朝鲜黑客用新版侦察软件布局全球网络间谍;视频VIP一号通?网友:没想到危害这么大!

VSole2023-05-08 09:51:02

朝鲜黑客用新版侦察软件布局全球网络间谍

据观察,朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件,现在称为“ReconShark”。

Sentinel Labs 报告称,威胁行为者扩大了目标范围,现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。

2023年3月,韩国和德国当局警告说,Kimsuky(也称为 Thallium 和 Velvet Chollima)开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。

此前,在 2022 年 8 月,卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动,该活动使用多阶段目标验证方案,确保只有有效目标才会感染恶意负载。

钓鱼攻击

在Microsoft默认禁用下载的Office文档的宏后,大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型,例如ISO文件和最近的OneNote文档。

Sentinel Labs 的高级威胁研究员Tom Hegel说:“攻击者可能希望轻松战胜过时版本的Office,或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”

Kimsuky 攻击中使用的恶意文档(Sentinel Labs)

Microsoft在默认情况下对下载的 Office 文档禁用宏后,大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击,例如ISO文件,以及最近的OneNote文档。

Sentinel Labs 的高级威胁研究员 Tom Hegel 说:“攻击者可能希望轻松战胜过时版本的 Office,或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”

侦察鲨鱼

ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变,APT43也部署了该恶意软件,APT43是一个针对美国组织的重叠朝鲜网络间谍组织。

ReconShark 滥用 WMI 收集有关受感染系统的信息,如正在运行的进程、电池数据等。

它还检查机器上是否运行安全软件,Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。

检查安全工具进程(Sentinel Labs)

侦察数据的泄露是直接的,恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器,而不在本地存储任何内容。

“ReconShark泄露有价值信息的能力,例如已部署的检测机制和硬件信息,表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分,该行动可实现后续精确攻击,可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。

ReconShark 的另一个功能是从 C2 获取额外的有效载荷,这可以让 Kimsuky 在受感染的系统上更好地立足。

Sentinel Labs 报告中写道,“除了窃取信息外,ReconShark 还以多阶段方式部署更多有效载荷,这些有效载荷以脚本(VBS、HTA 和 Windows Batch)、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。”

有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK),以便在用户启动这些应用程序之一时执行恶意软件。

ReconShark 编辑快捷方式文件(Sentinel Labs)

另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本,以便在用户启动 Microsoft Word 时加载恶意代码。

加载恶意 Office 模板(Sentinel Labs)

这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中,保持持久性,并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。

Kimsuky的复杂程度和变形策略要求提高警惕,并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。

视频VIP一号通?网友:没想到危害这么大!

“谁有这个平台的会员?借我用用”

你是否曾在朋友圈见过这样的求助

如果现在有一个视频网站

花一份钱,就可享受多个平台的会员权益

你是否会觉得占了大便宜?

切勿冲动下单

你的个人信息很有可能正在泄露!

近日,浙江嘉兴警方成功破获了一起侵犯著作权、非法获取计算机信息系统数据案件,打掉了一个以从事非法影视网站服务牟利的犯罪团伙,抓获犯罪嫌疑人10人。

视频vip一号通?有这好事?

3月初,浙江嘉兴嘉善网安民警在工作中发现,一家店铺在网上出售影视会员账号。

该店铺号称收录了各个影视平台的视频资源,只要购买1个账号,即可同时享受所有平台的影视会员福利。这一奇怪的情况引起了网安民警的警觉。

经民警进一步了解发现,该短视频平台店铺提供的会员账号均需要在其指定的网站和APP内使用。

登录发现,该网站中充斥着从其他视频软件窃取的盗版影视资源,包括当下热门的院线电影以及热播网剧,有些甚至没有隐去各知名平台的水印和商标,非法牟利的目的昭然若揭。

风险巨大!蒙在鼓里的购买者

由于涉及买家人数众多,遍及全国各地,调查取证难度较高。

嘉善网安迎难而上,循线追踪,网上网下合成作战,发现自2022年12月20日注册经营以来,该店铺共计售卖订单数千笔,非法获利15万余元。

嘉善警方立即着手开展证据收集,以鹿某、胡某、郭某等人为首的犯罪团伙逐渐浮出水面。

有读者看到这里可能想问:此类行为到底有什么危害呢?

