HackerNews

根据一份新报告，2024 年上半年，勒索软件攻击的受害者被勒索了超过 4.59 亿美元，凸显日益严重的危机，这场危机已经影响了从大公司到地方政府和医院的所有组织。 区块链研究公司 Chainalysis 追踪了向勒索软件攻击者控制的钱包进行的加密货币支付，发现从这些犯罪分子那里赚取的金额增加了 1000 万美元，而去年的数字为 4.491 亿美元。 研究人员表示，支付的速度使世界“坚定地走上了有记录以来最糟糕的一年”。其他几项统计数据表明，勒索软件问题只会越来越严重。除了创纪录的支付赎金7500万美元外——其他区块链分析师也证实了这一点——支付的中位数也有所增长。 对于最具威胁性的群体——今年收到最高金额超过 100 万美元的群体——赎金中位数从 2023 年第一周的 198,939 美元增加到 2024 年 6 月中旬的 150 万美元。 研究人员说：“这种模式可能表明，勒索软件新变种针对大型企业和关键基础设施提供商，由于这些目标的雄厚财力和系统重要性，这些企业和关键基础设施提供商更有可能支付巨额赎金。” 这些数字与包括 Sophos 在内的其他网络安全公司追踪的数据相符，该公司最近释放的一份报告显示，2024 年支付赎金的 49 个州和地方政府的勒索中位数为 220 万美元。 跟踪支付还显示，勒索软件攻击变得越来越频繁，今年记录的攻击至少增加了 10%。 但是，尽管攻击频率和支付规模有所增加，但支付赎金的受害者数量似乎减少了。 研究人员表示，与去年相比，“勒索软件支付事件”的数量下降了27%，这表明更多的受害者可能准备得更充分，并选择自己从攻击中恢复过来。 事件响应公司Kiva Consulting的总法律顾问安德鲁·戴维斯（Andrew Davis）表示，他们受雇协助的攻击事件中有65%在没有支付赎金的情况下得到解决。 戴维斯补充说，取缔 ALPHV/BlackCat 和 LockBit 勒索软件组织的执法行动已经分裂了网络犯罪格局，迫使附属公司迁移到效果较差的其他勒索软件团伙。 “无论是这些知名攻击者行动的前附属机构，还是勒索行业新贵，大量新的勒索软件组织都加入了这场争夺战，展示了新的方法和技术来实施他们的攻击，扩大他们的初始访问手段和横向移动方法。”他说。 虽然政府官员最近几周质疑勒索软件基础设施拆除质疑有效性，但一些研究人员表示，这些数据说明了这些操作的重要性。执法部门的联合行动“对于遏制勒索软件犯罪至关重要”。 2023 年支付了创纪录的 10亿美元的赎金，部分来自几起备受瞩目的攻击，包括 Clop 利用流行的文件传输工具和 ALPHV/BlackCat 对凯撒酒店物业的攻击。 Chainalysis 通常会每年修改赎金支付数字，因为他们发现犯罪分子使用的加密钱包更多。 加密货币盗窃 勒索软件并不是 Chainalysis 警告的唯一网络安全威胁——研究人员表示，加密货币抢劫案也在增加。2024 年上半年，网络犯罪分子从此类攻击中净赚了近 16 亿美元，高于 2023 年同期的 8.57 亿美元。 对加密货币平台的攻击数量基本保持稳定，但与去年相比，黑客在每次攻击中都窃取了更多的钱。与去年上半年的590万美元相比，今年盗窃案的平均价值增长到1060万美元。 Chainalysis将这在很大程度上归因于加密货币（尤其是比特币）的价值增加，与去年相比，去年市场在几个主要平台关闭后崩溃。 今年最大的攻击是针对DMM，被盗3.05亿美元被盗。 根据 Chainalysis 的说法，提供去中心化金融 （DeFi） 服务的公司提高了安全性，将大多数黑客拒之门外，迫使他们“回归本源，并在四年后再次瞄准中心化交易所，这些交易所通常不交易比特币”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vdOE6L3MFUbO9EqENqtV2g 封面来源于网络，如有侵权请联系删除

据伊朗国际报道，伊朗中央银行（CBI）和该国其他几家银行的运营受到大规模网络攻击。此次攻击使该国银行的计算机系统瘫痪。 事件发生之际，国际社会对伊朗在中东行动的关注度不断加强，因为德黑兰宣布，除非加沙冲突停火，否则将对以色列发动袭击。情报专家还指责伊朗试图影响即将举行的美国总统大选。 据伊朗国际报道，这是迄今为止伊朗国家基础设施遭受的最大规模网络攻击之一。 周三早些时候，伊朗最高领袖阿亚图拉·阿里·哈梅内伊表示：“美国、英国和犹太复国主义者夸大敌人的能力，目的是在我们人民中散布恐惧。敌人的力量并不像宣传的那样强大。我们必须依靠自己。敌人的目标是通过心理战迫使我们在政治和经济上撤退，从而实现其目标。” “此次网络攻击发生之际，国际社会对伊朗在该地区的行为进行了更严格的监视，因为伊朗誓言要对本月早些时候暗杀哈马斯领导人伊斯梅尔·哈尼耶进行报复。英国、法国和德国领导人发表联合声明，警告伊朗‘将对任何针对以色列的袭击承担责任’，这可能会进一步加剧地区紧张局势，并危及停火和人质释放协议的努力。”以色列网站《以色列今日报》报道。 欧盟领导人呼吁伊朗及其盟友避免进一步袭击，以避免以色列与哈马斯之间的紧张局势再次升级。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/THzwhHJr8HLdc6VleMgoqw 封面来源于网络，如有侵权请联系删除

