来自Cleafy的网络安全公司专家警告说，一个新兴的安卓银行木马 Nexus，针对多达450个金融应用，被多个网络犯罪团在的攻击中使用。 3月初，威胁情报公司Cyble的研究人员首次分析了Nexus勒索软件。Nexus可通过恶意软件即服务（MaaS）订购，以每月3000美元的价格出租，自2023年1月起在地下论坛或通过私人渠道（如Telegram）进行推广。 然而，根据Cleafy的威胁情报与响应团队报告，早在2022年6月就检测到了第一批Nexus感染，比MaaS的公开广告早了几个月。专家认为，尽管有多个活动在野外积极使用Nexus木马，但Nexus木马仍处于发展的早期阶段。 在Cleafy发布的分析报告中写道：Nexus提供对银行门户网站和加密货币服务进行ATO攻击（账户接管）的所有主要功能，如凭证窃取和短信拦截。它还提供了一个针对450个金融应用程序的内置注入列表。 据观察，Nexus完全是从零开始编写的，但研究人员发现Nexus和SOVA银行木马之间有相似之处，后者于2021年8月出现在威胁领域。Nexus木马可以针对多个银行和加密货币，企图控制客户的账户。它依靠叠加攻击和键盘记录功能来获取客户的凭证。 该恶意软件还支持通过滥用安卓的可访问性服务，使用短信或谷歌认证器应用程序绕过双因素认证（2FA）的功能。同时，该安卓木马还支持自动更新机制。 那么它对安卓用户是否构成威胁？安全专家表示，根据从多个C2面板检索到的感染率，Nexus绝对是一个真正的威胁，它能够感染世界各地的数百台设备。因此我们不得不做好准备，防患于未然。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361433.html 封面来源于网络，如有侵权请联系删除  

AhnLab安全应急响应中心（ASEC）发现了ShellBot恶意软件的一种新变种，该变种被用于针对Linux SSH服务器。 ShellBot，也称为PerlBot，是一个基于Perl的DDoS机器人，使用IRC协议进行C2通信。 ShellBot 对打开端口 22 的服务器执行 SSH 暴力攻击，它使用包含已知 SSH 凭据列表的字典。 ShellBot恶意软件是攻击者在目标系统上使用扫描仪和SSH暴力破解恶意软件获得的帐户凭据之后安装的。在扫描具有可操作端口 22 的系统后，攻击者会搜索 SSH 服务处于活动状态的系统，并使用常用的 SSH 帐户凭据列表来发起字典攻击。 以下是 ShellBot 操作员用于危害目标服务器的帐户凭据列表： USER PASSWORD deploy password hadoop hadoop oracle oracle root 11111 root Passw0rd ttx ttx2011 ubnt ubnt 研究人员将ShellBot分为三个不同的组，因为攻击者可以创建自己的版本：LiGhT的Modded perlbot v2，DDoS PBot v2.0和PowerBots（C）GohacK。 LiGhT 的 Modded perlbot v2 和 DDoS PBot v2.0 支持使用 HTTP、TCP 和 UDP 协议的多个 DDoS 攻击命令。PowerBots （C） GohacK支持后门功能，包括反向shell和文件下载功能。 此外，威胁行为者可以使用各种其他后门功能来安装其他恶意软件或从受感染的服务器发起不同类型的攻击。 研究人员建议为管理员帐户使用强密码，并定期更改它们，以保护Linux服务器免受暴力攻击和字典攻击。他们还建议使服务器保持最新状态并使用安全程序。       转自 Freebuf，原文链接：https://www.freebuf.com/news/361255.html 封面来源于网络，如有侵权请联系删除

近日，勒索软件组织LockBit给埃隆·马斯克（Elon Musk）发送了一条信息：打钱，或者眼睁睁看着SpaceX的机密信息在暗网上被卖掉。 根据网络安全分析师Dominic Alvieri本周三发布的推文，LockBit勒索软件组织威胁要发布被盗的SpaceX设计图纸，除非埃隆马斯克在3月20日前支付“保密费”。 LockBit在勒索通知中写道：“埃隆马斯克，我们将把图纸出售给其他制造商，帮他们更快地建造船并飞走。” 据报道，这些机密图纸不是来自SpaceX本身，而是来自其第三方供应商：为SpaceX项目生产零件的Max Industries。 本周一LockBit宣称入侵了SpaceX最大的零部件提供商Max Industires，并窃取了3000张设计图纸。 