分类: 今日推送

印度英尼福实验室或与一安卓间谍软件程序有关

国际特赦组织(Amnesty International)的一份报告称,一家印度网络安全公司与一款针对知名活动人士的安卓间谍软件程序有关。 国际特赦组织的团队进行了调查,他们证实了该公司与一起针对多哥人权维护活动人士的间谍案件有关,还观察到其在几个关键的亚洲地区部署间谍软件的迹象。 据国际特赦组织称,这款安卓间谍软件与印度网络安全公司英尼福实验室(Innefu Labs)有关联,此前该公司的一个IP地址被多次用于分发间谍软件的有效载荷。 然而,实际部署可能是Donot Team组织(APT-C-35)在执行,这是一群印度黑客,他们至少从2018年就开始以东南亚各国政府为目标。 针对多哥活动人士的攻击始于WhatsApp上一条未经请求的信息,暗示用户安装一款名为“ChatLite”的据称安全的聊天应用。 在此失败后,攻击者从Gmail账户发送了一封电子邮件,邮件中携带了一个带有标签的MS Word文件,该文件利用了一个旧的漏洞,插入间谍软件。 在ChatLite事件中,间谍软件是一个定制开发的Android应用程序,允许攻击者从设备上收集敏感数据,并获取额外的恶意软件工具。 这个通过恶意Word文档传播的间谍软件具有以下功能: 记录键盘敲击数据 定期截图 从本地和可移动存储中窃取文件 下载额外的间谍软件模块 通过分析Android间谍软件样本,国际特赦组织的调查人员发现其与Kashmir_Voice_v4.8.apk和SafeShareV67.apk有一些相似之处,而这两个恶意软件工具与过去的Donot Team组织有关。 攻击者的opsec错误让调查人员发现了美国的一个“测试”服务器,攻击者在那里存储了来自受攻击安卓手机的截图和键盘记录数据。 这是国际特赦组织第一次看到英尼福实验室的IP地址。 国际特赦组织指出,英尼福实验室可能并不知道其客户或其他第三方是如何使用其工具的。然而,在全部技术细节曝光后,外部审计人员可能会披露一切。 在一封写给国际特赦组织的信中,英尼福实验室否认与Donot Team组织和攻击者的行动有任何关联。 “首先,我们坚决否认英尼福实验室与与Donot Team组织有关的间谍软件工具以及对多哥人权维护者的攻击之间存在任何联系。正如我们在之前的信中所述,我们并不了解Donot Team组织,也与他们没有任何关系。 在你2021年9月20日的信中,提到了一部小米红米5A手机,你称该手机访问了英尼福实验室的IP地址,还访问了一些其他私人VPN服务器,访问了乌克兰托管公司Deltahost。我们认为这部手机不属于任何与英尼福实验室有关的人。仅仅因为我们的IP地址被使用这部手机访问,并不意味着英尼福实验室实验室参与了任何所谓的活动”-英尼福实验室。 消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

攻击者使用 Python 勒索软件加密 VMware ESXi 服务器

Sophos报告称,最近观察到的一次攻击使用了基于python的勒索软件变种,目标是一个组织的VMware ESXi服务器,攻击者加密了所有虚拟磁盘。 攻击者使用了自定义Python脚本,该脚本一旦在目标组织的虚拟机管理程序上执行,就会使所有虚拟机脱机。 Sophos的安全研究人员解释说,攻击者相当迅速地执行了勒索软件:在最初的攻击大约三小时后,加密过程就开始了。 初始访问时,攻击者破坏了一个没有设置多因素身份验证的TeamViewer帐户,该帐户在一个具有域管理员凭据的用户的计算机的后台运行。 Sophos解释说,攻击者在该组织所在的时区等了30分钟后登录,然后下载并执行了一个工具来识别网络上的目标,然后他们顺利找到一个VMware ESXi服务器。 凌晨2点左右,攻击者获取了一个SSH客户端登录服务器,利用ESXi服务器上的内置SSH服务ESXi Shell,该服务可在ESXi服务器上进行管理。 在首次扫描网络3小时后,攻击者登录到ESXi Shell,复制Python脚本,然后对每个数据存储磁盘卷执行该脚本,从而对虚拟机的虚拟磁盘和设置文件进行加密。 该脚本只有6kb大小,但允许攻击者使用多个加密密钥、各种电子邮件地址以及要附加到加密文件的文件后缀对其进行配置。 根据Sophos的说法,该脚本包含多个硬编码加密密钥,以及生成更多密钥的程序,研究人员因此得出结论,勒索软件每次运行都会生成一个唯一的密钥。 因此,在这种特定的攻击中,由于攻击者对三个目标ESXi数据存储分别执行了脚本,因此为每个加密过程创建了一个新的密钥。该脚本不传输密钥,而是将它们写入文件系统,并使用硬编码的公钥进行加密。 “Python是预先安装在基于linux的系统(如ESXi)上的,这使得基于Python的攻击可能发生在这些系统上。ESXi服务器对勒索软件威胁者来说是一个有吸引力的目标,因为它们可以一次攻击多个虚拟机,其中每个虚拟机都可能运行关键业务应用程序或服务,”Sophos首席研究员Andrew Brandt说。   消息来源:SecurityWeek,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国考克斯媒体集团承认曾遭黑客网络攻击,但无个人信息泄露

