个月约有 0.5％ 的账户被盗，在 2020 年 1 月，这一数字具体约为 120 万。 当企业账户被攻击时，情况将会更糟。微软表示，截至 2020 年 1 月，在这些高度敏感的帐户中，只有 11％ 启用了多因素身份验证（MFA）解决方案。 多数 Microsoft 帐户被黑客入侵的主要来源是密码喷洒（password spraying），攻击者通常会选择比较容易猜测的密码，挨个账户进行破解尝试，然后使用第二个密码依次尝试攻击，以此类推。 第二种主要的攻击方式是密码重放（password replays），也就是使用一套被泄露的数据，在另外一个平台尝试登入，如果用户在不同平台重复使用相同的账号密码就会中招。 微软身份和安全架构师 Lee Walker 指出，60％ 的用户会重复使用密码，最好不要这样混淆，企业和非企业环境中的账户也应区分开来。 述两类攻击基本都是针对较旧的身份验证协议进行的，例如 SMTP、IMAP、POP 等，主要原因是这些旧式身份验证协议不支持 MFA 解决方案，于是非常容易被黑客利用。 Walker 提醒那些使用旧式身份验证协议的组织，应当立即将其禁用。微软的数据显示，禁用了旧协议的租户，账户被入侵率下降了 67%。 此外，微软建议，每个组织都应优先考虑为用户帐户启用 MFA 解决方案，“这样可以阻止 99.9％ 的帐户被黑客入侵。”   （稿源：开源中国，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA   一、概述 近日某企业Linux服务器出现卡慢，CPU占用高等现象，向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查，发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化，定时任务下载执行病毒母体INT, INT内置了多个bash命令，会进一步下载执行Linux挖矿木马SystemMiner。 此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护，入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。 二、病毒分析 1.    入侵阶段 腾讯安全运维专家通过查看失陷主机相关日志，发现入侵者尝试数短时间内爆破SSH接近三千次，爆破入侵成功后会创建执行定时任务kpccv.sh。 2.    持久化 通过创建定时任务实现持久化，定时任务为sh脚本，脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。 Kpccv.sh经过bash64加密，其主要功能是下载病毒母体INT执行。为了避免下载地址失效，内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io，tor2web.in等得到完整的下载链接。 Kpccv.sh解密后的内容如下: 3.    病毒母体INT分析 INT为ELF格式可执行文件，运行后创建一子进程执行，内置了多个bash命令，经base64编码加密，每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。 3.1 本地持久化 该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码，其主要功能是下载执行病毒母体INT。 Base64解码后的bash脚本： 3.2 内网渗透&自保护 利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染，执行命令经过base64编码，解码后其功能为下载执行病毒母体INT 下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。 下载可执行文件bot,trc模块执行，目前下载链接已失效。 3.3  清理其他挖矿木马&屏蔽矿池网址 该模块主要功能是清理机器上的挖矿木马，并且修改hosts文件，将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0，以实现屏蔽其他挖矿网址实现独占系统资源。 3.4 下载执行挖矿木马 执行最核心的功能，下载执行挖矿木马。下载链接通过拼接而成，tencentxjy5kpccv.拼接tor2web.io等，挖矿模块cpu为ELF格式可执行文件。 执行门罗币挖矿，矿池配置如下： 三、安全建议 腾讯安全专家建议各企业对Linux服务器做以下加固处理： 1.采用高强度的密码，避免使用弱口令，并建议定期更换密码。建议服务器密码使用高强度无规律密码，并强制要求每个服务器使用不同密码管理； 2.排查相关Linux服务器是否有kpccv等相关定时任务，有则结束相关进程，清理相关木马文件； 3.在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。 4.推荐企业部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） IOCs: MD5: 177e3be14adcc6630122f9ee1133b5d3 e5f8c201b1256b617974f9c1a517d662 b72557f4b94d500c0cd7612b17befb70 域名: tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.to tencentxjy5kpccv.t.tor2web.in tencentxjy5kpccv.t.onion.to tencentxjy5kpccv.t.onion.in.net tencentxjy5kpccv.t.civiclink.network tencentxjy5kpccv.t.onion.nz tencentxjy5kpccv.t.onion.pet tencentxjy5kpccv.t.onion.ws tencentxjy5kpccv.t.onion.ly 矿池: 136.243.90.99:8080

