HackerNews

微软的网络安全研究人员最近发现，隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。 该组织攻击卫星设备是因为它们对于军事和全球通信等现代设施至关重要。此类攻击的实施者可以通过破坏卫星系统来利用它，从而破坏通信和数据泄露，并影响导航和计时信息。 这种定制恶意软件袭击了美国和阿联酋的卫星、通信、石油或天然气以及政府行业。 技术分析 Peach Sandstorm 冒充“go-http-client”用户代理，对数千个组织发起密码喷洒攻击，主要针对美国和澳大利亚的国防、航天、教育和政府部门。 该组织还通过 LinkedIn 使用虚假的俄罗斯和西方个人资料进行情报收集，以便联系美国人和西欧人并为他们制定商业提案。 经过深度攻击后，他们还使用虚假的 Azure订阅来获取其他 C&C 服务。 微软注意到多个领域都存在此类活动，并且公司直接联系了那些受到影响的客户。 Microsoft Threat Intelligence 发现了两个 Tickler 恶意软件样本，它们由 Peach Sandstorm 于 2024 年 7 月部署。 第一个样本伪装成 PDF，这是一个 64 位 C/C++ PE 文件，使用 PEB 遍历来定位“kernell32.dll”。该样本还收集网络数据并通过 HTTP POST 将其发送到 C2 服务器。 Peach Sandstorm 攻击链（来源 – 微软） Tickler 恶意软件的第二个样本 sold.dll 下载了额外的有效负载，包括用于 DLL 侧加载的合法 Windows 二进制文件（msvcp140.dll、LoggingPlatform.dll、vcruntime140.dll、Microsoft.SharePoint.NativeMessaging.exe）以及能够执行各种命令（如 systeminfo、dir、run、delete、upload、download）的恶意 DLL。 Peach Sandstorm 通过创建具有学生订阅的 Azure 租户（通过新帐户和破坏现有的教育部门帐户）建立了 C2 基础设施。 他们设置了多个 azurewebsites[.]net 域作为 C2 节点，其他伊朗组织（如 Smoke Sandstorm）也采用了这种策略。 Peach Sandstorm事件活动包括： 欧洲防御组织中的横向 SMB 运动。 在一家制药公司遭遇密码泄露后，尝试安装 AnyDesk。 中东卫星运营商通过 Microsoft Teams 上的恶意 ZIP 捕获 AD 快照。 这些技术使 Peach Sandstorm 能够扩大访问权限、保持持久性并在受感染的网络中收集敏感数据。 缓解措施： 重置密码、撤销会话 cookie 并撤消攻击者 MFA 更改。 实施 Azure 安全基准，阻止旧式身份验证并强制执行 MFA。 保护具有最小权限的帐户，使用 Entra Connect Health 进行监控，并使用密码保护。 启用云和实时保护、EDR 阻止模式和防篡改保护。 教育用户有关登录安全性并过渡到无密码身份验证。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/yYyjB8B6JVd_vbC2wfmQeg 封面来源于网络，如有侵权请联系删除

安全内参8月30日消息，马来西亚公共交通运营商国家基建公司（Prasarana Malaysia Bhd）确认，社交媒体上关于其内部系统部分被未经授权访问的网络安全事件的报道属实。 国家基建公司在一份声明中表示，此次事件并未影响其日常运营，公司正与网络安全专家合作，调查并缓解这一情况。 该公司还表示，正在与国家网络安全局（Nacsa）和马来西亚网络安全机构（CyberSecurity Malaysia）协调，以提供全面的应对措施并保护其系统免受任何威胁。 声明称：“我们的重点仍然是迅速解决问题，同时确保我们的服务继续满足公众的需求。我们将继续在适当的时候提供更新。” 这份声明意在回应社交媒体关于其网站可能因勒索软件攻击而导致316GB数据泄露的报道。 8月25日夜间，网络安全平台Falcon Feeds.io在推特上发帖称，一家名为RansomHub的勒索软件组织还威胁将在6到7天内公布国家基建公司的数据。 勒索软件是一种恶意软件，其设计目的是通过加密数据来阻止对计算机系统或文件的访问，直到向攻击者支付赎金为止。 国家基建公司拥有并运营广泛的交通服务，涵盖RapidKL旗下的轻轨、捷运和巴士快速交通系统，以及吉隆坡单轨列车和一支公交车队。   转自安全内参，原文链接：https://www.secrss.com/articles/69702 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，GitHub  teloxide rust 库的一位贡献者发现，GitHub项目中的评论以提供修复程序为幌子，实际在其中植入了Lumma Stealer 恶意软件。 BleepingComputer 进一步审查发现， GitHub 上的各种项目中有数千条类似的评论，这些评论都为用户的提问提供了虚假的修复程序。 以下图为例，该评论告诉用户从 mediafire.com 或通过 bit.ly URL 下载受密码保护的压缩包，然后运行其中的可执行文件。 逆向工程师告诉 BleepingComputer，仅在 3 天时间里就有超过2.9万条推送该恶意软件的评论。 传播Lumma Stealer 恶意软件的评论回复 含有 Lumma Stealer的安装程序 单击该链接会将用户带到一个名为“fix.zip”的文件下载页面，其中包含一些 DLL 文件和一个名为 x86_64-w64-ranlib.exe 的可执行文件。通过在 Any.Run分析发现，这是一个Lumma Stealer 信息窃取恶意软件。 Lumma Stealer 是一种高级信息窃取程序，能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 浏览器中窃取 cookie、凭证、密码、信用卡和浏览历史记录。此外，它还能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。这些数据被收集并发送回给攻击者，攻击者可以使用这些信息进行进一步的攻击或在网络犯罪市场上出售。 虽然 GitHub的工作人员会在检测到这些评论时进行删除，但已经有受害者在Reddit上进行了反馈。 就在最近，Check Point Research 披露了名为Stargazer Goblin 的攻击者进行的类似活动，他们通过在Github上创建3000多个虚假账户传播恶意软件。目前尚不清楚这两起事件是否由同一攻击者所为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409987.html 封面来源于网络，如有侵权请联系删除

