据BleepingComputer消息，AhnLab 安全情报中心（ASEC）发现网络攻击者正利用资源网站上的盗版微软 Office办公软件传播多种恶意软件。 这些恶意软件包括远程访问木马（RAT）、加密货币挖掘机、恶意软件下载器、代理工具和反病毒程序。 破解版 Office 安装程序具有精心设计的界面，用户可以选择要安装的版本、语言。用户一旦开始安装，安装程序就会在后台启动一个混淆的 .NET 恶意软件，该恶意软件会联系 Telegram 或 Mastodon 频道，以接收一个有效的下载 URL，并从该 URL 获取其他组件。 恶意Office安装程序界面 由于URL 指向 Google Drive 或 GitHub，这两种合法服务都不太可能触发防病毒警告。这些平台上托管的 base64 有效载荷包含 PowerShell 命令，使用 7Zip 解压缩后可将一系列恶意软件引入系统。 获取和解压缩恶意软件的组件 恶意软件组件 “Updater “会在 Windows 任务计划程序中注册任务，以确保在系统重启期间持续运行。据 ASEC 称，恶意软件会在被入侵系统上安装以下类型的恶意软件： Orcus RAT：实现全面远程控制，包括键盘记录、网络摄像头访问、屏幕捕获和系统操作，以实现数据外渗。 XMRig：使用系统资源挖掘 Monero 的加密货币矿机，会在受害者玩游戏等资源使用率高的时候停止挖矿，以避免被发现。 3Proxy：通过打开 3306 端口将受感染系统转换为代理服务器，并将其注入合法进程，允许攻击者路由恶意流量。 PureCrypter：下载并执行来自外部的额外恶意有效载荷，确保系统持续感染最新威胁。 AntiAV：通过修改配置文件破坏和禁用安全软件，阻止软件正常运行。 即使用户发现并删除了上述恶意软件，在系统启动时执行的 “更新器 “模块也会重新引入恶意软件。 类似的活动也被用来推送 STOP 勒索软件——一款针对消费者的活跃勒索软件。 攻击链 由于这些文件没有数字签名，且用户在运行这些文件时通常会忽略杀毒软件的警告，因此它们经常被网络攻击者用来入侵系统。建议用户在安装从可疑来源下载的文件时应谨慎，一般应避免安装盗版/破解软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/402477.html 封面来源于网络，如有侵权请联系删除

去年 10 月的某天，名为 Windstream 的 ISP 的用户开始在留言板上大量报告他们的路由器突然停止工作，并且对重新启动和所有其他恢复尝试均没有反应。 “路由器现在就放在那里，前面有一个稳定的红灯。”一位用户写道，他指的是 Windstream 为他们和隔壁邻居提供的 ActionTec T3200 路由器型号。“就算长按 RESET 之后，路由器也没有任何反应。” 在 10 月 25 日开始的几天内出现的消息中，许多 Windstream 用户将大规模故障归咎于 ISP。他们说这是该公司推送的更新毒害设备的结果。 Windstream 的 Kinetic 宽带服务在爱荷华州、阿拉巴马州、阿肯色州、乔治亚州和肯塔基州等 18 个州拥有约160 万用户。对于许多客户来说，Kinetic 是与外界联系的重要纽带。 在最终确定这些路由器永久无法使用后，Windstream 向受影响的客户发送了新路由器。Black Lotus Labs 将此事件命名为“Pumpkin Eclipse（南瓜日蚀）”。 蓄意攻击活动 安全公司 Lumen Technologies 的 Black Lotus 实验室本周四发布了一份调查报告，为该事件提供新的线索，但 Windstream 尚未对此作出解释。Black Lotus Labs 的研究人员表示，从 10 月 25 日开始的 72 小时内，恶意软件摧毁了 60 多万台连接到某个未具名 ISP 的单个自治系统号(ASN) 的路由器。 虽然研究人员没有指明是哪家 ISP，但他们报告的细节几乎与 Windstream 用户 10 月份发送的消息完全吻合。具体来说，大规模故障开始的日期、受影响的路由器型号、ISP 的描述，以及停用的 ActionTec 路由器显示的静态红灯。Windstream 代表拒绝回答通过电子邮件发送的问题。 