2023年6月，卡巴斯基曝光了一起高级持续威胁（APT）攻击——“三角测量行动”，攻击者秘密从受感染设备中窃取敏感信息， 近日，卡巴斯基发布报告，详细介绍了“三角测量行动”进一步的技术细节。报告指出，该攻击框架的核心是一个名为TriangleDB 的后门，该植入程序包含至少四个不同的木块，用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。 攻击者利用 CVE-2023-32434（一个可被滥用执行任意代码的内核漏洞）获得目标 iOS 设备的 root 权限后部署该后门。 现在，根据俄罗斯网络安全公司的说法，植入程序的部署之前有两个验证器阶段，即 JavaScript 验证器和二进制验证器，执行这些阶段以确定目标设备是否与研究环境无关。 卡巴斯基研究人员 Georgy Kucherin、Leonid Bezvershenko 和 Valentin Pashkov在周一发布的一份技术报告中表示：“这些验证器收集有关受害设备的各种信息，并将其发送到 C2 服务器。” “然后，这些信息将用于评估要植入 TriangleDB 的 iPhone 或 iPad 是否可能是研究设备。通过执行此类检查，攻击者可以确保他们的零日漏洞和植入物不会被烧毁。” 背景知识：攻击链的起点是受害者收到的不可见 iMessage 附件，该附件会触发零点击漏洞利用链，旨在秘密打开包含模糊 JavaScript 和加密负载的唯一 URL。 有效负载是 JavaScript 验证器，除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外，还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。 此步骤之后收集的信息将传输到远程服务器，以便接收未知的下一阶段恶意软件作为回报。在一系列未确定的步骤之后还交付了二进制验证器，这是一个执行以下操作的 Mach-O 二进制文件 ： 从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志，以清除可能被利用的痕迹 删除从 36 个不同的攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件的证据 获取设备和网络接口上运行的进程列表 检查目标设备是否越狱 开启个性化广告跟踪 收集有关设备的信息（用户名、电话号码、IMEI 和 Apple ID），以及 检索已安装应用程序的列表 研究人员表示：“这些操作的有趣之处在于，验证器同时针对 iOS 和 macOS 系统实现了它们。”他补充说，上述操作的结果会被加密并渗透到命令和控制 (C2) 服务器以获取TriangleDB 植入。 后门采取的最初步骤之一是与 C2 服务器建立通信并发送心跳，随后接收删除崩溃日志和数据库文件的命令，以掩盖取证线索并妨碍分析。 还向植入程序发出定期从 /private/var/tmp 目录中提取文件的指令，其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。 麦克风录音模块的一个显着特点是它能够在设备屏幕打开时暂停录音，表明威胁行为者在雷达下飞行的意图。 此外，位置监控模块经过精心设计，可使用 GSM 数据，例如移动国家代码 ( MCC )、移动网络代码 (MNC) 和位置区域代码 ( LAC )，在 GPS 数据不可用时对受害者的位置进行三角测量。 研究人员表示：“三角测量背后的对手非常小心地避免被发现。” “攻击者还表现出了对 iOS 内部结构的深入了解，因为他们在攻击过程中使用了未记录的私有 API。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290976 封面来源于网络，如有侵权请联系删除

