HackerNews 编译，转载请注明出处： 超过一年以来，一名讲俄语的威胁行为者以人力资源（HR）部门为目标，通过恶意软件投放一款名为 BlackSanta 的新型 EDR 杀手。 该攻击活动被描述为 “高度复杂”，结合了社会工程学与高级规避技术，从受攻陷系统中窃取敏感信息。 目前尚不清楚攻击的初始入口，但网络与安全解决方案提供商 Aryaka 的研究人员怀疑，该恶意软件通过鱼叉式钓鱼邮件进行分发。 他们认为，目标被引导下载托管在云存储服务（如 Dropbox）上、伪装成简历的 ISO 镜像文件。 分析的其中一个恶意 ISO 包含四个文件：一个伪装成 PDF 文件的 Windows 快捷方式（.LNK）、一个 PowerShell 脚本、一张图片和一个 .ICO 文件。 ISO 文件内容（来源：Aryaka） 该快捷方式启动 PowerShell 并执行脚本，脚本利用隐写术提取隐藏在图片文件中的数据，并在系统内存中执行。 该代码还会下载一个 ZIP 压缩包，其中包含一个合法的 SumatraPDF 可执行文件和一个恶意 DLL（DWrite.dll），以利用 DLL 侧载技术加载。 解密后的 PowerShell 脚本（来源：Aryaka） 该恶意软件执行系统指纹采集，并将信息发送至命令与控制（C2）服务器，随后执行大量环境检查，若检测到沙箱、虚拟机或调试工具则停止执行。 它还会修改 Windows Defender 设置以削弱主机安全防护，执行磁盘写入测试，然后从 C2 服务器下载更多载荷，通过进程空心化技术在合法进程内执行。 BlackSanta EDR 杀手 该攻击活动投放的一个关键组件是被识别为 BlackSanta EDR 杀手的可执行文件，这是一个在部署恶意载荷前使终端安全解决方案失效的模块。 BlackSanta 为 .dls 和 .sys 文件添加微软 Defender 排除项，并修改注册表值以减少遥测数据和向微软安全云端点的自动样本提交。 研究人员的报告（PDF）指出，BlackSanta 还可屏蔽 Windows 通知，以最小化或完全屏蔽用户警报。BlackSanta 的核心功能是终止安全进程，实现方式如下： ·     枚举正在运行的进程 ·     将进程名与内置的大量杀毒软件、EDR、SIEM 和取证工具列表进行比对 ·     获取匹配的进程 ID ·     使用已加载的驱动在内核层面解锁并终止这些进程 内置列表的部分内容（来源：Aryaka） Aryaka 没有披露此次活动背后的目标组织或威胁行为者相关细节，且未能获取观察案例中使用的最终载荷，因为在其检查时 C2 服务器已无法访问。 研究人员成功识别出同一威胁行为者使用的其他基础设施，并发现了与同一攻击活动相关的多个 IP 地址。他们正是通过这种方式得知，该行动在过去一年中一直在未被察觉的情况下运行。 通过对这些 IP 地址的分析，研究人员发现该恶意软件还会下载 “自带驱动”（BYOD）组件，其中包括 Adlice Software 公司的 RogueKiller 反 Rootkit 驱动 v3.1.0，以及 IObit 公司的 IObitUnlocker.sys v1.2.0.1。 这些驱动已被用于恶意软件行动中，以在受攻陷机器上获得提升权限并压制安全工具。 RogueKiller（truesight.sys）允许操纵内核钩子和内存监控，而 IObitUnlocker.sys 允许绕过文件和进程锁定。这种组合为恶意软件提供了对系统内存和进程的底层访问权限。 Aryaka 研究人员表示，此次活动背后的威胁行为者展现出强大的作战安全能力，并使用上下文感知、隐蔽的感染链部署 BlackSanta EDR 等组件。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Reynolds 的新型勒索软件家族细节，该勒索软件载荷内部直接内嵌了 BYOVD 组件，用于规避防御机制。 BYOVD 是一种攻击技术，指攻击者滥用合法但存在漏洞的驱动软件提升权限，并关闭终端检测与响应（EDR）方案，使恶意行为不被发现。多年来，该手段已被多个勒索软件组织采用。 