目 錄

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)新型Masked勒索病毒襲擊工控行業

　　(二)國家電網公司發布《泛在電力物聯網白皮書2019》

　　(三)關鍵信息基礎設施邊界識別刻不容緩

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)Talos專家發現施耐德電氣Modicon PLC存在11個漏洞

　　(二)Winnti Group計劃對亞洲制造商進行毀滅性的供應鏈攻擊

　　(三)TeamViewer發布官方聲明：火眼提到的攻擊事件并非最近發生

　　(四)Linux曝出Sudo提權漏洞 受限用戶亦可運行root命令

　　(五)不安全的Docker主機受到新的Graboid Cryptojacking蠕蟲攻擊

　　(六)全球運輸和郵遞服務公司Pitney Bowes遭受勒索軟件攻擊

　　(七)黑客組織FIN7將新型RAT惡意軟件加載到ATM制造商的軟件中

　　(八)伊朗黑客創建可信網絡釣魚來竊取圖書館訪問權限

　　(九)Cyberbit發現歐洲某國際機場存在大量比特幣挖掘惡意軟件

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)新型Masked勒索病毒襲擊工控行業

　　近日，一位工控安全領域的朋友前來咨詢，遇到加密后文件后綴為.masked的勒索病毒，并發來勒索的相關信息和病毒樣本，此勒索病毒運行之后會修改桌面背景。在每個加密的文件目錄下，會生成兩個超文件HTML的勒索提示文件。使用TOR打開勒索病毒解密網站，顯示RUSH GANG 1.3，要解密文件，只能通過郵件聯系黑客，黑客的郵件聯系方式為backupyourfiles@420blaze.it。

　　該勒索病毒使用了反調試的方法，阻止安全分析人員對樣本進行調試分析。設置了自啟動注冊表項HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun。遍歷主機磁盤，生成勒索提示超文件HTML文件，并將解密出來的勒索提示信息寫入到HTML文件中，然后遍歷磁盤文件進行加密，加密后的文件后綴為masked。

　　近日，多位工控安全的朋友前來咨詢，勒索病毒針對工控行業的攻擊似乎也越來越多了，各位工控企業一定要做好勒索病毒的防范措施，以防被勒索病毒勒索加密，千萬不能掉以輕心，黑客無時無刻不在尋找著新的攻擊目標。

　　本文版權歸原作者所有，參考來源：Freebuf

　　(二)國家電網公司發布《泛在電力物聯網白皮書2019》

　　2019年10月14日，國家電網有限公司在京召開發布會，發布《泛在電力物聯網白皮書2019》，旨在通過建樞紐、搭平臺、促共享，凝聚各方共識，構建開放共建、合作共治、互利共贏的能源生態，形成共同推進泛在電力物聯網建設的磅礴力量。

　　《白皮書》稱，泛在電力物聯網就是圍繞電力系統各環節，充分運用5G、移動互聯、人工智能等新技術，實現電力系統各環節的互聯互通，人機交互，打造一個狀態全面感知、信息高效處理、應用便捷靈活的智慧服務系統。目前試點包括電動汽車充電環節、家庭用電管理、電力數據分析等多個領域。

　　據國網電動汽車公司總經理沈建新介紹，把汽車的通信協議與電網的通信協議，通過技術實現無縫銜接，能夠實現車主在充電的時候不需要采用傳統的掃碼包括注冊來充電，只需要把充電槍插到電動汽車的充電接口，就可實現電動汽車車主無感支付充電。

　　泛在電力物聯網建設分為兩個階段，第一階段到2021年初步建成泛在電力物聯網，第二階段到2024年建成泛在電力物聯網，今年已明確了57項建設任務和25項綜合示范。業內認為，此舉對于增加電網的感知能力、互動能力、提升電網效率具有重要意義。

　　本文版權歸原作者所有，參考來源：中國新聞網

　　(三)關鍵信息基礎設施邊界識別刻不容緩

　　近日，在2019第七屆互聯網安全大會上，中國電子商會自主可控技術委員會理事長馮燕春作了題為《關鍵信息基礎設施邊界識別刻不容緩》的主題報告，對關鍵信息基礎設施邊界識別的概念、進展與標準工作進行了深度解讀。關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標，必須采取有效措施，切實做好國家關鍵信息基礎設施安全防護，而將關鍵信息基礎設施元素與其它信息基礎設施區分開來是做好安全防護工作的前提和基礎。

