近期，由于全球网络安全公司CrowdStrike的软件更新问题，引发了大规模的“蓝屏死机”事件，全球超过850万台设备一度瘫痪。尽管微软和Crowdstrike发布了修复指南和工具，且大多数受影响的微软客户已经恢复正常运作，但许多企业仍在努力恢复其系统功能。其中，亚特兰大总部的达美航空（Delta）仍在艰难地恢复中。 上周五事件爆发时，大多数航空公司，包括使用微软产品进行机组调度系统的达美航空，被迫取消航班并停止其他服务。截止到周日，达美航空取消了额外的1250个航班，而截至本周二，又取消了600个航班。这使得自事件发生以来，达美航空的航班取消总数已超过5000次。不幸的是，达美航空官员尚无法提供恢复正常运营的具体时间表。达美航空CEO埃德·巴斯蒂安（Ed Bastian）在一篇博客文章中表示，此次问题影响了他们运行在Windows操作系统上的主要系统之一。他们的团队正在夜以继日地工作，努力恢复并恢复全部功能。他进一步指出，持续的停运问题归因于“机组跟踪相关工具”无法处理因停运而产生的大量变更。 尽管微软迅速提供了解决方案以恢复服务，但需要手动更新设备——对于拥有成千上万受影响计算机的公司来说，这是一个巨大的挑战。 达美航空的问题也突显了交通基础设施对软件故障的脆弱性，这不仅限于安全漏洞。虽然许多公司都有备份和其他应急措施，但如果有缺陷的代码导致计算机无法启动，这些措施也无济于事。 除了达美航空，其他多个行业和企业也在努力应对这一前所未有的IT危机。一些制造业巨头报告称，其生产线因为关键系统的瘫痪而被迫停工。零售行业的供应链管理系统和支付处理系统也受到严重影响，导致大量订单延迟和交易失败。 尽管微软和CrowdStrike都在加紧努力，以帮助受影响的客户恢复正常运营，但预计完全恢复可能还需要数天甚至数周的时间。专家指出，此次事件再次提醒企业在选择和管理IT基础设施时，必须考虑到潜在的风险和应急预案的完善，“蓝屏死机”事件再次证明，我们的数字社会关键基础设施是何等的脆弱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FEVCIwg_5Q7bwGXPKandHA 封面来源于网络，如有侵权请联系删除

由于无法访问已被击毙的特朗普枪击案嫌疑人的三星智能手机来寻找线索，FBI 转向一个熟悉的（尽管存在争议）来源来实现其目标：数字取证工具供应商 Cellebrite。 执法部门多年来一直使用 Cellebrite破解已锁定的智能手机。在本案中，枪手的设备是较新的型号，导致他们现有的 Cellebrite 系统失效。执法部门毫不气馁，致电 Cellebrite 的支持团队，供应商很快提供了其软件的更新版本。 彭博社援引知情人士的话称，这款未发布的软件在 40 分钟内就破解了手机。 以这种方式破解设备并不受制造商欢迎，他们长期以来一直反对政府和执法部门削弱设备加密的愿望。众所周知，苹果在 2020 年初与美国司法部长发生冲突，拒绝让联邦调查局访问大规模枪击案凶手的设备，因为这将要求苹果开发后门，而后门必然会进入互联网的黑暗角落。 苹果在 2020 年表示：“我们始终坚信，不存在只为好人开设的后门。” 由于智能手机制造商拒绝合作，Cellebrite依靠设备中的0day漏洞和未被发现的漏洞在未经供应商许可的情况下突破系统。 但根据Cellebrite最近泄露的内部文件，苹果用户可能不需要太担心，因为许多较新的 iPhone 和 iOS 版本仍然无法被破解者的工具访问。 404 Media 报道称，它获得了 2024 年 4 月的 Cellebrite 内部文件，文件表明该公司（至少截至 4 月）无法访问任何运行 iOS 17.4 或更高版本的 Apple 设备，以及大多数运行 iOS 17.1 至 17.3.1 的设备 – 除 iPhone XR 和 11 外。 然而，除部分 Google Pixel 型号外，大多数 Android 设备都存在此漏洞。 目前尚不清楚特朗普枪手拥有的具体是哪一款手机，但考虑到预先发布的 Cellebrite 软件可以破解它，可以假设这场隐私军备竞赛仍在继续。 Cellebrite DI Ltd.是一家以色列数字情报公司，为执法部门以及企业公司和服务提供商提供工具来收集、审查、分析和管理数字数据。总部位于以色列佩塔提克瓦。该公司在全球设有 14 个办事处，包括位于美国华盛顿特区、德国慕尼黑和新加坡的商业中心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/e7Eeo-sW_AIFuyP3kjyd_w 封面来源于网络，如有侵权请联系删除

