《孙子兵法》有云：“兵者，诡道也”。在 2500 年后的今天，这句格言也适用于虚拟/物理战场。在俄乌冲突中，来自 Google 的研究人员发现了一款由俄罗斯政府支持的恶意应用程序，它伪装成为亲乌克兰的应用进行传播。 在 Google Threat Analysis Group (TAG) 团队今天发布的博文中，详细地披露了这个俄罗斯政府支持的恶意应用程序。该应用叫做 Cyber Azov，伪装成乌克兰的极右翼军事部门 Azov Regiment 创建，但实际上是由俄罗斯政府支持的黑客组织 Turla 创建。 根据 TAG 的研究，这款应用通过 Turla 控制的域名即逆行分发，网站上提供了离线的 APK 安装文件，而不是托管在 Google Play Store 上。在 Cyber Azov 网站上描述，称该应用会对俄罗斯网站发起拒绝服务攻击，不过实际上经 TAG 分析该应用并无这方面的功能。 通过 VirusTotal 分析该 APK 文件，很多知名反恶意软件提供商都将其标记为含有木马的恶意应用。TAG 博文中表示目前安装该恶意应用的用户数量并不多。不过 The Verge 发现 Cyber Azov 的域名网站仍可访问，这意味着会有更多的 Android 用户中招。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294409.htm 封面来源于网络，如有侵权请联系删除

互联网为骗子和网络犯罪分子带来了非法赚钱的无限可能。通常方式包括勒索软件、商业电子邮件泄露、网络欺诈和网络钓鱼都是信息安全界众所周知的。然而，在一次例行的漏洞评估中，Dragos的研究人员发现了一种规模较小针对工业工程师和操作员的勒索技术。 各种社交媒体网站上的多个账户都在宣传可编程逻辑控制器（PLC）、人机界面（HMI）和项目文件密码破解软件。买家可以通过运行卖家提供的针对特定工业系统的可执行文件来找回被遗忘的密码。 这样的广告提出了一个问题：”谁会买这个？”任何信息安全专业人员都会提醒不要从不受信任的一方下载和运行软件。以下列情况为例：一位名叫特洛伊的工程师刚刚被提升为高级工程师，而他的老同事赫克托在一家电力公司工作了30年后退休了。特洛伊需要更新赫克托在Automation Direct的DirectLogic 06 PLC上写的一些梯形逻辑。在启动PLC编程软件DirectSOFT后，一个密码提示弹了出来。 特洛伊不知道密码，而赫克托几个月前离开了，现在在一艘没有服务的船上度假。特洛伊在网上寻找答案，看到一个PLC密码破解软件的广告，决定试一试。特洛伊有安全意识的同事卡桑德拉警告说，不要在他们的OT环境中引入这种不必要的风险。但特洛伊坚持认为这是一项时间紧迫的任务。他购买了该软件并在他的工程工作站上运行。 特洛伊成功地恢复了PLC的密码，但几分钟后，他发现工程工作站的系统出现了异常。Troy请Dragos对密码”破解”软件进行逆向工程，确定它根本没有破解密码，而是利用了固件中的一个漏洞，允许它按命令检索密码。此外，该软件是一个恶意软件投放器，用Sality恶意软件感染机器，将主机变成Sality点对点僵尸网络中的一员。 德拉戈斯的研究人员证实，嵌入在恶意软件投放器中的密码检索漏洞通过串行连接成功地恢复了Automation Direct的DirectLogic 06 PLC密码。从用户的角度来看，他们只需要从Windows机器连接到PLC，然后指定COM端口进行通信，并点击”READPASS”按钮。一两秒钟后，密码就会显示在用户面前。 以前针对DirectLogic PLC的研究已经产生了成功的破解技术。然而，Dragos发现，这个漏洞并没有像历史上流行的利用框架那样破解密码的加扰版本。相反，一个特定的字节序列被恶意软件投放者发送到一个COM端口。捕获利用程序发送的串行通信允许Dragos研究人员在恶意软件投放器之外重新创建它。 该恶意软件包含一个纯串行版本的漏洞，要求用户有一个从工程工作站（EWS）到PLC的直接串行连接。Dragos的研究人员能够成功地通过以太网重新创建该漏洞，大大增加了该漏洞的严重性。这个漏洞被指定为CVE-2022-2003，并被负责任地披露给Automation Direct。他们已经发布了一个固件更新来修复这个问题。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1293811.htm 封面来源于网络，如有侵权请联系删除

在总统拒绝支付终止网络攻击的费用后，尽管黑客组织已经垮台，但整个国家仍在苦苦挣扎。今年4月，一个名为Conti的俄罗斯勒索软件组织从哥斯达黎加的财政部入手，掀起了27个部门一系列相互关联的攻击。 Conti提出以2000万美元的价格归还这些数据。但哥斯达黎加政府拒绝支付赎金，新上任的总统罗德里戈查韦斯宣布全国进入紧急状态，对所谓的“叛徒”展开追捕，并依靠美国和西班牙等盟友来帮助它。 “我们正处于战争之中”查韦斯在就职后的几天里说。他指责前一届政府隐瞒了破坏的真实程度，并将其比作恐怖主义。 这场攻击导致哥斯达黎加在线税收瘫痪，公共医疗和一些公共部门工作人员的薪资中断。 与此同时，该黑客团体也成为因乌克兰战争而激化的地缘政治的受害者。在该黑团体宣布支持俄罗斯后，一名内部人士泄露了他们的工具包、内部聊天记录作为报复。 随着泄露而来的是Conti的消亡。到6月底，Conti嘲笑哥斯达黎加和其他受害者的网站被关闭，其暗网谈判网站也被关闭。 这使哥斯达黎加为恢复IT系统的努力更加复杂：即使同意支付赎金，也联系不到始作俑者了。 