网络安全公司 Sygnia 报告称，APT组织被发现使用传统 F5 BIG-IP 设备持续访问受害者网络长达三年。 这个被称为“Velvet Ant （天鹅绒蚂蚁）”的APT组织使用了多种机制来确保在受害者网络中立足，并迅速从已解决的机制转向新的机制，并表现出逃避检测的适应性。 该网络安全公司指出：“攻击者在调查前至少两年就已渗透到该组织的网络，并成功站稳脚跟，掌握了对该网络的深入了解。” 研究人员发现，Velvet Ant 使用各种工具和技术来破坏关键系统并访问敏感数据，并在未受监控的系统中部署休眠持久机制，包括 PlugX 远程访问木马 (RAT)。 攻击链 在部署 PlugX 恶意软件之前，攻击者被发现使用了 DLL 搜索顺序劫持、DLL 侧加载和幻影 DLL 加载，以及篡改已安装的安全软件。 该黑客组织表现出了高度的操作安全（OPSEC）意识，并没有在未能禁用安全软件的工作站上安装恶意软件。 Velvet Ant 还使用开源工具 Impacket 在受感染的机器上进行横向工具传输和远程代码执行，并创建防火墙规则以允许连接到命令和控制 (C＆C) 服务器。 从受害者网络中消除后，Sygnia 观察到它使用 PlugX 样本感染新机器，这些样本重新配置为使用内部服务器作为 C＆C，并通过该服务器与恶意软件建立外部通信。 攻击者使用配置了外部 C＆C 服务器的 PlugX 版本感染了可以访问互联网的系统，以窃取敏感信息，并使用没有 C＆C 的恶意软件迭代感染了旧服务器。 Velvet Ant 通过两台运行过时、易受攻击的软件的 F5 BIG-IP 设备，使用反向 SSH 隧道连接来访问旧文件服务器。 Sygnia 指出：“受感染文件服务器上的 PlugX 实例被攻击者用作内部 C&C 服务器。黑客从该服务器开展侦察活动，利用 Impacket 的 WmiExec 将 PlugX 的其他实例部署到旧服务器上。” 受害者使用受感染的 F5 BIG-IP 设备提供防火墙、WAF、负载平衡和本地流量管理服务。这两款设备都直接暴露在互联网上，可能已通过利用已知漏洞遭到黑客攻击。 在其中一台被攻陷的 F5 设备上，攻击者部署了 VelvetSting（用于接收来自 C&C 的命令）、VelvetTap（用于捕获网络数据包）、Samrid（开源 Socks 代理隧道程序 EarthWorm）和 Esrde（具有与 VelvetSting 相同的功能）等工具。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rvV74uqIKcar3y6Zd2dRMQ 封面来源于网络，如有侵权请联系删除

据观察，与哈马斯有关的高级持续性威胁 (APT) 组织 Arid Viper 早在 2022 年就使用 Android 间谍软件 AridSpy。现在，研究人员首次对该恶意软件之前神秘的后期阶段进行了全面分析。 ESET 的研究人员最近发布了一份关于 AridSpy 活动的新报告，结果表明 AridSpy 是通过木马消息应用程序进行传播的。 报告称：“在这些攻击活动中，AridSpy 被改造成一个多阶段木马，最初的木马应用程序会从命令和控制服务器下载额外的有效载荷。” 报告称，研究人员分析了五起针对埃及和巴勒斯坦 Android 用户的 AridSpy 攻击活动。AridSpy 经常潜伏在具有合法功能的应用程序中，使其更难被发现。 ESET 表示，在本例中，巴勒斯坦的受害者被一款冒充巴勒斯坦民事登记处的恶意应用程序的广告所针对。在埃及，第一阶段的间谍软件隐藏在一款名为 LapizaChat 的应用程序中以及诈骗性质的工作机会发布中。这些应用程序可从威胁行为者控制的第三方网站（而非 Google Play）下载。 被木马感染的消息应用程序 分析表明，一旦第二阶段数据泄露开始，该威胁组织将能够收集大量数据，包括设备位置、联系人列表、通话记录、短信、照片缩略图、剪贴板数据、通知、视频录制缩略图，以及让网络犯罪分子能够录制音频、拍照等。 报告称，此前的分析显示，AridSpy 曾在 2022 年针对卡塔尔举行的 FIFA 世界杯以及中东地区的其他活动展开攻击。 ESET 警告称，专用网站仍在运行至少三个 AridSpy 间谍活动。 报告称：“截至本文发布时，发现的五个攻击活动中有三个仍然活跃；这些攻击活动使用专门的网站来分发冒充 NortirChat、LapizaChat 和 ReblyChat 的恶意应用程序、招聘信息……以及巴勒斯坦民事登记应用程序。” 随着时间的推移，Arid Viper 也可能会维护和改进 AridSpy 代码。 研究人员指出：“当然，第二阶段的有效载荷携带了最新的更新和恶意代码更改，这些更改可以推送到其他正在进行的活动。”“这些信息表明 AridSpy 得到了维护，可能会收到更新或功能更改。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ah-zsfC8vkkcdVb7IBu_GQ 封面来源于网络，如有侵权请联系删除

