2023年，10个全新的安卓银行木马恶意软件家族肆虐全球，攻击了61个国家/地区的985个银行和数字金融交易程序。 银行木马是一种“老而弥坚”的恶意软件，可窃取用户的凭证和会话 cookie 来绕过双因素认证（2FA）保护，有时甚至能自动执行交易来窃取用户的在线银行帐户资金。 根据移动安全公司Zimperium最新发布的2023年度移动安全报告，除了2023年新出现的10个安卓银行木马外，2022年流行的19个安卓银行木马在2023年也发生了“变异”，增加了新的功能并提高了操作复杂性。 银行木马的八个关键趋势 通过对这29个银行木马的追踪分析，Zimperium发现2023年移动恶意软件威胁呈现以下八个趋势： 银行木马的八个关键趋势添加自动转账系统(ATS)，用于捕获MFA代币、发起交易并执行资金转账。 银行木马的八个关键趋势基于电话的攻击交付（TOAD）：结合社会工程攻击，例如网络犯罪分子会冒充客户支持代理，引导受害者自行下载木马有效负载。 添加实时屏幕共享功能，无需物理访问即可远程控制受害者的设备。 使用域名生成算法（DGA）：绕过黑名单过滤。 恶意软件即服务（MaaS）：以每月3000至7000美元的价格向其他网络犯罪分子提供订阅包中的恶意软件。 标准功能完善。受调查的大多数木马提供了包括键盘记录、网络钓鱼页面和短信窃取等“标准功能”。 代码开源。恶意软件代码开源导致迭代加快，使基于签名的杀毒软件失效。 开始窃取数据。一个令人担忧的发展趋势是，银行木马不再仅仅窃取银行凭证和资金，现在还开始瞄准社交媒体、消息和个人隐私数据。 十大新兴安卓银行木马 报告重点分析了2023年诞生的十大新兴银行木马家族（其中包含超过2100个在野外传播的变种），这些木马伪装成特殊实用程序、生产力应用程序、娱乐门户、摄影工具、游戏和教育辅助工具等，在安卓应用生态和分发渠道中广为传播。 根据攻击目标的数量来看，Hook、Godfather和Teabot是2023年最具影响力的三大银行恶意软件。 传统银行应用程序仍然是银行木马主要目标，受感染的应用程序数量达到惊人的1103个，占1800个目标的61%，而新兴的金融科技和交易应用程序则占剩余的39%。 以下是这十个新木马的统计列表： Nexus：MaaS（恶意软件即服务）模式，有498种变体，提供实时屏幕共享，针对9个国家/地区的39个应用。 Godfather：MaaS模式。有1171种已知变体，针对57个国家/地区的237个银行应用。支持远程屏幕共享。 Pixpirate：有123个已知变体，由ATS模块驱动，针对10个银行应用程序。 Saderat：有300个变体，针对23个国家/地区的8个银行应用程序。 Hook：MaaS模式。有14种已知变体，支持实时屏幕共享。其攻击目标覆盖43个国家/地区的468个应用程序，并以每月7000美元的价格租给网络犯罪分子。 PixBankBot：有三个已知变体，针对4个银行应用程序。配备了用于设备上欺诈的ATS模块。 Xenomorphv3：MaaS 模式。有能够执行ATS操作的六种变体，针对14个国家/地区的83个银行应用。 Vultur：有9个变体，针对15个国家/地区的122个银行应用程序。 BrasDex：针对巴西8个银行应用程序的木马。 GoatRat：有52个已知变体，由ATS模块驱动，针对6个银行应用程序。 此外，还有很多2022年开始流行并在2023年完成更新的恶意软件家族，其中依然保持活跃的家族包括Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis和Coper。 在安卓银行木马攻击的国家/地区统计中，排名第一的是美国（109个目标银行应用程序），其次是英国（48个银行应用程序）、意大利（44个应用程序）、澳大利亚（34）、土耳其（32个）、法国（30）、西班牙（29）、葡萄牙（27）、德国（23）和加拿大（17）。 三大缓解措施 报告指出，2023年银行木马给金融企业造成的经济损失和运营成本持续增加，同时导致消费者信任度和品牌影响力下降。金融机构应该采取主动和自适应安全方法应对不断增长的威胁，并重点实施以下三大缓解措施： 确保安全措施与威胁的复杂程度相匹配：使用先进的代码保护技术提升攻击应用程序所需的成本和精力，使其超过攻击者的潜在收益。 