HackerNews

图片来源：安全客 趋势科技研究公司的一份最新报告指出，巴西出现了一种鱼叉式网络钓鱼活动，该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件，以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”，他们采用了复杂的技术来逃避检测，对该地区的制造企业、零售企业和政府机构构成了严重威胁。 该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始，这种策略旨在引诱毫无戒心的用户。报告称，“这些电子邮件的附件通常伪装成个人所得税文件”，而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”（违规通知），诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后，会通过 mshta.exe 工具运行嵌入的 JavaScript 命令，而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。 最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片： 趋势科技研究 趋势科技研究人员解释说：“除了 LNK 文件外，ZIP 文件还包含另一个文件，其中有类似的混淆 JavaScript 命令，”这些命令在执行过程中会被解码，并连接到命令与控制（C&C）服务器以获取进一步的指令。 该活动的核心是 Astaroth，这是一种臭名昭著的银行木马，可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟，它就会造成长期破坏，不仅包括数据盗窃，还包括监管罚款、业务中断和失去消费者信任。 报告说：“虽然 Astaroth 看起来像是一个古老的银行木马，但它的再次出现和持续演化使其成为一个持久的威胁。” Water Makara 采用了先进的混淆技术，使检测变得困难。研究人员发现，编码后的 JavaScript 命令会指向恶意 URL，如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA)，这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。 巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出：“鱼叉式网络钓鱼活动主要针对巴西的公司，其中受影响最大的是制造公司、零售公司和政府机构。” 报告总结道：“Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件，这凸显了人类意识的关键作用。” 随着巴西继续面临来自复杂网络行为者的日益严重的威胁，防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法，将技术防御与强大的用户教育相结合。     转自安全客，原文链接：https://www.anquanke.com/post/id/300950 封面来源于网络，如有侵权请联系删除

近日，研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。 网络安全公司 Trend Micro 的研究人员说，攻击者正试图在攻击中整合 EDRSilencer，以逃避检测。 被“静音”的EDR 产品 端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。 它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应，同时向防御者发送有关威胁来源、影响和传播的详细报告。 EDRSilencer 是受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具，可检测运行中的 EDR 进程，并使用 Windows 过滤平台（WFP）监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。 WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性。 通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止警报和详细遥测报告的发送。 在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括： 微软卫士 SentinelOne FortiEDR Palo Alto Networks Traps/Cortex XDR 思科安全端点（前 AMP） ElasticEDR Carbon Black EDR 趋势科技 Apex One 阻止硬编码可执行文件的传播，来源：趋势科技 趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。 不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具。 趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性。 研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的情况下成功攻击的可能性。 EDRSilencer 攻击链，来源：趋势科技 趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。 此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。     转自FreeBuf，原文链接：https://www.freebuf.com/news/412912.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，与朝鲜相关的恶意软件 FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。 研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。 美国相关机构于2018 年 10 月首次记录了 FASTCash，称至少自 2016 年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于 30 多个不同国家/地区的 ATM 机成功实施了攻击；2018年，同样的攻击又在 23 个不同国家的 ATM 机中上演。 虽然之前的 FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux 系统，相关样本于 2023 年 6 月中旬首次提交到了 VirusTotal 平台。 该恶意软件为Ubuntu Linux 20.04 编译的共享对象（“libMyFc.so”）形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从 12000 到 30000 里拉（350 美元到 875 美元）不等 。 攻击示意图 Linux 变体的发现进一步强调了对足够强大的检测能力的需求，而 Linux 服务器环境中通常缺乏这些功能，建议对借记卡实施芯片和 PIN 要求、要求并验证发卡机构金融请求响应信息中的信息验证码，并对芯片和 PIN 交易执行授权响应加密验证。 参考来源：New Linux Variant of FASTCash Malware Targets Payment Switches in ATM Heists     转自FreeBuf，原文链接：https://www.freebuf.com/news/412963.html 封面来源于网络，如有侵权请联系删除

美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。 官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。 Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。” 参考资料：https://statescoop.com/maryland-state-bug-bounty-program-2024/     转自安全内参，原文链接：https://www.secrss.com/articles/71270 封面来源于网络，如有侵权请联系删除

