一个名为Head Mare 的黑客组织涉嫌发动网络攻击，攻击对象主要是俄罗斯和白俄罗斯目标。 卡巴斯基在周一对该组织的策略和工具的分析中表示：“Head Mare 使用更为先进的方法来获取初始访问权限。例如，攻击者利用了 WinRAR 中相对较新的CVE-2023-38831漏洞，该漏洞允许攻击者通过特制的存档在系统上执行任意代码。这种方法使该组织能够更有效地传递和伪装恶意负载。” Head Mare 自 2023 年起活跃，是一年前开始的俄乌冲突背景下攻击俄罗斯组织的黑客组织之一。 它还在 X 上存在，并在那里泄露受害者的敏感信息和内部文件。该组织的攻击目标包括政府、交通、能源、制造业和环境部门。 与其他可能以对两国公司造成“最大程度损害”为目标的黑客活动分子不同，Head Mare 还使用 LockBit （Windows版本）和 Babuk （Linux版本）加密受害者的设备，并索要解密赎金。 其工具包还包括PhantomDL 和 PhantomCore，前者是一个基于 Go 的后门，能够提供额外的有效载荷并将感兴趣的文件上传到命令和控制 (C2) 服务器。 PhantomCore（又名 PhantomRAT）是 PhantomDL 的前身，是一种具有类似功能的远程访问木马，允许从 C2 服务器下载文件、将文件从受感染主机上传到 C2 服务器，以及在 cmd.exe 命令行解释器中执行命令。 “攻击者创建名为 MicrosoftUpdateCore 和 MicrosoftUpdateCoree 的计划任务和注册表值，将其活动伪装成与微软软件相关的任务。”卡巴斯基表示，“我们还发现该组织使用的某些 LockBit 样本具有以下名称：OneDrive.exe [和] VLC.exe。这些样本位于 C:\ProgramData 目录中，伪装成合法的 OneDrive 和 VLC 应用程序。” 我们发现，这两种文件都是通过网络钓鱼活动以具有双扩展名的商业文档的形式进行分发的（例如，решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe 或 тз на разработку.pdf.exe）。 其攻击武器库的另一个关键组成部分是Sliver，这是一个开源 C2 框架，以及各种公开可用的工具的集合，例如 rsockstun、ngrok 和 Mimikatz，用于促进发现、横向移动和凭证收集。 入侵最终会根据目标环境部署 LockBit 或 Babuk，然后留下一封勒索信，要求用户付款以换取解密器来解锁文件。 这家俄罗斯网络安全供应商表示：“Head Mare 组织所使用的策略、方法、程序和工具与俄乌冲突背景下针对俄罗斯和白俄罗斯目标进行攻击的其他组织类似。该组织的特点是使用 PhantomDL 和 PhantomCore 等定制恶意软件，以及利用相对较新的漏洞 CVE-2023-38831，在网络钓鱼活动中渗透到受害者的基础设施中。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_8z5DsDXY8XnKHJfxf7fCw 封面来源于网络，如有侵权请联系删除

近日，安全研究人员在航空运输安全系统中发现一个严重漏洞，可允许未经授权人员（例如恐怖分子）绕过机场安检，获得进入飞机驾驶舱的权限。 安全研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）在FlyCASS系统中发现了这一漏洞。FlyCASS是一个由第三方提供的web服务，一些航空公司使用它来管理和操作已知机组成员（KCM）计划和驾驶舱访问安全系统（CASS）。 KCM是美国运输安全管理局（TSA）的一项计划，允许飞行员和空乘人员通过机场安全处的一条特殊通道绕过安检。而CASS则为授权飞行员在搭乘飞机时使用驾驶舱的跳座提供进入飞机驾驶舱的身份验证。 KCM系统由ARINC（柯林斯宇航的子公司）运营，通过在线平台验证航空公司员工的身份。 KCM的流程相当简单，机组人员只需出示（扫描）KCM条形码或输入员工编号，通过TSA的终端笔记本电脑与航空公司的数据库进行交叉核对，验证通过的人员无需安检即可快速进入无菌区。 