安全研究 Safety research
1、僵尸網絡Smominru控制超50萬臺PC,用于Monero挖礦謀取暴利超過526,000臺Windows計算機(主要是Windows服務器)被僵尸網絡Smominru控制,通過植入Monero實施挖礦活動。Smominru使用不同的技術感染機器,包括EternalBlue(CVE-2017-0144)漏洞和EsteemAudit(CVE-2017-0176)漏洞,利用成功后接管未打補丁的Windows服務器。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=0d6cdf667fe24a20bf10b60c3a147c90 2、廣告軟件偽裝成合法應用程序,在Google Play上架最近,Bitdefender研究人員在Google Play應用市場中,發現了三個新的偽裝成合法應用程序的廣告軟件,每個軟件下載量超過10000。當應用程序連接到互聯網時,將隱藏圖標,顯示“卸載完成”,或者“這個應用程序與你的設備不兼容!”消息。同時,它會將Google Play打開并顯示設備上已經安裝的應用程序,比如谷歌地圖,以迷惑受害者。并且還通過設置延遲警報,確保廣告不斷顯示在受害者的設備上。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=efcd233707c64565a3e4310912b6c4fe3、Watchbog木馬變種挖掘加密貨幣,利用Exim和Jira漏洞傳播Intezer Labs研究員發現新的惡意樣本,該樣本利用Jira模板注入漏洞 (CVE-2019-11581)和Exim遠程命令執行漏洞(CVE-2019-10149),以獲取root權限遠程執行命令。利用目標漏洞后,會分發Monero礦工程序。進入目標系統后,Watchbog將從pasteb...
發布時間: 2019 - 07 - 24
1、攝像頭新勒索軟件DoppelPaymer,利用ProcessHacker終止進程服務CrowdStrike研究人員發現BitPaymer勒索軟件新的變體DoppelPaymer,該變體是2019年6月開始的一系列勒索軟件活動的幕后黑手,包括對德克薩斯州埃德庫奇市和智利農業部的攻擊。發現的變體與INDRIK SPIDER運營的BitPaymer勒索軟件大量代碼重疊。但二者在贖金票據、加密方式、加密填充方案和加密文件命名上均有不同。并且,DoppelPaymer還使用合法的開源管理實用程序ProcessHacker。此應用程序與內核驅動程序捆綁在一起,可用于終止進程和服務。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=e9207d6988e444ac86524649bd5cb5cc 2、Turla組織新武器“Topinambo”,通過合法軟件安裝程序傳播近期,卡巴斯基研究人員發現Turla組織新增武器“Topinambo”,攻擊者使用感染了“Topinambo” dropper的合法軟件安裝程序,比如“Softether VPN 4.12”和“psiphon3”,或者微軟Office的 “activators”( 激活器),這些可能是逃避互聯網審查的工具。dropper包含一個.NET shell,.NET模塊的作用是提供KopiLuwak JavaScript木馬和一個與KopiLuwak類似的PowerShell特洛伊木馬程序。這些程序可以在受害者的計算機上構建一個“無文件”模塊鏈,該模塊鏈包含一個小型初始運行程序和幾個包含加密遠程管理工具的Windows系統注冊表值。這些模塊于2019年初開始活動,主要針對政府實體。相關鏈接:https://redqueen.tj-un.com/IntelDetai...
發布時間: 2019 - 07 - 17
1、漏洞預警:視頻會議軟件Zoom RCE漏洞CVE-2019–13450,可劫持Mac攝像頭2019年7月8日,安全研究人員Jonathan Leitschuh披露視頻會議軟件Zoom中的一個RCE漏洞,該漏洞影響了Mac平臺上的Zoom app版本4.4.4,可允許攻擊者在用戶訪問網站時接管網絡攝像頭。蘋果在2019年7月11日發布了針對性靜默更新,能夠防止所有已經安裝Zoom軟件的Safari用戶進一步受到感染。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=05885910355c4470b0e5771ca6a1dcd4 2、AVTECH安防設備存漏洞,被控組建Gafgtyt僵尸網絡最近,國內安全研究人員發現利用Avtech攝像監控設備相關漏洞(CNVD-2016-08737)進行入侵的攻擊事件。攻擊者利用AVTECH DVR設備中的命令注入漏洞實現遠程sh腳本下載執行,最后植入Gafgtyt僵尸網絡后門, 后門會掃描網絡中的設備并進行爆破攻擊,可發起DDoS網絡攻擊活動。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=66df016fd70942818900658ac26230113、新型勒索軟件eCh0raix,針對QNAP網絡附加存儲(NAS)設備最近,Anomali研究人員觀察到新的勒索軟件eCh0raix,該勒索軟件針對QNAP網絡附加存儲(NAS)設備。eCh0raix采用go語言編寫,通過SOCKS5 Tor代理與C2通信。攻擊者通過暴力破解和漏洞利用發起攻擊。惡意有效負載使用AES算法加密NAS上的目標文件擴展名,加密后的文件使用擴展名.encrypt。惡意軟件從數組“abcdefghijklmnopqrstuvwxyzABC...
