分类: 恶意软件

超3300万个邮箱密码泄露,一大波勒索邮件攻击正在到来

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ   概述 或许你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” 身边不少人收到过类似的勒索邮件,收到这些邮件,表示你的部分邮箱帐号密码泄露,对方或许有也或许没有你更多的隐私信息,如果你的网盘、网络相册不幸与邮箱使用相同的密码,那就真有可能一起泄露。腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。 攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路,该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码,再群发恐吓勒索邮件。 每攻克一台服务器,攻击者就验证2万个邮箱地址。截止目前,该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。” 分析发现,病毒主模块编写者为“Burimi”,且具有内网传播能力(感染U盘和网络共享目录),腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前,腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。 详细分析: 木马启动后尝试用内置密码列表爆破VNC服务器  爆破成功后会在目标VNC服务器下载木马程序  木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”      入口处检测虚拟机以及调试器,环境不匹配就会退出。    禁用安全中心提示,减少被用户发现的概率。 拷贝自身到c:\windows[random]\win[random].exe并设置run启动项,启动项名Microsoft Windows Driver 感染U盘以及网络磁盘,写入antorun.inf 劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等 BTC已经劫持到0.14697873个 从以下域名中下载1.exe~8.exe 挖矿模块2.exe 2.exe启动后释放文件 C:\ProgramData[random]\cfg C:\ProgramData[random]\cfgi C:\ProgramData[random]\windrv32 C:\ProgramData[random]\r.vbs windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号 r.vbs设置挖矿模块启动项 邮件勒索模块3.exe 首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。   每个任务文件携带20000个邮箱账户&密码。 由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。 黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC 安全建议 1、更换VNC连接密码为复杂密码,防止类似爆破攻击事件; 2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能; 3、推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。 4、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试(可能远超3300万),我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。 也可以按以下步骤手工清理 删除文件 C:\ProgramData\FtqBnjJnmF[random]\cfg C:\ProgramData\FtqBnjJnmF[random]\cfgi C:\ProgramData\FtqBnjJnmF[random]\windrv32 C:\ProgramData\FtqBnjJnmF[random]\r.vbs c:\windows\48940040500568694\v.exe C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random] 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver IOCs 钱包 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk 24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR 4PGXzCGYQw7UemxRoRxCC97t7VaTr XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh 0x8b7f16faa3f835a0d3e7871a1359e45914d8c344 LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4g fuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca Domain soruuoooshfrohuo.su aoruuoooshfrohuo.su roruuoooshfrohuo.su toruuoooshfrohuo.su toruuoooshfrohuo.su uoruuoooshfrohuo.su foruuoooshfrohuo.su zeruuoooshfrohuo.su zzruuoooshfrohuo.su bbruuoooshfrohuo.su soruuoooshfrohoo.su aoruuoooshfrohoo.su roruuoooshfrohoo.su toruuoooshfrohoo.su toruuoooshfrohoo.su uoruuoooshfrohoo.su foruuoooshfrohoo.su zeruuoooshfrohoo.su zzruuoooshfrohoo.su bbruuoooshfrohoo.su soruuoooshfrohlo.su aoruuoooshfrohlo.su roruuoooshfrohlo.su toruuoooshfrohlo.su toruuoooshfrohlo.su uoruuoooshfrohlo.su foruuoooshfrohlo.su zeruuoooshfrohlo.su zzruuoooshfrohlo.su bbruuoooshfrohlo.su soruuoooshfrohfo.su aoruuoooshfrohfo.su roruuoooshfrohfo.su toruuoooshfrohfo.su toruuoooshfrohfo.su uoruuoooshfrohfo.su foruuoooshfrohfo.su zeruuoooshfrohfo.su zzruuoooshfrohfo.su bbruuoooshfrohfo.su ssofhoseuegsgrfnj.su unokaoeojoejfghr.ru osheoufhusheoghuesd.ru fafhoafouehfuh.su auoegfiaefuageudn.ru aiiaiafrzrueuedur.ru osuhughgufijfi.ru agnediuaeuidhegsf.su ouhfuosuoosrhfzr.su agnediuaeuidhegsf.su unokaoeojoejfghr.ru URL hxxp://thaus.to/1.exe hxxp://thaus.to/2.exe hxxp://thaus.to/3.exe hxxp://thaus.to/4.exe hxxp://thaus.to/5.exe hxxp://thaus.to/6.exe hxxp://thaus.to/7.exe hxxp://thaus.to/8.exe … IP 193.32.161.77 193.32.161.69 MD5 ef7ffba4b98df751763464f404d3010c f895a1875b3e112df7e4d548b28b9927 1d843f799da25d93d370969e126c32fa 3e26d2428d90c95531b3f2e700bf0e4c 33e45f80f9cbfd841242e8bb4488def1 另据最新情况,该病毒的两个服务器均已关闭,包括病毒下载服务器和勒索邮件发送任务服务器。也意味着,现有已感染的病毒仅剩下挖矿部分工作正常,发送勒索邮件的任务必须等待所有病毒更新,攻击者找到新的控制服务器,重新完成配置。    

