虽然有所进步，但总的来说，Android设备在安全方面依然毁誉参半。虽然操作系统本身和Google的Pixel多年来一直能够顽强抵御软件漏洞，但Google Play中永无止境的恶意应用程序和一些第三方制造商的脆弱设备已经损害了其形象。 周四，在两份报告称多个系列的Android设备预装了恶意软件，如果用户不采取特殊措施就无法删除这些恶意软件之后，这一形象进一步受到损害。 第一个报告来自安全公司趋势科技。研究人员根据在新加坡举行的黑帽安全会议上发表的演讲，报告说多达50个不同品牌的890万部手机被感染了恶意软件。安全公司Sophos的研究人员首先记录了Guerrilla，他们将这种恶意软件命名为Guerrilla，并在Google允许进入其Play市场的15个恶意应用程序中发现。 Guerrilla打开了一个后门，使受感染的设备定期与一个远程命令和控制服务器通信，以检查是否有任何新的恶意更新供他们安装。这些恶意更新收集了用户的数据，威胁者（趋势科技称之为Lemon Group）可以将这些数据出售给广告商。然后，Guerrilla偷偷地安装侵略性的广告平台，这些平台会耗尽电池储备并降低用户体验。 趋势科技研究人员写道： 虽然我们发现Lemon集团为大数据、营销和广告公司做了很多业务，但主要业务涉及大数据的利用： 分析海量的数据和厂商出货量的相应特征，不同用户在不同时间获得的不同广告内容，以及带有详细软件推送的硬件数据。这使得莱蒙集团能够监测到可以进一步感染其他应用程序的客户，从而在此基础上进一步发展，例如只专注于向某些地区的应用程序用户展示广告。 被感染的手机最集中的国家是美国，其次是墨西哥、印度尼西亚、泰国和俄罗斯。 Guerrilla是一个庞大的平台，有近十种插件，可以劫持用户的WhatsApp会话，发送不需要的信息，从受感染的手机建立反向代理，使用受影响移动设备的网络资源，并将广告注入合法应用程序。 不幸的是，趋势科技没有确定受影响的品牌，公司代表也没有回复询问的电子邮件。 第二份报告是由TechCrunch发布的。它详细介绍了通过亚马逊销售的几款基于Android的电视盒子，这些电视盒都带有恶意软件。典型的产品是T95 Allwinner H616，它被观察到由一个控制服务器管理，该服务器就像Guerrilla的服务器一样，可以安装恶意软件制造者想要的任何应用程序。预装在盒子上的默认恶意软件被称为”点击机器人”。它通过偷偷摸摸地在后台点击广告来获得广告收入。 TechCrunch引用了丹尼尔-米利西奇（Daniel Milisic）的报告，他是一名研究人员，碰巧买了一个受感染的电视盒子。米利西奇的发现被电子前沿基金会的研究员比尔-布丁顿独立证实。 出厂时就带有恶意软件的Android设备并不新鲜，其中大多数受影响的机型都属于入门级别。 在市场上购买Android手机的人应该转向知名品牌，这些品牌通常对其库存有更可靠的质量保证控制。到目前为止，还没有关于高端Android设备预装恶意软件的报告。同样，也没有关于iPhone的此类报告。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7235836187238220344/ 封面来源于网络，如有侵权请联系删除

研究人员称，在亚美尼亚至少有十几名受害者成为Pegasus的目标，这是iPhone间谍软件在军事冲突中的首次使用记录。NSO集团的间谍软件工具以前曾被政府使用，据称它们被用来试图入侵欧盟委员会官员的手机。以至于在2021年，苹果公司开始向它怀疑被黑的iPhone用户发送通知。 尽管NSO集团早早被列入美国国家安全风险黑名单，但它仍在继续开发新的方法来入侵iPhone和其他智能手机。 现在据《卫报》报道，研究人员声称，一名联合国官员，加上记者和人权活动家都遭遇网络入侵。据称，这十几名受害者是被阿塞拜疆政府因其与亚美尼亚的冲突而受到影响的。 黑客攻击发生在2020年10月至2022年12月，似乎与两国在有争议的纳戈尔诺-卡拉巴赫地区的军事冲突有关。 AccessNow以及大赦国际等机构的研究人员表示，亚美尼亚前外长安娜-纳格达良至少被黑27次。据报道，这些黑客及其时间使纳格达连”正处于与纳戈尔诺-卡拉巴赫危机有关的最敏感的对话和谈判中”。 纳格达连告诉研究人员，当时她的手机里有”关于战争期间发展的所有信息，即使手机上有最安全的系统，也不可能做到完全安全，”。 研究报告列出了其他受害者的名字，包括记者卡伦-阿斯拉尼扬（Karlen Aslanyan）和阿斯吉克-贝德维扬（Astghik Bedevyan）。五名受害者选择了匿名，但研究人员说其中一名是联合国代表。 据《卫报》报道，研究人员说黑客攻击是由NSO集团的一个客户完成的。该出版物不能最终确定是哪一个。 NSO集团的一位发言人说，它还没有收到新的报告。然而，该发言人表示，该公司会调查所有关于其间谍软件被滥用的可信报告。 目前还不知道哪些政府或机构正在使用PegASUS间谍软件，尽管美国联邦调查局据称已经拒绝使用该软件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7237104053191361084/ 封面来源于网络，如有侵权请联系删除

