Aggregator

生成式人工智能的发展既带来了有益的生产力转型机会，也提供了被恶意利用的机会。

主站 分类 漏洞 工具 极客

HackerNews 编译，转载请注明出处： Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体，该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。 这家科技巨头的云部门在其第11期《威胁地平线报告》中表示：“该行为体从事了多种威胁活动，包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。” TRIPLESTRENGTH从事三类恶意攻击，包括非法加密货币挖掘、勒索软件和敲诈，并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。 目标云实例的初步访问是通过被盗的凭证和cookie实现的，其中一些源自Raccoon信息窃取器的感染日志。被劫持的环境随后被滥用，以创建用于挖掘加密货币的计算资源。 该活动的后续版本被发现利用高度特权账户，将攻击者控制的账户作为受害者的云项目中的计费联系人，以便为挖掘目的设置大型计算资源。 加密货币挖掘是通过使用unMiner应用程序和unMineable挖掘池进行的，根据目标系统，采用CPU和GPU优化的挖掘算法。 颇为不寻常的是，TRIPLESTRENGTH的勒索软件部署操作主要针对本地资源，而非云基础设施，使用的勒索软件包括Phobos、RCRU64和LokiLocker。 Google Cloud表示：“在专注于黑客活动的Telegram频道中，与TRIPLESTRENGTH有关联的行为体发布了RCRU64勒索软件即服务（RaaS）的广告，并寻求合作伙伴参与勒索软件和敲诈勒索活动。” 在2024年5月的一起RCRU64勒索软件事件中，据说威胁行为体首先通过远程桌面协议获得初步访问权限，随后执行横向移动和防病毒防御规避步骤，在多个主机上执行勒索软件。 TRIPLESTRENGTH还经常在Telegram上宣传访问被入侵的服务器，包括托管提供商和云平台的服务器。 Google表示，已采取措施应对这些活动，包括强制实施多因素身份验证（MFA）以防止账户被接管的风险，并推出改进后的日志记录功能，以标记敏感计费操作。 这家科技巨头表示：“单个被盗的凭证可能引发连锁反应，使攻击者能够访问本地和云中的应用程序和数据。” “这种访问权限可进一步被利用，通过远程访问服务破坏基础设施、操纵MFA，并为后续的社会工程学攻击建立可信的存在。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。 沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。” 该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。 QakBot（又称QBot和Pinkslipbot）在2023年遭受重大运营挫折，其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后，不断有传播该恶意软件的零星活动被发现。 QakBot最初被设计为银行木马，后来被改造为加载程序，能够在目标系统上交付下一阶段的有效载荷，如勒索软件。QakBot和IcedID的一个显著特点是其BC模块，该模块使威胁行为者能够将主机用作代理，并通过嵌入的VNC组件提供远程访问通道。 沃尔玛的分析显示，BC模块除了包含对旧版QakBot样本的引用外，还得到了进一步增强和开发，用于收集系统信息，在某种程度上充当自主程序，以便利后续利用。 沃尔玛表示：“我们所说的这款恶意软件是一个独立的后门程序，利用BackConnect作为媒介，允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。” Sophos也对BC恶意软件进行了独立分析，将该软件的痕迹归因于其追踪的威胁集群STAC5777，该集群与Storm-1811重叠，Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。 这家英国网络安全公司指出，STAC5777和STAC5143（一个可能与FIN7有联系的威胁集团）都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标，诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限，以安装Python后门和Black Basta勒索软件。 Sophos表示：“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户，并利用Microsoft Teams的默认配置，该配置允许外部域的用户与内部用户发起聊天或会议。” 沃尔玛表示，鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件，而新款BC模块的出现，再加上Black Basta近几个月也分发了ZLoader的事实，这表明了一个高度互联的网络犯罪生态系统，其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

error code: 521

Part1 前言 大家好，我是ABC_123。在之前的文章中，ABC_123给大家介绍了很多美国NSA的技战法，很多在今天看来仍然是超过大众认知的，今天给大家继续介绍美国NSA的量子DNS的注入攻击

Deepseek v3 is an open source AI model that is challenging OpenAI's dominance.  I decided to giv

A new proof-of-concept (PoC) has been released for Microsoft Outlook zero

A new proof-of-concept (PoC) has been released for Microsoft Outlook zero-click remote code execution (RCE) vulnerability in Windows Object Linking and Embedding (OLE), identified as CVE-2025-21298. The PoC demonstrates memory corruption, shedding light on the flaw’s potential for exploitation stemming from a double-free condition in the ole32.dll component, which can lead to serious security risks […]

The post PoC Exploit Released For Critical Microsoft Outlook (CVE-2025-21298) Zero-Click RCE Vulnerability appeared first on Cyber Security News.

Operation（Giỗ Tổ Hùng Vương）hurricane：浅谈新海莲花组织在内存中的技战术；Lazarus 利用Electron程序瞄准加密货币行业；疑似APT29利用Sliver恶意软件攻击德国实体