据BleepingComputer 5月28日消息，一种新型”浏览器文件压缩包 “钓鱼工具被试验出可滥用ZIP域名，在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口，以诱导用户启动恶意文件。 ZIP域名是本月由谷歌推出的8个新高级域名（TLD）之一，用户可用于托管网站或电子邮件地址，如bleepingcomputer.zip。自该域名名发布以来，人们对它们是否可能给用户带来网络安全风险进行了相当多的讨论。 虽然一些专家认为这种担心被夸大，但主要可能存在的问题是一些网站会自动将以’.zip’结尾的字符串（如setup.zip）变成一个可点击的链接，从而被恶意软件利用进行攻击和传播。 如今，安全研究员mr.d0x开发了一个颇具欺骗性的钓鱼工具包，在与 BleepingComputer 共享的演示中，该工具包可用于在打开 .zip 域时直接在浏览器中嵌入一个伪造的 WinRar 窗口，使用户看起来就像打开了一个 ZIP 压缩包。 这个伪造的窗口效果十分逼真，甚至还包含虚假的安全扫描按钮，点击该按钮后会提示文件已被扫描且未检测到威胁。 虽然该工具包仍然显示浏览器地址栏，但它仍然可能诱使一些用户认为这是一个合法的 WinRar 压缩文件。此外，利用 CSS 和 HTML 可以进一步完善该工具包。 滥用网络钓鱼工具包 mr.d0x 认为，该网络钓鱼工具包可用于凭证盗窃和传播恶意软件。例如用户在伪造的 WinRar 窗口中双击 PDF，则可能会被重定向到另一个页面，要求只有提供账户凭证才能查看文件。 该工具包还可用于通过显示一个 PDF 文件来传播恶意软件，该文件在单击时会下载一个类似名称的 .exe。例如在伪造的存档窗口可能会显示 document.pdf 文件，但在单击时却是下载document.pdf.exe恶意软件。 由于 Windows 默认不显示文件扩展名，用户只会在他们的下载文件夹中看到一个 PDF 文件并可能双击打开，而不会意识到它是一个可执行文件。 特别值得注意的是，Windows在搜索文件时，若没有找到，就会试图在浏览器中打开搜索到的字符串。如果该字符串是一个合法的域名，那么相应的网站将被打开。 显而易见，如果注册一个与普通文件名相同的zip域名，如果用户在Windows中进行搜索，操作系统将自动在浏览器中打开该网站。如果该网站托管了 “浏览器中的文件归档器 “钓鱼工具包，则可以欺骗用户，使其认为WinRar显示了一个真实的的ZIP压缩包。 这项技术说明了ZIP域名如何被滥用以进行网络钓鱼攻击。但再怎么巧妙，只要用户能够增强安全意识，不点击打开任何可疑文件，就能避免此类攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367836.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，CISA 发布警告称上周有一个打补丁的零日漏洞（CVE-2023-2868）被网络攻击者用来入侵 Barracuda电子邮件安全网关（ESG）设备。目前，美国网络安全局已将该漏洞添加到其野外利用的安全漏洞目录中。 Barracuda 已经发布安全补丁 Barracuda 的安全解决方案在全球范围内有很大的市场份额，约 20 多万个实体组织使用，其中包括三星、三菱、卡夫亨氏和达美航空等知名公司。 Barracuda 指出根据调查结果显示，内部已经确定 CVE-2023-2868 漏洞可导致网络攻击者对电子邮件网关设备子集的未经授权访问，Barracuda 已通过周末发布的两个安全补丁修补了有该漏洞的设备。 值得一提的是，CISA 要求联邦民用行政部门机构（FCEB）机构必须按照 BOD 22-01 约束性操作指令的命令修补或缓解（CVE-2023-2868）漏洞。 受漏洞影响的客户应尽快检查其网络是否被破坏 Barracuda 公司表示对受感染的设备调查仅限于其 ESG 产品，并建议受影响的客户尽快审查其环境，以确保攻击者不会访问其网络上的其他它设备，联邦机构必须重视 CISA 的警报，立刻检查其网络是否有入侵迹象。 此外，尽管只需要美国联邦机构来修复添加到 CISA 已知漏洞（KEV）列表中的漏洞，但也强烈建议私营公司优先修复这些漏洞。