HackerNews

一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击，将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%，让研究人员能够提升权限或逃离容器。 该发现来自奥地利格拉茨技术大学的一组研究人员，他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2（最新版本）进行攻击，显示出很高的通用性。 此外，此次攻击可与所有现代内核防御措施（如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR)）配合使用。 研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。同时，发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。 SLUBStick 详细信息 Linux 内核高效且安全地管理内存的一种方法是，为不同类型的数据结构分配和取消分配内存块（称为“slab”）。 此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构，这称为跨缓存攻击。然而，这些攻击大约有 40% 的时间是有效的，并且通常迟早会导致系统崩溃。 SLUBStick 利用堆漏洞（例如双重释放、用户释放后或越界写入）来操纵内存分配过程。 研究人员实验中成功利用的 CVE，来源：stefangast.eu 接下来，它使用定时侧通道来确定内存块分配/释放的确切时刻，从而允许攻击者预测和控制内存重用。 使用这些时间信息可将跨更改利用的成功率提高到 99%，从而使 SLUBStick 非常实用。 测量成功率，来源：stefangast.eu 将堆漏洞转换为任意内存读写原语分为三个步骤： 释放特定的内存块并等待内核重新使用它们。 以可控的方式重新分配这些块，确保它们能够重新用于页表等关键数据结构。 一旦回收，攻击者就会覆盖页表条目，获得读取和写入任何内存位置的能力。 篡改数据，来源：stefangast.eu 想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库中找到它们。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PpXosWa7BfbqqcxYzcLwhA 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

以National Public Data（国家公共数据）名义运营的 Jerico Pictures Inc. 在 4 月份的一次数据泄露事件中泄露了近 30 亿人的个人信息。近期受害者提起了集体诉讼。 据彭博社报道，“4 月 8 日，某黑客在暗网论坛上宣布出售名为“National Public Data（国家公共数据）”的数据库，涉及29亿个人的个人数据，包括姓名、住址、亲属信息以及其他个人信息等。黑客报价为350万美元。” 专家指出，此次数据泄露可能是有史以来最大的一次。 “National Public Data”（国家公共数据）通过从非公开来源抓取个人身份信息，收集了数十亿个人的数据。然而，原告及集体诉讼成员并未有意向被告提供其个人身份信息。 “本集体诉讼源于一起数据泄露事件，根据信息进行判断，该事件发生于 2024 年 4 月左右，涉及被告 NPD（即“泄露数据”的公司），这是一家背景调查公司，允许其客户搜索数十亿条记录并立即获得结果。”周四在美国佛罗里达州南区地方法院提交的诉状中写道 。 “原告向被告提起诉讼，指控被告未能充分保护和维护其在正常业务操作中收集和管理的个人身份信息。该信息包括但不限于原告及其他成员的全名、居住地址、社会安全号码、其他亲属的信息（包括一些已故近20年的人员），以及其他个人信息。 VX-underground 的研究人员审查了该档案（未压缩，大小为 277.1GB），确认数据真实准确。专家们注意到，该数据库不包含使用数据退出服务的个人的信息。没有使用数据退出服务且居住在美国的人能立即被找到。该档案还包含已故个人的数据。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，在一起重大网络安全事件中，印度小型银行的关键技术服务提供商C-Edge Technologies遭到勒索软件攻击，近300家当地金融机构的支付系统被迫暂时关闭。 据路透社报道，知情人士表示，此次攻击需要立即采取行动，将受影响的银行与更广泛支付网络隔离开来。 尽管多次请求，C-Edge Technologies并未回应评论，而印度银行和支付系统的主要监管机构——印度储备银行（RBI）也未发表任何声明。 周三晚间，负责监管印度支付系统的印度国家支付公司（NPCI）发布了一份公告，确认已“暂时禁止C-Edge Technologies接入NPCI运营的零售支付系统”。 公告指出，由C-Edge服务的银行客户在隔离期间将无法使用支付系统。 这种隔离是预防措施，目的是防止对国家支付基础设施产生更广泛的影响。据监管机构官员称，这些主要在大城市之外运营的近300家小型银行已被切断了与支付网络的连接。尽管此次中断规模较大，但一位知情人士指出，这些银行的业务量仅占该国整个支付系统总量的0.5%左右。 为了评估情况并进一步降低风险，NPCI目前正在进行审计。此外，印度央行和印度网络安全机构最近几周已向金融机构发出了关于潜在网络威胁的警告。   转自Freebuf，原文链接：https://www.freebuf.com/news/407594.html 封面来源于网络，如有侵权请联系删除

