记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

摩诃草组织(APT-Q-36)借Spyder下载器投递Remcos木马

团伙背景摩诃草,又名Patchwork、白象、Hangover、Dropping Elephant等,奇安信内部跟踪编号APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到2009年11月,已持续活跃10余年。该组织主要针对亚洲地区的国家进行网络间谍活动,攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织机构。事件概述Spyder恶意软件与摩诃草组织存在关联[1],主要功能是下载并运行C2服务器下发的可执行文件。奇安信威胁情报中心观察到自7月以来,Spyder至少经过了两轮更新,并发现攻击者借助Spyder向目标主机植入Remcos木马。
发布时间:2023-11-28 13:55 | 阅读:33956 | 评论:0 | 标签:apt 木马

朝鲜黑客发动供应链攻击,散布木马软件

Hackernews 编译,转载请注明出处: 一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客,正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本,通过供应链攻击来瞄准下游客户。 微软威胁情报团队在周三的一份分析报告中表示:“这个恶意文件是一个合法的 CyberLink 应用程序安装程序,已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。” 这家科技巨头表示,病毒文件托管在该公司拥有的更新基础设施上,同时还包括限制执行时间窗口和绕过安全产品检测的检查。 据估计,此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。
发布时间:2023-11-24 17:11 | 阅读:48902 | 评论:0 | 标签:黑客事件 朝鲜 木马 黑客 攻击 朝鲜黑客

苹果 macOS 现山寨 Chrome 及 Safari 浏览器,安装后将被感染 AMOS 恶意木马

IT之家 11 月 22 日消息,此前 macOS 平台出现了一款名为 Atomic macOS Stealer(AMOS)的恶意木马,这款木马伪造成了 Safari 及 Chrome 浏览器,受害者一经安装这些山寨应用,个人信息就将被盗取。安全公司 Malwarebytes 的安全研究人员在今年 9 月发现,有黑客正在 Google Ads 中刊载广告,以吸引 Mac 用户下载此类山寨浏览器,类似此前 Windows  平台常见的“钓鱼攻击”法。
发布时间:2023-11-22 07:23 | 阅读:53744 | 评论:0 | 标签:mac 木马 chrome 苹果

冰蝎4.0jsp木马浅析

发表于 #web 46个 前言 这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备工作流程 冰蝎准备一个经过加密的字节码,放入
发布时间:2023-11-20 17:04 | 阅读:56813 | 评论:0 | 标签:木马

【远控木马】银狐组织最新木马样本-分析

一样本信息文件名: 2023财会人员薪资补贴调整新政策所需材料.exeMD5: 20fbd9ac1097d4da587f0e353bbecb80SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6样本
发布时间:2023-11-20 10:59 | 阅读:51552 | 评论:0 | 标签:木马 分析

【恶意文件】钓鱼邮件通过脚本传播远控木马

恶意文件名称:AsyncRAT威胁类型:远控木马简单描述:AsyncRAT是一款由C#编写的远控工具,拥有反虚拟化、文件/进程管理、持久化、信息窃取、横向移动等威胁性极高的功能,达到任意操控目标主机的目的。恶意文件描述近期,深盾实验室在运营工作中发现一批通过邮件劫持进行传播的JS恶意样本,该类样本中充斥大量的垃圾信息并进行混淆以逃避防御引擎检测,截止发文时间,VT上仅有两家引擎检出。攻击者利用邮件劫持广泛分发恶意JS样本,并诱导用户点击。脚本在运行后会访问指定url,下载远控木马并在本地运行,使受害主机在毫无感知的情况下被攻击者控制,从而进行后续的恶意行为。
发布时间:2023-11-17 19:46 | 阅读:125980 | 评论:0 | 标签:钓鱼 木马

红队视角下的隐匿木马文件 实现持久化控制

前言在红蓝对抗的过程中,远控木马起到了相当重要的作用,而面对蓝队技术人员的种种查杀,远控木马如何在目标机器上长久的存活下去免杀马制作co
发布时间:2023-11-05 20:43 | 阅读:90469 | 评论:0 | 标签:木马 红队

