Aggregator

银狐木马留痕分析 (一)文件痕迹

先知技术社区
9 hours 27 minutes ago
银狐,又名Winos 或 ValleyRAT。流传范围最广的是Winos4.0版本,本文对其在受害主机留下的文件相关痕迹进行分析总结,提取出关键信息以便后续的溯源分析,并给一键dump脚本,便捷提取出所有留下的蛛丝马迹。

China-Nexus Hackers Actively Exploiting React2Shell Vulnerability (CVE-2025-55182) in the Wild

Cyber Security News
9 hours 27 minutes ago

China-nexus threat groups are racing to weaponize the new React2Shell bug, tracked as CVE-2025-55182, only hours after its public disclosure. The flaw sits in React Server Components and lets an attacker run code on the server without logging in. Early scans show broad probing of internet-facing React and Next[.]js apps, with a focus on high-value […]

The post China-Nexus Hackers Actively Exploiting React2Shell Vulnerability (CVE-2025-55182) in the Wild appeared first on Cyber Security News.

Tushar Subhra Dutta

绕过后缀校验:利用 Tomcat XML 配置机制实现 JNDI 注入

先知技术社区
9 hours 29 minutes ago
在日常漏洞挖掘中,对于任意文件上传漏洞往往会对后缀进行严格的校验,这让我们很难获取的美味的shell,但是在tomcat环境下,它有一套解析xml文件的流程,会对指定目录下的xml文件里面的特殊标签进行setter方法的调用,结合fastjson及jndi,又给了我们许多的操作空间,下面来分析一下环境搭建导入依赖xml文件扫描主文件在Bootstrap.class启动的时候会调用自己的load方法

深度解析:Spring MVC代码审计实战

先知技术社区
9 hours 34 minutes ago
前言现在绝大多数的新项目都是基于Spring Boot的Spring MVC实现,这里也主要以Spring MVC框架展开讲解。在Spring3.0版本,引入了Java注解,我们只需要使用Spring MVC注解就可以轻松完成Spring MVC的配置了。下面介绍一下Spring 注解配置Spring Controller 类级别注解1. @Controller作用:标识一个类为 Spring M

Emotet木马分析与检测

先知技术社区
9 hours 35 minutes ago
样本概况样本信息文件: DeviceManager.exeHASH: 58de3a083077a6f0f178bbf94ee2fc90875475e5277b687751e33cfa4e3cd519测试环境及工具WMware+Win10 64位火绒剑IDAX32dbgStud_PEexeinfope静态与动态分析木马程序分析将这个exe文件放入工具查看相关配置。首先看看文件的入口点,映像基址,区段

从启动到脱壳:深入 Android 应用加固与 DEX 透明加载原理

先知技术社区
9 hours 42 minutes ago
引言在 Android 应用安全领域,“加固”是保护应用代码免遭逆向分析和篡改的重要手段。而想要真正理解加固技术,需必须深入 Android 系统的底层运行机制——尤其是应用从点击图标到 Application 初始化的完整启动流程。本文将从 Android 应用的启动过程入手,逐步剖析 Zygote、ActivityManagerService、ActivityThread 以及 LoadedA

安卓电视 YouTube 客户端 SmartTube 遭入侵 恶意更新强制推送

嘶吼
9 hours 44 minutes ago

安卓电视平台的开源YouTube客户端SmartTube已确认遭入侵——攻击者获取开发者的数字签名密钥后,向用户推送了包含恶意代码的更新包。

此次安全事件由多名用户反馈发现:安卓内置杀毒模块Google Play Protect在部分设备上拦截了SmartTube,并向用户发出安全风险警示。

SmartTube开发者证实,其数字签名密钥于上周末被盗,导致恶意软件被注入应用程序。目前已吊销旧签名,并表示将尽快发布采用独立应用ID的新版本,同时敦促用户升级至该安全版本。

作为安卓电视、Fire TV、安卓电视盒等设备上下载量最高的第三方YouTube客户端之一,SmartTube的流行源于其免费属性、广告拦截功能,以及在低性能设备上的流畅运行表现。 

一名逆向工程师对遭入侵的30.51版本进行分析后发现,该版本包含一个名为libalphasdk.so的隐藏原生库([病毒总数平台检测链接])。由于该库未出现在公开源代码中,推测是在发布构建过程中被恶意注入。 

开发者表示:“这很可能是一款恶意软件。该文件并非所使用SDK的组成部分,其出现在APK安装包中完全出乎意料且存在高度可疑性。在核实其来源前,建议用户保持警惕。”

经分析,该恶意库会在后台静默运行,无需用户交互即可完成设备指纹采集、向远程服务器注册设备,并通过加密通信通道定期发送设备指标数据及获取配置指令。尽管目前尚未发现账号盗窃、参与DDoS僵尸网络等恶意行为,但攻击者可随时利用该模块发起此类攻击,潜在风险极高。 

尽管开发者已在Telegram宣布发布安全测试版及稳定测试版,但这些版本尚未同步至项目官方GitHub仓库。此外,开发者未披露事件完整细节,引发用户信任危机。SmartTube表示,待新版应用正式上架F-Droid应用商店后,将全面回应所有关问题。 

在开发者通过详细事后分析报告公开披露全部事件细节前,安全专家建议用户:保持使用经验证安全的旧版本、避免登录高级账户、关闭自动更新功能;受影响用户应重置Google账户密码,检查账户控制台是否存在未授权访问记录,并移除陌生关联服务。

