Lazarus 用最新武器 Vyveva 袭击南非货运
研究人员发现了 Lazarus 黑客组织使用了一种新后门,针对货运业进行攻击。ESET 周四表示,这种名为 Vyveva 的新型后门恶意软件可追溯到对南非一家货运和物流公司的攻击。虽然尚不知道用于部署恶意软件的最初攻击媒介,但检查感染了该恶意软件的计算机后发现它们与 Lazarus 有关。Lazarus 是来自朝鲜的高级持续威胁组织,该组织的网络攻击者数量众多,被认为是造成全球 WannaCry 勒索软件爆发的原因。8000 万美元的孟加拉国银行抢劫案;针对韩国供应链的攻击,加密货币盗窃,2014 年索尼黑客攻击以及针对美国组织的其他各种攻击。Vyveva 是在 Lazarus 武器库中发现的最新武器之一。后门最早在 2020 年 6 月被发现,但至少从 2018 年起就可以使用了。后门能够窃取文件,从受感染的计算机中收集数据,远程连接到 C2 服务器并运行任意代码。此外,后门使用虚假的 TLS 连接进行网络通信,通过 Tor 网络连接到其 C2 的组件以及 APT 在过去的活动中使用的命令行执行链。与较旧的 Lazarus 恶意软件家族 Manuscrypt/NukeSped 的编码相似。Vyveva 还包括一个时间戳选项,该选项允许从 donor 文件复制时间戳创建/写入/访问时间,还有一个有趣的文件复制功能:能够过滤掉特定扩展名并仅关注特定类型的内容,例如 Microsoft Office 文件,以进行渗透。后门程序每三分钟通过看门狗模块与 C2 进行通信,向背后操控者发送数据流,包括何时连接或断开驱动器,以及活动会话和登录用户的数量 (可能与网络间谍活动有关的活动)。ESET 指出:“这些组件还可以在预先配置的定期三分钟间隔内以及发生新的驱动器和会话事件时触发与 C2 服务器的连接。” 研究人员补充说,后门的代码库使他们可以地将 Vyveva 归于 Lazarus。
发布时间:2021-04-08
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/vyveva-lazarus-latest-weapon-strikes-south-african-freight/
黑客通过 LinkedIn 招聘信息以 more_eggs 恶意软件锁定专业人士
一项新的鱼叉式网络钓鱼活动正在 LinkedIn 上针对专业人员,以一种名为 more_eggs 的后门木马感染目标。为了增加成功的机率,网络钓鱼诱骗利用了恶意的 ZIP 文件,该文件与受害者的 LinkedIn 职位中的受害人的职务同名。例如,如果 LinkedIn 成员的工作被列为高级客户主管-国际货运,则该恶意 zip 文件的标题为高级客户主管-国际货运 (请注意在末尾添加了职位)。TRU 在分析中表示,打开后,受害人不知不觉地安装 more_eggs 后门。至少自 2018 年以来,已经发现使用相同的操作方式提供 more_eggs 的活动,后门归功于名为 Golden Chickens 的恶意软件即服务 (MaaS) 提供程序。尽管过去曾经被诸如 Cobalt,FIN6 和 EvilNum 之类的各种网络犯罪组织使用 more_eggs,但这种新型攻击背后的对手仍然未知。
安装完成后,more_eggs 会通过劫持合法的 Windows 进程来维护隐身配置文件,同时提供诱饵文档以将目标从由恶意软件触发的正在进行的后台任务中分散出来。此外,它还可以充当从攻击者控制的服务器 (例如银行木马,勒索软件,凭据窃取者) 中检索其他有效负载的渠道,甚至可以将后门用作受害者网络中的立足点以窃取数据。
发布时间:2021-04-06
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2021/04/hackers-targeting-professionals-with.html
黑客利用 Cring 勒索软件针对易受感染的 VPN 设备
网络罪犯正在利用 VPN 服务器中的安全漏洞,用新形式的勒索软件对网络进行加密,并可能在此过程中破坏了工业设施。安全公司卡巴斯基 (Kaspersky) 的一份报告中详细介绍了此勒索软件,该调查是针对欧洲一名未指定受害者的勒索软件攻击进行的调查。至少有一种攻击设法使用勒索软件对工业控制服务器进行加密,从而导致操作暂时关闭。卡巴斯基没有确定勒索软件攻击的受害者或事件的解决方法,但详细说明了勒索软件,该勒索软件对网络进行了加密,以及网络罪犯如何获得访问权限。Cring 勒索软件于 1 月份首次出现,它利用了 Fortigate VPN 服务器中的漏洞 (CVE-2018-13379)。Fortinet 去年发布了一个安全补丁来修复该漏洞,但是网络罪犯仍然可以将漏洞利用程序部署到尚未应用此安全更新的网络中。通过利用未打补丁的 VPN 应用程序,攻击者可以远程访问用户名和密码,从而允许他们登录到网络。攻击者下载 Mimikatz,这是一个开放源代码应用程序,用于查看和保存身份验证凭据,而我们可以借此来窃取其他用户名和密码以在网络中横向移动,并部署包括 Cobalt Strike 在内的工具,该工具被攻击者滥用,以获得对受感染系统的额外控制。然后,借助恶意的 PowerShell 脚本,攻击者能够使用 Cring 勒索软件对在整个网络上受到威胁的所有系统进行加密。在这一点上,攻击者用一封信告诉受害者,他们的网络已用勒索软件加密,并且需要用比特币支付赎金才能恢复网络。尽管没有关于如何解决欧洲工业设施事件的信息,但研究人员指出,未能应用安全补丁来防御已知漏洞是事件的主要原因。允许攻击者在网络上部署勒索软件的其他因素包括缺乏及时应用于保护网络的防病毒软件的安全更新–以及如何关闭某些防病毒组件,从而降低了检测入侵或恶意软件的能力。为了帮助保护网络免受 Cring 勒索软件的攻击,建议为 Fortigate VPN 服务器修补相关的安全更新,以防止利用已知漏洞。
