目 錄

　　第一章 國外關鍵信息基礎設施安全動態

　　(一)工業控制器仍然容易受到Stuxnet攻擊

　　(二)醫療和軍事承包商Kimchuk遭受DoppelPaymer勒索軟件攻擊

　　(三)威脅組織Silence和TA505攻擊至少兩家歐洲制藥和制造業公司

　　(四)研究新冠病毒的生物技術公司10x Genomics遭受勒索軟件攻擊

　　(五)勒索軟件Ryuk仍然以醫療機構作為攻擊目標

　　(六)FBI警告惡意軟件Kwampirs正針對醫療機構進行攻擊

　　(七)微軟針對醫院發出警告 盡快修復易受攻擊的VPN設備

　　(八)最賺錢的勒索軟件Dharma的源代碼在黑客論壇上出售

　　(九)網絡罪犯分子將Zoom域名作為攻擊目標

　　(十)谷歌最新分析報告顯示去年有國家背景的攻擊數量有所下降

　　(十一)黑客利用雷克薩斯和豐田汽車中的漏洞發起遠程攻擊

　　(十二)網絡保險公司Chubb遭受勒索軟件Maze攻擊

　　(十三)新型惡意軟件通過覆蓋MBR使設備無法使用

　　(十四)朝鮮黑客Geumseong121重啟間諜活動

　　(十五)在黑客論壇上泄露了490萬格魯吉亞個人信息

      第一章 國外關鍵信息基礎設施安全動態

　　(一)工業控制器仍然容易受到Stuxnet攻擊

　　近日，研究人員表明，黑客可以對Schneider Electric的Modicon可編程邏輯控制器(PLC)發起Stuxnet式攻擊，但同時，其他供應商的產品也可能會遭受相同類型的攻擊。

　　美國和以色列用來破壞伊朗核計劃的著名的Stuxnet惡意軟件旨在針對西門子制造的SIMATIC S7-300和S7-400 PLC。Stuxnet通過濫用Siemens STEP7軟件將惡意代碼加載到目標PLC上。Stuxnet替換了一個名為s7otbxdx.dll的庫， STEP7使用該庫訪問了PLC，而惡意版本使用一種名為反射DLL加載方法的惡意版本，從內存中加載DLL。這使攻擊者可以將其惡意代碼注入目標控制器。

　　Airbus網絡安全公司的研究人員分析了施耐德電氣的Modicon M340 PLC，以確定它是否容易受到類似攻擊。該攻擊通過施耐德的EcoStruxure Control Expert工程軟件(以前稱為Unity Pro)針對控制器。他們的分析發現了一個漏洞，可以利用該漏洞將惡意代碼上傳到 Modicon M340和M580 PLC，方法是替換與工程軟件相關的一個 DLL 文件。這種攻擊可能會造成嚴重后果，包括制造過程的中斷或其他類型的損壞?？湛桶踩芯咳藛T表示，“從IT角度來看，攻擊者可以將PLC轉變為代理服務器。這將使攻擊者能夠發送請求，并與PLC連接的網絡進行通信。例如，攻擊者可以訪問企業內部網絡、竊取知識產權或者發動攻擊、攻擊其他相關系統?！?/span>

　　專家們還指出，一旦利用了漏洞并加載了惡意代碼，攻擊者就可以通過Internet來繼續控制已受入侵的設備，而無需訪問企業網絡。合法的自動化軟件將在不顯示任何嵌入惡意程序跡象的情況下運行。惡意部分將通過互聯網定期將請求發送到攻擊者控制的命令和控制服務器。

　　盡管此類攻擊可能會造成嚴重破壞或破壞性，或者可能使攻擊者受益，但利用此漏洞并非易事。黑客首先需要訪問目標組織的ICS外圍，并能夠與目標PLC進行通信?？湛桶踩芯咳藛T表示，“這已經是非常重要的操作，可能涉及通過多臺計算機獲得特權訪問。如果攻擊者達到了這一點，則多種安全防御措施要么沒有到位，要么已經失敗了，”

　　然后，攻擊者需要從PLC下載自動化程序。這可以從受損的工程工作站完成，或者如果網絡上的任何機器都可以訪問PLC而無需身份驗證，則可以做到這一點。然后，攻擊者必須使用空客研究人員描述的技術重新編譯自動化程序，并創建一個惡意程序，然后將其嵌入到合法的自動化軟件中。最后，攻擊者需要將修改后的程序上傳到PLC并運行，但這需要停止并啟動自動化軟件，專家表示這一操作可能會被注意到。

　　另一方面，研究人員表示：“從現在開始，攻擊者可以設計和編譯任何給定的程序，并將其通過C&C服務器發送。PLC上的DownloadExec程序將即時下載并執行它(無需執行停止/啟動序列)?！?/span>

　　空客研究人員在施耐德電氣產品中發現的漏洞被追蹤為CVE-2020-7475，并被歸類為高危。該公司已為其修補了適用于EcoStruxure Control Expert的修補程序以及針對Modicon M340和M580控制器的固件更新。供應商已經提供了分步說明來解決該缺陷。然而，Schneider也指出，盡管沒有指出供應商的名字，但這些類型的漏洞也影響其他供應商的產品。

　　施耐德電氣代表表示，“空客研究旨在證明在某些情況下，例如當攻擊者已經侵入工程工作站或未經授權訪問目標控制器時，對工業控制器上執行非常特定類型的網絡攻擊(Reflective DLL)的理論可能性。這項研究的目的是幫助空客網絡安全總體上保護其運營技術和工業資產。通過我們與他們的合作，我們的共同發現表明，盡管發現的漏洞影響施耐德電氣公司提供的產品，但它同樣會影響許多其他供應商和全球工業自動化市場，特別是當考慮到空客網絡安全公司所展示的攻擊技術的基線假設時。在一定條件下，假設攻擊者可以訪問網絡，來自幾種不同的工業控制供應商的許多設備也同樣容易受到這種類型的網絡攻擊?！?/span>

