HackerNews

Broadcom Symantec的研究人员发现了一个以前未被发现的后门，称为Msupedge，它被用于攻击中国台湾一所未命名的大学。 该后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。   “Msupedge是动态链接库（DLL）形式的后门，”Broadcom Symantec发布的报告写道。“已发现它已安装在以下文件路径中： csidl_drive_fixed\xampp\wuplog.dll csidl_system\wbem\wmiclnt.dll 虽然 wuplog.dll 是由 Apache （httpd.exe） 加载的，但 wmiclnt.dll 的父进程未知。” Msupedge 使用的 DNS 隧道工具代码基于公开的 dnscat2 工具。 该后门通过解析特殊结构的主机名来接收和执行命令。这些命令的结果会被编码并以第五级域名的形式返回。此外，该后门还将解析到的 C&C 服务器的 IP 地址的第三个八位字节解释为命令开关，并根据该值调整其行为。内存分配、命令解压和执行的错误通知也通过这种方式发送。 威胁行为者被发现利用一个关键的 PHP 漏洞（追踪编号为 CVE-2024-4577，CVSS 评分为 9.8））来部署 Msupedge 后门。攻击者利用这一缺陷实现了远程代码执行，并获得了对目标网络的初步访问。 后门支持以下命令： 案例 0x8a ： 创建流程。该命令通过 DNS TXT 记录接收。 案例 0x75 ： 下载文件。下载 URL 通过 DNS TXT 记录接收。 情况 0x24 ： 休眠 （ip_4 * 86400 * 1000 ms）。 情况 0x66 ： 休眠 （ip_4 * 3600 * 1000 ms）。 案例 0x38 ： 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。 案例 0x3c：删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。 Symantec没有将攻击归咎于特定的威胁行为者，也未能确定攻击的动机。 “最近几周，Symantec观察到多个威胁行为者在扫描易受攻击的系统。迄今为止，我们尚未找到任何证据能够将此次威胁归因于特定的行为者，攻击动机仍然未知。”报告总结道，“报告中还包括了妥协指标（Indicators of Compromise）。”   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全内参8月20日消息，本月初，印度上百家中小银行使用的数字支付系统遭遇了一场极具破坏性的勒索软件攻击。研究人员发现，这次攻击的根源在于一个Jenkins漏洞。Jenkins是一款开发人员广泛使用的开源自动化工具。 攻击者利用Jenkins漏洞攻陷系统 瞻博网络（Juniper Networks）日前发布一项研究报告，详细分析了攻击者如何利用Jenkins命令行界面（CLI）中的CVE-2024-23897漏洞进行攻击。该界面帮助开发人员与系统进行交互操作。 7月31日，负责管理印度所有零售支付系统的综合组织，印度国家支付公司（NPCI）宣布，正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。 C-Edge为印度的地区农村银行提供技术服务。为减小影响，印度国家支付公司决定将C-Edge与其运营的零售支付系统隔离。C-Edge的客户在开始恢复工作时无法访问支付系统。 经过一天的努力，服务恢复正常。此后，勒索软件团伙RansomEXX宣布对这次攻击负责，并在其泄露网站上声称，他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。 瞻博网络分析了印度国家支付公司向印度计算机应急响应小组（CERT-IN）提交的报告。研究人员表示，这次攻击凸显了各组织应当尽快应用安全补丁并修正服务器配置错误，以防止安全漏洞被恶意利用。 数月前就已有漏洞预警 Jenkins可以帮助开发人员构建、测试和部署软件。然而，这个漏洞允许攻击者访问敏感文件或数据。 去年11月，SonarSource首次发现了CVE-2024-23897漏洞，并帮助Jenkins团队验证今年1月发布的修复程序。 漏洞概念验证（PoC）一经发布，研究人员立即开始注意到攻击企图，并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。 由于Jenkins被广泛部署，这个漏洞在今年年初给网络安全社区敲响了警钟。 Horizon3.ai的首席架构师Naveen Sunkavally指出，全球有成千上万的Jenkins服务器对公众开放。由于这些服务器通常存储着大量敏感信息和其他系统的凭证，Jenkins成为了攻击者的常见目标。 Sunkavally表示：“如果Jenkins服务器的默认配置被错误修改，或者攻击者获取了有效的Jenkins用户账户，即使攻击者没有任何初始权限，他们也可以利用这个漏洞，甚至进一步控制服务器并提取凭证数据。不过，后两种情况依赖于超出攻击者控制的因素。” 他还提到，美国网络安全和基础设施安全局（CISA）的已知被利用漏洞（CISA KEV）目录中包含了四个与Jenkins相关的漏洞。此前，某些漏洞曾被用于安装加密挖矿软件或支持国家级网络攻击。 Critical Start的网络威胁情报分析师Sarah Jones和其他几位研究人员在今年1月发出警告，称该漏洞可能允许黑客窃取大量敏感数据，甚至可能“完全控制组织的基础设施”。 她补充道：“除了这些直接威胁，这类事件还可能对组织的声誉造成持久性损害，削弱公众信任，影响财务稳定，甚至引发法律后果。”   转自安全内参，原文链接：https://www.secrss.com/articles/69344 封面来源于网络，如有侵权请联系删除

ESET 研究人员发现了一种罕见的网络钓鱼活动，专门针对 Android 和 iPhone 用户。他们分析了一个在野外观察到的案例，该案例主要是针对一家著名的捷克银行的客户。 值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序，而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的 APK，隐蔽性很高，很难发现，它看起来甚至有点像是用户从 Google Play 商店安装的。这种钓鱼攻击威胁也针对 iOS 用户。 PWA 网络钓鱼流程 针对 iOS 的钓鱼网站会指示受害者在主屏幕上添加渐进式网络应用程序 (PWA)，而在 Android 上，PWA 是在浏览器中确认自定义弹出窗口后安装的。在这一点上，这些钓鱼应用程序与它们在这两个操作系统上模仿的真实银行应用程序基本没有区别。 PWA 本质上是将网站捆绑到一个看似独立的应用程序中，并通过使用本地系统提示增强了其虚假的独立性。与网站一样，PWA 也是跨平台的，这就解释了为什么这些 PWA 网络钓鱼活动可以既针对 iOS 又针对 Android 用户。负责 ESET 品牌情报服务的 ESET 分析师在捷克观察到了这种新技术，该服务可监控针对客户品牌的威胁。 分析该威胁的 ESET 研究员 Jakub Osmani 表示：对于 iPhone 用户来说，这种行为可能会打破任何有关安全的‘围墙花园’假设。 ESET 发现使用电话、短信和恶意广告的网络钓鱼欺诈行为 ESET 分析师发现了一系列针对移动用户的网络钓鱼活动，这些活动分别使用了三种不同的 URL 发送机制，包括自动语音呼叫、短信和社交媒体恶意广告。语音电话发送是通过自动呼叫完成的，该呼叫会警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。 按下正确的按钮后，就会通过短信发送一个钓鱼网址，正如一条推文所报道的那样。最初的短信发送是通过向捷克电话号码滥发信息来实现的。发送的信息包括一个钓鱼链接和文本，目的是让受害者通过社交工程访问该链接。恶意活动通过 Instagram 和 Facebook 等 Meta 平台上的注册广告进行传播。这些广告包括行动号召，比如为 “下载以下更新 ”的用户提供限量优惠。 打开第一阶段发送的 URL 后，Android 受害者会看到两个截然不同的活动，一个是模仿目标银行应用程序官方 Google Play 商店页面的高质量钓鱼页面，另一个是该应用程序的山寨网站。受害者会被要求安装 “新版 ”银行应用程序。 WebAPK 绕过安全警告 这种网络钓鱼活动和方法之所以能够得逞，完全得益于渐进式网络应用程序的技术。简而言之，渐进式网络应用程序是使用传统网络应用程序技术构建的应用程序，可以在多个平台和设备上运行。 WebAPK 可被视为渐进式网络应用程序的升级版，因为 Chrome 浏览器会从 PWA（即 APK）生成本地 Android 应用程序。这些 WebAPK 看起来就像普通的本地应用程序。此外，安装 WebAPK 不会产生任何 “从不可信来源安装 ”的提示警告。 某小组曾尝试通过 Telegram 官方 API 将所有输入信息记录到 Telegram 群组聊天中，而另一个小组则使用带有管理面板的传统命令与控制（C&C）服务器。 Osmani 表示：根据这些活动使用了两种不同的 C&C 基础设施这一事实，我们确定是两个不同的团伙在针对多家银行实施 PWA/WebAPK 网络钓鱼活动。大多数已知案例都发生在捷克，只有两个网络钓鱼应用程序出现在捷克境外（特别是匈牙利和格鲁吉亚）。 ESET 的研究人员在调查中发现的所有披露在网上的敏感信息，银行都已迅速跟进处理。ESET 方面也协助删除了多个网络钓鱼域和 C&C 服务器。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409102.html 封面来源于网络，如有侵权请联系删除

黑客对乌克兰最受欢迎的网上银行之一发动了大规模分布式拒绝服务 (DDoS) 攻击，主要针对乌克兰人用于为军队筹集捐款的服务。 Monobank 首席执行官 Oleh Horokhovskyi 表示，此次攻击从周五晚上持续到周一早上，总请求量达到每秒 75 亿次。他还称此次攻击的规模“非同寻常”。“这一事件没有影响银行的运营，但指出该公司与乌克兰的安全部门以及美国云计算公司亚马逊网络服务的专家合作，以缓解垃圾流量的攻击。” 在 1 月份的一次 DDoS 事件中，Monobank在三天内收到了5.8 亿条垃圾服务请求。该银行仅通过移动应用程序为客户提供服务，因此成为黑客眼中极具吸引力的目标。 Horokhovskyi 表示，最新攻击的目的是破坏乌克兰人依赖的为国家武装部队筹集捐款的服务。这项服务让用户的捐款变得相对简单——他们所要做的就是创建一个虚拟钱包，并将其直接分享到 Instagram 故事中，让其他人捐款。 Horokhovskyi 说，过去三年通过该平台“不间断”的捐款可能惹恼了敌人，促使他们“不惜一切代价”试图入侵该服务。 Monobank 暗示俄罗斯可能是此次攻击的幕后黑手，但并未提供任何证据。Horokhovskyi 此前称该银行是乌克兰“受攻击最严重的 IT 目标之一”。 另一家乌克兰服务公司 EasyWay 周一表示，该公司受到 DDoS 攻击，该公司提供有关乌克兰各地公共交通的信息。EasyWay 警告称，这可能会影响其运营。EasyWay 并未将此次攻击归咎于某个特定的黑客组织。 与此同时，俄罗斯的服务也遭受了 DDoS 攻击，这些攻击通常来自乌克兰。本月早些时候，在乌克兰入侵后，未透露姓名的黑客针对俄罗斯库尔斯克地区的政府和商业网站以及关键基础设施服务发起攻击。 7 月份，俄罗斯几家大型银行证实，他们遭受了据称“来自国外策划的” DDoS 攻击，导致其移动应用程序和网站暂时中断。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tMD1mVYMINoHcdYJ1J8c1g 封面来源于网络，如有侵权请联系删除

据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

近日，美国知名建筑设计公司 CannonDesign（佳能公司）向其 13000 多名客户发送了数据泄露通知，告知他们黑客在2023年初的一次攻击中侵入并窃取了公司的网络数据。 公司在通知中说明，安全事件发生在2023年1月19日至25日期间，涉及未经授权的网络访问和数据泄露。尽管公司于2023年1月25日发现了入侵行为，但调查工作直到2024年5月3日才完成，整个过程持续了超过三个月。 调查结果显示，攻击者可能获取了包括姓名、地址、社会安全号码（SSN）和驾驶执照号码在内的个人信息。为了降低个人数据泄露的风险，公司将为受影响的个人提供Experian提供的24个月信用监控服务，但该措施显著滞后。 Cannon Design 没有明确指出攻击者的身份，但其发言人向 BleepingComputer 证实，此次披露的信息与 2023 年初发生的 Avos Locker 勒索软件攻击有关。 该公司还表示，尽管数据已在多个网站上公布，但目前尚未发现任何滥用被盗信息的行为。 Avos Locker勒索软件攻击 2023 年 2 月 2 日，Avos Locker 勒索软件团伙宣布对 CannonDesign 进行了攻击，声称掌握了 5.7 TB 的被盗数据，包括公司和客户文件。 Avos Locker的原始声明 在勒索未果后，数据被转交给了 Dunghill Leaks，该组织于 2023 年 9 月 26 日发布了被盗的 2TB 数据，内容包括数据库转储、项目示意图、招聘文件、客户详细信息、营销材料、IT 和基础设施细节以及质量保证报告。 