首页 > 安全钻研 > 安全传递 > 安全简讯

Android 0day(CVE-2019-2215) PoC；攻击者在WAV音频文件中暗藏后门和挖矿木马

颁布功夫 2019-10-18

1、Android 0day(CVE-2019-2215)的PoC代码已颁布

本月初谷歌安全钻研员Maddie Stone披露了一个Android零日缝隙（CVE-2019-2215），其时谷歌暗示该零日缝隙在野表被积极利用。近日佛罗里达大学Grant Hernandez在博客中颁布了一个新的PoC工具Qu1ckR00t，攻击者可利用该工具获得root权限并齐全节造设备。该工具没有作为打包的APK文件颁布，而是以源代码的大局在GitHub上颁布。Hernandez暗示他只在Pixel 2手机上测试过Qu1ckR00t，并忠告没有经验的用户不要测试该代码，不然会有系统变砖和数据迷失的风险。Google已在2019年10月的Android安全布告（安全补丁法式级别2019-10-06）中建补了CVE-2019-2215 。为了预防出现问题，建议用户装置必要的补丁法式。

原文链接：

https://www.zdnet.com/article/security-researcher-publishes-proof-of-concept-code-for-recent-android-zero-day/

2、数百万亚马逊Echo和Kindle设备易受WiFi KRACK攻击

GA黄金甲·(中国区)官方网站

凭据ESET的一份汇报，钻研人员发现Amazon Echo 1st和Amazon Kindle 8th设备依然受到WiFi KRACK缝隙的影响，这可能影响数百万设备。KRACK缝隙是WPA2和谈4次握手中的缝隙（CVE-2017-13077和CVE-2017-13078），该缝隙于2017年10月被公开。凭据ESET的表述，这些缝隙可能允许攻击者执行DoS攻击、粉碎网络通讯或沉播攻击，拦截和解密用户传输的密码或会话等敏感信息，伪造数据包甚至注入新数据包等。ESET于2018年10月23日通知了亚马逊，亚马逊在2019年1月已向受影响的设备推送了有关建复补丁。

原文链接：

https://www.bleepingcomputer.com/news/security/millions-of-amazon-echo-and-kindle-devices-affected-by-wifi-bug/

3、攻击者在WAV音频文件中暗藏后门和挖矿木马

BlackBerry Cylance钻研人员发现攻击者在新恶意活动中利用WAV音频文件在指标系统上暗藏后门和恶意矿工。固然犯罪组织时时利用隐写术在JPEG或PNG图像文件中注入payload，但在滥用WAV音频文件上尚数第二次。钻研人员暗示，每个WAV文件都与一个加载法式组件结合在一路，用于解码和执行暗藏在音频数据中的恶意内容。在播放时，其中一些WAV文件所产生的音乐没有显著的质量问题或毛刺，而其它文件也仅产生静态白噪声。攻击者重要分发Metasploit后门和XMRig矿工。

原文链接：

https://www.bleepingcomputer.com/news/security/attackers-hide-backdoors-and-cryptominers-in-wav-audio-files/

4、钻研机构发现550多个针对美国选举的虚伪域名

GA黄金甲·(中国区)官方网站

Digital Shadows在一项新钻研中发现超过550个针对美国选民的虚伪选举网站。这些网站假装成19个民主党和4个共和党总统候选人的选举有关网站，其中大无数网站（68%）只是将用户沉定向到另一个域名上（通常是竞争敌手的域名）。但也有8%的网站将用户沉定向至可能加害选民隐衷/存在恶意软件的Chrome插件上。有66个域名托管在统一个IP地址上，并且是通过隐衷�；し馱hoisGuard注册的，它们可能是由统一个团队在运营。Digital Shadows无法将这些虚伪域名归因于特定的幼我或组织。

原文链接：
https://www.infosecurity-magazine.com/news/over-550-fake-us-election-web/

5、新挖矿蠕虫Graboid重要通过Docker容器传布

GA黄金甲·(中国区)官方网站

Palo Alto Networks的钻研人员发现重要针对Docker容器的新挖矿蠕虫Graboid。钻研人员从Graboid的号令和节造（C2）服务器中发现了一个剧本，该剧本蕴含一个拥有2000多个指标IP地址的列表，目前尚不明显其中有几多已被习染。在习染Docker服务后，该蠕虫会从Docker Hub下载“ pocosow/centos” Docker镜像并部署，挖矿活动通过被称为“gakeaws/nginx”的单独容器进行。该蠕虫还会从指标IP列表中随机选择下一个指标。总体而言，凭据Unit 42的数据，最初的恶意Docker镜像已被下载了1万次以上，蠕虫自身已被下载了6500屡次。

原文链接：
https://www.bleepingcomputer.com/news/security/unsecured-docker-hosts-attacked-by-new-graboid-cryptojacking-worm/

6、欧洲某国际机场50%以上的系统习染挖矿木马

GA黄金甲·(中国区)官方网站

Cyberbit钻研人员发现欧洲一个国际机场的50%以上的工作站习染了门罗币挖矿木马。Cyberbit暗示，该挖矿木马是一年多以前由Zscaler发现的XMRig的一个变种，攻击者对其进行了更新以逃避检测。该变种在VirusTotal上只获得了16/73的检出率。该木马可能已经存在了数月的功夫，目前尚不明显具体的习染媒介，但好新闻是该机场的运营没有受到影响。

原文链接：

https://www.bleepingcomputer.com/news/security/european-airport-systems-infected-with-monero-mining-malware/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Android 0day(CVE-2019-2215) PoC；攻击者在WAV音频文件中暗藏后门和挖矿木马

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Android 0day(CVE-2019-2215) PoC；攻击者在WAV音频文件中暗藏后门和挖矿木马

7*24幼时服务热线

Android 0day(CVE-2019-2215) PoC；攻击者在WAV音频文件中暗藏后门和挖矿木马