这并非SpaceX第一次遭遇第三方安全问题，早在2020年，总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击，攻击者泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。Visser Precision是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商。 “当人们听到勒索攻击时，会立即想到勒索软件。其实，勒索软件只是攻击者武器库中的一种工具。”KnowBe4首席安全意识官Javvad Malik指出：“数据才是犯罪分子的最大筹码，因为泄露数据会对受害者产生巨大影响。这提出了一个重要的问题：犯罪分子如何进入企业网络？为何长时间驻留未被发现？如何在不被阻止的情况下泄露敏感数据？这些问题的答案不仅仅是单点安全产品，而是真正关注企业的整体安全文化。”     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/IJE261d80tHZix0uOInizg 封面来源于网络，如有侵权请联系删除

近日，FBI（美国联邦调查局）在其2022年互联网犯罪报告中透露，勒索软件团伙2022年入侵了至少860个关键基础设施网络，与2021年（649个）相比大幅增长。 由于FBI的报告仅统计了向互联网犯罪投诉中心（IC3）报告的攻击，实际发生的攻击数量可能更高。 报告显示，在16个关键基础设施行业中，14个行业至少有1个实体在2022年遭受勒索软件攻击。 勒索软件受害者在2022年全年总共提交了2385起投诉，调整后的损失超过3400万美元。 按照攻击次数排名，2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit（149次），ALPHV/BlackCat（114次）和Hive（87次）。 此外，Ragnar Locker勒索软件至少入侵了52个关键基础设施实体，Cuba勒索软件攻击了至少49个美国关键基础设施实体，BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。 FBI建议关键基础设施组织不要向网络犯罪分子支付赎金，因为付款并不能保证受害者会恢复他们的文件，反而会鼓励进一步的攻击，并且赎金很可能会被用来资助额外的攻击。 FBI还分享了勒索软件攻击防御清单： 更新操作系统和软件。 实施用户培训和网络钓鱼练习，以提高对可疑链接和附件风险的认识。 如果使用远程桌面协议（RDP），请保护并监视它。 对数据进行脱机备份。 CISA（关键基础设施管理局）本周一宣布，该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络，查找易受勒索软件攻击的设备，在黑客入侵之前发出警告，帮助关键基础设施实体修复漏洞。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/nN0sOWXfW6ieic-qIeZ5Nw 封面来源于网络，如有侵权请联系删除  

自2022年11月以来，新版本的Prometei的僵尸网络已经感染了全球超过10000个系统。这些感染没有地域的限制，大多数受害网络在巴西、印度尼西亚和土耳其。 Prometei在2016年首次被发现，是一个模块化的僵尸网络，具有大量的组件和几种扩散方法，其中一些还包括利用ProxyLogon微软Exchange服务器的缺陷。 这个跨平台僵尸网络的目标是金融领域，主要是利用其受感染的主机池来挖掘加密货币和收获凭证。 在《黑客新闻》的报告中说，Prometei的最新变体（称为v3）在其现有功能的基础上进行了改进，以进行取证分析，并进一步在受害者机器上钻取访问。 其攻击序列如下：在成功站稳脚跟后，执行PowerShell命令，从远程服务器下载僵尸网络恶意软件。然后，Prometei的主要模块被用来检索实际的加密采矿有效载荷和系统中的其他辅助组件。 其中一些辅助模块作为传播者，旨在通过远程桌面协议（RDP）、安全外壳（SSH）和服务器信息块（SMB）传播恶意软件。 Prometei v3还值得注意的是，它使用域生成算法（DGA）来建立其命令和控制（C2）基础设施。它还包括一个自我更新机制和一个扩展的命令集，以获取敏感数据并控制主机。 最后，该恶意软件还部署了一个Apache网络服务器，它捆绑了一个基于PHP的网络外壳，能够执行Base64编码的命令并进行文件上传。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360219.html 封面来源于网络，如有侵权请联系删除

