Cado安全实验室的研究人员最近发现了一种针对Redis数据存储公开访问部署的新型恶意软件，该恶意软件被开发者命名为“p2pinfect”，此软件由Rust 语言进行编写的，主要被用来充当僵尸网络代理。Cado研究人员在分析中发现：该软件还包含一个可移植嵌入式文件（PE）以及一个ELF可执行目标文件，这也表明了该软件可向Windows和Linux 进行跨平台兼容。 在发现时间至此文发布之前，Unit42 的研究人员还发表了一篇针对该恶意软件Windows变种的深入分析。他们发现：此次遇到的变体是通过利用CVE-2022-0543(Redis的某些版本中存在一个LUA沙盒逃逸漏洞)来传递的。Cado研究人员见证了一种不同的初始访问媒介，这也将在本文中进行进一步阐述。 P2Pinfect概述: 尝试多次利用Redis进行初始访问 利用Rust进行有效载荷开发，使得分析变得更加棘手 使用多种规避技术来阻碍动态分析 对Redis和SSH服务器进行互联网扫描 以类似蠕虫病毒的方式进行自我复制 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2099/ 消息来源：Cado Security，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2020年12月，总部位于德克萨斯州的IT监控管理平台 SolarWinds 遭到威胁行为组织 APT29(也被称为Nobelium、Cozy Bear和Midnight Blizzard)的攻击。该组织通过将恶意代码植入Orion（一款监控公司网络内各种组件的软件程序）软件程序成功入侵了该公司，随后发起了针对美国的大规模网络攻击。 当涉及到异常复杂的恶意软件攻击时，APT29 总是会被提及，而SolarWinds 的漏洞标志着威胁组织将持续进行恶意软件攻击。自从SolarWinds遭到攻击以来，APT也一直在对政府、国防、制造业和IT服务商们进行着攻击。在近期的攻击事件中，该组织通过利用着少有人知道的Windows功能，将目标瞄准了驻乌克兰的外交官们。以下为主要事件概述： 多年以来，俄罗斯黑客组织APT29参与了多项恶意软件攻击事件，而SolarWinds漏洞只是他们持续存在的开始。 2021年8月，APT29试图利用一个名为ProxyShell的Exchange漏洞集群(CVE-2021-31207, CVE-2021-34523, CVE-2021-34473)。 2021年10月，微软发布了关于APT29再次攻击全球IT服务商。该事件于2021年5月开始，目前确认已导致14起确认的泄密事件，波及范围包含 140家公司。 观察到APT29依赖于各种技术，包括密码喷射、API滥用、网络钓鱼和令牌盗窃，以获得凭证和对受害者系统的特权访问。 2022年，APT29与另一个“高度针对性”的恶意软件有关，该恶意软件能够持续访问受损环境。微软威胁情报团队将这一开命名为MagicWeb，并重申了APT29致力于开发和维护专用功能的承诺。 2022年，黑客组织APT29被发现利用了一个鲜为人知的Windows功能——凭据漫游(Credential Roaming)。这个漏洞是在对一个未指明的欧洲外交实体进行成功的网络钓鱼攻击后曝光的。 APT29在2023年4月的间谍活动中使用之前未记录的恶意软件攻击北约和欧盟成员国的外交部门。波兰军事反情报机构和波兰CERT (CERT. pl)发现了这一活动，其中包括APT29向外交人员发送鱼叉式网络钓鱼电子邮件。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2097/ 消息来源：avertium，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近日，美国联邦调查局和国际当局宣布，他们已成功拆除由克里姆林宫支持的一个臭名昭著的黑客组织使用了二十年的恶意软件植入程序。 美国司法部表示，它于周一获得法院授权，允许美国执法部门清除被称为“Snake”的恶意代码，该恶意软件与俄罗斯Turla黑客组织相关联 。Turla是一个长期隶属于俄罗斯联邦安全局 (FSB) 的组织。调查人员追踪该组织的活动到俄罗斯的一个 FSB 设施。 “我们认为这是他们的首要间谍工具。”一位联邦调查局高级官员在电话会议上告诉记者，并指出它已被部署用于对付北约国家和其他国家，目的是窃取美国的敏感信息。 “20年来，FSB 一直依靠 Snake 恶意软件对美国和我们的盟友进行网络间谍活动，但是今天结束了。”美国司法部国家安全部负责人助理司法部长马修奥尔森在一份声明中说。 根据公告发布的一份宣誓书，这项名为“美杜莎”的行动表面上剥夺了俄罗斯组织所依赖的工具。该工具“在全球至少 50 个国家/地区破坏了数百台计算机”。 FBI 官员说：“我们有能力将其关闭，然后公开向网络防御者提供保护其网络免受其攻击的能力，我们认为这使得 FSB 无法在此次行动后重组。” FBI 能够识别出 19 个与受感染的美国计算机相关的互联网协议 (IP) 地址，但该官员拒绝透露具体有多少美国计算机受到感染。这位官员透露，截至周一，Snake 已经“活跃起来”。 执法部门在周一获得合法许可后，FBI 部署了自己特制的工具，称为“Perseus”，允许该机构将命令发回恶意软件（该恶意软件自 2004 年推出以来经历了多次迭代）。此举导致 Snake 覆盖其核心组件，然后自毁。在希腊神话中，珀尔修斯杀死了蛇发美杜莎。 司法部依靠被称为规则Rule 41 程序的特别扣押令，从美国受害计算机中删除俄罗斯恶意软件。它过去曾做过两次：一个是扰乱 Hafnium 间谍活动并摧毁Cyclops Blink ；另一个是扰乱由俄罗斯情报部门控制的僵尸网络。 美国及其盟友发布了一份冗长的网络安全咨询，详细说明了 Snake 的工作原理以及如何缓解它。 美国国家安全局网络安全主管 Rob Joyce 在推特上写道：“这些技术细节将帮助行业政府在全球范围内找到并关闭恶意软件。” 谷歌云 Mandiant Intelligence Analysis 负责人 John Hultquist 在推特上表示：“Turla 黑客行动缓慢，他们似乎总是在幕后工作。这种破坏将是暂时的，但战争还在继续，现在是破坏敌人情报机构的最佳时机，当时他们正试图做出更好的决定以摆脱困境。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/RRsDZP9B_H_f0IUaV5rPzg 封面来源于网络，如有侵权请联系删除

