RDFSNIFFER

一些黑客團體是國家贊助的,因此在針對政治和商業領域的各種活動中對其政府進行招標。其他黑客團體是自治的,通常傾向於完全出於經濟動機。後者的一個例子是Carbanak集團(也稱為FIN7),這是一群陰暗的人,多年來設法在全世界範圍內造成嚴重破壞,並造成數億美元的損失。惡意軟件專家最近檢測到Carbanak集團使用的一種新工具RDFSNIFFER。該黑客工具可以歸類為RAT(遠程訪問木馬),並且在BOOTSWIRE木馬加載程序的幫助下似乎主要用作第二階段有效負載,這是Carbanak集團軍火庫中的另一種工具。 針對運行NCR Aloha Commander工具集的計算機 RDFSNIFFER RAT與大多數此類威脅不同。該遠程訪問木馬非常挑剔,因為它僅針對運行特定軟件工具NCR Aloha Commander Toolset的計算機。支持部門的技術人員經常使用此應用程序。 RDFSNIFFER RAT將其代碼植入合法的動態鏈接庫的內存中,並將其過程保留在系統中可能存在的安全軟件的監視之下。完成此操作後,RDFSNIFFER木馬將通過接管NCR Aloha Command Center Client的關鍵功能和會話來繼續進行攻擊。這樣,攻擊者將能夠控制應用程序。 其他能力 除了專門針對NCR Aloha Commander工具集之外,RDFSNIFFER RAT還具有其他一些特徵。這種威脅可以在受感染的計算機上執行未經授權的命令。它還可以在主機上執行文件。 RDFSNIFFER RAT也可以篡改系統,以清除受感染計算機上存在的文件。 像Carbanak...

于October 20, 2019發表在Malware

端口重用

中國因其黑客團體而受歡迎。有些以自己的方式運作,而另一些據信是由中國政府贊助的。 Winnti Group是中國最臭名昭著的黑客組織之一。它們也被稱為APT41(高級持久威脅)。自2010年以來,它們就一直受到關注。Winnti Group以該APT開發的一種黑客工具Winnti惡意軟件命名 。這種威脅使Winnti Group備受關注,並於2013年首次被發現。自從黑客組織由於Winnti惡意軟件而獲得一定的知名度以來,他們一直在開發新工具,其中之一就是PortReuse後門木馬。 它偏愛隱身 大多數後門特洛伊木馬程序都遵循相同的模式-它們是通過遠程C&C(命令與控制)服務器進行操作的,並且往往具有很長的功能。但是,PortReuse木馬不是這種情況。 Winnti集團似乎更喜歡隱身而不是功能。這就是為什麼儘管如此,他們仍然選擇確保確保未發現威脅的原因,因為這樣做還破壞了PortReuse後門特洛伊木馬程序,這本來可能是更嚴重的威脅。 PortReuse木馬的作者選擇不使用C&C服務器來操作威脅,因為它可以被視為“太吵”。取而代之的是,他們利用局域網喚醒(也稱為魔術包)來執行損壞的代碼段。 默默經營 PortReuse木馬操作員通過確保將其不安全活動留下的指紋最小化,將更多努力保持在較低水平。這是通過使用開放且活動的TCP端口來實現的。通過該端口,PortReuse木馬會收到有問題的魔術網絡數據包。看來作者在以下TCP端口上使用了不同的服務,例如53(DNS),80(HTTP),443(HTTPS),3389(RDP)和5985(WinRM)。 惡意軟件研究人員通過解密用於構造Wake...

