导 读
以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本,据评估,该后门已被哈马斯相关的黑客组织用来针对以色列目标。
Check Point在分析报告(https://research.checkpoint.com/2023/israel-hamas-war-spotlight-shaking-the-rust-off-sysjoker/)中表示:“最显著的变化是转向 Rust 语言,这表明恶意软件代码被完全重写,同时仍然保持类似的功能。” “此外,攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2(命令和控制服务器)URL。”
Intezer 于 2022 年 1 月公开记录了SysJoker ,将其描述为一个后门,能够收集系统信息,并通过访问 Google Drive 上托管的包含硬编码 URL 的文本文件来与攻击者控制的服务器建立联系。
VMware去年表示:“跨平台使恶意软件作者能够在所有主要平台上获得广泛感染的优势。” “SysJoker 能够远程执行命令以及在受害者计算机上下载和执行新的恶意软件。”
SysJoker Rust 变体的发现表明跨平台威胁的演变,植入程序在其执行的各个阶段采用随机睡眠间隔,可能是为了逃避沙箱。
一个值得注意的转变是使用 OneDrive 检索加密和编码的 C2 服务器地址,随后解析该地址以提取要使用的 IP 地址和端口。
Check Point 表示:“使用 OneDrive 可以让攻击者轻松更改 C2 地址,从而使他们能够领先于不同的基于信誉的安全检测服务。” “这种行为在不同版本的 SysJoker 中保持一致。”
与服务器建立连接后,该工件会等待更多额外的有效负载,然后在受感染的主机上执行这些有效负载。
这家网络安全公司表示,它还发现了两个前所未见的为 Windows 设计的 SysJoker 样本,这些样本明显更加复杂,其中一个样本利用多阶段执行过程来启动恶意软件。
SysJoker 尚未被正式归咎于任何专业黑客组织。但新收集的证据显示,后门和与“Operation Electric Powder”行动相关的恶意软件样本之间存在重叠,“Operation Electric Powder”指的是 2016 年 4 月至 2017 年 2 月期间针对以色列组织的有针对性的网络攻击活动。
McAfee将这一活动与哈马斯附属威胁组织Molerats (又名Extreme Jackal、Gaza Cyber Gang 和 TA402)联系起来。
Check Point 指出,“这两个活动都使用了以 API 为主题的 URL,并以类似的方式实现了脚本命令”,这增加了“尽管两次攻击之间存在很大的时间间隔,但两次攻击都是由同一个攻击者负责的可能性”。
参考链接:https://thehackernews.com/2023/11/hamas-linked-cyberattacks-using-rust.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
朝鲜软件供应链攻击袭击北美和亚洲
https://www.securityweek.com/north-korean-software-supply-chain-attack-hits-north-america-asia/
Konni 组织在最新攻击中使用俄语恶意 Word 文档
https://thehackernews.com/2023/11/konni-group-using-russian-language.html
与哈马斯相关的网络攻击使用 Rust 驱动的 SysJoker 后门针对以色列
https://thehackernews.com/2023/11/hamas-linked-cyberattacks-using-rust.html
新的 WailingCrab 恶意软件加载程序通过以运输为主题的电子邮件传播
https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html
朝鲜黑客通过虚构的招聘面试使用恶意软件针对软件开发人员
https://thehackernews.com/2023/11/north-korean-hackers-pose-as-job.html
微软报告:Lazarus 黑客在供应链攻击中破坏了讯连科技
https://www.bleepingcomputer.com/news/security/microsoft-lazarus-hackers-breach-cyberlink-in-supply-chain-attack/
一般威胁事件
General Threat Incidents
ClearFake 恶意软件通过虚假浏览器更新攻击 Mac 用户
https://cybersecuritynews.com/clearfake-new-malware-mac/
针对 IT 提供商 CTS 的网络攻击影响了数十家英国律师事务所
https://www.bleepingcomputer.com/news/security/cyberattack-on-it-provider-cts-impacts-dozens-of-uk-law-firms/
汽车零部件巨头 AutoZone 的 185,000 人受到 MOVEit 黑客攻击的影响
https://www.securityweek.com/185000-individuals-impacted-by-moveit-hack-at-car-parts-giant-autozone/
新的“InfectedSlurs”僵尸网络利用两个0Day漏洞感染网络监控摄像头(NVR) 和路由器
https://www.bleepingcomputer.com/news/security/new-botnet-malware-exploits-two-zero-days-to-infect-nvrs-and-routers/
网络攻击泄露了 27,000 名纽约市律师协会成员的数据
https://therecord.media/cyberattack-leaked-data-nyc-bar
堪萨斯州最高法院承认:黑客在 10 月份的攻击中窃取了机密文件
https://therecord.media/kansas-supreme-court-hackers-stole-records-confidential-files
BlackCat 声称是 Fidelity National Financial 勒索软件勒索软件攻击的幕后黑手
https://www.theregister.com/2023/11/23/blackcat_ransomware_fnf/
美国医疗保健 SaaS 服务提供商Welltok 遭到黑客攻击,850 万美国患者数据泄露
https://www.bleepingcomputer.com/news/security/welltok-data-breach-exposes-data-of-85-million-us-patients/
黑客创建虚假银行应用程序来窃取印度用户的财务数据
https://therecord.media/hackers-create-fake-banking-apps-targeting-indian-users
DarkGate 和 Pikabot 恶意软件成为 Qakbot 的继任者
https://www.bleepingcomputer.com/news/security/darkgate-and-pikabot-malware-emerge-as-qakbots-successors/
MacOS 成为 ClearFake 恶意软件活动的目标
https://cybernews.com/security/clearfake-malware-mac-os-targeted/
多个政府机构和网络安全组织已针对多个利用 Citrix Bleed 的攻击发出警报
https://www.infosecurity-magazine.com/news/lockbit-affiliates-exploit-citrix/
美国网络警察打击“杀猪盘”诈骗,返还 900 万美元的受害者加密货币资产
https://www.theregister.com/2023/11/22/us_cybercops_take_on_pig/
漏洞事件
Vulnerability Incidents
CISA 命令联邦机构修补 Looney Tunables Linux 漏洞
https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-looney-tunables-linux-bug/
研究人员发现 Kubernetes 敏感秘密暴露的危险
https://www.securityweek.com/researchers-discover-dangerous-exposure-of-sensitive-kubernetes-secrets/
Citrix 和政府机构就 CitrixBleed 漏洞发出新警告
https://www.securityweek.com/citrix-gov-agencies-issue-fresh-warnings-on-citrixbleed-vulnerability/
流行笔记本电脑上的 Windows Hello 指纹验证被绕过
https://www.securityweek.com/windows-hello-fingerprint-authentication-bypassed-on-popular-laptops/
开源文件共享软件ownCloud 文件共享应用程序中的严重漏洞暴露了管理员密码
https://www.bleepingcomputer.com/news/security/critical-bug-in-owncloud-file-sharing-app-exposes-admin-passwords/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...