分类: 数据收集

Symantec 发现新黑客组织 Harvester

一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件) Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。 自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。 Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样,但他们还没有足够的证据将这种活动归因于某个特定的国家。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌游戏商店恶意软件窃取 Facebook 凭证

上周三,Evina的一位法国网络安全专家Maxime Ingrao发现,在Play Store最热门的新免费应用程序中,有一些恶意软件窃取了Facebook凭证和其他一些数据。他公开了自己的发现,并在Twitter上上传了详细版本。 这名研究人员在安装一个应用程序时偶然发现了该恶意软件,当该应用程序引导用户连接Facebook以使用该应用程序时,他产生了怀疑。然后他看了一眼应用程序的代码,就在这时,他发现应用程序执行命令用于检索Facebook凭证。 他发现了两个使用相同代码的应用程序,认为它来自同一个新的恶意软件组织。这两个应用程序属于同一类别:摄影应用程序。 Ingrao说:“这些请求是用亚洲/新加坡的时间戳执行的,所以攻击很有可能是来源于那里。” 一些被恶意软件感染的应用程序下载量超过50万次,包括Pix Photo Motion Edit 2021和Magic Photo Lab – Photo Editor,后者的安装量超过5万次,现已从Play Store中删除。 Maxime发现,在不同国家的Play Store,“Pix Photo Motion Edit 2021”在新应用程序排名中都是第一名,甚至在墨西哥也是第一名。这使得它在两周内的下载量达到50万次。 恶意软件启动一个webview并运行javascript命令来检索用户输入的值。然后利用api图获取账户信息。 研究员称,恶意软件检索了用户在Facebook上的信息,包括已经创建了的页面(粉丝的数量、用户讨论情况、页面评级),还检索了已经创建的广告活动(活动的状态、所花费的金额),以及用户是否注册了信用卡。   他表示:“这些信息很可能被利用,欺诈者可以在用户页面上发布广告,并利用用户的信用卡进行广告活动。” Maxime证实,威胁行为者无法窃取信用卡信息,但可以用它来攻击受害者的账户。 Maxime采取了行动,他告诉The Digital Hacker,他已经通过谷歌的报告表格说明该恶意应用程序,但谷歌还没有回应,尽管其中一款应用在他报告之前就从Play Store下架。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SAS 2021: FinSpy 监视工具再次出现,比以往更强大

