Ranzy勒索软件出现在今年9月/10月，似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新，包括加密的调整，过滤的方法，以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1403/         消息来源：SentinelLABS，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

赛门铁克安全研究人员刚刚披露了波及 17 个市场区域，针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后，据说都有 Cicada 的身影（又名 APT10、Stone Panda 和 Cloud Hopper）。 （来自：Symantec） 2009 年开始浮出水面的 Cicada，被美方认为有境外背景，且曾向日本多个组织机构发起过网络攻击。 从目前已知的信息来看，新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬，一直活跃到至少今年 10 月。 赛门铁克指出，Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术，并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。 需要指出的是，该组织最近还扩展了他们的工具包阵容，能够对评级为 10 分的 ZeroLogon 漏洞（CVE-2020-1472）展开利用。 尽管微软已于 8 月对其进行披露和修补，但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。 此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件，此前从未与 APT 有过关联。 据说该组织专注于窃取信息和开展网络间谍行动，包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据，通常会被打包并提交到 Cicada 的命令与控制服务器中。 研究人员指出，攻击者在受害者网络上耗费的时间不尽相同，或者沉寂一段时间后又再次活跃。遗憾的是，由于代码本身被加花，赛门铁克难以准确推断该组织的确切目标。 不过 DLL 侧载和 FuckYouAnti 等名称的运用，此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。 赛门铁克总结道：Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击，其危险性依然不容小觑。         （消息来源：cnBeta；封面来自网络）

加密货币交易所Liquid已确认遭到黑客攻击，它仍在调查受影响的范围有多大。Liquid首席执行官Mike Kayamori在博客中表示，这次黑客攻击攻击发生在11月13日，在攻击当中黑客获得了公司域名记录的访问权限，使得黑客控制员工的电子邮件账户，随后入侵了公司的网络。 Kayamori表示，虽然加密货币资金已经 “入账”，但黑客可能已经访问了公司的文件存储。Liquid认为，黑客有能力从用户数据库中获取个人信息，如客户的电子邮件、姓名、地址和加密密码等数据。加密货币交易所Liquid表示，它正在继续调查，如果黑客获得了用户向交易所提交的用于验证身份的文件，如政府颁发的身份证、自拍照或地址证明，这可能会使用户面临身份被盗风险，或进行有针对性的攻击。 Liquid在一封电子邮件中告诉用户，为了安全起见，他们应该更改密码。通常，针对公司网络基础设施的攻击会利用弱小或重复使用的密码，这些密码被用来注册公司的域名。通过闯入并更改这些网络设置，攻击者可以在无形中控制网络，并获得对电子邮件账户和系统的访问权，而通过其他攻击途径则要困难得多。 鉴于入侵可能带来巨大经济回报，加密货币初创公司和交易所是黑客的高价值目标。2018年，Nano在一次黑客事件中被盗走1.7亿美元Binance和Coincheck在黑客入侵后分别损失了4亿美元的巨额资金，Coinrail在一次黑客攻击后损失了4000万美元，Bithumb损失了3000万美元。 加密货币交易所Liquid成立于2014年，并声称在过去的一年里促成了500亿美元的加密货币交易。       （消息来源：cnBeta；封面来自网络）

有证据表明，Cicada威胁组织是针对17个地区和多个行业的公司发动攻击的幕后黑手。大规模的攻击行动针对多家日本公司，其中包括位于全球17个地区的子公司。此次活动的目标横跨多个行业的公司，包括汽车、制药和工程部门的公司，以及管理服务提供商（MSP）。 Cicada又被称作APT10、Stone Panda、Cloud Hopper），它自2009年以来一直参与间谍类型的行动。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1402/       消息来源：Symantec Enterprise Blogs，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在过去的一篇文章中，我们介绍了Linux恶意软件ELF_TSCookie，它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本（ELF_PLEAD）。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1401/         消息来源：JPCERT，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

加密货币借贷服务Akropolis表示，一名黑客利用“闪电贷 ”攻击其平台，盗取了价值约200万美元的Dai代币。攻击发生在上周，Akropolis管理员暂停了平台上的所有交易，以防止进一步的损失。 Akropolis表示，虽然它聘请了两家公司对事件进行调查，但两家公司都无法确定该漏洞所使用的攻击载体。尽管如此，该入侵事件被认定为 “闪电贷 ”攻击。 “闪电贷 ”攻击已经成为针对运行DeFi(去中心化金融)平台的加密货币服务的常见攻击，这些平台允许用户使用加密货币借款或贷款，投机价格变化，并赚取类似加密货币储蓄账户的利息。当黑客从DeFi平台(如Akropolis)借出资金，但又利用平台代码中的漏洞逃脱贷款机制并将资金带走时，就会发生闪电贷攻击。 自今年2月初以来，这些攻击的数量一直在增加，其中最大的一次闪电贷攻击发生在10月份，当时黑客从DeFi服务Harvest Finance盗取了价值2400万美元的加密货币资产。 好消息是，Akropolis表示，它已经确定了攻击者的Ethereum账户，这将使它能够跟踪资金在区块链上移动的情况。DeFi平台表示，它已经通知了主要的加密货币交易所关于黑客和攻击者的钱包，试图冻结资金，防止攻击者将资金洗成其他形式的加密货币，失去调查人员的踪迹，并兑现资金。 Akropolis表示，目前正在探索如何补偿用户的损失。       （消息及封面来源：cnBeta）

