联邦检察官周四宣布，一名涉嫌为朝鲜军事情报机构实施网络犯罪的男子因密谋入侵美国医疗机构、美国国家航空航天局、军事基地和其他国际实体而被起诉。 Rim Jong Hyok被堪萨斯州堪萨斯城大陪审团起诉。他被指控利用洗钱者套现非法收益，然后用这些钱购买计算机服务器，并资助针对全球国防、技术和政府实体的更多网络攻击。 官员们表示，美国医院和其他医疗机构遭受的黑客攻击扰乱了患者的治疗。他被指控攻击了美国 11 个州的 17 个实体，其中包括 NASA 和军事基地以及韩国国防和能源公司。 起诉书称，黑客入侵 NASA 计算机系统长达三个月，窃取了超过 17 GB 的非机密数据。当局称，他们还入侵了密歇根州和加利福尼亚州等地国防公司的计算机系统，以及德克萨斯州的兰道夫空军基地和佐治亚州的罗宾斯空军基地。 根据法庭记录，网上法庭记录没有列出 Hyok 的律师，Hyok 曾居住在朝鲜，并在朝鲜军事情报机构平壤和新义州的办公室工作。 司法部官员称，2021 年 5 月，黑客加密了堪萨斯州一家医院的文件和服务器，但他们没有透露这家医院的具体名称。该医院支付了约 10 万美元的比特币以恢复其数据，并向联邦调查局报警。科罗拉多州一家医疗保健提供商在受到同样的 Maui 勒索软件变种的影响后也支付了费用。 联邦调查局的一位高级官员告诉记者，联邦调查局已经查获了该黑客组织使用的在线账户以及勒索软件攻击所得的 60 多万美元，这些资金已经或将返还给受害者。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nUaFNDHXR_X5rsdh2sbR2A 封面来源于网络，如有侵权请联系删除

在巴黎奥运会前夕，卡巴斯基专家检查了巴黎近 25,000 个可免费访问的 Wi-Fi 网络。该分析发现，25% 的网络加密程度较弱或根本没有加密，导致用户的个人和银行数据容易被盗。只有 6% 的网络使用较新的安全协议 WPA3。 预计将有数千名游客参加巴黎奥运会，这是自取消健康限制以来首次亲自举办的奥运会。作为活动的一部分，卡巴斯基 GReAT（全球研究与分析团队）的研究人员绘制并评估了可供游客使用的公共 Wi-Fi 网络的安全性。 研究人员分析了最受欢迎的旅游景点和奥运场馆*附近发出的 47,891 个 Wi-Fi 信号，从中识别出 24,891 个独特的 Wi-Fi 接入点。这些网络中有四分之一（25%）在网络安全方面存在许多弱点，特别是加密级别太弱，使用户数据面临拦截、解密甚至黑客攻击的风险。 此外，近20%的网络配置了WPS协议，这是一种过时且易被攻击的算法，尤其使这些网络面临WPS攻击，可能导致数据丢失。在所分析的网络中，只有 6% 使用最新的安全协议 WPA3。 “运动员并不是唯一为奥运会做准备的人：网络犯罪分子还准备在酒店、球迷区甚至测试现场设置虚假接入点，迎接今年夏天预计将抵达巴黎的数百万人。 或危害合法网络以拦截和传输数据。配置不良的开放式 Wi-Fi 网络特别受网络犯罪分子欢迎，因为它们使他们更容易窃取密码、信用卡凭证和其他敏感数据。”卡巴斯基 GReAT META 研究中心负责人 Amin Hasbini 评论道。 使用虚拟专用网络 (VPN) 为公共 Wi-Fi 网络的用户提供了额外的安全屏障。 VPN 对互联网连接进行加密，在设备和互联网之间创建安全隧道。这种加密可以防止网络犯罪分子拦截数据，即使在不安全的网络上也是如此。通过隐藏 IP 地址并对所有传输的数据进行加密，VPN 可确保在使用公共 Wi-Fi 时个人和财务信息仍然受到保护。 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5pcJxbTE-ahI1ZAijPHjig 封面来源于网络，如有侵权请联系删除

