HackerNews 编译，转载请注明出处： 安全研究人员发现新型ClickFix攻击活动正同时针对Windows和Linux系统，利用可跨操作系统感染的指令展开攻击。 ClickFix是一种社会工程学策略，通过伪造验证系统或应用错误诱骗网站访客运行控制台命令以安装恶意软件。此类攻击传统上以Windows系统为目标，诱使受害者从Windows运行命令执行PowerShell脚本，导致信息窃取恶意软件感染甚至勒索攻击。 然而，2024年一项使用虚假Google Meet错误的活动也瞄准了macOS用户。Hunt.io研究人员上周发现的最新活动，是首批将这种社会工程学技术适配到Linux系统的攻击之一。 此次攻击被归因于与巴基斯坦关联的威胁组织APT36（又名“Transparent Tribe”），攻击者仿冒印度国防部网站，提供所谓官方新闻稿链接。 当访客点击链接时，平台会对其操作系统进行识别并重定向至相应攻击流程。在Windows系统上，受害者会看到全屏页面警告内容使用权受限。点击“继续”触发JavaScript将恶意MSHTA命令复制到剪贴板，并指示用户在Windows终端粘贴执行。该操作启动基于.NET的加载器连接攻击者地址，同时用户会看到诱饵PDF文件使一切看似正常。 在Linux系统上，受害者被重定向至验证码页面，点击“我不是机器人”按钮时将Shell命令复制到剪贴板。随后引导用户按ALT+F2打开Linux运行对话框，粘贴命令并按Enter执行。该命令在目标系统部署“mapeal.sh”载荷。据Hunt.io称，当前版本尚未执行任何恶意行为，仅从攻击者服务器获取JPEG图像。 “脚本从同一trade4wealth[.]in目录下载JPEG图像并在后台打开，”Hunt.io解释道，“执行期间未观察到持久化机制、横向移动或外联通信等额外活动。” 但研究人员指出，APT36可能正在测试Linux感染链的有效性——只需将图像替换为Shell脚本即可安装恶意软件或实施其他恶意活动。 ClickFix攻击成功适配Linux系统，标志着该攻击类型现已覆盖三大主流桌面操作系统平台。 作为通用安全原则，用户在未明确知晓命令功能的情况下，不应将任何命令复制粘贴至运行对话框。此类操作只会增加恶意软件感染和敏感数据被盗风险。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发布了一款大多数现代Linux安全系统无法察觉其活动的rootkit。该恶意软件滥用了此前谷歌因安全风险在Android设备上禁用的性能优化方法。 攻击者可借此悄无声息地入侵Linux系统。总部位于特拉维夫的安全公司ARMO警告称，这暴露出大多数现代Linux安全检测方案存在关键漏洞。 黑客可利用“io_uring”方法实施绕过传统检测机制的恶意活动。多数CISO尚未意识到这一漏洞。 为验证该漏洞，研究人员公开了一款全功能rootkit。ARMO研究人员解释称：“安全工具的关键弱点在于过度依赖传统系统调用监控作为主要检测机制。虽然这种方法对多数威胁有效，但无法应对完全绕过系统调用的技术手段。” “io_uring”漏洞利用并非新发现，安全专家普遍认为其存在安全隐患。2023年6月，谷歌得出结论称60%的漏洞赏金提交利用了“io_uring”组件，因此决定限制其在谷歌产品中的使用。目前Android应用无法访问该方法，且ChromeOS已彻底禁用该功能。 但在大多数Linux发行版中，该框架仍提供用于异步输入/输出处理的内核API，既能减少传统系统调用需求，又可加速特定操作。 ARMO指出：“io_uring”为攻击者提供了绕过安全产品依赖的典型系统调用的漏洞利用空间。该框架支持61种操作能力，包括网络和文件系统操作。 研究人员发现，这种攻击方式影响了eBPF技术——一种被云安全厂商广泛采用的监控技术。受此影响的安全工具包括Falco和Tetragon等。 研究人员表示：“当前Linux EDR领域的大多数商业解决方案都依赖系统调用钩子技术。测试发现多个知名商业产品存在此类检测漏洞。” 为何要发布rootkit？ 研究人员希望通过发布名为Curing的全功能rootkit，提升网络安全界对攻击者仍在利用的隐蔽机制的认知。“过去两年已有文献详述如何利用该技术绕过检测机制，但多数网络安全厂商仍未解决该问题。” rootkit是最危险的恶意软件类型之一，能为攻击者提供系统root权限并完美隐藏自身。Curing rootkit可与C2服务器通信、获取指令并无需系统调用即可执行。 “核心思路是证明io_uring支持如此多关键操作，足以在其基础上编写完整rootkit。” 该研究团队还解释了如何检测此类恶意软件，建议监控“io_uring”的异常使用，因为现代程序通常不会主动调用该接口。 Linux新推出的内核运行时安全检测机制（KRSI）能实现深度监控。