在最近发生的一系列中断主要业务的事件中，KADOKAWA 公司经历了延伸到多个网站的服务中断。最初看似技术故障的事件很快升级为由臭名昭著的 BlackSuit 勒索软件组织策划的全面勒索软件攻击。五周前，BlackSuit 声称对此次攻击负责，并发出最后通牒：要么满足他们的赎金要求，要么在 7 月 1 日公开发布被盗信息。 Deep Instinct 威胁实验室的深入分析显示，BlackSuit 的战术和技术发生了巨大演变。该勒索软件现在采用的是先进的混淆方法，包括将其有效载荷伪装成奇虎 360 杀毒软件的合法组件。与早期版本相比，最新的 BlackSuit 样本的检测率要低得多，这表明威胁行为者在刻意规避安全措施。 VirusTotal 检测率 最新的样本包含编码字符串和导入 DLL ，旨在阻止分析工作。强制性 ID 参数绕过了自动仿真，提高了规避能力。最有影响的变化之一是将勒索软件伪装成知名免费杀毒软件奇虎 360 的合法组成部分，这包括虚假水印，大大降低了检测率。伪装文件虽然没有签名，但与奇虎真正的 QHAccount.exe 文件非常相似，从而有效地规避了安全软件。 BlackSuit 还集成了一些高级功能，如用于加密的非对称密钥交换、删除影子副本以禁止轻松恢复，以及禁用安全模式和关闭系统的功能。加密后的文件会添加 .blacksuit 扩展名，并附带赎金说明（通常名为 readme.blacksuit.txt）。 BlackSuit 勒索软件采用了多种初始攻击载体，包括使用窃取凭证的 RDP、VPN 和防火墙漏洞、带宏的 Office 电子邮件附件、torrent 网站、恶意广告和第三方木马。攻击者还利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。这种多样化的载体使 BlackSuit 的目标更为广泛，危及大量数据。 BlackSuit 泄密网站上的受害者资料示例 另外，BlackSuit 在暗网上运营着一个新闻和泄密网站，一旦过了赎金的截止日期，他们就会在网站上公布受害者的外泄数据。这些资料包括受影响组织的关键信息，如行业、员工人数、收入和联系方式等。   转自Freebuf，原文链接：https://www.freebuf.com/news/406645.html 封面来源于网络，如有侵权请联系删除

思科修复了一个严重漏洞，编号为 CVE-2024-20401（CVSS 评分 9.8），该漏洞可能允许未经身份验证的远程攻击者添加具有 root 权限的新用户并永久破坏安全电子邮件网关 (SEG) 设备。 该缺陷存在于思科安全电子邮件网关的内容扫描和消息过滤功能中。 此漏洞源于在启用文件分析和内容过滤器时对电子邮件附件的处理不当。攻击者可以通过发送特制的电子邮件附件来利用此漏洞，从而替换文件系统上的任何文件。这可以使他们添加 root 用户、修改配置、执行任意代码或在受影响的设备上触发永久拒绝服务 (DoS) 条件。 思科发布的公告称：“思科安全电子邮件网关的内容扫描和消息过滤功能中存在一个漏洞，可能允许未经身份验证的远程攻击者覆盖底层操作系统上的任意文件。” 此漏洞是由于在启用文件分析和内容过滤器时对电子邮件附件的处理不当造成的。攻击者可以通过受影响的设备发送包含精心设计的附件的电子邮件来利用此漏洞。 成功利用此漏洞可让攻击者替换底层文件系统上的任何文件。然后，攻击者可以执行以下任何操作：添加具有 root 权限的用户、修改设备配置、执行任意代码或在受影响的设备上造成永久拒绝服务 (DoS) 条件。 如果启用了文件分析功能（思科高级恶意软件防护的一部分）或内容过滤功能并将其分配给传入邮件策略，并且内容扫描工具版本早于 23.3.0.4823，则此漏洞会影响运行存在漏洞的 Cisco AsyncOS 版本的思科安全电子邮件网关。 内容扫描工具版本 23.3.0.4823 及更高版本解决了此漏洞。此更新版本也是 Cisco AsyncOS for Cisco Secure Email Software 版本 15.5.1-055 及更高版本的一部分。 