西班牙帮助哥斯达黎加部署了自己的勒索软件保护软件MicroClaudia，美国派出了团队协助，并由微软、IBM和思科公司捐赠软件和专业知识。 安全研究员ShmuelGihon说：“Conti在哥斯达黎加的袭击，在某种程度上是最后一次绝望的尝试，他们希望自己的行动能引起一点关注。” 据估计，Conti曾经有大约400名黑客，还有数量不详的关联机构租用了他们的工具包——这些人在2021年从至少600个目标那里获得了数亿美元的加密货币。 哥斯达黎加仍在努力应对4月黑客袭击的后果。与所有成功的勒索软件攻击一样，如果没有密钥，就没有办法解密自己的数据——大多数系统必须从头开始重建，这个过程可能需要数年时间。 有迹象表明，Conti正在以不同的形式重组，其中就包括一个名为BlackBasta的组织，该组织在短短几个月内就已袭击了50家机构。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1292921.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Google 应用商店上出现了一个新的安卓恶意软件，累计下载次数已经超过 300 万次，该恶意软件会秘密为用户订阅高级服务。 据悉，恶意软件名为“Autolycos”，由 Evina 的网络安全研究员 Maxime Ingrao 首次发现。研究表明，Autolycos 至少存在于八个 Android 应用程序中。 值得一提的是，在撰写本文时，其中两个应用程序仍可在 Google应用中找到（后续谷歌删除了）。仍然可用的两个应用程序分别是“Funny Camera”和“Razer Keyboard & Theme”，各自在 Google 应用商店中的安装量超过了 50万 次和 5 万次。 其余六个应用程序目前已经从 Google 应用商店中删除了，但依旧会对安装过这些应用程序的用户造成影响，以下是六款应用程序的名称及安装次数。 Vlog Star Video Editor（com.vlog.star.video.editor）-100万次下载 Creative 3D Launcher (app.launcher.creative3d) – 100万次下载 Wow Beauty Camera (com.wowbeauty.camera) – 10万次下载 Gif Emoji Keyboard (com.gif.emoji.keyboard) – 10万次下载 Freeglow Camera 1.0.0 (com.glow.camera.open) – 5000次下载 Coco Camera v1.1 (com.toomore.cool.camera) -1000 次下载 Bleeping Computer 从安全研究员 Ingrao 处获悉，他早在 2021 年 6 月就发现了这些应用程序中存在恶意软件，同一时间立刻向谷歌报告了其发现。 恶意软件事情后续的发展我们也能够看到，谷歌虽然承认收到了 Ingrao 的报告，但是大约花了半年时间才删除了 6 个恶意应用程序，另外两个至今仍在 Google 应用商店中（目前也已删除）。 Autolycos 的功能及推广 Autolycos 作为一种新型的恶意软件，能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为不显得引人注目，受感染设备的用户不会检测到。 大多情况下，感染恶意软件的应用程序会在设备上安装后，请求读取用户 SMS  内容的权限，从而允许应用程序访问受害者的 SMS 文本消息。 另外，为了向新用户推广这些应用程序，Autolycos 运营商在社交媒体上发布了许多广告活动。仅就 Razer Keyboard & Theme 而言，Ingrao 就在 Facebook 上发现了 74 次广告宣传。 最糟糕的是，虽然一些恶意应用程序在 Google 应用商店中存在一些负面评价，但是一些下载量较少的应用程序收到了大量僵尸评价，从而保持了良好的用户评价。 为了抵御恶意应用程序威胁，Android 用户应及时监控后台互联网数据和电池消耗，保持 Play Protect 处于激活状态，并尽量减少在其智能手机上安装应用程序的数量。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339133.html 封面来源于网络，如有侵权请联系删除

Lilith是一个由JAMESWT发现的基于C/C++控制台的勒索软件，是专门针对64位版本的Windows进行设计。像今天推出的大多数勒索软件一样，Lilith会执行双重勒索攻击，也就是攻击者在加密设备之前先窃取受害者的重要数据。 根据Cyble的研究人员对Lilith的分析报告，这个新的勒索软件并没有引入任何新意。然而Lilith以及最近出现的RedAlert和0mega，仍应该被视为新威胁，企业也应该提高对它们的关注度。 Lilith的细节 执行时，Lilith会试图终止与硬编码列表中的条目相匹配的进程，包括Outlook、SQL、Thunderbird、Steam、PowerPoint、WordPad、Firefox等。 这一过程会将有价值的文件从目前可能正在使用它们的应用程序中释放出来，从而使这些高价值文件能够被加密。 在加密过程启动之前，莉莉丝在所有列举的文件夹中创建并投下赎金票据。 该说明给受害者三天时间，让他们通过所提供的Tox聊天地址与勒索软件行为者联系，否则他们将受到公开数据暴露的威胁。 