今天值得关注的威胁情报:
1. LoudMiner挖矿木马: 通过虚拟化软件实现跨平台攻击
LoudMiner是持久性加密货币挖掘器的一个不寻常案例,自2018年8月开始为macOS和Windows分发。它使用虚拟化软件 - 在macOS上的QEMU和在Windows上的VirtualBox - 在Tiny Core Linux 虚拟机上挖掘加密货币 ,使其成为跨平台挖矿木马。它捆绑了VST 软件的盗版副本。矿工本身基于 XMRig (Monero)并使用采矿池,因此无法追溯潜在交易。
情报来源:
https://blog.eset.ie/2019/06/24/loudminer-cross-platform-mining-in-cracked-vst-software/
2. 2019上半年勒索病毒家族概览
情报来源:
https://mp.weixin.qq.com/s/vlaQrfAeDsQ6-pX0CXe0qQ
3. 利用Exim远程命令执行漏洞(CVE-2019-10149)发起攻击事件分析
WiZard的回归漏洞(参见 EW N030619,CVE-2019-10149),此类漏洞影响了各种Exim服务器,这是主要的电子邮件服务器技术之一,在全球和意大利都非常普遍。网络犯罪团体滥用此漏洞来破坏暴露的Exim邮件服务器。
情报来源:
https://blog.yoroi.company/research/the-return-of-the-wizard-vulnerability-crooks-start-hitting/
4. Sodinokibi勒索软件开始通过Exploit Kits工具进行投递
安全研究人员发现Sodinokibi Ransomware通过恶意广告进行分发,重定向到RIG漏洞利用工具包。通过使用漏洞利用工具包,Sodinokibi现在使用大量媒介传播勒索软件。
情报来源:
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-now-pushed-by-exploit-kits-and-malvertising/
5. 利用ElasticSearch Groovy漏洞进行门罗币(Dog)挖矿”事件分析
安全研究人员捕获到利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。该漏洞原理是Elaticsearch将groovy作为脚本语言,并使用基于黑白名单的沙盒机制限制危险代码执行,但该机制不够严格,可以被绕过,从而导致出现远程代码执行的情况。安天对此次事件进行了详细的样本分析,并给出预防及修复建议。
情报来源:
https://mp.weixin.qq.com/s/gbYzOTLxjfCZ1dzUjeW-rw