分类: 恶意软件

恶意 SDK 收集 Facebook 和 Twitter 用户个人数据

据Facebook和Twitter透露,一些第三方应用未经用户同意便获取了用户的个人信息。 这些第三方iOS和Android应用程序使用了恶意SDK。SDK被用来展示广告,不过专家们注意到,一旦使用这些应用程序将社交网络的用户登录到任一服务中,SDK就会静默访问其个人资料并收集信息,包括用户名,电子邮件地址和推文。 这些恶意SDK是由营销公司OneAudience开发的。推特已经将这个消息告知其用户。 “我们最近收到了一份有关由恶意SDK的报告。 这个问题不是由于Twitter软件中的漏洞所致,而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定,可以嵌入到移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞访问并获取个人信息(电子邮件,用户名,最新一条推文)。 ” 即使专家没有发现证据表明恶意SDK会被用来控制Twitter帐户,他们仍然没有排除黑客可能使用SDK进行攻击的可能性。 Twitter知道恶意SDK已经通过Android设备访问某些Twitter帐户的个人数据,但iOS设备还没有出现过类似的事件。 Twitter向Google和Apple以及其他同行报告了此事件,并呼吁采取相对应的措施来阻止包含其代码的恶意SDK和应用。 Facebook发现了两个具有类似目的SDK,它们分别是One Audience和Mobiburn。 据称,恶意SDK收集了个人资料信息,包括姓名,性别和电子邮件地址。 Facebook发言人告诉 The Register: “安全研究人员最近向我们通报了One Audience和Mobiburn,他们收买开发人员,以在应用中使用恶意SDK。” “经过调查后,我们根据违反平台政策的原因将其应用程序从平台上删除,并向One Audience和Mobiburn发出了终止信函。如果用户的操作可能使他们的身份信息遭到泄露,我们将提示他们保护好自己的姓名,邮箱和性别等信息。我们希望用户在允许第三方应用程序访问其社交媒体帐户时保持谨慎。” oneAudience没有对此事件发表评论,但与此同时MobiBurn发表声明,否认其正在收集Facebook数据,并宣布对使用其SDK的第三方应用程序展开调查。 “MobiBurn没有收集,共享或分享来自Facebook的数据获利。 MobiBurn主要通过捆绑销售来充当数据业务的中介,例如捆绑第三方开发的SDK。 MobiBurn 无权访问移动应用程序开发人员收集的任何数据,也不处理或存储此类数据。 我们仅向移动应用程序开发人员介绍数据运营公司。不过MobiBurn目前已经停止了所有活动,直到我们结束对第三方的调查。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软披露恶意挖矿软件 Dexphot 完整信息:全球已有 8 万台设备受感染

微软安全工程团队今天披露了新型恶意程序Dexphot的完整信息,它主要劫持感染设备的资源来挖掘加密货币,并为攻击者牟利。微软表示自2018年10月以来不断有Windows设备受到感染,并在今年6月中旬达到峰值达到80000多台,微软通过部署相关策略以提高检测率和阻止攻击,随后每天感染的设备数量缓慢下降。 虽然Dexphot的最终目的就是利用受害者设备资源来挖掘加密货币,但是该恶意软件的复杂性非常高,其作案手法和技术也非常特别。微软Defender ATP研究团队的恶意软件分析师Hazel Kim说:“ Dexphot不是引起主流媒体关注的攻击类型。”他指的是恶意软件主要是为了挖掘加密货币的,而不是窃取用户数据。 Kim继续说道:“这是在任何特定时间都活跃的无数恶意软件活动之一。它的目标是在网络犯罪分子中非常普遍,就是安装一个窃取计算机资源的程序,通过挖矿为攻击者创造收入。然而,Dexphot是采用了远超日常威胁的复杂程度和发展速度,主要是为了绕开各种安全软件的保护非法牟利。” 在与ZDNet共享的一份报告中,Kim详细介绍了Dexphot的高级技术,例如,使用无文件执行,多态技术以及智能和冗余启动持久性机制。根据Microsoft的说法,Dexphot被安全研究人员称之为“第二阶段有效负载”,这是一种已经投放到已经被其他恶意软件感染的系统上的恶意软件。   (稿源:cnBeta,封面源自网络。)