　　關鍵信息基礎設施(Critical Information Infrastructure，CII)的概念最初起源于美國。早在 1977 年，美國總統關鍵基礎設施保護委員會指出，美國國家安全高度依賴信息和通信、銀行和金融、能源、運輸等關鍵基礎設施，這些基礎設施一旦遭到攻擊會給整個國家帶來嚴重后果。就我國而言，習近平總書記在網絡安全和信息化工作座談會上的講話中指出，金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標，必須采取有效措施，切實做好國家關鍵信息基礎設施安全防護。2017 年 6月 1 日，我國正式實施了《網絡安全法》，對關鍵信息基礎設施做了明確的定義。

　　關鍵信息基礎設施邊界，就是指當運營者被國家有關部門確認為是CII 運營者后，需要識別自身運營的哪些網絡設施、信息系統是關鍵業務持續、穩定運行所必須的，應當被納入 CII 保護范圍。通俗地來講，是應該把邊界識別概念定義為一旦業務被定為關鍵業務，也明確運營者之后，需要從保障業務安全運行的角度搞清楚應該保護什么。

　　國內外相關實踐經驗表明，在CII 運營者的所有信息基礎設施中，有些網絡設施、信息系統對保障關鍵業務持續、穩定運行是非常關鍵的“Critical”，有些僅僅是比較重要的“Important”，甚至有一些信息設施對關鍵業務是無關緊要的“Unimportant”。因此，將關鍵的信息基礎設施與其它信息基礎設施區分開來，是開展關鍵信息基礎設施保護的第一步，也是 CIIP 保護的前提和基礎，對明確保護對象、實施重點保護具有重要意義。

　　目前，大家都還停留在關鍵信息基礎設施保護的表面上，只是宏觀地去講哪些是該保護的。至于到底落在哪個系統和網絡內，或者屬于哪個責任部門，還是不清楚。因此，要想做下去，只有解決好關鍵基礎設施識別認定，這樣才能落下去。

　　當前，CII 邊界識別工作刻不容緩。如今，《關鍵信息基礎設施保護條例》《網絡安全審查辦法》《個人信息出境安全評估辦法》等正在陸續出臺，這些法律法規的落實需要明確 CII 邊界。如何指導運營者梳理自身運營的網絡設施、信息系統納入 CII 保護范疇內，也是一個急需解決的問題。希望大家能夠關注和積極參與相關工作。

　　本文版權歸原作者所有，參考來源： 網信軍民融合

　　海外關鍵信息基礎設施安全動態簡訊

　　(一)Talos專家發現施耐德電氣Modicon PLC存在11個漏洞

　　近日，思科Talos的專家們發現了11個安全漏洞，這些漏洞影響了施耐德電氣的某些型號的Modicon可編程邏輯控制器(PLC)。受影響的型號是Modicon M580，M340，BMENOC 0311，BMENOC 0321，Quantum，Premium、Modicon BMxCRA、和140CRA。其中M580 PLC型號受所有漏洞影響，會影響Modbus的實施，FTP 和 TFTP協議以及 REST API。施耐德電氣發布了四項建議以解決漏洞。

　　通過CVE-2019-6841和CVE-2019-6851之間的代碼跟蹤TFTP和REST API中的漏洞，攻擊者可以通過向受影響的設備發送特制請求來利用它們。TFTP協議中的漏洞(跟蹤為CVE-2019-6851)是一個文件和目錄信息公開問題，使用該協議時，可能會導致從控制器公開信息。REST API受三個漏洞CVE-2019-6848，CVE-2019-6849，CVE-2019-6850的影響。CVE-2019-6848是一個未捕獲的異常問題，可通過在控制器/通信模塊的REST API上發送特定數據來利用該漏洞導致拒絕服務情況。CVE-2019-6849是一個信息泄露漏洞，使用控制器/通信模塊的REST API提供的特定Modbus服務時，可能導致敏感信息泄露。CVE-2019-6850是另一個信息泄露漏洞，當使用控制器/通信模塊的REST API讀取特定的寄存器時，可能導致敏感信息泄露。