美国四机构联合报告指出，自2024年2月问世以来，RansomHub勒索软件已经入侵至少210个目标，涉及美国多个关键基础设施领域。 8月29日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、多州信息共享和分析中心（MS-ISAC）以及卫生与公众服务部（HHS）共同发布了一份咨询报告，指出RansomHub对受害者进行”双重勒索攻击”。 报告指出：“自2024年2月成立以来，ansomHub通过加密和泄露数据的方式对至少210个目标进行了攻击。” 这些目标来自多个关键基础设施领域，包括水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信行业。 联邦机构表示，RansomHub（前身为Cyclops和Knight）已经将自己确立为一种高效且成功的服务模式。（它最近吸引了来自LockBit和ALPHV等其他知名勒索软件变体的附属成员）。 E安全了解到，Check Point发布的2024年6月《全球威胁指数》报告，揭示了勒索软件即服务 (RaaS) 领域发生的变化，RansomHub跃居榜首，取代LockBit3成为最猖獗的勒索软件团伙。这种新型的勒索软件即服务（RaaS）运作模式，勒索者获取赎金以保证不泄露被盗文件，若谈判失败就将文件出售给出价最高的人。这个勒索组织主要通过数据盗窃进行敲诈，而不是加密受害者的文件。此外他们也被认为可能是Knight勒索软件源代码的潜在买家。 自今年年初以来，RansomHub组织公开承认对以下几家美国机构的网络入侵行为负责：美国非营利性信用合作社Patelco、Rite Aid连锁药店、佳士得拍卖行和美国电信提供商Frontier Communications 。Frontier Communications后来向超过750,000名客户发出警告，他们的个人信息被泄露。 四家机构在报告中给出了建议：网络防御者应该修补已经被利用的漏洞，并对 webmail、VPN和链接到关键系统的账户使用强密码和多因素身份验证（MFA）。此外，还建议将软件更新并执行漏洞评估作为安全协议的标准部分。这四个机构还提供RansomHub感染指标（IOC），以及2024年8月FBI发现的其关联方的策略、技术和程序（TTP）信息。 “不鼓励支付赎金，因为支付赎金并不能保证受害者文件被恢复。”联邦机构补充说。“此外，付款还可能使攻击者变本加厉组织实施犯罪行为。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/YG2muhIvnrX6VQW0jsA7aw 封面来源于网络，如有侵权请联系删除

Progress Software 的企业网络监控和管理解决方案 WhatsUp Gold 中存在的严重漏洞可能会使系统遭受全面攻击。 WhatsUp Gold 提供对设备、应用程序、服务器和流量的可视性，允许组织监控其云和本地基础设施，使其成为企业环境的关键组成部分。 本周，Censys 表示，它发现互联网上存在超过 1,200 个 WhatsUp Gold 实例可访问，并警告称其中许多实例可能受到最近披露的严重级别漏洞的影响，针对该漏洞的概念验证 (PoC) 代码已发布。 该漏洞编号为CVE-2024-4885（CVSS 评分为 9.8），可能允许远程、未经身份验证的攻击者在受影响的 WhatsUp Gold 实例上执行任意代码。 据 4 月份发现并报告此漏洞的Summoning Team 称，CVE-2024-4885 存在的原因是 WhatsUp Gold 对 GetFileWithoutZip 方法的实现没有正确验证用户输入。 该远程代码执行 (RCE) 漏洞已于 5 月份随着 WhatsUp Gold 版本 23.1.3 的发布而得到解决，此外还解决了其他三个严重漏洞和多个高严重性错误。 在 6 月份的一份公告中，Progress Software 警告称 WhatsUp Gold 23.1.2 之前的版本存在漏洞，并敦促客户尽快升级到修补版本。 Progress 警告称：“这些漏洞可能会让客户遭受攻击。虽然我们尚未发现已知漏洞的证据，但您的系统可能会受到攻击，包括未经授权访问根帐户。” 8 月中旬，该软件制造商宣布对 WhatsUp Gold 进行另一个安全更新，即版本 24.0.0，该更新解决了另外两个严重程度的错误，并再次敦促客户升级其安装。 不过升级过程可能并不简单。虽然客户可以将 WhatsUp Gold 20.0.2 及以上版本升级到 24.0.0，但之前的版本需要先升级到 20.0.2，这需要联系 Progress 客服获取安装文件。 WhatsUp Gold 有多个组件，Progress 建议将其安装在专用的、物理隔离的服务器上——该公司还建议使用强账户密码、仅将管理账户委托给受信任的用户，并应用安全最佳实践。 升级到新版本需要管理员登录 Progress 的客户门户，验证他们的许可证，下载最新的软件版本，安装它，然后重新启动服务器。 每次发布新的 WhatsUp Gold 版本时，手动执行升级的需求可能会阻止一些管理员执行该过程，并且 Censys 观察到的至少一些暴露在互联网上的实例很可能尚未针对 CVE-2024-4885 进行修补。 虽然没有关于此漏洞被主动利用的报告，但 PoC 代码的公开可用性以及之前 WhatsUp Gold 版本中存在的其他几个严重缺陷应该说服管理员尽快升级到最新版本。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/6ycSSjSNDTDc2SlXGZr4pw 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一种新型恶意软件活动，它利用 Google Sheets（电子表格） 作为命令和控制 (C2) 机制。 Proofpoint 从 2024 年 8 月 5 日开始检测到这一活动，它冒充了欧洲、亚洲和美国政府的税务机关，目的是通过一种名为 Voldemort 的定制工具瞄准全球 70 多个组织，该工具可以收集信息并传递额外的有效载荷。 目标行业包括保险、航空航天、交通、学术、金融、技术、工业、医疗保健、汽车、酒店、能源、政府、媒体、制造、电信和社会福利组织。 此次疑似网络间谍活动尚未被归咎于特定黑客组织，攻击活动发送了多达 20,000 封电子邮件。 这些电子邮件声称来自美国、英国、法国、德国、意大利、印度和日本的税务机关，提醒收件人有关其税务申报的变化，并敦促他们点击将用户重定向到中间登录页面的 Google AMP Cache URL。 诱饵电子邮件 该页面的作用是检查User-Agent 字符串以确定操作系统是否为 Windows，如果是，则利用search-ms:URI 协议处理程序显示 Windows 快捷方式 (LNK) 文件，该文件使用 Adobe Acrobat Reader 伪装成 PDF 文件，试图诱骗受害者启动它。 Proofpoint 研究人员 Tommy Madjar、Pim Trouerbach 和 Selena Larson 表示：“如果执行 LNK，它将调用 PowerShell 从同一隧道上的第三个 WebDAV 共享（\library\）运行 Python.exe，并将同一主机上的第四个共享（\resource\）上的 Python 脚本作为参数传递。这会导致 Python 运行脚本而不将任何文件下载到计算机，而是直接从 WebDAV 共享加载依赖项。” 该 Python 脚本旨在收集系统信息并以 Base64 编码字符串的形式将数据发送到攻击者控制的域，然后向用户显示诱饵 PDF 并从 OpenDrive 下载受密码保护的 ZIP 文件。 诱饵PDF 该 ZIP 存档包含两个文件，一个合法的可执行文件“CiscoCollabHost.exe”，容易受到 DLL 侧载攻击，另一个是恶意 DLL“CiscoSparkLauncher.dll”（即 Voldemort）文件，该文件容易受到侧载攻击。 Voldemort 是一个用 C 语言编写的自定义后门，具有信息收集和加载下一阶段有效负载的功能，该恶意软件利用 Google Sheets 进行 C2、数据泄露以及执行来自操作员的命令。 Proofpoint 称该活动与高级持续性威胁 (APT) 有关，但由于使用了电子犯罪领域流行的技术，因此带有“网络犯罪色彩”。 “攻击者滥用文件架构 URI 来访问外部文件共享资源以进行恶意软件分阶段，特别是 WebDAV 和服务器消息块 (SMB)。这是通过使用架构‘file://’并指向托管恶意内容的远程服务器来实现的。”研究人员说。 这种方法在充当初始访问代理（IAB）的恶意软件家族中越来越 流行，例如Latrodectus、DarkGate和XWorm。 此外，Proofpoint 表示它能够读取 Google Sheet 的内容，总共识别出六名受害者，其中一名被认为是沙盒或“已知研究人员”。 此次攻击活动被认为不同寻常，这增加了攻击者在锁定一小部分目标之前撒下大网的可能性。攻击者的技术水平可能各不相同，他们也有可能计划感染多个组织。 研究人员表示：“虽然该活动的许多特征与网络犯罪威胁活动相符，但我们认为这很可能是为了支持尚未知晓的最终目标而进行的间谍活动。这种巧妙而复杂的能力与非常基本的技术和功能的混合，使得评估攻击者的能力水平和高度自信地确定该活动的最终目标变得十分困难。” 这一进展是在 Netskope 威胁实验室发现了 Latrodectus 的更新版本（1.4 版）之后取得的，该更新版本配备了一个新的 C2 端点，并增加了两个新的后门命令，允许它从指定服务器下载 shellcode 并从远程位置检索任意文件。 安全研究员 Leandro Fróes表示：“Latrodectus 的进化速度非常快，为其有效载荷添加了新功能。了解其有效载荷的更新可以让防御者保持自动管道的正确设置，并利用这些信息进一步寻找新的变种。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rsoYdXoY-r3x7lsqVi6szg 封面来源于网络，如有侵权请联系删除

