HackerNews 编译，转载请注明出处： 黑客通过微软 Teams 联系金融和医疗行业的员工，诱骗他们通过快速助手（Quick Assist）授予远程访问权限，并部署一款名为 A0Backdoor 的新型恶意软件。 攻击者依靠社会工程学获取员工信任：首先向受害者收件箱发送大量垃圾邮件，随后通过 Teams 联系受害者，伪装成公司 IT 人员，声称可以帮助处理这些垃圾消息。 为获取目标设备的访问权限，威胁行为者诱导用户启动快速助手远程会话，并借此部署一套恶意工具集，其中包括托管在个人微软云存储账户中、经过数字签名的 MSI 安装程序。 网络安全公司 BlueVoyant 的研究人员表示，这些恶意 MSI 文件伪装成微软 Teams 组件以及 CrossDeviceService—— 后者是 Phone Link 应用所使用的一款合法 Windows 工具。 用于安装恶意 CrossDeviceService.exe 的命令行参数来源：BlueVoyant 攻击者利用合法微软二进制文件实施 DLL 侧载攻击，部署一个包含压缩或加密数据的恶意库文件（hostfxr.dll）。该库被加载到内存后，会将数据解密为 shellcode 并移交执行权。 研究人员称，该恶意库还使用 CreateThread 函数来阻碍分析。BlueVoyant 解释道，大量创建线程可能导致调试器崩溃，但在正常执行环境下不会产生显著影响。 该 shellcode 会执行沙箱检测，随后生成一个基于 SHA-256 的密钥，并用该密钥提取经 AES 算法加密的 A0Backdoor。 shellcode 中的加密载荷来源：BlueVoyant 该恶意软件将自身重定向到新的内存区域，解密核心功能代码，并通过调用 Windows API（如 DeviceIoControl、GetUserNameExW、GetComputerNameW）收集主机信息并生成设备指纹。 与命令与控制服务器（C2）的通信隐藏在 DNS 流量中：恶意软件向公共递归解析器发送 DNS MX 查询，在高熵子域名中携带编码后的元数据。DNS 服务器以包含编码指令数据的 MX 记录进行回应。 捕获到的 DNS 通信流量来源：BlueVoyant BlueVoyant 解释道：“恶意软件提取并解码最左侧的 DNS 标签，以恢复指令或配置数据，随后执行相应操作。” “使用 DNS MX 记录可以让流量混入正常通信中，并绕过专门针对基于 TXT 记录的 DNS 隧道的检测规则，而这类隧道通常会被更频繁地监控。” BlueVoyant 表示，此次攻击活动的两个目标分别是加拿大的一家金融机构和一家全球性医疗组织。 研究人员以中高可信度判断，该攻击活动是与 BlackBasta 勒索软件团伙相关战术、技术与流程（TTP）的演进版本。BlackBasta 团伙在内部聊天记录泄露后已宣告解散。 BlueVoyant 指出，尽管两者存在大量重合之处，但本次攻击中使用的签名 MSI 文件、恶意 DLL、A0Backdoor 载荷以及基于 DNS MX 的 C2 通信均为新增特征。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个此前未被记录的威胁活动集群，被关联到一场至少从 2025 年 12 月开始、针对美国教育和医疗行业的持续恶意攻击活动。 Cisco Talos 正在以代号 UAT-10027 追踪该攻击活动。攻击的最终目的是投放一款此前从未出现过、代号为 Dohdoor 的后门。 “Dohdoor 利用基于 HTTPS 的 DNS（DoH）技术进行命令与控制（C2）通信，并能够以反射式方式下载并执行其他二进制载荷，” 安全研究人员 Alex Karkins 和 Chetan Raghuprasad 在一份分享给《The Hacker News》的技术报告中表示。 尽管目前尚不清楚该攻击活动使用的初始入口向量，但据推测涉及社会工程钓鱼手段，最终会执行一段 PowerShell 脚本。 该脚本随后会从远程中转服务器下载并运行一个 Windows 批处理脚本，而该脚本会进一步协助下载一个名为 propsys.dll 或 batmeter.dll 的恶意 Windows 动态链接库（DLL）。 该 DLL 载荷，即 Dohdoor，通过合法 Windows 可执行文件（如 Fondue.exe、mblctr.exe 和 ScreenClippingHost.exe），使用一种被称为 DLL 侧加载的技术启动。该植入程序创建的后门访问权限被用于将下一阶段载荷直接加载到受害者内存并执行。