01.加密挖矿恶意软件 Lemon_Duck 可攻击 Linux 设备
加密挖矿恶意软件 Lemon_Duck 的新变种已开始针对 Linux 设备。Sophos 的安全研究人员发现了加密挖矿恶意软件 Lemon_Duck 的新变种,该恶意软件已更新,可以通过 SSH 蛮力攻击破坏 Linux 设备。新的变种还利用 Windows 系统中的 SMBGhost 错误,并且还能够定位运行 Redis 和 Hadoop 实例的服务器。加密挖矿恶意软件 Lemon_Duck 最初是由趋势科技的研究人员于 2019 年 6 月发现的,当时针对的是企业网络,具体是通过利用 EternalBlue 漏洞蛮力攻击获得对 MS SQL 服务的访问。感染设备后,恶意软件将提供 XMRig Monero (XMR) 挖矿器。该恶意软件通过以 COVID-19 为主题的邮件大规模进行分发,邮件附件使用了 CVE-2017-8570 Microsoft Office RCE 漏洞的 RTF 文件,用来传递恶意 Payload。加密挖矿恶意软件 Lemon_Duck 的作者还添加了一个利用 SMBGhost (CVE-2020-0796) Windows SMBv3 客户端/服务器 RCE 的模块。
关键词:Lemon_Duck、COVID-19、CVE-2017-8570
发布时间:2020-08-28
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107626/malware/lemon_duck-target-linux.html
02.UltraRank 黑客组织从数百家商店中窃取信用卡数据
一个名为 UltraRank 的网络犯罪组织,专门感染网上商店以窃取支付卡数据,破坏了将近 700 个网站和十多个第三方服务提供商。该组织至少从 2015 年起就活跃起来,使用了多个网络浏览器,恶意 JavaScript 代码 (也称为 JS 嗅探器)。组织内的团伙正在通过会员卡商店出售偷窃的付款信息,每周赚取数万美元。据 Group-IB 的安全研究人员称,UltraRank 多年来改变了策略和基础架构。这使得调查人员很难将他们的活动与不同的组织相关联。在本周的技术报告中,研究人员提供了证据证明 UltraRank 是归因于 Magecart 第 2、5 和 12 组事件的幕后行为者。在 2015 年,2016 年和 2018 年发起的三个长期活动中,该团伙能够将 JS 嗅探器植入体育赛事门票转售商等流量巨大的 691 个个人网站上......
发布时间:2020-08-28
发布平台:Bleeping Computer
原文链接:
https://www.bleepingcomputer.com/news/security/ultrarank-hackers-steal-credit-cards-from-hundreds-of-stores/
微软本周警告称,最近发现了一个恶意软件,称为 Anubis,该恶意软件被广泛传播以窃取受感染系统的信息。Anubis 是在恶意软件分析师社区中众所周知的 Android 恶意软件的名称,但 Microsoft 报告的家族与之无关。据微软称,新的恶意软件使用从 Loki 恶意软件派生的代码来窃取系统信息,凭据,信用卡详细信息和加密货币钱包。最近发现的恶意软件仅针对 Windows 系统,Microsoft 将其检测为 PWS: MSIL/Anubis.G!MTB。自 6 月份几个网络犯罪论坛出现以来,Anubis 就已经存在了。到目前为止,它们仅使用了少数已知的下载 URL 和 C2 服务器。微软分享了一些针对此威胁的危害指标 IOCs,并宣布将继续对其进行监视。
发布时间:2020-08-27
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107591/malware/anubis-info-stealing-malware.html
04.REvil 勒索软件攻击了 Valley Health Systems 医疗机构
