分类: 恶意软件

IRISA 开发新型恶意软件检测系统 通过树莓派探测特定电磁波

计算机科学与随机系统研究所(IRISA)的一支研究团队,刚刚介绍了其新开发的一套恶意软件检测系统,特点是利用树莓派来扫描设备中的特定电磁波。团队成员中宝库了 Annelie Heuser、Matthieu Mastio、Duy-Phuc Pham 和 Damien Marion,且由于这套装置专注于电磁(EM)信号,因而无需在目标设备上安装任何东西。 (图自:IRISA) 换言之,这套恶意软件检测方案的一切工作,都可通过外部实体来处理,因而不受给定机器上潜在恶意软件的任意控制级别的影响。 不过为了达成这一目标,IRISA 研究团队还是让树莓派接受了安全与恶意数据集的专项训练,以帮助定义潜在的威胁参数。 此外树莓派上配备了一个 Picoscope 6407 示波器、以及一个 H-Field 探头,用于检测电磁(EM)场的变化。 (传送门:ACM Digital Library) 在《于混淆中揭露:利用电磁信号开展恶意软件分类工作》的研究论文中,IRISA 团队介绍了如何利用卷积神经网络(CNN)来评估相关数据威胁。 结果让人相当欣喜,可知经过训练的恶意软件检测系统模型,能够在测试期间实现高达 99.82% 的准确率。   (消息及封面来源:cnBeta)

eCh0raix 勒索软件攻击激增,QNAP NAS 设备受到攻击

Hackernews 编译,转载请注明出处: QNAP网络连接存储(NAS)设备的用户报告了eCh0raix勒索软件(也称为QNAPCrypt)对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度,用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingComputer 论坛用管理QNAP和Synology NAS系统的用户定期报告eCh0raix勒索软件攻击,但是在12月20日左右,才有众多用户开始披露事件。 ID勒索软件服务记录了攻击数量的激增,提交的申请在12月19日开始增加,到12月26日逐渐减少。   目前尚不清楚最初的感染媒介。一些用户说他们行事鲁莽,没有好好保护设备(例如,通过不安全的连接将其暴露在互联网上);其他人则声称QNAP照片站中存在一个漏洞,使得攻击者有机可乘。 是的,我知道我是一个彻底的白痴,因为我把设备暴露给了这种类型的黑客,但我并没有认真对待这些。我一直以为没人想要攻击它,我要立马说我错了! 无论攻击路径如何,eCh0raix勒索软件攻击者似乎在管理员组中创建了一个用户,这使他们能够加密NAS系统上的所有文件。 QNAP用户(其中一些用户出于业务目的使用NAS设备)在 BleepingComputer论坛说该恶意软件对图片和文档进行了加密。 除了攻击次数激增外,这场攻击中最突出的是,攻击者错误地输入了赎金通知的扩展,并使用了“.TXTT”扩展。     虽然这并不妨碍查看说明,它可能会给一些用户带来问题,用户必须用特定的程序(如记事本)指示操作系统打开文件或将其加载到上述程序中。 BleepingComputer发现,在最近的攻击中,ech0raix勒索软件的要求从0.024比特币(1200美元)到0.06比特币(3000美元)不等。有些用户别无他选,不得不付钱给黑客来恢复他们的文件。   需要注意的是,有一个免费的解密器,用于应对旧版本(2019年7月17日之前)的eCh0raix勒索软件。然而,没有免费的解决方案来解密被最新版本的恶意软件(版本1.0.5和1.0.6)锁定的数据。 使用eCh0raix/QNAPCrypt的攻击始于2019年6月,此后一直持续威胁用户。今年早些时候,QNAP提醒用户注意另一波针对带有弱密码设备的eCh0raix攻击。 用户应该遵循QNAP的建议,以确保对其NAS设备和存储的数据进行适当的保护。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