多伦多教育局 （TDSB） 本周证实， 6 月发现的勒索软件盗取了学生信息。 TDSB 是加拿大最大、最多元化的教育机构，管理着 582 所学校，约有 235,000 名学生。 最初 TDSB 表示，网络犯罪分子攻击的是一个独立于教育局官方网络的技术测试环境。 但近期，TDSB 证实，2023/2024学年部分学生的个人数据确实在受影响的测试环境中。这些数据包括学生姓名、学校名称、年级、学校邮箱、学生ID及出生日期。 TDSB 的网络安全团队和外部专家认为，学生面临的风险“较低”，且在其调查过程中（包括对暗网及其他网络平台的监控）未发现任何数据泄露或公开曝光。 近期，LockBit勒索软件团伙宣称对此次数据泄露事件负责。该团伙发布的公告未具体说明被盗数据的数量，但设定了13天的期限要求TDSB支付相应的赎金。但TDSB 没有回应 LockBit 的公告的要求。 学校董事会在近期致家长的一封信中为其应对攻击的措施辩护，称已采取多项安全增强措施，并与执法部门协作进行调查。 LockBit近期发布了包括TDSB在内的多个受害者名单，专家指出，该名单中的许多信息都是虚假的，涉及很多不存在的受害者，并且名单中的很多受害者都是遭到了其他团伙的攻击，而非LockBit。   消息来源：The Record，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Securonix 威胁研究团队发现了一项针对中文用户的秘密攻击活动，该活动可能通过钓鱼电子邮件发送 Cobalt Strike 负载。攻击者设法横向移动，建立持久性并在系统内潜伏超过两周而不被发现。 该秘密活动代号为SLOW#TEMPEST，并未归属于任何已知黑客组织，它从恶意 ZIP 文件开始，解压后会激活感染链，从而在受感染系统上部署后利用工具包。 ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件，该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”，大致翻译为“违反远程控制软件法规的人员列表” 。 研究人员指出：“从诱饵文件中使用的语言来看，特定的中国相关商业或政府部门很可能成为目标，因为他们都会雇用遵守‘远程控制软件规定’的人员。” LNK 文件充当启动合法 Microsoft 二进制文件（“LicensingUI.exe”）的管道，该二进制文件使用DLL 侧载来执行恶意 DLL（“dui70.dll”）。 这两个文件都是 ZIP 存档的一部分，位于名为“\其他信息\.__MACOS__\._MACOS__\__MACOSX\_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。 该 DLL 文件是 Cobalt Strike 植入程序，允许持续、隐秘地访问受感染的主机，同时与远程服务器（“123.207.74[.]22”）建立联系。 据称，远程访问使攻击者能够进行一系列实际活动，包括部署额外的有效载荷进行侦察和建立代理连接。 感染链还因设置计划任务而引人注目，该任务定期执行名为“lld.exe”的恶意可执行文件，该可执行文件可以直接在内存中运行任意 shellcode，从而在磁盘上留下最少的痕迹。 攻击链 研究人员表示：“攻击者通过手动提升内置 Guest 用户帐户的权限，进一步使自己能够隐藏在受感染的系统中。Guest账户通常被禁用且权限极低，但通过将其添加到关键管理组并为其分配新密码，它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问，因为 Guest 账户通常不像其他用户账户那样受到密切监控。” 随后，黑客使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动，然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。 后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察，然后以 ZIP 存档的形式泄露其结果。 所有 C2 服务器均在中国托管，这一事实进一步证实了该活动与中国的联系。此外，与该活动相关的大多数工件都来自中国。 “尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来，但它很可能是由经验丰富的黑客组织策划的，这些攻击者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”研究人员总结道，“此次活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p_7IlpzQiyTpVmmoxHsnkQ 封面来源于网络，如有侵权请联系删除

