Buhtrap黑客组织已将其目标从俄罗斯金融业务和机构转移。自2015年12月进行网络间谍活动以来，其影响最大的活动是在2019年6月期间使用了近期修补的Windows零日漏洞。 Windows本地权限提升零日漏洞（CVE-2019-1132）被Buhtrap滥用于其攻击，它允许犯罪组织在内核模式下运行任意代码。微软在本月的补丁星期二修复了此漏洞。 尽管Buhtrap自2014年以来不断攻击银行客户，但它直到一年之后才被检测到。根据Group-IB和ESET研究人员的说法，它从2015年以后便开始寻找金融机构等更高级的目标。Group-IB报告称，“从2015年8月到2016年2月，Buhtrap成功对俄罗斯银行进行了13次攻击，总金额达18亿卢布（2570万美元）”。   被Buhtrap利用的Windows零日漏洞 ESET研究人员通过多个有针对性的活动观察到黑客组织的工具集“是如何通过用于在东欧和中亚进行间谍活动的恶意软件进行扩展的”。 2019年6月，Buhtrap利用零日漏洞攻击政府机构，主要攻击方式是滥用旧版Windows中的“win32k.sys组件中空指针的逆向引用”。   转为网络间谍 Buhtrap发展过程 “当他们在网上免费提供工具源代码的时候，很难将行为归罪于特定的参与者，”ESET说， “然而，因为他们在源代码泄露之前更改了目标，所以我们确信首批对企业和银行进行Buhtrap恶意软件攻击的人也参与了针对政府机构的攻击。” 此外，“尽管新的工具已经添加到他们的武器库中并且更新可以应用于旧版本，但不同的Buhtrap活动中使用的策略，技术和程序（TTP）在这些年中并没有发生显著变化。” ESET在关于Buhtrap集团网络间谍活动的报告最后提供了一份完整的IOC表单，其中包括C2服务器领域，恶意软件样本哈希，代码签名证书指纹以及MITRE ATT＆CK技术的表格。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Pale Moon 网络浏览器团队今天宣布，他们的 Windows 档案服务器遭到破坏，黑客在 2017 年 12 月 27 日用恶意软件感染了 Pale Moon 27.6.2 及以下的所有存档安装程序。 攻击者使用脚本，将 Win32 / ClipBanker.DY Trojan 变种注入存储在服务器上的 .exe 文件，使得下载 Pale Moon 浏览器安装程序和自解压存档的用户感染恶意软件。Pale Moon 团队在 7 月 9 日发现了安全漏洞，并立即切断了与受影响服务器的所有连接，以阻止恶意软件进一步传播给其他用户。 受感染文件的时间戳显示，攻击者使用自动进程在本地感染这些文件，该进程向存储在受感染服务器上的每个可执行文件注入大约 3MB 的恶意 payload。 Pale Moon 的开发团队在漏洞分析中解释说，从未下载安装程序的用户“基本不会受到感染”。为了确保安全，用户可以通过列表逐步检查他们下载的安装程序是否被篡改，而那些下载受感染文件的用户应该“使用信誉良好的防病毒软件对系统进行全面扫描和清理，以清除此恶意软件。”   攻击中使用的恶意软件删除程序  感染过程   在恶意可执行文件启动后，将使用一个剪贴板软件感染受害者的计算机 –  ESET 检测其为 MSIL/Agent.B 的变体。之后，后台会创建一个在启动时执行剪贴板的任务，同时前台启动 Pale Moon 安装程序以分散受害者的注意力并隐藏的恶意活动。 正在创建的任务   虽然我们能够分析 Pale Moon 攻击者使用的恶意软件的行为，但因为我们无法启动它并获得有关其功能的更多信息，可能还带有恶意软件分析和VM 检测功能。     消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据报道，一种名为 Agent Smith 的新型 Android 恶意软件已经感染了 2500 万部手机，其目的是推送广告或劫持有效的广告事件。 受害者被引诱从第三方应用商店下载伪装成照片应用程序、色情相关应用程序或游戏等病毒程序，一旦下载完毕，这些程序就会下载 Agent Smith。 该恶意软件通常伪装成 Google Updater、Google Update for U 或 com.google.vending 等实用工具 ，并对用户隐藏其图标。 