网络安全研究人员已发现至少 11 个国家/地区可能被称为 Predator （掠夺者）的商业间谍软件运营商使用的新基础设施。 通过分析可能用于传播间谍软件的域名，Recorded Future 的 Insikt Group 分析师发现了安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯和特立尼达和多巴哥的潜在 Predator 客户。 在 Recorded Future 进行分析之前，尚未发现博茨瓦纳和菲律宾境内的 Predator 客户。 Predator 是由以色列间谍软件联盟Intellexa开发的复杂间谍软件。它至少从 2019 年就开始部署，感染了 Android 和 iPhone 设备。一个由记者、活动家和网络专家组成的联盟此前在一个名为“掠夺者文件”的项目中检查了间谍软件。 Predator 可以访问设备的麦克风、摄像头以及所有存储或传输的数据，包括联系人、消息、照片和视频。它具有高度侵入性，并且在目标设备上留下的痕迹非常有限，这使得调查具有挑战性。 Insikt Group 尚未确定最新 Predator 活动的具体受害者或目标。 研究人员表示：“由于 Predator 间谍软件通常通过漏洞利用传递到单个受害者设备，因此在不直接访问这些设备的情况下识别目标是一项挑战。” 从欺骗开始 在最新的分析中，Insikt Group 确定了一个新的多级 Predator 交付网络，包括交付服务器、上游服务器和很可能与 Predator 客户相关的基础设施。 交付服务器可能用于设备利用和初始访问。这些服务器通常托管一个域，欺骗目标可能感兴趣的特定实体的网站。其中一些域名冒充合法的新闻媒体、天气预报网站或特定公司，例如房地产企业。 例如，域名 krisha-kz.com 和 kollesa.com 似乎是在欺骗哈萨克斯坦的一家房地产公司和一家汽车销售平台。该国利用NSO Group、FinFisher和RCS Lab等网络间谍软件供应商来针对活动人士和政客的历史进一步表明，该国很可能是 Predator 的客户。 研究人员表示，Insikt Group 发现的域名中有一半以上与哈萨克斯坦有关，这表明间谍软件活动的水平可能会有所提高。 研究人员发现的 Predator 网络的其他部分包括交付服务器上游的虚拟专用服务器。它们可能用于匿名流量并降低将交付服务器与特定 Predator 客户关联的可能性。 报告称，匿名网络掩盖了运营商的位置和身份，使得攻击的归属变得更加困难。 这些上游服务器与静态国内互联网服务提供商地址进行通信，这些地址可能与 Predator 客户相关。 研究人员表示：“根据我们的调查结果，以及历史上这些国家/地区的组织几乎全部都是 Predator 客户的事实，这些组织很可能会继续使用 Predator 间谍软件。” 不仅仅是执法 Predator 和 Pegasus 等间谍软件技术作为用于反恐和执法的工具进行销售。然而，它们不断被滥用来针对公民社会，包括记者、政治家和活动家。 例如，去年 9 月，一名埃及反对派政客的手机成为了“Predator”攻击的目标，数字取证组织“公民实验室”的研究人员认为，该活动是在埃及政府知情的情况下进行的。 其他 Predator 受害者包括希腊记者Thanasis Koukasis、前 Meta 员工Artemis Seaford和欧洲议会议员Nikos Androulakis。 Predator 的客户通常针对那些被认为具有重要情报价值的知名人士。据 Insikt Group 称，这是因为部署成本很高，每次感染都要付费。 研究人员表示：“在严重犯罪和反恐之外，国内使用 Predator 等雇佣兵间谍软件会给最终目标、其雇主以及开展此类活动的实体带来隐私、法律或人身安全风险。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/lo3n6FrZ6uPyT-iVsN0RGQ 封面来源于网络，如有侵权请联系删除

