Google 日历沦为钓鱼新工具:可有效绕过安全防护机制
根据 Check Point 与 Hackread.com 共同发布的最新研究报告,Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。 Google 日历成工具:网络攻击者利用 Google 日历的功能模块,发送仿冒合法邀请函的网络钓鱼邮件。 高级攻击策略:攻击者采用 Google 表单和 Google 绘图等多元化工具,规避传统邮件安全防护机制,从而强化攻击的可信度。 影响范围广泛:在短短四周内,已检测到与该攻击活动关联的 4000 余封网络钓鱼邮件,涉及约 300 家品牌企业。 社会工程学手法:网络犯罪分子通过制造紧迫感、恐慌情绪以及冒充身份等手段,诱使受害者点击恶意链接并泄露敏感信息。 防范措施:部署高级邮箱安全监控系统、第三方应用程序使用审计机制以及行为分析技术,对于抵御此类不断演进的威胁具有重要意义。 Google 日历作为 Google 工作空间的重要组成部分,是一款面向全球超过 5 亿用户的日程安排与时间管理工具,支持 41 种语言。 据 CPR 的研究显示,攻击者正试图操控 Google 日历及其相关功能模块,例如 Google 绘图,通过发送伪装成合法邮件的链接,突破传统邮箱安全防线,实施网络钓鱼攻击。这些链接表面上看似指向 Google 表单或 Google 绘图,进一步提升了攻击的可信度。 恶意邮件与 Google 日历配置(来源:CPR) 攻击者最初利用 Google 日历内置的友好功能,提供链接至 Google 表单。在察觉到安全产品能够识别恶意日历邀请后,攻击者迅速调整策略,将攻击手段与 Google 绘图功能相结合。 Check Point 发文指出:网络犯罪分子正在篡改“发件人”头部信息,使邮件看起来像是由已知且合法的用户通过 Google 日历发送的。在短短四周内,网络安全研究人员已监测到 4000 多封此类钓鱼邮件,涉及约 300 家品牌企业。 攻击者利用用户对 Google 日历的信任和熟悉程度,诱使受害者点击恶意链接。他们会伪造看似合法的日历邀请,通常来自受害者熟悉的联系人或组织机构。这些初始邀请可能包含指向 Google 表单、Google 绘图或 ICS 文件附件的链接,后者看似是简单的信息请求或调查问卷,常以 CAPTCHA 或支持按钮的形式呈现。 一旦受害者点击链接,将被重定向至一个精心设计的恶意网站,该网站通过虚假身份验证流程窃取个人信息或公司数据。该网站可能模仿合法的登录页面、加密货币交易所或技术支持页面。攻击者的最终目的是诱骗受害者泄露敏感信息,如密码、信用卡详细信息或个人身份证号码。被盗取的信息可能被用于信用卡欺诈或未经授权的交易,给受害者带来重大风险。 值得注意的是,攻击者通常会叠加社会工程学策略来增强攻击的可信度。他们可能通过制造紧迫感、恐慌情绪或激发好奇心,诱使受害者点击恶意链接。此外,攻击者还可能冒充可信任的个人或组织,以获取受害者的信任。这无疑大大大提高了通过Google日历钓鱼的成功率,企业/组织应保持高度警惕,以应对日益复杂化的网络钓鱼攻击。 转自FreeBuf,原文链接:https://www.freebuf.com/news/418157.html 封面来源于网络,如有侵权请联系删除
新型钓鱼活动传播 PureHVNC等恶意软件,瞄准敏感数据
近日,FortiGuard 实验室的网络安全研究人员发现了一种复杂的网络钓鱼活动,该活动利用多阶段执行流程和各种规避技术来传播包括远程访问木马(RAT)PureHVNC在内的多种恶意软件。 攻击流程 该活动专门针对企业员工,以一封精心制作的电子邮件为诱饵,伪装成来自客户的服务查询,而邮件中包含一个恶意 HTML 附件。邮件使用紧急语气,诱使收件人打开恶意 HTML 附件,从而触发一系列导致多种恶意软件部署的事件。 具体来讲,钓鱼邮件附件中的 HTML 文件利用 “search-ms “功能查询远程共享的恶意 LNK 文件。该 LNK 文件在 Windows 资源管理器中伪装成一个无害的 PDF 图标,其中包含一条命令,该命令使用 conhost.exe 作为进程运行远程批处理文件,这是一种利用合法的 Windows 进程逃避检测的技术。 名为 new.bat 的批处理文件经过深度混淆,以躲避安全检测。它使用编码技巧和字符串混淆,使得脚本看起来像是使用 UTF-16 编码并包含中文字符,这进一步增加了分析难度。脚本在打开一个假 PDF 文件的同时,通过 PowerShell 悄悄下载包含 Python 环境和恶意 Python 程序的两个ZIP文件,并将它们解压缩隐藏在用户的配置文件目录中。 最后阶段是依次运行 Python 程序,每个程序都会加载并执行 shellcode,以绕过检测机制并部署主要有效载荷PureHVNC。 活动中的每个 Python 文件都使用 GitHub 上名为 “Kramer “的 Python 混淆器进行了精心混淆。Kramer 使用随机生成的密钥对源代码进行加密,为逆向工程增加了一层保护。shellcode 由名为 “donut “的工具生成,旨在解密并执行下一阶段的有效载荷,同时绕过 AMSI 和 WLDP 等 Windows 安全功能。 Python混淆器“Kramer” 攻击的第二阶段引入了 shellcode 加载器 “laZzzy”,它伪装成合法的 Microsoft 管理控制台 (MMC) 应用程序。该加载器使用先进的注入技术在 notepad.exe 这个看起来无害的进程中执行最终有效载荷,从而避免被检测到。 在这场活动中部署的恶意软件中,PureHVNC 因其复杂的功能脱颖而出。作为一个 .NET 应用程序,PureHVNC 使用 .NET Reactor 进行了大量混淆处理,使其难以分析。