最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。 图片来源：FreeBuf 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 “受密码保护的 MSI 文件”，其中包含触发多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。 这是一种在隐藏 “恶意代码 “的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。 此外，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统）来隐藏恶意组件。 卡巴斯基表示，最终有效载荷部署为SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测。 该恶意软件还收集系统遥测数据（包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能，特别针对加密货币钱包地址。 除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件，因此特别容易受到攻击。 这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的同时融入复杂的企业级攻击技术。 参考来源：Hackers Using YouTube Videos To Deliver Sophisticated Malware     转自FreeBuf，原文链接：https://www.freebuf.com/news/412529.html 封面来源于网络，如有侵权请联系删除

本周三，OpenAI方表示，自今年年初以来，它已经成功干扰了全球20多个，试图将其平台用于恶意运营和欺诈的网络活动。 它们主要采取了：调试恶意软件，为网站撰写文章，为社交媒体帐户生成传记，以及为X上的假帐户创建人工智能生成的个人资料图片的举措。 这家人工智能（AI）公司表示：“威胁者不断进化并持续使用我们的模型，但我们并未发觉其创建实质性新恶意软件或建立病毒受众的能力有真正意义上的突破。” 除此之外，OpenAI方还表示，它扰乱了在美国、卢旺达的选举以及较小程度上与印度和欧盟相关的社媒活动。这些网络都没有吸引到病毒式的参与或持续的受众。 这包括一家名为STOIC（也称为Zero Zeno）的以色列商业公司所做的努力，正如Meta和OpenAI今年5月初披露的那样，该公司在社交媒体上发表了关于印度选举的评论。 OpenAI强调的一些网络操作如下： SweetSpecter，疑似是以中国为基地的对手，利用OpenAI的服务进行LLM知情的侦察、漏洞研究、脚本支持、异常检测规避和开发。还观察到，它对OpenAI员工进行了失败的鱼叉式网络钓鱼的企图，以提供SugarGh0st RAT。 Cyber Av3ngers是隶属于伊朗伊斯兰革命卫队（IRGC）的团体，使用其模型对可编程逻辑控制器进行研究。 Storm-0817，来自伊朗的威胁者，使用其模型进行调试，能够收集包含敏感信息的Android恶意软件，通过Selenium抓取Instagram个人资料，并将LinkedIn个人资料翻译成波斯语。 该公司表示，在其他领域，它也采取了各种措施来阻止多个集群，包括代号为A2Z和Stop News的操作。这些帐户生成了英语和法语内容，以便日后在各类网站和社交媒体帐户上发布。 研究人员Ben Nimmo和Michael Flossman说：“[Stop News]在图像使用方面异常丰富。其许多网络文章和推文都附有DALL·E生成的图像。这些图像通常是卡通风格，以明亮的调色板或戏剧性的色调来吸引注意力。” 经OpenAI Bet Bot和Corrupt Comment识别发现，其网络使用API在X上与用户生成对话，并向他们发送赌博网站的链接，以及在X上制造评论。 近两个月前，OpenAI禁止了一组与伊朗Storm-2035秘密行动有关的账户，该行动利用ChatGPT生成内容，这些内容主要关注即将到来的美国总统大选。 Nimmo和Flossman写道：“威胁者对我们模型的使用主要在活动中期——即在他们获得了互联网接入、电子邮件地址和社交媒体帐户等基本工具之后，以及在他们通过一系列分销渠道在互联网上部署社交媒体帖子或恶意软件等‘成品’之前。” 在网络安全公司Sophos上周发布的一份报告中显示： 生成性人工智能可能会被滥用，通过微目标电子邮件传播量身定制的错误信息。 这意味着滥用人工智能模型来编造政治竞选网站、生成政治人物角色，以及根据竞选要点针对性发布电子邮件，从而实现了新的自动化水平，使大规模传播错误信息成为可能。 