臭名昭著的朝鲜黑客组织 Lazarus 继续利用 CVE-2021-44228（又名“Log4Shell”），这次部署了三个以前未见过的用 DLang 编写的恶意软件系列。 新的恶意软件是两个名为 NineRAT 和 DLRAT 的远程访问木马 (RAT) 以及一个名为 BottomLoader 的恶意软件下载程序。 D 编程语言在网络犯罪活动中很少见到，因此 Lazarus 可能选择它来开发新的恶意软件以逃避检测。 该活动被思科 Talos 研究人员命名为“Operation Blacksmith”（铁匠行动），于 2023 年 3 月左右开始，针对全球制造、农业和物理安全公司。“Operation Blacksmith”代表了 Lazarus 黑客组织所使用的战术和工具的显著转变，再次证明了该威胁组织不断变化的战术。 Dlang（简称 D）于 2001 年发布，是一种基于 C++ 思想构建的多范式系统编程语言，但也从 C#、Eiffel、Java、Python、Ruby 和其他高级语言中汲取灵感。 Dlang 被认为是一种不常见的恶意软件开发编程语言，但已经开始吸引恶意软件开发人员，可能是因为它的多功能性和简单的学习曲线。Dlang 允许开发人员针对多种架构交叉编译应用程序。 新的恶意软件工具 自 2023 年 3 月以来，由朝鲜背景的高级持续威胁 (APT) 攻击者 Lazarus 被发现使用使用 Dlang 构建的三个恶意软件系列，即 NineRAT 和 DLRAT 远程访问木马 (RAT) 以及 BottomLoader 下载程序。 第一个恶意软件 NineRAT。可能于 2022 年 5 月左右构建，使用 Telegram 从其命令与控制 (C&C) 服务器接收命令，可能会逃避检测。部署后，RAT实现持久化，成为与受感染主机交互的主要方式。 该恶意软件可以收集系统信息、升级到新版本、停止执行、自行卸载以及从受感染的计算机上传文件。 NineRAT 包含一个释放器，它还负责建立持久性并启动主要的二进制文件。 该恶意软件支持以下命令，这些命令通过 Telegram 接受： info –     收集有关受感染系统的初步信息。 setmtoken – 设置令牌值。 setbtoken –     设置新的机器人令牌。 setinterval –     设置恶意软件轮询 Telegram 频道之间的时间间隔。 setsleep –     设置恶意软件应休眠/休眠的时间段。 升级– 升级到新版本的植入物。 exit – 退出恶意软件的执行。 uninstall –     从端点卸载自身。 sendfile – 从受感染端点向     C2 服务器发送文件。 第二个恶意软件DLRAT是一种特洛伊木马和下载程序，Lazarus 可使用它在受感染的系统上引入额外的有效负载。它既充当下载程序又充当后门。 它包括用于系统侦察的硬编码命令，但也可以执行下载和上传文件、重命名文件以及从计算机中删除自身的命令。 DLRAT 在设备上的第一个活动是执行硬编码命令来收集初步系统信息（例如操作系统详细信息、网络 MAC 地址等），并将其发送到 C2 服务器。 攻击者的服务器回复受害者的外部 IP 地址和以下命令之一，以便恶意软件在本地执行： deleteme – 使用 BAT     文件从系统中删除恶意软件 download –     从指定的远程位置下载文件 重命名– 重命名受感染系统上的文件 iamsleep –     指示恶意软件在设定的时间内进入休眠状态 upload – 上传文件到C2服务器 showurls – 尚未实施 第三个恶意软件BottomLoader，这是一种恶意软件下载程序，BottomLoader 下载器可以从硬编码 URL 获取并执行有效负载，并且已观察到针对欧洲制造商和韩国物理安全和监控公司部署了自定义代理工具 HazyLoad。 此外，BottomLoader 还为 Lazarus 提供了将文件从受感染系统窃取信息上传到 C2 服务器的能力，从而提供了一定的操作多功能性。 BottomLoader 还旨在通过在系统的启动目录中创建 URL 文件来实现新版本或其删除的有效负载的持久性。 