Turla 黑客组织使用 HyperStack、Carbon 和 Kazuar 攻击欧洲政府组织

Turla被Accenture Cyber Threat Intelligence认定为Belugasturgeon,该组织使用自定义恶意软件(包括更新的旧版工具)瞄准政府组织,这些恶意软件旨在通过重叠的后门访问来保持持久性,同时跳过受害者的防御。HyperStack后门程序就是这样一种工具,它已经完成了重大更新,这些更新似乎受到了Carbon后门程序和RPC后门程序的启发。 Turla开展间谍活动已有十多年了。该组织主要针对外国政府和大使馆,使用先进定制工具,进行长期隐藏。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1385/       消息来源:accenture ,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌从 Play Store 中删除了 21 个恶意 Android 应用

谷歌已从Play Store中删除了几款Android应用程序,原因是这些应用被发现投放了侵入性广告。 捷克网络安全公司Avast周一报道了这一发现,称21个恶意应用(从此处列出)从Google应用市场下载了近800万次。 这些应用伪装成无害的游戏应用,并带有HiddenAds恶意软件,该恶意软件是一个臭名昭著的木马,以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。 今年6月初,Avast发现了类似的HiddenAds广告活动,其中涉及47个游戏应用程序,下载量超过1500万次,用于显示设备范围内的入侵广告。 Avast的JakubVávra说:“广告软件开发商越来越多地使用社交媒体渠道,就像普通的营销人员一样。” “这次,用户报告显示,他们的目标是在YouTube上宣传游戏的广告。” “9月份,我们看到广告软件通过TikTok传播。这些社交网络的普及使它们成为有吸引力的广告平台,也使攻击者以年轻的受众为目标。” 安装后,这些应用程序不仅会隐藏其图标以防止删除,而且还隐藏在具有相关外观的广告后面,从而使其难以识别。 此外,这些应用还可以覆盖其他应用,以显示无法跳过的定时广告,在某些情况下,甚至可以打开浏览器用广告轰炸用户。 谷歌一直在积极阻止流氓Android应用渗透到谷歌Play Store。它利用谷歌Play Protect来筛选可能有害的应用程序,并于去年与网络安全公司ESET、Lookout和Zimperium结成“App Defense Alliance”,以降低基于应用程序的恶意软件的风险。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

关于 Ryuk 如何发展加密和躲避技术的探索

在过去的三个月里,勒索软件上升了50%,在一系列高调攻击之后,Ryuk勒索软件获得了最多的关注。上个月,有报道称,Ryuk攻击了UHS的医院网络,攻击范围为美国各海岸之间UHS的医疗设施。这一攻击使得许多医院工作人员无法正常使用实验室、放射检查和患者记录,这导致工作人员不得不使用纸笔对患者进行分类。目前,Ryuk每周攻击大约20个组织,这个数字可能会不断扩大。 Ryuk利用了TrickBot和Emotet等其他工具,快速响应了Zerologon等新暴露的漏洞。我们还看到,Ryuk自出现以来一直在进行迭代以逃避检测,显著提高了从执行到完全加密所需的时间,这使得我们的防范变得越发艰难。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1380/       消息与封面来源:SentinelLABS  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

T-RAT 2.0:通过智能手机控制恶意软件

恶意软件攻击者希望通过便利功能吸引客户。现在,攻击者只需使用智能手机和Telegram应用程序,就可以远程控制恶意软件。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1379/       消息与封面来源:GDATA  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

大量伪造 Amazon Japan 邮件的网络钓鱼活动

自2020年8月以来,Proofpoint的研究人员跟踪了大量的Amazon Japan凭证和信息网络钓鱼活动,这种可疑活动可追溯到2020年6月。这些信息冒充Amazon Japan,暗示接收者需要检查他们的帐户,以确认“所有权”或“更新的付款信息”。单击邮件中的链接后,收件人将进入以Amazon为主题的凭证仿冒登录页面,这些页面收集凭证、个人识别信息(PII)和信用卡号码。这些信息已经被发送到日本的某些组织。这些页面被防护,以确保只有基于日本的收件人才能被带到凭证仿冒页面。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1374/       消息与封面来源:proofpoint  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Interplanetary Storm Golang 僵尸网络

Bitdefender的研究人员发现Interplanetary Storm Golang僵尸网络可以用作高度匿名的proxy-network-as-a-service和基于订阅的模型租用。攻击者精通使用Golang和开发实践,并且善于隐藏管理节点。Interplanetary Storm还有一个复杂的、模块化的设备,该设备用来寻找新目标、推送和同步新版本恶意软件,对被感染者执行任意命令并与C2服务器通信公开web API。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1373/       消息与封面来源:bitdefender  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

