自去年推出以来，ChatGPT以其撰写文章、诗歌、电影剧本等的能力在技术爱好者中引发轰动。该人工智能工具甚至可以生成功能性代码，只要给它一个写得很好、很清晰的提示。虽然大多数开发者会将该功能用于完全无害的目的，但一份新的报告表明，尽管OpenAI设置了保障措施，它也可以被恶意行为者用来创建恶意软件。 一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。 Forcepoint的Aaron Mulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。 Mulgrew将自己描述为恶意软件开发的”新手”，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。 Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。 这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。 尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。   Mulgrew说整个过程”只花了几个小时”。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。 虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218626932374503975/ 封面来源于网络，如有侵权请联系删除

拜登政府正试图钳制政府使用商业间谍软件，这些软件也可能被其他国家用来损害其利益。总统已经签署了一项行政命令，称联邦机构不能使用”对美国政府构成重大反间谍或安全风险或被外国政府或外国人士不当使用的重大风险”的间谍软件。 该命令确切地说明了什么是间谍软件–在用户不知情的情况下从设备中窃取信息和数据的软件–被美国政府使用的资格。如果是这样就不允许： 被外国个人或政府用来攻击美国政府 被一个有意在未经美国政府许可的情况下发布有关美国政府活动的”非公开信息”的实体出售 “在试图监视美国的”外国政府或外国人士的直接或有效控制之下 被用于监视美国公民或通过监视活动家、学者、记者、持不同政见者、政治人物或非政府组织成员或边缘化社区来侵犯人权 还出售给”从事系统的政治镇压行为，包括任意逮捕或拘留、酷刑、法外或出于政治动机的杀戮，或其他严重侵犯人权的国家”。 政府机构在确定某件间谍软件是否符合这些条件时，确实有一点回旋余地。如果开发商在得知此事后采取了”适当的措施”，如取消违规方的合同或与美国合作”反击”该软件的不当使用，那么该间谍软件被用来对付美国也是可以的。政府还必须考虑间谍软件供应商在出售软件时是否”知道或有理由知道”该软件会被滥用。 白宫官员并没有具体说明被禁止的确切软件列表，但现在有许多公开的商业间谍软件应用为政府提供服务(还有更多的黑市中售卖的软件）。 虽然该命令不是对间谍软件的彻底禁止，但它可能排除了市场上的许多产品。除非该软件是专门卖给美国政府的，否则几乎没有办法确定外国实体是否也在使用它来针对美国或该命令所保护的人群类型。 例如，NSO集团的PegASUS（飞马）间谍软件据称有保障措施；该公司声称它只出售给经以色列国防部批准的政府机构。记者发现，这种间谍软件可以悄悄地入侵手机，窃取和记录各种数据，很可能被一些政府用来对付国家元首、记者、活动家和其他人(据称联邦调查局也考虑过使用它）。 Pegasus在美国已经被完全禁止；2021年，美国商务部将NSO和Candiru一起列入其实体名单，禁止美国公司与它做生意。例如，据《纽约时报》报道，这意味着它不能从戴尔和微软等公司购买硬件和软件。然而，Pegasus远不是政府使用的唯一间谍软件。据报道，一名Meta公司的员工的手机被希腊国家情报机构使用Cytrox的Predator间谍软件入侵。 值得注意的是，这项命令将间谍软件定义为可以让你在未经授权的情况下进入一台电脑，从而获取电脑上的数据，从电脑上录制音频和视频，或追踪其位置的软件。政府经常使用黄貂鱼（Stingray）等技术跟踪人们的位置，或通过其他方式获得数据，如支付数据经纪人。人们可能会认为这是他们的手机被用来监视他们，但提供这些数据的应用程序并没有被算作间谍软件。 沿着这条线索，该命令明确指出外国政府或人们使用间谍软件来针对记者、政治家和活动家。然而，美国政府也有在其境内外对这些群体的人进行电子监控的历史。 政府并不是唯一对这样的间谍软件采取行动的实体。例如，苹果公司已经起诉了NSO集团，并为其设备引入了”锁定模式”，旨在使其更难在设备上远程安装间谍软件。       