Decoy Dog的新修改可以帮助黑客秘密攻击Linux系统。
Positive Technologies 专家中心发现了一个新的网络组织 Hellhounds,该组织已经攻击了至少 20 家俄罗斯公司和政府机构。分析人士注意到攻击者的高度专业性和他们使用的工具的复杂性。
今年 10 月,Positive Technologies 事件调查团队 发现了 一家俄罗斯能源公司使用诱饵狗木马的新修改版进行的攻击,该木马允许人们控制受感染的节点,并在受感染的基础设施中发起攻击。攻击者修改了恶意软件,使其更难以检测和分析,并通过新的遥测功能添加了与操作员(攻击者)交换数据的额外通道。
写在前面的话当前的Android生态环境中充斥着各种类型的恶意软件,每一款恶意软件都有其自己独特的一面。在大多数情况下,它们的目标都是窃取用户数据,然后将其出售以换取金钱。但某些恶意软件则可以被归类为间谍软件,因为它们的唯一目的就是通过窃取尽可能多的用户数据来监控用户,并尽可能地在目标设备上隐藏更久的时间。最近,研究人员对一款名为SpyNote的恶意软件进行了跟踪和分析。SpyNote是一款间谍软件,它可以通过Smishing短信诈骗(例如恶意SMS消息)的形式来传播,并敦促目标用户使用短信提供的链接来下载和安装该应用程序。
Bleeping Computer 网站消息,七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动,成功在乌克兰境内逮捕了某勒索软件组织的核心成员。
据悉,这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动,导致大量企业运营瘫痪。欧洲司法组织称,在入侵受害目标系统后,该组织会偷偷潜伏起来(潜伏时间有时长达数月)部署不同类型的勒索软件,如 LockerGoga、MegaCortex、HIVE 或 Dharma,此后会向受害者“发送”一则赎金通知,要求受害者支付比特币,以换取解密密钥。
发布时间:
2023-11-29 17:13 |
阅读:29419 | 评论:0 |
标签:
恶意软件 勒索软件 攻击 勒索
麒麟勒索软件组织声称对全球最大的汽车零部件供应商之一延锋汽车内饰(延锋)的网络攻击负责。
延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商,在全球 240 个地点拥有超过 57,000 名员工。
该公司向通用汽车、大众集团、福特、Stellantis(菲亚特、克莱斯勒、吉普、道奇)、宝马、戴姆勒、丰田、本田、日产和上汽集团销售内饰零部件。该公司构成了这些汽车制造商供应链的重要组成部分。
本月早些时候,有 报道 称延锋汽车受到直接影响Stellantis的网络攻击,迫使该汽车公司停止其北美工厂的生产。
这家中国公司仍未回应有关此事的置评询问。
RustBucket 和 KANDYKORN 等 macOS 恶意软件背后的朝鲜威胁行为者“混合和匹配”了两个不同攻击链的不同元素,利用 RustBucket droppers 传播 KANDYKORN。 据观察,RustBucket 和 KANDYKORN 等 macOS 恶意软件背后的朝鲜威胁行为者“混合和匹配”了两个不同攻击链的不同元素,利用 RustBucket droppers 传播 KANDYKORN。该调查结果来自网络安全公司 SentinelOne,该公司还将第三个名为 ObjCShellz 的 macOS 特定恶意软件与 RustBucket 活动联系起来。
发表于 最新发现了一个名为 “SysJoker” 的多平台恶意软件新版本,该版本使用 Rust 编程语言进行了完全重写。SysJoker 是一种可在 Windows、Linux和macOS系统中潜伏的恶意软件。它最初由 Intezer 于2022年初发现,当时是C++ 版本。这个恶意软件具有一些特点,包括能够加载内存中的有效负载、多种持久性机制和"离地生存"命令,而且能成功绕过VirusTotal扫描中各种杀毒软件的检测。新SysJoker基于Rust的SysJoker变体于2023年10月12日首次提交给 VirusTotal,此时恰逢以色列和巴勒斯坦之间的战争升级。
发布时间:
2023-11-28 11:16 |
阅读:30409 | 评论:0 |
标签:
网络 恶意软件 以色列
阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标,这被怀疑是高级持续威胁 (APT) 攻击。
卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中表示,Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL),具有“复杂的功能,例如用于客户端通信和内存执行的自定义编码方法” 。
这家俄罗斯网络安全公司表示,根据这些工件的编译时间戳,它发现了可以追溯到 2021 年初的恶意软件变种。
