据观察，与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。 谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示，这些攻击采用编码测试作为常见的初始感染媒介。 研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示：“在最初的聊天对话之后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。” 该恶意软件充当启动器，通过下载第二阶段有效负载（该负载通过启动代理和启动守护进程建立持久性）来危害目标的 macOS 系统。 值得指出的是，这是朝鲜黑客组织开展的众多活动集群之一，这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。 招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。 Mandiant 表示，它观察到一项社会工程活动，该活动发送了一份恶意 PDF，伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。 “恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件，这是一个用 Rust 编写的支持文件执行的后门。”Mandiant 表示。 RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信，并使用伪装成“Safari 更新”的启动代理设置持久性，以便联系硬编码的命令和控制 (C2) 域。 朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学，还包括软件供应链攻击，正如近年来针对3CX和JumpCloud的事件所观察到的那样。 Mandiant 表示：“一旦通过恶意软件建立立足点，攻击者就会转向密码管理器窃取凭证，通过代码库和文档进行内部侦察，并进入云托管环境以泄露热钱包密钥并最终耗尽资金。” 此事披露之际，美国联邦调查局 (FBI) 警告称，朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。 这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人，向其提供就业或投资，这被视为明目张胆的加密货币盗窃的渠道。 值得注意的是，他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究，以及编造个性化的虚假场景，试图吸引潜在受害者并增加攻击成功的可能性。 联邦调查局表示：“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节。如果成功建立双向联系，最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触，以增加合法性、产生熟悉感和信任度。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NfCLcauOW03sMMPV3GuC_w 封面来源于网络，如有侵权请联系删除。

在与机场安全系统相关的应用程序中存在一个有争议的漏洞被披露后，网络安全机构 CISA 做出了回应。 8 月底，研究人员 Ian Carroll 和 Sam Curry 披露了 SQL 注入漏洞的细节，据称该漏洞可能允许攻击者绕过某些机场安全系统。 该安全漏洞是在 FlyCASS 中发现的，FlyCASS 是为参与驾驶舱进入安全系统 (CASS) 和已知机组人员 (KCM) 计划的航空公司提供的第三方服务。 KCM 是一个程序，运输安全管理局 (TSA) 的安全官员用来核实机组人员的身份和就业状况，从而使飞行员和空乘人员能够绕过安全检查。 CASS 允许航空公司登机口工作人员快速确定飞行员是否有权使用飞机驾驶舱折叠座椅，这是驾驶舱中的额外座位，可供上下班或旅行的飞行员使用。 FlyCASS 是一款基于 Web 的 CASS 和 KCM 应用程序，适用于小型航空公司。 卡罗尔和库里发现FlyCASS 中存在 SQL 注入漏洞，该漏洞使他们能够获得参与航空公司账户的管理员访问权限。 据研究人员称，通过这种访问，他们能够管理与目标航空公司相关的飞行员和乘务员名单。他们在数据库中添加了一名新“员工”来验证他们的发现。 “令人惊讶的是，航空公司无需进一步检查或认证即可添加新员工。作为航空公司的管理员，我们可以将任何人添加为 KCM 和 CASS 的授权用户。”