FIN6及运营TrickBot的团伙联合的攻击活动;HMR企业遭到勒索AppMaze攻击

发布时间 2020-04-09

1.药物测试企业HMR遭到勒索AppMaze攻击



药物测试企业HMR遭到勒索AppMaze攻击,并且部分志愿者信息被盗。该攻击发生在3月14日,Maze攻击者窃取了HMR网络上托管的数据并对其计算机进行加密。由于该企业拒绝支付赎金,Maze团伙于3月21日在其网站上发布了部分被盗的数据。根据HMR的数据泄露通知,失窃的记录包含了以D、G、I或J开头的志愿者个人信息,包括姓名、出生日期、身份证明文件、健康调查表、同意书、部分检测结果等。


原文链接:

https://www.bleepingcomputer.com/news/security/drug-testing-firm-sends-data-breach-alerts-after-ransomware-attack/


2.Bitdefender研究团队发现新IoT僵尸网络dark_nexus



Bitdefender研究人员最近发现了一个新的IoT僵尸网络,它包含了超过大多数IoT僵尸网络和恶意App的新功能。研究人员根据僵尸网络使用的的字符串将其命名为“dark_nexus”。尽管dark_nexus重用了一些Qbot和Mirai代码,但其核心模块大多是原生的。尽管该僵尸网络可能与以前已知的IoT僵尸网络共享某些功能,但是其部分模块的开发方式使其功能更加强大,例如有效载荷针对12种不同的CPU架构进行编译,并根据受害者的配置动态传递。dark_nexus还独特地使用基于权重和阈值的评分系统来评估哪些进程可能构成风险,并杀死所有超过可疑阈值的其它进程。


原文链接:

https://labs.bitdefender.com/2020/04/new-dark_nexus-iot-botnet-puts-others-to-shame/


3.FIN6及运营TrickBot的团伙联合的攻击活动



IBM X-Force研究人员表示,在最近的网络攻击中发现了FIN6的痕迹,这些攻击活动最初利用TrickBot木马感染受害者,然后最终下载了Anchor后门。研究人员称这两个犯罪组织-TrickBot的运营团伙以及FIN6-已经进行合作,这是网络犯罪团体现有合作趋势中的“新的危险转折”。Anchor至少可以追溯到2018年,似乎是由TrickBot的运营团伙编写的““多合一攻击框架”,它由各种子模块组成,可以帮助攻击者在网络上横向传播(例如安装后门)。同时TrickBot的另一个工具PowerTrick主要用于在受感染的高价值目标(例如金融机构)内部进行隐身、持久性和侦察。IBM X-Force指出FIN6参与了利用Anchor和PowerTrick的攻击,其存在的最大指标是攻击中使用的装载程序(Terraloader)和后门(More_eggs)。


原文链接:

https://threatpost.com/fin6-and-trickbot-combine-forces-in-anchor-attacks/154508/


4.攻击者滥用Malwarebytes品牌分发Raccoon木马



研究人员发现一个新的滥用Malwarebytes品牌的恶意活动,攻击者创建了一个仿冒的Malwarebytes网站,该网站用于分发Raccoon木马。该恶意域名是malwarebytes-free[.]com,在3月29日通过域名注册商REG.RU LLC注册,当前托管在俄罗斯的IP 173.192.139[.]27上。该网站上的JavaScript代码段会检查访客的浏览器类型,如果是Internet Explorer,则会将用户重定向至Fallout EK的恶意URL,并最终安装Raccoon。


原文链接:

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2020/04/copycat-criminals-abuse-malwarebytes-brand-in-malvertising-campaign/


5.GOOGLE发布Chrome安全更新,修复32个漏洞



GOOGLE已于4月7日向Windows、macOS和Linux发布了Chrome 81,除了bug修复、新功能之外,该版本还修复了32个安全漏洞。其中3个漏洞的严重性等级为高,包括扩展中的UAF漏洞(CVE-2020-6454)、音频组件中的UAF漏洞(CVE-2020-6423)和WebSQL中的越界读漏洞(CVE-2020-6455)。其余漏洞的严重性等级为中或低。此外,GOOGLE原计划在Chrome 81中完全删除对TLS 1.0和1.1的支撑,但由于冠状病毒的流行,GOOGLE已决定将这一举措推迟到Chrome 84。


原文链接:

https://www.bleepingcomputer.com/news/google/chrome-81-released-with-32-security-fixes-and-web-nfc-api/


6.贝加莱修复Automation StudioApp中的多个漏洞



研究人员发现贝加莱工业自动化企业的Automation StudioApp存在多个漏洞,供应商已开始发布补丁。贝加莱是一家位于奥地利的工业自动化企业,据美国网络安全和基础设施安全局(CISA)称,该企业的产品在全球范围内使用,特别是在能源、化工和关键制造领域。该企业的Automation Studio版本4受三个漏洞的影响,这些漏洞与Automation Studio的更新服务有关,包括特权升级漏洞、不完整的通信加密和验证问题以及与2018年发现的Zip Slip任意文件覆盖漏洞有关的路径遍历漏洞。攻击者可能利用这些漏洞实施MITM攻击并干预App更新过程。贝加莱已经为部分受影响的版本发布了补丁,并正在为其余版本进行修复。


原文链接:

https://www.securityweek.com/vulnerabilities-br-automation-software-facilitate-attacks-ics-networks