实现运行时可见性以进行全面的威胁监控和建模：移动应用安全领导者必须实现跨各种威胁媒介（包括设备、网络、应用程序和网络钓鱼）的运行时可见性。这种实时洞察力可以主动识别和报告风险、威胁和攻击。 部署设备上保护以实现实时威胁响应：移动应用安全领导者应优先实施设备上保护机制，使移动应用能够在检测到威胁时立即采取行动。这种能力应该是自主的，不需要依赖网络连接或后端服务器通信。 对于个人用户来说，防范安卓手机银行木马的关键措施是：避免从非官方应用商店下载应用；在应用安装过程中密切注意权限请求，切勿授予对“辅助功能服务”的访问权限；避免点击来路不明的短信或邮件中的（应用下载）链接。 转自安全客，原文链接：https://www.anquanke.com/post/id/291975 封面来源于网络，如有侵权请联系删除

专家发现了一种新的基于 Go 的多平台恶意软件，被追踪为 NKAbuse，这是第一个滥用 NKN 技术的恶意软件。 卡巴斯基全球紧急响应团队 (GERT) 和 GReAT 的研究人员发现了一种名为 NKAbuse 的新型多平台恶意软件。该恶意代码采用 Go 语言编写，是第一个依赖 NKN 技术 在节点之间进行数据交换的恶意软件。恶意代码可以针对各种架构，它支持洪水攻击和后门功能。  NKAbuse 的主要目标是 Linux 桌面，但它也可以针对 MISP 和 ARM 架构。  NKN（New Kind of Network）是一种依赖区块链技术的去中心化点对点网络协议。该协议可实现安全且低成本的数据传输。它旨在解决当前互联网基础设施的局限性，即中心化、低效且容易受到审查。  NKAbuse 恶意软件 个人可以自愿加入NKN网络并运行自己的节点；目前由6万多个节点组成  “从历史上看，恶意软件运营商利用 NKN 等新兴通信协议来与其命令和控制服务器 (C2) 或僵尸主机连接。”阅读卡巴斯基发布的报告。 “这种威胁（ab）使用 NKN 公共区块链协议进行大量洪水攻击，并充当 Linux 系统内部的后门。”  专家认为威胁行为者利用了一个旧的 Struts2 漏洞（跟踪为 CVE-2017-5638）。  攻击者利用该漏洞在服务器上执行命令，将命令传递到标记为“shell”的标头中，并将指令传输到 Bash 执行。一旦被利用，系统就会执行命令来下载初始脚本。  研究人员注意到，该恶意软件缺乏自我传播机制，这意味着初始感染向量是通过利用漏洞部署样本来传递的。  攻击者通常通过执行远程 shell 脚本来安装恶意软件，该脚本下载并执行托管远程服务器的 setup.sh shell 脚本的内容。恶意代码检查操作系统类型以确定第二阶段恶意软件（“app_linux_{ARCH}”），这是实际的恶意软件植入，即托管在同一服务器上。卡巴斯基发现的样本支持以下架构： 386 arm64 arm amd64 mips mipsel mips64 mips64el NKAbuse 通过使用 cron 作业来维护持久性。  该恶意软件支持多种分布式拒绝服务（DDoS）攻击，以下是洪泛负载列表： 命令 攻击 默认/0 http_flood_HTTPGetFloodPayload 1 http_flood_HTTPPostFloodPayload 2 tcp_flood_TCPFloodPayload 3 udp_flood_UDPFloodPayload 4 ping_flood_PINGFloodPayload 5 tcp_syn_flood_TCPSynFloodPayload 6 ssl_flood_SSLFloodPayload 7 http_slowloris_HTTPSlowlorisPayload 8 http_slow_body_HTTPSlowBodyPayload 9 http_slow_read_HTTPSlowReadPayload 10 icmp_flood_ICMPFloodPayload 11 dns_nxdomain_DNSNXDOMAIN有效负载 NKAbuse 还支持多种后门功能，使其成为强大的远程访问木马 (RAT)。 “虽然相对罕见，但像 NKAbuse 这样的新型跨平台泛洪器和后门通过利用不太常见的通信协议而脱颖而出。这种特殊的植入物似乎是为了集成到僵尸网络而精心设计的，但它可以适应在特定主机中充当后门的功能。”报告总结道。 “此外，它对区块链技术的使用确保了可靠性和匿名性，这表明该僵尸网络有可能随着时间的推移稳步扩张，似乎缺乏可识别的中央控制器。” 转自安全客，原文链接：https://www.anquanke.com/post/id/291970 封面来源于网络，如有侵权请联系删除