恶意软件 Blister 秘密潜入 Windows 系统

Hackernews 编译,转载请注明出处: 安全研究人员发现了一个恶意攻击活动,该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。 研究人员称之为Blister的有效载荷,充当其他恶意软件的加载程序,它似乎是一种新的威胁,具有较低的检测率。 Blister背后的攻击者一直依赖多种技术来监视他们的攻击,使用代码签名证书只是他们的伎俩之一。 签名、盖章、交付 Elastic搜索公司的安全研究人员发现,自9月15日以来,无论是谁幕后操纵着Blister恶意软件,都至少已经开展了三个月的活动。 攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的,其电子邮件地址来自一家俄罗斯提供商Mail.Ru。 使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时,他们常常从合法公司窃取证书。如今,攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。 在本周的一篇博客文章中,Elastic表示,他们负责地向Sectigo报告了被滥用的证书,以便Sectigo可以撤销该证书。 研究人员说,攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库(例如colorui.dll)。 然后通过rundll32命令,用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。 Elastic研究人员说,在下一步中,Blister将从资源部分解码“严重模糊”的引导代码。十分钟里,代码处于休眠状态,可能是为了躲避沙箱分析。 然后,它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动,这两种载荷过去曾被多个攻击者使用。 该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置,因此它在每次启动时都会作为explorer.exe的子项启动。 Elastic的研究人员发现了Blister加载器的签名版本和未签名版本,在VirusTotal扫描服务上,这两个版本的防病毒引擎的检测率都很低。 虽然这些初始感染媒介的攻击的目标尚不清楚,但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载,攻击者成功攻击的机会增加了。 Elastic创建了一个Yara规则,用于识别Blister活动,并提供IOC,以帮助组织抵御威胁。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

PYSA :双重勒索攻击的幕后黑手

Hackernews 编译,转载请注明出处: NCC集团的安全分析师报告说,2021年11月的勒索攻击增加,双敲诈不断成为攻击者武器库的有力工具。 攻击者的重点也转移到属于政府部门的实体,这些实体收到的攻击比10月份多400%。 11月的焦点显然是PYSA勒索软件组织(又名Mespinoza),该组织感染的设备呈爆炸性上升,增长了50%。 其他占主导地位的勒索软件组织是Lockbit和Conti,它们对关键实体发起了攻击,尽管数量比前几个月有所减少。 2021年3月,越来越明显的迹象表明,PYSA活动达到了威胁水平,导致联邦调查局发布了一个关于攻击者活动升级的警报。 与目前几乎所有勒索软件组一样,PYSA从受损网络中过滤数据,然后对原始数据进行加密以中断操作。 被盗文件被用作赎金谈判的筹码,攻击者威胁说,如果不支付赎金,将公开发布数据。 敲诈勒索新趋势及策略   NCC集团报告关注的另一个攻击者是Everest,一个讲俄语的勒索团伙,目前正在使用一种新的勒索方法。 只要他们的赎金要求在预计的谈判时间内得不到满足,Everest就会将受害者公司网络的访问权卖给其他黑客。 这种做法给受损实体带来了额外的麻烦,因为它们现在必须同时应对多个感染和重复攻击。 NCC 集团的报告评论道:“虽然把勒索软件当作商品售卖这一模式在过去一年中大受欢迎,但一个组织放弃勒索请求并提供IT基础设施访问权,这是一个罕见的例子——但我们可能会在2022年及以后看到模仿行为。”。 预计在12月和未来几个月内,另一个趋势是利用Log4Shell漏洞部署勒索软件有效载荷。 Conti已经致力于开发基于Log4Shell漏洞的感染链,并可能利用它对易受攻击的网络执行攻击。 勒索软件是一种不断变化的威胁,它会迅速演变为新的攻击,因此需要采取一些安全预防措施来充分防范它。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Windows 注册表中隐藏的 DarkWatchman 恶意软件

