HackerNews 编译，转载请注明出处： 威胁行为者被观察到通过 SourceForge（一个流行的软件托管服务）分发恶意载荷，如加密货币矿工和剪贴板恶意软件，这些恶意软件伪装成合法应用程序（如 Microsoft Office）的破解版本。 “SourceForge 主网站 sourceforge.net 上的一个名为 officepackage 的项目看起来足够无害，它包含了从一个合法的 GitHub 项目复制的 Microsoft Office 插件，”卡巴斯基在今日发布的一份报告中表示。“officepackage 的描述和内容也取自 GitHub。” 虽然 sourceforge.net 上创建的每个项目都会被分配一个“<project>.sourceforge.io”域名，但这家俄罗斯网络安全公司发现，officepackage 的域名“officepackage.sourceforge[.]io”显示了一个长长的 Microsoft Office 应用程序列表以及相应的下载链接（俄语）。 此外，将鼠标悬停在下载按钮上会在浏览器状态栏中显示一个看似合法的 URL：“loading.sourceforge[.]io/download，给人一种下载链接与 SourceForge 相关联的印象。然而，点击链接会将用户重定向到“taplink[.]cc”上托管的一个完全不同的页面，该页面显著显示了另一个下载按钮。 如果受害者点击下载按钮，他们将收到一个 7 MB 的 ZIP 压缩包（“vinstaller.zip”），打开后包含一个受密码保护的第二个压缩包（“installer.zip”）和一个包含打开文件密码的文本文件。 新的 ZIP 文件中包含一个 MSI 安装程序，该程序负责创建多个文件、一个名为“UnRAR.exe”的控制台归档实用程序、一个 RAR 归档文件以及一个 Visual Basic（VB）脚本。 “VB 脚本运行 PowerShell 解释器以从 GitHub 下载并执行一个名为 confvk 的批处理文件，”卡巴斯基表示。“该文件包含 RAR 归档文件的密码。它还会解压恶意文件并运行下一阶段的脚本。” 该批处理文件还设计为运行两个 PowerShell 脚本，其中一个使用 Telegram API 发送系统元数据。另一个文件下载另一个批处理脚本，然后对 RAR 归档文件的内容进行操作，最终启动矿工和剪贴板恶意软件（即 ClipBanker）载荷。 此外，还会投放 netcat 可执行文件（“ShellExperienceHost.exe”），该文件与远程服务器建立加密连接。不仅如此，confvk 批处理文件被发现创建了另一个名为“ErrorHandler.cmd”的文件，其中包含一个通过 Telegram API 检索并执行文本字符串的 PowerShell 脚本。 该网站具有俄语界面，表明其专注于俄语用户。遥测数据显示，90% 的潜在受害者在俄罗斯，从 1 月初到 3 月下旬，共有 4,604 名用户遭遇了这一骗局。 由于 sourceforge[.]io 页面被搜索引擎索引并出现在搜索结果中，因此相信在 Yandex 上搜索 Microsoft Office 的俄罗斯用户可能是此次攻击的目标。 “随着用户寻求在官方渠道之外下载应用程序的方式，攻击者提供了他们自己的，”卡巴斯基表示。“虽然此次攻击主要针对加密货币，通过部署矿工和 ClipBanker，但攻击者可能会将系统访问权限出售给更危险的行为者。” 这一披露正值该公司透露了一个通过假冒 DeepSeek 人工智能（AI）聊天机器人的欺诈性网站分发名为 TookPS 的恶意软件下载器的活动细节。 这包括像 deepseek-ai-soft[.]com 这样的网站，据 Malwarebytes 称，用户通过赞助的 Google 搜索结果被重定向到该网站。 TookPS 被设计为下载并执行 PowerShell 脚本，这些脚本通过 SSH 为受感染的主机提供远程访问，并投放一个名为 TeviRat 的特洛伊木马的修改版本。这突显了威胁行为者试图通过多种方式获得对受害计算机的完全访问权限。 “该样本 […] 使用 DLL 侧加载来修改和部署 TeamViewer 远程访问软件到受感染的设备上，”卡巴斯基表示。