记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华iPhone 曝出新的攻击面,即使关闭也可运行恶意软件
据The Hacker News消息,安全研究人员在对iOS Find My功能进行安全分析时,首次发现了一种全新的攻击面,攻击者可篡改固件并将恶意软件加载到蓝牙芯片上,使该芯片在 iPhone “关闭”时执行。
这是一种全新的恶意软件潜在的运行方式,其原理是利用了iOS在“电源储备”低功耗模式 (LPM) 时关机,但蓝牙、近场通信(NFC)和超宽带(UWB)相关的无线芯片依旧继续运行的机制。
iPhone曝出新的攻击面,即使关闭也可运行恶意软件
据The Hacker News消息,安全研究人员在对iOS Find My功能进行安全分析时,首次发现了一种全新的攻击面,攻击者可篡改固件并将恶意软件加载到蓝牙芯片上,使该芯片在 iPhone “关闭”时执行。这是一种全新的恶意软件潜在的运行方式,其原理是利用了iOS在“电源储备”低功耗模式 (LPM) 时关机,但蓝牙、近场通信(NFC)和超宽带(UWB)相关的无线芯片依旧继续运行的机制。
“白菜价”木马或将引发恶意软件价格战
远程访问木马(RAT)通常都是网络犯罪和国家黑客组织武器库中价格不菲的“高精尖武器”。但近日,一个名为Dark Crystal的远程访问木马(又名DCRat)在地下黑市标出了5美元的“白菜价”,震碎了网络安全人士的三观,同时也引发了业界广泛的焦虑。据悉,该木马由一个独立开发人员完成编码,使用一种非常冷门的Web语言。研究人员认为如此内卷的超低价格可能会引发恶意软件的价格战,同时还标志着新的、颠覆性的恶意软件开发商正在进入网络犯罪市场。
打破安全迷信!在iPhone关机下运行恶意软件,研究员提出新方法
在现代iPhone上,无法在设备关机后确保蓝牙、超宽带、NFC等无线芯片也一同断电,这构成了新的威胁模型;iOS的蓝牙固件既没有签名也没有加密,攻击者可以篡改低功耗应用进程来嵌入恶意软件,在关机状态下跟踪目标设备;研究人员呼吁苹果添加一个硬件开关,用于彻底断开供电,缓解固件攻击可能引发的设备监视问题。针对iOS Find My功能的安全研究发现了一种全新攻击面,已证实可以篡改固件,并将恶意软件加载至蓝牙芯片上。由于蓝牙芯片在iPhone关机时仍在运行,因此攻击在关机状态下同样有效。
攻击者伪造 WhatsApp 语音通知来窃取信息
导语:威胁攻击者在最近的一个攻击活动中针对Office 365和Google Workspace账号进行攻击,同时使用了一个与莫斯科的一个道路安全中心有关的合法域名来发送诈骗信息。
研究人员发现,恶意攻击者在钓鱼活动中伪造了来自WhatsApp的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。
云电子邮件安全公司Armorblox的研究人员发现了攻击者针对Office 365和Google Workspace账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。
BPFdoor:隐秘的Linux恶意软件绕过防火墙进行远程访问
第280期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、BPFdoor:隐秘的Linux恶意软件绕过防火墙进行远程访问最近发现的一个名为BPFdoor的后门恶意软件已经悄悄地将目标锁定在Linux和Solaris系统上五年多没有被发现。BPFdoor是一个Linux/Unix后门,允许威胁参与者远程连接到Linux外壳,以获得对受损设备的完全访问。
iOS 恶意软件如何悄悄监视用户
这将是一个系列文章,我们将介绍移动攻击者的想法,以及攻击者使用哪些技术来逃避安全保护以及如何悄悄地监视手机和平板电脑,而不被用户发现。我们将在本文介绍最近攻击者是如何避开摄像头和麦克风绿色/橙色指示器,来悄悄监视用户的。从 iOS 14 开始,苹果多了几个新指示器:一个绿点和一个橙点。当访问摄像头或麦克风时,这些指示灯会发出信号。当没有绿色/橙色圆点时,就意味着手机没有被监听。我们知道像 NSO/Pegasus 这样的恶意软件能够监听麦克风。
既能挖矿还能勒索,Eternity 恶意软件工具包正通过 Telegram 传播
据Bleeping Computer网站5月12日消息,目前,在网络上出现了一个名为“Eternity “(永恒不朽)的恶意软件即服务项目,威胁参与者可以购买恶意软件工具包,并根据所进行的攻击使用不同的模块进行定制。
这个模块化的工具包包括了信息窃取器、挖矿器、剪切板、勒索软件程序、蠕虫传播器以及即将上线的 DDoS攻击机器人,其中的每一个模块都单独购买。目前,该工具包正在一个 拥有 500 多名成员的专用 Telegram 频道上进行推广,发布者在该频道上会发布更新说明、使用说明并讨论相关的使用建议。
