安全研究 >> 安全研究详情

本周安全资讯(5.27-5.31)

作者: 由美创科技安全实验室整理发布日期: 05月31日

勒索病毒


1

针对韩国的Ammyy 后门和 clop 勒索软件攻击活动

Ahnlab 研究人员发现针对韩国传播 Ammyy 后门和 clop 勒索软件的攻击活动,恶意软件通过 excel 文件传播,研究人员对攻击使用的 excel 进行了分析。2018年12月26日的攻击中攻击者使用 Excel 4.0(XLM) 宏,通过 msiexec.exe 下载文件。XLM宏是 Excel 4.0 的默认宏,Excel 5.0 宏代码使用VBA语言,但仍支持 Excel 4.0(XLM)宏,因此可以绕过部分检测。2019年2月13日,宏代码开始被混淆。2019年5月16日,研究人员发现攻击者尝试将 Excel 宏执行转换为 VBA 代码执行,一些文件只有 Excel 4.0 宏但隐藏了 VBA 代码,一些文件则有 VBA 代码和隐藏属性的表。


2

发现一种比特币诈骗手段

研究人员发现了一种比特币诈骗,网站承诺用户可通过将其他人推荐到其网站来赢得以太坊。例如通过推荐链接达到1,000次访问,用户将获得3个以太坊,价值约750美元。如果用户点击”每天免费自动赚取15-45美元的比特币“按钮,就会被重定向到另一个网页显示名为“比特币收集器”的程序。当用户下载解压缩文件并运行 BotCollector.exe 可执行文件时,启动一个名为 “Freebitco.in - Bot” 的程序,它实际是窃取木马。研究人员还发现了通过该活动传播的勒索软件 HiddenTear。


3

美国拉斯多市政秘书办公室遭到勒索软件攻击

美国拉斯多市政秘书办公室周三凌晨1点30分左右受到勒索软件攻击,其文件管理系统被加密。此事件导致该市所有员工电脑关闭以控制病毒,消防、警察、公用事业和卫生部门由于是对公众最重要的服务,最先被隔离起来,在信息技术人员逐一检查每台计算机后才重新启动。联合临时城市经理周四下午表示,勒索病毒已经被控制住,大多数部门的系统都已经重新运行。拉雷多市每晚都会备份他们的系统,因此他们将能够恢复他们的所有文件。


4

GandCrab 勒索软件针对 SQL 服务器攻击活动

研究人员通过蜜罐捕获到 GandCrab 勒索软件针对 SQL 服务器的攻击活动。攻击者首先使用 SQL 数据库命令将小助手 DLL 上传到服务器,然后将该 DLL 作为数据库函数调用,检索加拿大魁北克省 IP 地址上托管的 GandCrab 有效载荷。在第一阶攻击者连接到数据库服务器并确定它正在运行 MySQL,然后才会进行恶意操作。虽然这不是特别大规模的攻击,但它会给 MySQL 服务器带来了严重的风险,攻击者将数据库服务器上的端口3306暴露在网络上,允许外部访问。




挖矿病毒

本周无最新挖矿病毒消息





服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1