微软最近发现朝鲜黑客利用最近修补的 Google Chrome 0day漏洞 (CVE-2024-7971)，在利用 Windows 内核漏洞获取系统权限后部署 FudModule 根工具包。 此漏洞允许攻击者在受感染的设备上执行恶意代码，朝鲜黑客组织Citrine Sleet 使用虚假加密货币网站等高级策略进行攻击。 微软周五发布了一份报告，披露上周发现朝鲜黑客组织 Citrine Sleet 利用了 Chromium 浏览器中的0day漏洞。 这份由微软威胁情报和微软安全响应中心 (MSRC) 发布的报告将该漏洞标识为 CVE-2024-7971，这是 Chromium 使用的 V8 Javascript 和 Webassembly 引擎中的一个类型混淆缺陷。 此0day漏洞允许在浏览器的隔离渲染器进程中执行远程代码执行 (RCE)，从而使攻击者能够在目标系统上运行有害代码。 微软表示：我们正在进行的分析和观察到的基础设施使我们有中等信心将此活动归因于 Citrine Sleet。 Citrine Sleet 以专注于加密货币领域而闻名，其目标是获取经济利益。进一步分析表明，Citrine Sleet 可能与另一个朝鲜威胁组织 Diamond Sleet 共享工具和基础设施，特别是通过使用 Fudmodule rootkit 恶意软件。 报告指出，Citrine Sleet 也被称为 Applejeus 和 Hidden Cobra，Citrine Sleet 的目标是金融机构，重点关注加密货币组织和相关个人，此前曾与朝鲜侦察总局 121 局有联系。 该组织采用先进的技术，包括建立虚假的加密货币网站并发送恶意的工作机会或加密货币钱包来欺骗受害者。 其他网络安全供应商将该朝鲜威胁组织追踪为 AppleJeus、Labyrinth Chollima 和 UNC4736。朝鲜黑客还利用伪装成合法加密货币交易平台的恶意网站，向潜在受害者发送虚假求职申请、武器化的加密货币钱包或交易应用程序。 Chromium 是一个开源网络浏览器项目，是 Google Chrome 的基础，其中包含额外的专有功能和服务。由于 Chrome 是基于 Chromium 的代码库构建的，因此 Chromium 中的漏洞通常也会影响 Chrome。 当目标连接到域名 voyagorclub[.]space 时，会利用0day漏洞，导致下载恶意软件并逃离 Windows 安全沙箱。尽管微软在 8 月 13 日修补了该漏洞，但与 Citrine Sleet 的活动没有直接联系，这表明该漏洞可能是由不同的团体同时发现的，或者通过共享情报发现的。 微软建议：0day漏洞不仅需要保持系统更新，还需要提供跨网络攻击链统一可见性的安全解决方案，以检测和阻止入侵后的攻击者工具和攻击后的恶意活动。 谷歌上周修补了 CVE-2024-7971 0day漏洞，称其为 Chrome V8 JavaScript 引擎中的类型混淆漏洞。此漏洞使攻击者能够在重定向到攻击者控制的网站 voyagorclub[.]space 的目标的沙盒 Chromium 渲染器进程中获得远程代码执行。 逃离沙盒后，他们使用受感染的 Web 浏览器下载了针对Windows 内核中CVE-2024-38106漏洞（微软已于本月补丁日修复）的 Windows 沙盒逃离漏洞，这使他们获得了 SYSTEM 权限。 攻击者还下载并加载了 FudModule 根工具包到内存中，用于内核篡改和直接内核对象操作 (DKOM)，并允许他们绕过内核安全机制。 自2022 年 10 月发现以来，该 rootkit 也被另一个朝鲜黑客组织 Diamond Sleet 使用，Citrine Sleet 与其共享其他恶意工具和攻击基础设施。 韩国联合通讯社 3 月份援引联合国安理会的一项研究称，与朝鲜有关的黑客在 2017 年至 2023 年期间窃取了价值 30 亿美元的加密货币，该研究将朝鲜称为“世界最大的网络窃贼”。 联合国研究报告援引“某个成员国”提供的信息称，朝鲜“50%的外汇收入”来自网络攻击，而这些收入“被用来资助其武器计划”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rA1u6rs5vGkyy5JyhoOYdg 封面来源于网络，如有侵权请联系删除

