近日，eSentire威胁响应小组（TRU）发现网络犯罪分子正利用生成式人工智能（GenAI）平台的普及，通过在暗网市场销售被盗账户凭证来牟利。 据eSentire介绍，每天大约有400个GenAI账户凭证在暗网平台上交易，包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取，该软件会收集用户在互联网浏览器中输入的所有数据。 一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭，但它的存在突显了问题的严重性，被盗密钥的广告价格低至15美元。 LLM Paradise的关闭并没有遏制这一趋势，网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。 eSentire警告，这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权，包括客户数据、财务记录、知识产权和员工的个人可识别信息（PII）。 此外，针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据，这加剧了整体的威胁态势。 eSentire在其的报告中还指出了与GenAI相关的几个关键威胁，包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。 报告还提到了激进的数据收集行为和供应链风险，比如OpenAI在2023年遭遇的数据泄露事件，凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的，平均每天有200个账户在暗网上挂牌。 为了降低这些风险，公司必须实施强有力的安全措施，如使用监控、先进的多因素认证（MFA）方法和暗网监控服务。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407427.html 封面来源于网络，如有侵权请联系删除

一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。 根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过 32,000 次，但未被任何安全工具检测到。 Google Play 中的 Mandrake 应用 Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的，但在此之前已在野外活跃了至少四年。当时，研究人员估计四年期间的受害者人数达“数十万”。 今年 4 月初，卡巴斯基公司的研究人员发现了一个“可疑样本”，他们声称这是 Mandrake 的新版本，它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中，包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后，于 2024 年 3 月底被下架。 Mandrake 分几个阶段收集设备信息。首先，它收集设备数据，包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。 卡巴斯基表示，如果基于这些信息，攻击者发现受害者很有趣，他们就会运行恶意软件的主要组件，其中包含高级功能，例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。 恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如，据 Bitdefender 称，在之前的活动中，Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。 目前尚不清楚黑客如何使用他们在攻击过程中获得的信息，也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定，但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。 卡巴斯基表示，新发现表明，Mandrake 正在“不断进化，改进伪装方法，并绕过新的防御机制”。 研究人员表示，该恶意软件在 Google Play 上多年来一直未被发现，“表明攻击者的资质很高，而且在应用程序发布到市场之前对其进行的限制和检查越来越严格，这导致更复杂的威胁能够渗透到官方应用商店，使它们更难被发现”。 谷歌发言人表示，公司已经意识到这些应用程序的存在，并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击，该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Google Play 之外。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w 封面来源于网络，如有侵权请联系删除

