据观察，名为ToddyCat 的黑客组织使用各种工具来保留对受感染环境的访问权限并窃取有价值的数据。 俄罗斯网络安全公司卡巴斯基将其描述为依靠各种程序从位于亚太地区的主要政府组织（其中一些与国防相关）收集“工业规模”的数据。 安全研究人员 Andrey Gunkin、Alexander Fedotov 和 Natalya Shornikova 表示：“为了从许多主机收集大量数据，攻击者需要尽可能自动化数据收集过程，并提供多种替代方法来持续访问和监控他们攻击的系统。” 该公司于 2022 年 6 月首次记录 ToddyCat，攻击至少自 2020 年 12 月以来针对欧洲、亚洲政府和军事实体。这些入侵利用了一个名为 Samurai 的被动后门，允许远程访问受感染的系统。 此后，研究人员对攻击者的间谍技术进行了更仔细的检查，发现了其他数据泄露工具，例如 LoFiSe 和 Pcexter，用于收集数据并将存档文件上传到 Microsoft OneDrive。 最新的一组程序需要混合隧道数据收集软件，这些软件在攻击者已经获得对受感染系统中特权帐户的访问权限后才可以使用。 包括： 使用 OpenSSH 反向 SSH 隧道 SoftEther VPN，被重命名为看似无害的文件，如“boot.exe”、“mstime.exe”、“netscan.exe”和“kaspersky.exe” Ngrok 和 Krong 将命令和控制 (C2) 流量加密并重定向到目标系统上的某个端口 FRP 客户端，一个基于 Golang 的开源快速反向代理 Cuthead，.NET 编译的可执行文件，用于搜索与特定扩展名或文件名或修改日期匹配的文档 WAExp，一个 .NET 程序，用于捕获与 WhatsApp Web 应用程序相关的数据并将其保存为存档，以及 TomBerBil 从 Google Chrome 和 Microsoft Edge 等网络浏览器中提取 cookie 和凭据 卡巴斯基说：“攻击者正在积极使用绕过防御的技术，试图掩盖他们在系统中的存在。” “为了保护组织的基础设施，我们建议将提供流量隧道的云服务的资源和 IP 地址添加到防火墙拒绝名单中。此外，必须要求用户避免在浏览器中存储密码，因为这有助于攻击者访问敏感信息”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/gdx3Zk9evZCPgYQM5-887Q 封面来源于网络，如有侵权请联系删除

在把枪口瞄准TikTok之后，美国政府又开始努力封杀另一家公司。这次是俄罗斯网络安全公司卡巴斯基，一些人认为该公司是国际安全领域的主要参与者，另一些人则因其与俄罗斯官方的密切联系而闻名。 4 月 9 日，美国有线电视新闻网 (CNN) 报道称，出于国家安全考虑，拜登政府正在采取“不寻常的举措”，发布一项命令，禁止美国公司和公民使用卡巴斯基实验室开发的软件。该禁令预计将于四月通过新的商务部当局实施。 Techopedia 采访了国家安全和人权律师伊琳娜·祖克曼(Irina Tsukerman )，了解卡巴斯基的历史、禁令的重要性以及其中的利害关系。 卡巴斯基与俄罗斯 FSB 的关联 禁止卡巴斯基在美国运营的举措并不新鲜。2017年，美国禁止所有联邦机构使用卡巴斯基产品。2022 年 3 月，俄乌冲突爆发一天后，路透社报道称，美国政府私下警告美国公司，莫斯科可能会操纵俄罗斯网络安全公司卡巴斯基设计的软件造成伤害。 在美国和俄罗斯之间紧张局势加剧以及网络战和间谍活动升级的情况下，Tsukerman解释了卡巴斯基的作用。 “随着美俄关系恶化，俄罗斯被视为更大的威胁，网络战的作用呈指数级扩大，卡巴斯基等安全机构的作用[据称]被国家用来从事间谍活动。” 为什么美国要在全国范围内禁止卡巴斯基 虽然美国联邦机构已经被禁止使用卡巴斯基实验室软件，但禁止该国公民和公司这样做是许多人称之为历史性和前所未有的举措。 接近 CNN 的消息人士称，美国政府多年来一直相信俄罗斯政府可以强迫该公司交出数据或使用其防病毒软件来试图对美国人进行黑客攻击或监视——卡巴斯基实验室否认了这一指控。 Tsukerman表示，这一行动将禁止美国的私营公司参与卡巴斯基产品和服务，另一方面，也将禁止该公司向美国出口特定的产品和服务。 “值得注意的是，这还不是对卡巴斯基所有业务的全面禁止，尽管担心其产品和服务被滥用，但卡巴斯基尚未被添加到制裁黑名单中。” “正在考虑的一些风险包括对美国关键基础设施的潜在损害。”Tsukerman说。 “尤其是，焦点似乎是卡巴斯基的反病毒软件。” 虽然卡巴斯基尚未进入美国政府制裁黑名单，但在2017年和2022年，美国政府已对其运营采取了行动。 2022年3月25日，美国联邦通信委员会（FCC）将卡巴斯基与中国电信和中国移动一起列入黑名单。 Tsukerman解释了这一新行动与其他行动的不同之处。