| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-1910] 作者: 对不起 发表于: [2018-09-13]
本文共 [406] 位读者顶过
研究人员发现Mongo Lock活动通过远程访问并删除未受保护的MongoDB数据库勒索赎金。攻击者扫描互联网或使用Shodan.io等服务搜索未受保护的MongoDB服务器。连接后,攻击者可以导出数据库并删除它们,然后创建一个名为“Warning”的新数据库,其中包含一个名为“Readme”的文件夹,文件夹中包含赎金说明,表明数据库已加密,受害者需要支付赎金才能将其取回。攻击者没有留下比特币地址,而是指示受害者通过电子邮件与他们联系。研究人员发现攻击者使用一个脚本自动访问、导出、删除MongoDB数据库,但该脚本即使创建了勒索信息也可能操作失败将数据继续留在受害者计算机上。[出自:jiwo.org]
https://www.bleepingcomputer.com ... -mongodb-databases/
2 360发布疑似"海莲花"组织早期攻击活动分析
360威胁情报中心近期发现了“海莲花”组织使用的新的CVE-2017-11882漏洞文档,通过对该漏洞文档及相关攻击活动的分析,关联到该组织近期针对南亚国家的攻击活动。并且发现了疑似“海莲花”组织在2017年5月初针对国内实施的一次集中式的攻击活动,攻击者使用已知的NDAY漏洞永恒之蓝漏洞尝试攻击了国内的目标,并重点针对国内的高校网络,并随后进行横向渗透。
https://mp.weixin.qq.com/s?__biz ... 6c53gpi0QZU9ySvo#rd
3 安全厂商披露银行木马Kronos变体Osiris攻击细节
Kronos在2014年被首次发现,以7000美元出售,其开发者承诺会不断更新,修复错误并开发新模块。2018年7月,研究人员发现Kronos变体Osiris针对德国、日本和波兰进行攻击。KRONOS / Osiris恶意软件分发钓鱼邮件,包含宏/ OLE内容,导致恶意混淆的VB载体被下载和执行。恶意软件广泛使用TOR匿名网络进行命令和控制。恶意负载产生多个名为“tor.exe”的进程,并连接到位于不同国家/地区的多个不同主机(tor节点)。Osiris使用Anti-VM或Anti-Sandbox机制来逃避虚拟环境中的检测或分析,多数情况下还使用注册表修改互联网区域设置,降低Firefox的安全设置。恶意软件从多个来源窃取敏感数据。其主要方法是通过将恶意脚本注入银行网站,从而截获输入到银行网站的各种敏感信息:账号、密码等。
https://www.securonix.com/securo ... nking-trojan-attack
4 研究人员在微软门户网站上发现3,090个欺诈页面
研究人员发现网络犯罪分子已经在微软门户网站上创建了3,090个诈骗网页,之所以利用Microsoft的相关域名,主要是为了骗取受害者的信任,同时Microsoft的域名也会在搜索结果中排名靠前。攻击者如果只是使用自建的网站,就不会有这么高的搜索排名。绝大多数技术骗局都是在gallery.technet.microsoft.com上设置的,这是TechNet免费下载库的子域。研究人员称网络犯罪分子瞄准了一系列需要支持的领域,从Binance或Bittrex等数字货币网站到谷歌钱包和Instagram。
https://www.zdnet.com/article/te ... soft-technet-pages/
5 研究人员发现WebAccess中漏洞依旧可被利用
WebAccess是一种基于Web浏览器的人机界面(HMI)和监控和数据采集(SCADA)系统软件包,研究人员发现其中存在漏洞CVE-2017-16720允许攻击者在易受攻击的系统上以管理员权限远程执行命令。此漏洞允许攻击者使用RPC协议通过TCP端口4592执行远程命令。通过利用恶意分布式计算环境/远程过程调用(DCERPC),webvrpcs.exe服务将命令行指令传递给主机, webvrpcs.exe服务以管理员访问权限运行。CVE-2017-16720的漏洞利用于3月发布,但5月份研究人员发现版本8.3和8.3.1仍然存在特定的安全漏洞。研华随后发布了该软件包的8.3.2版本,并再次证明该漏洞仍然可以利用。
https://www.helpnetsecurity.com/2018/09/11/cve-2017-16720/
6 瑞士公司Veeam数据库泄露约4.45亿客户记录
研究人员在服务器上发现了一个拥有超过200GB数据的数据库,该数据库来自Veeam公司。Veeam是一家总部位于瑞士的公司,为虚拟、物理和云基础架构提供智能数据管理服务。数据泄露了约4.45亿客户记录,包括姓名、电子邮件地址和居住国家/地区等个人信息。研究人员表示服务器上提供的其他详细信息包括营销属性,如客户类型和组织规模(企业,商业,SMB)、IP地址、引荐来源网址或用户代理。MongoDB最初用于从本地网络访问,现在其使用已经不仅限于本地,但是依旧采用原来的配置,从而无法避免被远程访问。
https://www.bleepingcomputer.com ... -mongodb-databases/
2 360发布疑似"海莲花"组织早期攻击活动分析
360威胁情报中心近期发现了“海莲花”组织使用的新的CVE-2017-11882漏洞文档,通过对该漏洞文档及相关攻击活动的分析,关联到该组织近期针对南亚国家的攻击活动。并且发现了疑似“海莲花”组织在2017年5月初针对国内实施的一次集中式的攻击活动,攻击者使用已知的NDAY漏洞永恒之蓝漏洞尝试攻击了国内的目标,并重点针对国内的高校网络,并随后进行横向渗透。
https://mp.weixin.qq.com/s?__biz ... 6c53gpi0QZU9ySvo#rd
3 安全厂商披露银行木马Kronos变体Osiris攻击细节
Kronos在2014年被首次发现,以7000美元出售,其开发者承诺会不断更新,修复错误并开发新模块。2018年7月,研究人员发现Kronos变体Osiris针对德国、日本和波兰进行攻击。KRONOS / Osiris恶意软件分发钓鱼邮件,包含宏/ OLE内容,导致恶意混淆的VB载体被下载和执行。恶意软件广泛使用TOR匿名网络进行命令和控制。恶意负载产生多个名为“tor.exe”的进程,并连接到位于不同国家/地区的多个不同主机(tor节点)。Osiris使用Anti-VM或Anti-Sandbox机制来逃避虚拟环境中的检测或分析,多数情况下还使用注册表修改互联网区域设置,降低Firefox的安全设置。恶意软件从多个来源窃取敏感数据。其主要方法是通过将恶意脚本注入银行网站,从而截获输入到银行网站的各种敏感信息:账号、密码等。
https://www.securonix.com/securo ... nking-trojan-attack
4 研究人员在微软门户网站上发现3,090个欺诈页面
研究人员发现网络犯罪分子已经在微软门户网站上创建了3,090个诈骗网页,之所以利用Microsoft的相关域名,主要是为了骗取受害者的信任,同时Microsoft的域名也会在搜索结果中排名靠前。攻击者如果只是使用自建的网站,就不会有这么高的搜索排名。绝大多数技术骗局都是在gallery.technet.microsoft.com上设置的,这是TechNet免费下载库的子域。研究人员称网络犯罪分子瞄准了一系列需要支持的领域,从Binance或Bittrex等数字货币网站到谷歌钱包和Instagram。
https://www.zdnet.com/article/te ... soft-technet-pages/
5 研究人员发现WebAccess中漏洞依旧可被利用
WebAccess是一种基于Web浏览器的人机界面(HMI)和监控和数据采集(SCADA)系统软件包,研究人员发现其中存在漏洞CVE-2017-16720允许攻击者在易受攻击的系统上以管理员权限远程执行命令。此漏洞允许攻击者使用RPC协议通过TCP端口4592执行远程命令。通过利用恶意分布式计算环境/远程过程调用(DCERPC),webvrpcs.exe服务将命令行指令传递给主机, webvrpcs.exe服务以管理员访问权限运行。CVE-2017-16720的漏洞利用于3月发布,但5月份研究人员发现版本8.3和8.3.1仍然存在特定的安全漏洞。研华随后发布了该软件包的8.3.2版本,并再次证明该漏洞仍然可以利用。
https://www.helpnetsecurity.com/2018/09/11/cve-2017-16720/
6 瑞士公司Veeam数据库泄露约4.45亿客户记录
研究人员在服务器上发现了一个拥有超过200GB数据的数据库,该数据库来自Veeam公司。Veeam是一家总部位于瑞士的公司,为虚拟、物理和云基础架构提供智能数据管理服务。数据泄露了约4.45亿客户记录,包括姓名、电子邮件地址和居住国家/地区等个人信息。研究人员表示服务器上提供的其他详细信息包括营销属性,如客户类型和组织规模(企业,商业,SMB)、IP地址、引荐来源网址或用户代理。MongoDB最初用于从本地网络访问,现在其使用已经不仅限于本地,但是依旧采用原来的配置,从而无法避免被远程访问。
