01.Emotet 恶意软件想要邀请目标参加万圣节派对
Emotet 恶意软件团伙发送垃圾邮件邀请你参加万圣节派对。Emotet 是一种具有感染性的恶意软件,它会通过包含了 Word 文档 (里头藏有恶意宏) 的电子邮件传播。打开这些文档后,它们将尝试诱使用户启用宏进而将 Emotet 恶意软件下载到计算机上。一旦安装了恶意软件,Emotet 将使用计算机发送垃圾邮件,垃圾邮件内容为 "邀请目标参加万圣节派对",其实这不是主要目的,最终目的是安装其他可能导致对受害者网络进行攻击的勒索软件。
发布时间:2020-10-31
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/emotet-malware-wants-to-invite-you-to-a-halloween-party/
02.黑客正在出售从 17 家公司窃取的 3400 万用户记录
黑客正在出售帐户数据库,其中包含总计 3400 万条用户记录,他们声称这些用户记录是在 17 家公司中窃取的。10 月 28 日,一家数据泄露经纪人在一个黑客论坛上创建了一个新主题,内容为出售从 17 家公司中窃取的用户数据库。在与 BleepingComputer 的对话中,卖方告诉我们说,他们不对入侵的 17 家公司负责。当被问及黑客如何获得对各个站点的访问权限时,卖方称这方面不会披露。被窃取的数据库通常以私下出售的形式第一时间出售,例如上图中列出的那些,之前的价格从 Zoosk 数据泄露中看到的 500 美元到 Wattpad 数据库的 100,000 美元不等。一段时间之后,通常会在黑客论坛上免费发布被窃取来的数据库,以增加他们的可信任度。
发布时间:2020-10-31
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/hacker-is-selling-34-million-user-records-stolen-from-17-companies/
03.2020 年,企业为 XSS 漏洞支付了 420 万美元漏洞赏金
XSS 漏洞是最常见的漏洞类型,在 HackerOne 漏洞报告平台上这漏洞类型获得的奖励也是最多的。XSS 漏洞占 Bug 猎手报告的所有 bug 的 18%,这些问题共获得各公司支付的 420 万美元赏金 (比去年增加 26%)。攻击者可以利用 XSS 漏洞进行多种恶意活动,包括帐户接管和数据盗窃。XSS 漏洞极为普遍,很难消除,即使对于那些具有最成熟的应用程序安全性的组织而言。这些漏洞占报告的所有漏洞的 18%,但平均赏金仅为 501 美元。这意味着组织正在以便宜的价格缓解这个常见的错误。XSS 在 2020 年授予的漏洞中的列表中名列前茅,专家观察到,与 2019 年相比,该事件的发生率增加了 134%。公司通过 HackerOne 平台总共支付了 400 万美元的 Bug 赏金。信息披露占去年的 63%。公司为与这些漏洞有关的报告支付了 300 万美元。不当访问控制奖同比增长 134%,达到 400 万美元以上。信息披露紧随其后,同比增长 63%。这两种方法都会公开潜在的敏感数据,例如个人身份信息。尽管它们的重要性范围很广,但是如果敏感的客户或内部信息因配置错误的权限而泄漏,它们将是灾难性的。
发布时间:2020-10-31
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/110223/reports/xss-top-bug-bounty.html
美国网络司令部披露了八种新的恶意软件样本,这些样本是由俄罗斯黑客在最近的攻击中开发和部署的。八个样本中有六个样本是 ComRAT 恶意软件 (由 Turla 黑客组织使用),而其他两个样本是 Zebrocy 恶意软件 (由 APT28 黑客组织使用)样本。ComRAT 和 Zebrocy 都是恶意软件家族,已经被俄罗斯黑客组织使用了多年,而 ComRAT 在从旧的 Agent.BTZ 恶意软件演变而来的攻击中已部署了十多年。Turla 和 APT28 都不断更新了这两个工具,以添加逃避技术并保持其恶意软件未被检测到。美国政府最近一次曝光的目的是与公众来共享这些黑客工具的最新版本,以便系统管理员和其他防御者可以添加检测规则并更新保护措施。周四,美国网络司令部的网络国家宣教士部队 (CNMF) 在其 VirusTotal 帐户上上传了新的 ComRAT 和 Zebrocy 的样本,而网络安全和基础架构安全局 (CISA) 与联邦调查局的 CyWatch 合作发布了两个描述 ComRAT 和 Zebrocy 内部工作原理的安全公告。
发布时间:2020-11-01
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/us-cyber-command-exposes-new-russian-malware/
一名俄罗斯网络犯罪分子因参与一个造成至少 1 亿美元经济损失的僵尸网络计划而被判入狱 8 年。根据美国司法部 (DoJ) 的说法,亚历山大·布罗夫科 (Aleksandr Brovko) 是数个精英在线论坛的活跃成员,这些论坛旨在为讲俄语的网络犯罪分子收集和交换其犯罪工具和服务。这位现年 36 岁的捷克人原籍捷克共和国,曾与其他网络犯罪分子合作,以收集僵尸网络收集的信息。Brovko 编写了能够解析来自僵尸网络来源的日志数据的脚本,然后搜索了这些数据转储以发现个人身份信息 (PII) 和帐户凭据。
发布时间:2020-11-03
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/russian-hacker-jailed-over-botnet-data-scraping-scheme-that-drained-victim-bank-accounts/
06.新型勒索软件 RegreetLocker 出现,主要针对 Windows 虚拟机
