Security studies 安全研究

AESDDoS僵尸网络利用Atlassian Confluence Server漏洞进行DDoS攻击和加密货币挖掘

发布时间: 2019-04-30
来源:
浏览数: 6

(2019-03-15)今日威胁情报




1、  AESDDoS僵尸网络利用Atlassian Confluence Server漏洞进行DDoS攻击和加密货币挖掘


最近检测到一个AESDDoS僵尸网络恶意软件变种,利用Atlassian Confluence Server中Widget连接器宏的服务器端注入漏洞(CVE-2019-3396)进行攻击。研究发现,此恶意软件变体可以在运行有漏洞的Confluence Server系统和数据中心上发动DDoS攻击,执行远程代码和进行加密货币挖掘。目前,Atlassian已经采取措施解决这些问题,并建议用户升级到最新版本(6.15.1)。


相关链接:http://t.cn/ESJYQj9


2、  BabyShark恶意软件新攻击活动,下载KimJongRAT和PCRat木马


Palo Alto Networks的Unit 42团队发布关于BabyShark新恶意攻击活动的分析报告。BabyShark是2月份出现的恶意软件,其攻击活动持续到了3月和4月,最新攻击活动的目的似乎有两个:针对核安全和朝鲜半岛国家安全问题的间谍活动;以及针对加密货币行业来获取金钱。BabyShark的恶意payload包括KimJongRAT和PCRat,但攻击者在恶意代码中将它们统称为Cowboy。


相关链接:http://t.cn/ESJY3b4


3、  伪造的Windows PC Cleaner释放AZORult信息窃取木马


研究人员发现了一个网站用来推送Windows PC清理工具,实际上这个伪造的工具只是用来下载Azorult木马。AZORult木马在安装后试图窃取用户的浏览器密码,FTP客户端密码,加密货币钱包,桌面文件等等。攻击者主要通过创建一个虚假的Windows应用程序和一个对应的网站来分发该木马。


相关链接:http://t.cn/ESJYDgA


4、  GoDaddy宣布移除1.5万个涉嫌销售假冒产品的欺诈子域名


网络托管服务提供商和域名注册商GoDaddy宣布已删除下架超过15000个子域名。这些子域名被黑客用于发送垃圾邮件,向消费者出售假冒伪劣产品。用户通常会收到各种宣传产品的垃圾邮件,如果受害者点击这些电子邮件中的链接,就会跳转访问托管在合法网站下的子域名,在该网站合法所有者不知情的情况下牟取利益。


相关链接:http://t.cn/ES5fxcM


5、  欧洲大型制造企业遭勒索软件攻击


据外媒报道,欧洲最大的制造企业之一、在美国设有分支机构的Aebi Sschmidt的系统遭勒索软件攻击。Aebi Sschmidt的业务主要为建造机场和制造公路养护车辆。据知情人士称,公司在网络安全事件发生后中断了运营。该公司整个国际网络的系统都崩溃了,其中受到破坏最严重的是瑞士总部。此外,公司的电子邮件服务器也受到了严重影响


相关链接:http://t.cn/ESfWsGr

 

 


(2019-03-15)今日威胁情报




1、【高】phpBB v3.2.3存在Phar反序列化远程代码执行漏洞


相关链接:http://t.cn/ESJ93rY


2、【高】淇晨科技公司建站系统存在SQL注入漏洞(CNVD-2019-10433)


相关链接:http://t.cn/ESJ9FXl


3、【高】精讯CMS存在SQL注入漏洞(CNVD-2019-09127)


相关链接:http://t.cn/ESq3Kge


4、【中】EOVA存在弱口令漏洞(CNVD-2019-10432)