用户可以通过连接产品网页管理界面（“邮件策略 > 传入邮件策略 > 高级恶意软件防护 > 邮件策略”），检查“启用文件分析”选项是否被选中来确定是否启用了文件分析。 要确定内容过滤器是否启用，用户可以打开产品 Web 界面并检查“内容过滤器”列（“选择邮件策略 > 传入邮件策略 > 内容过滤器”）是否不包含值“已禁用”。 该公司的产品安全事件响应团队 (PSIRT) 尚未发现针对 CVE-2024-20401 漏洞的攻击尝试。 本周，这家 IT 巨头解决了思科智能软件管理器 On-Prem（Cisco SSM On-Prem）许可证服务器中的一个严重漏洞，该漏洞编号为 CVE-2024-20419（CVSS 评分为 10.0），攻击者可以利用该漏洞更改任何用户的密码。 此问题是由于密码更改流程实施不当造成的。攻击者可以通过向易受攻击的设备发送特制的 HTTP 请求来触发此漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oVbtQrcfWffkW70c7f_kow 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一个广告软件模块，该模块旨在阻止广告和恶意网站，同时秘密卸载内核驱动程序组件，使攻击者能够在 Windows 主机上提升权限运行任意代码。 根据 ESET 的最新发现，这种被称为 HotPage 的恶意软件的名称取自同名安装程序（“HotPage.exe”），ESET 于 2023 年底发现了该恶意软件。 ESET 研究员 Romain Dumont在今天发布的技术分析报告中表示，安装程序“部署了一个能够将代码注入远程进程的驱动程序，以及两个能够拦截和篡改浏览器网络流量的库”。 “该恶意软件可以修改或替换所请求页面的内容，将用户重定向到另一个页面，或根据某些条件在新选项卡中打开新页面。” 除了利用其浏览器流量拦截和过滤功能来显示与游戏相关的广告之外，它还旨在收集和泄露系统信息到与一家名为湖北盾网网络科技有限公司的中国公司相关联的远程服务器。 这是通过驱动程序实现的，其主要目的是将库注入浏览器应用程序并改变其执行流程以更改正在访问的 URL 或确保新 Web 浏览器实例的主页重定向到配置中指定的 URL。 不仅如此，由于该驱动程序没有任何访问控制列表 ( ACL )，因此拥有非特权帐户的攻击者可以利用它来提升权限并以 NT AUTHORITY\System 帐户身份运行代码。 Dumont 表示：“该内核组件无意中为其他威胁打开了大门，使其能够以 Windows 操作系统中可用的最高权限级别（即系统帐户）运行代码。由于对该内核组件的访问限制不当，任何进程都可以与其通信，并利用其代码注入功能来攻击任何未受保护的进程。” 安装程序工作流程 简化的驱动程序逻辑 虽然安装程序分发的具体方法尚不清楚，但ESET收集的证据表明，它被宣传为网吧安全解决方案，旨在通过阻止广告来改善用户的浏览体验。 嵌入式驱动程序值得注意的是它是由微软签名的。据信这家中国公司已经通过了微软的驱动程序代码签名要求，并成功获得了扩展验证 (EV) 证书。自 2024 年 5 月 1 日起，它已从Windows Server 目录中删除。 内核模式驱动程序需要经过数字签名才能由 Windows 操作系统加载，这是微软建立的重要防御层，旨在防止可能被武器化以破坏安全控制并干扰系统进程的恶意驱动程序。 思科 Talos去年 7 月透露了攻击者如何利用微软 Windows 策略漏洞来伪造内核模式驱动程序的签名。 ESET研究员说：“对这种看上去相当普通的恶意软件的分析再次证明，广告软件开发人员仍然愿意付出更多努力来实现他们的目标。” “不仅如此，他们还开发了一个内核组件，其中包含大量操纵进程的技术，而且他们还满足了微软的要求，为其驱动程序组件获得了代码签名证书。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WwD56Jsw4MtzCfTTvP2GMA 封面来源于网络，如有侵权请联系删除

