1、研究人员发现DarkCrewFriends组织的新活动   

Check Point研究人员最近监测到了一个知名黑客组织“DarkCrewFriends”正在进行且持续发展的恶意活动。该活动主要目标是针对PHP服务器，其目的是创建多种目的的僵尸网络基础结构。

在过去的几年中，DarkCrewFriends一直保持活跃。该黑客组织同时提供各种服务，从恶意木马到网站流量服务，并被认为是造成意大利一家新闻网站数据泄漏的责任方。

当前的攻击链包括利用一个不受限制的文件上传漏洞，上传一个恶意的PHP web shell，以及使用IRC通道与C&C服务器通信。攻击者可以利用恶意软件的各种功能，例如DDoS攻击类型和shell命令执行。

 2、CVSS评分为“10分”的安全漏洞：攻击的复杂度极低

6月29日，Palo Alto Networks公布了影响PAN-OS的一个SAML 认证绕过漏洞，漏洞CVE编号为CVE-2020-2021，该漏洞CVSS V3.1评分为10分。表明攻击的复杂度非常低，无需复杂的技术能力就可以利用该漏洞，漏洞利用对机密性、完整性和可用性的影响都是高。

USCYBERCOM Cybersecurity Alert发推称黑客可能会利用该PAN-OS安全漏洞发起攻击，并且建议用户尽快修复。

从技术层面来看，该漏洞是一个认证绕过漏洞，攻击者利用该漏洞无需提供有效的凭证就可以访问受影响的设备。攻击者利用该漏洞可以修改PAN-OS 设备和特征。修改OS的一些特征看似是无害的，但是因为可以利用这些特征来禁用防火墙或VPN的访问控制策略，然后禁用整个PAN-OS 设备，因此也是一个很严重的问题。

在启用了SAML认证并禁用了'Validate Identity Provider Certificate'（验证身份提供商证书）时，未经认证的网络攻击者可以利用PAN-OS SAML认证中不适当的签名认证来访问受保护的资源。要利用该漏洞，攻击者必须有有漏洞的服务器的网络访问权限。

3、对新型勒索软件Tycoon的分析

黑莓的安全研究部门最近发现了一种新型勒索软件，攻击了欧洲一家教育机构。与迄今为止发现的大多数勒索软件不同的是，这种新的勒索软件模块被编译成一种Java图像文件格式（JIMAGE）。JIMAGE是一种存储自定义的JRE映像的文件格式，它的设计是为了在运行时被Java虚拟机（JVM）使用。

Tycoon是针对Windows和Linux的多平台Java勒索软件，至少从2019年12月开始就在网络中被观察到。它以木马Java运行时环境（JRE）的形式部署，并利用晦涩的Java图像格式在安全环境中运行。

研究人员观察到Tycoon背后的攻击者利用高度定向的传递机制渗透到教育和软件行业的中小型公司和机构，并对文件服务器加密并索要赎金。然而，由于公共RSA私钥的重复使用，在早期的变体中可以直接恢复数据而不需要支付赎金。

4、利用中印边境冲突为诱饵的攻击活动分析

Zscaler ThreatLabZ团队最近获取到了一个攻击样本，试图利用当前的中印边境争端诱使受害者打开附加的恶意文档。

攻击样本的特点：

该攻击是无文件的，因为没有在磁盘上写入任何payload，也没有建立持久性。

Shellcode与命令和控制（C＆C）服务器通信下载Shellcode时使用伪造的HTTP主机字段。

用  DKMC框架使用隐写术将通信隐藏。

使用可扩展的C＆C配置文件使用Cobalt Strike传输。

攻击者将恶意诱饵文件打包为电子邮件附件发送给了受害者，该文件名为“ 印中边境冲突.doc”，其中包含印度时报有关同一主题的文章。该文件包含一行内容，内容为“东南亚安全研究员对地缘战略的分析”，表明目标可能是东南亚的安全研究员。

5、研究人员发现了最新的针对mac的勒索软件

安全研究员发现了针对macOS的新型勒索软件EvilQuest，该勒索软件通过盗版软件包传播。EvilQuest不同于常见的勒索软件，具备常规加密功能的同时还部署键盘记录程序，以及窃取加密货币钱包文件。其会安装一个名为“patch”的可执行文件到/Users/Shared/目录中，然后，调用“eip_encrypt”函数加密受害者的文件。

6、思科发布APT报告称PROMETHIUM/StrongPity3 APT扩展了全球影响力

思科的安全研究人员发布了针对StrongPity3 APT最新的报告，研究人员分析称尽管在过去四年中多次遭到曝光，但StrongPity背后的行动者并没有停止APT行动。StrongPity3继续扩大其受害者范围，并袭击似乎无利益相关的国家。

2012年以来活跃的PROMETHIUM，在过去几年中曾多次曝光。.但是，这并没有阻止该组织继续扩大其活动。通过匹配诸如代码相似性，命令和控制（C2）路径，工具包结构和恶意行为等指标，思科识别了大约30个新的C2域。当按创建日期月份和年份进行聚类时，我们估计PROMETHIUM活动对应于五个活动峰值。