分类: 恶意软件

鼠标悬停也能中招!带毒 PPT 正用来传播 Graphite 恶意软件

据Bleeping Computer网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。 攻击者使用PPT 文件引诱目标,内容据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。PPT 文件包含一个超链接,作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。 含恶意脚本的PPT文件 感染链 来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档”并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:\ProgramData\”目录中,随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。 触发执行恶意代码 接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。 Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。 Graphite 使用的固定客户端 ID 研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。 “如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。 总结下来,Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。研究人员表示,攻击者的目标是欧盟和东欧国家国防和政府部门实体,并认为间谍活动已在进行中。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/345682.html 封面来源于网络,如有侵权请联系删除

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始,Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ,伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外,Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件,如下图 11所示。APT29 最初使用此例程是用于二进制数组,这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络,如有侵权请联系删除

安全公司 Bitdefender 无偿放出 LockerGoga 勒索软件解密器

响应 NoMoreRansom Initiative 活动号召,罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器,LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现,以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro,导致这家挪威铝制造商停产近一周,损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称,LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击,造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态,当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示,逮捕后,警方花了几个月的时间检查突袭期间收集的数据,并发现了该组织的加密密钥,以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示:“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时,通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥,根据我们与相关执法部门的合作,这些密钥已私下与我们共享”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络,如有侵权请联系删除

Emotet 僵尸网络开始分发 Quantum 和 BlackCat 勒索软件

Hackernews 编译,转载请注明出处: 在Conti今年正式退出威胁领域后,包括Quantum和BlackCat在内的勒索软件即服务 (RaaS) 组织现在正在利用Emotet恶意软件。 Emotet于2014年开始作为银行木马,但随着时间的推移,该恶意软件已成为巨大的威胁,它能够将其他有效负载下载到受害者的机器上,从而允许攻击者远程控制它。 尽管与侵入性恶意软件加载程序相关的基础设施在2021年1月作为执法工作的一部分被拆除,但据说Conti勒索软件卡特尔在去年年底发挥了重要作用。 AdvIntel在上周发布的一份咨询报告中表示:“从2021年11月到2022年6月Conti解散,Emotet是Conti独有的勒索软件工具,然而,Emotet感染链目前被归咎于Quantum和BlackCat。” 典型的攻击序列需要使用Emotet(又名SpmTools)作为初始访问向量来投放Cobalt Strike,然后将其用作勒索软件操作的后利用工具。 臭名昭著的Conti勒索软件团伙可能已经解散,但它的一些成员仍然一如既往地活跃,要么是BlackCat和Hive等其他勒索软件团队的成员,要么是专注于数据勒索和其他犯罪活动的独立团体。 Quantum也是Conti的一个衍生组织,在随后的几个月里,它利用了回调网络钓鱼技术(称为BazaCall或BazarCall)来突破目标网络。 Recorded Future在上个月发布的一份报告中指出:“Conti附属公司使用各种初始访问媒介,包括网络钓鱼、凭据泄露、恶意软件分发和利用漏洞。” AdvIntel表示,自今年年初以来,它在全球范围内观察到超过1267000例Emotet感染病例,活动高峰出现在2月和3月,恰逢俄罗斯入侵乌克兰。 由于Quantum和BlackCat等勒索软件集团的使用,感染人数在6月至7月间再次激增。这家网络安全公司获取的数据显示,Emotet攻击最多的国家是美国,其次是芬兰、巴西、荷兰和法国。 ESET此前报告称,与2021年9月至12月的前四个月相比,2022年前四个月的Emotet检测数量增加了100倍。 据以色列网络安全公司Check Point称,Emotet在2022年8月最流行的恶意软件列表中从第一名跌至第五名,仅次于FormBook、Agent Tesla、XMRig和GuLoader。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

