Avast遭黑客入侵,攻击者试图向CCleaner注入恶意代码;针对MSSQL v11和v12的后门skip-2.0

发布时间 2019-10-22
1、Avast遭黑客入侵,攻击者试图向CCleaner注入恶意代码


Avast披露其内部网络遭黑客入侵,攻击者的目的似乎在于向CCleaner中注入恶意代码(类似于2017年的攻击)。Avast专家于9月23日发现了这一攻击事件,黑客通过入侵一个临时VPN账户访问了企业的内部网络,该账户没有域管理员权限,但黑客成功进行了提权。对攻击者使用的外部IP的分析显示,攻击者早在5月14日就一直试图通过VPN来访问内网。Avast对攻击活动进行了监控,直到10月15日才关闭该临时VPN账户。目前尚无法确认该攻击是否与2017年发生的攻击存在关联。Avast在对CCleaner进行审查之后重新发布了更新。

   

原文链接:

https://www.bleepingcomputer.com/news/security/hackers-breach-avast-antivirus-network-through-insecure-vpn-profile/

2、Autoclerk数据库意外在网上暴露179GB旅客数据


酒店预订管理系统Autoclerk的一个Elasticsearch数据库在网上暴露了179GB旅客数据,其中包括部分美国政府和军事人员的敏感信息。vpnMentor的研究人员Noam Rotem和Ran Locar发现了这一事件,根据他们的报告,暴露的数据库由亚马逊 Web Servers托管,其存储的信息包括未加密的登录凭据、姓名、出生日期、家庭住址、电话号码、旅行日期和费用以及部分信用卡信息等,对于某些旅客,还包括他们的入住时间和房间号。研究人员表示数据库中暴露的平台之一是美国政府、军方和国土安全部(DHS)的承包商,该承包商负责管理美国政府和军事人员的旅行安排。

  

原文链接:

https://threatpost.com/government-military-personnel-data-leaked/149386/

3、俄罗斯Turla APT利用伊朗基础设施瞄准35个国家


俄罗斯APT组织Turla被发现入侵伊朗APT34的基础设施,利用其Neuron和Nautilus工具瞄准中东地区的目标。根据美国国家安全局(NSA)和英国国家网络安全中心(NCSC)的数据,至少有35个国家已成为该组织的攻击目标,其中大多数位于中东,在过去18个月中至少有20个国家受到攻击。在2017年和2018年,Turla被发现在使用自己的工具Snake rootkit的同时还使用了Neuron和Nautilus。该组织自2008年以来一直活跃,并且主要针对军事机构、政府部门、科学组织和大学等目标。

  

原文链接:

https://www.zdnet.com/article/russian-apt-turla-targets-35-countries-on-the-back-of-iranian-infrastructure/

4、研究人员发现利用Alexa和谷歌 Home窃听用户的新方法


研究人员发现攻击者可以利用Alexa和谷歌 Home智能音箱来监视用户的新方法,攻击者不仅可以窃听用户,甚至还可以通过语音钓鱼窃取用户的密码。根据SRLabs的报告,该问题存在于开发人员为设备创建的扩展功能APP中,包括Skills for Alexa和Actions on 谷歌 Home。通过这些APP提供给第三方的标准开发接口,SRLabs研究人员发现了两种可以破坏用户隐私的方法,一种是请求并收集个人数据(包括密码),另一种是在用户认为智能音箱没有收听之后进行窃听。

原文链接:
https://threatpost.com/new-way-found-to-use-alexa-google-to-voice-phish-and-eavesdrop-on-users/149352/

5、研究团队发现针对MSSQL v11和v12的后门skip-2.0



ESET研究团队发现针对MSSQL v11和v12的新后门skip-2.0。ESET表示skip-2.0修改了用于处理身份验证的MSSQL函数,其想法是创建一个“魔术密码”,如果在任何身份验证会话中输入“魔术密码”,则将自动授予该用户访问权限,同时阻止实行正常的日志记录和审核功能,从而有效地在服务器内部创建虚假会话。根据ESET,skip-2.0仅适用于MSSQL v12和v11服务器。尽管MSSQL Server 12(2014年发布)不是最新版本,它也是最常用的版本。ESET将该后门与APT组织Winnti Group进行关联。

原文链接:
https://www.zdnet.com/article/researchers-find-stealthy-mssql-server-backdoor-developed-by-chinese-cyberspies/

6、McAfee发布Sodinokibi攻击技术及策略的分析报告


McAfee研究人员通过蜜罐跟踪了勒索AppSodinokibi的相关TTP及活动。研究人员指出三个子团伙(Group 1、子团伙#34和#19)均使用大量端口扫描工具来查找可访问的RDP服务器,然后使用带有自定义密码列表的NLBrute RDP暴力破解工具来获得服务器的访问权限,并在网络中横向传播。#34和#19的策略更加成熟,包括使用定制的Mimikatz批处理文件窃取网络凭据、自定义脚本删除Windows事件查看器日志以及创建隐藏用户等。#34还会释放MinerGate和XMRig等挖矿木马。

  

原文链接:

https://www.bleepingcomputer.com/news/security/tools-and-tactics-of-the-sodinokibi-ransomware-distributors/