该载荷被判定为 Cobalt Strike Beacon。 “威胁行为者将 C2 服务器隐藏在 Cloudflare 基础设施之后，确保从受害者机器发出的所有出站通信，在外观上都与发往可信全球 IP 地址的合法 HTTPS 流量一致，”Talos 表示。 “该技术绕过了基于 DNS 的检测系统、DNS 黑洞以及监控可疑域名查询的网络流量分析工具，确保恶意软件的 C2 通信能够躲避传统网络安全基础设施的检测。” 研究人员还发现，Dohdoor 会对系统调用进行脱钩，以绕过那些通过 NTDLL.dll 中的用户态钩子监控 Windows API 调用的终端检测与响应（EDR）方案。 Raghuprasad 向 The Hacker News 表示：“攻击者已入侵多家教育机构，其中包括一所与其他多家机构相连的大学，这表明其潜在攻击面可能更广。此外，受影响实体中还有一家医疗设施，专门提供老年护理服务。” 对该攻击活动的分析显示，截至目前尚未发现数据窃取的证据。研究人员补充称，除了看似用于在受害者环境中植入后门的 Cobalt Strike Beacon 之外，尚未观察到其他最终载荷，但根据受害者类型模式判断，UAT-10027 的行动很可能受金融利益驱动。 目前尚不清楚 UAT-10027 背后的组织身份，但 Cisco Talos 表示，其发现 Dohdoor 与 LazarLoader 在战术上存在一些相似之处。LazarLoader 是一款此前被发现由朝鲜黑客组织 Lazarus 在针对韩国的攻击中使用的下载器。 “尽管 UAT-10027 的恶意软件与 Lazarus 组织存在技术重合，但该攻击活动对教育和医疗行业的聚焦，与 Lazarus 通常针对加密货币和国防领域的特征并不一致，”Talos 总结道。 “不过…… 朝鲜 APT 行为者曾使用 Maui 勒索软件攻击医疗行业，而另一个朝鲜 APT 组织 Kimsuky 也曾针对教育行业，这表明 UAT-10027 的受害者特征与其他朝鲜 APT 存在重合之处。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场以求职为诱饵针对软件开发人员的协同攻击活动，正利用伪装成合法 Next.js 项目和技术评估材料（包括招聘编码测试）的恶意代码仓库实施攻击。 攻击者的目标是在开发者设备上实现远程代码执行（RCE）、窃取敏感数据，并在受入侵系统中植入额外的有效载荷。 多重执行触发机制 Next.js 是一款用于构建 Web 应用的热门 JavaScript 框架，它基于 React 运行，并使用 Node.js 作为后端。 微软防御团队表示，攻击者创建了伪造的基于 Next.js 构建的 Web 应用项目，并将其伪装成编码项目，在求职面试或技术评估环节分享给开发者。 研究人员最初发现了一个托管在 Bitbucket（基于 Git 的云端代码托管与协作服务）上的代码仓库。但随后发现了多个具有相同代码结构、加载器逻辑和命名模式的代码仓库。 当目标开发者按照标准流程克隆该仓库并在本地打开时，会触发恶意 JavaScript 代码，该代码在启动应用时自动执行。 该脚本从攻击者的服务器下载额外的恶意代码（一个 JavaScript 后门），并通过正在运行的 Node.js 进程直接在内存中执行，从而实现对设备的远程代码执行。 攻击链概述（来源：微软） 微软解释称，为提高感染率，攻击者在恶意代码仓库中嵌入了多重执行触发机制。具体总结如下： VS Code 触发机制 —— 配置了 runOn: “folderOpen” 的 .vscode/tasks.json 文件，会在项目文件夹被打开（且被信任）时立即执行一个 Node 脚本。 开发服务器触发机制 —— 当开发者运行 npm run dev 命令时，一个被植入木马的资源（如修改后的 JS 库）会解码隐藏的 URL，从远程服务器获取加载器并在内存中执行。 后端启动触发机制 —— 服务器启动时，一个后端模块会从 .env 文件中解码 base64 格式的端点地址，将 process.env 信息发送给攻击者，接收响应的 JavaScript 代码并通过 new Function () 执行。 感染过程会释放一个 JavaScript 有效载荷（第一阶段），该载荷会收集主机信息并向命令与控制（C2）端点注册，按固定时间间隔轮询服务器。 随后感染会升级为任务控制器（第二阶段），连接至另一个独立的 C2 服务器，检查待执行任务，在内存中执行下发的 JavaScript 代码，并跟踪衍生的进程。该有效载荷还支持文件枚举、目录浏览和分阶段文件窃取。 