安全研究 Safety research
1、僵尸網絡Smominru控制超50萬臺PC,用于Monero挖礦謀取暴利超過526,000臺Windows計算機(主要是Windows服務器)被僵尸網絡Smominru控制,通過植入Monero實施挖礦活動。Smominru使用不同的技術感染機器,包括EternalBlue(CVE-2017-0144)漏洞和EsteemAudit(CVE-2017-0176)漏洞,利用成功后接管未打補丁的Windows服務器。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=0d6cdf667fe24a20bf10b60c3a147c90 2、廣告軟件偽裝成合法應用程序,在Google Play上架最近,Bitdefender研究人員在Google Play應用市場中,發現了三個新的偽裝成合法應用程序的廣告軟件,每個軟件下載量超過10000。當應用程序連接到互聯網時,將隱藏圖標,顯示“卸載完成”,或者“這個應用程序與你的設備不兼容!”消息。同時,它會將Google Play打開并顯示設備上已經安裝的應用程序,比如谷歌地圖,以迷惑受害者。并且還通過設置延遲警報,確保廣告不斷顯示在受害者的設備上。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=efcd233707c64565a3e4310912b6c4fe3、Watchbog木馬變種挖掘加密貨幣,利用Exim和Jira漏洞傳播Intezer Labs研究員發現新的惡意樣本,該樣本利用Jira模板注入漏洞 (CVE-2019-11581)和Exim遠程命令執行漏洞(CVE-2019-10149),以獲取root權限遠程執行命令。利用目標漏洞后,會分發Monero礦工程序。進入目標系統后,Watchbog將從pasteb...
發布時間: 2019 - 07 - 24
1、攝像頭新勒索軟件DoppelPaymer,利用ProcessHacker終止進程服務CrowdStrike研究人員發現BitPaymer勒索軟件新的變體DoppelPaymer,該變體是2019年6月開始的一系列勒索軟件活動的幕后黑手,包括對德克薩斯州埃德庫奇市和智利農業部的攻擊。發現的變體與INDRIK SPIDER運營的BitPaymer勒索軟件大量代碼重疊。但二者在贖金票據、加密方式、加密填充方案和加密文件命名上均有不同。并且,DoppelPaymer還使用合法的開源管理實用程序ProcessHacker。此應用程序與內核驅動程序捆綁在一起,可用于終止進程和服務。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=e9207d6988e444ac86524649bd5cb5cc 2、Turla組織新武器“Topinambo”,通過合法軟件安裝程序傳播近期,卡巴斯基研究人員發現Turla組織新增武器“Topinambo”,攻擊者使用感染了“Topinambo” dropper的合法軟件安裝程序,比如“Softether VPN 4.12”和“psiphon3”,或者微軟Office的 “activators”( 激活器),這些可能是逃避互聯網審查的工具。dropper包含一個.NET shell,.NET模塊的作用是提供KopiLuwak JavaScript木馬和一個與KopiLuwak類似的PowerShell特洛伊木馬程序。這些程序可以在受害者的計算機上構建一個“無文件”模塊鏈,該模塊鏈包含一個小型初始運行程序和幾個包含加密遠程管理工具的Windows系統注冊表值。這些模塊于2019年初開始活動,主要針對政府實體。相關鏈接:https://redqueen.tj-un.com/IntelDetai...
發布時間: 2019 - 07 - 17
1、漏洞預警:視頻會議軟件Zoom RCE漏洞CVE-2019–13450,可劫持Mac攝像頭2019年7月8日,安全研究人員Jonathan Leitschuh披露視頻會議軟件Zoom中的一個RCE漏洞,該漏洞影響了Mac平臺上的Zoom app版本4.4.4,可允許攻擊者在用戶訪問網站時接管網絡攝像頭。蘋果在2019年7月11日發布了針對性靜默更新,能夠防止所有已經安裝Zoom軟件的Safari用戶進一步受到感染。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=05885910355c4470b0e5771ca6a1dcd4 2、AVTECH安防設備存漏洞,被控組建Gafgtyt僵尸網絡最近,國內安全研究人員發現利用Avtech攝像監控設備相關漏洞(CNVD-2016-08737)進行入侵的攻擊事件。攻擊者利用AVTECH DVR設備中的命令注入漏洞實現遠程sh腳本下載執行,最后植入Gafgtyt僵尸網絡后門, 后門會掃描網絡中的設備并進行爆破攻擊,可發起DDoS網絡攻擊活動。相關鏈接:https://redqueen.tj-un.com/IntelDetails.html?id=66df016fd70942818900658ac26230113、新型勒索軟件eCh0raix,針對QNAP網絡附加存儲(NAS)設備最近,Anomali研究人員觀察到新的勒索軟件eCh0raix,該勒索軟件針對QNAP網絡附加存儲(NAS)設備。eCh0raix采用go語言編寫,通過SOCKS5 Tor代理與C2通信。攻擊者通過暴力破解和漏洞利用發起攻擊。惡意有效負載使用AES算法加密NAS上的目標文件擴展名,加密后的文件使用擴展名.encrypt。惡意軟件從數組“abcdefghijklmnopqrstuvwxyzABC...
