1月16日，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布了一份关于该恶意软件的联合公告，称名为Androxgh0st 恶意软件的幕后黑客正在创建一个强大的僵尸网络。 Androxgh0st最早可以追溯到 2022 年 12 月，当时 Lacework 的研究人员发现该恶意软件被用于窃取各种凭证，这些凭证来自很多主流应用，例如 Amazon Web Services、Microsoft Office 365、SendGrid 和 Twilio。 研究人员表示，由Androxgh0st 组建的僵尸网络会搜索 .env 文件，这类文件通常被用来存储凭证和令牌。恶意软件还支持许多能够滥用简单邮件传输协议 (SMTP) 的功能，例如扫描和利用暴露的凭据和应用程序编程接口 (API) 以及 Web shell 部署。 此外，该恶意软件还使用 Laravel 框架（一种用于开发 Web 应用程序的工具）漏洞搜索网站。一旦僵尸网络发现又使用 Laravel 的网站，就会尝试确定某些包含凭证的文件是否暴露。 而这框架一漏洞被追踪为CVE-2018-15133，CISA于1月16日将该漏洞添加到其已知利用漏洞目录中。美国联邦民事机构必须在 2 月 6 日之前对其进行修补。 网络安全专家约翰·史密斯（John Smith） 表示，AndroxGh0st 是云基础设施面临的威胁日益增长的另一个例子。 该恶意软件用于加密劫持、垃圾邮件或恶意电子邮件活动，并利用 Web 应用程序中未修补的漏洞进行横向移动，并通过创建帐户和提升权限来维持持久性。 史密斯指出，由于 AndroxGh0st 正在利用暴露的 .env 文件和未修补的漏洞，因此建议用户定期检查和监控云环境是否存在任何暴露，并制定带外修补策略。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389879.html 封面来源于网络，如有侵权请联系删除

国际网络安全公司Group-IB 报告了现已解散的 Inferno Drainer 组织的活动，该组织在 2022 年至 2023 年间创建了超过 16000 个欺诈域名。 攻击者采用高质量的网络钓鱼页面，诱使用户将他们的加密货币钱包连接到欺诈者的基础设施。此攻击利用虚假的Web3协议，欺骗受害者授权交易。 Inferno Drainer 在 2022 年 11 月至 2023 年 11 月期间活跃，通过欺诈手段影响了超过 137,000 名受害者，非法获得逾 8700 万美元。此恶意软件包是通过 Drainer 即服务 ( DaaS ) 模型提供的各种类似产品中的一部分，并收取附属公司收入 20% 的版税。 Inferno Drainer的用户可以将恶意软件上传至他们的网络钓鱼网站，或者利用开发人员创建和托管此类网站，有时只获得被盗资产的30%。 通过对500个恶意域的分析发现，基于JavaScript的恶意软件最初是托管在GitHub上，然后直接集成到网站中。这些网站随后通过Discord、X *等平台传播，向受害者提供免费代币（称为“空投”），并连接到他们的钱包。之后，当交易获得批准时，资产就会被窃取。 最近，诈骗者正在利用这些免费代币引诱信息安全公司Mandiant的订阅者。该公司的个人资料在1月初遭到黑客攻击，并被攻击者用于谋取私利。 预计黑客官方账户的尝试将增加，因为声称来自权威人士的消息可能会激发信心，引诱受害者点击链接，从而将他们的积蓄交给攻击者。 在攻击中，诈骗者使用“seapport.js”、“coinbase.js”和“wallet-connect.js”等脚本名称来伪装成流行的 Web3 协议Seaport、Coinbase和WalletConnect，以进行未经授权的交易。 Group-IB 分析师指出，Inferno Drainer 网络钓鱼网站的一个典型特征是无法使用热键或右键单击打开网站的源代码。这表明犯罪分子试图向受害者隐藏他们的脚本和非法活动。 Group-IB 还表明，Inferno Drainer 的成功可能会引发新的 Drainer 的创建，并增加带有模仿 Web3 协议的欺诈性脚本的网站数量。 专家还强调，尽管 Inferno Drainer 活动已经停止，但这种恶意操作的影响给加密货币所有者带来了严重风险，因为此类攻击方法只会不断改进。   转自安全客，原文链接：https://www.anquanke.com/post/id/292687 封面来源于网络，如有侵权请联系删除