根据安全研究人员的最新调查，俄罗斯国家安全机构正在针对美国、欧洲和俄罗斯的民间社会成员发起越来越复杂的网络钓鱼攻击，在某些情况下，他们会冒充与攻击目标有私人关系的个人。 在多伦多大学公民实验室和Access Now发布了新报告，研究人员表示，与俄罗斯有关的攻击在社会工程策略和技术方面都变得更加复杂。 最近一系列袭击事件的目标包括前美国驻乌克兰大使史蒂芬·皮弗 (Steven Pifer)和流亡的俄罗斯出版商波琳娜·马克霍德 (Polina Machold)。 就皮弗的案例而言，研究人员表示，他之所以成为攻击目标，是因为有人与皮弗进行了一次“高度可信”的交流，其中有人冒充了皮弗认识的另一位前美国大使。 Machold 的案件同样采用了更为复杂的攻击方法。这位出版商于 2021 年夏天被俄罗斯驱逐出境后居住在德国，2023 年 11 月，她之前曾与另一家出版商的一位同事通过电子邮件首次联系了她。他让她查看附件，但没有附件。她回答说附件不见了。 几个月后，他再次联系她，这次使用的是 Proton Mail 的用户名，Proton Mail 是一种免费且安全的电子邮件服务，记者经常使用。她说，当她打开那封电子邮件，发现附件看起来像是 Proton Mail 驱动器时，她开始感到警觉。她打电话给联系人，对方震惊地表示，他没有给她发电子邮件。 “我以前从未见过这样的事情。他们知道我和这个人有联系。尽管我认为自己处于高度警惕状态，但我却一无所知。”Machold说。 研究人员表示，针对 Machold 和 Pifer 的网络钓鱼活动是由一个名为 Coldriver 的攻击者实施的。第二个攻击者名为 Coldwastrel，其攻击模式类似，而且似乎也专注于俄罗斯感兴趣的目标。 Access Now 高级技术法律顾问 Natalia Krapiva 表示：“这项调查显示，流亡的俄罗斯独立媒体和人权组织面临着与针对现任和前任美国官员的同类高级网络钓鱼攻击。但他们保护自己的资源要少得多，而且受到攻击的风险要大得多。” 几乎所有接受研究人员采访的目标人物都出于自身安全考虑选择匿名，研究人员表示，大多数目标人物的共同点是他们“在敏感社区中拥有广泛的人脉”。 观察到的最常见策略是攻击者与目标发起电子邮件交流，伪装成目标认识的人；要求目标查看文档。附加的 PDF 通常声称使用 Proton Drive 等注重隐私的服务进行加密，登录页面甚至可能预先填充目标的电子邮件地址，使其看起来合法。如果目标输入密码和双因素代码，攻击者就可以将信息发回给他们，从而让他们能够访问目标的电子邮件帐户。 “一旦这些攻击者获得凭证，我们认为他们会立即采取行动，访问电子邮件帐户和任何在线存储，如 Google Drive，以获取尽可能多的敏感信息。”公民实验室高级研究员 Rebekah Brown 表示。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bprMEnkE-dZYdLRSmdn7wg 封面来源于网络，如有侵权请联系删除

7月4日，Cybernews研究团队发现智利最大的养老金和社会保障基金 Caja Los Andes 发生大规模数据泄露，泄露的数据包括个人姓名、家庭住址、出生日期、电话号码、信用额度等等，影响了1000万智利人民。这一惊人数字占智利总人口的一半以上。 Caja Los Andes 成立于 1953 年，是智利最大的家庭津贴补偿基金 (CCAF)。它为公民提供健康保险、养老基金、贷款和抵押贷款。该公司拥有近 3,000 名员工，拥有约 1000 亿智利比索（约合 10 亿美元）的股本。 智利的 CCAF 基金是社会保障体系的一部分，为公民提供重要的金融服务，如此大规模的泄漏令人极为担忧，影响到了该国的广泛区域。 此次泄密事件源于该组织的Apache Cassandra数据库缺乏身份验证，这一数据库存储了公民的私人数据，这一配置错误使得互联网上的任何人都可访问这些数据。 据报道，尽管该基金在 2023 年拥有超过 400 万会员，但泄露的数据集包含的数据是该数量的两倍多。 Cybernews 研究团队解释道：“这表明泄露的数据库可能包括家庭成员、已更换服务提供商的个人，甚至可能涉及已经去世的人。” 令人震惊的是，这次泄露使该基金数百万客户面临身份盗窃的风险，他们的个人信息可能被用于欺诈、有针对性的诈骗和网络钓鱼攻击。 1000人的姓名和电话号码。 Cybernews 的研究人员表示：“家庭住址和财务信息泄露，再加上此次数据泄密，使得这些人容易遭受有针对性的抢劫或人身威胁。更为严重的是，即使没有产生直接的威胁，他们仍可能成为诈骗的主要目标。泄露的数据中还包含了大量的个人身份信息，如电子邮件地址，这使得数据集成为网络钓鱼攻击的宝贵目标。” 1000 万人的姓氏和家庭住址。 除了对CCAF基金的客户产生威胁外，此类数据泄露还会给该组织带来严重的声誉损害风险。根据智利的数据保护法，泄露个人数据的公司可能面临严厉处罚，包括高达年收入4%的罚款，以及受影响个人可能提起的大规模诉讼。 Cybernews已联系Cajas Los Andes，泄露事件已得到控制，但尚未收到官方回应。 分支机构   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全内参8月14日消息，英国最危险的核设施——塞拉菲尔德（Sellafield）因一系列网络安全失误面临刑事指控。近日，该公司对相关指控表示认罪，并承认其失误可能对国家安全构成威胁。 伦敦威斯敏斯特地方法院获悉，这个位于坎布里亚的大型核废料堆场中，75%的计算机服务器都易受网络攻击。 塞拉菲尔德是一个庞大的核废料堆场，储存着核武器制造及几十年来核电站发电产生的废料。该设施拥有约1.1万名员工，隶属于由纳税人所有并资助的核退役管理局。 塞拉菲尔德发生一系列严重IT失误 英国核监管机构透露，有可能威胁国家安全的信息被暴露了长达四年之久，而塞拉菲尔德声称一直在进行关键的IT健康检查，实际上这些检查并未进行。 去年年底，英媒《卫报》通过“核泄漏”调查揭示，这家国有公司在过去几年中发生了一系列IT失误，面临放射性污染，且其工作文化“有毒”。 《卫报》的调查还曝光了其他严重问题。例如，外部承包商在无人监督的情况下能够将U盘插入塞拉菲尔德的系统。此外，该核设施的计算机服务器极度不安全。由于其敏感性和危险性，这个问题甚至被戏称为《哈利·波特》故事中的“伏地魔”。 塞拉菲尔德在今年6月承认了由核监管办公室（ONR）提出的指控，这些指控涉及2019年至2023年间的一系列信息技术安全违规行为。 目前，该公司正在等待最终判决。首席法官Paul Goldspring表示，判决将在几周内做出。核监管办公室表示，预计判决将在9月进行。 庭审暴露塞拉菲尔德的IT脆弱状况 在8月8日举行的判决听证会上，法院听取了核监管办公室代理律师Nigel Lawrence KC所陈述的情况：一项测试发现，可以通过网络钓鱼攻击将恶意文件下载并执行到塞拉菲尔德的IT网络，而“不会触发任何警报”。 Lawrence律师援引该地分包商Atos的报告指出，这个全球最大的钚储存场对内外部网络攻击都极为脆弱，其75%的服务器不安全。 塞拉菲尔德外部IT公司Commissum的报告也指出，任何“技术熟练的黑客或恶意内部人员”都可以访问敏感数据并植入恶意软件（计算机代码），这些代码可用于窃取信息。 塞拉菲尔德的代理律师Paul Greaney KC代表公司引用了一份书面证人声明，表明首席执行官Euan Hutton对数年来的失误表示歉意。Hutton表示：“我再次代表公司为导致这些诉讼的事件道歉……我真诚地相信，导致此次起诉的问题已经成为过去。” Greaney律师表示，公司试图通过更换该地点的IT管理层并建立一个新的安全数据中心来解决其网络安全问题。该律师还表示，近年来发现的一些问题被检方 “火上浇油”。这些失误并非出于节约成本的考虑。他补充道：“我们没有抠门。” 法院还获悉，一个分包商错误地接收了4000个文件，其中13个被归类为“官方/敏感”文件，但并未触发任何警报。 Lawrence律师指出，由于使用Windows 7和Windows 2008等“过时”技术，该行业的特殊分类系统敏感核信息（SNI）部分被暴露 SNI是一种分类信息的方式，可能涉及国家安全，在法律上具有特殊地位，类似于英国安全部门或公务员处理的其他机密材料。核监管办公室规定，如果信息被认为“对计划实施敌对行为的对手有价值”，则会被授予SNI状态。 各方均表示这些失误非常严重。首席法官Paul Goldspring表示，他需要在权衡纳税人负担的同时，确保对该行业其他人起到震慑作用，防止他们犯下类似罪行。 首个因IT安全被起诉的核设施 法官表示，此次判决对所有人来说都是“全新的领域”，因为此前从未有核设施因类似问题被起诉过。 英国的公共支出监察机构国家审计署今年启动了对塞拉菲尔德成本和风险的调查。 《卫报》去年报道，该设施的系统在去年12月被与俄罗斯等国有关的团体入侵，植入了可能潜伏并用于间谍或攻击系统的“沉睡”（sleeper）恶意软件。 当时，塞拉菲尔德表示，没有证据表明网络攻击得逞。Greaney律师告诉法院，没有发现针对塞拉菲尔德的“有效”网络攻击的证据。法院得知，塞拉菲尔德的操作中心被发现“无法对测试攻击做出适当的报警和响应”。 “塞拉菲尔德非常重视网络安全，这从我们的认罪中可以体现出来。这些指控涉及历史性违规行为，并无任何暗示公共安全受到威胁。”一位公司发言人表示，“塞拉菲尔德并未遭受成功的网络攻击，也未丢失任何敏感核信息。我们已经对我们的系统、网络和结构进行了重大改进，以确保我们获得更好的保护和更强的弹性。” 核监管办公室拒绝发表评论。塞拉菲尔德已同意支付5.3万英镑的法律费用。   转自安全内参，原文链接：https://www.secrss.com/articles/69143 封面来源于网络，如有侵权请联系删除

