分类: 恶意软件

恶意软件攻击沙特阿拉伯石油工厂,试图引发爆炸

网络攻击可能会导致企业头痛和收入损失。但是,沙特阿拉伯一家石油化工企业于 8 月份在工厂发现的恶意软件旨在破坏设备,并可能导致爆炸,从而摧毁整个工厂。据调查人员表示,攻击失败的唯一原因是由于导致系统关闭的违规代码存在缺陷。如果恶意软件被正确写入,后果将不堪设想。 相信政治动机可能是这种攻击的原因,由于攻击代码的复杂性,相信背后有敌对政府支持。由于整个行业使用相同的工业控制器,因此担心可能会对其他化学加工设施发起相同的攻击。施耐德电气销售了超过 13000 套易于受到攻击的 Triconex 安全控制器系统。 软件分析显示,迄今尚未在任何其他系统上发现使用的代码。为了设计使用的恶意软件,开发人员能够提前访问 Triconex 安全系统组件以进行测试几乎是必不可少的。调查人员表示,所需零件在 eBay 上的价格约为 4 万美元。 美国政府实体和私人安全公司Mandiant仍然在处理这一事件。国家安全局,联邦调查局,国土安全部以及国防高级研究计划局(DARPA)都在努力收集尽可能多的信息。虽然关于攻击实际如何工作的信息很少,但相信恶意代码可以被远程注入,从而使得另一次攻击的威胁很高。 稿源:cnBeta,封面源自网络

攻击者推送后门版 BitTorrent 客户端, 12 小时内感染逾 50 万计算机

外媒 3 月 14 日消息,上周在俄罗斯和欧洲中部地区发生了大规模的恶意软件入侵事件, 几个小时内就有接近 50 万台的计算机受到加密货币挖掘软件的感染。虽然当时微软没有立即说明造成该事件的具体原因,不过却在近日透露这是由于 BitTorrent 客户端的后台版本 MediaGet 引起的。 根据微软方面的说法,攻击者针对 MediaGet BitTorrent 软件的更新机制,将其木马化的版本(mediaget.exe)推送到用户的计算机上。这个新的 mediaget.exe 程序与原始程序具有相同的功能,但是却具有额外的后门功能。 一旦用户更新,具有额外后门功能的恶意 BitTorrent 软件将会随机连接到其分布式 Namecoin 网络基础架构上的一个命令与控制(C&C)服务器(共四个服务器),并监听新的命令。随后,恶意软件立即从 C&C 服务器下载挖矿组件,开始利用受感染用户的计算机挖掘加密货币。除此之外,使用 C&C 服务器,攻击者还可以命令受感染的系统从远程 URL 下载和安装其他的恶意软件。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软:加密货币挖矿类恶意软件 已成为一项增长的威胁

微软刚刚刚宣布,加密货币挖矿类恶意软件,已经成为了当下增长的一项威胁。最新研究指出,自比特币价格在 2017 年出现暴涨以来,越来越多的犯罪分子将他们的注意力转向了加密数字货币,从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。微软通过 Windows Defender 收集的遥测数据得出了这项结论。 2017 年 9 月 – 2018 年 1 月间,平均每月都有大约 64.4 万台计算机受到了“加密货币挖矿类木马”的影响。微软猜测,这些挖矿类恶意软件,似乎是从勒索软件转移而来的: 有趣的是,在加密货币挖矿类恶意软件增长的同时、勒索软件的数量却有下降的趋势。 两者之间是否有必然的联系?网络犯罪分子是否已经将注意力转移到了加密货币的挖矿,并将之作为他们的主要收入来源? 虽然他们不大可能在短期内完全放弃随机勒索,但是从加密货币挖矿类木马的增多形势来看,攻击者肯定在探索这种非法赚钱的新方法的可能性。 自去年 9 月以来,微软已经注意到,被拿来挖矿的企业计算机有大量增加的趋势。应用程序的恶意看似不大,但它们多数未经授权;甚至员工可以利用巨大的算力,来赚一笔快钱。 微软指出,只要启用“潜在不需要的应用程序防护”(PUA)功能,企业就能够很好地预防这类情况的发生。仅在今年 1 月,加密货币挖矿就占据了 PUA 拦截量的 6% 。 最后,微软推荐用户和企业使用 Microsoft Edge 浏览器、Windows Defender SmartScreen、以及 Windows Defender 反病毒软件,以减少来自恶意网站的攻击。 稿源:cnBeta,封面源自网络;