Bitdefender 警告物联网设备所有者面临新风险。 Bitdefender发现了 广泛使用的博世 BCC100家用Wi -Fi恒温器中的一个漏洞。该漏洞允许攻击者远程操纵设备设置（包括温度）并安装恶意软件。 所有物联网 ( IoT ) 设备，从咖啡机到安全摄像头，都可能面临黑客攻击的风险。Bitdefender 实验室创建了第一个智能家居网络安全中心，定期审核流行的物联网设备是否存在漏洞。他们的最新研究揭示了影响博世 BCC100 恒温器版本 1.7.0 到 HD 版本 4.13.22 的漏洞。 该安全漏洞于 2023 年 8 月 29 日被发现，但直到 2024 年 1 月 11 日该公司修复后才公布详细信息。CVE-2023-49722漏洞允许攻击者用恶意固件替换设备的固件，然后自行决定使用受感染的恒温器，从而完全控制其功能。 BCC100温控器使用两个微控制器：用于Wi-Fi功能的海飞芯片（HF-LPT230）和用于设备主逻辑的意法半导体芯片（STM32F103）。STM 芯片没有联网功能，依赖Wi-Fi 芯片进行通信。Wi-Fi 芯片侦听本地网络上的TCP 端口 8899，并通过 UART 数据总线将接收到的消息直接传输到主微控制器。 然而，如果消息格式良好，则微控制器无法区分恶意消息和云服务器发送的真实消息。攻击者可以利用它向恒温器发送任意命令，包括恶意更新。 恒温器通过 WebSocket 使用 JSON 数据包与服务器“connect.boschconnectedcontrol[.]com”进行通信，这很容易被欺骗。设备在端口8899上发出“device/update”命令，导致恒温器向云服务器查询信息。 尽管存在错误代码，设备仍接受带有更新详细信息的虚假响应，包括自定义URL 、大小、 MD5 校验和和固件版本。然后，设备请求云服务器下载固件并通过 WebSocket 传输，确保指定的 URL 可用。收到文件后，设备会执行更新，完成攻击。 为避免可能出现的风险，建议用户采取必要的安全措施，包括定期更新温控器固件、更改默认管理密码、避免未经授权的温控器连接互联网、使用防火墙限制未经授权的设备访问等。 值得注意的是，就在上周，另一家网络安全公司的专家透露了博世生产的另一款产品——广泛应用于各行业的联网工业冲击扳手——的多个漏洞细节。利用这些漏洞的后果是生产完全停止以及昂贵的设备损坏。 类似的研究再次提醒我们，即使看似无害的联网智能设备也可能给用户带来非常具体的安全风险。 随着智能设备市场的增长，制造商必须优先考虑安全性并确保安全可靠的连接环境，用户必须负责制造商的定期更新和其他建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/292656 封面来源于网络，如有侵权请联系删除

Balada Injector 恶意软件对数千个使用 Popup Builder 插件的 WordPress 网站进行了攻击。 Doctor Web 专家于去年 1 月首次记录该恶意活动，该活动由一系列攻击组成，这些攻击利用 WordPress 插件中的安全缺陷引入后门，旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。 Sucuri 的最新调查发现， 截至 2023 年 12 月，在 7,100 多个站点上检测到 Balada Injector 活动。这次，黑暗黑客利用WordPress Popup Builder 插件中的漏洞进行攻击。该漏洞的标识符为 CVE-2023-6000 ， CVSS 评分为 8.8。它在插件版本 4.2.3 中被正式修复，而 Popup Builder 发布时的最新版本是 4.2.6。 WPScan 的研究员 Mark Monpas 表示：“成功利用此漏洞可能允许攻击者执行站点管理员有权访问的任何操作，包括安装任意插件和创建具有管理权限的新用户。” 该恶意活动的目标是将恶意 JavaScript 文件集成到易受攻击的网站中，以夺取控制权并安装额外的有效负载。如上所述，受感染的网站随后被攻击者用来促进恶意重定向和网络钓鱼攻击。 这次网络事件再次提醒 WordPress 网站所有者定期将他们使用的插件更新到最新版本。Popup Builder 等过时版本插件中的漏洞可能会导致网站感染并用于犯罪。定期更新是保护您的网站及其访问者免受此类攻击的简单而有效的方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/292651 封面来源于网络，如有侵权请联系删除