Log4Shell 攻击 Cisco Talos 观察到的攻击涉及利用 Log4Shell，这是 Log4j 中的一个关键远程代码执行缺陷，大约在两年前被发现并修复，但仍然是一个安全问题。 这些目标是面向公众的VMWare Horizon服务器，该服务器使用易受攻击的Log4j日志库版本，允许攻击者执行远程代码。 入侵后，Lazarus 设置了一个代理工具，用于在受攻击的服务器上进行持久访问，运行侦察命令，创建新的管理员帐户，并部署 ProcDump 和 MimiKatz 等凭据窃取工具。 在攻击的第二阶段，Lazarus 在系统上部署 NineRAT，该系统支持广泛的命令，如上一节所强调的。 铁匠行动攻击链 （思科 Talos） 思科报告称，这些恶意软件家族被用作Blacksmith 铁匠行动的一部分，其中 Lazarus 针对未针对臭名昭著的 Log4Shell 漏洞 (CVE-2021-44228) 进行修补的系统，针对南美农业组织和欧洲制造企业部署 NineRAT。 观察到的攻击与朝鲜组织 Onyx Sleet 的活动重叠，也称为 Plutionium 和 Andariel。网络安全行业的普遍共识是，朝鲜背景的黑客组织大多是 Lazarus 组织的分支。 作为“Operation Blacksmith（铁匠行动）”的一部分，Lazarus 在可通过互联网访问的 VMware Horizon 服务器上利用 Log4Shell 进行初始访问，然后进行侦察并部署 HazyLoad 植入程序。在某些情况下，会创建一个新的用户帐户来持久访问系统。 Lazarus 还使用 ProcDump 和 MimiKatz 等实用程序进行凭证转储，然后将 NineRAT 后门部署到系统中。 思科安全研究人员得出的结论是，Lazarus 可能会向其旗下的其他 APT（高级持续威胁）组织或集群提供 NineRAT 收集的数据。 这一假设基于 NineRAT 在某些情况下执行系统“重新指纹识别”的事实，这意味着它可能正在为多个参与者执行系统 ID 和数据收集。 转载自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/vViG_T_DRLp__vZR1Iwe6A?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

该恶意软件的销售媒介已收到更新和更改。 Elastic Security Labs 发现了新的GuLoader 恶意软件技术，该技术使威胁更难以分析和检测。GuLoader的核心功能于2019年底首次被发现，近年来并未发生明显变化，但混淆方法的不断更新使其分析变得耗时且耗费资源。 GuLoader (CloudEyE) 是一种通过网络钓鱼活动分发的基于shellcode的高级恶意软件加载程序。它用于传播各种类型的恶意软件，包括信息盗窃，并包含复杂的反分析技术来绕过传统的安全解决方案。 值得注意的是，GuLoader 现在在与 Remcos 相同的平台上以新名称出售，并被宣传为加密器，使其有效负载对防病毒软件完全不可见。 GuLoader 的最新变化之一是基于向量异常处理 ( VEH ) 的使用改进了反分析技术。该方法包括通过故意抛出大量异常并在向量异常处理程序中处理它们来中断正常的代码执行流程，该异常处理程序将控制权转移到动态计算的地址。 GuLoader 并不是唯一不断更新的恶意软件。另一个例子是 DarkGate，这是一种远程访问木马 (RAT)，它允许攻击者完全破坏受害者的系统。DarkGate以恶意软件即服务 (MaaS) 的形式出售，每月售价15,000美元，它使用包含链接的网络钓鱼电子邮件来分发初始感染媒介：VBScript或 Microsoft 软件安装程序 (MSI) 文件。 最新版本的 DarkGate (5.0.19)引入了 使用 DLL Sideloading 的新执行引擎、改进的 shellcode 和加载器以及完全重新设计的RDP密码盗窃功能。    转自安全客，原文链接https://www.anquanke.com/post/id/291810 封面来源于网络，如有侵权请联系删除