2500 万 Android 设备被“Agent Smith”恶意软件感染

根据报道,一种名为 Agent Smith 的新型 Android 恶意软件已经感染了 2500 万部手机,其目的是推送广告或劫持有效的广告事件。 受害者被引诱从第三方应用商店下载伪装成照片应用程序、色情相关应用程序或游戏等病毒程序,一旦下载完毕,这些程序就会下载 Agent Smith。 该恶意软件通常伪装成 Google Updater、Google Update for U 或 com.google.vending 等实用工具 ,并对用户隐藏其图标。 接下来,恶意软件检查目标手机上的应用程序,然后获取带有恶意广告模块的“补丁”识别 APK 的更新。为了完成更新安装过程,恶意软件利用 Janus 漏洞,该漏洞可以让其绕过 Android 的 APK 完整性检查。Janus 是一个可追溯到 2017 年的 Android 漏洞。 Check Point 估计,每个受害者手机上可能有多达 112 个应用程序被那些显示广告的应用程序所取代。 他们写道:“一旦完成了杀毒链,Agent Smith 就会利用用户应用程序来显示广告,表面上只是用来推销广告,但是它的运营商可能会利用它来做更坏的事情,比如窃取银行凭证”。 Check Point 说,Agent Smith 潜伏在第三方应用商店,如 9 App,主要为印度用户,阿拉伯人和印度尼西亚用户服务。受感染数量最多的是印度(超过1 500万),其次是孟加拉国(超过250万)和巴基斯坦(近170万),印度尼西亚以 57 万个受感染的设备名列第四。但是还发现,在沙特阿拉伯(245 K)、澳大利亚(141 K)、英国(137 K)和美国(303 K)的设备上也出现了感染。 该恶意软件并不局限于只感染一个应用程序,它将取代其目标列表中的任何和全部,受感染的设备将逐渐得被重新检查,并提供最新的恶意补丁。恶意软件中被编码的目标 Android 应用程序列表包括以下内容: • com.whatsapp • com.lenovo.anyshare.gps • com.mxtech.videoplayer.ad • com.jio.jioplay.tv • com.jio.media.jiobeats • com.jiochat.jiochatapp • com.jio.join • com.good.gamecollection • com.opera.mini.native • in.startv.hotstar • com.meitu.beautyplusme • com.domobile.applock • com.touchtype.swiftkey • com.flipkart.android • cn.xender • com.eterno • com.truecaller 研究人员分析说:“我们将 Agent Smith 传播与位于广州的一家中国互联网公司联系起来,该公司的前端合法业务是帮助中国 Android 开发者在海外平台上发布和推广他们的应用程序”。 Check Point 报告说,Agent Smith 在 Android 5.0 版(40%)和 6.0 版(34%)的手机中最为普遍,9% 的受感染手机的是 8.0 版。谷歌最新版本的 Android 操作系统是 Pie,版本为 9.0。 研究人员认为: Agent Smith 提醒我们,仅靠系统开发人员的努力还不足以建立一个安全的 Android 生态系统,它需要系统开发人员、设备制造商、应用程序开发人员和用户的关注和行动,以便及时修补、分发、采用和安装漏洞修补程序。   (稿源:开源中国,封面源自网络。)

