安全快讯Top News

新型隐形 Nerbian RAT 恶意软件横空出世

Bleeping Computer 网站披露,网络安全研究人员发现一个名为 Nerbian RAT 的新型恶意软件,它具有逃避研究人员检测和分析的能力。 Proofpoint 的安全研究人员首先发现该新型恶意软件,并发布了一份关于新型 Nerbian RAT 恶意软件的报告。 据悉,新型恶意软件变体采用 Go 语言编写,使其成为跨平台的64位威胁。目前,该恶意软件通过使用宏文档附件的小规模电子邮件分发活动进行传播。 冒充世界卫生组织 恶意软件背后的操纵者冒充世界卫生组织(WHO),分发 Nerbian RAT 恶意软件,据称该组织正在向目标发送COVID-19信息。 最新活动中看到的钓鱼邮件(Proofpoint) RAR  附件中包含带有恶意宏代码的 Word 文档,如果在 Microsoft Office 上打开,并将内容设置为 “启用”的话,一个 bat 文件会执行 PowerShell 步骤,下载一个 64 位的 dropper。 这个名为 UpdateUAV.exe 的 dropper 也采用  Golang  编写,为了保证其大小可控,被打包在 UPX 中。 在部署 Nerbian RAT 之前,UpdateUAV 重用来自各种 GitHub 项目的代码,以整合一组丰富的反分析和检测规避机制。除此以外,该投放器还通过创建一个预定任务,每小时启动该 RAT 来建立持久性。 Proofpoint 将反分析工具列表总结如下: 检查进程列表中是否存在反向工程或调试程序 检查可疑的 MAC 地址 检查 WMI 字符串,看磁盘名称是否合法 检查硬盘大小是否低于 100GB,这是虚拟机的典型特征 检查进程列表中是否存在任何内存分析或篡改检测程序 检查执行后的时间量,并与设定的阈值进行比较 使用 IsDebuggerPresent API 来确定可执行文件是否正在被调试。 所有上述这些检查使 RAT 实际上不可能在沙盒、虚拟化环境中运行,从而确保恶意软件运营商的长期隐蔽性。 Nerbian RAT 的功能特点 Nerbian RAT 恶意软件以 “MoUsoCore.exe “形式下载,之后保存到 “C:\ProgramData\USOShared\”中,支持多种功能,背后操作者可以任意选择配置其中的一些功能。 值得注意的是,它具有两个显著功能,一个是以加密形式存储击键的键盘记录器,另外一个是适用于所有操作系统平台的屏幕捕获工具。 另外,它与 C2 服务器的通信是通过 SSL(安全套接字层)处理的,因此所有的数据交换都是加密的,并受到保护,有效防止了网络扫描工具在传输过程中进行检查。 完整的感染过程 (Proofpoint) 应当密切关注 毫无疑问,Proofpoint 发现的 Nerbian RAT ,是一个有趣的、复杂的新型恶意软件,它通过大量的检查、通信加密和代码混淆,专注于隐蔽性。 不过,就目前而言,Nerbian RAT 恶意软件还是通过低容量的电子邮件活动进行分发,所以还构不成大规模威胁,但如果其背后操作者决定向更广泛的网络犯罪社区传播,情况可能会变得很糟糕。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332896.html 封面来源于网络,如有侵权请联系删除

