Hackernews 编译，转载请注明出处： 一个新发现的规避恶意软件利用Secure Shell（SSH）加密协议进入目标系统，目的是挖掘加密货币并实施分布式拒绝服务（DDoS）攻击。 Akamai安全情报响应团队（SIRT）将基于Golang的恶意软件称为KmsdBot，它针对从游戏到豪华汽车品牌再到安全公司的各种公司。 Akamai研究员Larry W.Cashdollar表示：“僵尸网络通过使用弱登录凭据的SSH连接感染系统，为了逃避检测，恶意软件不会在被感染的系统上持续存在。” 该恶意软件的名称来自一个名为“kmsd.exe”的可执行文件，该文件是在成功入侵后从远程服务器下载的。它还旨在支持多种体系结构，如Winx86、Arm64、mips64和x86_64。 KmsdBot具有执行扫描操作并通过下载用户名和密码组合列表进行自我传播的能力。它还可以控制挖掘过程并更新恶意软件。 Akamai表示，该恶意软件的第一个目标是一家名为FiveM的游戏公司，这是一款《侠盗猎车手5》的多人模式，允许玩家访问自定义角色扮演服务器。 该网络基础设施公司观察到的DDoS攻击包括第4层和第7层攻击，其中发送大量TCP、UDP或HTTP GET请求，以压垮目标服务器的资源并阻碍其处理和响应能力。 Cashdollar表示：“这个僵尸网络是安全复杂性及其演变程度的一个很好的例子。最初似乎是一个游戏应用程序的机器人，现在已经转向攻击大型奢侈品牌。” 卡巴斯基的遥测数据显示，越来越多的脆弱软件被用于部署加密货币矿工，从2022年第一季度的12%跃升至第三季度的17%。近一半的恶意挖掘软件分析样本（48%）秘密挖掘Monero（XMR）。 这家俄罗斯网络安全公司表示：“有趣的是，2022年第三季度最受攻击的国家是埃塞俄比亚（2.38%），在那里使用和开采加密货币是非法的。哈萨克斯坦（2.13%）和乌兹别克斯坦（2.01%）位居第二、三位。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 乌克兰网络警察和欧洲刑警组织逮捕了一个跨国诈骗集团的五名成员，该集团每年造成超过2亿美元的损失。 这些逮捕行动是在阿尔巴尼亚、芬兰、格鲁吉亚、德国、拉脱维亚和西班牙执法人员的支持下进行的联合行动的结果。在这些国家，该团伙建立了办事处和呼叫中心，雇佣了2000多人进行犯罪活动。 该组织通过加密货币和证券的伪投资计划欺骗投资者，调查始于2020年。 投资者被诱骗进行了一系列虚假投资。该团伙运营其网站和平台，向储户提供加密货币投资和证券（股票、债券、期货、期权）交易的超额利润。他们还通过这些平台模拟资产增长，但投资者无法提取资金。 据欧洲刑警组织称，全球数十万人受到跨国集团非法活动的影响。每年损失估计超过2亿欧元。执法人员在涉案人员的家中，以及基辅和伊万诺-弗兰基夫斯克呼叫中心的地址进行了搜查，查获了500多件电脑设备和手机，同时，在其他国家对该团伙其余成员的居住地进行了搜查。 警察在被捕者的家中以及基辅和伊万诺-弗兰基夫斯克呼叫中心的办公室进行了搜查。 已根据《乌克兰刑法》第190条（欺诈）第3部分启动刑事诉讼。该条款的制裁规定最高可判处8年监禁。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 谷歌Project Zero研究人员报告称，一家监控供应商正在使用三星手机的三个零日漏洞，分别追踪为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370。 这三个漏洞是： CVE-2021-25337：SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当，允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369：SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞，导致敏感的内核信息暴露给用户空间。 CVE-2021-25370：SMR Mar-2021第1版之前，dpu驱动程序中处理文件描述符的实现不正确，导致内存损坏，从而导致内核崩溃。 研究人员指出，这家监控公司在其间谍软件中包含了这三个漏洞，而这些漏洞在被利用时是零日漏洞。 这个野外漏洞利用链是一个很好的例子，它展示了与我们过去看到的许多Android漏洞不同的攻击面和“形状”。该链中的三个漏洞都在制造商的自定义组件中，而不是在AOSP平台或Linux内核中。并且3个漏洞中有2个是逻辑和设计漏洞，而不是内存安全漏洞。 监控供应商利用上述漏洞入侵三星手机。 TAG团队仅获得了可能处于测试阶段的三星手机的部分漏洞链。专家透露，该样本可追溯到2020年底。 该链值得进一步分析，因为它是一个3个漏洞链，其中所有3个漏洞都在三星自定义组件中，包括Java组件中的漏洞。 