本周，Mandiant 公司发布的一份新报告记录了 APT45 作为一个针对医疗保健提供商、金融机构和能源公司的激进勒索软件组织的出现，有朝鲜官方背景的黑客行动的内部运作变得更加清晰。 这个被命名为 APT45 的组织多年来一直被追踪为Andariel或Silent Chollima，以支持朝鲜战略利益的网络间谍活动而闻名，但最近其业务范围扩大到包括针对非常敏感目标的勒索软件攻击。 APT45针对的目标 Mandiant 的新报告发布之际，美国政府及其盟友发布了一项大规模通报，揭露了朝鲜这个危险黑客组织使用的工具和策略。Mandiant 的一位发言人表示，该公司与包括联邦调查局在内的多个美国政府机构密切合作，追踪该组织获取国防和研发情报的行动。 Mandiant 表示，专家和政府机构对 APT45 窃取一系列武器和工具敏感计划的能力感到震惊，其中包括： 重型和轻型坦克和自行榴弹炮 轻型攻击车和弹药补给车 濒海战斗舰和战斗艇 潜艇、鱼雷、无人水下航行器 (UUV)     和自主水下航行器 (AUV) 建模和仿真服务 战斗机和无人机（UAV） 导弹和导弹防御系统 卫星、卫星通信和纳米卫星技术 监视雷达、相控阵雷达和其他雷达系统 铀加工和浓缩 材料浪费和储存 核电厂 政府核设施和研究机构 船舶制造和海洋工程 机器人机械和机械臂 增材制造和 3D 打印组件和技术 铸造、制造、高温金属成型、橡胶和塑料成型 加工工艺和技术 Mandiant 朝鲜威胁搜寻团队负责人迈克尔·巴恩哈特 (Michael Barnhart) 表示。“APT45 不受道德考量约束，并已证明他们愿意并足够灵活地针对任何实体来实现其目标，包括医院。” Mandiant 表示，该组织的间谍活动可以追溯到 2009 年，并逐渐扩展为以经济为目的的攻击——其使用勒索软件的特点使其有别于其他朝鲜组织。该组织使用的一些恶意软件与该国其他组织使用的工具集截然不同。 Mandiant 表示，2019 年，该组织瞄准了印度的库丹库拉姆核电站，并补充说，其他核设施和发电厂也成为攻击目标。该组织还于 2020 年攻击了一家跨国公司的作物科学部门，并在过去四年中攻击了多个医疗保健和制药垂直行业。 “我们还相当确信 APT45 参与了勒索软件的开发。”该事件响应公司表示。“该组织针对核相关实体开展了行动，凸显了其在支持朝鲜优先事项方面的作用。” 尽管 Mandiant 谨慎地否认 APT45 是勒索软件攻击的起因，但该公司指出，公开报道称该组织一直在进行金融犯罪。 虽然 Mandiant 无法确认勒索软件是 APT45 武器库的一部分，但它指出，美国政府网络安全机构CISA 警告称，朝鲜背景的攻击者使用MAUI勒索软件针对医疗保健和公共卫生部门。 Mandiant 表示，与朝鲜的大多数黑客团队一样，APT45 恶意软件随着时间的推移表现出明显的共同特征，包括代码的重复使用、独特的自定义编码和密码。 Mandiant 发布了 VirusTotal Collection，其中包含与APT45 相关的攻击指标，以帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vsqgskqG5cFtthe–oUA4A 封面来源于网络，如有侵权请联系删除

近日，Cybernews 研究小组发现有黑客恶意克隆了 Z-Library网站 ，并有近 1000 万用户因访问了该网页而导致数据遭遇泄露。 Z-Library 是一个著名的盗版书籍和学术论文在线平台，这1000 万人都以为自己访问的是该网站。但不知道自己访问的其实是虚假平台，骗子借此收集了他们的个人信息、密码、加密地址，以及付款信息。更糟糕的是，他们泄露了用户的所有信息，病将用户暴露给其他网络犯罪分子和当局。 迄今为止，最大的数字盗版事件发生在 2007 年，当时有黑客攻击了海盗湾，泄露了 150 万用户的电子邮件和密码。 此次泄露的数据均为真实用户填写 据悉，此次泄露的数据库备份属于 Z-lib，它是 Z-Library 的恶意克隆，在谷歌搜索结果中名列前茅。 威胁者意外泄露了 976万用户的用户名、电子邮件地址、密码、比特币和 Monero 钱包地址、国家代码、图书请求、时间戳、评论、发票等信息。 研究人员验证了数据的有效性，并确认注册用户收到了恶意链接垃圾邮件。 研究人员得出结论，这些数据是真实的，是用户自己填写的。许多人并不MaryIsHereToReadDirtyBooks 那么机智，他们提供了自己的真实姓名和其他敏感的个人信息。 这次泄密事件令人极为不安，因为它使数百万个加密货币钱包失去了匿名性，并将相关交易与试图访问盗版内容的个人联系起来。Cybernews 的研究人员说：这不仅损害了隐私，也损害了财务和人身安全。 以盗版者为目标的骗子 研究人员发现，数据库备份曝光的网站 “Z-lib[.]is ”是一个类似于电子图书数据库 Z-Library 的钓鱼网站。该网站不允许用户免费非法下载书籍，而是收集登录凭证并要求付款。 