分类: 恶意软件

《赛博朋克2077》出手游了?小心,它是勒索软件

伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。 正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。 该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。与其他恶意软件一样,它会加密设备的内容。受害者有 10 个小时的时间来支付价值 500 美元的比特币,然后才会永久删除所有内容。 不过庆幸的是,Shishkova 指出有种方法可以在不支付赎金的情况下进行解密,但并非 100% 确保你能够收到解密密钥。CoderWare 勒索软件中有一个硬编码密钥,允许解密者恢复文件。         (消息来源:cnBeta;封面来源于网络)

黑客组织 Pawn Storm 的非复杂性攻击策略

远程访问木马(RAT)的防御者不会立即辨别这是来自APT黑客的恶意软件。同样,网络服务(例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL)的恶意攻击也是如此。在2020年,APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1434/         消息来源:trendmicro,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

针对越南政府组织 VGCA 的软件供应链攻击

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击,该攻击破坏了机构的数字签名工具包,并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击,其中涉及修改CA网站(“ ca.gov.vn”)上托管的软件安装程序,插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测,该网络攻击活动发生在2020年7月23日至8月16日,涉及的两个安装程序:“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”(适用于32位和64位Windows系统),已被篡改并安装后门。 在将攻击报告给VGCA之后,该机构确认“他们早已知道此类网络攻击,并通知了下载该木马软件的用户。” ESET的Matthieu Faou说:“对于APT黑客组织来说,认证机构网站的妥协是一个很好的机会,因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分,政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌(也称为PKI令牌)对文档进行数字签名,通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞,伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序(最近一次编译于4月26日进行)负责收集系统信息,并通过从硬编码的命令和控制服务器(例如“ vgca.homeunix [.] org”和“ office365.blogdns”)检索的插件来部署其他恶意功能。 [.] com”),模仿相关软件的名称。 ESET表示,除越南外,菲律宾也存在受害者,但黑客的交付机制和最终目标仍然未知,对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介,因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动,该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具(RAT)。 在上周,一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用,提供HyperBro后门程序:Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构,包括国土安全部、商务部、财政部和州政府。 Faou总结说:“恶意代码通常隐藏在许多正常代码中,因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源:The Hacker News ;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客使用 SystemBC 恶意软件进行网络攻击

最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的,但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月,Proofpoint首次记录了SystemBC。它是一种代理恶意软件,它利用SOCKS5互联网协议屏蔽命令和控制(C2)服务器的流量并下载DanaBot银行木马。 此后,SystemBC RAT利用新特性扩展了工具集的范围,允许它使用Tor连接来加密和隐藏C2通信的目的地,从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出,SystemBC已被用于许多勒索软件攻击中,通常与其他后攻击工具(如cobaltstake)一起使用,以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本,以及服务器通过匿名连接发送的其他DLL blob。 另外,SystemBC似乎只是众多商品工具中的一个,这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序,这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的,或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示:“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动,而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势,即勒索软件作为服务提供给附属公司,就像MountLocker那样,攻击者向附属公司提供双重勒索能力,以便以最小的代价分发勒索软件。 Gallagher表示:“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式,IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软将强制隔离带有恶意软件的 SolarWinds Orion 应用

微软宣布将从今天开始,强制屏蔽和隔离已知含有 Solorigate(sunburst)恶意软件的 SolarWinds Orion 应用版本。上周末,多家媒体报道称有俄罗斯政府背景的黑客组织入侵了 SolarWinds,并在网络监控和库存平台 Orion 更迭版本中插入了恶意软件。 在新闻曝光之后 SolarWinds 证实,2020年3月至2020年6月期间发布的 Orion 应用版本 2019.4 至 2020.2.1 版本受到恶意软件的污染。在该公司发表官方声明后,微软是最早确认 SolarWinds 事件的网络安全厂商之一。同一天,该公司为 SolarWinds Orion 应用中包含的 Solorigate 恶意软件添加了检测规则。 不过,这些检测规则只能触发警报,Microsoft Defender 用户可以自行决定如何处理 Orion 应用。然而,在今天的一篇简短的博客中,微软表示现在已经决定从明天开始强行将所有 Orion 应用安装文件进行隔离。 微软在博文中写道 :“从北京时间12月17日0点开始,Microsoft Defender 软件将开始阻止已知的恶意 SolarWinds 安装文件。即便这些进程正在运行中也会将其进行隔离。需要重点注意的是,这些二进制文件对客户环境构成了重大威胁”。       (消息及封面来源:cnBeta)

木马化开源软件的针对性攻击

由于采用了合法的非恶意软件的外观,木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为,从而暴露其恶意意图。 开源软件如何木马化?我们如何检测到它们?为了回答这些问题,让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1429/       消息来源:trendmicro,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Pay2Key 勒索软件组织宣称从英特尔 Habana 实验室盗取了 53 GB 的数据

Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节,Habana Labs是一家位于以色列的芯片初创公司,一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图,同时还发布了一个Tor浏览器可访问的.onion地址的链接。 该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名,以及似乎来自这家AI芯片制造商的文件。 在撰写这篇报道时,@pay2key账户因违反Twitter的规则而被暂停。 发布到.onion网站上的Readme文件称,英特尔和Habana实验室有七十二小时的时间来阻止进一步的泄露,这位身份不明的作者表示,这些数据可能包括活动目录信息和相关密码,以及该公司Gerrit服务器的全部内容,据说这些数据由价值53GB的数据组成。 英特尔在2019年12月以20亿美元收购了用于数据中心的深度学习加速器芯片制造商Habana Labs。Check Point上个月报告称,Pay2Key勒索软件此前并未出现过。它表示,该名称已于6月在加密身份服务KeyBase.io注册,该勒索软件于10月开始出现。 据报道,自那以后,据Check Point称,至少有三家以色列公司被这种数据绑架软件感染,还至少有一家欧洲公司受害。 勒索软件通常涉及在未经授权的情况下访问计算机,对发现的文件进行加密,然后要求支付赎金以获得解密密钥。付款并不能保证解密后的文件,也不能保证这些文件没有被复制并提供给其他地方。 Check Point表示,Pay2Key组织进行 “双重敲诈”,威胁解密文件并公开发布,以此向受害者施压,迫使其付款。到目前为止,要求支付的赎金一般在7到9个比特币之间,目前折合成美元在13.5万到17.3万之间。 Check Point认为Pay2Key集团由伊朗人组成的原因是,过去的赎金支付是通过Excoino进行的,Excoino是一家伊朗加密货币交易所,拥有有效伊朗电话号码和伊朗身份证/Melli码的个人可以使用。         (消息来源:cnBeta;封面来源于网络)

SoReL-20M:一个由 2000 万个恶意软件样本组成的庞大数据集

12月14日,网络安全公司Sophos和ReversingLabs首次联合发布了面向公众的恶意软件研究数据集,旨在建立有效的防御措施,推动全行业在安全检测和响应方面的改进。 “SoReL-20M”是一个数据集,包含2000万个Windows可移植可执行文件(.PE)的元数据、标签和功能,1000万个已解除防护的恶意软件样本,其目标是设计机器学习方法,以获得更好的恶意软件检测能力。 Sophos AI组织表示:“对网络威胁的开放认识和理解也会导致更具预测性的网络安全。他防御者将能够预见攻击者在做什么,并为下一步行动做好更好的准备。” 伴随发布的是一组基于Pythorch和LightGBM的机器学习模型,这些模型以这些数据为基础进行了预先训练。 EMBER(又名Endgame Malware BEnchmark for Research)于2018年发布,是一种开源恶意软件分类器,但其较小的样本量(110万个样本)及其作为单标签数据集(良性/恶意软件)的功能意味着它“限制了可以用它执行的实验范围”。 SoReL-20M旨在用2000万个PE样本来解决这些问题,其中包括1000万个已解除防护的恶意软件样本(无法执行),以及为另外1000万个良性样本提取的特征和元数据。 此外,该方法利用了一个基于深度学习的标记模型来生成人类可解释的语义描述,指定所涉及样本的重要属性。 ReversingLabs的研究人员表示:“在安全领域共享威胁情报并不新鲜,但攻击者近几年来不断创新,因此共享威胁情报十分重要。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Mount Locker 勒索软件向黑客提供双重勒索方案

研究发现,一种新的勒索软件可以扩大目标范围,躲避安全软件的检测,发动双重勒索攻击。 MountLocker勒索软件在2020年7月开始出现,它在加密前窃取文件,并且要求数百万赎金,这种策略被称为双重勒索。 BlackBerry Research and Intelligence Team的研究人员表示,“MountLocker背后的攻击者显然只是在热身。从7月份开始,他们的勒索要求越来越高。” “与MountLocker相关联的公司效率很高,能够快速过滤敏感文档,在几个小时内对目标进行加密。” MountLocker还加入了其他勒索软件家族,比如Maze(上个月关闭),这些勒索软件在暗网上运营一个网站,羞辱受害者,并提供泄露数据的链接。 到目前为止,这款勒索软件已经有5名受害者,但研究人员怀疑人数可能“多得多”。 MountLocker作为勒索软件即服务(RaaS)提供,它在今年8月初针对瑞典安全公司Gunnebo进行了部署。 尽管该公司表示已成功阻止了勒索软件攻击,但攻击者最终在10月份窃取并在网上发布了18G的敏感文件,这些文件包括客户银行保险库和监控系统的示意图。 现在根据BlackBerry的分析,MountLocker背后的攻击者利用远程桌面(RDP)和泄露的凭证,在受害者的环境中获得初步的立足点(这在Gunnebo的黑客攻击中也有观察到)。然后部署工具执行网络侦察(AdFind),接着部署勒索软件和横向跨网络传播,通过FTP过滤关键数据。 勒索软件本身是轻量级且高效的。执行后,它会终止安全软件,使用ChaCha20密码触发加密,并创建一张勒索便条,其中包含一个Tor.onion URL的链接,通过暗网聊天服务协商解密软件的价格。 它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密,删除卷影副本以阻止加密文件的恢复,并最终将自己从磁盘中删除以隐藏踪迹。 然而,研究人员指出,勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥,该方法可能容易受到暴力攻击。 MountLocker的加密目标非常广泛,支持2600多个文件扩展名,包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。 除此之外,我们在11月底发现了MountLocker的一个新变种(称为“版本2”),它删除了加密所需的扩展名列表,转而使用精简的排除列表:.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。 研究人员总结说:“自从成立以来,MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进,但可能短期内变得更强大。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客组织利用 njRAT 以 Pastebin 为切入点进行恶意软件攻击

今年10月以来,研究人员发现,恶意软件攻击者在利用一种远程访问木马njRAT(也被称为Bladabindi)从Pastebin下载并传送第二阶段的有效负载。Pastebin是一个流行网站,可匿名存储数据。攻击者利用这一服务发布恶意数据,恶意软件可以通过一个简短的URL访问这些数据,避免使用他们自己的命令和控制(C2)基础设施,以免引起注意。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1425/         消息及封面来源:paloaltonetworks,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。