内容转载

= ̄ω ̄= 内容转载

卡巴斯基:IcedID 网银木马新变种正在疯狂传播

卡巴斯基研究人员称,一款 IcedID 网银木马的新变种正在迅速传播,检测峰值甚至达到了每日 100 个。截止 2021 年 3 月,其在德国(8.58%)、意大利(10.73%)、印度(11.59%)和美国(10.73%)等地区的传播力最为显著。与旧版木马相比,新变种利用了修改过的英文下载器,其中包含了经过压缩的 ZIP 格式恶意软件。 至于 IcedID 的感染过程,主要分成下载器和本体两个部分。前者将用户信息发送到服务器端,以供恶意软件本体使用。在将自身映射到内存后,后者会将恶意软件进一步渗透到受害者的系统中。 此外该木马还可启动其它恶意操作,比如允许威胁行为者绕过双因素身份验证(2FA)或运行恶意动态链接库(DLL)的 Web 注入。这两种方法,都允许下载和执行渗透到系统身处的其它恶意模块。 IcedID 攻击的地理位置分布 包括下载电子邮件收集器、Web 注入模块、密码抓取器、以及 hVNC 远程控制模块等组件,以执行 Web 注入、流量拦截、系统接管、以及密码窃取。 至于 QBot 和 IcedID 的区别,主要是新变种变得能够利用 x86-64 CPU 架构、从服务器端移除了假配置、且核心也略有改动,因为作者决定不将 shellcode 交换为包含一些加载程序数据的常规 PE 文件。   QBot 攻击的地理位置分布 最后,网络攻击涉及的一些 IP / 域名,涵盖了Karantino[.]xyz、uqtgo16datx03ejjz[.]xyz、188.127.254[.]114、以及 Apoxiolazio55[.]space 。   (消息及封面来源:cnBeta)

纽约州政府 IT 部门使用的一个内部代码库遭泄露

据外媒报道,纽约州政府IT部门使用的一个代码库被暴露在互联网上,允许任何人访问里面的项目,其中一些项目包含与州政府系统相关的秘密密钥和密码。暴露的GitLab服务器于周六被总部位于迪拜的SpiderSilk发现,这家网络安全公司因发现三星、Clearview AI和MoviePass的数据泄漏而受到赞誉。 企业使用GitLab协作开发并将其源代码–以及项目运作所需的秘密密钥、令牌和密码–存储在他们控制的服务器上。但SpiderSilk的首席安全官Mossab Hussein告诉TechCrunch,被暴露的服务器可以从互联网上访问,并被配置为该组织以外的任何人都可以创建一个用户账户并不受阻碍地登录。 当TechCrunch访问GitLab服务器时,登录页面显示它正在接受新的用户账户。目前还不知道GitLab服务器以这种方式被访问的确切时间,但来自Shodan的历史记录显示,GitLab于3月18日首次在互联网上被发现。 SpiderSilk分享的几张截图显示,GitLab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改,这家初创公司请求帮助,向州政府披露这一安全漏洞。 在服务器被发现后不久,TechCrunch就向纽约州长办公室通报了这一曝光。向州长办公室发送的几封关于暴露的GitLab服务器细节的电子邮件被打开,但没有得到回应。该服务器于周一下午下线。 纽约州信息技术服务办公室的发言人Scot Reif说,该服务器是“一个由供应商建立的测试箱,没有任何数据,而且它已经被ITS退役了”。(Reif宣称他的答复是 “背景性的”,可归因于一位州政府官员,这需要双方事先同意这些条款。) 当被问及时,Reif不愿透露供应商是谁,也不愿透露服务器上的密码是否被更改。服务器上的几个项目被标记为 “prod”,也就是 “production “的常用缩写,一个指正在积极使用的服务器的术语。Reif也不愿透露该事件是否被报告给州司法部长办公室。在记者采访时,司法部长的发言人没有发表评论。 据TechCrunch了解,供应商是Indotronix-Avani,这是一家总部设在纽约的公司,在印度设有办事处,由风险投资公司Nigama Ventures拥有。几张截图显示一些GitLab项目是由Indotronix-Avani的项目经理修改的。该供应商的网站上吹捧其拥有纽约州政府等其他政府客户,包括美国国务院和美国国防部。 Indotronix-Avani公司的发言人Mark Edmonds没有对评论请求作出回应。   (消息及封面来源:cnBeta)

