HackerNews

Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT，利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。 据悉，Patchwork组织（也称为Hangover和Dropping Elephant）被认为得到了印度当局的支持，自2009年以来一直从事网络间谍活动。 他们之前的活动主要集中在亚洲各国政府机构和科研机构，然而这次最新的行动显示了他们方法的精细化以及对获取科学研究相关的知识产权的持续兴趣。 攻击链从一封鱼叉式钓鱼邮件开始，其中包含恶意LNK文件，该文件伪装成与正在进行的中国研究项目相关的文件。 执行后，LNK文件将启动多阶段恶意软件传送过程。为避免引起怀疑，会显示良性PDF文档，同时在后台秘密下载和执行恶意EXE和DLL文件。 一份诱饵文件 资料来源：Hunting Shadow Lab 此活动中提供的主要有效载荷是BadNews恶意软件，这是一种专为隐身和持久性而设计的复杂后门。为了逃避检测，该恶意软件采用了多层混淆技术，包括加密和使用以前观察到的数字证书。 一旦激活，BadNews就会与命令和控制（C2）服务器建立安全的通信通道，使攻击者能够泄露敏感数据并发出进一步的命令。 此次行动的复杂性还体现在使用了模仿合法网站的假冒域名。 研究人员发现了属于巴基斯坦国际航空公司、Zong（巴基斯坦电信提供商）、Global News和Scandinavian Airlines网站的欺诈版本。 这些域名被用来托管其他恶意软件并促进数据泄露，利用这些实体已建立的信任。 对于组织来说，主动更新安全框架，集成当前的入侵指标（IoC），并利用高级威胁分析工具。此外，利用基于云的服务来分析可疑文件可以显着增强对此类攻击的防御。       转自E安全，原文链接：https://mp.weixin.qq.com/s/laBfNeNRX6FXMNo0zTxIKw 封面来源于网络，如有侵权请联系删除  

印度制药巨头Cipla成为了Akira勒索软件网络攻击的受害者。黑客声称从这家跨国公司窃取了70GB敏感数据，该公司在全球运营47家制造工厂，产品销往86个国家/地区。 据悉，这次攻击泄露在制药行业引发了震动，引发了行业对数据安全和患者隐私的严重担忧。 根据Akira勒索软件组织的说法，被盗信息包括广泛的敏感数据： 个人病历及处方药 内部财务信息 客户联系方式，包括电话号码和电子邮件地址 员工联系方式 据X消息，Akita在其暗网门户上分享了攻击信息，声称从Cipla窃取了70GB的数据。 这起事件发生在Akira勒索软件特别活跃的时期。上个月，该组织在一天内泄露了35个组织的信息，这是他们迄今为止最大的一次数据泄露。 这次前所未有的泄露规模，被认为是该集团在一段相对不活跃时期后，展示其正在扩大运营。 Akira自2023年第一季度首次出现以来，迅速成为最普遍的勒索软件之一，至今已影响超过350个组织。 该组织以其复杂的策略而闻名，包括使用ChaCha2008加密和各种分发方法，例如受感染的电子邮件附件和利用VPN漏洞。 Cipla泄露事件与Akira的典型作案手法一致。该组织经常采用双重勒索策略，不仅加密文件，还泄露数据以迫使受害者支付赎金。 Cipla拥有广泛的全球影响力，在药品供应链中发挥着关键作用，是网络犯罪分子的高价值目标。个人医疗记录和财务信息的潜在泄露可能对公司、员工和客户产生深远影响。 截至目前，Cipla尚未公开确认数据泄露或对勒索软件组织的说法发表评论。 如果事件得到证实，将突显出医疗和制药领域加强网络安全措施的迫切需要。 专家建议组织实施强有力的勒索软件预防策略，包括定期进行安全审计、员工培训和先进的终端保护解决方案。 随着勒索软件攻击不断演变并针对关键行业，积极的网络安全措施不容忽视。     转自E安全，原文链接：https://mp.weixin.qq.com/s/gSqEZObGeCptSz8aGciTJg 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，卡巴斯基发现，一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序，目标是一些俄国企业。 报告表明，该攻击活动开始于 2024 年 1 月，通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB 激活工具，该工具主要用来激活一些商业软件。 根据发现的激活器样本，RedLine被一种非常不寻常的方式隐藏，激活器库被 .NET Reactor 混淆，恶意代码被压缩和加密成多个层。研究人员注意到，恶意版本的激活工具在 .NET 中构建，并使用了自签名证书，而合法的 C++ 版本则使用了有效证书。 攻击者专门在讨论会计和公司的论坛上提供恶意激活工具的链接，并详细介绍了如何绕过许可证检查并能够保持更新。如同大多数激活工具一样，在安装时会要求用户关闭相应的安全保护，以此逃避安全检测，否则软件将无法正常运行。 另外，用户被要求用恶意激活工具中的techsys.dll文件替换合法的同名文件，并在执行已打补丁的软件时，通过合法的 1cv8.exe 进程加载恶意库，从而运行窃取程序。 这种方法利用的是用户的信任，而不是企业软件的漏洞。 RedLine 窃取程序以恶意软件即服务（MaaS）的形式传播，其开发者为买家提供了一次性购买或订阅的使用方式。RedLine 系列专门从指定的 C&C 服务器窃取机密数据，包括即时消息应用程序、浏览器、被入侵系统及其用户的信息。 该活动主要说明了盗版软件和各种激活程序可能潜在的危害性。 因此，为了安全起见，企业应避免使用盗版软件。       转自Freebuf，原文链接：https://www.freebuf.com/news/417408.html 封面来源于网络，如有侵权请联系删除