被盗数据随后出现在 Dunghill Leaks 网站上 Dunghill Leaks 是由 Dark Angels 勒索软件组织于 2023 年 4 月推出的数据泄露网站，用于向受害者施压，迫使他们支付赎金。 2024 年 2 月，同一数据集在暗网中的黑客论坛上发布，包括 ClubHydra，而数据集的一部分在 2024 年 7 月通过 torrent 在 Breached Forums 上分享的。 黑客在 clearnet 黑客论坛上免费分享的部分数据 BleepingComputer 已联系 CannonDesign，确认此次披露的数据泄露与已在网上流传一年多的同一数据集有关，但尚未得到任何回复。 CannonDesign 是一家总部位于美国的著名建筑、工程和咨询公司，是全球最具创新力的建筑公司之一，以其在学术建筑、医院和体育场馆等领域的卓越项目而闻名，参与的重要项目包括明尼苏达大学健康诊所和外科中心、马里兰大学多功能体育场等。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 Cisco Talos 的最新研究，macOS 上的八个微软应用程序容易受到库注入攻击，有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行服务，共有八个 CVE 编号。 Microsoft Outlook: CVE-2024-42220 Microsoft Teams (work or school): CVE-2024-42004 Microsoft PowerPoint: CVE-2024-39804 Microsoft OneNote: CVE-2024-41159 Microsoft Excel: CVE-2024-43106 Microsoft Word: CVE-2024-41165 Microsoft Teams (work or school) WebView.app helper app: CVE-2024-41145 Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app: CVE-2024-41138 攻击者通过使用现有的应用程序权限而不提示用户进行任何额外验证来绕过 macOS 的权限模型，这样，就可以在用户未察觉的情况下从用户账户发送电子邮件、录制音频片段、拍照或录制视频，而无需与用户进行任何交互。 macOS 的许可模式受到审查 Cisco Talos 强调了 macOS 基于用户同意的权限模型，该模型包含旨在保护用户隐私和维护系统安全的功能。但研究发现，macOS 对应用程序的权限管理过于信任，允许它们自我监管，这一缺陷可能使攻击者得以利用应用程序的高级权限。 更令人担忧的是，八款流行的微软  macOS 应用程序都激活了禁用库验证的权限“com.apple.security.cs.disable-library-validation ”。 据苹果公司称，该权限允许加载由第三方开发者签名的插件，旨在增强应用程序的功能性。但这一机制存在安全隐患，攻击者可能利用这一点注入任意库，并在被攻击的应用程序中运行恶意代码，进而完全控制应用程序的权限和功能。 研究人员还观察到，macOS 上的所有 Microsoft Office 应用程序都允许加载未签名的动态库。如果要修改已经执行过一次的应用程序，需要特定的权限。不过，攻击者可以通过将应用程序复制到如 /tmp 等其他文件夹来绕过这一安全措施，但这也增加了数据泄露和系统被攻击的风险。 研究人员指出，由于存在相对导入和禁用库验证的权限，所有 Microsoft Office 应用程序都容易受到库注入攻击。 微软用户面临不必要的风险 Cisco Talos 的研究人员说，他们的发现让人们对禁用库验证的必要性产生了疑问，尤其是应用程序不打算加载其他库的情况下。微软通过使用特定权限绕开了 macOS 的加固安全措施，这可能使用户面临原本不必要的风险。 在 Cisco Talos 报告漏洞后，微软虽然认为发现的问题风险较低，但已经对其中的四款应用程序进行了更新，移除了 com.apple.security.cs.disable-library-validation 权限，这意味着它们不再容易受到已知库注入攻击的威胁。 这四款应用程序是 Microsoft Teams 的主应用程序、WebView 应用程序和 ModuleHost 应用程序，以及 Microsoft OneNote。不过，截至 2024 年 8 月 19 日，Microsoft Excel、Outlook、PowerPoint 和 Word 仍然存在漏洞。 检查 macOS 应用程序是否易受库注入攻击影响的流程图 研究人员建议，macOS 可以引入用户提示来降低这一风险。这将允许用户决定是否加载特定的第三方插件，从而提供一种更可控的访问授权方式。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409025.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据，丰田官方随后表示这一情况属实。 根据这名黑客的描述，这些数据不仅涉及丰田员工和客户的信息，还包括合同和财务信息，并通过AD-Recon搜集了更多类型的数据。 黑客发布的贴子截图 虽然丰田没有透露这次数据泄露的日期，以及黑客是通过何种方式入侵并窃取了多少人的数据，但 BleepingComputer 发现这些文件被至少是在 2022 年 12 月 25 日创建的。这个日期可能表明，攻击者访问了存储数据的备份服务器。 丰田表示，这次事件不是系统范围的问题，影响程度有限，并正在与受影响的人员保持接触以提供必要的帮助。 近期数据泄露事件频发 据悉，仅在去年，丰田就已发生至少两起数据泄露事件。 2023年 12 月，丰田子公司丰田金融服务公司（Toyota Financial Services，TFS）向客户发出警告，该公司的欧洲和非洲分部在 11 月受到 Medusa 勒索软件攻击，导致敏感的个人和财务数据泄露。 2023年5月，丰田披露了一起云环境中因配置错误导致的数据泄露事件，暴露了2013 年 11 月 6 日至 2023 年 4 月 17 日这10年间215万车主的位置信息；而在几周后，又有两个配置错误的云服务被发现，暴露了 2016 年 10 月至 2023 年 5 月期间亚洲和大洋洲部分车主的个人信息。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409015.html 封面来源于网络，如有侵权请联系删除

