Lucifer 利用了 12 种漏洞利用程序来影响 Windows 系统，感染系统后，僵尸程序会将其转变为加密矿客户端，并可以使用它发起分布式拒绝服务（DDoS）攻击。该恶意软件作者将其命名为 Satan DDoS 机器人，但 Palo Alto Network 的 Unit42 研究人员将其称为 Lucifer，因为还有另一种同名恶意软件 Satan Ransomware。“ 2020 年 5 月 29 日，Unit42 的研究人员从野外利用 CVE-2019-9081 事件中 发现了一种有混合加密劫持功能的恶意软件新变种。该恶意软件被我们称为 Lucifer，能够进行 DDoS 攻击，并且具备针对易受攻击的 Windows 主机。” 专家发现了僵尸网络，同时调查了利用 CVE-2019-9081 漏洞的几次尝试攻击，该漏洞是一个严重的 RCE 漏洞，会影响 Laravel Web 框架的组件。

关键词：Lucifer、CVE-2019-9081

美国司法部昨日判处 22 岁的华盛顿黑客在联邦监狱服刑 13 个月，罪名是他在创建僵尸网络恶意软件，感染大量系统，然后对其进行滥用，针对各种在线服务和目标的进行分布式拒绝服务 (DDoS) 攻击。根据法院文件，温哥华居民 Kenneth Currin Schuchman 及其犯罪伙伴 Aaron Sterritt 和 Logan Shwydiuk 至少自 2017 年 8 月以来创建了多个 DDoS 僵尸网络恶意软件，并用它们让成千上万的家用路由器和其他 Internet 全球范围内的连接设备为他们工作。所有这些僵尸网络被称为 Satori、Okiru、Masuta、Tsunami 或 Fbot，都是臭名昭著的 IoT 恶意软件 Mirai 的后继产品，因为它们主要是使用 Mirai 的源代码创建的，并添加了一些其他功能，使其对攻击更加复杂有效，并不断地在发展。

关键词：Satori、Mirai

加州大学旧金山分校（UCSF）表示，已向 Netwalker 勒索软件运营商支付了 114 万美元，Netwalker 勒索软件成功破坏了 UCSF School of Medicine 的 IT 网络，窃取数据和加密系统。加州大学旧金山分校是一所专注于健康科学的研究型大学，并参与了 COVID-19 研究，根据《美国新闻与世界报道》的大学排名，该大学在研究医学院排名第二，在初级保健最佳医学院排名第六。Netwalker 于 6 月 3 日在其数据泄漏网站上发表的一篇文章中说，它入侵了 UCSF 的网络，在泄漏期间发布了一些被盗文件，包括带有社会安全号码的学生申请，以及包含员工信息的文件夹列表， 学习和财务。

关键词：Netwalker、COVID-19

网络安全研究人员今天发现了针对叙利亚和土耳其库尔德社区的水坑攻击的新细节，以进行监视和情报渗透。网络安全公司 Bitdefender 在与 The Hacker News 分享的一份报告中称，该行动背后的高级持续威胁被称为 “ StrongPity ” (TongPity)，已经用新策略进行了重组，以控制受感染的机器。“ 该 APT 组织使用水坑策略选择性地感染受害者，并部署三层 C&C 基础设施以阻止调查，从而利用 Trojanized 常用工具，例如存档器，文件恢复应用程序，远程连接应用程序，实用程序，甚至是安全软件， 涵盖了可能针对目标受害者的各种选择。” 该活动中使用的恶意软件样本的时间戳与去年 10 月的土耳其对叙利亚东北部的进攻（代号 “ Operation Peace Spring ”）相吻合，Bitdefender 表示，攻击可能是出于政治动机。

关键词：StrongPity、Operation Peace Spring

Microsoft 在星期二发布了两个带外安全更新，以修复 Microsoft Windows Codecs 库中的两个漏洞。此两个漏洞被跟踪为 CVE-2020-1425 和 CVE-2020-1457，这两个 BUG 仅影响 Windows 10 和 Windows Server 2019 发行版。在今天发布的安全公告中，微软表示，可以通过特制的图像文件来利用这两个安全漏洞。如果在使用内置 Windows 解码器库处理多媒体内容的应用程序打开格式错误的图像，则将允许攻击者在 Windows 计算机上运行恶意代码并有可能接管该设备。这两个 BUG 被描述为远程代码执行 (RCE) 漏洞。可通过 Windows 应用商店应用更新。

关键词：CVE-2020-1425、CVE-2020-1457

最近出现了一种针对 macOS 用户的罕见的新型勒索软件，称为 EvilQuest。EvilQuest 是通过各种盗版软件分发的。EvilQuest 是由安全研究员 Dinesh Devadoss 首次发现，它超越了常规勒索软件的加密功能，其中包括能够部署键盘记录程序（用于监视设备中键入的内容）的能力以及在加密货币钱包上窃取加密货币钱包的能力。 在各种盗版软件中都发现了 EvilQuest，已在 BitTorrent 文件共享站点上共享。Jamf 的安全研究员 Patrick Wardle 在一篇文章中说，虽然这种感染方法相对不复杂，但在包括 macOSX.Shlayer 在内的其他 macOS 恶意软件变体中却很常见。“因此（至少在某种程度上）表明它是成功的”。

关键词：EvilQuest

臭名昭著的 TrickBot 木马已经开始检查受害者的屏幕分辨率，以检测恶意软件是否在虚拟机中运行。研究人员分析恶意软件时，通常会在配置了各种分析工具的虚拟机中进行处理。因此，恶意软件通常使用反 VM 技术来检测是否正在虚拟机中运行。如果是这样，则很可能由研究人员或自动沙箱系统对其进行分析。这些反 VM 技术包括查找特定的进程，Windows 服务或计算机名称，甚至检查网卡 MAC 地址或 CPU 功能。在网络安全公司 MalwareLab 的 Maciej Kotowicz 发现的 TrickBot 木马的新样本中，它会去检查受感染计算机的屏幕分辨率，以确定是否是虚拟机。TrickBot 从银行木马开始，随着时间的流逝已经演变为可以执行各种恶意行为，此行为包括通过网络横向传播，窃取浏览器中保存的凭据，窃取 Active Directory 服务数据库，窃取 Cookie 和 OpenSSH 密钥，窃取 RDP，VNC 和 PuTTY 凭据等等。Kotowicz 在一条推文中指出，新的 TrickBot 会去检查计算机的屏幕分辨率是否为 800x600 和 1024x768，如果为其中之一，TrickBot 则将终止运行。

关键词：TrickBot