一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度政府机构。 该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与代号为“UTA0137”的巴基斯坦黑客组织有关。 “2024 年，Volexity 发现了一个疑似巴基斯坦威攻击者开展的网络间谍活动，Volexity 目前以别名 UTA0137 进行追踪。”Volexity 解释道。 “Volexity 高度确信 UTA0137 具有间谍相关目的，其职责是针对印度政府实体。根据 Volexity 的分析，UTA0137 的活动似乎取得了成功。”研究人员继续说道。 该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似，允许攻击者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件。 攻击者使用 Discord 和表情符号作为命令和控制 (C2) 工具，这使得该恶意软件可以让它绕过基于文本进行检测的安全软件。 Discord 和表情符号作为 C2 据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件。Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。 执行后，恶意软件将下载并显示一个 PDF 诱饵，该诱饵是印度国防军官公积金的受益人表格，以防军官死亡。 诱饵文档的一部分 额外的有效载荷将在后台下载，包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本，用于搜索 USB 驱动器并从中窃取数据。 当 DISGOMOJI 启动时，恶意软件将从机器中窃取系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，并将这些信息发送回攻击者。 为了控制恶意软件，攻击者利用开源命令和控制项目discord-c2，该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。 该恶意软件将连接到攻击者控制的 Discord 服务器并等待攻击者在频道中输入表情符号。 当 DISGOMOJI 正在处理命令时，它会在命令消息中用“时钟”表情符号做出反应，让攻击者知道命令正在处理中。一旦命令完全处理完毕，“时钟”表情符号反应将被删除，DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应，以确认命令已执行。” 九个表情符号用于表示在受感染设备上执行的命令，如下所示。 该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。 Volexity 表示，他们发现了利用 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制的其他版本，包括XDG 自动启动条目。 一旦设备被攻破，攻击者就会利用其访问权限横向扩散、窃取数据并试图从目标用户那里窃取更多凭证。 虽然表情符号对于恶意软件来说似乎是一个“可爱”的新奇事物，但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件检测，这是一种有趣的方法。 UTA 0137 感染后行为 Volexity 发现 UTA0137 在成功感染后使用的许多第二阶段工具，以及攻击者使用的通用策略、技术和程序 (TTP)。 其中一些总结如下： 使用Nmap扫描受害网络 使用Chisel和Ligolo进行网络隧道传输 大量使用文件共享服务oshi[.]at来准备受感染机器下载的工具并托管窃取的数据 此外，UTA0137 会利用预安装的Zenity实用程序，诱使受害者在攻击者控制的对话框中输入密码。UTA0137 发出了多个命令，在用户系统上弹出一个对话框，伪装成 Firefox 更新： 在最近的一次活动中，Volexity 注意到 UTA0137针对系统部署了DirtyPipe (CVE-2022-0847) 特权提升漏洞。 详细技术报告：https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vZsnyaizTaWFYKsWhkKxEQ 封面来源于网络，如有侵权请联系删除