转自 cnBeta，原文链接：https://www.toutiao.com/article/7215356825724518972/ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Emotet 恶意软件以美国纳税人为目标，冒充美国国税局向受害者发送 W-9 纳税申报表，进行钓鱼活动。 Emotet 作为一款臭名昭著的恶意软件，主要通过网络钓鱼电子邮件传播，这些电子邮件包含带有恶意宏的 Microsoft Word 和 Excel 文档。在微软默认阻止下载的 Office 文档中存在宏后，Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。 据悉，一旦安装了 Emotet，该恶意软件便会窃取受害者的电子邮件，用于未来的回复链攻击，发送更多的垃圾邮件，并安装其它恶意软件，为勒索软件团伙等其它威胁郭建者提供初始访问权限。 Emotet 为美国税收做好了“准备” Emotet 恶意软件通常使用“主题式”钓鱼活动，以搭上假期和年度商业活动的便车，例如当前的美国纳税季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人员观察到的新网络钓鱼活动中，Emotet 恶意软件以纳税人为目标，发送附有虚假 W-9 纳税表附件的电子邮件。 Malwarebytes 研究人员发现，威胁攻击者冒充美国国税局的“检查员”，发送标题为“美国国税局纳税申报表 W-9”的电子邮件。 在这些钓鱼电子邮件中有一个名为“W-9 form.ZIP”的 ZIP 存档，其中包含了一个恶意的 Word 文档。此Word 文档已“膨胀”到 500MB 以上，使安全软件更难检测到它是恶意的。 冒充国税局的 Emotet 电子邮件（来源： Malwarebytes） 目前，微软默认阻止宏，用户不太可能遇到启用宏的麻烦，也不太可能使用恶意 Word 文档感染宏。 Emotet Word 文档（来源： BleepingComputer） 在 Unit42 Brad Duncan 观察到的 Emotet 网络钓鱼活动中，攻击者通过使用带有嵌入 VBScript 文件的Microsoft OneNote 文档来绕过这些限制，这些文件安装了 Emotet 恶意软件。 此外，网络钓鱼活动使用回复链电子邮件，其中包含假装来自向用户发送 W-9 表格的业务合作伙伴的电子邮件，如下所示： 带有恶意的微软 OneNote 附件的 Emotet 回复链电子邮件（来源：Unit42） 所附的 OneNote 文件将假装受到保护，要求用户双击 “查看 “按钮，查看文件。但是，隐藏在 “查看 “按钮下面的是一个 VBScript 文档，它将被同步启动。 冒充 W-9 表格的恶意微软 OneNote 文件（资料来源：BleepingComputer：） 在启动嵌入式 VBScript 文件时，微软 OneNote 会警告用户该文件可能是恶意的。不幸的是，“历史经验”告诉我们，许多用户无视这些警告，只是让文件运行。 一旦执行，VBScript 将下载 Emotet DLL 并使用 regsvr32.exe 运行它。此后，该恶意软件现在将悄悄地在后台运行，窃取电子邮件、联系人，并等待进一步的有效载荷安装到设备上。 最后提醒用户，如果收到任何声称是 W-9 或其他税表的电子邮件，首先应使用本地杀毒软件扫描这些文件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361692.html 封面来源于网络，如有侵权请联系删除  

AhnLab安全应急响应中心（ASEC）发现了ShellBot恶意软件的一种新变种，该变种被用于针对Linux SSH服务器。 ShellBot，也称为PerlBot，是一个基于Perl的DDoS机器人，使用IRC协议进行C2通信。 ShellBot 对打开端口 22 的服务器执行 SSH 暴力攻击，它使用包含已知 SSH 凭据列表的字典。 ShellBot恶意软件是攻击者在目标系统上使用扫描仪和SSH暴力破解恶意软件获得的帐户凭据之后安装的。在扫描具有可操作端口 22 的系统后，攻击者会搜索 SSH 服务处于活动状态的系统，并使用常用的 SSH 帐户凭据列表来发起字典攻击。 以下是 ShellBot 操作员用于危害目标服务器的帐户凭据列表： USER PASSWORD deploy password hadoop hadoop oracle oracle root 11111 root Passw0rd ttx ttx2011 ubnt ubnt 研究人员将ShellBot分为三个不同的组，因为攻击者可以创建自己的版本：LiGhT的Modded perlbot v2，DDoS PBot v2.0和PowerBots（C）GohacK。 