分类: 恶意软件

伊朗黑客组织开发 Android 恶意软件用于窃取双因素验证短信

安全公司Check Point表示,它发现了一个伊朗黑客组织开发的特殊Android恶意软件,能够拦截和窃取通过短信发送的双因素验证(2FA)代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。 伪装成欧盟驾照培训辅助应用的App Check Point表示,该组织至少活跃了6年,一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。 这些活动涉及使用广泛的恶意软件系列,包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。 其开发的Windows恶意软件主要用于窃取受害者的个人文件,但也窃取Telegram的Windows桌面客户端的文件,这些文件允许黑客访问受害者的Telegram账户。 此外,面向Windows分支的恶意软件还窃取KeePass密码管理器中的文件,与本周早些时候发布的CISA和FBI关于伊朗黑客及其恶意软件的联合警报中的功能描述一致。 但虽然Rampant Kitten黑客偏爱开发Windows木马,但他们也为Android开发了类似的工具。 在今天发布的一份报告中,Check Point研究人员表示,他们还发现了该组织开发的一个强大的Android后门。该后门可以窃取受害者的通讯录列表和短信,通过麦克风悄悄记录受害者,并显示钓鱼页面。但更值得关注的是,该后门还包含专门针对窃取2FA(双因素认证)的代码。 Check Point表示,该恶意软件会拦截并转发给攻击者任何包含 “G-“字符串的短信,该字符串通常被用于通过短信向用户发送谷歌账户的2FA代码前缀。 其思路是,Rampant Kitten运营商会利用Android木马显示谷歌钓鱼页面,获取用户的账户凭证,然后访问受害者的账户。 如果受害者启用了2FA,恶意软件的2FA短信拦截功能就会悄悄地将2FA短信代码的副本发送给攻击者,让他们绕过2FA。 但事实并非如此。Check Point还发现有证据表明,该恶意软件还会自动转发所有来自Telegram和其他社交网络应用的接收短信。这些类型的消息也包含2FA代码,该团伙很有可能利用这一功能绕过2FA,而不是谷歌账户。 目前,Check Point表示,它发现这个恶意软件隐藏在一个Android应用内,伪装成帮助瑞典讲波斯语的人获得驾照的服务。然而,该恶意软件可能潜伏在其他针对反对德黑兰、生活在伊朗境内外的伊朗人的应用内。 虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA,但我们很少能深入了解他们的工具和他们如何做到这一点。      (稿源:cnBeta,封面源自网络。)

德医院遭遇勒索软件攻击:一名患者或因此死亡

据外媒报道,一名生命垂危的患者因勒索软件攻击被迫去了更远的医院,不幸的是,这位患者最终没能被救回来。当地时间9月10日,德国杜塞尔多夫大学医院遭遇勒索软件攻击,而正是因为这个攻击他们的IT系统中断进而导致门诊治疗和紧急护理无法正常进行。 于是,那些寻求紧急护理的人只能被转移到更远的医院接受治疗。 德国媒体报道称,警方通过赎金说明联系了勒索软件运营商并解释说他们的目标是一家医院。 据悉,留在医院加密服务器上的勒索信息显示,其原本的攻击对象是杜塞尔多夫大学而非杜塞尔多夫大学医院。 在警方联系了勒索软件攻击者并解释说他们加密了一家医院之后,攻击者撤回了赎金要求并提供了解密密钥。 医院在收到钥匙后开始在缓慢地恢复系统,而调查得出的结论显示,数据应该没有被盗。 据NTV报道,杜塞尔多夫大学医院取消了紧急服务登记后,一名生命受到威胁的病人被转到了更远的医院。这种干扰导致病人在一小时后接受治疗很有可能导致了其最后的死亡。对此,德国检察官正在调查此次网络攻击是否犯下过失杀人罪。检方以涉嫌过失杀人罪对这两名身份不明的肇事者展开调查,原因是一名生命危险的病人被送到了伍珀塔尔的一家医院,而这家医院距离事发地约有32公里。 外媒BleepingComputer在新冠病毒大流行初期接触了不同的勒索软件公司看看他们是否会继续攻击医疗保健和医疗机构。对此,CLOP、DoppelPaymer、Maze和Nefilim勒索软件的运营者表示,他们不会以医院为目标,如果有医院被错误加密他们会提供免费的解密密钥。不过Netwalker表示,他们虽然不是以医院为目标,但如果他们不小心加密了一家医院,后者仍需要支付赎金。     (稿源:cnBeta,封面源自网络。)

