瞬间科学上网:http://v.dshanam.com/
一、黑客组织Flax Typhoon利用LOLBins逃避检测(8.25)经发现,新黑客组织“Flax Typhoon”针对政府机构、教育、关键制造和信息技术组织实施间谍活动详细情况据了解,黑客组织Flax Typhoon利用操作系统上已有的大部分组件,即live-off-the-land 二进制文件、LOLBins 以及合法软件来获取和维护对受害者网络的访问。
最早从2021年中期开始,Flax Typhoon主要攻击台湾的组织;经调查,东南亚、北美和非洲地区也存在Flax Typhoon的受害者Flax Typhoon 利用面向公众的服务器(包括 VPN、Web、Java 和 SQL 应用程序)中的已知漏洞获得初步访问权限。
随后,黑客投放China Chopper这一小型 (4KB), 但功能强大的 Web shell ,提供远程代码执行功能此外,Flax Typhoon使用开源工具“Juicy Potato”和“BadPotato”将权限提升至管理员级别,利用已知漏洞来获取更高权限。
之后,Flax Typhoon 通过注册表修改关闭网络级身份验证 (NLA) ,并利用 Windows 粘滞键辅助功能建立 RDP(远程桌面协议)连接,黑客使用本地系统权限访问任务管理器,启动终端后创建内存转储,对被感染的系统执行任何操作。
为规避 RDP 与内部网络的连接限制,Flax Typhoon 安装合法VPN(虚拟专用网络)桥,维护受感染系统与其外部服务器之间的链接Invoke-WebRequest (Microsoft.PowerShell.Utility) - PowerShell | Microsoft Learn 实用程序、 certutil | Microsoft Learn或 bitsadmin | Microsoft Learn)下载开源 SoftEther VPN 客户端 ,并滥用内置 Windows工具将 VPN 应用程序设置为在系统启动时自动启动。
vpn官方地址:https://www.sandrakurvits.com/
为最大限度降低检测风险,黑客将其重命名为“conhost.exe”或“dllhost.exe”,伪装成合法Windows 组件此外,Flax Typhoon 使用 SoftEther 的 VPN-over-HTTPS 模式将 VPN 流量隐藏为标准 HTTPS 流量。
研究人员表示,黑客使用 Windows 远程管理 (WinRM)、WMIC 和其他 LOLBins 进行横向移动,且Flax Typhoon经常使用 Mimikatz 工具,从本地安全授权子系统服务 (LSASS) 进程内存和安全帐户管理器 (SAM) 注册表配置单元中提取凭据。
https://www.bleepingcomputer.com/news/security/microsoft-stealthy-flax-typhoon-hackers-use-lolbins-to-evade-detection/
二、黑客利用WinRAR零日漏洞攻击交易账户(8.23)自2023年4月,黑客利用WinRAR零日漏洞CVE-2023-38831传播DarkMe、GuLoader、Remcos RAT等恶意软件,破坏在线加密货币交易账户。
详细情况据了解,黑客利用WinRAR 零日漏洞创建恶意.RAR和.ZIP存档,存档内存放JPG (.jpg) 图像、文本文件 (.txt) 或 PDF (.pdf) 看似无害的文件当用户打开文档时,零日漏洞CVE-2023-38831将执行脚本,在用户设备上安装恶意软件。
2023年8月2日,WinRAR News: WinRAR 6.23 final released,该版本修复了CVE-2023-38831、 CVE-2023-40477等漏洞研究人员发现, 漏洞CVE-2023-38831通过创建特制存档触发脚本运行,由于特质文档与安全文件相似,WinRAR 的 ShellExecute 函数在尝试打开诱饵文件时,会接收错误参数,导致程序跳过无害文件,转而定位并执行批处理或 CMD 脚本。
因此,当用户认为打开一个安全文件时,程序实际会启动一个不同的文件脚本执行后会启动一个自解压 (SFX) CAB 存档,该存档使用DarkMe、GuLoader 和 Remcos RAT等恶意软件菌株感染计算机,从而向黑客提供受感染设备的远程访问权限。
其中,黑客以交易者为目标,使用DarkMe窃取交易者的加密资产;同时,黑客使用Remcos RAT 获得受感染设备的更多权限,包括任意命令执行、键盘记录、屏幕捕获、文件管理和反向代理功能https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/
梯子加速器:https://av1o.com/