恶意活动针对 Windows、Redis 及 Apache 服务器安装加密货币矿工

外媒 3 月 12 日消息,来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine,主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统,以触发 CVE-2017-9805 漏洞。 研究人员观察到,RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ,在将其存储到 Github 存储库后,编译并安装它。一旦获得访问主机的权限,攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload,并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue (永恒之蓝)进行传播,并且具有类似蠕虫的行为, 但它在逃避技术和功能方面更为复杂:RedisWannaMine 结合先进的攻击手段来增加感染率,从而获取更大的利益。除此之外,ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告,在 2 月 28 日至 3 月 8 日这段时间内,这场活动共感染了 1777 个服务器, 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角,未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

调查显示 macOS 恶意软件数量去年增加了 270%

之前人们普遍认为 MacOS 是 Windows 10 的安全替代品,因为 Apple 的操作系统不会受到病毒的感染。就安全性而言,Windows 和 MacOS 的安全性之争现在已经不再那么有意义了,因为两个平台都受到越来越多的恶意软件的攻击。 根据 Malwarebytes 安全报告显示,去年苹果公司桌面操作系统的恶意软件威胁增长率不低于 270%,并且今年年初发现了一共四个不同的重大安全漏洞。换句话说,MacOS 恶意软件在 2018 年的发展有可能持续增长,用户需要更加关注他们的网络安全。 Malwarebytes 以 OSX.MaMi 恶意软件为例,这种恶意软件试图引导用户互联网流量到钓鱼网站,并且劫持 DNS 设置。其它恶意软件如 Dark Caracal、OSX.CreativeUpdate 和 OSX.Coldroot 再次损害 MacOS 的安全性,正在运行苹果桌面操作系统的用户应该更加谨慎针,不要从不受信任的来源打开内容或访问他们不知道的网站。 Malwarebytes 表示,普通的 Mac 用户无法抵御恶意软件感染,更不用说广告软件和 PUP 带来的更常见威胁。苹果公司本身承诺在即将发布的版本中提高其安全性,因为 MacOS 和 iOS 在过去几个月中都遭受了几个主要漏洞的攻击。因此,苹果有望减少对新功能的关注,并花更多时间提升安全性和性能。 稿源:cnBeta,封面源自网络  