Z-lib 网站是在 2022 年 11 月 Z-library 原始域名被执法部门查封几天后创建的。创始人 Anton Napolsky 和 Valeriia Ermakova 在阿根廷被捕。 骗子们假装继续网站的活动，Z-lib 所有者的身份不明。假冒网站的运营者冒充 Z-Library 项目，并声称自己是唯一 “合法 ”的 Z-Library 网站。 这次泄漏事件中被入侵账户的数量之多几乎是前所未有的。这种恶意活动运行时间如此之长、如此成功、吸引如此多的受害者，实属罕见。研究人员说：目前已确认的 1000 万个账户很可能超过了 Z-Library 原始网站被关闭前的账户数量。 根据 SimilarWeb 的数据，其中一个Z-Lib 域名的月访问量为 1070 万，另一个域名的月访问量为 760 万。这些域名不应与最初的 Z-library 服务相混淆，尽管有许多法律挑战、域名查封和封锁尝试，Z-lib 仍然在线。 研究人员解释说：我们发现有一台网络服务器启用了目录列表功能。这意味着任何用户都可以看到服务器上存储的所有文件和目录列表。在其他托管文件中，还有一个数据库备份，其中存储了数百万用户的个人信息。 数据库备份生成于 2024 年 6 月 20 日。它包含用户数据和其他用于操作的信息，如收到的《数字千年版权法案》（DMCA）移除请求和访问网站资源的付款。 研究人员解释说：一个简单的错误配置暴露了数百万用户的电子邮件、用户名和密码，以及他们的比特币和门罗币加密钱包地址。 密码是使用中等复杂度的算法散列的，特别是 bcrypt 算法，成本系数为 10，相当于 1024 次迭代。因此，网络犯罪分子需要先破解密码，然后才能尝试访问其他账户。 用户注册后收到带有恶意链接的垃圾邮件 Cybernews 研究团队联系到了一位在泄密事件中被曝光的 Z-lib 用户，并验证了与其账户相关的泄密数据。 Cybernews 的研究人员还发现了其他多个附有加密钱包地址的账户，并确认这些钱包存在于比特币和莫奈罗区块链上。 研究人员表示：这个人在这个虚假页面上创建了一个账户，可以在泄露的数据库中识别出他们的信息。在他们的允许下，我们能够扫描收件箱中的电子邮件，并确认 Z-library 山寨机正在发送带有恶意链接的垃圾邮件。 用户应该怎么做？ Z-Lib 用户应该意识到，暴露的数据可能会被当局、网络安全研究人员、网络犯罪分子以及任何可能从中获益的人使用。这些数据还没有广泛传播，但采取行动保护其他账户至关重要。执法部门和版权持有者可能会利用泄露的数据对网站用户采取法律行动。 Cybernews 研究人员建议采取以下措施： 确保恶意网站上使用的任何密码不被其他账户重复使用 在电子邮件客户端或服务器中阻止任何恶意 Z-lib 电子邮件地址和域。 在电子邮件客户端中阻止任何恶意电子邮件或将其标记为垃圾邮件。 停止使用与 Z-library 账户绑定的加密钱包，并创建新的钱包。请记住，向另一个钱包转账也是可追踪的。 停止使用在您所在辖区被视为非法的服务。 如果用户受到垃圾邮件的影响，请改用有严格安全措施的电子邮件提供商。 大多数比特币和 Monero 用户并不了解这些加密货币的复杂性，也不知道如何正确匿名交易。网络犯罪分子可能会利用这一漏洞来跟踪交易，并发起网络钓鱼活动，目的是窃取加密货币，甚至敲诈你。如果遇到此类情况，请立即保护您的剩余资产，确保您的钱包受到保护。 这次泄露还可能有助于执法部门对加密货币钱包进行去匿名化处理，追踪可疑交易，并对犯罪分子采取法律行动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406949.html 封面来源于网络，如有侵权请联系删除

