Zoe

o(* ̄▽ ̄*)ブ

使用 ProxyShell 和 ProxyLogon 劫持邮件链

Squirrelwaffle的常规操作是发送恶意垃圾邮件回复现有电子邮件链,今天我们要调查它利用 Microsoft Exchange Server 漏洞(ProxyLogon 和 ProxyShell)的策略。 9月,Squirrelwaffle 作为一种新的加载器出现,并通过垃圾邮件攻击传播。它向已存在的电子邮件链回复恶意邮件,这种策略可以降低受害者对恶意行为的防范能力。为了实现这一点,我们认为它使用了 ProxyLogon 和 ProxyShell 的开发链。 Trend Micro 应急响应团队调查了发生在中东的几起与 Squirrelwaffle 有关的入侵事件。我们对这些攻击的最初访问做了更深入的调查,看看这些攻击是否涉及上述漏洞。 我们发现的所有入侵都来自于内部微软 Exchange 服务器,这些服务器似乎很容易受到 ProxyLogon 和 ProxyShell 的攻击。在这篇博客中,我们将对这些观察到的初始访问技术和 Squirrelwaffle 攻击的早期阶段进行更多的阐述。       更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1764/ 消息来源:Trendmicro,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安卓 APT 间谍软件 GnatSpy 分析

一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件做了以下事情: 收集短信,联系人,通话记录 收集图片和文档 记录音频,呼入和呼出电话,包括 WhatsApp 的通话 截屏和录制屏幕视频 用相机拍照 隐藏自己的图标 阅读 WhatsApp、 Facebook、 Facebook Messenger、 Telegram、 Skype、 IMO Messenger 或 Signal 的通知 取消内置安全应用程序(如三星安全代理、小米 MIUI 安全中心、华为系统管理器)以及安卓系统应用程序、包安装程序和自身的通知     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1771/ 消息来源:SophosNews,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用恶意软件 Tardigrade 攻击生物制造设施

Hackernews编译,转载请注明出处: 今年,借助一个叫做 Tardigrade 的恶意软件装载器,一个 APT攻击了 两家生物制造公司。 生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告,其中指出,恶意软件正在整个行业中广泛传播,它们的目的可能是盗窃知识产权,保证持续性,并用勒索软件感染系统。 今年春天,一家不知名的生物制造设施被勒索软件攻击,BIO-ISAC 随后开始进行调查。该公司表示,Tardigrade 是一种复杂的恶意软件,具有“高度自主性和变形能力”。2021年10月,这个恶意软件被用来攻击第二个实体。 这些“快速扩散”的入侵行为还不知道背后主使者是哪个攻击者或某个国家,但该机构告诉 The Hill ,这些行为与之前一个与俄罗斯的黑客组织的攻击行为相似。 Tardigrade 通过钓鱼邮件或受感染的 USB 驱动器传播,是 SmokeLoader 的一个高级分支。 SmokeLoader 是一个基于 windows 的后门,由一个名为 Smoky Spider 的组织操作,早在2011年就可以在地下市场上销售,SmokeLoader 拥有捕捉击键、通过受损网络横向移动以及升级特权的能力。 此外,该恶意软件还充当了额外恶意软件有效载荷的入口点,即使在与其C2服务器断开连接以实施其恶意攻击的情况下,该恶意软件也能自主运行。 生物制造行业的企业最好进行一下软件更新,加强网络分割,并测试关键生物基础设施的离线备份,以减轻黑客攻击带来的影响。 ”由于变形行为,这种恶意软件极难检测到。”研究人员表示,对关键人员的企业计算机保持警惕非常重要。他们补充说,“该领域的许多机器使用的是过时的操作系统。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Unit 42 设置 320 个蜜罐,一天内 80% 受到攻击

