安全研究 Safety research
1、 网页被篡改跳至赌博平台 甘孜州一官方网站遭处罚2019年3月,南充市南部县公安局网安大队对冯某等人利用“博旅理财”项目进行网络传销启动“一案双查”工作,发现四川蓝海创想科技有限公司在明知“博旅理财”项目涉嫌从事网络传销情况下仍然为其提供技术支持。目前南充市南部县公安局网安大队以涉嫌帮助信息网络犯罪活动罪将蓝海创想科技有限公司负责人卢某、杨某刑事拘留。相关链接:http://t.cn/EKVs3Oi 2、德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告,建议用户尽快安装新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息,但BSI警告说,黑客只需向其目标发送包含特制文件的恶意电子邮件,在某些情况下,甚至不需要打开该文件。相关链接:http://t.cn/EKVmOJ4 3、部分服务器网络设备供应商将生产迁出中国因为美国将中国商品关税从 10% 上调到 25%,台湾的服务器、无线网络设备和主板制造商正加紧将生产从中国迁移到东南亚或本土。中国有着完整的产业链,而这条产业链上的许多公司不可能或无力搬到其它地方,因此将生产线迁移出中国意味着需要重新调整产业链,寻找新的配套公司。包括广达、英业达和纬创资通在内的台湾服务器制造商占到了全球服务器供应市场的九成以上。它们已经或正在逐步将生产线搬回台湾或搬到东南亚。相关链接:http://t.cn/EKf7Pyv4、网络挖矿组织Pacha Group与Rocke Group在基于云的加密货币挖矿上激烈竞争Pacha Group是一个网络挖矿组织,这个组织早于2019年2月28日在Intezer的博客里做了介绍,针对这个组织发起的攻击可追溯到2018年9月的对Linux服务器的攻击,并利用了先进的规避和保持持久性的技术。近日Intezer新的研究表明,Pacha G...
发布时间: 2019 - 05 - 14
1、APT组织海莲花(OceanLotus)针对中南半岛国家攻击活动的总结分析相关研究团队发布了针对近期发现的海莲花组织在中南半岛国家的攻击活动的报告。本报告中研究人员对海莲花组织针对越南国内以及越南周边国家新的攻击利用技术、攻击载荷类型、及相关攻击事件进行了详细的分析和总结。海莲花除了会在Windows平台上进行攻击外,还会针对MacOS平台用户发起攻击,比如使用浏览器更新,Flash安装更新包,字体安装包,伪装成文档实际为安装程序的手段进行攻击。相关链接:http://t.cn/EouPWYU2、双尾蝎(APT-C-23)间谍组织利用新Android恶意软件,针对巴勒斯坦进行攻击双尾蝎(APT-C-23)组织的目标主要集中在中东地区,尤其活跃在巴勒斯坦的领土上。从2016年5月起至今,双尾蝎组织(APT-C-23)对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android。这次的最近攻击样本通过仿冒Acrobat更新,通过显示含有政治主题的诱饵PDF文件,诱骗用户安装使用;恶意软件主要目的为窃取用户手机信息,并对用户手机进行远程控制,新程序继承了APT-C-23下发控制指令的模式,实现了两种向应用推送消息的方式,FCM和SMS通信。程序运行以后会隐藏自身图标,从而保护自身不被卸载。 相关链接:http://t.cn/EouPgHI  3、间谍组织Turla使用新的后门工具LightNeuron,针对微软电子邮件服务器安全公司ESET本周二发布报告称,一个名为Turla APT网络间谍组织已经开发并在使用新的后门工具——LightNeuron,这是第一个针对Microsoft Exchange电子邮件服务器的后门。Turla,也被称为Snake、WhiteBear、Ven...