为确保完全安全,SmartTube已从30.55版本起已切换至新签名密钥。30.47 Stable v7a版本出现不同哈希值,可能是在清理受感染系统后尝试恢复该版本所致。

胡金鱼

黑客篡改版银行应用袭击东南亚,超 1.1 万设备遭感染

HackerNews
9 hours 52 minutes ago
HackerNews 编译,转载请注明出处: 以牟利为目的的 “黄金工厂”(GoldFactory)网络犯罪团伙近期以伪装政府服务机构的方式,向印度尼西亚、泰国和越南的移动用户发起新一轮攻击。 总部位于新加坡的数字风险防护企业 IB 集团在周三发布的技术报告中指出,该攻击活动始于 2024 年 10 月,犯罪团伙通过传播植入安卓恶意软件的篡改版银行应用实施攻击。 据悉,“黄金工厂” 早在 2023 年 6 月就已开始活动,该团伙于去年年初逐渐进入公众视野。当时 IB 集团披露,该团伙开发了 “掘金铲”(GoldPickaxe)、“淘金者”(GoldDigger)及 “增强版淘金者”(GoldDiggerPlus)等多款定制恶意软件,同时针对安卓与苹果移动设备发动攻击。 此轮攻击最早在泰国被发现,2024 年末至 2025 年初蔓延至越南,2025 年年中起又波及印度尼西亚。 IB 集团表示,已排查出 300 多个不同版本的篡改版银行应用样本,仅在印度尼西亚就造成近 2200 起设备感染事件。经进一步调查,该团伙相关的恶意攻击载体超 3000 个,导致的感染案例不少于 1.1 万起,其中约 63% 的篡改版银行应用面向印度尼西亚市场。 该攻击流程其实很简单:犯罪团伙先伪装成政府机构或当地知名可靠品牌,接着致电潜在受害用户实施诈骗,诱导他们点击在 zalo(越南主流即时通讯软件)等通讯应用中发送的链接,进而安装恶意软件。 IB 集团记录的一起案例显示,诈骗分子冒充越南国家电力集团,以逾期未缴电费将立即断电为由催促受害用户缴费。通话过程中,诈骗分子还要求受害用户添加其 zalo 好友,以便接收用于下载应用并绑定账户的链接。 这些链接会将受害用户导向仿冒谷歌应用商店页面的虚假诱导界面,进而植入 “巨型芽”“移动监控木马”“雷莫” 等远程控制木马。其中 “雷莫” 木马于今年早些时候被发现,其攻击手法与 “黄金工厂” 如出一辙。这些植入程序会为核心恶意程序的安装铺路,核心程序会恶意滥用安卓系统的辅助功能,以实现对设备的远程操控。 安德烈・波洛夫金、沙明・洛、阮氏秋源与帕维尔・瑙莫夫等研究人员指出:“这类恶意软件以正规手机银行应用为基础,仅向应用的部分模块注入恶意代码,因此正规应用的正常功能得以保留。不同攻击目标所植入的恶意模块功能或许存在差异,但核心目的均是绕过原应用的安全防护机制。” 具体来说,该恶意软件通过劫持应用程序逻辑来启动恶意代码。研究人员根据篡改版应用中用于运行时劫持的框架,发现了三类不同的恶意程序组件,分别是 “弗瑞劫持器”“天空劫持器” 和 “派恩劫持器”。尽管它们存在差异,但核心功能高度重合,均可实现以下操作: 隐藏已开启辅助功能的应用列表 规避屏幕录制检测 伪造安卓应用的数字签名 隐藏应用安装来源 配置自定义完整性令牌验证程序 窃取用户账户余额信息 其中,“天空劫持器” 借助开源的多平台挂钩框架实现代码劫持功能;“弗瑞劫持器” 会向正规银行应用中注入弗瑞动态插桩工具;而 “派恩劫持器” 顾名思义,采用的是基于 Java 语言开发的派恩挂钩框架。 IB 集团在分析 “黄金工厂” 搭建的恶意攻击架构时,还发现了一款名为 “巨型花” 的安卓恶意软件测试版,这款软件很可能是 “巨型芽” 的升级版。 该恶意软件支持约 48 条操控指令,具体功能包括通过网页实时通信技术实现设备屏幕画面与运行状态的实时传输;滥用系统辅助功能记录键盘输入内容、读取界面信息并模拟手势操作;弹出仿冒系统更新、验证码输入及账户注册的虚假界面以窃取个人信息;借助内置文本识别算法提取身份证等证件图片中的信息。目前该软件还在开发二维码扫描功能,用于识别越南身份证上的二维码,其目的很可能是更便捷地获取证件信息。 值得注意的是,“黄金工厂” 已停用其定制开发的苹果设备恶意程序,转而采用一种特殊攻击方式 —— 指示受害用户向亲友借用安卓设备继续操作以完成诈骗。目前其变更攻击方式的具体原因尚不清楚,但外界普遍认为,这与苹果系统更为严格的安全防护机制及应用商店审核制度密切相关。 研究人员表示:“该团伙早期攻击主要以恶意利用客户身份验证流程为目标,而近期则转为直接篡改正规银行应用实施诈骗。他们借助弗瑞、多平台挂钩、派恩等正规框架篡改可信银行应用,这种攻击手段技术成熟且成本低廉,既能避开传统安全检测,还能助力犯罪团伙快速扩大攻击规模。”   消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad