今夏最热门的恶意软件攻击

在整个攻击-杀伤链中，Astaroth没有在磁盘上丢弃任何可执行文件，也没有使用任何非系统工具的文件，在内存（RAM）中完全运行其有效负载。

Sodinokibi利用CVE通过MSP网站推送勒索软件

Sodinokibi（“Sodi”）勒索软件很少使用Windows漏洞，即微软去年修补的CVE-2018-8453，该漏洞可获得管理员级访问权限。Sodinokibi被怀疑是GandCrab勒索软件即服务的继承者，它通过托管服务提供商（MSP）网站传播，这是一种供应链攻击形式，下载链接被勒索软件可执行文件取代。最初，由于其“主加密密钥”方法，被怀疑是作为地下服务提供的，现已证实，事实确实如此。

#Sodinokibi#REvil勒索软件作为一项服务进入了俄罗斯黑客论坛

达米安（@Damian1338）2019年8月28日

好消息是，没有一个模拟这种特定变体的组织被发现易受攻击；然而，今年夏天其他Sodi变种的暴露率在60%到77%之间，这取决于测试的菌株。

德国雨刷勒索软件雪上加霜

针对德语国家，GermanWiper并不真正加密文件。相反，它会用零覆盖受害者的所有内容，从而不可逆转地破坏他们的数据。因此，赎金单是伪造的，使得任何支付都毫无用处，而且离线备份对恢复至关重要。

该恶意软件伪装成带有简历附件的求职申请，通过垃圾邮件活动传播。64%的组织在测试针对它的控制时，模拟GermanWiper似乎很脆弱。

MegaCortex勒索软件勒索美国和欧盟企业

对…构成威胁70%的组织根据进行的攻击模拟，MegaCortex故意以大型公司为目标，以勒索更大金额的现金，从200万美元到600万美元不等。MegaCortex运营商破坏了对企业至关重要的服务器，并对它们和连接到主机的任何其他系统进行加密。

这个勒索软件最初是使用一个有效载荷执行的，该有效载荷使用在现场感染期间手动输入的密码进行加密。在较新的版本中，该密码与其他自动功能（如安全规避技术）一起被硬编码。该恶意软件还进化为从内存解密并运行其有效负载。

沉默APT在全球范围内传播针对银行的恶意软件

说俄语的高级持久性威胁（APT）组织是世界上最复杂的组织之一，最近更新了其TTP，以加密关键字符串，包括为逃避检测而向机器人发出的命令。最初，黑客会向潜在受害者发送侦察电子邮件，以识别易点击者。在最初感染后，黑客现在通过重写的TrueBot加载程序或名为Ivoke的无文件加载程序向受害者传播额外的恶意软件，通过DNS隧道隐藏C2通信。在过去的一年里，该集团已经积累了大约400万美元。

根据Cymate的数据，84%的组织容易受到今年夏天发布的压力的影响。

图拉利用被劫持的石油钻井平台APT集团的服务器攻击政府

Turla被认为专门针对政府和国际机构，劫持了与伊朗有关的石油钻井平台APT集团的基础设施。该组织结合使用定制恶意软件、修改版本的公开黑客工具和合法的管理软件，一直在向LOTL技术发展，其受害者包括十个不同国家的部委、政府和通信技术组织。

在进行安全测试时，70%的组织容易受到这种威胁。

夏天已经过去了，想评估一下你们组织的安全态势吗？探索漏洞和攻击模拟如何为您提供所需的即时、可操作的见解。