网络中存在的各类威胁错综复杂且不断变化，攻击者一直在改进其攻击方法，经常出现一些新的信息窃取恶意软件。据Cyber Security News消息，最近一种名为 PureLogs 的恶意软件以其低廉的价格、不俗的功能受到攻击者青睐。 图片来源：FreeBuf PureLogs  是用 C# 构建的 64 位信息窃取程序，并使用 commercial.NET Reactor 打包器将其程序集捆绑到多个阶段， 能够通过 Chrome、Edge、Opera等浏览器获取私人信息，与 Lumma、Vidar 和 Meduza 等少数其他恶意软件具有相同的能力。 2022 年，PureLogs 最初在地下市场上出售，此后在多个地下论坛上进行了推广，并在 clearnet 上保留了一个帐户和专用市场。目前该程序通过将潜在客户引导至特定Telegram机器人以获得支持和销售查询，价格为每月99美元、每季度199美元、每年299美元和终身用户的499美元，是市场上最便宜的信息窃取程序之一。 根据 Flashpoint Intel Team 报告，PureLogs 分三个阶段运行。加载和执行阶段是第一个阶段，第二阶段是在加载最终信息窃取程序集之前进行反沙箱测试和网络配置。到了第三阶段，PureLogs开始实施信息窃取程序代码，并获取以下信息： 浏览数据 Chrome、Edge 和 Opera 扩展 加密货币钱包应用程序 桌面应用程序 受害者计算机信息 文件夹、文件扩展名等都可以被 PureLogs 识别并抓取，并可将相关数据传输到 Telegram。PureLogs 的Telegram 面板可显示受害者的详细信息、被窃数据的数量、捕获的屏幕截图以及可以整个下载的日志文件。 由于该恶意软件非常易于操作、价格低廉且进入门槛低，让低水平攻击者也能成功实施较复杂的攻击操作。 参考来源：PureLogs, Low Cost Infostealer Attacking Chrome Browser     转自FreeBuf，原文链接：https://www.freebuf.com/news/412760.html 封面来源于网络，如有侵权请联系删除

据Sonatype的最新发现可知，随着开源软件（OSS）消费情况的飙升，开源恶意软件包增长近156%。 该公司的第10份年度软件供应链状况报告指出：自2019年以来，已发现超过704,102个恶意软件包，其中的512,847个是2023年11月以来被发现的。 参考Sonatype的数据，今年是开源软件消费创纪录的一年，估计下载量达到6.6万亿次。 2024年，JavaScript（npm）的请求量达到了惊人的4.5万亿，同比增长了70%。 根据Sonatype的调查结果，在人工智能和云采用的推动下，预计到2024年底，Python（PyPI）将达到5300亿个软件包请求，同比增长87%。 Npm是JavaScript编程语言的软件包管理器，PyPI是Python的软件包管理器。 该公司表示，组织仍在努力有效地降低风险，尽管Sonatype的研究重点是受污染的开源项目的增加，但报告指出，所有开源或商业软件最终都会有演变为漏洞的可能。 尽管超过99%的软件包有可用的更新版本，但80%的应用程序依赖项在一年多内都未升级。 此外，在95%的情况下，当易受攻击的组件被消耗时，固定版本已经存在。 这种风险是持续存在的，在Log4shell暴露三年后，13%的Log4j下载仍然很脆弱。 还有人指出，发布者很难跟上CVE的修复速度，几个漏洞还需要500多天的时间才能修复。 2013年至2023年间，CVE增长了463%。 在报告中，Sonatype呼吁软件制造商、消费者和监管机构采用强有力的安全实践，并表示“创新和安全”之间的平衡，比以往任何时候都更加重要。 Sonatype首席技术官兼联合创始人Brian Fox说：“在过去的十年里，我们看到软件供应链攻击的复杂性和频率增加，特别是随着开源恶意软件的兴起，而出版商和消费者在安全性方面仍然相对停滞不前。为了确保未来十年有一个充满活力和安全的开源生态系统，我们必须建立一个主动的安全基础，对开源恶意软件保持警惕，减少消费者的自满情绪，并进行全面的依赖管理。” 尽管面临挑战，但该公司致力于迎头赶上。 新政策正在出现，包括将于2024年10月17日生效的欧盟网络和信息系统指令（NIS2），以及即将在印度和澳大利亚出台的法规。这些政策鼓励采用软件物料清单（SBOM），去年发布了超过60,000份SBOM。 Sonatype的报告得到了来自700多万个开源项目的数据的支持。     消息来源：Infosecurity-Magazine，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

