Android 0day(CVE-2019-2215) PoC;攻击者在WAV音频文件中隐藏后门和挖矿木马

发布时间 2019-10-18
1、Android 0day(CVE-2019-2215)的PoC代码已发布


本月初GOOGLE安全研究员Maddie Stone披露了一个Android零日漏洞(CVE-2019-2215),当时GOOGLE表示该零日漏洞在野外被积极利用。近日佛罗里达大学Grant Hernandez在博客中发布了一个新的PoC工具Qu1ckR00t,攻击者可利用该工具获得root权限并完全控制设备。该工具没有作为打包的APK文件发布,而是以源代码的形式在GitHub上发布。Hernandez表示他只在Pixel 2手机上测试过Qu1ckR00t,并警告没有经验的用户不要测试该代码,否则会有系统变砖和数据丢失的风险。谷歌已在2019年10月的Android安全公告(安全补丁程序级别2019-10-06)中修补了CVE-2019-2215 。为了避免出现问题,建议用户安装必要的补丁程序。

   

原文链接:

https://www.zdnet.com/article/security-researcher-publishes-proof-of-concept-code-for-recent-android-zero-day/

2、数百万AMAZONEcho和Kindle设备易受WiFi KRACK攻击


根据ESET的一份报告,研究人员发现亚马逊 Echo 1st和亚马逊 Kindle 8th设备仍然受到WiFi KRACK漏洞的影响,这可能影响数百万设备。KRACK漏洞是WPA2协议4次握手中的漏洞(CVE-2017-13077和CVE-2017-13078),该漏洞于2017年10月被公开。根据ESET的表述,这些漏洞可能允许攻击者实行DoS攻击、破坏网络通信或重播攻击,拦截和解密用户传输的密码或会话等敏感信息,伪造数据包甚至注入新数据包等。ESET于2018年10月23日通知了AMAZON,AMAZON在2019年1月已向受影响的设备推送了相关修复补丁。

  

原文链接:

https://www.bleepingcomputer.com/news/security/millions-of-amazon-echo-and-kindle-devices-affected-by-wifi-bug/

3、攻击者在WAV音频文件中隐藏后门和挖矿木马


BlackBerry Cylance研究人员发现攻击者在新恶意活动中利用WAV音频文件在目标系统上隐藏后门和恶意矿工。虽然犯罪组织经常利用隐写术在JPEG或PNG图像文件中注入payload,但在滥用WAV音频文件上尚数第二次。研究人员表示,每个WAV文件都与一个加载程序组件结合在一起,用于解码和实行隐藏在音频数据中的恶意内容。在播放时,其中一些WAV文件所产生的音乐没有明显的质量问题或毛刺,而其它文件也仅产生静态白噪声。攻击者主要分发Metasploit后门和XMRig矿工。

  

原文链接:

https://www.bleepingcomputer.com/news/security/attackers-hide-backdoors-and-cryptominers-in-wav-audio-files/

4、研究机构发现550多个针对美国选举的虚假域名



Digital Shadows在一项新研究中发现超过550个针对美国选民的虚假选举网站。这些网站伪装成19个民主党和4个共和党总统候选人的选举相关网站,其中大多数网站(68%)只是将用户重定向到另一个域名上(通常是竞争对手的域名)。但也有8%的网站将用户重定向至可能侵犯选民隐私/存在恶意App的Chrome插件上。有66个域名托管在同一个IP地址上,并且是通过隐私保护服务WhoisGuard注册的,它们可能是由同一个团队在运营。Digital Shadows无法将这些虚假域名归因于特定的个人或组织。

原文链接:
https://www.infosecurity-magazine.com/news/over-550-fake-us-election-web/

5、新挖矿蠕虫Graboid主要通过Docker容器传播


Palo Alto Networks的研究人员发现主要针对Docker容器的新挖矿蠕虫Graboid。研究人员从Graboid的命令和控制(C2)服务器中发现了一个脚本,该脚本包含一个具有2000多个目标IP地址的列表,目前尚不清楚其中有多少已被感染。在感染Docker服务后,该蠕虫会从Docker Hub下载“ pocosow/centos” Docker镜像并部署,挖矿活动通过被称为“gakeaws/nginx”的单独容器进行。该蠕虫还会从目标IP列表中随机选择下一个目标。总体而言,根据Unit 42的数据,最初的恶意Docker镜像已被下载了1万次以上,蠕虫自身已被下载了6500多次。

原文链接:
https://www.bleepingcomputer.com/news/security/unsecured-docker-hosts-attacked-by-new-graboid-cryptojacking-worm/

6、欧洲某国际机场50%以上的系统感染挖矿木马



Cyberbit研究人员发现欧洲一个国际机场的50%以上的工作站感染了门罗币挖矿木马。Cyberbit表示,该挖矿木马是一年多以前由Zscaler发现的XMRig的一个变种,攻击者对其进行了更新以逃避检测。该变种在VirusTotal上只获得了16/73的检出率。该木马可能已经存在了数月的时间,目前尚不清楚具体的感染媒介,但好消息是该机场的运营没有受到影响。

  

原文链接:

https://www.bleepingcomputer.com/news/security/european-airport-systems-infected-with-monero-mining-malware/