CISA 强调这些漏洞是恶意网络行为者的常见攻击载体，并对联邦企业构成重大风险。 近期，CISA 在其漏洞列表中增加多个安全漏洞。当地时间周一，CISA 警告联邦机构要保护其环境中的iPhone 和 Mac 免受三个 iOS 和 macOS 零日攻击，其中一个由 Google TAG 和 Amnesty International 安全研究人员报告，并可能在国家支持的间谍软件攻击中被利用。 一周前，CISA 还在其 KEV 目录中增加了一个三星 ASLR 绕过漏洞，该漏洞作为利用链的一部分被网络攻击滥用，在运行Android 11、12 和 13 的三星移动设备上部署间谍软件套件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367823.html 封面来源于网络，如有侵权请联系删除

虽然有所进步，但总的来说，Android设备在安全方面依然毁誉参半。虽然操作系统本身和Google的Pixel多年来一直能够顽强抵御软件漏洞，但Google Play中永无止境的恶意应用程序和一些第三方制造商的脆弱设备已经损害了其形象。 周四，在两份报告称多个系列的Android设备预装了恶意软件，如果用户不采取特殊措施就无法删除这些恶意软件之后，这一形象进一步受到损害。 第一个报告来自安全公司趋势科技。研究人员根据在新加坡举行的黑帽安全会议上发表的演讲，报告说多达50个不同品牌的890万部手机被感染了恶意软件。安全公司Sophos的研究人员首先记录了Guerrilla，他们将这种恶意软件命名为Guerrilla，并在Google允许进入其Play市场的15个恶意应用程序中发现。 Guerrilla打开了一个后门，使受感染的设备定期与一个远程命令和控制服务器通信，以检查是否有任何新的恶意更新供他们安装。这些恶意更新收集了用户的数据，威胁者（趋势科技称之为Lemon Group）可以将这些数据出售给广告商。然后，Guerrilla偷偷地安装侵略性的广告平台，这些平台会耗尽电池储备并降低用户体验。 趋势科技研究人员写道： 虽然我们发现Lemon集团为大数据、营销和广告公司做了很多业务，但主要业务涉及大数据的利用： 分析海量的数据和厂商出货量的相应特征，不同用户在不同时间获得的不同广告内容，以及带有详细软件推送的硬件数据。这使得莱蒙集团能够监测到可以进一步感染其他应用程序的客户，从而在此基础上进一步发展，例如只专注于向某些地区的应用程序用户展示广告。 被感染的手机最集中的国家是美国，其次是墨西哥、印度尼西亚、泰国和俄罗斯。 Guerrilla是一个庞大的平台，有近十种插件，可以劫持用户的WhatsApp会话，发送不需要的信息，从受感染的手机建立反向代理，使用受影响移动设备的网络资源，并将广告注入合法应用程序。 不幸的是，趋势科技没有确定受影响的品牌，公司代表也没有回复询问的电子邮件。 第二份报告是由TechCrunch发布的。它详细介绍了通过亚马逊销售的几款基于Android的电视盒子，这些电视盒都带有恶意软件。典型的产品是T95 Allwinner H616，它被观察到由一个控制服务器管理，该服务器就像Guerrilla的服务器一样，可以安装恶意软件制造者想要的任何应用程序。预装在盒子上的默认恶意软件被称为”点击机器人”。它通过偷偷摸摸地在后台点击广告来获得广告收入。 TechCrunch引用了丹尼尔-米利西奇（Daniel Milisic）的报告，他是一名研究人员，碰巧买了一个受感染的电视盒子。米利西奇的发现被电子前沿基金会的研究员比尔-布丁顿独立证实。 出厂时就带有恶意软件的Android设备并不新鲜，其中大多数受影响的机型都属于入门级别。 在市场上购买Android手机的人应该转向知名品牌，这些品牌通常对其库存有更可靠的质量保证控制。到目前为止，还没有关于高端Android设备预装恶意软件的报告。同样，也没有关于iPhone的此类报告。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7235836187238220344/ 封面来源于网络，如有侵权请联系删除

