ResolverRAT 攻击活动瞄准医疗保健和制药行业
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马,该木马已被观察到针对医疗保健和制药行业发起攻击。 “攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵,旨在迫使收件人点击恶意链接,”Morphisec实验室研究员Nadav Lorber表示,“一旦访问,该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。” 最近一次观察到的活动是在2025年3月10日,其与去年思科Talos和Check Point记录的传播信息窃取恶意软件(如Lumma和Rhadamanthys)的网络钓鱼活动存在基础设施和传递机制的重叠。此次行动的一个显著特点是使用本地化的网络钓鱼诱饵,电子邮件以目标国家主要使用的语言撰写,包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语,这表明攻击者试图通过针对特定地区的攻击来扩大攻击范围,以最大限度地提高感染率。 电子邮件内容涉及法律调查或版权侵权等主题,旨在制造虚假的紧迫感,增加用户互动的可能性。 感染链的特征是使用DLL侧加载技术来启动进程。第一阶段是一个内存加载器,它解密并执行主要有效载荷,同时还采用多种技巧来逃避检测。ResolverRAT有效载荷不仅使用加密和压缩,而且一旦解码,它只存在于内存中。 “ResolverRAT的初始化序列揭示了一个复杂、多阶段的引导过程,旨在实现隐蔽性和弹性,”Lorber说,并补充说它通过Windows注册表和在文件系统中安装在不同位置作为备用机制,实现了多种冗余持久化方法。 一旦启动,该恶意软件在与命令与控制(C2)服务器建立联系之前使用定制的证书认证,从而绕过机器的根证书颁发机构。它还实施了一个IP轮换系统,如果主C2服务器不可用或被关闭,它将连接到备用C2服务器。 此外,ResolverRAT配备了通过证书固定、源代码混淆和不规则信标模式向C2服务器发送信号来逃避检测的能力。 “这种先进的C2基础设施展示了攻击者的高级能力,结合了安全通信、备用机制和旨在维持持久访问同时逃避安全监控系统检测的逃避技术,”Morphisec表示。 该恶意软件的最终目标是处理C2服务器发出的命令,并将响应数据传回,将超过1MB大小的数据分解为16KB的块,以最大限度地减少被检测到的可能性。 尽管此次行动尚未被归因于特定的组织或国家,但诱饵主题的相似性和与之前观察到的网络钓鱼攻击中使用的DLL侧加载的使用暗示了可能的联系。 “这种对齐表明攻击者基础设施或行动手册可能存在重叠,可能指向相关威胁组织之间的共同附属模式或协调活动,”该公司表示。 随着CYFIRMA详细描述了另一种名为海王星RAT的远程访问木马,该木马采用模块化、基于插件的方法来窃取信息、在主机上保持持久性、索要500美元的赎金,甚至覆盖主引导记录(MBR)以扰乱Windows系统的正常运行,这一发展也随之而来。 它通过GitHub、Telegram和YouTube免费传播。尽管如此,与该恶意软件相关的GitHub个人资料(称为MasonGroup,即FREEMASONRY)目前已无法访问。 “海王星RAT结合了先进的反分析技术和持久性方法,以在受害者的系统上长期保持存在,并配备了危险的功能,”该公司在上周发布的分析中指出。 它包括“加密剪贴板、能够窃取270多个不同应用程序凭证的密码窃取器、勒索软件功能以及实时桌面监控,使其成为一个极其严重的威胁。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
境外政治黑客发出攻击威胁 知道创宇云安全全力保障地方两会顺利召开
近日,疑似黑客组织“匿名者”在YouTube发布了一条带有明显政治意图的视频,并声称将针对中国政府网站发动攻击,号召全球成员共同加入。随后,该组织在Pastebin发布了目标网站列表,涉及100个中国政府网站,并提供了网站域名、源站IP、端口等详细信息。 黑客组织在Pastebin发帖的部分截图 消息一出便引起安全业界的重视,虽然随后便有安全研究人员发现该组织似乎是冒用“匿名者”的名号,且对该组织能发动如此大规模攻击的能力表示了怀疑,但安全无小事,任何一点危险信号都不容忽视! 近段时间,全国各地陆续召开地方两会,根据数据分析和以往经验,此类时期和节假日是网络攻击事件高发期。除上述攻击威胁事件外,创宇盾网站安全舆情监测平台近期也监测到大量其他境外带有明显政治意图的黑客的攻击威胁信息或攻击事件。 