恶意软件

据SentinelLabs报道，AlienFox是一种新颖的综合工具集，用于为多个云服务提供商收集凭证。 AlienFox是一个新的模块化工具包，它允许威胁参与者获取多个云服务提供商的凭据。 AlienFox可供出售，主要以源代码存档…

Exatrack研究人员警告说，一个未知的与中国有关的黑客组织已经与一种名为Mélofée的新Linux恶意软件相关联。 ExaTrack的网络安全研究人员最近发现了一个以前未被发现的恶意软件系列，称为Mélofée，针对Linux服务器…

一项新的网络钓鱼活动将目光投向了欧洲实体，通过名为DBatLoader的恶意软件加载程序分发Remcos RAT和Formbook。 Zscaler研究人员Meghraj Nandanwar和Satyam Singh在周一发布的一份报告中表示：“恶意软件有效负载…

观察到多个威胁行为者在野外使用IcedID恶意软件的两个新变体，其功能更加有限，删除了与网上银行欺诈相关的功能。 IcedID，也称为BokBot，最初是2017年的银行木马。它还能够提供其他恶意软件，包括勒索软件。 “众…

一种被称为MacStealer的新macOS恶意软件允许操作员从受感染的系统中窃取iCloud Keychain数据和密码。 Uptycs研究人员团队发现了一种新的macOS信息窃取程序，称为MacStealer，它允许操作员从受感染的系统中窃取iCl…

被称为ScarCruft的朝鲜高级持续威胁(APT)参与者正在使用武器化的Microsoft编译HTML帮助(CHM)文件来下载其他恶意软件。 根据AhnLab安全应急响应中心(ASEC)、SEKOIA.IO和Zscaler的多份报告，这一发展表明该组织不断…

一种名为dotRunpeX的新恶意软件正在用于分发许多已知的恶意软件系列，例如Agent Tesla、Ave Maria、BitRAT、FormBook、LokiBot、NetWire、Raccoon Stealer、RedLine Stealer、Remcos、Rhadamanthys和Vidar。 Chec…

臭名昭著的Emotet恶意软件在短暂中断后卷土重来，现在正通过Microsoft OneNote电子邮件附件进行分发，试图绕过基于宏的安全限制并危害系统。 Emotet与被追踪为Gold Crestwood、Mummy Spider或TA542的威胁行为者有…

一款名为FakeCalls的Android语音网络钓鱼（又名网络钓鱼）恶意软件活动再次抬头，以20多种流行金融应用程序为幌子，瞄准韩国用户。 网络安全公司 Check Point表示：“FakeCalls 恶意软件具有瑞士军刀的功能，不仅…

与俄罗斯网络犯罪生态系统相关的威胁活动集群已被观察到使用一种新的恶意软件，该恶意软件旨在将Cobalt Strike加载到受感染的机器上。 该恶意软件被芬兰网络安全公司WithSecure称为SILKLOADER，它利用DLL侧载技术…

Dark Pink高级持续威胁(APT)攻击者与一系列针对东南亚国家政府和军事实体的新攻击有关，该攻击使用名为KamiKakaBot 的恶意软件。 Dark Pink，也称为Saaiwc，今年早些时候首次被Group-IB描述，描述了它使用TelePow…

新版本的Xenomorph Android恶意软件包括一个新的自动转账系统框架，目标是400家银行的资金系统。 Xenomorph Android恶意软件的作者Hadoken安全组继续改进他们的恶意代码。 2022 年 2 月，ThreatFabric 的研究人员…

远程桌面程序（如Sunlogin和AweSun）中的安全漏洞正被威胁行为者用来部署PlugX恶意软件。 AhnLab安全紧急响应中心 (ASEC) 在一项新的分析中表示，这标志着继续滥用这些漏洞在受感染的系统上提供各种有效载荷。 这…

网络安全研究人员发现了一种名为SYS01stealer的新型信息窃取程序，它针对关键的政府基础设施员工、制造公司和其他部门。 Morphisec在一份报告中指出：“该活动背后的威胁行为者通过使用谷歌广告和虚假的Facebook个…

至少从2022年7月开始，一种前所未见的复杂恶意软件以企业级路由器为目标，秘密监视拉丁美洲、欧洲和北美的受害者。 这个难以捉摸的活动被Lumen Black Lotus Labs称为Hiatus，已被发现部署了两个恶意二进制文件，…

