近日，网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。 老牌恶意软件藏身U盘 PlugX 是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到 2008 年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后，PlugX 被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。 PlugX 的最新变种增加了蠕虫组件，可通过 U 盘感染物理隔离系统。2023 年派拓网络公司（PaloAltoNetwork）的 Unit42 团队在响应 BlackBasta 勒索软件攻击时，在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播，并能将目标敏感文件隐藏在 U 盘中。 2023 年 3 月，Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种，并称其已经“传播了半个地球”。 全球 250万台主机中招，中美都是重灾区 六个月前，Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种（Sinkhole）的命令和控制(C2)服务器。 在 Seqoia 联系托管公司并请求控制 IP 后，研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ，并使用该 IP 获得了对服务器的 shell 访问权限。 分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，捕获来自受感染主机的 HTTP 请求并观察流量的变化。 C2 服务器的操作记录显示，每天有 9-10 万个主机发送请求，六个月内全球有近 250 万个独立 IP 连接到该服务器（下图）： 研究人员发现，PlugX 已传播到全球 170 个国家，但集中度较高，15 个国家占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。 研究人员强调，由于被废弃的 PlugXC2 服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为： 许多受感染的工作站可以通过相同的 IP 地址连接 由于采用动态 IP 寻址，一个受感染系统可以连接多个 IP 地址 许多连接是通过 VPN 服务进行的，这可能使来源国家/地区的数据失真 两种杀毒方法 Sekoia 建议各国网络安全团队和执法机构采取两种杀毒方法。 第一种方法是发送 PlugX 支持的自删除命令，该命令应将其从计算机中删除，而无需执行其他操作。但需要注意的是，因为 PlugX 新变种可通过 USB 设备传播，第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件，仍然存在重新感染的风险。 第二种方法较为复杂，需要在受感染的计算机上开发和部署自定义有效负载，从系统以及与其连接的受感染 USB 驱动器中删除 PlugX。 Sekoia 还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16239.html 封面来源于网络，如有侵权请联系删除

科技巨头思科周三警告称，国家支持的专业黑客团队正在利用其 ASA 防火墙平台中的至少两个 0day 漏洞，在电信和能源部门网络上植入恶意软件。 根据思科 Talos 的一份报告，攻击者瞄准运行思科自适应安全设备 (ASA) 或思科 Firepower 威胁防御 (FTD) 产品的某些设备中的软件缺陷，植入恶意软件、执行命令，并可能从受感染的设备中窃取数据。 该活动标记为 ArcaneDoor，利用思科产品中两个已记录的软件漏洞（CVE-2024-20353 和 CVE-2024-20359），但思科公司的恶意软件猎人仍然不确定攻击者是如何入侵的。 “我们尚未确定此次活动中使用的初始访问向量。迄今为止，我们尚未发现预身份验证利用的证据。”思科 Talos 表示。 “ArcaneDoor 是一项由国家背景的黑客组织针对多个供应商的外围网络设备发起攻击的最新例子。对于这些攻击者来说，外围网络设备是针对间谍活动的完美入侵点。”思科解释说，并指出，在这些设备上获得立足点可以让攻击者直接进入组织、重新路由或修改流量并监控网络通信。 