美国能源部确认SolarWinds已入侵核武器局的网络；Avast近期发现28款恶意的浏览器插件，影响300万用户

美国能源部已经确认，SolarWinds背后的黑客组织入侵了美国核武器机构NNSA的网络。NNSA是一个半自治政府机构，负责维护和确保美国核武器库存，以及应对美国国内外的核和放射紧急情况。FBI、CISA和ODNI发布联合声明称，黑客入侵了多个美国政府的网络，包括美国财政部、美国国务院、美国NTIA、美国国立卫生研究院、DHS-CISA和美国国土安全部。目前，Microsoft、FireEye和GoDaddy已为SolarWinds Sunburst后门创建了一个kill switch，以终止受害者网络上的感染。

惠普企业（HPE）披露其Windows和Linux的HPE Systems Insight Manager（SIM）软件中存在远程代码执行漏洞。HPE SIM是针对多个HPE服务器、存储和网络产品的管理和远程支持自动化解决方案。该漏洞被追踪为CVE-2020-7200，严重性评分为9.8，该漏洞是由于对用户提供的数据缺乏适当的验证导致不可信数据的反序列化，从而使攻击者有可能利用这些数据执行代码。目前该漏洞尚无安全更新，但是HPE已提供Windows缓解方法。

安全公司Avast近期发现28款恶意的浏览器插件，包括15个Chrome扩展和13个Edge扩展，已影响300万用户。这28款插件包含大量实现恶意操作的代码，例如将用户流量重定向到广告、将用户流量重定向到网络钓鱼站点、收集个人数据、收集浏览记录、将更多恶意软件下载到用户设备上。目前，Google已删除了15个恶意扩展程序中的3个，而Microsoft因无法确认Avast的报告而尚未进行删除。

黑客将勒索软件SystemBC作为Tor代理和远程控制工具。SystemBC于2019年首次出现，是一种代理和远程管理工具。它既充当隐式通信的网络代理，又充当远程管理工具（RAT），能够执行Windows命令并交付和执行脚本、恶意可执行文件和动态链接库（DLL），还可以提供持久的后门。SystemBC的最新样本中包含的代码没有通过SOCKS5代理充当虚拟私有网络，而是使用Tor匿名网络加密并隐藏命令和控制流量的目的地。

安全公司Sonatype发现新的RubyGems恶意软件包针对加密货币供应链，以窃取加密货币。Sonatype报告称，两个恶意软件包pretty_color-0.8.1.gem和 ruby-bitcoin-0.0.20.gem，伪装成比特币库和用于显示不同颜色效果的字符串的库，安装了一个剪贴板窃取工具。它们可以监视Windows剪贴板的加密货币地址，如果检测到加密货币地址，将会把它替换为攻击者的地址，以窃取加密货币。

FBI称勒索软件团伙DoppelPaymer用打电话的方式恐吓拒付赎金的受害者。FBI表示，这些事件自2020年2月以来一直在发生，并且其他四个勒索软件组织Sekhmet 、 Maze 、Conti和Ryuk也是用过类似的策略。此外，该机构还详细说明了一个特定案例，其中威胁从受攻击的公司扩展到其员工甚至是亲戚，称要把一个人送到一名员工的家里。但FBI表示，在这种情况下，暴力威胁通常是空洞的。

信息安全那些事儿~

长按二维码关注