新的勒索软件被发现可以利用虚拟机发动攻击

据赛门铁克威胁猎手团队称,网络犯罪分子正在通过虚拟机运行越来越多的恶意载荷。Help Net Security调查了一次尝试性的勒索软件攻击,该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与记录的RagnarLocker攻击使用Windows XP的虚拟机不同,新的威胁似乎是运行Windows 7。 此外,根据赛门铁克威胁猎手团队的Dick O’Brien的说法,该虚拟机是通过一个恶意的可执行程序部署的,该程序在行动的侦察和横向移动阶段就已经被预先安装。 到目前为止,研究人员无法确定虚拟机中的恶意软件载荷是Mount Locker还是Conti勒索软件。后者在Endpoint安全软件被检测到,需要一个用户名和密码组合,这是以前Conti勒索软件活动的特征。 假设该恶意软件驻留在虚拟机的硬盘上,一旦操作系统被完全启动,恶意程序就可以跟随自动启动。可执行文件会检查主机是否是活动目录控制器,而在其他情况下,它采用俄罗斯键盘布局来识别,如果是的话就终止操作。 赛门铁克威胁猎手团队解释说:”一种可能的解释是,攻击者是一个同时拥有Conti和Mount Locker控制权限的恶意软件联盟团伙。他们可能试图在虚拟机上运行一个有效载荷(无论是Conti还是Mount Locker),当它判断无法工作时,选择在主机上保底运行Mount Locker。” 我们知道,大多数攻击者和勒索软件运营者喜欢使用合法的、非目的性的工具来加强他们的活动,同时尽可能长时间地保持不被发现。   (消息及封面来源:cnBeta)

官方 Python 存储库被发现六款加密货币挖矿恶意软件

专注于软件供应链安全管理的研究公司 Sonatype,刚刚在官方的 Python 软件存储库(PyPI)上发现了六个包含不同恶意软件的 Python 包。这些恶意内容被藏于 setup.py 的安装说明文件中,继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。 Nexus 防火墙组件的分析过程(图自:Sonatype) 过去数月,这几款恶意软件包被下载量将近 5000 次,且发布者使用了 nedog123 的用户名。 learninglib 中包含的 maratlib 依赖项 以下是对应的六款恶意软件的名称与下载数: ● maratlib:2371 ● maratlib1:379 ● matplatlib-plus:913 ● mllearnlib:305 ● mplatlib:318 ● learninglib:626   LKEK 也指向了 maratlib 依赖项 其中一些明显利用了错误的单词拼接方法,并且故意碰瓷 PyPI 上热门的机器学习包文件(比如用李鬼 mplatlib 来假冒官方的 matplotlib)。 maratlib 代码中包含了严重的混淆 尽管此类攻击似乎只是为了窃取部分系统资源,但供应链安全攻击还是让 Sonatype 感到十分紧张。 0.6 代码中高亮显示的 GitHub 网址 即便代码被严重加花、并从 GitHub 上调用了其它包,但 Sonatype 还是详细解释了他们是如何检测到加密货币挖矿类恶意软件的。 aza2.sh 中的 Bash 脚本,也被发现了某些版本的 maratlib 。 最后,Sonatype 指出,此类恶意软件不大可能影响大多数运行高级反病毒防护软件的普通用户,而是更加针对那些拥有高性能 Linux 机器的机器学习研究人员们。   (消息及封面来源:cnBeta)

Clop 勒索软件团伙在警方展开突袭行动后又曝光了两位受害者

据外媒报道,就在几天前,乌克兰警方逮捕了Clop勒索软件背后组织的6名成员。上周,乌克兰国家警察(National Police of Ukraine)跟韩国和美国的官员一起进行了一次执法行动,他们逮捕了多名据信跟Clop勒索软件团伙有关的嫌疑人。这被认为是国家执法机构首次大规模逮捕涉及勒索软件的团伙。 乌克兰警方还称,他们已成功关闭了该团伙使用的服务器基础设施。但行动似乎并不完全成功。 尽管Clop行动在被捕后保持沉默,但该团伙本周在其暗网站上公布了一批新的机密数据,声称这些数据是从两位新受害者–一家农用设备零售商和一家建筑事务所–那里窃取的。 尽管上周遭到了史无前例的执法打击,但被逮捕的嫌疑人可能只包括那些在Clop行动中扮演次要角色的人。网络安全公司Intel 471表示,它认为上周的逮捕行动针对的是洗钱活动,该团伙的核心成员并没有被捕。 这家安全公司表示:“我们认为,Clop背后的任何核心人物都没有被捕。对Clop的总体影响预计不大,尽管执法部门的关注可能会导致Clop品牌被放弃,就像我们最近看到的其他勒索软件组织如DarkSide和Babuk。” Clop似乎仍在运营,但该集团能运营多久还有待观察。今年,执法部门不仅多次打击了勒索软件集团,而且俄罗斯本周也证实将开始跟美国合作定位网络罪犯。 截止到目前,俄罗斯在对付黑客方面一直采取不干涉的态度。路透社周三报道称,俄罗斯联邦安全局(FSB)局长Alexander Bortnikov表示,FSB将在未来的网络安全行动中跟美国当局合作。 Intel 471此前表示,它不认为Clop的主要成员在上周的行动中被捕,因为“他们可能住在俄罗斯”,而俄罗斯长期以来一直拒绝采取行动,这为网络罪犯提供安全港。 Clop勒索软件团伙于2019年初首次被发现,此后该组织跟多起备受瞩目的攻击事件被发现存在关联。这些事件包括美国制药巨头ExecuPharm在2020年4月的数据泄露事件、Accellion最近的数据泄露事件。   (消息及封面来源:cnBeta)

