Bleeping Computer 网站消息，Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞，每天发动数千次网络攻击活动。据悉，漏洞被追踪为 CVE-2017-18368，是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞（CVSS v3：9.8），Zyxel 已于 2017 年修补了该漏洞。 早在 2019 年，Zyxel 就强调当时的新变种 Gafgyt 可能会利用该漏洞发动网络攻击，敦促仍在使用旧固件版本的用户尽快升级到最新版本，以保护其设备免遭接管。然而自 2023 年 7 月初以来，Fortinet 仍能够监测到平均每天 7100 次的攻击活动，且攻击数量持续至今。 Fortinet 发布警报表示截止到 2023 年 8 月 7 日，FortiGuard 实验室持续监测到利用 CVE-2017-18368 漏洞的攻击活动，并在过去一个月中阻止了超过数千个独特 IPS 设备的攻击企图。 试图利用 Zyxel 路由器中的 CVE-2017-18368 漏洞（来源：Fortinet ） Fortinet 指出虽然目前还尚不清楚观察到的攻击活动中有哪一部分成功感染了设备，但自 7 月份以来，攻击活动一直保持稳定。值得一提的是，CISA 近期发布了 CVE-2017-18368 在野外被利用的情况，并将该漏洞添加到其已知利用漏洞目录中，要求联邦机构在 2023 年 8 月 28 日前修补 Zyxel 漏洞。 为应对漏洞利用的爆发，Zyxel 又更新了安全公告，提醒客户 CVE-2017-18363 只影响运行 7.3.15.0 v001/3.40(ULM.0)b31 或更旧固件版本的设备，运行 2017 年为修复漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影响。 此外，Zyxel 表示 P660HN-T1A 在几年前就已达到报废年限。因此，强烈建议用户将其更换为更新一代的产品，以获得最佳保护。 路由器感染恶意软件常见迹象包括连接不稳定、设备过热、配置突然改变、反应迟钝、非典型网络流量、开放新端口和意外重启，如果怀疑自己的设备受到网络恶意软件的攻击，用户可以执行出厂重置，将设备固件更新到最新版本，更改默认的管理员用户凭据，并禁用远程管理面板，只从内部网络管理设备。     转自Freebuf，原文链接:https://www.freebuf.com/news/374532.html 封面来源于网络，如有侵权请联系删除

Reptile 是一个针对Linux系统的开源内核模块rootki（其可在 GitHub 上获取）。爬虫可隐藏自身及其他恶意软件，主要针对目标为：文件、进程和网络通信等。爬虫的隐藏功能不仅包括它自己的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常只提供隐藏功能的恶意软件不同，Reptile可以提供了一个反向shell，允许威胁参与者轻松控制系统。端口敲门是爬虫所支持的最显著的特性，当打开恶意软件时受感染系统的特定端口会进入到备用状态。威胁者会向系统发送Magic Packet，而接收到的数据包也会作为与C&C服务器建立连接的基础。 该方法类似早期Avast在报告中提到的Syslogk，但主要的区别在于Syslogk是基于另一个Adore-Ng的开源Linux内核rootkit而开发的。但两者间的相似点在于：被Magic Packet 触发之前在受感染的系统中会处于待机状态，且会使用定制的 inySHell (即Rekoobe)作为攻击的后门。 在GitHub上开放源代码后，Reptile一直被用于攻击中。Mandiant最新报告证实一个位于中国的威胁组织在利用Fortinet产品中的零日漏洞持续进行的攻击过程中攻击中使用了爬虫。此外，ExaTrack在分析Mélofée恶意软件的报告中也发现了Reptile rootkit。ExaTrack将此归因于位于该事件时中国的Winnti攻击组织行为。 