Hackernews编译,转载请注明出处: 研究人员设置了320个蜜罐,以观察攻击者攻击暴露的云服务的速度,发现80%的蜜罐在24小时内受到攻击。 攻击者不断扫描互联网,寻找可以利用于访问内部网络或执行其他恶意活动的公开服务。 为了追踪哪些软件和服务是黑客的目标,研究人员创建了可公开访问的蜜罐。蜜罐是一种服务器,配置成各种软件运行,作为诱饵来监控黑客活动。 在Palo Altos Networks的Unit 42 进行的一项新研究中,研究人员设置了320个蜜罐,发现80%的蜜罐在最初的24小时内受损。 部署的蜜罐包括带有远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)和Postgres数据库服务的蜜罐,在2021年7月至8月保持活动状态。这些蜜罐部署在世界各地,在北美、亚太和欧洲都有实例。 攻击者行动轨迹 第一次攻击的时间与服务类型被攻击的数量有关。 对于最具针对性的SSH蜜罐,第一次攻击的平均时间为3小时,两次连续攻击之间的平均时间约为2小时。 Unit 42还观察到一个值得注意的案例,即一名黑客在30秒内破坏了实验中80个Postgres蜜罐的96%。 这一发现非常令人担忧,因为在发布新的安全更新时,部署这些更新可能需要几天甚至更长的时间,而攻击者只需要几个小时就可以侵入公开的服务。 最后,关于地理位置是否有任何区别,结果显示,亚太地区受到黑客的最大关注。 防火墙有用吗? 绝大多数(85%)的攻击者IP是在一天内发现的,这意味着攻击者很少(15%)在随后的攻击中重用相同的IP。 这种持续的IP变化使得“第3层”防火墙规则对大多数威胁参与者无效。 能够更好地缓解攻击的方法是通过从网络扫描项目中提取数据来阻止IP,这些项目每天识别数十万个恶意IP。 然而,Unit 42在48个蜜罐组成的子组上测试了这一方法,发现阻断700000多个IP之后,子组和对照组之间在攻击次数上没有显著差异 为了有效地保护云服务,Unit42 建议管理员执行以下操作: 创建护栏以防止特权端口打开。 创建审核规则以监视所有打开的端口和公开的服务。 创建自动响应和补救规则来自动修复错误。 在应用程序前面部署下一代防火墙(WFA或VM系列)。 最后,始终在最新安全更新可用时安装这些更新,因为黑客在发布新漏洞时会迅速利用这些漏洞。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

商业间谍黑客 RedCurl 再次现身

Hackernews编译,转载请注明出处: 一个企业网络间谍黑客组织在消失了7个月后重新浮出水面,今年它针对4家公司进行新入侵行动,其中包括俄罗斯最大的批发商店之一,同时对其工具集进行了战术性改进,以试图阻挠分析。 Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中,攻击者都展示了广泛的红队技能,以及利用自己定制的恶意软件绕过传统防病毒检测的能力。” 至少从2018年11月起,这个讲俄语的黑客组织 RedCurl 开始活跃,至今已经已参与30起攻击,行动是针对14个组织的企业网络间谍和文件盗窃,这些企业涉及建筑、金融、咨询、零售、保险和法律行业,分布在英国、德国、加拿大、挪威、俄罗斯和乌克兰等地区。 攻击者使用一系列成熟的黑客工具潜入目标,窃取内部公司文件,如员工记录、法庭和法律文件,以及企业电子邮件历史。 RedCurl 的运作方式标志着它与其他对手的不同,尤其体现在它不部署后门,也不依赖 CobaltStrike 和 Meterpreter 等开发后工具,这两种工具都被视为远程控制受损设备的典型方法。更重要的是,尽管该组织保持着稳固的访问权限,但没有人发现到该组织实施了以经济利益为动机的攻击,包括加密受害者的基础设施,或者要求对被盗数据进行赎金。 相反,它的重点似乎是尽可能秘密地获取有价值的信息,使用自行开发和公开的程序,利用社会工程手段获得初步访问权,执行侦察,实现持久性,横向移动,以及过滤敏感文件。 研究人员说,“网络空间的间谍活动是国家支持的高级持续性威胁的一个特点。”“在大多数情况下,此类攻击针对的是其它国家或国有企业。企业网络间谍活动仍然相对罕见,而且在许多方面都是独一无二的。然而,该组织的成功可能会诱发网络犯罪的新趋势。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Emotet 垃圾邮件软件在全球范围内攻击邮箱

Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。   Emotet垃圾邮件攻击卷土重来 15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。 据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。   Emotet附件如何感染设备 打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。 一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。 目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷,”研究人员补充道。   防御Emotet   恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。 然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员展示了针对 Tor 加密流量的新指纹攻击

一项针对 Tor 网页浏览器的网站指纹攻击的新分析显示,它的竞争对手可以收集受害者经常访问的网站,但只有在攻击者对用户访问的网站的特定子集感兴趣的情况下才有可能。 研究人员乔瓦尼 · 切鲁宾、罗布 · 詹森和卡梅拉 · 特罗索在最新发表的一篇论文中说: “当监控一小组共五个流行网站时,攻击的准确率可以超过95% ,而对25个和100个网站的不加选择(非定向)攻击的准确率分别不超过80% 和60% 。”。 Tor浏览器通过一个覆盖网络向用户提供“不可链接通信”,该网络由6000多个中继组成,目的是把进行网络监视或流量分析的第三方的原始位置和使用情况匿名处理。在将请求转发到目的IP地址之前,它通过构建一个穿过入口、中间和出口中继的电路来实现这一点。 除此之外,每个中继都会对请求进行一次加密,以进一步阻碍分析并避免信息泄漏。虽然Tor客户端本身对其进入中继不是匿名的,因为流量是加密的,请求通过多个跳跃点跳转,但进入中继无法识别客户端的目的地,就像出口节点由于同样的原因无法识别客户端一样。 针对Tor的网站指纹攻击旨在打破这些匿名保护,使竞争对手能够观察到受害者和Tor网络之间的加密流量模式,从而预测受害者访问的网站。学者们设计的威胁模型假设攻击者运行一个出口节点,以捕捉真实用户产生的流量的多样性,然后用这个模型作为收集 Tor 流量跟踪的源,并在收集到的信息之上设计一个基于机器学习的分类模型来推断用户的网站访问。 对手模型包括一个“在线训练阶段,使用从出口中继(或继电器)收集的真实Tor流量的观察数据,随着时间的推移不断更新分类模型,”研究人员解释道,他们在2020年7月使用定制版本的Tor v0.4.3.5运行了一周的出入口中继,以提取相关的出口信息。 为了减轻这项研究引起的道德和隐私方面的担忧,论文的作者强调了安全防范措施,以防止用户通过Tor浏览器访问的敏感网站泄露。 研究人员总结道:“我们在现实世界的评估结果表明,如果敌人的目标是在一个小范围内识别网站,网站指纹攻击只能在自然环境成功。”“换句话说,旨在监控大范围用户网站访问的行为将会失败,但针对特定客户配置和网站的行为可能会成功。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

KdcSponge,NGLite,Godzilla Webshell 在定向攻击中的应用

2021年9月16日,美国网络安全和基础设施安全局(CISA)发布了一个警报,警告APT攻击组织的攻击者正在积极利用一个漏洞,该漏洞是在自助密码管理和单点登录解决方案 ManageEngine ADSelfService Plus 中新发现的。该警告解释说,我们观察到恶意攻击者部署特定的 webshell 和其他技术,以保持受害者环境中的持久性; 然而,在随后的日子里,我们观察到第二个不同的攻击行为,是利用了同一漏洞。 早在9月17日,这位攻击者就利用美国的租赁基础设施扫描了互联网上数百个易受攻击的组织。随后,对漏洞的利用在9月22日开始了,可能持续到了10月初。在此期间,这个攻击者成功地攻击至少9个全球实体,涉及科技、国防、医疗、能源和教育等行业。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1756/ 消息来源:paloaltonetworks,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

