权威政府和犯罪团伙正在争先恐后地利用人工智能增添其网络攻击的能力，这些攻击可能会打开守护我们最敏感机密和最重要基础设施的大门–这将增加医院、学校、城市和企业的危险，因为它们已经经常成为黑客欺诈性电子邮件的牺牲品，而黑客还会继续制造混乱。 随着技术的不断发展，人们越来越担心大型语言模型（LLM）（如 ChatGPT）被用于犯罪目的的可能性。人工智能将大大提高网络钓鱼邮件的成功率，这是黑客入侵人们的计算机、电子邮件账户和公司服务器的最具破坏性的有效技术。目前，90% 以上的网络攻击都是从网络钓鱼信息开始的，它们伪装成来自朋友、家人或商业伙伴的合法通信，诱骗人们在虚假登录页面上输入密码或下载恶意软件，从而窃取数据或监视他们。通过利用人工智能的文本生成和数据分析能力，黑客将能够发送更有说服力的网络钓鱼信息，诱骗更多受害者，造成难以计数的损失。 地下社区对 LLM 抱有极大的兴趣，恶意 LLM 产品也将随之出现。一个名为 last/laste 的未知开发者创建了自己的 ChatGPT LLM 聊天机器人，旨在帮助网络犯罪分子： WormGPT。WormGPT 诞生于 2021 年 3 月，直到 6 月，开发者才开始在一个流行的黑客论坛上出售该平台的访问权限。与 ChatGPT 等主流 LLM 不同，这个黑客聊天机器人没有任何限制，无法回答有关非法活动的问题。聊天机器人的创建平台是 2021 年推出的相对过时的开源大型 GPT-J 语言模型。聊天机器人接受了恶意软件开发相关材料的培训，这就是 WormGPT 的诞生过程。开发人员估计，访问 WormGPT 的费用为每月 60 欧元至 100 欧元，或每年 550 欧元。 专家认为，俄罗斯等威权国家正在研究人工智能的恶意用途，包括用于网络钓鱼。而在地下犯罪组织中，有才华的开发者已经在构建和出售定制人工智能平台的访问权限，如 WormGPT（可生成令人信服的网络钓鱼信息）和 FraudGPT（可创建虚假网站以支持网络钓鱼活动）。 网络公司 Trustwave 高级安全研究经理菲尔-海伊（Phil Hay）说：”我们完全可以预见，攻击者将越来越多地利用人工智能来创建他们的网络钓鱼活动。” 网络钓鱼领域这场迫在眉睫的革命–由同样的技术驱动–已经让用户眼花缭乱，因为这种技术能够在几秒钟内撰写论文并制作出假肖像–让一些网络安全专家感到震惊，他们担心即将出现的恶意信息会过于复杂，大多数人都无法识别。 联邦网络安全和基础设施安全局网络部门前负责人布赖恩-瓦尔（Bryan Ware）说：”如果人工智能像我们现在谈论的那样起飞，那么网络钓鱼的企图将变得越来越严重，越来越难以防范，也越来越难以发现。” 如果犯罪分子拥有自己的类似 ChatGPT 的工具，那么对网络安全、社交工程和整体数字安全的影响将是巨大的。这一前景凸显了我们在努力确保人工智能技术安全和负责任地开发人工智能技术时保持警惕的重要性，以降低潜在风险并防止滥用。   转自cnBeta，原文链接：https://www.toutiao.com/article/7296204950428844556/?log_from=597bea4fc1349_1698917745375 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。 在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。 亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。 研究人员注意到，该恶意软件是一个x64 ELF可执行文件，缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的，文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹，但是，当以root权限运行时，Wiper可能会破坏整个操作系统。 在执行过程中，它会产生大量输出，可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件，从而提高了速度和覆盖范围。它的操作包括覆盖文件，用包含“BiBi”的随机字符串重命名文件，以及排除某些文件类型的损坏。 恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到，它没有使用C2服务器，在这种情况下，BiBi-Linux的Wiper也被用来破坏数据。 