雇佣间谍软件通常涉及政府和执法机构试图监视某些关键目标。苹果公司表示，攻击是“持续性的和全球性的”。 苹果公司正在向部分 iPhone 用户发出有关间谍软件攻击的另一条警告。 距离上一轮警告发布已过去三个月，此次新警报引起了安全研究人员和隐私组织的关注。间谍软件监督组织 Citizen Lab 的研究员 John Scott-Railton 在推特上写道：“认真对待这些警报，寻求专家帮助。” 据TechCrunch 报道，苹果已向 98 个国家的用户发出警告。警告内容据称是：“苹果检测到您正受到雇佣间谍软件攻击，该软件正试图远程入侵与您的 Apple ID -xxx- 关联的 iPhone。” 目前尚不清楚此次攻击涉及哪种间谍软件，以及攻击了多少部 iPhone。但雇佣间谍软件攻击通常涉及那些关键人物、社会活动人士，通常通过零点击攻击（受害者完全无法察觉）。 最臭名昭著的雇佣间谍软件之一是 Pegasus(飞马间谍软件)，它来自一家以色列公司。近年来，Pegasus 被发现出现在记者甚至英国首相办公室成员的手机上。 在一份支持文件中，苹果表示“绝大多数用户永远不会成为此类攻击的目标”，因为雇佣间谍软件通常依赖于罕见的软件漏洞，而这些漏洞的发现和开发成本可能高达数百万美元。 苹果公司表示：“尽管雇佣间谍软件攻击的对象是极少数个人——通常是记者、活动家、政客和外交官——但它们仍在持续进行，而且遍布全球。” 自 2021 年以来，苹果一直在向用户发出间谍软件警报。今年 4 月，苹果向 92 个国家的消费者发出了警报。苹果公司周三发送的警告并未透露攻击者的身份或用户收到通知的国家/地区。 为了防范间谍软件威胁，苹果为 iPhone 创建了一种锁定模式，该模式可禁用某些功能以阻止间谍软件攻击成功瞄准设备。 锁定模式时将采取的安全措施： Messages：除图片外，大多数信息附件类型均被屏蔽。部分功能（如链接预览）被禁用。 网页浏览：除非用户将受信任的站点从锁定模式中排除，否则某些复杂的网页技术（如即时 JavaScript 编译）将被禁用。 Apple 服务：如果用户之前没有向发起者发送呼叫或请求，则传入的邀请和服务请求（包括 FaceTime 呼叫）将被阻止。 FaceTime：之前没有呼叫过的人的 FaceTime 来电将被阻止。 共享相册：共享相册将从照片应用中删除，并且新的共享相册邀请将被阻止。 当 iPhone 被锁定时，与电脑或配件的有线连接将被阻止。 当锁定模式处于开启状态时，无法安装配置文件，并且设备无法注册到移动设备管理 (MDM)。 注：普通人不必启用锁定模式，锁定模式会限制大量正常功能，大多数消费者是不会喜欢的。普通人也不必担心上述间谍软件的攻击，因此类攻击所需要的的成本太高了。非关键人物不会成为此类攻击的目标。 该公司还建议用户使用最新软件版本更新他们的 Apple 设备，并在他们的帐户中使用多因素身份验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Hd5dm71j4x9pFHQbbzsHLQ 封面来源于网络，如有侵权请联系删除

“透明部落”APT组织持续释放带有恶意软件的 Android 应用程序，作为针对相关个人的社会工程活动的一部分。 SentinelOne 安全研究员 Alex Delamotte在一篇报告中表示：“这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势，新的扩展针对的是手机游戏玩家、武器爱好者和 TikTok 粉丝。” 该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。 透明部落 (Transparent Tribe) 疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。 “本报告中重点介绍的活动表明，这种技术仍在继续使用，社会工程学借口不断更新，并努力最大限度地提高间谍软件与旧版本 Android 操作系统的兼容性，同时扩大攻击面以包括支持最新 Android 版本。”Delamotte 解释道。 SentinelOne 识别出的新恶意 APK 文件列表如下： 疯狂游戏（com.maeps.crygms.tktols） 性感视频（com.nobra.crygms.tktols） TikTok（com.maeps.vdosa.tktols） 武器（com.maeps.vdosa.tktols） CapraRAT 使用 WebView 启动 YouTube 或名为 CrazyGames[.]com 的移动游戏网站的 URL，同时在后台滥用其权限访问位置、短信、联系人和通话记录；拨打电话；截屏；或录制音频和视频。 