分类: 恶意软件

Lookout 研究发现:功能强大的 Monokle 恶意软件或产自俄罗斯

研究人员发现了一些有史以来最先进、功能最全面的移动监视软件。自 2016 年 3 月以来,这种被称作 Monokle 的 Android 应用程序就已经被发现。据说 Monokle 由俄罗斯国防承包商开发,旨在帮助该国情报机构干预 2016 美总统大选。安全研究机构 Lookout 发布的一份报告称,Monokle 使用了几种新式手段,包括修改 Android 可信证书存储区,可通过互联网 TCP 端口、电子邮件、短信或电话通信下达指令和控制网络。 Monokle 将自己伪装为正常应用图标(题图 via ARSTechnica) 更令人意想不到的是,Monokle 提供了离线监控功能,即便在互联网连接不可用的情况下,该软件也能够正常工作。下面是 Lookout 披露的 Monokle 的完整功能: ● 检索日历信息,包括事件名称、时间、地点等描述; ● 针对 HTTPS 流量和其它受 TLS 保护的通信的中间人攻击; ● 收集 WhatsApp、Instagram、VK、Skype、imo 的帐户信息和检索消息; ● 通过短信或指定的控制电话发送关键字(控制短语)和接收外带消息; ● 将短信发送给攻击者指定的号码; ● 重置用户密码; ● 录制环境音频(并可制定高 / 中 / 低音质); ● 拨打电话; ● 通话录音; ● 检索流行办公应用的文档文本; ● 拍摄照片、视频和截图; ● 记录包括手机解锁 PIN 码在内的密码; ● 检索加密盐,以帮助获取存储在设备上的 PIN 码等密码; ● 接受来自一组指定电话号码的命令; ● 检索联系人、电子邮件、通话记录、浏览历史记录、帐户和相应的密码; ● 获取包括品牌、型号、功率级别、Wi-Fi 或移动数据连接、屏幕开启或关闭等在内的设备信息; ● 若设备已开启 root 权限,Monokle 可以 root 身份执行任意 shell 命令; ● 追踪设备位置; ● 获取附近蜂窝基站信息; ● 获取已安装应用列表; ● 获取附近 Wi-Fi 详情; ● 删除任意文件; ● 下载攻击者指定的文件; ● 重启设备; ● 卸载自身并删除受感染手机中的所有痕迹。 基于对某些 Monokle 样本的分析,Lookout 研究人员猜测还有针对苹果 iOS 设备开发的 Monokle 版本。 开发者可能无意中将某些 iOS 控制代码添加到了 Android 示例中,可针对密钥字符串、iCloud 连接、Apple Watch 加速度计数据、iOS 权限、以及其它 iOS 功能或服务。 之所以将这类恶意软件称作 Monikle,是因为它包含了所谓的 monokle-agent 组件。尽管目前 Lookout 研究人员尚未发现任何 iOS 样本,但其认为它们可能正在开发过程中。 Monokle 恶意软件样本的签名日期排布(图自:Lookout) Lookout 研究人员认为 Monokle 与圣彼得堡的 STC 公司有特殊的联系,时任美国总统奥巴马曾对这家俄罗斯国防承包商施加过制裁,理由是其涉嫌干预 2016 美总统大选。 有线索表明,Monokle 与 STC 的控制服务器有连接,且后者的加密证书被用于该恶意软件的样本签名。此外,Monokle 的复杂性表明,其背后或有政府力量在提供暗中支持。 Lookout 还举了 PegASUS 这个例子,这款由以色列开发的针对 iOS 和 Android 设备的强大间谍应用程序,曾于 2016 年被用于对抗阿联酋的不同政见者、并于今年被再次用于英国律师。 Lookout 安全情报高级经理 Christopher Hebeisen 在接受 ArsTechnica 采访时称,我们又一次见到了有国防承包商来生产一种用于监视移动设备用户的高度复杂的恶意软件。 Lookout 指出,这样的行为,会对移动设备造成极高的被攻击风险。不过研究人员也发现,Monokle 被伪装成了极少数的应用程序,表明该监视工具是专门为攻击有限数量的特定人群而开发的。 根据 App 的名称和图标,Lookout 列出了 Monokle 潜在攻击目标的一些特征 —— 某教信众、居住在东欧高加索和附近地区、对一款名叫 UzbekChat 的消息应用程序感兴趣。 其表示,大多数应用程序都被打包进了合法的功能,以防止用户对这款恶意软件产生怀疑。   (稿源:cnBeta,封面源自网络。)

