流量重定向系统 (TDS) 背后的网络攻击者向网站注入恶意脚本，控制了全球数千台服务器，并加大了避免检测的力度。 自 2021 年 10 月以来一直活跃的流量重定向系统(TDS)背后的黑客加大了逃避检测的力度，并可能通过隐藏在数千个受感染网站中的恶意脚本影响数百万人。 Unit 42 的研究人员在最近的一篇博客文章中透露，自 9 月初调查有关巴西网站遭到入侵的通知以来，他们一直在跟踪Parrot TDS。一项调查发现，该网站提供的页面注入了被识别为 Parrot TDS 系统一部分的 JavaScript，该系统控制着世界各地数千台受感染的服务器，提供大量恶意 JavaScript 片段变体。例如，在Sucuri 和 Avast 于 2022 年进行的一项调查中，研究人员观察到受到 Parrot TDS 攻击的网站向毫无戒心的访问者提供FakeUpdates 下载程序（又名SocGholish）。 Unit 42 研究人员在帖子中写道：“Parrot TDS 是一项针对全球受害者的持续活动的一部分。” “我们每天都会看到来自各种网站的登陆脚本或有效负载脚本样本因此次活动而受到损害。” Parrot将恶意脚本注入服务器上托管的现有 JavaScript 代码中，该代码首先对受害者进行分析以查看是否满足某些条件，然后提供有效负载脚本，该脚本可以将受害者的浏览器引导至恶意位置或内容。研究人员表示，该活动在国籍、地理位置和行业方面都是不可知的，脚本出现在全球数十个网站上。 研究人员写道：“虽然涉及恶意或注入 JavaScript 代码的活动相当常见，但 Parrot TDS 因其广泛的范围和威胁数百万潜在受害者的能力而引人注目。” 研究人员表示，该系统背后的攻击者还加大力度逃避安全研究人员的检测和分析，包括使用多行注入 JavaScript 代码而不是单行代码的技术，而单行代码在脚本文件中更难发现。 识别恶意 Parrot TDS 脚本 研究人员表示，攻击者可能会使用自动工具来利用已知漏洞来接管服务器以传送 Parrot TDS 脚本。 “大多数受感染的服务器使用WordPress、Joomla 或其他内容管理系统 (CMS) 来托管网站，”他们在帖子中解释道。“即使没有 CMS 的网站也可能会通过此活动受到损害，因为服务器端漏洞不仅限于 CMS。” Parrot TDS 脚本有两种形式 – 登陆脚本，它进行环境检查，以避免检测到受害者是否是交付后续有效负载脚本的可行候选者，该脚本重定向到恶意内容。 Parrot TDS 有效负载脚本大约有九个版本，它们使用“ndsx”关键字，因此相对容易识别。研究人员表示，除了 V1 之外，所有脚本都是恶意的，V1 只为受害者设置 cookie 值，其他脚本都是良性的。 V2 是最常见的有效负载脚本，占研究人员识别的样本的 70% 以上。在没有任何混淆的情况下，它会创建一个新的脚本标签来从恶意 URL 加载 JavaScript。 Parrot TDS 有效负载脚本 V3 包含混淆，仅针对运行 Microsoft Windows 的受害者，其行为与 V2 类似，从恶意 URL 加载附加脚本。 V4 和 V5 有效负载脚本也很相似，前者本质上是 V1 有效负载脚本加上额外的恶意代码，而 V5 实际上是 V2 有效负载脚本加上额外的代码。研究人员表示，在这两种情况下，附加代码都会出现在原始 V1 或 V2 函数之前。 “这个额外的有效负载脚本代码的核心功能是挂钩登陆页面中的所有可点击链接，”他们解释道。“每当网页访问者单击链接时，脚本就会创建一个新的图像对象并从特定的 URL 加载。” 他们说，有效负载脚本的 V6 到 V9 也包含更多混淆，但研究人员很少看到它们在使用。 缓解和避免Parrot TDS危害 研究人员在他们的博客文章中列出了一系列危害指标 (IoC)，如果 Parrot TDS 危害了他们的网站，这些指标可以向网站管理员发出警报。其中包括 100 个 JavaScript 文件示例的 SHA256 哈希值列表，其中包含 Parrot TDS 的注入着陆脚本代码，研究人员也已将这些文件提交给 VirusTotal。 