盗版真的带毒 泄露IDA内含朝鲜黑客后门

1、盗版真的带毒 泄露IDA内含朝鲜黑客后门

安全圈又遭社工攻击，泄露IDA PRO竟带后门，朝鲜黑客再得一分。

ESET安全研究员发现Lazarus在传播盗版IDA PRO，仔细分析发现，其中内含后门，这版IDA传播极广，中招者不计其数。这并非是朝鲜黑客首次针对安全圈发动社工攻击了，之前就有过利用漏洞报告吸粉然后私聊收割的案例（虽然考虑到这版IDA PRO的最初发布时间，说之前也并不精确）。这次初步推测是针对圈内专攻逆向的安全研究员，IDA PRO如此高的价格，很可能就连顶尖的安全研究员也难逃此次社工攻击。已经有多家安全公司和安全研究员发布了预警和检测脚本，使用泄露IDA的小伙伴抓紧试一试。[阅读原文]

 

2、双十一黑客也要买买买 伊朗黑客采购美政府数据

FBI对私营行业发出安全警告（TLP：AMBER），称伊朗黑客正着手采购美国政府和企业相关的数据。

此时恰逢双十一，不知道采购数据会便宜多少，全场五折，买一发三指望不上，送点便宜数据也不是不行。FBI分析，伊朗黑客买这些数据是为了当作日后攻击的弹药，窃取新的数据，并提醒政企及时修补漏洞。虽然FBI连名字都没给此次攻击行动中的黑客取，但他们确信这就是伊朗政府雇佣的国家级黑客，理由是之前伊朗黑客组织曾用类似方法攻击选举网站以支持特朗普。[阅读原文]

 

3、重置网站插件的漏洞可以重置网站

重置网站插件可以让网站重置，这再正常不过了，只是点确定的人不一定是你罢了。

WordPress重置插件WP Reset PRO被发现存在漏洞，可以让普通用户行驶管理员的特权——重置网站，重置之后还可以重新注册为管理员。虽然这样已经够危险了，但它还有其他并发症，可以让黑客访问同服务器的其他站点，到时候站长真的是欲哭无泪。安装此插件的用户还请尽快更新，或者调整注册功能，或者不要写一些会惹用户生气的文章。[阅读原文]

 

4、赫尔墨斯的文书——利用隐形字符的恶意代码

安全研究员最近探索出一种绕过人眼识别的隐藏恶意代码方法，那就是隐形字符。

这种攻击方式并不能说多么新奇，但是随着安全研究员的持续迭代，也逐步走向了实用化。以前对于恶意代码多用各类混淆来增加分析难度，解混淆后可读性就会大大增强，这种方法针对的则是可读的代码部分，利用隐形字符将恶意代码隐藏起来，让分析人员摸不着头脑。经过安全研究员测试，很多编辑器对这种代码都不能很好地显示，不过假如分析人员上大招，将其拷入IDE中分析，这些恶意代码就会原形立现，VS Code、Notepad++等都不受此影响。尽管如此，对于怕麻烦的分析人员还是可以起到作用的，之后可能会作为对懒惰分析人员的特攻武器，装备入各种后门之中。[阅读原文]

 

5、合作双赢 TrickBot与Shatak强强联合分发Conti勒索软件

Shatak（TA551）最近被发现与TrickBot（Wizard Spider、ITG23）同流合污，疯狂进行勒索软件攻击。

Shatak是老交际花了，之前一直和各种团队合作部署恶意软件，和TrickBot的蜜月期也已早早度过，如今已是亲密合作伙伴。据安全研究员调查，他们7月就开始合作部署Conti勒索软件，并取得了不错的成果。在攻击中，Shatak是先锋，负责利用钓鱼邮件突破目标网络防护，接着投放TrickBot开发的恶意软件，最后TrickBot通过Cobalt Strike部署Conti进行勒索操作。目前来看，两家对现状都很满意，当然对用户来说黑客组织强强联合肯定不是什么好消息，只能生活中多多注意。[阅读原文]