标签: APT

ESET 曝光 Lojax:首个被利用的 UEFI rootkit 案例

ESET 安全专家刚刚宣布,他们已经发现了首个在野外被利用的“统一可扩展主机接口”(UEFI)rootkit 案例。这款恶意软件被称作 Lojax,被“高级持续威胁”(APT)的 Sednit 组织(又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear),用于攻击巴尔干和欧洲中东部的政府机构。安全研究人员表示,他们发现该 UEFI rootkit 捆绑了能够“修补”受害者系统固件的工具,以便将 Lojax 恶意软件安装在目标系统的底层深处。 ESET 声称,在将 UEFI 模块写入系统 SPI 闪存时,该 rootkit 曾成功使用过一次。该模块能够在系统启动过程中,于磁盘上执行恶意软件。 研究人员留意到了这种持久的侵入性,因为它可以在重装系统、或更换硬盘之后依然存活 —— 除非你重新刷写,以清理系统的 UEFI 固件。 虽然重刷 UEFI 固件的解决方案很是简单,但并不是每个人都会轻松执行。值得庆幸的是,ESET 指出该 UEFI rootkit 没有正确的签名。 这意味着,借助该恶意软件发起的任何形式的攻击,都可以通过启用安全机制来规避。ESET 建议大家这么做,以便严格验证系统固件加载的每个组件的签名是否正确。 Sednit 曾在多起引人注目的全球攻击中搅过混水,包括 2016 美总统大选前、针对民主党全国委员会(DNC)发起的黑客攻击。 该组织被认为有俄政府的资助背景,且最近被美方发现其对保守团体实施了电子欺骗。   稿源:cnBeta,封面源自网络;

据称与伊朗相关的 APT 组织 RASPITE 瞄准美国电力公司

据外媒 Securityaffairs 报道,工业网络安全公司 Dragos 研究人员报告称,在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织(又名Leafminer),一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃,研究人员发现了其针对中东政府和其他类型组织的攻击活动。 上周,赛门铁克的研究人员根据对 Leafminer  组织的追踪,发布了一份关于网络间谍团队活动的详细报告,研究人员称该组织攻击活动的范围可能更广,他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表,列表按照其对地区和工业的兴趣对每个条目进行了分组,目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。 现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统,黑客还访问了美国电力部门的业务。 黑客利用受到破坏的网站进行水坑攻击,为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击,黑客通过注入网站链接以提示SMB连接,收集 Windows 凭据。然后,攻击者部署脚本来安装连接到 C&C 广告的恶意软件,然后让攻击者控制受感染的计算机。 根据Dragos的说法,即使 RASPITE 主要针对 ICS 系统,但也没有关于此类设备遭受破坏性攻击的消息。 迄今为止,RASPITE 的活动主要集中在电力部门的初始访问,虽然目标是电力设施,但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力,包括像乌克兰那样的大规模停电。   消息来源:Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道,ESET 的安全研究人员发现一项新的恶意软件活动,与 APT 组织 BlackTech 有关,该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件,伪装成合法应用程序。 由受信任的证书颁发机构(CA)颁发的数字证书是用来对计算机应用程序和软件进行加密签名,计算机将信任这些有数字证书程序的执行,不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书,他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码,以避免被目标企业网络和用户设备上检测到。 据安全研究人员介绍,此网络间谍组织技术娴熟,他们大部分瞄准东亚地区,尤其是台湾。ESET 确定了两个恶意软件系列,第一个被称为 Plead 的恶意软件是一个远程控制的后门,旨在窃取机密文件和监视用户,Plead 至少从 2012 年就开始利用有效证书签署其代码;第二个恶意软件是密码窃取程序,旨在从Google Chrome,Microsoft Internet Explorer,Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。 研究人员向 D-link 和 Changing Information Technology 通报了该问题,受损的数字证书分别在2018年7月3日和7月4日予以撤销。 这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。   消息来源:TheHackerNews、Securityaffairs,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

针对巴勒斯坦政府的网络间谍组织又发起了新的钓鱼攻击

据外媒 bleepingcomputer 报道,去年针对巴勒斯坦执法部门的网络间谍组织现已针对巴勒斯坦政府官员重新发起攻击。根据以色列网络安全公司 Check Point 的调查显示,新的攻击开始于 2018 年 3 月,似乎和去年 Cisco Talos 和 Palo Alto Networks 两份报告中详述的一组操作方法相符。报告详述了针对巴勒斯坦执法部门的鱼叉式钓鱼攻击活动,恶意邮件试图通过 Micropsia infostealer 感染受害者,这是一种基于 Delphi 的恶意软件,其中包含许多引用自《生活大爆炸》和《权力的游戏》剧集角色的字符串。 现在同一网络间谍组织疑似再次出现,他们唯一所改变的是恶意软件,现在使用C ++编码。和 Micropsia 一样,新的恶意软件也是一个强大的后门,可以随时使用第二阶段模块进行扩展。根据 Check Point 的说法,该组织使用改进后的后门感染受害者以收集受害者工作站的指纹,然后收集.doc,.odt,.xls,.ppt和.pdf文件的名称并将此列表发送给攻击者的服务器。 今年该组织似乎是针对巴勒斯坦民族权力机构的成员,鱼叉式钓鱼邮件的主题是来自巴勒斯坦政治和国家指导委员会的月度新闻报道,发送给与此机构相关人员。与 2017 年不同的是,这次恶意附件实际上是一个压缩文件,包含诱饵文件和恶意软件本身。 Check Point 认为这些攻击背后是一个名为 Gaza Cybergang 的 APT 组织,该组织同时也名为 Gaza Hackers / Molerats,在 2016 年网络安全公司 ClearSky 曾将此组织与恐怖组织哈马斯(Hamas)联系起来。上周,以色列政府就曾指责哈马斯试图引诱士兵在他们的手机上安装恶意软件。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