网络安全研究人员在 Python 包索引（PyPI）仓库中识别出116个恶意软件包，这些恶意软件包通过定制后门程序感染 Windows 和 Linux 系统。 ESET 的研究人员 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些时候发布的一份报告中表示，在某些情况下，最终的有效载荷是臭名昭著的 W4SP Stealer 的变体，或者是一个用于窃取加密货币的简单剪贴板监控器，有时甚至两者兼而有之。 这些软件包自2023年5月就已经存在，目前初步估计已被下载超过1万次。 这些攻击者通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell，以及以混淆形式整合到 init.py 文件中这三种途径将恶意代码打包到 Python 包中。 不管使用哪种方法，这次行动的最终目的都是通过恶意软件，主要是一个能够远程执行命令、数据窃取和截屏的后门，来感染目标主机。这种后门模块在 Windows 上用 Python 实现，在 Linux 上则用 Go 实现。 另外，这些攻击链路也可能最终部署 W4SP Stealer 或剪贴板恶意软件，后者旨在密切监视受害者的剪贴板活动，并在原始钱包地址存在的情况下将地址替换为攻击者控制的地址。 这是攻击者放出的污染开源生态系统并传播各种供应链攻击的恶意软件的最新形式。在此之前，攻击者已经放出了一系列受损的 Python 软件包，以污染开源生态系统并分发各种恶意软件。 这也是众多虚假 PyPI 软件包中的最新案例，这些软件包被用作分发窃取恶意软件的隐蔽通道。2023年5月，ESET 揭露了另一组旨在传播 Sordeal Stealer 的库，该恶意软件借鉴了 W4SP Stealer 的特征。 接着，在上个月也发现了一些恶意软件包伪装成看似无害的混淆工具，并部署了一个名为 BlazeStealer 的恶意窃取软件。 研究人员警告：“Python 开发者在将代码下载到系统之前，特别是在安装之前，应该仔细审查代码，特别要注意检查这些技术。” 这一警告之后又发现了一些 npm 软件包，这些软件包是针对某个未命名的金融机构的“高级对手仿真演练”的一部分。为了保护机构的身份，这些包含加密数据块的模块名称被隐藏起来了。 软件供应链安全公司 Phylum 上周披露：“这个解密的有效载荷包含了一个嵌入的二进制文件，该文件能巧妙地将用户凭据外泄到目标公司内部的 Microsoft Teams webhook。 消息来源: The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站消息，法国当局在巴黎逮捕了一名涉嫌帮助 Hive 勒索软件团伙“清洗”赎金的俄罗斯人。据悉，法国反网络犯罪办公室（OFAC）根据嫌疑人在社交网络上的踪迹，将其与一起涉及数百万美元的数字钱包案件“关联”起来后，随即将其逮捕。2023 年 12 月 9 日，犯罪嫌疑人被移交给了巴黎司法法院的专门检察官办公室。 根据 LeMagIT 的报道来看，警方特工在 12 月 5 日拘留改名 40 岁的俄罗斯嫌疑人，并查获了价值 57 万欧元的加密货币资产。法国内政部副主任Nicolas Guidoux表示，通过与欧洲刑警组织、欧洲司法组织和塞浦路斯当局的通力合作，搜查了犯罪嫌疑人在塞浦路斯海滨度假胜地的住所，从而掌握了案件重要线索。 值得一提的是，美国联邦调查局（FBI）于 2022 年 7 月底“潜入”了 Hive 勒索软件团伙的服务器，并且在2023 年 1 月份的一次国际执法行动中，成功查获了该团伙的 Tor 网站。2023 年 11 月，美国联邦调查局透露，自 2021 年 6 月以来，Hive 勒索软件团伙已从 1500 多家公司，勒索了约 1 亿美元。 Hive 勒索软件网站查封通知 此次国际执法行动中，联邦调查局查获并向受害者提供了 1300 多条解密密钥，避免了约 1.3 亿美元的赎金落入网络犯罪分子之手。