研究人员Ben Gelman和Adarsh Kyadige表示：“这意味着用户可以通过简易的配置生成任何内容，从良性的竞选材料到错误信息和恶意威胁不等。” 错误信息的影响会使受众与本不支持的候选人结盟，或与他们自认喜欢的候选人意见相左。     消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Morphisec威胁实验室发现了一波新的恶意软件攻击，目标是教育部门和游戏社区。安全研究人员Shmuel Uzan表示，这些复杂的恶意软件变种利用Lua（游戏开发中广泛使用的脚本语言）通过GitHub等平台渗透系统。该运动已在全球范围内展开，北美洲、南美洲、欧洲、亚洲和澳大利亚均报告有感染病例。 这种恶意软件的兴起可以归因于它利用了Lua的流行，尤其是在使用Roblox等游戏引擎的学生游戏玩家中。据报道，“搜索游戏作弊的用户最后往往会从GitHub等平台或类似来源下载文件。”攻击者利用这些寻求作弊的用户，在看似无害的下载中嵌入恶意Lua脚本。 恶意软件通常通过ZIP存档传递，其中包含多个组件，包括Lua编译器、Lua DLL文件、模糊的Lua脚本和批处理文件。这些组件一旦安装在受害者的机器上，就会一起执行恶意操作。执行后，Lua脚本与命令与控制（C2）服务器建立通信，发送有关受感染系统的详细信息。 一旦恶意软件处于活动状态，C2服务器将向受感染的计算机提供指令，这些指令分为两种类型的任务:Lua加载任务和任务有效载荷。Lua加载任务保持持久性和隐藏进程，而任务有效载荷则专注于下载其他恶意软件有效载荷或应用新配置。报告解释说，“Lua加载器任务涉及维持持久性或隐藏进程等操作”，而有效载荷的设计目的是扩展恶意软件的能力。 为了逃避检测，Lua脚本使用Prometheus Obfuscator进行了模糊处理，这是一种旨在保护底层代码不受逆向工程影响的工具。这种程度的混淆使得安全研究人员很难分析和理解恶意软件的全部功能。乌赞在报告中指出:“使用普罗米修斯混淆器对脚本进行混淆……使得研究人员分析和理解代码变得更加困难。” 为了阻止研究人员反转或重新格式化代码，该恶意软件采用了一种独特的反反转技术，当试图美化模糊代码时，该技术会触发错误消息。混淆器的功能包括通过检查执行过程中生成的错误消息的行数来检测代码是否被篡改。如果代码已被更改，恶意软件终止，显示一条消息:“检测到篡改！” 除了混淆之外，该恶意软件还利用Lua的ffi（外部函数接口）库直接执行C代码。这种技术允许攻击者调用C函数和使用C数据结构，而不需要编写C包装代码。Lua和C之间的这种集成增强了恶意软件操纵系统级进程和执行更高级攻击的能力。 恶意软件一旦渗入受害者的系统，就会通过创建计划任务和生成随机任务名称来建立持久性。该恶意软件还收集受害者计算机的大量信息，包括用户的GUID、计算机名称、操作系统和网络详细信息。它甚至捕获受损系统的屏幕截图，并将这些数据发送到攻击者的C2服务器。 报告强调，“脚本检索 MachineGuid…并把从计算机收集的数据和截图发送给对手C2。”此级别的数据收集使攻击者能够全面了解受影响的计算机，从而更有效地定制后续攻击。 一旦恶意软件成功收集到所需的数据，C2服务器就会以封锁消息或JSON响应做出响应，该响应将为执行任务或下载额外有效载荷提供进一步的指示。如果服务器响应被阻止，恶意软件会尝试从备份位置（如pastebin.com）检索新地址，确保与攻击者继续通信。 这种恶意软件提供的有效载荷包括Redline Infostealers，这是一种用来从受害者那里获取凭据和敏感信息的恶意软件。报告指出，Redline因其窃取宝贵数据的能力，在网络犯罪领域获得了突出地位，这些数据后来在暗网上出售。乌赞警告说:“从这些攻击中获取的证件被卖给更复杂的组织，用于攻击的后期阶段。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300636 封面来源于网络，如有侵权请联系删除

由 Cris Tomboc 和 King Orande 领导的 Trustwave 威胁情报团队最近发布了一份报告，公布了一种新发现的名为 Pronsis Loader 的恶意软件。该恶意软件于 2023 年 11 月首次出现，与 2024 年初出现的类似威胁 D3F@ck Loader 进行了比较。Pronsis Loader 的显著特点是它能发送 Lumma Stealer 和 Latrodectus 等恶意软件，给受害者带来巨大风险。发现其基础设施与 Lumma Stealer 相关联，凸显了这一不断演变的威胁的规模。 Pronsis Loader 与其他加载程序的不同之处在于它使用了 JPHP（一种 PHP 的 Java 实现）。“研究人员解释说：”两者都使用 JPHP 编译的可执行文件，因此很容易互换。