标签: 恶意软件

美军网络司令部已在俄罗斯电网植入恶意软件 必要时可使其瘫痪

最新披露的报告显示,美军的网络司令部(Cyber Command)在过去一年中对俄罗斯的攻击规模要比以往任何时候都更加激进,并且在控制俄罗斯电网的多个系统中植入了“可以使其瘫痪的恶意软件”。 俄罗斯的电网 纽约时报本周六的报道中,援引匿名官员的话说这主要是由于自去年夏天开始美国国会放宽了相关的法律授权限制,网络司令部的战略从防御态势转变为进攻性态势,从而允许在发生冲突的时候在网络攻击中造成严重的瘫痪攻击。 纽约时报表示网络司令部的行动由美国国防部长确认,并没有经过美国现任总统特朗普的授权。最近一些针对俄罗斯的攻击行动是美国国会于2018年通过的一项军事授权法案下进行的,该法案允许在网络空间中“秘密进行军事活动”以威慑,保护或防御针对美国的攻击或恶意网络攻击。 纽约时报还表示,网络司令部去年在13号国家安全总统备忘录中获得了美国总统赋予的新权力,允许对俄罗斯小型黑客团体发起攻击,并支持“打压”Internet Research Agency(被认为干预2016年美国总统大选,充斥各种假新闻和钓鱼活动的俄罗斯黑客机构)。   (稿源:cnBeta,封面源自网络。)

谷歌剖析 Triada 安卓病毒:在手机发售前感染系统镜像

继俄罗斯安全公司卡巴斯基 3 年前首次公开报告之后,今天谷歌安全博客发文称通过他们的供应链已经确认部分 Android 设备的固件更新已经被感染,以便于黑客安装恶意程序。黑客利用名为“Triada”的恶意程序感染这些固件,卡巴斯基于 2016 年 3 月的官方博客中首次描述了这种恶意软件。 该恶意程序可以和众多命令、控制中心进行通信,并允许安装可用于发送垃圾邮件和显示广告的应用程序。2017年7月,反病毒厂商 Dr Web 发现 Triada 被内置到许多 Android 设备的固件中,其中包括 Leagoo M5 Plus,Leagoo M8,Nomu S10 和 Nomu S20 等等。而且由于该恶意程序属于操作系统本身,因此无法轻松删除。 谷歌 Android 安全和隐私团队成员 Lukasz Siewierski 于周四发布了一篇详细的博客文章,证实了 Web 博士近两年前的报道。他在博文中写道 “Triada 应用程序的主要目的是在显示广告的设备上安装垃圾应用程序。” 谷歌在博文中写道:“Triada 的创建者通过垃圾应用上显示的广告来牟利。和其他同类恶意软件相比,Triada 更加复杂且不常见。Triada 是从 rooting trojans 木马发展而来的,但随着 Google Play Protect 对防御这种攻击的增强, Triada 恶意程序被迫转型以系统镜像后门方式进行感染。但是,由于 OEM 合作和我们的推广工作,原始设备制造商准备了系统映像,其安全更新消除了 Triada 感染。” 尽管 Siewierski 在博文中并未提及具体的手机型号,但是提到了几家已经受到感染的手机厂商名称。他表示:“Triada在量产环节中通过第三方来感染设备系统镜像。有时 OEM 厂商希望包含不属于 Android 开源项目的功能,例如面部解锁等。” 他表示:“OEM 可能会与可以开发所需功能的第三方合作,并将整个系统映像发送给该供应商进行开发。基于分析,我们认为使用 Yehuo 或 Blazefire 的供应商返回了感染 Triada 恶意程序的系统固件。”   (稿源:cnBeta,封面源自网络。)

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nanshou”,且这一攻击源头是中国黑客。 报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。 在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。 然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC(危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。 调查报告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   (稿源:开源中国,封面源自网络。)

研究人员发现 Linux 版本的 Winnti 恶意软件

据外媒报道,Alphabet网络安全部门Chronicle的研究人员,发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本,其与中国APT组织有关。 研究人员认为,在Winnti Umbrella黑客组织的背后,有几个APT组织,包括Winnti,Gref,PlayfullDragon,APT17,ViceDog,Axiom,BARIUM,LEAD,PassCV,Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序(TTP),在某些情况下,甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时,发现了Linux版本的Winnti恶意软件,其可以追溯到2015年,当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告,Winnti恶意软件采用模块化结构,使用插件实现不同的功能。通过进一步分析发现,Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处,Linux版本也使用多种协议处理出站通信,如ICMP,HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求,但也可能只是尝试利用许多企业的安全盲点,与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

报告称黑客利用华硕云存储在 PC 上安装 Plead 后门

安全研究人员近日报告称,黑客组织BlackTech在中国台湾通过中间人攻击(“MITM攻击”)部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。 根据Eset的安全研究人员的说法,黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead,主要由被称为BlackTech的黑客组织部署,该组织主要针对亚洲政府和公司。 通常,恶意软件通过网络钓鱼攻击进行传播。然而,这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。 研究人员认为,黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击,”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后,软件在执行前不会验证其真实性。因此,如果更新过程被攻击者截获,他们就可以推送恶意更新。” Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器,其管理设置可通过互联网访问。 “因此,我们认为路由器级别的MitM攻击是最可能的情况,”Cherepanov说道。“为了应对这次攻击,华硕云已经改进了更新服务器的主机架构,并实施了旨在加强数据保护的安全措施。” Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中,其中安全措施可能不严格。然而,研究人员表示,尽管这种载体是可能的,但它的可能性要小得多。 Cherepanov提供了这样的建议:“对于软件开发人员来说,不仅要彻底监控他们的环境是否存在可能的入侵,还要在他们的产品中实施适当的更新机制,以抵御MitM攻击。” TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明: “华硕云首次了解到2019年4月下旬发生的一起事件,当时一位遭受安全问题的客户与我们取得联系。在得知此事件后,华硕云立即采取行动,通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知,从而有效地阻止攻击。 “为了应对这次攻击,华硕云已经改进了更新服务器的主机架构,并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过,华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描,以确保您的个人数据的完整性。”   (稿源:cnBeta,封面源自网络。)

FBI 指控网络犯罪头目试图从全球 44000 台电脑中窃取 1 亿美元

美国联邦调查局(FBI)和全球执法合作伙伴周四上午称,一名策划了一项犯罪阴谋的网络黑客头目已被逮捕,该阴谋闯入了44000台电脑,可能窃取了数百万美元。欧洲警察组织和联邦调查局证实,亚历山大·科诺沃洛夫和他的同谋玛拉特·卡赞德吉因涉嫌参与所谓的Goznym犯罪网络而在格鲁吉亚受到起诉。 美国还公开了一项起诉,指控10名成员是科诺沃洛夫组建的网络罪犯队伍Goznym成员。,而卡赞德吉负责这项犯罪行动技术方面工作。Goznym犯罪组织的操作简单但非常成功,使用和Goznym同名的恶意软件入侵Windows PC,等待用户在浏览器中输入银行密码,然后将其抓取。然后他们会闯入用户的银行账户,试图将资金转移到自己的账户。他们试图窃取1亿美元,但还不清楚他们成功转移了多少资金。 IBM全球执行安全顾问LimorKessem告诉《福布斯》,在某些情况下,目标企业及其银行在资金被转移到黑客账户之前发现了欺诈性转账。欧洲刑警组织证实,在起诉书中提到名字的五名俄罗斯犯罪分子仍然在逃。其中包括所谓的GozNym恶意软件开发商Vladimir Gorin,他不仅编写了代码,而且还将其出租给其他犯罪分子。另一名俄罗斯人是被指控的垃圾邮件发送者,他们向目标发送网络钓鱼电子邮件,其中就包括包含恶意软件的附件。     (稿源:cnBeta,封面源自网络。)

美国政府警告:朝鲜的 ELECTRICFISH 恶意软件试图窃取数据

据外媒报道,美国联邦调查局(FBI)和美国国土安全部(DHS)发布了一份关于ELECTRICFISH恶意软件的联合分析报告。 根据美国CERT网站上发布的报告,在追踪朝鲜黑客时发现了恶意软件ELECTRICFISH,其被朝鲜黑客组织Lazarus用来窃取数据。该恶意软件实现了一种自定义协议,允许在源IP和目标IP之间传输流量。 它不断尝试联系源系统和指定系统,并使得双方都可以发起会话。 因为该恶意软件由黑客组织Lazarus“使用代理服务器或端口和代理用户名和密码”进行配置,所以能够“连接位于代理服务器内的系统”,从而规避受感染系统的身份验证。绕过身份验证后,ELECTRICFISH将与目标IP建立会话,其位于目标网络及源IP之外。一旦在源IP地址和目标IP之间建立连接,ELECTRICFISH就可以在两台机器之间汇集网络流量,允许黑客把从受感染的计算机里收集的信息汇集到他们所控制的服务器。   消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

黑客利用 Jenkins 漏洞传播 Kerberods 恶意软件

HackerNews.cc 5 月 9日消息,黑客正利用2018年揭露的Jenkins漏洞(CVE-2018-1000861 )来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装,拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动,来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称,攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞,其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐,且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后,他创建了下图所示的图表(可以按照蓝色数字来理解每一步)。 Kerberods包含自定义版本的UPX打包程序,它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后,Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件,有许多方法可以修改UPX,使得用常规UPX版本解压缩文件很难。幸运的是,在本例中,UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此,将二进制文件的不同部分还原为UPX,可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限,Kerberods会将一个库加载到操作系统中,该操作系统挂钩Glibc的不同功能,就像一个木马一样。在没有root权限的情况下,恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器,它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源:Securityaffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mac 恶意软件威胁在 2019 年一季度上涨超 60% 广告软件涨幅更甚

