HackerNews

一名此前未被记录的黑客组织自 2024 年开始的网络攻击活动中主要针对敏感地区的无人机制造商。 趋势科技以TIDRONE为名追踪该对手，并表示由于其专注于军事相关产业链，评估该活动与间谍活动相关。 目前尚不清楚用于入侵目标的确切初始访问载体，但趋势科技的分析发现，攻击者使用 UltraVNC 等远程桌面工具部署了 CXCLNT 和 CLNTEND 等自定义恶意软件。 攻击链 在不同的受害者中观察到的共同点是存在相同的企业资源规划（ERP）软件，这增加了供应链攻击的可能性。 攻击链随后经历三个不同的阶段，旨在通过绕过用户帐户控制 ( UAC )、凭据转储和通过禁用主机上安装的防病毒产品来逃避防御，从而促进特权提升。 这两个后门都是通过 Microsoft Word 应用程序侧载恶意 DLL 来启动的，从而允许攻击者收集各种敏感信息。 CXCLNT 配备了基本的上传和下载文件功能，以及清除痕迹、收集受害者信息（如文件列表和计算机名称）以及下载下一阶段可移植可执行文件 (PE) 和 DLL 文件以供执行的功能。 CLNTEND 于 2024 年 4 月首次被发现，是一种发现的远程访问工具 (RAT)，支持更广泛的网络通信协议，包括 TCP、HTTP、HTTPS、TLS 和 SMB（端口 445）。 安全研究人员 Pierre Lee 和 Vickie Su 表示：“此次活动很可能是由一个尚未确定的高级威胁组织进行的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/q7rbKkDMsNVkIVQFUq9hkg 封面来源于网络，如有侵权请联系删除。

极度危险、臭名昭著的以色列 Predator （捕食者） 商业间谍软件套件带着最新的升级版回归了。 网络安全公司 Recorded Future 的威胁研究部门 Insikt Group上周报告称，新的Predator基础设施出现在刚果民主共和国和安哥拉等国家，这表明美国对Predator 背后的间谍软件公司Intellexa实施的制裁并未完全成功。 Insikt Group 在其关于 Predator 的报告中写道：“在 Intellexa 受到制裁和曝光后，Predator 的活动明显减少。然而，根据我们最近的分析，Predator 还远未消失。” 2023年3月，美国政府发布行政命令，禁止美国政府使用对国家安全构成风险的商业间谍软件。 2023年7月，美国商务部工业和安全局 (BIS) 将监控技术供应商 Intellexa 和 Cytrox 列入实体清单，原因是其贩卖用于获取信息系统访问权限的网络漏洞。 2024年3月，美国财政部宣布对与 Intellexa Consortium有关的两名个人和五个实体进行制裁 ，原因是他们在开发和分发用于针对美国人的商业 Predator 间谍软件方面发挥了作用 。 该监视软件还用于监视美国政府官员、记者和政策专家。 美国财政部警告称，商业间谍软件的扩散对美国构成了越来越大的风险。外国攻击者滥用监视软件对世界各地的异见人士和记者发动攻击。 Predator是由以色列间谍软件联盟Intellexa开发的复杂间谍软件，与NSO 集团的Pegasus和其他商业间谍软件一样，允许政府人员入侵设备并监视用户。允许操作员渗透到设备中，获取消息和联系人等敏感数据，甚至在用户不知情的情况下激活摄像头和麦克风。 基础设施和逃避策略的变化 Predator的运营商已显著增强其基础设施，增加了复杂性以逃避检测。新的基础设施在其多层交付系统中增加了一个附加层，可匿名处理客户操作，从而更难确定哪些国家正在使用该间谍软件。这一变化使研究人员和网络安全防御者更难追踪 Predator 的传播。 尽管发生了这些变化，但运作模式基本保持不变。间谍软件可能继续使用“一键”和“零点击”攻击媒介，利用浏览器漏洞和网络访问将自身安装在目标设备上。尽管没有关于完全远程零点击攻击（如与 Pegasus 相关的攻击）的报告，但 Predator 仍然是针对知名人士的危险工具。 备受瞩目的目标仍面临风险 Predator捕食者间谍软件重返战场最令人担忧的一点是，它很可能会继续以知名人士为目标。政客、高管、记者和活动人士面临的风险最高，因为他们掌握着政府或其他恶意行为者的情报价值。捕食者昂贵的授权费用进一步表明，运营商将其用于战略性、高价值目标。 这种雇佣间谍软件的广泛使用，尤其是针对政治反对派，已经引起欧盟等地区的担忧。希腊和波兰的调查已经揭露了间谍软件如何被用来对付反对派人士和记者，这引发了人们对此类监视的合法性和道德性的严重质疑。 防御最佳实践 鉴于 Predator 的再次出现及其基础设施的复杂性，个人和组织必须保持警惕。Insikt Group 概述了几种有助于减轻 Predator 间谍软件渗透风险的防御措施： 定期软件更新——让设备保持最新的安全补丁对于减少 Predator 等间谍软件利用的漏洞至关重要。 设备重启——定期重启设备可以破坏间谍软件的运行，但可能无法完全消除高级间谍软件。 锁定模式——在设备上激活锁定模式可以帮助阻止未经授权的访问和利用尝试。 移动设备管理 (MDM) –实施 MDM 系统允许组织管理和保护员工设备，确保他们遵守安全协议。 安全意识培训——对员工进行有关鱼叉式网络钓鱼和其他社会工程策略的教育可以降低成为间谍软件攻击受害者的可能性。 这些措施对于担任敏感职务的个人尤其重要，例如在政府、民间社会或企业领导职位任职的个人。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eb8qJi7R32axHubefyOPmA 封面来源于网络，如有侵权请联系删除。

