5月29日，我们发现了一起网络攻击事件，我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示：Higaisa APT与朝鲜半岛有关，并于2019年初被腾讯安全威胁情报中心进行了首次披露。 该小组的活动可以追溯到2016年，活动内容包括使用特洛伊木马（例如Gh0st和PlugX）以及移动恶意软件，活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。 在近期的攻击活动中，Higaisa使用了一个恶意快捷文件，该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1235/     消息来源：malwarebytes， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在调查关于Cycldek组织2018年后有关攻击活动时，发现对该组织的信息了解甚少。本文旨在弥合对该组织的知识鸿沟，了解其最新活动和操作方式。以下是关于该组织的相关信息： Cycldek（也称为Goblin Panda和Conimes）在过去两年中一直很活跃，对东南亚地区国家政府进行了针对性的攻击活动。 相关活动的分析显示了两种不同的模式，表明该组织是由一个领导管理的两个运营实体组成。 我们检测发现到了用于目标网络的横向移动和信息窃取的工具，其中包括自定义工具、未报告工具以及二进制文件。 最新公布的工具之一被命名为USBCulprit，其通过USB媒体来提取受害者的数据。这表明Cycldek可能正试图到达受害者环境中的气隙网络，或依靠物理存在达到同样的目的。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1230/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

之前我们说到：网络犯罪分子通常会将攻击点与热点相联系。近期，我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月，我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程（TTP）十分类似，我们认为这是同一个攻击者的行为。 据了解，.NET有效负载的最终版以往从未被检测到过，它的代码段很小，而且与QuasarRAT相重叠，但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限，我们认为这可能是是一种小范围的攻击活动，而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关，其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术，如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制，还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1228/     消息来源：zscaler， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

我们在日常的网络监测中，对许多伪装的电子邮件进行了拦截。这些邮件利用正在发生的冠状病毒有关的FMLA（《家庭医疗休假法》）要求，使用Himera和Absent-Loader这两种网络犯罪工具对数据进行了处理。 加载程序是一种恶意代码，用于将其他恶意软件代码加载到受害者的计算机中并对数据进行窃取。攻击者们会把被盗取的信息进行售卖，来获得相应的报酬。 此恶意活动中的样本首先使用Word文档（该文档指的是可执行文件），然后再删除另一个可执行文件并进行重命名，借此来逃避检测。     … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1226/     消息来源：yoroi， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla，也被称为Snake，是一个臭名昭著的间谍组织，已经活跃了十多年，之前也介绍过许多该组织的活动。 ComRAT，也称为Agent.BTZ，是一种用于远程访问特洛伊木马（RAT），该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版（约在2007年发布）通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年，已经发布了RAT的两个主要版本。有趣的是，它们都使用了著名的Turla XOR密钥： 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年，Turla开发人员对ComRAT进行了一些更改，但这些变体仍然是从相同的代码库中派生出来的，相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库，相比之前的版本会复杂很多。以下是该恶意软件的几个特征： ComRAT v4于2017年首次亮相，直到2020年1月仍在使用。 其至少确定了三个攻击目标：两个外交部和一个国民议会。 ComRAT用于窃取敏感文档，运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法（例如PowerStalli on PowerShell后门）部署ComRAT。 ComRAT具有两个命令和控制通道： 1.HTTP：它使用与ComRAT v3完全相同的协议； 2.电子邮件：它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1222/     消息来源：welivesecurity， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Sarwent很少受到研究人员的关注，但是该后门恶意软件仍在积极开发中，在持续更新命令并专注于RDP的研发。 Sarwent恶意软件的更新表明，人们对后门功能（例如执行PowerShell命令）的兴趣不断增强； 其更新还显示了使用RDP的偏好； Sarwent被发现至少使用一个与TrickBot运算符相同的二进制签名器。 自2018年以来，Sarwent的使用率在不断提高，但相关的研究报告却很少。 过去，Sarwent功能一直围绕着如何成为装载程序而展开，另外它的AV(防病毒)检查功能在持续更新。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：sentinelone， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击，目前，它主要针对如WhatsApp，Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余，主要进行代码重叠，开源项目复制粘贴，类的实例化，不稳定的程序打包和不安全的面板操作。 相关背景 思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件，由于该恶意软件（其命令和控制（C2）基础结构）与Wolf Research之间的结构重合以及字符串的引用，因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭，但黑客们还是非常活跃。 我们发现了一些针对泰国用户及其设备的攻击活动，部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用，通过这些策略，诱使用户对这些面板进行访问，其过程并不复杂。 运作过程 该恶意软件模仿一些合法服务进程，如Google服务，GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。 造成的后果 在被丹麦的威胁情报公司CSIS Group公开谴责之后，Wolf Research被关闭但成立了一个名为LokD的新组织，该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘，我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外，在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系，而这个组织还在进行技术拦截研究。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：talosintelligence， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后，会对原有的文件造成某种意义的破坏，另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。 由于恶意软件的存在，源代码泄露情况很普遍。2017年，代码“ Eternal Blue”（CVE-2017-0144）遭泄露并被黑客入侵，而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局，该木马的源代码在泄露后，出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件，这个系列被称为Ursnif（也称为Gozi2 / ISFB），Ursnif是成熟的银行木马，而关于该系列的研究也有很多。 本文中我对Ursnif的最新变体进行了分析，发现它利用LOLBins、组件对象模型（COM）接口等技术来检测Internet Explorer，借此绕过本地代理以及Windows Management Instrumentation（WMI）来与操作系统进行交互，达到代替本地Win32 API的效果，该操作很难被检测到。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1213/   消息来源：telekom， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2019年秋，相关网站发布了一篇文章，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。同年11月下旬，相关搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过进一步的研究表明，它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上，其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1212/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在我们的日常监控中，我们拦截了一个试图渗透客户网络的Linux恶意软件，该恶意软件是著的“ Shellbot ”，被定义为“ Outlaw Hacking Group”的犯罪工具。 早在2018年，TrendMicro首次发现“Outlaw Hacking Group”，该犯罪团伙主攻汽车和金融业，而Outlaw僵尸网通过暴力登录以及SSH漏洞（利用Shellshock Flaw和Drupalgeddon2漏洞）来实现对目标系统（包括服务器和IoT设备）的远程访问。其中，TrendMicro首次发现的版本还包含一个DDoS脚本，botmaster可以使用该脚的原有设置在暗网上提供的DDoS for-hire服务。 该恶意软件植入程序的主要组件是“Shellbot”变体，它是一个Monero矿机，与一个基于perl的后门捆绑在一起，包括一个基于IRC的bot和一个SSH扫描器。Shellbot自2005年被熟知，近期其出现在网络安全领域，使用的是全新的IRC服务器和全新的Monero pools，攻击目标针对全球组织。   更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1204/   消息来源：YOROI， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接