本文我们将简要分析Reptile的基本结构和功能，并整理出它被用于攻击韩国公司的事件概述。最后，我们将根据恶意软件的安装路径或伪装的目录名，总结与Mélofée恶意软件案例的相似之处。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3004/ 消息来源：AhnLab，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌云安全团队近日表示，恶意行为者在躲过Google Play商店的审查流程和安全控制后，会使用一种被称为版本控制的常见策略，在Android设备上植入恶意软件。 该技术通过向已安装的应用程序提供更新来引入恶意有效负载，或者通过所谓的动态代码加载(DCL)从威胁参与者控制的服务器加载恶意代码。 它允许攻击者绕过应用商店的静态分析检查，在Android设备上以原生、Dalvik或JavaScript代码的形式部署有效负载。 谷歌在今年的威胁趋势报告中提到：恶意行为者试图规避 Google Play 安全控制的一种方式是版本控制。 比如，开发者会在Google Play应用商店发布一个看似合法并通过谷歌检查的应用程序初始版本，但随后用户会收到来自第三方服务器的更新提示，这时候终端用户设备上的代码会被改变，这样威胁者就可以实施恶意活动，从而实现版本控制。 谷歌表示，所有提交到 Play Store 的应用程序和补丁都要经过严格的 PHA（潜在有害应用程序）筛选，但 “其中一些控制 “被 DCL 绕过。 Play Store通过版本控制绕过安全控制（图源：Google） 谷歌方面表示：此类活动的应用程序违反了Google Play欺骗行为政策，可能被贴上后门标签。 根据该公司的 Play Policy Center 指导方针，通过 Google Play 发布的应用程序禁止通过 Google Play 提供的官方更新机制以外的任何方式进行更改、替换或更新。 此外，应用程序严禁从外部资源下载可执行代码（如 dex、JAR 或 .so 文件0）到官方 Android 应用商店。 谷歌还强调了一种名为 SharkBot的恶意软件变种，该软件最早由 Cleafy 的威胁情报团队于 2021 年 10 月首次发现。SharkBot 是一种银行恶意软件，在入侵安卓设备后会通过自动转账服务（ATS）协议进行未经授权的转账。 为了躲避 Play Store 系统的检测，SharkBot 的威胁制造者采用了一种现在常见的策略，即在 Google Play 上发布功能有限的版本，掩盖其应用程序的可疑性质。 然而，一旦用户下载了木马应用程序，就会下载完整版的恶意软件。 Sharkbot 伪装成安卓杀毒软件和各种系统实用程序，通过 Google Play 商店的恶意行为提交检查，成功感染了成千上万的用户。 网络安全记者Brian Krebs强调了 ThreatFabric 安全研究人员最近公布的一种不同的移动恶意软件混淆技术。这种方法能有效破解谷歌的应用程序分析工具，使其无法扫描恶意 APK（安卓应用程序包）。因此，尽管这些有害的 APK 被标记为无效，仍能成功安装到用户的设备上。     转自Freebuf，原文链接:https://www.freebuf.com/news/374061.html 封面来源于网络，如有侵权请联系删除

Cado安全实验室的研究人员最近发现了一种针对Redis数据存储公开访问部署的新型恶意软件，该恶意软件被开发者命名为“p2pinfect”，此软件由Rust 语言进行编写的，主要被用来充当僵尸网络代理。Cado研究人员在分析中发现：该软件还包含一个可移植嵌入式文件（PE）以及一个ELF可执行目标文件，这也表明了该软件可向Windows和Linux 进行跨平台兼容。 在发现时间至此文发布之前，Unit42 的研究人员还发表了一篇针对该恶意软件Windows变种的深入分析。他们发现：此次遇到的变体是通过利用CVE-2022-0543(Redis的某些版本中存在一个LUA沙盒逃逸漏洞)来传递的。Cado研究人员见证了一种不同的初始访问媒介，这也将在本文中进行进一步阐述。 