Aggregator

Krispy Kreme said the incident is likely to materially affect operations and short-term financial performance

AC Technical Systems Ltd Has Been Claimed a Victim to Qilin Ransomware

一个网络间谍组织被指控对南欧大型 B2B IT 服务提供商发动攻击，这是代号为“Digital Eye（数字眼行动）”的行动的一部分。 网络安全公司 SentinelOne、SentinelLabs 和 Tinexta Cyber在一份联合报告中表示，入侵行为发生在 2024 年 6 月下旬至 7 月中旬，并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。 安全研究人员亚历山大·米伦科斯基 (Aleksandar Milenkoski) 和路易吉·马蒂雷 (Luigi Martire)表示：“这些入侵可能使对手建立战略立足点并危及下游实体。” “威胁组织滥用 Visual Studio Code 和 Microsoft Azure 基础设施进行 C2 [命令和控制] 攻击，试图通过使恶意活动看起来合法来逃避检测。” 目前尚不清楚哪个黑客组织是此次攻击的幕后黑手，该组织与多个已知的黑客组织之间存在广泛的共享工具和基础设施，使得情况更加复杂。 “Digital Eye（数字眼行动）”的核心是将 Microsoft Visual Studio Code远程隧道武器化用于 C2，这是一项合法功能，可实现对端点的远程访问，使攻击者能够执行任意命令和操纵文件。 黑客使用此类公共云基础设施，部分原因在于，活动就可以融入网络防御者看到的典型流量中。此外，此类活动使用合法的可执行文件，不会被应用程序控制和防火墙规则阻止。 研究人员观察到的攻击链涉及使用SQL 注入作为初始访问载体来破坏面向互联网的应用程序和数据库服务器。代码注入是通过名为SQLmap的合法渗透测试工具完成的，该工具可自动检测和利用 SQL 注入漏洞。 成功攻击后，会部署一个基于 PHP 的 Web Shell（称为 PHPsert），使攻击者能够站稳脚跟并建立持久的远程访问。后续步骤包括侦察、凭证收集以及使用远程桌面协议 (RDP) 和传递哈希技术横向移动到网络中的其他系统。 研究人员表示：“对于传递哈希攻击，他们使用了自定义修改版的 Mimikatz。”该工具“利用被破解的 NTLM 密码哈希，无需输入用户的实际密码，即可在用户的安全上下文中执行进程。” 大量源代码重叠表明，定制工具与疑似网络间谍活动（如Soft Cell “软细胞行动”and Operation Tainted Love“爱情污点行动”）中观察到的工具来自同一来源。这些自定义 Mimikatz 修改版还包括共享代码签名证书和使用独特的自定义错误消息或混淆技术，统称为 mimCN。 研究人员指出：“mimCN 样本的长期演变和版本控制，以及留给单独操作团队的说明等显著特征，表明有共享供应商的主动维护和配置。” 另外值得注意的是依赖 SSH 和 Visual Studio Code 远程隧道进行远程命令执行，攻击者使用 GitHub 帐户进行身份验证并连接到隧道，以便通过基于浏览器的 Visual Studio Code 版本（“vscode[.]dev”）访问受感染的端点。 目前尚不清楚威胁组织是否使用新近自注册或已经被入侵的 GitHub 帐户来验证隧道身份。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HR3r6oajc1ZinB2fDuA1ww 封面来源于网络，如有侵权请联系删除

Sophos X-Ops looks at the realism of this year’s MITRE ATT&CK Evaluations

RipperSec Targeted the Website of Bondi Markets

Сеть хостинг-провайдера использовалась для незаконных операций и финансовых махинаций.

Decrypting Full Disk Encryption with Dissect

据新报告称，疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。 乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185，攻击者发送了网络钓鱼电子邮件，伪装成上周在基辅举行的合法国防会议的邀请。 该组织也称为 UNC4221，自 2022 年以来一直活跃，主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证，主要针对乌克兰军事人员。 据 MIL.CERT-UA 称，除了入侵账户之外，攻击者还选择性地发动网络攻击，以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。 乌克兰尚未将该组织归咎于某个特定国家，但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。 该组织使用知名工具来感染受害者的设备，包括 MeshAgent 和 UltraVNC（一种用于远程管理计算机系统的开源软件）。 8 月初，被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。 根据网络安全公司 MalwareBytes 的分析，MeshAgent 可以通过多种方式入侵系统，最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。 乌克兰军方和国防企业是黑客的常见目标，通常与俄罗斯有联系。7 月初，被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。 在 6 月份的一次活动中，一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队，以窃取其设备中的敏感信息。 此前，CERT-UA 还警告称，乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击，这种恶意软件可能允许攻击者远程访问受害者的设备。 技术报告：https://cert.gov.ua/article/6281632     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ELFo_NAc7u8IJvOlJgVSLg 封面来源于网络，如有侵权请联系删除

Arikos is Claiming to Sell Access to Double Point SA

通用汽车退出无人驾驶出租车市场

隐私政策精讲（下）：基本要素分析与实例(2)

苹果将在Apple Watch Ultra 3中提供卫星通信支持 在无网环境中发送短信

雷神众测漏洞周报2024.12.02-2024.12.08

Br34cHM45t3r is Claiming to Sell Access to an Unidentified Israeli Company

美国《2023国防部网络战略》多处强调了“主动进攻”的战略。显而易见，为了明年三季度前能完成“前沿防御”的任务，他们现在正在我国的网络上肆虐，这时却“倒打一钉耙​”，“贼喊做贼”以掩盖他们的恶意行动​。

Microsoft Fixes 72 Flaws, Including Patch for Actively Exploited CLFS Vulnerability

curl 8.11.1

A complete OWASP API Top 10 Manual Testing Guide with vAPI