熱門病毒通告

亞信安全熱門病毒綜述 -

Ransom.Win32.BLACKMATTER.THGOCBA

該勒索由其它惡意軟件生成或者用戶訪問惡意網(wǎng)站不經(jīng)意下載感染本機(jī)，其通過添加如下注冊(cè)表鍵值，達(dá)到開機(jī)自啟動(dòng)目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

*{random} = {malware path}\{malware name}

其加密文件后添加如下擴(kuò)展名：

• {從機(jī)器GUID生成的字符串}

該勒索病毒收集如下信息：

• Machine GUID

• Computer name

• Hostname

• Username

• Domain

• OS Architecture

• Language

• Disk information (free size, disk size)

• Total number of files

• Total number of encrypted files

該勒索病毒將系統(tǒng)的桌面墻紙?jiān)O(shè)置如下：

對(duì)該病毒的防護(hù)可以從下述鏈接中獲取最新版本的病毒碼：17.663.60

9.9分！GitLab遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險(xiǎn)通告

近日，亞信安全CERT監(jiān)控到GitLab官方發(fā)布了GitLab遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險(xiǎn)通告，漏洞編號(hào)為CVE-2022-2185，漏洞評(píng)分為9.9。惡意攻擊者可以通過上傳特殊構(gòu)造的惡意項(xiàng)目，導(dǎo)致系統(tǒng)遠(yuǎn)程代碼執(zhí)行。

目前廠商已發(fā)布安全版本，鑒于該漏洞受影響面較大，亞信安全CERT建議使用GitLab的用戶盡快采取相關(guān)措施，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

美國(guó)眼科診所遭遇數(shù)據(jù)泄露

Mattax Neu Prater眼科中心表示，客戶數(shù)據(jù)涉及第三方網(wǎng)絡(luò)攻擊。位于密蘇里州的一家醫(yī)療診所已向美國(guó)監(jiān)管機(jī)構(gòu)通報(bào)了一起影響90,000多人的數(shù)據(jù)泄露事件。Mattax Neu Prater眼科中心于6月底宣布違規(guī)，但事件發(fā)生在2021年12月。根據(jù)HIPAA的數(shù)據(jù)，有92,361人受到了違規(guī)行為的影響。提供手術(shù)和非手術(shù)護(hù)理的Mattax Neu Prater表示，“第三方數(shù)據(jù)安全事件”可能導(dǎo)致未經(jīng)授權(quán)訪問某些患者的敏感個(gè)人信息。

微軟在Windows網(wǎng)絡(luò)中檢測(cè)到Raspberry Robin蠕蟲

微軟表示，最近在眾多行業(yè)的數(shù)百家公司的網(wǎng)絡(luò)中發(fā)現(xiàn)了一個(gè)Windows蠕蟲病毒Raspberry Robin。Raspberry Robin于2021年9月首次被發(fā)現(xiàn)，通過受感染USB設(shè)備傳播。Raspberry Robin通過包含有害.LNK文件的受污染USB驅(qū)動(dòng)器傳播到新的Windows框架。當(dāng)USB小工具被加入并且用戶點(diǎn)擊鏈接時(shí)，蠕蟲會(huì)產(chǎn)生一個(gè)msiexec交互，利用cmd.exe發(fā)送一個(gè)存放在受污染驅(qū)動(dòng)器上的有害文件。它感染新的Windows小工具，與它的命令和控制服務(wù)器 (C2) 對(duì)話，并利用一些真正的Windows實(shí)用程序執(zhí)行有害的有效負(fù)載。

烏克蘭DTEK能源公司遭俄羅斯黑客網(wǎng)絡(luò)攻擊

據(jù)CNN記者的報(bào)道，烏克蘭私營(yíng)能源公司DTEK集團(tuán)周五（7月1日）表示，俄羅斯黑客對(duì)該國(guó)最大的私營(yíng)能源集團(tuán)進(jìn)行了“網(wǎng)絡(luò)攻擊”，以報(bào)復(fù)其所有者反對(duì)俄羅斯在烏克蘭的戰(zhàn)爭(zhēng)。