以色列研究人员设计了一种新的攻击技术，该技术依靠来自内存总线的无线电信号从隔离系统中窃取数据。 据以色列内盖夫本·古里安大学的 Mordechai Guri 介绍，恶意软件可用于对敏感数据进行编码，而这些数据可使用软件定义无线电 (SDR) 硬件和现成的天线从远处捕获。 该攻击名为RAMBO，允许攻击者以每秒 1,000 比特的速度窃取编码文件、加密密钥、图像、按键和生物特征信息。测试在最远 7 米（23 英尺）的距离内进行。 隔离系统在物理和逻辑上与外部网络隔离，以保证敏感信息的安全。虽然这些系统提供了更高的安全性，但它们并不能防范恶意软件，有数十个已记录的恶意软件家族针对它们，包括Stuxnet、Fanny和PlugX。 在新的研究中，发表了多篇有关隔离网络攻击尝试技术论文的 Mordechai Guri 解释说，隔离系统上的恶意软件可以操纵 RAM 来生成时钟频率修改后的编码无线电信号，然后从远处接收这些信号。 攻击者可以使用适当的硬件接收电磁信号，解码数据并检索被盗信息。 RAMBO 攻击首先在隔离系统上部署恶意软件，可以通过受感染的 USB 驱动器、使用有权访问系统的恶意内部人员或通过破坏供应链将恶意软件注入硬件或软件组件。 攻击的第二阶段涉及数据收集、通过隔离网络隐蔽通道（在本例中是来自 RAM 的电磁发射）进行信息泄露以及远距离检索。 Guri 解释说，数据通过 RAM 传输时会发生快速的电压和电流变化，从而产生电磁场，这些电磁场可以以取决于时钟速度、数据宽度和整体架构的频率辐射电磁能。 研究人员解释说，发射器可以通过以与二进制数据相对应的方式调制内存访问模式来创建电磁隐蔽通道。 通过精确控制与内存相关的指令，该学者能够使用该隐蔽通道传输编码数据，然后使用 SDR 硬件和基本天线在远处检索它。 Guri 指出：“通过这种方法，攻击者可以以每秒数百比特的速率将数据从隔离网络的计算机泄露到附近的接收器。” 研究人员详细介绍了可以实施的几种防御和保护对策，以防止 RAMBO 攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qMsQJFXPH1IN6K78cqoGdg 封面来源于网络，如有侵权请联系删除。

据Cyber Security News消息，研究人员提出了一种噪声攻击（NoiseAttack） 的新型后门攻击方法，该攻击被称为是一种用于图像分类的后门攻击，针对流行的网络架构和数据集实现了很高的攻击成功率，并能绕过最先进的后门检测方法。 实验结果表明，该攻击能有效对抗最先进的防御系统，并在各种数据集和模型上实现较高的攻击成功率。它利用白高斯噪声（White Gaussian Noise）作为触发器，创建了一种针对特定样本的多目标后门攻击，可灵活控制目标标签。 与通常针对单一类别的现有方法不同，该攻击使用具有不同功率谱密度的白高斯噪声作为触发器，并采用独特的训练策略来执行攻击，因此只需最少的输入配置就能针对多个类别进行攻击。 不同数据集和模型的攻击性能 这种噪声攻击在研究中被称为是一种用于图像分类的新型后门攻击 ，利用白高斯噪声（WGN）的功率谱密度（PSD）作为训练过程中嵌入的触发器。这种攻击涉及在精心制作的噪声水平和相关目标标签构建的中毒数据集上训练一个后门模型，从而确保模型容易受到触发，导致所需的误分类。 NoiseAttack 后门训练准备的中毒数据集概览 这种攻击为创建具有多个目标标签的后门提供了一种通用方法，从而为试图破坏机器学习模型的攻击者提供了一种强大的工具。 该框架能有效规避最先进的防御措施，并在各种数据集和模型中实现较高的攻击成功率。 通过在输入图像中引入白高斯噪声，该攻击可以成功地将图像错误分类为目标标签，而不会明显影响模型在干净数据上的性能。这种攻击对 GradCam、Neural Cleanse 和 STRIP 等防御机制的较强鲁棒性表明，它有可能对深度神经网络的安全性构成重大威胁。 此外，该攻击执行多目标攻击的能力也证明了它的多功能性和对不同场景的适应性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410518.html 封面来源于网络，如有侵权请联系删除。

近日，美国军方证实美国陆军特种部队（又名绿色贝雷帽）在5月举行的“快速反应24”军事演习中首次展示了在前线阵地使用攻击性网络安全工具的能力。 大型军演惊现Wi-Fi“爆破”技术 在瑞典Skillingaryd地区举行的“快速响应24”是北约近年来规模最大的一场军事演习（超过1.7万名美国军人和2.3万名多国军人参加），期间美军特种作战小队首次与颠覆性网络安全技术进行了深度融合训练。 在此次演习中，美军特种作战小队成功使用远程访问设备（RAD）扫描了目标建筑，以识别运行其安全系统的Wi-Fi网络。 特战小队随后破解了WiFi密码，随后对内部网络进行了详细分析，团队在网络中四处移动，关闭闭路电视摄像头，打开安全门，并禁用其他安全系统。 与此同时，另一支特种作战小队则进行了物理渗透行动。通过高空跳伞，并徒步七英里，他们顺利接近目标建筑。由于前一支小队的网络干扰，他们能够轻松进入大楼，并安放信号干扰设备，以清除行动痕迹，随后迅速撤离。 “我们现在可以通过信号设备接入目标的WiFi网络，监控目标的位置和活动。”一位特种部队成员解释道。“这（RAD）是一种非常实用的工具，它为我们提供了额外的信息视角，让我们能够更清晰地掌握目标情况。” 特战部队的新战场：网络空间 1991年，美国陆军退役上校约翰·柯林斯首次提出了特种作战部队（SOF）的五大核心原则，这些原则不仅明确了特种部队士兵应具备的素质，还为他们如何在战场上取得胜利指明了方向。其中最重要的一条原则便是：“人员比装备更重要”。然而，尽管自1991年以来特种作战部队的能力已经发生了显著变化，人员依然是核心，但推动特种作战演进的关键力量，却是硬件和技术的不断进步。随着科技的迅猛发展，特种部队士兵的综合作战能力得到了极大提升。他们不仅擅长海陆空作战，如今还掌握了一个全新技能——网络空间（攻击技术）。 美国特战部队在演习中反复训练和掌握攻击性网络安全工具使用技巧，正印证了特种作战部队的第二条核心原则——“质量比数量更重要”。 “在实际作战中，这种技术让我们能够获取以前难以获得的重要情报，”INFIL小队的指挥官表示：“如果我们有明确的作战目标，现在可以通过这种隐秘手段获取关键信息，只要我们执行得当，对方将无法察觉。” 特种作战部队第三条核心原则强调，特种作战部队无法通过大规模生产实现。这些网络入侵技术并非特种部队独有，但将其与高空跳伞、隐秘渗透等特种技能结合，则使得特种作战具备了独一无二的能力。 “我们不仅能实时掌控行动全局，还能与其他小队紧密配合，做到精确执行。”网络小队的一位成员说道。 特种作战部队的第四条核心原则指出，精英部队不是草台班子，无法在紧急时刻临时组建。这也是为什么“快速响应演习”如此重要，它为部队成员提供了在陌生环境中预先磨练技能、验证知识的机会。 特种作战部队第五条核心原则强调，特种部队的成功离不开其他部队的支持。虽然网络入侵和干扰技术并非全新概念，但其不断演进，保持对新技术的了解和掌握至关重要。 “这项能力是我们必须不断训练和更新的，因为它发展得非常快。”网络小队成员说道，“我五年前学习这项技术时，设备和技术与现在相比已经是天壤之别，这领域进步得太快了，几乎像是进入了一个全新的世界。” 尽管网络攻击技术在不断变化，美军特种作战部队的五大核心原则依然不可动摇。网络安全新技能与既有实践相辅相成，推动整个特种作战体系的持续演进。通过在“快速响应24”演习中与瑞典等美国盟友及合作伙伴的协作，美军特种作战部队不仅加强了互操作性，还确保能够迅速应对新兴威胁，并在必要时阻止攻击，维持战略优势。 这一切都表明，特种作战的未来，不仅在于强大的硬件支持，更在于通过反复训练和团队协作，不断提升综合作战能力。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/dXVboVsXQ1w2x68hrjf8cw 封面来源于网络，如有侵权请联系删除。

