超三十万台设备感染银行木马、远程代码漏洞可攻击云主机|12月7日全球网络安全热点
安全资讯报告
勒索软件黑客发布39,000份政府内部文件
Volkskrant周一报道,一家为荷兰警察、紧急服务和安全部门处理敏感文件的技术公司已成为黑客的目标。在公司Abiom拒绝遵守勒索软件组织LockBit的要求后,共有39,000份文件(包括身份证件和发票)在网上泄露。
安全专家Matthijs Koot表示,这次攻击代表了勒索软件运营商的一种新策略。他们没有锁定私人数据,而是威胁要公开安全信息,以损害受害者的声誉。
新闻来源:
https://www.dutchnews.nl/news/2021/12/ransomware-hackers-release-39000-internal-government-files/
虚假支持代理呼叫受害者安装Android银行恶意软件
BRATA Android远程访问木马(RAT)已在意大利被发现,攻击者呼叫短信攻击的受害者以窃取他们的网上银行凭证。BRATA以前在巴西出现过,通过Google Play商店上的应用程序交付,但现在看来其作者正在将其出售给外国运营商。
该意大利活动于2021年6月首次被发现,通过短信网络钓鱼(也称为smishing)发送多个Android应用程序,相关样本在Virus Total中只有50%的安全软件检测为恶意。
攻击始于链接恶意网站的未经请求的短信(SMS),声称是来自银行的消息,敦促收件人下载反垃圾邮件应用程序。最终受害者会下载BRATA恶意软件,或将他们带到网络钓鱼页面以输入其银行帐号密码的页面。攻击者会打电话给受害者,并假装是银行的员工,提供安装应用程序的帮助。
BRATA功能的完整列表包括:
拦截SMS消息并将其转发到C2服务器。
屏幕录制敏感信息。
卸载特定的应用程序(例如,防病毒软件)。
隐藏自己的图标应用程序,以减少非高级用户的可追踪性。
禁用Google Play Protect以避免被Google标记为可疑应用。
修改设备设置以获得更多权限。
如果设备被密码或图案锁定,解锁设备。
显示钓鱼页面。
攻击者滥用这些权限访问受害者的银行账户,检索二次验证密码,并最终执行欺诈交易。
新闻来源:
https://www.bleepingcomputer.com/news/security/fake-support-agents-call-victims-to-install-android-banking-malware/
针对超过300,000台设备的4个Android银行木马活动
2021年8月至11月期间,四种不同的Android银行木马通过官方Google Play商店传播,导致超过300,000次通过各种应用程序感染,这些应用程序伪装成看似无害的实用程序应用程序,以完全控制受感染的设备。
安装后,这些银行木马程序可以使用一种称为自动转账系统(ATS)的工具,在用户不知情的情况下,秘密窃取用户密码和基于SMS的双因素身份验证代码、击键、屏幕截图,甚至耗尽用户的银行账户。这些应用程序已从Play商店中删除。
恶意dropper应用程序列表如下:
两因素身份验证器
(com.flowdivison)
保护卫士
(com.protectionguard.app)
QR CreatorScanner
(com.ready.qrscanner.mix)
Master ScannerLive
(com.multifuction.combine.qr)
二维码扫描器2021
(com.qr.code.generate)
QR扫描仪
(com.qr.barqr.scangen)
PDF文档扫描仪
(com.xaviermuches.docscannerpro2)
PDF文档扫描仪免费
(com.doscanner.mobile)
CryptoTracker
(cryptolistapp.app.com.cryptotracker)
健身房和健身教练
(com.gym.trainer.jeux)
新闻来源:
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
Windows、Office盗版激活工具KMSPico被用于传播窃取加密货币钱包的木马
该恶意软件被称为“CryptBot”,是一种信息窃取程序,能够获取浏览器、加密货币钱包、浏览器cookie、信用卡的凭据,并从受感染的系统中捕获屏幕截图。通过破解软件部署,最新的攻击涉及伪装成KMSPico的恶意软件。
KMSPico是一种非官方工具,用于非法激活盗版软件(如MicrosoftWindows和Office套件)的全部功能。