发布时间: 2019 - 05 - 10
1、 GandCrab勒索软件新活动,采取多种规避技术完善传递机制 近日发现一起针对一家日本跨国公司的GandCrab勒索软件活动。 GandCrab是当前威胁领域中流行的勒索软件之一,主要原因是它遵循勒索软件即服务(RaaS)商业模式。这使得任何网络罪犯都能够通过易于操作的平台来使用GandCrab基础架构,并提供全天候在线支持服务。自2018年初出现以来,它一直在不断发展和完善其传递方法以逃避检测。这些技术包括:1.将网络钓鱼电子邮件和武器化的Office文档组合在一起,以便进入目标计算机。2.一个多阶段无文件感染链,使用VBA代码,WMI对象和JavaScript来删除勒索软件;3.利用二进制文件绕过Windows AppLocker并获取勒索软件有效负载;4.从合法的在线文本共享服务中获取恶意负载,如此次攻击中使用的pastebin.com。 相关链接:http://t.cn/EojFOCp 2、 Confluence漏洞CVE-2019-3396被广泛利用,传播挖矿软件KerberodsConfluence是一种广泛使用的协作和规划软件。4月份,观察到其漏洞CVE-2019-3396用来执行恶意攻击。安全提供商Alert Logic还发现了此漏洞被利用传播Gandcrab勒索软件。而研究人员新发现此漏洞还被用于传播一个加密货币挖矿恶意软件,其中还包含一个旨在隐藏其活动的rootkit。此次攻击开始时发送一个远程命令下载shell脚本,然后下载挖矿软件Kerberods和khugepageds,而下载的rookit不仅用来隐藏挖矿过程,还可以隐藏某些文件和网络流量,而且它还具有提高机器CPU利用率的能力。相关链接:http://t.cn/EojF3JI 3、 币安称 4000 万美元比特币被盗比特币交易所币安发表声明,黑客在一次大规模攻击中窃取了...
发布时间: 2019 - 05 - 09
1、  黑客通过暴力攻击接管29个IoT DDoS僵尸网络根据ZDNet报道,名为Subby的黑客通过暴力攻击接管了29个IoT DDoS僵尸网络。Subby使用了用户名字典和常用密码列表来对这29个僵尸网络的C&C基础设施进行暴力攻击,其中一些设施使用了比较弱的凭据,例如root:root、admin:admin、oof:oof等。根据Subby的说法,这些僵尸网络都比较小,实际的bot总数仅为2.5万。相关链接:http://t.cn/EoMAwD22、  PrinterLogic打印管理软件多个漏洞,可导致RCEPrinterLogic打印管理软件未正确验证其SSL证书和软件更新包的来源和完整性,可允许攻击者重新配置软件并远程执行代码(CVE-2018-5408、CVE-2018-5409)。此外,PrinterLogic未对浏览器输入进行特殊字符过滤,可允许未经授权的远程攻击者更改配置文件(CVE-2019-9505)。18.3.1.96及之前的版本易受攻击,建议用户尽快进行升级。相关链接:http://t.cn/EoMAIns3、  中消协等发智能锁试验报告:半数存指纹识别安全风险中国消费者协会、四川省保护消费者权益委员会、 深圳市消费者委员会、佛山市消费者委会今天联合发布智能门锁比较试验报告,29款样品中,48.3%的样品密码开启安全存在风险,50%的样品指纹识别开启安全存在风险,85.7%的样品信息识别卡开启安存在风险。相关链接:http://t.cn/EoZKk8P 4、  国家互联网应急中心开通勒索病毒免费查询服务从国家互联网应急中心获悉,为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心近日开通了该病毒感染数据免费查询服务。2017年5月12日,WannaCry勒索病毒利用Windows S...
发布时间: 2019 - 05 - 07
1、  AESDDoS僵尸网络利用Atlassian Confluence Server漏洞进行DDoS攻击和加密货币挖掘最近检测到一个AESDDoS僵尸网络恶意软件变种,利用Atlassian Confluence Server中Widget连接器宏的服务器端注入漏洞(CVE-2019-3396)进行攻击。研究发现,此恶意软件变体可以在运行有漏洞的Confluence Server系统和数据中心上发动DDoS攻击,执行远程代码和进行加密货币挖掘。目前,Atlassian已经采取措施解决这些问题,并建议用户升级到最新版本(6.15.1)。相关链接:http://t.cn/ESJYQj92、  BabyShark恶意软件新攻击活动,下载KimJongRAT和PCRat木马Palo Alto Networks的Unit 42团队发布关于BabyShark新恶意攻击活动的分析报告。BabyShark是2月份出现的恶意软件,其攻击活动持续到了3月和4月,最新攻击活动的目的似乎有两个:针对核安全和朝鲜半岛国家安全问题的间谍活动;以及针对加密货币行业来获取金钱。BabyShark的恶意payload包括KimJongRAT和PCRat,但攻击者在恶意代码中将它们统称为Cowboy。相关链接:http://t.cn/ESJY3b43、  伪造的Windows PC Cleaner释放AZORult信息窃取木马研究人员发现了一个网站用来推送Windows PC清理工具,实际上这个伪造的工具只是用来下载Azorult木马。AZORult木马在安装后试图窃取用户的浏览器密码,FTP客户端密码,加密货币钱包,桌面文件等等。攻击者主要通过创建一个虚假的Windows应用程序和一个对应的网站来分发该木马。相关链接:http://t.cn/E...