近日，针对安卓系统的银行木马Xenomorph发布第三个版本，攻击力大增，其全新的自动转账系统（ATS）框架可以窃取全球400多家银行的用户账户。更可怕的是，该木马可以绕过包括身份验证器在内的多因素认证方法。 最先进、最危险的木马之一 2022年2月，ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本，累计下载量超过了5万次。 Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击，并滥用可访问性服务权限来执行通知拦截，以窃取一次性口令。 整个2022年，Xenomorph的作者“Hadoken Security”都在持续开发，但新版本的分发量很少。 虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构，更加模块化和灵活，但是“雷声大雨点小”，在野外只有短暂的测试活动。 但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕，该版本比以前的版本更加强大和成熟，能够自动窃取数据，包括凭据、账户余额、执行银行交易和完成资金转账。 “有了这些新功能，Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化，这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。 通过MaaS模式挣钱 ThreatFabric报告称，Hadoken很可能计划通过MaaS（恶意软件即服务）平台向网络犯罪组织出售Xenomorph，并且还推出一个推广新版恶意软件的网站（下图）。   目前，Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发，冒充货币转换器，并在用户安装恶意负载后切换到Play Protect图标。 威胁全球400多家银行 最新版本的Xenomorph针对全球400家金融机构，主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 目标银行的国家分布 数据来源：ThreatFabric Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。 ThreatFabric在其报告（链接在文末）的附录中列出了所有400家目标银行。 此外，Xenomorph还可攻击多达13个加密货币钱包，包括币安、BitPay、KuCoin、Gemini和Coinbase。 自动绕过多因素认证 新版Xenomorph最引人注目的新功能是ATS框架，能为网络犯罪分子自动提取受害者账户凭据，检查账户余额，进行交易以及从目标应用程序中窃取资金，而无需执行远程操作。操作员只需发送JSON脚本，Xenomorph将其转换为操作列表，并在受感染的设备上自主执行操作。 “Xenomorph的ATS执行引擎在竞争中脱颖而出，这主要是因为ATS脚本支持添加大量可编程操作，此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。 Xenomorph的ATS框架最危险也令人印象深刻的功能是：能够记录第三方身份验证应用程序的验证码，从而绕过MFA（多因素身份验证）保护。 Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码  来源：ThreatFabric 如今，全球越来越多的银行开始放弃不安全的短信多因素认证，转而建议客户使用身份验证器程序，但Xenomorph的新版本使得（同一部安卓手机安装的）身份验证器也变得不安全了。 Cookies窃取器 除此之外，新版Xenomorph还包含一个cookie窃取器，可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。 窃取器会启动一个浏览器窗口，其中包含启用了JavaScript界面的合法服务的URL，诱骗受害者输入登录详细信息。 通过窃取用户的cookie，攻击者可以劫持受害者的网络会话并接管他们的账户。 安全建议 虽然进入网络犯罪领域仅一年，但Xenomorph已经成为最危险的新恶意软件之一。 随着第三个版本的发布，Xenomorph对全球安卓手机用户的威胁大增。 除了需要降低对Google Play商店的信任外，安卓用户还需要意识到，基于身份验证器的多因素认证也未必靠谱，在安卓手机上已经可以被恶意软件绕过（建议将身份验证器程序和银行客户端程序安装在不同的设备上）。 最后，建议用户采用“最少可用原则”，手机上运行的应用程序数量尽可能少，并且仅安装值得信赖的供应商的应用程序。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/-atuaDQ7_ueOn6ZgAb2m6Q 封面来源于网络，如有侵权请联系删除