假冒 TikTok 页面和以武器为主题的 CapraRAT YouTube WebView 该恶意软件的一个显著变化是不再请求READ_INSTALL_SESSIONS、GET_ACCOUNTS、AUTHENTICATE_ACCOUNTS 和 REQUEST_INSTALL_PACKAGES 等权限，这表明攻击者旨在将其用作监视工具而不是后门。 Delamotte 说：“2023 年 9 月活动与当前活动之间对 CapraRAT 代码的更新很少，但表明开发人员专注于使该工具更加可靠和稳定。” “决定使用较新版本的 Android 操作系统是合乎逻辑的，并且可能与该组织持续针对印度政府或军事领域的个人的目标一致，这些人不太可能使用运行旧版本 Android 的设备，例如 8 年前发布的 Lollipop。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IESzCr121X58ch9kQ3oLVw 封面来源于网络，如有侵权请联系删除

虚假的 IT 支持网站宣传针对常见 Windows 错误（如 0x80070643 错误）的恶意 PowerShell“修复”，以使用窃取信息的恶意软件感染设备。 这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现，它们通过已被入侵和劫持的 YouTube 频道进行推广，以增加内容创建者的合法性。 具体来说，威胁行为者正在制作虚假视频，宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。 在 2024 年 1 月补丁星期二期间，微软发布了安全更新以修复 BitLocker 加密绕过漏洞，该漏洞被追踪为 CVE-2024-20666。 安装更新后，全球的 Windows 用户报告称，在尝试安装更新时收到“0x80070643 – ERROR_INSTALL_FAILURE”，无论他们如何努力，该错误都不会消失。 “安装更新时出现一些问题，但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息，这可能会有所帮助：（0x80070643）”，Windows 更新错误显示。 Windows 更新中的 0x80070643 事实证明，Windows Update 显示了不正确的错误消息，因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。微软解释称，新的安全更新要求 WinRE 分区有 250MB 的可用空间，如果没有，则必须自行手动扩展该分区。但是，对于那些 WinRE 不是驱动器上的最后一个分区的人来说，扩展 WinRE 分区很复杂，甚至是不可能的。因此，许多人无法安装安全更新，并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。 这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。 虚假 IT 网站宣传 PowerShell 修复程序 据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。 eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。” “当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。” 研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。 就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。 YouTube 上宣传的虚假 IT 支持网站 这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。 伪装成 Windows 错误修复程序的恶意 PowerShell 脚本 该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。 混淆的 Windows 注册表文件 但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。 未混淆的 Windows 注册表文件 使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。 虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。 您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。 至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCN4EZMLj7Hhlszvau0xdA 封面来源于网络，如有侵权请联系删除