Web shell 通常是恶意工具,可对受感染的服务器提供远程控制。
以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本,据评估,该后门已被哈马斯相关的黑客组织用来针对以色列目标。
Check Point在分析报告中表示:“最显著的变化是转向 Rust 语言,这表明恶意软件代码被完全重写,同时仍然保持类似的功能。” “此外,攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2(命令和控制服务器)URL。
近日,Malwarebytes发现有一种专门针对Mac操作系统(OS)的数据窃取程序正通过伪造的网页浏览器更新程序进行分发。Malwarebytes称这与其通常的技术、战术和程序大不相同,该恶意软件可以模仿 Safari 和谷歌 Chrome 浏览器。
网络安全公司表示:AMOS现在正通过利用假冒的Safari与Chrome浏览器更新包来向用户电脑植入恶意软件,这种方法被称为ClearFake。这很可能是该恶意软件第一次主要的社交工程活动之一。该软件之前的活动仅针对 Windows系统,如今不仅在地理位置方面有所变化,在操作系统方面也开始进行了扩展。
黑客利用谷歌的动态搜索广告(DSAs)技术,诱导希望下载WinSCP等合法软件的用户安装恶意软件。DSAs技术能够根据网站内容自动生成广告,黑客利用这一特性提供恶意广告,将用户引导至一个遭受入侵的WordPress网站gameeweb[.]com,该网站会将用户重定向至攻击者控制的钓鱼网站。
这一复杂的多阶段攻击链的最终目标是诱使用户点击伪装成WinSCP官方网站的winccp[.]net,并下载恶意软件。
从gaweeweb[.]com网站到假冒的winsccp[.]net网站的流量取决于正确设置的引用头。
发表于 黑客利用谷歌的动态搜索广告(DSAs)技术,诱导希望下载WinSCP等合法软件的用户安装恶意软件。DSAs技术能够根据网站内容自动生成广告,黑客利用这一特性提供恶意广告,将用户引导至一个遭受入侵的WordPress网站gameeweb[.]com,该网站会将用户重定向至攻击者控制的钓鱼网站。这一复杂的多阶段攻击链的最终目标是诱使用户点击伪装成WinSCP官方网站的winccp[.]net,并下载恶意软件。从gaweeweb[.]com网站到假冒的winsccp[.]net网站的流量取决于正确设置的引用头。
发布时间:
2023-11-24 11:16 |
阅读:52068 | 评论:0 |
标签:
恶意软件 Google
微软表示,朝鲜背景的黑客组织入侵了中国台湾多媒体软件公司讯连科技,并对其一个安装程序进行木马化,以在针对全球潜在受害者的供应链攻击中推送恶意软件。
讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件,该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD,就是迅连科技的产品。
根据 Microsoft 威胁情报,疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。
该木马安装程序托管在讯连科技拥有的合法更新基础设施上,迄今为止已在全球 100 多台设备上检测到,包括日本、台湾、加拿大和美国。
Lumma 信息窃取恶意软件(又名“LummaC2”)正在推广一项新功能,据称该功能允许网络犯罪分子恢复过期的 Google cookie,从而可用于劫持 Google 帐户。 Lumma 信息窃取恶意软件(又名“LummaC2”)正在推广一项新功能,据称该功能允许网络犯罪分子恢复过期的 Google cookie,从而可用于劫持 Google 帐户。会话 Cookie 是特定的 Web Cookie,用于允许浏览会话自动登录网站的服务。由于这些 cookie 允许拥有它们的任何人登录所有者的帐户,因此出于安全原因,它们的使用寿命通常有限,以防止被盗时被滥用。
作为一个加密货币挖矿软件,StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道,用于与命令控制(C2)服务器通信,同时通过可信服务(如GitLab、GitHub和Bitbucket)进行更新和交付功能,所有这一切都使用自定义加密归档。可以说,创建这个框架所付诸的努力确实十分了不起,同样地,它所披露的真相也相当惊人。背景介绍2022年,卡巴斯基研究人员在WININIT.EXE进程中遇到了两个惊人的发现,随后的分析揭示了可追溯到2017年的早期可疑代码实例。在此期间,它有效地逃避了分析,并被误归类为加密货币挖矿软件。
发布时间:
2023-11-22 14:08 |
阅读:41183 | 评论:0 |
标签:
恶意软件
LockBit领导层对组织支付的低利率表示担忧,当受害者支付时,附属机构收取的赎金金额被认为太低。
