设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20200516)
返回列表 发新帖

每日安全简讯(20200516)

[复制链接]
发表于 2020-5-15 21:33 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员发现使用Covid-19诱饵传播的Node.js木马

研究人员最近发现以Covid-19为诱饵的网络钓鱼活动传播Node.js木马,该木马被称为QNodeService。该恶意软件能够下载、上传、执行文件,从Chrome、Firefox浏览器窃取凭据以及执行文件管理等。它针对Windows系统,但是其设计和某些代码段表明跨平台兼容性可能是未来的目标。感染始于Java下载器,其被Allatori混淆器混淆,并添加垃圾代码和混淆字符串。下载的Node.js到User Profile目录,还下载wizard.js文件。然后,使用带有多个命令行参数的Node.js运行此文件。wizard.js负责持久性机制,并根据系统体系结构下载另一个有效载荷qnodejs-win32-ia32.js或qnodejs-win32-x64.js。
 Fig1-QNode.jpg

https://blog.trendmicro.com/tren ... -via-covid-19-lure/

2  Hoaxcalls和Mirai利用赛门铁克Web网关漏洞传播

Unit 42发现新Hoaxcalls和Mirai僵尸网络活动利用赛门铁克安全Web网关 5.0.2.8中的身份验证后远程执行代码漏洞传播。该产品已分别于2015年和2019年结束其使用和支持生命周期,目前尚未发现任何其他固件版本易受该攻击。4月24日,新版本的Hoaxcalls僵尸网络开始使用该漏洞进行活动。新版本Hoaxcalls支持额外命令,以更好地控制受感染的设备,例如代理通信、下载更新、在设备重新启动后保持持久性或组织重启,以及可以发起更多的DDoS攻击。5月的第一周,研究人员还发现了Mirai变种活动,该变种不包含任何DDoS功能,而主要目的是通过暴力破解和利用该漏洞进行传播。
 Vulnerability-r3d3-900x450.png

https://unit42.paloaltonetworks. ... antec-web-gateways/

3  Glupteba木马新活动仍利用MikroTik路由器漏洞

Zscaler研究人员发现Glupteba木马新活动仍利用MikroTik路由器漏洞,并使用EternalBlue漏洞横向传播。Glupteba木马被归为释放器,但它具有从受感染系统中窃取信息的能力,并正在积极发展中。Glupteba使用Go编程语言编写,初始文件被自定义打包。二进制文件通过首先使用模仿系统进程的名称将自身复制到Windows目录来实现持久性。此后,它将启动计划任务程序来调度可执行文件以最高特权定期运行,并使用“certutil”下载最新的二进制文件。建立持久性后,该恶意软件将验证它是否以管理员帐户运行。如果不是,它将使用fodhelper方法绕过UAC以提权。这将允许攻击者获得对受感染机器(可能还有网络)的更强控制。 Glupteba可安装挖矿恶意软件和下载能够控制路由器和中继流量的组件。
 eternalblue.png

https://www.zscaler.com/blogs/re ... routers-still-large

4 ProLock勒索软件分发QakBot木马来获得初始访问权

研究人员介绍了ProLock勒索软件的TTP。ProLock主要通过分发QakBot木马或利用RDP服务获取初始网络访问权。QakBot是一种银行木马,通过网络钓鱼活动传播。QakBot木马会通过武器化的文档传播,文档包含恶意宏,启用恶意宏后,将执行PowerShell,从C2服务器下载和运行QakBot。QakBot通过计划任务和建立注册表项建立持久性,使用被盗或伪造的签名和explorer.exe执行进程注入技术等来逃避检测。QakBot从云存储库下载批处理脚本并使用PsExec执行进行横向移动。QakBot获取凭据之后,ProLock将开始使用WMI的命令行界面进行部署。ProLock幕后组织也会从目标网络中收集数据,以提高他们满足勒索要求的机会。
 ProLock2.jpg

https://www.bleepingcomputer.com ... for-network-access/

5 黑客入侵英国国防承包商窃取10万名员工详细信息

本月初,英国国防部承包商Interserve被黑客入侵,多达包含前任和现任共10万名员工的详细信息被盗。被窃取的信息包含姓名、地址、银行信息、薪资信息、近亲信息、人事和纪律记录,并且承包商的某些运营服务可能会受到影响。
 5bfe_shutterstock_1157527744.jpg

https://www.theregister.co.uk/2020/05/15/interserve_breach/

6 黑客出售包含5.5亿条被盗用户记录的数十个数据库

Cyble安全专家报告称,自5月7日以来,黑客正试图在一个黑客论坛上出售29个数据库。论坛成员还可以单独购买每个数据库。据称这些档案总共包含5.5亿条被盗用户记录,其包括数百万个已经破解的密码。数据似乎来自过去的数据泄露事件,最早的一次可以追溯到2012年,而最新的一次可以追溯到2020年4月。
 cracked-passwords.jpg

https://securityaffairs.co/wordp ... atabases-offer.html

回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 14:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表