据称，来自巴基斯坦的黑客在为期六年针对印度政府、国防和技术部门相关公司的攻击活动中使用了基于 Android 的恶意软件。 据思科 Talos 研究人员称，该攻击活动仍在进行中，涉及使用名为 GravityRAT 的恶意软件，该恶意软件可让黑客窃取信息。在该研究机构周四发布的一份报告中，研究人员将该活动称为“Operation Celestial  Force（天体力量行动）”。 思科 Talos 表示，自 2019 年以来，它发现黑客不断为 GravityRAT 添加功能，使他们能够窃取设备数据，例如移动设备识别码、电话号码、网络操作、SIM 信息和设备位置。 “Operation Celestial  Force（天体力量行动）”的感染链 思科此前曾曝光巴基斯坦攻击者在 2018 年使用 GravityRAT 攻击印度目标。 该恶意软件还允许黑客阅读短信、窃取设备上的文件、阅读通话记录并删除所有联系人。 黑客通过恶意网站传播 GravityRAT，其中一些网站的注册时间最晚为 2024 年 1 月。这些网站声称提供合法的 Android 应用程序。 此次攻击背后的黑客属于一个被研究人员称为“Cosmic Leopard（宇宙豹）”的组织，该组织主要专注于间谍和监视活动。 思科 Talos 的研究人员表示：“这项行动至少在过去六年中一直活跃，Talos 观察到近年来威胁形势总体呈上升趋势，尤其是利用移动恶意软件针对高价值目标进行间谍活动，包括使用商业间谍软件。” 扩展和重叠 除了 GravityRAT 恶意软件之外，“Operation Celestial  Force（天体力量行动）”活动还使用了“不断扩展和演变的恶意软件套件”——思科 Talos 表示，这证明黑客“在针对印度目标方面取得了高度成功”。 此次扩展包括 HeavyLift 恶意软件家族——它允许黑客下载并安装其他恶意植入程序到受害者的设备上。 “此次活动主要利用两种感染媒介——鱼叉式网络钓鱼和社会工程。鱼叉式网络钓鱼包括向目标发送带有相关语言和包含 GravityRAT 等恶意软件的恶意文档的消息。”研究人员表示。 “另一种感染媒介在这次行动中越来越受欢迎，现在也是“Cosmic Leopard （宇宙豹）”行动的主要策略，即通过社交媒体渠道联系目标，与他们建立信任，最终向他们发送恶意链接，下载基于 Windows 或 Android 的 GravityRAT 或基于 Windows 的加载程序 HeavyLift。” “Cosmic Leopard （宇宙豹）”的活动与透明部落（另一个巴基斯坦黑客组织）的活动重叠。透明部落涉嫌参与多起针对印度教育部门、政府和军队以及阿富汗各地组织的活动。 透明部落过去曾利用针对 Android 的恶意软件攻击印度和巴基斯坦公民，这些恶意软件旨在记录电话、窃取照片等。思科 Talos 表示，没有足够的技术证据将这场持续六年的攻击活动与透明部落联系起来，这就是为什么他们将其标记为 “Cosmic Leopard （宇宙豹）”的原因。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LnecCMZAGXF0IFyTdN4JgQ 封面来源于网络，如有侵权请联系删除

Morphisec 的研究人员观察到一个被称为 Sticky Werewolf 的黑客，其目标是俄罗斯和白俄罗斯的实体。 Sticky Werewolf 是一个黑客，于 2023 年 4 月首次被发现，最初针对俄罗斯和白俄罗斯的公共组织。该组织已将业务扩展到各个领域，包括一家制药公司和一家专门从事微生物学和疫苗开发的俄罗斯研究机构。 在最新的活动中，Sticky Werewolf 针对航空业发送了据称来自 AO OKB Kristall 第一副总经理的电子邮件，AO OKB Kristall 是一家总部位于莫斯科的公司，从事飞机和航天器的生产和维护。此前，该组织使用带有恶意文件链接的网络钓鱼电子邮件。在最新的活动中，黑客使用了包含指向存储在 WebDAV 服务器上的有效负载的 LNK 文件的存档文件。 