内存安全周报 | 厚积薄发，临危不乱 – 作者:安芯网盾

厚积薄发，临危不乱。

近年来基于内存攻击、无文件攻击、缓冲区溢出等新兴攻击手段愈演愈烈，这些高级威胁常常利用了传统安全防护对系统自带的工具较为疏忽的痛点，在内存中远程加载和执行恶意代码进而达到数据窃取、破坏或勒索目的。

安芯网盾内存安全周报专栏，帮助企业更好的理解和认识到内存安全问题，希望能帮助用户有效应对系统设计缺陷、外部入侵等威胁，帮助用户实时防御并终止无文件攻击、0day 攻击、基于内存的攻击等。

1、APT28利用伪造的北约培训文档瞄准政府机构。

（9.24）

网络间谍组织APT28发起了一系列利用Zebrocy Delphi恶意软件的针对政府机构的攻击。Zebrocy恶意软件利用伪造的北约培训材料作为诱饵传播，在VirusTotal上的检测率仅为 3/61。另外，Zebrocy恶意软件是一个持久的后门，攻击者可以利用该后门来进行系统侦察并完全控制目标系统。其中的恶意代码会创建一个Windows调度的任务，该任务每分钟运行一次，并以混淆和加密的形式将数据发送到C2服务器，并带有post请求。该组织很可能针对与北约演习合作的其他北约成员或国家。

​

2、新的勒索攻击组织OldGremlin利用强大的后门程序对大型企业发起攻击。

（9.25）

一个新的勒索攻击组织OldGremlin正在使用自定义后门（TinyPosh和TinyNode）和勒索软件（TinyCrypt，又名decr1pt）以及第三方软件进行侦察和横向移动。攻击者通过鱼叉式网络钓鱼电子邮件开始攻击，该电子邮件提供了用于初始访问的自定义工具。他们使用有效名称作为发件人地址，冒充知名人士。OldGremlin通常在潜伏几周后才开始实施攻击，他们会删除服务器备份并锁定目标企业网络上的数百台计算机，对其进行超过5000美元的勒索。该团伙对攻击目标并不挑剔，只要是俄罗斯的知名企业（医学实验室，银行，制造商，软件开发商），就可能成为OldGremlin的受害者。

​

3、CISA警告利用LokiBot的攻击显著增加。

（9.22）

美国网络安全和基础设施安全局（CISA）发布了新的安全公告，警告自2020年7月以来使用LokiBot恶意软件的攻击激增。LokiBot的工作原理是感染计算机，然后使用系统内置功能搜索本地安装的应用程序并从其内部数据库中提取凭据。此外，LokiBot还可以用作后门，使黑客能够在受感染的主机上运行其他恶意软件，从而升级攻击。多年来，LokiBot已成为当今最受欢迎的密码窃取者之一。

​

​

安芯网盾（北京）科技有限公司（简称安芯网盾）是专注于内存安全的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾拥有赶超国际的智能内存保护技术，核心团队成员自2005年就专注于信息安全攻防对抗产品的研发并斩获多项国际大奖，被评为具有发展潜力和行业价值的网络安全新创企业。

安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境，防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁，切实有效保障用户的核心业务不被阻断，保障用户的核心数据不被窃取，已为华为、Google、工商银行、瑞斯康达、OPSWAT、费尔等众多国际知名企事业单位持续提供服务。

来源：freebuf.com 2020-09-28 10:41:47 by: 安芯网盾