zLabs发现了AppLite，它是AntiDot银行木马的一个复杂的新变种，通过大范围的网络钓鱼活动以安卓设备为目标。该恶意软件伪装成 Chrome、TikTok 和企业工具等合法应用程序，能够窃取敏感凭证并完全控制受感染的设备。 该活动背后的攻击者采用了精心设计的社交工程策略来引诱受害者。他们伪装成人力资源代表或工作招聘人员，向潜在受害者发送精心制作的网络钓鱼电子邮件。这些电子邮件将用户重定向到模仿知名公司和教育机构的钓鱼网站，敦促他们下载恶意安卓应用程序。 一旦安装，这个看似合法的应用程序就会充当滴管，将 AppLite 银行木马暗中发送到受害者的设备上。正如 zLabs 所解释的那样： “受害者会被重定向到一个恶意登陆页面，以继续申请流程或安排面试。登陆页面会操纵受害者下载并安装一个恶意程序。 攻击序列 Zimperium AppLite 使用 ZIP 操作等混淆技术来逃避安全工具的检测： “恶意行为者经常使用各种方法改变 APK 文件的 ZIP 格式和 Android Manifest 文件的结构，使分析工具失效并逃避检测。解析器如果不更新，可能无法正确处理文件，从而使恶意软件绕过检测机制，继续安装在目标设备上。” 与其他银行木马类似，AppLite 利用叠加攻击来欺骗用户。当目标应用程序启动时，恶意软件会叠加一个模仿合法应用程序的恶意 HTML 页面，诱骗用户输入敏感凭据。 恶意软件通过 Webocket 与其命令和控制 (C&C) 服务器建立连接，实现实时双向通信。攻击者可以发布命令收集敏感数据，如联系人、短信和应用程序凭据，甚至可以利用虚拟网络计算（VNC）功能远程控制设备。 AppLite 最令人震惊的功能是自动解锁设备。通过使用辅助功能服务，它可以识别锁定模式视图、计算移动路径并模拟触摸手势，从而在无需用户交互的情况下解锁设备。 该活动针对精通英语、西班牙语、法语、德语、意大利语、葡萄牙语和俄语的用户。主要受害者是 95 个银行应用程序、62 个加密货币应用程序和其他金融服务的用户，分布在北美、欧洲和亚洲部分地区。     转自安全客，原文链接：https://www.anquanke.com/post/id/302672 封面来源于网络，如有侵权请联系删除

在一场突如其来的意外事件中，风靡全球的 OpenAI 人工智能聊天机器人 ChatGPT 正在经历一场全球性的重大故障。这次中断始于北京时间 2024 年 12 月 11 日下午 3:17 左右，同时也影响了 OpenAI 的其他服务，包括新推出的文本到视频 AI 模型 Sora 和公司的 API。 用户在尝试访问 ChatGPT 时收到了一条消息：“ChatGPT 目前不可用”，随后确认 OpenAI 意识到了这个问题，并正在积极修复。这次故障给无数将 ChatGPT 整合到日常工作中的个人和企业的工作流程带来了影响。 故障原因尚不清楚。虽然 OpenAI 没有发布任何有关根本原因的官方声明，但各种猜测层出不穷。鉴于 ChatGPT 庞大的用户群（每周活跃用户超过 2 亿），它是网络攻击的首要目标。今年早些时候，一个名为 “匿名苏丹”（Anonymous Sudan）的组织声称对一次 DDoS 攻击负责，这次攻击与之前的 ChatGPT 故障同时发生。目前的中断是恶意活动还是技术故障造成的，还有待观察。 OpenAI 向用户保证，他们正在努力恢复服务。与此同时，全球数百万人仍在等待，这凸显了我们对这些强大人工智能工具日益增长的依赖性。我们将继续关注事态发展，并随时提供最新消息。     转自安全客，原文链接：https://www.anquanke.com/post/id/302661 封面来源于网络，如有侵权请联系删除

Deep Instinct 的网络安全研究人员发现了一种新颖且强大的基于分布式组件对象模型(DCOM) 的横向移动攻击方法，使攻击者能够在目标 Windows 系统上秘密部署后门。 攻击利用 Windows Installer 服务远程编写自定义 DLL，将其加载到活动服务中，并使用任意参数执行它们。具体来说，DLL（动态链接库）是一个 Windows 文件，其中包含多个程序共享的代码、数据和资源。 Deep Instinct 的技术博客详细介绍了该攻击，该攻击利用了IMsiServer COM 接口。通过逆向其内部结构，攻击者可以操纵其功能以实现远程代码执行，绕过传统的安全控制并在受感染的系统上建立持久立足点。 DCOM 横向移动是一种利用 DCOM 中的漏洞在网络内横向移动的技术，它允许不同计算机上的程序之间进行通信。 