管理员还可以在关联 Web 服务器上托管的文件中搜索与活动相关的关键字，包括“ndsj”、“ndsw”和“ndsx”，并进行审核以发现 Web 服务器上任何额外的 .php 文件发现与 Parrot TDS 相关的恶意脚本。 研究人员表示，下一代防火墙技术和高级 URL 过滤还可以帮助阻止恶意流量并识别与该活动相关的 IoC。   转自安全客，原文链接：https://www.anquanke.com/post/id/292862 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室发现，新出现的恶意软件通过盗版应用程序进入macOS用户的计算机，并用受感染的版本替换他们的比特币钱包和Exodus钱包。该恶意软件的攻击对象为MacOS 13.6及以上版本，其利用用户输入计算机安全密码的时机获得用户密码，而当用户尝试打开已被恶意软件入侵的加密钱包时，则能够获取其私钥。 卡巴斯基的研究人员发现并分析了此感染链的各个阶段。受害者在按照安装说明将其放置在 /Applications/ 文件夹中后下载并执行恶意软件，假设它是他们下载的破解应用程序的激活器。这将打开一个伪造的激活器窗口，要求输入管理员密码。 激活器窗口和密码提示 （Kaspersky） 获得许可后，恶意软件通过“AuthorizationExecuteWithPrivileges”函数运行工具可执行文件 （Mach-O），然后检查系统上的 Python 3，如果不存在，则安装它，使该过程看起来像“应用程序修补”。 接下来，恶意软件联系其命令和控制 （C2） 服务器，该服务器位于一个命名为“apple-health[.] ”的站点上来获取一个 base64 编码的 Python 脚本，该脚本可以在被破坏的设备上运行任意命令。 研究人员发现，攻击者使用一种有趣的方法以正确的URL联系C2服务器：来自两个硬编码列表的单词和五个字母的随机序列作为三级域名。 通过使用这种方法，威胁参与者能够将其活动隐藏在流量中，并从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本有效负载，这些负载将显示为正常请求。 来自 DNS 服务器的回复包含三条 TXT 记录，每条记录都是包含 Python 脚本的 AES 加密消息的 base64 编码片段。 隐藏在加密消息中的 Python 脚本负载 （Kaspersky） 这个初始 Python 脚本充当另一个 Python 脚本的下载器，该脚本提供后门访问、收集和传输有关受感染系统的信息，例如操作系统版本、目录列表、已安装的应用程序、CPU 类型和外部 IP 地址。 “tool”可执行文件还会修改“/Library/LaunchAgents/launched..plist”，以在系统重新启动之间为脚本建立持久性。 卡巴斯基指出，在他们的检查过程中，C2返回了后门脚本的升级版本，表明了持续的开发，但没有观察到命令执行，所以这可能还没有实现。 下载的脚本还包含两个函数，用于检查受感染的系统是否存在比特币钱包和 Exodus 钱包。如果找到，它会将它们替换为从“apple-analyzer[.]com.”下载的后门副本。 从受害者那里窃取的数据（卡巴斯基） 当他们的钱包应用程序意外提示重新输入他们的钱包详细信息并提供此信息时，用户不会产生怀疑，他们的钱包就会被清空。 卡巴斯基研究人员表示，尽管用盗版应用程序欺骗用户以传递恶意软件是一种常见的攻击途径，但最新的攻击活动表明，威胁行为者还可以想出新的方法（如将其隐藏在DNS服务器上的域TXT记录中）来传递有效载荷。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UQRlYMOE2kNhrU7F-6j56g 封面来源于网络，如有侵权请联系删除

