安全研究 SECURITY SERVICE

GandCrab勒索软件最新活动,采取多种规避技术完善传递机制

发布时间: 2019-05-09
来源:
浏览数: 39

(2019-03-15)今日威胁情报




1、 GandCrab勒索软件最新活动,采取多种规避技术完善传递机制

 

近日发现一起针对一家日本跨国公司的GandCrab勒索软件活动。 GandCrab是当前威胁领域中最流行的勒索软件之一,主要原因是它遵循勒索软件即服务(RaaS)商业模式。这使得任何网络罪犯都能够通过易于操作的平台来使用GandCrab基础架构,并提供全天候在线支持服务。自2018年初出现以来,它一直在不断发展和完善其传递方法以逃避检测。这些技术包括:1.将网络钓鱼电子邮件和武器化的Office文档组合在一起,以便进入目标计算机。2.一个多阶段无文件感染链,使用VBA代码,WMI对象和JavaScript来删除勒索软件;3.利用二进制文件绕过Windows AppLocker并获取勒索软件有效负载;4.从合法的在线文本共享服务中获取恶意负载,如此次攻击中使用的pastebin.com。

 

相关链接:http://t.cn/EojFOCp


2、 Confluence漏洞CVE-2019-3396被广泛利用,传播挖矿软件Kerberods


Confluence是一种广泛使用的协作和规划软件。4月份,观察到其漏洞CVE-2019-3396用来执行恶意攻击。安全提供商Alert Logic还发现了此漏洞被利用传播Gandcrab勒索软件。而研究人员最新发现此漏洞还被用于传播一个加密货币挖矿恶意软件,其中还包含一个旨在隐藏其活动的rootkit。此次攻击开始时发送一个远程命令下载shell脚本,然后下载挖矿软件Kerberods和khugepageds,而下载的rookit不仅用来隐藏挖矿过程,还可以隐藏某些文件和网络流量,而且它还具有提高机器CPU利用率的能力。


相关链接:http://t.cn/EojF3JI


3、 币安称 4000 万美元比特币被盗


比特币交易所币安发表声明,黑客在一次大规模攻击中窃取了价值 4000 多万美元的 7000 比特币。声明称,5 月 8 日凌晨1:15:24(香港时间),我们发现了有一个大规模的系统性攻击,黑客能够获得大量用户 API 密钥,谷歌验证 2FA 码以及其他相关信息;黑客团体使用了复合型的攻击技术,包括网络钓鱼,病毒等其他攻击手段;黑客在这一次攻击中提走了7000比特币。


相关链接:http://t.cn/Eo0Dpyc


4、 美中情局分享暗网加密链接 网友吐槽:原来是这样监视我们


美国中央情报局(CIA)最近一改“神秘”形象,开始在社交网站上“抖机灵”。两周前,中情局在Instagram上发布一张“猜谜”照片,吸了一波流量,没想到7日却因在推特上分享的暗网链接“翻了车”。


相关链接:http://t.cn/EoN225z


5、 谷歌强调用户隐私:尽可能把数据留在手机本地


2019年谷歌I/O开发者大会今日开幕。会上,谷歌强调了用户隐私问题,在设置中添加了更多隐私选项,还上线了地图应用的隐身模式。 谷歌在AI上进行了许多研究,比如如何识别人们的肤色。相应的,机器学习也涉及到了用户隐私问题。


相关链接:http://t.cn/EooLyK7




(2019-03-15)今日威胁情报




1、【高】乐儿资源平台存在SQL注入漏洞(CNVD-2019-12541)


相关链接:http://t.cn/EojDRNU


2、【高】MKCMS 5.0版本ac***.php页面存在SQL注入漏洞(CNVD-2019-09609)


相关链接:http://t.cn/Eojk70s


3、【高】QCMS存在命令执行漏洞(CNVD-2019-12545)


相关链接:http://t.cn/EojkGlk


4、【高】西安蓝色海岸信息技术有限公司建站系统存在SQL注入漏洞(CNVD-2019-10447)


相关链接:http://t.cn/EojkTS5


5、【中】城市联盟建站系统个人资料区域存在xss漏洞(CNVD-2019-12543)


相关链接:http://t.cn/Eojkxzl


6、【中】海康威视摄像头存在弱口令漏洞(CNVD-2019-10636)


相关链接:http://t.cn/EoKJXBE


7、【中】kodexplorer可道云v4.39版本存在任意文件读取漏洞(CNVD-2019-12544)