埃及电信公司将用户定向到加密货币的采矿网站当中

 3 月 9 日,据多伦多大学公民实验室发布的一份报告显示,在电信埃及分界点发现的设备正秘密地将埃及的互联网用户重定向到广告和加密货币的采矿网站当中。 据该技术研究实验室的报告解释说, 这项计划被称为 Adhose, 是通过 middleboxes、计算机网络设备来操作互联网流量。报告中还指出了埃及公民使用的两种重定向模式:“喷雾模式”和“涓滴模式”。“喷雾模式”指的是一个“中间框”,“当用户向任何网站发出请求时,他们会将埃及的互联网用户群定向到广告或加密货币的挖掘脚本中”,这种模式似乎“很少”使用。 而“涓滴模式”指的是,只要当用户尝试打开某些 url 时,那么就会将用户重定向到这些广告或挖掘脚本,特别是 CopticPope.org(以前是科普特东正教会的教皇的网站)和 babylon-x.com(formely a 色情网站)。 Monero 采矿平台的在线广告替代品 Coinhive,也被列入了多家公司的链接列表中,以便对埃及用户进行重定向。 Coinhive 曾被认为与在 2018 年 1 月底发生的一场大规模的案列联系在了一起。当时黑客们用 Coinhive 脚本运行 YouTube 广告, 这是暗中耗尽用户的 CPU 资源进行挖掘的。而美国有线电视网 Showtime 也被发现在去年 9 月的两个网站上使用 Coinhive 插播广告作为替代广告,而这并没有通知他们的客户。在 Showtime 对挖掘剧本的偷偷使用曝光后,Coinhive 宣布,在使用他们的电脑来挖掘 Monero 之前,它将寻求用户的许可。 据公民实验室的报告显示,同样的 middlebox 也负责在埃及的互联网审查, 阻止人权观察网站和半岛电视台的网站。 该报告还指出,土耳其和叙利亚的“ middleboxs ”将重定向用户,试图将软件下载到同一软件的不同版本,并附带间谍软件。 深包检测(DPI)装置的一个网络注入的指纹被加拿大网络设备公司 Sandvin 生产的二手 PacketLogic 装置修补。 在这份报告中,Sandvine 否认他们的产品可以以这样的方式使用,并向公民实验室强调了他们的人权保护标准,并表示当客户是一个在全球治理指标中排名较低的国家的一部分时,他们就会对销售进行审查。 公民实验室在他们的报告中写道,Sandvine 的保障措施已经“出现短缺”,并建议该公司开始从事“定期咨询民间社会有关人权尽职调查和商业道德计划。” 据报道,埃及首个比特币交易所将于 2017 年 8 月开放,但埃及政府对国内的加密货币采取了强硬立场。今年 1 月,埃及最高宗教领袖根据伊斯兰教法表示,比特币(BTC)是“非法的”。 一年前在 2017 年 2 月,一位伊斯兰教法专家曾对记者表示,由于伊斯兰教历史上只承认“内在价值的商品”作为货币,“比特币很可能会被忽略。”“目前尚不清楚 Monero 或 Coinhive 的挖掘脚本将如何受到伊斯兰教法的管辖。 稿源:区块网,封面源自网络;

将近 5 万家网站被感染挖矿劫持脚本 其中八成是 Coinhive

来自 Bad Packets Report 的安全研究专家 Troy Mursch 指出,全球范围内将近 5 万家网站悄然被挖矿劫持版本感染。依靠开源搜索引擎 PublicWWW 的扫描,Mursch 发现至少存在 48,953 家受感染网站,其中至少 7368 家网站基于 WordPress。 研究人员表示,将近 4 万家网站都感染了名为 Coinhive 的挖矿劫持脚本,占比达到了 81%。此外他还指出至少 3 万家网站在去年 11 月开始就已经感染 Coinhive。 而其他 19% 网站大多感染了 Coinhive 的同类脚本,例如 Crypto-Loot, CoinImp, Minr 和 deepMiner。根据进一步的调查,在本次扫描结果中有 2057 家网站感染了 Crypto-Loot,有 4119 家网站感染了 CoinImp, 有 692 家网站感染了 Minr 以及有 2160 家网站感染了 deepMiner。 稿源:cnBeta,封面源自网络;

恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

外媒 3 月6 日消息,Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件,它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。 ComboJack 攻击不仅支持多种加密货币(其中包括 比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如 Qiwi、Yandex Money 和 WebMoney(美元和卢布支付)。 目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件,当用户打开这个 PDF 时,附件中一个试图利用 DirectX 漏洞(CVE-2017-8579 )的 RTF 文件也将被打开。研究人员发现,该 RTF 文件引用了嵌 入式远程对象(一个包含编码 PowerShell 命令的 HTA 文件)。一旦从远程服务器获取到,该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件(SFX)。这时感染过程还并未结束,只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后,才能成功提取 ComboJack ,而为了实现持久性,ComboJack 还会设置一个注册表项。 这些步骤完成后,ComboJack 将开始每半秒检查一次剪贴板的内容,以确定是否复制了不同数字货币的钱包信息。一旦成功捕获,ComboJack 将会使用硬编码数据来替换钱包地址,并试图将资金转移到目标钱包。 研究人员分析指出,这种攻击策略依赖于钱包地址冗长而复杂,因为为了防止错误,大多数用户会选择复制字符串而不是手动输入。 随着加密货币价格的持续上涨,未来可能会出现越来越多针对虚拟货币的恶意软件,因为它是目前非法获利较多、较为快捷便利的方式之一。 消息来源:securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球最大语音识别公司 Nuance 因 NotPetya 损失超过 9,000 万美元