德国安全局称有黑客传播 Sodinokibi 勒索软件

德国国家网络安全机构 BSI 发布警告称,有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。 黑客将一个微软快捷方式伪装成 PDF 文件,当受害人将其打开时便会被其指向的压缩包附件感染。 一旦执行,快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件(HTML 应用程序的简称),该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。 据德国安全局称,下载 Sodinokibi(也称为 REvil 和 Sodin)payload 的网址的域名和下载 HTA 文件的域名是相同的。 下载之后,Sodinokibi 将加密受害者的文件,并为每个计算机添加一个随机且唯一的扩展名。 该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档,其中包含前往支付网站的方式和链接。 用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款,金额将会翻倍。勒索界面还显示了用于支付的比特币地址。 Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

以微软用户为目标的恶意软件正伪装成以假乱真的浏览器更新

微软用户正成为新恶意软件活动的目标,其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现,该页面经过了精心设计,看上去尽可能相似,以至于它甚至包含指向微软官方域名的链接。 但是,在登录页面几秒钟后,恶意网站将向用户提供适用于其浏览器的警告,并建议下载并安装更新。 Google Chrome和Mozilla Firefox用户可以收到特别为他们定制的,让人疑惑的页面上。最经常看到的提示时“您使用的是较早版本的Chrome浏览器”,使用Google Chrome浏览网页的设备上会显示这一消息。 该警告的名称为Chrome Update Center或Firefox Update Center,具体取决于所使用的浏览器。 用户下载“更新”后,它会部署TrickBot特洛伊木马程序,该马程序专门查找浏览器中存储的密码,浏览历史记录和自动填充数据。它还可以创建已安装程序的列表以及遍历在设备上运行的Windows服务,然后将所有被盗信息传输到服务器,恶意软件通过安装到Windows的svchost.exe进程中来避免检测,这让用户在手动检查恶意进程时更加困难,尽管防病毒解决方案应该能够阻止它。   (稿源:cnBeta,封面源自网络。)

黑客通过恶意软件感染 Pale Moon 存档服务器

Pale Moon 网络浏览器团队今天宣布,他们的 Windows 档案服务器遭到破坏,黑客在 2017 年 12 月 27 日用恶意软件感染了 Pale Moon 27.6.2 及以下的所有存档安装程序。 攻击者使用脚本,将 Win32 / ClipBanker.DY Trojan 变种注入存储在服务器上的 .exe 文件,使得下载 Pale Moon 浏览器安装程序和自解压存档的用户感染恶意软件。Pale Moon 团队在 7 月 9 日发现了安全漏洞,并立即切断了与受影响服务器的所有连接,以阻止恶意软件进一步传播给其他用户。 受感染文件的时间戳显示,攻击者使用自动进程在本地感染这些文件,该进程向存储在受感染服务器上的每个可执行文件注入大约 3MB 的恶意 payload。 Pale Moon 的开发团队在漏洞分析中解释说,从未下载安装程序的用户“基本不会受到感染”。为了确保安全,用户可以通过列表逐步检查他们下载的安装程序是否被篡改,而那些下载受感染文件的用户应该“使用信誉良好的防病毒软件对系统进行全面扫描和清理,以清除此恶意软件。”   攻击中使用的恶意软件删除程序  感染过程   在恶意可执行文件启动后,将使用一个剪贴板软件感染受害者的计算机 –  ESET 检测其为 MSIL/Agent.B 的变体。之后,后台会创建一个在启动时执行剪贴板的任务,同时前台启动 Pale Moon 安装程序以分散受害者的注意力并隐藏的恶意活动。 正在创建的任务   虽然我们能够分析 Pale Moon 攻击者使用的恶意软件的行为,但因为我们无法启动它并获得有关其功能的更多信息,可能还带有恶意软件分析和VM 检测功能。     消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