美国最大的体育用品零售连锁店DICK’S Sporting Goods披露，其机密信息在上周三发现的网络攻击中被泄露。 成立于1948年的DICK’S在全美运营857家门店，2023年报告的收入达到129.8亿美元。截止到2024年2月，这家财富500强公司拥有超过55,500名员工，其中包括18,900名全职员工和36,600名兼职员工。 根据向美国证券交易委员会（SEC）提交的文件，该公司已聘请外部网络安全专家来协助控制安全漏洞并评估网络攻击的影响。 DICK’S表示：“2024 年 8 月 21 日，公司发现第三方未经授权访问了公司的信息系统，包括系统中的一些机密信息。在发现这一事件后，公司立即启动了网络安全响应计划，并与外部网络安全专家合作，调查、隔离并遏制威胁。” 据一位不愿透露姓名的内部人员透露，公司未提供有关此次泄密事件的详细信息，并告知员工不要公开讨论此事或将任何内容记录下来。 同一消息来源告诉 BleepingComputer，公司的电子邮件系统已被关闭，很可能是为了隔离攻击，所有员工账户也已被锁定。IT人员正在通过摄像头手动验证员工身份，以便他们能够重新获得对内部系统的访问权限。 在与 BleepingComputer 分享的内部备忘录中，DICK’S 告诉员工，由于“计划中的活动”，大多数人不再有权访问系统，团队领导将通过个人电子邮件或短信与他们联系，以提供进一步的指示。 DICK 发给员工的内部备忘录 当地商店的电话线路也因此次事件而中断。BleepingComputer在尝试联系美国20多家商店时，均收到服务中断的通知。 在今天向美国证券交易委员会（SEC）提交的文件中，这家财富500强零售商表示，已向相关执法部门报告了这一违规行为，并强调目前该事件对公司的运营没有造成影响。 “公司还通知了联邦执法部门，称公司不知道这一事件已经扰乱了业务运营。”DICK’S 补充道，“公司对此次事件的调查仍在进行中。但根据目前掌握的情况，公司认为此次事件并不严重。” 今天早些时候，BleepingComputer 联系了 DICK’S 的发言人，但尚未收到回复。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

6月25日，Cybernews研究团队发现了一个包含超过1.7亿条敏感数据记录的数据集，这些数据被暴露在互联网上，所有人都可以访问。泄露的数据包括： 全名 电话号码 电子邮件 详细地址 技能 专业摘要 教育背景 工作经历 由于泄露的数据集被标记为“PDL”，因此数据泄露的线索指向位于旧金山的数据经纪公司 People Data Labs (PDL)。 该公司的网站声称其数据库涵盖了15亿个人档案，供各种企业用于市场营销、销售、招聘等活动。PDL自豪地宣称，其在150多个数据点上提供了“无与伦比的覆盖范围”。 虽然最终导致数据泄露的责任方仍不清楚，但必须强调的是，将Elasticsearch服务器配置为无密码状态是极为危险的。威胁行为者可以在几秒钟内发现此类暴露的数据，这将使个人面临身份盗窃和欺诈的风险，并增加他们成为网络钓鱼攻击目标的可能性。 Cybernews 研究团队表示：“数据经纪公司的存在本就备受争议，因为它们通常缺乏足够的审查和控制措施，无法确保数据不会落入不当之手。大规模的数据泄露使威胁行为者更容易、更便捷地滥用数据进行大规模攻击。” PDL此前已经遭遇了一次大规模数据泄露事件，该事件在2019年暴露了超过十亿条数据记录。这两次泄露源于一个相同的问题：一个暴露且未受保护的Elasticsearch服务器。当时，PDL否认对数据泄露负有责任。 此次泄露的数据集被标记为“Version 26.2”，表明它可能与之前的数据泄露有关。无论这次泄露是否直接来源于PDL，此类事件都会对数据经纪公司造成严重的声誉损害，削弱其与客户和合作伙伴之间的信任。 我们的研究人员补充道：“如果这是一起新的泄露事件，而不是第三方对 2019 年所泄露的数据的处理和丰富，那么这一事件将揭示公司在个人数据安全方面的严重疏忽。” Cybernews 已联系 PDL 以征求意见，正在等待其回复。 如果用户认为自己可能受到了数据泄露的影响，可以采取以下几个步骤来减轻潜在的危害。   消息来源：Cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

北京时间今天凌晨，在CrowdStrike2025财年第二季度的财报电话会上，董事长兼CEO，也是联合创始人的George Kurtz开场就用大量篇幅介绍了7月19日因监测规则升级事故而导致大量Windows主机蓝屏事件的情况。针对这一事件，CRWD采取了四项改进措施： 增强规则更新的透明性和可控性：此前用户只能控制版本更新，现在他们也可以配置规则更新了，用户通过新的细化控制功能可以选择何时何地部署新的规则内容。 加强规则的质量控制：8月初，CRWD正式推出了新的规则验证器和规则解释器。此前的安全事件与这两个组件未能正常工作有关。现在，这两个组件已经被重构，以防止错误内容的发布。 外部审查和验证：CRWD聘请了两家独立的第三方软件安全公司来审查Falcon终端传感器的代码和质量控制流程。该项工作将持续进行，旨在短期、中期和长期内提升安全性和弹性。 调整规则发布流程：与传感器版本的发布流程一致，新的规则发布流程包括样本测试、内部实验室测试等分阶段测试，最终部署将分批次进行，并遵循客户的策略设置。 其中，第一项和第四项改进措施在8月6日发布的事故审查初步报告中已有披露，这些措施有望大幅减少未来类似事故的影响范围和破坏程度。与之相反的是，7月19日的规则更新在短短78分钟内就被推送到了超过850万台Windows主机上，极大的扩大了此次事故的影响范围。 第二项和第三项改进措施旨在降低未来发生类似事故的可能性。第二项措施的重点是重构规则解释器，并引入更强的规则检测能力，以避免执行有问题的新规则。至于第三项措施，我感到有些意外，但它显示了CrowdStrike对提高透明度的承诺。 尽管发生了719事件，CrowdStrike在2025财年第二季度的表现依然非常亮眼。季度末年经常性收入ARR同比增长32%，达到38.6亿美元，经营利润率为24%，”Rule of 40″指标高达60。 表面上看，CRWD似乎没有受到719事件的影响，但这主要是因为其第二财季结束于7月底，事件的影响尚未完全显现。在财报电话会上，CFO给出的下季度收入指引是9.79到9.85亿美元，仅比本季度的9.64亿美元略高。而第一季度CrowdStrike的收入为8.72亿美元。粗略估算，719事件对第三季度收入的影响可能接近1亿美元，拉低收入近10个百分点。 在股价方面，719事件发生后，CRWD的股价从343.05美元下跌至8月2日的最低点217.89美元，下滑了36.5%，目前股价刚恢复到260美元左右。尽管George Kurtz表现出极大的信心，但显然CrowdStrike要完全走出此次事件的阴影仍需时日。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409805.html 封面来源于网络，如有侵权请联系删除

