トロイの木馬

  • Cringランサムウェアオペレーターが11年間のAdobeColdFusionの脆弱性を悪用

    数分のうちに未知のサイバー犯罪グループが、古いバージョンのAdobeColdFusionを使用してサーバーにリモートハッキングされました 9 そしてそれに対する支配権を握った, そして 79 数時間後、ランサムウェアCringをサーバーにデプロイしました.

    名前のないサービスプロバイダーが所有するサーバーを使用して、給与のタイムシートとアカウンティングデータを収集しました, 多数の仮想マシンをホストするだけでなく.

    によると 情報セキュリティ会社の専門家へ ソソソ, 攻撃は、ウクライナのインターネットプロバイダーに属するインターネットアドレスから実行されました。 グリーンフロイド.

    ソフォスが最近調査した攻撃, 未知の脅威アクターが、11年前のインストールで、インターネット年の古代の脆弱性を悪用しました。 アドビ ColdFusionColdFusion 9 ColdFusionサーバーをリモートで制御する, 次に、として知られているランサムウェアを実行します クリング サーバー上, ターゲットのネットワーク上の他のマシンに対して.ソフォスのスペシャリストが.
    アンドリューブラント
    アンドリューブラント

    ソフォスの主任研究員 アンドリューブラント 古くなったデバイスは言う, 脆弱なソフトウェアはハッカーにとってちょっとしたことです.

    しかしながら, 大きな驚きは、ランサムウェアに攻撃された11年前のソフトウェアを搭載したサーバーが積極的かつ日常的に使用されていたという事実です。. 原則として, 最も脆弱なのは、未使用のデバイスまたは忘れられたデバイスです “ゴーストマシン”.

    サーバーへの初期アクセスを取得した後, 攻撃者は、悪意のあるファイルを隠すためのさまざまな高度な方法を使用しました, メモリへのコードの挿入, 破損したデータでファイルを上書きすることにより、攻撃を隠蔽します. 加えて, ハッカーは、改ざん防止機能が無効になっているという事実を利用して、セキュリティソリューションを無効にしました.

    特に, 攻撃者はディレクトリトラバーサルの脆弱性を悪用しました (CVE-2010-2861) AdobeColdFusionで 9.0.1 および以前の管理コンソール. 脆弱性により、任意のファイルのリモート読み取りが可能になりました, 管理者パスワードハッシュを含むファイルを含む (password.properties).

    攻撃の次の段階で, ハッカーはColdFusionのさらに初期の脆弱性を悪用しました (CVE-2009-3960) 悪意のあるカスケードスタイルシートをアップロードするには (CSS) 攻撃されたサーバーへのファイル, 次に、Cobalt StrikeBeacon実行可能ファイルをダウンロードしました。.

    このファイルは、追加のペイロードをダウンロードするためのコンジットとして機能しました, 管理者権限でアカウントを作成する, 暗号化プロセスを開始する前に、エンドポイント保護やWindowsDefenderなどのウイルス対策エンジンを無効にすることもできます.

    私たちがその事実について話したことを思い出させてください 奇妙なマルウェア 被害者が海賊サイトを訪問するのを防ぎます.

  • CapoaeマルウェアはWordPressサイトにバックドアプラグインをインストールします

    アカマイの専門家 書く CapoaeマルウェアがWordPressサイトに侵入すること, バックドア付きのプラグインをインストールします, 次に、システムを使用して暗号通貨をマイニングします.

    エキスパート ラリー・キャッシュダラー 警告 そのようなマルウェアの主な戦術は脆弱なシステム全体に広がっていること, 信頼できない管理者の資格情報を解読するだけでなく. Keshdollarという名前のマルウェアの調査サンプル カポエ.

    ASCII

    ダウンロードモニター

    このマルウェアは、バックドア付きのダウンロードモニタープラグインを介してWordPressを実行しているホストに配信されます, 総当たり攻撃に成功した後、どのサイバー犯罪者がサイトにインストールするか.

    攻撃には、展開も含まれます Golangのバイナリ, これにより、難読化されたペイロードがGETリクエストを介して取得されます, 悪意のあるプラグインが攻撃者のドメインに作成する.

    マルウェアは他のペイロードを復号化して実行することもできます: 基本的に, Golangバイナリは、さまざまなRCEの脆弱性を悪用します。 オラクル WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) とジェンキンス (CVE-2019-1003029 そして CVE-2019-1003030) 総当たり攻撃を行い、システムに侵入して最終的に起動するだけではありません。 XMRig 鉱夫.

    攻撃者は気づかれずに行動する必要があることを忘れないでください. これをする, 実際のシステムファイルが見つかるディスクとディレクトリで最も疑わしいパスを使用します, また、ランダムな6桁の名前でファイルを作成します, その後、別の場所にコピーされます (実行後にマルウェアを削除する前).