勒索软件渗透纽约警察局的指纹数据库 导致系统关闭

据外媒Softpedia报道,在一个承包商连接到网络以配置数字显示器后,勒索软件感染了运行纽约警察局(NYPD)指纹数据库的计算机。该事件发生在2018年10月,导致NYPD在总共23台计算机上发现感染后,关闭了LiveScan指纹跟踪系统。但是,该部门官员声称该感染“从未执行”,这意味着勒索软件没有造成任何损害,但是NYPD出于谨慎考虑而决定使该系统关闭。 NYPD官员在接受《纽约邮报》采访时表示,该软件已重新安装在200台计算机上,并且指纹数据库于第二天早上恢复上线。NYPD负责信息技术的副局长Jessica Tisch表示:“我们想深入了解这一点。对于我们来说,深入了解这一点真的很重要。到周六清晨—我记得它仍然尚未恢复—我们正在使系统上线。” 勒索软件通常会锁定文件的访问权限,直到受害者支付解密密钥的费用为止。当承包商插入他们用来配置数字显示器的NUC微型PC时,该勒索软件便感染了NYPD网络。NYPD表示,他们确实对此事件对承包商提出了质疑,但未给予任何处罚。 此外,NYPD声称其网络中只有约0.1%的计算机受到了影响,而没有任何文件被锁定。该机构尚未共享有关感染背后的黑客团体,勒索软件和操作被感染设备的承包商的详细信息。 然而尽管NYPD已经避免了一场网络噩梦,但该部门网络中潜在的勒索软件感染可能会带来灾难性的影响。NYPD数据库还连接到更大的州级别自动指纹识别系统,该系统拥有大约700万个文件,如果被勒索软件感染可能会被锁定,并且在恢复之前可能将使系统连续数天保持脱机状态。   (稿源:cnBeta,封面源自网络。)