根据乌克兰网络机构最近的一份报告，乌克兰国防企业再次成为黑客的目标，攻击者向他们发送伪装成无人机采购合同的恶意电子邮件。 这些电子邮件包含一个 zip 存档和一个 PDF 文档，其中包含一个恶意链接，该链接在受害者的计算机上安装名为 Glueegg 的恶意软件和一个名为 Dropclue 的加载程序。 攻击链 随后黑客在受感染的设备上下载并安装一个名为Atera的合法程序，该程序用于远程控制。 乌克兰的计算机应急响应小组 CERT-UA 正在追踪该活动背后的组织 UAC-0180。他们没有将其归咎于特定国家，也没有提供有关攻击目标的任何具体细节。 CERT-UA周四表示：“尽管其攻击的地理范围很广，但该组织并没有停止试图未经授权访问乌克兰国防企业员工的计算机。 该机构表示，黑客已经用各种恶意程序感染了设备，包括Acrobait，Rosebloom，Rosethorn，Glueegg和Dropclue，并不断更新他们的工具集。 乌克兰军事和国防企业是黑客的常见目标，通常与俄罗斯有联系。在 6 月的一次活动中，名为 Vermin 的组织使用 Spectr 恶意软件袭击了乌克兰武装部队，以从他们的设备中窃取敏感信息。 在同一时期，研究人员警告说，白俄罗斯黑客Ghostwriter对乌克兰国防部进行了攻击。 早些时候，CERT-UA 还警告使用 DarkCrystal 恶意软件对乌克兰军事人员和国防服务进行网络攻击，这可能允许攻击者远程访问受害者的设备。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rLI0VO1rTbF03eLbTDmQ0g 封面来源于网络，如有侵权请联系删除

网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断，面临压力。目前，该公司警告称，攻击者正在利用这一情况，以提供修补程序为幌子，向其拉丁美洲客户分发 Remcos RAT。 攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件，其中包含一个名为Hijack Loader（又名 DOILoader 或 IDAT Loader）的恶意软件加载器，然后启动 Remcos RAT 负载。 具体来说，该存档文件还包括一个文本文件（“instrucciones.txt”），其中包含西班牙语说明，敦促目标运行可执行文件（“setup.exe”）来从问题中恢复。 该公司表示：“值得注意的是，ZIP 档案中的西班牙语文件名和说明表明，此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”，并将此次活动归咎于一个疑似电子犯罪组织。 周五，CrowdStrike 承认，在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误，导致了蓝屏死机 (BSoD)，令众多系统无法运行，并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。 攻击者迅速利用此次事件造成的混乱，建立冒充 CrowdStrike 的域名抢注网站，并向受此问题影响的公司宣传服务，以换取加密货币支付。 建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通，并遵守 CrowdStrike 支持团队提供的技术指导”。 微软表示，此次数字危机导致全球 850 万台 Windows 设备瘫痪，这占所有 Windows 设备的不到 1%。 此次事件再次凸显了依赖单一供应链的风险，标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。 微软表示：“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们，对于整个技术生态系统中的所有人来说，使用现有机制优先考虑安全部署和灾难恢复是多么重要。” 英国国家网络安全中心 (NCSC) 警告称，旨在利用此次中断的网络钓鱼信息有所增加。 自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼” AnyRun 发现，恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader，该程序会在受感染的系统上投放 Remcos 远程访问工具。 