目 錄

　　第一章國內關鍵信息基礎設施安全動態簡訊

　　(一)REvil勒索軟件針對中國用戶發放DHL垃圾郵件

　　(二)臺灣當局誣稱大陸黑客攻擊臺大醫院

　　(三)臺灣省將于11月與美國在內十多個國家舉行大規模網絡攻防演練風暴

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)伊朗遭受大規模網絡攻擊，石油和金融設施癱瘓

　　(二)惡意軟件攻擊多地國防承包商至信息技術系統中斷

　　(三)空客遭受供應鏈攻擊，其供應商在過去一年內受到四次重大網絡攻擊

　　(四)美空軍發布《網絡飛行計劃》 規劃未來十年網絡戰建設

　　(五)美國懷俄明州醫院遭受勒索軟件攻擊導致服務中斷

　　(六)DDoS攻擊導致南非ISP整日癱瘓

　　(七)朝鮮黑客開發出針對印度ATM系統惡意軟件

　　(八)俄羅斯組織Fancy Bear用新后門攻擊政治目標

　　(九)Cisco Talos 發現針對美國退伍軍人的定向攻擊

　　第一章國內關鍵信息基礎設施安全動態簡訊

　　(一)REvil勒索軟件針對中國用戶發放DHL垃圾郵件

　　安全研究人員Onion發現了一個新的偽裝成DHL的電子郵件誘騙中國人安裝REvil(Sodinokibi)勒索軟件的事件。

　　偽裝的DHL電子郵件內容顯示由于海關申報不正確，導致包裹的送達延遲。然后，郵件讓收件人必須下載隨附的“海關文件”，并正確填寫，然后將其寄回以便正確交付包裹。

　　如果用戶下載附件的海關文件.zip文件并解壓縮，會有一個名為“DHL海關申報單.doc.exe”的文件，該文件將轉換為“DHL海關申報單.doc.exe”。此可執行文件是REvil(Sodinokibi)勒索軟件，它將使用PowerShell執行以下WMI命令立即刪除受害者的卷影副本：

　　Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

　　然后它將繼續加密受害者的文件，并將隨機擴展名附加到任何加密的文件中。完成后，將在每個加密的文件夾中找到贖金記錄，其中包含有關如何訪問Sodinokibi Tor付款站點的說明，您可以在此處支付贖金。

　　Windows的默認設置是隱藏文件拓展名，攻擊者利用此設置，勒索軟件以可執行文件的形式發放，名稱為"DHL海關申報單.doc.exe“。由于Windows隱藏了擴展名，因此大多數用戶只會看到帶有Word圖標的“ DHL海關申報單.doc”，并認為它是Word文檔而不是可執行文件。為避免這種情況，建議用戶啟用顯示文件擴展名。

　　(天地和興安全研究院翻譯整理，參考來源：Bleeping Computer)

　　(二)臺灣當局誣稱大陸黑客攻擊臺大醫院

　　據臺媒27日報道，臺當局情報部門表示，臺大醫院電腦系統日前遭到大陸黑客攻擊，黑客進入系統內“逛了一圈”。由于該系統內有不少臺當局官員、VIP病患病歷資料，引起了臺“國安”單位高度關切。

　　臺軍方人士還煞有其事地稱，“近年來大陸網軍惡意攻擊臺軍醫院系統，應該是企圖竊取臺軍人就醫時的資料，同時與大陸掌握的臺灣軍方人員個人資料進行比對，正確掌握軍方人員身份后進行情報作為?！?/p>

　　不過，臺當局以及臺軍方這一說法，遭到臺大醫院打臉。臺大醫院發言人王亭貴27日晚間回應稱，“根本沒有這回事?！蓖跬べF表示，臺大醫院的防火墻每天都有黑客攻擊，但近日并未傳出有黑客攻入，甚至資料外泄事件，不知(臺當局)消息從何傳出。

　　對于臺當局情報部門捏造大陸黑客攻擊一事，有臺灣網友諷刺稱，“難道又要制造假新聞抹黑對岸、制造‘反共’意識形態了嗎?”