相关链接:http://t.cn/EojF5HB



分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 16
    2019 - 07 - 24
    1、僵尸网络Smominru控制超50万台PC,用于Monero挖矿谋取暴利超过526,000台Windows计算机(主要是Windows服务器)被僵尸网络Smominru控制,通过植入Monero实施挖矿活动。Smominru使用不同的技术感染机器,包括EternalBlue(CVE-2017-0144)漏洞和EsteemAudit(CVE-2017-0176)漏洞,利用成功后接管未打补丁的Windows服务器。相关链接:https://redqueen.tj-un.com/IntelDetails.html?id=0d6cdf667fe24a20bf10b60c3a147c90 2、广告软件伪装成合法应用程序,在Google Play上架最近,Bitdefender研究人员在Google Play应用市场中,发现了三个新的伪装成合法应用程序的广告软件,每个软件下载量超过10000。当应用程序连接到互联网时,将隐藏图标,显示“卸载完成”,或者“这个应用程序与你的设备不兼容!”消息。同时,它会将Google Play打开并显示设备上已经安装的应用程序,比如谷歌地图,以迷惑受害者。并且还通过设置延迟警报,确保广告不断显示在受害者的设备上。相关链接:https://redqueen.tj-un.com/IntelDetails.html?id=efcd233707c64565a3e4310912b6c4fe3、Watchbog木马变种挖掘加密货币,利用Exim和Jira漏洞传播Intezer Labs研究员发现新的恶意样本,该样本利用Jira模板注入漏洞 (CVE-2019-11581)和Exim远程命令执行漏洞(CVE-2019-10149),以获取root权限远程执行命令。利用目标漏洞后,会分发Monero矿工程序。进入目标系统后,Watchbog将从pasteb...
  • 点击次数: 2
    2019 - 07 - 17
    1、摄像头新勒索软件DoppelPaymer,利用ProcessHacker终止进程服务CrowdStrike研究人员发现BitPaymer勒索软件新的变体DoppelPaymer,该变体是2019年6月开始的一系列勒索软件活动的幕后黑手,包括对德克萨斯州埃德库奇市和智利农业部的攻击。发现的变体与INDRIK SPIDER运营的BitPaymer勒索软件大量代码重叠。但二者在赎金票据、加密方式、加密填充方案和加密文件命名上均有不同。并且,DoppelPaymer还使用合法的开源管理实用程序ProcessHacker。此应用程序与内核驱动程序捆绑在一起,可用于终止进程和服务。相关链接:https://redqueen.tj-un.com/IntelDetails.html?id=e9207d6988e444ac86524649bd5cb5cc 2、Turla组织新武器“Topinambo”,通过合法软件安装程序传播近期,卡巴斯基研究人员发现Turla组织新增武器“Topinambo”,攻击者使用感染了“Topinambo” dropper的合法软件安装程序,比如“Softether VPN 4.12”和“psiphon3”,或者微软Office的 “activators”( 激活器),这些可能是逃避互联网审查的工具。dropper包含一个.NET shell,.NET模块的作用是提供KopiLuwak JavaScript木马和一个与KopiLuwak类似的PowerShell特洛伊木马程序。这些程序可以在受害者的计算机上构建一个“无文件”模块链,该模块链包含一个小型初始运行程序和几个包含加密远程管理工具的Windows系统注册表值。这些模块于2019年初开始活动,主要针对政府实体。相关链接:https://redqueen.tj-un.com/IntelDetai...
  • 点击次数: 4
    2019 - 07 - 12
    1、漏洞预警:视频会议软件Zoom RCE漏洞CVE-2019–13450,可劫持Mac摄像头2019年7月8日,安全研究人员Jonathan Leitschuh披露视频会议软件Zoom中的一个RCE漏洞,该漏洞影响了Mac平台上的Zoom app版本4.4.4,可允许攻击者在用户访问网站时接管网络摄像头。苹果在2019年7月11日发布了针对性静默更新,能够防止所有已经安装Zoom软件的Safari用户进一步受到感染。相关链接:https://redqueen.tj-un.com/IntelDetails.html?id=05885910355c4470b0e5771ca6a1dcd4 2、AVTECH安防设备存漏洞,被控组建Gafgtyt僵尸网络最近,国内安全研究人员发现利用Avtech摄像监控设备相关漏洞(CNVD-2016-08737)进行入侵的攻击事件。