美国海岸警卫队针对破坏船舶计算机系统的恶意软件发出警告

据外媒ZDNet报道,美国海岸警卫队在过去三个月中发出了两次安全警报,突出了商业海船上的网络安全实践问题。第一个警报是在5月下旬发出的,海岸警卫队官员警告说,持续不断的电子邮件鱼叉式网络钓鱼浪潮将恶意软件传播到商业船只。 这些电子邮件来自美国港口国监管局(PSC)的官方机构,海岸警卫队的警报被发送给海事利益相关者,使他们对正在针对船舶运营商的持续攻击保持警惕。当时,海岸警卫队将这次malspam活动分发的恶意软件描述为“旨在破坏船载计算机系统的恶意软件”,但没有详细说明或提供任何副本或文件哈希。 然而,美国海岸警卫队周一发出了第二次警报。美国海岸警卫队表示,在发现一起网络安全事件影响到一艘开往纽约港的国际航行中的船只后,该机构发布了第二次警报。 海岸警卫队官员表示,事件发生在2019年2月,该船“报告称他们正在经历一场影响其船上网络的重大网络事件。” 海岸警卫队和其他机构随后进行的调查发现,“虽然恶意软件严重降低了机载计算机系统的功能,但基本的船舶控制系统并未受到影响。” “尽管如此,机构间的反应[团队]发现该船只在没有有效的网络安全措施的情况下运行,使关键的船舶控制系统面临重大漏洞,”海岸警卫队说道。 海岸警卫队没有说明2月的这起事件是否是由它在5月警报中检测到并描述的同一恶意软件引起的。 除了提醒海事利益相关者最近发生的攻击事件外,海岸警卫队官员还包括有关基本网络安全实践的指导,这些实践可用于改善船上发现的计算机网络的安全状况。总结一下,这些是: 实施网络分段。 为每个员工创建网络配置文件,需要唯一的登录凭据,并仅限于必要的权限 警惕外部媒体 安装防病毒软件 保持软件更新 “目前尚不清楚这艘船是否能代表深水船只上的网络安全现状,”海岸警卫队说道。“但是,由于鼠标点击控制引擎,并且越来越依赖电子制图和导航系统,使用适当的网络安全措施保护这些系统对于控制船舶的物理访问或对传统机器进行日常维护至关重要。海事界认识到需要并实施基本的网络措施,以适应不断变化的技术和不断变化的威胁形势,“该机构说道。 对于行业专家来说,美国海岸警卫队最近发布的两个安全警报并不令人惊讶。由一个由21个国际航运协会和行业组织组成的集团在2018年12月发布的一份报告强调了船上的大量网络安全问题,调查人员多次发现勒索软件、USB恶意软件和蠕虫。 今年4月,澳大利亚网络安全中心发布了所谓的Essential Eight–一个缓解策略列表,组织可以用它作为改善他们网络弹性的起点,也可以应用于安装在船上的计算机网络。   (稿源:cnBeta,封面源自网络。)

黑客组织 TA505 正在垃圾邮件活动中使用新的恶意软件 Gelup 和 FlowerPippi

据Trend Micro的研究人员称,TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件,它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现,在今年6月,有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序,其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。 TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后,通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道,少量垃圾邮件样本还使用了恶意的URL,导致名为FlawedAmmyy的远程访问木马(RAT)下载。 垃圾邮件样本 (Proofpoint) 新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术,这是“模拟受信任目录(欺骗受信任目录中文件的执行路径),滥用自动提升的可执行文件,并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术,并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长,恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务,或者添加注册表运行项,这取决于用户权限。 Gelup执行的命令(Trend Micro) FlowerPippi是黑客组织TA505最近部署的第二个恶意软件,除了后门功能外,它还具有下载技巧,使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出,该后门用于收集和过滤受害者电脑中的信息,并运行从命令控制(C2)服务器接收到的任意命令。 FlowerPippi 执行的命令 (Trend Micro) 黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外,微软安全情报部门在大约两周前发布了一条安全警告,称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马(RAT)使韩国的目标受感染。 Redmond的研究人员表示,虽然黑客们利用的微软办公软件漏洞(CVE-2017-11882 )在两年前就已经被修补,但黑客们仍广泛地利用该漏洞进行攻击,“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一,可以用于各种各样的攻击。大约在一周前,Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马(RAT)的活动。 TA505黑客组织至少从2014年第三季度起就变得活跃起来[1,2],其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