WordPress、Magento 和 OpenCart 等多个内容管理系统 (CMS) 平台已成为一种名为 Caesar Cipher Skimmer 的新型信用卡网络盗刷软件的攻击目标。 网络盗刷是指为了窃取财务和支付信息而将恶意软件注入电子商务网站的行为。 据 Sucuri 称，最新的攻击活动恶意修改了与 WordPress 的 WooCommerce 插件相关的结账流程 PHP 文件（”form-checkout.php”），从而窃取了信用卡信息。 安全研究员 Ben Martin 说：”在过去的几个月里，这些注入文件被修改得不再像可疑的长混淆脚本。”他指出，该恶意软件试图伪装成谷歌分析和谷歌标签管理器。 具体来说，恶意软件利用凯撒密码中使用的相同替换机制，将恶意代码编码成乱码字符串，并隐藏用于托管有效载荷的外部域。 据推测，所有网站都曾通过其他手段被入侵过，最终安装了名为 “style.css “和 “css.php “的 PHP 脚本，目的显然是为了模仿 HTML 样式表并逃避检测。 这些脚本反过来被设计用来加载另一个混淆的JavaScript代码，该代码会创建一个WebSocket并连接到另一台服务器，以便获取实际的恶意负载。 Martin 指出：“脚本会发送当前网页的 URL，这样攻击者就可以为每个受感染的网站发送定制的响应。有些版本的第二层脚本甚至会检查是否由登录的 WordPress 用户加载，并为他们修改响应。” 有些版本的脚本还用俄语写了程序员可读的注释，这表明幕后的黑客是讲俄语的。 WooCommerce中的form-checkout.php文件并不是用来部署窃取程序的唯一方法，攻击者还会滥用合法的WPCode插件并将其注入网站数据库。 在使用 Magento 的网站上，JavaScript 注入是在 core_config_data 等数据库表上执行的。目前还不知道 OpenCart 网站是如何做到这一点的。 由于WordPress及其庞大的插件生态系统被广泛用作网站的基础，它们已成为黑客有利可图的攻击目标，让黑客能够轻松访问广阔的攻击面。 网站所有者必须持续更新内容管理系统软件和插件，同时确保密码安全，并定期审查是否存在可疑的管理员账户。   消息来源：thehackernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Chrome Web Store 上的恶意扩展程序问题到底有多严重？这取决于你相信谁。 谷歌方面表示，所有安装中只有不到 1% 包含恶意软件。但一组大学研究人员声称，在三年内有 2.8 亿人安装了受恶意软件感染的 Chrome 扩展程序。 谷歌上周表示，到 2024 年， Chrome Web Store上安装的所有扩展程序中，只有不到 1% 被发现包含恶意软件，目前该应用商店包含超过 25 万个扩展程序。 该公司补充说，虽然它对自己的安全记录感到自豪，但一些不良扩展程序仍然会通过，这就是为什么它还会监控已发布的扩展程序。“与任何软件一样，扩展程序也可能带来风险。” 斯坦福大学和 CISPA 亥姆霍兹信息安全中心的研究人员 Sheryl Hsu、Manda Tran 和 Aurore Fass 对这些数字给出了精确的估计。 据一份研究报告显示，三人对 Chrome 商店的安全重点扩展程序 (SNE) 进行了检查。SNE 是指包含恶意软件、违反 Chrome 网上商店政策或包含易受攻击代码的扩展程序。 研究发现，在 2020 年 7 月至 2023 年 2 月期间，有 3.46 亿用户安装了 SNE。其中 6300 万个违反政策，300 万个易受攻击，而这些 Chrome 扩展程序中有 2.8 亿个包含恶意软件。当时，Chrome 网上应用店中有近 125,000 个扩展程序可用。 研究人员发现，安全的 Chrome 扩展程序通常不会在商店中停留很长时间，一年后只有 51.8 – 62.9% 的扩展程序仍可用。另一方面，SNE 平均在商店中停留 380 天（恶意软件），如果包含易受攻击的代码，则停留 1,248 天。 存活时间最长的 SNE 名为 TeleApp，已存在 8.5 年，最后一次更新是在 2013 年 12 月 13 日，并于 2022 年 6 月 14 日被发现包含恶意软件，随后被删除。 我们经常被建议检查用户评级来确定应用程序或扩展程序是否是恶意的，但研究人员发现，这对于 SNE 的情况没有帮助。 “总体而言，用户不会给 SNE 打低分，这表明用户可能没有意识到此类扩展程序很危险。”作者写道。“当然，机器人也有可能给这些扩展程序打出虚假评论和高分。