2022年6月,卡巴斯基实验室的研究人员在一个系统进程的内存中发现了一个可疑的shellcode。为此,他们深入分析了shellcode是如何放置到进程中的,以及受感染系统上的威胁隐藏在何处?感染链虽然研究人员无法复制整个感染进程,但他们能够从PowerShell执行的位置重建它,如下图所示。
发布时间:
2023-06-02 12:03 |
阅读:2791 | 评论:0 |
标签:
恶意软件 分析
伪装成营销软件开发工具包(SDK)的间谍软件被发现进入101个安卓应用程序,其中许多以前在Google Play上,下载量超过4亿次。
Doctor Web的研究人员称这种恶意SDK为 “SpinOk”,并报告说,它拥有一揽子营销功能,如小游戏和抽奖,以保持访问者长时间使用应用程序。
研究人员进一步解释说:”在初始化时,这个木马SDK通过发送一个包含有关受感染设备的的请求,连接到一个C2服务器。包括来自传感器的数据,如陀螺仪、磁力计等,可用于检测模拟器环境并调整模块的操作程序,以避免被安全研究人员发现”。
恶意软件是指由网络犯罪分子设计的恶意程序,可通过创建后门入口来获得对计算设备的访问权,从而窃取个人信息、机密数据,实施对计算机系统的破坏。为了更好的防护恶意软件,避免由恶意软件造成的危害,必须对恶意软件进行分析,以了解恶意软件的类型、性质和攻击方法。借助有效的恶意软件分析工具,安全团队可以更快速地检测并防止攻击者实施破坏活动。而云沙箱工具则为这类调查提供了安全的环境和方法。基于云的恶意软件检测方案可以让使用者在任意的联网设备上轻松访问,并且通过不断的模型学习为用户提供更优化的检测和防御技术。本文梳理了目前应用较广泛的5款免费云沙箱工具,可以帮助企业组织更安全地使用新的应用软件。
发布时间:
2023-05-31 14:03 |
阅读:21470 | 评论:0 |
标签:
云 恶意软件
近期,Mandiant发现并披露了COSMICENERGY恶意软件,一款针对工业控制系统(ICS)的新型恶意软件,该恶意软件可通过IEC 60870-5-104 (IEC-104) 协议与电力设备进行通信/交互,进而造成目标电力中断,这些设备通常用于欧洲、中东和亚洲的输配电业务。本文主要从技术角度,对恶意软件样本进行基本分析。
发布时间:
2023-05-31 10:54 |
阅读:18682 | 评论:0 |
标签:
恶意软件 分析
自2016年以来,出现了一种名为AceCryptor的加密恶意软件,被用于打包各种恶意软件。
斯洛伐克网络安全公司ESET表示,他们在2021年和2022年的遥测中发现了超过24万次密码检测,且每月的点击量超过1万次。
AceCryptor中包含一些比较知名的恶意软件,比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等,且多发现于秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度。
IBM Security X-Force 的研究人员最近的报告强调了一种新的恶意软件,名为「Domino」,由一群前 Conti 勒索软件运营者和 Fin7 开发人员进行传播。攻击者专注于攻击价值较高的目标,并部署了 Domino Backdoor。这种恶意软件相当危险,因为它能够绕过传统基于检测的电子邮件安全解决方案。然而,这种恶意软件是有方法可以避免的。OPSWAT 的MetaDefender Email Security 解决方案具备多层次的电子邮件保护功能,能够让组织避免类似的进阶恶意软件。
自2016年以来,出现了一种名为AceCryptor的加密恶意软件,被用于打包各种恶意软件。斯洛伐克网络安全公司ESET表示,他们在2021年和2022年的遥测中发现了超过24万次密码检测,且每月的点击量超过1万次。AceCryptor中包含一些比较知名的恶意软件,比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等,且多发现于秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度。
