01.伊朗黑客利用已暴露的 RDP 部署 Dharma 勒索软件
来自伊朗的新手黑客已开始从事针对俄罗斯,印度,中国和日本公司的勒索软件商业业务。他们会在活动中使用公开可用的工具来追随热门话题。新团队正在部署 Dharma 勒索软件。这是一个不复杂,出于经济动机的团伙,他们是网络犯罪的新手。威胁者并不贪婪。他们的需求在 1-5 个比特币之间 ( 目前为 $11,700-$59,000 ),与其他勒索软件运营相比,赎金需求范围较小。他们通过扫描 Internet 上的 IP 地址范围可查找暴露的远程桌面连接 ( RDP ),因此了也能找到受害者。他们在此阶段选择的工具是开源端口扫描仪 Masscan。接下来,他们使用 NLBrute 启动暴力破解程序,该实用程序将尝试 RDP 密码列表,以尝试找到有效的组合。一旦进入,他们有时会尝试通过利用 Windows 7 至10 中的旧漏洞 ( CVE-2017-0213 ) 来提升特权。网络安全公司 Group-IB 的研究人员在 6 月份在俄罗斯一家公司的事件响应活动中了解了这个新组织。他们基于法证物,将攻击者确定为 "讲波斯语的新手黑客"。支持这一结论的是攻击的后续步骤的线索。
发布时间:2020-08-24
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/iranian-hackers-attack-exposed-rdp-servers-to-deploy-dharma-ransomware/
02.Transparent Tribe APT 组织在过去一年里攻击了 27 个国家
Transparent Tribe ( 透明部落 ) APT 组织正在进行一项针对全球军事和外交目标的网络间谍活动。该组织通过添加管理控制台并实现 USB 蠕虫功能来升级其 Crimson RAT,以使其能够从受感染网络中的计算机传播。Proofpoint 研究人员于 2016 年 2 月首次发现了 Transparent Tribe 活动,该活动针对沙特阿拉伯和哈萨克斯坦一些使馆的印度外交官和军事人员。当时,研究人员跟踪了巴基斯坦的 IP 来源,这些攻击是更广泛活动中的一部分,该活动依赖多个媒介,例如水坑网站和网络钓鱼电子邮件活动,这些活动提供了定制的 RAT,称为 Crimson 和 Peppy。这些 RAT 能够提取信息,截屏并记录网络摄像头流。Transparent Tribe 至少从 2013 年就开始活跃起来,它的目标对象是 27 个国家/地区的实体,其中大多数位于阿富汗,德国,印度,伊朗和巴基斯坦。威胁成员长期处于监视之下,Cybaze ZLab 的研究人员收集了有关 Transparent Tribe 活动的证据。
关键词:Transparent Tribe、Crimson RAT
发布时间:2020-08-24
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107446/apt/transparent-tribe-apt-2020.html
03.Lazarus APT 组织通过 Linkedln 招聘广告攻击加密货币公司
Lazarus 组织再次针对加密货币,通过利用公司链的人为因素对加密货币组织发起了有针对性的攻击。周二,来自 F-Secure 的网络安全研究人员表示,该加密货币组织是全球运动的最新受害者之一,该运动针对至少 14 个国家 ( 包括英国和美国 ) 的企业。Lazarus 是一个高级持续性威胁 ( APT ) 组织,被认为与朝鲜有联系。由于核计划,侵犯人权等原因对该国实施的经济制裁可能与该组织有关,该组织侧重于金融动机的攻击,在过去三年中已扩大到包括加密货币在内。美国政府表示,Lazarus 成立于 2007 年,从那以后,研究人员将该组织归因于全球 WannaCry 攻击浪潮,8000 万美元的孟加拉国银行抢劫案以及 2018 年的 HaoBao 比特币窃取运动。
发布时间:2020-08-25
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/lazarus-group-strikes-cryptocurrency-firm-through-linkedin-job-adverts/
04.加拿大快递公司 Canpar Express 遭受勒索软件攻击
上周,勒索软件 攻击袭击了 TFI International 的四个加拿大快递部门:Canpar Express,ICS Courier,Loomis Express 和 TForce Integrated Solutions。在运输和物流 TFI International 公司通过股票发行筹集了数百万美元之后的几天,有关勒索软件攻击其四个加拿大快递部 Canpar Express,ICS Courier,Loomis Express和TForce Integrated Solutions 的消息成为头条新闻。该公司在其网站上发布了勒索软件攻击的新闻。2020 年 8 月 19 日,Canpar Express 成为了勒索软件攻击的目标,该勒索软件攻击影响了我们的某些系统。我们将继续满足大多数客户的运输需求,并且我们不了解任何滥用客户信息的情况。Canpar Express 负有认真保护客户信息的义务。得知此事件后,我们立即开始调查,并聘请网络安全专家协助完成此过程。我们已采取措施遏制和纠正该问题,并正在采取一切必要步骤来帮助防止将来发生类似的情况。专家们正在努力确定攻击的程度,当时该公司没有透露有关攻击的技术细节,例如感染了其系统的勒索软件家族。
发布时间:2020-08-24
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107476/cyber-crime/canpar-express-ransomware.html
05.Office 365 在沙箱中打开附件以防止感染
