自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除

网络犯罪分子正在宣传一种新的 macOS 恶意软件，他们声称该恶意软件能够从受感染的系统中窃取大量数据。 这款恶意软件名为Banshee Stealer，据信是由俄罗斯黑客开发，在网络犯罪论坛上以每月 3000 美元的价格出售。Elastic Security Labs 的研究人员于周四发布了对该恶意软件的分析，称这是“高昂的月费”。 该恶意软件旨在收集目标用户的 macOS 密码、有关系统硬件和软件的信息、密钥、网络浏览器的数据以及加密货币钱包。 Banshee Stealer 可以攻击 9 种不同的浏览器，包括 Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Opera、OperaGX 和 Safari。它通常可以窃取 cookie、登录信息和浏览历史记录，但只能从 Safari 收集 cookie。Elastic 研究人员还发现，该恶意软件的目标是大约 100 个浏览器插件的数据。 该恶意软件还试图从受感染的系统中窃取加密货币钱包，包括 Exodus、Electrum、Coinomi、Guarda、Wasabi Wallet、Atomic 和 Ledger。 一旦在本地收集数据，就会将其添加到存档文件中，然后加密并发送到攻击者的服务器。 在启动数据窃取程序之前，Banshee Stealer 会检查系统是否有被安全研究人员分析的迹象（它会检查系统是否正在调试或在虚拟机中运行），并确保受感染系统的语言未设置为俄语。 攻击者可以使用多种方法在 macOS 设备上部署恶意软件，包括将其伪装成托管在第三方网站上的免费内容、通过恶意广告、毒害开发者项目、开源软件包存储库、木马应用程序、漏洞和水坑攻击以及供应链攻击。 其中一些传递方法更容易实施，但需要高度的社会工程，而另一些方法则更加隐蔽，但需要更多的复杂性和资源。 Elastic Security Labs 在其博客文章中总结道：“尽管该恶意软件具有潜在的危险能力，但它缺乏复杂的混淆技术，并且存在调试信息，这使得分析师更容易剖析和理解它。” 随后补充道：“虽然 Banshee Stealer 的设计并不太复杂，但它对 macOS 系统的关注以及它收集的数据广度使其成为一个重大威胁，需要网络安全界的关注。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LQNNgyhhjG4aYqcXFGHTZQ 封面来源于网络，如有侵权请联系删除

一项新的 ValleyRAT 攻击活动已针对中国用户展开。FortiGuard 实验室发现，该攻击活动影响 Windows 用户，使攻击者能够控制受感染的机器。 ValleyRAT 恶意软件及其目标 ValleyRAT 主要针对电子商务、金融、销售和管理类企业。该恶意软件使用多个阶段和技术来监视和控制受害者，并使用任意和特定的插件来造成额外损害。 攻击链 FortiGuard 观察到的活动使用重型 shellcode 直接在内存中执行其组件，从而大大减少了其对受害者系统占用的空间。 ValleyRAT 采取的策略包括使用合法应用程序（包括 Microsoft Office）的图标，使恶意文件看起来无害。文件名也被设计成看起来像财务文件。 一旦执行，ValleyRAT 就会创建一个名为 TEST 的互斥锁，以确保单个实例运行。然后，它会更改特定的注册表项，以存储其命令和控制 (C2) 服务器的 IP 和端口，从而允许其与攻击者的服务器进行通信。 恶意软件添加的计划任务 ValleyRAT会终止包含以下可执行文件名的安全软件进程： 360Sd.exe 360leakfixer.exe safesvr.exe MultiTip.exe ZhuDongFangYu.exe kscan.exe kwsprotect64.exe kxescore.exe HipsMain.exe HipsDaemon.exe QMDL.exe QMPersonalCenter.exe QQPCPatch.exe QQPCRealTimeSpeedup.exe QQPCRTP.exe QQRepair.exe 修改注册表，禁用安全软件的自动启动。 