除解密密钥外，联邦调查局和荷兰警方还发现了 Hive 的通信记录、恶意软件文件哈希值，以及存储在加利福尼亚州一家托管服务提供商的 Hive 服务器和荷兰备份服务器上的 250 个 Hive 附属团伙的详细信息。 目前。美国国务院正悬赏 1000 万美元征集任何有助于将 Hive 勒索软件组织（或其他威胁行为者）与其他国家联系起来的信息。 Hive受害者地图 2019 年 6 月“出道”以来，Hive 勒索软件团伙作为勒索软件即服务（RaaS）提供商运营了两年多时间。期间，该组织发动了无数次网络攻击行动，利用面向互联网设备的漏洞和窃取来的凭证，以及网络钓鱼攻击，入侵全球的实体组织。 在被执法部门摧毁后，一个名为 Hunters International 的新勒索软件即服务（RaaS）团伙开始“浮出水面”，并且使用了 此前 Hive 勒索软件团伙使用的代码。安全研究人员 Will Thomas 在分析 Hunters International 勒索软件样本时发现，有超过 60% 的代码与 Hive 勒索软件的代码存在重叠和相似之处。 由此可以推断，这个老牌勒索软件团伙已经以不同“品牌”，重新开始活动。然而，Hunters International 勒索软件组织反驳了研究人员的说法，并表示其是一家新的勒索软件服务公司，只是从 “Hive “的开发者那里购买了加密源代码。 此外，Hunters International 组织还强调，他们的主要目标不是加密，而是窃取数据，并利用这些数据迫使受害者支付赎金。   转自Freebuf，原文链接：https://www.freebuf.com/news/386577.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Americold 公司宣布，四月份对这家冷藏巨头的勒索软件攻击影响了近 13 万人。在上周五向缅因州监管机构提交的违规报告中，亚特兰大总部的  Americold  确认黑客于四月二十六日侵入了其系统，获取了现任和前任员工以及其家属的信息。 尽管公司没有明确称之为勒索软件攻击，但表示这起网络安全事件“涉及在某些系统上部署恶意软件”。 在 11 月 8 日结束的调查中，调查人员发现有姓名、地址、社保号码、驾照/州份 ID 号码、护照号码、财务账户信息，以及与就业相关的健康保险和医疗信息被泄露。 公司最初在 4 月 26 日向证券交易委员会报告此事件，称其“将暂停运营以确保系统安全并减少对业务和客户的影响。” Americold 是全球最大的专注于温控仓库的上市房地产投资信托公司。该公司在全球控制着 250 家仓库，其中大多数被食品生产商、分销商和零售商使用。 在四月和五月期间，根据 Reddit 用户的报告和 Bleeping Computer 网站看到的备忘录，除了那些涉及关键易腐产品的交付，公司已经告知他们取消或重新安排交付。 “他们的电话无法接通，卡车入口被封锁，主入口大门关闭，护卫室无人值守，”一位 Reddit 用户写道。 七月份，该公司出现在 Cactus 勒索软件团伙的泄露网站上，该团伙近期因微软报告指出其使用通过在线广告传播的恶意软件来感染受害者而引起轰动。 网络安全研究人员此前向 BleepingComputer 表示：Cactus 在三月份出现，并专注于利用虚拟专用网络设备的漏洞，以获取对大型公司网络的初始访问权限。 事故响应公司 Dragos 也表示：越来越多地发现 Cactus 勒索软件用于对工业组织的攻击，影响工业控制系统设备以及制造和工程领域。 这个团伙针对工业实体进行了 16 次攻击，占 Dragos 在 2023 年第三季度追踪到的所有针对工业实体的攻击的约 7%。 消息来源：The Record by Recorded Future，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