　　至于臺當局拿大陸對臺“網絡攻擊”的說法進行炒作，也不是第一次了。臺“中央社”曾援引英國《金融時報》報道稱，臺灣過去兩年遭受中國大陸嚴重網絡攻擊次數激增。島內綠營媒體也曾宣稱，臺軍方的軍網、民網長期遭到大陸網軍及不明對象的網絡攻擊。

　　而在其后舉行的國臺辦例行新聞發布會上，發言人馬曉光也被問及，有西方媒體頻繁炒作過去兩年臺灣遭受大陸網絡攻擊。馬曉光當時表示：這種報道毫無事實依據，不值得一駁。

　　(本文版權歸原作者所有，參考來源：新浪軍事)

　　(三)臺灣省將于11月與美國在內十多個國家舉行大規模網絡攻防演練風暴

　　美國在臺協會(AIT)臺北辦事處處長酈英杰9月16日透露，美國今年11月將首次與臺灣省(專題)共同舉行“網絡攻防演練”，并集合至少15個國家，共同演練應對來自北韓的網絡攻擊和針對金融系統的黑客活動等問題。

　　據臺灣媒體報道，酈英杰在出席臺灣省一個“人工智慧與資安講座”致辭時表示，網絡安全威脅可能影響產業、民主體制及電信網絡的未來。目前面對的最大威脅，不再是搶灘部隊，而是利用社會和網絡的開放性來顛覆民主的惡行者。緊接著，他提出了幾個可笑的觀念，大肆宣傳陰謀論。就像2016年俄羅斯企圖干預美國總統大選一樣，據可靠報告，外來影響力近期也對臺灣選舉進行干預。酈英杰還透露，美國一直在努力加深與臺灣的網絡合作，將協助臺灣省加入美國國土安全部的“自動指標分享系統”(Automated Indicator Sharing)，以便能更快速地分享網絡威脅指標。

　　緊接著，臺灣副總理陳其邁在22號實錘表示，臺灣省將在11月與美國進行的首次網絡攻防演習中測試其網絡防御能力。內閣負責信息安全的部門部長陳說，隨著針對政府的網絡攻擊的增加，該部門一直在定期進行網絡安全演習，以測試相關機構的準備情況和響應能力。作為應對這些威脅的持續努力的一部分，陳說，臺灣省和美國將在11月初舉行為期五天的網絡攻防演習。

　　陳說，這些演習將類似于“網絡風暴”演習，后者是美國國土安全部每兩年舉行一次的旨在增強公共和私營部門的網絡準備的演習。演習于2006年首次啟動，最后一次于去年春季舉行。

　　臺灣省即將進行的演習將分為兩部分，第一部分是測試政府人員和官員對網絡釣魚電子郵件或短信的反應，這是網絡攻擊的最常見形式。演習的第二部分將研究公共和私營部門對外國或本地發起的網絡攻擊的反應。網絡進攻和防御演習計劃將匯集來自15個國家的團隊，以應對來自朝鮮的模擬網絡威脅，目標是社會工程，關鍵基礎設施和金融機構。

　　對于朝鮮這點，作者認為這是美國在順便利用臺灣作為攻擊朝鮮的測試，畢竟朝鮮網絡攻擊美國不是一天兩天的事了。發言人稱不會透露這15個國家的名字，只是說這支隊伍是亞洲，歐洲和美洲。他們將以藍色(防御)和紅色(攻擊)來指定這支隊伍，其中臺灣省安全隊為藍色隊，其他15個國家為紅色隊。這種模擬攻擊將試圖入侵臺灣省官方政府網站，以測試當地網絡安全團隊保護其能力并應對此類攻擊的潛在后果。臺民間資安團隊也會參與其中，由「白帽黑客」(即「道德黑客」，以試探入侵電腦系統的方式提出安全建議)進攻政府與關鍵基礎設施。

　　偵測進攻路徑「止血」，攻防實兵演練將模擬朝鮮的網絡攻擊，以金融關鍵設施為目標，因此這次演練將複製實際的銀行、證交所、期交所等金融資料庫與防火牆，作為「紅軍」模擬攻擊目標。

　　「藍軍」則要偵測進攻路徑并防守，在目標被「紅軍」攻下的情況下則要演練如何「止血」，控制損害范圍。最后，發言人補充說，臺灣省希望首次網絡安全演習不僅可以為政府做好攻擊準備，而且可以幫助臺灣省和其他地區或國家組成一個聯合網絡安全網絡。

　　作者對美國同盟以及提示進行分析，大概認為這只隊伍涉及的國家可能為：五眼聯盟：美國，英國，加拿大，澳大利亞，新西蘭;亞洲：韓國，日本，越南，新加坡;歐洲統一戰線：荷蘭，法國，德國;中東：沙特阿拉伯，以色列，科威特。