　　Talos研究人員在5月和7月向施耐德電氣報告了該漏洞。并向施耐德提供了一系列建議以防止利用這些問題。 Talos的博客文章還包含了可以檢測利用嘗試的SNORT規則。

　　天地和興安全研究院翻譯整理，參考來源：Security Affairs

　　(二)Winnti Group計劃對亞洲制造商進行毀滅性的供應鏈攻擊

　　近日，ESET的安全專家透露，他們觀察到APT組織Winnti Group正在不斷更新其武器庫，使用新型模塊化Windows后門來感染亞洲知名移動硬件和軟件制造商的服務器。ESET的研究人員還發現，該APT組織使用了ShadowPad惡意軟件的更新版本。根據研究人員的說法，該犯罪團伙自2007年以來一直活躍至2013年，最初是由卡巴斯基發現的。

　　專家認為，有多個APT組織在Winnti的保護下 ，包括Winnti、Gref、PlayfullDragon、APT17、DeputyDog、Axiom、BARIUM、LEAD、PassCV、Wicked Panda、和ShadowPad。

　　專家們分析了最近針對亞洲游戲產業的供應鏈攻擊，并注意到在后門中使用了獨特的PortReuse。ESET發表的文章表示，他們分析了Winnti Group使用的該程序來尋找更多的可執行文件，以發掘用于供應鏈攻擊的其他受感染軟件。然而他們發現的并不是最初想要的。他們沒有找到受損的軟件，而是發現了一個使用相同的新監聽模式模塊化后門封隔器，開發者稱之為PortReuse。該后門注入一個正在偵聽TCP端口的正在運行的進程，重用一個已經打開的端口。它掛鉤接收功能，并等待魔術數據包觸發惡意行為。合法流量會轉發到實際應用程序，因此它實際上不會阻止受感染服務器上的任何合法活動。

　　這種后門有時稱為“被動網絡植入”。在針對視頻游戲開發商的攻擊中，惡意軟件是通過游戲官方更新服務器傳播的。

　　PortReuse后門具有模塊化架構，專家發現其組件是通過命名管道進行通信的獨立進程。專家使用不同的NetAgent但使用相同的SK3檢測到多個PortReuse變體。專家發現的每個變體都針對不同的服務和端口，包括TCP上的DNS(53)，HTTP(80)，HTTPS(443)，遠程桌面協議(3389)和Windows遠程管理(5985)。并通過以下方式為后門惡意軟件提供服務：嵌入到.NET應用程序中，啟動初始Winnti Packer;在VB腳本中，該腳本會調用.NET對象，該對象會啟動;在直接位于入口點的可執行文件中。

　　端口重用不需要命令和控制(C2)服務器，而是利用NetAgent在打開的套接字上偵聽。攻擊者只需要直接連接到受感染的主機即可。PortReuse后門不使用C&C服務器;它等待發

　　送“魔術”數據包的傳入連接。為此，它不會打開其他TCP端口;它注入到現有過程中以“重用”已經打開的端口。

　　ESET識別出一家被PortReuse后門變種攻擊的公司，該后門使用GET請求并檢查服務器和Content-Length標頭將自身注入Microsoft IIS。專家們使用Censys搜索引擎發現了八臺受PortReuse感染的計算機。該公司總部位于亞洲，是主要移動硬件和軟件制造商，專家聯系了該組織并向發出了感染警報。

　　專家認為，Winnti Group 可能正在計劃通過破壞該組織來進行毀滅性的供應鏈攻擊。Winnti集團在2019年仍然非?；钴S，并將繼續瞄準游戲和其他行業。ShadowPad惡意軟件的更新表明他們仍在開發和使用它。相對較新的PortReuse惡意軟件還顯示他們更新了武器庫，并為自己提供了另一種長期攻擊受害者的途徑。