臭名昭著的朝鲜黑客组织 Lazarus 继续利用 CVE-2021-44228（又名“Log4Shell”），这次部署了三个以前未见过的用 DLang 编写的恶意软件系列。 新的恶意软件是两个名为 NineRAT 和 DLRAT 的远程访问木马 (RAT) 以及一个名为 BottomLoader 的恶意软件下载程序。 D 编程语言在网络犯罪活动中很少见到，因此 Lazarus 可能选择它来开发新的恶意软件以逃避检测。 该活动被思科 Talos 研究人员命名为“Operation Blacksmith”（铁匠行动），于 2023 年 3 月左右开始，针对全球制造、农业和物理安全公司。“Operation Blacksmith”代表了 Lazarus 黑客组织所使用的战术和工具的显著转变，再次证明了该威胁组织不断变化的战术。 Dlang（简称 D）于 2001 年发布，是一种基于 C++ 思想构建的多范式系统编程语言，但也从 C#、Eiffel、Java、Python、Ruby 和其他高级语言中汲取灵感。 Dlang 被认为是一种不常见的恶意软件开发编程语言，但已经开始吸引恶意软件开发人员，可能是因为它的多功能性和简单的学习曲线。Dlang 允许开发人员针对多种架构交叉编译应用程序。 新的恶意软件工具 自 2023 年 3 月以来，由朝鲜背景的高级持续威胁 (APT) 攻击者 Lazarus 被发现使用使用 Dlang 构建的三个恶意软件系列，即 NineRAT 和 DLRAT 远程访问木马 (RAT) 以及 BottomLoader 下载程序。 第一个恶意软件 NineRAT。可能于 2022 年 5 月左右构建，使用 Telegram 从其命令与控制 (C&C) 服务器接收命令，可能会逃避检测。部署后，RAT实现持久化，成为与受感染主机交互的主要方式。 该恶意软件可以收集系统信息、升级到新版本、停止执行、自行卸载以及从受感染的计算机上传文件。 NineRAT 包含一个释放器，它还负责建立持久性并启动主要的二进制文件。 该恶意软件支持以下命令，这些命令通过 Telegram 接受： info –     收集有关受感染系统的初步信息。 setmtoken – 设置令牌值。 setbtoken –     设置新的机器人令牌。 setinterval –     设置恶意软件轮询 Telegram 频道之间的时间间隔。 setsleep –     设置恶意软件应休眠/休眠的时间段。 升级– 升级到新版本的植入物。 exit – 退出恶意软件的执行。 uninstall –     从端点卸载自身。 sendfile – 从受感染端点向     C2 服务器发送文件。 第二个恶意软件DLRAT是一种特洛伊木马和下载程序，Lazarus 可使用它在受感染的系统上引入额外的有效负载。它既充当下载程序又充当后门。 它包括用于系统侦察的硬编码命令，但也可以执行下载和上传文件、重命名文件以及从计算机中删除自身的命令。 DLRAT 在设备上的第一个活动是执行硬编码命令来收集初步系统信息（例如操作系统详细信息、网络 MAC 地址等），并将其发送到 C2 服务器。 攻击者的服务器回复受害者的外部 IP 地址和以下命令之一，以便恶意软件在本地执行： deleteme – 使用 BAT     文件从系统中删除恶意软件 download –     从指定的远程位置下载文件 重命名– 重命名受感染系统上的文件 iamsleep –     指示恶意软件在设定的时间内进入休眠状态 upload – 上传文件到C2服务器 showurls – 尚未实施 第三个恶意软件BottomLoader，这是一种恶意软件下载程序，BottomLoader 下载器可以从硬编码 URL 获取并执行有效负载，并且已观察到针对欧洲制造商和韩国物理安全和监控公司部署了自定义代理工具 HazyLoad。 此外，BottomLoader 还为 Lazarus 提供了将文件从受感染系统窃取信息上传到 C2 服务器的能力，从而提供了一定的操作多功能性。 BottomLoader 还旨在通过在系统的启动目录中创建 URL 文件来实现新版本或其删除的有效负载的持久性。 Log4Shell 攻击 Cisco Talos 观察到的攻击涉及利用 Log4Shell，这是 Log4j 中的一个关键远程代码执行缺陷，大约在两年前被发现并修复，但仍然是一个安全问题。 这些目标是面向公众的VMWare Horizon服务器，该服务器使用易受攻击的Log4j日志库版本，允许攻击者执行远程代码。 