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/895.html   一、背景概述 腾讯安全威胁情报中心检测到“higaisa（黑格莎）”APT组织在被披露后经过改头换面再次发动新一轮的攻击，在这轮攻击中，该组织舍弃了使用多年的dropper，完全重写了攻击诱饵dropper，此外还引入了dll侧加载（白加黑）技术对抗安全软件的检测和查杀。 “Higaisa（黑格莎）”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织，因为其常用higaisa作为加密密码而得名。该组织具有政府背景，其活动至少可以追溯到2016年，且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动，诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福，以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体（如驻各地大使馆官员）、政府官员、人权组织、朝鲜海外居民、贸易往来人员等，受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 二、基础信息   文件名 MD5 功能/属性 Happy-new-year-2020.scr 2173b589b30ba2b0242c82c9bcb698b2 dropper Rekeywiz.exe 082ed4a73761682f897ea1d7f4529f69 白文件，用于+加黑 Duser.dll 5de5917dcadb2ecacd7ffd69ea27f986 Downloader cspwizres.exe 54c0e4f8e59d1bd4c1e0d5884b173c42 窃密木马 2020-New-Year-Wishes-For-You.scr 37093D3918B0CC2CA9805F8225CCCD75 dropper Duser.dll 01B90259A9771D470582073C61773F30 Downloader 390366d02abce50f5bb1df94aa50e928 390366d02abce50f5bb1df94aa50e928 Gh0st trojan bbf9822a903ef7b9f33544bc36197594 bbf9822a903ef7b9f33544bc36197594 Gh0st trojan 0a15979a72f4f11ee0cc392b6b8807fb 0a15979a72f4f11ee0cc392b6b8807fb Gh0st trojan 739a40f8c839756a5e6e3c89b2742f8e 739a40f8c839756a5e6e3c89b2742f8e Gh0st trojan 三、鱼叉攻击 与以往的攻击手段类似，“higaisa（黑格莎）”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击，最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等，欺骗用户下载并打开附件。 附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr，运行后释放并打开与主体相对应的图片欺骗受害者。 四、木马行为分析 1.Dropper 1）2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似 可能由于被曝光的原因，该组织对dropper进行了重写，舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式，直接从数据段中解密（XOR 0x1A）释放恶意文件到指定目录并执行。释放的恶意文件如下： %ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe（白） %ALLUSERSPROFILE%\CommonDatas\Duser.dll（黑） %TEMP%\Happy-new-year-2020.jpg（正常的伪装图片） 2）使用com创建EfsRekeyWizard.lnk到启动目录，指向Rekeywiz.exe实现持久化。 2. Downloader 1）Rekeywiz.exe文件为操作系统白文件，运行时会加载edsadu.dll，该文件也是系统自带文件，edsadu.dll加载过程中会加载Duser.dll，实现白加黑攻击: 2）Duser.dll的InitGadgets接口函数中实现了恶意功能，创建恶意线程: 3）使用RC4解密出C2，然后获取磁盘序列号的CRC32值作为tn参数，获取随机字母为ved参数，向C2发送请求，C2为：hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php 4）C2返回的数据也是经过RC4加密的数据，解密后为PE文件，释放到temp目录后执行: 5）其中文件名也来自于C2的返回数据，取数据从后往前第一个’&’之后的字符作为文件名: 6）C2返回的数据实例，与之前的攻击类似：最终下载了infostealer+gh0st RAT 3.Infostealer cspwizres.exe（54c0e4f8e59d1bd4c1e0d5884b173c42）文件主要行为是获取计算机信息，并发送到C2。 1）解密出要执行的命令结果如下：主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\： 2）创建cmd执行以上命令，并通过管道获取执行结果 3）解密出C2，C2地址与之前的攻击活动相似 4）将获取的信息上传到C2中185.247.230.252： 4. RAT 持续监控中发现，后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统，我们目前共在受害机发现3个不同版本的gh0st木马。 版本1: 该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能，C2: x1.billbord.net:6539。 版本2： 该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能， C2: www.phpvlan.com:8080 版本3： 该木马为gh0st远控改版，只保留插件管理功能，所有功能需插件实现，C2: console.hangro.net:1449。 5. TTP/武器更新 1)Dropper 本轮攻击利用“白+黑”的方式加载Downloader模块：rekeywiz.exe+ Duser.dll 2)Downloader 自腾讯安全御见威胁情报中心公布该组织攻击报告后（https://s.tencent.com/research/report/836.html），该组织对其Downloader进行改版，新一批downloader下载功能均基于老版本的curl开源代码实现： 五、MITRE ATT&CK   Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution T1175 Component Object Model and Distributed COM T1072 Third-party Software Persistence T1179 Hooking T1137 Office Application Startup T1038 DLL Search Order Hijacking T1060 Registry Run Keys / Startup Folder Defense Evasion