来自Adlumin威胁研究的研究人员发现了一个新的恶意PowerShell脚本，被称为PowerDrop，被用于针对美国航空航天领域的组织的攻击。 这种基于PowerShell的恶意软件使用先进的技术来躲避检测，包括欺骗、编码和加密。 Adlumin在发表的分析报告中说：目前尚不确定该恶意软件背后的攻击者，但介于俄乌战争仍在持续且NASA一直在增加导弹发射的研发，所以攻击者可能是带有民族倾向的。 研究人员于2023年5月在一家国内航空航天国防承包商的网络中发现了PowerDrop into。 这个名字来自Windows PowerShell工具，Drop来自代码中用于填充的DROP（DRP）字符串。 该恶意软件被用来在受感染的系统上远程执行命令，并从目标网络收集信息。恶意脚本向C2发送互联网控制消息协议（ICMP）回波请求消息，而C2则回复类似的ICMP ping以进行数据渗透。 报告还说道：使用PowerShell进行远程访问并不新鲜，基于WMI的PowerShell脚本的持久性或ICMP触发也不新鲜，但这种恶意软件的新颖之处在于，以前没有出现过类似的代码，它跨越了认知。 Adlumin建议航空航天国防工业的组织对PowerDrop保持警惕。该公司也敦促在Windows系统的核心运行漏洞扫描，寻找从其网络到外部的异常ping活动。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368892.html 封面来源于网络，如有侵权请联系删除

网络安全公司卡巴斯基近日发布了一种工具，可以检测苹果iPhone和其他iOS设备是否感染了一种新的“三角测量”（Operation Triangulation）恶意软件。 这种恶意软件是由卡巴斯基在自己的公司网络中发现的，报告称至少自2019年以来，该恶意软件已经在全球范围内感染了多台iOS设备。 尽管恶意软件分析仍在进行中，但卡巴斯基透露，“三角测量”恶意软件活动使用iMessage上未知的零日漏洞利用来执行代码，无需用户交互和提升权限（零点击）。 这允许攻击者将更多有效载荷下载到设备以进一步执行命令和收集信息。 值得注意的是，俄罗斯情报和安全部门FSB将该恶意软件与高级政府官员和外国外交官的手机感染关联起来。 在最初的报告中，卡巴斯基提供了很多关于使用移动验证工具包(MVT)手动检查iOS设备备份以寻找潜在恶意软件危害指标的详细信息。 因为Apple的各种安全机制（沙盒、数据加密、代码签名）会阻止实时系统分析，卡巴斯基提供的工具智能对iOS设备的（iTunes）备份文件进行分析。 随后，卡巴斯基发布了一款适用于Windows和Linux的更易用的iOS设备自动化扫描工具。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/pvkSAPPJ5nQXx8buUa3-jw 封面来源于网络，如有侵权请联系删除

知名安全厂商Bitdefender 发布的一份报告称，他们在过去6个月中发现了 6万款不同类型的 Android 应用秘密地嵌入了广告软件安全程序。 报告指出，经分析，该活动旨在将广告软件传播到用户的Android系统设备，以此来增加收入。然而，网络攻击者可以轻松地改变策略，将用户重定向到其他类型的恶意软件，如针对银行账户的窃取程序。 据统计，该广告软件主要针对美国用户（55.27%），其次是韩国（9.8%）、巴西（5.96%）和德国（2.93%）。大量独特样本表明，有人设计了一个自动化过程来创建带有恶意软件的应用程序，通过仿冒游戏破解程序、免费 VPN、Netflix 虚假教程、无广告版YouTube/TikTok以及虚假的安全程序来分发。 广告软件活动的国家分布 偷偷安装以逃避检测 这些应用程序托管在第三方网站上，研究人员没有在 Google Play 的应用程序中发现相同的广告软件。访问这些网站时，用户将被重定向到这些应用的下载站点，当用户安装这些应用程序后，并不会将自身配置为自动运行，因为这需要额外的权限。相反，它依赖于正常的 Android 应用程序安装流程，该流程会提示用户在安装后“打开”应用程序。 