安全内参5月20日消息，美国证券交易委员会（SEC）拟要求一些金融机构在发现安全漏洞后30天内披露相关信息。5月15日，SEC通过修正案，对管理消费者个人信息处理工作的《S-P条例》进行了修改。修正案要求，机构在发现未经授权的网络访问或客户数据使用后，必须“尽快在不超过30天”内通知受影响个人。新规将对美国证券市场的经纪交易商（包括融资门户）、投资公司、注册投资顾问和转账代理人具有约束力。 SEC主席Gary Gensler说：“在过去的24年里，数据泄露的性质、规模和影响已经发生了巨大变化。本次修正案对2000年出台的《S-P条例》进行了关键更新，有助于保护客户的金融数据隐私。基本理念是，只要相关公司出现了漏洞，就必须发出通知。这对投资者有利。” 新规详细内容 通知必须详细说明事件、受损信息以及受影响者应如何保护自己。不过修正案中有一项条款留下了回旋余地，只要相关机构能够证明，个人信息的使用没有导致，或者不太可能导致“重大伤害或不便”，就不必发出通知。 修正案将要求相关机构“制定、实施和维护书面的政策和程序”，这些政策和程序必须“设计合理，可以检测、响应未经授权的访问或未经授权的客户信息使用，并可以完成相应恢复工作”。修正案还包括以下内容： 扩展和协调保障措施和处置规则，以涵盖相关机构收集的自身客户的非公开个人信息，以及从其他金融机构收到的关于其他金融机构客户的非公开个人信息。 除融资门户外的相关机构必须制作并维护书面记录，用于记录保障规则和处置规则的要求的落实情况。 将《S-P条例》的年度隐私通知交付条款调整为符合《修复美国地面运输法案》（FAST）添加的例外条款。这些条款规定，如果满足某些条件，相关机构无需发布年度隐私通知。 扩展保障规则和处置规则的覆盖范围，囊括在委员会或其他适当监管机构注册的转账代理人。 修正案还扩大了涵盖的非公开个人信息的范围。除了公司本身收集的信息，新规还将涵盖公司从其他金融机构收到的个人信息。 针对新规的疑虑 SEC专员Hester M. Peirce表示，担心修正案可能过于严苛。她写道：“今天对《S-P条例》的更新将帮助相关机构适当提高客户信息保护的优先级。客户在其信息被泄露时将得到及时通知，以便他们采取措施保护自己，比如更改密码或密切关注信用评分。我对两方面持保留意见：规则覆盖范围可能过于广泛，也可能导致无意义的消费者通知泛滥。” 自2000年启用以来，《S-P条例》并没有进行实质性的更新。去年，SEC通过了新法规，要求上市公司披露对业务、战略或财务结果或状况有重大影响或可能有重大影响的安全漏洞。 修正案将在美国《联邦公报》（联邦政府发布法规、通知、命令和其他文件的官方期刊）网站上公布60天后生效。大型和小型组织分别需要在修正案发布后18个月和24个月内落实相关要求。

最近，我们观察到了一种名为”Fake Browser Update”的诱骗策略，让用户执行恶意二进制文件。在分析这些二进制文件时，我们确定使用了一个新的加载程序，用于在受感染的系统上执行信息窃取程序，其中包括StealC和Lumma。 IDAT 加载程序是我们于2023 年 7 月首次发现的一种新型、复杂的加载程序。在较早版本的加载器中，它被伪装成一个7-zip安装程序，传送SecTop RAT。现在，我们观察到该加载器被用来传送Stealc、Lumma和Amadey等信息窃取程序。它采用了几种逃避技术，包括 Process Doppelgnging、DLL Search Order Hijacking和Heaven’s Gate。IDAT加载器得名于威胁行为者将恶意载荷存储在PNG文件格式的IDAT块中。 在采用这种技术之前，我们观察到背后的黑客利用恶意JavaScript文件来与命令和控制（C2）服务器建立联系，或者传送Net Support远程访问木马（RAT）。 从SocGholish恶意软件，到黑客手中的窃取信息，下面的分析涵盖了整个攻击流程。 技术分析 黑客经常通过安全工具无法检测到的方式发起攻击，而安全研究人员也很难对其进行调查。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3027/ 消息来源：rapid7，译者：知道创宇404实验室翻译组；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

现如今，越来越多的人选择在线购买商品。不仅因为它方便，商品会直接送到你家门口，而且有的购物网站价格还相对便宜。但可悲的是，骗子们滥用了这个机会，为了自身利益瞄准用户进行欺诈。而网络欺诈者们主要通过创建虚假的商品列表进行诈骗，一旦用户进行支付，他们则消失得无影无踪。 最近，我们发现了一个工具包的源代码，这个工具包为骗子们提供了很大的帮助。骗子们无需精通技术，只需说服受害者即可。这个工具包的实现主要依靠一个Telegram机器人，当激活时，它以可点击按钮的形式提供几个易于导航的菜单，骗子们可以同时进行操作。本文我们将重点分析这个工具包的特性和功能，以及使用它的群体结构。我们将这个工具包命名为Telekopye。 本文是系列文章中第一部分，在这里我们将更详细地了解Telekopye，并展示一些对骗子们非常有帮助的关键功能。在第二部分中，我们将更多地关注群组操作。 