然而，考虑到一半的 SNE 都没有评论，似乎在这种情况下使用虚假评论并不普遍。” 谷歌表示，专门的安全团队会为用户提供他们安装的扩展程序的个性化摘要，在扩展程序发布到商店之前对其进行审查，并在发布后持续监控它们。研究人员建议谷歌还监控扩展程序的代码相似性。 报告指出：“例如，大约有 1,000 个扩展使用开源 Extensionizr 项目，其中 65% 到 80% 仍在使用六年前最初随该工具打包的默认和易受攻击的库版本。”他们还指出，由于缺乏维护，扩展在漏洞披露后很长时间仍留在商店中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2ZNw6pZsmEwuSg_4311Ucg 封面来源于网络，如有侵权请联系删除

威胁攻击者正在大量部署一种名为 “Rafel RAT “的开源恶意软件，攻击”过时“安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示，共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。 据悉，Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。 Rafel RAT 恶意软件目标品牌和型号非常广泛，包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。 Check Point 分析大量网络攻击活动后发现，受害者运行的安卓版本已达到生命周期终点（EoL），其中 87.5% 运行安卓 11 及以上版本，只有 12.5% 的受感染设备运行 Android 12 或 13。鉴于很多”过时“版本不再接受安全更新，因此容易受到已知/已发布漏洞的攻击。 Rafel RAT 勒索软件 恶意软件传播途径多种多样，威胁攻击者通常会滥用 Instagram、WhatsApp、电子商务平台或杀毒应用程序等知名品牌，诱骗人们下载恶意 APK。 捆绑 Rafel RAT 安装程序的虚假应用程序（来源：Check Point） 安装过程中，Rafel RAT 恶意软件会请求访问风险权限，包括免于电池优化，允许在后台运行。值得一提的是，Rafel RAT 恶意软件支持的命令因变种而异，但一般包括以下命令： 勒索软件： 启动设备上的文件加密进程； wipe： 删除指定路径下的所有文件； 锁定屏幕： 锁定设备屏幕，使设备无法使用； sms_oku： 向命令与控制 (C2) 服务器泄漏所有短信（和 2FA 代码）； location_tracker： 向 C2 服务器泄露实时设备位置。 Rafel RAT 恶意软件的行动由中央面板控制，威胁攻击者可在此访问设备和状态信息，并决定下一步攻击步骤。 Rafel RAT 面板上受感染设备概览（来源：Check Point ） 最常发布的命令（来源：Check Point ） Rafel RAT 中的勒索软件模块旨在通过控制受害者的设备，并使用预定义的 AES 密钥加密他们的文件来执行勒索计划。 Rafel RAT 的加密方法（来源：Check Point ） 一旦获得了受害者设备的管理权限，Rafel RAT 勒索软件就能轻松控制设备的关键功能，例如更改锁屏密码和在屏幕上添加自定义信息（通常是赎金说明）。如果用户试图撤销管理权限，勒索软件就会立刻做出反应，更改密码并立即锁定屏幕。 针对权限撤销企图的反应机制（来源：Check Point ） Check Point 的研究人员检测到了几起涉及 Rafel RAT 勒索软件攻击活动，其中包括一次来自伊朗的攻击，该攻击在运行加密模块之前使用了 Rafel RAT 的其他功能进行侦查。之后，威胁攻击者很快就清除了通话记录，更改壁纸以显示自定义信息，锁定屏幕，激活设备振动，并发送包含赎金说明的短信，敦促受害者在 Telegram 联系威胁攻击者。 最后，安全专家强调想要抵御 Rafel RAT 恶意软件攻击，请避免从可疑来源下载 APK，不要点击电子邮件或短信中嵌入的 URL，并在启动应用程序前使用 Play Protect 扫描。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404243.html 封面来源于网络，如有侵权请联系删除

