Buf早餐铺 | Fancy bear APT组织更新后门Xagent;Lizard Squad和PoodleCorp黑客组织成员认罪;GlobeImposter 勒索软件攻击进行中

今天的早餐包括: Fancy bear APT组织更新后门Xagent,加强隐蔽性;新DOC GlobeImposter 勒索软件攻击进行中;FILE Cryptomix勒索软件变种发布;美国男子用网络攻击威胁一公司雇佣他,获刑 37 个月;Lizard Squad和PoodleCorp认罪:我们进行了DDoS攻击;

33048587572_cedfb2e799_b.jpg

【国际时事】

美国男子用网络攻击威胁一公司雇佣他,获刑37个月

本周,美国北卡罗来纳州法官判处一名华盛顿男子 37 个月监禁,罪名是以网络攻击威胁一家公司炒掉一名员工然后雇佣他来代替。根据Bleeping Computer获得的一份法庭文件了解到,在2016年4月18日,Todd Michael Gori向位于北卡罗来纳州教堂山的医疗软件供应商TSI Healthcare发了一封电子邮件。

这位28岁的华盛顿韦纳奇居民Gori,威胁这家公司称,如果不解雇一名员工雇佣他来顶替,他和他匿名的朋友就会对该公司发起网络攻击。

Man-dark.jpg

Gori吹嘘称,他已经对TSI网站进行了渗透测试,并且发现了安全措施的薄弱之处。“让我再说一遍,要我和TSI合作并且停止攻击的唯一方法就是裁员并且雇佣我,确保我得到足够的补偿……”

2017年 8 月,当局追查并逮捕了Gori。根据最初的起诉书,FBI提出更严重的指控,因为他们发现Gori还威胁要买一把枪并射杀TSI雇员。Gori被捕后不久签署了认罪协议,检察官撤销了后一项指控。除了37个月的监禁期外,Gori还接受了三年的监外看管。

来源:bleeping computer

 Fancy bear APT组织更新后门Xagent,加强隐蔽性

Fancy Bear APT组织在近期行动中被安全人员观测到对其后门程序进行了新一轮的改进。他们所使用的后门程序已经在机密性上进行了改进,会变得更坚固更隐蔽更难阻止。

这样这个拥有多个名号,多年实施行动的组织将会在监测上变得更复杂。发现这个动态的专家来自ESET,他发现 Xagent中已经加入了一些新的机制。而一直以来的研究都认为,这款后们程序与Fancy Bear 有密切的关联。

Fancy-Bear-mail_merrychristmas.png

该组织使用这款后们感染各种Windows, Linux, iOS 以及 Android 系统设备。在2017年的早些时候 Bitdefender 专家发现第一种感染Mac OS的 X-Agent软件。

X-Agent 最新的版本是第四版,加入了混淆字符串和运行类型信息。 Fancy Bear还实施了内部改进,包括可用于隐藏恶意软件配置数据和受感染系统上的其他数据的新命令。

[来源:securityaffairs]

【Web安全】

Lizard Squad和PoodleCorp认罪:我们进行了DDoS攻击

Lizard Squad 和 PoodleCorp 黑客组织的成员本周承认,他确实运行了DDoS雇佣平台,他和其他人曾经对全球的目标发动了各种DDoS攻击。这两名成员分别是20岁的Zachary Buchta和荷兰同伙。美国当局认定这两人是Lizard Squad和PoodleCorp黑客团的成员。

ddos-hack.jpg

而Lizard Squad 服务建立在LizardStresser恶意软件之上。这个恶意软件促成了 DDoS 服务的跳跃式发展。 2016年6月,Arbor Networks公司表示,发现了超过100个基于 Lizard Squad 的 LizardStresser 变体DDoS僵尸网络。

[来源:bleepingcomputer]

【勒索软件】

新DOC GlobeImposter 勒索软件攻击进行中

全新的垃圾邮件攻击中,安全研究人员发现了一种GlobeImposter变种正在各种渠道分发。GlobeImposter变种会将.doc扩展名附加到加密文件中。

malspam.jpg

这个垃圾邮件行动会伪装成给收件人发送照片,并且会有一行主题“Emailing: IMG_20171221_”。

这些电子邮件还会包括以相机照片的文件名(例如IMG_ [date] _ [number])命名的7zip(.7z)存档附件。 在这些7z文件中会包含一个.js文件,双击时会导致GlobeImposter勒索软件的下载和执行。

js-downloader.jpg

[来源:bleepingcomputer]

FILE Cryptomix勒索软件变种发布

CryptoMix勒索软件的最新变种现被发现,它将.FILE扩展名附加到加密文件中,并会更改勒索软件使用的电子邮件。

ransom-note-2.jpg

本次FILE Cryptomix勒索软件虽然加密方法仍然保持不变,但是已经出现了一些细微的差别。 勒索界面仍命名为_HELP_INSTRUCTION.TXT,但使用file1@keemail.me,file1@protonmail.com,file1m@yandex.com,file1n@yandex.com和file1@techie.com的电子邮件地址,受害人可以通过联系他们进行付款。

encrypted-files-2.jpg

第二个明显的变化则出现在加密文件的扩展上。 新变体加密的测试文件具有加密的文件名0D0A516824060636C21EC8BC280FEA12.FILE。这款最新的勒索调查仍在进行中。

[来源:bleeping computer]

*本文作者Elaine,转载请注明FreeBuf.COM

Via: freebuf

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: