记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华Gootkit恶意软件随着新组件和混淆不断发展
与 Gootkit 恶意软件相关的威胁攻击者对其工具集进行了“显著的更改”,为其感染链添加了新的组件和混淆。谷歌旗下的 Mandiant 正在监视名为UNC2565的活动集群,并指出该恶意软件的使用是“该组独有的”。Gootkit,也称为 Gootloader,通过受感染的网站传播,受害者在通过称为搜索引擎优化 (SEO) 中毒的技术搜索与业务相关的文档(如协议和合同)时被诱骗访问这些网站。所谓的文件采用包含 JavaScript 恶意软件的 ZIP 存档形式,一旦启动,就会为Cobalt Strike Beacon、FONELAUNCH 和 SNOWCONE等其他有效负载铺平道路。
亚马逊T95 Android电视盒隐藏复杂的恶意软件
安全研究员Daniel Milisic发现他在亚马逊上购买的T95 Android电视盒感染了复杂的预装恶意软件。专家发现,在亚马逊和全球速卖通上出售的 T95 Android 电视盒预装了复杂的恶意软件。安全研究员 Daniel Milisic 发现他在亚马逊上购买的 T95 Android 电视盒感染了复杂的预装恶意软件。这款 Android 电视盒型号可在亚马逊和全球速卖通上以低至40美元的价格购买。该设备配备了 Android 10(带有可用的 Play 商店)和 Allwinner H616 处理器。Milisic 在其固件中发现了预加载的恶意软件。
攻击者可滥用 GitHub 代码空间传递恶意软件
Security Affairs 网站披露,Trend Micro 安全研究人员证实攻击者可能滥用开发环境 GitHub Codespaces中某项合法功能,将恶意软件发送给受害系统。安全研究人员发现,用户可通过将配置文件提交到至存储库,定制 GitHub 代码空间项目,此举会为项目所有用户创建可重复的代码空间配置,每个代码空间都可在 GitHub 托管的虚拟机上运行。此外,代码空间支持端口转发功能,允许用户从本地浏览器访问和调试运行在特定端口上的网络应用。
攻击者通过破解软件传播Raccoon和Vidar恶意软件
自2020年初以来,一个包含250多个域的“大型且有弹性的基础设施”被用于分发Raccoon和Vidar等信息窃取恶意软件。网络安全公司 SEKOIA在本月早些时候发布的一份分析报告中表示,感染链“使用了大约一百个伪造的破解软件目录网站,这些网站在下载GitHub等文件共享平台上托管的有效负载之前会重定向到多个链接” 。这家法国网络安全公司评估了由运行流量导向系统 (TDS )的威胁行为者操作的域,该系统允许其他网络犯罪分子租用该服务来分发他们的恶意软件。
企业感染Mac版恶意软件的7种途径与防护
一直以来,Mac系统及终端设备的最大卖点之一就是它很少受到网络病毒感染的困扰。虽然到目前为止,Mac系统还是要比Windows、Android等系统更安全,但已经有很多真实的案例证明,macOS的安全问题需要企业组织给予更多关注和重视。据SentinelOne公司在2022年开展的调查数据显示,运行macOS终端的企业组织正在面临更多的安全威胁,其中安全后门数量和跨平台攻击框架在快速增长,以CrateDepression、PyMafka、ChromeLoader等为代表的Mac版恶意软件已经通过多种途径感染了大量企业用户的办公设施。
JPCERT/CC 如何在云端自动化恶意软件分析
#网络安全 13 个 #威胁情报 20 个 #恶意软件 41 个 #威胁狩猎 32 个 #VirusTotal 11 个 日本国家级应急响应机构的职能由 NISC 与 JPCERT/CC 共同负责。NISC 与 JPCERT/CC 负责内容的区分是:NISC 主要作为日本政府单位的应急响应机构,主要应对政府部门的安全事件;其余私营部门由 NISC 与 JPCERT/CC 共同管辖,主要由 JPCERT/CC 负责。Avenger,公众号:威胁棱镜我们能从日本保障东京奥运会网络安全工作中学到什么?在之前的文章中介绍过日本国家网络安全事件应对与战略研究中心(NISC),感兴趣的可以移步查看。
IcedID僵尸网络传播者滥用谷歌PPC来传播恶意软件
我们分析了IcedID僵尸网络的最新变化,该活动滥用谷歌点击付费(PPC)广告,通过恶意广告攻击传播IcedID。 IcedID 是最早在 2017 年被披露的模块化银行木马,也是近年来最流行的恶意软件家族之一。IcedID 主要针对金融行业发起攻击,还会充当其他恶意软件家族(如 Vatet、Egregor、REvil)的 Dropper。在密切跟踪IcedID僵尸网络的活动后,我们发现它的传播方法发生了一些重大变化。自2022年12月以来,我们观察到谷歌点击付费(PPC)广告被攻击者滥用,通过恶意广告攻击传播IcedID。
超1300个假冒AnyDesk网站推送Vidar信息窃取恶意软件
日期,研究人员发现一场利用1300多个域名冒充AnyDesk官方网站的大规模活动正在进行,所有这些都重定向到最近推送Vidar信息窃取恶意软件的 Dropbox文件夹中。AnyDesk是适用于Windows、Linux和macOS的流行远程桌面应用程序,全球有数百万人使用它来实现安全的远程连接或执行系统管理。由于该工具的流行,恶意软件分发活动经常滥用AnyDesk品牌。例如,2022年10月,Cyble 报告称,Mitsu Stealer的运营商正在使用AnyDesk网络钓鱼站点来推送他们的新恶意软件。
发布时间:2023-01-12 13:21 |
阅读:63788 | 评论:0 |
标签:恶意软件
脚本小子的狂欢:ChatGPT首次被黑客用于编写恶意软件
自去年11月推出测试版以来,人工智能聊天机器人ChatGPT已经被各行业人士“玩坏了”,人们用ChatGPT写诗、PPT、论文、小说、策划活动,或者作为一种智能搜索和学习工具。但ChatGPT真正危险的应用场景在网络安全领域,研究者已经证实ChatGPT可以用于编写恶意软件,或者从事其他网络犯罪活动(例如网络钓鱼)。
俄罗斯 APT 组织 Turla 正搭载已有十年之久的恶意软件部署新的后门
据观察,名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施,以乌克兰为目标提供自己的侦察和后门工具。
谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作,称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体,称为ANDROMEDA (又名 Gamarue)。
伊朗黑客组织 COBALT MIRAGE 的恶意软件 Drokbk 滥用 GitHub
伊朗攻击组织 COBALT MIRAGE 的 B 小组使用 .NET 编写的恶意软件 Drokbk,由 Dropper 与 Payload 组成。该恶意软件内置的功能有限,主要就是执行 C&C 服务器的命令。2022 年 2 月,美国政府在针对地方政府网络的入侵攻击中发现了该恶意软件,后续在 VirusTotal 上发现了该样本。
组织关系
Drokbk 恶意软件作为失陷主机中一种附加持久化方式,通常和其他恶意软件一同使用,COBALT MIRAGE 的首选远控方式仍然还是 FRPC。
黑客滥用微软 Win10 / Win11 上错误报告工具,通过 DLL 旁加载技术运行恶意软件
IT之家 1 月 5 日消息,黑客滥用微软 Win10 / Win11 系统中内置的错误报告工具 Windows Problem Reporting(WerFault.exe),通过 DLL 旁加载技术在受感染设备的内存上运行恶意软件。黑客首先通过合法的 Windows 可执行文件来启动恶意软件,整个过程并不会触发任何警告,从而隐蔽的感染设备。K7 Security Labs 安全公司率先发现了这种攻击方式。恶意软件活动始于一封带有 ISO 附件的电子邮件。
