HackerNews

安全内参9月10日消息，美国西雅图高线（Highline）公立学区的技术系统遭到网络攻击，导致学区内所有学校在周一和周二暂时关闭。 学区在上周日（8日）通过其官网发布声明称：“我们已检测到技术系统中存在未经授权的活动，并立即采取行动隔离了关键系统。我们正与第三方以及州和联邦合作伙伴密切配合，力争安全完成系统的恢复与测试工作。” 所有体育活动、学校活动、会议以及疫苗接种点均已暂停，但学区的中央办公室仍然开放。这次关闭还推迟了周一的幼儿园开学，高线学区的幼儿园为全日制。 根据学区官网的通知，部分学区员工仍需到校，负责引导那些未得知学区停课消息的家庭。周一，只有少数学生到校。 高线学区负责为西雅图南部社区的35所学校提供服务，涵盖17290名学生。 学校运转高度依赖IT系统，后期将补课弥补学时损失 学区发言人Tove Tupper在上周日下午表示，处理此问题的学区专家尚未发现员工或家庭的个人信息遭到泄露。学区在上周日并未解释黑客的动机或目标，Tupper仅表示，学区“发现技术系统中存在未经授权的活动”。 Tupper指出，学校的计算机和通信系统对于维持课堂运作至关重要。她举例说，校车调度通过在线系统进行。“我们无法在没有这些系统的情况下正常运作，尤其是在学年初阶段。这时，年幼的学生们正乘坐校车，且仍在适应日常流程。”她补充道，出勤记录也依赖在线系统。 上周日下午，学区通过短信、自动电话和电子邮件向家长和员工发出了通知。 高线学区2024-25学年日历中已用红色标出了补课日，以应对教学时间的损失。第一个补课日定在阵亡将士纪念日后的星期二，若有必要，官员们可能会将原本四天的长周末缩短为三天。 教育机构网络威胁态势愈发严峻 这是Tupper在高线学区工作11年来，首次看到整个学区因计算机网络安全问题关闭。 随着越来越多的学校系统依赖互联网和技术开展工作，网络攻击的频率也在上升。根据网络安全公司Emsisoft的报告，2021年曾发生62起针对学校系统的攻击事件，而到2023年，这一数字已超过100起。在某些情况下，黑客会要求赎金或威胁公开个人信息。 此次针对高线公立学校的攻击，仅是近年来影响北美及全球公立学区和学生的一系列网络攻击中的最新一起。 今年6月，一名身份不明的攻击者入侵了数字课堂管理平台Mobile Guardian，并远程清除了北美、欧洲和新加坡至少13000台学生iPad和Chromebook上的数据。 加拿大最大的学校董事会、北美第四大董事会——多伦多地区学校董事会（TDSB）也在6月警告称，其软件测试环境遭到了勒索软件攻击的影响。   转自安全内参，原文链接：https://www.secrss.com/articles/70092 封面来源于网络，如有侵权请联系删除

近日，有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766，影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补，并警告称其只影响防火墙的管理访问界面。 然而，SonicWall上周五（9月6日）透露，该安全漏洞还影响了防火墙的SSLVPN功能，且已被黑客用以网络攻击。该公司提醒客户尽快为受影响的产品打上补丁，但没有透露有关野外利用的详细信息。 Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有所关联，他们试图以SonicWall设备为目标，获得对目标网络的初始访问权。 Arctic Wolf高级威胁情报研究员Stefan Hostetler表示：在每个实例中，被攻击的账户都是设备本身的本地账户，而不是与微软活动目录等集中式身份验证解决方案集成在一起。此外，所有被入侵账户的 MFA 都被禁用，受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 影响的版本。 同时，网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织，但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。 Arctic Wolf 和 Rapid7 复制了 SonicWall 的警告，并敦促管理员尽快升级到最新的 SonicOS 固件版本。 联邦机构被勒令在 9 月 30 日前打补丁 本周一（9月9日），CISA将此关键访问控制漏洞添加到其已知漏洞目录中，并命令联邦机构在 9 月 30 日之前的三周内，按照约束性操作指令 (BOD) 22-01 的规定，确保其网络中存在漏洞的 SonicWall 防火墙的安全。 SonicWall 缓解建议将防火墙管理和 SSLVPN 访问限制为可信来源，并尽可能禁止互联网访问。管理员还应为所有使用 TOTP 或基于电子邮件的一次性密码 (OTP) 的 SSLVPN 用户启用多因素身份验证 (MFA)。 在网络间谍和勒索软件攻击中，攻击者经常以 SonicWall 设备和设备为目标。例如，包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/410635.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞，该漏洞能允许攻击者多次查看用户发送的“阅后即焚”（View once）内容。 WhatsApp的“阅后即焚”于3年前推出，允许用户发送只能浏览一次的照片、视频和语音消息，且接收者无法转发、分享、复制或截取消息。 但这其中有一个Bug，Zengo X 研究团队发现，“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息，包括桌面端，即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同，但包含一个指向 WhatsApp 网络服务器（”blob store”）托管的加密数据 URL 以及解密密钥。 研究人员称，这些消息在下载后不会立即从 WhatsApp 的服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。 此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，攻击者仅需将“true”改为“false”，就可绕过此隐私功能 ，下载、转发和共享这些“阅后即焚 ”消息。 Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息。 目前Meta已表示对漏洞进行了修复，但这背后所反映出的更深层次问题也引发了人们的忧虑，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“，其本质上仍然漏洞百出。   转自Freebuf，原文链接：https://www.freebuf.com/news/410675.html 封面来源于网络，如有侵权请联系删除

