-
开源生态系统中的恶意软件:Phylum的发现
-
警惕拼写错误导致恶意PyPI包的安装
数据泄露专题
TimbreStealer 通过金融主题诈骗瞄准墨西哥用户
Tag:TimbreStealer , 网络安全防护
事件概述:
据报道,据Hacker News报道,自2023年11月以来,墨西哥的潜在受害者已成为税务主题的TimbreStealer Windows恶意软件的目标。这场攻击活动通过地理围栏技术有选择地针对墨西哥用户,并使用先进的混淆方法来规避检测。如果从其他地点访问载荷站点,恶意PDF将被替换为空白的PDF。该载荷已被开发用于收集信息,例如系统元数据、访问过的URL和多目录凭证,确认是否安装了远程桌面软件,并搜索符合特定扩展名的文件。一些规避技术包括使用直接系统调用和自定义加载器来绕过标准API监视,并利用Heaven’s Gate运行64位代码与32位过程。Cisco Talos发现了这场活动,并表示威胁行为者使用了相同的战术、技术和程序来部署2023年9月的Mispadu银行木马。
本次攻击活动采用地理围栏技术和先进的混淆方法,针对墨西哥用户,这种方法可以有效地规避检测。恶意软件的载荷具有高度的信息收集能力,可以获取系统元数据、访问过的URL和多目录凭证等信息,还可以确认是否安装了远程桌面软件,并搜索特定扩展名的文件。这种恶意软件还采用了一些规避技术,如使用直接系统调用和自定义加载器绕过标准API监视,以及利用Heaven’s Gate技术在32位进程中运行64位代码。这些技术手段使得恶意软件能够更好地隐藏自身,增加了检测和防御的难度。此外,攻击者还使用了与部署Mispadu银行木马相同的战术、技术和程序,这可能表明背后的威胁行为者是相同的。这次攻击活动再次提醒我们,我们必须提高警惕,加强网络安全防护,特别是对于重要信息的保护。
来源:
https://www.scmagazine.com/brief/timbrestealer-targets-users-in-mexico-with-financial-themed-scams
Morphisec揭示UAC-0184威胁行为者利用IDAT加载器和Remcos RAT攻击乌克兰实体
Tag:IDAT加载器, Remcos RAT
事件概述:
Mo
rp
hisec威胁实验室最近发现了多个指向威胁行为者UAC-0184的攻击迹象。这一发现揭示了臭名昭著的IDAT加载器将Remcos远程访问木马(RAT)传递给位于芬兰的乌克兰实体。
攻
击者针对乌克兰实体进行了精心策划的攻击,他们显然试图扩大到与乌克兰有关联的其他实体。攻击过程中,IDAT加载器使用了隐写术作为一种技术。这种技术用
于在图像或视频中隐藏恶意代码或文件,使其难以被检测。Remcos是一种商业远程访问木马(RAT),允许攻击者快速轻松地控制感染的计算机,窃取个人信息,并监视受害者的活动。
I
DAT是一
种高级加载器,可以加载各种恶意软件家族,包括Danabot、SystemBC和RedLine Stealer。IDAT采用模块化架构,具有独特的代码注入和执行模块,使其与常规加载器区别开来。IDAT使用诸如动态加载Windows API函数、HTTP连接性测试、进程黑名单和系统调用等复杂技术来规避检测。IDAT的感染过程分为多个阶段,每个阶段都有不同的功能。在这个案例中,IDAT模块被嵌入到主执行文件中,这通常是从远程服务器下载的。IDAT加载器是一种揭示了独特的战术、技术和程序(TTPs)的网络威胁。Morphisec的自动移动目标防御(AMTD)可以阻止像IDAT加载器和Remcos RAT这样的攻击,检测隐藏的恶意代码(就像这次攻击中的情况),并对有效载荷恶意软件本身进行检测。Morphisec不依赖于签名或行为模式。相反,它使用专利的移动目标防御技术来阻止攻击的最早阶段,预先阻止对内存和应用程序的攻击,有效地消除了响应的需要。
来源:
https://blog.morphisec.com/unveiling-uac-0184-the-remcos-rat-steganography-saga
俄罗斯开发AI网络威胁工具,对美国民主制度造成冲击
Tag:人工智能(AI), 美国国家安全局(NSA)
事件概述:
据报道,俄罗斯在人工智能(AI)方面的进步引发了对网络战争的担忧。在弗拉基米尔·普京的领导下,俄罗斯据称开发了复杂的基于AI的网络工具,目的是操纵新闻叙事,可能对2024年11月即将到来的美国选举产生影响。这个消息首次来自乌克兰,这个国家过去两年一直与俄罗斯发生冲突。乌克兰当局昨天发表了一份官方声明,对俄罗斯利用AI工具散布假信息表示警惕。据称,俄罗斯投入了高达15亿美元建立一个专门用于通过AI技术扩大假新闻影响力的数据仓库,这种威胁远比目前预期的要严重。
俄罗斯的这种AI驱动的假新闻传播手段,最初是用来在乌克兰人民中间播下不和,制造关于与俄罗斯军队冲突的新闻。然而,随着美国选举的临近,这些AI驱动的假新闻宣传活动现在已经转移了焦点。俄罗斯的主要目标似乎有两个:一是削弱西方对乌克兰领导人泽连斯基总统的支持,二是影响2024年美国选举的结果,支持克里姆林宫的候选人。与此同时,美国国家安全局(NSA)和联邦调查局(FBI)已经发表了一份联合声明,强调俄罗斯情报部门利用被攻破的路由器。这种策略包括收集凭证以便进行代理网络流量,以及收集和销售敏感数据,如cookies和摘要。受害目标包括学术和研究机构、政治实体、防务承包商,甚至私人个体。在受影响的实体中,基于Linux的Ubiquiti Edge Router因为这些复杂的网络攻击而成为受害者,这可能预示着未来更多企业可能面临的趋势。
来源:
https://www.cybersecurity-insiders.com/russia-develops-an-ai-cyber-threat-tool-to-put-a-jolt-in-us-democracy/?utm_source=rss&utm_medium=rss&utm_campaign=russia-develops-an-ai-cyber-threat-tool-to-put-a-jolt-in-us-democra
c
y
白宫呼吁业界解决数十年的内存相关软件漏洞问题
Tag:内存安全, 网络安全行政命令
事件概述:
美国白宫近日呼吁科技行业采用内存安全的编程语言,以减少自1980年代以来一直困扰行业的编码错误问题。这些编码错误允许攻击者滥用软件如何管理计算机内存,这些漏洞可能被利用来侵犯或破坏数据,运行恶意代码。白宫发布的一份新的技术报告得到了科技行业领导者和学术界的支持,报告提到C和C++等编程语言缺乏与内存安全相关的特性,且在关键系统中广泛传播。报告推荐使用Rust、Python和Java等编程语言作为替代。白宫希望公司的高管,而不仅仅是工程师,能够关注这个问题。
报告指出,将代码迁移到内存安全可能需要花费数十年的时间,这取决于公司的规模,并需要所有人的关注和支持。但是,那些做到这一点的人将对我国的安全产生巨大影响。报告还呼吁创建更好的度量软件安全性的指标,这需要在软件工程和网络安全研究方面进行开创性的工作。这份报告是对美国总统乔·拜登2021年的网络安全行政命令的最新跟进,也是2023年国家网络安全战略发布的一部分。其他机构也呼吁科技行业在开发产品的早期就考虑安全问题。白宫指出,计算机内存漏洞使得1988年的最早的互联网安全事件——Morris Worm的发生,而且至今仍为攻击者提供了机会,包括2023年由间谍软件供应商使用的BLASTPASS漏洞链。
来源:
https://
unsafe.sh/go-224487.html
俄罗斯电网遭黑客攻击大停电
Tag:多因素身份验证,威胁情报共享
事件概述:
据TASS新闻社报道,一名49岁的俄罗斯公民被控对当地一家电力厂进行网络攻击,导致38个村庄停电。这起攻击发生在一年前,该男子面临最高8年的监禁。俄罗斯联邦安全局(FSB)沃洛格达地区部门已经完成了对这名黑客的刑事调查。调查发现,2023年2月,这名1975年出生的地区居民非法进入电网的技术控制系统,切断了沃洛格达地区38个定居点的电力供应。目前,该嫌疑人被要求必须待在指定的地点,等待法院的最终判决。
