| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2024-2153] 作者: 对不起 发表于: [2018-11-03]
本文共 [406] 位读者顶过
Trickbot曾经是一个简单的银行木马,通过从C&C服务器下载新模块来不断更新自身,并更改其配置,以便更新成熟的恶意软件。研究人员三月发现Trickbot木马增加了检测规避和屏幕锁定功能,本月又增加了一个密码抓取模块(pwgrab32)。可以窃取多个应用程序和浏览器的访问权限。Trickbot的新模块名为pwgrab32或PasswordGrabber,可以窃取来自Filezilla,Microsoft Outlook和WinSCP等应用程序的凭据,还可以从几个流行的Web浏览器(Google Chrome,Mozilla Firefox,Internet Explorer和Microsoft Edge)窃取用户名和密码、上网Cookie、浏览记录、自动填充、HTTP帖子。但是该恶意软件不能从第三方密码管理器应用程序中窃取密码。Trickbot使用shareDll32模块帮助在整个网络中传播自己。一旦成功安装在系统中,Trickbot将收集系统信息,如操作系统,CPU和内存信息,用户帐户,已安装程序和服务的列表。恶意软件具有自动启动服务以保持持久性,允许Trickbot在机器启动时运行。[出自:jiwo.org]
https://blog.trendmicro.com/tren ... ord-grabber-module/
2 黑客组织Outlaw利用物联网设备传播IRCbot
趋势科技研究人员发现新的恶意软件,借助Perl Shellbot构建IRC bot,利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞来分发bot。研究表明威胁也可能会影响基于Windows的环境甚至Android设备。攻击者破坏了日本艺术机构的FTP(文件传输协议)服务器,并利用Dovecot邮件服务器上的漏洞攻击了孟加拉国政府网站。然后,攻击者将两台受感染的服务器链接到高可用性集群,作为新兴僵尸网络的C2服务器。僵尸网络本身是用Shellbot变体构建的,脚本用Perl编写,甚至可以在GitHub上使用。僵尸网络之前是通过利用Shellshock漏洞进行分发的,命名为“Shellbot”。
https://blog.trendmicro.com/tren ... ganizations-via-cc/
3 研究人员发现两个影响无线接入点的严重漏洞
研究人员发现了两个影响几个流行无线接入点的严重漏洞,命名为Bleeding Bit,攻击者可能会利用这些漏洞破坏企业网络。漏洞存在于蓝牙低能耗芯片中,这些芯片通常会被网络设备制造商用于企业无线接入点中。第一个漏洞涉及转换蓝牙数据包中的最高位,从而导致内存溢出。由于没有正确检查更新是否值得信任,第二个漏洞允许攻击者在Aruba的某个设备上安装恶意固件版本。攻击者需要在蓝牙范围之内才能利用这些漏洞远程执行代码。一旦攻击者通过其中一个漏洞获得对接入点的控制权,他就可以通过互联网建立到他控制的命令和控制服务器的出站连接,并从更偏远的位置继续攻击。目前尚不清楚有多少设备受到影响,但是这些漏洞存在于使用蓝牙低功耗芯片的其他设备中。
https://techcrunch.com/2018/11/0 ... -wireless-networks/
4 Hadoop的0 day利用代码被黑客组织成员公开
网名0x20的黑客近日公开了一个0day利用的完整源代码。0x20的另一个网名是URHARMFL,是组织Ghost Squad Hackers的成员,也是僵尸网络恶意软件DemonBot的作者。此次公开源代码,是作为对安全厂商Radware上周公布DemonBot分析报告的回应;而公开的代码据称用于新的僵尸网模块FICORA。0x20还称,其DemonBot源码是从恶意软件Owari的作者的服务器偷来的。
Radware称DemonBot感染了70台服务器,但0x20k则称已有上千台服务器感染,可达到350G BPS的泛洪攻击水平。FICORA与DemonBot有一些区别。前者与Mirai类似,通过8088端口感染,并对TCP/32使用URG泛洪攻击;而Demonbot则是Lizkebab的另一个版本,通过UDP和TCP实施DDoS攻击。0x20k称,FICORA包括telnet、ssh、hadoop服务器三部分。通过telnet的SSH进行暴力目录攻击,hadoop可生成海量数据包,而某个远程代码执行漏洞则使其得以在Hadoop中执行x86二进制代码。但研究人员Loughran则指出,使用的并非远程代码执行,而是远程任务提交漏洞。目前还未有修复方案。
https://securityaffairs.co/wordp ... exploit-leaked.html
5 澳大利亚公司遭黑客入侵泄露员工个人信息
澳大利亚造船商Austal11月1日表示遭到黑客入侵,一些员工的电子邮件地址和手机号码被访问。Austal是澳大利亚最大的造船厂,与美国海军有重大合同。该公司数据管理系统存在漏洞,但是其运营没有受到影响。攻击者企图在互联网上出售某些材料并进行敲诈勒索。目前没有证据表明影响国家安全的信息和公司的商业运作信息被盗。Austal已经通知了可能受到违规行为影响的人员,并向澳大利亚网络安全中心和澳大利亚联邦警察寻求帮助。
