HackerNews 编译，转载请注明出处： 一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序，该程序会将用户的计算机转变为住宅代理节点。 住宅代理网络利用家庭用户设备路由流量，旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。 有用户按照 YouTube 上的电脑装机教程操作时，从仿冒 7-Zip 项目的网站下载了恶意安装程序并进行上报，该新型攻击活动由此引发广泛关注。科技媒体 BleepingComputer 已证实，该恶意网站 7zip [.] com 目前仍可访问。 该威胁行为者注册了域名 7zip[.]com（撰写本文时仍活跃），很容易诱使用户误以为他们访问的是该合法工具的官网。 此外，攻击者还复制了原始 7-Zip 网站（ 7-zip.org）的文本并模仿了其结构。 网络安全公司 Malwarebytes 的研究人员对该安装程序进行分析后发现，其搭载的数字证书已被吊销。 该恶意版本同时包含正常 7-Zip 程序，可提供工具的常规功能。但该安装程序会释放三个恶意文件： ·     Uphero.exe – 服务管理器和更新加载器 ·     hero.exe – 主要代理负载 ·     hero.dll – 支持库 此外，攻击者使用 netsh 修改防火墙规则，以允许这些二进制文件建立入站和出站连接。 最终，主机系统会通过微软的 Windows 管理规范（WMI）和 Windows API 进行特征分析，以确定硬件、内存、CPU、磁盘和网络特性。收集到的数据随后被发送至 iplogger[.]org。 “虽然初步迹象表明其具有后门类能力，但进一步分析显示，该恶意软件的主要功能是代理工具，”Malwarebytes 在解释该恶意软件的操作目标时表示。“受感染的主机被注册为一个住宅代理节点，允许第三方通过受害者的 IP 地址路由流量。” 根据分析，hero.exe 从轮换的 C2 域拉取配置，然后在 1000 和 1002 等非标准端口上打开出站代理连接。控制消息使用轻量级 XOR 密钥进行混淆。 Malwarebytes 发现，该攻击活动的范围不止于 7-Zip 诱饵，还使用了针对 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木马化安装程序。 该恶意软件使用一个轮换 C2 基础设施，流量经过 Cloudflare 基础设施并通过 TLS 加密的 HTTPS 传输。 它还通过谷歌的解析器依赖 DNS-over-HTTPS，这降低了防御者监控标准 DNS 流量的可见性。 该恶意软件会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试工具，规避安全分析行为。 Malwarebytes 在关注到独立安全研究人员对该恶意软件的分析及真实用途披露后，启动了相关调查。研究人员 Luke Acha 率先查明 Uphero/hero 恶意软件的用途。 研究人员 s1dhy 对基于异或加密的通信协议进行逆向分析与解码，证实了其代理行为。数字取证与应急响应（DFIR）工程师 Andrew Danis 将假冒 7-Zip 安装程序关联至这一假冒多款软件品牌的大型攻击活动。 Malwarebytes 公布了分析过程中发现的攻击指标（域名、文件路径、IP 地址）及主机相关特征数据。 建议用户不要点击 YouTube 视频或搜索推广链接中的网址，应在常用软件的官方下载域名添加书签。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，名为XorDDoS的分布式拒绝服务（DDoS）恶意软件持续构成威胁，2023年11月至2025年2月期间观测到的攻击中有71.3%针对美国。 “2020至2023年间，XorDDoS木马感染量显著攀升，”思科Talos研究员Joey Chen在周四的分析报告中指出，”此趋势不仅源于XorDDoS木马的全球广泛传播，更与其命令控制（C2）基础设施相关的恶意DNS请求激增有关。除常规暴露的Linux设备外，该木马现已将攻击范围扩展至Docker服务器，将受感染主机转化为僵尸节点。” 近42%的受控设备位于美国，其次是日本、加拿大、丹麦、意大利、摩洛哥与中国。 