“简单来说，攻击者将一个恶意库放在 TeamViewer 的同一文件夹中，这改变了软件的默认行为和设置，使其对用户隐藏，并为攻击者提供了隐蔽的远程访问。” 这一进展紧随发现针对 RVTools（一个流行的 VMware 工具）的恶意 Google 广告，以投放一个名为 ThunderShell（又名 SMOKEDHAM）的修改版本，这是一个基于 PowerShell 的远程访问工具（RAT），强调了恶意广告仍然是一个持续且不断演变的威胁。 “ThunderShell，有时也被称为 SmokedHam，是一个公开可用的后利用框架，专为红队行动和渗透测试而设计，”Field Effect 表示。“它提供了一个命令和控制（C2）环境，使操作员能够通过基于 PowerShell 的代理在受感染的机器上执行命令。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在微软的 Visual Studio Code 市场中有九个 VSCode 扩展伪装成合法开发工具，同时感染用户设备，植入 XMRig 加密货币矿工以挖掘以太坊和门罗币。 Microsoft VSCode 是一款流行的代码编辑器，允许用户安装扩展以扩展程序的功能。这些扩展可以从微软的 VSCode 市场下载，这是一个供开发者查找和安装插件的在线中心。 ExtensionTotal 研究员 Yuval Ronen 发现了九个于 2025 年 4 月 4 日在微软门户上发布的 VSCode 扩展。 扩展名称： Discord Rich Presence for VS Code（开发者：Mark H）- 18.9 万次安装 Rojo – Roblox Studio Sync（开发者：evaera）- 11.7 万次安装 Solidity Compiler（开发者：VSCode Developer）- 1300 次安装 Claude AI（开发者：Mark H） Golang Compiler（开发者：Mark H） ChatGPT Agent for VSCode（开发者：Mark H） HTML Obfuscator（开发者：Mark H） Python Obfuscator for VSCode（开发者：Mark H） Rust Compiler for VSCode（开发者：Mark H） 市场数据显示，这些扩展自 4 月 4 日以来已累计超过 30 万次安装。这些数字可能是人为虚高的，目的是让扩展显得更合法和更受欢迎，从而吸引更多用户安装。 ExtensionTotal 表示已向微软报告了这些恶意扩展，但截至本文撰写时，它们仍可在市场上找到。 VSCode 市场上的 Discord 主题扩展 来源：BleepingComputer PowerShell 脚本安装 XMRig 矿工 当安装并激活后，恶意扩展会从外部源 ‘https://asdf11[.]xyz/’ 获取 PowerShell 脚本并执行。完成后，它还会安装其伪装的合法扩展，以避免用户产生怀疑。 下载 PowerShell 脚本的代码 来源：BleepingComputer 恶意 PowerShell 脚本执行多种功能，包括禁用防御、建立持久性、提升权限，最终加载加密货币矿工。 首先，它创建一个伪装为“OnedriveStartup”的计划任务，并在 Windows 注册表中注入脚本，以确保恶意软件（Launcher.exe）在系统启动时运行。 接下来，它关闭关键的 Windows 服务（如 Windows Update 和 Update Medic），并将工作目录添加到 Windows Defender 的排除列表中，以逃避检测。 如果恶意软件未以管理员权限执行，它会模仿系统二进制文件（ComputerDefaults.exe），并通过恶意 MLANG.dll 进行 DLL 劫持以提升权限并执行 Launcher.exe 有效载荷。 可执行文件以 base64 编码形式提供，PowerShell 脚本对其进行解码，以连接到二级服务器 myaunet[.]su 下载并运行 XMRig，这是一种门罗币加密货币矿工。 BleepingComputer 发现，威胁行为者的远程服务器上还有一个 /npm/ 文件夹，可能表明该活动也在该软件包索引上进行。