根据 Malwarebytes 新发布的报告,针对 Mac 用户的恶意软件威胁,已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比,今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时,广告软件的涨幅,更是飙过了 200% 。Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出,针对消费者的威胁数量在下降,基于恶意软件的加密和勒索软件的数量也在上一季显著减少,整体恶意软件的检出量也下降。 然而网络犯罪分子们并没有就此收手,而是转移到了针对基础设施和商业用户的攻击上。显然,在它们的眼中,这些大目标比“小鱼小虾”有利可图多了。 最终结果是,与 2018 年四季度相比,Mac 恶意软件的数量在 2019 年一季度增长了 62% 。同时 macOS 广告软件增长了 201%,成为了增长最快的威胁类型。 2019 年一季度最臭名昭著的恶意软件是 PCVARK,它将上季度的前三名 —— MacKeeper、MacBooster、以及 MplayerX —— 分别挤到了第 2、3、7 位。 与此同时,一款名叫 NewTab 的广告软件家族的数量出现了跃升,从 60 名突然窜到了第 4 位。 此外,Mac 也在本季度遭受了新型攻击,包括使用开源代码创建后门、加密恶意软件,甚至在 macOS 桌面上发现了 Windows 可执行文件。 对于猖獗的加密货币挖矿,Mac 平台也未能幸免。此外因为有人利用钱包漏洞打造了一款特殊的带木马的版本,Mac 上比特币和以太坊钱包失窃的总额估计为 230 万美元。 Malwarebytes 指出,恶意软件开发者开始越来越多地使用开源的 Python 来编写恶意和广告软件。 从 2017 年的 Bella 后门开始,采用开源代码的恶意软件数量开始大增。2018 年的时候,我们还见到了 EvilOSX、EggShell、EmPyre、以及反向 shell(Metasploit)等恶意软件。 除了后门,恶意与广告软件开发者也对基于 Python 的 MITMProxy(中间人攻击代理)程序表现出了浓厚的兴趣,希望监测网络流量,从中挖掘出加密的 SSL 和其它数据。 开源的 XMRig 加密货币挖矿软件代码,也不幸成为了 2019 年一季度曝光的恶意挖矿软件的重要一环。 据悉,Malwarebytes 的这份报告,基于 2019 年 1 月 1 日 – 3 月 31 日期间,从其企业和消费者软件产品中提取到的数据。 展望未来,Malwarebytes 预测中小企业将看到大量新攻击,而亚太地区将被迫应对基于 WannaCry 或 Backdoor.Vools 的严重威胁。 预计今年勒索软件的数量会有所增加,但攻击可能仅限于企业。因为黑客为了实现收益的最大化,显然更喜欢向较大的目标发起挑战。   (稿源:cnBeta,封面源自网络。)

研究人员可通过恶意软件添加或删除 CT 扫描结果中的癌症节点

恶意软件(如病毒,广告软件或间谍软件等),通常会给用户带来了极大的烦恼,最糟糕的可能是隐私和安全威胁。很少有人会认为它们会危及生命。然而,这是一个令人恐惧的现实是,两位研究人员正在展示的一种恶意软件不仅可以改变CT扫描结果,还可以通过这种“现实主义”来设法欺骗专业人员关于癌症的存在,并可能导致误诊。 解读CT扫描和MRI图像并非易事。这可以通过软件在某种程度上完成,但人类和程序都依赖于相同的东西——需要一张准确的图像。然而,来自以色列本·古里安大学网络安全研究中心的研究人员表明,愚弄两者是多么容易。 一项涉及70项改良CT肺部扫描的盲法研究证明,放射科医生和肺癌筛查软件一直认为CT扫描结果中存在癌细胞节点,但实际情况却是没有的。相反,删除实际存在的节点的扫描同样被诊断为健康。即使被告知图像被改变,医生仍然有很高的误诊率。 这要归功于研究人员编写的恶意软件能够以惊人的准确度改变这些数字图像。然而,不仅仅是恶意软件本身的存在,还存在一个令人担忧的问题,即医院和医疗机构如何保护数据免受诸如此类恶意软件的攻击。虽然他们非常小心在机构之外共享哪些数据,但他们不太愿意在内部保护数据。这部分是由于旧软件不包括加密等安全措施,而且还因为旧的硬件和系统与更新、更安全的软件不兼容。 虽然他们可能会进行一些检查和备份以确保诊断正确,但此类恶意软件仍可能造成无法弥补的伤害。除了对患者造成情绪困扰和保险问题之外,误诊可能不仅会损害医院的名声,甚至会影响患者对医院及其系统的信任。   (稿源:cnBeta,封面源自网络。)