勒索病毒
1.Phobos勒索软件技术分析报告
Phobos勒索软件家族被许多人认为是Dharma(也称为CrySis)勒索软件家族的衍生品或变种,因为二者具有操作和技术上的相似性。Phobos作为勒索软件即服务(RaaS)在暗网出售。Phobos可以通过几种方式到达系统:通过端口3389上的开放或不安全的远程桌面协议(RDP)连接、暴力破解RDP凭据、使用被盗和购买的RDP凭据以及以及网络钓鱼。Phobos幕后攻击者还可以利用恶意附件、下载、补丁利用和软件漏洞访问组织的端点和网络。
情报来源:
https://blog.malwarebytes.com/threat-spotlight/2020/01/threat-spotlight-phobos-ransomware-lives-up-to-its-name/
2.Nemty勒索软件开始泄漏未按时支付赎金的受害者的数据
由Maze勒索软件开始的一种新策略,现在被Sodinokibi使用, 是在加密文件之前从公司窃取文件。如果受害者没有支付赎金,那么被窃取的数据将一点一点泄漏,直到付款或全部释放为止。
情报来源:
https://www.bleepingcomputer.com/news/security/nemty-ransomware-to-start-leaking-non-paying-victims-data/
3.Ryuk勒索软件通过网络唤醒功能来加密已脱机的设备
RyukRansomware使用“网络唤醒”功能来打开受感染网络上已关闭电源的设备,从而在加密设备方面取得更大的成功。
局域网唤醒是一项硬件功能,通过向设备发送特殊的网络数据包,可以将已关闭电源的设备唤醒或打开电源。这对于需要在计算机掉电时将更新推送到计算机或执行计划的任务的管理员很有用。
情报来源:
https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/
安全漏洞
1.安全研究员在github公布CVE-2019-19781(CitrixADC)漏洞利用测试程序
该漏洞补丁目前仍未发布
https://github.com/MalwareTech/CitrixHoneypot
2.RD Gateway被曝存在严重漏洞
微软公告了RDGateway存在远程代码执行漏洞:CVE-2020-0609,CVE-2020-0610。该漏洞不需要用户交互,可以在不需要用户干预的情况下远程执行任意代码。目前全球有3万多台RD网关受影响,RD网关一旦被攻破,内网的机器都可能受到威胁。
情报来源:
https://mp.weixin.qq.com/s/QN8PRr1uwEGKf5d6xDYw-w
3.微软Win7停服后首例“双星”0day漏洞
安全研究人员捕捉到同时复合利用IE浏览器和火狐浏览器两个0day漏洞的攻击。
情报来源:
https://mp.weixin.qq.com/s/ofKKhLwB_6snc47yKHn8zA
4.CVE-2020-0601 | Windows CryptoAPI (Crypt32.dll)欺骗漏洞通告
2020年1月14日微软发布了CVE-2020-0601漏洞公告,此漏洞为Windows加密库中的一个关键的漏洞。攻击者可以通过使用欺骗性的代码签名证书对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源。美国国家安全局(NSA)已将CVE-2020-0601披露给了Microsoft。
情报来源:
https://mp.weixin.qq.com/s/Gg13mAe7SBMFE4xCPXe2IA
5.使证书不再可信!腾讯安全发现CVE-2020-0601高危漏洞在野利用
腾讯安全团队检测到CVE-2020-0601漏洞的POC(漏洞利用代码样例)和在野利用先后出现。腾讯安全专家提醒用户尽快修复漏洞,避免成为黑客攻击的牺牲品。
情报来源:
https://mp.weixin.qq.com/s/paoZFd8gGbQqyO89dx1fiQ
挖矿木马
有攻击者使用黑客工具Haiduc和App Hider Xhide对服务器发起爆破攻击,进而传播挖矿木马
情报来源:
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-miner-uses-hacking-tool-haiduc-and-app-hider-xhide-to-brute-force-machines-and-servers
间谍软件
1.揭秘Agent Tesla间谍木马攻击活动
安全研究人员截获多个垃圾邮件的攻击活动,这些攻击活动使用的邮件附件通常是伪装成系统镜像ISO文件以及RAR和LZH压缩文档,其中包括使用AutoIt编译和.NET编译的AgentTesla间谍木马(也被称为Negasteal)
情报来源:
https://www.freebuf.com/articles/terminal/223968.html
2.Emotet木马在节假日过后重新开始发起邮件钓鱼攻击
经过将近三个星期的假期,Emotet木马又回来了,并针对80多个国家进行了恶意垃圾邮件活动。
Emotet发送垃圾邮件活动时,威胁参与者会使用各种电子邮件模板,这些模板伪装成发票,报告,语音邮件,节日派对邀请,甚至邀请参加GretaThunberg气候变化演示。这些电子邮件包含恶意附件,打开这些附件将安装Emotet木马。
情报来源:
https://www.bleepingcomputer.com/news/security/emotet-malware-restarts-spam-attacks-after-holiday-break/
APT活动
1.yoroi研究员发现sLoad针对意大利的攻击行动
有关针对意大利公司和用户的新攻击行动。攻击通过发给组织行政人员的认证电子邮件(PEC),邀请受害者查看伪造付款提醒的文档附件。
附件能够用sLoad系列的恶意软件系统感染目标计算机,能够在系统内保持沉默,窃取数据,安装其他恶意软件并提供后门。
情报来源:
https://blog.yoroi.company/warning/nuove-operazioni-di-attacco-sload/
2.说俄语的黑客组织正在袭击撒哈拉以南非洲的银行
安全研究人员报告了数千起有关位于撒哈拉以南非洲(SSA)地区的主要银行遭受攻击的通知。攻击中使用的恶意软件表明,威胁行为者最有可能是一个臭名昭著的Silence黑客组织,该组织以前被称为负责从世界各地的银行盗窃数百万美元。
情报来源:
https://kaspersky.africa-newsroom.com/press/silence-before-the-storm-russian-speaking-hacking-group-is-attacking-banks-in-subsaharan-africa?lang=en
3.似南亚地区新APT组织GroupA21相关攻击活动分析
发现了一个至少自2017年开始活动,主要针对南亚地区各国开展网络间谍活动的新APT组织。该组织的攻击手法与印度背景的SideWinder和Bitter组织存在些许相似,但在攻击细节和所用木马方面存在本质的区别。
情报来源:
https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2398
远控木马
“正版”监控软件被黑产利用
一个利用正规监控软件窃取用户信息,甚至监控聊天记录的黑客团伙,使用了正规监控软件带数字签名的文件。
情报来源:
https://mp.weixin.qq.com/s/xLfWKjqem09Z7tfrQIJUvw