HackerNews 编译，转载请注明出处： Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。 该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。 “Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。 受影响的产品和版本如下： – Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布） – Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移） – Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布） – ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布） Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。 Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。” 值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。 谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。 攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。 SPAWN恶意软件生态系统包括以下组件： – SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器 – SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密 – SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠） SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。 根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。 “Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。 “政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。” 除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。 该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。 “UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。 “这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。” 更新： 美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。 该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。 “组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客组织正在通过发布恶意npm包来传播BeaverTail恶意软件，以及一个新的远程访问木马（RAT）加载器，这是他们正在进行的“Contagious Interview”活动的一部分。 “这些最新的样本使用十六进制字符串编码来逃避自动化检测系统和手动代码审计，这表明威胁行为者在混淆技术上的变化，”Socket安全研究员Kirill Boychenko在一份报告中表示。 这些恶意包在被移除前总共被下载了5600多次，包括： – empty-array-validator – twitterapis – dev-debugger-vite – snore-log – core-pino – events-utils – icloud-cod – cln-logger – node-clog – consolidate-log – consolidate-logger 这一发现是在一个月前发现一系列npm包分发BeaverTail之后，BeaverTail是一种JavaScript窃取器，还能分发基于Python的后门，名为InvisibleFerret。 该活动的最终目标是以求职面试过程为幌子，渗透开发者的系统，窃取敏感数据，转移金融资产，并维持对受感染系统的长期访问。 新发现的npm库伪装成实用工具和调试器，其中dev-debugger-vite使用了SecurityScorecard在2024年12月名为“Phantom Circuit”的活动中标记为Lazarus Group使用的C2地址。 这些包的突出之处在于，其中一些，如events-utils和icloud-cod，与Bitbucket仓库相关联，而不是GitHub。此外，icloud-cod包被发现在一个名为“eiwork_hire”的目录中托管，再次强调了威胁行为者使用与面试相关的主题来激活感染。 对cln-logger、node-clog、consolidate-log和consolidate-logger包的分析还发现了一些代码级别的细微变化，表明攻击者正在发布多个恶意软件变体，以提高活动的成功率。 尽管有所变化，这四个包中嵌入的恶意代码作为一个远程访问木马（RAT）加载器，能够从远程服务器传播下一阶段的有效载荷。 由于C2端点不再提供有效载荷，目前尚不清楚通过加载器传播的恶意软件的确切性质。然而，Boychenko表示，该代码作为一个活跃的恶意软件加载器，具有远程访问木马（RAT）功能，能够动态获取并执行远程JavaScript，使朝鲜攻击者能够在受感染的系统上运行任意代码。这种行为使他们能够部署任何他们选择的后续恶意软件，使加载器本身成为一个重大威胁。 这些发现表明了“Contagious Interview”的持续性，它不仅对软件供应链构成持续威胁，还采用了臭名昭著的ClickFix社会工程战术来分发恶意软件。 “Contagious Interview威胁行为者继续创建新的npm账户，并在npm注册表、GitHub和Bitbucket等平台上部署恶意代码，展示了他们的持续性，并且没有放缓的迹象，”Boychenko说。 “这个高级持续性威胁（APT）组织正在多样化其战术——在新的别名下发布新的恶意软件，在GitHub和Bitbucket仓库中托管有效载荷，并重用BeaverTail和InvisibleFerret等核心组件，以及新观察到的RAT/加载器变体。” BeaverTail部署Tropidoor# 新npm包的发现正值韩国网络安全公司AhnLab详细描述了一项以招聘为主题的网络钓鱼活动，该活动分发了BeaverTail，然后用于部署一个以前未记录的Windows后门，代号为Tropidoor。该公司的分析显示，BeaverTail正在积极针对韩国的开发者。 该电子邮件声称来自一家名为AutoSquare的公司，包含一个指向Bitbucket上托管项目的链接，敦促收件人在本地克隆项目以审查他们对程序的理解。 该应用程序实际上是一个包含BeaverTail（“tailwind.config.js”）和一个DLL下载器恶意软件（“car.dll”）的npm库，后者由JavaScript窃取器和加载器启动。 Tropidoor是一个通过下载器在内存中运行的后门，能够联系C2服务器以接收指令，从而可以窃取文件、收集驱动器和文件信息、运行和终止进程、截取屏幕截图，以及通过用NULL或垃圾数据覆盖来删除或擦除文件。 该植入程序的一个重要方面是，它直接实现了Windows命令，如schtasks、ping和reg，这一功能之前也在Lazarus Group的另一种名为LightlessCan的恶意软件中观察到，LightlessCan是BLINDINGCAN（又名AIRDRY或ZetaNile）的后续产品。 AhnLab表示：“用户不仅要警惕电子邮件附件，还要警惕来自未知来源的可执行文件。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在 npm 注册表上发现了两个恶意软件包，它们旨在感染本地安装的另一个软件包，这凸显了针对开源生态系统的软件供应链攻击的持续演变。 这些软件包分别是 ethers-provider2 和 ethers-providerz。前者自 2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包可能被恶意软件作者自己移除，因此没有吸引任何下载。 “它们是简单的下载程序，恶意载荷隐藏得非常巧妙，”ReversingLabs 研究员 Lucija Valentić 在一份与《黑客新闻》分享的报告中表示。 “有趣的部分在于它们的第二阶段，会‘修补’本地安装的合法 npm 软件包 ethers，用包含恶意载荷的新文件替换。