LevelBlue Labs（前身为 AT&T Alien Labs）报告称，最近发现的一种名为 SquidLoader 的恶意软件加载器与一个未知的黑客组织有关，该组织两年来一直以中文受害者为目标。 LevelBlue Labs 最近发现了一种新型高度规避检测的加载程序，该加载程序通过网络钓鱼附件传送给特定目标。加载程序是一种恶意软件，用于将第二阶段有效负载恶意软件加载到受害者的系统中。 由于缺乏在野外观察到的先前样本，LevelBlue Labs 将此恶意软件命名为“SquidLoader”，因为它明显具有诱饵和规避作用。 在分析 LevelBlue Labs 检索到的样本后，研究人员发现 SquidLoader 正在使用几种技术来避免被静态或动态分析。LevelBlue Labs 于 2024 年 4 月下旬首次在活动中观察到 SquidLoader，研究人员评估在此之前至少已经活跃了一个月。 2024 年 4 月下旬，LevelBlue Labs 观察到一些可能附加在钓鱼电子邮件中的可执行文件。观察到的样本之一是“914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635”，其中文文件名翻译为“华为工业级路由器相关产品介绍和优秀客户案例”。 LevelBlue Labs 观察到的所有样本都以中国公司命名，例如：中国移动集团陕西有限公司、嘉奇智能科技或黄河水利技术研究所 (YRCTI)。所有样本都有描述性文件名，旨在引诱员工打开它们，它们带有与 Word 文档相对应的图标，但实际上是可执行二进制文件。 这些样本是加载程序，它们通过对 /flag.jpg URI 的 GET HTTPS 请求下载并执行 shellcode 有效负载。这些加载程序具有强大的规避和诱饵机制，可帮助它们保持不被发现，同时也妨碍分析。传递的 shellcode 也加载在同一加载程序进程中，很可能是为了避免将有效负载写入磁盘，从而避免被发现的风险。 LevelBlue 解释道：“由于在此加载器中观察到的所有诱饵和逃避技术，以及之前没有类似的样本，LevelBlue 实验室将此恶意软件命名为‘SquidLoader’。” 已识别的 SquidLoader 样本已使用合法（尽管已过期）证书进行签名，并会连接到使用自签名证书的命令和控制 (C&C) 服务器。 LevelBlue Labs 观察到的大多数样本都使用合法的过期证书来使文件看起来不那么可疑。无效证书（于 2021 年 7 月 15 日到期）颁发给杭州英格科技有限公司。 它的指纹为“3F984B8706702DB13F26AE73BD4C591C5936344F”，序列号为“02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB”。然而，这并不是用于签署恶意样本的唯一无效证书。 SquidLoader 使用的命令和控制 (C&C) 服务器采用自签名证书。在本次调查过程中，所有发现的 C&C 服务器均使用包含以下字段的证书，包括颁发者和主体： 通用名称：localhost 组织单位：group 组织：Company 地點：Nanjing 州/省：Jiangsu 国家：CN 样本执行后，恶意软件加载程序首先使用无害的名称将自身复制到预定义位置，这可能是一种诱饵技术。事实上，该恶意软件使用各种其他诱饵以及多种规避技术来确保自己能够躲过检测。 观察到的一些技术包括无意义或模糊的指令、加密的代码段、堆栈内的加密字符串、跳转到指令中间、返回地址混淆、控制流图 (CFG) 混淆、调试器检测和直接系统调用。 尽管文件名和图标声称是 Word 文档以欺骗受害者，但这些样本包含大量引用微信或 mingw-gcc 等流行软件产品的代码，试图误导检查文件的安全研究人员。此外，文件和 PE 元数据还带有对这些公司的引用。 这样做是为了诱使受害者相信这些产品是合法的组件。然而，这些代码永远不会被执行——因为在执行到达该点之前，执行流将转移到加载的有效载荷。 在调查过程中，LevelBlue 实验室发现该恶意软件加载器只传递了一个有效载荷，即 Cobalt Strike 信标，其配置曾在针对中文用户的多个活动中出现过。 观察到的工具、技术和程序 (TTP) 与高级持续威胁 (APT) 行为者一致，但 LevelBlue Labs 表示没有足够的数据将该威胁行为者归类为 APT。 LevelBlue Labs 表示：“鉴于 SquidLoader 在逃避检测方面取得的成功，针对中国以外人群的攻击者可能会开始模仿 SquidLoader 所使用的技术，帮助他们逃避对其独特恶意软件样本的检测和分析。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/cklZzsYY_kTrJTZP50XcmA 封面来源于网络，如有侵权请联系删除

