安全研究 >> 安全研究详情

本周安全资讯(6.24-6.28)

作者: 由美创科技安全实验室整理发布日期: 06月28日

勒索病毒


1

勒索软件 Troldesh 针对俄罗斯和墨西哥传播

Avast 研究员在6月24日观察到勒索软件Troldesh(又名Shade)主要针对俄罗斯和墨西哥的传播活动,也在英国和德国发现了小范围的传播活动。Troldesh 通过社交网络和其它邮件平台传播,邮件指向恶意链接,下载并运行恶意文件,完成感染。Troldesh 正在暗网上出售或出租,黑客不断更新和修改这种病毒,最新的 Troldesh 修改不仅加密计算机上的文件,还利用受感染计算机的资源进行挖矿,并为站点生成流量,提供广告收入。


2

 Sodinokibii(REvil)勒索软件正通过恶意广告活动传播

研究人员发现 Sodinokibii(REvil)勒索软件正通过恶意广告活动传播,具体是通过 PopCash 广告网络上的广告实现,这些广告根据特定的条件将用户重定向到漏洞利用工具包,以感染 Windows 机器。由于漏洞利用工具包依赖于过时的软件,用户需确保进行最新的 Windows 安全更新,以及 Flash、Java、PDF 阅读器和浏览器的更新,来防御此类攻击。

3

美国加利福尼亚州马林县遭到勒索软件攻击

美国加利福尼亚州马林县在上周遭到勒索软件攻击,黑客锁定了该县社区诊所的计算机系统,并在解锁之前要求支付勒索赎金。诊所负责人表示在其网络运营商的建议下,已向黑客支付了一定数量赎金,但未透露金额。负责人还表示将在近几天将系统恢复正常运行,目前未发现患者数据遭到泄露。

4

全球科学测试服务提供商 Eurofins 遭到勒索软件攻击

全球科学测试服务提供商 Eurofins 在6月初遭到勒索软件攻击,影响了部分 IT 系统。公司立即关闭了其它系统和服务器,以将损失降到最低。英国警方已暂停了与该公司的所有合作。该公司周一表示目前为止通过内部和外部IT取证专家调查,还未发现任何未经授权的窃取或转移机密客户数据的证据,运营正在恢复正常,目前还很难估计这次攻击影响财务的结果。

5

新勒索软件 LooCipher 通过垃圾邮件传播

新勒索软件 LooCipher 正积极感染用户,虽然目前尚不清楚该勒索软件如何分发,但研究人员根据所发现的一些文件认为其通过垃圾邮件传播。邮件推送恶意 Word 文档,要求用户启用恶意宏,然后将通过网关连接到 Tor 服务器并下载恶意可执行文件,也就是 LooCipher。加密文件以“.lcphr”为扩展名,桌面上创建赎金票据和名为c2056.ini 的文件,包含计算机的唯一ID和解密倒计时,过期密钥将被删除。


6

黑客攻击了三个托管服务提供商(MSP)并部署 Sodinokibi 勒索软件

Huntress Lab 研究人员发现黑客攻击了三个托管服务提供商(MSP)并利用远程管理工具在其客户系统上部署 Sodinokibi 勒索软件。黑客通过暴露的RDP端点入侵 MSP,进行权限升级,并卸载了 ESET 和 Webroot 等防病毒产品。然后,黑客搜索了 MSP 用于管理其客户的远程工作站的远程管理工具,包括 Webroot SecureAnywhere 和Kaseya VSA,在客户的系统上执行 Powershell 脚本,最终下载并安装 Sodinokibi 勒索软件。事件发生后,Webroot 强制要求为帐户启用双因素身份验证(2FA),以防止黑客使用任何其它可能被劫持的帐户来部署勒索软件。

7

发现 DanaBot 银行木马在欧洲传播勒索软件

CheckPoint 研究人员通过跟踪 DanaBot 活动,近日发现其在欧洲的活动开始传播 Delphi 编写的勒索软件,并更新其它功能。DanaBot 银行木马通常使用网络邮件分发,所带的链接将执行 JavaScript 或PowerShell释放器,所有 DanaBot 版本都通过443端口上的基于 TCP 的自定义协议与 C&C 服务器进行通信。不断更新的功能中,DanaBot 释放器伪装成 Windows 系统事件通知服务以绕过 UAC,通信协议开始使用 AES256进行加密,增加新传播模块“NonRansomware”勒索软件变种,它采用 Delphi 编写,可枚举本地驱动器上的文件,并加密除 Windows 目录之外的所有文件。


8

ResiDex 软件公司遭勒索软件攻击

近日 ResiDex 软件公司遭到勒索软件攻击,影响了其 IT 系统和服务器基础架构。事件发生后 ResiDex 采取了必要措施将其服务器恢复到新的托管服务提供商并保护其 IT 系统,并开始使用公司维护的备份恢复其安全性和服务。通过调查并未发现任何个人信息或受保护的健康信息受到损害。但未经授权访问 ResiDex 的软件可能会影响个人信息,包括姓名、社会安全号码和受保护的健康信息,包括软件中存在的医疗记录。




挖矿病毒


1

利用 CVE-2015-1427 (ElasticSearch Groovy) 远程命令执行漏洞的攻击行为

2019年6月13日,安天蜜网捕获到利用 CVE-2015-1427(ElasticSearch Groovy) 远程命令执行漏洞的攻击行为。该漏洞原理是 Elaticsearch 将 groovy 作为脚本语言,并使用基于黑白名单的沙盒机制限制危险代码执行,但该机制不够严格,可以被绕过,从而导致出现远程代码执行的情况。攻击者通过 groovy 作为脚本语言,向 _search?pretty 页面发送一段带有恶意链接的 json 脚本,进行恶意 shell 脚本下载,从而实现远程代码攻击,并进行挖矿行为。


2

 Linux 挖矿工具 LoudMiner 通过捆绑 Windows 和 macOS 的盗版 VST 软件进行传播

ESET 研究人员发现 Linux 挖矿工具 LoudMiner,通过捆绑 Windows 和 macOS 的盗版 VST(虚拟工作室技术)软件进行传播。LoudMiner 基于 XMRig (门罗币)并使用一个挖矿池。攻击者目标是与音频制作有关,因此安装的目标机器具有良好的处理能力,以至于高 CPU 消耗不会引起用户注意,以隐藏恶意活动。利用该类型应用复杂且文件大的特点,攻击者将 LoudMiner 伪装成 VM 镜像。目前研究人员已在一个基于 WordPress 的网站上,发现提供137个与 VST 相关的应用程序,其中42个用于 Windows,95个用于 macOS。






服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1