超3300万个邮箱密码泄露,一大波勒索邮件攻击正在到来

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ   概述 或许你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” 身边不少人收到过类似的勒索邮件,收到这些邮件,表示你的部分邮箱帐号密码泄露,对方或许有也或许没有你更多的隐私信息,如果你的网盘、网络相册不幸与邮箱使用相同的密码,那就真有可能一起泄露。腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。 攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路,该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码,再群发恐吓勒索邮件。 每攻克一台服务器,攻击者就验证2万个邮箱地址。截止目前,该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。” 分析发现,病毒主模块编写者为“Burimi”,且具有内网传播能力(感染U盘和网络共享目录),腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前,腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。 详细分析: 木马启动后尝试用内置密码列表爆破VNC服务器  爆破成功后会在目标VNC服务器下载木马程序  木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”      入口处检测虚拟机以及调试器,环境不匹配就会退出。    禁用安全中心提示,减少被用户发现的概率。 拷贝自身到c:\windows[random]\win[random].exe并设置run启动项,启动项名Microsoft Windows Driver 感染U盘以及网络磁盘,写入antorun.inf 劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等 BTC已经劫持到0.14697873个 从以下域名中下载1.exe~8.exe 挖矿模块2.exe 2.exe启动后释放文件 C:\ProgramData[random]\cfg C:\ProgramData[random]\cfgi C:\ProgramData[random]\windrv32 C:\ProgramData[random]\r.vbs windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号 r.vbs设置挖矿模块启动项 邮件勒索模块3.exe 首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。   每个任务文件携带20000个邮箱账户&密码。 由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。 黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC 安全建议 1、更换VNC连接密码为复杂密码,防止类似爆破攻击事件; 2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能; 3、推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。 4、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试(可能远超3300万),我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。 也可以按以下步骤手工清理 删除文件 C:\ProgramData\FtqBnjJnmF[random]\cfg C:\ProgramData\FtqBnjJnmF[random]\cfgi C:\ProgramData\FtqBnjJnmF[random]\windrv32 C:\ProgramData\FtqBnjJnmF[random]\r.vbs c:\windows\48940040500568694\v.exe C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random] 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver IOCs 钱包 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk 24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR 4PGXzCGYQw7UemxRoRxCC97t7VaTr XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh 0x8b7f16faa3f835a0d3e7871a1359e45914d8c344 LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4g fuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca Domain soruuoooshfrohuo.su aoruuoooshfrohuo.su roruuoooshfrohuo.su toruuoooshfrohuo.su toruuoooshfrohuo.su uoruuoooshfrohuo.su foruuoooshfrohuo.su zeruuoooshfrohuo.su zzruuoooshfrohuo.su bbruuoooshfrohuo.su soruuoooshfrohoo.su aoruuoooshfrohoo.su roruuoooshfrohoo.su toruuoooshfrohoo.su toruuoooshfrohoo.su uoruuoooshfrohoo.su foruuoooshfrohoo.su zeruuoooshfrohoo.su zzruuoooshfrohoo.su bbruuoooshfrohoo.su soruuoooshfrohlo.su aoruuoooshfrohlo.su roruuoooshfrohlo.su toruuoooshfrohlo.su toruuoooshfrohlo.su uoruuoooshfrohlo.su foruuoooshfrohlo.su zeruuoooshfrohlo.su zzruuoooshfrohlo.su bbruuoooshfrohlo.su soruuoooshfrohfo.su aoruuoooshfrohfo.su roruuoooshfrohfo.su toruuoooshfrohfo.su toruuoooshfrohfo.su uoruuoooshfrohfo.su foruuoooshfrohfo.su zeruuoooshfrohfo.su zzruuoooshfrohfo.su bbruuoooshfrohfo.su ssofhoseuegsgrfnj.su unokaoeojoejfghr.ru osheoufhusheoghuesd.ru fafhoafouehfuh.su auoegfiaefuageudn.ru aiiaiafrzrueuedur.ru osuhughgufijfi.ru agnediuaeuidhegsf.su ouhfuosuoosrhfzr.su agnediuaeuidhegsf.su unokaoeojoejfghr.ru URL hxxp://thaus.to/1.exe hxxp://thaus.to/2.exe hxxp://thaus.to/3.exe hxxp://thaus.to/4.exe hxxp://thaus.to/5.exe hxxp://thaus.to/6.exe hxxp://thaus.to/7.exe hxxp://thaus.to/8.exe … IP 193.32.161.77 193.32.161.69 MD5 ef7ffba4b98df751763464f404d3010c f895a1875b3e112df7e4d548b28b9927 1d843f799da25d93d370969e126c32fa 3e26d2428d90c95531b3f2e700bf0e4c 33e45f80f9cbfd841242e8bb4488def1 另据最新情况,该病毒的两个服务器均已关闭,包括病毒下载服务器和勒索邮件发送任务服务器。也意味着,现有已感染的病毒仅剩下挖矿部分工作正常,发送勒索邮件的任务必须等待所有病毒更新,攻击者找到新的控制服务器,重新完成配置。    