微软周二对 Windows Update 中一个严重漏洞的利用发出警报，警告攻击者正在回滚其操作系统某些版本的安全修复程序。 该 Windows 漏洞被标记为CVE-2024-43491，且已被积极利用，其等级为严重，CVSS 严重性评分为 9.8/10。 微软没有提供任何有关公开利用的信息，也没有发布 IOC（入侵指标）或其他数据来帮助防御者寻找感染迹象。该公司表示，该问题是匿名报告的。 根据微软关于该漏洞的文档，表明这是一种系统降级回滚攻击，类似于今年黑帽大会上讨论的 “Windows Downdate”问题。 微软安全公告称： 微软已经意识到服务堆栈中存在一个漏洞，该漏洞可撤销 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。 这个漏洞会导致可选组件（例如 Active Directory 轻量级目录服务、XPS 查看器、Internet Explorer 11、LPD 打印服务、IIS 和 Windows Media Player）回滚到其原始 RTM 版本。 这会导致任何先前已修复的 CVE 被重新引入，然后可被利用。 微软 2024 年 9 月补丁日，提供了包含 79 个漏洞的安全更新，其中包括4个被主动利用的漏洞和一个公开披露的0day漏洞。 本次补丁日修复了7个严重级别漏洞，这些漏洞要么是远程代码执行，要么是权限提升漏洞。 按漏洞性质分类如下： 30 个特权提升漏洞 4 个安全功能绕过漏洞 23 个远程代码执行漏洞 11 个信息泄露漏洞 8 个拒绝服务漏洞 3 个欺骗漏洞 今天的更新中被积极利用的四个0day漏洞是： 1.CVE-2024-38014 – Windows Installer 特权提升漏洞 该漏洞允许攻击者获取 Windows 系统的 SYSTEM 权限。微软尚未透露该漏洞如何遭到攻击的详细信息。该漏洞是由 SEC Consult Vulnerability Lab 的 Michael Baer 发现的。 2. CVE-2024-38217 – Windows Mark of the Web 安全功能绕过漏洞 Elastic Security 的 Joe Desimone上个月公开披露了这一漏洞，据信自 2018 年以来就一直被积极利用。 在报告中，Desimone 概述了一种名为 LNK stomping 的技术，该技术允许使用非标准目标路径或内部结构特制的 LNK 文件打开该文件，同时绕过智能应用程序控制和 Web 标记安全警告。 微软的建议解释说：“攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示）的完整性和可用性受到一定程度的损失。” 一旦被利用，它就会导致 LNK 文件中的命令在没有警告的情况下被执行。 3. CVE-2024-38226 – Microsoft Publisher 安全功能绕过漏洞 Microsoft Publisher 的一个漏洞，该漏洞可以绕过针对下载文档中嵌入宏的安全保护。 微软的建议解释道：“成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的 Office 宏策略。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。 4. CVE-2024-43491 – Microsoft Windows 更新远程代码执行漏洞 微软修复了一个允许远程代码执行的服务堆栈缺陷。 微软在公告中解释道：“微软已经意识到服务堆栈中存在一个漏洞，并且已经撤销了对影响 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/np5hNqHweHgj2A8yR60WKQ 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

一种被称为PIXHELL 的新型侧信道攻击可被滥用，通过突破“audio gap”来攻击隔离网内的计算机，并利用屏幕像素产生的噪音窃取敏感信息。 以色列古里安大学软件与信息系统工程系攻击性网络研究实验室负责人Mordechai Guri 博士在新发表的论文中表示：“隔离和音频隔离计算机中的恶意软件会生成精心设计的像素模式，从而产生频率范围为 0 – 22 kHz 的噪音。” “恶意代码利用线圈和电容器产生的声音来控制屏幕发出的频率，声音信号可以编码和传输敏感信息。” 这次攻击引人注目之处在于它不需要受感染计算机上的任何专门的音频硬件、扬声器或内置扬声器，而是依靠 LCD 屏幕来产生声音信号。 物理隔离是一项重要的安全措施，旨在通过物理方式将关键任务环境与外部网络（即互联网）隔离，保护关键任务环境免受潜在的安全威胁。这通常通过断开网线、禁用无线接口和禁用 USB 连接来实现。 尽管如此，这种防御措施可能会被内部人员或硬件或软件供应链的破坏所绕过。另一种情况可能是，一名毫无戒心的员工插入受感染的 USB 驱动器，以部署能够触发隐蔽数据泄露通道的恶意软件。 Guri 博士说：“网络钓鱼、恶意内部人员或其他社会工程技术可能会被用来诱骗有权访问隔离系统的个人采取危害安全的行为，例如点击恶意链接或下载受感染的文件。” “攻击者还可能利用软件供应链攻击，针对软件应用程序依赖项或第三方库。通过破坏这些依赖项，他们可以引入在开发和测试期间可能不被注意的漏洞或恶意代码。” 与最近演示的RAMBO 攻击一样，PIXHELL 利用部署在受感染主机上的恶意软件创建声学通道，以泄露隔离网络系统中的信息。 这是因为液晶屏的内部元件和电源中含有电感器和电容器，当电流通过线圈时，它们会以可听见的频率振动，从而产生高音调的噪声，这种现象称为线圈呜呜声。 具体而言，功耗变化会引起电容器的机械振动或压电效应，从而产生可听见的噪声。影响功耗模式的一个关键方面是点亮的像素数量及其在屏幕上的分布，因为白色像素比暗像素需要更多的电量来显示。 “此外，当交流电 (AC) 经过屏幕电容器时，它们会以特定频率振动。”Guri 博士说。“声波是由 LCD 屏幕的内部电气部分产生的。其特性受屏幕上投影的实际位图、图案和像素强度的影响。” “通过精心控制屏幕上显示的像素图案，我们的技术可以从液晶屏产生特定频率的特定声波。” 因此，攻击者可以利用该技术以声音信号的形式窃取数据，然后对其进行调制并传输到附近的 Windows 或 Android 设备，随后这些设备可以解调数据包并提取信息。 值得注意的是，发出的声信号的功率和质量取决于具体的屏幕结构、其内部电源、线圈和电容器位置等因素。 另一件需要强调的重要事情是，PIXHELL 攻击默认对于查看 LCD 屏幕的用户是可见的，因为它涉及显示由交替的黑白行组成的位图图案。 “为了保持隐蔽性，攻击者可能会使用在用户不在场时进行传输的策略。”Guri 博士说。“例如，在非工作时间对隐蔽通道进行所谓的‘夜间攻击’，以降低被发现和暴露的风险。” 然而，通过在传输之前将像素颜色降低到非常低的值（即使用 RGB 级别 (1,1,1)、(3,3,3)、(7,7,7) 和 (15,15,15)），可以将这种攻击转变为工作时间内的隐秘攻击，从而给用户留下屏幕是黑色的印象。 但这样做的副作用是“显著”降低声音产生水平。而且这种方法也并非万无一失，因为如果用户“仔细”看屏幕，他们仍然可以发现异常模式。 这并不是第一次在实验装置中突破音频间隙限制。Guri博士之前进行的研究曾利用计算机风扇 (Fansmitter)、硬盘驱动器 (Disklysis)、CD/DVD 驱动器 (CD-LEAK)、电源装置 (POWER-SUPPLaY) 和喷墨打印机 (Inklysis) 产生的声音。 作为对策，建议使用声学干扰器来中和传输，监控音频频谱中是否存在异常或不常见的信号，限制授权人员的物理访问，禁止使用智能手机，并使用外部摄像头检测异常的调制屏幕图案。 论文访问链接：https://arxiv.org/abs/2409.04930   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RkVW26gzTo2eYEk-EeKeEg 封面来源于网络，如有侵权请联系删除