新闻来源:
https://thehackernews.com/2021/12/malicious-kmspico-windows-activator.html
Nobelium黑客组织使用新型隐蔽Ceeloader恶意软件
Nobelium黑客组织通过瞄准其云和托管服务提供商并使用新的自定义“Ceeloader”恶意软件,继续破坏全球政府和企业网络。
Nobelium是微软对去年导致多个美国联邦机构妥协的SolarWinds供应链攻击背后的威胁参与者的名字。该组织被通常称为APT29、The Dukes或Cozy Bear。虽然Nobelium是一个使用自定义恶意软件和工具的高级黑客组织,但他们仍然会留下活动痕迹,研究人员可以使用这些痕迹来分析他们的攻击。
在Mandiant的一份新报告中,研究人员利用这一活动发现了黑客组织使用的策略、技术和程序(TTP),以及一个名为“Ceeloader”的新自定义下载器。此外,研究人员将Nobelium分为两个不同的活动集群,归因于UNC3004和UNC2652,这可能意味着Nobelium是两个合作的黑客组织。
根据Mandiant所看到的活动,Nobelium参与者继续破坏云提供商和MSP,以此作为获得对其下游客户网络环境的初始访问权限的一种方式。
“至少在一个实例中,威胁行为者识别并破坏了一个本地VPN帐户,并利用该VPN帐户执行侦察并进一步访问受害CSP环境中的内部资源,最终导致内部域帐户遭到破坏”Mandiant解释道。
在至少一个其他漏洞中,黑客组织使用CRYPTBOT密码窃取恶意软件窃取用于对受害者的Microsoft365环境进行身份验证的有效会话令牌。
新闻来源:
https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/
安全漏洞威胁
CERBER勒索软件利用Confluence RCE等多个高危漏洞攻击云主机
12月6日,腾讯安全Cyber-Holmes引擎系统检测并发出告警:CERBER勒索软件传播者利用Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLabexiftool远程代码执行漏洞(CVE-2021-22205)攻击云上主机。被勒索软件加密破坏的文件无密钥暂不能解密,腾讯安全专家建议所有受影响的用户尽快修复漏洞,避免造成数据完全损失,业务彻底崩溃。
Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)为8月26日披露的高危漏洞,该漏洞的CVSS评分为9.8,是一个对象图导航语言(ONGL)注入漏洞,允许未经身份验证的攻击者在Confluence Server或Data Center实例上执行任意代码,攻击者利用漏洞可完全控制服务器。
GitLab exiftool远程命令执行漏洞(CVE-2021-22205)同样也是网络黑产疯狂利用的高危漏洞。由于Gitlab某些端点路径无需授权,攻击者可在无需认证的情况下利用图片上传功能执行任意代码,攻击者利用漏洞同样可以完全控制服务器。
腾讯安全专家指出,网络黑灰产业对高危漏洞的利用之快令人印象深刻,在Atlassian Confluence远程代码执行漏洞(CVE-2021-26084)和GitLabe xiftool远程代码执行漏洞(CVE-2021-22205)漏洞详情及POC代码公开之后,已检测到多个网络黑灰产业对云主机发起多轮攻击。这些攻击较多为挖矿木马或其他僵尸网络,一般不会造成云主机崩溃瘫痪,今天捕获的针对linux云主机的勒索软件攻击,可造成数据完全损失,业务彻底崩溃。
新闻来源:
https://mp.weixin.qq.com/s/3tc1FrWMhsc7v4q_QmVwTg
超三十万台设备感染银行木马、远程代码漏洞可攻击云主机|12月7日全球网络安全热点相关推荐
- 超三万台电脑遭新恶意软件感染、联想修复特权提升漏洞|12月20日全球网络安全热点
安全资讯报告 黑客在赎金被拒绝后在"暗网"上泄露了英国警方的机密数据 据英国<每日邮报>报道,英国一些警察部队持有的机密信息在一次令人尴尬的安全漏洞中被黑客窃取. 网络 ...
- 德制语音设备现秘密后门、APT正在利用最新漏洞|12月22日全球网络安全热点
安全资讯报告 多名俄罗斯人通过黑客攻击赚了数百万美元 美国当局周一表示,包括一名现在被美国拘留的商人在内的五名俄罗斯人实施了一项规模高达8200万美元的内幕交易计划,使他们能够从通过黑客攻击窃取的公司 ...
