一个名为 ExCobalt 的网络犯罪团伙利用一种之前未知的基于 Golang 的后门（名为 GoRed）攻击了俄罗斯目标。 Positive Technologies 研究人员 Vladislav Lunin 和 Alexander Badayev在本周发布的技术报告中表示：“ExCobalt 专注于网络间谍活动，其几名成员至少自 2016 年以来就一直活跃，大概曾经是臭名昭著的Cobalt Gang的成员。” “Cobalt攻击金融机构以窃取资金。Cobalt 的标志之一是使用CobInt 工具，这是 ExCobalt 在 2022 年开始使用的工具。” 过去一年来，该黑客组织发起的攻击针对俄罗斯的各个行业，包括政府、信息技术、冶金、采矿、软件开发和电信部门。 初始访问环境是通过利用先前受到攻击的承包商和供应链攻击来实现的，其中攻击者感染了用于构建目标公司合法软件的组件，这表明其高度复杂。 攻击链 该作案手法需要使用各种工具（如 Metasploit、Mimikatz、ProcDump、SMBExec、Spark RAT）在受感染的主机上执行命令，以及 Linux 权限提升漏洞（CVE-2019-13272、CVE-2021-3156、CVE-2021-4034和CVE-2022-2586）。 GoRed 自诞生以来经历了多次迭代，是一个全面的后门，允许操作员执行命令、获取凭据并收集活动进程、网络接口和文件系统的详细信息。它利用远程过程调用 (RPC) 协议与其命令和控制 (C2) 服务器进行通信。 此外，它还支持多种后台命令，用于监视感兴趣的文件和密码以及启用反向 shell。然后，收集的数据将导出到攻击者控制的基础设施。 研究人员表示：“ExCobalt 在攻击俄罗斯公司方面继续表现出高度的活跃和决心，不断在其武器库中添加新工具并改进其技术。” “此外，ExCobalt 通过用修改后的标准实用程序补充其工具集，展示了灵活性和多功能性，这有助于该组织轻松绕过安全控制并适应保护方法的变化。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/qJVWk6LVGRVR3FKokt3sCA 封面来源于网络，如有侵权请联系删除

Morphisec 的研究人员观察到一个被称为 Sticky Werewolf 的黑客，其目标是俄罗斯和白俄罗斯的实体。 Sticky Werewolf 是一个黑客，于 2023 年 4 月首次被发现，最初针对俄罗斯和白俄罗斯的公共组织。该组织已将业务扩展到各个领域，包括一家制药公司和一家专门从事微生物学和疫苗开发的俄罗斯研究机构。 在最新的活动中，Sticky Werewolf 针对航空业发送了据称来自 AO OKB Kristall 第一副总经理的电子邮件，AO OKB Kristall 是一家总部位于莫斯科的公司，从事飞机和航天器的生产和维护。此前，该组织使用带有恶意文件链接的网络钓鱼电子邮件。在最新的活动中，黑客使用了包含指向存储在 WebDAV 服务器上的有效负载的 LNK 文件的存档文件。 在执行托管在 WebDAV 服务器上的二进制文件后，会启动一个经过混淆的 Windows 批处理脚本。该脚本运行 AutoIt 脚本，最终注入最终有效载荷。 “在之前的活动中，感染链始于包含从 gofile.io 等平台下载恶意文件的链接的网络钓鱼电子邮件。然而，在他们最新的活动中，感染方法已经发生了变化。” Morphisec 发布的分析报告写道。“最初的电子邮件包含一个存档附件；当收件人提取存档时，他们会找到 LNK 和诱饵文件。这些 LNK 文件指向托管在 WebDAV 服务器上的可执行文件。一旦执行，就会启动一个批处理脚本，然后启动一个 AutoIt 脚本，最终注入最终的有效负载。” 该档案包括一个诱饵 PDF 文件和两个伪装成 DOCX 文档的 LNK 文件，分别名为 Повестка совещания.docx.lnk（会议议程）和 Список рассылки.docx.lnk（邮件列表）。 黑客使用了据称由 AO OKB Kristall 第一副总经理兼执行董事发送的网络钓鱼消息。收件人是来自航空航天和国防部门的个人，他们被邀请参加有关未来合作的视频会议。