安全研究人员在 Python 软件包存储库 (PyPI) 中发现了一个恶意软件，该恶意软件针对 Apple macOS 系统，目的是从少数受害者那里窃取用户的 Google Cloud 凭据。 这个名为“lr-utils-lib”的软件包在被删除之前总共吸引了59 次下载。它于 2024 年 6 月初上传。 Checkmarx 研究员 Yehuda Gelb 在周五的一份报告中表示：“该恶意软件使用预定义哈希列表来针对特定的 macOS 机器，并试图获取 Google Cloud 身份验证数据。获取的凭据会被发送到远程服务器。” 该软件包的一个重要方面是，它首先检查它是否已安装在 macOS 系统上，然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希值的硬编码列表进行比较。 如果受感染的机器属于预定义集合中指定的机器之一，它会尝试访问位于 ~/.config/gcloud 目录中的两个文件，即 application_default_credentials.json 和 credentials.db，其中包含 Google Cloud 身份验证数据。 捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]cloudfunctions[.]net”。 Checkmarx 表示，它还在 LinkedIn 上发现了一个名为“Lucid Zenith”的虚假个人资料，与该包裹的所有者相匹配，并谎称自己是 Apex Companies 的首席执行官，这表明此次攻击可能存在社会工程学因素。 目前尚不清楚此次攻击活动的幕后黑手究竟是谁。两个多月前，网络安全公司 Phylum披露了另一起供应链攻击的细节，该攻击涉及一个名为“requests-darwin-lite”的 Python 包，该包在检查 macOS 主机的 UUID 后也被发现会释放恶意行为。 这些活动表明攻击者事先了解他们想要渗透的 macOS 系统，并竭尽全力确保恶意软件只分发到那些特定的机器上。 它还谈到了恶意攻击者用来分发类似软件包的策略，目的是欺骗开发人员将它们合并到他们的应用程序中。 “虽然尚不清楚这次攻击是针对个人还是企业，但这类攻击可能会对企业造成重大影响。”Gelb 说。“虽然最初的攻击通常发生在个人开发人员的机器上，但对企业的影响可能是巨大的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g 封面来源于网络，如有侵权请联系删除

被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS)，用于推送窃取信息的恶意软件。 该恶意软件传播服务名为 Stargazers Ghost Network，它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。 在大多数情况下，恶意软件都是信息窃取程序，例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。 GitHub 存储库推送受密码保护的包含恶意软件的档案，来源：Check Point 由于 GitHub 是一个知名的、值得信赖的服务，人们对它的怀疑较少，并且更有可能点击他们在GitHub存储库中找到的链接。 Check Point Research发现了这一行动，并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。 Check Point Research 的报告解释道：“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。” “在短时间内，数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者，从而使感染更有价值。” GitHub 幽灵账户传播恶意软件 DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。 威胁行为者在暗网上的广告，来源：Check Point Stargazer Goblin 建立了一个系统，他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅，以增加其表面合法性，并使其更有可能出现在 GitHub 的热门部分。 参与该计划的幽灵 GitHub 账户，来源：Check Point 这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。 针对不同社交媒体平台用户的网络钓鱼模板，来源：Check Point “幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板，另一组提供钓鱼图片，第三组提供恶意软件，这让该方案具有一定程度的运营弹性。 “为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时，GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。 “为了应对此类行为，Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库，其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时，这可使网络继续运行，并将损失降至最低。” Stargazers 角色概述资料，来源：Check Point Check Point 发现一个 YouTube 视频，其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。 