G DATA 安全实验室（G DATA Security Lab）最近发现了一个利用流行代码托管平台 Bitbucket 部署著名远程访问木马AsyncRAT （RAT）的复杂恶意软件活动。报告称，攻击者采用了多阶段攻击策略，利用 Bitbucket 托管和分发恶意有效载荷，同时躲避检测。 图片来源：安全客 恶意软件操作员使用多层 Base64 编码来混淆代码，掩盖攻击的真实性质。报告解释说：“在剥开这些层级后，我们能够揭开整个事件的来龙去脉，以及我们在分析 AsyncRAT 有效载荷传输时发现的关键入侵指标（IOC）。” Bitbucket 作为软件开发平台的合法声誉使其成为网络犯罪分子青睐的目标。 Bitbucket 资源库托管各种恶意有效载荷，包括 AsyncRAT。 Bitbucket 这个流行的代码托管平台来托管恶意有效载荷，为传播恶意软件提供了 “合法性 ”和 “可访问性”。 攻击开始于一封包含恶意 VBScript 文件的钓鱼邮件，该文件名为 “01 DEMANDA LABORAL.vbs”，可执行 PowerShell 命令。这个初始阶段通过多层字符串操作和 Base64 编码混淆和传递有效载荷。 报告指出：“VBScript 构建并执行 PowerShell 命令，有效地将攻击过渡到下一阶段。” 在第二阶段，PowerShell 脚本从 Bitbucket 资源库下载一个文件。这个名为 “dllhope.txt ”的文件是一个 Base64 编码的有效载荷，它被解码为一个 .NET 编译文件，从而揭示了 AsyncRAT 恶意软件的真实本质。 一旦成功发送，AsyncRAT 就能让攻击者完全远程控制受感染的系统。 G DATA 的分析证实：“AsyncRAT 为攻击者提供了对受感染机器的广泛控制，使他们能够执行各种恶意活动。这些活动包括远程桌面控制、文件管理、键盘记录、网络摄像头和麦克风访问以及执行任意命令。” 报告还强调了攻击者利用反虚拟化检查来避免在沙盒环境中被发现。 G DATA 表示：“如果标志参数包含‘4’，代码就会检查是否存在 VMware 或 VirtualBox 等虚拟化工具，从而避免分析。持续性是通过多种机制建立的，包括修改 Windows 注册表和创建启动快捷方式，确保恶意软件即使在系统重启后也能保持活跃。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300743 封面来源于网络，如有侵权请联系删除

最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。 图片来源：FreeBuf 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 “受密码保护的 MSI 文件”，其中包含触发多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。 这是一种在隐藏 “恶意代码 “的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。 此外，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统）来隐藏恶意组件。 卡巴斯基表示，最终有效载荷部署为SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测。 该恶意软件还收集系统遥测数据（包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能，特别针对加密货币钱包地址。 除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件，因此特别容易受到攻击。 这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的同时融入复杂的企业级攻击技术。 参考来源：Hackers Using YouTube Videos To Deliver Sophisticated Malware     转自FreeBuf，原文链接：https://www.freebuf.com/news/412529.html 封面来源于网络，如有侵权请联系删除