这些消息使用包含恶意负载的受密码保护的存档。 黑客使用的有效载荷包括商品 RAT 或窃取程序。最近，Sticky Werewolf 被发现在其活动中使用了Rhadamanthys Stealer和 Ozone RAT。在之前的攻击中，该组织还部署了 MetaStealer、DarkTrack 和NetWire。 “这些恶意软件可进行广泛的间谍活动和数据泄露。虽然没有确凿证据表明 Sticky Werewolf 的国籍，但地缘政治背景表明它可能与亲乌克兰的网络间谍组织或黑客活动分子有联系，尽管这种归属仍不确定。”该报告总结道，其中还包括入侵指标 (IoC)。   转自e安全，原文链接：https://mp.weixin.qq.com/s/HaP15jspRaYYZpleJTFXoA 封面来源于网络，如有侵权请联系删除

谷歌和微软警告称，2024 年巴黎奥运会面临着较高的网络威胁风险，尤其是来自俄罗斯黑客的威胁。 据谷歌 Mandiant 网络安全团队称，2024 年巴黎奥运会面临的网络威胁包括间谍活动、干扰、破坏、黑客行动主义、影响以及经济动机活动等。 Mandiant 指出：“奥运会相关的网络威胁可能会对各种目标产生实际影响，包括赛事组织者和赞助商、票务系统、巴黎基础设施以及前往赛事的运动员和观众。” 参加 2024 年奥运会的大量政府官员和决策者可能会引起网络间谍组织的注意，而专注于破坏和扰乱的黑客组织可能会发起分布式拒绝服务 (DDoS)、擦除器恶意软件或 OT 攻击，从而造成负面的心理影响和声誉损害。 攻击者还有望利用人们对奥运会的兴趣，在信息行动中传播谎言和虚假信息，有时还会发动破坏性和破坏性攻击，以扩大传播。 另一方面，出于经济动机的黑客组织可能会从事票务诈骗、窃取个人身份信息和敲诈勒索等活动，以利用人们对奥运会的兴趣，并可能在社会工程行动中使用与奥运会相关的诱饵。 Mandiant 指出：“鉴于俄罗斯曾多次将攻击目标锁定在前几届奥运会上、与欧洲关系紧张、以及最近已将法国作为攻击目标的亲俄信息行动，Mandiant 高度确信，俄罗斯对奥运会构成了最严重的威胁。” 据微软称，俄罗斯黑客组织于 2023 年 6 月开始进行与奥运会相关的活动，并制作了一部长篇名为《奥运会已沦陷》的电影，模仿 2013 年美国政治动作惊悚片“奥林匹斯山陷落”。这部电影使用人工智能生成的音频冒充演员汤姆克鲁斯来暗示他的参与，贬低了国际奥委会的领导层。 俄罗斯黑客组织Storm-1679制作的虚假纪录片《奥运会已陷落》中的视觉效果，该纪录片针对国际奥委会并传播亲俄虚假信息。这部纪录片使用了美国演员汤姆·克鲁斯的形象和肖像，他没有参加任何此类纪录片。 微软表示：“观察到一个与俄罗斯有关的网络正在针对法国、法国总统埃马纽埃尔·马克龙、国际奥委会和巴黎奥运会开展一系列恶意影响活动。这些活动可能预示着今年夏天的国际比赛将面临网络威胁。” 这项由微软命名代号为 Storm-1679 的黑客组织发起的影响力行动还包括发布视频和其他材料，宣扬奥运会期间可能会发生恐怖袭击以及以色列公民将在奥运会上面临暴力的说法。 伪造的视频新闻稿警告公众2024年巴黎夏季奥运会可能发生恐怖袭击（左）。捏造的法国24电视台新闻片段声称，由于对恐怖主义的担忧，近四分之一的巴黎2024年奥运会门票已被退回（右）。这两件赝品都是由俄黑客组织 Storm-1679 制作。 另一个俄罗斯黑客团伙 Storm-1099（又名 Doppelganger）利用 15 个独特的法语“新闻”网站加大了反奥运宣传力度，并警告奥运会期间可能出现暴力事件。 微软“预计俄罗斯针对奥运会的恶意活动将会愈演愈烈。以法语为主的活动可能会扩展到英语、德语和其他语言，以最大限度地提高在线知名度和吸引力，而生成式人工智能的使用也可能会增加”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/g9ji1sS5omiMkcvJTR3SNw 封面来源于网络，如有侵权请联系删除