在执行托管在 WebDAV 服务器上的二进制文件后，会启动一个经过混淆的 Windows 批处理脚本。该脚本运行 AutoIt 脚本，最终注入最终有效载荷。 “在之前的活动中，感染链始于包含从 gofile.io 等平台下载恶意文件的链接的网络钓鱼电子邮件。然而，在他们最新的活动中，感染方法已经发生了变化。” Morphisec 发布的分析报告写道。“最初的电子邮件包含一个存档附件；当收件人提取存档时，他们会找到 LNK 和诱饵文件。这些 LNK 文件指向托管在 WebDAV 服务器上的可执行文件。一旦执行，就会启动一个批处理脚本，然后启动一个 AutoIt 脚本，最终注入最终的有效负载。” 该档案包括一个诱饵 PDF 文件和两个伪装成 DOCX 文档的 LNK 文件，分别名为 Повестка совещания.docx.lnk（会议议程）和 Список рассылки.docx.lnk（邮件列表）。 黑客使用了据称由 AO OKB Kristall 第一副总经理兼执行董事发送的网络钓鱼消息。收件人是来自航空航天和国防部门的个人，他们被邀请参加有关未来合作的视频会议。这些消息使用包含恶意负载的受密码保护的存档。 黑客使用的有效载荷包括商品 RAT 或窃取程序。最近，Sticky Werewolf 被发现在其活动中使用了Rhadamanthys Stealer和 Ozone RAT。在之前的攻击中，该组织还部署了 MetaStealer、DarkTrack 和NetWire。 “这些恶意软件可进行广泛的间谍活动和数据泄露。虽然没有确凿证据表明 Sticky Werewolf 的国籍，但地缘政治背景表明它可能与亲乌克兰的网络间谍组织或黑客活动分子有联系，尽管这种归属仍不确定。”该报告总结道，其中还包括入侵指标 (IoC)。   转自e安全，原文链接：https://mp.weixin.qq.com/s/HaP15jspRaYYZpleJTFXoA 封面来源于网络，如有侵权请联系删除

一组以色列研究人员探索了 Visual Studio Code 市场的安全性，并通过对流行的“Dracula Official”主题的副本进行木马病毒感染，以包含危险代码，成功“感染”了 100 多个组织。对 VSCode 市场的进一步研究发现了数千个扩展程序，安装量达数百万次。 Visual Studio Code（VSCode）是微软发布的一款源代码编辑器，被全球众多专业软件开发人员使用。 微软还运营一个 IDE 的扩展市场，称为 Visual Studio Code Marketplace，它提供可扩展程序功能并提供更多自定义选项的附加组件。 先前的报告强调了 VSCode 的安全性漏洞，允许扩展程序发布者冒充以及窃取开发人员身份验证令牌的扩展，还有一些在野外发现的扩展被证实是恶意目的。 对 Dracula 主题进行域名抢注 在最近的实验中，研究人员Amit Assaraf、Itay Kruk 和 Idan Dardikman创建了一个扩展，对“ Dracula Official ”主题进行了域名抢注，该主题是各种应用程序的流行配色方案，在 VSCode 市场上安装量超过 700 万次。 Darcula 因其视觉上吸引人的暗黑模式和高对比度的调色板而被大量开发人员使用，这对眼睛很友好，有助于减少长时间编码期间的眼睛疲劳。 研究中使用的虚假扩展名为“Darcula”，研究人员甚至在“darculatheme.com”注册了一个匹配的域名。该域名被用来成为 VSCode 市场上经过验证的发布者，从而增加了虚假扩展的可信度。 VSCode 市场上的 Darcula 扩展 他们的扩展使用了合法 Darcula 主题的实际代码，但还包括一个附加脚本，用于收集系统信息，包括主机名、已安装的扩展数量、设备的域名和操作系统平台，并通过 HTTPS POST 请求将其发送到远程服务器。 研究人员指出，恶意代码不会被端点检测和响应 (EDR) 工具标记，因为 VSCode 作为开发和测试系统的性质而受到宽大处理。 该扩展程序迅速获得关注，被多个高价值目标错误地安装，其中包括一家市值 4830 亿美元的上市公司、大型安全公司和一个国家司法法院网络。 研究人员选择不透露受影响公司的名称。 由于该实验没有恶意，分析师仅收集了识别信息，并在扩展的自述文件、许可证和代码中包含了披露。 