网络安全研究人员上个月在Google Play商店中发现了广告软件和窃取信息恶意软件，并且至少还有五个在谷歌商店里继续保持上架状态，而它们的下载量已经突破200万次。其中在感染广告软件之后用户设备会显示不必要的广告，这会降低用户体验、耗尽设备电量，甚至产生未经授权的费用。这种软件通常会伪装成设备上的其他应用来隐藏自己，并通过强迫受害者查看或点击附属广告来为远程操作者牟利。但窃取信息的恶意软件更加危险，它会窃取您经常访问的其他网站的登录凭据，包括您的社交媒体和网上银行账户。 Dr. Web antivirus的分析师说，广告软件应用程序和数据窃取木马是今年5月最突出的 Android 威胁之一。在设法渗入Google Play商店的众多威胁中，以下五个仍然可用： PIP Pic Camera Photo Editor – 100 万次下载，恶意软件伪装成图像编辑软件，会窃取用户的Facebook帐户凭据。 Wild & Exotic Animal Wallpaper – 50万次下载，一种广告软件木马，将其图标和名称替换为“SIM Tool Kit”，并将自身添加到省电例外列表中。 ZodiHoroscope – Fortune Finder – 50万次下载，恶意软件通过诱骗用户输入来窃取 Facebook 帐户凭据，据说可以禁用应用内广告。 PIP Camera 2022 – 5万次下载，相机效果应用程序也是Facebook 帐户劫持者。 放大镜手电筒– 1万次下载，提供视频和静态横幅广告的广告软件应用程序。 不过Bleeping Computer表示已与Google联系，告知他们上述应用程序，并表示会验证现有版本是否已被清理并重新提交，或者是否仍然像 Dr. Web 的报告中描述的那样危险。但是，从最近的用户评论来看，这些应用程序仍在展示恶意功能，并且没有兑现其功能承诺。 Dr. Web的防病毒团队5月份还在谷歌商店发现的其他应用程序，包括赛车游戏、已删除的图像恢复工具、针对俄罗斯用户的虚假国家补偿应用程序，以及Only Fans 平台的“免费访问”应用程序，不过这些应用程序目前已从谷歌商店中删除。 Cyble 的研究人员还在 Google Play 商店中发现了Hydra银行木马，最近观察到该木马针对的是欧洲的银行客户。该恶意软件伪装成PDF文档管理器，具有文本到PDF和QR码扫描功能，该恶意软件下载次数累积超过了1万次。Cyble说该恶意应用程序在今年6月9日之前一直在 Play Store上，目前谷歌已将其删除。但是，APKAIO.com和APKCombo.com 等第三方商店仍然可以使用相同的 PDF 应用程序。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336280.html 封面来源于网络，如有侵权请联系删除

近期，勒索软件团伙瞄准了一个远程代码执行 (RCE) 漏洞，该漏洞影响会Atlassian Confluence服务器和数据中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修复补丁的服务器。虽然该漏洞被暴露后Atlassian也及时做出响应，但因其概念验证漏洞也一并被泄露到了网上，这就导致很多黑客都可以利用该漏洞，目前多个僵尸网络和威胁参与者在野外积极利用它来部署加密恶意软件。 瑞士网络威胁情报公司Prodaft的研究人员发现AvosLocker勒索软件分支机构已经加入了这一行列。他们瞄准并入侵暴露在互联网上的未打补丁的Confluence服务器“以大规模系统地感染多个受害者。AvosLocker的命令和控制服务器的截图表明了威胁行为者已经对Confluence下手了。 在采访中，Prodaft 表示通过在各种网络上执行大规模扫描，AvosLocker 威胁参与者正搜索用于运行Atlassian Confluence系统的易受攻击的机器。且AvosLocker 已经成功感染了来自全球不同地区的多个企业，包括但不限于美国、欧洲和澳大利亚。 还被很多受害者表示，Cerber2021勒索软件(也称为CerberImposter)也在积极利用Confluence CVE-2022-26134漏洞。ID-Ransomware的创建者Michael Gillespie说，被识别为CerberImposter的提交文件包括加密的Confluence配置文件，这表明Confluence实例正在被加密。且CVE-2022-26134 POC漏洞的发布与Cerber勒索软件攻击成功次数的增加同时发生。 微软周五晚上还证实，他们已经看到Confluence服务器被利用来安装Cerber2021勒索软件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻击全球范围内的Confluence 服务器，该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。网络安全公司Volexity上周将CVE-2022-26134归为一个被积极利用的零日漏洞，CISA还命令联邦机构通过阻止其网络上Confluence服务器的所有互联网流量来缓解该漏洞。在漏洞信息发布一天后，Atlassian发布了安全更新并敦促其客户及时更新补丁以阻止持续的攻击发生。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/336011.html 封面来源于网络，如有侵权请联系删除