一种隐蔽的恶意软件正在感染泰国的电信和其他垂直行业的系统，在其代码首次出现在 VirusTotal 上后两年内一直处于低调状态。 攻击者可能与 XorDdos Linux 远程访问木马（RAT）的创建者捆绑在一起，近两年来一直在使用单独的 Linux RAT 而未被发现，使用它来瞄准泰国的组织并保持对受感染系统的恶意访问。 Group-IB的研究人员在12月7日发表的一篇博客文章中报告说，这种被称为Krasue的RAT以东南亚民间传说中的一种夜间土著精神命名，它使用多种隐蔽技术，包括使用嵌入七个编译版本的rootkit来支持各种版本的Linux内核。 RAT 的主要功能是保持对主机的访问，该 RAT 于2021年出现在 VirusTotal 上，但从未公开报道过。这意味着RAT很可能“要么作为僵尸网络的一部分部署，要么由初始访问经纪人出售给其他希望访问特定目标的网络犯罪分子。”Group-IB威胁情报团队恶意软件分析师Sharmine Low在博客文章中写道。 研究人员说，Krasue可能与XorDdos Linux木马由同一作者创建，或者至少可以访问相同的源代码。Microsoft在2014年发现了XorDdos，它已广泛用于针对云和物联网部署的攻击。 研究人员表示，RAT的一个独特之处在于使用实时流协议（RTSP）消息作为伪装的“活ping”，这种策略在野外很少见。RTSP 通常用于控制通过 IP 网络（例如视频流和视频监控系统）传输实时媒体流。 获得受 Krasue 感染系统的初始访问权限的方法尚不清楚，但可能的途径包括漏洞利用或凭据暴力破解。研究人员补充说，另一种（尽管可能性较小）初始访问可能是RAT作为欺骗性软件包或二进制文件的一部分（例如虚假产品更新）从恶意第三方来源下载的。 虽然Group-IB观察到RAT主要用于针对电信行业，但研究人员认为，其他垂直行业的组织也可能成为目标。一旦网络犯罪分子已经入侵了目标网络，Krasue 也有可能在攻击链的后期部署。 通过 Linux Rootkit 保持低调 研究人员说，鉴于其隐蔽特性的结合，Krasue RAT潜伏了两年而未被发现也就不足为奇了。其中一些技术在于 Krasue rootkit 的使用和功能，它是 Linux 内核模块（LKM）或可以在运行时动态加载到内核中的目标文件。 在受感染的系统上，rootkit 伪装成没有有效数字签名的 VMware 驱动程序。由于其作为 LKM 的性质，以 Linux 内核版本2.6x/3.10.x 为目标的 rootkit 扩展了内核的功能，而无需重新编译或修改整个内核源代码。此外，在初始化阶段，rootkit 会隐藏自己的存在，然后继续挂钩“kill（）”系统调用、网络相关函数和文件列表操作，从而掩盖其活动。 Krasue 设法逃避检测的另一个原因是它使用 UPX 打包。研究人员表示，打包的恶意软件样本通常更难被安全解决方案检测到，而较旧的Linux服务器可能未部署端点检测保护（EDR）。 RAT 还通过守护自身、作为后台进程运行和忽略 SIGINT 信号来增强其规避功能，最后一个信号意味着当用户通过按 Ctrl-C 终止进程时，恶意软件不受发送的中断信号影响。 Krasue还具有掩盖其与命令和控制（C2）网络通信的功能，包括为其主C2使用九个硬编码IP地址，以及上述使用RTSP进行通信——这对于网络犯罪分子来说很少见。 “Krasue 最初总是会尝试连接到内部地址。”博客文章中写道：“只有在多次未回复并尝试连接到服务器后，它才会尝试连接128[.]199[.]226[.]11的554端口，这是通常用于 RTSP 的端口。这是值得注意的，因为虽然恶意软件开发人员通常会伪装网络流量，但为此目的使用RTSP端口的情况非常罕见。 Linux RAT 的安全建议 Group-IB向安全专业人员提出了一些建议，以提醒他们Krasue RAT的潜在感染。一种是要注意异常的RTSP流量，这可能会提醒系统上存在恶意软件。 研究人员还建议组织仅从受信任的官方来源下载软件和软件包，使用由其Linux发行版提供的信誉良好的存储库或经过验证的第三方来源，这些存储库在安全方面享有盛誉。 管理员还应该通过将 Linux 内核配置为仅加载已签名的模块来启用内核模块签名验证。确保只有来自可信来源的具有有效数字签名的模块才能加载。 管理员可以采取的其他安全措施来避免泄露，包括监控系统和网络日志（定期检查它们是否存在任何可疑活动），以及定期进行安全审计。   转自会杀毒的单反狗，原文链接https://mp.weixin.qq.com/s/TzQruqHrimGsDvjtpcaBAQ 封面来源于网络，如有侵权请联系删除

英国政府周四指责俄罗斯联邦安全局（FSB）的一个部门利用网络攻击进行“持续但不成功”的攻击活动，破坏该国民主制度。 部长利奥·多赫蒂在向下议院发表的一份声明中表示，已传唤俄罗斯大使，以便政府提出这一问题，并强调政治干预是不可接受的。 自 2015 年以来，英国数百人的个人电子邮件帐户（包括来自多个政党的知名政客）已成为该活动的目标，据报道，其中包括 2019 年时任贸易部长利亚姆·福克斯 (Liam Fox) 的帐户。 英国政府正式将这些黑客攻击背后的组织归咎于FSB 18 中心的官员，该组织已被Calisto、COLDRIVER或Star Blizzard/SEABORGIUM等多家公司追踪。 周四上午，英国任命鲁斯兰·佩雷蒂亚特科 (Ruslan Peretyatko) 为 FSB Center 18 的官员之一，同时任命安德鲁·科里内茨 (Andrew Korinets) 为卡里斯托组织 (Callisto Group) 的成员，并将两人添加到其网络制裁名单中。 詹姆斯·巴贝奇表示：“今天宣布的制裁是国家犯罪局经过漫长而复杂的调查的结果，表明敌对的俄罗斯黑客组织是旨在破坏英国的反复、有针对性的攻击的幕后黑手。” “这一行动向针对英国的犯罪分子发出了明确的信息，无论他们身在何处；我们知道他们是谁，他们无法免受我们行动的影响，我们不会停止扰乱他们的努力。”NCA 威胁总干事补充道。 预计美国和欧盟将于周四晚些时候发表支持声明。 除了英国的声明之外，微软还发布了一篇博客文章，详细介绍了该组织的活动，并警告“该组织继续改进他们的间谍手段以逃避检测。” FSB Center 18 的官员此前在美国被指控招募犯罪黑客来攻击雅虎和谷歌运营的电子邮件服务。 据美国称，在那一事件中，目标“符合俄罗斯联邦安全局的预期利益”，其中包括“属于俄罗斯记者的个人账户；俄罗斯和美国政府官员；俄罗斯一家著名网络安全公司的员工；以及其他提供商的众多员工，他们的网络被共谋者试图利用。” 在利亚姆·福克斯的案例中，FSB 有选择地泄露并放大了这些被盗信息，这些信息随后在英国 2019 年大选期间被反对党领袖杰里米·科尔宾引用。 “俄罗斯干涉英国政治的企图是完全不可接受的，并且试图威胁我们的民主进程。尽管他们一再努力，但还是失败了。”英国外交大臣戴维·卡梅伦说。 英国政府此前曾指责俄罗斯试图“通过在网上放大非法获取和泄露的政府文件”来干预 2019 年大选。 当时，俄罗斯政府也被指控试图干涉美国和法国的选举，但俄罗斯政府否认了英国的指控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/kDUGkz0_P59WNMjZ-rEFxw 封面来源于网络，如有侵权请联系删除

Forescout Vedere Labs 的安全研究人员在加拿大Sierra Wireless公司的OT / IoT路由器中发现了 一组 21 个漏洞，这些漏洞可能导致远程代码执行、未经授权的访问、跨站点脚本编写、身份验证绕过和拒绝服务攻击。 这些缺陷影响专有的 AirLink 路由器和开源组件，例如 TinyXML 和 OpenNDS。AirLink 路由器广泛应用于工业和关键任务应用，提供高性能和多网络连接。它们广泛应用于政府系统、紧急服务、能源、交通、供水和废水系统、制造和医疗保健。 