2022年11月28日，总部位于波士顿的威胁情报公司Recorded Future宣布其年度经常性收入(ARR)已超过2.5亿美元，成为全球最成功的SaaS公司行列。这标志着该公司的一个重要里程碑，并巩固了其作为不断增长的市场领导者的地位，证明情报对于抵御融合的威胁至关重要。 “这一成绩使得Recorded Future成为全球最大的情报公司。”Recorded Future的CEO Christopher Ahlberg激动宣称，“我们的成功证明了不断增长的情报市场及其在安全方面发挥的重要作用。” ARR和威胁情报SaaS订阅 ARR（Annual Recurring Revenue）即年度经常性收入，是衡量SaaS企业经营优劣的基本指标，一般是指SaaS的订阅模式这部分收入。ARR的特别之处在于收入的「经常性」，也就是说如果没有特别情况，这个收入明年会继续有（且数额也不会有太大的波动），因此ARR也经常被用作评判未来SaaS收入可衡量和可预测性的核心指标。 威胁情报业务中，符合SaaS订阅模式收入的可以分为TI Feed和TI Lookup两种常见形态，Recorded Future两者均支持。 关于Insight Partners Recorded Future于2019年5月被美国知名私募基金Insight Partners以7.8亿美金并购。 Insight Partners专注于软件领域的投资与并购，拥有超过25年的运营和投资经验，截至2022年2月24日管理的资产超过900亿美元。InsightPartners对安全领域非常关注，有众多成功的投资、IPO和退出记录，迄今Portfolio中依然还有57个安全公司，许多都是新兴技术领域的明星厂商，如OneTrust、Wiz、INKY、Aqua、Island等等。 威胁情报SaaS订阅在国内 TI Feed和TI Lookup这两种SaaS订阅模式，也同样被国内许多威胁情报厂商所采用。近年国内兴起的TI Inside合作生态，是订阅模式逐步走向成熟的一个例证。 转自 安全内参，原文链接：https://www.secrss.com/articles/49706 封面来源于网络，如有侵权请联系删除

Cyble研究和情报实验室（CRIL）一直在持续监控在野外新出现的活跃恶意软件家族。最近，CRIL观察到一种名为DuckLogs的新恶意软件，它执行多种恶意活动，如Stealer、Keylogger、Clipper、远程访问等。除此之外，CRIL还在野外观察到DuckLogs C&C服务器的多个活动实例，这表明恶意软件正在出现。 DuckLogs是MaaS（恶意软件即服务）。它窃取用户的敏感信息，如密码、cookie、登录数据、历史记录、加密钱包详细信息等，并将被盗数据从受害者的机器转移到其C&C服务器。 黑客可以使用“控制”模块控制受害者的机器，并执行以下活动： 在受害者机器中传输和执行其他文件。 在浏览器中打开任何网址。 关闭、重新启动、注销和锁定计算机。 从系统中卸载恶意软件。 发送消息。 执行DoS（拒绝服务）攻击。 显示蓝屏死机。 禁用鼠标和键盘输入等。 DuckLogs是一种独特的组合，将Stealer、Keylogger和Clipper恶意软件捆绑到一个恶意软件包中，可以在网络犯罪论坛中以相对较低的价格获得，使这种威胁对更广泛的潜在受害者构成危险。 Cyble研究和情报实验室将继续监控野外的新恶意软件，并更新博客，提供可操作的情报，以保护用户免受此类攻击。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2034/ 消息来源：CybleBlogs，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Cado实验室的研究人员最近发现黑客WatchDog重新出现。WatchDog是一个机会主义者，他们经常对各种云服务提供商托管的资源进行加密劫持攻击。 WatchDog在2022年6月瞄准了一个蜜罐，与这种类型的攻击一样，脚本一开始使用许多命令，旨在削弱受损的系统并删除监控工具。在删除Linux系统日志之前，黑客使用ulimit命令为当前用户配置资源限制，试图掩盖其踪迹。 在之前关于WatchDog活动的报告中，研究人员发现了一种独特的技术，即黑客用一个相当简单的shell脚本替换了常见的系统实用程序（如top和ps），该脚本用于从上述实用程序的输出中泄露任何攻击者拥有的进程。同样的技术也出现在这个新的有效载荷中。 目前WatchDog仍然活跃，并对腾讯和阿里云等云服务提供商的用户构成重大威胁。在分析过的shell脚本中可以看到这种黑客的几种典型技术，并且重新使用特定的Monero钱包使得归因相对容易。 用于删除TeamTNT可执行文件的代码的存在是一个有趣的观察。证据表明，以云为中心的加密劫持组织保持对当前威胁形势的最新了解，因此这可能表明WatchDog在其活动期间遇到了TeamTNT活动的证据。 前面提到WatchDog和类似的组织是机会主义的，很有可能这个恶意软件利用配置错误的云实例作为初始访问向量。这再次强调了某些云黑客可以轻易地破坏云资源，而且他们几乎不需要付出多少努力就可以使这一努力有利可图。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2022/ 消息来源：cadosecurity，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量，开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时，察觉到了这些活动，该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。 