隐藏在挖矿木马外衣下的 StripedFly APT 组织,感染百万台 Windows、Linux 主机

一个名为StripedFly的复杂跨平台恶意软件在网络安全研究人员的眼皮底下活跃了五年,在此期间感染了超过一百万个Windows和Linux系统。 卡巴斯基去年发现StripedFly恶意软件框架的真实意图,发现其从2017年开始活动的证据,该恶意软件被世界各地的安全研究人员错误地归类为门罗币挖矿木马。 分析师将StripedFly描述为令人印象深刻,具有复杂的基于TOR的流量隐藏机制,来自受信任平台的自动更新,类似蠕虫的传播功能,以及在公开披露漏洞之前创建的自定义EternalBlue SMBv1漏洞。
发布时间:2023-11-02 11:19 | 阅读:117518 | 评论:0 | 标签:恶意软件 卡巴斯基 数据泄露 linux apt windows 木马

疑似APT-C-36(盲眼鹰)组织投放Amadey僵尸网络木马活动分析

APT-C-36  盲眼鹰APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美的一些地区如厄瓜多尔和巴拿马。该组织自2018年被发现以来,持续发起针对哥伦比亚国家的政府部门、金融、保险等行业以及大型公司的定向攻击。在对APT-C-36组织追踪过程中我们发现该组织在不断尝试新的攻击流,尝试将Amadey僵尸网络木马加入到武器库中。 一、攻击活动分析  在日常的狩猎活动中我们发现APT-C-36组织近期活动中尝试在其惯用的PDF鱼叉钓鱼攻击流中添加Amadey僵尸网络木马。
发布时间:2023-10-31 19:41 | 阅读:109077 | 评论:0 | 标签:apt 僵尸网络 木马 网络 分析

安全公司:全球至今仍有超过 100 万台电脑因“永恒之蓝”漏洞被木马感染

IT之家 10 月 30 日消息,永恒之蓝(EternalBlue)漏洞相信小伙伴们并不陌生,这一漏洞在 2017 年 4 月被黑客组织 The Shadow Brokers 公布,并引发了 WannaCry 勒索软件大爆发。但卡巴斯基指出,研究人员估计至今全球依然有超过 100 万台电脑依然存在相关漏洞,而在今年 4 月至 9 月仍有近 6 万台电脑因漏洞遭到黑客入侵。卡巴斯基日前还披露了一个存在历史据称超过 5 年的恶意木马 StripedFly,研究人员起初于 2022 年发现相关恶意代码被注入到受害者的 Wininit.exe 进程中。
发布时间:2023-10-30 22:39 | 阅读:174045 | 评论:0 | 标签:漏洞 安全 木马

大量海外华为 / 荣耀用户反馈称 Google 应用被手机识别为木马

IT之家 10 月 29 日消息,这一周来,有大量华为 / 荣耀手机用户在社区反馈称,手机将 Google 应用检测为“TrojanSMS-PA”木马病毒,这种“恶意软件”能未经用户同意的情况下发送短信。IT之家查询发现,这些用户所使用的机型各不相同,例如华为 P10、华为 P20 Pro、华为 P30 Pro、华为 P40 Pro、华为 Mate 20 X、华为 nova 5T、荣耀 Magic 5 Lite 等等,涉及各种语言。
发布时间:2023-10-29 22:41 | 阅读:360328 | 评论:0 | 标签:木马 Google 手机

