HackerNews 编译，转载请注明出处： 美国卫生网联邦服务公司（HNFS）及其母公司 Centene Corporation 已同意支付 1125 万美元和解金，以解决 HNFS 被指控在其国防卫生局（DHA）TRICARE 合同下虚假认证符合网络安全要求的指控。 美国政府与 HNFS 签订合同，由其为 TRICARE 北区提供管理式医疗支持服务，覆盖 22 个州。 合同要求遵守网络安全标准，特别是 48 C.F.R. § 252.204-7012 以及 NIST 特别出版物 800-53（联邦信息系统和组织的安全与隐私控制）中的 51 项安全控制措施。 根据美国司法部的公告，在 2015 年至 2018 年期间，HNFS 被指控在为美国军人及其家庭管理健康福利时，未能实施所需的网络安全措施。 与此同时，司法部声称 HNFS 在向 DHA 提交的报告中虚假认证合规，使其看起来像是充分保护了人们的数据，而实际上并未做到。 具体而言，HNFS 未能采取以下措施： 扫描其系统中的已知漏洞并及时修复。 考虑审计报告中突出的网络安全风险并采取行动进行补救。 实施行业标准的资产管理、访问控制、防火墙保护和补丁管理。 避免使用过时的硬件和软件。 遵循强账户密码策略。 在和解协议文件中，美国政府指出 HNFS 至少在三个场合虚假认证合规：2015 年 11 月 17 日、2016 年 2 月 26 日和 2017 年 2 月 24 日。 HNFS 和 Centene 否认所有指控，并坚称没有发生数据泄露或军人信息丢失。然而，他们仍同意支付 1125 万美元和解金以解决指控。 法律文件明确指出，如果未来出现额外证据、行政处罚或民事诉讼，和解协议并不保护 HNFS 和 Centene 免受刑事责任。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Citrix 已发布安全更新，修复了一个影响 NetScaler 控制台（原 NetScaler ADM）和 NetScaler 代理的高严重性安全漏洞，该漏洞在特定条件下可能导致权限提升。 该漏洞被追踪为 CVE-2024-12284，CVSS v4 评分为 8.8（满分 10.0）。 该漏洞被描述为权限管理不当，如果 NetScaler 控制台代理已部署，可能会导致已认证的权限提升，允许攻击者执行受损后的操作。 “该问题源于权限管理不足，可能被已认证的恶意行为者利用，无需额外授权即可执行命令，” NetScaler 指出。 “然而，只有已认证且已有权访问 NetScaler 控制台的用户才能利用此漏洞，从而将威胁面限制在已认证用户范围内。” 网络安全 受影响的版本如下： NetScaler 控制台 14.1 低于 14.1-38.53 NetScaler 控制台 13.1 低于 13.1-56.18 NetScaler 代理 14.1 低于 14.1-38.53 NetScaler 代理 13.1 低于 13.1-56.18 以下软件版本已修复该漏洞： NetScaler 控制台 14.1-38.53 及更高版本 NetScaler 控制台 13.1-56.18 及更高版本 NetScaler 代理 14.1-38.53 及更高版本 NetScaler 代理 13.1-56.18 及更高版本 “Cloud Software Group 强烈建议 NetScaler 控制台和 NetScaler 代理的客户尽快安装相关更新版本，” 该公司表示，并补充说没有解决方法可以修复此漏洞。 不过，使用 Citrix 托管的 NetScaler 控制台服务的客户无需采取任何行动。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，一场传播 XLoader 恶意软件的恶意活动利用了与 Eclipse 基金会相关的合法应用程序，采用了 DLL 侧载技术。 “此次攻击中使用的合法应用程序 jarsigner，是在安装 Eclipse 基金会分发的 IDE 软件包过程中创建的文件，它是一种用于签署 JAR（Java 归档）文件的工具。” AhnLab 安全情报中心（ASEC）表示。 这家韩国网络安全公司指出，该恶意软件以压缩的 ZIP 压缩包形式传播，其中包含合法的可执行文件以及用于侧载以启动恶意软件的 DLL 文件： Documents2012.exe：合法的 jarsigner.exe 二进制文件的重命名版本 jli.dll：由威胁行为者修改的 DLL 文件，用于解密并注入 concrt140e.dll concrt140e.dll：XLoader 载荷 当运行 “Documents2012.exe” 时，攻击链进入恶意阶段，触发修改后的 “jli.dll” 库的执行，从而加载 XLoader 恶意软件。 “分发的 concrt140e.dll 文件是一个加密的载荷，在攻击过程中解密，并注入到合法文件 aspnet_wp.exe 中执行，” ASEC 说道。 “注入的恶意软件 XLoader 窃取用户的 PC 和浏览器信息等敏感信息，并执行下载其他恶意软件等各种活动。” 作为 Formbook 恶意软件的后续版本，XLoader 于 2020 年首次在野外被发现。它以恶意软件即服务（MaaS）模式出售给其他犯罪分子。2023 年 8 月，一种伪装成 Microsoft Office 的 macOS 版信息窃取程序和键盘记录器被发现。 Zscaler ThreatLabz 在本月发布的两部分报告中表示：“XLoader 6 和 7 版本增加了额外的混淆和加密层，旨在保护关键代码和信息，以规避基于签名的检测并增加逆向工程的难度。” 进一步分析显示，XLoader 采用了之前在 SmokeLoader 中观察到的技术，包括在运行时加密部分代码和规避 NTDLL 钩子。 对恶意软件的进一步分析还发现，它使用了硬编码的诱饵列表，将真实的命令与控制（C2）网络通信与合法网站的流量混合在一起。诱饵和真实的 C2 服务器都使用不同的密钥和算法进行了加密。 就像 Pushdo 等恶意软件家族一样，使用诱饵的目的是生成到合法域名的网络流量，以掩盖真实的 C2 流量。 DLL 侧载还被 SmartApeSG（又名 ZPHP 或 HANEYMANEY）威胁行为者滥用，通过被 JavaScript 网页注入破坏的合法网站传递 NetSupport RAT，远程访问木马作为传递 StealC 窃取器的通道。 随着 Zscaler 详细介绍了另外两个名为 NodeLoader 和 RiseLoader 的恶意软件加载器，它们被用于传播各种信息窃取程序、加密货币矿机和僵尸网络恶意软件，如 Vidar、Lumma、Phemedrone、XMRig 和 Socks5Systemz。 “RiseLoader 和 RisePro 在其网络通信协议的多个方面存在相似之处，包括消息结构、初始化过程和载荷结构，” 它指出，“这些重叠可能表明两个恶意软件家族背后是同一个威胁行为者。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自由职业软件开发者正成为一项持续活动的目标，该活动利用以工作面试为主题诱饵来传播跨平台恶意软件家族，即BeaverTail和InvisibleFerret。据《黑客新闻》报道，这一与朝鲜有关的活动被命名为“欺骗性开发”（DeceptiveDevelopment），与被追踪为“传染性面试”（Contagious Interview，又称CL-STA-0240）、DEV#POPPER、著名千里马（Famous Chollima）、PurpleBravo和坚韧的蓬山（Tenacious Pungsan）的集群有重叠。该活动自2023年底以来一直在进行。 “‘欺骗性开发’通过在求职和自由职业网站上进行鱼叉式网络钓鱼，针对自由职业软件开发者，旨在窃取加密货币钱包以及浏览器和密码管理器中的登录信息，”网络安全公司ESET在一份与《黑客新闻》共享的报告中表示。 2024年11月，ESET向《黑客新闻》证实，“欺骗性开发”与“传染性面试”存在重叠，将其归类为一个新的拉撒路集团（Lazarus Group）活动，该活动旨在进行加密货币盗窃。 这些攻击链的特点是利用社交媒体上的虚假招聘人员资料联系潜在目标，并与他们分享托管在GitHub、GitLab或Bitbucket上的特洛伊木马代码库，以工作面试过程为借口部署后门程序。 这些活动的后续版本已经扩展到其他求职平台，如Upwork、Freelancer.com、We Work Remotely、Moonlight和Crypto Jobs List。正如之前所强调的，这些招聘挑战通常涉及修复漏洞或为加密货币相关项目添加新功能。 除了编码测试，这些虚假项目还伪装成加密货币项目、具有区块链功能的游戏以及具有加密货币功能的赌博应用程序。恶意代码通常以单行代码的形式嵌入到良性组件中。 “此外，他们被指示构建并执行项目以进行测试，这就是初始入侵发生的地方，”安全研究员马特耶·哈夫拉内克（Matěj Havránek）表示。