兰云科技

EN

中文

lanyun
technologies 银河实验室深谙安全之道，热衷技术创新

LABORATORIES 银河实验室

银河实验室

技术解析

PC 安全

01.Mozi 僵尸网络占据了大部分的互联网流量

Mozi 是一个 IOT 僵尸网络，它借鉴了 Mirai 变体和 Gafgyt 恶意软件中的代码，并出现于 2019 年末。Mozi 僵尸网络被 360 Netlab 的安全专家发现，当时是通过探测弱 Telnet 密码来破坏 Netgear，D-Link 和华为路由器。根据研究人员的说法，在 2019 年的最后几个月中，僵尸网络主要参与了 DDoS 攻击。它实现了自定义扩展的分布式哈希表 DHT 协议，该协议提供类似于哈希表的查找服务。Mozi 僵尸网络依靠 DHT 协议来构建 P2P 网络，并使用 ECDSA384 和 xor 算法来确保其组件和 P2P 网络的完整性和安全性。

关键词：Mozi、Mirai、Gafgyt、DHT

信息来源

发布时间：2020-09-20

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/108537/malware/mozi-botnet-iot-traffic.html

02.美国激光开发商 IPG Photonics 受到勒索软件攻击

美国激光器开发商 IPG Photonics 遭受了勒索软件攻击。IPG Photonics 总部位于马萨诸塞州牛津市，在全球各地设有办事处，在全球拥有 4,000 多名员工，2019 年的收入为 13 亿美元。由于受到攻击，全球范围内的 IPG Photonics IT 系统被迫关闭，进而影响了办公室中的电子邮件，电话和网络连接。BleepingComputer 看到的部分勒索信息也表明是 RansomExx 勒索软件。RansomExx 是 Defray777 勒索软件的更名版本。与其他 RansomExx 赎金记录一样，攻击者告诉受害者不要与执法机构联系，因为可能会阻止赎金支付。在柯尼卡美能达遭到勒索软件攻击后所留下的赎金票据中也显示了相同的消息。

关键词：Defray777

信息来源

发布时间：2020-09-18

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/leading-us-laser-developer-ipg-photonics-hit-with-ransomware/

03.英国警告教育部门的勒索软件威胁激增

英国国家网络安全中心 NCSC 已发布了有关针对教育机构的勒索软件事件激增的警告。NCSC 在 8 月份调查了针对该国学校，学院和大学的勒索软件攻击事件，发现数量在增多，因此发出了警告。NCSC 建议制定事件响应计划并实施纵深防御策略。包括运行最新的防病毒软件，对网络钓鱼进行适当防御以及对脚本环境和宏禁用或设置限制可以帮助阻止大部分的网络攻击，而不仅仅是文件加密攻击。抵御勒索软件事件的防御策略中还包括实现从最新有效的脱机备份中快速恢复数据......

信息来源

发布时间：2020-09-18

发布平台：Bleeping Computer

原文链接：

https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/

04.黑暗霸主组织成员被判入狱五年

勒索全球数十家企业，这名隶属黑暗霸主的英国黑客终于认罪。去年 12 月的他，在圣路易斯的一家法院被传讯，对于法院的指控还拒不认罪。这名黑客名为内森·弗朗西斯·怀亚特 (Nathan Francis Wyatt)，今年 39 岁，在认罪后，被判处五年徒刑，并责令其赔偿受害者 1467048 美元。怀亚特自 2016 年以来就加入了 黑暗霸主 (The Dark Overlord，简称 TDO) 黑客组织，该黑客组织入侵大型企业，窃取敏感数据获，然后索要巨额赎金，以此获利。如果目标企业不支付赎金，那么该组织就在黑客论坛上出售企业数据，在网上公开信息，并引导记者去曝光企业数据泄漏事件，增加企业的负面新闻。怀亚特在其中的角色则为 “中间联系人”，联系受害人并要求勒索赎金。从他注册号码联系受害人那刻起，他的名字便和这个组织产生了联系。怀亚特于 2017 年在英国被捕，并于 2019 年 12 月被引渡至美国，面临黑客行为和敲诈美国公司的指控罪名。

关键词：黑暗霸主

信息来源

发布时间：2020-09-22

发布平台：FreeBuf

原文链接：

https://www.freebuf.com/news/250527.html

05.俄罗斯网络间谍组织 APT28 袭击政府机构

与俄罗斯有联系的网络间谍组织 APT28 发起了一系列以 Zebrocy Delphi 恶意软件针对政府机构的攻击活动。该恶意代码是使用伪造的北约培训材料作为诱饵进行分发，在 VirusTotal 上的检测率仅为 3 / 61。APT28 (又名 Fancy Bear，Pawn Storm，Sofacy Group，Sednit 和 STRONTIUM）自 2007 年以来一直活跃，其目标是世界各地的政府，军队和安全组织。该组织还参与了针对 2016 年总统大选的一系列攻击活动。威胁情报公司 QuoIntelligence 于 8 月 9 日发现了针对政府机构的活动，攻击可能于 8 月 5 日开始。8 月 9 日，QuoIntelligence 向其政府客户发布了有关针对北约成员国 (或与北约合作的国家) 政府机构的新 APT28 的警告。特别是，我们发现了一个上传到 VirusTotal 的恶意文件，该文件最终删除了 Zebrocy 恶意软件并与法国的一个 C2 通信。

关键词：APT28

信息来源

发布时间：2020-09-23

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/108635/cyber-warfare-2/apt28-nato-training-docs.html

06.袭击德国医院出人命的幕后是俄罗斯 DoppelPaymer 组织

上周，德国当局透露，一次网络攻击袭击了杜塞尔多夫大学的一家大医院，一名急需入院的妇女因被送往另一座城市接受治疗的途中死亡。杜塞尔多夫大学诊所的系统自上周四以来已中断。妇女的治疗推迟了一个小时，导致患者死亡。现在，在本周向立法者提供的最新信息中，检察官透露，袭击德国医院的恶意软件家族是臭名昭著的 Doppelpaymer 勒索软件。在过去的几个月中，同一勒索软件家族也参与了多次攻击，其中包括英国研究型大学纽卡斯尔大学。自 2019 年 6 月以来，DoppelPaymer 勒索软件一直处于活动状态。专家指出，DoppelPaymer 勒索软件运营商位于俄罗斯。调查人员认为，勒索软件运营商的真正目标是杜塞尔多夫的海因里希·海涅大学，该大学隶属于该医院。这次袭击导致系统崩溃，使医院无法进行手术，紧急手术进而被推迟，最后导致悲剧发生。

关键词：Doppelpaymer

信息来源

发布时间：2020-09-22

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/108620/malware/doppelpaymer-german-hospital-attack.html

- End -

联系我们法律声明网站地图友情链接