CASS系统类似KCM，用于验证飞行员是否有资格在通勤或旅行时进入驾驶舱内使用“跳座”（驾驶舱内供其无执飞任务机组人员搭乘航班的临时座位）。 CASS的主要功能是通过访问航空公司员工数据库来验证搭乘航班的飞行员的身份和就业状态，从而确保只有授权机组人员才能够进入驾驶舱并使用跳座。这一系统在“9·11”事件后变得尤为重要，因为它可以有效减少未经授权的人员进入驾驶舱的风险。 研究人员发现，FlyCASS的登录系统存在SQL注入漏洞，攻击者可以利用该漏洞插入恶意SQL语句进行数据库查询，并以航空公司——如航空运输国际（Air Transport International）的管理员身份登录，篡改系统中的员工数据。 令研究人员惊讶的是，在FlyCASS系统中添加航空公司飞行员和乘务员名单无需进一步检查认证，可以将任何人添加为KCM和CASS的授权用户。 研究人员成功添加一个名为“Test TestOnly”的虚构员工账户，并赋予其KCM和CASS的访问权限，实现了“绕过安检并进入商用飞机驾驶舱”（上图）。 “任何具备基本SQL注入知识的人都可以登录该网站，并将任意人员添加到KCM和CASS系统中，从而跳过安检并进入商用飞机的驾驶舱。”卡罗尔说道。 意识到问题的严重性后，研究人员立即展开了漏洞披露流程，并于2024年4月23日联系了美国国土安全部（DHS）。研究人员决定不直接联系FlyCASS网站，因为它似乎由一个人运营，研究人员担心直接披露会引起对方的恐慌。 国土安全部在接到通知后，也认识到这一漏洞的严重性，并确认FlyCASS已于2024年5月7日从KCM/CASS系统中断开。不久之后，FlyCASS上的漏洞被修复。 然而，在进一步协调安全披露的过程中，研究人员遇到了阻力，国土安全部停止回复他们的电子邮件。 此外，TSA的新闻办公室也向研究人员发送了一份声明，否认该漏洞对系统的影响，声称系统的审查过程会阻止未经授权的访问。然而，在研究人员通知TSA之后，TSA悄悄删除了其网站上与其声明相矛盾的信息。 “在我们通知TSA后，他们删除了网站上提到的手动输入员工ID的内容，但并未回应我们的更正。我们已确认TSA的界面仍然允许手动输入员工ID。”卡罗尔说道。 卡罗尔还表示，这一漏洞可能导致更严重的安全漏洞，例如攻击者可以篡改现有的KCM成员档案（例如用户照片和姓名），冒名顶替现有成员从而绕过对新成员的审查过程。 在研究人员发布报告后，另一位名为阿莱桑德罗·奥尔蒂斯的研究人员发现，FlyCASS似乎在2024年2月曾遭受过MedusaLocker勒索软件攻击，Joe Sandbox的分析显示该系统中存在被加密文件和勒索信。 此次曝光的可绕过机场安检的严重漏洞再次提醒我们，即便是用于关键安全保障的系统也可能存在严重安全隐患，需要持续监控和及时修补。 漏洞披露时间线： 2024年4月23日：首次向ARINC和FAA披露 2024年4月24日：随后通过CISA向DHS披露 2024年4月25日：国土安全部CISO确认他们正在制定解决方案 2024年5月7日：国土安全部CISO确认FlyCASS已与KCM/CASS断开连接 2024年5月17日：向国土安全部CISO跟进有关TSA声明的情况（无回复） 2024年6月4日：向国土安全部CISO跟进有关TSA声明的情况（无回复）   转自GoUpSec，原文链接：https://www.goupsec.com/news/17386.html 封面来源于网络，如有侵权请联系删除

德国空中交通管制中心（DFS）遭受黑客攻击。不过，据巴伐利亚广播公司 BR24报道，空中交通管制并未受到干扰。目前尚在调查是否有数据被访问以及是哪些数据。德国交通部、德国信息安全监管机构BSI和联邦宪法保护办公室均已证实此事。 据BR24当地时间9月2日凌晨1：48的报道，德国空中交通管制中心（DFS）遭受黑客攻击。DFS位于美因河畔法兰克福附近的朗根，已对此进行了确认。据发言人表示，“行政IT基础设施，即DFS GmbH的办公室通信”受到了影响。 此前一名空中交通管制发言人向德新社证实，DFS上周发现了此次攻击。受影响的系统是内部办公室通信，这对于组织内部的信息交换至关重要。 