今年早些时候，一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”，目的是散布信息窃取器和基于JavaScript的支付窃取器。 新加坡网络安全公司Group-IB在今天发布的一份新报告中，将这一行动归因于同一个组织，该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件，用伪造的JavaScript-sniffers（JS-sniffers）感染他们的网站。 这项活动从2月开始到9月结束，共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件，将Vidar和Raccoon信息窃取器下载到受害者系统上。 研究人员指出，这次攻击的最终目的是通过几种攻击载体和工具窃取支付和用户数据，从而传播恶意软件。 这些假网页是使用Mephistophilus网络钓鱼工具包创建的，攻击者可以利用该工具创建和部署专为分发恶意软件而设计的网络钓鱼登录页面。 去年11月，IB集团的研究人员在对网络犯罪组织的策略进行分析时表示：“攻击者将伪造的页面链接发送给受害者，告知受害者缺少正确显示文档所需的插件。如果用户下载了该插件，则他们的计算机就感染了窃取密码的恶意软件。” 在今年2月和3月的第一波攻击中，Vidar密码窃取器可以拦截用户浏览器和各种应用程序的密码，但随后的迭代改用Raccoon窃取器和AveMaria RAT来实现目标。 去年Cybereason首次记录的Raccoon具有许多功能，可以与命令控制（C2）服务器进行通信，以窃取数据——包括截图、信用卡信息、加密货币钱包、存储的浏览器密码、电子邮件和系统详细信息。 Raccoon的独特之处在于，它通过向电报通道（“blintick”）发出请求以接收C2服务器的加密地址，从而绕过C2服务器的阻拦。此外，它还通过聊天服务为社区问题和评论提供24×7的客户支持。 同样，AveMaria RAT具有持久性，可以记录击键信息、注入恶意代码以及窃取敏感文件等。 Vidar和Raccoon都以恶意软件即服务（MaaS）的形式出售。Vidar窃取器的租金为每月250美元到300美元不等，Raccoon每月的租金为200美元。 除了上述四个阶段外，Group-IB还观察到了一个过渡阶段，即2020年5月至2020年9月。在此期间，20家网店感染了FakeSecurity系列改良版本的JS-sniffer。 有趣的是，用于分发Vidar和Raccoon窃取器的基础设施与用于存储sniffer代码和收集被盗银行卡数据的基础设施有相似之处。 今年1月初，国际刑警组织抓获了三名与“GetBilling”组织有关联的人。这三个人参与了代号为Night Fury的行动。他们在印度尼西亚开展了一个JS-sniffer活动。         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在感恩节周末，我们在npm注册表中发现了新的恶意软件：远程访问木马（RAT）。 恶意软件包为： jdb.js db-json.js …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1421/       消息及封面来源：sonatype，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 Clop 声称已从 E-Land 窃取了 200 万张信用卡。 E-Land 是一家韩国企业集团，总部位于韩国首尔麻浦区昌田洞。其业务包括零售商场、饭店、主题公园、酒店建筑和时尚服装业务，并通过其子公司E-Land World在全球开展业务。 Clop黑客组织声称在过去12个月中从E-Land Retail窃取了200万张信用卡信息。 上个月，被勒索软件感染之后，该公司被迫关闭了23家NC百货商店和New Core。 该公司表示已对相关服务器进行了加密，并通知了有关当局。“我们正在努力迅速恢复损失并使业务正常化，全国大多数分支机构都采取紧急措施，可进行基本的交易活动。” 公司声称，“尽管这种勒索软件攻击对公司的网络和系统造成了一定的损害，但客户信息和敏感数据在单独的服务器上进行了加密，因此处于安全状态。” 然而，Clop黑客组织告诉Bleeping Computer，情况大不相同。他们声称在一年前曾入侵过E-Land，并使用PoS恶意软件窃取了信用卡数据。 黑客声称已窃取并解密了信用卡数据（Track 2数据）长达12个月，且未被该公司发现。 Clop黑客组织声称已盗取包括信用卡号、有效期等相关信息，信用卡CVV代码不包含在Track 2数据中，因此只能用于复制信用卡并将其用于个人消费。         消息来源：securityaffairs；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者，该窃取者在2015年至2020年初针对特定目标进行了部署。 该恶意软件被ESET研究人员命名为“Crutch”，被归咎于Turla，这是一家总部位于俄罗斯的高级黑客组织，通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。 网络安全公司的分析报告显示：“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。” 这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。 除了发现2016年的一个Crutch样本与Turla另一个名为Gazer的第二阶段后门程序之间的紧密联系外，他们多样化的工具集中的最新恶意软件表明，该组织持续专注针对知名目标的间谍和侦察活动。 Crutch要么通过Skipper套件（一种最初由Turla设计的植入程序）交付，要么由一个名为PowerShell Empire的后攻击代理（2019年发现的恶意软件）交付。 前者包括一个后门，可以使用官方的HTTP API与硬编码Dropbox帐户进行通信，以接收命令和上传结果，较新的变体（Crutch v4）避开了一个新功能，该功能可以使用Windows Wget实用程序自动将本地和可移动驱动器上的文件上传到Dropbox。 ESET研究人员Matthieu Faou说：“攻击的复杂性和发现的技术细节进一步强化了这样一种看法，即Turla组织拥有相当多的资源来运营如此庞大和多样化的武器库。” “此外，Crutch能够通过滥用合法的基础设施（这里指Dropbox）绕过一些安全层，以混入正常的网络流量，同时窃取文件和接收来自其运营商的命令。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

