目前微软共有47000多名开发人员，每月会产生将近30000个漏洞，而这些漏洞会存储在100多个AzureDevOps和GitHub仓库中，以便于在被黑客利用之前快速发现关键的漏洞。 微软的高级安全项目经理Scott Christiansen，大量的半策展（semi-curated）数据非常适合机器学习。自2001年以来，微软已经收集了1300万个工作项目和BUG。 Christiansen表示：“我们利用这些数据开发了一个流程和机器学习模型，它能在99%的时间内正确区分出安全和非安全漏洞，并能准确识别出关键的、高优先级的安全漏洞，97%的时间内准确识别出关键的、高优先级的安全漏洞。” 微软构建的机器学习模型中，旨在帮助开发者准确识别和优先处理需要修复的关键安全问题，并对其进行优先级排序。Christiansen表示：“我们的目标是建立一个机器学习系统，以尽可能接近安全专家的准确度将BUG分为安全/非安全和关键/非关键”。 为了实现这个目标，微软对学习模型进行了诸多培训，提供了很多标记为安全的BUG以及其他标记为不安全的BUG。该模型经过训练之后，能够基于掌握的信息来给没有被预先分类的数据打上标签。   （稿源：cnBeta，封面源自网络。）

据外媒报道，在当局处理像COVID-19这种威胁生命的疾病时，最糟糕的事情之一就是安全漏洞。而现在这样的事情已经发生，因为不明身份人士公布了近25000个电子邮件地址和密码，这些电子邮件地址和密码来自不同的组织，包括美国疾病控制与预防中心(CDC)、盖茨基金会、美国国立卫生研究院（NIH）、世界卫生组织（WHO）和世界银行。 目前还不清楚这些机构遭黑客入侵的时间，也不清楚谁对入侵事件和信息的传播负责，但结果还是令人担忧。其中一些密码仍然可以被用来访问电子邮件地址。监视网上极端主义和恐怖组织的SITE情报组告诉《华盛顿邮报》，这些电子邮件的登录信息在周日被共享。到了周一，这些邮件已经被极右极端分子用来进行黑客攻击和骚扰。 “新纳粹分子和白人至上主义者利用这些名单，在他们的活动场所中积极发布这些名单，”SITE的执行董事Rita Katz说。”极右极端分子利用这些数据，在分享新冠病毒大流行的阴谋论的同时，还呼吁开展骚扰运动。这些所谓的电子邮件凭证的分发只是整个极右分子长达数月的行动的另一个部分，目的是将COVID-19大流行病武器化。” 这些信息最初出现在4chan上，然后被转移到Pastebin上，然后又出现在Twitter和Telegram上的极右极端主义账户上。最大的一批电子邮件地址属于NIH（9938个），其次是CDC（6857个）、世界银行（5120个）和WHO（2732个）。 澳大利亚网络安全专家Robert Potter 表示，一些WHO的电子邮件地址和密码组合是真实的。”他们的密码安全性令人震惊，”Potter 说，关于泄露的WHO凭证，他说。”有48人用’密码’作为他们的密码。其他人用的是自己的名字或 ‘changeme’。”Potter表示，世卫组织的信息来自于2016年的一次黑客攻击。目前还不清楚其他凭证的来源，也不清楚是谁能够获得这些凭证。其中一些可能是从暗网购买的。 新纳粹组织一直在利用这些信息传播和助长COVID-19的阴谋论。有一个团体说，这些邮件地址的数据 “证实了SARS-COV-2实际上是人工合成的病毒”，这也是目前流传的新冠病毒阴谋论之一。世卫组织最近表示，这种新型冠状病毒是动物源性的，没有任何迹象表明COVID-19病毒是在实验室里合成的。   （稿源：cnBeta，封面源自网络。）

旧金山国际机场已确认，其两个网站在3月份被黑客入侵，攻击者似乎已经访问了其员工和承包商的用户名和密码。该机场在4月7日的一份通知中证实，SFOConnect.com和SFOConstruction.com这两个网站是 “网络攻击的目标”，黑客在这两个网站上 “插入了恶意的计算机代码，以窃取一些用户的登录凭证”。如果被窃取，这些登录凭证可能会让攻击者进入机场的网络。目前还不知道是否有任何额外的保护措施，如多因素认证等，以防止网络漏洞。 该通知还补充说：”用户可能会受到这次攻击的影响，包括那些通过基于Windows操作系统的个人设备或非机场维护的设备从机场网络以外的Internet Explorer访问这些网站的用户。” 通知称，机场于3月23日将员工专用网站下线，并发布了强制重置密码的通知。现在两个网站都已恢复运行。 旧金山国际机场的发言人没有立即发表评论。 攻击者利用现有的漏洞在网站上注入代码以获取输入的数据，如用户名和密码甚至信用卡信息等，这种情况并不罕见。 两年前，英国航空的网站上有38万名客户的信用卡记录被黑客在其网站和移动应用上注入恶意代码，导致38万名客户的信用卡记录被盗取。这次攻击导致了欧洲历史上最大的数据泄露罚款–约2.3亿美元–这要归功于当时新出台的GDPR法规。   （稿源：cnBeta，封面源自网络。 ）