　　施耐德電氣和空客表示，他們鼓勵所有工業公司確保在其整個運營和供應鏈中實施網絡安全最佳實踐，以努力降低遭受攻擊的風險。施耐德表示，“在適當情況下，這包括將工業系統和可遠程訪問的設備安裝在防火墻后面;安裝物理控件以防止未經授權的訪問;防止從外部網絡訪問關鍵任務系統和設備;系統地應用安全補丁和激活防病毒軟件;以及應用列入白名單的解決方案?！?/span>

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek https://dwz.cn/kaqMkHl7

　　(二)醫療和軍事承包商Kimchuk遭受DoppelPaymer勒索軟件攻擊

　　近日，美國醫療和軍事電子產品制造商Kimchuk遭受了數據竊取勒索軟件DoppelPaymer攻擊。該企業總部位于美國康涅狄格州丹伯里市，生產醫療設備、電信系統和能源網格的電子產品，還為海軍制造核模塊，這項工作通常需要安全檢查。

　　在本月早些時候，DoppelPaymer感染了該公司的系統，并使其下線。DoppelPaymer是一種新型勒索軟件，可以在加密用戶文件之前將數據從受感染的網絡中滲出。如果受害者沒有支付贖金來解密文件，DoppelPaymer將公開受害者網絡中的內容。

　　Kimchuk并沒有支付贖金，所以該黑客公開了Kimchuk網絡上的部分內容。這些被公開的文件包括公司的工資記錄和經紀人批準和采購訂單。這些文件均未包含機密信息，但是有幾份文件包含了一個客戶核能部門的訂單詳細信息。

　　勒索攻擊發生的時間還不清楚。但被盜文件目錄的屏幕快照顯示最新的文件日期為3月5日，這表明攻擊發生在那個日期前后。

　　TechCrunch發郵件詢問Kimchuk的首席執行官吉姆·馬奎斯關于該事件的相關信息。馬奎斯在轉發該郵件至相關人員的同時也不小心發送給了TechCrunch。馬奎斯指示其人力資源和運營負責人不要回復TechCrunch的電子郵件或問題?！叭绻麍猿窒氯?，就說無可奉告。他是怎么知道的?”

　　Kimchuk是受到DoppelPaymer勒索軟件攻擊的最新公司。本月初，國防承包商和零件制造商維瑟Visser(特斯拉和SpaceX為其客戶)也受到DoppelPaymer的打擊，并在該公司拒絕支付贖金后在線發布了文件。

　　安全公司Emsisoft的威脅分析師和勒索軟件專家Brett Callow表示，DoppelPaymer勒索軟件組自去年年中以來一直活躍，它從其他數據竊取勒索軟件(如Maze)中汲取了靈感。但Callow表示，與Maze不同，DoppelPaymer的勒索信件并不會表明數據已被盜。相反，只有在公司訪問勒索軟件的網站進行付款時才泄漏。Callow表示：“勒索軟件事件應被視為數據泄露，直到可以確定數據沒有被泄漏為止?！?/span>

　　天地和興工控安全研究院編譯，參考來源：techcrunch https://dwz.cn/E9T7B0Hf

　　(三)威脅組織Silence和TA505攻擊至少兩家歐洲制藥和制造業公司

　　近日，GroupIB的研究人員發現疑似俄羅斯威脅組織Silence和TA505在1月下旬使用惡意軟件攻擊了至少兩家歐洲制藥和制造業公司。TA505過去曾對銀行、醫療機構零售商和其他企業進行過攻擊，而Silence的常規攻擊目標為銀行和金融機構，如果安全研究人員正確的話，這標志著Silence首次發動對制藥公司和制造公司的攻擊，并可能表明其作案手法發生了重大變化。

　　這些攻擊中使用的第一個惡意軟件樣本于2月2日在VirusTotal掃描平臺上出現，標識為Silence.ProxyBot和Silence.MainModule的更新版本。這兩個樣本都與Silence有關，該組織于2016年開始針對前蘇聯的銀行，后來將攻擊范圍擴大到全球。通過查看惡意軟件樣本，Group-IB的研究人員確定了比利時和德國的至少兩名受害者，他們都收到了如何阻止攻擊者的必要信息。分析顯示兩個IP地址用于命令和控制活動。一個來自捷克共和國(195.123.246 [。] 126-自一月下旬開始生效)，另一個來自丹麥(37.120.145 [。] 253);都沒有惡意跟蹤的歷史記錄，沒有被多個安全服務標記為干凈的記錄。檢查網絡犯罪基礎設施顯示，攻擊者利用了Windows 10中的兩個漏洞(CVE-2019-1405 和CVE-2019-1322)及更低的漏洞，允許本地權限提升。該漏洞利用程序被嵌入名為comahawk.exe的可執行文件中。在研究人員找到了與該對手過去相關的TinyMet Meterpreter登臺機之后，并使用該組織的定制包裝機對其進行壓縮，從而使TA505在攻擊中可見。

　　Silence和TA505之間的聯系不是新發現的。Group-IB?在2019年報告說，這兩個組織可能使用了由同一個人開發的工具(Silence.Downloader和FlawedAmmyy.Downloader)。此外，GroupIB的事件響應團隊在2019年末發現，Silent在TA505的幫助下入侵了歐洲至少一家銀行，后者提供了對目標網絡的訪問權限。

