最新研究显示，今年9月初，针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。 RiskIQ在11月11日发表的一份报告中说：“这个组织实施了大量不同种类的Magecart攻击，这些攻击通常通过供应链攻击（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量网站。” 这些攻击被统称为CardBleude，针对至少2806多家Magento 1.x的在线商店，这些商店在2020年6月30日已经停止使用。 Magecart是针对在线购物系统的不同黑客团体的联合体，在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。 其攻击被称为formjacking攻击，攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中，以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。 但在最近几个月中，Magecart组织加大了攻击，他们将代码隐藏在图像元数据中，甚至进行了IDN同形攻击，以隐藏在网站的favicon文件中的网络浏览器。 Cardbleed（最初由Sansec记录）通过使用特定域与Magento管理面板进行交互，然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后，它会自动删除。 现在，根据RiskIQ的说法，这些攻击具有Magecart group 12组织的所有特征。 此外，刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。 有趣的是，研究人员观察到的其中一个域名（myicons[.]net）也与5月份的另一个活动有关，在那个活动中，一个Magento favicon文件被用来把skimmer隐藏在支付页面上，并加载一个假的支付表单来窃取捕获的信息。 但就在恶意域名被识别时，Magecart group 12已经熟练地换入了新的域名，以继续进行攻击。 RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来，攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer，并将渗透转移到最近注册的域console..in中。” RiskIQ威胁研究人员Jordan Herman表示，“升级到Magento 2是一种特别的缓解措施，尽管升级的成本可能会让较小的供应商望而却步。” 他补充说，“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以，防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单，这样他们就可以识别出软件的弃用版本，以及任何其他可能引发Magecart攻击的漏洞”。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

11月12日，网络安全研究人员披露了一种新型的模块化后门，该后门针对Oracle的销售点（POS）餐馆管理软件，以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列（RES）3700 POS系统，这是一个在餐厅和酒店业中广泛使用的软件套件，可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说：“后门的与众不同之处在于它的可下载模块及其功能，因为它包含一个自定义算法，该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容，包括各种定义和配置，状态表以及有关POS交易的信息。” 值得注意的是，在RES 3700中，诸如信用卡号和有效期之类的详细信息受到加密屏障的保护，从而限制了可能被进一步滥用的有价值的信息量，尽管研究人员认为，攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成，该删除程序用于安装持久性加载程序，然后将其解压缩并加载下一阶段的有效负载，该有效负载是主要的恶意软件模块，用于与其他“downloadable”模块以及命令和控制（ C2）服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”，该组件可以使用特殊算法来拦截和解密数据库密码，ESET研究人员认为，可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”，用于收集有关已安装POS系统的额外信息（如版本、数据库服务器数据），而另一个模块名为“Proclist”，收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明，它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况，包括窃取和逆向工程专有软件产品，滥用泄露的部件，或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本，并使用运行底层操作系统更新版本的设备。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