“最近的举动（可能）是在美国商务部确定可能的威胁之后采取的。” Tsukerman补充说，卡巴斯基实验室不仅是美国的问题，而且是更广泛的问题。 正如彭博社2017 年报道的那样，卡巴斯基与 FSB 合作的指控已经持续了好几年。这些指控在俄乌冲突爆发后重新浮出水面，现在势头更加强劲。 英国国家网络安全中心 (NCSC) 强调了使用俄罗斯网络安全和技术产品的威胁和风险，特别是卡巴斯基反病毒软件 (AV)。 NCSC 表示：“我们解释了风险，并建议政府国家安全部门确保他们不使用俄罗斯产品，例如卡巴斯基反病毒软件 (AV)。” 卡巴斯基的起源和早期历史 据《福布斯》报道，卡巴斯基“之父”是尤金·卡巴斯基，他毕业于克格勃资助的教育机构。尤金在 20 世纪 90 年代初对网络安全“产生了兴趣”，1997 年，尤金·卡巴斯基创立了卡巴斯基实验室并领导了公司的反病毒研究。 Tsukerman谈到了尤金·卡巴斯基，并质疑他与俄罗斯情报机构的联系。 “尤金·卡巴斯基之前在俄罗斯军方的工作经历以及他在克格勃资助的技术学院（密码学）接受的教育导致了他被俄罗斯雇佣来揭露美国网络武器的指控，尽管他否认了这一点。 “美国情报部门普遍认为，任何曾在俄罗斯军事或安全机构工作过的人，即使在转入私营部门后，仍会受到审查或隶属于这些机构。” 到 2016 年，尤金作为一名年轻工程师创立的公司已成为欧洲最大的网络安全软件供应商。如今，据信该公司拥有超过 4 亿个人客户和 24 万家企业客户公司。 “随着时间的推移，俄罗斯国家对私营部门的渗透显着增加。”Tsukerman说。 Tsukerman声称，卡巴斯基实验室在 2012 年改变了方向，当时“高层管理人员离职或被解雇，他们的工作通常由与俄罗斯军方或情报部门关系密切的人来填补”。 彭博社2015 年报道称，“其中一些人利用来自 4 亿客户中部分客户的数据，积极协助克格勃的继任者 FSB 进行刑事调查”。 卡巴斯基针对美国情报部门 2017年，美国政府禁止联邦机构使用卡巴斯基产品后，有指控称，为俄罗斯政府工作的黑客使用卡巴斯基反病毒软件从属于美国国家安全局承包商的家用电脑窃取机密材料。 Tsukerman谈到了这些指控，《华尔街日报》于 2017 年 10 月 5 日在题为“俄罗斯黑客窃取美国国家安全局有关美国网络防御的数据”的报告中首次报道了这些指控。 “根据该报告，该事件发生于 2015 年，直到 2016 年初才被发现。据报道，被盗材料包括“有关美国国家安全局如何渗透外国计算机网络、其用于此类间谍活动的计算机代码以及如何保护美国境内网络的详细信息”。 2017年10月10日，《纽约时报》报道称，这些黑客行为是由以色列情报人员发现的，他们自己侵入了卡巴斯基的网络，并实时记录了用户计算机上关键字的查询方式。 卡巴斯基在一篇博客文章中强烈否认了这些指控。 弹弓行动：卡巴斯基揭露美国针对伊斯兰国和基地组织的情报行动 2018年，前情报官员协会（AFIO）转发了Cyberscoop的一篇文章，声称卡巴斯基揭露了一场由美国主导的网络间谍活动。 现任和前任美国情报官员对媒体表示，此次行动是针对伊斯兰国和基地组织成员的，代表了美国联合特种作战司令部（JSOC）下属的一项军事计划，该司令部是特种作战司令部（SOCOM）的一个组成部分。）。 ”卡巴斯基曝光的技术报告，关于所谓的Slingshot 事件，并没有提及这些行动背后的参与者的名字。“ Tsukuerm 谈到了这起事件时说。 卡巴斯基公开披露了“弹弓”行动，该行动通过被破坏的路由器破坏了非洲和中东多个国家的数千台设备，其中包括阿富汗、伊拉克 、肯尼亚、苏丹、索马里、土耳其和也门。”Tsukuerm 说。 “卡巴斯基的问题不仅在于工具，还在于其运营背后的政治和情报议程。” 卡巴斯基与国家安全局的游戏再次上演 美国国家安全局和卡巴斯基之间的“情报博弈”仍在继续上演。 2015 年 2 月 17 日，路透社报道卡巴斯基曝光了 NSA 网络间谍计划，该计划将间谍软件隐藏在西部数据、希捷、东芝和其他顶级制造商生产的硬盘中。虽然卡巴斯基没有公开提及该活动背后的机构，但他们表示，该机构与美国国家安全局领导的网络武器“震网”密切相关。 卡巴斯基在报告中表示，它发现 30 个国家的个人电脑感染了一种或多种间谍程序，其中伊朗感染最多，其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。卡巴斯基表示，这些目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体和伊斯兰活动人士。 “这一爆料只是卡巴斯基无情揭露的一系列揭露西方间谍活动的独家新闻之一。”Tsukuerm 说。 爱德华·斯诺登-卡巴斯基链接？ 2015 年 6 月， The Intercept发布了爱德华·斯诺登的新文件后，国际媒体报道称，美国国家安全局和英国政府通信总部 (GCHQ) 一直在使用黑客技术瞄准卡巴斯基。 Tsukuerm 表示，这些文件为斯诺登最初的泄密事件增添了一个有趣的进展。 “他们透露，美国国家安全局与政府通讯总部一起针对卡巴斯基，显然卡巴斯基一直在与美国和英国安全机构进行某种情报游戏，尽管卡巴斯基声称自己是一家私营公司”。 ZDNet等科技媒体随后报道称，根据这些新泄露的文件，美国国家安全局和英国政府通讯总部“据报道自 2008 年以来一直在对卡巴斯基实验室和其他反病毒安全公司进行逆向工程。 “国家安全局和政府通信总部显然对卡巴斯基的一些软件进行了逆向工程。”Tsukuerm 说。 “这些事件证实了反病毒软件可以用作间谍软件工具的概念，并在间谍软件生产者和情报机构之间更复杂的行动和对峙中重新出现。” 当爱德华·斯诺登逃往香港和后来的俄罗斯时，许多人认为他不仅仅是一名举报人，事实上，他在逃离美国之前曾被外国情报机构招募。虽然没有具体证据证明这些指控，但情报界的一些人仍然有他们的发言权。 在中央情报局工作了 32 年的资深人士杰克·迪瓦恩 (Jack Devine) 2014 年告诉Politico，斯诺登是他在俄罗斯招募的“那种人”。 “俄罗斯人在寻找机密信息来源方面也毫不懈怠。他们也在寻找斯诺登一家。你不必回溯太远就能看到他们以独特的方式成功招募美国间谍。” 反恶意软件卡巴斯基技术的工作原理 与任何其他防病毒或反恶意软件一样，卡巴斯基安全解决方案会拦截对文件的每次访问，并扫描其中是否存在已知的恶意软件和病毒。Tsukuerm 解释了这项技术如何对国家安全构成威胁。 “该组件在操作系统启动时启动，持续保留在计算机的 RAM 中，并扫描在计算机和所有连接的驱动器上打开、保存或启动的所有文件。”Tskurman 说。 “但是，由于扫描可以访问计算机系统上最敏感的数据，因此它可以轻松收集私人数据，就像用于检测已知威胁一样。” 美国政府多次声称此类技术构成威胁，因为如果 FSB 要求提供这些数据，像卡巴斯基这样的俄罗斯公司将不得不遵守并共享客户数据。 此外，专家表示，通过定期软件更新，可以自动安装恶意负载、恶意软件、间谍软件和后门。 Tsukuerm 解释说，正如本报告中已经提到的，卡巴斯基还暴露了 NSA 的全球业务并对 NSA 工具进行了逆向工程。 “（卡巴斯基）反病毒软件并不是唯一已知的威胁。事实证明，卡巴斯基泄露美国情报运作和各种工具的逆向工程同样令人担忧。” 美国会继续禁止外国数字业务吗？ 针对卡巴斯基的行动——尽管采取了与TikTok 禁令（现已通过国会）不同的道路——似乎标志着美国控制国家数字空间的历史性新行动。 Techopedia 询问Tsukuerm ，美国政府的这一趋势是否会继续下去，以及在不久的将来是否会禁止更多组织。 “在有关据称针对美国官员的报道以及强烈的游说禁止这些软件之后，美国打击了几家以色列和与以色列有联系的商业间谍软件公司，例如NSOGroup、Cundiru和Intellexa Consortium 。”Tsukuerm 说。 “从大局来看，美国政府甚至会很容易干预私人网络安全领域，这取决于利害攸关的内容以及这些信息的呈现方式。” “毫无疑问，美国政府可能会在不久的将来继续进行干预。”Tsukuerm 补充道。 “在当前不断升级的气候下，对俄罗斯、某国和伊朗等彻底敌对国家的可疑公司的审查可能会稍微加快，但正如记录所示，可能与美国商业间谍软件行业竞争的友好公司仍然更多在当前框架下，与与敌对外国情报机构有联系的公司相比，这些公司更有可能成为彻底禁止的目标。” 底线 美国政府针对卡巴斯基产品采取的行动源于对该公司与俄罗斯情报机构的关系及其软件构成的潜在国家安全风险的长期担忧。 该创始人的克格勃背景和据称与俄罗斯联邦安全局的联系引发了对该公司中立性的怀疑。 此外，这家总部位于莫斯科的公司也曾饱受争议。卡巴斯基对美国情报活动的曝光以及其自身涉嫌参与网络间谍活动进一步削弱了信任。 这不是一个孤立的事件——它反映了美国更广泛的政策转变，政府对外国数字业务，尤其是那些被视为威胁的业务采取了更积极的立场。 卡巴斯基并不是第一家面临美国禁令的大公司，也可能不会是最后一家，特别是在与俄罗斯和其他国家的紧张关系持续升级的情况下。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Sfp3HSiULiVN0NKvpmoBmQ 封面来源于网络，如有侵权请联系删除