本周三，OpenAI方表示，自今年年初以来，它已经成功干扰了全球20多个，试图将其平台用于恶意运营和欺诈的网络活动。 它们主要采取了：调试恶意软件，为网站撰写文章，为社交媒体帐户生成传记，以及为X上的假帐户创建人工智能生成的个人资料图片的举措。 这家人工智能（AI）公司表示：“威胁者不断进化并持续使用我们的模型，但我们并未发觉其创建实质性新恶意软件或建立病毒受众的能力有真正意义上的突破。” 除此之外，OpenAI方还表示，它扰乱了在美国、卢旺达的选举以及较小程度上与印度和欧盟相关的社媒活动。这些网络都没有吸引到病毒式的参与或持续的受众。 这包括一家名为STOIC（也称为Zero Zeno）的以色列商业公司所做的努力，正如Meta和OpenAI今年5月初披露的那样，该公司在社交媒体上发表了关于印度选举的评论。 OpenAI强调的一些网络操作如下： SweetSpecter，疑似是以中国为基地的对手，利用OpenAI的服务进行LLM知情的侦察、漏洞研究、脚本支持、异常检测规避和开发。还观察到，它对OpenAI员工进行了失败的鱼叉式网络钓鱼的企图，以提供SugarGh0st RAT。 Cyber Av3ngers是隶属于伊朗伊斯兰革命卫队（IRGC）的团体，使用其模型对可编程逻辑控制器进行研究。 Storm-0817，来自伊朗的威胁者，使用其模型进行调试，能够收集包含敏感信息的Android恶意软件，通过Selenium抓取Instagram个人资料，并将LinkedIn个人资料翻译成波斯语。 该公司表示，在其他领域，它也采取了各种措施来阻止多个集群，包括代号为A2Z和Stop News的操作。这些帐户生成了英语和法语内容，以便日后在各类网站和社交媒体帐户上发布。 研究人员Ben Nimmo和Michael Flossman说：“[Stop News]在图像使用方面异常丰富。其许多网络文章和推文都附有DALL·E生成的图像。这些图像通常是卡通风格，以明亮的调色板或戏剧性的色调来吸引注意力。” 经OpenAI Bet Bot和Corrupt Comment识别发现，其网络使用API在X上与用户生成对话，并向他们发送赌博网站的链接，以及在X上制造评论。 近两个月前，OpenAI禁止了一组与伊朗Storm-2035秘密行动有关的账户，该行动利用ChatGPT生成内容，这些内容主要关注即将到来的美国总统大选。 Nimmo和Flossman写道：“威胁者对我们模型的使用主要在活动中期——即在他们获得了互联网接入、电子邮件地址和社交媒体帐户等基本工具之后，以及在他们通过一系列分销渠道在互联网上部署社交媒体帖子或恶意软件等‘成品’之前。” 在网络安全公司Sophos上周发布的一份报告中显示： 生成性人工智能可能会被滥用，通过微目标电子邮件传播量身定制的错误信息。 这意味着滥用人工智能模型来编造政治竞选网站、生成政治人物角色，以及根据竞选要点针对性发布电子邮件，从而实现了新的自动化水平，使大规模传播错误信息成为可能。 研究人员Ben Gelman和Adarsh Kyadige表示：“这意味着用户可以通过简易的配置生成任何内容，从良性的竞选材料到错误信息和恶意威胁不等。” 错误信息的影响会使受众与本不支持的候选人结盟，或与他们自认喜欢的候选人意见相左。     消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Morphisec威胁实验室发现了一波新的恶意软件攻击，目标是教育部门和游戏社区。安全研究人员Shmuel Uzan表示，这些复杂的恶意软件变种利用Lua（游戏开发中广泛使用的脚本语言）通过GitHub等平台渗透系统。该运动已在全球范围内展开，北美洲、南美洲、欧洲、亚洲和澳大利亚均报告有感染病例。 这种恶意软件的兴起可以归因于它利用了Lua的流行，尤其是在使用Roblox等游戏引擎的学生游戏玩家中。据报道，“搜索游戏作弊的用户最后往往会从GitHub等平台或类似来源下载文件。”攻击者利用这些寻求作弊的用户，在看似无害的下载中嵌入恶意Lua脚本。 恶意软件通常通过ZIP存档传递，其中包含多个组件，包括Lua编译器、Lua DLL文件、模糊的Lua脚本和批处理文件。这些组件一旦安装在受害者的机器上，就会一起执行恶意操作。执行后，Lua脚本与命令与控制（C2）服务器建立通信，发送有关受感染系统的详细信息。 一旦恶意软件处于活动状态，C2服务器将向受感染的计算机提供指令，这些指令分为两种类型的任务:Lua加载任务和任务有效载荷。