全球最大代码托管平台GitHub发生了全球性宕机事件，Copilot也一并瘫痪。据最新报道，此次宕机影响了GitHub网站及其多项服务，包括pull requests、GitHub Pages和GitHub API等。 但目前系统已经回归正常，根据美国东部时间昨晚 8：26 的状态消息，该公司已经回滚了导致此番事故的数据库基础设施变更，并表示服务现已“全面恢复运行”。 根据当时的访问情况来看，前往 GitHub 主网站后页面会显示一条错误消息，提示“当前没有可用于响应您请求的服务器”。但不久之后，GitHub 网站恢复运行。在后续事件报告当中，GitHub 一一罗列了 pull requests、GitHub Pages 以及 GitHub API 等受影响服务。 而且事件的扩散速度也相当夸张。GitHub 的首条状态消息公布于美东时间晚 7：11，而几分钟后其再次报告多项服务发生问题。这些问题的影响范围似乎也相当普遍，Downdetector 显示有超 1 万名用户表示受到牵连。另外问题发生得也相当突然。当天晚 7：13，互联网监控服务 BetBlocks 亦发布消息称 GitHub“正经历一波跨国服务中断”。 随后没多久，GitHub 发布状态称 Copilot 也崩了！有人在 Hacker News 上调侃称：“这下所有 AI 原生应用开发者可以正当光明摸鱼了，因为 Copilot 已经瘫痪了”。 8 月 14 日，GitHub 发布更新称在经历重大中断后，其服务现已恢复正常。 微软在 2018 年 10 月以 75 亿美元的价格收购了代码存储库 GitHub，在微软的管理下 GitHub 表现出了强劲的增长势头，从购买时的不到 4000 万用户增长到现在的 7300 多万的开发者用户，他们依靠该服务通过 Git 进行版本控制，并为软件开发提供托管服务。 GitHub 是一个大型的代码库，在开发者和公司在该服务上托管整个项目和代码时非常流行。苹果、亚马逊、Google、Facebook 和许多其他大型科技公司都使用 GitHub。 但一些用户称，自此以后，该服务平台变得更加不可靠。虽然被微软收购后 GitHub 的知名度不断提高， 但其在开发者中心中的地位却逐渐下滑。 GitHub的宕机不仅仅是一个平台的问题，它实际上影响了整个全球开发者社区。超过一万名用户报告了访问问题，这个数字仅仅是冰山一角。作为开源世界的中枢神经，GitHub的瘫痪意味着无数项目的开发进程被迫中断，突显了对单一平台依赖的风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/408688.html 封面来源于网络，如有侵权请联系删除

