据The Hacker News消息，安全研究人员在对iOS Find My功能进行安全分析时，首次发现了一种全新的攻击面，攻击者可篡改固件并将恶意软件加载到蓝牙芯片上，使该芯片在 iPhone “关闭”时执行。 这是一种全新的恶意软件潜在的运行方式，其原理是利用了iOS在“电源储备”低功耗模式 (LPM) 时关机，但蓝牙、近场通信(NFC)和超宽带(UWB)相关的无线芯片依旧继续运行的机制。 达姆施塔特工业大学的Secure Mobile Networking实验室 (SEEMOO) 的研究人员在一篇文章中写到，苹果这样做是为了启用Find My等功能并促进Express Card交易，但也让三种无线芯片都可以直接访问所有安全元件。 研究人员表示，蓝牙和UWB芯片被数据线连接到NFC芯片中的安全元素(SE)上，存储那些应该可以在LPM中使用的机密数据。 “由于LPM支持是在硬件中实现的，因此无法通过更改软件组件来删除它。现有的iPhone关机后无法关闭无线芯片，这构成了一种新的威胁模型。” 具体的调查结果将会在本周举办的ACM无线和移动网络安全隐私会议 (WiSec 2022) 上公布。 LPM 功能是苹果在2021年iOS 15中新推出的，即使电池电量耗尽或已关闭，也可以使用“查找我的网络”跟踪丢失的设备。当前支持超宽带的设备包括iPhone 11、iPhone 12和iPhone 13。 关闭iPhone 时显示的消息如下：“iPhone 关机后仍可找到。Find My可帮助您在iPhone丢失或被盗时找到它，即使它处于省电模式或关机时也是如此。” 研究人员将当前的 LPM 实现称为“不透明”，同时他们发现，在断电期间初始化Find My广告时有机会观察到失败，这与上述消息实际上相矛盾，他们还发现蓝牙固件既没有签名，也没有加密。 通过利用这个漏洞，具有特权访问权限的攻击者可以创建在iPhone蓝牙芯片上执行的恶意软件，那么即使它关机了也可以执行。但是，要发生这种固件泄露，攻击者必须要通过操作系统、固件通信以及修改固件映像。 换句话说，这个想法是改变LPM应用程序线程以嵌入恶意软件，例如那些可以提醒恶意行为者受害者的Find My Bluetooth 广播，使攻击者能够远程监视目标。 SEEMOO 研究人员指出：“除了更改现有功能外，他们还可以添加全新的功能。”此前他们已经向苹果披露了所有问题，但这家科技巨头“没有反馈”。 由于 LPM 相关功能采用更隐蔽的方法来执行其预期的案例，SEEMOO 呼吁 Apple增加一个基于硬件的开关来断开电池，以减轻固件级攻击可能引起的任何监视问题。 SEEMOO研究人员进一步表示，由于LPM的功能是基于iPhone的硬件，所以无法通过系统更新将其删除，它对整个 iOS 安全模型产生持久的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333382.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站5月12日消息，目前，在网络上出现了一个名为“Eternity “（永恒不朽）的恶意软件即服务项目，威胁参与者可以购买恶意软件工具包，并根据所进行的攻击使用不同的模块进行定制。 这个模块化的工具包包括了信息窃取器、挖矿器、剪切板、勒索软件程序、蠕虫传播器以及即将上线的 DDoS攻击机器人，其中的每一个模块都单独购买。目前，该工具包正在一个 拥有 500 多名成员的专用 Telegram 频道上进行推广，发布者在该频道上会发布更新说明、使用说明并讨论相关的使用建议。对于那些购买了恶意软件工具包的人，可以在选择他们想要激活的功能并使用加密支付后，利用 Telegram Bot 自动构建二进制文件。 Eternity提供的主要模块 工具概览 以包年为时间单位，这些不同模块价格差异也往往较大： 挖矿器：90美元/年，具有隐藏任务管理器、进程被杀死时自动重启和启动持久性的功能； 剪切板：110 美元/年，是一种实用程序，可监视剪贴板中的加密货币钱包地址，以将其替换为攻击者自身的钱包； 信息窃取器：260 美元/年，能窃取存储在 20 多个网络浏览器中的密码、信用卡、书签、令牌和cookie 等数据； 蠕虫传播器： 390 美元/年，使恶意软件能够通过 USB 驱动程序、本地网络共享、本地文件、云驱动器、Python 项目（通过解释器）、Discord 帐户和 Telegram 帐户自行传播； 勒索软件程序：490 美元/年，能够针对文档、照片和数据库使用 AES 和 RSA 组合的离线加密。开发者声称它是 FUD（完全无法检测到），并且能够设置一个倒计时器，使文件在到期时完全无法恢复，以给受害者带来额外的压力，迫使他们迅速支付赎金。 勒索软件倒计时器 发现Eternity 项目的Cyble 分析师认为，虽然他们还没有机会检查所有模块，但他们已经看到恶意软件的样本在野外传播和使用，并且在Telegram上已经搜集到了一些真实的威胁反馈。 