网络安全公司 Sygnia 报告称，APT组织被发现使用传统 F5 BIG-IP 设备持续访问受害者网络长达三年。 这个被称为“Velvet Ant （天鹅绒蚂蚁）”的APT组织使用了多种机制来确保在受害者网络中立足，并迅速从已解决的机制转向新的机制，并表现出逃避检测的适应性。 该网络安全公司指出：“攻击者在调查前至少两年就已渗透到该组织的网络，并成功站稳脚跟，掌握了对该网络的深入了解。” 研究人员发现，Velvet Ant 使用各种工具和技术来破坏关键系统并访问敏感数据，并在未受监控的系统中部署休眠持久机制，包括 PlugX 远程访问木马 (RAT)。 攻击链 在部署 PlugX 恶意软件之前，攻击者被发现使用了 DLL 搜索顺序劫持、DLL 侧加载和幻影 DLL 加载，以及篡改已安装的安全软件。 该黑客组织表现出了高度的操作安全（OPSEC）意识，并没有在未能禁用安全软件的工作站上安装恶意软件。 Velvet Ant 还使用开源工具 Impacket 在受感染的机器上进行横向工具传输和远程代码执行，并创建防火墙规则以允许连接到命令和控制 (C＆C) 服务器。 从受害者网络中消除后，Sygnia 观察到它使用 PlugX 样本感染新机器，这些样本重新配置为使用内部服务器作为 C＆C，并通过该服务器与恶意软件建立外部通信。 攻击者使用配置了外部 C＆C 服务器的 PlugX 版本感染了可以访问互联网的系统，以窃取敏感信息，并使用没有 C＆C 的恶意软件迭代感染了旧服务器。 Velvet Ant 通过两台运行过时、易受攻击的软件的 F5 BIG-IP 设备，使用反向 SSH 隧道连接来访问旧文件服务器。 Sygnia 指出：“受感染文件服务器上的 PlugX 实例被攻击者用作内部 C&C 服务器。黑客从该服务器开展侦察活动，利用 Impacket 的 WmiExec 将 PlugX 的其他实例部署到旧服务器上。” 受害者使用受感染的 F5 BIG-IP 设备提供防火墙、WAF、负载平衡和本地流量管理服务。这两款设备都直接暴露在互联网上，可能已通过利用已知漏洞遭到黑客攻击。 在其中一台被攻陷的 F5 设备上，攻击者部署了 VelvetSting（用于接收来自 C&C 的命令）、VelvetTap（用于捕获网络数据包）、Samrid（开源 Socks 代理隧道程序 EarthWorm）和 Esrde（具有与 VelvetSting 相同的功能）等工具。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rvV74uqIKcar3y6Zd2dRMQ 封面来源于网络，如有侵权请联系删除

一组以色列研究人员探索了 Visual Studio Code 市场的安全性，并通过对流行的“Dracula Official”主题的副本进行木马病毒感染，以包含危险代码，成功“感染”了 100 多个组织。对 VSCode 市场的进一步研究发现了数千个扩展程序，安装量达数百万次。 Visual Studio Code（VSCode）是微软发布的一款源代码编辑器，被全球众多专业软件开发人员使用。 微软还运营一个 IDE 的扩展市场，称为 Visual Studio Code Marketplace，它提供可扩展程序功能并提供更多自定义选项的附加组件。 先前的报告强调了 VSCode 的安全性漏洞，允许扩展程序发布者冒充以及窃取开发人员身份验证令牌的扩展，还有一些在野外发现的扩展被证实是恶意目的。 对 Dracula 主题进行域名抢注 在最近的实验中，研究人员Amit Assaraf、Itay Kruk 和 Idan Dardikman创建了一个扩展，对“ Dracula Official ”主题进行了域名抢注，该主题是各种应用程序的流行配色方案，在 VSCode 市场上安装量超过 700 万次。 Darcula 因其视觉上吸引人的暗黑模式和高对比度的调色板而被大量开发人员使用，这对眼睛很友好，有助于减少长时间编码期间的眼睛疲劳。 研究中使用的虚假扩展名为“Darcula”，研究人员甚至在“darculatheme.com”注册了一个匹配的域名。该域名被用来成为 VSCode 市场上经过验证的发布者，从而增加了虚假扩展的可信度。 VSCode 市场上的 Darcula 扩展 他们的扩展使用了合法 Darcula 主题的实际代码，但还包括一个附加脚本，用于收集系统信息，包括主机名、已安装的扩展数量、设备的域名和操作系统平台，并通过 HTTPS POST 请求将其发送到远程服务器。 研究人员指出，恶意代码不会被端点检测和响应 (EDR) 工具标记，因为 VSCode 作为开发和测试系统的性质而受到宽大处理。 该扩展程序迅速获得关注，被多个高价值目标错误地安装，其中包括一家市值 4830 亿美元的上市公司、大型安全公司和一个国家司法法院网络。 研究人员选择不透露受影响公司的名称。 由于该实验没有恶意，分析师仅收集了识别信息，并在扩展的自述文件、许可证和代码中包含了披露。 Darcula 在 VSC Marketplace 上发布帖子 24 小时后受害者的位置 VSCode 市场现状 实验成功后，研究人员决定深入研究 VSCode 市场的威胁状况，使用他们开发的名为“ExtensionTotal”的自定义工具来查找高风险扩展、解包并仔细检查可疑的代码片段。 