發布時間: 2019 - 07 - 12
1、微軟帳戶兩年內不活躍將被刪除,不會發送警告郵件7月1日,微軟公司更新了Microsoft帳戶的支持頁面,變更了賬戶的活動策略。如果兩年以上未使用(處于非活躍狀態),賬戶將被刪除,所有擁有Microsoft帳戶的用戶都應遵循這些規則,以確保其帳戶不會被波及。相關鏈接:http://t.cn/AiO93djw 2、思科回應交換機中出現華為證書和密鑰:因疏忽忘記刪除思科和華為是通信設備上的老對手,市場競爭多年。2003年,思科曾以“抄襲代碼”為由將華為告上法庭,然而尷尬的是,思科最近卻承認誤用了華為代碼。據外媒報道,原來,7月3日,思科發布19條安全聲明,其中18條涉及中高危漏洞,另一個則是與小企業級250, 350, 350X和550X交換機有關的低級別漏洞。相關鏈接:http://t.cn/AiOC7wmv3、研究人員發現醫療軟件漏洞,將導致診斷結果有誤據外媒報道,近期研究人員最新發現了一個用于基因組分析的通用開源軟件的漏洞,這將導致基于DNA的醫學診斷很容易受到網絡攻擊。桑迪亞國家實驗室的研究人員發現了這個弱點,并及時通知了軟件開發人員,隨后他們發布了一個補丁來解決這個問題,同時最新版本的軟件也解決了這個問題。雖然目前還不知道該漏洞是否遭受過攻擊,但國家標準技術研究院最近在給軟件開發人員、基因組學研究人員和網絡管理員的一份說明中對該漏洞進行了分析。這一發現揭示了保護基因組信息不僅僅涉及個人基因信息的安全存儲,而分析基因數據的計算機系統中的網絡安全也是至關重要的。相關鏈接:http://t.cn/AiOCswQl4、伊朗媒體稱:中國同意共同對抗網絡威脅(美國)消息稱,2019年7月5日,在伊朗信息技術部長Mohammad Javad Azari Jahromi與中國工業和信息化部長苗圩于周五在北京舉行的會晤中,雙方討論了如何促進信息技術領域的合作以及應對網絡空間...
發布時間: 2019 - 07 - 08
1、新手機版勒索軟件WannaLocker攻擊巴西銀行安全研究人員跟蹤到結合了間諜軟件、遠程控制木馬和銀行木馬功能的新版勒索軟件WannaLocker。分析發現該新版勒索軟件是利用銀行木馬收割手機短信、通話記錄、電話號碼及信用卡信息等敏感信息。相關鏈接:http://t.cn/Ai084Pvf 2、惡意軟件加載器利用Heaven's Gate, 逃避殺軟檢測研究人員發現一種惡意軟件加載程序能夠注入到受害機器內存中以逃避殺毒軟件檢測。惡意加載器利用了Heaven's Gate技術,可以讓32位惡意軟件運行在64位系統中,借64位環境以隱藏API調用。Cisco Talos研究人員發現的這種加載器利用該技術將惡意載荷解包后注入到合法進程RegAsm.exe中,以完成隱藏。這種加載器是利用惡意郵件傳播的,利用CVE-2017-11882,一種影響微軟方程式編輯器的漏洞。相關鏈接:http://t.cn/Ai084btP3、網絡釣魚針對日本傳播URSNIF木馬,引用未記錄的xlDate變量近日,Fortinet研究人員發現了針對日本的網絡釣魚活動,攻擊者使用包含惡意宏的Excel附件下載惡意內容。附件文檔包含虛假圖片,單元格A1包含冗長的惡意字符串。惡意宏調用實際執行命令通過對Welcome()和WestAndS()函數的組合調用來定義。Welcome()函數使用Beta1密鑰解密,通過Application.International屬性和未記錄的xlDate變量來確定,WestAndS()函數通過A1字符串混淆。PowerShell使用了五層各種混淆技術,通過命令連接位于俄羅斯的服務器,最終釋放文件似乎為銀行木馬變種BEBLOH/URSNIF。相關鏈接:http://t.cn/Ai084aSk4、黑客篡改15.8萬個WordPress網站標題,插入1800ForBai...