根据Recorded Future最近的一份报告，开发者平台GitHub最近已成为黑客用来托管和传播恶意软件的流行工具。该平台为攻击者提供了将其行为伪装成合法网络流量的能力，这使得跟踪和确定攻击者的身份变得困难。 专家将这一策略称为“Living Off Trusted Sites”（LOTS），它是“Living off the Land”（LotL）技术的一种修改版本，攻击者经常使用这种技术来隐藏恶意活动。 滥用GitHub的最常见方式之一是传播恶意软件。例如，ReversingLabs在上个月发布的报告中提到了一些伪造的Python包，这些包通过秘密的GitHub存储库接收恶意命令。 尽管GitHub上的治理系统的完整实施相对较少见，但将该平台用作“死箱”以获取治理服务器的URL则更为普遍。虽然使用GitHub上传数据的情况相对罕见，但仍有记录表明这是由于文件大小限制和对被发现的担忧。根据Recorded Future的说法，这一现象依然存在。 除了上述方案外，攻击者还经常通过多种方式利用GitHub。这包括将GitHub Pages用作网络钓鱼或流量重定向主机，以及作为备份控制通道。 Recorded Future的报告强调了攻击者借助合法互联网服务的整体趋势，其中包括Google Drive、Microsoft OneDrive、Dropbox、Notion、Firebase、Trello、Discord以及各种源代码管理平台（如GitLab、BitBucket、Codeberg）。 Recorded Future指出，对流行服务的滥用检测目前还没有通用解决方案。在这方面，需要结合不同的检测策略，具体取决于环境特征、日志可用性、组织结构、服务使用模式和风险级别。   转自安全客，原文链接：https://www.anquanke.com/post/id/292638 封面来源于网络，如有侵权请联系删除

Aqua Security披露了Apache产品的安全漏洞。 网络安全研究人员发现一种新型攻击，利用Apache Hadoop和Flink软件中的配置缺陷，在目标系统上部署了加密货币矿工。 Aqua Security的研究人员在1月8日发布的报告中指出：“由于攻击者采用shell程序和rootkit来隐匿恶意软件，因此这次攻击具有特殊的迷惑性。” 该恶意软件会删除特定目录的内容并修改系统配置，以规避检测。 Apache Hadoop感染链利用了YARN（Yet Another Resource Negotiator）资源管理器的配置错误，该资源管理器负责追踪集群中的资源并调度应用程序。 具体而言，这一缺陷允许未经身份验证的远程攻击者通过特制的HTTP请求执行任意代码，具体效果取决于用户在执行代码的主机上的权限。针对Apache Flink的类似攻击同样针对错误配置，该配置允许远程攻击者在无需任何身份验证的情况下执行代码。 这些漏洞并非新现象，先前曾有组织以经济利益为动机（例如TeamTNT）利用这些漏洞进行攻击，以在Docker和Kubernetes中进行加密劫持和其他恶意活动而声名鹊起。然而，最新的攻击引人注目的地方在于，在成功渗透Hadoop和Flink应用程序后，攻击者使用rootkit来隐匿加密货币挖掘过程。 攻击始于攻击者发送未经身份验证的请求以部署新应用程序，随后向YARN发送POST请求，要求执行特定命令以启动该新应用程序。该命令的目的是在执行过程中清空/tmp目录下的所有现有文件，从远程服务器下载名为“dca”的文件并执行，最后再次清空/tmp目录下的所有文件。 运行的代码是一个打包的ELF二进制文件，该文件加载了两个rootkit和一个门罗币矿工二进制文件。为了确保攻击的持久性，攻击者创建了一个cron作业，用于下载并执行部署“dca”二进制文件的shell脚本。 通过对攻击者基础设施的分析，发现用于下载有效负载的服务器在2023年10月31日注册。 为缓解此类攻击，建议组织部署基于代理的安全解决方案，以检测加密货币挖矿程序、rootkit、打包的二进制文件以及其他可疑活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/292629 封面来源于网络，如有侵权请联系删除

经为期两年的调查，荷兰《人民报》发现一名荷兰工程师曾是荷兰情报与安全总局特工，他在利用臭名昭著的 Stuxnet 恶意软件破坏伊朗核计划的秘密行动中发挥了关键作用。据报道，该特工的恶劣行径导致将近一千个核离心机自爆，对伊朗的核工业发展带来了重大挫折，使伊朗的核工业进展被延迟一年多。 Stuxnet 是一种复杂的恶意软件，旨在破坏与核离心机相关的工业控制系统，造成广泛的损害。据信，该恶意软件是美国中央情报局和以色列摩萨德联合发起的。它感染了数十万台设备，并使众多机器陷入网络中断。 报道称，埃里克·范·萨本（Erik van Sabben）于2005年被聘用。这位工程师随后在迪拜的运输公司TTS工作，但后来跳槽到阿拉伯 Al-Jaber 集团，然后又回到了TTS。在运输公司，他处于将西方专业设备运往伊朗的“关键位置”。 范·萨本冒充伊朗工程师，成功潜入伊朗核计划的关键点——纳坦兹核设施。他通过水泵将Stuxnet恶意软件引入该设施。恶意软件隐藏在泵内，使其能够传播并危害工业控制系统。 范·萨本于2009年1月离开伊朗后不久在一场摩托车事故中丧生。报道指出，目前尚不清楚范·萨本本人是否知道他带到纳坦兹的设备感染了恶意软件。 该报道概述了这次秘密行动之前的多年准备工作。据报道，在2006年，时任美国中央情报局局长迈克尔‧海登（Michael Hayden）亲自前往荷兰军事情报和安全局，向荷方人员强调需要将一些“水泵”运进伊朗纳坦兹核设施，称这些“水泵”将导致核离心机自爆。据当时在场的荷方人员描述，海登描述这些“水泵”花了10余亿美元研发。 网络安全行业的知名成员、卡巴斯基研究团队前主任Costin Raiu和WithSecure首席研究官Mikko Hypponen对这一数额表示怀疑。   《人民报》报道称，荷兰情报部门虽然知道自己参与破坏伊朗核武的计划，但是除了美方的“水泵”说法，对于美国和以色列具体如何利用自己的情报人员破坏纳坦兹核设施并不知情。目前尚未知范·萨本是通过水泵还是另通过USB将病毒传入伊朗纳坦兹核设施，《人民报》采访的不同情报机构人员给出了不同的说法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/hA1ZeaEQfGDA8tZkDNti5A 封面来源于网络，如有侵权请联系删除

所有的受害者现在都有机会恢复他们的数据，无需支付任何赎金。 思科 Talos与荷兰警方合作，成功解密了 Babuk 勒索软件的一个名为 Tortilla 的变种，在打击网络犯罪方面取得了重大进展。 这一成功的关键在于，警方捕获了在阿姆斯特丹的一名犯罪分子，并夺取了他提供给同意支付赎金的受害者的特定解密工具。 在 Babuk 勒索软件的源代码在黑客论坛上泄露后不久，“Tortilla”就出现了。该恶意软件变体主要针对 Microsoft Exchange 服务器，利用 ProxyShell 漏洞分发加密恶意软件。 尽管 Avast 在 Tortilla 发布前就已经推出了 Babuk 的解密工具，但由于密钥不匹配，这一工具对新的变种效果不佳。 Talos 的研究团队发现，这一病毒的可执行文件使用了固定的公钥/私钥对进行所有攻击。一旦这些密钥被提取，信息就会传递给 Avast 以更新他们的 Babuk 解密器。 Avast 已将“Tortilla”解密密钥包含在其通用解密工具 Babuk 中，其中还包含从 2021 年源代码泄露中获得的 14 个 ECDH-25519 密钥。Tortilla 受害者现在可以使用Avast 的解密器免费恢复数据 。 Cisco Talos 强调，Tortilla 并不是唯一使用 Babuk 代码加密受害者数据的操作。自 2021 年 12 月以来，还出现了其他 7 个使用该代码的恶意操作：Rook、Night Sky、Pandora、Nokoyawa Cheerscrypt、AstraLocker 2.0、ESCiArgs、Rorschach、RTM Locker 和 RA Group。   转自安全客，原文链接：https://www.anquanke.com/post/id/292557 封面来源于网络，如有侵权请联系删除

