网络安全厂商Elastic Security最近观察到一个新的攻击入侵活动，目标直指讲中文的地区，跟踪命名为REF3864。这些有组织的活动通过伪装成合法软件，如网络浏览器或社交媒体信息服务，来瞄准受害者。背后的攻击组织在跨多个平台（包括Linux、Windows和Android）传播恶意软件方面表现出了一定的多样性。在调查分析过程中，研究人员发现了一个独特的Windows感染链，并命名了一个自定义加载器为SADBRIDGE。该加载器部署了一个基于Golang重新编码的QUASAR恶意软件，称之为GOSAR。这也是研究人员首次观察到QUASAR被用Golang编程语言重写。 假Telegram登陆页面 关键发现： 研究人员发现的这次正在进行的攻击活动，目标是讲中文语言的使用者，恶意安装程序伪装成Telegram和Opera网络浏览器等合法软件。 攻击感染链采用注入和DLL侧加载技术，使用自定义加载器（SADBRIDGE）。 攻击者通过SADBRIDGE部署了一种新发现的、用Golang编写的QUASAR后门变种（GOSAR）。 GOSAR是一个正在积极开发中的多功能后门程序，其功能还不完整，但是随着时间的推移观察到了功能改进的迭代版本。 REF3864攻击活动： 在2023年11月，研究人员在对上传到VirusTotal的几个不同样本进行深度分析时，观察到了一个独特的攻击感染链。这些不同的样本被托管在伪装成Telegram或Opera GX浏览器等合法软件的登录页面上。 在调查分析过程中，研究人员还发现了多个涉及类似技术的感染链： 木马化的MSI安装程序，检测率低。 使用合法软件伪装，捆绑恶意DLL。 部署自定义SADBRIDGE加载器。 最终阶段GOSAR加载。 导致 GOSAR 感染的 SADBRIDGE 执行链 研究人员认为，这些攻击活动之所以能够避开安全检测，是因为它们采用了多层次的抽象技术。攻击过程开始于受害者被诱导打开一个包含MSI安装程序的ZIP文件，该文件实际上是一个恶意存档。随后，攻击者利用合法的Windows调试应用程序在后台加载一个被恶意修改的DLL文件。这个DLL文件接着启动一个新的合法程序，并在其中侧加载另一个恶意DLL，最终通过一系列注入技术将GOSAR后门程序植入到受害者的内存中。攻击者还精心伪装其C2基础设施，使其看起来像是可信的服务或软件，以符合受害者对软件安装程序的预期，从而降低被发现的风险。另外，攻击者特别关注列举国内的反病毒检测产品，如360tray.exe，以及中文的防火墙规则名称和描述，这表明攻击目标是中文用户群体。 自2017年以来，QUASAR恶意软件已被用于多次网络攻击活动，GOSAR作为QUASAR的扩展，增加了额外的信息收集功能、多操作系统支持，并改进了对国内反病毒产品和恶意软件分类器的规避能力。然而，由于缺乏具体的诱饵网站和针对目标的行动信息，目前尚无法确定攻击者的确切动机。 攻击过程技术分析： SADBRIDGE恶意软件加载器被打包为MSI可执行文件进行分发，并使用DLL侧加载和各种注入技术来执行恶意负载。SADBRIDGE滥用像x64dbg.exe和MonitoringHost.exe这样的合法应用程序来加载恶意DLL，如x64bridge.dll和HealthServiceRuntime.dll，从而导致后续阶段和shellcodes的执行。 SADBRIDGE通过创建服务和修改注册表来实现持久性。它利用UAC绕过技术（滥用COM接口）静默地将权限提升到管理员级别。此外，SADBRIDGE还通过Windows任务计划程序实现权限提升绕过，以系统级权限执行其主要有效载荷，涉及的工具有ICMLuaUtil。 SADBRIDGE配置使用简单的减法对配置字符串的每个字节进行加密。加密的阶段都附加了0x1.log扩展名，并在运行时使用XOR和LZNT1解压缩算法进行解密。 SADBRIDGE采用PoolParty、APC队列和令牌操作技术来进行进程注入。为避免沙盒分析，它使用长API调用。另一种防御逃避技术涉及API修补，以禁用Windows安全机制，如反恶意软件扫描接口（AMSI）和Windows事件跟踪（ETW）。 GOSAR恶意软件介绍 GOSAR是一个针对Windows和Linux系统的多功能远程访问木马。这个后门包括获取系统信息、截取屏幕、执行命令、键盘记录等功能。GOSAR后门保留了QUASAR的核心功能和行为，同时结合了一些修改，使其与原始版本有所不同。通过使用Go这样的现代语言重写恶意软件，可以降低检测率，因为许多防病毒解决方案和恶意软件分类器难以在这些新的编程结构下识别恶意字符串/特征。值得注意的是，这个变种支持多个平台，包括Linux系统的ELF二进制文件和Windows的传统PE文件。