该修补后的文件最终会提供反向 Shell。” 这一发展标志着威胁者战术的新升级，因为即使卸载了恶意软件包，也不会清除受感染机器上的恶意功能，因为更改位于流行的库中。此外，如果用户在 ethers-provider2 仍存在于系统中时卸载了 ethers 软件包，当稍后再次安装该软件包时，存在重新感染的风险。 ReversingLabs 对 ethers-provider2 的分析显示，它不过是广泛使用的 ssh2 npm 软件包的特洛伊版本，在 install.js 中包含恶意载荷，以从远程服务器（“5.199.166[.]1:31337/install”）检索第二阶段恶意软件，将其写入临时文件并运行。 执行后，临时文件会立即从系统中删除，试图避免留下任何痕迹。第二阶段载荷则开始无限循环，检查 npm 软件包 ethers 是否本地安装。 如果该软件包已经存在或新安装，它会通过替换名为 “provider-jsonrpc.js” 的文件之一的伪造版本采取行动，该版本包含额外代码，从同一服务器获取并执行第三阶段。新下载的载荷作为反向 Shell，通过 SSH 连接到威胁者的服务器。 “这意味着，使用此客户端建立的连接在从服务器收到自定义消息后会变成反向 Shell，”Valentić 表示。“即使将软件包 ethers-provider2 从受感染的系统中移除，在某些情况下客户端仍会被使用，为攻击者提供一定程度的持久性。” 在此阶段值得注意的是，npm 注册表上的官方 ethers 软件包并未被破坏，因为恶意修改是在安装后在本地进行的。 第二个软件包 ethers-providerz 也表现出类似的行为，试图修改本地安装的 npm 软件包 “@ethersproject/providers” 相关的文件。该库针对的确切 npm 软件包未知，但源代码引用表明可能是 loader.js。 这些发现揭示了威胁者在开发者系统中提供和持久化恶意软件的新方式，这使得在下载和使用之前仔细审查来自开源存储库的软件包变得至关重要。 “尽管下载量低，但这些软件包功能强大且恶意，”Valentić 表示。“如果它们的使命成功，它们将破坏本地安装的软件包 ethers，即使该软件包被移除，也能在受感染的系统上保持持久性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： YouTube 上推广游戏外挂的视频被用于传播一种名为 Arcane 的未被记录在案的盗取器恶意软件，该软件可能针对俄语用户。 卡巴斯基在一份分析报告中表示：“这种恶意软件的有趣之处在于它收集的信息量之大。”它会从 VPN 和游戏客户端，以及 ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 等各种网络工具中抓取账户信息。 攻击链涉及在 YouTube 视频中分享指向受密码保护的存档文件的链接，打开后，该存档文件会解压出一个名为 start.bat 的批处理文件，该文件负责通过 PowerShell 检索另一个存档文件。 随后，该批处理文件利用 PowerShell 启动新下载存档文件中嵌入的两个可执行文件，同时禁用 Windows SmartScreen 保护功能，并将每个驱动器根文件夹设置为 SmartScreen 过滤器的例外。 这两个二进制文件中，一个是加密货币矿工，另一个是名为 VGS 的盗取器，它是 Phemedrone 盗取器恶意软件的一个变种。截至 2024 年 11 月，攻击者已被发现用 Arcane 替代了 VGS。 “尽管其中很多内容是从其他盗取器中借鉴而来的，但我们无法将其归因于任何已知的家族。”这家俄罗斯网络安全公司指出。 除了从各种基于 Chromium 和 Gecko 的浏览器中窃取登录凭证、密码、信用卡数据和 Cookie 外，Arcane 还能够收集全面的系统数据，以及以下多个应用程序的配置文件、设置和账户信息： VPN 客户端：OpenVPN、Mullvad、NordVPN、IPVanish、Surfshark、Proton、hidemy.name、PIA、CyberGhost 和 ExpressVPN 网络客户端和工具：ngrok、Playit、Cyberduck、FileZilla 和 DynDNS 通讯软件：ICQ、Tox、Skype、Pidgin、Signal、Element、Discord、Telegram、Jabber 和 Viber 电子邮件客户端：Microsoft Outlook 游戏客户端和服务：Riot Client、Epic、Steam、Ubisoft Connect（原 Uplay）、Roblox、Battle.net 以及各种 Minecraft 客户端 加密货币钱包：Zcash、Armory、Bytecoin、Jaxx、Exodus、Ethereum、Electrum、Atomic、Guarda 和 Coinomi 此外，Arcane 还被设计为能够截取受感染设备的屏幕截图，枚举正在运行的进程，并列出已保存的 Wi-Fi 网络及其密码。 “大多数浏览器会生成唯一密钥，用于加密其存储的敏感数据，如登录信息、密码、Cookie 等。”卡巴斯基表示，“Arcane 利用数据保护 API（DPAPI）获取这些密钥，这是盗取器的典型行为。” “但 Arcane 还包含一个名为 Xaitax 的工具的可执行文件，它利用该工具破解浏览器密钥。为此，该工具会被秘密地写入磁盘并启动，盗取器从其控制台输出中获取所需的全部密钥。” 此外，该盗取器恶意软件还采用了一种单独的方法，通过调试端口启动浏览器副本，从而从基于 Chromium 的浏览器中提取 Cookie。 该行动背后的不明威胁行为者已经扩大了他们的业务范围，包括一个名为 ArcanaLoader 的加载器，该加载器声称用于下载游戏外挂，但实际上却传播盗取器恶意软件。俄罗斯、白俄罗斯和哈萨克斯坦已成为此次行动的主要目标。 “这场特定的活动之所以有趣，是因为它展示了网络犯罪分子的灵活性，他们始终在更新他们的工具和分发方法。”卡巴斯基表示，“此外，Arcane 盗取器本身也很有趣，因为它收集了各种不同的数据，并且使用了各种技巧来提取攻击者想要的信息。” 消息来源：TheHackerNews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据CyberArk的研究发现，一款名为MassJacker的新型剪贴板恶意软件正在威胁使用盗版软件的用户，该恶意软件通过替换用户复制的加密货币钱包地址，将资金引流向攻击者控制的钱包，进而窃取加密货币。 剪贴板恶意软件是一种专门设计用于拦截和操纵剪贴板数据的恶意软件，通常用于窃取加密货币。当受害者复制一个加密货币钱包地址时，该恶意软件会将其替换为攻击者控制的地址，从而将资金转至黑客而非预期接收者。 “感染链始于一个名为pesktop[.]com的网站，该网站以提供盗版软件为幌子，同时试图让人们下载各种恶意软件。”安全研究员阿里·诺维克在本周早些时候发布的一份分析报告中表示。 最初的可执行文件充当了一个通道，用于运行一个PowerShell脚本，该脚本会交付一个名为Amadey的僵尸网络恶意软件，以及两个分别针对32位和64位架构的.NET可执行文件。 名为PackerE的二进制文件负责下载一个加密的DLL，该文件随后加载第二个DLL文件，通过将其注入名为“InstalUtil.exe”的合法Windows进程中来启动MassJacker的有效载荷。 加密的DLL具备多种增强其规避和反分析能力的功能，包括即时（JIT）挂钩、元数据令牌映射以隐藏函数调用，以及一个自定义虚拟机来解释命令，而非运行常规的.NET代码。 MassJacker自身带有反调试检查和一个配置文件，用于检索所有用于标记剪贴板中加密货币钱包地址的正则表达式模式。它还会联系远程服务器以下载包含攻击者控制的钱包列表的文件。 “MassJacker创建了一个事件处理程序，每当受害者复制任何内容时都会运行。”诺维克表示。“该处理程序会检查正则表达式模式，如果找到匹配项，就会将复制的内容替换为从下载列表中获取的属于威胁行为者的钱包地址。” CyberArk表示，他们识别出超过778,531个属于攻击者的唯一地址，其中只有423个地址包含总计约95,300美元的资金。但在这些钱包的资金被转出之前，所有钱包中持有的数字资产总额约为336,700美元。 此外，价值约87,000美元（600 SOL）的加密货币被发现存放在一个单一钱包中，有超过350笔交易将资金从不同地址转入该钱包。 目前尚不清楚MassJacker背后的攻击者身份，尽管对源代码的深入检查发现其与另一种名为MassLogger的恶意软件存在重叠，后者也利用了JIT挂钩技术以抵抗分析。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，Python软件包索引（PyPI）仓库正遭遇恶意攻击，不法分子利用伪装成“时间”相关工具的虚假库，暗藏窃取云访问令牌等敏感数据的功能。 软件供应链安全公司ReversingLabs发现，共有20个恶意软件包，分为两组。