然而，我们尚未在 NPM 平台上找到恶意文件。 威胁行为者服务器上的 NPM 目录 来源：BleepingComputer 如果您安装了 ExtensionTotal 报告中提到的九个扩展中的任何一个，您应立即卸载它们，然后手动定位并删除加密货币矿工、计划任务、注册表键和恶意软件目录。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布了一份关于Fast Flux技术风险的咨询报告，该技术已被威胁行为者采用，以掩盖命令与控制（C2）通道的位置。 “Fast Flux是一种通过快速更改与单个域名相关的域名系统（DNS）记录来掩盖恶意服务器位置的技术，”这些机构表示。“这种威胁利用了网络防御中常见的漏洞，使得追踪和阻止恶意Fast Flux活动变得困难。”   这份咨询报告由美国网络安全与基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心以及新西兰国家网络安全中心联合发布。   近年来，Fast Flux技术已被许多黑客组织采用，包括与 Gamaredon、CryptoChameleon 和 Raspberry Robin 相关的威胁行为者，以使其恶意基础设施能够逃避检测和执法部门的打击。   这种方法本质上涉及使用多种 IP 地址，并在快速 succession 中轮换，同时指向一个恶意域名。它最初于 2007 年在 Honeynet 项目中被发现。   它可以是单通量（Single Flux），即一个域名与多个 IP 地址相关联，也可以是双通量（Double Flux），即除了更改 IP 地址外，负责解析域名的 DNS 名称服务器也会频繁更改，为恶意域名提供额外的冗余和匿名性。   “Fast Flux网络之所以‘快速’，是因为通过 DNS，它会快速轮换多个僵尸程序，每个僵尸程序只使用很短的时间，从而使得基于 IP 的拒绝列表和打击工作变得困难，”Palo Alto Networks Unit 42 在 2021 年发布的一份报告中表示。   将Fast Flux描述为国家安全威胁，这些机构表示，威胁行为者正在利用这种技术来掩盖恶意服务器的位置，并建立能够抵御打击的弹性 C2 基础设施。   不仅如此，Fast Flux在 C2 通信之外也发挥着重要作用，帮助对手托管网络钓鱼网站，以及部署和分发恶意软件。   为了防范Fast Flux，建议组织采取以下措施：阻止 IP 地址、将恶意域名重定向到黑洞服务器、过滤与声誉不佳的域名或 IP 地址之间的流量、实施增强的监控，并强制执行网络钓鱼意识和培训。   “Fast Flux代表了对网络安全的持续威胁，利用快速变化的基础设施来掩盖恶意活动，”这些机构表示。“通过实施强大的检测和缓解策略，组织可以显著降低因Fast Flux支持的威胁而被攻破的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位新手网络犯罪分子被发现利用俄罗斯的“防弹”托管（BPH）服务提供商Proton66来协助其操作。 这些发现来自DomainTools，该公司在发现一个名为cybersecureprotect[.]com的虚假网站后检测到了这一活动，该网站托管在Proton66上，伪装成一个杀毒服务。 这家威胁情报公司表示，他们在该域名中发现了一个操作安全（OPSEC）失误，导致其恶意基础设施暴露，从而揭示了服务器上托管的恶意负载。 “这一发现引导我们深入了解了一个新兴威胁行为者Coquettte的操作——一个利用Proton66的防弹托管服务来分发恶意软件并从事其他非法活动的业余网络犯罪分子，”该公司在与《黑客新闻》分享的一份报告中表示。 Proton66还与另一个名为PROSPERO的BPH服务相关联，该服务已被归因于多个分发桌面和Android恶意软件的活动，如GootLoader、Matanbuchus、SpyNote、Coper（又名Octo）和SocGholish。托管在该服务上的网络钓鱼页面已通过短信传播，以诱骗用户输入他们的银行凭证和信用卡信息。 Coquettte就是这样一个利用Proton66生态系统优势的威胁行为者，以分发伪装成合法杀毒工具的恶意软件。 