發布時間: 2019 - 07 - 12
1、微軟帳戶兩年內不活躍將被刪除,不會發送警告郵件7月1日,微軟公司更新了Microsoft帳戶的支持頁面,變更了賬戶的活動策略。如果兩年以上未使用(處于非活躍狀態),賬戶將被刪除,所有擁有Microsoft帳戶的用戶都應遵循這些規則,以確保其帳戶不會被波及。相關鏈接:http://t.cn/AiO93djw 2、思科回應交換機中出現華為證書和密鑰:因疏忽忘記刪除思科和華為是通信設備上的老對手,市場競爭多年。2003年,思科曾以“抄襲代碼”為由將華為告上法庭,然而尷尬的是,思科最近卻承認誤用了華為代碼。據外媒報道,原來,7月3日,思科發布19條安全聲明,其中18條涉及中高危漏洞,另一個則是與小企業級250, 350, 350X和550X交換機有關的低級別漏洞。相關鏈接:http://t.cn/AiOC7wmv3、研究人員發現醫療軟件漏洞,將導致診斷結果有誤據外媒報道,近期研究人員最新發現了一個用于基因組分析的通用開源軟件的漏洞,這將導致基于DNA的醫學診斷很容易受到網絡攻擊。桑迪亞國家實驗室的研究人員發現了這個弱點,并及時通知了軟件開發人員,隨后他們發布了一個補丁來解決這個問題,同時最新版本的軟件也解決了這個問題。雖然目前還不知道該漏洞是否遭受過攻擊,但國家標準技術研究院最近在給軟件開發人員、基因組學研究人員和網絡管理員的一份說明中對該漏洞進行了分析。這一發現揭示了保護基因組信息不僅僅涉及個人基因信息的安全存儲,而分析基因數據的計算機系統中的網絡安全也是至關重要的。相關鏈接:http://t.cn/AiOCswQl4、伊朗媒體稱:中國同意共同對抗網絡威脅(美國)消息稱,2019年7月5日,在伊朗信息技術部長Mohammad Javad Azari Jahromi與中國工業和信息化部長苗圩于周五在北京舉行的會晤中,雙方討論了如何促進信息技術領域的合作以及應對網絡空間...
發布時間: 2019 - 07 - 08
1、新手機版勒索軟件WannaLocker攻擊巴西銀行安全研究人員跟蹤到結合了間諜軟件、遠程控制木馬和銀行木馬功能的新版勒索軟件WannaLocker。分析發現該新版勒索軟件是利用銀行木馬收割手機短信、通話記錄、電話號碼及信用卡信息等敏感信息。相關鏈接:http://t.cn/Ai084Pvf 2、惡意軟件加載器利用Heaven's Gate, 逃避殺軟檢測研究人員發現一種惡意軟件加載程序能夠注入到受害機器內存中以逃避殺毒軟件檢測。惡意加載器利用了Heaven's Gate技術,可以讓32位惡意軟件運行在64位系統中,借64位環境以隱藏API調用。Cisco Talos研究人員發現的這種加載器利用該技術將惡意載荷解包后注入到合法進程RegAsm.exe中,以完成隱藏。這種加載器是利用惡意郵件傳播的,利用CVE-2017-11882,一種影響微軟方程式編輯器的漏洞。相關鏈接:http://t.cn/Ai084btP3、網絡釣魚針對日本傳播URSNIF木馬,引用未記錄的xlDate變量近日,Fortinet研究人員發現了針對日本的網絡釣魚活動,攻擊者使用包含惡意宏的Excel附件下載惡意內容。附件文檔包含虛假圖片,單元格A1包含冗長的惡意字符串。惡意宏調用實際執行命令通過對Welcome()和WestAndS()函數的組合調用來定義。Welcome()函數使用Beta1密鑰解密,通過Application.International屬性和未記錄的xlDate變量來確定,WestAndS()函數通過A1字符串混淆。PowerShell使用了五層各種混淆技術,通過命令連接位于俄羅斯的服務器,最終釋放文件似乎為銀行木馬變種BEBLOH/URSNIF。相關鏈接:http://t.cn/Ai084aSk4、黑客篡改15.8萬個WordPress網站標題,插入1800ForBai...
