北京时间5月7日消息，近8年来，一名黑客一直在悄无声息地将D-Link NVRs(网络录像机)和NAS(网络附加存储)设备劫持到一个僵尸网络中，其唯一目的是连接到在线网站并下载动漫视频。 据报道，这个名为“Cereals”的僵尸网络于2012年首次被发现，并于2015年达到顶峰，当时它积累了超过1万个“僵尸”。 然而，尽管这个僵尸网络规模庞大，但大多数网络安全公司都没有发现它的踪迹。不过目前，“Cereals”正在慢慢消失，因为这些年来它所依赖的旧式D-Link设备已经开始老化，而且用户也在更换产品。此外，一个名为“Cr1ptT0r”的勒索病毒毒株在2019年冬天从许多D-Link系统中破坏了“Cereals”恶意软件，这也加速了这一僵尸网络的衰落。 目前所有证据都表明，这个僵尸网络的作者据称是一个名叫Stefan的德国人，他在制作“Cereals”的过程中从未有任何犯罪意图，似乎只有一个目的——下载动画短片。     （稿源：凤凰网科技，封面源自网络。）

今年3月28日宣布成功入侵印尼公司Tokopedia之后，这位黑客近日又发布重磅消息称从微软的私有GitHub库中窃取了容量超过63.2GB的.dump转储文件。根据文件的目录列表截图显示，转储文件中涵盖了Azure, Office和部分Windows runtimes。 随后这条消息得到了数据泄露监控和防范服务机构Under the Breach推特账户的证实。需要注意的是，尽管此次泄露的源代码规模很大，但不代表黑客会获取到微软的核心商业机密，微软在GitHub仓库中存储的内容一般都是公开的，即便存储在私人仓库中的内容也是如此，而且微软还会严格筛查上传的代码来杜绝泄露的情况。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q 一、概述 腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析，我们确认了此次攻击行动属于挖矿木马家族H2Miner。 H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。 腾讯安全威胁情报中心大数据统计结果显示，H2Miner利用SaltStack漏洞的攻击自5月3日开始，目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件，清除服务器安装的其他挖矿木马，以独占服务器资源。目前，H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。 二、样本分析 Saltstack是基于python开发的一套C/S自动化运维工具。近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中： CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过Salt Master的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。 CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息信息。 漏洞影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 安全研究人员在得到企业授权后，对中招机器进行排查，在/var/log/salt/minion日志中发现攻击时的恶意文件下载行为： 该下载行为正是利用SaltStack漏洞攻击成功后执行的远程命令，命令通过curl或wget下载和执行脚本sa.sh（http[:]//217.12.210.192/sa.sh），脚本sa.sh具有以下功能： 1、卸载防御软件阿里云骑士、腾讯云镜。 2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马，删除对应的进程和文件，杀死正在运行的竞争对手的Docker容器并删除其镜像。 3、检查文件/tmp/salt-store是否存在，md5是否为“8ec3385e20d6d9a88bc95831783beaeb”。 4、salt-store不存在或md5不正确则下载该文件至tmp目录下。 下载得到的salt-store采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能： 下载文件并执行 启动和维持挖矿程序 与C&C服务器通信，接收并执行远程命令 利用masscan对外扫描 针对redis服务进行爆破攻击 salt-store从http[:]//206.189.92.32/tmp/v下载XMRig挖矿木马，保存为/tmp/salt-minions，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为： 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb 目前该钱包已挖矿获得8236个门罗币，获利折合人民币超过370万元。该黑产团伙的战果显示：入侵控制Linux服务器挖矿已是黑产生财之道，采用Linux服务器的企业万不可掉以轻心。 三、关联家族分析 此次攻击中sa.sh（e600632da9a710bba3c53c1dfdd7bac1）与h2miner使用的 ex.sh（a626c7274f51c55fdff1f398bb10bad5）脚本内容呈现高度相似： 上述标记中sa.sh对比ex.sh唯一缺少的代码是通过crontab定时任务设置持久化。 而sa.sh和ex.sh主要的任务为下载木马salt-store（8ec3385e20d6d9a88bc95831783beaeb）和kinsing（a71ad3167f9402d8c5388910862b16ae），这两个木马都时采样Golang语言编写，并编译为Linux平台可执行程序，两个样本代码结构高度相似、并且完成的功能几乎相同，因此我们认为两者属于同一家族。 四、安全建议 腾讯安全专家建议企业采取以下措施强化服务器安全，检查并清除服务器是否被入侵安装H2Miner挖矿木马。 1.将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。将SaltStack升级至安全版本以上，升级前建议做好快照备份，设置SaltStack为自动更新，及时获取相应补丁。 2.Redis 非必要情况不要暴露在公网，使用足够强壮的Redis口令。 3.参考以下步骤手动检查并清除H2Miner挖矿木马： kill掉进程中包含salt-minions和salt-store文件的进程，文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb； 删除文件/tmp/salt-minions、/tmp/salt-store； 将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁； 升级SaltStack到2019.2.4或3000.2，防止病毒再次入侵。 IOCs MD5 e600632da9a710bba3c53c1dfdd7bac1 a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb a626c7274f51c55fdff1f398bb10bad5 a71ad3167f9402d8c5388910862b16ae IP 217.12.210.192 206.189.92.32 144.217.117.146 URL hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store hxxp[:]//217.12.210.192/salt-store hxxp[:]//217.12.210.192/sa.sh hxxp[:]//206.189.92.32/tmp/v hxxp[:]//206.189.92.32/tmp/salt-store hxxp[:]//144.217.117.146/ex.sh hxxp[:]//144.217.117.146/kinsing2 参考链接 通告：针对SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）植入挖矿木马的应急响应 https://mp.weixin.qq.com/s/CtZbXD0CXCemWyAwWhiv2A https://developer.aliyun.com/article/741844