这表现为一个ZIP存档（“CyberSecure Pro.zip”），其中包含一个Windows安装程序，然后从远程服务器下载第二阶段的恶意软件，该服务器负责从命令和控制（C2）服务器（“cia[.]tf”）分发后续负载。 第二阶段是一个被分类为Rugmi（又名Penguish）的加载程序，过去曾用于部署诸如Lumma、Vidar和Raccoon等信息窃取器。 对Coquettte的数字足迹的进一步分析发现了一个个人网站，其中他们声称自己是“一名19岁的软件工程师，正在攻读软件开发学位”。 此外，cia[.]tf域名已使用电子邮件地址“root@coquettte[.]com”注册，确认威胁行为者控制了C2服务器，并将虚假的网络安全网站作为恶意软件分发中心。 “这表明Coquettte是一个年轻的个体，可能是一名学生，这与他们在网络犯罪活动中犯下的业余错误（如开放目录）相一致，”DomainTools表示。 该威胁行为者的活动不仅限于恶意软件，因为他们还运营着其他出售制造非法物质和武器指南的网站。据信Coquettte与一个名为Horrid的更广泛的黑客组织有松散的联系。 “基础设施重叠的模式表明，这些网站背后的人可能自称为‘Horrid’，Coquettte是其中一名成员的别名，而不是一个独立的行动者，”该公司表示。 “该组织与多个与网络犯罪和非法内容相关的域名的关联表明，它作为一个孵化器，激励或业余的网络犯罪分子，为那些希望在地下黑客圈中崭露头角的人提供资源和基础设施。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客组织正在通过发布恶意npm包来传播BeaverTail恶意软件，以及一个新的远程访问木马（RAT）加载器，这是他们正在进行的“Contagious Interview”活动的一部分。 “这些最新的样本使用十六进制字符串编码来逃避自动化检测系统和手动代码审计，这表明威胁行为者在混淆技术上的变化，”Socket安全研究员Kirill Boychenko在一份报告中表示。 这些恶意包在被移除前总共被下载了5600多次，包括： – empty-array-validator – twitterapis – dev-debugger-vite – snore-log – core-pino – events-utils – icloud-cod – cln-logger – node-clog – consolidate-log – consolidate-logger 这一发现是在一个月前发现一系列npm包分发BeaverTail之后，BeaverTail是一种JavaScript窃取器，还能分发基于Python的后门，名为InvisibleFerret。 该活动的最终目标是以求职面试过程为幌子，渗透开发者的系统，窃取敏感数据，转移金融资产，并维持对受感染系统的长期访问。 新发现的npm库伪装成实用工具和调试器，其中dev-debugger-vite使用了SecurityScorecard在2024年12月名为“Phantom Circuit”的活动中标记为Lazarus Group使用的C2地址。 这些包的突出之处在于，其中一些，如events-utils和icloud-cod，与Bitbucket仓库相关联，而不是GitHub。此外，icloud-cod包被发现在一个名为“eiwork_hire”的目录中托管，再次强调了威胁行为者使用与面试相关的主题来激活感染。 对cln-logger、node-clog、consolidate-log和consolidate-logger包的分析还发现了一些代码级别的细微变化，表明攻击者正在发布多个恶意软件变体，以提高活动的成功率。 尽管有所变化，这四个包中嵌入的恶意代码作为一个远程访问木马（RAT）加载器，能够从远程服务器传播下一阶段的有效载荷。 由于C2端点不再提供有效载荷，目前尚不清楚通过加载器传播的恶意软件的确切性质。然而，Boychenko表示，该代码作为一个活跃的恶意软件加载器，具有远程访问木马（RAT）功能，能够动态获取并执行远程JavaScript，使朝鲜攻击者能够在受感染的系统上运行任意代码。这种行为使他们能够部署任何他们选择的后续恶意软件，使加载器本身成为一个重大威胁。 