飞行安全未受影响 DFS表示，飞行安全得到了充分保障，他们正在努力将影响降到最低。空中交通没有受到影响，运行正常。据空中交通管制中心称，袭击发生在上周。目前尚不清楚是否有数据被访问。 外交部发言人表示，安全部门已经获悉此事。 负责的联邦交通部没有提供关于该事件的进一步信息，而是转交给了外交部。 联邦宪法保护办公室（BfV）证实了这一事件：“我们已经意识到这次攻击并正在处理它，”一位发言人说。 然而，截至目前，还无法提供进一步的信息，甚至无法提供可能的肇事者的信息。 在回应BR24的请求时，联邦信息安全办公室（BSI）表示已获悉DFS发生了IT安全事件，并参与了事件处理。BSI支持受影响的部门，并与其他当局保持密切联系。BSI还强调，飞行安全得到了充分保障，空中交通管制作业任何时候都不会受到限制。BSI发言人表示：“BSI目前未对事件的进一步细节发表评论。” 网络攻击被归因于俄罗斯情报部门 媒体报道，尤其是巴伐利亚广播公司的报道，暗示臭名昭著的黑客组织“APT 28”可能是此次攻击的幕后黑手。根据BR24的信息，“APT 28”组织参与了这次攻击。根据联邦宪法保护办公室（BfV）的说法，这种活动自2004年以来一直在全球范围内活跃，主要涉及网络间谍活动。“它是世界上最活跃、最危险的网络参与者之一。” BfV将“APT 28”归咎于俄罗斯军事情报部门GRU。早在今年5月，联邦政府就强烈谴责了APT 28组织对SPD以及国防、IT和航空公司的网络攻击。这些攻击还针对物流、军备、航空航天、IT服务以及基金会和协会领域的德国公司。 怀疑APT28 此次攻击的幕后黑手并非毫无根据。近年来，该组织在欧洲和北美发动了大量网络攻击，通常带有政治目的。与俄罗斯情报机构GRU的联系表明，此类攻击可能不仅具有犯罪动机，还可能具有地缘政治动机。 对未来的影响 DFS遭受的攻击可能会对德国的网络安全政策产生深远影响。联邦政府过去已经采取措施提高关键基础设施的安全性。这些措施包括加强安全法规和建立新的机构来防御网络攻击。然而，最近的事件可能会给政客们带来更大的压力，迫使他们采取更果断的措施，以防止未来再次发生此类攻击。 预计DFS和其他受影响机构将进一步加强其IT安全措施。这可能包括增加对网络安全的投资、培训员工和实施更先进的防御技术。与国际合作伙伴在网络安全领域的合作也将变得越来越重要，以便能够有效抵御全球威胁。 德国空中交通管制中心遭受网络攻击事件表明，即使是中央集权机构也有可能面临此类威胁。与俄罗斯军事情报部门有联系的APT28组织涉嫌参与其中，凸显了网络攻击的地缘政治层面。在数字攻击日益普遍的世界中，政府和公司必须加大力度保护其IT系统，以确保国家安全和经济稳定。   转自安全内参，原文链接：https://www.secrss.com/articles/69772 封面来源于网络，如有侵权请联系删除

日前，美国俄亥俄州哥伦布市当局对一名网络安全研究员提起了诉讼，指控他非法下载该市在网络攻击中被窃取的数据并与媒体分享。 今年7月，哥伦布市曾遭到 Rhysida 勒索软件组织的攻击，导致公共机构的电子邮件和其他资源的系统中断，虽然该市最早表示没有数据被加密，但 Rhysida 声称窃取了 6.5 TB 的数据，其中 45%（约26万个、 3.1 TB大小的文件）已在8月8日该市拒绝支付赎金后发布。 事后，哥伦布市市长安德鲁·金瑟 （Andrew Ginther） 表示，泄露的数据没有任何价值，而且攻击没有效果，但一位名叫康纳·古德沃尔夫 （Connor Goodwolf） 的网络研究员指责市长并未透露实情，并将部分泄密内容与媒体进行了共享。 8月12日，市长称被窃的数据因为“加密或损坏”而无法使用，公众无需担心，但古德沃尔夫与媒体分享的样本证明泄露的数据并未加密，其中包含警察和罪犯的社会安全号码、家庭暴力案件中的姓名以及其他居民的个人信息。 当局随即对古德沃尔夫提起诉讼，称共享被盗数据是非法行为，而且指责他在暗网以非正常手段与黑客“互动”后才获得这些数据。 诉讼还指称，古德沃尔夫据称计划创建一个网站供人们查看他们的数据是否被泄露，这干扰了警方的调查。 该诉讼旨在对古德沃尔夫发出临时限制令，包括禁止他进一步访问、下载或共享数据，并保留到目前为止下载的所有数据，同时要求他支付超过2.5万美元的处罚金。 据市检察官扎克·克莱因 （Zach Klein） 称，古德沃尔夫仍然被允许就该事件发表评论，该诉讼不是为了压制言论自由，而是防止数据的进一步传播。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410067.html 封面来源于网络，如有侵权请联系删除