第二阶段的服务器轮询功能（来源：微软） 微软发现，此次攻击活动涉及多个具有相同命名规则、加载器结构和分级基础设施的代码仓库，表明这是一场协同攻击，而非单次攻击行为。 除技术分析外，研究人员未披露关于攻击者或攻击规模的任何细节。 这家科技巨头建议，开发者应将日常标准工作流程视为真正的高风险攻击面，并采取相应的防范措施。 建议的缓解措施包括启用 VS Code 工作区信任 / 受限模式、使用攻击面减少（ASR）规则，以及通过 Entra ID Protection 监控高风险登录行为。 应尽量减少存储在开发者终端上的敏感信息，并尽可能使用权限最小化的短期令牌。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正积极利用 Ivanti Endpoint Manager Mobile（EPMM）设备植入“休眠”后门，这类后门可闲置数天甚至数周不被激活。 Ivanti 近期披露了 EPMM 的两处高危漏洞——CVE-2026-1281 和 CVE-2026-1340，分别涉及不同程序包（aftstore 和 appstore）中的身份验证绕过与远程代码执行问题。 尽管涉及的程序包不同，但防御方面临的实际影响一致：攻击者可未经认证访问应用层端点。Ivanti 已在安全公告中发布缓解措施与补丁部署指南，但漏洞披露后不久便出现了在野利用行为。 Defusedcyber 观测到的与本次攻击浪潮相关的入侵事件中，漏洞成功利用后，攻击者都会在 /mifs/403.jsp 路径下留下恶意文件。该文件名与路径在针对 Ivanti/MobileIron 的攻击中并非首次出现， 不同之处在于恶意载荷的用途：攻击者并未部署可执行命令的交互式 WebShell，而是通过 HTTP 参数传输经 Base64 编码的 Java 类文件。 每个解码后的载荷均包含有效的 Java 字节码（以 CAFEBABE 类头标识），其作用是休眠式内存类加载器，而非可立即使用的后门。这一区别具有重要的实战意义：传统的 WebShell 检测通常以后续命令执行和文件系统痕迹为核心线索，而本次攻击中，攻击者的流程核心是“植入并验证”，而非“植入并立即操作”。 观测到的植入类为 base.Info（由 Info.java 编译而来），该类不提供文件浏览、命令执行功能，也无常规的操作控制台，仅等待后续的“激活”请求——该请求会传输第二个 Java 类，随后加载器将其直接在内存中运行。 值得注意的是，该加载器以 equals(Object) 方法作为入口点，而非 doGet、doPost 等标准 Servlet 方法，这一设计可规避简易检测规则；同时它会从传入的对象中提取 HttpServletRequest 和 HttpServletResponse 对象（并兼容 PageContext 及 Servlet 包装/外观模式），提升了在不同 Java Web 容器中的适配性。 移交控制权前，加载器会采集主机指纹信息（如 user.dir 路径、文件系统根目录、操作系统名称、用户名等），并将这些数据传递给第二阶段类，便于攻击者后续快速掌握目标主机情况。 Defusedcyber 观测到的所有案例中，加载器均已完成植入与验证，但未发现传输第二阶段类的后续请求。 这种“先植入、后操作”的模式符合初始访问中介（Initial Access Broker）的行为特征：一方大规模建立可靠的访问权限，另一方后续从不同基础设施利用这些权限牟利或发起攻击。 Shadowserver 观测到攻击者在 Ivanti EPMM 设备上部署 WebShell，推测是利用了 CVE-2026-1281 漏洞，扫描数据显示截至 2026 年 2 月 6 日已有 56 个 IP 地址的设备被攻陷。 防御建议 ·     立即按照 Ivanti 指南为 EPMM 打补丁，随后重启受影响的应用服务器以清除内存中的植入程序（加载器全程无需写入磁盘，重启是关键清除手段） ·     检查日志中是否有针对 /mifs/403.jsp 的请求，尤其是包含 k0f53cf964d387 参数的请求 ·     检测包含分隔符对 3cd3d 和 e60537 的响应内容 ·     即便环境看似“稳定”，一旦检测到相关痕迹也需紧急处理——这些访问权限可能只是暂未激活。 消息来源: cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Python软件包仓库PyPI上新发现的恶意软件包dbgpkg引发了对开源生态安全性的新一轮担忧。 