在过去的一篇文章中，我们介绍了Linux恶意软件ELF_TSCookie，它被一个攻击组织BlackTech使用。这个组织也使用其他影响Linux操作系统的恶意软件。我们之前介绍的Windows的PLEAD模块也有Linux版本（ELF_PLEAD）。本文将ELF_PLEAD模块与PLEAD模块进行了比较。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1401/         消息来源：JPCERT，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员揭秘了韩国一场新型供应链攻击，该攻击滥用合法安全软件和窃取的数字证书，在目标系统上分发远程管理工具（RAT）。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团，该集团也被称为“Hidden Cobra”。ESET表示，黑客利用了该国的强制要求，即互联网用户必须安装额外的安全软件。 虽然攻击范围有限，但它利用了WIZVERA VeraPort，该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”，比如银行向个人和企业发放的数字证书，以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展，包括Operation Troy、2011年的DDoS攻击，以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外，攻击者还使用非法获得的代码签名证书来签署恶意软件样本，其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示：“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名，图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项，使得攻击者能够执行这种攻击。” ESET的研究人员指出，攻击者的目标是那些使用VeraPort的网站，这些网站还附带了一个base64编码的XML配置文件，其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示，攻击者通过损害一个合法的网站，然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出：“WIZVERA VeraPort配置包含一个选项，可以在执行之前对下载的二进制文件进行数字签名验证，并且在大多数情况下，这个选项是默认启用的。”“但是，VeraPort只验证数字签名是有效的，而不检查它属于谁。” 然后，二进制文件继续下载一个恶意软件卸载程序，该程序提取另外两个组件——加载器和下载器，后者被加载器注入到一个Windows进程中（“svchost.exe”）。下载器获取的最后阶段有效载荷采用RAT的形式，它带有允许恶意软件在受害者的文件系统上执行操作的命令，并从攻击者的武器库中下载和执行辅助工具。 更重要的是，此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续，今年4月初韩国互联网与安全局（Korea Internet & Security Agency）详细描述了这一攻击，该攻击在TTPs和命令与控制（C2）基础设施上存在明显重叠。 研究人员表示，“攻击者对供应链攻击特别感兴趣，因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项（例如在VeraPort配置中指定二进制文件的哈希值）来降低此类攻击的可能性，如果网站已经受到了攻击也可以采用这种方法。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

TroubleGrabber是一种新的凭证窃取恶意软件，它通过Discord的附件传播，并使用Discord消息将窃取的凭证传回给攻击者。虽然它在功能上与AnarchyGrabber有一些相似之处，但实现方式不同。TroubleGrabber是一个名叫“Itroublve”的人写的，目前被多个攻击者用来针对Discord的受害者。 该恶意软件主要通过drive-by下载，窃取web浏览器令牌、Discord webhook令牌、web浏览器密码和系统信息。此信息通过webhook作为聊天消息发送到攻击者的Discord服务器。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1399/       消息来源：netskope，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

11月12日，网络安全研究人员披露了一种新型的模块化后门，该后门针对Oracle的销售点（POS）餐馆管理软件，以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列（RES）3700 POS系统，这是一个在餐厅和酒店业中广泛使用的软件套件，可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说：“后门的与众不同之处在于它的可下载模块及其功能，因为它包含一个自定义算法，该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容，包括各种定义和配置，状态表以及有关POS交易的信息。” 值得注意的是，在RES 3700中，诸如信用卡号和有效期之类的详细信息受到加密屏障的保护，从而限制了可能被进一步滥用的有价值的信息量，尽管研究人员认为，攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成，该删除程序用于安装持久性加载程序，然后将其解压缩并加载下一阶段的有效负载，该有效负载是主要的恶意软件模块，用于与其他“downloadable”模块以及命令和控制（ C2）服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”，该组件可以使用特殊算法来拦截和解密数据库密码，ESET研究人员认为，可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”，用于收集有关已安装POS系统的额外信息（如版本、数据库服务器数据），而另一个模块名为“Proclist”，收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明，它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况，包括窃取和逆向工程专有软件产品，滥用泄露的部件，或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本，并使用运行底层操作系统更新版本的设备。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全研究人员发现了针对巴西，拉丁美洲和欧洲金融机构的银行木马“Tetrade”，四个月后，调查表明，攻击者扩大了策略，利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队（GReAT）的说法，总部位于巴西的威胁集团Guildma部署了“Ghimob”，这是一种Android银行木马，针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示，“Ghimob是您一种成熟间谍：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上，其功能与其他移动RAT十分相似，它通过隐藏应用程序中的图标来掩饰自己的存在，并滥用Android的辅助功能来获得持久性，禁用手动卸载并允许银行木马捕获击键信息，操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示：“即使用户有适当的屏幕锁定模式，Ghimob也能够记录下来，然后再解锁设备。” “当攻击者准备执行交易时，他们可以插入黑屏作为覆盖或以全屏方式打开某些网站，因此当用户查看该屏幕时，攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外，Ghimob的目标多达153个移动应用程序，其中112个是巴西的金融机构，其余的是德国，葡萄牙，秘鲁，巴拉圭，安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说：“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近日有报道称，某些防病毒产品会将戴尔的打印机驱动程序标记为恶意软件。目前尚不清楚到底是什么情况，但戴尔已经紧急撤除了下载链接。Windows Central 援引网络安全观察记者 Brian Krebs 的话称，大家应暂时尽量避免安装任何戴尔打印机的驱动程序更新。 戴尔在致 Windows Central 的一份声明中称：公司网络安全团队已将问题驱动文件从可被公共访问的资源库中剔除，并就此事展开深入的调查。该公司致力于保护客户的信息，网络和产品的安全性一直是其第一要务。 如果你正在使用戴尔的打印机产品，目前看来最好还是临时避免安装任何驱动程序更新，直到本次被防病毒软件标记为恶意软件的事件被调查得水落石出。以下是 VirusTotal 上的检测清单： Virus Total 的结果表明，已有超过 24 款反病毒软件的引擎，在本次戴尔打印机驱动程序更新文件中检测到了恶意软件，其中包括 Avast、BitDefender、Microsoft Security、以及 McAfee 等知名厂商。 这些大牌软件都将本次驱动更新标记为不安全，普遍认定其具有特洛伊木马或通用恶意软件的特征。至于是否有人攻击、替换、或篡改了戴尔的文件下载服务器，仍有待进一步的调查去澄清。       （消息来源：cnBeta；封面来自网络）

