受国家支持的黑客组织开展间谍活动

根据一项新的研究,自2012年以来,以网络间谍活动而闻名的国家性质的黑客,正在使用挖矿技术来躲避检测,并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称,今年7月至8月期间,该组织部署了Monero硬币矿工,对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示:“这些硬币矿工的背后或许隐藏着更邪恶的活动。” 此次攻击的主要受害者是越南的国有企业以及与越南政府机构有关联的实体。 微软把Bismuth比作“OceanLotus”(或APT32),将其与间谍软件攻击联系在一起,这些间谍软件使用定制和开源工具集攻击大型跨国公司、政府、金融服务、教育机构、人权和民权组织等。 此前,OceanLotus利用了macOS的一个新后门,攻击者能够窥探并窃取受感染机器的机密信息和敏感商业文件。 使用硬币矿工进行混入 尽管该组织的渗透策略和间谍活动基本上没有什么变化,但“硬币矿工”为他们提供了一种新的盈利方式。 这个想法是为了争取时间进行横向移动,感染像服务器这样的高价值目标,以便进一步传播。 为了实现这一点,攻击者针对受害者使用了特制的越南语编写的鱼叉式网络钓鱼邮件。在某些情况下,攻击者甚至与目标建立通信,以增加打开电子邮件中嵌入的恶意文档并触发感染链的机会。 另一种技术涉及使用DLL侧加载,其中合法库被恶意变体替换,利用过期版本的合法软件(如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007)加载恶意DLL文件,并在受损设备和网络上建立一个持久的命令和控制(C2)通道。 新建立的通道随后被用来丢弃一些下一阶段的有效负载,包括用于网络扫描、凭证盗窃、Monero硬币挖掘和执行侦察的工具,其结果以“.csv”文件的形式传回服务器。 躲避策略 微软表示:“攻击者通过与正常的网络活动或预期会得到低关注的常见威胁混合在一起来躲避检测。” 建议企业通过加强电子邮件过滤和防火墙设置,加强凭证保护,启用多因素身份验证来限制用于获得初始访问权限的攻击面。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

安全人员对 APT 黑客攻击的调查

本次攻击是一个著名的亚洲APT组织所为,该组织涉嫌对政府目标进行网络间谍活动。在本文中,我们将分享这次攻击的调查结果。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1414/           消息及封面来源:ptsecurity,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

cPanel 和 WHM 软件中存在双因素身份验证绕过漏洞

cPanel是管理web托管的流行管理工具的提供商,它修补了一个安全漏洞,该漏洞可能允许远程攻击者访问有效凭据,绕过帐户的两因素身份验证(2FA)保护。 该问题被称为“seco -575”,由Digital Defense研究人员发现,该公司在软件的11.92.0.2、11.90.0.17和11.86.0.32版本中对其进行了修复。 cPanel和WHM(Web主机管理器)提供了一个基于Linux的控制面板,供用户处理网站和服务器管理,包括添加子域、执行系统和控制面板维护等任务。到目前为止,使用cPanel的软件套件在服务器上启动了超过7000万个域。 该问题源于在登录期间2FA缺乏速率限制,从而使得攻击者能够使用暴力方法反复提交2FA代码并绕过身份验证检查。 Digital Defense研究人员表示,这种攻击可以在几分钟内完成。 “双因素身份验证cPanel安全策略没有阻止攻击者重复提交双因素身份验证代码,”cPanel表示,“这使得攻击者能够使用暴力技术绕过双因素身份验证检查。” 为了解决这个问题,该公司在cPHulk蛮力保护服务中加入了速率限制检查,如果2FA代码验证失败,就会被视为登录失败。 这已经不是第一次因为没有限制速率而引发严重的安全问题了。 早在今年7月,视频会议应用Zoom修复了一个安全漏洞,该漏洞可能使潜在攻击者破解用于在平台上保护私人会议的数字密码,并监听参会者。 我们建议cPanel的用户使用补丁来降低与该漏洞相关的风险。           消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

VMware 存在严重的命令注入型漏洞 且尚未被修复

VMware发布了临时解决方案,以解决其产品中的一个严重漏洞,攻击者可以利用该漏洞控制受影响的系统。 这家虚拟化软件和服务公司在其咨询中指出:“恶意攻击者可以通过端口8443访问网络上的管理配置器,配置器管理员帐户的有效密码,从而可以在底层操作系统上以不受限制的特权执行命令。” 该命令注入漏洞的编号为CVE-2020-4006,其CVSS评分为9.1(满分10),影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。 虽然该公司表示此漏洞的补丁“即将发布”,但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。 受影响产品的完整列表如下: VMware Workspace One Access(适用于Linux和Windows的版本20.01和20.10) VMware Workspace One Access Connector(适用于Windows的版本20.10、20.01.0.0和20.01.0.1) VMware Identity Manager(适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3) VMware Identity Manager Connector(适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3) VMware Cloud Foundation(适用于Linux和Windows的4.x版) vRealize Suite Lifecycle Manager(适用于Linux和Windows版本8.x) VMware表示,该解决方案仅适用于托管在8443端口上的管理配置器服务。 该公司表示,“解决方法实施后,将无法更改配置器管理的设置。如果需要更改,需要先恢复原来的状态,进行必要的更改后再次禁用,直到补丁可用。”           消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TA416 使用 PlugX 恶意软件新的 Golang 变种进行攻击