于October 20, 2019發表在Backdoors

加強寫

有一些黑客團體嚴格地參與了激進運動,還有一些則服從於各種政府,還有一些純粹的貪婪行為。後者就是中國黑客組織Carbanak Group(也稱為FIN7)的情況。自從他們發起Carbanak Trojan以來,這個黑客組織就廣為人知。這種威脅設法成為有史以來最臭名昭著的銀行木馬之一,並把名字命名為負責此事的黑客組織。眾所周知,Carbanak集團主要針對餐飲,酒店和零售行業的公司。他們的大多數受害者似乎都位於美國。 Carbanak集團正在開發新工具,其中最近發現了其中兩個工具。這些新的黑客工具很可能會在針對付款處理的活動中使用。 服務於種植其他惡意軟件 前面提到的新工具之一稱為BOOSTWRITE。這是高端木馬加載程序。 BOOSTWRITE Trojan加載程序用於為更多惡意有效負載鋪平道路,這些有效負載將被植入受感染的主機上。由BOOSTWRITE Trojan加載程序承載的有效負載已加密。為了解密有效載荷,BOOSTWRITE木馬加載程序需要與其操作員的C&C(命令與控制)服務器建立連接,並在初始化向量的旁邊檢索所需的解密密鑰。 已知會部署兩個其他威脅 惡意軟件研究人員已經確定了兩個第二階段有效負載,它們已經與BOOSTWRITE Trojan加載程序一起使用。其中之一是Carbanak Group的商標威脅,該公司因此而得名-Carbanak惡意軟件。 BOOSTWRITE加載程序將部署的第二個威脅是由同一黑客組織開發的新黑客工具-RDFSNIFFER RAT(遠程訪問木馬)。該RAT非常不尋常,因為它僅在主機的系統上存在某些軟件工具時才會觸發攻擊-NCR Aloha命令中心。 目前看來,BOOSTWRITE Trojan加載器僅攜帶這兩個次要負載。但是,由於這是一種相當先進的Trojan裝載程序,因此Carbanak Group可能會在以後的戰役中繼續使用它,並可能使用它來植入更具破壞性的威脅。如果您想擺脫BOOSTWRITE...

于October 20, 2019發表在Trojans

膠囊

考慮到那裡存在對互聯網訪問的限制,人們會對來自朝鮮的許多備受矚目的黑客活動感到驚訝。過去,過去只有一個來自朝鮮的傑出黑客組織,那就是拉撒路組織。但是,最近出現了一個新星-ScarCruft黑客組織,也被稱為APT37 (高級持久威脅)。 自我保存技術 ScarCruft黑客小組擁有不斷擴大的黑客工具庫。其中包括GELCAPSULE Trojan下載器。已確定此威脅能夠識別它是否正在沙盒環境中運行。如果是這種情況,作為一種自我保護的方法,GELCAPSULE木馬將停止其活動。該特洛伊木馬下載程序也以其在反病毒解決方案範圍內的能力而著稱。惡意軟件研究人員確定,GELCAPSULE Trojan下載器正用於提供ScarCruft組工具中的另一種工具-SLOWDRIFT惡意軟件。這場運動主要集中在韓國境內。 ScarCruft黑客組織的大多數目標往往是高級人員。 傳播方式 GELCAPSULE木馬的作者選擇的傳播方法是通過附加到虛假電子郵件的宏文件來進行。為了說服他們的目標下載並打開附件,ScarCruft黑客小組確保特別定制了被感染附件隨附的消息。 已知會部署三個其他威脅 惡意軟件研究人員研究了GELCAPSULE木馬,並能夠檢測到這種威脅傳遞給受感染主機的其他惡意軟件。特別是已經發現了三種黑客工具-KARAE,ZUMKONG和POORAIM。在剖析了這些威脅之後,網絡安全專家便能夠檢測到它們服務於什麼目的。 KARAE黑客工具是一個基本的Trojan後門,用於將其他惡意軟件傳送到受感染的系統。它還可以收集有關主機的信息,並將其虹吸回攻擊者。 ZUMKONG被歸類為信息竊取者,專門針對保存在流行的Web瀏覽器(例如Google Chrome和Internet Explorer)中的登錄憑據。 POORAIM威脅是一個後門特洛伊木馬,它使操作員能夠獲取受感染主機的桌面的屏幕快照,下載,運行和瀏覽文件以及收集數據。該黑客工具使用一種過時的方法-AOL消息傳遞服務接收命令。...

