首页 > 安全资讯 > 正文

安全卫士每周威胁预警

1.      挖矿木马攻击

l  针对服务器的挖矿木马攻击数量较为稳定,有多个新家族出现。本周针对Weblogic服务端、Jboss服务端、Struts服务端的挖矿木马攻击数量较为稳定,除了一直活跃的WannaMine之外,本周有多个新家族加入这场“战役”中。不过这些新家族在控制的机器数目上要远小于WannaMine这类成熟的僵尸网络。

IOC

hxxp://150.109.37.***/go.webp

hxxp://206.189.96. ***/windows/ps

hxxp://43.251.118. **:8899/wz.exe

hxxp://103.99.115. ***:8080/aaa.exe

hxxp://45.227.252. ***/static/font.webp

hxxp://a46.buleh***.in/downloader.exe

 

l  通过“荒野求生”外挂传播的挖矿木马再次出现。本周再次出现通过“荒野求生”外挂传播的挖矿木马。这类挖矿木马一般以“企鹅3.24修复版”、“最新版企鹅多功能辅助“作为文件名,通过QQ群、网盘等方式传播,利用PC资源进行挖矿。

IOC

45eunyqypdsequfhdkpwi8dcmhhhzp2dyq3csfay1frc5acsdut1pymxh9mmnyykgafdtmkukfbfferbgm3g2yi7l2fz5g9(钱包地址)

37e2490d6c9391fe81043eeb7cfa637a(挖矿木马hash)

8b11325f4b729b7072c050035b454759(挖矿木马hash)

 

2.      勒索病毒攻击

l  GandCrab”勒索病毒使用三个新的C&C域名。臭名昭著的勒索病毒家族“GandCrab”在本周使用三个新的通信域名nogarukagolova.bit、shuthf6down.bit和nx.bit,这三个域名与“GandCrab”家族之前使用的域名相同,都是基于区块链技术的NameCoin域名,这类域名由于其去中心化的特性能够有效躲避监管。

IOC

hxxp://23.94.137. **/7y76gyfgyd.exe

nogarukagol***.bit

shuthf6d***.bit

n*.bit

3.      银行木马攻击

l  银行木马大多数利用Office公式编辑器漏洞CVE-2017-11882CVE-2018-0802进行攻击。本周出现的银行木马攻击大多数选择带有微软公式编辑器漏洞利用代码的Office文档作为攻击载体,少部分攻击者选择带有恶意宏或者CVE-2017-0199漏洞利用代码的Office文档进行攻击。银行木马家族中以“LokiBot”家族居多。

IOC

HawkEye

hxxp://thejutefiber***.com/msdoc/1234.exe

Lokibot

hxxp://31.220.40. **/~lahtipr1/aus.123

hxxp://polym***.com.cy/misc/ui/images/files/new/file/coolboy_topst.exe

hxxp://polym***.com.cy/misc/ui/images/files/new/file/emy_loki.exe

hxxp://polym***.com.cy/misc/ui/images/files/new/file/obi_loki.exe

hxxp://polym***.com.cy/misc/ui/images/files/new/file/figure.exe

hxxp://polym***.com.cy/misc/ui/images/files/new/file/agogo.exe

hxxps://mygoosewo***.com/home/plugins/fot.exe

hxxps://mygoosewo***.com/home/scop.exe

hxxps://mygoosewo***.com/jennie/bu.exe

hxxps://mygoosewo***.com/home/cache/dirp/soc.exe

hxxps://mygoosewo***.com/home/tmp/tar.exe

hxxps://mygoosewo***.com/home/images/igo.exe

hxxps://mygoosewo***.com/home/xmlrpc/slo.exe

hxxps://mygoosewo***.com/crm/sma.exe

hxxps://mygoosewo***.com/help/sak.exe

hxxps://mygoosewo***.com/home/logs/cet.exe

hxxps://mygoosewo***.com/jennie/bu.exe

hxxp://steamer10thea***.org/pop/opll.exe

hxxp://31.220.40. **/~lahtipr1/00000lenzm.123

hxxp://meta-***.in/uc.exe

hxxp://bte***.com/wp-content/uploads/2017/11/boys.exe

hxxp://operco***.co/king/build_output613b5c0.exe

hxxp://irishleban***.com/wp-admin/admin/dew004.exe

hxxp://2topor***.432.com1.ru/dstcncry.msi

hxxp://2topor***.432.com1.ru/alshams.msi

hxxp://vesi***.com/sol.exe

hxxp://indostra***.co.id/aaaaaa.exe

hxxp://e-yl***.com/maski_dada.msi

hxxp://vesi***.com/sol.exe

hxxp://bte***.com/wp-includes/id3/fally.exe

hxxp://steamer10thea***.org/pop/opll.exe

hxxp://ayerstechnol***.com/starinfo/mimi.exe

hxxp://ke***.com.ng/quakes.exe

hxxp://stellarb***.com/eze.exe

Pony

hxxp://www.milehighhomebuy***.com/wp-admin/zy/bin_outputa09575f.exe

hxxp://0***.gq/exp/gm.exe

hxxp://ene***.rs/ur.scr

hxxp://ene***.rs/90.scr

hxxp://ip***.by/bitrix/css/8/7.scr

hxxp://salesxp***.ml/exp/tclokii.exe

RemcosRAT

hxxp://i-ra***.ru/wa/pos.exe

hxxp://jbl***.ae/a/a.exe

hxxp://qualityoflife***.com/crypted/success.exe

hxxp://conflictresolutio***.com/wp-includes/js/ange.exe

FormBook

hxxp://reggiewal***.com/404/eed/eeidd.exe

hxxp://nvee***.com/formme/timedllx.exe

AgentTesla

hxxp://codedforwardings.halimof***.com.tr/albert.exe

hxxp://185.11.146. **/private/tmp/tmp.exe

TrickBot

hxxp://chimachine***.com/cherry.png

Ursnif

hxxp://polhjrebnc***.com/okas/skskd.dat

KeyBase

http://polym***.com.cy/misc/ui/images/files/new/file/ike_topst.exe

360安全卫士

热点排行