专家发现的最重要的漏洞有以下 9 个： CVE-2023-41101（OpenDNS 中的远程代码执行，CVSS 评分 9.6） CVE-2023-38316（OpenDNS 中的远程代码执行，CVSS 评分 8.8） CVE-2023-40463（ALEOS 未经授权的访问，CVSS 评分 8.1） CVE-2023-40464（ALEOS 未经授权的访问，CVSS 评分 8.1） CVE-2023-40461（ACEmanager 中的跨站点脚本，CVSS 评分 8.1） CVE-2023-40458（ACEmanager 中的拒绝服务，CVSS 评分 7.5） CVE-2023-40459（ACEmanager 中的拒绝服务，CVSS 评分 7.5） CVE-2023-40462（ACEmanager 中的拒绝服务，与 TinyXML 相关，CVSS 评分 7.5） CVE-2023-40460（ACEmanager 中的跨站点脚本，CVSS 评分 7.1） 对于上面列出的至少五个漏洞，攻击者不需要身份验证即可成功利用它们。 研究人员表示，攻击者可以利用其中一些漏洞来完全控制关键基础设施中的 OT/IoT 路由器。可能会导致网络中断、允许间谍活动或转移到更敏感的资产并引入恶意软件。 AirLink的内置操作系统ALEOS需要尽快更新到4.17.0版本。OpenNDS项目也发布了安全更新，因此该软件也需要更新到版本10.1.3。而 TinyXML 是容错软件，因此不会发布 CVE-2023-40462 的修复程序。 Forescout 还建议采取以下额外步骤来增强保护： 更改 Sierra 无线路由器和类似设备上的默认 SSL 证书； 禁用或限制离线门户、Telnet 和 SSH 等非必要服务； 实施 Web 应用程序防火墙以保护 OT/IoT 路由器免受 Web 漏洞的影响； 配置IDS来监控外部和内部网络流量是否存在安全违规。 有关所有漏洞和攻击原理的更多信息可以在 该公司的技术报告中找到 。同时发现如此大量的漏洞凸显了所有行业（包括关键行业）所使用的网络基础设施的 脆弱性。 为了保护自己免受黑客的攻击，您需要尽一切努力全面加强组织的安全性。   转自安全客，原文链接https://www.anquanke.com/post/id/291711 封面来源于网络，如有侵权请联系删除

ESET警告自 2023年初以来不断蔓延的欺诈性 Android借贷应用程序的危险。这些应用程序冒充合法的借贷服务，承诺快速、轻松地获得资金。但实际上，它们的目的是通过提供高息贷款并收集受害者的个人和财务数据来欺骗用户，以勒索和提取资金。ESET 将这套应用程序命名为 SpyLoan，反映了它们的间谍性质与贷款优惠相结合。 SpyLoan 应用程序向用户请求各种机密信息并将其传输到攻击者服务器。然后，这些数据被用来向用户施压和勒索，包括在未提供贷款的情况下。自 2023 年初以来，此类应用程序在非官方应用商店、 Google Play 和网站中显着增加。申请的主要目标是东南亚、非洲和拉丁美洲的潜在借款人。 作为 Google 应用防御联盟合作伙伴，ESET 识别出 18 个 SpyLoan 应用程序并向 Google 报告，之后其中 17 个应用程序已从平台上删除。在被删除之前，这些应用程序已从 Google Play 下载了超过 1200 万次。 安装 SpyLoan 应用程序的用户会受到运营商的威胁和勒索，即使用户没有申请贷款或申请被拒绝。Facebook 和Google Play上对此类应用程序的评论描述了压力和威胁的案例，包括对生命的威胁。除了数据收集和勒索之外，这些应用程序还对贷款收取过高的利率，这在某些宗教文本中尤其令人反感，并受到法律监管，以保护借款人免受此类有害行为的侵害。 为了保护自己免受欺诈性贷款申请的侵害，建议从官方来源下载程序并使用可靠的 Android 安全应用程序，这将有助于识别潜在的恶意应用程序。在安装应用程序之前仔细研究应用程序的用户评论和隐私政策也很重要。   转自安全客，原文链接https://www.anquanke.com/post/id/291713 封面来源于网络，如有侵权请联系删除

