朝鲜黑客在网络活动中部署新型 MoonPeak 木马病毒
思科 Talos 团队发现一种名为MoonPeak的新型远程访问木马,思科 Talos 将此次恶意网络活动归咎于其追踪的编号为 UAT-5394 的黑客组织,并称该组织与代号为Kimsuky 的朝鲜黑客组织存在一定程度的战术重叠。 MoonPeak 是由攻击者开发的,它是开源Xeno RAT恶意软件的一个变种,之前曾作为网络钓鱼攻击的一部分进行部署,旨在从攻击者控制的云服务(如 Dropbox、Google Drive 和 Microsoft OneDrive)中检索有效负载。 Xeno RAT 的一些主要功能包括加载附加插件、启动和终止进程以及与命令和控制 (C2) 服务器通信的能力。 Talos 表示,两组入侵行为之间的共同点表明 UAT-5394 实际上是 Kimsuky(或其分支)发起的,或者是朝鲜网络机构内的另一个黑客团队,他们从 Kimsuky 那里借用了工具箱。 实现该活动的关键是使用新的基础设施,包括 C2 服务器、有效载荷托管站点和测试虚拟机,这些都是为生成 MoonPeak 的新迭代而创建。 Talos 研究人员 Asheer Malhotra、Guilherme Venere 和 Vitor Ventura在周三发表的分析报告中表示:“C2 服务器托管可供下载的恶意文件,然后用于访问和设置新的基础设施来支持这一活动。” “在多个实例中,我们还观察到攻击者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染收集的日志和信息。” 这一转变被视为从使用合法云存储提供商转向建立自己的服务器的更广泛举措的一部分。不过,目前尚不清楚此次活动的目标。 这里要注意的一个重要方面是“MoonPeak 的不断发展与威胁行为者建立的新基础设施密切相关”,并且每个新版本的恶意软件都会引入更多的混淆技术来阻止分析和改变整体通信机制以防止未经授权的连接。 “简而言之,攻击者确保 MoonPeak 的特定变体仅与 C2 服务器的特定变体一起工作。”研究人员指出,“新恶意软件的持续采用及其演变(例如 MoonPeak 的情况)的时间表突显出 UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的速度之快表明,该组织旨在迅速扩大这一活动并建立更多的投放点和 C2 服务器。” 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/UefWT-cRw_fcjmg1qvb3dg 封面来源于网络,如有侵权请联系删除
黑客利用图形验证来忽悠真人下载恶意文件并逃避自动化检测
微软安全情报团队于近日曝光了黑客组织 CHIMBORAZO 的新动向,作为 Dudear 和信息窃取木马 GraceWire 的幕后黑手,其再次将目光瞄向了被各大网站用于真人检测的 CAPTCHA 图形验证码。与模糊、扭曲的数字或字母相比,上线十余年的图形验证码能够将许多别有用心者阻挡在外,然而 Chimborazo 却想到了一个更骚的操作。 微软安全情报团队指出,他们从今年 1 月开始的追踪分析发现,该组织有在要求用户完成 CAPTCHA 验证的站点上分发恶意的 Excel 文档。 这个电子表格文件中包含了宏操作,启用后便会在受害者机器上安装可窃取密码等敏感信息的 GraceWire 木马。 此前微软有在网络钓鱼邮件活动中发现 Chimborazo 采取的类似操作(在附件中分发恶意 Excel 文件),然后通过嵌入式的 Web 链接进行传播。 最近几周,该组织开始改变策略,将链接重定向到被破坏的合法站点、或在邮件中包含具有恶意 iframe 标签的 HTML 附件。 无论哪种方式,点击链接或附件都可能导致受害者下载恶意站点上的木马文件,但前提是忽悠人们完成 CAPTCHA 图形验证(通常是为了阻挡机器人)。 这个鬼点子意味着只有真人才会上当,安全研究机构使用的基于自动化分析的传统方案将更加难以检测到它们的不法行为。 微软安全情报小组曾在今年 1 月发现,Chimborazo 在利用 IP 追溯服务来跟踪下载恶意 Excel 文件的计算机的 IP 地址,以进一步逃避自动检测,那时也是微软第一次见到该组织利用此类站点重定向。 Malwarebytes 威胁情报主管 Jérôme Segura 补充道:在恶意软件攻击中使用图形验证码的方式极为罕见,但此前也并非没有先例。 可即便是简化或翻版的 CAPTCHA 方案,也都能达到忽悠真人来下载文件、同时阻止自动化分析的目的。 (稿源:cnBeta,封面源自网络。)
欧洲刑警组织联合英国国家犯罪调查局取缔 Luminosity RAT 幕后团伙