一个网络间谍组织被指控对南欧大型 B2B IT 服务提供商发动攻击，这是代号为“Digital Eye（数字眼行动）”的行动的一部分。 网络安全公司 SentinelOne、SentinelLabs 和 Tinexta Cyber在一份联合报告中表示，入侵行为发生在 2024 年 6 月下旬至 7 月中旬，并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。 安全研究人员亚历山大·米伦科斯基 (Aleksandar Milenkoski) 和路易吉·马蒂雷 (Luigi Martire)表示：“这些入侵可能使对手建立战略立足点并危及下游实体。” “威胁组织滥用 Visual Studio Code 和 Microsoft Azure 基础设施进行 C2 [命令和控制] 攻击，试图通过使恶意活动看起来合法来逃避检测。” 目前尚不清楚哪个黑客组织是此次攻击的幕后黑手，该组织与多个已知的黑客组织之间存在广泛的共享工具和基础设施，使得情况更加复杂。 “Digital Eye（数字眼行动）”的核心是将 Microsoft Visual Studio Code远程隧道武器化用于 C2，这是一项合法功能，可实现对端点的远程访问，使攻击者能够执行任意命令和操纵文件。 黑客使用此类公共云基础设施，部分原因在于，活动就可以融入网络防御者看到的典型流量中。此外，此类活动使用合法的可执行文件，不会被应用程序控制和防火墙规则阻止。 研究人员观察到的攻击链涉及使用SQL 注入作为初始访问载体来破坏面向互联网的应用程序和数据库服务器。代码注入是通过名为SQLmap的合法渗透测试工具完成的，该工具可自动检测和利用 SQL 注入漏洞。 成功攻击后，会部署一个基于 PHP 的 Web Shell（称为 PHPsert），使攻击者能够站稳脚跟并建立持久的远程访问。后续步骤包括侦察、凭证收集以及使用远程桌面协议 (RDP) 和传递哈希技术横向移动到网络中的其他系统。 研究人员表示：“对于传递哈希攻击，他们使用了自定义修改版的 Mimikatz。”该工具“利用被破解的 NTLM 密码哈希，无需输入用户的实际密码，即可在用户的安全上下文中执行进程。” 大量源代码重叠表明，定制工具与疑似网络间谍活动（如Soft Cell “软细胞行动”and Operation Tainted Love“爱情污点行动”）中观察到的工具来自同一来源。这些自定义 Mimikatz 修改版还包括共享代码签名证书和使用独特的自定义错误消息或混淆技术，统称为 mimCN。 研究人员指出：“mimCN 样本的长期演变和版本控制，以及留给单独操作团队的说明等显著特征，表明有共享供应商的主动维护和配置。” 另外值得注意的是依赖 SSH 和 Visual Studio Code 远程隧道进行远程命令执行，攻击者使用 GitHub 帐户进行身份验证并连接到隧道，以便通过基于浏览器的 Visual Studio Code 版本（“vscode[.]dev”）访问受感染的端点。 目前尚不清楚威胁组织是否使用新近自注册或已经被入侵的 GitHub 帐户来验证隧道身份。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HR3r6oajc1ZinB2fDuA1ww 封面来源于网络，如有侵权请联系删除

据新报告称，疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。 乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185，攻击者发送了网络钓鱼电子邮件，伪装成上周在基辅举行的合法国防会议的邀请。 该组织也称为 UNC4221，自 2022 年以来一直活跃，主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证，主要针对乌克兰军事人员。 据 MIL.CERT-UA 称，除了入侵账户之外，攻击者还选择性地发动网络攻击，以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。 乌克兰尚未将该组织归咎于某个特定国家，但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。 该组织使用知名工具来感染受害者的设备，包括 MeshAgent 和 UltraVNC（一种用于远程管理计算机系统的开源软件）。 8 月初，被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。 根据网络安全公司 MalwareBytes 的分析，MeshAgent 可以通过多种方式入侵系统，最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。 乌克兰军方和国防企业是黑客的常见目标，通常与俄罗斯有联系。7 月初，被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。 在 6 月份的一次活动中，一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队，以窃取其设备中的敏感信息。 此前，CERT-UA 还警告称，乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击，这种恶意软件可能允许攻击者远程访问受害者的设备。 技术报告：https://cert.gov.ua/article/6281632     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ELFo_NAc7u8IJvOlJgVSLg 封面来源于网络，如有侵权请联系删除

上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 俄少数民族聚居区先行测试 根据美国非营利组织战争研究所（ISW）的报告显示，此次测试主要影响了俄罗斯少数民族聚居的地区，包括车臣、达吉斯坦和印古什。 互联网监测组织NetBlocks的数据显示，达吉斯坦的互联网中断持续了近24小时。 在此期间，用户无法访问许多国内外应用和网站，包括YouTube、谷歌、WhatsApp和Telegram等通讯应用，俄罗斯互联网巨头Yandex的一些服务也无法使用。据当地媒体报道，即使通过VPN也无法访问这些服务。 12月7日，位于北高加索地区的一家俄罗斯互联网服务提供商表示，其已经知晓用户关于互联网访问的投诉，但对此情况无能为力。 俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次“主权互联网”测试的目标，是检验俄罗斯的基础设施在遭遇外部蓄意干扰时，是否能够“维持主要国外和国内服务的运行”。 据战争研究所分析，Roskomnadzor可能有意选择在穆斯林占多数且历史上存在不稳定的地区进行“主权互联网”测试。这是为了确保在不稳定局势下，可以迅速断开这些地区与某些服务（例如Telegram）的连接。此前，俄罗斯在巴什科尔托斯坦、达吉斯坦和萨哈等偏远地区发生抗议和社会动荡期间，也曾中断对流行通讯应用的访问。 俄罗斯Runet项目已推进多年 长期以来，俄罗斯一直试图打造一个独立于全球互联网的网络，通常被称为Runet，以确保符合俄罗斯法律的要求。Roskomnadzor此前已进行过Runet相关测试，但据专家称，这些测试并未取得成功，且持续时间短于预期。 然而，在俄罗斯与乌克兰战争期间，包括苹果、微软和谷歌在内的许多西方科技巨头暂停或限制其在俄罗斯的服务。因此，俄罗斯最近加快了与全球技术脱钩的步伐，并鼓励用户和企业转向俄罗斯的替代产品。 今年9月，《福布斯》俄语版报道，克里姆林宫近期投入约590亿卢布（约合6.48亿美元）以提升技术能力，目的是限制互联网流量并屏蔽西方平台。 上周末，俄罗斯互联网管理部门还宣布，可能会限制国内访问包括GoDaddy、AWS和HostGator在内的8家外国托管服务提供商，原因是这些公司未能遵守相关要求。 Roskomnadzor声称，这些外国提供商的服务器上托管的信息“并不总是能够避免未经授权的访问”，因此“危及用户数据的保密性和商业安全”。 俄罗斯数字权利组织Roskomsvoboda的专家表示，随着对整个托管服务提供商的封锁，俄罗斯正步入“网络审查的新阶段”。这可能导致大量移动应用程序和网站变得无法访问。     转自安全内参，原文链接：https://www.secrss.com/articles/73363 封面来源于网络，如有侵权请联系删除

