HackerNews 编译，转载请注明出处：   微软威胁情报团队近日宣布，他们发现了一种新的 XCSSET 恶意软件变体，该变体在野外的有限攻击中被发现。 “这是自 2022 年以来已知的首个 XCSSET 变体，具有增强的混淆方法、更新的持久性机制和新的感染策略，”微软威胁情报团队在 X 上的一篇帖子中表示。 这些增强功能增加了该恶意软件家族之前已知的能力，例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。 XCSSET 是一种复杂的模块化 macOS 恶意软件，已知会通过感染 Apple Xcode 项目来攻击用户。它最初在 2020 年 8 月由趋势科技记录。 随后的恶意软件迭代被发现能够适应新的 macOS 版本以及苹果自家的 M1 芯片。2021 年年中，这家网络安全公司指出，XCSSET 已经更新，可以从各种应用程序（如 Google Chrome、Telegram、Evernote、Opera、Skype、WeChat 以及苹果自家的 Contacts 和 Notes 应用程序）中窃取数据。 Jamf 同一时间的另一份报告揭示了该恶意软件利用 CVE-2021-30713（一个 Transparency、Consent 和 Control (TCC) 框架绕过漏洞）作为零日漏洞，在不需要额外权限的情况下截取受害者桌面的屏幕截图。 一年多后，它再次更新，增加了对 macOS Monterey 的支持。截至目前，该恶意软件的起源仍未知。 微软的最新发现标志着自 2022 年以来的首次重大修订，采用了改进的混淆方法和持久性机制，旨在挑战分析工作，并确保每次启动新的 shell 会话时恶意软件都会被启动。 XCSSET 建立持久性的另一种新方法是从未知的命令和控制服务器下载签名的 dockutil 实用程序，以管理 dock 项目。 “恶意软件随后创建一个假的 Launchpad 应用程序，并将合法 Launchpad 在 dock 中的路径条目替换为这个假的条目，”微软表示，“这确保了每次从 dock 启动 Launchpad 时，合法的 Launchpad 和恶意负载都会被执行。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 在对 REF7707 入侵组织的最近调查中发现了一个新的恶意软件家族，该家族利用 Microsoft Outlook 草稿通过 Microsoft Graph API 作为隐蔽通信渠道。这个被命名为 FINALDRAFT 的后利用工具包包括一个加载器、一个后门以及多个为高级网络间谍活动设计的子模块。 Elastic 团队发现了该恶意软件的 Windows 和 Linux 版本，证据表明其经过了长期开发和重大的工程努力。“工具的完整性和涉及的工程水平表明开发者组织严密，”Elastic Security Labs 指出，并补充说，“行动的长时间跨度和我们的遥测数据表明，这很可能是一场以间谍活动为导向的运动。” FINALDRAFT 恶意软件通过 PATHLOADER 部署，PATHLOADER 是一个轻量级的 Windows PE 可执行文件（206 KB），作为第一阶段加载器。它从攻击者控制的基础设施下载 AES 加密的 shellcode，解密后在内存中执行。恶意软件通过 API 哈希、混淆和沙箱逃避技术避免静态分析。 Elastic Security Labs 强调，PATHLOADER 的嵌入式配置包括两个拼写错误的域名，模仿安全厂商： poster.checkponit[.]com（模仿 Check Point） support.fortineat[.]com（模仿 Fortinet） 这种欺骗性策略旨在逃避检测，并将恶意流量与合法的安全厂商活动混合。 FINALDRAFT 是一个用 C++ 编写的 64 位恶意软件，重点在于数据窃取和进程注入。它通过加载加密配置、生成会话 ID 并通过 Outlook 草稿与命令与控制（C2）服务器交互来运行。 “FINALDRAFT 与 C2 通信使用的会话 ID 是通过创建一个随机 GUID，然后使用 Fowler-Noll-Vo（FNV）哈希函数处理生成的，”报告解释道。 FINALDRAFT 的一个显著特点是能够利用 Outlook 的邮件草稿作为 C2 通道。恶意软件不是通过直接网络通信，而是： 如果尚不存在，则创建一个会话草稿邮件。 读取并删除由攻击者生成的命令请求草稿。 执行命令，如进程注入、文件操作和网络代理。 将响应写入草稿邮件，确保攻击者可以在不引发警报的情况下获取结果。 这种方法最大限度地减少了网络流量痕迹，使传统安全解决方案的检测难度显著增加。 