即使隐藏的rootkit仍需执行某些可见操作（如读取或发送数据），这些行为仍可被捕捉。 “io_uring”机制自2019年5月5日发布的Linux 5.1版本开始存在。研究人员总结道：“这不仅是理论威胁——我们测试了包括Falco和Tetragon在内的主流安全方案，确认它们均无法检测此类攻击。鉴于Linux是云基础设施的基石，这项研究将影响所有相关企业。”     消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种与已知后门程序BPFDoor相关的新型控制器组件。该组件被用于2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击。 趋势科技研究员Fernando Mercês在本周发布的技术报告中指出：该控制器可开启反向Shell，使攻击者通过横向移动深入受感染网络，控制更多系统或获取敏感数据。 该活动被中等置信度归因于追踪代号为Earth Bluecrow的威胁组织（亦被称为DecisiveArchitect、Red Dev 18和Red Menshen）。置信度较低的原因是BPFDoor恶意软件源代码已于2022年泄露，意味着其他黑客组织可能也在使用该工具。 BPFDoor是一款Linux后门程序，最早于2022年曝光。公开披露前至少一年，该恶意软件已被用作针对亚洲和中东实体的长期间谍工具。 其最显著特点是能为攻击者创建持久且隐蔽的通道，长期控制受感染工作站并窃取敏感数据。 该恶意软件得名于其使用的伯克利数据包过滤器（BPF）技术。该技术允许程序将网络过滤器附加到开放套接字，通过检查传入数据包并监测特定Magic Byte序列触发恶意行为。 Mercês解释：由于目标操作系统对BPF的实现方式，即使防火墙拦截了数据包，Magic Packet仍能触发后门——当数据包抵达内核的BPF引擎时，驻留的后门即被激活。此类特性常见于Rootkit，但在后门程序中极为罕见。 趋势科技最新分析发现，受攻击的Linux服务器还被一种此前未记录的恶意控制器感染。该控制器用于在横向移动后访问同一网络内其他受感染主机。 Mercês补充：控制器在发送BPFDoor植入的BPF过滤器所检测的Magic Packet前，会要求用户输入密码，该密码也将在BPFDoor端进行验证。 随后，控制器会根据提供的密码和命令行选项，指示受感染设备执行以下操作之一： 开启反向Shell 将新连接重定向至指定端口的Shell 确认后门处于活跃状态 需特别指出的是，控制器发送的密码必须与BPFDoor样本中的硬编码值匹配。该控制器除支持TCP、UDP和ICMP协议控制受感染主机外，还可启用加密模式确保通信安全。 此外，控制器支持直接模式（Direct Mode）——当输入正确密码时，攻击者可直连受感染设备并获取远程访问Shell。 Mercês警告：BPF为恶意软件开发者开启了未被探索的新可能。作为威胁研究人员，必须通过分析BPF代码为未来威胁做好准备，这将帮助组织抵御基于BPF的攻击。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为Outlaw（又称Dota）的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。 据Elastic安全实验室周二发布的最新分析报告称，“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件，用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者，他们被认为来自罗马尼亚。 自2018年底以来，该黑客团伙一直活跃，通过暴力破解SSH服务器，利用获得的权限进行侦察，并通过将自身的SSH密钥添加到“authorized_keys”文件中，以在被入侵主机上保持持久性。 攻击者还采用多阶段感染过程，使用一个下载器Shell脚本（“tddwrt7s.sh”）下载一个归档文件（“dota3.tar.gz”），然后解包以启动挖矿程序，同时清除过往入侵痕迹，并终止其他竞争挖矿程序和自身旧版本挖矿程序。 该恶意软件的一个显著特点是初始访问组件（又称BLITZ），它通过扫描运行SSH服务的易受攻击系统，以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制（C2）服务器获取目标列表，以进一步延续传播周期。 在某些攻击中，该团伙还利用存在CVE-2016-8655和CVE-2016-5195（又称Dirty COW）漏洞的Linux和Unix操作系统，以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后，恶意软件会部署SHELLBOT，通过C2服务器使用IRC频道进行远程控制。 SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。 在挖矿过程中，该恶意软件会检测被感染系统的CPU，并为所有CPU核心启用大页面功能，以提高内存访问效率。它还使用一个名为kswap01的二进制文件，以确保与攻击者基础设施的持续通信。 “尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术，但它仍然活跃。”Elastic表示，“该恶意软件部署了修改版的XMRig挖矿程序，利用IRC进行C2通信，并使用公开可用的脚本实现持久性和防御规避。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

GitHub 安全实验室的安东尼奥-莫拉莱斯（Antonio Morales）最近发布了一份报告，公布了 GStreamer 中的 29 个漏洞，GStreamer 是一个开源多媒体框架，广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能，包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件，也成为网络攻击者的诱人目标。 莫拉莱斯在报告中解释说：“GStreamer 是一个大型库，包括 300 多个不同的子模块。在这项研究中，我决定只关注 Ubuntu 发行版默认包含的’Base’和’Good’插件。”这些插件支持 MP4、MKV、OGG 和 AVI 等流行编解码器，因此特别容易被利用。 在已发现的 29 个漏洞中，大多数是在 MP4 和 MKV 格式中发现的。以下是一些最值得注意的漏洞： CVE-2024-47537：isomp4/qtdemux.c.中的越界（OOB）写入。 CVE-2024-47538: vorbis_handle_identification_packet 中的堆栈缓冲区溢出。 CVE-2024-47607： gst_opus_dec_parse_header 中的堆栈缓冲区溢出。 CVE-2024-47615: gst_parse_vorbis_setup_packet 中的 OOB 写入。 CVE-2024-47539：convert_to_s334_1a 中的 OOB 写入。 这些漏洞包括 OOB 写入、堆栈缓冲区溢出和空指针取消引用，所有这些漏洞都可能允许攻击者执行任意代码、导致系统崩溃或外泄敏感信息。 GStreamer 在桌面环境和多媒体应用程序中的广泛使用凸显了这些漏洞的严重性。莫拉莱斯称：“该库中的关键漏洞可以打开许多攻击载体。例如，恶意制作的媒体文件可以利用这些漏洞入侵用户系统。” 为了发现这些漏洞，莫拉莱斯采用了一种新颖的模糊方法。由于大型媒体文件的大小和复杂性，传统的覆盖引导模糊器在处理大型媒体文件时往往会遇到困难。莫拉莱斯选择了一种定制方法： 他说：“我从头开始创建了一个输入语料生成器，”他介绍说，该技术生成了 400 多万个测试文件，专门用于发现 MP4 和 MKV 解析器中的罕见执行路径。 我们敦促开发人员和用户尽快更新到最新的 GStreamer 补丁版本。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303158 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一种名为Pumakit的新Linux rootkit恶意软件被发现，它使用隐身和高级权限提升技术来隐藏其在系统上的存在。 该恶意软件是一个多组件集合，包括一个投递器(dropper)、内存驻留可执行文件、内核模块rootkit和一个共享对象(SO)用户空间rootkit。 Elastic Security在VirusTotal上发现了一个可疑的二进制文件(‘cron’)上传，日期为2024年9月4日，并报告说无法看到谁在使用它以及它针对的目标。 通常，这些工具被高级威胁行为者用于针对关键基础设施和企业系统进行间谍活动、财务盗窃和破坏操作。 Pumakit采用多阶段感染过程，起始于一个名为’cron’的投递器，它从内存中完全执行嵌入的有效载荷(‘/memfd:tgt’和’/memfd:wpn’)。 ‘/memfd:wpn’有效载荷在子进程中执行，执行环境检查和内核映像操作，并最终将LKM rootkit模块(‘puma.ko’)部署到系统内核中。 LKM rootkit中嵌入了Kitsune SO (‘lib64/libs.so’)，作为用户空间rootkit，使用’LD_PRELOAD’注入自身到进程中，以拦截用户级别的系统调用。 Pumakit感染链 rootkit遵循条件激活，检查特定的内核符号、安全启动状态和其他先决条件后才加载。 