该恶意软件进一步尝试通过确定其是否在虚拟机（VM）中运行来逃避检测，如果是，它就会终止其进程。 高级逃避和执行技巧 ValleyRAT 采用休眠混淆技术，即修改恶意代码所在分配内存的权限，以避免被内存扫描器检测到。它还使用 XOR 操作对 shellcode 进行编码，增加了一层复杂性，进一步挑战了基于模式的安全签名。 此外，该恶意软件依靠反射式 DLL 加载直接从内存运行其组件。初始化后，该恶意软件使用 AES-256 算法解密 shellcode，然后通过睡眠混淆例程执行此代码。ValleyRAT 还利用 API 哈希来混淆其使用的 API 名称，使检测过程复杂化。 与银狐的联系 ValleyRAT 是 Silver Fox 威胁组织的后门程序，功能齐全，能够远程控制受感染的工作站。它可以截取屏幕截图、执行文件并在受害系统上加载其他插件。 研究人员表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。” 该恶意软件监视用户活动和提供额外恶意插件的能力凸显了其对企业安全的重大威胁。 FortiGuard 表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。” “一旦恶意软件在系统中站稳脚跟，它就会支持能够监视受害者活动并提供任意插件的命令，以进一步实现攻击者的意图。” 为了应对此类威胁，组织应保持防病毒和入侵防御系统 (IPS) 签名为最新版本，并确保其员工接受安全意识培训。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/dm8CeomgXslU9ILAg_rwfg 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员发现了 Gafgyt 僵尸网络的一个新变种，它以 SSH 密码较弱的机器为目标，最终利用其 GPU 计算能力在被攻击的实例上挖掘加密货币。 Aqua Security 研究员 Assaf Morag 在周三的一份分析报告中说：“这表明，物联网僵尸网络正在瞄准运行在云原生环境中的更强大的服务器。” 据了解，Gafgyt（又名 BASHLITE、Lizkebab 和 Torlus）自 2014 年以来一直在野外活跃，它曾利用弱凭据或默认凭据获得路由器、摄像头和数字视频录像机（DVR）等设备的控制权。它还能利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。 受感染的设备被集中到一个僵尸网络中，能够对感兴趣的目标发起分布式拒绝服务（DDoS）攻击。有证据表明，Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营，该组织也被追踪为 Kek Security 和 FreakOut。 像 Gafgyt 这样的物联网僵尸网络在不断进化，增加新的功能，2021 年检测到的变种使用 TOR 网络来掩盖恶意活动，并从泄露的 Mirai 源代码中借用了一些模块。值得注意的是，Gafgyt 的源代码于 2015 年初在网上泄露，进一步助长了其新版本和适应版本的出现。 最新的攻击链涉及使用弱密码暴力破解 SSH 服务器，部署下一阶段有效载荷，以便使用 “systemd-net ”进行加密货币挖矿攻击，但在这一过程中，会先终止在受感染主机上运行的其他竞争性恶意软件。 它还会执行一个蠕虫模块，这是一个基于 Go 的 SSH 扫描器，名为 ld-musl-x86，负责扫描互联网上安全性较差的服务器，并将恶意软件传播到其他系统，从而有效扩大僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和 AWS、Azure 和 Hadoop 等云环境相关的凭证。 Morag 指出：”目前使用的加密货币挖矿工具是 XMRig，它是一款专门用于挖掘门罗币的软件。在这次攻击中，威胁行为者试图利用 opencl 和 cuda 标志来运行挖矿软件，以便更充分地利用 GPU 和 Nvidia GPU 的计算能力。” 结合攻击者主要通过挖矿而非发起DDoS攻击来实现其目的，进一步支持了研究人员的观点，即这种新变种与以往的不同，它专注于攻击那些具有强大计算能力的云原生环境。 通过查询 Shodan 收集到的数据显示，目前有超过 3000 万台可公开访问的 SSH 服务器，因此用户必须采取措施保护实例的安全，防止暴力破解攻击和潜在的利用。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408781.html 封面来源于网络，如有侵权请联系删除