另一方面，计算机对象 (COM) 是经过编译的代码，它基于由全局唯一类 ID (CLSID) 定义的类实现的接口为系统提供服务，并使用全局唯一标识符 (GUID) – AppID 进行远程访问。COM 组件之间的所有通信都通过接口进行。 该技术包括识别易受攻击的 Windows Installer 服务、利用其 COM 接口、制作包含恶意代码的恶意 DLL、远程编写 DLL、将 DLL 加载到正在运行的服务进程中并执行代码。攻击者控制该服务，操纵其功能以与其进行远程交互。 恶意 DLL 被加载到 Windows Installer 服务中，允许攻击者执行其代码，并授予他们对系统的远程访问权限。由于 Windows Installer 具有广泛的系统权限和网络可访问性，此方法对 Windows Installer 特别有效。 研究人员在技术博客文章中指出，DCOM 上传和执行攻击功能强大，但也有局限性。它要求攻击者和受害者机器都位于同一个域内，从而将其适用性限制在特定的组织边界内。 一致的 DCOM 强化补丁状态可以降低补丁级别不同的环境中攻击的有效性。 除此之外，上传的有效负载必须是强命名的 .NET 程序集，并且必须与目标计算机的架构（x86 或 x64）兼容，这增加了攻击过程的复杂性。 Deep Instinct 研究讨论了 IDispatch，这是一个基本的 COM 接口，它使脚本语言和高级语言能够与 COM 对象交互。但是，由于 IMsiServer 接口未实现 IDispatch，因此它并不直接参与 DCOM 上传和执行攻击。 这意味着像 PowerShell 这样的传统脚本语言无法使用标准技术直接与其交互。研究人员使用较低级别的技术来操纵 IMsiServer 接口，并通过直接调用接口的方法并传递必要的参数来实现远程代码执行。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/EaXRq4TFwC4wc2eAe0yKUQ 封面来源于网络，如有侵权请联系删除

2024 年 12 月 10 日，微软披露了Windows 远程桌面服务中的一个严重漏洞，能够让攻击者在受影响的系统上执行远程代码，从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115，CVSS 评分为 8.1，由昆仑实验室的研究员 k0shl发现。漏洞影响Windows Server 的多个版本，包括Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025。 漏洞源于两个关键缺陷： CWE-591：在锁定不当的内存中存储敏感数据 CWE-416：释放后使用 攻击者可通过连接到具有远程桌面网关角色的系统并触发竞争条件来利用此漏洞。 这会产生 “free-after-free”  情况，从而执行任意代码。 值得注意的是，这种攻击不需要用户交互或权限，但其高度复杂性使得没有高级技术技能的攻击者不太可能成功利用该漏洞。 目前所有受影响的版本都已作为微软 2024 年 12 月 “星期二补丁”更新的一部分，打上了相应的安全补丁。虽然漏洞利用代码的成熟度目前尚未得到证实，也没有证据表明存在主动利用或公开披露的情况，但其潜在影响仍然很大。 成功利用后，攻击者可通过远程代码执行完全控制目标系统。 此漏洞反映了与远程桌面协议 （RDP） 等远程访问技术相关存在的持续性风险。 虽然目前还没有主动利用漏洞的报告，但这一漏洞的严重性凸显了立即采取行动保护系统免受潜在攻击的必要性，包括将 RDP 访问限制在受信任的网络、启用网络级身份验证（NLA）和监控可疑活动。     转自Freebuf，原文链接：https://www.freebuf.com/news/417532.html 封面来源于网络，如有侵权请联系删除

Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT，利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。 据悉，Patchwork组织（也称为Hangover和Dropping Elephant）被认为得到了印度当局的支持，自2009年以来一直从事网络间谍活动。 他们之前的活动主要集中在亚洲各国政府机构和科研机构，然而这次最新的行动显示了他们方法的精细化以及对获取科学研究相关的知识产权的持续兴趣。 攻击链从一封鱼叉式钓鱼邮件开始，其中包含恶意LNK文件，该文件伪装成与正在进行的中国研究项目相关的文件。 