研究人员指出，它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。 就该行动的规模及其产生的利润而言，Check Point 估计，自该服务推出以来，这名攻击者已经赚取了超过 10 万美元。 通过 Stargazers Ghost Network 的行动分发的恶意软件，包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。 在 Check Point 报告中展示的一个示例攻击链中，GitHub 存储库将访问者重定向到受感染的 WordPress 网站，访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。 Atlantida Stealer 攻击链，来源：Check Point VBScript 触发两个连续的 PowerShell 脚本的执行，最终导致 Atlantida Stealer 的部署。 尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动，自 2024 年 5 月以来已删除了 1,500 多个存储库，但 Check Point 表示，目前仍有超过 200 个存储库活跃并继续传播恶意软件。 GitHub 上每日新增的 Stargazer 存储库，来源：Check Point 建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。 受密码保护的档案尤其如此，防病毒软件无法扫描这些档案。对于这些类型的文件，建议您在虚拟机上提取它们，并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。 如果没有虚拟机，您也可以使用VirusTotal，它会提示输入受保护存档的密码，以便扫描其内容。但是，VirusTotal 只能扫描包含单个文件的受保护存档。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MA_O_b2GnrBgt_hfezoM2g 封面来源于网络，如有侵权请联系删除

去年 1 月，俄罗斯黑客尝试了让乌克兰人受冻的方法：一种恶意软件样本，让黑客直接进入乌克兰供暖设施，在严寒的冬季切断数百栋建筑的暖气和热水。 工业网络安全公司 Dragos 周二披露了新发现的与俄罗斯有关的恶意软件样本，分析报告认为该恶意软件在 1 月底针对乌克兰利沃夫的一家供暖设施发动的网络攻击中被使用，导致 600 栋建筑的服务中断约 48 小时。 在这次攻击中，恶意软件修改了温度读数，欺骗控制系统冷却流经建筑物管道的热水，这是黑客直接破坏供暖设施的首例确认案例。 Dragos 的恶意软件报告指出，攻击发生时利沃夫正经历典型的一月寒流，接近该地区一年中最冷的时节。Dragos 分析师 Kyle O’Meara 说：“有人在隆冬时节关掉你的暖气，这真是太糟糕了。” Dragos 将该恶意软件称为 FrostyGoop，它是迄今为止在野外发现的不到 10 个攻击工业系统的代码样本之一，这些代码旨在直接与工业控制系统软件交互，以产生物理效果。 也是迄今为止发现的第一个试图通过 Modbus 发送命令来实现这些效果的恶意软件，Modbus 是一种常用且相对不安全的协议，用于与工业设备进行通信。 Dragos 于 4 月首次发现了 FrostyGoop 恶意软件，当时该恶意软件以多种形式上传到在线恶意软件扫描服务（最有可能是 Google 旗下的扫描服务和恶意软件存储库 VirusTotal，尽管 Dragos 拒绝确认是哪项服务）——可能是恶意软件的创建者上传的，目的是测试它是否被防病毒系统检测到。 Dragos 表示，通过与乌克兰网络安全情况中心（乌克兰安全局网络安全和情报机构的一部分）合作，他们了解到该恶意软件曾被用于从 1 月 22 日开始针对乌克兰西部最大城市利沃夫的一家供暖设施的网络攻击。 Dragos 拒绝透露受害公用事业公司的名称，事实上，该公司表示，由于该公司是从乌克兰政府那里得知这一攻击目标的，因此尚未独立确认这家公用事业公司的名称。 Dragos 对此次攻击的描述与Lvivteploenergo 公用事业公司大约在同一时间发生的供暖中断的报道非常吻合，据当地媒体报道，此次中断导致近 10 万人无法供暖和使用热水。 利沃夫市长 Andriy Sadovyi 当时在Telegram 消息服务上发帖称此次事件为“故障” ，但补充说，“怀疑公司工作系统受到外部干扰，目前正在核实这一信息。” 1 月 23 日，Lvivteploenergo 的一份声明更明确地将此次供暖中断描述为“黑客攻击的结果”。 Lvivteploenergo 和乌克兰安全局均未回应《连线》的置评请求。乌克兰网络安全机构国家特别通信和信息保护局拒绝置评。 Dragos 在对供热设施攻击的分析中表示，FrostyGoop 恶意软件被用来攻击 ENCO 控制设备（立陶宛公司 Axis Industries 销售的支持 Modbus 的工业监控工具），并改变其温度输出以关闭热水流量。 Dragos 表示，黑客实际上在攻击发生前几个月（2023 年 4 月）就利用易受攻击的 MikroTik 路由器作为入口点获得了网络访问权限。