在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。 周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的FinSpy木马之前,用来下载和部署进一步的负载。”   多种规避技术   新样品采用了多层规避策略。首先,根据分析,受害者下载并执行木马程序后,他们会受到两个组件的审查。第一个是“预验证器”,它运行多个安全检查,以确保它不会感染安全研究人员的设备。 预验证器从命令和控制(C2)服务器下载大量的安全外壳代码并执行它们——总共33个。研究人员指出,每个shellcode收集特定的系统信息(例如当前进程名)并将其上传到服务器。如果任何检查失败,命令与控制(C2)服务器将终止感染过程。 如果所有安全检查都通过,服务器将提供第二个组件,称为“后验证器”。它收集信息,使其能够识别受害机器并验证特定的目标(它记录运行的进程、最近打开的文档和截图),并将其发送到其配置中指定的C2服务器。 卡巴斯基表示,C2服务器根据收集到的信息,决定是部署成熟的木马平台还是清除感染。 根据卡巴斯基的分析,如果FinSpy最终部署,它将被四个复杂的、定制的混淆器进行高度混淆。 研究人员解释说:“这种混淆的主要功能是减慢对间谍软件的分析速度。”   另一个规避策略是这样的,FinSpy的一个样本通过替换负责启动操作系统的Windows UEFI引导加载程序来感染机器。 该研究称:“这种感染方法允许攻击者安装bootkit,而无需绕过固件安全检查。”“UEFI感染非常罕见,通常很难执行,由于其强规避性和持久性,它们格外难以处理。虽然在这种情况下,攻击者没有感染UEFI固件本身,但在它接下来的系统启动阶段,攻击是特别隐蔽的,因为恶意模块安装在一个单独的分区,可以控制受感染机器的启动过程。” Kuznetsov说,攻击者做了大量工作,使安全研究人员无法访问FinSpy。他指出:“看起来就好像开发人员至少在混淆和反分析措施上投入了和制作木马本身一样多的工作。”“事实上,这种间谍软件部署得非常精确,几乎不可能分析,这也意味着它的受害者特别很难有效防御,研究人员面临着一个特殊的挑战——必须投入大量的资源来解开每一个样本。”   高度模块化的FinSpy   卡巴斯基还研究了最新样本的性能,看看是否有进化,发现FinSpy的架构仍然高度模块化,但比以往更难分析。这是因为一个名为“隐藏器”的组件对所有模块的加密。 Kuznetsov解释说:“它加密了属于整个基础架构的所有内存页面,包括协调器和所有插件,直到使用它们之前,所有内存页面都将保持加密。”“一旦需要执行代码或访问数据,那一个页面就会被解密。当不再需要它时,它就会被再次加密。” 他补充说,“这意味着,即使你制作一个受感染机器的实时内存图像,也很难在内存中找到木马,因为你能看到的唯一未加密的东西,只是这个隐藏程序的一小部分。” 根据分析,隐藏器还负责启动“协调器”,协调器是一个核心模块,将加载其余的功能和控制插件。Kuznetsov说,它或多或少与之前的样本相同,但它增加了一个名为“通信器”的新模块,这是一个硬编码的二进制文件,位于用于维护C2通信的协调器的资源部分。   另一个新模块是进程蠕虫。 “这不会在机器之间感染或传播。但是,它在机器内部传播,从整个架构启动的顶部进程(通常是explorer.exe或Winlogon.exe)开始,”Kuznetsov解释说。“它会在所有子进程中复制自己,所有受感染的子进程将与父进程保持通信。” 该蠕虫模块还将键盘、鼠标点击和各种API连接到FinSpy的各种插件,以实现数据收集目的。 “插件本身主要用来收集受害者的信息,”他说。“用于其他任务的插件并不多。” 有一些单独的插件可以窃取vpn证书、拨号证书、微软产品密钥信息、浏览器搜索和浏览历史、Wi-Fi连接信息、文件列表等等。也有一个通用的插件,任何通过IP (VoIP)软件的声音都可以录制下来。 “同样有趣的是,有一些数据取证工具可以找到已删除文件的信息,并存储已删除文件的历史。”Kuznetsov说,“还有一个非常独特的插件,利用了现代浏览器的除错功能。通过设置特定的环境变量,它们使浏览器将所有SSL加密密钥转储到磁盘上。通过这样做,攻击者可以解密来自受害者的所有SSL通信。” 所有的信息都可以实时收集,并可以向攻击者直播或预先录制。研究人员指出,在启动感兴趣的应用程序时,数据收集也可以被触发。 有一件事是明确的:FinSpy仍在不断开发中,它的开发者已经花费巨大的努力来规避分析。 Kuznetsov说:“我们和几位研究人员花了大约8个月的时间。”“在那段时间里,我们真的必须升级所有的工具。我们不得不从头开始发明和制造一些工具,还完成了一份300页的报告。结论是什么?我们认为这个与FinSpy的斗争还将持续很长一段时间。他们会一直更新和升级他们的设备。”   消息来源:ThreatPost,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲药品管理局就 COVID-19 疫苗数据泄露发出警告

欧洲药品管理局(EMA)警告称,与COVID-19相关的药品和疫苗的信息已于去年12月在一次网络攻击中被盗,并于本周早些时候在网上泄露,其中包含在发布前已被篡改的信函,“以破坏公众对疫苗的信任”。目前还不清楚这些信息–包括药物结构示意图和与COVID-19疫苗的评估过程有关的信件–究竟是如何被篡改的。 安全研究人员Lukasz Olejnik通过Twitter提出了对此次泄密事件的担忧,他表示,这些被篡改的数据将是 “播种不信任的最佳选择”,因为泄密信件中涉及的生物技术语言不会被广泛获取。同样,正确解析数据所需的高专业门槛似乎也有可能通过限制其病毒式的吸引力来限制被操纵版本的破坏程度。           (消息来源:cnBeta;封面源自网络)