据波兰数字部长克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 称，波兰将投入近 7.6 亿美元加强对俄罗斯持续网络攻击的防御。 在周一的新闻发布会上，加夫科夫斯基表示，波兰“处在针对俄罗斯的网络战前线”。他补充说，新的网络盾计划将花费政府 30 亿兹罗提（当地货币），旨在提高该国关键基础设施和政府服务的弹性。上周晚些时候，黑客在波兰国家通讯社 PAP 的新闻推送中发布了一篇关于军事动员的虚假文章，随后波兰政府宣布了这一消息。Gawkowski 表示，有迹象表明，俄罗斯支持的黑客对此次攻击负责。 他在本周的新闻发布会上表示：“如今，虚假信息已经成为各类团体制造紧张局势的关键因素之一，这些团体往往与俄罗斯或白俄罗斯联系在一起。” 俄罗斯驻华沙大使馆表示，对针对人民行动党的袭击毫不知情，并驳斥了有关莫斯科试图破坏波兰（北约成员国和前苏联集团国家）稳定的指控。 选举季 波兰最新事件发生之际，对波兰乃至整个欧洲来说都是一个关键时刻，欧盟正在为本周举行的议会选举做准备。波兰将于周日选举出 53 名欧洲议会议员。选举前，地方当局表示，他们高度警惕莫斯科试图干预选举的行为。据该国数字部称，选举前的网络攻击有所增加，这是莫斯科一系列“混合活动”的一部分。 加夫科夫斯基表示：“一个多月以来，我们观察到针对波兰的网络攻击次数显著增加。” 他补充道：“俄罗斯联邦有一个目标——破坏局势稳定，确保支持欧盟解体的势力能够受益。” Gawkowski 表示，自上周 PAP 遭受攻击以来，波兰的关键基础设施已遭受一系列攻击。5 月初，俄罗斯政府支持的黑客针对波兰政府机构发动间谍活动，此次活动被归咎为黑客组织APT28（又名 Fancy Bear）所为，该组织与俄罗斯军事情报机构 GRU 有关联。   转自E安全，原文链接：https://mp.weixin.qq.com/s/ApwPtjSVfCceeTRw1rhuRQ 封面来源于网络，如有侵权请联系删除

俄罗斯机构正遭受网络攻击，这些攻击被发现传播一种名为“Decoy Dog”的恶意软件的 Windows 版本。 网络安全公司 Positive Technologies 正在追踪代号为 Operation Lahat 的活动集群，并将其归咎于名为HellHounds（地狱猎犬）的高级持续威胁 (APT) 组织。 安全研究人员亚历山大·格里戈里安 (Aleksandr Grigorian) 和斯坦尼斯拉夫·皮佐夫 (Stanislav Pyzhov)表示：“地狱猎犬 APT组织会入侵他们选定的目标，在这些目标网络站稳脚跟，多年不被发现。在这样做的过程中，该组织利用了主要的入侵媒介，从易受攻击的网络服务到可信任的关系。” 2023 年 11 月下旬，一家未具名的电力公司被 Decoy Dog 木马病毒感染，随后该公司首次记录了HellHounds 病毒。迄今为止，已证实该病毒已感染了俄罗斯的 48 名受害者，其中包括 IT 公司、政府、航天工业公司和电信提供商。 攻击链 有证据表明，该APT组织至少从 2021 年开始就将目标对准俄罗斯公司，恶意软件的开发早在 2019 年 11 月就开始了。 2023 年 4 月，Infoblox发现Decoy Dog（开源Pupy RAT的定制变体）使用 DNS 隧道与其命令和控制 (C2) 服务器进行通信以远程控制受感染的主机，有关该恶意软件的详细信息浮出水面。 该恶意软件的一个显着特点是它能够将受害者从一个控制器移动到另一个控制器，从而使攻击者能够与受感染的机器保持通信并在较长时间内保持隐藏。 涉及这一复杂工具包的攻击主要集中在俄罗斯和东欧，更不用说专门针对 Linux 系统，尽管 Infoblox 暗示了可能存在 Windows 版本。 Infoblox 在 2023 年 7 月指出：“代码中对 Windows 的引用暗示存在包含新 Decoy Dog 功能的更新 Windows 客户端，尽管当前所有样本都针对 Linux。” Positive Technologies 的最新发现几乎证实了 Windows 版 Decoy Dog 的存在，该版本通过使用专用基础设施的加载器传送到关键任务主机以获取解密有效载荷的密钥。 进一步分析发现，HellHounds 使用另一个名为3snake的开源程序的修改版本来获取运行 Linux 主机上的凭证。 Positive Technologies 表示，在至少两起事件中，攻击者通过承包商使用受损的SSH登录凭据成功获取了受害者基础设施的初始访问权。 