WastedLocker:赛门铁克确定了针对美国组织的攻击浪潮

Broadcom旗下的赛门铁克发现并警告用户:攻击者试图部署WastedLocker勒索软件,对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金,目前至少有31个组织受到了攻击,这意味着攻击者已经破坏了目标组织的网络,并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件,在NCC Group发布之前就已被记录,而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织,Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联,勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架,该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络,他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件,升级特权,然后在网络中进行移动,以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:symantec-enterprise-blogs,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Rovnix Bootkit 恶意软件相关活动分析

今年4月中旬,相关威胁监控系统检测到借助“世界银行与冠状病毒大流行有关的新倡议”的恶意软件,扩展名为 EXE 或 RAR, 在这些文件中有著名的 Rovnix bootkit。虽然利用冠状病毒这一话题进行传播的事情已屡见不鲜,但其使用UAC旁路工具进行了更新,且被用来提供一个与众不同的装载程序的实例却很少见。 这份名为《关于世界银行与冠状病毒pandemic.exe有关的新举措》的文件,是一份自解压的报告,其中列出了easymule.exe和1211.doc。 该文件确实包含有关世界银行一项新计划的信息,并且在元数据中引用了与该组织有关的真实个人作为作者。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:securelist,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

针对知名航天和军事公司的攻击活动分析

去年年底,我们发现了针对欧洲和中东地区的航空航天和军事公司的攻击活动,该攻击在2019年9月至2019年12月非常活跃。通过对两家受影响的欧洲公司的深入调查,我们对其攻击活动进行了深入了解,发现了之前从未被记录的恶意软件。 本文将对攻击活动的具体情况进行分析,完整的分析报告可查看白皮书《运营感知:针对欧洲航空航天和军事公司的针对性攻击》。 基于名为Inception.dll的相关恶意软件样本,我们将这些攻击称为“操作感知”,发现这些攻击活动具有很高的针对性。 为了危及目标,攻击者以诱人的虚假工作机会为幌子。在取得信任后,开始部署了自定义的多级恶意软件以及修改过的开源工具。除此之外还采用“陆上生存”策略,滥用合法工具和操作系统功能,使用多种技术来避免检测(其中包括代码签名、定期对恶意软件进行重新编译以及冒充合法公司来进行诈骗)。 我们调查了解到该行动的主要目标是间谍活动。但是在调查的某个案例中发现攻击者试图通过商业电子邮件折衷攻击(BEC)将访问受害者电子邮件帐户的权限货币化。虽然我们没有找到有力的证据将攻击与已知的威胁行为者联系起来,但发现了一些可能与Lazarus集团有联系的线索(其中包括定位目标、开发环境和使用的技术分析)。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

AcidBox:Turla Group 开发的针对俄罗斯组织的恶意软件

2014年一个名为Turla Group的恶意软件组织消息出现,爱沙尼亚外交情报局推断它源于俄罗斯,代表俄罗斯联邦安全局(FSB)进行运作,该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制,以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE,然后对未签名的有效负载驱动程序进行加载。 然而,这个漏洞有一些混淆,它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞,其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中,第二个攻击版本大约在2014年引入了内核模式恶意软件,其只使用了未修补的漏洞,我们将在后面详细讨论。 2019年2月,Unit 42发现了尚未知晓的威胁因素(信息安全社区不知道),发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2,还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版,在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击,因此很可能不会被安全公司发现。由于没有发现其他受害者,我们认为这是一个非常罕见的恶意软件,仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族,我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实,我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话,这个恶意软件很可能今天仍在使用。但是,我们预计它在一定程度上被重写了。根据我们掌握的信息,我们认为除了使用过的漏洞之外,这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1247/     消息来源:paloaltonetworks,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系

Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件,这些恶意软件在广告活动中使用,其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中,以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告:https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1246/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Gamaredon 威胁组织活动相关分析

研究人员发现,高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具,其中一个是针对微软Outlook的VBA宏(使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件)。我们还进一步分析了Gamaredon工具,这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里,这个群体的活动有所增加,不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档,在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言,从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单,旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是,Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力,但该小组的主要重点却是在试图窃取数据的同时,在目标网络中尽可能快地传播。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1245/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

NetWalker 勒索软件相关分析

Netwalker (又名 Mailto)勒索软件近期十分活跃。 由于新型冠肺炎的爆发,一些活跃的勒索软黑客们开始不再攻击医疗目标,但NetWalker 勒索软件却是例外。 这款勒索软件的赎金要求很高,很多受害者们因无法支付相关赎金导致数据被泄露。 最近美国的教育机构也成为了勒索软件的重点攻击目标,密歇根州立大学、加州大学旧金山分校和哥伦比亚大学芝加哥分校都没有幸免。近期的RaaS(勒索软件即服务)模式转变加剧了勒索的范围,导致网络检测和清理不再足以确保组织数据机密的安全,预防成为了面对威胁的唯一解决办法。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1243/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

TA410:针对美国公用事业部门的攻击组织再出新的恶意软件

去年8月,Proofpoint研究人员发现LookBack恶意软件在该年7月至8月间针对美国公用事业部门发起了网络攻击。通过分析8月21日至29发起的活动发现,这些攻击活动还利用恶意宏向美国各地的攻击目标发送恶意软件。与此同时,研究人员还发现了一个全新的恶意软件家族FlowCloud,这个家族也被交付给了美国的公用事业提供商。 像LookBack这样的FlowCloud恶意软件可以使攻击者完全控制受感染的系统。它的远程访问木马(RAT)功能包括访问已安装的应用程序、键盘、鼠标、屏幕、文件和服务进程,并通过这些命令控制来泄露信息。 通过观察2019年7月至11月间的网络钓鱼活动,基于威胁参与者使用共享附件宏、恶意软件安装技术和重叠交付基础结构我们可以确定LookBack和FlowCloud恶意软件都归因于我们称为TA410的威胁参与者。 此外,我们还发现TA410和TA429(APT10)之间的相似之处。具体来讲,他们之间有共同的附件宏,而且2019年11月检测到的TA410活动中还包括网络钓鱼附件传递宏中使用的与TA429(APT10)相关的基础结构。但是,Proofpoint分析师认为,黑客们可能是在故意使用TA429(APT10)技术和基础架构来进行虚假标记。因此,在进行研究时我们不会将LookBack和FlowCloud活动归因于TA429(APT10)。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1241/     消息来源:proofpoint, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

通过 Netwire 攻击链对意大利进行网络攻击

信息窃取软件是常见的恶意软件之一。 如:多平台远程管理工具(RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间,发现了一个特定的Office文档,该文档通过安装恶意软件插件,来对意大利人民发起隐藏性的网络攻击活动,这种攻击活动的特定供给链采取了独特的技术模式,类似于这种,本文将对此进行深入分析。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1238/     消息来源:yoroi, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Higaisa APT 相关新的 LNK 攻击分析

5月29日,我们发现了一起网络攻击事件,我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示:Higaisa APT与朝鲜半岛有关,并于2019年初被腾讯安全威胁情报中心进行了首次披露。 该小组的活动可以追溯到2016年,活动内容包括使用特洛伊木马(例如Gh0st和PlugX)以及移动恶意软件,活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。 在近期的攻击活动中,Higaisa使用了一个恶意快捷文件,该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1235/     消息来源:malwarebytes, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接