近日，一个名为“SubdoMailing”的大规模广告欺诈活动正在使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，每天发送量高达500万封电子邮件，用于诈骗和恶意广告盈利。 域名遭到劫持的企业中不乏知名品牌，例如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等。 从这些知名品牌的域名和子域名发送的恶意电子邮件可以绕过垃圾邮件过滤器。此外，不法分子还利用SPF和DKIM电子邮件策略来欺骗安全电子邮件网关，将这些电子邮件识别为合法邮件。 通过检测电子邮件元数据中的异常模式，Guardio Labs的研究人员Nati Tal和Oleg Zaytsev最终发现了这个大规模的子域劫持操作，并报告称该活动自2022年以来一直在进行。 对MSN域名错误授权垃圾邮件的案例研究显示，攻击者为使电子邮件看上去合法并逃检测和过滤，使用了多种攻击方法：包括滥用SPF（发件人策略框架）检查、DKIM（域名密钥识别邮件）和DMARC（域名基于消息认证、报告和一致性）协议。 SubdoMailing劫持域名发送垃圾邮件的组合策略 对信誉良好的企业的域名和子域名，SubdoMailing活动主要通过CNAME攻击和SPF记录利用这两种方法来实施域名劫持。 在CNAME攻击中，攻击者会扫描知名品牌的子域名，其中CNAME记录指向不再注册的外部域名。然后，他们通过NameCheap服务自行注册这些域名。 利用CNAME攻击劫持域名 在第二种方法——利用SPF记录的域名劫持攻击中，SPF记录的include选项用于从外部域名导入允许的电子邮件发件人，攻击者首先查看目标域名SPF记录中“include:”选项所指向的外部域名中是否存在注册过期的域名。 然后攻击者会注册SPF记录中失效的外部域名，更改其SPF记录以授权自己的恶意电子邮件服务器（使用被劫持的域名作为邮件地址）。这使得攻击者的电子邮件看起来合法地来自信誉良好的域名。 利用SPF记录劫持域名 Guardio Labs将此次大规模域名劫持活动归咎于一个代号“ResurrecAds”的威胁行为者，该行为者会系统性地扫描网络中可能被劫持的域名，并有针对性的购买域名。 威胁行为者不断更新这个由被劫持域名、SMTP服务器和IP地址组成的庞大网络，以维持垃圾邮件活动的规模和复杂性。Guardio Labs表示，SubdoMailing使用了近2.2万个独立IP，其中1000个似乎来自家庭网络。 SubdoMailing的运营规模与分布 目前，SubdoMailing大规模垃圾邮件活动通过全球分布的SMTP服务器进行运作，这些服务器通过由8000个域名和1.3万个子域名组成的庞大网络每日发送超过500万封欺诈电子邮件。 为了方便企业自查域名是否被劫持，Guardio Labs开发了一个SubdoMailing检查网站。   转自GoUpSec，原文链接：https://www.secrss.com/articles/64023 封面来源于网络，如有侵权请联系删除

研究人员近期发现，Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序  appid.sys 中的零日漏洞 CVE-2024-21338，获得内核级访问权限并关闭安全工具，从而能够轻松绕过 BYOVD（自带漏洞驱动程序）技术。 Avast 网络安全分析师发现了这一网络攻击活动，随后便立刻向微软方面上报。微软在 2024 年 2 月发布的安全更新中解决安全漏洞的问题。不过，微软并未将 CVE-2024-21338 安全漏洞标记为零日漏洞。 Lazarus 黑客组织利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中创建了一个读/写内核基元（ESET 于 2022 年底首次记录了 CVE-2024-21338 漏洞。此前，rootkit 曾滥用戴尔驱动程序进行了 BYOVD 攻击） 新版 FudModule 在隐蔽性和功能性方面有了显著增强，包括但不限于采用了新技术逃避检测和关闭 Microsoft Defender 和 CrowdStrike Falcon 等安全保护。此外，通过检索大部分攻击链，Avast 还发现了 Lazarus 黑客组织使用了一种此前从未记录的远程访问木马 (RAT)。Avast 承诺将在 4 月份的 BlackHat Asia 上分享有关该木马的更多细节。 Lazarus 黑客组织对 0 Day 漏洞利用详情 Lazarus 黑客组织利用了微软 “appid.sys “驱动程序中的一个漏洞，该驱动程序是 Windows AppLocker 组件，主要提供应用程序白名单功能。 Lazarus 团队成员通过操纵 appid.sys 驱动程序中的输入和输出控制（IOCTL）调度程序来调用任意指针，诱使内核执行不安全代码，从而绕过安全检查。 漏洞利用中使用的直接系统调用 FudModule rootkit 与漏洞利用程序构建在同一模块内，执行直接内核对象 DKOM 操作，以关闭安全产品、隐藏恶意活动并维持被入侵系统的持久性。（安全产品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反恶意软件解决方案） Avast 在新版 rootkit 中发现了新的隐身特性和扩展功能，例如通过 DKOM 进行选择性和有针对性的破坏、增强篡改驱动程序签名执行和安全启动功能等。Avast 还指出，这种新的安全漏洞利用策略标志着威胁攻击者内核访问能力有了重大突破，使其能够发起更隐蔽的网络攻击，并在被入侵网络系统上持续更长时间。 最后，安全人员指出，针对 CVE-2024-21338 安全漏洞唯一有效的安全措施就是尽快应用 2024 年 2 月的 发布的安全更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/392838.html 封面来源于网络，如有侵权请联系删除