这些软件包累计下载量已超过14100次，具体如下： – snapshot-photo（2448次下载） – time-check-server（316次下载） – time-check-server-get（178次下载） – time-server-analysis（144次下载） – time-server-analyzer（74次下载） – time-server-test（155次下载） – time-service-checker（151次下载） – aclient-sdk（120次下载） – acloud-client（5496次下载） – acloud-clients（198次下载） – acloud-client-uses（294次下载） – alicloud-client（622次下载） – alicloud-client-sdk（206次下载） – amzclients-sdk（100次下载） – awsc1oud-clients-core（206次下载） – credential-python-sdk（1155次下载） – enumer-iam（1254次下载） – tclients-sdk（173次下载） – tcloud-python-sdks（98次下载） – tcloud-python-test（793次下载） 第一组软件包用于将数据上传至攻击者的基础设施，第二组则为多个云服务（如阿里云、亚马逊网络服务和腾讯云）实现客户端功能，但它们也被用于窃取云机密。 目前，所有已识别的软件包在撰写本文时已从PyPI中移除。 进一步分析发现，其中三个软件包（acloud-client、enumer-iam和tcloud-python-test）被列为一个相对受欢迎的GitHub项目“accesskey_tools”的依赖项，该项目已被 fork 42次，获得519颗星。 tcloud-python-test的源代码提交可追溯至2023年11月8日，表明该软件包自那时起便可在PyPI上下载，据pepy.tech统计，该软件包至今已被下载793次。 与此同时，Fortinet FortiGuard Labs披露，在PyPI和npm上发现了数千个软件包，其中一些被发现嵌入可疑的安装脚本，这些脚本旨在安装时部署恶意代码或与外部服务器通信。 “可疑的URL是识别潜在恶意软件包的关键指标，因为它们常被用于下载额外的有效载荷或与命令与控制（C&C）服务器建立通信，从而让攻击者控制受感染的系统。”Jenna Wang表示。 “在974个软件包中，这些URL与数据窃取、进一步恶意软件下载和其他恶意行为的风险相关。对软件包依赖项中的外部URL进行严格审查和监控至关重要，以防止被利用。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在警告一个针对 Go 生态系统的恶意活动，该活动使用拼写错误的模块，旨在在 Linux 和苹果 macOS 系统上部署加载器恶意软件。 “威胁行为者已经发布了至少七个模仿广泛使用的 Go 库的软件包，其中包括一个（github[.]com/shallowmulti/hypert）似乎针对金融行业开发者的软件包，”Socket 研究员基里尔·博伊琴科（Kirill Boychenko）在一份新报告中表示。 “这些软件包共享重复的恶意文件名和一致的混淆技术，表明了一个有协调的威胁行为者，能够迅速调整策略。” 这些恶意软件包通过 Go 模块镜像缓存机制来实现持久的远程访问。一旦安装，这些软件包会授予攻击者对受感染系统的远程访问权限，使他们能够执行任意命令。 攻击者利用了 Go 模块镜像服务的缓存机制，即使原始源代码库中的标签被修改，已缓存的恶意版本仍可供下载。这种欺骗性的方法确保对 GitHub 存储库的手动审核不会发现任何恶意内容，而缓存机制意味着使用 go CLI 安装包的开发者会继续下载带有后门的变体。 以下是被发现的恶意 Go 软件包列表： shallowmulti/hypert (github.com/shallowmulti/hypert) shadowybulk/hypert (github.com/shadowybulk/hypert) belatedplanet/hypert (github.com/belatedplanet/hypert) thankfulmai/hypert (github.com/thankfulmai/hypert) vainreboot/layout (github.com/vainreboot/layout) ornatedoctrin/layout (github.com/ornatedoctrin/layout) utilizedsun/layout (github.com/utilizedsun/layout) 这些恶意软件包的设计目的是实现远程代码执行。