恶意行为者正在使用一种名为 Xeon Sender 的云攻击工具，通过滥用合法服务大规模开展短信钓鱼和垃圾邮件活动。 SentinelOne安全研究员亚Alex Delamotte在与《黑客新闻》分享的一份报告中提到：攻击者可以利用Xeon通过多个软件即服务（SaaS）提供商，使用服务提供商的有效凭证发送信息。 据悉，用于大规模分发短信的服务包括亚马逊通知服务（SNS）、Nexmo、Plivo、Proovl、Send99、Telesign、Telnyx、TextBelt 和 Twilio。 值得注意的是，该活动并没有利用这些提供商的任何固有弱点，而是使用合法的 API 进行垃圾短信群发攻击。还引用了 SNS Sender 等工具，这些工具越来越多地成为批量发送钓鱼信息并最终获取目标敏感信息的途径。 其主要是通过 Telegram 和黑客论坛传播，其中一个旧版本归功于一个专门宣传破解黑客工具的 Telegram 频道。最新版本以 ZIP 文件形式提供下载，归功于一个名为 Orion Toolxhub的 Telegram 频道，该频道有 200 名成员。 Orion Toolxhub 创建于 2023 年 2 月 1 日，免费为成员提供可用于暴力破解攻击、IP 地址反向查询的软件，如 WordPress 网站扫描器、PHP web shell、比特币剪切器，以及一个名为 YonixSMS 的程序，该程序声称可提供无限短信发送功能。 Xeon Sender 也被称为 XeonV5 和 SVG Sender。这个基于 Python 的程序的早期版本最早在 2022 年被检测到。 Delamotte 表示：该工具的另一个化身是托管在带有图形用户界面的网络服务器上。这种托管方式消除了潜在的访问障碍，使那些可能不擅长运行 Python 工具并对其依赖关系进行故障排除的技术水平较低的攻击者也能使用。 无论使用哪种变体，Xeon Sender 都为用户提供了一个命令行界面，可用于与所选服务提供商的后台 API 通信，并协调垃圾短信群发攻击。 这也意味着威胁分子已经掌握了访问端点所需的 API 密钥。精心制作的 API 请求还包括发件人 ID、信息内容以及从文本文件中的预定义列表中选择的电话号码之一。 除了短信发送方法外，Xeon Sender还具有验证Nexmo和Twilio账户凭证、为给定的国家代码和地区代码生成电话号码以及检查所提供的电话号码是否有效等功能。 SentinelOne 表示，尽管该工具缺乏精细度，但源代码中充满了单个字母或字母加数字等模棱两可的变量，使调试工作更具挑战性。 Xeon Sender 主要使用供应商特定的 Python 库来制作 API 请求，这给检测带来了更大的挑战。因为每个库都是独一无二的，提供商的日志也是如此，团队可能很难检测到对特定服务的滥用行为。 因此，为了抵御 Xeon Sender 这样的威胁，企业应该监控与评估或修改短信发送权限相关的活动，或对分发列表的异常更改，如大量上传新的收件人电话号码。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409012.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究团队Cyberint发现了一种难以检测的新型恶意软件UULoader，主要针对中韩用户。该软件被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。 据Cyberint的技术报告披露，UULoader通过伪装成合法应用程序的恶意安装程序，主要针对韩语和中文用户。这些恶意软件通常以微软柜文件（.cab）格式分发，内部包含两个核心可执行文件，一个为.exe文件，另一个为.dll文件。这些文件的文件头已被剥离，使其难以被传统检测工具识别。 值得注意的是，UULoader的代码中包含了中文字符串，且嵌入的DLL文件中存在程序数据库（PDB）文件，进一步指向其开发者可能为中文母语者。Cyberint指出，该恶意软件利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，实际上是远程访问工具（RAT）或Mimikatz凭证窃取器。 此外，UULoader的安装文件中包含了Visual Basic脚本（.vbs），负责启动Realtek等合法可执行文件，同时部分样本还会运行诱饵文件，作为混淆策略。例如，若伪装为Chrome更新程序，诱饵文件就是真实的Chrome更新程序。 UULoader攻击路径 这并非UULoader首次曝光，早在上个月，网络安全公司eSentire就曾报告过类似的攻击链条，攻击者通过伪造的Google Chrome网站传播Gh0st RAT，目标为中国的Windows用户。 UULoader的出现恰逢近年来以加密货币为诱饵的钓鱼攻击激增。攻击者利用免费托管服务搭建钓鱼网站，冒充Coinbase、Exodus和MetaMask等加密钱包服务，诱导用户点击恶意链接。Symantec的报告指出，攻击者利用Gitbook和Webflow等服务，创建仿冒加密钱包的域名，诱骗受害者访问钓鱼页面。 不仅如此，部分钓鱼攻击还伪装成印度和美国政府机构，诱导用户访问虚假域名，窃取敏感信息，并用于进一步的诈骗、信息传播或恶意软件分发。值得警惕的是，这些攻击还滥用微软Dynamics 365 Marketing平台，通过创建子域名和发送钓鱼邮件，绕过常规的邮件过滤机制。 同时，随着生成式人工智能（GenAI）的广泛应用，社会工程攻击也开始利用这一趋势，设置伪装成OpenAI ChatGPT的诈骗域名，用于钓鱼、灰色软件、勒索软件等恶意活动。据Palo Alto Networks的报告显示，超过72%的诈骗域名包含gpt或Chatgpt等与生成式AI应用有关的关键词。 面对日益复杂的境外网络攻击，中国企业和个人需提高警惕，尤其是在使用与生成式AI、加密货币相关的服务时，应加强防范措施，避免成为网络犯罪的目标。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/9s1Shc-UO4GuzJ3WBcZzwQ 封面来源于网络，如有侵权请联系删除

