据BleepingComputer网站消息，HUMAN 的 Satori 威胁情报团队发现Google Play 应用商店中有10多款免费VPN应用内含恶意工具包，能在用户不知情的情况下将安卓设备变成住宅代理，进而从事各种恶意活动。 住宅代理是通过位于家中的设备为其他远程用户路由互联网流量，使流量看起来合法，虽然这种代理具有市场研究、广告验证和搜索引擎优化 (SEO) 等合法用途，但也被许多网络犯罪分子利用来隐藏恶意活动，包括广告欺诈、垃圾邮件、网络钓鱼、撞库和密码喷洒。 当住宅代理被秘密安装时，受害者的互联网带宽将在他们不知情的情况下被劫持，并成为恶意活动流量的“帮凶”，事后容易给自身惹来法律纠纷。 Satori团队一共列出了 Google Play 上的 28 个应用程序，这些应用程序能秘密地将安卓设备变成代理服务器。在这 28 个应用程序中，有 17 个为免费 VPN 软件。 Satori 分析师报告称，违规应用程序均使用 LumiApps 的软件开发工具包 (SDK)，其中包含“ Proxylib ”（一个用于执行代理的 Golang 库）。LumiApps 是一个安卓应用程序货币化平台，声称其 SDK 将使用设备的 IP 地址在后台加载网页并将检索到的数据发送给公司。 LumiApps 主页 这一功能被宣传为完全符合 GDPR/CCPA相关规定，旨在公司将这些搜集来的数据用来改进数据库，以提供更好的产品、服务和定价。然而，尚不清楚开发人员是否知道 SDK 正在将其用户的设备转换为可用于有害活动的代理服务器。 Satori 在观察到代理提供商网站的链接后认为，这些恶意应用程序与俄罗斯住宅代理服务提供商“Asocks”有关联。 Asocks 通常在黑客论坛上向网络犯罪分子提供服务。 根据团队的报告，谷歌已于 2024 年 2 月从Google Play应用商店中删除了所有使用 LumiApps SDK 的应用程序，并更新了 Google Play Protect 以检测应用程序中使用的 LumiApp 库。 与此同时，这些VPN应用也在被开发人员删除恶意的 SDK 后重新上线。BleepingComputer 已联系谷歌，问询这些应用现在是否安全，但目前尚未收到回复。   转自Freebuf，原文链接：https://www.freebuf.com/news/396042.html 封面来源于网络，如有侵权请联系删除

近日，StrelaStealer 恶意软件发起了大规模的攻击行动，试图窃取电子邮件帐户凭据，行动波及到了美国和欧洲的一百多个组织。 2022 年 11 月，StrelaStealer 被首次披露，它是一种新型信息窃取恶意软件，可从 Outlook 和 Thunderbird 中窃取电子邮件帐户凭据。该恶意软件的一个显著特点是能够使用多文件感染方法来逃避安全软件的检测。当时，StrelaStealer 主要针对西班牙语用户。 但根据 Palo Alto Networks 的 Unit42 最近发布的一份报告显示，StrelaStealer 扩大了其攻击目标，现在以美国和欧洲的组织为目标。 StrelaStealer 是通过网络钓鱼活动传播的，据统计，去年 11 月该组织发起恶意活动的次数显著上升，其中有多次攻击是针对美国 250 多个组织发起的。 根据折线图，可见钓鱼邮件分发量的趋势上升一直持续到了今年年初，Unit42 分析师在 2024 年 1 月底至 2 月初又记录到了大规模的活动。 StrelaStealer 最新攻击数据统计 在此期间，美国遭遇的攻击次数超过了 500 次。 Unit42 表示已确认美国和欧洲至少曾发生了 100 次入侵事件。恶意软件操作员使用英语和其他欧洲国家的语言，并根据需要调整其攻击。 用德语书写的发票主题电子邮件 据统计，该恶意软件的大多数攻击目标都锁定了 “高科技 “领域运营，其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。 攻击目标 新的感染方式 2022年年底，StrelaStealer 的原始感染机制开始演变，但该恶意软件仍使用恶意电子邮件作为主要感染载体。以前，电子邮件会附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多语言调用 “rundll32.exe “并执行恶意软件有效载荷。 最新的感染链则使用了 ZIP 附件将 JScript 文件植入受害者系统。执行时，脚本会投放一个批处理文件和一个解码为 DLL 的 base64 编码文件。该 DLL 会再次通过 rundll32.exe 执行，以部署 StrelaStealer 有效载荷。 新旧感染链 此外，该恶意软件的最新版本在其包装中采用了控制流混淆技术，使分析复杂化，并删除了 PDB 字符串，以逃避依赖静态签名的工具的检测。 StrelaStealer 的主要功能保持不变：从常用的电子邮件客户端窃取电子邮件登录信息，并将其发送到攻击者的指挥和控制（C2）服务器。 所以如果用户收到声称涉及付款或发票的未经请求的电子邮件时应保持警惕，同时尽量避免下载来自未知发件人的附件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395752.html 封面来源于网络，如有侵权请联系删除