發布時間: 2019 - 07 - 03
1、 5G面臨風險大考:我國一半以上工控系統帶毒運行人工智能技術的加持,5G建設的全面鋪開,加速了工業互聯網的普及,與此同時,工業信息安全產業規模加速擴容。6月22日,“2019年中國工業信息安全大會”發布《中國工業信息安全產業發展白皮書(2018—2019年)》,其中數據顯示,2018年我國工業信息安全產業規模市場增長率達33.55%。預計2019年市場增長率將達19.23%,市場整體規模增長至93.91億元。相關鏈接:http://t.cn/AipXoaAy 2、伊朗:美國很努力地發動網絡攻擊 但是失敗了特朗普叫停對伊空襲,但同意對伊朗進行網絡攻擊的消息傳出后,伊朗政府24日正式對此做出回應,美國的這次行動沒有得逞。據路透社24日報道,伊朗通信和信息技術部長穆罕默德·賈哈米(Mohammad Javad Azari-Jahromi)當天發推特稱:“美國很努力地對伊朗發動網絡攻擊,但是失敗了。”相關鏈接:http://t.cn/Aip0gQil3、勒索軟件Ryuk新變種,內置IP地址和計算機名稱的黑名單研究團隊MalwareHunterTeam發現勒索軟件Ryuk的一個新變種,該變種使用數字證書進行簽名,并且添加了IP地址和計算機名稱的黑名單,以確保匹配的計算機不會被加密。研究人員Vitali Kremez對該樣本分析后發現,該樣本將檢查arp -a的輸出,并與內置的IP地址字符串進行匹配;該樣本還會檢查計算機名稱,Kremez認為這可能是為了避免加密俄羅斯的計算機。一旦完成加密,該樣本將在加密的文件后添加.RYK擴展名。相關鏈接:http://t.cn/Aip0d5001、【高】CatfishCMS后臺存在任意文件刪除漏洞(CNVD-2019-16780)相關鏈接:http://t.cn/Aip0B7Be2、【高】Joomla-cms v3...
發布時間: 2019 - 06 - 25
1、 漏洞預警:Firefox CVE-2019-11707 遠程代碼執行漏洞的修補版本已發布Firefox官方發布安全更新,修復了一個存在于 Firefox 全平臺所有版本中的遠程代碼執行漏洞,并稱此漏洞已經被在野利用。此漏洞是存在于 Firefox JavaScript 引擎中的類型混淆漏洞,由 Google Project Zero 發現并上報。攻擊者可誤導目標用戶訪問惡意網站,并在該網站中植入漏洞攻擊代碼,最終獲得在目標用戶終端設備遠程執行任意代碼的權限,從而控制目標用戶的終端設備。相關鏈接:http://t.cn/AiNdJUiu 2、模塊化惡意軟件Plurox曝光,插件功能豐富卡巴斯基安全研究人員今年二月捕獲到一個有趣樣本,經分析,其用C編碼,Mingw GCC編譯,功能豐富:利用WinAPI創建進程上傳下載文件;更新自動化程序;上傳下載插件,且能控制其運行;下發惡意挖礦程序;利用UPnP協議通訊且攻擊局域網。相關鏈接:http://t.cn/AiNdJio83、黑客攻擊活動Bouncing Golf,利用間諜軟件感染數百部手機研究人員近日觀察到針對中東國家的惡意攻擊行為,這次活動的主要特征是利用了手機間諜軟件GolfSpy,由此被命名為Bouncing Golf。這些間諜軟件由惡意網站通過社交網絡下發,并未經過官方或第三方應用市場傳播,目前監控到有660臺安卓設備被感染。這次攻擊被認為與之前披露的移動端黑客攻擊組織Domestic Kitten有相關聯系:感染環節和目標信息較為相似,利用重新編譯過,已被注入惡意程序的間諜應用,通過僵尸網絡進行通訊。相關鏈接:http://t.cn/AiNdJWZU4、西甲官方應用因非法監聽用戶被罰 25 萬歐元據外媒Techspot報道,Instagram上的網絡釣魚和帳戶被盜已成為一個問題,當Instagram無法...
發布時間: 2019 - 06 - 20
1、 美軍網絡司令部已在俄羅斯電網植入惡意軟件 必要時可使其癱瘓最新披露的報告顯示,美軍的網絡司令部(Cyber Command)在過去一年中對俄羅斯的攻擊規模要比以往任何時候都更加激進,并且在控制俄羅斯電網的多個系統中植入了“可以使其癱瘓的惡意軟件”。相關鏈接:https://dwz.cn/ekPiAsjL 2、ACLU警告:美國近5000萬臺監控攝像頭可能成為人工智能“保安”據外媒CNET報道,新技術在改善人們生活的同時也可能帶來無法預料的陷阱。攝像頭現在比以往任何時候都更小、更好,更智能,而美國公民自由聯盟(ACLU)警告說,這可能是未來的一個問題。相關鏈接:https://dwz.cn/3o8EUbpU3、超范圍收集個人信息等問題成為網民舉報熱點根據網民舉報反映的問題,工作組對300余款App進行了評估,針對30款用戶量大、問題嚴重的App,于4月上旬向其運營者發送了整改通知,要求認真整改、舉一反三,于1個月內反饋整改情況。30款App運營者及時進行了反饋。經工作組認真核驗,網易彩票、拼多多、翼支付等3款App未按期完成整改,相關部門對其進行了約談并督促改進,目前已整改完畢。相關鏈接:https://dwz.cn/HOlrzR7E4、西甲官方應用因非法監聽用戶被罰 25 萬歐元西班牙足球甲級聯賽官方 Android 應用因非法監聽用戶被罰 25 萬歐元。去年西甲承認它的 Android 應用訪問手機的麥克風和 GPS,但它辯護稱此舉旨在通過匹配音頻數據和手機位置,跟蹤播放比賽的非法場所。西甲應用在 Google Play 官方市場下載量超過一千萬次,西甲表示它希望 “保護俱樂部和球迷免受欺詐”。西甲稱,每年聯盟因為未獲許可在公開場所播放比賽損失了 1.5 億歐元。西甲稱,在應用安裝或更新時它詢問了用戶是否同意啟用麥克風和 GPS 訪問權限。應用會使用 GP...