2500 万 Android 设备被“Agent Smith”恶意软件感染

根据报道,一种名为 Agent Smith 的新型 Android 恶意软件已经感染了 2500 万部手机,其目的是推送广告或劫持有效的广告事件。 受害者被引诱从第三方应用商店下载伪装成照片应用程序、色情相关应用程序或游戏等病毒程序,一旦下载完毕,这些程序就会下载 Agent Smith。 该恶意软件通常伪装成 Google Updater、Google Update for U 或 com.google.vending 等实用工具 ,并对用户隐藏其图标。 接下来,恶意软件检查目标手机上的应用程序,然后获取带有恶意广告模块的“补丁”识别 APK 的更新。为了完成更新安装过程,恶意软件利用 Janus 漏洞,该漏洞可以让其绕过 Android 的 APK 完整性检查。Janus 是一个可追溯到 2017 年的 Android 漏洞。 Check Point 估计,每个受害者手机上可能有多达 112 个应用程序被那些显示广告的应用程序所取代。 他们写道:“一旦完成了杀毒链,Agent Smith 就会利用用户应用程序来显示广告,表面上只是用来推销广告,但是它的运营商可能会利用它来做更坏的事情,比如窃取银行凭证”。 Check Point 说,Agent Smith 潜伏在第三方应用商店,如 9 App,主要为印度用户,阿拉伯人和印度尼西亚用户服务。受感染数量最多的是印度(超过1 500万),其次是孟加拉国(超过250万)和巴基斯坦(近170万),印度尼西亚以 57 万个受感染的设备名列第四。但是还发现,在沙特阿拉伯(245 K)、澳大利亚(141 K)、英国(137 K)和美国(303 K)的设备上也出现了感染。 该恶意软件并不局限于只感染一个应用程序,它将取代其目标列表中的任何和全部,受感染的设备将逐渐得被重新检查,并提供最新的恶意补丁。恶意软件中被编码的目标 Android 应用程序列表包括以下内容: • com.whatsapp • com.lenovo.anyshare.gps • com.mxtech.videoplayer.ad • com.jio.jioplay.tv • com.jio.media.jiobeats • com.jiochat.jiochatapp • com.jio.join • com.good.gamecollection • com.opera.mini.native • in.startv.hotstar • com.meitu.beautyplusme • com.domobile.applock • com.touchtype.swiftkey • com.flipkart.android • cn.xender • com.eterno • com.truecaller 研究人员分析说:“我们将 Agent Smith 传播与位于广州的一家中国互联网公司联系起来,该公司的前端合法业务是帮助中国 Android 开发者在海外平台上发布和推广他们的应用程序”。 Check Point 报告说,Agent Smith 在 Android 5.0 版(40%)和 6.0 版(34%)的手机中最为普遍,9% 的受感染手机的是 8.0 版。谷歌最新版本的 Android 操作系统是 Pie,版本为 9.0。 研究人员认为: Agent Smith 提醒我们,仅靠系统开发人员的努力还不足以建立一个安全的 Android 生态系统,它需要系统开发人员、设备制造商、应用程序开发人员和用户的关注和行动,以便及时修补、分发、采用和安装漏洞修补程序。   (稿源:开源中国,封面源自网络。)

