Aqua Security披露恶意挖矿活动Autom的技术细节

发布时间 2021-12-31

Unit42称大多APT团伙使用的域注册于数年之前


Unit42称大多APT团伙使用的域注册于数年之前.png


Unit42在12月29日发布的最新研究显示,大多APT团伙使用的域注册于数年之前。通常,新注册的域(NRD) 更有可能是恶意的,因此安全解决方案将重点检测并标记它们。但Unit42指出,往年注册的域是恶意的可能性比NRD高三倍。有时,此类域名在休眠两年之后DNS流量激增165倍,这表明攻击者已发起攻击。研究人员在9月份的统计结果显示,约3.8%的域名是恶意的,19%是可疑的,2%的环境不安全。


原文链接:

https://unit42.paloaltonetworks.com/strategically-aged-domain-detection/


Aqua Security披露恶意挖矿活动Autom的技术细节


Aqua Security披露恶意挖矿活动Autom的技术细节.png


12月29日,DevSecOps和Aqua Security联合披露恶意挖矿活动Autom的技术细节。该活动首次出现于2019年,开始会在运行原版镜像alpine:latest时执行恶意命令,并下载名为autom.sh的shell脚本。之后会利用该脚本创建一个新用户akay并将其权限升级为root,使用该用户在目标设备上运行任意命令,并挖掘加密货币。报告还列出该活动的MITRE ATT&CK和IOC。


原文链接:

https://blog.aquasec.com/attack-techniques-autom-cryptomining-campaign


Amnpardaz在野发现针对HP iLO的新iLOBleed


Amnpardaz在野发现针对HP iLO的新iLOBleed.png


据媒体12月28日称,伊朗安全公司Amnpardaz在野发现针对惠普Integrated Lights-Out(iLO)的新恶意软件iLOBleed。这是首个针对iLO固件的rootkit,它可以长时间地隐藏在iLO中并且不会在固件升级中被删除。iLOBleed自2020年以来一直被用于攻击,可篡改固件模块并删除被感染系统中的数据。目前该恶意软件背后攻击者的身份仍未确定,但Amnpardaz推测它与某个由国家支持的APT组织有关。


原文链接:

https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/


越南公司ONUS遭勒索攻击,拒绝支付500万美元赎金


越南公司ONUS遭勒索攻击,拒绝支付500万美元赎金.png


据媒体12月29日报道,越南的金融科技公司ONUS遭到勒索攻击。12月11日至13日期间,攻击者成功利用ONUS Cyclos服务器上的Log4Shell漏洞,并植入后门。Cyclos在13日发布公告称修复其系统,但此时为时已晚。攻击者已窃取该公司近200万条客户记录,包括E-KYC数据、个人信息和密码。12月25日,ONUS拒绝支付500万美元的赎金之后,攻击者开始出售窃取的数据。


原文链接:

https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/


AvosLocker在入侵美国警察局后向其提供解密器


AvosLocker在入侵美国警察局后向其提供解密器.png


媒体12月29日称,AvosLocker已免费向美国警察局提供解密器。该团伙在上个月已入侵美国的警察局,攻击期间窃取该机构的数据并加密其设备。AvosLocker在得知对方是政府机构后立刻道歉,并免费提供解密器。该团伙的成员表示,他们没有具体的针对目标的政策,但通常会避免对政府机构和医院进行攻击。


原文链接:

https://www.bleepingcomputer.com/news/security/ransomware-gang-coughs-up-decryptor-after-realizing-they-hit-the-police/


因惠普超算的备份系统错误,京都大学丢失77TB数据


因惠普超算的备份系统错误,京都大学丢失77TB数据.png


据媒体于12月30日报道,由于惠普公司超级计算机的备份系统出现错误,导致日本京都大学约77TB的科研数据被误删。该事件发生在2021年12月14日至16日,14个科研小组的3400万份文件从系统和备份文件中被删除。据悉,备份程序本应使用find命令删除超过10天的旧日志,但其错误地执行了包含未定义变量的find命令,删除了/LARGE0目录下的正常文件。目前,该大学已废弃该备份系统,并计划在2022年1月重新引入。


原文链接:

https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/