垃圾邮件僵尸网络运营商 Necurs 采用新技术避免检测

外媒近日消息,全球最大的垃圾邮件僵尸网络运营商 Necurs 目前正在使用一种新的逃避技术,其通过 Internet 快捷方式或 .URL 文件来绕过检测。Necurs 僵尸网络自 2012 年以来一直存在,它由全世界数百万台被感染的电脑组成,目前趋势科技观察到其恶意软件已经得到改进,企图能够成功地打败网络安全措施。 Necurs 新变种试图通过向用户发送一个包含压缩文件的恶意电子邮件来躲开检测。该文件一旦被解压缩,就会显示一个扩展名为 . url 的文件,.url 扩展名文件与 Windows 快捷方式文件相关联,该快捷方式文件会在浏览器中打开一个指向远程脚本文件活动的 URL。随后,该脚本会生成了一个名为 QuantLoader 的下载程序(这是一个普通的恶意软件家族)来下载并执行最终的有效负载。 图 1.先前版本的恶意软件图 图2. 演变的 Necurs 恶意软件图 以前,Necurs的JavaScript下载器会下载最终的有效载荷。但在最新版本中,是通过远程脚本生成 QUANTLOADER  下载程序 (由趋势科技检测为 TROJ_QUANT) ,然后下载最终的有效负载,这是添加到 Necurs 的 感染链上的另一层。 QUANTLOADER 的使用可能是双重的: 首先,它会在下载最终有效负载之前增加另一个下载阶段,以此来混淆并逃避行为检测。 其次,QUANTLOADER 本质上是持久性的 , 它会删除自身的副本并创建一个自动运行注册表,以便在启动时执行。 根据趋势科技的说法,为了找到其他有效的方法来欺骗受害者,并且消除针对它的反措施,Necurs 事实上在不断演变,比如说为了使用户更加相信,攻击通过 Internet 快捷方式具有 INI 文件格式的内容来伪造成文件夹图标。 注意,除了伪装成文件夹的图标之外,文件名还被制作成典型的文件夹名称,例如上图所示的 IMG-20180404-9AC4DD、SCN-20180404-268CC1 和 PIC-20180404-ADEEEE 等等。 趋势科技分析报告: 《Necurs Evolves to Evade Spam Detection via Internet Shortcut File》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

西部数据(WD)的 My Cloud EX2 存储设备默认配置泄露文件信息

据外媒 4 月 26 日报道,安全公司 Trustwave 的研究人员发现 ,西部数据(Western Digital:简称 WD)的 My Cloud EX2 存储设备默认情况下会在本地网络上泄漏文件,无论用户设置的权限如何。并且如果用户配置设备进行远程访问并使其联机,则情况会变得更糟。因为在这种情况下,My Cloud EX2 存储设备也会通过端口 9000 上的 HTTP 请求泄漏文件。 根据 Trustwave 发布的安全公告,My Cloud EX2 驱动器的默认配置允许任何未经身份验证的本地网络用户使用 HTTP 请求从设备获取任何文件。即使公共共享被禁用,也可以访问存储上的文件。也就是说,任何人都可以在端口 9000 上向 TMSContentDirectory / Control 发送 HTTP 请求来传递各种操作,例如浏览操作返回带有指向设备上单个文件 URL 的 XML 。 Trustwave 研究人员表示,泄露是由于设备的 UPnP 媒体服务器在设备开机时自动启动。在默认情况下,未经身份验证的用户可以完全绕过所有者或管理员设置的任何权限或限制,从设备上获取任何文件。 Trustwave 表示他们在 1 月 26 日就发现了这个漏洞问题,并且也报告给了西部数据公司。不过当时该公司只是建议其用户禁用 DLNA。目前 Trustwave 针对该漏洞发布了 POC, 并建议用户关闭 DLNA 以保护数据。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