于October 20, 2019發表在Trojan Downloader

柏油碎石

針對OSX設備的惡意軟件並不像運行Windows的計算機之後的惡意軟件那樣普遍。但是,這並不意味著不存在專門針對Apple計算機的威脅。大量的Mac所有者認為他們的設備是錯誤地不可滲透的,因為這是一種誤解,使許多Apple用戶感到頭痛。網絡安全研究人員發現了今年年初針對Mac計算機的全新威脅。與這種威脅有關的有害運動集中在美國,意大利和日本。這種新威脅的名稱是Shlayer Trojan,它是第一階段的有效負載。一段時間以來 ,惡意軟件專家無法確定Shlayer Trojan惡意軟件提供的輔助負載是什麼。但是,在最近的一次操作中,發現Shalyer木馬正與一種名為Tarmac的威脅一起使用。儘管設法發現並識別了Tarmac惡意軟件,但專家指出,目前尚不清楚此威脅的確切目的是什麼。 命令與控制服務器處於脫機狀態 Tarmac威脅目標尚未確定的原因是,戰役背後的基礎設施處於脫機狀態。通常,當惡意軟件專家遇到新威脅時,他們會浪費時間並開始研究和剖析威脅,但對於Tarmac惡意軟件,這是不可行的,因為攻擊者的C&C(命令與控制)服務器處於脫機狀態,因此不能達到。因此,Tarmac威脅無法與C&C服務器通信,因此,它無法從其操作員接收命令。此外,已確定Tarmac惡意軟件的功能之一是收集有關主機的軟件和硬件的數據,但是由於所收集的信息無法傳輸到攻擊者的C&C服務器這一事實,這也變得不可能。 傳播方式 Shlayer Trojan和Tarmac惡意軟件的傳播所涉及的分發方法是惡意的。負責這些活動的騙子試圖誘騙用戶單擊偽造的Adobe更新或下載按鈕,這些更新或下載按鈕位於狡猾的網站上。遭受這種欺騙的用戶將使Shlayer Trojan下載程序可以訪問其係統,並且威脅將嘗試在受感染的計算機上植入Tarmac惡意軟件。 該活動背後的基礎結構處於脫機狀態,這不應使您認為這是無害的操作。...

于October 20, 2019發表在Malware

律師

Attor是針對目標移動設備量身定制的威脅,已經能夠運行數年而沒有被惡意軟件研究人員發現。這種威脅可以歸類為間諜軟件工具,多年來,其運營商可能已經積累了大量的收集數據。最近發現了Attor間諜軟件,因為其運營商開始針對與俄羅斯政府有聯繫的高級個人。 Attor間諜軟件的活動似乎主要集中在東歐,而大多數目標都位於俄羅斯聯邦。 可能會使用AT命令 Attor間諜軟件是一個相當有趣的威脅。已經確定此黑客工具是模塊化構建的。這使Attor惡意軟件非常靈活。此外,此工具的設計使其幾乎不留下任何不安全活動的痕跡,並且它也被認為是非常輕巧的。它具有一個組件,用於識別GSM指紋。該組件利用AT命令(也稱為Hayes命令集)。這是一項相當古老的技術,可以追溯到1980年代。儘管Hayes命令集已經使用了三十多年了,但它至今仍被使用。 Attor間諜軟件的作者很可能使用AT命令來欺騙安全檢查,並且未被發現。該黑客工具允許其操作員收集有關受感染主機及其係統的各種信息,這些信息可能被用來使攻擊更加有效。 律師間諜軟件功能 Attor間諜軟件的功能令人印象深刻。律師威脅可以: 通過設備上的麥克風錄製音頻。 識別正在運行的應用程序和進程。 拍攝用戶屏幕的屏幕截圖。 收集有關受感染設備的有關硬件和軟件的數據。 Attor惡意軟件的創建者似乎專注於從受害者的瀏覽器收集數據。威脅的作者VPN應用程序,電子郵件應用程序和True Crypt也似乎有幾個特別有趣的應用程序。 在單獨的Tor隱藏服務上託管組件 為避免惡意軟件研究人員的窺視,Attor間諜軟件的作者已確保將其創建的組件託管在單獨的Tor隱藏服務上。這種方法使網絡安全專家很難研究Attor惡意軟件,因為他們需要找到所有單獨的組件來監視威脅活動。...