据Hackread消息，网络安全巨头卡巴斯基的俄语粉丝论坛发生了一起数据泄露事件，名为RGB 的黑客组织窃取了其中56798 名用户的个人数据并公布到了网络上。 该粉丝论坛目前拥有超6万个帖子，是一个非常活跃的平台，用户可以在这里讨论卡巴斯基实验室及其产品、分享教程和寻求故障排除帮助。尽管这一论坛非官方所设，但其数据泄露并不排除里面有卡巴斯基员工数据的存在。令人惊讶的是，此次泄露事件中的近 200 名用户的电子邮件地址均托管在 @kaspersky.com 域名上。 泄露的数据截图 根据 Hackread获得的信息，数据泄露发生在 2024 年 3 月 24 日，但数据直到 2024 年 4 月 4 日才出现在 RGB 的官方网站上，随后又出现在 Breach Forums 和 Telegram 上。经过分析，这些泄露的数据包括了用户的姓名、IP 地址、电子邮件地址、密码哈希值等。 目前论坛管理员已正式确认发生了数据泄露事件，其中一位网名为 “MiStr “的管理员在论坛及其官方 Telegram 频道上发表声明，承认论坛安全受到威胁，并宣布进行大规模密码重置。 论坛管理员发布的声明 不过，该管理员声称，数据泄露源于针对论坛托管服务提供商的黑客攻击。此外，卡巴斯基实验室对此次攻击进行了调查，并确认其服务器、系统或域均未受到此次漏洞的影响。他们强调，该事件仅发生在该粉丝论坛。 RGB 自称是一个黑客组织，此前曾声称入侵过俄罗斯联邦检察官办公室。为了证实他们的说法，该组织泄露了一个 Excel 文件，其中包含 10 万条2013 年刑事案件的信息。 由于该文件是俄文，目前还无法进行彻底分析。不过，熟悉此事的消息人士告诉 Hackread，RGB 组织很可能与另一个名为 “NLB “的黑客实体有关联。据这些消息来源称，NLB 以前出售过一个名为 “俄罗斯联邦总检察长办公室 “的数据库，其中包含 2013 年 1 月至 2022 年 12 月的数据。 2023 年 8 月，NLB 还吹嘘成功入侵了几个著名的俄罗斯平台，包括 SberLogistics、GeekBrains 和 DIKIDI。   转自Freebuf，原文链接：https://www.freebuf.com/news/397320.html 封面来源于网络，如有侵权请联系删除

卡巴斯基的数据显示，2023 年网络犯罪分子平均每天释放 411,000 个恶意文件，比上一年增加 3%。 该公司于 2023 年 12 月 14 日发布的年度安全统计报告显示，特定类型的威胁也在升级。 一个例子是使用恶意文件（Microsoft Office、PDF等）来传播其他恶意软件。2023 年卡巴斯基检测到的 1.25 亿个文件中，有 24,000 个此类文件，较 2022 年增加了 53%。 报告称：“这种增长可能与利用网络钓鱼 PDF 文件的攻击增加有关，这些文件旨在窃取潜在受害者的数据。” 后门使用量增加 Microsoft Windows 仍然是网络攻击的主要目标，占每日检测到的所有恶意软件数据的 88%。同时，卡巴斯基称观察到一些有趣的 macOS 恶意软件样本，特别是在法国、中国和意大利。 许多针对 macOS 系统的恶意文件都伪装成广告软件。 最普遍的恶意软件类型仍然是木马，后门的使用显着增加，检测到的文件数量从 2022 年每天 15,000 个增加到 2023 年每天 40,000 个。 后门是最危险的木马类型之一，它使攻击者能够远程控制受害者的系统，以执行发送、接收、执行和删除文件等任务，以及收集机密数据和记录计算机活动。 Magniber、WannaCry 和 Stop/Djvu 是卡巴斯基检测最多的十个木马家族之一。 微软Office漏洞受青睐 网络犯罪分子尤其青睐 Microsoft Office 服务的漏洞。它们占所有被利用漏洞的 69.10%。 “报告期间因业务应用程序中的许多危险漏洞而被记住，例如MOVEit Transfer 中的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708或Microsoft Outlook 中的CVE-2023-23397。”研究人员指出。 LockBit、BlackCat 和 Clop 是最多产的勒索软件团伙 根据卡巴斯基的遥测数据，排名第一的勒索软件组织是 LockBit，该组织在勒索软件团伙数据泄露网站上公布的受害者数量占勒索软件团伙公开声明的受害者总数的 24.63%。 LockBit 之后是 ALPHV/BlackCat (10.81%) 和 Clop (9.97%)。 卡巴斯基反恶意软件研究主管 Vladimir Kuskov 评论道：“攻击者不断开发新的恶意软件、技术和方法来攻击组织和个人。报告的漏洞数量也在逐年增加，包括勒索软件团伙在内的攻击者组织会毫不犹豫地使用新出现的漏洞武器。” “此外，由于人工智能的普及，网络犯罪的进入门槛正在降低，攻击者利用人工智能来创建具有更令人信服的网络钓鱼消息。在这个时代，对于大型组织和每个普通用户来说，采用可靠的安全解决方案至关重要。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2YWYO7laN-1vusdhGsZk8A? 封面来源于网络，如有侵权请联系删除