据美国联邦调查局（FBI）、网络安全和基础设施局（CISA）以及卫生与公众服务部的联合报告，ALPHV/BlackCat勒索软件团伙威胁要对执法干预进行报复，并将目标瞄准医疗保健行业。 据BleepingComputer报道，该团伙声称对最近针对Change Healthcare的攻击负责，声称窃取了6TB数据，其中包括Change Healthcare解决方案源代码以及数千家医疗保健提供商、药房和保险提供商的数据。 此次网络攻击对全国药店产生了重大影响，促使人们采用电子解决方案。AttackIQ对手研究团队的分会负责人安德鲁·科斯蒂斯在一封电子邮件中告诉SC Media，在针对医疗保健行业的这次重大网络攻击中，这一建议为各组织敲响了警钟，要求他们优先考虑网络安全措施。 FBI 中断后，ALPHV/BlackCat 袭击了近 70 家受害者 周二发布的联合通报是对12月19日通报的更新，与司法部同时发布公告，称FBI已扰乱勒索软件即服务(RaaS)组织并查封了多个网站。 ALPHV/BlackCat随后“解封”了其网站，并向附属公司发布消息，取消对攻击关键基础设施的限制，特别将医院和核电站列为潜在目标。更新后的指南包括截至2024年2月与ALPHV/BlackCat及其附属公司相关的最新已知妥协指标(IOC)以及策略、技术和程序(TTP)。 美国国务院悬赏1000万美元，征集有关ALPHV/BlackCat领导人身份和位置的信息，并额外悬赏500万美元，征集导致该团伙任何附属机构被捕或定罪的信息。 ALPHV/BlackCat 利用远程访问工具，冒充 IT 人员 根据FBI和CISA的报告，ALPHV/BlackCat利用先进的社会工程和远程访问工具进行攻击。他们经常伪装成IT技术人员或服务台工作人员，获取员工凭证进行初始访问，然后部署远程访问软件如AnyDesk、Mega sync或Splashtop，协助数据泄露。 ALPHV/BlackCat附属公司使用开源中间对手攻击框架Evilginx2从受害者系统获取MFA凭据、登录凭据和会话cookie，并利用域控制器获取密码在网络中横向移动。 该组织声称使用合法的红队模拟工具Brute Ratel C4和Cobalt Strike作为其C2服务器的信标。 2月27日的更新中添加了ALPHV/BlackCat已知使用的工具的哈希值和文件名，以及网络指示器如C2服务器域和IP地址，以及ScreenConnect和SimpleHelp远程访问的IP地址。 建议采取白名单方法保护远程访问工具，并使用FIDO/WebAuthn身份验证或基于PKI的MFA来抵御网络钓鱼、推送轰炸和SIM交换策略。 部署强大的MFA特别是在远程访问系统上是至关重要的，可以防止被盗凭证导致勒索软件事件。 改变医疗保健漏洞可能是持续勒索软件趋势的一部分 尽管运营Change Healthcare平台的Optum及其母公司UnitedHealth Group尚未确认ALPHV/BlackCat的隶属关系，但其被列入勒索软件团伙的泄露网站，表明针对医疗保健行业的持续趋势。医疗保健行业是勒索软件不可抗拒的目标，2023年公开的攻击比前一年增加了134%。 安全研究人员表示，Change Healthcare攻击可能涉及对ConnectWise ScreenConnect关键漏洞的利用，尽管ConnectWise否认存在连接，ALPHV/BlackCat附属公司拒绝使用此漏洞。 FBI、CISA和HHS的IOC表明ALPHV/BlackCat附属机构已使用ScreenConnect进行远程访问，但并不表明使用了特定漏洞。 尽管资源限制，但缓解医疗保健系统遭受的勒索软件攻击仍是一场艰苦的战斗。许多医疗保健组织的IT和网络安全团队相对薄弱，缺乏完全外包的情况下，很难实施最佳实践。   转自安全客，原文链接：https://www.anquanke.com/post/id/293561 封面来源于网络，如有侵权请联系删除

安全公司 HiddenLayer 发现 Hugging Face 的 Safetensors 转换服务中存在一个漏洞，攻击者可以利用该漏洞拦截用户上传的 AI 模型并危及供应链。 根据 HiddenLayer报告 ，攻击者可以从 Hugging Face 服务向平台上的任何存储库发送恶意合并请求，并拦截通过转换服务传输的任何模型。这项技术开辟了修改平台上任何存储库的方法，伪装成转换机器人。 Hugging Face 是一个流行的协作平台，可帮助用户存储、部署和训练预先训练的机器学习模型和数据集。Safetensors 是该公司开发的一种用于安全存储张量的格式。 HiddenLayer 的分析表明，网络犯罪分子可以使用恶意 PyTorch 二进制文件来劫持转换服务并危害托管该服务的系统。此外，旨在创建合并请求的官方机器人SFConvertbot的令牌 可以被窃取，以向网站上的任何存储库发送恶意请求，从而允许攻击者篡改模型并将后门嵌入其中。 研究人员指出，当用户尝试转换其模型时，攻击者可以执行任何任意代码，同时对用户不可见。如果受害者尝试转换自己的私人存储库，这可能会导致 Hugging Face 令牌被盗、访问内部模型和数据集以及可能中毒。 使问题更加复杂的是，任何用户都可以向公共存储库提交转换请求，从而导致常用模型被拦截或修改的可能性，从而给供应链带来重大风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/293558 封面来源于网络，如有侵权请联系删除

由于存在高严重性漏洞，Apple Shortcuts 可用于窃取 Apple 设备的敏感数据。 Shortcuts 是 Apple 创建的一款应用程序，允许用户在 Apple 设备上创建自定义任务工作流程，并使用内置功能组合实现流程自动化。可以导出自定义快捷方式并与其他用户共享，并且可以从应用程序内图库部分导入其他用户创建的快捷方式。 苹果最初在上个月发布了iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3和watchOS 10.3时披露并修复了该问题。该版本附带的安全公告指出，在较旧的操作系统版本中，“快捷方式可能能够在不提示用户的情况下通过某些操作使用敏感数据”。 该漏洞编号为CVE-2024-23204，由 Bitdefender 旗下 Horangi Cyber Security 的高级安全顾问 Jubaer Alnazi Jabin 发现。周四，Jabin在 Bitdefender 的博客上发布了有关该漏洞的更多详细信息，揭示了恶意快捷方式如何绕过苹果的透明、同意和控制 (TCC) 安全框架。 利用该漏洞将允许数据（包括照片、文件、联系人和剪贴板内容）在未经用户许可的情况下传输到攻击者控制的服务器。 更新到 iPhone、iPad、Mac 电脑和 Apple Watch 上的最新操作系统版本，或者至少更新到上面列出的版本，可以解决该漏洞，该漏洞的 CVSS 评分为 7.5。 Apple Shortcuts 可以在不提醒用户的情况下与恶意网站进行通信 Jabin 发现的快捷方式漏洞利用的一个关键组成部分是应用程序的“扩展 URL”功能。这通常用于扩展已使用 bit.ly 等服务缩短的 URL，并从 URL 中删除任何多余的参数，例如 UTM 代码。 但是，当包含在恶意快捷方式中时，此函数可能会在不提示用户的情况下将敏感数据发送到攻击者的服务器。 Bitdefender 威胁研究和报告总监 Bodgan Botezatu 表示：“该快捷方式由多个操作组成，这些操作选择图像，将其编码为 Base64，然后将编码数据传递到 Expand URL 功能，其中包含攻击者的 Web 服务。”在一封电子邮件中告诉 SC Media。 Botezatu 解释说，Expand URL 向正在扩展的 URL 的域发出 GET 请求。Jabin 的博客文章描述了攻击者如何使用 Flask 程序捕获通过请求发送的 Base64 数据。Base64 编码也是一个内置函数，可以添加到任何快捷方式中。 从本质上讲，攻击者可以制作一个快捷方式，其中包括自己的网站作为要扩展的 URL，将其伪装成看起来像不同的快捷方式，然后将其发布或发送给其他用户。当用户尝试使用快捷方式时，他们的数据会在用户不知情的情况下发送给攻击者。 除了安装相关更新外，贾宾还建议用户“在执行来自不受信任来源的快捷方式时要小心谨慎”。   转自安全客，原文链接：https://www.anquanke.com/post/id/293531 封面来源于网络，如有侵权请联系删除