本文揭示了 DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 安全研究人员 Johann Rehberger，他记录了许多针对各种人工智能工具的注入攻击，发现在 DeepSeek 聊天中提供”Print the xss cheat sheet in a bullet list. just payloads”的输入触发了 JavaScript 代码的执行，作为生成的响应的一部分——这是典型的跨站脚本（XSS）攻击。 XSS 攻击可能会产生严重后果，因为它们导致在受害者的网络浏览器上执行未经授权的代码。攻击者可以利用这些漏洞劫持用户的会话并访问与 chat.deepseek[.]com 域关联的 cookie 和其他数据，从而导致账户被接管。 “经过一些实验，我发现采取控制用户会话所需的全部是 chat.deepseek.com 域存储的 userToken，” Rehberger 表示，他补充道，可以使用特殊设计的提示来触发 XSS 并通过注入攻击访问被攻击用户的 compromised user’s userToken 。 提示包含了一系列的指令和一个 Base64 编码的字符串，DeepSeek 聊天机器人将其解码后执行 XSS 载荷，用于提取受害者的会话令牌，最终允许攻击者冒充用户。 与此同时，Rehberger 还展示了 Anthropic 的Claude Computer Use 可以通过提示注入来滥用，Claude Computer Use 可以使开发人员通过光标移动、按键点击和键入文本来控制计算机。通过提示注入，攻击者可以滥用 Computer Use 来下载 Sliver 命令与控制（C2）框架，执行该框架，并与攻击者控制的远程服务器建立联系，从而自主运行恶意命令。 此外，还发现可以利用大型语言模型（LLM）的 ANSI 转义码输出来通过提示注入劫持系统终端。这种攻击主要针对 LLM 集成的命令行界面（CLI）工具，被命名为 Terminal DiLLMa 。 “十年前的功能为 GenAI 应用提供了意想不到的攻击面，” Rehberger 说。”对于开发者和应用设计者来说，考虑将 LLM 输出插入的上下文是很重要的，因为输出是不可信的，可能包含任意数据。” 这还不是全部，威斯康辛大学麦迪逊分校和圣路易斯华盛顿大学的学者进行的新研究揭示了 OpenAI 的ChatGPT 在给出的附加标记格式的外部图像链接渲染的问题，这些链接可能涉及淫秽和暴力内容，以一个普通的善意目标为借口。 此外，还发现通过提示注入，可以间接调用 ChatGPT 插件，而无需用户确认，甚至可以绕过 OpenAI 设定的限制，以防止渲染来自危险链接的内容，将用户的聊天记录泄露到由攻击者控制的服务器上。     转自Freebuf，原文链接：https://www.freebuf.com/news/417305.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商，包括 Akamai、Cloudflare、Fastly 和 Imperva，并极有可能导致拒绝服务（DoS）攻击、勒索软件攻击，甚至是全面的应用程序入侵。 研究人员发现，漏洞导致的错误配置影响了涉及财富1000强公司相关的14多万个域。其中，3.6万个后端服务器有 8000 个域名与之相连，这些对潜在的攻击者开放，容易受到 DDoS 攻击。 根据分析，有近 40% 的 “财富 100 强 “企业和 20%  “财富 1000 强 “企业都受到了影响，这凸显了错误配置的普遍性。 一些全球知名企业，包括摩根大通、Visa、英特尔、伯克希尔·哈撒韦和联合健康等，都被发现受到了影响。比如，例如，研究团队的发现迅速披露了直接影响摩根大通主网站 chase.com 的问题；对伯克希尔·哈撒韦子公司 BHHC 拥有的一个网域进行的 20 秒钟拒绝服务攻击试验，展示了该漏洞的严重性。 根据 Zafran 的技术分析，缺陷在于现今 WAF 提供商的双重功能，它们也作为内容交付网络 (CDN) 运行，以增强网络可靠性和缓存。当后端服务器不能正确检查流量时，这种架构设计就会出现漏洞，让攻击者绕过 WAF 保护，直接攻击后端基础设施。比如，攻击者可以通过将外部域映射到后端 IP 地址来利用这一漏洞。 这一发现凸显了 WAF/CDN 解决方案在设计和实施过程中存在的系统性缺陷。 有效的 WAF 通常是面向公众的网络应用程序的主要或唯一防御层，因此这种错误配置尤其令人担忧。 最近的趋势表明，攻击者越来越多地瞄准配置不佳的网络应用程序。  此外，针对暴露在外的网络应用程序的云勒索软件攻击也越来越常见。 此类攻击造成的经济损失通常十分惊人，例如，一次持续一小时的 DDoS 攻击会给金融组织造成大约 180 万美元的损失，而类似的宕机时间给大型披萨连锁店造成的损失可能高达 190 万美元。 缓解措施 为了防范与这种 WAF 错误配置相关的风险，Zafran 概述了几种缓解策略： IP 白名单（源 IP 访问控制列表）： 只允许 CDN 提供商的 IP 地址访问后端服务器。 这种方法虽然简单，但并非万无一失； 自定义标头中的预共享密钥： 使用带有预共享密钥的自定义 HTTP 标头来验证流量。 虽然短期内有效，但这需要定期轮换密钥； 双向TLS（mTLS）：采用客户端认证来验证服务器和 CDN。 这是最安全的方法，但需要专门的工具，可能并非所有常用的负载均衡器都支持这些工具。 Zafran 从 2024 年 8 月 23 日开始启动了为期 90 天的协调披露流程，以通知受影响的公司。该团队向 Visa、英特尔、摩根大通、伯克希尔·哈撒韦公司的 BHHC 和联合健康报告了该漏洞。值得注意的是，摩根大通和联合健康已经解决了这个问题，防止了潜在的漏洞利用。     转自Freebuf，原文链接：https://www.freebuf.com/news/417317.html 封面来源于网络，如有侵权请联系删除