Hackernews 编译,转载请注明出处: 一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。 根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。 在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。   这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件,可以安装RAT和键盘记录器。   如果打开文件,用户将看到一条陷进弹出消息,内容为“未知格式”,但实际上,有效载荷已安装在后台。 DarkWatchman是一个非常轻量级的恶意软件,JavaScript RAT的大小只有32kb,而编译后的RAT只占用了8.5kb的空间。 它利用了大量的“LotL”二进制文件、脚本和库,并采用了隐蔽的方法在模块之间传输数据。 DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。 不再将键盘记录器存储在磁盘上,而是创建一个计划任务,以便在用户每次登录Windows时启动DarkWatchman RAT。   一旦启动,Darkwatchen将执行PowerShell脚本,该脚本使用.NET CSC.exe命令编译键盘记录器,并将其启动到内存中。 “键盘记录器作为模糊化的C#源代码分发,并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时,它执行这个PowerShell脚本,该脚本反过来编译键盘记录器(使用CSC)并执行它,” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。 键盘记录器本身不与C2通信或写入磁盘。相反,它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中,RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。   因此,注册表不仅用作隐藏编码的可执行代码的地方,而且还用作临时位置来保存窃取的数据,直到它被提取到C2。 在C2通信和基础设施方面,DarkWatchman 的操作者使用DGA(域生成算法)和10项种子列表,每天生成多达500个域。 这给了他们卓越的生存能力,同时也使得通信监控和分析变得更具挑战性。 DarkWatchman的功能如下: 执行EXE文件(返回或不返回输出) 加载DLL文件 在命令行上执行命令 执行WSH命令 通过WMI执行其他命令 执行PowerShell命令 评估JavaScript 从受害计算机将ILE上载到C2服务器 远程停止并卸载RAT和键盘记录器 远程更新C2服务器地址或呼叫总部超时 远程更新RAT和键盘记录器 将autostart JavaScript设置为在RAT启动时运行 C2弹性域生成算法(DGA) 如果用户具有管理员权限,则会使用vssadmin.exe删除影副本 Privailion认为,DarkWatchman可能是由勒索软件集团定制的,或者是为勒索软件集团量身定做,因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。 该恶意软件可以远程加载额外的有效载荷,因此可以作为后续勒索软件部署的感染第一阶段。 由于DarkWatchman可以在初始感染后与攻击者控制的域通信,勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。 这种方法将使分支组织的角色降级为网络渗透者,同时使RaaS操作更加实用和高效。     消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自HackerNews.cc ” 并附上原文链接

窃取信息恶意软件 TinyNuke 再次攻击法国用户

Hackernews 编译,转载请注明出处: 窃取信息的恶意软件TinyNuke在一项针对法国用户的新攻击中重新出现,该攻击向企业和从事制造、技术、建筑和商业服务的个人发送账单陷阱的电子邮件。 此攻击的目标是窃取凭据和其他私人信息,并在受损系统上安装额外的有效负载。 TinyNuke 的重新出现 TinyNuke恶意软件活动最早出现在2017年,在2018年活动最为频繁,然后在2019年大量减少活动,在2020年几乎消失。 在2021再次发现恶意软件部署的新攻击令人惊讶,但并非完全出乎意料。 Proofpoint一直关注这些活动,根据其研究人员的说法,这种重新出现通过两类不同的活动表现出来,分别是C2基础设施有效载荷和陷阱诱惑。 这也可能表明恶意软件由两个不同的攻击者使用,一个与TinyNuke最初的操作者相关,另一个与通常使用商业工具的操作者相关。 最后,TinyNuke与2018年的PyLocky分发或任何其他勒索软件感染没有相似之处。 托管在合法站点上的有效负载 攻击者通过合法的法国网站来托管有效负载URL,而可执行文件则被伪装成无害的软件。 对于C2通信,最近的攻击活动使用Tor,这与其中一个字符串“nikoumouk”使用的方法相同, 而“nikoumouk”在这些通信中使用的方法与2018年的分析中发现的俚语相同,我们可以进一步将该攻击活动与最初的攻击者联系起来。 “Proofpoint研究人员发现字符串“nikoumouk”被发送到C2服务器,但目的不明。根据信息共享合作伙伴和开源信息,攻击者在2018年以来的C2通信活动中使用了该字符串,”Proofpoint的报告解释道。 “该字符串在流行阿拉伯语中含侮辱意思,主要用于欧洲讲法语的郊区。” 在当前的攻击活动中,电子邮件包含下载ZIP文件的URL。这些ZIP文件包含一个JavaScript文件,该文件将执行PowerShell命令以下载和执行TinyNuke恶意软件。 就功能而言,TinyNuke loader可以通过Firefox、Internet Explorer和Chrome的表单抓取和web注入功能窃取凭据,还可以安装其他有效负载。 通过添加一个新的注册表项来保证持久性,如下所示: Persistence is secured by adding a new registry key as shown below: key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82 data: C:\Users\[User]\AppData\Roaming\E02BC647BACE72A1\firefox.exe Μise en garde 虽然正在进行的攻击活动使用特定的诱饵,攻击者可以更新他们的信息,以呈现新的受害者。此外,如果有新的攻击者使用TinyNuke,这可能意味着原始作者在暗网上出售它,或者它的代码可能在几年前在GitHub上发布后独立流通。不管怎样,它的部署次数可能会增加更多,针对目标部署的电子邮件诱饵的范围可能会变得非常广泛。 因此,保持警惕和避免点击嵌入式按钮是非常重要的,一旦点击嵌入式按钮,将导致网站托管恶意可执行压缩文件。由于这些站点在其他方面是合法的,您的Internet安全解决方案可能不会引起任何警告,因此需要您极端谨慎。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意 Excel XLL 插件推送 RedLine 密码窃取恶意软件