　　對于擅長破壞銀行和金融組織的Silence來說，從銀行和金融機構轉移到制藥和制造公司是一個奇怪的舉動。由于研究人員發現了用于橫向移動的工具，攻擊者如何攻擊最新的目標以及造成的損害目前還不得而知。GroupIB動態惡意軟件分析小組負責人Rustam Mirkasymov表示，攻擊的目的可能是勒索軟件感染或復雜的供應鏈攻擊。TA505在過去使用過的勒索軟件包括Locky,、Rapid、和Clop。但是，由于入侵是在中間階段停止的，因此無法確定這些最近情況下的最終有效載荷。專家以中等信心認定Silence是這些活動的幕后攻擊者，盡管他不排除該組織的工具被出售給另一威脅組織或被TA505借用的可能性。

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer https://dwz.cn/rWiUvMwP

　　(四)研究新冠病毒的生物技術公司10x Genomics遭受勒索軟件攻擊

　　4月1日，美國加利福尼亞州生物技術公司10x Genomics披露其在3月份遭受了勒索軟件攻擊。該公司隔離了攻擊源，并恢復了正常運行，該攻擊對公司的數據訪問和日常運營沒有影響。在外部專家的協助下，該公司正在對攻擊事件進行調查，并且還將與執法人員合作進行刑事調查。

　　該公司是國際聯盟的一部分，該聯盟正在對從新冠病毒恢復的患者的細胞進行測序，以了解該疾病的可能治療方法。

　　10x Genomics 發言人在一份聲明中表示：“當我們的產品被世界各地的研究人員廣泛使用以理解和對抗新型冠狀病毒時，我們遭受了攻擊，這尤其令人失望?！边@次襲擊的確切細節尚不清楚。

　　以色列安全公司Under Breach 3月13日報道，使用REvil / Sodinokibi勒索軟件的攻擊者聲稱從10x Genomics中竊取了1TB數據。為了證明其真實性，黑客發布了一個樣本文件，其中包含公司用戶名、員工數據庫、內部密碼策略和域信息。

　　天地和興工控安全研究院編譯，參考來源：cyberscoop https://dwz.cn/I43MjwwB

　　(五)勒索軟件Ryuk仍然以醫療機構作為攻擊目標

　　盡管在冠狀病毒大流行期間，有一些醫療機構不堪重負，但勒索Ryuk的運營者仍將攻擊目標對準醫療機構。

　　Sophos的PeterM在推特上表示，美國醫療保健提供者在一夜之間受到Ryuk的攻擊和加密。當被問及是否有任何可以共享的妥協指標(IOC)時，他說這與其他Ryuk攻擊一樣。PeterM表示：“目前看來，這是一次典型的Ryuk攻擊，他們使用PsExec部署了勒索軟件?！?/span>

　　SentinelOne研究部門主管Vitali Kremez在過去一個月發現了Ryuk攻擊了10個醫療機構。在這十個目標中，有兩個是獨立醫院，另一個是由美國9家醫院組成的醫療網絡。Kremez表示，“不僅他們的醫療機構目標沒有停止，而且在病毒全球大流行期間我們還看到了利用醫療保健組織的持續趨勢。盡管一些勒索組織至少承認或參與了制止醫療勒索的討論，但Ryuk經營者仍然保持沉默，在我們呼吁停止的情況下，繼續默默地攻擊醫療目標?！?其中一家被攻擊的醫院目前處于受到冠狀病毒嚴重影響的州。

　　任何時候，對醫院數據進行加密不僅會影響醫生開展工作的能力，還會影響患者的生死存亡。在醫療專業人員與世界各地打交道的所有事情中，所有人，包括勒索軟件參與者，都應該給他們提供完成工作的空間，而不是阻礙他們進行工作。

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer https://dwz.cn/EsuNlhuq

　　(六)FBI警告惡意軟件Kwampirs正針對醫療機構進行攻擊

　　3月30日，美國FBI發出警告，針對全球行業的正在進行的網絡供應鏈運動中使用的Kwampirs惡意軟件。Kwampirs(又名Orangeworm)攻擊組織持續以全球醫療機構為目標，攻擊目標包括大型跨國醫療保健公司和當地醫院組織。

　　FBI評估Kwampirs參與者通過供應商軟件供應鏈和硬件產品進入了許多全球醫院。受感染的軟件供應鏈供應商包括用于管理醫院工業控制系統(ICS)資產的產品。

　　這是自今年年初以來，聯邦調查局第三次向私營企業發出通知，涉及該組織的活動及其使用的模塊化的Kwampirs RAT。

　　根據FBI警報：

　　? 攻擊組首先在目標網絡上建立廣泛持久的存在，然后發送并執行Kwampir RAT和其他惡意負載

　　? Kwampirs參與者成功地并在受害者網絡上持續存在了3至36個月

　　? Kwampir RAT是模塊化的，根據目標的不同，放置不同的模塊。但似乎威脅者的主要目標是網絡間諜活動

　　? 重要的入侵載體包括：在并購期間公司網絡之間的橫向移動;在軟件共同開發過程中，惡意軟件通過共享資源和面向Internet的資源在實體之間傳遞;以及軟件供應鏈供應商在客戶/企業局域網或客戶/企業云基礎設施上安裝受感染的設備。

　　Kwampirs的活動參與者已經瞄準了成像行業的公司，包括網絡掃描儀和復印機類型的設備，這些設備可以通過域訪問客戶網絡。FBI評估這些影像供應商的目標是獲得客戶網絡的訪問權，包括遠程或云管理訪問，這可能允許CNE在受害網絡內橫向移動。

　　雖然Kwampirs威脅行為者被認為是一種APT，但目前尚不清楚它們是否得到國家支持。該組織不追求PII，也不想為了贖金而破壞或加密數據，盡管據FBI稱Kwampirs RAT與Shamoon /Disstruck wiper之間存在一些基于代碼的相似之處。該組織還沒有將其目標鎖定在醫療保健和軟件供應鏈組織。在較小程度上，他們攻擊的是能源和工程行業的公司，以及遍布美國、歐洲、亞洲和中東的金融機構和知名律師事務所。

