Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。 更重要的是，对在网络攻击中回收的攻击基础设施进行更仔细的检查后，研究人员发现了一种名为CollectionRAT的新威胁软件。 Talos指出，尽管这些组件多年来被充分记录，但Lazarus仍然依赖于相同的间谍技术，这一事实突显了威胁行为者对其行动的信心。 QuiteRAT据说是MagicRAT的后继产品，MagicRAT本身是TigerRAT的后续产品，而CollectionRAT似乎与EarlyRAT(又名Jupiter)有重叠之处。EarlyRAT是一种用PureBasic编写的植入物，具有在终端上运行命令的能力。 安全研究人员Asheer Malhotra、Vitor Ventura和Jungsoo An表示:“QuiteRAT具有与Lazarus组织更知名恶意软件MagicRAT相同的许多功能，但其文件大小要小得多。这两个植入都是基于Qt框架构建的，并有任意命令执行之类的功能。” Qt框架的使用被认为是攻击者有意为之，这使分析更具挑战性，因为它“增加了恶意软件代码的复杂性”。 该活动于2023年初检测到，涉及CVE-2022-47966的利用。在该漏洞的概念验证(Poc)在线出现仅五天之后，黑客就直接从恶意URL部署QuiteRAT二进制文件了。 研究人员表示：“QuiteRAT显然是MagicRAT的进化版本。MagicRAT是一个更大、更笨重的恶意软件家族，平均大小约为18MB，而QuiteRAT的实现要小得多，平均大小约为4到5MB。” 两者之间的另一个关键区别是QuiteRAT中缺乏内置的持久化机制，因此必须从服务器发出命令，以确保软件在受损主机上继续运行。 这一发现也与WithSecure在今年2月早些时候发现的另一个行为相重叠，在那次黑客活动中，未打补丁的Zimbra设备中的安全漏洞被用来入侵受害者系统，并最终安装QuiteRAT。 思科Talos表示，攻击者“在攻击的初始访问阶段越来越依赖于开源工具和框架，而不是在入侵后阶段使用。” 这包括基于GoLang的开源DeimosC2框架，用于获得持久访问，CollectionRAT主要用于收集元数据、运行任意命令、管理受感染系统上的文件，并提供额外的有效负载。 目前还不清楚CollectionRAT是如何传播的，但有证据表明，托管在同一基础设施上的PuTTY Link (Plink)实用程序的木马副本被用来建立到系统的远程隧道并为恶意软件提供服务。 研究人员表示:“Lazarus组织之前依赖于使用定制的植入物，如MagicRAT、VSingle、Dtrack和YamaBot，作为在成功入侵的系统上建立持久初始访问的手段。” “然后，这些植入物被用来部署各种开源或两用工具，在受感染的企业网络中执行大量恶意的键盘操作活动。” 这一事态发展表明，Lazarus正在不断改变策略，扩大其恶意武器库，同时将新披露的软件漏洞武器化，造成毁灭性的影响。     消息来源：thehakernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 最近的Discord.io漏洞表明，游戏社区成为了越来越有吸引力的目标，因为他们经常使用高性能的机器，并且有资源可以窃取。DomainTools的研究人员写道，大多数恶意软件的目标是Windows系统，并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。 利用Discord.io漏洞，恶意行为者可以挖掘被入侵的账户和社区列表，以确定可能的感染目标。 研究人员警告说:“只需点击一下，目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序，但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。” 如果发生这种情况，用户不应该浪费时间试图用好的软件来清除有害的软件。 DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候，解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路（nuke and pave）。” 为什么擦除硬盘是最好的方法 “Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器，从而删除所有数据和软件，然后重新安装一个干净版本的Windows。但事情并不总是那么简单，因为网络骗子正在寻找隐藏他们肮脏代码的新方法。 恶意软件通常会深入到系统中，躲避监控，还可能包括防御防篡改措施。 尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒，但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上，你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’，结果系统仍然表现出不可否认的严重的问题。” 如今，用户必须牢记，即使是重新格式化驱动器和重新安装系统也变得更加复杂。 DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。” 