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。 趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性，并结合了各种流行的威胁策略，包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器，它的目标是敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。 研究人员指出，此次攻击的关键之处在于滥用付费的 Facebook 促销活动，攻击者利用这些促销活动引诱用户参与，并最终发送恶意软件。 趋势科技威胁研究员 Jaromir Horejsi 提到：一旦攻击者获得了页面控制权，他就能发布广告推广 AI 照片编辑器，并引导受害者下载伪装成照片编辑器的端点管理实用程序。 攻击者利用当前大家对人工智能技术和相关工具的关注，使用这些工具作为恶意活动的诱饵，其中包括网络钓鱼诈骗、深度伪造和自动攻击。 到目前为止，与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载，在 macOS 上产生了 1200 次下载。不过，macOS 版本重定向到的是苹果网站，而不是攻击者控制的网站，这表明攻击者只针对 Windows 用户发起攻击。 网络钓鱼导致页面被劫持 此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息，以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的，因为用户名基本是随机生成的。 信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送。有时，攻击者甚至滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。 如果页面操作员点击这些链接，就会出现一个要求他们向 Meta 开发人员的 “业务支持中心 “核实信息的页面。点击屏幕上的 “在此验证您的信息 “链接，就会进入一个虚假的账户保护页面，在随后的几个步骤中，该页面会要求用户提供登录和接管账户所需的信息，如电话号码、电子邮件地址、生日和密码等。 在目标用户提供这些信息后，攻击者会窃取其个人资料，并开始创建和发布人工智能照片编辑器的恶意广告，广告链接到一个使用合法工具（如 Evoto）名称的虚假域名。 Horejsi 写道：假冒的照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者，让他们以为自己正在下载照片编辑器。 然而，上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制，最终控制受害者的机器下载最终的有效载荷–Lumma 窃取程序。 研究人员建议用户应定期更新并使用强大的密码 研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证，以增加一层额外的保护，防止未经授权的访问，并在所有账户上定期更新和使用强大、唯一的密码。 企业还应定期开展教育和提高认识活动，让员工了解在访问企业网络时社交媒体上潜伏的危险，以及如何识别与网络钓鱼攻击相关的可疑信息和链接。 最后，企业和个人用户都应监控其账户是否有任何异常行为，如意外登录尝试或账户信息变更，组织应采用某种检测和响应机制。   转自Freebuf，原文链接：https://www.freebuf.com/news/407579.html 封面来源于网络，如有侵权请联系删除

全球最大白银生产商之一、黄金、铜和锌的重要生产商Fresnillo PLC近日披露，该公司遭遇了一次网络攻击，导致部分IT系统和数据被非法访问。 Fresnillo在周二的一份公告中表示，公司成为了一起网络安全事件的受害者，这次事件导致未经授权的人员访问了公司的部分IT系统和数据。在发现攻击后，Fresnillo立即启动了应急响应措施以控制数据泄露，并与外部取证专家合作，正在调查和评估此次事件的影响。 Fresnillo强调，此次网络攻击并未影响其生产运营，预计也不会对财务或物质层面产生影响。Fresnillo表示：“所有业务部门的活动正常进行，未经历或预见到任何重大运营或财务影响。我们将持续评估该情况直至完全解决。” Fresnillo在墨西哥运营着八个矿山（Fresnillo、Saucito、Juanicipio、Ciénega、Herradura、Soledad-Dipolos1、Noche Buena和San Julián），拥有四个高级勘探项目（Orisyvo、Rodeo、Guanajuato和Tajitos），以及一些长期勘探项目。该公司在伦敦证券交易所（FRES）和墨西哥证券交易所（FRES）上市，并在墨西哥、秘鲁和智利拥有采矿特许权和勘探项目。 值得注意的是，上个月澳大利亚矿业公司Northern Minerals也披露了一起数据泄漏事件，BianLian勒索软件团伙在暗网上发布了从该公司网络中窃取的数据（包括企业、运营和财务信息）。加拿大铜山矿业公司（CMMC）也曾在2022年12月遭遇勒索软件攻击后被迫关闭其一个矿厂的系统，以遏制和评估影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/NbJ2qOkoLZwRCbijI2_3VA 封面来源于网络，如有侵权请联系删除