近日，欧洲隐私倡导组织NOYB对社交媒体巨头X提起GDPR投诉，再次将大模型训练的用户数据隐私问题推至风口浪尖。 据NOYB称，X公司未经告知或征得用户同意，擅自使用超过6000万欧洲用户个人数据训练其大型语言模型“Grok”，这一行为严重违反了GDPR原则。NOYB认为，X公司此举缺乏透明度，且未获得适当的法律依据或用户许可，这在GDPR的框架下是不可接受的。 Grok大模型的训练过程原本悄无声息，但在2024年7月下旬被一位名为@EastBakedOven的用户揭露。 该用户在检查X账户设置的变更时，发现了一个默认勾选的设置：“允许您的帖子以及您与Grok的互动、输入和结果被用于训练和微调。”X公司声称，可能会使用这些数据来“微调”Grok，并可能与服务提供商xAI共享。 据悉，爱尔兰数据保护委员会（DPC）已与X公司达成协议，后者同意在9月份前暂停处理个人数据。DPC的公告指出，未经授权的Grok训练发生在2024年5月7日至8月1日之间。对此，NOYB的主席Max Schrems表示，DPC未能深入调查此事的法律层面，仅仅提出实施缓解措施的建议。因此，NOYB决定提起多项GDPR投诉，涉及GDPR多条条款，希望这将促使对违规行为进行彻底调查。 NOYB组织要求X公司解释为何在Grok训练开始两个月后才通知用户，已被用于训练的用户数据集如何处理，以及如何有效区分欧盟和非欧盟个人数据。此外，NOYB质疑为何X等平台仍未提示欧盟用户，以获得使用其数据训练Grok的许可，这是符合GDPR要求的唯一方法。 这起事件凸显了社交媒体数据使用的法律风险，尤其是在GDPR严格的数据保护要求下。今年6月份NOYB组织还曾向11个国家的隐私监管机构投诉Meta的人工智能训练计划，并敦促它们在该公司开始训练下一代Llama之前阻止该公司。 X用户如果不希望X使用其帖子来训练Grok，有两个选择： 第一个选择是将帐户设为私密，但对许多人来说，这会极大影响用户体验。 更好的选择是从桌面登录X站点并单击屏幕底部的“更多”按钮，然后单击“设置和隐私”，选择“数据共享和个性化”下的“Grok”，然后取消选中“允许您的帖子以及您与Grok的互动、输入和结果用于训练和微调”。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/p7uhcXU6D7E6M2bWkrfrGQ 封面来源于网络，如有侵权请联系删除

微软周二警告客户修补一个严重的 TCP/IP 远程代码执行 (RCE) 漏洞，该漏洞被利用的可能性较高，会影响所有使用 IPv6（默认情况下启用）的 Windows 系统。 该安全漏洞由昆仑实验室的 xiaowei 发现，编号为CVE-2024-38063 ，是由整数下溢漏洞引起的，攻击者可以利用该漏洞触发缓冲区溢出，从而可用于在易受攻击的 Windows 10、Windows 11 和 Windows Server 系统上执行任意代码。 该安全研究员在推特上表示：“考虑到其危害，我不会在短期内透露更多细节”，并补充道，在本地 Windows 防火墙上阻止 IPv6 不会阻止漏洞利用，因为该漏洞在被防火墙处理之前就被触发。 正如微软在周二补丁日公告中所解释的那样，未经身份验证的攻击者可以通过反复发送包含特制数据包的 IPv6 数据包，在低复杂度攻击中远程利用此漏洞。 微软还分享了对此严重漏洞的可利用性评估，并为其贴上“更有可能被利用”的标签，这意味着攻击者可以创建漏洞代码来“在攻击中持续利用该漏洞”。 鉴于该漏洞的高风险，微软建议用户优先修补。对于那些无法立即安装本周 Windows 安全更新的用户，作为一种缓解措施，微软建议禁用 IPv6 以消除攻击面。 微软同时表示 IPv6 网络协议栈是“Windows Vista 和 Windows Server 2008 及更新版本的强制性部分”，并且不建议关闭 IPv6 或其组件，因为这可能会导致某些 Windows 组件停止工作。 可蠕虫漏洞 趋势科技Zero Day 团队表示，将 CVE-2024-38063 漏洞列为微软本周补丁日修复的最严重漏洞之一，并将其标记为可感染蠕虫的漏洞。 “最糟糕的情况可能是 TCP/IP 中的漏洞，它允许远程、未经身份验证的攻击者通过向受影响的目标发送特制的 IPv6 数据包来获得提升的代码执行能力。”趋势科技说。 “这意味着它是可感染蠕虫的。可以禁用 IPv6 来防止此漏洞，但几乎所有程序都默认启用 IPv6。” 虽然微软和其他公司警告 Windows 用户尽快修补其系统以阻止使用 CVE-2024-38063 漏洞的潜在攻击，但这并不是第一个并且可能不会是最后一个利用 IPv6 数据包进行攻击的 Windows 漏洞。 在过去四年中，微软修补了多个其他 IPv6 问题，包括两个被追踪为CVE-2020-16898 / 9  （也称为 Ping of Death）的 TCP/IP 漏洞，这些漏洞可被利用于远程代码执行 (RCE) 和使用恶意 ICMPv6 路由器通告数据包的拒绝服务 (DoS) 攻击。 此外，IPv6 碎片错误 ( CVE-2021-24086 ) 导致所有 Windows 版本都容易受到 DoS 攻击，而 DHCPv6 缺陷 ( CVE-2023-28231 ) 使得通过特制的调用获得 RCE 成为可能。 尽管攻击者尚未利用它们针对所有支持 IPv6 的 Windows 设备进行大规模攻击，但由于 CVE-2024-38063 被利用的可能性增加，建议用户立即应用本月 Windows 安全更新。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VsfLU1n53a9PaVlx9wz_SA 封面来源于网络，如有侵权请联系删除

