标签: 卡巴斯基

DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户

据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器,目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法,通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本,Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外,尽管最初的袭击旨在针对来自东南亚的用户 ,但目前该新活动已经演变到支持 27 种语言,以扩大在欧洲和中东地区的业务范围。 与之前的版本类似,新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发,攻击者更改无线路由器的 DNS 设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,这些网站可用于:提供 Android 用户虚假银行恶意软件;提供 iOS 用户 钓鱼网站;提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议: “建议您确保您的路由器运行最新版本的固件并使用强密码保护; 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS; 您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中; 建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序; 检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。” 卡巴斯基实验室分析报告: 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司发布关于 Energetic Bear APT 分析报告:针对欧美国家能源和工业部门

近日,卡巴斯基分析了受 Energetic Bear APT 损害的服务,并在某种程度上确定该组织是为了利益或接受其外部客户的订单而运作的。卡巴斯基实验室 ICS CERT 报告中提供了有关已识别的服务器的信息,这些服务器已被群体感染和使用。此外,该报告还包括对 2016 年和 2017 年初 Energetic Bear 组织袭击几家网络服务器的分析结果。 至 2010 年以来, Energetic Bear  一直活跃。该组织倾向于攻击不同的公司,主要关注能源和工业部门。根据统计,Energetic Bear 袭击的公司在全球范围内集中度比较明显,一般来说主要分布在欧洲和美国。在 2016-2017 年,土耳其公司遭受 Energetic Bear 袭击的数量也大幅增加。 Energetic Bear 组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。Energetic Bear 使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染,以便在水坑攻击中使用它们以达到该组织的主要目标。 受损服务器的分析结果和攻击者在这些服务器上的活动如下: –   除极少数情况外,该组织可以使用公共可用的实用程序进行攻击,使攻击归因的任务无需任何额外的群组“标记”就变得非常困难; –  潜在地,当攻击者想要建立一个立足点以发展针对目标设施的进一步攻击时,互联网上任何易受攻击的服务器都会引起攻击者的兴趣。 –  在观察到的大多数情况下,该组织通过执行与搜索漏洞有关的任务来获得各种主机持久性以及窃取认证数据。 –  受害者的多样性可能表明攻击者利益的多样性。 –  在某种程度上可以肯定地说,该组织为利益服务或从其外部的客户处获得订单,通过执行初始数据收集、窃取认证数据获得适合攻击资源的持久性发展。 值得注意的是, Energetic Bear 针对美国组织的近期活动在 US-CERT 咨询中进行了讨论,该咨询将其与俄罗斯政府联系起来。 完整分析报告: 《Energetic Bear/Crouching Yeti: attacks on servers》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;

微软和其他第三方防病毒应用因为可能的威胁禁止 uTorrent 运行

由于可能会在微软桌面操作系统上产生威胁,Windows Defender 这个绑定到 Windows 8.1 和 Windows 10 的默认防病毒解决方案以及多个第三方安全产品已经开始阻止 BitTorrent 客户端 uTorrent。该应用程序被 Windows Defender,ESET的NOD32,Sophos 防病毒引擎和其他一些标记为可能不需要的软件(也称为可能不需要的应用程序或 PUA )。 卡巴斯基,Bitdefender,Avast和F-Secure 都声称 uTorrent 是干净的。 此时,目前还不知道是什么触发了该模块,但据信内置模块(如 Web Companion )可能是罪魁祸首,尽管母公司 BitTorrent 将这些安全警告描述为误报。 虽然这个警告可能是针对 uTorrent 捆绑在一起的软件,但 BitTorrent 表示,这个问题只影响其网站上托管的三个安装程序中的一个,这个安装程序通常只有 5% 的用户使用。这意味着少数系统得到了警告。 稿源:cnBeta,封面源自网络  

为重获美国信任,杀软巨头卡巴斯基将在瑞士新建数据中心

卡巴斯基被驱逐出美(政务采购、军方合同等领域)后,俄国杀毒巨头也在考虑如何彻底打消西方世界的疑虑(收集敏感资料回传祖国,涉间谍行为),毕竟在几乎所有的杀软横评中,卡巴都是当仁不让的第一。 据路透社报道,一份独家获取的内部文件显示,卡巴准备在瑞士建立一个新的数据中心。 卡巴虽然没有直接回应,但透露,为了履行他们做出的全球透明度倡议,决定今年在欧洲建立首个透明中心,也就是将自己应对信息安全威胁的努力公之于众。除此之外,卡巴在亚洲和美国也规划有新的透明研发中心。 报道称,卡巴创始人和 CEO Eugene Kaspersky 已经批准了上述决议,虽然他本人极不情愿,但为了长远利益,只有妥协。 瑞士中心将于 2020 年前竣工,届时,从美国和欧洲用户的卡巴斯基软件中收集和传送的资料将直接送往这里,而其它地区则依然传回莫斯科的卡巴斯基中心实验室。 与之配套的措施还有,独立客观的三方机构运作该中心,同时,卡巴一部分杀软的程序研发工作也会部分转入瑞士。 据悉,除了美国,巴西和立陶宛也对卡巴下达了“封杀”禁令,后者目前仅能在这些地区的个人电脑、私人企业等客户中销售产品。 稿源:cnBeta、快科技,封面源自网络;