美国海岸警卫队针对破坏船舶计算机系统的恶意软件发出警告

据外媒ZDNet报道,美国海岸警卫队在过去三个月中发出了两次安全警报,突出了商业海船上的网络安全实践问题。第一个警报是在5月下旬发出的,海岸警卫队官员警告说,持续不断的电子邮件鱼叉式网络钓鱼浪潮将恶意软件传播到商业船只。 这些电子邮件来自美国港口国监管局(PSC)的官方机构,海岸警卫队的警报被发送给海事利益相关者,使他们对正在针对船舶运营商的持续攻击保持警惕。当时,海岸警卫队将这次malspam活动分发的恶意软件描述为“旨在破坏船载计算机系统的恶意软件”,但没有详细说明或提供任何副本或文件哈希。 然而,美国海岸警卫队周一发出了第二次警报。美国海岸警卫队表示,在发现一起网络安全事件影响到一艘开往纽约港的国际航行中的船只后,该机构发布了第二次警报。 海岸警卫队官员表示,事件发生在2019年2月,该船“报告称他们正在经历一场影响其船上网络的重大网络事件。” 海岸警卫队和其他机构随后进行的调查发现,“虽然恶意软件严重降低了机载计算机系统的功能,但基本的船舶控制系统并未受到影响。” “尽管如此,机构间的反应[团队]发现该船只在没有有效的网络安全措施的情况下运行,使关键的船舶控制系统面临重大漏洞,”海岸警卫队说道。 海岸警卫队没有说明2月的这起事件是否是由它在5月警报中检测到并描述的同一恶意软件引起的。 除了提醒海事利益相关者最近发生的攻击事件外,海岸警卫队官员还包括有关基本网络安全实践的指导,这些实践可用于改善船上发现的计算机网络的安全状况。总结一下,这些是: 实施网络分段。 为每个员工创建网络配置文件,需要唯一的登录凭据,并仅限于必要的权限 警惕外部媒体 安装防病毒软件 保持软件更新 “目前尚不清楚这艘船是否能代表深水船只上的网络安全现状,”海岸警卫队说道。“但是,由于鼠标点击控制引擎,并且越来越依赖电子制图和导航系统,使用适当的网络安全措施保护这些系统对于控制船舶的物理访问或对传统机器进行日常维护至关重要。海事界认识到需要并实施基本的网络措施,以适应不断变化的技术和不断变化的威胁形势,“该机构说道。 对于行业专家来说,美国海岸警卫队最近发布的两个安全警报并不令人惊讶。由一个由21个国际航运协会和行业组织组成的集团在2018年12月发布的一份报告强调了船上的大量网络安全问题,调查人员多次发现勒索软件、USB恶意软件和蠕虫。 今年4月,澳大利亚网络安全中心发布了所谓的Essential Eight–一个缓解策略列表,组织可以用它作为改善他们网络弹性的起点,也可以应用于安装在船上的计算机网络。   (稿源:cnBeta,封面源自网络。)