安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具，该工具使用 Discord 机器人从受感染的主机窃取敏感数据。 该恶意软件名为 NS-STEALER，通过 ZIP 存档分发，伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。 存档内容 在创建的文件夹中，恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后，收集到的信息会传输到机器人的 Discord 频道。 感染链 研究人员指出，恶意软件利用复杂的功能来收集敏感信息，并且通过使用支持身份验证的 X509Certificate 功能，在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。   转自安全客，原文链接：https://www.anquanke.com/post/id/292819 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国连锁快餐店Subway已经成为LockBit勒索软件的攻击目标。LockBit 称他们已经成功窃取了数百GB的数据，并要求该公司在接下来的两周内支付赎金。 1 月 21 日，LockBit 在其数据泄露网站上将Subway列为受害者。黑客称如果在 2 月 2 日之前要求没有得到满足，他们将公开窃取的数据。 “我们窃取了他们的 SUBS 内部系统，其中包括数百GB的数据和特许经营权的所有财务预期，包括员工工资、特许经营权使用费、主特许经营佣金支付、餐厅营业额等。我们给他们一些时间来保护这一点数据，否则我们愿意将其出售给竞争对手。” LockBit 表示。 LockBit 目前暂时没有提供任何数据样本作为证据，Subway 表示目前正在核实相关信息的真实性。 据有关数据显示，截止 2023 年，共识别出在数字环境中运行的 66 个活跃勒索软件组织，LockBit 连续两年保持榜首。 该组织声称对数量最多的受害者负有责任，截至2023年发生了1009起事件，约占所有勒索软件受害者的四分之一。该组织主要以建筑、制造/工业和零售行业为目标进行攻击。 该组织声称对受害者数量最多负责，2023 年发生了 1009 起事件，占所有勒索软件受害者的近四分之一。该组织主要针对建筑、制造/工业和零售等行业进行攻击，近期还曾对台湾最大导体厂发起了勒索攻击。 消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全研究人员发现了一种针对易受攻击的 Docker 服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用 9hits 应用程序作为有效负载的恶意软件案例的诞生。 Cado 安全实验室发现，该活动将两个容器部署到易受攻击的 Docker 实例 —— 一个标准 XMRig 挖矿程序和 9hits 查看器应用程序。后者用于在 9hits 平台上为攻击者生成积分。 9hits 是一个被称为“独特的网络流量解决方案”的平台，允许会员购买积分以进行网站流量交换。在此活动中，通常用于访问网站以换取积分的 9hits 查看器应用程序被恶意软件利用，使攻击者受益。 攻击首先由攻击者控制的服务器通过互联网在易受攻击的 Docker 主机上部署容器。虽然 Cado 研究人员无法访问该传播程序，但他们推测攻击者可能通过 Shodan 等平台发现了蜜罐。该传播器使用 Docker API 启动两个容器，从 Dockerhub 获取现成的镜像用于 9hits 和 XMRig 软件。 仔细检查有效负载操作后发现，9hits 容器运行带有会话令牌的脚本，允许应用程序通过 9hits 服务器进行身份验证并为攻击者赚取积分。XMRig 容器利用链接到攻击者动态 DNS 域的私人矿池来挖掘加密货币。 对受感染主机的影响是资源耗尽，XMRig 矿工消耗可用的 CPU 资源，而 9hits 应用程序则利用大量带宽、内存和任何剩余的 CPU。这可能会阻碍受感染服务器上的合法工作负载，并可能导致更严重的违规行为。 Cado 安全研究员 Nate Bill 表示，这一发现凸显了攻击者从受感染主机中获利的策略不断演变。它还强调暴露的 Docker 主机作为入口点的持续漏洞。 “由于 Docker 允许用户运行任意代码，因此保持其安全至关重要，以避免您的系统被用于恶意目的，” 公告中写道。   转自安全客，原文链接：https://www.anquanke.com/post/id/292769 封面来源于网络，如有侵权请联系删除

COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标，以往该组织主要通过网络钓鱼活动窃取凭据。 谷歌周四警告（https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/）称，以网络钓鱼攻击闻名的俄罗斯 APT 组织 ColdRiver 也一直在开发定制恶意软件。 谷歌安全团队共享了失陷检测指标 (IoC) 和 YARA 规则，以帮助防御者检测和分析威胁。 ColdRiver 还受到 Star Blizzard、Callisto Group、BlueCharlie、TA446 和 Dancing Salome 等其他公司的关注。该组织与俄罗斯联邦安全局的一个部门有联系，以开展网络间谍活动和影响力活动而闻名。 APT 组织通常针对美国、英国和其他北约国家的学术界、国防、政府、非政府组织和智库部门的组织。 美国和英国政府最近就 ColdRiver 的活动向各组织发出警告，并宣布对两名涉嫌成员实施制裁。 ColdRiver 的许多攻击都涉及旨在窃取凭据的鱼叉式网络钓鱼。谷歌的安全研究人员最近发现似乎是由该组织开发和使用的定制恶意软件。 该恶意软件名为 Spica，被描述为用 Rust 编写的后门，它使用基于 Websocket 的 JSON 进行命令和控制 (C&C)。Spica 可用于执行任意 shell 命令、窃取 Web 浏览器 cookie、上传和下载文件、获取文件系统内容以及窃取文档。 该恶意软件是通过向目标发送看似加密的良性 PDF 来传播的。当受害者通知发件人 PDF 已加密时，他们会收到一个据称可用于解密文档的可执行文件，这个可执行文件会部署恶意软件。 诱饵文档 Spica 于 2023 年 9 月被 Google 发现，但 ColdRiver 可能至少从 2022 年 11 月起就开始使用它。该公司的研究人员只能获得该恶意软件的单个样本，他们认为该样本可能在 8 月份就被使用过。 谷歌研究人员表示：“我们认为 SPICA 后门可能有多个版本，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文档。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Yk0WmhcN5MhUvZNjTUEtuw? 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室专家分享了他们分析 iOS 设备的经验，该设备感染了以色列公司 NSO Group 的 Pegasus 恶意软件。已发现恶意软件在系统日志文件 Shutdown.log 中留下痕迹。开发的方法不仅可以帮助检测 Pegasus，还可以帮助检测其他恶意软件，例如 QuaDream 的 Reign 和 Cytrox 的 Predator ，它们在文件系统中使用类似的路径。 Shutdown.log 是 iOS 设备每次重新启动时创建的文本日志文件。它记录有关重新启动时正在运行的进程的信息、它们的标识符和文件系统中的路径。如果某些进程干扰正常重新启动，也会在日志文件中注明。卡巴斯基实验室专家注意到，恶意软件通常从“/private/var/db/”或“/private/var/tmp/”文件夹启动，这些路径可以在 Shutdown.log 中看到。 摘自 Shutdown.log 文件 为了获取日志文件，您需要生成一个 sysdiag 存档，其中包含各种系统日志和数据库。这可以在 iOS 设置中的“设置”>“隐私和安全”>“分析和改进”下完成。sysdiag 存档的大小约为 200-400 MB，可以传输到分析计算机。解压存档后，Shutdown.log 文件位于“\system_logs.logarchive\Extra”文件夹中。 卡巴斯基实验室创建了多个 Python3 脚本来帮助提取和分析 Shutdown.log 文件。