【火绒安全周报】黑客冒充美女向国防员工发恶意软件/勒索团伙开价数百万美元招募成员

1、黑客冒充美女向国防员工发恶意软件

据报道，被网络安全研究人员称作 TA456 的黑客团队，正在发起针对国防承包商员工的攻击。其试图通过社工手段，用恶意软件感染受害者的计算机。研究人员指出，攻击者在 Facebook 上创建了一个假装是有氧舞蹈教练的角色账号，并与一名在航空航天领域的承包商子公司工作的员工建立了联系。据说双方通过企业和个人通讯平台维持联系，而攻击者利用持续的电子邮件通讯来发送目标恶意软件，并在受感染的计算机上建立持久的窃密连接，以将侦查细节提供给命令与控制端。值得一提的是，在每次运作的时候，恶意软件还会抹除在前一天留下的痕迹。对此Facebook进一步透露，该组织的目标是美国、英国和欧洲的大约200名军事人员和航空航天和国防公司。目前，该账户资料已被Facebook删除。

原出处：cnBeta

相关链接：

https://www.cnbeta.com/articles/tech/1160339.htm

绒绒点评

火绒安全周报

2、勒索团伙开价数百万美元招募核心人员

许多勒索软件团伙以勒索软件即服务的形式运作，由核心开发人员组成，他们维护勒索软件和支付网站，并招募了破坏受害者网络和加密设备的附属机构。然而，多数情况下，附属公司都是从其他第三方渗透测试者那里购买网络访问权，而不是自己破坏公司。在 LockBit 2.0 中，勒索软件团伙正试图移除中间人，转而招募内部人员为他们提供访问公司网络的权限，勒索软件团伙还表示，他们将向发送一个应该在计算机上执行的“病毒”，以此来帮助他们远程网络。内部人员作为回报，内部人员将获得数百万美元的报酬。

原出处：BLEEPLINGCOMPUTER

相关链接：

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-recruiting-insiders-to-breach-corporate-networks/

绒绒点评

火绒安全周报

3、勒索失败之后黑客公开窃取的 EA 游戏源代码

一个半月前，黑客利用 Slack 和社会工程技术从 EA 公司窃取到了 780GB 的游戏源代码，在勒索失败之后黑客在地下论坛以及 BT 网站上公开了窃取的游戏源代码。黑客一开始试图以 2800 万美元的价格出售窃取的数据，但未能找到买家，原因可能是网络犯罪分子对用户数据更感兴趣，游戏源代码对他们没什么价值。随后黑客试图以未披露的金额勒索 EA 公司，他们首先公开了 1.3GB 的 FIFA 源代码，在 EA 拒绝勒索之后公开了全部数据。对此，EA 表示没有用户数据泄露。

原出处：solidot

相关链接：

https://www.solidot.org/story?sid=68428

绒绒点评

火绒安全周报

4、PyPI 软件库又发现恶意软件

继今年6月出现挖矿病毒后，PyPI最近再次出现了一批恶意软件。近日，安全人员发现PyPI 库中包括noblesse、aryi等在内的多个软件存在盗取信用卡信息、远程注入代码的行为，而这些软件总共被下载了 3 万次。此外，这些软件的安装包都在使用Base64 编码进行伪装。目前PyPI维护人员已经删除了这些恶意软件包。对此，安全人员表示，如果已经安装了诸如noblesse的恶意软件，请及时检查浏览器中保存的密码，并尽快修改。

原出处：IT之家

相关链接：

https://www.ithome.com/0/567/170.htm

绒绒点评

火绒安全周报

5、西安一医院网管因不满报复 入侵医院内网服务器

近日，西安市公安局莲湖分局成功侦破一起黑客类网络攻击犯罪案件，该案是公安莲湖分局侦破的首例破坏医院计算机信息系统案。据悉，自2021年3月起，莲湖区某医院网络系统持续出现故障，导医台、诊室系统等网络设备无法正常联网，医院诊疗秩序受到破坏。公安莲湖分局接到报警后，第一时间对受破坏网络系统开展电子证据数据侦查、取证工作，收集攻击日志近10万条，提取电子证据1.2TB。经审查，犯罪嫌疑人白某某系该院前网络系统管理员，因对院方不满萌生报复心理，遂利用自学网络知识，非法入侵医院内网服务器，远程进行破坏性操作。目前该名嫌疑人已被刑事拘留。

原出处：安全内参

相关链接：

https://www.secrss.com/articles/33102