发布时间: 2019 - 04 - 30
1、  攻击者利用GitHub服务托管网络钓鱼工具包Proofpoint研究人员发现攻击者滥用GitHub服务的免费存储库托管网络钓鱼工具包,并且通过github.io域名将其发送到目标。这种技术允许攻击者利用GitHub Pages服务绕过白名单和网络防御,就像其它大型云存储站点,社交网络和网络服务,如Dropbox、Google Drive、Paypal、Ebay和Facebook一样,可以将他们的恶意活动融入合法的网络流量中。研究人员表示,自2019年4月19日起,GitHub已经关闭了所有被发现参与恶意活动的账户。相关链接:http://t.cn/Ea1XiiA2、  DNSpionage攻击活动升级,使用新的恶意软件Karkoff早在2018年11月,思科Talos发现了一个名为DNSpionage的攻击活动, 攻击者创建了一个新的远程管理工具,支持远程的HTTP和DNS通信。而最近,思科又发现了新的证据,证明DNSpionage活动背后攻击者继续改变他们的策略,以提高其运营效率。2月份,他们发现了此类攻击活动TTP上的一些变化,包括使用新的侦察手段,有选择性的决定哪些目标感染恶意软件。而在2019年4月,研究人员发现DNSpionage使用新的恶意软件,称之为“Karkoff”。Karkoff是一个轻量级的恶意软件,允许从C2服务器远程执行代码。没有混淆,代码容易被拆解,Karkoff支持HTTP和HTTPS通信。相关链接:http://t.cn/Ea1XKne3、  美日联合声明,网络攻击将被视为武装攻相关链接:http://t.cn/EaloPdg 1、【高】MKCMS 5.0 bp***.php页面存在SQL注入漏洞(CNVD-2019-09110)相关链接:http://t.cn/Ea165uc2、【高】爱客CMS...
发布时间: 2019 - 04 - 26
1、  蠕虫病毒“MinerGuard”新变种,严重威胁企业用户火绒安全团队截获蠕虫病毒“MinerGuard”新变种,严重威胁企业用户。该病毒通过网络服务器漏洞以及暴力破解服务器的方式迅速传播,并且可跨平台(Windows、linux)交叉感染。病毒入侵电脑后,会释放挖矿病毒挖取门罗币。此外,攻击者可随时通过远程服务器更新病毒模块,甚至利用以太坊钱包更新病毒服务器地址。相关链接:http://t.cn/Ea6uShX2、  俄罗斯组织TA505利用远程访问木马(RAT)攻击全球金融组织CyberInt的安全专家发现了一个新的攻击活动,俄罗斯组织TA505在对美国和全球金融实体的攻击中使用远程访问特洛伊木马(RAT)。TA505组织于2017年首次被Proofpoint发现,自2015年以来一直保持活跃,目标是金融和零售行业的组织。该组织利用武器化的Office和PDF文档进行了大量攻击活动,提供诸多臭名昭着的恶意软件,包括Shifu和Dridex银行木马,tRAT RAT,FlawedAmmy RAT,Philadelphia勒索软件,GlobeImposter和Locky勒索软件。在最近的攻击中,安全人员观察到该组织使用了新的后门,包括模块化的tRAT和ServHelper。在2018年12月至2019年3月期间,该组织攻击了多个国家,包括美国、智利、印度、中国、韩国、英国、法国,意大利、马拉维和巴基斯坦等国家的金融机构。相关链接:http://t.cn/Ea6uNQI3、  研究人员在OceanLotus样本中发现非典型恶意软件格式研究人员最近发现OceanLotus(海莲花)的样本,使用非典型恶意软件格式,这种格式可能会降低分析过程的速度,因为通过典型工具无法解析文件,相反,分析者需要编写自定义加载器以便进行分析。研究的样本通过网络钓鱼...