　　該FBI警告提供了在感染之前加入網絡安全和防御措施的最佳實踐，建議采取感染后的措施，并確定了殘存的Kwampirs RAT宿主工件，這些工件可以幫助公司確定他們是否是受害者。此外，FBI還發布了兩篇Flash警報，提供了用于識別Kwampirs惡意軟件的危害指標和YARA規則。

　　SANS ISC處理程序以及SANS技術研究所研究主任Johannes Ullrich指出，作為來自可信供應商的軟件更新的一部分，Kwampirs可能會在未被發現的情況下進入一個組織的網絡?！胺磹阂廛浖鉀Q方案將檢測到以前的版本。但不要過于信任反惡意軟件，以至于無法檢測到可能針對你的組織定制的下一個版本?！?/span>

　　天地和興工控安全研究院編譯，參考來源：HelpNetSecurity https://dwz.cn/ggURCKJV

　　(七)微軟針對醫院發出警告 盡快修復易受攻擊的VPN設備

　　近日微軟表示，在發現一個勒索軟件組織以醫院為目標后，他們已經向數十家醫院發出了首次針對性警告，警告虛擬專用網絡(VPN)設備中存在漏洞。

　　該警告是在最近發現伊朗黑客針對 Pulse 服務器、Palo Alto Networks、Fortinet和Citrix的VPN服務器中的漏洞之后發布的。

　　如今，隨著 covid-19冠狀病毒疫情的全面爆發，企業比以往任何時候都更加依賴VPN服務器來支持遠程員工，這使得他們成為勒索軟件攻擊者攻擊的軟肋，尤其是那些在資源緊張的醫院工作的人。

　　盡管國土安全部網絡安全和基礎架構安全局(DHS CISA)上個月警告所有組織對VPN服務進行補丁，但Microsoft特別擔心，由于沒有補丁的VPN服務器，醫院容易受到人為勒索軟件的攻擊。

　　微軟威脅防護情報團隊在新帖子中透露，通過微軟龐大的威脅情報來源網絡，我們確定了數十家醫院的基礎設施中存在易受攻擊的網關和VPN設備。為了幫助這些醫院，我們發出了第一份有針對性的通知，提供了有關漏洞的重要信息。該警報包含有關攻擊者如何利用這些漏洞的信息，以及“強烈”警告，表明受影響的醫院需要應用安全更新，以保護他們免受攻擊。

　　微軟團隊一直在追蹤的一個組織是REvil，又名Sodinokibi勒索軟件團伙，以向企業和政府機構索要巨額贖金而聞名。一月份，它被發現針對未打補丁的Pulse Secure VPN以及企業Citrix服務器中的漏洞。

　　微軟團隊表示：“我們關于勒索軟件活動的情報顯示，REvil去年使用的惡意軟件基礎設施與最近的VPN攻擊所使用的基礎設施之間存在重疊?！崩账鬈浖F伙尚未開發出新的攻擊技術，而是將國家支持的攻擊策略重新用于新的攻擊，利用了當前冠狀病毒危機中對信息日益增長的需求。 “在這些新的攻擊中，我們還沒有看到技術上的創新，只是為適應人們的恐懼和對信息的迫切需求而量身定制的社會工程策略?！?/span>

　　盡管只是復制了其他攻擊者的技術，微軟警告說，REvil和其他人為操縱的勒索軟件團伙對商業勒索軟件活動構成了巨大威脅，部分原因是他們由非常熟悉系統管理和常見網絡安全錯誤配置的IT專業人員運營，而這些錯誤配置通常不會被視為緊急修復。 微軟表示：“一旦攻擊者滲透到網絡中，他們就會進行徹底的偵察，并根據他們在網絡中發現的安全漏洞和易受攻擊的服務，調整權限提升和橫向移動活動?！?/span>

　　微軟對醫院和其他組織的建議是遵循三個關鍵步驟來保護VPN服務免受攻擊：

　　? 為VPN和防火墻配置應用所有可用的安全更新。

　　? 監視并特別注意您的遠程訪問基礎結構。來自以下位置的任何檢測。

　　應立即調查事件日志中發現的安全產品或異常情況。如果出現漏洞，請確保這些設備上使用的任何帳戶都重置了密碼，因為憑據可能已被泄露。

　　? 啟用減少攻擊面的規則，包括阻止憑證盜竊和勒索軟件活動的規則。要解決通過武器化Office文檔啟動的惡意活動，請使用規則來阻止由Office應用程序啟動的高級宏活動、可執行內容、進程創建和進程注入的規則。要評估這些規則的影響，請在審核模式下部署。

　　天地和興工控安全研究院編譯，參考來源：zdnet https://dwz.cn/R5ZlcdmU

　　(八)最賺錢的勒索軟件Dharma的源代碼在黑客論壇上出售

　　上周末，最賺錢的和最先進的勒索軟件Dharma的源代碼正在兩個俄羅斯的黑客論壇上出售，源代碼的售價低至2,000美元。出售Dharma勒索軟件代碼很可能會導致其最終泄露到公共互聯網上，并泄露給更廣泛的受眾。反過來，這又會導致多個網絡犯罪集團之間更廣泛的擴散，并最終導致攻擊激增。

 

      FBI在今年RSA安全會議演講中，將Dharma列為近年來第二賺錢最多的勒索軟件，在2016年11月至2019年11月之間，向受害者勒索了超過2400萬美元。

　　多名勒索軟件專家表示，出售Dharma勒索軟件代碼很可能會導致其最終泄露到公共互聯網上，并泄露給更廣泛的受眾。反過來，這又會導致多個網絡犯罪集團之間更廣泛的擴散，并最終導致攻擊激增。