接下来，恶意软件检查目标手机上的应用程序，然后获取带有恶意广告模块的“补丁”识别 APK 的更新。为了完成更新安装过程，恶意软件利用 Janus 漏洞，该漏洞可以让其绕过 Android 的 APK 完整性检查。Janus 是一个可追溯到 2017 年的 Android 漏洞。 Check Point 估计，每个受害者手机上可能有多达 112 个应用程序被那些显示广告的应用程序所取代。 他们写道：“一旦完成了杀毒链，Agent Smith 就会利用用户应用程序来显示广告，表面上只是用来推销广告，但是它的运营商可能会利用它来做更坏的事情，比如窃取银行凭证”。 Check Point 说，Agent Smith 潜伏在第三方应用商店，如 9 App，主要为印度用户，阿拉伯人和印度尼西亚用户服务。受感染数量最多的是印度(超过1 500万)，其次是孟加拉国(超过250万)和巴基斯坦(近170万)，印度尼西亚以 57 万个受感染的设备名列第四。但是还发现，在沙特阿拉伯(245 K)、澳大利亚(141 K)、英国(137 K)和美国(303 K)的设备上也出现了感染。 该恶意软件并不局限于只感染一个应用程序，它将取代其目标列表中的任何和全部，受感染的设备将逐渐得被重新检查，并提供最新的恶意补丁。恶意软件中被编码的目标 Android 应用程序列表包括以下内容： • com.whatsapp • com.lenovo.anyshare.gps • com.mxtech.videoplayer.ad • com.jio.jioplay.tv • com.jio.media.jiobeats • com.jiochat.jiochatapp • com.jio.join • com.good.gamecollection • com.opera.mini.native • in.startv.hotstar • com.meitu.beautyplusme • com.domobile.applock • com.touchtype.swiftkey • com.flipkart.android • cn.xender • com.eterno • com.truecaller 研究人员分析说：“我们将 Agent Smith 传播与位于广州的一家中国互联网公司联系起来，该公司的前端合法业务是帮助中国 Android 开发者在海外平台上发布和推广他们的应用程序”。 Check Point 报告说，Agent Smith 在 Android 5.0 版(40%)和 6.0 版(34%)的手机中最为普遍，9% 的受感染手机的是 8.0 版。谷歌最新版本的 Android 操作系统是 Pie，版本为 9.0。 研究人员认为： Agent Smith 提醒我们，仅靠系统开发人员的努力还不足以建立一个安全的 Android 生态系统，它需要系统开发人员、设备制造商、应用程序开发人员和用户的关注和行动，以便及时修补、分发、采用和安装漏洞修补程序。   （稿源：开源中国，封面源自网络。）

据外媒ZDNet报道，美国海岸警卫队在过去三个月中发出了两次安全警报，突出了商业海船上的网络安全实践问题。第一个警报是在5月下旬发出的，海岸警卫队官员警告说，持续不断的电子邮件鱼叉式网络钓鱼浪潮将恶意软件传播到商业船只。 这些电子邮件来自美国港口国监管局（PSC）的官方机构，海岸警卫队的警报被发送给海事利益相关者，使他们对正在针对船舶运营商的持续攻击保持警惕。当时，海岸警卫队将这次malspam活动分发的恶意软件描述为“旨在破坏船载计算机系统的恶意软件”，但没有详细说明或提供任何副本或文件哈希。 然而，美国海岸警卫队周一发出了第二次警报。美国海岸警卫队表示，在发现一起网络安全事件影响到一艘开往纽约港的国际航行中的船只后，该机构发布了第二次警报。 海岸警卫队官员表示，事件发生在2019年2月，该船“报告称他们正在经历一场影响其船上网络的重大网络事件。” 海岸警卫队和其他机构随后进行的调查发现，“虽然恶意软件严重降低了机载计算机系统的功能，但基本的船舶控制系统并未受到影响。” “尽管如此，机构间的反应[团队]发现该船只在没有有效的网络安全措施的情况下运行，使关键的船舶控制系统面临重大漏洞，”海岸警卫队说道。 