Symantec 与 Carbon Black 威胁狩猎团队在报告中称：“通常，攻击中的 BYOVD 规避防御组件是独立工具，会在勒索软件载荷部署前先植入系统，用以关闭安全软件。”“但在本次攻击中，存在漏洞的驱动（NsecSoft NSecKrnl 驱动）直接与勒索软件本体捆绑在一起。” 博通网络安全团队指出，这种将规避防御组件与勒索软件载荷捆绑的手法并非首创，2020 年 Ryuk 勒索软件攻击、2025 年 8 月下旬知名度较低的 Obscura 勒索软件攻击事件中均出现过该手段。 在 Reynolds 攻击活动中，该勒索软件会释放存在漏洞的 NsecSoft NSecKrnl 驱动，并终止 Avast、CrowdStrike Falcon、帕洛阿尔托网络 Cortex XDR、Sophos（含 HitmanPro.Alert）、Symantec 终端保护等多款安全软件的相关进程。 值得注意的是，NSecKrnl 驱动存在已知安全漏洞（CVE-2025-68947，CVSS 评分 5.7），可被利用终止任意进程。该驱动已被威胁组织 Silver Fox 用于攻击活动，在投放 ValleyRAT 木马前关闭终端安全工具。 过去一年，该黑客组织曾使用 truesight.sys、amsdk.sys 等多款存在漏洞的合法驱动，通过 BYOVD 攻击解除安全软件防护。 将规避防御与勒索功能整合为单一组件，会加大防护方拦截攻击的难度，同时也让勒索软件附属团伙无需再将该步骤单独加入攻击流程。 Symantec 与 Carbon Black 表示：“本次攻击活动中值得注意的是，在勒索软件部署数周前，目标网络中已出现可疑的侧加载加载器。” 勒索软件部署次日，攻击者还在目标网络中投放了 GotoHTTP 远程访问程序，表明其意图维持对受感染主机的持久访问。 该公司称：“BYOVD 技术高效且依托合法签名文件，不易触发告警，因此深受攻击者青睐。” “将规避防御能力与勒索软件载荷捆绑的优势，也是攻击者采用该方式的原因，在于规避防御程序与勒索软件整合后更‘隐蔽’，无需在受害者网络中释放额外外部文件。” 该发现与近几周多项勒索软件相关动态相吻合： ·     一起大规模钓鱼攻击通过携带 Windows 快捷方式（LNK）附件的邮件运行 PowerShell 代码，下载 Phorpiex 加载器，进而投放 GLOBAL GROUP 勒索软件。该勒索软件的特点是所有恶意行为均在受感染系统本地执行，可适配物理隔离环境。同时该软件不会窃取数据。 ·     WantToCry 组织发起的攻击滥用合法虚拟基础设施管理服务商 ISPsystem 提供的虚拟机，大规模托管并投放恶意载荷。部分主机名已在 LockBit、Qilin、Conti、BlackCat、Ursnif 等多个勒索软件组织，以及 NetSupport RAT、PureRAT、Lampion、Lumma 窃密木马、RedLine 窃密木马等恶意软件活动的基础设施中被发现。 ·     据评估，防弹主机服务商利用 VMmanager 默认 Windows 模板的设计缺陷（每次部署均复用相同静态主机名与系统标识），将 ISPsystem 虚拟机租给其他犯罪组织，用于勒索软件攻击与恶意软件投放。这使得威胁组织可部署数千台主机名相同的虚拟机，加大溯源关停难度。 ·     DragonForce 组织推出 “企业数据审计” 服务，为附属团伙提供勒索敲诈支持，标志着勒索软件运营持续专业化。LevelBlue 公司表示：“该审计服务包含详细风险报告、通话脚本与高管信函等预制沟通材料，以及用于施压谈判的策略指导。” ·     DragonForce 以联盟模式运作，允许附属团伙打造自有品牌，同时依托其体系获取资源与服务。 ·     最新版 LockBit 5.0 勒索软件已被证实采用 ChaCha20 算法对 Windows、Linux、ESXi 环境中的文件与数据加密，一改 LockBit 2.0 与 3.0 使用的 AES 加密方式。此外，新版本新增数据销毁组件、加密前延迟执行选项、进度条加密状态追踪，优化反分析规避检测能力，并强化内存执行以减少磁盘痕迹。 ·     Interlock 勒索软件组织持续攻击英美机构，尤以教育行业为目标，其中一起攻击利用游戏反作弊驱动 GameDriverx64.sys 的零日漏洞（CVE-2025-61155，CVSS 评分 5.5），通过 BYOVD 技术关闭安全工具。该攻击还会部署 NodeSnake/Interlock 远程访问木马（又称 CORNFLAKE）窃取敏感数据，初始入侵途径为 MintLoader 感染。 勒索软件组织正逐步将目标从传统本地设备转向云存储服务，尤其是亚马逊云（AWS）配置不当的 S3 存储桶，攻击依托云原生功能删除、覆盖数据，暂停权限或窃取敏感内容，同时隐蔽作案。 据 Cyble 公司数据，GLOBAL GROUP 是 2025 年涌现的众多勒索软件组织之一，其余包括 Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire、The Gentlemen。ReliaQuest 数据显示，仅 2025 年第四季度，Sinobi 数据泄露网站公示数量增长 306%，成为仅次于 Qilin 与 Akira 的第三大活跃勒索软件组织。 研究员 Gautham Ashok 称：“与此同时，LockBit 5.0 卷土重来是第四季度最大变化之一，年末攻击量激增，该组织仅 12 月就公示了 110 家受害机构。”“这表明该组织可快速扩大攻击规模，将入侵转化为实质影响，并维持规模化附属团伙运作体系。” 新兴组织涌现与现有团伙合作结盟，共同推动勒索软件活动激增。2025 年勒索软件组织宣称实施 4737 起攻击，高于 2024 年的 4701 起。同期，仅窃取数据施压、不执行加密的攻击数量达 6182 起，较 2024 年增长 23%。 Coveware 在上周季度报告中称，2025 年第四季度平均赎金支付额为 591,988 美元，较第三季度暴涨 57%，主因是少数 “高额和解案”。该公司补充称，威胁组织可能回归 “数据加密” 本源，以更有效施压受害者支付赎金。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名约旦国民于上周四认罪，承认通过在网络犯罪论坛上出售对至少50家公司网络的访问权限进行犯罪。 40岁的费拉斯·阿尔巴希蒂被指控犯有与访问设备相关的欺诈和关联活动罪，面临最高10年监禁。他的量刑定于今年5月进行。 法庭文件显示，联邦调查局一名卧底特工于2023年5月在对一个未具名的网络犯罪论坛进行无关调查时，首次与阿尔巴希蒂取得了联系。 阿尔巴希蒂以用户名“r1z”活动，最初向卧底特工出售了一款渗透测试工具的破解版，随后又以5000美元的价格，通过两种不同的防火墙漏洞利用方式，出售了对50家公司的网络访问权限。 到2023年9月，卧底特工再次联系阿尔巴希蒂，询问一种可以关闭终端检测与响应工具的恶意软件（即EDR杀手）。阿尔巴希蒂提供了能够禁用三个不同品牌EDR的强大恶意软件，FBI以1.5万美元的价格购买了一个版本。 在起诉书中，FBI指出该恶意软件”具有新颖性，并且在破坏受害者计算机网络方面似乎非常有效”。 在替卧底特工测试该恶意软件时，FBI得以追踪到阿尔巴希蒂的IP地址。起诉书补充说，同一IP地址还参与了2023年6月对美国一家制造公司的勒索软件攻击，造成了约5000万美元的损失。检察官未具体说明是哪家公司。 FBI最终能够将”r1z”这个网络犯罪论坛账户与阿尔巴希蒂联系起来，是因为该账户注册时使用的电子邮箱与他2016年申请美国签证时使用的是同一个。这个Gmail地址还与以阿尔巴希蒂名义注册的其他几个账户和支付卡有关联。 阿尔巴希蒂在被起诉时居住在格鲁吉亚第比利斯，并于2024年7月被引渡至美国。 经过数月的律师更换后，阿尔巴希蒂最终同意达成认罪协议，承认自己出售了对这50家公司的访问权限。 已知威胁 初始访问经纪人是网络犯罪生态系统的关键一环，他们负责入侵受害者网络这一困难工作，然后将其出售或自行利用。 多年来，”r1z”账户受到多家网络安全公司和政府机构的关注，许多人认为它是一个提供有效安全产品漏洞利用程序的合法威胁行为者。 网络安全公司兼大型防火墙制造商Fortinet在2022年发布了一份关于”r1z”的报告，警告称该威胁行为者”通过利用关键的Confluence未授权RCE漏洞（跟踪为CVE-2022-26134）获取了对50个易受攻击的Confluence服务器的访问权限并进行了广告宣传，并声称拥有超过10000个易受攻击的Confluence服务器列表”。 Fortinet将”r1z”账户列为2022年24个可信威胁行为者之一。美国卫生与公众服务部下属的网络安全机构在其2022年的报告中也引用”r1z”为可信威胁来源。 卫生信息共享与分析中心（Health-ISAC）网络信息共享组织于2023年1月警告医疗保健组织，”r1z”是一个”知名且可信的”Cobalt Strike（一款流行的渗透测试工具）非法版本销售商。该组织称，该账户”自2022年6月左右开始活跃，此前曾通过被入侵的Confluence、Microsoft Exchange、SonicVPN和VMware账户提供未授权访问”。 “r1z”这个代号似乎还在俄罗斯网络犯罪论坛XSS上拥有账户。网络安全公司ZeroFox分享的截图显示，有一篇帖子提供了网络犯罪分子可用于绕过EDR和防病毒解决方案的工具。 网络安全公司Kela的专家补充说，”r1z”在XSS论坛上声誉良好，并提供过多个安全产品的有效漏洞利用程序。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 端点检测与响应（EDR）解决方案已成为多数组织的标准网络安全产品，但它们并非无懈可击。5月5日，怡安集团旗下Stroz Friedberg事件响应服务研究人员发布报告，披露攻击者利用一种新型技术成功绕过头部EDR产品SentinelOne的防护。该技术名为“自带安装程序”（Bring Your Own Installer），通过利用SentinelOne代理程序升级/降级流程中的漏洞，绕过防篡改功能，导致终端失去保护。 Stroz Friedberg研究人员观察到攻击者使用该技术获取本地管理员权限，绕过EDR防护并执行Babuk勒索软件变种。SentinelOne已针对该报告向客户提供缓解措施。“截至报告发布时，怡安集团Stroz Friedberg尚未发现任何EDR厂商（包括SentinelOne）在正确配置产品的情况下受到此攻击影响。”研究人员在报告中指出。 与其他EDR产品类似，SentinelOne的EDR具备防篡改功能，旨在阻止未授权用户禁用防护措施及恶意软件终止EDR进程。该功能需要管理员在管理控制台执行操作或使用唯一代码才能解除防护。然而，Stroz Friedberg研究人员发现攻击者通过利用公开服务器应用的漏洞，获取了运行SentinelOne EDR主机的本地管理员权限。 在系统取证分析中，研究人员发现多项EDR绕过迹象，包括：多个合法签名的SentinelOne安装程序文件（如SentinelOneInstaller_windows_64bit_v23_4_4_223.exe和SentinelInstaller_windows_64bit_v23_4_6_347.msi）的创建记录；与产品版本变更相关的额外事件日志（包括计划任务变更、服务停止/启动事件、本地防火墙配置变更等）。 基于这些发现，Stroz Friedberg研究人员通过实验复现了SentinelOne EDR软件的潜在漏洞。他们在安装23.4.6.223版本SentinelOne EDR的Windows 2022 Server虚拟机上，使用MSI安装程序启动代理程序升级/降级流程。升级/降级过程会在生成新版本进程前约55秒终止所有现有进程，形成短暂的无防护窗口期。研究人员利用本地管理员权限执行taskkill命令终止与升级相关的msiexec.exe进程，最终导致系统失去SentinelOne防护，并在管理控制台显示为离线状态。 针对该发现，SentinelOne迅速向客户发布缓解指南，包括：启用默认开启的本地代理密码功能防止未授权卸载；使用本地升级授权功能确保通过控制台认证升级流程。报告发布后，SentinelOne已对所有新客户默认开启本地更新授权功能，并协助研究人员将攻击模式私下披露给其他EDR厂商。部分被联系厂商未对此攻击模式披露作出回应。     消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文