01.GandCrab 勒索软件分发者在白俄罗斯被捕
白俄罗斯内政部长在上周的新闻稿中宣布,逮捕了一名 31 岁男子,该人涉嫌分发 GandCrab 勒索软件。这名男子的名字没有被公布。他在白俄罗斯东南部的一个小城市戈梅利与俄罗斯和乌克兰边境的交界处被捕。当局说,这名男子在被捕之前没有被定罪,但已在一个黑客论坛上注册成为 GandCrab 勒索软件活动的会员。据称,他租用了一个网络面板,在那里他可以调整设置以获得 GandCrab 勒索软件的自定义版本,随后他将其作为诱饵文件以垃圾邮件的形式发送给其他互联网用户。打开文件的受害者将被感染并对其文件进行加密,需要支付赎金才能获得解密应用并恢复其文件。
发布时间:2020-08-03
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/gandcrab-ransomware-distributor-arrested-in-belarus/
在 BleepingComputer 跟踪的正在进行的 Blackhat SEO 活动中,诈骗者正在使用在政府网站上找到的开放重定向,将访问者重定向到色情网站。开放重定向是任何人都可以用来将访问者重定向到他们选择的网站的 URL。Blackhat SEO 诈骗者使用这些开放的重定向来获取搜索引擎 ( 例如 Google ) 中的列表,这些列表显示页面的标题被重定向到了该列表,但列出的位置就好像它位于政府站点上一样。
发布时间:2020-07-31
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/us-government-sites-abused-to-redirect-users-to-porn-sites/
一名 30 岁的摩尔多瓦人在周五承认创建 FastPOS 罪名成立,FastPOS 是一种恶意软件,旨在感染处理来自销售点 POS 系统的支付卡数据的计算机。Valerian Chiochiu 在黑客世界中被称为 "Onassis" ( 在与 Jacqueline Kennedy 结婚的希腊航运大亨之后 ),是 Infraud 犯罪组织的成员。Infraud 是一个黑客论坛,成立于 2010 年,是黑客聚会和交换服务的场所。该论坛最初是在 infraud.cc 和 infraud.ws 上运行的,黑客可以在此交易或购买被盗的支付卡号,身份被盗以及购买,出售或租用恶意软件和 DDOS 攻击服务。该论坛以 "In Fraud We Trust" 为口号,注册会员超过 11,000。根据美国司法部的说法,Chiochiu 在论坛上出售了 FastPOS 恶意软件,然后为付费客户提供了支持。
发布时间:2020-08-01
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/author-of-fastpos-malware-revealed-pleads-guilty/
美国联邦调查局 ( FBI ) 发布了新的安全警告,警告针对美国和外国政府组织的 Netwalker 勒索软件攻击。联邦政府建议受害者不要支付赎金,并向当地的联邦调查局外地办事处报告事件。该警告还包括针对 Netwalker 勒索软件的破坏迹象以及缓解措施。联邦调查局警告称,Netwalker 勒索软件攻击浪潮始于 6 月,受害者名单包括加州大学旧金山分校医学院和澳大利亚物流巨头Toll Group。截至 2020 年 6 月,FBI 已收到有关 Netwalker 勒索软件攻击的通告,这些勒索软件攻击了身份不明的网络参与者,袭击了美国和外国政府组织,教育实体,私营公司和卫生机构。在入侵澳大利亚运输和物流公司以及美国公共卫生组织之后,Netwalker 在 2020 年 3 月获得了广泛认可。从那以后,使用 Netwalker 的网络参与者就利用了 COVID-19 的优势,以侵害越来越多的毫无戒心的受害者。
发布时间:2020-08-02
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/106671/cyber-crime/fbi-warns-netwalker-ransomware-attacks.html
05.勒索软件团伙公布了 LG 和 Xerox 的内部数据
经过两次失败的勒索尝试,Maze 勒索软件的运营商今天发布了从企业业务巨头 LG 和 Xerox 网络窃取来的内部数据。黑客泄露了他们声称从 LG 内部网络中窃取的 50.2GB 数据和 25.8GB 的 Xerox 数据。尽管 LG 在 6 月向 ZDNet 发布了通用声明,但两家公司都不想今天就此事件进行更深入的讨论。自 6 月下旬以来,今天的两次泄密事件都得到了解决,当时 Maze 勒索软件的运营商在其 "泄漏门户" 上为两家公司的每一个创建了条目。Maze 团伙以其同名勒索软件字符串而闻名,通常通过破坏公司网络,首先窃取敏感文件,然后加密数据以及要求赎金解密文件来进行操作。如果受害者拒绝支付解密文件的费用并决定从备份中恢复,Maze 团伙会在 "泄漏网站" 上创建一个条目,并发布受害者的敏感数据。然后,给受害者几周时间来考虑其决定,如果受害者不肯让步,Maze 团伙将在其门户网站上发布文件。LG 和 Xerox 显然拒绝满足 Maze 团伙的要求,目前处于最后阶段。
发布时间:2020-08-04
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/ransomware-gang-publishes-tens-of-gbs-of-internal-data-from-lg-and-xerox/
06.NodeJS 模块中的漏洞允许 DoS 攻击和代码注入
专家在 NodeJS 模块中发现了一个漏洞,该漏洞可以使攻击者对服务器执行拒绝服务 ( DoS ) 攻击或执行任意代码。NodeJS 模块 "express-fileupload" 从 npm 存储库下载的内容超过 730 万次。NodeJS 模块受到 CVE-2020-7699 漏洞的影响,该漏洞可能允许攻击者在服务器上执行拒绝服务 ( DoS ) 攻击或注入任意代码。这会影响 1.1.8 之前的包 express-fileupload。如果启用了 parseNested 选项,则发送损坏的 HTTP 请求可能导致拒绝服务或任意代码执行。不幸的是,实际安装数量可能会更多,因为开发人员可以从其他存储库 ( 包括 GitHub 和镜像网站 ) 下载模块。
关键词:express-fileupload、CVE-2020-7699
发布时间:2020-08-05
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/106782/security/nodejs-express-fileupload-module-flaw.html
07.伊朗黑客组织成为首个运用 DoH 的 APT 攻击组织
伊朗的一个名为 Oilrig 的黑客组织已成为第一个将 DNS-over-HTTPS ( DoH ) 协议纳入其攻击的威胁者组织。上周在一次网络研讨会上,反病毒制造商卡巴斯基的恶意软件分析师 Vincente Diaz 表示,这一变化发生在今年 5 月,当时 Oilrig 向其黑客库中添加了新工具。根据 Diaz 的说法,Oilrig 运营商开始使用一种名为 DNSExfiltrator 的新实用程序,作为其入侵被黑网络的一部分。DNSExfiltrator 是在 GitHub 上可用的开源项目,该项目通过将数据汇入漏斗并将其隐藏在非标准协议中来创建隐蔽的通信渠道。顾名思义,该工具可以使用传统的 DNS 请求在两点之间传输数据,但也可以使用更新的 DoH 协议。Oilrig ( 也称为 APT34 ) 一直在使用 DNSExfiltrator 在内部网络中横向移动数据,然后将其泄漏到外部。Oilrig 最有可能使用 DoH 作为渗透渠道,以避免在移动被盗数据时被检测或被监视其活动。这是因为出于两个主要原因,DoH 协议当前是理想的渗透渠道。首先,这是一个新协议,并非所有安全产品都能够监视。其次,默认情况下它是加密的,而 DNS 是明文。
关键词:Oilrig、DNS-over-HTTPS、DoH、APT34、DNSExfiltrator
发布时间:2020-08-04
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/
- End