执行后，LNK文件将启动多阶段恶意软件传送过程。为避免引起怀疑，会显示良性PDF文档，同时在后台秘密下载和执行恶意EXE和DLL文件。 一份诱饵文件 资料来源：Hunting Shadow Lab 此活动中提供的主要有效载荷是BadNews恶意软件，这是一种专为隐身和持久性而设计的复杂后门。为了逃避检测，该恶意软件采用了多层混淆技术，包括加密和使用以前观察到的数字证书。 一旦激活，BadNews就会与命令和控制（C2）服务器建立安全的通信通道，使攻击者能够泄露敏感数据并发出进一步的命令。 此次行动的复杂性还体现在使用了模仿合法网站的假冒域名。 研究人员发现了属于巴基斯坦国际航空公司、Zong（巴基斯坦电信提供商）、Global News和Scandinavian Airlines网站的欺诈版本。 这些域名被用来托管其他恶意软件并促进数据泄露，利用这些实体已建立的信任。 对于组织来说，主动更新安全框架，集成当前的入侵指标（IoC），并利用高级威胁分析工具。此外，利用基于云的服务来分析可疑文件可以显着增强对此类攻击的防御。       转自E安全，原文链接：https://mp.weixin.qq.com/s/laBfNeNRX6FXMNo0zTxIKw 封面来源于网络，如有侵权请联系删除  

印度制药巨头Cipla成为了Akira勒索软件网络攻击的受害者。黑客声称从这家跨国公司窃取了70GB敏感数据，该公司在全球运营47家制造工厂，产品销往86个国家/地区。 据悉，这次攻击泄露在制药行业引发了震动，引发了行业对数据安全和患者隐私的严重担忧。 根据Akira勒索软件组织的说法，被盗信息包括广泛的敏感数据： 个人病历及处方药 内部财务信息 客户联系方式，包括电话号码和电子邮件地址 员工联系方式 据X消息，Akita在其暗网门户上分享了攻击信息，声称从Cipla窃取了70GB的数据。 这起事件发生在Akira勒索软件特别活跃的时期。上个月，该组织在一天内泄露了35个组织的信息，这是他们迄今为止最大的一次数据泄露。 这次前所未有的泄露规模，被认为是该集团在一段相对不活跃时期后，展示其正在扩大运营。 Akira自2023年第一季度首次出现以来，迅速成为最普遍的勒索软件之一，至今已影响超过350个组织。 该组织以其复杂的策略而闻名，包括使用ChaCha2008加密和各种分发方法，例如受感染的电子邮件附件和利用VPN漏洞。 Cipla泄露事件与Akira的典型作案手法一致。该组织经常采用双重勒索策略，不仅加密文件，还泄露数据以迫使受害者支付赎金。 Cipla拥有广泛的全球影响力，在药品供应链中发挥着关键作用，是网络犯罪分子的高价值目标。个人医疗记录和财务信息的潜在泄露可能对公司、员工和客户产生深远影响。 截至目前，Cipla尚未公开确认数据泄露或对勒索软件组织的说法发表评论。 如果事件得到证实，将突显出医疗和制药领域加强网络安全措施的迫切需要。 专家建议组织实施强有力的勒索软件预防策略，包括定期进行安全审计、员工培训和先进的终端保护解决方案。 随着勒索软件攻击不断演变并针对关键行业，积极的网络安全措施不容忽视。     转自E安全，原文链接：https://mp.weixin.qq.com/s/gSqEZObGeCptSz8aGciTJg 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，卡巴斯基发现，一项仍在持续的攻击行为正利用盗版软件传播RedLine数据窃取程序，目标是一些俄国企业。 报告表明，该攻击活动开始于 2024 年 1 月，通过俄罗斯一些在线论坛向目标发送了包含RedLine数据窃取程序的HPDxLIB 激活工具，该工具主要用来激活一些商业软件。 根据发现的激活器样本，RedLine被一种非常不寻常的方式隐藏，激活器库被 .NET Reactor 混淆，恶意代码被压缩和加密成多个层。研究人员注意到，恶意版本的激活工具在 .NET 中构建，并使用了自签名证书，而合法的 C++ 版本则使用了有效证书。 攻击者专门在讨论会计和公司的论坛上提供恶意激活工具的链接，并详细介绍了如何绕过许可证检查并能够保持更新。如同大多数激活工具一样，在安装时会要求用户关闭相应的安全保护，以此逃避安全检测，否则软件将无法正常运行。 另外，用户被要求用恶意激活工具中的techsys.dll文件替换合法的同名文件，并在执行已打补丁的软件时，通过合法的 1cv8.exe 进程加载恶意库，从而运行窃取程序。 这种方法利用的是用户的信任，而不是企业软件的漏洞。 RedLine 窃取程序以恶意软件即服务（MaaS）的形式传播，其开发者为买家提供了一次性购买或订阅的使用方式。RedLine 系列专门从指定的 C&C 服务器窃取机密数据，包括即时消息应用程序、浏览器、被入侵系统及其用户的信息。 该活动主要说明了盗版软件和各种激活程序可能潜在的危害性。 因此，为了安全起见，企业应避免使用盗版软件。       转自Freebuf，原文链接：https://www.freebuf.com/news/417408.html 封面来源于网络，如有侵权请联系删除