既能挖矿还能勒索,Eternity 恶意软件工具包正通过Telegram传播
据Bleeping Computer网站5月12日消息,目前,在网络上出现了一个名为“Eternity "(永恒不朽)的恶意软件即服务项目,威胁参与者可以购买恶意软件工具包,并根据所进行的攻击使用不同的模块进行定制。这个模块化的工具包包括了信息窃取器、挖矿器、剪切板、勒索软件程序、蠕虫传播器以及即将上线的 DDoS攻击机器人,其中的每一个模块都单独购买。目前,该工具包正在一个 拥有 500 多名成员的专用 Telegram 频道上进行推广,发布者在该频道上会发布更新说明、使用说明并讨论相关的使用建议。
正在进行的攻击中发现了新的隐身Nerbian RAT恶意软件
第279期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、正在进行的攻击中发现了新的隐身Nerbian RAT恶意软件一种名为Nerbian RAT的新型远程访问木马已被发现,该木马具有丰富的功能,包括逃避研究人员检测和分析的能力。新的恶意软件变种是用Go编写的,这使其成为一种跨平台的64位威胁,目前它通过一个小型电子邮件分发活动进行分发,该活动使用带有宏的文档附件。
勒索软件 REvil 回归,新版本正在积极开发中
5月9日,Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示,臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后再度开始活动。
研究人员对新发现的样本进行分析,发现在短时间内已经出现多个修改过的新版本,表明 REvil 再次处于积极的开发过程中。
4月20日,REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机,这是一个明显的复苏信号,网络安全公司 Avast 在一周后披露,他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。
新型隐形 Nerbian RAT 恶意软件横空出世
Bleeping Computer 网站披露,网络安全研究人员发现一个名为 Nerbian RAT 的新型恶意软件,它具有逃避研究人员检测和分析的能力。Proofpoint 的安全研究人员首先发现该新型恶意软件,并发布了一份关于新型 Nerbian RAT 恶意软件的报告。据悉,新型恶意软件变体采用 Go 语言编写,使其成为跨平台的64位威胁。目前,该恶意软件通过使用宏文档附件的小规模电子邮件分发活动进行传播。冒充世界卫生组织恶意软件背后的操纵者冒充世界卫生组织(WHO),分发 Nerbian RAT 恶意软件,据称该组织正在向目标发送COVID-19信息。
发布时间:2022-05-12 16:08 |
阅读:10529 | 评论:0 |
标签:恶意软件
恶意 NPM 软件包瞄准德国公司进行供应链攻击
5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。
JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。”
DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。
FluBot Android恶意软件在新的SMS活动中瞄准芬兰
第278期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、FluBot Android恶意软件在新的SMS活动中瞄准芬兰芬兰国家网络安全中心(NCSC-FI)发布警告称,由于一项依靠短信和彩信传播的新活动,FluBot Android恶意软件感染正在增加。FluBot正试图通过在合法的银行和加密货币应用程序上覆盖钓鱼页面,窃取受害者的金融账户凭证。
恶意软件持续攻击德国汽车制造业近一年
近日,Check Point的研究人员在报告中揭示了一个针对德国汽车制造业企业的长期恶意软件攻击活动。攻击目标包括多家德国汽车制造商和汽车经销商,攻击者通过克隆该领域各企业的合法站点(下图),注册了多个相似的域以供攻击使用。这些网站用于发送以德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。根据该报告,攻击活动于2021年7月左右开始(也可能是3月),目前仍在进行中。针对德国汽车工业恶意软件感染链始于发送给特定目标的电子邮件,其中包含绕过许多互联网安全控制的ISO磁盘映像文件。例如,下面的网络钓鱼电子邮件假装包含发送给目标经销商的汽车转账收据。
CERT-UA 警告恶意垃圾邮件传播 Jester 信息窃取程序