美国媒体集团考克斯媒体集团(CMG)证实,该公司在2021年6月受到了勒索软件攻击,导致电视直播和广播流中断。 该公司昨天向800多名受影响的用户发送了数据泄露通知邮件,并在邮件中承认了这次攻击,据信这些用户的个人信息在这次攻击中可能被泄露。7月30日,该组织首先通过电子邮件通知了可能受影响的用户。 CMG表示:“在2021年6月3日,CMG经历了一次勒索软件事件,其中,一小部分服务器被恶意威胁者加密。” “CMG在同一天发现了这一事件,当时CMG发现某些文件被加密了,无法访问。” CMG在发现攻击后立即关闭了系统,并在外部网络安全专家的帮助下开始调查,并向联邦调查局报告了该事件。 自6月份的勒索软件攻击以来,CMG没有发现任何证据表明该事件导致了账户盗窃、欺诈或经济损失。 在攻击期间暴露的个人信息包括姓名、地址、社会安全号码、财务账号、健康保险信息、健康保险单号码、医疗状况信息、医疗诊断信息和在线用户凭证。 “CMG没有支付赎金或提供任何资金给此次事件的威胁行动者。”CMG称“自2021年6月3日以来,CMG的平台中没有发现任何恶意活动。” 事故发生后,该公司还采取了一些措施来提高系统的安全性,以检测和阻止进一步的入侵企图。 CMG解释说:“这些步骤包括多因素认证协议、执行全企业密码重置、部署额外的端点检测软件、重新成像所有终端用户设备,以及重建干净的网络。”   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

FontOnLake Rootkit 恶意软件攻击 Linux 系统

网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升级新功能。上传到VirusTotal的样本表明,可能最早在2020年5月,利用该威胁的入侵就发生了。 Avast和Lacework实验室正在追踪同样的恶意软件,其代号是HCRootkit。 ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强,再加上先进的设计和较低的攻击次数,都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击,这个恶意软件家族使用修改过的合法二进制文件,这些二进制文件被用以加载进一步的组件。事实上,为了隐藏它的存在,FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用,而且持续时间按比较长。” FontOnLake的工具集包括三个组件,包括木马版本的合法Linux实用程序,该程序用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统,在网络上秘密执行命令,并窃取帐户凭证。 后门的第二种排列还具有代理、操作文件、下载任意文件的功能,而第三个变体除了合并其他两个后门的功能外,还配备了执行Python脚本和shell命令的功能。 ESET表示,他们发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠,包括隐藏进程、文件、网络连接和自身,同时也能够执行文件操作,提取并执行用户模式的后门。 目前还不清楚攻击者是如何获得对网络的初始访问权限的,但这家网络安全公司指出,攻击背后的活动者“极度谨慎”,通过依赖不同的、特别的C2服务器和不同的非标准端口来避免留下任何痕迹。 Hrčka说:“攻击者对网络安全非常精通,这些工具可能在未来的活动中被重复使用。”“由于大多数功能的设计只是为了隐藏它的存在,中继通信,并提供后门访问,我们认为这些工具主要用于维护基础设施,以服务于其他未知的恶意目的。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