　　天地和興安全研究院翻譯整理，參考來源：Security Affairs

　　(三)TeamViewer發布官方聲明：火眼提到的攻擊事件并非最近發生

　　全球知名的遠程控制軟件TeamViewer上周末被爆出安全事件，這起事件源起國外安全公司火眼舉辦的安全會議?；鹧凼紫踩軜嫀熢谕铺厣吓臄z會議的現場圖片，圖片列舉近些年多起網絡攻擊事件其中也包括TeamViewer。這名安全架構師還在推特上表示所有安裝TeamViewer的計算機都可能被控制，這條推文迅速引起大量用戶恐慌。

　　值得注意的是火眼發布的圖片里標注的是2017-2018年間,在此前報道中也提到攻擊可能并不是近期發生的。不過多數媒體報道引用的信息源聲稱是近期監測到的攻擊，于是國內很多使用TeamViewer的用戶選擇立即卸載。

　　該安全事件被廣泛報道后曾聯系過TeamViewer團隊進行咨詢，不過由于周末該公司德國總部并未進行回應。直到昨天晚間該公司才在社區公布官方聲明，在聲明中TeamViewer表示火眼安全會議中提到的是歷史安全事件。所以潛在的攻擊問題并不會影響現在還在使用TeamViewer的用戶，至于具體時間自然指的是2017-2018年間。該公司還聯系火眼安全公司對此事件進行澄清，火眼發布的聲明也表示TeamViewer近期并未發生潛在安全問題。

　　火眼首席安全架構師作為最新發布消息的人也發布澄清聲明，在聲明中該架構師表示推文指

　　的是此前的安全事件。在少數情況下惡意軟件是通過TeamViewer進行部署的，也就是火眼圖片中展示的通過該軟件進行多渠道入侵等。最后火眼首席架構師強調此前推文指的并不是TeamViewer當前的軟件或者是服務器等基礎設施遭到攻擊者入侵。

　　日前知名安全公司火眼(FireEye)首席安全架構師在推特上爆料TeamViewer遭到黑客攻擊并泄露用戶的賬號密碼。這個黑客團體被稱為APT41 (高級持續威脅)，火眼在推特上稱黑客可在任意安裝TeamViewer的電腦上進行訪問。從火眼首席安全架構師發布的圖片來看這應該是火眼舉辦的安全會議上展示的演示文稿，火眼并未透露具體細節。不過這家安全公司是業界知名的安全研究團體，所以發布的消息可信度為百分之百，只是攻擊時間暫時無法確定。因為在展示的圖片上關于TeamViewer被黑標注的是2017-2018，按理說這個數字指的應該是攻擊發生的時間段。圖片還顯示通過該軟件進行傳送文件的記錄，記錄顯示時間為 2017年7月4日,所以火眼說的應該不是最新攻擊。

　　本文版權歸原作者所有，參考來源：CNBeta

　　(四)Linux曝出Sudo提權漏洞 受限用戶亦可運行root命令

　　作為 Linux 中最常使用的重要實用程序之一，Sudo 幾乎安裝在每一款 UNIX 和 Linux 發行版上，以便用戶調用和實施核心命令。然而近期曝出的一個提權漏洞，卻直指 sudo 的一個安全策略隱患 —— 即便配置中明確不允許 root 用戶訪問，該漏洞仍可允許惡意用戶或程序，在目標 Linux 系統上以 root 用戶身份執行任意命令。

　　據悉，Sudo 特指“超級用戶”。作為一個系統命令，其允許用戶以特殊權限來運行程序或命令，而無需切換使用環境(通常以 root 用戶身份運行命令)。默認情況下，在大多數 Linux 發行版中(如屏幕快照所示)，/ etc / sudoers 的 RunAs 規范文件中的 ALL 關鍵字，允許 admin 或 sudo 分組中的所有用戶，以系統上任何有效用戶的身份運行任何命令。然而由于特權分離是 Linux 中最基本的安全范例之一，因此管理員可以配置 sudoers 文件，來定義哪些用戶可以運行哪些命令。