周一，内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候，本·古里安的研究小组表示，黑客不再需要物理接触“危险”物质即可生产“病毒”。相反，黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性：合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言，合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。 向合成基因者下达DNA命令时，美国卫生与公众服务部（HHS）指南要求制定筛选方案以扫描潜在有害DNA。 但是，该黑客团队有可能通过混淆来规避这些方案，在50个混淆的DNA样本中，有16个未针对“最佳匹配” DNA筛选被检测到。 用于设计和管理合成DNA项目的软件也可能会受到浏览器内人为攻击的攻击，该攻击可用于将任意DNA字符串注入基因顺序，从而简化了团队所谓的“端到端网络生物学攻击”。这些系统提供的合成基因工程管道可以在基于浏览器的攻击中被篡改。黑客可能使用恶意浏览器插件，例如“将混淆的病原体DNA注入合成基因的在线顺序中”。 在证明这种攻击可能性的案例中，研究小组引用了残留的Cas9蛋白，并使用恶意软件将该序列转化为活性病原体。研究小组说，“当使用CRISPR协议时，Cas9蛋白可以被用来‘模糊化宿主细胞内的恶意DNA’。”对于不知情的科学家来说，这可能会导致意外产生了危险物质，包括合成病毒或有毒物质。 BGU复杂网络分析实验室负责人Rami Puzis表示：“为了管制有意和无意的危险物质生成，大多数合成基因提供者会筛选DNA指令，这是目前抵御此类攻击的最有效方法。” “不幸的是，筛查指南尚未适应反映合成生物学和网络战的最新发展。” 潜在攻击链概述如下： Puzis补充说：“这种攻击情景强调了必须通过防御网络生物学威胁来强化合成DNA供应链。” 为了解决这些威胁，我们提出了一种改进的筛选算法，该算法考虑了体内基因编辑。       消息及封面来源：zdnet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

黑客通常会开发自己的Linux恶意软件，BlackTech的新型恶意软件ELF_PLEAD 和Winnti的PWNLNX 工具就是最近的例子。结合这种趋势，我们发现了与Stantinko group相关的新版本Linux代理木马。在本文发布之时，只检测到一个在VirusTotal中的恶意软件。 Stantinko黑客组织以Windows操作系统为目标而闻名，其活动可以追溯到2012年。恶意软件主要包括硬币矿工和广告软件僵尸网络。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1410/           消息及封面来源：intezer，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据国际刑警组织周三报道，三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕，该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称，这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。 Group-IB表示，该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。 为了发送他们的电子邮件垃圾邮件，该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具，然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。 这些文件附件中掺杂着各种恶意软件，使黑客能够进入受感染的电脑，并从那里集中窃取浏览器、电子邮件和FTP客户端的证书。 Group-IB表示，该组织 “完全依靠各种公开的”恶意软件，如AgentTesla、Loky、AzoRult、Pony、NetWire等，这些恶意软件都可以免费下载或在地下论坛上廉价出售。 一旦黑客获得了凭证，TMT集团就会从事商业电子邮件欺诈 (BEC) ，这是一种在线诈骗，他们会试图欺骗公司向错误的账户付款–由该集团成员控制。 TMT集团用多种语言发送电子邮件垃圾邮件，并成功感染了美国、英国、新加坡、日本、尼日利亚等国的公司。 虽然调查仍在进行中，但国际刑警组织和Group-IB表示，他们能够追踪到超过5万个被该组织恶意软件感染的组织。据国际刑警组织称，总共有150多个国家的50多万家政府和私营企业收到了该组织的电子邮件。 Group-IB表示，该集团是由多个小的子集团组织起来的，它们共同合作，TMT的许多成员仍然在逃。Group-IB发言人表示，这个组织并不是AdvIntel 2019年报告中提到的那个TMT组织（是REvil勒索软件的主要传播者之一）。         （消息及封面来源：cnBeta）

至少自2012年以来，一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标，目前已将目光投向了Linux服务器。 Intezer的分析报告指出，该木马伪装成Linux服务器上常用的HTTPd程序，它是一个新版本恶意软件，被跟踪为Stantinko。 早在2017年，ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络，它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件，安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器，以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件，但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解，特别是同一恶意软件（v1.2）的较新版本（v2.17），称为“httpd”，其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后，“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件，并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上，然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求，则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出，新版恶意软件只起到代理的作用，新变种与旧版本共享多个函数名，一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件，这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

国庆假期之后，安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测，该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种，并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1407/         消息来源：proofpoint，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件，尽管该软件包没有多余的装饰，但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间，还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1406/         消息来源：malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。