海岸警卫队没有说明2月的这起事件是否是由它在5月警报中检测到并描述的同一恶意软件引起的。 除了提醒海事利益相关者最近发生的攻击事件外，海岸警卫队官员还包括有关基本网络安全实践的指导，这些实践可用于改善船上发现的计算机网络的安全状况。总结一下，这些是： 实施网络分段。 为每个员工创建网络配置文件，需要唯一的登录凭据，并仅限于必要的权限 警惕外部媒体 安装防病毒软件 保持软件更新 “目前尚不清楚这艘船是否能代表深水船只上的网络安全现状，”海岸警卫队说道。“但是，由于鼠标点击控制引擎，并且越来越依赖电子制图和导航系统，使用适当的网络安全措施保护这些系统对于控制船舶的物理访问或对传统机器进行日常维护至关重要。海事界认识到需要并实施基本的网络措施，以适应不断变化的技术和不断变化的威胁形势，“该机构说道。 对于行业专家来说，美国海岸警卫队最近发布的两个安全警报并不令人惊讶。由一个由21个国际航运协会和行业组织组成的集团在2018年12月发布的一份报告强调了船上的大量网络安全问题，调查人员多次发现勒索软件、USB恶意软件和蠕虫。 今年4月，澳大利亚网络安全中心发布了所谓的Essential Eight–一个缓解策略列表，组织可以用它作为改善他们网络弹性的起点，也可以应用于安装在船上的计算机网络。   （稿源：cnBeta，封面源自网络。）

据Trend Micro的研究人员称，TA505黑客组织正通过一些垃圾邮件活动传播名为Gelup和FlowerPippi的新型恶意软件，它们被用来攻击来自中东、日本、印度、菲律宾和阿根廷的目标实体。Proofpoint的研究人员还发现，在今年6月，有两场垃圾邮件活动在传播名为AndroMut的恶意软件下载程序，其攻击目标是来自美国、新加坡、阿联酋和韩国的收件人。TA505黑客组织曾发起过Dridex银行木马以及名为Locky的勒索软件攻击。 TA505黑客组织使用包含.DOC和.XLS文档的垃圾邮件来传播其新的恶意软件。受害者打开恶意附件后，通过执行VBA宏命令在受攻击的机器上部署payload。据Trend Micro报道，少量垃圾邮件样本还使用了恶意的URL，导致名为FlawedAmmyy的远程访问木马（RAT）下载。 垃圾邮件样本 (Proofpoint) 新发现的恶意软件Gelup的下载程序最有趣的特性是它使用了混淆和UAC绕过技术，这是“模拟受信任目录（欺骗受信任目录中文件的执行路径），滥用自动提升的可执行文件，并使用DLL侧加载技术。”恶意软件Gelup的开发人员使用包括各种旨在阻碍静态和动态分析的技术，并通过部署多个步骤使感染过程更难跟踪。为了使攻击时间更长，恶意软件Gelup可以运行在系统回收站中启动LNK文件创建的任务，或者添加注册表运行项，这取决于用户权限。 Gelup执行的命令（Trend Micro） FlowerPippi是黑客组织TA505最近部署的第二个恶意软件，除了后门功能外，它还具有下载技巧，使其能够以可执行二进制文件或DLL文件的形式向受感染的系统释放更多的恶意payload。Trend Micro进一步指出，该后门用于收集和过滤受害者电脑中的信息，并运行从命令控制（C2）服务器接收到的任意命令。 FlowerPippi 执行的命令 （Trend Micro） 黑客组织TA505的攻击活动还在继续。除了Proofpoint和Trend Micro的研究人员所观察和记录到的活动以外，微软安全情报部门在大约两周前发布了一条安全警告，称一场活跃的垃圾邮件活动试图通过恶意的XLS附件来传播FlawedAmmyy 远程访问木马（RAT）使韩国的目标受感染。 Redmond的研究人员表示，虽然黑客们利用的微软办公软件漏洞（CVE-2017-11882 ）在两年前就已经被修补，但黑客们仍广泛地利用该漏洞进行攻击，“且过去几周的攻击活动有所增加”。FlawedAmmyy远程访问木马的payload是TA505黑客组织最喜欢利用的工具之一，可以用于各种各样的攻击。大约在一周前，Trend Micro的安全研究人员发现了一场类似于微软研究人员发现的通过恶意的. XLS附件发送FlawedAmmyy远程访问木马（RAT）的活动。 TA505黑客组织至少从2014年第三季度起就变得活跃起来[1,2]，其攻击的主要目标是通过Necurs僵尸网络传播的大型恶意垃圾邮件来攻击金融机构和零售企业。 消息来源：BleepingComputer， 译者：Vill，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

