网络犯罪分子正在宣传一种新的 macOS 恶意软件，他们声称该恶意软件能够从受感染的系统中窃取大量数据。 这款恶意软件名为Banshee Stealer，据信是由俄罗斯黑客开发，在网络犯罪论坛上以每月 3000 美元的价格出售。Elastic Security Labs 的研究人员于周四发布了对该恶意软件的分析，称这是“高昂的月费”。 该恶意软件旨在收集目标用户的 macOS 密码、有关系统硬件和软件的信息、密钥、网络浏览器的数据以及加密货币钱包。 Banshee Stealer 可以攻击 9 种不同的浏览器，包括 Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Opera、OperaGX 和 Safari。它通常可以窃取 cookie、登录信息和浏览历史记录，但只能从 Safari 收集 cookie。Elastic 研究人员还发现，该恶意软件的目标是大约 100 个浏览器插件的数据。 该恶意软件还试图从受感染的系统中窃取加密货币钱包，包括 Exodus、Electrum、Coinomi、Guarda、Wasabi Wallet、Atomic 和 Ledger。 一旦在本地收集数据，就会将其添加到存档文件中，然后加密并发送到攻击者的服务器。 在启动数据窃取程序之前，Banshee Stealer 会检查系统是否有被安全研究人员分析的迹象（它会检查系统是否正在调试或在虚拟机中运行），并确保受感染系统的语言未设置为俄语。 攻击者可以使用多种方法在 macOS 设备上部署恶意软件，包括将其伪装成托管在第三方网站上的免费内容、通过恶意广告、毒害开发者项目、开源软件包存储库、木马应用程序、漏洞和水坑攻击以及供应链攻击。 其中一些传递方法更容易实施，但需要高度的社会工程，而另一些方法则更加隐蔽，但需要更多的复杂性和资源。 Elastic Security Labs 在其博客文章中总结道：“尽管该恶意软件具有潜在的危险能力，但它缺乏复杂的混淆技术，并且存在调试信息，这使得分析师更容易剖析和理解它。” 随后补充道：“虽然 Banshee Stealer 的设计并不太复杂，但它对 macOS 系统的关注以及它收集的数据广度使其成为一个重大威胁，需要网络安全界的关注。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LQNNgyhhjG4aYqcXFGHTZQ 封面来源于网络，如有侵权请联系删除

一项新的 ValleyRAT 攻击活动已针对中国用户展开。FortiGuard 实验室发现，该攻击活动影响 Windows 用户，使攻击者能够控制受感染的机器。 ValleyRAT 恶意软件及其目标 ValleyRAT 主要针对电子商务、金融、销售和管理类企业。该恶意软件使用多个阶段和技术来监视和控制受害者，并使用任意和特定的插件来造成额外损害。 攻击链 FortiGuard 观察到的活动使用重型 shellcode 直接在内存中执行其组件，从而大大减少了其对受害者系统占用的空间。 ValleyRAT 采取的策略包括使用合法应用程序（包括 Microsoft Office）的图标，使恶意文件看起来无害。文件名也被设计成看起来像财务文件。 一旦执行，ValleyRAT 就会创建一个名为 TEST 的互斥锁，以确保单个实例运行。然后，它会更改特定的注册表项，以存储其命令和控制 (C2) 服务器的 IP 和端口，从而允许其与攻击者的服务器进行通信。 恶意软件添加的计划任务 ValleyRAT会终止包含以下可执行文件名的安全软件进程： 360Sd.exe 360leakfixer.exe safesvr.exe MultiTip.exe ZhuDongFangYu.exe kscan.exe kwsprotect64.exe kxescore.exe HipsMain.exe HipsDaemon.exe QMDL.exe QMPersonalCenter.exe QQPCPatch.exe QQPCRealTimeSpeedup.exe QQPCRTP.exe QQRepair.exe 修改注册表，禁用安全软件的自动启动。 