标签: APT

海莲花(OceanLotus) APT组织滥用合法证书传播高级 Android 威胁

2014年以来,海莲花(OceanLotus)APT组织(或被称为PhantomLance)就以通过官方和第三方市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备、窃取机密数据、安装应用程序并启动任意代码。 安全研究人员最近记录了该组织的活动,Bitdefender调查发现了该组织35个新的恶意样本,并证明其活动可能使用了合法且可能被盗的数字证书来对某些样本进行签名。 该APT组织的作案手法是先上传干净版本,然后添加恶意软件,然后通过Google Play和第三方市场传播恶意Android应用。 安全研究人员认为,海莲花APT组织与Android恶意软件和过去基于Windows的高级威胁的命令和控制域之间的共享基础结构相关联,这些威胁过去一直以Microsoft用户为目标。可以说,这些较早的活动也与Hacking Team组织有联系,该组曾为APT32组织服务。 虽然海莲花主要针对非洲和亚洲,但Bitdefender遥测技术还可以在日本、韩国、越南、德国和印度等国家进行扫描。 Bitdefender 检测到此威胁为  Android.Trojan.OceanLotus。 寻找“零号病人” 在Bitdefender存储库(APK MD5:315f8e3da94920248676b095786e26ad)中找到的,与海莲花APT组织所关联的最古老的样本似乎已于2014年4月首次登陆Google Play 。可追溯到最早的已知Google Play样本在2014年12月。 根据内部zip文件时间戳记,该样本构建于2014年4月5日,几天后就被我们记录下。 一个有趣的发现是,该样本已使用VL Corporation的证书进行了签名。 该证书于2013年7月生成,并且直到2014年为止,除OceanLotus Malware以外,Google Play上已有100多个不同的应用程序在使用它。这表明网络犯罪集团可能已使用有效证书成功地将恶意病毒app走私到了Google Play中。 Certificate:      Data:          Version: 3 (0x2)          Serial Number: 2002933886 (0x7762587e)          Signature Algorithm: sha256WithRSAEncryption          Issuer: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation          Validity              Not Before: Jul 22 18:57:09 2013 GMT              Not After : Jul 16 18:57:09 2038 GMT          Subject: C=VN, ST=10000, L=HN, O=VL Corporation, OU=VL Corporation, CN=VL Corporation 他的证书很可能已被该APT组织泄漏和滥用。目前,在Google Play中使用此证书签名的100多个应用程序中,仍然没有该应用程序。 目标国家 在遥测方面,仅在过去的3个月中,我们就收到25篇涉及此威胁的报告,其中大多数是在美国、日本和韩国。显然,在美国的报告可能不是真实的设备,但亚马逊托管的Android计算机被操纵来运行样本以进行安全分析,对于安全研究人员而言,执行这种沙箱操作并不少见,特别是在尝试获取危害指标或研究恶意行为时。 但是,韩国和日本的报告确实表明,最近遇到过海莲花APT样本的设备至少数量有限。 Android OceanLotus报告威胁的十大国家 追踪传播 在传播方面,虽然安全研究人员已经报告说恶意软件的发行是通过官方的Google Play市场和第三方市场进行的,但一些与Google Play相似的市场仍在托管这些样本。这意味着,尽管Google在及时管理其应用程序并响应安全研究人员和供应商方面做得很出色,但第三方市场(如果有的话)缓慢地消除了这些威胁,甚至有可能无限期地使用户暴露于恶意软件中。 仍托管这些恶意样本的第三方市场的一些样本包括: hxxps://apkpure.com/opengl-plugin/net.vilakeyice.openglplugin hxxps://apk.support/app/net.vilakeyice.openglplugin hxxps://apkplz.net/app/com.zimice.browserturbo hxxps://apk.support/app/com.zimice.browserturbo hxxps://androidappsapk.co/download/com.techiholding.app.babycare/ hxxps://www.apkmonk.com/app/com.techiholding.app.babycare/ hxxps://apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare hxxps://apk.support/app-th/com.techiholding.app.babycare 虽然已经有了海莲花APT组织的样本完整列表,我们知道这些样本已出现在Google Play中,但我们添加了以下一些内容,这些内容也已在Google Play上得到确认。 