美国新闻媒体《华盛顿时报》被 Rhysida 勒索软件攻击，各种公司文件被拍卖，包括银行对账单、员工文件以及社会保障卡的复印件等。 Rhysida 集团声称正在网上拍卖《华盛顿时报》的“独家”数据，标价为5比特币，拍卖倒计时为七天。 “准备好打开钱包，购买独家数据。我们只卖给一个人，不转售，你将是唯一的所有者！”该团伙发帖称。 总部位于华盛顿特区的《华盛顿时报》被视为美国五大保守派媒体之一，每月在线访客超过 300 万，每天纸质读者超过 5 万。 Rhysida 暗网泄密网站 尽管 Rhysida 并没有具体说明从《纽约时报》服务器窃取的数据量，但提供了所谓的样本作为此次攻击的“证据”。 虽然样本难以辨认，Cybernews 仍能检查出这些样本似乎包含各种公司文件，包括银行对账单、员工文件以及某人的德克萨斯州驾照和社会保障卡的复印件。 Rhysida 暗网泄密网站 《华盛顿时报》暂未做出回应，但公司网站仍在正常运行，没有明显中断。 《华盛顿时报》由新闻世界传播集团于 1982 年创办，以印刷版和网络版形式出版。 Rhysida 受害者数量上升 自 2023 年 5 月成立以来， Rhysida 组织已在暗网上攻击了 114 名受害者。 根据美国政府去年 8 月发布的资料，该团伙以攻击“机会目标”而闻名，已渗透到教育、医疗、制造业和地方政府等多个领域。 Rhysida 被认为是一个勒索软件即服务（RaaS）组织，向其他“犯罪分子”出售其尚未完全成熟的黑客工具，获取一定比例的利润。该团伙经常进行双重勒索，即使受害者已经支付了解密密钥，仍威胁泄露被盗数据，除非收到第二笔付款。 今年，该团伙声称对英国国家图书馆（世界上最大的历史知识宝库之一）和芝加哥的Anne & Robert H. Lurie儿童医院的入侵负责。 在要求 400 万美元赎金（60 比特币）未支付后，Rhysida 最终泄露了从儿童医院窃取的所有数据，安全研究人员批评其行为“极其低劣”。 此外，该团伙还袭击了豪华游艇经销商 Marine Max、马里兰州乔治王子县学校系统和蜘蛛侠视频游戏制造商Insomniac Games。 2023 年的受害者还包括总部位于加州的医疗保健集团 Prospect Medical Holdings (PMH)，该攻击导致多个州的数十家医院和医疗机构服务中断。此外，总部位于慕尼黑的视频制造商 Travian Games 也成为了受害者。 今年 2 月，韩国互联网与安全局（KISA）的研究小组破解了该团伙的加密代码，并在其网站上发布了免费的 Rhysida 解密工具和手册。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

周一，乌克兰计算机应急响应小组 (CERT-UA) 披露，攻击者冒充乌克兰安全局 (SSU) 使用恶意垃圾邮件来攻击并破坏该国政府机构的系统，成功使用 AnonVNC 恶意软件感染了 100 多台计算机。 “下午好，为了对一些组织进行全面检查，我要求您在 2024 年 8 月 15 日之前向位于 01601, Kyiv 1, str. Malopodvalna, 16 的 SBU 总局提交所需文件清单。请下载官方请求：Dokumenty.zip。”恶意电子邮件写道，并链接到一个假装是 SSU 所需文件清单的附件。 这些攻击开始于一个多月前，电子邮件中推送指向 Documents.zip 存档的超链接，而该存档会从 gbshost[.]net 下载用于部署恶意软件的 Windows 安装程序 MSI 文件。 尽管 CERT-UA 没有对该恶意软件功能进行具体描述，但它表示，该恶意软件使被跟踪为 UAC-0198 的威胁组织能够秘密访问受感染的计算机。 攻击流程（CERT-UA） “CERT-UA 已发现超过 100 台受影响的计算机，尤其是中央和地方政府机构的计算机。 ”CERT-UA表示，“请注意，相关的网络攻击至少自 2024 年 7 月就开始了，而且可能涉及更广泛的地域。”   