NSO 被指仍无视用户隐私

据外媒TechCrunch报道,研究人员得出结论,间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司,以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候,该公司继续展开攻势推销其名为Fleming的联系人追踪系统,旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming,NSO表示,它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候,一位安全研究员告诉TechCrunch,他发现了一个暴露的数据库,其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞,该公司虽然对该数据库采取了保护措施,但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的,这跟以色列媒体的报道有所出入。以色列媒体报道称,NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示,她披露NSO告诉她,这些数据是从数据中间商那里获得的。据悉,这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况,TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果,他们得出的结论是,这些暴露的数据可能是基于真实的手机定位数据。研究人员指出,如果这些数据是真实的,那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本,通过寻找他们期望在真实的人的位置数据中看到的模式,比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现,跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置,此时就会产生类星星的模式。 研究人员指出:“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估,即这是真实数据。因此,数据集很可能不是‘虚拟的’也不是计算机生成的数据,而是反映了可能从电信运营商或第三方来源获得的实际个人的移动(数据)。” 研究人员绘制了地图、图表并通过可视化手段来解释他们的发现,同时他们还保留了那些将位置数据输入到NSO的Fleming演示中的个人的匿名性。 移动网络安全专家、网络情报公司Exigent Media创始人Gary Miller查看了一些数据集和图表并得出了这是真实手机位置数据的结论。 Miller表示,人口中心周围的数据点数量有所增加。“如果你在一个给定的时间点上做一个手机位置的散点图,郊区和城市的位置点数将会是一致的。”另外Miller还发现了人们一起旅行的证据,他指出这“看起来跟真实的手机数据一致”。此外,Miller还表示,即使是“匿名化”的位置数据集也可以用来透露一个人的很多信息,如他们在哪里生活和工作以及他们拜访过谁。 Citizen Lab高级研究员John Scott-Railton认为这些数据可能来自手机应用,这些应用混合使用了直接的GPS数据、附近Wi-Fi网络和手机内置的传感器以提高定位数据的质量。“但它从来都不是完美的。如果你看广告数据,它看起来很像这个。”Scott-Railton还表示,使用模拟数据进行接触追踪系统将会“适得其反”,因为NSO想要让Fleming掌握尽可能真实和有代表性的数据。”“整个情况表明,一家间谍软件公司再次无视敏感和潜在的个人信息。” 不过NSO否认了研究人员们的发现。“我们没有看到所谓的检查,必须质疑这些结论是如何得出的。尽管如此,我们仍坚持我们在2020年5月6日做出的回应。该演示材料并非基于跟COVID-19感染者有关的真实数据,”一位不愿透露姓名的发言人回应称,“正如我们上一份声明所述,演示所用的资料并不包括任何可辨识个人身分的资料。而且,如前所述,这个演示是基于模糊数据的模拟。Fleming系统是一套分析由终端用户提供的数据以在全球大流行期间帮助医疗保健决策者的工具。NSO不会为系统收集任何数据,也无权访问所收集的数据。” NSO没有回答TechCrunch提出的具体问题,包括数据从何而来以及如何获得。该公司在其网站上称,Fleming已经在世界各国运营,但当被问及其政府客户时,该公司拒绝证实或进行了否决。 这家以色列间谍软件制造商推动接触追踪被视为修复其形象的一种方式,眼下,该公司正在美国打一场官司,而该官司可能会揭露更多关于购买其PegASUS间谍软件的政府的信息。据悉,NSO卷入了一场跟Facebook旗下WhatsApp的诉讼,后者去年指责NSO利用WhatsApp的一个未披露的漏洞让约1400部手机感染了Pegasus,其中包括记者和人权捍卫者。NSO表示,它应获得法律豁免权,因为它是在代表各国政府行事。但微软、谷歌、思科和VMware本周提交了一份法庭之友陈述书以表示对WhatsApp的支持,另外它们还呼吁法庭驳回NSO的豁免权要求。           (消息及封面来源:cnBeta)

