微软警告称，一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。 这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体，该软件现在以新技术重新出现，包括在受感染设备上传递赎金需求的新方法，以及逃避安全解决方案的模糊机制。 在这一事态发展之际，针对关键基础设施的勒索软件攻击激增，过去三个月勒索软件攻击的日均次数比上半年增加了50%，攻击者越来越多地将双重勒索纳入他们的行动计划。 MalLocker被称为恶意网站，它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。 以前的勒索软件利用了安卓的可访问性功能或称为“SYSTEM_ALERT_WINDOW”的权限，在所有其他屏幕上显示一个持久的窗口来显示赎金条，通常伪装成假的警方通告或发现图像的警报。 但就在反恶意软件开始检测到这种行为时，新的安卓勒索软件变种已经进化出了克服这一障碍的策略。MalLocker.B通过一种全新的策略来实现同样的目标。 为此，它利用“呼叫”通知来提醒用户来电，以便显示一个覆盖整个屏幕区域的窗口，然后将其与Home或Recents键组合，以将勒索通知触发到前台，并防止受害者切换到任何其他屏幕。 微软称：“触发勒索软件屏幕的自动弹出无需进行无限重绘或假装成系统窗口。” 安全人员还注意到存在一个尚未集成的机器学习模型，该模型可用于在屏幕内不失真地拟合勒索便条图像，这暗示了恶意软件的下一步的发展。 此外，为了掩盖其真实目的，勒索软件代码被严重混淆，并通过篡改名称和故意使用无意义的变量名和垃圾代码来阻止分析，使其无法阅读。 微软365 Defender研究团队称：“这种新的移动勒索软件变种是一个重要发现，因为这些恶意软件表现出以前从未见过的行为，并可能为其他恶意软件打开大门。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Bitdefender的安全研究人员发现了一种新的Golang编写的RAT，它利用CVE-2019-2725（Oracle WebLogic RCE）漏洞攻击设备。与其他利用此漏洞的攻击不同，它不会（至少目前还没有）尝试安装cryptominer或部署其他恶意软件。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1357/       消息与封面来源：Labs  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Ryuk在29小时内将一封电子邮件发送到了整个域的勒索软件，要求我们以超过600万美元的价格来解锁系统。在勒索过程中，他们使用了Cobalt Strike、AdFind、WMI、vsftpd、PowerShell、PowerView和Rubeus等工具。 在过去的几年里，Ryuk一直是最熟练的勒索团伙之一。FBI声称，截至2020年2月，已经向该团伙支付了6100万美元。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1355/       消息与封面来源：THE DFIR REPORT  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Juniper Threat Labs发现了几个依赖于pastebin-like服务的恶意软件活动。有问题的domain是paste.nrecom.net。 这些攻击通常以网络钓鱼电子邮件开始，当用户被诱骗执行恶意软件时，它会在不写入磁盘的情况下，从paste.nrecom.net将其加载到内存中。为恶意软件基础设施使用合法的web服务并不是什么新鲜事，正如我们看到的APT group FIN6使用pastebin来托管感染链的一部分，rock使用它来进行命令和控制。虽然使用合法的web服务并不新奇，但这是我们第一次看到攻击者使用paste.nrecom.net。我们发现的恶意软件包括Agentsela、LimeRAT、Ransomware和Redline Stealer。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1354/       消息与封面来源：juniper  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