发布时间: 2019 - 04 - 23
1、  Rootkit(Scranos)使用有效签名,窃取用户登录凭Bitdefender最近发布研究报告称一个具有有效签名的rootkit(被称为Scranos)正在多个国家进行广泛传播,主要用于窃取用户的登录凭据、支付信息和浏览器历史记录,还可用于在社交网络上传播垃圾信息和广告。Scranos伪装成视频驱动程序,安装后,它可以下载攻击者选择的任何有效负载。具体行为如下:目标包括主流浏览器Chrome,Chromium,Firefox,Opera,Edge,Internet Explorer,百度和Yandex,以及来自Facebook,亚马逊,Airbnb,Steam和Youtube的服务。其使用的证书是DigiCert向上海一家健康管理咨询公司颁发的证书,目前证书仍然有效,攻击者可能是盗用了该证书。Bitdefender研究人员称Scranos Rootkit通过不断发展,已经感染了印度、罗马尼亚、巴西、法国、意大利和印尼等国家的用户。相关链接:http://t.cn/EXr0qUI 2、  勒索软件BitPaymer新变体利用PsExec进行传播研究人员发现美国一家制造公司遭到勒索软件BitPaymer新变体的攻击。该变体(Ransom.Win32.BITPAYMER.TGACAJ)利用PsExec进行分发,并在赎金票据和加密文件的扩展名中使用了受害公司的名称。由于攻击者至少需要一个具有管理员权限的帐户才能通过PsExec运行命令,这意味着在勒索软件安装之前攻击者已经通过某种手段获得了管理员权限。相关链接:http://t.cn/EXr0fkk3、  针对性邮件钓鱼攻击,利用AutoHotkey引擎执行恶意脚本近日,发现了一种潜在的针对性钓鱼攻击,它利用合法的脚本引擎AutoHotkey和恶意脚本文件。此次攻击采用电子邮件附件进行分发,...
发布时间: 2019 - 04 - 19
1、  盗版Ghost系统传播主页劫持木马 受害电脑已上万近日,腾讯安全御见威胁情报中心发现一名为QQ_Protect.sys(文件名假冒QQ的保护模块)的主页劫持木马极其活跃,该木马的传播渠道主要是盗版带毒ghost系统,这些带毒ghost系统除了网上下载,在电脑城、XX网店安装的其它系统都有主页被锁定的情况。监测数据表明,已有上万台电脑中招。该系列木马在2018年首先开始出现,经过多次变种,近期又通过ghost系统进行传播,中毒电脑的多款主流浏览器主页会被锁定为某网址导航站,并且不同的浏览器会被劫持到不同的导航主页。相关链接:http://t.cn/EXaPDHE2、  新勒索软件RobbinHood声称'保护”您的隐私目前,一款名为RobbinHood的新勒索软件正在瞄准整个网络,他们可以加密访问的所有计算机。之后,他们会要求一定数量的比特币来解密单台计算机或更大的数量来解密整个网络。最有意思的是他们会强调受害者的隐私对他们很重要,他们不会透露任何已经付款的受害者信息。目前所知,当受害者的文件被加密时,它们会被重命名为类似于Encrypted_b0a6c73e3e434b63.enc_robbinhood的名字,同时会释放4个不同名字的赎金票据,这些票据包括有关受害者文件发生的事件,赎金金额以及TOR网站链接的信息。在勒索软件的Tor支付页面上,RobbinHood的开发人员表示他们关心受害者的隐私,并且付款后将删除加密密钥和IP地址。据消息称,该勒索软件已经袭击美国的北卡罗来纳州,使对方在确定损坏程度时不得不关闭他们的网络。相关链接:http://t.cn/EXahz2Z3、  门罗币(Monero)挖矿软件扩展攻击范围,利用EternalBlue漏洞和PowerShell进行广泛传播趋势科技最近检测到一种恶意软件,它使用多种传...