外媒ZDNet从一位读者那里了解到，黑客已经劫持了微软公司的一些YouTube帐户，并向该公司的订阅用户广播了一种加密货币庞氏骗局。根据消息来源，这些黑客入侵似乎发生在当地时间周一。尽管向YouTube工作人员报告了这些情况，但截至外媒记者发稿前，被劫持的帐户仍在直播。 这位黑客目前正在直播前微软首席执行官比尔·盖茨（Bill Gates）在2019年6月在Village Global向听众提供有关创业公司建议的旧演讲。黑客正在直播演示文稿的变更版本，同时还要求观众参加经典的“加密货币赠品”活动-受骗者可能发送少量加密货币以使收入翻倍，但从未获得任何回报。 目前，加密货币庞氏骗局正在Microsoft US，Microsoft Europe，Microsoft News等YouTube帐户上实时流式传输。目前，YouTube上有超过19个直播视频正在直播。这些视频不仅在微软YouTube频道上播放，而且还在从其他用户手中劫持并重命名为合法Microsoft帐户的YouTube频道上播放，以扩大效果。 视频流中列出的比特币地址未收到任何交易或持有任何资金，表明没有用户落入该骗局。根据YouTube的统计信息，目前有成千上万的人观看了视频。 微软并不是受到大规模黑客入侵事件影响的唯一组织。著名的德国黑客社区Chaos Computer Club也被劫持以传播类似消息。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/895.html   一、背景概述 腾讯安全威胁情报中心检测到“higaisa（黑格莎）”APT组织在被披露后经过改头换面再次发动新一轮的攻击，在这轮攻击中，该组织舍弃了使用多年的dropper，完全重写了攻击诱饵dropper，此外还引入了dll侧加载（白加黑）技术对抗安全软件的检测和查杀。 “Higaisa（黑格莎）”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织，因为其常用higaisa作为加密密码而得名。该组织具有政府背景，其活动至少可以追溯到2016年，且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动，诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福，以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体（如驻各地大使馆官员）、政府官员、人权组织、朝鲜海外居民、贸易往来人员等，受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 二、基础信息   文件名 MD5 功能/属性 Happy-new-year-2020.scr 2173b589b30ba2b0242c82c9bcb698b2 dropper Rekeywiz.exe 082ed4a73761682f897ea1d7f4529f69 白文件，用于+加黑 Duser.dll 5de5917dcadb2ecacd7ffd69ea27f986 Downloader cspwizres.exe 54c0e4f8e59d1bd4c1e0d5884b173c42 窃密木马 2020-New-Year-Wishes-For-You.scr 37093D3918B0CC2CA9805F8225CCCD75 dropper Duser.dll 01B90259A9771D470582073C61773F30 Downloader 390366d02abce50f5bb1df94aa50e928 390366d02abce50f5bb1df94aa50e928 Gh0st trojan bbf9822a903ef7b9f33544bc36197594 bbf9822a903ef7b9f33544bc36197594 Gh0st trojan 0a15979a72f4f11ee0cc392b6b8807fb 0a15979a72f4f11ee0cc392b6b8807fb Gh0st trojan 739a40f8c839756a5e6e3c89b2742f8e 739a40f8c839756a5e6e3c89b2742f8e Gh0st trojan 三、鱼叉攻击 与以往的攻击手段类似，“higaisa（黑格莎）”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击，最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等，欺骗用户下载并打开附件。 附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr，运行后释放并打开与主体相对应的图片欺骗受害者。 四、木马行为分析 1.Dropper 1）2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似 可能由于被曝光的原因，该组织对dropper进行了重写，舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式，直接从数据段中解密（XOR 0x1A）释放恶意文件到指定目录并执行。