该恶意软件进一步尝试通过确定其是否在虚拟机（VM）中运行来逃避检测，如果是，它就会终止其进程。 高级逃避和执行技巧 ValleyRAT 采用休眠混淆技术，即修改恶意代码所在分配内存的权限，以避免被内存扫描器检测到。它还使用 XOR 操作对 shellcode 进行编码，增加了一层复杂性，进一步挑战了基于模式的安全签名。 此外，该恶意软件依靠反射式 DLL 加载直接从内存运行其组件。初始化后，该恶意软件使用 AES-256 算法解密 shellcode，然后通过睡眠混淆例程执行此代码。ValleyRAT 还利用 API 哈希来混淆其使用的 API 名称，使检测过程复杂化。 与银狐的联系 ValleyRAT 是 Silver Fox 威胁组织的后门程序，功能齐全，能够远程控制受感染的工作站。它可以截取屏幕截图、执行文件并在受害系统上加载其他插件。 研究人员表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。” 该恶意软件监视用户活动和提供额外恶意插件的能力凸显了其对企业安全的重大威胁。 FortiGuard 表示：“该恶意软件涉及分不同阶段加载的多个组件，主要使用 shellcode 直接在内存中执行，从而大大减少其在系统中的文件痕迹。” “一旦恶意软件在系统中站稳脚跟，它就会支持能够监视受害者活动并提供任意插件的命令，以进一步实现攻击者的意图。” 为了应对此类威胁，组织应保持防病毒和入侵防御系统 (IPS) 签名为最新版本，并确保其员工接受安全意识培训。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/dm8CeomgXslU9ILAg_rwfg 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员发现了 Gafgyt 僵尸网络的一个新变种，它以 SSH 密码较弱的机器为目标，最终利用其 GPU 计算能力在被攻击的实例上挖掘加密货币。 Aqua Security 研究员 Assaf Morag 在周三的一份分析报告中说：“这表明，物联网僵尸网络正在瞄准运行在云原生环境中的更强大的服务器。” 据了解，Gafgyt（又名 BASHLITE、Lizkebab 和 Torlus）自 2014 年以来一直在野外活跃，它曾利用弱凭据或默认凭据获得路由器、摄像头和数字视频录像机（DVR）等设备的控制权。它还能利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。 受感染的设备被集中到一个僵尸网络中，能够对感兴趣的目标发起分布式拒绝服务（DDoS）攻击。有证据表明，Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营，该组织也被追踪为 Kek Security 和 FreakOut。 像 Gafgyt 这样的物联网僵尸网络在不断进化，增加新的功能，2021 年检测到的变种使用 TOR 网络来掩盖恶意活动，并从泄露的 Mirai 源代码中借用了一些模块。值得注意的是，Gafgyt 的源代码于 2015 年初在网上泄露，进一步助长了其新版本和适应版本的出现。 最新的攻击链涉及使用弱密码暴力破解 SSH 服务器，部署下一阶段有效载荷，以便使用 “systemd-net ”进行加密货币挖矿攻击，但在这一过程中，会先终止在受感染主机上运行的其他竞争性恶意软件。 它还会执行一个蠕虫模块，这是一个基于 Go 的 SSH 扫描器，名为 ld-musl-x86，负责扫描互联网上安全性较差的服务器，并将恶意软件传播到其他系统，从而有效扩大僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和 AWS、Azure 和 Hadoop 等云环境相关的凭证。 