研究人员表示：“攻击者长期以来一直能够在俄罗斯的重要组织内部保持存在。” “尽管几乎所有的 Hellhounds 工具包都是基于开源项目，但攻击者对其进行了相当好的修改，以绕过恶意软件防御并确保在受感染组织内部长期隐蔽存在。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/he0EWFxhUNEznTZsH083xA 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的黑客FlyingYeti正在以乌克兰为目标进行网络钓鱼活动，以提供PowerShell恶意软件COOKBOX。 Cloudflare研究人员发现了一名与俄罗斯有关的黑客FlyingYeti（又名UAC-0149）针对乌克兰进行的网络钓鱼活动。专家们发表了一份报告，描述了破坏和延迟这种威胁活动的实时努力。 在2022年2月24日俄罗斯入侵乌克兰之初，乌克兰暂停驱逐和终止未偿还债务的公用事业服务。暂停期于2024年1月结束，导致乌克兰公民承担巨额债务，并增加了财务压力。FlyingYeti运动利用这种焦虑，使用债务主题的诱饵诱骗目标打开嵌入消息中的恶意链接。打开文件后，PowerShell恶意软件COOKBOX会感染目标系统，使攻击者能够部署额外的有效载荷并控制受害者的系统。 黑客利用WinRAR漏洞CVE-2023-38831向目标感染恶意软件。 Cloudflare表示，FlyingYeti的战术、技术和程序（TTP）与乌克兰CERT在分析UAC-0149集群时详细说明的战术、技巧和程序相似。 至少从2023年秋天开始，UAC-0149就用COOKBOX恶意软件攻击乌克兰国防实体。 Cloudflare发布的报告中写道：“黑客将动态DNS（DDNS）用于其基础设施，并利用基于云的平台托管恶意内容和进行恶意软件指挥与控制（C2）。”“我们对FlyingYeti TTPs的调查表明，这很可能是一个与俄罗斯结盟的威胁组织。该行为者似乎主要专注于针对乌克兰军事实体。” 黑客以基辅Komunalka公共住房网站的恶搞版本为目标用户(https://www.komunalka.ua)，托管在参与者控制的GitHub页面上（hxxps[：]//comunalka[.]GitHub[.]io）。Komunalka是基辅地区公用事业和其他服务的支付处理商。 FlyingYeti很可能通过网络钓鱼电子邮件或加密信号消息将目标引导到此页面。在这个被欺骗的网站上，一个大的绿色按钮提示用户下载一个名为“Рахунок.docx”（“Invoice.docx”）的文件，而该文件下载了一个标题为“ЗаборгованасапоЖКП.rar”（“住房和公用事业债务.rar”）的恶意档案。 一旦打开RAR文件，CVE-2023-38831漏洞就会触发COOKBOX恶意软件的执行。 RAR档案包含多个文件，其中一个文件的Unicode字符为“U+201F”，在Windows系统中显示为空白。此字符可以通过添加过多的空格来隐藏文件扩展名，使恶意CMD文件（“Рахунокнаоплару.pdf[unicode character U+201F].CMD”）看起来像pdf文档。该档案还包括一个良性的PDF文件，其名称相同，但没有Unicode字符。打开档案后，目录名称也与良性PDF名称匹配。这种命名重叠利用了WinRAR漏洞CVE-2023-38831，导致目标尝试打开良性PDF时执行恶意CMD。 “CMD文件包含名为COOKBOX的Flying Yeti PowerShell恶意软件。该恶意软件被设计为持久存在于主机上，作为受感染设备的立足点。一旦安装，该COOKBOX变体将向DDNS域postposterk[.]serveftp[.]com请求C2，等待恶意软件随后运行的PowerShell cmdlet。”报告继续说道。“除了COOKBOX，还打开了几个诱饵文档，其中包含使用Canary Tokens服务的隐藏跟踪链接。   