　　大家都很擔心的原因是Dharma是由資深的惡意軟件作者創建的高級勒索軟件，它的加密方案非常先進，自2017年以來一直無法解密。該勒索軟件唯一一次被解密是因為未知人員泄露了主解密密鑰，并不是因為存在加密缺陷。

　　Dharma勒索軟件操作歷史悠久且曲折，最初于2016年夏天以名稱CrySiS開始，CrySis是所謂的勒索軟件即服務(RaaS)操作。CrySiS作者創建了一項服務，客戶(其他犯罪團伙)可以生成自己的版本的勒索軟件以分發給受害者，通常通過垃圾郵件活動、漏洞利用工具包或對RDP端點的暴力攻擊進行分發。

　　在2016年11月有人在網上泄露了CrySiS主解密密鑰后，兩周后CrySiS RaaS以Dharma的名義重新啟動。雖然一些Dharma主解密密鑰也于2017年3月在網上泄露，但Dharma運營商這次并未重塑品牌，而是繼續不受干擾地運行，將其RaaS打造為犯罪黑社會中最大的勒索軟件交鑰匙解決方案之一。多年來，新的Dharma版本一直在不斷涌現，因為勒索軟件收到了更新，新客戶簽署了將其分發到全球各地的協議，每個人都在傳播自己獨特的Dharma版本。

　　像大多數的犯罪分子一樣，Dharma從2018年到2019年逐漸從通過電子郵件垃圾郵件大規模分發勒索軟件逐步轉變到針對企業網絡有針對性的攻擊。

　　在2019年春季，一種名為Phobos的新勒索軟件病毒在線出現，主要用于有針對性的攻擊。來自Coveware和Malwarebytes的安全研究人員很快指出，Phobos與Dharma幾乎相同。但是，新的Phobos分支發布后，Dharma并沒有消失。Emsisoft的惡意軟件研究員、ID-Ransomware的創建者Michael Gillespie表示，去年整個Dharma和Phobos上載到ID-Ransomware服務的數量仍然約為50-50。網絡安全公司Coveware也證實了這些數據，該公司在一份報告中表示，Dharma占2019年第四季度勒索軟件事件的9.3%，而Phobos占10.7%。Avast的威脅情報負責人Jakub Kroustek僅在本周就發現了三種新的Dharma版本，這意味著犯罪集團仍在尋找Dharma的代碼可靠，并且自發行以來已有三年多的時間，直到今天仍在使用。

　　邁克菲(McAfee)網絡調查負責人約翰·?？?John Fokker)表示，Dharma代碼已經在地下黑客中流傳了很長一段時間，并且直到現在它才出現在更多的公共論壇上。Gillespie 過去曾發布過數十個勒索軟件解密器，并因其努力而獲得了FBI獎，他過去無法在Dharma中發現解密缺陷。Fokker現在希望Dharma源代碼最終能被安全研究人員掌握。 “如果好人能從源頭上獲得幫助，我們也許就能發現一些缺陷?！?/span>

　　天地和興工控安全研究院編譯，參考來源：ZDNet https://dwz.cn/uaFqzlv9

　　(九)網絡罪犯分子將Zoom域名作為攻擊目標

　　盡管全世界正在與冠狀病毒爆發斗爭，但許多國家已采取預防措施。學校關閉，社區要求就地隔離，許多組織使他們的員工可以遠程工作。因此，視頻通信平臺已成為日常工作。隨著這些平臺的興趣和使用率的提高，網絡罪犯將保持領先地位。例如，Check Point Research最近發現了一種技術，該技術可以使威脅參與者識別并加入活躍的Zoom會議。

　　在線交流平臺已成為許多家庭和組織必不可少的工具，但重要的是要考慮一些技巧，以實現安全可靠的Zoom體驗。在過去的幾周中，研究人員發現了新域名注冊的大幅度增長，其中包括Zoom的名稱，Zoom是世界上最常用的視頻通信平臺之一。自從今年年初以來，已注冊了1700多個新域，其中的25%在過去一周內已注冊。在這些注冊域中，發現有4%包含可疑特征。但是，Zoom不是網絡罪犯針對的唯一應用程序。已經發現了適用于每種主要通信應用程序的新的網絡釣魚網站，包括由googloclassroom .com和googieclassroom .com冒充的官方教室.google.com網站。

 

　　此外，還檢測到了帶有“ zoom-us-zoom _ ############。exe”和“ microsoft-teams_V#mu#D _ ###########”之類的惡意文件。 exe”(#代表各種數字)。這些文件的運行導致在受害者的計算機上安裝了InstallCore PUA，這可能會導致其他惡意軟件的安裝。

 

　　1. 請謹慎處理來自未知發件人的電子郵件和文件，尤其是當它們提供特殊交易或折扣時。

　　2. 不要打開未知附件，也不要點擊電子郵件中的鏈接。

　　3. 提防相似的域名、電子郵件和網站中的拼寫錯誤以及不熟悉的電子郵件發件人。

　　4. 確保從真實來源訂購商品。不要點擊電子郵件中的促銷鏈接，而是用Google搜索想要的零售商，然后從Google結果頁面單擊鏈接。

　　5. 通過整體的，端到端的網絡架構來防止零日攻擊。

　　天地和興工控安全研究院編譯，參考來源：checkpoint https://dwz.cn/DCyMVqRS

　　(十)谷歌最新分析報告顯示去年有國家背景的攻擊數量有所下降

 

　　在2019年，Google向其用戶發送了近40,000次關于國家資助的網絡釣魚或惡意軟件攻擊的警報，比2018年下降了近25%。該數字下降的原因之一是google的新保護措施正在發揮作用，攻擊者已放放慢了步伐，并且攻擊更加謹慎，意味著攻擊的頻率越來越低。