Morag 指出：”目前使用的加密货币挖矿工具是 XMRig，它是一款专门用于挖掘门罗币的软件。在这次攻击中，威胁行为者试图利用 opencl 和 cuda 标志来运行挖矿软件，以便更充分地利用 GPU 和 Nvidia GPU 的计算能力。” 结合攻击者主要通过挖矿而非发起DDoS攻击来实现其目的，进一步支持了研究人员的观点，即这种新变种与以往的不同，它专注于攻击那些具有强大计算能力的云原生环境。 通过查询 Shodan 收集到的数据显示，目前有超过 3000 万台可公开访问的 SSH 服务器，因此用户必须采取措施保护实例的安全，防止暴力破解攻击和潜在的利用。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408781.html 封面来源于网络，如有侵权请联系删除

据观察，一个与 RansomHub 勒索软件有关联的网络犯罪团伙使用了一种新工具，该工具能够终止受攻击主机上的端点检测和响应（EDR）软件，并加入了 AuKill（又名 AvNeutralizer）和 Terminator 等其他类似程序。 网络安全公司Sophos将这种工具命名为EDRKillShifter，该公司是在今年5月的一次勒索软件攻击事件中注意到该工具的。 安全研究员 Andreas Klopsch 称EDRKillShifter 工具是一个‘加载器’可执行文件，一种合法驱动程序的交付机制，容易被滥用（也被称为‘自带易受攻击驱动程序’或 BYOVD 工具）。根据威胁行为者的要求，它可以提供各种不同的驱动程序有效载荷。 RansomHub看起来似乎是 Knight 勒索软件的改良版，最早被发现于2024年2月。它利用已知的安全漏洞获取初始访问权限，并将Atera和Splashtop等合法远程桌面软件丢弃以实现持久访问。 上个月，微软披露， Scattered Spider 电子犯罪集团 已将 RansomHub 和 Qilin 等勒索软件纳入其武器库。 该可执行文件通过命令行和密码字符串输入执行，解密名为 BIN 的嵌入式资源并在内存中执行。BIN 资源解包并运行基于 Go 的最终混淆有效载荷，然后利用不同的易受攻击的合法驱动程序来获得更高的权限并解除 EDR 软件。 二进制文件的语言属性是俄语，这表明恶意软件作者是在具有俄语本地化设置的计算机上编译可执行文件的。Klopsch 表示，所有解压缩的 EDR 杀手都在 .data 部分嵌入了一个易受攻击的驱动程序。 为减轻威胁，研究人员建议保持系统处于最新状态，并启用 EDR 软件中的篡改保护功能，对 Windows 安全角色采取严格措施。 Klopsch 认为：只有当攻击者升级了他们所控制的权限，或者当他们可以获得管理员权限时，这种攻击才有可能发生。因此，将用户和管理员权限加以区分有助于防止攻击事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408777.html 封面来源于网络，如有侵权请联系删除

安全内参8月15日消息，法国当局周二表示，在巴黎奥运会期间，共报告了超过140起网络攻击，但均未对比赛造成干扰。 在奥运会筹备期间和整个比赛期间，法国的网络安全机构一直保持高度警戒，防范可能破坏组委会、票务或交通的攻击。 从7月26日到8月11日，法国政府网络安全机构ANSSI记录了119起影响较低的“安全事件”，以及22起“恶意行为者”成功攻击受害者信息系统的事件。 该机构表示，这些攻击主要针对政府实体以及体育、交通和电信基础设施。 根据ANSSI的数据，三分之一的事件是宕机事件，其中一半是通过拒绝服务攻击压垮服务器造成的。其他网络事件则与既遂或未遂系统入侵和数据泄露等相关。 ANSSI表示：“在此期间发生的所有网络事件具有共同特点，它们的影响一般较低。” 