它的主要功能是使用 AES 加密解密有效载荷,然后使用 Gzip 解压缩,提取 DLL 有效载荷并加载到内存中。 一旦激活,PureHVNC 就会执行一系列旨在保持持久性和收集情报的操作。它会使用 PowerShell 设置注册表运行键值或阻止系统休眠,确保恶意软件保持激活状态。然后,它会与命令与控制(C2)服务器通信,上报系统信息,包括已安装杀毒产品的详细信息、系统规格和用户信息。 PureHVNC 专门针对加密货币钱包、密码管理器和双因素身份验证 (2FA) 应用程序等高价值资产。它扫描这些应用的关联路径,并检查注册表中的安装软件,重点窃取敏感数据。 攻击并不仅限于 PureHVNC,C2 服务器还可以部署扩展恶意软件功能的其他插件。这场活动中发现的两个值得注意的插件是: 插件 1:PluginRemoteDesktop 该插件可远程控制受害者的系统。它与 C2 服务器通信以执行命令,允许攻击者操纵受害者的桌面环境、捕获屏幕截图、控制鼠标等。 插件 2:PluginExecuting 该插件用于执行附加文件、更新恶意软件,甚至卸载恶意软件以掩盖踪迹。它支持多种命令,包括下载和执行新恶意软件的命令,利用进程挖空技术将恶意代码注入合法进程中。 FortiGuard 实验室的网络安全研究人员敦促组织对此类威胁保持警惕,确保员工了解网络钓鱼电子邮件的危险性,并采取强有力的安全措施来检测和缓解多阶段攻击。正如此次活动所表明的,即使是最看似无害的电子邮件,也可能成为破坏性漏洞的起点。 转自Freebuf,原文链接:https://www.freebuf.com/news/408455.html 封面来源于网络,如有侵权请联系删除
多阶段 APT 攻击使用 C2 功能降低 Cobalt Strike
6月10日,我们发现了一个伪装成简历的恶意Word文档,它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分,在最后阶段,威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外,通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它,APT可以进一步阻止安全检测。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/ 消息来源:malwarebyte,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
Agent Tesla 商业木马正通过钓鱼邮件传播,木马生成器已十分成熟
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA 背景 腾讯安全威胁情报中心检测到有Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件,并在附件中加入由木马打包而成的压缩程序。 使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll,攻击者采用隐写技术,将木马执行程序隐藏在图片资源中,从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。 Agent Tesla为一款知名的商业窃密木马,木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息。包括:键盘记录,截屏,剪贴板记录,以及摄像头图像。还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码,FTP工具、下载器中保存的密码等等。 窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后,该木马会删除自身,清理痕迹。 腾讯安全专家建议用户小心处理不明电子邮件附件,腾讯安全旗下的系列产品均可检测、查杀Agent Tesla系列窃密木马。 样本分析 伪装成某国航运公司发送的以货运单据为主题的钓鱼邮件,附件名为“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.zip”。 伪造的发件邮箱tassgroup.com属于TRANS ASIA GROUP公司,该公司是南亚某国一家集造船、航运、集装箱、物流等业务为一体的集团公司。 附件解压得到exe程序“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.exe”,是木马外壳程序,采样C#编写。 外壳程序被命名为BlackJack。 Main函数进入Form1,完成初始化后调用BCAS类中BCAS()函数,代码被插入大量无效指令。 在无效指令之后调用AIJISAJIS(),进行资源文件的解密和加载。 BlackJack共有两个资源文件,一个是二进制文件资源“PhotoDirector_2”,另一个是图片文件资源“cxpjNoVVdqvwNYmThlfPxwKQGrxcLPY”。 首先将二进制文件作为PhotoDirector.dll加载到内存,该dll采样C#编写,主要功能是从母体的中获得图片资源,从图片中解密出数据,利用自定义的异或算法处理数据后得到Agent Tesla家族的exe文件,并在内存中加载执行。 获取图片中数据的代码为:首先遍历图片中的每个像素点,对每个像素点的RGB数据依次排列。 然后对读取到的数据利用自定义异或算法进行解密。 解密得到Agent Tesla木马ReZer0V2.exe,木马同样采样C#编写,其字符串经过混淆,仍然有两个资源文件,一个二进制文件“qfwH1”,一个XML文件XML。 