HackerNews

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

由于勒索攻击导致运营能力骤降，OneBlood要求250多家医院启动“血液短缺”应急程序，并持续一段时间。 安全内参8月1日消息，因勒索软件攻击关闭部分系统，美国大型血液中心OneBlood的运营能力骤降。 上周三，向美国东南部医疗机构提供血液的非营利组织OneBlood发布声明，告知公众其运作能力受到勒索软件攻击影响。 OneBlood企业传播高级副总裁Susan Forbes表示：“为了维持运转，我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间，还会影响库存可用性。” “为了进一步管理血液供应，我们已要求250多家接受我们服务的医院启动关键的血液短缺程序，并在一段时间内保持该状态。” OneBlood表示，目前正在与网络安全专家以及联邦和州官员合作解决这一危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。该组织仍在运作，并继续收集、测试和分发血液，但“运行能力已经显著降低”。 这一事件引发了其他血液组织的大力支持，美国血库协会（AABB）灾害工作组正在组织将血液和血小板送往OneBlood。目前，所有血型都有捐献需求，其中O型阳性血、O型阴性血和血小板最为紧缺。 Forbes表示，公司在确认遭到攻击后立即开始调查，并启动了应对工作。“我们正在执行全面的响应工作，并努力尽快恢复系统的所有功能。” “血液供应并不稳定。事件处理仍在进行。如果您符合献血标准，我们敦促您尽快进行预约。” 外媒CNN首次报道了这次攻击。CNN获得了一份发给健康信息共享与分析中心的咨询通知，警告佛罗里达州医院可能面临血液短缺。由于勒索软件攻击，该组织不得不手动标记血液产品。 医疗行业网络威胁严峻 这次攻击发生一周之前，英国一家知名血液测试提供商宣布，在6月勒索软件攻击后，已成功重建大部分IT基础设施。 上个月，英国病理服务提供商Synnovis被Qilin勒索软件团伙攻击，导致1000多次关键手术被取消。英国国家医疗服务体系（NHS）被迫紧急呼吁人们捐献O型血液。 根据两周前发给NHS首席执行官的一封信，勒索软件攻击使英国的国家血液库存“处于非常脆弱的状态”。 勒索软件团伙还攻击了南非国家卫生实验室服务局，严重影响了该国应对猴痘、艾滋病和结核病等多重健康危机的工作。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/kC0UJk-6KlWH10OY4WiQoA 封面来源于网络，如有侵权请联系删除

一种被研究人员称为”BingoMod”的新型安卓恶意软件，在成功利用设备上的欺诈技术从受害者的银行账户中窃取资金后，可以清除设备数据。 BingoMod通过短信推广，通常伪装成一个合法的移动安全工具，每次交易最多可窃取15000欧元。根据研究人员的分析，BingoMod目前正在积极开发中，其开发者专注于添加代码混淆和各种逃避机制，以降低被检测率。 BingoMod的详细信息 在线欺诈管理和预防解决方案公司Cleafy的研究人员发现，BingoMod是通过smishing（短信钓鱼）活动传播的，并使用通常表明移动安全工具的各种名称（例如APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo, APKAppScudo）。 为了在设备上进行欺诈（ODF），恶意软件建立了一个基于套接字的通道来接收命令，以及一个基于HTTP的通道来发送屏幕截图源，从而实现几乎实时的远程操作。 虚拟网络计算 （VNC） 机制和数据交换 来源：Cleafy ODF是一种从受害者的设备发起欺诈交易的常用技术，可以骗过依赖身份验证和认证的标准反欺诈系统。 Cleafy研究人员在报告中解释说，“VNC程序滥用安卓的Media Projection API来获取实时屏幕内容。一旦接收到这些内容，就会将其转换为合适的格式，并通过HTTP传输到威胁行为者的基础设施。” 该程序的一个特点是，它可以利用无障碍服务“冒充用户并启用由Media Projection API公开的屏幕投影请求。” BingoMod 的 VNC 路由器 来源：Cleafy 远程操作者可以向BingoMod发送的命令包括点击特定区域、在指定的输入元素上写文本和启动应用程序。 该恶意软件还允许通过威胁行为者发起的虚假通知手动进行覆盖攻击。此外，感染了BingoMod的设备还可以通过短信进一步传播恶意软件。 禁用防御和清除数据 BingoMod可以从受害者的设备中移除安全解决方案或阻止威胁行为者在命令中指定的应用程序的活动。 为了逃避检测，BingoMod的创建者添加了代码扁平化和字符串混淆层，根据VirusTotal上的扫描结果，实现了预期的目标。 VirusTotal 扫描结果 来源：Cleafy 如果BingoMod作为设备管理应用程序注册在设备上，操作者就可以发送远程命令来清除系统。根据研究人员的说法，这个功能只有在成功转账后才会执行，并且只影响外部存储。 数据清除程序 来源：Cleafy 如果要彻底清除系统，威胁行为者可能使用远程访问功能从系统设置中清除所有数据并重置手机。 虽然BingoMod目前的版本是1.5.1，但Cleafy表示它似乎处于早期开发阶段。根据代码中的注释，研究人员认为BingoMod可能是罗马尼亚开发者的作品。不过，也有可能是其他国家的开发者所为。   转自Freebuf，原文链接：https://www.freebuf.com/news/407491.html 封面来源于网络，如有侵权请联系删除