XorDDoS是臭名昭著的恶意软件，过去十余年持续攻击Linux系统。2022年5月，微软报告XorDDoS活动激增，其感染为Tsunami等加密货币挖矿软件铺路。 主要初始入侵途径是通过SSH暴力攻击获取有效凭证，进而在存在漏洞的物联网及其他联网设备上下载安装恶意软件。 成功植入后，恶意软件通过内嵌初始化脚本与定时任务（cron job）建立持久化机制，确保系统启动时自动运行。同时利用XOR密钥”BB2FA36AAA9541F0″解密内置配置，提取C2通信所需IP地址。 Talos表示，2024年观测到名为VIP版的XorDDoS子控制器新版本及其配套中央控制器与构建器，表明该恶意软件可能已进入商业化销售阶段。 中央控制器负责管理多个XorDDoS子控制器并同步发送DDoS指令，每个子控制器则操控由受感染设备组成的僵尸网络。 Chen强调道。“多层控制器、XorDDoS构建器与控制端绑定工具的语言设置强烈暗示，幕后运营者为中文使用者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马，该木马已被观察到针对医疗保健和制药行业发起攻击。 “攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵，旨在迫使收件人点击恶意链接，”Morphisec实验室研究员Nadav Lorber表示，“一旦访问，该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。” 最近一次观察到的活动是在2025年3月10日，其与去年思科Talos和Check Point记录的传播信息窃取恶意软件（如Lumma和Rhadamanthys）的网络钓鱼活动存在基础设施和传递机制的重叠。此次行动的一个显著特点是使用本地化的网络钓鱼诱饵，电子邮件以目标国家主要使用的语言撰写，包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语，这表明攻击者试图通过针对特定地区的攻击来扩大攻击范围，以最大限度地提高感染率。 电子邮件内容涉及法律调查或版权侵权等主题，旨在制造虚假的紧迫感，增加用户互动的可能性。 感染链的特征是使用DLL侧加载技术来启动进程。第一阶段是一个内存加载器，它解密并执行主要有效载荷，同时还采用多种技巧来逃避检测。ResolverRAT有效载荷不仅使用加密和压缩，而且一旦解码，它只存在于内存中。 “ResolverRAT的初始化序列揭示了一个复杂、多阶段的引导过程，旨在实现隐蔽性和弹性，”Lorber说，并补充说它通过Windows注册表和在文件系统中安装在不同位置作为备用机制，实现了多种冗余持久化方法。 一旦启动，该恶意软件在与命令与控制（C2）服务器建立联系之前使用定制的证书认证，从而绕过机器的根证书颁发机构。它还实施了一个IP轮换系统，如果主C2服务器不可用或被关闭，它将连接到备用C2服务器。 此外，ResolverRAT配备了通过证书固定、源代码混淆和不规则信标模式向C2服务器发送信号来逃避检测的能力。 “这种先进的C2基础设施展示了攻击者的高级能力，结合了安全通信、备用机制和旨在维持持久访问同时逃避安全监控系统检测的逃避技术，”Morphisec表示。 该恶意软件的最终目标是处理C2服务器发出的命令，并将响应数据传回，将超过1MB大小的数据分解为16KB的块，以最大限度地减少被检测到的可能性。 尽管此次行动尚未被归因于特定的组织或国家，但诱饵主题的相似性和与之前观察到的网络钓鱼攻击中使用的DLL侧加载的使用暗示了可能的联系。 “这种对齐表明攻击者基础设施或行动手册可能存在重叠，可能指向相关威胁组织之间的共同附属模式或协调活动，”该公司表示。 随着CYFIRMA详细描述了另一种名为海王星RAT的远程访问木马，该木马采用模块化、基于插件的方法来窃取信息、在主机上保持持久性、索要500美元的赎金，甚至覆盖主引导记录（MBR）以扰乱Windows系统的正常运行，这一发展也随之而来。 它通过GitHub、Telegram和YouTube免费传播。尽管如此，与该恶意软件相关的GitHub个人资料（称为MasonGroup，即FREEMASONRY）目前已无法访问。 “海王星RAT结合了先进的反分析技术和持久性方法，以在受害者的系统上长期保持存在，并配备了危险的功能，”该公司在上周发布的分析中指出。 它包括“加密剪贴板、能够窃取270多个不同应用程序凭证的密码窃取器、勒索软件功能以及实时桌面监控，使其成为一个极其严重的威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭示了一款名为NonEuclid的新型远程访问木马，该木马可使不法分子远程控制受感染的Windows系统。 Cyfirma上周发布的技术分析指出：“NonEuclid远程访问木马（RAT）采用C#开发，是一款高度复杂的恶意软件，通过先进的规避技术提供未经授权的远程访问。” “它运用多种机制，包括杀毒软件绕过、权限提升、反检测和针对关键文件的勒索软件加密。” 自2024年11月底以来，NonEuclid已在地下论坛中被宣传，并在Discord、YouTube等热门平台上发现了有关该恶意软件的教程和讨论。这表明有人正有组织地将其作为犯罪软件解决方案进行分发。 该RAT的核心是从客户端应用程序的初始化阶段开始，之后进行一系列检查以躲避检测，然后再为与指定IP和端口的通信建立TCP套接字。 它还会配置Microsoft Defender防病毒排除项，以防止安全工具标记其相关文件，并监控如“taskmgr.exe”、“processhacker.exe”和“procexp.exe”等常用于分析和进程管理的进程。 Cyfirma表示：“它使用Windows API调用（CreateToolhelp32Snapshot、Process32First、Process32Next）来枚举进程，并检查其可执行文件名是否与指定目标匹配。如果找到匹配项，则根据AntiProcessMode设置，要么终止该进程，要么触发客户端应用程序退出。” 该恶意软件采用的一些反分析技术包括检查其是否在虚拟或沙盒环境中运行，一旦发现，则立即终止程序。此外，它还具备绕过Windows反恶意软件扫描接口（AMSI）的功能。 NonEuclid通过计划任务和Windows注册表更改实现持久性，并试图通过绕过用户帐户控制（UAC）保护来提升权限并执行命令。 一个相对罕见的功能是，它能够加密具有特定扩展名（如.CSV、.TXT和.PHP）的文件，并将它们重命名为“.NonEuclid”扩展名，从而有效转变为勒索软件。 Cyfirma称：“NonEuclid RAT是现代恶意软件日益复杂的典型代表，结合了先进的隐蔽机制、反检测功能和勒索软件能力。它在地下论坛、Discord服务器和教程平台上的广泛宣传表明，它对网络犯罪分子具有吸引力，并凸显了应对此类威胁的挑战。该恶意软件集成了权限提升、AMSI绕过和进程阻止等功能，展示了其在躲避安全措施方面的适应性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

zLabs发现了AppLite，它是AntiDot银行木马的一个复杂的新变种，通过大范围的网络钓鱼活动以安卓设备为目标。该恶意软件伪装成 Chrome、TikTok 和企业工具等合法应用程序，能够窃取敏感凭证并完全控制受感染的设备。 该活动背后的攻击者采用了精心设计的社交工程策略来引诱受害者。他们伪装成人力资源代表或工作招聘人员，向潜在受害者发送精心制作的网络钓鱼电子邮件。这些电子邮件将用户重定向到模仿知名公司和教育机构的钓鱼网站，敦促他们下载恶意安卓应用程序。 一旦安装，这个看似合法的应用程序就会充当滴管，将 AppLite 银行木马暗中发送到受害者的设备上。正如 zLabs 所解释的那样： “受害者会被重定向到一个恶意登陆页面，以继续申请流程或安排面试。登陆页面会操纵受害者下载并安装一个恶意程序。 攻击序列 Zimperium AppLite 使用 ZIP 操作等混淆技术来逃避安全工具的检测： “恶意行为者经常使用各种方法改变 APK 文件的 ZIP 格式和 Android Manifest 文件的结构，使分析工具失效并逃避检测。解析器如果不更新，可能无法正确处理文件，从而使恶意软件绕过检测机制，继续安装在目标设备上。” 与其他银行木马类似，AppLite 利用叠加攻击来欺骗用户。当目标应用程序启动时，恶意软件会叠加一个模仿合法应用程序的恶意 HTML 页面，诱骗用户输入敏感凭据。 