发布时间: 2019 - 04 - 16
1、  GoBrut僵尸网络ELF新变体攻击Unix系统目前,我们讨论的大部分关于GoBrut的攻击主要针对Windows系统,而这次,Alert Logic研究人员已经发现了该系列攻击的新ELF变体,它可以针对Unix系统。由于互联网上很大一部分服务器运行开源Linux系统,这显著增加了互联网传播此僵尸网络的风险。据报告称,目前已观察到大约1568个WordPress站点的约11,000个服务器受到感染和攻击。此次变体ELF样本与Windows样本有类似的C2服务器,但额外增加了cronjob的持久性停止功能。相关链接:http://t.cn/E6ReZWL 2、  Mirai新变种,针对多款IOT设备处理器进行攻击Unit 42近期发现的Mirai新样本,主要针对Altera Nios II, OpenRISC, Tensilica Xtensa, 和Xilinx MicroBlaze处理器进行编译的。这已经不是Mirai第一次针对新的处理器架构进行扩展,早在2018年1月份就发现了针对ARC CPU的样本。这一发现表明Mirai开发人员针对越来越多的物联网设备继续扩展新功能。 这次发现的样本除了针对那些新架构及处理器进行编译之外,研究人员还发现这些样本包含了更新的加密法,主要使用11个8字节密钥,所有这些密钥都按字节顺序进行XOR操作,以获得最终的结果密钥。同时使用包含参数的DDoS攻击选项,这些参数与原始Mirai源中的攻击方法'TCP SYN'完全相同。研究还发现,这次所有的样本都被托管在同一个IP目录下,并且这些样本包含了这次攻击使用的所有漏洞,比如ThinkPHP远程执行代码、D-Link DSL2750B OS命令注入、Netgear远程执行代码、CVE-2014-8361、CVE-2017-17215漏洞等。鉴于Mira...
发布时间: 2019 - 04 - 11
1、  APT组织FIN6攻击工程行业并投放LockerGoga和Ryuk勒索软件        检测到金融APT组织FIN 6入侵了工程行业的一个客户,这似乎与FIN 6只针对窃取信用卡数据的历史定位不同。虽然入侵的意图并不清楚,但可以确定FIN 6已扩大其犯罪行业,部署赎金,从而进一步使其接触到损害的实体的机会货币化。此次攻击FIN 6为了最初获得对环境的访问,破坏了一个面向互联网的系统。经过分析该系统日志,分析人员发现了FIN 6窃取数据的凭证,利用Windows的远程桌面协议(RDP)在环境中横向移动。在RDP连接到系统之后,FIN 6使用了两种不同的技术来建立立足点,第一种是使用PowerShell执行编码的命令以下载有效载荷,第二种是创建Windows服务(使用随机的16个字符串命名,如IxiCDtPbtGWnrAGQ)来执行编码的PowerShell命令,最终下载有效恶意文件,部署Ryuk或LockerGoga Ransomware。 相关链接:http://t.cn/E6XLFS7 2、  利用永恒之蓝(EternalBlue)漏洞的木马下载器采用“无文件挖矿”新模式        近日检测到利用永恒之蓝漏洞的下载器木马再次更新,此次更新改变了原有的挖矿木马执行方式,通过在Powershell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地,直接在Powershell.exe进程中运行,可能造成难以检测和清除。相关链接:http://t.cn/E6XyyZN 3、  英特尔芯片新漏洞暴露计算机上所有数据        安全研究人员报告称,透过流经某些...
发布时间: 2019 - 04 - 09
1、  海莲花组织针对中国APT攻击的最新样本,利用恶意宏文档运行后门程序      从2018年12月至今,捕获多例针对中国用户的恶意宏文档攻击样本。这些恶意文档通过在模糊的文字背景上伪装出杀毒软件的安全检测结果,诱导受害者启用恶意宏代码,向Word进程自身注入Shellcode,最终在内存中解密和运行后门程序。根据对该后门的深入分析,发现该样本来自海莲花组织。 相关链接:http://t.cn/EiNEt772、“贪吃蛇”挖矿木马团伙针对SQL Server进行弱密码攻击,植入多个木马程序     相关威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。 相关链接:http://t.cn/EiNESQH3、“2345导航站”弹窗广告携带病毒,盗取QQ和多款热门游戏账号      部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。相关链接:http://t.cn/EiKbUlq4、  因配置失误 超1.3万iSCSI存储集群已在线上暴露        iSCSI 是一种将工作站和服务器与数据存储设备相连的协议,通常可在大型企业 / 数据中心的磁盘存储阵列、以及消费级的网...