發布時間: 2019 - 07 - 03
1、 5G面臨風險大考:我國一半以上工控系統帶毒運行人工智能技術的加持,5G建設的全面鋪開,加速了工業互聯網的普及,與此同時,工業信息安全產業規模加速擴容。6月22日,“2019年中國工業信息安全大會”發布《中國工業信息安全產業發展白皮書(2018—2019年)》,其中數據顯示,2018年我國工業信息安全產業規模市場增長率達33.55%。預計2019年市場增長率將達19.23%,市場整體規模增長至93.91億元。相關鏈接:http://t.cn/AipXoaAy 2、伊朗:美國很努力地發動網絡攻擊 但是失敗了特朗普叫停對伊空襲,但同意對伊朗進行網絡攻擊的消息傳出后,伊朗政府24日正式對此做出回應,美國的這次行動沒有得逞。據路透社24日報道,伊朗通信和信息技術部長穆罕默德·賈哈米(Mohammad Javad Azari-Jahromi)當天發推特稱:“美國很努力地對伊朗發動網絡攻擊,但是失敗了。”相關鏈接:http://t.cn/Aip0gQil3、勒索軟件Ryuk新變種,內置IP地址和計算機名稱的黑名單研究團隊MalwareHunterTeam發現勒索軟件Ryuk的一個新變種,該變種使用數字證書進行簽名,并且添加了IP地址和計算機名稱的黑名單,以確保匹配的計算機不會被加密。研究人員Vitali Kremez對該樣本分析后發現,該樣本將檢查arp -a的輸出,并與內置的IP地址字符串進行匹配;該樣本還會檢查計算機名稱,Kremez認為這可能是為了避免加密俄羅斯的計算機。一旦完成加密,該樣本將在加密的文件后添加.RYK擴展名。相關鏈接:http://t.cn/Aip0d5001、【高】CatfishCMS后臺存在任意文件刪除漏洞(CNVD-2019-16780)相關鏈接:http://t.cn/Aip0B7Be2、【高】Joomla-cms v3...
發布時間: 2019 - 06 - 25
1、 漏洞預警:Firefox CVE-2019-11707 遠程代碼執行漏洞的修補版本已發布Firefox官方發布安全更新,修復了一個存在于 Firefox 全平臺所有版本中的遠程代碼執行漏洞,并稱此漏洞已經被在野利用。此漏洞是存在于 Firefox JavaScript 引擎中的類型混淆漏洞,由 Google Project Zero 發現并上報。攻擊者可誤導目標用戶訪問惡意網站,并在該網站中植入漏洞攻擊代碼,最終獲得在目標用戶終端設備遠程執行任意代碼的權限,從而控制目標用戶的終端設備。相關鏈接:http://t.cn/AiNdJUiu 2、模塊化惡意軟件Plurox曝光,插件功能豐富卡巴斯基安全研究人員今年二月捕獲到一個有趣樣本,經分析,其用C編碼,Mingw GCC編譯,功能豐富:利用WinAPI創建進程上傳下載文件;更新自動化程序;上傳下載插件,且能控制其運行;下發惡意挖礦程序;利用UPnP協議通訊且攻擊局域網。相關鏈接:http://t.cn/AiNdJio83、黑客攻擊活動Bouncing Golf,利用間諜軟件感染數百部手機研究人員近日觀察到針對中東國家的惡意攻擊行為,這次活動的主要特征是利用了手機間諜軟件GolfSpy,由此被命名為Bouncing Golf。這些間諜軟件由惡意網站通過社交網絡下發,并未經過官方或第三方應用市場傳播,目前監控到有660臺安卓設備被感染。這次攻擊被認為與之前披露的移動端黑客攻擊組織Domestic Kitten有相關聯系:感染環節和目標信息較為相似,利用重新編譯過,已被注入惡意程序的間諜應用,通過僵尸網絡進行通訊。相關鏈接:http://t.cn/AiNdJWZU4、西甲官方應用因非法監聽用戶被罰 25 萬歐元據外媒Techspot報道,Instagram上的網絡釣魚和帳戶被盜已成為一個問題,當Instagram無法...
發布時間: 2019 - 06 - 20
1、 美軍網絡司令部已在俄羅斯電網植入惡意軟件 必要時可使其癱瘓最新披露的報告顯示,美軍的網絡司令部(Cyber Command)在過去一年中對俄羅斯的攻擊規模要比以往任何時候都更加激進,并且在控制俄羅斯電網的多個系統中植入了“可以使其癱瘓的惡意軟件”。相關鏈接:https://dwz.cn/ekPiAsjL 2、ACLU警告:美國近5000萬臺監控攝像頭可能成為人工智能“保安”據外媒CNET報道,新技術在改善人們生活的同時也可能帶來無法預料的陷阱。攝像頭現在比以往任何時候都更小、更好,更智能,而美國公民自由聯盟(ACLU)警告說,這可能是未來的一個問題。相關鏈接:https://dwz.cn/3o8EUbpU3、超范圍收集個人信息等問題成為網民舉報熱點根據網民舉報反映的問題,工作組對300余款App進行了評估,針對30款用戶量大、問題嚴重的App,于4月上旬向其運營者發送了整改通知,要求認真整改、舉一反三,于1個月內反饋整改情況。30款App運營者及時進行了反饋。經工作組認真核驗,網易彩票、拼多多、翼支付等3款App未按期完成整改,相關部門對其進行了約談并督促改進,目前已整改完畢。相關鏈接:https://dwz.cn/HOlrzR7E4、西甲官方應用因非法監聽用戶被罰 25 萬歐元西班牙足球甲級聯賽官方 Android 應用因非法監聽用戶被罰 25 萬歐元。去年西甲承認它的 Android 應用訪問手機的麥克風和 GPS,但它辯護稱此舉旨在通過匹配音頻數據和手機位置,跟蹤播放比賽的非法場所。西甲應用在 Google Play 官方市場下載量超過一千萬次,西甲表示它希望 “保護俱樂部和球迷免受欺詐”。西甲稱,每年聯盟因為未獲許可在公開場所播放比賽損失了 1.5 億歐元。西甲稱,在應用安裝或更新時它詢問了用戶是否同意啟用麥克風和 GPS 訪問權限。應用會使用 GP...