据外媒报道，苹果公司表示，目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件（Mail）应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称，苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能，且这一漏洞已经存在了一年之久。苹果公司发起了一项调查，并在一份声明中表示，Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时，苹果公司补充说，它将很快发布一个补丁。 苹果公司表示：“我们已经彻底调查了研究人员的报告，并根据所提供的信息得出结论，这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题，但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护，目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应，重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢，同时宣称将在补丁发布之后“更新更多信息”。 上周三，ZecOps发布了关于漏洞的报告。报告称，当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时，网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称，这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示，遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称，网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测，当苹果发布beta版更新时，这些漏洞会被公开披露，而网络攻击者“很可能会利用这段时间，在补丁发布之前攻击尽可能多的设备”。   （稿源：新浪科技，封面源自网络。）

任天堂正在禁用通过任天堂网络ID(NNID)登录Nintendo Accounts的方式，这是因为此前已有16万个账户受到黑客攻击企图的影响。任天堂表示，自4月初以来，“通过我们的服务以外的其他一些手段非法获得的登录ID和密码已经被用于访问这些账户。” 包含账户昵称、出生日期、国家和电子邮件地址等信息都可能在此次漏洞事件中被访问，部分账户还遭遇欺诈性购买。 任天堂现在建议所有用户启用双因素验证，受影响的账户的密码现在正在重置，这些旧的NNNID哦通常用于3DS和Wii U设备。任天堂最新的Switch游戏机使用了更新后的任天堂账户系统，但直到今天为止，这些旧的账户都可以继续访问新账户系统。 受影响的用户也将通过电子邮件通知，该公司警告说，如果你使用了相同的NNID和任天堂账户的密码，那么“你的余额和注册的信用卡/PayPal可能会在‘我的任天堂商店’或任天堂网店被非法使用。” 本周早些时候的媒体报道称，一些任天堂账户被破解，不少人利用这一账户购买数字项目，如 Fortnite VBucks 捆绑的数字项目。任天堂正在要求受影响的用户联系该公司，以便它可以调查购买历史，并取消购买。   （稿源：cnBeta，封面源自网络。）

根据谷歌周三发布的一份报告，黑客正在寻找一切机会来利用本次 COVID-19 的全球大流行，甚至通过免费快餐来诱骗政府官员泄露登录信息。这家科技巨头表示，其日均在阻止 1800 万封恶意邮件，这还不包括与新冠病毒有关的 2.4 亿封垃圾邮件。 此外谷歌威胁分析小组表示，其已发现有十余个有背景的黑客组织，称其正在利用 COVID-19 来引诱受害者点击恶意链接。 这些攻击与其它类型的网络犯罪有些不同，通常出于间谍目的、而不是为了获取更直接的经济利益。 比如谷歌指出，其发现了一项针对美国政府雇员的行动，通过提供美国快餐连锁店优惠券和免费餐食的形势引诱受害者上钩。 此类骗局常涉及与 COVID-19 有关的消息，以引导受害者进入一个伪装成送餐安排的网站页面，只为了窃取政府雇员的谷歌账户登录凭据。 谷歌威胁分析小组负责人 Shane Huntley 在一篇文章中称，目前尚不清楚有哪些用户的账户受到了侵害，但像往常一样，他们会向这类用户发出警告通知。 除了特别针对美国政府雇员的快餐钓鱼诈骗，本次新冠病毒流行期间，黑客还向除南极洲外的许多地区发起了邮件诈骗，比如伪装成世界卫生组织的官方网站。 好消息是，谷歌表示，其正在为包括世界卫生组织在内的 5 万多个账户给予额外的安全防护。   （稿源：cnBeta，封面源自网络。）

