NoName057(16)：俄罗斯 DDoS 滋扰者瞄准西方

首页 > 宁静研究 > 宁静通报 > 宁静简讯

NoName057(16)：俄罗斯 DDoS 滋扰者瞄准西方

宣布时间 2024-03-05

1. NoName057(16)：俄罗斯 DDoS 滋扰者瞄准西方

3月3日，乌克兰战争引发了新型网络冲突，黑客活动团体充当了国家利益的署理人。俄罗斯的 NoName057(16) 已成为 DDoSia 项目

的代名词，这是一项针对支持乌克兰的国家的连续 DDoS 攻击活动。与专注于数据偷窃或间谍活动的组织差异，NoName057(16) 寻求压倒和破坏，将数字世界酿成地缘政治战争的工具。自SEKOIA.IO当我们开始追踪他们时，他们的要领已经发生了演变，揭示了随着冲突潮水的变化以及与西方更广泛的紧张局势而发生的连续且适应性强的威胁。2023 年 11 月 11 日，DDoSia 重大更新，扩展了对更广泛设备和操作系统的兼容性。值得注意的是，管理员凭据地理位置定制了版本，警告俄罗斯用户在加入攻击时使用 VPN 来掩盖自己的位置。这个新版本引入了更庞大的数据加密，可以更精细地跟踪 DDoSia 用户。这些数据可能有助于管理员评估项目的有效性，而且可能成为执法和威胁情报事情的名贵资源。

https://securityonline.info/noname05716-russias-ddos-disruptors-target-the-west/

2. Predator 间谍软件蔓延：11 个国家目前面临风险

3月3日， Predator 移动间谍软件背后的操作者仍然没有被公众曝光和审查吓倒。Recorded Future 的 Insikt 集团研究人员揭露了间谍软件重建的基础设施，表明 Predator 可能在至少 11 个国家积极使用。令人担忧的是，这包罗博茨瓦纳和菲律宾，这些地域的 Predator 客户此前并不为人所知。由 Cytrox 开发并由 Intellexa 联盟管理的 Predator 自 2019 年以来一直在雇佣间谍软件领域中崭露头角。该工具已进入至少 11 个国家，包罗安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯、特立尼达和多巴哥。专为 Android 和 iOS 设备设计，其隐秘渗透功效使其能够在用户不知情的情况下访问设备的麦克风、摄像头和敏感数据。这种多功效性，加上其难以捉摸的性质，使 Predator 成为恶意行为者手中的强大工具。

https://securityonline.info/predator-spyware-spreads-11-countries-now-at-risk/

3. WhatsApp 迫使 Pegasus 间谍软件分享其秘密代码

3月4日，据《卫报》报道，WhatsApp 很快将获得探索 NSO 集团 Pegasus 间谍软件“全部功效”的权限，该软件是以色列国防部恒久以来一直将其视为“高度机密”的国家机密。自 2019 年以来，WhatsApp 声称 Pegasus 被用来在两周内监视 1,400 名 WhatsApp 用户，未经授权访问他们的敏感数据，包罗加密消息，今后，WhatsApp 一直要求访问 NSO 的间谍软件代码。Ars 其时指出，WhatsApp 起诉 NSO 是“前所未有的执法行动”，“针对的是向世界各国政府出售庞大恶意软件服务的不受监管的行业”。

https://news.hitb.org/content/whatsapp-finally-forces-pegasus-spyware-maker-share-its-secret-code

4. 针对与印度外交活动有关的欧洲官员的新后门WINELOADER

2月29日，据视察，一个名为SPIKEDWINE的先前无证威胁行为者使用名为WINELOADER的新后门针对驻有印度外交使团的欧洲国家的官员。凭据Zscaler ThreatLabz 的陈诉，对手在电子邮件中使用了一个看似来自印度大使的 PDF 文件，邀请外交人员加入 2024 年 2 月 2 日的品酒活动。该PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal。也就是说，有证据表明，该活动可能至少从 2023 年 7 月 6 日起就开始活跃，因为发现了从同一个国家。宁静研究人员苏迪普·辛格 (Sudeep Singh) 和罗伊·泰 (Roy Tay) 体现：“此次攻击的特点是攻击量非常小，而且在恶意软件和命令与控制 (C2) 基础设施中接纳了先进的计谋、技术和法式 (TTP)。”这次新型攻击的核心是 PDF 文件，该文件嵌入了一个伪装成调盘问卷的恶意链接，敦促收件人填写该链接才气加入。单击该链接将为包罗混淆的 JavaScript 代码的 HTML 应用法式（“wine.hta”）铺平门路，以从同一域检索包罗 WINELOADER 的编码 ZIP 存档。

https://thehackernews.com/2024/02/new-backdoor-targeting-european.html

5. 数百万个 GitHub 存储库被发现熏染恶意代码

2月29日，宁静研究人员在 GitHub 上发现了大规模的存储库混淆攻击活动，影响了凌驾 100,000 个存储库，甚至可能还有数百万人。这种庞大的网络攻击通过诱骗开发人员下载和使用伪装成合法存储库的恶意存储库来针对开发人员。Apiiro 开发了一种恶意代码检测系统，该系统可监控代码库并使用深度代码分析和反混淆等先进技术来识别和防止此类攻击。您可以使用ANY.RUN 恶意软件沙箱和威胁情报查找来分析恶意软件文件、网络、�？楹妥⒉岜砘疃�，从而使您可以直接从浏览器与操作系统进行交互。这些存储库会自动分叉数千次，并在种种在线平台上进行推广，以提高其可见性和被开发人员错误使用的可能性。

https://gbhackers.com/millions-of-github-repos-found-infected/

6. 隐形 GTPDOOR Linux 恶意软件针对移动运营商网络

3月3日，宁静研究人员 HaxRob 发现了一个以前未知的 Linux 后门，名为 GTPDOOR，专为移动运营商网络内的秘密操作而设计。GTPDOOR 背后的威胁行为者被认为以 GPRS 漫游交换 (GRX) 四周的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。GRX 是移动电信的一个组件，可促进跨差异地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥差异的作用。由于SGSN、GGSN和P-GW网络更多地袒露在公众面前，IP地址范围列在果然文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。GTPDOOR 是一种专为电信网络量身定制的庞大后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它设计用于部署在与 GRX 相邻的基于 Linux 的系统中，卖力路由和转发漫游相关的信令和用户平面流量。使用 GTP-C 进行通信允许 GTPDOOR 与合法网络流量混合，并利用不受尺度宁静解决方案监控的已允许端口。为了提高隐蔽性，GTPDOOR 可以更改其进程名称以模仿合法的系统进程。

https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究