新的 Linux 恶意软件从 VoIP 软交换系统窃取通话详细信息

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件,该恶意软件针对IP语音(VoIP)软交换,旨在窃取电话元数据。ESET研究人员在周四的分析中说:“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据,包括呼叫详细记录(CDR)。” “要窃取此元数据,恶意软件会查询软交换使用的内部MySQL数据库。因此,攻击者充分了解了目标平台的内部体系结构。” 软交换(软件交换机的缩写)通常是VoIP服务器,允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台,即来自中国Linknat公司的VOS2009和3000软交换,并对其恶意功能进行加密,以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件,目的是访问MySQL数据库凭据,然后对其进行解密以查询数据库。 ESET的研究人员说,攻击者必须对平台二进制文件进行反向工程,以分析加密过程,并检索用于解密数据库密码的AES密钥,这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外,CDRthicker还过滤数据库的详细信息(用户名、加密密码、IP地址),并直接对MySQL数据库执行SQL查询,以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说:“从e_syslog,e_gatewaymapping和e_cdr表中渗出的数据经过压缩,然后在渗出之前使用硬编码的RSA-1024公钥加密。因此,只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中,但这种恶意软件可能只会导致当前版本的数据更新。 也就是说,攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时,我们还不知道这些恶意软件是如何部署到被破坏的设备上的,”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设,恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息,这些信息可用于执行国际收入分成欺诈(IRSF)。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

苹果错误批准恶意软件在 macOS 上运行 回应:已撤销

根据信息安全研究员的一份最新报告,苹果意外批准了伪装成Adobe Flash播放器更新的常见恶意软件在macOS系统上运行。 信息安全研究员帕特里克·沃德尔(Patrick Wardle)指出,苹果批准的一款应用中包含知名恶意软件Shlayer中使用的代码。Shlayer是一款木马下载器,通过伪装成其他应用来传播,用户中招后会遭到大量广告的轰炸。反病毒公司卡巴斯基2019年表示,Shlayer是Mac电脑面临的“最常见威胁”。 沃德尔说,这是在苹果启动新的应用认证流程后,他首次听说苹果错误认证了恶意软件。苹果于2019年公布了macOS的应用认证流程,要求所有应用在macOS上运行前都要经过苹果的审核和开发者签名,即使这些应用来自Mac App Store以外。 在发现恶意软件之后,沃德尔联系了苹果。苹果随后禁用了与该应用相关的开发者帐号,吊销了对帐号的认证。有消息称,攻击者试图再次对该恶意软件进行认证,但苹果表示,各个版本的恶意软件认证都已被撤销。     (稿源:新浪科技,封面源自网络。)

为精准用户画像,恶意 npm 软件包窃取浏览器文件

据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。 这个名为 “fallguys” 的 JavaScript 库声称提供了 “Fall Guys: Ultimate Knockout” 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。 根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法,可以将消息和数据更新自动发送到服务器中的文本通道。 程序包尝试读取的五个文件分别是: /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/discord/Local\x20Storage/leveldb 前四个文件是特定于 Chrome、Opera、Yandex Browser 和 Brave 等浏览器的 LevelDB 数据库。这些文件通常存储特定于用户浏览历史记录的信息。 最后一个文件也是类似的 LevelDB 数据库,但用于 Discord Windows 客户端,该数据库类似地存储有关用户已加入的频道以及其他特定于频道的内容的信息。 令人寻味的是,该软件包并未收集存储凭据一类的更敏感信息,而似乎是在观察受感染者,评估他们经常访问的站点,再根据此来更新软件包,提供更有针对性的代码。 该软件包上架了两个星期,被下载近 300 次。目前,npm 安全团队已将此软件包删除。 相关链接 npm 的详细介绍:点击查看 npm 的下载地址:点击下载     (稿件与封面来源:开源中国)

