Bleeping Computer 网站披露，一个新的恶意软件包利用受害者YouTube频道宣传流行游戏的破解方法，这些上传的视频中包含了下载破解和作弊器的链接，但是受害者安装的却是能够自我传播的恶意软件包。 据悉，恶意软件捆绑包已经在YouTube视频中广泛传播，其针对的主要目标是一些玩 FIFA、Forza Horizon、乐高星球大战和蜘蛛侠等游戏的粉丝。 恶意软件RedLine 卡巴斯基在一份报告中指出，研究人员发现一个 RAR 档案中包含了一系列恶意软件，其中最引人注目的是 RedLine，这是目前最大规模传播的信息窃取者之一。 RedLine 可以窃取存储在受害者网络浏览器中的信息，例如 cookie、账户密码和信用卡，还可以访问即时通讯工具的对话，并破坏加密货币钱包。 除此之外，RAR 档案中还包括一个矿工，利用受害者的显卡为攻击者挖掘加密货币。 由于捆绑文件中合法的 Nirsoft NirCmd 工具 nir.exe，当启动时，所有的可执行文件都会被隐藏，不会在界面上生成窗口或任何任务栏图标，所以受害者很难发现这些情况。 YouTube上自我传播的RedLine 值得一提的是，卡巴斯基在存档中发现了一种“不寻常且有趣”的自我传播机制，该机制允许恶意软件自我传播给互联网上的其他受害者。 具体来说，RAR包含运行三个恶意可执行文件的批处理文件，即 “MakiseKurisu.exe”、“download.exe ”和 “upload.exe”，它们可以执行捆绑的自我传播。 RAR中包含的文件（卡巴斯基） 第一个是 MakiseKurisu，是广泛使用 C# 密码窃取程序的修改版本，仅用于从浏览器中提取 cookie 并将其存储在本地。 第二个可执行文件“download.exe”用于从 YouTube 下载视频，这些视频是宣传恶意包视频的副本。这些视频是从 GitHub 存储库获取的链接下载的，以避免指向已从 YouTube 报告和删除的视频 URL。 宣传恶意软件包的YouTube视频（卡巴斯基） 第三个是“upload.exe ”，用于将恶意软件推广视频上传到 YouTube。使用盗取的 cookies 登录到受害者 YouTube 账户，并通过他们的频道传播捆绑的恶意软件。   上传恶意视频的代码（卡巴斯基） 卡巴斯基在报告中解释，[upload.exe]使用了 Puppeteer Node 库，提供了一个高级别 API，用于使用 DevTools 协议管理 Chrome 和 Microsoft Edge。当视频成功上传到 YouTube 时，upload.exe 会向 Discord 发送一条信息，并附上上传视频的链接。 生成Discord通知（卡巴斯基） 如果YouTube频道所有者日常不是很活跃，他们不太可能意识到自己已经在 YouTube 上推广了恶意软件，这种传播方式使 YouTube 上的审查和取缔更加困难。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/344691.html 封面来源于网络，如有侵权请联系删除

新兴跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制（C2）基础设施，这一发展暗示着该组织的运营节奏正在提速。 使用Go编程语言编写的BianLian勒索软件于2022年7月中旬首次被发现，截至9月1日已声称有15个受害组织。 值得注意的是，这一新兴的双重勒索勒索软件家族与同名的Android银行木马没有联系，后者主要针对移动银行和加密货币应用程序窃取敏感信息。 安全研究人员Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介绍称， “该勒索软件对受害者网络的初始访问是通过成功利用ProxyShell Microsoft Exchange Server漏洞实现的，利用它来删除web shell或ngrok有效负载以进行后续活动。BianLian还将SonicWall VPN设备作为攻击目标，这是勒索软件组织的另一个常见目标。” 与另一个名为“Agenda”的新Golang恶意软件不同，BianLian攻击者从初始访问到实施加密的停留时间最长可达6周，这一持续时间远高于2021年报告的15天入侵者停留时间的中值。 除了利用离地攻击（living-off-the-land，LotL）技术进行网络分析和横向移动外，该组织还部署定制植入物作为维持对网络的持久访问的替代手段。 据研究人员介绍，后门的主要目标是从远程服务器检索任意有效负载，将其加载到内存中，然后执行它们。 BianLian与Agenda类似，能够在Windows安全模式下启动服务器以执行其对文件加密恶意软件，同时不被系统上安装的安全解决方案检测到。 为消除安全障碍而采取的其他步骤包括删除卷影副本、清除备份以及通过Windows远程管理（WinRM）和PowerShell脚本运行其Golang加密器模块。 据报道，已知最早的与BianLian相关的C2服务器于2021年12月出现在网络上。但此后，该C2基础设施经历了“令人不安的扩张”，现已超过30个活跃IP地址。 网络安全公司Cyble在本月早些时候详细介绍了该勒索软件的作案手法，据Cyble称，该勒索软件的目标组织跨越多个行业，如媒体、银行、能源、制造、教育、医疗保健和专业服务等。而且大多数组织位于北美、英国和澳大利亚。 BianLian是网络犯罪分子继续使用跳跃战术（hopping tactics）以避免被发现的又一迹象。它还增加了使用Go作为基础语言的越来越多的威胁，使攻击者能够在单个代码库中进行快速更改，然后可以针对多个平台进行编译。 研究人员补充道，BianLian已经证明自身擅长使用离地攻击（LOtL）方法来横向移动，并根据他们在网络中遇到的防御能力来调整操作。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343832.html 封面来源于网络，如有侵权请联系删除

