兰云科技

LABORATORIES 银河实验室

PC 安全

01.美国公布乌克兰断电事件、NotPetya 勒索软件爆发的幕后主使名单

美国司法部指控了 6 名俄罗斯国民，据称这些国民是俄罗斯精英黑客和网络战部队之一 (称为 Sandworm) 的成员。在法庭文件中，美国官员说，这 6 名嫌疑人都是俄罗斯军方下属的军事情报机构俄罗斯情报局 (GRU) 74455 部队的军官，这 6 人代表在俄罗斯政府的命令下进行了 “破坏性” 网络攻击，目的是破坏其他国家的稳定，干涉其国内政治并造成破坏和金钱损失。他们的攻击跨越了过去的十年，其中包括迄今为止已知的一些大型的网络攻击:

乌克兰断电；
法国大选；
NotPetya 勒索软件爆发；
针对平昌冬奥会主办方、参与者等的攻击；
针对平昌冬奥会 IT 系统的攻击；
Novichok 神经毒剂攻击事件；
格鲁吉亚议会网络攻击事件；

6 名被 FBI 通缉的嫌疑人：

这 6 名嫌疑人在俄罗斯内仍逍遥法外。如果他们在美国被捕并接受审判，这 6 人都将面临数十年监禁。

关键词：Sandworm、GRU

情报来源

发布时间：2020-10-19

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/us-charges-russian-hackers-behind-notpetya-killdisk-olympicdestroyer-attacks/

02.新的恶意软件变种 Vizom 可远程覆盖攻击来劫持银行帐户

研究人员发现了一种新的恶意软件，它可利用远程覆盖来攻击巴西的银行帐户持有人。这种新的恶意软件变种，被 IBM 称为 Vizom，Vizom 正在巴西的一项积极活动中使用，该活动旨在通过在线金融服务来破坏银行帐户。IBM 安全研究人员 Chen Nahman，Ofir Ozer 和 Limor Kessem 在周二表示，该恶意软件使用有趣的策略来隐藏并实时危害用户设备，即远程覆盖技术和 DLL 劫持。Vizom 通过基于垃圾邮件的网络钓鱼活动进行传播，并伪装成流行的视频会议软件。一旦恶意软件落地到易受攻击的 Windows PC 上，Vizom 将首先进入 AppData 目录以开始进行感染。通过利用 DLL 劫持，恶意软件将通过使用其目录中的合法软件的名称来命名其自己的基于 Delphi 的变种，来试图强制加载恶意 DLL。Vizom 恶意软件将作为合法视频会议文件的子进程来加载。DLL 名为 Cmmlib.dll，与 Zoom 关联的文件。为确保从 Cmmlib.dll 执行恶意代码，恶意软件的作者复制了合法 DLL 的真实导出列表，确保对其进行修改并将所有功能直接定向到同一地址 - 恶意代码的地址空间。然后，一个删除程序将通过命令提示符启动 zTscoder.exe，并从远程服务器中释放第二个有效 payload，即 RAT，在 Vivaldi Internet 浏览器上使用相同劫持手段。为了建立持久性，将篡改浏览器的快捷方式，并且无论用户尝试运行哪种浏览器，恶意的 Vivaldi/Vizom 代码都将在后台运行。

关键词：Vizom

情报来源

发布时间：2020-10-19

发布平台：ZDNet

原文链接：

https://www.zdnet.com/article/this-new-malware-uses-remote-overlay-attacks-to-hijack-your-bank-account/

03.Nefilim 勒索软件泄露了 Luxottica 的数据

Nefilim 勒索软件运营商发布了一长串文件，这些文件看似属于意大利眼镜和眼保健巨头 Luxottica。Luxottica Group S.p.A. 是一家意大利眼镜企业集团，也是眼镜行业中全球最大的公司。Luxottica 拥有超过 80,000 名员工，2019 年创造了 94 亿美元的收入。9 月18 日，该公司遭到网络攻击，无法访问该公司运营的某些网站，包括 Ray-Ban，Sunglass Hut，LensCrafters，EyeMed 和 Pearle Vision。意大利媒体报道说，由于计算机系统故障，在阿戈尔多和塞迪科 (意大利) 的 Luxottica 工厂的运营被中断。工会消息人士证实，该工厂的人员收到了一条 SMS，其中由于 “严重的 IT 问题” 而被告知 “今天 9 月 21 日的第二个工作班次已暂停”。BleepingComputer 网站援引安全公司 Bad Packets 的说法，推测这名意大利人正在使用严重 CVE-2019-19781 漏洞影响的 Citrix ADX 控制器设备。安全专家认为，攻击者利用了上述缺陷进而利用勒索软件来感染公司的系统。著名的意大利网络安全专家 Odysseus 首次在 “Difesa e Sicurezza” 网站上透露，Nefilim 勒索软件运营商已经发布了很长的文件列表，这些文件似乎是属于 Luxottica 的。大量文件似乎与人事办公室和财务部门有关。对泄露的文件进行分析后发现，这些文件包含有关招聘过程，专业简历的机密信息，以及有关集团人力资源部门内部结构的信息。公开的财务数据包括预算，市场预测分析和其他敏感数据。Nefilim 勒索软件运营商还发布了一条消息，指控 Luxottica 未能正确管理攻击。在过去的几个月中，勒索软件攻击的数量激增，众多勒索软件组织成为全球组织的头条新闻，并威胁说如果不支付赎金，我们就会公开被盗的数据。勒索是网络犯罪的 “新政”: 与以往相比，现在，公司不再能够 “隐藏” 网络攻击。同样，保护公司免受网络攻击变得更加具有战略意义：数据泄漏造成的损害可能会给全球公司带来巨大的成本损失。Nefilim 勒索软件犯罪团伙是采用这种双重勒索模式，该团伙针对多个机构，其中包括移动网络运营商 Orange，欧洲在多技术服务领域的独立领导者 SPIE Group，德国最大的私营多服务提供商 Dussman Group。