Hackernews 编译,转载请注明出处:消息来源: 网络犯罪分子正在向网站联系表格和论坛发送垃圾邮件,以分发 Excel XLL 文件,而它会下载和安装 RedLine 恶意软件,用于密码和信息窃取。 RedLine 是一种信息窃取木马程序,它会窃取存储在 Web 浏览器中的 cookie、用户名和密码以及信用卡,以及受感染设备的 FTP 凭据和文件。 除了窃取数据,RedLine 还可以执行命令、下载和运行更多恶意软件,以及进行 Windows的屏幕截图。 所有这些数据都被收集并发送回攻击者那里,之后在犯罪市场上出售或用于其他恶意和欺诈活动。 在过去的两周里,BleepingComputer 的联系表格收到多次垃圾邮件,其中包含不同的网络钓鱼诱饵,如虚假广告请求、节日礼物和网站促销。 在对诱饵进行研究后,BleepingComputer 发现这是一项针对许多使用公共论坛或文章评论系统的网站的大规模活动。 在 BleepingComputer 发现的一些网络钓鱼诱饵中,攻击者创建了虚假网站来托管用于安装恶意软件的恶意 Excel XLL 文件。 例如,有一次攻击使用了以下垃圾邮件和一个模仿合法 Plutio 网站的虚假网站。   其他垃圾邮件伪装成付款报告、广告请求或礼品指南,其中包含指向托管在 Google 云端硬盘上的恶意 XLL 文件的链接,如下所示。 特别有趣的是针对网站所有者的诱饵,这种诱饵会请求在他们的网站上做广告并要求他们查看合约的条款,这会启动恶意“terms.xll”文件,并安装恶意软件。 把你网站上的广告位卖给我们,起价500美元/n你可以在下面的链接中阅读我们的条款 Https://drive.google /file/d/xxx/view? usp = sharing BleepingComputer 还收到了其他的诱饵邮件,如下所示: 感谢您使用我们的应用程序。您的付款已被批准。点击下面的链接可以看到您的付款报告:  https://xxx [ . ] link/report.xll   谷歌刚刚公布了2021年最热门的100件礼物,我赢得了一万美元。你也想要吗? 阅读和接受条款 Https://drive.google /file/d/xxx/view? usp = sharing 这些垃圾邮件活动旨在推送恶意 Excel XLL 文件,这些文件会在受害者的 Windows 设备上下载并安装 RedLine 恶意软件。 XLL 文件是一个插件,允许开发人员通过读取和写入数据、从其他源导入数据或创建自定义函数来执行各种任务来扩展 Excel 的功能。 XLL 文件只是一个包含一个“xlAutoOpen”函数的DLL 文件,在加载项打开时由 Microsoft Excel 执行。   BleepingComputer 和安全研究机构 TheAnalyst一起进行了测试,讨论这次攻击,我们做得测试并没有正确加载 XLL 文件,但它们可能适用于其他版本的 Microsoft Excel。 但是,使用 regsvr32.exe 命令或“rundll32 name.xll,xlAutoOpen”命令手动执行 DLL 会将 wget.exe 程序解压缩到%UserProfile% 文件夹,并使用它从远程站点下载 RedLine 二进制文件。     这个恶意的二进制文件保存为% UserProfile% JavaBridge32.exe [ VirusTotal] 然后被执行。一个注册自动运行条目也将被创建,每次受害者登录 Windows都会自动启动信息窃取软件 ReadLine。     一旦恶意软件被执行,它将搜索有价值的数据来窃取,包括存储在 Chrome、Edge、Firefox、Brave 和 Opera 浏览器中的凭据和信用卡。 由于 XLL 文件是可执行文件,攻击者可以使用它们在设备上执行各种恶意行为。因此,如果你收到这个文件,除非它来自受信任的来源,否则你绝不能打开它。 这些文件通常不作为附件发送,而是通过另一个程序或通过您的 Windows 管理员安装。 因此,如果您收到分发这些类型文件的电子邮件或其他消息,只需删除该消息并将其报告为垃圾邮件即可。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络黑客正利用虚假广告来传播恶意程序