为了诱骗受害者安装恶意软件，攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中，承诺提供来自 CrowdStrike 的修补程序。 恶意软件加载程序伪装成 CrowdStrike 的修补程序 AnyRun 在另一条警告中宣布，攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器：“它通过用零字节覆盖文件来破坏系统，然后通过 #Telegram 报告此事。” 虚假的 CrowdStrike 更新会擦除文件 在另一个例子中，AnyRun 指出，网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。 一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档，其中包含恶意可执行文件 CrowdStrike.exe。 受害企业还要面临的另一种安全威胁 因为目前几乎所有灾难恢复方案需要受害者手动操作，即删除引发蓝屏的 CrowdStrike 驱动程序。 当完成该步骤后， CrowdStrike 软件处于短暂的防守空白期，用户也可能卸载该软件（比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件）。有研究人员认为，完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/b-8jtkq-KG_7PNvZswybqA 封面来源于网络，如有侵权请联系删除

近期，印度加密货币交易所WazirX被黑客入侵，价值超过2.349亿美元的资金被盗。为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。 1 WazirX遭入侵 7月18日，印度加密货币交易所WazirX被黑客入侵。安全平台Cyvers从其多重签名钱包中发现了多笔可疑交易。Cyvers报告称，黑客已将价值超过2.349亿美元的资金转移到新地址。 为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。尽管此前他们采取了措施来保护客户的资产，但攻击者似乎在盗窃发生之前就已经破坏了他们的安全防护措施。 2 研究人员发声 据悉，在WazirX公开消息前，7月17日晚上多家区块链安全公司例如Elliptic、Arkham和BlockSec等均表示，他们注意到有价值数百万美元的加密货币被非法转移出了WazirX这个平台。 根据Elliptic公司的说法，攻击者已经利用多种去中心化服务将一些代币换成了以太币。Elliptic公司通过审查区块链数据和其他信息，将这次事件归咎于与朝鲜有关联的黑客。 一位知名的加密货币黑客研究人员指出，最近的一次攻击具有“Lazarus Group攻击的潜在特征”。“Lazarus Group”是一个著名的朝鲜黑客组织，他们以擅长进行引人注目的加密货币平台盗窃而知名。 3 安全漏洞引关注 外媒表示，当下网络犯罪分子持续利用加密货币平台中的安全漏洞来进行大规模的盗窃行为。 不久前一个流行的加密货币平台被盗取了大约800万美元。上个月，日本加密货币交易所DMM Bitcoin被盗，损失了价值超过3亿美元的比特币。加密货币平台仍需进一步加强安全措施来保护用户资产。   转自E安全，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

巴西特家具罕见地承认，此次攻击“已经并且可能继续对公司的业务运营产生重大影响。” 安全内参7月18日消息，遭遇勒索软件攻击后，美国最大的家具公司之一被迫关闭制造设施。 巴西特家具（Bassett Furniture）表示，7月10日发现未经授权的访问后，公司关闭了一些IT系统。 该公司在本周一提交的监管文件中写道，黑客“通过加密某些数据文件扰乱了公司的业务运营”，迫使公司启动了事件响应计划。 巴西特家具在向美国证券交易委员会（SEC）提交的8-K文件中表示：“由于采取了关闭部分系统等遏制措施，截至本报告日期，公司的制造设施尚未恢复运营。” “公司的零售店和电子商务平台仍然开放，客户可以下单并购买现有商品；然而，公司目前的订单履行能力受到了影响。” 为了减轻中断影响，公司工作人员正在努力恢复受影响的系统并实施替代方案。 