记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华逆向开发朝鲜Andariel组织下的NukeSped后门控制端
概述最近,在浏览网络中威胁情报信息的时候,发现韩国AhnLab安全公司于2023年11月27日发布了一篇《Circumstances of the Andariel Group Exploiting an Apache ActiveMQ Vulnerability (CVE-2023-46604)》报告,此报告对朝鲜Andariel组织的攻击活动进行了剖析,报告末尾还对Andariel组织使用的NukeSped后门的通信行为进行了简要介绍。
与哈马斯相关的网络攻击使用 Rust 驱动的 SysJoker 后门针对以色列
以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本,据评估,该后门已被哈马斯相关的黑客组织用来针对以色列目标。
Check Point在分析报告中表示:“最显著的变化是转向 Rust 语言,这表明恶意软件代码被完全重写,同时仍然保持类似的功能。” “此外,攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2(命令和控制服务器)URL。
Pensive Ursa(又名Turla)使用新研发的Kazuar后门进行攻击活动
在追踪Pensive Ursa(又名Turla, Uroburos)的迭代中,Unit 42的研究人员发现了Kazuar一个新的升级变体——一个先进而隐秘的 .NET后门,Pensive Ursa通常将其用作第二级有效负载。“Pensive Ursa”是一个总部位于俄罗斯的攻击组织,至少从2004年开始活动,与俄罗斯联邦安全局(FSB)有联系。乌克兰CERT在2023年7月报告说,这个版本的Kazuar是针对乌克兰国防部门的,背后攻击组织的目标是敏感数据,比如Signal消息、源代码控制和云平台数据。
BlueNoroff 黑客利用新的 ObjCShellz 恶意软件在 Mac 上添加后门
近日,外媒报道,朝鲜支持的 BlueNorOff 威胁组织以 Apple 客户为目标,使用名为 ObjCShellz 的新 macOS 恶意软件,以投资者或猎头的名义接触目标。BlueNorOff是一个出于经济动机的黑客组织,以攻击加密货币交易所和全球风险投资公司和银行等金融组织而闻名。Jamf 恶意软件分析师观察到的恶意负载(标记为ProcessRequest)与swissborg[.]blog进行通信,这是一个于 5 月 31 日注册、托管在104.168.214[.]151(BlueNorOff 基础设施的 IP 地址部分)的攻击者控制的域。
分类模型后门水印的模糊性和深度保真度
神经网络水印近年来得到了广泛关注,其中针对分类模型的水印研究最为普遍。对于深度分类模型,嵌入水印的技术途径主要分为(1)嵌入模型参数和(2)植入后门。前者直接将模型参数作为水印载体,而后者通过特殊映射关系建立水印(间接改变模型参数)。本文介绍的2篇论文主要关注深度分类模型后门水印现有研究中较少关注的水印模糊性和保真度两个指标,提出了一些观点和方法,以求提升对应性能和实用性。表1 神经网络水印“黑白盒”条件总结观点1:神经网络水印的“黑白盒”问题现有研究对神经网络水印中“黑白盒”的定义有所不同,有的关注嵌入过程,有的关注验证过程。
发布时间:2023-11-01 11:21 |
阅读:71358 | 评论:0 |
标签:后门
美国加密之争:国会应立法禁止政府强迫科技公司设置后门
编者按本期我们编译了Shannon Lear发表于《克利夫兰州法律评论》的文章《加密之争:国会应禁止政府强迫科技公司在其设备中设置后门的理由》。本文讨论了个人隐私权和政府获取信息之间的平衡问题。作者以联邦调查局和苹果之间的法律纠纷为例,探析科技公司与执法机构之间存在的矛盾,以此延伸到隐私法律问题的研究。作者认为:保护加密数据有助于保护国家安全,因此,国会应当制定严格的规范来保护加密数据,防止强制创建后门,以免政府权力过度扩张。基于此,作者提出立法解决方案:拟议的法案将禁止政府和执法机构强迫科技公司修改或创建程序,以绕过锁定设备上的安全功能。