在三分之一的企业面临网络安全威胁的世界中，数据泄露统计数据令人震惊。 卡巴斯基实验室在 2022 年至 2023 年进行的一项研究 涵盖了工业、电信、金融和零售等各个行业的 700 家公司，发现其中 223 家公司在数据泄露的情况下在暗市中被提及。 暗网泄露的行业分布（2022 年） 据卡巴斯基实验室称，暗网市场上每月出现约 1,700 条消息，涉及销售、分发或购买因泄露而获得的数据。 研究还表明，并非每条消息都代表独特或相关的泄漏。通常，这些都是重复宣布相同的泄露，按国家/地区合并或拆分数据库，以及包含公共数据（例如来自社交网络）的数据库。例如，2021年，超过 7亿LinkedIn用户 和 5.33亿Facebook用户的个人信息被窃取并发布在暗网上。 在暗网上出售的一种流行的数据类型是对基础设施的访问。2022 年，发现了大约 3,000 个出售此类访问的独特报价，到 2023 年 11 月，其数量超过了 3,100 个。此类访问通常包括企业 VPN 服务的帐户以及内部网络上的一些服务器或主机。 此外，受损帐户是一类重要的数据。此类数据可分为三类： 在网络犯罪社区内自由传播的公开泄密内容； 在黑客论坛和私人聊天中出售的受限泄密内容。有时，这些只是小型数据库，其中包含甚至可以生成的未经验证的信息； 通过恶意软件获得的受损用户帐户 所有三种类型的凭据泄露都对公司构成威胁，因为尽管有限制，员工仍使用公司电子邮件地址在第三方网站上注册。在典型情况下，员工对外部服务和公司资源使用相同的密码，这可以帮助网络犯罪分子获得对公司基础设施的未经授权的访问。 值得注意的是，当发现数据泄露时，没有时间为未实施的安全措施后悔。快速的威胁识别和有效的事件响应计划可以消除这种情况或至少减少损失。   转自安全客，原文链接：https://www.anquanke.com/post/id/291888 封面来源于网络，如有侵权请联系删除

一个名为StripedFly的复杂跨平台恶意软件在网络安全研究人员的眼皮底下活跃了五年，在此期间感染了超过一百万个Windows和Linux系统。 卡巴斯基去年发现StripedFly恶意软件框架的真实意图，发现其从2017年开始活动的证据，该恶意软件被世界各地的安全研究人员错误地归类为门罗币挖矿木马。 分析师将StripedFly描述为令人印象深刻，具有复杂的基于TOR的流量隐藏机制，来自受信任平台的自动更新，类似蠕虫的传播功能，以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞。 虽然目前还不清楚这种恶意软件框架是否被用于创收或网络间谍活动，但卡巴斯基表示，其复杂性表明这是一种APT（高级持续威胁）恶意软件。 根据恶意软件的编译器时间戳，已知最早的具有 EternalBlue 漏洞利用的 StripedFly 版本可追溯到 2016 年 4 月，而影子经纪人组织的公开泄密发生在 2016 年 8 月。 超过一百万个系统被StripedFly感染 StripedFly恶意软件框架是在卡巴斯基发现该平台的shellcode注入到WININI.EXE T进程中后首次发现的，WININIT进程是一个合法的Windows操作系统进程，用于处理各种子系统的初始化。 在调查了注入的代码后，他们确定它从Bitbucket，GitHub和GitLab等合法托管服务（包括PowerShell脚本）下载并执行其他文件，例如PowerShell脚本。 进一步的调查表明，受感染的设备可能首先使用针对互联网暴露计算机的自定义EternalBlue SMBv1漏洞进行破坏。 最终的StripedFly有效载荷（system.img）具有定制的轻量级TOR网络客户端，以保护其网络通信免受拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。 该恶意软件的命令和控制 （C2） 服务器位于 TOR 网络上，与其通信涉及包含受害者唯一 ID 的频繁信标消息。 StripedFly的感染链（卡巴斯基） 为了在Windows系统上实现持久性，StripedFly会根据其运行的特权级别和PowerShell的存在来调整其行为。 如果没有PowerShell，它会在%APPDATA%目录中生成一个隐藏文件。在PowerShell可用的情况下，它会行用于创建计划任务或修改Windows注册表项的脚本。 在 Windows 系统上提供最后阶段有效负载的 Bitbucket 存储库表明，在 2023 年 4 月至 2023 年 9 月期间，已有近 60,000 次系统感染。 据估计，自 2022 年 2 月以来，StripedFly 至少感染了 220,000 个 Windows 系统，但该日期之前的统计数据不可用，该存储库是在 2018 年创建的。 自 2023 年 4 月以来的有效负载下载计数（卡巴斯基） 卡巴斯基估计有超过100万台设备受到StripedFly框架的感染。 恶意软件模块 该恶意软件作为具有可插拔插件模块的二进制可执行文件运行，使其具备与 APT 操作相关的各项功能。 以下是卡巴斯基报告中StripedFly模块的摘要： 配置存储：存储加密的恶意软件配置。 