HackerNews 编译，转载请注明出处： 自2019年以来，一个名为“automslc”的恶意PyPi包已从Python Package Index下载超过10万次，利用硬编码的凭据从Deezer流媒体服务盗取音乐。 Deezer是一个在180个国家可用的音乐流媒体服务，提供超过9000万首曲目、播放列表和播客。它通过广告支持的免费层级或付费订阅提供，付费订阅支持更高的音频质量和离线收听。 安全公司Socket发现了这个恶意包，并发现它通过硬编码Deezer凭据来下载媒体和抓取平台的元数据，从而盗取音乐。 尽管盗版工具通常不被视为恶意软件，但automslc使用命令与控制（C2）基础设施进行集中控制，可能会将不知情的用户纳入分布式网络。 此外，该工具可能很容易被用于其他恶意活动，因此其用户始终面临风险。 截至本文撰写时，automslc仍可在PyPI上下载。 该恶意包包含硬编码的Deezer账户凭据，用于登录服务，或使用用户提供的凭据创建与服务API的认证会话。 登录后，它请求曲目元数据并提取内部解密令牌，特别是Deezer用于URL生成的“MD5_ORIGIN”。 接下来，脚本使用内部API调用来请求完整长度的流媒体URL并检索整个音频文件，绕过了Deezer允许的30秒预览限制。 下载的音频文件以高质量格式存储在用户的设备上，允许离线收听和分发。 这违反了Deezer的服务条款和版权法，使用户在不知情的情况下面临风险。 automslc包可以不受限制地反复请求和下载曲目，实际上允许大规模盗版。 至于该包的制作者，Socket在各种账户和GitHub仓库上识别出别名“hoabt2”和“Thanh Hoa”，但他们的身份未知。 如果你将automslc作为独立工具使用或作为软件项目的一部分，要知道该工具允许非法活动，可能会给你带来麻烦。 C2导向的操作表明，威胁行为者正在积极监控和协调盗版活动，而不是简单地提供一个被动的盗版工具，这增加了未来更新中引入更多恶意行为的风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软已从Visual Studio Marketplace移除了两款受欢迎的VSCode扩展：“Material Theme – Free”和“Material Theme Icons – Free”，原因是这些扩展据称包含恶意代码。 这两款扩展非常受欢迎，总下载量接近900万次，用户现在会在VSCode中收到提示，告知这些扩展已被自动禁用。 发布者马蒂亚·阿斯托里诺（网名equinusocio）在VSCode Marketplace上有多个扩展，总安装量超过1300万次。 关于这些扩展存在恶意软件的消息来自网络安全研究人员阿米特·阿萨拉夫和伊泰·克鲁克，他们在扫描VSCode恶意扩展方面具有专业技能。 在今天发布的一份报告中，研究人员表示他们在这些扩展中发现了可疑代码，并已将调查结果报告给微软。 “微软已从VS Code Marketplace移除了这两个扩展，并封禁了开发者。”一位微软员工在YCombinator的Hacker News上发布消息称，“社区成员对扩展进行了深入的安全分析，发现了多个表明存在恶意意图的危险信号，并将此报告给了我们。微软的安全研究人员证实了这些说法，并发现了更多可疑代码。” “我们已将发布者从VS Marketplace封禁，移除了其所有扩展，并从所有运行这些扩展的VS Code实例中卸载。为澄清，此次移除与版权/许可证无关，仅涉及潜在的恶意意图。” VSCode自动移除Material Theme扩展   研究人员告诉BleepingComputer，他们的专业扫描器检测到扩展代码中存在恶意活动。其中一位研究人员阿米特·阿萨拉夫表示，他们认为恶意代码是在扩展更新中引入的，这表明要么是通过依赖项的供应链攻击，要么是开发者的账户被入侵。   此外，他们解释称，主题应该是静态的JSON文件，不应执行任何代码，因此这种行为在他们的评估中被标记为可疑。 经BleepingComputer验证，主题中的“release-notes.js”文件包含高度混淆的JavaScript，这在开源软件中始终是一个危险信号。 “release-notes.js”文件中的高度混淆JavaScript 对代码的部分反混淆显示了对用户名和密码的多次引用。然而，由于文件仍然高度混淆，BleepingComputer无法确定这些引用的具体方式。 微软表示，他们将很快在VSMarketplace GitHub仓库中发布更多关于该扩展和任何检测到的恶意活动的详细信息。 扩展的开发者马蒂亚·阿斯托里诺（网名equinusocio）回应了关于扩展存在恶意软件的担忧，称问题是由于过时的Sanity.io依赖项“看起来被入侵”所致。 “亲爱的@gegtor，Material Theme从未包含任何有害内容。”