该活动被Blackberry研究人员称为“CostaRicto”，这场运动似乎是APT组织的杰作，他们拥有定制的恶意软件工具和复杂的VPN代理和SSH隧道。 研究人员表示，“CostaRicto的目标分散在欧洲、美洲、亚洲、澳大利亚和非洲的不同国家，但最大的集中似乎在南亚（特别是印度、孟加拉国、新加坡和中国），这表明攻击者可能驻扎在该地区。但是，他们从不同的客户那里获得了广泛的佣金。” 攻击者通过被盗凭证在目标环境中获得了立足之地后，便开始建立SSH隧道以下载后门和称为CostaBricks的有效负载加载器，该负载实现了C ++虚拟机机制来解码并将字节码有效负载注入内存。 除了DNS隧道管理命令与控制（C2）服务器，上述加载器提供的后门是一个名为SombRAT的c++编译可执行文件。 后门配备了50个不同的命令来执行特定任务（可分为core、taskman、config、storage、debug、network函数），从将恶意dll注入内存到枚举存储中的文件，再到将捕获的数据泄漏到攻击者控制的服务器。 总共已经确定了6个版本的SombRAT，第一个版本可以追溯到2019年10月，最新的版本在今年8月初观测到，这意味着后门正在积极开发中。 虽然攻击者的身份仍不清楚，但其中一个注册了后门域名的IP地址与早前一次网络钓鱼活动有关，该网络钓鱼活动是由与俄罗斯有关的APT28黑客组织发起的，暗示着网络钓鱼活动有可能被外包给代表攻击者的雇佣兵。 这是Blackberry发现的第二起黑客雇佣行动，第一起是由一个名为Bahamut的组织发起的一系列行动，他们利用零日漏洞、恶意软件和虚假信息来跟踪中东和南亚的目标。 Blackberry研究人员表示:“勒索软件即服务（RaaS）取得了不可否认的成功，因此网络犯罪市场扩大其业务范围，将专门的网络钓鱼和间谍活动添加到服务列表中也就不足为奇了。” “将攻击或攻击链的某些部分外包给独立的佣兵组织，对攻击者有很多好处——它可以节省自己的时间和资源，简化程序，最重要的是，它利于保护自己的真实身份。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员发现了针对巴西，拉丁美洲和欧洲金融机构的银行木马“Tetrade”，四个月后，调查表明，攻击者扩大了策略，利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队（GReAT）的说法，总部位于巴西的威胁集团Guildma部署了“Ghimob”，这是一种Android银行木马，针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示，“Ghimob是您一种成熟间谍：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上，其功能与其他移动RAT十分相似，它通过隐藏应用程序中的图标来掩饰自己的存在，并滥用Android的辅助功能来获得持久性，禁用手动卸载并允许银行木马捕获击键信息，操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示：“即使用户有适当的屏幕锁定模式，Ghimob也能够记录下来，然后再解锁设备。” “当攻击者准备执行交易时，他们可以插入黑屏作为覆盖或以全屏方式打开某些网站，因此当用户查看该屏幕时，攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外，Ghimob的目标多达153个移动应用程序，其中112个是巴西的金融机构，其余的是德国，葡萄牙，秘鲁，巴拉圭，安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说：“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Gitpaste-12是Juniper Threat Labs最近发现的一种新蠕虫，它使用GitHub和Pastebin来存储组件代码，并且至少提供12种不同的攻击模块。 目前，该恶意软件正在开发中，它的目标是基于Linux的x86服务器，以及基于Linux ARM和MIPS的物联网设备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1394/     消息来源：JUNIPER，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本次黑客竞赛展示了对多个平台的攻击，包括: 1.Adobe PDF Reader 2.Apple iPhone 11 Pro running iOS 14 and Safari browser 3.ASUS RT-AX86U router 4.CentOS 8 5.Docker Community Edition 6.Google Chrome 7.Microsoft Windows 10 v2004 8.Mozilla Firefox 9.Samsung Galaxy S20 running Android 10 10.TP-Link TL-WDR7660 router 11.VMware ESXi hypervisor 在上周末举行的为期两天的活动中，来自15个不同团队的白帽黑客三次尝试，利用最初的漏洞，在5分钟内侵入了广泛使用的软件和移动设备。 简而言之，这个想法就是使用各种网络浏览器来导航到一个远程URL，或者利用软件中的一个漏洞来控制浏览器或底层操作系统。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

这是一场针对航空航天和国防部门的网络间谍活动，目的是在受害者的机器上安装数据收集植入程序，以进行监视和数据过滤。 他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商（ISPs）以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma，它在暗中监视并利用受害者。 McAfee研究人员在代号为“Operation North Star”的追踪下，今年7月的初步调查结果显示，有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件，诱骗国防部门的员工，并侵入他们的组织网络。 这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。 攻击者对美国国防和航天承包商进行恶意攻击，利用其核武库中的攻击者来支持和资助其核武器计划。 虽然初步分析表明，植入程序的目的是收集受害者的基本信息，以评估其价值，但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。 该活动不仅使用了美国著名国防承包商网站上的合法招聘内容，诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件，攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司，以及一家IT培训公司（负责命令与控制（C2）能力）。 McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示：“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施，因为大多数组织不会阻止可信网站。” 