使用这些脚本，您可以检测日志文件中的异常情况 – 运行恶意进程、重新启动延迟或文件系统中的异常路径。脚本还可以将日志文件转换为 CSV 格式、解码时间戳并生成分析摘要。 检测 Pegasus 恶意软件实例 专家强调，分析 Shutdown.log 文件并不是检测 iOS 设备上所有恶意软件的通用方法，这种方法取决于用户重新启动设备的频率。他们还在继续跨不同平台更详细地研究日志文件，并希望从其条目中创建更多启发式方法。 卡巴斯基实验室鼓励那些拥有有趣样本、可协助研究的用户通过 intelreports@kaspersky.com 联系该公司。研究人员声称 Shutdown.log 文件不包含任何个人信息，因此可以安全地提交进行分析。 请注意，GrapheneOS 开发团队之前曾提到过通过重新启动智能手机来对抗恶意软件，该团队为 Android 创建了同名操作系统，重点关注隐私和安全。专家建议在 Android 中引入自动重启功能，这将使固件漏洞的利用变得更加复杂。   转自安全客，原文链接：https://www.anquanke.com/post/id/292709 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，微软表示，一伙疑似由伊朗支持的威胁攻击者正在针对欧洲和美国研究机构和大学的高级雇员发起鱼叉式网络钓鱼攻击，并推送新的后门恶意软件。 据悉，这些威胁攻击者是臭名昭著的 APT35 伊朗网络间谍组织（又称 Charming Kitten 和 Phosphorus）的一个子组织，疑似与伊斯兰革命卫队（IRGC）有关联。这些威胁攻击者通过此前已经成功入侵的账户发送定制的、难以检测的钓鱼邮件。 微软方面强调，自 2023 年 11 月以来，微软持续观察到 APT 35 的子组织以比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士为目标，在这些攻击活动中，威胁攻击者使用了定制的网络钓鱼诱饵，试图通过社交工程让目标下载恶意文件。 少数情况下，微软还观察到了新的入侵后技术，包括使用名为 MediaPl 的新定制后门。 MediaPl 恶意软件使用加密通信渠道与其指挥控制（C2）服务器交换信息，并被设计为伪装成 Windows媒体播放器以逃避安全检测。MediaPl 与其 C2 服务器之间的通信使用 AES CBC 加密和 Base64 编码，在被入侵设备上发现的变种具有自动终止、暂时停止、重试 C2 通信以及使用  popen  函数执行 C2 命令的能力。 此外，名为 MischiefTut 的第二个基于 PowerShell 的后门恶意软件可帮助威胁攻击者投放额外的恶意工具并提供侦察能力，使其能够在被入侵的系统上运行任何命令，并输出发送到威胁攻击者控制的服务器上 APT35 攻击活动背后的攻击链（图源：微软） APT35 组织的子组织主要攻击高价值目标，并从被攻破的系统中窃取敏感数据，此前该组织的攻击目标主要是研究人员、教授、记者和其他了解与伊朗利益一致的安全和政策问题的个人。这些与情报界和政策界合作或有可能对情报界和政策界产生影响的个人，对于那些试图为赞助其活动的国家（如伊朗伊斯兰共和国）收集情报的对手来说，是极具吸引力的目标。 疑似多个和伊朗有关的 APT 组织异常活跃 2021 年 3 月至 2022 年 6 月间，APT35 组织在针对政府和医疗保健组织以及金融服务、工程、制造、技术、法律、电信和其他行业领域的公司的攻击活动中，利用以前未知的恶意软件，至少在 34 家公司中设置了后门。 伊朗黑客组织还在针对 macOS 系统的攻击中使用了前所未见的 NokNok 恶意软件，旨在收集、加密和外泄被入侵 Mac 的数据。 另一个被追踪为 APT33（又名 Refined Kitten 或 Holmium）的伊朗威胁组织自 2023 年 2 月以来在针对全球数千个组织的大范围密码喷射攻击中入侵了国防组织，最近还被发现试图利用新的 FalseFont 恶意软件入侵国防承包商。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389981.html 封面来源于网络，如有侵权请联系删除