据外媒 3 月 2 日报道,全球最大语音识别公司 Nuance 声称因受恶意软件 NotPetya 的攻击影响,其损失金额已超过 9000 万美元。 NotPetya 于去年 6 月 27 日在全球各地尤其欧洲地区爆发,最初只被认为是勒索软件 Petya 的变种,后经深入研究发现 NotPetya 其实是比勒索软件更具破坏性的硬盘擦除器。 在这场攻击活动中,受影响的企业包括俄罗斯石油公司 Rosneft、马士基航运集团、美国医药巨头默克集团(Merck)、联邦快递(FedEx)、全球领先巧克力饼干零食生产商亿滋国际(Mondelez International)、语音识别公司 Nuance、利洁时集团(Reckitt Benckiser)和圣戈班集团(Saint-Gobain)等,据估计,这些公司至少都损失了数百万美元。 去年,Nuance 估计其 2017 年第三季度的收入因 NotPetya 攻击约会损失 1500 万美元,但目前该公司表示,这次袭击造成的经济损失总额已接近 1 亿美元。一份 Nuance 向证券交易委员会(SEC)提交的最新 10-Q 文件显示了该总额的由来: NotPetya 在 2017 年为其带来的经济损失约为 6800 万美元,再加上由于实施了补救措施, Nuance 还产生了约 2400万 美元的增量成本。 文件指出,NotPetya 恶意软件影响了 Nuance 的一些系统,比如其医疗保健客户使用的系统(主要用于转录服务,以及由成像部门用来接收和处理订单)。目前来说, Nuance 公司的医疗保健部门受到的冲击最大。 除此之外,该公司还表示,虽然此次袭击的直接影响在 2017 财政年度中得到补救,但 2018 财年第一季度的业绩仍会受到继续影响。由此,Nuance 决定将在 2018 及以后的财政年度投入更多的资金来改善和提升信息安全。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“洛杉矶时报”也躺枪:网站托管恶意脚本利用访客 CPU 秘密挖掘门罗币

据外媒报道,Bad Packets 报告公司的安全研究员 Troy Mursch 于近日发现,美国第三大报纸 “ 洛杉矶时报 ” 的网页上托管了加密挖掘软件,旨在利用访客的 CPU 挖掘门罗币。 根据 Troy Mursch 的说法,攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站,并将 Coinhive 软件脚本注入到程序中 。不过奇怪的是,受影响的网页是一个有关凶杀报告的页面,报道了过去 12 个月中在洛杉矶遇害的人。 根据一些数据统计,Coinhive 可能会影响全球四分之一的组织。当用户访问网页时, Coinhive 会对门罗币进行在线挖掘。嵌入的 JavaScript 使用终端用户机器的计算资源来挖掘硬币,从而影响系统性能。虽然 Coinhive 是一个合法的服务,为网站管理员寻找一种可替代广告的盈利模式,但是犯罪分子通常会在网站未知的情况下将 Coinhive 嵌入其中,而某些不道德的网站则会在访客不知情的情况下秘密使用 Coinhive。 在这种模式下,脚本一般被设置为以非最高级别开采,从而消耗较少的计算能力,并可能做到长达两周不被发现 。 AttackIQ 首席营收官 Carl Wright 认为,目前云配置错误事件频出,许多企业的攻击面也大大扩展 ,再加上没有统一的安全控制和流程保证,因此企业更需要攻击者不断测试其安全控制措施是否存在配置错误。如果企业在这个阶段没有持续验证他们的安全控制,那么很可能将会造成惨痛的失败。 消息来源:infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。