“使用的代码库通常是私有的，因此受害者首先被要求提供他们的账户ID或电子邮件地址以获得访问权限，这很可能是为了掩盖恶意活动，避免被研究人员发现。” 实现初始入侵的第二种方法是诱骗受害者安装带有恶意软件的视频会议平台，如MiroTalk或FreeConference。 虽然BeaverTail和InvisibleFerret都具有信息窃取功能，但前者作为后者的下载器。BeaverTail还有两种变体：一种是可嵌入特洛伊木马项目的JavaScript变体，另一种是使用Qt平台构建的本地版本，伪装成会议软件。 InvisibleFerret是一种模块化的Python恶意软件，它检索并执行三个额外的组件： pay：收集信息并充当后门，能够接受攻击者控制服务器的远程命令，记录键盘输入、捕获剪贴板内容、运行shell命令、从挂载的驱动器中窃取文件和数据，以及安装AnyDesk和浏览器模块，并从浏览器扩展和密码管理器中收集信息； bow：负责窃取存储在基于Chromium的浏览器（如Chrome、Brave、Opera、Yandex和Edge）中的登录数据、自动填充数据和支付信息； adc：通过安装AnyDesk远程桌面软件作为持久化机制。 ESET表示，该活动的主要目标是全球范围内从事加密货币和去中心化金融项目的软件开发者，其中芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国报告了大量目标。 “攻击者不区分地理位置，旨在尽可能多地入侵受害者，以增加成功提取资金和信息的可能性。” 这也在运营商采用的明显较差的编码实践中得到体现，从未能删除开发注释到用于开发和测试的本地IP地址，表明该入侵组织并不关心隐蔽性。 值得注意的是，利用工作面试诱饵是朝鲜各种黑客组织采用的经典策略，其中最突出的是一个长期活动，被称为“梦幻工作”（Operation Dream Job）。 此外，有证据表明，这些威胁行为者还参与了欺诈性的IT工作者计划，朝鲜国民在该计划中以虚假身份申请海外工作，以获取定期薪水，从而为政权的优先事项提供资金。 “‘欺骗性开发’集群是朝鲜相关行为者采用的众多赚钱计划之一，并符合从传统货币转向加密货币的持续趋势，”ESET表示。 “在我们的研究过程中，我们观察到它从原始的工具和技术发展到更高级、更有能力的恶意软件，以及更成熟的技巧来吸引受害者并部署恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一些最敏感的公司和军事网络可能面临被入侵的风险，研究人员披露了通过信息窃取恶意软件（infostealer malware）广泛窃取凭证的情况。 Hudson Rock 的分析显示，网络犯罪市场上正在出售来自洛克希德·马丁（Lockheed Martin）、波音（Boeing）和霍尼韦尔（Honeywell）以及美国陆军和海军、联邦调查局（FBI）和政府问责办公室（GAO）的泄露凭证。 威胁行为者只需花费 10 美元就可以购买到企业电子邮件和 VPN 账户的访问权限，以及内部开发工具（如 GitHub、Jira、Confluence）和军事训练平台等资产的访问权限。 这些网络犯罪市场使得搜索特定凭证（如 army.mil）变得更加容易，而且通常这些日志还包含用于绕过多因素认证（MFA）的活动会话 cookie，报告称。 即使那些未受信息窃取者影响的组织，如果其合作伙伴、供应商和供应商受到攻击，也可能会被入侵，Hudson Rock 警告。 “每一个被感染的员工都是一个真实的人——可能是从事军事人工智能系统工作的工程师、管理机密合同的采购官员、有权访问关键任务情报的国防分析师，”报告继续说道。 “在某个时候，这些员工在用于工作的设备上下载了恶意软件，这不仅暴露了他们的凭证，还可能暴露了他们的整个数字足迹：浏览历史、自动填充数据、内部文件以及敏感应用程序的会话 cookie。” 黑鸭子（Black Duck）的首席顾问托马斯·理查兹（Thomas Richards）表示，这项研究对美国构成了重大的国家安全风险。 “被盗的数据可能允许对手进入关键网络，并采取措施进一步入侵更多人员和系统，”他指出。 “受影响的用户应立即更改密码，并应启动法证调查，以确定他们是如何被入侵的，以及攻击者是否访问了他们不应访问的信息。” 信息窃取者感染可能来自多种来源，包括网络钓鱼邮件、受感染网站的自动下载、破解/盗版游戏、看似合法的应用程序（如假会议软件）、谷歌广告甚至 YouTube 视频描述。 Hudson Rock 声称，在过去的几年里，它已经识别出超过 3000 万台被信息窃取者感染的计算机。   消息来源：InfoSecurity magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Genea 是澳大利亚最大的生育服务提供商之一，该公司披露未知攻击者入侵了其网络并访问了受攻击系统中存储的数据。 Genea 周三发表声明称，在检测到网络上的“可疑活动”后，正在“紧急调查一起网络事件”。 “我们的调查发现，未经授权的第三方访问了 Genea 的数据。我们正在紧急调查被访问数据的性质和范围，以及其中包含个人身份信息的程度，”该公司透露。“如果我们的调查发现任何个人身份信息受到影响的证据，我们将与相关人员沟通。” Genea 还表示，正在努力恢复为控制漏洞而关闭的服务器，并确保公司的系统安全。 尽管公司未披露此次攻击是否以任何方式扰乱了其运营，但已告知患者，如果治疗计划有任何变化，将会通知他们。 “我们对此次事件可能引起的任何担忧深表歉意，并希望向患者保证，我们非常重视您的隐私和数据安全，”Genea 表示。“我们还希望向您保证，我们的专家团队、护士和办公室支持人员正在夜以继日地工作，以确保您的治疗受到的干扰最小，这是我们的首要任务和重中之重。” 尽管公司尚未透露漏洞何时被发现，或患者个人和健康信息是否被泄露，但 Genea 确认遭遇漏洞的消息是在电话故障影响该集团生育诊所的五天后发布的。 在对电话故障公告的回复中，患者还透露该公司的 MyGenea 应用程序也已停机。 这家体外受精（IVF）服务提供商（1986 年成立，最初名为悉尼 IVF）在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供各种服务，包括生育治疗、检查、基因服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司首次报道，Genea 以及另外两家公司（Monash IVF 和 Virtus）占该国行业总收入的 80% 以上。 当 BleepingComputer 今天早些时候联系 Genea 发言人时，对方未能立即发表评论。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的 JavaScript 混淆方法利用隐形 Unicode 字符来表示二进制值，这种方法正在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极利用。 Juniper Threat Labs 发现了这次攻击，报告称该攻击发生在 2025 年 1 月初，显示出高度复杂性，包括使用以下手段： 使用个性化非公开信息来针对受害者， 使用调试器断点和时间检查来规避检测， 使用递归包装的 Postmark 跟踪链接来掩盖最终的网络钓鱼目的地。 JavaScript 开发者 Martin Kleppe 于 2024 年 10 月首次披露了这种混淆技术，其在实际攻击中的快速采用突显了新研究如何迅速被武器化。 使 JS 负载“隐形” 这种新的混淆技术利用了隐形 Unicode 字符，特别是 Hangul 半角（U+FFA0）和 Hangul 全角（U+3164）字符。 JavaScript 负载中的每个 ASCII 字符都被转换为 8 位二进制表示，其中的二进制值（1 和 0）被替换为隐形的 Hangul 字符。 混淆后的代码存储为 JavaScript 对象的一个属性，由于 Hangul 填充字符显示为空白，脚本中的负载看起来是空的，如下图所示。 空白处隐藏恶意代码 一个简短的引导脚本使用 JavaScript Proxy 的 get() trap 来检索隐藏的负载。当访问隐藏属性时，Proxy 将隐形的 Hangul 填充字符转换回二进制，并重建原始的 JavaScript 代码。 Juniper 的分析师报告称，攻击者除了上述手段外，还采取了额外的隐藏步骤，例如使用 base64 编码脚本和使用反调试检查来规避分析。 “这些攻击高度个性化，包括非公开信息，初始 JavaScript 会尝试在被分析时调用调试器断点，检测到延迟后，然后通过重定向到良性网站来中止攻击，”Juniper 解释道。 这些攻击难以检测，因为空白减少了安全扫描器将其标记为恶意的可能性。 由于负载只是对象中的一个属性，它可以被注入到合法脚本中而不引起怀疑；此外，整个编码过程易于实现，不需要高级知识。 Juniper 表示，此次活动中使用的两个域名此前与 Tycoon 2FA 网络钓鱼工具包有关。 如果是这样，我们可能会在未来看到这种隐形混淆方法被更广泛的攻击者采用。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA 和 FBI 表示，部署 Ghost 勒索软件的攻击者已经入侵了包括关键基础设施组织在内的多个行业的受害者，涉及超过 70 个国家。 受影响的行业还包括医疗保健、政府、教育、技术、制造业以及众多中小企业。 “从 2021 年初开始，Ghost 攻击者开始攻击那些互联网服务运行过时软件和固件版本的受害者，”CISA、FBI 和多州信息共享与分析中心（MS-ISAC）在周三发布的一份联合公告中表示。 “这种对包含漏洞的网络的无差别攻击已导致超过 70 个国家的组织被攻陷，包括中国的组织。” Ghost 勒索软件运营商经常更换其恶意软件可执行文件，更改加密文件的文件扩展名，修改勒索信内容，并使用多个电子邮件地址进行勒索通信，这导致该组织的归属随时间波动。 与该组织相关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture，其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。 这个以经济利益为动机的勒索软件组织利用公开可用的代码来利用易受攻击服务器的安全漏洞。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。 为了防御 Ghost 勒索软件攻击，网络安全防御者被建议采取以下措施： 制作定期的异地系统备份，防止被勒索软件加密， 尽快修补操作系统、软件和固件的漏洞， 关注 Ghost 勒索软件针对的安全漏洞（即 CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）， 对网络进行分段，限制从受感染设备的横向移动， 对所有特权账户和电子邮件服务账户强制使用抗网络钓鱼的多因素认证（MFA）。 在 Amigo_A 和 Swisscom 的 CSIRT 团队于 2021 年初首次发现 Ghost 勒索软件后，其运营商开始投放定制的 Mimikatz 样本，随后是 Cobalt Strike 信标，并使用合法的 Windows CertUtil 证书管理器部署勒索软件有效载荷，以绕过安全软件。 除了在 Ghost 勒索软件攻击中用于初始访问外，针对 Fortinet SSL VPN 设备的漏洞 CVE-2018-13379 的国家级黑客组织也被发现进行了攻击。 攻击者还利用同一安全漏洞攻陷了可通过互联网访问的美国选举支持系统。 Fortinet 在 2019 年 8 月、2020 年 7 月、2020 年 11 月和 2021 年 4 月多次警告客户修补其 SSL VPN 设备以应对 CVE-2018-13379。 CISA、FBI 和 MS-ISAC 今天发布的联合公告还包含了与 FBI 调查中识别的先前 Ghost 勒索软件活动相关的妥协指标（IOCs）、战术、技术和程序（TTPs）以及检测方法，这些调查最近一次是在 2025 年 1 月。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周二将影响 Palo Alto Networks PAN-OS 和 SonicWall SonicOS SSLVPN 的两个安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正在被积极利用的证据。 这两个漏洞如下： CVE-2025-0108（CVSS 评分：7.8）：Palo Alto Networks PAN-OS 管理 Web 界面中的身份验证绕过漏洞，允许未授权的攻击者通过网络访问管理 Web 界面，绕过通常需要的身份验证并调用某些 PHP 脚本。 CVE-2024-53704（CVSS 评分：8.2）：SSLVPN 身份验证机制中的身份验证不当漏洞，允许远程攻击者绕过身份验证。 Palo Alto Networks 已确认观察到针对 CVE-2025-0108 的积极利用尝试，并指出该漏洞可以与其他漏洞（如 CVE-2024-9474）结合使用，以允许未经授权访问未修补和未安全配置的防火墙。 “Palo Alto Networks 观察到在未修补和未安全配置的 PAN-OS Web 管理界面上，CVE-2025-0108 与 CVE-2024-9474 和 CVE-2025-0111 的利用尝试，”该公司在更新的公告中表示。 