Termite 勒索软件团伙正式宣称对软件即服务（SaaS）提供商 Blue Yonder 的11 月攻击负责。Blue Yonder（前身为 JDA Software，作为 Panasonic 子公司运营）是总部位于亚利桑那州的供应链软件供应商，为零售商、制造商和物流供应商提供全球服务。 该公司拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、 DHL 、3M 、Ace Hardware 、宝洁、嘉士伯、多尔、沃尔格林、西部数据和 7-Eleven 等其他知名公司。 BleepingComputer 此前曾听说 Termite 是对 Blue Yonder 进行攻击的幕后黑手，但尚无独立证实。此事件导致该公司软件的客户遭遇故障浪潮，包括美国咖啡连锁店星巴克、英国莫里森和英国 Sainsbury’s 超市链，原因是 Blue Yonder 托管环境的服务受到干扰。 星巴克表示，在勒索软件攻击影响跨越 10000 家门店的员工工作安排跟踪软件后，他们不得不手动支付咖啡师的工资。法国钢笔制造商 BIC 也因出货延迟而受到影响，而莫里森透露这一事件对其新鲜食品的仓库管理系统有所影响。 根据该公司官方的安全事件追踪页面上于周末新增的更新，Blue Yonder 已经重新上线一些受影响的客户，并正在与外部网络安全专家合作，帮助其他客户恢复正常的业务运营。 一周前，Blue Yonder 表示，其团队正在“日以继夜地努力应对此事件，并继续取得进展”。虽然该公司尚未透露有多少客户受到影响，攻击者是否从其受损系统中窃取了任何数据，但 Termitr 勒索软件团伙现在声称对此次攻击负责，并称他们窃取了 680GB 的文件。 “我们的团队获得了 680GB 的数据，如数据库转储、用于未来攻击的电子邮件列表（超过 16000 个）、文档（超过 200000 份）、报告和保险文件”，威胁行为者在其泄漏网站上声称。 Termitr 是一个新兴的勒索软件行动，根据威胁情报公司 Cyjax 的说法，该行动于 10 月中旬出现，并在其暗网门户上列出了来自世界各行各业的七个受害者，包括 Blue Yonder 在内。 与其他勒索软件团伙一样，这个网络犯罪团伙从事数据窃取、勒索和加密攻击。根据趋势科技的说法，他们正在使用在 2021 年9 月泄漏的 Babuk 加密程序的一个版本，将在受害者的加密系统上放置一个名为“How To Restore Your Files.txt”的赎金提示。 趋势科技还表示，由于存在代码执行缺陷，Termitr 的勒索软件加密程序仍然处于未完善状态，可能会过早终止。 Blue Yonder 的一位发言人表示，该公司正在调查勒索软件窃取数据的指控。“遭受勒索软件攻击后，Blue Yonder 与外部网络安全公司合作，加强了防御和取证协议。我们已经通知了受运营干扰影响的客户，并在整个恢复过程中与他们合作。” “我们知道有一家未经授权的第三方声称从我们的系统中获取了某些信息。我们正在与外部网络安全专家共同努力解决这些指控。调查仍在进行中。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417312.html 封面来源于网络，如有侵权请联系删除

领先的心脏外科医疗设备制造商 Artivion 披露了 11 月 21 日的勒索软件攻击，该攻击扰乱了其部分业务并迫使其关闭部分系统。 该公司总部位于亚特兰大，在全球拥有 1,250 多名员工，在 100 多个国家设有销售代表。该公司还在佐治亚州亚特兰大、德克萨斯州奥斯汀和德国黑欣根设有制造工厂。 该公司在周一向美国证券交易委员会 (SEC) 提交的 8-K 文件中透露：“Artivion 的应对措施包括关闭某些系统、启动调查以及聘请外部顾问（包括法律、网络安全和取证专业人士）来评估、控制和补救事件。” 虽然 Artivion 在其提交给美国证券交易委员会的文件中没有直接提到勒索软件，但它披露攻击者加密了其部分系统并从受感染的系统中窃取了数据。 该公司表示：“此次事件涉及文件的获取和加密。公司正在努力尽快安全地恢复系统，并评估任何通知义务。” 该公司补充说，公司运营、订单处理和运输中断问题已基本得到解决，保险将承担与事件响应相关的费用。然而，Artivion 认为，它将产生保险未涵盖的额外费用。 尽管尚无勒索软件组织声称对此次攻击负责，但如果威胁组织的赎金要求在未来几天或几周内得不到满足，这种情况就有可能发生。 最近几周，美国医疗保健行业的其他组织也遭遇了勒索软件攻击，BianLian 网络犯罪团伙声称波士顿儿童健康医生 (BCHP) 遭受了网络攻击，并威胁称如果不支付赎金，他们就会泄露被盗文件。勒索软件攻击还迫使 UMC 医疗系统在 9 月份转移了部分患者。 本月初，安娜雅克医院证实，去年圣诞节遭受的勒索软件攻击泄露了超过 310,000 名患者的敏感健康数据。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JICJ216PuzgFOfw9BSpclw 封面来源于网络，如有侵权请联系删除