多个网安执法机构警告:越来越多的黑客正瞄准 MSPs

近日,五眼情报联盟成员对管理服务提供商(MSPs)及其客户发出了警告,提醒他们可能正越来越多地成为供应链攻击的目标。对此,来自五眼国家的多个网络安全和执法机构(包括NCSC-UK、ACSC、CCCS、NCSC-NZ、CISA、NSA和FBI)共享了对MSPs的安全指南,以保护网络和敏感数据免受日益增长的网络威胁。 “英国、澳大利亚、加拿大、新西兰和美国的网络安全当局预计,各种恶意网络攻击者,包括由国家支持的APT组织,将加大对MSPs的攻击力度,以利用供应商与客户的网络信任关系”,五眼联盟的联合公告中这样写道,“成功入侵 MSPs的攻击者可能会针对整个MSPs的客户群发起后续攻击,例如勒索软件和网络间谍攻击。” 其实,在过去几年中,五眼联盟的网络安全主管部门一直不定期地向MSPs及其客户提供一般指导建议,只是如今除了指导建议更进一步提出了具体措施。 MSPs及其客户可采取的关键的战术行动可概括为如下3点: 识别和禁用不再使用的帐户。 对访问客户环境的MSP帐户强制执行MFA(失灵警报信号),并对无法解释的身份验证失败进行监视。 保证MSP客户合同透明地确认信息和通信技术(ICT)安全角色和职责所有权。 美国网络安全与基础设施网络安全局(CISA)主任Jen Easterly在接受采访时表示:“我们知道,易受攻击的MSPs会显著增加其支持的企业和组织的下游风险。因此,确保MSPs的安全对我们的集体网络防御至关重要,CISA以及我们的跨机构和国际合作伙伴正致力于加强其安全性并提高我们全球供应链的弹性。” 值得一提的是,在一年前,英国政府就防范软件供应链攻击和加强全国IT管理服务提供商网络安全防御的议题公开征求过建议。而就在不久前,美国总统拜登也发布了一项行政命令,以实现美国防御网络攻击的现代化。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332915.html 封面来源于网络,如有侵权请联系删除

勒索软件 REvil 回归,新版本正在积极开发中

5月9日,Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示,臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后再度开始活动。 研究人员对新发现的样本进行分析,发现在短时间内已经出现多个修改过的新版本,表明 REvil 再次处于积极的开发过程中。 4月20日,REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机,这是一个明显的复苏信号,网络安全公司 Avast 在一周后披露,他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。 根据对另一个时间戳为3月11日的样本源代码进行检查,发现与2021年10月的样本相比已经有了明显的更改,包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新,并修订了赎金记录中显示的 Tor 域,与上个月发现的新 Tor 域相匹配: REvil 泄露站点:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion REvil 赎金支付网站:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion 2022 年 3 月样本中的字符串解密逻辑更改(资料来源:Secureworks) 作为一种勒索软件即服务 (RaaS),REvil是最早采用双重勒索计划的组织之一,即以泄露窃取的数据为由威胁受害者支付赎金。该勒索软件组织自 2019 年开始运作,在2021年7月针对 Kaseya 云端系统供应链攻击中曾开出7000万美元的赎金要求,创勒索软件最高赎金记录。但在2021年10月份的多国联合执法行动中,REvil的服务器被查,今年1月初,俄罗斯联邦安全局 (FSB) 在该国多地进行突袭后,逮捕了多名组织成员。 REvil的复出被认为与俄乌战争有关,就在上个月,美国单方面退出了与俄罗斯为保护关键基础设施进行合作的计划。此外这也表明,勒索软件即使被打压或解散后,也能够很容易的死灰复燃,当下要彻底根除网络犯罪组织可谓困难重重。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332892.html 封面来源于网络,如有侵权请联系删除

疑似伊朗行为,德国汽车行业遭到长达数年的网络攻击

据悉,一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司,试图用恶意软件窃取密码感染其系统,包括德国汽车制造商和汽车经销商,通过克隆该领域各个组织的合法网站,注册了多个相似的域,以便在攻击过程中使用。 这些网站用于发送用德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。 此活动中使用的各种相似域 网络安全解决方案供应商Check Point的研究人员发现了这一活动,并发布了相关的技术报告。报告显示,该网络钓鱼活动于2021年7月左右开始,目前仍在进行中。 瞄准德国汽车行业 感染链始于发送给特定目标的电子邮件,其中包含能够绕过互联网安全控制的ISO映像文件。 例如,下图的网络钓鱼电子邮件假装包含汽车转账收据,发送给目标经销商。 Check Point发现的恶意电子邮件之一 其中还包含一个HTA文件,该文件中有通过HTML走私运行的JavaScript或VBScript代码。 通用感染链 从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客,所有级别的黑客都能使用这种常用技术。 当受害者看到从HTA文件打开的诱饵文档时,恶意代码就会在后台运行,以获取并启动恶意软件有效负载。 诱饵文件 我们发现了这些脚本的多个版本,有些会触发PowerShell代码,有些是纯文本版本。它们都会下载并执行各种MaaS(恶意软件即服务)信息窃取程序。 ——Check Point 此活动中使用的MaaS信息窃取程序各不相同,包括Raccoon Stealer、AZORult 和 BitRAT,这三个程序都可以在网络犯罪市场和暗网论坛上购买到。 HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具,使得威胁行为者无需诱骗接收者启用宏,并且能够提高有效负载丢弃率。 恶意修改Windows注册表 幕后主使和攻击目标 Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击,但是报告中没有提到具体的公司名称。 信息窃取有效载荷被托管在伊朗人注册的网站(“bornagroup[.]ir”)上,而同样的电子邮件被用于钓鱼网站的子域名,例如“groupschumecher[.]com”。 威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接,支持该活动的网站被托管在伊朗的ISP上。 威胁行为者的基础设施 这场活动很有可能是伊朗的威胁行为者策划的,但Check Point没有足够的证据来证明。该活动很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC(商业电子邮件泄露)。 威胁行为者发送给目标的电子邮件留有足够的通信空间,使得与受害者建立融洽的关系并获得其信任成为可能,这使得关于BEC的假设更具有可信度。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/t9JsB3Ak5ihEVlgKWcq1rA 封面来源于网络,如有侵权请联系删除