發布時間: 2019 - 06 - 17
1、 FCC:自動語音電話每年至少使美國消費者損失30億美元根據美國聯邦通信委員會(Federal Communications Commission)的數據,自動語音電話(RoboCall)不僅令人煩惱,而且每年至少花費美國消費者30億美元。相關鏈接:http://sina.lt/gcGr 2、公司信息遭泄露后 特斯拉禁止員工使用匿名聊天應用程序據外媒CNET報道,Blind已經確認,在公司消息遭泄露后,特斯拉已阻止員工使用這款匿名工作場所社交網絡應用程序。Blind表示特斯拉正在阻止其員工接收驗證電子郵件,因此員工將無法驗證其帳戶。相關鏈接:http://sina.lt/gcGu3、Google 解釋周日宕機事故原因安全研究人員近期發現,ChaCha勒索病毒,也叫Maze勒索病毒,使用漏洞利用工具Fallout,通過釣魚網站傳播,會根據用戶使用電腦的場景:家用、服務器或工作站確定勒索金額。相關鏈接:http://sina.lt/gcGv1、【高】哈爾濱巨耀網絡科技有限公司建站系統存在SQL注入漏洞(CNVD-2019-14867)相關鏈接:http://sina.lt/gcFx2、【高】wecon LeviStudio存在dll劫持漏洞相關鏈接:http://sina.lt/gcF63、【中】顯控Remote HMI存在dll劫持漏洞(CNVD-2019-14866)相關鏈接:http://sina.lt/gcFJ4、【中】世紀星mo***服務器在堆溢出漏洞(CNVD-2019-14859)相關鏈接:http://sina.lt/gcFn
發布時間: 2019 - 06 - 10
1、 Office 365出現網絡釣魚近日,一種新形式的釣魚活動出現在網絡中,攻擊者會將釣魚內容偽裝成Office365點警告郵件,并告知用戶他們的賬戶中出現異常數量的文件刪除。釣魚攻擊以Office365警告內容的形式出現,聲稱用戶已觸發中級威脅警報,并告知用戶在其賬戶中發生了大量文件刪除行為,誘使用戶點擊警告框。如果用戶點擊警告框并,會進入偽造的登錄頁面,一旦輸入賬號密碼,就會被釣魚網站獲取并保存。隨后,登錄頁面會刷新并將用戶重定向至正常登陸頁面,以掩蓋釣魚行為。微軟提醒用戶,Microsoft賬戶和outlook賬戶的登錄表單只會來自microsoft.com、live.com或outlook.com。如果發現有任何來自其他URL的Microsoft登錄表單,請不要使用。相關鏈接:http://t.cn/Ai9KWpbh 2、未修復的漏洞將影響所有Docker版本所有版本的Docker目前都容易受到“競態條件”的攻擊,這種攻擊手段可使攻擊者對主機系統上的任何文件都具有讀寫訪問權限,概念驗證代碼已經發布。該漏洞類似于CVE-2018-15664,它為黑客提供了一個窗口,可以指定的程序開始對資源進行操作之前修改資源路徑,歸屬于時間檢查(TOCTOU)類型的錯誤。相關鏈接:http://t.cn/Ai9KWgMH3、勒索軟件ChaCha利用漏洞工具Fallout傳播,根據使用場景勒索不同金額安全研究人員近期發現,ChaCha勒索病毒,也叫Maze勒索病毒,使用漏洞利用工具Fallout,通過釣魚網站傳播,會根據用戶使用電腦的場景:家用、服務器或工作站確定勒索金額。相關鏈接:http://t.cn/Ai9Klupt4、Leicester足球俱樂部官網遭黑客入侵,客戶支付信息泄露Leicester足球俱樂部表示其官網https://shop.lcfc.com/遭黑客入...