Radiant Capital 表示，朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。 在 Mandiant 网络安全专家的协助下，对该事件进行了调查，并最终确定了攻击原因，他们表示，此次攻击是由朝鲜黑客组织 Citrine Sleet（又名“UNC4736”和“AppleJeus”）发起的。 Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。 该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性，并在社区驱动的系统下运行，使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。 2024 年 10 月 16 日，Radiant宣布其遭受入侵，事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。 黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。 此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。 矛头指向朝鲜黑客组织 在 Mandiant 的协助下对此次攻击进行内部调查后，Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。 攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。 该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，它在受感染的设备上建立了后门。 攻击中使用的诱饵 PDF 文件，来源：Radiant Radiant 表示，此次攻击设计精良，执行完美，绕过了所有现有的安全措施。 Radiant 解释说：“这种欺骗行为进行得如此天衣无缝，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP，攻击者仍然能够入侵多个开发者设备。” “前端界面显示良性交易数据，而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见。” Mandiant 高度确信，此次攻击是由 UNC4736 发起的，该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。 鉴于其安全措施被成功绕过，Radiant强调需要更强大的设备级解决方案来增强交易安全性。 至于被盗资金，该平台表示正在与美国执法部门和zeroShadow合作，追回尽可能多的资金。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig 封面来源于网络，如有侵权请联系删除  

上周黑客声称入侵了德勤英国分公司。德勤否认数据泄露，称与德勤网络之外的单个客户系统有关，德勤系统没有受到影响。 12月4日，勒索软件组织Brain Cipher宣称已入侵全球四大会计师事务所之一的德勤英国公司（Deloitte UK），并窃取了超过1TB的敏感数据，威胁要在本周早些时候公布其窃取的数据。 尽管有这些指控，德勤的一位发言人告诉媒体Infosecurity，其调查显示这些指控与德勤网络之外的单个客户的系统有关。“德勤系统没有受到影响，”发言人说。 Brain Cipher称给该公司10天的时间至12月15日，以回应威胁。 在其声明中，勒索软件团伙表示，“大公司并不总是能很好地完成工作。”帖子还表示，它将揭示德勤如何“没有遵守信息安全的‘基本点’”。 根据报告，Brain Cipher从事多管齐下的敲诈行为，托管了一个基于TOR的数据泄露网站。该威胁行为者的载荷基于LockBit 3.0。 2024年6月，Brain Cipher声称入侵印尼临时国家数据中心（PDNS），并破坏了该国的服务。团伙最初要求PDNS支付800万美元的赎金，但后来免费发布了解密器。 为什么伪造网络攻击索赔 尽管德勤已经与这次攻击划清界限，但这并不意味着处于勒索软件索赔目标组织不受影响。 “不影响目标组织系统并不意味着没有影响。”KnowBe4的首席安全意识倡导者Javvad Malik告诉Infosecurity。“仅仅暗示数据泄露就可能损害声誉，影响股价，或引发昂贵且不必要的反应。因此，即使是空洞的威胁，也和在拥挤的剧院里喊‘着火’一样具有同样的分量。” 德勤是一家私有公司，只有合伙人才能拥有公司的股权。关于为什么此类组织可能会捏造声明，Secureworks Counter Threat Unit威胁情报总监Rafe Pilling表示，网络犯罪分子这样做的原因有很多。 “众所周知，犯罪分子和国家支持的威胁行为者都会获取数据——可能来自知名品牌的客户或供应商——然后将其宣传为该大品牌的泄露，而不是分享数据的真正来源。”他说。 “这让他们有了更高的知名度，看起来更像是一个威胁。这种策略可能特别吸引那些希望在竞争激烈的犯罪环境中树立声誉的小型网络犯罪集团。” Malik对此表示赞同，并补充说：“这可能是为了提高犯罪团伙的声誉，试图获得恶名，灌输恐惧，甚至可能引诱受害者采取不明智的行动，比如为他们不需要的解密密钥付费。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