深入研究 Snake Keylogger 的新变种恶意软件

Fortinet 的 FortiGuard 实验室最近发现了一个用于传播恶意软件的微软 Excel 样本。在研究了它的行为之后,我发现它是 Snake Keylogger 恶意软件的一个新变种。 Snake Keylogger是一个模块化的`.NET`键盘记录器。它最早出现在2020年末,主要行为是从受害者的设备中窃取敏感信息,包括保存的证书、受害者的按键、受害者屏幕的截图和剪贴板数据。 2021年7月,Snake Keylogger 首次进入 TOP 10大流行恶意软件报告,这意味着 Snake Keylogger 影响力正在增加,并威胁更多人的设备和敏感数据。 在这个威胁研究博客中,你将了解 Snake Keylogger 的变体是如何通过捕获的 Excel 样本下载和执行的,这个变体使用了什么技术来保护它不被分析,它从受害者的机器上窃取了什么敏感信息,以及它如何将收集到的数据提交给攻击者。     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1752/   消息来源:Fortinet,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 10应用程序安装程序在 BazarLoader 恶意软件攻击中被滥用

TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。 BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标网络,并将对受损设备的访问权出售给其他网络罪犯。 它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者网络,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。 SophosLabs首席研究员安德鲁·布兰特(Andrew Brandt)在最近的一次活动中发现,攻击者的垃圾邮件使用了威胁性语言,还冒充一名公司经理,用来引发受害者紧迫感,攻击者要求提供有关客户投诉电子邮件收件人的更多信息。 据称,该投诉可以从微软自己的云存储(位于*.web.core.windows.net域名上)上的网站以PDF格式进行审查。 为了增加诈骗效果,这些垃圾邮件攻击的接收端被双重诱惑,被诱使使用adobeview子域安装BazarLoader后门,这进一步增加了该计划的可信度。 布兰特说:“攻击者整天使用两个不同的网址来托管这个伪造的‘PDF下载’页面。” “这两个网页都托管在Microsoft的云存储中,这会给它带来一种(并不切实的)真实感,.appinstaller和.appbundle文件都托管在每个网页存储的根目录中。” 但是,钓鱼网站上的“预览PDF”按钮不会指向PDF文档,而是打开一个带有ms appinstaller:前缀的URL。 单击按钮时,浏览器将首先显示一条警告,询问受害者是否允许该站点打开应用程序安装程序。但是,大多数人在地址栏中看到adobeview.*.web.core.windows.net域时可能会忽略它。 单击警告对话框中的“打开”将启动Microsoft的应用程序安装程序(自2016年8月发布Windows 10 1607版以来的内置应用程序),以假冒Adobe PDF组件的形式在受害者的设备上部署恶意软件,该软件作为AppX应用包发布。 一旦启动,应用安装程序将首先开始下载攻击者的恶意.appinstaller文件和一个附加的.appxbundle文件,其中包含名为Security.exe的最终有效负载,它嵌套在UpdateFix子文件夹中。 有效负载下载并执行一个额外的DLL文件,该文件启动并生成一个子进程,该子进程接着生成其他子进程,最终将恶意代码注入无头的基于Chromium的Edge浏览器进程,从而结束字符串。 在受感染的设备上部署后,BazarLoader将开始收集系统信息(例如,硬盘、处理器、主板、RAM、本地网络上具有面向公众IP地址的活动主机)。 该信息被发送到C&C服务器,伪装成通过HTTPS GET或POST头信息传递的cookie。 布兰特说:“把恶意软件放入应用程序安装包中在攻击中并不常见。不幸的是,现在这个方法已经被证明有用,它可能会引起更多的关注。” “安全公司和软件供应商需要有适当的保护机制来检测和阻止它,并防止攻击者滥用数字证书。” 在收到Sophos的通知后,微软于11月4日关闭了攻击者用来存放这些攻击中的恶意文件的页面。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接