医疗行业网络攻击加剧,成黑客首要目标
HackerNews 编译,转载请注明出处: 网络安全公司Darktrace的新数据显示,针对医疗行业的网络攻击强度在2024年“显著上升”,该领域遭受的安全事件数量超过其他关键行业。该公司透露,去年共处理了45起影响医疗机构的网络安全事件,高于金融行业(37起)、能源行业(22起)、保险行业(14起)和电信行业(12起)。 医疗行业成为重点攻击目标的关键因素在于其高价值属性。Darktrace指出,全球范围内医疗数据泄露造成的损失高于任何其他行业,在2020年至2024年间平均达到1000万美元。Darktrace首席网络分析师Nicole Wong表示:“医疗成为最受攻击的行业之一符合我们长期观察的趋势,但2024年的攻击强度明显加剧。医院和医疗服务机构存储着大量患者个人敏感数据,这使它们成为数据泄露、勒索软件和其他网络攻击的主要目标。” 她还补充道:“患者信息的敏感性加上关键服务可能中断的风险,构成了攻击者的高价值目标。此外,医疗作为国家关键基础设施的重要性,使其特别吸引基于国家利益的政治动机威胁行为者。” 关于攻击者如何入侵医疗系统,新报告强调钓鱼攻击(32%)和边缘基础设施漏洞利用(36%)合计占医疗系统入侵事件的三分之二以上,其余包括暴露端口、配置错误和淘汰设备漏洞利用。Wong表示这与其他行业的攻击模式类似。 值得注意的是,75%的医疗网络入侵事件仅限于企业邮箱或云账户入侵,并未升级为勒索软件或数据窃取。报告指出:“这反映出APT组织典型的多阶段攻击模式,意味着针对医疗行业的威胁行为者整体能力有所提升,安全团队需做好应对准备。” 研究人员观察到钓鱼攻击对医疗行业的针对性增强。例如,三分之一的攻击针对VIP用户,表明威胁行为者正重点关注拥有更高访问权限或决策权的个体。此外,Darktrace发现2024年“相当比例”的钓鱼邮件要么冒充供应商,要么来自已被入侵的供应商账户。Darktrace高级网络分析师Nahisha Nobregas表示:“这种演变令人担忧,因为它利用了医疗机构与供应商之间的信任关系,由于通信看似来自合法商业伙伴,检测难度显著增加。” 在漏洞利用方面,Darktrace事件数据显示攻击者频繁利用Citrix、思科、Fortinet和Ivanti等厂商的边缘基础设施设备漏洞。受影响的医疗机构类型从设备供应商到非重症护理机构均有涉及。 研究人员警告称,医疗机构的攻击面正在扩大,为威胁行为者创造了更多机会。这包括云服务使用增加导致的SaaS覆盖范围扩大、更多第三方设备和服务的整合,以及医疗物联网(IoMT)设备的增长。Darktrace举例称,曾检测到一台感染PurpleFox rootkit和DirtyMoe恶意软件的数字成像设备,表明专用医疗设备已成为另一个易受攻击的操作系统载体。在此案例中,攻击者似乎无意窃取受保护的健康信息,而是试图将该设备作为渗透网络的跳板。 Darktrace高级网络分析师Patrick Anjos警告:“这一发现凸显了防御者需要像监控IT基础设施中的其他设备一样持续监控临床设备。必须将安全监控范围从传统IT系统扩展到专用医疗设备。” 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
WooCommerce 用户注意:钓鱼攻击以“安全补丁”为诱饵植入后门程序
HackerNews 编译,转载请注明出处: 网络安全研究人员警告称,针对WooCommerce用户的大规模钓鱼活动正在蔓延。攻击者通过伪造“关键安全补丁”警报,诱骗用户下载后门程序。 WordPress安全公司Patchstack将此次行动描述为“复杂攻击”,并指出其与2023年12月观察到的另一项活动存在关联——当时攻击者同样利用虚构的CVE漏洞入侵网站。 鉴于钓鱼邮件话术、伪造网页及恶意软件隐藏手法的高度相似性,研究人员认为最新攻击可能出自同一威胁组织,或是模仿此前攻击的新团伙。 安全研究员Chazz Wolcott表示:“攻击者声称目标网站存在(不存在的)‘未认证管理访问’漏洞,并诱导用户访问通过国际化域名同形异义字攻击(IDN homograph)伪装的虚假WooCommerce官网。”钓鱼邮件中的“下载补丁”链接会将用户重定向至域名“woocommėrce[.]com”(注意用‘ė’替代‘e’),并下载名为“authbypass-update-31297-id.zip”的恶意ZIP文件。 受害者按提示安装该“补丁”(实为恶意WordPress插件)后,将触发以下恶意行为: 创建隐藏管理员账户:通过随机命名的定时任务(每分钟运行一次),生成混淆用户名和随机密码的管理员账号; 注册受感染站点:向外部服务器“woocommerce-services[.]com/wpapi”发送HTTP GET请求,传递账号密码及网站URL; 获取第二阶段载荷:从“woocommerce-help[.]com/activate”或“woocommerce-api[.]com/activate”下载混淆处理的后续攻击载荷; 部署网页后门:解码载荷后安装P.A.S.-Fork、p0wny和WSO等网页后门; 隐藏攻击痕迹:从插件列表中删除恶意插件,并隐藏创建的管理员账户。 攻击最终使黑客获得网站远程控制权,可实施广告注入、用户重定向、组建DDoS僵尸网络,甚至加密服务器资源进行勒索。 研究人员建议用户立即扫描可疑插件和管理员账户,并确保所有软件更新至最新版本。 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Mandiant 发布 2025 年度网络安全趋势报告
