安全机构称石油企业Bapco感染恶意AppDustamn:GOOGLE从Play商店中移除了超过1700个感染Joker的APP

发布时间 2020-01-10


1.安全机构称石油企业Bapco感染恶意AppDustamn



据外国媒体ZDNet报道,巴林国家石油企业Bapco遭到疑似伊朗黑客组织的数据擦除恶意AppDustman攻击。该事件发生在12月29日,只有一部分Bapco计算机受到影响,该企业的业务运营并未中断。沙特阿拉伯国家网络安全局(CNA)在上周的一份安全警报中详细描述了该恶意App。Dustman被认为是ZeroCleare擦除器的变种,并且二者与Shamoon擦除器具有相同的第三方驱动程序“Eldos RawDisk”。虽然Dustman与ZeroCleare的大多数代码都是相同的,但沙特CNA表示二者存在两个重要区别:Dustman的破坏功能及所有驱动程序和装载程序都在一个可实行文件中,而ZeroCleare是两个;Dustman直接覆盖卷,而ZeroCleare通过用垃圾数据(0x55)覆盖卷来进行擦除。


  原文链接:

https://www.zdnet.com/article/new-iranian-data-wiper-malware-hits-bapco-bahrains-national-oil-company/


2.拉斯维加斯市计算机系统遭到黑客攻击,部分服务仍未恢复



拉斯维加斯市表示成功阻止了针对该市的网络攻击。该事件发生在1月7日,但该市表示IT人员马上检测到了入侵并采取措施保护受影响的系统。作为应急响应,该市对部分服务进行了离线 - 包括该市的公共网站,当前该网站仍处于关闭状态。周三该市在Twitter上发布声明证实其“恢复了所有数据系统的正常运营”,市政府官员尚未透露有关事件性质的任何细节,但当地媒体报道称攻击媒介可能与电子邮件有关。该市还表示“大家不认为有任何数据从系统中丢失,也不认为有任何个人数据被盗。”


 原文链接:

https://www.zdnet.com/article/city-of-las-vegas-said-it-successfully-avoided-devastating-cyber-attack/


3.国际刑警的金鱼阿尔法行动导致东南亚挖矿攻击下降78%



在国际刑警组织为期5个月的金鱼阿尔法行动之后,在东盟(东南亚国家联盟)地区的国家中被恶意矿工感染的路由器数量下降了78%。金鱼阿尔法行动于2019年6月启动,该行动帮助10个东盟国家(文莱、柬埔寨、印度尼西亚、老挝、马来西亚、缅甸、菲律宾、新加坡、泰国和越南)的网络犯罪调查人员和专家能够检测到受感染的路由器,并警告受害者修复受感染的设备和阻止网络罪犯的访问。在行动之前,该地区存在超过2万个被黑客入侵的路由器,占全球加密劫持感染的18%。当行动在11月下旬结束时,被感染的设备数量减少了78%。



 原文链接:

https://www.bleepingcomputer.com/news/security/cryptojacking-drops-by-78-percent-in-southeast-asia-after-interpol-action/


4.银行木马TrickBot再次更新,增加后门模块PowerTrick



根据SentinelLabs周四发布的研究报告,银行木马TrickBot背后的攻击者已经开发出了一个新的后门PowerTrick,旨在帮助TrickBot逃避检测。在TrickBot进行初始的感染之后,它将部署PowerTrick模块,PowerTrick等待和实行攻击者的下一个命令并以Base64格式返回结果。SentinelLabs观察到PowerTrick下载了letmein(一个基于PowerShell的脚本,用于连接到开源开发框架Metasploit),以实行侦察任务和发现其它目标。除此之外,PowerTrick还可以分发其它后门,包括TrickBot自定义开发的Anchor Project DNS变体以及JScript后门恶意AppMore_eggs等。


 原文链接:

https://threatpost.com/trickbot-custom-stealthy-backdoor/151663/


5.研究人员发现针对企业整个网络的新勒索AppSNAKE



安全研究人员观察到针对整个企业网络的新勒索AppSNAKE。根据MalwareHunterTeam和Vitali Kremez的分析,该勒索App是由Golang编写的,并且包含高度的混淆。在成功感染后,SNAKE会删除计算机的卷影副本,然后杀死与SCADA系统、网络管理解决方案、虚拟机等相关的各种进程。在加密文件的过程中,SNAKE会跳过重要的Windows文件夹和系统文件,并在加密的文件后附加“EKANS”扩展名,其勒索信息要求受害者联系“bapcocrypt@ctemplar.com”购买解密工具。


 原文链接:

https://www.tripwire.com/state-of-security/security-data-protection/snake-ransomware-targeting-entire-corporate-networks/


6.GOOGLE从Play商店中移除了超过1700个感染Joker的APP



自2017年初以来,约有1700个感染Android恶意AppJoker(也被称为Bread)的恶意应用从Play商店中被移除。CSIS安全团队在2019年9月就发现了24个此类应用,下载总次数超过47.2万次。Joker最初被用于发起SMS短信欺诈,但较新版本的变体已转移到付费订阅或购买各种内容的移动计费欺诈。随着GOOGLE不断出台新政策和谷歌 Play Protect扩展防御措施,Joker也不断改变策略寻找Play商店防御措施中的漏洞。GOOGLE在完整的报告中提供了有关Joker的更多详细信息和IoC指标。


 原文链接:

https://www.bleepingcomputer.com/news/security/google-removed-over-17k-joker-malware-infected-apps-from-play-store/