释放的恶意文件如下： %ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe（白） %ALLUSERSPROFILE%\CommonDatas\Duser.dll（黑） %TEMP%\Happy-new-year-2020.jpg（正常的伪装图片） 2）使用com创建EfsRekeyWizard.lnk到启动目录，指向Rekeywiz.exe实现持久化。 2. Downloader 1）Rekeywiz.exe文件为操作系统白文件，运行时会加载edsadu.dll，该文件也是系统自带文件，edsadu.dll加载过程中会加载Duser.dll，实现白加黑攻击: 2）Duser.dll的InitGadgets接口函数中实现了恶意功能，创建恶意线程: 3）使用RC4解密出C2，然后获取磁盘序列号的CRC32值作为tn参数，获取随机字母为ved参数，向C2发送请求，C2为：hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php 4）C2返回的数据也是经过RC4加密的数据，解密后为PE文件，释放到temp目录后执行: 5）其中文件名也来自于C2的返回数据，取数据从后往前第一个’&’之后的字符作为文件名: 6）C2返回的数据实例，与之前的攻击类似：最终下载了infostealer+gh0st RAT 3.Infostealer cspwizres.exe（54c0e4f8e59d1bd4c1e0d5884b173c42）文件主要行为是获取计算机信息，并发送到C2。 1）解密出要执行的命令结果如下：主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\： 2）创建cmd执行以上命令，并通过管道获取执行结果 3）解密出C2，C2地址与之前的攻击活动相似 4）将获取的信息上传到C2中185.247.230.252： 4. RAT 持续监控中发现，后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统，我们目前共在受害机发现3个不同版本的gh0st木马。 版本1: 该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能，C2: x1.billbord.net:6539。 版本2： 该木马为gh0st RAT，含有文件管理、进程管理、CMDshell等功能， C2: www.phpvlan.com:8080 版本3： 该木马为gh0st远控改版，只保留插件管理功能，所有功能需插件实现，C2: console.hangro.net:1449。 5. TTP/武器更新 1)Dropper 本轮攻击利用“白+黑”的方式加载Downloader模块：rekeywiz.exe+ Duser.dll 2)Downloader 自腾讯安全御见威胁情报中心公布该组织攻击报告后（https://s.tencent.com/research/report/836.html），该组织对其Downloader进行改版，新一批downloader下载功能均基于老版本的curl开源代码实现： 五、MITRE ATT&CK   Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution T1175 Component Object Model and Distributed COM T1072 Third-party Software Persistence T1179 Hooking T1137 Office Application Startup T1038 DLL Search Order Hijacking T1060 Registry Run Keys / Startup Folder Defense Evasion T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 六、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御： 1、 通过官方渠道或者正规的软件分发渠道下载相关软件； 2、 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络，建议不要进行可能泄露机密信息或隐私信息的操作，如收发邮件、IM通信、银行转账等；最好不要在连接公用WiFi时进行常用软件的升级操作； 3、 提升安全意识，不要打开来历不明的邮件的附件；除非文档来源可靠，用途明确，否则不要轻易启用Office的宏代码； 4、 及时安装操作系统补丁和Office等重要软件的补丁； 5、 使用杀毒软件防御可能的病毒木马攻击，对于企业用户，推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能，可帮助企业用户降低病毒木马入侵风险； 6、 推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）及时捕捉黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。