Kroll 的网络威胁情报团队的研究人员发现了一个上传到Python包索引(PyPI)的恶意Python包，其中包含一个功能齐全的信息窃取程序和被跟踪为Colour-Blind的远程访问木马。 以下是 RAT 通过控制接口支持的功能列表，…

被称为Lucky Mouse的威胁参与者开发了一个名为SysUpdate的恶意软件工具包的Linux版本，扩展了其针对运行操作系统的设备的能力。 更新工件的最旧版本可追溯到2022年7月，该恶意软件包含旨在逃避安全软件和抵抗逆向…

据境外安全资讯网站披露，一种名为EXFILTRATOR-22（又名EX-22）的漏洞利用框架已经出现，其目标是在企业网络中部署勒索软件，同时在相对严格的防护环境下完成勒索软件部署。 CYFIRMA在一份新报告中说：“它具有广…

新发现显示，RIG漏洞利用工具包 (EK)在2022年达到了近30%的历史最高成功利用率。 “RIG EK是一项以金融领域为目标的黑客组织，自2014年以来一直活跃，”瑞士网络安全公司PRODAFT在与黑客新闻分享的详尽报告中表示。…

一个威胁行为者一直在使用 PureCrypter 恶意软件下载器瞄准政府实体，该恶意软件下载器已被视为提供多种信息窃取程序和勒索软件毒株。 Menlo Security 的研究人员发现，威胁行为者使用 Discord 来托管初始有效负…

专家警告说，ChromeLoader 恶意软件活动背后的威胁参与者正在使用伪装成流行游戏的 VHD 文件。 Ahnlab 安全应急响应中心 (ASEC) 的研究人员最近发现了一个使用 VHD 文件分发ChromeLoader的恶意软件活动。 ChromeL…

Broadcom Symantec 研究人员发现了一种新的恶意软件，被追踪为 Frebniis，它滥用 Microsoft Internet Information Services (IIS) 来部署后门并监视所有 HTTP 流量到受感染系统，Symantec 报告。 目前未知的威胁…

Broadcom Symantec 的研究人员发现了一个与俄罗斯有联系的 ATP 组织，被追踪为 Nodaria（又名 UAC-0056），在针对乌克兰的攻击中部署了名为 Graphiron 的新信息窃取恶意软件。 Nodaria APT 组织至少从 2021 年 3 …

  0x00 前言 ​ 在平常的渗透测试中，其中主要一项就是对抗杀软检测，需要对shellcode 免杀，而免杀中使用最多的就是APC 注入方式，第一次接触的时候感觉很NB，国内的杀软都能过（即使现在），我就在思考为什…

译文声明 本文是翻译文章，文章原作者Ruian Duan, Omar Alrawi, Ranjita Pai Kasturi, Ryan Elder, Brendan Saltaformaggio, Wenke Lee，文章来源：arxiv.org原文地址：https://arxiv.org/pdf/2002.01139.pdf 译…

一、介绍HVNC是一种创造性的解决方案，最初用于银行木马。早在十年前，安全意识还不足够时，如果有人盗号并尝试登陆，大多数银行只能使用简单的IP或地理位置判断来阻止。为了解决这个问题，银行木马开始在受害者…

几天前，我一直在寻找一些东西向我展示SSDT和GDT（这在恶意软件分析中确实很重要，因为大多数rootkit都对连接和更改这些东西感兴趣。） •SSDT（系统服务描述符表）•GDT（全局描述符表）•IDT（中断描述符表） 它们…

译文声明 本文是翻译文章，文章原作者Catalin Cimpanu，文章来源：原文地址：https://www.zdnet.com/article/vietnam-targeted-in-complex-supply-chain-attack/ 译文仅供参考，具体内容表达以及含义原文为准× …

FormBook样本对抗部分分析 0x00 FormBook简介 FormBook作为一款商业木马，价格仅售30美刀，FormBook用C和x86汇编语言编写，它与许多竞争性恶意软件的不同之处在于其极高的易用性，即使是没有经验的木马使用者也可…

译文声明 本文是翻译文章，文章原作者Stephen Eckels，文章来源：fireeye.com原文地址：https://www.fireeye.com/blog/threat-research/2020/11/wow64-subsystem-internals-and-hooking-techniques.html 译文仅供…