首款利用 DNS over HTTPS 隐藏网络流量的恶意软件 Godlua 已经现身

为了提升域名解析服务的安全性,行业内推出了叫做 DNS over HTTPS 的解决方案(简称 DoH)。然而 Network Security 研究实验室的伙计们,已经发现了首个利用 DoH 协议的恶意软件,它就是基于 Lua 编程语言的 Godlua 。这个名字源于 Lua 代码库和七种一个样本源码中包含的神奇字符 God 。 这款后门程序可利用 DoH 来掩盖其 DNS 流量 基于 HTTPS 的域名解析服务的增长势头一直很强劲,去年 10 月,互联网工程任务组正式发布了 DoH(RCF 8484)。 尽管并不是新鲜的概念,但首个利用 DoH 的恶意软件,还是让行业提前感受到了影响未来的新一轮正邪攻防战。 Netlab 研究人员在报告中提到,他们发现了一个可疑的 ELF 文件,但最初误以为它只是一款加密货币挖矿木马。 尽管尚未确认或否认任何加密货币的挖掘功能,但他们已证实其行为更像是分布式拒绝服务(DDoS)机器人。 (截图 via TechSpot) 研究人员观察到,该文件会在被感染系统上作为“基于 Lua 的后门”来运行,且注意到至少有一次针对 liuxiaobei.com 的 DDoS 攻击。截至目前,Netlab 已经发现了至少两个未利用传统 DNS 的变种。 借助 DNS over HTTPS,恶意软件可通过加密的 HTTPS 连接来隐藏其 DNS 流量,使得 Godlua 能够躲过 DNS 监控,这已经足够让网络安全专家感到震惊。 据悉,谷歌和 Mozilla 都已经提供了对 DoH 的支持,前者甚至将 DoH 作为其公共 DNS 服务的一部分。此外,Cloudflare 等互联网基础设施服务提供商,也提供了对 DoH 的支持。   (稿源:cnBeta,封面源自网络。)

研究发现微软 OneDrive 上存储的恶意软件突然大幅增加

微软OneDrive用于托管恶意文件的使用率显着上升。根据FireEye报告显示,微软OneDrive上一季度托管恶意文件的用户数量激增60%以上,而此前仅上升了一位数百分点。据FireEye称,OneDrive在托管恶意文件的使用率方面,已经超过Dropbox、Google Drive和WeTransfer等竞争对手。 另一方面,Dropbox虽然没有看到与微软OneDrive几乎相同的托管恶意文件用户数量激增,但仍保持着恶意文件使用量季度环比增长的最高比例,使其成为存储此类文件最常用的托管服务。攻击者发现这些知名和可信的站点很有用,因为它们绕过了安全引擎执行的初始域信誉检查。 攻击者没有直接向目标发送包含恶意内容附加文件的电子邮件,而是将内容上载到文件共享站点。目标受害者从服务接收到一个新文件正在等待他们的通知,以及一个下载该文件的链接。其中一些服务还提供文件预览,显示URL中的内容,无需下载文件即可单击该URL。这使得攻击非常有效,而且很难被发现。 该报告还建议用户不要将敏感或机密文档存储在公共托管的文件共享网站上,因为当今数百万受害者的电子邮件帐户遭遇大量网络钓鱼。   (稿源:cnBeta,封面源自网络。)

美军网络司令部已在俄罗斯电网植入恶意软件 必要时可使其瘫痪

最新披露的报告显示,美军的网络司令部(Cyber Command)在过去一年中对俄罗斯的攻击规模要比以往任何时候都更加激进,并且在控制俄罗斯电网的多个系统中植入了“可以使其瘫痪的恶意软件”。 俄罗斯的电网 纽约时报本周六的报道中,援引匿名官员的话说这主要是由于自去年夏天开始美国国会放宽了相关的法律授权限制,网络司令部的战略从防御态势转变为进攻性态势,从而允许在发生冲突的时候在网络攻击中造成严重的瘫痪攻击。 纽约时报表示网络司令部的行动由美国国防部长确认,并没有经过美国现任总统特朗普的授权。最近一些针对俄罗斯的攻击行动是美国国会于2018年通过的一项军事授权法案下进行的,该法案允许在网络空间中“秘密进行军事活动”以威慑,保护或防御针对美国的攻击或恶意网络攻击。 纽约时报还表示,网络司令部去年在13号国家安全总统备忘录中获得了美国总统赋予的新权力,允许对俄罗斯小型黑客团体发起攻击,并支持“打压”Internet Research Agency(被认为干预2016年美国总统大选,充斥各种假新闻和钓鱼活动的俄罗斯黑客机构)。   (稿源:cnBeta,封面源自网络。)