新的罗宾汉式恶意软件只针对 Windows 上的盗版软件用户

安全公司Sophos发表了一份新的研究报告–《“义务劳动”式恶意软件在阻止海盗湾的同时赶走软件盗版者》,其中详细介绍了一个网络攻击活动,该活动以盗版软件的用户为目标,恶意软件旨在阻止对托管盗版软件的网站的访问。 恶意软件被伪装成流行游戏的破解版,如《Minecraft》和《Among Us》,以及微软Office、安全软件等生产力应用程序。这种恶意软件并不寻求窃取密码或向计算机所有者勒索赎金,而是阻止受害者访问一长串网站,包括许多分发盗版软件的网站。从本质上讲,这是一个自带干粮义务劳动的恶意软件,它只针对软件盗版者。 伪装后的恶意软件通过BitTorrent协议从ThePirateBay(领先的数字文件共享网站)上的一个账户分发。这些链接和恶意软件文件也被托管在Discord上。 “从表面上看,对手的目标和工具表明这可能是某种粗制滥造的反盗版义务劳动。然而,攻击者庞大的潜在目标受众–从游戏玩家到商业专业人士–再加上过时的和新的工具、技术和程序(TTP)的奇怪组合,以及被恶意软件封锁的奇怪的网站列表,都使这次行动的最终目的有点模糊不清。” – 安德鲁-勃兰特,索福斯公司首席威胁研究员 修改HOSTS文件是一种粗略的方法,可以防止计算机能够到达一个网站地址。它很有效,是的,但任何人都可以从HOSTS文件中删除条目来解决问题。 恶意文件是面向64位Windows 10编译的,然后用假的数字证书签名。在现代Windows电脑上,该恶意软件必须以管理员权限用户的身份运行,因此,更有意识和谨慎的用户将能够轻松避免攻击。该恶意软件在运行时还会触发一个假的错误信息,要求人们重新安装软件。Sophos研究人员认为这可能是为了打消怀疑。   (消息及封面来源:cnBeta)

勒索未成 黑客公布威刚公司一半的被盗信息

Ragnar Locker背后的黑客成功地从台湾威刚公司窃取了超过1.5TB的数据,并在网上公布了其中超过700GB的数据。安全事务部表示,这些数据是以13个受密码保护的档案形式上传的。 这个网络犯罪团伙说,这1.5TB的被盗数据包含敏感信息,如保密协议、财务文件、合同和其他文件。该芯片制造商拒绝支付黑客要求的赎金。因此,Ragnar Locker背后的黑客决定公开这些数据。为了证明拥有,他们的发布了几张截图。 这是在网上公布的第二批据称是从威刚盗取的档案。最初,Ragnar Locker在存储平台上发布了档案,但MEGA关闭了该组织的账户并禁止访问该组织的共享文件。本月早些时候,四个7-Zip格式的小档案被发布在泄密网站上。黑客们试图向受害者施压,要求他们支付赎金。 之前美国联邦调查局为了提高私营部门对Ragnar Locker勒索软件的认识,在该年11月发布了一个警告,编号为MU-000140- MW。其中的一些要点包括对重要数据进行离线备份;确保将重要数据复制到无法访问网络的外部硬盘或存储设备上;保护备份,确保数据在存储的系统中不能被修改;在所有主机上安装并保持最新的反病毒或反恶意软件;只使用安全的网络,避免使用公共Wi-Fi网络;考虑建立VPN;结合使用多因素认证和安全密码;保持系统、设备和应用程序安装了最新补丁。   (消息及封面来源:cnBeta)