这些发现表明了“Contagious Interview”的持续性，它不仅对软件供应链构成持续威胁，还采用了臭名昭著的ClickFix社会工程战术来分发恶意软件。 “Contagious Interview威胁行为者继续创建新的npm账户，并在npm注册表、GitHub和Bitbucket等平台上部署恶意代码，展示了他们的持续性，并且没有放缓的迹象，”Boychenko说。 “这个高级持续性威胁（APT）组织正在多样化其战术——在新的别名下发布新的恶意软件，在GitHub和Bitbucket仓库中托管有效载荷，并重用BeaverTail和InvisibleFerret等核心组件，以及新观察到的RAT/加载器变体。” BeaverTail部署Tropidoor# 新npm包的发现正值韩国网络安全公司AhnLab详细描述了一项以招聘为主题的网络钓鱼活动，该活动分发了BeaverTail，然后用于部署一个以前未记录的Windows后门，代号为Tropidoor。该公司的分析显示，BeaverTail正在积极针对韩国的开发者。 该电子邮件声称来自一家名为AutoSquare的公司，包含一个指向Bitbucket上托管项目的链接，敦促收件人在本地克隆项目以审查他们对程序的理解。 该应用程序实际上是一个包含BeaverTail（“tailwind.config.js”）和一个DLL下载器恶意软件（“car.dll”）的npm库，后者由JavaScript窃取器和加载器启动。 Tropidoor是一个通过下载器在内存中运行的后门，能够联系C2服务器以接收指令，从而可以窃取文件、收集驱动器和文件信息、运行和终止进程、截取屏幕截图，以及通过用NULL或垃圾数据覆盖来删除或擦除文件。 该植入程序的一个重要方面是，它直接实现了Windows命令，如schtasks、ping和reg，这一功能之前也在Lazarus Group的另一种名为LightlessCan的恶意软件中观察到，LightlessCan是BLINDINGCAN（又名AIRDRY或ZetaNile）的后续产品。 AhnLab表示：“用户不仅要警惕电子邮件附件，还要警惕来自未知来源的可执行文件。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基研究人员发现，数千部新安卓设备被预装了 Triada 木马的新变种。一旦用户设置设备，攻击者即可立即开始窃取数据。 此次恶意软件活动主要影响俄罗斯用户。根据卡巴斯基移动防护工具的监测数据，2025年3月13日至27日期间已确认至少有2600起感染事件。这些被感染的设备是假冒的热门智能手机型号，通过在线商店以折扣价销售，吸引不明真相的消费者购买。 Triada 是一种模块化的安卓恶意软件，最早于2016年被发现。它通过在设备内存中运行来逃避检测，多年来已多次被发现在通过非正规渠道销售的低价安卓手机的固件中隐藏。一旦安装，Triada 就会变得非常难以清除，除非重新刷机。 卡巴斯基的最新报告显示，Triada 的最新变种更具隐蔽性，它隐藏在安卓系统框架中，并复制到智能手机上的每个进程中。该恶意软件在被感染设备上执行以下操作： – 窃取即时通讯和社交媒体账号； – 通过 WhatsApp 和 Telegram 发送和删除消息，冒充用户； – 通过修改钱包地址劫持加密货币交易； – 监控浏览活动并替换链接； – 在通话过程中伪造电话号码以重新路由对话； – 拦截、发送和删除短信； – 开启高级短信服务以收取付费服务费用； – 远程下载和运行额外应用程序； – 阻断网络连接以逃避检测或破坏防御。 交易分析显示，新 Triada 木马已窃取至少价值27万美元的加密货币，但由于还涉及难以追踪的门罗币（Monero），实际被盗金额可能更高。 卡巴斯基尚不确定设备是如何感染 Triada 的，但推测这可能是由于供应链攻击所致。卡巴斯基研究人员德米特里·卡利宁表示：“Triada 的新版本在设备到达用户之前就被嵌入到智能手机的固件中。供应链可能在某个环节被攻破，甚至商店可能都不知道它们销售的手机带有 Triada”。 为降低风险，建议用户仅从授权经销商处购买智能手机。如有疑问，可以使用谷歌提供的干净系统镜像，或可信的第三方 ROM（如 LineageOS 或 GrapheneOS）重新刷机。