据Security affairs 9月7日消息，AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega，它以端点和物联网设备为目标实施多阶段感染，以达到能够完全控制系统并执行其他恶意活动，包括加密货币挖掘。 Shikitega操作流程 该恶意软件的主要释放器是一个非常小的 ELF 文件，其总大小仅为 370 字节左右，而其实际代码大小约为 300 字节。专家报告称，Shikitega 能够从 C2 服务器下载下一阶段的有效载荷并直接在内存中执行。通过利用 Metasploit 中最流行的编码器Shikata Ga Nai ，恶意软件会运行多个解码循环，每一个循环解码下一层，直到最终的 shellcode 有效负载被解码并执行。 Shikitega 利用 CVE-2021-4034（又名 PwnKit）和 CVE-2021-3493漏洞来提升权限，并在 root 权限执行的最后阶段保持持久性。 由于Shikitega使用多态编码器来逐步实现有效负载，其中每个步骤仅显示总有效负载的一部分。这一“低调”操作让Shikitega避免被反病毒引擎检测到。 除了Shikitega，近来在野外发现的 Linux 恶意软件正越发多样，包括BPFDoor、Symbiote、Syslogk、OrBit和 Lightning Framework等。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344056.html 封面来源于网络，如有侵权请联系删除

洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击，导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务，并雇用了超过 26000 名教师。 本周一，该学区承认在上周末遭到网络攻击，随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”，不过该学区表示正着手恢复受影响的服务。LAUSD 表示，预计技术问题不会影响交通、食品或课后活动，但指出“业务运营可能会延迟或修改”。 该学区警告说，持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实，教师和学生可能无法访问 Google Drive 和 Schoology，这是一个 K- 12 学习管理系统，直至另行通知。 LAUSD 表示，根据对关键业务系统的初步分析，“员工医疗保健和工资单没有受到影响，网络事件也没有影响学校的安全和应急机制”。然而，目前尚不清楚攻击期间是否有任何数据被盗，LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件，旨在进一步勒索受害者，威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313305.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： QNAP发布了一项新的公告，建议其网络连接存储（NAS）设备的用户升级到最新版本的Photo Station。此前，又一轮DeadBolt勒索软件攻击在野外肆虐，利用了软件中的零日漏洞。 这家台湾公司表示，它在9月3日检测到了这些攻击，并表示该活动似乎针对运行Photo Station且暴露在互联网上的QNAP NAS设备。 该问题已在以下版本中得到解决： QTS 5.0.1：Photo Station 6.1.2及更高版本 QTS 5.0.0/4.5.x：Photo Station 6.0.22及更高版本 QTS 4.3.6：Photo Station 5.7.18及更高版本 QTS 4.3.3：Photo Station 5.4.15及更高版本 QTS 4.2.6：Photo Station 5.2.14及更高版本 目前该漏洞的细节尚不清楚，该公司建议用户禁用路由器上的端口转发，防止NAS设备在互联网上访问，升级NAS固件，为用户帐户应用强密码，并定期备份以防止数据丢失。 自2022年1月以来，这是针对QNAP设备第四轮DeadBolt攻击的最新进展，随后在5月和6月发生了类似的入侵。 该公司表示：“QNAP NAS不应该直接连接到互联网。我们建议用户使用QNAP提供的myQNAPcloud Link功能，或启用VPN服务。这样可以有效加固NAS，降低被攻击的几率。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国驻黑山大使馆警告居留当地的美国人，该国正在进行的勒索软件攻击可能会对该国关键的公共服务和政府服务造成广泛的破坏。黑山国家安全局（ANB）上周首次证实了这一勒索软件攻击，其目标是政府系统和其他关键的基础设施和公用事业，包括电力、水系统和交通系统。