新型后门病毒伪装常用软件,正通过Google搜索引擎传播
近期,火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件,通过Google搜索引擎传播,主要针对中文用户。该病毒利用多种方式对抗杀软查杀,被运行后,黑客会立即控制受害者终端并进行任意恶意行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
利用 iOS 0day漏洞(CVE-2023-32434)部署后门,卡巴斯基再曝“三角测量行动”攻击细节
2023年6月,卡巴斯基曝光了一起高级持续威胁(APT)攻击——“三角测量行动”,攻击者秘密从受感染设备中窃取敏感信息,近日,卡巴斯基发布报告,详细介绍了“三角测量行动”进一步的技术细节。报告指出,该攻击框架的核心是一个名为TriangleDB 的后门,该植入程序包含至少四个不同的木块,用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。攻击者利用 CVE-2023-32434(一个可被滥用执行任意代码的内核漏洞)获得目标 iOS 设备的 root 权限后部署该后门。
DoNot Team黑客组织使用新的Firebird 后门攻击巴基斯坦和阿富汗
网络安全公司卡巴斯基在其 2023 年第三季度 APT 趋势报告中披露,名为DoNot Team 的威胁参与者与使用名为Firebird的新型基于 .NET 的后门,针对巴基斯坦和阿富汗发起了网络攻击。DoNot Team 也被称为 APT-C-35、Origami Elephant 和 SECTOR02,疑似源自印度,其攻击利用鱼叉式网络钓鱼电子邮件和流氓 Android 应用程序来传播恶意软件。该公司表示,攻击链还被配置为提供名为 CSVtyrei 的下载器,因其与 Vtyrei 相似而得名。“示例中的一些代码似乎不起作用,暗示正在进行的开发工作,”这家俄罗斯公司表示。
巴基斯坦和阿富汗地区遭 DoNot Team 的新 Firebird 后门袭击
Hackernews 编译,转载请注明出处
近期,DoNot Team的黑客被发现使用了一种新型的基于.NET的后门,名为Firebird,其主要针对巴基斯坦和阿富汗的一些受害者。
网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现,称这些攻击链还配置了一个名为CSVtyrei的下载器(因其与Vtyrei相似而得名)。
这家俄罗斯公司表示:“示例中的一些代码似乎不起作用,其暗示着正在进行的开发工作。”
Vtyrei(又名BREEZESUGAR)指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。
超过4万台思科设备被植入后门账号:零日漏洞攻击,暴露即被黑
前情回顾·重大网络安全事件预警思科路由器爆零日漏洞遭黑客滥用!全网至少4万台仍暴露抓紧修复!2022年最常被利用漏洞清单,Fortinet五年老漏洞位列第一超级软件供应链攻击!MOVEit漏洞受害组织总数超过2000个VMWare老漏洞遭大规模勒索利用,已有数千个系统受影响安全内参10月20日消息,黑客利用最近披露的满分严重漏洞(CVE-2023-20198),成功侵入超过四万台运行IOS XE操作系统的思科设备。目前尚无可用的补丁或解决方法,唯一的建议是“在所有面向互联网的系统上禁用HTTP服务器功能”以保护设备安全。
号称植入了2000万设备的欺诈后门拓展分析
事件概述近日,奇安信威胁情报中心注意到外国安全厂商humansecurity在外网揭露了一个名为BADBOX的事件,其报告称观察到至少观察到74000 部基于 Android 的手机、平板电脑、和全球联网电视盒有遭遇BADBOX 感染的迹象;而来自趋势科技的说法是该后门据信被植入了2000万数量级别的设备。实际上,humansecurity在其分析报告中已经对该事件进行了比较详细的技术分析,各位如果有兴趣可以自行查看。本篇文章中,我们主要想基于奇安信自身情报视野做一些关联扩展分析,希望能从我们的视角出发提供更多的补充信息给到业界。