据 Black Lotus 实验室称，这些路由器（保守估计至少有 60 万台）被一个不知名的攻击者拿走，其动机同样不明。这名攻击者采取刻意措施来掩盖他们的踪迹，他们使用的是名为Chalubo 的商业恶意软件，而不是定制开发的工具包。Chalubo 的内置功能允许攻击者在受感染的设备上执行自定义Lua脚本。 研究人员认为，该恶意软件下载并运行了永久覆盖路由器固件的代码。 周四的报告指出：“我们高度确信，恶意固件更新是故意造成中断的行为，尽管我们预计互联网上许多路由器品牌和型号都会受到影响，但这一事件仅限于单个 ASN”，报告进一步指出单个恶意软件突然切断 600,000 个路由器的连接所带来的令人不安的影响。 研究人员写道 这种破坏性攻击令人高度担忧，尤其是在这种情况下。该 ISP 的服务区域很大一部分覆盖农村或服务不足的社区；这些地方的居民可能无法获得紧急服务，农业企业可能在收获期间丢失了远程监控农作物的关键信息，医疗保健提供者无法获得远程医疗或患者记录。毋庸置疑，在孤立或脆弱的社区中，任何供应链中断的恢复都需要更长的时间。 在得知大规模路由器中断事件后，Black Lotus Labs 开始在 Censys 搜索引擎中查询受影响的路由器型号。一周快照很快显示，就在报告开始时，某个特定 ASN 的这些型号下降了 49%。这相当于至少 179,000 台 ActionTec 路由器和 Sagemcom 销售的 480,000 多台路由器中断服务。 互联网扫描数据显示了攻击发生当周受影响 ASN 中的设备数量 路由器与任何 ISP 的不断连接和断开使追踪过程变得复杂，因为不可能知道消失是正常的流失还是更复杂的情况。Black Lotus Labs 表示，保守估计，它追踪到的断开连接中至少有 60 万次是 Chaluba 感染设备并永久擦除设备所运行的固件所致。 在识别 ASN 后，Black Lotus 实验室发现了在路由器上安装 Chaluba 的复杂多路径感染机制。下图提供了逻辑概述。 逻辑感染过程及对应的 C2 节点 研究人员发现的恶意软件大规模清除路由器数据的例子并不多。最接近的可能是 2022 年发现的AcidRain，这种恶意软件摧毁了卫星互联网提供商 Viasat 的 10,000 个调制解调器。这次网络中断袭击了乌克兰和欧洲其他地区，与俄乌战争爆发有关。 Black Lotus 实验室的一名代表在接受采访时表示，研究人员不能排除影响 ISP 的路由器清除事件背后是否有国家支持的黑客组织。但到目前为止，研究人员表示，他们还不知道这些攻击与他们追踪的任何已知APT组织有任何重叠。 研究人员尚未确定感染路由器的初始手段。攻击者可能利用了漏洞，尽管研究人员表示，他们不知道受影响的路由器中存在任何已知漏洞。其他可能性是攻击者滥用了弱凭证或访问了暴露的管理面板。 一次与众不同的袭击 虽然研究人员之前已经分析过针对家庭和小型办公室路由器的攻击，但他们表示，有两件事让这次攻击显得格外突出。 他们解释道：首先，此次攻击活动导致受影响设备的硬件更换，这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多，此次事件是史无前例的——据我们所知，没有一次攻击需要更换超过 60 万台设备。此外，这种类型的攻击以前只发生过一次，当时 AcidRain 被用作主动军事入侵的前兆。 他们继续说道：第二个独特之处是，此次攻击活动仅限于特定的 ASN。我们之前见过的大多数攻击活动都针对特定的路由器型号或常见漏洞，并对多个提供商的网络产生影响。 在本例中，我们观察到 Sagemcom 和 ActionTec 设备同时受到影响，且均在同一提供商的网络内。这让我们判断这不是由单个制造商的固件更新错误造成的，通常只限于某个公司生产的一种或多种设备型号。 我们对 Censys 数据的分析显示，影响仅针对上述两个设备。这些因素让我们得出结论，即使我们无法恢复破坏性模块，该事件也可能是未归因的恶意攻击者故意采取的行动。 由于不清楚路由器是如何被感染的，研究人员只能提供一些通用的建议，让这些设备免受恶意软件的侵害。 这些建议包括安装安全更新、用强密码替换默认密码以及定期重启。ISP 和其他管理路由器的组织应遵循其他建议，以确保管理设备的管理界面的安全。 周四的报告包括 IP 地址、域名和其他威胁检测指标（IOCs），人们可以使用这些指标来确定他们的设备是否已成为攻击目标或遭到破坏。 详细技术分析参考：https://blog.lumen.com/the-pumpkin-eclipse/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/yB7y_4WYWCQDWDcg7sEN4A 封面来源于网络，如有侵权请联系删除