2023年2月28日，德国警察、乌克兰警察、欧洲刑警组织、荷兰警察和美国联邦调查局联手打击了一个臭名昭著的犯罪组织的幕后策划者，该组织负责使用 DoppelPaymer 勒索软件发动毁灭性的网络攻击。 这款勒索软件出现于 2019 年，当时网络犯罪分子开始使用它对组织、关键基础设施和行业发起攻击。 基于 BitPaymer 勒索软件和 Dridex 恶意软件家族的一部分，DoppelPaymer 使用了一种独特的工具，能够通过终止受攻击系统的安全相关进程来破坏防御机制。多产的Emotet 恶意软件启用了 DoppelPaymer 攻击。 恶意勒索软件通过多种渠道传播，包括垃圾邮件和网络钓鱼电子邮件，其附件包含有害代码，这些代码要么是 JavaScript 要么是 VBScript。 该勒索软件背后的犯罪集团采用双重勒索计划，利用犯罪分子于 2020 年初推出的泄密网站。德国当局获悉该勒索软件集团的 37 名受害者，均为公司。最严重的袭击之一发生在杜塞尔多夫的大学医院。在美国，受害者在 2019 年 5 月至 2021 年 3 月期间至少支付了 4000 万欧元。 在同步行动中，德国官员突击搜查了一名德国国民的住宅，据信这名德国国民在 DoppelPaymer 勒索软件组织中发挥了重要作用。调查人员目前正在分析查获的设备，以确定嫌疑人在勒索软件组织结构中的确切角色。 与此同时，尽管由于俄罗斯的入侵，乌克兰目前面临着极其困难的安全局势，但乌克兰警察还是审讯了一名乌克兰国民，据信这名乌克兰国民也是 DoppelPaymer 核心组织的成员。乌克兰官员搜查了两个地点，一处在基辅，一处在哈尔科夫。在搜查过程中，他们没收了电子设备，目前正在接受法医检查。 “DoppelPaymer 团伙的两名成员已经成为执法人员的目标，但是，由于 DoppelPaymer 是一种勒索软件即服务行动，很可能会有更多的威胁背后的肇事者需要在之前被抓获我们可以永远告别勒索软件，” HighGround 首席执行官Mark Lamb告诉 Help Net Security。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/RLG-NojN2jwXgmfW8s54pA 封面来源于网络，如有侵权请联系删除

近日，Morphisec 的网络安全研究人员发现了一种新的高级信息窃取程序，称为 SYS01 窃取程序，自 2022 年 11 月以来，该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。 专家们发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件（跟踪为 S1deload）之间存在相似之处。“我们已经看到 SYS01 窃取者攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户，这些账户宣传游戏、成人内容和破解软件等内容，以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息，包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。” 专家报告说，该活动于2022年5月首次被发现，Zscaler 研究人员将其与Zscaler 的Ducktail 行动联系起来 。2022 年 7 月，WithSecure（前身为 F-Secure Business）的研究人员首次分析了DUCKTAIL 活动，该活动针对在 Facebook 的商业和广告平台上运营的个人和组织。 攻击链首先引诱受害者点击虚假 Facebook 个人资料或广告中的 URL，以下载假装有破解软件、游戏、电影等的 ZIP 文件。 打开 ZIP 文件后，将执行加载程序（通常采用合法 C# 应用程序的形式）。该应用程序容易受到 DLL side-loading的攻击，这是一种用于在调用合法应用程序时加载恶意 DLL 的技术。 专家观察到威胁行为者滥用合法应用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 来旁加载恶意负载。 最后一个阶段的恶意软件是基于 PHP 的 SYS01stealer 恶意软件，它能够窃取浏览器 cookie 并滥用经过身份验证的 Facebook 会话来窃取受害者 Facebook 帐户中的信息。 