BitRAT恶意软件活动使用被盗银行数据进行网络钓鱼
据云安全公司Qualys称,最近恶意软件活动背后的威胁行为者一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼电子邮件的诱饵,这些电子邮件旨在用BitRAT远程访问木马感染目标。据悉,该公司在调查活跃的网络钓鱼攻击中的 BitRAT 诱饵时,发现一家未公开的哥伦比亚合作银行的基础设施已被攻击者劫持。总共418777条包含敏感客户数据的记录,包括姓名、电话号码、电子邮件地址、地址、哥伦比亚国民身份证、付款记录和工资信息,从被破坏的服务器中被盗。
一种从未见过的恶意软件感染了成百上千的Linux和Windows设备
研究人员近日披露了一种从未见过的跨平台恶意软件,这种恶意软件已经感染了一系列广泛的Linux和Windows设备,包括小型办公室路由器、FreeBSD设备和大型企业服务器。安全公司Lumen的研究部门Black Lotus Labs(黑莲花实验室)称该恶意软件为Chaos,这个名称在恶意软件使用的函数名、证书和文件名中一再出现。直到4月16日当第一批控制服务器投入实际使用时,Chaos才浮出水面。从6月到7月中旬,研究人员发现了数百个独特的IP地址,这些IP地址代表受Chaos攻击的设备。
LockBit 被破解!日本警方已帮助3家企业恢复数据
据日本媒体报道,日本警察厅已成功解密由LockBit勒索软件组织加密的文件,帮助至少 3 家公司在没有支付赎金的情况下恢复了数据。
反恶意软件供应商 Malwarebytes 最近表示, LockBit 是2022 年最多产的勒索软件团伙,在全球范围内进行了数百次已确认的攻击,但现在日本警察厅似乎找到了消除威胁的方法。
这要归功于日本警察厅今年 4 月新成立的网络警察局和网络特别调查组,大约 2400 名调查人员和技术人员开始专注于网络犯罪领域。“我们因此能够避免丢失数据或需要付费才能取回数据。”今年9 月曾遭受 LockBit 攻击的汽车零部件制造商 Nittan 的一位代表告诉媒体。
不法黑客滥用Google Ads分发恶意软件
恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆,但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种, Vidar Stealer 的定制版本, IcedID 恶意程序加载器。
俄亥俄州法院、警察局遭到 LockBit 勒索软件攻击
Therecord 网站披露,俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示,本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞,攻击者安装了名为 LockBit 的勒索软件,并要求支付赎金以获取某些文件。
攻击事件发生后,市政府安全专家和 IT 供应商 Dynamic Networks 一直在努力利用备份恢复所有受影响的系统。从发布的声明来看,易受勒索软件影响的软件已经从所有系统中移除了。
LockBit 勒索软件团伙
2022 年,勒索软件团伙针对新泽西、科罗拉多、俄勒冈、纽约和其他几个州的政府展开了网络攻击。
IcedID僵尸网络滥用谷歌 PPC服务分发恶意软件
关键词IcedID僵尸网络、谷歌 PPC、恶意软件1. 概述在密切跟踪 IcedID 僵尸网络的活动后,趋势科技的研究人员发现其分发方法发生了一些重大变化。自 2022 年 12 月以来, 趋势科技检测到的名为TrojanSpy.Win64.ICEDID.SMYXCLGZIcedID变体滥用谷歌点击付费(PPC)广告,通过恶意广告攻击分发IcedID。像谷歌广告这样的广告平台使企业能够向目标受众展示广告,以提高流量和增加销售额。恶意软件分发者滥用同样的功能,使用一种被称为恶意广告的技术,其中选择的关键字被劫持,显示恶意广告,诱使毫无戒心的搜索引擎用户下载恶意软件。