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Hijack Loader”的恶意软件加载器的更新版本，该版本增加了新功能以逃避检测并在受感染系统中建立持久性。 Zscaler ThreatLabz 研究员穆罕默德·伊尔凡·瓦表示：“Hijack Loader 推出了一种新模块，通过调用栈伪造来隐藏函数调用（例如API调用和系统调用）的来源。”此外，“Hijack Loader 增加了一个新模块，用于执行反虚拟机检查，以检测恶意软件分析环境和沙箱。” Hijack Loader 最初于2023年被发现，能够传递第二阶段的有效载荷，例如信息窃取恶意软件。它还配备了多种模块，用于绕过安全软件和注入恶意代码。Hijack Loader 在网络安全社区中还被称为DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER。 2024年10月，HarfangLab 和 Elastic Security Labs 详细描述了利用合法代码签名证书以及臭名昭著的 ClickFix 策略传播恶意软件的 Hijack Loader 活动。 与前代产品相比，Hijack Loader 的最新版本增加了调用栈伪造作为逃避检测的手段，以隐藏API和系统调用的来源。这种方法最近也被另一种名为 CoffeeLoader 的恶意软件加载器采用。 “该技术利用 EBP 指针链遍历堆栈，并通过用伪造的堆栈帧替换实际堆栈帧来隐藏恶意调用的存在。”Zscaler 表示。 与之前的版本一样，Hijack Loader 利用 Heaven’s Gate 技术执行64位直接系统调用以进行进程注入。其他更改包括更新黑名单进程列表，新增“avastsvc.exe”（Avast 防病毒软件的一个组件），延迟执行时间五秒。 该恶意软件还增加了两个新模块，分别是 ANTIVM（用于检测虚拟机）和 modTask（通过计划任务设置持久性）。研究结果表明，Hijack Loader 仍在被其运营者积极维护，目的是增加分析和检测的难度。 SHELBY 恶意软件利用 GitHub 进行命令与控制 与此同时，Elastic Security Labs 揭示了一个名为 SHELBY 的新型恶意软件家族，该家族利用 GitHub 进行命令与控制（C2）、数据外泄和远程控制。相关活动被追踪为 REF8685。 攻击链始于一封网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中包含一个 .NET 二进制文件，用于通过 DLL 侧加载执行一个名为 SHELBYLOADER（“HTTPService.dll”）的 DLL 加载器。这些邮件通过目标组织内部发送，投递给了伊拉克一家电信公司。 随后，加载器与 GitHub 建立通信，从攻击者控制的存储库中名为“License.txt”的文件中提取一个特定的48字节值。该值用于生成 AES 解密密钥，解密主后门有效载荷（“HTTPApi.dll”）并将其加载到内存中，而不会在磁盘上留下可检测的痕迹。 “SHELBYLOADER 利用沙箱检测技术来识别虚拟化或监控环境。”Elastic 表示，“一旦执行，它会将结果发送回 C2。这些结果被封装在日志文件中，详细说明每种检测方法是否成功识别出沙箱环境。” SHELBYC2 后门则解析另一个名为“Command.txt”的文件中列出的命令，以从 GitHub 存储库下载/上传文件、反射加载 .NET 二进制文件以及运行 PowerShell 命令。值得注意的是，C2 通信通过使用个人访问令牌（PAT）提交到私有存储库来实现。 “恶意软件的设置方式意味着，任何拥有 PAT（个人访问令牌）的人都可以理论上获取攻击者发送的命令，并访问任何受害机器上的命令输出。”该公司表示，“这是因为 PAT 令牌嵌入在二进制文件中，任何获得它的人均可使用。” Emmenhtal 通过 7-Zip 文件传播 SmokeLoader 此外，以支付为主题的网络钓鱼邮件还被观察到用于传播名为 Emmenhtal Loader（也称 PEAKLIGHT）的恶意软件加载器家族，该家族充当部署另一种名为 SmokeLoader 的恶意软件的渠道。 