从技术角度看,这起事件再次突显了保护关键基础设施免受网络攻击的重要性。黑客通过非法获取电网的技术控制系统的访问权限,成功切断了大量村庄的电力供应。这一事件表明,电力设施的网络安全防护措施存在明显的漏洞,需要得到及时的修复和加强。此外,这起事件也强调了多因素身份验证、威胁情报共享和自动化安全措施在防止此类攻击中的重要性。对于关键基础设施的保护,我们需要更加严密的安全防护措施,以防止此类事件的再次发生。
来源:
https://securityaffairs.com/159536/hacking/cyber-attack-power-plant-russia-hacker.html
钢铁巨头ThyssenKrupp确认汽车部门遭受网络攻击
Tag:ThyssenKrupp,勒索
事件概述:
全球钢铁生产巨头ThyssenKrupp公司确认,其汽车部门系统上周遭到黑客攻击,为了应对和控制这一情况,公司不得不关闭IT系统。ThyssenKrupp AG是全球最大的钢铁生产商之一,拥有超过10万名员工,年收入超过444亿美元(2022年)。该公司在全球供应链中占据重要地位,其钢铁产品广泛应用于各个行业,包括机械、汽车、电梯和自动扶梯、工业工程、可再生能源和建筑等。ThyssenKrupp表示,上周其汽车车身生产部门受到了网络攻击。
ThyssenKrupp的一位发言人表示,“我们的ThyssenKrupp汽车车身解决方案业务部门上周记录到了对其IT基础设施的未经授权访问。”他还表示,“汽车车身解决方案的IT安全团队在早期就发现了这一事件,并已与ThyssenKrupp集团的IT安全团队合作,以控制威胁。”为此,他们采取了多种安全措施,并暂时关闭了某些应用和系统。ThyssenKrupp已经澄清,除汽车部门外,其他业务部门或部分均未受到此次网络攻击的影响。该公司还表示,目前情况已经得到控制,他们正在逐步恢复正常运营。在全球经济中占据重要地位的ThyssenKrupp多次成为黑客攻击的目标,包括在2022年、2020年、2016年和2013年,这些攻击大多旨在进行间谍活动和破坏运营。截至撰写时,尚无大型勒索软件团伙或其他威胁行为者承认对ThyssenKrupp的攻击,因此此次侵害的类型仍然未知。
来源:
https://www.bleepingcomputer.com/news/security/steel-giant-thyssenkrupp-confirms-cyberattack-on-automotive-division/#google_vignette
开源生态系统中的恶意软件:Phylum的发现
Tag:npm代码分析器包, 社交工程攻击
事件概述:
网络安全公司Phylum近日在开源生态系统中发现了一种恶意软件。该恶意软件伪装成npm代码分析器包,实际上安装了多个恶意脚本,包括加密货币和凭证窃取器。攻击者试图在测试文件中隐藏恶意代码,以防被发现。Phylum正在对与此包相关的可疑GitHub仓库进行调查。此外,Phylum发现的证据显示,这种恶意软件可能是针对开发人员的社交工程攻击活动的一部分。攻击者还在尝试改变策略,以适应npm包的下架。最新的研究发现了一种新的策略,即自托管恶意npm依赖项,并可能与朝鲜国家赞助的恶意软件有关。
这次攻击的主要技术特点是利用开源生态系统的漏洞,通过伪装成常规的npm包,实际上安装恶意脚本。攻击者在测试文件中隐藏恶意代码,以防被发现。此外,攻击者还尝试改变策略,以适应npm包的下架。这种策略包括自托管恶意npm依赖项,以及可能与朝鲜国家赞助的恶意软件有关。这种攻击方式表明,开发者和使用开源软件的用户需要对他们使用的软件包进行更严格的审查,以防止被恶意软件攻击。此外,开源社区也需要加强对软件包的监管,防止恶意软件的传播。