發布時間: 2019 - 06 - 04
1、 Winnti后門爆出Linux版本,與Winnti 2.0 Windows存在相似性Winnti惡意軟件系列于2013年由卡巴斯基實驗室首次報道。Chronicle研究人員確定了一小部分專為Linux系統設計的Winnti樣本,Linux版本的Winnti由兩個文件組成:一個主后門和一個用于隱藏其活動的庫。與其他版本的Winnti一樣,惡意軟件的核心組件本身并不為運營商提供獨特的功能,而是用于直接從命令和控制服務器處理通信和模塊部署。Winnti惡意軟件使用多種協議處理出站通信,包括:ICMP,HTTP以及自定義TCP和UDP協議。新版本Winnti(Linux和Windows)具有的功能允許操作員直接啟動與受感染主機的連接,而無需需要連接到控制服務器。相關鏈接:http://t.cn/E9is8Jk 2、垃圾郵件內含重定向URL,傳播Trickbot銀行木馬新變種研究人員通過垃圾郵件中的重定向URL發現了Trickbot銀行木馬新變種。垃圾郵件使用社交媒體圖標,內容為準備好發貨的已處理訂單,電子郵件中的URL會將用戶從Google重定向到Trickbot下載網站,下載包含Visual Basic腳本(VBS)的.zip文件,該腳本是Trickbot下載程序。由于其模塊化結構,Trickbot可以根據其下載和安裝的模塊快速部署新功能。Trickbot使用的模塊具有可以輕松交換的獨特功能,從而實現定制攻擊。相關鏈接:http://t.cn/E9isrFP3、大疆回應美國土安全部數據質疑,安全性經全球驗證“華為事件”的熱度絲毫未減,美國似乎又將矛頭指向了新的目標——DJI大疆。根據CNN報道的內容,美國國土安全部警告稱,中國制造的無人機可以向制造商傳輸飛行數據,從而可能被政府部門獲取。盡管并未指明哪個品牌,但美國和加拿大投入使用的無人機80%來自大疆。甚至在近幾...
發布時間: 2019 - 05 - 22
2019年5月14日微軟官方發布安全補丁,修復了Windows遠程桌面服務的遠程代碼執行漏洞,該漏洞影響了某些舊版本的Windows系統。此漏洞是預身份驗證且無需用戶交互,這就意味著這個漏洞可以通過網絡蠕蟲的方式被利用。利用此漏洞的任何惡意軟件都可能從被感染的計算機傳播到其他易受攻擊的計算機,其方式與2017年WannaCry惡意軟件的傳播方式類似。危險等級:高危CVE編號:CVE-2019-0708【參考鏈接】https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070 影響版本 Windows 7 for 32-bit SP1Windows 7 for x64-based SP1Windows Server 2008 for 32-bit SP2Windows Server 2008 for 32-bit SP2 (Server Core installation)Windows Server 2008 for Itanium-Based SP2Windows Server 2008 for x64-based SP2Windows Server 2008 for x64-based SP2 (Server Core installation)Windows Server 2008 R2 for Itanium-BasedSystems SP1Windows Server 2008 R2 for x64-based SP1Windows Server 2008 R2 for x64-ba...
發布時間: 2019 - 05 - 15
1、 網頁被篡改跳至賭博平臺 甘孜州一官方網站遭處罰2019年3月,南充市南部縣公安局網安大隊對馮某等人利用“博旅理財”項目進行網絡傳銷啟動“一案雙查”工作,發現四川藍海創想科技有限公司在明知“博旅理財”項目涉嫌從事網絡傳銷情況下仍然為其提供技術支持。目前南充市南部縣公安局網安大隊以涉嫌幫助信息網絡犯罪活動罪將藍海創想科技有限公司負責人盧某、楊某刑事拘留。相關鏈接:http://t.cn/EKVs3Oi 2、德國網絡安全局警告卡巴斯基殺毒軟件存在安全缺陷德國網絡安全機構BSI就卡巴斯基殺毒軟件的安全漏洞發出警告,建議用戶盡快安裝最新補丁。雖然該建議不包括基于該缺陷可能網絡攻擊的任何詳細信息,但BSI警告說,黑客只需向其目標發送包含特制文件的惡意電子郵件,在某些情況下,甚至不需要打開該文件。相關鏈接:http://t.cn/EKVmOJ4 3、部分服務器網絡設備供應商將生產遷出中國因為美國將中國商品關稅從 10% 上調到 25%,臺灣的服務器、無線網絡設備和主板制造商正加緊將生產從中國遷移到東南亞或本土。中國有著完整的產業鏈,而這條產業鏈上的許多公司不可能或無力搬到其它地方,因此將生產線遷移出中國意味著需要重新調整產業鏈,尋找新的配套公司。包括廣達、英業達和緯創資通在內的臺灣服務器制造商占到了全球服務器供應市場的九成以上。它們已經或正在逐步將生產線搬回臺灣或搬到東南亞。相關鏈接:http://t.cn/EKf7Pyv4、網絡挖礦組織Pacha Group與Rocke Group在基于云的加密貨幣挖礦上激烈競爭Pacha Group是一個網絡挖礦組織,這個組織最早于2019年2月28日在Intezer的博客里做了介紹,針對這個組織發起的攻擊可追溯到2018年9月的對Linux服務器的攻擊,并利用了先進的規避和保持持久性的技術。近日Intezer最新的研究表明,Pach...