Google Chrome 增加虚拟信用卡号码功能 保证真实卡片的安全

Google今天宣布,其Chrome浏览器现在将为用户提供在网络上的在线支付表格中使用虚拟信用卡号码的功能。这些虚拟卡号允许用户在网上购买东西时保持你的”真实”信用卡号码的安全,因为如果商家的系统被黑客攻击,它们可以很容易被撤销。此前一些信用卡发卡机构已经提供了这些虚拟信用卡号码,但它们可能远没有成为主流。 Google表示,这些虚拟卡将于今年夏天晚些时候在美国推出。Google既与Capital One这样的发卡机构合作,后者是这项功能的启动伙伴,也与Visa和美国运通这样的主要卡组织合作,这些网络将在启动时得到支持,今年晚些时候将对万事达卡的支持将被引入。获得卡组织网络的支持绝对是一件事倍功半的事情,因为试图让每个发卡机构都加入进来将是一项艰巨的任务。 这项新功能将首先在桌面上的Chrome浏览器和Android系统上推出,iOS系统的支持将随后推出。 Google副总裁兼支付部总经理阿诺德-戈德堡说:”这是将虚拟卡的安全性带给尽可能多的消费者的里程碑式的一步。在桌面和Android系统上使用Chrome浏览器的购物者在网上购物时可以享受快速的结账体验,同时可以安心地知道他们的支付信息受到保护。” 从用户的角度来看,这个新的自动填写选项将简单地为你输入虚拟卡的详细信息,包括实体卡的CVV,然后你可以在pay.google.com上管理虚拟卡并看到你的交易纪录。 虽然这些虚拟卡通常用于一次性购买,但一样也能够使用这些卡进行订阅。 由于这是Google这样的公司在提供这种服务,一些用户显然会担心该公司会使用这些关于购买习惯的额外数据,但Google表示,它不会将这些信息用于广告定位目的。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268241.htm 封面来源于网络,如有侵权请联系删除

恶意 NPM 软件包瞄准德国公司进行供应链攻击

5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。 目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。 研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332868.html 封面来源于网络,如有侵权请联系删除