美国人工智能医疗公司Confidant Health的服务器配置错误，泄露了5.3TB的敏感心理健康记录，其中包括个人信息、评估和医疗信息，对患者构成严重的隐私风险。事件源于vpnMentor的资深网络安全研究员Jeremiah Fowler发现的一个未受密码保护且配置错误的服务器，其中包含来自Confidant Health的机密记录。9月6日，Jeremiah Fowler通过博客文章披露了这一发现。Confidant Health是一家位于德克萨斯州的人工智能平台，为康涅狄格州、佛罗里达州、新罕布什尔州、德克萨斯州和弗吉尼亚州的居民提供心理健康和成瘾治疗服务。 Confidant Health提供一系列服务，包括酒精康复、在线丁丙诺啡诊所、成瘾前治疗、行为改变计划、康复教练、阿片类药物戒断管理和药物辅助治疗，并且拥有一个下载量超过10,000次的远程医疗成瘾康复应用程序。 此次事件中的数据库包含超过126,276个文件（约5.3TB）和170万条日志记录，暴露了以下敏感信息： 个人身份信息 (PII)：姓名、地址、联系方式、驾驶执照和保险信息。 心理健康评估：对患者的心理健康状况、家族史和创伤经历进行详细评估。 医疗记录：处方药清单、诊断测试结果、健康保险详情、医疗补助卡、医疗记录、治疗记录、列出处方药的护理信以及医疗记录请求或豁免。 音频和视频记录：它还包括会议的音频和视频记录和文本记录，讨论深入的个人家庭话题，包括孩子、父母、伴侣和冲突。 Fowler在9月6日发布消息之前与Hackread.com分享的一份报告中解释道，这些文件披露了心理治疗的入院记录和社会心理评估，详细说明了心理健康、药物滥用、家庭问题、精神病史、创伤史、医疗状况和其他诊断。 Confidant Health已承认数据泄露并限制访问。目前尚不清楚数据库是由 Confidant Health直接管理还是由第三方管理。暴露的持续时间和对配置错误的服务器的潜在访问仍不得而知。 “数据库中的文档并非全部被公开，部分文件受到限制，无法公开查看。然而，即使这些受限制文件中的数据无法查看，也存在恶意行为者知道其他患者数据的文件路径和存储位置的潜在风险，”Fowler指出。 类似因配置失当造成的数据库暴露或数据泄露屡见不鲜。2024年8月2日Jeremiah Fowler发现了13个配置错误的数据库，其中包含多达460万份文件，包括选民记录、选票和各种选举相关名单。暴露的数据似乎来自美国伊利诺伊州的一个县，无需任何密码或安全认证即可公开访问。他怀疑其他县可能无意中泄露了类似的数据，于是他替换了数据库格式中的县名，发现了总共13个可公开访问的数据库，以及另外15个不可公开访问的数据库。 网上咨询和治疗数据被网络犯罪分子滥用已有先例。2021年，《连线》杂志报道称，一家名为Vastaamo的心理健康初创公司提供易于使用的技术服务，并运营着芬兰最大的私人心理健康服务提供商网络。黑客入侵并下载了他们的整个客户数据库。接下来，犯罪分子联系了Vastaamo的首席执行官，要求支付40比特币（2020年为50万美元）作为赎金，否则他们每天将泄露100份患者记录。可见，健康数据本身对犯罪分子来说非常有价值，但如果再加上患者对其敏感的个人心理健康数据或药物滥用可能被曝光的担忧，则可能会增加勒索成功的风险。这些信息落入坏人之手，可能会产生深远而毁灭性的后果。 美国的医疗相关信息受 HIPAA（健康保险流通与责任法案）监管。该法案为敏感患者健康信息的保密性、安全性和保护制定了严格的标准。敏感患者数据的泄露会严重威胁其隐私，并可能导致各种负面后果，包括身份盗窃、医疗身份盗窃、敲诈勒索和勒索。犯罪分子可能会利用这些信息开设欺诈账户、提交虚假保险索赔、威胁患者泄露其心理健康信息并利用他们的弱点。 此次事件凸显了远程医疗行业中强有力的数据安全措施的重要性。关键措施可能包括加密、访问控制、定期安全审计、员工数据安全最佳实践培训以及全面的事件响应计划。随着远程医疗服务越来越受欢迎，提供商必须优先考虑患者的隐私和数据安全。   转自安全内参，原文链接：https://www.secrss.com/articles/69952 封面来源于网络，如有侵权请联系删除。

2024年9月5日，据Axios报道，总部位于莫斯科的卡巴斯基公司剩余的100万美国杀毒软件客户，将转移到Pango公司的UltraAV上。此次迁移是对美国商务部禁止卡巴斯基在美国销售的回应，该禁令将在9月底之前停止对美国客户的软件更新。 UltraAV是总部位于波士顿的Pango集团的杀毒软件产品，Pango于2024年9月3日从在线安全厂商Aura分离出来。2020年7月8日，Aura收购了Pango，目前重新分离，将公司拆分为两个独立实体：Aura是面向个人和家庭的高增长一体化在线安全解决方案，而Pango Group则是一家多品牌网络安全公司，为企业和消费者提供强大的解决方案，专注于全面的违规响应、可扩展的安全产品和集成能力。 “面对美国最近迫使卡巴斯基限制其产品保护功能的限制措施，公司已经安排了一个解决方案，”卡巴斯基在一份电子邮件声明中告诉媒体。”虽然美国人在抵御网络威胁方面少了一个选择，但我们致力于确保他们继续得到世界级供应商的服务。” 卡巴斯基称，UltraAV除了防病毒外，还提供VPN、密码管理器和身份盗窃保护等功能。交易的财务条款没有披露。 Pango总裁兼首席运营官Neill Feather告诉媒体：”我们会在一系列电子邮件通信中向他们说明那些他们需要了解和需要知道的事情，然后我们的客户支持团队也会随时准备提供帮助。” UltraAV的定价和功能与卡巴斯基的比较 UltraAV具有卡巴斯基杀毒产品所缺乏的几项功能，如实时身份验证警报、高风险交易监控和100万美元身份盗窃保险（可限制身份欺诈风险）。该产品缺乏卡巴斯基的webcam和在线支付保护功能，这些功能可以阻止对用户网络摄像头的访问，并防止信用卡信息被获取。 Pango发言人告诉媒体，到9月中旬，Windows用户将自动从卡巴斯基过渡到UltraAV，用户无需采取任何行动。Mac和Android用户将收到一封电子邮件，其中包含一个设置链接，他们将按照入职步骤转移用户订阅数据。用户的价格不会改变，他们将保留与卡巴斯基绑定的现有定价计划。 根据发布在UltraAV网站上的常见问题解答，重新购买具有卡巴斯基帐户中提供的所有功能的UltraAV的客户第一年将支付47.88美元，然后以149.99美元的全价续费。卡巴斯基于2024年6月停止向美国的月度和年度客户计费，UltraAV将于2024年10月恢复向这些客户计费。 历程回顾 美国政府决定停止卡巴斯基在美国国内的业务，是出于对俄罗斯政府可能获取用户数据的担忧，但卡巴斯基公司坚决否认了这一指控。2017年，卡巴斯基被正式禁止进入美国联邦政府网络，最近，拜登政府以国家安全风险为由，将禁令扩大到包括所有美国商业销售。 卡巴斯基高管受到金融制裁，进一步限制了该公司在美国的运营能力，并凸显了对俄罗斯国家行为体滥用的担忧。禁止商业软件销售后，卡巴斯基宣布计划关闭美国业务，并解雇了仍留在美国的不到50名员工。 过去几年，由于政府限制和客户信任度下降，卡巴斯基在美国的业务不断萎缩。据Security.org网站报道，到2022年，只有4%的美国付费杀毒软件用户选择卡巴斯基，远远落后于诺顿、McAfee和Malwarebytes等竞争对手。随着美国禁令的实施，卡巴斯基计划将重点放在俄罗斯、中亚和拉丁美洲等增长地区。   转自安全内参，原文链接：https://www.secrss.com/articles/69960 封面来源于网络，如有侵权请联系删除。

