20230616-5th域安全微讯早报-NO.143
网络空间安全对抗资讯速递
2023年6月16日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-143 星期五
今日热点导读
资讯详情
1、CISA和NSA向网络维护者发布有关保护BMC的信息表
美国网络安全和基础设施安全局(CISA)和国家安全局(NSA)联合发布了一份信息表,帮助网络防御者保护基板管理控制器(BMC)。该指南强调了对BMC的威胁,详细说明了组织可以用来加强它们的行动,并包括针对网络防御者的建议和缓解措施,以保护他们的系统。BMC对系统管理员很有用,因为它们提供对服务器资源的远程访问以进行网络配置和管理。此外,BMC企业管理解决方案允许管理员远程处理大量服务器。黑客可以通过各种方式滥用这些功能,包括禁用安全解决方案,例如可信平台模块(TPM)和UEFI安全启动;操纵任何附加存储介质上的数据;在网络基础设施中传播植入或破坏性指令。“BMC是计算机硬件中设计的可信组件,独立于操作系统和固件运行,允许远程管理和控制,即使在系统关闭时,”NSA和CISA发布的指南,标题为“强化基础管理”控制器。“BMC与基本输入输出系统(BIOS)和统一可扩展固件接口(UEFI)不同,后者在启动计算机时具有较晚的作用,而管理引擎(ME)具有不同的远程管理功能。”BMC固件具有高特权,在操作系统(OS)控制范围之外执行,并且可以访问其所在的服务器级平台的所有资源。不需要引导到管理程序或操作系统,因为即使服务器关闭,BMC也能正常工作。这些控制器中的固件具有很高的特权。恶意行为者可以利用固件的功能远程控制关键服务器,同时绕过传统的安全工具。该指南称,大多数BM 提供可通过网络访问的配置和管理,BMC管理解决方案无需物理接触即可管理大量服务器。目前许多组织未能采取最低限度的行动来保护和维护BMC。传统工具和安全功能,包括端点检测和响应 (EDR) 软件、入侵检测/预防系统(IDS/IPS)、反恶意软件套件、内核安全增强功能、虚拟化功能和TPM证明,无法有效缓解BMC受攻击。
https://industrialcyber.co/cisa/cisa-nsa-release-information-sheet-to-network-defenders-on-protecting-bmcs-provide-mitigations/
2、CISA正在向几个在明显的全球网络攻击中受到影响的联邦机构提供支持
据网络安全和基础设施安全局称,利用流行软件产品中发现的主要漏洞进行的网络攻击影响了多个联邦机构,引发了对关键系统安全性的担忧。CISA负责网络安全的执行助理主任Eric Goldstein在发给Nextgov/FCW的一份声明中证实,该网络防御机构“正在为数个遭受入侵影响其MOVEit应用程序的联邦机构提供支持。”“我们正在紧急工作以了解影响并确保及时补救,”Goldstein说。CISA和FBI上周发布了联合网络安全咨询,警告黑客能够利用漏洞从Progress Software开发的底层MOVEit数据库中窃取数据。该公司于5月31日向客户发布了有关漏洞利用风险的文档。该公司还表示,它已暂时关闭其云服务产品的组件,以修补其服务。CISA于次日发布了针对MoveIT客户的安全公告。在周四(15日)下午接受MSNB采访时,CISA局长Jen Easterly拒绝透露哪些机构受到了攻击。联邦合同记录表明,Progress Software产品已在各种联邦机构、军队和情报界使用,包括国务院、陆军和疾病控制中心。政府问责办公室信息技术和网络安全团队常务董事Nick Marinos敦促受影响的机构与CISA和其他在政府范围内承担网络安全责任的联邦实体协调,“迅速彻底地执行事件响应计划”。虽然目前尚不清楚谁是影响联邦机构的网络攻击的幕后黑手,但CISA的咨询称,全球最大的网络钓鱼和勒索软件组织之一已经开始利用MOVEit漏洞。名为CL0P或TA505的与俄罗斯有联系的勒索软件团伙此前曾利用类似的漏洞在今年早些时候开展针对流行文件传输和软件数据库的活动。软件公司Sonatype的现场首席技术官Ilkka Turunen将最新的网络攻击与Log4Shell软件缺陷和由此产生的后果进行了比较,称该问题“可能会在未来产生长期影响”。
https://www.nextgov.com/cybersecurity/2023/06/cyberattack-hits-several-federal-agencies-drawing-all-hands-call-response/387579/