思科表示，一位未透露姓名的客户于 2024 年初向其 PSIRT 团队通报了 ASA 防火墙产品的“安全问题”，启动了一项调查，最终发现了黑客活动（Talos 追踪为 UAT4356，微软威胁情报中心追踪为 STORM-1849） 。 该公司表示，该攻击者使用了定制工具，表现出对间谍活动的明确关注以及对其目标设备的深入了解，这是成熟的国家资助攻击者的标志。 思科表示，它观察到黑客团队部署了两个后门，这些后门共同用于针对目标进行恶意操作，其中包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。 该公司警告称：“思科与受害者和情报合作伙伴合作，发现了一个复杂的攻击链，该攻击链用于植入定制恶意软件并在一小部分客户中执行命令。” 思科研究人员表示，网络遥测和情报合作伙伴提供的信息表明，黑客有兴趣刺探微软和其他供应商的网络设备。 思科表示：“无论您的网络设备提供商是谁，现在都是确保设备正确修补、登录到中央安全位置并配置为具有强大的多因素身份验证 (MFA) 的时候了。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pU4AlNI8VyIAlfuOBs2llQ 封面来源于网络，如有侵权请联系删除

与俄罗斯有联系的 APT28 黑客组织将 Microsoft Windows Print Spooler 组件中的安全漏洞武器化，以传播一种名为 GooseEgg 的先前未知的自定义恶意软件。 据称，该工具最早能追溯到 2019 年 4 月，至少从 2020 年 6 月开始使用，它利用了一个现已修补的缺陷，漏洞允许权限升级（CVE-2022-38028，CVSS 评分：7.8）。 Microsoft  在 2022 年 10 月发布的更新中解决了这个问题，美国国家安全局 (NSA) 当时报告了该缺陷。 根据微软威胁情报团队的最新发现，APT28组织将该漏洞武器化，用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。 至少从 2020 年 6 月开始，可能最早在 2019 年 4 月，Forest Blizzard 就使用该工具（微软称之为 GooseEgg）通过修改 JavaScript 约束文件并使用系统级权限执行该文件来利用 Windows Print Spooler 服务中的 CVE-2022-38028  漏洞。 Microsoft 观察到 Forest Blizzard 使用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府组织、教育和交通部门组织等目标的攻击活动的一部分。 虽然是一个简单的启动器应用程序，但 GooseEgg 能够生成在命令行中指定的具有提升权限的其他应用程序，允许攻击者支持任何后续目标，例如远程代码执行、安装后门以及通过受感染的网络横向移动。 近几个月来，APT28 黑客还滥用了 Microsoft Outlook 中的权限提升漏洞（CVE-2023-23397，CVSS 得分：9.8）和 WinRAR 中的代码执行漏洞（CVE-2023-38831，CVSS 得分：7.8），这表明他们能够迅速将流行安全漏洞应用到他们的间谍技术中。 微软表示：“Forest Blizzard（森林暴雪）部署 GooseEgg 的目的是获得对目标系统的更高访问权限并窃取凭据和信息。” “GooseEgg 通常使用批处理脚本进行部署。” GooseEgg 二进制文件支持触发漏洞利用的命令并启动动态链接库 (DLL) 或具有提升权限的可执行文件。它还验证是否已使用 whoami 命令成功激活漏洞。 微软敦促客户尽快应用 2022 年发布的 Print Spooler 漏洞的安全更新以及 2021 年发布的 PrintNightmare 漏洞补丁。 “为了组织的安全，我们敦促尚未实施这些修复的客户尽快实施这些修复。此外，由于域控制器操作不需要打印后台处理程序服务，因此微软建议在域控制器上禁用该服务。”该公司指出。 根据 Malpedia 知识库，APT28 有一系列别名，包括：APT-C-20、ATK5、Blue Athena、Fancy Bear、FrozenLake、Fighting Ursa、Forest Blizzard、G0007、Grey-Cloud、Grizzly Steppe、Group 74、Group-4127、Iron Twilight、 Pawn Storm、SIG40、SnakeMackerel、Strontium、Sednit、Sofacy、Swallowtail、T-APT-12、TA422、TG-4127、Tsar Team、TsarTeam 和 UAC-0028。 