不过，与使用 Inno Setup Installer 的 D3F@ck Loader 不同，Pronsis Loader 部署的是 Nullsoft Scriptable Install System（NSIS）。这种开源工具可以定制 Windows 安装程序，使 Pronsis Loader 在安装技术上具有明显优势。 Pronsis 加载器 Pronsis Loader 使用 NSIS | 图片： Trustwave 有趣的是，JPHP 在恶意软件开发者中并不广泛使用，这使得 Pronsis Loader 对这种语言的依赖偏离了典型的恶意软件环境。这种实现方式允许创建 .phb 文件，而使用传统的 Java 工具无法轻松反编译这些文件。尽管存在这种复杂性，但由于这些文件中存在 CAFEBABE 标头，威胁分析人员可以在提取后对其进行反编译，从而揭示其真实性质。 Pronsis Loader 的安装程序包含大量有效载荷，其中大部分由良性文件组成，旨在掩盖内嵌的恶意代码。据研究人员称，“安装程序的大部分内容由良性文件组成，旨在掩盖恶意文件”。这些文件被放入 %Temp% 目录，但其中隐藏着一个关键的可执行文件–FailWorker-Install.exe，它包含真正的恶意软件。 该可执行文件会触发一系列事件，通过 NSIS 插件调用 Nact.dll 文件来运行 JPHP 编译的加载程序。提取后，可以在 JPHP-INF 目录中找到主模块，其中 launcher.conf 文件指定了 app\modules 目录的初始 .bootstrap 文件。Pronsis Loader 的结构允许它从指定 URL 下载有效载荷，然后发送 Latrodectus 恶意软件。该恶意软件主要通过钓鱼邮件传播，与 IcedID 等其他已知威胁如出一辙。 Pronsis Loader 具有逃避检测的嵌入式功能。其中一种规避技术是通过隐藏在 MainForm.phb 文件中的 PowerShell 脚本实现的。这个编码脚本会禁用 Windows Defender 对用户配置文件目录的扫描，使恶意软件更容易运行而不被发现。“报告强调说：”这个 PowerShell 命令将被放置在一个批处理文件中，文件名为随机数字，并通过 cmd.exe 执行。 通过部署 Lumma Stealer 和 Latrodectus，进一步证明了 Pronsis Loader 提供多种有效载荷的能力。Latrodectus 于 2023 年 10 月首次被观察到，因其激进的感染技术而备受关注。受感染的机器会加载一系列批处理文件和可执行文件，以方便恶意软件的安装和持续运行。 在一个实例中，Latrodectus 通过一个名为 todaydatabase.zip 的文件发送，该文件将一个可执行文件放入 %Temp% 目录，启动了感染过程。安装完成后，Latrodectus 会使用计划任务来确保持久性，每 10 分钟运行一次，重新执行其恶意组件。此外，该恶意软件还创建了一个名为 runnung 的互斥程序来管理持续感染。 Pronsis Loader 的推出标志着 JPHP 作为恶意软件平台的使用发生了重大转变。通过利用 NSIS 安装程序和规避典型的安全协议，Pronsis Loader 对网络安全防御者提出了严峻的挑战。报告强调，这种加载器 “突出了它与 D3F@ck Loader 的相似之处，以及它在提供 Lumma Stealer 和 Latrodectus 作为主要有效载荷方面的作用”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300658 封面来源于网络，如有侵权请联系删除

近日，有攻击者使用一种新的 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。 Android TV是谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程导航提供了优化的用户界面，集成了谷歌助手，内置Chromecast，支持电视直播，并能安装应用程序。 该操作系统为包括 TCL、海信和 Vizio 电视在内的众多制造商提供智能电视功能。它还是英伟达 Shield 等独立电视流媒体设备的操作系统。 在 Dr.Web 的最新报告中，研究人员发现有 200 多个国家的 130 万台设备都感染了 Vo1 d 恶意软件，其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚检测到的数量最多。 受 Vo1d 感染电视盒的地理分布 在此次恶意软件活动中，被视为目标的安卓电视固件包括： 安卓 7.1.2；R4 版本/NHG47K 安卓 12.1；电视盒版本/NHG47K 安卓 10.1；KJ-SMART4KVIP Build/NHG47K 根据安装的 Vo1d 恶意软件版本，该活动将修改或替换操作系统文件，所有这些文件都是 Android TV 中常见的启动脚本。