通过这一过程，他们发现： 1,283 个含有已知恶意代码（2.29 亿次安装）。 8,161 个使用硬编码 IP 地址进行通信。 1,452 个正在运行未知的可执行文件。 2,304 个正在使用其他发布者的 Github repo，表明他们是模仿者。 下面是在恶意 Visual Studio Code Marketplace 扩展中发现的代码示例，该扩展会打开网络犯罪分子服务器的反向 shell。 在代码美化扩展 (CWL Beautifer) 中发现的反向 shell 微软对 VSCode 市场缺乏严格的控制和代码审查机制，这使得攻击者可以肆意滥用该平台，而且随着平台使用的增多，情况会变得越来越糟。 研究人员警告说：“从数字可以看出，Visual Studio Code 市场上有大量的扩展对组织构成风险。” “VSCode 扩展是一种被滥用和暴露的攻击垂直领域，具有零可见性、高影响和高风险。这个问题对组织构成了直接威胁，值得安全社区的关注。” 研究人员检测到的所有恶意扩展都已负责任地报告给 Microsoft 以进行删除。然而，截至撰写本文时，绝大多数扩展仍可通过 VSCode Marketplace 下载。 研究人员计划下周发布他们的“ExtensionTotal”工具以及有关其操作能力的详细信息，并将其作为免费工具发布，以帮助开发人员扫描他们的环境以发现潜在威胁。 研究人员发表的系列技术博客文章： 我们如何使用假的 VSCode 扩展在 30 分钟内入侵价值数十亿美元的公司 揭露恶意扩展：来自 VS Code 市场的令人震惊的统计数据 致微软的一封信：揭露 Visual Studio Code 扩展的设计缺陷   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xDDh_N7o26Em_9Ni3Ddyyw 封面来源于网络，如有侵权请联系删除

近日，一些网络安全研究人员演示了恶意软件是如何成功窃取 Windows Recall 工具收集到的数据。 微软 Recall 功能是一种人工智能驱动的工具，旨在帮助用户搜索电脑上过去的活动，该工具收集的数据在本地存储和处理。工具推出后，鉴于其扫描并保存电脑屏幕的定期截图，有可能暴露敏感数据，例如密码或财务信息等，引起了网络安全专家对其安全和隐私的担忧。 随着这一事件的发酵，微软方面一直在试图淡化用户面临的安全风险。该公司指出，黑客需要物理访问权限才能获取 Recall 工具收集的数据。不过，微软的回应就遭到了”打脸“，多名网络安全研究人员成功验证恶意代码可以窃取 Windows Recall 工具收集到的数据。 著名网络安全专家 Kevin Beaumont 表示，黑客能够使用恶意软件远程访问运行 Recall 的设备。 当用户登录电脑并运行软件时，一切都会自动解密，静态加密只有在有人到用户家中偷走笔记本电脑时才会有用（黑客犯罪可不是这么干）。自动窃取用户名和密码的 InfoStealer 木马十多年来一直是行业内的大麻烦，目前这些木马仍然可以被轻松修改，以”支持“ Recall。 值得一提的是，微软方面表示，公司内部的工具捕获的信息是高度加密的，没有人可以非法访问这些数据信息。对此， Kevin Beaumont 很快就指出微软的说法是假的，并公布了一段视频，视频中两名微软工程师访问了包含图片的文件夹。 演示视频地址：此处 网络安全研究人员 Alex Hagenah 发布了一款名为 “TotalRecall ”的 PoC 工具，可以自动提取和显示 Recall 在笔记本电脑上捕获并保存到数据库中的快照。Hagenah 声称，数据库没有被加密的，全是纯文本。 Hagenah 进一步表示，Windows Recall 将所有内容都存储在本地未加密的 SQLite 数据库中，截图只是保存在 PC 上的一个文件夹中，可以在下面的路径中查看： C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID} 所有图像都存储在以下子文件夹中 .\ImageStore\ 研究人员 Marc-André Moreau 强调，信息窃取型恶意软件可以从本地 SQLite 数据库中轻松窃取远程桌面管理器中暂时可见的密码，这些密码都会被 Recall 工具捕获。 演示视频地址：此处 最后， Kevin Beaumont 在其研究报告中指出，微软方面此时应该立刻召回 Recall ，并在后续的更新中解决安全隐患。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402814.html 封面来源于网络，如有侵权请联系删除