发布时间: 2019 - 04 - 03
1、沙特政府从亚马逊CEO贝索斯手机获取到个人数据美国亚马逊公司首席执行官杰夫·贝索斯的安全顾问3月30日指认沙特阿拉伯政府“入侵”贝索斯的手机,获取他的私人信息。作为贝索斯的长期安全顾问,加文·德贝克尔在美国野兽日报网站发表文章,披露“调查人员和多名专家对所作结论高度自信,即沙特政府访问贝索斯的手机,获取私人信息。”相关链接:http://t.cn/Eiq19C22、芬兰两所监狱内服刑人员尝试新型劳役:训练AI算法狱中劳役”通常与体力活动相关,但是芬兰两所监狱内的服刑人员却在尝试一种新型劳役:归类数据,从而训练一家初创企业的人工智能算法。尽管这家初创企业Vainu认为这种合作形式是一种传授有价值技能的劳役改革,但是不少专家认为这种做法剥削了服刑人员的劳动力,因为囚犯的薪资待遇都非常低。相关链接:http://t.cn/EiPSVYQ3、加拿大域名注册机构的员工车库被勒索软件攻击  加拿大域名网注册机构(CIRA)的员工停车场遭受到勒索软件攻击,导致任何人都可在此免费停车。CIRA是一个非营利组织,负责管理.CA这一加拿大的国家顶级域名(ccTLD)。攻击发生在星期二,但目前勒索情况仍未改善。在被攻击的第二天,本应刷卡进出的停车场已可随意出入。目前该机构已采用临时快速通行证来解决这个问题。而造成如此大影响的是Dharma勒索软件的变种。相关链接:http://t.cn/Ei5YAPY1、【高】海纳企业网站管理系统 V2.1存在代码执行漏洞(CNVD-2019-06370)相关链接:http://t.cn/Ei5Ojs12、【高】UsualToolCMS 8.0 Release前台se***.php存在SQL注入漏洞(CNVD-2019-06374)相关链接:http://t.cn/Ei5O39Z3、【高】合优网络建站系统存在SQL注入...
发布时间: 2019 - 04 - 01
1、疑似APT-C-27组织利用WinRAR漏洞,对中东地区发起定向攻击2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27使用的木马样本信息高度相似。相关链接:http://t.cn/ExTfW6k2、Buhtrap木马家族新攻击活动揭露,针对俄罗斯、白俄罗斯金融机构在2018年底至2019年初,Buhtrap木马家族被发现多次针对俄罗斯、白俄罗斯的攻击活动。该家族的木马主要针对俄罗斯、乌克兰等地的金融目标进行攻击活动,根据Group-IB和ESET的研究结果来看,该恶意文件至少从2014年就开始活跃。攻击使用鱼叉攻击方式,针对特定的目标发送钓鱼邮件,诱饵形式主要有三种,分别是doc文档、js脚本、可执行文件。后续有效荷载主要功能有键盘记录、信息收集、下载执行pe等。虽然我们发现的攻击细节跟之前曝光的Buhtrap恶意软件非常的相似,但是由于Buhtrap的源代码在2016年被泄露,因此暂时无更多的证据证明最近的几次攻击为之前的组织所为。相关链接:http://t.cn/ExTfnk33、Cardinal RAT恶意软件家族新版本被发现,持续攻击金融技术行业Cardinal ...
发布时间: 2019 - 03 - 22
1、刚说想吃“日料”马上首位推荐 外卖App在“偷听”你说话吗?“我的命,我自己操盘”,这是《窃听风云2》中的经典台词,但现实生活中,我们可能连自己手机的麦克风都操盘不了。你遇到过这样的情况吗?刚说了想吃什么,手机里就蹦出了它的推荐;刚说了要买什么,就出现了广告。饿了么、美团等外卖平台身陷“窃听”风波。相关链接:http://t.cn/ExcDvLv2、外媒:一家健康科技公司正在泄露大量医疗记录和处方一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄漏数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。相关链接:http://t.cn/Ex5xhJq3、以色列总理候选人遭伊朗网络间谍攻击,个人数据泄露据色列媒体报道,以色列辛贝特国家安全局(Shin Bet internalsecurity service)称,伊朗网络间谍侵入了总理候选人Benny Gantz的手机,暴露了他的个人数据。伊朗黑客干扰了以色列前军事部长Benny Gantz的竞选活动,Benny Gantz是以色列总理Netanyahu下届选举中的主要竞争者。相关链接:http://t.cn/ExxFuGs4、Play Store发现SimBad恶意软件,1.5亿Android用户成受害者3月17日消息,Check Point的IT安全研究人员发现了一个复杂的恶意软件攻击行动,该行动通过谷歌Play Store在全球范围内针对Android用户进行攻击。到目前为止,已有超过1.5亿用户成为该软件的受害者。相关链接:http://t.cn/ExL5vUN1、【高】Microsoft Edge Chakra脚本引擎内存损坏...
