Evilnum 黑客使用新的基于Python的木马攻击金融公司

至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Epic Manchego——非典型的 maldoc 交付带来了大量的信息窃取者

前言 2020年7月,NVISO检测到一组恶意Excel文档,也称为“ maldocs”,它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷,但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术,使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下,这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外,它简要描述了观察到的有效负载,最后以建议和危害指标结尾,以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1328/ 消息来源:NVISO   ,封面来源:网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

KryptoCibule:多任务多货币密码窃取

前言 ESET研究人员发现了迄今未记录的恶意软件家族,我们将其命名为KryptoCibule。对加密货币而言,这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币,试图通过替换剪贴板中的钱包地址来劫持交易,并泄漏与加密货币相关的文件,同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写,还使用了一些合法软件。有些东西,例如Tor和Transmission torrent客户端,与安装程序捆绑在一起。其他的则在运行时下载,包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1326/ 消息与封面来源:welivesecurity   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国工资协会披露信用卡被盗事件

美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会,拥有20,000多个会员和121个APA关联的本地分会,组织培训研讨会和会议,每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书,并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日,APA发现其网站和在线商店被攻击者攻破,攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知,利用组织内容管理系统(CMS)中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权,他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示,该恶意活动可以追溯到2020年5月13日,大约是美国东部时间下午7:30。 APA说:“未经授权的个人可以访问登录信息(即用户名和密码)和个人支付卡信息(即信用卡信息及相关数据)。” 此外,在某些情况下,攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击(也称为Magecart或电子掠夺),通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后,APA立即为他们的网站和商店的CMS安装了最新的安全更新,以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后,APA的安全团队还增加了安全补丁程序的频率,并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码,并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源:BLEEPINGCOMPUTER,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄公民因意图向美国公司植入恶意软件而被捕

即使没有可利用的软件漏洞,黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民,他最近前往美国,并向目标公司的一名员工行贿100万美元,以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日,27岁的Egor Igorevich Kriuchkov作为一名游客进入美国,他曾多次与内华达一家未透露姓名的公司的雇员会面,讨论这起阴谋,之后在洛杉矶被捕。 法庭文件提到: “大约在7月16日左右,Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员,并安排亲自去内华达州探望。” “大约在7月28日左右,Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件,Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据,使攻击者能在以后威胁该公司,要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺,在成功植入上述恶意软件后,将支付100万美元比特币,并提出对该公司网络发起DDoS攻击,以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排,他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式,包括使用加密货币,担保人保证金或现金支付。” “在与联邦调查局联系后,Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票,以试图飞出该国。” 在被联邦调查局逮捕后,联邦调查局对Kriuchkov及其会议进行了实时监视,Kriuchkov列出了该团伙之前针对的公司,并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是,一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终,Kriuchkov被控一项共谋罪,意图故意对受保护的计算机造成损害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

QakBot 恶意文档活动引入两项新技术

从本月初开始,Morphisec实验室跟踪了一个大规模的恶意软件活动,该活动提供QakBot / QBot银行木马。Qakbot利用先进的技术来逃避检测并阻止对威胁的人工分析。在这篇文章中,我们将提到其中两种有趣的技术——通过压缩Word文档绕过内容撤防和重建(CDR)技术、绕过子模式检测模式。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1308/ 稿件与封面来源:Morphisec,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Jenkins 服务器漏洞可能泄露敏感信息

Jenkins发布了一篇关于jettyweb服务器中一个严重漏洞的公告,该漏洞可能导致内存损坏,并导致机密信息泄露。该漏洞的编号为CVE-2019-17638,CVSS等级为9.4,影响范围为Eclipse Jetty版本9.4.27.v20200227至9.4.29.v20200521。 “该漏洞允许未经身份验证的攻击者获取HTTP响应标头,其中可能包含针对其他用户的敏感数据。” 这个影响Jetty和Jenkins核心的漏洞似乎是在Jetty版本9.4.27中引入的,该版本添加了一个机制来处理大型HTTP响应头并防止缓冲区溢出。 Jetty项目负责人GregWilkins说:“问题是在缓冲区溢出的情况下,我们释放了头缓冲区,但没有使字段为空。” 为解决此问题,Jetty引发异常以产生HTTP 431错误,该错误导致HTTP响应标头两次释放到缓冲池中,进而导致内存损坏和信息泄露。 因此,由于双重释放,两个线程可以同时从池中获取相同的缓冲区,并且可能允许一个请求访问由另一个线程写入的响应,该响应可能包括会话标识符、身份验证凭据和其他敏感信息。 换句话说,“当thread1要使用ByteBuffer写入response1数据时,thread2用response2数据填充ByteBuffer。然后,Thread1继续写入现在包含response2数据的缓冲区。这导致client1发出了request1并期望响应,看到response2可能包含属于client2的敏感数据。” 在一种情况下,内存损坏使得客户端能够在会话之间移动,从而可以进行跨帐户访问,因为来自一个用户响应的身份验证cookie被发送到另一用户,从而允许用户A跳入用户B的会话。 披露安全隐患后,上个月发布的Jetty 9.4.30.v20200611解决了该漏洞。Jenkins在昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5中修复了其实用程序中的缺陷。 建议Jenkins用户将他们的软件更新到最新版本,以缓解该漏洞的危害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。