警惕无形的威胁:专业解读木马病毒的侵入手段

前言在数字化时代的浪潮中,技术的双刃剑特性愈发凸显。那些看似遥不可及的高科技犯罪,实际上正逐渐渗透到我们的日常生活中。在众多安全威胁中,木马病毒尤其引人关注,因为它们能在无声无息中窃取敏感信息、控制系统操作,甚至威胁国家安全。2022年,某地的网络安全警察在处理一宗涉嫌非法控制计算机信息系统的案件中,截获了一个隐蔽的木马程序。本文将详细介绍这一案例,揭示鉴定专家如何运用先进的技术手段,揭秘这些隐蔽而又破坏性极强的网络威胁。01木马简介木马,作为恶意软件的一种,它狡猾地隐藏在普通程序中,一旦运行,便可对计算机系统造成严重破坏。
发布时间:2023-10-25 19:44 | 阅读:93346 | 评论:0 | 标签:病毒 木马

安全公司:有黑客领英假扮“美商海盗船 HR”,散布带有恶意木马的邮件

IT之家 10 月 23 日消息,据安全公司 WithSecure 新闻稿,日前该安全公司发现有越南黑客在领英假扮美商海盗船 HR,向求职者发送带有恶意木马 DarkGate、RedLine Stealer 的邮件。▲ 图源 WithSecureWithSecure 声称,在一起发生于 8 月的攻击实例中,黑客要求求职者从特定链接下载职位资料,在求职者下载打开文件档案后,求职者的计算机就会自动运行隐藏的 VBS 代码,从而被植入恶意木马 DarkGate,相关恶意代码在被部署完成的 30 秒后,尝试卸载电脑上的 WithSecure 的软件,不过并没有成功。
发布时间:2023-10-24 01:34 | 阅读:99825 | 评论:0 | 标签:黑客 安全 木马

华为安全大咖谈 | 华为终端检测与响应EDR 第05期:挖矿木马防御新视角:从攻击链检测到深度处置

发表于 #华为安全大咖谈 42个 本期讲解嘉宾 近年来,加密货币作为新兴产业,发展速度令人瞩目。挖矿木马是黑客进行网络交易并获取加密货币的主要手段之一,为了应对挖矿木马的威胁,基于人工智能的挖矿木马检测成为一种有效的解决方案。在本文中,我们将介绍几种不同类型的检测引擎如何通过EDR应对当下更加复杂的挖矿木马攻击,包括基于加密通信的挖矿行为,采用进程注入等更加隐蔽和高级的无文件攻击技术来规避检测等。挖矿木马攻击态势挖矿木马的定义和类型近年来,加密货币种类已超过一万种,总市值更是超过万亿。
发布时间:2023-10-23 19:56 | 阅读:103903 | 评论:0 | 标签:防御 攻击 安全 木马

国内企业遭遇窃密木马钓鱼攻击 涉及敏感信息窃取与远控

邮箱收到律师函,一看LOGO就信以为真,赶紧点开邮件附件,没想到公司机密信息却被盗了!图:伪装成法律诉讼文件的钓鱼邮件近日,瑞星威胁情报中心捕获到国内企业被投递窃密木马的钓鱼攻击活动,通过分析发现,攻击者所投递的木马为FormBook 4.1版本,能够窃取浏览器、邮箱等敏感信息,同时具备远程控制功能,具有很强的威胁性,瑞星在此提醒广大企业应加强防范。伪装成商业往来邮件,利用真实LOGO来钓鱼瑞星安全专家介绍,攻击者一般会以撒网式向企业员工或高层发送伪装成商业往来的钓鱼邮件,以诱导受害者点击,此次攻击也不例外。
发布时间:2023-10-20 15:52 | 阅读:97395 | 评论:0 | 标签:攻击 钓鱼 木马

Lazarus 组织通过木马 VNC 应用程序对国防专家进行虚假采访

据观察,与朝鲜有联系的Lazarus 组织(又名 Hidden Cobra 或 TEMP.Hermit)使用虚拟网络计算 (VNC) 应用程序的木马版本作为诱饵,以国防工业和核工程师为目标,作为长期活动的一部分,该活动被称为“梦想工作行动。卡巴斯基在其 2023 年第三季度 APT 趋势报告中表示:“威胁行为者在社交媒体上诱骗求职者打开恶意应用程序进行虚假求职面试。
发布时间:2023-10-19 01:56 | 阅读:105959 | 评论:0 | 标签:木马