研究人员解释道，“任何具备 SQL 注入基本知识的人都可以登录该网站，并将任何人添加到 KCM 和 CASS，这样他们既可以跳过安全检查，又可以进入商用客机的驾驶舱。” 研究人员表示，他们在 FlyCASS 应用程序中发现了“几个更严重的问题”，但在发现 SQL 注入漏洞后立即启动了披露流程。 这些问题于 2024 年 4 月报告给了 FAA、ARINC（KCM 系统的运营商）和 CISA。根据他们的报告，KCM 和 CASS 系统中的 FlyCASS 服务被禁用，并且发现的问题得到了修补。 然而，研究人员对披露过程感到不满，声称 CISA 承认了这个问题，但后来停止了回应。此外，研究人员声称 TSA“就该漏洞发表了危险的错误声明，否认了我们发现的东西”。 美国运输安全局在接受《SecurityWeek》采访时表示，FlyCASS 漏洞不可能像研究人员所说的那样轻易被利用来绕过机场安全检查。 该公司强调，这不是 TSA 系统中的漏洞，受影响的应用程序未连接到任何政府系统，并表示不会对运输安全造成影响。 “今年 4 月，TSA 获悉一份报告称，第三方数据库中存在一个漏洞，其中包含航空公司机组人员信息，通过测试该漏洞，一个未经核实的姓名被添加到数据库的机组人员名单中。政府数据或系统没有受到损害，这些活动也没有对交通安全造成影响。”TSA 发言人在电子邮件声明中表示。 TSA 并不完全依赖这个数据库来验证机组人员的身份。TSA 已制定程序来验证机组人员的身份，只有经过验证的机组人员才允许进入机场的安全区域。TSA 与利益相关者合作，以减轻任何已发现的网络漏洞。 当该消息曝光时，CISA 并未针对这些漏洞发表任何声明。 该机构现已回应了SecurityWeek 的评论请求，但其声明并未对 FlyCASS 缺陷的潜在影响提供太多澄清。 “CISA 意识到 FlyCASS 系统中使用的软件存在漏洞。我们正在与研究人员、政府机构和供应商合作，以了解系统中的漏洞以及适当的缓解措施。”CISA 发言人表示，并补充道，“我们正在监测任何被利用的迹象，但迄今为止尚未发现任何漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LZib6CKr144EYLWOHmziWQ 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，有黑客使用一种假冒的 OnlyFans 工具瞄准其他黑客，声称可以用来帮助窃取用户帐户，但实际上却是用 Lumma信息窃取器对这些黑客发动入侵。 这项由 Veriti Research 发现的现象反映了网络犯罪分子之间并非是统一的”猎食者“身份，彼此之间的背刺时有发生。 这次黑客所利用的OnlyFans 是一个非常受欢迎、基于用户订阅的内容创作平台，创作者可以与订阅者分享视频、图像、消息和直播流，而订阅者则需要支付经常性费用或一次性付款以获得独家内容。鉴于它的受欢迎程度，OnlyFans 帐户经常成为攻击者的目标，试图劫持账户、勒索账户所有者支付赎金，或者干脆泄露私人照片。 黑客论坛上的OnlyFans恶意工具广告 因此，黑客开发了一种能快速验证账户的工具，检查登录信息是否与任何 OnlyFans 账户匹配，以及是否仍然有效，否则，黑客就必须手动测试成千上万个凭证，其过程既不现实又繁琐，导致该计划无法实施。 然而，正是由于该工具由黑客创建并在其他黑客中传播，处于竞争关系的黑客必然在其中留了一手，对其他黑客窃取信息以将自身利益最大化。 Veriti发现的假冒OnlyFans 工具内含有Lumma信息窃取器，有效载荷名为 “brtjgjsefd.exe”，是从 GitHub 存储库中获取并加载到受害者计算机中。Lumma 自 2022 年以来一直以每月 250-1000 美元的价格出租给网络犯罪分子，并通过各种方式传播，包括恶意广告、YouTube 评论、种子文件以及最近的 GitHub 评论。 Lumma 具有创新的规避机制和恢复过期谷歌会话令牌的能力。 它主要用于窃取双因素身份验证代码、加密货币钱包，以及存储在受害者浏览器和文件系统中的密码、cookie 和信用卡。 Lumma 本身也是一个加载器，能够在被入侵系统中引入额外的有效载荷，并执行 PowerShell 脚本。 Veriti 发现，当 Lumma Stealer 有效载荷启动时，它会连接到一个名为 “UserBesty “的 GitHub 账户，幕后黑客利用该账户托管其他恶意有效载荷。 这并不是黑客第一次针对其他网络犯罪分子进行恶意攻击。 2022 年 3 月，黑客利用伪装成破解 RAT 和恶意软件构建工具的剪贴板窃取程序来窃取加密货币。 同年晚些时候，一名恶意软件开发者在自己的恶意软件中设置了后门，以窃取其他黑客的凭证、加密货币钱包和 VPN 账户数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410373.html 封面来源于网络，如有侵权请联系删除。