Elastic表示，Puma利用’kallsyms_lookup_name()’函数来操纵系统行为。这表明rootkit旨在仅针对5.7版本之前的Linux内核，因为新版本不再导出该函数，因此不能被其他内核模块使用。 “LKM rootkit操纵系统行为的能力始于其使用系统调用表及其依赖于kallsyms_lookup_name()进行符号解析，”Elastic研究人员Remco Sprooten和Ruben Groenewoud解释说。 “与针对5.7及以上内核版本的现代rootkit不同，该rootkit不使用kprobes，表明它是为旧内核设计的。” Puma使用’ftrace’钩住18个系统调用和多个内核函数，以获得权限提升、命令执行能力以及隐藏进程的能力。 内核函数’prepare_creds’和’commit_creds’被滥用以修改进程凭证，为特定进程授予root权限。 该rootkit可以从内核日志、系统工具和杀毒软件中隐藏自己的存在，并且还可以隐藏目录中的特定文件和进程列表中的对象。 如果钩子被中断，rootkit会重新初始化它们，确保其恶意更改不会被撤销，模块不能被卸载。 用户空间rootkit Kitsune SO与Puma协同工作，将其隐身和控制机制扩展到用户交互。 它拦截用户级别的系统调用，并改变ls、ps、netstat、top、htop和cat等命令的行为，以隐藏与rootkit相关的文件、进程和网络连接。 它还可以根据攻击者定义的标准动态隐藏任何其他文件和目录，并使恶意二进制文件对用户和系统管理员完全隐形。 Kitsune SO还处理与命令和控制(C2)服务器的所有通信，将命令中继到LKM rootkit，并将配置和系统信息传输给操作员。 除了文件哈希之外，Elastic Security还发布了一个YARA规则，以帮助Linux系统管理员检测Pumakit攻击。     消息来源：bleepingcomputer；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一位研究人员声称发现了一个十年前的漏洞，评级为 9.9，该漏洞影响了所有 GNU/Linux 系统，使攻击者能够控制易受攻击的设备。该漏洞正在调查中，预计将于下周全面披露。 网络安全研究员和 Linux 开发人员 Simone Margaritelli 发现了一个关键的 Linux 漏洞，该漏洞可能允许攻击者完全控制易受攻击的系统。此 Linux 漏洞会影响 GNU/Linux 系统，特别是针对 Linux 远程代码执行。如果得到证实，它可能是历史上最严重的漏洞之一。 十年前的缺陷： 据报道，该漏洞已经存在了十多年，影响了所有 GNU/Linux 系统。虽然具体细节仍处于保密状态，但 Canonical 和 Red Hat 等主要 Linux 分销商确认的严重性评分为 9.9 分（满分 10 分），这表明如果被利用，可能会造成巨大的损害。 争议： 尽管问题严重，但尚未分配通用漏洞和披露 （CVE） 标识符，开发人员仍在争论漏洞的某些方面是否构成安全风险。这种分歧导致延迟解决问题，并导致安全研究人员感到沮丧。 Margaritelli 公开表达了他对披露处理方式的失望。他声称已经提供了概念验证漏洞，但开发人员更专注于讨论漏洞的影响，而不是努力寻找解决方案。 因此，他决定不进行负责任的披露，而是完全披露缺陷。虽然他的决定可能会加速修复竞赛，但如果不采取迅速的对策，也会使数百万个 Linux 系统面临恶意攻击。 供您参考，Simone Margaritelli，又名 evilsocket，是一位著名的网络安全专家，他为世界各地的专业人士和研究人员创造了许多工具。他最显着的贡献之一是 Bettercap，这是一个专为中间人 （MITM） 黑客攻击和网络渗透测试而设计的开源工具。 该漏洞可能会影响已知暴露的服务（如 OpenSSH）和可能的过滤服务（如 Net Filter），尽管没有迹象表明哪些服务可能会受到影响，这些只是假设。 根据最新更新，该漏洞最初将于 9 月 30 日披露到 Openwall 安全邮件列表，然后在 10 月 6 日完全公开披露。建议 Linux 用户在补丁可用时立即了解官方更新和补丁系统。 * 未经身份验证的 RCE 与 3 周前披露的所有 GNU/Linux 系统（以及其他系统）的对比。 * 在 2 周内完成完全披露（与开发人员达成协议）。 * 仍然没有分配 CVE（至少应该有 3 个，可能是 4 个，最好是 6 个）。 * 仍然没有有效的修复。 * Canonical、RedHat 和…pic.twitter.com/N2d1rm2VeR — 西蒙娜·玛格丽特利 （@evilsocket） September 23， 2024 软件安全平台 Sonatype 的首席技术官兼开源安全基金会管理委员会成员 Brian Fox 发现，此漏洞与 Log4j/Log4Shell 漏洞 （CVE-2021-44228） 之间存在相似之处。