LiGhT 的 Modded perlbot v2 和 DDoS PBot v2.0 支持使用 HTTP、TCP 和 UDP 协议的多个 DDoS 攻击命令。PowerBots （C） GohacK支持后门功能，包括反向shell和文件下载功能。 此外，威胁行为者可以使用各种其他后门功能来安装其他恶意软件或从受感染的服务器发起不同类型的攻击。 研究人员建议为管理员帐户使用强密码，并定期更改它们，以保护Linux服务器免受暴力攻击和字典攻击。他们还建议使服务器保持最新状态并使用安全程序。       转自 Freebuf，原文链接：https://www.freebuf.com/news/361255.html 封面来源于网络，如有侵权请联系删除

近日，Morphisec 的网络安全研究人员发现了一种新的高级信息窃取程序，称为 SYS01 窃取程序，自 2022 年 11 月以来，该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。 专家们发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件（跟踪为 S1deload）之间存在相似之处。“我们已经看到 SYS01 窃取者攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户，这些账户宣传游戏、成人内容和破解软件等内容，以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息，包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。” 专家报告说，该活动于2022年5月首次被发现，Zscaler 研究人员将其与Zscaler 的Ducktail 行动联系起来 。2022 年 7 月，WithSecure（前身为 F-Secure Business）的研究人员首次分析了DUCKTAIL 活动，该活动针对在 Facebook 的商业和广告平台上运营的个人和组织。 攻击链首先引诱受害者点击虚假 Facebook 个人资料或广告中的 URL，以下载假装有破解软件、游戏、电影等的 ZIP 文件。 打开 ZIP 文件后，将执行加载程序（通常采用合法 C# 应用程序的形式）。该应用程序容易受到 DLL side-loading的攻击，这是一种用于在调用合法应用程序时加载恶意 DLL 的技术。 专家观察到威胁行为者滥用合法应用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 来旁加载恶意负载。 最后一个阶段的恶意软件是基于 PHP 的 SYS01stealer 恶意软件，它能够窃取浏览器 cookie 并滥用经过身份验证的 Facebook 会话来窃取受害者 Facebook 帐户中的信息。 最终目标是劫持受害者管理的 Facebook 商业账户。 为了从受害者那里窃取 Facebook 会话 cookie，恶意软件会扫描机器以查找流行的浏览器，包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。对于它找到的每个浏览器，它都会提取所有存储的 cookie，包括任何 Facebook 会话 cookie。 该恶意软件还从受害者的个人 Facebook 帐户中窃取信息，包括姓名、电子邮件地址、出生日期和用户 ID，以及其他数据，例如 2FA 代码、用户代理、IP 地址和地理位置 该恶意软件还能够将文件从受感染的系统上传到 C2 服务器，并执行 C&C 发送的命令。恶意代码还支持更新机制。 “帮助防止 SYS01 窃取者的基本步骤包括实施零信任政策和限制用户下载和安装程序的权利。SYS01 窃取者本质上依赖于社会工程活动，因此培训用户了解对手使用的技巧非常重要，这样他们就知道如何发现他们。” Morphisec 总结道，它还提供了妥协指标 (IoC)。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/SXnDLFpIgEZABFAJEK7MqQ 封面来源于网络，如有侵权请联系删除