在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的，但当它与中东政治等话题混合在一起时，具有重要意义，因为它是以色列总理 Benjamin Netanyahu 的常用昵称。 一旦执行，恶意软件产生大量输出，在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题，这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止，即使控制台处于关闭状态。 为了加速感染过程，该威胁利用多个线程，并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件，大大提高了总体攻击的范围和速度。       Hackernews 编译，转载请注明出处 消息来源：Securityaffairs，译者：Serene

一个名为StripedFly的复杂跨平台恶意软件在网络安全研究人员的眼皮底下活跃了五年，在此期间感染了超过一百万个Windows和Linux系统。 卡巴斯基去年发现StripedFly恶意软件框架的真实意图，发现其从2017年开始活动的证据，该恶意软件被世界各地的安全研究人员错误地归类为门罗币挖矿木马。 分析师将StripedFly描述为令人印象深刻，具有复杂的基于TOR的流量隐藏机制，来自受信任平台的自动更新，类似蠕虫的传播功能，以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞。 虽然目前还不清楚这种恶意软件框架是否被用于创收或网络间谍活动，但卡巴斯基表示，其复杂性表明这是一种APT（高级持续威胁）恶意软件。 根据恶意软件的编译器时间戳，已知最早的具有 EternalBlue 漏洞利用的 StripedFly 版本可追溯到 2016 年 4 月，而影子经纪人组织的公开泄密发生在 2016 年 8 月。 超过一百万个系统被StripedFly感染 StripedFly恶意软件框架是在卡巴斯基发现该平台的shellcode注入到WININI.EXE T进程中后首次发现的，WININIT进程是一个合法的Windows操作系统进程，用于处理各种子系统的初始化。 在调查了注入的代码后，他们确定它从Bitbucket，GitHub和GitLab等合法托管服务（包括PowerShell脚本）下载并执行其他文件，例如PowerShell脚本。 进一步的调查表明，受感染的设备可能首先使用针对互联网暴露计算机的自定义EternalBlue SMBv1漏洞进行破坏。 最终的StripedFly有效载荷（system.img）具有定制的轻量级TOR网络客户端，以保护其网络通信免受拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。 该恶意软件的命令和控制 （C2） 服务器位于 TOR 网络上，与其通信涉及包含受害者唯一 ID 的频繁信标消息。 StripedFly的感染链（卡巴斯基） 为了在Windows系统上实现持久性，StripedFly会根据其运行的特权级别和PowerShell的存在来调整其行为。 如果没有PowerShell，它会在%APPDATA%目录中生成一个隐藏文件。在PowerShell可用的情况下，它会行用于创建计划任务或修改Windows注册表项的脚本。 在 Windows 系统上提供最后阶段有效负载的 Bitbucket 存储库表明，在 2023 年 4 月至 2023 年 9 月期间，已有近 60,000 次系统感染。 据估计，自 2022 年 2 月以来，StripedFly 至少感染了 220,000 个 Windows 系统，但该日期之前的统计数据不可用，该存储库是在 2018 年创建的。 自 2023 年 4 月以来的有效负载下载计数（卡巴斯基） 卡巴斯基估计有超过100万台设备受到StripedFly框架的感染。 恶意软件模块 该恶意软件作为具有可插拔插件模块的二进制可执行文件运行，使其具备与 APT 操作相关的各项功能。 以下是卡巴斯基报告中StripedFly模块的摘要： 配置存储：存储加密的恶意软件配置。 升级/卸载：根据 C2     服务器命令管理更新或删除。 反向代理：允许在受害者的网络上进行远程操作。 