近日，澳大利亚网络安全中心（ACSC）就信息窃取恶意软件不断升级的威胁发出警告。警告中提到：这种恶意软件会从受害者的设备中窃取敏感数据，包括登录凭证、财务信息和个人文件等。 越来越多的网络犯罪分子正利用这种信息窃取程序对企业网络进行未经授权的访问，导致企业遭遇勒索软件攻击、数据泄露和经济损失等严重后果。这些数据一旦外流，就会成为暗网市场上的高价商品，网络犯罪分子会将其拍卖给出价最高者。这些被窃取的凭证往往成为更严重攻击的入口，如勒索软件、商业电子邮件泄露和知识产权盗窃。 信息窃取者的能力 信息窃取攻击的生命周期通常分为四个阶段： 1.收购： 网络犯罪分子通过各种渠道获取信息窃取者，包括恶意软件即服务 （MaaS） 平台，这降低了技术不太熟练的犯罪分子的进入门槛。 2.分配： 一旦获得权限，恶意软件就会通过网络钓鱼电子邮件、恶意广告、破解软件和其他欺骗性方法进行分发，通常以用于工作和休闲的个人设备为目标，这种做法在远程工作环境中尤为常见。 3.数据收集： 成功感染后，恶意软件会从受害者的设备中收集敏感信息，重点关注存储在 Web 浏览器中的凭据、身份验证 cookie 和其他关键数据。 4.货币： 最终，被盗数据会统一在暗网市场上出售，通常由初始访问代理购买。这些经纪人专门进入公司网络并将该访问权限转售给其他网络犯罪分子，然后这些网络犯罪分子执行更具破坏性的攻击。 美国可持续发展协会 ACSC 建议企业应采取积极主动的网络安全措施以降低信息窃取者带来的风险的重要性，具体包括： 实施多因素身份验证 (MFA)：在所有关键服务中实施多因素身份验证（MFA），特别是针对特权用户账户。 安全意识培训：定期教育员工有关网络钓鱼、恶意下载的危险以及安全密码管理的重要性。 设备管理：确保所有访问企业网络的设备（包括个人设备）都遵守严格的安全策略。 网络监控：持续监控异常活动，尤其是远程连接和特权账户。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410057.html 封面来源于网络，如有侵权请联系删除

安全内参9月2日消息，澳大利亚最大的健康保险公司Medibank表示，为应对2022年发生的勒索软件事件所带来的影响，预计在未来三年内将总共投入1.26亿澳元（约合人民币6.07亿元）用于升级其IT安全系统。 Medibank在其财年终结声明中表示，截至今年6月的近12个月内，已投入近4000万澳元用于升级其IT系统。首席财务官Mark Rogers在8月22日的财报电话会议上告诉投资者，预计今年的投入金额将与去年持平。 此前遭到个保机构起诉，被指责网安预算过低 此前，澳大利亚信息专员办公室已经将该公司告上法庭，指控其涉嫌数据隐私违规，导致多达970万现有客户和旧客户的个人及敏感健康信息受到损害。 代理信息专员Elizabeth Tydd表示，Medibank“未能根据其规模、资源、所处理的敏感和个人信息的性质与数量，以及数据泄露对个人造成严重损害的风险，采取合理的措施保护其持有的个人信息”。 2022年10月，一个总部位于俄罗斯的网络犯罪集团黑客攻击了Medibank，并在当年12月将5GB副本数据发布在暗网上，声称这是窃取的全部数据。这次黑客攻击影响了970万现有客户和旧客户，其中包括180万居住在澳大利亚的外国人。 今年早些时候，美国、澳大利亚和英国对一名俄罗斯男子实施制裁，称其为此次黑客攻击的幕后主使。这名男子名为Aleksandr Gennadievich Ermakov，可能与已解散的俄罗斯网络勒索团伙REvil有关。 澳大利亚信息专员向澳大利亚法院表示，尽管Medibank在2022年的收入达到71亿澳元，但其网络安全预算却仅为100万澳元。 