本周二，据FalconFeeds、Ransomlook等多家威胁情报平台报道，某A股上市建筑公司某集团疑似发生大规模数据泄漏，勒索软件组织The Ransom House Group在数据泄漏论坛发帖称窃取了该公司2.3TB数据，并宣称如果未来2-3天内不支付赎金将撕票（公布数据）。 此次针对某集团的攻击事件未得到官方确认，也未公布具体被窃数据的种类和数量，但报道该事件的威胁情报平台预计可能涉及公司内部敏感信息。 RansomHouse勒索软件组织发布的勒索通知 曾勒索荷兰建筑巨头和AMD RansomHouse是近年来新兴的数据勒索团伙之一，自2021年末开始活跃。通过与其他网络犯罪团伙合作，利用企业系统的漏洞发动攻击，RansomHouse逐步形成了复杂的勒索网络。RansomHouse勒索软件组织并不像传统勒索软件团伙那样对文件进行加密，而是专注于数据窃取与勒索。RansomHouse主要通过复杂的网络渗透手段和钓鱼攻击来进入目标公司的网络。成功攻破后，他们会迅速下载并窃取公司数据，随后勒索赎金。 RansomHouse强调自己并非“勒索软件组织”，而是“专业调解者”，帮助受害者以最小损失解决数据泄露问题。 据报告，RansomHouse已经针对各行各业的多家知名大型企业发起攻击（上图），不断扩大其全球影响力。此前，RansomHouse曾成功攻击过包括半导体巨头AMD、非洲零售巨头Shoprite在内的多家大型公司，通过数据窃取与勒索手段获取赎金。值得注意的是，RansomHouse此前曾攻击过荷兰建筑巨头KuiperCompagnons。 勒索软件防御的关键措施 此次网络攻击凸显了在“网络攻击全球化”大潮中，中国企业的威胁态势正迅速恶化，面对RansomHouse及类似的网络勒索威胁，企业应采取多层次的防御措施，以防止数据泄露和勒索攻击。以下是GoUpSec安全顾问提供的关键防御策略： 漏洞管理与补丁更新。RansomHouse通常利用未修复的系统漏洞进行攻击，因此企业必须确保及时安装系统和软件更新，修复已知的安全漏洞。 强化访问控制与身份验证。使用强密码策略并启用多因素身份验证（MFA）可以大幅减少攻击者利用弱密码获取系统访问权限的机会。 数据加密与备份。定期备份重要数据并确保备份文件离线存储。同时，对敏感数据进行加密，以减少数据泄露后的影响。 网络钓鱼培训与防护。钓鱼攻击是网络犯罪分子常用的手段之一。企业应定期对员工进行网络安全培训，提高对钓鱼邮件的识别能力，同时部署电子邮件过滤系统。 引入威胁检测与响应平台。采用安全信息和事件管理系统（SIEM）和威胁检测平台，可以帮助企业及时识别和响应潜在的网络威胁，降低攻击造成的损害。 与专业网络安全供应商合作。企业可以考虑与专业的网络安全公司合作，进行定期的安全审计和渗透测试，以确保其安全防护体系的有效性。 通过这些策略，企业可以显著提升其网络防御能力，抵御RansomHouse等依赖数据窃取进行勒索的新兴勒索组织的威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/-e-uFQGGQ0h1Uz79YtLPXQ 封面来源于网络，如有侵权请联系删除

27岁的俄罗斯公民格奥尔基·卡夫扎拉泽（Georgy Kavzharadze）因在Slilpp上出售超过30万个账户的登录凭证，被判处40个月的监禁。Slilpp是最大的在线被盗账户登录凭证市场，2021年6月该市场被查封。 判处40个月监禁 近期外媒报道，美国司法部表示，Kavzharadze（也称为TeRorPP，Torqovec和PlutuSS）在非法市场上出售了大量财务信息和其他个人身份信息（PII）。在2016年至2021年期间，他在Slilpp市场上列出了超过626100个被盗登录凭据出售，并成功售出了超过297300个。他的活动与超过120万美元的欺诈交易有关。 司法部称，“2021年5月27日，Kavzharadze在Slilpp上的账户列出了 240,495个待售登录凭据，这些凭据允许买家使用这些信息从受害者的在线支付和银行账户中窃取资金。这些凭证包括访问纽约、加利福尼亚州、内华达州和佐治亚州的银行账户。Kavzharadze只接受比特币作为凭证的支付方式。” 根据法庭文件，联邦调查局（FBI）分析师发现Kavzharadze与一个比特币账户中超过20万美元的Slilpp利润有关。该账户收取了被盗登录信息、个人和财务信息的付款。 2021年8月19日，美国司法部指控Kavzharadze共谋实施银行和电汇欺诈、银行欺诈、访问设备欺诈和严重身份盗窃。 他被引渡到美国，并于2022年5月在美国地方法院出庭。将近两年后，即2024年2月16日，Kavzharadze承认自己是一名Slilpp供应商，并共谋实施银行和电汇欺诈。 最大暗网市场Slilpp 美国司法部于2021年6月10日宣布关闭Slilpp，此行动由美国、德国、荷兰和罗马尼亚的执法机构联合行动，行动中没收了用于托管Slilpp基础设施的服务器。自2012年以来，Slilpp已经活跃了近十年，并被网络犯罪分子用来买卖银行、在线支付、手机、零售商和其他在线账户的被盗登录凭据。 据悉，在Slilpp被关闭查封域名之前，Slilpp的供应商列出有超过8000万个被盗登录凭据，这些待售凭据归属于1400多家公司的用户，其中许多是全球知名组织。 从那时起，全球的执法机构都开始集中力量打击那些帮助犯罪分子获取敏感信息的活动。这些敏感信息是从网络攻击的受害者那里被窃取的。 例如，今年早些时候，执法部门逮捕了23岁的林瑞祥（Rui-Siang Lin），他被怀疑是Incognito暗网毒品市场的所有者和经营者。这个市场销售了价值超过1亿美元的毒品。如果林瑞祥被判定有罪，他可能会面临强制性的最低刑罚，即终身监禁。去年，当局还查封了Genesis被盗凭证市场，并在代号为Spector的执法行动后逮捕了288名暗网毒品供应商和买家。 今年6月，FBI逮捕了BreachForums黑客论坛的所有者康纳·布莱恩·菲茨帕特里克（Connor Brian Fitzpatrick，又名Pompompurin）。 去年12月，一项国际警察行动逮捕了3500名网络犯罪分子，并缴获了超过3亿美元。德国警方查获了王国市场（Kingdom Market），这是一个销售网络犯罪工具、毒品和假政府身份证的暗网市场。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1bb8UZRrnjAkouYFxizyag 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员揭露了一项复杂的信息窃取活动，该活动冒充合法品牌来分发DanaBot和StealC等恶意软件。 据称，该活动集群由俄语网络犯罪分子策划，代号为“Tusk”，包含多个子活动，利用平台的声誉诱骗用户使用虚假网站和社交媒体账户下载恶意软件。 卡巴斯基研究人员 Elsayed Elrefaei 和 AbdulRhman Alfaifi表示：“所有活跃的子活动都在 Dropbox 上托管初始下载程序。” “该下载程序负责向受害者的机器提供其他恶意软件样本，这些样本大多是信息窃取程序（DanaBot 和 StealC）和剪辑程序。” 迄今为止，已发现 19 个子攻击活动中，其中三个目前仍在活跃。“Tusk”这个名字指的是攻击者在与初始下载器相关的日志消息中使用的“Mammoth”一词。值得注意的是，Mammoth是俄罗斯电子犯罪集团经常用来指代受害者的俚语。 这些活动还因使用网络钓鱼手段欺骗受害者提供其个人和财务信息而闻名，这些信息随后在暗网上出售或用于未经授权访问他们的游戏账户和加密货币钱包。 