　　從該新聞可看出，假想敵到底是誰，同時發出警告，我們需要同樣做好防護措施，并且美國在其中起著什么樣的作用，將來又會聯合中國省份采取什么樣的措施，務必加以研判。

　　(本文版權歸原作者所有，參考來源：黑鳥)

　　第二章海外關鍵信息基礎設施安全動態簡訊

　　(一)伊朗遭受大規模網絡攻擊，石油和金融設施癱瘓

　　根據俄羅斯衛星通訊社9月22日的最新報道稱，不久之前，美國國務卿蓬佩奧曾經宣布，目前白宮正在積極尋求與伊朗和平對話的途徑，他們希望與德黑蘭方面重新坐到談判桌前對話。此話一出，不少人甚至認為，美國已經對伊朗服軟了。

　　然而如今習慣出爾反爾的白宮，一天之后就把自己的這種言論拋之腦后，其一方面宣布要向霍爾木茲海峽地區調動大規模兵力，到今年年底之前，他們至少要在波斯灣部署50艘以上的軍艦;另一方面宣布對伊朗中央銀行進行制裁，凍結伊朗中央銀行在美國的全部資產，并且攛掇各種小弟緊跟隨其腳步。

　　就在德黑蘭方面還沒有制定好完善的反擊計劃的時候，伊朗當地時間9月22日晚，他們再度遭遇了一次大規模襲擊，整個伊朗的網絡系統遭遇了不明來源的大規模攻擊，其中重點攻擊目標在于伊朗的石油和金融設施，對此毫無準備的伊朗，受到了慘重損失。在短時間之內，其金融和石油設施迅速癱瘓，一切正常交易都無法進行下去。好在德黑蘭方面及時向俄羅斯請求援助，俄羅斯派遣了大量網絡戰專家遠程指揮伊朗網絡安全部門反擊，才度過了這一劫。

　　根據伊朗高層不愿透露姓名的官員表示，目前俄羅斯已經確定攻擊來源正是美國中央情報局。中情局希望用這種手段，讓伊朗暴露出自己的弱點，最終達到使得伊朗方面屈膝投降的目的。

　　事實上利用網絡發動大規模攻擊，美國人早已經不是第一次這么干了。早在1999年的科索沃戰爭中，美國就曾經率先攻擊前南聯盟的網絡系統。在后來的伊拉克戰爭，利比亞戰爭以及敘利 亞戰爭中都是如此。對此，有不少伊朗網絡安全部門的官員表示，這一天還是來了。伊朗已經宣布接下來將會在俄羅斯的幫助之下，完善伊朗的網絡防御系統，以免再度出現這種情況。

　　美國人這種對伊朗發動大規模網絡攻擊的做法，證明鷹派的思維在白宮中還占有相當重要的部分，雖說鷹派大佬博爾頓已經被美國首腦解除了職務，但是以萊特希澤和蓬佩奧為首的一票官僚還在相當程度地左右著白宮的政策。知情人士稱，白宮由于終于了武力打擊計劃，轉而采用網絡襲擊，這樣才能給鷹派一個交代。

　　(本文版權歸原作者所有，參考來源：工業互聯網安全應急響應中心)

　　(二)惡意軟件攻擊多地國防承包商至信息技術系統中斷

　　近日，惡意軟件攻擊了國防承包商Rheinmetall AG和Defence Construction Canada (DCC) 的信息技術系統至其中斷。

　　2019年9月24日晚，Rheinmetall AG受到了惡意軟件攻擊，至其信息技術系統中斷。德國萊茵金屬股份公司(German Rheinmetall AG)是軍事裝備和系統的全球最大供應商之一，其中裝甲戰車，坦克，彈藥和各種電子系統是全球最大的制造商之一。該公司位于巴西、墨西哥、和美國的工廠的IT基礎設施受到了惡意軟件攻擊。由于攻擊持續了數天，這些地點的正常生產流程遭受了重大破壞。其他地域的工廠的IT系統并未受到此攻擊的影響，該公司正在盡其所能，盡快解決受影響工廠造成的破壞，并盡可能快的將零部件產品發送給客戶。受攻擊影響，即使客戶期望在短期內立即獲得所有訂單，但中斷可能會持續兩到四個星期。根據該事件對其運營的估計影響，從第二周開始，該攻擊可能造成每周300萬至400萬歐元的損失。

