分类: 威胁情报

新型 Golang 蠕虫在服务器上投放 XMRig Miner 病毒

12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播,以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器,可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务:密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中,该蠕虫还尝试利用WebLogic的最新漏洞:CVE-2020-14882。 在我们的分析过程中,攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态,并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1440/         消息来源:intezer,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

UltraRank 黑客组织的新攻击

2020年8月,Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动,该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月,我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击,而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中,我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次,JS sniffer的代码使用了Radix模糊处理。然后,攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少,攻击者最有可能使用了CMS管理面板中的凭据,而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中,UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现,攻击者的主服务器由Media Land LLC托管,该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1438/       消息来源:group-ib,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Lazarus 黑客组织瞄准 COVID-19 进行恶意活动

在跟踪Lazarus组织的活动时,我们发现他们最近瞄准了与COVID-19相关实体。9月底,他们袭击了一家制药公司。此外,他们还袭击了与COVID-19有关的政府部门。而且,每一次攻击都使用了不同的战术、技术和程序(TTP)。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1437/         消息来源:securelist,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

TeamTNT 黑客组织正在部署具有 DDoS 功能的 IRC Bot TNTbotinger

今年早些时候,我们观察到网络犯罪组织TeamTNT使用XMRig加密货币矿工攻击暴露的Docker API。TeamTNT使用窃取Amazon Web Services(AWS)secure shell(SSH)凭证和用于传播的自我复制行为开展攻击。 TeamTNT的最新攻击涉及到该组织自己的IRC(互联网中继聊天)bot。IRC bot被称为TNTbotinger,能够进行分布式拒绝服务(DDoS)。 需要注意的是,攻击者首先必须在初始目标机器上执行远程代码(RCE),然后才能成功地对系统发起攻击。攻击者可以通过利用错误配置问题、滥用未修补的漏洞、利用脆弱或重复使用的密码、密钥或泄漏的凭据等安全缺陷来执行RCE。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1436/         消息来源:trendmicro,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客使用凭证窃取程序瞄准美国、加拿大的银行客户

攻击者总是在寻找一种方法来执行受害者机器上的文件,并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器,那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey(AHK)就属于这种脚本语言。特别是,AHK是一种面向Windows的开源脚本语言,旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1432/         消息及封面来源:trendmicro,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

木马化开源软件的针对性攻击

由于采用了合法的非恶意软件的外观,木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为,从而暴露其恶意意图。 开源软件如何木马化?我们如何检测到它们?为了回答这些问题,让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1429/       消息来源:trendmicro,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

关于近期国家网络攻击的客户指南

这篇文章包含近期国家网络攻击背后攻击者的技术细节。以下是攻击者常使用的工具及技术: 通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者在网络中获得立足点,从而获得更高的凭据。详请参阅SolarWinds安全咨询。 一旦进入网络,攻击者就会使用通过本地泄露获得的管理权限来访问组织的全局管理员帐户/可信的SAML令牌签名证书。这使得攻击者能够伪造SAML令牌,以模拟任何现有用户和帐户,包括高权限帐户。 然后,可以针对任何本地资源(无论身份系统或供应商如何)以及任何云环境(无论供应商如何)使用由受损令牌签名证书创建的SAML令牌进行异常登录。因为SAML令牌是用它们自己的可信证书签名的,所以组织可能会忽略异常。 使用全局管理员帐户/可信证书来模拟高权限帐户,攻击者可以向现有应用程序或服务主体添加自己的凭据,使它们能够使用分配给该应用程序的权限调用API。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1427/         消息及封面来源:Microsoft,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织利用 njRAT 以 Pastebin 为切入点进行恶意软件攻击

今年10月以来,研究人员发现,恶意软件攻击者在利用一种远程访问木马njRAT(也被称为Bladabindi)从Pastebin下载并传送第二阶段的有效负载。Pastebin是一个流行网站,可匿名存储数据。攻击者利用这一服务发布恶意数据,恶意软件可以通过一个简短的URL访问这些数据,避免使用他们自己的命令和控制(C2)基础设施,以免引起注意。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1425/         消息及封面来源:paloaltonetworks,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

用于分发恶意软件的 .NET 打包器使用嵌入式图像来隐藏有效负载

大多数恶意软件都是以“打包”的形式分发的:通常是一个包含代码的可执行文件,在提取和执行预期负载之前,这些代码可以逃避防病毒检测和沙盒。我们讨论了两个常见的打包器,它们用于分发恶意软件,但在图像中隐藏了预期的有效载荷。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1423/       消息及封面来源:proofpoint,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新的 npm 恶意软件带有 Bladabindi 木马

在感恩节周末,我们在npm注册表中发现了新的恶意软件:远程访问木马(RAT)。 恶意软件包为: jdb.js db-json.js …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1421/       消息及封面来源:sonatype,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。