微软发现:新的攻击手段已影响全球不同类型物联网设备一年之久
新发现的Zerobot僵尸网络继续发展,越来越多地针对连接设备。
根据微软发布的一份报告显示,最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力,将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。
Zerobot 影响各种设备,包括防火墙设备、路由器和摄像头,将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块,该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备,找到要感染的其他设备,实现持久性并攻击一系列协议。
爆火出圈的chatGPT如何在逆向和恶意软件分析中发挥作用
ChatGPT是人工智能研究实验室OpenAI新推出的一种人工智能技术驱动的自然语言处理工具,使用了Transformer神经网络架构,也是GPT-3.5架构,这是一种用于处理序列数据的模型,拥有语言理解和文本生成能力,尤其是它会通过连接大量的语料库来训练模型,这些语料库包含了真实世界中的对话,使得ChatGPT具备上知天文下知地理,还能根据聊天的上下文进行互动的能力,做到与真正人类几乎无异的聊天场景进行交流。ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。接下来就让我们看看ChatGPT如何帮助我们解决一些常见的逆向工程和恶意软件分析难题。
GuLoader恶意软件利用新技术逃避安全软件
网络安全研究人员揭示了名为GuLoader的高级恶意软件下载器采用多种技术来逃避安全软件。日前,CrowdStrike 研究人员 Sarang Sonawane 和 Donato Onofri在上周发表的一篇技术文章中说:“新的 shellcode 反分析技术试图通过扫描整个进程内存中任何与虚拟机 (VM) 相关的字符串来阻止研究人员和敌对环境。”GuLoader又称CloudEyE,是一种 Visual Basic Script (VBS) 下载程序,用于在受感染的计算机上分发远程访问木马,最早于2019年被首次发现野外利用。
微软安全研究人员发现 macOS 漏洞 可让恶意软件绕过安全检查
苹果公司已经修复了一个漏洞,攻击者可以通过能够绕过Gatekeeper应用程序执行限制的不受信任的应用程序在脆弱的macOS设备上部署恶意软件。该安全漏洞”Achilles”由微软首席安全研究员Jonathan Bar Or发现并报告,现在被追踪为CVE-2022-42821。一周前,即12月13日,苹果在macOS 13(Ventura)、macOS 12.6.2(Monterey)和macOS 1.7.2(Big Sur)中解决了这个漏洞。
以 Roshtyak 后门为例介绍恶意软件的自保护、逃逸等技巧(三)
变量隐藏一些变量不是以明文形式存储的,而是使用一个或多个算术指令隐藏起来的。这意味着如果 Roshtyak 没有主动使用变量,它将以混淆的形式保留该变量的值。每当Roshtyak需要使用该变量时,它必须在使用它之前先解开它的掩码。相反,在Roshtyak使用该变量后,它会将其转换回掩码形式。这种隐藏方法使调试期间跟踪变量的工作变得复杂,并使搜索内存中已知变量值变得更加困难。循环变换Roshtyak 在一些循环条件下很有创意。
FBI警告:搜索引擎广告推送恶意软件、网络钓鱼
日前,FBI发布报告称威胁行为者正在使用搜索引擎广告来推广分发勒索软件的网站以窃取金融机构或加密交易所的登录凭证。据了解,威胁行为者购买冒充合法企业或服务的广告,并将这些广告显示在搜索结果页面的顶部,让其链接到看起来与原公司网站相同,一旦在这些网络钓鱼网站上输入凭证就会被威胁行为者窃取。FBI建议用户在通过广告链接访问网页时务必谨慎,或使用广告拦截器进行过滤。
物联网恶意软件Zerobot快速升级:新增暴力破解和DDoS攻击
