分类: 恶意软件

Linux 恶意软件 Kobalos 曝光

安全公司 ESET 近日放出了一则警告,提醒一款被挂有木马的 OpenSSH 软件,或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos,安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大,但 Kobalos 后门还是渗透了一些主要目标,包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商(ISP)的系统。 参考希腊神话中一个顽皮的小动物,ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris,安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。 通过逆向工程可知,Kobalos 能够在互联网上扫描受害者。而且在大多数情况下,受害者主要集中在大型系统和超级计算机领域(另有涉及部分私有服务器设施),但目前尚未揪出相关事件的幕后黑手。 过去一年,互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿,受害者包括波兰、加拿大等地的受感染服务器。 新闻中还提到过英国的 Archer 超级计算机(其 SSH 证书被盗),但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。 ESET 研究人员补充道,尽管 Kobalos 的代码库很是精简,但却包含了用于运行命令和远程服务器控制的代码。 为缓解攻击,安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。 最后,ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos(或 Linux / Agent.IV)。 而用于 SSH 证书窃取的程序,则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。           (消息来源:cnBeta;封面源自网络)

报告称勒索软件赎金在减少

据外媒报道,虽然勒索软件仍是一个祸害,但现在也有一些好消息:受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢?–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示,自2018年Q3以来,勒索软件的平均支付额持续上升,但在去年Q4下降34%,降至15.4108万美元。 与此同时,支付勒索软件费用的中位数也下降了55%,降至49,450美元。 一般来说,任何遭到勒索软件攻击的人都不被建议交出任何密码,因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称,如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道,这类攻击占Q4所有勒索软件攻击的70%,高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露,所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中,只有60%的公司同意在Q4支付,低于第三季度的75%。 报告写道:“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外,我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体,电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击,其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行,因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%,仅次于医疗保健–占比17.9%。长期以来,医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延,这些组织已经濒临崩溃的边缘,勒索软件的攻击则可能会造成生命的损失。             (消息及封面来源:cnBeta)

黑客利用特朗普丑闻假视频传播恶意软件

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。 电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始,它们均会检索使用Allatori Java混淆器加扰的JAR文件(“ Spec#0034.jar”)。 第一阶段下载程序将Node.Js平台设置到系统上,下载并执行称为“ wizard.js”的第二阶段下载程序,该程序负责持久获取并运行Qnode RAT(“ qnode-win32-ia32。 js”)。 QRAT是典型的远程访问木马,具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报,该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着,一旦用户单击“确定”按钮,该样本的恶意行为就会开始显现。 此外,JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序,更新的恶意软件链可立即获取QRAT有效负载(现称为“ boot.js”)。 就其本身而言,RAT除了通过VBS脚本负责保持在目标系统上的持久性外,还使用了base64编码对代码进行了加密。 Topera总结说:“自我们首次检查以来,该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

新型 Golang 蠕虫传播恶意软件

自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本(取决于目标平台),一个基于Golang的二进制蠕虫,以及部署的XMRig矿工,以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币(门罗币)。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器,就会部署加载器脚本(Linux的ld.sh和Windows的ld.ps1),该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口,它将自动杀死自己。如果该端口未被使用,蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击,网络管理员应该限制登录条件,并在所有暴露在互联网上的服务上使用难以猜测的密码,以及尽可能使用双因素认证。       (消息来源:cnBeta;封面来自网络)  

新型 Golang 蠕虫在服务器上投放 XMRig Miner 病毒

12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。 该蠕虫试图在网络中传播,以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器,可以轻松地从一个平台转移到另一个平台。它的目标是面向公众的服务:密码较弱的MySQL、Tomcat管理面板和Jenkins。在较旧的版本中,该蠕虫还尝试利用WebLogic的最新漏洞:CVE-2020-14882。 在我们的分析过程中,攻击者不断更新C&C服务器上的蠕虫。这表明该蠕虫处于活跃状态,并且可能在将来的更新中针对其他弱配置的服务。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1440/         消息来源:intezer,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