据ANSSI称，巴黎奥运会举办地大皇宫及法国其他约40家博物馆在8月初遭遇勒索软件攻击，但这并没有影响到奥运会比赛的信息系统。 勒索软件利用安全漏洞加密并阻止计算机系统运行，要求用户或组织支付赎金以解锁系统。 在因疫情推迟于2021年举办的东京奥运会上，组织者报告了4.5亿次此类操作，是2012年伦敦奥运会期间的两倍。 在巴黎奥运会之前，巴黎奥运会技术和信息系统主管Marie-Rose Bruno曾表示，他预计此次奥运会的网络攻击次数将是东京奥运会的“8到10倍”。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/cNXD14jLGIIPhmorNbKtPg 封面来源于网络，如有侵权请联系删除

除了药物兴奋剂以外，职业自行车比赛近年来作弊手段不断“创新”，从赛道上的钉子陷阱，到隐蔽在轮毂中的电机等“电子兴奋剂”。如今，随着自行车变速系统的电子化演变，黑客开始将注意力转向高端自行车的热门组件——无线变速器。 本周，在美国的Usenix安全研讨会上，加州大学圣地亚哥分校和东北大学的研究人员展示了一种黑客技术，利用几百美元的硬件设备，便可攻击禧玛诺（Shimano）的无线变速系统。这种攻击可以在10米之外伪造信号，使目标自行车在关键时刻意外换挡，甚至完全锁定变速器，强迫车手以错误的挡位骑行。 如果用户没有及时下载最新的固件补丁，可能会在赛道上被远程控制，改变比赛结果甚至引发伤亡事故。 无线变速的“软肋” 现代高端自行车越来越多地使用电子组件，如功率计、无线悬架控制和无线变速器。尤其在职业比赛中，电子变速器已经成为主流。这种变速器通过数字信号控制，通常比机械变速器更为可靠。然而，随着有线电子变速器逐渐过渡到蓝牙无线版本，安全隐患也随之而来。研究人员公布的黑客攻击手法简单来说，就是通过拦截目标车手的变速信号，并在比赛关键时刻重放这些信号，从而控制目标自行车的变速。研究人员仅通过一个300美元的软件无线电、天线和笔记本电脑，就成功实施了重放攻击。更简单的干扰攻击甚至无需拦截信号，只需通过广播干扰信号，便可使多个车手的变速器失效。 Shimano Di2无线变速组件和研究人员的黑客工具包 通过攻击无线变速器来操纵比赛结果可能听起来像科幻小说，但对职业比赛的影响却是显而易见的。东北大学的研究人员Aanjhan Ranganathan指出，黑客可以通过这种方法让一个车手受益，同时干扰其他车手的变速器：“你可以干扰所有人，唯独让你自己不受影响”。这种技术的可怕之处在于，它不仅能影响个别车手，甚至可影响整支车队。 研究人员指出，在诸如环法自行车赛这样的比赛中，如果黑客能够控制对手的变速器，便能轻松扰乱其节奏，甚至引发致命的失误。例如，在爬坡阶段将车手的挡位从低档切换到高档，或是在冲刺时强行切换挡位，都足以让对手输掉比赛，甚至发生摔车事故。 加州大学圣地亚哥分校的计算机科学助理教授Earlence Fernandes指出，这种攻击方式属于“无痕作弊”。在竞争激烈的自行车运动中，黑客攻击无疑是一种全新的威胁。 禧玛诺的应对措施 面对这一安全漏洞，禧玛诺迅速作出了反应。公司在与研究团队密切合作后，开发了新的固件更新，以增强其Di2无线变速系统的安全性。然而，值得注意的是，这一补丁直到8月底才会全面提供给用户。在此之前，职业车队已经收到该补丁，但普通用户仍需等待更新的正式发布。 禧玛诺表示，此次固件更新旨在改进无线信号传输的安全性，尽管公司并未详细说明具体修复了哪些漏洞。用户可以通过Shimano的E-TUBE Cyclist智能手机应用程序自行更新后拨固件，但前拨是否包含在更新范围内尚不明确。公司表示，关于更新过程的更多信息将在稍后发布。 自行车网络化的“安全债” 职业自行车比赛近年来饱受多种作弊手段的冲击，但通过攻击对手的无线变速器来操纵比赛无疑是最新威胁。研究人员指出，这不仅是自行车行业面临的挑战，也是整个科技行业需要警惕的趋势。随着越来越多的设备实现联网化、无线化，从车库门到汽车，再到自行车，它们都变得容易受到类似的重放攻击和干扰攻击。 正如Ranganathan所言，“制造商在产品中加入无线功能时，往往会对现实世界中的控制系统产生影响，而这种影响可能带来物理伤害。” 这一研究为整个自行车行业敲响了警钟，提醒人们在追求技术进步的同时，必须更加重视安全问题。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Kr_M1AzDoZ5jPKe1t-GU-w 封面来源于网络，如有侵权请联系删除

当CrowdStrike正忙于应付“全球最大规模蓝屏事件”的客户集体诉讼时，微软公司本周发布的一个BitLocker安全补丁再次触发“蓝屏”事件。不过这次“蓝屏”不是“蓝屏死机”，而是重启到Bitlocker的蓝色恢复界面。对于很多刚刚经历CrowdStrike事件惊魂未定的CIO和CISO们来说，微软官方“蓝屏补丁”事件不仅仅是伤口上撒盐，更可能是彻底摧毁对IT服务商信心的“最后一根稻草”。 “官方蓝屏补丁” 微软的Windows驱动器加密工具BitLocker在两次“蓝屏事件”中都扮演了重要角色。在CrowdStrike的安全更新导致的全球最大规模IT系统崩溃事件中，使用BitLocker加密驱动器的用户在恢复系统时需要手动输入BitLocker密钥，这大大拖延了系统恢复的时间。在本周微软的“蓝屏事件”中，BitLocker的角色从“反串”晋升到了主角。事件起因是微软在修复BitLocker安全漏洞的过程中，由于固件兼容性问题导致部分设备进入BitLocker恢复模式（下图），导致大量用户必须输入恢复密钥才能正常启动系统。这迫使微软撤回该补丁并建议用户实施BitLocker安全漏洞的手动缓解措施。 微软安全更新导致设备重启到Bitlocker恢复界面 BitLocker是Windows的一个安全功能，通过加密存储驱动器来防止数据泄露或被盗。通常情况下，只有在用户更换硬件或TPM（受信任平台模块）更新等事件后，系统才会进入BitLocker恢复模式。而此次微软补丁导致触发恢复模式，显然属于程序bug而非“功能特色”，并迅速引起了业界广泛关注。 该“蓝屏补丁”影响多个Windows客户端和服务器平台，涵盖Windows 10、Windows 11以及多版本的Windows Server，具体如下： 客户端系统：Windows 11 23H2、22H2、21H2；Windows 10 22H2、21H2。 服务器系统：Windows Server 2022、2019、2016、2012 R2、2012、2008 R2、2008 此前已发生多次安全更新事故 类似的的安全更新问题在2022年8月的KB5012170更新中也曾出现，当时Secure Boot DBX（禁止签名数据库）的更新触发了0x800f0922错误，导致部分设备进入BitLocker恢复模式。而在2023年4月，微软再次修复了另一个导致BitLocker加密错误的问题，该问题在一些管理环境中被标记为报告错误，但并未影响驱动器加密本身。在本月的补丁星期二，微软还修复了7月Windows安全更新引发的BitLocker恢复问题。然而，微软并未透露导致该问题的根本原因，也未详细说明是如何修复的。 不可撤销的缓解措施 由于补丁与设备固件不兼容导致部分设备进入BitLocker恢复模式，微软最终决定撤回该修复补丁（CVE-2024-38058）。但由于该漏洞极为严重（攻击者可能通过物理访问目标设备绕过BitLocker设备加密功能，从而访问加密数据），微软在8月的安全更新中正式禁用了该补丁，并建议用户通过KB5025885公告中的手动缓解措施保护系统和数据。 微软给出的手动缓解措施包括一个四阶段的操作流程，需要重启设备多次。需要格外留神的是，应用这些缓解措施后，启用了安全启动（Secure Boot）的设备将无法移除该缓解措施，即使重新格式化磁盘也无济于事。 微软提醒用户，在实施这些缓解措施之前，应充分测试并了解所有可能的影响，因为一旦实施，撤销将变得非常困难。 安全补丁不可随意“敏捷” 虽然微软总是建议用户安装最新更新，但此次“蓝屏事件”再次提醒我们，安全补丁的兼容性和系统恢复问题仍是未来安全更新中的一大挑战。对于企业和用户来说，最重要的是及时了解和跟进安全更新，同时在部署补丁和实施缓解措施时，不可盲目置信（即便是主流厂商），必须进行充分的测试和评估，以确保系统稳定性与安全性的平衡。 此外，CrowdStrike和微软相继曝出“蓝屏事件”，表明在网络安全产品的QA和测试环节生搬硬套敏捷方法往往会产生严重的安全隐患。 “这就是所谓的敏捷。微软的产品曾经很成功，因为他们有更多的QA而不是开发。然后，他们在开发Bing时改变了QA方法，并认为找到了最佳实践（将Bing看作成功的衡量标准）”一位安全人士对该事件进行了点评，“将开发和测试结合起来的敏捷方法，以“组合工程”的名义（首先在Bing团队中使用）大肆宣传。在Bing，创建程序化测试的任务被甩给开发人员，而不是专门的测试人员。QA仍然存在并且仍然很重要，但（安全产品）需要执行的是最终用户风格的“真实世界”测试，而不仅仅是程序化自动化测试。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/1ZbeJHWKLhKQRb_7LpRAKw 封面来源于网络，如有侵权请联系删除

微软的AI医疗聊天机器人服务中存在严重的安全漏洞。漏洞允许未经授权的访问者获取用户和客户的个人信息。 漏洞中其中一个被评定为“严重”等级，攻击者可能利用漏洞在Azure Health Bot服务的网络环境中进行横向移动。 目前，微软已对发现的漏洞采取了缓解措施，无需客户再做行动。 AI聊天机器人被利用 Azure Health Bot Service是一个云平台，医疗保健组织能够构建和部署AI驱动的虚拟助手，以降低成本并提高效率。在检查该服务的安全问题时，Tenable研究人员研究了“数据连接”这一功能上，机器人能够从外部数据源获取信息，这可能包括患者医疗信息等敏感数据。 这个数据连接功能是为了使得服务的后端系统能够向第三方应用程序API接口发送请求。 在测试这些连接以查看它们是否可以与服务内部的端点交互时，研究人员发现，发出重定向响应使他们能够绕过这些端点上的一些安全措施，例如过滤机制。 在此过程中发现了两个权限提升漏洞。 漏洞一：严重权限提升漏洞 Tenable研究人员详述的第一个漏洞是通过服务器端请求伪造的方式被利用，通用漏洞披露CVE编号为CVE-2024-38109。随后，研究人员配置了这个外部主机，使其对请求以301重定向响应，目标是IMDS（内部元数据服务）。 在接收到有效的元数据响应后，研究人员能够获得一个访问令牌，这个令牌为他们提供了一个微软内部的订阅ID。最后发现访问的资源中包含了数百个属于其他客户的资源。 这些发现在2024年6月17日报告给了微软，并且在一周内，修复措施被引入到受影响的环境中。到7月2日，修复措施已经在全球范围内推出。 修复这个漏洞的方法是完全拒绝数据连接端点的重定向状态码，这消除了这个攻击向量。 微软将这个漏洞评为严重等级，确认它将提供跨租户访问。它已被包含在微软2024年8月的Patch Tuesday出版物中。 没有证据表明这个问题被恶意行为者利用过。 漏洞二：重要权限提升漏洞 在Microsoft修复第一个漏洞后，Tenable研究人员在Azure Health Bot Service的数据连接功能中发现了另一个权限升级漏洞。研究人员使用类似的服务器端请求伪造技术来利用FHIR端点向量中包含的漏洞，该向量规定了访问电子病历资源和对资源执行操作的格式。 这个漏洞比IMDS漏洞的严重程度要低，因为它不提供跨租户访问权限。 研究人员在7月9日向微软报告了这个漏洞，微软在7月12日提供了修复措施。这个漏洞被评定为重要级别。但目前没有证据表明这个问题被恶意行为者所利用。   转自e安全，原文链接：https://mp.weixin.qq.com/s/p2FvrlVK1_wx1deUA_xFJA 封面来源于网络，如有侵权请联系删除

