1 APT组织StrongPity攻击土耳其和叙利亚

Bitdefender研究人员最近发现APT组织StrongPity一直针对土耳其和叙利亚的受害者。StrongPity利用水坑攻击策略有选择地感染受害者,使用木马化的流行工具,包括文件存档器、文件恢复程序、远程连接应用程序、实用程序甚至安全软件,并部署了三层C&C基础设施以阻止被分析。研究人员调查发现攻击者对库尔德人社区尤其感兴趣,还发现其中一个行动似乎是从2019年10月1日开始的,恰好与土耳其发动了对叙利亚东北部的军事攻势"和平之春"行动(Operation Peace Spring)相吻合,目前还没有直接的证据表明,StrongPity是支持土耳其的军事行动的APT组织,但与受害者档案和分析样本时间戳构成了一个有趣的巧合。

macos勒索病毒(新Mac勒索软件利用盗版安装程序传播)(1)

2 KONNI使用恶意Excel文件窃取用户信息

AnLab ASEC收集到APT组织KONNI使用的恶意Excel文件。Excel文件诱使用户启用宏,启用后,将下载的第二个Excel文件,并显示法院裁决"违反访问销售法需要支付罚款"的内容,然后,要求启用宏。当启用第二个Excel文件宏时,则按顺序执行从第一个Excel文件下载的文件,并可以获取用户信息和下载其他文件。

macos勒索病毒(新Mac勒索软件利用盗版安装程序传播)(2)

3 Kimsuky利用COVID-19主题开展攻击活动

ESTSecurity最近发现Kimsuky组织利用COVID-19主题文档进行攻击。Kimsuky使用wsf类型的恶意脚本进行攻击,脚本代码内部与COVID-19相关的hwp文档和恶意dll二进制文件使用Base64编码。当显示hwp文档时,会创建dll文件并开始感染活动。恶意文件尝试与C2服务器通信,并传输受感染计算机的MAC地址和操作系统信息。

macos勒索病毒(新Mac勒索软件利用盗版安装程序传播)(3)

4 新Mac勒索软件利用盗版安装程序传播

研究人员在俄罗斯论坛上发现恶意的盗版Little Snitch安装程序用于传播新Mac勒索软件。该安装程序包含安装在/Users/Shared/中的合法Little Snitch安装程序和卸载程序、名为"patch"的可执行文件以及一个安装后脚本,该脚本为在安装过程完成后执行的shell脚本,其用于加载勒索软件。该脚本将patch文件移动到与Little Snitch相关的位置,并将其重命名为CrashReporter(macOS中有一个名为Crash Reporter的合法程序)。然后,它将自己从/Users/Shared/文件夹中删除并启动新副本。最后,它启动Little Snitch安装程序。该勒索软件实际上并未开始加密任何内容。研究人员还发现了一个额外的恶意安装程序,为Mixed In Key 8的DJ软件,该安装程序不包含使用启动合法安装程序的代码,只是将应用程序直接拖放到Applications文件夹中。一旦安装程序触发了感染,该勒索软件将在硬盘驱动器上传播自身,还通过启动代理和守护程序plist文件设置持久性。

macos勒索病毒(新Mac勒索软件利用盗版安装程序传播)(4)

5 美国施乐公司遭到Maze勒索软件攻击

Maze勒索软件已经入侵了施乐公司的系统,并在对文件进行加密之前盗取了文件。施乐公司是一家美国公司,在160多个国家/地区销售印刷和数字文档产品与服务。该公司没有披露网络攻击,但是Maze勒索软件操纵者发布了一些屏幕快照,显示施乐公司的网络域已被加密。屏幕截图显示,由施乐公司管理的域上主机被黑客入侵。

macos勒索病毒(新Mac勒索软件利用盗版安装程序传播)(5)

6 微软修复Windows编解码器中两个错误

微软发布了带外安全更新,修复Microsoft Windows Codecs库中的两个远程代码执行(RCE)错误。这两个错误被跟踪为CVE-2020-1425和CVE-2020-1457,仅影响Windows 10和Windows Server 2019发行版。微软表示,攻击者可以通过特制图像文件来利用这两个安全漏洞。如果用户在使用内置Windows编解码器库处理多媒体内容的应用程序中打开格式错误的图像,则将允许攻击者在Windows计算机上运行恶意代码并有可能接管该设备。安全更新已通过Windows Store应用程序静默部署给用户。

macos勒索病毒(新Mac勒索软件利用盗版安装程序传播)(6)

,