https://www.reuters.com/article/ ... iness-idUSKCN1N64DC
Austal says hacker steals some data at its Australia business _ Reuters.pdf
6 欧洲之星数据泄露后强制所有客户重置密码
连接英国伦敦与法国巴黎(北站)、里尔以及比利时布鲁塞尔(南站)的高速铁路服务“欧洲之星”10月中旬遭到黑客入侵,黑客访问了用户帐户。欧洲之星表示攻击者使用欧洲之星账户持有人的用户名和密码来渗透系统。这表明黑客使用被盗的凭据或是以某种方式设法获得用户帐户凭据的访问权限。目前尚不清楚有多少用户受到了影响,该公司已启动所有客户帐户的密码重置作为预防措施。
https://blog.trendmicro.com/tren ... ord-grabber-module/
2 黑客组织Outlaw利用物联网设备传播IRCbot
趋势科技研究人员发现新的恶意软件,借助Perl Shellbot构建IRC bot,利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞来分发bot。研究表明威胁也可能会影响基于Windows的环境甚至Android设备。攻击者破坏了日本艺术机构的FTP(文件传输协议)服务器,并利用Dovecot邮件服务器上的漏洞攻击了孟加拉国政府网站。然后,攻击者将两台受感染的服务器链接到高可用性集群,作为新兴僵尸网络的C2服务器。僵尸网络本身是用Shellbot变体构建的,脚本用Perl编写,甚至可以在GitHub上使用。僵尸网络之前是通过利用Shellshock漏洞进行分发的,命名为“Shellbot”。
https://blog.trendmicro.com/tren ... ganizations-via-cc/
3 研究人员发现两个影响无线接入点的严重漏洞
研究人员发现了两个影响几个流行无线接入点的严重漏洞,命名为Bleeding Bit,攻击者可能会利用这些漏洞破坏企业网络。漏洞存在于蓝牙低能耗芯片中,这些芯片通常会被网络设备制造商用于企业无线接入点中。第一个漏洞涉及转换蓝牙数据包中的最高位,从而导致内存溢出。由于没有正确检查更新是否值得信任,第二个漏洞允许攻击者在Aruba的某个设备上安装恶意固件版本。攻击者需要在蓝牙范围之内才能利用这些漏洞远程执行代码。一旦攻击者通过其中一个漏洞获得对接入点的控制权,他就可以通过互联网建立到他控制的命令和控制服务器的出站连接,并从更偏远的位置继续攻击。目前尚不清楚有多少设备受到影响,但是这些漏洞存在于使用蓝牙低功耗芯片的其他设备中。
https://techcrunch.com/2018/11/0 ... -wireless-networks/
4 Hadoop的0 day利用代码被黑客组织成员公开
网名0x20的黑客近日公开了一个0day利用的完整源代码。0x20的另一个网名是URHARMFL,是组织Ghost Squad Hackers的成员,也是僵尸网络恶意软件DemonBot的作者。此次公开源代码,是作为对安全厂商Radware上周公布DemonBot分析报告的回应;而公开的代码据称用于新的僵尸网模块FICORA。0x20还称,其DemonBot源码是从恶意软件Owari的作者的服务器偷来的。
Radware称DemonBot感染了70台服务器,但0x20k则称已有上千台服务器感染,可达到350G BPS的泛洪攻击水平。FICORA与DemonBot有一些区别。前者与Mirai类似,通过8088端口感染,并对TCP/32使用URG泛洪攻击;而Demonbot则是Lizkebab的另一个版本,通过UDP和TCP实施DDoS攻击。0x20k称,FICORA包括telnet、ssh、hadoop服务器三部分。通过telnet的SSH进行暴力目录攻击,hadoop可生成海量数据包,而某个远程代码执行漏洞则使其得以在Hadoop中执行x86二进制代码。但研究人员Loughran则指出,使用的并非远程代码执行,而是远程任务提交漏洞。目前还未有修复方案。
https://securityaffairs.co/wordp ... exploit-leaked.html
5 澳大利亚公司遭黑客入侵泄露员工个人信息
澳大利亚造船商Austal11月1日表示遭到黑客入侵,一些员工的电子邮件地址和手机号码被访问。Austal是澳大利亚最大的造船厂,与美国海军有重大合同。该公司数据管理系统存在漏洞,但是其运营没有受到影响。攻击者企图在互联网上出售某些材料并进行敲诈勒索。目前没有证据表明影响国家安全的信息和公司的商业运作信息被盗。Austal已经通知了可能受到违规行为影响的人员,并向澳大利亚网络安全中心和澳大利亚联邦警察寻求帮助。
https://www.reuters.com/article/ ... iness-idUSKCN1N64DC
Austal says hacker steals some data at its Australia business _ Reuters.pdf 6 欧洲之星数据泄露后强制所有客户重置密码
连接英国伦敦与法国巴黎(北站)、里尔以及比利时布鲁塞尔(南站)的高速铁路服务“欧洲之星”10月中旬遭到黑客入侵,黑客访问了用户帐户。欧洲之星表示攻击者使用欧洲之星账户持有人的用户名和密码来渗透系统。这表明黑客使用被盗的凭据或是以某种方式设法获得用户帐户凭据的访问权限。目前尚不清楚有多少用户受到了影响,该公司已启动所有客户帐户的密码重置作为预防措施。