P2Pinfect概述: 尝试多次利用Redis进行初始访问 利用Rust进行有效载荷开发，使得分析变得更加棘手 使用多种规避技术来阻碍动态分析 对Redis和SSH服务器进行互联网扫描 以类似蠕虫病毒的方式进行自我复制 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2099/ 消息来源：Cado Security，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近日，微软称有一个与俄罗斯对外情报局有关的名为APT29的黑客组织，针对全球数十个组织包括政府机构等进行了网络钓鱼攻击。 微软方面透露，根据目前调查显示，此次攻击活动影响了全球约40个组织。并且此次攻击活动表明该黑客组织将政府、非政府组织(ngo)、IT服务、技术、离散制造业和媒体部门等设置成了特定间谍目标。 黑客利用被入侵的 Microsoft 365 租户创建了新的技术支持主题域并发送技术支持诱饵，试图利用社交工程策略欺骗目标组织的用户。 他们的目的是操纵用户批准多因素身份验证（MFA）提示，最终窃取他们的凭证。 攻击者利用被入侵的 Microsoft 365 租户创建了以技术支持为主题的新域。这些新域是 “onmicrosoft.com “域的一部分，而 “onmicrosoft.com “域是一个合法的微软域，在没有创建自定义域的情况下，Microsoft 365 会自动将其用作备用域。 然后，他们利用这些域发送技术支持诱饵，欺骗目标组织的用户批准多因素身份验证 (MFA) 提示。 APT29团队网络钓鱼消息，图源：微软 由于这些信息均来自合法的 onmicrosoft.com 域名，这使得这些假冒的微软支持信息看起来很值得信赖。 根据雷德蒙德的公告，威胁行为者的最终目的是窃取目标用户的凭证。 微软方面补充称：在某些情况下，行为者试图通过微软 Entra ID（前身为 Azure Active Directory）将设备添加到组织中作为受管设备，这很可能是为了规避为限制受管设备访问特定资源而配置的条件访问策略。 该公司报告称，已成功阻止俄罗斯威胁组织在其他攻击中使用这些域，目前正在积极应对并降低该活动的影响。 Jumpsec安全研究人员上个月发现一个安全问题 上个月，Jumpsec安全研究人员发现Microsoft Teams中存在一个安全问题，该问题可让任何人使用由美国海军红队成员 Alex Reid 开发的名为 TeamsPhisher 的 Python 工具绕过对来自外部租户的传入文件的限制，但微软拒绝解决此问题。 JumpSec 在 6 月份报告该漏洞时，微软表示该漏洞 “不符合立即提供服务的标准”。 BleepingComputer 也联系了微软，询问是否有计划修复这个问题，并被告知客户应该注意可疑信息。 但微软发言人告诉 BleepingComputer：他们已经注意到这个报告，并确定它是依靠社会工程学而成功的。一直以来微软都鼓励客户养成良好的上网计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时保持谨慎。 不幸的是，APT29的社会工程攻击也影响了政府机构，这凸显了这种攻击可能产生的巨大影响，即使是对保护良好的实体。 黑客组织APT29已成功隐蔽多年 APT29 是俄罗斯对外情报局 (SVR) 的黑客部门，三年前曾策划过 SolarWinds 供应链攻击事件，导致多个美国联邦机构遭到入侵。 自那次事件后，这个黑客组织还利用隐蔽的恶意软件（包括 TrailBlazer 和 GoldMax Linux 后门变种）渗透到其他组织的网络中，成功隐蔽了多年一直未被发现。 最近，微软披露，该黑客组织正在使用新的恶意软件，夺取活动目录联盟服务（ADFS）的控制权，以 Windows 系统中任何用户的身份登录。 他们瞄准了北约国家实体的 Microsoft 365 账户，试图获取与外交政策相关的信息。同时，他们还发起了一系列网络钓鱼活动，明确针对欧洲各国政府、大使馆和高级官员。     