ThreatFabric 的研究人员发现LightSpy间谍软件的 macOS 版本，该版本至少自 2024 年 1 月以来一直在野外活跃。 ThreatFabric 观察到atfm者使用两个公开可用的漏洞（CVE-2018-4233、CVE-2018-4404）来传播 macOS 植入程序。研究人员注意到，CVE-2018-4404 漏洞的一部分可能借用自 Metasploit 框架。 LightSpy 的 macOS 版本支持 10 个插件，可以从MacOS移动设备中窃取私人信息。 LightSpy 是一款模块化间谍软件，在几个月沉寂之后再次出现，新版本支持具有广泛的间谍功能模块化框架。 LightSpy 可以从 Telegram、QQ 和微信等多个流行应用程序中窃取文件，以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据，包括浏览器历史记录、WiFi 连接列表、已安装的应用程序详细信息，甚至是设备摄像头捕获的图像。 该恶意软件还授予攻击者访问设备系统的权限，使他们能够检索用户 KeyChain 数据、设备列表并执行 shell 命令，从而有可以完全控制受害者设备。 研究人员报告称，从 2024 年 1 月 11 日开始，多个包含数字“96382741”的 URL 被上传到 VirusTotal。这些 URL 指向 GitHub 上发布的 HTML 和 JavaScript 文件，这些文件与 CVE-2018-4233 漏洞有关。 该漏洞位于 WebKit 中，影响 macOS 版本 10.13.3 和 11.4 之前的 iOS 版本。研究人员注意到，数字“96382741”以前曾被用作托管 Android 和 iOS 的 LightSpy 恶意软件文件的路径名。 “初始攻击者使用与 iOS 植入物分发相同的方法：触发 Safari 中的 WebKit 漏洞以执行非特权任意代码执行。对于 macOS，攻击者使用 CVE-2018-4233 漏洞，其源代码于 2018 年 8 月 18 日发布。” ThreatFabric 发布的分析报告写道：“由于该漏洞影响 iOS 和 macOS WebKit，因此 iOS 和 macOS 植入物可能已经以相同的方式传播了一段时间。不同之处在于横向本地特权提升，这是针对特定操作系统。” macOS 版本的插件与其他平台的插件不同，反映了目标系统的架构。与移动版本相比，桌面版本的渗透功能较少。 研究人员检查了所有已知的与 LightSpy 相关的主机，除了 103.27.109[.]217 之外，无法确认任何与 macOS 活动相关的主机。在与 LightSpy 相关的其他几个主机上发现了几乎相同的面板。 2024 年 3 月 21 日，该恶意软件管理面板首次出现在 VirusTotal 上，显示为网页背景。 第二天，面板 URL 也在 VirusTotal 上被发现，它与 Android LightSpy 相关联。初步分析显示，面板代码存在一个严重错误：它仅在加载所有脚本后才检查授权，会向未经授权的用户短暂显示经过身份验证的视图。 在窗口的右上角，有一个标有“远程控制平台”的按钮，指向同一控制服务器上的另一个面板。由于灾难性的配置错误，使得研究人员能够访问此面板，任何人都可以通过访问顶级面板来做同样的事情。这个面板包含有关受害者的全面信息，与本报告技术分析部分提供的所有泄露数据完全相关。 可以看到有三组不同的受害者：“202206”、“支持设备”和“default”。最后一组包含在与 C2 通信期间提供无效配置的受害者，我们可以高度肯定地说这些设备是安全研究人员的设备。 通过分析面板中的受害者列表，研究人员得出结论，其中一些受害者本身可能就是攻击者。例如，其中一台设备的浏览器历史记录中充满了指向 HTML 文件的 URL，该文件具有初始感染媒介的 RCE 漏洞。 研究人员确信 LightSpy for macOS 攻击者团伙专注于拦截受害者的通信，例如 Messenger 对话和语音记录。对于 macOS，设计了一个专门用于网络发现的插件，旨在识别靠近受害者的设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QrlpbtUe770pF3oidYU4uw 封面来源于网络，如有侵权请联系删除

