有一个正在感染TP链接路由器的新僵尸网络:僵尸网络可以导致命令注入,然后使远程代码执行(RCE)成为可能,因此恶意软件可以自动在Internet上扩散。这种高度严重的安全漏洞(CVE-2023-1389)也已被用于传播其他恶意软件系列,早在2023年4月,当时它就在Mirai Botnet恶意软件攻击中使用。该缺陷还与Condi和Androxgh0st恶意软件袭击有关。伴随着美国,澳大利亚,中国和墨西哥制造,医疗/医疗保健,服务和技术组织的僵尸网络...
Thousands of WordPress Websites Infected with Malware
恶意软件包括四个独立的后门:创建四个后门有助于检测并删除具有多个重新输入的攻击者。我们以前从未见过的独特案例。这可能是通过滥用无法监视用户浏览器中的第三方依赖的网站而进行的另一种攻击。四个后门:下面说明了四个后门的功能:Backdoor 1:Backdoor 1,上传并安装了一个名为“ Ultra Seo处理器”的假插件,该插件当时用于执行攻击者命令...
Delivering Malware Through Abandoned Amazon S3 Buckets
这是一次随时可能发生的供应链攻击。一组研究人员搜索并注册了价值约 400 美元的废弃 Amazon S3 存储桶。这些存储桶包含仍在使用的软件库。这些项目可能没有意识到它们已被废弃,仍在向它们发送补丁、更新等信息。简而言之,这一次,我们最终发现了约 150 个 Amazon S3 存储桶,这些存储桶之前曾用于商业和开源软件产品、政府和基础设施部署/更新管道,后来被废弃……
卡巴斯基报告了一种新型智能手机恶意软件。该恶意软件使用光学字符识别 (OCR) 来查看设备的照片库,寻找加密钱包恢复短语的屏幕截图。根据他们的评估,受感染的 Google Play 应用程序已被下载超过 242,000 次。卡巴斯基表示:“这是首次在 Apple 官方应用市场中发现感染 OCR 间谍软件的应用程序。”这是我以前从未听说过的策略。
Fake Reddit and WeTransfer Sites are Pushing Malware
有数千个假的 Reddit 和 WeTransfer 网页正在推送恶意软件。他们利用使用搜索引擎搜索 Reddit 等网站的人。毫无戒心的受害者点击链接后会被带到一个模仿流行文件共享服务界面的假 WeTransfer 网站。“下载”按钮指向托管在“weighcobbweo[.]top”上的 Lumma Stealer 有效载荷。Boingboing 帖子。
新发现的 VPN 后门使用了一些有趣的策略来避免被发现:当威胁行为者使用后门恶意软件访问网络时,他们希望确保他们的所有辛勤工作不会被竞争团体利用或被防御者检测到。一种对策是为后门配备一个被动代理,该代理保持休眠状态,直到它收到业内所谓的“魔法包”。周四,研究人员透露,一个从未见过的后门悄悄控制了数十个运行瞻博网络 Junos OS 的企业 VPN,它一直在这样做……
FBI Deletes PlugX Malware from Thousands of Computers
根据美国司法部的一份新闻稿,FBI 能够从“大约 4,258 台美国计算机和网络”中删除中国使用的 PlugX 恶意软件。详细信息:为了从被黑客入侵的机器中检索信息并向其发送命令,该恶意软件会连接到黑客组织运营的命令和控制服务器。据 FBI 称,自 2023 年 9 月以来,美国至少有 45,000 个 IP 地址与命令和控制服务器有过来回通信。正是这台服务器让 FBI 最终杀死了这个讨厌的恶意软件。首先,他们利用了法国情报机构的专业知识,这些机构已经……
这款工具似乎效果不错。该公司的移动威胁搜寻功能结合了基于恶意软件签名的检测、启发式方法和机器学习,用于查找 iOS 和 Android 设备活动中的异常或间谍软件感染的迹象。对于付费的 iVerify 客户,该工具会定期检查设备是否存在潜在的危害。但该公司还为下载 iVerify Basics 应用程序(费用为 1 美元)的任何人提供免费版功能。这些用户可以逐步生成特殊诊断实用程序文件并将其发送到 iVerify,并在数小时内收到分析结果。免费用户可以每月使用一次该工具。iVerify 的基础设施旨在保护隐私,但要运行移动威胁搜寻功能,用户必须输入电子邮件地址,以便公司在扫描发现间谍软件时与他
完美地融入了令人印象深刻的恶意软件:该恶意软件至少从 2021 年开始流传。Aqua Security 的研究人员表示,它通过利用 20,000 多个常见的错误配置来安装,这种能力可能会使数百万台连接到互联网的机器成为潜在目标。它还可以利用 CVE-2023-33246,这是一个严重等级为 10 分(满分 10 分)的漏洞,去年在 Apache RocketMQ 中进行了修补,Apache RocketMQ 是一个在许多 Linux 机器上发现的消息传递和流媒体平台。研究人员将恶意软件称为 Perfctl,这是一个秘密挖掘加密货币的恶意组件的名称。恶意软件的未知开发者给该进程起了一个名字,结合