金监机构要求预留超12亿元费用，用作网安系统升级 国际律师事务所Dentons表示，理论上，根据《隐私法》，澳大利亚联邦法院理论上有权对每次违规行为处以最高222万澳元的民事罚款，这意味着Medibank面临最高21.5万亿澳元的民事罚款。该律师事务所指出：“尽管最终的民事罚款金额不太可能接近这个数字，但这一数字确实反映了案件的严重性。” 2023年6月，澳大利亚的金融监管机构审慎监管局（APRA）在审查中发现Medibank信息安全环境存在缺陷，随后命令这家保险巨头预留2.5亿澳元（约合人民币12亿元）作为额外资本，以加强其信息安全系统。 APRA表示，这一修订后的资本调整要求将保持有效，直到Medibank完成双方同意的整改计划并通过APRA对其风险管理实践的目标技术评估为止。Medibank首席执行官David Koczkar当时表示，公司仍然“强大且资本充足”，并将继续改善系统和流程，以为客户提供更好的安全保障。 Rogers在8月22日的投资者会议上表示，公司预计在2025财年之后仍将面临与数据泄露相关的进一步成本，但这些费用主要与诉讼相关。Medibank还面临来自股东和受影响客户的多起集体诉讼，可能导致大量赔付。 该公司表示，2023-2024财年净收入达到81亿澳元，比上一年增长了4.7%，运营利润约为7亿澳元，增长了7.9%。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/Jrh6z7jWfvIak8TnDRw7rw 封面来源于网络，如有侵权请联系删除

区块链分析公司 Chainalysis周四发布了年中加密犯罪更新报告，并重点关注了与柬埔寨企业集团 Huione Group 有关的在线市场 Huione Guarantee。自 2021 年以来这个在线市场处理了超过 490 亿美元的加密货币交易。 7 月，区块链安全公司 Elliptic透露，该平台是目前工业规模杀猪盘诈骗的关键参与者——充当“所有交易的担保人或托管提供商”。 Chainalysis 在该研究的基础上发现，该平台的规模远超之前的认知。Huione Guarantee 是一个通过提供 Telegram 账号作为联系点来连接买家和卖家的市场。该平台称自己是中立方，不会核实所宣传商品的合法性。 研究人员表示，有数千个 Telegram 群组在 Huione Guarantee 上做广告，其中许多“可能与在该地区运营的犯罪企业有联系”。 “链上分析显示，Huione Pay 在以太坊上很活跃，总流入量超过 19 亿美元，在 TRON 上也很活跃，流入量超过 470 亿美元。”他们还表示，“Huione Guarantee 上的许多商家很少掩饰他们的活动，而是使用不加掩饰的暗语来宣传他们所寻求的服务类型。” Chainalysis 发现了 Huione Pay 与非法或有风险的各方之间数百次转账的例子。他们表示，Huione 曾向研究人员之前与诈骗、被盗资金、受制裁的俄罗斯交易所 Garantex、欺诈商店、儿童性虐待材料、赌场等有关的账户接收和发送资金。 Chainalysis 发现，这些钱包与缅甸知名诈骗团伙以及其他数十家已知参与东南亚非法活动的实体有关联。 他们表示：“这些网络对 Huione Guarantee 的使用表明，该服务促进了诈骗者和欺诈者本身的活动，还促进了他们背后的犯罪网络的活动。” 该平台上的一些帖子提供了面部识别系统和工具，可用于进行杀猪盘诈骗业务或其他庞氏骗局。 Chainalysis 表示，之所以关注 Huione Guarantee，是因为它是众多网络犯罪分子的“枢纽”。 母公司 Huione Group 提供合法服务，但区块链数据一再显示，该公司的子公司深度涉足持续在东南亚运营的杀猪盘诈骗生态系统。 Elliptic 指出，Huione Pay 的董事之一是 Hun To——因长期与海洛因贩运、洗钱、中国有组织犯罪和诈骗团伙有联系而臭名昭著。 网络诈骗不断创新 Chainalysis 的报告还追踪了一系列与网络诈骗有关的其他加密货币趋势，并指出犯罪分子不断发展并适应执法力度。 犯罪集团现在能够在更短的时间内重新生成诈骗工具，并继续维持同时进行的小规模犯罪活动。 