发布时间:2020年11月24日
情报来源:
fc7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0N6v1L8@1S2n7N6$3u0@1L8W2)9#2k6Y4N6H3L8#2W2i4M7V1f1K6x3W2c8z5b7b7`.`.
情报摘要:
近期Lazarus组织的攻击活动大多与加密货币实体相关,今年8月,该组织通过LinkedIn招聘广告诱饵攻击加密货币公司。9月,Lazarus组织洗钱方法被曝光,资料表示其通常会从交易所窃取加密货币资金,然后开始使用称为“分层技术”的东西通过不同的多个交易所进行交易,并雇佣协助者,获取分发资金帮助洗钱,使加密货币能够在众多地址之间转移,以混淆资金来源,并可以通过一定手法转成法定货币或其他形式。
近期,国内安全研究人员捕获到一些加密货币协会公告、区块链项目风险审查为诱饵内容的恶意lnk文件。经过对攻击样本的分析与溯源,我们认为这批样本来自于APT组织Lazarus。
发布时间:2020年11月26日
883K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3y4j5N6#2)9#2k6V1S2Q4x3X3b7@1c8#2f1^5i4K6g2X3c8$3&6E0y4@1D9@1i4K6g2X3g2W2)9#2k6U0u0%4
国内安全研究人员捕获与总统大选有关热点新闻作为媒介的APT攻击,文档标题为“Here's what to expect from Bidenon top nuclear weapons issues”翻译中文为“这是拜登对主要核武器问题的期望”。
用户打开该恶意文档后,显示的是看似正常的相关新闻文章,实质当打开该文档后会通过相关编辑器漏洞从黑客的服务端下载了恶意文件并隐蔽执行,最终受害用户计算机被黑客组织控制。本次活动可归因为今年披露的长期针对南亚次大陆的攻击组织”魔罗桫”(国外安全厂商命名为Confucius),该组织长期针对中国,巴基斯坦,尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要针对领域为政府机构,军工企业,核能行业等。
1c4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3#2y4K9e0g2X3d9s2c8n7f1s2g2z5x3o6W2#2d9o6k6r3d9$3@1H3i4K6g2X3k6H3`.`.
“永恒之蓝木马下载器”首次被发现于2018年12月份。木马团伙通过劫持驱动人生升级服务器下发该木马致使大量客户中招。此木马近年来一直处于活跃状态,攻击、传播手法持续更新。此木马在内网的流行程度在一定程度上反映了一个网络的安全性,甚至可以用来作为指标来评价内网的安全程度。
鉴于此种情况,本文从该木马功能演进角度出发,说明了各个时间点木马的特性并对木马中的各个模块进行了一个简单的分析。
cd6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3k6f1M7i4A6F1k6i4g2Y4i4K6g2X3L8V1q4J5K9V1!0@1P5W2)9#2k6W2k6p5e0e0c8%4
国内安全研究人员捕获一款Muhstik僵尸网络木马,多个国内的服务器被爆破登录,在主机执行恶意代码以下载Muhstik僵尸木马和挖矿病毒,从而利用服务器进行挖矿,以及进行DDoS攻击。
e60K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3q4j5h3o6S2W2d9U0k6m8P5r3#2j5b7V1u0D9c8V1E0q4z5r3!0F1c8V1p5`.
腾讯主机安全(云镜)捕获H2Miner挖矿木马最新变种,该变种利用Redis 4.x/5.x主从同步命令执行漏洞(CNVD-2019-21763)攻击云服务器,检测数据显示该木马活动有明显增长。由于用户将Redis默认端口6379暴露在公网且未使用强密码认证,导致攻击者入侵并通过Redis 4.x/5.x版本的主从同步功能执行任意代码。
H2Miner变种木马入侵后会下载挖矿木马,通过安装定时任务持久化,通过SSH复用连接进行横向移动感染。
发布时间:2020年11月25日
59dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8V1u0%4z5q4)9#2k6Y4A6z5b7Y4N6H3e0o6q4W2g2q4A6K9x3r3c8^5h3q4q4c8N6H3`.`.
腾讯主机安全(云镜)捕获TeamTNT挖矿木马最新变种,该变种利用Docker Remote API未授权访问漏洞对云服务器进行攻击。TeamTNT挖矿木马入侵后会隐藏进程,并且通过安装定时任务持久化、通过SSH复用连接进行横向移动感染更多服务器。
该挖矿木马为避免用户发现,会限定挖矿时CPU资源占用的上限,与其他挖矿木马一样,该木马挖矿时,会尝试结束其他挖矿木马进程,以独占系统资源。木马也会创建具有root权限的用户,以方便远程登录。
0a9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0k6i4u0@1i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6%4j5i4u0F1K9h3&6Y4i4K6u0r3k6r3g2@1j5h3W2D9i4K6y4r3K9h3c8Q4x3@1c8V1k6U0q4T1j5e0x3H3k6X3u0T1k6X3f1$3x3X3p5K6y4U0t1&6k6r3k6W2k6U0k6W2k6o6V1$3j5h3x3I4j5H3`.`.
VMWare发布缓冲区溢出、权限提升两处漏洞。本地具有管理员权限的攻击者通过执行特制的二进制程序,可造成虚拟环境逃逸,并控制宿主主机/服务器,VMWare官方已发布修复版本。
b35K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0f1@1h3p5^5@1h3s2S2Q4y4h3k6Q4y4h3k6E0L8U0S2K6i4K6u0V1d9V1M7%4x3f1E0$3x3@1p5`.
Drupal官方发布安全更新,披露了一个任意PHP代码执行漏洞,攻击者可利用该漏洞执行恶意代码,入侵服务器。
Drupal项目使用PEAR Archive_Tar库,PEARArchive_Tar库已经发布了影响Drupal的安全更新。如果将Drupal配置为允许.tar,.tar.gz,.bz2或.tlz文件上传并处理它们,则可能存在多个漏洞,漏洞被利用可导致任意的PHP代码执行。
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