消息来源：BleepingCompute，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，FortiGuard 实验室的网络安全研究人员发现了一种复杂的网络钓鱼活动，该活动利用多阶段执行流程和各种规避技术来传播包括远程访问木马（RAT）PureHVNC在内的多种恶意软件。 攻击流程 该活动专门针对企业员工，以一封精心制作的电子邮件为诱饵，伪装成来自客户的服务查询，而邮件中包含一个恶意 HTML 附件。邮件使用紧急语气，诱使收件人打开恶意 HTML 附件，从而触发一系列导致多种恶意软件部署的事件。 具体来讲，钓鱼邮件附件中的 HTML 文件利用 “search-ms “功能查询远程共享的恶意 LNK 文件。该 LNK 文件在 Windows 资源管理器中伪装成一个无害的 PDF 图标，其中包含一条命令，该命令使用 conhost.exe 作为进程运行远程批处理文件，这是一种利用合法的 Windows 进程逃避检测的技术。 名为 new.bat 的批处理文件经过深度混淆，以躲避安全检测。它使用编码技巧和字符串混淆，使得脚本看起来像是使用 UTF-16 编码并包含中文字符，这进一步增加了分析难度。脚本在打开一个假 PDF 文件的同时，通过 PowerShell 悄悄下载包含 Python 环境和恶意 Python 程序的两个ZIP文件，并将它们解压缩隐藏在用户的配置文件目录中。 最后阶段是依次运行 Python 程序，每个程序都会加载并执行 shellcode，以绕过检测机制并部署主要有效载荷PureHVNC。 活动中的每个 Python 文件都使用 GitHub 上名为 “Kramer “的 Python 混淆器进行了精心混淆。Kramer 使用随机生成的密钥对源代码进行加密，为逆向工程增加了一层保护。shellcode 由名为 “donut “的工具生成，旨在解密并执行下一阶段的有效载荷，同时绕过 AMSI 和 WLDP 等 Windows 安全功能。 Python混淆器“Kramer” 攻击的第二阶段引入了 shellcode 加载器 “laZzzy”，它伪装成合法的 Microsoft 管理控制台 (MMC) 应用程序。该加载器使用先进的注入技术在 notepad.exe 这个看起来无害的进程中执行最终有效载荷，从而避免被检测到。 在这场活动中部署的恶意软件中，PureHVNC 因其复杂的功能脱颖而出。作为一个 .NET 应用程序，PureHVNC 使用 .NET Reactor 进行了大量混淆处理，使其难以分析。它的主要功能是使用 AES 加密解密有效载荷，然后使用 Gzip 解压缩，提取 DLL 有效载荷并加载到内存中。 一旦激活，PureHVNC 就会执行一系列旨在保持持久性和收集情报的操作。它会使用 PowerShell 设置注册表运行键值或阻止系统休眠，确保恶意软件保持激活状态。然后，它会与命令与控制（C2）服务器通信，上报系统信息，包括已安装杀毒产品的详细信息、系统规格和用户信息。 PureHVNC 专门针对加密货币钱包、密码管理器和双因素身份验证 (2FA) 应用程序等高价值资产。它扫描这些应用的关联路径，并检查注册表中的安装软件，重点窃取敏感数据。 攻击并不仅限于 PureHVNC，C2 服务器还可以部署扩展恶意软件功能的其他插件。这场活动中发现的两个值得注意的插件是： 插件 1：PluginRemoteDesktop 该插件可远程控制受害者的系统。它与 C2 服务器通信以执行命令，允许攻击者操纵受害者的桌面环境、捕获屏幕截图、控制鼠标等。 插件 2：PluginExecuting 该插件用于执行附加文件、更新恶意软件，甚至卸载恶意软件以掩盖踪迹。它支持多种命令，包括下载和执行新恶意软件的命令，利用进程挖空技术将恶意代码注入合法进程中。 FortiGuard 实验室的网络安全研究人员敦促组织对此类威胁保持警惕，确保员工了解网络钓鱼电子邮件的危险性，并采取强有力的安全措施来检测和缓解多阶段攻击。正如此次活动所表明的，即使是最看似无害的电子邮件，也可能成为破坏性漏洞的起点。   转自Freebuf，原文链接：https://www.freebuf.com/news/408455.html 封面来源于网络，如有侵权请联系删除