盗版行为除了给知识产权保护造成损害、破坏市场秩序外,还存在诸多安全风险,直接危害消费者的切身利益。

民警在调查中发现,该网站弹窗存在色情暴力、诱赌广告、虚假信息等有害内容。账号注册需要绑定手机,不少购买者反映注册后造成信息泄露,骚扰电话频繁。

此类网站更是电脑病毒的来源和传播者,点击不明链接很有可能使你的系统瘫痪,重要资料丢失,文件被窃取。

果断出击!全链条打击

别动!我们是嘉善网警!

3月20日,警方一举端掉了这个从事非法影视网站服务的犯罪分子窝点。

之后,嘉善公安组织警力分赴辽宁沈阳、江苏徐州抓获涉嫌侵犯著作权罪、非法获取计算机信息系统数据罪的其他犯罪嫌疑人,查扣作案手机12部、电脑5台、云服务器4台,一条完整的犯罪链条被连根拔除。

经审讯,鹿某、胡某、郭某等人对犯罪事实供认不讳。该非法店铺主要由两伙人经营,运用网络技术非法获取视频资源,为营销团队定制开发非法影视网站,从中牟取非法收益。

软件一号通
本作品采用《CC 协议》,转载必须注明作者和本文链接
近日,浙江嘉兴警方成功破获了一起侵犯著作权、非法获取计算机信息系统数据案件,打掉了一个以从事非法影视网站服务牟利的犯罪团伙,抓获犯罪嫌疑人10人。这一奇怪的情况引起了网安民警的警觉。蒙在鼓里的购买者由于涉及买家人数众多,遍及全国各地,调查取证难度较高。嘉善警方立即着手开展证据收集,以鹿某、胡某、郭某等人为首的犯罪团伙逐渐浮出水面。经审讯,鹿某、胡某、郭某等人对犯罪事实供认不讳。
在当前“互联网+”时代,电信诈骗结合互联网特性衍生出一系列新型电信网络诈骗手段,已成为当前发展最快、严重影响人民群众安全感的刑事犯罪,这给相关监管部门的侦查打击和安全防范工作带来了极大的挑战。本文基于人民银行视角,从管理与科技手段探寻防范电信网络诈骗具体举措。
第一章 2020年上半年应急 2020年1-6月奇安信集团安服团队共参与和处置了全国范围内367起网络安全应急响应事件,第一时间协助用户处理安全事故,确保了用户门户网站、数据库和重要业务系统的持续安全稳定运行。 应急...
根据SecurityScorecard发布的《全球第三方网络安全漏洞报告》显示,2023年大约29%的违规行为可归因于第三方攻击媒介,因为许多违规行为的报告没有指定攻击媒介,所以实际比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的软件供应链方面三个最广泛利用的漏洞,其中MOVEit零日漏洞产生广泛影响可能被归咎于第三方、第四方甚至第五方。
近日,以色列网络安全公司Seal Security宣布获得由Vertex Ventures Israel领投的740万美元种子轮融资,Seal归属软件供应链安全赛道,其研发的平台产品主要利用生成式AI为客户提供自动化的修复解决方案,其平均修复时间可从过去几个月缩短到现在的几个小时,足以以应对软件供应链这一日益严峻的挑战。
通过在开源软件包中插入恶意代码来迅速将恶意软件传播到整个软件供应链中是恶意分子常用的攻击手段。然而,最新的研究发现,如果用户等待大约14天后再将这些软件包更新到最新版本,就可以避免受到软件包劫持攻击的不良影响。
软件组成分析(SCA)应用程序安全测试(AST)工具市场的一个细分市场,负责管理开源组件的使用。SCA工具自动扫描应用程序的代码库,包括容器和注册表等相关构件,以识别所有开源组件、它们的许可证遵从性数据和任何安全漏洞。除了提供对开源使用的可见性之外,一些SCA工具还通过区分优先级和自动补救来帮助修复开源漏洞。SCA工具通常从扫描开始,生成产品中所有开源组件的清单报告,包括所有直接和传递依赖项。拥有
软件安全之CRC检测
2023-04-19 09:47:57
k++)//因为这里异或是从数据的高位开始,所以需要计算的数据左移8位,这里就需要计算8次。1)//判断最高位是否为1. 0xEDB88320;//最高位为1,右移一位,然后与0xEDB88320异或???相当于例子2中110与000异或值是不变的
基于各方在自身领域的专业积累,将此次调研工作进行了明确的分工,并将不定期进行调研分享交流会。
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
VSole
网络安全专家