网络安全研究人员近日发现，ZLoader恶意软件的新版本通过域名系统（DNS）隧道进行命令和控制（C2）通信，这表明相关威胁行为者在一年前该恶意软件重新出现后，持续对其工具进行改进。Zscaler ThreatLabz在周二的报告中指出，“ZLoader 2.9.4.0增加了显著的改进，包括用于C2通信的自定义DNS隧道协议和一个交互式Shell，支持超过十种命令，这可能对勒索软件攻击具有重要价值。”这些修改为规避检测和减轻风险提供了额外的保护层。

ZLoader，又称为Terdot、DELoader或Silent Night，是一种恶意软件加载程序，具备部署后续载荷的能力。该恶意软件的分发活动在经历了一段近两年的沉寂后，于2023年9月重新被观察到，此前其基础设施曾被破解。除了使用各种技术来抵御分析行为外，研究发现该恶意软件还利用域名生成算法（DGA），并采取措施避免在与原始感染不同的主机上运行，这一技术也在其基于的Zeus银行木马中被观察到。

最近几个月，ZLoader的分发越来越多地与Black Basta勒索软件攻击相关联，威胁行为者通过建立远程桌面连接的方式，在冒充技术支持的问题下部署该恶意软件。网络安全公司指出，在攻击链中发现了另一个组成部分，首先部署一个名为GhostSocks的载荷，然后再投放ZLoader。“ZLoader的抗分析技术，如环境检查和API导入解析算法，仍在不断更新，以逃避恶意软件沙箱和静态特征。”Zscaler表示。

该恶意软件最新版本的一个新特性是交互式Shell，允许操作员执行任意二进制文件、DLL和Shell代码，进行数据外泄以及终止进程。尽管ZLoader继续使用HTTPS通过POST请求作为主要C2通信渠道，但它也配备了DNS隧道功能，以使用DNS数据包来便捷地加密TLS网络流量。“ZLoader的分发方法和新的DNS隧道通信通道表明，黑暗网络组织越来越注重规避检测。”该公司表示，“该攻击组继续增加新的功能，以更有效地作为勒索软件的初始接入经纪人。”

Jamf发现的TCC旁路漏洞允许隐秘访问iCloud数据

另一篇报道中，Jamf的研究团队公布了一项严重的漏洞，涉及苹果iOS和macOS中的透明度、同意和控制（TCC）子系统，可能允许恶意应用程序在未触发任何通知或用户同意提示的情况下，访问敏感用户数据。这一漏洞，被追踪为CVE-2024-44131，影响了Files.app和FileProvider.framework系统进程，可能会使用户的隐私信息，如照片、GPS位置、联系人和健康数据暴露。更令人担忧的是，Jamf表示，这还可能让潜在的恶意应用程序获得用户的麦克风和摄像头的访问权限。

Jamf的研究人员发现，该漏洞涉及符号链接（symlink）攻击，利用iOS中文件操作的处理方式。在文件复制过程中，恶意应用程序可通过策略性地插入符号链接，拦截并重定向文件移动，而不会触发TCC提示。“当用户在Files.app中移动或复制文件时，后台的恶意应用程序可以拦截这些操作，并将文件重定向到它控制的目录下，”Jamf Threat Labs的报告解释道。“利用fileproviderd的提升权限，恶意应用程序可以在未触发TCC提示的情况下劫持文件移动或复制。”

这项发现无疑是对移动设备安全的一次警示，Jamf的研究人员提醒道：“这一发现是一个警钟，提醒组织构建全面的安全策略，以应对所有终端。”在一个移动攻击愈加复杂的时代，将安全实践扩展到包括移动终端是至关重要的。

综合分析

ZLoader和Jamf所发现的TCC漏洞，反映了当前网络安全环境中的一系列复杂挑战。这些事件既显示出网络犯罪技术的不断进化，也揭示了保护用户和企业的数据所面临的日益严峻的现实。ZLoader通过采用DNS隧道等技术，旨在规避检测，这要求安全团队不断更新其防御机制，以应对这种复杂的攻击手法。同时，Jamf团队发现的TCC漏洞则突显了即使是领先的科技公司，其安全防护机制也可能存在缺陷，给用户的敏感数据带来风险。

随着网络攻击的多样化和技术的高度发展，企业和个人都需更加谨慎地对待数据安全，实时更新保护措施。网络安全不仅是技术人员的责任，所有使用数字设备的个人和组织都需积极参与，提高自我防护意识，以应对日益猖獗的网络犯罪。

[注意]APP应用上架合规检测服务，协助应用顺利上架！