Cloudflare 周四表示，已采取措施阻止由与俄罗斯结盟的黑客组织FlyingYeti策划的针对乌克兰的为期一个月的网络钓鱼活动。 Cloudflare 的威胁情报团队 Cloudforce One在今天发布的新报告中表示：“FlyingYeti 活动利用了人们对可能失去住房和公用设施使用权的焦虑，通过以债务为主题的诱饵诱使目标打开恶意文件。” “如果打开这些文件，将导致感染被称为 COOKBOX 的 PowerShell 恶意软件，从而允许 FlyingYeti 支持后续目标，例如安装额外的有效载荷和控制受害者的系统。” FlyingYeti 是乌克兰计算机应急响应小组 (CERT-UA) 以 UAC-0149 为名追踪的网络犯罪组织集群的名称。 该网络安全机构披露的先前攻击涉及使用通过 Signal 即时通讯应用程序发送的恶意附件来传播COOKBOX，这是一种能够加载和执行基于 PowerShell 编写的 cmdlet 恶意软件。 Cloudforce One 在 2024 年 4 月中旬检测到的最新活动涉及使用 Cloudflare Workers 和 GitHub，同时利用编号为CVE-2023-38831的 WinRAR 漏洞。 提示下载恶意档案“Заборгованість по ЖКП.rar” 恶意 RAR 压缩包“Заборгованість по ЖКП.rar”中包含的文件 该公司称，该黑客组织主要针对乌克兰军事实体，其基础设施使用动态 DNS (DDNS)，并利用基于云的平台来发布恶意内容和进行命令与控制 (C2) 。 据观察，这些电子邮件采用债务重组和支付相关的诱饵，诱使收件人点击现已删除的 GitHub 页面 (komunalka.github[.]io)，该页面冒充基辅 Komunalka 网站并指示他们下载 Microsoft Word 文件（“Рахунок.docx”）。 但实际上，点击页面上的下载按钮会检索 RAR 存档文件（“Заборгованість по ЖКП.rar”），但只有在评估了对 Cloudflare Worker 的 HTTP 请求后才会执行。一旦启动，RAR 文件就会利用 CVE-2023-38831 来执行 COOKBOX 恶意软件。 Cloudflare 表示：“该恶意软件旨在在主机上持久存在，作为受感染设备的立足点。安装后，该 COOKBOX 变种将向 DDNS 域 postdock[.]serveftp[.]com 发出 C2 请求，等待恶意软件随后运行的 PowerShell cmdlet。” 网络钓鱼活动还将目光瞄准了欧洲和美国的金融机构，通过将其 MSI 安装程序打包到流行的扫雷游戏的木马版本中，来部署名为 SuperOps 的合法远程监控和管理软件。 CERT-UA表示：“在计算机上运行该程序将为第三方提供未经授权的计算机远程访问权限”，CERT-UA将该攻击活动归咎于一个名为 UAC-0188 的黑客组织。 此次披露还遵循了 Flashpoint 的一份报告，该报告显示俄罗斯高级持续性威胁 (APT) 组织正在同时发展和改进其策略以及扩大其目标范围。 该公司上周表示：“他们正在利用新的鱼叉式网络钓鱼活动窃取数据和凭证，在受害者目标上投放商业木马恶意软件。这些鱼叉式网络钓鱼活动中使用最流行的恶意软件系列是 Agent Tesla、Remcos、SmokeLoader、Snake Keylogger 和 GuLoader。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/h5V1qctEaym9BAisxa1c5w 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件，能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。 基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始，该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片，该图片可以是一张景色秀丽的风景画，但却隐藏着恶意脚本。 恶意脚本使用 System.Drawing 库和特定公式(149 & 15)*16)|| (83^15) = 83从图像通道中计算出一个字节数组，该公式从图像的前两行绿色和蓝色RGB色彩通道值中通过提取隐藏代码而来。获得字节数组后，恶意软件会将其解码为 ASCII 字符，从而显示用户代理字符串和恶意软件将尝试连接的 C2 服务器 IP 地址。 Meterpreter后门原理 通过这种连接，攻击者可以发布命令，并有可能在未经授权的情况下访问被入侵的系统。解码后的信息会被转换成脚本，由恶意软件执行，从而在受感染的机器上建立一个持久的后门。该后门可用于各种恶意活动，如数据外渗、远程代码执行或在网络中进一步传播恶意软件。 隐写术：恶意软件传播的有力武器 隐写术是一种将信息隐藏在看似无害的数据中的做法，能够绕过传统的安全措施，通过在图像、音频文件或其他多媒体内容中隐藏恶意代码，在不被察觉的情况下发送有效载荷，目前正成为网络犯罪分子日益青睐的技术， Meterpreter 后门活动凸显了现代恶意软件作者的复杂性和适应性。通过利用隐写术，可以有效地隐藏其恶意活动，使安全专业人员在识别和减轻威胁方面面临更大的挑战。 一位网络安全专家表示，这一活动凸显了采用多层次安全方法的重要性，这种方法将传统的基于签名的检测与行为分析和机器学习等先进技术相结合，要想在这些不断变化的威胁面前保持领先，就必须时刻保持警惕，并采取积极主动的网络安全方法。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402324.html 封面来源于网络，如有侵权请联系删除

近日，有网络安全研究人员警告称，在Python 软件包索引（PyPI）库中发现了一个新的恶意 Python 软件包，该软件包为黑客盗取加密货币提供了便利。 该恶意软件包名为 pytoileur，截至发稿前已被下载 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 维护者删除后，该软件包的作者（名为 PhilipsPY）上传了一个新版本（1.0.2），并且功能完全相同。 根据 Sonatype 发布的分析报告显示，恶意代码被嵌入到了软件包的 setup.py 脚本中，使其能够执行 Base64 编码的有效载荷，该有效载荷负责从外部服务器检索 Windows 二进制文件。 安全研究员 Sharma 表示：检索到的二进制文件’Runtime.exe’会利用 Windows PowerShell 和 VBScript 命令在系统上运行。 一旦安装，二进制文件就会建立持久性并投放额外的有效载荷，包括间谍软件和能够从网络浏览器和加密货币服务中收集数据的窃取恶意软件。 Sonatype 表示，它还发现了一个新创建的名为 “EstAYA G ”的 StackOverflow 账户，该账户在问答平台上回复用户的询问，并引导用户安装恶意 pytoileur 软件包，并将其作为所谓的问题解决方案。 Sharma告诉《黑客新闻》称：虽然在无法访问日志的情况下评估互联网平台上的伪匿名用户账户很难确定其归属，但这两个账户的使用年限及其发布和推广恶意 Python 软件包的目的都表明，这些账户与这次活动背后的黑客有关。 Sonatype 表示：黑客公开滥用可信平台，并将其作为恶意活动的“滋生地”，这对于全球开发者来说都是一个巨大的警示信号。 鉴于 StackOverflow 平台上有很多新手开发者，他们仍在学习、提问，可能会听信恶意建议，因此 StackOverflow 的漏洞尤其令人担忧。 通过对软件包元数据仔细研究发现，它与 Checkmarx 于 2023 年 11 月披露的涉及 Pystob 和 Pywool 等虚假 Python 软件包此前的活动有相似之处。 这些发现再次说明了为什么开源生态系统仍然吸引着黑客的原因，这些黑客往往希望通过所谓的供应链攻击，并利用 Bladeroid 等信息窃取程序和其他恶意软件入侵多个目标。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402227.html 封面来源于网络，如有侵权请联系删除

与巴基斯坦有联系的“Transparent Tribe（透明部落）”APT组织涉嫌对印度政府、国防和航空航天部门发动一系列新攻击，这些攻击使用 Python、Golang 和 Rust 编写的跨平台恶意软件。 黑莓研究和情报团队在上周初发布的技术报告中表示：“这一系列活动从 2023 年底持续到 2024 年 4 月，预计还会持续下去。” 此次鱼叉式网络钓鱼活动还因滥用 Discord、Google Drive、Slack 和 Telegram 等流行的在线服务而引人注目，这再次凸显了攻击者如何将合法程序纳入其攻击流程。 据黑莓称，此次电子邮件攻击的目标包括三家公司，它们是国防生产部（DDP）的重要利益相关者和客户。这三家目标公司的总部均位于印度班加罗尔市。 虽然没有透露公司名称，但有迹象表明这些电子邮件针对的是全球最大的航空航天和国防公司之一印度斯坦航空有限公司（ HAL ） 、国有航空航天和国防电子公司巴拉特电子有限公司（ BEL ）以及生产土方设备的国有企业BEML 有限公司。 透明部落APT组织受到全球网络安全社区的普遍关注，其名称包括 APT36、Earth Karkaddan、Mythic Leopard、Operation C-Major 和 PROJECTM。 该组织据信至少自 2013 年以来一直活跃，曾对印度政府、军队和教育机构进行网络间谍活动，此外还针对巴基斯坦、阿富汗、伊拉克、伊朗和阿拉伯联合酋长国的受害者开展过高度针对性的移动间谍软件活动。 此外，该组织还不断尝试新的入侵方法，多年来不断尝试不同的恶意软件，多次迭代其策略和工具包以逃避检测。 Transparent Tribe 使用的一些著名恶意软件家族包括 CapraRAT、CrimsonRAT、ElizaRAT、GLOBSHELL、LimePad、ObliqueRAT、Poseidon、PYSHELLFOX、Stealth Mango 和 Tangelo，后两者与位于拉合尔的一个自由开发团队有关。 移动安全公司 Lookout早在 2018 年就指出，这些开发人员“可供雇用”，并且“至少有一名政府雇员兼职担任移动应用程序开发人员” 。 该组织发起的攻击链涉及使用鱼叉式网络钓鱼电子邮件，通过恶意链接或 ZIP 存档传递有效载荷，由于印度政府严重依赖基于 Linux 的操作系统，他们特别专注于分发 ELF 二进制文件。 感染最终部署三种不同版本的 GLOBSHELL，这是一种基于 Python 的信息收集实用程序， Zscaler之前曾记录过针对印度政府组织内 Linux 环境的攻击。此外，还部署了 PYSHELLFOX 来窃取 Mozilla Firefox 浏览器的数据。 BlackBerry 表示，它还发现了来自攻击者控制的域“apsdelhicantt[.]in”的 bash 脚本版本和基于 Python 的 Windows 二进制文件： swift_script.sh，GLOBSHELL     的 bash 版本 Silverlining.sh     ，一个名为Sliver的开源命令与控制 (C2) 框架 swift_uzb.sh，一个用于从连接的     USB 驱动器收集文件的脚本 afd.exe，一个中间可执行文件，负责下载     win_hta.exe 和 win_service.exe win_hta.exe 和     win_service.exe，两个 Windows 版本的 GLOBSHELL GLOBSHELL for Windows的攻击链 DSOP_Fund_Nomination_Form攻击链和核心功能 作为透明部落战术演变的标志，人们观察到 2023 年 10 月策划的网络钓鱼活动利用 ISO 映像文件部署了基于 Python 的远程访问木马，该木马使用 Telegram 进行 C2 通信。 