这是通过运行一个混淆的 shell 命令来完成的，该命令从远程服务器（”alturastreet[.]icu”）检索并运行一个脚本。为了逃避检测，远程脚本在一段时间后才会被检索。 攻击的最终目标是安装并运行一个可执行文件，该文件可能会窃取数据或凭证。 安全研究人员建议开发人员和安全团队监控利用缓存模块版本来逃避检测的攻击。他们还建议使用不可变模块版本来减少此类攻击的风险。 “由于不可变模块既提供了安全优势，也提供了潜在的滥用媒介，开发人员和安全团队应该监控利用缓存模块版本来逃避检测的攻击，”博伊琴科指出。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 TgToxic（又名 ToxicPanda）的 Android 恶意软件的更新版本，这表明其背后的威胁行为者正在持续做出改变以应对公开报道。 “TgToxic 有效载荷中的修改反映了行为者对开源情报的持续监控，并展示了他们增强恶意软件功能以改进安全措施并使研究人员难以应对的承诺，”Intel 471 在本周发布的一份报告中表示。 TgToxic 最早由 Trend Micro 于 2023 年初记录，被描述为一种银行木马，能够从加密钱包以及银行和金融应用程序中窃取凭据和资金。自 2022 年 7 月以来，它已被检测到在野外出现，主要针对台湾、泰国和印度尼西亚的移动用户。 2024 年 11 月，意大利在线欺诈预防公司 Cleafy 详细描述了一种更新的变种，该变种具有广泛的数据收集功能，并将其操作范围扩展到意大利、葡萄牙、香港、西班牙和秘鲁。该恶意软件被认为是中国威胁行为者所为。 Intel 471 的最新分析发现，该恶意软件通过短信或钓鱼网站分发的 Dropper APK 文件进行传播。然而，确切的传播机制仍未知。 一些显著的改进包括增强了模拟器检测能力和更新了命令与控制（C2）URL 生成机制，突显了持续努力以规避分析。 “该恶意软件对设备的硬件和系统能力进行了彻底评估，以检测模拟，”Intel 471 表示。“该恶意软件检查了一组设备属性，包括品牌、型号、制造商和指纹值，以识别模拟系统中常见的差异。” 另一个重大变化是从嵌入恶意软件配置中的硬编码 C2 域名转向使用论坛（如 Atlassian 社区开发者论坛）创建虚假个人资料，其中包含指向实际 C2 服务器的加密字符串。 TgToxic APK 设计为随机选择配置中提供的社区论坛 URL 之一，该 URL 作为 C2 域名的死胡同解析器。 这种方法具有几个优势，最主要的是它使威胁行为者更容易通过简单地更新社区用户个人资料来指向新的 C2 域名，而无需对恶意软件本身进行任何更新。 “这种方法显著延长了恶意软件样本的使用寿命，只要这些论坛上的用户个人资料保持活跃，它们就能保持功能，”Intel 471 表示。 2024 年 12 月发现的 TgToxic 后续迭代版本更进一步，依赖于域生成算法（DGA）来创建用于 C2 服务器的新域名。这使恶意软件更能抵御破坏，因为 DGA 可以创建多个域名，即使某些域名被关闭，攻击者也可以切换到新域名。 “TgToxic 因其先进的反分析技术（包括混淆、有效载荷加密和反模拟机制）而脱颖而出，这些技术使其能够躲避安全工具的检测，”Approov 首席执行官 Ted Miracco 在一份声明中表示。“其使用动态命令与控制（C2）策略（如域生成算法（DGA））和自动化能力，使其能够劫持用户界面、窃取凭据并执行未经授权的交易，同时具备躲避反制措施的隐蔽性和弹性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Winos 4.0的恶意软件正在通过伪装成台湾地区国税局的钓鱼邮件，针对中国台湾地区的公司展开攻击。 此次攻击活动由Fortinet FortiGuard Labs于上月发现，与以往利用恶意游戏相关应用程序的攻击链条有所不同。攻击者声称附件是“待税务检查的企业名单”，并要求收件人将其转发给公司财务主管。该附件伪装成财政部的官方文件，诱导收件人下载所谓的“待税务检查企业名单”，但实际上是一个包含恶意DLL文件（“lastbld2Base.dll”）的ZIP文件。该文件为下一阶段的攻击做准备，执行下载Winos 4.0模块的shellcode，该模块从远程服务器（“206.238.221[.]60”）下载并收集敏感数据。 