此外，这些应用程序不会显示图标，并在应用程序标签中使用 UTF-8 字符，因此更难被发现。这是一把双刃剑，因为这也意味着如果用户在安装后不启动该应用程序，则该应用程序很可能不会在安装后启动。 如果启动，该应用程序将显示一条错误消息，指出“应用程序在您所在的地区不可用。点击确定卸载。”但实际上，应用程序并没有被卸载，而只是在注册两个意图（Intent）之前进行了休眠，这两个意图可让应用程序在设备启动或设备解锁时开始运作。Bitdefender 表示后一种意图在前两天被禁用，可能是为了逃避用户的检测。 注册启动广告程序的 Android 意图 启动后，该应用程序将连接到运营方的服务器并检索要在移动浏览器中显示或作为全屏 WebView 广告显示的广告链接。 Android 设备是恶意软件开发人员的高度攻击目标，因为用户能够在不受 Google Play 商店保护之外的其他地方安装应用程序。但目前，即便在Google Play 中也未必安全。近期，来自 Dr. Web 和 CloudSEK 的研究人员发现，恶意间谍软件 SDK  通过 Google Play 上的应用程序在 Android 设备上竟安装了超过 4 亿次。 虽然 Google Play 仍然有恶意应用程序，但从官方商店安装 Android 应用程序总体还是要安全得多，强烈建议用户不要从第三方站点安装任何 Android 应用程序，因为它们是恶意软件的常见载体。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368848.html 封面来源于网络，如有侵权请联系删除

近日，西班牙环球银行(Bank Globalcaja)称其本地系统遭遇了勒索软件攻击，“Play”勒索软件组织声称将对此次攻击负责。 Globalcaja在twitter上发布的一份官方声明中提到：此次网络攻击发生在上周四，勒索组织激活了金融机构的安全协议。 此外，Globalcaja向客户保证，勒索软件攻击没有损害任何客户账户或协议，其电子银行平台Ruralvía的正常运作仍未受到影响。 该公司还证实，客户无须担心，可以继续安全地通过网上银行进行金融业务，现有的自动取款机也可以正常使用。作为预防措施的一部分，Globalcaja暂时关闭了特定的办公工作站，努力将此次攻击的影响将至最低。 Versa Networks的CRO Martin Mackay表示：金融部门对于勒索组织来说，是一个极具吸引力的目标，因为金融机构管理的数据和关键服务数量庞大。以客户信息为目标，以泄露数据为威胁，不仅会造成财务损失，还会危及银行的价值和声誉。 Martin Mackay称，虽然目前不知道Globalcaja是否满足了Play的赎金要求，但在这种情况下，最关键的就是不要屈服于该组织的任何要求。即便是支付赎金也不能保证被盗数据会被归还或不被泄露，这只会助长进一步的网络犯罪活动。 Globalcaja强调，他们正在尽力使目前的局势正常化，后面也会对这一事件进行深入的分析。Mackay补充说：一个比较积极的方面是Globalcaja有安全协议。 首席风险官还进一步表示，尚未采用安全协议的银行机构应考虑实施网络分段等措施，这些措施可以限制恶意软件的移动，并将漏洞的影响降至最低。 此外，Mackay总结道，整个网络中保持完整的可视性可以在快速识别和处理网络威胁方面发挥巨大作用。 而据Comparitech的数据研究主管Rebecca Moody说，今年针对金融机构的攻击事件有所增加。比如之前对美国Tri Counties银行的网络攻击。勒索组织BlackBasta声称，其对澳大利亚Latitude Financial的攻击可能泄露了约1400万条记录；以及对印度Fullerton（要求300万美元赎金）和印度尼西亚Syariah银行（要求2000万美元）的LockBit攻击。 Moody补充说：正如我们能从这次Globalcaja的最新案件中可以看到的那样，由于这些组织都拥有高度敏感的数据，所以一旦遭到攻击，就格外令人担忧。