今年早些时候，一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”，目的是散布信息窃取器和基于JavaScript的支付窃取器。 新加坡网络安全公司Group-IB在今天发布的一份新报告中，将这一行动归因于同一个组织，该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件，用伪造的JavaScript-sniffers（JS-sniffers）感染他们的网站。 这项活动从2月开始到9月结束，共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件，将Vidar和Raccoon信息窃取器下载到受害者系统上。 研究人员指出，这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据，从而传播恶意软件。 这些假网页是使用Mephistophilus网络钓鱼工具包创建的，攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。 去年11月，IB集团的研究人员在对网络犯罪组织的策略进行分析时表示：“攻击者将伪造的页面链接发送给受害者，告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件，则他们的计算机就感染了窃取密码的恶意软件。” 在今年2月和3月的第一波攻击中，Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码，但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。 去年Cybereason首次记录的Raccoon具有许多功能，可以与命令控制（C2）服务器进行通信，以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。 Raccoon的独特之处在于，它通过向电报通道（“blintick”）发出请求以接收C2服务器的加密地址，从而绕过C2服务器的阻拦。此外，它还通过聊天服务为社区问题和评论提供24×7的客户支持。 同样，AveMaria RAT具有持久性，可以记录击键信息、注入恶意代码以及窃取敏感文件等。 Vidar和Raccoon都以恶意软件即服务（MaaS）的形式出售。Vidar窃取器的租金为每月250美元到300美元不等，Raccoon每月的租金为200美元。 除了上述四个阶段外，Group-IB还观察到了一个过渡阶段，即2020年5月至2020年9月。在此期间，20家网店感染了FakeSecurity系列改良版本的JS-sniffer。 有趣的是，用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。 今年1月初，国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在感恩节周末，我们在npm注册表中发现了新的恶意软件：远程访问木马（RAT）。 恶意软件包为： jdb.js db-json.js …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1421/       消息及封面来源：sonatype，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者，该窃取者在2015年至2020年初针对特定目标进行了部署。 该恶意软件被ESET研究人员命名为“Crutch”，被归咎于Turla，这是一家总部位于俄罗斯的高级黑客组织，通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。 网络安全公司的分析报告显示：“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。” 这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。 除了发现2016年的一个Crutch样本与Turla另一个名为Gazer的第二阶段后门程序之间的紧密联系外，他们多样化的工具集中的最新恶意软件表明，该组织持续专注针对知名目标的间谍和侦察活动。 Crutch要么通过Skipper套件（一种最初由Turla设计的植入程序）交付，要么由一个名为PowerShell Empire的后攻击代理（2019年发现的恶意软件）交付。 前者包括一个后门，可以使用官方的HTTP API与硬编码Dropbox帐户进行通信，以接收命令和上传结果，较新的变体（Crutch v4）避开了一个新功能，该功能可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。 ESET研究人员Matthieu Faou说：“攻击的复杂性和发现的技术细节进一步强化了这样一种看法，即Turla组织拥有相当多的资源来运营如此庞大和多样化的武器库。” “此外，Crutch能够通过滥用合法的基础设施（这里指Dropbox）绕过一些安全层，以混入正常的网络流量，同时窃取文件和接收来自其运营商的命令。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

