研究团队发现僵尸网络Xanthe利用DockerAPI感染Linux；印度IIMJobs网站遭到攻击，140万用户的数据泄露

研究团队发现了一个名为Xanthe的门罗币加密僵尸网络，可利用配置错误的Docker API来感染Linux系统。该恶意软件可利用多种方法进行传播，如收集客户端证书以通过SSH传播到目标主机。此外，Xanthe具有四个用来绕过检测并增加持久性的附加模块，分别为进程隐藏模块（libprocesshider.so）；禁用其他矿工和安全服务的shell脚本（xesa.txt）；用于删除Docker容器中的竞争性Docker目标加密木马的shell脚本(fczyo)和XMRig二进制文件（以及JSON配置文件config.json）。

联邦调查局（FBI）发现黑客利用自动转发电子邮件规则功能可绕过检测。该功能允许电子邮件地址的所有者设置规则，当满足特定条件时可将传入的电子邮件转发到另一个地址。因此黑客无需冒着触发可疑登录安全警告的风险每天登录目标账户，就可收到所有电子邮件的副本。FBI表示这种方式在BEC攻击中被大量滥用，黑客在入侵了目标电子邮件帐户后，来说服其他员工或业务伙伴授权向其自己的帐户付款。

印度求职网站IIMJobs遭到网络攻击，140万用户的数据泄露。该数据库于2020年11月23日泄露，其中包含多达46GB的数据，影响了约140万注册了该网站的求职者和招聘者。此次泄露的数据包括用户姓名、电子邮件地址、电话号码、地理位置、职业或工作及LinkedIn资料链接。此外，黑客已在暗网上公开了包含使用MD5加密的电子邮件地址和密码哈希的数据库的解析版本。 

美国非营利性医院AspenPointe遭攻击，近30万患者敏感数据泄露。该医院称，其检测到了于2020年9月12日至9月22日之间对网络未经授权的访问，之后立即展开调查。调查于11月10日结束，发现黑客能够访问患者的敏感数据，包括姓名、出生日期、驾照号码、银行帐户信息、社会保险号、医疗补助编号、就诊日期、入院日期、出院日期和诊断代码。该事件已于11月19日报告给卫生和公众服务部公民权利办公室，总共影响到295617个患者。

Juniper Threat Labs发布了有关僵尸网络DarkIRC的攻击活动的分析报告。此次攻击活动利用了Oracle WebLogic服务器中的RCE漏洞（CVE-2020-14882），旨在目标服务器上远程执行代码。DarkIRC具有多种功能，包括于键盘记录，下载文件，在受感染服务器上执行命令，窃取凭证，通过MSSQL和RDP蛮力攻击、SMB或USB传播到其他设备，以及启动多个版本的DDoS攻击。目前，黑客正在以75美元的价格在暗网出售该僵尸网络。

FBI和DHS-CISA在周二发布联合咨询，警告有关APT组织针对美国智库组织的攻击活动。APT组织在攻击中使用了多种渗透媒介，例如针对公司和个人帐户的鱼叉式电子邮件和第三方消息服务，以及利用易受攻击的面向Web的设备和远程连接功能。成功攻击之后黑客可窃取敏感信息，获取用户凭据并获得对受害者网络的持久访问。该咨询还列出了此次攻击活动的技术细节和缓解措施以帮助相关组织应对攻击。

信息安全那些事儿~

长按二维码关注