分类: 恶意软件

针对 DNA 供应链的攻击可导致病毒生成

周一,内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候,本·古里安的研究小组表示,黑客不再需要物理接触“危险”物质即可生产“病毒”。相反,黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性:合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言,合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。 向合成基因者下达DNA命令时,美国卫生与公众服务部(HHS)指南要求制定筛选方案以扫描潜在有害DNA。 但是,该黑客团队有可能通过混淆来规避这些方案,在50个混淆的DNA样本中,有16个未针对“最佳匹配” DNA筛选被检测到。 用于设计和管理合成DNA项目的软件也可能会受到浏览器内人为攻击的攻击,该攻击可用于将任意DNA字符串注入基因顺序,从而简化了团队所谓的“端到端网络生物学攻击”。这些系统提供的合成基因工程管道可以在基于浏览器的攻击中被篡改。黑客可能使用恶意浏览器插件,例如“将混淆的病原体DNA注入合成基因的在线顺序中”。 在证明这种攻击可能性的案例中,研究小组引用了残留的Cas9蛋白,并使用恶意软件将该序列转化为活性病原体。研究小组说,“当使用CRISPR协议时,Cas9蛋白可以被用来‘模糊化宿主细胞内的恶意DNA’。”对于不知情的科学家来说,这可能会导致意外产生了危险物质,包括合成病毒或有毒物质。 BGU复杂网络分析实验室负责人Rami Puzis表示:“为了管制有意和无意的危险物质生成,大多数合成基因提供者会筛选DNA指令,这是目前抵御此类攻击的最有效方法。” “不幸的是,筛查指南尚未适应反映合成生物学和网络战的最新发展。” 潜在攻击链概述如下: Puzis补充说:“这种攻击情景强调了必须通过防御网络生物学威胁来强化合成DNA供应链。” 为了解决这些威胁,我们提出了一种改进的筛选算法,该算法考虑了体内基因编辑。       消息及封面来源:zdnet;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。 据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。 7月,ATM机领先制造商Diebold Nixdorf向客户发出了警报:黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到,所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述:黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源:securityaffairs;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Apache 服务器背后的 Stantinko 代理

黑客通常会开发自己的Linux恶意软件,BlackTech的新型恶意软件ELF_PLEAD 和Winnti的PWNLNX 工具就是最近的例子。结合这种趋势,我们发现了与Stantinko group相关的新版本Linux代理木马。在本文发布之时,只检测到一个在VirusTotal中的恶意软件。 Stantinko黑客组织以Windows操作系统为目标而闻名,其活动可以追溯到2012年。恶意软件主要包括硬币矿工和广告软件僵尸网络。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1410/           消息及封面来源:intezer,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意软件 WAPDropper 滥用 Android 设备进行 WAP 欺诈

安全研究人员发现,目前有一种新的Android恶意软件正在广泛传播,主要针对东南亚的用户。该新恶意软件名为 WAPDropper  ,目前通过第三方应用商店上托管的恶意应用进行传播。 Check Point表示,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用。 最终结果是,所有被感染的用户每个月都会收到大笔电话账单,直到他们取消订阅保费号码或向其移动提供商报告问题为止。 这种策略被称为“ WAP欺诈”,在2000年代末和2010年代初非常流行,随着智能手机的兴起而逐渐消失,但 在2010年代后期卷土重来, 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。 WAPDROPPER黑客组织最有可能位于东南亚 Check Point表示,基于此计划中使用的高级电话号码,黑客很可能位于泰国或马来西亚的某个人或与其合作。 报告说:“在这种计划和类似的计划中,黑客和溢价率数字的所有者正在合作,甚至可能是同一群人 。”“这简直是一场数字游戏:使用优质服务拨打的电话越多,为那些服务背后的人带来的收入就越多。每个人都赢了,除了不幸的骗局受害者。” 至于恶意软件本身,Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper,第二个模块是执行实际WAP欺诈的组件。 第一个模块是恶意应用程序内部仅有的一个模块,主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上,此模块将下载第二个组件并开始对受害者进行欺诈。 但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示: “目前,该恶意软件丢弃了高级拨号程序,但将来,有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上,然后再下载其他恶意软件,这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击,全球感染总数达数亿。Hazum补充说:“预计这一趋势将继续下去。” Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet,他们暂时在名为“ af ”,“ dolok ”,名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。     消息来源:zdnet ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TMT 网络犯罪集团三名成员在尼日利亚被捕

据国际刑警组织周三报道,三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕,该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称,这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。 Group-IB表示,该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。 为了发送他们的电子邮件垃圾邮件,该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具,然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。 这些文件附件中掺杂着各种恶意软件,使黑客能够进入受感染的电脑,并从那里集中窃取浏览器、电子邮件和FTP客户端的证书。 Group-IB表示,该组织 “完全依靠各种公开的”恶意软件,如AgentTesla、Loky、AzoRult、Pony、NetWire等,这些恶意软件都可以免费下载或在地下论坛上廉价出售。 一旦黑客获得了凭证,TMT集团就会从事商业电子邮件欺诈 (BEC) ,这是一种在线诈骗,他们会试图欺骗公司向错误的账户付款–由该集团成员控制。 TMT集团用多种语言发送电子邮件垃圾邮件,并成功感染了美国、英国、新加坡、日本、尼日利亚等国的公司。 虽然调查仍在进行中,但国际刑警组织和Group-IB表示,他们能够追踪到超过5万个被该组织恶意软件感染的组织。据国际刑警组织称,总共有150多个国家的50多万家政府和私营企业收到了该组织的电子邮件。 Group-IB表示,该集团是由多个小的子集团组织起来的,它们共同合作,TMT的许多成员仍然在逃。Group-IB发言人表示,这个组织并不是AdvIntel 2019年报告中提到的那个TMT组织(是REvil勒索软件的主要传播者之一)。         (消息及封面来源:cnBeta)

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TA416 使用 PlugX 恶意软件新的 Golang 变种进行攻击

国庆假期之后,安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测,该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种,并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1407/         消息来源:proofpoint,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

RegretLocker:可加密 Windows 虚拟硬盘的新型勒索软件

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件,尽管该软件包没有多余的装饰,但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间,还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1406/         消息来源:malwarebytes,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ELF_PLEAD——BlackTech 黑客组织针对 Linux 的恶意软件

在过去的一篇文章中,我们介绍了Linux恶意软件ELF_TSCookie,它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本(ELF_PLEAD)。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1401/         消息来源:JPCERT,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。