此外，嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据（日期、IP地址、用户代理等），方法是通过与预定的目标IP地址列表进行交叉检查，以安装第二个名为Torisma的植入程序，同时将检测和发现的风险降到最低。 除了主动监视添加到系统中的新驱动器以及远程桌面连接之外，此监视植入程序还用于执行自定义shellcode。 研究人员说：“这项活动很有趣，因为攻击者有一个特定的目标清单，在决定发送第二个植入程序（32位或64位）进行深入监测之前，这个清单已经过验证。” “攻击者监视由C2发送的植入程序的进度，并将其写入日志文件中，从而了解哪些受害者已被成功渗入并可以进行进一步监控。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

长期以来，Trickbot一直是主要的银行恶意软件家族之一。尽管最近发生了一些干扰事件，但攻击者仍在继续推动恶意软件的发展，并在最近开始将其部分代码移植到Linux操作系统。正如本次技术深入研究所显示的，命令与控制（C2）服务器与bot之间的通信极其复杂。此外，我们还分析了Linux2版Trickbots的Anchor模块的C2通信过程。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1392/     消息来源：NETSCOUT ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Cybereason Nightnus团队一直在追踪朝鲜的各种黑客组织，其中包括名为Kimsuky（又名：Velvet Chollima、Black Banshee和Thillium）的网络间谍组织。该组织至少从2012年开始活跃，在全球有许多攻击历史，包括针对韩国智库的攻击，在过去几年里，他们将攻击目标扩大到包括美国、俄罗斯和欧洲各国在内的国家。他们的观测目标包括： Pharmaceutical/Research companies working on COVID-19 vaccines and therapies UN Security Council South Korean Ministry of Unification Various Human Rights Groups South Korean Institute for Defense Analysis Various Education and Academic Organizations Various Think Tanks Government Research Institutes Journalists covering Korean Peninsula relations South Korean Military … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1385/     消息来源：Cybereason ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节，该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞，部署恶意软件进行间谍活动。 Trend Micro称其为“Operation Earth Kitsune”，该活动包括使用SLUB（用于SLack和githUB）恶意软件和两个新的后门（dneSpy和agfSpy）来过滤系统信息并获得对受损机器的额外控制。 网络安全公司称，这些攻击发生在3月、5月和9月。 Watering Hole允许攻击者通过插入漏洞攻击（意图访问受害者的设备并用恶意软件感染）来危害精心选择的网站，从而危害目标企业。 据说，“Earth Kitsune”行动已经在与朝鲜有关的网站上部署了间谍软件样本，但是，这些网站的访问被阻止，因为这些网站是来自韩国IP地址的用户。 多元化的运动 尽管此前涉及SLUB的操作是利用GitHub存储平台将恶意代码片段下载到Windows系统，并将执行结果发布到攻击者控制的私人Slack渠道上，但最新的恶意软件攻击的目标是Mattermost，一个类似slacko的开源协作消息传递系统。 Trend Micro表示：“这次行动非常多样化，他们在受害者机器上部署了大量样本，并使用了多个命令和控制（C&C）服务器。”“总的来说，我们发现该活动使用了5台C&C服务器，7个样本，并利用了4个N-day的漏洞。” 攻击者利用一个已经修补过的Chrome漏洞（CVE-2019-5782），通过一个特别制作的HTML页面，在沙箱中执行任意代码。 另外，Internet Explorer中的一个漏洞 （CVE-2020-0674）也被用来通过被攻击的网站传递恶意软件。 dneSpy和agfSpy-全功能间谍后门 尽管他们的感染媒介不同，但利用链的步骤相同——启动与C&C服务器的连接，接收dropper，然后检查目标系统上是否存在反恶意软件解决方案，之后继续下载三个后门示例（以“.jpg”格式）并执行它们。 这次的改变是使用Mattermost服务器跟踪多台受感染机器的部署情况，此外还为每台机器创建一个单独的通道，从受感染主机检索收集的信息。 在其他两个后门dneSpy和agfSpy中，前者被设计成收集系统信息、截图、下载并执行从C&C服务器接收到的恶意命令，这些命令的结果被压缩、加密并过滤到服务器上。 “dneSpy一个有趣的方面是它的 C&C pivoting行为，”Trend Micro的研究人员说，“中央C&C服务器的响应实际上是下一级C&C服务器的域/IP，dneSpy必须与该域/IP进行通信才能接收进一步的指令。” 与dneSpy相对应的agfSpy自带自己的C&C服务器机制，用于获取shell命令并返回执行结果。它的主要特性包括枚举目录和列表、上载、下载和执行文件的功能。 研究人员得出结论：“Earth Kitsune”使用新样本来避免被安全工具发现。 “从Chrome exploit shellcode到agfSpy，操作中的元素都是自定义编码的，这表明操作背后有一个组织。这个组织今年似乎非常活跃，我们预测他们将继续朝这个方向发展一段时间。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。