于October 20, 2019發表在Spyware

珊瑚泥

眾所周知,朝鮮政府使用黑客服務。最近,除了著名的Lazarus黑客組織之外,還出現了一個新演員,即ScarCruft APT(高級持久威脅)。該黑客組織也通常稱為APT37。他們似乎主要針對高級韓國人。但是,惡意軟件研究人員在中東以及越南和日本發現了APT31活動。 ScarCruft黑客組織可能已於2015年開始運營。 隱身偏好 ScarCruft集團傾向於在運營中特別注意隱身性。 APT37操作的另一個簽名組件是從主機收集重要信息。黑客組織用來收集數據的主要工具之一是CORALDECK惡意軟件。涉及CORALDECK工具的首個活動於2016年前幾個月啟動,並設法將其最高活動水平維持了四個多月。 針對特定的文件類型和文件名 CORALDECK威脅可以歸類為信息竊取者。這個信息竊取者不是一個非常複雜的威脅,ScarCruft黑客組織傾向於與其他黑客工具一起使用它,以實現最大的效率。 CORALDECK信息竊取程序經過專門設計,可以查找不同的文件類型或具有特定名稱的文件。這是一種完全不同的方法,因為大多數信息竊取工具的目標都是敏感信息,例如信用卡詳細信息和登錄憑據。 APT37小組使用的方法使惡意軟件研究人員認為,攻擊者可以瀏覽系統上的文件,選擇想要獲取的文件,然後使用CORALDECK工具獲取目標數據。 存檔收集的數據 在攻擊期間,會向攻擊者的服務器發出HTTP POST請求,這使CORALDECK信息竊取者可以使用硬編碼提取技術來收集感興趣的信息。一旦威脅設法檢索到目標數據,它將被保存在.RAR或.ZIP存檔文件中,該文件由密碼保護。 CORALDECK還帶有WinRAR存檔軟件的便攜式可執行文件。 ScarCruft APT無疑是龐大的黑客工具庫,他們針對高知名度人物的競選活動也使它成為了熱門話題。...

于October 20, 2019發表在Trojans

狗窩

ScarCruft黑客組織是來自朝鮮的一個新興的,備受關注的演員。這組人也稱為APT37(高級持續威脅)。網絡安全研究人員認為,ScarCruft集團很可能直接由北朝鮮政府資助,並被用作對抗外國政府和官員的武器。 APT37的大多數目標似乎是在韓國擔任重要職務或權力的人。 ScarCruft黑客組織的黑客工具列表很長,其中包括DOGCALL後門特洛伊木馬。 2016年8月,首次使用了DOGCALL木馬。 針對韓國的軍事和政府機構 2017年,APT37啟動了針對韓國政府機構和軍事機構的行動。 DOGCALL後門特洛伊木馬是此臭名昭著的戰役中使用的工具之一。攻擊者使用的傳播方法是垃圾郵件,其中包含附加的虛假Microsoft Office文檔。一旦混淆的shellcode段對其解密,DOGCALL木馬的有效負載將立即執行。 能力 ScarCruft黑客組織以隱身優先於蠻力而聞名。該DOGCALL木馬不會從這個首選方法流浪APT37是指滲透到主機和向下低,允許攻擊者有超過默默長時間進入系統操作。 DOGCALL後門木馬俱有以下功能: 執行鍵盤記錄模塊。 拍攝打開的選項卡和受害者的桌面的屏幕快照。 執行遠程命令。 DOGCALL木馬能夠檢測它是否正在惡意軟件調試環境中運行,這使惡意軟件研究人員的工作更加困難,但並非不可能。眾所周知,APT37與RUHAPPY刮水器DOGCALL木馬結合使用了另一種黑客工具。 有一陣子,唯一一個從朝鮮冰雹而來的黑客組織是拉撒路。但是,ScarCruft...