阿斯托里诺在微软的VSMarketplace仓库中发布消息称，“我们自2016年以来使用了一个过时的sanity.io依赖项来从sanity headless CMS显示发布说明，这就是他们发现的唯一问题。” “该依赖项自2016年以来一直存在，并且通过了此后所有的检查，现在看起来被入侵了，但微软从未联系过我们要求移除它。他们直接下架了一切，导致数百万用户出现问题，并在VSCode中造成循环（是的，这是他们的错）。” “他们从未联系我们澄清就破坏了一切。移除旧依赖项只需30秒，但这似乎就是微软的行事方式。我们还提供了一个混淆的index.js文件，其中包含所有主题命令和逻辑。它被混淆是因为扩展现在是闭源的；然而，如果你删除它，扩展仍然可以使用纯JSON文件正常运行。” 在情况明朗并确定这些扩展是否恶意之前，建议从所有项目中移除以下内容： – equinusocio.moxer-theme – equinusocio.vsc-material-theme – equinusocio.vsc-material-theme-icons – equinusocio.vsc-community-material-theme – equinusocio.moxer-icons 随后，开发者阿斯托里诺在VSCode Marketplace上发布了一个名为“Fanny Themes”的“完全重写且没有任何依赖项”的扩展，但微软随后将其移除。 针对我们关于混淆的release-notes.js文件的问题，阿斯托里诺重申了他在GitHub上的说法，即一个@sanity依赖项被入侵，如果他收到通知，可以迅速移除。 “发布说明文件是在2016年制作并用于从sanity.io（一个无头CMS）生成网页视图以显示更改的。”阿斯托里诺告诉BleepingComputer，“从那以后就再也没有动过，因为我一直专注于扩展的新版本。唯一有害的东西是旧的（也是唯一的）@sanity依赖项，它已被入侵。但我并不知情。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰计算机应急响应小组（CERT-UA）周二警告称，一个被其追踪为 UAC-0173 的有组织犯罪团伙重新活跃，该团伙通过感染计算机部署名为 DCRat（又名 DarkCrystal RAT）的远程访问木马。 乌克兰网络安全机构表示，最新一波攻击始于 2025 年 1 月中旬，目标是乌克兰公证人。 感染链利用声称代表乌克兰司法部发送的网络钓鱼邮件，诱使收件人下载一个可执行文件，该文件一旦启动，就会部署 DCRat 恶意软件。该二进制文件托管在 Cloudflare 的 R2 云存储服务上。 “通过这种方式，攻击者获得了对公证人自动化工作场所的初步访问权限，随后采取措施安装额外工具，特别是 RDPWRAPPER，该工具实现了并行 RDP 会话的功能，结合使用 BORE 工具，允许从互联网直接建立到计算机的 RDP 连接，”CERT-UA 表示。 这些攻击还以使用其他工具和恶意软件家族为特征，如 FIDDLER（用于拦截国家注册表网络界面输入的认证数据）、NMAP（用于网络扫描）和 XWorm（用于窃取敏感数据，如凭据和剪贴板内容）。 此外，受感染的系统被用作发送恶意邮件的渠道，使用 SENDMAIL 控制台工具进一步传播攻击。 这一发展发生在 CERT-UA 将 Sandworm 黑客组织（又名 APT44、Seashell Blizzard 和 UAC-0002）的一个子集群归因于利用微软 Windows 中的一个现已修补的安全漏洞（CVE-2024-38213，CVSS 评分：6.5）后的几天，该漏洞在 2024 年下半年通过带有陷阱的文档被利用。 攻击链被发现执行 PowerShell 命令，负责显示诱饵文件，同时在后台启动其他有效负载，包括 SECONDBEST（又名 EMPIREPAST）、SPARK 和一个名为 CROOKBAG 的 Golang 加载器。 CERT-UA 将此活动归因于 UAC-0212，该活动在 2024 年 7 月至 2025 年 2 月期间针对塞尔维亚、捷克共和国和乌克兰的供应商公司，其中一些攻击记录针对了 20 多家乌克兰企业，这些企业专注于自动化过程控制系统（ACST）、电气工程和货运运输。 这些攻击中的一些已被 StrikeReady Labs 和微软记录，后者将该威胁组织追踪为 BadPilot。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   美国网络安全与基础设施安全局（CISA）周二将影响微软合作伙伴中心（Microsoft Partner Center）和 Synacor Zimbra 协作套件（ZCS）的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 这两个漏洞分别是： CVE-2024-49035（CVSS 评分：8.7）：微软合作伙伴中心的一个不当访问控制漏洞，允许攻击者提升权限。