黑客在Twitter发布攻击威胁 对此,知道创宇云安全团队快速反应并已做好相应准备。为保障各地地方两会顺利召开,保证客户网站不受影响,知道创宇云防御平台进行了充足的服务资源准备,安全保障团队也将持续7*24小时在线为客户提供技术支持和安全服务。由创宇盾防护的网站不必担心。 最后,知道创宇云安全团队在此提示,正值地方两会和春节假期,网络运营者请提高安全防范意识,做好网站安全防护工作,如有防护需求可拨打我们的支持热线(4001610866)或登录我们的网站了解更多信息,我们也将持续关注安全舆情并提供最新的防护策略。 最后的最后,对妄图分裂祖国的行为表示唾弃!祖国万岁! 了解创宇盾详情:https://www.yunaq.com/cyd/
攻击预警 | 多家单位官网受到攻击,请提高警惕并做好安全措施
2018年11月以来,知道创宇404积极防御实验室在创宇盾网站舆情监测平台发现并确认,某带有强烈政治意图的境外组织对多个单位官网发起入侵攻击,包括政府、学校、事业单位和名企等。 经分析,该组织采取的主要攻击方式是,利用常见的Web漏洞攻击、通过弱口令登录后台发布信息等手段,对目标网站植入带有挑衅字样的黑页。 多名参与入侵的成员在国外社交平台Twitter发布了“战果”,如: ▼ ▼ ▼ ▼ ▼ ▼ 总结及安全建议 通过知道创宇安全大数据分析发现,近期该组织面对国内的攻击活动频繁,请各单位提高警惕,做好针对性的安全措施,如开启Web防火墙、强制更新重要入口账号密码、升级服务器操作系统的补丁等,并对加强自身网站的安全监控。
美国起诉朝鲜男子发起索尼网络攻击和 WannaCry 勒索软件攻击
据外媒报道,美国司法部日前对朝鲜一名人员发起诉讼,指控其涉嫌参与了2014年索尼影业的黑客攻击以及2017年具有毁灭性的WannaCry勒索软件攻击。早在2014年年底,美国就曾将索尼影业遭遇黑客攻击的事件归咎于朝鲜。据称,这次网络攻击则是对赛斯·罗根和詹姆斯·弗兰科拍摄的影片《刺杀金正恩》的回应。 美国检方称,被控男子Park Jin-hyok是代表朝鲜政府进行广泛、长时间阴谋行动的组织的一份子。据称,该名男子以及其他一些人通过一个幌子组织进入了索尼影业并了WannaCry 2.0勒索软件。该软件一经发布之后就在150个国家破坏了计算机系统。美国官员此前也曾将该网络攻击归咎于朝鲜。 据悉,Park被控合谋进行电脑欺诈和滥用以及合谋进行电信欺诈。美国财政部宣布,在起诉书公布之后他们已经对Park以及幌子公司实施了制裁。 这条消息可以说是在美国和朝鲜关系处于尴尬时刻发布的。在金正恩和特朗普举行了首次峰会之后,无核化谈判似乎陷入僵局。然而今日,在金正恩赞赏了特朗普之后,这位总统也在社交媒体平台上发文赞赏了这位朝鲜领导人–“我们会一起完成的!” 稿源:cnBeta,封面源自网络;
以太坊交易平台 EtherDelta 被黑,失窃近 27 万美元以太币
据外媒 12 月 27 日报道,以太坊交易平台 EtherDelta 的域名服务器( DNS )证实近期遭到黑客攻击,致使 308 以太币( 约合 $266,789 )及潜在价值数十万美元的代币被窃。据悉,此次网络攻击发生于本月 20 日,一度导致 EtherDelta 平台暂停服务,官方当日发表推文公布其 DNS 服务器遭受攻击等相关细节。直至 22日 EtherDelta 平台才完全恢复服务。 知情人士透露,此次黑客主要通过 DNS 劫持诱骗用户发送钱款。官方指出伪造的应用程序中不仅没有导航栏上的聊天按钮,也没有官方 Twitter 提要,并且还具有一个伪造的订单簿以便获取用户信任。 EtherDelta 在其推文中呼吁所有用户不要访问假冒的网站,并承诺使用 MetaMask 和 hardware 钱包的用户不会受到影响,以及从未在钓鱼网站上输入私钥的用户也是安全的。 目前全球各地已发生多起黑客入侵虚拟货币平台事件,如近期韩国加密货币交易所 Youbit 在今年第二次遭受重大攻击后宣布破产,加密货币矿业市场 NiceHash 也证实因黑客攻击导致价值 6000 万美元的比特币损失。 研究人员认为虚拟货币价格的飙升是吸引网络犯罪分子频繁进行攻击行动的主要原因。 更多阅读: ○ 韩国比特币交易所 YouBit 遭黑客入侵 宣布申请破产 ○ 挖矿算力市场 NiceHash 近 6400万美元比特币被盗 ○ 专家:2018 年比特币等加密货币将成黑客主要攻击目标 消息来源:Security Affairs,编译:榆榆;校审:FOX 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。