转自Freebuf，原文链接:https://www.freebuf.com/news/373728.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 根据Guardz的最新报告，网络犯罪分子正持续从专门针对微软Windows用户的攻击转向对macOS用户的攻击。该公司上个月首次注意到这一趋势。 这家网络安全公司表示，他们在7月20日观察到一个名为Rodrigo4的新黑客在暗网的“macOS需求案例研究”横幅下开店。 Guardz说:“该黑客称自己在过去的六个月里，一直在开发macOS信息窃取恶意软件，并愿意将其提供给私人会员。” 今年7月，该公司发现了一种名为ShadowVault的新型恶意软件，目标是macOS系统。长期以来，macOS系统一直被视为比微软更安全的替代品。看来苹果用户再也不能自满了。 Guardz发现的另一种针对macOS系统的恶意软件类型是隐藏虚拟网络计算(HVNC)，这是一种未经合法用户同意或不知情的非法计算机劫持形式。 “这是一个已知的恶意软件模块，目标是Windows操作系统设备，但现在也转向了macOS机器。入侵者默默地加入了他们的计算机，然而用户则完全没有意识到有入侵者创建了一个新的桌面会话。” Guardz警告macOS用户，未来可能会有更多的威胁：“还有多少其他攻击者在黑暗中徘徊，致力于为macOS设备开发恶意软件，还有待观察。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

研究人员发现了一种新的恶意软件，名为 WikiLoader 恶意软件。之所以这样命名，是因为它向维基百科发出请求，希望得到内容中包含 “The Free “字符串的响应。 WikiLoader 恶意软件的主要目标是意大利企业及组织。 WikiLoader 是一种高级下载管理器，旨在部署额外的恶意有效载荷。该恶意软件采用了巧妙的规避方法和独特的代码执行，使其难以检测和分析。 目前来看，WikiLoader 的创建目的可能是出租给特定的网络犯罪行为者。 Proofpoint 关于 WikiLoader 的报告称：”根据观察到的使用情况，预计这种恶意软件很可能会被其他威胁行为者使用，特别是那些作为初始访问代理（IAB）运营的威胁行为者。 传播 WikiLoader 恶意软件的活动 WikiLoader 恶意软件会通过电子邮件发送给用户，邮件附件包括 Microsoft OneNote、PDF 文档或 Excel 表单，如下截图所示。 Excel 附件被设计成意大利税务局的样子，但实际上这只是欺骗用户的虚假文件。 网络安全公司Proofpoint在其博客文章中详细介绍了WikiLoader，作为一个下载器，它可以安装第二个恶意软件有效载荷，并能逃避检测。 这种被开发的恶意软件可以访问网络主机，并通过 HTTP cookies 外泄主机数据。网络犯罪分子被发现使用 Discord 的 CDN 作为文件主机。不过，尚未证实 Discord 是否已被入侵。 使用 WikiLoader 的网络犯罪分子在任何 Discord 聊天中上传样本，并将 Discord 链接复制到附件。 使用 WikiLoader 恶意软件的网络犯罪分子 WikiLoader 最先被一个名为 TA544 的网络犯罪团伙发现使用。据了解，该组织曾使用 Ursnif 恶意软件攻击意大利的组织。研究人员认为，该恶意软件主要会被作为初始访问代理（IAB）的网络犯罪分子使用。 Proofpoint的研究人员发现，从2022年12月开始，有近8个传播WikiLoader恶意软件的活动。另一个名为TA551的组织使用WikiLoader攻击意大利组织。 今年2月，TA544被发现使用另一个更新版本的WikiLoader攻击意大利组织。 今年 3 月，TA551 再次利用附在 OneNote 文档中的可执行文件发送意大利语电子邮件。 今年 7 月 11 日，发现 TA544 使用了最新版本的 WikiLoader 恶意软件。这次活动发送了超过 15 万条信息，但目标不在意大利。 WikiLoader 恶意软件的其他详细信息 第一个版本的 WIkiLoader 恶意软件的 shellcode 没有进行太多的混淆处理，但在 2023 年 2 月 8 日发现的第二个版本增加了复杂性，并使用了编码字符串。 第三个版本的 WikiLoader 恶意软件进行了以下升级： 可进行间接系统调用 从装载程序中渗出包含主机数据的 cookies 可在一小时内执行加载器 Shellcode 阶段是使用 NtWriteVirtualMemory 逐字节写入的 在二月份的活动中，攻击者发送了伪装成意大利快递服务的电子邮件。该电子邮件包含安装了WikiLoader恶意软件的VBA宏启用Excel文档。 Proofpoint 博客中写道：这一版本的 WikiLoader 包含更复杂的结构、用于逃避自动分析的额外停滞机制以及编码字符串的使用。 与恶意软件一起使用的打包下载器是为了逃避检测和分析。WikiLoader 恶意软件可执行文件较小，用于下载实际有效载荷。这种机制还允许黑客控制有效载荷的传输。他们可以控制下载活动的时间范围，并加入 IP 过滤等功能。     转自Freebuf，原文链接:https://www.freebuf.com/news/373642.html 封面来源于网络，如有侵权请联系删除

一场正在进行的网络攻击活动将目光投向了韩国人，利用美国军方主题的文件诱饵诱骗他们在受损系统上运行恶意软件。网络安全公司Securix正在以STARK#MULE的名义追踪这一活动。目前尚不清楚袭击的规模，也不清楚这些袭击企图是否成功。 安全研究人员报告中表示：“根据来源和可能的目标，这些类型的袭击与APT37等典型的朝鲜黑客团体过去的袭击不相上下，因为韩国历来是该团体的主要目标，尤其是其政府官员。” APT37，也被称为Nickel Foxcroft、Reaper、Ricochet Chollima和ScarCruft，是一个朝鲜民族国家行为者，以专门关注南部目标而闻名，特别是那些参与报道朝鲜和支持脱北者的目标。 该组织建立的攻击链历来依赖社会工程来欺骗受害者，并将RokRat等有效载荷传递到目标网络上。也就是说，近几个月来，这个对抗性团体通过各种恶意软件扩大了其攻击性武器库，包括一个名为AblyGo的基于Go的后门。新攻击一个显著特点是，利用受损的韩国电子商务网站来部署有效载荷和指挥控制（C2），试图在系统上安装的安全解决方案的雷达下飞行。 作为前身的网络钓鱼电子邮件利用美国陆军征兵信息说服收件人打开ZIP档案文件，其中包含一个伪装成PDF文档的快捷方式文件。启动快捷方式文件时，会显示一个诱饵PDF，但也会暗中激活存档文件中存在的“Thumbs.db”文件的执行。这个文件执行几个功能，包括下载更多的stager和利用schtasks.exe建立持久性。 下一阶段的两个模块——“lsasetup.tmp”和“winrar.exe”——是从一个名为“www.jkmusic.co[.]kr”的受损电子商务网站中检索的，后者用于提取和运行“lsastup.tmp“的内容，这是一个模糊的二进制文件，可以访问名为”www.notebooksell[.]kr“的电子商务网站。 研究人员表示：“一旦建立了连接，攻击者就能够获取系统详细信息，如系统MAC、Windows版本和IP地址，这两个网站都在韩国注册，并且只使用HTTP协议。” 据安实验室安全应急中心（ASEC）称，APT37还被观察到在网络钓鱼电子邮件中使用CHM文件冒充金融机构和保险公司的安全电子邮件，部署窃取信息的恶意软件和其他二进制文件。特别是针对韩国特定用户的恶意软件可能包含用户感兴趣的主题内容，以鼓励他们执行恶意软件，因此用户应避免打开来源不明的电子邮件，也不应执行其附件。 APT37是朝鲜国家支持的众多组织之一，这些组织因实施旨在实施金融盗窃的袭击，并收集情报以追求朝鲜政权的政治和国家安全目标而备受关注。 这还包括臭名昭著的Lazarus Group及其子集群Andariel和BlueNoroff，他们在2022年9月针对东欧国防承包商的入侵中利用了一个名为ScoutEngine的新后门和一个名称为MATA（MATAv5）的恶意软件框架的全面改进版本。 卡巴斯基在2023年第二季度的APT趋势报告中表示：“这种复杂的恶意软件完全从头开始重写，展现了一种先进而复杂的架构，该恶意软件在内部利用进程间通信（IPC）通道，并使用各种命令，使其能够跨各种协议建立代理链，包括在受害者的环境中。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/Dj_fwcAGLhuvtvoasbX4EA 封面来源于网络，如有侵权请联系删除

据观察，一种新的恶意广告活动利用谷歌搜索和必应的广告，以AnyDesk、Cisco AnyConnect VPN和WinSCP等IT工具的用户为目标，诱骗他们下载木马安装程序，目的是入侵企业网络，并可能在未来实施勒索软件攻击。 Sophos在周三的一份分析报告中称，这种 “机会主义 “活动被称为 “Nitrogen“，旨在部署Cobalt Strike等第二阶段攻击工具。 eSentire 在 2023 年 6 月首次记录了 Nitrogen，详细描述了一个感染链，它将用户重定向到受攻击的 WordPress 网站，最终将 Python 脚本和 Cobalt Strike Beacons 发送到目标系统上。 Sophos 研究人员表示：”在整个感染链中，威胁方使用不常见的导出转发和 DLL 预加载技术来掩盖其恶意活动“。 Python 脚本一旦启动，就会建立一个 Meterpreter 反向 TCP 外壳，从而允许攻击者在受感染的主机上远程执行代码，并下载一个 Cobalt Strike Beacon 以便后期利用。 研究人员说：搜索引擎内显示的广告已成为攻击者常用的手段。通过广撒网的方式，诱使毫无戒心的用户点击并下载。 这其中包括，网络犯罪分子利用付费广告引诱用户访问恶意网站，诱使他们下载 BATLOADER、EugenLoader（又名 FakeBat）和 IcedID 等多种恶意软件，然后利用这些恶意软件传播信息窃取程序和其他有效载荷。 不仅如此，Sophos 还说它在著名的暗网市场上发现了 “大量关于SEO中毒，恶意广告和相关服务的广告和讨论”，以及提供受损Google Ads帐户的卖家。 这也进一步说明 “攻击者对 SEO 中毒和恶意广告有着浓厚的兴趣”。     转自Freebuf，原文链接:https://www.freebuf.com/articles/373279.html 封面来源于网络，如有侵权请联系删除

安全厂商 Infoblox 的调查研究显示，一个名为 DecoyDog（诱饵狗）的复杂恶意工具包通过域名系统（DNS），从事网络间谍活动已达1年以上。 目前尚不清楚该恶意软件的幕后黑手是谁，但 Infoblox 的研究人员认为，有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。由于观察到的范围仅限于俄罗斯和东欧地区，似乎该活动与俄乌战争有关。 Decoy Dog仍在活跃 虽然 Infoblox 只分析了 DecoyDog 的 DNS 和网络流量，但由于它基于 Pupy，因此它很可能是在受感染的设备上下载恶意软件负载并执行攻击者发送的命令。 4 月初，Infoblox 专家在6个存在异常 DNS 信标活动的域中发现了DecoyDog，这些域充当该恶意软件的命令和控制 (C2) 服务器： cbox4[.]ignorelist[.]com claudfront[.]net hsdps[.]cc ads-tm-glb[.]click atlas-upd[.]com allowlisted[.]net 当时，研究人员表示，他们发现企业网络中出现了相同的 DNS 查询模式，无法与消费设备联系起来，并 确认查询源自数量非常有限的客户网络中的设备。 在 Infoblox 宣布发现并发布技术分析报告后，DecoyDog并没有停止活动，分析报告显示，DecoyDog 在很大程度上是基于 Pupy 开源漏洞后远程访问木马（RAT）。最新的报告表明，DecoyDog是 Pupy 的重大升级，使用了公共存储库中没有的命令和配置。