转自E安全，原文链接：https://mp.weixin.qq.com/s/sG5cSjt29W55VFOwkLfkDw 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的 APT28 使用 HeadLace 恶意软件和凭证收集网页对欧洲各地的网络发动攻击。 Insikt Group 的研究人员观察到，俄罗斯 GRU 的APT28小组利用信息窃取程序 Headlace 和凭证收集网页，针对整个欧洲的网络。 APT28 组织在 2023 年 4 月至 12 月期间分三个不同阶段部署了 Headlace，分别使用网络钓鱼、受感染的互联网服务和二进制文件。凭证收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆智库。 该组织创建的凭证收集页面可以通过在合法服务和受感染的 Ubiquiti 路由器之间传递请求来通过双因素身份验证和 CAPTCHA 挑战。 在一些攻击者中，攻击者在 Mocky 上创建了特制的网页，这些网页与在受感染的 Ubiquiti 路由器上运行的 Python 脚本进行交互，以窃取提供的凭据。 乌克兰国防部和欧洲铁路系统相关网络遭到入侵，攻击者可借此收集情报，影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣表明，他们可能意图了解并影响地区政策。 Insikt Group 推测此次行动旨在影响地区和军事动态。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM ）自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。 该组织隶属于俄罗斯总参谋部情报总局（GRU）第 85 主要特别勤务中心（GTsSS）的 26165 军事单位。 Insikt Group 详述的攻击中使用的攻击链有七个不同的基础设施阶段，用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件，并被重定向到 Microsoft 的 Web 门户 msn.com。通过检查的用户会下载恶意的 Windows BAT 脚本，该脚本连接到免费 API 服务以执行连续的 shell 命令。 攻击链 2023 年 12 月，Proofpoint 和 IBM 的研究人员详细介绍了新一波 APT 鱼叉式网络钓鱼攻击，这些攻击依靠多种诱饵内容来传播 Headlace 恶意软件。这些攻击针对至少 13 个不同的国家。 通过分析 Headlace 地理围栏脚本和自 2022 年以来凭证收集活动所针对的国家，Insikt Group 发现 BlueDelta 针对了 13 个不同的国家。乌克兰位居榜首，占活动的 40%。 土耳其可能看起来像是一个意外的目标，占 10%，但值得注意的是，它只是被 Headlace 地理围栏单独挑出来，不像乌克兰、波兰和阿塞拜疆，它们既被 Headlace 地理围栏瞄准，又被凭证收集。 研究人员呼吁政府、军队、国防和相关部门加强网络安全措施：优先检测复杂的网络钓鱼企图，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/EahbrbVDJj-iKBwhj5ZueA 封面来源于网络，如有侵权请联系删除

星链被俄罗斯攻破，不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 据“纽约时报”报道，俄罗斯正在利用更先进的手段，对乌克兰的星链造成广泛破坏，乌克兰数字部长Mykhailo Fedorov表示该消息属实。 自俄乌冲突爆发以来，星链为乌克兰提供了不可或缺的卫星通信服务，是提供态势感知、部队指挥和控制以及部队之间通信的关键因素之一，例如军队之间的通信、收集情报、无人机袭击等等。由于星链被俄罗斯网络人员攻破，乌克兰第92突击旅大受影响，其原定动作已经慢了下来。 乌克兰官员表示，俄罗斯采用了更先进的工具，可以大幅降低星链的服务质量，这也是俄罗斯首次对星链造成如此严重的破坏，并导致星链服务中断。这不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 资料显示，星链的工作原理是从绕地球运行的卫星上传送互联网连接。