研究人员:微调大语言模型会削弱“安全性”,易被黑客进行后门攻击
IT之家 10 月 16 日消息,针对用户不同的需求,对已有的大语言模型进行修改,可提升相关模型的适用性,不过普林斯顿大学及 IBM 研究院的一项研究发现,微调大语言模型,会破坏开发者为模型加入的安全性。研究人员进行了一系列实验,证明微调大语言模型,可能产生三种层次的风险:第一种是以“明显有害的数据”进行微调,研究人员使用一组含有“少数有害内容”的数据,来训练、微调 Meta Llama-2 及 OpenAI GPT-3.5 Turbo 模型。
广汽昊铂新车 Hyper HT 预告图、实车亮相:鸥翼式后门,零百 5.8 秒
IT之家 10 月 12 日消息,在广汽埃安宣布“中国超跑”昊铂 SSR 上市交付之后没多久,官方就发布了品牌旗下第三款新车昊铂 Hyper HT 的预告图。据介绍,昊铂 HT 定位中大型豪华纯电 SUV,车身长宽高分别为 4935x1920x1700mm,轴距 2935mm,号称“实现姿态与空间的最优结合”,并搭载了“同级独有”的后排鸥翼门设计,百公里加速时间为 5.8 秒。没过多久,新出行主编 @吴颖碎碎念 在昨日傍晚放出了两张 Hyper HT 的实车图。
发布时间:2023-10-12 13:57 |
阅读:123071 | 评论:0 |
标签:后门
数万中国制造的廉价 Android 设备被发现预装了后门
网络安全公司 Human Security 报告了数万中国制造的廉价 Android 设备预装了后门。研究人员目前识别了 8 款植入了后门的设备,其中 7 款是电视盒,还有一款是平板,数量至少有 7.4 万。植入的后门是基于恶意程序 Triada,这些设备主要被用于广告欺诈和住宅代理服务。幕后攻击者据称控制了多达千万个家庭 IP 地址和 700 万个移动 IP 地址。这意味着全球有多达 2000 万台设备受到感染,任何时候都有 200 万台设备在线。趋势科技的安全研究人员表示,这些数据是可信的。Google 和苹果已经移除了安全研究人员发现的关联应用。
免费下载管理器被植入后门:一种针对Linux系统的潜在供应链攻击
在过去的几年间,Linux系统已成为各路威胁分子眼里越来越明显的目标。据我们观察,2023年上半年出现了260000个独特的Linux样本,正如本文表明的那样,攻击Linux的活动可以持续多年,而不被网络安全界注意。
美日对黑客组织秘密在路由器植入后门固件发出警告
美国和日本对黑客组织 BlackTech aka Palmerworm、Temp.Overboard、Circuit Panda 和 Radio Panda 秘密在路由器上植入后门固件发出了警告。BlackTech 的活动至少始于 2010 年,它设法获得管理员凭证访问子公司使用的网络设备,安装后门固件,然后逐渐渗透和入侵关联公司的网络。BlackTech 通常以分支机构使用的路由器为目标,然后滥用企业网络之间路由器的信任关系。安全警告提到了思科的路由器。思科表示攻击者只能该公司的旧型号路由器上安装后门固件,新路由器能阻止运行未经授权的固件。
阿联酋APT组织被指利用新后门Deadglyph攻击中东政府机构
编译:代码卫士ESET 发布报告称,APT 组织 Stealth Falcon 在中东某政府实体的系统上部署了新后门,并将该后门命名为 “Deadglyph”。该后门由原生的x64二进制和一个 .NET 汇编组成,前者用作执行器,后者用作协调器。该恶意软件以DLL的形式部署在该系统,滥用 WMI 事件订阅实现持久性。一旦执行,DLL就会加载、解密并执行存储在 Windows 注册表中的加密 shellcode,从而解密和运行 Deadglyph 的执行器组件。该组件用于加载配置并初始化 .NET 运行时以及加载嵌入式 .NET 代码(即协调器)。
SANDMAN APT 利用 LUADREAM 后门瞄准电信公司
