1 黑客组织Digital Revolution泄露FSB项目细节
俄罗斯黑客组织Digital Revolution泄露了一个名为Fronton的IoT僵尸网络的细节,该僵尸网络据称是一个承包商为俄罗斯情报机构联邦安全局(FSB)建造。泄露的Fronton的项目包含12个技术文档、图表和代码片段。泄露数据中表示Fronton参考了僵尸网络Mirai,用于专门针对互联网安全摄像机和数字录像机(NVR),并执行DDoS攻击。然后,每个受感染的设备应该对其他设备进行密码攻击,以保持僵尸网络存活。Fronton应通过托管在位于 VPN 和代理服务器网络后面的命令和控制 (C&C) 服务器上的基于 Web 的管理面板进行管理,以便隐藏其真实位置。
2 Mukashi针对易受攻击的Zyxel NAS设备传播
Paloalto发现Mirai僵尸网络变种Mukashi针对带有漏洞的Zyxel NAS设备传播。该漏洞为CVE-2020-9054,具有严重等级(即CVSS v3.1得分9.8),在上个月公开发布PoC后,立即被攻击者利用,供应商已针对该漏洞发布补丁。研究人员在2020年3月12日首次发现该攻击活动,攻击者试图将shell脚本下载到tmp目录并执行,并删除易受攻击设备上的证据。Shell脚本将下载Mirai变种Mukashi,运行下载的二进制文件,并删除二进制文件。Mukashi扫描随机主机的TCP端口23,使用不同的默认凭证组合进行暴力破解登录,并向其C2服务器报告成功的登录尝试。和Mirai的其它变种一样,Mukashi也能够接收C2命令并发起DDoS攻击。
3 PwndLocker修复加密错误更名为ProLock
勒索软件PwndLocker修复了加密错误后,更名为ProLock。该勒索软件于3月初发现,针对企业网络,但其加密文件并未成功,用户无需支付赎金就可以取回文件。研究人员已发现ProLock的新活动,其通过BMP图像文件进行分发,恶意可执行文件嵌入在图像中,在图像查看器中可在图像右上角看见几个点。图像还包含嵌入的二进制数据,二进制数据通过PowerShell脚本重新组合,然后将其直接注入内存。目前还不清楚ProLock如何获得访问,研究人员怀疑攻击者通过公开的远程桌面服务获得了访问权限。ProLock加密与PwndLocker所使用的方法相同。启动后,将清除计算机上的卷影副本,然后加密计算机上的文件,以.proLock为文件扩展名。勒索信包含有关如何连接到Tor以获得付款信息的说明。
4 英国金融科技公司Finastra遭勒索软件攻击
英国金融科技公司Finastra遭到勒索软件攻击,Finastra关闭了关键系统。Finastra向世界各地的银行提供一系列技术解决方案,在130个国家或地区拥有9000多家客户。该公司表示关闭了加拿大和伦敦帕丁顿的部分办事处,这些地方的员工无法访问离线服务器。没有任何证据表明客户或员工的数据已被访问或泄露。
5 英国印刷公司Doxzoo暴露美英军事相关文件
VpnMentor的安全专家在AWS服务器上发现了属于英国印刷公司Doxzoo的343GB公开文件,其中包括与美国和英国军方有关的文件。安全专家于1月26日向该公司报告了他们的发现,但未得到回应,又于2月11日联系亚马逊得以解决该问题。该不安全的S3存储桶包含超过27万条记录,受影响的用户数可能超过10万。公开记录包括姓名、地址、电子邮件地址、付款方式、付款方式的最后四位数字、护照扫描文件、订单详细信息、受版权保护的出版物(如书籍、剧本、电视节目脚本)、教师考试答案指南、证书、文凭和学位、医疗文件、平面图、音乐作品、宗教文本、内部军事文件(包括机密信息)。军事文件属于美国和英国军方,并且还影响了来自印度、尼日利亚和斯里兰卡的Doxzoo客户。
6 TrueFire吉他辅导网站遭受Magecart风格的攻击
在线吉他辅导网站TrueFire遭受了Magecart风格的数据泄露事件,导致其客户的个人信息和支付卡信息被泄露。TrueFire是最受欢迎的吉他补习网站之一,拥有超过100万用户,用户可以在线付款进行学习。TrueFire在用户通知中表示,攻击者于去年中旬左右获得了对该公司Web服务器的未经授权的访问权,并窃取了进入其网站的客户付款信息,时间在2019年8月3日至2020年1月14日之间。研究人员表示尽管该公司没有说明攻击者如何设法破坏其网站,或者是否向其注入了支付卡窃取程序,但这种情况看上去与Magecart式攻击非常相似。
閱讀更多 網絡吵翻天 的文章
