01
APT攻击
01
近日,安全研究人员监测发现北美新APT组织NightEagle疑似利用Microsoft Exchange零日漏洞对我国目标用户实施入侵。同时,安全人员发现该APT组织存在以下攻击特点:一是入侵用户设备后,其通联C2服务器大部分时间处于关闭状态,配置指向无效IP地址,只有在APT组织下发攻击指令时,该C2服务器域才会被激活并允许解析为真实IP地址,并在执行攻击过程后立刻关闭,以规避传统安全设备监测;二是该APT组织使用了定制化的Chisel内网穿透工具,其基于开源Chisel工具源码进行修改,硬编码配置了执行参数,使用指定用户名与密码,与指定的C2服务器的443端建立Socks连接,并映射到C2主机的指定端口,可实现内网穿透功能;三是该APT组织攻击时间极为固定,通常在北京时间21点至次日6点之间进行,根据时区分析,攻击者很可能来源于西八区;四是该APT组织攻击目标会随着地缘政治事件的发生而变更,显示出攻击者对我国相关利益的高度关注。
02
近日,安全研究人员发现巴基斯坦APT组织APT36(Transparent Tribe)对印度国防机构用户Linux设备实施网络攻击。此次攻击活动中,该APT组织以网络钓鱼作为初始渗透手段。当用户点击邮件内的恶意“.desktop”格式文件时,将会自动打开诱饵PowerPoint文件及名为“BOSS.elf”的恶意可执行文件载荷。然后,该恶意载荷将与C2服务器建立通联关系,窃取用户敏感信息并对其实施持久化远控。目前,安全人员建议用户禁用BOSS Linux快捷方式自动执行、强制执行应用程序允许列表等方式降低安全风险。
03
近日,安全研究人员监测发现印度APT组织DoNot Team对欧洲政府实体、外交部、国防组织及非政府组织用户实施网络攻击。此次攻击活动中,该APT组织以网络钓鱼作为初始渗透手段,诱使用户点击邮件内的Google Drive链接实施入侵。攻击成功后,将在受控设备上自动植入LoptikMod远程访问木马载荷,进而创建计划任务实现持久性驻留,并与C2服务器建立通联关系,实施APT组织下达的各类攻击指令。此外,经分析发现,该LoptikMod木马程序还采用了反虚拟机技术和ASCII混淆技术,可对自身所处环境进行检测,以防被安全人员捕获分析,同时该木马还会对受控设备进程进行检测,对除自身外的其他载荷进行终止操作,确保在设备上只有一个恶意程序实例运行。目前,上述C2服务器已处于非活动状态,该APT组织疑似已将通联地址转移至完全不同的服务器上。
04
近日,安全研究人员监测发现南亚地区APT组织Patchwork仿冒国内高校域名,且以“电力能源行业技术访问路线”为话题制作钓鱼邮件,诱使目标用户点击实施渗透入侵。攻击成功后,邮件内的恶意LNK文件将从jlu-edu.org服务器上下载诱饵PDF文档和后续恶意载荷,在诱骗用户的同时设置GoogleErrorReport计划任务,进而解密恶意载荷,向受控设备的内存中写入Protego木马载荷,并最终实施敏感信息窃取、截屏、上传文件等操作。此外,在写入上述木马载荷的同时,该APT组织还会向受控设备写入Quasar RAT、SantaRat等多类恶意载荷,以此试图对用户设备实施全面的远程控制。
05
近日,安全研究人员监测发现朝鲜APT组织Kimsuky对美国、俄罗斯等国目标用户实施网络攻击。此次攻击活动中,该APT组织过伪造Bandizip安装包发起钓鱼攻击,用户运行安装包后,表面上会释放并安装正常的 Bandizip 程序以降低怀疑,但后台会远程加载脚本,分阶段下载并执行多层恶意脚本,同时还会释放并运行一个经vmp加壳的HappyDoor后门程序载荷用于窃取敏感信息。
06
近日,安全研究人员发现疑似SideCopy子APT组织TAG-140采用ClickFix攻击方式,诱使目标用户访问伪造钓鱼网站实施渗透入侵。当用户点击钓鱼网站上的恶意链接时,将会启动感染过程,静默将恶意命令复制到用户设备剪贴板上,并通过社会工程学方式催促用户调用shell执行相关指令。攻击成功后,该指令将会从外部服务器下载诱饵PDF文件和DRAT V2功能性载荷,进而实施各类恶意操作。经安全人员分析发现,该DRAT V2与此前样本相比,其功能产生了较大变化,具体包括:一是添加了用于执行shell命令的组件,提升了植入设备后的功能灵活性;二是采用Base64对自身C2通信地址进行编码,同时支持以ASCII和Unicode进行命令的输入和输出;三是将自身大多数恶意代码均保留为纯文本形式,减少了字符串混淆的强度,其代码执行可靠性增强,规避查杀能力变弱。
02
网络动态
01
02
近日,美国总统唐纳德·特朗普签署了一项税收与支出综合法案,该法案包含数亿美元专门用于网络安全领域,重点支持军事相关项目,具体包括:一是网络司令部获得2.5亿美元资金,用于“人工智能”方面项目;二是国防高级研究计划局获得2000万美元资金,用于推进网络安全项目;三是印太司令部获得100万美元资金,用于推进各项网络攻击任务,以抵御敌对国家的威胁;四是非传统承包商获得9000万美元资金,用于推进各类相关网络安全项目;五是海岸警卫队获得23.7亿美元资金,22亿美元用于“网络资产”在内的各类资产维护工作,1.7亿美元用于包含“网络空间领域”在内的“海事领域感知能力”项目。