Chainalysis 表示，最引人注目的一件事是 2024 年创建的活跃钱包数量，这表明新的骗局激增。 根据 Chainalysis 的数据，约有 43% 的诈骗资金流入了今年开始活跃的钱包，创下了历史新高。第二高的年份是 2022 年，当时 29.9% 的犯罪资金流入了当年开始活跃的钱包。 但与诈骗活动相关的最大钱包之一整合了来自KK Park 的许多骗局的资金——KK Park 是缅甸与泰国边境最臭名昭著的杀猪盘诈骗组织之一。 与 KK Park 有关的钱包于 2022 年首次被发现，截至 2024 年，已有超过 1 亿美元汇入该钱包。Chainalysis 表示，这些资金“可能来自诈骗受害者，也可能来自试图拯救被贩卖家庭成员的家庭支付的赎金”。 “此外，值得注意的是，KK Park 和类似建筑的诈骗行动在调整其链下诈骗存在方面非常活跃，经常从中国服务商处购买成熟的 Facebook、Tinder 和 Match.com 个人资料用于他们的诈骗活动。”他们解释道。 这些诈骗行为所赚取的大部分资金随后通过 Huione Guarantee 等中心化交易所进行洗钱。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/4GwwzPAuHI4G9OtRt_xolw 封面来源于网络，如有侵权请联系删除

微软的网络安全研究人员最近发现，隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。 该组织攻击卫星设备是因为它们对于军事和全球通信等现代设施至关重要。此类攻击的实施者可以通过破坏卫星系统来利用它，从而破坏通信和数据泄露，并影响导航和计时信息。 这种定制恶意软件袭击了美国和阿联酋的卫星、通信、石油或天然气以及政府行业。 技术分析 Peach Sandstorm 冒充“go-http-client”用户代理，对数千个组织发起密码喷洒攻击，主要针对美国和澳大利亚的国防、航天、教育和政府部门。 该组织还通过 LinkedIn 使用虚假的俄罗斯和西方个人资料进行情报收集，以便联系美国人和西欧人并为他们制定商业提案。 经过深度攻击后，他们还使用虚假的 Azure订阅来获取其他 C&C 服务。 微软注意到多个领域都存在此类活动，并且公司直接联系了那些受到影响的客户。 Microsoft Threat Intelligence 发现了两个 Tickler 恶意软件样本，它们由 Peach Sandstorm 于 2024 年 7 月部署。 第一个样本伪装成 PDF，这是一个 64 位 C/C++ PE 文件，使用 PEB 遍历来定位“kernell32.dll”。该样本还收集网络数据并通过 HTTP POST 将其发送到 C2 服务器。 Peach Sandstorm 攻击链（来源 – 微软） Tickler 恶意软件的第二个样本 sold.dll 下载了额外的有效负载，包括用于 DLL 侧加载的合法 Windows 二进制文件（msvcp140.dll、LoggingPlatform.dll、vcruntime140.dll、Microsoft.SharePoint.NativeMessaging.exe）以及能够执行各种命令（如 systeminfo、dir、run、delete、upload、download）的恶意 DLL。 Peach Sandstorm 通过创建具有学生订阅的 Azure 租户（通过新帐户和破坏现有的教育部门帐户）建立了 C2 基础设施。 他们设置了多个 azurewebsites[.]net 域作为 C2 节点，其他伊朗组织（如 Smoke Sandstorm）也采用了这种策略。 Peach Sandstorm事件活动包括： 欧洲防御组织中的横向 SMB 运动。 在一家制药公司遭遇密码泄露后，尝试安装 AnyDesk。 中东卫星运营商通过 Microsoft Teams 上的恶意 ZIP 捕获 AD 快照。 这些技术使 Peach Sandstorm 能够扩大访问权限、保持持久性并在受感染的网络中收集敏感数据。 缓解措施： 重置密码、撤销会话 cookie 并撤消攻击者 MFA 更改。 实施 Azure 安全基准，阻止旧式身份验证并强制执行 MFA。 保护具有最小权限的帐户，使用 Entra Connect Health 进行监控，并使用密码保护。 启用云和实时保护、EDR 阻止模式和防篡改保护。 教育用户有关登录安全性并过渡到无密码身份验证。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/yYyjB8B6JVd_vbC2wfmQeg 封面来源于网络，如有侵权请联系删除