Nood RAT是一种用于针对Linux服务器的恶意软件攻击工具，旨在窃取敏感信息。它是Gh0st RAT的Linux兼容变体之一。 Nood RAT具有后门功能，可以执行恶意操作，例如下载恶意文件、窃取内部系统文件以及执行命令等。尽管其形式简单，但它能够接收来自威胁行为者的命令，执行各种有害操作。此软件具备加密功能，可规避网络数据包识别。 分析Nood RAT的恶意软件文件、网络、模块和注册表活动可通过使用恶意软件沙箱和威胁情报查找工具，例如ANY.RUN。通过威胁情报查找，用户可以直接从浏览器与操作系统进行交互。 根据AhnLab安全情报中心（ASEC）报告，Nood RAT的压缩文件通常包括一个名为“NoodMaker.exe”的构建程序、一份发行说明以及一个名为“Nood.exe”的后门控制程序。威胁参与者在创建NoodMaker时可根据目标系统的架构选择并使用匹配的x86或x64二进制文件。 Nood RAT 生成器 Nood RAT 的功能之一是可以将其冒充为真实的程序。威胁行为者可以在开发阶段选择恶意软件的虚假进程名称。 该恶意软件在首次启动时使用 RC4 算法来解密加密数据。解密后的该字符串包含必须修改的进程的名称。 “恶意软件解密的配置数据主要分为 C&C 服务器地址、激活日期和时间以及 C&C 连接尝试间隔。威胁行为者可以设置该恶意软件可以与 C&C 服务器通信并接收命令的激活日期和时间”。ASEC 研究人员与《网络安全新闻》分享说到。 受感染系统的信息发送到C&C服务器 Nood RAT支持的四个主要功能是端口转发、Socks代理、远程shell、文件管理和远程shell。 威胁行为者可以利用它来上传和下载文件、在受感染的系统上执行恶意命令以及窃取数据。由于其源代码向公众开放，威胁行为者继续在攻击中使用这些代码，恶意软件开发人员也一直在利用它来创建各种变体。 此前使用Nood RAT的攻击包括WebLogic漏洞攻击（CVE-2017-10271） 和2020年的Cloud Snooper APT攻击。用户应始终将相关系统升级到最新版本，并检查其凭据或环境配置，以防止此类安全问题。   转自安全客，原文链接：https://www.anquanke.com/post/id/293471 封面来源于网络，如有侵权请联系删除

Mandiant安全研究人员表示，正在进行的针对中东航空航天和国防工业的网络间谍活动似乎与伊朗有关，该活动使用独特的恶意软件进行攻击。 谷歌云网络安全部门Mandiant 发布报告表示，此次行动的目标是以色列和阿拉伯联合酋长国（阿联酋）的实体，也可能是土耳其、印度和阿尔巴尼亚。 该活动早在 2022 年 6 月就开始了，似乎与 Mandiant 追踪的一个名为 UNC1549 的伊朗组织有关，该组织与另一个标记为 Tortoiseshell 的黑客行动重叠。 该组织的打击名单包括以色列航运公司以及美国航空航天和国防公司，有报道称其与伊朗伊斯兰革命卫队（IRGC）有关。本月早些时候，美国制裁了伊斯兰革命卫队的一名袭击供水设施的成员。 研究人员表示，鉴于人们对国防相关实体的关注，以及最近因以色列与哈马斯战争而与伊朗关系紧张，伊朗革命卫队的潜在联系“值得注意”。伊朗公开支持加沙的哈马斯武装分子。 Mandiant 观察到 UNC1549“部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用 Microsoft Azure 云基础设施以及社会工程计划来传播两个独特的后门：MINIBIKE 和 MINIBUS。” MINIBIKE 恶意软件首次发现于 2022 年 6 月，最后一次出现于 2023 年 10 月。Mandiant 表示，它能够“窃取和上传文件、执行命令等”，并且使用 Azure 云基础设施。 与此同时，MINIBUS 是一个“定制后门，提供更灵活的代码执行接口和增强的侦察功能”，研究人员表示。他们第一次发现它是在 2023 年 8 月，最近也是在 1 月份才看到它。 这两种恶意软件涵盖了常见的网络间谍活动清单，包括收集登录凭据以进行进一步的间谍活动，或运行其他恶意代码为更多活动扫清道路。 研究人员还发现了一个定制的“隧道”，他们将其标记为 LIGHTRAIL。隧道本质上是通过将互联网流量包装在其他流量中来隐藏恶意活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/SXYNI1V50vrvU05FK3oF3A 封面来源于网络，如有侵权请联系删除