在这种情况下，研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等，不同类型决定了清洁工具的不同。 你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项，”研究人员警告说：“许多杀毒软件供应商只使用一个工具，并未提供一个全面的方法来发现和清除所有类型的恶意软件。” 此外，用户应该扫描其系统上的所有数据卷（volumes）。但即便如此，目前无论使用什么工具都无法得到保证。例如，即使杀毒产品宣称计算机是干净的，最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。 研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上，ADW发现并标记了三个注册表项，但没有删除。” 恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋，难以修复。例如，搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。 其他恶意软件可能隐藏在浏览器扩展中，这些扩展可能被防病毒软件扫描，也可能不被扫描，并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。 为什么是游戏玩家?为什么是Discord? 攻击者已经进行了成本效益分析，而游戏玩家在他们的清单上名列前茅。 首先，游戏电脑通常比非游戏电脑更强大，而且往往拥有一流的网络连接。如果攻击需要付出同等精力，网络犯罪分子将瞄准更快的系统来安装他们的加密矿工，控制中心或其他货币化选项。 游戏电脑通常不受保护，因为防病毒软件和其他措施可能会“减慢系统速度”。 Discord是一款面向游戏玩家的即时通讯服务，免费且广受欢迎，拥有超过1.5亿活跃用户。该软件的通信是加密的，因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。 Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件，Discord API也是恶意命令和控制网络功能的沃土，这些功能隐藏在Discord的tls保护的网络流量中。 一种流行的攻击方式是“新游戏”，当队友或其他人要求尝试新软件时，这实际上可能是恶意软件。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 周三，伦敦一家陪审团发现黑客组织Lapsus$的一名青少年成员入侵了Uber和金融科技公司Revolut，然后勒索了最畅销游戏《侠盗猎车手》的开发者。 18岁的Arion Kurtaj于2022年9月开始独自进行网络犯罪，先是针对Revolut，两天后又针对Uber。 然后，他入侵了Rockstar Games，并威胁要在Slack上向所有Rockstar员工发布计划中的《侠盗猎车手》续集的源代码。 他无法接受法律审判，所以南华克刑事法庭的陪审团被要求查明他是否犯下了这些行为，而不是作出有罪或无罪的判决。 Kurtaj此前曾在2021年入侵并勒索英国最大的宽带提供商—英国电信集团和移动运营商EE，并在2022年2月入侵并勒索芯片制造商英伟达公司。 陪审团周三裁定，Kurtaj犯下了12项罪名，包括3项勒索、2项欺诈和6项违反《计算机滥用法》的指控。 Kurtaj的案件与一名17岁少年一起进行审理，由于法律原因，这名少年的名字无法透露。这名17岁的少年被指控参与了对英国电信和英伟达的黑客攻击，但陪审团否决了其一项勒索罪和一项与英国电信有关的计算机滥用法罪的成立。 这名17岁的少年此前承认了一项违反《计算机滥用法》的指控，以及一项与英国电信黑客攻击有关的欺诈指控。 在警方于2022年逮捕他几周后，他还承认了一项与黑客入侵伦敦市警察局云存储有关的《计算机滥用法》罪行。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国政府和国防承包商Belcan将其超级管理员证书向公众开放，一个失误就可能导致严重的供应链攻击。 Belcan是一家政府、国防和航空航天网络承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道，该公司在2022年的收入为9.5亿美元，是40多个美国联邦机构信赖的战略合作伙伴。 5月15日，Cybernews研究小组发现了一个开放的Kibana实例，其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺，但攻击者可能会利用开放的测试结果的漏洞，以及用bcrypt散列的管理凭据。 在开放的Kibana实例中泄露的Belcan数据包含以下内容: 管理员电子邮件 管理员密码(使用bcrypt散列，成本设置为12) 管理员用户名 管理角色(他们被分配到什么组织) 内部网络地址 内部基础设施主机名和IP地址 内部基础设施漏洞和采取的补救/不补救措施。 Bcrypt是一种安全的散列算法，它增加了一层防范攻击者的安全防护。但是，哈希仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。 