相关链接:http://t.cn/ESJ0a8t



分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 440
    2019 - 03 - 29
    2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。危险等级:高危CVE编号:CVE-2019-0708【参考链接】https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070 影响版本 Windows 7 for 32-bit SP1Windows 7 for x64-based SP1Windows Server 2008 for 32-bit SP2Windows Server 2008 for 32-bit SP2 (Server Core installation)Windows Server 2008 for Itanium-Based SP2Windows Server 2008 for x64-based SP2Windows Server 2008 for x64-based SP2 (Server Core installation)Windows Server 2008 R2 for Itanium-BasedSystems SP1Windows Server 2008 R2 for x64-based SP1Windows Server 2008 R2 for x64-ba...
  • 点击次数: 20
    2019 - 03 - 22
    1、疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27使用的木马样本信息高度相似。相关链接:http://t.cn/ExTfW6k2、Buhtrap木马家族新攻击活动揭露,针对俄罗斯、白俄罗斯金融机构在2018年底至2019年初,Buhtrap木马家族被发现多次针对俄罗斯、白俄罗斯的攻击活动。该家族的木马主要针对俄罗斯、乌克兰等地的金融目标进行攻击活动,根据Group-IB和ESET的研究结果来看,该恶意文件至少从2014年就开始活跃。攻击使用鱼叉攻击方式,针对特定的目标发送钓鱼邮件,诱饵形式主要有三种,分别是doc文档、js脚本、可执行文件。后续有效荷载主要功能有键盘记录、信息收集、下载执行pe等。虽然我们发现的攻击细节跟之前曝光的Buhtrap恶意软件非常的相似,但是由于Buhtrap的源代码在2016年被泄露,因此暂时无更多的证据证明最近的几次攻击为之前的组织所为。相关链接:http://t.cn/ExTfnk33、Cardinal RAT恶意软件家族新版本被发现,持续攻击金融技术行业Cardinal ...
  • 点击次数: 15
    2019 - 03 - 15
    WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 【漏 洞 综 述】   该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。危险等级:高危CVE编号:CVE-2018-20250CNNVD编号:CNNVD-201902-077受影响版本: WinRAR 【解 决 建 议】检测与修复:搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞Windows下用户立即下载最新版:https://www.rarlab.com/download.htm;    32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe若用户无法立即升级版本,临时缓...
  • 点击次数: 138
    2019 - 03 - 09
    2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。   【 病 毒 描述 】 Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。【解 决 方 案  】对于易感染的主机迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。 对于尚未感染的主机I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。II、Globelmposter的变种利用RDP...
  • 点击次数: 67
    2019 - 03 - 15
    1、GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,在短时间内进行了多个版本的更新迭代。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。在本次针对我国政府部门的攻击附件中直接包含了exe文件,通过包含空格的超长文件名进行伪装。因此用户对邮件附件应该仔细分辨。相关链接:http://t.cn/EMBmMpQ 2、新POS恶意软件GlitchPOS商业化运作,在犯罪论坛上公开销售Cisco Talos最近发现了一个新的POS恶意软件,攻击者在犯罪软件论坛上销售这些恶意软件。这种恶意软件被称为“GlitchPOS”,据分析该恶意软件的作者Edbitss还开发过DiamondFox L!NK僵尸网络。VisualBasic开发的打包程序可以保护这种恶意软件。从表面上看,它是一款虚假游戏。解码后,可以访问GlitchPOS,这是一个用VisualBasic开发的内存抓取器。恶意软件通过C2服务器接受任务,命令通过C2服务器直接发送的shellcode执行。窃取的数据通过与购买恶意软件用户的控制面板显示。相关链接:http://t.cn/EMBmCct 3、DMSniff恶意软件包含域生成算法,主要攻击中小餐饮娱乐企业最近,Flashpoint的研究人员发现攻击者利用DMSniff恶意软件攻击餐饮娱乐行业的中小型企业。DMSniff还使用域生成算法(DGA)来动态创建命令和控制域列表,这样即使域名被执法部门,技术公司或托管服务提供商删除,恶意软件仍然可以通信和接收命令或共享被盗数...
Copyright ©2018 西安交大捷普网络科技有限公司 陕ICP备18022218号-1
犀牛云提供企业云服务