新的恶意软件包通过 YouTube 视频自我传播

Bleeping Computer 网站披露,一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法,这些上传的视频中包含了下载破解和作弊器的链接,但是受害者安装的却是能够自我传播的恶意软件包。 据悉,恶意软件捆绑包已经在YouTube视频中广泛传播,其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。 恶意软件RedLine 卡巴斯基在一份报告中指出,研究人员发现一个 RAR 档案中包含了一系列恶意软件,其中最引人注目的是 RedLine,这是目前最大规模传播的信息窃取者之一。 RedLine 可以窃取存储在受害者网络浏览器中的信息,例如 cookie、账户密码和信用卡,还可以访问即时通讯工具的对话,并破坏加密货币钱包。 除此之外,RAR 档案中还包括一个矿工,利用受害者的显卡为攻击者挖掘加密货币。 由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe,当启动时,所有的可执行文件都会被隐藏,不会在界面上生成窗口或任何任务栏图标,所以受害者很难发现这些情况。 YouTube上自我传播的RedLine 值得一提的是,卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制,该机制允许恶意软件自我传播给互联网上的其他受害者。 具体来说,RAR包含运行三个恶意可执行文件的批处理文件,即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”,它们可以执行捆绑的自我传播。 RAR中包含的文件(卡巴斯基) 第一个是 MakiseKurisu,是广泛使用 C# 密码窃取程序的修改版本,仅用于从浏览器中提取 cookie 并将其存储在本地。 第二个可执行文件“download.exe”用于从 YouTube 下载视频,这些视频是宣传恶意包视频的副本。这些视频是从 GitHub 存储库获取的链接下载的,以避免指向已从 YouTube 报告和删除的视频 URL。 宣传恶意软件包的YouTube视频(卡巴斯基) 第三个是“upload.exe ”,用于将恶意软件推广视频上传到 YouTube。使用盗取的 cookies 登录到受害者 YouTube 账户,并通过他们的频道传播捆绑的恶意软件。   上传恶意视频的代码(卡巴斯基) 卡巴斯基在报告中解释,[upload.exe]使用了 Puppeteer Node 库,提供了一个高级别 API,用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge。当视频成功上传到 YouTube 时,upload.exe 会向 Discord 发送一条信息,并附上上传视频的链接。 生成Discord通知(卡巴斯基) 如果YouTube频道所有者日常不是很活跃,他们不太可能意识到自己已经在 YouTube 上推广了恶意软件,这种传播方式使 YouTube 上的审查和取缔更加困难。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/344691.html 封面来源于网络,如有侵权请联系删除

新兴的跨平台 BianLian 勒索软件攻击正在提速

新兴跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制(C2)基础设施,这一发展暗示着该组织的运营节奏正在提速。 使用Go编程语言编写的BianLian勒索软件于2022年7月中旬首次被发现,截至9月1日已声称有15个受害组织。 值得注意的是,这一新兴的双重勒索勒索软件家族与同名的Android银行木马没有联系,后者主要针对移动银行和加密货币应用程序窃取敏感信息。 安全研究人员Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介绍称, “该勒索软件对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞实现的,利用它来删除web shell或ngrok有效负载以进行后续活动。BianLian还将SonicWall VPN设备作为攻击目标,这是勒索软件组织的另一个常见目标。” 与另一个名为“Agenda”的新Golang恶意软件不同,BianLian攻击者从初始访问到实施加密的停留时间最长可达6周,这一持续时间远高于2021年报告的15天入侵者停留时间的中值。 除了利用离地攻击(living-off-the-land,LotL)技术进行网络分析和横向移动外,该组织还部署定制植入物作为维持对网络的持久访问的替代手段。 据研究人员介绍,后门的主要目标是从远程服务器检索任意有效负载,将其加载到内存中,然后执行它们。 BianLian与Agenda类似,能够在Windows安全模式下启动服务器以执行其对文件加密恶意软件,同时不被系统上安装的安全解决方案检测到。 为消除安全障碍而采取的其他步骤包括删除卷影副本、清除备份以及通过Windows远程管理(WinRM)和PowerShell脚本运行其Golang加密器模块。 据报道,已知最早的与BianLian相关的C2服务器于2021年12月出现在网络上。但此后,该C2基础设施经历了“令人不安的扩张”,现已超过30个活跃IP地址。 网络安全公司Cyble在本月早些时候详细介绍了该勒索软件的作案手法,据Cyble称,该勒索软件的目标组织跨越多个行业,如媒体、银行、能源、制造、教育、医疗保健和专业服务等。而且大多数组织位于北美、英国和澳大利亚。 BianLian是网络犯罪分子继续使用跳跃战术(hopping tactics)以避免被发现的又一迹象。它还增加了使用Go作为基础语言的越来越多的威胁,使攻击者能够在单个代码库中进行快速更改,然后可以针对多个平台进行编译。 研究人员补充道,BianLian已经证明自身擅长使用离地攻击(LOtL)方法来横向移动,并根据他们在网络中遇到的防御能力来调整操作。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/343832.html 封面来源于网络,如有侵权请联系删除

新型隐形恶意软件 Shikitega 正针对 Linux 系统

据Security affairs 9月7日消息,AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega,它以端点和物联网设备为目标实施多阶段感染,以达到能够完全控制系统并执行其他恶意活动,包括加密货币挖掘。 Shikitega操作流程 该恶意软件的主要释放器是一个非常小的 ELF 文件,其总大小仅为 370 字节左右,而其实际代码大小约为 300 字节。专家报告称,Shikitega 能够从 C2 服务器下载下一阶段的有效载荷并直接在内存中执行。通过利用 Metasploit 中最流行的编码器Shikata Ga Nai ,恶意软件会运行多个解码循环,每一个循环解码下一层,直到最终的 shellcode 有效负载被解码并执行。 Shikitega 利用 CVE-2021-4034(又名 PwnKit)和 CVE-2021-3493漏洞来提升权限,并在 root 权限执行的最后阶段保持持久性。 由于Shikitega使用多态编码器来逐步实现有效负载,其中每个步骤仅显示总有效负载的一部分。这一“低调”操作让Shikitega避免被反病毒引擎检测到。 除了Shikitega,近来在野外发现的 Linux 恶意软件正越发多样,包括BPFDoor、Symbiote、Syslogk、OrBit和 Lightning Framework等。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344056.html 封面来源于网络,如有侵权请联系删除