杂项命令处理程序：执行各种命令，如屏幕截图捕获和Shell代码执行。 凭据收集器：扫描并收集敏感的用户数据，如密码和用户名。 可重复任务：在特定条件下执行特定任务，例如麦克风录音。 侦察模块：将详细的系统信息发送到 C2     服务器。 SSH 感染者：使用收集的 SSH     凭据渗透其他系统。 SMBv1 感染者：使用自定义的     EternalBlue 漏洞感染其他 Windows 系统。 门罗币挖矿模块：在伪装成“chrome.exe”时进行门罗币挖矿。 门罗币挖矿模块的存在被认为是一种转移视线掩盖意图的尝试，攻击者的真正目标是数据盗窃和由其他模块促进的系统利用。 “该恶意软件框架的有效载荷包含多个模块，使攻击者能够作为APT武器，加密矿工，甚至勒索软件组执行。”卡巴斯基的报告中写道。 卡巴斯基专家强调，该恶意软件框架具有挖矿模块是使其能够长时间隐藏在安全研究者的视线之外的主要因素。 完整的技术报告可参考：https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/KyBtf3RdPuAtsBdI8tD2Ew 封面来源于网络，如有侵权请联系删除

eSentire 研究人员设计了一种名为 Wiki-Slack 攻击的新攻击技术，可用于将业务专业人员重定向到恶意网站。 eSentire 威胁响应单元 (TRU) 安全研究人员发现了一种名为 Wiki-Slack 攻击的新攻击技术，可用于将业务专业人员重定向到恶意网站。 攻击者在维基百科中选择潜在受害者可能感兴趣的主题，然后他们将转到维基百科条目的第一页并编辑该页面。技巧包括在条目中添加合法的引用脚注。当文章在 Slack 上共享时，脚注可以为格式错误做好准备。一旦满足某些附加条件（通过对维基百科文章进行小的语法更改即可轻松实现），Slack 将呈现原始维基百科文章中不可见的链接。 研究人员指出，脚注本身并无恶意，但在某些附加条件下，由于维基百科文章的语法发生微小变化，Slack 会呈现原始维基百科文章中不可见的链接。 “一旦商业专业人士将维基百科条目复制并粘贴到 Slack 频道中，就会呈现恶意链接。如果链接的语法设计得足够好，Slack 用户就会被吸引点击它，从而将他们引导至攻击者控制的网站，其中基于浏览器的恶意软件就在那里等待。” 阅读eSentire 发表的帖子。 必须满足的三个条件是： 维基百科链接必须在第一段末尾包含引用。 维基百科文章第二段的第一个单词必须是顶级域名 (TLD)，例如 in、at、com、net、us 等。 上述两个条件必须出现在维基百科文章的前100个字中。 这导致 Slack 对第一段和第二段之间的间距处理不当，导致在 Slack 中创建新链接。 研究人员发现了 1000 多个这种无意制造的实例。 eSentire进一步阐述，攻击者可以利用维基百科的统计数据来选择产生大量流量的页面，并利用它们通过Wiki-Slack技术发起攻击。 研究人员解释说，Wiki-Slack 攻击是一场数字游戏，因此，利用 ChatGPT 或类似的大型语言模型 (LLM)，攻击者可以在短时间内扩大攻击范围。 建议组织对可能导致恶意软件感染的基于浏览器的攻击保持警惕。采用端点监控并在流程中构建网络弹性可以让组织限制遭受此类攻击的风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/291145 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一组新的恶意软件包，这些软件包使用一种鲜为人知的恶意软件部署方法发布到 NuGet 软件包管理器上。 软件供应链安全公司 ReversingLabs 称，该活动自 2023 年 8 月 1 日以来一直在持续进行，同时将其与大量流氓 NuGet 软件包联系起来，这些软件包被观察到正在传播一种名为 SeroXen RAT 的远程访问木马。 ReversingLabs 的反向工程师 Karlo Zanki 在一份报告中说：幕后的威胁行为者执着地希望将恶意软件植入 NuGet 存储库，并不断发布新的恶意软件包。 