事关政企机构数据及财务安全!360发布“银狐”木马新变种预警

近期,360数字安全集团已多次发布关于“银狐”木马的预警通告。该木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家的钓鱼木马,通常在获得计算机控制权限后会在系统内长期驻留,通过监控受害者的日常操作,以寻发起诈骗的契机。近日,360数字安全集团再度监测到该木马的新变种分支,该变种依然是诱骗用户点击钓鱼链接或从即时通讯工具中接收传输文件,让用户下载并执行远控木马。之后,攻击者在利用远控木马长期监视用户的过程中,可实现随时控制受害者电脑,并伺机骗取或盗取用户数据及财产。
发布时间:2023-10-12 22:38 | 阅读:129361 | 评论:0 | 标签:安全 木马 360

利用“黑科技”APP 获利 4795 万元,南通一团伙被抓!

“只要在APP中输入手机号码,就能知道对方的定位,你还不赶紧下载?”家住南通市崇川区的王先生在某短视频平台刷到这样的广告不由心动,于是通过广告的链接下载了该款APP。当王先生想使用手机号码定位功能时,APP提示需要充值成为会员才能使用。于是他充值118元成为了会员,但是当他输入对方手机号码想使用定位功能时,APP却又弹出界面显示“双方均安装该APP并且添加好友对方同意后才能显示对方位置”。王先生才意识到自己被骗了,立刻报警。10月10日,南通崇川法院发布了这起案件。
发布时间:2023-10-11 20:02 | 阅读:357691 | 评论:0 | 标签:国内要闻 木马 恶意软件 app

新一波“银狐”木马攻势来袭,功能更新目标不变

概况说明最近一段时间,360安全大脑已多次发布了关于“银狐”钓鱼木马的预警。而在近日,我们又监测到一批新的钓鱼木马攻击,其攻击团伙与作案手法与之前“银狐”木马有大量相似之处,但亦有所不同。通过分析确认,本轮攻击来源为“银狐”木马的新变种分支。该变种依然是通过钓鱼网页、即时通讯工具等方式进行大范围传播攻击。利用诱骗用户点击钓鱼链接或从即时通讯工具中接收传输过来的文件,让用户下载并执行远控木马。之后攻击者利用远控木马长期监视用户对电脑的使用,还可随时控制受害者电脑并伺机骗取或盗取用户数据及财产。
发布时间:2023-10-11 19:58 | 阅读:116995 | 评论:0 | 标签:木马

消息称部分廉价电视盒子出厂自带“Triada”木马,黑客可窃取相关密码信息

IT之家 10 月 10 日消息,据安全公司 securityaffairs 报道,目前市面上有多款廉价 Android 电视盒子出厂固件自带名为“Triada”的木马,这些电视盒子通常没有品牌,或者以不同的名称销售,在海外通常售价低于 50 美元(IT之家备注:当前约 365 元人民币)。▲ 图源 安全公司 securityaffairs安全研究员 Daniel Milisic 在今年一月发现一款名为 T95 的 Android 电视盒子,在出厂时就被感染了恶意软件,而多名其他研究人员也从其他电视盒子中,佐证了这一发现。
发布时间:2023-10-10 19:43 | 阅读:115831 | 评论:0 | 标签:黑客 木马 密码

话费越扣越多?国内超1400万部手机被植入木马

老年机原本只有接打电话等基础功能但四川攀枝花的张先生却发现家中的老年机无缘无故产生了不少小额增值收费业务警方调查后竟查出一起超千万部老年机被植入木马病毒通过“短信吸血”非法牟利上亿元的涉网络黑灰产特大案件9月15日,四川攀枝花市公安局召开“2023年网络安全宣传周”新闻通气会,公布了这起非法控制计算机信息系统案。目前,该案件仍在侦办中。涉案手机市民报警老年机“自动订购”增值业务张先生为了方便联系家中老人,买了一部功能简单的老年机给老人使用,老人平时只用来接听电话,从不往外拨打。在给老人缴纳话费时,张先生发现,这部手机每个月的话费都在增加。
发布时间:2023-10-09 11:13 | 阅读:347317 | 评论:0 | 标签:木马 手机

