2024年3月，Linux流行压缩工具xzUtils（5.6.0和5.6.1版本）曝出名为“XZ后门”的恶意软件，震惊了全球安全社区。 该后门（如果成功进入Linux正式发行版）允许攻击者通过SSH身份验证绕过秘密访问全球运行Linux的关键基础设施系统并执行任意命令，堪称“核弹级”后门。 XZ后门影响范围广泛，包括Debian、Ubuntu、Fedora、CentOS等多个主流Linux发行版（主要为测试和实验版本）。由于liblzma库被广泛应用于各类软件和系统中，因此潜在受影响的系统数量可能达到数百万台。 以下是受XZ后门影响的Linux发行版本最新核查清单： Red Hat已确认Fedora Rawhide（Fedora Linux的当前开发版本）和FedoraLinux40beta包含存在后门的xz版本（5.6.0、5.6.1），Red Hat Enterprise Linux(RHEL)版本不受影响。 OpenSUSE维护者表示，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期间的更新包含了受影响的xz版本，SUSE Linux Enterprise和/或Leap不受影响。 Debian稳定版本不受影响，受影响的是Debian测试、不稳定和实验版本，Debian维护者“敦促这些版本的用户更新xz-utils软件包”。 OffSec证实，在3月26日至3月29日期间更新安装的Kali Linux用户会受到影响。 一些Arch Linux虚拟机和容器映像以及安装介质包含受影响的XZ版本。 Ubuntu的所有发行版本均不受影响。 Linux Mint不受影响。 Gentoo Linux不受影响。 Amazon Linux客户不受影响。 Alpine Linux不受影响。 检测工具和脚本汇总 XZ后门曝光后，全球安全社区夜以继日分析恶意样本查找攻击源头，并不断推出检测工具和脚本，以下是最新汇总： Freund检测脚本。该脚本可以检测容易遭受XZ后门利用的SSH二进制文件，以及检查系统使用的liblzma库是否包含后门。https://support.nagios.com/forum/viewtopic.php?p=216847 Binarly在线扫描工具。允许用户上传任何二进制文件进行分析，查看是否存在后门植入。https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor Bitdefender扫描工具。需要root权限才能运行（Bitdefender提供了工具源码），可以查找受感染的liblzma库以及识别后门注入的字节序列。https://www.bitdefender.com.br/consumer/support/answer/27873/ YARA规则。ElasticSecurityLabs的研究人员公布了他们对XZ后门的分析报告，并提供了YARA规则、检测规则以及osquery查询，供Linux管理员用来发现可疑的liblzma库和识别sshd行为异常。https://www.elastic.co/security-labs XZ-Hunter扫描工具。2024年4月10日，安全公司Intezer发布了一款名为“XZ-Hunter”的工具，可以用于检测xz后门。该工具可以扫描系统中的所有文件，并识别出被后门感染的文件。https://intezer.com/   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/hJZC5u9eeCKXNpJB8iudvg 封面来源于网络，如有侵权请联系删除

固件安全厂商Binarly近日紧急发布了一款免费在线Linux后门扫描工具，用于检测可能受CVE-2024-3094漏洞影响的所有Linux可执行文件。 CVE-2024-3094是在XZ Utils中发现的，史上最危险、最复杂（但“功亏一篑”）的软件供应链攻击之一。曝出该漏洞的XZ Utils是一套广泛应用于主流Linux发行版的压缩工具和库，但Binarly推出的后门程序扫描工具的检测范围不限于XZ Utils。 去年底，微软工程师Andres Freud在调查DebianSid（滚动发行版）SSH登录异常（缓慢）时，发现最新版本的XZ Utils软件包存在后门程序。该后门由代号为“匿名贡献者”的人士引入到XZ5.6.0版本中，并延续到5.6.1版本。不过，由于采用“激进更新”方式的Linux发行版和版本较少，因此大多数使用早期安全库版本的發行版并未受到影响。 XZ后门发现后，大量部门和企业立即启动了检测和修复工作。