找回密码
 注册创意安天

每日安全简讯(20200112)

[复制链接]
发表于 2020-1-11 21:39 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 研究人员发现针对企业网络的新勒索软件Ako

研究人员发现了新勒索软件Ako的受害者,其Windows 10桌面和Windows SBS 2011服务器被加密。研究人员分析发现新勒索软件Ako与MedusaLocker存在相似之处,包括其反Windows行为和注册表映射的驱动器,禁用了目标并隔离了用于加密的特定计算机。Ako启动后,首先执行命令以删除卷影副本,清除最近的备份并禁用Windows恢复环境。Ako在注册表项下创建注册表值  EnableLinkedConnections ,并将其设置为1,以确保即使在UAC启动过程中也可以访问映射的驱动器。然后Ako将加密文件,并使用随机生成的扩展名重命名文件名。在加密过程中,Ako将使用GetAdaptersInfo函数获取网络适配器及其关联IP地址的列表,Ako是针对整个目标网络而不是单个设备进行加密。
encrypted-files.jpg

https://www.bleepingcomputer.com ... tacking-businesses/
Ako Ransomware_ Another Day, Another Infection Attacking Businesses.pdf (810.03 KB, 下载次数: 30)


2 安全厂商发布主动式挖矿蠕虫技术分析报告

AT&T Alien Labs对主动式挖矿蠕虫进行了技术分析。攻击者针对易受攻击的Exim、Confluence和WebLogic服务器,一旦被利用,恶意软件就会被部署到受感染的机器上,这些恶意软件的主要目标是挖取Monero加密货币。研究人员所分析的样本,首先对目标进行入侵,当成功并实现代码执行时,就从C&C服务器下载并执行部署BASH脚本。该脚本为加载器,还具有感染其他主机和维护持久性的蠕虫功能。该脚本会检查计算机是否已被感染,并结束检测到的挖矿恶意软件进程,然后,它尝试通过SSH感染其它计算机。最后,攻击者将选择循环下载恶意软件,在第一个恶意软件成功部署时打破循环。
1578745425(1).png

https://cybersecurity.att.com/bl ... e-cryptomining-worm


3 纽约奥尔巴尼国际机场遭到Sodinokibi攻击

美国纽约州北部尔巴尼国际机场在圣诞节期间,遭到Sodinokibi勒索软件攻击,机场服务器遭到加密。机场官员称,勒索软件加密了预算电子表格等管理文件,但未访问任何个人或财务旅客数据,也未影响当局监管的奥尔巴尼国际机场或运输安全管理局或航空计算机。攻击事件发生后,机场当局的保险公司授权支付“不到六位数”比特币赎金,并在两个小时后收到一个加密密钥,使机场当局可以恢复其数据。
ransomware.jpg

https://apnews.com/fbefe0ccdfac9279df8c817068482b1b


4 谷歌应用商店存在千个恶意Bread欺诈程序

谷歌从其Play应用商店中发现并删除了1700个恶意Bread应用程序,Bread也称Joker,是专门为短信欺诈而设计的应用程序。Bread应用程序除了短信欺诈的旧版本,还增加了话费欺诈的新版本,二者都利用涉及用户运营商的移动计费技术。两种计费方法均提供设备验证,但不提供用户验证。运营商可以确定请求源自用户的设备,但不需要来自用户的任何无法自动化的交互。恶意软件开发者使用注入的点击,自定义HTML解析器和短信接收器来自动化计费过程,而无需用户进行任何交互。
phaFamilyHighlights_Bread.png

https://security.googleblog.com/ ... ad-and-friends.html


5 欧洲皮肤护理品牌网站遭到MageCart攻击

Rapidspike研究人员发现欧洲皮肤护理品牌Perricone MD多个欧洲网站遭到MageCart攻击,窃取信用卡信息。此次攻击可能是由于运行网站的Magento平台存在漏洞所致,导致两个黑客组织能够将恶意代码直接插入网站,第一个黑客组织活动可追溯到2018年11月,第二个黑客组织可能是通过同一漏洞在2019年11月获得了对网站的访问权限,插入攻击者所拥有的恶意域加载信用卡窃取程序。研究人员目前尚无证据表明任何信用卡或个人信息已被破坏。
perriconemd-checkout.png

https://www.rapidspike.com/blog/ ... -from-perricone-md/


6 电缆调制解调器易遭Cable Haunt漏洞攻击

四名丹麦安全研究人员组成的团队本周披露使用Broadcom芯片的电缆调制解调器容易遭到Cable Haunt漏洞攻击。该漏洞影响Broadcom芯片的标准组件,称为频谱分析仪。这是一个硬件和软件组件,可以保护电缆调制解调器免受通过同轴电缆带来的信号干扰。研究团队表示,Broadcom芯片频谱分析仪缺乏针对DNS重新绑定攻击的保护,使用默认凭据,并且其固件中还包含编程错误,攻击者通过诱使用户通过其浏览器访问恶意页面,可以使用浏览器将漏洞传递给易受攻击的组件,并在设备上执行命令。Cable Haunt的漏洞被认为仅在欧洲就影响大约2亿个电缆调制解调器。
cable-haunt.jpg

https://www.zdnet.com/article/hu ... aunt-vulnerability/
Cable Haunt.pdf (7.1 MB, 下载次数: 25)



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 16:44

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表