在過去的幾年中,一個神秘的組織幾乎每天都在製作木馬黑客工具,這些工具旨在感染其他黑客並獲得其計算機的訪問權限。
轉自: https://www.dbsec.cn/blog/news.html作者/來源: 安華金和
在過去的幾年中,一個神秘的組織幾乎每天都在製作木馬黑客工具,這些工具旨在感染其他黑客並獲得其計算機的訪問權限。
根據網絡安全公司 Cybereason 近日發佈的報告,木馬工具感染了 njRAT 惡意軟件,該惡意軟件使該神秘組織能夠完全訪問其他黑客的計算機。
Cybereason 安全策略副總裁 Amit Serper 對 ZDNet 表示:“似乎某個人或一群人正在為訪問更多計算機提供相當巧妙的捷徑。”
Serper 說:“此組織採取的不是主動入侵機器,而是對工具進行木馬化,免費傳播它們,然後對使用工具的人進行黑客攻擊。”這是網絡犯罪現場的一種古老策略,即黑客竊取其競爭對手的數據。
數以千計的木馬黑客工具,可以追溯到幾年前
Serper 說,Cybereason Nocturnus 調查小組在調查該小組的活動時追蹤了 1000 多個 njRAT 樣本,但是該活動看上去比他們發現的規模更大,範圍更廣。
木馬樣本可以追溯到數年前,Serper 說新的迭代幾乎每天都在發佈。
根據 Cybereason 的說法,後門工具正在黑客論壇和專門共享免費黑客工具的博客上在線共享。一些木馬化的應用程序是徹頭徹尾的黑客工具,而另一些是破解程序,允許想要使用商業黑客工具的黑客無需支付許可證。
Cybereason 發現被木馬化的黑客工具包括站點抓取工具,漏洞掃描程序,Google dork 生成器,用於執行自動 SQL 注入的工具,用於發起暴力攻擊的工具以及用於驗證洩漏憑證有效性的工具。
此外,Cybereason 還說它發現了 Chrome 瀏覽器的木馬版本,也帶有相同的 njRAT 遠程訪問木馬。
根據 Serper 的說法,Cybereason 團隊分析的許多木馬應用程序都配置為回調到兩個域之一。在這兩個域名中,使用最多的是 capeturk.com 域名,Serper 說該域名是使用越南人的身份註冊的。
儘管黑客通常會偽造有關域所有者的詳細信息,尤其是在惡意軟件活動中使用某個域時,Serper 還指出,在此次攻擊中許多木馬化的黑客工具都是從越南IP地址上傳到 VirusTotal 惡意軟件掃描引擎上的。
根據 Serper 的說法,黑客小組似乎已經在 VirusTotal 上測試了其惡意軟件樣本的檢測率,然後才將其部署到黑客論壇,博客或其他地方。
然而,Cybeeason 說,結合域名的詳細信息,使用越南 IP 進行 VirusTotal 上載是一個強有力的標誌,表明該團伙很有可能位於該國。
古老的戰術
總而言之,該小組的策略本身並不新鮮。其他黑客曾考慮通過將後門置於其免費發佈的黑客工具中來走捷徑。
例如,2016 年的 Proofpoint 報告發現,大量的後門釣魚工具包通過 YouTube 視頻進行廣告宣傳,這些釣魚工具包將釣魚數據的副本發送回了原始作者。
該策略非常普遍,是一種無需進行大量黑客攻擊即可獲取被黑客入侵數據的簡單方法。這個想法是讓其他黑客下載黑客工具,花數週時間收集數據,然後使用後門(在本例中為 njRAT 遠程訪問木馬)竊取數據。
更多資訊
Firefox 74 穩定版發佈:禁止訪問 TLS 1.0/1.1 的 HTTPS 網站
適用於Windows、macOS和GNU/Linux桌面平臺,Mozilla今天剛剛發佈了Firefox 74版本更新,目前用戶可以訪問官方服務器進行下載。不過目前更新日誌並未放出,不過可以確認是首個禁止訪問使用TLS 1.0和TLS 1.1的HTTPS 網站的瀏覽器版本。
17 年曆史的RCE漏洞已影響數個 Linux 系統
一個影響 點對點協議守護程序(Point-to-Point Protocol daemon)(pppd)軟件,並具有 17 年曆史的 遠程代碼執行(remote code execution)(RCE)漏洞已對幾個基於 Linux 的操作系統造成了影響。pppd 軟件不僅預先安裝在大多數 Linux 系統中,而且還為流行的網絡設備的固件提供支持。
AV-Test Android 安全防護應用橫評 谷歌 Play Protect 成績墊底
在從 Play 商店下載應用程序時,Google 已經為 Android 設備提供了內置的反惡意軟件保護功能。然而根據德國 AV-Test 的最新測試,你最好不要指望它能讓你遠離惡意軟件。在這項 Android 安全產品橫向評測中,Google Play Protect 遺憾墊底。
知名分析平臺 Sensor Tower 被爆秘密收集數百萬用戶數據
援引 Buzzfeed News 報道,知名 APP 分析平臺 Sensor Tower 利用 VPN 應用和去廣告應用程序,來收集 Android 和 iOS 平臺數百萬用戶用戶的數據。這些應用程序的全球下載量已超過 3500 萬次,但是在應用描述中並沒有透露和 Sensor Tower 有聯繫,或者會收集用戶數據給該公司。
(信息來源於網絡,安華金和蒐集整理)
閱讀更多 Linux中國 的文章