FINALDRAFT 包括 37 个命令处理器，允许其执行进程注入、TCP/UDP 代理、文件操作和权限提升。值得注意的是，恶意软件的进程注入技术依赖于 VirtualAllocEx、WriteProcessMemory 和 RtlCreateUserThread API 调用。 “目标进程要么是作为命令参数提供的可执行路径，要么默认为 mspaint.exe 或 conhost.exe 作为备用，”报告指出。 除了 Windows 功能外，还发现了一个 ELF 版本的 FINALDRAFT，支持多种超出 Outlook 草稿的 C2 传输协议，包括： HTTP/HTTPS 反向 UDP ICMP 和绑定 TCP 反向 TCP 和 DNS 这表明 FINALDRAFT 具有跨平台适应性，使其成为攻击者针对 Windows 和 Linux 环境的多功能工具。 Elastic Security Labs 强烈怀疑 FINALDRAFT 是更大规模间谍活动的一部分。恶意软件的复杂设计、持久性技术和对隐蔽通信方法的依赖表明，其背后有一个资金充足且能力强大的对手。 安全研究人员敦促组织监控 Outlook API 活动，实施强大的终端检测解决方案，并阻止已知的 C2 域名，以降低风险。   消息来源：Security Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PirateFi的免费游戏在Steam商店中被发现向不知情的用户分发Vidar信息窃取恶意软件。 这款游戏在Steam目录中存在了近一周，从2月6日至2月12日，期间被最多1500名用户下载。分发服务已向可能受影响的用户发送通知，建议他们出于谨慎考虑重新安装Windows系统。 Steam上的恶意软件 PirateFi由Seaworth Interactive于上周在Steam上发布，并获得了正面评价。该游戏被描述为一款设定在低多边形世界中的生存游戏，涉及基地建设、武器制作和食物收集。 然而，Steam本周早些时候发现该游戏包含恶意软件，但未具体说明恶意软件的类型。 通知中写道：“该游戏的开发者账户上传了包含疑似恶意软件的版本。” “您在这些版本活跃期间在Steam上玩了PirateFi，因此这些恶意文件很可能已在您的电脑上运行，”服务警告称。 建议受影响用户运行全系统扫描，使用最新的杀毒软件，检查是否有不认识的新安装软件，并考虑重新格式化操作系统。 受影响用户还在PirateFi的Steam社区页面上发布了警告，告知其他用户不要启动游戏，因为他们的杀毒软件已将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获取了通过PirateFi分发的恶意软件样本，并确认其为Vidar信息窃取者的一个版本。 “如果您是下载了这款‘游戏’的玩家之一：请认为您的浏览器、电子邮件客户端、加密货币钱包等保存的凭据、会话cookie和秘密已被窃取，”SECUINFRA建议道。 建议更改所有可能受影响账户的密码，并在可能的情况下激活多因素身份验证保护。 根据动态分析和YARA签名匹配，识别为Vidar的恶意软件被隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe）与InnoSetup安装程序打包在一起。 Genheimer告诉BleepingComputer，威胁行为者多次修改了游戏文件，使用各种混淆技术，并更改了用于凭据窃取的命令与控制服务器。 研究人员认为，PirateFi名称中的web3/区块链/加密货币引用是故意为之，旨在吸引特定的玩家群体。 Steam未公布受PirateFi恶意软件影响的用户数量，但从游戏页面的统计数据来看，最多可能有1500人受到影响。 恶意软件入侵Steam商店并不常见，但并非前所未有。 2023年2月，Steam用户曾被恶意的Dota 2游戏模式 targeting，这些模式利用Chrome n-day漏洞在玩家电脑上执行远程代码。 2023年12月，当时流行的独立策略游戏《Slay the Spire》的一个模组被黑客入侵，注入了一个名为‘Epsilon’的信息窃取者投放器。 Steam引入了额外的措施，如基于短信的验证，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，这些措施还不够充分。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据研究人员观察，网络攻击者正在针对亚洲地区的互联网信息服务（IIS）服务器发起攻击，安装名为BadIIS的恶意软件，以实施搜索引擎优化（SEO）操纵活动。 