APT28是一个网络间谍组织，据信与俄罗斯政府有联系。该组织可能自 2007 年开始运作，以政府、军队和安全组织为目标，它被描述为一种高级持续威胁。 据评估，Forest Blizzard（森林暴雪）隶属于俄罗斯联邦军事情报机构、俄罗斯联邦武装部队总参谋部主要情报局（GRU）第 26165 号部队。 该黑客组织活跃了近 15 年，其活动主要是收集情报以支持俄罗斯政府的外交政策。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/VTM6_VjyzNkRGk7gBXqXPg 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现，在针对美国、英国、德国和日本系统的攻击活动中，有黑客使用了网络缓存来传播恶意软件。 研究人员认为，该活动的幕后黑手是 CoralRaider。该组织曾发起过多次窃取凭证、财务数据和社交媒体账户的攻击活动。此外该黑客还提供 LummaC2、Rhadamanthys 和 Cryptbot 信息窃取程序，这些信息窃取程序可在恶意软件即服务平台的地下论坛上获得，但需要支付订阅费。 思科 Talos 根据战术、技术和程序 (TTP) 与该黑客以往攻击的相似性，以中等可信度评估该活动是 CoralRaider 的行动。特别是通过初始攻击载体、使用中间 PowerShell 脚本进行解密和有效载荷传输，以及绕过受害者计算机上的用户访问控制 (UAC) 的特定方法等等进行了进一步评判。 CoralRaider 感染链 Cisco Talos报告称，最新的CoralRaider攻击始于受害者打开一个包含恶意Windows快捷方式文件（.LNK）的压缩包。目前还不清楚这个存档是如何发送的，但它可能是恶意电子邮件的附件，也可能是从不受信任的位置下载的，还可能是通过恶意广告推广的。 LNK 包含 PowerShell 命令，可从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域下载并执行严重混淆的 HTML 应用程序 (HTA) 文件。 通过使用 CDN 缓存作为恶意软件交付服务器，黑客避免了请求延迟，同时也欺骗了网络防御系统。 HTA 文件包含 JavaScript，可解码并运行 PowerShell 解密器脚本，该脚本可解压第二个脚本，在临时文件夹中写入批脚本。其目的是通过修改 Windows Defender 排除项来保持不被发现。 本机二进制文件 FoDHelper.exe LoLBin 用于编辑注册表键值和绕过用户访问控制（UAC）安全功能。 完成这一步后，PowerShell 脚本会下载并执行三种信息窃取程序（Cryptbot、LummaC2 或 Rhadamanthys）中的一种，这些程序已被添加到 Defender 扫描排除的位置。   信息窃取有效载荷 Cisco Talos 称，CoralRaider 使用的是新的 LummaC2 和 Rhadamanthys 版本，它们在 2023 年底增加了捕获 RDP 登录和恢复过期谷歌账户 cookie 等强大功能。虽然 Cryptbot 的流行程度没那么高，但它仍然是一个巨大的威胁，其曾在一年内感染了 67 万台电脑。 思科 Talos 称，CoralRaider 近期发起的攻击中出现的变种是今年 1 月发布的，具有更好的混淆和反分析机制，并扩大了目标应用程序列表。 思科 Talos 称，CoralRaider 近期发起的攻击中出现的变种是今年 1 月发布的，具有更好的混淆和反分析机制，并扩大了目标应用程序列表。Cisco Talos 指出，Cryptbot 还瞄准了密码管理器的数据库以及验证器应用程序的数据，以窃取受双因素验证保护的加密货币钱包。 CoralRaider 黑客组织自 2023 年开始一直活动频繁。据悉，它的总部位于越南。在之前的一次活动中，该威胁行为者依靠 Telegram 机器人进行命令和控制（C2）窃取了受害者数据。 他们此前的攻击目标通常是亚洲和东南亚国家。不过，其最新的行动已将目标扩展到了美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其等地。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399090.html 封面来源于网络，如有侵权请联系删除