恶意软件通过 Webocket 与其命令和控制 (C&C) 服务器建立连接，实现实时双向通信。攻击者可以发布命令收集敏感数据，如联系人、短信和应用程序凭据，甚至可以利用虚拟网络计算（VNC）功能远程控制设备。 AppLite 最令人震惊的功能是自动解锁设备。通过使用辅助功能服务，它可以识别锁定模式视图、计算移动路径并模拟触摸手势，从而在无需用户交互的情况下解锁设备。 该活动针对精通英语、西班牙语、法语、德语、意大利语、葡萄牙语和俄语的用户。主要受害者是 95 个银行应用程序、62 个加密货币应用程序和其他金融服务的用户，分布在北美、欧洲和亚洲部分地区。     转自安全客，原文链接：https://www.anquanke.com/post/id/302672 封面来源于网络，如有侵权请联系删除

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。 IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式，针对遍布中美洲和南美洲，非洲，欧洲和印太地区的 60 多个国家 1500 多家银行，发动网络攻击行动。 值得一提的是，自出道以来，Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区，也曾在这些地区发动了多次网络攻击活动，获得很多坏“名声”，但自从巴西当局试图关闭其基础设施后，该组织便开始了战略转变，谋求大规模自主扩张。 同时，Grandoreiro  恶意软件自身也进行了重大改进。 安全研究人员 Golo Mühr 和 Melissa Frydrych 指出， 在对 Grandoreiro  恶意软件进行详细分析后，发现其对字符串解密和域生成算法（DGA）进行了重大更新，并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。 在进行网络攻击时，钓鱼邮件会指示收件人点击链接查看发票或付款（具体取决于诱惑的性质和邮件中假冒的政府实体），一旦点击了链接，用户会被重定向到一个 PDF 图标图像，最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。 自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。此外，它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制 （C2） 服务器，以及下载和执行主要银行木马。 值得注意的是，该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统，以及位于美国且未安装杀毒软件的 Windows 7 机器。 特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令，Grandoreiro 支持各种命令，允许威胁攻击者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。 研究人员强调，为了与本地 Outlook 客户端进行交互，Grandoreiro 使用 Outlook 安全管理器工具，通过使用本地 Outlook 客户端发送垃圾邮件，Grandoreiro 可以利用电子邮件在受感染的受害者收件箱中传播，这很可能是导致从 Grandoreiro 中观察到大量垃圾邮件的原因。   转自Freebuf，原文链接：https://www.freebuf.com/news/401362.html 封面来源于网络，如有侵权请联系删除

近日，NCC Group 研究员 Joshua Kamp发现 Vultur 安卓银行木马再一次“卷土重来”。 这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷（这些有效载荷会在运行过程中解密）以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。 据悉，Vultur 最早于2021年初被首次披露，该恶意软件能够利用安卓的可访问性服务API来执行其恶意行动。 据 NCC Group 观察，该恶意软件是通过谷歌Play商店上的木马程序传播的，它们伪装成身份验证器和生产力应用程序，诱导用户安装。