Aggregator

While cybercriminals are often in the spotlight, one of the most dangerous threats to your company might be hiding in plain sight, within your own team. Employees, contractors, or business partners who have access to sensitive information can use that access to cause harm, whether it’s stealing data, sabotaging systems, or leaking confidential details. But what makes someone inside a company decide to turn against it? There’s often a psychological aspect to it, whether it’s … More →

The post The human side of insider threats: People, pressure, and payback appeared first on Help Net Security.

In this Help Net Security interview, Yinglian Xie, CEO at DataVisor, explains how evolving fraud tactics require adaptive, AI-driven prevention strategies. With fraudsters using generative AI to launch sophisticated attacks, financial institutions must adopt adaptive AI solutions to stay ahead. Xie points out the role of real-time data orchestration, machine learning, and integrated security platforms in balancing fraud prevention with a seamless user experience. How are fraud tactics evolving with the rise of generative AI … More →

The post Generative AI Is reshaping financial fraud. Can security keep up? appeared first on Help Net Security.

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、法国、荷兰、瑞士等。主要情况如下：

一、恶意地址信息

（一）恶意地址：mo.t1linux.com

关联IP地址：216.152.18.8

归属地：美国/伊利诺伊州/芝加哥

威胁类型：挖矿木马

病毒家族：lucifer

描述：这是一种跨平台、支持多种架构、DDoS与挖矿功能混合的恶意程序，主要借助IoT设备漏洞如Dasan GPON光纤路由器越权和远程命令执行漏洞CVE-2018-10561等进行传播。其包含下载、执行等常见的远程命令和控制功能，能够对指定目标发起DDoS攻击，并借助XMRig开源程序实现门罗币挖取。

（二）恶意地址：pool.dudiito.dev

关联IP地址：5.78.130.39

归属地：美国/俄勒冈州/希尔斯伯勒

威胁类型：挖矿木马

病毒家族：monero

描述：这是一种可在Windows、Linux、MacOS、Android等多个平台运行的开源门罗币挖矿木马，主要通过网络下载方式传播，利用感染主机进行挖矿牟利。

（三）恶意地址：ddos.howardwang2312.com

关联IP地址：91.216.169.28  

归属地：美国/加利福尼亚州/东洛杉矶   

威胁类型：僵尸网络

病毒家族：moobot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（四）恶意地址：9cpanel.hackcrack.io

关联IP地址：147.124.205.158    

归属地：美国/俄勒冈州/本德

威胁类型：后门

病毒家族：NjRAT

描述：该恶意地址关联到NjRAT病毒家族样本，部分样本程序的MD5值为32b78ad1c0d9d1a0f3761dc7f8bed912。该网络后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（五）恶意地址：fidapeste2.duckdns.org

关联IP地址：192.169.69.26

归属地：美国/华盛顿州/西雅图

威胁类型：后门

病毒家族：NjRAT

描述：该恶意地址关联到NjRAT病毒家族样本，部分样本程序的MD5值为b5cbf7365e0b43b84497b60f105564f2。该网络后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（六）恶意地址：banthis.su

关联IP地址：185.142.53.6

归属地：法国/巴黎

威胁类型：僵尸网络

病毒家族：catddos

描述：Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播，已公开样本包括CVE-2023-46604、CVE-2021-22205等，该恶意地址是相关病毒家族近期有效活跃的回连地址。

（七）恶意地址：62.210.28.199

归属地：法国/巴黎

威胁类型：远程控制

病毒家族：Meterpreter

描述：该恶意地址关联到Meterpreter病毒家族样本，部分样本程序的MD5值为91a77e0d2d4b9bb98b15c78bc4084115。Meterpreter通常被用于在渗透测试和漏洞利用过程中执行攻击操作，常见的攻击传播方式包括漏洞攻击、鱼叉钓鱼等。

（八）恶意地址：seyfhg.work.gd

关联IP地址：146.19.188.249 

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：moobot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（九）恶意地址：501799.prohoster.biz

关联IP地址：185.212.130.11

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：后门

病毒家族：DCRat

描述：该恶意地址关联到多个DcRat病毒家族样本，部分样本程序MD5值为eba23ee4fa3441dd8972973ac7665007。该网络后门是一种远程访问木马，最早于2018年发布，能够窃取用户隐私信息（系统信息、账号信息等），根据远程指令执行shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等多种功能。

（十）恶意地址：176.96.131.55

归属地：瑞士

威胁类型：后门

病毒家族：Quasar

描述：该恶意地址关联到Quasar病毒家族样本，部分样本程序MD5值为a6de2fc13d573539a75889378af7abc0。这是一种基于.NET Framework的远程管理木马，提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向有关部门及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

Cloud Security Engineer Fexco | Ireland | Hybrid – View job details As a Cloud Security Engineer, you will design and implement security frameworks for cloud environments. Enforce secure access policies, MFA, and least privilege principles. Develop automated security solutions using IaC and scripting. Perform security assessments and recommend improvements. Cyber Security Analyst Shannex | Canada | On-site – View job details As a Cyber Security Analyst, you will develop and maintain security architecture principles, … More →

The post Cybersecurity jobs available right now: April 1, 2025 appeared first on Help Net Security.

安全研究人员发现，朝鲜Lazarus黑客在入侵多sig钱包平台Safe{wallet}的开发人员设备后，从Bybit窃取了15亿美元。

Bybit首席执行官分享了Sygnia和Verichains的两项调查的结论，这两项调查都发现攻击源自Safe{Wallet}的基础设施。此次攻击通过向app.safe注入恶意JavaScript专门针对Bybit。

global，由Bybit的签名者访问，有效载荷被设计为只有在满足某些条件时才会激活。这种选择性执行确保了后门不被普通用户发现，同时危及高价值目标。

根据对Bybit签署人机器的调查结果以及在Wayback Archive上发现的缓存恶意JavaScript有效负载，Sygnia认为AWS S3或CloudFront帐户/安全的API密钥。环球公司很可能被泄露或受损。

“在恶意交易执行并发布两分钟后，新版本的JavaScript资源被上传到Safe{Wallet}的AWS S3桶中。这些更新版本已经删除了恶意代码。”Sygnia补充道。

Sygnia还发现，恶意JavaScript代码（针对Bybit的以太坊Multisig冷钱包）来自Safe{Wallet}的AWS S3桶，用于将Bybit的加密资产重定向到攻击者控制的钱包，并在2月21日攻击前两天被修改。事件发生后，叙利亚对Bybit的基础设施进行了调查，没有发现任何被入侵的证据。

安全生态系统基金会在一份声明中证实了他们的结论，该声明透露，攻击是通过首先入侵Safe{wallet}开发人员的机器进行的，该机器为威胁者提供了访问Bybit运营的帐户的权限。

自事件发生以来，Safe{Wallet}团队已经在以太坊主网上恢复了Safe{Wallet}，并分阶段推出，暂时删除了本机分类帐集成，即Bybit加密抢劫中使用的签名设备/方法。

恢复Safe{Wallet}服务的分阶段推出还增加了进一步的安全措施，包括增强的监控警报和对交易散列、数据和签名的额外验证。

Safe{Wallet}的团队表示，他们已经完全重建和重新配置了所有基础设施，并旋转了所有凭据，以确保攻击向量已被删除，不能在未来的攻击中使用。

尽管外部安全研究人员进行的取证审查没有发现外管局智能合约或其前端和服务的源代码存在漏洞，但建议用户在签署交易时保持警惕。