自 2015 年以来，部分乌克兰政府网络一直受到名为 OfflRouter 的恶意软件的感染。 思科 Talos 发布的一份报告显示：其调查结果基于对 100 多个机密文档的分析，这些文档感染了 VBA 宏病毒并上传到 VirusTotal 恶意软件扫描平台。 安全研究员 Vanja Svajcer表示：“这些文件包含 VBA 代码，用于删除并运行名为‘ctrlpanel.exe’的可执行文件。” “该病毒在乌克兰仍然活跃，并导致潜在的机密文件被上传到可公开访问的文件存储库。” OfflRouter 的一个引人注目的方面是它无法通过电子邮件传播，因此需要通过其他方式传播，例如共享文档和可移动媒体，包括包含受感染文档的 USB 记忆棒。 据说这些设计选择，无论是有意还是无意，都将 OfflRouter 的传播限制在乌克兰境内和少数组织内，从而在近 10 年内逃脱了检测。 目前尚不清楚谁是该恶意软件背后的始作俑者，也没有迹象表明它是由乌克兰人开发的。 无论是谁，由于不寻常的传播机制和源代码中存在多个错误，他们都被描述为富有创造力但缺乏经验。 OfflRouter 早在 2018 年 5 月就被 MalwareHunterTeam 重点关注，斯洛伐克计算机安全事件响应小组 ( CSIRT.SK ) 于 2021 年 8 月再次重点关注 OfflRouter，介绍了上传到乌克兰国家警察网站的受感染文件（详情）。 作案手法几乎保持不变：VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件，然后该文件会感染系统和其他设备上发现的具有 .DOC（而非 .DOCX）扩展名的所有文件，具有相同宏的可移动媒体。 “感染会迭代要感染的文档候选列表，并使用创新方法检查文档感染标记，以避免多次感染过程 – 该功能检查文档创建元数据，添加创建时间，并检查总和的值。” Svajcer说。 “如果总和为零，则认为该文档已经被感染。” 也就是说，只有启用 VBA 宏时，攻击才会成功。截至 2022 年 7 月，微软一直在默认情况下阻止从互联网下载的 Office 文档中的宏，促使攻击者寻求其他初始访问途径。 该恶意软件的另一个关键功能是修改 Windows 注册表，以确保每次启动系统时可执行文件都会运行。 “该病毒仅针对文件扩展名为 .DOC（OLE2 文档的默认扩展名）的文档，并且不会尝试感染其他文件扩展名，” Svajcer 解释道。“较新的 Word 版本的默认 Word 文档文件扩展名是 .DOCX，因此很少有文档会因此受到感染。” 那不是全部，Ctrlpanel.exe 还能够搜索可移动驱动器上存在的潜在插件（扩展名为 .ORP）并在计算机上执行它们，这意味着恶意软件期望通过 USB 驱动器或 CD-ROM 传递插件。 相反，如果插件已经存在于主机上，OfflRouter 会负责对它们进行编码，将文件复制到附加的可移动媒体的根文件夹（文件扩展名为 .ORP），并对其进行操作以使其隐藏，以便它们将它们插入其他设备时，通过文件资源管理器不可见。 也就是说，一个主要的未知数是初始向量是文档还是可执行模块 ctrlpanel.exe。 “双模块病毒的优点是它可以作为独立的可执行文件或受感染的文档进行传播。”Svajcer 说。 “最初作为可执行文件传播可能是有利的，因为该模块可以独立运行并设置注册表项以允许执行 VBA 代码并将默认保存的文件格式更改为 .DOC，然后再感染文档。这样，感染可能有点隐蔽。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/yqnfg5lJ-ScI0HzPmGWlMw 封面来源于网络，如有侵权请联系删除

芬兰安全研究人员详细介绍了鲜为人知的俄罗斯 Kapeka 后门恶意软件的新情况，该恶意软件至少自 2022 年中期以来一直用于攻击东欧目标。 据芬兰网络安全公司 WithSecure 称，这款名为 Kapeka 的恶意软件可能与俄罗斯军事情报部门 (GRU) 运营的黑客组织 Sandworm 有关。 该公司在与 Recorded Future News 分享的一份报告中表示，后门可能是 Sandworm 武器库的更新，用于间谍活动和破坏活动。像 Kapeka 这样的代码是为了让黑客能够访问网络来部署其他恶意软件。 研究人员还发现 Kapeka 和 Sandworm 的其他恶意工具之间存在重叠。 Kapeka 很可能被用于导致 2022 年底部署 Prestige 勒索软件的入侵。根据之前的报告，与 Sandworm 相关的黑客在针对乌克兰和波兰的运输和物流部门的一系列攻击中部署了 Prestige 勒索软件（详情）。 研究人员表示，Kapeka 有可能是 Sandworm 的 GreyEnergy 恶意软件的后继者，后者本身很可能是著名的 BlackEnergy 病毒的替代品，该病毒曾在 2015 年向乌克兰电网插入恶意代码。 