分类: 恶意软件

俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部

据卡巴斯基实验室周四报道,被称为“ Turla ”的俄罗斯网络间谍组织正在使用一种新的 JavaScript 恶意软件针对欧洲外交部机构。 Turla 是一个俄罗斯网络间谍 ATP 组织(也称为 Waterbug 、Venomous Bear、KRYPTON )自 2007 年以来一直处于活跃状态,主要针对欧洲的外交部等政府组织和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部。 去年 11 月,卡巴斯基实验室和微软发现了一种新的恶意软件“ KopiLuwak ”,据博客中介绍它使用多个 JavaScript 层来逃避检测。恶意代码通过在目标机器上创建注册表项以获得持久性。一旦感染了目标系统,恶意代码可执行一系列命令并收集信息,被窃取的数据将被加密并存储在一个临时文件中。恶意软件的 C&C 服务器 IP 地址以硬编码的形式存储在恶意代码中,并允许操作者通过 Wscript.shell.run() 执行任意命令。恶意软件仍利用 Office 文档的宏功能、借助钓鱼邮件传播。 目前已发现了一个受害者:攻击者伪装成卡塔尔驻塞浦路斯大使馆向塞浦路斯政府外交机构发送 “ 国庆招待会( Dina Mersine Bosio 大使的秘书).doc ”公函文件。卡巴斯基的研究人员认为恶意软件“ KopiLuwak ”将在未来更多地被使用。 从内容上推断,它可能是卡塔尔大使的秘书发送给塞浦路斯外交事务机构的。这意味着攻击者至少控制了一个卡塔尔外交部网络系统,从而发送钓鱼邮件。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

特朗普就职前,华盛顿近 70% 监控设备曾被黑客控制

据 华盛顿邮报 27 日报道,就在特朗普就职前八天,华盛顿地区 70% 监控摄像数据存储设备遭到黑客攻击、感染勒索软件,全市迫使重新安装监控设备。 勒索软件是目前最常用的黑客攻击手段之一。黑客会诱使用户点击链接或打开电子邮件附件(如 PDF )使计算机感染恶意软件。感染勒索软件的计算机文件会被加密或锁定,直到用户支付赎金(通常是比特币)为止。 市政府官员上周五表示,勒索软件使监控设备丢失 1 月 12 日至 15 日之间的数据。1 月 12 日华盛顿警方注意到 4 个网络监控摄像头无法正常工作并上报相关部门, 技术人员在录音设备中发现了两种勒索软件,随后发起了全市范围内的网络扫描从而发现更多受感染设备。警方透露网络攻击影响了整个城市闭路电视系统中 187 部录像机中的 123 部,由于发现及时勒索软件并未大规模扩散。 据悉,华盛顿政府方面此次没有选择支付赎金,而是通过使设备脱机、删除所有软件且在每个站点重新启动系统解决问题。 近几年来,公共设备遭遇网络攻击事件屡见不鲜,去年 11 月就曾发生过旧金山公共交通系统 感染勒索软件导致整个地铁售票系统停止工作的情况。此前早有多位安全专家感叹:物联网设备目前抵御网络攻击的水平实在堪忧。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新木马“Linux.Proxy.10”已将数千台 Linux 沦为代理服务器

据安全公司 Dr. Web 报道,数千个 Linux 设备感染了新木马 Linux.Proxy.10 。正如木马的名字所暗示的,该木马可以在受感染的设备上运行基于 Satanic Socks Server 源代码的 SOCKS5 代理服务器。攻击者将受感染的设备作为跳转代理进行恶意行为,从而隐藏其真实信息。 Linux.Proxy.10 最初是由杀毒公司 Doctor Web 的研究人员在 2016 年底发现的,据研究报道显示,该木马已经攻击了数千台 Linux 设备、恶意代码仍在继续传播。木马不包含任何攻击 Linux 系统的模块,而是使用其他木马和技术入侵设备,并创建一个名为“ mother ”密码为“ f**ker ”的后门账户。一旦后门安装成功,攻击者将通过 SSH 协议登录设备,并安装 SOCKS5 代理服务器。此外,研究人员调查了一台用于传播 Linux.Proxy.10 木马的服务器,发现其中除了包含目标设备的攻击列表,还有一个匿名代理管理员面板和一个已知的 Windows 间谍软件 BackDoor.TeamViewer 。 建议: Linux 用户和管理员限制或禁用 root 用户通过 SSH 远程登录设备,并监控新生成的登录用户、观察其是否存在恶意行为。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

研究发现众多 Android VPN 应用含有恶意间谍软件

越来越多的国家开始屏蔽盗版网站,也促使越来越多的人寻找 VPN 之类的工具绕过屏蔽。然而对 Android 用户而言,使用 VPN 应用需要谨慎,来自澳大利亚和美国的研究人员发现有大量的Android VPN 应用含有间谍软件、病毒和其它恶意的广告软件。 在他们分析的 283 款 VPN 应用中有 38% 含有恶意代码,这些应用的下载量有的多达上百万。研究人员发现,超过 80% 的应用会访问用户的敏感信息,如用户数据和短信;五分之一的 VPN 应用提供商没有加密流量;名叫 sFly Network Booster 的应用含有间谍软件,能访问甚至转发短信;OkVpn 和 EasyVPN 会在其它应用上展示广告;许多不安全的 VPN 应用已经从商店下架,但还有很多仍然留在应用商店内。 稿源:solidot奇客;封面:百度搜索

HummingBad 变种卷土重来,再次成功渗透 Play 商城

Android 用户想要减少中招几率,常规建议是只通过 Google Play 商城下载和安装应用程序,尽量减少或者不使用其他第三方下载途径。去年爆发的 HummingBad,让我们知道 Play 商城也不能完全杜绝恶意程序。这款恶意程序每个月能够产生 30 万美元的营收,感染用户数量已经超过 8500 万台,在 Check Point 公布的“全球最流行恶意软件”排行中位居第四。现在,这款恶意软件卷土重来,在Google Play商城上已经找到新变种–HummingWhale。 援引 Check Point 报道,目前已经有多款应用被 HummingWhale 所感染,在应用商城中假冒中国开发者名字进行发布。受感染的应用通常采用这样的结构,com.[name].camera(例如  com.bird.sky.whale.camera 和 com.color.rainbow.camera),但是应用名称都不相同。 Check Point 指出这些应用中都包含一个 1.3MB 的加密文件–“assets/group.png”,通 HummingBad 的 “file-explorer” 文件相似。这实际上是一个 APK 安装文件,允许在受害 Android 设备上下载和安装其他应用。 这款恶意程序使用 DroidPlugin 的 Android 框架,显示各种虚假广告,或者创建一个虚假的引荐 ID 来为攻击者利用盈利。通过对文件头的深入分析,相信 HummingBad 的幕后团队是 Yingmob。目前 Google Play 上已经有 40 款应用在传播这款恶意程序。 稿源:cnbeta,有删改,封面来源:百度搜索

Android 银行木马源码已被公开,全球用户面临更多威胁

安全公司 Doctor Web 警告称,Android 银行木马的源代码及其使用方法已经在黑客论坛上公开。在短期内,Android 设备用户将迎来一系列的攻击。 安全公司发现一个月前公开在黑客论坛上的源代码已被犯罪分子利用起来,犯罪分子创建了一个新恶意软件 Android.BankBot.149.origin 。当其安装成功后,木马会尝试诱骗用户授予其管理权限,并删除桌面图标隐藏起来。木马 Android.BankBot.149.origin 将连接到命令与控制(C&C)服务器,并可以执行以下操作: 发送短信; 拦截 SMS 消息; 请求管理员权限; 发送 USSD 请求; 获取所有联系人列表电话号码; 向所有联系人列表发送指定文本的 SMS 消息; 通过 GPS 卫星跟踪设备、获取地理定位; 显示网络钓鱼对话框; 窃取敏感信息,如银行详细信息和信用卡数据。 木马监控着三十多个网上银行应用程序和支付系统软件,如 Facebook、Instagram、WhatsApp、YouTube 、谷歌 Play 商店等。一旦发现目标程序启动,它会自动在屏幕上加载网络钓鱼表单,等待受害者输入银行帐户及密码,从而窃取信用卡信息。木马还可以截取银行发送的通知短信,悄无声息转走余额。用户在应用商店下载 APK 时必须谨慎小心,以防感染木马。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新 Mac 恶意软件使用“古老”代码针对研究机构进行间谍活动

安全公司 Malwarebytes 发现一个罕见的基于 Mac 的间谍软件,被用于生物医学研究机构进行间谍活动中心的计算机且隐藏多年未被发现。 Malwarebytes 将该恶意软件命名为“ OSX.Backdoor.Quimitchin ”,苹果公司则将其命名为“ Fruitfly ”。该恶意软件可以截取屏幕截图、访问并使用计算机的网络摄像头,能够远程控制鼠标移动、模拟鼠标点击。它还可以从 C&C 服务器下载其他脚本文件,其中一个脚本“ macsvc ”可使用 mDNS 在本地网络上构建所有设备的映射,提供设备的详细信息:IPv6 和 IPv4 地址、网络名称、使用的端口等,“ afpscan ”脚本还试图连接其他设备。 有趣的是,恶意软件使用了很多“古老”的代码来执行这些命令。比如,恶意软件使用了 libjpeg 开源代码,该代码最后一次更新是在 1998 年。 古老的系统调用函数: SGGetChannelDeviceList SGSetChannelDevice SGSetChannelDeviceInput SGInitialize SGSetDataRef SGNewChannel QTNewGWorld SGSetGWorld SGSetChannelBounds SGSetChannelUsage SGSetDataProc SGStartRecord SGGetChannelSampleDescription 尽管恶意软件使用了很多老式且不复杂的技术,但是却实现了现代间谍软件的常用功能。该恶意软件的代码最新可追溯到 2015 年 1 月,但直达今年才被发现。 在过去几年中,有许多关于国外黑客入侵、窃取美国和欧洲科学研究的报道。虽然该恶意软件明确针对生物科技研究机构从事间谍活动,但就从 C&C 服务器 IP 地址:99.153.29.240 、动态 DNS 地址 eidk.hopto.org 以及代码上来看,还没有证据表明恶意软件与特定的黑客组织有关联。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

iOS 10 新漏洞曝光:一条短信可让 iPhone 死机

现在手机收到的骚扰短信比以前少很多了,但是收到骚扰短信仍是件令人很苦恼。尤其是,如果收到某些特殊字符组成的短信,你的 iPhone 可能会立刻崩溃。YouTube 频道 EverythingApplePro 称,只要向使用 iOS 10系统的 iPhone 手机发送一个白旗表情符号+一个“ 0 ”+一个彩虹表情符号组成的文本,这部手机就会短暂死机。 事实上,无论对方是否打开这条信息,手机都会在收到这条短信后立刻死机。 好在要制作和发送这样的短信并不容易,需要专门编辑,所以不必过于担心。除此之外,即便已经因此死机,手机也会最终恢复正常或者重启。 稿源:cnbeta,有删改,封面来源:百度搜索

黑客组织 Carbanak 使用 Google 服务监控恶意软件 C&C 通信,隐蔽性更高

臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测,近日安全公司 Forcepoint 发现,黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量,减少被发现的几率。 该恶意软件归属于黑客组织 Carbanak (也称为 Anunak )。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。   Forcepoint 安全实验室发现,犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象,其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本( VBScript )。当用户打开文档时,他们将看到一个图像,该图像旨在隐藏文件中嵌入的 OLE 对象,并诱使受害者双击打开它。 越来越多的网络罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件,而不是现在烂大街的宏功能。 研究人员还发现了一个“ ggldr ”脚本模块,该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户,系统都会动态创建一个唯一的 Google Sheets spreadsheet,以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系,C&C 会回应不存在该用户信息。接下来,恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求,为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时,C&C 会回应这些详细信息。 由于很多企业机构都使用 Google 服务,所以一般都不会拦截合法的 Google 流量,从而大大增加攻击者成功建立 C&C 通信渠道的可能性。   稿源:HackerNews.cc 翻译整理,封面:securityaffairs 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

RIG 工具包利用旧版本软件漏洞,无需点击即可传播勒索软件 Cerber

安全公司 Heimdal Security 的专家称,新恶意广告活动利用 “RIG 漏洞利用工具”针对浏览器旧版本软件漏洞传播勒索软件 Cerber ,此过程无需用户任何点击。 攻击者首先会在利用网站漏洞注入恶意脚本,当受害者浏览合法网站时,无需点击任何链接网站会自动跳转至攻击者的网站,并利用 RIG Exploit kit 扫描设备是否存在旧版本的应用程序:Flash Player,、Silverlight、IE、Edge ,之后利用软件漏洞安装勒索软件 Cerber 。 RIG 漏洞利用工具涉及的漏洞: CVE-2015-8651 CVE-2015-5122 CVE-2016-4117 CVE-2016-1019 CVE-2016-7200 CVE-2016-7201 CVE-2016-3298 CVE-2016-0034 虽然许多互联网用户仍然选择忽略软件更新,但往往网络犯罪分子就是利用软件漏洞进行破坏。广大网民应及时更新软件,避免受到损失。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。