RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere. New Android malware uses Microsoft's .NET MAUI to evade detection. Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep.
RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere
Den kjente cyberspionasjegruppen RedCurl, aktiv siden 2018, har nå begynt å bruke et nytt løsepengevirus kalt "QWCrypt" for å målrette Hyper-V virtuelle maskiner. Angrepene starter med phishing-e-poster som inneholder ".IMG"-vedlegg forkledd som CV-er. Når disse åpnes, monteres de automatisk som en ny stasjonsbokstav i Windows, og inneholder en skjermsparerfil som utnytter DLL-sidelasting for å laste ned en ondsinnet nyttelast. RedCurl bruker også "living-off-the-land"-verktøy for å opprettholde skjult tilstedeværelse, sprer seg lateralt med en tilpasset wmiexec-variant, og benytter verktøyet 'Chisel' for tunneling og RDP-tilgang. Før løsepengeviruset distribueres, deaktiverer angriperne forsvarsmekanismer ved hjelp av krypterte 7z-arkiver og en flertrinns PowerShell-prosess. QWCrypt støtter flere kommandolinjeargumenter for å målrette Hyper-V-maskiner, inkludert muligheten til å ekskludere spesifikke virtuelle maskiner og å slå av eller drepe VM-prosesser. Under kryptering brukes XChaCha20-Poly1305-algoritmen, og filer får enten ".locked$" eller ".randombits$"-utvidelser. Løsepengebrevet, kalt "!!!how_to_unlock_randombits_files.txt$", inneholder tekst fra andre kjente løsepengevirus som LockBit, HardBit og Mimic.
New Android malware uses Microsoft's .NET MAUI to evade detection
Nye Android-malwarekampanjer utnytter Microsofts kryssplattform-rammeverk .NET MAUI for å skjule ondsinnet kode i binære blob-filer, noe som gjør det vanskelig for sikkerhetsverktøy å oppdage dem. Disse appene utgir seg for å være legitime tjenester og benytter flere avanserte teknikker for å unngå deteksjon.
Brukere bør være forsiktige med å laste ned apper fra ukjente kilder, holde enhetene sine oppdatert med de nyeste sikkerhetsoppdateringene, og bruke pålitelige sikkerhetsløsninger for å beskytte mot slike trusler.
Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep
To ondsinnede pakker, 'ethers-provider2' og 'ethers-providerz', ble nylig oppdaget på npm-registeret. Disse pakkene er designet for å infisere det lokalt installerte 'ethers'-biblioteket ved å erstatte en av filene med en modifisert versjon som laster ned og kjører en reverse shell, noe som gir angripere fjernkontroll over det kompromitterte systemet. Selv etter at de ondsinnede pakkene er fjernet, forblir den skadelige koden i 'ethers'-biblioteket, noe som gir en vedvarende trussel.
Utviklere bør nøye gjennomgå og verifisere tredjepartspakker før de installeres. Det er viktig å overvåke og inspisere endringer i lokale biblioteker for å oppdage uautoriserte modifikasjoner. Implementering av sikkerhetsverktøy som kan oppdage og varsle om slike endringer anbefales også.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.