随着企业越来越多地迁移到云中，保护基础架构变得前所未有的重要。 根据最新研究，Microsoft Azure应用服务中的两个安全漏洞可能使攻击者能够进行服务器端请求伪造（SSRF）攻击或执行任意代码并接管服务器。 网络安全公司Intezer在今天发布并与《The Hacker News》共享的一份报告中说：“这使攻击者能够悄悄接管App Service的git服务器，或植入可通过Azure门户访问的恶意网络钓鱼页面，以锁定目标系统管理员。” 在Intezer Labs的Paul Litvak发现后，该漏洞已于6月份报告给微软，之后微软对该漏洞进行了解决。 Azure App Service是基于云计算的平台，用作构建Web应用程序和移动后端的托管Web服务。 通过Azure创建应用服务时，将创建一个新的Docker环境，其中包含两个容器节点（管理器节点和应用程序节点），并注册指向应用程序HTTP web服务器和应用程序服务管理页面的两个域，它反过来利用Kudu从源代码管理提供者（如GitHub或bitback）连续部署应用程序。 视频链接：https://www.youtube.com/watch?v=uI0_6OWNbnQ&feature=emb_title 同样，Linux环境中的Azure部署由一个名为KuduLite的服务管理，该服务提供有关系统的诊断信息，并由一个web接口组成，该接口将SSH连接到应用程序节点（称为“websh”）。 第一个漏洞是权限提升漏洞，允许通过硬编码凭据接管KuduLite (“root:Docker!”)这使得SSH能够进入实例并以root用户身份登录，从而允许攻击者完全控制SCM（又名软件配置管理）web服务器。 研究人员认为，这可以使对手“侦听用户对SCM网页的HTTP请求，添加我们自己的页面，并将恶意Javascript注入用户的网页”。 第二个安全漏洞涉及应用程序节点向KuduLite API发送请求的方式，可能允许具有SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其他敏感资产。 研究人员说：“设法伪造POST请求的攻击者可以通过命令API在应用程序节点上实现远程代码执行。” 而且，成功利用第二个漏洞意味着攻击者可以将两个问题联系在一起，以利用SSRF漏洞并提升他们的特权来接管KuduLite Web服务器实例。 就其本身而言，微软一直在努力改善云和物联网（IoT）空间中的安全性。在今年早些时候提供其以安全性为重点的物联网平台Azure Sphere之后，它还向研究人员开放了该服务，以使其能够“识别黑客之前的高影响力漏洞”进入服务。 Intezer说：“云使开发人员能够快速，灵活地构建和部署应用程序，但是，基础架构经常容易受到其控制之外的漏洞的影响。” “对于App Services，应用程序与其他管理容器共同托管，并且其他组件可能带来其他威胁。 “运行时云安全是重要的最后一道防线，也是降低风险的首要措施之一，因为它可以检测恶意代码注入和其他内存中的威胁，这些威胁是在攻击者利用漏洞后发生的。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员发现了一种罕见的具有潜在危险性的恶意软件，它针对计算机的启动过程来删除持续存在的恶意软件。 该活动涉及使用一个包含恶意植入物的受损UEFI（或统一可扩展固件接口），这是第二个已知的公开案例，其中UEFI Rootkit已被广泛使用。 根据卡巴斯基的说法，这些恶意UEFI固件映像被修改为包含几个恶意模块，然后这些模块被用来在受害者计算机上投放恶意软件，这些模块针对来自非洲、亚洲和欧洲的外交官和非政府组织成员发动了一系列有针对性的网络攻击。 卡巴斯基的研究人员Mark Lechtik，Igor Kuznetsov和Yury Parshin称该恶意软件框架为“ MosaicRegressor ”，一项遥测分析显示，2017年至2019年间有数十名受害者，他们都与朝鲜有一些关系。 UEFI是固件接口，是BIOS的替代品，可提高安全性，确保没有恶意软件篡改引导过程。因为UEFI有助于加载操作系统本身，所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。卡巴斯基说：“ UEFI固件为持久的恶意软件存储提供了一种完美的机制。” “老练的攻击者可以修改固件，以使其部署将在加载操作系统后运行的恶意代码。” 虽然目前还不清楚用于覆盖原始固件的确切感染媒介，但泄露的手册显示，恶意软件可能是通过物理访问受害者的机器进行部署的。 新的UEFI恶意软件是Hacking Team的VectorEDK引导程序的自定义版本，该引导程序于2015年泄露，此后已在线提供。