    Capoaeキャンペーンでの複数の脆弱性と戦術の使用は、オペレーターがどれほど真剣に取り組んでいるかを強調しています [このマルウェアの] できるだけ多くのシステムで足場を築くつもりです. 幸いなことに、ほとんどの組織に推奨されているのと同じセキュリティ方法が引き続きここで機能します。. そこにデプロイされているサーバーまたはアプリケーションに弱いクレデンシャルまたはデフォルトのクレデンシャルを使用しないでください. アプリケーションを最新のセキュリティ修正で最新の状態に保ち、時々チェックしてください専門家は要約します.

    私もそう書いたことを思い出させてください 研究者は新しいDarkRadiationランサムウェアについて警告しました.

  • 悲しみのランサムウェアは犠牲者を破壊する恐れがあります’ 彼らが交渉者に頼った場合のデータ

    ランサムウェアGriefの背後にいるサイバー犯罪者は、被害者がランサムウェアとの交渉を専門とする仲介会社を雇った場合、, 彼らのデータは破壊されるでしょう.

    最近になって, の開発者が Ragnar Locker 脅かす に “リーク” 彼らがFBIに連絡した場合のネットワークの犠牲者のデータ, 警察または私立探偵. 脅威は、データ回復の専門家に頼る被害者にも広がります. 先週のこの警告に続いて, Ragnar Lockerのオペレーターは、被害者の1人の詳細をすべて公開しています。, 影響を受けた会社が交渉者を雇ったので.

    事実、専門の交渉担当者や法執行機関が事件に関与している場合、強奪者はそれを本当に嫌います. 結局, これらすべてが利益の減少につながる可能性があります, 被害者が事件に対応する時間の遅延と増加だけでなく.

    悲しみ (別名ペイまたはグリーフ) マルウェアオペレーターは同様の脅威に訴えてきました. ハッカーは自分のWebサイトに警告を投稿しました, これは、被害者が仲介者に連絡すると、被害者のすべてのデータが削除されることを示しています.

    ハッカーは警告を投稿しました

    ゲームをしたい. プロのDataRecoveryCompany™ネゴシエーターに会ったら, 単に破壊します [あなたの] データ. DataRecovery™企業, 上で述べたように, とにかく支払いを受ける. Data RecoveryCompanies™の戦略は、要求された金額を支払うことではなく、ケースを解決することでもありません。, しかし減速する [プロセス全体]. そう, この場合、失うものは何もありません. 関係するすべての関係者にとって時間の節約になります. 身代金の金額が設定されておらず、データが単純に破壊されて回復の可能性がゼロの場合、DataRecoveryCompany™は何を獲得しますか? 数百万ドルだと思います. クライアントはそのように彼らにお金を持ってくるでしょう.ハッカーは書く.
    Bleeping Computer これらのステートメントで注意してください, 悲しみは犠牲者に圧力をかけたいだけではありません, だけでなく、米国の制裁を回避するために. 事実、Griefはロシア語を話すハッカーグループと長い間関係してきました。 邪悪な会社, 米国政府が制裁を課したもの. あれは, 犠牲者が身代金を交渉する専門家を雇うことを禁止することによって, ハッカーは、被害者が制裁に関連するリスクについて学ばないことを望んでいます, それでも必要な金額を支払う.

    私たちがそれを報告したことを思い出させてください 二重支払人 ランサムウェアはGriefに名前が変更されました.

  • S1-n.comアドウェアを取り除く方法?

    S1-n.com ドメイン名は、その目標は、ブラウザをハイジャックすることで、現実には間違いなく破壊的です. 非常にハイジャックは通常、GoogleのChromeとMozilla FirefoxのWebブラウザに表示される侵入プッシュ通知を介して行われます. 日常上記のインターネットブラウザを通じて、このような厄介なポップアップが湧出、今日アドウェアに感染した多くのPCがあります。. ユーザーは、これらの信号の負荷を扱う維持し、それらのすべてを完全に排除する方法を理解していません.
    続きを読む »

  • News-cimase.ccアドウェアを排除する方法?

    ニュース-cimase.cc ドメイン名は間違いなく、その目的は、ブラウザをハイジャックすることであるという現実に有害です. 非常にハイジャックは、一般的にGoogleのChromeとMozilla FirefoxのWebブラウザに表示される侵入プッシュ通知を介して行われます. 日常上記のブラウザから、このような厄介なポップアップを湧出これらの日は、アドウェアで汚染された多くのコンピュータがあります。. ユーザーはこれらのアラートの負荷に直面しておくと、完全にそれらをすべて削除する方法を理解していません.
    続きを読む »

トップに戻るボタン