为了应对LockBit组织内部日益增长的挫败感,其领导者彻底改变了与勒索软件受害者谈判的方式。LockBit领导层对组织支付的低利率表示担忧,当受害者支付时,附属机构收取的赎金金额被认为太低。谈判的不一致也是高层之间争论的焦点。LockBit内部认为,经验不足的附属机构无法从受害者那里获得预期的最低付款,并且过于频繁地提供未经批准的折扣。在十月份规则变更生效之前,几乎没有任何成文的规则或谈判指南。附属机构完全自行其是,而不一致的谈判导致拒绝支付赎金的受害者人数增加。
据安全公司SentinelOne的调查分析,一个由印度雇佣的黑客组织十多年来一直以美国、中国、缅甸、巴基斯坦、科威特等国家为目标,进行广泛的间谍、监视和破坏行动。
根据分析,该组织名为Appin Software Security(又名 Appin Security Group,以下简称Appin),最初是一家提供攻击性安全培训计划的教育初创公司,但至少从 2009 年起就开展秘密黑客行动。SentinelOne 安全人员汤姆·黑格尔 (Tom Hegel)在近期发布的综合分析中表示:“该组织针对高价值个人、政府组织和其他涉及特定法律纠纷的企业进行了黑客行动。
据观察,隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。
以色列安全公司Check Point详细介绍了Gamaredon(又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder)的最新战术,称该组织从事大规模活动,随后“针对特定目标进行数据收集工作,其选择很可能是出于间谍目的。
Bleeping Computer 网站消息,丰田金融服务公司(TFS)证实,在 Medusa(美杜莎)勒索软件声称对其欧洲和非洲一些网络系统进行攻击后,公司内部安全人员检测到了未经授权的恶意访问。
丰田金融服务公司作为一家丰田汽车公司的子公司,是一个全球性实体,在丰田汽车 90% 的销售市场开展业务,主要为客户提供汽车融资服务。
美杜莎袭击丰田子公司
早些时候,Medusa 勒索软件团伙将丰田金融服务公司列入了其在暗网上的数据泄露网站,要求其支付 800 万美元以换取删除被盗数据。此外,威胁攻击者还要求丰田公司在 10 天内做出“回应”。
IT之家 11 月 15 日消息,谷歌本周发布报告,警告有一批黑客在各大平台投放虚假 Bard AI 助理广告。受害者在点击虚假广告后,将被跳转至钓鱼网站,进而被引导安装恶意软件,谷歌并不知道这些黑客的真实身份,但根据 IP 地址猜测这些黑客可能位于越南。
发布时间:
2023-11-15 13:55 |
阅读:56970 | 评论:0 |
标签:
AI 黑客 恶意软件
安全研究人员追踪了 Imperial Kitten 针对运输、物流和技术公司的一项新活动。Imperial Kitten 也被称为 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc,多年来它一直使用在线角色 Marcella Flores。它是与伊朗武装部队分支伊斯兰革命卫队 (IRGC) 有联系的威胁行为者,至少自 2017 年以来一直活跃对各个领域的组织进行网络攻击,包括国防、技术、电信、海事、能源、咨询和专业服务。
发布时间:
2023-11-14 17:49 |
阅读:76600 | 评论:0 |
标签:
攻击 黑客 恶意软件 以色列
Ducktail 窃取恶意软件背后的越南威胁行为者与 2023 年 3 月至 10 月初开展的一项新活动有关,该活动针对印度的营销专业人士,旨在劫持 Facebook 企业帐户。卡巴斯基在上周发布的一份报告中表示,“它与众不同的一个重要特点是,与之前依赖 .NET 应用程序的活动不同,这次活动使用 Delphi 作为编程语言。”Ducktail与Duckport和NodeStealer一样,都是在越南运营的网络犯罪生态系统的一部分,攻击者主要使用 Facebook 上的赞助广告来传播恶意广告并部署能够掠夺受害者登录 cookie 并最终控制其帐户的恶意软件。
发布时间:
2023-11-14 17:49 |
阅读:73723 | 评论:0 |
标签:
黑客 恶意软件 印度 越南
据Vade公司最新发布的《2023年第三季度网络安全报告》显示,2023年第三季度,共检测到1.257亿封包含恶意软件的电子邮件,相比第二季度增长了110%。这是个令人不安且值得关注的趋势。从本质上讲,目前的恶意软件正在逐渐演变成一个复杂多变的网络犯罪生态体系。为了获取更大的攻击收益,攻击者正在不断寻找新的传播路径和感染手段,并不断尝试任何可行的策略,来增强恶意软件的攻击能力。为了更好地识别和预防新一代恶意软件的攻击威胁,帮助企业安全团队保持对恶意软件的信息更新和警惕,专业安全网站CyberTalk.org日前梳理总结了5种值得所有组织高度关注的新兴恶意软件并对其特点进行了研究分析。
发布时间:
2023-11-14 14:16 |
阅读:66095 | 评论:0 |
标签:
恶意软件