IAmTheKing 和 SlothfulMedia 恶意软件家族

2020年10月1日,DHS CISA机构发布了有关SlothfulMedia的恶意软件家族的信息。 2018年6月,我们基于恶意软件样本中发现的恶意软件字符串,发布了有关IAmTheKing的新活动集群的第一份报告。有趣的是,其中包含了其他字符串“kapasiky antivirus”,“leave [them] alone”。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1369/       消息与封面来源:securelist  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印度在 Covid-19 期间网络攻击激增

COVID-19不仅会对健康、社会和经济造成危害,而且会引发网络安全危机。这一流行病给企业在远程协作和业务连续性领域带来了新的挑战。 随着远程工作越来越多,员工们使用了大量的互联网工具。由于企业和人们开始越来越依赖技术,并忙于与流行病作斗争,攻击者现在比以往任何时候都有更多的选择来攻击他们。 根据PWC的4月报告,印度公司面临的安全威胁在2020年3月翻了一番,更令人担忧的是,从2020年1月17日到20日,安全威胁的数量增加了100%。 印度联邦电子与信息技术国务部长Sanjay Dhotre表示,印度第二季度发生的网络攻击超过35万次,是2020年第一季度记录事件数量的三倍。他还强调,截止到2020年8月,一共发生70万起网络安全事件。 数字网络安全危机 ACRONIS Cyber Readiness 2020年报告显示,全球31%的公司每天至少面临一次网络安全事件。然而,印度每天报告的网络攻击次数是以前的两倍,其中大多数网络攻击包括网络钓鱼、DDoS、视频会议、利用弱服务和恶意软件。 网络钓鱼活动是最令人担忧的攻击,因为它们在这场流行病期间达到了顶峰。尽管恶意软件的数量较少,但在印度,它仍然是一个更为严重的问题——报告的恶意软件问题几乎是全球平均水平的2倍。 此外,在接受调查的组织中,有39%经历了视频会议攻击。其中,印度、加拿大、瑞士和英国是受影响最大的国家。 以冠状病毒为主题的网络钓鱼电子邮件和声称有关COVID-19的有用信息的恶意网站已成为了最大威胁。此外,根据Seqrite的报告,从2020年4月至6月,共发现40万起新的勒索软件攻击。 这些网络攻击大多是通过利用易受攻击的服务获得对远程系统的访问进行的。 为什么印度容易遭受网络攻击? NITI Aayog报告指出,原因是越来越多地使用互联网和移动技术。印度在全球互联网用户数量排名第三,仅次于美国和中国。随着互联网和手机用户的指数级增长,印度和全球的网络攻击事件数量显著上升。 内部安全威胁被忽略。企业更注重通过无缝操作保证业务连续性,而不是弥合远程基础架构中的缺口。如果敏感数据在不同部门之间流动,而没有适当的监视和记录过程,那么在发生任何攻击时识别漏洞就变得很困难。 外部威胁增加。随着不断增加的外部威胁,只有少数印度公司采取了网络应用防火墙等安全措施来监控外部威胁,并在网络攻击事件发生时及时阻止。 远程工作期间暴露出弱点。远程工作期间暴露的主要弱点包括身份验证技术薄弱、监控不足和暴露的服务器(DNS、VPN、RDP等)。 此外,许多员工通常忽视个人网络安全。在这种“work from anywhere culture”的文化下,员工开始在自己的官方机器上访问自己的个人电子邮件和社交媒体网站。总的来说,随着个人和工作生活的在线融合,网络攻击很容易通过不安全的个人帐户发生。 缺少云技术方面的专业知识也是问题所在。为了确保从任何设备和任何地方访问数据的方便性,许多公司都采用了云技术。然而,他们没有足够的内部资源来管理和保护APIs, SaaS或containers。越来越多的低配置云架构将不可避免地为攻击者打开大门。 保护措施 以下是一些安全提示: 1.对员工进行安全原则培训。 2.对于通过电子邮件收到的附件、链接或文本,尤其是与COVID-19相关的主题行,要谨慎 构建的远程工作策略。 3.仅使用可信来源,如从合法网站获取最新信息。 4.不要在陌生人的电子邮件或电话中透露你的财务或个人信息。 5.鼓励只为公务目的使用办公设备。 6.不要在不同的帐户和应用程序之间重复使用密码。 7.进行数据备份并单独存储。 8.使用多因素身份验证。 9.使用基于云的WAF(如AppTrana)使堆栈现代化,AppTrana是下一代网络安全保护套件,包括漏洞评估、虚拟补丁、零误报、DDoS攻击防范和其他功能。 在网络安全领域,下一代威胁监测工具和预测分析超越了基于规则的系统,可以检测网络风险,从而以安全、快速的方式标记潜在威胁。有了足够的全国性的网络安全意识和强有力的政策,企业才能够在未来有效地应对网络威胁。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