它用于植入第二个有效负载，称为MosaicRegressor——间谍活动和数据收集的多阶段模块化框架，其中包含其他下载程序，以获取并执行辅助组件。 下载者又联系命令和控制（C2）服务器以获取下一级DLL，以执行特定命令，这些命令的结果被导出回C2服务器或转发到“反馈”邮件地址。攻击者可以从中收集聚集的数据。 有效载荷以多种方式传输，包括通过来自硬编码在恶意软件二进制文件中的邮箱的电子邮件（“ mail.ru”）进行传输。 但是，在某些情况下，该恶意软件是通过带有网络钓鱼邮件的电子邮件发送给某些受害者的，这些电子邮件带有嵌入式诱饵文件（“ 0612.doc”），该诱饵文件用俄语编写，旨在讨论与朝鲜有关的事件。 最后，卡巴斯基在MosaicRegressor的一种变体中找到了一个C2地址，这种变体是在与中国黑客团体（通常被称为Winnti，又名APT41）相关的情况下观察到的。 “通常情况下，UEFI固件遭到破坏非常罕见，这通常是由于对固件攻击的可见性低，将其部署在目标的SPI闪存芯片上所需的高级措施以及在敏感工具集或资产烧毁时的高风险这样做。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Joker是最著名的恶意软件家族之一，它不断地攻击Android设备。尽管人们意识到了这种特殊的恶意软件，但它通过改变代码、执行方法或有效载荷检索技术，不断地进入谷歌的官方应用程序市场。这个间谍软件的目的是窃取短信、联系人名单和设备信息，同时悄悄地为受害者注册高级无线应用协议（WAP）服务。 我们的Zscaler ThreatLabZ研究团队一直在不断监视Joker恶意软件。最近，我们看到它定期上传到Google Play商店。一旦接到我们的通知，谷歌安卓安全团队立即采取行动，从谷歌Play商店删除可疑应用（如下所列）。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1352/     消息与封面来源：zscaler  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

9月24日，在与《The Hacker News》共享的一份报告中，Check Point研究人员披露了有关 Instagram Android应用程序中一个关键漏洞的详细信息，该漏洞可能允许远程攻击者仅向受害者发送特制图像即可控制目标设备。 更令人担忧的是，该漏洞不仅使攻击者可以在Instagram应用程序中代表用户执行操作（包括监视受害者的私人消息，甚至从其帐户中删除或发布照片），而且还可以在设备上执行任意代码。 根据Facebook发布的一份咨询报告，堆溢出安全问题（CVE-2020-1895，CVSS评分：7.8）影响到了Instagram应用程序128.0.0.26.128之前的所有版本。 Check Point Research在9月24日发表的一份分析报告中说：“这一缺陷使该设备成为了一种工具，攻击者可以在他们不知道的情况下监视目标用户，并可以恶意操纵其Instagram个人资料。” “无论哪种情况，攻击都可能导致对用户隐私的大规模入侵，并可能影响声誉——或者导致更严重的安全风险。 在将调查结果报告给Facebook之后，这家社交媒体公司通过六个月前发布的补丁程序更新解决了该问题。公开披露一直被推迟，以允许大多数Instagram用户更新应用程序，从而减轻此漏洞可能带来的风险。 尽管Facebook证实，没有迹象表明这一漏洞在全球范围内被利用。但这再次提醒人们，让应用程序保持更新并注意授予他们的权限至关重要。 堆溢出漏洞 根据Check Point的说法，内存损坏漏洞允许远程代码执行，鉴于Instagram具有访问用户相机、联系人、GPS、照片库和麦克风的广泛权限，这些代码可能被用来在受感染的设备上执行任何恶意操作。 至于缺陷本身，它源于Instagram集成MozJPEG的方式，MozJPEG是一种开源JPEG编码器库，旨在降低带宽，并为上传到服务的图像提供更好的压缩。当有问题的易受攻击的函数（“read_jpg_copy_loop”）试图使用特制的恶意图像解析恶意图像时，会导致整数溢出尺寸。 这样，攻击者可以获得对分配给图像的内存大小，要覆盖的数据长度以及最后的溢出内存区域内容的控制权，从而使攻击者能够破坏堆中的特定位置并转移代码执行。 攻击者只需通过电子邮件或WhatsApp将损坏的JPEG图像发送给受害者。一旦收件人将图像保存到设备并启动Instagram，攻击就会自动发生，从而授予攻击者对应用程序的完全控制权。 