升级/卸载：根据 C2     服务器命令管理更新或删除。 反向代理：允许在受害者的网络上进行远程操作。 杂项命令处理程序：执行各种命令，如屏幕截图捕获和Shell代码执行。 凭据收集器：扫描并收集敏感的用户数据，如密码和用户名。 可重复任务：在特定条件下执行特定任务，例如麦克风录音。 侦察模块：将详细的系统信息发送到 C2     服务器。 SSH 感染者：使用收集的 SSH     凭据渗透其他系统。 SMBv1 感染者：使用自定义的     EternalBlue 漏洞感染其他 Windows 系统。 门罗币挖矿模块：在伪装成“chrome.exe”时进行门罗币挖矿。 门罗币挖矿模块的存在被认为是一种转移视线掩盖意图的尝试，攻击者的真正目标是数据盗窃和由其他模块促进的系统利用。 “该恶意软件框架的有效载荷包含多个模块，使攻击者能够作为APT武器，加密矿工，甚至勒索软件组执行。”卡巴斯基的报告中写道。 卡巴斯基专家强调，该恶意软件框架具有挖矿模块是使其能够长时间隐藏在安全研究者的视线之外的主要因素。 完整的技术报告可参考：https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/KyBtf3RdPuAtsBdI8tD2Ew 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 加拿大首席信息官认定微信和卡巴斯基应用程序对隐私和安全构成了不可接受的风险。 加拿大以隐私和安全风险为由，禁止政府智能手机和其他移动设备使用中国流行的即时通讯应用微信和俄罗斯平台卡巴斯基。 一份声明称，这些应用程序将立即从政府发行的设备中删除，用户今后也将被禁止下载。 负责加拿大联邦公共服务的财政委员会主席 Anita Anand 表示，加拿大首席信息官认为，这些应用程序“对隐私和安全构成了不可接受的风险”。 她补充说，没有发现任何违规行为，但这些平台在移动设备上的数据收集方法“提供了对设备上内容相当大的访问权限”。 Anand 总结说：“移除和屏蔽微信和卡巴斯基应用程序的决定，是为了确保加拿大政府的网络和数据安全，符合我们的国际合作伙伴的做法。” 在此之前，渥太华在2月份也禁止了政府设备上的 TikTok。 去年，乔·拜登总统撤销了前任唐纳德·特朗普以国家安全为由试图禁止TikTok和微信进入美国市场的行政命令后，甲骨文被委托存储美国用户所有的TikTok数据。 渥太华和北京之间的关系，在今年早些时候创下了新低。渥太华指责北京干预加拿大选举，并试图恐吓议员，导致今年5月一名中国外交官被驱逐出境。上周，加拿大政府警告称，一场与中国有关的“Spamouflage”虚假信息运动利用网络帖子和深度伪造的视频，试图贬低和抹黑包括总理 Justin Trudeau 在内的加拿大议员。 一项针对外国干涉指控的公开调查于9月启动，中国外交部驳斥了这些指控，称渥太华“混淆黑白，误导公众舆论”，并敦促加方尊重事实和真相，停止散布涉华谎言。     Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

一个名为 StripedFly 的跨平台恶意软件在网络安全研究人员的眼皮底下潜伏了 5 年，期间感染了 100 多万台 Windows 和 Linux 系统。 卡巴斯基去年发现了这个恶意框架，并找到了它从2017年开始活动的证据。 分析师表示，StripedFly拥有复杂的基于 TOR 的流量隐藏机制、来自可信平台的自动更新、蠕虫式传播能力，以及在公开披露漏洞之前创建的自定义 EternalBlue SMBv1 漏洞利用程序。 虽然目前还不清楚这个恶意软件框架是用于创收还是网络间谍活动，但卡巴斯基表示，它的复杂性表明这是一个 APT（高级持续威胁）恶意软件。 根据该恶意软件的编译器时间戳，StripedFly最早的已知版本是2016年4月，其中包含一个EternalBlue漏洞，而Shadow Brokers组织的公开泄露发生在2016年8月。 StripedFly感染超 100 万个系统 卡巴斯基首次发现StripedFly恶意软件框架是在WININIT.EXE进程中注入了该平台的shellcode之后，WININIT.EXE进程是一个合法的Windows操作系统进程，负责处理各种子系统的初始化。 在对注入的代码进行调查后，他们确定该代码会从 Bitbucket、GitHub 和 GitLab 等合法托管服务下载并执行 PowerShell 脚本等其他文件。 进一步调查显示，受感染的设备很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的，该漏洞针对的是暴露在互联网上的计算机。 StripedFly的最终有效载荷（system.img）采用了定制的轻量级TOR网络客户端，以保护其网络通信不被拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。 