（https://s.tencent.com/product/gjwxjc/index.html） 七、附录 IOCs 185.247.230.252                        infostealer petuity.shopbopstar.top            downloader adobeinfo.shopbopstar.top    downloader console.hangro.net:1449         gh0st plug www.phpvlan.com:8080          gh0st x1.billbord.net:6539                  gh0st MD5 2173b589b30ba2b0242c82c9bcb698b2 082ed4a73761682f897ea1d7f4529f69 54c0e4f8e59d1bd4c1e0d5884b173c42 4d937035747b4eb7a78083afa06022d3 5de5917dcadb2ecacd7ffd69ea27f986 37093d3918b0cc2ca9805f8225cccd75 01b90259a9771d470582073c61773f30 25c80f37ad9ad235bea1a6ae68279d2e 739a40f8c839756a5e6e3c89b2742f8e 6a0fab5b99b6153b829e4ff3be2d48cd 0a15979a72f4f11ee0cc392b6b8807fb 390366d02abce50f5bb1df94aa50e928 bbf9822a903ef7b9f33544bc36197594 4ff9196bac6bf3c27421af411c57ba52 参考资料 警惕来自节假日的祝福：APT攻击组织”黑格莎（Higaisa）”攻击活动披露 https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw

据外媒报道，本周，超1060万名住在米高梅国际度假(MGM Resorts)酒店的客人的个人详细信息被公布在了一个黑客论坛上。除了普通游客之外，遭新曝光的信息还包括了一些名人、科技公司老总、记者、政府官员以及来自全球最大科技公司的职工。 米高梅度假村发言人通过电子邮件确认了这一事件。 泄露了什么？ 根据外媒ZDNet的分析，今天被曝光的MGM数据转储包含了10,683,188名曾在MGM酒店住过的客人的个人详细信息。 泄露的文件中包含了个人详细信息，诸如全名、家庭住址、电话号码、电子邮件和生日等。 ZDNet跟一部分酒店客人进行了联系并确认他们曾住在这家酒店以及他们的时间表和泄漏文件中所含数据的准确性。 结果他们得到了来自国际商务旅客、参加技术会议的记者、参加商务会议的CEO以及前往拉斯维加斯分支机构的政府官员的确认。 米高梅度假村称他们去年已经通知客人 米高梅发言人告诉ZDNet，本周被发布到网上的数据源于去年发生的安全事件。 “去年夏天，我们发现未经授权的云服务器访问，该云服务器包含了某些以前为米高梅度假村的某些客人提供的信息。我们有信心，这一事件并不涉及任何财务、支付卡或密码数据问题。” 这家连锁酒店表示，将根据适用的州法律及时通知所有受影响的酒店客人。 此外，米高梅度假酒店还告诉ZDNet，他们聘请了两家网络安全取证公司对发生在去年的服务器数据泄露事件进行内部调查。 这家公司说道：“在米高梅度假酒店，我们非常重视保护访客数据的责任，并且我们已经加强和增强了网络的安全性以防止再次发生这种情况。” SIM交换和鱼叉式钓鱼的潜在危险 尽管去年米高梅的安全事件备受关注，但本周在一个人气黑客论坛上发布了此数据转储仍旧吸引了很多黑客的注意。 发现此漏洞并通知记者的Under the Breach公司则强调了该漏洞存在的高度敏感性。该公司告诉ZDNet，这些用户现在面临着接收鱼叉式网络钓鱼电子邮件以及SIM被更换的更高风险。 据Under the Breach披露，他们在泄露文件中看到了Twitter CEO杰克·多尔西、流行歌手贾斯汀·比伯以及DHS和TSA一些官员的名字。 对此，米高梅度假酒店告诉ZDNet，这些数据都是老数据。ZDNet表示他们确实从今天致电的所有酒店客人中确认了这一说法，这些客人在2017年以后都没有入住过这家酒店。另外，该外媒拨打的某些电话号码也已经打不通，不过仍有许多电话号码能够接通并且有人接了电话。   （稿源：cnBeta，封面源自网络。）