一个可能与神秘威胁组织 “Crazy Evil “有关联的复杂网络犯罪行动已经将目光瞄准了 Mac 用户，利用流行的屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。Moonlock Lab 的研究人员发现了这一令人震惊的活动，揭露了攻击者是如何滥用谷歌广告来引诱毫无戒心的受害者访问精心制作的假 Loom 网站的。 最近，Moonlock Lab 发现，一个可能与俄罗斯有关联的名为 Crazy Evil 的组织正在传播 AMOS 窃取程序的变种。该组织正在谷歌广告上开展欺骗活动，将用户重定向到一个托管在 smokecoffeeshop[.]com的假冒 Loom 网站。该网站几乎完美地模仿了合法的 Loom 网站，从该网站下载的任何内容都会导致安装 AMOS 窃取程序。 自 2021 年首次出现以来，该恶意软件已发生了重大演变，并在不断更新和改进。这款复杂的恶意软件可以提取敏感信息、窃取浏览器数据，甚至清空加密货币钱包。 这种新型 AMOS 变种的一个显著特点是能够克隆合法应用程序。Moonlock Lab 发现，该恶意软件可以用恶意克隆程序替换 Ledger Live（一款流行的加密货币钱包应用程序）等应用程序。这一新功能代表了恶意软件功能的重大进步，使其能够绕过苹果应用商店的安全措施，直接侵入用户设备。 威胁行为者还创建了其他流行应用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一个名为BlackDesertPersonalContractforYouTubepartners[.]dmg 的虚假应用程序以游戏社区为目标，参考了大型多人在线角色扮演游戏 Black Desert Online。游戏玩家通常涉及数字资产和加密货币，是此类网络攻击的常见目标。 Moonlock Lab 将这次攻击活动背后的团伙称为 “疯狂邪恶”（Crazy Evil）。他们通过 Telegram 机器人进行沟通和招募，并强调新型 AMOS 窃取器在招募广告中的能力。该团伙的行动与一个高恶意软件关联 IP 地址（85[. 28[.]0[.]47）有关，研究人员进一步将他们与俄罗斯网络犯罪活动联系起来。 为了保护自己免受这种新型威胁，请遵循以下准则： 谨慎下载： 只从官方网站或 Apple App Store 下载软件。避免点击谷歌广告中的软件下载链接。 验证 URL： 仔细检查 URL，确保访问的是合法网站。 保护游戏账户： 警惕主动提供奖励或新游戏试用的信息。报告、阻止和删除可疑信息。 使用安全软件： 使用信誉良好的杀毒软件和反恶意软件工具来检测和删除威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/408362.html 封面来源于网络，如有侵权请联系删除

在 2023 年 11 月，南亚的一家媒体机构遭遇了一次前所未有的网络攻击，攻击者利用了一种之前未曾记录的基于 Go 语言开发的后门程序，名为 GoGra。 “GoGra 是一种用 Go 语言编写的后门程序，它通过 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制（C&C）服务器进行交互。”Broadcom旗下的Symantec在与The Hacker News分享的一份报告中表示。 目前尚不清楚 GoGra 是如何被交付到目标环境的。然而，GoGra 被专门配置为从 Outlook 用户名为“FNU LNU”的账户中读取邮件，其邮件主题以“Input”一词开头。 接着，GoGra 使用密钥和 AES-256 算法在密码块链（CBC）模式下对邮件内容进行解密，然后通过 cmd.exe 执行相关命令。 随后，操作结果会被加密并发送回同一用户，邮件主题为“Output”。 据报道，GoGra 可能由一个名为 Harvester 的国家级黑客组织开发，因为其与名为 Graphon 的定制 .NET 植入程序具有相似特征，该植入程序同样利用 Microsoft Graph API 进行命令和控制（C&C）。 这一趋势表明，威胁行为者越来越倾向于利用合法的云服务，以保持隐匿并减少对专用基础设施的依赖。   下面列出了采用该技术的其他一些新恶意软件家族： Firefly是一种在针对东南亚军事组织的网络攻击中部署的以前未见的数据泄露工具。