YouTube 在英面临 30 亿美元诉讼:被指非法收集儿童数据

据外媒报道,英国一项新的诉讼称,谷歌的YouTube在知情的情况下在追踪儿童的网络踪迹,这种行为违反了英国的隐私法。据悉,该诉讼代表了超500万名13岁以下的英国儿童及其父母,他们要求赔偿20亿英镑的损失。诉讼则由研究人员和隐私倡导者Duncan McCann向英国高等法院提出的。技术倡导组织Foxglove则对其提供了支持。 起诉书称,YouTube系统性地违反了英国《数据保护法》和欧盟的《GDPR》中有关未成年用户隐私的规定和数据规定,该平台非法收集了数百万名儿童的数据用于广告投放。 Foxglove写道:“我们认为这是非法的,因为YouTube处理了使用该服务的每个孩子的数据–包括13岁以下的孩子。他们从这些数据中获利,因为广告商向他们支付在YouTube网站上投放定向广告的费用。他们做这些都是没有得到孩子父母的明确同意。” 当地时间周一,YouTube的一位发言人拒绝对彭博社发表评论,但表示该视频分享平台不适用于13岁以下的用户。 然而这已经不是谷歌第一次受到跟隐私相关的诉讼了。今年6月,一项50亿美元的集体诉讼在加州法院提起,谷歌被控在用户隐身状态下跟踪用户的浏览器习惯。2019年10月,一桩价值10亿英镑的集体诉讼在英国上诉法院被重新提起。该投诉称,谷歌故意绕过Safari浏览器的安全设置来跟踪iPhone用户。     (稿源:cnBeta,封面源自网络。)

Hyperbeard 窃取儿童数据被美国联邦贸易委员会罚款

儿童向游戏开发者HyperBeard工作室由于非法窃取青少年用户数据信息,将向美国联邦贸易委员会(FTC)缴纳1.5万美元的和解费用。本次纠纷最初是FTC方面怀疑HyperBeard 违反“儿童线上隐私保护法案”并提起诉讼。FTC认为HyperBeard 工作室在没有获得家长统一的情况下,使用身份识别手段收集13岁以下儿童的信息。身份识别获得的数据则被用于定向广告。 FTC的消费者保护局分管负责人Andrew Smith表示:“如果你开发的app或者网站面向儿童,那就必须保证让家长知道,然后才能收集儿童的个人信息。具体做法包括允许其他人,比如广告商收集身份信息,比如广告ID或者cookie,从而进行行为广告。” HyperBeard工作室的CEO Alexander Kozachenko和经理Antonio Uribe都在诉状中被提及。他们被勒令销毁数据并缴纳400万美元罚款。 由于HyperBeard工作室没有能力缴纳400万美元的罚款,他们可以缴纳1.5万美元和解费用,暂停执行罚款。     (稿源:cnBeta,封面源自网络。)

皮尤:大部分美国人认为不收集个人数据是不可能的事情

据外媒报道,皮尤研究中心的一项新研究显示,对于许多美国人来说,数据收集现在可能已经被视为是其日常生活的一部分。据统计,超60%的美国成年人表示他们认为政府或公司不收集他们的数据是不可能的。 资料图 报告显示,81%的成年认为广泛收集数据的风险大于益处。不过大多数美国人表示,他们担心自己的数据可能会被公司和政府使用。而超80%的受访者表示,他们觉得对自己的数据缺乏控制。超一半的人则表示,他们对数据收集和使用知之甚少。 25%接受调查的成年人认为,他们几乎每天都在同意一项隐私政策。而在表示同意隐私政策之前他们当中阅读了相关内容的人的数量则更少。 对于许多公司来说,收集数据是为了帮助建立客户档案进而可以根据他们的习惯展示更好的销售行为。然而现在越来越多的入侵让大多数成年人感到自己已越来越控制自己的个人数据。   (稿源:cnbeta,封面源自网络。)