UltraRank 黑客组织的新攻击

2020年8月,Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动,该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。 2020年11月,我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击,而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。 在UltraRank的新活动中,我们发现了12个被JavaScript-sniffer感染的电子商务网站。 这次,JS sniffer的代码使用了Radix模糊处理。然后,攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少,攻击者最有可能使用了CMS管理面板中的凭据,而这些凭据又可能被恶意软件或暴力攻击破坏。 在最近的一系列攻击中,UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现,攻击者的主服务器由Media Land LLC托管,该公司与一家防弹托管公司有联系。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1438/       消息来源:group-ib,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Lazarus 黑客组织瞄准 COVID-19 进行恶意活动

在跟踪Lazarus组织的活动时,我们发现他们最近瞄准了与COVID-19相关实体。9月底,他们袭击了一家制药公司。此外,他们还袭击了与COVID-19有关的政府部门。而且,每一次攻击都使用了不同的战术、技术和程序(TTP)。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1437/         消息来源:securelist,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软和 McAfee 等巨头加盟勒索软件特别工作组(RST)

通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作,安全与技术研究所(IST)正倡导组建全新的勒索软件特别工作组(RTF)。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括:“RTF 将评估现有解决方案在处理勒索软件方面的级别,寻找其中的差距,并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献,RTF将委托专家撰写论文,并让各行业的利益相关者参与进来,围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         (消息及封面来源:cnBeta;)

美科技公司联盟力挺 WhatsApp 诉以色列 NSO Group 间谍软件案

去年,WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下,受害者或许无法意识到他们已被间谍软件给盯上。几个月后,WhatsApp 方面开始向后者提起诉讼,以披露幕后都有哪些黑手。被告方一再对这些指控提出异议,并且试图以遵从政府指令为由申请法律上的豁免,但未能说服美国法院在今年早些时候撤销该案件。 最新消息是,由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟,已经共同发声支持 WhatsApp,恳请法院驳回 NSO 的主张且不许其受到豁免。 报道指出,NSO Group 被指利用这款消息传递应用中的未公开漏洞入侵了至少 1400 台设备,受害者包括了某些新闻记者和活动人士。 NSO 开发并向政府兜售其 PegASUS 间谍软件的访问权限,从而使得某些客户能够瞄准并秘密入侵目标设备。受感染的设备可被用于追踪目标位置,窃听消息、呼叫,以及照片、文件等私密内容。 通常情况下,攻击是通过忽悠受害者打开恶意软件而得逞的。但某些情况下,NSO 也会利用 App 或手机中未公开的漏洞而静默感染目标设备。 在此之前,该公司因曝出向沙特、埃塞俄比亚、阿联酋等政府客户出售间谍软件而遭到猛烈批评。现在,由微软(及其子公司 LinkedIn 和 GitHub)代表的这一联盟,已经向法院方面施加了更大的压力。 其指出,间谍软件和相关工具的开发与交付不仅降低了普通人的安全感,也让整个世界冒着这些工具落入不当之手的风险之中。 微软客户安全与信任负责人 Tom Burt 在博客中表示,NSO 理应对自己构建的工具和相关漏洞利用而负责。其希望通过这场诉讼,帮助全球数字生态系统免受更加肆意的攻击。 截止发稿时,NSO Group 方面尚未就此事作出回应。         (消息及封面来源:cnBeta;)

SolarWinds 入侵事件余波:英特尔、英伟达、思科等科技巨头亦躺枪

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件,又陆续揭示了更多的受害者。据说有俄方背景的黑客组织,对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击,且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多,外媒猜测有更多大型科技企业遭到了类似的攻击。 (图 via SeekingAlpha) 《华尔街日报》的最新报道称,包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络,也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示,有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少,但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查,且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样,后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响,可能要花费相当长的时间。此外美联社的早前报道指出,企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是,调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”(Supernova)的早期攻击,只是被称作 Sunburst 的主攻击的一部分。 最后,虽然私企对 SolarWinds 系统攻击事件的反应并不强烈,但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         (消息来源:cnBeta;封面来源于网络)