发布时间:
2023-05-30 14:49 |
阅读:26646 | 评论:0 |
标签:
攻击 恶意软件 Tor
近日,Mandiant威胁研究人员发现了旨在破坏电网的、与俄罗斯相关的新型恶意软件,他们敦促能源公司采取行动减轻这种“直接威胁”。
这种名为Cosmic Energy的专业操作技术 (OT) 恶意软件与之前针对电网的攻击中使用的恶意软件有相似之处,包括2016 年在乌克兰基辅发生的“Industroyer”事件。
Cosmic Energy 旨在通过与 IEC 60870-5-104 (IEC-104) 标准设备(例如远程终端单元)交互来中断电力。这些设备通常用于欧洲、中东和亚洲的输电和配电业务。
据BleepingComputer 5月28日消息,一种新型”浏览器文件压缩包 “钓鱼工具被试验出可滥用ZIP域名,在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口,以诱导用户启动恶意文件。
ZIP域名是本月由谷歌推出的8个新高级域名(TLD)之一,用户可用于托管网站或电子邮件地址,如bleepingcomputer.zip。自该域名名发布以来,人们对它们是否可能给用户带来网络安全风险进行了相当多的讨论。
发布时间:
2023-05-29 17:08 |
阅读:43783 | 评论:0 |
标签:
恶意软件 域名
在过去几年中,国家支持的攻击者一直在提高攻击电网等关键基础设施以造成严重破坏的能力。这个武器库的新成员是一个恶意软件工具包,它似乎是由一家俄罗斯网络安全公司为红队演习开发的。该恶意软件被 Mandiant 的研究人员称为 COSMICENERGY,它可以与远程终端单元 (RTU) 和其他操作技术 (OT) 设备交互,这些设备通过专门的 IEC 60870-5-104 (IEC-104) 协议进行通信,通常用于电气工程和电力自动化。研究人员在他们的报告中说:COSMICENERGY 是能够造成网络物理影响的专门 OT 恶意软件的最新例子,这种影响很少被发现或披露。
发布时间:
2023-05-29 17:02 |
阅读:45271 | 评论:0 |
标签:
恶意软件
据BleepingComputer 5月28日消息,一种新型"浏览器文件压缩包 "钓鱼工具被试验出可滥用ZIP域名,在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口,以诱导用户启动恶意文件。ZIP域名是本月由谷歌推出的8个新高级域名(TLD)之一,用户可用于托管网站或电子邮件地址,如bleepingcomputer.zip。自该域名名发布以来,人们对它们是否可能给用户带来网络安全风险进行了相当多的讨论。
发布时间:
2023-05-29 11:57 |
阅读:32631 | 评论:0 |
标签:
恶意软件 域名
近日,Mandiant威胁研究人员发现了旨在破坏电网的、与俄罗斯相关的 新型恶意软件,他们敦促能源公司采取行动减轻这种“直接威胁”。 这种名为 Cosmic Energy的专业操作技术 (OT) 恶意软件与之前针对电网的攻击中使用的恶意软件有相似之处,包括2016 年在乌克兰基辅发生的“Industroyer”事件。 Cosmic Energy 旨在通过与 IEC 60870-5-104 (IEC-104) 标准设备(例如远程终端单元)交互来中断电力。这些设备通常用于欧洲、中东和亚洲的输电和配电业务。
发布时间:
2023-05-29 11:06 |
阅读:33042 | 评论:0 |
标签:
恶意软件
