安全研究 >> 安全研究详情

本周安全资讯(6.10 - 6.14)

作者: 由美创科技安全实验室整理发布日期: 06月14日


勒索病毒


1

全球最大的飞机零部件供应商遭勒索软件感染

全球最大的飞机零部件供应商之一 ASCO,其位于比利时扎芬特姆的工厂遭勒索软件感染,导致该公司在四个国家的工厂已经停止生产。勒索软件于6月7日在比利时扎芬特姆 (Zaventem) 的工厂开始传播,导致IT系统瘫痪,但 ASCO 也关闭了德国、加拿大和美国的工厂,位于法国和巴西的非生产办事处未受影响。目前 ASCO 还未对此事件发布更多消息。


2

华盛顿州金县的慈善组织遭勒索软件 GlobeImposter 2.0攻击

位于美国华盛顿州金县的慈善组织奥本食品银行遭到勒索软件 GlobeImposter 2.0的攻击,只有一台机器免遭加密,目前用于维持该慈善活动。奥本食品银行是一家非营利性实体,向奥本学区边界的家庭和个人分发免费食品。该攻击发生在6月5日凌晨2点左右,目前还不清楚黑客如何进入该网络。该组织表示不会支付赎金,但目前无法解密该勒索软件,需重建网络及其丢失的文件。




挖矿病毒


1

Outlaw 黑客组织传播绑定基于 Perl 后门的门罗币挖矿程序的僵尸网络

趋势科技检测到 Outlaw 黑客组织传播绑定基于 Perl 后门的门罗币挖矿程序的僵尸网络。攻击者通过SSH暴力破解获取系统访问权限,然后执行为下载恶意软件的 bash 脚本的命令文件,shell 脚本下载、提取并执行挖矿程序,提取的 TAR 文件包含包含脚本、挖矿软件和后门组件文件夹,但该脚本组件并未执行。基于 Perl 的后门组件还能够发起分布式拒绝服务(DDoS)攻击。研究人员还观察了可执行 Secure Shell (SSH) 后门的使用,并注意到组件现在作为服务安装,以便为恶意软件提供持久性。研究人员已经观察到试图在中国展开的攻击活动。


2

Oracle WebLogic Server 的反序列化漏洞(CVE-2019-2725)被攻击者利用于挖矿

趋势科技确认 Oracle WebLogic Server 的反序列化漏洞(CVE-2019-2725)已被攻击者利用挖矿,恶意软件将其恶意代码作为一种混淆策略隐藏在证书文件中。目标机器被感染后,首先利用漏洞执行 PowerShell 命令,从 C2 服务器下载证书文件,文件看似为普通的隐私增强邮件(PEM)格式证书。然后使用组件 CertUtil(用于管理Windows中的证书)解码,发现其实际为 PowerShell 命令。PowerShell 将执行在删除证书文件之前创建的 PowerShell 脚本,脚本执行文件为门罗币(XMR)挖矿恶意软件。



服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1