代码执行漏洞危及 Yamale Python 包——超200个项目受影响

在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞,攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8),涉及操作作为工具输入提供的架构文件,以绕过保护并实现代码执行。值得关注的是,问题存在于模式解析函数中,该函数允许对传入的任何输入进行求值和执行,从而导致一种情况,即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包,它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。 JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机,他们输入架构文件来执行Python代码注入,从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理,最好是用任务所需的更具体的API替换eval() call。” 经过该次披露,该漏洞已在Yamale 3.0.8版本中得到纠正。 这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月,Vdoo在PyPi存储库中披露了typosquatted包,发现这些包下载并执行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影响的系统上采集以太坊和Ubiq。 随后,JFrog安全团队发现了另外8个恶意的Python库,这些库被下载了不少于3万次,可以用来在目标机器上执行远程代码,收集系统信息,窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码,甚至窃取不一致认证令牌。 “软件包存储库正成为供应链攻击的热门目标,npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击,”研究人员说。“有时,恶意软件包被允许上传到包存储库,这给了恶意行为者利用存储库传播病毒的机会,并对开发人员和管道中的CI/CD机发起攻击。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索病毒组织 FIN12 采用新模式进行网络攻击

它的攻击目标主要是一些国外大型企业与机构,从这些大型企业获得高额的赎金,平均收入为60亿美元。 它能在2.5天内部署勒索软件,这速度比大多数组织都要快。 医疗保健组织是其主要目标之一。 这个活动频繁的勒索软件团伙是FIN12,因使用RYUK勒索恶意软件而为人所知,网络安全公司Mandiant称该组织与去年调查的约20% 的勒索软件攻击有关。 与一些勒索软件攻击组织不同,FIN12迄今为止似乎都是为了赚大钱——而且是很快的。“他们速度太快了。这就是他们的不同之处,”Mandiant 情报分析副总裁John Hultquist如此说道。 Mandiant 表示,FIN12似乎是一个讲俄语的组织,至少自2018年10月以来一直在活动。 FIN12专门从事勒索软件攻击。它与Trickbot团伙关系密切,自2020年2月以来,它在攻击中使用了 Cobalt Strike Beacon 工具,以及Trickbot和Empire工具。 Mandiant 在发布的关于FIN12一份报告中说,FIN12的大多数受害者通常都在北美,但它也向欧洲和亚太地区的组织投放勒索软件。大约20% 的 FIN12受害者是医疗保健组织。 美国政府官员最近一直在制定新的政策举措,以遏制勒索软件网络犯罪。就在本周,美国司法部(DoJ)成立了国家加密货币执法小组(National Cryptocurrency Enforcement Team) ,以打击非法使用加密货币的行为,因为加密货币是勒索软件运营商选择的匿名支付渠道。美国司法部还宣布了“民事网络欺诈倡议”(Civil Cyber-Fraud Initiative) ,以确保政府承包商公开其网络安全协议和网络攻击,从而保护相关机构免受与供应链相关的网络攻击。 在科洛尼尔管道运输公司遭受软件攻击之后,美国总统拜登在五月份发布了一项网络安全行政命令。即便如此,勒索软件攻击由于其利润丰厚和匿名性,数量也不会很快减少。本周,在华盛顿举行的 Mandiant 网络防御峰会上,Mandiant 公司首席执行官凯文•曼迪亚在一个主题问答环节中向国家安全局(NSA)局长、美国网络司令部司令Gen. Paul Nakasone提问,“五年后勒索软件是否仍将是一个巨大的威胁?”得到的回答是: “每一天。”庆幸的是美国政府正在加倍努力打击勒索软件。 但联邦调查局、研究人员和事件反应专家面临的难题是,揭露这些攻击的真正主谋越来越困难。他们不是勒索软件代码编写者,也不是 FIN12或其他勒索软件攻击部署组织,而是那些罪犯,他们目标定位精确,通过与 FIN12和其他组织签订合同向目标投放勒索软件。 根据 Mandiant 的说法,这种多层次、分阶段的网络犯罪攻击模式,使得接触或阻止与 FIN12和其他组织签约的犯罪分子变得更加困难。FIN12相对精简和快速部署勒索软件的模型就是这方面的一个典型案例。 “想象一下,如果我们有一个对手在这个领域造成了20% 的损失,而且主要集中在医疗保健方面,而我们还没有有效地识别它们,”Hultquist 说。由于 FIN12利用其他网络犯罪团伙的工作获得了对目标组织的初始访问权,他们可以集中精力部署 Ryuk 或其他勒索软件。Mandiant 公司认为,这种模式使得 FIN12能够在今年上半年将勒索软件的处理时间减少一半,短至2.5天,而在去年尚需5天。 “这些效率的提高可能至少部分归功于它们在攻击过程链中单一阶段的专业化,使它们能够更快地发展自己的专业技能。FIN12似乎也有意优先考虑速度,因为我们很少观察到这些威胁者从事数据盗窃勒索。“然而,这些威胁者也有可能会改变他们的行动,以便在未来更频繁地进行数据盗窃。例如,FIN12可以确定,相比勒索软件攻击造成的停机时间,某些行业更重视数据泄露的威胁,FIN12会选择对那些被认为具有特别高价值的目标使用这种策略。”   消息来源:DarkReading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意软件 ERMAC 从银行和钱包应用程序窃取数据