發布時間: 2019 - 05 - 14
1、APT組織海蓮花(OceanLotus)針對中南半島國家攻擊活動的總結分析相關研究團隊發布了針對近期發現的海蓮花組織在中南半島國家的最新攻擊活動的報告。本報告中研究人員對海蓮花組織針對越南國內以及越南周邊國家最新的攻擊利用技術、攻擊載荷類型、及相關攻擊事件進行了詳細的分析和總結。海蓮花除了會在Windows平臺上進行攻擊外,還會針對MacOS平臺用戶發起攻擊,比如使用瀏覽器更新,Flash安裝更新包,字體安裝包,偽裝成文檔實際為安裝程序的手段進行攻擊。相關鏈接:http://t.cn/EouPWYU2、雙尾蝎(APT-C-23)間諜組織利用新Android惡意軟件,針對巴勒斯坦進行攻擊雙尾蝎(APT-C-23)組織的目標主要集中在中東地區,尤其活躍在巴勒斯坦的領土上。從2016年5月起至今,雙尾蝎組織(APT-C-23)對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺主要包括 Windows 與 Android。這次的最近攻擊樣本通過仿冒Acrobat更新,通過顯示含有政治主題的誘餌PDF文件,誘騙用戶安裝使用;惡意軟件主要目的為竊取用戶手機信息,并對用戶手機進行遠程控制,新程序繼承了APT-C-23下發控制指令的模式,實現了兩種向應用推送消息的方式,FCM和SMS通信。程序運行以后會隱藏自身圖標,從而保護自身不被卸載。 相關鏈接:http://t.cn/EouPgHI  3、間諜組織Turla使用新的后門工具LightNeuron,針對微軟電子郵件服務器安全公司ESET本周二發布報告稱,一個名為Turla APT網絡間諜組織已經開發并在使用新的后門工具——LightNeuron,這是第一個針對Microsoft Exchange電子郵件服務器的后門。Turla,也被稱為Snake、WhiteBear、...
發布時間: 2019 - 05 - 10
1、 GandCrab勒索軟件最新活動,采取多種規避技術完善傳遞機制 近日發現一起針對一家日本跨國公司的GandCrab勒索軟件活動。 GandCrab是當前威脅領域中最流行的勒索軟件之一,主要原因是它遵循勒索軟件即服務(RaaS)商業模式。這使得任何網絡罪犯都能夠通過易于操作的平臺來使用GandCrab基礎架構,并提供全天候在線支持服務。自2018年初出現以來,它一直在不斷發展和完善其傳遞方法以逃避檢測。這些技術包括:1.將網絡釣魚電子郵件和武器化的Office文檔組合在一起,以便進入目標計算機。2.一個多階段無文件感染鏈,使用VBA代碼,WMI對象和JavaScript來刪除勒索軟件;3.利用二進制文件繞過Windows AppLocker并獲取勒索軟件有效負載;4.從合法的在線文本共享服務中獲取惡意負載,如此次攻擊中使用的pastebin.com。 相關鏈接:http://t.cn/EojFOCp 2、 Confluence漏洞CVE-2019-3396被廣泛利用,傳播挖礦軟件KerberodsConfluence是一種廣泛使用的協作和規劃軟件。4月份,觀察到其漏洞CVE-2019-3396用來執行惡意攻擊。安全提供商Alert Logic還發現了此漏洞被利用傳播Gandcrab勒索軟件。而研究人員最新發現此漏洞還被用于傳播一個加密貨幣挖礦惡意軟件,其中還包含一個旨在隱藏其活動的rootkit。此次攻擊開始時發送一個遠程命令下載shell腳本,然后下載挖礦軟件Kerberods和khugepageds,而下載的rookit不僅用來隱藏挖礦過程,還可以隱藏某些文件和網絡流量,而且它還具有提高機器CPU利用率的能力。相關鏈接:http://t.cn/EojF3JI 3、 幣安稱 4000 萬美元比特幣被盜比特幣交易所幣安發表聲明,黑客在一次大規模攻擊中...