T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 六、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御： 1、 通过官方渠道或者正规的软件分发渠道下载相关软件； 2、 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络，建议不要进行可能泄露机密信息或隐私信息的操作，如收发邮件、IM通信、银行转账等；最好不要在连接公用WiFi时进行常用软件的升级操作； 3、 提升安全意识，不要打开来历不明的邮件的附件；除非文档来源可靠，用途明确，否则不要轻易启用Office的宏代码； 4、 及时安装操作系统补丁和Office等重要软件的补丁； 5、 使用杀毒软件防御可能的病毒木马攻击，对于企业用户，推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能，可帮助企业用户降低病毒木马入侵风险； 6、 推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） 七、附录 IOCs 185.247.230.252                        infostealer petuity.shopbopstar.top            downloader adobeinfo.shopbopstar.top    downloader console.hangro.net:1449         gh0st plug www.phpvlan.com:8080          gh0st x1.billbord.net:6539                  gh0st MD5 2173b589b30ba2b0242c82c9bcb698b2 082ed4a73761682f897ea1d7f4529f69 54c0e4f8e59d1bd4c1e0d5884b173c42 4d937035747b4eb7a78083afa06022d3 5de5917dcadb2ecacd7ffd69ea27f986 37093d3918b0cc2ca9805f8225cccd75 01b90259a9771d470582073c61773f30 25c80f37ad9ad235bea1a6ae68279d2e 739a40f8c839756a5e6e3c89b2742f8e 6a0fab5b99b6153b829e4ff3be2d48cd 0a15979a72f4f11ee0cc392b6b8807fb 390366d02abce50f5bb1df94aa50e928 bbf9822a903ef7b9f33544bc36197594 4ff9196bac6bf3c27421af411c57ba52 参考资料 警惕来自节假日的祝福：APT攻击组织”黑格莎（Higaisa）”攻击活动披露 https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施，从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证（multi-perspective domain validation），可帮助证书颁发机构（CA）证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题，但在验证过程中还存在很多的漏洞，这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证，网络攻击者需要同时破坏三个不同的网络路径，这不仅大大提高了安全系数，而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中，Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助，并表示将继续与研究人员合作，以改善设计和实施的有效性。   (稿源：cnBeta，封面源自网络。）

澳大利亚物流公司Toll Group已证实，其上周五遭受的 “网络安全事件”是勒索软件引起的。Toll在周二下午的更新声明中写道：“我们可以确定这起网络安全事件是由于有针对性的勒索软件攻击而导致，我们决定立即隔离并禁用某些系统，以限制攻击的蔓延。” 该公司表示：“我们迅速采取行动以减轻潜在影响，我们正在进行详细调查，以期尽快恢复所有相关系统。” 该公司拥有40000多名员工。周一晚上，为预防起见，该公司关闭了许多系统，这影响了其一些面向客户的应用程序。 Toll 表示，目前还没有证据表明任何个人数据已经丢失。“我们在1月31日（周五）就意识到了这一问题，一旦发现，我们迅速采取行动禁用了相关系统，并展开了详细的调查以了解原因，并采取了应对措施。” Toll 在声明中继续说道：“我们将继续进行彻底的调查，我们将全天候工作，以尽早恢复正常服务。随着我们安全地使系统恢复在线状态，我们将继续提供更新。”该事件导致Toll恢复为手动流程，以清除勒索软件攻击造成的积压未交付货物。 该公司解释称：“由于我们决定在近期的网络安全威胁后禁用某些系统，因此，我们将通过遍及全球的手动和自动流程相结合的方式继续满足许多客户的需求，尽管其中一些流程会出现延迟或中断。” 关于包裹，Toll表示其处理中心将继续运行运送，处理和调度功能，“尽管在某些情况下速度有所放缓”。 客户还可以通过公司的呼叫中心进行预订，而在线预订平台仍处于禁用状态。 Toll表示，其正在与有关当局合作，并将安全事项报告给有关机构进行刑事调查。   （稿源：cnBeta，封面源自网络。）  

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/880.html 腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁。 一、概述 受疫情影响，多个省市延长春节假期，一些企事业单位、互联网公司或推迟开工日期，或全员进行远程办公，一部分员工使用个人电脑临时替代工作电脑，增加了企业被感染的风险。 近日，腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁，希望腾讯安全协助处理。 接到求助后，腾讯安全工程师和该公司密切配合，快速梳理了相关信息，通过溯源发现是该企业在进行远程办公时，某位业务主管使用个人电脑办公，该电脑被XRed病毒感染，致使电脑EXE文件及电子表格文件均被病毒感染，通过内部工作群分享远程办公工具之后，造成该病毒在同事间扩散。 通过分析，腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒，可以感染本地EXE文件及xlsx电子表格文件，病毒可通过文件分享和U盘、移动硬盘等媒介传播。 该企业因发现比较及时，使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后，已完美恢复被感染的文件，本次病毒攻击未对该企业造成重大影响。 