分类: 恶意软件

俄罗斯 APT28 黑客组织使用 COVID-19 作为诱饵传递 Zebrocy 恶意软件

一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。 网络安全公司Intezer将这一行动与APT28(又名Sofacy、Sednit、Fancy Bear或STRONTIUM)联系起来,并表示,这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy(或Zekapab)恶意软件的Go版本。这些活动是上个月底观察到的。 Zebrocy主要通过网络钓鱼进行攻击,该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。 该恶意软件的幕后攻击者于2015年被发现,并与GreyEnergy有所联系。GreyeEnergy被认为是BlackEnergy(又名Sandworm)的继承者,这表明攻击者与Sofacy和GreyEnergy都有关联。 它充当后门和下载程序,能够收集系统信息、文件操作、捕获屏幕截图和执行恶意命令,然后将这些命令过滤到攻击者控制的服务器上。 虽然Zebrocy最初是用Delphi(称为DelPHOCY)编写的,但此后已用五六种语言来实现,包括AutoIT、C++、C#、GO、Python和VB.NET。 本次攻击使用了Go版本的恶意软件。该恶意软件首先由Palo Alto Networks于2018年10月记录,随后Kaspersky于2019年初再次发现。诱饵作为虚拟硬盘(VHD)文件的一部分提供,该文件要求受害者使用Windows 10访问。 VHD文件一旦安装,就会显示为带有两个文件的外部驱动器,其中一个是PDF文件,据称包含关于Sinopharm International Corporation(一家中国制药公司)的幻灯片,该公司研制COVID-19疫苗在后期临床试验中对病毒的有效预防率为86%。 第二个文件是一个可执行文件,它伪装成Word文档,打开后运行Zebrocy恶意软件。 Intezer称,他们还观察到了一次针对哈萨克斯坦的单独攻击,攻击者可能使用了网络钓鱼诱饵,冒充印度民航总局的撤离信。 近几个月来,我们在野外多次发现了提供Zebrocy的网络钓鱼活动。 去年9月,ESET详细介绍了Sofacy针对东欧和中亚国家外交部的攻击活动。 今年8月早些时候,QuoIntelligence发现了一个针对阿塞拜疆政府机构的单独攻击。攻击者假借分享北约训练课程来分发Zebrocy Delphi变种。 Golang版本的Zebrocy后门也引起了美国网络安全和基础设施安全局(CISA)的注意。该局在10月底发布了一份报告,表示:“该恶意软件允许远程攻击者在受损系统上执行各种功能。” 为了阻止此类攻击,CISA建议在使用可移动媒体、打开来自未知发件人的电子邮件和附件、扫描可疑电子邮件附件时要谨慎,并确保扫描附件的扩展名与文件头相匹配。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

用于分发恶意软件的 .NET 打包器使用嵌入式图像来隐藏有效负载

大多数恶意软件都是以“打包”的形式分发的:通常是一个包含代码的可执行文件,在提取和执行预期负载之前,这些代码可以逃避防病毒检测和沙盒。我们讨论了两个常见的打包器,它们用于分发恶意软件,但在图像中隐藏了预期的有效载荷。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1423/       消息及封面来源:proofpoint,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

富士康墨西哥工厂遭勒索软件攻击 黑客要求 3400 万美元赎金

感恩节的周末,富士康位于墨西哥的一家工厂遭受勒索软件攻击。攻击者在对设备加密之前已经窃取了大量未加密的文件。富士康是全球最大的电子制造公司之一,2019 年的营业收入达到了 1720 亿美元,在全球拥有超过 80 万名员工。富士康的子公司包括 Sharp Corporation,Innolux,FIH Mobile 和 Belkin。 援引外媒 Bleeping Computer 报道,位于墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,并在暗网上出售窃取的文件。据悉窃取的文件包括常规的业务文档和报告,但不包含任何财务信息或者员工的个人信息。 网络安全行业的消息来源证实,富士康于2020年11月29日左右在其位于墨西哥华雷斯城的富士康 CTBG MX 设施遭受了攻击。该工厂于2005年开业,富士康将其用于向南美洲和北美洲的所有地区组装和运输电子设备。 在对工厂设备进行加密之后,在页面上包含了一个指向 DoppelPaymer Tor 付款站点的链接,威胁要求支付 1804.0955 比特币,按照今天的比特币价值来计算,相当于 34686000 美元。作为此次攻击的一部分,威胁行动者声称已加密了约 1200 台服务器,窃取了100 GB的未加密文件,并删除了20-30 TB的备份。       (消息及封面来源:cnBeta)