在这种情况下，攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱，容易受到词汇攻击，则可能在几天内被破解。 攻击者还可以查看该公司修复已发现漏洞的进度。数据显示，并不是所有漏洞都得到了解决。 Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭证，从而使针对组织的潜在攻击变得更加容易和快速。” 最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。 Cybernews向Belcan通报了发现的漏洞，在漏洞发布之前，该公司已经实施了安全措施来解决这个问题。截稿前，Belcan没有发表任何额外的声明。 整个供应链都面临风险 Belcan的泄密给更广泛的组织带来了重大风险。 攻击者可以绕过身份验证机制，访问开放的凭据和其他信息，从而极大地促进组织的破坏。 然后，黑客可以访问敏感的客户信息，包括航空航天、国防公司和政府机构信息。 “这种攻击通常是APT组织在情报收集行动中实施的，目的是窃取专有信息，以使他们能够复制先进产品的设计和程序、获取经济利益等。”研究人员写道。 这些信息对于攻击者来说特别有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至可以破坏政府机构。 Belcan最敏感的客户位于美国，因此，一次成功的攻击将特别关系到美国公民的安全。 泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常具有访问敏感信息的特权，攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。 数据显示，泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。“应该不惜一切代价保护对这些工具的访问。”研究人员警告道。 他们还注意到，泄露数据的条目表明，该公司发现了一些漏洞，但没有修补。 一个成功的供应链攻击的突出案例是发生在2020年的SolarWinds攻击。在这次事件中，俄罗斯政府支持的攻击者渗透到公司的软件开发环境中，并在软件更新中植入恶意代码。这些被攻击的更新随后被发送给数千名客户，其中包括政府机构和大公司。 其他臭名昭著的攻击包括NotPetya、Asus Live Update和Kaseya VSA供应链勒索软件攻击。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面，它伪装成一款名为“OfficeNote”的办公生产力应用程序，将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中，”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说，“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现，被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现，以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境，因此，恶意的.jar文件无法在macOS的安装中执行，因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制，并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示，在整个2023年7月，他们在VirusTotal上检测到多次该工件的提交，证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金，每月199美元或299美元/3个月。有趣的是，与Windows版本的XLoader(每月59美元和每月129美元)相比，这个价格相对昂贵。” 一旦执行，OfficeNote就会抛出一条错误消息，提示“无法打开，因为找不到原始项目”。实际上，它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而，Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外，恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明，其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密，这些机密可能被使用或出售给其他威胁行为者，以进一步危害用户。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 近日，2000余个思杰(Citrix) NetScaler实例被一个后门所破坏。该后门将最近披露的一个武器化后的关键安全漏洞，作为黑客大规模攻击的一部分。 NCC集团在周二发布的一份报告中表示:“攻击者似乎以自动的方式利用了CVE-2023-3519漏洞，在易受攻击的NetScaler上放置了web shell，以获得持久访问权限。” “攻击者可以用这个webshell执行任意命令，即使NetScaler打了补丁和/或重新启动也无济于事。” CVE-2023-3519是指影响NetScaler ADC和网关服务器的关键代码注入漏洞，可能导致未经身份验证的远程代码执行。