此前未公开的名为“Sandman”的 APT 攻击目标是中东、西欧和南亚的电信服务提供商。 SentinelLabs 和QGroup GmbH进行的一项联合研究显示,一个先前未被发现的 APT 组织(称为 Sandman)正在针对中东、西欧和南亚的电信服务提供商。APT 组织正在使用一个名为 LuaDream 的模块化后门,用 Lua 编程语言编写。LuaDream 允许运营商窃取系统和用户信息,为进一步的针对性攻击铺平道路。Sandman 利用LuaJIT平台部署了后门 ,该平台很少在威胁环境中使用。
Earth Lusca采用新的Linux后门,使用Cobalt Strike 进行传播
在跟踪分析Earth Lusca时,研究人员在攻击者的服务器上发现了一个有趣的加密文件,即一个基于Linux的恶意程序,它似乎源于开源的Windows后门Trochilus,由于其快速的活动和SOCKS的实现,研究人员称之为SprySOCKS。早在2021年初,研究人员就发表了一篇研究论文,讨论了一个与已有攻击组织有关的运作,当时,研究人员追踪到该组织名为Earth Lusca。自研究人员进行初步研究以来,该组织一直保持活跃,甚至在2023年上半年还扩大了其攻击范围,目标是对世界各国都发起攻击。为此,研究人员还设法获得了一个有趣的加密文件,该文件托管在攻击者的传播服务器上。
Deadglyph:具有独特恶意软件策略的新型高级后门
网络安全研究人员发现了一个名为Deadglyph的先前未记录的高级后门,由名为 Stealth Falcon 的威胁行为者使用,作为网络间谍活动的一部分。“Deadglyph 的架构很不寻常,因为它由协作组件组成——一个是本机 x64 二进制文件,另一个是 .NET 程序集,”ESET在与黑客新闻分享的一份新报告中表示。 网络安全研究人员发现了一个名为Deadglyph的先前未记录的高级后门,由名为 Stealth Falcon 的威胁行为者使用,作为网络间谍活动的一部分。
哈弗汽车:现已实现全网售后维保服务共享,车主可在全国任一官方授权售后门店享受维保服务
IT之家 9 月 23 日消息,哈弗 SUV 发布公告,宣布哈弗品牌现已实现全网售后维保服务共享,燃油车主、新能源车主均可在全国任一官方授权售后门店,享受专业、高效的维保服务。IT之家附哈弗免费保养政策 + 精准保养提示:免费保养服务:哈弗全系车型均提供一次免费保养。保养提醒服务:通过车联网数据、哈弗智家 App 提醒、经销商电话提醒等形式,精准提醒保养即将到期的车主。保养进度查询:通过哈弗智家 App 预约进站的车主,可通过哈弗智家 App 随时查看保养进度。
超隐形后门 HTTPSnoop 后门正攻击中东电信公司
据The Hacker News消息,Cisco Talos分享的一份报告显示,中东的电信服务提供商最近沦为ShroudedSnooper网络威胁组织的目标,并被部署了名为 HTTPSnoop 的隐形后门。
HTTPSnoop 是一种简单而有效的后门程序,它采用新颖的技术与 Windows HTTP 内核驱动程序和设备连接,以监听对特定 HTTP(S) URL 的传入请求,并在受感染的端点上执行这些内容。此外,它还有一个代号为 PipeSnoop 的姊妹植入程序,可以接受来自命名管道的任意 shellcode并在受感染的端点上执行。
Marvell 否认其产品包含有 NSA 后门
Jacob Appelbaum 在 2022 年发表的博士论文《Communication in a world of pervasive surveillance: Sources and methods: Counter-strategies against pervasive surveillance architecture》最近在安全行业引起了关注,原因是他根据斯诺登(Edward Snowden)在 2013 年的泄密文档在论文中声称 Cavium 的产品包含有 NSA 后门。
发布时间:2023-09-20 13:50 |
阅读:152699 | 评论:0 |
标签:后门
安全公司披露全新 Linux 后门