在现代微芯片中，一些晶体管的尺寸已经缩小到比新冠病毒还要小十分之一的程度，这些微小的电荷作为计算基础的0和1，很容易受到干扰。一束散射的光子就足以让电子错位，干扰计算机程序。或者，通过更有针对性的激光精确照射，也可以达到同样的效果。现在，这种物理学上的电脑漏洞利用技术即将向更多的硬件黑客开放。 首个开源激光芯片黑客工具诞生 在即将于拉斯维加斯举行的Black Hat网络安全会议上，安全公司NetSPI的黑客Sam Beaumont和Larry “Patch” Trowell计划展示他们研发的新型激光黑客设备——RayV Lite。 安装在3D打印框架上的RayV Lite组件 图片：NETSPI 两位黑客打算将这款工具的设计和组件列表开源发布，目的是让任何人都能通过激光手段来逆向工程芯片，触发它们的漏洞，并揭露它们的秘密——这些方法过去只有财大气粗的企业巨头、学术实验室和政府机构的研究人员才能使用。目前最先进的商业光基黑客工具，如Riscure Laser Station，通常价格高达15万美元，超过了一辆法拉利跑车的价格，即使是低预算版本的价格也接近1万美元。然而，通过3D打印、商品组件选择和巧妙的物理技巧，Beaumont和Trowell以一辆自行车的成本（不到500美元）发出了类似工具。 两位黑客表示，创造并发布这款超廉价芯片黑客工具的设计，旨在证明激光故障注入或激光逻辑状态成像等激光利用技术比许多硬件设计师（包括NetSPI的一些客户）想象的更为可行。通过展示这些方法可以极低成本实现，他们希望能敦促硬件制造商加强对这种小众但奏效的黑客技术的防范，同时为全球DIY黑客和研究人员提供一种新研究工具。 Beaumont认为RayV Lite代表着一种潮流，那就是“高端黑客工具的家庭化”：像ChipWhisperer和HackRF这样的设备已经使电磁或基于无线电的黑客技术变得更加便宜和易于获取。 长期从事硬件黑客工作、现为电动汽车充电公司Alpitronic产品安全负责人的Adam Laurie在仔细评估了Beaumont和Trowell的激光黑客工作后表示：“它将此类工具从超昂贵的学术或国家黑客平台转移到了车库，那里才是创造性工作真正发生的地方。” RayV Lite的工作原理 在开发RayV Lite时，Beaumont和Trowell专注于两种不同的激光黑客方法。一种是激光故障注入（LFI），它使用短暂的光束来干扰处理器晶体管的电荷，“翻转”位元从1到0或反之亦然。在某些情况下，小心地触发这些位元翻转可能会产生更大的效果。例如，在他们测试的一款汽车芯片中，在某个特定时刻用激光干扰该芯片可以绕过一个安全检查，将芯片的固件置于未受保护状态，进而可以扫描其原本混淆的代码以找到漏洞。 Beaumont和Trowell表示，许多加密货币硬件钱包也容易受到LFI的攻击，比如在芯片请求PIN码以解锁加密密钥的那一刻进行干扰。“你取下加密钱包的芯片，在正确的时间用激光照射它，它就会假定你拥有PIN码，”Trowell说，“它会跳过指令，直接给你密钥。” 第二种激光黑客技术被称为激光逻辑状态成像，它专注于实时监视芯片的架构和活动，通过激光光束反射并捕捉结果（类似于相机或显微镜），然后进行分析——在Beaumont和Trowell的工作中，这通常通过机器学习工具完成。由于激光光线根据其电荷反射硅的方式不同，这种技巧使黑客不仅能够绘制出处理器的物理布局，还能够提取其晶体管存储的数据，从而揭示其处理的数据和代码的线索，其中可能包含敏感信息。 RayV Lite如何做到超低成本 在RayV Lite的首个版本中，Beaumont和Trowell为该工具设计了两个不同的版本，每个版本适用于这两种激光黑客技术之一。目前，他们只发布了激光故障注入模型，并希望在几个月内推出激光逻辑状态成像版本。这两种版本将使用相同的基本组件和相同的DIY成本削减技巧。例如，该工具的机身基于一个名为OpenFlexure的开源3D打印显微镜模型，该模型利用3D打印的PLA塑料的灵活性来实现激光的精确瞄准。目标芯片被安装在固定于打印塑料杠杆上的底盘上，由步进电机推动微小的三维移动。通过这种塑料弯曲技巧和透镜聚焦的激光，Beaumont和Trowell表示，RayV可以精确到纳米级别的晶体管组。（PLA塑料确实会磨损，但Beaumont指出，整个RayV Lite的机身可以只需几美元重新打印。） 另一个使Beaumont和Trowell能够大幅降低RayV Lite成本的创新，是由伦敦皇家霍洛威大学的一组学术研究人员首次实现的，他们构建了自己的低成本激光故障注入工具。该创新发现，激光芯片黑客攻击可以使用远比之前认为的更便宜的激光器组件，这是因为即使是较低功率的激光器在较长时间间隔（尽管仍在毫秒内）内发射，也能达到较高功率激光器在较短时间内发射的同等效果。 这一发现使得Beaumont和Trowell能够使用价格不到20美元的激光器，并且大大节省了激光器的电力和设备成本。“人们不会随身携带大功率激光器，”Beaumont说，“但你可以用激光指示器来做这件事，这实际上是我们现在正在做的。”（尽管如此，Beaumont和Trowell警告说，任何使用即使是低功率激光器的人都应佩戴护目镜。） 实际上，RayV Lite最昂贵的组件是用于聚焦的镜头和用作计时机制的FPGA芯片，每个约100美元，以及用于控制和编程的68美元的Raspberry Pi微型计算机。 汽车、医疗行业的“混淆”安全策略面临空前危机 高端黑客工具的贫民化意味着过去专业技术领域流行的“混淆”安全策略正在面临空前的威胁和危机。除了“激光酷”的普遍印象外，Trowell表示，是越来越多的易于获取的激光黑客技术研究促使她和Trowell构思了RayV Lite，同时他们还观察到客户对激光黑客技术的难度存在误解。 一些用于工业控制系统、汽车和医疗设备的高度敏感设备将容易受到激光故障注入或激光逻辑状态成像的攻击。Trowell指出，制造业需要认识到，利用激光破解这些关键设备内部芯片的想法并不像他们可能认为的那样深奥或遥不可及。 “靠混淆来实现的安全性并不能长期依赖，特别是在我们处理关键基础设施或我们家中和心脏中的设备时。”Beaumont说。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/QJTaFEJHRckwfYgAnGhCrw 封面来源于网络，如有侵权请联系删除