3、重新启动电网核心小组计划以强调安全和技术改进
周三(14日),一对两党众议院议员宣布,他们已经为第118届国会重新启动了电网创新核心小组,重点是电网技术的现代化和保护美国电力系统免受网络、物理和环境威胁。核心小组——由俄亥俄州共和党众议员Bob Latta和D-Wash众议员Marilyn Strickland共同主持。将通过“提高对电网复杂性的机构理解,确定生产性和两党参与的机会,并强调技术创新在支持电网基础设施方面可以发挥的建设性作用”来努力提高国家电网的安全性和可靠性。拉塔在一份声明中说:“从提高效率以满足我们不断增长的能源需求,到实施防止网络攻击的现代化防御措施,要保护这一关键基础设施,还有很多工作要做。”该核心小组于2014年由前众议员RN.C.的Renee Ellmers和加利福尼亚州民主党人Jerry McNerney首次发起。在第117届国会期间,拉塔与麦克纳尼共同主持了党团会议。拉塔的办公室告诉Nextgov/FCW,核心小组将在本届国会期间将其工作重点放在利用新技术确保美国人获得负担得起且不间断的能源服务的重要性上,以及主持公共和私营部门之间的讨论利益相关者识别和缓解电网系统中的漏洞。斯特里克兰在一份声明中说,“加强我们国家的能源网络对于一个更清洁、更节能的未来是必要的,它可以支持高薪工作、加强国内电力生产并减少我们社区停电的频率。”两个立法者办公室都指出,核心小组计划在第118届国会期间举办一系列活动,包括举办关于电网安全和供应链弹性的教育研讨会、制作季度通讯以及在秋季举办电网创新博览会突出当前和新兴的电网技术。由于电力需求增加、气候变化以及针对电网系统的物理和数字威胁,人们越来越担心美国人能否获得可靠的电力服务。
https://www.nextgov.com/policy/2023/06/relaunched-electric-grid-caucus-plans-highlight-security-tech-improvements/387589/
4、GAO称国防部缺乏一些主要IT项目的绩效目标和网络安全计划
根据一份新报告,国防部在其主要信息技术投资方面基本达到了最低绩效指标要求,但在所研究的25个项目中,超过一半没有完全披露它们是否实现了预期目标。政府问责局周二(13日)发布的对国防部IT系统的年度评估审查了2021财年至2023财年期间25个IT项目的近90亿美元预算——以及 720多项标准IT基础设施投资的310亿美元——以及由该部门到联邦IT委员会。该报告指出,虽然25个项目中有22个达到了管理和预算指南办公室要求的最低指标数量,但三个没有,其中两个根本没有提交指标。OMB资本规划指南要求IT项目向联邦IT委员会提交至少五个项目运营绩效指标,这些指标与衡量客户满意度、战略和业务成果、财务绩效和创新的类别一致。GAO指出,陆军合同编写系统提交了四个所需的指标,但联合作战医学信息系统和空军的维护维修和大修计划没有确定任何指标数据。报告发现,国防部的13个项目没有完整报告它们实现目标的程度:其中11个项目提交的数据不完整,而两个项目——联合作战医学信息系统和空军的维修和大修计划——没有提交。不报告任何数据。国防部官员告诉GAO,他们预计绩效指标检查将在该部门6月提交下一次报告之前到位,但“截至2023年3月,国防部无法确认检查目前是否到位,以确保所有项目都确定并报告其2024财年提交的完整运营绩效指标。”该报告还指出,所研究的25个项目中有11个缺乏能力实施计划,该计划概述了这些项目如何实施新的系统功能和增强功能。其中两个项目报告说他们正在制定计划,而其他八个项目则表示“他们的系统已经进入后期开发阶段,即将退休,或者早于要求。”最后,该报告称,25 个项目中有 个没有经过批准的网络安全战略。
https://www.nextgov.com/it-modernization/2023/06/dod-lacks-performance-targets-cybersecurity-plans-some-major-it-programs-gao-says/387585/
5、美国机构不顾禁令使用来自中国的芯片
