安全研究 >> 安全研究详情

本周安全资讯(6.17-6.21)

作者: 由美创科技安全实验室整理发布日期: 06月21日

勒索病毒


1

发现 Ryuk 勒索软件新变种

研究人员发现了使用数字证书签署的 Ryuk 勒索软件新变种,其添加 IP 和计算机名称黑名单,以跳过匹配计算机,免受加密。该变种通过 arp -a 命令输出检查 IP 地址,还将计算机名称与字符串“SPB”、“Spb”、“spb”、“MSK”、“Msk”和“msk”进行比较,如果具有匹配值则不加密。研究人员表示该种行为可能是避免加密俄罗斯的计算机。


2

解密工具更新可修复最新版本勒索软件GandCrab

Bitdefender 发布针对勒索软件 GandCrab 的解密工具更新,可以修复最新版本的 GandCrab。GandCrab 在一年多的传播中,全球范围内已约有150多万受害者,幕后攻击者在近日宣布停止运行 GandCrab 时,表示已经获取勒索赎金约20亿美元。目前已发布的几个版本的 GandCrab 解密工具已为受害者提供了超过30,000次的成功解密。




挖矿病毒


1

发现新型挖矿僵尸网络活动

趋势科技研究人员发现新挖矿僵尸网络,利用开放的 ADB(安卓系统调试桥)端口在默认情况下没有身份验证来进入设备,通过 SSH 进行传播。攻击首先使用 ADB 命令 shell 将攻击系统工作目录更改为 tmp。然后僵尸网络将确定进入的系统类型以及是否是蜜罐。最后使用 wget 或 curl 下载有效载荷,并更改载荷的权限设置,有三种挖矿恶意软件供选择。研究人员目前已在21个不同的国家或地区检测到该僵尸网络的活动,其中在韩国占比最高。


2

发现利用公开泄露方程式组织工具部署门罗币挖矿恶意软件 XMRig活动

趋势科技研究人员近日发现利用公开泄露的方程式组织工具挖矿的攻击活动。攻击者主要利用基于 EternalBlue 后门 Vools,还利用密码转储工具 Mimikatz 和方程式组织其它工具,最终部署门罗币挖矿恶意软件 XMRig。目前还无法确认感染起因,但研究人员发现了发送 HTTP 请求到服务器的一个安装程序,该服务器目前处于非活跃状态。所有受感染机器的 Windows 主文件夹存在一个使用 .TXT 扩展名进行伪装的 ZIP 文件,以避免检测。ZIP 文件包含多个工具组件包括 EternalBlue 和 EternalChampion,最终将恶意 DLL 释放到在目标机器上。此次攻击活动发生在多国家的教育、通信媒体、银行、制造和技术等领域,针对没有进行修复漏洞的计算机,人口大国中国和印度受感染数量占比最多。

3

 Linux Exim 电子邮件服务漏洞正被利用于传播挖矿恶意软件

Cybereason 表示 Linux Exim 电子邮件服务漏洞正被积极利用传播挖矿恶意软件。该漏洞 ID 为 CVE-2019-10149,攻击者使用安装在目标机器上的私有身份验证密钥进行根身份验证。一旦建立了远程命令执行,将部署一个端口扫描器来搜索要感染的其它易受攻击的服务器。在安装挖矿程序之前,将移除目标上的任何现有的挖矿程序和对挖矿软件的任何防御。Exim 电子邮件服务约占互联网电子邮件服务器的57%,目前全球有超过350万台服务器面临风险。相关用户需尽快更新至最新版本。





服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1