Zoe

o(* ̄▽ ̄*)ブ

Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Firefox 插件“Safepal 钱包”窃取加密货币

一个名为“ Safepal Wallet”的恶意Firefox插件,欺骗用户,窃取钱包余额,并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭,BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表,我正在搜索 Safepal 钱包扩展,以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后,Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录,发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件,”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现,该插件至少从2021年2月16日起就开始使用了。 页面上,这个235kb的插件吹嘘自己是一个 Safepal 应用程序,可以安全地“在本地保存私钥”,还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件,开发者必须遵循提交流程,即提交的插件“随时接受Mozilla的审查”。但是,目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天,Mozilla的发言人回应说,他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用,但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是,在Mozilla插件网站上,一些用户发布了一星评论,警告其他人不要下载“ Safepal Wallet”。 但是,对于Cali来说,一切为时已晚,收回资金的机会很渺茫。 “我已经和警察谈过了,他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要,我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害,引导用户使用我们审查和监控的推荐扩展,帮助用户了解安装扩展带来的风险,让用户更容易地向我们反馈潜在的恶意扩展。” “根据我们的插件政策,当我们发现到插件会对安全和隐私造成威胁时,我们会采取措施阻止它们在Firefox中运行。关于这个插件,我们采取行动阻止其运行并从Firefox插件商店中删除了它。” 在调查恶意的火狐插件时,BleepingComputer 发现了插件使用的钓鱼域。如下所示的这个网页,在假插件的主页也被列为“支持网站”: https://safeuslife.com/tool/ WHOIS 记录显示,该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候,这个网页仍然在运营,它指示受害者输入他们的“12个单词的备份短语,用于匹配 SafePal 钱包。” 但是,一旦输入了备份短语并提交了表单,页面就会刷新,但没有任何明显的响应,备份短语却已悄无声息地发送给攻击者。 加密货币钱包和许多在线服务一样,如果用户忘记密码,由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是,备份短语十分重要且私密,只能在特殊情况下使用,而且只能在服务提供商可信的应用程序或网站上使用。 备份短语如果被盗,攻击者可以控制你的钱包,以及访问和转移资金。 最近,加密货币诈骗正在增多,威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周,有人入侵了Bitcoin.org官方网站,成功地骗走了1.7万美元。[详细请点击] 在之前的攻击中,包括npm、PyPI和GitHub在内的开源库被滥用,用以传播加密窃取和加密挖掘恶意软件。 随着网络平台上威胁者的日益增多,用户在提供安全密码或在线转移加密货币时应谨慎。 BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应,同时向 Namecheap 报告了钓鱼域名。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

新型恶意软件 Tangle Bot 窃取用户手机信息,安卓用户为主要目标

网络安全公司Proofpoint/Cloudmark最近发现了一种新的威胁,可以通过短信控制受害者的手机。美国和加拿大也发现了这种威胁,根据报告,Android用户是这种恶意软件的主要目标。 这种安全威胁被命名为Tangle Bot,因为它能够接管一些设备的功能,包括联系人列表、电话记录、摄像头和麦克风以及互联网接入。 这种恶意软件的工作原理与至今存在于英国和欧洲的流感机器人威胁一样。就像名字Tangle一样,这个恶意软件可以误导目标通过伪造的Covid-19警报,安装篡改过的软件。该警报包括关于Covid-19疫苗可用的加强剂的信息以及新的监管政策。 在疫情已经造成恐慌的情况下,这类信息极具煽动性,很可能欺骗目标,因为信息附加一些链接,而目标很可能相信该链接里宣称提供更多疫情期间帮助的信息。 在点击链接之后,跳转网页将显示“Adobe Flash Player需要更新”,如果用户同意更新并点击了更新安装按钮, TangleBot将植入手机,开始接管包括控制电话簿,记录屏幕等功能,攻击者也可以随时打开设备摄像头和麦克风。根据Proofpoint的说法,TangleBot甚至可以通过覆盖屏幕的方法访问在线金融应用程序。随后,受害者的设备还会被用来转发伪造的的Covid-19警报。 如果目标发现设备被恶意软件入侵并将其卸载,黑客暂时不会使用窃取的信息,让用户相信什么都没有被窃取,但信息早已泄露。 所以,保护设备不受攻击的最好方法是避免从未知渠道打开链接,应用程序应该只从可信的来源安装。   消息来源:DigitalInformationWorld,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