据彭博社报道，近日知情人士透露黑客泄露了从美国政府最大IT服务提供商之一的Leidos Holdings Inc.公司窃取的内部文件。 该知情人士表示，Leidos正在对此事进行调查，并认为这些文件是在此前披露的第三方供应商数据泄漏事件中被盗的。 Leidos成立于2013年，随后收购了洛克希德·马丁公司的信息技术业务。根据彭博政府的数据，在2022财年，Leidos是最大的联邦IT承包商，合同金额达39.8亿美元。 Leidos 为美国重要政府部门提供服务，包括美国国防部(DOD)、国土安全部(DHS)、NASA及其他美国和外国机构以及商业企业。本月初，Leidos刚从NASA获得了一份价值4.76亿美元的合同，为该航天局的国际空间站 (ISS) 计划和阿尔特弥斯计划提供货运任务工程和集成服务。同时，该公司还获得了美国空军一份价值7.38亿美元的后续合同，为空军总部、太空部队总部、华盛顿空军区以及美国首都地区的其他空军部活动和任务提供企业 IT 和电信支持，包括网络安全。 鉴于所涉信息的敏感性，Leidos此次泄密事件引发了极大担忧。 事件曝光后，Leidos的股价在盘后交易中一度下跌超过4%，随后基本收复了失地。今年以来，该公司的股价已上涨超过40%。 Leidos发言人表示：“我们已经确认，这是源于之前第三方供应商Diligent的数据泄露事件，所有必要的通知已在2023年发出。此次事件并未影响我们的网络或任何敏感客户数据。” 根据2023年6月在马萨诸塞州提交的文件显示，Leidos使用Diligent系统来托管内部调查中收集的信息。 五角大楼、国土安全部和NASA未立即回应置评请求。彭博新闻社在一个网络犯罪论坛上查看了一些据称来自Leidos的文件，但由于细节被编辑，彭博无法验证其真实性。 Diligent发言人表示，这次泄露的数据似乎源自2022年其子公司Steele Compliance Solutions遭遇的黑客事件。该子公司于2021年被收购。当时包括Leidos在内的客户不到15家。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TqDEbezx0ne4kBY5XCZy1w 封面来源于网络，如有侵权请联系删除

CrowdStrike 周三分享了其事后初步审查的信息，解释了为什么造成全球混乱的更新没有被内部测试发现。 这家网络安全巨头向其 Falcon 代理（传感器）提供了两种类型的安全内容配置更新：传感器内容和快速响应内容。 就传感器内容更新而言，它们提供了广泛的功能来帮助客户应对对手，并包括长期可重复使用的威胁检测功能。这些代码更新不是从云端动态获取的，而是经过严格测试的，客户可以选择将更新发布到其设备群的哪些部分。 另一方面，快速响应内容不是代码更新，而是一个专有的二进制文件，其中包含配置数据，可在无需更改代码的情况下提高设备上的可见性和检测能力。验证器组件会在内容发送给客户之前对其进行检查。 7 月 19 日推出的问题更新是一个快速响应内容更新，针对滥用命名管道的新型攻击技术。 根据自 3 月份以来进行的测试和部署，该内容验证器被信任能够识别任何问题。但是，该验证器包含一个错误，导致错误的更新通过了验证。 由于没有进行额外的测试，有问题的更新被推入生产环境，导致大约 850 万台运行 Windows 操作系统的设备进入蓝屏死机 (BSOD) 循环。 Windows 崩溃是由越界内存读取引发异常引起的。CrowdStrike表示，其内容解释器组件旨在“妥善处理可能存在问题的内容引发的异常”，但这次异常并未得到妥善处理。 CrowdStrike 计划改进快速响应内容测试，包括通过本地开发人员测试、内容更新和回滚测试、压力测试、模糊测试、稳定性测试和内容接口测试。内容验证器将为快速响应内容添加额外的检查，并增强错误处理。 此外，该安全公司表示正在实施快速响应内容的交错部署策略，客户将对这些更新的部署有更大的控制权。 CrowdStrike 周一宣布已经找到了一种加速修复受错误更新影响的系统的方法，并声称大量设备已经得到恢复。 该事件被描述为历史上最严重的 IT 故障之一，导致全球航空、金融、医疗保健和教育等领域出现严重中断。 美国众议院领导人要求 CrowdStrike 首席执行官乔治·库尔茨向国会作证，说明该公司在引发大规模停电事件中所扮演的角色。 与此同时，组织和用户已被警告，威胁组织正在利用这一事件进行网络钓鱼、诈骗和恶意软件传播。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HHd5ICaCpHP3jsqxulsWoQ 封面来源于网络，如有侵权请联系删除

美国网络安全公司 KnowBe4 表示，其最近聘请的一名首席软件工程师原来是朝鲜黑客，他试图在其设备上安装信息窃取软件。 该公司及时发现并阻止了恶意行为，因此没有发生数据泄露。这起案件凸显了朝鲜黑客冒充 IT 人员的持续威胁，这是FBI 自 2023 年以来多次警告的事情 。 朝鲜拥有一支组织严密的IT 工作者大军，他们隐瞒自己的真实身份，可能受雇于数百家美国公司。 朝鲜黑客利用AI骗过背景调查 在雇用这名“员工”之前，KnowBe4 进行了背景调查，核实了所提供的推荐信，并进行了四次视频面试，以确保他们是真实的人，并且他的脸与简历上的相符。 但后来确定，该人提交了一名被盗的美国人的身份，以逃避初步检查，并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。 KnowBe4 是一家专门从事安全意识培训和网络钓鱼模拟的公司，2024 年 7 月 15 日，其 EDR 产品报告有人试图从刚刚发送给新员工的 Mac 工作站加载恶意软件，因此怀疑出现了问题。 KnowBe4 的一位发言人表示，该恶意软件是一个针对存储在网络浏览器数据的信息窃取程序，而这名恶意员工很可能希望提取在委托给他之前留在计算机上的信息。 攻击者可能为了查找 IT 部门初始配置过程中先前浏览器会话遗留的凭据，或者提取先前发给其他员工的未完成或未正确擦除的笔记本电脑中遗留的信息。 当该公司 IT 人员质问该活动时，这名“员工”最初辩解，但很快就停止了所有通信。 当这些警报到达 KnowBe4 的 SOC 团队时，他们联系了用户，询问异常活动和可能的原因。XXXX回复 SOC 说，他正在按照路由器指南上的步骤排除速度问题，这可能造成了损害。 攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 获取更多详细信息，包括给他打电话。XXXX 表示他无法接听电话，后来没有回应。 KnowBe4 首席执行官 Stu Sjouwerman 在一篇帖子中解释说，该计划涉及诱骗雇主将工作站发送到“IT 电脑农场”，该农场位于诈骗者在其申请表上申报的家庭住址附近。 然后，他们在夜间使用 VPN 连接到该设备，这样看起来就像他们在美国时间工作一样，并正常执行分配给他们的任务。 为了降低这种风险，KnowBe4 建议公司为新员工维护一个与最关键的网络部分隔离的沙盒。 该公司还表示，要确保新员工的外部设备不会被远程使用，并将送货地址不一致视为危险信号。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NqYAPiPcdk4OsVgAG_LkLQ 封面来源于网络，如有侵权请联系删除

被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS)，用于推送窃取信息的恶意软件。 该恶意软件传播服务名为 Stargazers Ghost Network，它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。 在大多数情况下，恶意软件都是信息窃取程序，例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。 GitHub 存储库推送受密码保护的包含恶意软件的档案，来源：Check Point 由于 GitHub 是一个知名的、值得信赖的服务，人们对它的怀疑较少，并且更有可能点击他们在GitHub存储库中找到的链接。 Check Point Research发现了这一行动，并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。 Check Point Research 的报告解释道：“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。” “在短时间内，数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者，从而使感染更有价值。” GitHub 幽灵账户传播恶意软件 DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。 威胁行为者在暗网上的广告，来源：Check Point Stargazer Goblin 建立了一个系统，他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅，以增加其表面合法性，并使其更有可能出现在 GitHub 的热门部分。 参与该计划的幽灵 GitHub 账户，来源：Check Point 这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。 针对不同社交媒体平台用户的网络钓鱼模板，来源：Check Point “幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板，另一组提供钓鱼图片，第三组提供恶意软件，这让该方案具有一定程度的运营弹性。 “为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时，GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。 “为了应对此类行为，Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库，其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时，这可使网络继续运行，并将损失降至最低。” Stargazers 角色概述资料，来源：Check Point Check Point 发现一个 YouTube 视频，其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。 研究人员指出，它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。 就该行动的规模及其产生的利润而言，Check Point 估计，自该服务推出以来，这名攻击者已经赚取了超过 10 万美元。 通过 Stargazers Ghost Network 的行动分发的恶意软件，包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。 在 Check Point 报告中展示的一个示例攻击链中，GitHub 存储库将访问者重定向到受感染的 WordPress 网站，访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。 Atlantida Stealer 攻击链，来源：Check Point VBScript 触发两个连续的 PowerShell 脚本的执行，最终导致 Atlantida Stealer 的部署。 尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动，自 2024 年 5 月以来已删除了 1,500 多个存储库，但 Check Point 表示，目前仍有超过 200 个存储库活跃并继续传播恶意软件。 GitHub 上每日新增的 Stargazer 存储库，来源：Check Point 建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。 受密码保护的档案尤其如此，防病毒软件无法扫描这些档案。对于这些类型的文件，建议您在虚拟机上提取它们，并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。 如果没有虚拟机，您也可以使用VirusTotal，它会提示输入受保护存档的密码，以便扫描其内容。但是，VirusTotal 只能扫描包含单个文件的受保护存档。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MA_O_b2GnrBgt_hfezoM2g 封面来源于网络，如有侵权请联系删除

近日，世界观察组织的专家团队揭露了一种新型流量分配系统（TDS），该系统与附属营销紧密相关，并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列，这一系统被命名为R0bl0ch0n TDS，已经对全球约1.1亿互联网用户造成了影响。 附属营销本是一种正当的商品与服务推广方式，但在本次事件中，它被用作散播欺诈广告的手段。研究人员发现，有数百个小规模的附属网络专门推广可疑的优惠，这些优惠往往与知名的诈骗计划相关。 R0bl0ch0n TDS是一个包含众多域名和专用服务器的复杂架构，由Cloudflare提供安全保护。尽管操纵者在他们的计划中加入了一些合法功能，例如退订和反馈机制，但他们也采取了重要措施来隐藏这些操作背后的真正组织。 