关键词:Cring、CVE-2018-13379、Mimikatz
发布时间:2021-04-08
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/ransomware-crooks-are-targeting-vulnerable-vpn-devices-in-their-attacks/
可以利用 VMware Carbon Black Cloud Workload 设备中的一个严重漏洞绕过身份验证并控制易受攻击的系统。此漏洞编号为 CVE-2021-21982,在 CVSS 评分系统中,该漏洞的最高评分为 9.1,最高为 10。该漏洞会影响 1.0.1 之前的所有产品版本。Carbon Black Cloud Workload 是 VMware 的数据中心安全产品,旨在保护托管在公司云计算虚拟化平台 vSphere 上的关键服务器和工作负载。VMware 在其通报中说:“可以操纵 VMware Carbon Black Cloud Workload 设备管理界面上的 URL 绕过身份验证,” 从而允许具有网络访问权限的对手访问该设备的管理 API。有了访问权限,攻击者便可以查看和更改管理配置。除了发布针对 CVE-2021-21982 的修复程序外,VMware 还解决了其 vRealize Operations Manager 解决方案中的两个单独的 Bug,该 Bug 可以让攻击者通过网络访问 API 进行服务器端请求伪造 (SSRF) 攻击来窃取管理凭据 (CVE-2021-21975) 并将文件写入基础光子操作系统 (CVE-2021-21983) 上的任意位置。该产品主要用于监视和优化虚拟基础架构的性能,并支持工作负载平衡,故障排除和合规性管理等功能。Positive Technologies 的安全研究员 Egor Dimitrenko 因报告了所有这三个漏洞而受到赞誉。Egor Dimitrenko 说:“主要的风险是管理员特权允许攻击者利用第二个漏洞 CVE-2021-21983 (任意文件写入漏洞,得分 7.2),它允许在服务器上执行任何命令。两个安全漏洞的结合使情况更加危险,因为它允许未经授权的攻击者获得对服务器的控制权并在基础架构内横向移动。” VMware 已发布 vRealize Operations Manager 7.0.0、7.5.0、8.0.1、8.1.1、8.2.0 和 8.3.0 版的修补程序。
关键词:CVE-2021-21982、CVE-2021-21975、CVE-2021-21983
发布时间:2021-04-07
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2021/04/critical-auth-bypass-bug-found-in.html
REvil 勒索软件将密码更改为在安全模式下自动登录
REvil 勒索软件的最新更改允许攻击者在更改 Windows 密码后通过安全模式自动执行文件加密。3 月,我们报告了REvil/Sodinokibi 勒索软件中添加的新 Windows 安全模式加密模式。可以使用 -smode 命令行参数启用此模式,该参数会将设备重新启动到安全模式,在该模式下它将执行文件加密。可以认为,添加此模式是为了逃避安全软件的检测并关闭备份软件,数据库服务器或邮件服务器,从而提高加密文件的成功率。但是,在我们进行报告时,勒索软件要求有人在加密开始之前手动登录 Windows 安全模式,这可能会引发危险信号。3 月底,安全研究人员 R3MRUM 发现了一个新的 REvil 勒索软件样本,该样本通过更改登录用户的密码并配置 Windows 以在重新启动时自动登录来完善新的安全模式加密方法。在这个新样本中,当使用 -smode 参数时,勒索软件将用户密码更改为 DTrump4ever。勒索软件然后配置以下注册表值,以便 Windows 将使用新的帐户信息自动登录。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"AutoAdminLogon"="1""DefaultUserName"="[account_name]""DefaultPassword"="DTrump4ever"
虽然尚不确定 REvil 勒索软件加密程序的新样本是否继续使用 DTrump4ever 密码,但在过去两天中至少有两个样本继续上传到 VirusTotal。这些变化说明了勒索软件团伙如何不断发展其策略,以成功地加密受害者的设备并强制勒索赎金。REvil 最近还警告说,如果不支付赎金,他们将对受害人进行 DDoS 攻击,并向受害人的商业伙伴发送有关被盗数据的电子邮件。
发布时间:2021-04-09
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/security/revil-ransomware-now-changes-password-to-auto-login-in-safe-mode/
- End -
