找回密码
 注册创意安天

每日安全简讯(20190615)

[复制链接]
发表于 2019-6-14 22:20 | 显示全部楼层 |阅读模式
1 攻击者利用基于EternalBlue后门Vools挖矿

趋势科技研究人员近日发现利用影子经纪人公开泄露的方程式组织工具挖矿的攻击活动。攻击者主要利用基于EternalBlue后门Vools,还利用密码转储工具Mimikatz和方程式组织其它工具,最终部署门罗币挖矿恶意软件XMRig。目前还无法确认感染起因,但研究人员发现了发送HTTP请求到服务器的一个安装程序,该服务器目前处于非活跃状态。所有受感染机器的Windows主文件夹存在一个使用.TXT扩展名进行伪装的ZIP文件,以避免检测。ZIP文件包含多个工具组件包括EternalBlue和EternalChampion,最终将恶意DLL释放到在目标机器上。此次攻击活动发生在多国家的教育、通信媒体、银行、制造和技术等领域,针对没有进行修复漏洞的计算机,人口大国中国和印度受感染数量占比最多。
Equation-Group-Tool-3.png

https://blog.trendmicro.com/tren ... ptocurrency-miners/


2 在意大利经营的奢侈品公司遭Nanocore攻击

Yoroi研究人员发现恶意软件Nanocore RAT针对在意大利经营的奢侈品公司的攻击活动,对Nanocore的攻击链进行了分析。攻击初始的恶意电子邮件包含伪装成7z的存档文件,其中包含带有Adobe Acrobat图标的有效PE文件。其释放的Nanocore RAT包装器由Delphi编写,具有高熵值并使用伪造的编译时间戳。通过Win32 API调用检查进程以逃避检测,然后将释放实际的有效载荷,并通过创建XML文件来维持持久性。
vllsvxpvhtkhwkjhngpnnlwhhpkhuxgv.jpg

https://blog.yoroi.company/resea ... eware-attack-chain/


3 AESDDoS僵尸网络通过暴露Docker API传播

趋势科技发现流行DevOps工具Docker Engine-Community的开源版本中的API配置错误,允许攻击者渗透容器并运行变体Linux僵尸网络AESDDoS。此次新攻击中,攻击者首先通过向端口2375发送一个TCP SYN数据包来外部扫描给定的IP范围,端口2375是用于与Docker守护进程通信的默认端口。一旦识别出开放端口,将建立一个请求运行容器的连接。当发现正在运行的容器时,通过使用docker exec命令部署AESDDoS,该命令允许shell访问公开主机中所有适用的正在运行的容器。因此,恶意软件在已经运行的容器中执行,同时试图隐藏自身的存在。
HFS-panel-with-listing-of-hosted-malware-and-tools.png

https://blog.trendmicro.com/tren ... xposed-docker-apis/


4 Linux Exim电子邮件漏洞被利用传播恶意软件

Cybereason表示Linux Exim电子邮件服务漏洞正被积极利用传播挖矿恶意软件。该漏洞ID为CVE-2019-10149,攻击者使用安装在目标机器上的私有身份验证密钥进行根身份验证。一旦建立了远程命令执行,将部署一个端口扫描器来搜索要感染的其它易受攻击的服务器。在安装挖矿程序之前,将移除目标上的任何现有的挖矿程序和对挖矿软件的任何防御。Exim电子邮件服务约占互联网电子邮件服务器的57%,目前全球有超过350万台服务器面临风险。相关用户需尽快更新至最新版本。
Screen Shot 2019-06-13 at 5.16.32 PM.png

https://www.cybereason.com/blog/ ... erver-vulnerability


5 法国当局发布pyLocky勒索软件免费解密工具

法国执法部门、国土安全信息技术和系统服务部门以及志愿研究人员共同创建发布勒索软件pyLocky版本1和版本2的解密器。法国内政部表示虽然pyLocky没有广泛分布,但在欧洲非常活跃,目前法国已存在许多受害者。要使用此解密器,受害者需要安装Java Runtime。安装后,受害者可以双击PyLocky_Decryptor_V1_V2.jar文件以启动解密器。
ransom-note.jpg

https://www.bleepingcomputer.com ... french-authorities/


6 Twitter URL可被黑客利用进行多种恶意活动

Twitter为推文创建URL的方式可能会被黑客利用进行各种恶意活动,包括分发恶意软件,传播虚假新闻以及将用户重定向到网页仿冒网页。推文的URL包含用户名和状态ID,但是用户名与指向特定推文无关,而只需要状态ID,所以尽管用户名不同,如果状态ID相同,URL都可以指向同一条推文。这允许攻击者操纵URL并诱使用户相信Twitter用户正在宣传特定的推文及其内容。通过这种方式,攻击者可以传播虚假新闻或恶意内容,因为用户点击推文会认为它来自可信来源。
shutterstock_550359199.jpg

https://cyware.com/news/twitter- ... te-malware-66eaf4f7



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 21:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表