拷贝自身到%Romaing%\XLwdDWHDKFdwB.exe目录下,并利用资源中的XML文件安装执行木马的计划任务Updates\XLwdDWHDKFdwB,在系统每次登陆时执行一次: 从“qfwH1”资源中解密出C++编译的核心窃密exe文件,解密算法和上述异或算法相同,然后加载该exe到内存执行。 窃密exe枚举注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall获取系统安装的软件信息: 从注册表中读取FTP服务地址、用户名和密码信息: Software\Far\Plugins\FTP\Hosts Software\Far2\Plugins\FTP\Hosts Software\Far Manager\Plugins\FTP\Hosts Software\Far\SavedDialogHistory\FTPHost Software\Far2\SavedDialogHistory\FTPHost Software\Far Manager\SavedDialogHistory\FTPHost 从XML文件sitemanager.xml、filezilla.xml、recentservers.xml中获取FTP服务地址、用户名和密码信息 读取wiseftpsrvs.ini、wiseftp.ini、32BitFtp.ini、ftpsite.ini等INI文件中保存的FTP账号密码信息 从注册表中获取ExpanDrive网盘的账号密码信息: 获取Windows Live Mail、Outlook、RimArts、Pocomail、IncrediMail 、The Bat!等邮箱客户端保存的账号密码信息: 从Chrome等浏览器中获取用户账号密码信息: 将敏感信息加密后发送至http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php 窃取任务完成后,创建bat脚本执行自删除: 木马生成器 1、工具简介 攻击者生成木马时使用的自动化工具名为AgentTesla,是一个功能比较完整的恶意木马生成器,生成器作者已经开始通过出售工具帐号牟利。 2、使用.NET作为开发语言 .NET语言开发的程序中包含经过编译的字节码,在.NET环境中进行解释和执行,这就给样本的调试和分析带来了一定的困难。同时,.NET库中拥有丰富的工具类,在迅速搭建可用的程序方面具有一定的优势。 3、支持多类信息窃取行为 工具可以自定义生成的木马窃取的信息,包括键盘记录,截屏,剪贴板记录,以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。 同时,工具还可以从电脑上提取还原多种登录信息缓存,包括浏览器中保存的网站帐号密码,邮件客户端中保存的密码,FTP工具、下载器中保存的密码等。 4、支持多种回传方式 工具可以自定义木马将窃取到的信息回传给木马传播者的方式,包括网络接口方式、邮件方式以及FTP方式。 在FTP方式下,工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。 在邮件方式下,工具使用者可以指定邮箱服务器地址、用户名和密码。 如果使用者采用网络接口方式,则需要从工具官网下载一套完整的管理页面,并部署在自己的网站上。本次攻击中采用这种方式,使用者将chelitos.com.ve作为C&C服务器,生成的木马运行后会连接该服务器并接收相应的指令。 5、木马与服务器之间传递的指令包括: IOCs MD5 a2bf53ed2269b816d8c28e469e8c2603 adfd08c1928106a23c6ef0464885dfb9 URL http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php http[:]//chelitos.com.ve/shit.exe 参考链接: https://www.freebuf.com/column/149525.html
Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系
Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件,这些恶意软件在广告活动中使用,其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中,以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告:https://assets.sentinelone.com/labs/sentinel-one-valak-i … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1246/ 消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
Gamaredon 威胁组织活动相关分析