相关组织发现，越南方面制作了诱饵网址，在拜登访越等多个时间节点，利用“X”社交网站传播引诱美国政治人士和其他人员访问，点击就会安装欧洲公司的“捕食者”间谍软件，或将造成严重的信息泄露。 据美国华盛顿邮报报道，相关组织和机构近日对内嵌在“X”社交网站（原推特网站）贴文以及多份文档中的链接进行了甄别检查，结果发现今年以来越南政府工作人员曾多次试图向美国国会议员、政策专家以及新闻记者的手机内植入间谍软件。 越南人在“捕食” 据悉，越南方面设计了一些可以自动安装“捕食者”（Predator）入侵软件的“钓鱼”网站，并试图利用“X”社交网站引诱政治人士和其他人员访问。 根据Google公司提供的线索，多伦多大学公民实验室对“X”网站上的贴文进行了调查，发现其中数条回复贴包含的链接均指向安装了“捕食者”软件的钓鱼网站，无意中点击的话非常有可能导致用户手机感染，或将造成严重的信息泄露。 资料显示，“捕食者”是一款功能强大且隐蔽性强的间谍软件，由欧洲商业间谍软件制造商 Intellexa以及与其关联的Cytrox开发制作。运行后可以打开苹果手机上的麦克风和摄像头，或控制使用安卓系统的电子设备，窃取其中的所有加密或未加密的文件和个人信息。 “捕食者”间谍软件的启动通常只需要目标在没有互动的情况下对链接进行点击。这就要求软件开发商或用户对已发现或尚未得到修补的手机安全漏洞了如指掌并能够加以利用。如此一来，他们就必须花费数百万美元研究或购买手机安全漏洞。高昂的成本决定了手机入侵通常只针对高价值目标，而且需要在保密状态下进行。 近年来，越南与美国的关系逐渐回暖，与越南政府达成“全面战略伙伴关系”成为拜登政府的首要任务。在这样的大背景下，美国科技公司已表露出在越南投资的意愿。越南方面迫切希望能够了解美方的真实想法，所以与白宫、国务院、国防部等重要美国部门联系密切且颇具影响力的资深国会议员，以及与决策者保持着密切关系的美国智库分析人士就成为越南方面感兴趣的目标。 调查数据显示，在已发现的59条包含恶意链接的推特贴文中，有十多条针对的是美国人，其中包括颇具影响力的外交事务委员会主席、众议员米歇尔·麦克考尔(Michael McCaul)，外交关系委员会成员、中东事务小组主席、参议员克里斯·墨菲（Sen. Chris Murphy），资深议员约翰·胡弗（Sens. John Hoeven）和加里·彼德斯（Gary Peters），以及华盛顿多家智库的亚洲事务专家和多名CNN记者。 神秘的“Joseph Gordon” 有报道称，越南此前确实有过使用间谍软件对智能手机进行入侵的黑历史。他们针对的目标，是活跃在其他国家境内活动的人权活动人士。比如2020年时，公民实验室就曾宣称探测到越南方面试图暗中安装Circles公司提供的手机系统入侵软件。Circles公司的建立者是以色列情报专家Tal Dilian，后被出售给投资公司Francisco Partners。Francisco Partners将其与“飞马”间谍软件制造商NSO Group合并后再次转卖。 越南方面此番针对美国目标的手机入侵企图是“大赦国际”组织率先发现的。有消息称，发现越方的入侵企图后，“大赦国际”组织向《华盛顿邮报》以及其他14家国际家媒体进行了通报，后者在“欧洲新闻调查协作组织”协调下对此进行了详尽调查。 据称，一个活跃在“X”网站上恶意账户发布了大部分指向钓鱼网站的链接，该账户的用户定位是 @Joseph_Gordon16。“大赦国际”组织声称，“X”网站上的“Joseph Gordon”账户“代表的是越南当局或利益团体”。Google则宣称，“大赦国际”组织追踪的“技术基础设施”，“与越南境内的政府部门有直接关联。” 为避免被继续深挖， @Joseph_Gordon16在很短时间内删除了数条推文，而且最近几周在网站上销声匿迹了。 谁给了越南人“技术支持”？ “大赦国际”组织安全实验室负责人Donncha Ó Cearbhaill说，“根据所有已获取的证据和文件，我们相信‘捕食者’是Intellexa公司通过中间人出售给越南公共安全部（Ministry of Public Security）的。”法国知名新闻网站Mediapart以及德国《明镜》周刊的消息称，有证据显示，越南方面在尝试新的手机网络入侵前，曾与“捕食者”发布厂商的子公司进行了冗长的商谈和技术交流。 “欧洲新闻调查协作组织”（EIC）根据上述线索进行追查，但相关公司并未做出直接回应。Cytrox、NSO Group等公司一再宣称间谍软件的销售只面向政府并严禁不当使用，但也承认其客户使用这款软件针对非暴力活动人士、新闻记者和政治人士是不争的事实。Tal Dilian辩解称，尽管他把软件卖给“好人”，但难免他们偶尔会行差踏错。 “欧洲新闻调查协作组织”下属的“捕食者”文件调查小组还发现，出售“捕食者”软件的公司同时向买方提供了通过无线WiFi网络、互联网网站或国有移动通信网络感染设备的能力。换句话说，越南方面目前可能具备了相当的移动网络侦察与监视能力。 一名要求匿名的美国政府官员表示，约有50名在海外工作的官员受到商业间谍软件的威胁。拜登总统对此表示了极度关切，并于今年3月发布 行政令，要求只有在“不违反法律、人权以及民主规范和价值”的情况下才能使用商业间谍软件。美国商业部也于今年7月采取措施，把Intellexa和Cytrox两家公司列入实体清单。这意味着美国公司要想和上述公司进行商业往来，必须首先获得政府颁发的许可。 反“捕食”正在进行 不过，受到重点关照的美国人似乎对“捕食者”并不担心。媒体对部分手机入侵的潜在目标进行了采访，后者声称自己从未见过安装有入侵程序的链接，更没有点击过它们。目前没有证据表明越南人的手机入侵企图获得了成功。甚至有调查人员表示，即使有人点击了入侵链接也不会造成严重后果。唯一的可能是，点击者的手机会遭到最低级的攻击——甄别其是否为选定的目标。 公民实验室也表达了美国目标对手机目标“天然免疫”的可能。该实验室声称，包括NSO Group在内的部分间谍软件开发商已声明他们的软件在设计时就排除了针对美国手机号码的选项。与此同时，苹果公司也强调本公司生产的手机具备“锁机”模式选项，勾选后可对手机的某些功能进行限制，能够在某种程度上阻止“捕食者”的入侵。 但公民实验室同时表示，上述安全保证并不可靠，也许手机已经在用户没有察觉的情况下遭到了入侵，因为入侵者的隐蔽手段防不胜防。比如他们会在“X”网站上直接给目标人物发送表面上看起来人畜无害的公共链接，如果目标人物无意中对其进行点击，那么他就有中招的可能。另外，层出不穷的手机安全漏洞也可被“捕食者”加以利用。在针对越南方面手机入侵活动的调查过程中，Google团队就发现了至少一个新安全漏洞并对其进行了修补。消息称，该漏洞存在于Chrome浏览器中，可导致使用安卓系统的手机受到初级感染。 资料显示，目前手机间谍软件的不当使用在墨西哥、希腊、沙特阿拉伯及另外一些国家泛滥成灾，甚至连埃及反对派总统候选人的手机也成为入侵目标。为解决这个问题，美国等国家的立法机构正考虑制定针对性法案。 另外，Google团队为加大手机间谍软件的防范力度，从今年6月开始每个月都会向包括国会议员在内的美国敏感手机用户推送预警信息，但手机可能面临哪种入侵方式却无法事先确认。   转自安全内参，原文链接：https://www.secrss.com/articles/59964 封面来源于网络，如有侵权请联系删除

有关消息称：越南的网络犯罪分子是使用 DarkGate 恶意软件进行攻击的幕后黑手，这些恶意软件自 2018 年以来一直针对英国、美国和印度的组织。 WithSecure 研究人员使用 Ducktail infostealer 追踪到了活跃的网络犯罪分子集群的这些攻击，该攻击已在最近针对元企业帐户的活动中使用。 根据研究人员观察到的非技术指标，DarkGate 和 Ducktail 活动被联系在一起。其中包括诱饵文件、主题、定位和交付方法。例如，初始向量通常是 LinkedIn 消息，它将受害者重定向到 Google Drive 上的恶意文件。 WithSecure 还分析了相关元数据，包括 LNK 文件元数据、使用 Canva 设计服务/工具创建的 PDF 以及使用未经许可版本的 EXEMSI 创建的 MSI 文件。 WithSecure 高级威胁情报分析师 Stephen Robinson 评论道：“我们观察到的 DarkGate 攻击具有非常强大的标识符，这使我们能够在这些攻击与我们看到的使用不同信息窃取程序和恶意软件（包括 Ducktail）的其他攻击之间建立联系。