生产密码芯片的中国企业华兰微电子,因支持中国军事现代化,于2021年被美国商务部列入企业“黑名单”(实体名单)。然而,华兰子公司Initio 仍然向西方的加密硬盘制造商供应芯片,这些制造商正被北约、美国宇航局和其他美国和英国机构收购。这引起了人们的担忧,即这些芯片可能包含隐藏的后门。安全研究员Matthias Degg在Initio的芯片中发现了几个漏洞,这些漏洞使其能够绕过加密USB闪存驱动器的安全性。他还指出,很难在芯片中找到硬件后门,因为它们没有公开文件,也不会回应研究人员的请求。使用Initio芯片的存储设备制造商表示,他们的产品是安全的,即使是Initio或Hualan也无法破解。供应商还表示,Initio未在实体列表中提及,也不在列表中。然而,国家安全专家认为,名单上的子公司实际上也被认为在名单上。西方政府机构拒绝评论他们购买了哪些设备,但表示他们仔细测试了他们使用的技术的安全性。密码学家Matthew Green指出,一些加密硬盘驱动器吹嘘的安全证书不会检查故意隐藏的漏洞。专家认为,使用来自中国的芯片表明了驾驭计算供应链的难度,对于应该优先考虑安全性的组织来说,这是一个真正的错误估计。2019年5月,美国商务部将中国电信公司华为以及70家相关公司列入实体名单。当局还禁止谷歌允许新型号的华为手机访问谷歌移动服务开发者套件,该套件支持大多数安卓应用程序。
https://www.securitylab.ru/news/539049.php
6、欧盟委员会提议将谷歌拆分成多个部分
欧盟委员会已对谷歌及其广告业务提起正式的反垄断诉讼。在一项初步裁决中,监管机构声称谷歌滥用其在数字广告市场的主导地位,并为竞争对手创造了不公平的竞争环境。如果谷歌被判违反欧盟法律,它可能面临高达其全球销售额10%的罚款,并被迫出售部分业务。这将对这家搜索巨头的主要收入来源造成重大打击,也是欧盟在调查初期建议采取此类措施的罕见案例。在一份声明中,谷歌不同意欧盟委员会的立场,称数字广告是一个“竞争激烈的行业”。该公司还表示,其广告技术可帮助网站和应用程序将其内容货币化,并使各种规模的企业能够有效地吸引新客户。这不是欧盟针对谷歌的第一起反垄断案。委员会此前曾在与搜索引擎 、 安卓移动操作系统和谷歌购物服务相关的其他三起案件中对该公司处以罚款。罚款总计超过80亿欧元。分析人士认为,此案可能会为欧盟未来的决定树立先例,不仅针对谷歌,而且针对其他大型IT公司,如Facebook、 亚马逊和苹果,也 受到反垄断调查。
https://www.securitylab.ru/news/539041.php
7、新版GravityRAT从WhatsApp Messenger窃取备份数据
2022年6月,专家在野外发现了一个名为GravityRAT的适用于Android的间谍软件木马的新版本,当时它以BingeChat和Chatico Messenger的名义进行分发。这些袭击是针对印度和巴基斯坦军事和政府人员的针对性极强的行动的一部分。GravityRAT是一种远程访问木马,自2015年以来一直被网络犯罪分子用于针对印度的针对性攻击。Cisco Talos 、 Cyble和Kaspersky Lab过去曾报告过适用于Windows、Android和macOS的GravityRAT 版本。GravityRAT的作者不详,ESET研究人员正在追踪一个据称以内部名称“SpaceCobra”参与其开发的组织。近日,据了解,使用BingeChat和Chatico的恶意操作依然活跃,但现在黑客正在使用新的攻击方式。“在新活动中值得注意的是,GravityRAT可以窃取WhatsApp备份并接收删除文件的命令。这些是非常具体的命令,在Android恶意软件中并不常见,”ESET研究员Lukasz Stefanko在15日发布的一份新报告中说。BingeChat和Chatico Messenger在Google Play上不可用,而是通过宣传免费消息服务的虚假网站传播。据报道,诈骗者通过Facebook和Instagram瞄准潜在受害者,以诱使他们下载恶意应用程序。“这个组织使用虚构的资料,冒充合法和虚构的国防公司和政府、军队和记者的招聘人员。为了赢得受害者的信任,攻击者甚至假装成想要开始一段浪漫关系的女性,”Meta季度威胁报告说。与大多数Android后门程序一样,GravityRAT会在合法应用程序的伪装下请求侵入权限,以在受害者不知情的情况下收集敏感信息,例如联系人、短信、通话记录、文件、位置数据和录音。捕获的数据最终被发送到攻击者的远程服务器。
https://www.securitylab.ru/news/539042.php
8、俄罗斯黑客使用PowerShell USB恶意软件植入后门程序