由Bitdefender研究人员发现的海莲花APT组织的其他新样本的md5完整列表如下: 3043a2038b4cb0586f5c52d44be9127d f449cca2bc85b09e9bf4d3c4afa707b6 76265edd8c8c91ad449f9f30c02d2e0b 5d909eff600adfb5c9173305c64678e7 66d4025f4b60abdfa415ebd39dabee49 7562adab62491c021225166c7101e8a1 7b8cba0a475220cc3165a7153147aa84 63e61520febee25fb6777aaa14deeb4a 9236cf4bf1062bfc44c308c723bda7d4 f271b65fa149e0f18594dd2e831fcb30 e6363b3fae89365648b3508c414740cd d9e860e88c22f0b779b8bacef418379e 3d4373015fd5473e0af73bdb3d65fe6a a57bac46c5690a6896374c68aa44d7b3 08663152d9e9083d7be46eb2a16d374c 18577035b53cae69317c95ef2541ef94 eee6dcee1ab06a8fbb8dc234d2989126 5d07791f6f4d892655c3674d142fe12b f0ea1a4d81f8970b0a1f4d5c41f728d8 320e2283c8751851362b858ad5b7b49c 1fb9d7122107b3c048a4a201d0da54cd bb12cc42243ca325a7fe27f88f5b1e1b 01b0b1418e8fee0717cf1c5f10a6086b 4acf53c532e11ea4764a8d822ade9771 6ff1c823e98e35bb7a5091ea52969c6f 1e5213e02dd6f7152f4146e14ba7aa36 3fe46408a43259e400f7088c211a16a3 c334bade6aa52db3eccf0167a591966a 53ba3286a335807e8d2df4aae0bd0977 7f59cb904e2e0548b7f0db12c08b9e25 49d1c82a6b73551743a12faec0c9e8b1 6b323840d7cb55bb5c9287fc7b137e83 2e1ed1f4a5c9149c241856fb07b8216b 6737fba0f2b3ea392f495af9a0aa0306 bda442858c33ae7d9f80227c55f6a584 规避Google Play保护 攻击者通常向Google Play提交一个干净的版本,然后随机等待一段时间,再简单地使用恶意代码更新应用程序。网络犯罪分子似乎也使用了这种策略。 例如,应用程序net.vilakeyice.openglplugin(OpenGLPlugin)最初于 2018 年8月5 日以纯净格式上传,然后在8月21日引入了恶意payload。 APK Seen on Google Play No Payload 7285f44fa75c3c7a27bbb4870fc0cdca 2018.08.05 With Payload d924211bef188ce4c19400eccb6754da 2018.08.21 然后,将payload解密并动态加载到应用程序中。如果较旧的样本将解密密钥本地嵌入在原始的干净应用程序中,则较新的样本将不再将其存储在本地,因为它们似乎接收了解密密钥以及恶意payload。 归因和可用性 尽管这些Android恶意软件样本的归属已经成为安全行业分析的主题,但海莲花APT组织已经被标记为幕后主谋。不过样本仍存在于第三方市场这一事实应当引起注意。 某些时候Google Play上的某些样本目前仍可在第三方市场上获得,  包括在Amazon上。在世界各地可能无法从官方Google Play市场访问内容的地区,用户仍然有感染这种恶意软件的风险。 在亚马逊印度的这个特定样本中,开发人员名称为Caleb Eisenhauer(假名),该应用程序似乎已于 2020 年2月16日发布。与该帐户关联的电子邮件地址(malcesshartspur@gmail.com)发送至托管在GitHub(https://github.com/malcesshartspur)上的隐私政策。 可能存在类似的虚假开发者帐户,它们都在第三方市场上散布了各种样本,如果不删除,有可能在很长一段时间内感染受害者。     消息来源:Bitdefender, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基发现了 2017 Shadow Brokers 泄露中提到的神秘 APT