MongoDB 服务器漏洞泄露加密货币 Bezop 用户信息

据外媒 4 月 26 日报道,网络安全公司 Kromtech 偶然发现了一个 MongoDB 数据库,其中包含了超过 25,000 名投资或得到 Bezop(加密货币)的用户的个人信息,涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照或身份证等数据。 Bezop 是去年年底推出的一个新的加密货币,最近它的团队举办了一次首次发行代币(ICO),以筹集资金来创建一个由区块链驱动的电子商务网络。让该加密货币声名大噪的是, 网络安全专家约翰迈克菲将 Bezop 列入其“每周 ICO ”推荐信中加入了 Bezop ,不过后来 Bezop 团队承认向 McAfee 支付了费用来进行促销。 目前,该货币在 CoinMarketCap 网站上排名第 728 位,其交易价格为每股 0.06 美元。 据悉,该数据库存储了的数据与 Bezop 团队年初开始运行的“ 赏金计划 ” 有关,在项目期间,该团队将 Bezop 代币分发给在其社交媒体帐户上宣传货币的用户。 Bezop 发言人表示,该数据库包含约 6,500 名 ICO 投资者的详细信息,其余部分则是针对参与公众赏金计划并收到 Bezop 代币的用户。 直到 3 月 30 日,Kromtech 的研究人员在谷歌云服务器上发现了 MongoDB 数据库之后,数据似乎一直保持在线,并且该数据库没有适当的身份验证系统,允许任何连接到它的人访问存储的信息。 Bezop 发言人承认了这一违规行为,声称数据库是无意中在网上曝光的,但并没有用户资金因此遭受损失。另外投资者身份卡也没有存储在数据库上,而是直接链接到他们的 URL ,目前这也是处于脱机状态的。 Bezop 团队本周表示该数据库已经安全关闭了,并且也及时通知了其用户这一泄露事件。其实这并不是唯一 影响 Bezop 用户的安全相关事件。今年早些时候,Steemit 博客指责该公司通过电子邮件以明文发送 ICO 注册密码,以至于不必要地在线暴露用户。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Drupal 出现第三个严重远程代码执行漏洞, Drupal 7、8 核心遭受影响

近日,Drupal 发布了新版本的软件,以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行(RCE)漏洞(CVE-2018-7602),这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。 Drupal 是一个流行的开源内容管理系统(CMS)软件,为数百万个网站提供支持。但不幸的是,自从披露了一个高度关键的远程代码执行漏洞以来,其 CMS 一直处于被攻击状态。 这个新的漏洞是在探索先前暴露的 RCE 漏洞(名为 drupalddon2 (CVE-2018-7600))时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉, drupalddon2 已在 3 月 28 日被修复。 除了这两个缺陷之外,该团队上周还修补了一个中等严重的跨站脚本(XSS)漏洞。该漏洞可能导致远程攻击者发起高级攻击,例如 cookie 盗窃、键盘记录、网络钓鱼和身份盗用等。 根据该团队发布的新报告,新的远程代码执行漏洞(CVE-2018-7602)可能会允许攻击者完全接管易受攻击的网站。由于之前披露的漏洞引起了很多关注,Drupal 敦促所有网站管理员尽快安装新的安全补丁。 如果您正在运行 7.x,请升级到 Drupal 7.59。 如果您正在运行 8.5.x,请升级到 Drupal 8.5.3。 如果您正在运行不再支持的 8.4.x 版本,则需要先将网站更新到 8.4.8 版本,然后尽快安装最新的 8.5.3 版本。 还应该注意的是,只有当您的站点已经为 Drupalgeddon2 漏洞应用了补丁时,新补丁才会生效。 有关该漏洞的技术细节被命名为 Drupalgeddon3,但并未对外公布。Drupal 发言人表示虽然该新漏洞较之前的更加复杂,但目前尚未发现有关该漏洞的任何攻击行为 。 SeeBug 漏洞库: Drupal core Remote Code Execution(CVE-2018-7602) Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2) 创宇盾 无需升级即可防御利用此漏洞进行的渗透攻击。 Drupal 安全公告: 《Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004》 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

如何从气隙 PC 中窃取冷存储设备上的加密货币钱包私钥?

以色列本古里安大学研发团队负责人 Mordechai Guri 博士自展示了从气密电脑中窃取数据的各种方法后,现在又发布了一个名为“ BeatCoin ”的新研究 — 关于如何窃取安装在冷存储设备上的加密货币钱包私钥。 BeatCoin不是一种新的黑客技术,相反,这是一项实验,研究人员演示了所有以前发现的带外通信方式的方法,这些方法可以用来窃取在冷存储设备上的加密货币钱包私钥。 冷存储:将加密货币保护在完全脱机的设备上的钱包中称为冷存储。由于在线数字钱包存在不同的安全风险,因此有些人更喜欢将私钥保持在离线状态。 气隙电脑是那些与互联网、本地网络、蓝牙隔离的难以渗透的电脑,因此被认为是最安全的设备。 对于 BeatCoin 实验,Guri 博士在运行比特币钱包应用程序的气隙电脑上部署了恶意软件,然后逐个执行每个攻击媒介,并通过隐蔽通道将钱包密钥传输到附近的设备。 “在对抗攻击模式中,攻击者渗透到离线钱包,并试图使用恶意软件感染。恶意软件可以在钱包初始安装期间预先安装或推入,也能够当可移动介质(例如 USB 闪存驱动器)插入钱包的计算机中以签署交易时感染系统。在过去的十年中,这些攻击载体一再被证明是可行的”,论文[ PDF ]写道。 目前根据 Guri 测试,AirHopper、MOSQUITO 和超声波技术是将 256 位私钥传输到远程接收器的最快方式,而 Diskfiltration 和 Fansmitter 方法则需要数分钟时间。 Guri  分享了两个视频来进一步说明研究情况(展示视频 1, 展示视频 2): 第一个展示了从一台有气隙的计算机上泄漏私钥,这几乎不需要几秒钟就可以使用超声波将数据传输到附近的智能手机。在第二个视频中,研究人员使用 RadIoT 攻击将存储在 Raspberry Pi 设备上的私钥传输到附近的智能手机,这是一种通过无线电信号从气密物联网(IoT)和嵌入式设备中泄露数据的技术。 “嵌入式设备的各种总线和通用输入/输出(GPIO)引脚产生的无线电信号可以用二进制数据进行调制,在这种情况下,传输可以通过位于附近的 AM 或 FM 接收器设备。 在本月早些时候发布的最新研究报告中,Guri 的团队还展示了黑客如何利用 “通过电力线传播”的电流流动中的功率波动,从气隙计算机中隐藏高度敏感的数据。 消息来源:Thehackernews,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司发布关于 Energetic Bear APT 分析报告:针对欧美国家能源和工业部门

