1 黑客組織Digital Revolution洩露FSB項目細節
俄羅斯黑客組織Digital Revolution洩露了一個名為Fronton的IoT殭屍網絡的細節,該殭屍網絡據稱是一個承包商為俄羅斯情報機構聯邦安全局(FSB)建造。洩露的Fronton的項目包含12個技術文檔、圖表和代碼片段。洩露數據中表示Fronton參考了殭屍網絡Mirai,用於專門針對互聯網安全攝像機和數字錄像機(NVR),並執行DDoS攻擊。然後,每個受感染的設備應該對其他設備進行密碼攻擊,以保持殭屍網絡存活。Fronton應通過託管在位於 VPN 和代理服務器網絡後面的命令和控制 (C&C) 服務器上的基於 Web 的管理面板進行管理,以便隱藏其真實位置。
2 Mukashi針對易受攻擊的Zyxel NAS設備傳播
Paloalto發現Mirai殭屍網絡變種Mukashi針對帶有漏洞的Zyxel NAS設備傳播。該漏洞為CVE-2020-9054,具有嚴重等級(即CVSS v3.1得分9.8),在上個月公開發布PoC後,立即被攻擊者利用,供應商已針對該漏洞發佈補丁。研究人員在2020年3月12日首次發現該攻擊活動,攻擊者試圖將shell腳本下載到tmp目錄並執行,並刪除易受攻擊設備上的證據。Shell腳本將下載Mirai變種Mukashi,運行下載的二進制文件,並刪除二進制文件。Mukashi掃描隨機主機的TCP端口23,使用不同的默認憑證組合進行暴力破解登錄,並向其C2服務器報告成功的登錄嘗試。和Mirai的其它變種一樣,Mukashi也能夠接收C2命令併發起DDoS攻擊。
3 PwndLocker修復加密錯誤更名為ProLock
勒索軟件PwndLocker修復了加密錯誤後,更名為ProLock。該勒索軟件於3月初發現,針對企業網絡,但其加密文件並未成功,用戶無需支付贖金就可以取回文件。研究人員已發現ProLock的新活動,其通過BMP圖像文件進行分發,惡意可執行文件嵌入在圖像中,在圖像查看器中可在圖像右上角看見幾個點。圖像還包含嵌入的二進制數據,二進制數據通過PowerShell腳本重新組合,然後將其直接注入內存。目前還不清楚ProLock如何獲得訪問,研究人員懷疑攻擊者通過公開的遠程桌面服務獲得了訪問權限。ProLock加密與PwndLocker所使用的方法相同。啟動後,將清除計算機上的卷影副本,然後加密計算機上的文件,以.proLock為文件擴展名。勒索信包含有關如何連接到Tor以獲得付款信息的說明。
4 英國金融科技公司Finastra遭勒索軟件攻擊
英國金融科技公司Finastra遭到勒索軟件攻擊,Finastra關閉了關鍵系統。Finastra向世界各地的銀行提供一系列技術解決方案,在130個國家或地區擁有9000多家客戶。該公司表示關閉了加拿大和倫敦帕丁頓的部分辦事處,這些地方的員工無法訪問離線服務器。沒有任何證據表明客戶或員工的數據已被訪問或洩露。
5 英國印刷公司Doxzoo暴露美英軍事相關文件
VpnMentor的安全專家在AWS服務器上發現了屬於英國印刷公司Doxzoo的343GB公開文件,其中包括與美國和英國軍方有關的文件。安全專家於1月26日向該公司報告了他們的發現,但未得到回應,又於2月11日聯繫亞馬遜得以解決該問題。該不安全的S3存儲桶包含超過27萬條記錄,受影響的用戶數可能超過10萬。公開記錄包括姓名、地址、電子郵件地址、付款方式、付款方式的最後四位數字、護照掃描文件、訂單詳細信息、受版權保護的出版物(如書籍、劇本、電視節目腳本)、教師考試答案指南、證書、文憑和學位、醫療文件、平面圖、音樂作品、宗教文本、內部軍事文件(包括機密信息)。軍事文件屬於美國和英國軍方,並且還影響了來自印度、尼日利亞和斯里蘭卡的Doxzoo客戶。
6 TrueFire吉他輔導網站遭受Magecart風格的攻擊
在線吉他輔導網站TrueFire遭受了Magecart風格的數據洩露事件,導致其客戶的個人信息和支付卡信息被洩露。TrueFire是最受歡迎的吉他補習網站之一,擁有超過100萬用戶,用戶可以在線付款進行學習。TrueFire在用戶通知中表示,攻擊者於去年中旬左右獲得了對該公司Web服務器的未經授權的訪問權,並竊取了進入其網站的客戶付款信息,時間在2019年8月3日至2020年1月14日之間。研究人員表示儘管該公司沒有說明攻擊者如何設法破壞其網站,或者是否向其注入了支付卡竊取程序,但這種情況看上去與Magecart式攻擊非常相似。
閱讀更多 網絡吵翻天 的文章
