由安全专家、研究人员和网络工程师们组成的 Zscaler ThreatLabz 团队，刚刚曝光了一款名为 Win32.PWS.FFDroider 的新型恶意软件。据悉，这款基于 Windows 平台的恶意软件，能够创建一个名为 FFDroider 的注册表项，并将窃取到的凭据和 cookie 发送到被攻击者把持的命令与控制（C&C）服务器。 （图自：Zscaler ThreatLabz） 研究团队发现，FFDroider 恶意软件会将自己伪装成热门消息应用“电报”（Telegram）。 命名与控制服务器记录（初始请求包括了受感染主机的文件名和 IP 地址） 在受害者访问设备时，FFDroider 会开始通过各大浏览器（包括 Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge）窃取 cookie 和凭据。 显示被盗 Instagram 账户信息的加密请求 FFDroider 不仅会利用盗取来的 cookie 登录受害者使用的社交媒体平台以提取更多个人敏感信息，还会通过展示虚假广告来诱骗受害者输入他们的敏感信息，结果导致进一步的攻击。 包含来自受感染的 Facebook Cookie 的被盗信息的解密请求 深入分析发现，FFDroider 广泛针对 Facebook / Instagram / Twitter 等社交平台、以及亚马逊 / eBay / Etsy 等电商网站的用户发起了攻击。 从 Instagram 窃取的敏感数据的解密请求 为避免造成更大的损失，Zscaler 团队呼吁大家不要通过来路不明的渠道下载 Telegram 应用程序、并设置必要的安全防护措施 —— 包括保持计算机软件更新至最新状态、以及对社交媒体账户设置双因素身份验证。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257739.htm 封面来源于网络，如有侵权请联系删除

在 ESET 和微软研究人员的帮助下，乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中，它们发现了 Industroyer 的新变种，它是一个臭名昭著的恶意软件，在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。 乌克兰政府计算机应急小组（CERT-UA）表示，该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击，包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。 CERT-UA 解释说：“受害组织遭受了两波攻击。最初的妥协发生在 2022 年 2 月之前。变电站的断电和公司基础设施的退役被安排在2022年4月8日星期五晚上进行。同时，到目前为止，恶意计划的实施已经被阻止了”。 ESET在关于这一情况的解释中说，它还看到攻击者使用了其他几个破坏性的恶意软件家族，包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。 ESET说，它不确定攻击者是如何入侵最初的受害者的，也不确定他们如何设法从IT网络转移到工业控制系统（ICS）网络。但CERT-UA说，攻击者能够”通过创建SSH隧道链”在不同网段之间横向移动。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257667.htm 封面来源于网络，如有侵权请联系删除

微软透露，它已经控制了由一个与俄罗斯有联系的黑客实体（称为Strontium）控制的七个互联网域名。据该公司称，这些域名被用于对乌克兰机构的网络攻击，如新闻媒体组织以及美国和欧盟涉及外交政策的政府机构和智囊。 在微软于4月6日获得法院命令后，这些域名被查封。微软长期以来一直在对付Strontium，并且已经有了一个框架可以迅速获得法院命令对该组织的黑客活动采取行动。在控制了这些域名之后，微软已经将这些域名重新定向到它所运行的一个停靠站，以保证用户的安全并通知攻击的受害者。 微软客户安全与信任部企业副总裁汤姆-伯特说： “这次协助执法是2016年开始的一项持续的长期投资的一部分，目的是采取法律和技术行动，查封被Strontium使用的基础设施。我们已经建立了一个法律程序，使我们能够迅速获得法院对这项工作的裁决。在本周之前，我们已经通过这一程序采取了15次行动，获得了100多个Strontium控制的域的控制权。” 虽然微软能够解决Strontium的最新攻击是件好事，但该公司承认，这只是应对乌克兰网络战的一小部分。尽管如此，微软继续与该国的组织合作，以解决自俄罗斯入侵开始以来不断升级的网络攻击。