网络安全公司ReversingLabs披露，这个伪装成调试工具的程序实际上是为植入隐蔽后门提供通道，其恶意活动被认为与亲乌克兰黑客组织Phoenix Hyena存在关联。该组织自2022年俄乌冲突以来持续针对俄罗斯网络目标发起攻击，2024年曾入侵俄罗斯网络安全公司Dr.Web并泄露数据。 在技术实现方面，该恶意软件利用Python函数装饰器植入后门，通过sys.modules劫持requests和socket等常用网络库，在运行时模块被调用前保持潜伏状态。触发后，恶意代码首先检查是否存在后门程序。若未检测到，则会分阶段执行从Pastebin平台下载公钥、安装防火墙穿透工具Global Socket Toolkit，以及发送加密密钥至私密地址等操作。这种将恶意行为隐藏于可信模块调用的手法极大增加了检测难度。 安全研究人员指出，该后门与Phoenix Hyena组织使用的恶意软件存在技术相似性。该组织以Telegram频道DumpForums为平台持续泄露窃取的俄罗斯敏感数据。虽然不能完全排除模仿者作案的可能，但相同攻击载荷的反复使用及时间线特征增强了关联证据的可信度。 值得注意的是，攻击者采用的函数装饰器、隐蔽网络工具包等先进技术显示出其高超的技术能力和持久渗透意图。虽然dbgpkg被快速发现，但其前身discordpydebug软件包曾潜伏三年未被察觉，累计下载量超过11,000次。这警示开发者即使面对看似有用的工具也必须保持审慎态度，避免从不可信来源安装软件包。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现三个恶意npm软件包专门针对苹果macOS版人工智能驱动的源代码编辑器Cursor。这些伪装成“最便宜Cursor API”开发者工具的软件包会窃取用户凭证，从攻击者控制的服务器获取加密载荷，覆盖Cursor的main.js文件，并禁用自动更新机制以维持持久性驻留。 受影响的软件包包括： sw-cur（2,771次下载） sw-cur1（307次下载） aiide-cur（163次下载） 截至5月9日时，这三个软件包仍可在npm仓库下载。其中“aiide-cur”由用户“aiide”于2025年2月14日发布，自称是“macOS版Cursor编辑器的命令行配置工具”；另外两个软件包由别名“gtr2018”的用户提前一天发布，累计下载量已超3,200次。 安装后，这些软件包会窃取用户输入的Cursor凭证，并从远程服务器（t.sw2031[.]com或api.aiide[.]xyz）获取第二阶段载荷，用恶意代码替换合法Cursor文件。“sw-cur”还会禁用Cursor自动更新功能并终止所有相关进程，随后重启应用使恶意代码生效，使攻击者能在平台上执行任意代码。 Socket公司研究员基里尔·博延科指出，这反映出攻击者正通过恶意npm包篡改开发者系统现有合法软件的新趋势。这种“补丁式攻击”的阴险之处在于，即使删除恶意软件包，仍需重新安装被篡改的软件才能彻底清除威胁。 “攻击者不再局限于向软件包管理器植入恶意代码，而是发布看似无害的npm包来重写受害者计算机上的可信代码，”Socket向The Hacker News解释，“恶意逻辑通过合法父进程（如IDE或共享库）运行时，会继承应用程序信任，在被删后仍保持持久性，并自动获取软件权限——从API令牌、签名密钥到外网访问权限。” 攻击者还利用开发者对AI工具的兴趣实施钓鱼，以“最便宜Cursor API”为诱饵吸引用户安装后门。防御此类供应链攻击需监测安装后脚本、修改node_modules外文件、异常网络请求等行为，配合版本锁定、实时依赖扫描和关键文件完整性监控。 此次披露还包含另两个npm包——2024年9月由用户“olumideyo”发布的pumptoolforvolumeandcomment（625次下载）和debugdogs（119次下载）。后者通过调用前者传播混淆载荷，窃取加密货币平台BullX的密钥、钱包文件和交易数据，并通过Telegram机器人外传。安全研究员库什·潘迪亚指出，这种“包装器模式”使用多重名称传播相同恶意代码，能在数秒内清空数字资产。 此外，安全公司Aikido发现合法npm包“rand-user-agent”遭供应链攻击，恶意版本2.0.83、2.0.84和1.0.110会植入远程控制木马。这些版本通过与外部服务器通信实现目录切换、文件上传和命令执行，于2025年5月5日被检测到。目前该包已被标记为弃用，GitHub仓库重定向至404页面。维护方WebScrapingAPI称，攻击者通过未启用双因素认证的过期自动化令牌实施了此次入侵。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