北约所用的云平台 SOA & IdM 被黑客入侵并威胁泄露数据给俄国

北约目前使用SOA & IdM平台来处理北极星(Polaris)计划中的几个基本功能,并且该机构将其列为关键设施并定义为机密级别,作为北约IT现代化计划的一部分,它被创建为提供集中的安全、整合和托管信息管理方案。 黑客声称,他们设法利用后门复制了这个平台上的数据,并试图敲诈安全解决方案商Everis。他们更进一步,半开玩笑说要把偷来的数据发给俄罗斯情报部门。 北极星项目官员保罗·豪兰解释了这个项目的好处。”这个项目有可能成为改变北约未来如何发展和部署其作战服务的游戏规则。它将推动创新和降低成本。通过确保对已部署的能力有更大的重复利用来实现操作”。 攻击背后的黑客说,他们最初并不知道他们可以利用北约平台上的漏洞。之前他们只关注Everis在拉丁美洲的企业数据,直到北约说它准备在发生网络威胁时采取行动。令他们惊讶的是,北约的一个安全平台就在Everis的子公司的掌管之中。 黑客们在分析了Everis公司并发现与无人机和军事防御系统有关的文件后,开始从该公司的网络中窃取更多数据。他们为破坏北极星计划的发展的活动辩护,说这一计划并不是”为了地球和网络世界的和平”。 黑客向Everis索要14500门罗币的赎金,这样他们就不会将其身份与LATAM航空公司的数据黑客联系起来。他们还要求用这笔赎金来换取不泄露北约的任何数据的保证。   (消息及封面来源:cnBeta)

韩国国家核智库原子能研究所 KAERI 遭到黑客攻击

韩国当局透露,Kimsuky在2021年5月成功入侵了国家核智库韩国原子能研究所(KAERI),KAERI被揭露此事的韩国新闻机构指控掩盖事实。恶意软件分析公司IssueMakersLab在5月14日发现了对KAERI的攻击。有13个不同的互联网地址参与了这次网络攻击,其中一个与Kimsuky有关。 据美国网络安全和基础设施安全局(CISA)称,后者据说是一个朝鲜的全球情报收集行动。该组织也被称为Thallium、Black Banshee和Velvet Chollima,涉嫌进行多种恶意软件攻击。事实上,据称它在过去曾攻击过韩国的COVID-19疫苗研究人员和核反应堆。 为了进入受害者的系统,该团伙经常采用网络钓鱼技术,冒充Telegram、Gmail、Outlook等网站和其他流行品牌网站。这不是该机构的第一次攻击。韩联社报道,早在2018年,KAERI就通过文在寅总统的顾问文忠仁获得的电子邮件账户被黑,这次网络攻击可以归因于Kimsuky。 根据韩国科学和信息通信技术部(MSIT)的说法,网络被入侵是由于服务器VPN的漏洞。攻击是在5月31日被发现的,当局已经采取了紧急措施来禁止IP地址和应用安全修复。 虽然损失的程度尚不清楚,但人们担心核技术信息的泄露可能会危及国家安全。SISA杂志率先报道了这一攻击事件,指责KAERI在发现一名研究人员就这一话题发表了三种不同的声明后淡化了这一漏洞。 KAERI发表了以下声明(翻译),以回应掩盖事件的指控。 “‘没有黑客事件’的说法是工作层面的工作人员的反应错误,这是在调查期间因涉嫌侵权而未确认损失的情况下发生的”。   (消息及封面来源:cnBeta)

卡巴斯基发现朝鲜支持的黑客组织最近攻击了韩国多个行业

针对韩国多种行业的恶意软件活动被认为是一个名为Andariel的朝鲜国家黑客组织所为。据《黑客新闻》报道,这一进展表明,Lazarus黑客攻击者正在紧跟潮流,扩大他们的武器库。卡巴斯基实验室在一份详细的报告中指出:”这次活动中使用Windows命令及其选项的方式与以前的Andariel活动几乎相同”。这次攻击影响了制造业、家庭网络服务、媒体和建筑业。 Andariel是Lazarus黑客组织的成员之一,因对韩国的组织和企业发动攻击而臭名昭著。该组织与Lazarus和Bluenoroff一起,于2019年9月被美国财政部制裁,原因是对重要基础设施进行敌对网络活动。朝鲜据认为是这些黑客活动幕后推手,它试图渗透到韩国和世界各地的金融机构电脑中。同时,它还策划了加密货币盗窃案,试图逃避为阻止其核武器计划发展而实施的经济制裁束缚。 卡巴斯基的发现建立在2021年4月Malwarebytes的一份早期报告之上。基于这些发现,这家网络安全公司记录了一个新的感染链,它分发钓鱼邮件,并在目标系统上投放一个远程访问木马(RAT)。根据最新的调查,新的恶意软件以类似的方式工作。除了安装一个后门外,威胁者还可以将文件加密的赎金软件传送给其中一个受害者,这表明有经济动机。应该指出的是,Andariel过去曾试图通过入侵自动取款机来窃取银行卡数据获取现金或在黑市上出售客户数据。 该勒索软件旨在加密所有文件,但那些带有系统关键扩展名”.exe”、”.dll”、”.sys”、”.MSIins”和”.drv”的文件除外。正如预期的那样,它要求支付比特币以获得一个解密软件和一个独特的密钥来解锁加密的数据。   (消息及封面来源:cnBeta)