据观察，与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。 谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示，这些攻击采用编码测试作为常见的初始感染媒介。 研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示：“在最初的聊天对话之后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。” 该恶意软件充当启动器，通过下载第二阶段有效负载（该负载通过启动代理和启动守护进程建立持久性）来危害目标的 macOS 系统。 值得指出的是，这是朝鲜黑客组织开展的众多活动集群之一，这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。 招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。 Mandiant 表示，它观察到一项社会工程活动，该活动发送了一份恶意 PDF，伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。 “恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件，这是一个用 Rust 编写的支持文件执行的后门。”Mandiant 表示。 RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信，并使用伪装成“Safari 更新”的启动代理设置持久性，以便联系硬编码的命令和控制 (C2) 域。 朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学，还包括软件供应链攻击，正如近年来针对3CX和JumpCloud的事件所观察到的那样。 Mandiant 表示：“一旦通过恶意软件建立立足点，攻击者就会转向密码管理器窃取凭证，通过代码库和文档进行内部侦察，并进入云托管环境以泄露热钱包密钥并最终耗尽资金。” 此事披露之际，美国联邦调查局 (FBI) 警告称，朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。 这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人，向其提供就业或投资，这被视为明目张胆的加密货币盗窃的渠道。 值得注意的是，他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究，以及编造个性化的虚假场景，试图吸引潜在受害者并增加攻击成功的可能性。 联邦调查局表示：“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节。如果成功建立双向联系，最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触，以增加合法性、产生熟悉感和信任度。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NfCLcauOW03sMMPV3GuC_w 封面来源于网络，如有侵权请联系删除。

在与机场安全系统相关的应用程序中存在一个有争议的漏洞被披露后，网络安全机构 CISA 做出了回应。 8 月底，研究人员 Ian Carroll 和 Sam Curry 披露了 SQL 注入漏洞的细节，据称该漏洞可能允许攻击者绕过某些机场安全系统。 该安全漏洞是在 FlyCASS 中发现的，FlyCASS 是为参与驾驶舱进入安全系统 (CASS) 和已知机组人员 (KCM) 计划的航空公司提供的第三方服务。 KCM 是一个程序，运输安全管理局 (TSA) 的安全官员用来核实机组人员的身份和就业状况，从而使飞行员和空乘人员能够绕过安全检查。 CASS 允许航空公司登机口工作人员快速确定飞行员是否有权使用飞机驾驶舱折叠座椅，这是驾驶舱中的额外座位，可供上下班或旅行的飞行员使用。 FlyCASS 是一款基于 Web 的 CASS 和 KCM 应用程序，适用于小型航空公司。 卡罗尔和库里发现FlyCASS 中存在 SQL 注入漏洞，该漏洞使他们能够获得参与航空公司账户的管理员访问权限。 据研究人员称，通过这种访问，他们能够管理与目标航空公司相关的飞行员和乘务员名单。他们在数据库中添加了一名新“员工”来验证他们的发现。 “令人惊讶的是，航空公司无需进一步检查或认证即可添加新员工。作为航空公司的管理员，我们可以将任何人添加为 KCM 和 CASS 的授权用户。”研究人员解释道，“任何具备 SQL 注入基本知识的人都可以登录该网站，并将任何人添加到 KCM 和 CASS，这样他们既可以跳过安全检查，又可以进入商用客机的驾驶舱。” 研究人员表示，他们在 FlyCASS 应用程序中发现了“几个更严重的问题”，但在发现 SQL 注入漏洞后立即启动了披露流程。 这些问题于 2024 年 4 月报告给了 FAA、ARINC（KCM 系统的运营商）和 CISA。根据他们的报告，KCM 和 CASS 系统中的 FlyCASS 服务被禁用，并且发现的问题得到了修补。 然而，研究人员对披露过程感到不满，声称 CISA 承认了这个问题，但后来停止了回应。此外，研究人员声称 TSA“就该漏洞发表了危险的错误声明，否认了我们发现的东西”。 美国运输安全局在接受《SecurityWeek》采访时表示，FlyCASS 漏洞不可能像研究人员所说的那样轻易被利用来绕过机场安全检查。 该公司强调，这不是 TSA 系统中的漏洞，受影响的应用程序未连接到任何政府系统，并表示不会对运输安全造成影响。 “今年 4 月，TSA 获悉一份报告称，第三方数据库中存在一个漏洞，其中包含航空公司机组人员信息，通过测试该漏洞，一个未经核实的姓名被添加到数据库的机组人员名单中。政府数据或系统没有受到损害，这些活动也没有对交通安全造成影响。”TSA 发言人在电子邮件声明中表示。 TSA 并不完全依赖这个数据库来验证机组人员的身份。TSA 已制定程序来验证机组人员的身份，只有经过验证的机组人员才允许进入机场的安全区域。TSA 与利益相关者合作，以减轻任何已发现的网络漏洞。 当该消息曝光时，CISA 并未针对这些漏洞发表任何声明。 该机构现已回应了SecurityWeek 的评论请求，但其声明并未对 FlyCASS 缺陷的潜在影响提供太多澄清。 “CISA 意识到 FlyCASS 系统中使用的软件存在漏洞。我们正在与研究人员、政府机构和供应商合作，以了解系统中的漏洞以及适当的缓解措施。”CISA 发言人表示，并补充道，“我们正在监测任何被利用的迹象，但迄今为止尚未发现任何漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LZib6CKr144EYLWOHmziWQ 封面来源于网络，如有侵权请联系删除。