近日,网络安全研究人员警告称,此前曾在针对以色列的网络攻击中观察到针对 Linux 系统的 Windows 版本擦除恶意软件。
该擦拭器被黑莓称为BiBi-Windows Wiper ,是BiBi-Linux Wiper的 Windows 版本,上个月以色列与哈马斯战争后,亲哈马斯的黑客组织开始使用 BiBi-Linux Wiper。
这家加拿大公司上周五表示:“Windows变体证实创建擦除器的威胁行为者正在继续构建恶意软件,并表明攻击范围已扩大到目标最终用户计算机和应用程序服务器。
Bleeping Computer 网站披露,安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。
据悉,Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc,疑似与伊朗武装部队分支伊斯兰革命卫队(IRGC)关联密切,至少自 2017 年以来持续活跃,多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织,发动网络攻击。
发表于 Aqua Nautilus的研究人员近日成功拦截了Kinsing入侵云环境的试验性活动。利用一种基本但很典型的PHPUnit漏洞利用攻击(Kinsing活动的一个部分),我们发现了这伙威胁分子手动操纵Looney Tunables漏洞(CVE-2023-4911)的事实。据我们所知,这是正式记录的首起此类漏洞攻击。有意思的是,攻击者还通过从云服务提供商(CSP)提取凭据来扩大云原生攻击的范围。我们在这篇博文中将深入探讨Kinsing活动及其运作,着重介绍这起攻击的新奇之处,并强调面对这些不断演变的威胁,保持警惕和提高意识的重要性。
发布时间:
2023-11-10 19:59 |
阅读:246513 | 评论:0 |
标签:
漏洞 恶意软件
据The Hacker News消息,研究人员发现,一种新型恶意广告活动正伪装成 Windows 新闻门户网站,传播含有恶意软件的虚假CPU-Z 系统分析工具。
虽然众所周知,恶意广告活动会建立对应软件的山寨网站来冒充,但此次活动却是模仿了新闻门户网站(WindowsReport.com) ,其目标是针对在 Google 等搜索引擎上搜索 CPU-Z 的用户,通过呈现恶意广告,将这些用户重定向到虚假门户 。
根据微软的最新发现,以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织,近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的零日漏洞实施过其他攻击。
此次的漏洞被追踪为 CVE-2023-47246,涉及一个路径遍历漏洞,可能导致黑客在内部安装中执行恶意代码。不过SysAid 已在 23.3.36 版软件中修补了这个漏洞。
微软方面表示:Lace Tempest 黑客组织在利用了该漏洞后,会通过 SysAid 软件发出命令,从而为 Gracewire 恶意软件提供恶意软件加载器。
俄罗斯国家黑客通过采用陆上技术改进了破坏工业控制系统的方法,这些技术能够以更少的资源更快地达到攻击的最后阶段。
安全研究人员强调,这一变化为更难以检测的攻击打开了大门,而且工业控制系统 (ICS) 不一定需要复杂的恶意软件。
用于发送命令的本机二进制文件
去年,“沙虫”威胁组织在一次攻击中攻破了乌克兰的一个关键基础设施组织,该攻击仅用了不到四个月的时间就达到了最后阶段,由于对全国关键设施的导弹袭击,停电情况加剧了一倍。
Sandworm 是一个至少从 2009 年开始活跃的黑客组织,与俄罗斯总参谋部主要情报局 (GRU) 有联系。
Hackernews 编译,转载请注明出处:
世界上最大的银行之一正在处理勒索软件攻击。
英国《金融时报》报道称,中国最大的国有银行中国工商银行(ICBC)本周遭到勒索软件攻击。
据报道,代表证券公司、银行和资产管理公司的行业组织证券业和金融市场协会(Securities Industry and Financial Markets Association)在美国国债市场的某些交易无法结算后,向其成员发出了有关这一事件的信息。
中国工商银行在美全资子公司——工银金融服务有限责任公司(ICBCFS)在官网发布声明称,美东时间11月8日,ICBCFS遭勒索软件攻击,导致部分系统中断。
IT之家 11 月 9 日消息,网络安全公司 Jamf Threat Labs 近日发现了针对苹果 Mac 设备的全新的恶意软件“ObjCShellz”,一旦 Mac 被感染,可以被攻击者远程访问和控制。Jamf 认为该恶意软件和 BlueNoroff Advanced Persistent Threat 存在关联,后者是一个黑客组织,主要攻击针对银行、加密货币交易所和风险投资家。“ObjCShellz”使用 Objective-C 编程语言创建,用户感染之后会运行从黑客服务器接收的 shell 命令,从而让黑客远程控制 Mac。