虽然有所进步,但总的来说,Android设备在安全方面依然毁誉参半。虽然操作系统本身和Google的Pixel多年来一直能够顽强抵御软件漏洞,但Google Play中永无止境的恶意应用程序和一些第三方制造商的脆弱设备已经损害了其形象。周四,在两份报告称多个系列的Android设备预装了恶意软件,如果用户不采取特殊措施就无法删除这些恶意软件之后,这一形象进一步受到损害。第一个报告来自安全公司趋势科技。研究人员根据在新加坡举行的黑帽安全会议上发表的演讲,报告说多达50个不同品牌的890万部手机被感染了恶意软件。
近年来,勒索软件持续占据新闻头条。为了谋取利益,攻击者开始以各种类型的组织为目标——从医疗保健和教育机构到服务提供商和工业组织——几乎影响到我们生活的方方面面。2022年,卡巴斯基解决方案检测到超过7420万次勒索软件攻击尝试,比2021年(6170万)增加了20%。尽管2023年初勒索软件攻击数量略有下降,但它们却表现得更加复杂,且更具针对性。时值全球反勒索软件日(5月12日),卡巴斯基回顾了2022年影响勒索软件格局的事件以及去年预测的趋势,讨论了新兴趋势,并对不久的将来进行了预测。
发布时间:
2023-05-29 11:06 |
阅读:22046 | 评论:0 |
标签:
恶意软件
研究人员称,在亚美尼亚至少有十几名受害者成为Pegasus的目标,这是iPhone间谍软件在军事冲突中的首次使用记录。NSO集团的间谍软件工具以前曾被政府使用,据称它们被用来试图入侵欧盟委员会官员的手机。以至于在2021年,苹果公司开始向它怀疑被黑的iPhone用户发送通知。
尽管NSO集团早早被列入美国国家安全风险黑名单,但它仍在继续开发新的方法来入侵iPhone和其他智能手机。
现在据《卫报》报道,研究人员声称,一名联合国官员,加上记者和人权活动家都遭遇网络入侵。据称,这十几名受害者是被阿塞拜疆政府因其与亚美尼亚的冲突而受到影响的。
虽然有所进步,但总的来说,Android设备在安全方面依然毁誉参半。虽然操作系统本身和Google的Pixel多年来一直能够顽强抵御软件漏洞,但Google Play中永无止境的恶意应用程序和一些第三方制造商的脆弱设备已经损害了其形象。
周四,在两份报告称多个系列的Android设备预装了恶意软件,如果用户不采取特殊措施就无法删除这些恶意软件之后,这一形象进一步受到损害。
第一个报告来自安全公司趋势科技。研究人员根据在新加坡举行的黑帽安全会议上发表的演讲,报告说多达50个不同品牌的890万部手机被感染了恶意软件。
2021年12月,一名拥有俄罗斯IP地址的用户向谷歌的病毒扫描服务VirusTotal上传了神秘的恶意软件。据研究,这是一种新的俄罗斯运营技术恶意软件可能会导致欧洲、中东和亚洲的电力中断。该恶意软件-被威胁情报公司Mandiant称为“CosmicEnergy” -通过与电力系统自动化设备(如远程终端单元)交互造成严重破坏。在周四(25日)发表的研究中,Mandiant表示,承包商可能已将恶意软件开发为红队工具,用于模拟由俄罗斯网络安全公司主持的电力中断演习。Mandiant表示,CosmicEnergy的发现令人担忧,因为它利用了OT环境的不安全设计特征,这些特征不太可能很快得到修复。
发布时间:
2023-05-26 14:10 |
阅读:62337 | 评论:0 |
标签:
工控 恶意软件 俄罗斯
Mandiant 发现了面向运营技术 (OT) /工业控制系统 (ICS) 的新型恶意软件,我们将其追踪为 COSMICENERGY,于 2021 年 60870 月由俄罗斯的提交者上传到公共恶意软件扫描实用程序。该恶意软件旨在通过与 IEC 5-104 (IEC-<104>) 设备(例如远程终端单元 (RTUs))交互来造成电力中断,这些设备通常用于欧洲、中东和亚洲的输配电业务。COSMICENERGY是能够造成网络物理影响的专用OT恶意软件的最新例子,这些影响很少被发现或披露。
发布时间:
2023-05-26 13:48 |
阅读:39860 | 评论:0 |
标签:
恶意软件 俄罗斯