被追踪为 UAC-0184 的威胁行为者一直在使用隐写术技术，通过名为 IDAT Loader 的相对较新的恶意软件向位于芬兰的乌克兰目标传送 Remcos 远程访问木马 (RAT)。 初始目标是乌克兰境内的实体，但由于防御措施阻止了有效载荷的交付，导致寻找替代目标。 与此同时，据称还有与 UAC-0148 相关的并行活动，使用电子邮件和鱼叉式网络钓鱼作为初始访问媒介，以乌克兰军事人员为目标，以提供军事咨询为诱饵。活动的目标是进行网络间谍活动，利用 Remcos RAT 未经授权地访问受害者的计算机，控制受感染的系统，窃取敏感信息以及执行命令。 IDAT Loader：新的 Remcos RAT 感染例程 1月份发现了一项新活动，利用嵌套感染方式，从代码标记为“racon”的新用户代理开始。该代码获取第二阶段有效负载并执行连接检查和活动分析。研究人员确认这个有效负载为IDAT Loader（又名HijackLoader），是一种高级加载程序，与多个恶意软件家族相关联，于2023年底首次被观察到。 IDAT Loader将Remcos RAT代码隐藏在PNG图像文件的IDAT块中，这是便携式网络图形图像文件格式的一部分。攻击者利用隐写术将恶意负载藏在图像文件中，即使文件经过扫描，编码的恶意有效负载也难以被检测到。用户下载的最初文件是一个名为DockerSystem_Gzv3.exe的可执行文件，伪装成软件安装包。执行此文件会触发后续的攻击阶段。 RAT 恶意软件巢穴激增 Remcos RAT 越来越多地使用创造性技术进行部署。例如，今年早些时候，研究人员发现了一个被追踪为 UNC-0050 的威胁行为者，该行为者因多次使用 Remcos RAT 攻击乌克兰的组织而闻名，并使用罕见的数据传输策略针对该国政府发起了一次攻击。 与此同时，价格低于 100 美元的廉价恶意软件“套餐”的增加正在推动利用 RAT 的活动增加，这些 RAT 经常隐藏在电子邮件附加的看似合法的 Excel 和 PowerPoint 文件中。 去年，Remcos RAT 间谍软件还被发现利用旧的 Windows UAC 绕过技术来针对东欧的组织，去年 3 月和 4 月在美国报税截止日期之前针对会计师的活动中也发现了 Remcos RAT 间谍软件。 Morphisec 研究人员告诉 Dark Reading：“正如在最新攻击中观察到的那样，威胁行为者越来越多地使用防御规避技术来绕过签名检测和基于行为的端点保护解决方案。” “在这种情况下，我们观察到隐写术和内存注入作为规避技术的结合使用。” 他们补充说，“因此，安全领导者应该考虑威胁形势的这些变化，并考虑采用可以通过减少此类潜在攻击的暴露来增强深度防御的解决方案。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293466 封面来源于网络，如有侵权请联系删除

FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。 APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。 它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。 联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。” “此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。” 本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。 在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。 APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。 他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。 两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。 如何“恢复”被劫持的 Ubiquiti EdgeRouters FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器： 执行硬件出厂重置以清除恶意文件的文件系统 升级到最新固件版本 更改任何默认用户名和密码 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。 FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。 美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。 正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/99dkf6duob2ii3Lfl170Zw 封面来源于网络，如有侵权请联系删除