发布时间: 2019 - 03 - 19
1、GandCrab勒索软件冒充公安机关进行鱼叉邮件攻击不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”。GandCrab勒索病毒是国内目前活跃的勒索病毒之一,在短时间内进行了多个版本的更新迭代。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。在本次针对我国政府部门的攻击附件中直接包含了exe文件,通过包含空格的超长文件名进行伪装。因此用户对邮件附件应该仔细分辨。相关链接:http://t.cn/EMBmMpQ 2、新POS恶意软件GlitchPOS商业化运作,在犯罪论坛上公开销售Cisco Talos最近发现了一个新的POS恶意软件,攻击者在犯罪软件论坛上销售这些恶意软件。这种恶意软件被称为“GlitchPOS”,据分析该恶意软件的作者Edbitss还开发过DiamondFox L!NK僵尸网络。VisualBasic开发的打包程序可以保护这种恶意软件。从表面上看,它是一款虚假游戏。解码后,可以访问GlitchPOS,这是一个用VisualBasic开发的内存抓取器。恶意软件通过C2服务器接受任务,命令通过C2服务器直接发送的shellcode执行。窃取的数据通过与购买恶意软件用户的控制面板显示。相关链接:http://t.cn/EMBmCct 3、DMSniff恶意软件包含域生成算法,主要攻击中小餐饮娱乐企业最近,Flashpoint的研究人员发现攻击者利用DMSniff恶意软件攻击餐饮娱乐行业的中小型企业。DMSniff还使用域生成算法(DGA)来动态创建命令和控制域列表,这样即使域名被执法部门,技术公司或托管服务提供商删除,恶意软件仍然可以通信和接收命令或共享被盗数据...
发布时间: 2019 - 03 - 15
WinRAR是Windows平台上最为知名的解压缩软件,它能解压缩RAR、ZIP、7z、ACE等多种压缩格式的软件。目前该软件官网称其在全球有超过5亿用户。2019年2月21日,互联网爆出了一个关于WinRAR存在19年的漏洞,利用该漏洞可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 【漏 洞 综 述】   该漏洞源于对文件的“filename”字段未进行充分的过滤,攻击者可利用该漏洞制作恶意ACE格式文件,当该文件被WinRAR解压缩的时候,能利用UNACEV2.dll文件中的路径遍历漏洞欺骗WinRAR将文件解压缩到攻击者指定的路径。甚至可以将恶意文件写入至开机启动项,导致代码执行。目前,部分漏洞的验证工具已经公开,推测此后漏洞很有可能会被勒索软件或者恶意挖矿软件利用。此外WinRAR官方已经发布更新修复了该漏洞,为防止用户受到攻击,建议受该漏洞影响的WinRAR用户尽快采取修补措施。危险等级:高危CVE编号:CVE-2018-20250CNNVD编号:CNNVD-201902-077受影响版本: WinRAR 【解 决 建 议】检测与修复:搜索安装的解压软件安装目录下的UNACEV2.dll,如果存在则存在漏洞Windows下用户立即下载最新版:https://www.rarlab.com/download.htm;    32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe    64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe若用户无法立即升级版本,临时缓...
