Palo Alto研究员称 未知攻击者使用恶意程序Dimnie攻击Github开发者 企图在开源项目中注入后门

过去几个月间,在GitHub网站上发布代码的开发者陆续遭到攻击,这些攻击都使用了一种鲜为人知却切实有效的网络间谍软件。攻击始于1月份,通过精心构造的恶意邮件吸引开发者注意,如请求他们为开发项目提供帮助或邀请他们参与有偿定制编程工作。

恶意邮件诱骗开发者下载恶意程序Dimnie

邮件中的.gz附件包含Word文档,其中嵌入了恶意宏代码。运行后,宏代码会执行PowerShell脚本,连接远程服务器,下载恶意程序Dimnie。根据Palo Alto Networks(PAN)研究员所说,Dimnie至少从2014年就出现了,但是一直默默无闻,直至今日,因为它将矛头主要对准了俄罗斯用户。

这款恶意软件使用了一些秘密技术,让恶意流量混杂到正常用户活动中。它发起的请求看似指向Google的一些域名,实际目的是受攻击者控制的IP地址。 PAN研究员在博文中提到 ,Dimnie可下载其他恶意模块,直接将这些模块注入到合法Windows进程内存中。这些模块在磁盘上无迹可寻,因而很难检测并分析。

还有不同的模块分别进行键盘记录、屏幕抓取、与计算机中的智能卡交互等等。甚至还有个自毁模块,可抹去系统驱动中的所有文件,以销毁恶意软件踪迹。攻击者从受感染计算机窃取数据后对数据加密,并将数据添加到图片文件头中,以绕过入侵防御系统。

Palo Alto研究员怀疑这起攻击来自国家支持

虽然PAN并未将这些攻击归咎于某一特定团体,但恶意软件特征与近期疑受国家支持的攻击明显类似:使用嵌入恶意宏的文件、使用PowerShell、将恶意代码直接加载入内存、使用秘密的命令与控制通道和数据外泄技术、高度定向的钓鱼行动等。

开发者对于网络间谍来说具有很高的价值。他们的计算机常含有私有信息及所在公司网络与系统的访问凭证。雅虎数据泄露事件就源于一位半特权员工轻信了鱼叉式钓鱼邮件,最终导致黑客获取了5亿用户的账户信息。

他们这份报告得出了如下结论

The global reach of the January 2017 campaign which we analyzed in this post is a marked departure from previous Dimnie targeting tactics. Multiple factors have contributed to Dimnie’s relatively long-lived existence. By masking upload and download network traffic as innocuous user activity, Dimnie has taken advantage of defenders’ assumptions about what normal traffic looks like. This blending in tactic, combined with a prior penchant for targeting systems used by Russian speakers, likely allowed Dimnie to remain relatively unknown.

Customers are protected by IPS, Dimnie is detected as malware by Wildfire, and Autofocus customers can see related samples using the Dimnie tag.

We are also including IOCs for this malware family dating back to 2014 which include domains from DNS lookups (Appendix A) and dropper hashes (Appendix B). IOCs specifically mentioned in this post are included in the next section.

Dimnie恶意软件的主要目的 是通过Github开发者在项目中注入后门

Dimnie攻击看似专门针对GitHub网站(该网站提供免费源代码托管服务)上的开发者。这类人包括大型公司开发人员和业余时间发布个人开源项目的开发人员。

1月份在回应一邮件攻击报道时,Mozilla策略工程师Gervase Markham称,他的一个邮箱曾收到过类似信息,而这个邮箱地址仅用于登录GitHub。这让他相信这种定向攻击可能是自动发起的。

攻击者在进入源代码库和分发服务器后,可在软件项目中注入后门或将编译好的二进制文件变为木马。这种事曾多次发生,例如,托管在项目官方网站上的Transmission BitTorrent客户端(macOS版本)曾两度被发现含有恶意软件。

原文发布时间:2017年3月31日

本文由:csoonline 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/attacker-attempting-into-back-door-in-github-open-source-projects

时间: 2024-09-01 14:58:38

Palo Alto研究员称 未知攻击者使用恶意程序Dimnie攻击Github开发者 企图在开源项目中注入后门的相关文章

Palo Alto Networks威胁简报:即刻安装补丁程序,以免受到 Android Toast攻击

今天,Palo Alto Networks Unit 42研究人员发布了关于影响Google Android平台的新型高严重性漏洞的详细信息.2017年9月Android安全公告中提供了用于修复该漏洞的补丁.这种新型漏洞不会影响最新版本Android 8.0 Oreo,但会影响所有之前的Android版本.某些恶意软件会通过本文列出的一些途径进行漏洞利用,但Palo Alto Networks Unit 42目前并未发现针对这一特定漏洞进行的任何攻击.由于Android 8.0版本相对较新,这意