随着战争的持续，乌克兰军事人员不仅在战场上面临威胁，而且在其设备上也面临威胁。 乌克兰机构发现两起针对乌克兰军事人员设备的网络攻击。 黑客通过 Signal 信使向这些人发送消息，其中包含看起来像乌克兰 Griselda 和“Eyes”军事系统的移动应用程序的链接。 根据其网站，Griselda 是一个使用人工智能（AI）自动输入、处理和传输信息的系统，“Eyes”是指军事追踪系统。 军人被要求下载的这些移动应用程序实际上并非来自这两个实体。相反，它们是包含恶意软件和潜在恶意代码的假冒应用程序。 乌克兰计算机应急响应小组 (CERT-UA) 和乌克兰国防部及武装部队 (MILCERT) 发现，这是一次试图窃取身份验证数据以访问敏感军事系统的攻击。此次攻击还经过精心策划，旨在识别并提取设备的 GPS 坐标。 欺诈性的 Griselda 链接会将受害者引导至一个冒充该项目官方网页的傀儡网站。该网站提示受害者下载 Griselda 应用程序的移动版本。 该设备并没有下载所谓的 Griselda 应用程序，而是安装了数据窃取恶意软件 Hydra。 与此同时，“Eyes” 也遭到了攻击。军方人员被告知有文件可供下载。然而，这不是普通文件，而是已被修改并感染了第三方代码，安装会导致数据被窃取，进而识别设备的 GPS 坐标。 黑客试图窃取极其敏感的数据，这些数据可能会泄露军人的位置，从而危及生命。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gghbWBydUYoI_kcSI4XENw 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，有黑客使用一种假冒的 OnlyFans 工具瞄准其他黑客，声称可以用来帮助窃取用户帐户，但实际上却是用 Lumma信息窃取器对这些黑客发动入侵。 这项由 Veriti Research 发现的现象反映了网络犯罪分子之间并非是统一的”猎食者“身份，彼此之间的背刺时有发生。 这次黑客所利用的OnlyFans 是一个非常受欢迎、基于用户订阅的内容创作平台，创作者可以与订阅者分享视频、图像、消息和直播流，而订阅者则需要支付经常性费用或一次性付款以获得独家内容。鉴于它的受欢迎程度，OnlyFans 帐户经常成为攻击者的目标，试图劫持账户、勒索账户所有者支付赎金，或者干脆泄露私人照片。 黑客论坛上的OnlyFans恶意工具广告 因此，黑客开发了一种能快速验证账户的工具，检查登录信息是否与任何 OnlyFans 账户匹配，以及是否仍然有效，否则，黑客就必须手动测试成千上万个凭证，其过程既不现实又繁琐，导致该计划无法实施。 然而，正是由于该工具由黑客创建并在其他黑客中传播，处于竞争关系的黑客必然在其中留了一手，对其他黑客窃取信息以将自身利益最大化。 Veriti发现的假冒OnlyFans 工具内含有Lumma信息窃取器，有效载荷名为 “brtjgjsefd.exe”，是从 GitHub 存储库中获取并加载到受害者计算机中。Lumma 自 2022 年以来一直以每月 250-1000 美元的价格出租给网络犯罪分子，并通过各种方式传播，包括恶意广告、YouTube 评论、种子文件以及最近的 GitHub 评论。 Lumma 具有创新的规避机制和恢复过期谷歌会话令牌的能力。 它主要用于窃取双因素身份验证代码、加密货币钱包，以及存储在受害者浏览器和文件系统中的密码、cookie 和信用卡。 Lumma 本身也是一个加载器，能够在被入侵系统中引入额外的有效载荷，并执行 PowerShell 脚本。 Veriti 发现，当 Lumma Stealer 有效载荷启动时，它会连接到一个名为 “UserBesty “的 GitHub 账户，幕后黑客利用该账户托管其他恶意有效载荷。 这并不是黑客第一次针对其他网络犯罪分子进行恶意攻击。 2022 年 3 月，黑客利用伪装成破解 RAT 和恶意软件构建工具的剪贴板窃取程序来窃取加密货币。 同年晚些时候，一名恶意软件开发者在自己的恶意软件中设置了后门，以窃取其他黑客的凭证、加密货币钱包和 VPN 账户数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410373.html 封面来源于网络，如有侵权请联系删除。

本用于红队演练的MacroPack框架，如今正被恶意攻击者滥用，利用其强大的反检测功能来投放恶意负载（包括Havoc、Brute Ratel和PhantomCore等）。据思科Talos安全研究人员分析，MacroPack正被多个国家的威胁者用于发动攻击，涉及来自美国、俄罗斯、中国、巴基斯坦等国家的大量恶意文档。 MacroPack：从安全工具到网络威胁 MacroPack最初由法国开发者Emeric Nasi设计，旨在为红队提供演练和模拟对手行为的工具。其功能包括绕过反恶意软件检测、反逆向技术、代码混淆以及将恶意脚本嵌入文档的能力。 然而，这一框架现已成为攻击者的利器，通过文档加载恶意代码。 思科Talos报告指出，他们在野外捕获了大量使用MacroPack生成的恶意文档。这些文档具有明显的特征，比如基于Markov链的函数和变量重命名、删除注释与多余的空格字符等，旨在降低静态分析检测的成功率。此外，MacroPack Pro版本会在文档中添加特定的VBA子程序，这是攻击者使用该工具的“指纹”。 全球四大攻击集群 思科Talos团队根据地理位置和攻击模式，归纳出滥用MacroPack的四大攻击集群（源头）： 中国：来自中国和巴基斯坦IP地址的恶意文档（2024年5月至7月）指示用户启用宏功能，并传送Havoc和Brute Ratel负载。这些负载与位于中国河南的C2服务器（AS4837）通信。 巴基斯坦：具有巴基斯坦军方主题的文档，上传自巴基斯坦，伪装成巴基斯坦空军的公告或就业确认文档，部署了Brute Ratel恶意软件。攻击者通过DNS over HTTPS和Amazon CloudFront通信，其中一份文档还嵌入了用于Adobe Experience Cloud追踪的Base64编码数据。 俄罗斯：2024年7月，从俄罗斯IP地址上传的一份空白Excel工作簿部署了名为PhantomCore的Golang后门，用于间谍活动。文档包含多阶段VBA代码，试图从远程URL下载后门程序。 美国：2023年3月上传的一份文件伪装为加密的NMLS续签表单，使用了Markov链生成的函数名以逃避检测。文档包含的多阶段VBA代码，在尝试下载未知负载前会检查沙箱环境。 总结：红队工具黑化新趋势 MacroPack的滥用标志着一种新趋势，黑客正越来越多地利用原本用于安全演练的工具发起攻击。尽管MacroPack本身并非恶意软件，但其强大的混淆和反检测能力使其成为网络犯罪分子的利器，未来可能会出现更多此类工具被滥用的案例。 此外，MacroPack框架的滥用表明，黑客正在不断升级他们的工具库，结合先进的反检测技术和社交工程攻击。这一趋势需要全球安全团队加强对文档恶意软件的检测和防御，特别是在处理宏功能和复杂混淆代码的文档时保持高度警惕。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/i8admdYWgZuVD4bU–weeA 封面来源于网络，如有侵权请联系删除。

自 2023 年 6 月以来，中东和马来西亚的未具名政府实体成为名为 Tropic Trooper 的黑客组织精心策划的持续网络攻击的目标。 卡巴斯基安全研究员谢里夫·马格迪表示：“在中东重要政府机构，特别是与人权研究相关的机构中发现该组织的（战术、技术和程序），标志着他们的新战略举措。” 卡巴斯基研究人员表示，它在 2024 年 6 月发现了新版本的Web Shell，它在托管名为 Umbraco 的开源内容管理系统 (CMS) 的公共网络服务器上检测到了这一活动，该 Shell 是许多黑客共享的工具，用于远程访问受感染的服务器。 该攻击链旨在传递一个名为Crowdoor的恶意软件植入程序，这是 ESET 早在 2021 年 9 月记录的SparrowDoor后门的变种。 Tropic Trooper 又名 APT23、Earth Centaur、KeyBoy 和 Pirate Panda，据评估，该组织自 2011 年以来一直活跃，与另一个被追踪为 FamousSparrow 的入侵组织有着密切的联系。 人们怀疑这些 Web Shell 是通过利用可公开访问的 Web 应用程序中的已知安全漏洞来传递的，例如 Adobe ColdFusion（CVE-2023-26360）和 Microsoft Exchange Server（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207）。 Crowdoor 于 2023 年 6 月首次被发现，它还可充当加载器来释放 Cobalt Strike 并在受感染的主机上保持持久性，同时还可充当后门来收集敏感信息、启动反向 shell、擦除其他恶意软件文件并终止自身。 “当攻击者意识到他们的后门被检测到时，他们会尝试上传更新的样本来逃避检测，从而增加了他们的新样本在不久的将来被发现的风险。”卡巴斯基研究人员指出，“此次入侵的重要意义在于，我们发现一名攻击者针对一个内容管理平台进行攻击，该平台发布有关中东人权的研究，特别关注以色列与哈马斯冲突的局势。我们对此次入侵的分析表明，整个系统是攻击的唯一目标，表明攻击是故意针对这一特定内容。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qK_sGGP8JgGTTN5WiJ64Rg 封面来源于网络，如有侵权请联系删除。

Check Point Research 最近曝光了一个新的分发即服务 (DaaS) 网络，称为 Stargazers Ghost Network，该网络至少在一年前就在 GitHub 上传播恶意软件。由于这些账户也执行正常活动，因此用户并未意识到这些账户正在执行恶意活动。 这些幽灵账户针对的是那些想要增加 YouTube、Twitch 和 Instagram 粉丝的用户，通过 Discord 频道向 GitHub 存储库分发恶意链接。由于恶意链接指向已加星标和验证的内容，其他用户会认为这些存储库是合法的。然而，高星标数量让 Check Point 研究人员意识到这些账户很可疑。 恶意软件通过密码加密的档案发布进行分发 “在短短的监控期内，我们发现了 2,200 多个发生‘幽灵’活动的恶意存储库。在 2024 年 1 月左右的一次活动中，该网络传播了 Atlantida 窃取程序，这是一个新的恶意软件家族，可窃取用户凭据和加密货币钱包以及其他个人身份信息 (PII)。这次活动非常有效，因为在不到四天的时间内，超过 1,300 名受害者感染了 Atlantida 窃取程序。”Check Point Research 报告中写道。 通过使用三个 GitHub 帐户协同工作，Stargazers Ghost Network 成功避开了 GitHub 的检测。当攻击者将包含钓鱼下载链接的 README.md 文件附加到外部存储库的发布版本时，攻击就开始了。 一个帐户提供钓鱼存储库模板，而另一个帐户提供钓鱼图像模板。然后，第三个帐户将恶意软件作为发布版本中受密码保护的存档提供，有时攻击就是在这里检测到的，然后第三个帐户被 GitHub 禁止。如果发生这种情况，攻击者就会使用第一个帐户中的新链接再次发起攻击。 暗网赚钱 研究人员还发现了该计划的另一部分——利用幽灵账户在暗网上赚钱。CheckPoint 估计，2024 年 5 月中旬至 6 月中旬的恶意活动为 Stargazers Ghost Network 带来了约 8,000 美元的收入。Check Point 估计，该计划在整个生命周期内带来了约 100,000 美元的收入。 2023 年 7 月 8 日，Terefos 团队发现 Stargazers Ghost Network 在暗网上发布了横幅广告。网络犯罪分子可以“雇佣”幽灵账户，获得 GitHub 上的各种服务，包括加星标、关注、分叉和关注账户和存储库。 这些服务的价格各不相同，例如加星标 100 个账户需 10 美元，而为受信任的账户提供“陈旧”存储库则需 2 美元。除了广告横幅，网络犯罪分子还使用了另一种典型的营销策略：折扣。在 Stargazers Ghost Network 上花费超过 500 美元的威胁行为者可以获得服务折扣。 GitHub 采取行动 在了解到这 3,000 个幽灵账户后，GitHub 采取行动阻止恶意软件的传播。 Check Point 的研究人员认为，幽灵账户在许多其他平台上运作，包括 YouTube、Discord、Instagram 和 Facebook。由于这些渠道还可用于通过帖子、存储库、视频和推文分发链接和恶意软件，Check Point 认为这些账户的运作方式类似于 GitHub 计划，这意味着这很可能只是一种新策略的开始。 Check Point 报告总结道：“未来的幽灵账户可能会利用人工智能 (AI)模型来生成更具针对性和多样性的内容，从文本到图像和视频。通过考虑目标用户的回复，这些由人工智能驱动的账户不仅可以通过标准化模板来推广网络钓鱼材料，还可以通过针对真实用户的需求和互动量身定制的响应来推广网络钓鱼材料。恶意软件传播的新时代已经到来，我们预计这些类型的操作将更频繁地发生，这使得区分合法内容和恶意材料变得越来越困难。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jbtBFnvYnPHHUn8PuwjpAA 封面来源于网络，如有侵权请联系删除。

