Sophos发现针对Exchange的新勒索AppEpsilon Red;Bellingcat称美国士兵的学习应用可泄露核武器信息

发布时间 2021-05-31

1.Sophos发现针对Exchange的新勒索AppEpsilon Red


1.jpg


安全企业Sophos发现新勒索AppEpsilon Red,主要针对微软 Exchange服务器。研究人员在调查针对美国某酒店的攻击活动时发现的该恶意App。Epsilon Red用Golang(Go)编写,有一组独特的PowerShell脚本,其中每个脚本都有特定作用,如终止安全工具、删除副本、窃取安全帐户管理器(SAM)文件等。研究人员表示,该团伙使用了REvil赎金记录的模板(改正了其中的语法和拼写错误),并且Epsilon Red是漫威中俄罗斯超级士兵的角色名,因此推断该团伙与俄罗斯有关。


原文链接:

https://www.bleepingcomputer.com/news/security/new-epsilon-red-ransomware-hunts-unpatched-microsoft-exchange-servers/


2.研究团队发现以沃尔玛包裹异常为主题的钓鱼活动


2.jpg


研究团队发现新的钓鱼活动冒充沃尔玛超市。该活动的钓鱼邮件以“您的包裹递送异常通知ID#”为主题,指出由于地址不正确无法投递包裹,用户需回复正确的地址。当用户点击“更新地址”时,将会自动创建一个主题为“更新我的地址!”的邮件,并发送到攻击者的邮件地址。此次活动中收集到的信息可用于进行身份盗用攻击、访问用户的其他帐户或进行有针对性的鱼叉式网络钓鱼攻击。


原文链接:

https://www.bleepingcomputer.com/news/security/beware-walmart-phishing-attack-says-your-package-was-not-delivered/


3.Bellingcat称美国士兵的学习应用可泄露核武器信息


3.jpg


Bellingcat称美国士兵使用的在线学习应用可泄露核武器信息。负责在欧洲保管核武器的美国士兵需要记忆复杂的安全细节和协议,部分现役人员使用了公开可见的抽认卡学习应用。这些应用泄露了基地位置、可能装有核武器的确切位置、摄像机的位置、巡逻的频率甚至禁区所需要的唯一标识符等。Bellingcat称在谷歌上搜索“PAS”和“WS3”等军事术语,再加上欧洲空军基地的名称,便可以发现免费的抽认卡平台,例如Chegg、Quizlet和Cram。 


原文链接:

https://www.bellingcat.com/news/2021/05/28/us-soldiers-expose-nuclear-weapons-secrets-via-flashcard-apps/


4.研究人员演示可篡改已认证的PDF文档的新攻击方式


4.jpg


Ruhr University Bochum研究人员演示可篡改已认证的PDF文档的两种新的攻击方式。这两种攻击方式被称为Evil Annotation Attack(EAA)和Sneaky Signature Attack(SSA),攻击者可以修改文档内容而不会使其数字签名无效。其中EAA是通过插入包含恶意代码的注释来修改已认证的文档,而SSA是通过向文档中添加覆盖签名的元素来控制外观,以填写表单字段。


原文链接:

https://thehackernews.com/2021/05/researchers-demonstrate-2-new-hacks-to.html


5.加州Azusa警局称其感染勒索AppDoppelPaymer


5.jpg


加利福尼亚州的Azusa警察局感染DoppelPaymer,部分信息泄露。4月22日,黑客公开了该部门的信息,包括警察的调查记录、巡逻人员报告以及财务和薪资相关的信息,但攻击者并没有表明他们窃取了多少数据。该部门在5月28日发布了声明,指出攻击发生在3月9日,警局的部分系统无法访问,直到5月20日确定泄露信息包括社会安全号码、加州身份证号码、军事身份证号码、财务账户信息和通过自动车牌识别系统收集的信息等。


原文链接:

https://www.databreaches.net/ca-azusa-police-reveal-ransomware-attack-in-march/


6.卡巴斯基发布有关勒索AppJSWorm的演变的分析报告


6.jpg


卡巴斯基发布了有关勒索AppJSWorm的演变的分析报告。JSWorm勒索App在2019被发现,从那以后,出现了诸如Nemty、nefilem、Offwhite等不同的变种。该恶意App的开发人员一直在重新编写代码,并尝试使用不同的分发方法。在2020年的时候,开发人员甚至将编程语言从C ++更改为Golang,并完全从头开始重写代码。从2019年创建到2020年上半年,JSWorm的传播方式包括Trik botnet、RIG开发工具、假的付款网站和垃圾邮件活动等。


原文链接:

https://securelist.com/evolution-of-jsworm-ransomware/102428/