思科已修补 IOS XE 软件的三个关键漏洞

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功,攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS攻击。” 思科表示,有一个解决这一漏洞的办法:删除启用密码,并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面,确保为NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新,用以解决关键漏洞。   消息来源:ARNNet,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NETSCOUT 系统公司2021《威胁情报报告》发布:DDoS 攻击亟需关注

NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布,报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告,在2021年上半年,网络犯罪分子发动了大约540万次DDoS攻击,比2020年上半年增加了11%。此外,NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出,2021年将是另一个创纪录的一年,全球DDoS攻击将超过1100万次。 ASERT预计,攻击者层出不穷的攻击手段的长尾效应将持续下去,日益加剧网络安全危机,并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后,DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此,各国政府正在引入新的项目和政策来防范攻击,而警备机构正以前所未有的合作努力来应对危机。 2021年上半年,网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体,使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长,针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略,网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御,攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害,他们在重要的互联网组件上集中发力,包括DNS服务器、VPN集中器、服务和互联网交换,从而破坏了重要的网关。 网络犯罪分子将DDoS添加到他们的工具包中,以发起三重勒索活动。勒索软件能带来巨大利益,勒索者将DDoS加入他们的攻击方案,以加大对受害者和安全团队的压力。“三重勒索”将文件加密、数据盗窃、DDoS攻击结合在一起,使网络犯罪分子收到款项的几率增加。 DDoS攻击的最快速度同比增长16.17%。一名巴西互联网用户发起了攻击,采用DNS反射/放大、TCP ACK flood、TCP RST flood、TCP SYN/ACK反射/放大矢量技术,速度为675mpps。 最大规模的DDoS攻击为1.5 Tbps,同比增长169%。ASERT数据识别出该攻击针对一家德国ISP,部署了DNS反射/放大向量。与2020年上半年记录的任何一次攻击相比,此次攻击规模显著增加。 僵尸网络参与了大多的DDoS攻击。通过对全球范围内僵尸网络集群和高密度攻击源区域的跟踪,我们可以看到恶意攻击者如何利用这些僵尸网络参与了280多万次DDoS攻击。此外,知名的物联网僵尸网络Gafgyt和Mirai依然构成严重威胁,占DDoS攻击总数的一半以上。 NETSCOUT威胁情报主管理查德•哈梅尔表示:“网络犯罪分子利用疫情情况下的工作远程化,破坏连接供应链的重要组成部分,发起了数量空前的DDoS攻击,引起重度关注。”勒索软件团伙还使用了三重DDoS勒索战术。与此同时,Fancy Lazarus DDoS勒索活动日益猖狂,威胁多个行业组织,他们重点关注互联网服务提供商,特别是权威的DNS服务器。”   消息来源:TheFintechTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲主要呼叫中心提供商之一的 GSS 遭受了勒索软件攻击