卡巴斯基发现软件漏洞,可在线访问全球1000多个加油站控制器

据外媒 Cnet 报道,卡巴斯基实验室的研究人员上个月发布了关于加油站漏洞的研究报告,指出从美国到印度的 1000 多个加油站可能面临网络攻击。这些问题来自能连接到互联网的加油站控制器,所有者无法更改默认密码,攻击者完全可以访问机器。 上周五,卡巴斯基实验室高级安全研究员 Ido Naor 和以色列安全研究员 Amihai Neiderman 在卡巴斯基在墨西哥坎昆举行的安全分析师峰会期间,就加油站的安全问题展开了全面分析。他们的研究表明,攻击者可以改变汽油价格,窃取记录在控制器上的信用卡信息,获取车牌号码,造成油料泄露,调整温度监控器等等。 Neiderman 解释称:“当我们获取 root 权限时,我们可以做任何我们想做的事情。”Naor 则表示,攻击者甚至不需要到当地加油站附近的任何地方。这些加油站的控制器都能连接到互联网,而且密码安全性较低,因此可以远程完成。 该在线软件来自 Orpak Systems,这家燃料管理公司于去年 5 月被北卡罗来纳州的Gilbarco Veeder-Root 公司收购 。据 Orpak 称,其软件已安装在全球超过 35000个加油站。Orpak 将其指南放在网上,展示了加油站技术的细节,包括如何访问其界面的密码和屏幕截图。这些公司没有回应置评请求。 这些漏洞突出了物联网设备背后的问题,因缺乏安全性而受到广泛批评。由于在线连接了不安全的网络摄像头和 DVR,黑客已经能够发起大规模的网络攻击。Naor 表示,但是在加油站,危险攻击的风险要高得多。在极端情况下,黑客可能会调整油箱内的压力和温度,可能导致爆炸。 Naor 和 Neiderman 表示,他们在 2017 年与供应商联系,但大多被忽视。Neiderman 称,这些漏洞很可能仍然存在。这些机器已经过时,有时甚至超过十年,软件也是如此,他补充道。 稿源:cnBeta.com,封面源自网络

卡巴斯基实验室指网络犯罪分子通过恶意挖矿软件在 2017 年获利数百万美元

去年,我们看到了近期历史上最严重的勒索软件攻击之一,这要归功于 WannaCry。网络犯罪分子甚至为他们的恶意软件采用了“ as-a-service ”模式,以此来欺骗人们赚更多的钱。但根据卡巴斯基实验室的研究人员,这绝不是单纯的收入来源。 据卡巴斯基实验室的网络威胁研究和报告存储库安全列表称,网络犯罪分子利用在浏览器中执行恶意脚本,利用受害者的电脑硬件资源挖掘加密虚拟货币,另外他们还使用另一种技术即流程挖空。 简而言之,黑客使用合法应用程序作为容纳恶意代码的容器,从而通过受害者电脑系统的防御。其中的恶意装程序使用合法的 Windows 实用程序 msiexec,从远程服务器下载并执行恶意模块。在下一步中,它会安装一个恶意的调度程序任务,这会向系统注入挖矿程序,它将自己打扮成合法系统进程,并使用进程空洞技术。如果受害者试图终止此进程,则 Windows 系统将重新启动。 根据卡巴斯基实验室的数据,2016 年至 2017 年,这类攻击增加了近 1.5 倍。此外,在 2017 年的最后六个月中,网络犯罪分子通过以上 2 种方式已经赚取超过 700 万美元。 稿源:cnbeta.com,封面源自网络

卡巴斯基:色情诱导恶意软件 去年安卓用户成重灾区

俄罗斯安全公司卡巴斯基实验室本周三发布的一份安全报告称,去年谷歌安卓系统用户中至少有 120 万人遭遇到了色情内容相关的恶意软件,这是安卓设备上感染恶意软件用户总数 490 万人的四分之一。 使用色情内容吸引不知情的受害者点击恶意软件是一个普遍的伎俩,一个黑客团伙使用虚构色情应用在 2017 年在 100 万个安卓手机中盗取了约 89.2 万美元的总额,9 万个机器人构成的僵尸网络在推特中散布色情垃圾信息。卡巴斯基实验室的研究人员称他们几乎在成人网络内容诞生的第一天就看到色情内容,被作为散播恶意软件的诱饵。 在桌面的,卡巴斯基研究者发现色情相关恶意软件感染约 30 万次,比起移动设备发生的相关感染来说非常苍白。研究团队发现了网络上有 23 种针对安卓设备的不同的恶意软件,他们都非常依赖以色情内容作为诱饵。包括勒索病毒、木马等。谷歌拒绝就此置评,因为卡巴斯基的这项结论并未包括任何苹果 iOS 系统设备。 稿源:cnBeta.COM,封面源自网络