發布時間: 2019 - 06 - 17
1、 FCC:自動語音電話每年至少使美國消費者損失30億美元根據美國聯邦通信委員會(Federal Communications Commission)的數據,自動語音電話(RoboCall)不僅令人煩惱,而且每年至少花費美國消費者30億美元。相關鏈接:http://sina.lt/gcGr 2、公司信息遭泄露后 特斯拉禁止員工使用匿名聊天應用程序據外媒CNET報道,Blind已經確認,在公司消息遭泄露后,特斯拉已阻止員工使用這款匿名工作場所社交網絡應用程序。Blind表示特斯拉正在阻止其員工接收驗證電子郵件,因此員工將無法驗證其帳戶。相關鏈接:http://sina.lt/gcGu3、Google 解釋周日宕機事故原因安全研究人員近期發現,ChaCha勒索病毒,也叫Maze勒索病毒,使用漏洞利用工具Fallout,通過釣魚網站傳播,會根據用戶使用電腦的場景:家用、服務器或工作站確定勒索金額。相關鏈接:http://sina.lt/gcGv1、【高】哈爾濱巨耀網絡科技有限公司建站系統存在SQL注入漏洞(CNVD-2019-14867)相關鏈接:http://sina.lt/gcFx2、【高】wecon LeviStudio存在dll劫持漏洞相關鏈接:http://sina.lt/gcF63、【中】顯控Remote HMI存在dll劫持漏洞(CNVD-2019-14866)相關鏈接:http://sina.lt/gcFJ4、【中】世紀星mo***服務器在堆溢出漏洞(CNVD-2019-14859)相關鏈接:http://sina.lt/gcFn
發布時間: 2019 - 06 - 10
1、 Office 365出現網絡釣魚近日,一種新形式的釣魚活動出現在網絡中,攻擊者會將釣魚內容偽裝成Office365點警告郵件,并告知用戶他們的賬戶中出現異常數量的文件刪除。釣魚攻擊以Office365警告內容的形式出現,聲稱用戶已觸發中級威脅警報,并告知用戶在其賬戶中發生了大量文件刪除行為,誘使用戶點擊警告框。如果用戶點擊警告框并,會進入偽造的登錄頁面,一旦輸入賬號密碼,就會被釣魚網站獲取并保存。隨后,登錄頁面會刷新并將用戶重定向至正常登陸頁面,以掩蓋釣魚行為。微軟提醒用戶,Microsoft賬戶和outlook賬戶的登錄表單只會來自microsoft.com、live.com或outlook.com。如果發現有任何來自其他URL的Microsoft登錄表單,請不要使用。相關鏈接:http://t.cn/Ai9KWpbh 2、未修復的漏洞將影響所有Docker版本所有版本的Docker目前都容易受到“競態條件”的攻擊,這種攻擊手段可使攻擊者對主機系統上的任何文件都具有讀寫訪問權限,概念驗證代碼已經發布。該漏洞類似于CVE-2018-15664,它為黑客提供了一個窗口,可以指定的程序開始對資源進行操作之前修改資源路徑,歸屬于時間檢查(TOCTOU)類型的錯誤。相關鏈接:http://t.cn/Ai9KWgMH3、勒索軟件ChaCha利用漏洞工具Fallout傳播,根據使用場景勒索不同金額安全研究人員近期發現,ChaCha勒索病毒,也叫Maze勒索病毒,使用漏洞利用工具Fallout,通過釣魚網站傳播,會根據用戶使用電腦的場景:家用、服務器或工作站確定勒索金額。相關鏈接:http://t.cn/Ai9Klupt4、Leicester足球俱樂部官網遭黑客入侵,客戶支付信息泄露Leicester足球俱樂部表示其官網https://shop.lcfc.com/遭黑客入...
發布時間: 2019 - 06 - 04
1、 Winnti后門爆出Linux版本,與Winnti 2.0 Windows存在相似性Winnti惡意軟件系列于2013年由卡巴斯基實驗室首次報道。Chronicle研究人員確定了一小部分專為Linux系統設計的Winnti樣本,Linux版本的Winnti由兩個文件組成:一個主后門和一個用于隱藏其活動的庫。與其他版本的Winnti一樣,惡意軟件的核心組件本身并不為運營商提供獨特的功能,而是用于直接從命令和控制服務器處理通信和模塊部署。Winnti惡意軟件使用多種協議處理出站通信,包括:ICMP,HTTP以及自定義TCP和UDP協議。新版本Winnti(Linux和Windows)具有的功能允許操作員直接啟動與受感染主機的連接,而無需需要連接到控制服務器。相關鏈接:http://t.cn/E9is8Jk 2、垃圾郵件內含重定向URL,傳播Trickbot銀行木馬新變種研究人員通過垃圾郵件中的重定向URL發現了Trickbot銀行木馬新變種。垃圾郵件使用社交媒體圖標,內容為準備好發貨的已處理訂單,電子郵件中的URL會將用戶從Google重定向到Trickbot下載網站,下載包含Visual Basic腳本(VBS)的.zip文件,該腳本是Trickbot下載程序。由于其模塊化結構,Trickbot可以根據其下載和安裝的模塊快速部署新功能。Trickbot使用的模塊具有可以輕松交換的獨特功能,從而實現定制攻擊。相關鏈接:http://t.cn/E9isrFP3、大疆回應美國土安全部數據質疑,安全性經全球驗證“華為事件”的熱度絲毫未減,美國似乎又將矛頭指向了新的目標——DJI大疆。根據CNN報道的內容,美國國土安全部警告稱,中國制造的無人機可以向制造商傳輸飛行數據,從而可能被政府部門獲取。盡管并未指明哪個品牌,但美國和加拿大投入使用的無人機80%來自大疆。甚至在近幾...