一名此前未被记录的黑客组织自 2024 年开始的网络攻击活动中主要针对敏感地区的无人机制造商。 趋势科技以TIDRONE为名追踪该对手，并表示由于其专注于军事相关产业链，评估该活动与间谍活动相关。 目前尚不清楚用于入侵目标的确切初始访问载体，但趋势科技的分析发现，攻击者使用 UltraVNC 等远程桌面工具部署了 CXCLNT 和 CLNTEND 等自定义恶意软件。 攻击链 在不同的受害者中观察到的共同点是存在相同的企业资源规划（ERP）软件，这增加了供应链攻击的可能性。 攻击链随后经历三个不同的阶段，旨在通过绕过用户帐户控制 ( UAC )、凭据转储和通过禁用主机上安装的防病毒产品来逃避防御，从而促进特权提升。 这两个后门都是通过 Microsoft Word 应用程序侧载恶意 DLL 来启动的，从而允许攻击者收集各种敏感信息。 CXCLNT 配备了基本的上传和下载文件功能，以及清除痕迹、收集受害者信息（如文件列表和计算机名称）以及下载下一阶段可移植可执行文件 (PE) 和 DLL 文件以供执行的功能。 CLNTEND 于 2024 年 4 月首次被发现，是一种发现的远程访问工具 (RAT)，支持更广泛的网络通信协议，包括 TCP、HTTP、HTTPS、TLS 和 SMB（端口 445）。 安全研究人员 Pierre Lee 和 Vickie Su 表示：“此次活动很可能是由一个尚未确定的高级威胁组织进行的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/q7rbKkDMsNVkIVQFUq9hkg 封面来源于网络，如有侵权请联系删除。

极度危险、臭名昭著的以色列 Predator （捕食者） 商业间谍软件套件带着最新的升级版回归了。 网络安全公司 Recorded Future 的威胁研究部门 Insikt Group上周报告称，新的Predator基础设施出现在刚果民主共和国和安哥拉等国家，这表明美国对Predator 背后的间谍软件公司Intellexa实施的制裁并未完全成功。 Insikt Group 在其关于 Predator 的报告中写道：“在 Intellexa 受到制裁和曝光后，Predator 的活动明显减少。然而，根据我们最近的分析，Predator 还远未消失。” 2023年3月，美国政府发布行政命令，禁止美国政府使用对国家安全构成风险的商业间谍软件。 2023年7月，美国商务部工业和安全局 (BIS) 将监控技术供应商 Intellexa 和 Cytrox 列入实体清单，原因是其贩卖用于获取信息系统访问权限的网络漏洞。 2024年3月，美国财政部宣布对与 Intellexa Consortium有关的两名个人和五个实体进行制裁 ，原因是他们在开发和分发用于针对美国人的商业 Predator 间谍软件方面发挥了作用 。 该监视软件还用于监视美国政府官员、记者和政策专家。 美国财政部警告称，商业间谍软件的扩散对美国构成了越来越大的风险。外国攻击者滥用监视软件对世界各地的异见人士和记者发动攻击。 Predator是由以色列间谍软件联盟Intellexa开发的复杂间谍软件，与NSO 集团的Pegasus和其他商业间谍软件一样，允许政府人员入侵设备并监视用户。允许操作员渗透到设备中，获取消息和联系人等敏感数据，甚至在用户不知情的情况下激活摄像头和麦克风。 基础设施和逃避策略的变化 Predator的运营商已显著增强其基础设施，增加了复杂性以逃避检测。新的基础设施在其多层交付系统中增加了一个附加层，可匿名处理客户操作，从而更难确定哪些国家正在使用该间谍软件。这一变化使研究人员和网络安全防御者更难追踪 Predator 的传播。 尽管发生了这些变化，但运作模式基本保持不变。间谍软件可能继续使用“一键”和“零点击”攻击媒介，利用浏览器漏洞和网络访问将自身安装在目标设备上。尽管没有关于完全远程零点击攻击（如与 Pegasus 相关的攻击）的报告，但 Predator 仍然是针对知名人士的危险工具。 备受瞩目的目标仍面临风险 Predator捕食者间谍软件重返战场最令人担忧的一点是，它很可能会继续以知名人士为目标。政客、高管、记者和活动人士面临的风险最高，因为他们掌握着政府或其他恶意行为者的情报价值。捕食者昂贵的授权费用进一步表明，运营商将其用于战略性、高价值目标。 这种雇佣间谍软件的广泛使用，尤其是针对政治反对派，已经引起欧盟等地区的担忧。希腊和波兰的调查已经揭露了间谍软件如何被用来对付反对派人士和记者，这引发了人们对此类监视的合法性和道德性的严重质疑。 防御最佳实践 鉴于 Predator 的再次出现及其基础设施的复杂性，个人和组织必须保持警惕。Insikt Group 概述了几种有助于减轻 Predator 间谍软件渗透风险的防御措施： 定期软件更新——让设备保持最新的安全补丁对于减少 Predator 等间谍软件利用的漏洞至关重要。 设备重启——定期重启设备可以破坏间谍软件的运行，但可能无法完全消除高级间谍软件。 锁定模式——在设备上激活锁定模式可以帮助阻止未经授权的访问和利用尝试。 移动设备管理 (MDM) –实施 MDM 系统允许组织管理和保护员工设备，确保他们遵守安全协议。 安全意识培训——对员工进行有关鱼叉式网络钓鱼和其他社会工程策略的教育可以降低成为间谍软件攻击受害者的可能性。 这些措施对于担任敏感职务的个人尤其重要，例如在政府、民间社会或企业领导职位任职的个人。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eb8qJi7R32axHubefyOPmA 封面来源于网络，如有侵权请联系删除。