研究人员称，在亚美尼亚至少有十几名受害者成为Pegasus的目标，这是iPhone间谍软件在军事冲突中的首次使用记录。NSO集团的间谍软件工具以前曾被政府使用，据称它们被用来试图入侵欧盟委员会官员的手机。以至于在2021年，苹果公司开始向它怀疑被黑的iPhone用户发送通知。 尽管NSO集团早早被列入美国国家安全风险黑名单，但它仍在继续开发新的方法来入侵iPhone和其他智能手机。 现在据《卫报》报道，研究人员声称，一名联合国官员，加上记者和人权活动家都遭遇网络入侵。据称，这十几名受害者是被阿塞拜疆政府因其与亚美尼亚的冲突而受到影响的。 黑客攻击发生在2020年10月至2022年12月，似乎与两国在有争议的纳戈尔诺-卡拉巴赫地区的军事冲突有关。 AccessNow以及大赦国际等机构的研究人员表示，亚美尼亚前外长安娜-纳格达良至少被黑27次。据报道，这些黑客及其时间使纳格达连”正处于与纳戈尔诺-卡拉巴赫危机有关的最敏感的对话和谈判中”。 纳格达连告诉研究人员，当时她的手机里有”关于战争期间发展的所有信息，即使手机上有最安全的系统，也不可能做到完全安全，”。 研究报告列出了其他受害者的名字，包括记者卡伦-阿斯拉尼扬（Karlen Aslanyan）和阿斯吉克-贝德维扬（Astghik Bedevyan）。五名受害者选择了匿名，但研究人员说其中一名是联合国代表。 据《卫报》报道，研究人员说黑客攻击是由NSO集团的一个客户完成的。该出版物不能最终确定是哪一个。 NSO集团的一位发言人说，它还没有收到新的报告。然而，该发言人表示，该公司会调查所有关于其间谍软件被滥用的可信报告。 目前还不知道哪些政府或机构正在使用PegASUS间谍软件，尽管美国联邦调查局据称已经拒绝使用该软件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7237104053191361084/ 封面来源于网络，如有侵权请联系删除

欧盟成员国国防部长于5月23日就网络防御达成共识，指出需要在机构体系内避免重复工作，并明确了防御领域优先推进技能发展与自愿协调等事项。 这份共识文件共18页，由欧盟27国防长签署，是对去年11月欧盟委员会和欧盟外交与安全政策高级代表联合发布的欧盟网络防御政策的回应。 该文件分为五部分34条，包括共同行动加强网络防御、保障欧盟防务生态系统安全、投资网络防御能力、通过合作应对共同挑战、结论。 该文件承诺“加大对现代化和互操作性的武装部队、尖端技术、先进网络防御能力的投资，并加强伙伴关系，以应对共同挑战。 ”欧盟成员国在文件中重点提及俄罗斯，称之为欧盟网络安全的主要威胁。不过，欧盟国家尚未对是否需要“遏止网络攻击”、采取哪些主动网络措施达到防御目的等问题达成明确共识。 内部协调 共识文件由欧盟理事会批准。文件强调，与欧盟其他机构、组织和代理机构合作时，如欧盟网络安全局（ENISA）和欧盟应急响应中心（CERT-EU），应避免“不必要的重复工作”。 作为欧盟官方网络安全机构，ENISA最近推出了一项网络安全技能框架。这是一种实用工具，用于确定哪些任务、能力、技能和知识与欧盟网络安全专业人员角色相关。 作为欧盟的网络安全事件响应团队，CERT-EU负责监督欧盟机构和组织的信息通信技术（ICT）安全。目前，欧盟计划提升CERT-EU的能力，加大对其资金投入，要求其协调漏洞披露工作，并为欧盟各机构网络安全框架设定基准。 技能发展 欧盟理事会强调了多种网络教育、培训、演练项目。不过，共识文件只是在接近尾声，谈到网络安全技能缺口时才提到了网络安全技能学院。 今年4月，欧盟委员会推出网络安全技能学院，旨在填补网络安全行业持续存在的技能缺口、发展欧盟的网络安全能力。 与之相反，欧盟理事会强调了“永久结构化合作”项目。这批五年前启动的项目，在本周由欧盟成员国防长审查，以评估欧盟整体能力。这68个项目中有部分进展缓慢，引发关切。 协调防御方法 在欧盟国防生态系统下，欧盟理事会邀请各成员国政府“参考《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS2），制定非法律约束的自愿性建议，加强国防领域的网络安全。” NIS2为那些对社会运转不可或缺或起到重要作用的实体规定了具体义务。 NIS2也是欧盟最新网络安全法《网络弹性法案》的基线。一个月前，瑞典担任欧盟理事会主席国，提议修改《网络弹性法案》，允许各成员国政府针对NIS2下视为必需或重要实体，向它们使用的ICT产品提出额外的安全要求。 行业支持 欧盟理事会还强调，需要“扩大欧洲网络安全产业规模，以欧洲网络安全能力中心（ECCC）为关键支撑，保障安全机制运行”。 成立一年来，ECCC两周前才刚刚在布加勒斯特设立办公室，人员配备仍然严重不足。此外，ECCC执行主任人选尚未落定，欧盟委员会和罗马尼亚在该问题上存在长期争议。     转自 安全内参，原文链接：https://www.secrss.com/articles/55020 封面来源于网络，如有侵权请联系删除