自新冠病毒疫情在美国蔓延以来，联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增，主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨（Tonya Ugoretz）周四表示，IC3每天收到3000-4000起网络安全投诉，而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上，乌戈雷茨表示：“我们的网络漏洞越来越多，也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家，而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到：“各国对有关病毒的信息非常感兴趣，例如关于疫苗的信息。我们的确发现有侦察活动，一些攻入那些机构的行为，尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称，研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出，“不好的一面是，这会让他们成为其他有兴趣搜集研究细节的国家的目标，这些国家甚至可能会窃取这些机构的知识产权信息。”她表示，FBI发现，这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/zFW8Niekso7uVCyOjoMn2w 一、概述 近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器，攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具，爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷，包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系统的后门窃密木马。 攻击载荷服务器 该黑产团伙的主要特点: 1.针对windows/Linux双平台的攻击载荷都是通过生成器生成，可配置上线地址，自动化、专业化程度高。 2.入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破，包括3306/1433端口(mysql/sqlServer默认端口)、3389端口（远程桌面）、SSH爆破等等。 3.通过一键免杀工具进行免杀，通过代理频繁更换服务器IP躲避追踪，频繁更换HFS服务器上的文件，使点击量重新计数等方式躲避追踪查杀。 4.攻击载荷针对Linux系统的是DDoS僵尸网络木马billgates，针对windows系统的为后门窃密类木马。 该黑产团伙从四月份开始活跃，目前已有上千台主机失陷，失陷主机分布在全国各地，排名前三的省份为浙江、江苏、广东。 受该团伙攻击失陷的服务器分布 二、黑客攻击工具包分析 腾讯安全威胁情报中心的检测数据显示，攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪，用了代理工具频繁修改IP地址，所使用的域名xnsj.f3322.net近期被解析指向的多个IP，实际上也是同一台机器设备: 我们在这台HFS服务器上发现多个黑客工具包，包括3389抓鸡工具包、 红尘网安1433工具包，Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。 部分黑客工具包及说明: 黑客工具包对应的功能 3389抓鸡工具包为远程桌面爆破工具，内置了爆破密码字典: 红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破: DDoS压力测试工具 三、Billgates僵尸网络木马分析 该团伙针对攻陷的Linux服务器会安装Billgate僵尸网络木马，Billgates僵尸网络最早出现在2014年，是最为活跃的僵尸网络家族之一，曾多次被安全厂商披露，在本案例中Billgates bot通过生成器生成，可配置ip/域名及端口。 Billgates bot生成器 持久化配置 Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本。 DbSecuritySpt及在rc.d多个目录创建了自启动项 创建的自启动项: DDoS攻击 在函数MainProcess中完成主要的DDoS攻击功能，包括Tcp/Udp/Syn洪水攻击，DNS反射攻击等。 完整的攻击类型如下: MainProcess函数DDoS功能： 四、针对Windows平台的后门分析 该黑产团伙投放的Windows平台后门木马，也是通过生成器生成，可配置C2上线地址，监听端口，及标识码。 此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。 有后门类木马的几乎所有功能，包括键盘记录嗅探，文件下载、上传、执行，执行CMD命令等等。 目前其C2地址为116.207.21.252|xnsj.f3322.net:1999 功能函数: 五、安全建议 1.针对Linux平台的排查：可通过排除相关启动项查看是否中招，如果有包含 /etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招，建议网管及时清除。 2.推荐企业用户使用腾讯T-Sec终端安全管理系统（御点）查杀该团伙安装的Windows系统后门木马；   3.建议网管使用高强度密码，并经常更换，避免遭遇爆破入侵。推荐企业用户部署适当的腾讯安全完整解决方案提升系统安全性。 IOCs: MD5： 488d0393825b9d4aeebd30e236020d78 e133a6078a38e983c1a7a3fb14670c63 fe642d12ef1f884395a3bfd501949ebf b21f8aa2d18cb64b779161d475b68209 7145110d75992a0f0ab2332293fb73ab b4caaea9a5621a595d051da143b40015 935c5a016862605b9d62564c3acdb2aa 544344fb1410184109f85e6343bf0e15 4363993917d8386de4a4d07b4a1f70de 49ec29cab36ccf726c8c25f7aca6875c be89d31b7d876bc6058bd8e64f88c9e1 IP 116.207.21.252 111.176.102.38 116.207.16.45 111.176.101.97 域名: xnsj.f3322.net