WithSecure 表示，它在 2023 年年中在分析 2022 年底发生的针对爱沙尼亚物流公司的攻击时发现了 Kapeka 的踪迹。 另外两个后门样本分别于 2022 年中期和 2023 年中期从乌克兰提交给 VirusTotal 存储库。WithSecure 研究人员表示，他们“有一定的信心”认为提交者是恶意软件感染的受害者。 今年2月初，微软发现了一个与 Kapeka 特征相似的后门，并将其命名为KnuckleTouch。微软的报告认为，该恶意软件至少从 2022 年初到中期就已被 Sandworm 使用。WithSecure 向 Recorded Future News 证实 KnuckleTouch 和 Kapeka 是同一个后门。 Kapeka的能力 根据 WithSecure 的报告，Kapeka 可以作为早期工具包，并提供对目标系统的长期访问。 一旦部署，后门就会收集有关受感染计算机及其用户的信息。它还可以执行一系列任务，例如从磁盘读取小于 50 MB 的文件并将此信息发送回黑客。 研究人员表示，该恶意软件还可以启动有效负载、执行 shell 命令并升级其自身功能，从而可能使攻击者首先使用后门的框架版本感染受害者，并且只有在受害者被认为是合适的目标时才会释放更完整的版本。 报告称，Kapeka 的开发和部署可能是在俄乌战争爆发之后进行的。该后门可能被用于针对中欧和东欧的破坏性攻击，包括勒索软件活动。 研究人员表示，其他研究中很少提及 Kapeka，这表明该恶意软件至少自 2022 年中期以来就已被用于有限范围的攻击。 该组织可能对针对运输和物流公司特别感兴趣。WithSecure 最初在爱沙尼亚公司的网络中发现了后门，研究人员还将其与针对波兰和乌克兰物流行业的 Prestige 勒索软件式攻击联系起来。 研究人员表示：“由于在编写感染媒介时数据较少，暂无法确定攻击者的目标具体是什么。 “Kapeka 的开发者和运营商是否会随着该工具的新版本而发展，或者开发和使用与 Kapeka 相似的新工具包，就像 Kapeka 和 GreyEnergy 以及 GreyEnergy 和 BlackEnergy 之间发现的那样，还有待观察。”研究人员说。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/sNWWj9sGX_ap1LUrcvazRA 封面来源于网络，如有侵权请联系删除

工业和企业物联网网络安全公司 Claroty 对 Fuxnet 进行了分析，Fuxnet 是乌克兰黑客最近在针对俄罗斯地下基础设施公司的攻击中使用的一款工业控制系统 (ICS) 恶意软件。 近几个月来，据信隶属于乌克兰安全部门的一个名为 Blackjack 的黑客组织声称对俄罗斯多个重要组织发起了攻击。黑客以互联网服务提供商、公用事业公司、数据中心和俄罗斯军方为目标，据称造成了重大损害并泄露了敏感信息。 上周，Blackjack 披露了针对 Moscollector 涉嫌攻击的细节，Moscollector 是一家总部位于莫斯科的公司，负责供水、污水处理和通信系统等地下基础设施。 “俄罗斯的工业传感器和监控基础设施已被禁用，”黑客声称，“它包括俄罗斯的网络运营中心 (NOC)，该中心监视和控制天然气、水、火灾报警器和许多其他设备，包括庞大的远程传感器和物联网控制器网络。” 黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。 此外，他们还声称已经禁用了 87,000 个传感器，其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标，他们使用了 Fuxnet，这是一种被他们称为“类固醇震网”的恶意软件，这使得他们能够物理破坏传感器设备。 “Fuxnet 现在已开始淹没 RS485/MBus，并向 87,000 个嵌入式控制和传感系统发送‘随机’命令（已谨慎排除了医院、机场和其他民用目标）。”黑客表示。 黑客的说法很难核实，但 Claroty 能够根据 Blackjack 提供的信息和代码对 Fuxnet 恶意软件进行分析。 该网络安全公司指出，Moscollector 部署的用于收集温度等物理数据的实际传感器很可能没有被 Fuxnet 损坏。相反，该恶意软件可能针对大约 500 个传感器网关，这些网关通过串行总线（例如 Blackjack 提到的 RS485/Meter-Bus）与传感器进行通信。这些网关还连接到互联网，能够将数据传输到公司的全球监控系统。 