美国网络安全与基础设施安全局(CISA)建议降级到XZUtils5.4.6稳定版，并持续追踪和报告相关恶意活动。 Binarly指出，迄今为止的XZ后门威胁缓解工作主要依靠简单的检测方法，例如字节字符串匹配、文件哈希黑名单和YARA规则，这些方法不仅会带来大量误报警报，还无法检测其他项目中类似的后门程序。 为了解决这个问题，Binarly开发了一款针对特定库和携带相同后门的任何文件的专用扫描器。 Binarly表示：“如此复杂且专业设计的综合性植入框架并非一次性操作就可以完成的。它可能已经被部署在其他地方，或部分用于其他操作。这就是我们开始专注于这种复杂后门的更通用检测方法的原因。” XZ后门通过修改IFUNC调用来拦截或挂钩执行，从而插入恶意代码。Binarly的检测方法采用静态分析二进制文件的方式，识别GNU间接函数(IFUNC)转换过程中的篡改行为。 具体来说，扫描器会检查在植入恶意IFUNC解析器过程中标记为可疑的转换。GCC编译器的IFUNC属性允许开发人员创建同一函数的多个版本，然后根据处理器类型等各种标准在运行时进行选择。 Binarly解释道：“XZ后门利用GCC编译器用于运行时解析间接函数调用的GNU间接函数(ifunc)属性，作为其在执行过程中获取初始控制的核心技术之一。植入的后门代码最初会拦截或挂钩执行。它修改ifunc调用，替换原本应该简单调用“cpuid”的“is_arch_extension_supported”检查，转而调用由有效载荷对象文件（例如liblzma_la-crc64-fast.o）导出的“_get_cpuid”，并调用植入下图所示代码中的恶意_get_cpuid()。” Binarly的扫描器通过检测除XZ Utils项目之外的各种供应链组件来提高检测率，并且检测结果的可信度也大大提高。 Binarly的首席安全研究员兼首席执行官Alex Matrosov表示：“这种检测基于行为分析，可以自动检测任何类似的后门程序变种。即使经过重新编译或代码更改，我们也能检测到它。” 该后门扫描器现已上线，网址为xz.fail，用户可免费上传二进制文件进行无限次的检测。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/B3gXXtxze233gtkBeOX4kg 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，Cisco Talos分享的一份报告显示，中东的电信服务提供商最近沦为ShroudedSnooper网络威胁组织的目标，并被部署了名为 HTTPSnoop 的隐形后门。 HTTPSnoop 是一种简单而有效的后门程序，它采用新颖的技术与 Windows HTTP 内核驱动程序和设备连接，以监听对特定 HTTP(S) URL 的传入请求，并在受感染的端点上执行这些内容。此外，它还有一个代号为 PipeSnoop 的姊妹植入程序，可以接受来自命名管道的任意 shellcode并在受感染的端点上执行。 研究人员怀疑 ShroudedSnooper 利用面向互联网的服务器并部署 HTTPSnoop 来获得对目标环境的初始访问权限，这两种恶意软件菌株都会冒充 Palo Alto Networks 的 Cortex XDR 应用程序（“CyveraConsole.exe”）的组件以进行隐藏。 到目前为止，研究人员已检测到三个不同的 HTTPSnoop 样本。该恶意软件使用低级 Windows API 来侦听与预定义 URL 模式匹配的传入请求，然后提取 shellcode 在主机上执行。 Talos 研究人员表示，HTTPSnoop 使用的 HTTP URL 以及与内置 Windows Web 服务器的绑定表明，它很可能设计用于在互联网公开的 Web 和 EWS 服务器上工作。但顾名思义，PipeSnoop 可以通过 Windows IPC 管道进行读取和写入，以实现其输入/输出 (I/O) 功能。这表明该植入程序可能旨在在受感染的企业内进一步发挥作用，而不是像 HTTPSnoop 这样面向公众的服务器，并且可能旨在针对一些高价值目标。 近年来，针对电信行业（尤其是中东地区）的攻击已成为一种趋势。2021 年 1 月，ClearSky发现了一系列由黎巴嫩 Cedar 策划，针对美国、英国和中东亚洲电信运营商的攻击。同年 12 月，博通旗下的赛门铁克揭露了可能是伊朗威胁组织MuddyWater（又名 Seedworm）针对中东和亚洲电信运营商发起的间谍活动。   转自Freebuf，原文链接：https://www.freebuf.com/news/378621.html 封面来源于网络，如有侵权请联系删除