GDATA 表示：“在这一 SmokeLoader 样本中，一个值得注意的技术是使用了 .NET Reactor，这是一种用于混淆和打包的商业 .NET 保护工具。” “尽管 SmokeLoader 历史上曾使用过 Themida、Enigma Protector 和自定义加密器等打包器，但使用 .NET Reactor 符合其他恶意软件家族（尤其是窃密器和加载器）的趋势，因为其具有强大的反分析机制。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为Outlaw（又称Dota）的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。 据Elastic安全实验室周二发布的最新分析报告称，“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件，用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者，他们被认为来自罗马尼亚。 自2018年底以来，该黑客团伙一直活跃，通过暴力破解SSH服务器，利用获得的权限进行侦察，并通过将自身的SSH密钥添加到“authorized_keys”文件中，以在被入侵主机上保持持久性。 攻击者还采用多阶段感染过程，使用一个下载器Shell脚本（“tddwrt7s.sh”）下载一个归档文件（“dota3.tar.gz”），然后解包以启动挖矿程序，同时清除过往入侵痕迹，并终止其他竞争挖矿程序和自身旧版本挖矿程序。 该恶意软件的一个显著特点是初始访问组件（又称BLITZ），它通过扫描运行SSH服务的易受攻击系统，以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制（C2）服务器获取目标列表，以进一步延续传播周期。 在某些攻击中，该团伙还利用存在CVE-2016-8655和CVE-2016-5195（又称Dirty COW）漏洞的Linux和Unix操作系统，以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后，恶意软件会部署SHELLBOT，通过C2服务器使用IRC频道进行远程控制。 SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。 在挖矿过程中，该恶意软件会检测被感染系统的CPU，并为所有CPU核心启用大页面功能，以提高内存访问效率。它还使用一个名为kswap01的二进制文件，以确保与攻击者基础设施的持续通信。 “尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术，但它仍然活跃。”Elastic表示，“该恶意软件部署了修改版的XMRig挖矿程序，利用IRC进行C2通信，并使用公开可用的脚本实现持久性和防御规避。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DarkCloud 是一种自2022年出现的复杂窃密恶意软件，迅速成为该类别中最普遍的威胁之一。 这种针对 Windows 系统的恶意软件已经进化到可以从受感染的系统中提取敏感信息，包括浏览器数据、FTP 凭证、截图、键盘记录和财务信息。 其主要传播方式是通过钓鱼活动，攻击者冒充合法公司或伪装成付款收据或罚款通知。这些攻击经常针对人力资源部门。其他传播途径包括恶意广告、水坑攻击以及与其他恶意软件（如 DbatLoader 或 ClipBanker）一起部署。 安全研究员 REXorVc0 识别了 DarkCloud 的广泛功能，指出该恶意软件采用多阶段感染过程，旨在规避检测。 “这种窃密软件的执行和传播主要由钓鱼活动推动，攻击者冒充了各种公司，”REXorVc0 在其技术分析中解释道。 其影响是巨大的，许多组织因数据窃密功能而受害，丢失了浏览器数据、加密货币钱包和凭证，而攻击者则通过 Telegram 频道进行操作。 DarkCloud 的感染链始于受害者访问恶意链接或下载受感染的文件。 初始载荷通常以压缩文件或脚本的形式交付，启动一个旨在绕过安全控制的多阶段过程。加载程序下载或提取下一阶段的内容，通常采用复杂的混淆技术。