入侵后，Lazarus 设置了一个代理工具，用于在受攻击的服务器上进行持久访问，运行侦察命令，创建新的管理员帐户，并部署 ProcDump 和 MimiKatz 等凭据窃取工具。 在攻击的第二阶段，Lazarus 在系统上部署 NineRAT，该系统支持广泛的命令，如上一节所强调的。 铁匠行动攻击链 （思科 Talos） 思科报告称，这些恶意软件家族被用作Blacksmith 铁匠行动的一部分，其中 Lazarus 针对未针对臭名昭著的 Log4Shell 漏洞 (CVE-2021-44228) 进行修补的系统，针对南美农业组织和欧洲制造企业部署 NineRAT。 观察到的攻击与朝鲜组织 Onyx Sleet 的活动重叠，也称为 Plutionium 和 Andariel。网络安全行业的普遍共识是，朝鲜背景的黑客组织大多是 Lazarus 组织的分支。 作为“Operation Blacksmith（铁匠行动）”的一部分，Lazarus 在可通过互联网访问的 VMware Horizon 服务器上利用 Log4Shell 进行初始访问，然后进行侦察并部署 HazyLoad 植入程序。在某些情况下，会创建一个新的用户帐户来持久访问系统。 Lazarus 还使用 ProcDump 和 MimiKatz 等实用程序进行凭证转储，然后将 NineRAT 后门部署到系统中。 思科安全研究人员得出的结论是，Lazarus 可能会向其旗下的其他 APT（高级持续威胁）组织或集群提供 NineRAT 收集的数据。 这一假设基于 NineRAT 在某些情况下执行系统“重新指纹识别”的事实，这意味着它可能正在为多个参与者执行系统 ID 和数据收集。 转载自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/vViG_T_DRLp__vZR1Iwe6A?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

该恶意软件的销售媒介已收到更新和更改。 Elastic Security Labs 发现了新的GuLoader 恶意软件技术，该技术使威胁更难以分析和检测。GuLoader的核心功能于2019年底首次被发现，近年来并未发生明显变化，但混淆方法的不断更新使其分析变得耗时且耗费资源。 GuLoader (CloudEyE) 是一种通过网络钓鱼活动分发的基于shellcode的高级恶意软件加载程序。它用于传播各种类型的恶意软件，包括信息盗窃，并包含复杂的反分析技术来绕过传统的安全解决方案。 值得注意的是，GuLoader 现在在与 Remcos 相同的平台上以新名称出售，并被宣传为加密器，使其有效负载对防病毒软件完全不可见。 GuLoader 的最新变化之一是基于向量异常处理 ( VEH ) 的使用改进了反分析技术。该方法包括通过故意抛出大量异常并在向量异常处理程序中处理它们来中断正常的代码执行流程，该异常处理程序将控制权转移到动态计算的地址。 GuLoader 并不是唯一不断更新的恶意软件。另一个例子是 DarkGate，这是一种远程访问木马 (RAT)，它允许攻击者完全破坏受害者的系统。DarkGate以恶意软件即服务 (MaaS) 的形式出售，每月售价15,000美元，它使用包含链接的网络钓鱼电子邮件来分发初始感染媒介：VBScript或 Microsoft 软件安装程序 (MSI) 文件。 最新版本的 DarkGate (5.0.19)引入了 使用 DLL Sideloading 的新执行引擎、改进的 shellcode 和加载器以及完全重新设计的RDP密码盗窃功能。    转自安全客，原文链接https://www.anquanke.com/post/id/291810 封面来源于网络，如有侵权请联系删除