威胁情报公司 GreyNoise 表示，多达 25 个恶意 IP 地址正在积极利用 CVE-2025-0108，自近一周前被检测到以来，攻击者活动量增加了 10 倍。攻击流量的前三大来源是美国、德国和荷兰。 至于 CVE-2024-53704，网络安全公司 Arctic Wolf 透露，威胁行为者在 Bishop Fox 提供概念验证（PoC）后不久就开始利用该漏洞。 鉴于这些漏洞正在被积极利用，联邦民用执行部门（FCEB）机构被要求在 2025 年 3 月 11 日之前修复这些漏洞，以确保其网络的安全。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 特洛伊木马式游戏安装程序在大规模 StaryDobry 攻击中部署加密货币矿工，卡巴斯基将这一大规模活动命名为 StaryDobry，该活动于 2024 年 12 月 31 日首次被检测到，持续了一个月。此次攻击的目标是全球的个人和企业，卡巴斯基的遥测数据显示，俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦的感染浓度较高。 研究人员塔季扬娜·什什科娃（Tatyana Shishkova）和基里尔·科尔切米尼（Kirill Korchemny）在周二发布的一份分析报告中表示：“这种方法帮助威胁行为者充分利用了矿工植入，目标是强大的游戏机，这些机器能够维持挖矿活动。” 此次 XMRig 加密货币矿工活动利用了流行的模拟和物理游戏，如 BeamNG.drive、Garry’s Mod、Dyson Sphere Program、Universe Sandbox 和 Plutocracy，作为诱饵发起复杂的攻击链。这包括在 2024 年 9 月将使用 Inno Setup 制作的被投毒的游戏安装程序上传到各种种子网站，表明活动背后的不明威胁行为者精心策划了这些攻击。 下载这些发布版本（也称为“重打包”）的用户会看到一个安装程序界面，提示他们继续进行安装过程，在此过程中会提取并执行一个投放器（“unrar.dll”）。 该 DLL 文件在确定是否在调试或沙盒环境中运行后才会继续执行，这表明其具有高度的规避行为。随后，它会查询多个网站，如 api.myip [.]com、ip-api [.]com 和 ipwho [.]is，以获取用户的 IP 地址并估算其位置。如果这一步失败，国家默认为中国或白俄罗斯，原因尚不清楚。 下一阶段涉及收集机器的指纹信息，解密另一个可执行文件（“MTX64.exe”），并将其内容写入磁盘上的文件 “Windows.Graphics.ThumbnailHandler.dll”，该文件位于 %SystemRoot% 或 %SystemRoot%\Sysnative 文件夹中。 基于一个名为 EpubShellExtThumbnailHandler 的合法开源项目，MTX64 通过加载下一阶段的有效载荷（一个名为 Kickstarter 的便携式可执行文件），修改了 Windows Shell Extension Thumbnail Handler 功能，以谋取自身利益，然后解包嵌入其中的加密数据块。 该数据块与前一步类似，被写入磁盘，文件名为 “Unix.Directory.IconHandler.dll”，位于文件夹 %appdata\Roaming\Microsoft\Credentials%InstallDate%\ 中。 新创建的 DLL 被配置为从远程服务器获取最终阶段的二进制文件，该服务器负责运行矿工植入，同时还会持续检查运行进程列表中的 taskmgr.exe 和 procmon.exe。如果检测到这些进程中的任何一个，该工件将立即终止。 该矿工是一个经过轻微修改的 XMRig 版本，使用预定义的命令行在具有 8 个或更多核心的 CPU 上启动挖矿过程。“如果少于 8 个，矿工不会启动，”研究人员表示。“此外，攻击者选择在他们自己的基础设施中托管挖矿池服务器，而不是使用公共服务器。” “XMRig 使用其内置功能解析构建的命令行。矿工还会创建一个单独的线程来检查系统中运行的进程监控器，使用的方法与前一阶段相同。”由于缺乏可以将其与任何已知犯罪软件行为者联系起来的指标，StaryDobry 仍未被归因。尽管如此，样本中的俄语字符串表明可能存在说俄语的威胁行为者。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文