近日,网络安全公司Cyble报告了一类冒充字节跳动旗下热门视频剪辑工具CapCut(国际版剪映)的恶意软件分发活动。CapCut是配套于TikTok(国际版抖音)的免费视频剪辑软件,能够完成大多数视频后期工作,以简洁高效的特性在全球范围内流行,在Google Play商店上有5亿次的下载量,同时在苹果商店免费下载榜上位列第五名。不过,在某些国家和地区,出于各种考量封禁了CapCut,不少用户不得不四处寻求该软件的盗版。利用CapCut的流行,不法分子创建了多个伪装成提供CapCut下载服务的网站,实际目的是分发各种恶意软件。
发布时间:
2023-05-26 11:05 |
阅读:32216 | 评论:0 |
标签:
黑客 恶意软件
最近,汽车消费电子巨头 Voxx Electronics成为臭名昭著的勒索软件组织BlackCat的受害者,该团伙于5月24日在暗网上正式公开了此次攻击的详细信息。
BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型,包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件,并发布了一个随机数据样本。
泄露的 Voxx 数据样本
BlackCat要求 Voxx在72小时内支付赎金,否则,他们不仅将公开出售这些数据,还会将这起攻击事件告知给 Voxx 的所有客户,并附带机密文件的下载地址。
近日,Cyble的安全研究者发现黑客正利用假冒CapCut(剪映的海外版)官网将大量恶意软件推送给毫无戒备的受害者。CapCut是字节跳动旗下TikTok的官方视频编辑器和制作工具,支持音乐混合、滤色器、动画、慢动作效果、画中画、稳定器等功能,是最流行的视频剪辑工具之一。仅在Google Play上,CapCut的下载量就超过500亿次,其网站每月的点击量超过30万次。由于印度等国家和地区颁布了CapCut禁令,导致很多用户寻找CapCut的替代下载方式。黑客正是利用这一点架设冒牌CapCut官网(下图)诱骗用户下载恶意软件。
发布时间:
2023-05-24 11:05 |
阅读:36567 | 评论:0 |
标签:
恶意软件
摘 要在我们的病毒库中,已检测到150+样本,伪装成24个机构相关应用。应用以政府机构为主,延伸到银行、保险、航空、生活服务行业,目标人群覆盖了几乎全部的泰国政府相关人员。关键词:RAT、隐私窃取、泰国第一章 序近日,奇安信病毒响应中心移动安全团队监测到一批伪装成泰国政府机构的新型恶意软件,并通过数据挖掘和分析发现,此恶意软件家族在较短的时间内,呈现爆发式的增长,行业拓展到银行、保险、航空和生活服务等,国家也蔓延到秘鲁和菲律宾等东南亚国家。为了躲避安全检测,家族频繁迭代版本,在我们的病毒库中,已检测到150+样本,伪装成24个机构相关应用。
发布时间:
2023-05-23 17:07 |
阅读:60326 | 评论:0 |
标签:
恶意软件 分析
Check Point的研究人员最近发现了一种名为FluHorse的新型恶意软件。该恶意软件具有几个模仿合法应用程序的恶意安卓应用程序,其中大多数安装量超过100万次。这些恶意应用程序窃取受害者的凭据和双因素身份验证(2FA)代码。FluHorse针对东亚市场的不同领域,并通过电子邮件进行传播。在某些情况下,第一阶段攻击中使用的电子邮件属于知名对象。恶意软件可以在数月内不被发现,这使其成为一种持久、危险且难以发现的威胁。其中一个恶意软件样本在3个月后仍未在VirusTotal(VT)上检测到攻击者使用规避技术、模糊处理和执行前的长时间延迟等技巧来躲过虚拟环境的检测。
发布时间:
2023-05-17 14:57 |
阅读:87478 | 评论:0 |
标签:
恶意软件
工作来源IMC 2022工作设计分析方式利用 CnCHunter 以两种模式分析恶意样本文件:使用 QEMU 模拟执行,确定使用的 C&C 服务器。本研究专注于 MIPS 架构下 32 位可执行文件,能够以九成的精度检测 C&C 服务器使用武器化的二进制文件探测特定的 IP 端口,以此识别 C&C 服务器使用 InetSim 模拟 DNS、HTTP 等网络服务,避免因网络不可用而导致执行失败。分析 C&C 服务器去掉 P2P 的恶意样本,将剩下的样本在沙盒中运行查找 C&C 服务器。