因涉嫌为勒索组织洗钱 BTC-e 创始人 Alexander Vinnik 被判有期徒刑5年

援引法国 ZDNet 报道,法国法院近日宣判已破产的 BTC-e 加密货币交易所创始人有期徒刑 5 年,并处以 10 万欧元的罚款。罪名是为包括勒索软件组织在内的网络犯罪分子洗钱。 现年 41 岁的亚历山大·温尼克(Alexander Vinnik)是俄罗斯人,在法国检察院未能证明 BTC-e 创始人直接参与了 Locky 的创建和发行之后做出了如上宣判。Locky 是肆虐于 2016-2017 年的勒索软件。 Alexander Vinnik在希腊的监狱 图片来自于 globalwitness 律师 Timofey Musatov 和 Alexander Vinnik 图片来自于 globalwitness 在法官的宣判中写道 :“Vinnik先生,因没有证据表明你参与到了 Locky 的网络攻击行为中,因此法院免除你这方面的指控。不过你被判犯有组织洗钱罪”。经过漫长而复杂的法律斗争,Vinnik于今年秋天在巴黎受审。他最初于2017年7月在希腊北部的避暑胜地度假时被捕。         (消息来源:cnBeta;封面来源于网络)

伊朗 RANA Android 恶意软件监视即时通讯

12月7日,研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发,可以让攻击者从流行的即时通讯应用程序中监视私人聊天,强迫Wi-Fi连接,自动接听特定号码的来电,以窃听通话。 今年9月,美国财政部对伊朗黑客组织APT39(又名Chaffer、ITG07或Remix Kitten)实施制裁。在制裁的同时,美国联邦调查局(FBI)发布了一份威胁分析报告,描述了Rana Intelligence Computing公司使用的几种工具,该公司充当了APT39组织进行恶意网络活动的幌子。 FBI正式将APT39的活动与Rana联系起来,详细列出了8套独立且不同的恶意软件。这些恶意软件是该组织用来进行电脑入侵和侦察活动的,其中包括一款名为“optimizer.apk”的Android间谍软件,具有信息窃取和远程访问功能。 该机构表示:“APK植入程序具有信息窃取和远程访问功能,在用户不知情的情况下,可以在Android设备上获得根用户访问权限。” “主要功能包括从C2服务器检索HTTP GET请求、获取设备数据、压缩和AES加密收集的数据,并通过HTTP POST请求将其发送到恶意C2服务器。” ReversingLabs在最新发表的一份报告中,对这种植入程序(“ com.android.providers.optimizer”)进行了更深入的研究。 据研究人员Karlo Zanki称,这种植入程序不仅可以出于政府目的进行音频录制和拍摄照片,还可以添加自定义的Wi-Fi接入点并强制受损设备连接。 Zanki在分析报告中表示:“这项功能的引入可能是为了避免因目标手机账户上数据流量的异常使用而被发现。” 除此之外,它还可以自动接听来自特定电话号码的电话,从而允许攻击者按需打开对话。 除了支持接收通过SMS消息发送的命令外,联邦调查局引用的最新“optimizer”恶意软件还滥用了辅助功能,以访问即时消息应用程序,如WhatsApp、Instagram、Telegram、Viber、Skype和一个名为Talaeii的非官方伊朗电报客户端。 值得注意的是,在伊朗人权中心(CHRI)以安全考虑为由披露消息后,Telegram此前曾在2018年12月向Talaeii和Hotgram的用户发出“不安全”警告。 Zanki总结说:“当目标锁定个人时,攻击者通常希望监控他们的沟通和行动。手机最适合实现这样的目标,因为大多数人都会随身携带。由于安卓平台占据了全球智能手机最大的市场份额,因此它是移动恶意软件的主要目标。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

新的 npm 恶意软件带有 Bladabindi 木马

在感恩节周末,我们在npm注册表中发现了新的恶意软件:远程访问木马(RAT)。 恶意软件包为: jdb.js db-json.js …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1421/       消息及封面来源:sonatype,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 Clop 声称已从 E-Land 攻击了 200 万张信用卡

黑客组织 Clop 声称已从 E-Land 窃取了 200 万张信用卡。 E-Land 是一家韩国企业集团,总部位于韩国首尔麻浦区昌田洞。其业务包括零售商场、饭店、主题公园、酒店建筑和时尚服装业务,并通过其子公司E-Land World在全球开展业务。 Clop黑客组织声称在过去12个月中从E-Land Retail窃取了200万张信用卡信息。 上个月,被勒索软件感染之后,该公司被迫关闭了23家NC百货商店和New Core。 该公司表示已对相关服务器进行了加密,并通知了有关当局。“我们正在努力迅速恢复损失并使业务正常化,全国大多数分支机构都采取紧急措施,可进行基本的交易活动。” 公司声称,“尽管这种勒索软件攻击对公司的网络和系统造成了一定的损害,但客户信息和敏感数据在单独的服务器上进行了加密,因此处于安全状态。” 然而,Clop黑客组织告诉Bleeping Computer,情况大不相同。他们声称在一年前曾入侵过E-Land,并使用PoS恶意软件窃取了信用卡数据。 黑客声称已窃取并解密了信用卡数据(Track 2数据)长达12个月,且未被该公司发现。 Clop黑客组织声称已盗取包括信用卡号、有效期等相关信息,信用卡CVV代码不包含在Track 2数据中,因此只能用于复制信用卡并将其用于个人消费。         消息来源:securityaffairs;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

专家发现俄罗斯恶意软件“Crutch”用于 APT 攻击达 5 年之久

网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者,该窃取者在2015年至2020年初针对特定目标进行了部署。 该恶意软件被ESET研究人员命名为“Crutch”,被归咎于Turla,这是一家总部位于俄罗斯的高级黑客组织,通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。 网络安全公司的分析报告显示:“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。” 这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。 除了发现2016年的一个Crutch样本与Turla另一个名为Gazer的第二阶段后门程序之间的紧密联系外,他们多样化的工具集中的最新恶意软件表明,该组织持续专注针对知名目标的间谍和侦察活动。 Crutch要么通过Skipper套件(一种最初由Turla设计的植入程序)交付,要么由一个名为PowerShell Empire的后攻击代理(2019年发现的恶意软件)交付。 前者包括一个后门,可以使用官方的HTTP API与硬编码Dropbox帐户进行通信,以接收命令和上传结果,较新的变体(Crutch v4)避开了一个新功能,该功能可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。 ESET研究人员Matthieu Faou说:“攻击的复杂性和发现的技术细节进一步强化了这样一种看法,即Turla组织拥有相当多的资源来运营如此庞大和多样化的武器库。” “此外,Crutch能够通过滥用合法的基础设施(这里指Dropbox)绕过一些安全层,以混入正常的网络流量,同时窃取文件和接收来自其运营商的命令。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

针对 DNA 供应链的攻击可导致病毒生成

周一,内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候,本·古里安的研究小组表示,黑客不再需要物理接触“危险”物质即可生产“病毒”。相反,黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性:合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言,合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。 向合成基因者下达DNA命令时,美国卫生与公众服务部(HHS)指南要求制定筛选方案以扫描潜在有害DNA。 但是,该黑客团队有可能通过混淆来规避这些方案,在50个混淆的DNA样本中,有16个未针对“最佳匹配” DNA筛选被检测到。 用于设计和管理合成DNA项目的软件也可能会受到浏览器内人为攻击的攻击,该攻击可用于将任意DNA字符串注入基因顺序,从而简化了团队所谓的“端到端网络生物学攻击”。这些系统提供的合成基因工程管道可以在基于浏览器的攻击中被篡改。黑客可能使用恶意浏览器插件,例如“将混淆的病原体DNA注入合成基因的在线顺序中”。 在证明这种攻击可能性的案例中,研究小组引用了残留的Cas9蛋白,并使用恶意软件将该序列转化为活性病原体。研究小组说,“当使用CRISPR协议时,Cas9蛋白可以被用来‘模糊化宿主细胞内的恶意DNA’。”对于不知情的科学家来说,这可能会导致意外产生了危险物质,包括合成病毒或有毒物质。 BGU复杂网络分析实验室负责人Rami Puzis表示:“为了管制有意和无意的危险物质生成,大多数合成基因提供者会筛选DNA指令,这是目前抵御此类攻击的最有效方法。” “不幸的是,筛查指南尚未适应反映合成生物学和网络战的最新发展。” 潜在攻击链概述如下: Puzis补充说:“这种攻击情景强调了必须通过防御网络生物学威胁来强化合成DNA供应链。” 为了解决这些威胁,我们提出了一种改进的筛选算法,该算法考虑了体内基因编辑。       消息及封面来源:zdnet;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元

黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。 意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。 据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。 黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。 没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。 7月,ATM机领先制造商Diebold Nixdorf向客户发出了警报:黑匣子攻击产生了新变种。比利时的Agenta银行在被攻击后被迫关闭143台ATM。 比利时当局观察到,所有受感染的机器都是 Diebold Nixdorf ProCash 2050xe 设备。 根据 Diebold Nixdorf发布在ZDNet上的安全警报描述:黑匣子攻击的新变种已在欧洲的某些国家/地区被黑客利用。           消息及封面来源:securityaffairs;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”