Claroty 指出：“如果网关确实损坏，维修工作可能会很广泛，因为这些分布在莫斯科及其郊区的设备必须更换，或者必须单独重新刷新固件。” Claroty 对 Fuxnet 的分析表明，该恶意软件很可能是远程部署的。一旦进入设备，它将删除重要文件和目录，关闭远程访问服务以防止远程恢复，并删除路由表信息以防止与其他设备通信。然后，Fuxnet 将删除文件系统并重写设备的闪存。 一旦损坏了文件系统并阻止了对设备的访问，恶意软件就会尝试物理破坏 NAND 存储芯片，然后重写 UBI 卷以防止重新启动。 此外，恶意软件还试图通过用随机数据淹没串行通道来破坏连接到网关的传感器，从而使串行总线和传感器过载。 “在恶意软件操作期间，它会通过仪表总线通道重复写入任意数据。这将阻止传感器和传感器网关发送和接收数据，从而使传感器数据采集变得毫无用处。”Claroty 解释道，“因此，尽管攻击者声称破坏了 87,000 个设备，但他们实际上似乎只成功感染了传感器网关，并试图通过淹没连接不同传感器和网关的仪表总线通道来造成进一步的破坏，类似于网络模糊测试不同的连接传感器设备。结果似乎只有传感器网关被变砖，而终端传感器却没有变砖。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295650 封面来源于网络，如有侵权请联系删除

近日，惠普威胁研究团队发现 “树莓罗宾 “（通常是勒索软件攻击的前兆）蠕虫背后的威胁行为者改变了传播策略，除了使用 USB 驱动器等可移动媒体向目标主机传播外，还通过高度混淆的 Windows 脚本文件（WSF），利用反分析技术进行传播。 不过只有当恶意软件在真实设备上而不是在沙盒中运行时，才会下载和执行最终有效载荷。 树莓罗宾最早于 2021 年由红金丝雀公司披露，是恶意软件即服务运营商部署的一种工具。微软在 2022 年底表示，该蠕虫是一个复杂且相互关联的恶意软件生态系统的一部分，与其他恶意软件家族和替代感染方法有联系。 据惠普公司称，树莓罗宾是 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 Truebot 这些恶意软件家族的前身。它最初的感染载体是通过 USB 驱动器，但现在已扩展到包括恶意广告在内的其他方法。 今年 3 月，恶意行为者开始通过 .wsf 文件传播该蠕虫病毒。系统管理员和合法软件通常使用这种文件类型在 Windows 中自动执行任务，是自动化日常任务和简化复杂流程的强大工具。 解码树莓罗宾的 WSF Distribution .wsf 文件格式支持 JScript 和 VBScript 等脚本语言，可由 Windows 操作系统内置的 Windows 脚本主机组件进行解释。 这些 Windows 脚本文件通过威胁行为者控制的各种恶意域和子域提供下载。虽然目前还不清楚威胁行为者是如何引诱用户访问恶意 URL ，但惠普威胁研究人员认为他们可能是通过垃圾邮件或恶意广告活动实现的。 该恶意软件还会检测以下安全软件供应商： Kaspersky ESET Avast Avira Check Point Bitdefender 截至惠普发布通知时，威胁行为者的 WSF 文件在 Virus Total 上的检测率为 0%。这就意味着 VirusTotal 上没有任何反病毒扫描器将这些文件分类为恶意文件，显示了该恶意软件的隐蔽性。 分析发现，该脚本还使用了经典方法，通过检查网卡的 MAC 地址来识别运行环境是否虚拟化。为了防止审查，如果在调试器中进行分析，该脚本会从磁盘中自动删除并以命令行参数重新启动。在功能上，它充当了下载器的角色，从网上检索树莓罗宾 DLL 并将其存储在本地，同时通过在防病毒扫描中添加异常来逃避检测。 研究人员表示，WSF下载器被严重混淆，并使用了许多反分析和反虚拟机技术，使恶意软件能够逃避检测并减慢分析速度。鉴于树莓罗宾已被用作人为操作勒索软件的前兆，在感染链的早期阶段反击这种恶意软件应该成为安全团队的重中之重。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397709.html 封面来源于网络，如有侵权请联系删除

苹果公司警告在全球92个国家的iPhone用户可能成为有针对性的雇佣间谍软件攻击的目标，据路透社报道。 报道中只提到了印度是其中一个受到攻击的国家。 根据针对性用户发送的威胁通知电子邮件，这家科技巨头发现了试图“远程侵入iPhone”的行为。 公司并未将此类有针对性的攻击归因于“任何特定的国家支持的攻击者”。 德国网站Heise报道称：“最初，苹果明确提到了这是‘国家支持的攻击’。但最近对印度的反对派政客和记者发出警告后，印度政府似乎感到非常不悦。与此同时，iPhone公司采用了更加圆滑的措辞，称这类攻击为‘雇佣间谍软件’，并指出这类攻击‘在历史上一直与国家行为者有关’。” 自2021年起，苹果开始向来自150多个国家的用户发送了这种类型的威胁通知。 苹果建议受到针对性攻击的iPhone用户将其设备更新到最新的软件版本，并与网络安全专家联系以调查可能的妥协情况。 为了应对2022年7月对苹果用户发起的一波复杂攻击（例如Pegasus、DevilsTongue和Hermit），苹果开发了一项名为“锁定模式”的新安全功能，以保护其用户免受高度有针对性的网络攻击。 苹果iOS锁定模式中实施的一些保护措施包括： – 消息：除了图像之外，大多数消息附件类型都被阻止。某些功能，例如链接预览，将被禁用。 – 网页浏览：除非用户排除了信任的网站，否则某些复杂的网页技术，例如即时JavaScript编译（JIT），将被禁用。 – 苹果服务：如果用户之前未向发起者发送呼叫或请求，则会阻止入站邀请和服务请求，包括FaceTime呼叫。 – 当iPhone被锁定时，与计算机或附件的有线连接将被阻止。 – 在锁定模式开启时，无法安装配置文件，并且设备无法加入移动设备管理（MDM）。   消息来源：SecurityAffairs，译者：Lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

eXotic Visit 是一个活跃的 Android 恶意软件活动，主要是针对南亚、尤其是印度和巴基斯坦的用户。该恶意软件可以通过专门网站和 Google Play 商店下载。 斯洛伐克网络安全公司表示，这项活动自 2021 年 11 月以来一直在进行，并且与任何已知的威胁行为者或组织无关。公司正在追踪 Virtual Invaders 行动背后的组织。 ESET 安全研究员 Lukáš Štefanko 在今天发布的一份技术报告中表示：“下载的应用程序提供合法功能，但也包含来自开源 Android XploitSPY RAT 的代码。” 据称，该活动具有很强的针对性，Google Play 上提供的应用程序的安装量从 0 到 45 不等。这些应用程序目前已被下架。 这些虚假但实用的应用程序主要伪装成消息服务，例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。据称，大约 380 名受害者下载了这些应用并创建了帐户。 eXotic Visit 还使用了 Sim Info 和 Telco DB 等应用程序，这两个应用程序都声称只需输入巴基斯坦的电话号码即可提供该 SIM 卡所有者的详细信息。而其他应用程序冒充巴基斯坦的食品订购服务和一家名为 Specialist Hospital 的合法印度医院（现已更名为 Trilife Hospital）。 XploitSPY在 2020 年 4 月由名为RaoMK的用户上传到 GitHub ，与一家名为 XploitWizer 的印度网络安全解决方案公司挂钩。它也被认为是另一个名为L3MON开源 Android 木马的分支，而 L3MON 又从AhMyth中汲取了灵感。 XploitSPY具有广泛的功能，可以从受感染的设备中收集敏感数据，例如 GPS 位置、麦克风录音、联系人、短信、通话记录和剪贴板内容；从 WhatsApp、Facebook、Instagram 和 Gmail 等应用程序中提取通知信息；下载和上传文件；查看已安装的应用程序和队列命令。 最重要的是，恶意应用程序旨在拍摄照片并枚举与屏幕截图、WhatApp、WhatsApp Business、Telegram 和非官方 WhatsApp mod（称为 GBWhatsApp）相关的多个目录中的文件。 “多年来，这些威胁行为者通过添加混淆、模拟器检测、隐藏C2地址以及使用本机库来定制他们的恶意代码，”Štefanko 说。 本机库（“defcome-lib.so”）的主要目的是对 C2 服务器信息进行编码并隐藏静态分析工具。如果检测到模拟器，该应用程序会利用伪造的 C2 服务器来避开检测。 一些应用程序通过专门创建的网站（“chitchat.ngrok[.]io”）进行传播，该网站提供指向 GitHub 上托管的 Android 包文件（“ChitChat.apk”）的链接。目前尚不清楚受害者是如何被引导到这些应用程序的。 “软件一开始需要从专门的网站下载，之后直接转到官方 Google Play 商店，”Štefanko 总结道。 “这是一次间谍活动，可能针对的是巴基斯坦和印度的受害者。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295522 封面来源于网络，如有侵权请联系删除