这些信号通过地面终端进行接收，然后像Wi-Fi路由器一样将连接发送到附近的笔记本电脑、电话和其他设备上。自2022年以来,”星链”为乌克兰提供了至关重要的互联网服务，例如依靠它来指导互联网连接的无人机群。 国与国之间的网络战最终还是不可避免地延伸至太空领域。5月27日，乌兰克数字部长Mykhailo Fedorov表示，俄罗斯对星链发起了大规模攻击，大量的通信服务被干扰，中断。有消息指出，对于星链的攻击与破坏还在测试中，俄罗斯正在寻找更具威胁的攻击方法，目前乌兰克正在与星链协商如何应对当前局面。 乌克兰士兵表示，星链正在变得“超级、超级缓慢”，甚至于很多士兵开始使用短信通讯，而非即时通讯软件，即使如此短信也需要有足够的时间才能发送，更别提利用星链来发动无人机群进行侦查和攻击。 目前美国正与星链共同应对当前状况，有专家表示，在干扰卫星与地面之间的通讯方面俄罗斯确有其独到之处，俄罗斯对于星链的攻击还有可能破坏器全球定位系统。急剧下降的服务质量让乌克兰部队苦不堪言，其士兵也在不断尝试各种技术与方法，以保护星链免遭攻击，具体包括将终端放置在洞中，并覆盖金属网等，但有专家认为这种方案的效果不大。 乌克兰使用的星链被俄罗斯攻破也给各国关键信息基础设施防护敲响了警钟。一直以来，电信行业关键信息基础设施能够提供网络通信和信息服务，为社会经济起到基础性支撑作用。面对日益严峻的安全风险和安全挑战，各国在关键信息基础设施保护方面积极开展实践，做好电信网络关键信息基础设施安全保护是重中之重。 近年来，国内外针对基础设施和重要信息系统的网络攻击事件频发，攻击手段不断升级，关键信息基础设施受到的网络威胁呈逐年上升趋势，对社会稳定和国家安全造成了巨大威胁，关键信息基础设施安全运行面临巨大挑战。 公共通信网和互联网作为国家信息化、数字化建设的主要载体，是最典型、最重要的关键基础设施，基础运营商的通信网、信令网、业务系统等重要系统是国家基础信息服务的支撑。 因此，电信行业关键信息基础设施运营者需建立关键信息基础设施保护安全管理体系、技术体系和运营体系。另外应呼吁行业协同保护关键信息基础设施安全，建立主动防御、信息共享、应急响应、预警通报和态势感知等协同机制，共同建立电信行业关键信息基础设施保护安全体系。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402143.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现了新的后门程序，分别名为LunarWeb和LunarMail，该程序被用于攻击欧洲政府在海外的外交机构。 此恶意软件被用来入侵在中东有多个外交使团的某欧洲国家外交部，该软件至少自2020年以来一直在活跃。 网络安全公司ESET的研究人员认为，这些后门程序可能与俄罗斯国家支持的黑客组织Turla有关。这一推测的可信度属于中等水平。 Lunar攻击链 ESET在其报告中表示，攻击从鱼叉式网络钓鱼邮件开始，这些邮件携带含恶意宏代码的Word文件，用来在目标系统上安装LunarMail后门程序。 VBA宏代码通过创建Outlook插件来在被感染的主机上建立持久性，并确保每次启动电子邮件客户端时该插件都会被激活。 恶意 Outlook 加载项 ESET分析人员还发现潜在滥用配置错误的开源网络监控工具Zabbix来投放LunarWeb有效载荷的证据。 具体来说，服务器上部署了一个模仿Zabbix代理日志的组件，在通过HTTP请求使用特定密码访问时，它会解密并执行加载器和后门组件。 LunarWeb通过多种技术持久存在于被入侵的设备上，技术包括创建组策略扩展、替换系统DLL文件以及作为合法软件的一部分进行部署。 研究人员称，这两个有效载荷由恶意软件加载器”LunarLoader”解密，该加载器使用RC4和AES-256加密算法解密来自加密数据块的内容。此加载器使用DNS域名进行解密操作，并确保仅在目标环境中运行。 一旦Lunar后门在主机上运行，攻击者可以通过指挥C2服务器直接发送命令，并使用被盗凭证和被入侵的域控制器在网络中进行横向移动。 活动中出现的两条感染链 LunarWeb和LunarMail 这两个Lunar后门程序旨在进行长期隐蔽监控、数据盗窃以及保持对受感染系统的控制，例如政府和外交机构等高价值目标。 