这种跨平台能力与Go的适应性一致，使其比原始的基于.NET的QUASAR实现更加的多功能。   转自安全内参，原文链接：https://www.secrss.com/articles/74099 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 威胁组织Cloud Atlas在其2024年的网络攻击活动中使用了一种此前未被记录的恶意软件VBCloud，针对“数十名用户”实施攻击。 据卡巴斯基研究员Oleg Kupreev本周发布的分析报告显示，受害者通常通过钓鱼邮件感染，该邮件包含一个利用公式编辑器漏洞（CVE-2018-0802）的恶意文档，用于下载并执行恶意代码。 超过80%的攻击目标位于俄罗斯，其余少数受害者分布在白俄罗斯、加拿大、摩尔多瓦、以色列、吉尔吉斯斯坦、土耳其和越南。 Cloud Atlas（又称Clean Ursa、Inception、Oxygen和Red October）是自2014年活跃至今的一个匿名威胁活动集群。2022年12月，该组织被发现针对俄罗斯、白俄罗斯和德涅斯特河沿岸实施网络攻击，使用了一种名为PowerShower的基于PowerShell的后门程序。 一年后，俄罗斯网络安全公司F.A.C.C.T.披露，该国的多个实体遭遇鱼叉式钓鱼攻击，攻击利用了一个旧版Microsoft Office公式编辑器漏洞（CVE-2017-11882），植入了一个Visual Basic脚本（VBS）负载，负责下载下一阶段的未知VBS恶意软件。 卡巴斯基的最新报告表明，这些组件属于被称为VBShower的恶意工具集，它用于下载并安装PowerShower和VBCloud。 攻击链始于一封钓鱼邮件，其中包含一个诱导打开的Microsoft Office文档。一旦打开，该文档会从远程服务器下载一个恶意RTF模板，并利用CVE-2018-0802漏洞下载并运行一个托管在相同服务器上的HTML应用程序（HTA）文件。 Kupreev指出：“漏洞通过RTF模板下载HTA文件并运行，利用NTFS替代数据流（ADS）功能在%APPDATA%\Roaming\Microsoft\Windows\路径下提取并创建多个文件。这些文件组成了VBShower后门程序。” 这些文件包括一个启动器，负责在内存中提取并运行后门模块；另一个VBS脚本充当清理工具，用于删除”\Local\Microsoft\Windows\Temporary Internet Files\Content.Word”文件夹内的所有文件内容，以及自身和启动器中的内容，从而掩盖恶意活动的痕迹。 VBShower后门用于从命令与控制（C2）服务器获取更多VBS负载，其功能包括重启系统、收集文件夹中的文件信息、运行进程的名称、计划任务的列表，并安装PowerShower和VBCloud。 PowerShower的功能与VBShower相似，但主要区别在于它从C2服务器下载并执行下一阶段的PowerShell脚本，同时也可作为ZIP档案文件的下载工具。 卡巴斯基观察到多达七种PowerShell负载，每种负载执行以下特定任务： 通过Active Directory服务接口（ADSI）获取远程计算机上的本地组及其成员列表 对用户账户进行字典攻击 解压由PowerShower下载的ZIP档案，并执行其中的PowerShell脚本以实施Kerberoasting攻击（获取Active Directory账户凭据的后期利用技术） 获取管理员组列表 获取域控制器列表 收集ProgramData文件夹中的文件信息 获取本地计算机的账户策略和密码策略设置 VBCloud的功能类似于VBShower，但通过公共云存储服务进行C2通信。它由一个计划任务触发，在受害者用户每次登录系统时激活。 该恶意软件能够收集磁盘信息（驱动器号、类型、介质类型、大小和可用空间）、系统元数据以及特定文件（如DOC、DOCX、XLS、XLSX、PDF、TXT、RTF和RAR）和与Telegram消息应用相关的文件。 Kupreev总结道：“PowerShower用于探测本地网络并协助进一步渗透，而VBCloud则负责收集系统信息和窃取文件。整个感染链包括多个阶段，其最终目标是从受害者设备中窃取数据。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，一场针对Chrome浏览器扩展的新型攻击活动曝光，至少有16款扩展被攻破，导致超过60万用户的敏感数据和凭据泄露。 此次攻击通过钓鱼手段，瞄准了Chrome Web Store上的扩展发布者，利用他们的访问权限，在合法扩展中植入恶意代码，以窃取用户的Cookie和访问令牌。 