手机恶意软件Blackrock背后的威胁分子又回来了,他们携带了一种名为ERMAC的更恶毒的Android银行木马。据网络安全专家称,该恶意软件从银行和钱包应用程序中窃取金融数据。 荷兰网络安全公司ThreatFabric最先发现该Android恶意软件,据该公司报道,在8月底,恶意软件ERMAC伪装成谷歌Chrome开始了它的第一次主要活动。 自那以后,ERMAC攻击的范围扩大,包括银行应用程序、快递服务、政府应用程序、媒体播放器,甚至像McAfee这样的杀毒解决方案。 专家认为,黑客已经盯上了波兰。 “在写这篇博客的时候,我们发现ERMAC以波兰为目标,打着配送服务和政府应用的幌子分发,”ThreatFabric的首席执行官Cengiz Han Sahin在一篇博客文章中写道。 ERMAC几乎完全基于臭名昭著的银行业木马Cerberus。与它的原始恶意软件和其他银行恶意软件一样,ERMAC的开发目的是窃取联系信息和短信。 它还可以打开任意应用程序,并对大量金融应用程序执行叠加攻击,以获得登录凭证。这种银行恶意软件还具有一些功能,可以清除某个应用程序的缓存,并窃取存储在设备上的账户信息。 “ERMAC的行为再次表明,恶意软件源代码泄露不仅不会加速恶意软件组织的消失,还会给威胁环境带来新的攻击者/参与者,”Threatfabric说。 建立在Cerberus基础上的ERMAC引入了一些新功能。Threatfabric指出:“尽管它缺乏像RAT这样强大的功能,但它仍然对全世界的移动银行用户和金融机构构成威胁。” ThreatFabric还公布了ERMAC目标应用程序列表,包括Usługi Bankowe、WiZink、tu banco senZillo、桑坦德阿根廷、Touch 24 Banking BCR和Volksbank hausbanking。 许多应用软件,类似My AMP, Bankwest, CommBiz, CUA移动银行,汇丰澳大利亚分行,荷兰国际集团澳大利亚银行,麦格理认证,麦格理移动银行,ME银行,NAB移动银行,NPBS移动银行,myRAMS, Suncorp银行,UBank移动银行,CA移动,Tangering移动银行和Bitcoin&Ripple钱包,也包括在ERMAC目标应用的列表中。 在撰写本文时,网络安全公司已经列出了受到该恶意软件攻击名单,包括378个银行和钱包应用程序。   消息来源:IBTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Bloodstealer 木马:新的恶意软件访问玩家的游戏账号,窃取数据和密码