使用 ISO 映像文件的攻击链 值得指出的是，使用 ISO 文件诱饵攻击印度政府实体是一种自今年年初以来就观察到的做法，这是两起可能相关的入侵事件的一部分 —— 加拿大网络安全公司表示，这种作案手法“具有透明部落攻击链的标志”。 进一步的基础设施分析还发现了一个由 Golang 编译的“一体化”程序，该程序能够查找和窃取具有流行文件扩展名的文件、截取屏幕截图、上传和下载文件以及执行命令。 该间谍工具是开源项目Discord-C2的修改版本，它接收来自 Discord 的指令并通过 ZIP 存档中的 ELF 二进制下载程序传送。 黑莓表示：“透明部落一直将印度国家安全的关键部门作为攻击目标。该组织继续使用一套核心战术、技术和程序 (TTP)，并随着时间的推移不断进行改进。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9lp9towmpMrHMMKbRE654A 封面来源于网络，如有侵权请联系删除

据观察，威胁行为者利用伪装成 Avast、Bitdefender 和 Malwarebytes 合法防病毒解决方案的虚假网站来传播能够从 Android 和 Windows 设备窃取敏感信息的恶意软件。 Trellix 安全研究员 Gurumoorthi Ramanathan表示：“通过看似合法的网站托管恶意软件对普通消费者来说是一种掠夺行为，尤其是那些希望保护其设备免受网络攻击的消费者。” 网站列表如下 ： avast-securedownload[.]com，用于以 Android 包文件（“Avast.apk”）的形式传播SpyNote 木马，一旦安装，就会请求侵入性权限以读取短信和通话记录、安装和删除应用程序、截屏、跟踪位置，甚至挖掘加密货币 bitdefender-app[.]com，用于传递 ZIP 存档文件（“setup-win-x86-x64.exe.zip”），该文件会部署Lumma信息窃取恶意软件 malwarebytes[.]pro，用于传递 RAR 存档文件（“MBSetup.rar”），该文件会部署StealC信息窃取恶意软件 该网络安全公司表示，还发现了一个名为“AMCoreDat.exe”的恶意 Trellix 二进制文件，该二进制文件可作为投放窃取恶意软件的渠道，该恶意软件能够收集受害者信息（包括浏览器数据），并将其泄露到远程服务器。 目前尚不清楚这些虚假网站是如何传播的，但过去类似的活动曾采用恶意广告和搜索引擎优化（SEO）投毒等技术。 窃取恶意软件日益成为一种常见威胁，网络犯罪分子宣传了各种复杂程度的自定义变种。其中包括Acrid、SamsStealer、ScarletStealer和Waltuhium Grabber等新型窃取恶意软件，以及SYS01stealer（又名 Album Stealer 或S1deload Stealer）等现有恶意软件的更新版本。 转自E安全，原文链接：https://mp.weixin.qq.com/s/M844BZdb8O9NWaYA1y2Drw 封面来源于网络，如有侵权请联系删除

Gipy 是一种新发现的信息窃取恶意软件，它以德国、俄罗斯、西班牙和台湾的用户为目标，通过钓鱼诱饵承诺提供人工智能语音更改应用程序。 卡巴斯基的研究人员表示，Gipy 恶意软件最早出现于 2023 年初，一旦成功部署，威胁行为者就可以窃取数据、挖掘加密货币，并在受害者的系统中安装其他恶意软件。 研究人员解释说，在这种情况下，威胁行为者以合法的人工智能语音更改应用程序为诱饵。卡斯帕克团队补充说，一旦用户安装了它，应用程序就会按照承诺开始工作，与此同时，Gipy 恶意软件也会在后台运行。 研究人员注意到，当 Gipy 被执行时，恶意软件会从 GitHub 启动受密码保护的恶意软件。在对该活动的调查过程中，专家们分析了其中的 200 多个档案。 卡巴斯基在一封电子邮件声明中说：”GitHub 上的大多数档案都包含臭名昭著的 Lumma 密码窃取程序。“另外，专家们还发现了 Apocalypse ClipBanker、一个修改过的 Corona 密码窃取程序、几个 RAT（包括 DCRat 和 RADXRat）、一个名为 Loli 的基于 Golang 的窃取程序、RedLine 和 RisePro 等密码窃取程序，以及一个名为 TrueClient 的基于 Golang 的后门程序。 研究人员表示，威胁行为者热衷于利用人工智能工具的日益普及来进行此类恶意利用，用户需要多加注意。   转自Freebuf，原文链接：https://www.freebuf.com/news/401931.html 封面来源于网络，如有侵权请联系删除