　　Google指出，政治競選團隊成員、記者、激進主義者、持不同政見者、高管、金融或政府等行業的用戶最容易受到有國家背景的攻擊。2019年最受關注的國家包括美國、韓國、印度、巴基斯坦和越南，每個國家都有1,000多個目標用戶。近幾個月來，google發現，冒充新聞媒體或新聞記者的攻擊者數量有所增加，甚至伊朗和朝鮮的對手也采用了這種策略。攻擊者會冒充新聞記者冒充其他記者傳播虛假故事并散布虛假信息，或者發送良性電子郵件與新聞記者或外交政策專家建立信任，然后發送惡意附件。外國政策專家通常是國家資助的威脅行為者的研究目標，是與組織接觸的機會，或者與研究人員或政策制定者聯系以進行后續攻擊。目標帳戶通常會被擊中多次，這種情況發生在2019年收到警告的五分之一的帳戶中。攻擊者使用不同的誘餌和帳戶進行了多次嘗試，或者如果初始攻擊者試圖破壞目標客戶的同伴，嘗試失敗。

　　一些攻擊利用了零日漏洞，從而增加了成功的機會。盡管它們只占國家支持的整個網絡釣魚嘗試的一小部分，但這些攻擊被認為特別危險。有針對性的零日漏洞會立即報告給供應商，并有7天的寬限期來提供補丁或提供咨詢，然后google將有關該漏洞的信息公開。在2019年，在Android，Chrome，iOS，Internet Explorer和Windows中發現了零日漏洞，并且Google利用五個此類安全漏洞確定了一個威脅攻擊者。在相對較短的時間內從同一個演員找到這么多零時差攻擊的情況很少見。google發現大多數目標來自朝鮮或從事與朝鮮相關問題的個人。

　　谷歌安全研究人員去年發現的漏洞包括影響Internet Explorer的漏洞-CVE-2019-0676，CVE-2019-1367和CVE-2019-1429 ; Chrome- CVE-2019-5786 ; 和Windows kernel-CVE-2019-0808。

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek https://dwz.cn/gaoqil00

　　(十一)黑客利用雷克薩斯和豐田汽車中的漏洞發起遠程攻擊

　　騰訊Keen安全實驗室的研究人員發現，黑客會利用雷克薩斯和豐田汽車中的漏洞對受影響的車輛發起遠程攻擊。

　　對2017年雷克薩斯NX300中的AVN(音頻，視覺和導航)系統的研究發現，汽車上的藍牙和車輛診斷功能存在安全問題。該AVN系統也用于包括LS和ES系列在內的其他型號。根據Keen安全實驗室的說法，可以利用這些缺陷來破壞AVN和內部CAN網絡以及相關的電子控制單元(ECU)。此外，研究人員表示，他們能夠無線控制AVN單元而無需用戶交互，然后注入惡意的CAN消息以使汽車執行“物理動作”。但是，研究人員表示，與這些漏洞相關的具體技術細節將在明年公布。雷克薩斯AVN由DCU(顯示控制單元)和MEU(地圖的多媒體擴展單元)組成，DCU的主板露出Wi-Fi，藍牙和USB接口等攻擊面。DCU還通過CAN消息與內部ECU通信。

　　Keen的研究人員利用兩個漏洞來針對車載藍牙服務，并在具有根特權的DCU系統中實現遠程代碼執行。這些問題包括超出綁定的堆內存讀取和堆緩沖區溢出，這兩個問題都位于配對之前創建藍牙連接的過程中。Keen安全實驗室表示由于這些漏洞，藍牙的開發利用絕對無接觸且無交互。

　　如果DCU系統之前已與手機配對，則可以使用著名的Ubertooth One設備通過無線方式嗅探受影響汽車的藍牙MAC地址。DCU系統不支持安全啟動，這使得研究人員可以用惡意固件重新刷新uCOM板。然后，他們利用這一點繞過了現有的CAN消息過濾機制。安全研究人員表示，“通過鏈接藍牙和車載診斷功能的發現，從藍牙無線連接到汽車CAN網絡的遠程無接觸攻擊鏈是可行的?！?/span>

　　惡意代碼可以通過DCU上的藍牙服務進行部署，并將永久駐留在系統中。該代碼可以使DCU自動連接到Wi-Fi熱點，并生成一個交互式根shell，然后允許攻擊者將任意的CAN消息無線發送到CAN總線。此外，通過利用診斷CAN消息，可以欺騙CAN網絡內部的一些汽車ECU執行診斷功能，并以意外的物理動作觸發汽車，Keen安全實驗室總結道。

　　承認存在這些漏洞的豐田公司表示，由于使用了特定的多媒體單元，一些豐田汽車也受到了影響?！鞍凑誎een實驗室描述的漏洞發現和利用過程并不能控制轉向、制動或油門?！必S田表示，要利用這些漏洞，不僅需要多媒體系統軟件的專業知識，還需要特殊的工具，并且在攻擊過程中必須與車輛靠近。因此，豐田公司認為，Keen實驗室開發的方式利用這些漏洞非常復雜，并且這種情況在現實世界中發生的可能性是有限的。該公司已采取措施來解決生產線上的漏洞，并表示已為受影響的市場車輛提供軟件更新。

　　天地和興工控安全研究院編譯，參考來源：安全周刊 https://dwz.cn/Cx2fV1oC

　　(十二)網絡保險公司Chubb遭受勒索軟件Maze攻擊

　　近日Maze勒索軟件組織表示，他們在3月份對全球最大的保險公司之一Chubb的數據進行了加密，并威脅如果不支付贖金將公開發布加密的數據。Chubb是全球領先的保險公司之一，擁有廣泛的網絡保險產品線，其中包括事件響應、取證分析、法律團隊甚至公共關系。