据一份最新报告显示,攻击者正在通过新的恶意软件访问玩家的Steam、GOG、Epic Games和EA Origin账户并窃取他们的信息。 网络安全公司卡巴斯基将这种恶意软件命名为“BloodyStealer”,并警告玩家,这种恶意软件能够从上述网站的会话数据和密码中获取信息。 据报道,该木马正在暗网和暗网论坛上做广告和出售,价格为每月10美元或“终身许可证”40美元。卡巴斯基公司于今年3月首次发现了“BloodyStealer”。 除了会话数据和密码,卡巴斯基的研究人员认为,BloodyStealer还可以抓取设备数据、桌面文件、银行信息、内存日志、BT种子文件和屏幕截图等信息。恶意软件收集的数据会被转移到远程服务器上,在那里它们最有可能通过Telegram频道或暗网平台变现。 卡巴斯基进一步透露,自从该恶意软件被发现以来,已经检测到它被用于攻击拉丁美洲、欧洲和亚太地区用户。 “与其他现存的恶意软件工具相比,BloodyStealer在市场上仍然是一个全新的工具;然而,通过分析现有的遥测数据,我们在欧洲、拉丁美洲和亚太地区发现了BloodyStealer,”卡巴斯基在一篇博客文章中指出。“在调查期间,我们发现BloodyStealer主要攻击家庭用户。” 当玩家下载有问题的文件或应用程序时,他们就很容易受到攻击,这些文件或应用程序大多带有允许他们在游戏中作弊的功能。也就是说,为了保护他们的设备免受BloodyStealer和其他恶意软件的攻击,玩家应该保持警惕,避免使用可疑的应用程序或文件,因为它们可能是恶意软件。 此外,对于玩家来说,使用双因素身份验证来保护自己的账户也是很重要的。如果想要获得游戏或注册与游戏相关的订阅,从官方网站获得这些内容是比较安全的。   消息来源:IBTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SAS 2021: FinSpy 监视工具再次出现,比以往更强大

在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。 周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的FinSpy木马之前,用来下载和部署进一步的负载。”   多种规避技术   新样品采用了多层规避策略。首先,根据分析,受害者下载并执行木马程序后,他们会受到两个组件的审查。第一个是“预验证器”,它运行多个安全检查,以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出,每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败,命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过,服务器将提供第二个组件,称为“后验证器”。它收集信息,使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图),并将其发送到其配置中指定的C2服务器。 卡巴斯基表示,C2服务器根据收集到的信息,决定是部署成熟的木马平台还是清除感染。 根据卡巴斯基的分析,如果FinSpy最终部署,它将被四个复杂的、定制的混淆器进行高度混淆。 研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。”   另一个规避策略是这样的,FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。 该研究称:“这种感染方法允许攻击者安装bootkit,而无需绕过固件安全检查。”“UEFI感染非常罕见,通常很难执行,由于其强规避性和持久性,它们格外难以处理。虽然在这种情况下,攻击者没有感染UEFI固件本身,但在它接下来的系统启动阶段,攻击是特别隐蔽的,因为恶意模块安装在一个单独的分区,可以控制受感染机器的启动过程。” Kuznetsov说,攻击者做了大量工作,使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上,这种间谍软件部署得非常精确,几乎不可能分析,这也意味着它的受害者特别很难有效防御,研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。”   高度模块化的FinSpy   卡巴斯基还研究了最新样本的性能,看看是否有进化,发现FinSpy的架构仍然高度模块化,但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。 Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面,包括协调器和所有插件,直到使用它们之前,所有内存页面都将保持加密。”“一旦需要执行代码或访问数据,那一个页面就会被解密。当不再需要它时,它就会被再次加密。” 他补充说,“这意味着,即使你制作一个受感染机器的实时内存图像,也很难在内存中找到木马,因为你能看到的唯一未加密的东西,只是这个隐藏程序的一小部分。” 根据分析,隐藏器还负责启动“协调器”,协调器是一个核心模块,将加载其余的功能和控制插件。Kuznetsov说,它或多或少与之前的样本相同,但它增加了一个名为“通信器”的新模块,这是一个硬编码的二进制文件,位于用于维护C2通信的协调器的资源部分。   另一个新模块是进程蠕虫。 “这不会在机器之间感染或传播。但是,它在机器内部传播,从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始,”Kuznetsov解释说。“它会在所有子进程中复制自己,所有受感染的子进程将与父进程保持通信。” 该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件,以实现数据收集目的。 “插件本身主要用来收集受害者的信息,”他说。“用于其他任务的插件并不多。” 有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件,任何通过IP (VoIP)软件的声音都可以录制下来。 “同样有趣的是,有一些数据取证工具可以找到已删除文件的信息,并存储已删除文件的历史。”Kuznetsov说,“还有一个非常独特的插件,利用了现代浏览器的除错功能。通过设置特定的环境变量,它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做,攻击者可以解密来自受害者的所有SSL通信。” 所有的信息都可以实时收集,并可以向攻击者直播或预先录制。研究人员指出,在启动感兴趣的应用程序时,数据收集也可以被触发。 有一件事是明确的:FinSpy仍在不断开发中,它的开发者已经花费巨大的努力来规避分析。 Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里,我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具,还完成了一份300页的报告。结论是什么?我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。”   消息来源:ThreatPost,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接