　　這樣一來，基板限制了用戶以 root 身份運行特定或任何命令，該漏洞也可允許用戶繞過此安全策略，并完全控制系統。Sudo 開發者稱： “只要 Runas 規范明確禁止 root 訪問、首先列出 ALL 關鍵字，具有足夠 sudo 權限的用戶就可以使用它來以 root 身份運行命令?！睋?，該漏洞由蘋果信息安全部門的 Joe Vennix 追蹤發現(CVE-2019-14287)。且想要利用這個 bug，只需 Sudo User ID -1 或 4294967295 。

　　這是因為將用戶 ID 轉換為用戶名的函數，會將 -1(或無效等效的 4294967295)誤認為 0，而這正好是 root 用戶 User ID 。此外，由于通過 -u 選項指定的 User ID 在密碼數據庫中不存在，因此不會運行任何 PAM 會話模塊。綜上所述，該漏洞影響最新版本 1.8.28 之前的所有 Sudo 版本。慶幸的是，幾個小時前，各大 Linux 發行版都已經在向用戶推送新版本了。

　　本文版權歸原作者所有，參考來源：cnBeta

　　(五)不安全的Docker主機受到新的Graboid Cryptojacking蠕蟲攻擊

　　近日，來自Palo Alto Networks的研究人員在Shodan搜索引擎上進行搜索后，發現有2,000多個不安全的Docker服務暴露于公共網絡。他們發現了一個新的使用Docker映像的加密劫持活動，該蠕蟲遵循看似不穩定的計劃傳播蠕蟲，該計劃使礦工一次在受感染主機上活動約四分鐘。Docker容器是與操作系統隔離的環境，其中包含應用程序在任何受支持的基礎架構上運行它們的代碼和依賴關系。

　　在他們的分析中，研究人員從Graboid的命令和控制(C2)服務器中發現了一個腳本，該腳本檢索了具有2,000多個IP地址的列表，這表明攻擊者已經在掃描易受攻擊的主機。目前尚不清楚其中有多少被感染，因為該惡意軟件從列表中隨機選擇了下一個目標。

　　破壞其中之一后，攻擊者發送遠程命令從Docker Hub下載“ pocosow / centos” Docker映像并進行部署。該映像具有用于與其他Docker主機進行通信的Docker客戶端。加密礦活動(Monero)通過稱為“ gakeaws / nginx”的單獨容器進行，該容器作為nginx Web服務器。

　　'pocosow / centos'也用于從C2下載一組四個腳本并執行它們：live.sh-發送有關受感染主機上可用CPU的信息;worm.sh-下載易受攻擊的主機列表，選擇新目標并通過Docker客戶端在其上部署“ pocosow / centos”;cleanxmr.sh-停止隨機主機上的加密活動;xmr.sh-從易受攻擊的主機列表中選擇一個隨機地址，并部署加密礦容器“ gakeaws / nginx”。

　　Palo Alto Networks發現，Graboid接收了來自15臺受到威脅的主機的命令，其中14臺存在于易受攻擊的IP列表中，最后一臺存在50多個已知漏洞，這清楚地表明攻擊者專門出于惡意軟件控制目的而對它們進行了攻擊。

　　涉及Graboid加密劫持操作的兩個容器已被下載數千次。CenOS偽裝者的拉力超過10,000，而Nginx偽裝者的拉力約為6,500。

　　Graboid不斷向C2服務器查詢新的易受攻擊的主機，并使用Docker客戶端工具遠程下載和部署受感染的容器。

　　天地和興安全研究院翻譯整理，參考來源：BleepingComputer

　　(六)全球運輸和郵遞服務公司Pitney Bowes遭受勒索軟件攻擊

　　2019年10月14日，全球運輸和郵寄服務公司Pitney Bowes宣布，其系統受到了勒索軟件攻擊，該攻擊對某些系統進行了加密，導致部分系統中斷，從而影響了客戶對某些服務的訪問。目前，該公司沒有證據表明客戶或員工數據被不當訪問。該公司已聘請外部安全公司來支持其調查在安全漏洞。

