找回密码
 注册创意安天

每日安全简讯(20190119)

[复制链接]
发表于 2019-1-18 22:15 | 显示全部楼层 |阅读模式
1 研究人员发现Rocke组织使用新Linux挖矿软件

Unit 42研究人员最近捕获了Rocke组织使用的Linux挖矿恶意软件的新样本。Rocke组织使用新代码来卸载五种不同的云安全保护,并监控来自受感染Linux服务器的产品。Rocke组织利用了Apache Struts 2,Oracle WebLogic和Adobe ColdFusion中的漏洞来感染受害者计算机。建立C2连接后,恶意软件将名为“a7”的shell脚本下载到受害者计算机。“a7”通过cronjobs实现持久性,能删除其他加密挖矿软件,并且添加iptables规则以阻止其他加密挖矿软件感染计算机。此外,还能卸载基于代理的云安全产品、下载并运行UPX打包的挖矿软件、调整恶意文件日期时间以及使用带有LD_PRELOAD技巧的开源工具“libprocesshider”从Linux ps命令隐藏进程。
123.png

https://unit42.paloaltonetworks. ... -security-products/


2 研究人员发现针对macOS的OSX.Dok变种

研究人员1月9日发现OSX.Dok的一个新版本与有效的开发者ID签名,Apple接到后,撤销了该开发商的签名,但攻击者仍继续攻击Mac用户。2017版OSX.Dok使用假的预览图标来伪装应用程序包。该恶意软件显然主要针对欧洲Mac用户,并通过电子邮件网络钓鱼活动传播。新版本使用了类似的技巧,当用户安装DMG时,将显示“双击图标以查看文档”的提示。双击Dokument.app启动各种任务并在后台安装许多应用程序。用户桌面显示虚假的“App Store”更新,应用程序会禁用键盘,用户无法取消或强制退出。一些恶意应用会弹出对话框提示用户输入授权凭证,一旦提供密码,OSX.Dok继续安装TOR的隐藏版本以及几个实用程序。恶意软件将多个Apple域名写入本地主机文件,以便将这些域名的连接重定向到127.0.0.1。一旦恶意软件开始捕获用户的流量,它就会连接到暗网上的服务器并传输数据。同时,恶意安装程序会写入多个持久代理。与早期版本一样,新版本OSX.DokKeychain中安装了一个信任证书。它还会写入sudoers文件,以确保可以维护权限,而无需重复请求密码。
2.png

https://www.sentinelone.com/blog ... -infecting-victims/


3 安全厂商发布潜在有害应用程序Zen分析报告

Google Play Protect检测潜在有害应用程序(PHA),并对Zen进行了分析。Zen使用设备上的root权限自动启用创建虚假Google帐户的服务。这些帐户是通过滥用辅助功能服务创建的。Zen应用程序可以从其感染链中的提权木马访问root权限。最简单的PHA使用特制广告SDK为所有与广告相关的网络流量创建代理。广告SDK会收集有关点击次数和展示次数的统计信息,以便更轻松地跟踪收入。Zen的作者使用公开的提权框架创建了一个提权木马,通过在root设备的部分系统上重新安装自己来获得持久性。实现持久性之后,该木马会下载额外的有效载荷,包括另一个名为Zen的木马。Zen木马使用其root权限通过写入系统范围的设置值来打开辅助功能服务。该木马实现了针对不同Android API级别的三种可访问性服务,并使用通过检查操作系统版本选择的这些可访问性服务来创建新的Google帐户。
3.png

https://security.googleblog.com/ ... ts-zen-and-its.html
Google Online Security Blog_ PHA Family Highlights_ Zen and its cousins.pdf (382.12 KB, 下载次数: 33)


4 黑客利用政府和跨国公司漏洞窃取支付卡信息

荷兰研究人员发现政府和跨国公司商店网站被注入支付卡窃取器代码,攻击方式与Magecart相似。经调查,研究人员发现问题出在名为Adminer的小型Web应用程序上,网站所有者在他们的服务器上安装了Adminer以简化数据库管理,一些情况下Adminer隐藏在Magento和WordPress的各种插件中。Adminer可以设密码保护,但许多管理员无法设置密码。由于Adminer连接到任何远程MySQL数据库,自去年10月以来,攻击者一直利用该“漏洞”窃取支付卡信息。
4.png

https://www.zdnet.com/article/on ... -new-security-flaw/


5 研究人员发现MEGA网盘服务泄露87G数据

研究人员发现MEGA网盘服务泄露的87G数据,根文件夹名为“Collection#1”,共计2,692,818,238行的电子邮件地址和密码,其中1,160,253,228条是电子邮件地址和密码的独特组合,但这些数据中并不完全是有效的数据,有772,904,991条电子邮件地址以及21,222,975条密码是不重复的。研究人员还在泄露的数据中发现曾经使用的电子邮件地址和密码。
5.png

https://www.troyhunt.com/the-773 ... ction-1-data-reach/


6 俄克拉荷马州证券部服务器泄露百万份档案

研究人员发现一个暴露的存储服务器,包含3TB数据共计数百万个文件。这些文件的内容包括个人信息、系统凭证、以及俄克拉荷马州证券委员会的内部文档和通信文件。目前尚不清楚数据存储暴露了多久,但搜索引擎Shodan记录的最早的可访问时间是2018年11月30日。研究人员12月7日发现了该服务器,并于12月8日通知俄克拉荷马州。通过文件内容和元数据的最佳可用度量,最早的数据源自1986年,最近一次修改于2016年。数据通过不安全的rsync服务在注册的IP地址公开,来自所有IP地址的任意用户都可以下载存储在服务器上的全部文件。
6.png

https://www.upguard.com/breaches ... curities-commission



               
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 03:44

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表