赛门铁克:美国军事卫星系统遭 APT 黑客攻击

美网络安全巨头宣称:美国卫星系统遭遇黑客攻击! 据称,军事领域的卫星系统也被侵入! 美国著名网络安全公司赛门铁克(Symantec)星期二(19日)说,该公司基于人工智能的网络安全监控工具,最近发现黑客组织正在针对美国和东南亚国家的卫星通讯、电信、地理太空拍摄成像服务和军事系统进行网络攻击。 赛门铁克公司在一份声明中说,该公司自2013年开始追踪这一他们取名为“特里普”的网络攻击组织。声明说,赛门铁克基于人工智能的“针对性攻击分析”(Targeted Attack Analytics, TAA)工具在2018年1月发现,一些来自若干地区的计算机展开了针对卫星系统的恶意行动。 赛门铁克公司认为,这一组织的袭击属于网络间谍行为,但暴露了他们破坏袭击目标的操作系统的策略。赛门铁克公司称,因此可以判定,该组织可以对目标采取更具进攻性的和破坏性的活动。 赛门铁克CEO格雷格·克拉克(Greg Clark)说:“特里普组织从2013年开始运作,他们最近的活动使用标准的操作系统工具,所以那些被袭击的组织不会意识到他们的存在。他们的活动很隐蔽,深度嵌入到网络活动中,我们使用了人工智能查明并标记了他们的活动,这才将他们发现。” 赛门铁克的声明说,黑客组织这次对电信部门和卫星操作系统的袭击行动显示,黑客可以拦截甚至篡改网络运营机构传输给用户的通信。 克拉克说:“让人警觉的是,这一组织似乎对电信、卫星操作系统和军事防务公司特别感兴趣。我们已经准备就绪,为应对这一严重威胁与有关当局合作。” 在一篇与美国相关媒体的采访中,赛门铁克公司说,他们的相关软件已经将黑客从受影响的计算机系统中驱逐,并已经与美国中央情报局、国土安全部以及亚洲的防务部门分享了有关技术情报。 赛门铁克公司过去表示,该公司安全工具在世界上覆盖了1.75亿个终端和9500万个传感器,从而形成最终分析大数据的信息来源。该公司称能跟踪全球157个国家和地区的多个攻击团体,同时了解庞大的漏洞数据库的情况。该数据库在20年里记录了9万个漏洞。 通过对相关数据的分析,该公司可以找到真正的黑客团伙。该公司这几年开始运用机器学习技术,在海量的数据中自行将存在共性的攻击行为实施分析,锁定黑客团伙身份。   稿源:新浪军事,封面源自网络;

Turla APT 组织利用 Metasploit 框架发动攻击

Turla是俄罗斯的APT小组(也称为Waterbug),小组自2007年以来活跃攻击政府组织和私营企业。 Turla的受害者包括瑞士国防公司,美国国务院和美国中央司令部。在最近的攻击中,该组织使用真的Adobe Flash安装程序与其macOS后门打包,并在受害者系统上下载恶意软件。ESET的专家观察到,攻击活动发生了变化:黑客利用流行的开源开发框架Metasploit开展攻击,而以往的案例中,Turla会使用自己的工具,比如Skipper。   稿源:Freebuf,封面源自网络;

赛门铁克曝朝鲜黑客组织网络攻击全球 31 家银行

据赛门铁克研究人员称,朝鲜 APT 组织“Lazarus”曾对全球 31 家银行进行了一系列网络攻击。其中,孟加拉国央行、韩国索尼损失最为严重。 专家表明, 2014 – 2015 年 Lazarus APT 组织的攻击活动频繁增加,其成员主要使用专门定制的恶意软件对各组织进行攻击。Lazarus 自 2009 年以来一直活跃在朝鲜领域,或许早在 2007 年,该组织就已经参与了网络间谍活动。 赛门铁克专家表示,Lazarus 在使用“ loader ”进行攻击的同时,还会安装其他恶意程序。美国和韩国政府指责过来自朝鲜的攻击,但朝鲜政府并没有出面做出解释,目前暂时赛门铁克也无法提供 Lazarus 窃取受害人钱财方面的证据。 据赛门铁克的专家调查显示:Lazarus 上月发起的网络攻击曾导致了整个波兰银行系统感染恶意软件。波兰银行也证实,他们的工作人员在访问波兰金融监管局(KNF)的网站后系统受到感染。据赛门铁克专家表明,这一攻击事件背后实施者与 2016 年 10 月攻击全球 31 家银行的黑客来自同一组织。 在本次事件中,攻击者 IP 地址显示他们来自 31 个国家的 104 个特定组织。其中,受害者人数最多的是波兰,其次是美国和墨西哥。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新网络间谍组织 FruityArmor 利用 Windows 零日漏洞针对多国政要

卡巴斯基专家发现一个新的网络间谍组织称为 FruityArmor APT 利用微软本月修补的零日漏洞,针对于政府机构相关的活动家、研究人员、个人。 10 月微软发布四个安全补丁,包括该组织利用的一个远程代码执行的零日漏洞 cve-2016-3393。受害者来自不同的国家,包括伊朗、阿尔及利亚、泰国、也门、沙特阿拉伯和瑞典。该组织使用微软 PowerShell 框架搭建的攻击平台,利用多个零日漏洞和浏览器漏洞,逃离浏览器沙箱、实现提权、执行代码。 稿源:本站翻译整理,封面来源:百度搜索