美国国会下属监督机构政府问责局（GAO）发布了一份新报告，指出一些联邦机构未能在法律规定的截止日期前，完成物联网网络安全相关要求。 根据2020年出台的《物联网网络安全改进法案》要求，美国国家标准技术研究院（NIST）和管理与预算办公室（OMB）需制定安全采购物联网设备的相关指南。这些设备通常是连接到建筑、车辆或其他基础设施的联网技术和设备。该法案还要求23个联邦民事机构实施物联网网络安全要求，并由OMB建立豁免流程。 图：《物联网网络安全改进法案》的要求 根据GAO的报告，有3个机构表示未能在9月30日前完成物联网设备的清点工作，6个机构未提供完成清点工作的具体时间框架。此外，小企业管理局声称未使用任何物联网设备，因此无需开展清点工作。 GAO指出：“在OMB和各机构确保满足这些要求之前，这些机构将无法有效评估风险，也无法制定适当的安全要求或采取其他缓解措施。” 美联邦物联网威胁态势严峻 GAO强调，联邦机构对物联网技术的应用目的广泛，包括控制设备或设施的访问权限，以及监控系统和设备。物联网技术的广泛使用进一步凸显了适当网络安全协议的重要性，尤其是在物联网面临显著网络威胁的情况下。 司法部在2022年的报告中提到，一个俄罗斯的僵尸网络瞄准了大量物联网及运营技术设备，包括路由器、流媒体设备、时钟以及工业控制系统。今年早些时候，美国网络安全与基础设施安全局、国家安全局及联邦调查局联合评估认为，一个外国支持的网络团体已入侵了多个通信、能源、交通运输和水务组织的IT网络。 GAO写道：“这些技术面临严峻的网络威胁，这可能对组织运营与资产、个人隐私、关键基础设施乃至国家安全造成不利影响。随着网络威胁的日益复杂化，加强物联网与运营技术产品和服务的网络安全管理变得愈发紧迫。这些威胁包括蓄意攻击、环境干扰以及设备故障，可能危及美国的国家和经济安全利益。” 应尽快完成清点工作，以便开展风险评估 截至目前，在23个联邦民事机构中，只有国务院、财政部和核管理委员会完成了物联网设备清点工作。10个机构表示计划在2024财年结束前完成清点，另有3个机构计划在2025财年达成清点要求。 GAO建议，OMB应核实各机构报告的物联网网络安全豁免情况。6个机构获得了部分物联网豁免，但后续沟通显示，其中5个机构表示这些豁免事项不应被报告。在这5个机构中，4个已纠正了其豁免事项，1个取消了豁免。 此外，GAO建议以下机构应指示其首席信息官按时完成物联网设备的清点工作：教育部、卫生与公众服务部（HHS）、退伍军人事务部、劳工部、人事管理局、环境保护署、总务管理局、社会保障管理局以及美国国家航空航天局。同时，GAO建议HHS部长指示其首席信息官确保授予的物联网豁免符合OMB的相关要求。     转自安全内参，原文链接：https://www.secrss.com/articles/73287 封面来源于网络，如有侵权请联系删除

罗马尼亚的选举系统遭受了超过 85,000 次攻击，在总统选举前，俄罗斯黑客论坛上发布了泄露的凭证。 罗马尼亚情报局透露，该国选举系统遭受了超过 85000 次网络攻击。 威胁者获取了与选举相关网站的凭证，然后在总统选举前几天将其泄露在俄罗斯网络犯罪论坛上。 “情报部门还称，罗马尼亚官方选举网站的访问数据被公布在俄罗斯网络犯罪平台上。”路透社称：“这些访问数据可能是通过针对合法用户或利用合法培训服务器获取的。”路透社称，“该机构补充说，它已经发现了超过 85,000 次旨在利用系统漏洞的网络攻击。” 莫斯科否认对罗马尼亚选举系统发动过任何攻击。 罗马尼亚情报部门在一份解密文件中报告说：“攻击仍在继续，包括在选举日和选举后的当晚。攻击活动的运作模式和规模使我们得出结论，攻击者拥有攻击国家特有的大量资源。” 罗马尼亚安全部门的解密文件显示，亲俄总统候选人卡林-乔治斯库（Calin Georgescu）通过协调账户和付费广告在 TikTok 上进行了 “积极 ”的宣传。 在 11 月 24 日罗马尼亚总统大选前，卡林-杰奥尔杰斯库（Calin Georgescu）的民调起初仅为个位数，但后来却一举获胜，这引起了人们的怀疑。 2024 年 12 月 6 日，罗马尼亚宪法法院援引《宪法》第 146（f）条，出于对公平性和合法性的担忧，一致宣布整个总统选举过程无效。该废止令既影响了第 756/2024 号政府决定确定的选举日期，也影响了第 1061/2024 号政府决定批准的实施日程。法院下令全面重启选举进程，要求政府确定新的选举日期和相应的行动计划。该裁决是最终裁决，具有约束力，并将在《政府公报》上公布。 罗马尼亚情报机构还警告说，该国的选举系统仍然很脆弱，威胁者可能会再次入侵这些系统。 Bleeping Computer 透露，威胁分子从超过 33 个国家实施了 SQL 注入和 XSS 攻击。另一份报告揭露了一场影响活动，100 多名拥有 800 多万粉丝的罗马尼亚 TikTok 影响者被收买为亲俄候选人卡林-乔治斯库（Calin Georgescu）做宣传，每 2 万名粉丝可获得 100 多美元。 罗马尼亚对外情报局（SIE）认为，俄罗斯瞄准罗马尼亚是其影响东欧民主选举的广泛努力的一部分。由于支持北约和乌克兰，莫斯科将罗马尼亚视为 “敌国”。这些影响行动包括宣传、虚假信息和支持欧元怀疑论议程，旨在塑造对俄罗斯有利的公众舆论。虽然没有明确证实俄罗斯在罗马尼亚最近的袭击和活动中扮演了直接角色，但分析强调了俄罗斯在其他地方干预选举的历史。     转自安全客，原文链接：https://www.anquanke.com/post/id/302538 封面来源于网络，如有侵权请联系删除

Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织，该组织一直在破坏关键基础设施环境并篡改系统控制。 Z-Pentest 组织成立仅两个月，但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击，其中包括最近未经证实的事件，威胁组织声称破坏了美国油井系统。 Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”（也称为“俄罗斯重生网络军”）的活动，该组织除了声称今年还至少八次入侵了美国水利系统。 这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由，其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。 这两个俄罗斯组织都喜欢制造戏剧效果。例如，俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后，其成员篡改操作控制的屏幕录像（以下为德克萨斯州视频截图）。 德克萨斯州斯坦顿供水系统遭黑客攻击 今年 1 月，人民网络军发动攻击，导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出，成为头条新闻。 即使在通常不安全的关键基础设施领域中，供水和污水处理系统也被认为特别脆弱。 Z-Pentest 可能是新出现的威胁组织，10 月份才首次亮相，但在这个塞尔维亚威胁组织运作的两个月内，它已经声称至少 10 次破坏，并且在每次事件中都发布了成员篡改系统设置的视频。 根据 Cyble 的报告，在过去一周内，Z-Pentest 的活动不断升级，包括“破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统”。 一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图，显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。 目前还不清楚该石油设施位于何处，但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。 黑客能够对关键基础设施造成多大的破坏？ 虽然黑客似乎能够访问敏感环境，但 Cyble 指出，目前尚不清楚他们能造成多大的破坏。研究人员表示，可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能，但威胁组织可以访问此类环境这一事实仍然令人担忧”。 Cyble 还指出，近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出，“在发生更大规模的入侵和攻击之前，暗网上就有能源网络访问凭证出售，这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。” Cyble 表示，“应该认真对待 Z-Pentest，因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。” 研究人员还针对运营技术和关键基础设施环境提出了安全建议，指出它们通常无法承受停机，并且通常拥有无法修补的报废设备。 技术报告：https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O1b9dZPahwn4ivsZz7ug9A 封面来源于网络，如有侵权请联系删除

Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。 DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。 DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。 它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。 “DroidBot是一种高级的Android远程访问木马（RAT）……具有通常与间谍软件相关的特性，能够拦截用户交互和窃取凭证。”Cleafy报告指出。 该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。 Cleafy强调，“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合，突显了DroidBot的复杂性和适应性。” 与传统的恶意软件活动不同，DroidBot作为恶意软件即服务（MaaS）运营，允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符，一个Telegram频道宣传DroidBot的功能，每月3000美元的费用。 宣传新Android机器人的论坛帖子 来源：Cleafy “DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说，并强调了这种方法提供的可扩展性和覆盖范围。 DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括： 键盘记录：捕获敏感输入，例如登录凭据。 覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。 类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。 远程控制：使攻击者能够模拟用户交互并操纵设备。 值得注意的是，DroidBot将MQTT用于其命令和控制（C2）基础设施，这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。 Cleafy的分析表明，DroidBot仍在积极开发中，具有占位符函数和不同级别的样本混淆。 调试字符串和恶意软件配置等证据表明，其开发人员是土耳其语使用者，针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。 DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。 正如Cleafy警告的那样，“真正的担忧点在于这种新的分发和合作模式，这将把攻击面的监控提升到一个全新的水平。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除  

趋势科技在一篇分析报告中表示： “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备，使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。” Earth Minotaur 攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。 MOONSHINE于 2019 年 9 月首次曝光，公民实验室将其使用归咎于其追踪的名为POISON CARP 的运营商，该运营商与威胁组织Earth Empusa 和 Evil Eye有重叠。 这是一种基于 Android 的漏洞利用工具包，已知利用各种 Chrome 浏览器漏洞来部署有效载荷，从而窃取受感染设备的敏感数据。 具体来说，包含针对各种应用程序的代码，例如 Google Chrome、Naver 以及嵌入应用内浏览器的即时通讯应用程序（例如 LINE、QQ、微信和 Zalo）。 根据趋势科技的说法，Earth Minotaur 与 Earth Empusa 没有直接联系。威胁组织使用升级版的 MOONSHINE 渗透受害者设备，随后用 DarkNimbus 感染它们。 新变种增加了漏洞库CVE-2020-6418，这是 V8 JavaScript 引擎中的类型混淆漏洞，在有报道称该漏洞已被用作0day漏洞武器后，谷歌于 2020 年 2 月对其进行了修补。 Earth Minotaur的攻击链 研究人员表示：“Earth Minotaur 通过即时通讯应用发送精心设计的消息，诱使受害者点击嵌入的恶意链接。他们在聊天中伪装成不同的角色，以提高社交工程攻击的成功率。” 这些虚假链接指向至少 55 个 MOONSHINE 漏洞工具包服务器之一，这些服务器负责在目标设备上安装 DarkNimbus 后门。 为了巧妙欺骗，这些 URL 伪装成看似无害的链接。 趋势科技表示：“当受害者点击攻击链接并被重定向到漏洞攻击包服务器时，它会根据嵌入的设置做出反应。攻击结束后，服务器会将受害者重定向到伪装的合法链接，以防止受害者注意到任何异常活动。” MOONSHINE 漏洞利用工具包的验证流程 当基于 Chromium 的浏览器不易受到 MOONSHINE 支持的任何漏洞攻击时，该工具包服务器被配置为返回一个钓鱼页面，警告用户应用内浏览器（名为XWalk的 Android WebView 的定制版本）已过期，需要点击提供的下载链接进行更新。 这会导致浏览器引擎降级攻击，从而允许威胁组织利用未修补的安全漏洞来利用 MOONSHINE 框架。 成功的攻击会导致 XWalk 的木马版本植入 Android 设备并取代应用程序中的合法版本，最终为 DarkNimbus 的执行铺平道路。 该后门据信自 2018 年以来就已开发并积极更新，它使用 XMPP 协议与攻击者控制的服务器进行通信，并支持详尽的命令列表来获取有价值的信息，包括设备元数据、屏幕截图、浏览器书签、电话通话记录、联系人、短信、地理位置、文件、剪贴板内容和已安装应用程序的列表。 它还能够执行 shell 命令、录制电话、拍照，并滥用 Android 的辅助服务权限来收集来自 DingTalk、MOMO、QQ、Skype、TalkBox、Voxer、微信和 WhatsApp 的消息。 最后但同样重要的是，它可以从受感染的手机上自行卸载。 MOONSHINE 漏洞攻击包所针对的漏洞和浏览器版本 趋势科技表示，它还检测到了 Windows 版本的 DarkNimbus，该版本可能是在 2019 年 7 月至 10 月期间制作的，但直到一年多后的 2020 年 12 月才开始使用。 它缺少 Android 版本的许多功能，但包含各种命令来收集系统信息、已安装应用程序的列表、击键、剪贴板数据、已保存的凭据和来自网络浏览器的历史记录，以及读取和上传文件内容。 尽管目前尚不清楚Earth Minotaur的具体起源，但观察到的感染链的多样性，加上功能强大的恶意软件工具，表明这是一个复杂的威胁。 趋势科技推测： “MOONSHINE 是一个仍在开发中的工具包，并已与多个威胁行为者共享，包括 Earth Minotaur、POISON CARP、UNC5221等。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CpvqeklX_SUGfSDV2pbWlw 封面来源于网络，如有侵权请联系删除