Covisian的西班牙和拉丁美洲子公司GSS受到了一场严重的勒索软件攻击,该公司的大部分IT系统被冻结,其西班牙语客户群的呼叫中心也受到了干扰。 本周,位于西班牙和拉丁美洲的联系中心和为公司和政府机构提供的自助客户帮助电话服务失联。 据知情人士透露,受到影响的机构包括沃达丰西班牙、MasMovil互联网服务商、电视台、马德里供水供应商以及几家私营企业。 GSS高管在一封致受影响客户的信中称,他们已经关闭了所有受此次攻击影响的内部系统,目前正在使用基于谷歌的系统作为备份。 该公司当时表示,“在事故解决之前,所有应用程序都无法工作。”同时,恢复时间尚未公布。 在信的开头一句话,GSS言明这次勒索软件的攻击“不可避免”。据Covisian的一位女发言人说,Conti团伙于9月18日星期六实施了这次袭击。 尽管Conti团伙窃取目标网络数据的恶举人尽皆知,但Covisian声称“没有任何个人数据泄露”,而且该事件对其客户没有影响。 虽然Covisian在其他欧洲国家也提供客户服务,但此次攻击仅限于GSS的网络。 INCIBE西班牙国家网络安全研究所没有就GSS事件发表评论。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客入侵 Bitcoin.org,实施“钱翻倍”骗局,卷走1.7万美元

本周,威胁分子攻击了比特币基金会的官方网站Bitcoin.org,并利用官网宣传加密码货币赠送骗局,不幸的是,有些用户上当了。虽然黑客入侵持续了不到一天,但黑客们已经窃取了1.7万多美元。 如下图所示,9月23日,bitcoin.org主页声明: “比特币基金会正在回馈社区!我们希望回馈多年来帮助我们的用户,”鼓励用户向攻击者显示的钱包地址发送比特币。“把比特币发送到这个地址,我们会返还双倍的金额!” 此外,为了增加这种说法的吸引力,骗子们写道,这项服务仅限于前1万名用户。 攻击者鼓励用户将资金发送到的钱包地址是: 1 ngofwgsfz19rrcuhtmmulpmdek45nrd5n 黑客入侵发生后不久,Bitcoin.org网站运营商Cøbra也就该事件发布了公开警告: 尽管比特币被认为是由匿名者“中本聪”(Satoshi Nakamoto)创造的,但人们最近看到一个较新的身份“Cøbra”正管理着Bitcoin.org网站、社交媒体和社区渠道。 在Cøbra的声明之后,Bitcoin.org的域名注册商Namecheap也立即关闭了该域名。 然而,不幸的是,一些加密货币爱好者可能上当了,从攻击者的钱包余额中便可看出。交易记录显示攻击者的钱包里有多个不同比特币地址的存款。 钱包的最新更新余额为0.40571238 BTC,约为1.7万美元。 Bitcoin.org现在已经恢复,但是,网站被劫持的根本原因仍未得到证实,有人怀疑这是DNS劫持[1,2]。 无偿赠送骗局已经成为加密货币领域的一个常见主题,设置这些诱饵的攻击者很少空手而归的。就在几天前,BleepingComputer报道了通过电子邮件传播的“埃隆·马斯克互助”骗局。尽管大众认为没有人会轻易相信这些骗局,但类似的加密骗局证实是非常有效的,并在过去达成了数十万美元的交易。 例如,Twitter在2021年1月遭受了一次大规模攻击,加密诈骗者在一周内骗取了58万美元,然后在2月另一个诈骗者偷走了14.5万美元。 因此,用户应该对加密货币诈骗和电子邮件保持警惕。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英国国防部第二次电子邮件数据泄露

据BBC报道,本月有55名阿富汗人的资料泄露,据称,他们是Arap方案(阿富汗重新安置和援助政策)候选人。他们的电子邮件地址对所有收件人都是可见的,而这些接收者中至少有一人来自阿富汗国家军队。根据Arap方案,任何协助英国在阿富汗战斗的阿富汗人,都可以申请到英国,以免受到塔利班的迫害。如果本次的泄露信息落入不法分子手中,他们可能会面临生命风险。 此前,英国国防部周一对一起数据泄露事件展开调查,这起事件导致250多名为英国部队工作的阿富汗口译员的电子邮件地址被错误地共享,使250多名阿富汗口译员陷入生命危险。 本周,国防部长Ben Wallace发起了对该团队内部数据处理的调查,周二为首次数据泄露事件道歉。他说调查已经展开,一名国防官员已被停职。“目前已采取措施,确保今后不会发生这种情况。我们向那些受影响的人表示歉意,并向他们提供额外的支持。”   消息来源:The Register,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