最近发现黑客找到了一种使用第三方键盘绕过 iPhone 安全性的方法。根据 Certo Software 的 Russell Kent-Payne 的一份报告，攻击者正在使用这些键盘记录私人消息、浏览器历史记录，甚至 iPhone 用户密码。 在许多有关网络跟踪的报道之后，开始对此威胁进行研究。在调查过程中，发现所有受影响的设备都安装了恶意键盘。 左侧为默认的 iOS 键盘，右侧为用作键盘记录器的自定义键盘 这种攻击的特殊之处在于，黑客不需要破解设备或获取 iCloud 的访问权限。相反，他们使用苹果的 TestFlight 平台来分发键盘，因为该平台上的应用程序不会像 App Store 上的应用程序那样经过严格的安全审查。 通过设备设置安装恶意键盘后，黑客将标准的iPhone键盘替换为自己的键盘，与原来的键盘没有区别。这样的键盘可以记录用户输入的所有内容并将数据发送到黑客的服务器。 如何检查和保护 要检查 iPhone 是否安装了恶意键盘，先打开“设置”，转到“键盘”，然后检查已安装键盘的列表。如果发现启用了完全控制权限的陌生键盘，建议删除可疑键盘。 还值得考虑使用 Mac 防病毒软件，它可以扫描的 iPhone 或 iPad 是否存在恶意软件，但需要通过 USB 连接到Mac。目前，苹果尚未对这种攻击方法发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291678 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，IT 服务和商业咨询公司 HTC Global services 在 ALPPV 勒索软件团伙泄露被盗数据截图后，才证实了其遭到网络攻击。HTC Global Services 是一家管理服务提供商，主要为医疗保健、汽车、制造和金融行业提供技术和业务服务。 ALPPV 勒索软件团伙发布被盗数据截图后，HTC Global Services 没有立刻在公司网站上发布安全声明，但在其 X 上发布了一则简短公告，确认了自身遭到了网络攻击，推文如下： 我们的团队一直在积极调查和处理这一情况，以确保用户数据的安全性和完整性。目前，公司已经邀请了网络安全专家，正在努力解决安全问题，您的信任是公司的首要任务。 从 ALPHV (BlackCat) 勒索软件团伙在其数据泄露网站上列出的截图来看，被盗的数据包括护照、联系人名单、电子邮件和一些机密文件。 ALPHV 数据泄漏网站上列出的 HTC Global Services 被盗数据 目前来看，虽然有关 HTC Global Services 遭受网络攻击的详细信息很少，但网络安全专家凯文-博蒙特（Kevin Beaumont）认为，网络攻击者是利用 Citrix Bleed 漏洞入侵了该公司。博蒙特指出，HTC Global Services 的一个业务部门 CareTech 操作着一个易受攻击的 Citrix Netscaler 设备，该设备可能被网络攻击者利用，以此对公司网络进行初始访问。 数据被盗事件发生后，Bleeping Computer 联系了 HTC Global Services，以期询问有关此次攻击以及他们是否被 Citrix Bleed 入侵的问题，但没有立即得到回复。 ALPHV 勒索软件正在疯狂“收割”受害者 2021 年 11 月，ALPHV/BlackCat 勒索软件开始活跃在互联网空间，据信是 DarkSide 和 BlackMatter 勒索软件的“品牌重塑”。（DarkSide 勒索软件组织在遭到国际执法机构“打压”后，于 2021 年 7 月再次改名为 BlackMatter，但在 2021 年 11 月，执法当局查封了他们的服务器，安全公司 Emsisoft 利用勒索软件漏洞创建了解密程序，至此，这伙网络犯罪分子慢慢销声匿迹了） 最近一次网络攻击事件中，一个被追踪为 Scattered Spider 的“英语联盟”组织声称对美高梅娱乐平台的攻击负责，并称他们在攻击中加密了 100 多个 ESXi 虚拟机管理程序。 本周，一名 ALPHV 附属公司声称从 Tipalti 窃取了数据，并表示已开始对受影响的公司进行单独勒索。不仅如此，该组织最近还攻击了一家公有电力供应商和一家医院的网络，这两家公司在美国都被列为了关键基础设施。   转自Freebuf，原文链接：https://www.freebuf.com/news/385813.html 封面来源于网络，如有侵权请联系删除