近日,卡巴斯基分析了受 Energetic Bear APT 损害的服务,并在某种程度上确定该组织是为了利益或接受其外部客户的订单而运作的。卡巴斯基实验室 ICS CERT 报告中提供了有关已识别的服务器的信息,这些服务器已被群体感染和使用。此外,该报告还包括对 2016 年和 2017 年初 Energetic Bear 组织袭击几家网络服务器的分析结果。 至 2010 年以来, Energetic Bear  一直活跃。该组织倾向于攻击不同的公司,主要关注能源和工业部门。根据统计,Energetic Bear 袭击的公司在全球范围内集中度比较明显,一般来说主要分布在欧洲和美国。在 2016-2017 年,土耳其公司遭受 Energetic Bear 袭击的数量也大幅增加。 Energetic Bear 组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。Energetic Bear 使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染,以便在水坑攻击中使用它们以达到该组织的主要目标。 受损服务器的分析结果和攻击者在这些服务器上的活动如下: –   除极少数情况外,该组织可以使用公共可用的实用程序进行攻击,使攻击归因的任务无需任何额外的群组“标记”就变得非常困难; –  潜在地,当攻击者想要建立一个立足点以发展针对目标设施的进一步攻击时,互联网上任何易受攻击的服务器都会引起攻击者的兴趣。 –  在观察到的大多数情况下,该组织通过执行与搜索漏洞有关的任务来获得各种主机持久性以及窃取认证数据。 –  受害者的多样性可能表明攻击者利益的多样性。 –  在某种程度上可以肯定地说,该组织为利益服务或从其外部的客户处获得订单,通过执行初始数据收集、窃取认证数据获得适合攻击资源的持久性发展。 值得注意的是, Energetic Bear 针对美国组织的近期活动在 US-CERT 咨询中进行了讨论,该咨询将其与俄罗斯政府联系起来。 完整分析报告: 《Energetic Bear/Crouching Yeti: attacks on servers》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

葡萄牙成为加入北约网络防御中心的第 21 个国家

据外媒报道,葡萄牙于本周二成为加入北约网络防御中心的第 21 个国家,并且澳大利亚、挪威和日本等国表示他们也计划加入。 中心主任梅尔梅格雷在一个升旗仪式上说:“我们正面临着那些将网络空间的共同价值观作为目标的敌人:自由,真相,信任”。她还补充道,“为了增强抵御能力,我们需要团结一致,这就是为什么我很高兴欢迎葡萄牙加入我们,因为我们需要更强大”。 北约网络防御中心成立于 2008 年,位于网络通识的爱沙尼亚之都,该地区是世界上互联网使用率最高的国家之一,不过在去年它曾遭受过网络攻击。据悉,爱沙尼亚不仅指责俄罗斯是北约的旧冷战敌人,并且表示对其官方网站和信息网络的攻击表示支持。 北约网络防御中心中心已经有来自欧洲和美国的数据专家致力于保护西方国防联盟 29 个国家的信息网络,该中心目前的成员有奥地利、比利时、捷克共和国、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、意大利、拉脱维亚、立陶宛、荷兰、波兰、葡萄牙、斯洛伐克、西班牙、瑞典、土耳其、英国和美国。 相关阅读: 澳大利亚加入北约“ 2018 锁盾”网络演习 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织 Orangeworm 针对全球医疗保健行业发起间谍活动