趋势科技的研究人员泰德·李和伦纳特·贝尔梅霍在上周发布的分析报告中指出：“该活动很可能是出于经济动机，因为攻击者将用户重定向至非法赌博网站，表明他们利用BadIIS是为了谋取利润。” 此次攻击活动的目标包括印度、泰国、越南、菲律宾、新加坡、中国台湾、韩国、日本和巴西的IIS服务器，涉及政府、大学、科技公司和电信行业等多个领域。 攻击者通过向受感染服务器发送请求，可向用户推送篡改后的内容，包括将用户重定向至赌博网站，或连接到托管恶意软件或凭据收集页面的恶意服务器。 据推测，此次攻击活动可能与中国DragonRank威胁团伙有关。该团伙以使用SEO操纵手段传播BadIIS恶意软件而闻名，其活动曾在2024年被思科Talos记录。此外，DragonRank的活动还与ESET在2021年提到的“9号团伙”有关，后者利用受感染的IIS服务器提供代理服务并实施SEO欺诈。 趋势科技指出，此次检测到的恶意软件样本与“11号团伙”使用的变种存在相似之处，具有两种模式：一是通过篡改HTTP响应头信息实施SEO欺诈，二是向合法访问者的响应中注入可疑JavaScript代码。 研究人员表示：“BadIIS可以篡改来自网络服务器的HTTP响应头信息，它会检查收到的HTTP头中的‘用户代理’和‘来源’字段。如果这些字段包含特定的搜索引擎站点或关键词，BadIIS会将用户重定向至与非法在线赌博网站相关的页面，而不是合法网页。” 与此同时，Silent Push将中国Funnull内容分发网络（CDN）与一种名为“基础设施洗白”的行为联系起来。攻击者通过从亚马逊网络服务（AWS）和微软Azure等主流托管提供商处租用IP地址，用于托管犯罪网站。Funnull被指从亚马逊租用了超过1200个IP地址，从微软租用了近200个IP地址，这些恶意基础设施已被全部关停。然而，该公司表示：“Funnull每隔几周就会持续获取新的IP地址，很可能是通过欺诈或被盗账户获取这些IP地址，以映射到其CNAME。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Hugging Face 平台上存在两个恶意机器学习（ML）模型，这些模型利用一种不寻常的“损坏”Pickle 文件技术来规避检测。 “从上述 PyTorch 存档中提取的 Pickle 文件显示，文件开头包含恶意 Python 内容，”ReversingLabs 研究员 Karlo Zanki 在一份与 The Hacker News 共享的报告中表示。“在这两种情况下，恶意负载都是一个典型的平台感知型反向 shell，连接到硬编码的 IP 地址。” 这种方法被称为 nullifAI，因为它试图绕过现有的安全防护措施，避免被识别为恶意模型。以下是 Hugging Face 上的模型存储库列表： glockr1/ballr7 who-r-u0000/0000000000000000000000000000000000000 这些模型更像是概念验证（PoC），而不是实际的供应链攻击场景。 Pickle 序列化格式常用于分发机器学习模型，但因其存在安全风险而屡遭诟病，因为它允许在加载和反序列化时执行任意代码。 被检测到的两个模型存储在 PyTorch 格式中，实际上就是压缩的 Pickle 文件。尽管 PyTorch 默认使用 ZIP 格式进行压缩，但这些模型使用的是 7z 格式。这种行为使得模型能够避开 Hugging Face 用于检测可疑 Pickle 文件的 Picklescan 工具。 “这个 Pickle 文件的一个有趣之处在于，对象序列化——Pickle 文件的目的——在恶意负载执行后不久就会中断，导致对象反编译失败，”Zanki 说。 进一步分析发现，由于 Picklescan 和反序列化工作方式之间的差异，即使工具抛出错误消息，这些损坏的 Pickle 文件仍然可以部分反序列化，从而执行恶意代码。该开源工具随后已更新以修复此漏洞。 “这种行为的解释是，Pickle 文件的对象反序列化是按顺序进行的，”Zanki 指出。“Pickle 操作码在遇到时会被执行，直到所有操作码执行完毕或遇到错误指令。在发现的模型中，由于恶意负载插入在 Pickle 流的开头，模型的执行不会被 Hugging Face 现有的安全扫描工具检测为不安全。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动安全公司 Zimperium 发布警告称，威胁行为者利用超过 1000 款恶意应用窃取了印度数万名安卓用户的信息。 