每日安全简讯(20210203)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布针对某云平台服务器的“云铲”挖矿木马事件分析

近日，安天CERT联合哈尔滨工业大学联合实验室通过网络安全监测发现了一起Linux系统挖矿木马事件。该起事件对某云平台服务器部分网段以及样本所在内网和其他外网段大量扫描，利用SSH暴力破解传播挖矿程序。该木马对某云平台服务器存在一定的针对性，安天CERT基于此特点将该事件中的挖矿木马命名为“云铲”，并在报告中给出了相应的检测、处置和加固方案。安天智甲终端防御系统（Linux版本）可实现对该起事件样本的查杀与有效防护。


https://mp.weixin.qq.com/s/GYVIMvFw-xdcV8wy3BZrRg

---

2 新的Trickbot模块使用Masscan进行本地网络侦察

网络安全专家表示，他们发现了Trickbot恶意软件的一个新组件，该组件可以执行本地网络侦察。名为masrv的组件包含了Masscan开源实用程序的副本， 以便在本地网络中扫描其他具有开放端口的系统，这些端口以后可能会受到攻击。masrv背后的理念是将组件放到新感染病毒的设备上，发送一系列Masscan命令，让组件扫描本地网络，并将扫描结果上传到Trickbot命令和控制服务器。如果扫描发现内部网络中敏感或管理端口处于开放状态的系统（这在大多数公司中很常见），则Trickbot团伙可以部署专门利用这些漏洞的其他模块，并横向移动以感染新系统。


https://www.zdnet.com/article/ne ... ork-reconnaissance/

---

3 英国研究与创新署遭受勒索软件攻击

在遭受勒索软件攻击后，英国政府的科学研究机构——英国研究与创新署(UKRI)暂时关闭了几项网络服务。在上周发布的一份声明中，UKRI表示，其总部位于布鲁塞尔的英国研究办公室(UKRO)和外联网服务的数据已被“第三方加密”。UKRI已向英国国家犯罪局、英国国家网络安全中心和信息专员办公室报告了这一事件，且向所有受影响的人道歉，并补充称，正在对此次攻击进行分析。


https://www.theregister.com/2021 ... ware_ukro_brussels/

---

4 勒索软件团伙利用VMWare ESXi漏洞来加密虚拟硬盘

至少有一个主要的勒索软件团伙正在利用VMWare ESXi产品中的漏洞接管部署在企业环境中的虚拟机，并加密其虚拟硬盘。该攻击于去年10月首次被发现，与部署RansomExx勒索软件的犯罪团伙有关。据多名安全研究人员透露，有证据表明，攻击者使用了VMware ESXi中的两个漏洞CVE-2019-5544和CVE-2020-3992，VMware ESXi是一种hypervisor解决方案，允许多个虚拟机共享相同的硬盘存储。


https://www.zdnet.com/article/ra ... virtual-hard-disks/

---

5 华盛顿失业救济服务160万用户数据遭受泄露

华盛顿州审计署（SAO）表示，他们在一名黑客利用Accellion安全文件传输服务中的漏洞后遭遇数据泄露。一个未经授权的人能够利用Accellion文件传输服务的软件漏洞，访问正在使用Accellion服务传输的文件。Accellion表示，他们认为这次未经授权的访问发生在2020年12月底。被曝光的索赔记录来自就业安全部门(ESD)的数据文件中，包含华盛顿居民的敏感个人信息，包括姓名、社会保险号码、驾照、州身份证号码、银行账号以及工作地点等等。


https://www.bleepingcomputer.com ... nemployment-claims/

---

6 网络钓鱼活动通过伪造的PPP贷款引诱美国企业

攻击者正在假冒美国小企业管理局(SBA)贷款机构发送钓鱼邮件，以攻击那些想申请薪资保障计划(PPP)贷款以在新冠病毒危机期间维持业务的美国企业主。网络钓鱼活动背后的攻击者正利用一些企业因疫情而面临的持续财务问题，诱使它们交出敏感的业务和个人信息。在这些钓鱼信息中，他们冒充世界贸易金融公司（World Trade Finance），如下图所示，这是一家受委托的小型企业管理局贷款机构，为小企业提供高达500万美元的政府支持贷款。


https://www.bleepingcomputer.com ... ith-fake-ppp-loans/

---