一种拥有超过 10.7万个样本的新型恶意软件，已经针对 Android 设备进行了两年多的攻击，它正在窃取短信以获取一次性密码 (OTP) 和其他敏感用户数据，以进行进一步的恶意活动。 移动安全提供商 Zimperium zLabs 的研究人员发现，这种恶意软件被称为“SMS Stealer”，它背后有着庞大的网络犯罪基础设施，通过动态变化的移动应用程序进行传播，这些应用程序再通过 Telegram 消息或合法应用程序的广告进行扩散。 Zimperium 的研究人员 Aazim Bill SE Yaswant、Rajat Goyal、Vishnu Pratapagiri 和 Gianluca Braga 在7 月30日发布的博客文章中表示：“自 2022 年 2 月以来研究人员一直在追踪该窃取程序，到目前为止，该程序已被113 个国家的用户下载，其中印度和俄罗斯位居榜首。” 该活动似乎是组织严密的攻击者出于经济动机而推动的，他们拥有至少 13 个命令和控制 (C2) 服务器以及 2600 个 Telegram 机器人。 这种不断演变的活动十分危险，因为它可以逃避“传统的基于签名的检测方法”，这使得防御者很难发现，“没有复杂设备端上的恶意软件引擎能够检测到zero-day恶意软件”。Zimperium 首席科学家 Nico Chiaraviglio 说。 他说：“该恶意软件能够动态生成并通过多种威胁载体向特定设备用户分发独特的恶意应用程序，该威胁行为者具有很高的复杂性和适应性。” 事实上，研究人员分析的恶意软件样本中，有超过9.9万个是未知的，在公开可用的存储库中也无法找到，这表明在过去的两年半中，这类活动几乎未被记录。此外，通过拦截恶意软件的OTP消息，我们发现攻击者针对的是60多个全球顶级品牌，其中一些品牌拥有数亿用户。 谷歌发言人告诉 Dark Reading：“Android 用户可以通过 Google Play Protect 来自动防御已知版本的恶意软件，该功能在搭载 Google Play 服务的 Android 设备上启用。Google  Play Protect 可以警告用户或阻止已知存在恶意行为的应用程序，即使这些应用程序来自 Play 商店以外的来源。” 多阶段战役 研究人员发现，恶意软件感染并窃取短信及其他数据的过程分为多个阶段，可能想利用所窃取的数据进行进一步的恶意活动。 研究人员在帖子中写道：“这些被盗凭证为进一步欺诈活动提供了跳板，例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。” 当Android 用户被诱骗侧载恶意应用程序，要么通过模仿合法应用商店的欺骗性广告，要么通过使用自动 Telegram 机器人直接与目标用户沟通，并通过社交工程手段引诱他们参与。安装后，恶意应用程序会请求读取短信的权限，根据帖子，这是“Android 上的高风险权限，可广泛访问敏感的个人数据”。 研究人员写道：“尽管合法的应用程序可能需要请求短信权限以实现特定的功能，但这个应用程序的请求可能是未经授权的，目的是窃取受害者的私人短信信息。” 一旦获得权限，恶意软件就会寻找 C2 服务器的地址，然后建立连接以传输要执行的命令和被盗的短信。在第五阶段，也就是最后阶段，攻击者将受害者的设备变成“静默拦截器”，恶意软件会隐藏在其中，并不断监控传入的短信，主要是寻找有价值的 OTP 来进行在线帐户验证。 “迫切需要”加强移动防御 Chiaravigli 指出，虽然窃取短信获取经济利益不是一种新的威胁方式，但攻击者在此次活动中采取的动态和持续性手段是一种“精细而有效的攻击方法”，需要立即做出反应。 事实上，专家表示，移动恶意软件日益泛滥，尤其是那些可以窃取有价值的OTP 的无处不在且隐秘的应用程序，对个人和企业都构成了重大威胁。它们不仅侵犯了用户的隐私，而且还为一系列恶意活动提供了跳板，例如凭证盗窃、金融欺诈和勒索软件等。 证书生命周期管理提供商 Sectigo 的产品高级副总裁 Jason Soroko 指出：“我们过去曾见过短信窃取恶意软件，但是，短信窃取程序能够拦截 OTP、帮助窃取凭证并进一步实现恶意软件渗透，这带来了严重的风险。” 他说，这凸显了组织机构“迫切需要”采用增强的移动安全策略，特别强调应用程序权限的管理和持续的威胁监控，“以保护数字身份和企业完整性”。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 补充说，新的防御策略应该是多层次的，包括高级行为分析、机器学习和实时威胁情报的组合。他表示：“强大的移动威胁防御解决方案、主动防御策略和持续的安全更新在识别和消除隐藏的恶意软件方面发挥着关键作用。”   消息来源：darkreading，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Shadowserver 基金会的研究人员报告称，大约 20000 台在线暴露的 VMware ESXi 服务器似乎受到了被利用的漏洞CVE-2024-37085的影响。 微软本周警告称，多个勒索软件团伙正在利用 VMware ESXi 漏洞中最近修补的漏洞 CVE-2024-37085（CVSS 评分为 6.8）。 微软研究人员发现 ESXi 虚拟机管理程序中存在一个漏洞，该漏洞被多个勒索软件运营商利用，以获取加入域的 ESXi 虚拟机管理程序的完全管理权限。该漏洞是 VMware ESXi 中的一个身份验证绕过漏洞。 VMware在发布的公告中表示：“如果恶意行为者拥有足够的 Active Directory (AD) 权限，则可以通过在从 AD 中删除已配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，从而获得 对之前配置为使用 AD 进行用户管理的ESXi 主机 的完全访问权限。” 该公司发布了影响 ESXi 8.0 和 VMware Cloud Foundation 5.x 的安全漏洞补丁。但是，没有计划针对旧版本 ESXi 7.0 和 VMware Cloud Foundation 4.x 提供补丁。建议不受支持版本的用户升级到较新版本以接收安全更新和支持。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等多个以经济为目的的网络犯罪组织已经利用此漏洞部署勒索软件。 “微软安全研究人员发现，Storm-0506、Storm-1175、 Octo Tempest和 Manatee Tempest等勒索软件运营商在多次攻击中都使用了一种新的后入侵技术  。”微软继续说道。“在几起案件中，这种技术的使用导致了 Akira 和 Black Basta 勒索软件的部署。” Shadowserver 研究人员于 2024-07-30 发现 20,275 个实例存在 CVE-2024-37085 漏洞。 “VMware ESXi  CVE-2024-37085 身份验证绕过漏洞。虽然 Broadcom 仅将其评为中等严重性（CVSS 6.8），但我们认为该漏洞更为严重，因为它正在被勒索软件参与者在野外利用。如果您收到实例警报， 请检查是否受到入侵并进行更新。这是基于版本的扫描。” Shadowserver 发布的报告写道。 “我们不检查解决方法或 ESXi 虚拟机管理程序是否已加入域，这是可利用性的条件。任何报告都应被视为潜在漏洞，并由收件人进行验证。” Shadowserver 表示：“需要澄清的是：这些漏洞可能存在，因为这只是针对补丁状态的远程版本检查。我们没有发现任何现成的解决方法，也没有检查是否存在其他可利用的先决条件（加入域的 ESXi 虚拟机管理程序）。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/1AooiBdtDbLBJgvyR2vzXQ 封面来源于网络，如有侵权请联系删除