区块链技术解决方案公司OwlTing因开放了对AWS存储（S3）的访问，不慎暴露了765,000用户的敏感数据。此次数据泄露主要影响了台湾方面入住过酒店的客人。 7月29日，Cybernews研究团队在例行的开源情报（OSINT）调查中，发现了一个配置错误的亚马逊S3存储桶，其中存储了大量文件。S3存储桶是亚马逊网络服务（AWS）上的简单云存储容器，类似于用于存储文件的文件夹。 该存储桶中的超过168,000个CSV和XLSX文档包含了超过765,000名客户的个人身份信息（PII）。 此次泄露被归咎于OwlTing，这是一家服务于全球旅游、食品安全、酒店业和其他电子商务领域的台湾公司，提供着广受认可的区块链解决方案。 该公司确认了这一事实，并采取了相应的措施来遏止泄露。然而，它对事件的严重性有所弱化，称：“此次泄露不涉及任何敏感数据。” 但Cybernews研究人员警告说：“姓名、电话号码和酒店预订详情等个人信息的泄露，可能导致各种形式的身份盗窃和欺诈，给被泄漏方带来严重风险。” 那么究竟泄露了哪些数据呢？ 暴露的数据似乎与酒店管理服务有关，并且主要包含了来自Booking、Expedia等流行平台的预订数据。 泄露的数据包括以下内容： 全名 电话号码和一些电子邮件地址 酒店预订详情，如订单日期、登记入住和退房、房间号码和类型、支付和未付金额、货币以及用于预订的各项服务。 图片来源：cybernews 泄露的电子邮件地址大约有3,000个，但大多数电话号码皆被收集，总数接近900万条。 暴露电话号码中超过92%属于台湾用户，与此同时还包括来自日本、香港、新加坡、马来西亚、泰国和韩国的数千名用户和欧洲国家的数百名用户，但几乎没有识别出美国用户。 数据可能被攻击者使用 Cybernews研究人员警告说，暴露的数据对专门从事鱼叉式网络钓鱼、语音钓鱼（vishing）、短信钓鱼（Smishing）和其他社交工程攻击的网络犯罪分子来说非常有价值。此外，数据可能与其他过去的泄露结合起来，试图进行金融欺诈或账户入侵攻击。 研究人员警告说：“攻击者可以使用过去的酒店预订详情，进行极具欺骗性的网络钓鱼行为。例如，一条短信或电子邮件引用在特定酒店的住宿，请求反馈或为未来的预订提供折扣，都可能会诱使个人点击恶意链接或提供更多个人信息。” 欺诈者可以使用电话号码给用户打电话或发送短信，假装是酒店或相关服务的人，索要敏感信息，如信用卡号或密码。此外，一长串电话号码可能被用于非法的自动拨号。 网络跟踪（Doxxing）是另一个严重威胁，因为网络犯罪分子已知会在互联网上搜索可能用于推进其财务或个人议程的敏感材料。 网络犯罪分子会使用AI和其他智能工具大规模发起攻击。 Cybernews研究团队无法验证数据是否被任何威胁行为者或其他第三方访问。我们联系了OwlTing以获取额外评论，但在发布前没有收到回应。 谨慎对待亚马逊S3存储桶 Cybernews研究人员建议在亚马逊S3存储桶暴露时采取以下缓解步骤： 更改访问控制以限制公开访问并保护存储桶。更新权限以确保只有授权用户或服务具有必要的访问权限。 监控访问日志，以评估存储桶是否被未经授权的行为者访问。 启用服务器端加密以保护静态数据。 使用AWS密钥管理服务（KMS）安全地管理加密密钥。 实施SSL/TLS以确保数据传输中的安全通信。 考虑加强安全实践，包括定期审计、自动化安全检查和员工培训。 OwlTing成立于2010年，总部位于台湾，专门提供多个领域的区块链技术解决方案。该公司在全球范围内设有办事处，包括美国、日本、马来西亚、泰国和新加坡。 披露时间线 2024年7月29日：发现泄露。 2024年8月2日：发送初次披露电子邮件，并随后发送了多封跟进电子邮件。 2024年9月13日：通知台湾CERT。 2024年9月19日：关闭了对数据的访问。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

凭证被盗仍然是数据泄露的最常见原因。有多种方法可以防止此类违规行为，最有效的方法对开发人员的工作效率影响最小，同时在开发过程中尽早发现问题，此时问题仍然成本低廉且易于修复。 图片来源：安全客 这正是 GitGuardian 的新 Visual Studio Code 扩展的使命：将强大的左移安全实践直接引入开发人员的工作流程。 该扩展的工作原理是在保存文件时对文件进行扫描，在文件添加到版本库之前提醒用户注意任何潜在的秘密。它与流行的 Visual Studio 代码编辑器无缝集成，提供清晰的通知，并允许用户轻松修复问题。该扩展基于 GitGuardian 命令行工具 ggshield 提供的现有功能，使开发人员能更轻松地保护自己的敏感信息。 主要优点包括： 实时代码扫描：一旦检测到秘密，就会直接在代码中突出显示，并在状态栏中显示红色警告。 指导补救：扩展提供自定义补救信息，建议采取纠正措施，如将秘密存储在安全保险库中。 对开发人员友好： 通过一键安装和简化的身份验证，上手非常容易。无论何时保存文件，都会自动使用 ggshield 进行扫描，无需安装。     转自安全客，原文链接：https://www.anquanke.com/post/id/300870 封面来源于网络，如有侵权请联系删除