通过查看窃取器模块，Cyble 分析师发现与 Jester Stealer 有几个相似之处，两者都可能源自一个名为DynamicStealer的 GitHub 项目。因此，Eternity很可能是该代码的副本，通过进行修改和更名后在Telegram 上出售。 由于这些模块支持自动化构建，并对如何使用进行了详细说明，使其能够成为“新手”黑客手中的有力武器，并对互联网用户构成严重威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/333021.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，网络安全研究人员发现一个名为 Nerbian RAT 的新型恶意软件，它具有逃避研究人员检测和分析的能力。 Proofpoint 的安全研究人员首先发现该新型恶意软件，并发布了一份关于新型 Nerbian RAT 恶意软件的报告。 据悉，新型恶意软件变体采用 Go 语言编写，使其成为跨平台的64位威胁。目前，该恶意软件通过使用宏文档附件的小规模电子邮件分发活动进行传播。 冒充世界卫生组织 恶意软件背后的操纵者冒充世界卫生组织（WHO），分发 Nerbian RAT 恶意软件，据称该组织正在向目标发送COVID-19信息。 最新活动中看到的钓鱼邮件（Proofpoint） RAR  附件中包含带有恶意宏代码的 Word 文档，如果在 Microsoft Office 上打开，并将内容设置为 “启用”的话，一个 bat 文件会执行 PowerShell 步骤，下载一个 64 位的 dropper。 这个名为 UpdateUAV.exe 的 dropper 也采用  Golang  编写，为了保证其大小可控，被打包在 UPX 中。 在部署 Nerbian RAT 之前，UpdateUAV 重用来自各种 GitHub 项目的代码，以整合一组丰富的反分析和检测规避机制。除此以外，该投放器还通过创建一个预定任务，每小时启动该 RAT 来建立持久性。 Proofpoint 将反分析工具列表总结如下: 检查进程列表中是否存在反向工程或调试程序 检查可疑的 MAC 地址 检查 WMI 字符串，看磁盘名称是否合法 检查硬盘大小是否低于 100GB，这是虚拟机的典型特征 检查进程列表中是否存在任何内存分析或篡改检测程序 检查执行后的时间量，并与设定的阈值进行比较 使用 IsDebuggerPresent API 来确定可执行文件是否正在被调试。 所有上述这些检查使 RAT 实际上不可能在沙盒、虚拟化环境中运行，从而确保恶意软件运营商的长期隐蔽性。 Nerbian RAT 的功能特点 Nerbian RAT 恶意软件以 “MoUsoCore.exe “形式下载，之后保存到 “C:\ProgramData\USOShared\”中，支持多种功能，背后操作者可以任意选择配置其中的一些功能。 值得注意的是，它具有两个显著功能，一个是以加密形式存储击键的键盘记录器，另外一个是适用于所有操作系统平台的屏幕捕获工具。 另外，它与 C2 服务器的通信是通过 SSL（安全套接字层）处理的，因此所有的数据交换都是加密的，并受到保护，有效防止了网络扫描工具在传输过程中进行检查。 完整的感染过程 （Proofpoint） 应当密切关注 毫无疑问，Proofpoint 发现的 Nerbian RAT ，是一个有趣的、复杂的新型恶意软件，它通过大量的检查、通信加密和代码混淆，专注于隐蔽性。 不过，就目前而言，Nerbian RAT 恶意软件还是通过低容量的电子邮件活动进行分发，所以还构不成大规模威胁，但如果其背后操作者决定向更广泛的网络犯罪社区传播，情况可能会变得很糟糕。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332896.html 封面来源于网络，如有侵权请联系删除

5月11日，网络安全研究人员在NPM注册表中发现了一些恶意软件包，专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示，“与NPM库中发现的大多数恶意软件相比，这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件，攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示，根据现有证据，这要么是一个复杂的威胁行为，要么是一个“非常激进”的渗透测试。 目前，大部分恶意软件包已经从注册表中移除，研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm，这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体，它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告，该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”，并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中，掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为，称上传至NPM的恶意模块版本号比私有模块的版本号更高，从而迫使模块进入目标环境，这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本，与恶意软件包的公开版本名称相同，但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”，并指出该恶意软件包含两个组件，一个是传输器，它在解密和执行JavaScript后门之前，向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制，但设计用于接收和执行硬编码的命令和控制服务器发送的命令，评估任意JavaScript代码，并将文件上传回服务器。 研究人员称，这次攻击的目标非常明确，并且其掌握了非常机密的内部信息，甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前，以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动，该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332868.html 封面来源于网络，如有侵权请联系删除

Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件，可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月，网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来，Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。 （来自：Red Canary 官网） 除了潜藏旗下的恶意软件性质，我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。 攻击流程图 当用户将受感染的 USB 驱动器连接到他们的计算机时，Raspberry Robin 就会在暗地里开启传播。 利用 ROT13.lnk 文件来修改注册表 该蠕虫会将自己伪装成 .lnk 快捷方式文件，然后调用 Windows 命令提示符（cmd.exe）来启动恶意软件。 Raspberry Robin 的 cmd.exe 命令 接着它会利用微软标准安装程序（MSIexec.exe）连接到远程的命令与控制（C2）服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。 引用设备名称的混合大小写命令 Red Canary 推测，Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库（DLL）文件，以维持长期潜伏状态。 Raspberry Robin 的恶意 msiexec.exe 命令 然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器（fodhelper）旨在绕过用户账户控制（UAC），而 ODBC 驱动程序配置工具（odbcconf）则用于执行与配置 DLL 。 恶意 rundll32.exe 命令 不过安全研究人员承认这只是一个可行的假设，当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1267401.htm 封面来源于网络，如有侵权请联系删除

由安全专家、研究人员和网络工程师们组成的 Zscaler ThreatLabz 团队，刚刚曝光了一款名为 Win32.PWS.FFDroider 的新型恶意软件。据悉，这款基于 Windows 平台的恶意软件，能够创建一个名为 FFDroider 的注册表项，并将窃取到的凭据和 cookie 发送到被攻击者把持的命令与控制（C&C）服务器。 （图自：Zscaler ThreatLabz） 研究团队发现，FFDroider 恶意软件会将自己伪装成热门消息应用“电报”（Telegram）。 命名与控制服务器记录（初始请求包括了受感染主机的文件名和 IP 地址） 在受害者访问设备时，FFDroider 会开始通过各大浏览器（包括 Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge）窃取 cookie 和凭据。 显示被盗 Instagram 账户信息的加密请求 FFDroider 不仅会利用盗取来的 cookie 登录受害者使用的社交媒体平台以提取更多个人敏感信息，还会通过展示虚假广告来诱骗受害者输入他们的敏感信息，结果导致进一步的攻击。 包含来自受感染的 Facebook Cookie 的被盗信息的解密请求 深入分析发现，FFDroider 广泛针对 Facebook / Instagram / Twitter 等社交平台、以及亚马逊 / eBay / Etsy 等电商网站的用户发起了攻击。 从 Instagram 窃取的敏感数据的解密请求 为避免造成更大的损失，Zscaler 团队呼吁大家不要通过来路不明的渠道下载 Telegram 应用程序、并设置必要的安全防护措施 —— 包括保持计算机软件更新至最新状态、以及对社交媒体账户设置双因素身份验证。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257739.htm 封面来源于网络，如有侵权请联系删除

考虑到有那么多受恶意软件感染的程序溜进Play Store，人们开始觉得Google在警告人们侧载应用程序的危险时是在浪费口水。在发现一些伪装成杀毒应用的窃取登录凭证恶意软件后，它们中间的六个被发现并删除。 Check Point安全研究人员说，Google从其商店中删除这六个应用程序之前，它们已经被下载超过15000次。讽刺的是，当用户以为他们在下载杀毒软件时，他们实际上是在安装Sharkbot Android资料窃取恶意软件。 Sharkbot的工作方式是说服受害者在模仿输入表格的窗口中输入他们的凭证，通常是在它检测到银行应用程序被打开时。它还可以通过键盘记录、拦截短信和获得完全远程访问来窃取信息。 一旦受害者输入了他们的用户名和密码，这些细节就会被发送到一个恶意的服务器，并被用来访问银行、社交媒体、电子邮件等账户。 大多数受害者来自英国和意大利。有趣的是，该恶意软件使用地理围栏来专门识别和忽略中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。 ZDNet写道，这些应用程序能够避开Play Store的保护措施，因为它们的恶意行为直到有人下载后才被激活，并且与服务器进行通信。受Sharkbot感染的应用程序已于3月从Google Play商店中删除，尽管它们可能仍可在其他商店中找到。 就在两周前，法国移动安全公司Pradeo的研究人员透露，一个名为Craftsart Cartoon Photo Tools的应用程序包含一个名为Facestealer的Android木马恶意软件版本。它能够窃取移动用户的Facebook登录凭证，在Google将其删除之前，已经被下载了超过10万次。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255757.htm 封面来源于网络，如有侵权请联系删除

早些时候，美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击，结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知，这口锅应该扣在一款名为“酸雨”（AcidRain）的新型擦除（wiper）恶意软件头上。 Surfbeam2 调制解调器攻击前后的并排比较（via SentinelLabs） 鉴于此事与俄乌冲突爆发的时间点接近，早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问，起初还以为它们遭到了分布式拒绝服务（DDoS）攻击。 不过参考 SentinelLabs 最新发布的安全研究报告，作为一款新冒出的擦除恶意软件，AcidRain 旨在远程清除易受攻击的调制解调器和路由器。 设备擦除代码：写入 ox40000（左）或使用 MEM*IOCTLS（右） 可知 3 月 15 日那天，研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪，并推测该用户名为“乌克兰行动”（Ukraine operation）的缩写。 至于这款擦除器的功能，研究人员称其相当“通用”。因为在尝试破坏数据之前，它会对文件系统和各种已知存储设备上的文件进行深度抹除，然后让设备重启变砖。 尝试重启设备的代码 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示： AcidRain 的功能相对简单，并且会进行暴力尝试。意味着攻击者要么不熟悉目标固件的细节，要么希望该工具保持通用性和可重复使用。 