腾讯安全御见威胁情报中心发文称,监测到Pardise(天堂)勒索病呈小范围爆发。此次攻击中,黑客通过在网站某些页面中嵌入带有CVE-2018-4878Flash漏洞攻击代码的SWF文件,当网民访问网站时,触发恶意代码,导致电脑被勒索病感染,中用户会被勒索比特币。攻击者使用的漏洞工具威胁低版本AdobeFlashPlayer的用户,漏洞触发后会执行Shellcode,并通过Shellcode加载Pardise勒索病变种(被加密文件的文件后辍被修改为NewCore)。该病检测到用户为俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦等国家时不会加密用户文件。建议用户在浏览某些高风险网站时,确保安全软件处于开启状态。
腾讯御见:永恒之蓝出现新变种运行门罗币挖矿木马:7月9日,腾讯安全威胁情报中心发文称,检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中系统最终用于下载运行门罗币挖矿木马。[2020/7/13]
腾讯御见:大量企业遭遇亡命徒僵尸网络攻击 传播门罗币挖矿木马:腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。此次攻击传播的母体文件为dota3.tar.gz,推测为亡命徒(Outlaw)僵尸网络木马的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病。[2020/7/1]
声音 | 腾讯御见:挖矿资源争夺加剧,WannaMine多种手法驱赶竞争者:腾讯御见威胁情报中心今日发文表示,腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新,WannaMine最早于2017年底被发现,主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性,会采用多种手法清理、阻止竞争木马的挖矿行为,同时安装远控木马完全控制中系统。更新后的WannaMine病具有以下特点:
1.利用“永恒之蓝”漏洞攻击传播;
2.利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动;
3.通过添加IP策略阻止本机连接对手木马的47个矿池,阻止其他病通过“永恒之蓝”漏洞入侵;
4.添加计划任务,WMI事件消费者进行持久化攻击,删除“MyKings”病的WMI后门;
5.利用COM组件注册程序regsvr32执行恶意脚本;
6.利用WMIClass存取恶意代码;
7.在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。[2020/1/7]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。