攻击者利用AVTECH DVR设备中的命令注入漏洞实现远程sh脚本下载执行,最后植入Gafgtyt僵尸网络后门, 后门会扫描网络中的设备并进行爆破攻击,可发起DDoS网络攻击活动。相关链接:https://redqueen.tj-un.com/IntelDetails.html?id=66df016fd70942818900658ac26230113、新型勒索软件eCh0raix,针对QNAP网络附加存储(NAS)设备最近,Anomali研究人员观察到新的勒索软件eCh0raix,该勒索软件针对QNAP网络附加存储(NAS)设备。eCh0raix采用go语言编写,通过SOCKS5 Tor代理与C2通信。攻击者通过暴力破解和漏洞利用发起攻击。恶意有效负载使用AES算法加密NAS上的目标文件扩展名,加密后的文件使用扩展名.encrypt。恶意软件从数组“abcdefghijklmnopqrstuvwxyzABC...
  • 点击次数: 2
    2019 - 07 - 08
    1、微软帐户两年内不活跃将被删除,不会发送警告邮件7月1日,微软公司更新了Microsoft帐户的支持页面,变更了账户的活动策略。如果两年以上未使用(处于非活跃状态),账户将被删除,所有拥有Microsoft帐户的用户都应遵循这些规则,以确保其帐户不会被波及。相关链接:http://t.cn/AiO93djw 2、思科回应交换机中出现华为证书和密钥:因疏忽忘记删除思科和华为是通信设备上的老对手,市场竞争多年。2003年,思科曾以“抄袭代码”为由将华为告上法庭,然而尴尬的是,思科最近却承认误用了华为代码。据外媒报道,原来,7月3日,思科发布19条安全声明,其中18条涉及中高危漏洞,另一个则是与小企业级250, 350, 350X和550X交换机有关的低级别漏洞。相关链接:http://t.cn/AiOC7wmv3、研究人员发现医疗软件漏洞,将导致诊断结果有误据外媒报道,近期研究人员最新发现了一个用于基因组分析的通用开源软件的漏洞,这将导致基于DNA的医学诊断很容易受到网络攻击。桑迪亚国家实验室的研究人员发现了这个弱点,并及时通知了软件开发人员,随后他们发布了一个补丁来解决这个问题,同时最新版本的软件也解决了这个问题。虽然目前还不知道该漏洞是否遭受过攻击,但国家标准技术研究院最近在给软件开发人员、基因组学研究人员和网络管理员的一份说明中对该漏洞进行了分析。这一发现揭示了保护基因组信息不仅仅涉及个人基因信息的安全存储,而分析基因数据的计算机系统中的网络安全也是至关重要的。相关链接:http://t.cn/AiOCswQl4、伊朗媒体称:中国同意共同对抗网络威胁(美国)消息称,2019年7月5日,在伊朗信息技术部长Mohammad Javad Azari Jahromi与中国工业和信息化部长苗圩于周五在北京举行的会晤中,双方讨论了如何促进信息技术领域的合作以及应对网络空间...
  • 点击次数: 1
    2019 - 07 - 03
    1、新手机版勒索软件WannaLocker攻击巴西银行安全研究人员跟踪到结合了间谍软件、远程控制木马和银行木马功能的新版勒索软件WannaLocker。分析发现该新版勒索软件是利用银行木马收割手机短信、通话记录、电话号码及信用卡信息等敏感信息。相关链接:http://t.cn/Ai084Pvf 2、恶意软件加载器利用Heaven's Gate, 逃避杀软检测研究人员发现一种恶意软件加载程序能够注入到受害机器内存中以逃避杀毒软件检测。恶意加载器利用了Heaven's Gate技术,可以让32位恶意软件运行在64位系统中,借64位环境以隐藏API调用。Cisco Talos研究人员发现的这种加载器利用该技术将恶意载荷解包后注入到合法进程RegAsm.exe中,以完成隐藏。这种加载器是利用恶意邮件传播的,利用CVE-2017-11882,一种影响微软方程式编辑器的漏洞。相关链接:http://t.cn/Ai084btP3、网络钓鱼针对日本传播URSNIF木马,引用未记录的xlDate变量近日,Fortinet研究人员发现了针对日本的网络钓鱼活动,攻击者使用包含恶意宏的Excel附件下载恶意内容。附件文档包含虚假图片,单元格A1包含冗长的恶意字符串。恶意宏调用实际执行命令通过对Welcome()和WestAndS()函数的组合调用来定义。Welcome()函数使用Beta1密钥解密,通过Application.International属性和未记录的xlDate变量来确定,WestAndS()函数通过A1字符串混淆。PowerShell使用了五层各种混淆技术,通过命令连接位于俄罗斯的服务器,最终释放文件似乎为银行木马变种BEBLOH/URSNIF。相关链接:http://t.cn/Ai084aSk4、黑客篡改15.8万个WordPress网站标题,插入1800ForBai...
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1
犀牛云提供云计算服务