谷歌Project Zero白帽黑客Ian Beer周二披露了一个现已修补的严重“wormable”iOS漏洞的细节，该漏洞可能使远程攻击者能够通过Wi-Fi完全控制附近的任何设备。 Beer在一篇长篇博客中说，利用这个漏洞，可以“实时查看所有照片、阅读所有电子邮件、复制所有私人信息并实时监控（设备）上发生的一切”。 苹果在今年早些时候推出的iOS 13.3.1、macOS Catalina 10.15.3和watchOS 5.3.7的一系列安全更新中解决了该漏洞（编号为CVE-2020-3843）。 “远程攻击者可能会导致系统意外终止或内核内存损坏，”iPhone制造商在其公告中指出，“内存损坏问题通过改进输入验证得到解决。” 该漏洞源于与Apple Wireless Direct Link（AWDL）相关的Wi-Fi驱动程序中的“相当小的缓冲区溢出错误”，该协议是苹果公司开发的一种专用网格网络协议，用于AirDrop、AirPlay等，从而使苹果设备之间的通信更加方便。 简而言之，零点击漏洞利用一个由iPhone 11 Pro、Raspberry Pi和两个不同的Wi-Fi适配器组成的设置来实现任意内核内存的远程读写，利用它通过受害者进程将Shellcode有效负载注入内核内存，并逃离进程的沙盒保护以获取用户数据。 换言之，攻击者以AirDrop BTLE框架为目标，通过从存储在手机中的100个随机生成的联系人列表中联系人的哈希值来启用AWDL接口，然后利用AWDL缓冲区溢出获取对设备的访问权，并以根用户身份运行植入程序，从而完全控制用户的个人数据，包括电子邮件、照片、消息、iCloud数据等。 尽管没有证据表明该漏洞是在野外被利用的，但研究人员指出，“利用漏洞的厂商似乎注意到了这些修复。” 这并不是第一次在Apple的AWDL协议中发现安全漏洞。去年7月，德国达姆施塔特技术大学的研究人员揭露了AWDL中的漏洞，攻击者能够跟踪用户、使设备崩溃，甚至拦截通过中间人（MitM）攻击在设备之间传输的文件。 Synacktiv详细介绍了苹果“Memory Leak”零日漏洞 在另一项开发中，Synacktiv分享了CVE-2020-27950的更多细节，CVE-2020-27950是苹果上个月在谷歌Project Zero发布报告后修补的三个漏洞之一。 虽然披露的内容缺乏细节，但这些漏洞是由于FontParser库中允许远程代码执行的内存损坏问题、授予恶意应用程序内核运行任意代码权限的内存泄漏以及内核中的类型混乱造成的。 通过比较与iOS 12.4.8和12.4.9相关的两个内核二进制文件，Synacktiv的研究人员能够追溯内存泄漏问题的根源，明确指出这些变化解决了内核如何处理与苹果设备中进程间通信相关的mach消息。 研究人员还设计了一种概念验证代码，利用该漏洞泄漏了mach端口内核地址。 Synacktiv的Fabien Perigaud说：“这个漏洞在XNU中存活了这么长时间真是令人惊讶，因为它的代码是开源的，并且受到了数百名黑客的监督。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

根据一项新的研究，自2012年以来，以网络间谍活动而闻名的国家性质的黑客，正在使用挖矿技术来躲避检测，并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称，今年7月至8月期间，该组织部署了Monero硬币矿工，对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示：“这些硬币矿工的背后或许隐藏着更邪恶的活动。” 此次攻击的主要受害者是越南的国有企业以及与越南政府机构有关联的实体。 微软把Bismuth比作“OceanLotus”（或APT32），将其与间谍软件攻击联系在一起，这些间谍软件使用定制和开源工具集攻击大型跨国公司、政府、金融服务、教育机构、人权和民权组织等。 此前，OceanLotus利用了macOS的一个新后门，攻击者能够窥探并窃取受感染机器的机密信息和敏感商业文件。 使用硬币矿工进行混入 尽管该组织的渗透策略和间谍活动基本上没有什么变化，但“硬币矿工”为他们提供了一种新的盈利方式。 这个想法是为了争取时间进行横向移动，感染像服务器这样的高价值目标，以便进一步传播。 为了实现这一点，攻击者针对受害者使用了特制的越南语编写的鱼叉式网络钓鱼邮件。在某些情况下，攻击者甚至与目标建立通信，以增加打开电子邮件中嵌入的恶意文档并触发感染链的机会。 另一种技术涉及使用DLL侧加载，其中合法库被恶意变体替换，利用过期版本的合法软件（如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007）加载恶意DLL文件，并在受损设备和网络上建立一个持久的命令和控制（C2）通道。 新建立的通道随后被用来丢弃一些下一阶段的有效负载，包括用于网络扫描、凭证盗窃、Monero硬币挖掘和执行侦察的工具，其结果以“.csv”文件的形式传回服务器。 躲避策略 微软表示：“攻击者通过与正常的网络活动或预期会得到低关注的常见威胁混合在一起来躲避检测。” 建议企业通过加强电子邮件过滤和防火墙设置，加强凭证保护，启用多因素身份验证来限制用于获得初始访问权限的攻击面。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