發布時間: 2019 - 05 - 22
1、 網頁被篡改跳至賭博平臺 甘孜州一官方網站遭處罰2019年3月,南充市南部縣公安局網安大隊對馮某等人利用“博旅理財”項目進行網絡傳銷啟動“一案雙查”工作,發現四川藍海創想科技有限公司在明知“博旅理財”項目涉嫌從事網絡傳銷情況下仍然為其提供技術支持。目前南充市南部縣公安局網安大隊以涉嫌幫助信息網絡犯罪活動罪將藍海創想科技有限公司負責人盧某、楊某刑事拘留。相關鏈接:http://t.cn/EKVs3Oi 2、德國網絡安全局警告卡巴斯基殺毒軟件存在安全缺陷德國網絡安全機構BSI就卡巴斯基殺毒軟件的安全漏洞發出警告,建議用戶盡快安裝最新補丁。雖然該建議不包括基于該缺陷可能網絡攻擊的任何詳細信息,但BSI警告說,黑客只需向其目標發送包含特制文件的惡意電子郵件,在某些情況下,甚至不需要打開該文件。相關鏈接:http://t.cn/EKVmOJ4 3、部分服務器網絡設備供應商將生產遷出中國因為美國將中國商品關稅從 10% 上調到 25%,臺灣的服務器、無線網絡設備和主板制造商正加緊將生產從中國遷移到東南亞或本土。中國有著完整的產業鏈,而這條產業鏈上的許多公司不可能或無力搬到其它地方,因此將生產線遷移出中國意味著需要重新調整產業鏈,尋找新的配套公司。包括廣達、英業達和緯創資通在內的臺灣服務器制造商占到了全球服務器供應市場的九成以上。它們已經或正在逐步將生產線搬回臺灣或搬到東南亞。相關鏈接:http://t.cn/EKf7Pyv4、網絡挖礦組織Pacha Group與Rocke Group在基于云的加密貨幣挖礦上激烈競爭Pacha Group是一個網絡挖礦組織,這個組織最早于2019年2月28日在Intezer的博客里做了介紹,針對這個組織發起的攻擊可追溯到2018年9月的對Linux服務器的攻擊,并利用了先進的規避和保持持久性的技術。近日Intezer最新的研究表明,Pach...
發布時間: 2019 - 05 - 14
1、APT組織海蓮花(OceanLotus)針對中南半島國家攻擊活動的總結分析相關研究團隊發布了針對近期發現的海蓮花組織在中南半島國家的最新攻擊活動的報告。本報告中研究人員對海蓮花組織針對越南國內以及越南周邊國家最新的攻擊利用技術、攻擊載荷類型、及相關攻擊事件進行了詳細的分析和總結。海蓮花除了會在Windows平臺上進行攻擊外,還會針對MacOS平臺用戶發起攻擊,比如使用瀏覽器更新,Flash安裝更新包,字體安裝包,偽裝成文檔實際為安裝程序的手段進行攻擊。相關鏈接:http://t.cn/EouPWYU2、雙尾蝎(APT-C-23)間諜組織利用新Android惡意軟件,針對巴勒斯坦進行攻擊雙尾蝎(APT-C-23)組織的目標主要集中在中東地區,尤其活躍在巴勒斯坦的領土上。從2016年5月起至今,雙尾蝎組織(APT-C-23)對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺主要包括 Windows 與 Android。這次的最近攻擊樣本通過仿冒Acrobat更新,通過顯示含有政治主題的誘餌PDF文件,誘騙用戶安裝使用;惡意軟件主要目的為竊取用戶手機信息,并對用戶手機進行遠程控制,新程序繼承了APT-C-23下發控制指令的模式,實現了兩種向應用推送消息的方式,FCM和SMS通信。程序運行以后會隱藏自身圖標,從而保護自身不被卸載。 相關鏈接:http://t.cn/EouPgHI  3、間諜組織Turla使用新的后門工具LightNeuron,針對微軟電子郵件服務器安全公司ESET本周二發布報告稱,一個名為Turla APT網絡間諜組織已經開發并在使用新的后門工具——LightNeuron,這是第一個針對Microsoft Exchange電子郵件服務器的后門。Turla,也被稱為Snake、WhiteBear、...