三个子活动中的第一个名为 TidyMe，模仿 peerme[.]io，在 tidyme[.]io（以及 tidymeapp[.]io 和 tidyme[.]app）上托管一个相似的网站，该网站会诱使用户点击下载适用于 Windows 和 macOS 系统的恶意程序。可执行文件由 Dropbox 提供。 该下载器是一个 Electron 应用程序，启动时会提示受害者输入显示的 CAPTCHA，然后显示主应用程序界面，同时在后台秘密获取并执行另外两个恶意文件。 此次活动中观察到的有效载荷都是Hijack Loader构件，它们最终会启动 StealC 窃取恶意软件的变种，能够收集广泛的信息。 第二个子活动 RuneOnlineWorld（“runeonlineworld[.]io”）使用一个模拟大型多人在线（MMO）游戏 Rise Online World 的虚假网站来分发类似的下载程序，为受感染主机上的 DanaBot 和 StealC 铺平道路。 在这次活动中，通过 Hijack Loader 分发的还有一种基于 Go 的剪切板监视恶意软件，该恶意软件旨在监视剪贴板内容，并使用攻击者控制的比特币钱包替换受害者复制的钱包地址，以执行欺诈交易。 活跃活动的最后一项是 Voico，它冒充名为 YOUS（yous[.]ai）的 AI 翻译项目，并使用名为 voico[.]io 的恶意对应项目来传播初始下载程序，在安装时，该下载程序会要求受害者填写包含其凭证的注册表，然后将信息记录在控制台上。 最终的有效载荷表现出与第二个子活动类似的行为，唯一的区别是，在这种情况下使用的 StealC 恶意软件与不同的命令和控制 (C2) 服务器进行通信。 “这些活动表明，网络犯罪分子的威胁持续不断且不断演变，他们善于模仿合法项目来欺骗受害者。对网络钓鱼等社会工程技术的依赖，加上多阶段恶意软件传递机制，凸显了威胁行为者的先进能力。”研究人员表示，“通过利用用户对知名平台的信任，这些攻击者有效地部署了一系列恶意软件，旨在窃取敏感信息，破坏系统，并最终获取经济利益。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a777eGTYEUHDwa5qfuODsw 封面来源于网络，如有侵权请联系删除

Gen Threat Labs 的安全研究人员认为，微软上周修补的一个被利用的0day漏洞与朝鲜的 Lazarus APT 组织有关。 该漏洞被编号为CVE-2024-38193，并被微软标记为“积极利用”，允许在最新的 Windows 操作系统上获得 SYSTEM 权限。 Gen 是 Norton、Avast、LifeLock 和 Avira 等消费品牌的集合，该公司发布了一条简短的说明，称此次攻击与 Lazarus 通过使用 FudModule rootkit 相关联。但是，该公司并未发布任何指标或技术文档来支持这种关联。 “6 月初，Luigino Camastra 和 Milanek 发现 Lazarus 组织正在利用 Windows 中一个关键部分 AFD.sys 驱动程序中隐藏的安全漏洞。该漏洞使他们能够未经授权访问敏感系统区域。我们还发现他们使用一种名为 Fudmodule 的特殊恶意软件来隐藏他们的活动，不让安全软件发现。”该公司表示，但没有提供更多细节。 Avast 之前曾将 FudModule 记录为 Lazarus APT 工具包的一部分，该工具包包含可追溯至二月份的管理员到内核的 Windows 0day漏洞。 这是微软在 8 月补丁日安全更新中发现的六个0day漏洞之一。安全专家还认为，朝鲜 APT 组织正在利用第二个漏洞 ( CVE-2024-38178 ) 来攻击韩国受害者。 该漏洞是 Windows 脚本引擎中的一个内存损坏漏洞，如果经过身份验证的客户端被诱骗点击链接，则会导致远程代码执行攻击。要成功利用此漏洞，攻击者首先需要准备目标，使其在 Internet Explorer 模式下使用 Edge。 Ahn 实验室和韩国国家网络安全中心报告了此脚本引擎0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OgFKCyYGQd221n52-E4Vww 封面来源于网络，如有侵权请联系删除

俄勒冈州动物园通知大约 118000 人，称他们的姓名和支付卡信息在其在线售票服务中被盗。 6 月 26 日发现了该数据泄露事件，泄露的数据包括姓名、支付卡号、CVV 等。动物园称2023年12月20日至2024年6月26日期间的交易可能受到影响。 该动物园在提交给缅因州总检察长办公室的监管文件中表示：“为防止产生其他的影响，俄勒冈动物园审查了这段期间的所有交易，确定了所有支付卡信息可能受到影响的人。” 据该动物园称，威胁者通过重定向处理俄勒冈州动物园在线购票的第三方供应商的交易来实施攻击。动物园立即停用了受影响的网站，并建立了一个新的安全在线购票网站。 另外，该动物园已于8月16日向缅因州动物保护协会发送了书面通知，指出可能有117815只动物受到影响。 “俄勒冈动物园已将此事通报联邦执法部门。并且也在审查其政策和程序，以减少未来发生类似事件的可能性，”动物园表示。 动物园为可能受到影响的个人提供一年的免费信用监控和身份保护服务。 虽然动物园尚未明确透露导致数据泄露的具体网络攻击类型，但该事件可能与俄勒冈州动物园在线票务服务受到网络浏览器感染有关。 网络窃取器也称为数字窃取器、JavaScript 嗅探器或 JS 嗅探器，是一个恶意软件家族，通常会被威胁行为者注入到合法网站上（通常在结帐页面上），以窃取访问者的个人和支付卡信息。 盗取器感染通常难以被发现，俄勒冈州动物园就是一个例子，被盗信息被用于实施各种欺诈行为。迄今为止，网络安全研究人员已经确定了 130 多个数字盗取器家族。 作为美国最古老的动物园之一，成立于 1888 年的俄勒冈动物园归当地大都会政府所有，占地 64 英亩。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。 “在这次勒索活动中存在多种安全漏洞，包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。 该活动的显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板，扫描超过 2.3 亿个唯一目标的敏感数据。 据了解，该恶意活动以 11 万个域为目标，在 .env 文件中获取了超过 9 万个独特变量，其中 7000 个变量属于组织的云服务，1500 个变量与社交媒体账户相关联。 Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过，攻击者并没有在勒索之前对数据进行加密，而是将数据提取出来，并将勒索信放在被入侵的云存储容器中。 