　　Pitney Bowes是一家全球性技術公司，在電子商務，運輸，郵件，數據和金融服務領域提供商業解決方案，并并為全球超過150萬客戶提供數十億筆交易。

　　目前郵件系統產品已被攻擊癱瘓，該公司確認以下系統當前無法正常工作：客戶無法在其郵寄機上補充郵資或上傳交易;英國和加拿大的SendPro Online;SendSuite Live、SendSuite Express、SendSuite Tracking(SST)的托管實例;會計解決方案，例如Inview，業務經理和客戶清單管理;無法訪問帳戶和Pitney Bowes耗材網上商店，這也影響訂閱AutoInk和Supplies App的客戶。

　　該公司指出，盡管客戶要等到系統恢復后才能為其郵資計費機充值，但如果他們有資金也可以直接打印郵資。擁有Mail360和MIPro許可產品的客戶無法訪問帳戶、數據實現、以及某些支持頁面，因為以及軟件和數據市場下載不可用。對于商務服務客戶，受影響的服務包括履行、交付、退貨、以及Presort服務。軟件和數據產品不受勒索軟件攻擊的影響，因為它們不訪問后端Pitney Bowes網絡的系統。

　　天地和興安全研究院翻譯整理，參考來源：Security Affairs

　　(七)黑客組織FIN7將新型RAT惡意軟件加載到ATM制造商的軟件中

　　近日，FireEye的Mandiant小組的研究人員發現，黑客組織FIN7在其惡意工具包中添加了新工具，這種惡意軟件可以加載多個有效負載，并可將負載直接傳送到內存中。該組織已將這個模塊連接到ATM制造商NCR Corporation的合法遠程管理軟件中。FireEye稱這種新型內存內惡意軟件為BOOSTWRITE。在BOOSTWRITE加載程序使用啟動時從其運算符接收到的加密密鑰對嵌入式有效負載進行解密之后，新識別的稱為RDFSNIFFER的RAT到達受感染的計算機。

　　BOOSTWRITE使用DLL搜索順序劫持技術將其自己的惡意DLL加載到受感染系統的內存中，從而使其能夠下載初始化向量(IV)和解密嵌入式有效負載所需的解密密鑰。一旦下載了密鑰和IV，惡意軟件就會對嵌入的有效載荷進行解密，并對結果進行完整性檢查。有效載荷應該是PE32.DLL，如果測試通過，它們將被加載到內存中而不接觸文件系統。在分析發現的BOOSTWRITE樣本之一時，研究人員發現該裝載機被用來放置兩個有效載荷：Carbanak后門和新發現的RDFSNIFFER模塊。

　　即使大多數樣本都未簽名，但最近回收的BOOSTWRITE樣本之一仍使用MANGO ENTERPRISE LIMITED簽發的代碼簽名證書簽名。該樣本在所有VirusTotal反惡意軟件引擎的監視下飛行，因為它們都不是其中任何一個。通過利用代碼證書固有的信任，FIN7增加了繞過各種安全控制并成功損害受害者的機會。

　　RDFSNIFFER模塊作為有效載荷而落入被感染目標的計算機上，具有遠程訪問特洛伊木馬(RAT)功能，它使FIN7黑客能夠劫持NCR Aloha Command Center Client應用程序的實例，并通過現有的合法2FA會話與受害系統進行交互。 每當在受感染的計算機上執行合法軟件時，RDFSNIFFER就會將自身加載到NCR Corporation的RDFClient進程中。

　　這使惡意軟件可以監視或更改使用RDFClient建立的連接，從而為其操作員提供高效的中間人攻擊工具。該模塊還包含一個后門組件，使它能夠將命令注入到活動的RDFClient會話中。此后門使攻擊者可以上傳，下載，執行和/或刪除任意文件。

　　天地和興安全研究院翻譯整理，參考來源：BleepingComputer

　　(八)伊朗黑客創建可信網絡釣魚來竊取圖書館訪問權限

　　2019年10月14日，網絡安全公司Proofpoint的研究人員在一份報告中表示，威脅組織Silent Librarian正在不斷更新其策略和技術，以用于在其登錄網絡釣魚頁面上使用準確且與潛在受害者有關的信息和警報。安全研究人員以不同的名稱(TA407，Cobalt Dickes，Mabna Institute)追蹤該組織。他們都認為該組織與伊朗政府有關，其目的是從全球大學竊取知識產權。從6月到10月，其網絡釣魚活動更加頻繁，主要攻擊目標是北美的大學，其中許多在美國和歐洲。