这些插件应用程序是 “Brunhilda “的插件即服务（DaaS）的一部分。其他攻击链涉及利用短信和电话组合传播滴注程序，这种技术被称为面向电话的攻击交付（TOAD）。 Joshua Kamp 表示：该插件发出的第一条短信会引导受害者拨打电话。当受害者拨打该号码时，欺诈者会向受害者发送第二条短信，其中包括指向恶意程序的链接。 第一条短信的目的是通过指示收件人拨打号码以完成授权涉及大笔资金的虚假交易，从而诱发一种虚假的紧迫感。待受害者安装后，恶意程序就会执行三个相关的有效载荷（两个 APK 和一个 DEX 文件），这些有效载荷会将机器人注册到 C2 服务器，通过 AlphaVNC 和 ngrok 获取远程访问服务权限，并运行从 C2 服务器获取的命令。 Vultur 的一个显著特点是能够与受感染的设备进行远程交互，包括通过安卓的辅助服务进行点击、滚动和轻扫，以及下载、上传、删除、安装和查找文件。 此外，该恶意软件还能阻止受害者与预定义的应用程序列表进行交互，在状态栏中显示自定义通知，甚至禁用键盘防护以绕过锁屏安全措施。 Joshua Kamp 认为，Vultur最近的发展表明其重点已转向最大限度地实现对受感染设备的远程控制。Vultur能够发出滚动、轻扫手势、点击、音量控制、阻止应用程序运行等指令，甚至还集成了文件管理器功能，显然其主要目的是获得对受感染设备的完全控制权。 赛姆鲁团队近日披露了 Octo（又名 Coper）安卓银行木马向恶意软件即服务（malware-as-a-service）业务转型的进展，该软件正向其他威胁行为者提供信息窃取服务。 此外，该恶意软件还提供多种高级功能，包括键盘记录、拦截短信和推送通知，以及控制设备屏幕。它利用各种注入程序，通过显示伪造屏幕或覆盖层来窃取密码和登录凭证等敏感信息。此外，它还利用 VNC（虚拟网络计算）远程访问设备，增强其监控能力。 据统计，Octo 至少已入侵了 4.5 万台设备，这些设备主要分布在葡萄牙、西班牙、土耳其、美国、法国、荷兰、加拿大、印度和日本。 该恶意软件通过恶意软件即服务（MaaS）分发恶意 APK 包，冒充在线预订、计费和快递服务。 博通公司旗下的赛门铁克公司在一份公告中提到，该恶意软件 的目标是从受害者的设备上窃取银行信息、短信和其他机密信息。 麦克菲实验室对此进行了进一步研究说明，称该恶意软件已被嵌入到了 800 多个应用程序中。并且有超过 3700 台安卓设备已被入侵。麦克菲实验室称是一个名为 Elvia Infotech的印度网络组织开发了这种 MaaS 服务。 骗子通常会通过电话、短信、电子邮件或社交应用联系受害者，告知他们需要重新为其安排银行账户服务。这种欺诈攻击是一种典型而有效的欺诈方法。 受害者会被要求下载一个特定的应用程序，并提交个人信息。一旦这些信息落入骗子手中，他们就可以轻松地从受害者的银行账户中窃取资金。   转自Freebuf，原文链接：https://www.freebuf.com/news/396732.html 封面来源于网络，如有侵权请联系删除

俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门，可传播名为Konni RAT（又名UpDog）的远程访问木马。 调查结果来自德国网络安全公司 DCSO，该公司将此次活动与源自朝鲜针对俄罗斯的关联黑客联系起来。 Konni（又名 Opal Sleet、Osmium 或TA406）活动集群有针对俄罗斯实体部署 Konni RAT 的既定模式，至少自 2021 年 10 月以来，该组织还与针对 MID 的攻击有关。 2023 年 11 月，Fortinet FortiGuard 实验室披露了使用俄语 Microsoft Word 文档来传播能够从受感染的 Windows 主机获取敏感信息的恶意软件。 DCSO 表示，将 Konni RAT 打包在软件安装程序中是该组织此前于 2023 年 10 月采用的一种技术，当时发现该组织利用名为 Spravki BK 的后门俄罗斯纳税申报软件来分发该木马。 