FBI和NSA联合披露俄罗斯针对Linux的恶意软件Drovorub；黑客利用Windows和IE11中的0day攻击韩国公司

FBI和NSA联合发布安全警报，披露了俄罗斯黑客使用的恶意软件Drovorub，其针对Linux系统植入后门程序。根据FBI和NSA收集的证据，该恶意软件可能属于俄罗斯黑客组织APT28（Fancy Bear，Sednit）。NSA表示，Drovorub是一个多组件系统，具有植入部分、内核模块rootkit、文件传输工具、端口转发模块和命令与控制（C2）服务器，并且有强大的功能，使攻击者能够执行许多不同的恶意操作，例如窃取文件和远程控制受害者的计算机。目前该恶意软件的目的尚未可知，或将进行商业间谍活动甚至是干预美国大选。

网络安全和基础结构安全局（CISA）发布警报，有黑客以COVID-19贷款减免为主题发起网络钓鱼攻击，以进行恶意重定向和凭据窃取。CISA分析师发现一个未知黑客向各个联邦民政执行部门以及州、地方、部落和地区政府的收件人发送了网络钓鱼电子邮件，该邮件主题为SBA申请–审核并继续，包含有一个指向虚假SBA官网的恶意链接。一旦用户点击该链接，就会被重定向到伪造成SBA官网的钓鱼网页，并被窃取登录凭证。

美国金融业监管局（FINRA）警告，有黑客冒充其官网发起钓鱼攻击。在黑客伪造的网站中，其URL为finnra[.]org （真正的官网为finra.org），还包含可用于收集敏感信息的注册表，这些内容都可用于针对FINRA成员的网络钓鱼攻击。此外，BleepingComputer发现该虚假网站与x32team.website解析到了同一个IP地址，而后者属于一个在2018年活跃的黑客组织，目前尚无法找到与该组织相关的其他信息。

卡巴斯基的研究人员发现，黑客利用Windows和IE11中的0day攻击了一家韩国公司。该攻击被称为Operation PowerFall，其利用了Internet Explorer 11中的一个远程代码执行漏洞（CVE-2020-1380）和Windows GDI Print / Print Spooler API中的一个提权漏洞（CVE-2020-0986）。黑客在在远程访问目标计算机之后，使用了一个模块创建了名为ok.exe的文件，并利用CVE-2020-0986以更高的权限运行该文件中的恶意代码。卡巴斯基分析发现， 这些漏洞利用程序与过去的有一些相似之处，并认为黑客组织DarkHotel或也参与其中。

网络安全公司 Cyble发现，黑客在暗网出售印度超过2.1万名学生的个人信息。此次事件泄露的信息包括学生的Aadhar卡、学生证、照片、完整签名、姓名、电话、电子邮件、生日、性别、完整地址、大学、课程、毕业日期、朋友的名字和朋友的号码等信息。研究人员表示，此次泄露可能源于一家金融技术公司。由于安全措施不足，印度的高科技公司一直备受黑客的关注，该事件中黑客可能利用了金融技术公司用于存储用户数据的云系统中的漏洞发起了攻击。

Sonatype发布报告，发现针对开源软件供应链的攻击激增430％。根据该报告，从2019年7月到2020年5月，共发生了929次软件供应链攻击，相比之下，在2015年2月至2019年6月的四年中，只发生了216起此类攻击事件。此外，该报告还指出，企业软件开发团队对开源软件组件漏洞的响应时间不尽相同，47%的组织在一周后意识到了新的开源漏洞，51%的组织花了一个多星期的时间来修复开源漏洞。

信息安全那些事儿~

长按二维码关注