以色列研究人员设计了一种新的攻击技术，该技术依靠来自内存总线的无线电信号从隔离系统中窃取数据。 据以色列内盖夫本·古里安大学的 Mordechai Guri 介绍，恶意软件可用于对敏感数据进行编码，而这些数据可使用软件定义无线电 (SDR) 硬件和现成的天线从远处捕获。 该攻击名为RAMBO，允许攻击者以每秒 1,000 比特的速度窃取编码文件、加密密钥、图像、按键和生物特征信息。测试在最远 7 米（23 英尺）的距离内进行。 隔离系统在物理和逻辑上与外部网络隔离，以保证敏感信息的安全。虽然这些系统提供了更高的安全性，但它们并不能防范恶意软件，有数十个已记录的恶意软件家族针对它们，包括Stuxnet、Fanny和PlugX。 在新的研究中，发表了多篇有关隔离网络攻击尝试技术论文的 Mordechai Guri 解释说，隔离系统上的恶意软件可以操纵 RAM 来生成时钟频率修改后的编码无线电信号，然后从远处接收这些信号。 攻击者可以使用适当的硬件接收电磁信号，解码数据并检索被盗信息。 RAMBO 攻击首先在隔离系统上部署恶意软件，可以通过受感染的 USB 驱动器、使用有权访问系统的恶意内部人员或通过破坏供应链将恶意软件注入硬件或软件组件。 攻击的第二阶段涉及数据收集、通过隔离网络隐蔽通道（在本例中是来自 RAM 的电磁发射）进行信息泄露以及远距离检索。 Guri 解释说，数据通过 RAM 传输时会发生快速的电压和电流变化，从而产生电磁场，这些电磁场可以以取决于时钟速度、数据宽度和整体架构的频率辐射电磁能。 研究人员解释说，发射器可以通过以与二进制数据相对应的方式调制内存访问模式来创建电磁隐蔽通道。 通过精确控制与内存相关的指令，该学者能够使用该隐蔽通道传输编码数据，然后使用 SDR 硬件和基本天线在远处检索它。 Guri 指出：“通过这种方法，攻击者可以以每秒数百比特的速率将数据从隔离网络的计算机泄露到附近的接收器。” 研究人员详细介绍了可以实施的几种防御和保护对策，以防止 RAMBO 攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qMsQJFXPH1IN6K78cqoGdg 封面来源于网络，如有侵权请联系删除。

据Cyber Security News消息，研究人员提出了一种噪声攻击（NoiseAttack） 的新型后门攻击方法，该攻击被称为是一种用于图像分类的后门攻击，针对流行的网络架构和数据集实现了很高的攻击成功率，并能绕过最先进的后门检测方法。 实验结果表明，该攻击能有效对抗最先进的防御系统，并在各种数据集和模型上实现较高的攻击成功率。它利用白高斯噪声（White Gaussian Noise）作为触发器，创建了一种针对特定样本的多目标后门攻击，可灵活控制目标标签。 与通常针对单一类别的现有方法不同，该攻击使用具有不同功率谱密度的白高斯噪声作为触发器，并采用独特的训练策略来执行攻击，因此只需最少的输入配置就能针对多个类别进行攻击。 不同数据集和模型的攻击性能 这种噪声攻击在研究中被称为是一种用于图像分类的新型后门攻击 ，利用白高斯噪声（WGN）的功率谱密度（PSD）作为训练过程中嵌入的触发器。这种攻击涉及在精心制作的噪声水平和相关目标标签构建的中毒数据集上训练一个后门模型，从而确保模型容易受到触发，导致所需的误分类。 NoiseAttack 后门训练准备的中毒数据集概览 这种攻击为创建具有多个目标标签的后门提供了一种通用方法，从而为试图破坏机器学习模型的攻击者提供了一种强大的工具。 该框架能有效规避最先进的防御措施，并在各种数据集和模型中实现较高的攻击成功率。 通过在输入图像中引入白高斯噪声，该攻击可以成功地将图像错误分类为目标标签，而不会明显影响模型在干净数据上的性能。这种攻击对 GradCam、Neural Cleanse 和 STRIP 等防御机制的较强鲁棒性表明，它有可能对深度神经网络的安全性构成重大威胁。 此外，该攻击执行多目标攻击的能力也证明了它的多功能性和对不同场景的适应性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410518.html 封面来源于网络，如有侵权请联系删除。

近日，美国军方证实美国陆军特种部队（又名绿色贝雷帽）在5月举行的“快速反应24”军事演习中首次展示了在前线阵地使用攻击性网络安全工具的能力。 大型军演惊现Wi-Fi“爆破”技术 在瑞典Skillingaryd地区举行的“快速响应24”是北约近年来规模最大的一场军事演习（超过1.7万名美国军人和2.3万名多国军人参加），期间美军特种作战小队首次与颠覆性网络安全技术进行了深度融合训练。 在此次演习中，美军特种作战小队成功使用远程访问设备（RAD）扫描了目标建筑，以识别运行其安全系统的Wi-Fi网络。 特战小队随后破解了WiFi密码，随后对内部网络进行了详细分析，团队在网络中四处移动，关闭闭路电视摄像头，打开安全门，并禁用其他安全系统。 与此同时，另一支特种作战小队则进行了物理渗透行动。通过高空跳伞，并徒步七英里，他们顺利接近目标建筑。由于前一支小队的网络干扰，他们能够轻松进入大楼，并安放信号干扰设备，以清除行动痕迹，随后迅速撤离。 “我们现在可以通过信号设备接入目标的WiFi网络，监控目标的位置和活动。”一位特种部队成员解释道。“这（RAD）是一种非常实用的工具，它为我们提供了额外的信息视角，让我们能够更清晰地掌握目标情况。” 特战部队的新战场：网络空间 1991年，美国陆军退役上校约翰·柯林斯首次提出了特种作战部队（SOF）的五大核心原则，这些原则不仅明确了特种部队士兵应具备的素质，还为他们如何在战场上取得胜利指明了方向。其中最重要的一条原则便是：“人员比装备更重要”。然而，尽管自1991年以来特种作战部队的能力已经发生了显著变化，人员依然是核心，但推动特种作战演进的关键力量，却是硬件和技术的不断进步。随着科技的迅猛发展，特种部队士兵的综合作战能力得到了极大提升。他们不仅擅长海陆空作战，如今还掌握了一个全新技能——网络空间（攻击技术）。 美国特战部队在演习中反复训练和掌握攻击性网络安全工具使用技巧，正印证了特种作战部队的第二条核心原则——“质量比数量更重要”。 “在实际作战中，这种技术让我们能够获取以前难以获得的重要情报，”INFIL小队的指挥官表示：“如果我们有明确的作战目标，现在可以通过这种隐秘手段获取关键信息，只要我们执行得当，对方将无法察觉。” 特种作战部队第三条核心原则强调，特种作战部队无法通过大规模生产实现。这些网络入侵技术并非特种部队独有，但将其与高空跳伞、隐秘渗透等特种技能结合，则使得特种作战具备了独一无二的能力。 “我们不仅能实时掌控行动全局，还能与其他小队紧密配合，做到精确执行。”网络小队的一位成员说道。 特种作战部队的第四条核心原则指出，精英部队不是草台班子，无法在紧急时刻临时组建。这也是为什么“快速响应演习”如此重要，它为部队成员提供了在陌生环境中预先磨练技能、验证知识的机会。 特种作战部队第五条核心原则强调，特种部队的成功离不开其他部队的支持。虽然网络入侵和干扰技术并非全新概念，但其不断演进，保持对新技术的了解和掌握至关重要。 “这项能力是我们必须不断训练和更新的，因为它发展得非常快。”网络小队成员说道，“我五年前学习这项技术时，设备和技术与现在相比已经是天壤之别，这领域进步得太快了，几乎像是进入了一个全新的世界。” 尽管网络攻击技术在不断变化，美军特种作战部队的五大核心原则依然不可动摇。网络安全新技能与既有实践相辅相成，推动整个特种作战体系的持续演进。通过在“快速响应24”演习中与瑞典等美国盟友及合作伙伴的协作，美军特种作战部队不仅加强了互操作性，还确保能够迅速应对新兴威胁，并在必要时阻止攻击，维持战略优势。 这一切都表明，特种作战的未来，不仅在于强大的硬件支持，更在于通过反复训练和团队协作，不断提升综合作战能力。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/dXVboVsXQ1w2x68hrjf8cw 封面来源于网络，如有侵权请联系删除。

