1 APT36利用新冠病毒熱點投送Crimson RAT
Malwarebytes針對疑似歸屬於巴基斯坦APT36組織的近期攻擊活動進行了分析,其利用新冠病毒主題的誘餌文檔投送Crimson RAT。初始攻擊利用魚叉式網絡釣魚郵件,該電子郵件連結到偽裝成印度政府的惡意Excel文檔,其內容為關於新冠病毒的健康諮詢。惡意文檔隱藏了兩個惡意宏,惡意宏首先創建兩個名稱分別為「 Edlacar」和「 Uahaiws」的目錄,然後檢查作業系統類型。根據作業系統類型,宏選擇其ZIP格式的有效載荷的32位或64位版本,其存儲在UserForm1中的兩個文本框中。然後,將zip有效載荷放入Uahaiws目錄中,並使用「 UnAldizip」功能將其內容解壓縮,放入Edlacar目錄中。最後,調用Shell函數執行有效載荷,也就是Crimson RAT。Crimson RAT連接到其硬編碼的C&C IP位址,並將收集的有關受害者的信息發送回伺服器,包括正在運行的進程及其ID、計算機主機名及其用戶名的列表。
2 主題為冠狀病毒的電子郵件活動分發RedLine
2020年3月上旬,Proofpoint的研究人員觀察到一項電子郵件活動,其主要針對美國的醫療保健和製造業分發RedLine竊取器。電子郵件聲稱來自「Mobility Research Inc」,並懇請收件人通過參加其計劃「Folding@Thome」來幫助找到治療冠狀病毒的方法。合法Folding@home項目的參與者會從其網站下載官方應用程式,而此惡意郵件鼓勵參與者通過電子郵件中的連結下載應用程式,以最終安裝RedLine竊取器。RedLine是一個支持FTP(如FileZilla、WinSCP)、IM客戶端(如Pidgin)、加密貨幣錢包和瀏覽器cookie/設置的竊取器,可竊取關於系統的一系列信息,並執行其它任務,如下載和運行有效載荷。RedLine面板是WSDL服務,客戶端配置由C&C提供並且可更新,使用HTTP上的SOAP進行C&C通信。
3 安全廠商披露奈及利亞黑客網絡犯罪活動細節
CheckPoint研究人員披露了一名奈及利亞黑客的網絡犯罪過程和細節。該黑客稱為「Dton」,網絡犯罪活動開始於Dton從網上商店Ferrum Shop購買被盜的信用卡詳細信息,在2013年至2020年期間,Dton定期登錄的帳戶已用於購買價值超過13,000美元的被盜信用卡憑據。後來,Dton不再依賴於購買被盜的信用卡,而是購買鍵盤記錄程序(AspireLogger)和遠程管理工具,如Nanocore和AZORult等,通過發送垃圾郵件,來竊取用戶憑據的詳細信息。Dton通過獲取的憑據已獲利數十萬美元。研究人員已將所獲的詳細信息報告給相關執法人員。
4 美國衛生與公眾服務部遭遇DDoS攻擊
美國衛生與公眾服務部(HHS)於上周日遭到了分布式拒絕服務(DDoS)攻擊。該機構表示,該事件並未造成任何重大破壞,HHS的網站也未因這次攻擊而崩潰。一些報導稱這次攻擊可能是由外國威脅攻擊者發起,但目前尚未得到證實。
5 金融公司因未受保護的資料庫洩漏敏感數據
VpnMentor研究人員發現了一個未受任何保護的AWS S3資料庫,其總共包含425GB文件,並在調查時,文件仍在積極被上傳到該資料庫中。研究人員在洩露的資料庫中發現了超過50萬個高度敏感文檔,其中包括來自金融公司Advantage和Argus的私人法律和財務文件,具體包括信用報告、銀行對帳單、合同、法律文件、駕照複印件、採購訂單和收據、納稅申報單、社會保險信息和交易報告。研究人員通過直接與AWS聯繫,關閉了該資料庫。
6 美國伊利諾伊大學員工個人和稅務信息遭洩露
美國伊利諾伊大學官員在周一證實,最近發生了網絡安全事件,1755名員工的個人和稅務信息遭到洩露。該校官員表示該事件洩露的數據包括2018年W-2納稅表格,目前已通知受影響員工。該校目前沒有說明事件發生的時間或何時被發現,也沒有透露有關敏感數據如何洩露的任何細節。