这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。 成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，以创建新角色并提升他们的权限。 具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。 Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说：”脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。” 如果目标域名托管了已暴露的环境文件，文件中包含的明文凭据就会被提取出来，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前，该存储桶已被 AWS 关闭。 研究人员发现，这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。 感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金，以避免敏感信息在在暗网上被出售。 威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终，这也表明了攻击的经济动机。 目前还不清楚谁是这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示，它检测到两个 IP 地址分别位于乌克兰和摩洛哥，是 lambda 功能和 S3 提取活动的一部分。 研究人员强调：”这次活动背后的攻击者很可能利用了大量自动化技术来成功、快速地开展行动。这表明，这些威胁行为者在高级云架构流程和技术方面既熟练又专业。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/408949.html 封面来源于网络，如有侵权请联系删除

8月15日，记者从北京市朝阳区人民法院获悉一起侵犯公民个人信息案，该案中，天某某非法获取上亿条公民个人信息，并利用境外软件提供给他人牟利。据了解，这些信息不仅包含个人的姓名、手机号、证件号以及交易信息，还包括车辆信息、用户密码等信息，部分信息较为敏感。因侵犯公民个人信息罪，天某某被判处有期徒刑五年，罚金100万元。法院审理查明，2022年4月至8月间，天某某伙同他人，通过爬取、交换、购买等方式获取大量公民个人信息后，利用境外聊天软件向他人有偿提供公民信息查询。经鉴定，在起获的天某某的电脑内，共存储上亿条信息记录，给不特定公民的人身、财产安全造成极大的风险和隐患。天某某还让张某担任聊天软件客服负责解答客户问题，让陈某某帮助存储、转发部分公民个人信息。 法院认为，被告人天某某、张某、陈某某违反国家有关规定，向他人出售或者提供公民个人信息，情节特别严重，三被告人的行为均已构成侵犯公民个人信息罪，依法均应予惩处。 三被告人均表示认罪认罚，因张某、陈某某系从犯，天某某、张某积极退缴违法所得，法院依法对天某某予以从轻处罚，对张某、陈某某予以减轻处罚。 最终，因侵犯公民个人信息罪，天某某被法院判处有期徒刑5年，罚金100万元；张某被判处有期徒刑1年8个月，缓刑2年，罚金3万元；陈某某被判处有期徒刑1年半，缓刑2年，罚金4万元。 一审判决后，被告人均未上诉，判决已生效。 庭后，本案主审法官表示，根据我国刑法第二百五十三条之一的规定，侵犯公民个人信息罪，指违反国家有关规定，向他人出售或者提供公民个人信息的行为，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。窃取或者以其他方法非法获取公民个人信息的，依照侵犯公民个人信息罪定罪处罚。 公民的个人信息受到刑法、个人信息保护法等法律法规的保护，违反规定向他人出售或者提供公民个人信息，不仅侵犯了公民的人身权利，还会进一步衍生电信网络诈骗等犯罪，给公民的人身权、财产权造成潜在的威胁，依法应受到法律的制裁。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/-dkIbXPtelPtTnLqgBf6mA 封面来源于网络，如有侵权请联系删除

自 2017 年 9 月以来，许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。 移动安全公司 iVerify 的研究人员报告称，该问题源于预装的 Android 应用程序“Showcase.apk”，该应用程序以过多的系统权限运行，允许其远程执行代码并安装远程包。 报告指出：“自 2017 年 9 月以来，iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”，该软件包具有过多的系统权限，包括远程代码执行和远程软件包安装功能。” 该应用程序通过不安全的连接下载配置文件，并且可以被操纵以在系统级别执行代码。 允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件，从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备，从而可能导致严重的网络犯罪和数据泄露。 由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。 应用程序“Showcase.apk”无法通过标准卸载过程删除，谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中，并包含在谷歌针对Pixel设备的OTA更新中。专家指出，尽管该应用程序默认未启用，但可以通过多种方法激活，其中一种方法需要对设备进行物理访问。 这个存在缺陷的应用程序名为 Verizon Retail Demo Mode （“com.customermobile.preload.vzw”），其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在，但没有证据表明此漏洞已被利用。 “应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件，则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化，导致在失败后进行有效的验证检查。” 该应用程序存在漏洞，因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书，从而使攻击者能够在下载过程中绕过验证过程。 需要强调的是，攻击者需要物理访问设备并获得用户密码才能利用此漏洞。 谷歌表示，该问题不是 Android 或 Pixel 系统中的漏洞，并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。 谷歌还通知了其他 Android OEM。 Showcase.apk 的发现和其他备受关注的事件（例如在Microsoft Windows中运行第三方内核扩展 ）凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试，以确保安装在数百万台设备上的第三方应用程序的安全。 报告总结道：“为什么只有极少数设备需要 Showcase.apk，而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重，以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aztJg6UgO97dTT0rPdA_Ew 封面来源于网络，如有侵权请联系删除