發布時間: 2019 - 05 - 09
1、  黑客通過暴力攻擊接管29個IoT DDoS僵尸網絡根據ZDNet報道,名為Subby的黑客通過暴力攻擊接管了29個IoT DDoS僵尸網絡。Subby使用了用戶名字典和常用密碼列表來對這29個僵尸網絡的C&C基礎設施進行暴力攻擊,其中一些設施使用了比較弱的憑據,例如root:root、admin:admin、oof:oof等。根據Subby的說法,這些僵尸網絡都比較小,實際的bot總數僅為2.5萬。相關鏈接:http://t.cn/EoMAwD22、  PrinterLogic打印管理軟件多個漏洞,可導致RCEPrinterLogic打印管理軟件未正確驗證其SSL證書和軟件更新包的來源和完整性,可允許攻擊者重新配置軟件并遠程執行代碼(CVE-2018-5408、CVE-2018-5409)。此外,PrinterLogic未對瀏覽器輸入進行特殊字符過濾,可允許未經授權的遠程攻擊者更改配置文件(CVE-2019-9505)。18.3.1.96及之前的版本易受攻擊,建議用戶盡快進行升級。相關鏈接:http://t.cn/EoMAIns3、  中消協等發智能鎖試驗報告:半數存指紋識別安全風險中國消費者協會、四川省保護消費者權益委員會、 深圳市消費者委員會、佛山市消費者委會今天聯合發布智能門鎖比較試驗報告,29款樣品中,48.3%的樣品密碼開啟安全存在風險,50%的樣品指紋識別開啟安全存在風險,85.7%的樣品信息識別卡開啟安存在風險。相關鏈接:http://t.cn/EoZKk8P 4、  國家互聯網應急中心開通勒索病毒免費查詢服務從國家互聯網應急中心獲悉,為了有效控制WannaCry勒索病毒的傳播感染,國家互聯網應急中心近日開通了該病毒感染數據免費查詢服務。2017年5月12日,WannaCry勒索病毒利用Windows S...
發布時間: 2019 - 05 - 07
1、  AESDDoS僵尸網絡利用Atlassian Confluence Server漏洞進行DDoS攻擊和加密貨幣挖掘最近檢測到一個AESDDoS僵尸網絡惡意軟件變種,利用Atlassian Confluence Server中Widget連接器宏的服務器端注入漏洞(CVE-2019-3396)進行攻擊。研究發現,此惡意軟件變體可以在運行有漏洞的Confluence Server系統和數據中心上發動DDoS攻擊,執行遠程代碼和進行加密貨幣挖掘。目前,Atlassian已經采取措施解決這些問題,并建議用戶升級到最新版本(6.15.1)。相關鏈接:http://t.cn/ESJYQj92、  BabyShark惡意軟件新攻擊活動,下載KimJongRAT和PCRat木馬Palo Alto Networks的Unit 42團隊發布關于BabyShark新惡意攻擊活動的分析報告。BabyShark是2月份出現的惡意軟件,其攻擊活動持續到了3月和4月,最新攻擊活動的目的似乎有兩個:針對核安全和朝鮮半島國家安全問題的間諜活動;以及針對加密貨幣行業來獲取金錢。BabyShark的惡意payload包括KimJongRAT和PCRat,但攻擊者在惡意代碼中將它們統稱為Cowboy。相關鏈接:http://t.cn/ESJY3b43、  偽造的Windows PC Cleaner釋放AZORult信息竊取木馬研究人員發現了一個網站用來推送Windows PC清理工具,實際上這個偽造的工具只是用來下載Azorult木馬。AZORult木馬在安裝后試圖竊取用戶的瀏覽器密碼,FTP客戶端密碼,加密貨幣錢包,桌面文件等等。攻擊者主要通過創建一個虛假的Windows應用程序和一個對應的網站來分發該木馬。相關鏈接:http://t.cn/E...
發布時間: 2019 - 04 - 30
1、  攻擊者利用GitHub服務托管網絡釣魚工具包Proofpoint研究人員發現攻擊者濫用GitHub服務的免費存儲庫托管網絡釣魚工具包,并且通過github.io域名將其發送到目標。這種技術允許攻擊者利用GitHub Pages服務繞過白名單和網絡防御,就像其它大型云存儲站點,社交網絡和網絡服務,如Dropbox、Google Drive、Paypal、Ebay和Facebook一樣,可以將他們的惡意活動融入合法的網絡流量中。研究人員表示,自2019年4月19日起,GitHub已經關閉了所有被發現參與惡意活動的賬戶。相關鏈接:http://t.cn/Ea1XiiA2、  DNSpionage攻擊活動升級,使用新的惡意軟件Karkoff早在2018年11月,思科Talos發現了一個名為DNSpionage的攻擊活動, 攻擊者創建了一個新的遠程管理工具,支持遠程的HTTP和DNS通信。而最近,思科又發現了新的證據,證明DNSpionage活動背后攻擊者繼續改變他們的策略,以提高其運營效率。2月份,他們發現了此類攻擊活動TTP上的一些變化,包括使用新的偵察手段,有選擇性的決定哪些目標感染惡意軟件。而在2019年4月,研究人員發現DNSpionage使用新的惡意軟件,稱之為“Karkoff”。Karkoff是一個輕量級的惡意軟件,允許從C2服務器遠程執行代碼。沒有混淆,代碼容易被拆解,Karkoff支持HTTP和HTTPS通信。相關鏈接:http://t.cn/Ea1XKne3、  美日聯合聲明,網絡攻擊將被視為武裝攻相關鏈接:http://t.cn/EaloPdg 1、【高】MKCMS 5.0 bp***.php頁面存在SQL注入漏洞(CNVD-2019-09110)相關鏈接:http://t.cn/Ea165uc2、【高】愛客CMS...