首个确认受影响的公司是网络安全企业Cyberhaven。12月27日，Cyberhaven透露其浏览器扩展遭到威胁行为者的攻击，恶意代码被注入，与位于cyberhavenext[.]pro的外部指挥控制（C&C）服务器通信，下载额外配置文件并窃取用户数据。 LayerX Security公司CEO Or Eshed指出，浏览器扩展是网络安全中的薄弱环节。尽管通常认为扩展无害，但它们往往拥有广泛权限，能访问用户的敏感信息，如Cookie、访问令牌和身份信息。 许多组织对其终端安装的扩展及潜在风险缺乏了解。随着Cyberhaven漏洞事件的曝光，与同一C&C服务器通信的其他受攻击扩展也被迅速识别。 Nudge Security公司首席技术官Jamie Blasco进一步发现了指向C&C服务器同一IP地址的其他域名。 目前，疑似被攻破的扩展包括但不限于： AI Assistant – ChatGPT和Gemini for Chrome Bard AI Chat Extension GPT 4 Summary with OpenAI Search Copilot AI Assistant for Chrome TinaMind AI Assistant Wayin AI VPNCity Internxt VPN Vindoz Flex Video Recorder VidHelper Video Downloader Bookmark Favicon Changer Castorus Uvoice Reader Mode Parrot Talks Primus 这些扩展的受感染情况表明，Cyberhaven并非唯一目标，此次攻击是一次针对合法浏览器扩展的大规模活动。 分析显示，被攻破的Cyberhaven扩展中的恶意代码主要针对Facebook账户的身份数据和访问令牌，特别是商业账户。 Cyberhaven表示，恶意版本扩展在上线约24小时后已被移除，部分其他受影响扩展也已从Chrome Web Store更新或下架。 然而，LayerX的Or Eshed警告，即使扩展从商店下架，只要受感染版本仍在用户设备上运行，攻击者仍可访问并窃取数据。 安全研究人员正继续寻找更多受影响的扩展，但此次攻击活动的复杂性和规模已给许多组织敲响了保护浏览器扩展安全的警钟。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 Lookout 最近发布的一份报告，随着网络犯罪团伙转变策略，在攻击的早期阶段将移动设备作为攻击目标，移动威胁继续以惊人的速度增长。 该报告重点分析了以企业为重点的凭证窃取和网络钓鱼尝试的季度环比增长 17%、恶意应用程序检测的季度环比增长 32%，以及 iOS 设备比 Android 设备更容易受到网络钓鱼攻击的趋势。 与中国和俄罗斯 APT 有关的新型移动监控工具 在一系列新发现的威胁中，研究人员披露了由中国和俄罗斯的高级持续威胁（APT）组织（包括 Gamaredon 等）开发的一系列移动监控软件工具。 在企业移动设备上检测到的恶意应用程序超过 106,000 个，从特洛伊木马恶意软件到复杂的间谍软件，种类繁多。 在全球范围内，移动网络钓鱼和恶意网页内容已成为商业电子邮件泄露 (BEC)、MFA 绕过攻击、高管假冒和漏洞利用的代名词。这些攻击通常成本低、回报高，因此已成为现代杀伤链的首选初始步骤。 这种威胁矢量的最新演变是使用高管假冒攻击，这种攻击利用个人的资历和低级员工与生俱来的乐于助人的愿望来提高成功率。攻击者通过制造高度紧急的情况，并利用高管和员工之间的不熟悉，说服员工共享敏感数据、访问钓鱼网页或给他们汇款。 iOS 比 Android 更受企业欢迎，因此 Lookout 观察到，在 2024 年第三季度的网络钓鱼攻击中，威胁行为者针对 iOS 的攻击频率（18.4%）高于 Android（11.4%）。最常见的设备配置错误包括过时的操作系统、过时的安卓安全补丁级（ASPL）、无设备锁和无加密。 攻击者瞄准移动设备入侵企业云系统 最重要的移动恶意软件系列仍然主要倾向于安卓监控软件。 Lookout 用户遇到的最常见的十大移动浏览器漏洞都会影响基于 Chromium 的浏览器。攻击者特别瞄准这些漏洞，希望用户尚未更新到已打补丁的版本。 除浏览器漏洞外，最常见的五个移动应用程序漏洞涉及社交媒体、消息和身份验证应用程序以及应用程序商店。 随着高级恶意软件的商品化、民族国家移动恶意软件能力的发展以及对以移动为重点的社交工程的严重依赖，当今的企业必须将高级移动威胁防御作为其安全战略的一部分。威胁行为者越来越多地以移动设备为目标，窃取凭证并渗透到企业云中，这种途径被称为 “现代杀伤链”。 “随着网络威胁的不断发展，我们看到越来越多的攻击以移动设备为目标，将其作为进入存放敏感数据的企业云应用程序的门户。”Lookout端点副总裁David Richardson表示：“这一趋势凸显了对先进MTD解决方案的迫切需求，这些解决方案不仅能保护设备，还能保护它们所连接的敏感数据和系统。” 《Lookout移动威胁态势报告》的数据来源于Lookout安全云的人工智能驱动移动数据集，该数据集包含超过2.2亿台设备、3.6亿个应用程序和数十亿个网页项目。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303050 封面来源于网络，如有侵权请联系删除

2024 年 12 月 23 日，匹兹堡区域交通运输公司 (PRT) 宣布正在积极应对于 12 月 19 日星期四首次发现的勒索软件攻击。 匹兹堡地区交通运输公司 (PRT) 是一家为美国宾夕法尼亚州匹兹堡大都会区提供服务的公共交通机构。 该公司运营各种交通服务，包括公交车、轻轨（“T”）和斜坡服务，为该地区的通勤者和居民提供交通选择。PRT 旨在提供安全、实惠且可靠的交通解决方案，以满足当地居民的需求。 勒索软件攻击导致匹兹堡当地交通服务严重中断。 该机构已通知执法部门，并在网络安全专家的协助下调查该安全漏洞。 周四早上铁路服务暂时中断，但公交服务已恢复正常运营。 “发现事件后，PRT 立即展开调查，启动了网络事件响应小组，通知了执法部门，并聘请了全国公认的第三方网络安全和数据取证专家。这些团队正在努力确定是否有任何信息遭到泄露。”该机构在其网站上发表的声明中写道。 “尽管周四早上铁路服务暂时中断，但公共交通服务目前仍正常运行。不过，其他一些乘客服务仍受到负面影响，包括 PRT 的客户服务中心，该中心暂时无法接受或处理老年人和儿童的 ConnectCard。” 目前尚不清楚威胁组织是否在侵入该机构系统后窃取了数据。 该机构没有提供有关此次网络攻击的更多细节，例如事件背后的勒索软件团伙。目前尚无勒索软件组织声称对此次网络攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gXGcpLR6Hk7Ydt-Gzw_bvQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近日，欧洲航天局（ESA）官方网店成为黑客的攻击目标。攻击者在结账环节植入了恶意JavaScript代码，制造了一个假冒的Stripe支付页面。 欧洲航天局致力于拓展太空探索边界，通过培训宇航员和研发火箭、卫星等设备，深入探索宇宙奥秘，其预算超过100亿欧元。 目前，ESA网店已暂停服务，页面显示“暂时脱离轨道”。该恶意脚本已收集顾客信息，包括支付卡数据等敏感内容。 电子商务安全专家Sansec昨日发现此恶意脚本，并发出警告，称网店系统与ESA内部系统可能存在集成，这或将威胁到ESA员工的安全。 Sansec发现，窃取信息的域名与官方销售ESA商品的网店域名相同，但使用了不同的顶级域（TLD）。 虽然欧洲航天局的官方商店使用“.com”后缀的“esaspaceshop”域名，但黑客使用的是相同的名称，且顶级域名为“.pics”（即esaspaceshop[.]pics），这一点在ESA商店的源代码中可以看到： 恶意JavaScript代码注入到ESA网店 该脚本包含了来自Stripe SDK的混淆HTML代码，当客户尝试完成购买时，加载了一个虚假的Stripe支付页面。 值得注意的是，虚假的Stripe页面并不显得可疑，尤其是在它从ESA官方网店加载时。 虚假的Stripe支付页面显示在ESA网店中 网络应用安全公司Source Defense Research确认了Sansec的发现，并监测到ESA官方网店曾加载了虚假的Stripe支付页面。 BleepingComputer昨日就此事向ESA求证。在收到回复前，我们发现网店虽已撤下虚假支付页面，但恶意脚本仍潜藏在网站源代码中。 ESA后续回应称，该网店并未托管在其基础设施上，且机构不管理商店数据，因不拥有这些数据。这一信息通过whois查询得到验证，查询显示了ESA域名（esa.int）及其网店的完整信息，但出于隐私保护，联系数据已被隐藏。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自10月起，一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。 该僵尸网络的攻击目标不仅限于DigiEver设备，还包括多个网络视频录制机（NVR）和固件版本过时的TP-Link路由器。 TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现，尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞，但相关活动迹象至少可以追溯到9月。 此外，这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。 攻击DigiEver NVR 被利用来攻破DigiEver NVR的漏洞是一个远程代码执行（RCE）漏洞，攻击者通过利用’/cgi-bin/cgi_main.cgi’ URI中的不正确用户输入验证来发动攻击。 这使得远程未认证的攻击者能够通过特定参数（如HTTP POST请求中的ntp字段）注入命令，如’curl’和’chmod’。 Akamai表示，该Mirai僵尸网络的攻击与Ta-Lun Yen演示中描述的攻击非常相似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加定时任务（cron jobs），攻击者实现了持久化。 一旦设备被攻陷，它将被用于发起分布式拒绝服务（DDoS）攻击，或通过利用漏洞集和凭证列表传播到其他设备。 Akamai指出，这个新的Mirai变种在技术上具有显著特点，它运用了XOR和ChaCha20加密技术，并且能够针对x86、ARM和MIPS等多种系统架构发起攻击。 Akamai评论道：“尽管采用复杂的解密手段并非首次出现，但这无疑表明Mirai僵尸网络的运营者正在持续更新其战术、技术和程序。” 研究人员进一步强调：“这一现象尤为值得关注，因为许多基于Mirai的僵尸网络至今仍依赖从原始Mirai恶意软件源代码中沿用的字符串混淆逻辑。” 此外，该僵尸网络还利用了另外两个已知漏洞：CVE-2018-17532（影响Teltonika RUT9XX路由器）和CVE-2023-1389（影响TP-Link设备）。 Akamai报告的末尾提供了与该活动相关的攻击指示符（IoC）以及用于检测和防御该威胁的Yara规则，以帮助企业和安全团队有效应对这一新型Mirai变种带来的挑战。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国成瘾治疗中心（AAC）是一家营利性成瘾治疗连锁机构，其遭遇网络安全事件，导致 422,424 人的个人记录泄露。 根据该公司发送给受影响人员的通知函，泄露的数据可能包括姓名、地址、电话号码、出生日期、医疗记录号和其他标识符。 ACC 表示，社会安全号码和健康保险信息也可能被泄露，但患者的治疗信息或支付卡数据不会泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日左右发现了一起网络安全事件，并表示已立即展开调查。该公司已通知执法部门并聘请第三方网络安全专家提供帮助。 调查确定，9 月 23 日至 9 月 26 日期间，“未经授权的一方”从 AAC 系统中窃取了一些数据。 该公司告诉客户：“我们对受影响的数据进行了彻底审查，以确定涉及哪些信息以及与数据相关的个人。”该公司还表示，“目前”尚未发现与该事件有关的任何身份盗窃或欺诈行为。 此次泄密事件影响了 AAC 及其附属供应商的客户，包括 AdCare、Greenhouse、Desert Hope Center、Oxford Treatment Center、Recovery First、Sunrise House、River Oaks Treatment Center 和 Laguna Treatment Hospital。 近期一系列网络安全事件让多家医疗服务提供商成为攻击目标。Regional Care 的数据泄露事件发生于 9 月中旬，本月初已报告此事，影响 22.5 万人。 总部位于马里兰州的静脉修复中心 (CVR)遭遇重大数据泄露，影响了 446,000 人的数据；而位于马萨诸塞州的安娜雅克医院 (AJH) 遭遇的攻击则导致超过 316,000 人的数据受到影响。 攻击者针对医疗保健机构主要有两个原因：这些机构通常保护不力，而且他们保存的数据非常有价值。例如，攻击者可以利用泄露的信息进行健康身份欺诈，使恶意攻击者能够获得处方药。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WVVU9xYidj3jr_xORgV7sA 封面来源于网络，如有侵权请联系删除

