免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 安全厂商披露Lazarus四个macOS恶意软件家族
Sentinelone介绍与Lazarus组织相关的针对macOS平台的四个恶意软件家族。第一个为DaclsRAT恶意软件,通过被木马化的“一次性密码”(OTP)应用程序TinkaOTP传播,DaclsRAT嵌入了开源MinaOTP项目的副本,以掩盖其恶意活动。第二个为CoinGoTrade和Cryptoistic,通过建立的虚假网站,诱使用户下载恶意加密货币应用程序来传播。第三个为OSX.Casso,是轻量级的后门二进制程序家族,主要是用Objective-C和C编写的,大量使用了内置在操作系统中的标准C库,通过恶意Album.app传播。第四个是研究人员所发现的WatchCat和MediaRemote的恶意软件样本。
https://www.sentinelone.com/blog ... les-macos-platform/
2 QSnatch恶意软件感染超6万个QNAP NAS设备
美国网络安全和基础设施安全局(CISA)和英国国家网络安全中心(NCSC)发布有关QSnatch恶意软件攻击QNAP NAS设备的联合警报。CISA和NCSC正在调查一种名为QSnatch的恶意软件,攻击者于2019年末使用该恶意软件来攻击QNAP公司制造的网络连接存储(NAS)设备。如果未进行安全修复程序更新,则所有QNAP NAS设备都可能容易受到QSnatch的攻击。此外,一旦设备被感染,攻击者就可以阻止管理员成功运行固件更新。到2020年6月中旬,QSnatch已感染全球大约62,000台QNAP NAS设备,其中北美和欧洲感染率占比较高。
https://us-cert.cisa.gov/ncas/alerts/aa20-209a
3 研究人员发现具有勒索软件功能的PHP Webshell
Ensiko是具有勒索软件功能的PHP Webshell,可针对多平台,例如Linux、Windows、macOS或安装了PHP的任何其他平台。该恶意软件具有远程控制系统并接受命令以在受感染机器上执行恶意活动的能力。它还可以在受感染的系统上执行shell命令,并通过PHP反向shell将结果发送回攻击者。它能够扫描服务器上是否存在其他webshell、破坏网站、发送大量电子邮件、下载远程文件、披露有关受影响服务器的信息,针对文件传输协议(FTP)、cPanel和Telnet的暴力破解攻击、覆盖文件具有指定的扩展名等。
https://blog.trendmicro.com/tren ... mware-capabilities/
4 黑客窃取Waydev的GitHub和GitLab OAuth令牌
软件公司使用的分析平台Waydev披露其遭到黑客入侵,GitHub和GitLab OAuth令牌被窃取。Waydev CEO表示,黑客利用一个SQL注入漏洞访问其数据库,从而窃取GitHub和GitLab OAuth令牌。然后,黑客可利用其中的一些令牌,转向其他公司的代码库,访问其项目源代码。在GitHub检测到来自客户的Waydev令牌的可疑活动之后,Waydev与GitHub和GitLab合作,对该事件进行了有效处理。根据目前的证据,黑客似乎只获得了其客户代码库的一小部分的访问权限。OAuth令牌已经被滥用至少侵入了另外两家公司,Dave.com和Flood.io。
https://www.zdnet.com/article/ha ... lytics-firm-waydev/
5 Cerberus Android银行木马源代码在暗网出售
Cerberus Android银行木马作者正在暗网出售该木马源代码,起价为5万美元,但买家出10万美元即可立即完成交易。Cerberus于2019年8月出现,其实现了与其他Android RAT类似的功能,允许操控者可以完全控制受感染的设备。出售的整个项目包括组件的源代码(恶意的APK、管理面板和C2代码)、安装指南、用于安装的脚本集、具有活动许可证的客户列表以及客户和潜在买家的联系方式。
https://securityaffairs.co/wordp ... trojan-auction.html
6 视频制作网站Promo在线泄漏2200万用户记录
总部位于以色列的营销视频创建网站Promo.com披露了数据泄露事件,其包含2200万用户记录的数据库在黑客论坛上免费泄露。泄露的数据包含用户的电子邮件地址、名称、性别、地理位置以及260万用户的哈希密码。这次泄露的数据包括140万个被破解的密码,表示攻击者可以利用这些凭据进行攻击活动。该帖子最终被删除,但是在过去的一周中,另一个数据泄露卖方在同一黑客论坛上再次发布了该数据库,但不清楚是否仍然包含已被破解的密码。
https://www.bleepingcomputer.com ... ords-leaked-online/
|