近日，斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI（统一可扩展固件接口）的bootkit恶意软件——BlackLotus（黑莲花），已在地下网络黑市中销售，构成重大网络安全威胁。 BlackLotus利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中，可以完全控制操作系统启动过程，而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。（通俗来说，就是可以把受害者的电脑变成“肉鸡”） 报告称，开发者以5000美元（以及每个新的后续版本200美元）的价格出售BlackLotus，其工具包使用Assembly和C开发，文件大小仅有80KB。 BlackLotus还有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。 有关BlackLotus的信息最早于2022年10月首次公开，当时卡巴斯基安全研究员Sergey Lozhkin将其描述为一种复杂的犯罪软件工具。 Eclypsium的Scott Scheferman表示：“BlackLotus工具包的公开售卖是一次飞越，在易用性、可扩展性、可访问性方面都有重大突破，更重要的是，其持久性、逃避和/或破坏的能力构成重大潜在威胁。” 根据ESET的说法，该漏洞的成功利用允许在早期启动阶段执行任意代码，从而允许威胁行为者在启用UEFI安全启动的系统上执行恶意操作，而无需物理访问它。 虽然微软在2022年1月的补丁星期二更新中修复了Baton Drop漏洞，但ESET研究人员Martin Smolár表示：“对该漏洞的利用仍然是可能的，因为受影响的、有效签名的二进制文件仍未添加到UEFI撤销列表中。”BlackLotus利用了这一点，将其自己的合法但存在漏洞的二进制文件拷贝带到系统中以利用该漏洞，也就是所谓的自带易受攻击驱动程序(BYOVD)攻击。 除了可以关闭BitLocker、Hypervisor保护的代码完整性(HVCI)和Windows Defender等安全机制外，BlackLotus还可删除内核驱动程序和与命令和控制(C2)服务器通信的HTTP下载程序，以检索其他用户模式或内核模式恶意软件。 用于部署BlackLotus的确切操作方式目前尚不清楚，报告称它从安装一个程序组件开始，该组件负责将文件写入EFI系统分区，禁用HVCI和BitLocker，然后重新启动主机。 重启之后将武器化CVE-2022-21894漏洞以实现持久化并安装bootkit，之后在每次系统启动时自动执行以部署内核驱动程序。 该驱动程序的任务是启动用户模式HTTP下载工具并运行下一阶段的内核模式负载，后者能够执行通过HTTPS从C2服务器接收的命令。包括下载和执行内核驱动程序、DLL或常规可执行文件；获取bootkit更新，甚至从受感染的系统中卸载bootkit。 “UEFI的沦陷并非偶然。在过去几年中，业界发现了许多影响UEFI系统安全的高危漏洞，”Smolár说：“不幸的是，由于整个UEFI生态系统和供应链问题的复杂性，即使在漏洞被修复很长时间之后，或者至少在我们被告知它们已被修复之后，大量系统仍然存在漏洞并容易遭受攻击。”     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/sy6MHFg_NgrqQGoLGKSWkg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，暗网市场出现了一个名为 Stealc 的新恶意软件，由于大肆宣传窃取信息的能力，以及与 Vidar、Raccoon、Mars 和 Redline 等同类恶意软件具有相似性，获得行业内广泛关注。 据悉，2023 年 1 月，网络威胁情报公司 SEKOIA 安全研究人员首次发现了 Stealc ，一个月后，观察到该恶意软件开始进行恶意活动。 Stealc 恶意软件在暗网上大肆推广 最早，一位名叫 Plymouth 的用户在黑客论坛上发布了大量有关 Stealc 的“广告”，宣称其是一种具有广泛数据窃取能力以及具有易使用管理面板的恶意软件。 暗网上宣传 Stealc 的帖子 (SEKOIA) 从“广告”内容来看，Stealc 除了能针对网络浏览器数据、扩展程序和加密货币钱包等典型目标外，还有一个可定制化的文件抓取器，能够人为设置想要窃取的任意文件类型。 发布最初的“宣传广告”后，Plymouth 陆续在其它黑客论坛上大肆推广 Stealc 恶意软件，以期向潜在客户提供测试样本，达成交易。 此外，Plymouth 还特地建立一个 Telegram 频道，专门发布 Stealc 新版本的更新日志（最新版本为 V1.3.0，于 2023 年 2 月 11 日发布），需要警惕的是，该恶意软件正在疯狂迭代中，几乎每周都会推出更新版本。 