发布时间:
2023-05-17 11:14 |
阅读:56984 | 评论:0 |
标签:
网络 恶意软件 分析
工作来源IMC 2022工作设计分析方式利用 CnCHunter 以两种模式分析恶意样本文件:使用 QEMU 模拟执行,确定使用的 C&C 服务器。本研究专注于 MIPS 架构下 32 位可执行文件,能够以九成的精度检测 C&C 服务器使用武器化的二进制文件探测特定的 IP 端口,以此识别 C&C 服务器使用 InetSim 模拟 DNS、HTTP 等网络服务,避免因网络不可用而导致执行失败。分析 C&C 服务器去掉 P2P 的恶意样本,将剩下的样本在沙盒中运行查找 C&C 服务器。
发布时间:
2023-05-17 11:04 |
阅读:54628 | 评论:0 |
标签:
网络 恶意软件 分析
近日在新加坡举办的 Black Hat Asia 2023(亚洲黑帽大会)上,趋势科技(Trend Micro)报告称,数百万安卓手机在出厂之前,就已经被黑客感染。黑客感染了智能手表、电视和运行安卓的诸多设备,但主要受感染设备是中低端安卓手机。研究人员表示在安卓手机生产中,涉及了外包等诸多环节,黑客通过入侵固件供应商等,让安卓手机在出厂之前就感染恶意软件。趋势科技研究人员认为这种威胁已成为 " 普通消费者和企业的毒瘤 ",应该制定相应的措施遏制这种行为。团队分析了 OEM 厂商使用的数十个固件镜像,发现了至少 80 多个恶意插件。
发布时间:
2023-05-15 11:05 |
阅读:270761 | 评论:0 |
标签:
恶意软件 手机
Malwarebytes最新发布的恶意软件报告显示,2023年企业面临五种最危险的恶意软件:一、LockBit排名榜首的LockBit是一种基于会员制的勒索软件变体,在2022年的威胁中占据主导地位,攻击了数百家各种规模的企业。报告显示:“自2022年4月以来,三分之一的已知勒索软件攻击涉及LockBit”。二、Emotet目前最具威胁性的两种恶意软件是Emotet和SocGholish。Emotet是一种窃取信息并传递恶意软件的木马,具有易于传播且难以删除的能力。三、SocGholishSocGholish使用社会工程和用户安全意识漏洞来访问计算机系统。
发布时间:
2023-05-12 19:49 |
阅读:73725 | 评论:0 |
标签:
恶意软件
多个恶意黑客团伙利用2021年9月Babuk(又名Babk或Babyk)勒索软件泄露的源代码,构建了多达9个针对VMware ESXi系统的不同勒索软件家族。
美国安全厂商SentinelOne公司的研究员Alex Delamotte表示,“这些变体在2022年下半年至2023年上半年开始出现,表明对Babuk源代码的利用呈现出上升趋势。”
“在泄露源代码的帮助下,即使恶意黑客缺乏构建攻击程序的专业知识,也能对Linux系统构成威胁。”
许多大大小小的网络犯罪团伙都将目光投向ESXi管理程序。
瑞士跨国公司ABB是一家行业领先的电气化和自动化技术提供商。据报道,该公司近日遭遇了Black Basta勒索软件攻击,影响到了其业务运营。
ABB总部位于瑞士苏黎世,拥有约105,000名员工,2022年的收入为294亿美元。作为其服务的一部分,该公司为制造业和能源供应商开发工业控制系统(ICS)和SCADA系统。该公司与很多客户和地方政府合作,包括沃尔沃、日立、DS Smith、纳什维尔市和萨拉戈萨市。
美国司法部当地时间5月9日宣布,由FBI进行的美杜莎联合行动已经成功阻止了来自俄罗斯联邦安全局 (FSB) 的恶意软件Snake,该软件被指窃取北大西洋公约组织 (NATO) 成员国政府的机密文件长达近20年之久。
Snake是由受俄罗斯政府支持的黑客组织Turla(又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug)研发。