　　對Chubb來說勒索軟件并不新鮮，在其發布的2019年《網絡焦點報告》中，Chubb發現與惡意軟件相關的索賠在2019年增加了18%，勒索軟件占制造商網絡索賠的40%，較小企業的網絡索賠的23%。

　　Maze已在其新聞網站上發布公告，聲稱擁有Chubb的加密數據。

 

　　Maze的正常作法是破壞組織，竊取其數據，用勒索軟件感染網絡，并在其網站上發布預告，以警告企業受害者，如果他們不支付贖金，其被盜數據將被在互聯網上發布。

　　Maze尚未發布任何證據證明它已經成功感染了Chubb的系統。它已經發布了其首席執行官Evan Greenberg、首席運營官John Keogh和副董事長John Lupica等高管的電子郵件地址，但這是可以通過除黑客以外的其他方式輕松獲得的信息。

　　在一份聲明中，Chubb表示，他們正在調查這是否是未經授權的訪問第三方服務提供商所持有數據的方式，因為沒有證據表明其網絡已被破壞?！拔覀兡壳罢谡{查可能涉及未經授權訪問第三方服務提供商所持有數據的計算機安全事件。作為調查的一部分，我們正在與執法部門和一家領先的網絡安全公司合作。我們沒有證據表明該事件影響了Chubb的網絡。我們的網絡保持完全正常運行，我們將繼續滿足包括索賠在內的所有保單持有人的需求。保護委托給Chubb的數據是我們的重中之重。我們將酌情提供進一步的信息?！盡aze目前不提供任何進一步的詳細攻擊信息。

　　盡管Chubb聲明其網絡并未受到損害，但網絡安全情報公司Bad Packets表示，Chubb擁有眾多易受CVE-2019-19871漏洞影響的 Citrix ADC(Netscaler)服務器。利用此漏洞可入侵網絡并安裝勒索軟件。Phobos Group的Dan Tentler還發布推文表示，Chubb擁有可從互聯網公開訪問的遠程桌面服務器，這是巨大的安全風險。

　　FBI表示，勒索軟件運營者70%到80%的最初入侵點會使用RDP。目前尚不清楚是否將這些設備中的任何設備用作攻擊的一部分，但應加以保護以增強外圍安全性。

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer https://dwz.cn/4dPaJsA2

　　(十三)新型惡意軟件通過覆蓋MBR使設備無法使用

　　近日，SonicWall威脅研究小組發現了一種利用新型冠狀病毒的新型惡意軟件，該惡意軟件通過覆蓋MBR使得磁盤無法使用。

　　執行后，該惡意軟件會將一系列幫助程序文件放入一個臨時文件夾中，其中包括一個BAT文件，該文件將自己標識為“冠狀病毒安裝程序”，并且負責大部分設置工作。

　　該文件創建了一個名為COVID-19的文件夾，用于移動先前刪除的助手文件。文件夾是隱藏的，有助于防止感染。然后，所謂的安裝程序將禁用Windows任務管理器和用戶訪問控制(UAC)。它還會更改桌面墻紙，并禁用允許用戶添加或修改墻紙的選項。為了持久性，威脅會在注冊表中添加條目。最后，惡意軟件會通知受害者安裝已完成，系統將被重新啟動。然后創建一個批處理文件，以確保先前操作的注冊表修改保持不變，并有助于啟動名為“ mainWindow.exe”的可執行文件。

　　該文件顯示一個窗口，顯示了COVID-19病毒的結構和兩個按鈕：一個名為“刪除病毒”，該按鈕不起作用，另一個名為“幫助”。 當點擊“幫助”按鈕時，會提醒用戶計算機已被感染。重新啟動計算機后，將執行二進制代碼來覆蓋MBR，但不是在它在第一個扇區創建原始MBR 的備份之前。在磁盤的第二扇區，有一條信息寫著“Angel Castillo創造。您的計算機已被破壞”。計算機啟動時，該消息將通過引導程序代碼顯示給受害者。

　　天地和興工控安全研究院編譯，參考來源：securityweek https://dwz.cn/l4buYqGq

　　(十四)朝鮮黑客Geumseong121重啟間諜活動

　　根據韓國安全公司ESTsecurity的最新研究，疑似朝鮮黑客一直在進行魚叉式釣魚電子郵件操作，目標是對朝鮮難民感興趣的人。

　　ESTsecurity安全響應中心(ESRC)的研究人員將這個網絡間諜組織歸功于名為Geumseong121的組織，該組織誘使其受害者點擊看起來與朝鮮難民有關的鏈接。根據ESRC的說法，該鏈接沒有提供有價值的信息，而是將收件人指向下載惡意文件的存儲庫。

　　這項行動被ESRC命名為間諜云行動，因為它依賴云服務，顯示黑客組織在去年12月的一次挫敗后恢復運作，當時微軟查封了該組織在釣魚活動中使用的50個網站。這個組織也被廣泛稱為APT37。

　　據ESRC稱，在抓捕行動之后，該組織正努力掩蓋其活動。例如，攻擊者似乎選擇提示用戶單擊其魚叉式電子郵件中的鏈接，而不是直接附加惡意文檔，以期避免使用安全解決方案。ESRC研究人員表示：“這使攻擊者可以根據需要修改或刪除文件，以逃避檢測并最小化占用空間?！?/span>

　　該活動于本月初開始，只是Geumseong121發起的最新一次間諜活動。去年，朝鮮黑客進行了一次與朝鮮叛逃者有關的行動。這項被稱為龍信使的行動針對叛逃者和與朝鮮有關的組織，其惡意應用程序據稱是針對朝鮮叛逃者的籌款申請。根據之前的ESRC研究，該組織的動機似乎是既有財務收益又有監督。

