关键词：印尼大选委员会

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。

关键词：NXNSAttack、CVE-2020-8616、CVE-2020-12662、CVE-2020-10995、CVE-2020-12667

专家报告说，存在一个僵尸网络，该僵尸网络基于 Zeus 银行木马被称为 “Silent Night”，在几个地下论坛中出售。本周，来自 Malwarebytes 和 HYAS 的研究人员发布了一份报告，其中包括最近发现的僵尸网络的技术细节，该僵尸网络被称为 Silent Night，并通过 RIG 漏洞利用工具包和 COVID-19 恶意垃圾邮件活动进行分发。

关键词：Zeus、Silent Night、RIG、COVID-19

Winnti 黑客组织继续瞄准游戏行业，最近它使用了一种名为 PipeMon 的新恶意软件和一种实现持久性的新方法。Winnti 小组于 2013 年首次被卡巴斯基发现，但据研究人员称，该团伙自 2007 年以来一直活跃。专家认为，在 Winnti 的保护下，有几个 APT 组，包括 Winnti，Gref，PlayfullDragon，APT17，PreferredDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda，Group 72，Blackfly 和 APT41，以及 ShadowPad。APT 小组针对的行业包括航空，游戏，制药，技术，电信和软件开发行业。PipeMon 是模块化的后门程序，今年早些时候 ESET 研究人员在来自韩国和台湾的大型多人在线（MMO）游戏开发商的服务器上发现了该服务器。后门的每个组件都由 DLL 实现。

关键词：Winnit、PipeMon

自今年年初以来，一种名为 ZLoader 的银行恶意软件最后一次出现在 2018 年初，在 100 多个电子邮件活动中被发现。自 2019 年 12 月卷土重来以来，该木马正在积极开发中，共有 25 种版本出现，这是本月观察到的最新版本。恶意电子邮件活动针对美国，加拿大，德国，波兰和澳大利亚的用户，提供了与 COVID-19 主题（避免诈骗，测试的提示）和发票有关的诱饵。Proofpoint 的研究人员在今天的一份报告中指出，以这种方式分发的 ZLoader 与 2016 年至 2018 年间观察到的原始版本有所不同。他们认为新版本是前一个版本的分支。当前，多个参与者正在每天至少进行一次恶意电子邮件攻击中传播这种压力。他们使用的 PDF 文件链接到带有宏代码的 Microsoft Word 文档，该宏代码下载并运行 ZLoader 版本。

关键词：Zloader、COVID-19

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年 1 月，三个目标分别是国家议会和外交部，黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。ComRAT 的最新版本是 v4，研究人员观察到了 ComRAT v4 的新变种包含了两项新功能：收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。安全研究人员认为，黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来，他们可以进行调整以躲避检测。

关键词：Turla、ComRAT

美国国家安全局（NSA）表示，至少从 2019 年 8 月开始，被称为 Sandworm Team 的俄罗斯军事威胁行为者就一直在利用 Exim 邮件传输代理（MTA）软件中的一个严重漏洞。该漏洞跟踪为 CVE-2019-10149，并命名为 “The Return of the WIZard”，使得未经身份验证的远程攻击者可以在发送特制电子邮件后，以易受攻击的邮件服务器上的 root 用户身份执行任意命令（对于某些非默认服务器配置） 。

关键词：Sandworm Team、CVE-2019-10149

安全研究人员发现了一种新的恶意软件，该恶意软件后门托管在基于 GitHub Web 的代码托管平台上的开源 NetBeans 项目，以传播到 Windows，Linux 和 macOS 系统并部署远程管理工具（RAT）。GitHub 安全实验室的研究人员将这种称为 Octopus Scanner 的恶意软件，项目文件和依赖项中植入了恶意有效载荷后，通过感染 NetBeans 存储库，从而感染了开发人员的计算机，随后将其传播到下游开发系统中。

关键词：NetBeans、Octopus Scanner

研究人员披露了一个影响 Android 操作系统的新的严重漏洞（CVE-2020-0096，也称为StrandHogg 2.0），该漏洞可能允许攻击者执行 Strandhogg 攻击的复杂版本。该漏洞位于 Android 的多任务处理系统中，可被设备上安装的流氓应用程序利用，从而构成合法应用程序，以试图从受害者那里获得更高的权限。

关键词：CVE-2020-0096、StrandHogg 2.0