install-recovery.shdaemonsudebuggerd 修改后的 install-recovery.sh 文件 该恶意软件活动利用这些脚本实现持久性，并在启动时激活Vo1d恶意软件。 Vo1d恶意软件本身位于文件中，这些文件的名称就是以该恶意软件命名的。Dr.Web解释称，Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这两个组件协同工作。 Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重启其进程。此外，它还可以在C&C服务器的指令下下载并运行可执行文件。 Android.Vo1d.3 模块负责安装并启动加密并存储在其体内的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它监控指定的目录，并安装在其中找到的 APK 文件。 尽管 Dr.Web 尚不清楚 Android 电视流媒体设备是如何被入侵的，但研究人员认为，这些设备之所以成为攻击目标，是因为它们通常运行着带有漏洞的过时软件。 Dr.Web 认为，其中最有可能的感染途径或许是中间恶意软件的攻击，该软件利用操作系统漏洞来获取 root 权限。另一个可能的途径可能是使用内置 root 访问权限的非官方固件版本。 为了防止这种恶意软件的感染，建议 Android 电视用户检查并安装新固件更新。同时确保在它们通过暴露的服务被远程利用的情况下，将这些设备从互联网上移除。 此外，用户也应避免在 Android 电视上从第三方网站安装 APK 形式的 Android 应用程序，因为它们是恶意软件的常见来源。   转自Freebuf，原文链接：https://www.freebuf.com/news/410913.html 封面来源于网络，如有侵权请联系删除  

根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除

近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。 针对 Python 开发人员的虚假编码测试 恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员，试图诱导开发人员下载恶意软件。 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。 ReversingLabs 的研究人员发现，攻击者会使用 GitHub 存储库和开源容器来托管其恶意代码。这些代码通常会伪装成编码技能测试或密码管理器应用程序，代码附带的 README 文件包含诱骗受害者执行恶意软件的说明。这些文件往往使用 “Python_Skill_Assessment.zip ”或 “Python_Skill_Test.zip ”等名称。 他们发现，恶意软件包含在经过修改的 pyperclip 和 pyrebase 模块文件中，这些文件也经过 Base64 编码，以隐藏下载程序代码。这些代码与 VMConnect 活动早期迭代中观察到的代码相同，后者向 C2 服务器发出 HTTP POST 请求以执行 Python 命令。 在一次事件中，研究人员成功识别出一名受到攻击者欺骗的开发人员。攻击者伪装成Capital One的招聘人员，然后通过LinkedIn个人资料和开发人员取得联系，并向他提供了一个GitHub的链接作为一项题目。当被要求推送更改时，假冒的招聘人员指示他分享截图，以证明任务已经完成。 安全研究人员随后访问的 .git 文件夹中的日志目录中包含一个 HEAD 文件，该文件显示了克隆该仓库并实施所需功能的开发人员的全名和电子邮件地址。 研究人员立即与该开发人员取得了联系，并确认他于今年 1 月感染了恶意软件，而该开发人员并不知道自己在此过程中执行了恶意代码。 虽然此事件已经追溯到了几个月前，但研究人员认为，目前有足够的证据和活动线索表明该活动仍在继续。7 月 13 日，他们又发现了一个新发布的 GitHub 存储库，与之前事件中使用的存储库相吻合，但使用的是不同的账户名。 通过进一步调查，研究人员发现这个“尘封”的GitHub 账户在他们与受害者建立联系的同一天又活跃了起来，并认为威胁行为者可能仍保留着对受感染开发人员通信的访问权限。研究人员还认为，被联系的开发人员可能与恶意活动有关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/410804.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一组新的恶意 Python 包，它们以编码评估为幌子针对软件开发人员。 