在撰写本报告时，黑山政府的官方网站无法使用，由于攻击，甚至数个发电厂都已经转为手动操作。 然而，黑山的官员声称没有数据被盗，并声称没有设施因为这次攻击而造成永久性损害。ANB宣称，该国正处于”混合战争”之下，并将这次攻击归咎于俄罗斯协调的对抗行为。自黑山于2017年加入北约以来，两国的关系一直很紧张，之后俄罗斯威胁要采取报复行动。 此后，美国驻黑山大使馆发布了安全警报，表示黑山政府正面临着一场”持续不断的”网络攻击。”大使馆警告说：”攻击可能包括对公共事业、交通（包括边境口岸和机场）和电信部门的干扰。建议居住在巴尔干国家的公民限制旅行，审查个人安全计划，并注意周围的环境”。 根据恶意软件研究小组VX-Underground的说法，Cuba勒索软件集团声称对这次攻击负责。在其暗网泄露网站上，Cuba勒索软件集团声称它在8月19日从黑山议会获得了”财务文件、与银行雇员的通信、账户变动、资产负债表、税务文件、赔偿金[和]源代码”。 黑山自8月20日以来总理职位一直空缺，当时该国议会投票通过了对执政政府的不信任案，从而导致政府倒台。 网络安全公司Profero此前将Cuba勒索软件集团与讲俄语的黑客联系起来，研究人员在该集团与受害者谈判时观察到了这一点。但Profero表示，它相信该组织”不是国家支持的”。 这个勒索软件团伙自2019年以来一直存在，去年联邦调查局发布了一份警报，警告各组织，网络犯罪分子一直以关键基础设施为目标。联邦调查局表示，它已经观察到大约50个目标实体，黑客向受害者索要了数千万美元。 对黑山的攻击发生在与俄罗斯有联系的Conti勒索软件集团在4月开始的长达数周的攻击中攻击哥斯达黎加政府后仅几个月。在其暗网泄密博客上发布的一条信息中，Conti敦促哥斯达黎加公民向他们的政府施压以支付赎金，该组织后来将赎金翻倍至2000万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310931.htm 封面来源于网络，如有侵权请联系删除

尽管 Google Translate 从未推出过桌面端版本，但是用户搜索就可能会在结果页面看到一些免费软件网站提供下载。伪装成 Google Translate 和其他 Google 服务的应用程序往往在很大程度上存在恶意，其中最广泛的是用于加密挖矿。 本周，IT 安全组织 Checkpoint Research (CRP) 发布了一份报告，称其发现了隐藏在看起来合法的应用程序（包括Google翻译）背后的加密挖掘恶意软件活动。这些程序在执行其广告功能的同时下载恶意软件以获得用户的信任。 研究人员在 Softpedia 和 Uptodown 等流行的软件下载网站上发现了来自土耳其开发商 Nitrokod 的恶意软件，这表明它是安全的。欺诈程序包括桌面版本的Google翻译、Yandex 翻译、微软翻译、YouTube Music、mp3 下载器和自动关闭应用程序。 下载任何这些程序的用户应尽快卸载它们，并改用官方的基于 Web 或移动版本的版本。这些服务都没有合法的桌面应用程序，这使得 Nitrokod 的版本似乎是唯一在搜索结果中排名靠前的版本。 Nitrokod 将恶意软件设计为在安装后看起来是合法的。例如，该组织的Google翻译应用程序的外观和工作方式与官方网页相似。那是因为 Nitrokod 通过 Chromium Embedded Framework 转换 Google 的页面来构建它。此外，这些应用程序不会立即开始出现可疑行为。相反，他们会等到用户在四天内至少重置系统四次，这可能需要数周时间，具体取决于用户。 Checkpoint 表示这有助于他们避免沙箱检测。 之后，恶意软件会删除其安装痕迹，使用户更难确定可疑活动的来源。 Nitrokod 的软件还会检查是否存在安全软件。如果它检测到它在虚拟机上运行的迹象，它也不会启动挖掘程序——这是对恶意软件的一种预防措施。在所有这些步骤之后，恶意软件开始使用受害者的计算机来挖掘加密货币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1311041.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在2022年3月至6月期间，多达三个不同但相关的活动被发现将各种恶意软件（包括 ModernLoader、RedLine Stealer和加密货币矿工）发送到受感染系统上。 Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说：“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播，最终丢弃其他恶意软件，例如SystemBC特洛伊木马和DCRat，以实现其操作的各个阶段。” 该恶意植入程序名为ModernLoader，旨在为攻击者提供对受害者计算机的远程控制，从而使攻击者能够部署额外的恶意软件、窃取敏感信息，甚至使计算机陷入僵尸网络。 Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客，理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。 这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序（WordPress和CPanel），通过假冒亚马逊礼品卡的文件传播恶意软件。 