Lua加载任务保持持久性和隐藏进程，而任务有效载荷则专注于下载其他恶意软件有效载荷或应用新配置。报告解释说，“Lua加载器任务涉及维持持久性或隐藏进程等操作”，而有效载荷的设计目的是扩展恶意软件的能力。 为了逃避检测，Lua脚本使用Prometheus Obfuscator进行了模糊处理，这是一种旨在保护底层代码不受逆向工程影响的工具。这种程度的混淆使得安全研究人员很难分析和理解恶意软件的全部功能。乌赞在报告中指出:“使用普罗米修斯混淆器对脚本进行混淆……使得研究人员分析和理解代码变得更加困难。” 为了阻止研究人员反转或重新格式化代码，该恶意软件采用了一种独特的反反转技术，当试图美化模糊代码时，该技术会触发错误消息。混淆器的功能包括通过检查执行过程中生成的错误消息的行数来检测代码是否被篡改。如果代码已被更改，恶意软件终止，显示一条消息:“检测到篡改！” 除了混淆之外，该恶意软件还利用Lua的ffi（外部函数接口）库直接执行C代码。这种技术允许攻击者调用C函数和使用C数据结构，而不需要编写C包装代码。Lua和C之间的这种集成增强了恶意软件操纵系统级进程和执行更高级攻击的能力。 恶意软件一旦渗入受害者的系统，就会通过创建计划任务和生成随机任务名称来建立持久性。该恶意软件还收集受害者计算机的大量信息，包括用户的GUID、计算机名称、操作系统和网络详细信息。它甚至捕获受损系统的屏幕截图，并将这些数据发送到攻击者的C2服务器。 报告强调，“脚本检索 MachineGuid…并把从计算机收集的数据和截图发送给对手C2。”此级别的数据收集使攻击者能够全面了解受影响的计算机，从而更有效地定制后续攻击。 一旦恶意软件成功收集到所需的数据，C2服务器就会以封锁消息或JSON响应做出响应，该响应将为执行任务或下载额外有效载荷提供进一步的指示。如果服务器响应被阻止，恶意软件会尝试从备份位置（如pastebin.com）检索新地址，确保与攻击者继续通信。 这种恶意软件提供的有效载荷包括Redline Infostealers，这是一种用来从受害者那里获取凭据和敏感信息的恶意软件。报告指出，Redline因其窃取宝贵数据的能力，在网络犯罪领域获得了突出地位，这些数据后来在暗网上出售。乌赞警告说:“从这些攻击中获取的证件被卖给更复杂的组织，用于攻击的后期阶段。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300636 封面来源于网络，如有侵权请联系删除

由 Cris Tomboc 和 King Orande 领导的 Trustwave 威胁情报团队最近发布了一份报告，公布了一种新发现的名为 Pronsis Loader 的恶意软件。该恶意软件于 2023 年 11 月首次出现，与 2024 年初出现的类似威胁 D3F@ck Loader 进行了比较。Pronsis Loader 的显著特点是它能发送 Lumma Stealer 和 Latrodectus 等恶意软件，给受害者带来巨大风险。发现其基础设施与 Lumma Stealer 相关联，凸显了这一不断演变的威胁的规模。 Pronsis Loader 与其他加载程序的不同之处在于它使用了 JPHP（一种 PHP 的 Java 实现）。“研究人员解释说：”两者都使用 JPHP 编译的可执行文件，因此很容易互换。不过，与使用 Inno Setup Installer 的 D3F@ck Loader 不同，Pronsis Loader 部署的是 Nullsoft Scriptable Install System（NSIS）。这种开源工具可以定制 Windows 安装程序，使 Pronsis Loader 在安装技术上具有明显优势。 Pronsis 加载器 Pronsis Loader 使用 NSIS | 图片： Trustwave 有趣的是，JPHP 在恶意软件开发者中并不广泛使用，这使得 Pronsis Loader 对这种语言的依赖偏离了典型的恶意软件环境。这种实现方式允许创建 .phb 文件，而使用传统的 Java 工具无法轻松反编译这些文件。尽管存在这种复杂性，但由于这些文件中存在 CAFEBABE 标头，威胁分析人员可以在提取后对其进行反编译，从而揭示其真实性质。 Pronsis Loader 的安装程序包含大量有效载荷，其中大部分由良性文件组成，旨在掩盖内嵌的恶意代码。据研究人员称，“安装程序的大部分内容由良性文件组成，旨在掩盖恶意文件”。这些文件被放入 %Temp% 目录，但其中隐藏着一个关键的可执行文件–FailWorker-Install.exe，它包含真正的恶意软件。 该可执行文件会触发一系列事件，通过 NSIS 插件调用 Nact.dll 文件来运行 JPHP 编译的加载程序。提取后，可以在 JPHP-INF 目录中找到主模块，其中 launcher.conf 文件指定了 app\modules 目录的初始 .bootstrap 文件。Pronsis Loader 的结构允许它从指定 URL 下载有效载荷，然后发送 Latrodectus 恶意软件。该恶意软件主要通过钓鱼邮件传播，与 IcedID 等其他已知威胁如出一辙。 Pronsis Loader 具有逃避检测的嵌入式功能。其中一种规避技术是通过隐藏在 MainForm.phb 文件中的 PowerShell 脚本实现的。这个编码脚本会禁用 Windows Defender 对用户配置文件目录的扫描，使恶意软件更容易运行而不被发现。“报告强调说：”这个 PowerShell 命令将被放置在一个批处理文件中，文件名为随机数字，并通过 cmd.exe 执行。 通过部署 Lumma Stealer 和 Latrodectus，进一步证明了 Pronsis Loader 提供多种有效载荷的能力。Latrodectus 于 2023 年 10 月首次被观察到，因其激进的感染技术而备受关注。受感染的机器会加载一系列批处理文件和可执行文件，以方便恶意软件的安装和持续运行。 在一个实例中，Latrodectus 通过一个名为 todaydatabase.zip 的文件发送，该文件将一个可执行文件放入 %Temp% 目录，启动了感染过程。安装完成后，Latrodectus 会使用计划任务来确保持久性，每 10 分钟运行一次，重新执行其恶意组件。此外，该恶意软件还创建了一个名为 runnung 的互斥程序来管理持续感染。 Pronsis Loader 的推出标志着 JPHP 作为恶意软件平台的使用发生了重大转变。通过利用 NSIS 安装程序和规避典型的安全协议，Pronsis Loader 对网络安全防御者提出了严峻的挑战。报告强调，这种加载器 “突出了它与 D3F@ck Loader 的相似之处，以及它在提供 Lumma Stealer 和 Latrodectus 作为主要有效载荷方面的作用”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300658 封面来源于网络，如有侵权请联系删除

近日，俄罗斯政府机构和工业实体遭遇了一场名为“ Awaken Likho ”的网络活动攻击活动。 卡巴斯基表示，攻击者现在更倾向于使用合法MeshCentral平台的代理，而不是他们之前用来获得系统远程访问权限的UltraVNC模块。这家俄罗斯网络安全公司详细说明了一场始于2024年6月并至少持续到8月的新活动。该活动主要针对俄罗斯政府机构、其承包商和工业企业。 “ Awaken Likho ”组织，亦称作Core Werewolf或PseudoGamaredon，最初由BI.ZONE于2023年6月曝光，涉嫌针对国防和关键基础设施部门发动网络攻击。据悉，该组织的活动可追溯至2021年8月。其采用的鱼叉式钓鱼攻击手法包括发送伪装成Word或PDF文档的恶意可执行文件，这些文件带有双重扩展名，如“doc.exe”或“.pdf.exe”，使用户仅能看到看似无害的.docx或.pdf后缀。 然而，一旦受害者打开这些文件，便会触发UltraVNC的安装程序，进而导致攻击者能够完全接管受害者的计算机系统。此外，根据F.A.C.C.T.今年5月的报告，Core Werewolf还针对位于亚美尼亚的一个俄罗斯军事基地以及一家从事武器研究的俄罗斯研究所发动了攻击。在这些攻击中，攻击者使用了一种自解压存档（SFX）技术，以隐蔽的方式安装UltraVNC，同时向受害者展示看似无害的诱饵文档。 卡巴斯基最新揭露的攻击链条中，攻击者利用7-Zip创建了一个SFX存档文件。当受害者打开该文件时，会执行一个名为“MicrosoftStores.exe”的程序，进而解压并运行一个AutoIt脚本，最终激活开源的MeshAgent远程管理工具。卡巴斯基解释称，这一系列操作使得攻击者能够在受害者的系统中长期潜伏，并通过计划任务定时执行命令文件，以此来启动MeshAgent并与MeshCentral服务器建立连接。 