Patchwork也被称为“Operation Hangover”和“Zinc Emerson”，被怀疑是来自印度的APT组织。该组织发起的攻击链至少自 2015 年 12 月起就开始活跃，其关注点很窄，专门针对中国和巴基斯坦进行鱼叉式网络钓鱼和水坑攻击并植入特定程序。 EyeShell 是一个基于 .NET 的模块化后门，具有与远程命令和控制 (C2) 服务器建立联系，可以枚举文件和目录、向主机下载和上传文件、执行指定文件、删除文件和捕获屏幕截图。 研究还发现，该组织其他与印度相关的网络间谍组织（包括SideWinder和DoNot Team）在战术上均存在重叠。 近两年来，Knownsec 404高级威胁情报团队多次实时、提前发现该组织针对国内重点高校、科研院所、科研院所等相关研究组织和机构的攻击行为，并多次成功预警这些行为。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2091/ 封面来自网络，作者：K&Nan@知道创宇 404高级威胁情报团队。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

台湾电脑组件制造商技嘉公司宣布了BIOS更新，旨在消除最近在其数百块主板中发现的后门功能。固件和硬件安全公司Eclypsium上周披露的问题是，270多块技嘉主板的固件会在开机时执行一个Windows二进制文件，以从技嘉的服务器上获取和执行一个载荷。 作为一个与技嘉应用中心有关的功能，该后门似乎没有被用于恶意目的，但众所周知，威胁者在以前的攻击中曾滥用过这种工具。 当Eclypsium公开其发现时，它说目前还不清楚该后门是由恶意的内部人员、技嘉的服务器被破坏还是供应链攻击造成的。在Eclypsium发表报告后不久，技嘉公司宣布发布BIOS更新，解决该漏洞。 “技嘉的工程师已经减轻了潜在的风险，在对技嘉主板上的新BIOS进行全面测试和验证后，将英特尔700/600和AMD500/400系列Beta BIOS上传到了官方网站，”该公司在上周末宣布。 英特尔500/400和AMD 600系列芯片组主板以及之前发布的主板的BIOS更新也将在上周末发布。 该更新解决了”Eclypsium报告的下载助手漏洞”，A520 Aorus Elite rev 1.0主板可用的最新BIOS的发布说明中提到。该更新在系统启动时实施了更严格的安全检查，包括改进了对从远程服务器下载的文件的验证和对远程服务器证书的标准验证。 该公司表示，新的安全增强措施应能防止攻击者在启动过程中插入恶意代码，并应保证在此过程中下载的任何文件来自具有有效和可信证书的服务器。 机构和终端用户都应该查看Eclypsium列出的270多个受影响的主板型号，如果受到影响，应该前往技嘉的支持网站，检查并下载2023年6月1日之后发布的任何BIOS更新。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7241417883329397307/ 封面来源于网络，如有侵权请联系删除

据观察，名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施，以乌克兰为目标提供自己的侦察和后门工具。 谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作，称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体，称为ANDROMEDA （又名 Gamarue）。 “UNC4210 重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域，并开始对受害者进行分析，以便在 2022 年 9 月有选择地部署 KOPILUWAK 和 QUIETCANARY，”Mandiant 研究人员在上周发表的一份分析报告中表示。 Turla，也被称为 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug，主要针对使用大量自定义恶意软件的政府、外交和军事组织。 自 2022 年 2 月俄乌冲突以来，该组织与一系列针对该国实体的凭证网络钓鱼和侦察工作有关。 2022 年 7 月，谷歌的威胁分析小组 (TAG)透露，Turla 创建了一个恶意 Android 应用程序，据称是为了针对亲乌克兰的黑客活动分子对俄罗斯网站发起分布式拒绝服务 (DDoS) 攻击。 