本次攻击是一个著名的亚洲APT组织所为，该组织涉嫌对政府目标进行网络间谍活动。在本文中，我们将分享这次攻击的调查结果。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1414/           消息及封面来源：ptsecurity，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

cPanel是管理web托管的流行管理工具的提供商，它修补了一个安全漏洞，该漏洞可能允许远程攻击者访问有效凭据，绕过帐户的两因素身份验证（2FA）保护。 该问题被称为“seco -575”，由Digital Defense研究人员发现，该公司在软件的11.92.0.2、11.90.0.17和11.86.0.32版本中对其进行了修复。 cPanel和WHM（Web主机管理器）提供了一个基于Linux的控制面板，供用户处理网站和服务器管理，包括添加子域、执行系统和控制面板维护等任务。到目前为止，使用cPanel的软件套件在服务器上启动了超过7000万个域。 该问题源于在登录期间2FA缺乏速率限制，从而使得攻击者能够使用暴力方法反复提交2FA代码并绕过身份验证检查。 Digital Defense研究人员表示，这种攻击可以在几分钟内完成。 “双因素身份验证cPanel安全策略没有阻止攻击者重复提交双因素身份验证代码，”cPanel表示，“这使得攻击者能够使用暴力技术绕过双因素身份验证检查。” 为了解决这个问题，该公司在cPHulk蛮力保护服务中加入了速率限制检查，如果2FA代码验证失败，就会被视为登录失败。 这已经不是第一次因为没有限制速率而引发严重的安全问题了。 早在今年7月，视频会议应用Zoom修复了一个安全漏洞，该漏洞可能使潜在攻击者破解用于在平台上保护私人会议的数字密码，并监听参会者。 我们建议cPanel的用户使用补丁来降低与该漏洞相关的风险。           消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Egregor勒索软件是Sekhmet恶意软件家族的一个分支，该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织，窃取敏感用户数据，加密数据，并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件，它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1409/           消息及封面来源：SentinelLABS，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

至少自2012年以来，一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标，目前已将目光投向了Linux服务器。 Intezer的分析报告指出，该木马伪装成Linux服务器上常用的HTTPd程序，它是一个新版本恶意软件，被跟踪为Stantinko。 早在2017年，ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络，它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件，安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器，以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件，但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解，特别是同一恶意软件（v1.2）的较新版本（v2.17），称为“httpd”，其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后，“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件，并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上，然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求，则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出，新版恶意软件只起到代理的作用，新变种与旧版本共享多个函数名，一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件，这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

VMware发布了临时解决方案，以解决其产品中的一个严重漏洞，攻击者可以利用该漏洞控制受影响的系统。 这家虚拟化软件和服务公司在其咨询中指出：“恶意攻击者可以通过端口8443访问网络上的管理配置器，配置器管理员帐户的有效密码，从而可以在底层操作系统上以不受限制的特权执行命令。” 该命令注入漏洞的编号为CVE-2020-4006，其CVSS评分为9.1（满分10），影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。 虽然该公司表示此漏洞的补丁“即将发布”，但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。 受影响产品的完整列表如下： VMware Workspace One Access（适用于Linux和Windows的版本20.01和20.10） VMware Workspace One Access Connector（适用于Windows的版本20.10、20.01.0.0和20.01.0.1） VMware Identity Manager（适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3） VMware Identity Manager Connector（适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3） VMware Cloud Foundation（适用于Linux和Windows的4.x版） vRealize Suite Lifecycle Manager（适用于Linux和Windows版本8.x） VMware表示，该解决方案仅适用于托管在8443端口上的管理配置器服务。 该公司表示，“解决方法实施后，将无法更改配置器管理的设置。如果需要更改，需要先恢复原来的状态，进行必要的更改后再次禁用，直到补丁可用。”           消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”