03
近日,维也纳技术大学和拜罗伊特大学的安全研究团队披露了一种名为“TapTrap”的攻击方式,可利用安卓设备处理自定义动画活动转换方式中存在的安全缺陷,使用户看到的内容与设备实际注册内容存在误差。该攻击方式可被攻击者利用,制作带有自定义低不透明度动画“startActivity()”和附加上层合法应用的恶意程序载荷,并将索取用户权限的相关按钮调整至完全透明和占据整个用户屏幕的状态,使得用户在点击上层合法程序的同时,点击到恶意程序的权限按钮,进而为恶意程序的后续操作提供权限支撑。同时,安全人员在安卓官方应用商店Play Store中对将近10万个应用程序进行分析发现,有76%的应用程序容易受到TapTrap的攻击,且影响版本涉及安卓最新版本Android 16。
04
近日,美国网络司令部在2026财年预算申请中囊括了专门启动人工智能新项目的资金,具体金额为500万美元。该项目将致力于开发五类“网络空间作战人工智能”技术,同时开展试点,对相关人工智能项目进行开发、测试和评估。其技术包括:漏洞及漏洞利用、网络监测及可视化、建模及预测分析、角色身份分析、基础设施及运输。目前,根据财年预算文件说明,网络司令部将支持网络任务部队(CNMF)通过为期90天的敏捷试点周期,对相关人工智能项目进行实验,以确保关联的作战用例快速测试和方案验证,并可灵活应对不断变化的网络威胁。
05
近日,新西兰发布首个国家人工智能战略,旨在释放人工智能潜力,提高生产力,推动经济增长和在各行各业的创新。该战略明确政府应致力于发展本地化人工智能,减少应用障碍,提供清晰监管指导方案。同时,该战略重视私营部门在人工智能应用普及方面的促进作用,例如人工智能驱动的精准农业技术可以提高农业生产力,人工智能支持的诊断技术则可以改善医疗保健效果等。此外,该战略还为企业提供可遵循的实用工具和原则,推出了附属于该战略的《负责任的人工智能指南》,作为对现有战略的有力补充,以便各相关企业更安全、负责任地使用人工智能技术。
03
漏洞资讯
01
02
03
04
05
06
07
08
04
木马病毒
01
近日,安全研究人员捕获到RondoDox新僵尸网络样本。经分析发现,该样本可利用CVE-2024-3721和CVE-2024-12856安全漏洞对用户TBK DVR及Four-Faith路由器设备实施入侵,并在攻击成功后一方面通过修改系统启动文件(/etc/rcS、crontab)实现自身持久性驻留,另一方面采用:扫描wireshark、gdb、tcpdump取证工具、将iptables、passwd、shutdown系统程序重命名为随机字符串、将流量伪装成Minecraft、Discord、Valve、Fortnite和OpenVPN热门平台合法数据包等手段隐蔽自身,进而通过HTTP、UDP和TCP等协议对指定设备实施DDoS攻击,其规避技术较为先进,存在较大安全威胁。
链接:https://securityonline.info/rondodox-sophisticated-botnet-exploits-tbk-dvrs-four-faith-routers-for-ddos-attacks/
02
近日,安全人员捕获到Hpingbot新僵尸网络样本。经分析发现,该样本采用Go语言进行开发,可针对Windows、Linux等操作系统平台实施攻击。同时,该样本不依赖复杂的基础设施,而是使用Pastebin公共平台作为有效载荷分发中心,采用hping3网络测试工具作为DDoS攻击手段,有效降低了自身的开发和运营成本。此外,该样本更新速度较快,两周内有超过10次的脚本迭代优化,C2服务器已切换3次,同时最新样本增加了对apt、yum、pacman的支持,环境兼容性逐步加强。目前,已有德国、美国和土耳其等国目标用户遭受该僵尸网络攻击。
链接:https://securityonline.info/hpingbot-new-go-based-botnet-leverages-pastebin-hping3-for-stealthy-attacks/
03
近日,安全研究人员捕获到tomic macOS信息窃取程序新变种样本。经分析发现,该样本首现于2023年4月份,与此前版本相比,该变种具有如下变化和新增功能:一是在植入用户设备后,可利用LaunchDaemons在MacOS上进行持久性驻留,即使设备重启依然可以继续运行自身;二是采用了新的C2服务器,可基于ID标号对受控用户设备进行跟踪;三是带有嵌入式后门,在植入用户设备后会下载并保存到用户主目录中,进而执行攻击者下发的各类指令,包括:记录按键、引入额外载荷、横向渗透、沙箱环境检测等。
链接:https://www.bleepingcomputer.com/news/security/atomic-macos-infostealer-adds-backdoor-for-persistent-attacks/
往期推荐
点赞在看转发 是对我们最好的支持
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...