日前，有研究显示，臭名昭著的Emotet恶意软件正在积极部署一个新模块，意欲窃取存储在Google Chrome浏览器中的信用卡信息。 根据网络安全公司Proofpoint近日来的观察，这个专门针对Google Chrome浏览器的信用卡窃取程序拥有将收集到的信息转移到不同远程命令和控制 (C2) 服务器上的能力。 2021年1月，在多国联合执法行动的努力下，恶意软件Emotet的基础设施被关闭。此后的10个月，Emotet的活动显著减少，曾一度销声匿迹。然而，在2021年底，Emotet又卷土重来了，并持续高度活跃状态。 Emotet是一种先进的、能够自我传播的模块化木马，通常是通过电子邮件活动或其他有效负载，如勒索软件进行传播。对于Emotet，外界普遍认为其背后是一个名为TA542（又名Mummy Spider或Gold Crestwood）的黑客组织。 直到2022年4月，Emotet依然是最广为流行的恶意软件，在全球范围内，对6%的组织机构产生了影响，紧随其后的是恶意软件Formbook 和 Agent Tesla。根据软件技术公司Check Point的研究，这些恶意软件都是通过OneDrive URL和lnk附件中的PowerShell测试新的交付方法，从而绕过微软的宏限制。 作为大规模垃圾邮件攻击的一部分，针对各国组织机构的钓鱼邮件数量（这些钓鱼邮件通常会劫持现有通信）从2022年2月的3000封暴增到3月的约3万封，这一事实更进一步证实了Emotet恶意软件的相关威胁正在稳步增长。 知名安全软件公司ESET的研究人员表示，Emotet在2022年2月到4月期间发动的攻击活动“转向了更高的档位”， 2022年的前4个月的检测数量与上一个季度（2021年9月至12月）相比，增幅为11000%，足足增加了100倍有余。 这家斯洛伐克安全公司指出，自这个僵尸网络复活以来，日本、意大利和墨西哥一直是其经常攻击的目标。其中最大规模的一次发生2022年3月16日。 “Emotet最近利用lnk和XLL文件发动的攻击的规模明显小于3月在它通过受损的DOC文件发动的攻击”，高级检测工程师Dušan Lacika 表示道，“这表明攻击者在测试新的向量分布时仅仅运用了僵尸网络的一小部分潜力，而这可以取代现在默认禁用的VBA宏。” 此外，身份安全管理领导者CyberArk的研究人员也向我们展示了一种新技术，可以直接从chrome网络浏览器的内存中提取明文凭证。 “凭证数据以明文格式存储在Chrome的内存中”，CyberArk的研究人员Zeev Ben Porat这样说道，“除了登录特定web应用程序时输入的动态数据外，攻击者可以通过浏览器将存储在密码管理器中的所有密码加载到内存中。” 这其中也包括了与cookie相关的信息，例如会话cookie，攻击者很可能通过它来提取信息并劫持用户的账户，即便用户受到多重身份验证的保护。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335861.html 封面来源于网络，如有侵权请联系删除

近期，一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程，窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查，该恶意软件会将自身注入所有正在运行的进程，就像是一个系统里的寄生虫，即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF（柏克莱封包过滤器）挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。 BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁，他们在一份详细的技术报告中揭示了该新恶意软件的详细信息。据他们介绍，Symbiote 自去年以来一直被积极开发中。 与典型的可执行文件形式不同，Symbiote是一个共享对象(SO)库，它使用LD_PRELOAD指令加载到正在运行的进程中，以获得相对于其他SOs的优先级。通过第一个加载，Symbiote可以挂钩“libc”和“libpcap”函数，并执行各种操作来隐藏它的存在，比如隐藏寄生进程、隐藏部署了恶意软件的文件等等。 安全研究人员在近期发布的一份报告中透露： “当恶意软件将自己注入程序中时，它可以选择显示哪些结果。如果管理员在受感染的机器上启动数据包捕获，以调查一些可疑的网络流量，Symbiote就会把自己注入到检查软件的过程中，并使用BPF挂钩过滤掉可能暴露其活动的结果。”为了隐藏其在受损机器上的恶意网络活动，Symbiote会清除它想要隐藏的连接条目，通过BPF进行包过滤，并移除其域名列表中的UDP traffic。 这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书。在针对高价值网络中的Linux服务器时，这是一项至关重要的任务，因为窃取管理员帐户凭据为畅通无阻的横向移动和无限制地访问整个系统开辟了道路。Symbiote还通过PAM服务为其背后的威胁参与者提供对机器的远程SHH访问，同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法。