近期，安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站，致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。 Sign1 恶意软件活动 从以往的 WordPress 网站攻击案例来看， Sign1 恶意软件可能采用了暴力攻击或者利用了插件漏洞，一旦威胁攻击者获得了网站访问权限，就会立刻使用 WordPress 自定义 HTML 小工具，或者安装合法的 Simple Custom CSS and JS 插件来注入恶意 JavaScript 代码。 通过简单自定义 CSS 和 JS 插件注入 Sign1 恶意软件来源 在对 Sign1 恶意软件详细分析后，Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL，每 10 分钟就会更新一次，以躲避安全拦截。（威胁攻击者在开展网络攻击前不久才会注册域名，因此域名不在任何拦截列表中） 这些 URL 被用来获取更多的恶意脚本，并在访问者的浏览器中运行。Sucuri 强调，这些域名一开始都是托管在 Namecheap 上，目前威胁攻击者已经将其转移到 HETZNER 上托管了，并且使用了 Cloudflare 进行 IP 地址混淆。 注入的代码采用 XOR 编码和看似随机的变量名，这样就使得安全工具更难检测到恶意软件。恶意代码在执行前还会检查特定的推荐人以及 cookie，其主要目标是谷歌、Facebook、雅虎和 Instagram 等主要网站的访问者，而在其他情况下则处于休眠状态。 此外，代码还会在目标浏览器上创建一个 cookie，这样弹出式窗口对每个访客只显示一次，从而降低了向被入侵网站所有者生成报告的可能性。随后，脚本会将访问者重定向到诈骗网站，例如假冒的验证码，试图诱骗访问者启用浏览器通知。（这些通知会将一些广告直接发送到访问者的操作系统桌面上） 值得注意的是，Sucuri 警告称，Sign1 容易软件在过去六个月中不断演变，每当新版恶意软件发布时，感染率就会激增。 每日下载量 过去 6 个月中，Sucuri 的扫描仪在 39000 多个网站上检测到了 Sign1 恶意软件。随着时间推移， Sign1 恶意软件活动已经变得更加隐蔽，对拦截的抵御能力也更强了。 最后，网络安全专家指出，为了保护网站免受 Sign1 恶意软件的攻击，网站管理员应当尽量使用强大/冗长的管理员密码、将插件更新到最新版本，并当尽快删除不必要的附加组件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395610.html 封面来源于网络，如有侵权请联系删除

作为针对欧洲各地组织的活动的一部分，已经发现了涉及 AceCryptor 工具的数千个新感染，该工具允许黑客混淆恶意软件并将其侵入系统而不被防病毒软件检测到。 2023 年 AceCryptor 检测数量（7 天移动平均值） ESET 的研究人员花了数年时间跟踪 AceCryptor，他们周三发布的报告表示，最近的攻击活动与之前的迭代不同，因为攻击者扩展了内部打包的恶意代码类型。 2023 年下半年 AceCryptor 中打包的恶意软件系列 AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用，这是一种强大的远程监视工具，研究人员已发现该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外，ESET 表示，现在还发现 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。 ESET 根据目标国家/地区发现了一些差异。针对乌克兰的袭击使用了SmokeLoader，而波兰、斯洛伐克、保加利亚和塞尔维亚的袭击则使用了Remcos。 2023 年下半年受 AceCryptor 封装的 Rescom 影响的欧洲国家 “在这些活动中，AceCryptor 被用来针对多个欧洲国家，并提取信息或获得对多家公司的初步访问权限。这些攻击中的恶意软件通过垃圾邮件传播，在某些情况下非常令人信服；有时垃圾邮件甚至是从合法但被滥用的电子邮件帐户发送的。”发现该活动的 ESET 研究员 Jakub Kaloč 说道。 ESET 表示，最近一次行动的目标是获取电子邮件和浏览器凭据，以便对目标公司进行进一步攻击，并补充说，他们看到的绝大多数恶意软件样本都被用作初始攻击向量。 Rescoms 活动的攻击链 ESET 表示，2023 年上半年，受 AceCryptor 打包的恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其，其中秘鲁遭受的攻击最多，达到 4,700 起。 2023年下半年，黑客将攻击重点转向欧洲国家，针对波兰发起了超过26000次攻击。乌克兰、西班牙和塞尔维亚也发生了数千起袭击事件。 “今年下半年，Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族，点击次数超过 32,000 次。其中一半以上的尝试发生在波兰，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。”研究人员表示。 “在此期间，ESET 在波兰总共记录了超过 26,000 起此类攻击。” 对波兰企业的攻击也有类似的主题，涉及为受害公司提供 B2B 服务。黑客试图通过使用真实的波兰公司名称和现有员工姓名来使电子邮件看起来合法。 ESET 表示，目前尚不清楚黑客是否打算为自己收集被盗的凭据或将其出售给其他攻击者。 虽然 ESET 无法识别攻击活动的来源，但与俄罗斯政府关联的黑客已多次使用 Remcos 和 SmokeLoader。 ESET去年指出，2021 年和 2022 年在秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度发现了超过 24 万次检测。   转自杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6GEUuVrmGTNefVA2bxRM7Q 封面来源于网络，如有侵权请联系删除

