NoName057(16)：俄罗斯 DDoS 滋扰者瞄准西方

首页 > 清静研究 > 清静转达 > 清静简讯

NoName057(16)：俄罗斯 DDoS 滋扰者瞄准西方

宣布时间 2024-03-05

1. NoName057(16)：俄罗斯 DDoS 滋扰者瞄准西方

3月3日，乌克兰战争引发了新型网络冲突，黑客运动整体充当了国家利益的署理人。俄罗斯的 NoName057(16) 已成为 DDoSia 项目

的代名词，这是一项针对支持乌克兰的国家的一连 DDoS 攻击运动。与专注于数据偷窃或特工运动的组织差别，NoName057(16) 追求压倒和破损，将数字天下酿成地缘政治战争的工具。自SEKOIA.IO当我们最先追踪他们时，他们的要领已经爆发了演变，展现了随着冲突潮流的转变以及与西方更普遍的主要时势而爆发的一连且顺应性强的威胁。2023 年 11 月 11 日，DDoSia 重大更新，扩展了对更普遍装备和操作系统的兼容性。值得注重的是，治理员凭证地理位置定制了版本，忠言俄罗斯用户在加入攻击时使用 VPN 来掩饰自己的位置。这个新版本引入了更重大的数据加密，可以更细腻地跟踪 DDoSia 用户。这些数据可能有助于治理员评估项目的有用性，并且可能成为执法和威胁情报事情的名贵资源。

https://securityonline.info/noname05716-russias-ddos-disruptors-target-the-west/

2. Predator 特工软件伸张：11 个国家现在面临危害

3月3日， Predator 移动特工软件背后的操作者仍然没有被公众曝光和审查吓倒。Recorded Future 的 Insikt 集团研究职员揭破了特工软件重修的基础设施，批注 Predator 可能在至少 11 个国家起劲使用。令人担心的是，这包括博茨瓦纳和菲律宾，这些地区的 Predator 客户此前并不为人所知。由 Cytrox 开发并由 Intellexa 同盟治理的 Predator 自 2019 年以来一直在雇佣特工软件领域中崭露头角。该工具已进入至少 11 个国家，包括安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯、特立尼达和多巴哥。专为 Android 和 iOS 装备设计，其隐秘渗透功效使其能够在用户不知情的情形下会见装备的麦克风、摄像头和敏感数据。这种多功效性，加上其难以捉摸的性子，使 Predator 成为恶意行为者手中的强盛工具。

https://securityonline.info/predator-spyware-spreads-11-countries-now-at-risk/

3. WhatsApp 迫使 Pegasus 特工软件分享其神秘代码

3月4日，据《卫报》报道，WhatsApp 很快将获得探索 NSO 集团 Pegasus 特工软件“所有功效”的权限，该软件是以色列国防部恒久以来一直将其视为“高度神秘”的国家神秘。自 2019 年以来，WhatsApp 声称 Pegasus 被用来在两周内监视 1,400 名 WhatsApp 用户，未经授权会见他们的敏感数据，包括加密新闻，以后，WhatsApp 一直要求会见 NSO 的特工软件代码。Ars 其时指出，WhatsApp 起诉 NSO 是“亘古未有的执法行动”，“针对的是向天下各国政府出售重大恶意软件服务的不受羁系的行业”。

https://news.hitb.org/content/whatsapp-finally-forces-pegasus-spyware-maker-share-its-secret-code

4. 针对与印度外交运动有关的欧洲官员的新后门WINELOADER

2月29日，据视察，一个名为SPIKEDWINE的先前无证威胁行为者使用名为WINELOADER的新后门针对驻有印度外交使团的欧洲国家的官员。凭证Zscaler ThreatLabz 的报告，敌手在电子邮件中使用了一个看似来自印度大使的 PDF 文件，约请外交职员加入 2024 年 2 月 2 日的品酒运动。该PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal。也就是说，有证据批注，该运动可能至少从 2023 年 7 月 6 日起就最先活跃，由于发明了从统一个国家。清静研究职员苏迪普·辛格 (Sudeep Singh) 和罗伊·泰 (Roy Tay) 体现：“此次攻击的特点是攻击量很是小，并且在恶意软件和下令与控制 (C2) 基础设施中接纳了先进的战略、手艺和程序 (TTP)。”这次新型攻击的焦点是 PDF 文件，该文件嵌入了一个伪装成调盘问卷的恶意链接，鞭策收件人填写该链接才华加入。单击该链接将为包括混淆的 JavaScript 代码的 HTML 应用程序（“wine.hta”）铺平蹊径，以从统一域检索包括 WINELOADER 的编码 ZIP 存档。

https://thehackernews.com/2024/02/new-backdoor-targeting-european.html

5. 数百万个 GitHub 存储库被发明熏染恶意代码

2月29日，清静研究职员在 GitHub 上发明了大规模的存储库混淆攻击运动，影响了凌驾 100,000 个存储库，甚至可能尚有数百万人。这种重大的网络攻击通过诱骗开发职员下载和使用伪装成正当存储库的恶意存储库来针对开发职员。Apiiro 开发了一种恶意代码检测系统，该系统可监控代码库并使用深度代码剖析和反混淆等先进手艺来识别和避免此类攻击。您可以使用ANY.RUN 恶意软件沙箱和威胁情报查找来剖析恶意软件文件、网络、�？楹妥⒉岜碓硕�，从而使您可以直接从浏览器与操作系统举行交互。这些存储库会自动分叉数千次，并在种种在线平台上举行推广，以提高其可见性和被开发职员过失使用的可能性。

https://gbhackers.com/millions-of-github-repos-found-infected/

6. 隐形 GTPDOOR Linux 恶意软件针对移动运营商网络

3月3日，清静研究职员 HaxRob 发明了一个以前未知的 Linux 后门，名为 GTPDOOR，专为移动运营商网络内的神秘操作而设计。GTPDOOR 背后的威胁行为者被以为以 GPRS 周游交流 (GRX) 周围的系统为目的，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信焦点网络的直接会见。GRX 是移动电信的一个组件，可增进跨差别地理区域和网络的数据周游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通讯中施展差别的作用。由于SGSN、GGSN和P-GW网络更多地袒露在公众眼前，IP地点规模列在果真文件中，研究职员以为它们可能是获得移动运营商网络初始会见权限的目的。GTPDOOR 是一种专为电信网络量身定制的重大后门恶意软件，使用 GPRS 隧道协议控制平面 (GTP-C) 举行隐藏下令和控制 (C2) 通讯。它设计用于安排在与 GRX 相邻的基于 Linux 的系统中，认真路由和转发周游相关的信令和用户平面流量。使用 GTP-C 举行通讯允许 GTPDOOR 与正当网络流量混淆，并使用不受标准清静解决计划监控的已允许端口。为了提高隐藏性，GTPDOOR 可以更改其历程名称以模拟正当的系统历程。

https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究