专家们解释说，该漏洞样本针对的是运行内核4.14.113和Exynos SOC的三星手机。在欧洲和非洲销售的手机使用这种特定的SOC，该漏洞依赖于Exynos三星手机的Mali GPU驱动程序和DPU驱动程序。 2020年末运行4.14.113内核的三星手机包括S10、A50和A51。 Google在2020年末发现这些漏洞后立即向三星报告，该供应商于2021年3月解决了这些漏洞。 谷歌没有透露监控供应商的名字，只是强调了与其他针对Android用户活动的相似之处，即意大利和哈萨克斯坦。 Project Zero指出，三星针对这些漏洞发布的公告并未提及它们在野外的利用。 当已知漏洞在野外被利用时，标记对于目标用户和安全行业都很重要。如果野外零日漏洞没有被披露，那么我们无法使用该信息来进一步保护用户，使用补丁分析和变体分析来了解攻击者已经知道的情况。 对这个漏洞链的分析为我们提供了新见解，让我们了解到了攻击者是如何瞄准Android设备的。这突出了对制造商特定组件进行更多研究的必要性。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 名为IceXLoader的恶意软件加载程序的更新版本涉嫌破坏了全球数千台个人和企业Windows计算机。 IceXLoader是一种商品恶意软件，在地下论坛上以118美元的价格出售，终身许可。它主要用于在被入侵的主机上下载和执行其他恶意软件。 今年6月，Fortinet FortiGuard实验室表示，他们发现了一个用Nim编程语言编写的特洛伊木马版本，目的是逃避分析和检测。 Minerva实验室的网络安全研究员Natalie Zargarov在周二发表的一份报告中表示：“虽然6月份发现的版本（v3.0）看起来像是一个正在进行中的工作，但我们最近发现了一个新的v3.3.3加载器，它看起来功能齐全，并且包括一个多级交付链。” IceXLoader传统上是通过网络钓鱼活动分发的，包含ZIP档案的电子邮件是部署恶意软件的触发因素。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。 在Minerva实验室详细描述的攻击序列中，发现ZIP文件包含一个dropper，该dropper会丢弃一个基于.NET的下载程序，从硬编码的URL下载PNG图像（“Ejvffhop.png”）。 这个图像文件（另一个dropper）随后被转换为字节数组，允许它有效地解密并使用一种称为进程空心的技术将IceXLoader注入到一个新进程中。 IceXLoader的3.3.3版本与其前身一样，是用Nim编写的，它可以收集系统元数据，所有元数据都会被泄露到远程攻击者控制的域中，同时等待服务器发出进一步的命令。 这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的功能。但它的主要功能是在磁盘上或内存中无文件下载和执行下一阶段的恶意软件。 Minerva实验室表示，命令和控制（C2）服务器中托管的SQLite数据库文件正在不断更新数千名受害者的信息，并补充说，该文件正在通知受影响的公司。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 研究人员警告称，Amadey恶意软件被用于在受损系统上部署LockBit 3.0勒索软件。 AhnLab安全应急响应中心（ASEC）在今天发布的一份新报告中表示：“用于安装LockBit的恶意软件Amadey bot正通过两种方法进行分发：一种是使用恶意Word文档文件，另一种是利用伪装成Word文件图标的可执行文件。” Amadey于2018年首次被发现，是一个“罪犯对罪犯（C2C）僵尸网络信息窃取者项目”，正如黑莓研究和情报团队所描述的那样，在地下罪犯网站上可以购买，价格高达600美元。 虽然它的主要功能是从受感染的主机收集敏感信息，但它还兼作传递下一阶段工件的通道。今年7月初，它是使用SmokeLoader传播的，这是一种有与自身功能没有太大区别的恶意软件。 就在上个月，ASEC还发现了伪装成韩国流行的即时通讯服务KakaoTalk的恶意软件，作为网络钓鱼活动的一部分。 这家网络安全公司的最新分析基于2022年10月28日上传到VirusTotal的微软Word文件（“심시아.docx”）。该文档包含一个恶意VBA宏，当受害者启用该宏时，它会运行PowerShell命令以下载并运行Amadey。 在另一种攻击链中，Amadey伪装成一个看似无害的文件，上面带有Word图标，但实际上是一个通过网络钓鱼消息传播的可执行文件（“Resume.exe”）。ASEC表示，它无法识别被用作诱饵的电子邮件。 成功执行Amadey后，恶意软件从远程服务器获取并启动其他命令，其中包括PowerShell（.ps1）或二进制（.exe）格式的LockBit勒索软件。 