AhnLab Security 警告称，通过网络数据存储进行的攻击日益增多。 韩国发现了一种传播名为Remcos 的远程访问木马 ( RAT ) 的新方法。根据安全智库AhnLab（ASEC）最新的研究数据，攻击者通过伪装成成人游戏的方式，在流行的网络存储服务如 WebHard 中传播恶意软件。 WebHard 是韩国广泛使用的在线存储系统，允许用户上传、下载和共享文件。此前，其他恶意软件也通过类似的服务进行分发，包括 njRAT、UDP RAT 以及用于 DDoS 攻击的各种僵尸网络。 在新的恶意活动中，用户下载据称包含成人游戏的文件，这些游戏实际上运行恶意 Visual Basic 脚本。这些脚本激活一个名为“ffmpeg.exe”的中间二进制文件，该二进制文件反过来从攻击者的服务器下载 Remcos RAT。 Remcos RAT 由德国 Breaking Security 公司于 2016 年开发，最初作为合法的 Windows 远程管理工具，但后来转变为攻击者手中的强大武器。该程序允许对受感染系统进行未经授权的控制和监视，从而使攻击者能够窃取机密数据。 正如 Cyfirma 在 2023 年 8 月发布的分析中指出的那样，Remcos RAT 具有多种功能：记录击键、录制音频、截取屏幕截图以及威胁用户隐私等。该恶意软件能够禁用用户帐户控制 ( UAC ) 并在系统上永久存在，这进一步加大了其对系统的恶意影响。 为了防范此类威胁，建议用户在从未经验证的来源下载文件时要特别小心，尤其是在访问以成人娱乐或游戏应用程序形式呈现的内容时。 网络安全专家强调使用可靠的防病毒程序，并定期更新软件。   转自安全客，原文链接：https://www.anquanke.com/post/id/292685 封面来源于网络，如有侵权请联系删除

Infosecurity 网站消息，近日，卡巴斯基全球研究与分析团队（GReAT）发布了一种新的轻量级方法，用于检测复杂的 iOS 间谍软件，包括臭名昭著的 Pegasus、Reign 和 Predator 等软件。 研究人员重点分析了之前被忽视的取证工件”Shutdown.log”，发现该工件存储在iOS设备的 sysdiagnose 归档中，并记录了每个重启会话的信息。 他们还发现，在系统重新启动的过程中，可以明显观察到与 Pegasus 相关的异常现象，一些与 Pegasus 相关的”粘滞”进程阻碍了系统重新启动，这些发现已经得到了网络安全社区的证实。 而对 Shutdown.log 中 Pegasus 感染的进一步分析揭示了一个常见的感染路径，即”/private/var/db/”，它与 Reign 和 Predator 引起的感染中所见的路径相似。研究人员指出，该日志可用于识别与这些恶意软件组织相关的感染。 卡巴斯基 GReAT 首席安全研究员 Maher Yamout 解释道：“我们通过该日志中的感染指示器，并使用移动验证工具包（MVT）对其他 iOS 证据进行处理，确认了感染情况。因此，该日志将成为综合调查 iOS 恶意软件感染的重要组成部分。” Maher Yamout 进一步表示：“鉴于这种行为与我们分析的其他 Pegasus 感染一致，我们相信该日志可以作为可靠的取证工件，支持感染分析。” 为了增强用户在对抗 iOS 间谍软件方面的能力，卡巴斯基专家还开发了一个自检实用工具，并在 GitHub 上分享了该工具。这个 Python3 脚本适用于 macOS、Windows 和 Linux 用户，方便用户提取、分析和解析 Shutdown.log 工件。 综上所述，考虑到 iOS 间谍软件日益复杂化的情况，卡巴斯基建议采取以下几项措施以减少潜在攻击的威胁。 每天重新启动设备打断潜在的感染，使用苹果的锁定模式并禁用 iMessage 和 FaceTime 功能。 及时更新iOS安装最新的版本补丁，谨慎点击链接，并定期检查备份和系统诊断存档。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389882.html 封面来源于网络，如有侵权请联系删除