美国新闻媒体《华盛顿时报》被 Rhysida 勒索软件攻击，各种公司文件被拍卖，包括银行对账单、员工文件以及社会保障卡的复印件等。 Rhysida 集团声称正在网上拍卖《华盛顿时报》的“独家”数据，标价为5比特币，拍卖倒计时为七天。 “准备好打开钱包，购买独家数据。我们只卖给一个人，不转售，你将是唯一的所有者！”该团伙发帖称。 总部位于华盛顿特区的《华盛顿时报》被视为美国五大保守派媒体之一，每月在线访客超过 300 万，每天纸质读者超过 5 万。 Rhysida 暗网泄密网站 尽管 Rhysida 并没有具体说明从《纽约时报》服务器窃取的数据量，但提供了所谓的样本作为此次攻击的“证据”。 虽然样本难以辨认，Cybernews 仍能检查出这些样本似乎包含各种公司文件，包括银行对账单、员工文件以及某人的德克萨斯州驾照和社会保障卡的复印件。 Rhysida 暗网泄密网站 《华盛顿时报》暂未做出回应，但公司网站仍在正常运行，没有明显中断。 《华盛顿时报》由新闻世界传播集团于 1982 年创办，以印刷版和网络版形式出版。 Rhysida 受害者数量上升 自 2023 年 5 月成立以来， Rhysida 组织已在暗网上攻击了 114 名受害者。 根据美国政府去年 8 月发布的资料，该团伙以攻击“机会目标”而闻名，已渗透到教育、医疗、制造业和地方政府等多个领域。 Rhysida 被认为是一个勒索软件即服务（RaaS）组织，向其他“犯罪分子”出售其尚未完全成熟的黑客工具，获取一定比例的利润。该团伙经常进行双重勒索，即使受害者已经支付了解密密钥，仍威胁泄露被盗数据，除非收到第二笔付款。 今年，该团伙声称对英国国家图书馆（世界上最大的历史知识宝库之一）和芝加哥的Anne & Robert H. Lurie儿童医院的入侵负责。 在要求 400 万美元赎金（60 比特币）未支付后，Rhysida 最终泄露了从儿童医院窃取的所有数据，安全研究人员批评其行为“极其低劣”。 此外，该团伙还袭击了豪华游艇经销商 Marine Max、马里兰州乔治王子县学校系统和蜘蛛侠视频游戏制造商Insomniac Games。 2023 年的受害者还包括总部位于加州的医疗保健集团 Prospect Medical Holdings (PMH)，该攻击导致多个州的数十家医院和医疗机构服务中断。此外，总部位于慕尼黑的视频制造商 Travian Games 也成为了受害者。 今年 2 月，韩国互联网与安全局（KISA）的研究小组破解了该团伙的加密代码，并在其网站上发布了免费的 Rhysida 解密工具和手册。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

周一，乌克兰计算机应急响应小组 (CERT-UA) 披露，攻击者冒充乌克兰安全局 (SSU) 使用恶意垃圾邮件来攻击并破坏该国政府机构的系统，成功使用 AnonVNC 恶意软件感染了 100 多台计算机。 “下午好，为了对一些组织进行全面检查，我要求您在 2024 年 8 月 15 日之前向位于 01601, Kyiv 1, str. Malopodvalna, 16 的 SBU 总局提交所需文件清单。请下载官方请求：Dokumenty.zip。”恶意电子邮件写道，并链接到一个假装是 SSU 所需文件清单的附件。 这些攻击开始于一个多月前，电子邮件中推送指向 Documents.zip 存档的超链接，而该存档会从 gbshost[.]net 下载用于部署恶意软件的 Windows 安装程序 MSI 文件。 尽管 CERT-UA 没有对该恶意软件功能进行具体描述，但它表示，该恶意软件使被跟踪为 UAC-0198 的威胁组织能够秘密访问受感染的计算机。 攻击流程（CERT-UA） “CERT-UA 已发现超过 100 台受影响的计算机，尤其是中央和地方政府机构的计算机。 ”CERT-UA表示，“请注意，相关的网络攻击至少自 2024 年 7 月就开始了，而且可能涉及更广泛的地域。”   消息来源：BleepingCompute，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