一种隐蔽的恶意软件正在感染泰国的电信和其他垂直行业的系统，在其代码首次出现在 VirusTotal 上后两年内一直处于低调状态。 攻击者可能与 XorDdos Linux 远程访问木马（RAT）的创建者捆绑在一起，近两年来一直在使用单独的 Linux RAT 而未被发现，使用它来瞄准泰国的组织并保持对受感染系统的恶意访问。 Group-IB的研究人员在12月7日发表的一篇博客文章中报告说，这种被称为Krasue的RAT以东南亚民间传说中的一种夜间土著精神命名，它使用多种隐蔽技术，包括使用嵌入七个编译版本的rootkit来支持各种版本的Linux内核。 RAT 的主要功能是保持对主机的访问，该 RAT 于2021年出现在 VirusTotal 上，但从未公开报道过。这意味着RAT很可能“要么作为僵尸网络的一部分部署，要么由初始访问经纪人出售给其他希望访问特定目标的网络犯罪分子。”Group-IB威胁情报团队恶意软件分析师Sharmine Low在博客文章中写道。 研究人员说，Krasue可能与XorDdos Linux木马由同一作者创建，或者至少可以访问相同的源代码。Microsoft在2014年发现了XorDdos，它已广泛用于针对云和物联网部署的攻击。 研究人员表示，RAT的一个独特之处在于使用实时流协议（RTSP）消息作为伪装的“活ping”，这种策略在野外很少见。RTSP 通常用于控制通过 IP 网络（例如视频流和视频监控系统）传输实时媒体流。 获得受 Krasue 感染系统的初始访问权限的方法尚不清楚，但可能的途径包括漏洞利用或凭据暴力破解。研究人员补充说，另一种（尽管可能性较小）初始访问可能是RAT作为欺骗性软件包或二进制文件的一部分（例如虚假产品更新）从恶意第三方来源下载的。 虽然Group-IB观察到RAT主要用于针对电信行业，但研究人员认为，其他垂直行业的组织也可能成为目标。一旦网络犯罪分子已经入侵了目标网络，Krasue 也有可能在攻击链的后期部署。 通过 Linux Rootkit 保持低调 研究人员说，鉴于其隐蔽特性的结合，Krasue RAT潜伏了两年而未被发现也就不足为奇了。其中一些技术在于 Krasue rootkit 的使用和功能，它是 Linux 内核模块（LKM）或可以在运行时动态加载到内核中的目标文件。 在受感染的系统上，rootkit 伪装成没有有效数字签名的 VMware 驱动程序。由于其作为 LKM 的性质，以 Linux 内核版本2.6x/3.10.x 为目标的 rootkit 扩展了内核的功能，而无需重新编译或修改整个内核源代码。此外，在初始化阶段，rootkit 会隐藏自己的存在，然后继续挂钩“kill（）”系统调用、网络相关函数和文件列表操作，从而掩盖其活动。 Krasue 设法逃避检测的另一个原因是它使用 UPX 打包。研究人员表示，打包的恶意软件样本通常更难被安全解决方案检测到，而较旧的Linux服务器可能未部署端点检测保护（EDR）。 RAT 还通过守护自身、作为后台进程运行和忽略 SIGINT 信号来增强其规避功能，最后一个信号意味着当用户通过按 Ctrl-C 终止进程时，恶意软件不受发送的中断信号影响。 Krasue还具有掩盖其与命令和控制（C2）网络通信的功能，包括为其主C2使用九个硬编码IP地址，以及上述使用RTSP进行通信——这对于网络犯罪分子来说很少见。 “Krasue 最初总是会尝试连接到内部地址。”博客文章中写道：“只有在多次未回复并尝试连接到服务器后，它才会尝试连接128[.]199[.]226[.]11的554端口，这是通常用于 RTSP 的端口。这是值得注意的，因为虽然恶意软件开发人员通常会伪装网络流量，但为此目的使用RTSP端口的情况非常罕见。 Linux RAT 的安全建议 Group-IB向安全专业人员提出了一些建议，以提醒他们Krasue RAT的潜在感染。一种是要注意异常的RTSP流量，这可能会提醒系统上存在恶意软件。 研究人员还建议组织仅从受信任的官方来源下载软件和软件包，使用由其Linux发行版提供的信誉良好的存储库或经过验证的第三方来源，这些存储库在安全方面享有盛誉。 管理员还应该通过将 Linux 内核配置为仅加载已签名的模块来启用内核模块签名验证。确保只有来自可信来源的具有有效数字签名的模块才能加载。 管理员可以采取的其他安全措施来避免泄露，包括监控系统和网络日志（定期检查它们是否存在任何可疑活动），以及定期进行安全审计。   转自会杀毒的单反狗，原文链接https://mp.weixin.qq.com/s/TzQruqHrimGsDvjtpcaBAQ 封面来源于网络，如有侵权请联系删除

