DarkCrewFriends利用内容管理系统构建僵尸网络;恶意.slk文件可绕过Microsoft 365 EOP和ATP

发布时间 2020-06-28

1.DarkCrewFriends回归,利用内容管理系统构建僵尸网络



Check Point的研究人员发现,黑客组织DarkCrewFriends回归,并瞄准内容管理系统来构建僵尸网络。研究人员发现,该黑客组织正在利用一个不受限制的文件上传漏洞来破坏网站的PHP服务器,并在受害者服务器上发现了下载和执行两个.AFF文件的命令,当他们下载这两个文件时,发现它们实际上是PHP和Perl文件。分析人员总结道,攻击者利用IRC协议感染服务器来创建僵尸网络,这会对受害者的基础设施产生很严重的影响。


原文链接:

https://threatpost.com/darkcrewfriends-returns-botnet/156963/


2.Evil Corp攻击30多家美国公司并分发WastedLocker



赛门铁克发布报告,表示黑客组织Evil Corp攻击了30多家美国公司,并试图在受害者系统中安装勒索软件WastedLocker。在这些被瞄准的公司中,除了一家是海外跨国公司在美国的子公司,其余全部是美国公司,涉及到了制造业(5家),信息技术部门(4家)和电信组织(3家)。赛门铁克分析道,攻击始于基于JavaScript的恶意框架SocGholish,该框架可跟踪150多个伪装成软件更新的受感染网站。一旦攻击者获得了目标网站的访问权,就会使用Cobalt Strike来窃取凭据、提权并横向移动,旨在安装WastedLocker。赛门铁克报告的末尾还提供了有关WastedLocker攻击的危害指标(IOC)。


原文链接:

https://www.bleepingcomputer.com/news/security/evil-corp-blocked-from-deploying-ransomware-on-30-major-us-firms/


3.新的恶意.slk文件可绕过Microsoft 365 EOP和ATP



Avanan的安全分析师已检测到可绕过Microsoft 365 EOP和ATP的新的恶意.slk文件,预计会给2亿多用户带来风险。在此攻击中,黑客发送带有.slk附件的电子邮件,该附件还包含用来下载和安装远程访问木马的恶意宏(MSI exec脚本)。该.slk文件可以隐蔽的运行Windows安装程序(msiexec),以安装他们在其站点上托管的MSI包。在这次攻击活动中,黑客使用的是远程控制应用程序NetSupport的黑客版本,它允许攻击者完全控制桌面。黑客还使用了很多用来绕过ATP的混淆技术,例如,邮件是从数百个免费的hotmail帐户发送的;宏脚本包含“^”字符,以混淆ATP过滤器;该网址被分成两部分,因此ATP不会将其视为网络链接,等等。


原文链接:

https://www.informationsecuritybuzz.com/news/200m-users-at-risk-new-malicious-slk-files-are-bypassing-microsoft-365-security/


4.近300个Windows 10可执行文件易遭到DLL劫持攻击



普华永道安全研究人员发布报告表示 ,将近300个Windows 10可执行文件容易受到DLL劫持攻击,攻击者使用一个简单的VBScript也许就可以获得管理员权限并完全绕过Windows 10上的UAC。因为Windows 7以上允许受信任的系统DLL可以自动提升特权,而不必使用UAC提示来打扰用户,因此黑客可以通过使用标记为自动提权的可执行文件来尝试以更高权限执行任意代码。一旦成功利用,则恶意dll可用于创建提权的命令提示符,从而以管理权限对计算机进行访问。  


原文链接:

https://www.bleepingcomputer.com/news/security/almost-300-windows-10-executables-vulnerable-to-dll-hijacking/


5.俄就业网站SuperJob的系统存在漏洞,泄露500万公民信息



DeviceLock发现了俄罗斯就业网站SuperJob因其系统存在漏洞,泄露了500万公民信息。此次泄露数据包括用户姓名和中间名、性别、出生日期、电话号码、电子邮件地址、城市、期望的薪水水平、移动运营商的名称、用户的地区和时区。专家分析,此次泄漏可能是由于数据库服务器中的漏洞引起的,但是SuperJob拒绝提供有关此次事件的详细信息以及其500万用户个人信息泄露的声明。


原文链接:

https://www.ehackingnews.com/2020/06/experts-have-discovered-data-leak-of.html


6.媒体公司E27遭到Korean Hackers攻击,源代码和数据库泄露



亚洲的媒体公司E27遭到自称为Korean Hackers的黑客攻击导致源代码和数据库泄露,并被要求支付一笔“小小的捐款”,以了解其是如何被黑客入侵并帮助其修复漏洞。该黑客组织声称他们窃取了受害公司的源代码和数据库,其中包括电子邮件、手机、密码、其他文档、个人资料图像等。目前,E27已经向其用户发出了信息泄露通知,其CEO Mohan Belani则表示,他们已与执法部门取得联系,并将等待他们的支持和指导。


原文链接:

https://www.bleepingcomputer.com/news/security/hackers-breach-e27-want-donation-to-reveal-vulnerabilities/