LunarWeb部署在服务器上，通过伪造Windows和ESET产品更新的HTTP标头模拟合法流量。该后门程序接收隐藏在.JPG和.GIF图像文件中的命令，此命令通过隐写术技术隐藏，包括执行shell和PowerShell命令、收集系统信息、运行Lua代码、压缩文件以及以AES-256加密形式外传数据。 ESET研究人员在一次攻击中观察到，黑客在几分钟内将LunarWeb投放到欧洲外交部的三个外交机构。 攻击者之所以能够快速移动，可能是因为他们之前已经获得了该部域控制器的访问权限，利用它从网络上的其他机构移动到计算机。 LunarMail部署在安装了Microsoft Outlook的用户工作站上。 它使用基于电子邮件的通信系统（Outlook MAPI）与特定的Outlook配置文件进行数据交换，这些配置文件与C2链接，用以逃避在HTTPS流量监控较为严格的环境中的检测。 从C2发送的命令嵌入在电子邮件附件中，通常隐藏在.PNG图像中，后门程序解析该图像来提取隐藏指令。 LunarMail可以创建进程、截屏、写文件和运行Lua代码。Lua脚本执行允许它在需要的时间内直接运行shell和PowerShell命令。 LunarMail 操作图 基于Lunar工具集和过去活动的战术、技术和程序（TTPs）的相似性，ESET将此后门程序归因于俄罗斯黑客组织Turla，可信度为中等。 然而，研究人员注意到存在不同程度的复杂性，这表明该工具可能是由多人开发和操作的。 尽管入侵是最近发生的，但根据ESET发现的证据显示，这些后门至少自2020年以来一直在运作，并且成功地规避了检测。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

威胁情报公司 Recorded Future 周二对滥用合法 GitHub 配置文件传播信息窃取恶意软件的恶意活动发出警报。 作为该活动的一部分，在独立国家联合体 (CIS) 之外活动的俄语黑客通过冒充 1Password、Bartender 5、和 Pixelmator Pro进行攻击。 Recorded Future 在一份新报告中指出，恶意软件操作共享相同的命令与控制 (C&C) 基础设施，这表明在跨平台攻击中使用了集中式设置，可能会提高效率。 2024 年初的行业报告显示，AMOS 通过欺骗性网站、冒充合法 macOS 应用程序（包括 Slack 的安装文件）以及欺诈性 Web3 项目进行分发。 以这些报告为起点，Recorded Future 发现了 12 个宣传合法 macOS 软件的网站，但将受害者重定向到分发 AMOS 的 GitHub 配置文件。该配置文件还传播了 Octo Android 银行木马和各种 Windows 信息窃取程序。 该 GitHub 配置文件属于名为“papinyurii33”的用户，创建于 2024 年 1 月 16 日，仅包含两个存储库。Recorded Future 表示，其研究人员在 2 月和 3 月初观察到这些存储库中的文件发生了多次更改，但自 3 月 7 日以来没有新的活动。 调查还揭示了 FileZilla 文件传输协议 FTP 服务器用于恶意软件管理以及分发 Lumma 和 Vidar 信息窃取程序的情况。 此外，Recorded Future 表示，它发现了与该活动相关的多个 IP 地址，其中包括与 DarkComet RAT 的 C&C 基础设施相关的四个 IP，以及用于分发该活动的 FileZilla FTP 服务器。2023 年 8 月至 2024 年 2 月期间，Raccoon Stealer 也使用这些 FTP 服务器进行分发。 Recorded Future 与 Cyfirma、CERT-UA、Cyble 和 Malwarebytes 的报告证实了调查结果，得出的结论是，这些攻击是由同一攻击者精心策划的，是大规模活动的一部分。 该网络安全公司建议组织使用自动代码扫描工具对从外部存储库获取的所有代码进行代码评估，并识别潜在的恶意软件或可疑模式。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除