LockBit 3.0，也称为LockBit Black，于2022年6月推出，同时推出了一个新的暗网门户和第一个勒索软件操作漏洞赏金计划，承诺在其网站和软件中发现漏洞可获得高达100万美元的奖励。 研究人员总结道：“由于LockBit勒索软件正在通过各种方法分发，因此建议用户谨慎使用。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 研究人员发现一个SmokeLoader活动，该活动正在分发恶意软件针对加密货币用户，如SystemBC和Raccoon Stealer 2.0，以及一个新的被追踪为Laplas的clipper恶意软件。 专家们在过去两周内检测到了180多个不同的clipper恶意软件样本，这一情况证实了该威胁在最近几周已被广泛部署。 Clipper是一系列恶意软件，旨在通过将受害者的钱包地址与攻击者拥有的钱包地址交换来劫持加密货币交易。 Clipper恶意软件监视受害者系统的剪贴板，然后每当用户复制数据时，它都会验证它是否是有效的加密货币钱包地址，并将其替换为攻击者的钱包地址。 Cyble发布的帖子写道：“Laplas是新的clipper恶意软件，它生成的钱包地址与受害者的钱包地址相似。受害者不会注意到地址的差异，这大大增加了clipper活动成功的机会。” 这个clipper可以瞄准多个钱包，包括比特币、以太坊、比特币现金、莱特币、Dogecoin、Monero、Ripple、ZCash、Dash、Ronin、Tron和Steam Trade URL。 以下是Laplas Clipper的定价选项： $29 / 周 $59 / 月 $159 / 3个月 $299 / 半年 $549 / 年 clipper提供了一个易于使用的仪表板，允许操作员检查受感染计算机的状态和活动TA钱包地址的详细信息。 报告总结道：“Smoke Loader是一个众所周知的、高度可配置的、有效的恶意软件，TA正在积极修复。它是一个模块化的恶意软件。这表明它可以从C&C服务器获取新的执行指令，并下载更多恶意软件以扩展功能。在这种情况下，TA使用三种不同的恶意软件家族来获取经济利益。RecordBreaker是Raccoon Stealer的复活版本，用于窃取敏感信息，SystemBC是一种多功能威胁，结合了代理和远程访问特洛伊木马功能，新的Laplas clipper执行剪贴板劫持以窃取受害者的加密货币。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 自称“Justice Blade”的黑客组织公布了Smart Link BPO Solutions泄露的数据，该公司是一家外包IT供应商，与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。 黑客声称窃取了大量数据，包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。 当天，Justice Blade还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看，该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。 黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图，以及可能与FlyNas（航空公司）和SAMACares（由沙特阿拉伯中央银行管理的项目）有关的用户名单，其中包含超过10万条记录。 据Resecurity, Inc. （USA）称，由于企业和政府部门之间的重叠，保护财富500强主要公司的数据泄露可能成为该地区首批供应链网络安全事件之一。黑客可能会使用被盗数据来瞄准其他感兴趣的公司和个人。 Resecurity安全专家提到，之前在暗网和TOR网络中的各种地下市场中发现了属于Smart Link BPO Solutions的多个泄露凭据，“Justice Blade”可能利用这些凭据成功实施网络攻击。根据目前掌握的数据来看，11月2日左右，一家公司网站遭到破坏，并以“黑客和泄露”的方式进行。在此之前，10月30日，Metasploit Framework的活动可能被受害者公司检测到，该公司在入侵后由黑客部署。 根据泄露的公司员工之间的通信，属于员工的泄露账户很可能被用来进行攻击。 然而，没有证据表明这次攻击可能是出于经济动机，因为到目前为止还没有登记赎金要求。“Justice Blade”似乎是一个以沙特阿拉伯为目标的意识形态团体，在其网站上公布政府官员的照片以泄露数据。 Smart Link BPO Solutions是Al Khaleej培训和教育集团的一个业务部门。AL Khaleej集团在2012年福布斯中东地区上市，成为海湾合作委员会地区最强大的100家公司之一。 目前尚不清楚该事件是否与伊朗和沙特阿拉伯之间日益紧张的关系有关。据美联社（AP）报道，就在最近，沙特阿拉伯与美国官员分享了情报，表明伊朗可能正在为攻击沙特做准备。 