某些帖子中，Plymouth 指出 Stealc 恶意软件并非从零开发，而是基于 Vidar、Raccoon、Mars 和 Redline 等恶意软件优化而来。研究人员对 Stealc 深入分析后发现，该恶意软件和 Vidar、Raccoon 和 Mars 等确实有相似之处，几者都是通过下载合法的第三方 DLL（如sqlite3.dll、nss3.dll），来窃取受害者敏感数据。 Stealc 的功能 今年 1 月首次发布以来，Stealc 更新了许多功能，其中包括随机化 C2  URL 的系统、更好的日志（被盗文件）搜索和排序系统，以及乌克兰受害者自动排除系统。 恶意软件开发时间线（SEKOIA） SEKOIA 通过分析捕获的样本，发现 Stealc 的部分特征如下。 轻量级构建：只有 80KB 使用合法的第三方 DLLs 用 C 语言编写，滥用 Windows API 函数 大多数字符串用 RC4 和 base64 进行混淆 能够自动渗出被盗数据 攻击目标：22 个网络浏览器、75 个插件和 25 个桌面钱包。 部署过程中，Stealc 恶意软件会对自身字符串进行解密，并执行反分析检查，以确保其不会在虚拟环境或沙盒中运行。之后，立刻动态加载 WinAPI 函数并启动与 C2 服务器的通信，在第一条信息中发送受害者的硬件标识符和构建名称，并接收响应配置。 目标浏览器的配置指令（SEKOIA） 接下来，Stealc 开始从目标浏览器、扩展程序和应用程序中收集数据，如果处于激活状态，会执行其自定义文件抓取器，最后将所有内容导出到 C2。值得一提的是，窃密活动结束后，Stealc 会把自身和下载的DLL 文件从被感染的主机上删除，以清除入侵痕迹。 研究人员观察到 Stealc 其中之一的传播方式是通过 YouTube，这些视频描述如何安装破解软件并链接到下载网站。 最后，研究人员指出，这些下载的软件中嵌入了 Stealc 恶意软件，一旦用户安装程序，恶意软件就开始了“常规”工作，并迅速与其服务器进行通信。因此建议用户不要安装盗版软件，从官方网站下载产品。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358256.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现Python软件包索引（PyPI）中存在四个不同的流氓软件包，包括投放恶意软件，删除netstat工具以及操纵SSH authorized_keys文件。 存在问题的软件包分别是是aptx、bingchilling2、httops和tkint3rs，这些软件包在被删除之前总共被下载了约450次。其中aptx是冒充高通公司比较流行的同名音频编、解码器，而httops和tkint3rs则分别是https和tkinter的盗版。不难看出这些软件包的名字都是刻意伪装过的的，目的就是为了迷惑人们。 经过对安装脚本中注入的恶意代码分析显示，存在一个虚假的Meterpreter有效载荷，它被伪装成 “pip”，可以利用它来获得对受感染主机的shell访问。 此外，还采取了一些步骤来删除用于监视网络配置和活动的netstat命令行实用程序，以及修改.ssh/authorized_keys 文件以设置用于远程访问的 SSH 后门。 但是有迹象表明，潜入软件存储库的恶意软件是一种反复出现的威胁，Fortinet FortiGuard 实验室发现了五个不同的 Python 包——web3 -essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester 旨在收集和泄露敏感信息。 这些威胁是在 ReversingLabs 揭示了一个名为 aabquerys 的恶意 npm 模块时发布的，该模块伪装成合法的 abquery 包，试图诱骗开发人员下载它。 就其本身而言，经过混淆的 JavaScript 代码具有从远程服务器检索第二阶段可执行文件的功能，而远程服务器又包含一个 Avast 代理二进制文件 (wsc_proxy.exe)，已知该文件容易受到 DLL侧载攻击。 这使攻击者能够调用一个恶意库，该恶意库被设计为从命令和控制（C2）服务器上获取第三阶段的组件Demon.bin。 ReversingLabs研究员Lucija Valentić说：”Demon.bin是一个具有典型的RAT（远程访问木马）功能的恶意代理，它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的。 此外，据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本，它们有可能是aabquerys的早期迭代。 Havoc 远非唯一在野外检测到的 C2 利用框架，犯罪分子还在恶意软件活动中利用 Manjusaka、Covenant、Merlin 和 Empire 等自定义套件。 调查结果最后还强调了恶意软件包潜伏在npm 和 PyPi 等开源存储库中的风险越来越大，这可能会对软件供应链产生严重影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357434.html 封面来源于网络，如有侵权请联系删除

