Sarwent很少受到研究人员的关注，但是该后门恶意软件仍在积极开发中，在持续更新命令并专注于RDP的研发。 Sarwent恶意软件的更新表明，人们对后门功能（例如执行PowerShell命令）的兴趣不断增强； 其更新还显示了使用RDP的偏好； Sarwent被发现至少使用一个与TrickBot运算符相同的二进制签名器。 自2018年以来，Sarwent的使用率在不断提高，但相关的研究报告却很少。 过去，Sarwent功能一直围绕着如何成为装载程序而展开，另外它的AV(防病毒)检查功能在持续更新。   …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1216/     消息来源：sentinelone， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

ESET研究人员剖析了部署在针对亚洲两个重要基础设施领域的多个政府机构和主要组织的攻击中的后门程序。 在这篇与Avast研究员的联合博文中，我们提供了一项技术分析，介绍一种不断发展的RAT技术，自2017年末以来，它被用于各种针对公共和私人目标的间谍活动中。我们观察到该RAT的多起攻击实例，而且都发生在中亚地区。目标对象包括电信和天然气行业中的几家重要公司以及政府机构。 此外，我们把最新的间谍活动与之前发表的三篇报道联系起来：卡巴斯基(Kaspersky)对针对俄罗斯军事人员的Microcin的报道、Palo Alto Networks对针对白俄罗斯政府的BYEBY的报道，以及Checkpoint对针对蒙古公共部门的Vicious Panda的报道。此外，我们还讨论了通常是攻击者工具集中一部分的其他恶意软件。我们选择了“Mikroceen”这个名字来涵盖RAT的所有实例，以感谢卡巴斯基关于这个恶意软件家族的最初报告。这里的拼写错误是我们有意的，为了区别已有的微生物概念，同时也保持发音一致。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1206/   消息来源：welivesecurity， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序，以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一，它包含一个面板，面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本，它是一个用C语言编写的PE可执行文件，只有删除包含后门Powershell脚本的功能。在同样的逻辑下，还发现了另一个PowerShell脚本，它有两个不同的长字符串，包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件，OilRig威胁组织成员还巧妙使用了计俩，将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现，起到欺瞒用户的作用，使用户误认为是应用程序或互联网的接入有问题，而实际上却是在悄悄的将后门安装在系统上。”   消息来源：gbhackers， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞，该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞（CVE-2019-11931）容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞，攻击者需要的只是目标用户的电话号码，并通过WhatsApp向他们发送恶意制作的MP4文件，该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台（包括Google Android，Apple iOS和Microsoft Windows）的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告，受影响的应用程序版本列表如下： 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前，所有用户需要将WhatsApp更新至最新版本，并禁止从应用程序设置中自动下载图像，音频和视频文件。 WhatsApp告诉THN：“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告，并根据行业最佳实践进行了修复。在这种情况下，没有理由相信用户受到了影响。”   消息来源：TheHackerNews， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本，这些版本包含了后门机制，可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中，rest-client 是一个非常流行的 Ruby 库。 这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制，允许攻击者将 cookie 文件发送回受感染对象，并允许攻击者执行恶意命令。研究者调查后发现，这种机制被用于挖矿。 除了 rest-client，还有其它 10 个 Ruby 库也中招，但它们都是通过使用另一个功能齐全的库添加恶意代码，然后以新名称在 RubyGems 上重新上传而创建的。 研究人员分别统计了这些恶意版本在被移除前被下载的次数，一共被下载了三千多次，其中 rest-client 1.6.13 被下载了一千多次： rest-client：1.6.10（下载 176 次），1.6.11（下载 2 次），1.6.12（下载 3 次）和 1.6.13 （下载 1061 次） bitcoin_vanity：4.3.3（下载 8 次） lita_coin：0.0.3（下载 210 次） 即将推出：0.2.8（下载211次） omniauth_amazon：1.0.1（下载 193 次） cron_parser：0.1.4（下载 2 次），1.0.12（下载 3 次） ）和 1.0.13（下载 248 次） coin_base：4.2.1（下载 206 次）和 4.2.2（下载 218 次） blockchain_wallet：0.0.6（下载 201 次）和 0.0.7（下载 222 次） awesome-bot：1.18.0（下载 232 次） doge-coin：1.0.2（下载 213 次） capistrano-colors：0.5.5（下载 175 次） 安全起见，建议在依赖关系树中删除这些库版本，或者升级/降级到安全版本，详情查看： https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie   （稿源：开源中国，封面源自网络。）

来自卡巴斯基实验室（Kaspersky Labs）的安全研究人员周一表示，他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机，向100多万华硕电脑用户发送了恶意软件，导致这些电脑可能存在后门。据台湾地区媒体《中时电子报》报道，华硕今天下午表示，此事件已在华硕的管理及监控之中。 华硕称，媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击，APT通常由第三世界国家主导，针对全世界特定机构用户进行攻击，甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证，目前受影响的数量是数百台，大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。 华硕表示，Live Update为华硕笔记本电脑搭载的自动更新软件，部份机型搭载的版本遭黑客植入恶意程序后，上传至档案服务器(download server)，企图对少数特定对象发动攻击，华硕已主动联系此部份用户提供产品检测及软件更新服务，并由客服专员协助客户解决问题，并持续追踪处理，确保产品使用无虞。 针对此次攻击，华硕已对Live Update软体升级了全新的多重验证机制，对于软体更新及传递路径各种可能的漏洞，强化端对端的密钥加密机制，同时更新服务器端与用户端的软件架构，确保这样的入侵事件不会再发生。   （稿源：，稿件以及封面源自网络。）