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255821.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SonicWall 发布了安全更新，其中包含一个跨多个防火墙设备的关键漏洞，未经身份验证的远程攻击者可以将其武器化，以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录，这个问题被描述为SonicOS的 web 管理界面中基于堆栈的缓冲区溢出，可以通过发送特制的 HTTP 请求触发，导致远程代码执行或 DoS。 该漏洞影响了31个不同的 SonicWall 防火墙设备，这些设备运行的版本分别是7.0.1-5050和更早版本，7.0.1-r579和更早版本，以及6.5.4.4-44v-21-1452和更早版本。Hatlab 的ZiTong Wang报道了这一事件。 这家网络安全公司表示，目前还没有发现任何利用该漏洞进行主动攻击的实例，而且迄今为止也没有公开报道过PoC或恶意使用该漏洞的情况。 尽管如此，建议受影响的用户尽快应用补丁，以减少潜在的威胁。在修复程序到位之前，SonicWall 还建议客户限制SonicOS对可信源 IP 地址的管理访问。 网络安全公司 Sophos 警告说，其防火墙产品中的一个关键认证绕过漏洞(CVE-2022-1040，CVSS 得分: 9.8)，已被用于对南亚一些组织的攻击。 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

 Hackernews 编译，转载请注明出处： 从2021年6月，一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关，该攻击使用了一种基于 windows 的远程访问木马，名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性，以及他们的核心目标是建立长期间谍渠道。” 上个月，该APT组织扩展了它的恶意软件工具集，用一个名为 CapraRAT的后门侵入了安卓设备，这个后门与 CrimsonRAT 有很高的“重合度”。 Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载，有效负载包含一个基于 python 的存储器，用于安装基于 .NET的侦察工具和RAT，以及一个原装的基于 .NET的植入，在受感染的系统上运行任意代码。 除了不断改进他们的部署策略和恶意功能，透明部落黑客依赖于各种各样的分发方法，例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序，以攻击印度实体和个人。 其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序，Kavach是一个印度政府授权的双因素身份验证解决方案，用于访问电子邮件服务。 另外还有 covid-19主题的诱饵图像和 VHD格式文件，这些文件被用作从远程命令和控制服务器（比如CrimsonRAT）检索额外有效载荷的发射台，CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。 研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件，以适应各种紧急操作，这表明该组织具有攻击性、持久性、灵活性，并不断改进他们的策略，以感染目标。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

不少 WordPress 网站正在遭受黑客们的攻击，通过注入的恶意脚本，利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天，MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本，针对十个网站进行分布式拒绝服务（DDoS）攻击。 这些网站包括乌克兰政府机构、智囊团、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰的网站。 目标网站的完整清单如下。 https://stop-russian-desinformation.near.page https://gfsis.org/ http://93.79.82.132/ http://195.66.140.252/ https://kordon.io/ https://war.ukraine.ua/ https://www.fightforua.org/ https://bank.gov.ua/ https://liqpay.ua https://edmo.eu 当加载时，JavaScript 脚本将迫使访问者的浏览器对列出的每个网站执行 HTTP GET 请求，每次不超过 1000 个并发连接。