详细内容或原文请订阅后点击阅览
中国蛇索在上周仍然活跃
让间谍和访问转售活动开始(再次)与中国国家安全部有联系的Cyberspy机组人员或个人感染了具有远程访问Trojan(Rat)的全球组织,其“甚至比钴罢工更好”,利用这种隐秘的后门来启用其Espoge esspoge和访问转售活动。
来源:The Register _恶意软件与中国国家安全部有联系的网络企业机组人员或个人使用了远程访问木马(老鼠)感染了全球组织,该组织比钴罢工“甚至更好”,使用这种隐秘的后门来启用其间谍活动和访问转售活动。
攻击者被称为UNC5174,使用了定制和开源恶意软件的混合物,包括其自己的Snowlight Dropper和新的开放源代码,内存内存后门Vshell。
报告 寄存器除了无归档的后门外,在网络犯罪论坛上赢得了声誉,因为它比钴罢工“甚至更好”,UND174还使用了自1月以来的新命令和控制基础架构。
vshell是一个特别隐形的后门,于2024年在Github上获得。自开始以来,它被滥用出于邪恶目的,主要是远程访问和控制计算机,并允许Miscreants从受害者的机器上上传和下载文件。
由于恶意软件生存在内存中并且不会触及磁盘,因此使用基于文件的扫描尤其很难检测到,从而使Snoops可以保留更长的时间。
在此攻击中,在获得受害者的机器时,恶意bash脚本下载并执行两个有效载荷:DNSloger,它是Snowlight Malware family的一部分,而System_worker则丢弃了Sliver植入和Vshell。
dnsloger
System_worker
虽然Sysdig威胁研究团队(TRT)不知道数字入侵者在初始访问中使用了什么,但它们被发现针对Linux系统。团队“充满信心地评估新的基础设施都用于域中蹲下 - 最有可能用于网络钓鱼或社会工程攻击。这些领域欺骗了著名的公司,最近是Cloudflare,而其他公司则冒充了Telegram,Google和金融服务公司Huione Pay。
法国 雪灯