记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华间谍软件加解密通讯模块分析
1|前言本着研究学习的目的,在开源渠道获取国家计算机病毒应急处理中心关于《西北工业大学遭美国NSA网络攻击事件调查报告》中的在类unix操作系统中使用主战武器之一。相比分析木马功能,分析其通讯模块的加解密操作可能更有意义,此篇文章主要记录此款木马的密钥协商、加解密以及双向认证流程。2|背景样本在完成部分参数解密、信号处理机制置定等的初始化操作后,fork了子进程,在子进程中创建了socket套接字描述符,并修改属性为非阻塞模式,与攻击者端完成的tcp链接建立后,后续做通讯密钥协商和双向验证等操作。
俄罗斯黑客利用WinRAR漏洞针对大使馆进行网络间谍行动
发表于 乌克兰国家安全与国防委员会(NSDC)报告称,其网络安全研究人员发现,俄罗斯背景的黑客最近在利用WinRAR的一个漏洞针对大使馆和国际组织进行网络间谍活动。这些攻击被归咎于一个知名黑客组织APT29(别名UNC3524、NOBELIUM、Cozy Bear、SolarStorm等)。该组织被认为与俄罗斯外交情报局(SVR)有所联系。乌克兰国家网络安全协调中心(NCSCC)分析了起始于今年9月的这次活动。APT29在此前的行动中使用过类似的工具和战术,例如今年4月针对基辅大使馆的行动。
俄罗斯网络间谍组织 LitterDrifter USB 蠕虫分析
原文链接:MALWARE SPOTLIGHT – INTO THE TRASH: ANALYZING LITTERDRIFTER 译者:知道创宇404实验室翻译组介绍Gamaredon,又称为 Primitive Bear、ACTINIUM 和 Shuckworm,主要目标是乌克兰地区。一般情况下,研究人员很难发现俄罗斯间谍活动的证据,但近期的Gamaredon却明显可疑,其在以乌克兰地区为主要目标进行了大规模的攻击活动。乌克兰安全局 (SSU) 确认 Gamaredon的人员是俄罗斯联邦安全局(FSB)的官员。
简单.粗暴.有效!俄罗斯网络间谍的USB蠕虫LitterDrifter来袭
发表于 据Check Point最新发布的分析报告,隶属于联邦安全局(FSB)的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的USB蠕虫。报告详细介绍了Gamaredon(又名Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm和Winterflounder)的最新战术,称该组织从事大规模网络活动,随后“针对特定目标进行情报收集工作,其选择很可能是出于间谍目的。
俄罗斯网络间谍组织在有针对性的攻击中部署 LitterDrifter USB 蠕虫
据观察,隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。
以色列安全公司Check Point详细介绍了Gamaredon(又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder)的最新战术,称该组织从事大规模活动,随后“针对特定目标进行数据收集工作,其选择很可能是出于间谍目的。
活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰
发表于 摘 要Check Point的研究人员观察到,与俄罗斯有关的Gamaredon在对乌克兰的攻击中通过USB传播了一种名为LitterDrifter的蠕虫。Gamaredon(又名Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010和Trident Ursa)自2014年以来一直活跃,其活动集中在乌克兰,该组织是使用多级后门Pterandon/Pterodo观察到的。Gamaredon APT集团继续对乌克兰的实体进行攻击,包括安全部门、军事和政府组织。自俄乌冲突以来,该网络间谍组织对乌克兰目标进行了多次打击。
乌克兰称:俄黑客在最近的网络间谍活动中以大使馆和国际组织为目标
乌克兰政府网络安全研究人员发现,俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。
这些攻击归因于臭名昭著的黑客组织 APT29,也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局(SVR)联系起来,该机构负责收集其他国家的政治和经济情报。
乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略,特别是在四月份针对基辅大使馆的行动中。
NCSCC 表示,最近的行动“主要目标是渗透使馆实体”,其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。
NSA组织“二次约会”间谍软件通信模型剖析与对比
概述在上一篇《NSA组织“二次约会”间谍软件功能复现及加解密分析》文章中,笔者对“二次约会”v1.1.1.1样本的功能进行了复现,以及对其网络通信模型中所涉及的加解密算法进行了详细的剖析,最终成功编写解密脚本实现对“二次约会”v1.1.1.1样本通信流量的解密还原。
发布时间:2023-11-13 17:51 |
阅读:68593 | 评论:0 |
标签:间谍
NSA组织“二次约会”间谍软件功能复现及加解密分析
概述前几个月,国家计算机病毒应急处理中心发布了一篇《“二次约会”间谍软件分析报告》,对“二次约会”间谍软件的背景及功能进行了简单介绍
伊朗黑客(APT-C-34)被发现对中东政府和军队进行间谍活动
主要发现Check Point Research (CPR) 正在监测隶属于情报与安全部 (MOIS) 的Scarred Manticore正在进行的伊朗间谍活动。这些攻击依赖于LIONTAIL,这是一种安装在 Windows 服务器上的高级被动恶意软件框架。出于隐蔽目的,LIONTIAL 植入程序利用对 Windows HTTP 堆栈驱动程序 HTTP.sys 的直接调用来加载驻留在内存中的有效负载。作为与Sygnia事件响应团队共同努力的一部分 ,利用多种取证工具和技术来揭示入侵和 LIONTAIL 框架的其他阶段。当前的活动在 2023 年中期达到顶峰,并在人们的关注下至少一年了。
《反间谍法》造成“数据安全风险”?权威解答来了!