部分标题字符串对比 尽管攻击者的确切身份仍是个谜，但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。 2018 年，FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”（又名 APT28）黑客组织。 左为 AcidRain，右为 VPNFilter 。 最后，研究人员推测 AcidRain 是自俄乌冲突爆发以来的第七款擦除类恶意软件，但仍需进一步调查背后的关系。由周三发表的有关 2 月份网络攻击的第一份事件响应报告可知： 未具名的攻击者利用了错误配置的虚拟专用网设备，远程访问了 KA-SAT 网络的‘可信访问’部分。 接着利用相关访问权限，执行了同时面向大量家庭调制解调器的有针对性的管理命令。 这些破坏性命令覆盖了调制解调器闪存中的关键数据，导致 Modem 无法访问网络、但也并非永久无法使用。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1253557.htm 封面来源于网络，如有侵权请联系删除

尽管苹果一直在警告侧载应用程序的危险性，并坚持对上架 App Store 的应用展开严格的审查。但由于 TestFlight 和 WebClips 这两项功能的存在，越来越多的恶意软件开发者正在积极利用这两大“官方漏洞”。比如欺诈者可忽悠 iPhone / iPad 用户侧带有恶意软件的应用程序，进而窃取加密货币、账户凭证等敏感信息，或开展其它不为人知的恶意活动。   通过严格的审查，这家库比蒂诺科技巨头很好地保证了 App Store 的软件质量和用户体验。 但若某恶意应用可在未通过安全审查的情况下轻松潜入 iPhone 或 iPad，后果就不堪设想了。 安全公司 Sophos 在一篇帖子中指出，通过推送虚假的加密货币 App，近期冒头的 CryptoRom 活动，正在将魔爪伸向毫无戒备的 iOS 和 Android 用户。 长期以来，Android 系统一直有开放“侧载”的选项。在提供极大自由度的同时，此举也让小白用户面临着相当大的恶意软件风险。 Sophos 指出，CryptoRom 恶意软件活动严重依赖于 TestFlight 功能来传播，该渠道允许 iOS 用户下载并安装尚未通过 App Store 审核的应用程序。 在道高一尺魔高一丈的网络安全攻防战中，诈骗者们绝对不会轻易放过各种漏洞。 除了伪装加密货币交易所，他们还丧心病狂地通过 TestFlight 测试通道来忽悠 iOS 用户去安装恶意软件。一旦在受害者的设备上被顺利安装，推送带有恶意软件的应用程序，也就轻而易举了。 此外 CryptoRom 的幕后黑手，还有更加可怕的第二种手段 —— 利用苹果提供的 WebClips 功能。通过将网页链接直接添加到 iPhone 主屏，诈骗者可轻易将链接伪装成来自合法服务或平台的普通 App 。 Sophos 指出，目前 CryptoRom 活动正在社交网络、约会网站 / App 上大肆兜售，表明幕后组织者正在积极部署社工策略。作为预防措施，还请 iPhone / iPad 用户千万不要在官方 App Store 渠道之外获取应用程序。     转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1248183.htm 封面来源于网络，如有侵权请联系删除

研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件（以破坏关键文件和数据为目的），这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的，他们在周一发布的推文中分享了细节。 据研究人员称，该恶意软件会从连接到被攻击机器的任何驱动器中删除用户数据和分区信息。在 Twitter 上分享的样本代码表明，该恶意软件通过用空字节字符覆盖它们来破坏机器上的文件，使它们无法恢复。 ESET 威胁研究主管 Jean-Ian Boutin 告诉 The Verge：“我们知道，如果擦除起作用，它将有效地使系统失去作用。然而，目前还不清楚这种攻击的整体影响是什么”。 Boutin 说，到目前为止，被攻击的案件数量似乎不多，ESET 的研究已经观察到一个组织被 CaddyWiper 作为目标。 ESET 的研究先前发现了另外 2 款针对乌克兰电脑的擦除恶意软件。第一个毒株被研究人员称为 HermeticWiper，是在2月23日发现的，即俄罗斯开始军事入侵乌克兰的前一天。另一个被称为 IsaacWiper 的狙击手于2月24日在乌克兰部署。然而，ESET分享的时间线表明，IsaacWiper和HermeticWiper在发布前几个月都在开发中。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1247013.htm 封面来源于网络，如有侵权请联系删除