首页 > 之蓝

之蓝

云币网omG|“永恒之蓝下载器木马”新增钓鱼邮件传播 利用用户机器挖矿门罗币获利

近期腾讯安全威胁情报中心检测到“永恒之蓝下载器木马”新增钓鱼邮件传播功能。“永恒之蓝”下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570漏洞(Office高危漏洞,又称沙虫二代)攻击代码。如果被攻击用户收到邮件并不慎打开文档,就可能触发漏洞执行Powershell命令下载mail.jsp。mail.jsp经过高度混淆,多次解密后可以看到其安装多个计划任务下载Powershell脚本执行,并使用了新的计划任务名:“Bluetea“蓝茶。“永恒之蓝”下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用”永恒之蓝”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。(腾讯御见)

区块l链电子钱包|永恒之蓝木马下载器再更新,入侵Linux服务器后下载门罗币挖矿木马

腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增利用Hadoop Yarn未授权访问漏洞攻击。该变种入侵Linux服务器后下载门罗币挖矿木马,然后将挖矿任务进行持久化、清除竞品挖矿木马,并通过SSH爆破横向移动。永恒之蓝下载器木马自2018年底出现以来,一直处于活跃状态。该病毒不断变化和更新攻击手法,从最初只针对Windows系统扩大攻击范围到Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其中利用SSH、Redis、Hadoop Yarn服务的攻击方式可能对云主机以及云上业务造成较大威胁。(腾讯安全威胁情报中心)

腾讯安全:永恒之蓝下载器出现变种木马,可入侵Linux服务器并持久采挖加密货币

世链财经消息,日前,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现新攻击手段,利用Hadoop Yarn未授权访问漏洞进行攻击。该变种将入侵Linux服务器后下载门罗币挖矿木马,进行持久化挖矿同时清除竞品挖矿木马,并通过SSH爆破横向移动。 据悉,永恒之蓝下载器木马自2018年底出现,至今处于活跃状态。该木马不断更新换代,从最初只攻击Windows系统已扩大至Linux系统。截止目前,其攻击手法已涵盖弱口令爆破、系统漏洞利用、Web漏洞利用等,其利用SSH、Redis、Hadoop Yarn服务的攻击手段或正严重威胁云主机以及云上业务。

“永恒之蓝下载器木马”新增钓鱼邮件传播,利用用户机器挖矿门罗币

“永恒之蓝”下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用”永恒之蓝”漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。

腾讯御见:“永恒之蓝下载器木马”新增钓鱼邮件传播,最终目的仍为利用用户机器挖矿门罗币获利

近期腾讯安全威胁情报中心检测到永恒之蓝下载器木马新增钓鱼邮件传播功能。永恒之蓝下载器木马在感染用户机器上运行后,会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档,该文档附带CVE-2017-8570漏洞(Office高危漏洞,又称沙虫二代)攻击代码。如果被攻击用户收到邮件并不慎打开文档,就可能触发漏洞执行Powershell命令下载mail.jsp。mail.jsp经过高度混淆,多次解密后可以看到其安装多个计划任务下载Powershell脚本执行,并使用了新的计划任务名:Bluetea蓝茶。 永恒之蓝下载器木马自出现之后从未停止更新,从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀,并且通过安装多个类型的计划任务进行持久化。在传播方式上,最初通过供应链攻击积累一批感染机器后,又不断利用永恒之蓝漏洞,MSSql爆破,$IPC爆破,RDP爆破等方法进行扩散传播,近期又增加了DGA域名攻击和钓鱼邮件攻击,其最终目的只为利用用户机器挖矿门罗币获利。

加载更多

快讯

2024年04月28日 星期日
更多
点击鼠标右键,图片另存为...
广告