莉莉丝的勒索信 (Cyble) 被排除在加密之外的文件类型是EXE、DLL和SYS，同时程序文件、网络浏览器和回收站文件夹也不会被加密。 有趣的是，Lilith还包含一个 “ecdh_pub_k.bin “的排除项，它存储了BABUK勒索病毒感染的本地公钥。 包括BABUK密钥的排除列表（Cyble） 这可能是复制的代码的残留物，所以它可能是两个勒索软件菌株之间的一个迹象。 最后，加密是使用Windows加密API进行的，通过Windows的CryptGenRandom函数生成随机密钥。勒索软件在加密文件时会附加了”.lilith “文件扩展名。 要注意什么？ 虽然现在判断Lilith是否会发展成为一个大规模的威胁或一个成功的RaaS项目还为时过早，但分析家们仍然应该密切关注它的发展进程。 Lilith的第一个受害者是一个位于南美的大型建筑集团，这是一个表明Lilith可能对大型企业感兴趣的迹象。并且其背后的操作者已经意识到他们需要穿越政治迷宫以避免成为执法部门的目标。毕竟，这些新颖的勒索软件项目大多是旧程序的重塑，因此它们的操作者通常非常了解这个领域的复杂性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339124.html 封面来源于网络，如有侵权请联系删除

PFC（Professional Finance Company,Inc.）是一家总部位于美国科罗拉多州的债务催收公司，和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日，官方发布新闻稿承认过去数月持续遭到勒索软件，最早可以追溯到今年 2 月。 PFC 虽然在美国的知名度并不高，但它服务于数百家美国医院和医疗机构，因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。 PFC 表示本次数据泄漏将影响 650 家医疗提供商，黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。 在提交给美国卫生与公众服务部的文件中，PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露，位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏，在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。 包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop，但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问，但是回答都是公文化的，并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现，为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商，以及被窃取的数据是否经过加密。 转自 cnbeta，原文链接：https://www.cnbeta.com/articles/tech/1292183.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Qakbot恶意软件背后的黑客正在改变他们的传输载体，试图避开检测。 Zscaler Threatlabz的研究人员Tarun Dewan和Aditya Sharma说：“最近，黑客改变了他们的技术，通过使用ZIP文件扩展名、常见格式的文件名和Excel (XLM) 4.0欺骗受害者下载安装Qakbot的恶意附件来逃避检测。” 该组织采用的其他方法包括代码混淆、在攻击链中引入从初始泄露到执行的新层，以及使用多个URL和未知文件扩展名（例如 .OCX, .ooccxx, .dat, 或.gyp）来交付有效负载。 Qakbot也被称为QBot，QuackBot或Pinkslipbot，自2007年底以来一直是反复出现的威胁，从最初的银行木马发展到能够部署勒索软件等下一阶段有效载荷的模块化信息窃取者。 这款恶意软件从2022年初的XLM宏转向5月份的.LNK文件，这被视为试图反击Microsoft在2022年4月默认阻止Office宏的计划，该公司后来暂时收回了这一决定。 此外，进一步的修改还包括使用PowerShell下载DLL恶意软件，以及从regsvr32.exe切换到rundlll32.exe来加载有效载荷，研究人员称这是“Qakbot进化以逃避更新的安全实践和防御的明显迹象”。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 法国虚拟移动电话运营商La Poste mobile受到勒索软件攻击，影响了行政和管理服务。 该公司指出，黑客可能已经访问了其客户数据，因此建议他们保持警惕。并且该公司强调了身份盗用或网络钓鱼攻击的风险，以防数据泄露。 “La Poste Mobile的行政和管理服务于7月4日（星期一）成为恶意勒索软件型病毒的受害者。我们一知悉此事件，便立即采取了必要的保护措施，暂停了相关的计算机系统。这一保护行动使得我们暂时关闭了网站和客户区，”该公司在其网站上发表的一份声明中写道，并且该网站目前仍处于关闭状态。“我们的IT团队目前正在诊断这一情况。初步分析表明，我们的服务器对您的移动电话线路的运行至关重要，目前已经得到了很好的保护。另一方面，La Poste mobile员工电脑中的文件可能受到了影响。其中一些文件可能包含个人数据。” 从周四到周五，Lockbit勒索软件在其泄露网站上添加了La Poste Mobile的名字。 该团伙自2019年以来一直很活跃，如今是最活跃的勒索团伙之一。最近，Lockbit勒索软件发布了LockBit 3.0，其中有一些重要的新功能，例如漏洞奖励计划、Zcash支付和新的勒索策略。 最近归咎于该组织的事件包括对富士康工厂，加拿大战斗机训练公司和热门德国图书馆服务的攻击事件。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