Crinetics 是一家以对药物发现和开发做出贡献而闻名的美国著名组织，该组织透露，它最近遭遇了网络攻击。一位官方发言人向《网络快报》表示，在发现员工账户中的可疑活动后，该公司迅速对 Crinetics 网络攻击做出了反应。 根据官方声明，Crinetics 立即启动了网络安全事件响应协议，对此事展开全面调查。 此外，该公司还聘请了第三方网络安全专家，并及时通知了执法机构。为了控制这种情况，Crinetics 还在整个组织内实施了强化的安全措施。 解码 Crinetics 网络攻击 在得知 Crinetics 遭受网络攻击后，《网络快报》立即向这家制药公司寻求见解。Crinetics 在回应中披露了发现漏洞后采取的主动措施。 在得知Crinetics遭受网络攻击后，《网络快报》立即进行了求证。在其回应中，Crinetics披露了发现漏洞后采取的主动措施。 “Crinetics最近发现了一名员工帐户中的可疑活动，并立即禁用该帐户。随后，Crinetics启动了网络安全事件响应流程，展开调查，聘请第三方网络安全专家提供支援，并通知了执法部门。此外，该公司还在全公司范围内实施了额外的安全措施，成功遏制了这一事件。”Crinetics 发言人告诉《网络快报》。 尽管受到了网络攻击，Crinetics向利益相关者保证，该事件不会扰乱其运营或损害与发现和研究相关的重要数据库。 “这一事件没有影响公司的运营或其发现和研究数据库。Crinetics 认真对待所有与安全相关的问题，我们致力于进行全面调查，目前正在进行中，并将提供所需的任何法律通知，”官员进一步补充道。 LockBit 勒索软件被击垮 LockBit勒索软件声称对Crinetics Pharmaceuticals进行了网络攻击。然而，这起事件发生在最近执法部门努力瓦解LockBit勒索软件组织的背景下。 由 FBI 牵头的一项名为“克罗诺斯行动”的协作计划对 LockBit 的基础设施造成了重大打击。通过拆除服务器、扣押源代码和破坏数据存储，当局对勒索软件集团的运营造成了严重打击。 对 LockBit 的打击行动跨越了国际边界，英国、美国和欧洲的执法机构查获了超过 35 台与该邪恶组织有关联的服务器。此外，当局还发现了大约 30,000 个与赎金支付相关的比特币钱包，揭示了犯罪集团的规模。 尽管取得了这些重大进展，但与 LockBit 的斗争仍在持续。当局已采取措施限制对知名加密货币交易所的 LockBit 相关账户的访问，但追踪和起诉附属机构仍面临挑战。LockBit 关键成员的难以捉摸的性质使彻底瓦解该集团的努力变得更加复杂。   转自安全客，原文链接：https://www.anquanke.com/post/id/294185 封面来源于网络，如有侵权请联系删除