于October 20, 2019發表在Malware

導航儀

APT37(高級持續威脅)是一個已經存在了一段時間的黑客組織,據信它與朝鮮政府合作(儘管尚未完全確定這一信息)。 APT37小組的大多數目標都集中在韓國,十個目標相當引人注目。最近,APT37使用魚叉式網絡釣魚電子郵件來傳播稱為NavRAT(遠程訪問木馬)的威脅。惡意軟件研究人員認為,攻擊者使用的傳送方法相當有趣。有趣的是,涉及NavRAT的戰役中使用的基礎設施也不是很傳統。 通過魚叉式網絡釣魚電子郵件進行傳播 上述魚叉式網絡釣魚電子郵件將包含受感染的附件,其格式為“ .HWP”。該損壞的文件名為“美朝朝鮮峰會的前景”。符合文檔結構約定(DSC)的PostScript文檔,在這種情況下,封裝的PostScript(EPS)佈局打包了混淆的shellcode,只有在滿足所有要求時才運行。一旦威脅加劇並開始運行,它將確保連接到其操作員的服務器(位於韓國),並獲取攻擊者想要植入主機的主要惡意軟件。 ,NavRAT。 獲得持久性並安靜地操作 NavRAT木馬會將其文件插入'%PROGRAMDATA%\ AhnLab'文件夾中。有問題的數據存儲在名為“ GoogleUpdate.exe”的文件中。值得注意的是,由於APT37的目標位於韓國,因此攻擊者選擇使用AhnLab這個名稱,因為該名稱通常與該地區一家頗受歡迎的網絡安全公司相關。當NavRAT成功滲透到主機時,它還將確保它在受感染的系統上具有持久性。這是通過生成註冊表項來完成的,該註冊表項旨在指示Windows在重新引導系統時運行NavRAT Trojan。為最大程度地減少發現威脅的機會,APT37已使用合法的運行進程作為其損壞代碼的主機。 NavRAT具有大多數遠程訪問特洛伊木馬的功能: 執行遠程命令。 收集擊鍵。 下載並執行文件。 上傳並執行文件。 NavRAT木馬通過電子郵件與其操作員進行通信...

于October 20, 2019發表在Remote Administration Tools

希達德

Hiddad是一款基於Android的廣告軟件。 Hiddad廣告軟件的大部分活動都集中在俄羅斯,超過40%的受害者位於俄羅斯。但是,在美國,印度,德國,烏克蘭,印度尼西亞等國家也有感染的報導。 Hiddad廣告軟件的創建者採用了各種社交工程技術來實現其最終目標,即說服用戶點擊他們的廣告。這聽起來似乎沒什麼大不了的,但是Hiddad的作者如果設法將自己的創作植入足夠的主機設備,則可以賺取可觀的收入。 通過虛假應用傳播 該廣告軟件似乎已託管在官方的Google Play Stor上,冒充了幾個假冒的應用程序“ Snap Tube”,“ Music Mania”和“ Tube Mate”。值得慶幸的是,Google Play商店的開發人員已經使用了這些欺詐性應用程序,並已將其從平台中刪除。這些虛假的應用程序聲稱提供了一些很棒的功能,例如免費的音樂流服務,甚至從YouTube視頻中刪除了煩人的廣告。但是,如果用戶安裝了這些偽造的應用程序之一,則會要求他們提供一長串權限,而這不是這種合法應用程序所能做的。然後,該應用程序將以假名“ plugin android”安裝第三方軟件,這要求用戶向其授予管理員特權。將這些特權賦予該應用程序將使其從設備上刪除變得更加困難,因為它可能會將其文件注入系統文件夾中。 Google Play商店刪除了惡意應用程序 儘管Google Play商店刪除了與Hiddad廣告軟件相關的應用程序,但其創建者很有可能通過尚未被發現的其他應用程序進行傳播。更糟糕的是,在獲得持久性之後,該應用程序將向用戶顯示提示,要求他們給該應用程序五星級評級。最糟糕的是,除非您在Google Play商店中給予應用程序五星評價並對其評分,否則無法關閉此提示。這是一項非常激進的技術,從Google Play商店中與Hiddad相關的應用程序的評級來看,很多人被迫給予五星級評級。...