REvil 勒索软件运营商声称已破坏了一个医疗保健组织,受害者是 Valley Health Systems。在对数据泄漏进行常规监视活动期间,Cyble 研究团队发现了由 REvil 勒索软件运营商发布的泄漏披露帖子,该帖子声称已攻击了医疗保健组织 Valley Health Systems。由于医疗机构管理的敏感数据,因此它们经常是黑客的特定目标。由于处于 COVID-19 期间,这些机构面临更大压力,更容易遭受网络风险的威胁。根据 Cisco/Cybersecurity Ventures 网络安全年报,医疗机构在 2019 年遭受的网络攻击比其他行业的平均数量多 2-3 次。
发布时间:2020-08-27
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107580/cyber-crime/valley-health-systems-revil-ransomware.html
05.Emotet 僵尸网络已开始使用新的 Red Dawn 模板
Emotet 僵尸网络运营商在新的活动中使用的恶意附件,已切换到名为 Red Dawn 的新模板。自 2020 年 2 月以来,Emotet 基本没啥动静,但在 7 月份,数量却突然激增了,针对全球用户的新的大规模垃圾邮件活动。Emotet 银行木马至少自 2014 年以来一直活跃,该僵尸网络由 TA542 组织人员操作。在 8 月中旬,以 COVID-19 为主题的垃圾邮件活动中使用了 Emotet 恶意软件。最近的垃圾邮件活动使用带有恶意 Word 文档或指向其的链接的邮件,这些邮件伪装成发票,运送信息,COVID-19 信息,简历,财务文件或扫描的文件。打开文档后,他们将提示用户启用内容以执行那些恶意的嵌入宏,该宏将启动感染过程,并最终导致 Emotet 恶意软件的安装。为了诱骗用户启用宏,Emotet 僵尸网络操作者使用文档模板来通知他们该文档是在 iOS 上创建的,除非单击启用内容按钮,否则无法正确查看。Red Dawn 模板显示消息此文档已受保护,并通知用户预览不可用,试图诱使单击启用编辑和启用内容。Emotet 恶意软件还用于传播其他恶意代码,例如 Trickbot 和 QBot,或勒索软件,例如 Conti (TrickBot) 或 ProLock (QBot)。Emotet 仍然是最广泛的僵尸网络之一,专家认为,它将继续发展以逃避检测并感染尽可能多的用户。
关键词:Emotet、Red Dawn、COVID-19
发布时间:2020-08-30
发布平台:Security Affairs
原文链接:
https://securityaffairs.co/wordpress/107705/cyber-crime/emotet-botnet-red-dawn-template.html
06.新型 Windows 恶意软件 KryptoCibule,专门针对加密货币用户
网络安全公司 ESET 今天发布了一份报告,详细介绍了名为 KryptoCibule 的新型 Windows 恶意软件。ESET 表示,该恶意软件至少从 2018 年 12 月开始分发,直到现在才浮出水面。据该公司称,KryptoCibule 面向加密货币用户,恶意软件的主要功能是在受害者的系统上安装一个加密货币矿工,窃取与加密货币钱包相关的文件以及替换其中钱包的地址。自 2018 年末第一个版本以来,他们就在 KryptoCibule 的代码中添加了新项目。根据 ESET 的说法,该恶意软件已慢慢演变为复杂的多组件威胁,远远超过了我们在其他大多数恶意软件中所看到的。目前,该恶意软件是通过盗版软件的种子文件传播的。ESET 表示,下载这些种子的用户将安装所需的盗版软件,但他们还将运行恶意软件的安装程序。该安装程序将设置一个依赖于计划任务的重新引导持久性机制,然后安装 KryptoCibule 恶意软件启动程序,操作系统剪贴板劫持程序模块以及 Tor 和 torrent 客户端的核心。ESET 称 KryptoCibule 使用 Tor 客户端与暗网中托管的命令和控制 (C&C) 服务器进行安全通信,而 torrent 客户端用于加载 torrent 文件,这些文件最终将下载其他附加模块,例如代理服务器 ,加密挖矿模块以及 HTTP 和 SFT 服务器,它们对于恶意软件的操作方式中的一项或多项任务都非常有用。
发布时间:2020-09-02
发布平台:ZDNet
原文链接:
https://www.zdnet.com/article/new-kryptocibule-windows-malware-is-a-triple-threat-for-cryptocurrency-users/
- End -