HackerNews 编译,转载请注明出处: Mandiant的《M-Trends 2025》报告最核心的启示在于,攻击者正在快速调整其攻击手段以应对防御能力的提升,这种对抗永无止境。 作为行业威胁情报的重要来源,Mandiant年度M-Trends报告整合了该公司自身事件调查数据与谷歌威胁情报组(GTIG)的研究成果。但要充分理解报告价值,必须首先了解其调查方法。 首先,尽管Mandiant是事件调查领域的重要参与者,但其数据采集规模相较于其他主要安全厂商(如EDR供应商)存在局限性。这并不影响Mandiant数据的价值,但意味着这些数据不能简单等同于全球统计数据。典型例证可见“受攻击行业”部分——金融业以17.4%占比居首,医疗行业仅以9.3%位列第五。 这种分布不应被视作全球行业攻击目标的真实反映。数据存在未量化的客户偏差(金融业相比医疗行业更有能力负担Mandiant的服务)。这种偏差的未知程度因该公司决定隐藏统计所依据的具体事件数量(或客户数量)而加剧,报告中仅提及“全球范围内超过45万小时的事件响应服务时长”。 这个总时长虽然令人印象深刻,但无法反映包含的事件或调查数量(如果调查周期长,可能对应少量事件;若调查快速完成,则可能对应大量事件)。 Mandiant咨询公司欧洲、中东和非洲区董事总经理Stuart McKenzie解释其统计逻辑:事件性质可能导致混淆。“我们可能在调查某事件时发现第二个威胁方——这应视为独立事件还是原事件的延续?有时一次调查可能发现三到四个不同事件。因此,我们以服务时长作为衡量标准,这能更清晰体现工作量。” 只要读者明确这些是Mandiant客户统计数据而非全球攻击数据,就不会削弱其价值。同时,报告整体价值因Mandiant与谷歌威胁情报组的联合研究而得到提升。 M-Trends报告重点内容 初始感染媒介 漏洞利用(33%)连续第五年成为最常见初始攻击途径(虽低于去年的38%)。值得注意的是,凭证窃取(16%)今年超过钓鱼邮件(14%)升至第二位,背后原因复杂。 McKenzie分析:“用户对钓鱼攻击的警惕性提高,操作系统防护增强,安全控制措施更有效。”但攻击者并未停滞。“随着防御者修补漏洞的能力提升,漏洞利用效率降低。随着反钓鱼技术发展,钓鱼攻击吸引力下降。”攻击者转向替代方法,目前表现为大量使用窃取凭证。 这种现象部分归因于信息窃取程序的广泛高效使用。报告警告:“典型信息窃取程序包括Vidar、Raccoon和RedLine Stealer。”暗网上包含窃取凭证的日志数量持续增加;相比通过钓鱼邮件投递恶意软件,发现并使用这些凭证作为初始感染手段更为容易。 McKenzie补充解释:“钓鱼攻击减少可能源于安全工具的改进,例如Mark of the Web(MotW)阻碍了恶意软件部署。”MotW是Windows系统的特性,可检测并标记来自不可信源的文件,阻止或警示其运行。 有趣的是,他认为AI辅助钓鱼不会改变这种趋势。“虽然AI能生成更复杂的钓鱼诱饵,但钓鱼攻击的主要用途仍将是为更大规模攻击获取凭证,而非直接分发恶意软件。因此,钓鱼正从恶意软件传播手段演变为复杂攻击链中的一环,辅助其他攻击方法。” 这并不意味着钓鱼威胁降低,而是其角色从初始感染媒介转变为其他攻击途径的助推器。防御者需更关注密码卫生管理、定期更换,以及更有效地使用多因素认证(MFA)来应对凭证攻击。 朝鲜IT工作者 值得注意的新动向是Mandiant将朝鲜IT工作者归类为独立威胁集群UNC5267。这种划分的合理性可能不会立即显现,但存在两方面依据:第一,他们使用“协助者”表明存在某种外部组织;第二,更重要的是,鉴于朝鲜对互联网的严格管控,这些人员若未获政府默许则无法获得境外就业机会。 若Mandiant的逻辑成立,则意味着受国家支持的朝鲜IT工作者未来可能被归入一个或多个APT组织。但目前,McKenzie评论道:“远程工作者趋势让我联想到勒索软件早期阶段。像SamSam这样的组织曾在美国非常活跃,当时欧洲、中东和非洲地区认为‘我们没这种问题’。” 但随着时间推移(或许迫于美国执法机构压力),这些组织开始寻找新目标。勒索软件从美国蔓延至全球。 “朝鲜远程工作者在美国的高度活跃应该对其他国家机构具有警示意义。我们已观察到其向欧洲和其他地区的扩张。”早期动机被认为是赚取外汇资助朝鲜武器计划,虽然这仍是事实,但威胁不会止步于此。一旦这些“外国代理人”渗入西方产业,他们还能窃取知识产权和部署恶意软件。 Mandiant特别向欧洲传递的信息是:切勿将UNC5267视为轻微威胁。即使该集群尚未升级为APT,也需加强朝鲜工作者的检测能力。执法机构无法通过逮捕个别人员来瓦解该组织,也不存在可摧毁的基础设施——这种APT将具备不同形式的持久性。 消息来源: securityweek; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Reddit 遭钓鱼攻击,攻击者已获得内部权限