近日，SuperVPN 暴露了高达 133 GB 的数据，其中包括毫无戒心的用户的个人详细信息，例如 IP 地址。 早在 2022 年 5 月，SuperVPN 这一免费 VPN 服务提供商就曾泄露客户数据。 在最近的一次网络安全事件中，安全研究员 Jeremiah Fowler 发现了一个与流行的免费 VPN 服务相关的非密码保护数据库中的重大数据泄露。 暴露的数据库包含惊人的 360,308,817 条记录，总计 133 GB。这些记录包括范围广泛的敏感信息，包括用户电子邮件地址、原始 IP 地址、地理位置数据和服务器使用记录。 此外，该漏洞还泄露了密钥、唯一应用程序用户 ID 号和 UUID 号，可用于识别更多有用信息。 在数据库中找到的其他信息包括电话或设备型号、操作系统、互联网连接类型和 VPN 应用程序版本。此外，退款请求和付费帐户详细信息也存在于违规行为中。   泄露数据的类型（VPNmentor） 虽然 SuperVPN 声称它不存储用户日志，但泄露的数据表明情况并非如此，这与公司的政策相矛盾。这也表明“几乎每一个主要的免费 VPN 服务都是一个荣耀的数据农场。” 随着人们对在线隐私和安全的日益关注，近年来对 VPN 服务的需求猛增。因此，市场上可供用户使用的 VPN 应用程序数量显着增加。 然而，产品数量激增导致 VPN 应用程序比例惊人，它们不可靠且无法提供预期的隐私和安全级别。这会导致适得其反的用户体验，因为缺乏足够的安全协议会使他们的信息面临因数据泄露而泄露的风险。 根据 VPNmentor 的报告，暴露的数据库中的大部分记录都与 SuperVPN 相关联，SuperVPN 是一款免费的 VPN 应用程序，可在苹果和谷歌应用程序商店中使用。 此外，研究人员注意到列出了两个名为 SuperVPN 的应用程序，每个都归功于不同的开发人员。青岛乐游互动网络科技有限公司是 SuperVPN for iOS、iPad 和 macOS 的开发商，而 SuperSoft Tech 开发了第二个同名应用程序。 值得注意的是，这并不是 SuperVPN 第一次因泄露其毫无戒心的用户的个人详细信息而受到指责。事实上，正如 Hackread.com 在 2022 年 5 月报道的那样，SuperVPN 是泄露超过 2100 万用户详细信息的免费 VPN 服务列表之一。其他泄露客户数据的免费 VPN 服务包括 GeckoVPN 和 ChatVPN。该数据库总共包含 10GB 的数据，这些数据在 Telegram 上泄露。 在vpnMentor 发布的报告中，Fowler 注意到 SuperVPN 的客户支持电子邮件与 StormVPN、Luna VPN、RocketVPN 和 GhostVPN 相关联。此外，在数据库中观察到对这些 VPN 提供商中的每一个的引用。 泄露数据的类型（VPNmentor） 不可靠的 VPN 应用程序的激增可归因于寻求利用日益增长的隐私和安全需求的利润驱动的开发人员。 VPN 行业已经变得非常有利可图，全球数百万用户正在寻求可靠的解决方案来保护他们的在线状态。在这种环境下，一些开发人员将金钱收益置于用户安全之上，专注于快速且廉价的 VPN 应用程序开发、营销和分发。 因此，对于一家公司来说，生产多个名称不同且用户体验略有不同的 VPN 应用程序并非不可能，因为这将使其能够在用户身上撒下更广泛的网络，以寻找合适的 VPN 提供商。 选择免费 VPN 服务时，必须谨慎行事并考虑某些表明潜在风险的危险信号。这些包括： 1、不明确的数据收集和使用政策 确认 VPN 服务不会记录您的互联网活动，以避免数据被出售给广告商或第三方的风险。 2、缺乏透明度 请注意 VPN 提供商的官方网站上没有“关于我们”部分，因为这可能表明缺少有关谁处理您数据的信息。 