网络安全公司Kaspersky表示，去年在攻击者破坏了Asus华硕实时软件更新工具的服务器之后，作为世界上最大电脑制造商之一的华硕无意中在其数千台客户电脑上安装了恶意后门。Kaspersky表示，恶意文件使用了合法的华硕数字证书，使其看起来像是该公司真正的软件更新。 华硕是一家总部位于台湾价值数十亿美元的电脑硬件公司，生产台式电脑，笔记本电脑，移动电话，智能家居系统和其他电子设备，去年在被发现之前，至少已经向客户推送后门五个月时间。 研究人员估计有50万台Windows电脑通过华硕更新服务器接收了恶意后门，尽管攻击者似乎只利用了其中大约600台电脑。恶意软件通过其唯一的MAC地址搜索目标系统，恶意软件会联系到攻击者操作的命令和控制服务器，然后在这些电脑上安装其他恶意软件。 Kaspersky表示，他们在一月份发现了这一攻击，因为他们在扫描工具中添加了一种新的供应链检测技术，可以捕捉隐藏在合法代码中的异常代码片段，或者捕捉在电脑上劫持正常操作的代码。该公司计划下个月在新加坡举行的安全分析师峰会上发布一份关于华硕这次攻击的完整技术文件和演示文稿，并将这种攻击取名为“ShadowHammer”。 当研究人员在1月份联系华硕时，华硕向Kaspersky否认其服务器遭到入侵，并表示恶意软件来自互联网。但Kaspersky表示其收集的恶意软件样本的下载路径直接通向华硕服务器。     （稿源：cnBeta，封面源自网络。）

美国、英国、澳大利亚、新西兰和加拿大五眼联盟(Five Eyes)国家政府发布联合备忘录，要求各大科技企业向政府提供其加密产品的后门，以供执法部门有能力获得访问权。如果企业拒绝提供，那么这些政府会寻求技术的、执法的、 立法机构的或者其它手段，进入加密的设备或者服务。 这份声明来自上周召开的五眼联盟(Five Eyes)国家会议，五眼联盟,是指二战后英美多项秘密协议催生的多国监听组织，联盟国之间互相分享敏感情报。在声明中，五国政府向科技企业施压，要求提供加密产品的后门以供在犯罪调查时“合法”访问设备。该声明鼓励企业自愿向政府提供后门，如果科技企业拒绝并且阻挠，政府将采用强制措施集中力量进行加密破解。目前阶段，要求企业提供后门的请求更像是愿望，而非强制命令或威胁。但声明中提到政府和立法者在破解加密遭遇到了更大的反抗运动，则被视为对执法行为的阻挠。未来不排除将要求企业提供加密信息的请求直接升级为法律行动的可能。   稿源：cnBeta，封面源自网络；

近日，趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件，黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例，其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列，其中一种是 XTRAT 后门（又称“ XtremeRAT ”， BKDR_XTRAT.SMM）与信息窃取者木马 Loki（TSPY_HPLOKI.SM1）一起提供跨平台远程访问木马 Adwind（由趋势科技检测为JAVA_ADWIND.WIL）。而另一个单独的 Adwind RAT 垃圾邮件活动中，研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示，这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org，并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到，其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞，以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来，Adwind 就可以在所有主流操作系统（Windows，Linux，MacOSX，Android）上运行，并且以其各种后门功能而闻名，如（但不限于）： -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传，下载和执行文件 XTRAT 与 Adwind 具有类似的功能，例如信息窃取，文件和注册表管理，远程桌面等。它还具有以下功能： -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作（读取，写入和操作） -进程操作（执行和终止） -服务操作（停止，启动，创建和修改） -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能：执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁，专家建议采取多层次的安全措施，IT 管理员应定期保持网络和系统的修补和更新，并且由于 Adwind 的两种变体都通过电子邮件发送，所以必须确保电子邮件网关的安全，以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析： 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒3月14日消息，安全公司 ESET 发布分析报告称 OceanLotus APT 组织（“ 海莲花 ”，也被称为 APT32 和 APT- c -00） 在其最近的攻击活动中使用了新的后门，旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态，据有关专家介绍，该组织是一个与越南有关的国家资助的黑客组织，其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查，OceanLotus 除了针对多个行业的组织之外，也针对外国政府、持不同政见人士和记者。 目前来看，OceanLotus 的攻击分两个阶段进行，第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点，第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集，这显示了该组织通过选择目标保持隐藏的意图。此外，OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告： 《 ESET_OceanLotus.pdf 》 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。