虽然金融机构不屈服于黑客的要求是十分正确的，但他们也必须帮助客户采取所有必要的步骤以保护自己免受身份盗窃和其他类型的欺诈。 转自 Freebuf，原文链接：https://www.freebuf.com/news/368604.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现了一种新的 Android 木马，它可能危害到 4.21 亿台设备。 Doctor Web团队在上周发布的公告中，公布了有关木马的信息，该木马被称为 Android.Spy.SpinOk 。 SpinOk 具有多种间谍软件功能，包括文件收集和剪贴板内容捕获。该木马可以嵌入其他应用程序中，这就是它传播以感染数百万设备的方式。 SpinOk 模块似乎可以为用户提供吸引人的功能，例如迷你游戏、任务和奖品机会。但是，在激活后，此特洛伊木马 SDK 会建立与命令和控制 (C2) 服务器的连接，传输有关受感染设备的大量技术数据。 Dr.Web点名被恶意植入木马病毒的App多达101个，累积下载量超过4.2亿次，其中甚至不乏被用户大量下载的热门App，如影片剪辑 工具”Noizz”、文档传输工具”Zapya”，这些APP的下载量都超过1亿次。 以下为Dr.Web列出10款最热门的受影响App： 影片剪辑工具Noizz（下载量1亿次以上） 文档传输工具 Zapya（下载量1亿次以上） 影片剪辑工具 VFly（下载量5千万次以上） MV剪辑工具 MVBit（下载量5千万次以上）  影片制作 Biugo（下载量5千万次以上） 手机小游戏 Crazy Drop（下载量1千万次以上） 每日金钱奖励 Cashzine （下载量1千万次以上） 脱机阅读工具 Fizzo Novel（下载量1千万次以上） 每日奖励 CashEM（下载量5百万次以上） 观看影片获取奖励 Tick（下载量5百万次以上） Viakoo首席执行官巴德·布鲁姆黑德 (Bud Broomhead)表示：“威胁行为者已深入挖掘 Android 游戏的利基市场，这些游戏专注于为玩家赚钱。” 他还表示，“他们很可能出于某种原因专注于该利基市场，例如观察这些资金转移到银行账户或玩家将拥有可以进一步利用的特定文件的可能性。” 这些数据包括来自各种传感器（陀螺仪、磁力计等）的信息，使模块能够识别仿真器环境并调整其操作以避免被安全研究人员检测到。 此外，恶意软件可以忽略设备代理设置，从而在分析过程中隐藏网络连接。作为回报，它会从服务器接收 URL 列表，并将其加载到 WebView 中以展示广告横幅。 Doctor Web 专家在 Google Play 上的几个应用程序中检测到木马模块及其各种迭代的存在。虽然有些仍然包含恶意软件开发工具包 (SDK)，但其他一些仅包含特定版本或已从平台中完全删除。 Zimperium 产品战略副总裁 Krishna Vishnubhotla 解释说：“对于移动应用程序开发人员来说，SDK 大多是黑盒子。所有这些都集成在一起以完成特定的已知任务，无论是免费的还是付费的。但没有人检查 SDK 还能做什么，尤其是当它在最终用户设备上的应用程序中运行时。” Krishna Vishnubhotla 说道：“恶意行为者也不会让这变得简单，因为大多数可疑活动代码只有在设备上满足特定条件时才会下载，以避免被发现。” Doctor Web 表示，其分析显示该木马存在于 101 个应用程序中，总下载量为 421,290,300 次。该公司证实他们已将这一威胁通知了谷歌。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/2Rfv6iFrnQfZQ6L8fs2SJA 封面来源于网络，如有侵权请联系删除  