据外媒报道,赛门铁克研究人员发现了一个针对全球的医疗机构和相关部门发起间谍活动的黑客组织— Orangeworm ,该组织在托管用于控制高科技成像设备的软件的机器上安装可疑木马,例如 X 射线和 MRI 设备以及用于帮助患者完成同意书的机器。 根据赛门铁克周一发布的一份新报告显示,Orangeworm 黑客组织自 2015 年初以来就一直活跃,其目标锁定在美国、欧洲和亚洲的大型跨国公司,主要关注医疗保健行业。赛门铁克认为,这些行业被视为更大供应链攻击中的一部分,目的是为了让 Orangeworm 能够接触到与医疗保健有关的预期受害者。 除了占据 40%的医疗行业外,黑客的攻击目标还包括IT(15%),制造业(15%),物流(8%)和农业(8%)等行业。 进入受害者网络后,攻击者会安装一个名为 Kwampirs 的木马,该木马在受感染的计算机上打开后门,允许攻击者远程访问设备并窃取敏感数据。 在解密时,Kwampirs 恶意软件会将一个随机生成的字符串插入到其主要的 DLL 有效负载中,以逃避基于哈希的检测。此外,恶意软件还在受到危害的系统上启动了一项服务,以便于在系统重新启动后保留并重新启动。 随后,Kwampirs 收集有关受感染计算机的一些基本信息,并将其发送给攻击者到远程命令和控制服务器,使用该服务器组能够确定被黑客攻击的系统是否被研究人员或高价值目标群体使用。为了收集有关受害者网络和受感染系统的其他信息,恶意软件会使用系统的内置命令,而不是使用第三方侦察和枚举工具。 以上所示的命令列表帮助攻击者窃取信息,包括“ 与最近访问的计算机有关的任何信息、网络适配器信息、可用网络共享、映射驱动器以及受感染计算机上存在的文件 ”。 虽然 Orangeworm 确切动机尚不清楚,并且也没有证据表明它是否得到了某些国家的支持,也没有任何信息可以帮助确定该组织的起源,但赛门铁克认为该组织可能是出于商业目的而进行间谍活动。 赛门铁克表示:“根据已知受害者的名单,Orangeworm 不会随机选择目标或进行机会性黑客攻击。“Orangeworm 组织似乎仔细而刻意地选择了目标,并在发动攻击之前进行了大量计划。” 目前在美国发现的受害者比例最高,其次是沙特阿拉伯、印度、菲律宾、匈牙利、英国、土耳其、德国、波兰、中国香港、瑞典、加拿大、法国和全球其他几个国家和地区。 赛门特克分析报告: 《New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia》 消息来源:Thehackernews,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

SAML 身份验证系统漏洞(CVE-2018-0229) 影响思科 Firepower、AnyConnect 和 ASA 产品

近日,思科发布了一组安全补丁来解决安全声明标记语言(SAML)中的 CVE-2018-0229 漏洞。该漏洞可能允许未经身份验证的远程攻击者通过运行 ASA 或 FTD 软件的受影响设备建立经过验证的 AnyConnect 会话。 CVE-2018-0229 漏洞影响以下思科解决方案: AnyConnect 桌面移动客户端的单点登录身份验证; 自适应安全设备(ASA)软件; Firepower威胁防御(FTD)软件。 思科表示,存在这个缺陷是因为 ASA 或 FTD 软件没有实现任何机制来检测认证请求是否直接来自 AnyConnect 客户端,以至于攻击者可以通过欺骗受害者点击专门制作的链接并使用公司的身份提供商(IdP)进行身份验证来利用 CVE-2018-0229 漏洞。在这种情境下,攻击者可以劫持一个有效的身份验证令牌,并使用它来通过运行 ASA 或 FTD 软件的受影响设备建立并建立 AnyConnect 会话。 CVE-2018-0229 漏洞影响思科 AnyConnect 安全移动客户端,以及针对以下在思科产品上运行的AnyConnect 远程访问 VPN 的、基于 SAML 2.0 的 SSO 配置的 「ASA 软件和 FTD 软件」: 3000 系列工业安全设备(ISA) ASA 5500 系列自适应安全设备 ASA 5500-X 系列下一代防火墙 用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 自适应安全虚拟设备(ASAv) Firepower 2100 系列安全设备 Firepower 4100 系列安全设备 Firepower 9300 ASA 安全模块 FTD 虚拟(FTDv) 目前思科确认,只有运行版本 9.7.1 及更高版本的 ASA 软件、运行版本 6.2.1 及更高版本的 FTD 软件、AnyConnect 4.4.00243 及更高版本易受攻击。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重

近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示,这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org,并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到,其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来,Adwind 就可以在所有主流操作系统(Windows,Linux,MacOSX,Android)上运行,并且以其各种后门功能而闻名,如(但不限于): -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传,下载和执行文件 XTRAT 与 Adwind 具有类似的功能,例如信息窃取,文件和注册表管理,远程桌面等。它还具有以下功能: -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作(读取,写入和操作) -进程操作(执行和终止) -服务操作(停止,启动,创建和修改) -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能:执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁,专家建议采取多层次的安全措施,IT 管理员应定期保持网络和系统的修补和更新,并且由于 Adwind 的两种变体都通过电子邮件发送,所以必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析: 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。