最近，汽车消费电子巨头 Voxx Electronics成为臭名昭著的勒索软件组织BlackCat的受害者，该团伙于5月24日在暗网上正式公开了此次攻击的详细信息。 BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型，包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件，并发布了一个随机数据样本。 泄露的 Voxx 数据样本 BlackCat要求 Voxx在72小时内支付赎金，否则，他们不仅将公开出售这些数据，还会将这起攻击事件告知给 Voxx 的所有客户，并附带机密文件的下载地址。 BlackCat还透露他们之所以这么做，是因为最初 Voxx拒绝与他们合作，并挑衅地说道“拒绝合作将被视为完全同意将客户和合作伙伴的数据公开到公共领域，并将其用于犯罪目的。” Voxx 已不是近来BlackCat的唯一受害者，5月22日，该组织声称入侵了国际会计和咨询公司Mazar Group，并从中窃取了超过 700 GB 的敏感信息，包括客户协议和财务记录。今年2月，他们袭击了美国的多个实体，包括一个由十几家医院组成的医疗保健网络，尽管此前他们声称会避免针对医疗保健行业的勒索攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367505.html 封面来源于网络，如有侵权请联系删除

多个恶意黑客团伙利用2021年9月Babuk（又名Babk或Babyk）勒索软件泄露的源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族。 美国安全厂商SentinelOne公司的研究员Alex Delamotte表示，“这些变体在2022年下半年至2023年上半年开始出现，表明对Babuk源代码的利用呈现出上升趋势。” “在泄露源代码的帮助下，即使恶意黑客缺乏构建攻击程序的专业知识，也能对Linux系统构成威胁。” 许多大大小小的网络犯罪团伙都将目光投向ESXi管理程序。自今年年初以来，已经出现至少三种不同的勒索软件变种——Cylance、Rorschach（又名BabLock）和RTM Locker等，它们都以泄露的Babuk源代码为基础。 图：Babuk默认展示的赎金消息 SentinelOne最新分析表明，如今这种现象已经愈发普遍，Conti和REvil（又名REvix）等黑客团伙也开始利用Babuk源代码开发更多ESXi勒索软件。 其他将Babuk功能移植进自身代码的勒索软件家族还包括LOCK4、DATAF、Mario、Play和Babuk 2023（又名XVGV）等。 尽管出现了明显的趋势，但SentinelOne公司表示，它没有观察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索软件间存在相似之处。该公司还发现，ESXiArgs和Babuk之间同样“几乎没有相似之处”，表明之前的归因可能有误。 Delamotte解释道，“随着越来越多ESXi勒索软件采用Babuk源代码，恶意黑客们有可能会转向该组织基于Go语言开发的NAS勒索软件。在黑客群体之间，Go语言目前仍是个小众选项，但其接受程度正在不断增加。” 这一趋势始于Royal勒索软件的幕后团伙（疑似前Conti成员）扩展攻击工具库，他们曾将针对Linux和ESXi环境的ELF变体纳入自己的武器储备。 Palo Alto Networks旗下安全部门Unit 42发布文章也指出，“ELF变体与Windows变体非常相似，样本没有使用任何混淆技术。包括RSA公钥和赎金记录在内的所有字符串，均以明文形式存储。” Royakl勒索软件攻击会从各种初始访问向量（如回调钓鱼、BATLOADER感染或窃取凭证等）起步，随后投放Cobalt Strike Beacon以预备执行勒索软件。 自2022年9月出现以来，Royal勒索软件已在其泄露网站上宣称对157家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/x6-cRbKCbM9xBXc5Wfrk_Q 封面来源于网络，如有侵权请联系删除