伪装成营销软件开发工具包（SDK）的间谍软件被发现进入101个安卓应用程序，其中许多以前在Google Play上，下载量超过4亿次。 Doctor Web的研究人员称这种恶意SDK为 “SpinOk”，并报告说，它拥有一揽子营销功能，如小游戏和抽奖，以保持访问者长时间使用应用程序。 研究人员进一步解释说：”在初始化时，这个木马SDK通过发送一个包含有关受感染设备的的请求，连接到一个C2服务器。包括来自传感器的数据，如陀螺仪、磁力计等，可用于检测模拟器环境并调整模块的操作程序，以避免被安全研究人员发现”。 Doctor Web表示，它向谷歌通报了分发SpinOk木马的应用程序，这些应用程序已经得到解决，但已经下载这些应用程序的用户仍然面临风险。该团队观察到的10个下载量最大的受影响的安卓应用包括： Noizz – 带有音乐的视频编辑器（至少100,000,000次安装） Zapya – 文件传输、共享（至少100,000,000次安装；木马模块在6.3.3至6.4版本中存在，在目前的6.4.1版本中已不存在） VFly – 视频编辑器和视频制作器（至少50,000,000个安装） MVBit – MV视频状态制作器（至少50,000,000次安装） Biugo – 视频制作者和视频编辑（至少50,000,000次安装） Crazy Drop – (至少10,000,000次安装) Cashzine – 挣钱奖励（至少10,000,000次安装） Fizzo Novel – 离线阅读 (至少10,000,000次安装) CashEM – 获得奖励 (至少5,000,000次安装) Tick-观看赚钱（至少5,000,000次安装）     转自 Freebuf，原文链接：https://www.freebuf.com/news/368071.html 封面来源于网络，如有侵权请联系删除

据 Ivanti 称，2023 年 3 月，报告的违规总数高于前三年报告的总和。 勒索软件组织不断将漏洞武器化，并将其添加到他们的武器库中，以对受害者发动破坏性和破坏性攻击。2023 年第一季度，研究人员发现了 12 个与勒索软件相关的新漏洞。他们还更新了正在跟踪的与勒索软件相关的关键指标，为企业保护其数据和资产免受这些不断升级的威胁提供了宝贵的见解。 与勒索软件相关的漏洞 前五名要点： 1.2023 年第一季度，有12 个新漏洞与勒索软件相关。 在过去的一个季度中，73% 的这些漏洞在互联网和深网和暗网中呈上升趋势。随着这种增加，现在有 7,444 种产品和 121 家供应商容易受到勒索软件攻击，其中微软以 135 个与勒索软件相关的漏洞位居榜首。 2.完整的MITRE ATT&CK杀伤链存在于59个漏洞中，其中两个漏洞是全新的。 MITRE ATT&CK杀伤链的漏洞允许攻击者端到端地利用它们（初始访问渗透），使它们极其危险。然而，流行的扫描器目前无法检测到其中三个漏洞。 3.流行的扫描器未检测到与勒索软件相关的 18 个漏洞，使企业面临重大风险。 4.开源漏洞有所增加。 目前有 119 个与勒索软件相关的漏洞存在于多个供应商和产品中。这是一个非常紧迫的问题，因为开源代码在许多工具中得到广泛使用。 5.两个高级持续威胁 (APT) 组织最近开始使用勒索软件作为首选武器。 包括 DEV-0569 和 Karakurt，使利用勒索软件的 APT 组织总数达到 52 个。 “我们不断从所有行业的客户那里听到，降低风险是他们的三大优先事项，当我们将其与我们的研究结果并列时，我们发现风险每个季度都在升级。安全人才短缺和 IT 预算紧缩限制了企业直面这些挑战。”Securin 首席执行官Aaron Sandeen表示，“私营和公共组织的安全取决于全方位应对这一挑战。” 弱点类别 该报告还追踪了导致勒索软件团体武器化的漏洞的弱点类别，强调了企业广泛使用的软件产品和操作系统缺乏安全性。对于企业及其安全团队，这份指数报告提供了有关勒索软件攻击者使用的趋势和技术的见解，这将帮助他们加强对这种风险的防御。“多年来，我们一直警告我们的客户注意软件制造商和 NVD 和 MITRE 等存储库忽略的漏洞。我们的预测性威胁情报平台已经能够在威胁被目前困扰全球组织的勒索软件团伙积极采用之前很久就向客户发出威胁警告。”Sandeen 说。除了使用更传统的策略外，威胁行为者还在不断改进他们的工具和策略，以使其更具破坏性。Ivanti 首席产品官 Srinivas Mukkamala表示：“IT 和安全团队面临的最大挑战之一是确定漏洞的优先级并修复漏洞，尤其是那些与勒索软件相关的漏洞。”