久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

2025年第一季度，網(wǎng)絡(luò)安全戰(zhàn)場(chǎng)硝煙四起，網(wǎng)絡(luò)犯罪分子繼續(xù)發(fā)起新的攻擊并優(yōu)化其攻擊手段。本文對(duì)五大值得關(guān)注的惡意軟件進(jìn)行了概述和簡要分析。

2025年初，攻擊者開始利用一種被稱為ClickFix的技術(shù)來傳播 NetSupport 遠(yuǎn)程訪問木馬（RAT）。這種技術(shù)會(huì)將虛假的驗(yàn)證碼頁面注入被攻陷的網(wǎng)站，誘導(dǎo)用戶執(zhí)行惡意 PowerShell 命令，從而下載并運(yùn)行 NetSupport RAT。一旦安裝成功，該 RAT 會(huì)賦予攻擊者對(duì)受害者系統(tǒng)的完全控制權(quán)，包括實(shí)時(shí)屏幕監(jiān)控、文件操作以及任意命令執(zhí)行。

NetSupport RAT 的主要技術(shù)特點(diǎn)

●攻擊者可以實(shí)時(shí)查看并控制受害者屏幕。

●上傳、下載、修改和刪除受感染系統(tǒng)中的文件。

●遠(yuǎn)程運(yùn)行系統(tǒng)命令和 PowerShell 腳本。

●捕獲復(fù)制的文本，包括密碼和敏感數(shù)據(jù)。

●記錄用戶按鍵以竊取憑證。

●啟動(dòng)、停止和修改系統(tǒng)進(jìn)程和服務(wù)。

●通過啟動(dòng)文件夾、注冊(cè)表鍵或計(jì)劃任務(wù)實(shí)現(xiàn)持久化。

●使用進(jìn)程注入和代碼混淆技術(shù)逃避檢測(cè)。

●通過加密流量與攻擊者保持隱秘通信。

當(dāng) NetSupport RAT 感染系統(tǒng)時(shí)，它會(huì)立即與命令和控制 （C2） 服務(wù)器建立連接，從而允許攻擊者遠(yuǎn)程作受感染的機(jī)器。通過此連接，攻擊者可以執(zhí)行系統(tǒng)命令、部署其他惡意軟件和修改系統(tǒng)設(shè)置。

檢測(cè)到的 CnC 連接

NetSupport RAT 還使用多種戰(zhàn)術(shù)、技術(shù)和程序（TTP）來維持持久性、逃避檢測(cè)并收集系統(tǒng)數(shù)據(jù)。關(guān)鍵的 TTP 包括：

●持久性與執(zhí)行：修改注冊(cè)表啟動(dòng)項(xiàng)，通過 wscript.exe 執(zhí)行腳本。

●發(fā)現(xiàn)：讀取計(jì)算機(jī)名稱、檢查系統(tǒng)語言并訪問環(huán)境變量。

●防御規(guī)避與 C2 通信：投放合法的 Windows 可執(zhí)行文件，創(chuàng)建遠(yuǎn)程控制的互聯(lián)網(wǎng)連接對(duì)象。

NetSupport RAT 使用的主要TTP

Lynx 勒索軟件即服務(wù)（RaaS）組織以其高度結(jié)構(gòu)化而聞名，提供完善的附屬計(jì)劃與強(qiáng)大的加密方法?；谠缙?INC 勒索軟件的基礎(chǔ)，Lynx 提升了其能力并擴(kuò)大了攻擊范圍，瞄準(zhǔn)了多、、個(gè)國家的不同行業(yè)。

Lynx 的附屬面板允許其附屬機(jī)構(gòu)在用戶友好的界面中配置受害者資料、生成自定義勒索軟件樣本并管理數(shù)據(jù)泄露計(jì)劃。由于其結(jié)構(gòu)化方法，即使對(duì)于技術(shù)專業(yè)知識(shí)有限的人來說，它也成為最容易獲得的勒索軟件之一。

為了激勵(lì)參與，Lynx 向附屬公司提供 80% 的贖金收益份額。該組織維護(hù)著一個(gè)泄密網(wǎng)站，如果受害者未能支付贖金，就會(huì)在那里發(fā)布被盜數(shù)據(jù)。