网络犯罪分子正不断提高技术方式,寻找利用用户并获取其个人数据的新方法。过去,欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击,伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告,作为从不知情的用户那里获取信息的有效方法,一种新的恶意活动已经越来越受到重视。 这种方法叫做“恶意广告”(malvertising),Talos 情报组织认为,一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为,Magnat 活动可能在 2018 年底开始,目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。 一旦用户被引导到欺诈性下载,他们就会运行一个假的安装程序,将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件,但它并没有安装用户最初搜索的实际应用程序。 第一款恶意软件是一个密码窃取器,用于收集用户凭证,通常通过一个被称为 Redline 的普通工具。另一个恶意软件,称为 MagnatBackdoor,通过微软远程桌面设置对用户设备的远程访问。这种访问,结合由 Redline(或类似工具)窃取的用户凭证,可以提供对用户系统的不受约束的访问,尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展,它被用于键盘记录,获取敏感信息的屏幕截图等。 2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本,并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。 Talos认为Magnat工具经过几年的发展和改进,并没有很快放缓的迹象。安装包的名称不断变化,通常参考流行的应用程序的名称,以增加可信度,并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。   (消息及封面来源:cnBeta)

安卓 APT 间谍软件 GnatSpy 分析

一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件做了以下事情: 收集短信,联系人,通话记录 收集图片和文档 记录音频,呼入和呼出电话,包括 WhatsApp 的通话 截屏和录制屏幕视频 用相机拍照 隐藏自己的图标 阅读 WhatsApp、 Facebook、 Facebook Messenger、 Telegram、 Skype、 IMO Messenger 或 Signal 的通知 取消内置安全应用程序(如三星安全代理、小米 MIUI 安全中心、华为系统管理器)以及安卓系统应用程序、包安装程序和自身的通知     更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1771/ 消息来源:SophosNews,封面来自网络,译者:Zoeppo。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用恶意软件 Tardigrade 攻击生物制造设施

Hackernews编译,转载请注明出处: 今年,借助一个叫做 Tardigrade 的恶意软件装载器,一个 APT攻击了 两家生物制造公司。 生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告,其中指出,恶意软件正在整个行业中广泛传播,它们的目的可能是盗窃知识产权,保证持续性,并用勒索软件感染系统。 今年春天,一家不知名的生物制造设施被勒索软件攻击,BIO-ISAC 随后开始进行调查。该公司表示,Tardigrade 是一种复杂的恶意软件,具有“高度自主性和变形能力”。2021年10月,这个恶意软件被用来攻击第二个实体。 这些“快速扩散”的入侵行为还不知道背后主使者是哪个攻击者或某个国家,但该机构告诉 The Hill ,这些行为与之前一个与俄罗斯的黑客组织的攻击行为相似。 Tardigrade 通过钓鱼邮件或受感染的 USB 驱动器传播,是 SmokeLoader 的一个高级分支。 SmokeLoader 是一个基于 windows 的后门,由一个名为 Smoky Spider 的组织操作,早在2011年就可以在地下市场上销售,SmokeLoader 拥有捕捉击键、通过受损网络横向移动以及升级特权的能力。 此外,该恶意软件还充当了额外恶意软件有效载荷的入口点,即使在与其C2服务器断开连接以实施其恶意攻击的情况下,该恶意软件也能自主运行。 生物制造行业的企业最好进行一下软件更新,加强网络分割,并测试关键生物基础设施的离线备份,以减轻黑客攻击带来的影响。 ”由于变形行为,这种恶意软件极难检测到。”研究人员表示,对关键人员的企业计算机保持警惕非常重要。他们补充说,“该领域的许多机器使用的是过时的操作系统。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接