2024 年第二季度共报告了 877,536 次网络钓鱼攻击，与同年第一季度报告的 963,994 次攻击相比明显减少。然而，这可能还不是值得庆祝的事情，因为这种减少可能是由于电子邮件提供商使用户报告网络钓鱼企图变得越来越困难。 投诉和测试表明，某些著名的电子邮件提供商正在阻止用户转发他们怀疑可能是网络钓鱼企图的电子邮件。这可能会使结果出现偏差，因为真实的网络钓鱼活动可能比数字显示的要高，这突出表明需要更好、更方便的报告机制。 反钓鱼网站工作组 (APWG) 发布的《2024 年第二季度网络钓鱼活动趋势报告》揭示了这一点。该报告对网络钓鱼攻击和身份盗用方法进行了全面分析，深入揭示了恶意攻击者不断演变的策略，包括网络钓鱼计划、商业电子邮件泄密 (BEC) 和其他形式的在线欺诈。 该报告基于从其成员公司、全球研究合作伙伴处收集的数据，以及通过其网站和电子邮件提交的直接报告。这种广泛的数据收集提供了当前网络钓鱼形势的详细视图，捕捉到了网络犯罪分子使用的社会工程和技术潜伏策略。这些数据通过 APWG eCrime eXchange (eCX) 进行处理，以跟踪独特的网络钓鱼网站、电子邮件主题和目标品牌。 网络钓鱼和网络诈骗兴起 报告还强调了向电话网络钓鱼方法的转变，包括语音网络钓鱼（vishing）和短信网络钓鱼（smishing）。越来越多的银行和在线支付服务客户成为这些欺诈行为的目标。传统的电子邮件网络钓鱼依靠欺骗性信息引诱受害者，而网络钓鱼和短信网络钓鱼则不同，它们涉及与潜在受害者的直接交流。 网络钓鱼通常是通过电话，由恶意行为者伪装成可信组织的人员来获取敏感信息，而网络钓鱼则是发送包含恶意链接或要求提供个人信息的虚假短信。这种直接方法允许攻击者与受害者实时接触，使这些方法更有效地绕过传统的电子邮件安全过滤器并获取敏感信息。随着这些策略变得越来越普遍，组织和个人需要保持警惕，并采取全面的安全措施来防范这些日益复杂的威胁。 针对特定行业的攻击 另一个令人担忧的趋势是社交媒体平台成为攻击目标。这些平台仍然是最常受到攻击的领域，占所有网络钓鱼攻击的 32.9%。这一数字之高说明了社交媒体网站一直很容易受到网络钓鱼的攻击，因为网络钓鱼利用了社交媒体的广泛性和个人特性。由于社交媒体账户的广泛使用及其所蕴藏的个人信息宝库，它们也是网络钓鱼者的目标。 相比之下，针对金融服务实体的网络钓鱼攻击从 2023 年第三季度的 24.9% 和 2023 年第四季度的 14% 降至 2024 年第二季度攻击总量的 10%。针对在线支付服务（如 PayPal、Venmo、Stripe 和类似公司）的攻击保持稳定，占所有攻击的 7.5%。 攻击下降的部分原因是金融公司实施了双因素身份验证（2FA）等强化安全措施，大大降低了传统网络钓鱼的成功率。随着银行和支付服务加强防御，不良分子将重点转向安全措施不那么严格的部门。这表明，所有部门持续保持警惕和采取强有力的安全措施至关重要。 成本更高，但攻击更少 跟踪 BEC 攻击的重要机构 Fortra 报告称，2024 年第二季度，电汇 BEC 攻击请求的平均金额从 2024 年第一季度的 84059 美元增至 89520 美元。 尽管请求的平均金额有所增加，但 BEC 攻击的数量却比上一季度下降了 8.4%。这表明，虽然个别攻击的目标金额可能更高，但这些攻击的总体频率有所下降。 流行骗局 该公司的分析还显示，礼品卡欺诈是最流行的欺诈类型，占所有攻击的 38.1%。此外，预付费欺诈占 26.1%，而工资转移也依然流行，在 Fortra 的跟踪中占 7.6%。混合式网络钓鱼在 2023 年之前甚至还未出现在人们的视线中，但在跟踪的案件中却占到了 4.9%。这些混合式诈骗通常涉及电子邮件信息，提示收件人拨打电话号码解决问题或要求退款。 有趣的是，在工资转移方面，35% 的尝试涉及将工资转入 Green Dot 账户，GoBank 也是热门选择。这表明这些金融机构的审查流程存在漏洞，可能会影响其对 “了解你的客户”（KYC）法规的遵守。 免费网络电子邮件提供商 Fortra 还发现，72% 的 BEC 攻击使用了免费网络邮件域名，其中谷歌 Gmail 最受欢迎，有 72.4% 的攻击使用了该域名。免费网络邮件服务的高使用率凸显了这些平台的漏洞，因为骗子经常利用这些平台进行诈骗。 微软的网络邮件服务在 BEC 攻击中占 16.3%，与 Gmail 相比所占比例较小，但也很重要。 采取积极措施 随着网络钓鱼技术的不断发展和日益复杂，组织和个人都必须保持警惕。这意味着要随时了解网络犯罪分子使用的最新策略，并不断更新和加强安全措施，以有效打击这一祸患。 定期对员工进行培训、实施多因素身份验证和利用先进的网络安全工具等积极主动的措施有助于确保防御措施足够强大，能够跟上网络钓鱼攻击的动态发展。     转自安全客，原文链接：https://www.anquanke.com/post/id/300865 封面来源于网络，如有侵权请联系删除

威胁者正积极试图利用Veeam Backup & Replication中一个现已打补丁的安全漏洞，来部署Akira和Fog勒索软件。 网络安全厂商Sophos表示，在过去的一个月里，它一直在追踪一系列利用被泄露的VPN凭证和CVE-2024-40711创建本地帐户并部署勒索软件的攻击。 CVE-2024-40711在CVSS等级中被评为9.8级（满分10.0），是一个允许未经验证的远程代码执行的关键漏洞。2024 年 9 月初，Veeam 在备份与复制 12.2 版本中解决了这一问题。 德国 CODE WHITE 公司的安全研究员 Florian Hauser 是发现并报告该安全漏洞的功臣。 在每个案例中，攻击者最初都是在未启用多因素身份验证的情况下使用被入侵的 VPN 网关访问目标的，Sophos 说，其中一些 VPN 运行的是不支持的软件版本。 每次，攻击者都在端口 8000 的 URI /trigger 上利用 VEEAM，触发 Veeam.Backup.MountService.exe 生成 net.exe。该漏洞利用程序创建了一个本地账户‘point’，并将其添加到本地管理员和远程桌面用户组中。 据说，在导致部署 Fog 勒索软件的攻击中，威胁者将勒索软件投放到未受保护的 Hyper-V 服务器上，同时使用 rclone 实用程序外泄数据。其他勒索软件部署均未成功。 对 CVE-2024-40711 的积极利用促使英国国家医疗服务系统（NHS England）发布了一份警告，指出 “企业备份和灾难恢复应用程序是网络威胁组织的重要目标”。 在披露这一消息的同时，Palo Alto Networks 第 42 部门详细介绍了名为 Lynx 的 INC 勒索软件的后续版本，该版本自 2024 年 7 月以来一直处于活跃状态，其攻击目标是美国和英国的零售、房地产、建筑、金融和环境服务领域的组织。 据说，早在2024年3月，INC勒索软件的源代码就在地下犯罪市场上出售，促使恶意软件作者重新包装锁定器并产生新的变种，从而刺激了Lynx的出现。 “Lynx勒索软件与INC勒索软件共享大量源代码，”Unit 42说。“INC勒索软件最初出现在2023年8月，其变种兼容Windows和Linux。” 在此之前，美国卫生与公众服务部（HHS）卫生部门网络安全协调中心（HC3）也发布警告称，该国至少有一家医疗保健实体已成为 Trinity 勒索软件的受害者，Trinity 勒索软件是另一款相对较新的勒索软件，于 2024 年 5 月首次为人所知，据信是 2023Lock 和 Venus 勒索软件的改版。 HC3表示：“这是一种通过多种攻击载体渗透系统的恶意软件，包括钓鱼电子邮件、恶意网站和利用软件漏洞。一旦进入系统，Trinity 勒索软件就会采用双重勒索策略，将受害者作为攻击目标。” 据观察，网络攻击还提供了一种被称为BabyLockerKZ的MedusaLocker勒索软件变种，该变种由一个有经济动机的威胁行为者提供，据悉自2022年10月以来一直很活跃，目标主要位于欧盟国家和南美洲。 Talos 研究人员表示：“该攻击者使用了几种公开的攻击工具和离岸二进制文件（LoLBins），这是由同一开发者（可能是攻击者）构建的一套工具，用于协助被攻击组织的凭证窃取和横向移动。” 这些工具大多是对公开可用工具的封装，其中包括简化攻击过程的附加功能，并提供图形或命令行界面。     转自安全客，原文链接：https://www.anquanke.com/post/id/300858 封面来源于网络，如有侵权请联系删除

近期，研究人员在野外发现了 TrickMo Android 银行木马的 40 个新变种，它们与 16 个下载器和 22 个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。 Zimperium 和 Cleafy 均报道了此消息。 TrickMo 于 2020 年首次被 IBM X-Force 记录在案，但人们认为它至少从 2019 年 9 月开始就被用于攻击安卓用户。 新版 TrickMo 利用虚假锁屏窃取安卓密码 新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。 该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。 该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。 攻击中使用的银行业务覆盖，来源：Zimperium Zimperium 分析师在剖析这些新变种时还报告了一种新的欺骗性解锁屏幕，它模仿了真正的安卓解锁提示，旨在窃取用户的解锁模式或 PIN 码。 Zimperium解释称：欺骗性用户界面是一个托管在外部网站上的HTML页面，以全屏模式显示在设备上，使其看起来像一个合法的屏幕。 当用户输入解锁模式或 PIN 码时，页面会将捕获的 PIN 码或模式详情以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 展示的伪造安卓锁屏，来源：Zimperium 通过窃取 PIN 码，攻击者可以在设备不受监控时（可能是在深夜）解锁设备，从而在设备上实施欺诈。 暴露的受害者 由于 C2 基础设施的安全防护不当，Zimperium 还能够确定至少有 13000 名受害者受到了该恶意软件的影响，其中大部分位于加拿大，还有相当数量的受害者位于阿拉伯联合酋长国、土耳其和德国。 TrickMo 受害者热图，来源：Zimperium 据 Zimperium 称，这一数字与 “多个 C2 服务器 ”相对应，因此 TrickMo 受害者的总数可能更高。另外，分析发现，每当恶意软件成功渗出凭证时，IP列表文件就会定期更新。在这些文件中，研究人员发现了数以百万计的记录，这表明被入侵的设备数量庞大，威胁行为者访问了大量敏感数据。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标。Zimperium 现在选择在 GitHub 存储库中发布所有信息。 然而，TrickMo 的目标范围似乎足够广泛，涵盖了银行以外的应用程序类型（和账户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标，但 Zimperium 现在选择在 GitHub 存储库中发布所有信息。 据悉，TrickMo 目前是通过网络钓鱼传播的，因此为了尽量减少感染的可能性，应避免从不认识的人通过短信或直接消息发送的 URL 下载 APK。 Google Play Protect 可以识别并阻止 TrickMo 的已知变种，因此确保它在设备上处于激活状态对于抵御恶意软件至关重要。 参考来源：TrickMo malware steals Android PINs using fake lock screen (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412834.html 封面来源于网络，如有侵权请联系删除

据Hackread研究团队发现，名为IntelBroker的黑客声称已从网络巨头思科窃取了数据，并关联到一些知名公司的源代码，包括微软、亚马逊、AT&T等，相关数据已在黑客论坛Breach Forums 上出售。 据黑客称，数据泄露发生在 2024 年 10 月 10 日，并于10月14日在Breach Forums上发布。据 Hackread研究团队所见，Intel Broker 列出了据称在泄露中被盗的大量数据类型，包括： 源代码：来自 GitHub、GitLab 和 SonarQube 的项目，对 Cisco 的开发工作至关重要。 硬编码凭证：源代码中嵌入的敏感信息，如登录详细信息。 证书和密钥：SSL 证书以及对安全通信至关重要的公钥和私钥。 机密文档：分类为“Cisco 机密”的内部文档和信息。 API 令牌和存储桶：可用于访问关键系统的 AWS 私有存储桶、Azure 存储桶和 API 令牌。 其他敏感信息：包括Jira 票证、Docker 版本和 Cisco 高级产品信息。 图片来源：FreeBuf IntelBroker 还分享了一份据称在泄露期间窃取的生产源代码公司名单。该名单包括几家备受瞩目的公司，尤其是在电信和金融领域，例如：Verizon、AT&T、T-Mobile、美国银行、沃达丰，以及科技巨头微软等。 IntelBroker 将以门罗币（XMR）的形式出售这些被盗数据。门罗币是一种以其隐私功能而闻名的加密货币。黑客表示，他们愿意使用中间人来促进交易，确保买卖双方的匿名性。这种方法是网络犯罪分子的常见做法，以避免被当局检测和跟踪。 在截至Hackread发稿时，思科尚未对此事给出回应，如果此次泄露事件得到确认，可能会对 Cisco 和受影响的公司产生重大后果。 据悉，这是思科时隔两年后再遭遇数据泄露。2022年8月，黑客声称窃取到2.75GB数据，约3100个文件，其中不少文件为保密协议、数据转储和工程图纸。 近来，IntelBroker 以备受瞩目的数据泄露攻击而闻名。今年6月，黑客声称入侵了苹果公司，窃取了内部工具的源代码，同月还声称入侵了AMD，窃取了员工和产品信息。 而在更早前的5月，IntelBroker入侵了欧洲刑警组织并得到了对方证实。 尽管对该黑客的来源和附属组织尚不清楚，但据美国政府称，IntelBroker 被指控是其中一起 T-Mobile 数据泄露事件的幕后肇事者，这起发生在2022年11月的攻击事件导致3700万名用户数据被泄露。 参考来源：T-Mobile Hacked Again: 37 Million Accounts Compromised     转自FreeBuf，原文链接：https://www.freebuf.com/news/412837.html 封面来源于网络，如有侵权请联系删除

图：ABC新闻演示扫地机摄像头拍摄的效果 据澳大利亚媒体ABC 新闻日前报道，今年早些时候，黑客获取了科沃斯地宝 X2 Omni 扫地机器人在多个美国城市的控制权，利用这些机器人追赶宠物并向主人大喊种族歧视性言论。 媒体采访了多位地宝 X2 用户。这些用户表示，他们的地宝 X2 在今年 5 月份遭到黑客入侵。 明尼苏达州的律师Daniel Swenson是其中之一。他回忆道，有一天他和家人正在看电视，突然从扫地机器人扬声器中传出“像收音机信号不佳时一样断断续续的”噪音。他表示，在他重置密码并重新启动机器人后，这种声音再次出现，且更加清晰。这一次，声音似乎来自一名青少年，内容充满了侮辱性言论。 美国多地城市均发生了类似案例，比如埃尔帕索和洛杉矶的用户。洛杉矶的一位用户报告称，有人通过控制地宝 X2 骚扰他家的一只狗，不仅大喊大叫，还追赶它。 科沃斯公司在一份声明中对媒体表示，经过调查，他们确认了一次“凭证填充攻击”事件，并已屏蔽了相关的 IP 地址。公司还强调，目前“没有证据显示”攻击者获得了用户的用户名和密码。 去年，有研究人员发现了一个漏洞，该漏洞允许攻击者绕过地宝 X2的PIN码验证，从而控制扫地机器人。科沃斯在声明中提到，这个问题已得到解决，并计划在今年 11 月发布一项更新，以“进一步加强安全性”。不过，目前尚不清楚这次更新是否会修复媒体早些时候报道的蓝牙漏洞。 近年来，随着云连接的智能家居设备普及，类似事件频发。部分情况是黑客入侵所致，部分则是凭证泄露，甚至有时是软件问题导致用户可以意外看到其他人的摄像头画面，仿佛是收到了一份“意外的小礼物”。 随着越来越多的智能家居设备需要持续连接互联网才能正常运行，而且设备制造商还没有提供有效安全漏洞报告途径，这类问题似乎变得不可避免。 参考资料：https://www.theverge.com/2024/10/12/24268508/hacked-ecovacs-deebot-x2-racial-slurs-chase-pets     转自安全内参，原文链接：https://www.secrss.com/articles/71201 封面来源于网络，如有侵权请联系删除

图片来源：D-Wave 据报道，中国一支科学家团队对一种经典加密方法成功实施了世界上首次“有效”的量子攻击。 《南华早报》指出：“这次攻击使用的是加拿大D-Wave Systems的现有量子计算机进行的。” 科学家们成功地破解了在银行和军队等关键部门广泛使用的加密算法，并声称，这一突破构成了“真实而重大的威胁”。 在上海大学王超的带领下，研究人员表示，他们攻击了Present、Gift-64和Rectangle等置换-替换网络（SPN）算法。 SPN算法是高级加密标准（AES）的核心，其中AES-256有时被描述为军用级加密，并被认为是抗量子的。 该攻击加密方法背后的具体细节仍不明确，由于话题的“敏感性”，Wang拒绝向《南华早报》进一步阐述。 然而，研究人员警告称，对密码的破解比以往任何时候都更为接近。 他们在发表于中文期刊《计算机学报》上的，一篇经过同行评审的论文中表示：“这是真正的量子计算机首次对当今使用的多种大规模结构化对称正形(SPN)算法，构成真实且实质性的威胁。” D-Wave Systems声称是世界上第一家量子计算机的商业供应商。该公司将洛克希德·马丁、美国宇航局和谷歌列为其早期客户之一。 目前许多通用量子系统尚不够先进，不足以对现代密码学构成威胁，而“实用”的量子机器可能还要等上好几年。 量子计算机能解决普通计算机难以处理的复杂问题，最终甚至可能破解大多数公钥算法。这促使人们努力开发“抗量子”密码学。 今年早些时候，美国国家标准与技术研究院（NIST）发布了最终版的主要加密算法，旨在抵御未来量子计算机发起的网络攻击。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本游戏开发商Game Freak，即《精灵宝可梦》系列游戏的幕后公司，遭遇了漏洞攻击，导致2606名员工及合作伙伴的数据外泄。 10月初，宝可梦泄漏事件的信息首次出现在“4chan”论坛上，现以“TeraLeak”的名义在社交媒体和在线论坛上流传。事件的命名效仿了2020年的“GigaLeak”任天堂泄露事件。 Centro LEAKS（对宝可梦泄漏信息进行监测的社媒账户）称：“TeraLeak包含数千兆字节的信息。” 据悉，泄露的信息中包括多条有关电子游戏的内幕消息，比如任天堂Switch 2的疑似代号、宝可梦HeartGold和SoulSilvethe等现有游戏的源代码、下一代《口袋妖怪》游戏的数据以及一款尚未公布的游戏名称。 Game Freak确认漏洞 10月10日，游戏公司证实，它在8月的确经历了一起安全事件，在此期间，第三方未经授权访问了其系统，导致了2606名前、现任员工信息的泄露。 Game Freak表示：“我们已经检查并重建了服务器，将进一步加强安全措施，防止泄露的再次发生。另外，我们正在单独联系受到影响的员工，并专设事件热线，处理有关此事的查询。” 至于宝可梦或任天堂相关的数据是否被曝光，该公司并未说明，也未披露泄露信息的准确性。 即将推出的宝可梦游戏《宝可梦传奇：Z-A》目前正在开发中，计划于2025年发布。     消息来源：Infosecurity-Magazine，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

全球领先的商业通信公司Mitel发布了一份重要的安全公告，指出其MiCollab软件中存在一个严重的SQL注入漏洞，该漏洞特别影响音频、网络和视频会议（AWV）组件。该漏洞被命名为 CVE-2024-47223，CVSS 得分为 9.4，表明一旦被利用将可能造成重大损失。 该漏洞源于对用户输入的 sanitization 不足，允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。 Mitel 在其公告中警告说：“成功利用该漏洞需要特制的 URL，并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案，因此该风险尤为突出。” 如果攻击者成功利用了 CVE-2024-47223，他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而，潜在的危害还不止于此。Mitel 的公告称，攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表，从而可能导致 MiCollab 系统无法运行。 鉴于该漏洞的严重性，Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出：“Mitel 建议受影响产品版本的客户更新到最新版本”，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。 OSI Security公司的Patrick Webster发现并报告了这一漏洞，他的及时发现引起了Mitel的注意。 对于无法立即升级的客户，Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁，以降低风险。该补丁可通过 Mitel 的知识管理系统获取，并提供了帮助保护受影响系统的具体说明。     转自安全客，原文链接：https://www.anquanke.com/post/id/300846 封面来源于网络，如有侵权请联系删除

在中东紧张局势升级之际，继以色列对伊朗 10 月 1 日的导弹袭击作出回应后，伊朗的政府部门和核设施也遭到了网络攻击。 在中东紧张局势升级之际，伊朗周六遭遇重大网络攻击，政府部门和核设施受到干扰。以色列承诺对伊朗10月1日的导弹袭击作出回应，而在加沙和黎巴嫩的地区冲突加剧之际，伊朗也遭到了大规模网络攻击。 伊朗网络空间最高委员会前秘书 Abolhassan Firouzabadi 告诉当地媒体，伊朗遭受了网络攻击。Firouzabadi 还补充说，威胁者从目标基础设施中窃取了敏感信息。 伊朗国际报援引伊朗网络空间最高委员会前秘书菲鲁扎巴迪的话说：“伊朗政府的几乎所有三个部门（司法部门、立法部门和行政部门）都遭到了严重的网络攻击，其信息被窃取。我们的核设施也是网络攻击的目标，燃料配送网络、市政网络、运输网络、港口和类似部门也是攻击的目标。”他补充说：“这些只是全国各地受到攻击的众多领域中的一部分。” 伊朗民航组织禁止在航班上使用传呼机和对讲机，因为在黎巴嫩发生了涉及这些设备的破坏袭击，造成 39 名真主党成员死亡。 伊朗民航组织发言人说：“伊朗民航已禁止在所有航班上携带寻呼机和对讲机。这一决定是在经历黎巴嫩真主党武装组织成员，遭受破坏性袭击的三周之后做出的，当时传呼机和对讲机发生爆炸，造成至少 39 人死亡。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300836 封面来源于网络，如有侵权请联系删除

Shadowserver 基金会最近发布的一份报告显示，尽管数月前就已发布了修补程序，但仍有大量 Fortinet 设备存在严重的远程代码执行 (RCE) 漏洞。 CVE-2024-23113 是一个影响 fgfmd 守护进程的认证前 RCE 漏洞，Fortinet 早在 2024 年 2 月就首次披露并修补了该漏洞。该漏洞允许未经身份验证的攻击者通过无需用户交互的简单攻击，在有漏洞的设备上执行任意代码。 Shadowserver 在 2024 年 10 月 12 日的扫描中发现了惊人的 87390 个唯一 IP 地址，这些地址仍在托管易受攻击的 Fortinet 设备。美国的暴露设备数量最多（约14,000台），其次是日本（5,100台）和印度（4,800台）。 我们现在报告的Fortinet IP仍有可能受到CVE-2024-23113（格式字符串预验证RCE）的攻击。该漏洞已知在野外被利用。 2024-10-12 扫描发现 87,390 个 IP。顶部：美国（14K）、日本（5.1K）、印度（4.8K） 该漏洞影响 Fortinet 的多种产品，包括： FortiOS 7.0 及更新版本 FortiPAM 1.0 及更高版本 FortiProxy 7.0 及以上版本 FortiWeb 7.4 Fortinet 于 2024 年 2 月首次披露并修补了该漏洞，敦促管理员更新系统以避免被利用。该公司建议，作为一项重要的缓解措施，从所有接口移除对易受攻击的 fgfmd 守护进程的访问，但这需要以限制 FortiManager 发现 FortiGate 为代价。Fortinet 还建议管理员实施本地策略，限制特定 IP 地址的 FGFM 连接。但他们强调，这只是一种缓解措施，而不是全面的解决方案，因为漏洞仍可能从允许的 IP 被利用。 尽管有这些警告，但仍有大量设备未打补丁，给全球组织带来持续风险。 上周，网络安全和基础设施安全局（CISA）发出警报，确认 CVE-2024-23113 正在被攻击者利用。Shadowserver最近的发现进一步凸显了这一漏洞的规模，因为仍有数千台Fortinet设备暴露在漏洞中。这种广泛的暴露使关键基础设施、企业和政府组织面临网络攻击的风险，特别是由于利用该漏洞只需极少的努力。     转自安全客，原文链接：https://www.anquanke.com/post/id/300839 封面来源于网络，如有侵权请联系删除

微软在即将推出的 Windows Server 版本中淘汰了老旧的点对点隧道协议 (PPTP) 和二层隧道协议 (L2TP)，从而在增强 VPN 安全性方面迈出了重要一步。虽然这些协议长期以来一直是 Windows VPN 的组成部分，但微软鼓励用户过渡到更现代、更安全的替代协议： 安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2)。 微软在最近的一份声明中指出：“随着技术的发展，我们的安全协议也必须与时俱进。作为我们提供最高级别安全和性能的持续承诺的一部分，我们将在未来的 Windows Server 版本中淘汰 PPTP 和 L2TP 协议。” 值得注意的是，弃用并不意味着立即删除。 微软澄清说：“被弃用的功能将继续工作并得到全面支持，直到它们被正式移除。我们相信您已经将产品生命周期纳入了您的管理策略。即便如此，弃用通知也可以跨越几个月或几年的时间，以帮助您进行必要的过渡。” 此举并不令人意外，因为 PPTP 和 L2TP 存在安全漏洞已有时日。随着威胁环境的不断变化，这些协议已不再被认为足够强大，能够满足现代安全标准。 微软提倡采用 SSTP 和 IKEv2，理由是它们具有卓越的安全性、性能和可靠性。SSTP 利用 SSL/TLS 加密技术提供安全的通信通道，并能无缝穿越防火墙。IKEv2 拥有强大的加密算法、稳健的身份验证和更高的性能，因此特别适合移动用户。 虽然未来的 Windows Server 版本仍允许使用 PPTP 和 L2TP 进行 VPN 输出连接，但将不再支持基于这些协议的输入连接。这一变化旨在引导用户使用更安全的 VPN 配置。 为了促进平稳过渡，微软提供了有关如何安装和配置 SSTP/IKEv2 以实现 VPN 服务器功能的详细说明。 这一停用标志着 Windows Server VPN 功能的重大转变，它优先考虑安全性并鼓励采用现代协议。通过过渡到 SSTP 和 IKEv2，企业可以确保其网络通信在面对不断变化的网络威胁时保持安全、高效和可靠。     转自安全客，原文链接：https://www.anquanke.com/post/id/300842 封面来源于网络，如有侵权请联系删除

HashiCorp 发布了一份安全公告，披露了其 Vault 秘密管理平台中的一个漏洞，该漏洞可能允许攻击者将权限升级到高度敏感的根策略。 图片来源：安全客 该漏洞被追踪为 CVE-2024-9180，CVSSv3 得分为 7.2，源于 “Vault 内存实体缓存中条目处理不当”。公告解释说，拥有 “根命名空间身份端点写权限 ”的恶意行为者可以通过 Vault 节点上的身份 API 端点操作其缓存的实体记录，并有可能将其权限升级到该节点上的 Vault 根策略。 从本质上讲，这意味着攻击者可以利用这个漏洞获得对 Vault 实例的完全控制权，从而可能泄露敏感数据并中断关键操作。 幸运的是，这个漏洞的影响是有限的。HashiCorp 澄清说：“被操纵的实体记录不会在整个集群中传播，也不会持久化到存储后端，而且会在服务器重启时被清除。” 此外，该漏洞只影响根命名空间中的实体，不会影响标准命名空间或管理命名空间中的实体。由于 HCP Vault Dedicated 依赖于管理命名空间，因此也不会受到影响。 不过，HashiCorp 敦促所有 Vault 用户 评估与此问题相关的风险，并考虑升级 到已打补丁的版本。 以下版本提供了补救措施： Vault 社区版 1.18.0 Vault 企业版：1.18.0、1.17.7、1.16.11、1.15.16 作为升级的替代方案，HashiCorp 建议实施 Sentinel EGP 策略或修改默认策略，以限制对身份终端的访问。此外，监控 Vault 审计日志，查找 “identity_policy ”数组中包含 “root ”的条目，有助于发现潜在的利用企图。     转自安全客，原文链接：https://www.anquanke.com/post/id/300825 封面来源于网络，如有侵权请联系删除