来源:
https://blog.phylum.io/smuggling-malware-in-test-code/
警惕拼写错误导致恶意PyPI包的安装
Tag:Lazarus, Python Package Index (PyPI)
事件概述:
网络安全专家警告,Python开发者面临新的威胁:在Python Package Index (PyPI)上进行拼写错误的恶意包。这种恶意包是由以网络间谍和破坏活动而臭名昭著的 Lazarus 组织发布的,旨在利用开发者在安装包时的拼写错误进行攻击。这些恶意包包括 pycryptoenv、pycryptoconf、quasarlib 和 swapmempool,它们被设计得与合法的 pycrypto 包非常相似,以此欺骗开发者下载并在其系统上安装恶意软件。这些恶意包已经被下载了数百次,表明许多开发者已经成为这种方案的受害者。开发者在安装包时必须保持警惕,仔细检查拼写,并验证来源的真实性。此外,组织应考虑实施自动化工具来检测并阻止可能的恶意包的安装。
这些恶意包的内部结构揭示了令人担忧的设置。例如,pycryptoenv包含一个名为test.py的文件,这并不是一个Python脚本,而是一个XOR编码的DLL文件。包内的文件负责解码和执行这个文件。这种恶意软件被称为Comebacker,它并不是网络安全社区的新成员。Lazarus组织之前在针对安全研究人员的一次活动中使用过它。该恶意软件通过一系列步骤执行,首先解码test.py,将其保存为output.py,然后作为DLL文件运行。Comebacker恶意软件使用HTTP POST请求与其命令和控制(C2)服务器进行通信。发送和接收的数据是编码的,一旦成功通信,服务器会发送回一个Windows可执行文件。这个文件然后在内存中执行,避免了传统杀毒软件的检测。Lazarus已经在通过不同的包仓库传播恶意软件方面采用了类似的技术,包括npm,这表明它在渗透软件供应链方面采取了更广泛的方法。
来源:
https://gbhackers.com/malicious-pypi-package-installation/
俄罗斯SVR黑客组织如何适应政府和企业向云基础设施的转移
Tag:英国国家网络安全中心(NCSC), APT29
事件概述:
英国国家网络安全中心(NCSC)及其国际合作伙伴认为APT29(又名Midnight Blizzard、Dukes或Cozy Bear)是一支网络间谍组织,几乎可以肯定是俄罗斯情报机构SVR的一部分。该组织已将其目标扩大到包括航空、教育、执法、地方和州议会、政府财政部门和军事组织。随着组织继续现代化他们的系统并转向云基础设施,SVR已经适应了这些操作环境的变化。他们已经超越了他们的传统初始访问方式,例如利用本地网络中的软件漏洞,而是直接针对云服务本身。SVR已经成功地使用暴力破解和密码喷洒来访问服务账户。此类账户通常用于运行和管理应用程序和服务。没有人在他们背后,因此他们不能容易地用多因素认证(MFA)进行保护,使这些账户更容易成功被破坏。
SVR黑客组织已经成功地使用暴力破解和密码喷洒来访问服务账户。这种类型的账户通常用于运行和管理应用程序和服务。由于没有人在他们背后,因此他们不能轻易地用多因素认证(MFA)进行保护,这使得这些账户更容易被成功破坏。服务账户通常也具有高权限,这取决于他们负责管理的应用程序和服务。获得这些账户的访问权限为威胁行为者提供了对网络的特权初始访问权限,以发起进一步的操作。SVR的活动也针对了属于不再在受害组织工作的用户的休眠账户,但其账户仍然在系统上。在一次事件中对所有用户进行强制密码重置后,SVR行为者也被观察到登录到不活动的账户并按照指示重置密码。这使得行为者在事件响应驱逐活动后重新获得访问权限。
来源:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a
极有可能被黑客利用,Outlook远程代码执行漏洞
Tag:
漏洞