据BleepingComputer消息,全球最大社交新闻站点Reddit在当地时间2月5日晚间遭到了网络钓鱼攻击。 该公司表示,攻击者使用了一种针对 Reddit 员工的网络钓鱼诱饵,通过冒充其内部网站的登陆页面,试图窃取双因素验证码,从而获得员工账户凭证。目前已有一名员工的凭证不慎被窃取,攻击者因此获得了对一些内部文档、代码以及一些内部后台和业务系统的访问权限。 Reddit称,这名员工在主动报告异常后,安全团队迅速做出反应,取消了攻击者的访问权限并进行内部调查。 Reddit 表示,虽然公司相关联系人以及员工的部分信息被窃取,但没有迹象表明攻击者破坏了用于运行网站的生产系统,用户个人数据也未监测到泄露。虽然 Reddit 没有分享有关这次网络钓鱼攻击的任何细节,但他们提到和之前拳头公司遭遇的攻击类似,当时攻击者窃取了包括《英雄联盟》在内旗下多款游戏的源代码,并提出1000万美元的赎金要求。 2018年6月,Reddit也曾遭遇网络攻击,攻击者通过拦截双因素认证码短信来入侵其部分员工的账户,从而非法进入Reddit系统,盗取了部分用户数据,包括一些现有用户邮件地址以及一个创建于2007年的历史数据库及相关密码。 转自 Freebuf,原文链接:https://www.freebuf.com/news/357200.html 封面来源于网络,如有侵权请联系删除
微软:超 1 万家企业遭受钓鱼攻击
微软表示,从2021年9月开始,已经有超过10,000个组织受到网络钓鱼攻击,攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏(BEC)攻击。攻击者使用登陆页面欺骗Office在线认证页面,从而绕过多因素认证(MFA),实现劫持Office 365认证的目的。 在这些钓鱼攻击中,潜在的受害者会收到一封使用HTML附件的钓鱼邮件,当目标点击时会被重定向到登陆页面,而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后,这些攻击者会登录受害者的电子邮件账户,并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露(BRC)活动。 Microsoft 365 Defender 研究团队和微软威胁情报中心(MSTIC)针对这一系列的钓鱼活动称:“该网络钓鱼活动使用中间人(AiTM)钓鱼网站窃取密码,劫持用户的登录会话,并跳过认证过程,即使用户已启用多因素认证(MFA)也难以防护。然后攻击者会利用窃取的凭证和会话cookies访问受影响用户的邮箱,并对其他目标进行后续的商业电子邮件破坏(BEC)活动。” 在这次大规模的网络钓鱼活动可以在几个开源网络钓鱼工具包的帮助下实现自动化,包括广泛使用的Evilginx2、Modlishka和Muraena。 该活动中使用的钓鱼网站作为反向代理,托管在网络服务器上,目的是通过两个独立的传输层安全(TLS)会话将目标的认证请求代理给他们试图登录的合法网站。 利用这种战术,攻击者的钓鱼页面充当中间人,拦截认证过程,然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。在攻击者得到目标的会话Cookie后,他们将其注入自己的网络浏览器,这使得他们可以规避MFA,实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露(BRC)活动中使用他们窃取的访问权限。 为了防御此类攻击,微软仍然建议用户使用 MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0。微软还建议用户监测可疑的登录尝试和邮箱活动,以及采取有条件的访问策略,以阻止攻击者试图使用来自不合规设备或不可信任的IP地址的被盗会话Cookies。 在微软的相关报告中指出虽然AiTM网络钓鱼试图规避MFA,但重要的是要强调MFA的实施仍然是身份安全的一个重要支柱,MFA在阻止各种威胁方面仍然非常有效,其有效性是AiTM网络钓鱼首先出现的原因。 转自 freebuf,原文链接:https://www.freebuf.com/news/339014.html 封面来源于网络,如有侵权请联系删除
网络钓鱼盯上 WhatsApp 等即时通讯软件 卡巴斯基给出安全建议
鉴于许多黑客已经瞄上了 WhatsApp、Viber 和 Telegram 等即时通讯服务来开展网络钓鱼攻击和诈骗,卡巴斯基安全研究人员也特地对此类 Android 客户端的风险等级展开了一番评估。其指出,全球平均每天发生 480 次网络钓鱼和类似事件,前三地区为印度(7%)、巴西(17%)、以及俄罗斯(46%)。 作为最受智能机用户欢迎的即时通讯(IM)服务之一,涉及 WhatsApp 的网络犯罪活动也相当活跃(占 89.6% 左右)。 紧随其后的是 Telegram(5.6%)和 Viber(4.7%),而 Google Hangouts 用户最不可能成为网络钓鱼攻击的受害者(不到 1%)。 为降低 IM 用户遭遇网络钓鱼诈骗和危险链接的风险,卡巴斯基安全团队给出了如下建议: ● 检查链接中是否存在拼写错误或其它异常; ● 请勿向亲友分享任何可疑的邀请链接; ● 警惕来自其他人的不明邀请链接,在被要求输入凭据时务必提高警惕; ● 好友账户或被黑客入侵,收到熟人发来的链接和附件也需多加提防; ● 使用可靠的安全解决方案,以及时收到警告提醒。 (消息及封面来源:cnBeta)