据观察，与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。 谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示，这些攻击采用编码测试作为常见的初始感染媒介。 研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示：“在最初的聊天对话之后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。” 该恶意软件充当启动器，通过下载第二阶段有效负载（该负载通过启动代理和启动守护进程建立持久性）来危害目标的 macOS 系统。 值得指出的是，这是朝鲜黑客组织开展的众多活动集群之一，这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。 招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。 Mandiant 表示，它观察到一项社会工程活动，该活动发送了一份恶意 PDF，伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。 “恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件，这是一个用 Rust 编写的支持文件执行的后门。”Mandiant 表示。 RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信，并使用伪装成“Safari 更新”的启动代理设置持久性，以便联系硬编码的命令和控制 (C2) 域。 朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学，还包括软件供应链攻击，正如近年来针对3CX和JumpCloud的事件所观察到的那样。 Mandiant 表示：“一旦通过恶意软件建立立足点，攻击者就会转向密码管理器窃取凭证，通过代码库和文档进行内部侦察，并进入云托管环境以泄露热钱包密钥并最终耗尽资金。” 此事披露之际，美国联邦调查局 (FBI) 警告称，朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。 这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人，向其提供就业或投资，这被视为明目张胆的加密货币盗窃的渠道。 值得注意的是，他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究，以及编造个性化的虚假场景，试图吸引潜在受害者并增加攻击成功的可能性。 联邦调查局表示：“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节。如果成功建立双向联系，最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触，以增加合法性、产生熟悉感和信任度。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NfCLcauOW03sMMPV3GuC_w 封面来源于网络，如有侵权请联系删除。

在与机场安全系统相关的应用程序中存在一个有争议的漏洞被披露后，网络安全机构 CISA 做出了回应。 8 月底，研究人员 Ian Carroll 和 Sam Curry 披露了 SQL 注入漏洞的细节，据称该漏洞可能允许攻击者绕过某些机场安全系统。 该安全漏洞是在 FlyCASS 中发现的，FlyCASS 是为参与驾驶舱进入安全系统 (CASS) 和已知机组人员 (KCM) 计划的航空公司提供的第三方服务。 KCM 是一个程序，运输安全管理局 (TSA) 的安全官员用来核实机组人员的身份和就业状况，从而使飞行员和空乘人员能够绕过安全检查。 CASS 允许航空公司登机口工作人员快速确定飞行员是否有权使用飞机驾驶舱折叠座椅，这是驾驶舱中的额外座位，可供上下班或旅行的飞行员使用。 FlyCASS 是一款基于 Web 的 CASS 和 KCM 应用程序，适用于小型航空公司。 卡罗尔和库里发现FlyCASS 中存在 SQL 注入漏洞，该漏洞使他们能够获得参与航空公司账户的管理员访问权限。 据研究人员称，通过这种访问，他们能够管理与目标航空公司相关的飞行员和乘务员名单。他们在数据库中添加了一名新“员工”来验证他们的发现。 “令人惊讶的是，航空公司无需进一步检查或认证即可添加新员工。作为航空公司的管理员，我们可以将任何人添加为 KCM 和 CASS 的授权用户。”研究人员解释道，“任何具备 SQL 注入基本知识的人都可以登录该网站，并将任何人添加到 KCM 和 CASS，这样他们既可以跳过安全检查，又可以进入商用客机的驾驶舱。” 研究人员表示，他们在 FlyCASS 应用程序中发现了“几个更严重的问题”，但在发现 SQL 注入漏洞后立即启动了披露流程。 这些问题于 2024 年 4 月报告给了 FAA、ARINC（KCM 系统的运营商）和 CISA。根据他们的报告，KCM 和 CASS 系统中的 FlyCASS 服务被禁用，并且发现的问题得到了修补。 然而，研究人员对披露过程感到不满，声称 CISA 承认了这个问题，但后来停止了回应。此外，研究人员声称 TSA“就该漏洞发表了危险的错误声明，否认了我们发现的东西”。 美国运输安全局在接受《SecurityWeek》采访时表示，FlyCASS 漏洞不可能像研究人员所说的那样轻易被利用来绕过机场安全检查。 该公司强调，这不是 TSA 系统中的漏洞，受影响的应用程序未连接到任何政府系统，并表示不会对运输安全造成影响。 “今年 4 月，TSA 获悉一份报告称，第三方数据库中存在一个漏洞，其中包含航空公司机组人员信息，通过测试该漏洞，一个未经核实的姓名被添加到数据库的机组人员名单中。政府数据或系统没有受到损害，这些活动也没有对交通安全造成影响。”TSA 发言人在电子邮件声明中表示。 TSA 并不完全依赖这个数据库来验证机组人员的身份。TSA 已制定程序来验证机组人员的身份，只有经过验证的机组人员才允许进入机场的安全区域。TSA 与利益相关者合作，以减轻任何已发现的网络漏洞。 当该消息曝光时，CISA 并未针对这些漏洞发表任何声明。 该机构现已回应了SecurityWeek 的评论请求，但其声明并未对 FlyCASS 缺陷的潜在影响提供太多澄清。 “CISA 意识到 FlyCASS 系统中使用的软件存在漏洞。我们正在与研究人员、政府机构和供应商合作，以了解系统中的漏洞以及适当的缓解措施。”CISA 发言人表示，并补充道，“我们正在监测任何被利用的迹象，但迄今为止尚未发现任何漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LZib6CKr144EYLWOHmziWQ 封面来源于网络，如有侵权请联系删除。