New Windows Malware Locks Computer in Kiosk Mode
巧妙:恶意软件活动使用一种不寻常的方法,将用户锁定在浏览器的信息亭模式中,以骚扰他们输入他们的 Google 凭据,然后这些凭据被信息窃取恶意软件窃取。具体来说,恶意软件将用户的浏览器“锁定”在 Google 的登录页面上,没有明显的关闭窗口的方法,因为恶意软件还会阻止“ESC”和“F11”键盘键。目标是让用户感到足够沮丧,以至于他们在浏览器中输入并保存他们的 Google 凭据以“解锁”计算机。一旦凭据被保存,StealC 信息窃取恶意软件就会从凭据存储中窃取它们并将其发送回攻击者……
Clever Social Engineering Attack Using Captchas
这真的很有趣。这是针对 GitHub 用户的网络钓鱼攻击,诱骗他们解决一个假的验证码,该验证码实际上运行复制到命令行的脚本。聪明。
Python Developers Targeted with Malware During Fake Job Interviews
有趣的社会工程攻击:用虚假的招聘宣传引诱潜在的求职者,试图说服他们下载恶意软件。摘自新闻文章:朝鲜政府资助的黑客团队 Lazarus Group 发起的这些特定攻击是新的,但针对 Python 开发社区的整体恶意软件活动至少从 2023 年 8 月就开始了,当时许多流行的开源 Python 工具被恶意复制并添加了恶意软件。不过,现在也有涉及“编码测试”的攻击,这些攻击的存在只是为了让最终用户在他们的系统上安装隐藏的恶意软件(巧妙地隐藏在 Base64 编码中),一旦出现就可以远程执行。由于 Python 的灵活性及其与底层操作系统的交互方式,此时的利用能力几乎是无限的……
The Justice Department Took Down the 911 S5 Botnet
美国司法部捣毁了一个庞大的僵尸网络:根据 5 月 24 日公布的起诉书,从 2014 年到 2022 年 7 月,王等人被指控创建和传播恶意软件,以入侵和聚集全球数百万台家用 Windows 计算机的网络。这些设备与超过 1900 万个唯一 IP 地址相关联,其中包括位于美国的 613,841 个 IP 地址。王随后通过向网络犯罪分子提供访问这些受感染 IP 地址的付费服务赚取了数百万美元……
Using Legitimate GitHub URLs for Malware
有趣的社会工程攻击媒介:McAfee 发布了一份关于新 LUA 恶意软件加载器的报告,该加载器通过看似合法的 Microsoft GitHub 存储库分发,该存储库是“适用于 Windows、Linux 和 MacOS 的 C++ 库管理器”,称为 vcpkg。攻击者正在利用 GitHub 的一个属性:对特定存储库的评论可以包含文件,这些文件将与 URL 中的项目相关联。这意味着有人可以上传恶意软件并将其“附加”到合法且受信任的项目中。由于文件的 URL 包含创建评论的存储库的名称,并且几乎每家软件公司都使用 GitHub,因此此漏洞可能允许威胁行为者开发出极其狡猾和值得信赖的诱饵……
Backdoor in XZ Utils That Almost Happened
上周,互联网躲过了一次重大的国家攻击,该攻击可能会对全球网络安全造成灾难性影响。这场灾难并没有发生,因此不会引起太多关注——但它应该引起关注。这次攻击及其发现的故事有一个重要的寓意:全球互联网的安全依赖于无数晦涩难懂的软件,这些软件是由更加晦涩难懂的无偿、注意力不集中且有时易受攻击的志愿者编写和维护的。这是一个无法维持的局面,而且被恶意行为者利用。然而,几乎没有采取任何措施来补救……
上周,网络安全界真的很幸运。开源压缩实用程序 XZ Utils 中故意放置的后门几乎是被一名微软工程师意外发现的——几周前,它本来会被整合到 Debian 和 Red Hat Linux 中。来自 ArsTehnica:添加到 XZ Utils 版本 5.6.0 和 5.6.1 的恶意代码修改了软件的运行方式。后门操纵了 sshd,即用于建立远程 SSH 连接的可执行文件。任何拥有预定加密密钥的人都可以将他们选择的任何代码存储在 SSH 登录证书中,上传并在后门设备上执行。没有人真正看到上传的代码,因此不知道攻击者计划运行什么代码。理论上,该代码可以允许几乎任何事情,包括窃取加密密钥或安装恶意
研究人员演示了一种通过提示注入传播的蠕虫。详情:在一个案例中,研究人员扮演攻击者,写了一封包含对抗性文本提示的电子邮件,该提示使用检索增强生成 (RAG)“毒害”电子邮件助手的数据库,这是 LLM 从系统外部提取额外数据的一种方式。Nassi 表示,当 RAG 响应用户查询检索电子邮件并将其发送到 GPT-4 或 Gemini Pro 以创建答案时,它会“越狱 GenAI 服务”并最终窃取电子邮件中的数据。 Nassi 表示:“生成的响应包含敏感用户数据,当它用于回复发送给新客户的电子邮件并存储在新客户的数据库中时,它会感染新主机。”
