https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/
Bifrost是一种远程访问木马(RAT),可以让攻击者控制受感染的系统。最近,研究人员发现了一种新的Bifrost Linux变种,它采用了一些新颖的逃避技术,包括使用一个欺骗性的域名,让人误以为是VMware的一部分。该域名为download.vmfare[.]com,与VMware的合法域名非常相似,因此可能在检查时被忽略。该恶意软件通过该域名与其命令和控制服务器通信,接收指令和发送数据。此外,该恶意软件还具有自删除功能,可以在执行完毕后清除自身的痕迹。研究人员还发现了一个Bifrost的ARM版本,它与分析的x86样本具有相同的功能。这表明该恶意软件的作者正在扩大其目标范围,可能针对更多的Linux设备。
https://doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR
研究人员最近发现了一款名为GTPDOOR的新型Linux恶意软件,专为部署在与GPRS漫游交换(GRX)网络相邻的电信网络中设计。该恶意软件在利用GPRS隧道协议(GTP)进行指挥控制(C2)通信方面独树一帜。GPRS漫游允许用户在远离其主手机网络时访问GPRS服务,由GRX转运使用GTP在来访和主公共陆地移动网络(PLMN)之间传递漫游流量。研究人员分析认为这一后门与已知的威胁行为者LightBasin(又称UNC1945)有关,该团伙早在2021年10月被CrowdStrike揭露,涉及攻击电信行业窃取订阅者信息和通话元数据的系列行动。GTPDOOR启动后首先伪装其进程名称为"[syslog]",模仿从内核调用的syslog,它隐藏子信号并打开一个原始套接字,使得该植入物能够接收到达网络接口的UDP消息。这种特殊的GTP-C回声请求信息作为传输命令至感染机器以及将结果返回至远程主机的管道。
https://www.semperis.com/blog/meet-silver-saml/
研究人员披露了一种名为Silver SAML的新攻击技术,即使在已对Golden SAML攻击采取了缓解措施的情况下,该技术也能成功执行攻击。Silver SAML利用SAML漏洞,允许攻击者从诸如Entra ID这样的身份提供商对配置它用于身份验证的应用程序(例如Salesforce)发起攻击。Golden SAML(安全声明标记语言的简称)首次由CyberArk在2017年记录。简言之,这种攻击手段涉及滥用互操作身份验证标准来冒充组织中几乎任何身份。这也类似于Golden Ticket攻击,因为它授予攻击者能力,允许他们在联盟中访问任何服务、以任何权限,并且以悄无声息的方式在环境中持续存在。使用此方法的真实世界攻击非常罕见,首次记录的使用是SolarWinds基础设施的妥协,通过伪造SAML令牌使用受损的SAML令牌签名证书获得管理员访问权限。
https://infosecwriteups.com/0-click-account-takeover-on-facebook-e4120651e23e
研究人员警告说,Facebook的一个关键漏洞可能允许网络威胁行为者劫持任何Facebook账户。研究人员把这个漏洞描述为Facebook密码重置流程特定端点的速率限制问题。攻击者本可以利用这个漏洞通过暴力破解特定类型的一次性数字(nonce)来接管任何Facebook账户。研究人员发现该问题影响Facebook的密码重置程序,当用户选择“通过Facebook通知发送代码”时。分析易受攻击的端点,研究人员发现三个条件为暴力攻击打开了大门:发送给用户的nonce在超过预期的时间内有效(≈2小时);同一nonce代码在此期间每次都被发送;在多次之前无效尝试后输入正确代码时,并未看到任何代码失效(与短信重置功能不同)。
https://www.hackread.com/hacker-cutout-pro-ai-tool-data-breach/
CutOut.Pro AI工具是一个提供AI照片和视频编辑功能的在线平台。近日,有黑客声称已经入侵了该平台的系统,并窃取了2000万用户的敏感信息,包括姓名、邮箱、密码、IP地址、支付方式等。黑客还在暗网上出售这些信息,每条信息的价格为0.01比特币。然而,CutOut.Pro AI工具对此事进行了否认,称黑客的说法是“明显的骗局”,并表示他们的系统没有遭到任何入侵或泄露。该平台还提供了一份声明,解释了他们的安全措施和用户数据保护政策。
研究人员发现了PDF文件中的恶意代码的显著增长,这些PDF文件通常通过电子邮件附件的形式传播,隐藏在各种主题下,如发票、紧急通知、诱导性的按钮等,诱骗用户打开或点击。这些PDF文件利用了PDF文件的复杂结构和JavaScript功能,可以直接或间接地执行嵌入的恶意脚本,从而启动PowerShell,注入进程,或者跳转到恶意网站,下载恶意载荷。研究人员表示,这些PDF文件中的恶意代码可以传播多种恶意软件,如Agent Tesla、Formbook、NanoCore、Remcos等,这些恶意软件的目的是窃取用户的账户凭证、资金、个人信息等。这些PDF文件中的恶意代码的特点是利用了多种技术来逃避检测和分析,如加密、混淆、反调试、反沙箱、hCaptcha等。
https://securityaffairs.com/159813/cyber-crime/germany-police-seized-crimemarket.html
近日,德国杜塞尔多夫警方宣布,一场大规模的国际执法行动成功查封了最大的德语网络犯罪市场Crimemarket,并逮捕了其中一名运营者。该网络犯罪市场已经存在了超过15年,提供了各种网络犯罪服务,如销售恶意软件、黑客工具、盗取的数据、假身份证、假钞等。据报道,Crimemarket拥有超过50万名注册用户,其中包括许多知名的网络犯罪分子,如Emotet、Trickbot、Ryuk等恶意软件的运营者。该网络犯罪市场的特点是采用了多层加密和匿名技术,如Tor、VPN、PGP等,以逃避执法部门的追踪和调查。德国警方表示,他们在今年1月份开始对Crimemarket进行渗透和监控,收集了大量的证据和情报,最终在2月份成功定位了该网络犯罪市场的服务器,并将其查封。同时,他们还在德国、瑞士、荷兰和法国等国家展开了多起搜查和逮捕行动,其中在德国北莱茵-威斯特法伦州的一座公寓内,逮捕了一名29岁的男子,被认为是Crimemarket的主要运营者之一。
https://www.cisa.gov/sites/default/files/2024-02/aa24-060a-stopransomware-phobos-ransomware_1.pdf
CISA,FBI和MS-ISAC发布了一份关于Phobos勒索软件的联合网络安全指南,该活动旨在发布一些针对网络防御者的咨询,详细介绍了各种勒索软件变体和勒索软件威胁行为者。这些防御指南内容包括了最近和历史上观察到的TTPs和IOCs,以帮助组织防范勒索软件。Phobos勒索软件是一种RaaS模式的勒索软件,自2019年5月以来,MS-ISAC就经常收到影响州,地方,部落和领土(SLTT)政府的Phobos勒索软件事件的报告。这些事件针对了市政和县政府,紧急服务,教育,公共医疗和其他关键基础设施实体,成功地勒索了数百万美元。联合网络安全咨询提供了Phobos勒索软件的技术细节,包括其分发方法,部署和安装过程,远程控制能力,以及一些反分析技术。
https://www.ithome.com/0/752/804.htm
IBM 公司近日发布新闻稿,宣布推出新版 FlashCore Module 存储硬盘和新版 Storage Defender 软件,两者结合可提高客户检测和应对网络攻击或勒索软件的能力。
在不久前因联合执法行动而中断服务后,LockBit 勒索软件团伙使用更新后的加密器和链接到新服务器的勒索票据再次发起攻击。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