Recorded Future 的新发现显示， SolarMarker信息窃取恶意软件背后的APT组织已建立多层基础设施，使执法部门的打击行动变得更加复杂。 该公司在上周发布的一份报告中表示：“SolarMarker 运营的核心是其分层基础设施，它至少由两个集群组成：一个主要集群用于主动运营，另一个集群可能用于测试新战略或针对特定地区或行业。” “这种分离增强了恶意软件适应和响应对策的能力，使其特别难以根除。” SolarMarker 的别名有 Deimos、Jupyter Infostealer、Polazert 和 Yellow Cockatoo，是一种复杂的APT威胁，自 2020 年 9 月出现以来一直在不断发展。它能够从多个网络浏览器和加密货币钱包窃取数据，例如以及目标 VPN 和 RDP 配置。 根据自 2023 年 9 月以来收集的数据，首要目标包括教育、政府、医疗保健、酒店和中小企业等垂直行业。其中包括著名大学、政府部门、全球连锁酒店和医疗保健提供商，大多数受害者位于美国。 多年来，SolarMarker 恶意软件作者一直致力于通过增加有效负载大小、使用有效的Authenticode 证书、新颖的Windows 注册表更改以及直接从内存而不是磁盘运行（无文件攻击）它的能力来使其更加隐蔽。 感染途径通常涉及在虚假下载器网站上托管 SolarMarker，该网站宣传流行软件，受害者可能会无意中或由于搜索引擎优化 (SEO) 中毒或通过恶意电子邮件中的链接访问这些软件。 初始植入程序采用可执行文件 (EXE) 和 Microsoft 软件安装程序 (MSI) 文件的形式，启动后会导致部署基于 .NET 的后门，该后门负责下载其他有效负载以促进信息盗窃。 替代序列利用假冒安装程序删除合法应用程序（或诱饵文件），同时启动 PowerShell 加载程序以在内存中传递和执行 SolarMarker 后门。 过去一年中的 SolarMarker 攻击还涉及交付基于 Delphi 的 hVNC 后门（称为SolarPhantom），该后门允许在受害者不知情的情况下远程控制受害者机器。 网络安全公司 eSentire在 2024 年 2 月指出：“在最近的案例中，SolarMarker 背后的APT组织交替使用 Inno Setup 和 PS2EXE 工具来生成有效负载。” 就在两个月前，该恶意软件的新 PyInstaller 版本被发现使用洗碗机手册作为诱饵在野外传播，据一位名为Squblingdoo的恶意软件研究人员透露，该研究人员多年来对 SolarMarker进行了大量记录。 有证据表明，SolarMarker 是一个来源不明的单独行动者所为，尽管Morphisec之前的研究暗示可能与俄罗斯有关。 Recorded Future 对与命令与控制 (C2) 服务器相关的服务器配置的调查发现了一种多层架构，该架构属于两大集群的一部分，其中一个集群可能用于测试目的或针对特定区域或行业。 分层基础设施包括一组与受害计算机直接联系的第 1 层 C2 服务器。这些服务器通过端口 443 连接到第 2 层 C2 服务器。第 2 层 C2 服务器同样通过端口 443 与第 3 层 C2 服务器进行通信，第 3 层 C2 服务器始终通过同一端口连接到第 4 层 C2 服务器。 该网络安全公司表示：“Tier 4 服务器被认为是该操作的中央服务器，大概用于长期有效管理所有下游服务器。”该公司还补充说，它还观察到 Tier 4 C2 服务器“通过端口 8033 与另一台“辅助服务器”进行通信。 “虽然该服务器的确切用途仍不清楚，但我们推测它用于监控，可能用作健康检查或备份服务器。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GtiIBpQqOGD0xsojHsNOgw 封面来源于网络，如有侵权请联系删除