美国和日本当局将价值 3.08 亿美元的重大加密货币盗窃案归咎于曹县黑客。 美国联邦调查局、国防部网络犯罪中心和日本国家警察厅发出的警报称，2024 年 5 月对日本加密货币公司 DMM 的盗窃案是由一个曹县高级威胁组织实施的，该组织被追踪为TraderTraitor，又名 Jade Sleet、UNC4899 和 Slow Pisces。 机构透露，TraderTraitor 进行了有针对性的社会工程攻击，以访问和窃取加密货币资金。该活动始于 2024 年 3 月下旬，当时攻击者伪装成 LinkedIn 上的招聘人员，联系了日本企业加密货币钱包软件公司 Ginco 的一名员工。 该员工之所以成为攻击目标，是因为他们有权访问 Ginco 的钱包管理系统。 TraderTraitor 以 GitHub 页面上的入职前测试为幌子，向员工发送了一个指向恶意 Python 脚本的 URL 链接。受害者将 Python 代码复制到他们的个人 GitHub 页面上，随后遭到入侵。 2024 年 5 月中旬之后，黑客利用会话 cookie 信息冒充受感染的员工，成功获取了 Ginco 未加密通信系统的访问权限。 2024 年 5 月下旬，攻击者可能利用此访问权限操纵 DMM 员工的合法交易请求，导致 4,502.9 比特币损失，在攻击时价值 3.08 亿美元。 被盗资金随后被转移到 TraderTraitor 控制的钱包。 区块链分析公司 Chainalysis 于 12 月 19 日发布的一份报告发现，2024 年期间，与曹县有关的黑客在 47 起事件中窃取了价值 13.4 亿美元的加密货币。 这占全年被盗加密货币总量的 61%。 新的警报称，联邦调查局、日本国家警察厅和其他美国政府和国际合作伙伴将继续揭露和打击曹县的非法活动，包括网络犯罪和加密货币盗窃。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LtJX1rkcoRjao_kQS3qWew 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。 Lazarus Group利用恶意ISO文件来逃避检测，部署了木马化的VNC软件，以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。 研究人员还在受感染的主机上发现了CookieTime恶意软件，该恶意代码在LPEClient安装后以SQLExplorer服务激活，最初执行C2命令，但现在主要用于下载有效载荷。 攻击者使用CookieTime下载了多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。 攻击者使用ServiceChanger恶意软件停止了一个合法服务，在磁盘上存储恶意文件，并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll，与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下，CookieTime也通过DLL侧加载被加载，并且支持多种加载方法和不同的入口点。 “由于CookiePlus充当下载器，它的功能有限，并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中，CookiePlus生成了一个32字节的数据数组，其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。 研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠，但都伪装成Notepad++插件，并使用类似的策略，如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用，看起来更为先进，与2024年初已知的MISTPEN样本相比，支持额外的执行选项。 Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而，CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。 “在其历史上，Lazarus Group只使用了少量的模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织正在不断努力改进他们的武器库和感染链，以逃避安全产品的检测。”报告总结道。“对于防御者来说，问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看，它似乎仍在积极开发中，这意味着Lazarus Group未来可能会添加更多插件。”       消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文