ReversingLabs 研究员 Karlo Zanki表示：“新的样本被追踪到 GitHub 项目，该项目与之前的针对性攻击有关，这些攻击使用虚假的求职面试来引诱开发人员。” 该活动被认为是正在进行的被命名为 VMConnect 的黑客活动的一部分，该活动于 2023 年 8 月首次曝光。有迹象表明，这是朝鲜支持的 Lazarus Group 所为。 朝鲜黑客组织广泛使用求职面试作为感染媒介，他们要么在 LinkedIn 等网站上接触毫无戒心的开发人员，要么诱骗他们下载恶意软件包作为所谓的技能测试的一部分。 这些软件包已直接发布在 npm 和 PyPI 等公共存储库上，或托管在其控制下的 GitHub 存储库上。 ReversingLabs 表示，它发现了嵌入在合法 PyPI 库（如pyperclip和pyrebase ）的修改版本中的恶意代码。 Zanki 表示：“恶意代码存在于 __init__.py 文件及其对应的编译后的 Python 文件（PYC）中，这些文件位于各个模块的 __pycache__ 目录内。” 它以 Base64 编码字符串的形式实现，掩盖了下载器功能，该功能与命令和控制 (C2) 服务器建立联系，以执行作为响应收到的命令。 在软件供应链公司发现的一个编码任务实例中，攻击者试图通过要求求职者在五分钟内构建以 ZIP 文件形式共享的 Python 项目并在接下来的 15 分钟内查找并修复编码缺陷来创造一种虚假的紧迫感。 这使得“攻击者更有可能在未执行任何类型的安全甚至源代码审查的情况下执行该软件包”，Zanki 表示，并补充道，“这确保了此次活动背后的恶意行为者能够在开发人员的系统上执行嵌入的恶意软件。” 上述一些测试声称是针对 Capital One 和 Rookery Capital Limited 等金融机构进行的技术面试，突显攻击者如何冒充该行业的合法公司来完成操作。 目前尚不清楚这些活动的范围有多广，谷歌旗下的 Mandiant 最近也强调，他们会使用 LinkedIn 来搜寻和联系潜在目标。 该公司表示：“在初步聊天对话后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码挑战的 COVERTCATCH 恶意软件，该恶意软件会下载通过启动代理和启动守护程序持续存在的第二阶段恶意软件来危害用户的 macOS 系统。” 网络安全公司 Genians透露，代号为Konni的朝鲜黑客组织正在加强对俄罗斯和韩国的攻击，通过使用鱼叉式网络钓鱼诱饵来部署 AsyncRAT，并且与代号为CLOUD#REVERSER（又名 puNK-002）的行动有重叠。 其中一些攻击还涉及传播一种名为CURKON的新恶意软件，这是一种 Windows 快捷方式 (LNK) 文件，可用作Lilith RAT的 AutoIt 版本的下载器。 根据 S2W 的说法，该活动已链接到跟踪为 puNK-003 的子集群。 技术报告：https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/G_KWKOfvr-fR6ru0Hmwh1A 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

一名此前未被记录的黑客组织自 2024 年开始的网络攻击活动中主要针对敏感地区的无人机制造商。 趋势科技以TIDRONE为名追踪该对手，并表示由于其专注于军事相关产业链，评估该活动与间谍活动相关。 目前尚不清楚用于入侵目标的确切初始访问载体，但趋势科技的分析发现，攻击者使用 UltraVNC 等远程桌面工具部署了 CXCLNT 和 CLNTEND 等自定义恶意软件。 攻击链 在不同的受害者中观察到的共同点是存在相同的企业资源规划（ERP）软件，这增加了供应链攻击的可能性。 攻击链随后经历三个不同的阶段，旨在通过绕过用户帐户控制 ( UAC )、凭据转储和通过禁用主机上安装的防病毒产品来逃避防御，从而促进特权提升。 这两个后门都是通过 Microsoft Word 应用程序侧载恶意 DLL 来启动的，从而允许攻击者收集各种敏感信息。 CXCLNT 配备了基本的上传和下载文件功能，以及清除痕迹、收集受害者信息（如文件列表和计算机名称）以及下载下一阶段可移植可执行文件 (PE) 和 DLL 文件以供执行的功能。 CLNTEND 于 2024 年 4 月首次被发现，是一种发现的远程访问工具 (RAT)，支持更广泛的网络通信协议，包括 TCP、HTTP、HTTPS、TLS 和 SMB（端口 445）。 安全研究人员 Pierre Lee 和 Vickie Su 表示：“此次活动很可能是由一个尚未确定的高级威胁组织进行的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/q7rbKkDMsNVkIVQFUq9hkg 封面来源于网络，如有侵权请联系删除。