近日，GuidePoint Research和Intelligence Team（GRIT）发现了一个针对英语使用者的持续钓鱼活动，该活动已经针对美国超过130家公司和组织。 研究人员指出，自2024年6月26日以来，这个威胁行为者注册了与目标组织使用的VPN提供商相似的域名。威胁行为者通常会打电话给员工个人，假装来自服务台或IT团队，并声称他们正在解决VPN登录问题。如果这种社工攻击尝试成功，威胁行为者会发送一个短信链接给用户，该链接指向假冒公司VPN的假网站。 该威胁行为者还为每个目标组织设置了自定义的VPN登录页面。与此活动相关的域名如下： – ciscoweblink.com – ciscolinkweb.com – ciscolinkacc.com – ciscoacclink.com – linkciscoweb.com – fortivpnlink.com – vpnpaloalto.com – linkwebcisco.com 这些页面与每个组织的合法页面非常相似，包括可用的 VPN 组。但是，在某些情况下，威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中，这可能是作为社会工程攻击中的一种策略。 通过这些虚假登录页面，威胁行为者能够收集用户的用户名、密码和令牌，即使存在多因素认证（MFA）也是如此。 如果 MFA 使用推送通知，则威胁行为者会指示用户在社交工程调用期间批准推送通知。在最后一步中，用户被重定向到目标组织的合法 VPN 地址，并可能被要求再次登录，从而加强问题已解决的错觉。 一旦威胁行为者获得对网络的VPN访问权限，他们立即开始扫描网络，以识别横向移动、持久性和进一步权限提升的目标。 GRIT写道：这种钓鱼活动中使用的社会工程类型特别难以检测，因为它通常发生在传统安全工具的可见性之外，例如通过直接拨打用户的手机号和使用短信/文本消息。 除非用户报告收到这些类型的电话或消息，否则安全团队甚至可能察觉不到。威胁行为者还可以通过这种方法针对多个用户，直到他们成功地找到一个容易受到这种攻击的用户。 为了避免安全风险，用户应对过去30天内来自VPN分配IP地址的可疑活动日志进行详细排查。如果发现任何成功的入侵迹象要立即与安全团队沟通，并立刻采取相应措施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409821.html 封面来源于网络，如有侵权请联系删除

安全内参8月29日消息，最近几天，由于俄罗斯导弹和无人机袭击全国关键基础设施，数百万乌克兰人经历了互联网中断。 根据互联网监控服务NetBlocks的数据，截至27日（星期二），乌克兰的全国互联网连接率维持在正常水平的71%左右。 图：乌克兰各地区的互联网连接率（2024年8月23日至26日） 遭俄罗斯大规模空袭后，乌克兰还引入了紧急停电措施。在包括基辅在内的一些城市，电力乃至自来水供应中断了近12小时。 26日，俄罗斯向乌克兰发射了127枚导弹和109架无人机，这是自三年前战争爆发以来规模最大、成本最高的攻击之一。据《福布斯》估计，这次袭击花费了俄罗斯高达13亿美元。 27日，俄罗斯向乌克兰目标发射了10枚导弹和81架无人机，主要针对关键基础设施，包括水电站、能源设施和地下天然气储存库。 由于乌克兰大范围停电，移动运营商的基础设施只能依靠基站的电池和发电机工作。当基站因流量过载时，部分用户的移动连接可能会受到影响。 俄乌网络物理协同攻击越发普遍 俄罗斯一直在不断尝试摧毁乌克兰的能源和互联网基础设施。今年1月初，数十枚俄罗斯导弹袭击基辅，“显著”干扰了该市的互联网连接。2022年10月，俄罗斯导弹破坏了部分电信基础设施和能源设施，乌克兰全国的通信服务也曾遭遇中断。 俄罗斯用户也会在互联网接入和其他数字服务方面遇到问题，这经常是乌克兰发动物理和网络攻击所致。 本周一，NetBlocks报告称，在目前被俄罗斯控制的克里米亚地区，塞瓦斯托波尔市的互联网连接崩溃。同时有报道称，克里米亚发生大规模停电。该地区的俄罗斯领导层声称，事故起因是克里米亚能源分配网络紧急关闭，但也可能与乌克兰对克里米亚的袭击有关。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/4LFK6hEqSAE9wry3H6k76w 封面来源于网络，如有侵权请联系删除

近日，Telegram创始人兼CEO帕维尔·杜罗夫被法国警方逮捕的新闻登上了各大科技媒体热搜和头条，虽然杜罗夫在缴纳500万美元的保释金后于本周三获释，但被调查期间禁止离开法国，并需每周两次向法国警方报到。 过去数日，主流新闻媒体关于杜罗夫被捕原因的报道存在严重误导，诸如“首个因为内容审核问题被捕的大型社交媒体首席执行官”等标题不仅淡化了事件的严重性，也偏离了事件的主题——加密。 本周四巴黎检察官劳雷·贝库奥(Laure Beccuau)发布的一份声明详细列出了对杜罗夫的指控，除了“共谋非法交易、贩毒、诈骗、洗钱、持有和传播儿童性虐待材料、不配合执法部门调查（以及未在指控中列出的对伊斯兰国使用Telegram招募志愿者的担忧）”之外，检方还特别列出了三项与加密有直接关系的指控，包括： 未经认证声明而提供旨在确保机密性的加密服务 未经事先声明而提供并非仅用于确保身份验证或完整性监控的密码工具 未经事先声明而进口用于确保身份验证或完整性监控的密码工具 显然，法国警方选择逮捕杜罗夫而不是Facebook、Instagram或者Signal的首席执行官，绝不仅仅是内容审核问题，而是与Telegram多年来鼓吹自己”不是第一，而是唯一”的加密通讯软件有着密不可分的关系。 约翰霍普金斯大学密码学教授马修格林撰文指出，杜罗夫和Telegram多年来关于其安全性和“端到端加密”的虚假宣传，不仅给自己，也给用户挖了个大坑。 尽管Telegram在加密方面有所宣传，但它的实际加密效果远未达到行业标准。对于那些真正需要高度隐私保护的用户而言，Telegram的安全性值得商榷。未来，如何平衡社交媒体平台的功能与用户隐私保护之间的关系，仍将是一个值得关注的议题。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/b0S24AhymLub5qh-l-mMqw 封面来源于网络，如有侵权请联系删除