2017 年,一个名叫 Shadow Brokers 的神秘黑客团体,在网络上公布了名为“Lost in Translation”的数据转储,其中包含了一系列据称来自美国国家安全局(NSA)的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击,都基于这里面提到的 EternalBlue 漏洞。现在,卡巴斯基研究人员又发现了另一座冰山,它就是一个名叫 sigs.py 的文件。 (题图 via ZDNet) 据悉,该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序,黑客利用它来扫描受感染的计算机,以查找是否存在其它高级可持续威胁(APT / 通常指背后能量巨大的黑客团体)。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名,但在 2017 年泄密之初,许多网络安全行业从业者并没有对此展开深入研究,表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中,卡巴斯基精英黑客手雷部门 GReAT 表示,他们终于设法找到了其中一个神秘的 APT(通过 sigs.py 签名的 #27 展开追踪)。 研究人员称,DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后,他们似乎就变得沉默了。 GReAT 团队称:“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关,或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称,其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地,找到了大约 20 名受害者。其中包括了民间和军事组织,如医疗、原子能机构、以及电信企业。 不过,卡巴斯基专家认为,随着时间的推移和对该集团活动的进一步深入了解,实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架,卡巴斯基表示,其发现代码与 ItaDuke 恶意软件 / APT 重叠。   (稿源:cnBeta,封面源自网络。)