部分软件包的名称如下 Pathoschild.Stardew.Mod.Build.Config KucoinExchange.Net Kraken.Exchange DiscordsRpc SolanaWallet Monero Modern.Winform.UI MinecraftPocket.Server IAmRoot ZendeskApi.Client.V2 Betalgo.Open.AI Forge.Open.AI Pathoschild.Stardew.Mod.BuildConfig CData.NetSuite.Net.Framework CData.Salesforce.Net.Framework CData.Snowflake.API 这些软件包跨越多个版本，模仿流行软件包并利用 NuGet 的 MSBuild 集成功能植入恶意代码，以实现代码执行。 恶意 NuGet 软件包 Zanki说：这是第一个已知的利用内联任务功能在NuGet软件库中发布恶意软件并执行的例子。 现在被删除的软件包表现出了类似的特征，即幕后的威胁者试图利用空格和制表符来隐藏恶意代码，使其脱离默认屏幕宽度的视野。 正如 Phylum 此前披露的那样，这些软件包还人为刷大了下载次数，使其看起来更合法。Zanki 说：这一活动背后的威胁行为者非常谨慎，注重细节，并决心让这一恶意活动保持活跃。   转自Freebuf，原文链接：https://www.freebuf.com/news/382444.html 封面来源于网络，如有侵权请联系删除

近日，由40个国家组成的联盟组织在华盛顿举行的第三届国际反勒索软件倡议年度峰会上签署了一份承诺书，表示将停止向网络犯罪集团支付赎金。 本周一（10月30日），白宫网络和新兴技术负责人、副国家安全顾问Anne Neuberger在答记者问时称：在近年来频发的勒索事件中，几乎有46%的事件都将美国视为勒索的主要目标。此次国家联盟的举动也是为了能更好地应对全球勒索软件风险。 据路透社报道，从本周三（11月1日）开始，峰会期间的国际讨论还将聚焦于如何阻止勒索组织资金运营策略等内容。 Neuberger表示，勒索软件是一个无国界的问题，无论勒索软件犯罪分子从哪一方拿到赎金，都会让遏制勒索软件这件事变得更困难。我们希望从勒索软件的源头——资金来源入手，共同打击勒索软件。 据《信使报》报道，一位高级政府官员在回答有关反勒索软件小组工作的问题时提到：此次签署承诺书对于解决勒索软件问题算是迈出了一大步。 据Neuberger称，虽然来自 48 个国家、欧盟和国际刑警组织的代表将出席本周的反勒索软件倡议峰会，但目前反勒索软件声明全员签署的任务并未实现。 他认为勒索软件是一个无国界的问题，因为无论勒索软件犯罪分子从哪一方获取到资金，其就能持续运营下去。想要遏制勒索软件这件事就会越来越困难。我们希望从勒索软件的源头，也就是其资金来源入手，共同打击勒索软件。 据《信使报》报道，一位高级政府官员在回答有关反勒索软件小组工作的问题时补充说：此次40国联盟计划签署承诺这件事对于打击勒索软件来说，已经迈出了一大步。我们仍在努力，尽量让每一个成员国都签字，现已基本完成了，这很令人开心。 据 Neuberger 称，虽然来自 48 个国家、欧盟和国际刑警组织的代表将出席本周的反勒索软件倡议峰会，但并非所有国家都已确认将签署本周的反勒索软件声明。 勒索软件记录 今年8月，勒索事件发生次数增速放缓，然而今年9月数据激增，一度超过了以往的同时期数据。据NCC Group 的数据显示，今年9 月共发生了 514 起勒索软件攻击事件，超过了 2023 年 3 月 Clop’s Fortra GoAnywhere 数据盗窃事件后的 459 起的数据。 从地域上看，北美发生的勒索事件最多，占比 50%，其次是欧洲，占 30%，亚洲排名第三，占 9%。 在过去两年间，包括黑山、智利和百慕大在内的多个国家政府在关键基础设施和政府实体遭受勒索软件攻击后受到严重影响。 2022 年 5 月，哥斯达黎加在遭遇 Conti 勒索软件攻击后被迫宣布全国进入紧急状态。 2021 年 10 月，白宫国家安全委员会促成了首届反勒索软件倡议峰会，会上有 31 个国家义正言辞地表示要加大力度整治勒索软件。据统计，勒索赎金仅在短短两年内时间就达到近 5 亿美元，其中2020 年为 4 亿美元，2021 年第一季度超过 8000 万美元。 同月，美国财政部金融犯罪执法网络（FinCEN）表示，有约 52 亿美元的比特币交易也与勒索事件赎金有所关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/382416.html 封面来源于网络，如有侵权请联系删除