瑞士跨国公司ABB是一家行业领先的电气化和自动化技术提供商。据报道，该公司近日遭遇了Black Basta勒索软件攻击，影响到了其业务运营。 ABB总部位于瑞士苏黎世，拥有约105,000名员工，2022年的收入为294亿美元。作为其服务的一部分，该公司为制造业和能源供应商开发工业控制系统(ICS)和SCADA系统。该公司与很多客户和地方政府合作，包括沃尔沃、日立、DS Smith、纳什维尔市和萨拉戈萨市。 ABB在美国运营着40多家工程、制造、研究和服务设施，并拥有良好的业绩记录，为多种联邦机构提供服务，包括国防部，如美国陆军工程兵团，以及联邦民用机构，如内政部、交通部、能源部、美国海岸警卫队以及美国邮政服务。 5月7日，Black Basta勒索软件对ABB发起了攻击。有多名员工称，勒索软件攻击影响到了该公司的Windows Active Directory，并波及到了数百台设备。 遭到攻击后，ABB中断了与客户的VPN连接，以防止勒索软件传播到其他网络。这次袭击导致该公司的不少项目被推迟，扰乱了该公司的运营及工厂生产周期。 Black Basta勒索团伙究竟是谁？ 2022年4月，Black Basta勒索软件团伙启动了勒索软件即服务(RaaS)行动，并迅速开始在双重勒索攻击中积累企业受害者。 2022年6月，Black Basta与QBot恶意软件操作(QakBot)合作，在受感染的设备上投放了Cobalt Strike。不仅如此，Black Basta还会利用Cobalt Strike获得公司网络的初始访问权限，并横向传播到其他设备上。 黑巴斯塔攻击流 来源:Palo Alto Networks Unit 42 与其他针对企业的勒索软件操作一样，Black Basta创建了一个Linux加密器来攻击运行在Linux服务器上的VMware ESXi虚拟机。 研究人员认为，这个勒索软件团伙可能和FIN7黑客组织有所关联。FIN7黑客组织是一个专门以经济作为攻击动机的网络犯罪团伙，也被称为Carbanak。 自该勒索软件“面世”以来，威胁行为者发起了一系列攻击，攻击的对象包括美国牙科协会，索比斯，可耐福和加拿大黄页等。 最近，该勒索软件又攻击了英国最大的外包公司Capita，并在网上泄露其盗取来的数据。 转自 Freebuf，原文链接：https://www.freebuf.com/news/366283.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，网络安全公司 Dragos 近期遭遇了勒索软件攻击，一个网络犯罪团伙试图突破 Dragos 的防御系统，渗透到其内部网络，以期对设备进行加密。 Dragos 发言人表示虽然网络攻击者可以“访问” SharePoint 云服务和合同管理系统，但并证据表明攻击者破坏了内部网络系统和网络安全平台。 网络攻击者通过 Dragos 员工账户侵入系统 值得一提的是，网络攻击者入侵 Dragos 网络系统充满了戏剧性，他们利用了一名 Dragos 销售员工个人信息，完成员工入职过程中的初始流程。（该名员工入职前泄露了包括电子邮件在内的个人信息）。 成功入侵到 Dragos 的 SharePoint 云平台后，攻击者获得访问销售部门新员工可以使用的资源的权限，还下载了“通用数据”，并访问了 25 份通常只对客户可用的情报报告。好消息是，由于基于角色的访问控制（RBAC）规则，威胁攻击者不能访问包括消息传递、IT 服务台、财务、征求建议书（RFP）、员工识别和营销系统等其它 Dragos 系统。 勒索软件攻击事件时间线（Dragos） 网络攻击者在眼看迟迟不能攻破 Dragos 的内部网络后，随及向 Dragos 高管发送了一封勒索电子邮件。5小时后，Dragos 相关人员看到了 勒索消息，五分钟后，立刻禁用了被破坏的安全帐户，撤销所有活动会话。 Dragos 在声明中指出安全研究人员调查了公司安全信息和事件管理（SIEM）中的警报，阻止被攻击的账户，之后迅速聘请了第三方监测、检测和响应（MDR）供应商来管理事件响应工作，相信公司的分层安全控制阻止了威胁攻击者的行动。 Dragos 担心部分数据可能被公开 Dragos 发言人强调虽然外部事件响应公司和 Dragos 分析师认为勒索事件得到了最大程度的控制，但公司选择不支付勒索费用，事情发生也从未试图联系网络攻击者，因此有数据被盗和被公开的可能性。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366207.html 封面来源于网络，如有侵权请联系删除