“窃密寄生虫”木马群发邮件传播,危害北上广等地众多企业

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/846.html 一、背景 腾讯安全御见威胁情报中心检测到以窃取机密为目的的大量钓鱼邮件攻击,主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱,然后批量发送伪装成“采购订单”的钓鱼邮件,邮件附件为带毒压缩文件。若企业用户误解压执行附件,会导致多个“窃密寄生虫”(Parasite Stealer)木马被下载安装,之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。 御见威胁情报中心根据一个窃密木马PDB信息中包含的字符“Parasite Stealer”(窃密寄生虫),将其命名为Parasite Stealer(窃密寄生虫)。 根据腾讯安全御见威胁情报中心的监测数据,受Parasite Stealer(窃密寄生虫)木马影响的地区分布特征明显,主要集中在东南沿海地区,其中又以广东、北京和上海最为严重。这些地区也是我国外贸企业和互联网企业相对密集的省市。 此次攻击影响约千家企业,从行业分布来看,Parasite Stealer(窃密寄生虫)病毒影响最多的是贸易服务、制造业和互联网行业。 二、详细分析 “窃密寄生虫”(Parasite Stealer)木马的主要作案流程为:通过邮件群发带毒附件,附件解压后是伪装成文档的Jscript恶意脚本代码,一旦点击该文件,脚本便会拷贝自身到启动项目录,然后通过写二进制释放木马StealerFile.exe。StealerFile.exe进一步从服务器下载名为“q”,”w”,”e”,”r”,”t”的多个木马盗窃中毒电脑机密信息,并将获取到的信息通过FTP协议上传到远程服务器。 钓鱼邮件 钓鱼邮件内容如下,附带的邮件附件名为K378-19-SIC-RY – ATHENA REF. AE19-295.gz。   附件 附件解压后为Jscript脚本文件K378-19-SIC-RY – ATHENA REF. AE19-295.js,该文件执行后会立即拷贝自身到全局启动目录下。 Jscript脚本进一步通过写二进制释放木马文件StealerFile.exe,StealerFile.exe会使用Word.exe程序的图标来进行伪装。 随后StealerFile.exe从服务器依次下载q.exe,w.exe,e.exe运行,若判断系统为64位还会下载r.exe,t.exe运行。 q.exe q.exe(64位对应t.exe)为密码窃取程序。chrome浏览器加密后的密钥存储于%APPDATA%\..\Local \Google\Chrome\User Data\Default\Login Data下的一个SQLite数据库中,使用CryptProtectData加密。首次登陆某个网站时,Chrome会询问是否记住密码,若选择是则浏览器将密码保持到SQLite数据库中。  木马从数据库中抽取出action_url,username_value 和password_value,然后调用Windows API中的CryptUnprotectData函数来破解密码。 64位版本t.exe 64位版本t.exe文件PDB为 E:\Work\HF\KleptoParasite Stealer 2018\Version 6\3 – 64 bit firefox n chrome\x64\Release\Win32Project1.pdb Firefox登录密码加密时使用的Signons.sqlite和key3.db文件均位于%APPDATA%\Mozilla \Firefox\Profiles\[random_profile]目录下的sqlite数据库中。木马使用NSS的开源库中的函数来破解加密所使用的SDR密钥,进而破译Base64编码的数据。 w.exe和e.exe w.exe目前无法下载,e.exe的功能为获取当前计算机所使用的外网IP地址,并将其添加到待上传文件DXWRK.html中。 r.exe r.exe为邮箱密码窃取程序。通过读取 “Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook\\9375CFF0413111d3B88A00104B2A6676″等位置的注册表来获取Outlook保存的密码信息。 待下载的各个模块完成密码搜集工作后,StealerFile.exe尝试连接到指定的FTP服务器,准备上传机密信息文件,代码中保存有5组地址和登录所需账号密码可供登录使用。 (为防止受害者信息泄露,做打码处理) FTP服务器地址: “ftp.secures******.com” “ftp.driv******..com” “45.137.***.95” “ftp.an******.com” “fine.tec******” 登录用户名: “admi*****” “insan*****on.com” “lenfi**********net.com” “a$%2*****23” “8347**********1” 登录密码: “ad******” “%*h#$j#******” “W@T9$$******” “1pass4ll@let******” 连接服务器成功后,通过调用FtpPutFileA函数将存有账号密码等机密信息的本地文件\%Temp%\DXWRK.html上传为服务器指定文件<random>_.htm。 我们利用木马中的账号密码登录到其中一个FTP服务器,可以看到其保存的文件列表如下。 下载某个服务器上的.htm文件,其内容为用户使用Firefox,Chrome浏览器登录某些网站时使用的用户名和密码等信息。 三、安全建议 建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs@Parasite Stealer 伪造的发件邮箱: ayp@hct-battery.com sales5@amotach-cn.com admin@ticctv.com marketing@med-linket.com wy-sh@szzhenjia.com g-factory@paiying.com.tw fm@saspg.com hoteamsoft@hoteamsoft.com zhong.fei.ran@tateyama.com.cn info@space-icecream.com chu.yi.ye@tateyama.com.cn su.jia.min@tateyama.com.cn cnsy@quartzglasschina.com admin@tingyimould.com overseas_sales@waxpi.com zhong.fei.ran@tateyama.com.cn info@tongyongfans.com liuxiong@xinteenergy.com chu.yi.ye@tateyama.com.cn g-factory@paiying.com.tw wangjc96@tsinghua.org.cn zhong.fei.ran@tateyama.com.cn pzg@teccable.com zsh@tgc.edu.cn liucong@mail.cmec.com baiyang@baiyangcy.com xiongyi@yanshun-sh.com su.jia.min@tateyama.com.cn guokai@ruiduo.net.cn wy-sh@szzhenjia.com olive@ykxfwa.com MD5 b213bf2fb08b6f9294e343054c8231f4(K378-19-SIC-RY – ATHENA REF. AE19-295.gz) 67eabc565db23cf5a965309eaa62228d(K378-19-SIC-RY – ATHENA REF. AE19-295.js) a5fe827cf2bc87008588f633a5607755(StealerFile.exe) 15a02f0d086df6a9082667635d524e92(q.exe) 499de77bc4d8d91a62e824ce40b306bd(e.exe) 16690c337d1d78ac18f26926c0e0df7b(r.exe) 1cd8b31b1aef17f1901db887b7de6f2d(t.exe) URL http[:]//drajacoffee.com/images/produk/t http[:]//drajacoffee.com/images/produk/q http[:]//drajacoffee.com/images/produk/e http[:]//drajacoffee.com/images/produk/r http[:]//drajacoffee.com/images/produk/w ftp[:]//ftp.sec*****g.com ftp[:]//ftp.dr*****.com ftp[:]//45.137.***.*** ftp[:]//ftp.a*****.com  