最终目标是劫持受害者管理的 Facebook 商业账户。 为了从受害者那里窃取 Facebook 会话 cookie，恶意软件会扫描机器以查找流行的浏览器，包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。对于它找到的每个浏览器，它都会提取所有存储的 cookie，包括任何 Facebook 会话 cookie。 该恶意软件还从受害者的个人 Facebook 帐户中窃取信息，包括姓名、电子邮件地址、出生日期和用户 ID，以及其他数据，例如 2FA 代码、用户代理、IP 地址和地理位置 该恶意软件还能够将文件从受感染的系统上传到 C2 服务器，并执行 C&C 发送的命令。恶意代码还支持更新机制。 “帮助防止 SYS01 窃取者的基本步骤包括实施零信任政策和限制用户下载和安装程序的权利。SYS01 窃取者本质上依赖于社会工程活动，因此培训用户了解对手使用的技巧非常重要，这样他们就知道如何发现他们。” Morphisec 总结道，它还提供了妥协指标 (IoC)。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/SXnDLFpIgEZABFAJEK7MqQ 封面来源于网络，如有侵权请联系删除

近日，斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI（统一可扩展固件接口）的bootkit恶意软件——BlackLotus（黑莲花），已在地下网络黑市中销售，构成重大网络安全威胁。 BlackLotus利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中，可以完全控制操作系统启动过程，而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。（通俗来说，就是可以把受害者的电脑变成“肉鸡”） 报告称，开发者以5000美元（以及每个新的后续版本200美元）的价格出售BlackLotus，其工具包使用Assembly和C开发，文件大小仅有80KB。 BlackLotus还有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。 有关BlackLotus的信息最早于2022年10月首次公开，当时卡巴斯基安全研究员Sergey Lozhkin将其描述为一种复杂的犯罪软件工具。 Eclypsium的Scott Scheferman表示：“BlackLotus工具包的公开售卖是一次飞越，在易用性、可扩展性、可访问性方面都有重大突破，更重要的是，其持久性、逃避和/或破坏的能力构成重大潜在威胁。” 根据ESET的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用UEFI安全启动的系统上执行恶意操作，而无需物理访问它。 虽然微软在2022年1月的补丁星期二更新中修复了Baton Drop漏洞，但ESET研究人员Martin Smolár表示：“对该漏洞的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI撤销列表中。”BlackLotus利用了这一点，将其自己的合法但存在漏洞的二进制文件拷贝带到系统中以利用该漏洞，也就是所谓的自带易受攻击驱动程序(BYOVD)攻击。 除了可以关闭BitLocker、Hypervisor保护的代码完整性(HVCI)和Windows Defender等安全机制外，BlackLotus还可删除内核驱动程序和与命令和控制(C2)服务器通信的HTTP下载程序，以检索其他用户模式或内核模式恶意软件。 用于部署BlackLotus的确切操作方式目前尚不清楚，报告称它从安装一个程序组件开始，该组件负责将文件写入EFI系统分区，禁用HVCI和BitLocker，然后重新启动主机。 重启之后将武器化CVE-2022-21894漏洞以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。 该驱动程序的任务是启动用户模式HTTP下载工具并运行下一阶段的内核模式负载，后者能够执行通过HTTPS从C2服务器接收的命令。包括下载和执行内核驱动程序、DLL或常规可执行文件；获取bootkit更新，甚至从受感染的系统中卸载bootkit。 “UEFI的沦陷并非偶然。在过去几年中，业界发现了许多影响UEFI系统安全的高危漏洞，”Smolár说：“不幸的是，由于整个UEFI生态系统和供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，大量系统仍然存在漏洞并容易遭受攻击。”     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/sy6MHFg_NgrqQGoLGKSWkg 封面来源于网络，如有侵权请联系删除