　　2019年9月11日，網絡攻擊了DCC的信息技術系統，直到今天，其中一些問題仍然影響著該公司。DCC是一家為加拿大國防部提供基礎設施和環境項目的公司，包括承包、建筑承包管理、和相關的基礎設施服務。在調查了這次攻擊的原因和結果之后，DCC目前正在努力將受此事件影響的IT系統恢復到攻擊前的狀態。受此事件影響，DCC承擔的DND管理項目沒有任何延誤。所有該公司辦事處的日?；顒右捕紱]有中斷。

　　目前，尚無關于這兩個網絡攻擊或威脅參與者用來破壞兩個國防承包商IT系統的惡意軟件的更多詳細信息。

　　(天地和興安全研究院翻譯整理，參考來源：Bleeping Computer)

　　(三)空客遭受供應鏈攻擊，其供應商在過去一年內受到四次重大網絡攻擊

　　歐洲航空巨頭空中客車公司遭受了一系列的供應鏈攻擊，黑客針對其供應商發起了襲擊，試圖竊取機密技術文件。專家們懷疑這些攻擊是由與中國有聯系的黑客進行的。

　　在過去的12個月中，空客的供應商至少受到了四次重大打擊。該集團長期以來一直被認為是一個誘人的攻擊目標，因其擁有尖端技術使其成為了全球最大的民用飛機制造商和戰略軍事供應商之一。

　　2019年初，空中客車公司宣布遭受數據泄露，黑客入侵了該公司的“商用飛機業務”信息系統，并獲得了一些員工個人信息的訪問權限。據知情人士推測，入侵是去年進行的一項更大行動的一部分。

　　威脅組織針對的是英國發動機制造商羅爾斯·羅伊斯(Rolls-Royce)和法國技術咨詢公司及供應商Expleo。至少有兩家法國空客承包商遭到網絡攻擊。供應鏈攻擊非常危險，黑客經常試圖通過破壞其供應商的系統來達到目標。

　　(天地和興安全研究院翻譯整理，參考來源：Security Affairs)

　　(四)美空軍發布《網絡飛行計劃》 規劃未來十年網絡戰建設

　　為實施美空軍多域作戰愿景，繼2018年發布《情報、監視與偵察優勢飛行計劃》之后，美空軍副參謀長杰米森在空軍協會9月18日召開的“空、天、網”大會上透露，空軍正在制定一份《網絡飛行計劃》，并透露了該計劃的框架和部分信息。

　　《網絡飛行計劃》是一份高保密文件，包含三條工作主線和七大重點領域，明確了空軍未來十年的網絡資源、優先發展事項和投資方向，推動美空軍力量在網絡空間的投送?！熬W絡戰”是美空軍新提出的信息戰理論四大支柱之一，“信息戰”=“網絡戰+電磁戰+信息行動+ISR”。美空軍現已決定將第24和第25航空隊合并為第16航空隊，組建第一支信息戰航空隊。網絡飛行計劃中提出的新作戰計劃核心是以創造性的方式將上述四個支柱結合起來。為防備對手，美空軍將對該計劃的詳細信息保密，僅公開部分信息。

　?、偃龡l工作主線?；A能力：創建人才管理體系;開展敏捷性、模塊化的網絡戰訓練。戰備能力與殺傷力：發展進攻性/防御性網絡空間作戰能力;現代化士兵作戰能力。新興/顛覆性技術與發展機遇：采用開放式架構和靈活的數據開發方法，為戰斗賦予新的能力。

　?、谄邆€重點工作領域。美空軍網絡空間戰和作戰通信主管布萊德利·皮伯恩概述了該文件的七個重點工作領域?；锇殛P系：加強內部機構、跨部門機構以及學術機構間的伙伴關系，以形成統一、多邊的利益關系共同對抗網絡戰及電磁頻譜領域的威脅。情報、監視與偵察：尋求如何從多域作戰信息網絡中獲取情報，如何生成情報，并在試圖壓制敵方能力時為網絡戰提供信息。人力資本：發展可執行混合戰任務的人員，以與均勢對手競爭。新興的顛覆性技術：加速研發下一代基礎設施與平臺，創建數字戰略，充分利用人工智能等技術。進攻性網絡作戰：擴大網絡防御能力，發展進攻性網絡防御力量，與合作伙伴共同應對威脅。防御性網絡作戰：投資創新及巔峰性技術，賦予美空軍在網絡空間作戰域及全作戰域對抗威脅的能力。作戰人員通信：提供全球性范圍內可靠的、彈性通信能力。