　　近年來，Silent Librarian在網絡釣魚電子郵件中的用語已經隨著時間而發展。但是，主題基本保持不變，最普遍的是無法訪問圖書館資源、帳戶過期等這些常見誘餌。

　　研究人員認為，多年來，這種信息在Silent Librarian中是經典之作。

　　在Proofpoint觀察到的另一則網絡釣魚郵件中，攻擊者發送了關于活動不足的虛假通知，據稱這導致帳戶關閉。指示受害者登錄其圖書館帳戶以繼續訪問圖書館資源。消息中的語言

　　看起來很有說服力，如果登錄過程無法順利進行，則會提供聯系方式。

　　為了使電子郵件可信，攻擊者使用了目標大學的品牌圖像。通過幾乎實時跟蹤身份驗證門戶的變化并將其整合到網絡釣魚頁面中，可以進一步維護合法性的基礎。

　　該威脅參與者使用的方法并不復雜，但這些活動的繼續證明了它們對于實現Silent Librarian所設定的目標是有效的。盡管美國司法部去年為此活動指控了9名黑客，但這項活動仍在進行中。起訴書說，這些黑客要么是伊朗公司Mabna Institute的雇用，要么是其附屬機構，該公司在該國情報機構的指導下進行了協調的網絡入侵。目的是從大學竊取知識產權并通過多個網站出售。

　　SecureWorks的研究人員在9月的一份報告中說，Silent Librarian影響了30多個國家的至少380所大學。僅在7月和8月，該小組就針對60所大學。

　　盡管其他參與者在混淆，基礎架構和方法上更為成熟，但Silent Librarian在破壞新賬戶和竊取可用于經濟收益的憑證方面仍然多產且有效。他們繼續使用Freenom服務免費注冊域名，正如在9月的一次競選中注意到的那樣，當時使用了16個.tk和.cf域。Proofpoint的報告中提供了自1月以來觀察到的域的完整列表。

　　典型的Silent Librarian攻擊流程始于使用受感染大學的帳戶創建縮短的URL。這將被發送給另一所大學的收件人，他們應該是身份驗證門戶的用戶。

　　高等教育機構是該威脅參與者的主要目標。建議他們實施并強制執行雙重身份驗證，以使黑客訪問受保護的資源非常困難。

　　天地和興安全研究院翻譯整理，參考來源：BleepingComputer

　　(九)Cyberbit發現歐洲某國際機場存在大量比特幣挖掘惡意軟件

　　近日，Cyberbit表示其計算機安全軟件幫助了歐洲某國際機場發現了大規模加密貨幣挖礦軟件，大部分工作站都感染了這種惡意軟件。Cyberbit沒有透露機場名稱，并表示標準類型的防病毒軟件無法檢測到加密貨幣礦工，包括機場系統網絡上的這種。

　　Cyberbit的端點檢測和響應(EDR)技術分析了系統性能和用戶活動，并查找了異常數據。加密采礦軟件的高處理要求提供了未經授權的進程正在運行的線索。Cyberbit研究人員說，入侵者創造了一種已知的加密礦工的變種，允許它通過嚴重依賴于以前發現的特征碼和攻擊模型的反病毒軟件的計算機安全防御程序溜走。Cyberbit的方法是實時查找IT系統中的異常行為，并識別沒有輕易識別的簽名或方法的攻擊。

　　發現受感染的國際機場引發了一個問題：還有多少個國際機場存在未知惡意軟件?加密礦工從機場IT系統竊取計算周期可能會在大范圍甚至更大范圍內造成廣泛的影響。機場信息系統可能會減慢速度，甚至可能出現故障，從而在出發和到達的旅客中造成混亂，并帶來許多其他問題。加密礦工的處理要求較高，因此相對易于檢測，但是大多數惡意軟件都很小，并且設計得比較謹慎，因此很難檢測。

　　天地和興安全研究院翻譯整理，參考來源：ZDNet