趋势科技在一篇分析报告中表示： “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备，使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。” Earth Minotaur 攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。 MOONSHINE于 2019 年 9 月首次曝光，公民实验室将其使用归咎于其追踪的名为POISON CARP 的运营商，该运营商与威胁组织Earth Empusa 和 Evil Eye有重叠。 这是一种基于 Android 的漏洞利用工具包，已知利用各种 Chrome 浏览器漏洞来部署有效载荷，从而窃取受感染设备的敏感数据。 具体来说，包含针对各种应用程序的代码，例如 Google Chrome、Naver 以及嵌入应用内浏览器的即时通讯应用程序（例如 LINE、QQ、微信和 Zalo）。 根据趋势科技的说法，Earth Minotaur 与 Earth Empusa 没有直接联系。威胁组织使用升级版的 MOONSHINE 渗透受害者设备，随后用 DarkNimbus 感染它们。 新变种增加了漏洞库CVE-2020-6418，这是 V8 JavaScript 引擎中的类型混淆漏洞，在有报道称该漏洞已被用作0day漏洞武器后，谷歌于 2020 年 2 月对其进行了修补。 Earth Minotaur的攻击链 研究人员表示：“Earth Minotaur 通过即时通讯应用发送精心设计的消息，诱使受害者点击嵌入的恶意链接。他们在聊天中伪装成不同的角色，以提高社交工程攻击的成功率。” 这些虚假链接指向至少 55 个 MOONSHINE 漏洞工具包服务器之一，这些服务器负责在目标设备上安装 DarkNimbus 后门。 为了巧妙欺骗，这些 URL 伪装成看似无害的链接。 趋势科技表示：“当受害者点击攻击链接并被重定向到漏洞攻击包服务器时，它会根据嵌入的设置做出反应。攻击结束后，服务器会将受害者重定向到伪装的合法链接，以防止受害者注意到任何异常活动。” MOONSHINE 漏洞利用工具包的验证流程 当基于 Chromium 的浏览器不易受到 MOONSHINE 支持的任何漏洞攻击时，该工具包服务器被配置为返回一个钓鱼页面，警告用户应用内浏览器（名为XWalk的 Android WebView 的定制版本）已过期，需要点击提供的下载链接进行更新。 这会导致浏览器引擎降级攻击，从而允许威胁组织利用未修补的安全漏洞来利用 MOONSHINE 框架。 成功的攻击会导致 XWalk 的木马版本植入 Android 设备并取代应用程序中的合法版本，最终为 DarkNimbus 的执行铺平道路。 该后门据信自 2018 年以来就已开发并积极更新，它使用 XMPP 协议与攻击者控制的服务器进行通信，并支持详尽的命令列表来获取有价值的信息，包括设备元数据、屏幕截图、浏览器书签、电话通话记录、联系人、短信、地理位置、文件、剪贴板内容和已安装应用程序的列表。 它还能够执行 shell 命令、录制电话、拍照，并滥用 Android 的辅助服务权限来收集来自 DingTalk、MOMO、QQ、Skype、TalkBox、Voxer、微信和 WhatsApp 的消息。 最后但同样重要的是，它可以从受感染的手机上自行卸载。 MOONSHINE 漏洞攻击包所针对的漏洞和浏览器版本 趋势科技表示，它还检测到了 Windows 版本的 DarkNimbus，该版本可能是在 2019 年 7 月至 10 月期间制作的，但直到一年多后的 2020 年 12 月才开始使用。 它缺少 Android 版本的许多功能，但包含各种命令来收集系统信息、已安装应用程序的列表、击键、剪贴板数据、已保存的凭据和来自网络浏览器的历史记录，以及读取和上传文件内容。 尽管目前尚不清楚Earth Minotaur的具体起源，但观察到的感染链的多样性，加上功能强大的恶意软件工具，表明这是一个复杂的威胁。 趋势科技推测： “MOONSHINE 是一个仍在开发中的工具包，并已与多个威胁行为者共享，包括 Earth Minotaur、POISON CARP、UNC5221等。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CpvqeklX_SUGfSDV2pbWlw 封面来源于网络，如有侵权请联系删除