微软安全分析师近日发文表示,最近发现的一个通过物联网(IoT)漏洞实施网络攻击的僵尸网络增加了暴力破解和分布式拒绝服务(DDoS)攻击向量,以及将新漏洞武器化以丰富强大其武器库。据微软安全威胁情报中心(MSTIC)称,Zerobot是Fortinet研究人员本月早些时候首次发现的恶意软件,随着威胁的不断发展,该恶意软件的更新迭代为更高级的攻击铺平了道路。MSTIC在12月21日的博客文章中透露,威胁参与者已将Zerobot更新到1.1版,现在可以通过DDoS攻击资源并使其无法访问,从而扩大了攻击和进一步实施危害的可能性。
双尾蝎新型移动端恶意软件分析报告
背景双尾蝎(奇安信内部跟踪编号:APT-Q-63)是一个长期针对中东地区的高级持续威胁组织,其最早于2017年被披露。该组织至少自2016年5月起,持续针对巴勒斯坦教育机构、军事机构等重要领域进行网络间谍活动,以窃取敏感信息为主的网络攻击组织,开展了有组织,有计划,有针对性的攻击。其攻击行业包括基础设施,国防、教育、政府、媒体、交通等。攻击的国家包括但不限于美国,韩国,巴勒斯坦,日本,瑞典、以色列等。概述双尾蝎的Android端攻击非常活跃,恶意样本具有高隐匿和强远控的特点,一直备受我们的关注。
GodFather Android恶意软件盯上400家银行和交易所
近日,一款名为“Godfather ”的 Android 银行恶意软件一直以16个国家/地区的用户为目标,试图窃取400多个在线银行网站和加密货币交易所的帐户凭据。据悉,当受害者尝试登录网站时,该恶意软件会生成覆盖在银行和加密交换应用程序登录表单之上的登录屏幕,诱使用户在精心设计的 HTML 钓鱼页面上输入他们的凭据。Godfather 木马是由 Group-IB 分析师发现的,他们认为它是Anubis 的继任者,Anubis 是一种曾经广泛使用的银行木马,由于无法绕过更新的 Android 防御而逐渐被淘汰。
微软发现macOS漏洞,允许恶意软件绕过安全检查
近期微软就发现了macOS的一个漏洞,并且在官网发布了一篇文章,详细介绍黑客利用该漏洞可能造成的危害。该漏洞被称为“Achilles”,利用该漏洞可以绕过Gatekeeper,后者是苹果的安全机制。一旦黑客绕过Gatekeeper之后,就可以植入恶意软件,从而控制mac设备。微软发现该漏洞后,已经反馈给苹果。苹果也在本月发布的系统更新中,对这个漏洞进行了修复。也就是说,当大家知道该漏洞的时候,漏洞已经修好了。当然,mac用户还是主动检查一下系统更新,如果有安全更新的话,及时安装。
乌克兰DELTA军事系统用户成信息窃取恶意软件目标
乌克兰国防部的一个电子邮件账户被发现向“DELTA”态势感知计划的用户发送钓鱼电子邮件和即时消息,以感染窃取信息的恶意软件。近日,CERT-UA(乌克兰计算机应急响应小组)发布了一份报告中强调了该活动,该报告警告乌克兰军方人员注意恶意软件攻击。DELTA是乌克兰在其盟友的帮助下创建的情报收集和管理系统,用于帮助军方追踪敌军的动向。该系统在数字地图上提供来自多个来源的高度集成的全面实时信息,可以在从笔记本电脑到智能手机的任何电子设备上运行。数字证书用于签署软件代码和验证服务器,告诉在操作系统上运行的安全产品应用程序没有被篡改,服务器操作员就是他们声称的那个人。
微软发现 macOS 存在漏洞,允许攻击者绕过安全审查部署恶意软件
Bleeping Computer 网站披露,苹果公司近期修复了一个安全漏洞。据悉,攻击者可以利用该漏洞,绕过 Gatekeeper 安全机制应用程序,在易受攻击的 macOS 设备上部署恶意软件。漏洞被追踪为 CVE-2022-42821,由微软首席安全研究员 Jonathan Bar Or 发现并报告。一周前,苹果已在 macOS 13(Ventura)、macOS 12.6.2(Monterey)和macOS 1.7.2(Big Sur)中解决了漏洞问题。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