概要 Telekopye取自于Telegram和kopye，kopye是俄语中“长矛”的意思，选用的原因是因为这种欺诈活动使用了网络钓鱼手法，欺诈中，受害者被骗子戏称为 Mammoths（猛犸象）（见图1），为了更好的理解其中的含义，我们沿用相同的逻辑，将称使用Telekopye进行欺诈的骗子为Neanderthals。 Telekopye被多次上传到 VirusTotal，其用户主要来自俄罗斯、乌克兰和乌兹别克斯坦，这些地区通常是Neanderthals活动最活跃的地方，可以根据代码中的评论和目标市场进行判断。尽管Neanderthals的主要目标是俄罗斯（如OLX和YULA），但在实际操作过程中，俄罗斯以外的市场（如BlaBlaCar或eBay）也没能幸免。为了说明这些市场有多么庞大，根据《财富》杂志的数据，2014年OLX平台每月有110亿次页面浏览量和850万次交易量。 我们收集了几个迭代版本的Telekopye，所有版本都可用于创建钓鱼网页，发送钓鱼邮件和短信。此外，一些版本的Telekopye可以将受害者数据（通信地址或电子邮件地址）存储在运行该机器人的磁盘上。Telekopye非常通用，但不具有聊天机器人的AI功能。因此，它实际上并不执行漏洞，只是简化了用于此类骗局的内容生成过程。2023年7月，我们检测到符合Telekopye操作者模式的新域名，因此他们仍然活跃。我们所能收集到的最新版本的Telekopye是2022年4月11日的。因此可以评估，Telekopye至少从2015年开始使用，根据Neanderthals之间的对话片段，可以推测黑客团体们仍在使用它。 Telekopye 功能 Telekopye具有多种不同的功能， Neanderthals可以充分利用这些功能。其中包括发送钓鱼邮件、生成钓鱼网页、发送短信、创建QR码和创建钓鱼截图。在接下来的部分，我们将重点介绍对Neanderthals来说最有用的Telekopye的部分。 连接 每个使用Telekopye的Telegram群组都由一个或多个同时独立操作的Neanderthals组成。功能主要通过按钮提供，而这很可能是为了让Neanderthals更容易进行诈骗活动。 本文显示了Telekopye在一个正在运作的Telegram群组中的一个菜单。特别值得注意的是“我的广告”按钮，显示每个Neanderthals所打开的列表（进行中的诈骗广告），以及“我的资料”按钮，允许Neanderthals查看他们在该平台上的个人资料信息，如诈骗的数量，准备下次支付的金额等。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3023/ 消息来源：welivesecurity，译者：知道创宇404实验室翻译组； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

拥有5亿以上用户的WinRAR，曝出新的漏洞（CVE-2023-40477，CVE-2023-38831）； CVE-2023-40477的PoC 虽然被认为是RCE假定可被利用，但实际上影响并不大； 本文研究内容包括：其影响、可被利用的场景以及缓解措施； 该漏洞已在最新的Winrar v6.23中得到修复，本文也会提出解决办法。 CVE-2023-40477:概述和PoC 八月中旬，WinRAR 6.23发布了一些关于关键漏洞的警告。我们了解到漏洞（CVE-2023-40477）目前已经修复，且公布了以下信息，具体内容详看下文： 尽管其CVE等级很高，但成功利用漏洞所需的复杂性表明广泛滥用的可能性很低，这与广泛利用的Log4j RCE漏洞不同。 可考虑的应对措施主要有两方面： 完全修复：将Winrar更新到6.23+将完全修复。 补丁修复：如果更新不可用或难以部署，可以考虑阻止使用*.rev文件（最好同时阻止*.rXX文件和*.partXX.rar文件）。尽管并没有官方支持肯定，但这可能是目前的一个快速的修复方法。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3019/ 消息来源：wildptr.io，译者：知道创宇404实验室翻译组； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Lockbit是最常见的勒索软件之一。它附带了一个联盟勒索软件即服务（RaaS）计划，向参与者提供高达80%的赎金要求，并为那些发现并报告导致文件可以无需支付赎金解密漏洞的人提供了漏洞赏金计划。根据Lockbit所有者、同名网络犯罪组织的说法，已经支付了多达5万美元的赏金。除了这些特点之外，Lockbit还提供了一个可搜索的门户网站，用于查询被勒索软件家族攻击过的公司的泄露信息，甚至向那些在身上纹有Lockbit标志的人提供支付。 Lockbit v3，也称为Lockbit Black，于2022年6月首次被发现，这对自动化分析系统及分析师来说是一个挑战。其中最具挑战性的特征包括： 它支持使用随机生成密码的加密可执行文件。这将会阻止执行并阻碍自动化分析，除非在命令行中提供适当的密码。 有效载荷包括针对逆向工程分析的强大保护技术。 