据多名消息人士透露，执法部门和联邦监管机构正在调查该事件，以确定妥协的全部范围和最终影响。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 澳大利亚医疗保险公司Medibank证实，在勒索软件事件发生后，约970万客户的个人数据被盗。 据公司称，该攻击于10月12日在其IT网络中被发现，并称其“与勒索软件事件的前兆一致”，促使该公司隔离其系统，但不是在攻击者泄露数据之前。 “这个数字代表了大约510万Medibank客户，280万ahm客户和180万国际客户。”Medibank指出。 泄露的详细信息包括姓名、出生日期、地址、电话号码和电子邮件地址，以及ahm客户的医疗保险号码（但不是有效期），以及国际学生客户的护照号码（但不是有效期）和签证详细信息。 该公司进一步表示，该事件导致约16万名Medibank客户，约30万名ahm客户和约2万名国际客户的健康索赔数据被盗。 这一类别包括服务提供商名称、客户接受某些医疗服务的地点以及与诊断和实施的程序相关的代码。 然而，Medibank表示，财务信息和身份证件（如驾照）并没有作为安全漏洞的一部分被窃取，自2022年10月12日以来也没有发现异常活动。 “鉴于这起犯罪的性质，不幸的是，我们现在认为所有被访问的客户数据都可能被罪犯窃取。”该公司敦促客户警惕任何潜在的泄露。 在一份独立的投资者声明中，该公司还表示不会向黑客支付任何赎金，并表示这样做只会鼓励攻击者勒索其客户并使澳大利亚成为更大的目标。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量，开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时，察觉到了这些活动，该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。 RomCom在其活动中模仿了以下产品：SolarWinds网络性能监视器，KeePass开源密码管理器和PDF Reader Pro。 RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS，英国受害者可能是一个新的目标，而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 （TOS） 和新创建的命令和控制 （C2） 的SSL证书。 为了应对攻击，RomCom黑客执行以下简化方案：从供应商处获取原始合法HTML代码进行欺骗，注册类似于合法域的恶意域，木马化合法应用程序，将恶意捆绑包上传到欺骗网站，向受害者部署有针对性的钓鱼电子邮件，或者使用其他感染者载体。 11月1日，该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动，滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时，攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。 RomCom RAT，古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织，于2022年4月出现。然而，考虑到目标的地理位置和特征，结合当前的地缘政治局势，目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2005/ 消息来源：BlackBerry，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews 编译，转载请注明出处： 勒索软件集团LockBit声称窃取了咨询和IT服务提供商Kearney&Company的数据。 Kearney是首屈一指的注册会计师事务所，为政府实体提供财务管理服务。该公司为美国政府提供审计、咨询和IT服务。它帮助联邦政府提高了其金融业务的整体效率。 11月5日，Kearney公司被列入Lockbit 3.0集团的受害者名单中，该团伙威胁称，如果公司不支付赎金，将在2022年11月26日前公布被盗数据。目前，勒索软件团伙已经公布了被盗数据的样本，其中包括财务文件、合同、审计报告、账单文件等。 勒索软件团伙要求支付200万美元以销毁被盗数据，并要求支付1万美元以将计时器延长 24 小时。 本周，LockBit勒索软件集团声称已经入侵了其他主要组织，包括跨国汽车大陆集团和国防巨头Thales。 6月，LockBit勒索软件运营商发布了LockBit3.0，其中包含重要的创新，包括漏洞赏金计划和Zcash支付。 该团伙至少自2019年以来一直活跃，如今它是最活跃的勒索软件团伙之一。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文