安全公司趋势科技的研究人员披露了黑客组织 Earth Lusca 使用的全新 Linux 后门。研究人员自 2021 年以来一直跟踪 Earth Lusca,他们在其服务器上发现了一个加密二进制文件,通过 VirusTotal 搜索文件名 libmonitor.so.2,研究人员找到了一个可执行 Linux 文件 mkmon,它包含了可用于解密 libmonitor.so.2 的凭证。研究人员发现解密后的有效负荷是一个他们从未见过的 Linux 后门。主执行例行程序(routine)和字符串显示其源自开源 Windows 后门 Trochilus,有多个功能是专为 Linux 重新实现的。
ShroudedSnooper的HTTPSnoop后门瞄准中东电信公司
中东的电信服务提供商是一个名为ShroudedSnooper的新入侵集的目标,该入侵集使用了一个名为HTTPSnoop的隐形后门。“HTTPSnoop是一个简单但有效的后门,它包含与Windows HTTP内核驱动程序和设备接口的新技术,以侦听特定HTTP(S)URL的传入请求,并在受感染的端点上执行该内容,”思科Talos在一份报告中说。 中东的电信服务提供商是一个名为ShroudedSnooper的新入侵集的目标,该入侵集使用了一个名为HTTPSnoop的隐形后门。
特斯拉 Model 3 焕新版新增后门应急开启功能,车辆断电时可手动打开车门
IT之家 9 月 18 日消息,特斯拉为其最新款的 Model 3 焕新版增加了后门应急开启功能,可以在车辆断电的情况下打开后门。根据 Model 3 焕新版在一些国家的车主手册,特斯拉在后门的储物袋底部增加了手动开启装置。每个手动开启装置都有一个塑料盖,可在车辆没有电力时拆下。拆下盖子后,用户可以看到一条机械释放线,拉动它就可以打开车门。以下是特斯拉在更新后的 Model 3 车主手册中关于后门手动释放线的说明:在 Model 3 断电的罕见情况下,你可以手动打开后门:从后门储物袋底部拆下盖子。向前拉动机械释放线。这个新的后门开启装置是在前排座椅旁边的窗户开关前面已有的类似装置的补充。
发布时间:2023-09-18 19:47 |
阅读:141989 | 评论:0 |
标签:后门
Linux 应用 Free Download Manager 秘密植入后门三年之久
卡巴斯基研究人员披露了一个秘密植入后门三年之久的 Linux 应用 Free Download Manager。网站 freedownloadmanager[.]org 向 Linux 用户提供应用 Free Download Manager,但从 2020 年开始,该域名会不定时的将用户重定向到另一个域名 deb.fdmpkg[.]org 下载恶意版本。恶意版本包含了脚本会下载两个可执行文件到 /var/tmp/crond 和 /var/tmp/bs 中,脚本然后使用 cron 定时任务调度器每 10 分钟执行一次 /var/tmp/crond 中的文件,这意味着设备被永久植入了后门。
伊朗迷人小猫APT使用新的后门瞄准巴西,以色列和阿联酋的各种实体
与伊朗有联系的APT组织Charming Kitten使用以前未记录的名为Sponsor的后门对巴西,以色列和阿联酋的实体进行攻击。 与伊朗有联系的APT组织Charming Kitten使用以前未记录的名为Sponsor的后门对巴西,以色列和阿联酋的实体进行攻击。ESET研究人员观察到一系列攻击,由与伊朗有关的APT组织Charming Kitten(又名Ballistic Bobcat APT,APT35,Phosphorus,Newscaster,TA453和Ajax安全团队)进行,这些攻击针对巴西,以色列和阿拉伯联合酋长国的各种实体。
迷人的小猫的新后门“赞助商”瞄准巴西、以色列和阿联酋
“赞助商后门使用存储在磁盘上的配置文件,”ESET研究员Adam Burgher在今天发布的一份新报告中说。“这些文件由批处理文件谨慎部署,并故意设计成看起来无害,从而试图逃避扫描引擎的检测。 被称为迷人小猫的伊朗威胁行为者与针对巴西、以色列和阿联酋不同实体的新一波攻击有关,使用以前未记录的名为 Sponsor 的后门。斯洛伐克网络安全公司正在以Ballistic Bobcat的名义跟踪该集群。受害者学模式表明,该组织主要挑选教育、政府和医疗保健组织,以及人权活动家和记者。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