盗版真的带毒 泄露IDA内含朝鲜黑客后门

第155期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、盗版真的带毒 泄露IDA内含朝鲜黑客后门

安全圈又遭社工攻击,泄露IDA PRO竟带后门,朝鲜黑客再得一分。

ESET安全研究员发现Lazarus在传播盗版IDA PRO,仔细分析发现,其中内含后门,这版IDA传播极广,中招者不计其数。这并非是朝鲜黑客首次针对安全圈发动社工攻击了,之前就有过利用漏洞报告吸粉然后私聊收割的案例(虽然考虑到这版IDA PRO的最初发布时间,说之前也并不精确)。这次初步推测是针对圈内专攻逆向的安全研究员,IDA PRO如此高的价格,很可能就连顶尖的安全研究员也难逃此次社工攻击。已经有多家安全公司和安全研究员发布了预警和检测脚本,使用泄露IDA的小伙伴抓紧试一试。[阅读原文]

 

2、双十一黑客也要买买买 伊朗黑客采购美政府数据

FBI对私营行业发出安全警告(TLP:AMBER),称伊朗黑客正着手采购美国政府和企业相关的数据。

此时恰逢双十一,不知道采购数据会便宜多少,全场五折,买一发三指望不上,送点便宜数据也不是不行。FBI分析,伊朗黑客买这些数据是为了当作日后攻击的弹药,窃取新的数据,并提醒政企及时修补漏洞。虽然FBI连名字都没给此次攻击行动中的黑客取,但他们确信这就是伊朗政府雇佣的国家级黑客,理由是之前伊朗黑客组织曾用类似方法攻击选举网站以支持特朗普。[阅读原文]

 

3、重置网站插件的漏洞可以重置网站

重置网站插件可以让网站重置,这再正常不过了,只是点确定的人不一定是你罢了。

WordPress重置插件WP Reset PRO被发现存在漏洞,可以让普通用户行驶管理员的特权——重置网站,重置之后还可以重新注册为管理员。虽然这样已经够危险了,但它还有其他并发症,可以让黑客访问同服务器的其他站点,到时候站长真的是欲哭无泪。安装此插件的用户还请尽快更新,或者调整注册功能,或者不要写一些会惹用户生气的文章。[阅读原文]

 

4、赫尔墨斯的文书——利用隐形字符的恶意代码

安全研究员最近探索出一种绕过人眼识别的隐藏恶意代码方法,那就是隐形字符。

这种攻击方式并不能说多么新奇,但是随着安全研究员的持续迭代,也逐步走向了实用化。以前对于恶意代码多用各类混淆来增加分析难度,解混淆后可读性就会大大增强,这种方法针对的则是可读的代码部分,利用隐形字符将恶意代码隐藏起来,让分析人员摸不着头脑。经过安全研究员测试,很多编辑器对这种代码都不能很好地显示,不过假如分析人员上大招,将其拷入IDE中分析,这些恶意代码就会原形立现,VS Code、Notepad++等都不受此影响。尽管如此,对于怕麻烦的分析人员还是可以起到作用的,之后可能会作为对懒惰分析人员的特攻武器,装备入各种后门之中。[阅读原文]

 

5、合作双赢 TrickBot与Shatak强强联合分发Conti勒索软件

Shatak(TA551)最近被发现与TrickBot(Wizard Spider、ITG23)同流合污,疯狂进行勒索软件攻击。

Shatak是老交际花了,之前一直和各种团队合作部署恶意软件,和TrickBot的蜜月期也已早早度过,如今已是亲密合作伙伴。据安全研究员调查,他们7月就开始合作部署Conti勒索软件,并取得了不错的成果。在攻击中,Shatak是先锋,负责利用钓鱼邮件突破目标网络防护,接着投放TrickBot开发的恶意软件,最后TrickBot通过Cobalt Strike部署Conti进行勒索操作。目前来看,两家对现状都很满意,当然对用户来说黑客组织强强联合肯定不是什么好消息,只能生活中多多注意。[阅读原文]

(完)