發布時間: 2019 - 05 - 10
1、 GandCrab勒索軟件最新活動,采取多種規避技術完善傳遞機制 近日發現一起針對一家日本跨國公司的GandCrab勒索軟件活動。 GandCrab是當前威脅領域中最流行的勒索軟件之一,主要原因是它遵循勒索軟件即服務(RaaS)商業模式。這使得任何網絡罪犯都能夠通過易于操作的平臺來使用GandCrab基礎架構,并提供全天候在線支持服務。自2018年初出現以來,它一直在不斷發展和完善其傳遞方法以逃避檢測。這些技術包括:1.將網絡釣魚電子郵件和武器化的Office文檔組合在一起,以便進入目標計算機。2.一個多階段無文件感染鏈,使用VBA代碼,WMI對象和JavaScript來刪除勒索軟件;3.利用二進制文件繞過Windows AppLocker并獲取勒索軟件有效負載;4.從合法的在線文本共享服務中獲取惡意負載,如此次攻擊中使用的pastebin.com。 相關鏈接:http://t.cn/EojFOCp 2、 Confluence漏洞CVE-2019-3396被廣泛利用,傳播挖礦軟件KerberodsConfluence是一種廣泛使用的協作和規劃軟件。4月份,觀察到其漏洞CVE-2019-3396用來執行惡意攻擊。安全提供商Alert Logic還發現了此漏洞被利用傳播Gandcrab勒索軟件。而研究人員最新發現此漏洞還被用于傳播一個加密貨幣挖礦惡意軟件,其中還包含一個旨在隱藏其活動的rootkit。此次攻擊開始時發送一個遠程命令下載shell腳本,然后下載挖礦軟件Kerberods和khugepageds,而下載的rookit不僅用來隱藏挖礦過程,還可以隱藏某些文件和網絡流量,而且它還具有提高機器CPU利用率的能力。相關鏈接:http://t.cn/EojF3JI 3、 幣安稱 4000 萬美元比特幣被盜比特幣交易所幣安發表聲明,黑客在一次大規模攻擊中...
發布時間: 2019 - 05 - 09
1、疑似APT-C-27組織利用WinRAR漏洞,對中東地區發起定向攻擊2019年3月17日,360威脅情報中心截獲了一例疑似“黃金鼠”APT組織(APT-C-27)利用WinRAR漏洞(CVE-2018-20250)針對中東地區的定向攻擊樣本。該惡意ACE壓縮包內包含一個以恐怖襲擊事件為誘餌的Office Word文檔,誘使受害者解壓文件,當受害者在本地計算機上通過WinRAR解壓該文件后便會觸發漏洞,漏洞利用成功后將內置的后門程序(Telegram Desktop.exe)釋放到用戶計算機啟動項目錄中,當用戶重啟或登錄系統都會執行該遠控木馬,從而控制受害者計算機。并且從本次捕獲到的相關木馬樣本(Windows和Android平臺)的功能模塊、代碼邏輯、內置信息語言、目標人群、網絡資產等信息都和早前曝光的APT-C-27使用的木馬樣本信息高度相似。相關鏈接:http://t.cn/ExTfW6k2、Buhtrap木馬家族新攻擊活動揭露,針對俄羅斯、白俄羅斯金融機構在2018年底至2019年初,Buhtrap木馬家族被發現多次針對俄羅斯、白俄羅斯的攻擊活動。該家族的木馬主要針對俄羅斯、烏克蘭等地的金融目標進行攻擊活動,根據Group-IB和ESET的研究結果來看,該惡意文件至少從2014年就開始活躍。攻擊使用魚叉攻擊方式,針對特定的目標發送釣魚郵件,誘餌形式主要有三種,分別是doc文檔、js腳本、可執行文件。后續有效荷載主要功能有鍵盤記錄、信息收集、下載執行pe等。雖然我們發現的攻擊細節跟之前曝光的Buhtrap惡意軟件非常的相似,但是由于Buhtrap的源代碼在2016年被泄露,因此暫時無更多的證據證明最近的幾次攻擊為之前的組織所為。相關鏈接:http://t.cn/ExTfnk33、Cardinal RAT惡意軟件家族新版本被發現,持續攻擊金融技術行業Cardinal ...