- 谷歌应用商店现木马程序、百万WiFi路由器面临漏洞风险|12月6日全球网络安全热点
安全资讯报告 卡巴斯基发现更多Google Play商店应用程序包含木马恶意软件 卡巴斯基恶意软件分析师称,已发现更多Google Play商店应用程序包含恶意软件,包括特洛伊木马程序.如果您将它们正 ...
- 乌克兰政府和银行再次遭受DDoS攻击、1亿部三星手机的加密功能存在缺陷|2月24日全球网络安全热点
安全资讯报告 25个恶意JavaScript库通过官方NPM包存储库分发 一批25个恶意JavaScript库进入了官方NPM软件包注册表,目的是从受感染的系统中窃取Discord令牌和环境变量. D ...
- Win10早期版本下月终止服务、百万医疗设备存在漏洞风险|11月10日全球网络安全热点
安全资讯报告 REvil勒索软件的关联公司在全球范围内被抓捕 罗马尼亚执法当局宣布逮捕两名作为REvil勒索软件家族成员的人,这对历史上最多产的网络犯罪团伙之一造成了沉重打击. 据欧洲刑警组织称,据信 ...
- 银行木马卷土重来、开发者破坏开源库影响数千应用程序|1月10日全球网络安全热点
安全资讯报告 银行木马Flubot Android恶意软件卷土重来 FluBot是一种适用于Android的银行恶意软件,它通过向全球多家银行提供覆盖登录表单来窃取密码.新的攻击假冒Adobe应用程序 ...
- 时尚巨头确认遭遇勒索攻击、1100万部手机已感染木马|1月19日全球网络安全热点
安全资讯报告 10个国家协调关闭勒索软件VPN服务 周一,包括美国联邦调查局在内的10个国家的执法机构关闭了一项用于匿名勒索软件攻击的15台服务器VPN服务. 据乌克兰执法部门称,VPNLab[.]n ...
- 超千万安卓用户安装某诈骗APP、英国勒索软件攻击数量翻倍|10月27日全球网络安全热点
安全资讯报告 攻击者劫持Craigslist电子邮件传播恶意软件 Craigslist内部电子邮件系统本月被攻击者劫持以传递令人信服的消息,最终目的是避免Microsoft Office安全控制来传递 ...
- 谷歌以54亿美元收购网络安全公司、数百万惠普设备存在高危漏洞|3月10日全球网络安全热点
安全资讯报告 美国国家安全局(NSA)为保护IT基础设施提出最新建议 这份来自NSA网络安全局的文件鼓励采用"零信任"网络.该报告涵盖网络设计.设备密码和密码管理.远程日志记录和管 ...
- 著名勒索软件停止运营并发布解密密钥、大部分医院物联网设备存在安全漏洞|2月14日全球网络安全热点
安全资讯报告 臭名昭著的迷宫(Maze)勒索软件停止运营并发布了解密密钥 在过去的三年中,Maze的工作人员使用其勒索软件诱捕了数十名受害者.现在,突然间,Maze似乎已经放弃了.他们已经发布了主解密 ...
最新文章
- IBS illustrator for the presentation and visualization of biological sequences 中山大学
- java读取xml文件
- Messaging CorrelationID
- 给定一个日期,算出上周五日期
- 学习Python一定要会的4个高阶函数
- 【学术相关】如何将半页纸论文写到十页?
- vivado开发编译流程
- ViewGroup的测量及绘制
- 《机器学习实战》笔记(02):k-近邻算法
- 数据结构学习笔记:利用Python列表实现栈结构
- MySQL Date and Time Types(日期和时间格式)
- Windows中ElasticSearch的备份和还原
- 数据库中update的用法
- T470 Win10下触摸板手势
- 为什么要来学习算法?写在英雄的5月集训月末
- 阿里巴巴sentinel限流
- 设备树基本语法及属性分析
- wsl2教程可以代替linux吗,WSL2安装使用
- 在腾讯云部署一个自己的网站 问题总结
- python另存为对话框_“另存为文件”对话框如何不允许覆盖