俄罗斯国家资助的黑客组织Gamaredon(又名Armageddon或Shuckworm)继续以乌克兰军事和安全情报部门的关键组织为目标,采用更新的工具集和新的感染策略。此前,与FSB有联系的俄罗斯黑客被观察到使用信息窃取器来攻击乌克兰国家组织,使用其“ Pteranodon ”恶意软件的新变种,并使用默认的Word模板劫持程序来进行新的感染。隶属于Broadcom的赛门铁克威胁研究团队15日报告说,威胁行为者最近开始使用USB恶意软件传播到受感染网络内的其他系统。Gamaredon最新活动中的另一个有趣元素是针对人力资源部门,这可能表明威胁行为者的目标是在被破坏的组织内进行鱼叉式网络钓鱼攻击。赛门铁克的分析师报告称,Gamaredon的活动在2023年2至3月期间激增,而黑客继续在一些受感染的机器上保持存在直到2023年5月。Gamaredon继续依靠网络钓鱼电子邮件进行初步妥协,而其目标包括政府、军事、安全和研究组织,重点是他们的人力资源部门。网络钓鱼电子邮件带有RAR、DOCX、SFX、LNK和HTA附件,如果打开这些附件,则会启动一个PowerShell命令,从攻击者的(C2)服务器下载“Pterodo”有效负载。目前采样了25个PowerShell脚本变体,使用不同级别的混淆并指向不同的Pterodo下载IP地址以抵抗静态检测规则。一旦受害者启动这些文件,PowerShell脚本就会枚举计算机上的所有驱动器并将其自身复制到可移动USB磁盘,从而增加在被破坏网络中成功横向移动的可能性。这些USB驱动器很可能被攻击者用于在受害网络之间进行横向移动,也可能被用来帮助攻击者到达目标组织内的气隙隔离的计算机。
https://www.bleepingcomputer.com/news/security/russian-hackers-use-powershell-usb-malware-to-drop-backdoors/
9、俄罗斯国民因部署LockBit勒索软件在美国被捕
一名20岁的俄罗斯国民因涉嫌使用臭名昭著的LockBit勒索软件针对世界各地的受害者而被美国执法部门逮捕和指控。根据周四(15日)公布的一份刑事诉讼书,来自车臣的Ruslan Astamirov至少从2020年8月到2023年3月参与了LockBit行动,并对美国、亚洲、欧洲和非洲的受害者实施了至少五次袭击。至少在一个案例中,执法部门设法追踪到受害者向Astamirov的虚拟货币地址支付的部分赎金。他将于周四晚些时候首次出庭。这是过去六个月中第二次逮捕与LockBit勒索软件有关的俄罗斯国民。米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)去年11月在加拿大被捕,目前正在等待引渡到美国。今年5月早些时候,司法部还宣布了对Mikhail Matveev的起诉,罪名是他涉嫌参与部署LockBit、Babuk和Hive勒索软件变种的不同阴谋。如果被判有罪,Astamirov将面临最高20年的监禁和最高250,000美元的罚款,或犯罪所带来的经济收益或损失的两倍,以较高者为准。“我们将继续使用我们掌握的所有工具来破坏网络犯罪,虽然网络犯罪分子可能会继续运行,但他们最终无法隐藏,”副检察长Lisa O. Monaco说。根据刑事诉讼,LockBit运营者已对美国和世界各地的受害者实施了1,400多次攻击,发出了超过1亿美元的赎金要求,并收到了至少数千万美元的以比特币形式支付的实际赎金。世界各地的网络安全机构本周发表声明称,LockBit团伙是政府和其他组织面临的最大网络安全威胁之一。
https://therecord.media/russian-arrested-in-us-for-lockbit
10、美国联邦通信委员会FCC成立隐私和数据保护工作组
联邦通信委员会主席杰西卡·罗森沃塞尔 (Jessica Rosenworcel)周三(14日)宣布,联邦通信委员会正在成立一个隐私和数据保护工作组,以使其政策现代化并加强对数字隐私侵犯行为的执法。“鉴于我们面临的隐私挑战的严重性,我认为我们将不得不集中精力在该机构并给他们新的关注点,”Rosenworcel在民主与技术中心发表的演讲中说,一个倡导数字时代公民自由的非营利组织。“我们将把整个机构的所有技术和法律专家聚集在一起,以最大限度地协调并利用法律通过制定我们的政策和采取执法行动来取得成果。”该工作组将由该机构执法局局长Loyaan Egal领导,Rosenworcel指出,他指挥的隐私和数据安全调查人员是其前任团队规模的两倍。她说,除其他事项外,工作组将重点关注FCC数据泄露规则的现代化,该规则最近一次更新是在15多年前。