Broadcom旗下的赛门铁克发现并警告用户：攻击者试图部署WastedLocker勒索软件，对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构，以要求获得数百万美元的赎金，目前至少有31个组织受到了攻击，这意味着攻击者已经破坏了目标组织的网络，并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件，在NCC Group发布之前就已被记录，而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织，Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联，勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架，该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络，他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件，升级特权，然后在网络中进行移动，以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：symantec-enterprise-blogs，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

作为Unit 42主动监控野外传播威胁工作的一部分，我最近发现了新的Hoaxcalls和Mirai僵尸网络活动，是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰，于2015年到期，产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击，我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞，他们还想强调一点，此漏洞不会影响安全的Web网关解决方案，包括代理程序和Web安全服务。 2020年4月24日，第一个利用该漏洞的攻击实例浮出水面，这是同月早些时候首次发现的僵尸网络演化的一部分。这个最新版本的Hoaxcalls支持其它命令，这些命令允许攻击者对受感染的设备进行更大的控制，比如代理通信、下载更新、保持跨设备重启的持久性或防止重启，以及可以发起更多的DDoS攻击。在漏洞细节公布的几天后，就开始在野外使用该漏洞利用程序，这说明了一个事实，这个僵尸网络的作者一直在积极测试新漏洞的有效性。 此后，在5月的第一周，我还发现了一个Mirai变体活动，其中涉及使用相同的漏洞利用，尽管在该活动中，样本本身不包含任何DDoS功能。相反，它们的目的是使用证书暴力进行传播以及利用赛门铁克Web网关RCE漏洞。本文讲述有关这两个活动值得注意的技术细节。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1211/     消息来源：PaloAltoNetworks， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

据外媒报道，赛门铁克研究人员发现了一个针对全球的医疗机构和相关部门发起间谍活动的黑客组织— Orangeworm ，该组织在托管用于控制高科技成像设备的软件的机器上安装可疑木马，例如 X 射线和 MRI 设备以及用于帮助患者完成同意书的机器。 根据赛门铁克周一发布的一份新报告显示，Orangeworm 黑客组织自 2015 年初以来就一直活跃，其目标锁定在美国、欧洲和亚洲的大型跨国公司，主要关注医疗保健行业。赛门铁克认为，这些行业被视为更大供应链攻击中的一部分，目的是为了让 Orangeworm 能够接触到与医疗保健有关的预期受害者。 除了占据 40％的医疗行业外，黑客的攻击目标还包括IT（15％），制造业（15％），物流（8％）和农业（8％）等行业。 进入受害者网络后，攻击者会安装一个名为 Kwampirs 的木马，该木马在受感染的计算机上打开后门，允许攻击者远程访问设备并窃取敏感数据。 在解密时，Kwampirs 恶意软件会将一个随机生成的字符串插入到其主要的 DLL 有效负载中，以逃避基于哈希的检测。此外，恶意软件还在受到危害的系统上启动了一项服务，以便于在系统重新启动后保留并重新启动。 随后，Kwampirs 收集有关受感染计算机的一些基本信息，并将其发送给攻击者到远程命令和控制服务器，使用该服务器组能够确定被黑客攻击的系统是否被研究人员或高价值目标群体使用。为了收集有关受害者网络和受感染系统的其他信息，恶意软件会使用系统的内置命令，而不是使用第三方侦察和枚举工具。 以上所示的命令列表帮助攻击者窃取信息，包括“ 与最近访问的计算机有关的任何信息、网络适配器信息、可用网络共享、映射驱动器以及受感染计算机上存在的文件 ”。 虽然 Orangeworm 确切动机尚不清楚，并且也没有证据表明它是否得到了某些国家的支持，也没有任何信息可以帮助确定该组织的起源，但赛门铁克认为该组织可能是出于商业目的而进行间谍活动。 赛门铁克表示：“根据已知受害者的名单，Orangeworm 不会随机选择目标或进行机会性黑客攻击。“Orangeworm 组织似乎仔细而刻意地选择了目标，并在发动攻击之前进行了大量计划。” 目前在美国发现的受害者比例最高，其次是沙特阿拉伯、印度、菲律宾、匈牙利、英国、土耳其、德国、波兰、中国香港、瑞典、加拿大、法国和全球其他几个国家和地区。 赛门特克分析报告： 《New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia》 消息来源：Thehackernews，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，根据赛门铁克的一份新报告显示，2017 年最后一个季度“ 加密劫持 ”事件上涨了8500%。“ 加密劫持 ”指的是劫持他人计算机进行加密货币挖矿行为。据统计，该类型攻击在去年12月份网络攻击和最后一个季度的所占比例分别达到了 24%、16%，而那个时间段正好是比特币和其他加密货币价格大幅波动的时候。 赛门铁克通过对加密劫持的追踪了解到，其兴起的部分原因则是因为挖矿软件的易操作性、低门槛，它成为了许多人赚钱的途径之一。总体来看，加密劫持在 2017 年的发生数量上涨了 34000%。 报告指出，利用他人电脑 CPU 挖矿比在目标电脑上安装病毒还要容易，甚至可以在用户为电脑打完补丁后仍能进行。去年，Showtime 网站就被曝出利用用户 CPU 挖门罗币。最近，苹果在 Mac App Store 上移除了 Calendar 2（日历2）软件，其也被发现利用用户电脑挖门罗币。 赛门铁克表示，加密劫持让那些毫无防备的受害者的设备运行速度变慢、电池出现过热、寿命变短的情况，而当该类型攻击针对的是大规模目标像企业网络时，其就可能会因为挖矿软件而出现关机的情况，但如果是小规模就没那么容易被发现了。报告写道：“这使得网络犯罪分子在受害者甚至没有意识到自己设备或正在访问的网站存在异常现象的情况下赚钱。” 由于加密劫持现在对于加密货币挖矿者来说仍存在丰厚回报所以其仍可能还是个大问题。除非这些加密货币价格不断下降一直到 2009 年首次出现的那样，那么这些人就会自然消失，因为他们不再有利可图。 稿源：cnBeta，封面源自网络；

据外媒 Betanews 报道，安全公司赛门铁克宣布，其将不再向美国全国步枪协会（NRA）的成员提供其产品的折扣。上周在佛罗里达州帕克兰发生的枪击事件之后，枪支管控问题重新引发讨论。许多公司面临着与 NRA 断绝关系的压力，而赛门铁克是采取这一举措的第一家科技巨头。 NRA 成员以前能够利用获得一系列 Symantec 产品（包括 LifeLock 和 Norton 产品）超过 50％ 的折扣。虽然有些优惠仍然列在赛门铁克网站的一个页面上，但该公司在 Twitter 宣布将不再为 NRA 成员提供折扣： 赛门铁克已经停止与美国国家步枪协会合作的折扣计划。 帕克兰枪击事件发生后，许多与 NRA 有联系的公司承受了压力，被要求终止与 NRA 的关系。 稿源：cnBeta，封面源自网络；

据路透社报道，安全软件制造商让俄罗斯政府在其产品中寻找漏洞。这是美国使用该软件的机构所关心的问题。据路透社报道，俄罗斯被允许挖掘美国政府使用的软件漏洞。路透社周四报道，SAP，赛门铁克和迈克菲都向全球客户销售业务和安全软件，这让俄罗斯当局能够审查他们的代码。 这是一个令人担忧的问题，因为美国政府机构也使用该软件，美国立法者和安全专家告诉路透社，俄罗斯知道的任何漏洞都会带来安全风险。 路透社说，为了这些公司在俄罗斯运营，他们不得不允许地方当局查看这些代码。但是路透社没有发现俄罗斯政府审查源代码在网络攻击中起作用的任何例子。不过外界认为，俄罗斯政府影响了 2016 年美国总统选举结果，美国很容易受到网络攻击影响。SAP、Symantec 和 McAfee 官方目前没有对路透社的报道发表评论。 稿源：cnBeta，封面源自网络；