洛杉矶联合学区遭勒索软件攻击,多项服务出现中断

洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。 本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。 该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。 LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1313305.htm 封面来源于网络,如有侵权请联系删除

QNAP 警告新的 DeadBolt 勒索软件攻击利用 Photo Station 漏洞

Hackernews 编译,转载请注明出处: QNAP发布了一项新的公告,建议其网络连接存储(NAS)设备的用户升级到最新版本的Photo Station。此前,又一轮DeadBolt勒索软件攻击在野外肆虐,利用了软件中的零日漏洞。 这家台湾公司表示,它在9月3日检测到了这些攻击,并表示该活动似乎针对运行Photo Station且暴露在互联网上的QNAP NAS设备。 该问题已在以下版本中得到解决: QTS 5.0.1:Photo Station 6.1.2及更高版本 QTS 5.0.0/4.5.x:Photo Station 6.0.22及更高版本 QTS 4.3.6:Photo Station 5.7.18及更高版本 QTS 4.3.3:Photo Station 5.4.15及更高版本 QTS 4.2.6:Photo Station 5.2.14及更高版本 目前该漏洞的细节尚不清楚,该公司建议用户禁用路由器上的端口转发,防止NAS设备在互联网上访问,升级NAS固件,为用户帐户应用强密码,并定期备份以防止数据丢失。 自2022年1月以来,这是针对QNAP设备第四轮DeadBolt攻击的最新进展,随后在5月和6月发生了类似的入侵。 该公司表示:“QNAP NAS不应该直接连接到互联网。我们建议用户使用QNAP提供的myQNAPcloud Link功能,或启用VPN服务。这样可以有效加固NAS,降低被攻击的几率。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

黑山出现持续的勒索软件威胁,美国大使馆罕见发出网络安全警报

美国驻黑山大使馆警告居留当地的美国人,该国正在进行的勒索软件攻击可能会对该国关键的公共服务和政府服务造成广泛的破坏。黑山国家安全局(ANB)上周首次证实了这一勒索软件攻击,其目标是政府系统和其他关键的基础设施和公用事业,包括电力、水系统和交通系统。在撰写本报告时,黑山政府的官方网站无法使用,由于攻击,甚至数个发电厂都已经转为手动操作。 然而,黑山的官员声称没有数据被盗,并声称没有设施因为这次攻击而造成永久性损害。ANB宣称,该国正处于”混合战争”之下,并将这次攻击归咎于俄罗斯协调的对抗行为。自黑山于2017年加入北约以来,两国的关系一直很紧张,之后俄罗斯威胁要采取报复行动。 此后,美国驻黑山大使馆发布了安全警报,表示黑山政府正面临着一场”持续不断的”网络攻击。”大使馆警告说:”攻击可能包括对公共事业、交通(包括边境口岸和机场)和电信部门的干扰。建议居住在巴尔干国家的公民限制旅行,审查个人安全计划,并注意周围的环境”。 根据恶意软件研究小组VX-Underground的说法,Cuba勒索软件集团声称对这次攻击负责。在其暗网泄露网站上,Cuba勒索软件集团声称它在8月19日从黑山议会获得了”财务文件、与银行雇员的通信、账户变动、资产负债表、税务文件、赔偿金[和]源代码”。 黑山自8月20日以来总理职位一直空缺,当时该国议会投票通过了对执政政府的不信任案,从而导致政府倒台。 网络安全公司Profero此前将Cuba勒索软件集团与讲俄语的黑客联系起来,研究人员在该集团与受害者谈判时观察到了这一点。但Profero表示,它相信该组织”不是国家支持的”。 这个勒索软件团伙自2019年以来一直存在,去年联邦调查局发布了一份警报,警告各组织,网络犯罪分子一直以关键基础设施为目标。联邦调查局表示,它已经观察到大约50个目标实体,黑客向受害者索要了数千万美元。 对黑山的攻击发生在与俄罗斯有联系的Conti勒索软件集团在4月开始的长达数周的攻击中攻击哥斯达黎加政府后仅几个月。在其暗网泄密博客上发布的一条信息中,Conti敦促哥斯达黎加公民向他们的政府施压以支付赎金,该组织后来将赎金翻倍至2000万美元。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1310931.htm 封面来源于网络,如有侵权请联系删除