发布时间: 2019 - 03 - 15
1、VRVNAC桌面监控携带恶意程序,影响用户包括公安等单位近期,发现VRVNAC“桌面监控”软件携带恶意程序,这款被病毒污染的VRVNAC软件广泛应用于公安、气象等行业单位。经分析该恶意代码早在2015年就被该组件携带,至今仍未修正该问题。被感染的网页文件,执行条件比较苛刻(需要IE6浏览器内核渲染,并设置浏览器安全等级为低),所以在实际用户环境中不容易被激活。在构造了上述环境并通过IE浏览器加载该页面激活改病毒后,病毒代码会尝试释放并执行恶意代码,进而感染EXE、DLL、HTML、HTM文件,用于传播自身。相关链接:http://t.cn/EM8UIaR2、挖矿木马病毒PsMiner利用多个高危漏洞进行传播最近,360 Total Security团队截获了一个用Go编写的新蠕虫PsMiner,它使用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等高风险漏洞,还有系统弱密码传播,利用漏洞入侵设置ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer服务器机器,入侵后使用受害机器挖掘加密货币。在利用漏洞入侵用户设备后,会下载并执行后续病毒模块,并扩散PsMiner漏洞,使用开源挖掘工具Xmrig CPU Miner来挖掘Monroe币。相关链接:http://t.cn/EM8UN443、Ursnif木马新变种,使用新隐身机制并完善其他功能模块自2019年初以来,Cybereason的研究人员一直在观察一个针对日本用户的活动。与之前的活动一样,此次最新攻击始于电子邮件的武器化Office文档附件,恶意文档要求用户启用宏。在检测完目标环境后,会加载Bebloh有效负载,并从C2服务器下载Ursnif木马程序。此次的Ursnif木马新变种使用了新...
发布时间: 2019 - 03 - 14
1、“匿影”挖矿病毒挖取新兴货币,利用网盘作为C2服务器近期,有一个挖门罗币和BEAM币的“匿影”挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播。不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。该病毒关键部分的代码使用了Themida和VMP保护,提高了研究人员逆向分析的难度,所涉及到的域名和服务器均由第三方服务商提供。相关链接:http://t.cn/EMajJXF2、BuleHero病毒又现新变种,增加thinkphp5漏洞利用近期,BuleHero蠕虫病毒最新变种攻击被发现,该变种延续了以往版本的多个漏洞利用攻击方式,新增加了thinkphp5漏洞(CNVD-2018-24942)利用攻击,木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。同时该木马还利用了永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)。在攻击过程中还使用了mimikatz搜集登录密码,并利用字典进行远程爆破。相关链接:http://t.cn/EMaYjeu3、委内瑞拉部长宣布该国大规模停电可能由美国网络攻击造成上周,委内瑞拉遭遇了一场灾难大停电,停电袭击了该国23个州中的22个州以及首都加拉加斯。星期六,委内瑞拉通信和信息部长豪尔赫罗德里格斯宣布停电的原因是古里水力发电厂遭受...
发布时间: 2019 - 03 - 12
2019年3月9日至10日,捷普安全实验室发现Globelmposter 3.0变种再次活跃,西北地区已经有用户中招,病毒将加密后的文件重命名为xxx.*4444扩展名,其中之一为*.snake4444,并要求用户通过邮件沟通赎金跟解密密钥等。目前此次变种有呈现爆发的趋势,其中以医院居多,交大捷普紧急预警,提醒广大用户做好安全防护,警惕Globelmposter 勒索。各企业用户如需相关技术支持可联系交大捷普区域技术人员获取服务支撑。   【 病 毒 描述 】 Globelmposter家族首次发现于2017年5月份。Globelmposter1.0版本的勒索软件由于其加密方式存在代码缺陷,导致被勒索的文件是可以被解密。2017年至2018年直至2019年初,Globelmposter开始从1.0版本更新到2.0版本到3.0版本,最终,开始采用RSA+AES加密方式对受害者的文件进行加密,这导致在没有解密密钥的情况下很难还原被加密的文件。传播行为从早期主要以钓鱼邮件为主要传播手法,而后逐渐演变为利用RDP爆破服务器进行人工投毒的传播。与此同时,其变种也开始逐渐增多。本次爆发的病毒为其变种之一,初步分析为RDP爆破服务器,进入主机之后,进行人工投毒,而后进行内感染攻击。由于Globelmposter 3.0变种采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具,被加密的计算机会生成一个“HOW_TO_BACK_FILES”的文件,描述了相关信息。【解 决 方 案  】对于易感染的主机迅速下线中毒主机,可直接切断网络连接,例如拔掉网线。 对于尚未感染的主机I、推荐使用捷普网络脆弱性智能评估系统(NVAS),进行漏洞扫描,基线检查,排查安全问题,打补丁,加固。II、Globelmposter的变种利用RDP...
发布时间: 2019 - 03 - 09
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务