FIN11 黑客在勒索软件攻击中使用新技术时暴露

一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11,已经研究出了专注于勒索软件和勒索的策略。 据FireEye的Mandiant威胁情报团队称,该组织至少自2016年以来就参与了一系列网络犯罪活动,其中包括利用组织网络获取资金,此外还针对金融、零售、餐厅以及制药行业的销售点(POS)部署了恶意软件。 Mandiant说:“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。” 尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关,但Mandiant指出,TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手,它们通过Necurs僵尸网络进行恶意垃圾邮件攻击。 今年3月早些时候,微软策划了摧毁Necurs僵尸网络的行动,试图阻止攻击者的进一步活动。 大量恶意垃圾邮件活动 除了利用大量恶意电子邮件分发机制外,FIN11还将其目标扩展到本地语言诱饵,再加上伪造的电子邮件发送者信息,如伪造的电子邮件显示名称和电子邮件发送者地址,以使消息看起来更合法。在2020年,他们更倾向于攻击德国的组织。 例如,该组织在2020年1月发起了一场电子邮件活动,邮件主题包括“research report N-[five-digit number]”和“laboratory accident”,随后,他们在3月发起了第二波攻击,主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。 Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明:FIN11的高容量电子邮件分发活动在不断演变。 “有大量公开报告表明,2018年的某个时期,FIN11严重依赖Necurs僵尸网络进行恶意软件分发。值得注意的是,观察到的Necurs僵尸网络停机时间与FIN11的活动停滞直接对应。” 事实上,根据Mandiant的研究,从2020年3月中旬到2020年5月下旬,FIN11的活动似乎已经完全停止,但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。 Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader,然后将MIXLABEL后门发送到受感染的设备上。 向混合勒索转变 然而,近几个月来,FIN11的货币化努力导致一些组织感染了CLOP勒索软件,此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合,以迫使企业支付从几十万美元到百万美元不等的勒索账单。 Moore说:“FIN11通过勒索软件和勒索手段将入侵行为货币化,这在有经济动机的攻击者中呈现出更广泛的趋势。” “历史上比较常见的货币化策略,例如部署销售点恶意软件,限制了攻击者以某些行业的受害者为目标,而勒索软件的分发可以让攻击者入侵几乎任何组织的网络,然后从中获利。” “这种灵活性,再加上越来越多关于赎金不断膨胀的报道,极大地吸引了有经济动机的攻击者”他补充道。 更重要的是,据称FIN11使用了从地下论坛购买的各种工具(例如FORKBEARD, SPOONBEARD和MINEDOOR),因此很难进行归因。 攻击者可能是CIS出身 至于FIN11的根源,Mandiant表示,由于存在俄语文件元数据,避免在CIS国家部署CLOP,因此该组织在CIS国家之外开展业务。而且,1月1日至8日,俄罗斯新年和东正教圣诞节期间的活动急剧减少。 Moore说:“除非对他们的运营造成某种干扰,否则FIN11极有可能继续部署勒索软件,窃取数据用于勒索。” “由于该组织定期更新其TTP,以逃避检测并提高其活动的有效性,这些渐进性的变化也可能继续下去。然而,尽管最近的活动中,FIN11始终依赖于嵌入的Office文档的恶意更改”。 “我们可以通过培训用户识别网络钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测,将被FIN11危害的风险降至最低。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软提醒安卓用户当心一款新型勒索软件

微软警告称,一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。 这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体,该软件现在以新技术重新出现,包括在受感染设备上传递赎金需求的新方法,以及逃避安全解决方案的模糊机制。 在这一事态发展之际,针对关键基础设施的勒索软件攻击激增,过去三个月勒索软件攻击的日均次数比上半年增加了50%,攻击者越来越多地将双重勒索纳入他们的行动计划。 MalLocker被称为恶意网站,它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。 以前的勒索软件利用了安卓的可访问性功能或称为“SYSTEM_ALERT_WINDOW”的权限,在所有其他屏幕上显示一个持久的窗口来显示赎金条,通常伪装成假的警方通告或发现图像的警报。 但就在反恶意软件开始检测到这种行为时,新的安卓勒索软件变种已经进化出了克服这一障碍的策略。MalLocker.B通过一种全新的策略来实现同样的目标。 为此,它利用“呼叫”通知来提醒用户来电,以便显示一个覆盖整个屏幕区域的窗口,然后将其与Home或Recents键组合,以将勒索通知触发到前台,并防止受害者切换到任何其他屏幕。 微软称:“触发勒索软件屏幕的自动弹出无需进行无限重绘或假装成系统窗口。” 安全人员还注意到存在一个尚未集成的机器学习模型,该模型可用于在屏幕内不失真地拟合勒索便条图像,这暗示了恶意软件的下一步的发展。 此外,为了掩盖其真实目的,勒索软件代码被严重混淆,并通过篡改名称和故意使用无意义的变量名和垃圾代码来阻止分析,使其无法阅读。 微软365 Defender研究团队称:“这种新的移动勒索软件变种是一个重要发现,因为这些恶意软件表现出以前从未见过的行为,并可能为其他恶意软件打开大门。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。