据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除

SentinelLabs 研究人员发现了一个从未被发现的黑客组织，被追踪为Metador，主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。 专家指出，黑客使用的攻击链旨在绕过本地安全解决方案，同时将恶意软件平台直接部署到内存中。攻击者高度了解操作安全性，他们能够管理每个受害者仔细分割的基础设施，并观察到在安全解决方案存在的情况下快速部署复杂的对策。 专家报告称，Metador 针对的一家电信公司已经被来自伊朗等国在内的近10个黑客组织入侵，其中包括Moshen Dragon和MuddyWater。 SentinelLabs 发现了两个 Windows 恶意软件平台，称为“metaMain”和“Mafalda”，以及存在额外 Linux 植入的证据。黑客使用 Windows 调试工具“cdb.exe”在内存中解密和加载这两个恶意软件。 Mafalda 是一个灵活的植入程序，最多支持 67 个命令，它被威胁参与者不断升级，并且威胁的新变种被高度混淆。   以下是 SentinelLabs 详细介绍的一些命令： 命令 55  – 将文件或目录从攻击者提供的源文件系统位置复制到攻击者提供的目标文件系统位置。 命令 60  – 读取 %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State 的内容，并将内容发送到 C2，名称前缀为 loot\ 命令 63  – 进行网络和系统配置侦察 命令 67  – 从驻留在受害者网络中的另一个植入程序中检索数据并将数据发送到 C2 研究人员表示，当启用 TCP KNOCK 通信方法时，metaMain 和 Mafalda 植入程序可以通过另一个内部称为“Cryshell”的植入程序与 C2 服务器建立间接连接。这两种恶意软件都通过端口敲门和握手过程向 Cryshell 进行身份验证。 “Mafalda 向 Cryshell 进行身份验证 Mafalda 向 Cryshell 进行身份验证 Mafalda 还支持使用另一个植入程序从 Linux 机器检索数据，该植入程序将数据作为名称前缀为 loot_linux 的数据包的一部分发送到 C2。尽管这个未命名的 Linux 植入程序和 Cryshell 可能是相同的，但 Mafalda 通过不同的端口敲门和握手程序对 Linux 植入程序进行身份验证。” 阅读研究人员发表的分析。 对 C2 基础设施的分析表明，Metador 对每个受害网络使用单个外部 IP 地址，用于通过 HTTP（metaMain、Mafalda）或原始 TCP（Mafalda）进行命令和控制。在所有已确认的入侵中，C2 服务器都托管在荷兰托管服务提供商 LITESERVER 上。 “除了 HTTP，外部 Mafalda C2 服务器还支持通过端口 29029 的原始 TCP 连接。我们还观察到 Metador 的一些基础设施在一个不寻常的端口上托管了一个 SSH 服务器。虽然 SSH 通常用于远程访问 *nix 系统，但我们很难相信成熟的威胁行为者会以这种方式暴露他们的基础设施。相反，它们很可能被用来通过 Mafalda 的内部 portfwd 命令传输流量。” 继续分析。 谁是 Metador 的幕后黑手？ 目前，专家们无法将该活动归因于已知的 APT 组织，但研究人员认为，其背后可能与“高端承包商安排”有关。“遇到 Metador 是一个令人生畏的提醒，不同类别的威胁行为者继续在阴影中活动而不受惩罚。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/0-yUSpdTT0MdtiG03FcuPA 封面来源于网络，如有侵权请联系删除