今年4月《反间谍法》修订通过以来,境内外舆论高度关注,绝大多数声音尊重和支持中国正当的立法活动,但其中也有一些误读,甚至是恶意攻击抹黑。为正本清源、以正视听,有必要用事实和数据说话,对一些典型的错误言论予以回应和驳斥,推动各方全面了解和正确理解中国新修订的《反间谍法》。错误观点:《反间谍法》过度关注数据安全,赋予国家安全机关查阅调取数据权,容易造成企业和个人的“数据安全风险”。事实之一:《反间谍法》中关于查阅调取数据的规定是对现有法律的衔接细化,并非新增授权。2021年《数据安全法》第35条已对国家安全机关“因依法维护国家安全或者侦查犯罪的需要调取数据”作出规定。
疑方程式重现江湖!复杂的间谍平台StripedFly已控制100万受害者
发表于 以下文章来源于网空闲话plus ,作者网空闲话 网空闲话plus . 原《网空闲话》。主推网络空间安全情报分享,安全意识教育普及,安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。 当地时间10月26日,卡巴斯基研究团队发布最新APT分析报告《StripedFly: Perennially flying under the radar》,解开了又一疑是方程式风格的恶意间谍平台StripedFly。报告称StripedFly软件平台在2017年首次被发现,被归类为一种基本上无效的加密货币挖矿恶意软件,并被广泛驳回。
发布时间:2023-10-27 17:06 |
阅读:75720 | 评论:0 |
标签:间谍
间谍组织利用网络邮件服务器0day漏洞(CVE-2023-5631)针对欧洲政府
据外媒报道,一个通常支持俄罗斯和白俄罗斯的著名间谍组织被发现利用影响欧洲各国政府使用的流行网络邮件服务的零日漏洞。安全公司 ESET 的研究人员表示,他们一直在追踪 Winter Vivern 发起的一项新活动,该组织是一个高级持续威胁 (APT) 组织,此前曾参与对波兰、乌克兰和印度政府的网络攻击。最新的活动涉及利用一个先前未知的错误,影响免费开源的 Roundcube Webmail 软件。ESET 表示,在 10 月 12 日发现该漏洞后,已向 Roundcube 通报了该漏洞(编号为CVE-2023-5631 )。并于 10 月 14 日发布了补丁。
美国国家安全局前雇员承认向俄罗斯泄露机密国防数据
Hackernews 编译,转载请注明出处:
美国国家安全局(NSA)一名前雇员已经承认对他的指控,他曾试图向俄罗斯传输机密国防信息。
31岁的 Jareh Sebastian Dalke 在2022年6月6日至2022年7月1日期间担任美国国家安全局信息系统安全设计师,在此期间他获得了访问敏感文件的绝密许可。
美国司法部(DoJ)在本周一的新闻稿中表示:“Dalke 承认,在2022年8月至9月期间,为了展示他的‘合法访问和分享意愿’,他使用加密电子邮件帐户向他认为的俄罗斯特工传输了三份机密文件的摘录。”
实际上,所谓的特工是美国联邦调查局(FBI)的一名在线秘密雇员。
国际刑事法院系统因网络间谍活动而遭到破坏
国际刑事法院在五周前提供了有关网络攻击的更多信息,称这是一次出于间谍目的的有针对性的行动。该政府间组织 在检测到其信息系统存在异常活动几天后,于 9 月 19 日披露了此次泄露事件。作为一个国际法庭,国际刑事法院(ICC)设在荷兰海牙,其职责是调查犯有国际社会关注罪行的个人并追究其责任。间谍活动在周五的一份声明中,国际刑事法院分享了有关网络攻击后采取的行动的新细节以及对该事件的法证分析的一些初步结果。“迄今为止现有的证据表明这是一次以间谍活动为目的的有针对性的复杂攻击。
超级网络间谍活动浮出水面!黑客疯狂入侵东欧国防和石油巨头
发表于 卡巴斯基全球研究与分析小组(GReAT)和工业控制系统网络应急小组(ICS CERT)的研究人员发布的新数据揭示了针对东欧工业公司的网络间谍活动的重大进展。这些工作包括部署一个更新的MATA工具集。研究披露,2022年9月上旬,卡巴斯基发现了多个属于MATA组织的新恶意软件样本。当卡巴斯基收集和分析相关遥测数据时,卡巴斯基意识到该活动于2022年8月中旬发起,主要攻击目标是东欧石油和天然气行业以及国防工业的十几家公司。这些攻击使用鱼叉式网络钓鱼电子邮件诱骗目标下载恶意可执行文件,利用Internet Explorer中的CVE-2021-26411启动感染链。
