Aggregator

The digital world is crumbling, and conventional vulnerability management alone is not enough to defend your organization against the unannounced cyber threats. Identifying the flaws present within your organizational platforms and patching them is a golden rule of protection. However, what about those vulnerabilities that interact with the broader attack surface? Thus, the need for […]

The post What is Vulnerability Exposure Management? appeared first on Kratikal Blogs - Information Hub For Cyber Security Experts.

The post What is Vulnerability Exposure Management? appeared first on Security Boulevard.

Rise in accessible AI tools significantly lowered the barrier to entry for cyber attackers, enabling them to create and deploy malicious bots at scale, according to Thales. Automated bot traffic surpassed human-generated traffic for the first time in a decade, constituting 51% of all web traffic in 2024. This shift is largely attributed to the rise of AI and LLMs, which have simplified the creation and scaling of bots for malicious purposes. As AI tools … More →

The post Widely available AI tools signal new era of malicious bot activity appeared first on Help Net Security.

一种名为“ResolverRAT”的新型远程访问木马（RAT）正被用于攻击全球的组织，发现该恶意软件最近被用于针对医疗保健和制药行业的攻击。

ResolverRAT通过网络钓鱼邮件传播，违反法律或版权，根据目标国家的语言量身定制。电子邮件包含下载合法可执行文件（'hpreader.exe'）的链接，该链接利用反射DLL加载将ResolverRAT注入内存。

Morphisec发现了之前未记录的恶意软件，他们指出，Check Point和Cisco Talos最近的报告中也记录了相同的网络钓鱼基础设施。

然而，这些报告强调了Rhadamanthys和Lumma窃取者的分布，未能捕获独特的ResolverRAT有效载荷。

ResolverRAT功能

ResolverRAT是一个完全在内存中运行的隐形威胁，同时它还滥用 net ‘ resourcerresolve ’事件来加载恶意程序集，而不执行可能被标记为可疑的API调用。

“这种资源解析器劫持代表了恶意软件的最佳进化——利用一个被忽视的。net机制完全在托管内存中运行，绕过了传统的安全监控，重点是Win32 API和文件系统操作，”Morphisec描述道。

研究人员报告说，ResolverRAT使用复杂的状态机来混淆控制流，使静态分析变得极其困难，通过识别资源请求来检测沙箱和分析工具。

即使它在调试工具的存在下执行，它对误导和冗余代码/操作的使用也会使分析复杂化。

该恶意软件通过在Windows注册表中最多20个位置添加xor混淆键来确保持久性。同时，它还将自己添加到文件系统位置，如“Startup”、“Program Files”和“LocalAppData”。

基于注册的持久性

ResolverRAT尝试以随机间隔在计划回调时进行连接，以逃避基于不规则信标模式的检测。

操作员发送的每个命令都在专用线程中处理，在确保失败的命令不会使恶意软件崩溃的同时，启用并行任务执行。

虽然Morphisec没有深入研究ResolverRAT支持的命令，但它提到了数据泄露功能，该功能具有用于大数据传输的分块机制。

具体来说，大于1MB的文件被分成16KB的块，这样可以通过将恶意流量与正常流量混合来逃避检测。

将较大的文件分成小块

在发送每个块之前，ResolverRAT检查套接字是否好写，防止拥塞或网络不稳定导致的错误。该机制具有最佳的错误处理和数据恢复功能，从最后一个成功的块恢复传输。

Morphisec在意大利、捷克、印度、土耳其、葡萄牙和印度尼西亚观察到网络钓鱼攻击，因此该恶意软件具有全球操作范围，可以扩展到更多国家。

在“终局行动（Operation Endgame）”的后续行动中，执法部门追踪到了“Smokeloader”僵尸网络的客户，并拘留了至少5人。

在去年的“终局行动”中，超过100台主要恶意软件加载操作（如IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBC）使用的服务器被查获。

在今年的新闻发布会上，欧洲刑警组织表示，执法人员正在分析被扣押服务器上的数据，并正在追踪恶意企业的客户，行动仍在继续。该机构没有提供被拘留人员的任何细节，并表示调查还导致了审讯和服务器关闭。

据调查人员称，Smokeloader是由一个化名为“Superstar”的威胁者运行的，他提供了按安装付费的僵尸网络服务，允许客户访问受害者的机器。

在一系列协调一致的行动中，Smokeloader按安装付费僵尸网络的用户面临着逮捕、搜查房屋、逮捕令或‘敲门谈话’等后果。

Smokeloader被用于各种网络犯罪活动，从部署勒索软件和运行加密矿工到访问网络摄像头和记录击键。

在“终局行动”中缴获的一个数据库中，包括了Smokeloader僵尸网络服务的注册用户，警方可以通过将网络犯罪分子的网络化名与现实生活中的个人联系起来，追踪网络犯罪分子。

一些嫌疑人选择与执法部门合作，允许检查他们个人设备上的数字证据。由于“终局行动”仍在继续，欧洲刑警组织设立了一个专门的网站，分享有关犯罪活动调查的最新消息。

此外，为了更好地了解行动的各个阶段，还发布了一系列动画视频，描述了警察的活动，以及他们是如何追踪Smokeloader组织的分支机构和客户的。

欧盟机构鼓励任何掌握有关被调查犯罪活动信息的人通过“终局行动”网站与当局联系，该网站也方便地翻译成俄语。

在去年大规模关闭恶意软件加载程序之后，欧盟对六名参与网络攻击的个人实施了一系列制裁，这些攻击影响了与“关键基础设施、关键国家功能、机密信息的存储或处理以及欧盟成员国政府应急小组”相关的系统。

美国财政部还制裁了加密货币交易所Cryptex和PM2BTC，包括俄罗斯勒索软件团伙在内的多个网络犯罪集团曾利用这两家交易所进行非法行为。

Here’s a look at the most interesting products from the past week, featuring releases from Cato Networks, Cyware, Entrust, PlexTrac, and Seemplicity. PlexTrac for CTEM helps security teams centralize security data PlexTrac for CTEM enables both enterprises and Managed Security Service Providers (MSSPs) to streamline security operations, unify cross-functional teams within a centralized platform, strengthen threat exposure management, and demonstrate measurable improvements in their overall security posture. Entrust Cryptographic Security Platform provides visibility into cryptographic … More →

The post New infosec products of the week: April 18, 2025 appeared first on Help Net Security.