3、DNS 泄漏保护 确保 VPN 服务提供 DNS 泄漏保护，以防止您的互联网服务提供商看到您的在线活动。 4、弱加密 避免使用提供弱于 128 位或 256 位 AES 加密的 VPN，因为这会增加您的数据被泄露的风险。 5、负面评论 阅读用户评论并咨询信誉良好的评论网站，以在选择 VPN 服务之前评估其他用户的体验和顾虑。 VPN 应用程序的激增为寻求在线活动隐私和安全的用户带来了机遇和挑战。虽然市场上提供了范围广泛的可靠 VPN 解决方案，但越来越多的不可靠应用程序需要谨慎和明智的决策。 通过了解导致VPN 应用程序过多的因素，识别与其使用相关的风险，并实施降低这些风险的措施，用户可以做出更明智的选择来保护他们的在线隐私和安全。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/PGdWdBFMRtEr25iWC9EA0A 封面来源于网络，如有侵权请联系删除

据报道，斯堪的纳维亚航空公司今年第二次被亲俄罗斯的黑客组织 “匿名苏丹 “攻破，导致SAS网站和其航空公司的应用程序瘫痪数小时。 美国东部时间周三早上6:30左右，SAS的客户开始在Twitter上抱怨无法进入该航空公司的网站。 大约在同一时间，匿名苏丹黑客团伙将这条信息置顶在他们加密的Telegram频道。 随后，该组织提出3500美元的赎金来停止攻击。 该组织告诉SAS，他们有一个小时的时间与他们在Telegram上的匿名苏丹机器人进行谈判，否则他们可能会遭到一整天的连环攻击，以及泄露一些用户信息等。 在攻击期间，SAS在推特上对客户说，该航空公司的官方丹麦版网站仍在运行，用户可以登录使用。 令人哭笑不得的是，随后匿名苏丹组织发帖道，“谢谢你给我们你的另一个网站，让我们去破坏”。 根据SAS公司的网站，丹麦、挪威和瑞典的旗舰航空公司通常拥有每天800多个定期航班，飞往世界各地的130多个目的地。 今年2月，匿名苏丹黑客组织声称对该航空公司的攻击是针对瑞典的情人节攻击的一部分，使SAS网站瘫痪了几个小时，并泄露了敏感的乘客数据。 情人节的攻击还包括几个瑞典媒体机构。 该组织声称，攻击瑞典公司是为了报复一位知名的瑞典/丹麦政治家在1月份在斯德哥尔摩举行的支持瑞典加入北约的抗议活动中焚烧古兰经的行为。 最后可以确认，SAS网站和应用程序在整个周三的不同时段都处于离线状态，直到下午晚些时候仍处于离线状态。 匿名苏丹组织将持续存在 这个以苏丹为基地的黑客组织在今年1月首次出现，除了一些民族活动以外，似乎主要以宗教原因为目标。 众所周知，匿名苏丹组织与其他与俄罗斯有关的组织密切合作，如KillNet和一个新兴的黑客组织，被称为UserSec。 这三个团伙通常使用分布式拒绝服务（DDoS）攻击来攻击受害者，这些攻击通常会用流量请求淹没网站的服务器，导致网络过载并关闭。 除了在瑞典的攻击，最近该团伙还加入了针对北约和欧盟成员国的KillNet活动。 上个月，匿名者苏丹组织对以色列的关键基础设施发起了持续攻击。 在短短的一天内，以色列的四十多个组织遭到了网络攻击，包括以色列总理本雅明-内塔尼亚胡的个人网站和以色列臭名昭著的秘密间谍机构摩萨德。       转自 Freebuf，原文链接：https://www.freebuf.com/news/367508.html 封面来源于网络，如有侵权请联系删除

最近，汽车消费电子巨头 Voxx Electronics成为臭名昭著的勒索软件组织BlackCat的受害者，该团伙于5月24日在暗网上正式公开了此次攻击的详细信息。 BlackCat 在单独的 Voxx 泄漏页面上列出了一长串从公司窃取的数据类型，包括银行和财务记录、内部源数据及Voxx 客户和合作伙伴的机密文件，并发布了一个随机数据样本。 泄露的 Voxx 数据样本 BlackCat要求 Voxx在72小时内支付赎金，否则，他们不仅将公开出售这些数据，还会将这起攻击事件告知给 Voxx 的所有客户，并附带机密文件的下载地址。 BlackCat还透露他们之所以这么做，是因为最初 Voxx拒绝与他们合作，并挑衅地说道“拒绝合作将被视为完全同意将客户和合作伙伴的数据公开到公共领域，并将其用于犯罪目的。” Voxx 已不是近来BlackCat的唯一受害者，5月22日，该组织声称入侵了国际会计和咨询公司Mazar Group，并从中窃取了超过 700 GB 的敏感信息，包括客户协议和财务记录。