DigiCert 警告称，由于域控制验证 （DCV） 的不合规问题，该公司正大规模撤销已经发放的 SSL/TLS 证书，数量超过8万个。 DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 （CA） 之一，包括域验证 （DV）、组织验证 （OV） 和扩展验证 （EV） 证书。这些证书用于加密用户与网站或应用程序之间的通信，从而提高安全性，防止恶意网络监控和中间人攻击。 为域颁发证书时，证书颁发机构必须首先执行域控制验证 （DCV） 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串，然后对域执行 DNS 查找以确保随机值匹配。 根据 CABF 基线要求，随机值应由域名分隔，并带有下划线。否则，域与用于验证的子域之间存在冲突的风险。但DigiCert称，最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。 一个已发生5年的错误 DigiCert表示，造成这种错误的根本原因是2019年8月的系统更新，导致删除了某些验证路径中的自动下划线添加，影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日，一个用户体验提升项目通过整合随机值生成过程，修复了这个长达5年都未发现的问题。7 月 29 日，DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。 目前DigiCert已通知 6807 名受影响的客户，要求他们尽快替换其证书，方法是登录其 DigiCert 帐户，生成证书签名请求 （CSR），并在通过 DCV 后重新颁发证书。需要注意的是，DigiCert 将在 24 小时内（UTC时间 7 月 31 日 19：30 之前）撤销受影响的证书。如果在此之前未完成该过程，则将导致网站或应用程序的连接丢失。 这一事态发展促使美国网络安全和基础设施安全局 （CISA） 发布了一份警报，指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。   转自Freebuf，原文链接：https://www.freebuf.com/news/407484.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称阿根廷公民信息遭到泄露。数据泄露量为500万行，售价为350美元。 知道创宇暗网雷达监测截图 黑客声称此次泄露的数据为阿根廷公民的个人信息，主要包含姓名、身份证号码、电话号码、邮箱、出生日期（大约 40%的行有此数据）等。 黑客于暗网发布的帖子截图 据悉，在2021年阿根廷全国人口身份证信息就曾遭黑客盗取对外兜售，对公民个人信息安全和国家安全造成了恶劣影响。 相关资讯链接： 阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

7月29日，安全企业Zimperium研究人员发布报告，他们发现一起针对全球Android设备的恶意活动，涉及113个国家的不同行业安卓用户。 研究者称自2022年2月以来，发现事件超过10.7万个恶意软件样本。 Telegram诱捕 攻击者利用数千个Telegram机器人，这些机器人感染并植入了能够窃取短信的恶意软件，目的是窃取一次性双因素认证密码OTP，成功绕过这一安全措施。短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。1、通过恶意广告：这种方式中，受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量，以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段，目的是让用户相信这些页面是可信的，从而下载恶意软件。 2、通过Telegram机器人：在这种方式中，Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前，机器人会要求用户提供他们的电话号码。然后，Telegram机器人使用这个电话号码生成一个新的APK文件，这使得对特定用户进行个性化跟踪或未来攻击成为可能。 Telegram bot将SMS窃取工具发送给受害者 来源：Zimperium Zimperium表示，该行动使用2600个Telegram机器人来推广各种Android APK，这些机器人由13个命令和控制（C2）服务器控制。 此次行动的大多数受害者位于印度和俄罗斯，巴西、墨西哥和美国也有大量的受害者。 谋取经济利益 媒体称，网络犯罪分子的动机主要是经济利益，他们很可能利用被感染的设备来实现身份验证和匿名化中继。Zimperium发现，该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。该网站允许访问者购买外国“虚拟”电话号码的访问权，他们可以使用这些号码进行匿名化，并对在线平台和服务进行身份验证。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1mkWb9ZgKudhSEfKoGpE3A 封面来源于网络，如有侵权请联系删除