俄公民因意图向美国公司植入恶意软件而被捕

即使没有可利用的软件漏洞,黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民,他最近前往美国,并向目标公司的一名员工行贿100万美元,以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日,27岁的Egor Igorevich Kriuchkov作为一名游客进入美国,他曾多次与内华达一家未透露姓名的公司的雇员会面,讨论这起阴谋,之后在洛杉矶被捕。 法庭文件提到: “大约在7月16日左右,Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员,并安排亲自去内华达州探望。” “大约在7月28日左右,Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件,Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据,使攻击者能在以后威胁该公司,要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺,在成功植入上述恶意软件后,将支付100万美元比特币,并提出对该公司网络发起DDoS攻击,以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排,他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式,包括使用加密货币,担保人保证金或现金支付。” “在与联邦调查局联系后,Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票,以试图飞出该国。” 在被联邦调查局逮捕后,联邦调查局对Kriuchkov及其会议进行了实时监视,Kriuchkov列出了该团伙之前针对的公司,并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是,一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终,Kriuchkov被控一项共谋罪,意图故意对受保护的计算机造成损害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

柠檬鸭加密矿工:针对云应用和 Linux

企业一直是恶意加密矿工团队的首选目标。他们不仅经常操作大量的计算资源(这有助于密码劫持者更快地开采加密货币),而且企业运营的网络对随后的攻击也很有帮助:犯罪分子可能会使用最初的受感染机器作为立足点,从中试图横向移动。在网络中感染更多计算机,并通过新的漏洞和社交工程技术不断调整攻击 “柠檬鸭”(Lemon_Duck)是一个我们见过的十分先进的密码劫持者。它的创建者不断使用新的威胁向量和混淆技术来更新代码,以逃避检测,并且矿工本身是“无文件的”,这意味着它驻留在内存中,并且不会在受害者的文件系统上留下任何痕迹。 在这篇文章中,我分享了有关此活动使用新攻击媒介的信息,以及我在上一则文章中讨论的其余媒介的一些后续工作。 以Covid-19为主题的电子邮件和附件 一些传播垃圾邮件的攻击者通常从重大事件中获利,例如年末假期,各个国家/地区的报税截止日期。因此,柠檬鸭背后的威胁者与许多其他威胁者一样,在大规模垃圾邮件活动中利用了全球对COVID-19大流行的忧虑,使收件人收到恶意附件。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1314/ 消息与封面来源:Sophos   ,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

QakBot 恶意文档活动引入两项新技术

从本月初开始,Morphisec实验室跟踪了一个大规模的恶意软件活动,该活动提供QakBot / QBot银行木马。Qakbot利用先进的技术来逃避检测并阻止对威胁的人工分析。在这篇文章中,我们将提到其中两种有趣的技术——通过压缩Word文档绕过内容撤防和重建(CDR)技术、绕过子模式检测模式。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1308/ 稿件与封面来源:Morphisec,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