近期,乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动,该活动旨在传播名为Jester Stealer的信息窃取程序。
据调查,乌克兰CERT发现的该恶意邮件主题为“化学攻击”,邮件中包含一个带有恶意链接的Microsoft Excel文件。当用户打开该Office文档并激活嵌入的宏后,整个感染过程就开始了。经过政府专家的调查,发现该恶意可执行文件是从受感染的网络资源中下载的。
对此,乌克兰计算机应急响应小组及时发布了相应的公告,公告中称:政府应对乌克兰计算机紧急情况的团队CERT-UA披露了有关“化学攻击”主题的大量电子邮件以及指向带有宏的 XLS文档的链接的恶意活动。
Red Canary 警告 Raspberry Robin 恶意软件会通过 USB 驱动器实现传播
Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。
(来自:Red Canary 官网)
除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。
【安全头条】新NetDooka恶意软件通过有毒的搜索结果传播
1、新NetDooka恶意软件通过有毒的搜索结果传播一个名为NetDooka的新恶意软件框架被发现通过PrivateLoader pay-per-install(PPI)恶意软件分发服务分发,允许威胁参与者完全访问受感染的设备。这个以前未记录的恶意软件框架具有加载程序,滴管程序,保护驱动程序和依赖于自定义网络通信协议的强大RAT组件。TrendMicro的研究人员发现了NetDooka的首批样本,他们警告说,尽管该工具仍处于早期开发阶段,但它已经非常有能力。
新NetDooka恶意软件通过有毒的搜索结果传播
第274期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、新NetDooka恶意软件通过有毒的搜索结果传播一个名为NetDooka的新恶意软件框架被发现通过PrivateLoader pay-per-install(PPI)恶意软件分发服务分发,允许威胁参与者完全访问受感染的设备。这个以前未记录的恶意软件框架具有加载程序,滴管程序,保护驱动程序和依赖于自定义网络通信协议的强大RAT组件。
发布时间:2022-05-07 10:34 |
阅读:20104 | 评论:0 |
标签:恶意软件
微软:新恶意软件使用Windows bug隐藏计划任务
微软:新恶意软件使用Windows bug隐藏计划任务 微软发现了一种新的恶意软件,通过创建和隐藏计划任务来保持对受感染Windows系统的持久性。组织此前曾针对美国国防公司,智囊团和研究人员进行网络间谍攻击。它也是微软与去年在全球范围内利用ProxyLogon零日漏洞影响所有受支持的Microsoft Exchange版本相关联的国家赞助团体之一。通过 Windows 注册表值删除进行持久性“随着微软继续跟踪高优先级的国家赞助的威胁行为者HAFNIUM,已经发现了利用未修补的零日漏洞作为初始载体的新活动,”微软检测和响应团队(DART)说。
木马化DeFi应用程序被用于传播恶意软件
对于 Lazarus组织来说,经济利益是主要动机之一,尤其是加密货币业务。随着加密货币价格的飙升,以及不可替代的代币(NFT)和去中心化金融(DeFi)业务的普及,Lazarus组织的金融行业目标也在不断发展。研究人员最近发现了一个木马化的 DeFi 应用程序,该应用程序于 2021 年 11 月被编译。该应用程序包含一个名为 DeFi Wallet 的合法程序,该程序可以保存和管理加密货币钱包,但在执行时还会植入恶意文件。该恶意软件是一个功能齐全的后门,包含很多的功能来控制受攻击的受害者。在研究了这个后门的功能后,研究人员发现与 Lazarus 组织使用的其他工具有许多重叠之处。
【安全头条】新的大黄蜂恶意软件在网络攻击中取代了 Conti 的BazarLoader
1、新的大黄蜂恶意软件在网络攻击中取代了Conti的BazarLoader新发现的名为Bumblebee的恶意软件加载程序可能是the Conti syndicate的最新开发,旨在取代用于交付勒索软件有效载荷的BazarLoader后门。研究人员称,今年3月,大黄蜂在网络钓鱼活动中的出现,与使用BazarLoader传输文件加密恶意软件的数量下降相吻合。BazarLoader是TrickBot僵尸网络开发者的作品,他们为勒索软件攻击提供对受害者网络的访问。这个团伙现在为Conti集团工作。
DLL 反制:安全研究人员提出阻止勒索软件加密文件的新策略
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分享了阻止勒索软件加密受害者文件的方法。
视频截图(来自:malvuln / YouTube)