疑似Group123(APT37)针对中韩外贸人士的攻击活动分析

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/Wnb-r7SWbGGN-XuQ8fW_jw 一、事件概述 腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。 Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。 二、技术细节分析 1、初始攻击 本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of delivery.rar等。 2、恶意文件植入 本次投递的诱饵为一个rar的压缩文件,解压后为一个伪装成word图标和名字的可执行文件: 该可执行文件实际为一个下载器,该下载器的技术分析如下: 1) 具有延时执行功能: 2) 下载恶意模块,下载http://artmuseums.or.kr/swfupload/fla/1.jpg文件到%temp%\winsxz: 3) 解密文件,简单异或解密,密钥如下: 42 32 33 37 38 33 35 31 36 41 36 34 39 44 36 37 42 32 44 38 31 43 41 46 45 41 31 42 41 33 39 33 4) 设置注册表 实现开机启动木马: 3、RAT分析 下载回来的jpg文件经过解密后,为真正的RAT,文件路径为:C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\svchost.exe 该文件加了vmp壳: 执行后创建名为HD_March的互斥量,防止重复运行: 与downloader使用同样的方法延时运行: 通过执行命令收集计算机信息,值得注意的是收集主机文档文件信息的时候含有.hwp文件信息的收集,该文件是韩国主流办公文件生成的文档文件,具有明显的地域特征: RAT的功能已控制码如下: ControlCode1 ControlCode2 行为 SLEEP interval Sleep指定时间 RUNCMD cmdline CMD Shell url SETBURL burl 下载相关 rurl remove EXEC src 执行文件 dst crypt UPLOAD type 上传文件相关 url extlist dirlist 4、下发文件分析 此外,svchost还下发了一个文件C:\\Users\\Administrator\\AppData\\Local\\Temp\\mscmgr 该文件执行后,首先读取同目录下的aconfig.ini文件,从中获取C2信息: 释放{rand}.exe文件,MD5为:6f29df571ac82cfc99912fdcca3c7b4c,初步分析该文件为winrar命令行版压缩文件: 打包指定目录下的指定扩展名文件: 扫描全盘文件,打包指定扩展名的文件: 打包的文件均上传到C2上: 有意思的是,通信中存在下面的字符串,具体意义不明: 三、关联分析 1、攻击背景 由于诱饵诱饵文件中存在的韩文,而且收集的文件中包含有韩国主流办公文件生成的文档文件hwp,此外从受控机的背景可以发现为从事一些商贸的人士,且机器中出现过包含朝鲜语的文件,因此我们猜测攻击的对象为疑似跟韩国相关的贸易人士。 此外,从攻击的C2来看,都跟韩国相关,如:artmuseums.or.kr,腾讯安图检索结果如下: 而该站点为韩国博物馆的网站,因此我们猜测攻击者先攻击了该网站,然后以改站做为C2,以此来躲避查杀: 2、基础设施关联 1) 某RAT的C2:casaabadia.es,我们关联到相关文件: 相关文件为:gallery.jpg (3cc51847c2b7b20138ad041300d7d722) 通过该文件分析,我们关联到某文章: https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 虽然该文件并未明确支持组织名,但是从相关iocs的杀软家族来看为ScarCruft ,即为Group123: 2) 某些受控机在下载附件前会访问某url:www.chateau-eu.fr,具体原因不明。通过腾讯安图检索www.chateau-eu.fr如下: 而根据www.chateau-eu.fr进行反查,同样关联到另一篇文章: 该文章提到的信息跟这次攻击活动都非常相似: 如文件名svchost,但是样本无法下载,因此无法实锤; 基础设施域名重合; url都都存在wp-content。 而该文章中提到的组织正好为Group123。 3、TTPs 从攻击手法上来看,该活动的攻击TTPs、攻击对象、攻击者背景跟Darkhotel和Group123类似。但是由于攻击对象主要为韩国,以及通过RAT下发收集文件的插件的方式,跟Group123都极为相似,因此我们猜测大概率为Group123。 4、结论 综上,我们对该次攻击定性为攻击组织Group123的新的攻击活动。 四、总结 Group123是针对中国大陆攻击活动非常频繁的一个攻击组织,该组织有使用0day进行攻击的能力,因此攻击战斗力不容小觑。虽然目前发现的一些受控机都为跟外贸相关的单位和人士,但是相关的政府部门也不能掉以轻心。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 通过官方渠道或者正规的软件分发渠道下载相关软件; 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3.不要打开不明来源的邮件附件、可疑文档勿启用宏代码; 4.及时打系统补丁和重要软件的补丁; 5.使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs hxxp://artmuseums.or.kr/swfupload/fla/1.jpg hxxp://fjtlephare.fr/wp-content/uploads/2018/05/null/ hxxp://casaabadia.es/ wp-content/uploads/2018/06/null/ svchost.exe(RAT) e26c81c569f6407404a726d48aa4d886 list of delivery.doc.exe ce4614fcf12ef25bcfc47cf68e3d008d BN-190820.doc.exe(RAT) 94fd9ed97f1bc418a528380b1d0a59c3 plugin b23a707a8e34d86d5c4902760990e6b1 winrar 6f29df571ac82cfc99912fdcca3c7b4c 2019-08-08.doc.exe 51da0042fe2466747e6e6bc7ff6012b2 2、参考文章 1) https://www.fortinet.com/blog/threat-research/evasive-malware-campaign-abuses-free-cloud-service-targets-korean-speakers.html 2) https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/03/07170728/Guerrero-Saade-Raiu-VB2017.pdf

黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码

2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为: –  Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater) –  PoisonFrog(旧版BondUpdater) –  HyperShell(称之为TwoFace的Palo Alto Networks网络外壳) –  HighShell(另一个Web shell) –  Fox Panel(钓鱼工具包) –  Webmask(DNS隧道,DNSpionage背后的主要工具) 根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。   (稿源:cnBeta,封面源自网络。)

ESET 曝光 Lojax:首个被利用的 UEFI rootkit 案例

ESET 安全专家刚刚宣布,他们已经发现了首个在野外被利用的“统一可扩展主机接口”(UEFI)rootkit 案例。这款恶意软件被称作 Lojax,被“高级持续威胁”(APT)的 Sednit 组织(又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear),用于攻击巴尔干和欧洲中东部的政府机构。安全研究人员表示,他们发现该 UEFI rootkit 捆绑了能够“修补”受害者系统固件的工具,以便将 Lojax 恶意软件安装在目标系统的底层深处。 ESET 声称,在将 UEFI 模块写入系统 SPI 闪存时,该 rootkit 曾成功使用过一次。该模块能够在系统启动过程中,于磁盘上执行恶意软件。 研究人员留意到了这种持久的侵入性,因为它可以在重装系统、或更换硬盘之后依然存活 —— 除非你重新刷写,以清理系统的 UEFI 固件。 虽然重刷 UEFI 固件的解决方案很是简单,但并不是每个人都会轻松执行。值得庆幸的是,ESET 指出该 UEFI rootkit 没有正确的签名。 这意味着,借助该恶意软件发起的任何形式的攻击,都可以通过启用安全机制来规避。ESET 建议大家这么做,以便严格验证系统固件加载的每个组件的签名是否正确。 Sednit 曾在多起引人注目的全球攻击中搅过混水,包括 2016 美总统大选前、针对民主党全国委员会(DNC)发起的黑客攻击。 该组织被认为有俄政府的资助背景,且最近被美方发现其对保守团体实施了电子欺骗。   稿源:cnBeta,封面源自网络;