于October 20, 2019發表在Adware

Android包包

AndroidBauts殭屍網絡是一個受感染的Android設備網絡,用於將廣告宣傳給在線用戶。某一時刻,受感染設備的數量超過了55萬。 AndroidBauts殭屍網絡的創建者能夠收集有關受感染設備(包括軟件和硬件)的數據。大多數受感染的設備似乎位於印度和印度尼西亞。但是,在俄羅斯,阿根廷,越南,馬來西亞和其他國家/地區也可以找到大量屬於AndroidBauts殭屍網絡的受感染Android設備。 通過虛假應用程序傳播 AndroidBauts殭屍網絡的運營商很可能通過在官方Google Play商店中託管假冒應用程序來感染瞭如此龐大的設備。用戶從Google Play商店下載應用程序時,往往會不太謹慎,因為他們相信開發人員不會在其平台上允許任何潛在的不安全應用程序,但並非總是如此。自從檢測到AndroidBauts殭屍網絡的活動以來,Google Play商店已刪除了與該廣告軟件相關的所有應用程序。但是,儘管付出了很多努力,但全球仍有成千上萬的Android設備受到威脅的威脅。 AndroidBauts的其他功能 除了向用戶發送廣告垃圾郵件之外,AndroidBauts廣告軟件還可以用作信息收集工具。該廣告軟件可以收集: Android版本。 有關用戶的管理員特權的信息。 設備的唯一硬件地址(MAC)。 有關處理器型號,頻率,內核數和製造商的信息。 如果用戶安裝了兩個SIM卡,則電話號碼為1和2。 手機存儲空間的大小以及存儲卡的可用性和大小。 IMSI,IMSI2,IMEI和IMEI2。 AndroidBauts廣告軟件的操作員可以在受感染的主機上執行遠程命令。廣告軟件收集的信息被傳輸到其操作員的服務器。借助於發送到AndroidBauts運營商的設備數據,他們可以查看設備當前是否在線,檢查廣告的狀態,發送新的廣告請求或更新關於設備的信息(如果有任何新輸入)。...

于October 20, 2019發表在Malware

To

Lotoor是專門針對Android設備的威脅。 Lotoor惡意軟件的大多數活動似乎都位於俄羅斯聯邦,超過32%的受感染設備集中在該地區。但是,該惡意軟件家族在美國,巴西,印度,德國,越南和其他國家似乎也很活躍。 Lotoor的能力 Lotoor惡意軟件的方法是悄悄地潛入目標的Android設備,並尋找可能存在的各種利用。然後,如果檢測到任何威脅,則Lotoor威脅將嘗試使用它來獲取管理員特權。如果嘗試成功,則Lotoor惡意軟件將能夠由其操作員接收和執行遠程命令。這意味著Lotoor作者可以: 收集敏感數據。 禁用系統上可能存在的所有安全措施。 向受感染的主機提供其他威脅。 管理系統上的數據。 管理安裝程序應用程序。 更改設備上的設置。...

于October 20, 2019發表在Malware

Jsecoin

Jsecoin是用於通過Web瀏覽器挖掘加密貨幣的服務。這是通過將用JavaScript編寫的代碼注入目標網站來實現的。並非所有利用此服務的網頁都是不正確的,有時真正的網站會使用此功能,但不同之處在於合法的頁面永遠不會通知用戶其係統將被用來開採加密貨幣。但是,存在惡意網站,這些網站不會向用戶顯示任何通知。對於正在開采的加密貨幣,是門羅幣。注入Jsecoin的網站的訪問者將擁有大量的處理能力,這些資源將自動用於挖掘Monero。通常,此類不透明的Web頁面將確保在不考慮用戶及其係統的情況下,盡可能多地消耗處理能力。這種活動通常會導致性能問題,因為其他正在運行的進程可能沒有足夠的處理能力來按預期運行。 與CoinHive Cryptojacker具有相似之處 Jsecoin礦工不是開創性的活動。實際上,這個礦工與另一個礦工非常相似,後者在2018年因CoinHive Cryptojacking而廣受歡迎 。 CoinHive...