美国及其盟友已将发动全球关键基础设施攻击的幕后黑手确定为俄罗斯黑客组织（被追踪为Cadet Blizzard和Ember Bear），其幕后黑手是俄罗斯武装部队总参谋部第 29155 部队（又称 GRU）。 在今天发布的联合咨询报告中，俄罗斯 GRU 军事情报黑客被描述为 GRU 第 161 专科训练中心的“初级现役 GRU 军官”，由经验丰富的29155部队领导层协调，他们因于 2022 年 1 月在乌克兰部署 WhisperGate 数据擦除恶意软件而闻名。 该组织自 2020 年以来一直在策划针对整个欧洲的破坏和暗杀行动以及针对北约成员国以及北美、欧洲、拉丁美洲和中亚国家关键基础设施部门的网络攻击，并从 2022 年初开始转而破坏对乌克兰的援助努力。 今年 4 月，《内部人》与《60 分钟》和《明镜周刊》联合发表了 一项调查报告，报告将 GRU 的 29155 部队与哈瓦那综合症事件联系起来。 “自 2020 年以来，29155 部队扩大了他们的间谍技术，包括攻击性网络行动。29155 部队网络行动者的目标似乎包括为间谍目的收集信息、因窃取和泄露敏感信息造成的声誉损害、以及因销毁数据造成的系统性破坏。”今天发布的联合咨询报告称，“这些人似乎通过进行网络行动和入侵获得了网络经验并提高了他们的技术技能。此外，FBI 评估称，29155 部队的网络参与者依赖非 GRU 参与者，包括已知的网络犯罪分子和推动者来开展他们的行动。” 美国联邦调查局称，它检测到了超过 14,000 次针对至少 26 个北约成员国和几个欧盟 (EU) 国家的域名扫描实例。与俄罗斯 29155 部队有关的黑客破坏了网站并使用公共域名泄露被盗数据。 美国国务院宣布通过“正义奖励”计划悬赏高达 1000 万美元，奖励提供有关弗拉基米尔·博罗夫科夫、丹尼斯·伊戈列维奇·丹尼先科、尤里·丹尼索夫、德米特里·尤里耶维奇·戈洛舒博夫和尼古拉·亚历山德罗维奇·柯察金的信息，这五名俄罗斯军事情报官员据信是 GRU 29155 部队的成员。 美国国务院表示：“这些人是俄罗斯总参谋部情报总局（GRU）第 29155 部队的成员，该部队针对美国关键基础设施，特别是能源、政府和航空航天领域进行了恶意网络活动。这些 29155 部队 GRU 军官负责袭击乌克兰和数十个西方盟国的关键基础设施。” 五名 GRU 军官和平民阿明·蒂莫维奇（Amin Timovich，因 WhisperGate 攻击于 6 月被起诉）今天还因参与俄罗斯 2022 年 2 月入侵之前针对乌克兰和 26 个北约成员国的网络攻击而被指控。 美国政府敦促关键基础设施组织立即采取行动，包括优先进行系统更新和修补已知漏洞，以防御这些与 GRU 相关的网络攻击。 其他建议包括网络分段以遏制恶意活动，并对所有外部服务（特别是网络邮件、虚拟专用网络（VPN）和有权访问关键系统的帐户）实施防网络钓鱼的多因素身份验证（MFA）。 2022 年 2 月，在使用WhisperGate 擦除恶意软件、HermeticWiper 恶意软件和勒索软件诱饵对乌克兰进行攻击后，CISA 和 FBI 警告称，破坏性的恶意软件网络攻击可能会蔓延到其他国家的目标。 本周三，美国政府查封了与俄罗斯有关的 Doppelgänger 影响力行动使用的 32 个网络域名，这些域名用于针对美国公众传播虚假信息和亲俄宣传。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8cdbsI4EQexbQD7ulMkpjg 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，一款最初被设计为红队演练之用的工具MacroPack近来正被攻击者滥用并部署恶意负载 Havoc、Brute Ratel 和 PhatomCore ，所发现的恶意文档已涉及多个国家和地区。 MacroPack 是由法国开发人员 Emeric Nasi （dba BallisKit） 创建的专注于红队演习演练和对手模拟的专有工具，提供反恶意软件绕过、反逆技术、使用代码混淆构建各种文档有效负载、嵌入无法检测的 VB 脚本等多项高级功能。 Cisco Talos 的安全研究人员研究了来自美国、俄罗斯和巴基斯坦等国家和地区在 VirusTotal 上提交的恶意文档，这些文件的诱饵、复杂程度和感染载体各不相同，表明 MacroPack 正被多个攻击者滥用，已成为一种潜在的威胁趋势。 这些被捕获的野外样本都有在 MacroPack 上创建的痕迹，包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符（这些字符可将静态分析检测率降到最低）以及字符串编码。 当受害者打开这些恶意Office 文档时会触发第一级 VBA 代码，该代码会加载恶意 DLL，并连接到攻击者的命令和控制 (C2) 服务器。 攻击链 Cisco Talos 的报告了一些与MacroPack 滥用相关的重要恶意活动集群： 美国：2023 年 3 月上传的一份文件伪装成加密的 NMLS 更新表格，并使用马尔可夫链生成的函数名来逃避检测。 该文档包含多级 VBA 代码，在尝试通过 mshta.exe 下载未知有效载荷之前会检查沙盒环境。 装成加密的 NMLS 更新表格 俄罗斯：2024 年 7 月，一个俄罗斯 IP 上传的空白 Excel 工作簿提供了 PhantomCore，这是一个基于 Golang 的用于间谍活动的后门 。 该文件运行多级 VBA 代码，试图从远程 URL 下载后门。 巴基斯坦：从巴基斯坦各地上传了以巴基斯坦军事为主题的文件。 其中一份文件伪装成巴基斯坦空军的通知，另一份伪装成就业确认书，部署了 Brute Ratel 獾。 这些文件通过 HTTPS DNS 和亚马逊 CloudFront 进行通信，其中一个文档嵌入了 base64 编码的 blob 以用于 Adobe Experience Cloud 跟踪。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410268.html 封面来源于网络，如有侵权请联系删除。

