研究人员发现，高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具，其中一个是针对微软Outlook的VBA宏（使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件）。我们还进一步分析了Gamaredon工具，这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里，这个群体的活动有所增加，不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档，在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言，从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单，旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是，Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力，但该小组的主要重点却是在试图窃取数据的同时，在目标网络中尽可能快地传播。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1245/     消息来源：welivesecurity，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

之前我们说到：网络犯罪分子通常会将攻击点与热点相联系。近期，我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月，我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程（TTP）十分类似，我们认为这是同一个攻击者的行为。 据了解，.NET有效负载的最终版以往从未被检测到过，它的代码段很小，而且与QuasarRAT相重叠，但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限，我们认为这可能是是一种小范围的攻击活动，而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关，其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术，如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制，还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1228/     消息来源：zscaler， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

虽然 Mac 恶意软件很罕见，但这并不表示 macOS 系统能完全免疫。外媒 Ars Technica 报道称，研究人员已经发现了一款新型 macOS 病毒，它使的都是曾经在 Windows 平台上耍过的“老伎俩”，利用了 Word 文档的“宏”（macro）功能来隐藏和执行恶意代码。 攻击者会引诱粗心的用户打开已被感染的 Word 文档，恶意软件会在加载恶意宏文件后被立即执行。万幸的是，识别这些受感染文件并不困难，因为它们的“打开方式”画风很不一样 —— 虽然系统会弹出许可请求，但只要在这一步刹住车，就可以阻止恶意软件的传播。但是万一，你还是“手滑”点击了“运行”，那么接下来的事情就无法控制了。攻击者可以在背后监视你、调取你的浏览器历史记录、或者启动继发感染（下载额外的恶意软件）。 昨天，本站也报道了一款来自伊朗的 macOS 恶意软件 MacDownloader ，伪装成虚假的软件更新，然后开始窃取用户的 Keychain，通过钓鱼手段骗得用户名和密码（以及其它凭证），最终将数据传回给攻击者。 对于 macOS 用户来说，避免此类攻击的最佳方式，就是慎从第三方或不被信任的网站下载软件，而是直接前往苹果 App Store、或者应用程序制作者的官方网站。 稿源：cnbeta，有删改，封面来源于网络