　　美空軍空戰司令部司令霍爾姆斯9月18日宣布，空軍已確定正式創建新的信息戰司令部，命名為第16航空隊，由空軍負責網絡作戰的第24航空隊與負責全球情報監視與偵察的第25航空隊合并而來，并提名三星中將蒂莫西·霍出任司令。第16航空隊將統管空軍網絡、電磁頻譜作戰、情報監視與偵察及信息作戰，在蒂莫西·霍的司令提名獲得參議院批準后正式啟動。

　　(本文版權歸原作者所有，參考來源：國防科技要聞)

　　(五)美國懷俄明州醫院遭受勒索軟件攻擊導致服務中斷

　　2019年9月20日，位于美國懷俄明州吉列特市坎貝爾縣紀念醫院因為坎貝爾縣衛生局的計算機系統受到勒索軟件攻擊導致醫院服務持續中斷。這次襲擊迫使醫院取消了一些手術，并取消了門診實驗室，呼吸治療和放射學檢查和程序以及新的住院病人。

　　坎貝爾縣衛生局一直是勒索軟件攻擊的受害者，所有CCH計算機系統都受到了影響，這影響了該組織提供病人護理的能力。該組織首次宣布這一事件時說，將對急診科和步入式診所就診的患者進行分類，并在需要時轉移到適當的護理機構。如果該醫院無法提供安全的護理，他們正在與地區機構合作，將患者轉移至其他醫院。目前急診室是開放的，并配備了專家醫生和護理專家團隊，以評估和評估患者的護理需求。

　　該醫院很快就確定了該破壞是由勒索軟件引起的，勒索軟件是一種旨在加密用戶文件并阻止對其進行訪問或感染系統的惡意軟件。衛生局聲稱，這次攻擊未訪問患者和員工的數據?？藏悹柨h衛生局在發現襲擊事件后立即與有關當局聯系，但對此事的調查仍在繼續。目前，尚無證據表明已訪問或濫用了任何患者數據。調查正在進行中，坎貝爾縣衛生局正在努力恢復對服務的完全訪問權限。

　　截至2019年9月22日，急診醫療服務(EMS)，急診科，產婦(OB)部門和步入式診所均已開放，但醫院繼續建議患者提前致電以確認預約。然而，該醫院仍取消或改期服務，包括手術，呼吸治療，心臟康復，放射學及其他多項服務。該醫院大多數服務都是開放的。

　　(天地和興安全研究院翻譯整理，參考來源：Security Week)

　　(六)DDoS攻擊導致南非ISP整日癱瘓

　　2019年9月21日至22日，一位神秘的攻擊者使用地毯式轟炸的DDoS技術攻擊了一家南非的互聯網提供商(ISP)，導致這家南非最大的ISP之一Cool Ideas關閉。從開放源代碼報告工具可以看出，在DDoS期間，攻擊者成功地設法切斷了Cool Ideas與其他ISP的外部連接。由于受到這種攻擊，Cool Ideas的客戶在訪問國際服務或打開網站時都遇到了“間歇性連接丟失和性能降低”的問題。

　　Cool Ideas的聯合創始人Paul Butschi 告訴當地新聞媒體，攻擊者密切關注他們如何處理攻擊，還會對緩解措施做出相應反應。一旦Cool Ideas設法緩解第一次DDoS攻擊浪潮，并慢慢恢復服務，幾分鐘之內攻擊者就會發起另一次DDoS攻擊，再次破壞了ISP的系統。到目前為止，這家倒霉的ISP一共遭遇了四次攻擊。

　　攻擊Cool Ideas的所有攻擊都是利用DNS和CLDAP協議的所謂DDoS放大攻擊。黑客將垃圾流量發送到未打補丁的DNS和CLDAP服務器，利用開放式DNS解析器的功能,以便使用更大的流量壓倒目標服務器或網絡。但是，值得注意的是黑客并未在攻擊了Cool Ideas網絡中的關鍵服務器之后進行經典的DDoS攻擊。反而使用了一種稱為地毯轟炸的技術，將垃圾DDoS流量發送到Cool Ideas網絡中的隨機IP地址。在地毯式轟炸中，Cool Ideas網絡上的

