首頁 > 安全研究 > 安全通報 > 安全簡訊

NoName057(16):俄羅斯 DDoS 干擾者瞄準西方

發布時間 2024-03-05
1. NoName057(16):俄羅斯 DDoS 干擾者瞄準西方


3月3日,烏克蘭戰爭引發了新型網絡沖突,黑客活動團體充當了國家利益的代理人。俄羅斯的 NoName057(16) 已成為 DDoSia 項目

的代名詞,這是一項針對支持烏克蘭的國家的持續 DDoS 攻擊活動。與專注于數據盜竊或間諜活動的組織不同,NoName057(16) 尋求壓倒和破壞,將數字世界變成地緣政治戰爭的工具。自SEKOIA.IO當我們開始追蹤他們時,他們的方法已經發生了演變,揭示了隨著沖突潮流的變化以及與西方更廣泛的緊張局勢而產生的持續且適應性強的威脅。2023 年 11 月 11 日,DDoSia 重大更新,擴展了對更廣泛設備和操作系統的兼容性。值得注意的是,管理員根據地理位置定制了版本,警告俄羅斯用戶在參與攻擊時使用 VPN 來掩蓋自己的位置。這個新版本引入了更復雜的數據加密,可以更精細地跟蹤 DDoSia 用戶。這些數據可能有助于管理員評估項目的有效性,并且可能成為執法和威脅情報工作的寶貴資源。


https://securityonline.info/noname05716-russias-ddos-disruptors-target-the-west/


2. Predator 間諜軟件蔓延:11 個國家目前面臨風險


3月3日, Predator 移動間諜軟件背后的操作者仍然沒有被公眾曝光和審查嚇倒。Recorded Future 的 Insikt 集團研究人員揭露了間諜軟件重建的基礎設施,表明 Predator 可能在至少 11 個國家積極使用。令人擔憂的是,這包括博茨瓦納和菲律賓,這些地區的 Predator 客戶此前并不為人所知。由 Cytrox 開發并由 Intellexa 聯盟管理的 Predator 自 2019 年以來一直在雇傭間諜軟件領域中嶄露頭角。該工具已進入至少 11 個國家,包括安哥拉、亞美尼亞、博茨瓦納、埃及、印度尼西亞、哈薩克斯坦、蒙古、阿曼、菲律賓、沙特阿拉伯、特立尼達和多巴哥。專為 Android 和 iOS 設備設計,其隱秘滲透功能使其能夠在用戶不知情的情況下訪問設備的麥克風、攝像頭和敏感數據。這種多功能性,加上其難以捉摸的性質,使 Predator 成為惡意行為者手中的強大工具。


https://securityonline.info/predator-spyware-spreads-11-countries-now-at-risk/


3. WhatsApp 迫使 Pegasus 間諜軟件分享其秘密代碼


3月4日,據《衛報》報道,WhatsApp 很快將獲得探索 NSO 集團 Pegasus 間諜軟件“全部功能”的權限,該軟件是以色列國防部長期以來一直將其視為“高度機密”的國家機密。自 2019 年以來,WhatsApp 聲稱 Pegasus 被用來在兩周內監視 1,400 名 WhatsApp 用戶,未經授權訪問他們的敏感數據,包括加密消息,此后,WhatsApp 一直要求訪問 NSO 的間諜軟件代碼。Ars 當時指出,WhatsApp 起訴 NSO 是“前所未有的法律行動”,“針對的是向世界各國政府出售復雜惡意軟件服務的不受監管的行業”。


https://news.hitb.org/content/whatsapp-finally-forces-pegasus-spyware-maker-share-its-secret-code