两名黑客通过 SIM 卡交换攻击窃取 55 万美元加密货币,随后被捕

  今年2月美国首次对 SIM卡交换攻击予以定罪,此后,美国司法部对多人提起诉讼,指控他们从受害者手中窃取数百万美元加密货币。 美国当局于周四从马萨诸塞州逮捕了涉嫌网络犯罪的黑客,并指控他们在2015年11月至2018年5月之间通过SIM卡交换攻击从至少10名受害者中窃取了55万美元的加密货币。 SIM交换或SIM劫持涉及到了移动电话提供商的社交服务。黑客假冒用户身份,要求提供商将电话号码移植到自己的SIM卡上。 一旦成功,攻击者就可以获取目标手机上的一次性密码,验证码和双重验证,以便重置密码并获得对用户的社交媒体,电子邮件,银行和加密货币帐户的访问权限。 黑客还针对加密货币公司的高管 根据起诉书,两名被告Eric Meiggs(20)和Declan Harrington(21)不仅攻击加密货币金额较高的用户,他们还通过攻击加密货币公司高管谋取巨额利润。 除此之外,两名被告还被指控盗取受害者的社交媒体帐户,其中包括两名“具有高价值或’OG’(’黑帮’的俚语)的社交媒体帐户”。 该二人已被控以11项指控,罪名是: ·串谋电汇欺诈 ·八项电汇欺诈罪 ·计算机欺诈和滥用罪 ·严重的身份盗窃罪 如果被判诈骗罪,这两名被告将面临最高20年监禁的处罚。同时,严重的身份盗窃指控最高可判处2年有期徒刑。 如何保护自己免受SIM卡交换攻击 在发生几次“ SIM卡交换”事件之后,美国联邦贸易委员会(FTC)于10月发布了准则列表,用户可以遵循这些准则来保护自己免受SIM交换攻击: 1.不要回复要求个人信息的电话,电子邮件或短信。 2.限制在线共享的个人信息。 3.设置账户PIN或密码。 4.对于具有敏感信息或财务信息的帐户建议使用更强的身份验证。 如果您遭遇了SIM卡交换攻击,可以采取一些抢救措施,例如: 1.立即联系您的服务提供商,举报欺诈行为并重新取回您的电话号码,并且立即更改您的帐户密码。 2.检查您的信用卡,银行和其他金融帐户是否被盗刷,如果发现任何损失,立马向银行报告。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WhatsApp 存在新漏洞, 黑客可能秘密在你的设备上安装间谍软件

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞,该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞(CVE-2019-11931)容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞,攻击者需要的只是目标用户的电话号码,并通过WhatsApp向他们发送恶意制作的MP4文件,该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台(包括Google Android,Apple iOS和Microsoft Windows)的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告,受影响的应用程序版本列表如下: 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前,所有用户需要将WhatsApp更新至最新版本,并禁止从应用程序设置中自动下载图像,音频和视频文件。 WhatsApp告诉THN:“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告,并根据行业最佳实践进行了修复。在这种情况下,没有理由相信用户受到了影响。”   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

洛杉矶 DA 无故发布公共 USB 充电座可能感染恶意软件的警告

据外媒报道,南加州的官员发布了一份公告,宣布公共智能手机充电座并不安全。该机构认为便捷的USB充电接口可以使用户感染恶意软件。但是,目前没有实例可以指出发生这种情况的地方。周五洛杉矶地区检察官办公室警告旅行者不要使用公共USB充电座,因为这些设备可能会感染恶意软件,从而窃取数据或锁定手机。 “在USB充电器欺诈(通常称为“juice-jacking”)中,犯罪分子将恶意软件加载到充电座上,从而可能感染毫无戒心的用户的手机和其他电子设备。恶意软件可能会锁定设备或将数据和密码直接导出给欺诈者。” 洛杉矶地区检察官办公室承认其暂时没有遇到通过洛杉矶充电座感染某人设备的任何实例。它告诉TechCrunch,在美国东海岸有一些案件,但无法提供任何可以证实的细节,例如地点或日期。 此外,安全研究员Kevin Beaumont在一条推文中表示,他从未见过证据表明公共智能手机充电座使用了恶意软件。 但这并不是说不存在这种可能性。几位研究人员开发并展示了经过修改或克隆的充电器和充电电缆,它们可以远程“嗅探”数据或在设备上执行命令,但是这些仅仅是概念验证项目。 美国当局也不是第一次基于类似理由发布咨询。早在2016年,在安全研究员Samy Kamkar演示了他的KeySweeper概念验证后,FBI发出了警告。它是一个Arduino板,尺寸小到可以放入USB充电器的外壳,该充电器可以秘密地记录附近微软无线键盘的敲击数据。   (稿源:cnBeta,封面源自网络。)

