标签: 远程访问

安全公司发现 OceanLotus APT (海莲花)在近期攻击中使用了新后门

外媒3月14日消息,安全公司 ESET 发布分析报告称 OceanLotus APT 组织(“ 海莲花 ”,也被称为 APT32 和 APT- c -00) 在其最近的攻击活动中使用了新的后门,旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态,据有关专家介绍,该组织是一个与越南有关的国家资助的黑客组织,其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查,OceanLotus 除了针对多个行业的组织之外,也针对外国政府、持不同政见人士和记者。 目前来看,OceanLotus 的攻击分两个阶段进行,第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点,第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集,这显示了该组织通过选择目标保持隐藏的意图。此外,OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告: 《 ESET_OceanLotus.pdf 》 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客于暗网正出售企业内部 RDP 远程桌面连接凭证,售价最低 3 美元

安全人员近期发现暗网里的部分网站正在销售企业内部设备的 RDP 远程桌面协议的凭证,以便直接访问目标企业内网。据悉,这种不需要借助恶意软件和木马病毒就可窥探企业内网的凭证,目前正在暗网逐渐兴起并产生市场竞争。 据悉,这些 RDP 凭证涉及卫生保健以及教育和企业组织等多种类型,最低价格仅仅只需要 3 美元即可。此外,远程桌面协议允许个人通过网络连接后直接访问对应设备。然而,通常此类设备都是虚拟桌面或者远程管理系统。因此攻击者如果可借助凭证访问 RDP 的话,即可顺利进入内网窃取数据,且企业并不会察觉任何异常情况。另外,依据操作系统的不同,存在售价差异。例如:Windows XP 系统的 RDP 凭证最低仅只需要 3 美元即可,而 Windows 10 系统的 RDP 凭证则需 9 美元起。 经调查发现,成立于 2016 年年初的 UAS 终极匿名服务网站是暗网里销售 RDP 远程桌面连接凭证最活跃且最受欢迎的商店。据称,UAS 商店可以提供涵盖各个国家不同操作系统的 RDP 凭证,其高峰期掌握超过 35,000 份 RDP 凭证可提供出售,其中包括中国和巴西以及美国的数万台设备的凭证,而价格最高的 RDP 凭证也仅仅只需要 15 美元。 暗网和低下黑市中并不是只有 UAS 商店提供 RDP 凭证销售,实际上诸如 xDedic 等同行竞争对手亦在销售凭证。xDedic 的 RDP 凭证价格从 10美元到 100 美元不等,但研究人员称似乎并未发现这些凭证与 UAS 的有太大区别。但不可否认的是 RDP 凭证已经逐步形成了活跃的黑色市场,这对于多数企业和机构来说绝对不是什么好事情。很多企业的 RDP 凭证实际已经泄露但却毫无察觉,在这种情况下攻击者借助 RDP 潜伏和窃取数据可持续很久。目前,研究人员建议使用此类协议的企业和机构应定期检查系统安全性, 尤其是凭证密码更应该定期更换防止泄露。 稿源:蓝点网,封面源自网络;

恶意软件TeamSpy利用远程工具TeamViewer进行网络间谍活动

安全研究员上周末发现了一个新的网络间谍活动,旨在传播恶意软件 TeamSpy ,以便获得对目标计算机的访问权限,而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。 恶意软件 TeamSpy 早在 2013 年就被报道过,当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。 近期,恶意软件 TeamSpy 又开始活跃起来,攻击者利用社会工程学诱骗受害者安装软件,并通过 DLL 劫持技术保持隐蔽性,使用合法的远程访问工具 TeamViewer 执行未经授权的操作。 DLL 劫持技术 DLL 文件为动态链接库文件,当一个程序运行时,Windows 将查找并调用相应的 DLL 文件。首先从当前程序所在的目录加载 DLL,如果没找到,则在系统目录中查找,最后才是在环境变量目录中查找。 攻击者将在程序目录下伪造 DLL 的同名函数,这样程序将优先调用伪造的 DLL 文件,先执行伪造文件中的恶意代码,处理完毕后,再调用原 DLL 文件。 攻击者发送的网络钓鱼邮件中包含一个 zip 附件,当受害者打开压缩包的同时将执行附带的 exe 文件,如 Fax_02755665224.zip – > Fax_02755665224.EXE 。恶意软件将在受害者的计算机上安装合法版本的 TeamViewer ,并劫持 DLL 以确保它保持隐藏。这种攻击还可以绕过双因素身份验证,攻击者可访问计算机上未被加密的内容。 目前,大多数杀毒软件还无法检测到恶意软件 TeamSpy ,它在 VirusTotal 上的检出率仅为 15/58 。这意味着只有 15 家杀毒软件能检测出,如卡巴斯基、ESET、Cyren、McAfee、Microsoft、Sophos 等。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。