该恶意软件的命令和控制（C2）服务器位于 TOR 网络上，与它的通信需要频繁发送包含受害者唯一 ID 的信标信息。 StripedFly的感染链 为了在 Windows 系统上持久运行，StripedFly 会根据其运行的权限级别和 PowerShell 的存在调整其行为。 如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。在有 PowerShell 的情况下，它会执行用于创建计划任务或修改 Windows 注册表键值的脚本。 在 Linux 上，恶意软件的名称为 “sd-pam”。它使用 systemd 服务、自动启动 .desktop 文件或修改各种配置文件和启动文件来实现持久性。 在 Windows 系统上提供最后阶段有效载荷的 Bitbucket 存储库显示，从 2023 年 4 月到 2023 年 9 月，已经有近 60000 次系统感染。 据估计，自 2022 年 2 月以来，StripedFly 已感染了至少 22 万个 Windows 系统，但该日期之前的统计数据无法查明，而且该存储库创建于 2018 年。 不过，卡巴斯基估计有超过 100 万台设备感染了 StripedFly 框架。 恶意软件模块 该恶意软件以单体二进制可执行文件的形式运行，并带有可插拔模块，这使其具备了通常与 APT 行动相关的多功能操作性。 以下是卡巴斯基报告中对 StripedFly 模块的总结： 配置存储： 存储加密的恶意软件配置。 升级/卸载： 根据 C2 服务器命令管理更新或删除。 反向代理： 允许在受害者网络上进行远程操作。 杂项命令处理程序： 执行各种命令，如截图捕获和 shellcode 执行。 凭证收集器： 扫描并收集密码和用户名等敏感用户数据。 可重复任务： 在特定条件下执行特定任务，如麦克风录音。 侦察模块： 向 C2 服务器发送详细的系统信息。 SSH 感染器： 使用获取的 SSH 凭据渗透其他系统。 SMBv1 感染者： 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系统。 Monero 挖矿模块： 在伪装成 “chrome.exe “进程的同时挖掘 Monero。 卡巴斯基在报告中写道：恶意软件的有效载荷包含多个模块，使行为者能够以 APT、加密货币矿工甚至勒索软件群组的身份执行任务。 值得注意的是，该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元，而2017年的价值约为10美元。截至2023年，其价值一直维持在150美元左右。 卡巴斯基专家强调，挖矿模块是该恶意软件能够长期逃避检测的主要因素。   转自Freebuf，原文链接：https://www.freebuf.com/news/382025.html 封面来源于网络，如有侵权请联系删除

2023年6月，卡巴斯基曝光了一起高级持续威胁（APT）攻击——“三角测量行动”，攻击者秘密从受感染设备中窃取敏感信息， 近日，卡巴斯基发布报告，详细介绍了“三角测量行动”进一步的技术细节。报告指出，该攻击框架的核心是一个名为TriangleDB 的后门，该植入程序包含至少四个不同的木块，用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。 攻击者利用 CVE-2023-32434（一个可被滥用执行任意代码的内核漏洞）获得目标 iOS 设备的 root 权限后部署该后门。 现在，根据俄罗斯网络安全公司的说法，植入程序的部署之前有两个验证器阶段，即 JavaScript 验证器和二进制验证器，执行这些阶段以确定目标设备是否与研究环境无关。 卡巴斯基研究人员 Georgy Kucherin、Leonid Bezvershenko 和 Valentin Pashkov在周一发布的一份技术报告中表示：“这些验证器收集有关受害设备的各种信息，并将其发送到 C2 服务器。” “然后，这些信息将用于评估要植入 TriangleDB 的 iPhone 或 iPad 是否可能是研究设备。通过执行此类检查，攻击者可以确保他们的零日漏洞和植入物不会被烧毁。” 背景知识：攻击链的起点是受害者收到的不可见 iMessage 附件，该附件会触发零点击漏洞利用链，旨在秘密打开包含模糊 JavaScript 和加密负载的唯一 URL。 有效负载是 JavaScript 验证器，除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外，还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。 此步骤之后收集的信息将传输到远程服务器，以便接收未知的下一阶段恶意软件作为回报。