一个网络间谍组织被指控对南欧大型 B2B IT 服务提供商发动攻击，这是代号为“Digital Eye（数字眼行动）”的行动的一部分。 网络安全公司 SentinelOne、SentinelLabs 和 Tinexta Cyber在一份联合报告中表示，入侵行为发生在 2024 年 6 月下旬至 7 月中旬，并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。 安全研究人员亚历山大·米伦科斯基 (Aleksandar Milenkoski) 和路易吉·马蒂雷 (Luigi Martire)表示：“这些入侵可能使对手建立战略立足点并危及下游实体。” “威胁组织滥用 Visual Studio Code 和 Microsoft Azure 基础设施进行 C2 [命令和控制] 攻击，试图通过使恶意活动看起来合法来逃避检测。” 目前尚不清楚哪个黑客组织是此次攻击的幕后黑手，该组织与多个已知的黑客组织之间存在广泛的共享工具和基础设施，使得情况更加复杂。 “Digital Eye（数字眼行动）”的核心是将 Microsoft Visual Studio Code远程隧道武器化用于 C2，这是一项合法功能，可实现对端点的远程访问，使攻击者能够执行任意命令和操纵文件。 黑客使用此类公共云基础设施，部分原因在于，活动就可以融入网络防御者看到的典型流量中。此外，此类活动使用合法的可执行文件，不会被应用程序控制和防火墙规则阻止。 研究人员观察到的攻击链涉及使用SQL 注入作为初始访问载体来破坏面向互联网的应用程序和数据库服务器。代码注入是通过名为SQLmap的合法渗透测试工具完成的，该工具可自动检测和利用 SQL 注入漏洞。 成功攻击后，会部署一个基于 PHP 的 Web Shell（称为 PHPsert），使攻击者能够站稳脚跟并建立持久的远程访问。后续步骤包括侦察、凭证收集以及使用远程桌面协议 (RDP) 和传递哈希技术横向移动到网络中的其他系统。 研究人员表示：“对于传递哈希攻击，他们使用了自定义修改版的 Mimikatz。”该工具“利用被破解的 NTLM 密码哈希，无需输入用户的实际密码，即可在用户的安全上下文中执行进程。” 大量源代码重叠表明，定制工具与疑似网络间谍活动（如Soft Cell “软细胞行动”and Operation Tainted Love“爱情污点行动”）中观察到的工具来自同一来源。这些自定义 Mimikatz 修改版还包括共享代码签名证书和使用独特的自定义错误消息或混淆技术，统称为 mimCN。 研究人员指出：“mimCN 样本的长期演变和版本控制，以及留给单独操作团队的说明等显著特征，表明有共享供应商的主动维护和配置。” 另外值得注意的是依赖 SSH 和 Visual Studio Code 远程隧道进行远程命令执行，攻击者使用 GitHub 帐户进行身份验证并连接到隧道，以便通过基于浏览器的 Visual Studio Code 版本（“vscode[.]dev”）访问受感染的端点。 目前尚不清楚威胁组织是否使用新近自注册或已经被入侵的 GitHub 帐户来验证隧道身份。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HR3r6oajc1ZinB2fDuA1ww 封面来源于网络，如有侵权请联系删除

据新报告称，疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。 乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185，攻击者发送了网络钓鱼电子邮件，伪装成上周在基辅举行的合法国防会议的邀请。 该组织也称为 UNC4221，自 2022 年以来一直活跃，主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证，主要针对乌克兰军事人员。 据 MIL.CERT-UA 称，除了入侵账户之外，攻击者还选择性地发动网络攻击，以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。 