一个分析的样本使用了 Base64 编码和 TripleDES 加密： rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])   rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])   最终阶段涉及将窃密程序注入到合法的 Windows 进程中，如 svchost.exe 或 MSBuild。这种技术使 DarkCloud 能够隐秘运行，规避大多数安全解决方案，同时从浏览器、密码管理器和邮件客户端中收集敏感数据，并通过 Telegram 机器人进行数据外泄。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）披露了一种名为 RESURGE 的新型恶意软件，该软件已被用于针对 Ivanti Connect Secure（ICS）设备上一个现已修复的安全漏洞的攻击活动。 CISA 表示：“RESURGE 具备 SPAWNCHIMERA 恶意软件变体的功能，包括能够抵御系统重启；然而，RESURGE 包含独特的命令，可以改变其行为。” “该文件具备根kit、投放器、后门、启动kit、代理和隧道的功能。” 与恶意软件部署相关的安全问题是 CVE-2025-0282，这是一个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的基于堆栈的缓冲区溢出漏洞，可能导致远程代码执行。 该漏洞影响以下版本： Ivanti Connect Secure 22.7R2.5 之前的版本 Ivanti Policy Secure 22.7R1.2 之前的版本 Ivanti Neurons for ZTA 网关 22.7R2.3 之前的版本 据谷歌旗下的 Mandiant 公司称，CVE-2025-0282 已被武器化，用于传播所谓的 SPAWN 恶意软件生态系统，包括 SPAWNANT、SPAWNMOL 和 SPAWNSNAIL 等多个组件。 上个月，日本计算机应急响应中心（JPCERT/CC）透露，观察到该安全缺陷被用于传播 SPAWN 的一个更新版本，称为 SPAWNCHIMERA，它将上述所有不同的模块整合为一个单一的恶意软件，同时还进行了修改，以通过 UNIX 域套接字促进进程间通信。 值得注意的是，该修订版包含一个功能，可以修补 CVE-2025-0282，以防止其他恶意行为者利用它进行自己的攻击活动。 CISA 表示，RESURGE（“libdsupgrade.so”）是 SPAWNCHIMERA 的改进版，支持三种新命令： 将自身插入“ld.so.preload”，设置网页后门，操纵完整性检查和修改文件。 启用网页后门用于凭证收集、账户创建、密码重置和权限提升。 将网页后门复制到 Ivanti 运行的启动磁盘并操纵运行中的 coreboot 映像。 CISA 还从一个未具名的关键基础设施实体的 ICS 设备中发现了另外两个工件：RESURGE 中包含的 SPAWNSLOTH 变体（“liblogblock.so”）和一个定制的 64 位 Linux ELF 二进制文件（“dsmain”）。 CISA 称：“[SPAWNSLOTH 变体] 篡改 Ivanti 设备日志。” “第三个文件是一个定制的嵌入式二进制文件，包含一个开源 shell 脚本和开源工具 BusyBox 的一部分 applets。该开源 shell 脚本允许从受损的内核映像中提取未压缩的内核映像（vmlinux）。” 值得注意的是，CVE-2025-0282 也被另一个与中国有关联的威胁组织 Silk Typhoon（前身为 Hafnium）作为零日漏洞加以利用，微软本月早些时候披露了这一消息。 最新发现表明，恶意软件背后的威胁行为者正在积极改进和调整其技术，因此组织必须立即将其 Ivanti 实例更新到最新版本。 作为进一步的缓解措施，建议重置特权和非特权账户的凭证，轮换所有域用户和所有本地账户的密码，审查访问策略以暂时撤销受影响设备的权限，重置相关账户的凭证或访问密钥，并监控账户是否有异常活动迹象。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文