以色列假“RedAlert”火箭警报应用程序安装 Android 间谍软件
以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标,该应用程序虽然提供了承诺的功能,但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序,以色列公民使用它来接收针对该国的来袭火箭弹的通知。
该应用程序非常受欢迎,在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击,使用数千枚火箭弹以来,随着人们寻求有关其地区即将发生的空袭的及时警告,对该应用程序的兴趣激增。
以色列的假“RedAlert”火箭警报应用程序安装Android间谍软件
以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标,该应用程序虽然提供了承诺的功能,但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序,以色列公民使用它来接收针对该国的来袭火箭弹的通知。该应用程序非常受欢迎,在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击,使用数千枚火箭弹以来,随着人们寻求有关其地区即将发生的空袭的及时警告,对该应用程序的兴趣激增。
巴以信息战同步升级!全球黑客集合,以色列陷入间谍活动旋涡
发表于 研究人员正在关注以色列-哈马斯冲突引发的国家支持的信息行动,但到目前为止,还没有出现重大举措。然而,随着越来越多的黑客活动主义者和间谍行为者加入这场争论,预计反以色列的影响力和间谍活动将加大。 在本周举行的一次新闻电话会议上,谷歌云Mandiant Intelligence首席分析师John Hultquist表示,到目前为止,还没有发现“协调的网络活动”,但随着情况的持续,攻击预计会随着时间的推移而增加。
谁是间谍?邀你鉴别近期热播剧里“行走的10万+”!
窃密、网勾、测谎……当代“谍战”什么样?教授、研究员、清洁工、游戏高手……谁是潜藏其中的间谍?近期,一部“烧脑”的当代国安题材电视连续剧《特工任务》迎来了收官大结局。《特工任务》讲述的是当代国安干警如何与境外间谍斗智斗勇的故事,揭开了国家安全机关工作的神秘面纱,让无名英雄们走上荧屏。电视连续剧《特工任务》剧照网络游戏背后的间谍阴谋津海市国家安全局侦察科科长高天阳,在工作中发现,境外情报组织“夜雾”开发了一款名为“特工任务”的网络游戏。该组织以网络游戏为掩护,暗中开展间谍活动。侦察过程中,高天阳意外发现,自己的表弟也深陷其中……《特工任务》就此拉开帷幕。
发布时间:2023-10-11 10:57 |
阅读:94870 | 评论:0 |
标签:间谍
圭亚那政府实体在网络间谍攻击中遭到 DinodasRAT 攻击
圭亚那的一个政府实体已成为名为“水雉行动”的网络间谍活动的一部分。ESET 于 2023 年 2 月检测到该活动,该活动涉及鱼叉式网络钓鱼攻击,导致部署迄今为止未记录的用 C++ 编写的名为 DinodasRAT 的植入程序。 圭亚那的一个政府实体已成为名为“水雉行动”的网络间谍活动的一部分。ESET 于 2023 年 2 月检测到该活动,该活动涉及鱼叉式网络钓鱼攻击,导致部署迄今为止未记录的用 C++ 编写的名为 DinodasRAT 的植入程序。
无法防御!以色列间谍软件 Sherlock 可将广告变成特洛伊木马
IT之家 9 月 24 日消息,以色列《国土报》的一项调查显示,以色列软件制造商 Insanet 开发了一款名为 Sherlock 的间谍软件,将一些有针对性的广告变成特洛伊木马(非授权的远程控制程序)。据报道,该间谍软件无法防御,以色列政府已批准 Insanet 出售该技术。该公司声称间谍软件系统已被出售给一个非民主国家。据了解,Sherlock 为用户创建了一个在线广告,该广告活动主要关注目标的人口统计和位置,并在广告交易平台上放置了一个内置间谍软件的广告。一旦广告投放到目标查看的网页,间谍软件就会秘密安装在目标的手机或计算机上。
聚焦2023网安周 | “网络间谍行为”是什么?遇到了怎么办?