更糟糕的是，除非将其删除并重新安装在设备上，否则该漏洞可用于使用户的Instagram应用程序崩溃并使其无法访问。 Check Point的Gal Elbaz说：“对公开的代码进行模糊处理后发现了一些新漏洞，这些漏洞已得到修复。” “如果付出足够的努力，这些漏洞中的一个很可能在零点击攻击场景中被用于RCE。 “不幸的是，将来还可能会存在或将引入其他错误。因此，有必要在操作系统库和第三方库中对此和类似的媒体格式解析代码进行连续的模糊测试。 ” Check Point网络研究负责人Yaniv Balmas为智能手机用户提供了以下安全提示： 更新。确保定期更新您的移动应用程序和移动操作系统。每周都有几十个重要的安全补丁在这些更新中发布，每一个都可能对你的隐私造成严重影响。 监视权限。 更好地关注请求许可的应用程序。对于应用程序开发人员而言，向用户请求过多的权限是毫不费力的，而且用户单击“允许”也很容易，无需三思而后行。 三思而后行。 批准任何内容之前，请花几秒钟的时间思考。问：“我是否真的想为此应用程序提供这种访问权限，我真的需要吗？” 如果答案是否定的，就不批准。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近几个月来，针对关键基础设施的勒索软件攻击激增，网络安全研究人员发现了一个新攻击者，该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。 这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关，其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。 新加坡网络安全公司Group-IB在今天发布的一份报告中说：“该组织迄今只针对俄罗斯公司。” “利用俄罗斯作为试验场，这些组织随后转移到其他地区，以减少落网的可能性。” OldGremlin的操作方式包括使用自定义后门（如TinyNode和TinyPosh下载额外的有效负载），最终目标是使用TinyCryptor勒索软件（又名Dec1pt）加密受感染系统中的文件，并以约5万美元的价格进行勒索。 另外，运营商使用代表俄罗斯RBC集团（总部位于莫斯科的主要媒体集团）发送的网络钓鱼电子邮件在网络上获得了最初的立足点，邮件主题中带有“发票”。 攻击者提供了一个恶意链接，当点击该链接会下载TinyNode恶意软件。 攻击者找到他们的出路后，对受感染计算机的进行远程访问，利用它通过Cobalt Strike在网络上横向移动并收集域管理员的身份验证数据。 在3月和4月观察到的另一种攻击变体中，我们发现攻击者使用以COVID为主题的网络钓鱼诱骗，向伪装成俄罗斯小额信贷组织的金融企业提供TinyPosh 木马。 随后，我们在8月19日发现了另一波运动，当时攻击者利用白俄罗斯正在进行的抗议活动谴责政府，发动了网络钓鱼消息，这再次证明了攻击者善于利用世界事件发起攻击。 根据Group-IB的数据，从5月到8月，OldGremlin总共落后了9个竞选活动。 Group-IB的高级数字取证分析师Oleg Skulkin说：“OldGremlin与其他讲俄语的攻击者的区别在于他们无惧在俄罗斯工作。” “这表明攻击者可能在走向全球之前就调整自身的技术以从本国优势中受益，或者它们是俄罗斯一些邻国的代表，这些邻国对俄罗斯掌握了强大的指挥权。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

8月9日，QuoIntelligence向其政府客户发布了一份关于有关针对北约成员（或与北约合作的国家）政府机构的（又名Sofacy，Sednit，Fancy Bear，STRONTIUM等）的警告。我们发现了一个上传到VirusTotal的恶意文件，该文件最终删除了Zebrocy恶意软件并与法国的C2通信。我们发现后，将恶意C2报告给了法国执法部门。 Zebrocy是APT28（也称为Sofacy）使用的恶意软件，在过去两年中，多家安全公司[1][2][3][4][5][6]报告了这种恶意软件。 最后，我们得出结论，这次袭击始于8月5日，至少针对位于中东的一个政府实体。但是，北约成员极有可能也观察到了同样的袭击。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1344/       消息与封面来源：QUOINTELLIGENCE  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。