根据我们的观察，我们一直在跟踪的目标元业务帐户的多个活动很可能是由一个参与者幕后操纵的。” 广泛的活动 虽然这些活动的初始感染途径非常相似，但研究人员承认，这两个有效负载的功能存在显着差异： Ducktail 是一个专用的信息窃取程序，执行后，它会快速从本地设备窃取凭据和会话 cookie，并将其发送回攻击者。它还具有一个额外的以 Facebook 为中心的功能，如果它找到 Facebook Business 帐户会话 cookie，它将尝试将攻击者以管理员身份添加到该帐户。 DarkGate 是一种具有信息窃取功能的远程访问木马 (RAT)。与 Ducktail 不同，它是隐秘的，试图实现持久性。它还用于多种目的，包括部署Cobalt Strike和勒索软件。DarkGate 似乎也被多个不相关的参与者使用。然而，“与 Ducktail 活动最相似且重叠的 DarkGate 行为很可能是同一个越南威胁行为者集群。” 研究人员还将 Lobshot 和 Redline Stealer 恶意软件与同一越南威胁行为者联系起来。 Robinson 强调了网络犯罪即服务 (CaaS) 行业的发展如何使得识别特定活动背后的组织变得更加困难。 “DarkGate 已经存在很长时间了，并且被许多团体用于不同的目的，而不仅仅是越南的这个团体或集群。另一方面，攻击者可以在同一活动中使用多种工具，这可能会从纯粹基于恶意软件的分析中掩盖他们活动的真实范围，”他指出。   转自安全客，原文链接：https://www.anquanke.com/post/id/290865 封面来源于网络，如有侵权请联系删除

一种名为“TetrisPhantom”的新型复杂威胁一直在使用受损的安全 USB 驱动器来攻击亚太地区的政府系统。 安全 USB 驱动器将文件存储在设备的加密部分中，并用于在系统（包括气隙环境中的系统）之间安全地传输数据。 可以通过自定义软件访问受保护的分区，该软件根据用户提供的密码解密内容。UTetris.exe 就是此类软件之一，它捆绑在 USB 驱动器的未加密部分上。 安全研究人员在一场针对亚太地区政府的攻击活动中发现了部署在安全 USB 设备上的 UTetris 应用程序的木马版本，该攻击活动已经运行了至少几年。 根据 卡巴斯基最新的 APT 趋势报告，TetrisPhantom 使用各种工具、命令和恶意软件组件，表明威胁组织复杂且资源充足。 “该攻击包含复杂的工具和技术，包括基于虚拟化的恶意软件组件软件混淆、使用直接 SCSI 命令与 USB 驱动器进行低级通信、通过连接的安全 USB 驱动器进行自我复制以传播到其他气隙系统以及注入将代码写入 USB 驱动器上的合法访问管理程序中，该程序充当新计算机上恶意软件的加载程序。” – 卡巴斯基 攻击详情 卡巴斯基与 BleepingComputer 分享了更多详细信息，解释说，木马 Utetris 应用程序的攻击首先在目标计算机上执行名为 AcroShell 的有效负载。 AcroShell 与攻击者的命令和控制 (C2) 服务器建立通信线路，可以获取并运行额外的有效负载以窃取文档和敏感文件，并收集有关目标使用的 USB 驱动器的特定详细信息。 威胁行为者还使用通过这种方式收集的信息来研究和开发另一种名为 XMKR 的恶意软件和木马 UTetris.exe。 “XMKR 模块部署在 Windows 计算机上，负责破坏连接到系统的安全 USB 驱动器，从而将攻击传播到潜在的气隙系统” – 卡巴斯基 XMKR 在设备上的功能包括窃取用于间谍目的的文件，并将数据写入 USB 驱动器。 当存储设备插入感染 AcroShell 的联网计算机时，受损 USB 上的信息就会被泄露到攻击者的服务器。 卡巴斯基检索并分析了两个恶意 Utetris 可执行变体，其中一个在 2022 年 9 月至 10 月期间使用（版本 1.0），另一个从 2022 年 10 月至今部署在政府网络中（版本 2.0）。卡巴斯基表示，这些攻击已经持续了至少几年，间谍活动一直是俄罗斯方块幻影的关注重点。研究人员观察到政府网络上有少量感染，表明存在有针对性的操作。   转自安全客，原文链接：https://www.anquanke.com/post/id/290863 封面来源于网络，如有侵权请联系删除