ophos 和 ReversingLabs 周一发布了 SoReL-20M，这是一个包含 2000 万个 Windows 可移植可执行文件的数据库，其中包括 1000 万个恶意软件样本。 该数据库旨在推动整个行业的安全改进，提供其中文件的元数据、标签和功能，并使感兴趣的各方能够下载可用的恶意软件样本以进行进一步研究。 该可公开访问的数据集包含一组精选和标记的样本以及相关元数据，预计将有助于加速恶意软件检测的机器学习研究。 Sophos 认为，虽然机器学习模型是建立在数据基础上的，但安全领域缺乏一个标准的、大规模的数据集，所有类型的用户（从独立研究人员到实验室和企业）都可以轻松访问，这迄今为止已经减慢了进展速度。 “获取大量精选的、标记的样本既昂贵又具有挑战性，而且由于知识产权问题以及向未知第三方提供恶意软件的风险，共享数据集通常很困难。因此，大多数已发表的有关恶意软件检测的论文都是在私人内部数据集上进行的，其结果无法直接相互比较，”该公司表示。 SoReL-20M 数据集是一个生产规模的数据集，涵盖 2000 万个样本，其中包括 1000 万个已解除武装的恶意软件，旨在解决该问题。 对于每个样本，数据集包含基于 EMBER 2.0 数据集提取的特征、标签、检测元数据以及所包含恶意软件样本的完整二进制文件。 此外，还提供了已对此数据进行训练作为基线的 PyTorch 和 LightGBM 模型，以及加载和迭代数据以及加载、训练和测试模型所需的脚本。 Sophos表示，鉴于所发布的恶意软件已被解除武装，因此需要“知识、技能和时间来重新构建”并运行。 该公司确实承认，熟练的攻击者有可能从这些样本中学习或使用它们来创建攻击工具，但认为“攻击者已经可以利用许多其他来源来更容易地访问恶意软件信息和样本，使用起来更快、更经济。” 因此，该公司认为，解除武装的样本对于寻求推进独立防御的安全研究人员来说更有价值。 被禁用的恶意软件样本已经存在了一段时间，预计将重新调用已拆除的基础设施。此外，它们应该被大多数防病毒供应商检测到。随着元数据与样本一起发布，检测有望得到改善。 “作为一个行业，我们知道恶意软件不仅限于 Windows 甚至可执行文件，这就是为什么研究人员和安全团队总是需要更多数据，”ReversingLabs 声称提供了超过 120 亿个好软件和恶意软件文件。   转自安全客，原文链接：https://www.anquanke.com/post/id/291626 封面来源于网络，如有侵权请联系删除

Promon 发现了名为 FjordPhantom 的新Android 恶意软件。该病毒使用独特的虚拟化策略，通过在特殊容器中运行恶意代码来逃避检测。 FjordPhantom 攻击的本质是邀请受害者下载模仿真实银行应用程序的虚假银行应用程序。事实上，这些应用程序包含在虚拟环境中运行的恶意代码，以破坏真实的银行应用程序。感染的主要目标是窃取网上银行凭证并操纵帐户交易。 峡湾幻影袭击 该恶意软件通过电子邮件、短信和即时通讯工具进行传播，在印度尼西亚、泰国、越南、新加坡和马来西亚等东南亚国家进行了攻击。值得注意的是，FjordPhantom 的一次使用导致受害者被盗 28 万美元，这是由于恶意软件的规避性质和以“银行客户服务代表”电话形式进行的社会工程相结合而造成的。 该恶意软件使用虚拟化在受害者的设备上创建虚拟容器，而用户不会有任何怀疑。恶意代码与真实的银行应用程序一起在容器内运行，使其能够操纵数据并拦截敏感信息。 尤其令人不安的是，FjordPhantom 违反了 Android 沙盒这一核心安全概念，该概念旨在阻止应用程序相互通信。这使得攻击特别危险，因为银行应用程序代码不会发生更改，并且传统的恶意软件检测方法无能为力。 此外，FjordPhantom 能够阻止与 GooglePlayServices 相关的功能，从而使根安全检查难以检测。该恶意软件还能够拦截日志数据，这可能表明该恶意软件正在积极开发和改进，以针对其他应用程序进行有针对性的攻击。Promon 警告说，鉴于 FjordPhantom 的积极开发，该恶意软件未来可能会扩大其影响范围到新的国家和目标。   转自安全客，原文链接：https://www.anquanke.com/post/id/291615 封面来源于网络，如有侵权请联系删除