Lynx 主要攻擊事件

2025年第一季度，Lynx 加密了一個(gè)領(lǐng)先的澳大利亞卡車經(jīng)銷商系統(tǒng)，以及一家美國專門從事公司法和證券法的律師事務(wù)所，竊取了大量敏感數(shù)據(jù)，威脅受害者支付贖金。

Lynx 勒索軟件的主要技術(shù)特點(diǎn)

●默認(rèn)加密所有文件，包括本地驅(qū)動(dòng)器、網(wǎng)絡(luò)共享和可移動(dòng)媒體。

●通過 RaaS 配置，可針對(duì)特定文件類型、文件夾或擴(kuò)展名。

●在加密前竊取敏感數(shù)據(jù)，包括文檔、憑證和財(cái)務(wù)信息。

●通過 HTTPS 或自定義加密通道傳輸被盜數(shù)據(jù)。

●刪除卷影副本并禁用 Windows 恢復(fù)功能以防止還原。

●關(guān)閉可能阻止加密的應(yīng)用程序。

●使用憑證轉(zhuǎn)儲(chǔ)技術(shù)提取存儲(chǔ)的密碼。

●通過 Tor 網(wǎng)絡(luò)匿名通信并與 C2 服務(wù)器保持連接。

●檢測(cè)虛擬機(jī)和沙箱環(huán)境，改變行為以逃避分析。

●在內(nèi)存中運(yùn)行，避免將文件寫入磁盤。

可以在下述受控環(huán)境中直接觀察 Lynx Ransomware 的行為。成功被感染后，桌面背景被勒索消息替換，攻擊者留下一張便條警告所有數(shù)據(jù)都已被盜和加密，受害者被指示下載 Tor 以聯(lián)系他們。

攻擊者留下的勒索軟件消息

一些文件也被重命名，，并附加其擴(kuò)展名。例如，C：\Users\admin\Desktop\academicroad.rtf 變?yōu)?C：\Users\admin\Desktop\academicroad.rtf.LYNX。

檢測(cè)到使用 .lynx 重命名的文件

整個(gè)系統(tǒng)中的數(shù)十個(gè)文件以這種方式被修改，進(jìn)一步證實(shí)了其加密過程。這些只是 Lynx 在受感染系統(tǒng)內(nèi)執(zhí)行的眾多破壞性作中的一小部分。

2025 年初，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)復(fù)雜的惡意軟件活動(dòng)，該活動(dòng)部署了 AsyncRAT，這是一種遠(yuǎn)程訪問木馬，以其高效的異步通信功能而聞名。

該活動(dòng)因其使用基于 Python 的有效負(fù)載和利用 TryCloudflare 隧道來增強(qiáng)隱身性和持久性而脫穎而出。

攻擊始于一封包含 Dropbox URL 的網(wǎng)絡(luò)釣魚電子郵件。當(dāng)收件人單擊該鏈接時(shí)，他們會(huì)下載一個(gè) ZIP 存檔，其中包含 Internet 快捷方式 （URL） 文件。反過來，此文件通過 TryCloudflare URL 檢索 Windows 快捷方式 （LNK） 文件。執(zhí)行 LNK 文件會(huì)觸發(fā)一系列腳本、PowerShell、JavaScript 和批處理腳本，這些腳本會(huì)下載并執(zhí)行 Python 負(fù)載。

此負(fù)載負(fù)責(zé)部署多個(gè)惡意軟件系列，包括 AsyncRAT、Venom RAT 和 XWorm。

AsyncRAT 技術(shù)特點(diǎn)

●允許攻擊者在受感染的系統(tǒng)上執(zhí)行命令、監(jiān)控用戶活動(dòng)和管理文件。

●能夠竊取敏感信息，包括憑據(jù)和個(gè)人數(shù)據(jù)。

●采用技術(shù)來維護(hù)長期訪問，例如修改系統(tǒng)注冊(cè)表和利用啟動(dòng)文件夾。

●使用混淆和加密來逃避安全解決方案的檢測(cè)。

AsyncRAT 連接到 masterpoldo02[.]kozow[.]COM 通過端口 7575，允許遠(yuǎn)程攻擊者控制受感染的機(jī)器。阻止此域并監(jiān)控流向此端口的流量有助于防止感染。

此外，AsyncRAT 將自身安裝在 %AppData% 中以混入合法應(yīng)用程序，并使用互斥鎖 （AsyncMutex_alosh） 來防止多個(gè)實(shí)例運(yùn)行。

在受控環(huán)境中分析惡意配置

該惡意軟件還使用帶有硬編碼密鑰和 salt 的 AES 加密，使安全工具難以分析其通信。

AsyncRAT 使用的 AES 加密

2025 年初，網(wǎng)絡(luò)安全專家發(fā)現(xiàn)了一個(gè)復(fù)雜的活動(dòng)，涉及信息竊取惡意軟件 Lumma Stealer。

攻擊者使用 GitHub 的發(fā)布基礎(chǔ)設(shè)施來分發(fā)此惡意軟件，利用該平臺(tái)的可信度繞過安全措施。執(zhí)行后，Lumma Stealer 會(huì)啟動(dòng)其他惡意活動(dòng)，包括下載和運(yùn)行其他威脅，如 SectopRAT、Vidar、Cobeacon 和其他 Lumma Stealer 變體。

Lumma Stealer 技術(shù)特點(diǎn)

●通過 GitHub 版本分發(fā)，利用可信基礎(chǔ)設(shè)施來逃避安全檢測(cè)。

●竊取瀏覽器憑據(jù)、cookie、加密貨幣錢包和系統(tǒng)信息。

●將被盜數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器，實(shí)現(xiàn)實(shí)時(shí)泄露。

●可以下載和執(zhí)行其他惡意軟件，包括 SectopRAT、Vidar 和 Cobeacon。

●使用注冊(cè)表修改和啟動(dòng)項(xiàng)來維護(hù)訪問權(quán)限。

●可通過基于網(wǎng)絡(luò)的安全監(jiān)控工具進(jìn)行檢測(cè)，揭示惡意通信模式。

執(zhí)行時(shí)，惡意軟件會(huì)連接到其命令和控制服務(wù)器，從而讓敏感數(shù)據(jù)泄露。分析還揭示了特定 Suricata 規(guī)則的觸發(fā)。

由 Lumma Stealer 觸發(fā)的 Suricata 規(guī)則

分析會(huì)議還揭示了 Lumma 如何從 Web 瀏覽器竊取憑據(jù)并泄露個(gè)人數(shù)據(jù)。

Lumma Stealer 盜竊憑據(jù)和個(gè)人數(shù)據(jù)

在一波社會(huì)工程攻擊中，網(wǎng)絡(luò)犯罪分子一直在利用 InvisibleFerret（一種基于 Python 的隱蔽惡意軟件）來破壞毫無戒心的受害者。

這種惡意軟件在虛假求職面試過程中偽裝成合法軟件，已被積極用于虛假面試活動(dòng)，攻擊者冒充招聘人員誘騙專業(yè)人士下載惡意工具。

InvisibleFerret 技術(shù)特點(diǎn)

●該惡意軟件使用雜亂無章且混淆不清的 Python 腳本，使分析和檢測(cè)具有挑戰(zhàn)性。

●InvisibleFerret 主動(dòng)搜索和泄露敏感信息，包括源代碼、加密貨幣錢包和個(gè)人文件。

●通常由另一種名為 BeaverTail 的惡意軟件作為輔助有效載荷提供，BeaverTail是一種基于 JavaScript 的混淆信息竊取程序和加載程序。

●該惡意軟件在受感染的系統(tǒng)上建立持久性，確保持續(xù)訪問和控制。

InvisibleFerret 攻擊的一個(gè)關(guān)鍵要素是部署 BeaverTail，這是一個(gè)惡意 NPM 模塊，可提供可移植的 Python 環(huán)境 （p.zip） 來執(zhí)行惡意軟件。

分析InvisibleFerret的泄露信息

作為多層攻擊鏈的第一階段，BeaverTail 設(shè)置了 InvisibleFerret，這是一個(gè)具有高級(jí)混淆和持久性機(jī)制的隱蔽后門，使檢測(cè)變得困難。

來源：FreeBuf