千万别被钓鱼!虚假 CVE-2023-40477 PoC 传播远控木马

2023 年 8 月 17 日,业界披露了 WinRAR 的远程代码执行漏洞,编号为 CVE-2023-40477。该漏洞细节发布四天后,一个名为 halersplonk 的攻击者在 GitHub 上部署了一个虚假的 PoC 脚本。该虚假的 PoC 脚本基于公开公用的 PoC 脚本(CVE-2023-251157),该脚本利用名为 GeoServer 的应用程序中的 SQL 注入漏洞进行攻击。在分析了该虚假 PoC 脚本后,研究人员发现该脚本最终会安装 VenomRAT 远控木马。一旦漏洞被公开披露,攻击者就会迅速采取行动。
发布时间:2023-10-05 10:57 | 阅读:191906 | 评论:0 | 标签:CVE 钓鱼 木马

利用木马软件远程控制电脑,涉案金额达 298.2 万元,警方抓获 30 人

近日,浙江温州平阳县公安网安部门破获一起案件,抓获涉案犯罪嫌疑人30名,退赔退赃118万元。 案情回顾 今年4月,平阳县公安局网安大队接辖区内某公司财务人员小陈报警,称其电脑被他人非法控制,嫌疑人利用其微信指令出纳小张往不同的银行卡转账,造成经济损失298.2万元。 案件深挖 原来,境外诈骗团伙先是通过网络招募境内黑客技术员,制作了木马程序。随后他们将伪装成“***政策计划”的木马程序邮件群发至国内企业邮箱,企业工作人员打开程序,便感染了木马病毒,黑客远程控制其电脑,伪装身份,伺机作案。案发当天,出纳小张就是接收到微信上的”财务小陈“指示,从而进行了三次大额转账。
发布时间:2023-09-28 20:02 | 阅读:283201 | 评论:0 | 标签:恶意软件 网络安全 远程 木马

Xenomorph 银行木马:针对超过 35 家美国金融机构的新变种

名为Xenomorph 的Android 银行木马更新版本已瞄准美国超过 35 个家庭金融机构据荷兰安全威胁组织称,该活动利用网络钓鱼网页,旨在诱使受害者安装一些恶意的 Android 应用程序,这些应用程序的目标范围比其前身更广泛。其他主要目标国家包括西班牙、加拿大、意大利和比利时。 名为Xenomorph 的Android 银行木马更新版本已瞄准美国超过 35 个家庭金融机构据荷兰安全威胁组织称,该活动利用网络钓鱼网页,旨在诱使受害者安装一些恶意的 Android 应用程序,这些应用程序的目标范围比其前身更广泛。其他主要目标国家包括西班牙、加拿大、意大利和比利时。
发布时间:2023-09-26 23:01 | 阅读:155438 | 评论:0 | 标签:木马 美国 金融 银行

无法防御!以色列间谍软件 Sherlock 可将广告变成特洛伊木马

IT之家 9 月 24 日消息,以色列《国土报》的一项调查显示,以色列软件制造商 Insanet 开发了一款名为 Sherlock 的间谍软件,将一些有针对性的广告变成特洛伊木马(非授权的远程控制程序)。据报道,该间谍软件无法防御,以色列政府已批准 Insanet 出售该技术。该公司声称间谍软件系统已被出售给一个非民主国家。据了解,Sherlock 为用户创建了一个在线广告,该广告活动主要关注目标的人口统计和位置,并在广告交易平台上放置了一个内置间谍软件的广告。一旦广告投放到目标查看的网页,间谍软件就会秘密安装在目标的手机或计算机上。
发布时间:2023-09-24 13:57 | 阅读:158468 | 评论:0 | 标签:防御 间谍 木马 以色列