发表于 #聚焦2023年国家网络安全宣传周 14个 扫码订阅《中国信息安全》邮发代号 2-786征订热线:010-82341063今年9月11日至17日是第十个国家网络安全宣传周,主题是“网络安全为人民,网络安全靠人民”。当前,网络空间已成为间谍窃密破坏活动的主渠道之一,网络间谍行为具有“成本小,收益大”“无差别、全天候”等特点,对我国家安全造成严重隐患和现实危害。
Evil Telegram间谍软件大规模渗透Google Play,数百万用户陷入隐私陷阱
发表于 Google Play商店中发现了伪装成Telegram修改版本的间谍软件,该软件旨在从受损的安卓设备中获取敏感信息。卡巴斯基安全研究员Igor Golovin表示,这些应用程序具有邪恶的功能,可以捕获姓名、用户ID、联系人、电话号码和聊天信息,并将其泄露到由黑客控制的服务器上。 该活动被俄罗斯网络安全公司命名为“Evil Telegram”。应用程序在被谷歌删除之前已经被集体下载了数百万次。
谷歌应用商店中惊现 Telegram 间谍软件,下载量超数百万次
近日,谷歌应用商店中出现了伪装成Telegram修订版的间谍软件,该软件可入侵安卓设备并获取敏感信息。
卡巴斯基安全研究员Igor Golovin表示,这种恶意软件不仅可以窃取用户的姓名、ID、联系人、电话号码和聊天信息,还能将这些信息传输至恶意行为者的服务器上。
俄罗斯网络安全公司将这种活动命名为 Evil Telegram。
这些软件在被谷歌商店下架前,已经被下载了数百万次。
苹果急于修补iPhone上Pegasus间谍软件的零日漏洞
苹果周四发布了iOS,iPadOS,macOS和watchOS的紧急安全更新,以解决两个零日漏洞,这些漏洞已被利用来提供NSO Group的Pegasus雇佣军间谍软件。 苹果周四发布了iOS,iPadOS,macOS和watchOS的紧急安全更新,以解决两个零日漏洞,这些漏洞已被利用来提供NSO Group的Pegasus雇佣军间谍软件。这些问题描述如下:CVE-2023-41061 -Wallet中的验证问题,在处理恶意构建的附件时可能导致执行任意代码。CVE-2023-41064 -图像I/O组件中的缓冲区溢出问题,在处理恶意构建的图像时可能导致执行任意代码。
iPhone 用户请更新 iOS 16.6.1,苹果修复 Pegasus 间谍软件所用 2 处漏洞
IT之家 9 月 8 日消息,Citizen Lab 今天发布安全博文,表示苹果今天发布的 iOS 16.6.1 等版本更新中,修复了 2 个安全漏洞,这两个漏洞被 NSO Group 集团用于 Pegasus 监控软件。Citizen Lab 在博文中表示这 2 个漏洞的追踪编号分别为 CVE-2023-41064 和 CVE-2023-41061,攻击者利用上述漏洞制作包含恶意代码的图片,并通过 PassKit 附件分发。IT之家注:Pegasus 是由 NSO Group 开发的监控恶意应用,主要针对记者、政要以及各种活动人士,可以监控窃取相关信息。
SapphireStealer 恶意软件:网络间谍和勒索软件操作的门户
Hackernews 编译,转载请注明出处:
一个基于.NET的开源信息窃取恶意软件SapphireStealer,已被多个实体用来增强其能力并产生自己的定制变体。
思科Talos研究员Edmund Brumaghin在与The Hacker News分享的一份报告中表示:“像SapphireStealer这样窃取信息的恶意软件可以用来获取敏感信息,包括公司凭据。这些信息经常被转售给其他威胁行为者,他们利用这些访问权进行额外的攻击,包括与间谍活动或勒索软件/勒索有关的行动。”
随着时间的推移,一个允许经济动机和国家行为者使用恶意软件提供商提供的服务来实施各种攻击的完整生态系统已经发展起来了。
军工保密!苹果手机用户自查TriangleDB间谍软件参考步骤
军工保密资格审查认证中心下属公众号“军工安全保密教育培训”发布《苹果手机用户自查TriangleDB间谍软件参考步骤》。一、准备工作一台Windows操作系统电脑(系统版本为Win10及以上),下载安装苹果iTunes工具。二、自查步骤步骤一:连接手机与电脑在电脑上打开iTunes工具,通过数据线连接手机与电脑,并在手机上弹出的窗口中选择“信任”。图1 苹果设备确认是否信任电脑步骤二:备份手机数据在iTunes工具中,右键iPhone设备并选择“备份”,如图2,将手机信息备份到电脑中。
匿名黑客入侵间谍软件公司销毁收集的数据
一位未透露名字的黑客入侵了间谍软件公司 WebDetetive,删除了其间谍软件监视的设备信息,阻止其客户继续收集数据。黑客在一份声明中称,间谍软件用户不会再从其目标获得任何新数据,因为 #fuckstalkerware。黑客称 WebDetetive 监视的设备有逾 7.6 万台,应用服务器上有逾 1.5 GB 的数据被删除。黑客还从入侵中窃取到了 WebDetetive 客户的信息,包括 IP 地址和针对的目标设备。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