每日安全简讯(20210627)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 DarkSide 2.0针对托管VMware虚拟机的服务器

据AT&T的Alien Labs称，DarkSide俄语网络犯罪组织于2021年3月9日在XSS俄罗斯网络犯罪论坛上发布了Linux版本的DarkSide 2.0，旨在针对托管VMware虚拟机的ESXi服务器。研究人员表示，Linux版本恶意软件支持通过执行esxcli命令关闭整个虚拟机。在执行时，恶意软件将其配置打印到终端，并包括要加密的根路径、RSA密钥信息、要加密的目标文件扩展名和C2地址。然后恶意软件统计要加密的文件，并从受感染机器收集信息，加密后将其发送到C2服务器。一旦加密完成，恶意软件就会在每个文件被加密的文件夹中创建一张勒索信。研究人员没有报告说有任何组织正在使用该Linux恶意软件。


https://www.inforisktoday.com/da ... -ransomware-a-16941

---

2 Crackonosh恶意软件滥用Windows安全模式挖矿

研究人员发现了一种在攻击过程中滥用Windows安全模式的挖矿恶意软件。这种恶意软件被Avast的研究人员称为Crackonosh，通过盗版和破解软件传播，通常存在于种子（torrent）文件、论坛和“warez”网站。感染链从下载安装程序和修改Windows注册表的脚本开始，以允许主要恶意软件可执行文件在安全模式下运行。受感染的系统被设置为下次以安全模式启动。Crackonosh将扫描存在的反病毒程序，并将试图禁用或删除它们。然后删除日志系统文件以覆盖其踪迹。此外，Crackonosh将尝试停止Windows更新，并将用假冒的绿色勾号托盘图标替换Windows安全中心。最后一步是部署XMRig加密货币矿工，它利用系统能力和资源来挖掘Monero （XMR）加密货币。


https://www.zdnet.com/article/cr ... for-cryptocurrency/

---

3 攻击者利用WIM附件分发Agent Tesla木马

在Trustwave的一份新报告中，研究人员解释了威胁参与者如何开始利用WIM（Windows图像格式）附件来分发Agent Tesla远程访问木马。这些活动从冒充是来自DHL或Alpha Trans的运输信息的网络钓鱼电子邮件开始。电子邮件中包含旨在绕过安全软件的.wim附件（有时以 .wim或.wim.001结尾）。由于Windows没有打开WIM文件的内置机制，这种文件格式要求收件人用7-zip之类的程序提取文件，然后双击其中的文件。虽然使用不常见的附件可能会绕过一些安全过滤器，但大多数设备上没有安装专门程序（如7-zip）的用户可能都不会打开这些文件。


https://www.bleepingcomputer.com ... double-edged-sword/

---

4 西部数据公司建议MyBook用户断开网络连接

硬盘巨头西部数据（Western Digital）敦促其MyBook Live品牌网络存储驱动器的用户将其与互联网断开连接，并警告恶意黑客正在利用一个关键漏洞远程擦除驱动器，任何知道受影响设备的互联网地址的人都可以触发该漏洞。西部数据公司在6月24日的一份声明中表示:“MyBook Live和MyBook Live Duo的一些设备正受到远程命令执行漏洞的攻击。在某些情况下，这种攻击导致恢复出厂设置，似乎会删除设备上的所有数据。”该漏洞被跟踪为CVE-2018-18472。


https://krebsonsecurity.com/2021 ... ices-from-internet/

---

5 超过8亿条与WordPress用户相关的记录被泄露

根据Website Planet的说法，一个配置错误的云数据库在其所有者得到通知之前暴露了超过8亿条与WordPress用户相关的记录。安全研究员Jeremiah Fowler解释说，美国托管服务提供商DreamHost在没有密码保护的情况下将这些数据保留在了网上。研究员发现的8.14亿份记录似乎可以追溯到2018年。在86GB的数据库中，据称有管理员和用户信息，包括WordPress登录位置URL、名字和姓氏、电子邮件地址、用户名、角色、主机IP地址、时间戳以及配置和安全信息。一些泄露的信息还与电子邮件地址为.gov和.edu的用户有关。


https://www.infosecurity-magazin ... abase-exposes-800m/

---

6 奔驰美国公司泄露约1000名客户和潜在买家数据

梅塞德斯-奔驰美国公司发布了一则关于数据泄露的声明，大约1000名客户和对该公司汽车感兴趣的买家的敏感个人信息被泄露。该数据库涉及2014年1月1日至2017年6月19日期间该网站访问者输入的信息。数据泄露并没有直接发生在任何梅赛德斯-奔驰系统上，而是发生在该汽车品牌签约的供应商系统上。暴露的数据集包括驾照号码、社会安全号码、信用卡信息和出生日期。总共有160万条与1000个客户相关的记录在网上被曝光。


https://www.technadu.com/mercede ... tive-buyers/286297/

---