微软宣布在公共预览版中启动 Office 的 Application Guard,以保护企业用户免受恶意附件作为攻击载体的威胁。Office 的 Application Guard 旨在通过在隔离的沙箱中打开它们,防止从不受信任的源下载的文件获得访问受信任的资源。该沙箱将自动阻止恶意制作的文件利用漏洞,下载其他恶意工具或表现出任何恶意行为,以免影响用户的设备和数据。Office 的 Application Guard 最初于 2019 年 11 月在有限的预览中启动。恶意 Office 文档是威胁者用来部署恶意软件 ( 例如勒索软件,RAT,数据窃取木马和恶意软件下载器 ) 的最常见媒介之一。Application Guard 是通过基于硬件的虚拟化与设备隔离的安全容器,Office 在 Application Guard 中打开文件时,用户可以安全地读取,编辑,打印和保存这些文件,而不必在容器外部重新打开文件。
发布时间:2020-08-24
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/office-365-now-opens-attachments-in-a-sandbox-to-prevent-infections/
06.勒索软件 Ryuk 的继任者 Conti 发布数据泄露站点
Conti 勒索软件是臭名昭著的 Ryuk 的继任者,它发布了一个数据泄漏站点,作为勒索策略的一部分,以迫使受害者支付赎金。过去,当 TrickBot 木马感染网络时,最终导致 Ryuk 勒索软件的部署,作为最终攻击。根据 Advanced Intel 的 Vitali Kremez 的说法,自 2020 年 7 月以来,Ryuk 不再被部署,而与 TrickBot 相关的运营商正在部署 Conti 勒索软件。Conti 是一种相对较新的私有勒索软件即服务 ( RaaS ),已招募了经验丰富的黑客来分发勒索软件,以换取很大一部分勒索款项。勒索软件识别站点 ID Ransomware 的提交也表明,自 6 月 15 日以来,Conti 勒索软件的活动有所增加。
发布时间:2020-08-25
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/ryuk-successor-conti-ransomware-releases-data-leak-site/
07.DarkSide 勒索软件袭击了北美房地产开发商
北美土地开发商和房屋建筑商 Brookfield Residential 是新型 DarkSide 勒索软件的首批受害者之一。Brookfield Residential 是美国和加拿大计划中的社区和独户房屋建筑商,拥有 57 亿美元的资产。Brookfield Residential 由加拿大资产管理公司 Brookfield Asset Management 拥有,该公司管理着超过 5,000 亿加元的资产。这些相似的名称导致人们对哪个实体受到 DarkSide 勒索软件攻击感到困惑。DarkSide 是针对企业的勒索软件,于 2020 年 8 月 10 日左右开始运营。与其他人为操纵的勒索软件一样,DarkSide 将破坏网络并在设备之间横向传播,同时窃取未加密的数据。威胁参与者一旦获得对 Windows 域控制器的访问权限,便会在整个网络中部署勒索软件。作为勒索策略的一部分,DarkSide 将为每个数据被泄漏的实体到数据泄漏站点创建一个条目。在一定时间后,数据泄漏站点将开始发布被盗数据,以便有权访问该站点的任何人都可以下载它。
发布时间:2020-08-25
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/darkside-ransomware-hits-north-american-real-estate-developer/
08.DeathStalker 网络雇佣兵组织瞄准了金融部门
DeathStalker 是由卡巴斯基 ( Kaspersky ) 发现的黑客雇佣组织,自 2012 年以来一直瞄准全球组织,主要是律师事务所和金融实体。受害组织是位于阿根廷,中国,塞浦路斯,印度,以色列的中小型企业,黎巴嫩,瑞士,俄罗斯,台湾,土耳其,英国和阿拉伯联合酋长国。DeathStalker 迅速发展了其策略,以攻陷目标组织。DeathStalker 是一个独特的威胁组织,似乎针对律师事务所和金融部门的公司。据我们所知,他们并非出于经济利益。不会部署勒索软件以及窃取付款信息以便转售它,也不会从事通常与网络犯罪黑社会相关的任何类型的活动。他们对收集敏感的商业信息的兴趣使我们相信,DeathStalker 是一群雇佣兵,他们提供黑客出租服务,或者在金融界充当某种信息经纪人的角色。自 2018 年以来,专家一直在监视该组织的活动,该组织使用了多种恶意软件,包括将它们链接到 Powersing,Evilnum 和 Janicab 恶意软件家族。卡巴斯基推测,自从至少 2012 年以来,该组织就一直很活跃。在最近的攻击中,DeathStalker 雇佣兵使用了基于 PowerShell 的植入式 Powersing,攻击者使用了带有网络钓鱼的邮件以及包含恶意 LNK 文件的存档。单击快捷方式后,执行复杂的序列会导致在受害者的计算机上执行任意代码。
发布时间:2020-08-26
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107532/cyber-warfare-2/deathstalker-hacking-group.html
一项新的研究表明,一个臭名昭著的旨在窃取银行账户凭证和其他财务信息的银行木马,如今又以针对美国和欧洲政府,军事和制造业的新手段而卷土重来。在今天由 Check Point Research 发布的一项分析中,最新的 Qbot 活动似乎与 Emotet 的出现相吻合。Emotet 是上个月僵尸网络开展的垃圾邮件活动的恶意软件,具有新的示例功能。秘密地从受害者的 Outlook 客户端收集所有电子邮件,并将其用于以后的垃圾邮件活动。如今,Qbot 比以前更加危险,它开展了积极的恶意垃圾邮件运动,感染了组织,并且设法使用了像 Emotet 这样的感染基础设施来进一步传播威胁。
发布时间:2020-08-27
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2020/08/qakbot-banking-trojan.html
- End -