乌克兰尚未将该组织归咎于某个特定国家，但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。 该组织使用知名工具来感染受害者的设备，包括 MeshAgent 和 UltraVNC（一种用于远程管理计算机系统的开源软件）。 8 月初，被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。 根据网络安全公司 MalwareBytes 的分析，MeshAgent 可以通过多种方式入侵系统，最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。 乌克兰军方和国防企业是黑客的常见目标，通常与俄罗斯有联系。7 月初，被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。 在 6 月份的一次活动中，一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队，以窃取其设备中的敏感信息。 此前，CERT-UA 还警告称，乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击，这种恶意软件可能允许攻击者远程访问受害者的设备。 技术报告：https://cert.gov.ua/article/6281632     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ELFo_NAc7u8IJvOlJgVSLg 封面来源于网络，如有侵权请联系删除

上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 俄少数民族聚居区先行测试 根据美国非营利组织战争研究所（ISW）的报告显示，此次测试主要影响了俄罗斯少数民族聚居的地区，包括车臣、达吉斯坦和印古什。 互联网监测组织NetBlocks的数据显示，达吉斯坦的互联网中断持续了近24小时。 在此期间，用户无法访问许多国内外应用和网站，包括YouTube、谷歌、WhatsApp和Telegram等通讯应用，俄罗斯互联网巨头Yandex的一些服务也无法使用。据当地媒体报道，即使通过VPN也无法访问这些服务。 12月7日，位于北高加索地区的一家俄罗斯互联网服务提供商表示，其已经知晓用户关于互联网访问的投诉，但对此情况无能为力。 俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次“主权互联网”测试的目标，是检验俄罗斯的基础设施在遭遇外部蓄意干扰时，是否能够“维持主要国外和国内服务的运行”。 据战争研究所分析，Roskomnadzor可能有意选择在穆斯林占多数且历史上存在不稳定的地区进行“主权互联网”测试。这是为了确保在不稳定局势下，可以迅速断开这些地区与某些服务（例如Telegram）的连接。此前，俄罗斯在巴什科尔托斯坦、达吉斯坦和萨哈等偏远地区发生抗议和社会动荡期间，也曾中断对流行通讯应用的访问。 俄罗斯Runet项目已推进多年 长期以来，俄罗斯一直试图打造一个独立于全球互联网的网络，通常被称为Runet，以确保符合俄罗斯法律的要求。Roskomnadzor此前已进行过Runet相关测试，但据专家称，这些测试并未取得成功，且持续时间短于预期。 然而，在俄罗斯与乌克兰战争期间，包括苹果、微软和谷歌在内的许多西方科技巨头暂停或限制其在俄罗斯的服务。因此，俄罗斯最近加快了与全球技术脱钩的步伐，并鼓励用户和企业转向俄罗斯的替代产品。 今年9月，《福布斯》俄语版报道，克里姆林宫近期投入约590亿卢布（约合6.48亿美元）以提升技术能力，目的是限制互联网流量并屏蔽西方平台。 上周末，俄罗斯互联网管理部门还宣布，可能会限制国内访问包括GoDaddy、AWS和HostGator在内的8家外国托管服务提供商，原因是这些公司未能遵守相关要求。 Roskomnadzor声称，这些外国提供商的服务器上托管的信息“并不总是能够避免未经授权的访问”，因此“危及用户数据的保密性和商业安全”。 俄罗斯数字权利组织Roskomsvoboda的专家表示，随着对整个托管服务提供商的封锁，俄罗斯正步入“网络审查的新阶段”。这可能导致大量移动应用程序和网站变得无法访问。     转自安全内参，原文链接：https://www.secrss.com/articles/73363 封面来源于网络，如有侵权请联系删除