1月31日，美国威斯康星州的拉辛市被勒索软件入侵，事件发生后，该市大部分计算机系统瘫痪。 该地政府科技网站发布报告称：本市的计算机网络系统周五被勒索软件入侵，至周日下午网络系统仍处于瘫痪状态。目前，该市的网站、电子邮件以及在线支付系统都收到影响。拉辛警方发布Facebook，称其目前无法支付事件的处理费用，也无法提供事件的侦测报告。 周五，该市的信息管理部门开启了事件响应程序，地方当局以及联邦政府对事件展开调查，调查声称税收以及911公共安全系统未受这次勒索软件入侵影响。 鲍威尔在一份声明中称：MIS worked over the weekend 公司联合网络安全公司制作了一个周密的计划，在不传播勒索软件的情况下恢复网络系统，目前对事件发生原因以及波及范围都在进行调查。 去年12月，Maze勒索软件运营商发布消息，称其利用勒索软件盗取彭萨科拉市的2GB文件。 去年11月，路易斯安那周政府遭到勒索软件攻击，多州的服务机构包括机动车管理局、卫生部以及运输发展部都受到影响。这一事件使得路易斯安那州关闭了该州的几个网站以及邮件和互联网服务。 8月份，近23个地方政府遭受勒索软件攻击，佛罗里达州的一些城市也受到黑客影响。去年6月，佛罗里达州被勒索软件攻击系统，里维埃拉海滩城同意支付60万美元的赎金来解密其数据。几天后，莱克城也同意支付近50万美元的赎金机密遭勒索软件攻击系统。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://s.tencent.com/research/report/880.html 腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁。 一、概述 受疫情影响，多个省市延长春节假期，一些企事业单位、互联网公司或推迟开工日期，或全员进行远程办公，一部分员工使用个人电脑临时替代工作电脑，增加了企业被感染的风险。 近日，腾讯企业安全应急响应中心（下称腾讯安全）接到某互联网公司求助，该公司一位业务主管分享到内部工作群的远程办公工具及电子表格文件被发现感染病毒，导致部门200多名员工电脑被感染，该公司担心系统业务安全受到威胁，希望腾讯安全协助处理。 接到求助后，腾讯安全工程师和该公司密切配合，快速梳理了相关信息，通过溯源发现是该企业在进行远程办公时，某位业务主管使用个人电脑办公，该电脑被XRed病毒感染，致使电脑EXE文件及电子表格文件均被病毒感染，通过内部工作群分享远程办公工具之后，造成该病毒在同事间扩散。 通过分析，腾讯安全专家发现XRed病毒是具备远程控制、信息窃取能力的感染型病毒，可以感染本地EXE文件及xlsx电子表格文件，病毒可通过文件分享和U盘、移动硬盘等媒介传播。 该企业因发现比较及时，使用腾讯电脑管家或腾讯T-sec终端安全管理系统清除病毒后，已完美恢复被感染的文件，本次病毒攻击未对该企业造成重大影响。 二、病毒感染源排查 1.该公司前期内部排查：公司网管注意到某员工通过内部工作群分享的压缩包中远程办公工具exe文件被感染，而公司统一提供的远程办公工具exe则为正常文件。因此基本确认病毒传播源头。 2.腾讯安全工程师对此进行了远程排查，发现怀疑感染病毒的电脑有如下现象： （1）在该电脑上解压文件，发现解压出来的exe文件对比原始文件大，已被感染 （2）任意复制一个exe文件放到桌面上，exe文件都会被感染，感染后文件描述被修改成触摸板设备驱动程序，据此可以基本确认该病毒为同行已披露过的“Synaptics”蠕虫病毒。 （3）继续检查发现，这台中毒电脑上破解版压缩软件并未发现“供应链污染”类问题。基本可以确认是这台个人电脑更早前某个时刻感染XRed病毒，在本次应急用作工作电脑远程办公使用，对外分享文件时，被该公司IT人员监测发现异常。 三、阻断病毒传播和修复方案 该公司IT人员立即对感染病毒的机器进行断网处理，避免进一步扩散。 在确认电脑管家云主防可以拦截病原体“Synaptics.exe”之后，立即要求未安装“腾讯T-sec终端安全管理系统”的电脑安装腾讯电脑管家。病原体“Synaptics.exe”有超过2万个变种，最近一次更新是2020年1月，目前仍处于活跃状态，建议企业及时升级杀毒软件，做好防范。 对已感染病毒对电脑，使用腾讯电脑管家（或腾讯T-sec终端安全管理系统）进行全盘查杀修复被感染的文件。XRed病毒感染方式相对比较特殊（详情可参见后续“样本详细分析”部分），腾讯电脑管家可以准确识别和完美修复，将被感染文件还原成原始状态。 四、样本详细分析 根据该病毒在写入的日志信息以及Gmail用户名的关键词，将该感染型病毒名确定为“XRed”。XRed病毒最近四个月较为活跃，有一定增长态势。 该病毒通过感染指定位置的32位的“.exe”后缀文件与“.xlsx”后缀文件，使其恶意代码可以通过文件共享大量传播但不会导致系统明显卡顿。 如下三个指定的感染位置： %USERPROFILE%\Desktop %USERPROFILE%\Documents %USERPROFILE%\Downloads 被感染的文件被执行时，会执行恶意逻辑，包括释放伪装名为“Synaptics.exe”的文件常驻系统，进行远程控制，回传窃取的敏感信息等恶意行为。 