由于勒索攻击导致运营能力骤降，OneBlood要求250多家医院启动“血液短缺”应急程序，并持续一段时间。 安全内参8月1日消息，因勒索软件攻击关闭部分系统，美国大型血液中心OneBlood的运营能力骤降。 上周三，向美国东南部医疗机构提供血液的非营利组织OneBlood发布声明，告知公众其运作能力受到勒索软件攻击影响。 OneBlood企业传播高级副总裁Susan Forbes表示：“为了维持运转，我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间，还会影响库存可用性。” “为了进一步管理血液供应，我们已要求250多家接受我们服务的医院启动关键的血液短缺程序，并在一段时间内保持该状态。” OneBlood表示，目前正在与网络安全专家以及联邦和州官员合作解决这一危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。该组织仍在运作，并继续收集、测试和分发血液，但“运行能力已经显著降低”。 这一事件引发了其他血液组织的大力支持，美国血库协会（AABB）灾害工作组正在组织将血液和血小板送往OneBlood。目前，所有血型都有捐献需求，其中O型阳性血、O型阴性血和血小板最为紧缺。 Forbes表示，公司在确认遭到攻击后立即开始调查，并启动了应对工作。“我们正在执行全面的响应工作，并努力尽快恢复系统的所有功能。” “血液供应并不稳定。事件处理仍在进行。如果您符合献血标准，我们敦促您尽快进行预约。” 外媒CNN首次报道了这次攻击。CNN获得了一份发给健康信息共享与分析中心的咨询通知，警告佛罗里达州医院可能面临血液短缺。由于勒索软件攻击，该组织不得不手动标记血液产品。 医疗行业网络威胁严峻 这次攻击发生一周之前，英国一家知名血液测试提供商宣布，在6月勒索软件攻击后，已成功重建大部分IT基础设施。 上个月，英国病理服务提供商Synnovis被Qilin勒索软件团伙攻击，导致1000多次关键手术被取消。英国国家医疗服务体系（NHS）被迫紧急呼吁人们捐献O型血液。 根据两周前发给NHS首席执行官的一封信，勒索软件攻击使英国的国家血液库存“处于非常脆弱的状态”。 勒索软件团伙还攻击了南非国家卫生实验室服务局，严重影响了该国应对猴痘、艾滋病和结核病等多重健康危机的工作。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/kC0UJk-6KlWH10OY4WiQoA 封面来源于网络，如有侵权请联系删除