思杰(Citrix)公司于上个月打了补丁。 一周前，Shadowserver基金会表示，他们发现了近7000个易受攻击、未打补丁的NetScaler ADC和网关实例。“该漏洞正在被滥用，在易受攻击的服务器上投放PHP web shell以进行远程访问。” NCC集团的后续分析显示，1,828台NetScaler服务器仍然存在后门，其中大约1,248台已经针对该漏洞打了补丁。 该公司表示:“这表明，虽然大多数管理员都意识到了这个漏洞，并且已经将他们的NetScaler打了补丁，安装为不受攻击的版本，但他们并没有(适当地)检查安装是否成功。” 总的来说，该公司在1952个不同的NetScaler设备中发现了多达2,491个web shell。大多数被泄露的实例位于德国、法国、瑞士、日本、意大利、西班牙、荷兰、爱尔兰、瑞典和奥地利。 除了欧洲之外，另一个值得注意的方面是，虽然加拿大、俄罗斯和美国上个月底有数千个易受攻击的NetScaler服务器，但没有在其中任何一个服务器上发现web shell。 截至2023年7月21日，在31,127个易受CVE-2023-3519影响的NetScaler实例中，有6.3%受到了大规模攻击。 Mandiant还发布了一个开源工具，帮助组织扫描他们的思杰设备，寻找与CVE-2023-3519相关的开发后活动的证据。   消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在过去的六个月里，利用Cloudflare R2托管网络钓鱼页面的攻击者增加了61倍。 Netskope安全研究员Jan Michael说:“大多数网络钓鱼活动的目标是微软的登录凭证，尽管也有一些页面针对Adobe、Dropbox和其他云应用程序。” Cloudflare R2类似于Amazon Web Service S3、Google Cloud Storage和Azure Blob Storage，是一种面向云的数据存储服务。 与此同时，恶意软件下载的云应用总数已增至167个，其中微软OneDrive、Squarespace、GitHub、SharePoint和Weebly占据了前五名。 Netskope发现网络钓鱼活动不仅滥用Cloudflare R2来分发静态网络钓鱼页面，而且还利用该公司的Turnstile产品(CAPTCHA替代品)，将此类页面放置在反机器人屏障后面以逃避检测。由于CAPTCHA测试失效，这样做可以防止像urlscan这样的在线扫描程序到达实际的网络钓鱼站点。作为规避检测的附加层，恶意站点被设计为仅在满足某些条件时加载内容。 “恶意网站要求引用网站在URL中的散列符号后面包含时间戳，以显示实际的网络钓鱼页面，”Michael说。“另一方面，引用网站需要将网络钓鱼网站作为参数传递给它。” 如果没有传递URL参数到引用站点，访问者将被重定向到www.google[.]com。 一个月前，这家网络安全公司披露了一场网络钓鱼活动的细节。黑客在AWS Amplify上托管虚假登录页面，窃取用户的银行和微软365凭证，还通过Telegram的Bot API窃取银行卡支付细节。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 上周五，印度总统德鲁帕迪·穆穆批准了《数字个人数据保护法案》(DPDPB)，该法案上周在议会两院一致通过，标志着印度在保护个人信息方面迈出了重要一步。 印度政府表示:“该法案规定了数字个人数据的处理方式，既承认个人保护其个人数据的权利，也承认为合法目的以及与之相关或附带的事项处理此类个人数据的必要性。” 该立法框架适用于印度境内外在线上和离线(以及随后的数字化)收集的个人数据，要求“在个人同意的情况下，仅为合法目的”处理信息。 征求用户明确同意的要求应附有或在此之前附有通知，告知建议处理个人资料的目的。“个人资料”是指“有关个人的任何资料，而该等资料可识别该等资料或与该等资料有关。” 然而，在“某些合法用途”下，平台可以处理自愿提供的个人用户数据。例如，选择通过电子邮件发送账单，则不需要征得同意。它还放弃了对某些数据受托人(如初创公司)的合规要求。 此外，如果要处理18岁以下儿童或有合法监护人的残疾人的个人信息，就必须得到其父母或监护人的明确同意。 政府指出:“该法案不允许对儿童的健康有害的处理，也不允许涉及对儿童的跟踪、行为监控或定向广告。” 《数据保护法案》规定建立了一个数据保护委员会(DPB)，由政府任命的成员组成，负责审查投诉，调查数据泄露，并根据事件的严重性、持续时间和“重复性”征收罚款。 滥用或未能保护个人数字数据，以及未能通知DPB的黑客行为，将面临高达25亿卢比(3010万美元)的罚款。委员会的决定可以在60天内上诉到电信纠纷解决和上诉法庭进行审查。 与之前的法案草案相比，现在处理个人数据的公司可以将数据转移到任何其他国家进行处理，除非中央政府明确禁止此类转移。以前，跨境数据传输只允许在一组特定的国家进行。 尽管DPB缺乏自主权，但大部分焦点都集中在对豁免可能导致数据收集，处理和保留超出必要范围的担忧上，从而可能促进大规模监视和政府主导的隐私侵犯。 另一个同样令人担忧的问题是，为了公众的利益，政府有能力限制“在任何计算机资源中产生、传输、接收、存储或托管的任何信息”的访问，导致“对不同意见的无限制审查”。 