Unit42近期公布了一份关于最新木马Bookworm的研究文章，文章中讨论了这个木马的架构和功能。泰国是这次攻击活动的主要攻击目标。

俄罗斯的网络犯罪市场闻名全球。我们在这里所说的“俄罗斯犯罪市场”指的是那些拥有俄罗斯国籍或前苏联国家国籍的网络犯罪分子，尤其是乌克兰和波罗的海诸国。为什么俄罗斯的网络罪犯会世界闻名呢？其中主要有两点原因：首先是媒体频繁地报道俄罗斯地区的网络犯罪活动。其次，俄罗斯的网络犯罪分子为了能达成交易，在线开放了他们所使用的通讯平台，从而宣传他们的各种“服务”和“产品”，并在上面讨论这些服务的质量和应用方法。

在巴西的地下犯罪市场中充斥着世界上最活跃，最有创意的一群网络罪犯。与中国和俄罗斯的网络攻击活动类似，巴西的网络攻击活动也有很明显的地域特色。为了全面的了解这些特点，你需要在这个国家待一段时间，并理解其语言和文化。

网络间谍小组“Rocket Kitten”，由伊朗人组成，他们的首次活动可以追溯到2014年，主要是通过钓鱼活动来传播木马，从而感染目标受害者。据报道，这个小组现在仍在活动中，最新的攻击活动出现在了2015年10月。

一些安全机构和安全专家已经分析了Rocket Kitten小组和他们的攻击活动，有大量相关的报告也介绍这个小组的行动方法、以及他们使用过的工具和技术。

LTE正逐渐发展为当今的主导蜂窝网络技术，开始从电路交换网络转向与互联网更相似的分组交换网络。为了让LTE网络支持语音通话，运营商引入了VoLTE语音服务。无论是从用户设备还是基础设施的角度来看，这项技术大大地改变了语音通话的处理方式。我们发现，这次突然的转型给攻击活动敞开了大门，引出了大量此前未经研究过的攻击途径。为了呼吁人们关注这一问题，我们系统性地分析了VoLTE语言服务的安全性。

本文详细地介绍了Dridex木马在受感系统上运行并上线后，所使用的通讯信道，P2P网络，加密方法以及相关的C2基础设施。我们主要研究了木马的CC通讯方法，并且确定了木马用于支持监控功能的协议上都存在哪些漏洞。

本文中没有记录木马的传播机制，也没有详细介绍受感染系统上的木马行为，而只是谈到了木马的网络通讯以及支持这些通讯的各种操作（比如，加密操作）。与Dridex相关的botnet感染扩散情况并不在本文的范围内。

本文主要以Cisco IOS为测试案例，讲解了如何对固件镜像进行修改。大多数人认为，做这样的一件事需要掌握一些尖端的知识，或者需要一些国家级别的资源，而事实上，这是一种普遍的误解。我认为，人们之所以这样想的一个主要原因是没有文章或教程完整地介绍过这一过程，也没有说明写一个rootkit都需要哪些资源。但是，本文的出现改变了这一现状。围绕这一主题，本文中提供了一些非常完善的方法，并完整地介绍了整个过程，同时也提供了相关的所需知识。如果读者能看完全文，他们最后就能写出一个基础的，但是能发挥作用的固件rootkit工具。一旦你理解了所有的基本思路和代码，并结合一个工作模型的话，那么你自己就能够轻松地写出一个加载器代码，并通过动态的，内存贮存的模块来扩展核心加载器的功能。不过，本文不会探究这么深，首先，文中证明了如何通过修改IOS镜像中的某个字节，来允许除真正密码以外的任意密码来登录路由器。第二，文章说明了如何覆盖原有的函数调用，从而调用你自己的代码，这里用到的例子是一个登录进程木马，能允许你指定一个秘密的二级登录密码。只要你完全理解了本文，用不了一个月的时间，你就可以根据本文中的知识来创建一个在功能上比SYNful Knock型rootkit更强大的rootkit工具。实际上，写一个类似的rootkit并不需要国家级的资源或上百万美元的投入，也不需要高科技智囊团的参与。接下来你会发现，在这几十年中，地下论坛上到处都能看到木马固件的身影。

这个样本使用了VMProtect强壳，是一个Win64可执行程序，使用了一个来自中国广州YuanLuo科技的未知签名。并且，这个可执行文件的属性与微软的Net命令-net.exe很类似，甚至我们在运行样本时得到了与原版net.exe工具类似的输出：

ThreatConnect Inc.与Defense Group Inc.(DGI)合作发现，“Naikon”APT小组隶属于xxx局（部队编号7xxx）。这一判断是有根据的，我们通过技术分析Naikon小组的威胁活动，并通过研究7xxx部队军官葛xx的一些言论，最终得出了这一结论。

译者按: 这是一篇对 <<DUKES---||-持续七年的俄罗斯网络间谍组织大起底>>文章的补充文章. 披露的是格鲁吉亚CERT在2011年对俄罗斯军方黑客的一次调查. 文章中诸多亮点现在看还是常看常新:比如反制黑客的手段是诱使黑客执行了一个木马. 另外将此篇文章对比最近ThreatCONNECT发布的camerashy报告,让我们不禁感慨的是,政府的反APT实在是比商业公司的反APT纯粹多了,专业多了.

Duke网络间谍小组手头掌握有充足的资源，他们目标明确，行动有条理。我们认为，Duke小组至少从2008年开始就为俄罗斯联邦效力，帮助俄罗斯收集情报，从而制定外交和安全政策。

原文：https://blog.cloudflare.com/a-deep-look-at-cve-2015-5477-and-how-cloudflare-virtual-dns-customers-are-protected/

上周，ISC发布补丁，修复了BIND9 DNS服务器中的一个远程可利用漏洞。这个漏洞会导致服务器在处理某个数据包时发生崩溃。

这个植入木马由一个经过篡改的思科IOS镜像组成，能允许攻击者保持匿名性，同时从网络上加载不同的功能模块。这个植入木马还使用了一个秘密的后门密码，能给攻击者提供非限制权限。每个模块都能通过HTTP协议（不是HTTPS）来启用，只需向路由器的接口发送一个特别制作的TCP数据包。这些数据包都使用了非标准的序列号和相应的承认号。而这些模块可以把自己显示成路由器IOS中独立的可执行代码或hook，提供的功能与后门密码类似。后门密码通过控制台，远程登陆协议和权限提升，使用enable命令，能提供对路由器的访问。

“毒菡”攻击始于三年前。这个网络间谍活动的主要目标是东南亚政府和军方组织。我们发现，香港、 台湾、 越南、 菲律宾和印度尼西亚都是这次攻击行动的受害者。”毒菡”小组主要通过钓鱼攻击来感染目标，然后部署“Elise”后门木马（“Elise”是英国的一款莲花跑车）。并且，他们使用了专门定制的恶意Office文档和诱饵文件来诱使受害者上钩。

source：https://blog.malwarebytes.org/intelligence/2015/06/unusual-exploit-kit-targets-chinese-users-part-2/

最近，我们的研究人员发现了一个非常奇怪的exploit kit正在攻击中国的域名。在上一篇文章中，我们详细地讨论了这个exploit kit的运作方式，包括其感染途径，payload可执行文件，以及这个攻击工具检测到奇虎360会停止攻击。