美国联邦调查局警告称，朝鲜黑客正积极瞄准加密货币行业，并利用复杂的社会工程学来实现其目标。 FBI 的咨询报告显示，这些攻击的目的是部署恶意软件并窃取去中心化金融 (DeFi)、加密货币和类似实体的虚拟资产。 美国联邦调查局表示：“朝鲜的社会工程计划复杂而精巧，受害者往往掌握着复杂的技术。鉴于这种恶意活动的规模和持续性，即使是那些精通网络安全实践的人也可能受到攻击。” 据该机构称，朝鲜黑客组织正在针对与 DeFi 或加密货币相关业务有关的潜在受害者进行广泛的研究，然后以个性化的虚假场景为目标，通常涉及新的就业或企业投资。 攻击者还会与目标受害者进行长时间的对话，以建立信任，然后在“看似自然且不会引起警报的情况下”传播恶意软件。 此外，攻击者经常冒充各种个人，包括受害者可能认识的联系人，使用逼真的图像，例如从社交媒体帐户窃取的照片，以及时间敏感事件的虚假图像。 与加密行业相关的个人应该注意在设备上运行代码或应用程序的请求、进行涉及非标准代码包的测试或练习的请求、提供就业机会或投资机会、将对话转移到其他消息平台的请求以及包含链接或附件的未经请求的联系人。 建议组织开发验证联系人身份的方法，不要共享有关加密货币钱包的信息，避免参加就业前测试或在公司拥有的设备上运行代码，实施多因素身份验证，使用封闭平台进行业务沟通，并限制对敏感网络文档和代码存储库的访问。 谷歌旗下的安全部门 Mandiant 在一份新报告中指出， 社会工程学只是朝鲜黑客在针对加密货币组织的攻击中所采用的技术之一。 攻击者还被发现依赖供应链攻击来部署恶意软件，然后转向其他资源。 Mandiant 公司解释道，他们还可能以智能合约（通过重入攻击或闪电贷攻击）和去中心化自治组织（通过治理攻击）为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7j3_IDJTzia4vVbdHx2UtQ 封面来源于网络，如有侵权请联系删除。

据报道，俄罗斯最大的社交媒体和网络服务 VK（VKontakte）近日发生了大规模数据泄露，影响了3.9亿用户。 一位名为 Hikki-Chan 的威胁行为者声称，俄罗斯最大的社交媒体和网络服务VK 在 2024 年 9 月遭遇了大规模数据泄露。泄露的数据仅需少量BreachForums 论坛积分就可以直接获取。 根据Similarweb的数据，VK每月吸引约11亿访客，全球访问量排名第23位。该平台的主要用户为俄罗斯人，占总流量的89%。 该威胁行为者声称：“此次泄密事件暴露了数亿用户的个人信息，包括身份证号码、姓名、性别、个人资料图片、国家和城市。” 泄露的 7z 档案包含 3.904 亿条记录，解压缩后占用 27.6GB 的存储空间。 VK于2006年上线，2021 年 12 月，VK 被俄罗斯国有企业接管。在俄罗斯军事入侵乌克兰和国际制裁之后，VK 应用程序从 Apple App Store 中移除，但仍可在 Google Play 商店中使用。 Hackread.com 是第一个发现该泄露信息，并报道了数据是通过第三方获取的，而非直接从VK入侵。 VK 用户数据并非首次在网上传播。 第一次发生在 2016 年 6 月，当时黑客窃取了 1.71 亿个 VK 账户，并试图以约 580 美元的价格出售包括纯文本密码在内的数据。 第二次是在2022 年，VK 遭遇了超过 126GB 的大规模数据泄露，其中包含 3200 万条记录，包括照片链接、全名以及其他抓取和 API 查询中获得的数据。安全研究员 Bob Diachenko表示，甚至已关闭或受保护的 VK 账户也遭到泄露。 根据安全公司 Cyfirma 的报告，威胁行为者 Hikki-Chan 于 2024 年初首次出现，此前曾攻击过多家以色列公司和政府机构，包括以色列警察局、国防部以及福利和社会事务部。 消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

商业服务巨头 CBIZ 近日披露了一起数据泄露事件，攻击者通过利用公司某网页中的安全漏洞，于2024年6月2日至6月21日期间窃取了客户数据。2024年6月24日，网络安全专家参与协助调查，公司确认了这一入侵事件并识别了数据泄露情况。 CBIZ发布通知称： “2024 年 6 月 24 日，公司获悉未经授权的攻击者可能从某些数据库中提取了信息。 ” 调查显示，攻击者通过利用与公司网页相关的漏洞，在2024年6月2日至6月21日期间获取了部分数据库中的信息。 在此次事件中攻击者窃取了近 36,000 人的个人信息，其中包括： 姓名 联系方式 社会安全号码 出生或死亡日期 退休人员健康信息 福利计划信息 CBIZ是一家管理咨询公司，提供财务、福利及保险服务，是美国最大的专业服务公司之一。