与许多公司在网络攻击后提交给SEC的8-K文件不同，巴西特家具罕见地承认此次攻击“已经并且可能继续对公司的业务运营产生重大影响。影响或一直持续到恢复工作完成之时。” 他们仍不确定这是否会“实质性地”影响公司的财务表现。 截至周二下午，没有任何勒索软件团伙宣布对此次事件负责。 巴西特家具在美国拥有近90家门店，是该国最大的家具制造商和销售商之一。在勒索软件攻击的同一天，公司报告2024年第二季度收入同比下降了17%。 SEC事件披露政策初显威 此次攻击正值各组织向SEC提交关于网络安全事件的8-K文件数量急剧增加之际。 2023年7月，美国SEC通过了一条备受争议的规则，要求公司迅速披露对财务“有重大影响”的网络安全事件。 这条规则引发了上市公司和立法者的愤怒，他们质疑SEC使用“重大网络安全事件”一词时定义不清，因为大多数大型组织每天都面临着无穷无尽的网络入侵。 自该规则生效以来，几乎所有的披露文件都声称，网络攻击对公司的利润没有“重大”影响。然而，数家公司后来承认，事件恢复成本或运营停工的确导致了重大财务损失。 本周，美国联合健康集团和一家汽车经销商公司披露，他们遭遇网络安全事件造成了重大财务影响。   转自安全内参，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

近日，专注于 DNS 的安全厂商 Infoblox 的研究人员发现，一个名为 Revolver Rabbit 的网络犯罪团伙注册了 50 多万个域名，通过散布一种叫 XLoader（Formbook 的后继者）的信息窃取恶意软件，收集 Windows 和 macOS 系统的敏感信息或对其执行恶意代码。 为了以如此大的规模开展行动，该威胁行为者依赖于注册域名生成算法（RDGAs），这是一种可以在瞬间注册多个域名的自动化方法。RDGAs 类似于恶意软件中的域名注册算法 (DGAs)，网络犯罪分子利用这种算法创建潜在的指挥与控制 (C2) 通信目的地列表。 两者之间的一个区别是，DGAs 嵌入在恶意软件中，只有部分生成的域名会被注册，而 RDGAs 则保留在威胁行为者手中，所有域名都会被注册。 研究人员可以通过分析 DGAs 并对其进行逆向工程，以了解潜在的 C2 域名，但 RDGAs 是保密的，这就让找到生成要注册域名的模式变得更具挑战性。 Infoblox 称，Revolver Rabbit 控制着 50 多万个 .BOND 顶级域名，这些域名被用来为恶意软件创建诱饵和实时 C2 服务器。考虑到一个 .BOND 域名的价格约为 2 美元，Revolver Rabbit 在其 XLoader 业务上的 “投资 ”接近 100 万美元，这还不包括过去在其他顶级域名上购买的域名。 Infoblox 表示：”这种威胁行为者最常用的 RDGAs 模式是一系列一个或多个字典单词，后面跟着一个五位数的数字，每个单词或数字之间用破折号隔开。” 这些域名通常很容易阅读，似乎专注一个特定的主题或地区，显示出广泛的多样性，示例如下： usa-online-degree-29o[.]bond bra-portable-air-conditioner-9o[.]bond uk-river-cruises-8n[.]bond ai-courses-17621[.]bond app-software-development-training-52686[.]bond assisted-living-11607[.]bond online-jobs-42681[.]bond perfumes-76753[.]bond security-surveillance-cameras-42345[.]bond yoga-classes-35904[.]bond 研究人员说，“最近几个月的跟踪，他们发现 Revolver Rabbit RDGAs 和一些已知的恶意软件有联系，这凸显了 RDGAs 作为威胁行为者工具箱中的一种技术的重要性”。 Infoblox 追踪 Revolver Rabbit 已近一年，但直到最近才弄清楚他们的真实面目。虽然过去也观察到过类似的活动，但没有意识到它们背后有这么大的操作。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406477.html 封面来源于网络，如有侵权请联系删除