二、病毒感染源排查 1.该公司前期内部排查：公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染，而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。 2.腾讯安全工程师对此进行了远程排查，发现怀疑感染病毒的电脑有如下现象： （1）在该电脑上解压文件，发现解压出来的exe文件对比原始文件大，已被感染 （2）任意复制一个exe文件放到桌面上，exe文件都会被感染，感染后文件描述被修改成触摸板设备驱动程序，据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。 （3）继续检查发现，这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒，在本次应急用作工作电脑远程办公使用，对外分享文件时，被该公司IT人员监测发现异常。 三、阻断病毒传播和修复方案 该公司IT人员立即对感染病毒的机器进行断网处理，避免进一步扩散。 在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后，立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种，最近一次更新是2020年1月，目前仍处于活跃状态，建议企业及时升级杀毒软件，做好防范。 对已感染病毒对电脑，使用腾讯电脑管家（或腾讯T-sec终端安全管理系统）进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊（详情可参见后续“样本详细分析”部分），腾讯电脑管家可以准确识别和完美修复，将被感染文件还原成原始状态。 四、样本详细分析 根据该病毒在写入的日志信息以及Gmail用户名的关键词，将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃，有一定增长态势。 该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件，使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。 如下三个指定的感染位置： %USERPROFILE%\Desktop %USERPROFILE%\Documents %USERPROFILE%\Downloads 被感染的文件被执行时，会执行恶意逻辑，包括释放伪装名为“Synaptics.exe”的文件常驻系统，进行远程控制，回传窃取的敏感信息等恶意行为。 主要功能逻辑如下图所示： 被感染的可执行文件体积增量约为753KB，包含一个名为“EXERESX”的资源，该资源是原始正常的程序。被感染的文件资源如下图所示。 EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“ ._cache_”前缀拼接文件名，如下图所示。 该病毒释放并加载名为“KBHKS”的动态库资源，通过设置相关钩子消息以记录键盘输入信息及其窗口信息等， Hook代码关键逻辑如下： 病毒使用“XLSM”资源感染xlsx后缀文件，并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。 “XLSM”资源包含了恶意VBA脚本，恶意功能如下： 篡改Word和Excel组件的宏设置，启用所有宏。 通过公有云盘下载并执行Synaptics.exe病毒。 键盘记录特殊虚拟键码转换如下图所示 用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示： 具有基础的远程控制功能，包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示： 远控功能 IOCs: md5 13358cfb6040fd4b2dba262f209464de C2 & URL xred.mooo.com freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978 hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1 hxxp://xred.site50.net/syn/*****.rar 病毒作者邮箱地址 xredline1@gmail.com xredline2@gmail.com xredline3@gmail.com 参考资料： https://www.freebuf.com/articles/terminal/222991.html

微软安全专家发现TA505网络犯罪团伙正在发起网络钓鱼活动，使用带有HTML重定向器附件发送恶意Excel文档。据悉，这是TA505团伙首次采用这种策略。 TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名，随着时间推移这些技术被用于安全规避控制，主要是通过几种恶意软件渗透到公司内部，如滥用所谓的LOLBins，使得受害者在合法情况下滥用程序。此外，TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex banking特洛伊木马的活动。 网络安全公司Eversion的安全专家发表报告称：TA505已经危害了1000多个组织。 “我们在对这场运动的分析过程中，我们能确定至少一家总部位于美国的电气公司、一家美国州政府网络以及世界上最大的25家显示出妥协迹象的银行都包含其中。” 目前，微软通过发布推特证实这项网络钓鱼活动。 “这是第一次使用HTML重定向器观察Dudear ，其中，攻击者还使用不同语言的HTML文件。值得注意的是，他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。” 此外，微软专家还透露，攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件，HTML就会定向下载一个恶意的Excel文件，而该文件最终将丢弃有效载荷，攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505第一次使用这种技术，过去，该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件，在受害者被诱骗打开Excel文档后，不可以使用在线预览，但可进行文档编辑。 目前有好消息称：微软安全情报部门已经确认微软威胁防护系统能够中和攻击，office 365能够检测此活动中使用的恶意附件和URL，microsoft defender atp也能够检测TA 505使用的恶意html、excel文件和有效负载。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接