NoName057(16):俄罗斯 DDoS 干扰者瞄准西方
发布时间 2024-03-053月3日,乌克兰战争引发了新型网络冲突,黑客活动团体充当了国家利益的代理人。俄罗斯的 NoName057(16) 已成为 DDoSia 项目
的代名词,这是一项针对支持乌克兰的国家的持续 DDoS 攻击活动。与专注于数据盗窃或间谍活动的组织不同,NoName057(16) 寻求压倒和破坏,将数字世界变成地缘政治战争的工具。自SEKOIA.IO当我们开始追踪他们时,他们的方法已经发生了演变,揭示了随着冲突潮流的变化以及与西方更广泛的紧张局势而产生的持续且适应性强的威胁。2023 年 11 月 11 日,DDoSia 重大更新,扩展了对更广泛设备和操作系统的兼容性。值得注意的是,管理员根据地理位置定制了版本,警告俄罗斯用户在参与攻击时使用 VPN 来掩盖自己的位置。这个新版本引入了更复杂的数据加密,可以更精细地跟踪 DDoSia 用户。这些数据可能有助于管理员评估项目的有效性,并且可能成为执法和威胁情报工作的宝贵资源。
https://securityonline.info/noname05716-russias-ddos-disruptors-target-the-west/
2. Predator 间谍软件蔓延:11 个国家目前面临风险
3月3日, Predator 移动间谍软件背后的操作者仍然没有被公众曝光和审查吓倒。Recorded Future 的 Insikt 集团研究人员揭露了间谍软件重建的基础设施,表明 Predator 可能在至少 11 个国家积极使用。令人担忧的是,这包括博茨瓦纳和菲律宾,这些地区的 Predator 客户此前并不为人所知。由 Cytrox 开发并由 Intellexa 联盟管理的 Predator 自 2019 年以来一直在雇佣间谍软件领域中崭露头角。该工具已进入至少 11 个国家,包括安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯、特立尼达和多巴哥。专为 Android 和 iOS 设备设计,其隐秘渗透功能使其能够在用户不知情的情况下访问设备的麦克风、摄像头和敏感数据。这种多功能性,加上其难以捉摸的性质,使 Predator 成为恶意行为者手中的强大工具。
https://securityonline.info/predator-spyware-spreads-11-countries-now-at-risk/
3. WhatsApp 迫使 Pegasus 间谍软件分享其秘密代码
3月4日,据《卫报》报道,WhatsApp 很快将获得探索 NSO 集团 Pegasus 间谍软件“全部功能”的权限,该软件是以色列国防部长期以来一直将其视为“高度机密”的国家机密。自 2019 年以来,WhatsApp 声称 Pegasus 被用来在两周内监视 1,400 名 WhatsApp 用户,未经授权访问他们的敏感数据,包括加密消息,此后,WhatsApp 一直要求访问 NSO 的间谍软件代码。Ars 当时指出,WhatsApp 起诉 NSO 是“前所未有的法律行动”,“针对的是向世界各国政府出售复杂恶意软件服务的不受监管的行业”。
https://news.hitb.org/content/whatsapp-finally-forces-pegasus-spyware-maker-share-its-secret-code
4. 针对与印度外交活动有关的欧洲官员的新后门WINELOADER
2月29日,据观察,一个名为SPIKEDWINE的先前无证威胁行为者使用名为WINELOADER的新后门针对驻有印度外交使团的欧洲国家的官员。根据Zscaler ThreatLabz 的报告,对手在电子邮件中使用了一个看似来自印度大使的 PDF 文件,邀请外交人员参加 2024 年 2 月 2 日的品酒活动。该PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal。也就是说,有证据表明,该活动可能至少从 2023 年 7 月 6 日起就开始活跃,因为发现了从同一个国家。安全研究人员苏迪普·辛格 (Sudeep Singh) 和罗伊·泰 (Roy Tay) 表示:“此次攻击的特点是攻击量非常小,并且在恶意软件和命令与控制 (C2) 基础设施中采用了先进的策略、技术和程序 (TTP)。”这次新型攻击的核心是 PDF 文件,该文件嵌入了一个伪装成调查问卷的恶意链接,敦促收件人填写该链接才能参与。单击该链接将为包含混淆的 JavaScript 代码的 HTML 应用程序(“wine.hta”)铺平道路,以从同一域检索包含 WINELOADER 的编码 ZIP 存档。
https://thehackernews.com/2024/02/new-backdoor-targeting-european.html
5. 数百万个 GitHub 存储库被发现感染恶意代码
2月29日,安全研究人员在 GitHub 上发现了大规模的存储库混淆攻击活动,影响了超过 100,000 个存储库,甚至可能还有数百万人。这种复杂的网络攻击通过诱骗开发人员下载和使用伪装成合法存储库的恶意存储库来针对开发人员。Apiiro 开发了一种恶意代码检测系统,该系统可监控代码库并使用深度代码分析和反混淆等先进技术来识别和防止此类攻击。您可以使用ANY.RUN 恶意软件沙箱和威胁情报查找来分析恶意软件文件、网络、模块和注册表活动,从而使您可以直接从浏览器与操作系统进行交互。这些存储库会自动分叉数千次,并在各种在线平台上进行推广,以提高其可见性和被开发人员错误使用的可能性。
https://gbhackers.com/millions-of-github-repos-found-infected/
6. 隐形 GTPDOOR Linux 恶意软件针对移动运营商网络
3月3日,安全研究人员 HaxRob 发现了一个以前未知的 Linux 后门,名为 GTPDOOR,专为移动运营商网络内的秘密操作而设计。GTPDOOR 背后的威胁行为者被认为以 GPRS 漫游交换 (GRX) 附近的系统为目标,例如 SGSN、GGSN 和 P-GW,这些系统可以为攻击者提供对电信核心网络的直接访问。GRX 是移动电信的一个组件,可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW(分组数据网络网关(用于 4G LTE))是移动运营商网络基础设施内的组件,每个组件在移动通信中发挥不同的作用。由于SGSN、GGSN和P-GW网络更多地暴露在公众面前,IP地址范围列在公开文件中,研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件,利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它设计用于部署在与 GRX 相邻的基于 Linux 的系统中,负责路由和转发漫游相关的信令和用户平面流量。使用 GTP-C 进行通信允许 GTPDOOR 与合法网络流量混合,并利用不受标准安全解决方案监控的已允许端口。为了提高隐蔽性,GTPDOOR 可以更改其进程名称以模仿合法的系统进程。
https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/
京公网安备11010802024551号