一种名为 BiBi-Linux 的新型恶意软件擦除器正在用于销毁针对以色列公司 Linux 系统的攻击中的数据。 Security Joes 的事件响应团队在调查以色列组织网络的入侵事件时发现了恶意负载。据 VirusTotal 称，目前，只有两家安全供应商的恶意软件扫描引擎将 BiBi-Linux检测为恶意软件。 该恶意软件通过不发送勒索信息或为受害者提供联系攻击者协商解密器付款的方式来揭示其真实本质，即使它伪造了文件加密， 安全乔斯表示：“这种新威胁不会与远程命令与控制 (C2) 服务器建立通信以进行数据泄露，也不会采用可逆加密算法，也不会留下勒索字条作为强迫受害者付款的手段。” “相反，它通过用无用的数据覆盖文件来进行文件损坏，从而损坏数据和操作系统。” 在受害者系统上发现的有效负载（名为 bibi-linux.out 的 x64 ELF 可执行文件）允许攻击者通过命令行参数选择要加密的文件夹。 如果攻击者不提供目标路径，当以 root 权限运行时，它可以完全擦除受感染设备的操作系统，因为它会尝试删除整个“/”根目录。 BiBi-Linux擦拭器加密文件(BleepingComputer) BiBi-Linux 使用多线程和队列系统来提高速度和效率。它将覆盖文件内容以销毁它们，使用赎金名称和由“BiBi”字符串组成的扩展名（Bibi 是以色列总理本杰明·内塔尼亚胡的昵称）后跟一个数字来重命名它们。 正如 BleepingComputer 所见，附加到扩展名的数字是文件已被擦除的轮数。Security Joes 发现的擦除器样本也没有混淆、打包或其他保护措施，这使得恶意软件分析师的工作变得更加容易。这表明威胁行为者并不关心他们的工具被捕获和剖析，而是专注于最大化他们的攻击影响。 自 2022 年 2 月俄乌问题爆发以来，俄罗斯威胁组织还广泛使用破坏性恶意软件来攻击乌克兰组织的系统。 用于针对乌克兰的擦除器恶意软件列表包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、CaddyWiper和AcidRain 等。 例如，俄罗斯 Sandworm 军事黑客一月份在该国国家通讯社 (Ukrinform) 的网络上部署了五种不同的数据擦除恶意软件。     转自安全客，原文链接：https://www.anquanke.com/post/id/291122 封面来源于网络，如有侵权请联系删除

国家安全部官微10月27日发布《警惕！一些境外SDK背后的“数据间谍”窃密》一文，具体内容如下。 你知道SDK是什么吗？SDK是英文Software Development Kit的缩写，即软件开发工具包，它的类型多种多样。如果把开发一个软件系统比作盖一所“三室一厅”的房子，那么不同的SDK就是这套房子的“客厅”“卧室”“卫生间”“厨房”等功能模块。盖好这套房子，我们只需要从不同的供应商那里选择这个功能模块拼装即可，而不再需要从“砌砖”“垒墙”做起，从而极大提高了软件开发的效率。近年来，国家安全机关工作发现，境外一些别有用心的组织和人员，正在通过SDK搜集我用户数据和个人信息，给我国家安全造成了一定风险隐患。 SDK带来哪些数据安全问题 当前，SDK以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务，与此同时也带来诸多数据安全问题。 ——过度收集用户数据。有些SDK会收集与提供服务无关的个人信息，或强制申请非必要的使用权限，比如获取地理位置、通话记录、相册照片等信息以及拍照、录音等功能。当SDK的用户覆盖量达到一定规模时，可以通过搜集的大量数据，对不同用户群体进行画像侧写，从而分析出潜在的有用信息，比如同事关系、单位位置、行为习惯等。一些境外SDK服务商，通过向开发者提供免费服务，甚至向开发者付费等方式来获取数据。据相关网站披露，一款在美国拥有5万日活跃用户的应用程序，其开发者通过使用某SDK，每月可以获得1500美元的收入。作为回报，该SDK服务商可以从这款应用程序中收集用户的位置数据。 SDK搜集个人信息类型 ——境外情报机构将SDK作为搜集数据的重要渠道。据报道，美国特种作战司令部曾向美国SDK服务商Anomaly Six购置了“商业遥测数据源”的访问服务，而该服务商曾自称将SDK软件植入全球超过500款应用中，可以监控全球大约30亿部手机的位置信息。