TroubleGrabber是一种新的凭证窃取恶意软件，它通过Discord的附件传播，并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处，但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的，目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载，窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1399/       消息来源：netskope，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

外媒报道称，疑似受到俄朝支持的黑客，已将参与 COVID-19 疫苗研发的制造公司视作攻击目标。科技巨头微软周五表示，其发现了针对美国、加拿大、法国、印度、韩国七家企业的此类攻击。遗憾的是，尽管其已设法阻止了“大多数”攻击，但微软还是承认其中有些已经得逞。 截图（来自：Microsoft Blog） 目前微软已经向受影响的公司发去了通知，但拒绝披露确切的名字。微软客户安全与信任负责人 Tom Burt 在博客中写道：“我们认为这些攻击是不合情理的，应该受到所有文明社会的谴责”。 据悉，这些攻击源于三个不同的黑客组织，其中就包括与俄方有说不清道不明关系的 Strontium（又名 APT28 或 Fancy Bear）。 Strontium 利用密码喷洒（Password Spraying）来针对受害者，通常涉及循环重用密码。 上一次闹出大动静，还是 2016 年美国总统大选期间的虚假信息传播与黑客行动，同时该组织也因针对媒体和企业的一系列其它高调攻击而遭到指责。 第二个黑客团体被微软称作 Zinc（又名 Lazarus Group），其疑似与朝方有联系，擅长通过钓鱼邮件骗取受害者的密码凭证。 据说 2016 年的索尼黑客攻击，2017 年的 WannaCry 勒索软件等事件，幕后都有着 Lazarus 的身影。 第三个黑客团体，则是知名度相对较低的 Cerium 。微软对这个疑似与朝方有关的组织知之甚少，但指责其利用伪装成世卫组织代表的钓鱼邮件来破坏全球抗击 COVID-19 大流行所做出的共同努力。 Tom Burt 呼吁，世界各地的领导人应拿起法律武器，参与到医疗机构的保护中去。以及在允许的范围内，对相关网络犯罪团体采取制裁行动。         （消息来源：cnBeta；封面来源于网络）

最新研究显示，今年9月初，针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。 RiskIQ在11月11日发表的一份报告中说：“这个组织实施了大量不同种类的Magecart攻击，这些攻击通常通过供应链攻击（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量网站。” 这些攻击被统称为CardBleude，针对至少2806多家Magento 1.x的在线商店，这些商店在2020年6月30日已经停止使用。 Magecart是针对在线购物系统的不同黑客团体的联合体，在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。 其攻击被称为formjacking攻击，攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中，以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。 但在最近几个月中，Magecart组织加大了攻击，他们将代码隐藏在图像元数据中，甚至进行了IDN同形攻击，以隐藏在网站的favicon文件中的网络浏览器。 Cardbleed（最初由Sansec记录）通过使用特定域与Magento管理面板进行交互，然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后，它会自动删除。 现在，根据RiskIQ的说法，这些攻击具有Magecart group 12组织的所有特征。 此外，刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。 有趣的是，研究人员观察到的其中一个域名（myicons[.]net）也与5月份的另一个活动有关，在那个活动中，一个Magento favicon文件被用来把skimmer隐藏在支付页面上，并加载一个假的支付表单来窃取捕获的信息。 但就在恶意域名被识别时，Magecart group 12已经熟练地换入了新的域名，以继续进行攻击。 RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来，攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer，并将渗透转移到最近注册的域console..in中。” RiskIQ威胁研究人员Jordan Herman表示，“升级到Magento 2是一种特别的缓解措施，尽管升级的成本可能会让较小的供应商望而却步。” 他补充说，“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以，防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单，这样他们就可以识别出软件的弃用版本，以及任何其他可能引发Magecart攻击的漏洞”。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

该活动被Blackberry研究人员称为“CostaRicto”，这场运动似乎是APT组织的杰作，他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。 研究人员表示，“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家，但最大的集中似乎在南亚（特别是印度、孟加拉国、新加坡和中国），这表明攻击者可能驻扎在该地区。但是，他们从不同的客户那里获得了广泛的佣金。” 攻击者通过被盗凭证在目标环境中获得了立足之地后，便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器，该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。 除了DNS隧道管理命令与控制（C2）服务器，上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。 后门配备了50个不同的命令来执行特定任务（可分为core、taskman、config、storage、debug、network函数），从将恶意dll注入内存到枚举存储中的文件，再到将捕获的数据泄漏到攻击者控制的服务器。 总共已经确定了6个版本的SombRAT，第一个版本可以追溯到2019年10月，最新的版本在今年8月初观测到，这意味着后门正在积极开发中。 虽然攻击者的身份仍不清楚，但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关，该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的，暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。 这是Blackberry发现的第二起黑客雇佣行动，第一起是由一个名为Bahamut的组织发起的一系列行动，他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。 Blackberry研究人员表示:“勒索软件即服务（RaaS）取得了不可否认的成功，因此网络犯罪市场扩大其业务范围，将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。” “将攻击或攻击链的某些部分外包给独立的佣兵组织，对攻击者有很多好处——它可以节省自己的时间和资源，简化程序，最重要的是，它利于保护自己的真实身份。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。