此次名为 FatBoyPanel 的恶意活动，通过使用实时电话号码进行短信重定向，而非传统的命令与控制（C&C）服务器来窃取一次性密码（OTP），这一点与典型的移动端恶意活动有所不同。据 Zimperium 称，此次攻击由单一威胁行为者发起，该行为者使用了大约 1000 个电话号码来收集用户信息。该公司还发现了大约 900 个与该活动相关的恶意软件样本，主要针对印度银行的用户。 “对收集到的样本进行分析后，我们发现这些样本具有相似的代码结构、用户界面元素和应用标识，这表明这是单一威胁行为者针对运行安卓操作系统的移动设备所进行的协调攻击，”Zimperium 在一份研究笔记中表示。 该公司表示，他们发现了 220 多个公开可访问的 Firebase 存储桶，威胁行为者在其中存储了 2.5GB 的信息，包括银行短信、银行卡和银行详细信息以及政府身份证数据，并估计有 5 万名用户受到了影响。 该活动依赖于 WhatsApp 来传播伪装成政府或银行应用的 APK 文件，但实际上这些文件会安装恶意软件，诱骗用户泄露敏感信息。“恶意软件利用短信权限拦截和窃取短信，包括一次性密码（OTP），从而实现未经授权的交易。此外，它还采用隐身技术隐藏图标并抵抗卸载，确保在受感染设备上的持久存在，”Zimperium 说。 该公司表示，恶意应用通过截获并转发短信、将窃取的短信发送到充当 C&C 服务器的 Firebase 数据库，或结合这两种技术来窃取受害者信息。 应用中嵌入了硬编码的电话号码，用于窃取一次性密码（OTP）和短信，“这表明这些号码要么直接由攻击者控制，要么属于受他们控制的被攻破的个人，”Zimperium 还发现，存储被盗信息的 Firebase 数据库缺乏身份验证机制，这意味着任何人都可以访问这些数据库，从而暴露了管理员的详细信息和用于窃取信息的电话号码。 通过访问攻击者的管理仪表板，Zimperium 发现了攻击中使用的电话号码，并得出结论，这使得多个用户可以操作该活动。Zimperium 追踪到这些硬编码的电话号码与印度的特定地区有关，如西孟加拉邦、比哈尔邦和贾坎德邦。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对存在漏洞的 SimpleHelp RMM 客户端，创建管理员账户、植入后门，并可能为勒索软件攻击铺路。 这些漏洞被追踪为 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728，Arctic Wolf 上周报告称这些漏洞可能正在被积极利用。然而，这家网络安全公司无法确定这些漏洞是否确实被利用。 网络安全公司 Field Effect 已确认这些漏洞在最近的攻击中被利用，并发布了一份报告，揭示了漏洞利用后的活动细节。 此外，网络安全研究人员提到，观察到的活动有 Akira 勒索软件攻击的迹象，尽管他们没有足够的证据进行高置信度的归因。 针对 SimpleHelp RMM 的攻击 攻击始于威胁行为者利用 SimpleHelp RMM 客户端中的漏洞，建立与目标终端的未经授权连接。 攻击者从 IP 地址 194.76.227[.]171 连接，这是一台位于爱沙尼亚的服务器，在 80 端口上运行 SimpleHelp 实例。 一旦通过 RMM 连接，攻击者迅速执行一系列发现命令，以了解更多关于目标环境的信息，包括系统和网络详细信息、用户和权限、计划任务和服务以及域控制器信息。Field Effect 还观察到一个搜索 CrowdStrike Falcon 安全套件的命令，可能是绕过尝试。 利用他们的访问权限和知识，攻击者随后创建了一个名为 “sqladmin” 的新管理员账户，以保持对环境的访问，接着安装了 Sliver 后利用框架（agent.exe）。 Sliver 是 BishopFox 开发的后利用框架，过去几年中作为 Cobalt Strike 的替代品使用，后者越来越多地被终端保护检测到。 部署后，Sliver 会连接回命令和控制服务器（C2），打开反向 shell 或等待在受感染主机上执行命令。 在攻击中观察到的 Sliver 信标被配置为连接到荷兰的 C2。Field Effect 还识别了一个启用了远程桌面协议（RDP）的备用 IP。 建立持久性后，攻击者通过使用相同的 SimpleHelp RMM 客户端深入网络，攻陷域控制器（DC），并创建另一个管理员账户（“fpmhlttech”）。 攻击者没有植入后门，而是安装了一个伪装成 Windows svchost.exe 的 Cloudflare Tunnel，以保持隐蔽访问并绕过安全控制和防火墙。 SimpleHelp 用户被建议尽快应用可用的安全更新，以解决 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728。