　　根據ESRC的說法，盡管間諜云運動的確切目標尚不清楚，但該組織通常將重點放在投資朝鮮與韓國統一、外交事務、國家安全或朝鮮難民的人員上。

　　一旦受害者單擊鏈接和惡意文檔(從.doc、.xls到韓國政府使用的文字處理器格式.hwp)，攻擊者還會向受害者分發惡意的Visual Basic for Applications(VBA)宏文件。

　　然后，該惡意軟件會連接到攻擊者的命令和控制服務器GoogleDrive，并試圖將系統信息共享給PickCloud。據研究人員稱，一旦用戶進入這一步，攻擊者還可能會嘗試安裝其他后門。據ESRC稱，該活動包括基于Windows和Android的組件。

　　ESRC研究人員表示，除了內容上的相似之外，ESRC將這次動歸因于Geumseong121，因為該組織最近進行的另一次網絡間諜行動中使用的戰術、技術、程序和最終有效載荷與材料完全相同。 ESRC還發現，在之前的Geumseong121行動和Spy Cloud行動中，有相似的編碼技術和對云服務的依賴。

　　ESRC研究人員指出，此行動中用于注冊云服務的電子郵件帳戶也類似于該組織在先前活動中使用的電子郵件帳戶。目前尚不清楚Geumseong121本月是否成功竊取了數據，也不清楚該組織最終可能會尋求什么樣的信息或財務收益。

　　天地和興工控安全研究院編譯，參考來源：cyberscoop https://dwz.cn/oE0MRzTv

　　(十五)在黑客論壇上泄露了490萬格魯吉亞個人信息

　　3月28日，Under Breach的安全研究人員在地下黑客論壇上發現了一個列表，其中包含格魯吉亞公民的個人信息，泄露的數據包含姓名、家庭住址、出生日期、ID號和手機號碼等個人信息。數據存儲的大小達到1.04 GB，并包含在Microsoft Access數據庫中。

 

　　格魯吉亞目前擁有大約370萬公民，而公開的數據庫包含4,934,863條記錄，比該國總人口多120萬。當前人口的大約三分之一還包括那些無法投票的人，例如兒童。不一致的原因是數據庫沒有正確更新，因此也包括了死者的信息。

　　目前尚不清楚誰發布了數據轉儲，或者政府將如何應對數據泄露，但受影響用戶的影響可能很嚴重。

　　盡管在地下論壇上發布數據的人聲稱該信息來自政府選民網站.cec.gov.ge，但有關該數據泄露的信息還很少。格魯吉亞公民使用此網站在線驗證選民登記信息。目前還沒有證據表明，格魯吉亞選民的個人信息有可能是通過使用與voter.cec.gov.ge相同功能的Android應用程序獲得的。研究人員認為，數據泄露可以借助所謂的蠻力策略來進行，惡意行為者可以借助預定的容易猜到的密碼列表來猜測登錄憑據。目前，voice.cec.gov.ge網站已關閉。

　　格魯吉亞的選舉定于今年10月舉行，考慮到這一數據泄露事件，有些人可能完全不投票。投票者可能會冒著身份證號碼等高度重要的個人信息被泄露的危險，因為用戶可能會遭受針對性的網絡釣魚詐騙和銀行欺詐。顯然，政府應該采取額外的預防措施來保護其公民的信息。

　　受數據泄露影響的用戶應立即將自己視為網上誘騙和其他惡意攻擊的目標。格魯吉亞公民應從現在開始應監視其網上銀行帳戶，泄露的信息還可以用于信用卡欺詐。

　　天地和興工控安全研究院編譯，參考來源：2spyware https://dwz.cn/ZBVPUz3g

　　(十六)4200萬伊朗個人詳細信息在黑客論壇上出售

　　3月30日，Comparitech的研究人員Bob Diachenko發現托管在Elasticsearch服務器上的數據庫配置錯誤。經過分析，該數據庫包含4200萬伊朗公民的個人數據。該數據庫最初是由名為Samaneye Shekar的伊朗黑客上傳的，意思為狩獵系統。

 

　　最初，可以確定該數據是由Telegram泄露的，因為它包含用戶帳戶ID、用戶名、哈希、秘密密鑰和電話號碼。但是，目前解到數據是從HotGram和Talagram(伊朗使用的兩種Telegram替代品)中泄露的。

　　另一方面，Telegram還向研究人員證實該數據庫來自一個非附屬應用程序。值得注意的是，Telegram是一個開源應用程序，任何人都可以創建自己的版本。這有助于伊朗人使用Telegram，即使該程序由于伊朗的在線審查而被禁止使用。

　　Under The Breach的安全研究人員分析了示例數據，并指出該數據庫是通過抓取創建的，該過程是從其他網站或服務器提取數據的過程。數據僅包含可通過抓取獲得的信息，而與內部消息無關，因此這是伊朗某家公司進行的抓取操作，然后將其出售給第三方。"

　　研究人員還透露，幾天前，Elasticsearch服務器上配置錯誤的數據庫受到蠕蟲的攻擊，其中還刪除了特定數據庫。但是，在攻擊之前，該數據庫已被下載了好幾次，其中一個下載器現在正在一個著名的黑客論壇上出售該數據庫，其名字不會出于隱私目的而透露。

　　盡管不清楚已經有多少人購買了該數據庫，但當被問及該數據庫是否會對冠狀病毒大流行產生影響時，研究人員表示，"這些數據可以用來傳播假新聞，可以大批量傳播虛假信息，盡管我不認為這是信息泄露的目的。"

　　天地和興工控安全研究院編譯，參考來源：HackRead https://dwz.cn/SyzNzUoz