国庆假期之后,安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测,该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种,并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1407/         消息来源:proofpoint,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Facebook Messenger 漏洞让黑客可以监听电话信息

Facebook在Android Messenger应用程序中修复了一个漏洞,该漏洞可能使远程攻击者呼叫没有防备的用户,并在他们接听前监听它们的声音。 10月6日,Google零项目漏洞调查团队的Natalie Silvanovich将该漏洞发现并报告给Facebook,此漏洞影响到Android Messenger的284.0.0.16.11919版本(以及更早版本)。 简而言之,该漏洞可能会使登录应用程序的攻击者同时发起呼叫,并向同时登录应用程序和其他Messenger客户端(如web浏览器)的目标发送精心编制的消息。 Facebook的安全工程经理Dan Gurfinkel表示: “这将触发一种情况,即当设备响铃时,呼叫者会开始接收音频,直到被叫者应答或呼叫超时为止。” 根据Silvanovich的技术报告,该漏洞存在于WebRTC的会话描述协议(SDP)中,该协议定义了用于在两个端点之间交换流媒体的标准化格式,从而使攻击者可以发送一种称为“ SdpUpdate”的特殊类型的消息,该消息将导致呼叫在被应答之前连接到被叫方的设备。 通过WebRTC进行的音频和视频通话通常不会在接收者单击“接受”按钮之前传输音频,但是如果此“ SdpUpdate”消息在振铃时发送到另一终端设备,“将导致它立即开始传输音频,攻击者可以借此监视被呼叫者的周围环境。”   在某些方面,该漏洞与去年Apple的FaceTime群聊功能中报告的侵犯隐私的漏洞相似,该漏洞使用户可以通过添加自己的号码作为第三方来发起FaceTime视频通话,甚至在对方接受来电之前就可以窃听目标通话。 这个漏洞非常严重,以至于苹果在解决了该问题之前就完全中断了FaceTime群组聊天。 但与FaceTime错误不同,利用此漏洞并不是那么容易。呼叫者必须已经具有呼叫特定人员的权限,换句话说,呼叫者和被呼叫者必须是Facebook朋友才能实现。 更重要的是,攻击者必须使用诸如Frida之类的逆向工程工具来操纵自己的Messenger应用程序,以迫使其发送自定义的“SdpUpdate”消息。 Silvanovich因为报告了这个问题而获得了6万美元的奖金,这是Facebook迄今为止最高的三个bug奖金之一,这位谷歌研究员表示,她将这笔奖金捐给一个名为GiveWell的非盈利组织。 这不是Silvanovich第一次发现通讯应用程序中的严重漏洞,他之前在WhatApp、iMessage、WeChat、Signal和Reliance JioChat中也发现了一些问题,其中包括“无需用户交互,被叫方设备就会发送音频”的问题。       消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

工业控制系统存在可导致远程代码攻击的严重漏洞

实时自动化(RTA)499ES EtherNet/IP(ENIP)堆栈中存在一个严重漏洞,该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一,被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局(CISA)在一份咨询报告中表示:“成功利用此漏洞可能造成拒绝服务,缓冲区溢出可能允许远程代码执行。” 到目前为止,尚未发现针对此漏洞的已知公开攻击。然而,“根据互联网连接设备的公共搜索引擎,目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159,CVSS评分为9.8(满分10分),影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码,但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本,并将其集成到自己的固件,从而使多台设备处于危险之中。 研究人员表示:“在六家供应商的产品中,有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议(CIP)中使用的路径解析机制的不正确检查(CIP是一种用于组织和共享工业设备中的数据的通信协议),使得攻击者能够打开具有较大连接路径大小(大于32)的CIP请求,并导致解析器写入内存地址超出固定长度缓冲区,从而可能会导致任意代码执行。 RTA在披露中表示:“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM,攻击者有可能试图使缓冲区溢出,并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块,其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出:“与先前的披露类似(例如Ripple20或Urgent / 11),这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本,以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露,确保不能从网络访问这些设备。 CISA表示: “将控制系统网络和远程设备放在防火墙后面,并将它们与业务网络隔离开。当需要远程访问时,使用安全方法,例如虚拟专用网(VPN)。但是VPN可能存在漏洞,应将其更新为可用的最新版本。”         消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

勒索软件 Ranzy:ThunderX 升级加密的变体

Ranzy勒索软件出现在今年9月/10月,似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新,包括加密的调整,过滤的方法,以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1403/         消息来源:SentinelLABS,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。