美国有线电视新闻网 (CNN) 报道称，本周早些时候，阿拉巴马州多个政府机构的网站因分布式拒绝服务攻击而中断，自称黑客行动组织“ 匿名苏丹”的组织声称对此次攻击负责。 据阿拉巴马州州长办公室 Kay Ivey 称，Netscout 高级威胁情报经理 Richard Hummel 表示，DDoS 入侵持续了 5 到 10 分钟，并未导致任何网络泄露或数据泄露。 此外，州信息技术办公室指出，它已与供应商合作立即解决这一事件。此类攻击是在阿拉巴马州伯明翰市发生单独的网络中断之后发生的，这影响了许可、许可和税收活动以及警察的行动。此类事态发展正值针对州和地方政府的网络安全威胁日益普遍，Emsisoft 的一份报告指出，勒索软件攻击去年直接影响了美国 2,200 多个政府、学校和医院。   转自安全客，原文链接：https://www.anquanke.com/post/id/294030 封面来源于网络，如有侵权请联系删除

Magnet Goblin组织积极利用公共服务器中的漏洞，在Windows和Linux系统上部署恶意软件。 该组织的目标是1天漏洞，即已发布补丁的公开安全问题，要求攻击者在目标系统上安装更新之前迅速采取行动。 发现Magnet Goblin活动的Check Point分析师指出，该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件（包括NerbianRAT和MiniNerbian），以及自定义JavaScript恶意软件变体WARPWIRE感染服务器，以窃取凭据。 针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用，包括ScreenConnect程序。还可能与CACTUS勒索软件有关，该勒索软件用于攻击Qlik Sense商业智能平台。 特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制（C2）服务器命令并提供加密通信。专家指出，MiniNerbian使用HTTP传输数据，并且仅在特定时间段内处于活动状态。 Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制：MiniNerbian通过HTTP进行通信，NerbianRAT使用原始TCP套接字。 Check Point 表示，在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用，及时修补至关重要。   转自安全客，原文链接：https://www.anquanke.com/post/id/293777 封面来源于网络，如有侵权请联系删除

Kimsuky（又名 Thallium 和 Velvet Chollima）是一个朝鲜黑客组织，以对全球组织和政府进行网络间谍攻击而闻名。 近日，有安全人员发现该黑客组织正利用 ScreenConnect 漏洞投递ToddleShark 的新型恶意软件，尤其是 CVE-2024-1708 和 CVE-2024-1709。 据悉，这些黑客利用的是今年 2 月 20 日披露的身份验证绕过和远程代码执行漏洞，当时 ConnectWise 敦促 ScreenConnect 客户立即将其服务器升级到 23.9.8 或更高版本。2 月 21 日，针对这两个漏洞的公开漏洞被发布，包括勒索软件行为者在内的黑客们很快开始在实际攻击中利用这些漏洞。 根据 Kroll 网络情报团队发布的报告，新的 Kimsuky 恶意软件具有多态性特征，似乎是为长期间谍活动和情报搜集而设计的。 ToddleShark使用合法的微软二进制文件来最小化其痕迹，执行注册表修改以降低安全防御，并通过计划任务建立持久访问，随后是持续的数据窃取和外渗阶段。 ToddleShark 的详细信息 克罗尔公司的分析师表示，ToddleShark 是 Kimsuky 的 BabyShark 和 ReconShark 后门的新变种，以前曾以美国、欧洲和亚洲的政府组织、研究中心、大学和智库为目标。 黑客通过利用漏洞获得 ScreenConnect 端点的初始访问权限，从而获得身份验证绕过和代码执行能力。随后 Kimsuky 会使用合法的微软二进制文件（如 mshta.exe）来执行恶意脚本，如严重混淆的 VBS，将其活动与正常的系统进程混合。 该恶意软件会更改 Windows 注册表中的 VBAWarnings 键，允许在各种 Microsoft Word 和 Excel 版本上运行宏。同时创建计划任务，通过定期（每分钟）执行恶意代码来建立持久性。 注册表修改 ToddleShark 会定期从受感染设备中收集系统信息，包括以下内容： 主机名 系统配置详情 用户账户 活动用户会话 网络配置 已安装的安全软件 所有当前网络连接 枚举正在运行的进程 通过解析常用安装路径和 Windows 开始菜单列出已安装的软件 用于窃取数据的 16 个 cmd.exe 实例 最后，ToddleShark 会将收集到的信息编码成隐私增强邮件 (PEM) 证书，并外泄到攻击者的指挥和控制 (C2) 基础设施，这是一种先进的已知 Kimsuky 策略。 多态恶意软件 新恶意软件的一个显著特征是多态性，这使其在许多情况下都能逃避检测，并使分析更具挑战性。ToddleShark 通过几种技术实现了这一点。 首先，它在初始感染步骤中使用的被严重混淆的 VBScript 中使用随机生成的函数和变量名，从而增加了静态检测的难度。大量十六进制编码代码与垃圾代码穿插在一起，可能会使恶意软件有效载荷看起来是良性或不可执行的。 隐藏在垃圾代码中的功能代码 此外，ToddleShark 还采用了随机字符串和[功能]代码定位，这足以改变其结构模式，使基于签名的检测对其无效。 最后，用于下载附加阶段的 URL 是动态生成的，从 C2 获取的初始有效载荷的哈希值始终是唯一的，因此标准的拦截列表方法几乎是无效的。 Kroll 公司将在其网站上发布博文，分享与 ToddleShark 有关的具体细节和（入侵指标）IoC。   转自Freebuf，原文链接：https://www.freebuf.com/news/393309.html 封面来源于网络，如有侵权请联系删除