伊朗情报和安全部（MOIS）下属的网络行动已成为该国黑客的复杂初始访问代理，为中东各地电信和政府组织的系统提供持续入口。 谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称，与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门，这些工具和后门将继续协助伊朗的其他黑客行动。 Mandiant 解释说：“据报道，这些组织为针对以色列的破坏性和破坏性行动提供了初步途径，这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列，于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。” Mandiant 指出，虽然他们无法独立确认 UNC1860 是否参与了这两次行动，但他们发现了“可能旨在促进交接操作”的工具。 Mandiant 表示，UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施，以支持该组织的初始访问和横向移动目标。” 这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问，以用于各种目的。 Mandiant 称 UNC1860 是一个“强大的APT组织”，可能支持“从间谍活动到网络攻击行动等各种目标”。 该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据，例如APT34——一个著名的伊朗威胁组织，负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周，研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。 Mandiant 表示，该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件，这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。 该公司补充说，2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。 Mandiant 表示：“在取得初步立足点后，该组织通常会部署额外的实用程序和一套选择性的被动植入物，这些植入物的设计比普通的后门更为隐蔽。” 其他公司过去也曾重点关注 UNC1860 的工具，其中包括思科、Check Point和Fortinet。 随着伊朗黑客组织网络行动变得越来越明目张胆，其受到安全研究人员和政府机构的越来越大的关注。 Mandiant 表示：“随着中东紧张局势持续起伏，我们认为，该攻击者在获取目标环境初始访问权方面的娴熟技能，对伊朗网络生态系统而言是一笔宝贵的资产，可随着需求的变化而用于应对不断变化的目标。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/IQKFQhb3RDBENKYQI62Qmw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，研究人员提出了一种噪声攻击（NoiseAttack） 的新型后门攻击方法，该攻击被称为是一种用于图像分类的后门攻击，针对流行的网络架构和数据集实现了很高的攻击成功率，并能绕过最先进的后门检测方法。 实验结果表明，该攻击能有效对抗最先进的防御系统，并在各种数据集和模型上实现较高的攻击成功率。它利用白高斯噪声（White Gaussian Noise）作为触发器，创建了一种针对特定样本的多目标后门攻击，可灵活控制目标标签。 与通常针对单一类别的现有方法不同，该攻击使用具有不同功率谱密度的白高斯噪声作为触发器，并采用独特的训练策略来执行攻击，因此只需最少的输入配置就能针对多个类别进行攻击。 不同数据集和模型的攻击性能 这种噪声攻击在研究中被称为是一种用于图像分类的新型后门攻击 ，利用白高斯噪声（WGN）的功率谱密度（PSD）作为训练过程中嵌入的触发器。这种攻击涉及在精心制作的噪声水平和相关目标标签构建的中毒数据集上训练一个后门模型，从而确保模型容易受到触发，导致所需的误分类。 NoiseAttack 后门训练准备的中毒数据集概览 这种攻击为创建具有多个目标标签的后门提供了一种通用方法，从而为试图破坏机器学习模型的攻击者提供了一种强大的工具。 该框架能有效规避最先进的防御措施，并在各种数据集和模型中实现较高的攻击成功率。 通过在输入图像中引入白高斯噪声，该攻击可以成功地将图像错误分类为目标标签，而不会明显影响模型在干净数据上的性能。这种攻击对 GradCam、Neural Cleanse 和 STRIP 等防御机制的较强鲁棒性表明，它有可能对深度神经网络的安全性构成重大威胁。 此外，该攻击执行多目标攻击的能力也证明了它的多功能性和对不同场景的适应性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410518.html 封面来源于网络，如有侵权请联系删除。