他还指出，“我们现在才开始看到威胁行为者开始使用 AI 发起攻击。随着多态恶意软件攻击和攻击性计算的副驾驶成为现实，情况只会变得更加复杂。虽然尚未在野外出现，但勒索软件作者使用 AI 来扩展正在使用的漏洞和漏洞利用列表只是时间问题。这一全球挑战需要全球响应，以真正打击威胁行为者并将他们拒之门外。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/93_0ZncJP_ETx-_jYZ_6TA 封面来源于网络，如有侵权请联系删除

自2016年以来，出现了一种名为AceCryptor的加密恶意软件，被用于打包各种恶意软件。 斯洛伐克网络安全公司ESET表示，他们在2021年和2022年的遥测中发现了超过24万次密码检测，且每月的点击量超过1万次。 AceCryptor中包含一些比较知名的恶意软件，比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等，且多发现于秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度。 Avast于2022年8月首次对AceCryptor进行了详细说明，介绍了该恶意软件以7-Zip文件的形式在Discord上分发Stop勒索软件和红线窃取器。 加密器的原理与打包器类似，但不是使用压缩，而是用加密来混淆恶意软件的代码，使检测和反向工程更具挑战性。 ESET研究员Jakub kalonik说：尽管威胁行为者可以创建和维护他们自己的自定义密码，但对于犯罪软件威胁行为者来说，将他们的密码保持在所谓的FUD(完全不可检测)状态通常是一项耗时或技术上困难的任务。 对这种保护的需求创造了多种打包恶意软件的加密即服务(CaaS)选项。acecryptor包装的恶意软件是通过盗版软件的木马安装程序、带有恶意附件的垃圾邮件或其他已经危及主机的恶意软件来传递的。它也被怀疑是作为CaaS出售的，因为它被多个威胁者用来传播不同的恶意软件。 据悉，该加密器被严重混淆，并纳入了一个三层架构，以逐步解密和解包每个阶段，并最终启动有效载荷，同时还具有反虚拟机、反调试和反分析技术，以便在雷达下飞行。 据ESET称，第二层似乎是在2019年引入的，作为一种额外的保护机制。另一个代号为ScrubCrypt的加密器服务曾被8220团伙等加密劫持组织利用，因其在受感染的主机上非法挖掘加密货币。 今年1月初，Check Point还发现了一个名为TrickGate的打包器，它被用来部署各种恶意软件，比如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367971.html 封面来源于网络，如有侵权请联系删除

近日，Mandiant威胁研究人员发现了旨在破坏电网的、与俄罗斯相关的新型恶意软件，他们敦促能源公司采取行动减轻这种“直接威胁”。 这种名为Cosmic Energy的专业操作技术 (OT) 恶意软件与之前针对电网的攻击中使用的恶意软件有相似之处，包括2016 年在乌克兰基辅发生的“Industroyer”事件。 Cosmic Energy 旨在通过与 IEC 60870-5-104 (IEC-104) 标准设备（例如远程终端单元）交互来中断电力。这些设备通常用于欧洲、中东和亚洲的输电和配电业务。 同样，在 2016 年的 Industroyer 攻击中，据了解由俄罗斯 APT 组织 Sandworm 实施，该恶意软件发出 IEC-104 ON/OFF 命令与 RTU 交互，并且可能利用 MSSQL 服务器作为管道系统来访问加时赛。 这使攻击者能够发送远程命令来影响电力线开关和断路器的启动，从而导致电力中断。 Mandiant 表示，Cosmic Energy 于 2021 年 12 月由俄罗斯的提交者上传到公共恶意软件扫描实用程序。有趣的是，根据其随后的分析，该公司认为俄罗斯网络安全公司 Rostelecom-Solar 或承包商最初可能开发了用于培训目的的恶意软件——重建针对能源电网资产的真实攻击场景。 