　　每個客戶都收到了一些垃圾流量。垃圾流量不足以破壞每個客戶的連接;但是，它的大小足以破壞Cool Ideas的網絡邊緣服務器，該服務器癱瘓了，最終也導致ISP的外部連接中斷。也許有人會想為什么攻擊者一開始就沒有直接針對Cool Ideas的邊緣服務器。原因很簡單——因為這些系統受到DDoS緩解解決方案的保護，并且會在垃圾流量造成任何實質性的破壞之前洞沉所有垃圾流量。通過將DDoS攻擊針對Cool Ideas IP地址池中的隨機IP，DDoS緩解系統沒有看到針對特定目標的DDoS攻擊，而是看到大量流量流向數以千計的ISP客戶。隨著DDoS流量的增長，邊緣路由器逐漸不堪重負，最終崩潰，而DDoS緩解解決方案始終未能檢測到任何攻擊。

　　地毯式轟炸主要針對ISP，通常不會在其它任何地方使用。另外，雖然一般都認為攻擊整個互聯網服務提供商很難，但現實是這些攻擊經常發生。去年，一名利比里亞互聯網服務提供商起訴一家競爭對手公司及其兩名高管雇用一名黑客，以對其基礎設施發起DDoS攻擊。攻擊僅導致Lonestar的移動網絡無法處理所有傳入的流量，而且還堵塞了連接利比里亞和其他互聯網的海底通信電纜，同時降低了其他電信公司的服務。

　　(本文版權歸原作者所有，參考來源：MottoIN)

　　(七)朝鮮黑客開發出針對印度ATM系統惡意軟件

　　朝鮮黑客已經開發出一種新型惡意軟件，該惡意軟件可植入ATM系統，并用于記錄和竊取插入機器中的支付卡中的數據。

　　卡巴斯基專家在今天發布的一份報告中說，自2018年夏末以來，這種名為ATMDtrack的新惡意軟件已在印度銀行網絡中發現。目前最新的攻擊還針對印度研究中心，提供了功能更強大和擴展性更高的同一惡意軟件版本，名為DTrack，該惡意軟件專注于間諜和數據盜竊，而不是金融犯罪，并且具有遠程訪問特洛伊木馬(RAT)中通常具有的功能。

　　卡巴斯基研究人員說，他們共同追蹤的這兩種惡意軟件版本都來自DTrack家庭，與”“黑暗首爾行動“中使用的惡意軟件有很多相似之處，其中”“黑暗首爾行動”指的是2013年攻擊韓國的一系列惡意活動。

　　這些攻擊歸因于拉撒路集團(Lazarus Group)，這是一家受朝鮮政府追捧的知名網絡間諜組織。Lazarus Group是十天前被美國財政部制裁的三個朝鮮黑客組織之一，原因是它們策劃了對銀行，ATM網絡，賭博網站，在線賭場和加密貨幣交易所的網絡攻擊，以從合法企業中竊取資金并為該國的武器和導彈計劃籌集資金。換句話說，發現ATMDTrack惡意軟件菌株可以支持并證明美國財政部批準制裁與該組織相關的任何實體的決定，并使其符合Lazarus的正常運作模式。此外，DTrack似乎是Lazarus Group的最新作品之一?？ò退够状尾渴鹩?018年夏末，并表示最新樣本在2019年9月這個月就活躍了。據悉，最新的DTrack示例可以執行以下惡意操作：鍵盤記錄;檢索瀏覽器歷史記錄;收集主機IP地址，有關可用網絡和活動連接的信息;列出正在運行的進程 ;列出所有可用磁盤卷上的文件。

　　根據目前可獲得的信息，尚不清楚DTrack是否從ATMDTrack演變而來，還是ATMDTrack是從主要DTrack開發而來，當時朝鮮黑客去年設法突破了印度的后盾，并需要專門的工具來瞄準ATM設備。

　　(天地和興安全研究院翻譯整理，參考來源：ZDNet)

　　(八)俄羅斯組織Fancy Bear用新后門攻擊政治目標

　　斯洛伐克安全軟件公ESET的研究人員發現了與俄羅斯有關聯的APT組織“Fancy Bear”(也稱APT28、Sednit、Sofacy、Zebrocy和Strontium)針對政治目標發起了攻擊。