澳大利亚金矿公司 Evolution Mining 披露，一勒索软件攻击影响了其 IT 系统的正常运营。 该公司在提交给澳大利亚证券交易所 (ASX) 的文件 (PDF) 中表示，该攻击于 8 月 8 日被发现，并已得到控制。 Evolution Mining 表示：“我们积极处理这一事件，重点是保护员工的健康、安全和隐私，同时确保公司的系统和数据的安全。” 该公司还透露，一直在与外部网络取证专家合作调查此次攻击，并且澳大利亚网络安全中心也已获悉此事。 Evolution Mining 在澳大利亚证券交易所的公告中指出：“公司预计此次攻击不会对运营产生任何重大影响。” 该公司没有提供此次攻击背后的勒索软件团伙的具体细节，而且SecurityWeek也没有看到任何已知组织声称对此事件负责。 大约两个月前，BianLian 勒索软件团伙在其基于 Tor 的泄密网站上公布了从澳大利亚稀土金属生产商 Northern Minerals窃取的数据，随后 Evolution Mining 遭受了勒索软件攻击。 尽管公司确认了数据、运营信息、财务数据、现任和前任员工的个人信息及部分股东信息在攻击中遭到泄露，但表示此次事件并未对运营造成重大影响。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，全球最大的ERP供应商SAP在本月修复了一批重要漏洞，其中包含一个关键的身份验证绕过漏洞，该漏洞可能允许攻击者完全破坏系统。 漏洞被跟踪为 CVE-2024-41730，CVSS v3.1 评分高达9.8，影响 SAP BusinessObjects Business Intelligence Platform 430 和 440版本 。根据漏洞描述，如果在企业身份验证上启用了单点登录，则未经授权的用户可以使用REST端点获取登录令牌。攻击者可以此完全破坏系统，从而对机密性、完整性和可用性产生重大影响。 另一个评分达9.1的漏洞被追踪为CVE-2024-29415，与 Node.js 的“IP”包中的一个缺陷有关，该包会检查 IP 地址是公共还是私有。当使用八进制表示时，会错误地将“127.0.0.1”识别为公有且全局可路由的地址。该漏洞影响版本低于4.11.130 的 SAP Build Apps。 其他一些评分在7.4至8.2的漏洞也同样不容忽视，包括： CVE-2024-42374– SAP BEx Web Java 运行时导出 Web 服务中的 XML 注入问题。影响 BI-BASE-E 7.5、BI-BASE-B 7.5、BI-IBC 7.5、BI-BASE-S 7.5 和 BIWEBAPP 7.5版本。 CVE-2023-30533– 与 SAP S/4 HANA 中的原型污染相关的漏洞，特别是在“管理供应保护”模块中，影响低于 0.19.3 的 SheetJS CE 库版本。 CVE-2024-34688– SAP NetWeaver AS Java 中的拒绝服务 （DOS） 漏洞，特别影响 Meta Model Repository 组件的MMR_SERVER 7.5版本 。 CVE-2024-33003– 与 SAP Commerce Cloud 中的信息泄露问题相关的漏洞，影响 HY_COM 1808、1811、1905、2005、2105、2011、2205 和 COM_CLOUD 2211版本。 由于SAP是全球最大的ERP供应商，布斯全球2000强榜单中有90%的企业使用了相关产品，因此黑客一直在利用SAP的漏洞，试图攻击这些高价值的企业网络。在2020年6月至2021年3月间，攻击者就利用未及时打补丁的SAP 系统，至少进行了300起公司网络渗透行为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现了一个服务器端请求伪造（SSRF）漏洞（CVE-2024-38109），利用该漏洞可访问服务内的跨租户资源，有可能导致横向移动。 Azure 健康机器人服务（Azure Health Bot Service）是一个专为医疗机构创建和部署人工智能驱动的虚拟健康助手而设计的云平台，最近被发现存在多个权限升级漏洞。 Azure 健康机器人服务中的权限升级漏洞 Azure 健康机器人服务使医疗保健提供商能够创建面向患者的聊天机器人，与患者信息门户或医学参考数据库等外部数据源交互。Tenable 研究人员发现，旨在允许机器人与外部数据源交互的 “数据连接 “功能可通过服务器端请求伪造（SSRF）攻击被利用。 来源：tenable官网 通过利用数据连接和第三方请求 API，研究人员执行了各种测试连接，发现 Azure 的内部元数据服务 (IMDS) 等常见端点最初无法访问。 然而，通过将数据连接配置到自己控制的外部主机，并利用重定向响应（301/302 状态代码），研究人员得以绕过服务器端缓解措施，访问 Azure 的内部元数据服务 (IMDS)。 通过有效的元数据响应，研究人员获得了 management.azure.com 的访问令牌，随后通过 API 调用列出了他们可以访问的订阅。这导致列出了属于其他客户的数百个资源，显示了跨租户信息。 在向微软安全响应中心（MSRC）报告了初步发现后，研究人员确认该问题已经解决。 微软的 MSRC 确认了该报告以及研究人员的发现，并于 2024 年 6 月 17 日开始调查该问题，并在一周内发布了修复程序。截至7 月 2 日，MSRC 证实所有受影响的环境都已打上了补丁。根据微软针对 CVE-2024-38109 漏洞的安全更新指南，此 CVE 所记录的漏洞无需客户采取行动即可解决。 研究人员重新测试了最初的概念验证，发现修复方法只是拒绝数据连接端点的重定向状态代码，从而消除了攻击载体。 然而，在测试过程中，FHIR（快速医疗互操作性资源）端点的验证机制中又发现了第二个漏洞。虽然这个问题的影响有限，但研究人员立即停止了调查，并向微软报告了这一发现，选择尊重 MSRC 关于访问跨租户资源的指导意见。该问题的修复程序已于 7 月 12 日前完成。 研究人员澄清说，他们发现的漏洞涉及人工智能聊天机器人服务底层架构中的弱点，而不是人工智能模型本身。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 8 月补丁日，本次升级针对 89 个漏洞的安全更新，其中包括六个被积极利用的漏洞和三个公开披露的0day漏洞。微软仍在努力为第十个公开披露的0day漏洞开发补丁。 本次补丁日修复了八个严重漏洞，这些漏洞涉及权限提升、远程代码执行和信息泄露。 各个漏洞类别的漏洞数量如下： 36 个特权提升漏洞 4 个安全功能绕过漏洞 28 个远程代码执行漏洞 8 个信息泄露漏洞 6 个拒绝服务漏洞 7 个欺骗漏洞 上面列出的漏洞数量并不包括本月早些时候披露的 Microsoft Edge 漏洞。 本月补丁日修复了六个被积极利用的0day漏洞和另外三个公开披露的0day漏洞。目前，另一个公开披露的0day漏洞仍未修复，但微软正在开发更新。 以下是六个新修补的0day漏洞： CVE-2024-38178— Windows 脚本引擎中的内存损坏漏洞允许远程代码执行攻击，如果经过身份验证的客户端被诱骗点击链接，未经身份验证的攻击者便可发起远程代码执行。据 Microsoft 称，要成功利用此漏洞，攻击者需要先准备目标，使其在 Internet Explorer 模式下使用 Edge。CVSS 7.5/10。 Ahn 实验室和韩国国家网络安全中心报告了这一0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。 CVE-2024-38189— Microsoft Project 中存在一个远程代码执行漏洞，攻击者可通过恶意操纵的 Microsoft Office Project 文件利用此漏洞，在禁用“通过 Internet 策略阻止宏在 Office 文件中运行”且未启用“VBA 宏通知设置”的系统上执行远程代码执行。CVSS 8.8/10。 微软表示，攻击者需要诱骗用户打开恶意文件，例如通过网络钓鱼攻击或引诱用户访问托管该文件的网站。 CVE-2024-38107 — Windows 电源依赖性协调器中的权限提升漏洞被评为“重要”，CVSS 严重性评分为 7.8/10。“成功利用此漏洞的攻击者可以获得系统权限.”微软表示，但没有提供任何 IOC 或其他漏洞利用遥测数据。 CVE-2024-38106 – 已检测到针对此 Windows 内核特权提升漏洞的攻击，该漏洞的 CVSS 严重性评分为 7.0/10。“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得系统权限。”此0day漏洞已匿名报告给 Microsoft。 CVE-2024-38213— 微软将其描述为 Windows Mark of the Web 安全功能绕过，在主动攻击中被利用。“成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。” CVE-2024-38193– Windows 辅助功能驱动程序中 WinSock 的权限提升安全缺陷正在被广泛利用。目前尚不清楚技术细节和 IOC。成功利用此漏洞的攻击者可以获得系统权限。 微软还敦促 Windows 系统管理员紧急关注一批严重漏洞，这些问题使用户面临远程代码执行、权限提升、跨站点脚本和安全功能绕过攻击。 其中包括Windows 可靠多播传输驱动程序(RMCAST)中的一个主要缺陷，该漏洞会带来远程代码执行风险 (CVSS 9.8/10)；Windows TCP/IP 远程代码执行严重缺陷，CVSS 严重性评分为 9.8/10；Windows 网络虚拟化中两个独立的远程代码执行问题；以及Azure Health Bot中的信息泄露漏洞(CVSS 9.1)。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p6babzoONUHIA413JpVQyA 封面来源于网络，如有侵权请联系删除