然后，他们在网络中建立了自己的 VPN 连接，并重新连接到莫斯科的 IP 地址。 尽管与俄罗斯有关，但 Dragos 表示，它尚未将供热设施入侵事件与其追踪的任何已知黑客组织联系起来。Dragos 特别指出，它尚未将黑客攻击与 Kamacite 或 Electrum 等常见嫌疑组织联系起来，这是 Dragos 内部对一些团体的称呼，这些团体被更广泛地统称为Sandworm，是俄罗斯军事情报机构 GRU 的一个单位。 Dragos 发现，虽然黑客利用对供热设施网络的入侵发送了 FrostyGoop 的 Modbus 命令，这些命令针对 ENCO 设备并破坏了该设施的服务，但该恶意软件似乎托管在黑客自己的计算机上，而不是受害者的网络上。 这意味着，仅靠简单的防病毒软件，而不是网络监控和分段来保护易受攻击的 Modbus 设备，可能无法阻止该工具在未来的使用，Dragos 分析师 Mark “Magpie” Graham 警告说：“它可以远程与设备交互，这意味着它不一定需要部署到目标环境中。”Graham 说。“你可能永远不会在环境中看到它，只能看到它的效果。” 虽然利沃夫供暖设施中的 ENCO 设备是网络内部攻击的目标，但 Dragos 还警告称，它发现的早期版本的 FrostyGoop 被配置成针对可通过开放互联网公开访问的 ENCO 设备。 Dragos 表示，在自己的扫描中，它发现了至少 40 台类似的 ENCO 设备，它们同样存在在线漏洞。该公司警告称，ENCO 控制器主要部署在东欧，包括乌克兰、罗马尼亚和立陶宛。大约有 46,000 台暴露在互联网上的 ICS 设备通过此协议进行通信。 Dragos 表示：“FrostyGoop 能够通过 Modbus TCP 与 ICS 设备进行通信，这威胁到了多个行业的关键基础设施。鉴于 Modbus 协议在工业环境中的普遍性，这种恶意软件可能会通过与传统和现代系统进行交互，对所有工业领域造成破坏。” “我们认为 FrostyGoop 能够与大量此类设备进行交互，我们正在进行研究，以验证哪些设备确实存在漏洞。”Graham 说。 虽然 Dragos 尚未正式将利沃夫袭击事件与俄罗斯政府联系起来，分析师 Graham 本人并不回避将这次袭击描述为俄罗斯对该国发动的战争的一部分——这场战争自 2022 年以来就用炸弹残酷地摧毁了乌克兰的关键基础设施，而网络攻击早在 2014 年就开始了。 Graham 认为，在乌克兰冬季以网络攻击瞄准供暖基础设施实际上可能表明乌克兰人击落俄罗斯导弹的能力不断增强，将俄罗斯推回到黑客破坏的轨道，尤其是在乌克兰西部。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JuwKahvFvIBM4kcB5TgrLA 封面来源于网络，如有侵权请联系删除

在最近发生的一系列中断主要业务的事件中，KADOKAWA 公司经历了延伸到多个网站的服务中断。最初看似技术故障的事件很快升级为由臭名昭著的 BlackSuit 勒索软件组织策划的全面勒索软件攻击。五周前，BlackSuit 声称对此次攻击负责，并发出最后通牒：要么满足他们的赎金要求，要么在 7 月 1 日公开发布被盗信息。 Deep Instinct 威胁实验室的深入分析显示，BlackSuit 的战术和技术发生了巨大演变。该勒索软件现在采用的是先进的混淆方法，包括将其有效载荷伪装成奇虎 360 杀毒软件的合法组件。与早期版本相比，最新的 BlackSuit 样本的检测率要低得多，这表明威胁行为者在刻意规避安全措施。 VirusTotal 检测率 最新的样本包含编码字符串和导入 DLL ，旨在阻止分析工作。强制性 ID 参数绕过了自动仿真，提高了规避能力。最有影响的变化之一是将勒索软件伪装成知名免费杀毒软件奇虎 360 的合法组成部分，这包括虚假水印，大大降低了检测率。伪装文件虽然没有签名，但与奇虎真正的 QHAccount.exe 文件非常相似，从而有效地规避了安全软件。 BlackSuit 还集成了一些高级功能，如用于加密的非对称密钥交换、删除影子副本以禁止轻松恢复，以及禁用安全模式和关闭系统的功能。加密后的文件会添加 .blacksuit 扩展名，并附带赎金说明（通常名为 readme.blacksuit.txt）。 BlackSuit 勒索软件采用了多种初始攻击载体，包括使用窃取凭证的 RDP、VPN 和防火墙漏洞、带宏的 Office 电子邮件附件、torrent 网站、恶意广告和第三方木马。攻击者还利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。这种多样化的载体使 BlackSuit 的目标更为广泛，危及大量数据。 BlackSuit 泄密网站上的受害者资料示例 另外，BlackSuit 在暗网上运营着一个新闻和泄密网站，一旦过了赎金的截止日期，他们就会在网站上公布受害者的外泄数据。这些资料包括受影响组织的关键信息，如行业、员工人数、收入和联系方式等。   转自Freebuf，原文链接：https://www.freebuf.com/news/406645.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一个广告软件模块，该模块旨在阻止广告和恶意网站，同时秘密卸载内核驱动程序组件，使攻击者能够在 Windows 主机上提升权限运行任意代码。 根据 ESET 的最新发现，这种被称为 HotPage 的恶意软件的名称取自同名安装程序（“HotPage.exe”），ESET 于 2023 年底发现了该恶意软件。 ESET 研究员 Romain Dumont在今天发布的技术分析报告中表示，安装程序“部署了一个能够将代码注入远程进程的驱动程序，以及两个能够拦截和篡改浏览器网络流量的库”。 “该恶意软件可以修改或替换所请求页面的内容，将用户重定向到另一个页面，或根据某些条件在新选项卡中打开新页面。” 除了利用其浏览器流量拦截和过滤功能来显示与游戏相关的广告之外，它还旨在收集和泄露系统信息到与一家名为湖北盾网网络科技有限公司的中国公司相关联的远程服务器。 这是通过驱动程序实现的，其主要目的是将库注入浏览器应用程序并改变其执行流程以更改正在访问的 URL 或确保新 Web 浏览器实例的主页重定向到配置中指定的 URL。 不仅如此，由于该驱动程序没有任何访问控制列表 ( ACL )，因此拥有非特权帐户的攻击者可以利用它来提升权限并以 NT AUTHORITY\System 帐户身份运行代码。 Dumont 表示：“该内核组件无意中为其他威胁打开了大门，使其能够以 Windows 操作系统中可用的最高权限级别（即系统帐户）运行代码。由于对该内核组件的访问限制不当，任何进程都可以与其通信，并利用其代码注入功能来攻击任何未受保护的进程。” 安装程序工作流程 简化的驱动程序逻辑 虽然安装程序分发的具体方法尚不清楚，但ESET收集的证据表明，它被宣传为网吧安全解决方案，旨在通过阻止广告来改善用户的浏览体验。 嵌入式驱动程序值得注意的是它是由微软签名的。据信这家中国公司已经通过了微软的驱动程序代码签名要求，并成功获得了扩展验证 (EV) 证书。自 2024 年 5 月 1 日起，它已从Windows Server 目录中删除。 内核模式驱动程序需要经过数字签名才能由 Windows 操作系统加载，这是微软建立的重要防御层，旨在防止可能被武器化以破坏安全控制并干扰系统进程的恶意驱动程序。 思科 Talos去年 7 月透露了攻击者如何利用微软 Windows 策略漏洞来伪造内核模式驱动程序的签名。 ESET研究员说：“对这种看上去相当普通的恶意软件的分析再次证明，广告软件开发人员仍然愿意付出更多努力来实现他们的目标。” “不仅如此，他们还开发了一个内核组件，其中包含大量操纵进程的技术，而且他们还满足了微软的要求，为其驱动程序组件获得了代码签名证书。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WwD56Jsw4MtzCfTTvP2GMA 封面来源于网络，如有侵权请联系删除

近日，研究人员发现了一种名为 HotPage.exe 的新型恶意软件。 这种恶意软件最初是在 2023 年底被检测到的，起初它伪装成了一个安装程序，表面上可以通过阻止广告和恶意网站来改善网页浏览。 但它实际上是将代码注入远程进程并拦截浏览器流量。正如 ESET 在今天早些时候发布的一份公告中所描述的，该恶意软件可以修改、替换或重定向网页内容，并根据特定条件打开新标签。 有趣的是，HotPage.exe 的嵌入式驱动程序是由微软签署的，但却归属于一家另外的公司。由于有关该公司的信息很少，这引起了人们的警惕。该软件向中文用户推销 “网吧安全解决方案”，据称是为了增强浏览体验。 然而，它却将用户重定向到与游戏相关的广告，并收集用户计算机的数据用于统计目的。 2024 年 3 月 18 日，ESET 按照漏洞披露协调流程向微软报告了这一漏洞。微软于 2024 年 5 月 1 日从 Windows 服务器目录中删除了违规驱动程序。此后，ESET将此威胁标记为Win{32|64}/HotPage.A和Win{32|64}/HotPage.B。 进一步调查发现，该公司利用微软的驱动程序代码签名要求，获得了扩展验证（EV）证书。 ESET表示，这说明基于信任的驱动程序签名系统正在被滥用。该公司注册于2022年初，背景不详，其域名dwadsafe.com现已下线。 HotPage 恶意软件的技术细节 从技术角度看，该恶意软件的安装过程包括在磁盘上投放驱动程序、解密配置文件并将库注入基于 Chromium 的浏览器。 该驱动程序通过挂钩基于网络的 Windows API 功能、更改 URL 或打开带有广告内容的新标签来操纵浏览器流量。 该恶意软件的一个关键问题是其内核组件，它无意中允许其他威胁在 Windows 操作系统的最高权限级别执行代码。 这是由于访问限制不足，使得任何进程都能与内核组件通信并利用其代码注入功能。 这种技术对网络安全行业的广泛影响值得注意。恶意软件使用经过签名的合法驱动程序，不仅为侵入性广告软件提供了便利，还使系统面临更多安全风险。 攻击者可以利用这一漏洞获得系统级权限或向进程中注入恶意代码，从而利用对已签名驱动程序的固有信任。 为防范此类威胁，安全研究人员建议定期更新软件，使用全面的安全解决方案，并保持严格的访问控制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406489.html 封面来源于网络，如有侵权请联系删除