银行木马 BBTok 新变种针对 40 多家拉丁美洲银行

针对拉丁美洲的活跃恶意软件活动正在传播一种名为BBTok的银行木马新变种,特别是巴西和墨西哥的用户。Check Point在发表的研究中表示:“BBTok 银行家有一个专用功能,可以复制 40 多家墨西哥和巴西银行的界面,并诱骗受害者将其 2FA 代码输入到他们的银行账户或输入他们的支付卡号。”星期。 针对拉丁美洲的活跃恶意软件活动正在传播一种名为BBTok的银行木马新变种,特别是巴西和墨西哥的用户。Check Point在发表的研究中表示:“BBTok 银行家有一个专用功能,可以复制 40 多家墨西哥和巴西银行的界面,并诱骗受害者将其 2FA 代码输入到他们的银行账户或输入他们的支付卡号。
发布时间:2023-09-24 11:25 | 阅读:170048 | 评论:0 | 标签:木马 银行

对chm木马的分析

发表于        这算是一篇对chm马的分析复盘,很久没搞有点遗忘了,正好借这个机会温故下。从中我们可以学习到对chm文件的解析,对ps代码的调试方法,以及对powershell脚本的解读,份量十足。一、对chm文件的解析CHM文件格式是微软推出的基于HTML文件特性的帮助文件系统,也称作“已编译的HTML帮助文件”。CHM能够支持脚本、Flash、图片、音频、视频等内容,并且同样支持超链接目录、索引以及全文检索功能,常用来制作说明文档、电子书等以方便查阅,在绝大多数人的印象中,CHM类型文件是“无公害”文档文件。
发布时间:2023-09-22 01:46 | 阅读:155021 | 评论:0 | 标签:木马 分析

Hook:新的 Android 银行木马,在 ERMAC 的基础上进行扩展

NCC 集团安全研究人员 Joshua Kamp 和 Alberto Segura在上周发布的技术分析中表示:“ERMAC 源代码被用作 Hook 的基础。”“恶意软件操作者可以发送到感染 ERMAC 恶意软件的设备的所有命令(总共 30 个)也存在于 Hook 中。这些命令的代码实现几乎相同。” 对名为 Hook 的 Android 银行木马的最新分析显示,它是基于其前身 ERMAC 的。NCC 集团安全研究人员 Joshua Kamp 和 Alberto Segura在上周发布的技术分析中表示:“ERMAC 源代码被用作 Hook 的基础。
发布时间:2023-09-18 23:04 | 阅读:508349 | 评论:0 | 标签:Android mac android 木马 银行

木马阴魂不散?360独家防范HotKey攻击!

已清理木马却阴魂不散近期,论坛有用户反馈在某次不小心执行木马被拦截后就时常出现莫名其妙的报错,只要一按回车键就会报告找不到文件。 经排查发现,这是由于用户之前曾感染过一款木马所致。虽然木马已被360成功清理,但其注册用来偷偷启动木马的快捷键却依然残留在系统中,最终启动木马(已清理)失败才会引发的这个报错弹窗。 远控木马通过快捷键隐秘启动木马本身其实并不复杂,会释放功能主体文件到C盘的一个$符号开头的随机名目录下并启动。运行后会访问远端控制服务器,等待远端指令实施远程控制功能。
发布时间:2023-09-15 11:59 | 阅读:162473 | 评论:0 | 标签:攻击 木马 360

“银狐”木马风险分析及防范建议

发表于 一、基本情况    “银狐”木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为。
发布时间:2023-09-07 04:46 | 阅读:193977 | 评论:0 | 标签:木马 分析

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

客黑业创的万千入年个一

❤用费0款退球星,年1期效有员会

🧠富财控掌,知认升提,长成起一💡

标签云 ☁