4. 針對與印度外交活動有關的歐洲官員的新后門WINELOADER


2月29日,據觀察,一個名為SPIKEDWINE的先前無證威脅行為者使用名為WINELOADER的新后門針對駐有印度外交使團的歐洲國家的官員。根據Zscaler ThreatLabz 的報告,對手在電子郵件中使用了一個看似來自印度大使的 PDF 文件,邀請外交人員參加 2024 年 2 月 2 日的品酒活動。該PDF 文檔于 2024 年 1 月 30 日從拉脫維亞上傳到 VirusTotal。也就是說,有證據表明,該活動可能至少從 2023 年 7 月 6 日起就開始活躍,因為發現了從同一個國家。安全研究人員蘇迪普·辛格 (Sudeep Singh) 和羅伊·泰 (Roy Tay) 表示:“此次攻擊的特點是攻擊量非常小,并且在惡意軟件和命令與控制 (C2) 基礎設施中采用了先進的策略、技術和程序 (TTP)?!边@次新型攻擊的核心是 PDF 文件,該文件嵌入了一個偽裝成調查問卷的惡意鏈接,敦促收件人填寫該鏈接才能參與。單擊該鏈接將為包含混淆的 JavaScript 代碼的 HTML 應用程序(“wine.hta”)鋪平道路,以從同一域檢索包含 WINELOADER 的編碼 ZIP 存檔。


https://thehackernews.com/2024/02/new-backdoor-targeting-european.html


5. 數百萬個 GitHub 存儲庫被發現感染惡意代碼


2月29日,安全研究人員在 GitHub 上發現了大規模的存儲庫混淆攻擊活動,影響了超過 100,000 個存儲庫,甚至可能還有數百萬人。這種復雜的網絡攻擊通過誘騙開發人員下載和使用偽裝成合法存儲庫的惡意存儲庫來針對開發人員。Apiiro 開發了一種惡意代碼檢測系統,該系統可監控代碼庫并使用深度代碼分析和反混淆等先進技術來識別和防止此類攻擊。您可以使用ANY.RUN 惡意軟件沙箱和威脅情報查找來分析惡意軟件文件、網絡、模塊和注冊表活動,從而使您可以直接從瀏覽器與操作系統進行交互。這些存儲庫會自動分叉數千次,并在各種在線平臺上進行推廣,以提高其可見性和被開發人員錯誤使用的可能性。


https://gbhackers.com/millions-of-github-repos-found-infected/


6. 隱形 GTPDOOR Linux 惡意軟件針對移動運營商網絡


3月3日,安全研究人員 HaxRob 發現了一個以前未知的 Linux 后門,名為 GTPDOOR,專為移動運營商網絡內的秘密操作而設計。GTPDOOR 背后的威脅行為者被認為以 GPRS 漫游交換 (GRX) 附近的系統為目標,例如 SGSN、GGSN 和 P-GW,這些系統可以為攻擊者提供對電信核心網絡的直接訪問。GRX 是移動電信的一個組件,可促進跨不同地理區域和網絡的數據漫游服務。服務 GPRS 支持節點 (SGSN)、網關 GPRS 支持節點 (GGSN) 和 P-GW(分組數據網絡網關(用于 4G LTE))是移動運營商網絡基礎設施內的組件,每個組件在移動通信中發揮不同的作用。由于SGSN、GGSN和P-GW網絡更多地暴露在公眾面前,IP地址范圍列在公開文件中,研究人員認為它們可能是獲得移動運營商網絡初始訪問權限的目標。GTPDOOR 是一種專為電信網絡量身定制的復雜后門惡意軟件,利用 GPRS 隧道協議控制平面 (GTP-C) 進行隱蔽命令和控制 (C2) 通信。它設計用于部署在與 GRX 相鄰的基于 Linux 的系統中,負責路由和轉發漫游相關的信令和用戶平面流量。使用 GTP-C 進行通信允許 GTPDOOR 與合法網絡流量混合,并利用不受標準安全解決方案監控的已允許端口。為了提高隱蔽性,GTPDOOR 可以更改其進程名稱以模仿合法的系統進程。


https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/

上一篇 下一篇