BuleHero 4.0 挖矿蠕虫真疯狂,超十种方法攻击企业,已有3万电脑中招

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/kHF-xcGiQTUKTlleOxfHdg 一、背景 腾讯安全御见威胁情报中心检测到挖矿蠕虫病毒BuleHero于11月11日升级到4.0版。在此次更新中,BuleHero引入了多种新漏洞的使用,包括2019年9月20日杭州警方公布的“PHPStudy“后门事件中涉及的模块漏洞利用。 该团伙善于学习和使用各类Web服务器组件漏洞。包括以前用到的Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化任意代码执行漏洞,又引入了Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用,使得其攻击方法增加到十个之多。   BuleHero在进入目标系统后,首先通过命令下载downlaod.exe,然后downlaod.exe下载主模块swpuhostd.exe,swpuhostd.exe释放密码抓取工具,端口扫描工具,永恒之蓝攻击工具进行扫描和攻击,同时依次进行行多种web服务组件的探测和漏洞利用攻击,并在中招电脑下载挖矿木马和远程控制木马。   根据腾讯安全御见威胁情报中心数据,BuleHero挖矿蠕虫病毒目前感染超过3万台电脑,影响最严重地区为广东,北京,江苏,山东等地,影响较严重的行业分别为互联网,科技服务,贸易服务业。 二、详细分析 攻击和传播 攻击模块swpuhostd.exe将自身注册为服务“mekbctynn”,然后释放密码抓取工具mimikatz,扫描工具,永恒之蓝攻击工具到C:\Windows\tqibchipg\目录下。 vfshost.exe为mimikatz为密码抓取工具,可以从内存中获取电脑登录时使用的账号密码明文信息,BuleHero使用抓取到的密码进行横向传播。 tcnuzgeci.exe和trctukche.exe都是端口扫描工具,扫描ip.txt中指定的IP范围,探测139/445/3389/8983等端口,将结果保存至Result.txt中,并在后续的漏洞攻击过程中使用。 而UnattendGC目录下依然存放的是永恒之蓝攻击包文件,目前使用的漏洞攻击工具包括永恒之蓝,双脉冲星,永恒浪漫和永恒冠军。 攻击模块swpuhostd.exe执行以下漏洞攻击过程 Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615),首先通过漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell执行传入的命令下载木马。 Apache Struts2远程代码执行漏洞(CVE-2017-5638),Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行,漏洞影响范围:Struts 2.3.5 – Struts 2.3.31,Struts 2.5 –Struts 2.5.10。 Weblogic远程代码执行的反序列化漏洞CVE-2018-2628,漏洞利用了T3协议的缺陷实现了Java虚拟机的RMI:远程方法调用(RemoteMethod Invocation),能够在本地虚拟机上调用远端代码,攻击者利用此漏洞远程执行任意代码。 Thinkphp V5漏洞(CNVD-2018-24942),该漏洞是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。 Weblogic反序列化远程代码执行漏洞(CVE-2019-2725),由于weblogic中wls9-async组件的WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。 Drupal远程代码执行漏洞CVE-2018-7600,Drupal对Form API(FAPI)AJAX请求的输入环境不够,导致攻击者可以将恶意负载注入内部表单结构,从而执行任意代码。 Apache Solr 远程命令执行漏洞CVE-2019-0193,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,导致攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行。 PHP的php_xmlrpc.dll模块中的隐藏后门利用,影响版本:phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)。该后门利用事件今年9月由杭州公安在《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》中披露,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭黑客篡改并植入“后门”,后门位于程序包自带的PHP的php_xmlrpc.dll模块中,攻击者构造并提交附带恶意代码的请求包,可执行任意命令。攻击模块swpuhostd.exe执行爆破过程 IPC$远程爆破连接,爆破登录成功后在目标机器利用Psexec工具或者利用WMIC执行远程命令。 在攻击模块的代码中还包含3389(RDP服务)端口扫描行为,虽然目前未根据扫描结果进行下一步动作,但由于该团伙十分活跃,推测其可能在后续的更新中添加RDP漏洞(BlueKeep)CVE-2019-0708的攻击代码。腾讯安全威胁情报中心监测数据表明,仍有相当比例的Windows电脑未修复CVE-2019-0708漏洞,该漏洞存在蠕虫病毒利用风险。 挖矿 BuleHero病毒攻击成功,会将挖矿木马释放到Windows目录下C:\Windows\Temp\geazqmbhl\hvkeey.exe,木马采用XMRig编译,挖矿使用矿池为mx.oops.best:80,mi.oops.best:443。 远程控制 释放远控木马到C:\Windows\SysWOW64\rmnlik.exe目录下,上线连接地址 ox.mygoodluck.best:12000。 三、安全建议 因该病毒利用大量已知高危漏洞攻击入侵,并最终通过远程控制木马完全控制中毒电脑组建僵尸网络,危害极大。腾讯安全专家建议企业重点防范,积极采取以下措施,修复安全漏洞,强化网络安全。   1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html   2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞。   XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598   Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx   3.定期对服务器进行加固,尽早修复服务器文档提及的相关组件安全漏洞,安装服务器端的安全软件;   4.服务器使用高强度密码,切勿使用弱口令,防止被黑客暴力破解;   5.使用腾讯御点终端安全管理系统拦截可能的病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html); 6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs IP 185.147.34.136 185.147.34.106 172.104.91.191 139.162.2.123   Md5 ecb3266326d77741815ecebb18ee951a 398fb3fed9be2941f3548a5d0d4b862c 6ef68c9b73b1beee2efabaf6dfe11051 f62a9a4720da8f4afb457569465c775c f89544ecbf66e93c2821625861ae8821 b1956fe89e3d032be3a06820c63f95a6   Domain fk.0xbdairolkoie.space zik.fxxxxxxk.me xs.0x0x0x0x0.club rs.s1s1s1s1s.fun qb.1c1c1c1c.best jz.1c1c1c1c.xyz ik.s1s1s1s1s.host ff.s1s1s1s1s.site eq.s1s1s1s1s.asia cu.s1s1s1s1s.pw ce.1c1c1c1c.club wiu.fxxxxxxk.me wc.fuckingmy.life upa2.hognoob.se upa1.hognoob.se uio.hognoob.se uio.heroherohero.info rp.oiwcvbnc2e.stream rp.666.stream qie.fxxxxxxk.me q1a.hognoob.se pxx.hognoob.se pxi.hognoob.se ox.mygoodluck.best oo.mygoodluck.best noilwut0vv.club mx.oops.best mi.oops.best li.bulehero2019.club heroherohero.info haq.hognoob.se fxxk.noilwut0vv.club fid.hognoob.se dw.fuckingmy.life cb.fuckingmy.life bk.oiwcvbnc2e.stream bk.kingminer.club bk.heroherohero.in aic.fxxxxxxk.me a88.heroherohero.info a88.bulehero.in a47.bulehero.in a46.bulehero.in a45.bulehero.in   URL http[:]//fk.0xbdairolkoie.space/download.exe http[:]//fk.0xbdairolkoie.space/ swpuhostd.exe http[:]//xs.0x0x0x0x0.club:63145/cfg.ini http[:]//qb.1c1c1c1c.best:63145/cfg.ini http[:]//ce.1c1c1c1c.club:63145/cfg.ini http[:]//jz.1c1c1c1c.xyz:63145/cfg.ini http[:]//eq.s1s1s1s1s.asia:63145/cfg.ini http[:]//rs.s1s1s1s1s.fun:63145/cfg.ini http[:]//ik.s1s1s1s1s.host:63145/cfg.ini http[:]//cu.s1s1s1s1s.pw:63145/cfg.ini http[:]//ff.s1s1s1s1s.site:63145/cfg.ini   参考链接: https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html

