免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 安天发布对活跃的H2Miner组织挖矿事件分析
近期,安天CERT陆续捕获到多批次H2Miner组织的攻击事件。H2Miner组织最早在2019年底使用Kinsing僵尸网络发起攻击,主要针对Linux服务器进行攻击。2020年末新版本更新中增加了对Windows平台的攻击。H2Miner主要使用RCE漏洞进行传播,本次捕获到的样本利用了CVE-2020-14883(WebLogic RCE漏洞)进行传播。该组织在Linux平台上传播Kinsing僵尸网络,起名原因是其守护进程名为“kinsing”。该恶意软件具有挖矿功能,同时在失陷主机上开放后门,具有masscan端口扫描的功能,连接C2服务器上传基础信息,还具有下载脚本进行横向移动等功能。该组织在Windows平台上传播挖门罗币的程序,该程序使用开源挖矿程序xmrig.exe进行挖矿,版本号为6.4.0,目前配置文件中的钱包地址已被各大矿池封禁。
https://mp.weixin.qq.com/s/Rp-QIaLp_6gitUor2IIcAQ
2 新的Emotet垃圾邮件活动向全球发送恶意文档
Emotet恶意软件在经历了10个月的中断后于昨天开始行动,通过多个垃圾邮件活动向全球邮箱发送恶意文档。目前在新的Emotet垃圾邮件活动中分发了两种不同的恶意文件。其中一个是Excel文档模板,它声明该文档仅适用于台式机或笔记本电脑,并且用户需要单击“启用内容”才能正确查看内容。但是一旦单击按钮,就会启用恶意宏,启动一个PowerShell命令从一个被破坏的WordPress站点下载Emotet加载程序DLL,并将其保存到C:\ProgramData文件夹。下载后,DLL将使用C:\Windows\SysWo64\rundll32.exe 启动。一段时间后,Emotet会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置一个启动值,以便在Windows启动时启动恶意软件。Emotet恶意软件会在后台默默运行,等待命令和控制服务器执行命令。
https://www.bleepingcomputer.com ... ailboxes-worldwide/
Here are the new Emotet spam campaigns hitting mailboxes worldwide.pdf
(2.73 MB, 下载次数: 5)
3 黑客入侵WordPress网站显示虚假的加密通知
上周晚些时候开始的新一轮攻击已经入侵了近300个WordPress网站以显示虚假的加密通知,试图诱骗网站所有者支付0.1比特币进行恢复。网络安全公司Sucuri的研究人员发现,这些网站并没有被加密,而是威胁行为者修改了一个已安装的WordPress插件,显示赎金通知和倒计时。除了显示赎金通知外,该插件还修改了所有WordPress博客帖子,并将其“post_status”设置为“null”,使其进入未发布状态。通过删除插件并运行命令重新发布帖子和页面,站点恢复到正常状态。
https://www.bleepingcomputer.com ... ransomware-attacks/
WordPress sites are being hacked in fake ransomware attacks.pdf
(3.15 MB, 下载次数: 7)
4 GitHub解决了NPM包管理器中的两个主要漏洞
GitHub披露了npm中已经解决的两个主要漏洞。第一个漏洞可以被攻击者利用,在未经适当授权的情况下使用帐户发布任何npm包的新版本。该公司通过确保发布服务和授权服务的一致性,在几小时内解决了这个漏洞。GitHub无法确定该漏洞是否曾在攻击中被利用。第二个漏洞是由GitHub的安全团队在10月26日发现的,问题是npmjs的复制服务器上的数据泄漏,这是由“例行维护”导致的。在维护窗口期间,泄漏暴露了私有npm包的名称列表。包的内容不会在相同的时间框架内公开。该漏洞于10月29日被解决,该公司还从npm的复制数据库中删除了所有包含私有包名称的记录。
https://securityaffairs.co/wordp ... -package-flaws.html
5 英特尔披露多个处理器BIOS固件中的高危漏洞
英特尔披露了两个高危漏洞,被跟踪为CVE-2021-0157和CVE-2021-0158,它们影响了多个处理器系列的BIOS固件。CVE-2021-0157是由于某些英特尔(R)处理器的BIOS固件中的控制流管理不足,可能允许特权用户通过本地访问潜在地提升权限。CVE-2021-0158是由于某些英特尔(R)处理器BIOS固件中的不正确输入验证,可能允许特权用户通过本地访问潜在地提升权限。该芯片制造商没有透露有关漏洞的技术细节。
https://securityaffairs.co/wordp ... firmware-flaws.html
6 Concrete CMS中的漏洞使数千个网站受到威胁
Fortbridge的研究人员在Concrete CMS中发现多个安全漏洞,可能会让恶意攻击者获得对底层web服务器的完全控制。他们详细介绍了两个竞态条件漏洞与uniqid()函数的不安全使用相结合如何允许具有低权限的攻击者实现远程代码执行(RCE)。研究人员表示,截至今年,已有超过62000个使用Concrete CMS构建的实时网站。研究人员建议Concrete CMS用户升级到已经可用的8.5.7版本和9.0.1版本。
https://portswigger.net/daily-sw ... bsites-under-threat
|
发表于 2021-11-17 17:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