黑客组织借 Proton66 主机进行钓鱼,针对哥伦比亚银行部署 RAT
HackerNews 编译,转载请注明出处: 网络安全公司Trustwave SpiderLabs近期报告证实,被称为Blind Eagle的威胁行为者高度疑似使用俄罗斯防弹主机服务Proton66。研究人员通过追踪与该服务关联的数字资产,发现一个活跃攻击集群:其利用VBS脚本作为初始攻击载体,部署现成的远程访问木马(RAT)。 攻击者青睐Proton66等防弹主机服务,因其故意无视滥用举报和法律取缔要求,使钓鱼网站、C2服务器和恶意软件分发系统得以持续运作。2024年8月起,研究人员发现一组命名模式相似的域名(如gfast.duckdns[.]org),均解析至Proton66关联IP(45.135.232[.]38)。此类攻击还依赖DuckDNS等动态DNS服务——攻击者通过轮换子域名关联同一IP,大幅增加防御方检测难度。 这些域名托管多种恶意内容,包括针对哥伦比亚银行(Bancolombia、BBVA等)的钓鱼页面,以及作为恶意软件初始阶段的VBS脚本。后者实为加载器,可下载加密可执行文件并部署AsyncRAT、Remcos RAT等商用木马。VBS脚本虽显陈旧,但因兼容性高、静默运行特性,仍被用于下载恶意加载器、绕过杀毒软件并混入正常用户活动,成为多阶段攻击的首选入口点。 技术分析显示,VBS代码与付费加密服务Crypters and Tools的Vbs-Crypter工具存在重叠,该服务专门混淆VBS载荷以规避检测。此外,Trustwave还发现一个僵尸网络控制面板,支持操控受感染设备、窃取数据并通过RAT管理套件交互受控终端。 此发现与Darktrace披露的Blind Eagle活动形成印证:自2024年11月起,该组织持续利用已修复的Windows漏洞(CVE-2024-43451)攻击哥伦比亚机构,下载后续攻击载荷。Check Point在2025年3月首次记录此行为,凸显其战术适应能力——即使补丁发布后,仍能快速调整既定战术(TTPs)。Darktrace强调:“及时漏洞管理和补丁应用虽必要,但不足以独立应对此类威胁。” 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
微软发现新远程访问特洛伊木马,用于加密货币盗窃和侦察
HackerNews 编译,转载请注明出处: 微软发现了一种新的远程访问特洛伊木马(RAT),该木马采用“复杂技术”来规避检测、维持持久性和窃取敏感数据。 尽管该恶意软件(被称为 StilachiRAT)尚未广泛传播,但微软决定公开分享妥协指标和缓解指导,以帮助网络防御者检测这一威胁并减少其影响。 由于 StilachiRAT 在野外部署的实例有限,微软尚未将此恶意软件归因于特定的威胁行为者或与特定地理位置关联。 “2024 年 11 月,微软事件响应研究人员发现了一种新型远程访问特洛伊木马(RAT),我们将其命名为 StilachiRAT,它展示了复杂的规避检测、在目标环境中持续存在和窃取敏感数据的技术,”微软表示。 对包含 StilachiRAT 功能的 WWStartupCtrl64.dll 模块的分析显示,该恶意软件使用了多种方法从目标系统中窃取信息,例如存储在浏览器中的凭证、数字钱包信息、剪贴板中的数据以及系统信息。 这种新 RAT 的功能中,微软特别指出了其侦察功能,例如收集系统数据,包括硬件标识符、摄像头是否存在、活跃的远程桌面协议(RDP)会话以及运行中的基于 GUI 的应用程序,以对目标系统进行画像。 在被部署到受损系统后,攻击者可以利用 StilachiRAT 通过扫描 20 种加密货币钱包扩展的配置信息来窃取数字钱包数据,包括 Coinbase 钱包、Phantom、Trust 钱包、MetaMask、OKX 钱包、Bitget 钱包等。 该恶意软件还利用 Windows API 窃取存储在 Google Chrome 本地状态文件中的凭证,并监控剪贴板活动以获取敏感信息,如密码和加密货币密钥,同时跟踪活跃窗口和应用程序。 一旦作为独立进程或 Windows 服务启动,RAT 通过 Windows 服务控制管理器(SCM)获得并保持持久性,并使用看门狗线程监控恶意软件的二进制文件,确保它们在不活跃时自动重新创建。 StilachiRAT 还能够通过捕获前台窗口信息和克隆安全令牌来模仿登录用户,从而在受害者网络中横向移动,尤其是在 RDP 服务器上部署 RAT 后,这些服务器通常托管管理会话。 “该恶意软件获取当前会话,积极启动前台窗口,并枚举所有其他 RDP 会话,”微软表示。“对于每个已识别的会话,它将访问 Windows 资源管理器外壳并复制其权限或安全令牌。然后,恶意软件可以使用这些新获得的权限启动应用程序。” RAT 的功能还包括广泛的检测规避和反取证功能,例如清除事件日志的能力和检查是否在沙箱环境中运行以阻止恶意软件分析尝试。即使被诱骗在沙箱中运行,StilachiRAT 的 Windows API 调用也被编码为“在运行时动态解析的校验和”,并进一步混淆以减慢分析速度。 最后,微软表示 StilachiRAT 允许通过命令和控制(C2)服务器的命令执行以及潜在的类似 SOCKS 的代理功能,这可以让威胁行为者重启受损系统、清除日志、窃取凭证、执行应用程序以及操作系统窗口。 其他命令旨在“暂停系统、修改 Windows 注册表值以及枚举打开的窗口。” 为了减少此恶意软件可以利用来攻击目标系统的攻击面,微软建议仅从官方网站下载软件,并使用能够阻止恶意域名和电子邮件附件的安全软件。 消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
一种新的 Golang 编写的木马
Bitdefender的安全研究人员发现了一种新的Golang编写的RAT,它利用CVE-2019-2725(Oracle WebLogic RCE)漏洞攻击设备。与其他利用此漏洞的攻击不同,它不会(至少目前还没有)尝试安装cryptominer或部署其他恶意软件。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1357/ 消息与封面来源:Labs ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
虚假杀毒软件窃取设备存储信息,竟是两种 Android RAT 变体
近日,EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道,有人认为这些恶意软件可能与 123 组织( Group 123)之间存在某种关联。在深入研究这种关联中,Talos 结合其调查报告以及 123 组织的历史背景,确定了 Android 远程管理工具(RAT)的两种变体: KevDroid 和 PubNubRAT。这两种变体具有相同的功能 , 即窃取受感染设备上的信息(如联系人、短信和电话历史记录),并记录受害用户的电话。除此之外,两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制(C2)服务器上的。 其中一种变体 KevDroid 使用了已知的 Android 漏洞(CVE-2015-3636),以便在受损的 Android 设备上获得 root 访问权限。 而 PubNubRAT(以 Windows 为目标)则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络(DSN), 攻击者可以使用 PubNub API 向被攻击的系统发布命令。 Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素,还不能够确定这些变体与 123 组织之间的具体关联。 Talos 完整分析报告: 《 Fake AV Investigation Unearths KevDroid, New Android Malware 》 消息来源:talosintelligence,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。