随着战争的持续，乌克兰军事人员不仅在战场上面临威胁，而且在其设备上也面临威胁。 乌克兰机构发现两起针对乌克兰军事人员设备的网络攻击。 黑客通过 Signal 信使向这些人发送消息，其中包含看起来像乌克兰 Griselda 和“Eyes”军事系统的移动应用程序的链接。 根据其网站，Griselda 是一个使用人工智能（AI）自动输入、处理和传输信息的系统，“Eyes”是指军事追踪系统。 军人被要求下载的这些移动应用程序实际上并非来自这两个实体。相反，它们是包含恶意软件和潜在恶意代码的假冒应用程序。 乌克兰计算机应急响应小组 (CERT-UA) 和乌克兰国防部及武装部队 (MILCERT) 发现，这是一次试图窃取身份验证数据以访问敏感军事系统的攻击。此次攻击还经过精心策划，旨在识别并提取设备的 GPS 坐标。 欺诈性的 Griselda 链接会将受害者引导至一个冒充该项目官方网页的傀儡网站。该网站提示受害者下载 Griselda 应用程序的移动版本。 该设备并没有下载所谓的 Griselda 应用程序，而是安装了数据窃取恶意软件 Hydra。 与此同时，“Eyes” 也遭到了攻击。军方人员被告知有文件可供下载。然而，这不是普通文件，而是已被修改并感染了第三方代码，安装会导致数据被窃取，进而识别设备的 GPS 坐标。 黑客试图窃取极其敏感的数据，这些数据可能会泄露军人的位置，从而危及生命。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gghbWBydUYoI_kcSI4XENw 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，有黑客使用一种假冒的 OnlyFans 工具瞄准其他黑客，声称可以用来帮助窃取用户帐户，但实际上却是用 Lumma信息窃取器对这些黑客发动入侵。 这项由 Veriti Research 发现的现象反映了网络犯罪分子之间并非是统一的”猎食者“身份，彼此之间的背刺时有发生。 这次黑客所利用的OnlyFans 是一个非常受欢迎、基于用户订阅的内容创作平台，创作者可以与订阅者分享视频、图像、消息和直播流，而订阅者则需要支付经常性费用或一次性付款以获得独家内容。鉴于它的受欢迎程度，OnlyFans 帐户经常成为攻击者的目标，试图劫持账户、勒索账户所有者支付赎金，或者干脆泄露私人照片。 黑客论坛上的OnlyFans恶意工具广告 因此，黑客开发了一种能快速验证账户的工具，检查登录信息是否与任何 OnlyFans 账户匹配，以及是否仍然有效，否则，黑客就必须手动测试成千上万个凭证，其过程既不现实又繁琐，导致该计划无法实施。 然而，正是由于该工具由黑客创建并在其他黑客中传播，处于竞争关系的黑客必然在其中留了一手，对其他黑客窃取信息以将自身利益最大化。 Veriti发现的假冒OnlyFans 工具内含有Lumma信息窃取器，有效载荷名为 “brtjgjsefd.exe”，是从 GitHub 存储库中获取并加载到受害者计算机中。Lumma 自 2022 年以来一直以每月 250-1000 美元的价格出租给网络犯罪分子，并通过各种方式传播，包括恶意广告、YouTube 评论、种子文件以及最近的 GitHub 评论。 Lumma 具有创新的规避机制和恢复过期谷歌会话令牌的能力。 它主要用于窃取双因素身份验证代码、加密货币钱包，以及存储在受害者浏览器和文件系统中的密码、cookie 和信用卡。 Lumma 本身也是一个加载器，能够在被入侵系统中引入额外的有效载荷，并执行 PowerShell 脚本。 Veriti 发现，当 Lumma Stealer 有效载荷启动时，它会连接到一个名为 “UserBesty “的 GitHub 账户，幕后黑客利用该账户托管其他恶意有效载荷。 这并不是黑客第一次针对其他网络犯罪分子进行恶意攻击。 2022 年 3 月，黑客利用伪装成破解 RAT 和恶意软件构建工具的剪贴板窃取程序来窃取加密货币。 同年晚些时候，一名恶意软件开发者在自己的恶意软件中设置了后门，以窃取其他黑客的凭证、加密货币钱包和 VPN 账户数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410373.html 封面来源于网络，如有侵权请联系删除。

本用于红队演练的MacroPack框架，如今正被恶意攻击者滥用，利用其强大的反检测功能来投放恶意负载（包括Havoc、Brute Ratel和PhantomCore等）。据思科Talos安全研究人员分析，MacroPack正被多个国家的威胁者用于发动攻击，涉及来自美国、俄罗斯、中国、巴基斯坦等国家的大量恶意文档。 MacroPack：从安全工具到网络威胁 MacroPack最初由法国开发者Emeric Nasi设计，旨在为红队提供演练和模拟对手行为的工具。其功能包括绕过反恶意软件检测、反逆向技术、代码混淆以及将恶意脚本嵌入文档的能力。 然而，这一框架现已成为攻击者的利器，通过文档加载恶意代码。 思科Talos报告指出，他们在野外捕获了大量使用MacroPack生成的恶意文档。这些文档具有明显的特征，比如基于Markov链的函数和变量重命名、删除注释与多余的空格字符等，旨在降低静态分析检测的成功率。此外，MacroPack Pro版本会在文档中添加特定的VBA子程序，这是攻击者使用该工具的“指纹”。 全球四大攻击集群 思科Talos团队根据地理位置和攻击模式，归纳出滥用MacroPack的四大攻击集群（源头）： 中国：来自中国和巴基斯坦IP地址的恶意文档（2024年5月至7月）指示用户启用宏功能，并传送Havoc和Brute Ratel负载。这些负载与位于中国河南的C2服务器（AS4837）通信。 巴基斯坦：具有巴基斯坦军方主题的文档，上传自巴基斯坦，伪装成巴基斯坦空军的公告或就业确认文档，部署了Brute Ratel恶意软件。攻击者通过DNS over HTTPS和Amazon CloudFront通信，其中一份文档还嵌入了用于Adobe Experience Cloud追踪的Base64编码数据。 俄罗斯：2024年7月，从俄罗斯IP地址上传的一份空白Excel工作簿部署了名为PhantomCore的Golang后门，用于间谍活动。文档包含多阶段VBA代码，试图从远程URL下载后门程序。 美国：2023年3月上传的一份文件伪装为加密的NMLS续签表单，使用了Markov链生成的函数名以逃避检测。文档包含的多阶段VBA代码，在尝试下载未知负载前会检查沙箱环境。 总结：红队工具黑化新趋势 MacroPack的滥用标志着一种新趋势，黑客正越来越多地利用原本用于安全演练的工具发起攻击。尽管MacroPack本身并非恶意软件，但其强大的混淆和反检测能力使其成为网络犯罪分子的利器，未来可能会出现更多此类工具被滥用的案例。 此外，MacroPack框架的滥用表明，黑客正在不断升级他们的工具库，结合先进的反检测技术和社交工程攻击。这一趋势需要全球安全团队加强对文档恶意软件的检测和防御，特别是在处理宏功能和复杂混淆代码的文档时保持高度警惕。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/i8admdYWgZuVD4bU–weeA 封面来源于网络，如有侵权请联系删除。