Fox 正在与 Sonatype 的研究团队和开源安全社区密切合作，以了解问题的严重性和可能的缓解方法。 “虽然我们还没有技术细节，但 9.9 CVSS 的漏洞表明利用的复杂性较低，并且有迹象表明系统核心存在缺陷。考虑到这是 Linux，这个漏洞的范围很广，成功利用可能是毁灭性的——从 wifi 路由器到保持灯亮的网格，一切都在 Linux 上运行，“Brain 解释说。 “他进一步补充道：”这种低复杂性和高使用率的组合让人想起 Log4Shell，尽管这里的使用规模要大得多。我理解逐步取消披露的逻辑，因为这个漏洞需要时间来发现和修复，但是，我们也应该预料到威胁行为者会仔细检查提交历史并寻找可以利用的线索。 “在我们等待更多细节公布的同时，企业安全团队必须搜索他们的环境和 SBOM，以了解他们可能容易受到攻击的地方并准备好修补。取消你的假期，因为在 10 月 6 日，这可能是一场与攻击者的赛跑，“Brian 强调说。       转自安全客，原文链接：https://www.anquanke.com/post/id/300491 封面来源于网络，如有侵权请联系删除

Linux 系统上广泛使用的 Ghostscript 文档转换工具包中存在一个远程代码执行漏洞，目前正在遭受攻击。 Ghostscript 预装在许多 Linux 发行版上，并被各种文档转换软件使用，包括 ImageMagick、LibreOffice、GIMP、Inkscape、Scribus 和 CUPS 打印系统。 此格式字符串漏洞的编号为CVE-2024-29510，影响所有 Ghostscript 10.03.0 及更早版本。它使攻击者能够逃离 -dSAFER 沙盒（默认启用），因为未修补的 Ghostscript 版本无法在激活沙盒后阻止对 uniprint 设备参数字符串的更改。 这种安全绕过尤其危险，因为它允许他们使用沙箱通常会阻止的 Ghostscript Postscript 解释器执行高风险操作，例如命令执行和文件 I/O。 发现并报告此安全漏洞的 Codean Labs 安全研究人员警告称：“此漏洞对提供文档转换和预览功能的 Web 应用程序和其他服务有重大影响，因为这些服务通常在后台使用 Ghostscript。” “我们建议开发者验证自己的解决方案是否（间接）使用了 Ghostscript，如果是，请将其更新到最新版本。” Codean Labs 还分享了这个 Postscript 文件，可以通过以下命令运行它来帮助防御者检测他们的系统是否容易受到 CVE-2023-36664 攻击： ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps 该漏洞在攻击中被积极利用 虽然 Ghostscript 开发团队在 5 月份修补了该安全漏洞，但两个月后 Codean Labs 发布了一份包含技术细节和概念验证漏洞代码的报告。 攻击者已经在野利用 CVE-2024-29510 Ghostscript 漏洞，使用伪装成 JPG（图像）文件的 EPS（PostScript）文件获取对易受攻击的系统的 shell 访问权限。 开发人员 Bill Mill警告称：“如果您的生产系统中的任何地方都有 ghostscript，那么您可能容易受到远程 shell 执行攻击，应该立刻升级或将其从生产系统中删除。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/G0KqS5T212viFg9nD6qAbA 封面来源于网络，如有侵权请联系删除

最近，一个安全警报震动了信息安全行业： 一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的（UAF）零日漏洞。该漏洞允许低权限用户执行高权限代码，对受影响系统构成严重威胁。 漏洞详情 漏洞利用者指出该漏洞影响 6.6.15 – amd64 版本的 Linux 内核。UAF 发生时，先前释放的内存随后可能被重新使用，允许攻击者以高权限(本地特权升级)执行任意代码，绕过操作系统的标准安全措施。 支付方法 在帖子中，漏洞利用者称 “出售影响 Linux 内核的零日漏洞，你可以用它来执行特权代码（LPE本地特权升级，或以 root 权限执行代码）、窃取数据……”。漏洞售价固定为 15 万美元，只允许通过 Monero (XMR) 或 Bitcoin (BTC) 加密货币进行支付。选择使用加密货币是为了确保交易的匿名性。 中间人 这笔交易的中间人是众所周知的恶意行为者 IntelBroker。尽管交易是匿名进行的，但使用受信任的中间人可确保相关各方的信任和透明度，买家更容易付款。 安全考虑 零日市场对全球范围内的网络安全构成了重大威胁。系统管理员和信息安全从业人员需要时刻保持警惕，一旦威胁行为者可以访问这些网站，就应立即打上安全补丁。安全界必须通力合作，尽快识别并减轻此类威胁。 结论 这个 Linux 内核零日漏洞的发现再次凸显了计算机安全的重要性以及警惕新出现危险的必要性。技术界必须继续投资响应性安全措施，以保护系统和敏感数据免受日益复杂的攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404615.html 封面来源于网络，如有侵权请联系删除