据安全专家分析，“ Awaken Likho ”团伙使用了定制化的恶意软件和零日漏洞利用，以实现对目标系统的深度渗透。此外，他们还运用了复杂的网络钓鱼和社会工程学技巧，诱导目标用户点击恶意链接或下载病毒文件。 值得注意的是，该团伙的攻击目标主要集中在俄罗斯政府的敏感部门和关键基础设施领域。这些攻击不仅可能导致政府机密的泄露，还可能对国家安全和社会稳定造成严重影响。 为了应对这一威胁，俄罗斯政府已经加强了对网络安全的投入，并提升了相关机构的防御能力。同时，国际间的网络安全合作也在不断加强，以共同应对跨国网络攻击的挑战。 专家建议，政府机构和个人用户都应提高网络安全意识，定期更新系统和软件补丁，避免点击不明链接或下载来源不明的文件。此外，加强数据备份和恢复策略也是防范网络攻击的重要措施。 参考来源：https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html     转自Freebuf，原文链接：https://www.freebuf.com/news/412331.html 封面来源于网络，如有侵权请联系删除  

近日，有攻击者使用一种新的 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。 Android TV是谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程导航提供了优化的用户界面，集成了谷歌助手，内置Chromecast，支持电视直播，并能安装应用程序。 该操作系统为包括 TCL、海信和 Vizio 电视在内的众多制造商提供智能电视功能。它还是英伟达 Shield 等独立电视流媒体设备的操作系统。 在 Dr.Web 的最新报告中，研究人员发现有 200 多个国家的 130 万台设备都感染了 Vo1 d 恶意软件，其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚检测到的数量最多。 受 Vo1d 感染电视盒的地理分布 在此次恶意软件活动中，被视为目标的安卓电视固件包括： 安卓 7.1.2；R4 版本/NHG47K 安卓 12.1；电视盒版本/NHG47K 安卓 10.1；KJ-SMART4KVIP Build/NHG47K 根据安装的 Vo1d 恶意软件版本，该活动将修改或替换操作系统文件，所有这些文件都是 Android TV 中常见的启动脚本。install-recovery.shdaemonsudebuggerd 修改后的 install-recovery.sh 文件 该恶意软件活动利用这些脚本实现持久性，并在启动时激活Vo1d恶意软件。 Vo1d恶意软件本身位于文件中，这些文件的名称就是以该恶意软件命名的。Dr.Web解释称，Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这两个组件协同工作。 Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重启其进程。此外，它还可以在C&C服务器的指令下下载并运行可执行文件。 Android.Vo1d.3 模块负责安装并启动加密并存储在其体内的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它监控指定的目录，并安装在其中找到的 APK 文件。 尽管 Dr.Web 尚不清楚 Android 电视流媒体设备是如何被入侵的，但研究人员认为，这些设备之所以成为攻击目标，是因为它们通常运行着带有漏洞的过时软件。 Dr.Web 认为，其中最有可能的感染途径或许是中间恶意软件的攻击，该软件利用操作系统漏洞来获取 root 权限。另一个可能的途径可能是使用内置 root 访问权限的非官方固件版本。 为了防止这种恶意软件的感染，建议 Android 电视用户检查并安装新固件更新。同时确保在它们通过暴露的服务被远程利用的情况下，将这些设备从互联网上移除。 此外，用户也应避免在 Android 电视上从第三方网站安装 APK 形式的 Android 应用程序，因为它们是恶意软件的常见来源。   转自Freebuf，原文链接：https://www.freebuf.com/news/410913.html 封面来源于网络，如有侵权请联系删除  

根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除