在一系列未确定的步骤之后还交付了二进制验证器，这是一个执行以下操作的 Mach-O 二进制文件 ： 从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志，以清除可能被利用的痕迹 删除从 36 个不同的攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件的证据 获取设备和网络接口上运行的进程列表 检查目标设备是否越狱 开启个性化广告跟踪 收集有关设备的信息（用户名、电话号码、IMEI 和 Apple ID），以及 检索已安装应用程序的列表 研究人员表示：“这些操作的有趣之处在于，验证器同时针对 iOS 和 macOS 系统实现了它们。”他补充说，上述操作的结果会被加密并渗透到命令和控制 (C2) 服务器以获取TriangleDB 植入。 后门采取的最初步骤之一是与 C2 服务器建立通信并发送心跳，随后接收删除崩溃日志和数据库文件的命令，以掩盖取证线索并妨碍分析。 还向植入程序发出定期从 /private/var/tmp 目录中提取文件的指令，其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。 麦克风录音模块的一个显着特点是它能够在设备屏幕打开时暂停录音，表明威胁行为者在雷达下飞行的意图。 此外，位置监控模块经过精心设计，可使用 GSM 数据，例如移动国家代码 ( MCC )、移动网络代码 (MNC) 和位置区域代码 ( LAC )，在 GPS 数据不可用时对受害者的位置进行三角测量。 研究人员表示：“三角测量背后的对手非常小心地避免被发现。” “攻击者还表现出了对 iOS 内部结构的深入了解，因为他们在攻击过程中使用了未记录的私有 API。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290976 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络和基础设施安全局在其已知漏洞目录（Known Exploited Vulnerabilities）中了新增一批漏洞，该举动揭示了近期恶意利用行为的活跃性。 此次更新包括了苹果公司本周修补的3个漏洞(CVE-2023-32434, CVE-2023-32435,CVE-2023-32439)，VMware公司的2个漏洞(CVE-2023-20867,CVE-2023-20887)以及影响Zyxel设备的漏洞(CVE-2023-27992)。 作为长达数年的（2019年起）网络间谍活动的一部分，CVE-2023-32434和CVE-2023-32435都允许代码执行，它们被利用为零日漏洞（零时差攻击）来部署间谍软件。该间谍活动被称为“三角测量行动”(Operation Triangulation)，其最终目的是部署TriangleDB，并从受损设备中获取广泛的信息：创建、修改、删除和窃取文件；遍历和终止进程；从iCloud Keychain收集证书以及跟踪用户的位置。 攻击链始于带有附件的iMessage，当目标受害者收到短信后，附件自动触发有效载荷的执行。这种无需任何交互的特性使其成为零点击漏洞。网络安全公司卡巴斯基在最初的报告中指出:“恶意短信是畸形的，它不会为用户触发任何警报或通知。” CVE-2023-32434和CVE-2023-32435是iOS系统中被间谍攻击滥用的两个漏洞。其中CVE-2022-46690是IOMobileFrameBuffer中的一个严重的越界写入问题，它可以被异常应用程序武器化，以核心特权执行任意代码。苹果公司在2022年12月改进了输入验证，弥补了这一缺陷。 卡巴斯基公司为 TriangleDB做出了以下标记：包含引用 macOS 的未使用功能，寻求访问设备麦克风、摄像头和据称可以在未来使用的地址簿权限。今年年初，这家俄罗斯网络安全公司检测到自己的企业网络遭到入侵，于是开始了对“三角测量”行动的调查。 鉴于活跃的漏洞利用情况，美国联邦民事执行部门(FCEB)的各机构被建议应用供应商提供的补丁来保护其网络，免受潜在威胁。 与此同时，CISA 发布了伯克利互联网名称域 (BIND) 9 域名系统 (DNS) 软件套件中3个错误的警报，这些错误可能为拒绝服务 (DoS) 铺平道路。 CVE-2023-2828、CVE-2023-2829和CVE-2023-2911 (CVSS评分:7.5)可以被远程利用，导致名为BIND9的服务意外终止或运行命名的主机上所有可用内存耗尽，从而导致DoS发生。 这已经是互联网系统联盟 (ISC) 在不到六个月的时间里第二次发布补丁，来解决在BIND9中类似于 DoS 和系统故障的问题。     消息来源：The Hacker News，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文