一、组织概述 （一）组织背景 Hunters International勒索组织最早于2023年10月进入大众视野，以RaaS（勒索软件即服务）模式运作。自发布以来，该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业，影响范围覆盖全球各个地区。 从起源上，Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名，这也是它能在短时间内成功实施多起勒索攻击的重要原因。 Hunters International声称其源码来自于Hive Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限，并部署如Cobalt Strike、SharpRhino等远控工具，最终传播勒索软件，加密和窃取数据。此外，该组织重视保密性，严格管控信息，保证其行动的隐蔽性。近期，Hunters International勒索组织日渐猖獗，使其在网络犯罪领域迅速崭露头角，强势威胁全球网络安全。 Hunters International数据泄露站点 作为典型的双重勒索组织，Hunters International对外宣称其主要目的是数据泄露，以此施压受害者，要求他们支付赎金，上图展示了该组织的数据泄露站点。 （二）攻击活动统计 根据公开数据统计，2024年初至今，Hunters International组织已成功发起163次勒索攻击。从下图可知，该组织近期攻击活动较为频繁。 各月攻击次数(注：统计日期截止2024/09/13) 从受害者国家分布来看，Hunters International组织的主要目标是美国，其中欧洲、亚洲一些国家也遭遇数次攻击，其中，中国占比3%左右。 受害者国家分布 从受害者所在行业分布来看，该组织针对的行业没有明显的倾向性，其中，以制造业和信息技术行业为主，占比分别为30.6%和9.8%。 受害者行业分布 二、样本分析 今年8月，国外研究机构披露，Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼，从而入侵企业内网，最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为，本文针对该事件涉及的样本进行详细分析。 （一）SharpRhino远控木马 Hunters International组织投递远控木马SharpRhino的完整流程如下图所示： SharpRhino远控木马通过捆绑合法工具ipscan进行传播，母体样本ipscan为NSIS安装程序，解压后包含如下文件： 当双击ipscan安装程序，7za.exe程序被触发，调用7za.dll对UpdateFull.7z解压，解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下，如下图： 其中，LogUpdate.bat和WindowsUpdate.bat两者功能相似，Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件，指向了LogUpdate.bat脚本文件。 LogUpdate.bat为批处理脚本，用来启动PowerShell脚本文件Wiaphoh7um.t。 Wiaphoh7um.t为PowerShell脚本文件，该脚本主要有两个功能： 解密出经过高度混淆的SharpRhino木马的C#源代码； 将SharpRhino源码编译加载到内存，将C2、加密密钥、延时时间传递给函数HPlu()并执行； SharpRhino为最终的远控木马，具体信息如下表： SharpRhino运行之后，首先会生成随机16个字节的ClientID ，并收集系统信息。 然后通过http与服务器进行连接，并发送上线数据包。数据包为json格式，分为三个字段“UUID”，“ID”，“Data”。首次向服务器发送数据时“UUID”的值为null，“ID”为 ClientID，“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器： cdn-server-2.wesoc40288.workers.dev。 捕获到的上线包数据流量如下： 发送数据包之后，客户端接收服务器的响应，解析出相应指令并执行：服务器返回指令共有三种情况： delay：延迟一定时间后再次向服务器发送http请求 exit：直接退出程序 PowerShell：执行任意PowerShell命令 为了更详细的分析控制端与客户端的通信行为，我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例，构造的控制端向客户端发送指令的流量如下图： 下图展示了数据包被解密后，客户端成功打开了计算器。 （二）Hunters International勒索软件 该勒索软件需要提供“-c 用户名:密码”才能执行，该用户名和密码用于受害者登录泄露网站查看信息，最后保存在勒索信中提供给受害者。 勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息，执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开，加密后的文件通常被加上“.locked”后缀。对比早期的版本（2024.03），近期的版本（2024.07）在加密过程信息输出和勒索信内容方面进行了更新。 新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。 勒索信方面，文件名和内容都进行了更新，早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。 该勒索软件执行后首先检查解析命令行参数，如果没有提供参数，当前执行立即终止。现整理部分参数如下： 参数项 描述 -c 指定用户名密码，格式为“user:password”，必选参数 -t/-threads/–threads 加密线程数量，默认为10 -R/-no-remote/–no-remote 不加密远程共享文件 -k/-kill/–kill 要杀死的进程 -s/-skip/–skip 跳过不加密的文件 -E/-no-erase/–no-erase 不擦除磁盘空间 -X/-no-extension/–no-extension 不给加密后文件添加后缀 -w/-wait/–wait 等待一段时间后加密 该勒索软件中使用的字符串都被单独移位+异或加密保存，使用时移位+异或解密后拼接恢复。 解析完命令行参数后，程序会创建一个线程池来进行后续的多线程的文件加密操作，在加密文件前，该程序会执行以下命令来删除卷影以阻止备份和恢复 exe delete shadows /all /quiet exe shadowcopy delete exe delete systemstatebackup exe delete catalog-quiet exe /set {default} recoveryenabled No exe /set {default} bootstatuspolicy ignoreallfailures exe delete systemstatebackup -keepVersion:3 停止包含以下列表中名称的服务和进程，防止文件被占用无法加密。 agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon 枚举网络中存在的主机： 遍历本地磁盘驱动器类型，以区分本地和网络共享磁盘。 然后开始分别扫描本地文件，和网络共享文件，添加到不同的待加密文件列表中使用不同的线程分开加密。 文件加密过程中，该程序会跳过以下的文件名、文件目录名及文件后缀。 跳过的文件名： READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db 跳过的文件目录名： Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs 跳过的文件后缀名： 386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx 该勒索软件使用 AES 算法来加密文件内容，加密密钥由BCryptGenRandom()函数生成的随机数组成，加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密，该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。 加密过程完成后，该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件，并不断写入 16384字节的随机数据，直到磁盘上没有可用空间，最后再删除该文件，以此来覆盖硬盘数据，防止从硬盘中恢复文件。 三、ATT&CK 下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。 四、新华三防护方案 新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前，新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。 五、IOC angryip[.]org angryipsca[.]com cdn-server-1[.]xiren77418[.]workers[.]dev cdn-server-2[.]wesoc40288[.]workers[.]dev ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af 24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355 1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47     转自FreeBuf，原文链接：https://www.freebuf.com/news/412262.html 封面来源于网络，如有侵权请联系删除

网络中存在的各类威胁错综复杂且不断变化，攻击者一直在改进其攻击方法，经常出现一些新的信息窃取恶意软件。据Cyber Security News消息，最近一种名为 PureLogs 的恶意软件以其低廉的价格、不俗的功能受到攻击者青睐。 图片来源：FreeBuf PureLogs  是用 C# 构建的 64 位信息窃取程序，并使用 commercial.NET Reactor 打包器将其程序集捆绑到多个阶段， 能够通过 Chrome、Edge、Opera等浏览器获取私人信息，与 Lumma、Vidar 和 Meduza 等少数其他恶意软件具有相同的能力。 2022 年，PureLogs 最初在地下市场上出售，此后在多个地下论坛上进行了推广，并在 clearnet 上保留了一个帐户和专用市场。目前该程序通过将潜在客户引导至特定Telegram机器人以获得支持和销售查询，价格为每月99美元、每季度199美元、每年299美元和终身用户的499美元，是市场上最便宜的信息窃取程序之一。 根据 Flashpoint Intel Team 报告，PureLogs 分三个阶段运行。加载和执行阶段是第一个阶段，第二阶段是在加载最终信息窃取程序集之前进行反沙箱测试和网络配置。到了第三阶段，PureLogs开始实施信息窃取程序代码，并获取以下信息： 浏览数据 Chrome、Edge 和 Opera 扩展 加密货币钱包应用程序 桌面应用程序 受害者计算机信息 文件夹、文件扩展名等都可以被 PureLogs 识别并抓取，并可将相关数据传输到 Telegram。PureLogs 的Telegram 面板可显示受害者的详细信息、被窃数据的数量、捕获的屏幕截图以及可以整个下载的日志文件。 由于该恶意软件非常易于操作、价格低廉且进入门槛低，让低水平攻击者也能成功实施较复杂的攻击操作。 参考来源：PureLogs, Low Cost Infostealer Attacking Chrome Browser     转自FreeBuf，原文链接：https://www.freebuf.com/news/412760.html 封面来源于网络，如有侵权请联系删除