近日，Mandiant威胁研究人员发现了旨在破坏电网的、与俄罗斯相关的新型恶意软件，他们敦促能源公司采取行动减轻这种“直接威胁”。 这种名为Cosmic Energy的专业操作技术 (OT) 恶意软件与之前针对电网的攻击中使用的恶意软件有相似之处，包括2016 年在乌克兰基辅发生的“Industroyer”事件。 Cosmic Energy 旨在通过与 IEC 60870-5-104 (IEC-104) 标准设备（例如远程终端单元）交互来中断电力。这些设备通常用于欧洲、中东和亚洲的输电和配电业务。 同样，在 2016 年的 Industroyer 攻击中，据了解由俄罗斯 APT 组织 Sandworm 实施，该恶意软件发出 IEC-104 ON/OFF 命令与 RTU 交互，并且可能利用 MSSQL 服务器作为管道系统来访问加时赛。 这使攻击者能够发送远程命令来影响电力线开关和断路器的启动，从而导致电力中断。 Mandiant 表示，Cosmic Energy 于 2021 年 12 月由俄罗斯的提交者上传到公共恶意软件扫描实用程序。有趣的是，根据其随后的分析，该公司认为俄罗斯网络安全公司 Rostelecom-Solar 或承包商最初可能开发了用于培训目的的恶意软件——重建针对能源电网资产的真实攻击场景。 Mandiant 研究人员表示，威胁行为者可能会在未经许可的情况下重复使用与网络范围相关的代码来开发这种恶意软件。 这使得 Cosmic Energy 有别于之前旨在破坏能源网络的 OT 恶意软件——因为威胁行为者正在利用从之前的攻击中获得的知识来创建新的攻击工具，从而降低了进入攻击 OT 系统的门槛。 这尤其令人担忧，“因为我们通常观察到这些类型的能力仅限于资源充足或国家资助的参与者。” 因此，研究人员警告说：“鉴于威胁行为者使用红队工具和公共开发框架在野外进行有针对性的威胁活动，我们认为 Cosmic Energy 对受影响的电网资产构成了合理的威胁。利用符合 IEC-104 标准的设备的 OT 资产所有者应采取行动，抢占 Cosmic Energy 野外部署的潜力。” 该团队指出，Cosmic Energy 缺乏发现能力，“这意味着要成功执行攻击，恶意软件操作员需要执行一些内部侦察以获取环境信息。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/H-q6G1U5ozYsGbHoqajxQQ 封面来源于网络，如有侵权请联系删除

据BleepingComputer 5月28日消息，一种新型”浏览器文件压缩包 “钓鱼工具被试验出可滥用ZIP域名，在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口，以诱导用户启动恶意文件。 ZIP域名是本月由谷歌推出的8个新高级域名（TLD）之一，用户可用于托管网站或电子邮件地址，如bleepingcomputer.zip。自该域名名发布以来，人们对它们是否可能给用户带来网络安全风险进行了相当多的讨论。 虽然一些专家认为这种担心被夸大，但主要可能存在的问题是一些网站会自动将以’.zip’结尾的字符串（如setup.zip）变成一个可点击的链接，从而被恶意软件利用进行攻击和传播。 如今，安全研究员mr.d0x开发了一个颇具欺骗性的钓鱼工具包，在与 BleepingComputer 共享的演示中，该工具包可用于在打开 .zip 域时直接在浏览器中嵌入一个伪造的 WinRar 窗口，使用户看起来就像打开了一个 ZIP 压缩包。 这个伪造的窗口效果十分逼真，甚至还包含虚假的安全扫描按钮，点击该按钮后会提示文件已被扫描且未检测到威胁。 虽然该工具包仍然显示浏览器地址栏，但它仍然可能诱使一些用户认为这是一个合法的 WinRar 压缩文件。此外，利用 CSS 和 HTML 可以进一步完善该工具包。 滥用网络钓鱼工具包 mr.d0x 认为，该网络钓鱼工具包可用于凭证盗窃和传播恶意软件。