为加固互联网路由安全的薄弱环节，美国国家网络安全办公室（ONCD）近日发布了一个提升互联网路由安全的路线图，主要针对边界网关协议（BGP）相关漏洞进行改进。BGP作为全球互联网的基础协议，负责全球超过7万个独立网络间的流量管理，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。 推动RPKI成为全球标准 ONCD路线图中提出了广泛采用资源公钥基础设施（RPKI）的建议。RPKI是由IETF制定的标准框架，能够通过防止路由劫持、路由泄漏和IP资源劫持等手段来提升安全性。通过实施RPKI，互联网服务提供商（ISP）和运营自己的路由网络的企业可以确保BGP公告和路由更新的合法性和安全性，避免数据传输中断或被恶意篡改。国家网络安全办公室呼吁所有网络类型的运营商，包括ISP、企业网络和拥有自己IP资源的组织，尽快采用RPKI标准。特别是对于关键基础设施的运营商、州和地方政府，以及依赖互联网进行“高价值”任务的组织，BGP的安全尤为重要。 白宫国家网络安全主任Harry Coker Jr.在发布报告时表示：“互联网安全事关重大，联邦政府将率先推动BGP安全措施的快速普及。” 除了发布报告，ONCD还设立了公私合作的利益相关者工作组，并共同主持了互联网路由安全工作组。该工作组将制定框架，帮助网络运营商评估风险，优先处理关键的IP地址资源和路由源。 BGP漏洞的安全风险 BGP作为全球互联网的基础协议，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。然而，ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。互联网基础设施提供商Cloudflare指出，全球只有约一半的网络采用了RPKI。过去几年，曾发生过多起重大BGP安全事件，例如： 2021年4月：全球性BGP泄漏事件。这次BGP路由泄漏导致全球数千个网络受到影响。事件的起因是一个错误的BGP路由配置，导致原本不应该被广告的路由被传播到全球，影响了多个国家的互联网连接(。 2022年8月：加密货币服务Celer Bridge的BGP劫持。黑客通过伪造的BGP公告成功劫持了Celer Bridge的加密货币交易，重定向资金到攻击者的账户。此次事件通过更改AltDB数据库的内容欺骗了传输提供商，使攻击者得以冒充亚马逊网络服务（AWS）来进行劫持。 2008年：YouTube被封锁事件。巴基斯坦电信公司（PTCL）通过BGP劫持全球范围内的YouTube流量，试图在国内封锁该服务。虽然该举动本应仅影响巴基斯坦境内的访问，但错误的路由公告传播到了全球，导致YouTube在全世界范围内下线。 这些事件凸显了BGP的脆弱性，无论是有意的攻击还是无意的配置错误，都会导致全球互联网服务中断和安全隐患。 专家们认为，全球互联网路由依赖信任而非安全是不可持续的。 Team8风投集团的首席技术官Eidan Siniver指出：“企业经常在全球站点之间传输敏感数据，而被劫持的路由将带来重大安全风险。网络运营商应当广泛采用RPKI等框架，优先考虑安全而非信任，建立可靠的标准。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/E1rEsgB3GJkByIb5fARVKw 封面来源于网络，如有侵权请联系删除。

日前，黑客HikkI-Chan在Breach论坛泄露了俄罗斯最大社交网站VK超过3.9亿用户个人数据。Hackread研究人员对黑客HikkI-Chan行径进行了梳理。。 HikkI-Chan虽然在Breach Forums上HikkI-Chan是一个相对较新的用户，但他们的首次攻击可以追溯到2024年3月15日。2024年3月15日，某暗网数据交易平台有人宣称正在售卖一份美国国防部（US DoD）数据。卖家于3月15日前后两次上传了共计399,373条数据。其中第一份数据包含姓名，电话，城市、职位、参加过的战争等字段，第二份数据包含姓名、电话、邮箱、地址等字段。卖家称两份数据的来源均是美国国防部官方网站。 黑客HikkI-Chan声称对两起网络攻击事件负责：一是针对以色列警方的攻击，二是针对以色列公共交通公司Kavim的攻击。 在VK数据泄露事件发生之前，黑客还在出售包含超过8000万土耳其人的个人信息和个人身份信息（PII）的土耳其公民数据。这8000万人的数据几乎涵盖了土耳其的全部人口。 黑客HikkI-Chan还涉嫌进行了两次显著的网络攻击事件。其一，黑客攻击了佛罗里达州金融监管办公室，导致8,639,326条记录在上周被泄露。还有一次，针对FBI文件的高度敏感的数据泄露事件，黑客将这次行动称为“Priser行动”。 HikkI-chan在Breach论坛上 黑客HikkI-Chan还声称他参与了一个秘密行动“Operation Pride”，这个行动成功侵入了政府的网络系统，并从中窃取了重要信息。但目前没有公开的资料可以证实这个行动的存在。此外，HikkI-Chan分享了有关该行动的信息，声称泄露的文件包括“打击恐怖主义数据、白宫邮件列表、FBI顶级员工（姓名、角色、位置）、联邦工作列表、FBI员工的图像等等”。   转自E安全，原文链接：https://mp.weixin.qq.com/s/3uBFoA7sS7H7PXeNfMcyGw 封面来源于网络，如有侵权请联系删除。

