安全卫士每周威胁预警
- 2018-05-25 20:34:06
1. 挖矿木马攻击
l 针对服务器的挖矿木马攻击数量较为稳定,有多个新家族出现。本周针对Weblogic服务端、Jboss服务端、Struts服务端的挖矿木马攻击数量较为稳定,除了一直活跃的WannaMine之外,本周有多个新家族加入这场“战役”中。不过这些新家族在控制的机器数目上要远小于WannaMine这类成熟的僵尸网络。
IOC
hxxp://150.109.37.***/go.webp
hxxp://206.189.96. ***/windows/ps
hxxp://43.251.118. **:8899/wz.exe
hxxp://103.99.115. ***:8080/aaa.exe
hxxp://45.227.252. ***/static/font.webp
hxxp://a46.buleh***.in/downloader.exe
l 通过“荒野求生”外挂传播的挖矿木马再次出现。本周再次出现通过“荒野求生”外挂传播的挖矿木马。这类挖矿木马一般以“企鹅3.24修复版”、“最新版企鹅多功能辅助“作为文件名,通过QQ群、网盘等方式传播,利用PC资源进行挖矿。
IOC
45eunyqypdsequfhdkpwi8dcmhhhzp2dyq3csfay1frc5acsdut1pymxh9mmnyykgafdtmkukfbfferbgm3g2yi7l2fz5g9(钱包地址)
37e2490d6c9391fe81043eeb7cfa637a(挖矿木马hash)
8b11325f4b729b7072c050035b454759(挖矿木马hash)
2. 勒索病毒攻击
l “GandCrab”勒索病毒使用三个新的C&C域名。臭名昭著的勒索病毒家族“GandCrab”在本周使用三个新的通信域名nogarukagolova.bit、shuthf6down.bit和nx.bit,这三个域名与“GandCrab”家族之前使用的域名相同,都是基于区块链技术的NameCoin域名,这类域名由于其去中心化的特性能够有效躲避监管。
IOC
hxxp://23.94.137. **/7y76gyfgyd.exe
nogarukagol***.bit
shuthf6d***.bit
n*.bit
3. 银行木马攻击
l 银行木马大多数利用Office公式编辑器漏洞CVE-2017-11882和CVE-2018-0802进行攻击。本周出现的银行木马攻击大多数选择带有微软公式编辑器漏洞利用代码的Office文档作为攻击载体,少部分攻击者选择带有恶意宏或者CVE-2017-0199漏洞利用代码的Office文档进行攻击。银行木马家族中以“LokiBot”家族居多。
IOC
HawkEye
hxxp://thejutefiber***.com/msdoc/1234.exe
Lokibot
hxxp://31.220.40. **/~lahtipr1/aus.123
hxxp://polym***.com.cy/misc/ui/images/files/new/file/coolboy_topst.exe
hxxp://polym***.com.cy/misc/ui/images/files/new/file/emy_loki.exe
hxxp://polym***.com.cy/misc/ui/images/files/new/file/obi_loki.exe
hxxp://polym***.com.cy/misc/ui/images/files/new/file/figure.exe
hxxp://polym***.com.cy/misc/ui/images/files/new/file/agogo.exe
hxxps://mygoosewo***.com/home/plugins/fot.exe
hxxps://mygoosewo***.com/home/scop.exe
hxxps://mygoosewo***.com/jennie/bu.exe
hxxps://mygoosewo***.com/home/cache/dirp/soc.exe
hxxps://mygoosewo***.com/home/tmp/tar.exe
hxxps://mygoosewo***.com/home/images/igo.exe
hxxps://mygoosewo***.com/home/xmlrpc/slo.exe
hxxps://mygoosewo***.com/crm/sma.exe
hxxps://mygoosewo***.com/help/sak.exe
hxxps://mygoosewo***.com/home/logs/cet.exe
hxxps://mygoosewo***.com/jennie/bu.exe
hxxp://steamer10thea***.org/pop/opll.exe
hxxp://31.220.40. **/~lahtipr1/00000lenzm.123
hxxp://meta-***.in/uc.exe
hxxp://bte***.com/wp-content/uploads/2017/11/boys.exe
hxxp://operco***.co/king/build_output613b5c0.exe
hxxp://irishleban***.com/wp-admin/admin/dew004.exe
hxxp://2topor***.432.com1.ru/dstcncry.msi
hxxp://2topor***.432.com1.ru/alshams.msi
hxxp://vesi***.com/sol.exe
hxxp://indostra***.co.id/aaaaaa.exe
hxxp://e-yl***.com/maski_dada.msi
hxxp://vesi***.com/sol.exe
hxxp://bte***.com/wp-includes/id3/fally.exe
hxxp://steamer10thea***.org/pop/opll.exe
hxxp://ayerstechnol***.com/starinfo/mimi.exe
hxxp://ke***.com.ng/quakes.exe
hxxp://stellarb***.com/eze.exe
Pony
hxxp://www.milehighhomebuy***.com/wp-admin/zy/bin_outputa09575f.exe
hxxp://0***.gq/exp/gm.exe
hxxp://ene***.rs/ur.scr
hxxp://ene***.rs/90.scr
hxxp://ip***.by/bitrix/css/8/7.scr
hxxp://salesxp***.ml/exp/tclokii.exe
RemcosRAT
hxxp://i-ra***.ru/wa/pos.exe
hxxp://jbl***.ae/a/a.exe
hxxp://qualityoflife***.com/crypted/success.exe
hxxp://conflictresolutio***.com/wp-includes/js/ange.exe
FormBook
hxxp://reggiewal***.com/404/eed/eeidd.exe
hxxp://nvee***.com/formme/timedllx.exe
AgentTesla
hxxp://codedforwardings.halimof***.com.tr/albert.exe
hxxp://185.11.146. **/private/tmp/tmp.exe
TrickBot
hxxp://chimachine***.com/cherry.png
Ursnif
hxxp://polhjrebnc***.com/okas/skskd.dat
KeyBase
http://polym***.com.cy/misc/ui/images/files/new/file/ike_topst.exe