DDoS攻击将在后台发生，而用户不知道它正在发生，只是他们的浏览器会变慢。这使得脚本能够在访问者不知道他们的浏览器已被用于攻击的情况下进行 DDoS 攻击。 对目标网站的每个请求都将利用一个随机查询字符串，这样请求就不会通过 Cloudflare 或 Akamai 等缓存服务提供，而是直接由被攻击的服务器接收。例如，DDoS 脚本将在网站服务器的访问日志中产生类似以下的请求。 “get /?17.650025158868488 http/1.1” “get /?932.8529889504794 http/1.1” “get /?71.59119445542395 http/1.1” BleepingComputer 只找到了几个感染了这种 DDoS 脚本的网站。然而，开发者 Andrii Savchenko 表示，有数百个 WordPress 网站被破坏，以进行这些攻击。Savchenko 在Twitter上说：“实际上大约有上百个这样的网站。都是通过WP漏洞。不幸的是，许多供应商/业主没有反应”。 在研究该脚本以寻找其他受感染的网站时，BleepingComputer 发现，亲乌克兰的网站 https://stop-russian-desinformation.near.page，也在使用同样的脚本，用于对俄罗斯网站进行攻击。在访问该网站时，用户的浏览器被用来对67个俄罗斯网站进行 DDoS 攻击。 虽然这个网站澄清它将利用访问者的浏览器对俄罗斯网站进行DDoS攻击，但被攻击的WordPress网站在网站所有者或其访问者不知情的情况下使用了这些脚本。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1252613.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个名为“RED-LILI”的攻击者发布了近800个恶意模块，与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常，攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次，攻击者似乎已经完全自动化了 NPM 帐户的创建过程，并且开设了专用帐户，每个包一个账户，这使得他的新恶意软件包更难被发现。” 这些发现建立在 JFrog 和  Sonatype 近期的报告的基础上，这两份报告详细介绍了数百个 NPM 软件包，这些软件包利用依赖项混淆和类型定位等技术来针对 Azure、 Uber 和 Airbnb 的开发者。 根据对 RED-LILI 作案手法的详细分析，异常行为的最早痕迹发生在2022年2月23日，在一周的时间里，大量恶意软件包呈爆发式分发。 具体来说，将rogue库上传到 NPM (Checkmarx 称之为“工厂”)的自动化过程包括同时使用自定义 Python 代码和 Selenium 等 web 测试工具，以模拟所需的用户操作，好在注册表中复制用户创建过程。 为了通过 NPM 设置的一次性密码验证屏障，攻击者利用一个名为Interactsh 的开放源码工具将 NPM 服务器发送的 OTP 提取到注册过程中提供的电子邮件地址，高效地使帐户创建请求成功。 有了这个全新的 NPM 用户帐号，攻击者接着以自动的方式创建和发布一个恶意软件包，每个帐号只有一个，但不是在创建访问令牌之前，以便在不需要电子邮件 OTP 验证的情况下发布软件包。 研究人员说: “随着供应链攻击者提高他们的技能，防御者的工作会更加艰难，这次攻击标志着他们技术取得了极大进步。”“通过将软件包分发在多个用户名之间，攻击者使防御者更难将它们联系起来，并一举解决它们。而且，通过这种方式，设备会更容易被感染。” 消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户，一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此，毫无戒心的用户可能很容易成为受害者，而Vidar是一个偷窃数据的恶意软件，可以窃取被利用者的信息。 微软编译的HTML帮助（CHM）文件虽然现在已经不常见，但总是会有人希望寻求“帮助”，这个恶意的Vidar CHM恶意软件以ISO格式通过电子邮件散播，该ISO被伪装成一个”require.doc”文件。 