黑客组织利用名为 CR4T 的新后门以中东政府实体为目标，这是被追踪为 DuneQuixote 行动的一部分。 卡巴斯基研究人员于 2024 年 2 月发现了 DuneQuixote 活动，但他们认为该活动可能自 2023 年以来就一直活跃。 卡巴斯基发现了该活动中使用的 30 多个 DuneQuixote dropper（滴管）样本。专家们发现了该植入程序的两个版本：常规植入程序（以可执行文件或 DLL 文件的形式）和名为“Total Commander”的合法工具篡改的安装程序文件。 该植入程序被用来下载一个追踪为“CR4T”的后门。专家只检测到两个 CR4T 植入程序，但他们推测存在许多其他变体，这些变体可能是完全不同的恶意软件。 DuneQuixote 活动背后的攻击者采取措施，通过实施实用且精心设计的规避方法来防止收集和分析植入物。 该植入程序连接到嵌入式命令和控制 (C2)，其地址被硬编码在恶意代码中，并使用独特的技术进行解密，以防止其暴露于自动恶意软件分析工具。 “最初的植入程序是一个 Windows x64 可执行文件，尽管也有共享相同功能的恶意软件 DLL 版本。该恶意软件是用 C/C++ 开发的，没有使用标准模板库 (STL)，并且某些片段是用纯汇编程序编码的。”卡巴斯基发布的分析报告里写道。 “植入程序会继续解密 C2（命令和控制）地址，采用一种独特的技术，旨在防止 C2 暴露于自动恶意软件分析系统。此方法首先检索执行释放器的文件名，然后将该文件名与西班牙诗歌中的硬编码字符串之一连接起来。接下来，释放器会计算连接字符串的 MD5 哈希值，然后将其用作解密 C2 字符串的密钥。” 攻击者在这些函数中使用了由西班牙诗歌摘录组成的字符串。每个样本的字符串都不同，改变了每个样本的签名以避免通过传统方法检测。然后，在执行诱饵函数后，恶意软件会为所需的 API 调用构建一个框架。该框架充满了 Windows API 函数的偏移，通过各种技术解决。 Dropper 计算组合字符串的 MD5 哈希值，并将其用作解码 C2 服务器地址的密钥。然后，Dropper 连接 C2 服务器并下载下一阶段的有效负载。 研究人员注意到，每个受害者只能下载一次有效负载，或者只能在恶意软件样本发布后的短时间内访问该有效负载，因此研究人员无法从活跃的 C2 服务器获取大部分有效负载植入。 Total Commander 安装包植入程序的设计看起来像正版 Total Commander 软件安装程序，但包含其他恶意组件。这些更改使 Total Commander 安装程序的官方数字签名失效。此版本的释放器保留了初始释放器的核心功能，但不包括西班牙语诗歌字符串和诱饵功能。此外，它还结合了反分析措施和检查，以防止连接到 C2 资源。 Total Commander是被广泛使用的优秀文件管理器。 专家们还发现了 CR4T 植入物的 Golang 版本，它与 C 版本具有相似的功能。它包括用于机器交互的命令行控制台、文件下载/上传功能和命令执行功能。值得注意的是，该恶意软件可以使用 Golang Go-ole 库创建计划任务，该库与 Windows 组件对象模型 (COM) 接口以进行任务计划程序服务交互。 该恶意软件通过 COM对象劫持 技术实现持久化。该恶意软件使用 Telegram API 进行 C2 通信，实现公共 Golang Telegram API 绑定。所有交互都与C/C++版本类似。 “‘DuneQuixote’活动针对中东实体，使用了一系列旨在隐秘和持久的有趣工具。通过部署仅内存植入程序和伪装成合法软件的植入程序，模仿 Total Commander 安装程序，攻击者展示了高于平均水平的规避能力和技术。” 报告总结道：“CR4T 植入程序的 C/C++ 和 Golang 版本的发现凸显了此次活动背后的攻击者的灵活性和足智多谋。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/glTDwaO2w1oihS7ixMDeHQ 封面来源于网络，如有侵权请联系删除