一种新的勒索软件正以谷歌更新的形式出现在网络上，有证据证明，其在利用Windows系统的功能进行勒索攻击。 趋势科技（ Trend Micro ）的研究人员称他们发现了最新的威胁，被称为 “HavanaCrypt”，这是一个赎金软件包，该恶意软件使用开源的.NET混淆器Obfuscar编写，并将自身伪装成谷歌软件更新，诱使用户点击。 当HavanaCrypt开始执行进程时，该勒索软件会通过使用系统中的ShowWindow函数隐藏其窗口，给它一个0的参数。该勒索软件还有多种反虚拟化技术，帮助它在虚拟机中执行时避免动态分析，一旦发现系统在虚拟机环境中运行，该软件将会自动终止进程。 趋势科技的研究人员在分析中写道：“该勒索软件的作者极有可能计划通过Tor浏览器进行通信，因为Tor的是它避免加密文件的目录之一。同时HavanaCrypt还加密了文本文件foo.txt，并且不会丢弃赎金条。这可能是一个表明HavanaCrypt仍处于开发阶段的迹象。” HavanaCrypt正在为日益增长的勒索软件攻击提供支持。据收集和识别威胁的网络安全供应商智能保护网络称，趋势科技在第一季度检测并阻止了超过440万个通过电子邮件、URL和文件层出现的勒索软件威胁，季度环比增长了37%，这其中包括从2017年就已经存在的分发Magniber勒索软件的假Windows更新以及使用假微软Edge和谷歌浏览器更新来推送Magnitude漏洞的攻击。 趋势科技在针对HavanaCrypt的分析中指出，勒索软件的普遍性植根于它的进化性，它采用不断变化的战术和计划来欺骗不知情的受害者，并成功地渗透到环境中，今年有报告称，勒索软件会伪装成虚假的Windows 10、谷歌浏览器和微软Exchange更新分发，以欺骗潜在的受害者下载恶意文件。 过去几年勒索软件即服务（RaaS）模式的兴起，代码开发人员将勒索软件租赁给其他网络犯罪分子，用于他们的攻击活动以削减已支付的赎金，同时攻击者会采用双重勒索，不仅加密文件，还窃取文件，并以此为威胁称如果不支付赎金，将公开泄露数据并损害受害者的声誉。 Malwarebytes Lab分析师在今年早些时候的一篇关于大规模攻击概述的博客文章中写道：“及时更新应用软件可以说是您保持网络安全所能做的最有用的事情，像我们这样的供应商、专家和分析师永远不会让用户忘记这件事。”诚然及时更新是一个非常好的习惯，但近来的网络犯罪分子喜欢利用这一点，使用虚假的软件更新来欺骗用户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/338910.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁，称为OrBit，这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。 根据网络安全公司Intezer的说法，该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。 “它既可以安装持久性功能，也可以作为挥发性植入物，”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术，并通过hook关键功能在机器上获得持久性，通过SSH为黑客提供远程访问能力，获取凭据并记录TTY命令。” 该恶意软件的功能与Symbiote非常相似，因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同，OrBit采用两种不同的方法。 “第一种方法是将共享对象添加到加载程序使用的配置文件中，”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象。” 攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始，并将其添加到动态链接器加载的共享库中。 流氓共享库被设计为 hook三个库（libc，libcap和Pugable Authentication Module（PAM））中的函数，导致现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动，并通过SSH设置对主机的远程访问，同时一直保持在雷达之下。 此外，OrBit依赖于一连串的方法，使其能够在不通知其存在的情况下运行，并以一种难以从受感染的计算机中删除的方式建立持久性。 一旦启动，这个后门程序的最终目标是通过hook读写函数来窃取信息，从而捕获机器上执行的进程正在写入的数据，包括bash和sh命令，这些命令的结果存储在特定的文件中。 针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下，现在OrBit是新恶意软件如何规避和持久化的又一个例子。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文