自 2023 年 6 月以来，中东和马来西亚的未具名政府实体成为名为 Tropic Trooper 的黑客组织精心策划的持续网络攻击的目标。 卡巴斯基安全研究员谢里夫·马格迪表示：“在中东重要政府机构，特别是与人权研究相关的机构中发现该组织的（战术、技术和程序），标志着他们的新战略举措。” 卡巴斯基研究人员表示，它在 2024 年 6 月发现了新版本的Web Shell，它在托管名为 Umbraco 的开源内容管理系统 (CMS) 的公共网络服务器上检测到了这一活动，该 Shell 是许多黑客共享的工具，用于远程访问受感染的服务器。 该攻击链旨在传递一个名为Crowdoor的恶意软件植入程序，这是 ESET 早在 2021 年 9 月记录的SparrowDoor后门的变种。 Tropic Trooper 又名 APT23、Earth Centaur、KeyBoy 和 Pirate Panda，据评估，该组织自 2011 年以来一直活跃，与另一个被追踪为 FamousSparrow 的入侵组织有着密切的联系。 人们怀疑这些 Web Shell 是通过利用可公开访问的 Web 应用程序中的已知安全漏洞来传递的，例如 Adobe ColdFusion（CVE-2023-26360）和 Microsoft Exchange Server（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207）。 Crowdoor 于 2023 年 6 月首次被发现，它还可充当加载器来释放 Cobalt Strike 并在受感染的主机上保持持久性，同时还可充当后门来收集敏感信息、启动反向 shell、擦除其他恶意软件文件并终止自身。 “当攻击者意识到他们的后门被检测到时，他们会尝试上传更新的样本来逃避检测，从而增加了他们的新样本在不久的将来被发现的风险。”卡巴斯基研究人员指出，“此次入侵的重要意义在于，我们发现一名攻击者针对一个内容管理平台进行攻击，该平台发布有关中东人权的研究，特别关注以色列与哈马斯冲突的局势。我们对此次入侵的分析表明，整个系统是攻击的唯一目标，表明攻击是故意针对这一特定内容。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qK_sGGP8JgGTTN5WiJ64Rg 封面来源于网络，如有侵权请联系删除。

Check Point Research 最近曝光了一个新的分发即服务 (DaaS) 网络，称为 Stargazers Ghost Network，该网络至少在一年前就在 GitHub 上传播恶意软件。由于这些账户也执行正常活动，因此用户并未意识到这些账户正在执行恶意活动。 这些幽灵账户针对的是那些想要增加 YouTube、Twitch 和 Instagram 粉丝的用户，通过 Discord 频道向 GitHub 存储库分发恶意链接。由于恶意链接指向已加星标和验证的内容，其他用户会认为这些存储库是合法的。然而，高星标数量让 Check Point 研究人员意识到这些账户很可疑。 恶意软件通过密码加密的档案发布进行分发 “在短短的监控期内，我们发现了 2,200 多个发生‘幽灵’活动的恶意存储库。在 2024 年 1 月左右的一次活动中，该网络传播了 Atlantida 窃取程序，这是一个新的恶意软件家族，可窃取用户凭据和加密货币钱包以及其他个人身份信息 (PII)。这次活动非常有效，因为在不到四天的时间内，超过 1,300 名受害者感染了 Atlantida 窃取程序。”Check Point Research 报告中写道。 通过使用三个 GitHub 帐户协同工作，Stargazers Ghost Network 成功避开了 GitHub 的检测。当攻击者将包含钓鱼下载链接的 README.md 文件附加到外部存储库的发布版本时，攻击就开始了。 一个帐户提供钓鱼存储库模板，而另一个帐户提供钓鱼图像模板。然后，第三个帐户将恶意软件作为发布版本中受密码保护的存档提供，有时攻击就是在这里检测到的，然后第三个帐户被 GitHub 禁止。如果发生这种情况，攻击者就会使用第一个帐户中的新链接再次发起攻击。 暗网赚钱 研究人员还发现了该计划的另一部分——利用幽灵账户在暗网上赚钱。CheckPoint 估计，2024 年 5 月中旬至 6 月中旬的恶意活动为 Stargazers Ghost Network 带来了约 8,000 美元的收入。Check Point 估计，该计划在整个生命周期内带来了约 100,000 美元的收入。 2023 年 7 月 8 日，Terefos 团队发现 Stargazers Ghost Network 在暗网上发布了横幅广告。网络犯罪分子可以“雇佣”幽灵账户，获得 GitHub 上的各种服务，包括加星标、关注、分叉和关注账户和存储库。 这些服务的价格各不相同，例如加星标 100 个账户需 10 美元，而为受信任的账户提供“陈旧”存储库则需 2 美元。除了广告横幅，网络犯罪分子还使用了另一种典型的营销策略：折扣。在 Stargazers Ghost Network 上花费超过 500 美元的威胁行为者可以获得服务折扣。 GitHub 采取行动 在了解到这 3,000 个幽灵账户后，GitHub 采取行动阻止恶意软件的传播。 Check Point 的研究人员认为，幽灵账户在许多其他平台上运作，包括 YouTube、Discord、Instagram 和 Facebook。由于这些渠道还可用于通过帖子、存储库、视频和推文分发链接和恶意软件，Check Point 认为这些账户的运作方式类似于 GitHub 计划，这意味着这很可能只是一种新策略的开始。 Check Point 报告总结道：“未来的幽灵账户可能会利用人工智能 (AI)模型来生成更具针对性和多样性的内容，从文本到图像和视频。通过考虑目标用户的回复，这些由人工智能驱动的账户不仅可以通过标准化模板来推广网络钓鱼材料，还可以通过针对真实用户的需求和互动量身定制的响应来推广网络钓鱼材料。恶意软件传播的新时代已经到来，我们预计这些类型的操作将更频繁地发生，这使得区分合法内容和恶意材料变得越来越困难。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jbtBFnvYnPHHUn8PuwjpAA 封面来源于网络，如有侵权请联系删除。