Mandiant 的最新发现表明，Turla 一直在偷偷地将旧感染作为恶意软件分发机制，更不用说利用 ANDROMEDA 通过受感染的 USB 密钥传播这一事实了。这家威胁情报公司表示：“通过 USB 传播的恶意软件仍然是获取组织初始访问权限的有用载体。” 在 Mandiant 分析的事件中，据说 2021年12月在一个未具名的乌克兰组织中插入了一个受感染的 U 盘，最终导致在启动恶意链接 (.LNK) 文件伪装时在主机上部署遗留仙女座工件作为 USB 驱动器中的文件夹。   威胁行为者通过交付第一阶段KOPILUWAK dropper（一种基于 JavaScript 的网络侦察实用程序），重新利用作为 ANDROMEDA 已失效 C2 基础设施一部分的休眠域之一（它于 2022 年 1 月重新注册）来分析受害者。 两天后，即 2022 年 9 月 8 日，攻击进入了最后阶段，执行了一个名为 QUIETCANARY（又名Tunnus）的基于 .NET 的植入程序，导致 2021 年 1 月 1 日之后创建的文件被泄露。 Turla 使用的交易技巧与此前有关该组织在俄乌战争期间进行广泛的受害者分析工作的报道相吻合，这可能有助于它调整后续的利用工作，以获取俄罗斯感兴趣的信息。 这也是为数不多的情况之一，黑客部门被发现以不同恶意软件活动的受害者为目标，以实现其自身的战略目标，同时也掩盖了其作用。 “随着旧的 ANDROMEDA 恶意软件继续从受损的 USB 设备传播，这些重新注册的域会带来风险，因为新的威胁行为者可以控制并向受害者提供新的恶意软件。”研究人员说。 “这种声称广泛分布的、出于经济动机的恶意软件使用的过期域的新技术可以在广泛的实体中实现后续妥协。此外，较旧的恶意软件和基础设施可能更容易被防御者忽视，对各种警报进行分类” COLDRIVER 瞄准美国核研究实验室 调查结果发布之际，路透社报道称，另一个代号为 COLDRIVER（又名 Callisto 或 SEABORGIUM）的俄罗斯国家支持的威胁组织在 2022 年初将美国的三个核研究实验室作为目标。 为此，数字攻击需要为布鲁克海文、阿贡和劳伦斯利弗莫尔国家实验室创建虚假登录页面，以试图诱骗核科学家泄露他们的密码。 这些策略与已知的 COLDRIVER 活动一致，该活动最近被揭穿欺骗了英国和美国的国防和情报咨询公司以及非政府组织、智库和高等教育实体的登录页面。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/_GZLiJAxsPEEf7ahl4EOmA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站，被部署了大量后门，所有网站都具有相同的后门有效载荷。 据悉，这次网络攻击可能影响到许多互联网服务经销商，已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。 2022 年 2 月 11 日，Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪，发现 24 小时内约有 298 个网站感染后门，其中 281 个网站托管在 GoDaddy。 网络安全研究员透漏，感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板，用于将恶意网页注入到用户搜索结果中，进行虚假宣传，诱导受害者购买假冒产品。 此外，攻击者还能够通过更改网站内容等明显违规行为，损害网站声誉，但这些似乎都不是威胁者最终目的。 糟糕的是，这种模式的网络攻击发生在服务器上而不是浏览器上，很难从用户端检测到和阻止，因此本地网络安全工具不会检测到任何可疑的东西。 供应链攻击 此次网络攻击的入侵载体还没有得到确定，虽然看起来很接近供应链攻击，但目前不能证实。 无论如何，如果用户的网站托管在GoDaddy的WordPress管理平台上，请务必尽快扫描wp-config.php文件，查找潜在的后门注入。 值得注意的是，2021 年 11 月，GoDaddy 披露一起数据泄露事件，影响范围涵盖 120 万客户和多个WordPress 管理服务经销商，包含上文提到的六个。 Bleeping Computer 已经联系了 GoDaddy，期望获取更多关于攻击活动的信息，但没有收到回复。 参考文章： https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/   转自 FreebuF ，原文链接：https://www.freebuf.com/news/325232.html 封面来源于网络，如有侵权请联系删除