外媒 2 月 6 日报道,隶属欧洲刑警组织的欧洲网络犯罪中心和英国犯罪调查局于近期披露了一项国际执法行动的细节 — 来自欧洲、美国和澳大利亚的十几家执法机构联合拆除了一个 与 “ Luminosity RAT ” 远程访问木马(又名 LuminosityLink)有关的犯罪团伙。 据悉,Luminosity RAT 可以禁用目标设备上的防病毒和反恶意软件,执行诸如记录击键、窃取数据和密码、开启网络摄像头监视用户等命令。 英国犯罪调查局透露,Luminosity RAT 首次于 2015 年被发现, 2016 年开始变得非常流行。根据媒体资料,英国一个小型犯罪团伙通过使用恶意网站为遍布 78 个国家的 8,600 多名买家分发了 Luminosity RAT。 据悉,买家只需花费 40 美元就能获得 Luminosity RAT 远程访问木马,尽管该木马成本只要 30 美元。此外,Luminosity RAT 在技术方面也给买家提供了方便,例如买家掌握很少的技术知识也能部署该木马。 目前数以千计的受害用户被窃取了敏感信息,其中包括密码、私人照片、录像等。欧洲网络犯罪中心负责人史蒂芬·威尔逊表示虽然如今网络犯罪在不断升级更新,但通过跨越国界和强有力的协调行动,即使世界各地黑客人士通过远程犯罪也不能免于被捕。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
木马界一朵“奇葩”:伪装多款杀毒、色情 APP,挖矿挖到手机“炸裂”
卡巴斯基实验室本周一( 12 月 18 日)发布博文表示,发现一种名为 Loapi 的功能强大的木马病毒,其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等,甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。 伪装成杀毒软件和色情应用程序感染设备 研究人员介绍,恶意开发人员利用 Loapi 挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后,会自动下载恶意文件。据悉,存在 Loapi 的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中,应用程序会尝试获取设备管理员权限, 通过循环弹框直到用户同意授权为止。随后,Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动,试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型,如下图: 具备强大的自我保护机制 研究发现,木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图,每当用户试图取消这些权限时,恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口,并执行以下代码: 同时该木马还能够从其 C&C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动, 例如当木马 Loapi 检测到一个真正的反病毒应用程序,它会谎称其是恶意软件,并循环弹框迫使用户卸载该反病毒应用程序。 开采 Monero (门罗币) 导致手机电池膨胀 根据卡巴斯基实验室的说法,木马 Loapi 具备挖掘加密货币的功能,能够利用被感染设备的计算资源挖掘数字货币 Monero(门罗币),也正是这种功能甚至导致了设备电池膨胀,以至于对手机造成物理损害。 据研究人员介绍,Loapi 似乎是 2015 年发现的一个 “ Podec ” 木马的新版本,堪称恶意 Android 应用程序界中的一朵 “ 奇葩 ”。 感染木马病毒后的手机设备,两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击:该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”,但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸,目前 Loapi 被发现只潜伏于第三方应用商店 ,尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序,用户也需时刻保持警惕,因为恶意软件随时可能会出现各种木马漏洞。 消息来源: IBTimes、securelist,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。