韩国执政党国民力量党声称，朝鲜黑客窃取了该国主战坦克 K2 坦克以及“白头山”号和“金刚山”号间谍机的重要信息。 人民进步党对朝鲜可能利用泄露的信息来规避军方监视、在战场上取得优势表示担忧，因此呼吁紧急采取更有力的措施以维护国家安全。 K2“黑豹”坦克是韩国的一款主战坦克，由国防开发局设计，现代罗特姆公司制造。自2008年推出以来，每辆售价850万美元，目前韩国已有260辆服役，另有150辆在计划中。 白头山和金刚山号间谍飞机是韩国在过去20年中用于边境监视的主要装备，用于监控朝鲜的军事活动（IMINT）和捕获无线通信（SIGINT）。 据当地媒体周五报道，K2坦克数据泄露是由于一名制造商的工程师跳槽至竞争公司，并将设计蓝图、开发报告和关于坦克过压系统的详细信息带走。新雇主意图将这项技术出口到中东，因此泄漏已超出韩国范围。 关于白头山和金刚山号间谍飞机，《东亚报》报道指出，一家韩国国防承包商遭到朝鲜黑客攻击，该承包商负责编写包括两架间谍飞机在内的军事装备操作和维护手册。黑客窃取了飞机的重要技术数据，包括技术细节、最近的技术升级、操作能力和维护信息。 韩国担心，侦察机技术的泄漏将使敌人能够开发更隐蔽的无人机和有效的监视规避措施。 人民进步党呼吁国内各政党团结一致，尽快商定并实施新的措施，以加强国家对抗网络间谍活动的能力。声明中指出：“随着朝鲜网络攻击的日益广泛和大胆，制定《网络安全基本法》以防止黑客攻击和技术盗窃已成为必要。为了保护国家利益，我们必须迅速修订刑法，将间谍法的适用范围扩大到‘外国’。” 2024年4月，韩国国家警察厅发出紧急警告，提醒国防工业公司警惕朝鲜威胁组织（如Lazarus、Andariel和Kimsuky）的攻击升级。警方特别行动发现，自2022年底以来，朝鲜特工已侵入多家公司，进行广泛的情报收集。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juyuHyvmTte-vDWN-7-ntQ 封面来源于网络，如有侵权请联系删除

库特奈医疗中心 (Kootenai Health) 披露了一起数据泄露事件，464000 名患者的个人信息被 3AM 勒索软件窃取和泄露，泄露的数据包括姓名、出生日期、社会安全号码 (SSN)、医疗和病情信息、医疗诊断以及健康保险信息等。 Kootenai提交给缅因州司法部长办公室的通知写道：“2024 年 3 月 2 日，Kootenai卫生局发现异常活动，导致某些 IT 系统访问中断。” 经调查，网络犯罪分子于 2024 年 2 月 22 日就未经授权访问了 Kootenai 的系统，这一行为使得犯罪分子有十天时间能够窃取敏感数据。 2024 年 8 月 1 日，Kootenai结束了对所有泄露数据的检查，确认泄露的数据包括：姓名、出生日期、社会安全号码 (SSN)、驾驶执照、政府身份证号码、医疗记录编号、医疗和病情信息、医疗诊断以及健康保险信息。 Kootenai Health 表示，未发现被盗信息遭到滥用的情况，但是建议受影响人员注册 12-24 个月的身份保护服务。 患者还可以访问医院在库特奈健康网站上发布的公告，以获取更多信息和支持链接。 Kootenai Health 是爱达荷州的一家非营利性医疗保健机构，运营着该地区最大的医院，提供急救、外科手术、癌症治疗、心脏护理和骨科等广泛的医疗服务。 3AM 勒索软件泄露数据 3AM 勒索软件团伙已声称对此次攻击负责，并在其暗网门户上泄露了被盗数据，网页显示还未支付赎金。 被盗数据包括一个 22GB 的档案，任何网络犯罪分子都可以免费下载并用于进一步的攻击。 Kootenai Health 数据在 3AM 勒索门户网站上泄露 3AM 是一种基于 Rust 开发的勒索软件毒株，首次报告于 2023 年 9 月。它主要作为备选工具，用于当其他更成熟的锁定工具失效时进行部署，因此其部署范围相对较为有限。 今年 1 月，Intrisec 分析师报告称，发现3AM、Conti 和 Royal 勒索软件团伙之间存在明显联系，暗示这三者之间可能存在某种关联。   BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

俄罗斯国家通信监管机构周五表示，已封锁对 Signal 通讯应用程序的访问，这是当局在乌克兰战乱期间加强信息管控的最新举措。 俄罗斯联邦通信监管局表示，之所以做出这一决定，是因为 Signal“违反了俄罗斯法律的规定，而这些规定必须得到遵守，以防止该通讯工具被用于恐怖主义和极端主义目的”。 Signal 采用端到端加密，这使得俄罗斯政府很难拦截通信。 2022 年 2 月，俄罗斯总统弗拉基米尔·普京向乌克兰派兵后，俄罗斯当局加大了对异见人士和自由媒体的打压。他们封锁了多家批评克里姆林宫的独立俄语媒体，并切断了对 Twitter（后来成为 X）以及 Meta 的 Facebook 和 Instagram 的访问。 在最近几周屡次出现速度减慢之后，YouTube 于周四遭遇了大规模中断，这是对信息自由的最新打击。 俄罗斯当局将网络速度下降归咎于谷歌未能升级其在俄罗斯的设备，但许多专家对这一说法提出质疑，他们认为网络速度下降和最新中断的可能原因是克里姆林宫希望关闭公众对承载反对派观点的主要平台的访问。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

LoanDepot通过SEC报告披露称，今年1月曝光的勒索软件攻击相关的费用总计超1.92亿元。 安全内参8月13日消息，美国抵押贷款巨头LoanDepot 6日报告称，与最近的勒索软件攻击相关的成本已达到近2700万美元。 这次网络攻击于2024年1月初被曝光。当时，公司为了应对攻击导致数据被加密的情况，选择将一些系统下线。 几周后，LoanDepot通知当局，超过1600万人的个人信息可能已被泄露，包括姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码和金融账号等。 LoanDepot的最新财务报告显示，该事件给公司造成了2690万美元（约合人民币1.92亿元）的成本。 该金额包括“调查和补救网络安全事件的成本，客户通知和身份保护的成本，以及专业费用（包括法律费用、诉讼和解费用以及佣金担保）”。 LoanDepot补充道：“在截至2024年6月30日的季度内，公司因与网络安全事件相关的集体诉讼带来了2500万美元的应计成本。” 就在LoanDepot数据泄露曝光之前，执法机构刚刚针对Alphv/BlackCat勒索软件组织进行了打击，该组织声称对上述攻击事件负责。这些网络犯罪分子声称，他们正在出售从贷款机构窃取的数据。 电子制造服务公司Keytronic近日透露，最近的勒索软件攻击导致的费用和收入损失总计超过1700万美元。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/CBVPPBDvTUZh1ilzzBnU8g 封面来源于网络，如有侵权请联系删除

