騰訊御見：有攻擊者利用 Hadoop Yarn REST API 未授權漏洞攻擊云主機，安裝挖礦木馬等_DOO

鏈聞消息，騰訊安全威脅情報中心檢測到有攻擊者利用HadoopYarnRESTAPI未授權命令執行漏洞攻擊云上主機，攻擊成功后執行惡意命令，向系統植入挖礦木馬、IRCBotNet后門、DDoS攻擊木馬，入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。攻擊者入侵成功后，會清理系統進程和文件，以清除其他資源占用較高的進程，以便最大化利用系統資源。入侵者同時會配置免密登錄后門，以方便進行遠程控制，入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。通過對木馬家族進行關聯分析，發現本次攻擊活動與永恒之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團伙發起。建議用戶盡快修復HadoopYarnRESTAPI未授權命令執行漏洞，避免采用弱口令。

聲音 | 騰訊御見：惡意挖礦程序“快Go礦工”更新，已獲利門羅幣47個:騰訊安全威脅情報中心檢測到“快Go礦工”更新，該團伙本次更新利用MSSQL弱口令爆破攻擊的方式進行傳播。“快Go礦工”最新變種將挖礦程序偽裝成系統進程WinInit.exe，截止目前已挖礦獲得門羅幣47個，市值人民幣2萬余元。同時，病在攻陷機器上植入的gh0st遠控木馬，具有搜集信息、上傳下載文件、鍵盤記錄、執行任意程序等多種功能，被攻陷的電腦還會面臨機密信息泄露的風險。據騰訊威脅情報中心統計數據，“快Go礦工”（KuaiGoMiner）變種已攻擊上萬臺電腦，受害最嚴重地區為江蘇、山東和廣東。[2020/2/19]

聲音 | 騰訊御見：近期醫療相關企業需要特別注意防范勒索病攻擊:騰訊御見威脅情報中心今日發文稱，春節期間，某藥品經營企業遭遇勒索病攻擊，企業多臺服務器被加密，影響業務開展。該藥品經營企業為保證業務進行，被迫繳納酬金，結果僅部分文件恢復。騰訊安全企業應急服務中心對該事件進行調查，發現該企業中的勒索病為GarrantyDecrypt家族的新變種Heronpiston Ransomware。GarrantyDecrypt勒索病家族最早在2018年下半年被發現，該團伙每隔幾個月就會有一次新變種更新發布，先后出現有bigbosshors、nostro、metan、tater等變種。由于采用了RSA+salsa20算法加密，因此一旦被該家族勒索病加密便無法通過第三方解密。目前形式下，醫藥相關企業已社會寶貴的財富，騰訊安全專家建議相關單位，強化網絡安全措施，避免使用弱密碼，防止遭遇勒索病攻擊。（騰訊御見威脅情報中心）[2020/2/6]

動態 | 騰訊御見：即便支付比特幣贖金，受GermanWiper攻擊的文件也不能恢復:騰訊御見發文稱，GermanWiper通過包含虛假工作申請的垃圾郵件發送，垃圾郵件的ZIP附件包含惡意LNK文件。下載到設備后，惡意軟件會覆蓋本地文件的內容，使這些文件無法恢復，之后，病會將文件擴展名更改為五個隨機字母數字組成的字串。一旦文件的內容被重寫，用受感染設備的瀏覽器打開用德語寫的贖金消息，要求用價值1500美元的比特幣換取解密密鑰。然而，即使支付了贖金，被重寫的文件也將不能被恢復，文件已被永久覆蓋。[2019/8/13]

Tags：RANCRYDOOGARUranusCryptoEnergyDoom Hero GameASGARDV2

歐易交易所app官網下載