Darcula 在 VSC Marketplace 上发布帖子 24 小时后受害者的位置 VSCode 市场现状 实验成功后，研究人员决定深入研究 VSCode 市场的威胁状况，使用他们开发的名为“ExtensionTotal”的自定义工具来查找高风险扩展、解包并仔细检查可疑的代码片段。 通过这一过程，他们发现： 1,283 个含有已知恶意代码（2.29 亿次安装）。 8,161 个使用硬编码 IP 地址进行通信。 1,452 个正在运行未知的可执行文件。 2,304 个正在使用其他发布者的 Github repo，表明他们是模仿者。 下面是在恶意 Visual Studio Code Marketplace 扩展中发现的代码示例，该扩展会打开网络犯罪分子服务器的反向 shell。 在代码美化扩展 (CWL Beautifer) 中发现的反向 shell 微软对 VSCode 市场缺乏严格的控制和代码审查机制，这使得攻击者可以肆意滥用该平台，而且随着平台使用的增多，情况会变得越来越糟。 研究人员警告说：“从数字可以看出，Visual Studio Code 市场上有大量的扩展对组织构成风险。” “VSCode 扩展是一种被滥用和暴露的攻击垂直领域，具有零可见性、高影响和高风险。这个问题对组织构成了直接威胁，值得安全社区的关注。” 研究人员检测到的所有恶意扩展都已负责任地报告给 Microsoft 以进行删除。然而，截至撰写本文时，绝大多数扩展仍可通过 VSCode Marketplace 下载。 研究人员计划下周发布他们的“ExtensionTotal”工具以及有关其操作能力的详细信息，并将其作为免费工具发布，以帮助开发人员扫描他们的环境以发现潜在威胁。 研究人员发表的系列技术博客文章： 我们如何使用假的 VSCode 扩展在 30 分钟内入侵价值数十亿美元的公司 揭露恶意扩展：来自 VS Code 市场的令人震惊的统计数据 致微软的一封信：揭露 Visual Studio Code 扩展的设计缺陷   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xDDh_N7o26Em_9Ni3Ddyyw 封面来源于网络，如有侵权请联系删除

近日，一些网络安全研究人员演示了恶意软件是如何成功窃取 Windows Recall 工具收集到的数据。 微软 Recall 功能是一种人工智能驱动的工具，旨在帮助用户搜索电脑上过去的活动，该工具收集的数据在本地存储和处理。工具推出后，鉴于其扫描并保存电脑屏幕的定期截图，有可能暴露敏感数据，例如密码或财务信息等，引起了网络安全专家对其安全和隐私的担忧。 随着这一事件的发酵，微软方面一直在试图淡化用户面临的安全风险。该公司指出，黑客需要物理访问权限才能获取 Recall 工具收集的数据。不过，微软的回应就遭到了”打脸“，多名网络安全研究人员成功验证恶意代码可以窃取 Windows Recall 工具收集到的数据。 著名网络安全专家 Kevin Beaumont 表示，黑客能够使用恶意软件远程访问运行 Recall 的设备。 当用户登录电脑并运行软件时，一切都会自动解密，静态加密只有在有人到用户家中偷走笔记本电脑时才会有用（黑客犯罪可不是这么干）。自动窃取用户名和密码的 InfoStealer 木马十多年来一直是行业内的大麻烦，目前这些木马仍然可以被轻松修改，以”支持“ Recall。 值得一提的是，微软方面表示，公司内部的工具捕获的信息是高度加密的，没有人可以非法访问这些数据信息。对此， Kevin Beaumont 很快就指出微软的说法是假的，并公布了一段视频，视频中两名微软工程师访问了包含图片的文件夹。 演示视频地址：此处 网络安全研究人员 Alex Hagenah 发布了一款名为 “TotalRecall ”的 PoC 工具，可以自动提取和显示 Recall 在笔记本电脑上捕获并保存到数据库中的快照。Hagenah 声称，数据库没有被加密的，全是纯文本。 Hagenah 进一步表示，Windows Recall 将所有内容都存储在本地未加密的 SQLite 数据库中，截图只是保存在 PC 上的一个文件夹中，可以在下面的路径中查看： C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID} 所有图像都存储在以下子文件夹中 .\ImageStore\ 研究人员 Marc-André Moreau 强调，信息窃取型恶意软件可以从本地 SQLite 数据库中轻松窃取远程桌面管理器中暂时可见的密码，这些密码都会被 Recall 工具捕获。 演示视频地址：此处 最后， Kevin Beaumont 在其研究报告中指出，微软方面此时应该立刻召回 Recall ，并在后续的更新中解决安全隐患。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402814.html 封面来源于网络，如有侵权请联系删除