例如用户在伪造的 WinRar 窗口中双击 PDF，则可能会被重定向到另一个页面，要求只有提供账户凭证才能查看文件。 该工具包还可用于通过显示一个 PDF 文件来传播恶意软件，该文件在单击时会下载一个类似名称的 .exe。例如在伪造的存档窗口可能会显示 document.pdf 文件，但在单击时却是下载document.pdf.exe恶意软件。 由于 Windows 默认不显示文件扩展名，用户只会在他们的下载文件夹中看到一个 PDF 文件并可能双击打开，而不会意识到它是一个可执行文件。 特别值得注意的是，Windows在搜索文件时，若没有找到，就会试图在浏览器中打开搜索到的字符串。如果该字符串是一个合法的域名，那么相应的网站将被打开。 显而易见，如果注册一个与普通文件名相同的zip域名，如果用户在Windows中进行搜索，操作系统将自动在浏览器中打开该网站。如果该网站托管了 “浏览器中的文件归档器 “钓鱼工具包，则可以欺骗用户，使其认为WinRar显示了一个真实的的ZIP压缩包。 这项技术说明了ZIP域名如何被滥用以进行网络钓鱼攻击。但再怎么巧妙，只要用户能够增强安全意识，不点击打开任何可疑文件，就能避免此类攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367836.html 封面来源于网络，如有侵权请联系删除

虽然有所进步，但总的来说，Android设备在安全方面依然毁誉参半。虽然操作系统本身和Google的Pixel多年来一直能够顽强抵御软件漏洞，但Google Play中永无止境的恶意应用程序和一些第三方制造商的脆弱设备已经损害了其形象。 周四，在两份报告称多个系列的Android设备预装了恶意软件，如果用户不采取特殊措施就无法删除这些恶意软件之后，这一形象进一步受到损害。 第一个报告来自安全公司趋势科技。研究人员根据在新加坡举行的黑帽安全会议上发表的演讲，报告说多达50个不同品牌的890万部手机被感染了恶意软件。安全公司Sophos的研究人员首先记录了Guerrilla，他们将这种恶意软件命名为Guerrilla，并在Google允许进入其Play市场的15个恶意应用程序中发现。 Guerrilla打开了一个后门，使受感染的设备定期与一个远程命令和控制服务器通信，以检查是否有任何新的恶意更新供他们安装。这些恶意更新收集了用户的数据，威胁者（趋势科技称之为Lemon Group）可以将这些数据出售给广告商。然后，Guerrilla偷偷地安装侵略性的广告平台，这些平台会耗尽电池储备并降低用户体验。 趋势科技研究人员写道： 虽然我们发现Lemon集团为大数据、营销和广告公司做了很多业务，但主要业务涉及大数据的利用： 分析海量的数据和厂商出货量的相应特征，不同用户在不同时间获得的不同广告内容，以及带有详细软件推送的硬件数据。这使得莱蒙集团能够监测到可以进一步感染其他应用程序的客户，从而在此基础上进一步发展，例如只专注于向某些地区的应用程序用户展示广告。 被感染的手机最集中的国家是美国，其次是墨西哥、印度尼西亚、泰国和俄罗斯。 Guerrilla是一个庞大的平台，有近十种插件，可以劫持用户的WhatsApp会话，发送不需要的信息，从受感染的手机建立反向代理，使用受影响移动设备的网络资源，并将广告注入合法应用程序。 不幸的是，趋势科技没有确定受影响的品牌，公司代表也没有回复询问的电子邮件。 第二份报告是由TechCrunch发布的。它详细介绍了通过亚马逊销售的几款基于Android的电视盒子，这些电视盒都带有恶意软件。典型的产品是T95 Allwinner H616，它被观察到由一个控制服务器管理，该服务器就像Guerrilla的服务器一样，可以安装恶意软件制造者想要的任何应用程序。预装在盒子上的默认恶意软件被称为”点击机器人”。它通过偷偷摸摸地在后台点击广告来获得广告收入。 TechCrunch引用了丹尼尔-米利西奇（Daniel Milisic）的报告，他是一名研究人员，碰巧买了一个受感染的电视盒子。米利西奇的发现被电子前沿基金会的研究员比尔-布丁顿独立证实。 出厂时就带有恶意软件的Android设备并不新鲜，其中大多数受影响的机型都属于入门级别。 在市场上购买Android手机的人应该转向知名品牌，这些品牌通常对其库存有更可靠的质量保证控制。到目前为止，还没有关于高端Android设备预装恶意软件的报告。同样，也没有关于iPhone的此类报告。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7235836187238220344/ 封面来源于网络，如有侵权请联系删除

美国司法部当地时间5月9日宣布，由FBI进行的美杜莎联合行动已经成功阻止了来自俄罗斯联邦安全局 (FSB) 的恶意软件Snake，该软件被指窃取北大西洋公约组织 (NATO) 成员国政府的机密文件长达近20年之久。 Snake是由受俄罗斯政府支持的黑客组织Turla（又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug）研发。根据美国网络安全和基础设施安全局 (CISA) 发布的一份咨询报告，Snake 被设计为一种秘密工具，用于对高优先级目标进行长期情报收集，并针对目标创建点对点 (P2P) 全球受感染系统网络，P2P 网络中的多个系统充当中继节点，将伪装的操作流量与Snake恶意软件相连接，从而使活动难以检测。 因此，美国司法部表示，在窃取数据后，Snake能够通过遍布美国及其他地区的受感染机器网络泄露敏感数据，以加大检测难度。 在此次针对Snake的行动中，FBII开发了一种名为 Perseus 的工具，能够让Snake覆盖其自身重要组件，在不影响主机或计算机上的合法应用程序的情况下自行禁用。 但禁用 Snake 的没有修补任何漏洞，也没有搜索或删除黑客组织可能放置在系统上的其他恶意软件或工具，司法部建议采取更多额外措施来保护系统安全。 老牌黑客组织Turla 作为强大的跨平台黑客组织，Turla的一系列策略和工具几乎能够覆盖Windows、macOS、Linux 和 Android四大主流系统，这与其自身存在的时间之长、技术沉淀之多不无关系。 谷歌云 Mandiant 情报分析主管 John Hultquist 表示，Turla是他们所追踪的存在时间最长的黑客组织之一，最早可以追溯到上世纪90年代针对美国及政府机构的攻击，卡巴斯基也曾在2017年发现Turla悄然回收了在90 年代针对美国的网络攻击中使用的代码。今年， Mandiant也观察到 Turla 使用已有 10 年历史的恶意软件 Andromeda 对乌克兰进行监视。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366214.html 封面来源于网络，如有侵权请联系删除

近日，一个名为“AndoryuBot”的新恶意僵尸网络瞄准了Ruckus无线管理面板上的一个严重漏洞。该漏洞可以感染未打补丁的Wi-Fi接入点，用于DDoS攻击。 该漏洞被追踪为CVE-2023-25717，会影响所有版本为10.4及之前版本Ruckus无线管理面板。该漏洞允许远程攻击者通过向易受攻击的设备发送未经认证的HTTP GET请求来执行代码执行。2023年2AndoryuBot首次出现，2月8日被修复，但针对Ruckus设备的更新版本于4月中旬才出现。 僵尸网络恶意软件旨在将易受攻击的设备加入到其DDoS(分布式拒绝服务)群中，以获取利润。 Ruckus攻击细节 恶意软件通过恶意HTTP GET请求感染易受攻击的设备，然后从一个硬编码的URL下载一个额外的脚本，以达到进一步传播的目的。 恶意HTTP请求(Fortinet) Fortinet分析的变体可以针对许多系统架构，包括x86、arm、spc、m68k、mips、sh4和mpsl。恶意软件在感染设备后，通过SOCKS代理协议与C2服务器建立通信、隐身并绕过防火墙，然后等待命令。 建立C2通信(Fortinet)     转自 Freebuf，原文链接：https://www.freebuf.com/news/366099.html 封面来源于网络，如有侵权请联系删除

最近，东亚市场的各个部门都受到了新的电子邮件钓鱼活动的影响，该恶意活动分发了一种以前没有出现过的Android恶意软件，名为FluHorse，基于Flutter软件开发框架。 Check Point在一份技术报告中说：该恶意软件模仿合法的安卓应用程序，其中大多数有超过100万的安装量。通过这些恶意应用程序窃取受害者的凭证和双因素认证（2FA）代码。 目前已发现该恶意软件模仿ETC和VPBank Neo等应用程序，这些应用程序多在越南等地区使用。根据目前收集到的证据显示，该恶意活动从2022年5月开始活跃。 网络钓鱼活动本身是相当无脑的，受害者被诱骗点击的邮件中包含一个假网站的链接，该网站承载着恶意的APK文件。当然，该网站还添加了一些检查，旨在筛选受害者，只有当他们的浏览器User-Agent字符串与安卓系统匹配时，才会提供该应用程序。 一旦安装，该恶意软件要求获得短信权限，并提示用户输入他们的凭证和银行卡信息，所有这些信息随后都被渗入到后台的一个远程服务器，同时要求受害者等待几分钟。 攻击者还滥用他们对短信的访问权，拦截所有传入的2FA代码，并将它们重定向到命令和控制服务器。 值得一提的是这些恶意功能是用Flutter实现的，Flutter是一个开源的UI软件开发工具包，可用于从单一代码库开发跨平台的应用程序。 众所周知，攻击者掌握各种技巧，如逃避检测技术、混淆和执行前的长时间延迟来抵制分析和绕过虚拟环境，但使用Flutter并不常见。这也标志着一种新的攻击手段。 最后，研究人员总结说：恶意软件开发者并没有在编程上投入太多精力，而是依靠Flutter作为开发平台。这种方法使他们能够创建危险的、未被发现的恶意应用程序。使用Flutter的好处之一是，它难以分析的性质使许多安全解决方案变得毫无价值。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/365691.html 封面来源于网络，如有侵权请联系删除

随着公众对生成性人工智能聊天机器人的兴趣越来越大，黑客们越来越多地使用ChatGPT主题的诱饵，在Facebook、Instagram和WhatsApp上传播恶意软件。这是Facebook的母公司Meta的说法，该公司在周三发布的一份报告中说，冒充ChatGPT的恶意软件在其平台上呈上升趋势。 该公司表示，自2023年3月以来，其安全团队已经发现了10个恶意软件家族使用ChatGPT（和类似主题）向用户的设备提供恶意软件。 “在一个案例中，我们看到威胁者创建了官方网店中的恶意浏览器扩展，声称提供基于ChatGPT的工具，”Meta安全工程师Duc H. Nguyen和Ryan Victory在一篇博文中说。”然后他们会在社交媒体上推广这些恶意扩展，并通过赞助的搜索结果来诱使人们下载恶意软件。” Meta公司说，传播Ducktail恶意软件的攻击者越来越多地转向这些以人工智能为主题的诱饵，试图损害能够访问Facebook广告账户的企业。自2021年以来，Ducktail以Facebook用户为目标，窃取浏览器cookie并劫持登录的Facebook会话，从受害者的Facebook账户中窃取信息，包括账户信息、位置数据和双因素认证代码。该恶意软件还允许威胁行为者劫持受害者可以访问的任何Facebook商业账户。 Meta公司周三将Ducktail的传播归咎于来自越南的威胁者，并补充说它已经向该行动背后的个人发出了停止令，并通知了执法部门。 一张截图显示，链接到网站托管平台的恶意软件活动开始针对较小的服务，如给我买杯咖啡–创作者用来接受其受众支持的服务–来托管和提供恶意软件。 