它包括许多未记录的内核级Windows函数. 2022年9月，多名安全新闻专业人士报道并证实了Lockbit 3的一个生成器工具的泄露。该工具允许任何人创建自己定制版本的勒索软件。其中两个不同的用户发布了创建不同变种的勒索软件所需的文件 Lockbit builder上传到GitHub根据我们的分析，X（之前称为Twitter）用户@protonleaks和@ali_qushji发现了两个不同的变体。我们的时间戳分析证实，在两次泄露中builder.exe二进制文件略有不同。protonleaks版本的编译日期是2022年9月9日，而ali_qushji版本是的编译日期是2022年9月13日。在恶意软件的模板二进制文件（嵌入和不完整版本的恶意软件，用于构建最终可供分发的版本）中也发现了类似的编译时间差异。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3018/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近，我们向客户推送了一份报告，介绍了网络犯罪恶意软件集的一个有趣且常见的组件——SystemBC。与2021年Darkside Colonial Pipeline事件类似，我们发现了一个新的SystemBC变种被部署到一个关键基础设施目标上。这次，可代理的后门与南非某国家的关键基础设施中的Cobalt Strike信标一起被部署。 Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中对之前的Colonial Pipeline事件进行了回顾，并称其为“分水岭时刻”，同时我们在世界其他地方也看到了和目标战术上的相似之处。 关于勒索软件攻击的内容和趋势分析报道已比较常见，但关于特定电力系统勒索软件事件的技术细节却很少被公开披露。我们知道，在全球范围内被调查的公共事业单位发现，越来越多地以有针对性的活动方式进行报道：“56%的受访者报告在过去12个月中至少发生过一次涉及隐私信息丢失或OT环境中断的攻击”。虽然并非所有活动都是由勒索软件攻击者造成的，但相关的勒索软件攻击者正在避免受到强大政府机构和联盟的报复。无论如何，这种增加的公用事业目标攻击事件是一个现实世界的问题，特别是对网络中断可能在全国范围内影响客户的区域，具有严重的潜在风险。 值得注意的是，一名不明身份的攻击者使用Cobalt Strike信标和DroxiDat（SystemBC有效载荷的新变种)对南非一个电力公司进行了定向攻击。该攻击发生在2023年3月下旬，是涉及世界各地DroxiDat和CobaltStrike beacons的袭击的一小部分事件。在这个电力公司中还检测到了DroxiDat，它是SystemBC的一个约8kb的精简变体，用作系统分析和简单支持SOCKS5的bot。该电力公司的C2基础设施涉及一个与能源相关的域名”powersupportplan.com”，其已解析到一个已经可疑的IP主机。该主机在几年前曾被用作APT活动的一部分，其增加了APT相关目标攻击的可能性。目前勒索软件还没有被交付给该组织，因此我们没有足够的信息来对这次活动进行准确归因。然而，同一时间范围内的一个医疗事件中，也涉及到了DroxiDat，Nokoyawa勒索软件被交付，另外还有其他几起涉及CobaltStrike的事件，它们共享了相同的license_id和staging目录及C2。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3007/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文讨论了SugarCRM 0-day漏洞（CVE-2023-22952）的认证如何绕过远程代码执行，并总结出了防御者们应该注意的事项。由于该漏洞是一个Web应用程序，如果没有进行正确配置或保护，一旦黑客了解了云服务提供商使用的基础技术，并获取了适当权限，可能会引发多次安全事件。 在过去的一年中，Unit 42响应了多起案例，其中 SugarCRM 漏洞 （CVE-2023-22952） 是主要的初始攻击媒介，其允许黑客访问AWS 账户。但这并不是因为AWS的漏洞，任何云环境都可能发生这种情况。相反，黑客后期利用错误配置来扩大他们的访问权限。 本文参考 MITRE ATT&CK 框架对AWS环境遇到的各种攻击事件进行分析，并总结了各个组织可以来保护自己的多种预防保护机制。这些保护措施包括利用AWS提供的控制和服务、云最佳实践以及足够多的数据来捕获完整的攻击过程。 这些攻击的复杂性更加表明了设置日志记录和监控对于检测未经授权的AWS API调用的重要性。一旦黑客得以立足，那么可能会导致更加严重的威胁行为，而这些行为是不可被追溯的。云安全保护并非一刀切，这些攻击暴露了需要重点关注的领域，而这样也可以让我们在面对攻击时能做出更充分的准备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3006/ 消息来源：unit42，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在快速变化的网络威胁世界中，了解最新变化和模式至关重要。