俄罗斯机构正遭受网络攻击，这些攻击被发现传播一种名为“Decoy Dog”的恶意软件的 Windows 版本。 网络安全公司 Positive Technologies 正在追踪代号为 Operation Lahat 的活动集群，并将其归咎于名为HellHounds（地狱猎犬）的高级持续威胁 (APT) 组织。 安全研究人员亚历山大·格里戈里安 (Aleksandr Grigorian) 和斯坦尼斯拉夫·皮佐夫 (Stanislav Pyzhov)表示：“地狱猎犬 APT组织会入侵他们选定的目标，在这些目标网络站稳脚跟，多年不被发现。在这样做的过程中，该组织利用了主要的入侵媒介，从易受攻击的网络服务到可信任的关系。” 2023 年 11 月下旬，一家未具名的电力公司被 Decoy Dog 木马病毒感染，随后该公司首次记录了HellHounds 病毒。迄今为止，已证实该病毒已感染了俄罗斯的 48 名受害者，其中包括 IT 公司、政府、航天工业公司和电信提供商。 攻击链 有证据表明，该APT组织至少从 2021 年开始就将目标对准俄罗斯公司，恶意软件的开发早在 2019 年 11 月就开始了。 2023 年 4 月，Infoblox发现Decoy Dog（开源Pupy RAT的定制变体）使用 DNS 隧道与其命令和控制 (C2) 服务器进行通信以远程控制受感染的主机，有关该恶意软件的详细信息浮出水面。 该恶意软件的一个显着特点是它能够将受害者从一个控制器移动到另一个控制器，从而使攻击者能够与受感染的机器保持通信并在较长时间内保持隐藏。 涉及这一复杂工具包的攻击主要集中在俄罗斯和东欧，更不用说专门针对 Linux 系统，尽管 Infoblox 暗示了可能存在 Windows 版本。 Infoblox 在 2023 年 7 月指出：“代码中对 Windows 的引用暗示存在包含新 Decoy Dog 功能的更新 Windows 客户端，尽管当前所有样本都针对 Linux。” Positive Technologies 的最新发现几乎证实了 Windows 版 Decoy Dog 的存在，该版本通过使用专用基础设施的加载器传送到关键任务主机以获取解密有效载荷的密钥。 进一步分析发现，HellHounds 使用另一个名为3snake的开源程序的修改版本来获取运行 Linux 主机上的凭证。 Positive Technologies 表示，在至少两起事件中，攻击者通过承包商使用受损的SSH登录凭据成功获取了受害者基础设施的初始访问权。 研究人员表示：“攻击者长期以来一直能够在俄罗斯的重要组织内部保持存在。” “尽管几乎所有的 Hellhounds 工具包都是基于开源项目，但攻击者对其进行了相当好的修改，以绕过恶意软件防御并确保在受感染组织内部长期隐蔽存在。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/he0EWFxhUNEznTZsH083xA 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的 APT28 使用 HeadLace 恶意软件和凭证收集网页对欧洲各地的网络发动攻击。 Insikt Group 的研究人员观察到，俄罗斯 GRU 的APT28小组利用信息窃取程序 Headlace 和凭证收集网页，针对整个欧洲的网络。 APT28 组织在 2023 年 4 月至 12 月期间分三个不同阶段部署了 Headlace，分别使用网络钓鱼、受感染的互联网服务和二进制文件。凭证收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆智库。 该组织创建的凭证收集页面可以通过在合法服务和受感染的 Ubiquiti 路由器之间传递请求来通过双因素身份验证和 CAPTCHA 挑战。 在一些攻击者中，攻击者在 Mocky 上创建了特制的网页，这些网页与在受感染的 Ubiquiti 路由器上运行的 Python 脚本进行交互，以窃取提供的凭据。 乌克兰国防部和欧洲铁路系统相关网络遭到入侵，攻击者可借此收集情报，影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣表明，他们可能意图了解并影响地区政策。 Insikt Group 推测此次行动旨在影响地区和军事动态。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM ）自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。 该组织隶属于俄罗斯总参谋部情报总局（GRU）第 85 主要特别勤务中心（GTsSS）的 26165 军事单位。 Insikt Group 详述的攻击中使用的攻击链有七个不同的基础设施阶段，用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件，并被重定向到 Microsoft 的 Web 门户 msn.com。通过检查的用户会下载恶意的 Windows BAT 脚本，该脚本连接到免费 API 服务以执行连续的 shell 命令。 攻击链 2023 年 12 月，Proofpoint 和 IBM 的研究人员详细介绍了新一波 APT 鱼叉式网络钓鱼攻击，这些攻击依靠多种诱饵内容来传播 Headlace 恶意软件。这些攻击针对至少 13 个不同的国家。 通过分析 Headlace 地理围栏脚本和自 2022 年以来凭证收集活动所针对的国家，Insikt Group 发现 BlueDelta 针对了 13 个不同的国家。乌克兰位居榜首，占活动的 40%。 土耳其可能看起来像是一个意外的目标，占 10%，但值得注意的是，它只是被 Headlace 地理围栏单独挑出来，不像乌克兰、波兰和阿塞拜疆，它们既被 Headlace 地理围栏瞄准，又被凭证收集。 研究人员呼吁政府、军队、国防和相关部门加强网络安全措施：优先检测复杂的网络钓鱼企图，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/EahbrbVDJj-iKBwhj5ZueA 封面来源于网络，如有侵权请联系删除

BleepingComputer网站消息，近日，卡巴斯基发布了一款名为 KVRT 的新型病毒清除工具，允许 Linux 平台用户免费扫描系统并清除恶意软件和其他已知威胁。 该安全公司指出，人们普遍认为 Linux 系统本质上是安全的，不会受到威胁，但不断有 “野生 ”的例子证明并非如此，XZ Utils 后门就是其中之一。 卡巴斯基的新工具并不是实时威胁防护工具，而是一个独立的扫描器，可以检测恶意软件、广告软件、被滥用于恶意目的的合法程序以及其他已知威胁，并提供清理服务。 被删除或清除的恶意文件副本会以无害形式保存在隔离目录中。 该应用程序使用一个经常更新的反病毒数据库来扫描整个系统的匹配病毒，但用户每次都需要下载一个新的副本来获取最新的定义。 “我们的应用程序可以扫描系统内存、启动对象、引导扇区和操作系统中的所有文件，以查找已知的恶意软件。它可以扫描所有格式的文件，包括存档文件。”卡巴斯基说。 需要注意的是，KVRT 仅支持 64 位系统，并且需要激活互联网连接才能工作。 卡巴斯基已经在流行的 Linux 发行版上测试了该工具，并确认它可以在 Red Hat Enterprise Linux、CentOS、Linux Mint、Ubuntu、SUSE、openSUSE 和 Debian 等系统上运行。 卡巴斯基表示，即使发行版不在支持系统列表上，KVRT 也很有可能顺利运行，所以尝试运行一下扫描也无妨。 KVRT 主窗口 使用 KVRT KVRT 可从此处下载，下载后，用户需要将文件设为可执行文件，并以根用户身份运行，以获得最大功能。 KVRT 既可以在图形用户界面（GUI）上执行，也可以作为命令行工具在终端上执行。因此，它可以在较低的初始运行级别（低至 3 级）下使用（在这种情况下，人们可能会在感染恶意软件后陷入困境）。 如果普通用户执行扫描程序，它将不具备扫描所有可能隐藏威胁的目录和分区所需的权限。 在初始化过程中，扫描程序会将一些必要的文件解压缩到的临时目录中，但一旦关闭，这些文件就会被清除。 卡巴斯基在该网页上提供了如何通过图形用户界面和控制台设置二进制文件以执行的详细说明。 BleepingComputer 表示，他们没有测试过 KVRT 的有效性，也不能保证其安全性，因此使用该工具需要自行承担风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/402471.html 封面来源于网络，如有侵权请联系删除