卡巴斯基:安卓恶意软件 Skygofree 监控能力前所未有

 1 月 17 日凌晨消息,近期,网络安全问题日益突出,恶意软件开发者们也不断竞争,有研究人员发现了一个新的 Android 监视平台,监视内容包括基于位置的录音信息,该平台还拥有其他以前未曾见过的功能。 根据卡巴斯基实验室于周二公布的一份报告,“ Skygofree ” 很有可能是一个具有侵略性的安全类软件,该软件是由一家位于意大利的专门售卖监控软件的公司出售的。该软件自 2014 年开始一直持续在进行开发。它依赖于五个不同的技术来获得特权访问权限,可以绕过 Android 自身的安全机制。Skygofree 可以从设备的存储芯片中获取通话记录、文字短信、位置信息、日程活动、和一些与商业相关的信息,还能获取拍照和录像的权限。 Skygofree 还具有这样一个功能,当用于处在特定的位置时就自动开启受攻击手机的录音功能,能记录对话和环境噪声。还有一个新功能,那就是通过滥用 Android 系统给残障人士提供的辅助工具来偷取用户的 WhatsApp 聊天记录。另一个功能就是能使受攻击手机连接由攻击者控制的无线局域网。 卡巴斯基的研究员在报告中写道:“ Skygofree Android 应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发,它具有了很多的功能。” 该报告称此恶意软件已经感染了很多意大利的 Android 手机用户。该恶意软件是通过伪造虚假网站来传播的。 稿源: 新浪科技,封面源自网络;

前 NSA 黑客揭露如何将卡巴斯基杀软变成间谍工具

根据卡巴斯基的案例表明,安全软件可以被情报机构利用来作为一种强大的间谍工具。Digita Security 首席研究官  Patrick Wardle 和前 NSA 黑客通过颠覆卡巴斯基实验室杀毒软件并将其变成强大的机密文档搜索工具来证实了这一点。 Patrick Wardle 在接受纽约时报采访时说: “ 杀毒产品是对抗恶意代码的首选。“  然而,具有讽刺意味的是,这些产品与先进的网络间谍工具有许多共同之处。“从技术角度来看,如果一个反病毒制造商出于某种原因,比如被强迫、被黑客攻击等,是否可以创建一个标记机密文件的签名? 去年12月,美国总统特朗普 签署了一项法案,禁止在联邦机构使用卡巴斯基实验室产品和服务。根据 Edward J. Snowden 泄漏的一份绝密报告草案显示,NSA 至少自 2008 年就瞄准了杀毒软件(即 Checkpoint 和 Avast )以便于收集存储在目标机器上的敏感信息。 Wardle 对卡巴斯基实验室杀毒软件进行了逆向工程,以探究是否有可能将其用于情报目的。其目标是希望能够编写一个能够检测机密文件的签名。Wardle 发现代码非常复杂,与传统的防病毒软件不同的是,卡巴斯基的恶意软件签名很容易更新。研究人员认为这个功能可以调整自动扫描受害者的机器和窃取机密文件。 “ 现代反病毒产品是非常复杂的软件,卡巴斯基可能是最复杂的一个。因此,仅仅获得对其签名和扫描逻辑的合理理解是一项具有挑战性的任务。”卡巴斯基的反病毒引擎会定期检查并自动安装任何新的签名。当新的签名可用时,该签名将被卡巴斯基更新服务器的kav守护进程下载。 杀毒软件扫描可能被用于网络间谍活动 Wardle 称官员们通常会将最高机密文件与 “ TS / SCI ” ( “ 最高机密 / 敏感区域信息 ” )进行分类,Wardle  向卡巴斯基的杀毒程序添加了一条规则,用来标记任何包含 “ TS / SCI ” 的文档。为了测试新规则,研究人员在他的电脑上编辑了一个文件,其中包含小熊维尼儿童读物系列的文本,并添加了 “ TS / SC ” 标记。一旦文档被保存到他的机器上,卡巴斯基的防病毒软件就会标记并隔离该文档。 Wardle 测试的后续阶段是发现如何管理被标记的文档,但是反病毒软件将数据发送回公司通过进一步分析发现是正常的。 而卡巴斯基在一份声明中称 Wardle 的研究并不正确,因为卡巴斯基实验室不可能以特定的秘密方式向特定的用户提供特定的签名或更新,所有签名总是公开给所有用户使用而且更新是经过数字签名的,不可能进一步伪造。 但无论如何,Wardle 的研究表明,黑客厂商的平台可以使用杀毒软件作为搜索工具。 专家总结说 :“然而,任何反病毒公司内部的恶意或有意识的内部人士,如果能够策略性地部署这样的签名,那么在一个可能的情况下任何被强迫或愿意与如政府之类强大机构合作的反病毒公司都同样能够悄悄地利用他们的产品来检测和利用任何感兴趣的文件。” 。 详细报告内容见<All Your Docs Are Belong To Us> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。