2022年4月，有关媒体曝光巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式，将其SDK代码整合到应用程序中，秘密地从数百万台移动设备上收集数据，而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。 《华尔街日报》：美国政府承包商在多个手机APP中嵌入跟踪软件 消除SDK背后的数据风险我们应该怎么做 据国内权威机构掌握，截至2022年12月，我国10万个头部应用中，共检测出2.3万余例样本使用境外SDK，使用境外SDK应用的境内终端约有3.8亿台。对此，我们又应该做些什么呢？ SDK申请收集用户信息占比 ——应用程序开发企业：应尽量选择接入经过备案认证的SDK，引入境外SDK前应做好安全检测和风险评估，深入了解SDK的隐私政策，并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对，并持续监测SDK是否有异常行为。 ——个人用户：个人用户在使用手机应用程序时，要增强个人信息保护意识及安全使用技能，要选择安全可靠的渠道下载使用应用程序，不安装来路不明的应用，不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时，需要保持高度警惕。   转自国家安全部，原文链接：https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg 封面来源于网络，如有侵权请联系删除

被称为Tortoiseshell的伊朗威胁发起者被归因于新一波水坑攻击，这些攻击旨在部署名为 IMAPLoader 的恶意软件。 普华永道威胁情报在周三的分析中表示：“IMAPLoader 是一种 .NET 恶意软件，能够使用本机 Windows 实用程序对受害者系统进行指纹识别，并充当进一步有效负载的下载程序。” “它使用电子邮件作为[命令和控制]渠道，能够执行从电子邮件附件中提取的有效负载，并通过新服务部署来执行。” Tortoiseshell 至少自 2018 年以来一直活跃，有利用战略性网站入侵作为促进恶意软件传播的策略的历史。今年 5 月初，ClearSky将该组织与以色列航运、物流和金融服务公司相关的 8 个网站的入侵联系起来。 该威胁行为者与伊斯兰革命卫队 ( IRGC )结盟，并被更广泛的网络安全社区以 Crimson Sandstorm（以前称为 Curium）、Imperial Kitten、TA456 和 Yellow Liderc 等名称进行追踪。 2022 年至 2023 年之间的最新一组攻击需要在受感染的合法网站中嵌入恶意 JavaScript，以收集有关访问者的更多详细信息，包括他们的位置、设备信息和访问时间。 这些入侵主要集中在地中海的海事、航运和物流部门，在某些情况下，如果受害者被视为高价值目标，则会部署 IMAPLoader 作为后续有效负载。 据称，由于功能相似，IMAPLoader 可以替代之前在 2021 年底和 2022 年初使用的基于 Python 的 IMAP 植入 Tortoiseshell。 该恶意软件通过查询硬编码的IMAP 电子邮件帐户，特别是检查拼写错误为“Recive”的邮箱文件夹，充当下一阶段有效负载的下载程序，以从消息附件中检索可执行文件。 在替代攻击链中，Microsoft Excel 诱饵文档被用作初始向量来启动多阶段流程来交付和执行 IMAPLoader，这表明威胁行为者正在使用各种策略和技术来实现其战略目标。 普华永道表示，它还发现了 Tortoiseshell 创建的网络钓鱼网站，其中一些针对欧洲境内的旅游和酒店行业，利用虚假的微软登录页面进行凭据收集。 “这个威胁行为者仍然对许多行业和国家构成积极和持续的威胁，包括地中海的海事、航运和物流部门；美国和欧洲的核工业、航空航天和国防工业；以及中东地区的 IT 管理服务提供商东，”普华永道说。   转自安全客，原文链接：https://www.anquanke.com/post/id/291051 封面来源于网络，如有侵权请联系删除