该恶意软件的目标主要是拉丁美洲从事金融行业的实体，他们会冒充巴西银行、该国联邦警察等。研究人员表示由于恶意软件作为用户级 rootkit 运行，因此在检测是否感染时就很困难。 “网络遥测技术可以用来检测异常的DNS请求，安全工具，如AVs和edr应该静态链接，以确保它们不被用户的rootkits‘感染’，”专家表示，随着大型和有价值的公司网络广泛使用这种架构，这种用于攻击Linux系统的先进和高度规避的威胁预计将在未来显著增加。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335834.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站6月8日消息，一种被称为“FakeCrack”的恶意软件，正通过感染流行系统清理程序 CCleaner进行传播。 据Avast的分析师们发现，这款恶意软件是一个强大的信息窃取程序，可以收集个人数据和加密货币资产，并通过数据窃取代理路由互联网流量。他们报告称，每天从其客户遥测数据中检测到平均 10000 次感染尝试，这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。 攻击者遵循黑帽SEO技术，在谷歌搜索结果中将其恶意软件下载网站排名靠前，比如以破解版的CCleaner Professional 为例，以吸引更多受害者。一旦受害者点击这些”中毒“的搜索结果，会引导至一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上，例如 filesend.jp 或 mediafire.com。ZIP 使用“1234”之类的弱 PIN 进行密码保护，仅用于保护有效负载免受反病毒检测。存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”，其中包含了恶意软件的可执行文件，Avast已经观察到8种不同的可执行文件版本。 含有恶意软件的 CCleaner Pro搜索结果 恶意软件会企图窃取存储在网络浏览器中的信息，例如帐户密码、保存的信用卡和加密货币钱包凭证，并会监控剪贴板中复制的钱包地址，将其替换为受恶意软件控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址，包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。 恶意软件监控剪贴板 该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据，这种攻击对于受害者来说很难检测或意识到。 Avast在报告中指出，攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC)，通过在系统中设置这个 IP 地址，每次受害者访问任何列出的域时，流量都会被重定向到攻击者控制下的代理服务器。 由于该活动已经很普遍，并且感染率很高，因此尽量避免下载使用破解软件，即使下载站点在搜索引擎中的排名很高。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335665.html 封面来源于网络，如有侵权请联系删除

知名的勒索软件团伙LockBit 2.0当地时间6月6日声称它拥有来自谷歌子公司Mandiant的数据，该公司是威胁情报和事件响应领域的明星企业。 据多家新闻网站报道，LockBit团伙的数据泄露网站现在将Mandiant.com列为受害者之一，并附有“所有可用数据将被公布”的通知。该勒索软件组织当天早些时候在其数据泄露网站上发布了一个新页面，称他们据称从Mandiant 窃取的356,841个文件将在网上泄露。 该团伙的暗网泄密网站在计时器显示距离倒计时结束仅剩不到三个小时的时间。 由于泄漏页面上的文件列表为空，LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件。但是，该页面显示一个名为“mandiantyellowpress.com.7z”的 0 字节文件，该文件似乎与 mandiantyellowpress[.]com 域（6日当天注册）有关。访问此页面会重定向到 ninjaflex[.]com 站点。BleepingComputer 联系LockBit索赔的更多细节时，这家威胁情报公司表示尚未找到违规的证据。 Mandiant通过发表声明迅速回应了记者的置评请求：“Mandiant 知道这些与LockBit相关的声明。在这一点上，我们没有任何证据支持他们的说法。我们将继续关注事态的发展。”Mandiant 营销传播高级经理Mark Karayan向 BleepingComputer做了如上表态。 巧合的是，LockBit声明发布之际，全球最大的网络安全会议之一 RSA会议在旧金山开幕。 这也是在Mandiant表示有证据表明它命名为UNC2165的威胁组织已经不再使用Hades勒索软件而转而支持LockBit之后的四天。报告认为，这是因为美国已经制裁了名为Evil Corp的团伙。Mandiant说，UNC2165似乎是Evil Corp的附属机构，因此勒索软件压力的转变可能是试图将该团伙与受制裁实体拉开距离， Mandiant最初是一家独立公司，2013年12月被FireEye以10亿美元收购。