东南亚地区遭勒索攻击频率显著增多 根据趋势科技的遥测数据，东南亚的公司和政府机构，尤其是泰国、日本、韩国、新加坡和印度尼西亚，遭遇了显著增加的攻击频率，这一增速已超过欧洲国家。例如，今年6月，一个名为Brain Cipher的团伙对印度尼西亚的160多家政府机构发动了勒索软件攻击。随着该地区经济的发展，类似的重大事件可能会进一步增加。 趋势科技威胁研究高级经理Ryan Flores表示，亚洲的许多公司和组织在急于实现基础设施数字化的过程中，往往以牺牲安全为代价。 他说：“该地区正在积极推进多项数字化计划，政府也在支持和鼓励在线服务与支付的普及。由于这些基础设施和服务的快速推进，安全往往被降级为次要任务，主要目标是尽快将服务或平台推向市场。” 亚太地区的公司和组织已遭受严重的网络攻击，这也印证了威胁团体已将目光聚焦于该地区。今年3月，越南一家主要的经纪公司遭遇了勒索软件攻击，关键数据被加密，被迫关闭证券交易长达8天。同月，日本官员指责朝鲜黑客在Python包索引（PyPI）服务中植入了恶意代码，该代码可以在受害者的计算机上安装勒索软件。 虽然超过四分之三的勒索软件攻击仍然针对北美和欧洲的组织，但其他地区，特别是亚洲受到成功网络攻击的比例已经迅速上升。根据网络安全咨询服务公司Comparitech的数据，2023年，亚洲公开报道的勒索软件攻击数量增长了85%。 其他威胁追踪者也证实了这一趋势。根据终端安全公司Sophos发布的《2024年勒索软件状况》报告，印度和新加坡都位列受攻击最多的六个国家之中。 亚太地区成为勒索软件的温床 勒索软件团伙正在瞄准亚太地区最关键且最脆弱的工业部门。根据Comparitech从公开报告中整理的数据，针对制造业的攻击显著增加。2023年，已确认的针对制造业的勒索软件事件有21起，其次是政府部门的16起和医疗保健部门的11起。 造成这一局面的主要原因之一是，许多国家没有实施数据泄露通知法，这导致大量泄露事件未被报告，也使得亚洲对网络安全的关注度不足。Comparitech的数据研究负责人Rebecca Moody指出，加密货币在许多亚洲国家的流行也使得公司更容易支付赎金。 她说：“在许多情况下，确认发生攻击的唯一方式是系统中断或网站瘫痪……如果设法让系统在无人察觉的情况下重新上线……那么这些攻击就可以轻松掩盖过去。” 勒索软件与网络犯罪欺诈在亚太地区十分猖獗。朝鲜团伙利用勒索软件、加密劫持攻击等手段，从全球经济中榨取资金，并进行间谍活动。一些亚洲国家的犯罪集团在柬埔寨、老挝和缅甸运营大型欺诈中心——这些实际上是强迫劳动营地——进行大规模、批量化的网恋骗局和“杀猪盘”诈骗，每年非法获利数百亿美元。 低成本，高回报 归根结底，勒索软件攻击的增加可能与犯罪团伙专注于某类受害者无关，而更多地与潜在受害者的增加有关。这是因为公司在进行数字化转型时，未能同步更新安全措施。趋势科技的Flores表示，该地区的网络安全生态系统相对不成熟，再加上地区紧张局势日益加剧，这更可能是攻击增加的原因，而非犯罪团伙专注于某类受害者。 他说：“勒索软件团伙和一般的网络犯罪分子都是机会主义者，所以我认为他们不会真正专注于某个地区。他们关注的是如何以最小的成本获取最大的回报。因此，如果有脆弱、开放或配置错误的基础设施，无论位于亚洲、欧洲还是非洲，都将成为他们的攻击目标。” 亚太地区各国政府已经开始更新法规以提高安全性。今年5月，新加坡更新了《网络安全法》，以应对关键基础设施部门对使用云服务的第三方的依赖，而马来西亚在4月通过了一项法律，要求网络安全服务提供商必须获得许可才能在该国开展业务，尽管法律细节尚未敲定。 NCC集团全球战略威胁情报负责人Matt Hull表示，亚太地区的公司应重点做好基础防护工作，实施基本的防御措施。 他说：“各组织必须优先进行定期的补丁管理，以关闭已知漏洞，实施强密码策略，以防止轻易被利用，并实施多因素认证（MFA），在密码之外增加额外的安全层。此外，建立强大的检测和监控系统，以便迅速识别和应对潜在威胁，也是至关重要的。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/qUkATZpIayAqggqTs8qV9A 封面来源于网络，如有侵权请联系删除。

针对 Windows 内核中一个关键的0day特权提升漏洞的概念验证 (PoC) 代码已公开发布。该漏洞编号为CVE-2024-38106 ，是Microsoft 在 2024 年 8 月补丁日更新中修补的几个0day漏洞之一。 CVE-2024-38106 是 Windows 内核中的一个竞争条件漏洞，可能允许本地攻击者获得系统权限。该问题的 CVSS 评分为 7.0，微软的可利用性评估将其标记为“更有可能被利用”。 一位匿名研究人员向微软报告了该漏洞，其细节一直保密，直到周末在 GitHub 上公开发布了 PoC 漏洞利用程序。 PoC 演示了如何触发竞争条件来破坏内核内存并以提升的权限实现任意代码执行。 PixiePoint Security 研究人员对微软 CVE-2024-38106 补丁进行了分析，揭示了根本原因。此漏洞是由于对函数VslpEnterIumSecureMode()中的调用进行了不正确的锁定而造成的。 微软的修复通过使用VslpLockPagesForTransfer()和实现了正确的锁定VslpUnlockPagesForTransfer()来防止竞争条件。 由于 PoC 漏洞已公开可用，因此组织必须尽快应用安全更新。 唯一完整的缓解措施是安装包含CVE-2024-38106修复程序的安全更新。微软在 2024 年 8 月补丁更新中解决了该漏洞，并敦促所有客户立即应用补丁。 Windows 11 和 Windows Server 2022 以及一些仍受支持的旧版 Windows 均受到影响。目前尚无关于野外主动利用漏洞的报告，但公开的 PoC 大大增加了这种变化的可能性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/u0aj6_e80WIqdRpZr1gCcw 封面来源于网络，如有侵权请联系删除。

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。

美国联邦调查局警告称，朝鲜黑客正积极瞄准加密货币行业，并利用复杂的社会工程学来实现其目标。 FBI 的咨询报告显示，这些攻击的目的是部署恶意软件并窃取去中心化金融 (DeFi)、加密货币和类似实体的虚拟资产。 美国联邦调查局表示：“朝鲜的社会工程计划复杂而精巧，受害者往往掌握着复杂的技术。鉴于这种恶意活动的规模和持续性，即使是那些精通网络安全实践的人也可能受到攻击。” 据该机构称，朝鲜黑客组织正在针对与 DeFi 或加密货币相关业务有关的潜在受害者进行广泛的研究，然后以个性化的虚假场景为目标，通常涉及新的就业或企业投资。 攻击者还会与目标受害者进行长时间的对话，以建立信任，然后在“看似自然且不会引起警报的情况下”传播恶意软件。 此外，攻击者经常冒充各种个人，包括受害者可能认识的联系人，使用逼真的图像，例如从社交媒体帐户窃取的照片，以及时间敏感事件的虚假图像。 与加密行业相关的个人应该注意在设备上运行代码或应用程序的请求、进行涉及非标准代码包的测试或练习的请求、提供就业机会或投资机会、将对话转移到其他消息平台的请求以及包含链接或附件的未经请求的联系人。 建议组织开发验证联系人身份的方法，不要共享有关加密货币钱包的信息，避免参加就业前测试或在公司拥有的设备上运行代码，实施多因素身份验证，使用封闭平台进行业务沟通，并限制对敏感网络文档和代码存储库的访问。 谷歌旗下的安全部门 Mandiant 在一份新报告中指出， 社会工程学只是朝鲜黑客在针对加密货币组织的攻击中所采用的技术之一。 攻击者还被发现依赖供应链攻击来部署恶意软件，然后转向其他资源。 Mandiant 公司解释道，他们还可能以智能合约（通过重入攻击或闪电贷攻击）和去中心化自治组织（通过治理攻击）为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7j3_IDJTzia4vVbdHx2UtQ 封面来源于网络，如有侵权请联系删除。