于October 20, 2019發表在Malware

APT37

APT37(高級持續威脅)是一個很可能來自朝鮮的黑客組織。專家推測,APT37可能直接由朝鮮政府資助。該黑客組織也稱為ScarCruft。直到2017年,APT37幾乎將所有精力集中在位於韓國的目標上。但是,在2017年,黑客組織開始擴大影響範圍,並開始在日本和越南等東亞其他州發起活動。 APT37的目標也位於中東。黑客組織還與其他思想不端的演員合作。 APT37旨在促進朝鮮的利益,因此其目標往往引人注目。黑客組織傾向於針對與汽車製造,化學生產,航空航天等相關的行業。 傳播方式 網絡安全專家一直在觀察APT37的活動,並概述了幾種傳播方法,這些方法通常被實施: 通過洪流網站傳播惡意軟件。 啟動魚叉式網絡釣魚電子郵件活動。 使用各種社交工程技術來誘騙用戶下載並執行損壞的文件。 滲透服務和網站以劫持它們並使用它們傳播惡意軟件。 APT37的工具庫 APT37是一個黑客組織,擁有各種工具. APT37使用的最受歡迎的黑客工具包括: NavRAT,一種RAT或遠程訪問木馬,其中包含許多功能。 CORALDECK,一種用於從受感染主機中收集文件的威脅。 Karae是一種後門特洛伊木馬,它收集有關主機系統的數據,並使攻擊者能夠確定如何進行攻擊。 DOGCALL,一種後門特洛伊木馬,由於其功能而類似於RAT。 ROKRAT ,一種可以記錄音頻,劫持登錄憑證,執行遠程命令等的RAT。 ScarCruft Bluetooth Harvester,基於Android的威脅,用於從受感染設備中收集信息。 GELCAPSULE,一種木馬,用於在受感染的系統上植入其他惡意軟件。 MILKDRO,一個後門,它可以篡改Windows註冊表來獲得持久性並且非常安靜地運行。 SHUTTERSPEED,一種後門特洛伊木馬,可以獲取屏幕快照,虹吸有關主機軟件和硬件的信息,並在系統上部署其他惡意軟件。...

于October 20, 2019發表在Malware

康普芬

COMpfun是一種RAT(遠程訪問木馬),屬於Turla黑客組織,於2014年左右首次被發現。TurlaAPT(高級持久威脅)被認為是一群可能由克里姆林宮贊助的俄羅斯人(但此信息有待確認)。 Turla黑客組織傾向於針對位於俄羅斯和白俄羅斯的知名個人/組織。該Turla APT具有的黑客工具一個令人印象深刻的阿森納,如果你比較COMpfun RAT到另一個他們的威脅時, 減速機木馬,你會看到,後者是更為危險和複雜。但是,COMpfun RAT也無法估算,因為它仍然可以使攻擊者劫持系統並獲得對其的完全控制權。 能力 COMpfun RAT的一些功能包括: 捕獲桌面的屏幕截圖和受感染系統的選項卡。 上載文件。 正在下載文件。 執行文件。 管理文件。 運行一個鍵盤記錄器,該鍵盤記錄器被編程為在特定時間段內將收集的數據發送給攻擊者。 執行PowerShell腳本。 執行遠程命令。 正如我們所提到的,COMpfun RAT最早於2014年被發現,當時,由於採用了COM劫持(組件對像模塊),這種威脅是相當新穎的。借助此功能,COMpfun RAT可以將自身注入系統中運行的合法進程中,從而始終處於反惡意軟件工具的監視之下。 儘管在今年,COMpfun RAT已經有些過時了,但是可以肯定地說它仍然在網上流通並聲稱是受害者。但是,自2014年以來,防病毒應用程序有了長足的發展,任何知名的安全解決方案都將能夠檢測並清除系統中的COMpfun...

于October 20, 2019發表在Remote Administration Tools