最近发现黑客找到了一种使用第三方键盘绕过 iPhone 安全性的方法。根据 Certo Software 的 Russell Kent-Payne 的一份报告，攻击者正在使用这些键盘记录私人消息、浏览器历史记录，甚至 iPhone 用户密码。 在许多有关网络跟踪的报道之后，开始对此威胁进行研究。在调查过程中，发现所有受影响的设备都安装了恶意键盘。 左侧为默认的 iOS 键盘，右侧为用作键盘记录器的自定义键盘 这种攻击的特殊之处在于，黑客不需要破解设备或获取 iCloud 的访问权限。相反，他们使用苹果的 TestFlight 平台来分发键盘，因为该平台上的应用程序不会像 App Store 上的应用程序那样经过严格的安全审查。 通过设备设置安装恶意键盘后，黑客将标准的iPhone键盘替换为自己的键盘，与原来的键盘没有区别。这样的键盘可以记录用户输入的所有内容并将数据发送到黑客的服务器。 如何检查和保护 要检查 iPhone 是否安装了恶意键盘，先打开“设置”，转到“键盘”，然后检查已安装键盘的列表。如果发现启用了完全控制权限的陌生键盘，建议删除可疑键盘。 还值得考虑使用 Mac 防病毒软件，它可以扫描的 iPhone 或 iPad 是否存在恶意软件，但需要通过 USB 连接到Mac。目前，苹果尚未对这种攻击方法发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291678 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后，才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商，主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。 ALPPV 勒索软件团伙发布被盗数据截图后，HTC Global Services 没有立刻在公司网站上发布安全声明，但在其 X 上发布了一则简短公告，确认了自身遭到了网络攻击，推文如下： 我们的团队一直在积极调查和处理这一情况，以确保用户数据的安全性和完整性。目前，公司已经邀请了网络安全专家，正在努力解决安全问题，您的信任是公司的首要任务。 从 ALPHV (BlackCat) 勒索软件团伙在其数据泄露网站上列出的截图来看，被盗的数据包括护照、联系人名单、电子邮件和一些机密文件。 ALPHV 数据泄漏网站上列出的 HTC Global Services 被盗数据 目前来看，虽然有关 HTC Global Services 遭受网络攻击的详细信息很少，但网络安全专家凯文-博蒙特（Kevin Beaumont）认为，网络攻击者是利用 Citrix Bleed 漏洞入侵了该公司。博蒙特指出，HTC Global Services 的一个业务部门 CareTech 操作着一个易受攻击的 Citrix Netscaler 设备，该设备可能被网络攻击者利用，以此对公司网络进行初始访问。 数据被盗事件发生后，Bleeping Computer 联系了 HTC Global Services，以期询问有关此次攻击以及他们是否被 Citrix Bleed 入侵的问题，但没有立即得到回复。 ALPHV 勒索软件正在疯狂“收割”受害者 2021 年 11 月，ALPHV/BlackCat 勒索软件开始活跃在互联网空间，据信是 DarkSide 和 BlackMatter 勒索软件的“品牌重塑”。（DarkSide 勒索软件组织在遭到国际执法机构“打压”后，于 2021 年 7 月再次改名为 BlackMatter，但在 2021 年 11 月，执法当局查封了他们的服务器，安全公司 Emsisoft 利用勒索软件漏洞创建了解密程序，至此，这伙网络犯罪分子慢慢销声匿迹了） 最近一次网络攻击事件中，一个被追踪为 Scattered Spider 的“英语联盟”组织声称对美高梅娱乐平台的攻击负责，并称他们在攻击中加密了 100 多个 ESXi 虚拟机管理程序。 本周，一名 ALPHV 附属公司声称从 Tipalti 窃取了数据，并表示已开始对受影响的公司进行单独勒索。不仅如此，该组织最近还攻击了一家公有电力供应商和一家医院的网络，这两家公司在美国都被列为了关键基础设施。   转自Freebuf，原文链接：https://www.freebuf.com/news/385813.html 封面来源于网络，如有侵权请联系删除