创历史记录,英国网络安全中心向社会发送 3300 万条警报

近日,英国国家网络安全中心(National Cyber Security Centre,简称NCSC)发布了一份报告,为先前注册早期预警服务(the Early Warning service)的组织机构发送了3300多万条警报。 根据该报告统计,政府机构在2021年内共计化解了270多万起网络诈骗案件,这一数字创造了新的记录。而正是因为主动网络防御(Active Cyber Defense)项目在2021年的重大升级,使得组织机构可以从容应对新出现的威胁,使得成功狙击诈骗活动成为可能。 NCSC重点关注的攻击行为包括虚假名人代言的加密货币赠品、与COVID-19相关的活动、假冒NCSC或其他国家执法机构的虚假勒索电子邮件,以及虚假包裹递送通知。 创纪录之年 NCSC表示,扩大防御范围是致使成功识别与化解网络诈骗的数量创造新纪录的最主要原因。对此,在报告中是这样解释的:“这一增长反映了NCSC服务范围的扩大,化解了更多的恶意网络内容,比如虚假名人代言骗局,总体网络骗局的数量也得到控制。” 此外,NCSC也在报告中补充道,“公众对可疑电子邮件、短信和网站的报告使得这项工作得到补充,更多的骗局因此得到成功化解。” 报告同时提到一些具体的案例,比如NCSC在2021年内发现并化解了1400多起针对英国国家医疗服务体系(NHS)的钓鱼攻击,这一数字比2020年的整整高出11倍。 另一个值得注意的大规模攻击案例是针对Android设备的恶意软件Flubot,它通过显示状态为“未送达”短信发送给智能手机用户。NCSC成功阻止了它的扩散,并封锁了120多万个与它相关的域名。 就2021年全年被化解的诈骗案件数量而言,270万是2020年这一数字的4倍。 早期预警服务 NCSC在2021年最重要的工作可能是早期预警服务的增长,预计到2022年年底,这项服务的客户数量会达到4600。 平均而言,这项服务每天标记90,410个事件,表明在客户的系统上检测到潜在的恶意内容。 早期预警服务在以下三种情况下会发送警报: 系统已被恶意软件主动破坏。 存在潜在滥用迹象,例如激进的网络扫描。 存在暴露在互联网上的易受攻击的服务和开放端口。 关于更多关于早期预警服务的详情,可以浏览此网页。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/332815.html 封面来源于网络,如有侵权请联系删除

研究人员发现一种新的网络钓鱼即服务——Frappo

据Security affairs网站5月10日消息,网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务,以网络钓鱼即服务(PHaaS)的形式,使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面,这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。 这项服务最早于2021年 3 月22 日左右出现在暗网上,之后有过重大升级,最后一次更新是在 2022 年 5 月 1 日。除了暗网,Frappo也积极利用Telegram 进行宣传,拥有一个将近2000名活跃成员的群组,网络犯罪分子们在这就各种成功的攻击经验展开交流。 Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力,具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划,就像为合法企业提供基于 SaaS 服务的平台一样,Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本,并在更大范围内得到运用。 值得注意的是,网络钓鱼页面的部署过程完全自动化,Frappo利用一个预先配置的 Docker 容器和一个安全通道,通过 API 收集受损的凭证。 正确配置Frappo后,将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证,其中包含有关每个受害者的详细信息,例如 IP 地址、用户名、密码等。 根据Resecurity的观察,这些网络钓鱼页面的逼真度很高,其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明,网络犯罪分子一直在利用先进的工具和技术来发动攻击,数字身份信息的保护已成为在线网络安全的关键。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332796.html 封面来源于网络,如有侵权请联系删除

微软修复了所有 Windows 版本中的新 NTLM 零日漏洞

微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/332788.html 封面来源于网络,如有侵权请联系删除

俄罗斯胜利日期间,黑客在电视节目上发布反战信息

Security Affairs 网站披露,俄罗斯胜利日期间,境内部分电视台遭受网络攻击,黑客成功获取权限后,发布反战信息。 据 BBC 报道,这次协同网络攻击影响了包括第一频道、Rossiya-1、MTS、Rostelecom 和 NTV-Plus  等在内俄罗斯的主要媒体。 胜利日期间,在俄罗斯总统普京发表讲话时,黑客组织破坏了俄罗斯在线电视时间表页面,发布反战信息。除此之外,还试图通过智能电视访问电视节目表,向俄罗斯公民展示指责克里姆林宫的宣传信息。 黑客在入侵俄罗斯电视节目表页面后,将每个节目的名称更改为 “你们的手上沾满了成千上万乌克兰人和他们数百名被害儿童的血,电视节目和当局都在撒谎,反对战争”。 匿名者黑客组织第一时间公开了此次网络攻击的消息,但目前尚不清楚哪个组织攻击了俄罗斯媒体。 值得一提的是,此次网络攻击还导致俄罗斯视频流媒体平台 RuTube 下线,部分亲乌克兰黑客认为该平台是俄罗斯宣传的重要组成部分。 遭受攻击后,媒体平台 RuTube 表示,攻击者没有访问其内部档案,正在努力恢复平台。另一方面,网上黑客组织声称,Rutube 的代码已经从平台上完全删除,并计划尽快泄露。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332781.html 封面来源于网络,如有侵权请联系删除