今年2月，他们袭击了美国的多个实体，包括一个由十几家医院组成的医疗保健网络，尽管此前他们声称会避免针对医疗保健行业的勒索攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367505.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，GitLab 发布了 16.0.1 版紧急安全更新，以解决被追踪为 CVE-2023-2825 的严重性（CVSS v3.1 评分：10.0）路径遍历漏洞。 GitLab 是一个基于网络的 Git 存储库，主要面向需要远程管理代码的开发团队，目前共拥有约 3000 万注册用户和 100 万付费客户。 一位名叫 pwnie 的安全研究员发现 CVE-2023-2825 漏洞，随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个问题。据悉，该漏洞影响 GitLab社区版（CE）和企业版（EE）的 16.0.0 版本，其它更早的版本几乎都不受影响。 CVE-2023-2825 漏洞详情 CVE-2023-2825 漏洞源于路径遍历问题，当一个附件存在于至少五个组内嵌套的公共项目中时，未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。 以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时，GitLab 没有披露很多细节，但一再强调用户使用最新安全更新的重要性。 GitLab 在安全公告中表示，强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。（当没有提到产品的具体部署类型（总括、源代码、舵手图等）时，意味着所有类型都受到影响。） 值得一提的是，CVE-2023-2825 漏洞只能在特定条件下才会触发，即当公共项目中有一个附件嵌套在至少五个组中时，好在这并不是所有 GitHub 项目遵循的结构。 尽管如此，GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本，以降低安全风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367499.html 封面来源于网络，如有侵权请联系删除

近日，伊朗黑客组织Tortoiseshell盯上了以色列航运、物流和金融服务公司，至少有8家公司的相关网站遭遇了水坑攻击。 网络安全公司ClearSky称，此次攻击是由一个名叫Tortoiseshell的伊朗威胁组织发起的，该组织也被称为Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。 ClearSky在周二发布的一份技术报告中提到：这些受到感染的网站是通过脚本收集初步用户信息，大多数受影响的网站已经被清除了恶意代码。 据悉，该黑客组织从2018年7月已经开始频繁活动，早期的攻击目标是沙特阿拉伯的IT提供商。他们还为美国退伍军人建立了虚假的招聘网站，以诱使他们下载远程访问木马。 这种攻击方法也被称为战略网站攻击，其工作原理是感染已知的一群用户或特定行业内的用户经常访问的网站，从而传播恶意软件。 2022年8月，一个名为UNC3890的新兴伊朗组织在一家合法的以色列航运公司的登录页面上设置了一个“水坑”，将登录用户的初步数据传输到攻击者控制的域。 根据ClearSky的最新入侵记录显示，注入网站的恶意JavaScript也以类似的方式运行，收集有关系统的信息并将其发送到远程服务器。 此外，JavaScript代码还会进一步确认用户的语言偏好，ClearSky说这有利于攻击者使用用户日常使用的语言来设置对应的攻击策略，更有效的达成目的。 除此之外，这些攻击还利用了一个名为jquery-stack的域，可实现在线指挥与控制(C2)，通过模拟合法的jQuery JavaScript框架来避开雷达。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367502.html 封面来源于网络，如有侵权请联系删除