该工具收集的信息会通过硬编码的刷新令牌上传至 Google Drive。 在 2024 年 4 月，一种名为 Grager 的新型后门被部署于台湾、香港和越南的三个组织。Grager 利用 Graph API 与托管在 Microsoft OneDrive 上的命令与控制（C&C）服务器进行通信。这一活动初步与一个被追踪为 UNC5330 的疑似中国威胁行为者相关联。 另一个名为 MoonTag 的后门也具备与 Graph API 通信的功能，并被认为是中国威胁参与者所开发。 此外，名为 Onedrivetools 的后门曾被用于攻击美国和欧洲的 IT 服务公司。该后门通过 Graph API 与托管在 OneDrive 上的 C&C 服务器进行交互，以执行接收到的命令并将结果保存至 OneDrive。 Symantec 表示：“尽管通过云服务进行命令与控制并非新技术，但近期越来越多的攻击者开始采用这一方法。”该公司还提到了一些相关的恶意软件，例如 BLUELIGHT，Graphite，Graphican和BirdyClient等。 根据目前利用云服务的威胁参与者的数量，可以推测，间谍行为者正在研究并模仿其他组织所采用的成功技术。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播，该蠕虫能够窃取账户凭证和其他数据。 据发现该活动的卡巴斯基研究人员称，CMoon 可以执行多种功能，包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。 从攻击者使用的分发渠道来看，他们的目标范围集中在高价值目标而不是随机的互联网用户，这表明他们的行动非常复杂。 感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件（docx、.xlsx、.rtf 和 .pdf）链接时。 攻击者将文档链接替换为恶意可执行文件的链接，这些恶意可执行文件也托管在网站上，并作为自解压档案传递给受害者，其中包含原始文档和 CMoon 负载（以原始链接命名）。 卡巴斯基报告称：“我们还没有发现这种恶意软件的其他传播媒介，因此我们认为此次攻击仅针对特定网站的访问者。” 在该天然气公司收到此入侵通知后，恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。 由于 CMoon 的自我传播机制，感染仍在继续自主进行。 CMoon 是一种 .NET 蠕虫，它会将自身复制到一个新创建的文件夹中，该文件夹以其在受感染设备上检测到的防病毒软件命名；如果未检测到 AV，则复制到一个类似于系统文件夹的文件夹中。 该蠕虫在 Windows 启动目录上创建快捷方式，以确保它在系统启动时运行，从而确保重新启动之间的持久性。 为了避免在手动用户检查时引起怀疑，它将文件的创建和修改日期更改为 2013 年 5 月 22 日。 该蠕虫会监视新连接的 USB 驱动器，当任何 USB 驱动器连接到受感染的机器时，它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。 CMoon 还会查找 USB 驱动器上存储的有趣文件，并将它们临时存储在隐藏目录（“.intelligence”和“.usb”）中，然后将它们泄露到攻击者的服务器。 CMoon 具有标准的信息窃取功能，目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。 一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件，例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。 该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。 被盗文件和系统信息被打包并发送到外部服务器，在那里进行解密（RC4）并使用 MD5 哈希验证其完整性。 卡巴斯基表示，在其当前可见范围之外还有更多网站分发 CMoon，蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/H1YEJmnkrLXOjPOhVHZcmg 封面来源于网络，如有侵权请联系删除