一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击

一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击 据网络安全公司 ESET 的研究人员称,这种名为 FontOnLake 的恶意软件似乎是精心设计的,虽然正在积极开发,但已经包括远程访问选项、凭证盗窃功能,并能够初始化代理服务器。 FontOnLake 样本于2020年5月首次出现在 VirusTotal 上,但与这些文件相连的命令和控制(C2)服务器被禁用,研究人员说这可能是由于上传的原因。 研究人员指出,该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。 ESET认为,操作者对被抓住和他们的活动暴露 “过于谨慎”,因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外,该恶意软件的作者利用了C/C++和一些第三方库,如 Boost 和 Protobuf。 FontOnLake 是模块化的恶意软件,利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake,但该公司表示,在其已知的组件中,有被用来加载后门、rootkits和收集信息的木马应用程序。 总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的,并创建了一个通往同一C2的桥梁,用于数据外流。此外,它们能够发出 “心跳” 命令,以保持这种连接的活性。 FontOnLake 总是与一个内核模式的 rootkit 一起,在受感染的 Linux 机器上保持持久性。据 Avast 称,该 rootkit 是基于开源的 Suterusu 项目。 以下是ESET发布的技术白皮书,研究 FontOnLake。 #ThreatIntelligence #malware

相关推荐

封面图片

安全专家警告:去年针对 Linux 服务器的攻击增加了 75%

安全专家警告:去年针对 Linux 服务器的攻击增加了 75% 针对 Linux 的勒索软件攻击大幅增加,因为网络犯罪分子希望扩大他们的选择,利用企业在考虑安全问题时经常忽略的操作系统。 根据趋势科技(Trend Micro)网络安全研究人员的,Linux服务器正 "越来越多地受到勒索软件的攻击",在过去的一年中,由于网络犯罪分子希望将他们的攻击范围扩大到Windows操作系统之外,检测到的勒索软件增加了75%。 Linux 为包括服务器在内的重要企业IT基础设施提供动力,这使得它成为对勒索软件团伙有吸引力的目标特别是当 Linux 系统与 Windows 相比被认为所受到的威胁更小时,网络安全团队可能会选择将重点放在防御 Windows 上。 研究人员指出,勒索软件团伙正越来越多地调整他们的攻击方向,专门针对 Linux 系统。
封面图片

研究人员发现一种新的Linux恶意软件,具有较强的隐蔽性和十分强大的功能

研究人员发现一种新的Linux恶意软件,具有较强的隐蔽性和十分强大的功能 研究人员上周公布了一种新的Linux恶意软件,它在感染传统服务器和小型物联网设备方面的隐蔽性和复杂性值得注意。 发现它的AT&T外星人实验室研究人员将其称为Shikitega,该恶意软件通过使用多态编码的多阶段感染链进行传播。它还滥用合法的云服务来承载命令和控制服务器。这些东西使得检测非常困难。 病毒的 Main dropper 很小,是一个只有 376 字节的可执行文件。 远程命令和附加文件会在内存中自动执行,而无需保存到磁盘。通过防病毒保护进行检测变得困难,这进一步增加了隐蔽性。 Shikitega 利用了两个关键的权限升级漏洞,这些漏洞提供了完全的 root 访问权限。一个名为 CVE-2021-4034 且俗称PwnKit的 bug在 Linux 内核中潜伏了 12 年,直到今年年初才被发现。另一个漏洞被跟踪为CVE-2021-3493,并于 2021 年 4 月曝光。
封面图片

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张

微软发现一种尚未被启用且目的未知的蠕虫病毒在扩张 微软表示,最近一种Windows蠕虫病毒已经在不同行业部门的数百个组织的网络中被发现。 该恶意软件被称为树莓罗宾(Raspberry Robin),通过受感染的USB设备传播,它在2021年9月首次被红色金丝雀情报分析员发现。 网络安全公司Sekoia也在11月初观察到它使用QNAP NAS设备作为指挥和控制服务器(C2)服务器,而微软表示,它发现了与2019年创建的这个蠕虫有关的恶意工件。… 尽管微软观察到该恶意软件连接到Tor网络上的地址,但黑客尚未利用开始它们。… 微软在一份与微软终端防御系统用户共享的私人威胁情报公告中分享了这一信息,并被BleepingComputer看到。 "树莓罗宾使用msiexec.exe来尝试外部网络通信,以达到C2目的的恶意域名。" 发现Raspberry Robin的安全研究人员尚未将该恶意软件归于某一个黑客组织,并仍在努力寻找其操作者的最终目标。 然而,鉴于攻击者可以在受害者的网络中下载和部署额外的恶意软件,并在任何时候提升他们的权限,微软已经将这一活动标记为高风险。
封面图片

【慢雾:针对macOS系统恶意软件RustBucket可触发恶意活动密钥】

【慢雾:针对macOS系统恶意软件RustBucket可触发恶意活动密钥】 SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。
封面图片

研究人员发现针对 VPN 应用的高危攻击方法

研究人员发现针对 VPN 应用的高危攻击方法 研究人员设计了一种针对几乎所有虚拟私人网络应用的攻击,迫使应用在加密隧道之外发送和接收部分或全部流量。研究人员将攻击命名为“TunnelVision”。研究人员认为,当连接到这种恶意网络时,所有 VPN 应用都会受到影响,除非用户的 VPN 在 Linux 或安卓上运行,否则无法防止此类攻击。攻击技术可能早在2002年就已存在,而且可能已在野利用。 这种攻击通过操纵为试图连接到本地网络的设备分配 IP 地址的 DHCP 服务器来实现。称为 Option 121 的设置允许 DHCP 服务器覆盖默认的路由规则,将 VPN 流量通过启动加密隧道的本地 IP 地址发送。通过使用 Option 121 将 VPN 流量路由到 DHCP 服务器,攻击将数据转发到 DHCP 服务器本身。安卓是唯一完全使 VPN 应用免受攻击的操作系统,因为它没有实现 Option 121。
封面图片

ChatGPT开始被用于创建恶意软件

ChatGPT开始被用于创建恶意软件 Check Point 研究中心的研究人员报告说,在ChatGPT推出的几周内,网络犯罪论坛的成员(一些几乎没有编程经验的人)正在大量使用该聊天机器人来编写恶意软件。 在没有编写一行代码的情况下,他们还成功地创建了一个勒索软件加密器,一个漏洞利用脚本,一个可以隐藏在Excel文件中的恶意宏,并生成了一个相当有说服力的钓鱼电子邮件。 尽管ChatGPT的条款禁止将其用于非法或恶意目的,但研究人员可以通过设置查询以轻松规避这些限制。 正如研究人员所指出的:"欢迎来到人工智能的奇妙新世界。现在要知道它对未来的确切影响还为时过早。但可以肯定的是,它只会加剧防御者和攻击者之间的军备竞赛”。 #Cybersecurity #Cyberattacks #Chatbots

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人