（已于 2024 年 11 月修复） CVE-2023-34192（CVSS 评分：9.0）：Synacor ZCS 的一个跨站脚本（XSS）漏洞，允许远程认证攻击者通过特制脚本向 /h/autoSaveDraft 函数执行任意代码。（已于 2023 年 7 月通过 8.8.15 补丁 40 修复） 去年，微软确认 CVE-2024-49035 已在野外被利用，但未透露其在实际攻击中如何被武器化的更多细节。目前尚无 CVE-2023-34192 在野外被利用的公开报告。 鉴于此情况，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 18 日之前应用必要的更新，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露，提供了前所未有的视角，揭示了他们的策略和成员之间的内部冲突。 这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行，于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露，该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。 Black Basta 最初在 2022 年 4 月受到关注，当时他们使用现已基本停用的 QakBot（又名 QBot）作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告，这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 据 Elliptic 和 Corvus Insurance 估计，到 2023 年底，这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。 瑞士网络安全公司 PRODAFT 表示，这个以经济利益为动机的威胁行为者（也被称为 Vengeful Mantis）由于内部纷争，自今年年初以来基本处于不活跃状态，其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。 更糟糕的是，与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS（又名 Nurturing Mantis）和 Akira 勒索软件行动。 “内部冲突是由‘Tramp’（LARVA-18）驱动的，他是一名已知的威胁行为者，运营一个负责传播 QBot 的垃圾邮件网络，”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物，他的行为在该团伙的不稳定中起到了重要作用。” 泄露的聊天记录包含近 200,000 条消息，其中一些关键内容如下： Lapa 是 Black Basta 的主要管理员之一，负责管理任务。 Cortes 与 QakBot 团伙有关联，该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。 YY 是 Black Basta 的另一名管理员，负责支持任务。 Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名，他还使用 GG 和 AA 这两个名字。 Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。 据信，Black Basta 的一名成员是一名 17 岁的未成年人。 在 Scattered Spider 成功后，Black Basta 开始积极将社会工程学纳入其攻击手段。 据 Qualys 称，Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示，SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用，通常依赖默认的 VPN 凭证或暴力破解被盗凭证。 目前，Black Basta 尚未发布这些漏洞的补丁。在此期间，使用受影响系统的组织应采取以下防御措施： 限制对敏感日志文件和目录的访问。 对日志和备份文件应用严格的文件权限。 避免记录敏感的会话相关数据。 在存储前加密敏感数据。 在生产环境中禁用调试模式。 实施更强的身份验证和会话管理。 定期对系统及其文件处理过程进行安全审计。 强烈建议使用受影响系统的组织立即采取行动，保护其关键基础设施免受潜在攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国领先的背景审查和药物及酒精检测公司 DISA Global Solutions 遭遇了一起数据泄露事件，影响了 330 万人。 