朝鲜黑客又在搞事了,通过一个PDF阅读器应用程序传播病毒

VSole2023-05-04 10:35:16

看起来朝鲜黑客又在搞事情了,这个恶意软件通过一个PDF阅读器应用程序传播。

安全公司发现了一个恶意软件,被称为“RustBucket”,通过一个名为“内部PDF查看器”的应用程序到达你的设备。这个应用程序本身就是一个PDF查看器。有趣的是,只有当它运行正确的PDF文件时,它才会尝试用完整的攻击感染Mac,可能是为了防止安全研究人员和防病毒软件发现。

如果你使用恶意的PDF查看器打开,用户将看到一份9页的文件,内容是一家风险投资公司希望投资不同的科技初创公司。

因此,黑客很可能会通过有关投资机会的网络钓鱼信息来瞄准受害者。但实际上,一旦恶意PDF查看器读取了正确的PDF文件,它就会秘密地开始与黑客控制的服务器通信。然后,它可以下载一个11.2MB大小的恶意病毒,其中包含攻击基于arm和英特尔的mac电脑的代码。

在初始执行时,它会执行一些系统侦察命令,在这个模块中,可以查看系统的基本信息,进程列表,当前时间以及它是否在[虚拟机]中运行。

然后,黑客控制的服务器可以引导恶意软件通过Mac下载并执行额外的病毒程序。

不过也有一个好消息,就是这款应用程序本身是未签名的,只有在用户手动超越苹果内置的Gatekeeper保护措施的情况下才会运行,该保护措施会自动警告你运行从互联网下载的不受信任的软件程序。

黑客pdf
本作品采用《CC 协议》,转载必须注明作者和本文链接
AhnLab 安全紧急响应中心 (ASEC) 的网络安全分析师发现,黑客正在积极使用 PDF 文件作为各种勒索软件变体的传递方法。
Check Point安全研究员Assaf Baharav透露,PDF文件可以被恶意行为者武装化,以窃取Windows凭证(NTLM hashes)而无需任何用户交互,只需打开一个文件即可。
安全公司发现了一个恶意软件,被称为“RustBucket”,通过一个名为“内部PDF查看器”的应用程序到达你的设备。有趣的是,只有当它运行正确的PDF文件时,它才会尝试用完整的攻击感染Mac,可能是为了防止安全研究人员和防病毒软件发现。如果你使用恶意的PDF查看器打开,用户将看到一份9页的文件,内容是一家风险投资公司希望投资不同的科技初创公司。
新一波黑客在 Adob​​e 中创建帐户并导入 PDF 文件,将用户重定向到凭证收集页面。
被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量,开展一系列新的攻击活动。鉴于目标的地理位置和当前的地缘政治局势,RomCom RAT黑客不太可能是出于网络犯罪动机。从冒充的 SolarWinds 网站下载免费试用版时,将显示合法的注册表格。
北京奇安盘古实验室发布报告(PDF),披露了 NSA 的黑客行动。报告称,2013 年盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的 Linux 平台后门,其使用的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。
有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件,冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵,而在近期的恶意活动中,该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。
据了解,俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中,WinRAR 被用来破坏政府设备上的数据。CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。由于“dd”命令和 WinRAR 都是合法程序,威胁行为者可能使用它们来绕过安全软件的检测。
这次鱼叉式钓鱼攻击发生在2022年3月,给Axie Infinity的开发商,风头正劲的Sky Mavis带来了灭顶之灾。
研究人员对黑客正在利用的漏洞的范围和程度感到惊讶,黑客正试图利用它们完全控制运行一些世界上最大、最敏感网络的网络设备。该漏洞的严重等级为 9.8分(满分为 10 分),影响 F5 的 BIG-IP,这是一组应用,作为负载均衡器、防火墙,检查并加密进出网络的数据。线上可发现的设备实例超过 1.6 万个,F5 表示,财富 50 强中有 48 家企业在使用。鉴于 BIG-IP 靠近网络边缘以及它们是作为
VSole
网络安全专家