乌克兰情报部门网络部门负责人伊利亚·维蒂克讨论了乌克兰此前一直保密的事情，特别是与美军联合开展的联合追捕行动对乌克兰的帮助，在俄乌战争一开始就阻碍了俄罗斯的网络攻击。 乌克兰与美国网络司令部的合作始于俄罗斯网络攻击前几周。俄罗斯军事情报部门对这些袭击负有责任，维蒂克表示俄罗斯认为乌克兰的基础设施将会崩溃，但事态并没有按照莫斯科计划的方式发展。因为乌克兰花了数年时间强化其系统以抵御攻击，而且来自美国和乌克兰的一个网络运营商团队已经秘密删除了数十个攻击乌克兰关键网络的俄罗斯软件。 从某种意义上说，乌克兰十年来一直在为与莫斯科的网络战做准备。早在开始之前，俄罗斯国家支持的黑客就瞄准了乌克兰的电网，一直在调查乌克兰的网络。乌克兰也因此在网络战中受到打击，开始建立欧洲最复杂的网络之一。 乌克兰方面认为他们制定了计划，制定了网络安全战略，但没有做的一件事是建立一支专门的网络部队。一群网络战士不仅对攻击做出反应，而且努力防止攻击，比如美国网络通信国家任务部队。 美国网络国家任务部队在世界各地部署了处于不同阶段的各种狩猎队。通常，头条新闻中的网络行动往往是攻击性的：一个团队关闭了东欧的一个巨魔农场，或者入侵了叙利亚恐怖组织的服务器。 组建一个专业网络部队通常需要几个月的时间。需要大使馆参与进来，律师参与进来，确定可以搜索哪些网络，如何搜索它们，以及团队将如何合作。但俄乌战争的情况下，美国第一波网络安全运营商很快出现在基辅。 在合作中，美方和乌方声称他们在乌克兰的关键网络中发现了90个恶意软件样本。这个数字令人震惊，说明俄罗斯制造了90个攻击代码来破坏乌克兰的基础设施。对于乌克兰方面来说这就像是发现了90种来自俄罗斯未知的炸弹，他们可以研究、拆除并防止它们爆炸。   转自E安全，原文链接：https://mp.weixin.qq.com/s/PUoj_fHDcOVijtOHk_Fv6g 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，2022 年 8 月至 2023 年 5 月期间，研究人员在针对东欧石油天然气公司和国防工业的攻击活动中发现了 MATA 后门框架的新变种。 从研究人员发布的信息来看，网络攻击者采用鱼叉式网络钓鱼电子邮件，诱骗目标下载恶意可执行文件，利用 Internet Explorer 中的 CVE-2021-26411 启动感染链，本次更新后的 MATA 框架结合了一个加载器、一个主木马和一个信息窃取器，可在目标网络中打开后门并获得“持久性”。 网络攻击者滥用 EDR 2022 年 9 月，网络安全公司卡巴斯基发现了多个属于 MATA 组织的新恶意软件样本。进一步分析显示，网络攻击者破坏了目标组织子公司之间相连的财务软件服务器的网络系统， 可见，网络攻击者已将其“立足点”从生产工厂的单个域控制器扩展到整个公司网络。 攻击链继续向下，网络攻击者先后访问了两个安全解决方案管理面板，其中一个用于端点保护，另一个用于合规性检查。获得安全软件管理面板的访问权限后，网络攻击者对该组织的基础设施实施监控，并向其子公司传播恶意软件。 MATA 攻击链 MATA 恶意软件迭代详情 值得一提的是，研究人员发现，在攻击目标是 Linux 服务器适用情况下，网络攻击者采用了 ELF 文件形式的 MATA Linux 变种，其功能似乎与第三代 Windows 植入程序类似。 卡巴斯基在对三种新版本 MATA 恶意软件取样研究发现，一种（v3）是从过去攻击中出现的第二代恶意软件演变而来，第二种（v4）被称为 “MataDoor”，第三种（v5）则是从零开始编写的。 最新版 MATA 采用 DLL 形式，具有远程控制功能，支持与控制服务器的多协议（TCP、SSL、PSSL、PDTLS）连接，并支持代理（SOCKS4、SOCKS5、HTTP+web、HTTP+NTLM）服务器链。第五代 MATA 支持包括设置连接、执行植入管理和检索信息等在内的 23 种操作。 vanilla MATA 支持的最重要命令如下： 0x003: 使用特定命令集连接 C2 服务器。 0x001：启动新的客户端会话，管理来自 Buffer-box 的各种命令。 0x006: 使用特定延迟和队列命令安排重新连接。 0x007: 返回详细的系统和恶意软件信息、加密密钥、插件路径等。 0x00d： 配置受害者 ID 和连接参数等重要设置。 0x020: 启动与 C2 服务器的连接并转发流量。 0x022：探测与给定 C2 服务器和代理列表的活动连接。 恶意软件还加载了其他插件，使其能够执行另外 75 项命令，这些命令主要涉及信息收集、进程管理、文件管理、网络侦察、代理功能和远程 shell 执行。 记录的活动时间（GMT） 不仅如此，研究人员还发现了一种新恶意软件模块，该模块可以利用 USB 等可移动存储介质感染空气间隙系统；还有多种能够捕获凭证、cookie、屏幕截图和剪贴板内容的窃取程序，以及 EDR/安全绕过工具。 研究人员在报告中指出，网络攻击者利用公开的 CVE-2021-40449 漏洞利用程序（被称为 “CallbackHell”）绕过了 EDR 和安全工具，利用这一工具，网络攻击者可以改变内核内存并锁定特定的回调例程，从而使端点安全工具失效。如果上述绕过方法失败，网络攻击者便会改用之前记录的“自带漏洞驱动程序”（BYOVD）技术。 攻击者针对的防病毒软件 值得一提的是，对于 MATA 恶意软件的来源目前仍旧存在许多疑点，卡巴斯基此前将 MATA 恶意软件与黑客组织 Lazarus 联系在一起，但较新的 MATA 变种和技术（如 TTLV 序列化、多层协议和握手机制）却与  Purple、Magenta 和 Green Lambert 等 APT 组织如更为相似。   转自Freebuf，原文链接：https://www.freebuf.com/news/381336.html 封面来源于网络，如有侵权请联系删除

在黑客滥用合法基础设施达到邪恶目的的最新演变中，新的调查结果表明，民族国家黑客组织已经加入了利用社交平台针对关键基础设施的竞争。 近年来，Discord 已成为一个利润丰厚的目标，它成为利用其内容交付网络 (CDN)托管恶意软件的沃土，并允许信息窃取者从应用程序中窃取敏感数据，并通过网络钩子促进数据泄露。 Trellix 研究人员 Ernesto Fernández Provecho 和 David Pastor Sanz在周一的一份报告中表示：“Discord 的使用很大程度上仅限于任何人都可以从互联网上购买或下载的信息窃取程序和抓取程序。” 但这种情况可能正在改变，因为这家网络安全公司表示，它发现了针对乌克兰关键基础设施的工件的证据。目前没有证据表明它与已知的威胁组织有关。 研究人员指出：“利用 Discord 功能的 APT 恶意软件活动的潜在出现给威胁环境带来了新的复杂性。” 该样本是一个 Microsoft OneNote 文件，通过冒充非营利组织 dobro.ua 的电子邮件进行分发。 该文件一旦打开，就会包含对乌克兰士兵的引用，这些士兵会通过点击一个诱杀按钮来诱骗接受者捐款，从而导致执行 Visual Basic 脚本 (VBS)，该脚本旨在提取并运行 PowerShell 脚本，以便下载另一个 PowerShell来自 GitHub 存储库的脚本。 就其本身而言，在最后阶段，PowerShell 利用 Discord Webhook 来窃取系统元数据。 研究人员表示：“最终有效载荷的唯一目标是获取有关系统的信息，这表明该活动仍处于早期阶段，这也符合使用 Discord 作为[命令和控制]。” “但是，需要强调的是，攻击者将来可以通过修改 GitHub 存储库中存储的文件，向受感染的系统发送更复杂的恶意软件。” Trellix 的分析进一步显示，SmokeLoader、PrivateLoader 和 GuLoader 等加载程序是最流行的恶意软件家族之一，它们利用 Discord 的 CDN 下载下一阶段的有效负载，包括 RedLine、Vidar、Agent Tesla 和 Umbral 等窃取程序。 