一种新发现的被称为“DISGOMOJI”的 Linux 恶意软件采用新颖的方法，利用表情符号在受感染设备上执行命令，以攻击印度政府机构。 该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与代号为“UTA0137”的巴基斯坦黑客组织有关。 “2024 年，Volexity 发现了一个疑似巴基斯坦威攻击者开展的网络间谍活动，Volexity 目前以别名 UTA0137 进行追踪。”Volexity 解释道。 “Volexity 高度确信 UTA0137 具有间谍相关目的，其职责是针对印度政府实体。根据 Volexity 的分析，UTA0137 的活动似乎取得了成功。”研究人员继续说道。 该恶意软件与不同攻击中使用的许多其他后门/僵尸网络类似，允许攻击者执行命令、截取屏幕截图、窃取文件、部署额外的有效载荷以及搜索文件。 攻击者使用 Discord 和表情符号作为命令和控制 (C2) 工具，这使得该恶意软件可以让它绕过基于文本进行检测的安全软件。 Discord 和表情符号作为 C2 据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件。Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。 执行后，恶意软件将下载并显示一个 PDF 诱饵，该诱饵是印度国防军官公积金的受益人表格，以防军官死亡。 诱饵文档的一部分 额外的有效载荷将在后台下载，包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本，用于搜索 USB 驱动器并从中窃取数据。 当 DISGOMOJI 启动时，恶意软件将从机器中窃取系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，并将这些信息发送回攻击者。 为了控制恶意软件，攻击者利用开源命令和控制项目discord-c2，该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。 该恶意软件将连接到攻击者控制的 Discord 服务器并等待攻击者在频道中输入表情符号。 当 DISGOMOJI 正在处理命令时，它会在命令消息中用“时钟”表情符号做出反应，让攻击者知道命令正在处理中。一旦命令完全处理完毕，“时钟”表情符号反应将被删除，DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应，以确认命令已执行。” 九个表情符号用于表示在受感染设备上执行的命令，如下所示。 该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。 Volexity 表示，他们发现了利用 DISGOMOJI 和 USB 数据盗窃脚本的其他持久性机制的其他版本，包括XDG 自动启动条目。 一旦设备被攻破，攻击者就会利用其访问权限横向扩散、窃取数据并试图从目标用户那里窃取更多凭证。 虽然表情符号对于恶意软件来说似乎是一个“可爱”的新奇事物，但它们可以让它绕过通常寻找基于字符串的恶意软件命令的安全软件检测，这是一种有趣的方法。 UTA 0137 感染后行为 Volexity 发现 UTA0137 在成功感染后使用的许多第二阶段工具，以及攻击者使用的通用策略、技术和程序 (TTP)。 其中一些总结如下： 使用Nmap扫描受害网络 使用Chisel和Ligolo进行网络隧道传输 大量使用文件共享服务oshi[.]at来准备受感染机器下载的工具并托管窃取的数据 此外，UTA0137 会利用预安装的Zenity实用程序，诱使受害者在攻击者控制的对话框中输入密码。UTA0137 发出了多个命令，在用户系统上弹出一个对话框，伪装成 Firefox 更新： 在最近的一次活动中，Volexity 注意到 UTA0137针对系统部署了DirtyPipe (CVE-2022-0847) 特权提升漏洞。 详细技术报告：https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vZsnyaizTaWFYKsWhkKxEQ 封面来源于网络，如有侵权请联系删除