英国国家犯罪局 (NCA) 宣布，一项名为“Destabilize”的联合执法行动摧毁了俄罗斯非法洗钱和现金运送网络以及与勒索软件、毒品和间谍活动有关的地下加密货币交易所。 NCA 领导的行动揭露了 Smart 集团和 TGR 集团这两个非法金融网络，这两个网络帮助俄罗斯精英规避国际制裁，并支持俄罗斯网络犯罪分子洗白非法利润。Smart 网络还被用来资助俄罗斯的间谍活动。 美国财政部外国资产控制办公室 (OFAC) 还制裁了与 TGR 集团有关的五名个人和四家实体。NCA 的国际合作伙伴还逮捕了第七名嫌疑人，是一名全球洗钱协助者。 NCA 表示：“NCA 协调的活动迄今已逮捕 84 人，其中许多人已服刑，并缴获了超过 2000 万英镑（3500 万美元）的现金和加密货币。” 复杂的犯罪网络在一个国家收集资金，然后在另一个国家提供等值资金，通常是通过将加密货币兑换成现金。这简化了西方犯罪集团产生的现金流动，并帮助寡头绕过制裁。 英国是这项活动的主要中心。数十亿美元的洗钱网络以一种此前不为当局或监管机构所知的方式运作，并隐藏在社区中。 调查人员发现全国各地大规模的货币兑换。街头现金交易之后，几乎立即出现了等值加密货币的转移。Smart 和 TGR 与俄罗斯金融业联系紧密，其全球影响力遍及 30 多个国家。 “我们首次能够找出俄罗斯精英、加密货币富豪网络犯罪分子和英国街头贩毒团伙之间的联系。将他们联系在一起的线索——Smart 和 TGR 的联合力量——直到现在才被发现。”NCA 运营总监 Rob Jones 表示。 “NCA及其合作伙伴已经从各个层面打击了这一犯罪活动。” Smart 集团由俄罗斯洗钱者 Ekaterina Zhdanova 领导。她指挥一家位于伦敦的现金快递公司，洗钱金额超过 1900 万美元。她还帮助勒索软件受害者以加密货币形式向 Ryuk 勒索软件集团支付超过 230 万美元疑似赎金，并与 TGR 成员合作转移了超过 200 万美元。 TGR 由乌克兰人乔治·罗西经营。该集团涉嫌隐瞒将受制裁的俄罗斯国有媒体组织今日俄罗斯（RT）的资金转移出境，以支持一家俄语媒体组织在英国的活动。 TGR 帮助将非法金融计划纳入全球金融体系，包括洗钱、未注册的现金和加密货币交易以及预付信用卡服务。其目的是掩盖资金来源。 NCA 表示：“Smart 和 TGR 的加密地址显示，他们经常接触 Garantex，这是一项加密货币交易服务，于 2022 年受到英国和美国的制裁。Garantex 与武器零部件交易有关。 ” OFAC 还制裁了拉脱维亚国民 Andrejs Bradens，他与多家 TGR 集团公司有联系，以及 Zhdanova 的两家关联公司：Khadzi-Murat Dalgatovich Magomedov 和 Nikita Vladimirovich Krasnov。 在其中一起案件中，NCA 和国际合作伙伴逮捕了一系列与谢缅·库克索夫及其同伙有关的信使，据信他们经营着一家地下加密货币交易所。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/2MEWWskREW-4GldVb0tRNg 封面来源于网络，如有侵权请联系删除

备份、恢复和数据管理解决方案的著名提供商 Veeam Software 发布了一个安全更新，以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞有可能使经过验证的攻击者执行恶意代码，未经授权访问敏感信息，并破坏连接系统的完整性。 其中最严重的漏洞 CVE-2024-40717 的 CVSS v3.1 得分为 8.8，表示严重程度较高。该漏洞可使攻击者以提升的权限执行任意代码，从而可能导致整个系统被入侵。此更新解决的其他漏洞包括： CVE-2024-42451： 允許存取以人類可讀格式儲存的憑證。 CVE-2024-42452：允許以提升的權限遠端上載檔案至連接的 ESXi 主機。 CVE-2024-42453: 允許控制和修改連接的虛擬基礎結構主機。 CVE-2024-42455: 助長不安全的反序列化，可能導致檔案刪除。 CVE-2024-42456： 授予访问特权方法和控制关键服务的权限。 CVE-2024-42457：通过远程管理界面暴露已保存的凭证。 CVE-2024-45204： 利用凭证处理权限不足，可能导致 NTLM 哈希值泄漏。 另一个漏洞 CVE-2024-45207 影响 Microsoft Windows 的 Veeam Agent。当未受信任用户可写的目录被添加到 PATH 环境变量时，利用该漏洞可实现 DLL 注入。虽然默认的 Windows PATH 不包括此类目录，但在错误配置的环境中，风险仍然很大。 Veeam 已在 Veeam Backup & Replication 12.3（构建 12.3.0.310）和 Veeam Agent for Microsoft Windows 6.3（构建 6.3.0.177）中修复了这些漏洞，并敦促所有用户立即升级到该版本。作为临时缓解措施，Veeam 建议从备份服务器上的 “用户和角色 ”设置中删除任何不受信任或不必要的用户。 强烈建议依赖 Veeam Backup & Replication 的组织立即采取行动，保护其关键数据和基础设施。     转自安全客，原文链接：https://www.anquanke.com/post/id/302459 封面来源于网络，如有侵权请联系删除