 美国联邦调查局克利夫兰分部已通过摧毁勒索软件团伙 Radar(又名Dispossessor） 的各个服务器和域名，彻底瓦解该团伙的势力。 美国联邦调查局发布声明称，2024年8月12日，以网名“布莱恩”为首的犯罪团伙被捣毁。执法部门拆除了三台美国服务器、三台英国服务器、十八台德国服务器、八个美国犯罪域名和一个德国犯罪域名，这些均属于 Radar。 联邦调查局发布声明，确认以“布莱恩”为首的犯罪团伙已被彻底捣毁。该组织自2023年8月起开始活动，并迅速发展成为具有国际影响力的勒索软件集团，专门针对中小型企业和组织实施攻击。 Radar 针对多个行业进行攻击，包括制造业、开发、教育、医疗保健、金融服务及交通运输等。尽管该组织最初主要针对美国的目标，联邦调查局发现其已涉及13个不同国家的43家企业。 调查还发现，许多网站与布莱恩及其网络犯罪团队有关。与其他勒索软件变种类似，Radar 勒索软件采用双重勒索模式，即不仅加密受害者系统，还窃取数据以勒索赎金。 勒索软件是一种恶意软件，通过加密用户数据使其无法访问，受害者需支付赎金以恢复数据。Radar通过识别使用弱密码或未启用多因素身份验证的易受攻击系统来实施攻击。 “一旦犯罪分子获得系统访问权限，他们就会获得管理员权限并轻松访问文件，然后实际的勒索软件会用于加密。”FBI 表示。 如果受害者没有先支付赎金，Radar的成员就会主动通过电子邮件或电话联系受害者公司内部的人员，发送链接展示被盗文件的视频，迫使受害者付款。最终，犯罪团伙会将窃取的数据发布到泄密页面，并设置倒计时，如果未支付赎金，数据将被公开发布到公共论坛上。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，FortiGuard 实验室的网络安全研究人员发现了一种复杂的网络钓鱼活动，该活动利用多阶段执行流程和各种规避技术来传播包括远程访问木马（RAT）PureHVNC在内的多种恶意软件。 攻击流程 该活动专门针对企业员工，以一封精心制作的电子邮件为诱饵，伪装成来自客户的服务查询，而邮件中包含一个恶意 HTML 附件。邮件使用紧急语气，诱使收件人打开恶意 HTML 附件，从而触发一系列导致多种恶意软件部署的事件。 具体来讲，钓鱼邮件附件中的 HTML 文件利用 “search-ms “功能查询远程共享的恶意 LNK 文件。该 LNK 文件在 Windows 资源管理器中伪装成一个无害的 PDF 图标，其中包含一条命令，该命令使用 conhost.exe 作为进程运行远程批处理文件，这是一种利用合法的 Windows 进程逃避检测的技术。 名为 new.bat 的批处理文件经过深度混淆，以躲避安全检测。它使用编码技巧和字符串混淆，使得脚本看起来像是使用 UTF-16 编码并包含中文字符，这进一步增加了分析难度。脚本在打开一个假 PDF 文件的同时，通过 PowerShell 悄悄下载包含 Python 环境和恶意 Python 程序的两个ZIP文件，并将它们解压缩隐藏在用户的配置文件目录中。 最后阶段是依次运行 Python 程序，每个程序都会加载并执行 shellcode，以绕过检测机制并部署主要有效载荷PureHVNC。 活动中的每个 Python 文件都使用 GitHub 上名为 “Kramer “的 Python 混淆器进行了精心混淆。Kramer 使用随机生成的密钥对源代码进行加密，为逆向工程增加了一层保护。shellcode 由名为 “donut “的工具生成，旨在解密并执行下一阶段的有效载荷，同时绕过 AMSI 和 WLDP 等 Windows 安全功能。 Python混淆器“Kramer” 攻击的第二阶段引入了 shellcode 加载器 “laZzzy”，它伪装成合法的 Microsoft 管理控制台 (MMC) 应用程序。该加载器使用先进的注入技术在 notepad.exe 这个看起来无害的进程中执行最终有效载荷，从而避免被检测到。 在这场活动中部署的恶意软件中，PureHVNC 因其复杂的功能脱颖而出。作为一个 .NET 应用程序，PureHVNC 使用 .NET Reactor 进行了大量混淆处理，使其难以分析。它的主要功能是使用 AES 加密解密有效载荷，然后使用 Gzip 解压缩，提取 DLL 有效载荷并加载到内存中。 一旦激活，PureHVNC 就会执行一系列旨在保持持久性和收集情报的操作。它会使用 PowerShell 设置注册表运行键值或阻止系统休眠，确保恶意软件保持激活状态。然后，它会与命令与控制（C2）服务器通信，上报系统信息，包括已安装杀毒产品的详细信息、系统规格和用户信息。 PureHVNC 专门针对加密货币钱包、密码管理器和双因素身份验证 (2FA) 应用程序等高价值资产。它扫描这些应用的关联路径，并检查注册表中的安装软件，重点窃取敏感数据。 攻击并不仅限于 PureHVNC，C2 服务器还可以部署扩展恶意软件功能的其他插件。这场活动中发现的两个值得注意的插件是： 插件 1：PluginRemoteDesktop 该插件可远程控制受害者的系统。它与 C2 服务器通信以执行命令，允许攻击者操纵受害者的桌面环境、捕获屏幕截图、控制鼠标等。 插件 2：PluginExecuting 该插件用于执行附加文件、更新恶意软件，甚至卸载恶意软件以掩盖踪迹。它支持多种命令，包括下载和执行新恶意软件的命令，利用进程挖空技术将恶意代码注入合法进程中。 FortiGuard 实验室的网络安全研究人员敦促组织对此类威胁保持警惕，确保员工了解网络钓鱼电子邮件的危险性，并采取强有力的安全措施来检测和缓解多阶段攻击。正如此次活动所表明的，即使是最看似无害的电子邮件，也可能成为破坏性漏洞的起点。   转自Freebuf，原文链接：https://www.freebuf.com/news/408455.html 封面来源于网络，如有侵权请联系删除