最重要的是，使用 Discord Webhook 观察到的一些常见恶意软件家族包括 Mercurial Grabber、Stealerium、Typhon Stealer 和 Venom RAT。 研究人员表示：“滥用 Discord 的 CDN 作为额外恶意软件有效负载的分发机制，展示了网络犯罪分子利用协作应用程序获取利益的适应性。” “APT 以其复杂和有针对性的攻击而闻名，通过渗透广泛使用的通信平台（如 Discord），它们可以有效地在网络中建立长期立足点，使关键基础设施和敏感数据面临风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290833 封面来源于网络，如有侵权请联系删除

网络安全公司 Checkmarx 发现了新一波利用流行通信和电子商务平台中的漏洞进行的供应链攻击。目标平台包括 Telegram、阿里云和 AWS。 攻击者正在将恶意代码注入开源项目并破坏系统。他们利用 Starjacking 和 Typosquatting 技术来引诱开发人员使用恶意软件包。该活动在 2023 年 9 月持续活跃。网络安全公司 Checkmarx 将该攻击者被追踪为 kohlersbtuh15。 最近这些恶意攻击的激增促使开源安全基金会 (OpenSSF)于上周推出了其最新举措——恶意软件包存储库。 根据 Yehuda Gelb 撰写的 Checkmarx报告，攻击者使用 Python 编程软件存储库 (Pypi) 并使用 Starjacking 和 Typosquatting 技术发起攻击。 攻击是如何发起的？ 进一步调查显示，该攻击者正在利用 Telegram、Amazon Web Services (AWS) 和阿里云弹性计算服务 (ECS) 等平台中的漏洞来攻击开发人员和用户。他们正在利用阿里云的服务，而这三个平台都是其中的一部分。 攻击者将恶意代码注入这些平台用来危害用户设备并窃取敏感数据、财务和个人信息以及登录凭据的开源项目中。恶意代码被注入特定的软件功能中，这使得检测恶意行为并解决问题变得非常困难。 嵌入到这些包中的代码不会自动执行，而是策略性地隐藏在不同的函数中，并在调用这些函数之一时触发。据报道，kohlersbtuh15 向 PyPi 包管理器启动了一系列针对开源社区的恶意包。 攻击者利用域名仿冒技术制作一个镜像合法包的包，但假包具有隐藏的恶意依赖项，从而触发在后台运行的恶意脚本。受害者不会怀疑任何事情，因为一切都发生在幕后。 Starjacking 是指将包管理器上托管的包链接到 GitHub 上不相关的包存储库。通过这种技术，毫无戒心的开发人员会被欺骗，认为它是一个真实的包。为了扩大这种攻击的范围，威胁行为者将这两种技术组合在同一个软件包中。 例如，Telethon 2 软件包是流行的 Telethon 软件包的误植版本，它还通过官方 Telethon 软件包的 GitHub 存储库执行明星劫持。这表明威胁行为者已完全复制官方包中的源代码，并将恶意行嵌入到 telethon/client/messages.py 文件中。恶意代码仅通过“发送消息”命令执行。 “通过针对 Telegram、AWS 和阿里云等平台中使用的流行软件包，攻击者表现出了很高的精确度。这不是随机行为，而是故意损害依赖这些广泛使用平台的特定用户，可能影响数百万人，”盖尔布写道。 这种攻击造成的损害远远大于受感染的设备，因为与这些平台关联的所有类型的数据（例如来自 Telegram 或 AWS 云数据的通信详细信息以及来自阿里云的业务相关数据）都可以被访问和利用。 这次攻击凸显出供应链攻击仍然是一种威胁，因为攻击者正在寻找第三方服务/软件中的漏洞来访问目标系统并窃取数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/290825 封面来源于网络，如有侵权请联系删除

以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标，该应用程序虽然提供了承诺的功能，但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序，以色列公民使用它来接收针对该国的来袭火箭弹的通知。 该应用程序非常受欢迎，在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击，使用数千枚火箭弹以来，随着人们寻求有关其地区即将发生的空袭的及时警告，对该应用程序的兴趣激增。 据Cloudflare称，动机和来源不明的黑客正在利用人们对该应用程序日益浓厚的兴趣以及对攻击的恐惧来分发安装间谍软件的假版本。该恶意版本是从“redalerts[.]me”网站分发的，该网站创建于2023年10月12日，包含两个用于下载 iOS和 Android平台应用程序的按钮。 iOS下载会将用户重定向到 Apple App Store上的合法项目页面，但Android按钮会直接下载要安装在设备上的APK文件。Cloudflare发现该应用程序向受害者请求额外权限。启动后，该应用程序会启动一个后台服务，该服务会滥用这些权限来收集数据，在CBC模式下使用AES对其进行加密，然后将其上传到硬编码的IP地址。 间谍软件警报 下载的APK使用 真正的RedAlert应用程序的合法代码，因此它包含所有常规功能，并显示为合法的火箭警报工具。 然而，Cloudflare 发现该应用程序向受害者请求额外权限，包括访问用户的联系人、号码、短信内容、已安装软件列表、通话记录、电话 IMEI、登录的电子邮件和应用程序帐户等。 启动后，该应用程序会启动一个后台服务，该服务会滥用这些权限来收集数据，在 CBC 模式下使用 AES 对其进行加密，然后将其上传到硬编码的 IP 地址。 从受感染设备收集数据的代码 (Cloudflare) 该应用程序还具有反调试、反仿真和反测试机制，可保护其免受研究人员和代码审查工具的侵害。 红警安全提示 在撰写本文时，该假冒网站已离线。然而，在其行动曝光后，威胁行为者可能会转向新的领域。 区分真实版本和附加版本的一个简单方法是检查应用程序在安装时请求的权限或在它已安装在您的设备上时可以访问的权限。 要检查这一点，请长按应用程序的图标，选择“应用程序信息”，然后点击“权限”。 此外，据报道 真实的 RedAlert 应用程序遭到劫持 ，黑客活动分子利用 API 缺陷向用户推送虚假通知。 为了最大程度地减少发生此类事件的可能性，请确保您使用的是包含所有可用安全修复程序的最新应用程序版本。   转自安全客，原文链接：https://www.anquanke.com/post/id/290798 封面来源于网络，如有侵权请联系删除

一群名为 Sticky Werewolf 的网络犯罪分子积极使用网络钓鱼电子邮件来访问俄罗斯和白俄罗斯政府组织的系统。据BI.ZONE称，该组织的活动自2023年4月以来一直受到监控，在此期间至少进行了30次成功的攻击。 攻击者使用 IP Logger 服务在网络钓鱼电子邮件中创建链接。该工具允许您收集有关单击链接的用户的信息，包括 IP 地址、位置和设备规格。这种方法可以更轻松地分析潜在受害者，并让您将精力集中在最有价值的目标上。 Sticky Werewolf 策略的一个特点是在创建链接时使用他们自己的域名，这使得他们对潜在受害者的怀疑减少。通过单击此类链接，用户会下载伪装成 Word 或 PDF 文档的恶意文件。尽管该文件的内容可能看起来无害，例如来自紧急情况部的正式信件，但 NetWire RAT 恶意软件已在后台安装在设备上。该软件使攻击者能够访问系统数据，包括网络摄像头和麦克风的录音。 为了掩盖其活动并增加检测难度，该组织使用 Themida 保护程序来混淆恶意代码。   转自安全客，原文链接：https://www.anquanke.com/post/id/290781 封面来源于网络，如有侵权请联系删除