BlackMatter 团伙窃取1tb数据,勒索新合作社590万美元

BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研究人员称,REvil团伙与BlackMatter团伙有关。 新合作社在一份电子邮件声明中表示:“出于高度谨慎,我们已经主动下线我们的系统,以此来遏制威胁,我们可以肯定,它已被成功遏制。”“我们也迅速通知了执法部门,并正在与数据安全专家密切合作,调查和纠正这种情况。” 新合作社成立于1973年,总部设在爱荷华州道奇堡,是一个会员拥有的农民合作社,在爱荷华州的北部、中部和西部有60个经营点。 在9月19日发布在网上的谈判中,一名代表该公司的人士表示,这次袭击将给食品供应链带来严重问题。他们写道:“我们是美国食品供应的关键基础设施,我们与美国的食品供应链交织在一起…如果我们不能在短时间内恢复,粮食、猪肉和鸡肉供应链就会出现非常非常公开的中断。大约40%的粮食生产在我们的软件上运行,1100万动物饲料的生产计划依赖于我们。” BlackMatter极有可能遵循安全公司 Cybereason 所说的“四重敲诈”。四重勒索不仅包括用恶意软件加密文件和盗取数据,还包括威胁公开发布信息或将其出售给竞争对手。如果受害者联系执法官员、数据恢复专家或谈判人员,该计划还包括威胁受害者。BleepingComputer称,在BlackMatter非公开网站截图中,该团伙声称从合作社窃取了大约1tb 的数据,包括 soilmap. com 项目的源代码、研发结果、员工敏感信息、财务文件以及 KeePass 密码管理器的导出数据库。曾在美国国家安全局的精英黑客团队工作的杰克 · 威廉姆斯怀疑,在发动攻击之前,黑客团伙可能把 新合作社误认为是一家 IT 公司或软件公司。 安全公司Digital Shadows的高级网络威胁情报分析师 Chris Morgan声明,美国联邦调查局很重视勒索软件集团针对食品、饮料和农业部门构成的风险。FBI表示,农业产业使用的系统——包括工业控制系统和智能技术——正成为勒索软件集团的主要目标。   消息来源:CyberScoop,BankInfoSecurity,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FamousSparrow APT 组织侵入酒店、政府和企业

一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”,将全球各地的酒店、政府和私人企业作为目标。   ESET研究人员Matthieu Faou称ESET正在跟踪该组织,他们认为,自2019年以来FamousSparrow一直很活跃。3月3日,攻击者开始利用ProxyLogon漏洞,已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。   FamousSparrow主要针对酒店;然而,研究人员发现其他部门也有一些目标,包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。   “在恶意软件方面,该组织没有多大的发展,但在目标方面,他们在2020年做出转变,他们开始以全球酒店为目标,”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同,是因为它专注于酒店,而不仅是流行的APT目标,比如政府。   “我们认为他们的主要动机是间谍活动,”他补充道。酒店是APT组织的主要目标,因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施,监听未加密的网络通信。”   他们说,在研究人员能够确定初始危害矢量的情况下,FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞,包括3月份的ProxyLogon漏洞,以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。   服务器被攻破后,攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具,该工具将转移到另一个进程,而研究人员表示该进程可能会被用来收集内存机密。   攻击者还为他们的SparrowDoor后门放置了一个载入程序,这是他们独有的工具。   Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器,包括执行任意命令或窃取任何文件。”SparrowDoor的部署,以及服务器端漏洞的使用,是该组织的主要特点。   研究人员认为FamousSparrow是自行运作的,但也发现了与其他已知APT组织的联系,包括SparlingGoblin和DRBControl。   Faou说:“他们很可能共享工具或接近受害者,但我们认为他们是独立的威胁团体。”   研究人员说,这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁,建议企业不要将应用程序暴露在互联网上。   消息来源:Darkreading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接