美国一家抵押贷款机构 loanDepot 遭遇以一场严重的勒索软件攻击，黑客加密了该机构的很多内部数据。 loanDepot  客户在尝试登录支付门户网站支付贷款时遇到了问题，随即向 loanDepot 公司方面反应。不久后，loanDepot 有关负责人站出来回应，表示公司经历了一场网络安全事故，目前已经在网络安全专家协助下，将某些网络系统下线，努力尽快恢复正常业务运营，并积极采取安全措施将勒索软件安全事件的影响降至最低。同时，公司也在第一时间通知了相关监管机构和执法部门。 loanDepot 证实遭遇勒索软件攻击 意识到公司遭遇了勒索软件攻击不久，loanDepot 便通过社交媒体通知其客户，公司会继续处理定期自动付款，但在客户的付款历史记录中可能会延迟显示。用户使用服务门户网站进行新的支付会受到严重影响，建议受影响的客户向呼叫中心寻求帮助。 loanDepot 方面还指出，公司正在努力调查勒索软件攻击事件，已经能够确认有未经授权的第三方威胁攻击者”访问“了某些公司系统并加密了大量数据，后续将继续评估勒索软件攻击事件的影响，以及该事件是否会对公司造成重大影响。 在提交给美国证券交易委员会的 8-K 文件中，loanDepot 透露黑客加密了被入侵设备上的大量文件，迫使 loanDepot 关闭了部分系统，以阻止黑客访问其网络上的其他设备。更糟糕的是，目前尚不清楚是哪个勒索软件组织在幕后操纵了此次勒索软件攻击活动。 从 loanDepot 公司对勒索软件攻击事件的回应来看，仅仅提到黑客入侵其内部网络系统并加密了大量文件，但根据以往案例来看，勒索软件团伙通常也会窃取受害公司的内部数据和客户数据，迫使受害者支付赎金。 鉴于 loanDepot 公司持有敏感的客户数据（如财务和银行账户信息等），受勒索软件攻击事件影响的用户应警惕潜在的网络钓鱼攻击和身份盗用。 金融机构屡屡成为勒索软件攻击目标 早在 2023 年 5 月，loanDepot 就曾披露过一起 2022 年 8 月遭遇的网络攻击事件，最终导致大量客户数据信息被盗取。此外，按揭贷款巨头库珀先生也于 2023 年 11 月遭受了网络攻击，导致 1470 万客户的个人数据泄露。 同样，美国产权保险公司目标之一 First American Financial Corporation 也在圣诞节前被迫关闭了部分网络系统，以控制网络攻击的影响。 转自FreeBuf，原文链接：https://www.freebuf.com/news/389190.html 封面来源于网络，如有侵权请联系删除

Fortinet的研究人员发现了一种新的名为Bandook的远程访问变种木马（RAT），近日，黑客利用该木马对Windows用户发起了网络钓鱼攻击。 该木马最早可追溯到2007年，至今一直在不断发展，不同黑客已经利用该木马进行了多次攻击活动。 Bandook变种木马通过附件为PDF文件的电子邮件进行传播，该PDF文件包含一个用于下载受密码保护的.7z文件的缩短URL。当从PDF文件中提取恶意软件后，注入器会在资源表中解密载荷并将有效载荷注入到msinfo32.exe中，而有效载荷的行为是由注入前创建的注册表键值决定的。 Fortinet发布的分析报告显示，“一旦注入成功，载荷就会初始化注册表键名、标志、API等的字符串。在此之后，载荷使用被注入的msinfo32.exe的进程标识符（PID）来查找注册表键，然后解码并解析键值，以执行控制码指定的任务。” Bandook木马的有效载荷支持139种动作，其中大部分在之前的变种中已经使用过了，最近的变种又增加了用于C2通信的附加命令，这意味着Bandook木马还在持续改进。 Bandook的常见行为包括文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用dll中的函数、控制受害者的计算机、终止进程以及卸载恶意软件等。 报告指出，这个恶意软件包含大量用于C2通信的命令，但其有效载荷执行的任务数量少于命令的数量。这是因为多个命令被用来执行单一动作时，有些命令用于调用其他模块中的函数，还有些命令仅用于对服务器进行响应。 报告表示，Bandook在这次攻击中没有观察到整个系统，FortiGuard将继续监控恶意软件的变种，并提供相应的防护措施。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389211.html 封面来源于网络，如有侵权请联系删除