　　在最近的攻擊中，黑客使用了一組新的惡意載荷，包括使用新語言編寫的后門。該組織至少自2007年就開始活躍，攻擊世界各地的政府、軍方和安全機構，該組織還參與了針對2016年美國總統大選的攻擊。

　　在ESET發表的分析報告中稱，“2019年，該組織針對東歐和中亞國家的使館和外交部發起了新的攻擊活動。其在工具集中添加了一種新針對下載者的開發語言：Nim語言。開發人員改進了Golang語言下載器，還將后門從Delphi重寫為Golang”。威脅分子使用包含惡意附件的釣魚郵件，附件需要一長串下載，最后以后門結尾。

　　網絡釣魚信息帶有空白附件，引用一個托管在Dropbox上的遠程模板wordData.dotm。一旦受害者在Word上打開了該文件，其便會觸發下載wordData.dotm，并將其合并到關聯文檔的工作環境中，包括模板可能包含的任何活動內容。wordData.dotm文件包含惡意宏，然后會被執行(根據Microsoft Word版本的不同，默認情況下會禁用VBA宏，需要用戶啟用。)，還包含一個嵌入式ZIP歸檔文件，可以由宏來刪除和提取。

　　攻擊涉及多個不同語言的下載器，其中一個就是新編寫的Nim語言，是一個靜態類型編譯系統編程語言，結合了Python、Ada和Modula這些語言的優點。相較于Golang下載器而言，用Nim語言所寫的下載器的數據收集能力很輕量。

　　該組織曾在8月首次使用Golang下載器編寫的后門，該惡意軟件與之前攻擊中的DelPhi后門類似。專家在攻擊鏈中抓取了六種其他模型才最終獲取了Golang后門。該惡意軟件能從感染機器上竊取敏感數據，并在感染的前幾分鐘內每35秒截一次屏。這個后門還能安裝額外的負載。

　　該組織似乎想通過使用其他語言來繞過檢測，這樣就不用更換其原有的戰術、技術和程序了。最初的感染矢量依舊沒變，但所使用的像Dropbox這樣的服務來進行遠程模板下載對該組織來說并不常見。

　　(天地和興安全研究院翻譯整理，參考來源：Security Affairs)

　　(九)Cisco Talos 發現針對美國退伍軍人的定向攻擊

　　思科塔羅斯(Cisco Talos)最近發現了一個威脅組織，試圖利用可能正在尋找工作的美國人，特別是退伍軍人。這個威脅組織先前被賽門鐵克(Symantec)稱為Tortoiseshell，他部署了一個名為hxxp：// hiremilitaryheroes [。] com的網站，該網站是一個旨在幫助美國退伍軍人找到工作的網站。該網址非常接近美國商會(https://www.hiringourheroes.org)的合法網站。該網站提示用戶下載一個應用程序，該應用程序實際上是一個惡意軟件下載器，并部署了惡意間諜工具和其他惡意軟件。這只是Tortoiseshell的最新動作。先前的研究表明，該組織是沙特阿拉伯一家IT提供商的攻擊者的幕后黑手。在Talos跟蹤的這次活動中，Tortoiseshell使用了與過去相同的后門程序，這表明他們依賴某些相同的戰術，技術和程序(TTP)。該網站僅由三個鏈接組成，可免費下載桌面應用程序。該應用程序是偽造的安裝程序，希望美軍退伍軍人可以下載并安裝該應用程序，以期獲得工作機會。該應用程序僅在用戶系統上

　　安裝惡意軟件，并顯示錯誤消息，表明安裝失敗。

　　在后臺，該惡意軟件繼續在受害者的計算機上運行，收集有關系統技術規格的信息，并將數據發送到攻擊者控制的Gmail收件箱。惡意軟件收集的數據類型包括以下信息：系統，補丁程序級別，處理器數量，網絡配置，硬件，固件版本，域控制器，管理員名稱，帳戶列表，日期，時間，驅動程序等。

　　DHS網絡安全分析師表示：黑客不是針對退伍軍人，而是針對即將成為退伍軍人的現役軍人。他們的目標是在服務結束時為現役軍人尋找工作?！昂诳拖Ｍ麄兊哪繕酥豢梢允褂肈OD系統下載并運行惡意軟件?！?/p>

　　(天地和興安全研究院翻譯整理，參考來源：ZDNet)