研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件，以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。 来自佐治亚理工学院的研究人员发表了一篇论文，详细介绍了这个 ICS 安全项目。 对于传统 PLC，攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测，但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署，也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。 就现代 PLC 而言，许多都包含 Web 服务器，并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。 虽然这些现代 PLC 可以为组织提供许多好处，但佐治亚理工学院的研究人员警告说，它们也可以显着扩大 ICS 的攻击面。 为了证明这些风险，研究人员开发了所谓的基于网络的 PLC 恶意软件，该恶意软件驻留在控制器的内存中，但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API，导致工业流程中断或机械损坏。 这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成，但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。 为了实现持久性，这种新型 PLC 恶意软件利用服务工作线程，允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外，文件从服务器删除后，它们将继续运行长达 24 小时。使用这种方法，恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。 一旦部署完毕，恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能，其中一些 API 非常强大。例如，它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置，甚至用于实时数据泄露。 研究人员表示，即使目标 PLC 位于隔离网络中，恶意软件也可以具有命令和控制 (C&C) 连接。 一旦攻击者执行了所需的任务，它就可以通过让恶意软件自我毁灭来掩盖其踪迹，用良性有效负载覆盖恶意有效负载，注销所有服务，甚至可能对设备进行出厂重置。 研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作，该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时，利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏，同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。 去年，SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。 IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。 “Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏，设施的运行能力下降了 30%。”研究人员在论文中表示。 他们补充道：“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC，并通过受感染的工程工作站部署这些恶意软件 […]。然而，IronSpider 使用基于网络的恶意软件，并通过恶意网站部署该恶意软件，而无需损害任何外围系统。” 虽然该攻击针对的是 Wago 产品，但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下，攻击需要 FTP 密码、不安全协议或内部人员。 专家们创建了一个与供应商无关的框架，可用于构建和分析基于 Web 的 PLC 恶意软件。 “该框架使用广泛适用的策略来探索每个阶段，这些策略可用于大多数现代 PLC 模型，并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5Wd2kuz43q9KfF57OqmG3Q 封面来源于网络，如有侵权请联系删除

一个名为 SPIKEDWINE 的未知黑客组织正在针对印度外交使团所在的多个欧洲国家的大使发动攻击。为了实现他们的目标，攻击者使用了新的恶意后门 – WINELOADER。 根据Zscaler ThreatLabz的报告，黑客组织通过向外交使团员工发送PDF文件进行攻击，文件声称是印度大使发出的邀请函，邀请他们参加定于2024年2月2日举行的品酒会。 其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源，可能与SPIKEDWINE黑客组织攻击有关。然而，有迹象表明该活动可能最早始于2023年7月6日。另外，来自同一国家的其他类似PDF文档的发现也支持了这一推断。 安全研究人员Sudeep Singh和Roy Tay指出：“此次攻击规模较小，且在恶意软件及其命令和控制基础设施中采用了先进的方法、技术和程序”。 该PDF文件包含伪装成调查问卷的恶意链接，要求收件人填写表格以参加活动。点击链接会下载一个带有模糊JavaScript代码的HTML应用程序（”wine.hta”）。该应用程序旨在接收加密ZIP存档，其中包含来自同一域的WINELOADER恶意软件。 WINELOADER的核心功能包括从命令和控制服务器下载附加元素的模块，并将第三方DLL嵌入其中，以减少请求之间的时间间隔。 这些网络攻击的显著特征之一是使用被黑客入侵的网站作为命令和控制服务器，并托管恶意软件。据推测，命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求，从而使得攻击更加隐蔽且更难以检测。 正如研究人员指出的那样，黑客付出了巨大的努力来掩盖他们的踪迹，尤其是避免了可能引起内存分析系统和自动URL扫描注意的活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/293599 封面来源于网络，如有侵权请联系删除