分类: 恶意软件

勒索软件 Fatboy 实施动态 RaaS 模式,基于地理位置设置赎金

据外媒 8 日报道,安全情报公司 Recorded Future 近期发现勒索软件 Fatboy 开始实施动态 RaaS 模式,基于受害者地理位置设置赎金金额。 勒索软件 Fatboy 于 3 月 24 日在俄罗斯知名网络犯罪论坛被发现,其恶意软件开发人员 “ polnowz ” 在通过 Jabber 支持与指导后,以合作伙伴关系在论坛中传播这一勒索软件,另有论坛成员协助进行产品翻译工作。 研究人员表示,该勒索软件由开发人员采用 C++ 程序编写,提供 12 种语言用户界面,适用于 x86 与 x64 架构的所有 Windows 操作系统。据悉,Fatboy 最有趣的特征是基于 《经济学人》提出的“巨无霸指数”  设置支付方案,这意味着受害者将根据各地区的生活成本支付不同赎金金额。 勒索软件 Fatboy 目前已感染超过 5000 种扩展名文件,其中攻击者除使用 AES-256 加密每个文件以外,还会使用 RSA-2048 加密所有密钥。一旦目标系统感染勒索软件,其设备将收到一张勒索赎金票据,警告受害者在特定期限内缴纳赎金,否则将丢失所有系统文件。 调查显示,勒索软件 Fatboy 开发人员自 2017 年 2 月 7 日起已从勒索活动中至少赚取 5,321 美元。此外,攻击者还利用 FatBoy RaaS 模式控制目标系统数据信息,其中包括受害者所处的国家、赎金支付时间及受感染机器详细信息等数据统计。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新 Bondnet 僵尸网络感染全球 1.5 万计算机用于开采加密货币

据外媒 6 日报道,研究人员发现新 Bondnet 僵尸网络 “ Bond007.01 ” 目前已感染全球约 15,000 台 Windows 服务器,受感染设备被用于开采各种加密货币(例如:ZCash、RieConin 以及 Monero )。 研究人员在 2016 年 12 月首次发现了僵尸网络 Bondnet ,据称其恶意软件开发人员可追溯至中国。僵尸网络 Bondnet 主要攻击配置 MySQL 的 Windows 2008 服务器,利用多种目标设备与漏洞感染受害系统。此外,攻击者还对其他 Web 服务器软件(包括 JBoss、Oracle Web 应用程序、MSSQL 与 Apache Tomcat )开展大规模攻击。 研究显示,一旦 Bondnet 入侵 Windows 系统,它将安装一系列 Visual Basic 程序、DLL 与 Windows 管理程序,以充当远程访问木马(RAT)与加密货币挖掘系统。RAT 可为 Bondnet 控制器提供后门访问,同时利用采矿系统报告结果即可从受害服务器中获取利益。这些由未知用户远程控制的服务器极易被利用来进行 DDoS 网络攻击、传播勒索软件或用于简单的被动监控。 目前,Guardicore 研究人员并未发现 Bondnet 攻击者访问受感染系统中存储的数据信息。相反,他们正集中力度窃取计算机资源进行加密货币采矿操作。研究人员猜测由 Bondnet 加密采矿技术所赚取的金额远超过通过赎金或 DDoS 攻击勒索可获取的金额。 原作者: Charles R. Smith, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密公开 Vault 7 新文档:CIA 采用 MitM 工具入侵局域网

据外媒报道,维基解密最新曝光了一份新 Vault 7 文件内容:美国中央情报局( CIA )曾使用一款名为 “ Archimedes ” 的 MitM (中间人攻击)工具专门针对局域网展开攻击。 泄露文件显示,CIA 早在 2011 – 2014 年期间就已利用 Archimedes  (原名 Fulcrum)工具展开攻击。当前版本的黑客工具 Archimedes 允许黑客通过受感染设备重定向目标计算机的局域网流量。这一工具应用极其简单,没有任何特殊功能,目前互联网也中存在多种 MitM 工具,任何人均可下载并使用它定位本地网络用户。 信息安全公司 Rendition Infosec 创始人杰克·威廉姆斯(Jake Williams)在分析泄露文件后表示,Archimedes 工具最初并非由 CIA 开发,它似乎是一个重新包装过的 Ettercap 版本的 MitM 开源工具包。此外,用户还可使用该泄露信息查询自身系统是否已被 CIA 攻击。 原作者: Mohit Kumar, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Cerber 新变种携带防沙箱、反杀软等防御功能

据外媒本月 3 日报道,勒索软件 Cerber 新变种突现,具有多途径传播与文件加密功能,以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明,Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87%,还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月,趋势科技( TrendMicro )安全研究人员发现 Cerber 已存有六个版本,加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森(Gilbert Sison)指出,Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位,Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。 此外,Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件,其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件,JS 文件就开始下载执行有效载荷、创建计划任务,并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出,在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。 研究人员指出,Cerber 6 目前可配置添加 Windows 防火墙规则,阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量,限制其检测与缓解功能。此外,Cerber 进一步恶化分析工具与虚拟环境的自我认知能力(通过自我毁灭实现规避)以及针对静态机器学习的检测规避能力。据悉,Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现,有利于加密应用程序编程接口的维护。 原作者:Gabriela Vatu, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 TrickBot 威胁日益严重,私人银行沦为最新攻击目标

根据 IBM X-Force 安全团队新近展开的一项分析,银行木马 TrickBot 已推动新一轮网络攻击,主要瞄准英国、澳大利亚与德国的私人银行、私人财富管理企业、投资银行、养老保险与年金管理机构。 报告显示,该银行木马黑客不断在攻击列表中添加重定向攻击。专家在检查每个网址后发现,攻击者一直在做大量 “ 功课 ”。调查表明,现有配置文件充斥私人银行、私人财富管理企业、投资银行,甚至养老保险与年金管理机构,位于英国的全球历史最悠久的银行之一也成为潜在攻击对象。 TrickBot 最初于 2016 年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现并与银行木马 Dyre 相关联。据悉, TrickBot 主要针对澳大利亚银行( ANZ、Westpac、St. George 与 NAB )客户。此外,专家在分析首个 TrickBot 样本时发现攻击者利用单个数据窃取模块。数周后,研究人员又发现一个新型木马样本,其中包括疑似处于测试阶段的 Web 注入。 据悉,黑客曾于 2016 年底利用 TrickBot 针对英国与澳大利亚银行以及亚洲金融机构进行多次攻击。目前,又有 20 家私人银行沦为攻击目标,其中包括 8 家英国建筑协会、2 家瑞士银行、6 家德国私人银行平台与 4 家美国投资银行。此外,攻击者还将一家符合伊斯兰教法的银行设为目标。 Trickbot 威胁愈演愈烈。研究人员发现攻击者在一系列攻击活动中频繁使用 Trickbot。澳大利亚、新西兰与英国为此类威胁高发地区。IBM 专家预测,TrickBot 在未来数月内将持续攀升全球金融恶意软件家族排名榜,达到与 Dridex 和 Ramnit 同等威胁级别。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

联想 IBM Storwize 附带的 USB 初始化工具内含恶意文件

据外媒 30 日报道,联想 IBM Storwize 磁盘阵列附带的 USB 闪存驱动器的初始化工具内含恶意文件。 调查显示,以下系统型号的 01AC585 USB 闪存驱动器初始化工具可能含有恶意文件: V3500 – 6096 型号的 02A 、 10A V3700 – 6099 型号的 12C、24C 、 2DC V5000 – 6194 型号的 12C 、 24C 此外,联想IBM Storwize 序列号以 78D2 开头的设备不受该恶意软件影响。 不过联想也专家表示,恶意软件并不影响存储系统的完整性或性能。当初始化工具从 USB 闪存驱动器启动至计算机初始配置时,它将自身复制到桌面或笔记本电脑的硬盘驱动器上的临时文件夹或恶意文件中。初始化 USB 闪存驱动器包含一个名为 InitTool 的文件夹,该工具与恶意软件同时被复制到该文件夹中: Windows系统:\ TMP \ initTool Linux与Mac系统:/ tmp / initTool IBM 与联想目前已采取必要措施,防止供应链出现其他任何问题、避免问题 USB 闪存驱动器继续流出。联想公司建议客户不要使用受感染的闪存驱动器,并及时联系公司获取 Storwize 系统的首次配置支持。此外,已受感染的客户系统需验证并通过杀毒软件进行检测删除。 附:恶意文件 MD5  0178a69c43d4c57d401bf9596299ea57 原作者:Pierluigi Paganini, 译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

僵尸网络 Hajime 实施新型攻击方式,劫持逾 30 万 IoT 设备

赛门铁克专家近期发现新型物联网( IoT )僵尸网络 Hajime 过去几个月内在巴西、伊朗等国家呈持续增长、迅速蔓延之势。目前,黑客已开始实施新型攻击方式,感染逾 30 万台 IoT 设备。 恶意软件 Hajime 于 2016 年 10 月被首次发现,采用了与僵尸网络 Mirai 相同的传播机制。据悉,该威胁目标主要为使用开放式 Telnet 端口与默认密码的不安全 IoT 设备。研究人员发现,Hajime 与 Mirai 具有几近相同的用户名和密码组合列表,但传播方式并非 C&C 服务器,而是对等网络连接。赛门铁克专家表示,Hajime 无需任何 C&C 服务器地址,仅通过控制器将命令模块推送至对等网络,消息随时间推移传播至所有对等网络。 Hajime 比 Mirai 更加复杂,实现了隐藏其活动与运行进程的更多机制。调查表明,该威胁具有允许运营商快速添加新型功能的模块化结构。分析报告显示,Hajime 并未执行分布式拒绝服务( DDoS )攻击或其他任何攻击代码,而是从控制器中提取语句并每隔 10 分钟在 IoT 终端上显示一次。该邮件采用数字签名,而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染,蠕虫将阻止访问端口 23、754、5555 与 5358,以防来自其他 IoT 威胁(包括 Mirai 在内)的攻击。 专家认为,Hajime 可能出自某个黑客义警之手,因为他们过去就曾发现类似代码,例如赛门铁克于 2015 年 10 月发现的 Linux.Wifatch。 图:Telnet 默认密码攻击 据悉,Hajime 作者仍在继续更新代码。卡巴斯基研究人员发现此人近期更改了引入 TR-069 协议的攻击模块。目前,该僵尸网络可实现三种不同的攻击方式:TR-069 协议利用、Telnet 默认密码攻击与 Arris 电缆调制解调器密码日常攻击。此外,卡巴斯基专家发现,僵尸网络 Hajime 几乎可以针对互联网上的任何设备发动攻击。 在卡巴斯基研究人员看来,Hajime 最耐人寻味之在于动机。截至目前,攻击模块中引入 TR-069 协议的做法使僵尸网络规模日益扩大,但具体动机仍不为人知。尽管暂未发现僵尸网络 Hajime 被用于任何类型攻击或恶意活动,仍建议 IoT 设备用户将密码更改为难以暴力破解的形式并尽可能更新固件。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意软件 FalseGuide 潜入 Google 商店,200 万安卓用户不幸中招

据外媒 25 日报道,Check Point 网络安全研究人员发现一款隐藏在 Pokemon GO 与 FIFA Mobile 等 40 多种盗版流行游戏指南应用程序中的恶意软件 FalseGuide 。目前,Google Play 官方应用商店约 60 万 Android 用户已被成功诱导安装该恶意软件。 研究人员开始认为盗版指南最早于今年 2 月上传至 Google Play 应用商店,经过深入调研后发现其实类似应用程序早在 2016 年 11 月就已存在。初期数据显示,恶意软件 FalseGuide 已感染超过 60 万用户设备,而目前已有 200 万 Android 用户设备遭受感染。据悉,所有受害者都在找寻喜爱的游戏指南时不幸中招。 FalseGuide 在受感染设备中悄然创建一个用于传播广告软件的僵尸网络并在安装过程中请求设备管理员权限以避免检测。报告显示,恶意软件将自身注册成与应用程序名称相同的 Firebase Cloud Messaging 主题。一旦该主题被订阅,FalseGuide 将接收包含跳转至其他模块链接的消息并下载模块至受感染设备。 调查发现,僵尸网络通过后台服务显示非法弹出式广告。一旦设备启动,恶意软件当即运行。根据攻击者的目标,这些模块可能包含高强度恶意代码,可用于 root 设备、发起 DDoS 攻击,甚至渗透私有网络。据悉,此类盗版应用程序包括 FIFA Mobile、 Lego Nexo Knights、Lego City My City、Rolling Sky 等。 研究人员指出,移动僵尸网络自去年年初以来呈显著增长趋势。这种恶意软件通过首个组件的非恶意属性渗透 Google Play 应用商店,仅下载实际有害代码。目前,FalseGuide 已被从 Google Play 应用商店移除。 原作者:Gabriela Vatu,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

调查显示 38% 勒索软件受害者愿意支付赎金

根据网络安全公司 Trustlook 公布的最新研究结果,企业并不是敲诈勒索软件的唯一受害者,寻常网民同样也会受到敲诈勒索软件的侵扰。企业固然作为敲诈勒索软件的重灾区,但普通网民更容易成为攻击的目标而且所调用的资源也更少,这也是为何敲诈勒索软件在网络上肆虐的重要原因。 根据 Trustlook 公布的报告,17% 的普通网民经历过敲诈勒索软件的侵扰。38% 受影响用户选择妥协支付费用,通常情况下支付费用在 100 美元到 500 美元之间,而且大部分都以比特币的方式进行支付。从另一方面,那些没有经历过敲诈勒索软件的用户群体中,只有 7% 的人表示愿意支付这笔费用。尽管敲诈勒索类型的网络攻击方式变得非常流行,但是在调查中有将近一半用户表示从未听说过这种攻击方式,而且 48% 的消费者并不担心成为敲诈勒索软件的受害者。 另一方面,消费者似乎对他们的数据非常谨慎,习惯在电脑或者移动设备上备份文件,只有 23% 的消费者会放弃这些细节。Trustlook 的首席执行官兼联合创始人 Allan Zhang 表示:“在多台设备上备份数据,而且其中一台设备是不连接到网络上的。此外,在点击任何链接之前请谨慎的检查发送者的邮箱地址。” 稿源:cnBeta;封面源自网络

权威监控软件 FlexiSpy 惨被入侵删库 ,巴西黑客宣战全球监控软件制造商

英国商业销售监控软件 FlexiSpy 可被安装至手机并用于监视配偶、孩子、伴侣或员工私生活。目前,黑客组织已全面入侵该公司内部系统、窃取敏感信息并向所有监控软件制造商宣战。 FlexiSpy 是诸多令人毛骨悚然的监控软件之一,为偏执狂们独有的监控与偷窥嗜好提供合法边界代码。 代号为“ Deceptions ”(霸天虎)的疑似巴西黑客组织表示,他们可以轻易渗透 FlexiSpy 系统、窃取其源代码与其他文件并擦除多台服务器访问记录。目前,源代码已在网上泄漏,而该黑客组织也表示坚持立场、积极备战。 从黑客获取的源代码判断,一旦 FlexiSpy 软件被悄然安装至受害者设备,就会通过往来通话记录与短信跟踪设备位置。此外,它还将记录 WhatsApp 与 Tinder 应用程序之间的交互。最终,这些情报都将被反馈给多疑的配偶或老板。这简直可以称得上是牵涉到隐私与心理学的一场噩梦。据悉,FlexiSpy 间谍软件可在 Android、iOS、Windows PC与Apple Mac 上运行。 为了渗透开发人员服务器,黑客们甚至动用了古老的密码安全性技术。攻击者企图对公司网站 SQL 注入 FlexiSpy 间谍软件,后发现仅凭用户名 “ test ” 与密码 “ test ” 就可以访问一台开发设备。 攻击者成功入侵用户帐户后便开始颠覆内部网络,一举攻陷 FlexiSpy 客户数据库,并随之发现运行 SSH 服务的多台设备、一台 Microsoft Exchange 服务器、部分 RDP 可访问系统,若干 Web 服务器与一台 CRM 服务器。此外,他们还发现密码 tcpip123 属于那台 CRM 服务器并由此获得管理员帐户访问权限。黑客组织表示,FlexiSpy 并未提供任何安全防御。为尽可能获得更多不同的访问点,他们将 Tor 部署至 Linux 基础架构中并将每台服务器的 SSHd 设置为隐藏服务。 调查表明,黑客组织已擦除 FlexiSpy 系统数据、利用窃取到的凭证登录 Cloudflare、Rackspace 与 Amazon 帐户并销毁所有蛛丝马迹。最后,他们还将 FlexiSpy 域名重定向至 Privacy International。 FlexiSpy 尚未对此事作出任何回应,仅于 4 月 16 日通过 Facebook 页面向客户发表道歉声明。同时,另一个监控软件供应商 Retina-X 显然也遭受类似黑客攻击。截至目前,黑客已成功获取多达 13 万条 Retina-X 与 FlexiSpy 客户记录,但开发人员仍未针对相关安全漏洞发出任何警示。 原作者: Iain Thomson,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。