具体观察到的差异包括： 使用 Python 3.8，而 Pupy 是用 Python 2.7 编写的； 许多改进，包括 Windows 兼容性和更好的内存操作； 通过添加多个通信模块显着扩展了 Pupy 中的通信词汇量； 会响应先前 DNS 查询的重播，而 Pupy 则不会； 能响应通配符 DNS 请求，使被动 DNS 中的解析数量增加了一倍； 能响应与客户端有效通信结构不匹配的 DNS 请求； 能将任意 Java 代码注入 JVM 线程来增加运行任意 Java 代码的能力，并添加在受害设备上维持持久性的方法。 Infoblox 威胁情报主管 Renée Burton 透露，目前DecoyDog 域名服务器、控制器和域的数量已超过20个。 DecoyDog控制器列表 目标明确的恶意软件 根据被动 DNS 流量分析，很难确定DecoyDog客户端的准确数量，这将表明受影响设备的数量，但 Infoblox 在任何一个控制器上观察到的最大活跃并发连接数不到 50 个，最小的只有 4 个。Burton预估，目前被入侵设备的数量仅有几百台，表明目标非常小，是典型的情报行动。 在Infoblox披露DecoyDog后，该恶意软件开始增加地理围栏机制，限制控制器域对来自特定地区 IP 地址的 DNS 查询响应。 Infoblox发现其中一些服务器只有通过俄罗斯 IP 地址DNS 查询时才会响应，而其他服务器则会响应来自任何地点的任何格式良好的查询。这可能意味着受害者位于俄罗斯，但攻击者也可能选择将受害者流量路由到该地区作为诱饵或将查询限制为相关查询。Burton 倾向于前者，认为DecoyDog 的行为类似于 Pupy，并使用默认的递归解析器连接到 DNS。由于在现代网络中改变这一系统相当具有挑战性，因此这些受害者很可能在俄罗斯或邻近国家（也可能通过俄罗斯路由数据）。 TTP 指向多个参与者 Infoblox 根据观察到的战术、技术和程序 (TTP) 来区分操作DecoyDog的4个参与者。然而，他们似乎都会响应与DecoyDog或 Pupy 格式匹配正确的查询。 Burton指出，这种奇怪的行为可能是有意为之，但即使作为密码学家、情报人员和数据科学家，拥有丰富的经验，她也无法归结清楚具体的原因。如果有多个 DecoyDog参与者的理论属实，那么可能有两个参与者用新功能对其进行了改进。 根据 Burton 的说法，4个参与者中有一个拥有公共存储库中最先进的 DecoyDog 版本 ，其客户端连接到控制器 claudfront[.]net。该参与者中的另一个控制器为maxpatrol[.]net，但没有观察到连接行为，这可能与 Positive Technologies 的漏洞和合规管理系统类似。Positive Technologies 是一家俄罗斯网络安全公司，因贩卖国家支持的黑客组织使用的黑客工具和漏洞利用程序在 2021 年受到美国制裁。 Infoblox 指出，DecoyDog的新版本附带了域名生成算法 (DGA)充当紧急模块，如果恶意软件长时间无法与其 C2 服务器通信，则允许受感染的计算机使用第三方 DNS 服务器。从第三个版本开始，DecoyDog提供了广泛的持久性机制，表明其目的是以窃取情报为主，而非出于经济动机或者是红队工具。 DecoyDog尚存诸多疑点 目前，DecoyDog仍然比较神秘，需要进行额外的研究来确定目标、初始入侵方法（例如供应链、已知漏洞、目标设备中的零日漏洞）以及是如何进入网络的。 尽管 Infoblox 得到了信息安全社区（来自主要英特尔供应商、政府机构、威胁研究小组和金融组织）的支持，但该恶意软件的检测结果或其全部范围尚未公开披露。 Infoblox 建议防御者注意，Decoy Dog 和 Pupy 中的 IP 地址代表加密数据，而不是用于通信的真实地址，并关注 DNS 查询和响应，因为它们可以帮助跟踪恶意软件活动。 该公司还创建了一条 YARA 规则，可以检测研究人员自 7 月以来观察到的 DecoyDog 样本，并与公共版本的 Pupy进行区分。     转自Freebuf，原文链接:https://www.freebuf.com/news/373187.html 封面来源于网络，如有侵权请联系删除