一种被研究人员称为”BingoMod”的新型安卓恶意软件，在成功利用设备上的欺诈技术从受害者的银行账户中窃取资金后，可以清除设备数据。 BingoMod通过短信推广，通常伪装成一个合法的移动安全工具，每次交易最多可窃取15000欧元。根据研究人员的分析，BingoMod目前正在积极开发中，其开发者专注于添加代码混淆和各种逃避机制，以降低被检测率。 BingoMod的详细信息 在线欺诈管理和预防解决方案公司Cleafy的研究人员发现，BingoMod是通过smishing（短信钓鱼）活动传播的，并使用通常表明移动安全工具的各种名称（例如APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo, APKAppScudo）。 为了在设备上进行欺诈（ODF），恶意软件建立了一个基于套接字的通道来接收命令，以及一个基于HTTP的通道来发送屏幕截图源，从而实现几乎实时的远程操作。 虚拟网络计算 （VNC） 机制和数据交换 来源：Cleafy ODF是一种从受害者的设备发起欺诈交易的常用技术，可以骗过依赖身份验证和认证的标准反欺诈系统。 Cleafy研究人员在报告中解释说，“VNC程序滥用安卓的Media Projection API来获取实时屏幕内容。一旦接收到这些内容，就会将其转换为合适的格式，并通过HTTP传输到威胁行为者的基础设施。” 该程序的一个特点是，它可以利用无障碍服务“冒充用户并启用由Media Projection API公开的屏幕投影请求。” BingoMod 的 VNC 路由器 来源：Cleafy 远程操作者可以向BingoMod发送的命令包括点击特定区域、在指定的输入元素上写文本和启动应用程序。 该恶意软件还允许通过威胁行为者发起的虚假通知手动进行覆盖攻击。此外，感染了BingoMod的设备还可以通过短信进一步传播恶意软件。 禁用防御和清除数据 BingoMod可以从受害者的设备中移除安全解决方案或阻止威胁行为者在命令中指定的应用程序的活动。 为了逃避检测，BingoMod的创建者添加了代码扁平化和字符串混淆层，根据VirusTotal上的扫描结果，实现了预期的目标。 VirusTotal 扫描结果 来源：Cleafy 如果BingoMod作为设备管理应用程序注册在设备上，操作者就可以发送远程命令来清除系统。根据研究人员的说法，这个功能只有在成功转账后才会执行，并且只影响外部存储。 数据清除程序 来源：Cleafy 如果要彻底清除系统，威胁行为者可能使用远程访问功能从系统设置中清除所有数据并重置手机。 虽然BingoMod目前的版本是1.5.1，但Cleafy表示它似乎处于早期开发阶段。根据代码中的注释，研究人员认为BingoMod可能是罗马尼亚开发者的作品。不过，也有可能是其他国家的开发者所为。   转自Freebuf，原文链接：https://www.freebuf.com/news/407491.html 封面来源于网络，如有侵权请联系删除

DigiCert 警告称，由于域控制验证 （DCV） 的不合规问题，该公司正大规模撤销已经发放的 SSL/TLS 证书，数量超过8万个。 DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 （CA） 之一，包括域验证 （DV）、组织验证 （OV） 和扩展验证 （EV） 证书。这些证书用于加密用户与网站或应用程序之间的通信，从而提高安全性，防止恶意网络监控和中间人攻击。 为域颁发证书时，证书颁发机构必须首先执行域控制验证 （DCV） 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串，然后对域执行 DNS 查找以确保随机值匹配。 根据 CABF 基线要求，随机值应由域名分隔，并带有下划线。否则，域与用于验证的子域之间存在冲突的风险。但DigiCert称，最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。 一个已发生5年的错误 DigiCert表示，造成这种错误的根本原因是2019年8月的系统更新，导致删除了某些验证路径中的自动下划线添加，影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日，一个用户体验提升项目通过整合随机值生成过程，修复了这个长达5年都未发现的问题。7 月 29 日，DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。 目前DigiCert已通知 6807 名受影响的客户，要求他们尽快替换其证书，方法是登录其 DigiCert 帐户，生成证书签名请求 （CSR），并在通过 DCV 后重新颁发证书。需要注意的是，DigiCert 将在 24 小时内（UTC时间 7 月 31 日 19：30 之前）撤销受影响的证书。如果在此之前未完成该过程，则将导致网站或应用程序的连接丢失。 这一事态发展促使美国网络安全和基础设施安全局 （CISA） 发布了一份警报，指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。   转自Freebuf，原文链接：https://www.freebuf.com/news/407484.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称阿根廷公民信息遭到泄露。数据泄露量为500万行，售价为350美元。 知道创宇暗网雷达监测截图 黑客声称此次泄露的数据为阿根廷公民的个人信息，主要包含姓名、身份证号码、电话号码、邮箱、出生日期（大约 40%的行有此数据）等。 黑客于暗网发布的帖子截图 据悉，在2021年阿根廷全国人口身份证信息就曾遭黑客盗取对外兜售，对公民个人信息安全和国家安全造成了恶劣影响。 相关资讯链接： 阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