發布時間: 2019 - 04 - 26
1、  蠕蟲病毒“MinerGuard”新變種,嚴重威脅企業用戶火絨安全團隊截獲蠕蟲病毒“MinerGuard”新變種,嚴重威脅企業用戶。該病毒通過網絡服務器漏洞以及暴力破解服務器的方式迅速傳播,并且可跨平臺(Windows、linux)交叉感染。病毒入侵電腦后,會釋放挖礦病毒挖取門羅幣。此外,攻擊者可隨時通過遠程服務器更新病毒模塊,甚至利用以太坊錢包更新病毒服務器地址。相關鏈接:http://t.cn/Ea6uShX2、  俄羅斯組織TA505利用遠程訪問木馬(RAT)攻擊全球金融組織CyberInt的安全專家發現了一個新的攻擊活動,俄羅斯組織TA505在對美國和全球金融實體的攻擊中使用遠程訪問特洛伊木馬(RAT)。TA505組織于2017年首次被Proofpoint發現,自2015年以來一直保持活躍,目標是金融和零售行業的組織。該組織利用武器化的Office和PDF文檔進行了大量攻擊活動,提供諸多臭名昭著的惡意軟件,包括Shifu和Dridex銀行木馬,tRAT RAT,FlawedAmmy RAT,Philadelphia勒索軟件,GlobeImposter和Locky勒索軟件。在最近的攻擊中,安全人員觀察到該組織使用了新的后門,包括模塊化的tRAT和ServHelper。在2018年12月至2019年3月期間,該組織攻擊了多個國家,包括美國、智利、印度、中國、韓國、英國、法國,意大利、馬拉維和巴基斯坦等國家的金融機構。相關鏈接:http://t.cn/Ea6uNQI3、  研究人員在OceanLotus樣本中發現非典型惡意軟件格式研究人員最近發現OceanLotus(海蓮花)的樣本,使用非典型惡意軟件格式,這種格式可能會降低分析過程的速度,因為通過典型工具無法解析文件,相反,分析者需要編寫自定義加載器以便進行分析。研究的樣本通過網絡釣魚...
發布時間: 2019 - 04 - 23
1、  Rootkit(Scranos)使用有效簽名,竊取用戶登錄憑Bitdefender最近發布研究報告稱一個具有有效簽名的rootkit(被稱為Scranos)正在多個國家進行廣泛傳播,主要用于竊取用戶的登錄憑據、支付信息和瀏覽器歷史記錄,還可用于在社交網絡上傳播垃圾信息和廣告。Scranos偽裝成視頻驅動程序,安裝后,它可以下載攻擊者選擇的任何有效負載。具體行為如下:目標包括主流瀏覽器Chrome,Chromium,Firefox,Opera,Edge,Internet Explorer,百度和Yandex,以及來自Facebook,亞馬遜,Airbnb,Steam和Youtube的服務。其使用的證書是DigiCert向上海一家健康管理咨詢公司頒發的證書,目前證書仍然有效,攻擊者可能是盜用了該證書。Bitdefender研究人員稱Scranos Rootkit通過不斷發展,已經感染了印度、羅馬尼亞、巴西、法國、意大利和印尼等國家的用戶。相關鏈接:http://t.cn/EXr0qUI 2、  勒索軟件BitPaymer新變體利用PsExec進行傳播研究人員發現美國一家制造公司遭到勒索軟件BitPaymer新變體的攻擊。該變體(Ransom.Win32.BITPAYMER.TGACAJ)利用PsExec進行分發,并在贖金票據和加密文件的擴展名中使用了受害公司的名稱。由于攻擊者至少需要一個具有管理員權限的帳戶才能通過PsExec運行命令,這意味著在勒索軟件安裝之前攻擊者已經通過某種手段獲得了管理員權限。相關鏈接:http://t.cn/EXr0fkk3、  針對性郵件釣魚攻擊,利用AutoHotkey引擎執行惡意腳本近日,發現了一種潛在的針對性釣魚攻擊,它利用合法的腳本引擎AutoHotkey和惡意腳本文件。此次攻擊采用電子郵件附件進行分發,...
發布時間: 2019 - 04 - 19
友情連接:
免費服務熱線 ree service hotline 400-613-1868 手機端
法律聲明 Copyright  西安交大捷普網絡科技有限公司  陜ICP備18022218號-1
犀牛云提供云計算服務
乐透乐博彩论坛