公司在全国拥有120个办事处，员工总数达6,700人。2023年，公司收入达到15.9亿美元。 受此次事件影响的CBIZ客户已于2024年8月28日开始收到通知。 尽管目前没有证据表明被盗数据已被滥用，CBIZ仍在披露指南中建议客户注册为期两年的信用监控和身份盗窃保护服务，以降低潜在风险。此外，建议受影响的客户考虑冻结信用记录及在其信用报告中添加欺诈警报。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Securonix 威胁研究团队发现了一项针对中文用户的秘密攻击活动，该活动可能通过钓鱼电子邮件发送 Cobalt Strike 负载。攻击者设法横向移动，建立持久性并在系统内潜伏超过两周而不被发现。 该秘密活动代号为SLOW#TEMPEST，并未归属于任何已知黑客组织，它从恶意 ZIP 文件开始，解压后会激活感染链，从而在受感染系统上部署后利用工具包。 ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件，该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”，大致翻译为“违反远程控制软件法规的人员列表” 。 研究人员指出：“从诱饵文件中使用的语言来看，特定的中国相关商业或政府部门很可能成为目标，因为他们都会雇用遵守‘远程控制软件规定’的人员。” LNK 文件充当启动合法 Microsoft 二进制文件（“LicensingUI.exe”）的管道，该二进制文件使用DLL 侧载来执行恶意 DLL（“dui70.dll”）。 这两个文件都是 ZIP 存档的一部分，位于名为“\其他信息\.__MACOS__\._MACOS__\__MACOSX\_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。 该 DLL 文件是 Cobalt Strike 植入程序，允许持续、隐秘地访问受感染的主机，同时与远程服务器（“123.207.74[.]22”）建立联系。 据称，远程访问使攻击者能够进行一系列实际活动，包括部署额外的有效载荷进行侦察和建立代理连接。 感染链还因设置计划任务而引人注目，该任务定期执行名为“lld.exe”的恶意可执行文件，该可执行文件可以直接在内存中运行任意 shellcode，从而在磁盘上留下最少的痕迹。 攻击链 研究人员表示：“攻击者通过手动提升内置 Guest 用户帐户的权限，进一步使自己能够隐藏在受感染的系统中。Guest账户通常被禁用且权限极低，但通过将其添加到关键管理组并为其分配新密码，它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问，因为 Guest 账户通常不像其他用户账户那样受到密切监控。” 随后，黑客使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动，然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。 后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察，然后以 ZIP 存档的形式泄露其结果。 所有 C2 服务器均在中国托管，这一事实进一步证实了该活动与中国的联系。此外，与该活动相关的大多数工件都来自中国。 “尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来，但它很可能是由经验丰富的黑客组织策划的，这些攻击者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”研究人员总结道，“此次活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p_7IlpzQiyTpVmmoxHsnkQ 封面来源于网络，如有侵权请联系删除

网络安全公司 ESET 称，与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。 WPS Office 是中国金山软件开发的一款办公套件，在亚洲非常受欢迎。据报道，它在全球拥有超过 5 亿活跃用户。 该黑客组织被追踪为 APT-C-60，0day漏洞编号为 CVE⁠⁠2024⁠-⁠7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。 该漏洞允许远程代码执行，已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用，影响的版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。 CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中，特别是“ksoqing://”，它允许通过文档内特制的 URL 执行外部应用程序。 由于对这些 URL 的验证和清理不当，该漏洞允许攻击者制作导致任意代码执行的恶意超链接。 APT-C-60 创建了电子表格文档（MHTML 文件），其中嵌入了隐藏在诱饵图像下的恶意超链接，以诱骗受害者点击它们，从而触发漏洞。 处理后的 URL 参数包括一个 base64 编码的命令，用于执行特定插件 (promecefpluginhost.exe)，该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。 该DLL是APT-C-60的下载器组件，用于从攻击者的服务器获取最终的有效负载（TaskControler.dll），这是一个名为“SpyGlace”的自定义后门。 攻击链 中国网络安全公司安恒信息（DBAPPSecurity）最近发布了对 WPS Office 漏洞的分析，此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。 SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告，该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。 根据2022 年底 ThreatBook（微步在线） 的一份报告，APT-C-60 还针对了韩国的实体。 ESET 周三报告称，2 月底，一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格，当目标用户点击单元格时触发漏洞。 诱饵文档嵌入了一张隐藏恶意超链接的图片 关于此漏洞的另一个有趣的事实是，它也可以通过在 Windows 资源管理器的预览窗格中单击来触发，这使得它更加危险。 据 ESET 称，WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响，但仅限于 Windows。 在对 CVE-2024-7262 进行分析时，ESET 发现开发商只修复了部分错误代码，该漏洞仍然可被利用。随后，该供应商发布了针对第二个漏洞的补丁，补丁编号为 CVE-2024-7263。 WPS Office 是一款流行的办公套件，根据官方网站的数据，其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。 安全专家建议所有WPS 用户应尽快将软件更新到最新版本。 ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC )，参考链接：https://github.com/eset/malware-ioc/tree/master/apt_c_60   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/BdUFk6X5CAmBuH7__6UXqg 封面来源于网络，如有侵权请联系删除

研究人员警告称，Ecovacs 生产的吸尘和割草机器人可能会被黑客入侵并监视其主人，该公司将修复这一问题。 在最近的 Def Con 黑客大会上，安全研究人员 Dennis Giese 和 Braelynn解释说，攻击者可以利用Ecovacs 生产的扫地机器人和割草机器人的缺陷来监视其主人。 研究人员分析了以下设备：Ecovacs Deebot 900 系列、Ecovacs Deebot N8/T8、Ecovacs Deebot N9/T9、Ecovacs Deebot N10/T10、Ecovacs Deebot X1、Ecovacs Deebot T20、Ecovacs Deebot X2、Ecovacs Goat G1、Ecovacs Spybot Airbot Z1、Ecovacs Airbot AVA 和 Ecovacs Airbot ANDY。 专家们发现了一系列漏洞，这些漏洞可能允许攻击者通过蓝牙控制设备的摄像头和麦克风。专家指出，这些机器人没有灯光来指示它们的摄像头和麦克风是否打开。 “他们的安全措施真的非常非常非常糟糕。”吉斯告诉TechCrunch。 研究人员在 Ecovacs 机器人中发现的一个问题就是，450 英尺范围内的任何人都可以通过蓝牙控制该设备。一旦攻击者控制了该设备，他们就可以通过 Wi-Fi 连接远程访问机器人。然后，他们可以检索敏感数据，如 Wi-Fi 凭证、保存的房间地图，甚至可以访问摄像头和麦克风。 Giese 解释说，Ecovacs 割草机器人的蓝牙功能始终处于活动状态，而扫地机器人仅在开机后 20 分钟内启用蓝牙，并且每天在自动重启时启用一次，这使得它们更难被黑客入侵。