关键词：Nefilim、CVE-2019-19781

情报来源

发布时间：2020-10-20

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/109778/data-breach/luxottica-data-leak-ransomware.html

04.Darkside 勒索软件将 2 万美金捐给慈善机构

Darkside 勒索软件的运营商已将他们勒索受害者的部分资金捐赠给了非营利组织 Children International 和 The Water Project。他们解释说罗宾汉 (英国民间传说英雄人物) 的举动是为了使世界变得更美好，并计划在未来以匿名方式进行更多捐赠。Darkside 于今年 8 月出现在勒索软件领域，瞄准公司网络，并索要 20 万至 200 万美元的赎金。他们向这两个慈善组织的捐款是在该团伙泄漏现场的 “新闻稿” 中宣布的，他们还在那里发布了从受害者那里窃取的，没有支付赎金的数据。10 月 13 日，Darkside 通过张贴两张 .88 BTC (10,000 美元) 的收据，向这两个组织捐款，以证明他们所做的事情是真实的。

关键词：Darkside

情报来源

发布时间：2020-10-20

发布平台：BleepingComputer

原文链接：

https://www.bleepingcomputer.com/news/security/darkside-ransomware-donates-20k-of-extortion-money-to-charities/

05.黑客攻击存在 CVE-2020-3118 漏洞的 Cisco 设备

Cisco 警告针对 CVE-2020-3118 高严重性漏洞的攻击会影响运行 Cisco IOS XR 软件的多个运营商级路由器。该漏洞存在于 Cisco IOS XR 软件的 Cisco Discovery Protocol 实现中，允许未经验证的相邻攻击者在受影响的设备上执行任意代码。该漏洞是由于对 Cisco Discovery Protocol 消息中某些字段的字符串输入进行了不正确的验证。攻击者可以通过向受影响的设备发送恶意的 Cisco Discovery Protocol 包来利用此漏洞进行攻击。成功利用此漏洞可使攻击者造成堆栈溢出，从而允许攻击者以管理权限在受影响的设备上执行任意代码。Cisco 专家指出，未经验证的相邻攻击者 (第 2 层相邻) 可以利用该漏洞与易受攻击设备位于同一广播域中。它被列为 NSA 共享的 25 大漏洞。IOS XR 网络操作系统运行在多个Cisco路由器系列上，包括 NCS 540 & 560、NCS 5500、8000 和 ASR 9000 系列路由器。该漏洞还影响第三方白盒路由器和在至少一个接口上启用 Cisco Discovery Protocol 的 Cisco 产品。

关键词：CVE-2020-3118

情报来源

发布时间：2020-10-21

发布平台：Security Affairs

原文链接：

https://securityaffairs.co/wordpress/109816/hacking/cisco-cve-2020-3118-flaw-attacks.html

移动安全

01.GravityRAT 间谍软件归来

2018 年，思科 Talos 的研究人员在间谍软件 GravityRAT 上发表了一篇帖子，该帖子曾针对印度武装部队。印度计算机应急响应小组 (CERT-IN) 于 2017 年首次发现了该木马。它的创建者被认为是巴基斯坦的黑客组织。根据我们的信息，该活动至少自 2015 年以来一直活跃，并且以前针对 Windows。但是，它在 2018 年发生了变化，将 Android 设备添加到目标列表中。在 2019 年的 VirusTotal 上，我们遇到了一个奇怪的 Android 间谍软件，经过分析，它似乎与 GravityRAT 连接。网络犯罪分子在 Travel Mate 中添加了一个间谍模块，该模块是一个 Travel Mate 的 Android 应用程序，其源代码可在 Github 上获得。攻击者使用了 2018 年 10 月在 Github 上发布的应用程序版本，添加了恶意代码并将名称更改为 Travel Mate Pro。

关键词：GravityRAT

情报来源

发布时间：2020-10-19

发布平台：kaspersky

原文链接：

https://securelist.com/gravityrat-the-spy-returns/99097/

- End -