安全研究 >> 安全研究详情

本周安全资讯(2.18-2.22)

作者: 由美创科技安全实验室整理发布日期: 02月22日

勒索病毒

在1月至2月期间,勒索软件 Shade(Treshold)对俄罗斯展开了新攻击。Shade 自2015年以来开始大规模攻击俄罗斯。此次活动中攻击者冒充俄罗斯石油和天然气公司,发送网路钓鱼邮件,俄语编写的 JavaScript 文件附件充当下载器,使用一系列硬编码地址进行混淆。 JavaScript 下载程序从通过蠕虫模块暴力破解获得受损网站(主要为 WordPress 和 Joomla CMS)下载有效载荷,并上传可执行代码的副本,不断创建备份副本,提高接管能力。Shade 使用嵌入式 TOR 库连接到其 C2 服务器,并下载其它模块,如挖矿程序 ZCash、CMSBrute。Shade 使用 AES 加密所有用户文件,文件名后缀为 “.crypted000007”,并在每个系统的文件夹中创建赎金票据,文本为英语和俄语。




研究人员发现勒索软件 GandCrabV 5.1 一系列的攻击活动,通过合法网站进行传播,与 Emotet 木马的传播方式相似。 GandCrab 的攻击活动中,利用受害者计算机上的恶意文档中的 VBA 宏下载有效载荷 putty.exe,来自宏的 PowerShell 脚本连接到受感染的网站,并从 URL 下载 GandCrab 勒索软件,GandCrab 加密了所有文件并显示了 GandCrab 壁纸。研究人员表示从赎金来看,其版本为 GandCrab V 5.1 ,同时还观察到同一网站还被用于其它恶意活动,并执行不同目的活动。




近日多个托管服务提供商 MSP 遭到黑客攻击,导致数百个客户端感染了勒索软件 GandCrab 。MSP 用于管理客户端点的常用产品是 ConnectWise 和 Kaseya,黑客正是利用 ConnectWise 与 Kaseya 集成的插件 ManagedITSync 中的旧漏洞,攻击 MSP ,一旦攻击者获得对 Kaseya 服务器的访问权限,将使用命令在管理的各个端点上安装恶意程序 GandCrab。


挖矿病毒


研究人员在1月末和2月之间,发现黑客针对意大利、中国传播门罗币(Monero)挖矿工具的攻击活动。恶意软件从受感染的网站上下载到系统中,随机释放到 Windows 目录中,删除旧版本以确保感染更新。使用工具 MIMIKATZ 收集用户帐户和系统凭据,连接到多个 URL 和 IP 地址发送信息。利用工具 RADMIN(获得管理员权限和释放其它恶意软件)远程执行命令,释放 .exe 文件并执行 Monero 挖矿工具。同时扫描开放端口445并利用 Windows SMB 服务器漏洞 MS17-010 继续传播。




研究人员在微软应用商店中发现8个 PUA 程序,使用受害者机器 CPU 来挖取门罗币(Monero)。恶意程序包括电池优化、搜索引擎、浏览器、视频,来自开发人员 DigiDream、1clean和Findoo。针对 Windows 10 系统,一旦用户下载并启动恶意程序,它们将会通过在其域服务器中触发 Google 跟踪代码管理器(GTM)来获取挖取货币的 JavaScript 库。然后,挖取脚本被激活并开始使用计算机的大部分 CPU 算力来挖取门罗币。应用程序于2018年4月至12月期间发布,研究人员通过调查发现这些程序可能是由同一个人或团体开发。目前还不确定下载恶意程序的用户数量,目前微软已将这些恶意应用程序从商店中删除。


数据库漏洞


本周无最新数据库漏洞消息




服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1