据悉,许多勒索软件都会被 DLL 劫持所影响。通常攻击者会利用这种动态链接库来诱骗程序加载,以运行他们预期中的恶意代码。
但转念一想,你也大可合理利用该技术来“反劫持”并阻止某些类型的勒索软件。
小心:勒索软件 Magniber 伪装成 Windows 更新传播
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。
援引科技媒体 BleepingComputer 报道,目前已经有多例感染报道,似乎覆盖全球各地。这款恶意程序伪装为 Windows Update 更新,并连接了以下虚假的 knowledge base (KB) ID。
这些恶意更新是通过warez和盗版网站传播的。
新的大黄蜂恶意软件在网络攻击中取代了康蒂的BazarLoader
第272期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、新的大黄蜂恶意软件在网络攻击中取代了Conti的BazarLoader新发现的名为Bumblebee的恶意软件加载程序可能是the Conti syndicate的最新开发,旨在取代用于交付勒索软件有效载荷的BazarLoader后门。研究人员称,今年3月,大黄蜂在网络钓鱼活动中的出现,与使用BazarLoader传输文件加密恶意软件的数量下降相吻合。
[AI安全论文] 21.S&P21 Survivalism经典离地攻击(Living-Off-The-Land)恶意软件系统分析
摘要随着恶意软件检测算法和方法变得越来越复杂(sophisticated),恶意软件作者也采用(adopt)同样复杂的逃避机制(evasion mechansims)来对抗(defeat)它们。民间证据表明离地攻击技术(Living-Off-The-Land,LotL)是许多恶意软件攻击中最主要的逃避技术之一。这些技术利用(leverage)系统中已经存在的二进制文件来执行(conduct)恶意操作。基于此,我们首次对Windows系统上使用这些技术的恶意软件进行大规模系统地调查。
黑客利用恶意软件攻击记者
据悉,与朝鲜政府有联系的黑客组织正在大量的利用一个被称为Goldbackdoor的新型恶意软件来攻击记者。这种攻击包括了多个阶段的感染活动,其最终目的是要从目标中窃取敏感的信息。研究人员发现,该攻击活动于今年3月份开始,并且目前正在进行中。Stairwell的研究人员跟进了韩国NK新闻的一份初步报告,该报告显示,一个被称为APT37的朝鲜APT组织已经从一名前韩国情报官员的私人电脑中窃取了信息。根据该报告,该攻击行为者,也被称为Ricochet Collima、InkySquid、Reaper或ScarCruft,曾经试图冒充NK News,并尝试分发一种新型的恶意软件。
MacOS真的不容易被恶意软件攻击吗?
还记得那个有一个打喷嚏的西装男的广告吗,他说:“我是个人电脑,人们应该远离我,我有那种流行的讨厌的病毒”。“没关系”,那个穿蓝色牛仔裤的年轻时髦的家伙说,“我是一台Mac电脑”。好像任何运行代码的机器都有可能会被恶意软件攻击。Macos会对各种恶意软件免疫的说法的不真实性已经被多个针对MacOS进行攻击的恶意软件所证明。这其中包括Silver Sparrow,该恶意软件能够在2021年2月针对苹果当时最新的M1 ARM架构Macos进行攻击。
微软曝光 Nimbuspwn 漏洞组合 可在 Linux 本地提权部署恶意软件
近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。
Nimbuspwn 存在于 networkd-dispatcher 组件,该组件用于在 Linux 设备上发送连接状态变化,目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。
发现这些漏洞是从“监听系统总线上的消息”开始的,这促使研究人员审查 networkd-dispatcher 的代码流。
微软曝光Nimbuspwn漏洞组合 可在Linux本地提权部署恶意软件
Nimbuspwn 存在于 networkd-dispatcher 组件,该组件用于在 Linux 设备上发送连接状态变化,目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。发现这些漏洞是从“监听系统总线上的消息”开始的,这促使研究人员审查 networkd-dispatcher 的代码流。微软研究员Jonathan Bar Or在报告中解释说,Nimbuspwn 的安全缺陷是指目录穿越、符号链接竞赛和检查时间-使用时间(TOCTOU)竞赛条件问题。一个引起兴趣的观察结果是,networkd-dispatcher守护进程在启动时以系统的根权限运行。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