7月29日，安全企业Zimperium研究人员发布报告，他们发现一起针对全球Android设备的恶意活动，涉及113个国家的不同行业安卓用户。 研究者称自2022年2月以来，发现事件超过10.7万个恶意软件样本。 Telegram诱捕 攻击者利用数千个Telegram机器人，这些机器人感染并植入了能够窃取短信的恶意软件，目的是窃取一次性双因素认证密码OTP，成功绕过这一安全措施。短信窃取者通过恶意广告和Telegram机器人分发两种方式传播短信窃取器。1、通过恶意广告：这种方式中，受害者被引导到模仿Google Play的页面。这些页面显示夸大的下载量，以增加其合法性并制造一种虚假的信任感。这是一种常见的网络诈骗手段，目的是让用户相信这些页面是可信的，从而下载恶意软件。 2、通过Telegram机器人：在这种方式中，Telegram机器人向用户提供Android平台的盗版应用程序。在用户下载APK文件之前，机器人会要求用户提供他们的电话号码。然后，Telegram机器人使用这个电话号码生成一个新的APK文件，这使得对特定用户进行个性化跟踪或未来攻击成为可能。 Telegram bot将SMS窃取工具发送给受害者 来源：Zimperium Zimperium表示，该行动使用2600个Telegram机器人来推广各种Android APK，这些机器人由13个命令和控制（C2）服务器控制。 此次行动的大多数受害者位于印度和俄罗斯，巴西、墨西哥和美国也有大量的受害者。 谋取经济利益 媒体称，网络犯罪分子的动机主要是经济利益，他们很可能利用被感染的设备来实现身份验证和匿名化中继。Zimperium发现，该恶意软件将捕获的短信传输到网站fastsms.su上的特定API端点。该网站允许访问者购买外国“虚拟”电话号码的访问权，他们可以使用这些号码进行匿名化，并对在线平台和服务进行身份验证。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1mkWb9ZgKudhSEfKoGpE3A 封面来源于网络，如有侵权请联系删除

微软表示，周二的一次 DDoS 攻击导致其 Azure 门户以及部分 Microsoft 365 和 Microsoft Purview 服务中断八小时。 微软表示，使用量意外激增导致 Azure Front Door 和 Azure 内容交付网络出现间歇性错误、峰值和超时。初步调查显示，该公司安全响应中的错误可能加剧了中断的影响。 微软表示将在 72 小时内对该事件进行初步审查，并在两周内进行最终审查，以查明问题出在哪里以及如何更好地应对。 此次事件发生不到两周前，CrowdStrike在其 Falcon 安全平台上发布了有缺陷的软件更新，导致全球 850 万台 Windows 设备发生 IT 中断。 在最初获悉该事件后，微软对网络配置进行了更改，以支持其 DDoS 缓解措施。该公司还执行了故障转移到备用网络路径。 这并不是该公司第一次处理与 DDoS 相关的中断。微软在 2023 年遭受了一系列 DDoS 攻击，这些攻击与亲俄黑客活动分子有关，其中包括一个名为“匿名苏丹”的组织。 微软表示，最初的网络配置变化在美国东部时间上午 10 点后不久缓解了大部分影响，这距离中断开始仅三个多小时。随后，一些客户报告可用性低于 100%，该公司开始推出更新的响应措施，首先是亚太地区，然后是欧洲。 在验证缓解措施成功后，这些更新已在美洲推出。 到下午，故障率已降至事故发生前的水平，并于美国东部时间下午 5 点之前宣布事故得到解决，此时距离事故发生已经过去了 9 个小时。 NexusGuard 总监 Donny Chong 在一份声明中表示：“微软的中断表明 DDoS 攻击者可以轻易对关键业务服务造成严重破坏。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p3BGK2gz-nWeNzJBXOvd6w 封面来源于网络，如有侵权请联系删除

针对软件开发人员的持续攻击活动背后的黑客展示了新的战术和策略，并将其重点扩大到 Windows、Linux 和 macOS 系统。 该攻击群被称为DEV#POPPER，与朝鲜有关，其目标人群遍布韩国、北美、欧洲和中东。 Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一篇报告中表示：“这种攻击形式是社会工程学的一种高级形式，旨在操纵个人泄露机密信息或执行他们通常不会做的事情。” DEV#POPPER 是一个活跃恶意软件活动的绰号，该活动以求职面试为幌子诱骗软件开发人员下载托管在 GitHub 上的陷阱软件。它与 Palo Alto Networks Unit 42 跟踪的名为Contagious Interview的活动有相似之处。 本月早些时候，研究人员发现针对 Windows 和 macOS 的恶意软件发布了名为 BeaverTail 的更新版本，这表明该活动的范围更广泛且跨平台。 Securonix 的攻击链文档或多或少是一致的，攻击者冒充开发人员职位的面试官，并敦促候选人下载 ZIP 存档文件以完成编码作业。 档案中有一个 npm 模块，一旦安装，就会触发混淆的 JavaScript（即 BeaverTail）的执行，该模块确定其运行的操作系统并与远程服务器建立联系以窃取感兴趣的数据。 它还能够下载下一阶段的有效载荷，包括一个名为 InvisibleFerret 的 Python 后门，旨在收集详细的系统元数据、访问存储在 Web 浏览器中的 cookie、执行命令、上传/下载文件以及记录击键和剪贴板内容。 最近的样本中添加的新功能包括使用增强混淆、AnyDesk 远程监控和管理 (RMM) 软件来实现持久性，以及对用于数据泄露的 FTP 机制的改进。此外，Python 脚本还充当运行辅助脚本的管道，该脚本负责从不同操作系统的各种网络浏览器（Google Chrome、Opera 和 Brave）窃取敏感信息。 研究人员表示：“原始 DEV#POPPER 活动的这一复杂扩展继续利用 Python 脚本执行多阶段攻击，重点是从受害者那里窃取敏感信息，但现在其功能更加强大。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5n1bi4EfPBogESvi1Y7U4A 封面来源于网络，如有侵权请联系删除