一场勒索软件攻击已经影响到了苹果组装合作伙伴仁宝公司，导致其企业网络出现问题，并可能导致部分客户的生产出现短期延误。周一，仁宝公司证实其在周日遭到了勒索软件的攻击。据悉，此次攻击对其计算机系统造成了严重破坏，但由于被发现得早，只瘫痪了整个网络的30%左右。 据ZDNet报道，在发现问题后，工人们被要求将他们的工作站的健康状况告诉仁宝的IT支持团队，并尽可能地备份任何重要文件。目前已经开展工作修复受影响的电脑，仁宝也提醒其他供应链供应商注意这个问题。 据信，该勒索软件是DoppelPaymer恶意软件的产物，由一个同名团伙创建，并具有典型勒索软件攻击的所有特征。这包括一张勒索纸条，告知被加密的文件，并要求与该团伙合作，否则将面临所有文件仍被加密。 尽管有报道称这是一次勒索软件攻击，但仁宝代表最初坚持认为根本没有勒索软件攻击。该代表向UDN表示，自动化办公系统出现异常，并强调没有受到勒索。该代表还声称生产正常，与向供应商发出的警告潜在短期问题的通知相悖。 目前还不清楚这是否会影响苹果，因为仁宝是组装MacBook Pro和MacBook Air产品线的主要合作伙伴。预计周二采用苹果处理器的iMac即将上市，对于苹果供应链来说，这很可能是一个忙碌的时刻，因为它要赶在年底前制造出第一台非英特尔Mac。     （消息及封面来源：cnBeta）

在对2020年9月Ryuk黑客网络攻击事件的调查中，我们发现Ryuk黑客使用了获得初始访问权限的新方法：一个名为Buer的恶意软件删除程序。10月，该网络攻击事件演变成更大规模的垃圾邮件活动，并携带Buer及其他类型的恶意软件。 Buer于2019年8月首次推出，它是一种恶意软件服务产品，可用于交付客户所需的软件包，对目标Windows PC进行攻击，并允许恶意活动建立数据阵地。Buer曾与银行木马攻击等恶意软件有所联系，而现在，它显然已经被勒索软件运营商所接受。在许多方面，Buer可以替代Emotet和Trickbot的Bazar装载系统（都使用类似的行为进行部署）。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1393/       消息来源：Sophos，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

这是一场针对航空航天和国防部门的网络间谍活动，目的是在受害者的机器上安装数据收集植入程序，以进行监视和数据过滤。 他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商（ISPs）以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma，它在暗中监视并利用受害者。 McAfee研究人员在代号为“Operation North Star”的追踪下，今年7月的初步调查结果显示，有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件，诱骗国防部门的员工，并侵入他们的组织网络。 这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。 攻击者对美国国防和航天承包商进行恶意攻击，利用其核武库中的攻击者来支持和资助其核武器计划。 虽然初步分析表明，植入程序的目的是收集受害者的基本信息，以评估其价值，但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。 该活动不仅使用了美国著名国防承包商网站上的合法招聘内容，诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件，攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司，以及一家IT培训公司（负责命令与控制（C2）能力）。 McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示：“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施，因为大多数组织不会阻止可信网站。” 此外，嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据（日期、IP地址、用户代理等），方法是通过与预定的目标IP地址列表进行交叉检查，以安装第二个名为Torisma的植入程序，同时将检测和发现的风险降到最低。 除了主动监视添加到系统中的新驱动器以及远程桌面连接之外，此监视植入程序还用于执行自定义shellcode。 研究人员说：“这项活动很有趣，因为攻击者有一个特定的目标清单，在决定发送第二个植入程序（32位或64位）进行深入监测之前，这个清单已经过验证。” “攻击者监视由C2发送的植入程序的进度，并将其写入日志文件中，从而了解哪些受害者已被成功渗入并可以进行进一步监控。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

长期以来，Trickbot一直是主要的银行恶意软件家族之一。尽管最近发生了一些干扰事件，但攻击者仍在继续推动恶意软件的发展，并在最近开始将其部分代码移植到Linux操作系统。正如本次技术深入研究所显示的，命令与控制（C2）服务器与bot之间的通信极其复杂。此外，我们还分析了Linux2版Trickbots的Anchor模块的C2通信过程。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1392/     消息来源：NETSCOUT ，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。