Winos 4.0的登录模块具备多种功能，包括截屏、记录按键、修改剪贴板内容、监控连接的USB设备、运行shellcode，以及在Kingsoft Security和Huorong安全提示时允许执行敏感操作（例如cmd.exe）。Fortinet还发现了一个次要攻击链条，该链条可下载一个在线模块，用于截取微信和网上银行的屏幕截图。 值得注意的是，传播Winos 4.0恶意软件的入侵组织被命名为Void Arachne和银狐（Silver Fox），该恶意软件还与另一种名为ValleyRAT的远程访问木马存在重叠。Forescout Vedere Labs的安全研究主管Daniel dos Santos表示：“Winos和ValleyRAT都源自同一源头——Gh0st RAT，这是一种于2008年在中国开发并开源的恶意软件。” ValleyRAT最早于2023年初被发现，最近被观察到利用假冒Chrome网站作为传播渠道，感染使用中文的用户。类似的恶意下载方案也被用于传播Gh0st RAT。此外，Winos 4.0的攻击链条还整合了名为CleverSoar的安装程序，该程序通过伪装成假软件或游戏相关应用程序的MSI安装包执行。Rapid7在2024年11月底指出，CleverSoar安装程序会检查用户的语言设置，如果设置为中文或越南语以外的语言，安装程序将终止，从而防止感染。 与此同时，银狐APT组织还被发现利用被篡改的飞利浦（Philips）DICOM查看器版本部署ValleyRAT，随后用于投放键盘记录器和加密货币矿工。值得注意的是，这些攻击利用了TrueSight驱动程序的漏洞来禁用防病毒软件。Forescout表示：“此次攻击利用被篡改的DICOM查看器作为诱饵，感染受害者系统，部署用于远程访问和控制的后门（ValleyRAT）、用于捕获用户活动和凭据的键盘记录器，以及用于利用系统资源获取经济利益的加密货币矿工。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “Have I Been Pwned”（HIBP）数据泄露通知服务新增了超 2.84 亿个被信息窃取恶意软件盗取且在一个 Telegram 频道上被发现的账户。 HIBP 创始人特洛伊・亨特表示，他在分析可能从多个来源收集并在一个名为 “ALIEN TXTBASE” 的 Telegram 频道上共享的 1.5TB 窃取日志时，发现了 284,132,969 个受到危害的账户。 “这些日志包含 230 亿行数据，涉及 4.93 亿个唯一的网站和电子邮件地址组合，影响了 2.84 亿个唯一的电子邮件地址，” 亨特在周二的博客中说道。 “我们还向 Pwned Passwords 添加了 2.44 亿个此前从未见过的密码，并更新了其中已有的另外 1.99 亿个密码的计数。” 由于此次收集的账户数量庞大，这些数据可能既包括通过凭证填充攻击和数据泄露被盗取的旧凭据，也包括新凭据。 在将被盗账户添加到 HIBP 数据库之前，特洛伊通过检查使用被盗电子邮件地址进行密码重置尝试是否会触发该服务发送密码重置电子邮件来确认其真实性。 借助新添加的 API（每分钟允许搜索多达 1000 个电子邮件地址以及窃取日志搜索），域名所有者和网站运营者（支付月订阅费用的）现在可以通过按电子邮件域名或网站域名查询添加的窃取日志来识别凭据被盗的客户。 当被问及普通用户是否也能知道他们的账户是否在 ALIEN TXTBASE 信息窃取日志中时，特洛伊称如果他们也订阅了 HIBP 通知服务的话，就可以知道。 “但如果他们使用通知服务来验证地址，它只会显示其凭据被捕获的网站，我不想公开显示这些信息，因为这可能会暴露对敏感服务的使用，” 他说道。 “今天推出这些新 API 将最终帮助许多组织确定恶意活动的来源，更重要的是，提前采取措施，在其造成损害之前阻止它，” 他补充道。 2021 年 12 月，HIBP 还添加了 44.1 万个账户，这些账户是在当时使用最广泛的信息窃取软件之一 RedLine 进行的信息窃取活动中被盗取的。这些数据在一个未受保护的服务器上被发现，该服务器暴露了 2021 年 8 月和 9 月收集的超过 600 万条 RedLine 日志。 更近一些，本月早些时候，HIBP 添加了 1200 万个 Zacks Investment 用户的账户，这些用户的敏感数据（包括姓名、用户名、电子邮件地址、IP 地址、实际地址和电话号码）在一次安全漏洞事件中被暴露。 两年前，即 2023 年 6 月，该漏洞通知服务还添加了另一个数据库，其中包含使用 Zacks 平台的另外 880 万个用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文