一个名为 StripedFly 的跨平台恶意软件在网络安全研究人员的眼皮底下潜伏了 5 年，期间感染了 100 多万台 Windows 和 Linux 系统。 卡巴斯基去年发现了这个恶意框架，并找到了它从2017年开始活动的证据。 分析师表示，StripedFly拥有复杂的基于 TOR 的流量隐藏机制、来自可信平台的自动更新、蠕虫式传播能力，以及在公开披露漏洞之前创建的自定义 EternalBlue SMBv1 漏洞利用程序。 虽然目前还不清楚这个恶意软件框架是用于创收还是网络间谍活动，但卡巴斯基表示，它的复杂性表明这是一个 APT（高级持续威胁）恶意软件。 根据该恶意软件的编译器时间戳，StripedFly最早的已知版本是2016年4月，其中包含一个EternalBlue漏洞，而Shadow Brokers组织的公开泄露发生在2016年8月。 StripedFly感染超 100 万个系统 卡巴斯基首次发现StripedFly恶意软件框架是在WININIT.EXE进程中注入了该平台的shellcode之后，WININIT.EXE进程是一个合法的Windows操作系统进程，负责处理各种子系统的初始化。 在对注入的代码进行调查后，他们确定该代码会从 Bitbucket、GitHub 和 GitLab 等合法托管服务下载并执行 PowerShell 脚本等其他文件。 进一步调查显示，受感染的设备很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的，该漏洞针对的是暴露在互联网上的计算机。 StripedFly的最终有效载荷（system.img）采用了定制的轻量级TOR网络客户端，以保护其网络通信不被拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。 该恶意软件的命令和控制（C2）服务器位于 TOR 网络上，与它的通信需要频繁发送包含受害者唯一 ID 的信标信息。 StripedFly的感染链 为了在 Windows 系统上持久运行，StripedFly 会根据其运行的权限级别和 PowerShell 的存在调整其行为。 如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。在有 PowerShell 的情况下，它会执行用于创建计划任务或修改 Windows 注册表键值的脚本。 在 Linux 上，恶意软件的名称为 “sd-pam”。它使用 systemd 服务、自动启动 .desktop 文件或修改各种配置文件和启动文件来实现持久性。 在 Windows 系统上提供最后阶段有效载荷的 Bitbucket 存储库显示，从 2023 年 4 月到 2023 年 9 月，已经有近 60000 次系统感染。 据估计，自 2022 年 2 月以来，StripedFly 已感染了至少 22 万个 Windows 系统，但该日期之前的统计数据无法查明，而且该存储库创建于 2018 年。 不过，卡巴斯基估计有超过 100 万台设备感染了 StripedFly 框架。 恶意软件模块 该恶意软件以单体二进制可执行文件的形式运行，并带有可插拔模块，这使其具备了通常与 APT 行动相关的多功能操作性。 以下是卡巴斯基报告中对 StripedFly 模块的总结： 配置存储： 存储加密的恶意软件配置。 升级/卸载： 根据 C2 服务器命令管理更新或删除。 反向代理： 允许在受害者网络上进行远程操作。 杂项命令处理程序： 执行各种命令，如截图捕获和 shellcode 执行。 凭证收集器： 扫描并收集密码和用户名等敏感用户数据。 可重复任务： 在特定条件下执行特定任务，如麦克风录音。 侦察模块： 向 C2 服务器发送详细的系统信息。 SSH 感染器： 使用获取的 SSH 凭据渗透其他系统。 SMBv1 感染者： 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系统。 Monero 挖矿模块： 在伪装成 “chrome.exe “进程的同时挖掘 Monero。 卡巴斯基在报告中写道：恶意软件的有效载荷包含多个模块，使行为者能够以 APT、加密货币矿工甚至勒索软件群组的身份执行任务。 值得注意的是，该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元，而2017年的价值约为10美元。截至2023年，其价值一直维持在150美元左右。 卡巴斯基专家强调，挖矿模块是该恶意软件能够长期逃避检测的主要因素。   转自Freebuf，原文链接：https://www.freebuf.com/news/382025.html 封面来源于网络，如有侵权请联系删除