Mandiant 研究人员表示，威胁行为者可能会在未经许可的情况下重复使用与网络范围相关的代码来开发这种恶意软件。 这使得 Cosmic Energy 有别于之前旨在破坏能源网络的 OT 恶意软件——因为威胁行为者正在利用从之前的攻击中获得的知识来创建新的攻击工具，从而降低了进入攻击 OT 系统的门槛。 这尤其令人担忧，“因为我们通常观察到这些类型的能力仅限于资源充足或国家资助的参与者。” 因此，研究人员警告说：“鉴于威胁行为者使用红队工具和公共开发框架在野外进行有针对性的威胁活动，我们认为 Cosmic Energy 对受影响的电网资产构成了合理的威胁。利用符合 IEC-104 标准的设备的 OT 资产所有者应采取行动，抢占 Cosmic Energy 野外部署的潜力。” 该团队指出，Cosmic Energy 缺乏发现能力，“这意味着要成功执行攻击，恶意软件操作员需要执行一些内部侦察以获取环境信息。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/H-q6G1U5ozYsGbHoqajxQQ 封面来源于网络，如有侵权请联系删除

据BleepingComputer 5月28日消息，一种新型”浏览器文件压缩包 “钓鱼工具被试验出可滥用ZIP域名，在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口，以诱导用户启动恶意文件。 ZIP域名是本月由谷歌推出的8个新高级域名（TLD）之一，用户可用于托管网站或电子邮件地址，如bleepingcomputer.zip。自该域名名发布以来，人们对它们是否可能给用户带来网络安全风险进行了相当多的讨论。 虽然一些专家认为这种担心被夸大，但主要可能存在的问题是一些网站会自动将以’.zip’结尾的字符串（如setup.zip）变成一个可点击的链接，从而被恶意软件利用进行攻击和传播。 如今，安全研究员mr.d0x开发了一个颇具欺骗性的钓鱼工具包，在与 BleepingComputer 共享的演示中，该工具包可用于在打开 .zip 域时直接在浏览器中嵌入一个伪造的 WinRar 窗口，使用户看起来就像打开了一个 ZIP 压缩包。 这个伪造的窗口效果十分逼真，甚至还包含虚假的安全扫描按钮，点击该按钮后会提示文件已被扫描且未检测到威胁。 虽然该工具包仍然显示浏览器地址栏，但它仍然可能诱使一些用户认为这是一个合法的 WinRar 压缩文件。此外，利用 CSS 和 HTML 可以进一步完善该工具包。 滥用网络钓鱼工具包 mr.d0x 认为，该网络钓鱼工具包可用于凭证盗窃和传播恶意软件。例如用户在伪造的 WinRar 窗口中双击 PDF，则可能会被重定向到另一个页面，要求只有提供账户凭证才能查看文件。 该工具包还可用于通过显示一个 PDF 文件来传播恶意软件，该文件在单击时会下载一个类似名称的 .exe。例如在伪造的存档窗口可能会显示 document.pdf 文件，但在单击时却是下载document.pdf.exe恶意软件。 由于 Windows 默认不显示文件扩展名，用户只会在他们的下载文件夹中看到一个 PDF 文件并可能双击打开，而不会意识到它是一个可执行文件。 特别值得注意的是，Windows在搜索文件时，若没有找到，就会试图在浏览器中打开搜索到的字符串。如果该字符串是一个合法的域名，那么相应的网站将被打开。 显而易见，如果注册一个与普通文件名相同的zip域名，如果用户在Windows中进行搜索，操作系统将自动在浏览器中打开该网站。如果该网站托管了 “浏览器中的文件归档器 “钓鱼工具包，则可以欺骗用户，使其认为WinRar显示了一个真实的的ZIP压缩包。 这项技术说明了ZIP域名如何被滥用以进行网络钓鱼攻击。但再怎么巧妙，只要用户能够增强安全意识，不点击打开任何可疑文件，就能避免此类攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367836.html 封面来源于网络，如有侵权请联系删除