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。 这两个软件包分别是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，它们试图冒充合法的JavaScript库aws-s3-object-multipart-copy。 假冒软件包包含了所有合法库中的代码，并添加了一个名为loadformat.js的JavaScript文件。这个文件表面上包含无害的代码和三个JPG图像（分别是英特尔、AMD和微软的公司Logo），但其中一个图像隐藏了恶意代码片段，这些片段被重建后可组成后门程序代码，攻击开发者的设备。 日益复杂的开源供应链攻击 “我们已经报告了这些软件包并要求移除，但这些恶意软件包在npm项目中仍然存在了近两天时间，”发现这些软件包的研究人员写道：“这令人担忧，因为当今大多数系统无法检测并及时报告这些软件包，导致开发者长时间暴露在攻击风险中。” 研究人员表示，绝大多数杀毒软件产品都未能发现隐藏在这两个软件包中的后门。 Phylum的研究主管Ross Bryant在邮件中透露，img-aws-s3-object-multipart-copy在被删除前被下载了134次，另一个文件legacyaws-s3-object-multipart-copy被下载了48次。 这些恶意软件包开发者对代码的精心设计及其策略的有效性，突显了针对上游开源代码库的攻击日益复杂化，除了NPM外，其他热门攻击目标还包括PyPI、GitHub和RubyGems等。 近年来，针对开发者的开源供应链攻击威胁不断恶化。 在过去的17个月里，由朝鲜政府支持的黑客组织曾两次针对开发者，其中一次利用了一个零日漏洞。 近期发现的最具创新性的一种开源后门隐藏方法是今年3月曝光的XZ Utils后门，只差一步进入生产版本中。该后门通过一个五阶段加载器实现，使用了一系列简单但巧妙的技术来隐藏自己。一旦安装，黑客可以管理员权限登录受感染的系统。 策划XZ Utils攻击的黑客组织（或个人）花费了数年时间来开发后门。除了隐蔽方法的复杂性，该组织还投入了大量时间为开源项目编写高质量代码，以赢得其他开发者的信任。 今年5月，Phylum阻止了另一个使用隐写术（将秘密代码嵌入图像中的技术）来植入后门的PyPI软件包攻击活动。 “在过去几年中，发布到开源生态系统的恶意软件包的复杂性和数量显著增加，”Phylum研究人员写道：“毫无疑问，这些攻击是成功的。开发者和企业必须高度警惕所使用的开源库。”   转自GoUpSec，原文链接：https://www.goupsec.com/news/16856.html 封面来源于网络，如有侵权请联系删除

Palo Alto Networks Unit 42 的研究人员分享了有关2024 年 3 月至 4 月期间DarkGate恶意软件活动的详细信息。攻击者使用 Microsoft Excel 文件从面向公众的 SMB 文件共享下载恶意软件软件包。 研究人员指出，攻击者创造性地滥用合法工具和服务来传播他们的恶意软件。 DarkGate RAT 用 Borland Delphi 编写，在网络犯罪生态系统中以恶意软件即服务 (MaaS) 模型的形式存在。该恶意软件被视为一种复杂的威胁，并且不断得到改进。 DarkGate 自 2018 年以来一直处于活跃状态，它支持各种功能，包括进程注入、下载和执行文件、信息窃取、shell 命令执行和键盘记录功能。恶意负载还采用了多种规避技术。 出于经济动机的黑客组织使用该恶意软件攻击北美、欧洲、亚洲和非洲的组织。 在 2023 年 8 月Qakbot基础设施中断后，Palo Alto Networks Unit 42 研究人员观察到 DarkGate 活动激增。 2024 年 3 月，DarkGate 攻击者使用 Microsoft Excel 文件发起了一场攻击活动，最初针对的是北美，但逐渐蔓延到欧洲和亚洲。该活动在 2024 年 4 月 9 日达到顶峰，一天内检测到近 2,000 个样本。 打开 .xlsx 文件后，收件人会看到一个包含“打开”按钮链接对象的模板。 当用户单击“打开”按钮的超链接对象时，它会从指向可公开访问并托管 VBS 文件的 Samba/SMB 共享的 URL 检索并运行内容。 研究人员还发现攻击者从 Samba 共享中分发 JavaScript 文件 EXCEL_OPEN_DOCUMENT.vbs 文件包含大量与打印机驱动程序相关的垃圾代码，但是它会检索并运行下载基于 AutoHotKey 的 DarkGate 包的 PowerShell 脚本。 “从 test.txt 中反混淆并从系统内存中运行，这个最终的 DarkGate 二进制文件以其复杂的机制而闻名，可以避免检测和恶意软件分析。”报告中写道。“DarkGate 采用的反分析技术之一是识别目标系统的 CPU。这可以揭示威胁是在虚拟环境中还是在物理主机上运行，从而使 DarkGate 能够停止运行以避免在受控环境中被分析。” DarkGate 还会分析受感染系统上运行的进程，以检查是否存在分析工具或虚拟化软件。 DarkGate 使用未加密的 HTTP 请求与 C2 服务器进行通信，并且数据被混淆以重新生成 Base64 编码的文本。 利用这种恶意软件的活动展示了先进的感染技术，既利用了网络钓鱼策略，也利用了利用可公开访问的 Samba 共享等方法。随着 DarkGate 不断发展和完善其渗透和抵抗分析的方法，它仍然有力地提醒我们需要强大而主动的网络安全防御。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/cPyrX6Fd0EuZ3BeXlVBCow 封面来源于网络，如有侵权请联系删除