一种名为 RegretLocker 的新勒索软件 使用了多种高级功能,可以使它加密虚拟硬盘驱动器并关闭打开的文件进行加密。RegretLocker 于 10 月被发现,在表面上是一种简单的勒索软件,因为它不包含冗长的勒索记录,并且使用电子邮件进行通信,而不是使用 Tor 付款站点。加密文件时,会将 .mouse 扩展名附加到加密的文件名中。当创建 Windows Hyper-V 虚拟机时,将创建一个虚拟硬盘并将其存储在 VHD 或 VHDX 文件中。这些虚拟硬盘文件包含一个原始磁盘映像,包括驱动器的分区表和分区,并且像常规磁盘驱动器一样。当勒索软件对计算机上的文件进行加密时,由于对大型文件进行加密会降低整个加密过程的速度,因此效率不高。在由 MalwareHunterTeam 发现并由 Advanced Intel 的 Vitali Kremez 分析的勒索软件的样本中,RegretLocker 使用了一种有趣的技术来装载虚拟磁盘文件,因此每个文件都可以单独加密。为此,RegretLocker 使用 Windows 虚拟存储 API OpenVirtualDisk,AttachVirtualDisk 和 GetVirtualDiskPhysicalPath 函数来挂载虚拟磁盘。
如勒索软件中的反汇编信息所示那样,它专门搜索 VHD 并在检测到它们时挂载它们。
parse_files() | Found virtual drive: %ws in path: %s
一旦将虚拟驱动器作为物理磁盘安装在 Windows 中,勒索软件就可以分别加密每个加密驱动器,从而提高了加密速度。据称 RegretLocker 用来安装 VHD 的代码来自安全研究人员 odory__vx 最近发表的一项研究。除了使用 Virtual Storage API,RegretLocker 还利用 Windows Restart Manager API 终止在加密过程中保持文件打开状态的进程或 Windows 服务。
发布时间:2020-11-03
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/new-regretlocker-ransomware-targets-windows-virtual-machines/
07.REvil 勒索软件成员赢得了 KPot 源代码拍卖
KPot 是一种信息窃取类的恶意软件,主要从 Web 浏览器,即时通讯程序,电子邮件,VPN,RDP,FTP,加密货币和游戏软件中窃取帐户信息和其他数据。该恶意软件首次发现于 2018 年,它还可以对活动桌面进行截图,并以存储在计算机上的钱包为目标。KPOT 窃取程序是用 C/C ++ 编写的,它作为恶意软件即服务 (MaaS) 在地下网络犯罪中提供。该恶意软件通过 HTTP 请求与 C2 进行通信,并支持多个命令以从受感染的系统中窃取任何类型的信息。KPot 源代码最初的价格为 10,000 美元,据威胁情报提供商 Cyjax 称,该行动的唯一参与者是 UNKN,他是 REvil (Sodinokibi) 勒索软件团伙中知名成员。KPot 的源代码已被拍卖,REvil 勒索软件组织的代表是唯一的公开竞标者。在他们的竞标后不久拍卖就结束了。尽管这些交易的封闭性使得不可能确切地说出 REvil 现在是 KPot 的所有者,但这似乎很有可能。他们是该产品的唯一公开竞标者,几乎可以肯定会超过其他的竞标者。如果 REvil 购买了 KPot 的源代码,则可能会将其合并到将来的勒索软件攻击中。UNKN 支付了最初的要价 6,500 美元,而其他论坛成员则以高昂的要价拒绝参加。
关键词:KPot、REvil、Sodinokibi
发布时间:2020-11-04
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/110407/malware/revil-ransomware-kpot-stealer.html
01.Firestarter 滥用 Google Firebase 云消息进行传播
DoNot 组织以针对克什米尔的非营利组织和巴基斯坦政府官员而闻名。克什米尔地区正面临来自印度,中国和巴基斯坦的所有权争议。有时会加剧潜在的冲突。DoNot 最近开始使用一种新的恶意软件加载器,我们将其称为 Firestarter。我们的研究表明,DoNot 一直在尝试新技术以立足其受害者机器。这些实验在 Firestarter 加载程序中得到了证实,标志着他们决心如何在暴露的情况下仍能保持其操作。相同的实验还显示了保持其操作隐秘的能力,因为现在,他们可以根据地理和个人识别标准来决定哪些感染将获得最终的 Payload。这降低了研究人员访问它的可能性。现在,DoNot 正在利用 Google Firebase 云消息传递 (Google FCM) 作为与恶意软件的强制性通信渠道。该通信通道经过加密,并且在 Android 操作系统与 Google 基础架构进行的其他通信之间进行了混合,DoNot 将其部分通信隐藏在合法通信中。即使恶意行为者仍需要命令和控制 (C2) 基础结构,仅在安装时才需要硬编码的基础结构,此后可以将其丢弃并轻松地被另一个替代。因此,如果他们的 C2 被执法部门取下或被认为是恶意的,他们仍然可以访问受害者的设备并指示其联系新的 C2。采用这种新策略,只有 Google 才能有效阻止恶意软件,因为它是唯一可以在受害者设备上禁用 Google FMC 机制的机构。我们认为,传播很可能是通过直接消息诱使受害者安装恶意软件来完成的。组织和个人可以通过阻止在 Android上 安装未知来源的软件来保护自己,并在可能的情况下可通过检测到 C2 的初始网络流量来保护自己。
发布时间:2020-10-29
发布平台:CISCO TALOS
原文链接:
https://blog.talosintelligence.com/2020/10/donot-firestarter.html
- End -