互联网自由基金会(Internet Freedom Foundation)在一份声明中表示:“以目前的形式，DPDPB, 2023，没有充分保障隐私权，不能颁布。它未能解决许多数据保护问题，而是建立了一个促进国家和私人行为者数据处理活动的制度。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 两名安全研究人员针对网络罪犯建立了一个蜜罐，对网络攻击进行了三年的追踪，得到了超过2万次的会话。他们描述了黑客的5个主要类别。 蜜罐揭示了黑客如何安装恶意软件、挖掘加密货币、滥用服务器进行DDoS攻击以及实施欺诈活动。 根据GoSecure发布的报告，两名研究人员、一名工程师和一名犯罪数据科学家收集了超过1.9亿次事件、100小时的视频片段和470个攻击者使用的文件，所有这些都来自20,000个远程桌面协议(RDP)连接捕获。以上种种都是在三年观察期内发生的。 RDP是网络罪犯(包括勒索软件组织)使用的关键攻击媒介。 为了研究网络攻击，研究人员创建了一个开源的RDP拦截工具。这个名为PyRDP的工具具有“无与伦比的屏幕、键盘、鼠标、剪贴板和文件收集功能”。 他们利用收集到的数据将机会主义攻击者分成不同的组。描述不同类型的攻击者可以让我们集中注意，了解最流行的操作方式和更复杂的威胁。 “报告展示了RDP的巨大能力，不仅有利于研究，也有利于执法部门和蓝队的作业。执法部门可以合法地拦截勒索软件组织使用的RDP环境，并在记录会话中收集情报，以供调查使用。”研究人员写道。 另一方面，网络安全防御团队可以使用妥协指标(表明潜在安全漏洞或恶意活动的证据)来进一步保护他们的组织。蜜罐不仅提供了对各种攻击者的间谍技术的看法，也可能放慢他们的脚步，吓唬他们改变策略。这将影响对其行为的成本效益分析，从而使每个人都受益。 研究人员承诺:“在接下来的几个月里，我们将在攻击者的武器博客系列文章中详细介绍不同黑客使用的工具。” 为了描述五种类型的攻击者，他们使用了流行游戏《龙与地下城》中的类别: 骑兵：探索所有计算机文件夹、检查网络和主机性能特征，并通过单击或程序/脚本来运行侦察。游骑兵不采取其他有意义的行动。研究人员写道:“我们的假设是，他们正在评估他们所攻击的系统，以便攻击者的另一个配置文件稍后返回运行。” 盗贼：将获得的RDP通道货币化。在控制计算机之后，他们更改凭据并执行不同的活动来实施访问权。为了获得一些有价值的东西，盗贼们使用诸如traffmonetizer(代理软件)、货币化浏览器(参与付费冲浪计划)、加密矿工，Android模拟器(移动欺诈)等工具。 野蛮人：使用大量的工具来暴力入侵更多的计算机。对他们来说，一个被破坏的系统是破坏其他系统的工具。它们处理IP地址、用户名和密码的列表。 巫师：这类攻击者关心他们的操作安全。巫师使用RDP访问作为门户，连接到以类似方式受损的另一台计算机。他们跳过被入侵的主机来隐藏自己的身份。“为了做到这一点，他们会小心翼翼地生活在系统中，展示了高水平的技能。监控和洞悉这些攻击者的行动对于威胁情报收集至关重要。这使得防御者和研究人员能够深入到受损的基础设施中。” 游吟诗人：缺乏明显的黑客技能并不能阻止那些想成为黑客的人。游吟诗人利用受损系统来完成一些基本的任务，比如通过简单的谷歌搜索寻找病毒或观看色情内容。 “证据显示，他们可能从破坏系统的人那里购买了RDP访问权限，也就是初始访问代理(IABs)。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 迪士尼可能成为第二家打击密码共享的公司。Netflix从今年年初就开始这么做了，而且相当成功。 迪士尼首席执行官鲍勃·伊格尔在周三的财报电话会议上表示，该公司正在“积极探索解决账户共享问题的方法”。 艾格表示，迪士尼“将在今年晚些时候开始用额外的条款和分享政策更新我们的订阅协议”，并将在2024年“推出货币化的策略”。 业内专家表示，这只意味着迪士尼对流媒体平台Disney+和其他服务上的密码共享进行打击。Netflix已经对用户向家庭以外的人共享自己的账户行为收取额外费用。 令人惊讶的是，许多用户被Netflix威胁取消他们的会员资格，此举似乎奏效了。这家流媒体巨头在美国—其最大的市场，开始实施新规则后，新订阅量大幅增加。 在打击行动之前，Netflix估计全球有超过1亿户家庭存在共享账户行为。 艾格没有透露有多少用户在迪士尼的频道上做同样的事情，但他补充说，这个数字很大。他还表示，该公司拥有监控登录的“技术能力”，并计划在2024年“解决这个问题”。 迪士尼最近的订阅量大幅下降，这或许可以解释为什么该公司要从订阅者那里榨取更多的钱。 迪士尼+的全球订阅量从1.578亿下降到第二季度的1.461亿，下降了1170万，是上个季度纪录降幅的两倍多。美国和加拿大用户减少了30万，用户数量降至4600万。 不过，大部分的订户损失来自印度。迪士尼+ Hotstar在印度的订户减少了24%，从5290万减少到4040万。 由于迪士尼失去了印度重要板球联赛—印度超级联赛(Indian Premier league)的转播权，这一降幅在意料之中。维亚康姆(Viacom)和印度信实工业(Reliance Industries)的合资企业Viacom18以26亿美元的高价获得了这些权利。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文