RomCom在其活动中模仿了以下产品：SolarWinds网络性能监视器，KeePass开源密码管理器和PDF Reader Pro。 RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS，英国受害者可能是一个新的目标，而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 （TOS） 和新创建的命令和控制 （C2） 的SSL证书。 为了应对攻击，RomCom黑客执行以下简化方案：从供应商处获取原始合法HTML代码进行欺骗，注册类似于合法域的恶意域，木马化合法应用程序，将恶意捆绑包上传到欺骗网站，向受害者部署有针对性的钓鱼电子邮件，或者使用其他感染者载体。 11月1日，该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动，滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时，攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。 RomCom RAT，古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织，于2022年4月出现。然而，考虑到目标的地理位置和特征，结合当前的地缘政治局势，目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2005/ 消息来源：BlackBerry，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2022 年 7 月，sentinelone报道了8220 Gang，这是众多低技能犯罪软件团伙之一，通过已知漏洞和远程访问暴力强迫感染媒介感染云主机。报告表示8220 Gang已将其云服务僵尸网络扩展到全球约的30000台主机。最近几周，该组织轮换了其攻击基础设施，继续将受感染的主机纳入其僵尸网络中，并分发加密货币挖掘恶意软件。 8220 Gang的攻击速度与之前报告的一致。大多数活动受害者仍在操作过时或配置错误的Docker、Apache、WebLogic版本以及各种Log4J易受攻击的服务版本。 报告发现8220 Gang使用PureCrypter恶意软件即服务。目前，8220 Gang正在尝试新的装载机和矿工，同时尝试对公开服务进行传统开采。围绕8220 Gang活动的脚本、矿工和基础设施源于对已知工具的普遍重用，对工具和脆弱性的高层分析揭示了更广泛的非法活动。 8220 Gang仍在继续他们的僵尸网络扩散工作，转向新的基础设施。该小组继续使用相同的采矿代理服务器，防御者应调查到该目的地的任何持续流量。此外，随着对PureCrypter MaaS的实验，该组织显然试图改进其攻击手段。由于云基础设施和常见的公共可访问服务仍然易受到攻击，该报告预计8220 Gang将在未来继续发展。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1986/ 消息来源：sentinelone，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

威胁情报研究机构 Cisco Talos 周四表示，其观察到 APT38（又名 Lazarus）在今年 2-7 月期间，针对美国、加拿大和日本的未具名能源供应商发起了攻击。研究发现，黑客利用了在 Log4j 中存在一年之久的漏洞（即 Log4Shell），来破坏暴露在互联网上的 VMware Horizon 服务器。 （来自：Cisco Talos） 通过在受害企业网络上建立初始立足点，然后部署被称作“VSingle”的定制恶意软件和“ YamaBot”，以建立长期持久的访问。 早些时候，YamaBot 已被日本国家网络应急响应小组（CERT）认定与 Lazarus APT 组织有关。 今年 4 月，Symantec 率先披露这一间谍活动的细节，并将该行动归咎于“Stonefly”—— 这是另一个与 Lazarus 有部分重叠、且有朝方背景的黑客组织。 此外 Cisco Talos 观察到了一个名为“MagicRAT”、此前从未见过的远程访问木马（RAT），可知黑客利用这个归属于 Lazarus Group 的木马而开展了侦查并窃取凭据。 Talos 研究人员 Jung soo An、Asheer Malhotra 和 Vitor Ventura 写道： 这些攻击的主要目标，可能是建立对目前网络的长期访问权限，以开展朝方支持的间谍活动。 这项活动与历史上针对关键基础设施和能源公司的 Lazarus 入侵相一致，旨在建立长期获取专有知识产权的途径。 【背景资料】 Lazarus Group 被认定为一个有朝方背景、且出于经济动机的黑客组织，其以 2016 年针对索尼的黑客攻击、以及 2017 的 WannaCry 勒索软件活动而出名。 最近几个月，该组织又将目光瞄向了区块链和加密货币组织，比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币。 后者是一个基于以太坊的侧链，专为《Axie Infinity》这款热门赚钱游戏而设计。7 月，美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1314237.htm 封面来源于网络，如有侵权请联系删除