在这个 request.doc ISO文件中包含几个恶意文件，一个被称为”pss10r.chm”的微软帮助文件（CHM）和一个被称为”app.exe”的可执行文件。一旦用户被骗提取这些文件，用户的系统就会被破坏。前者即”pss10r.chm”实际上是一个一般的合法文件，但附带的exe文件却是臭名昭著的Vidar，Vidar是偷窃者恶意软件，从浏览器等地方窃取信息和数据。该活动类似于我们在2月份了解到的RedLine恶意软件活动。 下面是一个合法的”pss10r.chm”与这个Vitar活动中使用的恶意文件的对比图片。 恶意CHM的目的是运行另一个文件，即包含Vidar恶意软件的app.exe，以成功传递恶意软件载荷。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1251141.htm 封面来源于网络，如有侵权请联系删除

据熟悉此事的人士透露，以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件，因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后，这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解–并跟美国的优先事项相矛盾。 自俄罗斯于2月24日对乌克兰采取军事行动以来，乌克兰总统沃洛基米尔·泽伦斯基一直在批评以色列的立场。他在最近对以色列议会议员的讲话中称，以色列必须“给出答案”来说明其没有向乌克兰提供武器或对俄罗斯人实施制裁的原因。 据直接了解此事的人透露，这至少可以追溯到2019年，当时，乌克兰官员游说以色列以试图说服以色列许可乌克兰使用间谍软件工具。但这些努力遭到拒绝，受以色列国防部监管的NSO集团从未被允许向乌克兰推销或出售该公司的间谍软件。 据了解，当飞马被成功地部署在一个目标上时，它可以被用来入侵任何移动电话、拦截电话对话、阅读文本信息或查看用户的照片。另外它还可以被用作远程监听设备，因为间谍软件的政府用户可以用它来远程开启和关闭移动电话录音机。 最近的新闻报道都集中在NSO的政府客户如何使用间谍软件–包括飞马–来攻击世界各地的记者和人权维护者。该联盟的报告还表明，从匈牙利到沙特阿拉伯，飞马的销售跟以色列的外交政策相一致。 从西班牙到法国再到乌干达，该间谍软件还被用来对付高级政府和外交官员，这些案例被认为是一些国家试图利用该工具进行国内或国际间谍活动。 NSO表示，其间谍软件是为了让政府客户用来对付严重的罪犯和恐怖分子。另外它还表示，它对滥用的严重指控有展开调查。 知情人士透露，在大多数常规情况下，以色列国防部首先是允许NSO向政府客户销售飞马软件的，然后进行审查以确定究竟是允许还是阻止交易的进一步发展。 一位乌克兰高级情报官员指出，以色列的决定让乌克兰官员感到“困惑”。这名官员表示，他并不完全了解乌克兰为什么被拒绝使用这一强大的间谍工具，但他补充称，他相信美国政府支持乌克兰的努力。 接近此事的消息人士表示，以色列的决定反映了它不愿意激怒俄罗斯，而俄罗斯跟以色列有着密切的情报关系。消息人士称，以色列担心授予乌克兰通过飞马瞄准俄罗斯手机号码的能力会被视为对俄罗斯情报部门的一种侵略行为。 这并不是唯一一次俄罗斯的主要地区敌人之一被拒绝进入飞马的一些权限。熟悉此事的人说，爱沙尼亚作为北约成员国，在2019年获得了飞马的使用权，但在当年8月被NSO告知，该公司不允许爱沙尼亚官员使用间谍软件来打击俄罗斯目标。 爱沙尼亚国防部女发言人Susan Lilleväli拒绝就此事发表评论。 不过NSO在回答一组详细的问题时发表了一份单行声明–“NSO继续受到有关所谓客户的不准确的媒体报道，这些报道是基于道听途说、政治暗示和不实之词。” 以色列国防部周二也对一连串的问题做出了回应，不过其发表的声明并没有直接解决大多数问题。声明说道：“以色列国根据2007年《国防出口管制法》对网络产品的营销和出口进行监管。” 另外它还补充称：“有关出口管制的政策决定考虑到了安全和战略因素，其中包括遵守国际安排。作为一项政策，根据获取政府提供的最终用途/最终用户声明，以色列国只批准向政府实体出口网络产品，用于合法用途并且只用于预防和调查犯罪和打击恐怖主义的目的。” 乌克兰官员拒绝对飞马或其寻求强大监控技术的整体努力发表评论。但主管乌克兰数字技术的副总理Mykhailo Fedorov表示：“以色列政府目前没有参与任何有关进攻性技术的讨论或促进，但我们与市场上的许多以色列公司有持续的对话，并且它们处于不同阶段。但我还是要说：我们有足够的能力继续获胜，我们每天都在增加新的工具，包括新兴工具。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/science/1251117.htm 封面来源于网络，如有侵权请联系删除