美国司法部当地时间5月9日宣布，由FBI进行的美杜莎联合行动已经成功阻止了来自俄罗斯联邦安全局 (FSB) 的恶意软件Snake，该软件被指窃取北大西洋公约组织 (NATO) 成员国政府的机密文件长达近20年之久。 Snake是由受俄罗斯政府支持的黑客组织Turla（又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug）研发。根据美国网络安全和基础设施安全局 (CISA) 发布的一份咨询报告，Snake 被设计为一种秘密工具，用于对高优先级目标进行长期情报收集，并针对目标创建点对点 (P2P) 全球受感染系统网络，P2P 网络中的多个系统充当中继节点，将伪装的操作流量与Snake恶意软件相连接，从而使活动难以检测。 因此，美国司法部表示，在窃取数据后，Snake能够通过遍布美国及其他地区的受感染机器网络泄露敏感数据，以加大检测难度。 在此次针对Snake的行动中，FBII开发了一种名为 Perseus 的工具，能够让Snake覆盖其自身重要组件，在不影响主机或计算机上的合法应用程序的情况下自行禁用。 但禁用 Snake 的没有修补任何漏洞，也没有搜索或删除黑客组织可能放置在系统上的其他恶意软件或工具，司法部建议采取更多额外措施来保护系统安全。 老牌黑客组织Turla 作为强大的跨平台黑客组织，Turla的一系列策略和工具几乎能够覆盖Windows、macOS、Linux 和 Android四大主流系统，这与其自身存在的时间之长、技术沉淀之多不无关系。 谷歌云 Mandiant 情报分析主管 John Hultquist 表示，Turla是他们所追踪的存在时间最长的黑客组织之一，最早可以追溯到上世纪90年代针对美国及政府机构的攻击，卡巴斯基也曾在2017年发现Turla悄然回收了在90 年代针对美国的网络攻击中使用的代码。今年， Mandiant也观察到 Turla 使用已有 10 年历史的恶意软件 Andromeda 对乌克兰进行监视。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366214.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞，对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统，就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点，创建新用户帐户，随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 CACTUS  善于利用各种工具 自 2023 年 3 月以来，安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外，网络攻击者采用了双重勒索策略，在加密前窃取敏感数据。值得一提的是，截至目前为止尚未发现任何数据泄露。 CACTUS 恶意软件利用存在漏洞 VPN 设备后，进入目标系统，设置一个 SSH 后门，以谋求后续能够“长久”入侵。在完成上述步骤后，开始执行一系列 PowerShell 命令进行网络扫描，并确定用于加密的计算机列表。 此外，在 CACTUS 恶意软件攻击过程中，还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制，同时也“积极”利用 AnyDesk 等远程监控和管理（RMM）软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案，以及从 Web 浏览器和本地安全子系统服务（LSASS）中提取凭证以提升自身权限。 CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现，其中赎金软件是通过 PowerShell 脚本实现的（Black Basta 也使用过类似方法）。 Cactus 与其它恶意软件存在明显差异 与其它勒索软件相比，Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件，Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏，CACTUS 本质上是对自身进行加密，使其更难检测，并帮助其避开防病毒和网络监控工具。（CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件，然后在执行有效负载之前删除 .7z 档案。) Cactus 勒索软件存在三种主要的执行模式，每种模式都使用特定的命令行开关进行选择：设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中，加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看，CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞，侵入目标受害者网络，这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞，进行初始入侵。 几天前，趋势科技也发现名为 Rapture 的勒索软件，它的整个感染链最多可持续三到五天。 最后，研究人员强调有理由怀疑，攻击活动是通过易受攻击网站和服务器促进入内部系统的，因此实体组织必须采取措施保持系统的最新状态，并执行最低特权原则（PoLP）。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366111.html 封面来源于网络，如有侵权请联系删除