FBI、CISA 对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告

美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警,警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时,KrebsOnSecurity就发表了一篇文章,该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。 “COVID-19大流行导致大规模转向在家工作,导致企业虚拟专用网络(VPN)的使用增加,在2020年7月中旬,网络犯罪分子开始了一场名为vishing的活动–以无差别获得多家公司员工工具的访问权–最终目标是将访问权货币化。” 正如周三的报道所指出的那样,这些机构表示,攻击者设置的钓鱼网站往往连字符、目标公司的名称和某些词语都非常具有指向性–如 “支持”、”票据 “和 “员工”。作案者专注于对目标公司的新员工进行社会工程,并冒充目标公司IT服务台的工作人员。 FBI/CISA的联合警报称,vishing团伙还利用社交媒体平台上的公共档案、招聘人员和营销工具、公开的背景调查服务以及开源研究,大规模搜刮特定公司的员工档案。从警报中可以看出。 “作案者先是使用未经归属的网络电话(VoIP)号码 拨打目标员工的个人手机,随后开始结合其他办公室和受害者公司员工的虚假号码。行为人使用社会工程技术,在某些情况下,冒充受害者公司IT服务台的成员,利用他们对员工个人身份信息的了解–包括姓名、职位、在公司的时间和家庭住址–来获得目标员工的信任。” “然后,行为人说服目标员工将发送一个新的VPN链接,并要求他们登录,包括任何2FA[双因素认证]或OTP[一次性密码]的安全凭据也一并通过这种方法获取,随后他们记录员工提供的信息,并实时使用该员工的账户访问企业工具。” 警报指出,在某些情况下,毫无戒备的员工批准了2FA或OTP提示,或者是意外地批准了。除此之外,攻击者能够通过针对员工的SIM卡交换来拦截一次性代码,这涉及到移动电话公司的社会工程人员,让他们控制目标的电话号码。 这些机构表示,骗子利用被盗用的VPN凭证在受害者公司数据库中挖掘客户的个人信息,以便在其他攻击中加以利用。 “然后,行为人利用员工的访问权限对受害者进行进一步的研究,和/或使用取决于被访问的平台的不同方法来欺诈性地获得资金,”警报中写道。”货币化方法根据公司的不同而不同,但具有高度的侵略性,在最初的违规行为和破坏性的兑现计划之间有一个紧凑的时间表。” 该警告包括一些公司可以实施的建议,以帮助减轻这些vishing攻击的威胁,包括。 – 限制VPN连接仅用于受管理设备,使用硬件检查或安装证书等机制,因此仅靠用户输入不足以访问企业VPN。 – 在适用的情况下,限制VPN的访问时间,以减轻允许时间以外的访问。 – 采用域名监控,跟踪企业、品牌域名的创建或变更。 – 积极扫描和监控网络应用,以防止未经授权的访问、修改和异常活动。 – 采用最低权限原则,实施软件限制政策或其他控制措施;监控授权用户的访问和使用。 – 考虑对通过公共电话网络进行的员工与员工之间的通信采用正式的认证程序,并在其中使用第二种因素,以在讨论敏感信息之前,对电话进行认证。 – 改进2FA和OTP信息传递,以减少员工认证尝试的混乱。 – 确认网络链接没有拼写错误或包含错误的域名。 – 将正确的企业VPN URL加入书签,不要仅凭呼入的电话访问其他URL。 – 对自称来自合法组织的不明身份者的主动电话、访问或电子邮件信息要保持警惕。不要提供个人信息或有关您的组织的信息,包括其组织结构、组织结构和组织结构。     (稿源:cnBeta,封面源自网络。)

美国政府曝光新型 BLINDINGCAN 恶意程序

美国政府机构今天发布了一份恶意软件分析报告,披露了朝鲜黑客在针对美国政府承包商的攻击中远程访问木马(RAT)恶意软件的相关信息。该恶意软件称之为“BLINDINGCAN”,已经得到了网络安全和基础设施安全局(CISA)和联邦调查局(FBI)的确认。 这两个机构表示,该木马背后的黑客组织有朝鲜政府的资助,追踪到的黑客组织为HIDDEN COBRA(又名Lazarus Group 和 APT38)。根据各机构分析,该 RAT 自带 “用于远程操作的内置功能,可在受害者的系统上实现各种功能”。 在警告中写道:“CISA 共收到 4 个 Microsoft Word Open Extensible Markup Language (XML)文档(.docx),两个动态链接库(DLL)”。此外写道:“.docx 文档尝试连接到外部域中进行下载,提交的 32 位/ 64 位 DLL 分别安装名为 ‘iconcache.db’的 32 位/ 64 位 DLL。DLL ‘iconcache.db’会解压并执行 Hidden Cobra RAT 的功能”。 根据CISA和FBI的恶意软件分析结果,BLINDINGCAN恶意软件还可以从被入侵的系统中删除自己,并清理其痕迹以避免被检测等功能。     (稿源:cnBeta,封面源自网络)