墨西哥国有石油公司 Pemex 遭遇勒索软件打击

周日,DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos(Pemex)的系统。 黑客向Pemex提出的金额为565 比特币。 此外,DoppelPaymer的TOR网站更新后的文字如下: “我们还收集了所有的私人敏感数据。如果你拒绝付款,我们会将这些数据传播给其他人,这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam(@malwrhunterteam),2019年11月12日 据该公司称,公司只有不到5%的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样,Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日,这家国有生产公司遭遇了网络攻击,这些攻击最终被及时消除,并且只影响了不到5%的个人计算机设备的运行。此次事件过后,Pemex重申其燃料生产,供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件,同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样,正不断面对来自黑客的攻击,因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本,它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

托管提供商 SmarterASP.NET 承认遭到勒索软件攻击 客户数据被加密

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称,遭到勒索软件的攻击,这也是2019年遭到攻击而下线的第三家大型网络托管公司,黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据,但尚不清楚该公司是支付了赎金,还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息,该公司承认遭到了黑客攻击。该消息说:“您的托管帐户受到攻击,黑客已经加密了您的所有数据。我们现在正在与安全专家合作,尝试解密您的数据,并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密,SmarterASP.NET官网也被迫下线。在周六全天下线之后,在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据,这些被加密的客户数据包括网站文件和后台数据库。   (稿源:cnBeta,封面源自网络。)