【01.06】安全幫每日資訊:TOPMiner挖礦木馬被截獲,受害伺服器約1.5萬臺;PayPal遭受簡訊網絡釣魚活動

2021-02-24 安全幫

騰訊主機安全截獲 TOPMiner 挖礦木馬,受害伺服器約 1.5 萬臺

騰訊主機安全(雲鏡)檢測到挖礦木馬TopMiner近期攻擊十分活躍,該木馬通過SSH弱口令爆破進行攻擊入侵,會清除競品挖礦木馬,同時會使用爆破工具在內網橫向傳播。據估算,約有1.5萬臺伺服器被該團夥控制挖礦。TopMiner挖礦團夥針對SSH弱口令進行爆破攻擊,成功後執行命令下載惡意shell腳本,並將啟動腳本寫入crontab定時任務進行持久化,shell腳本繼續下載挖礦木馬nginx、top啟動挖礦。

參考來源:

http://hackernews.cc/archives/34535

近期,PayPal遭遇簡訊網絡釣魚活動,一個新的SMS文本網上誘騙(smish)廣告系列冒充PayPal,稱用戶帳戶已受到永久限制,需要通過單擊連結來驗證,該活動試圖竊取用戶帳戶憑據和其他可用於身份盜用的敏感信息。目前PayPal已採取措施,當PayPal檢測到某個帳戶上有可疑或欺詐活動時,該帳戶的狀態將設置為「受限」,這將對取款、轉帳或接收款項設置臨時限制。

參考來源:

https://www.bleepingcomputer.com/news/security/beware-paypal-phishing-texts-state-your-account-is-limited/

2020年11月以來針對醫療保健組織的網絡攻擊激增了45%

根據Check Point Research近日發布的一份新報告,由於全球COVID-19病例持續增加,針對醫療保健組織的網絡攻擊激增了45%。而同一時期全球所有行業的網絡攻擊總體增長僅為22%。11月醫療機構平均每周攻擊次數達到626次,攻擊媒介包括勒索軟體、殭屍網絡、遠程代碼執行和分布式拒絕服務(DDoS)攻擊。Ryuk和Sodinokibi成為各種犯罪集團使用的主要勒索軟體變種。

參考來源:

https://thehackernews.com/2021/01/healthcare-industry-witnessed-45-spike.html

本基線涵蓋物聯網設備強相關的硬體安全、通信協議安全(通用,乙太網,低功耗藍牙,zigbee、射頻)、系統(通用,Linux)、應用安全(安卓)、編碼安全、業務邏輯安全及數據安全等13個安全控制域,將各控制域細化為了共77項安全技術層面的要求點,在對不同控制域提出對應安全需求的同時,也給出了相應的解決方案,幫助物聯網終端產研人員理解相關安全要求及落地方案思路。

參考來源:

https://www.secrss.com/articles/28469

谷歌修復Chrome新創建文件被Windows 10反病毒軟體鎖定的Bug

Google Chrome 剛剛修復了一個影響瀏覽器在 Windows 10 作業系統上創建新文件的 Bug 。此前在使用「ImportantFileWriter」輸出某些文件時,反病毒軟體可能會阻止 Google Chrome 瀏覽器執行包括新建書籤等在內的操作。據悉,為安全起見,反病毒軟體通常會臨時鎖定系統上新生成的文件,直到對其完成了反病毒掃描、並排除了惡意活動的可能。

參考來源:

https://www.cnbeta.com/articles/tech/1074033.htm

Zend Framework出現反序列化漏洞可遠程執行任意代碼

本周有安全研究人員發現開源WEB應用程式開發框架Zend Framework出現一個反序列化安全漏洞,該漏洞針對的是Zend Framework 3.0.0版,在某些情況下易受攻擊的PHP應用程式可能會受到遠程代碼執行漏洞。需要注意的是不可信的反序列化問題必須來自易受攻擊的應用程式,並且本身Zend Framework並不存在漏洞,但Zend提供的類鏈可以幫助攻擊者實現遠程代碼執行。

參考來源:

https://www.landiannews.com/archives/83516.html

Joker's Stash原本是一個網絡犯罪分子用來出售支付卡的網站,該網站使用很多不同的域名來進行操作以躲避追查,這些域名包括.bazaar、.lib、.emc和.coin等區塊鏈域名,以及兩個Tor(.onion)版本的域名。上周晚些時候,該網站的.bazaar域名顯示美國司法部和國際刑警組織已經查封了該網站。不久之後,.lib、.emc和.coin域名也開始顯示 "伺服器未找到 "的橫幅。

參考來源:

https://www.4hou.com/posts/D69x

關於安全幫®

安全幫®,是中國電信研究院安全工程研究中心旗下安全團隊,致力於成為「SaaS安全服務領導者」。目前擁有「1+4」產品體系:一個SaaS電商(www.anquanbang.vip) 、四個平臺(SDS軟體定義安全平臺、安全能力開放平臺、安全大數據平臺、安全態勢感知平臺)。

聯繫方式:微信公眾號留言或聯繫客服QQ3025437891

相關焦點

  • 騰訊主機安全(雲鏡)捕獲挖礦木馬4SHMiner,已有1.5萬臺伺服器受害
    騰訊主機安全(雲鏡)捕獲到挖礦木馬4SHMiner利Apache Shiro反序列化漏洞CVE-2016-4437針對雲伺服器的攻擊行動。 通過其使用的門羅幣錢包算力(約333KH/s)進行推算,4SHMiner挖礦木馬團夥已控制約1.5萬臺伺服器進行挖礦,根據算力突變數據可知其在2020.11.16至17日一天之內就新增感染近1萬臺機器。騰訊安全專家建議企業及時檢查伺服器是否部署了低於1.2.5版本的Apache Shiro,並將其升級到1.2.5及以上版本。
  • RunMiner挖礦木馬攻擊,約1.6萬臺伺服器淪陷
    國內有關安全研究中心捕獲RunMiner挖礦木馬利用Apache Shiro反序列化漏洞(CVE-2016-4437)攻擊雲伺服器。
  • 【10.29】安全幫每日資訊:永恆之藍下載器木馬再更新;網絡釣魚活動偽裝成Microsoft Teams消息竊取登陸憑證
    該變種入侵Linux伺服器後下載門羅幣挖礦木馬,然後將挖礦任務進行持久化、清除競品挖礦木馬,並通過SSH爆破橫向移動。永恆之藍下載器木馬自2018年底出現以來,一直處於活躍狀態。該病毒不斷變化和更新攻擊手法,從最初只針對Windows系統擴大攻擊範圍到Linux系統。
  • 騰訊主機安全(雲鏡)捕獲RunMiner挖礦木馬攻擊,約1.6萬臺伺服器淪陷
    騰訊主機安全(雲鏡)捕獲RunMiner挖礦木馬利用Apache Shiro反序列化漏洞(CVE-2016-4437)攻擊雲伺服器。RunMiner挖礦團夥入侵成功後會執行命令反彈shell連接到C2伺服器對肉雞系統進行遠程控制,然後繼續下載執行Run.sh,下載XMRig挖礦木馬tcpp進行門羅幣挖礦,病毒通過安裝定時任務進行持久化。 根據RunMiner挖礦木馬使用的門羅幣錢包算力(約268.6KH/s)推算,該挖礦團夥已控制約16000臺伺服器執行挖礦任務。
  • 瑞星首家截獲DTLMiner挖礦病毒最新變種
    今天做一期視頻病毒分析,喜歡看視頻的可以直接觀看,下方也有文字版(本期視頻特別感謝小云云出演)4月22日,瑞星安全研究院再次首家截獲了知名挖礦病毒
  • KoiMiner挖礦木馬變種入侵 控制超5000臺SQL Server伺服器
    木馬作者對部分代碼加密的方法來對抗研究人員調試分析,木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊進行蠕蟲式傳播。騰訊御見威脅情報中心監測數據發現,KoiMiner挖礦木馬已入侵控制超過5000臺SQL Server伺服器,對企業數據安全構成重大威脅。該病毒在全國各地均有分布,廣東、山東、廣西位居前三。
  • 比特幣爆漲,打響挖礦木馬圍攻雲主機的發令槍,SupermanMiner衝上來了
    騰訊安全威脅情報中心檢測到利用Redis未授權訪問漏洞直接寫入計劃任務,下載用golang語言編寫的挖礦木馬下載器superman,根據挖礦算力推測該團夥已控制約1萬臺失陷系統進行門羅幣挖礦。騰訊安全近期已捕獲較多利用golang語言編寫的各類腳本木馬,這些木馬利用多個不同linux伺服器組件的高危漏洞或弱密碼入侵雲伺服器挖礦。
  • 【安全圈】2020中國網絡安全深度解析
    一封郵件獲利5萬美元56二、國內大量外貿物流企業已遭受攻擊60三、攻擊者以家庭為單位 父子作案分工明確61四、防範措施64附:2020年國內重大網絡安全政策法規64報告摘要 l 2020年瑞星「雲安全」系統共截獲病毒樣本總量1.48億個,病毒感染次數3.52
  • 「永恆之藍」死灰復燃,利用Python打包EXE進行攻擊,1.5萬臺伺服器變礦機
    近日,騰訊安全威脅情報中心檢測到永恆之藍下載器木馬再次出現新變種,此次變種利用Python打包EXE可執行文件進行攻擊,該組織曾在2018年底使用過類似手法。騰訊安全大數據監測數據顯示,永恆之藍下載器最新變種出現之後便迅速傳播,目前已感染約1.5萬臺伺服器,中毒系統最終用於下載運行門羅幣挖礦木馬。
  • 360發布《2018年雙十一網購安全生態報告》
    與此同時,這場規模盛大的網絡營銷活動折射出網購安全生態現狀:360安全大腦監測分析,目前網購安全生態不容樂觀。羊毛黨數量巨大,呈現手段專業化趨勢。今年10月,360安全大腦監測識別出羊毛黨設備逾6797萬個,約佔網際網路上活躍安卓設備總量的11.5%。
  • NSABuffMiner挖礦木馬霸佔某校園伺服器,非法獲利115萬元
    分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種,此木馬同樣利用NSA武器工具在內網攻擊傳播,而該伺服器存在未修復的ms17-010漏洞,因此受到攻擊被利用挖礦。該木馬為獨佔系統挖礦資源,會查殺30餘個同樣是挖礦木馬的進程,在自己入侵成功之後,還會將135、137、138、139、445等危險埠關閉。其目的是防止其他挖礦木馬順路入侵,再和自己爭搶挖礦資源。
  • 2018年Windows伺服器挖礦木馬報告
    這一年,在挖礦木馬攻擊趨勢由爆發式增長逐漸轉為平穩發展的同時,挖礦木馬攻擊技術提升明顯,惡意挖礦產業也趨於成熟,惡意挖礦家族通過相互之間的合作使受害計算機和網絡設備的價值被更大程度壓榨,合作帶來的技術升級也給安全從業者帶來更大挑戰。2019年,挖礦木馬攻擊將繼續保持平穩,但黑產家族間的合作將更加普遍,「悶聲發大財」可能是新一年挖礦木馬的主要目標。
  • Mykings殭屍網絡近期活動分析報告
    基於Mykings殭屍網絡TTPs等威脅情報信息,取證分析人員利用安天系統安全檢測工具集(Atool)對受害主機作業系統進程進行分析,定位到未籤名可疑進程及Mykings殭屍網絡感染系統存在的木馬本地配置文件xpdown.dat。
  • 報告 | 騰訊安全發布《2018企業網絡安全年度報告》——勒索病毒、挖礦木馬是企業安全兩大核心威脅
    勒索病毒和挖礦病毒幾乎使用完全一樣的入侵傳播路徑:利用黑客技術入侵企業伺服器,以此為跳板,再利用輕易獲得的漏洞攻擊工具在企業內網擴散。是傳播勒索病毒,還是種植挖礦木馬,僅僅取決於攻擊者的目的。企業網管可以將挖礦木馬看作企業網絡安全的「體溫表」:若經常發現挖礦木馬在內網運行而未及時得到有效控制,距離勒索病毒破壞的災難爆發就為期不遠了。
  • 騰訊安全威脅事件月報(2020年12月):挖礦木馬有較明顯上升
    12月3日,RunMiner挖礦木馬通過Apache Shiro反序列化漏洞(CVE-2016-4437)攻擊雲伺服器,約1.6萬臺伺服器淪陷;12月11日,檢測到Prometei殭屍網絡針對雲伺服器的攻擊行動,該殭屍網絡此前只針對Windows系統,最新變種通過SSH弱口令爆破入侵Linux系統,並在感染機器後植入挖礦程序;12月15日,發現TeamTNT
  • 短連結傳播大病毒 挖礦木馬NovelMiner感染量突破1500萬
    騰訊安全御見威脅情報中心持續檢測到,一款名為NovelMiner的挖礦木馬自2017年9月開始隱藏在廣告短連結中進行傳播。截至到目前,全球約有100多個國家超過1500萬用戶由於誤點帶毒廣告頁面而自動下載了NovelMiner挖礦木馬。
  • 「匿影」木馬升級Rootkit駐留,發展殭屍網絡挖礦撈金
    經過研究發現該病毒名為「匿影」木馬,主要目的是進行挖礦,並在內網使用永恆之藍進行橫向傳播,感染後在本機創建計劃任務、WMI等進行持久化,通過組建大量殭屍網絡、多個錢包並行挖礦以提高收益。1.運行挖礦程序;其挖礦的地址為:hns.f2pool.com:6000,錢包為:hs1qu8xtcklt3mujrcw2er785jelk22udgpkxq0qjx。
  • 騰訊安全威脅感知系統截獲網銀大盜木馬
    一、概述騰訊安全御見威脅感知系統聚類出T-F-278915惡意家族,經分析該家族樣本會竊取多種虛擬貨幣、竊取多國(包含中文、日文、希臘語)銀行帳戶登錄憑證,刪除用戶的瀏覽器信息,並利用用戶電腦進行IQ虛擬貨幣挖礦等行為。
  • 網絡空間安全周刊 (20200525-20200531)
    病毒防範3.1 釣魚網站信息根據上周統計05月25日-05月31日,共有315689人次的網民遭到網頁掛馬攻擊,截獲了243713個掛馬網址。共有61043人次的網民遭到釣魚網站攻擊,截獲了235369個釣魚網址。「Trojan.Win32.BHO.hdz(木馬病毒)」病毒運行後查找主流殺毒軟體進程,並嘗試將其結束。
  • 安全事件周報 (01.18-01.24)
    Linux系統日期: 2021年01月21日等級: 高作者: Steve Zurier標籤: Linux, IRC, FreakOut, Malware行業: 跨行業事件涉及組織: zend framework, liferay portal, terramaster tos研究人員2021年1月20日發現了一個新的惡意程序,