这家总部位于柏林的公司表示：“在这种情况下，后门安装程序似乎是针对名为‘Statistika KZU’（Cтатистика КЗУ）的工具。” “根据安装程序中捆绑的安装路径、文件元数据和用户手册，[…]该软件旨在供俄罗斯外交部 (MID) 内部使用，特别是用于转发年度报告文件从海外领事馆（КЗУ — консульские загранучреждения）通过安全通道发送至 MID 领事部。” 木马安装程序是一个 MSI 文件，启动后会启动感染序列，与命令和控制 (C2) 服务器建立联系，等待进一步指令。 该远程访问木马具有文件传输和命令执行功能，据信早在 2014 年就已投入使用，并且也被其他朝鲜威胁组织Kimsuky 和 ScarCruft（又名 APT37）所利用。 目前尚不清楚攻击者如何设法获取该安装程序，因为该安装程序无法公开获取。但有人怀疑，针对俄罗斯的间谍活动的悠久历史可能帮助他们确定了后续攻击的潜在工具。 尽管朝鲜针对俄罗斯的攻击并不新鲜，但这一事态发展是在两国地缘政治日益接近的情况下发生的。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/PeahlD7rct5V6sxqrR_gjg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客，正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本，通过供应链攻击来瞄准下游客户。 微软威胁情报团队在周三的一份分析报告中表示：“这个恶意文件是一个合法的 CyberLink 应用程序安装程序，已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。” 这家科技巨头表示，病毒文件托管在该公司拥有的更新基础设施上，同时还包括限制执行时间窗口和绕过安全产品检测的检查。 据估计，此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。早在10月20日，就发现了与修改后的 CyberLink 安装文件相关的可疑活动。 与朝鲜的联系源于这样一个事实，即第二级有效载荷与之前被黑客入侵的 C2 服务器建立了连接。 微软进一步表示，他们已经观察到攻击者利用木马化的开源和专有软件来攻击信息技术、国防和媒体部门的组织。 Diamond Sleet与被称为“TEMP.Hermit”和“Labyrinth Chollima”的集群相吻合，这是一个来自朝鲜的伞状组织，也被称为“Lazarus集团”。至少从2013年就开始活跃。 “他们从那时起的行动代表了平壤收集战略情报以造福朝鲜利益的努力，”谷歌旗下的Mandiant上个月指出。“这个黑客的目标是全世界的政府、国防、电信和金融机构。” 有趣的是，微软表示，在发布代号为 LambLoad 的被篡改的安装程序后，它没有在目标环境中检测到任何操作键盘的活动。 武器化的下载和加载器首先检查目标系统中是否存在来自 CrowdStrike、FireEye 和 Tanium 的安全软件，如果不存在，则从伪装成 PNG 文件的远程服务器获取另一个有效载荷。 微软表示：“PNG 文件包含一个嵌入的有效载荷，在一个假的外部PNG标头中进行切断、解密，并在内存中启动。”在执行时，恶意软件进一步尝试联系合法但受损的域，以检索额外的有效载荷。 此前一天，Palo Alto Networks Unit 42团队披露了由朝鲜黑客设计的两项活动，这些活动旨在传播恶意软件，作为虚构工作面试的一部分，并在美国和世界其他地区的组织获得未经授权的就业机会。 上个月，微软还暗示 Diamond Sleet 利用 JetBrains TeamCity的一个关键安全漏洞(CVE-2023-42793)，伺机破坏易受攻击的服务器，并部署一个名为 ForestTiger 的后门。 朝鲜黑客组织(3CX、MagicLine4NX、JumpCloud和CyberLink)发起的软件供应链攻击激增，也促使韩国和英国发布了一份新的咨询报告，警告称此类攻击的复杂性和频率越来越高，敦促各组织采取安全措施，以减少被攻击的可能性。 这些机构表示：“我们观察到，这些行为者利用第三方软件中的零日漏洞，通过供应链进入特定目标或任意组织。这些供应链攻击极大地帮助朝鲜实现创收、间谍活动和窃取先进技术。”     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene