1 安天發佈多起攻擊工業企業的勒索軟件Ryuk分析
2020年1月至今,工業企業的生產網絡或辦公網絡遭受數十起勒索軟件攻擊,其中僅Ryuk勒索軟件就感染了EVRAZ、EMCOR Group、EWA等多家工業企業,加密企業關鍵數據信息,導致企業停工、停產,造成重大的經濟損失。因此,安天工控安全組聯合安天CERT針對Ryuk勒索軟件進行深度分析。Ryuk勒索軟件最早於2018年8月被首次發現,其前身是Hermes勒索軟件家族,它是由黑客團伙GRIM SPIDER幕後操作運營,GRIM SPIDER是一個網絡犯罪集團,至今一直活躍。近期,數個大型工控企業包括鋼鐵、採礦、工業建築等行業受到Ryuk勒索軟件攻擊,導致企業部分服務器癱瘓、系統下線等嚴重後果。安天近兩年的監測分析中發現,Ryuk的傳播和TrickBot殭屍網絡有著密切的關係,TrickBot是一種惡意殭屍網絡程序,一旦感染了系統,就會向攻擊者創建一個反向shell,用於下載其他惡意代碼。該勒索軟件典型傳播方式為通過垃圾郵件傳播Emotet銀行木馬,Emotet木馬下載TrickBot殭屍網絡,TrickBot殭屍網絡開啟反向shell,從而通過shell來投放Ryuk勒索軟件。
2 安全廠商揭露APT28在過去一年的網絡間諜活動
趨勢科技揭露APT28(又名Pawn Storm、Strontium、Fancy Bear)在過去一年通過掃描、憑據釣魚等進行的網絡間諜活動。自2019年5月以來,APT28一直在利用受感染的電子郵件地址來發送憑據網絡釣魚郵件,大部分被入侵的系統來自中東的國防公司,其它目標包括運輸、公用事業和政府部門的組織。APT28定期探測世界各地的許多電子郵件和微軟Exchange Autodiscover服務器,尋找易受攻擊的系統,試圖暴力破解獲取憑據、竊取電子郵件數據併發送垃圾郵件。研究人員通過對APT28域名的所有DNS請求進行長達兩年多的監控,監控和檢測到從2017年到2019年該組織在其服務器上發起的憑據網絡釣魚活動,其中包括針對美國、俄羅斯和伊朗的網絡郵件提供商的攻擊活動。
3 TA505偽裝成求職者身份針對德國公司發送木馬郵件
Prevailion研究人員發現了TA505組織的新攻擊活動,其偽裝成求職者身份針對德國公司發送電子郵件以投送木馬。攻擊者向德語企業發送帶有木馬化建立的電子郵件,收件人打開該.iso文件後,嵌入的.lnk將啟動,並運行PowerShell腳本。該腳本將連接攻擊者控制IP地址,下載rar.exe副本和dmnn.rar,rar.exe用於解壓縮dmnn.rar,其包含一個用於顯示的.jpeg圖像文件、一個批處理文件和一個可執行文件。PowerShell將運行批處理文件,首先將活動控制檯代碼更改為拉丁語,併為每臺機器生成唯一標識符。然後嘗試收集保存的憑據、Cookie(可執行文件獲取)和信用卡,壓縮發送到C2。最後,創建與唯一標識符同名的計劃任務,並刪除從主機上下載、創建和修改的所有文件。研究人員還發現了一個類似的rar文件,其中包含勒索軟件組件,並利用GPG工具。通過確定TA505該活動的C2,研究人員進一步發現託管的其它可執行文件。分析發現,該示例利用一個商業遠程管理工具Netsupport,其託管在用戶的谷歌驅動器帳戶上。
4 偽裝來自世衛組織的電子郵件分發HawkEye變種
IBM X-Force於3月19日發現偽裝成來自世界衛生組織(WHO)的電子郵件分發HawkEye惡意軟件變種。電子郵件聲稱來自世衛組織總幹事特德羅斯·阿德諾姆·格布瑞索斯博士,內容關於新冠病毒。打開郵件附件後,存檔中有一個可執行文件,其為.NET加載程序,使用ConfuserEx和Cassandra保護。一旦執行,將搜索並執行另一個.NET可執行文件文件,同時加載一個位圖圖像。可執行文件嘗試讀取位圖圖像並從中提取編碼的彙編代碼。解碼的有效載荷是另一個.NET可執行文件,通過更改註冊表項來關閉Windows Defender,還運行PowerShell命令獲取Windows Defender掃描和更新的首選項,已禁止其選項。在檢查虛擬機和沙箱後,最終將HawkEye通過Process Hollowing將注入MSBuild.exe、vbc.exe和RegSvcs.exe其中之一。
5 Drupal通過安全更新CKEditor修復兩個XSS漏洞
Drupal開發團隊已經發布了8.8.x和8.7.x版本的安全更新,安全更新修復了兩個影響CKEditor庫的XSS漏洞。這兩個漏洞被評為中度嚴重程度,第一個XSS漏洞會影響HTML數據處理器,攻擊者可以通過誘騙用戶以WYSIWYG模式或源代碼模式,將惡意HTML代碼粘貼到編輯器中來加以利用;另一個XSS漏洞影響CKEditor 4的Standard和Full預設中包含的第三方插件WebSpellChecker Dialog,攻擊者利用該漏洞通過誘騙用戶將CKEditor切換到源模式、粘貼惡意代碼、切換回WYSIWYG模式以及預覽WebSpellChecker對話框插件文件可用的頁面上的內容。
6 加拿大網絡服務提供商Rogers通信洩露客戶信息
加拿大網絡服務提供商羅傑斯通信(Rogers Communications)已開始通知客戶由於不安全的數據庫導致的數據洩露事件,該事件暴露了客戶個人信息。該公司稱,2月26日得知一個外部服務提供商無意間在線提供了可訪問其管理的數據庫信息,其包括該公司的客戶信息,具體包括地址、帳號、電子郵件地址、電話號碼,但不包含信用卡,銀行或密碼信息。該公司以立即刪除了該數據庫,並通知受影響客戶。
閱讀更多 網絡吵翻天 的文章