安全内参8月30日消息，马来西亚公共交通运营商国家基建公司（Prasarana Malaysia Bhd）确认，社交媒体上关于其内部系统部分被未经授权访问的网络安全事件的报道属实。 国家基建公司在一份声明中表示，此次事件并未影响其日常运营，公司正与网络安全专家合作，调查并缓解这一情况。 该公司还表示，正在与国家网络安全局（Nacsa）和马来西亚网络安全机构（CyberSecurity Malaysia）协调，以提供全面的应对措施并保护其系统免受任何威胁。 声明称：“我们的重点仍然是迅速解决问题，同时确保我们的服务继续满足公众的需求。我们将继续在适当的时候提供更新。” 这份声明意在回应社交媒体关于其网站可能因勒索软件攻击而导致316GB数据泄露的报道。 8月25日夜间，网络安全平台Falcon Feeds.io在推特上发帖称，一家名为RansomHub的勒索软件组织还威胁将在6到7天内公布国家基建公司的数据。 勒索软件是一种恶意软件，其设计目的是通过加密数据来阻止对计算机系统或文件的访问，直到向攻击者支付赎金为止。 国家基建公司拥有并运营广泛的交通服务，涵盖RapidKL旗下的轻轨、捷运和巴士快速交通系统，以及吉隆坡单轨列车和一支公交车队。   转自安全内参，原文链接：https://www.secrss.com/articles/69702 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，GitHub  teloxide rust 库的一位贡献者发现，GitHub项目中的评论以提供修复程序为幌子，实际在其中植入了Lumma Stealer 恶意软件。 BleepingComputer 进一步审查发现， GitHub 上的各种项目中有数千条类似的评论，这些评论都为用户的提问提供了虚假的修复程序。 以下图为例，该评论告诉用户从 mediafire.com 或通过 bit.ly URL 下载受密码保护的压缩包，然后运行其中的可执行文件。 逆向工程师告诉 BleepingComputer，仅在 3 天时间里就有超过2.9万条推送该恶意软件的评论。 传播Lumma Stealer 恶意软件的评论回复 含有 Lumma Stealer的安装程序 单击该链接会将用户带到一个名为“fix.zip”的文件下载页面，其中包含一些 DLL 文件和一个名为 x86_64-w64-ranlib.exe 的可执行文件。通过在 Any.Run分析发现，这是一个Lumma Stealer 信息窃取恶意软件。 Lumma Stealer 是一种高级信息窃取程序，能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 浏览器中窃取 cookie、凭证、密码、信用卡和浏览历史记录。此外，它还能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。这些数据被收集并发送回给攻击者，攻击者可以使用这些信息进行进一步的攻击或在网络犯罪市场上出售。 虽然 GitHub的工作人员会在检测到这些评论时进行删除，但已经有受害者在Reddit上进行了反馈。 就在最近，Check Point Research 披露了名为Stargazer Goblin 的攻击者进行的类似活动，他们通过在Github上创建3000多个虚假账户传播恶意软件。目前尚不清楚这两起事件是否由同一攻击者所为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409987.html 封面来源于网络，如有侵权请联系删除