她说,特别工作组还将监督对重大数据泄露事件的调查和执法行动,并帮助制定规则以打击SIM卡交换欺诈行为,网络犯罪分子会在这种欺诈行为中劫持人们的手机。Rosenworcel表示,FCC正在制定一项规则,为运营商提出标准,以便在将号码转移到新设备或新运营商之前对客户进行身份验证。她说,特别工作组将根据《安全连接法》在该机构的工作中发挥作用,该法是去年通过的一项法律,Rosenworcel称该法支持家庭暴力受害者获得通信。根据Rosenworcel的说法,去年她写信给15家最大的移动电话运营商,询问有关他们的地理位置、数据保留和隐私惯例的信息。该工作组将梳理这些数据并推进由此产生的调查。她说,特别工作组已经提议对两家公司采取执法行动,这两家公司将客户通信的安全置于危险之中,但拒绝提供更多细节。
https://therecord.media/fcc-to-establish-privacy-task-force
11、美国拟议的SEC网络规则将有利于“网络安全生态系统的整体健康”
美国证券交易委员会(SEC)提出的有争议的规则将迫使上市公司在网络安全事件浮出水面几天后报告,这将有利于投资者和“更广泛的网络安全生态系统”,根据一家著名智库的一份新报告。许多业内人士抱怨说,美国证券交易委员会拟议的法规可能会对国家安全产生负面影响,并且可能与即将实施的2022年关键基础设施网络事件报告法(CIRCIA)中规定的新报告要求是多余的。为了反映对该提案的争议,美国证券交易委员会周四(15日)将最终事件报告规则的截止日期推迟到10月。大西洋理事会网络治国倡议组织周三(14日)发布的一份报告称,美国证券交易委员会提议的规则——要求在四天内披露事件——与CIRCIA的规定有很大不同。它还认为,可以轻松克服对美国证券交易委员会提议的实施时间表的担忧以及对国家安全风险的担忧。此外,这些规则将帮助投资者做出决策并创建“关于网络事件的可公开访问和标准化的数据”。SEC将要求广泛适用的标准化报告和比目前要求更高的透明度这一事实“将通过改善公司和消费者网络安全市场中的信息不对称来有益于网络安全生态系统的整体健康,使监管机构能够更有效地利用现有政策工具,”报告称。然而,商业和行业领袖以及一些网络安全公司对新规则表示强烈反对。包括美国商会、消费者技术协会、证券业和金融市场协会在内的近30个行业协会致SEC的一封信抨击了拟议的规则,认为它造成了行业应如何报告网络安全的混乱允许黑客升级攻击的事件和风险。网络安全公司Rapid7告诉美国证券交易委员会,“公开披露未缓解或未控制的网络事件可能会导致攻击者的行为对投资者造成额外伤害”,包括可能导致进一步的攻击。Rapid7还警告说,快速周转的公开披露规则可能会导致“模仿”攻击。
https://therecord.media/proposed-sec-cyber-rules-benefit-cybersecurity-community
12、名为“Shampoo”的ChromeLoader恶意软件的新变种正在疯狂传播
宣传盗版视频游戏、电影和其他商品的虚假网站正在传播一种名为“Shampoo”的ChromeLoader恶意软件的新变种,它绝非干净:它会窃取敏感数据、重定向搜索并将广告注入受害者的浏览器会话。HP Wolf Security的研究人员一直在跟踪新的活动,该活动似乎自3月以来一直活跃,并分发类似于2022年5月首次发现的原始ChromeLoade 的恶意软件,但由于多个原因,众所周知的IT头发明显更难清除。第一个版本的ChromeLoader的目标是安装一个恶意的Chrome扩展程序用于广告,这个过程包括“一个特别复杂的感染链”,首先是受害者从托管浏览器的非法内容的网站下载恶意ISO文件,HP安全的研究人员Jack Royer写道,他在本周发布的惠普威胁研究博客上发表了一篇文章。“洗发水活动中使用的ChromeLoader非常相似;它诱使受害者从网站下载并运行恶意VBScript文件,最终导致安装恶意Chrome浏览器扩展程序,”他解释道。“这个活动与ChromeLoader非常相似,就其感染链、分布和目标而言,”具有两个共享代码相似性和广告货币化功能。与原始ChromeLoader不同的Shampoo的一个显着功能是它如何使用浏览器的任务计划程序来实现持久性,方法是设置一个计划任务以每50分钟重新启动一次。研究人员说,该脚本运行一个设置计划任务的PowerShell脚本,每50分钟运行一个循环脚本,下载并运行另一个PowerShell脚本。此脚本下载并安装恶意的ChromeLoader Shampoo扩展程序,一旦附加到Chrome 会话,它就会开始将敏感信息发送回命令和控制(C2)服务器。“这种持久性机制允许恶意软件在重新启动或脚本被安全工具或用户杀死的情况下保持活动状态,”Roye 写道。