今年 1 月，该公司首次披露了一起发生在 2024 年 2 月 9 日至 4 月 22 日的网络安全事件，该公司在 4 月 22 日发现了这起数据泄露事件。 本月早些时候，DISA 表示，威胁行为者可能访问了存储在其系统中的敏感数据，但没有证据表明数据进一步传播或被滥用。 今天，该公司确认，在进一步调查后，确定有 3332750 人的敏感数据在这次网络攻击中被泄露。 DISA 在各个行业拥有超过 55000 家客户，其中 30% 的财富 500 强公司依赖该公司的服务。因此，这起数据泄露事件可能在全国范围内产生深远影响。 “我们写这封信是为了通知您，DISA 发生了一起可能涉及您部分个人信息的事件，这些信息是由于您可能为当前或 former 雇主或 prospective 雇主完成的员工筛查服务而被我们获取的，”这是发给受影响个人的通知内容。 DISA 在与当局共享的样本信中没有披露未经授权的一方访问了哪些类型的信息。然而，在其网站上发布的一份通知中，列出了以下信息： 全名 社会安全号码 驾驶证号码 政府身份证号码 金融账户信息 其他数据元素 虽然目前尚不清楚 “其他数据元素” 具体包括哪些内容，但由于该公司提供的服务类型，DISA 通常处理个人身份信息、联系方式、就业和教育历史、犯罪和背景审查、药物和酒精检测数据、医疗和健康相关数据等。 尽管 DISA 没有透露他们遭受了何种类型的网络攻击，但一份已被删除的通知表明，他们支付了赎金以防止被盗数据被公开发布。 “DISA 的数据未在暗网上被发现。DISA 表示已 ‘采取措施阻止威胁行为者公开发布任何获取的数据，并确认数据已被删除’，”这份已被删除的通知副本中写道。 为了保护受影响的人免受数据泄露带来的风险，DISA 通过 Experian 提供 12 个月的免费信用监控和身份盗窃保护服务。 还建议可能受影响的个人考虑对他们的账户设置欺诈警报和安全冻结，以防范潜在风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   mozilla 已经重申了其承诺，将继续支持 Manifest V2 扩展程序，同时引入 Manifest V3，让用户能够自由选择他们想要在浏览器中使用的扩展程序。 Manifest V3 是谷歌开发的浏览器扩展程序规范，旨在通过限制过于宽松的网络请求和远程内容加载，使网络浏览器的插件功能更安全。 尽管出发点是好的，但 Manifest V3 对某些类型的插件（如广告拦截器）施加了限制，这可能会使它们的效果大打折扣。 随着 Manifest V3 的强制实施，不兼容的扩展程序正从用户的浏览器中被禁用，剥夺了用户在功能和风险之间做出选择的权利。 BleepingComputer 上周晚些时候确认的一个 notable case 是 uBlock Origin 广告拦截器被禁用，该拦截器在 Chrome Web Store 上的下载量已超过 3800 万次。 尽管许多广告拦截器已经迁移到了 Manifest V3 版本，但这些版本通常在检测和拦截定向内容方面能力较弱。 虽然微软 Edge、mozilla firefox 和苹果 Safari 都已经采用了 Manifest V3，但他们各自进行了修改，使用户在享受安全增强的同时拥有更大的自由度。 对于旧的插件来说，支持 Manifest V2 是唯一的选择，而 firefox 今天通过公告重申了其将继续在可预见的未来支持 Manifest V2。 mozilla 表示：“虽然一些浏览器正在逐步淘汰 Manifest V2，但 firefox 将继续同时支持 Manifest V2 和 Manifest V3。” 具体来说，这家互联网公司表示，将继续支持 ‘blockingWebRequest’ 和 ‘declarativeNetRequest’ 这两个 API，分别对应 Manifest V3 和 Manifest V2，使像 uBlock Origin 这样的扩展程序能够继续正常工作。 mozilla 尚未说明这种支持将持续多久，但只要还有强大的插件能够增强用户的隐私和安全，mozilla 就有充分的理由继续支持 Manifest V2。 最终，mozilla 表示，这是对其自身宣言中 “原则 5” 的坚持，该原则指出：“个人必须有能力塑造互联网以及他们在互联网上的体验。” 当 Manifest V3 于 2022 年 11 月引入 firefox 时，mozilla 表示将在 2023 年底评估 Manifest V2 的弃用问题。 后来，在 2024 年 3 月，鉴于出现的所有技术和实际复杂性，mozilla 宣布在可预见的未来没有计划弃用 Manifest V2。 