网络犯罪分子正在宣传一种新的 macOS 恶意软件，他们声称该恶意软件能够从受感染的系统中窃取大量数据。 这款恶意软件名为Banshee Stealer，据信是由俄罗斯黑客开发，在网络犯罪论坛上以每月 3000 美元的价格出售。Elastic Security Labs 的研究人员于周四发布了对该恶意软件的分析，称这是“高昂的月费”。 该恶意软件旨在收集目标用户的 macOS 密码、有关系统硬件和软件的信息、密钥、网络浏览器的数据以及加密货币钱包。 Banshee Stealer 可以攻击 9 种不同的浏览器，包括 Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Opera、OperaGX 和 Safari。它通常可以窃取 cookie、登录信息和浏览历史记录，但只能从 Safari 收集 cookie。Elastic 研究人员还发现，该恶意软件的目标是大约 100 个浏览器插件的数据。 该恶意软件还试图从受感染的系统中窃取加密货币钱包，包括 Exodus、Electrum、Coinomi、Guarda、Wasabi Wallet、Atomic 和 Ledger。 一旦在本地收集数据，就会将其添加到存档文件中，然后加密并发送到攻击者的服务器。 在启动数据窃取程序之前，Banshee Stealer 会检查系统是否有被安全研究人员分析的迹象（它会检查系统是否正在调试或在虚拟机中运行），并确保受感染系统的语言未设置为俄语。 攻击者可以使用多种方法在 macOS 设备上部署恶意软件，包括将其伪装成托管在第三方网站上的免费内容、通过恶意广告、毒害开发者项目、开源软件包存储库、木马应用程序、漏洞和水坑攻击以及供应链攻击。 其中一些传递方法更容易实施，但需要高度的社会工程，而另一些方法则更加隐蔽，但需要更多的复杂性和资源。 Elastic Security Labs 在其博客文章中总结道：“尽管该恶意软件具有潜在的危险能力，但它缺乏复杂的混淆技术，并且存在调试信息，这使得分析师更容易剖析和理解它。” 随后补充道：“虽然 Banshee Stealer 的设计并不太复杂，但它对 macOS 系统的关注以及它收集的数据广度使其成为一个重大威胁，需要网络安全界的关注。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LQNNgyhhjG4aYqcXFGHTZQ 封面来源于网络，如有侵权请联系删除

一项新的 ValleyRAT 攻击活动已针对中国用户展开。FortiGuard 实验室发现，该攻击活动影响 Windows 用户，使攻击者能够控制受感染的机器。 ValleyRAT 恶意软件及其目标 ValleyRAT 主要针对电子商务、金融、销售和管理类企业。该恶意软件使用多个阶段和技术来监视和控制受害者，并使用任意和特定的插件来造成额外损害。 攻击链 FortiGuard 观察到的活动使用重型 shellcode 直接在内存中执行其组件，从而大大减少了其对受害者系统占用的空间。 ValleyRAT 采取的策略包括使用合法应用程序（包括 Microsoft Office）的图标，使恶意文件看起来无害。文件名也被设计成看起来像财务文件。 一旦执行，ValleyRAT 就会创建一个名为 TEST 的互斥锁，以确保单个实例运行。然后，它会更改特定的注册表项，以存储其命令和控制 (C2) 服务器的 IP 和端口，从而允许其与攻击者的服务器进行通信。 恶意软件添加的计划任务 ValleyRAT会终止包含以下可执行文件名的安全软件进程： 360Sd.exe 360leakfixer.exe safesvr.exe MultiTip.exe ZhuDongFangYu.exe kscan.exe kwsprotect64.exe kxescore.exe HipsMain.exe HipsDaemon.exe QMDL.exe QMPersonalCenter.exe QQPCPatch.exe QQPCRealTimeSpeedup.exe QQPCRTP.exe QQRepair.exe 修改注册表，禁用安全软件的自动启动。 该恶意软件进一步尝试通过确定其是否在虚拟机（VM）中运行来逃避检测，如果是，它就会终止其进程。 高级逃避和执行技巧 ValleyRAT 采用休眠混淆技术，即修改恶意代码所在分配内存的权限，以避免被内存扫描器检测到。它还使用 XOR 操作对 shellcode 进行编码，增加了一层复杂性，进一步挑战了基于模式的安全签名。 此外，该恶意软件依靠反射式 DLL 加载直接从内存运行其组件。初始化后，该恶意软件使用 AES-256 算法解密 shellcode，然后通过睡眠混淆例程执行此代码。ValleyRAT 还利用 API 哈希来混淆其使用的 API 名称，使检测过程复杂化。 与银狐的联系 ValleyRAT 是 Silver Fox 威胁组织的后门程序，功能齐全，能够远程控制受感染的工作站。它可以截取屏幕截图、执行文件并在受害系统上加载其他插件。 研究人员表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。” 该恶意软件监视用户活动和提供额外恶意插件的能力凸显了其对企业安全的重大威胁。 FortiGuard 表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。” “一旦恶意软件在系统中站稳脚跟，它就会支持能够监视受害者活动并提供任意插件的命令，以进一步实现攻击者的意图。” 为了应对此类威胁，组织应保持防病毒和入侵防御系统 (IPS) 签名为最新版本，并确保其员工接受安全意识培训。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/dm8CeomgXslU9ILAg_rwfg 封面来源于网络，如有侵权请联系删除