微软发布威胁警报:远程访问工具 RevengeRAT 正发起钓鱼攻击
近日微软发布威胁警报,称一款名为 RevengeRAT 的远程访问工具正针对航空航天和旅游行业发起鱼叉式钓鱼攻击。这种特殊的威胁是通过电子邮件传递的,在骗取收件人的信任之后诱导受害者打开 Adobe PDF 格式附件,并继续下载恶意文件。 微软解释道,攻击者利用这类远程访问木马盗取用户数据,而且在后期可以通过传递额外的攻击有效载荷,用于数据渗透。 从数据盗窃到后续活动,以及传递额外的攻击有效载荷,用于数据渗透。微软在一系列关于这一威胁的推文中解释说:“该活动使用欺骗合法组织的电子邮件,其诱饵与航空、旅行或货物有关。一个冒充PDF文件的图像包含一个嵌入式链接(通常是滥用合法的网络服务),下载一个恶意的VBScript,从而投放RAT有效载荷”。 这类木马会窃取用户登录凭证以及网络摄像头图像等内容,以及系统剪贴板上被用来复制的任何东西。还有一点需要注意,这个威胁活动的中心的恶意可执行内容是一个名为 Snip3 的加载器。安全公司 Morphisec 还指出了 Snip3 的另一个特点–如果 “脚本在微软沙盒、VMWare、VirtualBox或Sandboxie环境中执行”,并且它识别出这些虚拟机环境之一,脚本就会终止,而不会加载木马。 (消息及封面来源:cnBeta)
报告称美国地方选举官员的电子邮件可能受到网络钓鱼攻击的影响
根据《华尔街日报》的一份新报告,美国各地的许多选举官员正在使用的电子邮件系统可能使他们更容易受到网络钓鱼攻击的影响。Area 1 Security发现,在美国1万个州和地方选举管理机构中,只有不到20%的机构具备先进的反钓鱼控制措施,其中约666名选举官员依靠个人电子邮件地址处理选举相关事务。 据报道,几个州的司法机构正在使用一个版本的免费Exim软件,而俄罗斯GRU情报部门从2019年开始针对该软件进行在线攻击。不过,安全专家称,电子邮件安全薄弱不太可能导致选票被黑客攻击,因为电子邮件系统并没有连接到计票的系统。 但这引发了人们的担忧,即地方选举官员可能对电子邮件系统可能遭到的入侵准备不足。2016年,GRU被指控窃取和泄露希拉里-克林顿总统竞选团队的电子邮件;2018年,GRU曾注册了似乎是伪造政府网址的网络域名,表面上是为了钓鱼的目的。微软在官方认为造成任何损失之前就查封了这些域名。 而据报道,今年已经有外国黑客瞄准了为民主党推定候选人乔-拜登和特朗普总统的竞选活动工作的工作人员的个人电子邮件账户。例如据称伊朗黑客将目标对准了特朗普竞选团队工作人员的电子邮件。报告这些企图的谷歌上个月表示,没有看到这些攻击成功的证据。 (稿源:cnBeta,封面源自网络。)
疑似Group123(APT37)针对中韩外贸人士的攻击活动分析
感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/Wnb-r7SWbGGN-XuQ8fW_jw 一、事件概述 腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。 Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。 二、技术细节分析 1、初始攻击 本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。 2、恶意文件植入 本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件: 该可执行文件实际为一个下载器,该下载器的技术分析如下: 1) 具有延时执行功能: 2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz: 3) 解密文件,简单异或解密,密钥如下: 42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37 42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33 4) 设置注册表 实现开机启动木马: 3、RAT分析 下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe 该文件加了vmp壳: 执行后创建名为HD_March的互斥量,防止重复运行: 与downloader使用同样的方法延时运行: 通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征: RAT的功能已控制码如下: ControlCode1 ControlCode2 行为 SLEEP interval Sleep指定时间 RUNCMD cmdline CMD Shell url SETBURL burl 下载相关 rurl remove EXEC src 执行文件 dst crypt UPLOAD type 