2021年6月FireEye被 Symphony Technology Group以12亿美元收购后，谷歌以 54亿美元收购Mandiant，目标是将其整合到它的谷歌云部门。 Emsisoft的威胁分析师Brett Callow警告不要从表面上接受LockBit的说法。“LockBit过去曾做出虚假声明，我怀疑这是其中的另一个。事实上，对于 Mandiant最近的报道声称Evil Corp正在使用LockBit的附属计划试图逃避 [美国] 制裁，这很可能只不过是一个巨魔。LockBit将宣布的时间安排在RSAC的开始这一事实也可能表明它是一个旨在引起尴尬的巨魔。” 移动应用和网站安全提供商The Media Trust的首席执行官Chris Olson表示同意。“由于Mandiant声称‘我们没有任何证据’来支持LockBit的说法，这是一个发展中的故事，我们应该持保留态度。过去，LockBit在其网站上发布了名称， 只是在没有解释的情况下删除了它们 ——它还通过第三方供应商窃取了组织的数据，同时错误地声称直接破坏了受害者。在更多信息出现之前，Mandiant的故事可能会朝着这两个方向发展。 LockBit勒索软件团伙自 2019年9月以来一直作为勒索软件即服务 (RaaS) 活跃，并在勒索软件参与者被禁止在网络犯罪论坛上发帖后于2021年6月重新启动为LockBit 2.0 RaaS。“LockBit采用勒索软件即服务 (RaaS) 模型，这意味着无法直接识别可能发起此漏洞的行为者。自从Mandiant开始在全球网络战的前线行动以来，这对于 Mandiant所获得的敌人来说可能是一种有用的策略。2013年，它牵连中国参与者参与网络间谍活动——2020年，它帮助调查了应对SolarWinds黑客事件负责的俄罗斯组织。最近，它一直在追踪总部位于俄罗斯的网络犯罪组织“Evil Corp”，该组织已开始与LockBit合作以逃避美国的制裁。 “目前，我们不知道LockBit的说法是否属实。但如果是这样，它们可能会对网络安全研究公司产生严重影响，这些公司越来越多地成为全球网络参与者的目标。” 过去遭受LockBit 2.0变种攻击的勒索软件受害者包括保加利亚国家难民署、法国司法部和埃森哲。   转自 网空闲话，原文链接：https://mp.weixin.qq.com/s/dLZLVvQVAzCYNYFLV5zOow 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一个新的Windows Search零日漏洞，攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口，其中包含受感染系统上远程托管的恶意可执行文件。 由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索，因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索，但黑客可以强制操作系统在远程主机上执行文件共享查询。 不仅如此，威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中，犯罪者可以配置远程Windows共享托管恶意软件，伪装成补丁或安全更新，然后将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中。然而，让目标打开这样的链接对攻击者来说可能具有挑战性。尝试打开URL会在系统上触发警告，提醒用户某个站点正在尝试访问Windows资源管理器。 在这种情况下，用户需要通过单击附加按钮来确认他们的操作。然而，正如安全研究员 Matthew Hickey 所证明的那样，将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。要使漏洞利用，用户需要打开诱饵 Word 文档，然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新，诱骗用户在他们的系统上启动它。更糟糕的是，Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件，通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口，而无需打开文档。 安全研究人员建议对新发现的漏洞采取以下缓解措施： 1、以管理员身份运行命令提示符 2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/335311.html 封面来源于网络，如有侵权请联系删除

这项联合执法行动的参与者分别有澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士、荷兰和美国，今年5月，荷兰警方成功破坏了FluBot的基础设施，切断了1万名受害者与 FluBot的网络链接，并阻止超过 650 万条恶意短信发送给其他受害者。 2021 年 3 月，西班牙警方也曾逮捕了4名FluBot的关键成员，但并未对其构成致命打击，但这一次，欧洲刑警组织强调FluBot 基础设施已处于执法部门的控制之下，不可能死灰复燃。 由于目前尚未发布有关任何逮捕FluBot成员的公告，因此Bleeping Computer认为该行动的重点目前仍是对其基础设施进行打击。 FluBot是现存规模最大、增长最快的 Android 恶意软件之一，通过在受害者打开合法应用程序的界面上覆盖网络钓鱼页面来窃取银行和加密货币帐户凭证，并可访问和监控短信，因此可以即时获取双因素身份验证和 OTP 代码。此外，通过利用受感染设备的联系人列表向所有联系人发送短信，FluBot以极快的速度进行传播，受害者几乎遍布全球。 欧洲刑警组织建议，如果用户设备不幸中招，应立即执行恢复出厂设置，以擦除分区中可能托管恶意软件的所有数据。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335065.html 封面来源于网络，如有侵权请联系删除