虽然有些型号理论上在摄像头开启时每五分钟会播放一次音频警报，但黑客可以轻松删除此文件，从而使它们在不被发现的情况下运行。 两位研究人员还发现了 Ecovacs 设备的其他几个问题。他们发现，即使用户删除了账户，数据和身份验证令牌仍会保留在 Ecovacs 的云服务器上，这可能导致未经授权的人访问机器人吸尘器，并监视购买二手设备的个人。此外，割草机器人具有以明文形式存储在设备内的防盗 PIN，攻击者可以轻松获取和滥用它。此外，一旦 Ecovacs 机器人受到攻击，它就有可能被用来攻击附近的其他 Ecovacs 机器人。 最初，Ecovacs 发言人告诉 TechCrunch，公司不会解决研究人员发现的漏洞。 数周后，供应商宣布将解决该问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/QgzjNmP4D82ldFxiRyM3Vg 封面来源于网络，如有侵权请联系删除

APT组织执行了“AppDomainManager 注入”，这类似于 DLL 侧加载，但可以说更容易、更隐蔽。 正在进行的攻击活动使用了两种鲜为人知的隐形技术来感染敏感地区的军事、政治目标。 第一个“GrimResource”是一种新技术，允许攻击者在 Microsoft 管理控制台 (MMC) 中执行任意代码。 第二种技巧是“AppDomainManager 注入”，它使用恶意动态链接库 (DLL)，但比传统的侧载更简单。这种技巧已经存在七年了，被开源社区、渗透测试人员使用。但在野外恶意活动中很少见到这种技巧。 NTT 研究人员在一篇新博客文章中表示，自 7 月以来，一个高级威胁组织一直在结合使用这些技术，将 Cobalt Strike 投放到东南亚敏感地区的政府、军事、能源组织等目标的 IT 系统中。 GrimResource 的工作原理 攻击始于包含在网络钓鱼电子邮件或恶意网站中的 ZIP 文件。 ZIP 包含一个带有 Windows 证书或 PDF 图标的文件。实际上，它是一个管理保存控制台 (MSC) 文件，这是一种用于保存 MMC 内配置和设置的文件类型。 MSC 近来在攻击者中越来越受欢迎。这始于微软发布了一系列默认控件的更改，这些更改可用于从电子邮件中执行有效负载。 这是一种非常有趣且功能强大的文件格式，与许多经常被滥用的常见文件格式相比，它受到的关注较少。 利用此类漏洞的一种技术是GrimResource，它于 7 月首次由 Elastic 发现。GrimResource 利用 Windows 身份验证协议域支持 (APDS) 库中存在六年的跨站点脚本 (XSS) 问题，在 MMC 中实现任意代码执行。 在此活动中，攻击者使用它来消除感染过程中的一个步骤：无需让受害者单击 MSC 文件中的恶意链接，只需打开 MSC 文件即可触发嵌入的 Javascript。 然后，恶意的 Javascript 会下载并运行合法的、经过签名的 Microsoft 可执行文件“dfsvc.exe”，并将其重命名为“oncesvc.exe”。但如果该文件是完全真实的，那么它如何被用来下载恶意软件呢？ 激活 AppDomainManager注入 所有使用 Microsoft .NET 框架构建的应用程序都会运行一个或多个应用程序域，这些域由“AppDomainManager”类创建和管理。在 AppDomainManager 注入中，攻击者会使用恶意代码创建一个 AppDomainManager 类，然后诱骗目标应用程序加载该类而不是合法应用程序。 这可以通过配置三个特定环境变量（APPDOMAIN_MANAGER_ASM、APPDOMAIN_MANAGER_TYPE 和 COMPLUS_VERSION）来实现，或者像本次攻击活动中的情况一样，上传一个自定义配置文件，该文件只会指示应用程序运行其恶意的 AppDomainManager。 Rapid7 渗透测试首席安全顾问 Nicholas Spagnola 解释说：“你实际上是在告诉通用语言运行时 (CLR)——Windows 操作系统的一部分，它告诉操作系统如何加载和处理 .NET 应用程序——在你运行 .NET 进程时包含一个恶意 DLL。”“它实际上允许你将几乎任何 .NET 应用程序变成一个活生生的二进制文件”。 NTT 研究人员写道：“目前，DLL 侧载是执行恶意软件的最常见方法，但 AppDomainManager 注入比 DLL 侧载容易得多，并且人们担心未来利用可能会增加。” 由于发现此类恶意注入非常困难，King 建议采取一种防御方法，在此类攻击发生之前进行阻止。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tRdadOHmncKH4-HLZ5jUWg 封面来源于网络，如有侵权请联系删除