近日，eSentire威胁响应小组（TRU）发现网络犯罪分子正利用生成式人工智能（GenAI）平台的普及，通过在暗网市场销售被盗账户凭证来牟利。 据eSentire介绍，每天大约有400个GenAI账户凭证在暗网平台上交易，包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取，该软件会收集用户在互联网浏览器中输入的所有数据。 一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭，但它的存在突显了问题的严重性，被盗密钥的广告价格低至15美元。 LLM Paradise的关闭并没有遏制这一趋势，网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。 eSentire警告，这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权，包括客户数据、财务记录、知识产权和员工的个人可识别信息（PII）。 此外，针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据，这加剧了整体的威胁态势。 eSentire在其的报告中还指出了与GenAI相关的几个关键威胁，包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。 报告还提到了激进的数据收集行为和供应链风险，比如OpenAI在2023年遭遇的数据泄露事件，凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的，平均每天有200个账户在暗网上挂牌。 为了降低这些风险，公司必须实施强有力的安全措施，如使用监控、先进的多因素认证（MFA）方法和暗网监控服务。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407427.html 封面来源于网络，如有侵权请联系删除

一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。 根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过 32,000 次，但未被任何安全工具检测到。 Google Play 中的 Mandrake 应用 Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的，但在此之前已在野外活跃了至少四年。当时，研究人员估计四年期间的受害者人数达“数十万”。 今年 4 月初，卡巴斯基公司的研究人员发现了一个“可疑样本”，他们声称这是 Mandrake 的新版本，它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中，包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后，于 2024 年 3 月底被下架。 Mandrake 分几个阶段收集设备信息。首先，它收集设备数据，包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。 卡巴斯基表示，如果基于这些信息，攻击者发现受害者很有趣，他们就会运行恶意软件的主要组件，其中包含高级功能，例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。 恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如，据 Bitdefender 称，在之前的活动中，Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。 目前尚不清楚黑客如何使用他们在攻击过程中获得的信息，也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定，但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。 卡巴斯基表示，新发现表明，Mandrake 正在“不断进化，改进伪装方法，并绕过新的防御机制”。 研究人员表示，该恶意软件在 Google Play 上多年来一直未被发现，“表明攻击者的资质很高，而且在应用程序发布到市场之前对其进行的限制和检查越来越严格，这导致更复杂的威胁能够渗透到官方应用商店，使它们更难被发现”。 谷歌发言人表示，公司已经意识到这些应用程序的存在，并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击，该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Google Play 之外。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w 封面来源于网络，如有侵权请联系删除

据BlackBerry威胁情报团队报道，一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。 该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger，自 2012 年以来一直活跃，主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 在过去的一年中，该组织不断更新其基础设施，并在新的袭击中采用新的战术和技术，重点针对巴基斯坦、埃及和斯里兰卡实体，同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。 此次攻击延续了 SideWinder 对间谍和情报收集的关注，使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档，并依靠 DLL 侧载来植入恶意软件。 这些攻击中使用的恶意文件经过精心定制，看上去好像来自目标已知的组织，例如地中海的亚历山大港和红海港务局。 诱饵文档1 滥用埃及（合法）红海港务局标志的诱饵文档2 针对斯里兰卡使用僧伽罗语书写的诱饵文档3 “在我们的研究中，我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的；它们的主要目的是分散受害者的注意力，使他们无法意识到自己受到了攻击。”BlackBerry 指出。 SideWinder 使用旨在唤起强烈情绪（如恐惧和焦虑）的标题来引诱目标立即打开文档，从而分散他们对后台发生的恶意活动的注意力。 这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199)，其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档，就会访问该 URL 以获取下一阶段。 下一步，富文本格式 (RTF) 文件会获取一份文档，该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。 Shellcode 执行一系列检查以确定它是否在虚拟环境中运行，然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。 BlackBerry 的分析显示，攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C＆C) 服务器，同时继续依赖已知的 Sidewinder 域命名结构。 BlackBerry 指出：“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而，根据 SideWinder 先前的活动，我们认为此次活动的目标是间谍活动和情报收集。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg 封面来源于网络，如有侵权请联系删除