近年来，随着加密货币的价格被不断炒高，黑客们也动起了歪脑筋来获利。根据赛门铁克今日发布的一份报告，公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。一旦运行，这些脚本会导致访客机器的 CPU 资源被长时间大量占用。而与传统恶意软件相比，加密货币显然更有赚头。通常情况下，反病毒工具会识别并阻止类似的程序。据此，赛门铁克得以描绘出一张有关恶意挖矿脚本的 “ 全球攻势图 ”。 据赛门铁克所述，最近几周，挖矿程序有着愈演愈烈的趋势。这些脚本大多与门罗币（Menero）相关 —— 因其算法对 CPU “ 更加友好 ” 一些 —— 而不是比特币（Bitcoin）或以太坊（Ethereum）。 仅在 11 月下旬，该公司就日常检测并清除了 300 万次，当时门罗币的价格刚开始升到 200 美金以上。但截至 12 月 16 日，这款数字货币已经涨到了 350 美元。 价格走势方面，数字货币大多向“老大”比特币看齐。而最受黑客青睐的后台挖矿脚本，就是今年 9 月份冒头的 Coinhive 。 虽然许多安全企业迅速将它压了下去，但 Coinhive 的官网并未消失，而是换了个“选择加入”的门头。此外赛门铁克的研究显示，原来的插件依然活跃。 由于加密货币的开采性质，这款插件可以在后台运行很长一段时间。为了获取更多的收益，黑客们最喜欢找流媒体站点下手。但在很多情况下，网站的拥有者并不知情。 今年 9 月的时候，外媒报道了两家后台被植入 Coinhive 的直播间，甚至还有以 “ Chrome 浏览器扩展 ” 的形式出现。此外盗版网站为了有目的性地增加收入，也会短暂地安装挖矿程序。 更糟糕的是，黑客们来移动设备都没有放过。赛门铁克已经发现了许多带有挖矿脚本的 Android App —— 尽管受 CPU 性能所限，移动设备挖矿的效率并不高。 2017 年以来，赛门铁克已经发现了 35 款不同的 Android 挖矿应用，较去年增长了 34% 。 稿源：cnBeta，封面源自网络；编辑：榆榆

HackerNews.cc 11 月 7 日消息，赛门铁克研究人员近期发现神秘黑客组织 SowBug 正肆意分发一款新型恶意软件 “Felismus”，意在窃取阿根廷、巴西、厄瓜多尔、秘鲁与马来西亚等多国政府机构的外交机密。 Felismus 是一款复杂的远程访问木马，其模块化结构允许黑客通过后门隐藏或扩展恶意功能。像多数银行木马一样，该恶意软件不仅允许黑客完全操控受害系统，还允许他们通过远程服务器进行通信、下载文件与执行 shell 命令。 调查显示，黑客组织 SowBug 至少从 2015 年开始活动，其主要瞄准南美、东南亚地区的多个国家机构进行一系列针对性攻击活动。此外，研究人员发现该组织资源充足，能够同时渗透多家系统并在目标机构的工作时间外运作。相关证据表明，该攻击者主要使用一款黑客工具 Starloader 通过 Windows 或 Adobe Reader 更新时在受害者的网络中部署恶意软件。 研究人员表示，他们已经发现黑客通过 Starloader 工具分发恶意文件 AcrobatUpdate.exe 和 Intelupdate.exe 的证据。不过，值得注意的是，攻击者并没有损害系统软件本身，而是重新命名了恶意文件的名称，使其与合法软件所使用的文件名类似，并将它们放置在目录中，从而不会引起怀疑。此外，Sowbug 黑客还采取了其他一系列措施规避安全软件的检测。 研究人员表示目前所掌握的证据还不足以揭露黑客组织 Sowbug 的真实身份。HackerNews.cc 在此提醒各国政府机构提高系统安全防御体系，以防黑客肆意感染系统后展开大规模攻击活动。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

赛门铁克的安全研究人员近期发现了一种通过官方应用市场 Google Play 传播的恶意程序 Android.Sockbot。据悉，该恶意程序冒充正规应用感染设备后添加到僵尸网络之中。研究人员发现了至少 8 个应用，其下载量在 60 万至 260 万。 调查显示，恶意软件主要针对美国用户，但俄罗斯、乌克兰、巴西和德国也有它的踪影出现。目前，Google 已经将这些应用移除。对恶意应用的分析发现，应用程序通过 9001 端口与 CC 服务器相连，以接收相关命令。CC 服务器使用 SOCKS 请求该应用程序打开套接口，之后在指定端口等待一个来自指定 IP 地址的连接。在通过指定端口的 IP 地址给出连接后，CC 服务器将发出连接目标服务器的命令。 研究人表示，恶意应用程序将连接到所需目标服务器，并开始接收广告列表和相关元数据（广告类型、屏幕尺寸和名称）。该应用程序使用相同的 SOCKS 代理机制，在接收命令后与广告服务器相连并发出广告请求。但它并没有显示广告的功能。 稿源：solidot奇客，封面源自网络；

赛门铁克 CEO Greg Clark 接受路透社采访时表示，该公司不再允许政府检查其软件的源代码，担心这会危及到其产品的安全。美国科技公司为了在俄罗斯和中国等国获得产品出售许可证而允许政府检查产品源代码。 赛门铁克也曾是其中一员，允许相关政府检查其软件的源代码。但随着国家支持的黑客攻击活动的增加，允许政府检查源代码增加了安全风险，可能会导致客户失去对其产品的信心。Clark 称，检查源代码构成了不可接受的风险。 稿源：solidot奇客，封面源自网络；