主要功能逻辑如下图所示： 被感染的可执行文件体积增量约为753KB，包含一个名为“EXERESX”的资源，该资源是原始正常的程序。被感染的文件资源如下图所示。 EXERESX”资源会在宿主文件运行时被释放到当前目录并设置隐藏属性后执行。添加“ ._cache_”前缀拼接文件名，如下图所示。 该病毒释放并加载名为“KBHKS”的动态库资源，通过设置相关钩子消息以记录键盘输入信息及其窗口信息等， Hook代码关键逻辑如下： 病毒使用“XLSM”资源感染xlsx后缀文件，并将“.xlsx”后缀改为“.xlsm”。修改office组件设置以及xlsm后缀目的为了能够自动静默启用宏。 “XLSM”资源包含了恶意VBA脚本，恶意功能如下： 篡改Word和Excel组件的宏设置，启用所有宏。 通过公有云盘下载并执行Synaptics.exe病毒。 键盘记录特殊虚拟键码转换如下图所示 用于回传敏感信息的邮箱账密、配置与病毒本体的更新链接等硬编码配置如下图所示： 具有基础的远程控制功能，包括执行CMD命令、屏幕截图、打印目录、下载文件、删除文件等。功能代码如下图所示： 远控功能 IOCs: md5 13358cfb6040fd4b2dba262f209464de C2 & URL xred.mooo.com freedns.afraid.org/api/?action=getdyndns&sha=a30fa9*****797bcc613562978 hxxps://docs.google.com/uc?id=0BxsM*****aHFYVkQxeFk&export=download hxxps://www.dropbox.com/s/zh*****hwylq/Synaptics.rar?dl=1 hxxp://xred.site50.net/syn/*****.rar 病毒作者邮箱地址 xredline1@gmail.com xredline2@gmail.com xredline3@gmail.com 参考资料： https://www.freebuf.com/articles/terminal/222991.html

微软安全专家发现TA505网络犯罪团伙正在发起网络钓鱼活动，使用带有HTML重定向器附件发送恶意Excel文档。据悉，这是TA505团伙首次采用这种策略。 TA505黑客团伙自2014年以来一直活跃于零售和银行业。该团伙以一些规避技术而闻名，随着时间推移这些技术被用于安全规避控制，主要是通过几种恶意软件渗透到公司内部，如滥用所谓的LOLBins，使得受害者在合法情况下滥用程序。此外，TA505集团还与Locky、BitPaymer、费城、globeimparter和Jaff勒索软件家族一起参加了旨在分发Dridex banking特洛伊木马的活动。 网络安全公司Eversion的安全专家发表报告称：TA505已经危害了1000多个组织。 “我们在对这场运动的分析过程中，我们能确定至少一家总部位于美国的电气公司、一家美国州政府网络以及世界上最大的25家显示出妥协迹象的银行都包含其中。” 目前，微软通过发布推特证实这项网络钓鱼活动。 “这是第一次使用HTML重定向器观察Dudear ，其中，攻击者还使用不同语言的HTML文件。值得注意的是，他们还使用IP回溯服务来跟踪下载恶意Excel文件的固定IP地址。” 此外，微软专家还透露，攻击者正在使用电子邮件上附带的的HTML定向程序。一旦受害者打开邮件，HTML就会定向下载一个恶意的Excel文件，而该文件最终将丢弃有效载荷，攻击者可以使用IP回溯服务跟踪下载恶意Excel文件的计算机的IP地址。这是TA505第一次使用这种技术，过去，该组织使用携带恶意软件的垃圾邮件或者使用恶意的url来作为附件，在受害者被诱骗打开Excel文档后，不可以使用在线预览，但可进行文档编辑。 目前有好消息称：微软安全情报部门已经确认微软威胁防护系统能够中和攻击，office 365能够检测此活动中使用的恶意附件和URL，microsoft defender atp也能够检测TA 505使用的恶意html、excel文件和有效负载。   消息来源：securityaffairs， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，Phil Openshaw是美国加州一名退休的牙医，他已经好几个月没上过自己的网站了，所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反，该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片，并且上面还写着“打倒美国”的标语。 当他告知这一情况之后，Openshwa表示：“我真的不知道如何应对。我将会去看看。” 攻击Openshaw网站的黑客自称Behzad先生，并透露自己是一名19岁的爱国主义者。“我不为政府工作。我为我的祖国伊朗工作。”另外他还称自己是在工作编程中学到如何攻破网站的。“我们想要知道，如果他们伤害了我们的人民或我们的国家我们是不会倒下的。”   （稿源：cnBeta，封面源自网络。）