这对于勒索软件来说尤其如此，它以快速变化和复杂的策略而闻名。今年8月，我们在SentinelOne的MDR团队偶然发现了一些异常情况：新的LOLKEK实例，也被称为GlobeImposter，表明这个长期存在的勒索软件家族正在进行新的改变。 LOLKEK，也被称为 GlobeImposter，于2016年首次亮相。在快节奏的勒索软件世界里，事件瞬息万变，而Maze ransomware于 2019年才再次被看见。GlobeImposter标签很巧妙地描述了这种新的勒索软件是如何模仿Globe的。 LOLKEK可以被认为是一种“现成的”勒索软件，其经常会进行迭代更新。尤其是在目标选择和勒索要求方面要求相对较低，如在最近的攻击中，勒索金额通常低于2000美元。相比之下，像Cl0p、LockBit和Royal这样的重量级勒索软件要求的赎金数额令人瞠目结舌。 LOLKEK的主要目标是中小型企业(smb)和个人用户。尽管如此，有时这种勒索软件也会在更复杂、更有计划的金融攻击中发挥作用。以2017年为例，臭名昭著的TA505(也被称为G0092，GOLD TAHOE)集团开始雇用GlobeImposter进行系列行为。 这扩大了他们的网络，提高他们的运作能力，也展示了LOLKEK在更广泛的勒索软件领域的适应性和作用。 本文将带您探索最近的LOLKEK有效载荷，重点介绍关键特性、策略更改以及对IOC指标的观察。我们还将强调一个持续存在的OPSEC错误，该错误不断泄露勒索软件运营商的游戏。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3005/ 消息来源：sentinelone，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Reptile 是一个针对Linux系统的开源内核模块rootki（其可在 GitHub 上获取）。爬虫可隐藏自身及其他恶意软件，主要针对目标为：文件、进程和网络通信等。爬虫的隐藏功能不仅包括它自己的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常只提供隐藏功能的恶意软件不同，Reptile可以提供了一个反向shell，允许威胁参与者轻松控制系统。端口敲门是爬虫所支持的最显著的特性，当打开恶意软件时受感染系统的特定端口会进入到备用状态。威胁者会向系统发送Magic Packet，而接收到的数据包也会作为与C&C服务器建立连接的基础。 该方法类似早期Avast在报告中提到的Syslogk，但主要的区别在于Syslogk是基于另一个Adore-Ng的开源Linux内核rootkit而开发的。但两者间的相似点在于：被Magic Packet 触发之前在受感染的系统中会处于待机状态，且会使用定制的 inySHell (即Rekoobe)作为攻击的后门。 在GitHub上开放源代码后，Reptile一直被用于攻击中。Mandiant最新报告证实一个位于中国的威胁组织在利用Fortinet产品中的零日漏洞持续进行的攻击过程中攻击中使用了爬虫。此外，ExaTrack在分析Mélofée恶意软件的报告中也发现了Reptile rootkit。ExaTrack将此归因于位于该事件时中国的Winnti攻击组织行为。 本文我们将简要分析Reptile的基本结构和功能，并整理出它被用于攻击韩国公司的事件概述。最后，我们将根据恶意软件的安装路径或伪装的目录名，总结与Mélofée恶意软件案例的相似之处。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3004/ 消息来源：AhnLab，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Cado安全实验室的研究人员最近发现了一种针对Redis数据存储公开访问部署的新型恶意软件，该恶意软件被开发者命名为“p2pinfect”，此软件由Rust 语言进行编写的，主要被用来充当僵尸网络代理。Cado研究人员在分析中发现：该软件还包含一个可移植嵌入式文件（PE）以及一个ELF可执行目标文件，这也表明了该软件可向Windows和Linux 进行跨平台兼容。 在发现时间至此文发布之前，Unit42 的研究人员还发表了一篇针对该恶意软件Windows变种的深入分析。他们发现：此次遇到的变体是通过利用CVE-2022-0543(Redis的某些版本中存在一个LUA沙盒逃逸漏洞)来传递的。Cado研究人员见证了一种不同的初始访问媒介，这也将在本文中进行进一步阐述。 P2Pinfect概述: 尝试多次利用Redis进行初始访问 利用Rust进行有效载荷开发，使得分析变得更加棘手 使用多种规避技术来阻碍动态分析 对Redis和SSH服务器进行互联网扫描 以类似蠕虫病毒的方式进行自我复制 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2099/ 消息来源：Cado Security，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。