更多信息，请查看供应商公告。 此外，查找名为 “sqladmin” 和 “fpmhlttech” 的管理员账户，或任何你不认识的账户，并查找 Field Effect 报告中列出的 IP 地址的连接。 最终，用户应将 SimpleHelp 访问限制在受信任的 IP 范围内，以防止未经授权的访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据韩国网络安全公司AhnLab Security Intelligence Center（ASEC）2月6日消息，与朝鲜有关的国家级黑客组织Kimsuky被发现利用名为forceCopy的信息窃取恶意软件进行鱼叉式网络钓鱼攻击。 攻击活动始于2024年3月，攻击者通过伪装成Microsoft Office或PDF文档的Windows快捷方式（LNK）文件的钓鱼邮件开始攻击。打开附件会触发PowerShell或mshta.exe的执行，这些是微软合法的二进制文件，用于下载和运行来自外部源的下一阶段有效载荷。 此次攻击最终部署了已知的木马PEBBLEDASH和开源远程桌面工具RDP Wrapper的自定义版本。攻击者还使用了代理恶意软件，通过RDP建立与外部网络的持久通信。此外，Kimsuky还被发现使用基于PowerShell的键盘记录器记录按键，并使用新的forceCopy窃取恶意软件复制存储在Web浏览器相关目录中的文件。 “所有恶意软件安装的路径都是Web浏览器的安装路径，”ASEC表示。“据推测，威胁行为者试图绕过特定环境中的限制，窃取存储凭据的Web浏览器配置文件。” 使用RDP Wrapper和代理工具来控制受感染主机，表明Kimsuky的战术发生了变化，该组织历史上一直使用定制的后门程序。 Kimsuky，也被称为APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427和Velvet Chollima，被认为与朝鲜主要对外情报机构侦察总局（Reconnaissance General Bureau）有关。 自2012年以来，Kimsuky一直活跃，擅长组织定制的社会工程攻击，能够绕过电子邮件安全防护。2024年12月，网络安全公司Genians透露，该黑客组织一直在发送来自俄罗斯服务的钓鱼信息，以进行凭证窃取。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司卡巴斯基周二表示，其检测并阻止了一次由SparkCat恶意软件发起的攻击，该软件利用光学字符识别（OCR）技术从图像中提取加密钱包的恢复短语。 这次攻击活动始于2024年3月，通过在苹果和谷歌的应用商店上分发虚假应用来窃取用户的加密钱包助记词。这些应用伪装成人工智能、食品配送和Web3应用，虽然其中一些应用似乎提供了合法功能，但实际上却隐藏着恶意软件。 卡巴斯基研究人员德米特里·卡利宁和谢尔盖·普扎表示，这些应用会解密并启动一个使用谷歌ML Kit库构建的OCR插件，用于识别图库中图像中的文本。匹配从命令和控制（C2）服务器接收到的关键词的图像会被发送到服务器。 值得注意的是，这是首次在苹果应用商店中发现具有OCR功能的恶意软件。谷歌应用商店中的受感染应用下载量已超过242,000次。 SparkCat恶意软件的iOS版本同样依赖谷歌的ML Kit库进行OCR操作，以窃取包含助记词的图像。该恶意软件的一个显著特点是使用基于Rust的通信机制与C2服务器进行通信，这在移动应用中较为罕见。 进一步分析关键词和这些应用的可用区域表明，该活动主要针对欧洲和亚洲的用户。研究人员评估认为，此次恶意活动是由一名精通中文的威胁行为者所为。 “该木马特别危险的地方在于，其应用内没有任何恶意植入的迹象，”研究人员表示，“它所请求的权限可能看起来是其核心功能所需的，或者乍一看似乎无害。” 与此同时，网络安全公司Zimperium zLabs披露了另一针对印度安卓设备用户的移动恶意软件活动，该活动通过WhatsApp分发恶意APK文件，伪装成银行和政府应用，以窃取用户的敏感信息和财务数据。 Zimperium zLabs表示，已识别出与该活动相关的1,000多个虚假应用，攻击者利用大约1,000个硬编码电话号码作为短信和一次性密码（OTP）的泄露点。 “与传统依赖C&C服务器窃取OTP的银行木马不同，此次恶意软件活动利用真实电话号码重定向短信，为执法机构追踪幕后威胁行为者留下了可追溯的数字线索，”安全研究员阿齐姆·亚斯万特表示。 此次攻击活动名为FatBoyPanel，目前已收集了约2.5GB的敏感数据，这些数据全部托管在无需身份验证即可访问的Firebase端点上。 