技术分析显示，R0bl0ch0n TDS中嵌入电子邮件的URL遵循固定模式（<domain>/bb/[0-9]{18}），并通过多个自动重定向将用户引导至假冒商店或调查页面。值得注意的是，由于需要用户参与来绕过假CAPTCHA，这些URL无法被自动化系统准确分析。 专家们还发现，托管假冒调查的域名会主动与第三方网站交换用户数据。例如，域名facileparking.sbs向event.trk-adulvion.com传输信息。这个域名网络从2021年夏天开始运营，在亚马逊网络服务（AWS）服务器上拥有300多个专用IP地址。 DomainTools的数据显示，自2021年起，event子域的A型DNS请求总数约为1.1亿。考虑到每个用户由于指纹识别机制只记录一次DNS请求，这个数字准确地反映了这些欺诈计划所针对的总人数。 研究人员识别了通过R0bl0ch0n TDS分发的两类主要欺诈性优惠： 1. 抽奖活动 提供诱人的中奖信息，要求用户完成在线调查后支付小额运费。实际上，这会导致用户注册定期支付的订阅服务（每两周20至45欧元）。美国联邦贸易委员会报告称，投诉导致的损失总额超过3亿美元，平均每人损失约900美元。世界观察组织的专家认为，考虑到每天发送的广告量，实际损失可能更高。 2.家居改善优惠 推广价格过高的服务，如檐槽过滤器、太阳能电池板、热泵或老年人使用的步入式淋浴。这些计划通常通过电子邮件传播或利用搜索引擎优化（SEO）进行推广。每次用户填写联系表后，附属公司可获得佣金，随后“销售人员”会联系潜在客户。而且，卖家经常故意夸大客户可能有资格获得的政府补贴金额。 R0bl0ch0n TDS的URL通过多种方法进行初始分发： 使用带有URL片段数据的随机AWS子域，这些数据可能与附属程序参数相关联。 使用匹配特定模式的随机Azure子域，URL片段中的数据同样传递给R0bl0ch0n TDS。 使用URL缩短服务。 专家指出，利用AWS或Azure等合法基础设施服务或URL缩短器，附属公司能够轻松地修改和部署新的基础设施，从而绕过谷歌安全浏览或反垃圾邮件过滤器中的检测系统和对策。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406861.html 封面来源于网络，如有侵权请联系删除

在谷歌宣布拟230亿美元收购Wiz后，这家网络安全初创公司最终决定拒绝这一天价收购要约。 根据最新一期《财富》杂志周一披露，Wiz已向公司1200名员工发了一份内部说明，称Wiz是一家价值120美元的云安全初创公司，正在与谷歌母公司Alphabet进行收购谈判，公司已决定不推进这笔交易，并将继续是一家独立的公司。 “虽然我们对收到的报价感到受宠若惊，但我们选择继续走在建立Wiz的道路上，”首席执行官Assaf Rappaport写道。他进一步概述了该公司的雄心勃勃的目标，包括达到10亿美元的年度经常性收入并最终IPO上市。 Wiz是一家成立于2020年的以色列网络安全初创公司，曾今年年初以120亿美元的估值筹集了10亿美元的风险投资，并计划将这笔资金用于增长和收购。今年4月，Wiz以 3.5 亿美元的价格收购了 Gem Security。 一位知情人士向《财富》杂志证实，Wiz的投资者完全支持公司继续保持独立的决定，该决定基于一个简单的计算：Wiz已经足够大，可以瞄准IPO，这仍然是公司的最终目标。 知情人士还称，此次巨额收购将招致监管部门的反垄断审查也是Wiz最终决定寻求保持独立的原因之一。 目前，美欧监管机构对大型企业的收购和合并采取强硬立场，谷歌因线上搜索领域的主导地位和广告技术业务中阻碍公平竞争的行为正面临美国司法部的反垄断诉讼。 据悉，Wiz拒绝被谷歌收购的决定得到了一系列知名投资者的支持，包括Andreessen Horowitz、Lightspeed Venture Partners、Thrive Capital、Index Ventures、Cyberstarts、Advent International、Greylock、Greenoaks、Salesforce Ventures、Sequoia Capital和Wellington Management。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406854.html 封面来源于网络，如有侵权请联系删除