热门短视频应用 TikTok 近日被发现存在一个较大的安全隐患，由于部分资源内容未启用安全的 HTTPS 加密连接，导致其容易被黑客攻击而篡改。开发者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒资讯类视频为例，对 TikTok 默认通过 HTTP 连接的资源进行了拦截追踪和篡改攻击。 月份的时候，专注于研究热门 App 中漏洞的两人，发现了一个能够用于窥探 iOS 用户剪贴板中内容的 bug 。 现在，Baktry 和 Mysk 又揭示了月用户 8 亿的热门短视频应用 TikTok 中的一个安全隐患 —— 即便是最新的版本，其仍在通过未加密的 HTTP 连接，来获取 CDN 上的资源。 这意味着 Android / iOS 客户端的 TikTok 用户的观看历史记录易受拦截，甚至为更隐蔽的中间人攻击（MITM）敞开了大门。 研究人员警告称，攻击者甚至可以通过入侵本地网络，将客户端上的视频替换成任何虚假的信息。 为作概念验证，二人搭建了模仿 TikTok 内容交付网络（CDN）的假服务器，然后顺利地利用 MITM 技术欺骗看 TikTok 客户端，将虚假信息视频呈现在了用户的手机屏幕上。 二人以充满错误信息的有关新冠病毒的编造视频片段，代替了世界卫生组织和红十字会的官方内容。Baktry 和 Mysk 写道： “我们成功拦截了 TikTok 的流量，并欺骗客户端来显示编造后的视频，就像它是经过验证的官方账户所发布的那样。对于那些以误导事实来污染互联网内容的人们来说，这简直是一款完美的工具”。 需要指出的是，这种特定的攻击需要访问确切的路由器配置，意味着它很可能被 Wi-Fi 运营商所利用。 此外，默认以 HTTP 连接来调取 CDN 内容的方式，或导致 TikTok 被恶意的无线网络接入点、虚拟专用网、互联网服务提供商、甚至情报机构所利用。 据悉，TikTok 通过 HTTP 来传说包括视频、个人资料照片和剪辑的预览图像等信息，但视频仍是此类社交媒体平台的最主要功能。 为消除安全等方面的诸多不良影响，大多数线上服务和网站都已经转移到 HTTPS 连接。遗憾的是，尽管苹果和谷歌也向 App 开发者提出了要求，但仍提供了向后兼容的非强制性选项。   （稿源：cnBeta，封面源自网络。）

疫情让视频聊天应用Zoom迅速成为了新宠，但也成为了黑客攻击的新目标。援引外媒报道有超过50万个Zoom账户在暗网和黑客论坛上出售，单价不到一便士，有些甚至还可以免费赠送。 这些帐号都是通过凭证填充（credential stuffing）方式攻击获取的，黑客试图利用旧有数据泄露的账户登录到Zoom。成功登录的账号被汇编成名单，卖给其他黑客。 而部分Zoom帐号在黑客论坛上免费提供，以便黑客可以利用这些账户进行zoom-bombing恶作剧和恶意活动。而另一些则是以单价不到一分钱的价格出售。根据网络安全情报公司Cyble与BleepingComputer分享的信息，黑客们提供这些免费账户是为了在黑客社区中获得更多的声誉。 外媒BleepingComputer已经联系了这些名单中被曝光的随机电子邮件地址，并确认其中一些凭证是正确的。一名被曝光的用户告诉BleepingComputer，所列出的密码是一个旧的密码，这表明其中的一些凭证很可能是来自于旧的凭证填充攻击。 Cyble希望通过大量购买这些帐号，以便用来警告客户可能出现的漏洞。Cyble以每个账户0.0020美分的价格购买了超过53万个Zoom凭证，每个账户的价格不到一分钱。购买的账户包括受害者的电子邮件地址、密码、个人会议网址和他们的HostKey。 Cyble告诉BleepingComputer，这些账户包括大通、花旗银行、教育机构等知名公司的账户。对于这些属于Cyble客户的账户，情报公司能够确认这些账户是有效的账户凭证。   （稿源：cnBeta，封面源自网络。）