發布時間: 2019 - 03 - 22
1、剛說想吃“日料”馬上首位推薦 外賣App在“偷聽”你說話嗎?“我的命,我自己操盤”,這是《竊聽風云2》中的經典臺詞,但現實生活中,我們可能連自己手機的麥克風都操盤不了。你遇到過這樣的情況嗎?剛說了想吃什么,手機里就蹦出了它的推薦;剛說了要買什么,就出現了廣告。餓了么、美團等外賣平臺身陷“竊聽”風波。相關鏈接:http://t.cn/ExcDvLv2、外媒:一家健康科技公司正在泄露大量醫療記錄和處方一家健康科技公司在安全證書失效導致服務器沒有密碼后,每天泄漏數千張醫生藥方、醫療記錄和處方。這家名不見經傳的軟件公司來自加利福尼亞州的Meditab,自稱是醫院、醫生辦公室和藥房領先的電子醫療記錄軟件制造商之一。該公司為醫療保健提供商處理電子傳真,仍然是將患者文件共享給其他提供商和藥房的主要方法。相關鏈接:http://t.cn/Ex5xhJq3、以色列總理候選人遭伊朗網絡間諜攻擊,個人數據泄露據色列媒體報道,以色列辛貝特國家安全局(Shin Bet internalsecurity service)稱,伊朗網絡間諜侵入了總理候選人Benny Gantz的手機,暴露了他的個人數據。伊朗黑客干擾了以色列前軍事部長Benny Gantz的競選活動,Benny Gantz是以色列總理Netanyahu下屆選舉中的主要競爭者。相關鏈接:http://t.cn/ExxFuGs4、Play Store發現SimBad惡意軟件,1.5億Android用戶成受害者3月17日消息,Check Point的IT安全研究人員發現了一個復雜的惡意軟件攻擊行動,該行動通過谷歌Play Store在全球范圍內針對Android用戶進行攻擊。到目前為止,已有超過1.5億用戶成為該軟件的受害者。相關鏈接:http://t.cn/ExL5vUN1、【高】Microsoft Edge Chakra腳本引擎內存損壞...
發布時間: 2019 - 03 - 19
1、GandCrab勒索軟件冒充公安機關進行魚叉郵件攻擊不法分子正在使用GandCrab5.2勒索病毒對我國政府部分政府部門工作人員進行魚叉郵件攻擊。攻擊郵件主題為“你必須在3月11日下午3點向警察局報到!”。GandCrab勒索病毒是國內目前最活躍的勒索病毒之一,在短時間內進行了多個版本的更新迭代。該病毒在國內擅長使用弱口令爆破,掛馬,垃圾郵件傳播,該病毒由于使用了RSA+Salsa20的加密方式。無法拿到病毒作者手中私鑰常規情況下無法解密。在本次針對我國政府部門的攻擊附件中直接包含了exe文件,通過包含空格的超長文件名進行偽裝。因此用戶對郵件附件應該仔細分辨。相關鏈接:http://t.cn/EMBmMpQ 2、新POS惡意軟件GlitchPOS商業化運作,在犯罪論壇上公開銷售Cisco Talos最近發現了一個新的POS惡意軟件,攻擊者在犯罪軟件論壇上銷售這些惡意軟件。這種惡意軟件被稱為“GlitchPOS”,據分析該惡意軟件的作者Edbitss還開發過DiamondFox L!NK僵尸網絡。VisualBasic開發的打包程序可以保護這種惡意軟件。從表面上看,它是一款虛假游戲。解碼后,可以訪問GlitchPOS,這是一個用VisualBasic開發的內存抓取器。惡意軟件通過C2服務器接受任務,命令通過C2服務器直接發送的shellcode執行。竊取的數據通過與購買惡意軟件用戶的控制面板顯示。相關鏈接:http://t.cn/EMBmCct 3、DMSniff惡意軟件包含域生成算法,主要攻擊中小餐飲娛樂企業最近,Flashpoint的研究人員發現攻擊者利用DMSniff惡意軟件攻擊餐飲娛樂行業的中小型企業。DMSniff還使用域生成算法(DGA)來動態創建命令和控制域列表,這樣即使域名被執法部門,技術公司或托管服務提供商刪除,惡意軟件仍然可以通信和接收命令或共享被盜數...
發布時間: 2019 - 03 - 15
1、VRVNAC桌面監控攜帶惡意程序,影響用戶包括公安等單位近期,發現VRVNAC“桌面監控”軟件攜帶惡意程序,這款被病毒污染的VRVNAC軟件廣泛應用于公安、氣象等行業單位。經分析該惡意代碼早在2015年就被該組件攜帶,至今仍未修正該問題。被感染的網頁文件,執行條件比較苛刻(需要IE6瀏覽器內核渲染,并設置瀏覽器安全等級為低),所以在實際用戶環境中不容易被激活。在構造了上述環境并通過IE瀏覽器加載該頁面激活改病毒后,病毒代碼會嘗試釋放并執行惡意代碼,進而感染EXE、DLL、HTML、HTM文件,用于傳播自身。相關鏈接:http://t.cn/EM8UIaR2、挖礦木馬病毒PsMiner利用多個高危漏洞進行傳播最近,360 Total Security團隊截獲了一個用Go編寫的新蠕蟲PsMiner,它使用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等高風險漏洞,還有系統弱密碼傳播,利用漏洞入侵設置ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer服務器機器,入侵后使用受害機器挖掘加密貨幣。在利用漏洞入侵用戶設備后,會下載并執行后續病毒模塊,并擴散PsMiner漏洞,使用開源挖掘工具Xmrig CPU Miner來挖掘Monroe幣。相關鏈接:http://t.cn/EM8UN443、Ursnif木馬新變種,使用新隱身機制并完善其他功能模塊自2019年初以來,Cybereason的研究人員一直在觀察一個針對日本用戶的活動。與之前的活動一樣,此次最新攻擊始于電子郵件的武器化Office文檔附件,惡意文檔要求用戶啟用宏。在檢測完目標環境后,會加載Bebloh有效負載,并從C2服務器下載Ursnif木馬程序。此次的Ursnif木馬新變種使用了新...