研究人员发现,高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具,其中一个是针对微软Outlook的VBA宏(使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件)。我们还进一步分析了Gamaredon工具,这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里,这个群体的活动有所增加,不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档,在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言,从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单,旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是,Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力,但该小组的主要重点却是在试图窃取数据的同时,在目标网络中尽可能快地传播。 … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1245/ 消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
海外中文新闻媒体遭针对性网络钓鱼攻击
加拿大多伦多大学公民实验室发表研究报告,称海外中文新闻媒体遭到针对性的钓鱼攻击。2017 年 2 月,中国数字时代的记者陆续收到一系列网络钓鱼邮件,发件人声称自己掌握一场针对明镜新闻网的黑客行动的内幕消息。 调查显示,邮件里的链接指向的实际上是一个看起来像是中国数字时代内容管理系统登录页面的虚假网页——一个试图盗取记者帐号信息以进入该系统发布内容的聪明手段。不过,该手段没有如愿以偿地落实。 获悉,这些邮件让中国数字时代工作人员产生怀疑,他们继而与公民实验室的研究人员分享了这些邮件以作进一步分析。对这些针对中国数字时代的网络钓鱼攻击牵连出一起更广泛的网络攻击行动。这起行动是又一个针对中国报道记者和新闻机构的网络间谍活动。 稿源:solidot,封面源自网络
Gmail 将利用 AI 技术解决人为因素造成的被钓鱼问题
据外媒报道,谷歌打算使用机器学习技术来应对人类较难分辨的网络攻击问题。在面对钓鱼网络攻击的时候,很多用户经常都对其“置之不理”,当然不是有意为之而是没有看出来,为此,谷歌决定要改变这种现象。据了解,Gmail 每天有 10 亿名活跃用户,而谷歌的其中一项工作就是保护他们的邮件免遭网络攻击。 据谷歌统计,Gmail 收件箱中有 50%-70% 的信息都是垃圾邮件,并且它们当中有相当一部分都是经过精心策划来混淆用户的。对此,Gmail希望通过机器学习技术来帮助用户避免人为因素造成的被钓鱼现象。当AI 检测系统发现可疑邮件进入收件箱,那么它将对邮件采取滞处理然后对其展开分析并以此来确定目标邮件是否为钓鱼邮件。 Gmail 网络滥用应对技术产品经理 Andy Wen 表示,他们所使用的新模式比人工系统更快适应而且还能随时间变得更好。谷歌表示,滞后处理的邮件占比大概不到总数的 0.05%,不过考虑到 Gmail 邮件基数的庞大,所以即便是这么小的比例影响到的用户仍非常庞大。 据了解,Gmail 自动恶意软件搜索系统将采用来自谷歌 Safe Browsing的机器学习技术,它会在发现可疑钓鱼邮件的时候向用户发出钓鱼警告以及跟前往网络攻击相关信息的链接。得益于发往 Gmail 邮箱的上百封垃圾邮件,谷歌建立起了这样一套能够快速识别出恶意软件和勒索软件信息并自动将其屏蔽的人工智能系统。 另外,Gmail 还面向企业级用户推出了一项功能,即在发送出含有工作敏感信息邮件的时候发出警告。不过企业可以选择关掉这项功能以及早期钓鱼检测功能。 稿源:cnBeta,封面源自网络
俄 ATP28 黑客组织针对罗马尼亚外交部展开网络钓鱼攻击
据国外安全媒体 Cyberscoop 报道,俄罗斯 ATP28 黑客组织伪造北约( NATO )电子邮件,针对包括罗马尼亚外交部在内的欧洲外交组织成员发动网络钓鱼攻击。 俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会,干预法国、德国重大选举等。 据悉,罗马尼亚外交部成员收到的电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的 Word 文档,利用近期披露的 2 个Microsoft Office 0day 漏洞 (CVE-2017-0262) 秘密下载恶意软件 “GameFish”,从而使黑客能够访问敏感数据并在受感染设备中远程部署其他计算机病毒。 研究人员表示,若系统再次检测到虚假 NATO 电子邮件,北约组织将向联盟国安全机构提供警报,以防止此类攻击再度蔓延。目前,罗马尼亚情报机构已发表声明证实此次钓鱼攻击事件,并指出由于各机构的有效配合,攻击已被成功阻止。 原作者:Gabriela Vatu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
Netrepser 网络间谍活动危及全球 500 余家政府机构
据外媒 6 日报道,Bitdefender 安全专家发现一起网络间谍活动,攻击者利用恶意软件 Netrepser 危及全球 500 余家政府机构。 Bitdefender 安全公司于去年 5 月首次发现 Netrepser 木马样本。安全专家在分析 C&C 服务器数据后证实恶意软件至少感染了 500 余台电脑,这些设备多属政府机构。除此之外尚无更多证据能证明其与其他威胁情报相关联。 据报道,Netrepser 木马允许攻击者在目标设备中收集系统信息、记录击键、窃取电子邮件以及 Web 浏览器的 cookie 和密码等。此外 攻击者还通过网络钓鱼电子邮件发送文档传播恶意软件,在文档中嵌入 JavaScript 或其编码文件以加载最终的 payload。 目前,Bitdefender 安全专家并未明确指出此次间谍活动背后的黑客组织,仅强调 Netrepser 木马所使用的部分文件路径包含西里尔字母。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接