Meta公司说，它阻止了指向以ChatGPT为主题的假网页的恶意链接，这些网页承载和传递恶意软件 这家社交媒体巨头还指出，它在1月份发现了一款名为Nodestealer的新恶意软件。与Ducktail非常相似，该恶意软件以基于Windows的浏览器为目标，最终目的是窃取cookie和保存的登录信息，以损害Facebook、Gmail和微软Outlook账户。Meta公司说，它对这一恶意软件采取了早期行动，同样还将其归咎于越南威胁者。Meta公司说，它在发现该恶意软件的两周内就向域名注册商和托管服务商提交了删除请求，这些服务商是恶意软件的目标，以促进其传播。 “这些行动导致了对该恶意软件的成功破坏。”Nguyen和Victory说：”自今年2月27日以来，我们没有观察到NodeStealer系列恶意软件的任何新样本，并继续监测任何潜在的未来活动。” Meta公司表示，它还增加了新的功能，以帮助其产品的企业用户更好地抵御恶意软件攻击。这包括一个新的支持工具，指导人们逐步识别和删除恶意软件，以及对企业账户的新控制，以管理、审计和限制谁能成为账户管理员。Meta公司还宣布将在今年晚些时候推出Facebook at Work账户。这些账户将允许企业用户在不需要个人账户的情况下登录和操作业务管理器，帮助防止从个人账户被泄露开始的攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7228983702586573370/ 封面来源于网络，如有侵权请联系删除

谷歌表示 2022 年期间，为阻止恶意软件传播以及欺诈团伙使用恶意应用程序感染安卓用户的设备，一共封禁了 17.3 万个开发者账户。值得一的是，谷歌对应用程序的审核也变得更加严谨，其发布的“不良应用”年度报告显示，阻止了约 150 万个违法政策的应用程序进入 Google Play 商店。 除了上述举措外，Google Play 的安全团队还阻止了可能导致超过 20 亿美元损失的欺诈和滥用交易。 谷歌加强开发者安全性审查 近些年，谷歌对于安全开发者的安全性审查投入了很多资源，目前，想要加入 Play Store 生态系统的开发者都需要接受大量审查，例如电话和电子邮件身份验证等，此举有助于传播违反谷歌播放政策的应用程序的账户数量大大下降。 不仅如此，谷歌还与软件开发工具包（SDK）供应商开展合作，限制对敏感数据的访问和分享，以确保安卓官方商店 100 多万个应用程序拥有更好的“隐私状态”。 Google Play 2022年 “不良应用 ”报告（来源：谷歌） 总的来说，谷歌在过去三年一直持续加强安卓平台隐私保护，这些措施也起到了很好的作用，阻止大约 50 万个提交到谷歌 Play 商店的应用程序请求和访问敏感权限。 2021 年，谷歌封禁约 19 万个恶意开发者帐户 2021 年，谷歌对恶意程序以及开发者的审查已经在逐渐收紧，全年共阻止了 120 万个违反政策的应用程序，禁止了 19 万个与恶意和垃圾邮件开发者有关的账户，关闭了约 50 万个不活跃或被放弃的开发者账户。 2022 年，Google Play 进行更新，增加了数据安全部分，详细规定了应用程序应该如何收集、共享和保护用户数据。 最后，谷歌指出随着安卓生态系统的扩展，必须与开发者社区密切合作，确保其拥有安全工具、知识和最大支持，以构建尊重用户数据安全、隐私安全的可靠应用程序，后续将继续与 SDK 供应商密切合作，以提高应用程序和 SDK 的安全性，限制用户数据的共享方式，并改善与应用程序开发人员的沟通渠道。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365179.html 封面来源于网络，如有侵权请联系删除  