Hackread报道，近期Cisco Talos（思科威胁情报团队）发现，BlackByte勒索软件正在对全球企业发起新一轮攻击。BlackByte组织利用VMware ESXi虚拟机监控程序中最近被修补的漏洞，通过VPN访问发动攻击。 思科建议各组织实施多因素认证（MFA）并加强安全措施以降低风险。 被利用的漏洞为CVE-2024-37085，它允许攻击者绕过身份验证并控制易受攻击的系统。除了这个漏洞之外，还观察到BlackByte组织使用受害者授权的远程访问机制，例如VPN。这种策略使得BlackByte在可见性较低的情况下运营，并逃避安全监控系统。 另一个令人担忧的事态发展是该组织使用被盗的Active Directory凭据来传播其勒索软件。这意味着他们可以更快、更有效地在网络内传播感染，从而增加潜在的损害。 思科团队研在8月28日星期三研究结果发布前，与Hackread分享了他们的发现。研究人员认为，BlackByte实际活动比公共数据泄露网站上显示的更活跃。网站只显示了他们成功发起攻击的一小部分，可能掩盖了他们行动的真实范围。 BlackByte针对的5个最主要目标行业：制造业；运输/仓储；专业人士、科学和技术服务；信息技术；公共行政。 研究人员建议各个组织优先考虑修补系统，包括VMware ESXi虚拟机管理程序，为所有远程访问和云连接实施多因素身份验证（MFA），应审核VPN配置，并限制对关键网段的访问。 限制或禁用NTLM的使用，并选择更安全的身份验证方法也非常重要。部署可靠的端点检测和响应（EDR）解决方案可以大大提高安全性。 此外，全面的安全策略应包括主动威胁情报和事件响应能力，以有效保护系统免受BlackByte和类似攻击等威胁。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Ep_KcP3AmAOSGjzs3IZU3w 封面来源于网络，如有侵权请联系删除

一个支持越南人权的非营利组织已成为黑客组织多年活动的目标，该活动旨在向受感染的主机传播各种恶意软件。 网络安全公司 Huntress 将该活动归咎于一个名为 APT32 的威胁集群，这是一个与越南结盟的黑客团队，也被称为 APT-C-00、Canvas Cyclone（以前称为 Bismuth）、Cobalt Kitty 和 OceanLotus（海莲花）。据信入侵活动已持续至少四年。 安全研究人员 Jai Minton 和 Craig Sweeney表示：“此次入侵与黑客组织 APT32/OceanLotus （海莲花）所使用的已知技术有许多重叠，且已知目标人群与 APT32/OceanLotus 目标一致。” OceanLotus自 2012 年开始活跃，其目标主要是东亚国家（特别是越南、菲律宾、老挝和柬埔寨）的公司和政府网络，最终目的是进行网络间谍活动和窃取知识产权。 攻击链通常使用鱼叉式网络钓鱼诱饵作为初始渗透媒介，以提供能够运行任意 shellcode 和收集敏感信息的后门。也就是说，早在 2018 年，该组织就被发现策划了水坑攻击活动，以侦察载荷感染网站访问者或获取他们的凭据。 Huntress 发现的最新一组攻击涉及四台主机，每台主机均受到攻击，添加了各种计划任务和 Windows 注册表项，这些任务和项负责启动 Cobalt Strike Beacons、一个可窃取系统上所有用户配置文件的 Google Chrome cookie 的后门，以及负责启动嵌入式 DLL 有效负载的加载器。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/M6XKyTQoKqoqJDpSGaENDQ 封面来源于网络，如有侵权请联系删除

Google TAG 发布证据显示，俄罗斯 APT29使用的漏洞与以色列 NSO 集团和 Intellexa 使用的漏洞相同或惊人相似，这表明国家支持的黑客组织和有争议的监控软件供应商之间可能获取了工具。 这支俄罗斯黑客团队，又名午夜暴雪或 NOBELIUM，被指控对多起备受瞩目的公司进行黑客攻击，其中包括对微软的入侵，攻击中窃取了源代码和高管电子邮件数据。 据谷歌研究人员称，APT29 已利用多个在野漏洞攻击活动，这些活动通过对蒙古政府网站进行水坑攻击进行传播。这些活动首先传播了影响 16.6.1 以上 iOS 版本的 iOS WebKit 漏洞，随后利用 Chrome 漏洞链攻击运行 m121 至 m123 版本的 Android 用户。 Google TAG 表示：“这些活动使用了nday漏洞，这些漏洞已有补丁，但对未打补丁的设备仍然有效。”并指出，在水坑活动的每次迭代中，攻击者使用的漏洞与 NSO Group 和 Intellexa 之前使用的漏洞相同或极为相似。 谷歌发布了 2023 年 11 月至 2024 年 2 月期间 Apple Safari 活动的技术文档，该活动通过 CVE-2023-41993（由 Apple 修补并归功于公民实验室）提供了 iOS 漏洞。 2023 年 11 月至 2024 年 2 月针对 iOS 的攻击活动中使用的攻击链 谷歌表示：“当使用 iPhone 或 iPad 设备访问时，水坑攻击网站会使用 iframe 来提供侦察负载，该负载会执行验证检查，最终下载并部署另一个带有 WebKit 漏洞的负载，以从设备中窃取浏览器 cookie。” 研究人员指出，WebKit 漏洞不会影响当时运行当前 iOS 版本（iOS 16.7）或启用了锁定模式的 iPhone 的用户。 据谷歌称，该水坑漏洞“使用了完全相同的触发器”，与 Intellexa 使用的公开发现的漏洞“使用相同的触发器”，强烈暗示作者和/或提供商是相同的。 谷歌表示： “我们不知道最近的水坑攻击活动中的攻击者是如何获得这一漏洞的。” 谷歌指出，这两个漏洞利用都共享相同的利用框架，并加载了相同的 cookie 窃取框架，该框架之前曾被俄罗斯政府支持的攻击者利用CVE-2021-1879获取来自 LinkedIn、Gmail 和 Facebook 等知名网站的身份验证 cookie。 研究人员还记录了第二条攻击链，该攻击链利用了 Google Chrome 浏览器中的两个漏洞。其中一个漏洞 ( CVE-2024-5274 ) 被发现为 NSO Group 使用的野外0day漏洞。 2024 年 7 月针对 Google Chrome 的攻击活动中使用的攻击链 在本案中，谷歌发现证据表明俄罗斯 APT 改编了 NSO 集团的漏洞。 “尽管这两个漏洞的触发机制非常相似，但它们的概念却大不相同，相似之处不如 iOS 漏洞那么明显。例如，NSO 漏洞支持 Chrome 107 至 124 版本，而水坑漏洞仅针对版本 121、122 和 123。”谷歌表示。 漏洞重用时间表 俄罗斯攻击链中的第二个漏洞（CVE-2024-4671）也被报告为被利用的0day漏洞，并且包含一个漏洞样本，类似于之前与 Intellexa 相关的 Chrome 沙盒逃逸。 Google TAG 表示：“很明显，APT 参与者正在使用最初由商业间谍软件供应商用作0day漏洞的 n-day 漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jBRdFW-Pd6SdvA8tpO7VHg 封面来源于网络，如有侵权请联系删除