恶意攻击者利用 Word 钓鱼文档瞄准 Github 开发者

据安全公司 Palo Alto Networks 报告,以前主要针对俄罗斯人的恶意攻击程序 Dimnie 今年瞄准了 Github 上的开发者.多名使用 Github 的开源开发者收到了钓鱼邮件,攻击者伪装成对他们的开源项目感兴趣,表示要进行合作,试图诱骗开发者点击附件.大致内容如下: 虽然这种类似的邮件开发者可能会受到很多,但每封钓鱼邮件都会携带相同的恶意 .doc 文档作为附件(SHA256:6b9af3290723f081e090cd29113c8755696dca88f06d072dd7

一种恶意程序专门攻击安卓

据新华社电 国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种针对安卓手机的恶意应用程序Godless.该恶意程序可以获取安卓手机的ROOT权限,会以不同的方式存在于互联网上的应用商店中. 国家计算机病毒应急处理中心专家分析发现,该恶意应用程序中包含了一些开源或者存在泄漏的安卓系统ROOT工具.一旦恶意应用程序获取系统的ROOT权限,就会在手机用户未授权的情况下远程访问并进行入侵攻击,导致手机系统中的数据被泄漏,短消息被窃取以及硬件出现使用故障等.针对已经感染该类恶意应用程序的计算机

这个恶意程序可以将你电脑变成代理服务器

恶意软件主要目标教育机构和普通家庭 这款恶意软件被命名为 ProxyBack,首次发现是在2014年的3月,但是它的详细情况以及运作模式最近才被研究人员分析完善.安全公司Palo Alto Networks的研究人员相信欧洲的教育机构和普通家庭已经是这款恶意软件的首要目标,利用这些计算机就可以完成非法流量网络攻击.这些受感染的计算机不是用于隐藏恶意攻击者的真实IP地址,而是作为代理提供服务.感染了ProxyBack的电脑首先与恶意攻击者控制的代理服务器建立连接,接受指令,然后充当HTTP隧道路由

Palo Alto Networks 魏建伟:“大数据+机器学习”防范未知APT攻击

下一代防火墙的概念已经流行了好几年,作为这一概念的首创者,Palo Alto Networks可谓在安全领域掀起了一股风潮.近日,Palo Alto Networks安全顾问魏建伟接受笔者的采访,畅谈对于下一代防火墙以及企业安全发展趋势的看法. "可以毫不夸张地说,目前市面上的防火墙只有两种思路,那就是Palo Alto Networks的下一代防火墙和传统防火墙."魏建伟表示. 魏建伟的底气来自于Palo Alto Networks在业内的领导地位.Gartner每年发布企业网络防火

Palo Alto Networks推出“云沙箱”防火墙产品

网络安全公司​​Palo Alto Networks今天推出了一个"云沙箱"防火墙产品,它可以实时通过网络中的反恶意软件定义来分析已知和未知的威胁,防火墙将把可疑内容(包括DLL和EXE)提交到一个虚拟的云环境中,用70个行为配置文件样本做判断,这样可以检测出文件是否有恶意,防止网络内部被恶意软件所感染. (责任编辑:蒙遗善)

“无文件”恶意程序攻击技术还原

本文讲的是"无文件"恶意程序攻击技术还原, 最近几天,超过140家美国.南美.欧洲和非洲的银行.通讯企业和政府机构感染了一种几乎无法被检测到的极为复杂的无文件恶意程序,搞得大家异常紧张,似乎碰到了什么神秘攻击.今天就让我们跟随安全专家的脚步来一探究竟. 其实这种类型的感染并不是第一次出现,几年前卡巴斯基就曾在自己企业内部网络中发现了这种在当时前所未有的恶意程序,并将其称为Duqu 2.0.Duqu 2.0的来源则被认为是震网,是当时美国与以色列为了破坏伊朗核计划专门合作创建的一种极为复

攻击者开始利用 ImageMagick 漏洞攻击网站

安全研究人员称,攻击者没有浪费一点时间,开始利用刚刚曝出的ImageMagick高危漏洞去执行恶意代码以控制网站的Web服务器.ImageMagick是一个广泛使用的图像处理库,它的一个高危漏洞允许远程代码执行,攻击者上传植入恶意代码的图像,Web服务器在处理时能被利用执行攻击者选择的代码.开发者尚未释出修正漏洞的补丁.CloudFlare的研究员 John Graham-Cumming在官方博客上称,攻击者正在利用该漏洞攻击网站. ===============================

乌克兰断电由恶意程序 Crash Override 触发

乌克兰连续两年发生了由黑客攻击诱发的断电事件.第一次攻击发生在 2015 年 12 月圣诞节期间,至少有三个地区断电,数十万家庭在寒冷的冬季失去了电力.第二次发生在去年 12 月 17 日午夜,攻击者对基辅外的 Pivnichna 变电站的攻击触发了断电,但断电只持续了大约一个小时. 两次攻击被认为都与俄罗斯有关.现在,安全公司 Dragos 的研究人员称,去年的断电之所以持续比较短的原因是攻击者的恶意程序并没有完全启用全部功能. 这个针对电网的恶意程序被研究人员命名为Crash Overrid