上周，唐纳德·特朗普的总统竞选团队公开宣布，他们成为伊朗黑客的攻击目标。最初，这则消息似乎表明，这个中东国家特别关注这位在其看来对其政权采取最强硬态度的候选人。 后来，情况变得更加明显，伊朗也将民主党纳入了其网络行动的视线。谷歌网络安全分析师已经证实，针对这两个竞选团队的攻击行动是为伊朗服务的同一群黑客。 谷歌威胁分析小组周三发布了一份关于 APT42 的新报告，报告称该组织试图破坏民主党和共和党的总统竞选活动以及以色列的军事、政府和外交组织。 2024 年 2 月至 7 月下旬期间，APT42 重点攻击以色列和美国 5 月和 6 月，据信为伊朗革命卫队 (IRGC) 服务的 APT42 黑客组织针对了与特朗普和乔·拜登有关的大约十几个人，包括现任和前任政府官员以及与这两个政治竞选活动有关的个人。谷歌称，APT42 继续针对共和党和民主党竞选官员。 “在收集信息方面，他们攻击的是各个方面。”谷歌旗下网络安全公司 Mandiant 的威胁情报主管John Hultquist表示，该公司与谷歌的威胁分析小组密切合作。 Hultquist指出，鉴于 APT42 在 2020 年也曾针对拜登和特朗普的竞选活动，同时针对美国两党竞选机构的网络间谍活动并不令人意外。 他说，APT42 的目标并不一定表明它偏爱某一位候选人，而是因为两位候选人——特朗普和现任副总统卡马拉·哈里斯——对伊朗政府都具有重要意义。“他们对两位候选人都感兴趣，因为他们是规划美国中东政策未来的人。”Hultquist说。 然而，只有一个竞选团队的敏感文件似乎不仅被伊朗黑客成功攻破，还被泄露给媒体。《政治报》、《华盛顿邮报》和《纽约时报》都表示，他们收到了据称从特朗普竞选团队窃取的文件，其中一些文件来自一位名叫“罗伯特”的消息人士。 这些文件是否确实被 APT42 窃取尚待证实。微软上周指出，APT42（其称之为 Mint Sandstorm）于 6 月利用另一位“前高级顾问”被黑客入侵的电子邮件账户，攻击了“总统竞选活动的一名高级官员”。谷歌在其新报告中还指出，APT42“成功获取了一位知名政治顾问的个人 Gmail 账户。” 虽然两家公司均未证实哪些人或哪些群体可能遭伊朗组织成功攻击，但特朗普顾问罗杰·斯通透露，微软和美国联邦调查局先后警告他，他的微软和 Gmail 账户均遭黑客入侵。 谷歌表示，它已经阻止了“大量”试图登录这两个竞选团队官员账户的攻击，并向受影响的个人发出了警告，并与执法部门合作调查这些入侵企图。据《华盛顿邮报》报道，美国联邦调查局于 6 月启动了对网络钓鱼攻击的调查。 Mandiant 公司的 Hultquist 表示， APT42 长期以来一直是中东地区最活跃的伊朗黑客组织之一，或者说是最活跃的。但 Hultquist 指出，该组织过去“仅限于间谍活动”。 攻击者利用其对受害者网络的访问权，在过去的案件中远远超出了间谍活动的范围，发动破坏性网络攻击，或在所谓的“影响行动”中入侵和泄露电子邮件，特朗普竞选活动可能就是如此。 “这提醒我们，任何为间谍活动而获得的访问权都可以用于其他目的。”Hultquist 说。 在其报告中，谷歌列出了 APT42 的典型网络钓鱼操作，包括将受害者引导至虚假的 Google Meet 页面，试图诱骗他们输入用户名和密码，诱骗他们进入 Telegram、WhatsApp 或 Signal 等消息平台上的对话，然后黑客向受害者发送旨在拦截其凭据的网络钓鱼工具包，以及双因素身份验证代码或帐户恢复代码。 APT42 于 2024 年 4 月发起网络钓鱼活动 除了总统竞选活动之外，谷歌表示，APT42 还积极利用网络钓鱼网站攻击以色列组织，这些网站冒充以色列和与以色列有关的组织，例如华盛顿近东政策研究所、布鲁金斯学会、犹太机构和阿拉丁计划。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8BInj1e3uW1vCvOFa9aSQw 封面来源于网络，如有侵权请联系删除