第一阶段有效负载是一个HTML应用程序（HTA）文件，它运行托管在命令和控制（C2）服务器上的PowerShell脚本，以启动临时有效负载的部署，最终使用称为进程空心化的技术注入恶意软件。 ModernLoader（又名Avatar bot）被描述为一种简单的.NET远程访问木马，它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能，允许攻击者实时更改模块时间。 Cisco的调查还发现了2022年3月的两个早期活动，其作案手法相似，利用ModerLoader作为主要的恶意软件C2通信，并提供其他恶意软件，包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。 Svajcer说：“这些活动描绘了一个尝试不同技术的黑客，使用现成的工具表明，攻击者了解成功的恶意软件活动所需的TTP，但他们的技术技能还不足以完全开发自己的工具。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月30日消息，威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。 该恶意软件由 Golang 编写，Golang 因其跨平台的特性（Windows、Linux、Mac）以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中，攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。 感染链 感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件，该文档会下载模板文件，其中包含一个经过混淆的 VBS 宏，如果在 Office 套件中启用了宏，该宏会自动执行。之后，该代码从一个远程资源（“xmlschemeformat[.]com”）下载 JPG 图片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”）并启动。 以图像查看器（左）和文本编辑器（右）打开图片文件 在图像查看器中，这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片，若使用文本编辑器打开，则会显示伪装成内含证书的额外内容，其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆，而二进制文件使用XOR来隐藏Golang程序集，以防止分析人员发现。除此之外，这些程序集还使用了案例修改来避免安全工具基于签名的检测。 根据动态恶意软件分析推断出的情况，该可执行程序通过复制到’%localappdata%%microsoft\vault\’并添加一个新的注册表键来实现持久性，之后便与命令和控制（C2）服务器建立了DNS连接，并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。 在测试过程中，Securonix观察到攻击者在其测试系统上运行任意的枚举命令，这是一个标准侦察步骤的第一步。研究人员指出，用于该活动的域名注册时间较新，最早的注册时间是 2022 年 5 月 29 日。 Securonix 提供了一组危害指标 (IoC)，其中包括基于网络和主机的指标。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343382.html 封面来源于网络，如有侵权请联系删除

据火绒安全实验室发布的消息，火绒监测到某勒索软件突然爆发，后门模块位于用友畅捷通 T+ 软件目录里。病毒爆发时间与用友畅捷通 T+ 软件升级模块时间很近，火绒安全实验室怀疑此安全问题可能是供应链攻击。 即黑客可能使用某些方式劫持用友畅捷通 T+ 升级模块，导致用户尝试更新升级将后门模块下载到本地执行。 目前用友并未就该问题发布声明 , 因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。 企业用户应提高警惕： 使用用友畅捷通的主要都是企业，而且存储的可能都是财务之类的重要信息，中毒后被加密可能会有大麻烦。 火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块，然后通过后门模块执行代码。 之后通过后门模块在内存中加载并执行勒索病毒，当文件被加密后黑客在勒索信里要求企业支付 0.2 比特币。 该病毒被命名为FakeTplus，也就是根据用友畅捷通T+来命名的，目前火绒安全软件已经可以成功查杀病毒。 使用畅捷通的企业可以在升级前安装火绒杀毒，这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。 疑似有企业支付赎金： 蓝点网查询火绒提供的勒索信，发现里面黑客留的地址已经开始有交易记录，交易记录时间与病毒投放吻合。 该地址有4次交易记录，有1次是笔0.2 BTC 转账，这意味着已经有受害企业向黑客支付赎金以换取解密密钥。 考虑到黑客可能会给每个受害者留不同的地址因此更难以追查，也无法判断黑客到目前已经收到多少比特币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310351.htm 封面来源于网络，如有侵权请联系删除