上传文件相关 url extlist dirlist 4、下发文件分析 此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr 该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息: 释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件: 打包指定目录下的指定扩展名文件: 扫描全盘文件,打包指定扩展名的文件: 打包的文件均上传到C2上: 有意思的是,通信中存在下面的字符串,具体意义不明: 三、关联分析 1、攻击背景 由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。 此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下: 而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀: 2、基础设施关联 1) 某RAT的C2:casaabadia.es,我们关联到相关文件: 相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722) 通过该文件分析,我们关联到某文章: https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123: 2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下: 而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章: 该文章提到的信息跟这次攻击活动都非常相似: 如文件名svchost,但是样本无法下载,因此无法实锤; 基础设施域名重合; url都都存在wp-content。 而该文章中提到的组织正好为Group123。 3、TTPs 从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。 4、结论 综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。 四、总结 Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 通过官方渠道或者正规的软件分发渠道下载相关软件; 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码; 4.及时打系统补丁和重要软件的补丁; 5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs hxxp://artmuseums.or.kr/swfupload/fla/1.jpg hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/ hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/ svchost.exe(RAT) e26c81c569f6407404a726d48aa4d886 list of delivery.doc.exe ce4614fcf12ef25bcfc47cf68e3d008d BN-190820.doc.exe(RAT) 94fd9ed97f1bc418a528380b1d0a59c3 plugin b23a707a8e34d86d5c4902760990e6b1 winrar 6f29df571ac82cfc99912fdcca3c7b4c 2019-08-08.doc.exe 51da0042fe2466747e6e6bc7ff6012b2 2、参考文章 1) https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 2) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf
微软安全报告显示去年网络钓鱼攻击有所增加
微软发布了一份新的安全报告,显示了去年网络钓鱼攻击数量增加。该报告着重于2018年1月至12月发生的攻击。报告还显示,同一时期发生与恶意软件相关的攻击有所减少。根据报告显示,2018年网络钓鱼攻击增加了250%,而恶意软件攻击减少了34%。 微软注意到,攻击者在同一活动中使用多个攻击点,在发送电子邮件和托管网络钓鱼表单时在URL、域和服务器之间切换。微软还看到攻击者越来越多地使用被入侵的帐户,来进一步分发组织内外的恶意电子邮件。微软声称他们的团队已经扫描了超过4700亿封Office 365客户发送和接收的电子邮件。 另一方面,包括加密攻击和勒索软件攻击在内的恶意软件攻击在2018年有所下降。微软称恶意软件攻击减少了34%,这确实是个好消息。该公司分析每天通过微软云的6.5万亿个威胁信号获得了这个数字。微软这份报告还显示,在2018年,爱尔兰、日本、美国和中国的加密货币开采率最低,加密货币开采率在2018年整体下降了36%。 (稿源:cnBeta,封面源自网络。)