https://www.darkreading.com/endpoint/-shampoo-chromeloader-variant-difficult-wash-out
13、OT安全公司Shift5获得3300万美元的融资
总部位于弗吉尼亚州阿灵顿的OT安全公司Shift5在其B系列融资中筹集了额外的3300万美元。2022年2月宣布了5000万美元。风险投资总额目前为1.08亿美元。Shift5将网络安全引入机队车辆(飞机、轮船和火车)以及军用车辆和武器系统中的操作技术(OT)。它的客户超越了军队,但创始人 Josh Lospinoso(首席执行官)和Michael Weigand(CGO)都有美国陆军网络作战的背景。这一点,再加上乌克兰冲突和全球地缘政治紧张局势加剧,导致美国国防部成为主要客户,这或许部分解释了Booz Allen Ventures参与本轮融资的原因。这是该风险投资公司根据Booz Allen Hamilton 的国家网络战略进行的第一笔投资。“自成立以来,我们一直与国防部合作,我们在与美国不同军事部门和作战司令部的合作中继续取得进展,”Lospinoso告诉SecurityWeek。“我们与美国陆军、海军、空军、太空部队和特种作战司令部合作,预计明年会进一步发展。我们与博思艾伦的合作绝对会帮助我们加快对整个国防部作战人员的支持。”网络安全是Shift5解决方案产品的核心,但也许它的独特卖点是能够在行驶中的车辆内实时收集OT通信数据。Shift5将此功能称为“可观察性”。Shift5对所有物联网设备通信的可观察性提供了CISO通常缺乏的可见性。“可观察性是关于在任何给定时间获得有关OT资产的确切情况的最详细、最新和准确的表示,并使用该信息做出决策并根据需要采取纠正措施。
https://www.securityweek.com/ot-security-firm-shift5-adds-33-million-in-funding/
14、黑客用假WannaCry勒索软件感染说俄语的游戏玩家
研究人员发现了针对多人第一人称射击游戏Enlisted的俄语玩家的网络钓鱼活动。根据网络安全公司Cyble本周发布的一份报告,黑客使用了一个与官方Enlisted网页非常相似的虚假网站来分发勒索软件。虽然研究人员没有将这次袭击归因于任何特定团体,但他们认为该活动与俄罗斯和乌克兰之间正在进行的战争有关。Enlisted是一款免费游戏,发生在第二次世界大战期间,围绕所有前线的重大战役展开。该游戏由俄罗斯成立的公司 Gaijin Entertainment于2021年发行,每月有50万至100万活跃玩家。虚假的Enlisted网站托管合法的游戏安装程序和勒索软件,模仿臭名昭著的 WannaCry加密蠕虫,据称是由朝鲜黑客组织Lazarus建的。该勒索软件采用了WannaCry 3.0的名称,并使用wncry文件扩展名来加密文件,尽管它并不是真正的WannaCry变种。网络罪犯通过Enlisted分发的恶意软件是开源勒索软件的定制变体,称为Crypter。它专为Windows系统设计并使用 Python编码。一旦进入受害者的系统,WannaCry3.0 就会对文件进行加密并显示勒索字条,说明没有解密密钥就无法解锁文档、视频、图像和其他计算机文件。勒索软件说明提供了有关如何通过Telegram与黑客联系以协商解密费用的说明,还包括有关付款截止日期的警告,并带有一个用于访问加密文件列表的按钮。最后,WannaCry 3.0更改了桌面背景图像以提醒受害者按照说明进行操作。研究人员表示,在搜索免费或盗版游戏时,一些游戏玩家无视安全措施并在不知不觉中将恶意软件下载到他们的系统中。
https://therecord.media/hackers-infect-russian-gamers-with-wannacry
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-142
3. 5th域微讯晨报-Vol-2023-140
4. 5th域微讯晨报-Vol-2023-139
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement