分类: 恶意软件

Apache 服务器背后的 Stantinko 代理

黑客通常会开发自己的Linux恶意软件,BlackTech的新型恶意软件ELF_PLEAD 和Winnti的PWNLNX 工具就是最近的例子。结合这种趋势,我们发现了与Stantinko group相关的新版本Linux代理木马。在本文发布之时,只检测到一个在VirusTotal中的恶意软件。 Stantinko黑客组织以Windows操作系统为目标而闻名,其活动可以追溯到2012年。恶意软件主要包括硬币矿工和广告软件僵尸网络。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1410/           消息及封面来源:intezer,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

恶意软件 WAPDropper 滥用 Android 设备进行 WAP 欺诈

安全研究人员发现,目前有一种新的Android恶意软件正在广泛传播,主要针对东南亚的用户。该新恶意软件名为 WAPDropper  ,目前通过第三方应用商店上托管的恶意应用进行传播。 Check Point表示,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用。 最终结果是,所有被感染的用户每个月都会收到大笔电话账单,直到他们取消订阅保费号码或向其移动提供商报告问题为止。 这种策略被称为“ WAP欺诈”,在2000年代末和2010年代初非常流行,随着智能手机的兴起而逐渐消失,但 在2010年代后期卷土重来, 因为恶黑客意识到许多现代电话和电信公司仍然支持较早的WAP标准。 WAPDROPPER黑客组织最有可能位于东南亚 Check Point表示,基于此计划中使用的高级电话号码,黑客很可能位于泰国或马来西亚的某个人或与其合作。 报告说:“在这种计划和类似的计划中,黑客和溢价率数字的所有者正在合作,甚至可能是同一群人 。”“这简直是一场数字游戏:使用优质服务拨打的电话越多,为那些服务背后的人带来的收入就越多。每个人都赢了,除了不幸的骗局受害者。” 至于恶意软件本身,Check Point表示WAPDropper使用两个不同的模块进行操作。第一个模块被称为Dropper,第二个模块是执行实际WAP欺诈的组件。 第一个模块是恶意应用程序内部仅有的一个模块,主要是为了减少其中的任何恶意代码的大小和指纹。一旦将应用程序下载并安装到设备上,此模块将下载第二个组件并开始对受害者进行欺诈。 但是Check Point还希望引起对该特定恶意软件的警报迹象。Check Point移动研究经理Aviran Hazum对ZDNet表示: “目前,该恶意软件丢弃了高级拨号程序,但将来,有效载荷可能会更改为丢弃 。”“这种类型的多功能“滴管”会秘密安装到用户的手机上,然后再下载其他恶意软件,这已成为我们在2020年看到的主要移动感染趋势。这些“滴管”木马占所有移动恶意软件的近一半在2020年1月至2020年7月之间发生了袭击,全球感染总数达数亿。Hazum补充说:“预计这一趋势将继续下去。” Check Point研究人员鼓励用户仅从官方Google Play商店下载应用。Check Point团队还告诉ZDNet,他们暂时在名为“ af ”,“ dolok ”,名为“ Email ”的电子邮件应用程序和名为“ Awesome Polar Fishing ”的儿童游戏中发现了WAPDropper恶意软件。建议从Play商店外部安装任何这些应用的用户尽快将其从其设备中删除。     消息来源:zdnet ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TMT 网络犯罪集团三名成员在尼日利亚被捕

据国际刑警组织周三报道,三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕,该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称,这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。 Group-IB表示,该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。 为了发送他们的电子邮件垃圾邮件,该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具,然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。 这些文件附件中掺杂着各种恶意软件,使黑客能够进入受感染的电脑,并从那里集中窃取浏览器、电子邮件和FTP客户端的证书。 Group-IB表示,该组织 “完全依靠各种公开的”恶意软件,如AgentTesla、Loky、AzoRult、Pony、NetWire等,这些恶意软件都可以免费下载或在地下论坛上廉价出售。 一旦黑客获得了凭证,TMT集团就会从事商业电子邮件欺诈 (BEC) ,这是一种在线诈骗,他们会试图欺骗公司向错误的账户付款–由该集团成员控制。 TMT集团用多种语言发送电子邮件垃圾邮件,并成功感染了美国、英国、新加坡、日本、尼日利亚等国的公司。 虽然调查仍在进行中,但国际刑警组织和Group-IB表示,他们能够追踪到超过5万个被该组织恶意软件感染的组织。据国际刑警组织称,总共有150多个国家的50多万家政府和私营企业收到了该组织的电子邮件。 Group-IB表示,该集团是由多个小的子集团组织起来的,它们共同合作,TMT的许多成员仍然在逃。Group-IB发言人表示,这个组织并不是AdvIntel 2019年报告中提到的那个TMT组织(是REvil勒索软件的主要传播者之一)。         (消息及封面来源:cnBeta)

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TA416 使用 PlugX 恶意软件新的 Golang 变种进行攻击

国庆假期之后,安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测,该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种,并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1407/         消息来源:proofpoint,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

RegretLocker:可加密 Windows 虚拟硬盘的新型勒索软件

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件,尽管该软件包没有多余的装饰,但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间,还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1406/         消息来源:malwarebytes,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ELF_PLEAD——BlackTech 黑客组织针对 Linux 的恶意软件

在过去的一篇文章中,我们介绍了Linux恶意软件ELF_TSCookie,它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本(ELF_PLEAD)。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1401/         消息来源:JPCERT,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用木马安全软件针对韩国用户进行供应链攻击

网络安全研究人员揭秘了韩国一场新型供应链攻击,该攻击滥用合法安全软件和窃取的数字证书,在目标系统上分发远程管理工具(RAT)。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团,该集团也被称为“Hidden Cobra”。ESET表示,黑客利用了该国的强制要求,即互联网用户必须安装额外的安全软件。 虽然攻击范围有限,但它利用了WIZVERA VeraPort,该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”,比如银行向个人和企业发放的数字证书,以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展,包括Operation Troy、2011年的DDoS攻击,以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外,攻击者还使用非法获得的代码签名证书来签署恶意软件样本,其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示:“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名,图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项,使得攻击者能够执行这种攻击。” ESET的研究人员指出,攻击者的目标是那些使用VeraPort的网站,这些网站还附带了一个base64编码的XML配置文件,其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示,攻击者通过损害一个合法的网站,然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出:“WIZVERA VeraPort配置包含一个选项,可以在执行之前对下载的二进制文件进行数字签名验证,并且在大多数情况下,这个选项是默认启用的。”“但是,VeraPort只验证数字签名是有效的,而不检查它属于谁。” 然后,二进制文件继续下载一个恶意软件卸载程序,该程序提取另外两个组件——加载器和下载器,后者被加载器注入到一个Windows进程中(“svchost.exe”)。下载器获取的最后阶段有效载荷采用RAT的形式,它带有允许恶意软件在受害者的文件系统上执行操作的命令,并从攻击者的武器库中下载和执行辅助工具。 更重要的是,此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续,今年4月初韩国互联网与安全局(Korea Internet & Security Agency)详细描述了这一攻击,该攻击在TTPs和命令与控制(C2)基础设施上存在明显重叠。 研究人员表示,“攻击者对供应链攻击特别感兴趣,因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项(例如在VeraPort配置中指定二进制文件的哈希值)来降低此类攻击的可能性,如果网站已经受到了攻击也可以采用这种方法。”         消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TroubleGrabber 恶意软件通过 Discord 窃取凭证

TroubleGrabber是一种新的凭证窃取恶意软件,它通过Discord的附件传播,并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处,但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的,目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载,窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1399/       消息来源:netskope,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。