据统计2019年美国已有多达500所学校遭勒索App攻击;研究团队发布关联2000多个恶意样本的俄罗斯APT地图

发布时间 2019-09-25
1.据统计2019年美国已有多达500所学校遭勒索App攻击


根据云安全企业Armor的调研,美国已有49个学区的教育机构遭到勒索App攻击,使得教育行业成为仅次于地方政府的第二大易受攻击目标。该企业分析了自2019年1月以来公开报道的攻击,发现在2019年前9个月已有多达500所K-12学校遭到攻击,而去年只有11所学校。仅在9月中旬的一周多时间里就有9个新学区和1所大学受到攻击,波及约100所K-12学校。康涅狄格州的学区受到的威胁最为严重,该州共遭遇了7次攻击,涵盖104所学校。

   

原文链接:

https://www.infosecurity-magazine.com/news/hundreds-of-us-schools-hit-by/

2.美国17家公共服务机构成为新钓鱼活动的攻击目标


Proofpoint报告称一个由国家资助的黑客组织在4月5日至8月29日期间将至少17家美国公共服务机构作为钓鱼攻击目标。该攻击持续了长达5个月的时间,钓鱼邮件的目的是向这些机构的员工分发远控木马LookBack。目前尚未对该攻击活动进行正式的归因,但基于一些重用的代码,研究人员认为该攻击活动与APT10有关。LookBack是一个用C++编写的远控木马,其功能包括服务枚举、查看数据、删除文件、实行命令、截取屏幕以及自我删除等。在最近的攻击中,DeGrippo团队发现攻击者在发起钓鱼攻击之前还扫描了目标机构的445端口(SMB协议)。

  

原文链接:

https://www.zdnet.com/article/17-us-utility-firms-targeted-by-mysterious-state-sponsored-group/

3.研究团队发布关联2000多个恶意样本的俄罗斯APT地图


为了更好地说明俄罗斯黑客团伙的犯罪活动及其关联,Intezer和Check Point研究人员共同发布了俄罗斯APT地图。该地图全面阐述了俄罗斯不同APT的恶意App样本、恶意App家族以及攻击者之间的关联。研究人员共收集、归类和分析了2000多个恶意App样本,并根据它们之间共享的385万条代码绘制了近2.2万个连接。该地图还显示,尽管大多数黑客组织都在各自不同的工具和框架中重复使用自己的代码,但不同的组织间却没有共用代码,这可能是为了避免关联暴露。研究人员还公开了该地图及其数据。

  

原文链接:

https://thehackernews.com/2019/09/russia-hacking-groups-map.html

4.Zebrocy APT利用基于Golang的新后门感染目标


研究人员观察到Zebrocy APT在最近的攻击活动中利用基于Golang的后门窃取目标用户的信息。Zebrocy与俄罗斯犯罪团伙Sednit(即APT28)有关。在经过一段时间的沉寂期后,多家安全企业的研究人员观察到Zebrocy攻击者于8月20日恢复活动,其攻击目标仍然是东欧和中亚国家的使馆和外交部。Zebrocy的最新活动是8月22日发起的,其钓鱼邮件的附件文档内容为空白,但包含对远程payload的引用。此活动的一个亮点是使用Dropbox托管恶意模板-wordData.dotm。

原文链接:
https://www.bleepingcomputer.com/news/security/zebrocy-infects-targets-with-new-golang-based-backdoor-via-dropbox/

5.研究团队发现主要针对印度的新恶意AppATMDtrack


卡巴斯基研究人员发现一个针对印度的新的ATM恶意AppATMDtrack。该恶意App与朝鲜APT组织Lazarus APT有关。ATMDtrack于2018年夏季末开始在印度的银行网络中被发现,卡巴斯基称在2019年9月初观察到了该恶意App的最新攻击活动。该恶意App的功能包括键盘记录、检索浏览器历史记录、收集IP地址及活动的网络连接、进程枚举、文件枚举等。卡巴斯基在报告中列出了该攻击的IoC等技术细节。

原文链接:
https://securityaffairs.co/wordpress/91643/malware/north-korea-atmdtrack-malware.html

6.研究人员披露vBulletin中的未修补0day及PoC


一位匿名安全研究人员在受欢迎的论坛AppvBulletin中发现未修补的0day并披露了相关PoC。根据对已发布代码的分析,该0day允许攻击者在运行vBulletin实例的服务器上实行Shell命令而无需具有目标论坛的账户。这种漏洞被称为“预身份验证远程代码实行”漏洞,好消息是,该漏洞只影响了vBulletin版本5.0.0到最新的5.5.4。由于vBulletin被超过10万个在线网站所使用,因此该漏洞的潜在影响范围极大,vBulletin开发团队尚未对此事件进行回应。

  

原文链接:

https://securityaffairs.co/wordpress/91689/hacking/unpatched-critical-0-day-vbulletin.html