吃瓜已经成为很多互联网用户热衷的事情。当某个明星的惊天大瓜被曝出，或者哪里发生了什么重大事件，潜在的八卦猎奇心理总会驱使大众去挖掘背后更多的信息，部分用户也凭借掌握的隐私信息而感到沾沾自喜。 近段时间以来，随着明星塌房事件密集曝出，有不法分子开始利用“明星塌房”来传播病毒，利用“独家爆料”、“私密视频”、“聊天记录”等噱头来吸引用户下载运行恶意软件。 例如，国内杀毒软件厂商火绒发现，一种名为RdPack的病毒伪装成某热点明星私密聊天文件（XXXXX聊天记录曝光.exe），在微信群中大肆传播。该经安全人员分析发现，运行病毒后会释放并静默执行RdViewer远控软件，攻击者可通过RdViewer远控软件来操控受害者终端，并执行如文件窃取、监控麦克风和摄像头等恶意功能。 伪装陈明星私密聊天记录的病毒 而在不久前，该厂商还发现另一款名为DcRat的后门病毒新变种，伪装成各类吸引眼球的文件，在微信等社交平台上传播，并诱导用户打开，随后实施收集信息等恶意行为。火绒官方表示，该病毒启动后，会从CC服务器下载执行shellcode，在shellcode中会内存加载.NET后门模块来躲避杀毒软件的查杀，为了防止自身暴露，病毒还会结束安全工具和安全软件进程。 病毒伪装的文件名列表 但只要稍加甄别，就会发现，虽然病毒会伪装成.mp4、.png等多种格式，但无一例外最终的后缀名都是.exe的程序安装文件，只要对来路不明的.exe文件提高警惕，就能很大程度上避免此类病毒攻击。 虽然网络病毒通过伪装的形式进行传播早已不是新鲜事，从伪装成破解版软件、激活工具甚至是一些黑灰产软件，到借助各类热点事件，包装成各类私密消息、内部视频。但在过去，病毒的传播往往需要用户主动搜索、发现，而现在，发达的社交媒体无意间成为病毒传播的放大器，用户随时可能被动接收到大量暗藏病毒的有害信息，让人防不胜防。 可见，社交媒体仍需要进一步强化责任担当，利用技术手段对有害内容进行阻止或屏蔽，而用户也需要进一步提高网络安全意识，要相信天下终究没有免费的午餐，不要为了过分的好奇心或者贪图一时的便宜成为被宰的羔羊。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364486.html 封面来源于网络，如有侵权请联系删除  

近日，卡巴斯基的最新发现显示，一个新的QBot恶意软件正在利用被劫持的商业电子邮件，分发恶意软件。 最开始发现该恶意活动是在2023年4月4日，主要针对德国、阿根廷、意大利、阿尔及利亚、西班牙、美国、俄罗斯、法国、英国和摩洛哥的用户。 QBot（又名Qakbot或Pinkslipbot）是一个银行木马，从2007年开始活跃。除了从网络浏览器中窃取密码和cookies，它还作为后门注入有效载荷，如Cobalt Strike或勒索软件。 该恶意软件通过网络钓鱼活动传播，并不断更新，通过加入反虚拟机、反调试和反沙盒技术以逃避检测。正因为这样，它也成为2023年3月最流行的恶意软件。 卡巴斯基研究人员解释，早期，QBot的传播方式是通过受感染的网站和盗版软件传播的。现在则是通过银行木马已经驻留在其计算机上的恶意软件，社交工程和垃圾邮件传递给潜在的受害者。 电子邮件网络钓鱼攻击并不新鲜。其目的是诱使受害者打开恶意链接或恶意附件，一般情况下，这些文件被伪装成一个微软Office 365或微软Azure警报的封闭式PDF文件。 打开该文件后，就会从一个受感染的网站上检索到一个存档文件，该文件又包含了一个混淆的Windows脚本文件（.WSF）。该脚本包含一个PowerShell脚本，从远程服务器下载恶意的DLL。下载的DLL就是QBot恶意软件。 调查结果发布之际，Elastic Security Labs还发现了一个多阶段的社会工程活动，该活动使用武器化的Microsoft Word文档通过自定义方式分发Agent Tesla和XWorm。基于 NET 的加载程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363877.html 封面来源于网络，如有侵权请联系删除