近日，谷歌公司宣布通过其漏洞奖励计划报告的Google Chrome单一漏洞的最高奖励金额已超过25万美元。 从8月28日起，谷歌将根据研究人员报告的漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示Chrome内存损坏和堆栈跟踪的基线报告显著提升至通过功能性漏洞展示远程代码执行的高质量报告。 Chrome 安全工程师 Amy Ressler 表示：现在是时候改进 Chrome VRP 奖励和金额了，以便为向我们报告漏洞的安全研究人员提供改进的结构和更明确的期望，并激励对 Chrome 漏洞进行高质量报告和更深入的研究，探索它们的全部影响和可利用潜力。 对于在非沙盒过程中展示远程代码执行（RCE）的单一问题，最高奖励金额可达25万美元。如果这种RCE能够在不损害渲染器的情况下实现，奖励金额甚至可能更高。 此外，谷歌还将MiraclePtr绕过奖励的金额增加了一倍多，从10万美元提升至25万美元。 Google 还会根据漏洞的质量、影响和对 Chrome 用户的潜在危害，将其他类别的漏洞报告归类为以下类别并给予奖励： 影响较小：可利用的可能性低、利用的先决条件重要、攻击者控制力低、用户危害风险/可能性低 中等影响：利用的先决条件中等，攻击者控制程度一般 高影响：可利用性的直接路径、可证明和重大的用户危害、远程可利用性、利用前提条件低 Ressler 表示：当所有报告包含适用的特征时，它们仍然有资格获得奖金奖励。我们将继续探索更多的实验性奖励机会，类似于之前的全链漏洞利用奖励，并以更好地服务于安全社区的方式发展我们的计划。没有证明安全影响或潜在用户伤害的报告，或者纯粹是理论或推测问题的报告，不太可能有资格获得 VRP 奖励。 本月早些时候，谷歌还宣布，由于可操作漏洞报告数量的减少，其Play安全奖励计划将在8月31日关闭新报告的提交。 7月，谷歌启动了kvmCTF，这是一个新的漏洞奖励计划，旨在提高基于内核的虚拟机（KVM）管理程序的安全性，为完整的VM逃逸漏洞提供高达25万美元的奖励。 自2010年推出漏洞奖励计划以来，谷歌已向报告超过1.5万名漏洞安全研究人员支付了超过5000万美元的奖励。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409700.html 封面来源于网络，如有侵权请联系删除

8月27日，外媒BleepingComputer报道，黑客组织Volt Typhoon（伏特台风）利用Versa Director零日漏洞上传自定义Webshell，窃取凭据并破坏美国公司网络。 本周周一8月26日，Versa公司宣布他们修复了一个被追踪为CVE-2024-39717的高风险漏洞。这个漏洞被未具名的民族国家黑客组织至少利用过一次。 该漏洞存在于上传自定义图标Versa Director GUI的功能中。漏洞允许具有管理员权限的威胁行为者上传伪装成PNG图像的恶意Java文件，然后远程执行这些文件。 Versa表示Director版本21.2.3、22.1.2和22.1.3受到该漏洞的影响。升级到最新版本22.1.4将修复漏洞，管理员应查看供应商的系统强化要求和防火墙指南。 在最近的事件中，Volt Typhoon利用Versa Director中的漏洞上传了一个名为 VersaMem的复杂、定制的Webshell。此WebShell用于拦截和收集凭据，以及在受感染的服务器上执行任意恶意代码，同时避免被发现。 Versa Directo上的Volt Typhoon攻击流程 据报道，Volt Typhoon最新活动目标包括4家美国公司和1家非美国公司，他们属于互联网服务提供商、托管服务提供商和信息技术领域企业。 Lumen的Black Lotus Labs研究人员在6月初发现了Versa零日漏洞。最初版本是从新加坡上传到VirusTotal病毒库的。这个上传时间大约比在美国最早发现Versa Director服务器漏洞事件早了五天。 “我们怀疑威胁行为者可能在对美国目标发起攻击之前，先在其他地区测试了他们的攻击手段。“该公司补充道。当前恶意软件版本在VirusTotal上没有被检测出来。 关于伏特台风，百度百科内容：“伏特台风”（Volt Typhoon），由微软公司根据其黑客组织命名规则命名而来，真实面目是国际勒索软件组织，来自“伏特台风”的恶意程序样本并未表现出明确的国家背景黑客组织行为特征，而是与“暗黑力量”勒索病毒等网络犯罪团伙的关联程度明显。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Y08WuQcpZsL5Vwz9X2VSkA 封面来源于网络，如有侵权请联系删除