美国法警署（USMS）表示，它受到了勒索软件的攻击，暴露了敏感的执法数据，包括属于调查对象的个人信息。美国法警局是美国司法部的一个部门，负责开展与联邦司法系统有关的所有执法活动，例如运营联邦证人保护计划和运送联邦囚犯。 美国法警署证实，该机构在2月7日发现了一个”勒索软件和数据外流事件”，影响了一个”独立”的系统，这意味着该系统没有连接到更大的联邦网络。 “受影响的系统包含执法方面的敏感信息，包括法律程序的回报、行政信息，以及与USMS调查对象、第三方和某些USMS雇员有关的个人身份信息，”USMS发言人Drew Wade表示。 消息人士透露，攻击者没有进入运行USMS证人保护数据库的系统，Wade补充说，被攻击的系统现在已经与USMS的网络断开了连接，目前该攻击作为一个”重大事件”正在积极调查中。重大事件是指被认为足够重要，需要联邦机构通知国会的黑客事件。 美国法警署拒绝透露它是如何被入侵的，它是否已经确定谁是这次攻击的幕后黑手，或者它是否支付了未知攻击者的赎金要求。联邦调查局建议不要支付赎金要求，并警告说这样做并不能保证恢复对数据的访问。 “该部门的补救工作以及刑事和法医调查正在进行，”Wade说。”我们正在迅速而有效地工作，以减轻任何因该事件而产生的潜在风险。” 这并不是USMS第一次披露数据泄露事件。据透露，2020年5月，美国法警署暴露了超过38.7万名前任和现任囚犯的个人资料，包括他们的姓名、出生日期、家庭住址和社会保险号码。 这一最新的漏洞也是在联邦调查局证实它正在调查一起网络安全事件之后的几周发生的，因为报告显示攻击者破坏了该机构纽约外地办事处的计算机系统。     转自 CnBeta，原文链接：https://www.toutiao.com/article/7205232348000944673/ 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，名为 MyloBot 的僵尸网络正在席卷全球，已经成功破坏数以千计的网络系统。据悉，受害目标大部分位于印度、美国、印度尼西亚和伊朗。 MyloBot 僵尸网络早已纵横网络江湖多年 2017 年，MyloBot 僵尸网络出现在网络世界，2018 年首次被 Deep Instinct 记录在案，经过几年的发展，已经具备很强的反分析技术和下载功能。BitSight 公司曾表示，目前 MyloBot 每天感染超过 5 万台设备。 2018 年 11月，Lumen 黑莲花实验室指出，Mylobot 僵尸网络之所以危险，是因为其能够在感染主机后下载和执行任何类型的有效载荷，此举意味着它可以随时下载攻击者想要的任何其它类型恶意软件。 2022 年，业内人士发现 Mylobot 恶意软件从被入侵的端点处发送了勒索电子邮件，作为寻求一场超过 2700 美元比特币的网络犯罪活动中一部分。 已知，MyloBot 僵尸网络采用了多阶段序列来解包并启动机器人恶意软件，值得注意的是，在试图联系指挥和控制（C2）服务器之前，它还会在受害系统中“静默”14 天，以躲避检测。 BitSight 表示，MyloBot 僵尸网络主要功能是建立与嵌入恶意软件中的硬编码 C2 域的连接，并等待进一步的指令。当 Mylobot 收到 C2 的指令时，会将受感染的计算机转换为代理，被感染的机器将此时能够处理许多连接，并转发通过命令和控制服务器发送的流量。 后续，MyloBot 的更新迭代利用了一个下载器，该下载器反过来联系 C2 服务器，后者回应一个包含检索MyloBot 有效载荷链接的加密消息。 最后，安全专家强调，MyloBot 并不是单独作案，可能是网络犯罪事件的一部分。之所以这样说，是因为对僵尸网络 C2 基础设施相关的某个 IP 地址进行反向 DNS 查找时，发现与名为“clients.bhproxys[.]com”的域名有联系。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358341.html 封面来源于网络，如有侵权请联系删除