这包括来自印度银行的短信、银行详细信息、信用卡和借记卡信息，以及约50,000名用户的政府颁发身份证明细节，其中大多数用户位于印度的西孟加拉邦、比哈尔邦、贾坎德邦、卡纳塔克邦和中央邦。 这些事件敲响了警钟，提醒用户在下载应用时，即使是在官方应用商店中，也应仔细审查应用代码，包括检查开发者的真实性。 这一情况也与2024年针对苹果macOS系统的24个新恶意软件家族的出现相吻合，较2023年的21个有所增加，据安全研究员帕特里克·沃德尔表示。 这与针对桌面操作系统用户的InfoStealer攻击激增相一致，如Poseidon、Atomic和Cthulhu等。 “利用macOS的InfoStealer通常会利用原生的AppleScript框架，”Palo Alto Networks Unit 42的研究人员汤姆·法克特曼、陈艾利克和汤姆·莎伦在本周发布的一份报告中表示。 “该框架提供了广泛的操作系统访问权限，并且其自然语言语法简化了执行过程。由于这些提示可能看起来像是合法的系统提示，威胁行为者利用这一框架通过社会工程手段诱骗受害者。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Morphisec 发现了 ValleyRAT 恶意软件的一个新变种，该变种具备先进的规避策略、多阶段感染链以及针对系统的全新传播方式。 Morphisec 威胁实验室的网络安全研究人员发现了这种复杂的 ValleyRAT 恶意软件的新版本，它通过网络钓鱼邮件、即时通讯平台以及被攻陷的网站等多种渠道进行传播。ValleyRAT 是一种多阶段恶意软件，与臭名昭著的 “银狐” 高级持续性威胁（APT）组织有关联。 根据 Morphisec 与Hackread.com分享的调查结果，此次攻击活动的主要目标是各组织内的重要人员，尤其是财务、会计和销售部门的人员，目的是窃取敏感数据。 早期的 ValleyRAT 版本利用伪装成合法软件安装程序的 PowerShell 脚本，常常通过 DLL 劫持手段，将其有效载荷注入 WPS Office 甚至火狐（Firefox）等程序的签名可执行文件中。2024 年 8 月，Hackread.com报道过一个 ValleyRAT 版本，该版本使用外壳代码将恶意软件组件直接注入内存。 相反，当前版本利用一个假冒的中国电信公司 “Karlos” 的网站（karlostclub/）来分发恶意软件，该网站会下载一系列文件，其中包括一个.NET 可执行文件，它会检查管理员权限并下载其他组件，包括一个 DLL 文件。 研究人员在博客文章中写道：“有趣的是，攻击者在新旧版本的攻击中都复用了相同的 URL。” 据研究人员称，从 anizomcom / 下载假冒的 Chrome 浏览器是攻击链中的初始感染途径，诱使受害者下载并执行恶意软件。名为 sscronet.dll 的文件故意取了个看似合法的标识符以避免引起怀疑，它会将代码注入合法的 svchost.exe 进程，充当监控程序，终止预定义排除列表中的任何进程，以防止其干扰恶意软件的运行。接下来，恶意软件利用经过修改的抖音（中国版 TikTok）可执行文件进行 DLL 侧加载，并借助 Valve 游戏（特别是《求生之路 2》和《杀戮空间 2》）中的合法 Tier0.dll 文件，在 nslookup.exe 进程中执行隐藏的代码。该进程从 mpclient.dat 中检索并解密 ValleyRAT 的主要有效载荷。 解密后的有效载荷使用 Donut 外壳代码在内存中执行恶意软件，绕过传统的基于磁盘的检测方法。它还试图禁用诸如反恶意软件扫描接口（AMSI）和 Windows 事件跟踪（ETW）等安全机制。 需要说明的是，ValleyRAT 是一款基于 C++ 的远程访问木马，具备基本的远程访问木马功能，比如能够访问 WinSta0 窗口站，实现对屏幕、键盘和鼠标的交互操作，并监控受害者的屏幕。它包含大量针对 VMware 的反检测机制，以逃避在虚拟化环境中的检测，并在安装过程中使用代码内初始化的 IP 地址和端口与命令控制（C2）服务器建立连接。 研究人员指出：“如果恶意软件未检测到自己在虚拟机（VM）内运行，它会尝试连接baidu.com，作为其网络通信检查的一部分。” “银狐” APT 组织不断变化的策略和规避技术表明，新型攻击正变得越来越复杂。各组织应采取恰当的安全策略，包括更严格的端点保护、员工培训以及持续监控，以降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303844 封面来源于网络，如有侵权请联系删除