近日，美国联邦调查局和国际当局宣布，他们已成功拆除由克里姆林宫支持的一个臭名昭著的黑客组织使用了二十年的恶意软件植入程序。 美国司法部表示，它于周一获得法院授权，允许美国执法部门清除被称为“Snake”的恶意代码，该恶意软件与俄罗斯Turla黑客组织相关联 。Turla是一个长期隶属于俄罗斯联邦安全局 (FSB) 的组织。调查人员追踪该组织的活动到俄罗斯的一个 FSB 设施。 “我们认为这是他们的首要间谍工具。”一位联邦调查局高级官员在电话会议上告诉记者，并指出它已被部署用于对付北约国家和其他国家，目的是窃取美国的敏感信息。 “20年来，FSB 一直依靠 Snake 恶意软件对美国和我们的盟友进行网络间谍活动，但是今天结束了。”美国司法部国家安全部负责人助理司法部长马修奥尔森在一份声明中说。 根据公告发布的一份宣誓书，这项名为“美杜莎”的行动表面上剥夺了俄罗斯组织所依赖的工具。该工具“在全球至少 50 个国家/地区破坏了数百台计算机”。 FBI 官员说：“我们有能力将其关闭，然后公开向网络防御者提供保护其网络免受其攻击的能力，我们认为这使得 FSB 无法在此次行动后重组。” FBI 能够识别出 19 个与受感染的美国计算机相关的互联网协议 (IP) 地址，但该官员拒绝透露具体有多少美国计算机受到感染。这位官员透露，截至周一，Snake 已经“活跃起来”。 执法部门在周一获得合法许可后，FBI 部署了自己特制的工具，称为“Perseus”，允许该机构将命令发回恶意软件（该恶意软件自 2004 年推出以来经历了多次迭代）。此举导致 Snake 覆盖其核心组件，然后自毁。在希腊神话中，珀尔修斯杀死了蛇发美杜莎。 司法部依靠被称为规则Rule 41 程序的特别扣押令，从美国受害计算机中删除俄罗斯恶意软件。它过去曾做过两次：一个是扰乱 Hafnium 间谍活动并摧毁Cyclops Blink ；另一个是扰乱由俄罗斯情报部门控制的僵尸网络。 美国及其盟友发布了一份冗长的网络安全咨询，详细说明了 Snake 的工作原理以及如何缓解它。 美国国家安全局网络安全主管 Rob Joyce 在推特上写道：“这些技术细节将帮助行业政府在全球范围内找到并关闭恶意软件。” 谷歌云 Mandiant Intelligence Analysis 负责人 John Hultquist 在推特上表示：“Turla 黑客行动缓慢，他们似乎总是在幕后工作。这种破坏将是暂时的，但战争还在继续，现在是破坏敌人情报机构的最佳时机，当时他们正试图做出更好的决定以摆脱困境。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/RRsDZP9B_H_f0IUaV5rPzg 封面来源于网络，如有侵权请联系删除

近日，一个名为“AndoryuBot”的新恶意僵尸网络瞄准了Ruckus无线管理面板上的一个严重漏洞。该漏洞可以感染未打补丁的Wi-Fi接入点，用于DDoS攻击。 该漏洞被追踪为CVE-2023-25717，会影响所有版本为10.4及之前版本Ruckus无线管理面板。该漏洞允许远程攻击者通过向易受攻击的设备发送未经认证的HTTP GET请求来执行代码执行。2023年2AndoryuBot首次出现，2月8日被修复，但针对Ruckus设备的更新版本于4月中旬才出现。 僵尸网络恶意软件旨在将易受攻击的设备加入到其DDoS(分布式拒绝服务)群中，以获取利润。 Ruckus攻击细节 恶意软件通过恶意HTTP GET请求感染易受攻击的设备，然后从一个硬编码的URL下载一个额外的脚本，以达到进一步传播的目的。 恶意HTTP请求(Fortinet) Fortinet分析的变体可以针对许多系统架构，包括x86、arm、spc、m68k、mips、sh4和mpsl。恶意软件在感染设备后，通过SOCKS代理协议与C2服务器建立通信、隐身并绕过防火墙，然后等待命令。 建立C2通信(Fortinet)     转自 Freebuf，原文链接：https://www.freebuf.com/news/366099.html 封面来源于网络，如有侵权请联系删除