为了提升域名解析服务的安全性，行业内推出了叫做 DNS over HTTPS 的解决方案（简称 DoH）。然而 Network Security 研究实验室的伙计们，已经发现了首个利用 DoH 协议的恶意软件，它就是基于 Lua 编程语言的 Godlua 。这个名字源于 Lua 代码库和七种一个样本源码中包含的神奇字符 God 。 这款后门程序可利用 DoH 来掩盖其 DNS 流量 基于 HTTPS 的域名解析服务的增长势头一直很强劲，去年 10 月，互联网工程任务组正式发布了 DoH（RCF 8484）。 尽管并不是新鲜的概念，但首个利用 DoH 的恶意软件，还是让行业提前感受到了影响未来的新一轮正邪攻防战。 Netlab 研究人员在报告中提到，他们发现了一个可疑的 ELF 文件，但最初误以为它只是一款加密货币挖矿木马。 尽管尚未确认或否认任何加密货币的挖掘功能，但他们已证实其行为更像是分布式拒绝服务（DDoS）机器人。 （截图 via TechSpot） 研究人员观察到，该文件会在被感染系统上作为“基于 Lua 的后门”来运行，且注意到至少有一次针对 liuxiaobei.com 的 DDoS 攻击。截至目前，Netlab 已经发现了至少两个未利用传统 DNS 的变种。 借助 DNS over HTTPS，恶意软件可通过加密的 HTTPS 连接来隐藏其 DNS 流量，使得 Godlua 能够躲过 DNS 监控，这已经足够让网络安全专家感到震惊。 据悉，谷歌和 Mozilla 都已经提供了对 DoH 的支持，前者甚至将 DoH 作为其公共 DNS 服务的一部分。此外，Cloudflare 等互联网基础设施服务提供商，也提供了对 DoH 的支持。   （稿源：cnBeta，封面源自网络。）

微软OneDrive用于托管恶意文件的使用率显着上升。根据FireEye报告显示，微软OneDrive上一季度托管恶意文件的用户数量激增60%以上，而此前仅上升了一位数百分点。据FireEye称，OneDrive在托管恶意文件的使用率方面，已经超过Dropbox、Google Drive和WeTransfer等竞争对手。 另一方面，Dropbox虽然没有看到与微软OneDrive几乎相同的托管恶意文件用户数量激增，但仍保持着恶意文件使用量季度环比增长的最高比例，使其成为存储此类文件最常用的托管服务。攻击者发现这些知名和可信的站点很有用，因为它们绕过了安全引擎执行的初始域信誉检查。 攻击者没有直接向目标发送包含恶意内容附加文件的电子邮件，而是将内容上载到文件共享站点。目标受害者从服务接收到一个新文件正在等待他们的通知，以及一个下载该文件的链接。其中一些服务还提供文件预览，显示URL中的内容，无需下载文件即可单击该URL。这使得攻击非常有效，而且很难被发现。 该报告还建议用户不要将敏感或机密文档存储在公共托管的文件共享网站上，因为当今数百万受害者的电子邮件帐户遭遇大量网络钓鱼。   （稿源：cnBeta，封面源自网络。）

最新披露的报告显示，美军的网络司令部（Cyber Command）在过去一年中对俄罗斯的攻击规模要比以往任何时候都更加激进，并且在控制俄罗斯电网的多个系统中植入了“可以使其瘫痪的恶意软件”。 俄罗斯的电网 纽约时报本周六的报道中，援引匿名官员的话说这主要是由于自去年夏天开始美国国会放宽了相关的法律授权限制，网络司令部的战略从防御态势转变为进攻性态势，从而允许在发生冲突的时候在网络攻击中造成严重的瘫痪攻击。 纽约时报表示网络司令部的行动由美国国防部长确认，并没有经过美国现任总统特朗普的授权。最近一些针对俄罗斯的攻击行动是美国国会于2018年通过的一项军事授权法案下进行的，该法案允许在网络空间中“秘密进行军事活动”以威慑，保护或防御针对美国的攻击或恶意网络攻击。 纽约时报还表示，网络司令部去年在13号国家安全总统备忘录中获得了美国总统赋予的新权力，允许对俄罗斯小型黑客团体发起攻击，并支持“打压”Internet Research Agency（被认为干预2016年美国总统大选，充斥各种假新闻和钓鱼活动的俄罗斯黑客机构）。   （稿源：cnBeta，封面源自网络。）