安全研究人员说，他们最近观察到一个俄罗斯黑客团队，他们是破坏性的WhisperGate恶意软件网络攻击的幕后黑手，以一种新的信息窃取恶意软件为手段攻击乌克兰实体。 TA471与WhisperGate有关，这是一种破坏性的数据清除恶意软件，在2022年1月针对乌克兰目标的多个网络攻击中使用。该恶意软件伪装成勒索软件，但使目标设备完全无法操作，即使支付赎金要求也无法恢复文件。 据赛门铁克称，该黑客组织的最新活动依靠以前未曾见过的信息窃取恶意软件，这被称之为”Graphiron”，特别用于针对乌克兰组织。据研究人员称，该恶意软件被用来从2022年10月至至少2023年1月中旬的受感染机器中窃取数据，有理由认为它仍然是[黑客]工具包的一部分。” 这种窃取信息的恶意软件使用的文件名旨在伪装成合法的微软Office文件，与其他TA471工具类似，如GraphSteel和GrimPlant，它们之前被用作专门针对乌克兰国家机构的鱼叉式钓鱼活动的一部分。但赛门铁克表示，Graphiron旨在渗出更多数据，包括屏幕截图和私人SSH密钥。 赛门铁克威胁猎手团队首席情报分析师迪克-奥布莱恩（Dick O’Brien）表示：”从情报角度来看，这些信息本身可能是有用的，或者可以用来深入目标组织或发起破坏性攻击。虽然对这个黑客组织的来源或战略知之甚少，但TA471已经成为俄罗斯对乌克兰持续进行的网络活动中的关键角色之一。” TA471的最新间谍活动的消息是在乌克兰政府对另一个俄罗斯国家支持的黑客组织（被称为UAC-0010）敲响警钟后的几天，该组织继续对乌克兰组织进行频繁的网络攻击活动。 乌克兰国家网络保护中心说：”尽管主要使用重复的技术和程序，但对手缓慢但坚持地发展他们的战术，重新开发使用的恶意软件变体，以保持不被发现。因此，它仍然是我们国家的组织所面临的关键网络威胁之一”。 赛门铁克的威胁猎手团队将这一活动归因于一个与俄罗斯有关的网络威胁行为者，它之前被称为TA471（或UAC-0056），自2021年初以来一直活跃，该组织支持俄罗斯政府的利益，虽然它主要针对乌克兰，但该组织也一直活跃在北美和欧洲的北约成员国。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7197753708414042676/ 封面来源于网络，如有侵权请联系删除

网络安全公司 Trellix 披露，GuLoader 恶意软件“盯上了”韩国和美国的电子商务行业。 据悉，GuLoader 恶意软件 进行了升级迭代， 从带有恶意软件的 Microsoft Word 文档过渡到了 NSIS 可执行文件（ NSIS ：Nullsoft Scriptable Install System 的缩写，一个脚本驱动的开源系统，主要用于开发 Windows 操作系统的安装程序）。值得一提的是，此次 GuLoader 勒索软件攻击目标还包括德国、沙特阿拉伯、中国台湾和日本等区域。 GuLoader 恶意软件升级迭代 Trellix 研究人员 Yturriaga 表示，2021 ， GuLoader 恶意软件攻击链利用了包含宏定位 Word 文档的 ZIP 存档，删除负责加载 GuLoader 的可执行文件，经版本更新后，开始使用嵌入 ZIP 或 ISO 映像中的 NSIS 文件来激活感染链。 此外，据说用于交付 GuLoader 的 NSIS 脚本已经变得越来越复杂，它封装了额外的混淆和加密层来隐藏外壳代码，这一进化标志着威胁形势发生了更广泛的变化。随着微软阻止从互联网下载 Office 文件中的宏，恶意软件分发的方法开始激增。 最后，Yturriaga 强调 GuLoader 外壳代码迁移到 NSIS 可执行文件上这一变化，展现了网络犯罪分子为逃避检测、防止沙盒分析和阻碍逆向工程等方面的创造力和持久性。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356819.html 封面来源于网络，如有侵权请联系删除