微软表示，周二的一次 DDoS 攻击导致其 Azure 门户以及部分 Microsoft 365 和 Microsoft Purview 服务中断八小时。 微软表示，使用量意外激增导致 Azure Front Door 和 Azure 内容交付网络出现间歇性错误、峰值和超时。初步调查显示，该公司安全响应中的错误可能加剧了中断的影响。 微软表示将在 72 小时内对该事件进行初步审查，并在两周内进行最终审查，以查明问题出在哪里以及如何更好地应对。 此次事件发生不到两周前，CrowdStrike在其 Falcon 安全平台上发布了有缺陷的软件更新，导致全球 850 万台 Windows 设备发生 IT 中断。 在最初获悉该事件后，微软对网络配置进行了更改，以支持其 DDoS 缓解措施。该公司还执行了故障转移到备用网络路径。 这并不是该公司第一次处理与 DDoS 相关的中断。微软在 2023 年遭受了一系列 DDoS 攻击，这些攻击与亲俄黑客活动分子有关，其中包括一个名为“匿名苏丹”的组织。 微软表示，最初的网络配置变化在美国东部时间上午 10 点后不久缓解了大部分影响，这距离中断开始仅三个多小时。随后，一些客户报告可用性低于 100%，该公司开始推出更新的响应措施，首先是亚太地区，然后是欧洲。 在验证缓解措施成功后，这些更新已在美洲推出。 到下午，故障率已降至事故发生前的水平，并于美国东部时间下午 5 点之前宣布事故得到解决，此时距离事故发生已经过去了 9 个小时。 NexusGuard 总监 Donny Chong 在一份声明中表示：“微软的中断表明 DDoS 攻击者可以轻易对关键业务服务造成严重破坏。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p3BGK2gz-nWeNzJBXOvd6w 封面来源于网络，如有侵权请联系删除

针对软件开发人员的持续攻击活动背后的黑客展示了新的战术和策略，并将其重点扩大到 Windows、Linux 和 macOS 系统。 该攻击群被称为DEV#POPPER，与朝鲜有关，其目标人群遍布韩国、北美、欧洲和中东。 Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一篇报告中表示：“这种攻击形式是社会工程学的一种高级形式，旨在操纵个人泄露机密信息或执行他们通常不会做的事情。” DEV#POPPER 是一个活跃恶意软件活动的绰号，该活动以求职面试为幌子诱骗软件开发人员下载托管在 GitHub 上的陷阱软件。它与 Palo Alto Networks Unit 42 跟踪的名为Contagious Interview的活动有相似之处。 本月早些时候，研究人员发现针对 Windows 和 macOS 的恶意软件发布了名为 BeaverTail 的更新版本，这表明该活动的范围更广泛且跨平台。 Securonix 的攻击链文档或多或少是一致的，攻击者冒充开发人员职位的面试官，并敦促候选人下载 ZIP 存档文件以完成编码作业。 档案中有一个 npm 模块，一旦安装，就会触发混淆的 JavaScript（即 BeaverTail）的执行，该模块确定其运行的操作系统并与远程服务器建立联系以窃取感兴趣的数据。 它还能够下载下一阶段的有效载荷，包括一个名为 InvisibleFerret 的 Python 后门，旨在收集详细的系统元数据、访问存储在 Web 浏览器中的 cookie、执行命令、上传/下载文件以及记录击键和剪贴板内容。 最近的样本中添加的新功能包括使用增强混淆、AnyDesk 远程监控和管理 (RMM) 软件来实现持久性，以及对用于数据泄露的 FTP 机制的改进。此外，Python 脚本还充当运行辅助脚本的管道，该脚本负责从不同操作系统的各种网络浏览器（Google Chrome、Opera 和 Brave）窃取敏感信息。 研究人员表示：“原始 DEV#POPPER 活动的这一复杂扩展继续利用 Python 脚本执行多阶段攻击，重点是从受害者那里窃取敏感信息，但现在其功能更加强大。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5n1bi4EfPBogESvi1Y7U4A 封面来源于网络，如有侵权请联系删除