据称与伊朗相关的 APT 组织 RASPITE 瞄准美国电力公司

据外媒 Securityaffairs 报道,工业网络安全公司 Dragos 研究人员报告称,在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织(又名Leafminer),一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃,研究人员发现了其针对中东政府和其他类型组织的攻击活动。 上周,赛门铁克的研究人员根据对 Leafminer  组织的追踪,发布了一份关于网络间谍团队活动的详细报告,研究人员称该组织攻击活动的范围可能更广,他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表,列表按照其对地区和工业的兴趣对每个条目进行了分组,目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。 现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统,黑客还访问了美国电力部门的业务。 黑客利用受到破坏的网站进行水坑攻击,为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击,黑客通过注入网站链接以提示SMB连接,收集 Windows 凭据。然后,攻击者部署脚本来安装连接到 C&C 广告的恶意软件,然后让攻击者控制受感染的计算机。 根据Dragos的说法,即使 RASPITE 主要针对 ICS 系统,但也没有关于此类设备遭受破坏性攻击的消息。 迄今为止,RASPITE 的活动主要集中在电力部门的初始访问,虽然目标是电力设施,但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力,包括像乌克兰那样的大规模停电。   消息来源:Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道,ESET 的安全研究人员发现一项新的恶意软件活动,与 APT 组织 BlackTech 有关,该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件,伪装成合法应用程序。 由受信任的证书颁发机构(CA)颁发的数字证书是用来对计算机应用程序和软件进行加密签名,计算机将信任这些有数字证书程序的执行,不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书,他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码,以避免被目标企业网络和用户设备上检测到。 据安全研究人员介绍,此网络间谍组织技术娴熟,他们大部分瞄准东亚地区,尤其是台湾。ESET 确定了两个恶意软件系列,第一个被称为 Plead 的恶意软件是一个远程控制的后门,旨在窃取机密文件和监视用户,Plead 至少从 2012 年就开始利用有效证书签署其代码;第二个恶意软件是密码窃取程序,旨在从Google Chrome,Microsoft Internet Explorer,Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。 研究人员向 D-link 和 Changing Information Technology 通报了该问题,受损的数字证书分别在2018年7月3日和7月4日予以撤销。 这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。   消息来源:TheHackerNews、Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

针对巴勒斯坦政府的网络间谍组织又发起了新的钓鱼攻击

据外媒 bleepingcomputer 报道,去年针对巴勒斯坦执法部门的网络间谍组织现已针对巴勒斯坦政府官员重新发起攻击。根据以色列网络安全公司 Check Point 的调查显示,新的攻击开始于 2018 年 3 月,似乎和去年 Cisco Talos 和 Palo Alto Networks 两份报告中详述的一组操作方法相符。报告详述了针对巴勒斯坦执法部门的鱼叉式钓鱼攻击活动,恶意邮件试图通过 Micropsia infostealer 感染受害者,这是一种基于 Delphi 的恶意软件,其中包含许多引用自《生活大爆炸》和《权力的游戏》剧集角色的字符串。 现在同一网络间谍组织疑似再次出现,他们唯一所改变的是恶意软件,现在使用C ++编码。和 Micropsia 一样,新的恶意软件也是一个强大的后门,可以随时使用第二阶段模块进行扩展。根据 Check Point 的说法,该组织使用改进后的后门感染受害者以收集受害者工作站的指纹,然后收集.doc,.odt,.xls,.ppt和.pdf文件的名称并将此列表发送给攻击者的服务器。 今年该组织似乎是针对巴勒斯坦民族权力机构的成员,鱼叉式钓鱼邮件的主题是来自巴勒斯坦政治和国家指导委员会的月度新闻报道,发送给与此机构相关人员。与 2017 年不同的是,这次恶意附件实际上是一个压缩文件,包含诱饵文件和恶意软件本身。 Check Point 认为这些攻击背后是一个名为 Gaza Cybergang 的 APT 组织,该组织同时也名为 Gaza Hackers / Molerats,在 2016 年网络安全公司 ClearSky 曾将此组织与恐怖组织哈马斯(Hamas)联系起来。上周,以色列政府就曾指责哈马斯试图引诱士兵在他们的手机上安装恶意软件。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

赛门铁克:美国军事卫星系统遭 APT 黑客攻击

美网络安全巨头宣称:美国卫星系统遭遇黑客攻击! 据称,军事领域的卫星系统也被侵入! 美国著名网络安全公司赛门铁克(Symantec)星期二(19日)说,该公司基于人工智能的网络安全监控工具,最近发现黑客组织正在针对美国和东南亚国家的卫星通讯、电信、地理太空拍摄成像服务和军事系统进行网络攻击。 赛门铁克公司在一份声明中说,该公司自2013年开始追踪这一他们取名为“特里普”的网络攻击组织。声明说,赛门铁克基于人工智能的“针对性攻击分析”(Targeted Attack Analytics, TAA)工具在2018年1月发现,一些来自若干地区的计算机展开了针对卫星系统的恶意行动。 赛门铁克公司认为,这一组织的袭击属于网络间谍行为,但暴露了他们破坏袭击目标的操作系统的策略。赛门铁克公司称,因此可以判定,该组织可以对目标采取更具进攻性的和破坏性的活动。 赛门铁克CEO格雷格·克拉克(Greg Clark)说:“特里普组织从2013年开始运作,他们最近的活动使用标准的操作系统工具,所以那些被袭击的组织不会意识到他们的存在。他们的活动很隐蔽,深度嵌入到网络活动中,我们使用了人工智能查明并标记了他们的活动,这才将他们发现。” 赛门铁克的声明说,黑客组织这次对电信部门和卫星操作系统的袭击行动显示,黑客可以拦截甚至篡改网络运营机构传输给用户的通信。 克拉克说:“让人警觉的是,这一组织似乎对电信、卫星操作系统和军事防务公司特别感兴趣。我们已经准备就绪,为应对这一严重威胁与有关当局合作。” 在一篇与美国相关媒体的采访中,赛门铁克公司说,他们的相关软件已经将黑客从受影响的计算机系统中驱逐,并已经与美国中央情报局、国土安全部以及亚洲的防务部门分享了有关技术情报。 赛门铁克公司过去表示,该公司安全工具在世界上覆盖了1.75亿个终端和9500万个传感器,从而形成最终分析大数据的信息来源。该公司称能跟踪全球157个国家和地区的多个攻击团体,同时了解庞大的漏洞数据库的情况。该数据库在20年里记录了9万个漏洞。 通过对相关数据的分析,该公司可以找到真正的黑客团伙。该公司这几年开始运用机器学习技术,在海量的数据中自行将存在共性的攻击行为实施分析,锁定黑客团伙身份。   稿源:新浪军事,封面源自网络;

Turla APT 组织利用 Metasploit 框架发动攻击

Turla是俄罗斯的APT小组(也称为Waterbug),小组自2007年以来活跃攻击政府组织和私营企业。 Turla的受害者包括瑞士国防公司,美国国务院和美国中央司令部。在最近的攻击中,该组织使用真的Adobe Flash安装程序与其macOS后门打包,并在受害者系统上下载恶意软件。ESET的专家观察到,攻击活动发生了变化:黑客利用流行的开源开发框架Metasploit开展攻击,而以往的案例中,Turla会使用自己的工具,比如Skipper。   稿源:Freebuf,封面源自网络;