近日网络安全专家发现了一个新型恶意网络病毒，通过在浏览器中添加恶意扩展程序让受害者点击在线广告，从而为不法分子带来收入。据网络安全商店 Red Canary 的安全专家分析，该病毒称之为 ChromeLoader，设备一旦感染就很难发现和删除。 在 Windows 平台上，该恶意病毒会使用 PowerShell 向受害者的 Chrome 浏览器添加恶意扩展；在 macOS 平台上，它使用 Bash 向 Safari 发起相同的攻击。Red Canary 的检测工程师 Aedan Russell 在博文中详细介绍了该恶意程序。 ChromeLoader 注入的恶意扩展程序一旦添加到受害者的浏览器中，就会通过在线广告重定向用户，从而为不法分子带来收入。 Russell 告诉 The Register，Windows ChromeLoader 使用 PowerShell 插入更多恶意 Chrome 扩展程序的情况并不常见。 Russell 表示： ChromeLoader 的开发人员已经找到了一种通过使用 Chrome 的合法开发人员命令行参数来收集广告收入的有效方法。 通过 PowerShell 加载 Web 浏览器扩展程序（并且默默地这样做）显示出高于标准的隐蔽性，因为其他恶意浏览器扩展程序通常是通过诱骗用户公开安装它们来引入的，通常伪装成合法的浏览器扩展程序。 ChromeLoader 通过以 ISO 文件的形式分发，该文件看起来像种子文件或破解的视频游戏，从而获得了对系统的初始访问权限。据 Red Canary 称，它通过按安装付费的网站和 Twitter 等社交媒体网络传播。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1275143.htm 封面来源于网络，如有侵权请联系删除

EnemyBot是一个基于多个恶意软件代码的僵尸网络，它通过迅速增加对最近披露的网络服务器、内容管理系统、物联网和Android设备的关键漏洞的利用来扩大其影响范围。该僵尸网络于3月由 Securonix 的研究人员首次发现，在4份对Fortinet的新样本进行分析时，发现EnemyBot已经集成了十几种处理器架构的漏洞。它的主要目的是发起分布式拒绝服务 (DDoS) 攻击，同时还具有扫描新目标设备并感染它们的模块。 AT&T Alien Labs的一份新报告指出，EnemyBot的最新变体包含24个漏洞利用。其中大多数都很关键，有几个甚至没有CVE编号，这使得防御者更难以实施保护。4月份的多数漏洞与路由器和物联网设备有关，其中 CVE-2022-27226 (iRZ) 和 CVE-2022-25075 (TOTOLINK) 是最新的漏洞，而Log4Shell是最引人注目的。然而，AT&T Alien Labs 分析的一个新变种包括针对以下安全问题的漏洞利用： CVE-2022-22954：影响VMware Workspace ONE Access和VMware Identity Manager的严重 (CVSS: 9.8) 远程代码执行漏洞。PoC漏洞利用于2022年4月提供。 CVE-2022-22947：Spring中的远程代码执行漏洞，在 2022年3月修复为零日漏洞，并在 2022 年4月成为大规模攻击目标。 CVE-2022-1388 ：影响F5 BIG-IP的严重 (CVSS: 9.8) 远程代码执行漏洞，通过设备接管威胁易受攻击的端点。第一个PoC于2022年5月在野外出现，并且几乎立即就开始被积极利用。 通过查看较新版本的恶意软件支持的命令列表，RSHELL脱颖而出，它被用于在受感染的系统上创建反向shell，这允许威胁参与者绕过防火墙限制并访问受感染的机器。而以前版本中看到的所有命令仍然存在，且提供了有关 DDoS 攻击的丰富选项列表。 EnemyBot背后的组织Keksec正在积极开发该恶意软件，并拥有其他恶意项目：Tsunami、Gafgyt、DarkHTTP、DarkIRC 和 Necro。这似乎是一位经验丰富的恶意软件作者，他对最新项目表现出特别的关注，一旦出现新的漏洞利用，通常会在系统管理员有机会应用修复之前添加。更糟糕的是，AT&T 报告称，可能与 Keksec 有密切关联的人已经发布了 EnemyBot 源代码，这就导致任何对手都可以使用它。 防范此类威胁的建议包括在更新可用时立即修补软件产品并监控网络流量，包括出站连接。目前，EnemyBot 的主要目的是 DDoS 攻击，但也需要考虑其他可能性（例如加密、访问），特别是因为恶意软件现在针对更强大的设备。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334705.html 封面来源于网络，如有侵权请联系删除