近日，eSentire威胁响应小组（TRU）发现网络犯罪分子正利用生成式人工智能（GenAI）平台的普及，通过在暗网市场销售被盗账户凭证来牟利。 据eSentire介绍，每天大约有400个GenAI账户凭证在暗网平台上交易，包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取，该软件会收集用户在互联网浏览器中输入的所有数据。 一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭，但它的存在突显了问题的严重性，被盗密钥的广告价格低至15美元。 LLM Paradise的关闭并没有遏制这一趋势，网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。 eSentire警告，这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权，包括客户数据、财务记录、知识产权和员工的个人可识别信息（PII）。 此外，针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据，这加剧了整体的威胁态势。 eSentire在其的报告中还指出了与GenAI相关的几个关键威胁，包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。 报告还提到了激进的数据收集行为和供应链风险，比如OpenAI在2023年遭遇的数据泄露事件，凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的，平均每天有200个账户在暗网上挂牌。 为了降低这些风险，公司必须实施强有力的安全措施，如使用监控、先进的多因素认证（MFA）方法和暗网监控服务。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407427.html 封面来源于网络，如有侵权请联系删除

一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。 根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过 32,000 次，但未被任何安全工具检测到。 Google Play 中的 Mandrake 应用 Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的，但在此之前已在野外活跃了至少四年。当时，研究人员估计四年期间的受害者人数达“数十万”。 今年 4 月初，卡巴斯基公司的研究人员发现了一个“可疑样本”，他们声称这是 Mandrake 的新版本，它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中，包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后，于 2024 年 3 月底被下架。 Mandrake 分几个阶段收集设备信息。首先，它收集设备数据，包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。 卡巴斯基表示，如果基于这些信息，攻击者发现受害者很有趣，他们就会运行恶意软件的主要组件，其中包含高级功能，例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。 恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如，据 Bitdefender 称，在之前的活动中，Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。 目前尚不清楚黑客如何使用他们在攻击过程中获得的信息，也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定，但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。 卡巴斯基表示，新发现表明，Mandrake 正在“不断进化，改进伪装方法，并绕过新的防御机制”。 研究人员表示，该恶意软件在 Google Play 上多年来一直未被发现，“表明攻击者的资质很高，而且在应用程序发布到市场之前对其进行的限制和检查越来越严格，这导致更复杂的威胁能够渗透到官方应用商店，使它们更难被发现”。 谷歌发言人表示，公司已经意识到这些应用程序的存在，并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击，该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Google Play 之外。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w 封面来源于网络，如有侵权请联系删除

据BlackBerry威胁情报团队报道，一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。 该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger，自 2012 年以来一直活跃，主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 在过去的一年中，该组织不断更新其基础设施，并在新的袭击中采用新的战术和技术，重点针对巴基斯坦、埃及和斯里兰卡实体，同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。 此次攻击延续了 SideWinder 对间谍和情报收集的关注，使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档，并依靠 DLL 侧载来植入恶意软件。 这些攻击中使用的恶意文件经过精心定制，看上去好像来自目标已知的组织，例如地中海的亚历山大港和红海港务局。 诱饵文档1 滥用埃及（合法）红海港务局标志的诱饵文档2 针对斯里兰卡使用僧伽罗语书写的诱饵文档3 “在我们的研究中，我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的；它们的主要目的是分散受害者的注意力，使他们无法意识到自己受到了攻击。”BlackBerry 指出。 SideWinder 使用旨在唤起强烈情绪（如恐惧和焦虑）的标题来引诱目标立即打开文档，从而分散他们对后台发生的恶意活动的注意力。 这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199)，其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档，就会访问该 URL 以获取下一阶段。 下一步，富文本格式 (RTF) 文件会获取一份文档，该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。 Shellcode 执行一系列检查以确定它是否在虚拟环境中运行，然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。 BlackBerry 的分析显示，攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C＆C) 服务器，同时继续依赖已知的 Sidewinder 域命名结构。 BlackBerry 指出：“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而，根据 SideWinder 先前的活动，我们认为此次活动的目标是间谍活动和情报收集。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg 封面来源于网络，如有侵权请联系删除