發布時間: 2019 - 03 - 14
1、“匿影”挖礦病毒挖取新興貨幣,利用網盤作為C2服務器近期,有一個挖門羅幣和BEAM幣的“匿影”挖礦病毒,該病毒打包了方程式攻擊工具包,在內網中利用永恒之藍(Eternalblue)和雙脈沖星(DoublePulsar)進行橫向傳播。不同于以往的僵尸網絡,該病毒的C&C服務器,需要通過EmerDNS、Namecoin這類基于區塊鏈的加密貨幣進行轉換,進而得到真實的地址信息,由于這類區塊鏈去中心化、匿名等特點,導致它們無法被某個機構統一關停,危害較大。該病毒關鍵部分的代碼使用了Themida和VMP保護,提高了研究人員逆向分析的難度,所涉及到的域名和服務器均由第三方服務商提供。相關鏈接:http://t.cn/EMajJXF2、BuleHero病毒又現新變種,增加thinkphp5漏洞利用近期,BuleHero蠕蟲病毒最新變種攻擊被發現,該變種延續了以往版本的多個漏洞利用攻擊方式,新增加了thinkphp5漏洞(CNVD-2018-24942)利用攻擊,木馬在攻陷的電腦植入挖礦木馬挖礦門羅幣,同時下載掃描攻擊模塊對針對局域網以及外網IP進行擴散攻擊。同時該木馬還利用了永恒之藍漏洞(MS-17-010)、Apache Struts2遠程代碼執行漏洞(CVE-2017-5638)、WebLogic WLS組件遠程代碼執行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上傳漏洞(CVE-2017-12615)。在攻擊過程中還使用了mimikatz搜集登錄密碼,并利用字典進行遠程爆破。相關鏈接:http://t.cn/EMaYjeu3、委內瑞拉部長宣布該國大規模停電可能由美國網絡攻擊造成上周,委內瑞拉遭遇了一場災難大停電,停電襲擊了該國23個州中的22個州以及首都加拉加斯。星期六,委內瑞拉通信和信息部長豪爾赫羅德里格斯宣布停電的原因是古里水力發電廠遭受...
發布時間: 2019 - 03 - 12
1、APT組織TransparentTribe多次針對印度政府、軍事機構開展魚叉攻擊2019年初,有安全公司檢測到了多起針對印度政府部門、軍事目標等的攻擊活動,誘餌內容包括'印度空襲分裂主義組織'、'聯合國軍事觀察員'等。經過分析關聯確認,攻擊組織為TransparentTribe APT組織。該組織的攻擊采用魚叉攻擊的方式,誘餌主要有兩種類型,xls和doc,誘餌內容跟印度相關,攻擊基本都是利用office的宏命令來加載惡意程序。惡意軟件啟動后,會上傳本地機器信息并修改注冊表加入自啟動。隨后接受遠程指令進行下一步操作,該rat支持超過20多個指令功能,包括截屏,鍵盤記錄,木馬跟新,上傳文件等功能。doc文件的RAT最終被確認的RAT家族為CrimsonRAT,xls加載的為PeppyRAT。根據關聯分析,該組織可能與Gorgon Group有關。相關鏈接:http://t.cn/EImG3V82、PINCHY SPIDER利用GandCrab勒索病毒瞄準大型企業近日,CrowdStrike 觀察到SPIDER分支機構在企業環境中部署GandCrab勒索病毒,GandCrab是由PINCHY SPIDER所開發的勒索軟件,他們通過合作計劃將勒索軟件賣給客戶再與之分成。在2月份PINCHY SPIDER發布了GandCrab的5.2版本,它不受早期版本GandCrab開發的解密工具的影響。最近的攻擊者通過最初感染主機的被盜憑證,在受害者網絡中橫向傳播,并部署勒索軟件。與其他勒索事件不同的是,PINCHY SPIDER通常要求企業單筆支付一定數額的贖金來解鎖整個企業。因此可以分析他們通常是有目的性,針對性的選擇攻擊目標。相關鏈接:http://t.cn/EImGFFF3、IBM研究團隊在多個訪客管理系統中發現19個安全漏洞IBM X-Force研究團隊在五個流行的訪客管理系統中...
發布時間: 2018 - 12 - 24
友情連接:
免費服務熱線 ree service hotline 400-613-1868 手機端
法律聲明 Copyright  西安交大捷普網絡科技有限公司  陜ICP備18022218號-1
犀牛云提供云計算服務
大猩猩领土电子 江苏11选5有什么规律么 吉林十一选五预测推荐 好的彩票过滤软件 大乐透走势图带坐标连线 天津11选5开奖走势图 it接私活赚钱吗 pk10牛牛棋牌游戏官网 吉林十一选五前三直选 gta5线上怎么最赚钱 双色球复式32 河北11选5任选基本 发布视频是怎么赚钱的 七乐彩开奖结果 辽宁11选5和值图表 大神棋牌老版本 韩国快乐8开奖结果查询