谷歌剖析 Triada 安卓病毒:在手机发售前感染系统镜像

继俄罗斯安全公司卡巴斯基 3 年前首次公开报告之后,今天谷歌安全博客发文称通过他们的供应链已经确认部分 Android 设备的固件更新已经被感染,以便于黑客安装恶意程序。黑客利用名为“Triada”的恶意程序感染这些固件,卡巴斯基于 2016 年 3 月的官方博客中首次描述了这种恶意软件。 该恶意程序可以和众多命令、控制中心进行通信,并允许安装可用于发送垃圾邮件和显示广告的应用程序。2017年7月,反病毒厂商 Dr Web 发现 Triada 被内置到许多 Android 设备的固件中,其中包括 Leagoo M5 Plus,Leagoo M8,Nomu S10 和 Nomu S20 等等。而且由于该恶意程序属于操作系统本身,因此无法轻松删除。 谷歌 Android 安全和隐私团队成员 Lukasz Siewierski 于周四发布了一篇详细的博客文章,证实了 Web 博士近两年前的报道。他在博文中写道 “Triada 应用程序的主要目的是在显示广告的设备上安装垃圾应用程序。” 谷歌在博文中写道:“Triada 的创建者通过垃圾应用上显示的广告来牟利。和其他同类恶意软件相比,Triada 更加复杂且不常见。Triada 是从 rooting trojans 木马发展而来的,但随着 Google Play Protect 对防御这种攻击的增强, Triada 恶意程序被迫转型以系统镜像后门方式进行感染。但是,由于 OEM 合作和我们的推广工作,原始设备制造商准备了系统映像,其安全更新消除了 Triada 感染。” 尽管 Siewierski 在博文中并未提及具体的手机型号,但是提到了几家已经受到感染的手机厂商名称。他表示:“Triada在量产环节中通过第三方来感染设备系统镜像。有时 OEM 厂商希望包含不属于 Android 开源项目的功能,例如面部解锁等。” 他表示:“OEM 可能会与可以开发所需功能的第三方合作,并将整个系统映像发送给该供应商进行开发。基于分析,我们认为使用 Yehuo 或 Blazefire 的供应商返回了感染 Triada 恶意程序的系统固件。”   (稿源:cnBeta,封面源自网络。)

巴尔的摩勒索攻击事件已造成 1800 万美元损失

美国马里兰州巴尔的摩在5月上旬遭遇了严重的网络攻击,导致市政系统近乎瘫痪。本周二,市长Bernard “Jack” Young及其内阁成员召开新闻发布会介绍了恢复工作的最新进展。该市财政部部长预估本次网络攻击造成了将近1000万美元的损失,这还不包括由于逾期和城市无法处理付款而造成的800万美元损失。 目前恢复工作进展并不顺畅,只有不到三分之一的公务员获得了新的登陆凭证,而且该市的很多业务目前还只能通过纸张的方式进行处理解决。 市长Young在新闻发布会上强调:“所有城市服务依然是开放的,巴尔的摩同样也欢迎企业入驻”。市长罗列了在网络中断期间仍在继续运作的关键服务,该市财务总监亨利·雷蒙德(Henry Raymond)称目前诸多政府系统虽然不理想,但仍可以管理使用。 目前部分电子邮件和电话服务已经恢复,很多系统也重新上线,但是支付处理系统和其他用于处理城市交易的工具仍处于手动解决状态下。公共工程部主任Rudy Chow警告居民预计未来的水费将超出正常水平,因为该市的智能电表和水费计费系统仍处于脱机状态,无法生成账单。 停车票以及城市的超速、闯红灯摄像头拍摄的罚单,如果有收到纸质罚单可以亲自支付。该市政府官员表示,截至5月4日,该市已恢复所有停车和摄像机违规行为的数据,但仍缺乏查看违规行为的能力。对于与城市的许多其他互动也是如此,目前需要邮寄或手工递送纸质文件和手动变通办法。 公务员被要求以个人账号来接收新网络和邮件凭证,并且在允许获得新密码之前显示公务员编号。市长副总参谋长Sheryl Goldstein表示,尽管这是一个耗时的过程,巴尔的摩市的信息技术办公室(BCIT)正在全天候工作推动恢复工作,其中有超过10,000名城市员工需要完成整个过程并分散在城市各处的办公室。   (稿源:cnBeta,封面源自网络。)

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nanshou”,且这一攻击源头是中国黑客。 报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。 在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。 然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC(危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。 调查报告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   (稿源:开源中国,封面源自网络。)