在烏克蘭各地?fù)碛忻禾亢突鹆Πl(fā)電廠的DTEK集團(tuán)表示，黑客攻擊的目標(biāo)是“破壞其配電和發(fā)電公司的技術(shù)流程”，傳播有關(guān)該公司運(yùn)營(yíng)的宣傳，并“讓烏克蘭消費(fèi)者離開”，沒有電。”此次黑客攻擊的實(shí)際影響以及哪些計(jì)算機(jī)系統(tǒng)遭到破壞尚不清楚。黑客事件是在烏克蘭首富兼DTEK的所有者Rinat Akhmetov向歐洲人權(quán)法院起訴俄羅斯涉嫌造成Akhmetov數(shù)十億美元的財(cái)產(chǎn)損失后幾天披露的。

一個(gè)名為XakNet的俄語黑客組織聲稱本周入侵了DTEK的網(wǎng)絡(luò)，并在Telegram應(yīng)用程序上發(fā)布了據(jù)稱DTEK數(shù)據(jù)的截圖作為證據(jù)。根據(jù)美國(guó)和盟國(guó)政府的咨詢，該黑客組織于3月浮出水面，并聲稱以支持俄羅斯戰(zhàn)爭(zhēng)的烏克蘭官員為目標(biāo)。

OpenSea披露數(shù)據(jù)泄露，警告用戶網(wǎng)絡(luò)釣魚攻擊

近日，令牌（NFT）市場(chǎng)OpenSea披露了數(shù)據(jù)泄露事件，并警告用戶未來幾天可能會(huì)針對(duì)他們的網(wǎng)絡(luò)釣魚攻擊。NFT表示，它擁有超過60萬用戶，交易量超過200億美元?？捎糜卺槍?duì)OpenSea用戶的網(wǎng)絡(luò)釣魚攻擊的域示例包括opensea.org、opensea.xyz和opeansae.io。

該公司分享了安全建議：建議用戶對(duì)任何試圖冒充OpenSea的電子郵件持懷疑態(tài)度，不要下載和打開電子郵件附件，并檢查OpenSea電子郵件中鏈接的頁面的URL。還敦促用戶永遠(yuǎn)不要分享或確認(rèn)他們的密碼或秘密錢包短語，如果通過電子郵件直接提示，也不要簽署錢包交易。

黑客入侵英國(guó)陸軍的YouTube和Twitter賬戶

黑客劫持了英國(guó)陸軍的Twitter頁面，調(diào)換了該組織的資料圖片、簡(jiǎn)介和封面照片，使其看起來與《The Possessed NFT》系列有關(guān)。攻擊者刪除了英國(guó)陸軍頻道所有的視頻，并將其名稱和個(gè)人資料圖片改為與合法投資公司Ark Invest（方舟投資）相似。該賬戶還向關(guān)注者發(fā)出了各種轉(zhuǎn)發(fā)的NFT贈(zèng)品的信息，其夾帶的推文將用戶鏈接到一個(gè)假的NFT加密貨幣網(wǎng)站。

網(wǎng)絡(luò)攻擊行為看上去蓄謀已久，甚至?xí)袃?nèi)容配套，英國(guó)陸軍的YouTube頻道上的視頻被替換成了之前以埃隆·馬斯克和杰克·多爾西為主角的直播節(jié)目。這些直播視頻之前是作為Ark Invest去年6月舉行的The B Word會(huì)議的一部分播出的，但黑客添加了覆蓋字幕層，鼓勵(lì)用戶參與一個(gè)加密貨幣騙局。被攻擊的頻道同時(shí)播放了四條直播視頻，其中一些直播的觀眾人數(shù)達(dá)到了數(shù)千人。

（以上部分資訊來源于網(wǎng)絡(luò)）