继俄罗斯安全公司卡巴斯基 3 年前首次公开报告之后，今天谷歌安全博客发文称通过他们的供应链已经确认部分 Android 设备的固件更新已经被感染，以便于黑客安装恶意程序。黑客利用名为“Triada”的恶意程序感染这些固件，卡巴斯基于 2016 年 3 月的官方博客中首次描述了这种恶意软件。 该恶意程序可以和众多命令、控制中心进行通信，并允许安装可用于发送垃圾邮件和显示广告的应用程序。2017年7月，反病毒厂商 Dr Web 发现 Triada 被内置到许多 Android 设备的固件中，其中包括 Leagoo M5 Plus，Leagoo M8，Nomu S10 和 Nomu S20 等等。而且由于该恶意程序属于操作系统本身，因此无法轻松删除。 谷歌 Android 安全和隐私团队成员 Lukasz Siewierski 于周四发布了一篇详细的博客文章，证实了 Web 博士近两年前的报道。他在博文中写道 “Triada 应用程序的主要目的是在显示广告的设备上安装垃圾应用程序。” 谷歌在博文中写道：“Triada 的创建者通过垃圾应用上显示的广告来牟利。和其他同类恶意软件相比，Triada 更加复杂且不常见。Triada 是从 rooting trojans 木马发展而来的，但随着 Google Play Protect 对防御这种攻击的增强， Triada 恶意程序被迫转型以系统镜像后门方式进行感染。但是，由于 OEM 合作和我们的推广工作，原始设备制造商准备了系统映像，其安全更新消除了 Triada 感染。” 尽管 Siewierski 在博文中并未提及具体的手机型号，但是提到了几家已经受到感染的手机厂商名称。他表示：“Triada在量产环节中通过第三方来感染设备系统镜像。有时 OEM 厂商希望包含不属于 Android 开源项目的功能，例如面部解锁等。” 他表示：“OEM 可能会与可以开发所需功能的第三方合作，并将整个系统映像发送给该供应商进行开发。基于分析，我们认为使用 Yehuo 或 Blazefire 的供应商返回了感染 Triada 恶意程序的系统固件。”   （稿源：cnBeta，封面源自网络。）

Guardicore Labs 的安全研究人员发布了一份报告，该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动，代号“Nanshou”，且这一攻击源头是中国黑客。 报告称，包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击，一旦受到攻击，目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击，它使用 APT （Advanced Persistent Threat，高级持续性威胁，本质是针对性攻击）中经常出现的技术，例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现，但可以追溯至 2 月 26 日，每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载，这期间每周至少会有一个新的恶意负载被创建，受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后，攻击者在受感染系统上执行一系列 MS-SQL 命令，以从远程文件服务器下载恶意负载，并以 SYSTEM 权限运行它。 在后台，有效负载利用已知的权限提升漏洞（CVE-2014-4113）来获取受感染系统的 SYSTEM 权限。 然后，有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC（危害指标）列表和一个免费的基于 PowerShell 的脚本，Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合，因此，强烈建议管理员为账户设置一个复杂密码。 调查报告完整版：https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   （稿源：开源中国，封面源自网络。）