黑客组织 TA505 正在垃圾邮件活动中使用新的恶意软件 Gelup 和 FlowerPippi

据Trend Micro的研究人员称,TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件,它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现,在今年6月,有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序,其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。 TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后,通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道,少量垃圾邮件样本还使用了恶意的URL,导致名为FlawedAmmyy的远程访问木马(RAT)下载。 垃圾邮件样本 (Proofpoint) 新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术,这是“模拟受信任目录(欺骗受信任目录中文件的执行路径),滥用自动提升的可执行文件,并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术,并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长,恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务,或者添加注册表运行项,这取决于用户权限。 Gelup执行的命令(Trend Micro) FlowerPippi是黑客组织TA505最近部署的第二个恶意软件,除了后门功能外,它还具有下载技巧,使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出,该后门用于收集和过滤受害者电脑中的信息,并运行从命令控制(C2)服务器接收到的任意命令。 FlowerPippi 执行的命令 (Trend Micro) 黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外,微软安全情报部门在大约两周前发布了一条安全警告,称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马(RAT)使韩国的目标受感染。 Redmond的研究人员表示,虽然黑客们利用的微软办公软件漏洞(CVE-2017-11882 )在两年前就已经被修补,但黑客们仍广泛地利用该漏洞进行攻击,“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一,可以用于各种各样的攻击。大约在一周前,Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马(RAT)的活动。 TA505黑客组织至少从2014年第三季度起就变得活跃起来[1,2],其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

首款利用 DNS over HTTPS 隐藏网络流量的恶意软件 Godlua 已经现身

为了提升域名解析服务的安全性,行业内推出了叫做 DNS over HTTPS 的解决方案(简称 DoH)。然而 Network Security 研究实验室的伙计们,已经发现了首个利用 DoH 协议的恶意软件,它就是基于 Lua 编程语言的 Godlua 。这个名字源于 Lua 代码库和七种一个样本源码中包含的神奇字符 God 。 这款后门程序可利用 DoH 来掩盖其 DNS 流量 基于 HTTPS 的域名解析服务的增长势头一直很强劲,去年 10 月,互联网工程任务组正式发布了 DoH(RCF 8484)。 尽管并不是新鲜的概念,但首个利用 DoH 的恶意软件,还是让行业提前感受到了影响未来的新一轮正邪攻防战。 Netlab 研究人员在报告中提到,他们发现了一个可疑的 ELF 文件,但最初误以为它只是一款加密货币挖矿木马。 尽管尚未确认或否认任何加密货币的挖掘功能,但他们已证实其行为更像是分布式拒绝服务(DDoS)机器人。 (截图 via TechSpot) 研究人员观察到,该文件会在被感染系统上作为“基于 Lua 的后门”来运行,且注意到至少有一次针对 liuxiaobei.com 的 DDoS 攻击。截至目前,Netlab 已经发现了至少两个未利用传统 DNS 的变种。 借助 DNS over HTTPS,恶意软件可通过加密的 HTTPS 连接来隐藏其 DNS 流量,使得 Godlua 能够躲过 DNS 监控,这已经足够让网络安全专家感到震惊。 据悉,谷歌和 Mozilla 都已经提供了对 DoH 的支持,前者甚至将 DoH 作为其公共 DNS 服务的一部分。此外,Cloudflare 等互联网基础设施服务提供商,也提供了对 DoH 的支持。   (稿源:cnBeta,封面源自网络。)

研究发现微软 OneDrive 上存储的恶意软件突然大幅增加

微软OneDrive用于托管恶意文件的使用率显着上升。根据FireEye报告显示,微软OneDrive上一季度托管恶意文件的用户数量激增60%以上,而此前仅上升了一位数百分点。据FireEye称,OneDrive在托管恶意文件的使用率方面,已经超过Dropbox、Google Drive和WeTransfer等竞争对手。 另一方面,Dropbox虽然没有看到与微软OneDrive几乎相同的托管恶意文件用户数量激增,但仍保持着恶意文件使用量季度环比增长的最高比例,使其成为存储此类文件最常用的托管服务。攻击者发现这些知名和可信的站点很有用,因为它们绕过了安全引擎执行的初始域信誉检查。 攻击者没有直接向目标发送包含恶意内容附加文件的电子邮件,而是将内容上载到文件共享站点。目标受害者从服务接收到一个新文件正在等待他们的通知,以及一个下载该文件的链接。其中一些服务还提供文件预览,显示URL中的内容,无需下载文件即可单击该URL。这使得攻击非常有效,而且很难被发现。 该报告还建议用户不要将敏感或机密文档存储在公共托管的文件共享网站上,因为当今数百万受害者的电子邮件帐户遭遇大量网络钓鱼。   (稿源:cnBeta,封面源自网络。)