根据一份新报告，2024 年上半年，勒索软件攻击的受害者被勒索了超过 4.59 亿美元，凸显日益严重的危机，这场危机已经影响了从大公司到地方政府和医院的所有组织。 区块链研究公司 Chainalysis 追踪了向勒索软件攻击者控制的钱包进行的加密货币支付，发现从这些犯罪分子那里赚取的金额增加了 1000 万美元，而去年的数字为 4.491 亿美元。 研究人员表示，支付的速度使世界“坚定地走上了有记录以来最糟糕的一年”。其他几项统计数据表明，勒索软件问题只会越来越严重。除了创纪录的支付赎金7500万美元外——其他区块链分析师也证实了这一点——支付的中位数也有所增长。 对于最具威胁性的群体——今年收到最高金额超过 100 万美元的群体——赎金中位数从 2023 年第一周的 198,939 美元增加到 2024 年 6 月中旬的 150 万美元。 研究人员说：“这种模式可能表明，勒索软件新变种针对大型企业和关键基础设施提供商，由于这些目标的雄厚财力和系统重要性，这些企业和关键基础设施提供商更有可能支付巨额赎金。” 这些数字与包括 Sophos 在内的其他网络安全公司追踪的数据相符，该公司最近释放的一份报告显示，2024 年支付赎金的 49 个州和地方政府的勒索中位数为 220 万美元。 跟踪支付还显示，勒索软件攻击变得越来越频繁，今年记录的攻击至少增加了 10%。 但是，尽管攻击频率和支付规模有所增加，但支付赎金的受害者数量似乎减少了。 研究人员表示，与去年相比，“勒索软件支付事件”的数量下降了27%，这表明更多的受害者可能准备得更充分，并选择自己从攻击中恢复过来。 事件响应公司Kiva Consulting的总法律顾问安德鲁·戴维斯（Andrew Davis）表示，他们受雇协助的攻击事件中有65%在没有支付赎金的情况下得到解决。 戴维斯补充说，取缔 ALPHV/BlackCat 和 LockBit 勒索软件组织的执法行动已经分裂了网络犯罪格局，迫使附属公司迁移到效果较差的其他勒索软件团伙。 “无论是这些知名攻击者行动的前附属机构，还是勒索行业新贵，大量新的勒索软件组织都加入了这场争夺战，展示了新的方法和技术来实施他们的攻击，扩大他们的初始访问手段和横向移动方法。”他说。 虽然政府官员最近几周质疑勒索软件基础设施拆除质疑有效性，但一些研究人员表示，这些数据说明了这些操作的重要性。执法部门的联合行动“对于遏制勒索软件犯罪至关重要”。 2023 年支付了创纪录的 10亿美元的赎金，部分来自几起备受瞩目的攻击，包括 Clop 利用流行的文件传输工具和 ALPHV/BlackCat 对凯撒酒店物业的攻击。 Chainalysis 通常会每年修改赎金支付数字，因为他们发现犯罪分子使用的加密钱包更多。 加密货币盗窃 勒索软件并不是 Chainalysis 警告的唯一网络安全威胁——研究人员表示，加密货币抢劫案也在增加。2024 年上半年，网络犯罪分子从此类攻击中净赚了近 16 亿美元，高于 2023 年同期的 8.57 亿美元。 对加密货币平台的攻击数量基本保持稳定，但与去年相比，黑客在每次攻击中都窃取了更多的钱。与去年上半年的590万美元相比，今年盗窃案的平均价值增长到1060万美元。 Chainalysis将这在很大程度上归因于加密货币（尤其是比特币）的价值增加，与去年相比，去年市场在几个主要平台关闭后崩溃。 今年最大的攻击是针对DMM，被盗3.05亿美元被盗。 根据 Chainalysis 的说法，提供去中心化金融 （DeFi） 服务的公司提高了安全性，将大多数黑客拒之门外，迫使他们“回归本源，并在四年后再次瞄准中心化交易所，这些交易所通常不交易比特币”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vdOE6L3MFUbO9EqENqtV2g 封面来源于网络，如有侵权请联系删除