最新的公告重申了这一承诺，使 firefox 成为少数几个允许用户继续使用 Manifest V2 插件的网络浏览器之一。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，亚洲太平洋地区（APAC）的多个工业组织成为了针对性的网络钓鱼攻击的目标，攻击者试图通过这些攻击传播已知的恶意软件FatalRAT。 根据卡巴斯基ICS CERT的报告，攻击者利用了合法的中国云内容分发网络（CDN）myqcloud和有道云笔记服务作为攻击基础设施的一部分。 这些攻击主要针对马来西亚、中国、日本、泰国、韩国、新加坡、菲律宾、越南的政府机构和工业组织，特别是制造业、建筑业、信息技术、电信、医疗保健、电力和能源以及大规模物流和运输行业。 值得注意的是，FatalRAT的攻击活动之前曾利用虚假的Google广告作为传播媒介。 在2023年9月，Proofpoint记录了另一种电子邮件钓鱼活动，传播了包括FatalRAT、Gh0st RAT、Purple Fox和ValleyRAT在内的多种恶意软件家族。 这次攻击链的起点是一封包含中文文件名的ZIP压缩包的钓鱼邮件，解压后启动了第一阶段的加载程序，该加载程序请求有道云笔记以获取DLL文件和FatalRAT配置器。 配置器模块从note.youdao[.]com下载另一个笔记的内容，以访问配置信息。它还被设计为打开一个诱饵文件，以避免引起怀疑。 DLL是第二阶段的加载程序，负责从配置中指定的服务器（”myqcloud[.]com”）下载并安装FatalRAT有效载荷，同时显示关于应用程序运行问题的假错误消息。 该活动的一个重要特征是使用DLL侧加载技术来推进多阶段感染序列并加载FatalRAT恶意软件。 卡巴斯基表示，”攻击者使用黑白手法，利用合法二进制文件的功能，使事件链看起来像正常活动。” “攻击者还使用了DLL侧加载技术，以隐藏恶意软件在合法进程内存中的持久性。” FatalRAT是一种功能丰富的木马，能够记录键盘输入、破坏主引导记录（MBR）、开关屏幕、搜索和删除浏览器（如Google Chrome和Internet Explorer）中的用户数据、下载其他软件（如AnyDesk和UltraViewer）、执行文件操作、启动/停止代理，并终止任意进程。 目前尚不清楚使用FatalRAT进行攻击的幕后黑手是谁，尽管战术和工具的重叠表明”它们都反映了不同系列的攻击，某种程度上是相关的。”   消息来源：https://thehackernews.com/2025/02/fatalrat-phishing-attacks-target-apac.html； 卡巴斯基报告原文：https://ics-cert.kaspersky.com/publications/reports/2025/02/24/fatalrat-attacks-in-apac-backdoor-delivered-via-an-overly-long-infection-chain-to-chinese-speaking-targets/； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一场正在进行的活动，该活动以 GitHub 上托管的开源项目为幌子，针对游戏玩家和加密货币投资者。 这场活动涉及数百个代码仓库，已被卡巴斯基命名为 GitVenom。 “这些受感染的项目包括用于管理 Instagram 账户的自动化工具、可远程管理比特币钱包的 Telegram 机器人以及用于玩Valorant 游戏的破解工具，”这家俄罗斯网络安全供应商表示。 “所有这些所谓项目功能都是虚假的，活动背后的网络犯罪分子窃取了个人和银行数据，并从剪贴板中劫持了加密钱包地址。” 此次恶意活动已促成 5 个比特币的盗窃，截至发稿时价值约 456,600 美元。据信，这场活动已持续至少两年，当时一些虚假项目被发布。大多数感染尝试记录在俄罗斯、巴西和土耳其。 这些项目使用多种编程语言编写，包括 Python、JavaScript、C、C++ 和 C#。但无论使用何种语言，最终目标都是一样的：启动嵌入的恶意负载，该负载负责从攻击者控制的 GitHub 代码仓库中检索额外组件并执行它们。 其中最突出的是一个 Node.js 信息窃取程序，它收集密码、银行账户信息、保存的凭据、加密货币钱包数据和网络浏览历史；将这些信息压缩成 .7z 压缩包，并通过 Telegram 泄露给威胁行为者。 通过这些虚假的 GitHub 项目下载的还有远程管理工具，如 AsyncRAT 和 Quasar RAT，可用于控制受感染的主机，以及剪贴板劫持恶意软件，可将复制到剪贴板的钱包地址替换为攻击者控制的钱包地址，从而将数字资产重定向到威胁行为者。 “由于像 GitHub 这样的代码共享平台被全球数百万开发人员使用，威胁行为者将来肯定会继续使用虚假软件作为感染诱饵，”卡巴斯基研究员 Georgy Kucherin 表示。 “因此，在处理第三方代码时必须非常小心。在尝试运行此类代码或将其集成到现有项目之前，彻底检查其执行的操作至关重要。” 这一事件发生之际，Bitdefender 揭露了诈骗者正在利用 IEM Katowice 2025 和 PGL Cluj-Napoca 2025 等重大电子竞技赛事，针对《反恐精英 2》（CS2）玩家进行欺诈。（详见：https://hackernews.cc/archives/57534） “通过劫持 YouTube 账户来冒充 s1mple、NiKo 和 donk 等职业玩家，网络犯罪分子诱骗粉丝参与欺诈性的 CS2 皮肤赠送活动，导致 Steam 账户被盗、加密货币失窃以及 valuable in-game items（有价值的游戏内物品）丢失，”这家罗马尼亚网络安全公司表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Check Point 周一发布的一份新报告显示，一种大规模恶意软件活动被发现利用与 Adlice 产品套件相关的易受攻击的 Windows 驱动程序，以规避检测并传递 Gh0st RAT 恶意软件。 “为了进一步规避检测，攻击者故意通过修改特定的 PE 部分生成了 2.0.2 驱动程序的多个变体（具有不同的哈希值），同时保持签名有效，” Check Point 表示。 这家网络安全公司称，此次恶意活动涉及数千个第一阶段恶意样本，这些样本被用来部署一个程序，该程序能够通过所谓的自带易受攻击驱动程序（BYOVD）攻击来终止终端检测与响应（EDR）软件。 在 VirusTotal 平台上，已识别出多达 2500 种不同的旧版 2.0.2 版本的易受攻击的 RogueKiller 反rootkit 驱动程序 truesight.sys 变体，尽管实际数量可能更高。EDR 杀手模块于 2024 年 6 月首次被检测和记录。 Truesight 驱动程序存在的问题是，影响 3.4.0 以下所有版本的任意进程终止漏洞，此前已被利用来设计概念验证（PoC）漏洞利用程序，如 Darkside 和 TrueSightKiller，这些程序自 2023 年 11 月以来就已公开。 2024 年 3 月，SonicWall 公布了一种名为 DBatLoader 的加载器的详细信息，该加载器被发现利用 truesight.sys 驱动程序来终止安全解决方案，然后再传递 Remcos RAT 恶意软件。 有证据表明，此次攻击活动可能是由一个名为 Silver Fox APT 的威胁行为者所为，因为在执行链和使用的技术上存在一定程度的重叠，包括“感染向量、执行链、初始阶段样本的相似性以及历史目标模式”。 此外，约 75% 的受害者位于中国，其余受害者主要集中在亚洲其他地区，包括新加坡和台湾。 攻击序列涉及分发通常伪装成合法应用程序的第一阶段工具，这些工具通过提供奢侈品交易的欺骗性网站和流行消息应用程序（如 Telegram）中的欺诈渠道进行传播。 这些样本充当下载程序，释放旧版 Truesight 驱动程序以及模仿常见文件类型（如 PNG、JPG 和 GIF）的下一阶段有效载荷。第二阶段恶意软件随后检索另一个恶意软件，该恶意软件反过来加载 EDR 杀手模块和 Gh0st RAT 恶意软件。 “虽然旧版 Truesight 驱动程序（2.0.2 版本）的变体通常由初始阶段样本下载和安装，但如果系统上尚未安装该驱动程序，它们也可以直接由 EDR/AV 杀手模块部署，” Check Point 解释道。 “这表明，尽管 EDR/AV 杀手模块已完全集成到此次活动中，但它能够独立于早期阶段运行。” 该模块采用 BYOVD 技术，利用易受攻击的驱动程序来终止与某些安全软件相关的进程。通过这种方式，攻击能够绕过微软易受攻击驱动程序阻止列表，这是一种基于哈希值的 Windows 机制，旨在保护系统免受已知易受攻击驱动程序的威胁。 攻击最终部署了一种名为 HiddenGh0st 的 Gh0st RAT 变体，该变体旨在远程控制被攻陷的系统，为攻击者提供进行数据盗窃、监视和系统操纵的途径。 截至 2024 年 12 月 17 日，微软已更新驱动程序阻止列表，将相关驱动程序纳入其中，有效阻止了利用该驱动程序的攻击向量。 “通过修改驱动程序的特定部分，同时保留其数字签名，攻击者绕过了常见的检测方法，包括最新的微软易受攻击驱动程序阻止列表和 LOLDrivers 检测机制，使他们能够长时间躲避检测，” Check Point 表示。 “利用任意进程终止漏洞，使 EDR/AV 杀手模块能够针对和禁用与安全解决方案相关联的进程，进一步增强了此次攻击活动的隐蔽性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文