本周三（6月5日），智利网络安全公司 CronUp 的安全研究员Germán Fernández发现有黑客攻击了 GitHub 存储库，并删除了其中的部分信息。 据悉，此次攻击行动中，黑客利用了 Telegram 上的 Gitloker 账号冒充网络事件分析师，这一行为很可能是利用窃取的凭据入侵目标的 GitHub 账户而实现的。 随后，他们声称要窃取受害者的数据，并创建一个可以帮助恢复已删除数据的备份。他们重新命名了存储库，并添加了一个 README.me 文件，指示受害者在 Telegram 上联系他们。黑客在赎金声明中写道：“希望你收到这条信息时一切安好，这份紧急通知是告知您的数据已泄露，我们已经对数据做了备份。” 当 BleepingComputer 今天早些时候联系 GitHub 询问有关 Gitloker 勒索活动的更多细节时，发言人没有立即发表评论。 数十个 GitHub 仓库已受到影响 在之前针对 GitHub 用户的攻击事件发生后，该公司建议用户立即更改密码，以确保账户安全，防止未经授权的访问。这样可以防止恶意行为，如添加新的 SSH 密钥、授权新应用程序或修改团队成员等等。 同时，该公司建议，为防止攻击者入侵你的 GitHub 账户并侦测可疑活动，应该注意： 启用双因素身份验证 为安全无密码登录添加密钥 审查并撤销对 SSH 密钥、部署密钥和授权集成的未授权访问 验证与账户关联的所有电子邮件地址 查看账户安全日志，跟踪版本库变更 管理版本库上的网络钩子 检查并撤销任何新的部署密钥 定期查看每个版本库的最近提交和协作者 事实上，GitHub 卷入“安全风波”已经不是新鲜事。 4月底，GitHub 曾曝出高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 今年3月底，黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。 Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402963.html 封面来源于网络，如有侵权请联系删除

近日，攻击者利用社交媒体直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实，索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持，为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知，但是TikTok发言人补充说，“被入侵的账户数量非常少”。在零日漏洞被修复之前，或将不会分享有关被利用漏洞的任何细节。 据Semaphor、Forbes等媒体报道，攻击者通过 DMs 入侵这些账户借助了一个零日漏洞，目标用户只要打开恶意信息，哪怕没有下载或点击链接也会中招，因此千万不要打开不明来源的信息。 TikTok表示，公司正在采取措施减轻这一事件的影响，并防止此类事件再次发生。 “我们的安全团队发现了一个针对一些品牌和名人账户的潜在漏洞利用，”TikTok发言人在一份声明中称，“我们已经采取措施阻止这次攻击，并防止它在未来再次发生。如果有需要，我们将与受影响的账户所有者直接合作，恢复访问权限。” 这不是近年来第一个影响 TikTok 用户的漏洞。2022年8月，微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息，如果目标用户只是单击特制的链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。 成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息，从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。 该漏洞已在TikTok 23.7.3 版本中解决，影响其 Android 应用程序 com.ss.android.ugc.trill（适用于东亚和东南亚用户）和 com.zhiliaoapp.musically（适用于除印度以外的其他国家的用户）。 该漏洞的漏洞号为 CVE-2022-28799（CVSS 评分 8.8），该漏洞与应用程序处理所谓的深度链接有关，这是一种特殊的超链接，允许应用程序在设备上安装的另一个应用程序中打开特定资源，而不是用于访问网站。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402783.html 封面来源于网络，如有侵权请联系删除

谷歌和微软警告称，2024 年巴黎奥运会面临着较高的网络威胁风险，尤其是来自俄罗斯黑客的威胁。 据谷歌 Mandiant 网络安全团队称，2024 年巴黎奥运会面临的网络威胁包括间谍活动、干扰、破坏、黑客行动主义、影响以及经济动机活动等。 Mandiant 指出：“奥运会相关的网络威胁可能会对各种目标产生实际影响，包括赛事组织者和赞助商、票务系统、巴黎基础设施以及前往赛事的运动员和观众。” 参加 2024 年奥运会的大量政府官员和决策者可能会引起网络间谍组织的注意，而专注于破坏和扰乱的黑客组织可能会发起分布式拒绝服务 (DDoS)、擦除器恶意软件或 OT 攻击，从而造成负面的心理影响和声誉损害。 攻击者还有望利用人们对奥运会的兴趣，在信息行动中传播谎言和虚假信息，有时还会发动破坏性和破坏性攻击，以扩大传播。 另一方面，出于经济动机的黑客组织可能会从事票务诈骗、窃取个人身份信息和敲诈勒索等活动，以利用人们对奥运会的兴趣，并可能在社会工程行动中使用与奥运会相关的诱饵。 Mandiant 指出：“鉴于俄罗斯曾多次将攻击目标锁定在前几届奥运会上、与欧洲关系紧张、以及最近已将法国作为攻击目标的亲俄信息行动，Mandiant 高度确信，俄罗斯对奥运会构成了最严重的威胁。” 据微软称，俄罗斯黑客组织于 2023 年 6 月开始进行与奥运会相关的活动，并制作了一部长篇名为《奥运会已沦陷》的电影，模仿 2013 年美国政治动作惊悚片“奥林匹斯山陷落”。这部电影使用人工智能生成的音频冒充演员汤姆克鲁斯来暗示他的参与，贬低了国际奥委会的领导层。 俄罗斯黑客组织Storm-1679制作的虚假纪录片《奥运会已陷落》中的视觉效果，该纪录片针对国际奥委会并传播亲俄虚假信息。这部纪录片使用了美国演员汤姆·克鲁斯的形象和肖像，他没有参加任何此类纪录片。 微软表示：“观察到一个与俄罗斯有关的网络正在针对法国、法国总统埃马纽埃尔·马克龙、国际奥委会和巴黎奥运会开展一系列恶意影响活动。这些活动可能预示着今年夏天的国际比赛将面临网络威胁。” 这项由微软命名代号为 Storm-1679 的黑客组织发起的影响力行动还包括发布视频和其他材料，宣扬奥运会期间可能会发生恐怖袭击以及以色列公民将在奥运会上面临暴力的说法。 伪造的视频新闻稿警告公众2024年巴黎夏季奥运会可能发生恐怖袭击（左）。捏造的法国24电视台新闻片段声称，由于对恐怖主义的担忧，近四分之一的巴黎2024年奥运会门票已被退回（右）。这两件赝品都是由俄黑客组织 Storm-1679 制作。 另一个俄罗斯黑客团伙 Storm-1099（又名 Doppelganger）利用 15 个独特的法语“新闻”网站加大了反奥运宣传力度，并警告奥运会期间可能出现暴力事件。 微软“预计俄罗斯针对奥运会的恶意活动将会愈演愈烈。以法语为主的活动可能会扩展到英语、德语和其他语言，以最大限度地提高在线知名度和吸引力，而生成式人工智能的使用也可能会增加”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/g9ji1sS5omiMkcvJTR3SNw 封面来源于网络，如有侵权请联系删除

据波兰数字部长克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 称，波兰将投入近 7.6 亿美元加强对俄罗斯持续网络攻击的防御。 在周一的新闻发布会上，加夫科夫斯基表示，波兰“处在针对俄罗斯的网络战前线”。他补充说，新的网络盾计划将花费政府 30 亿兹罗提（当地货币），旨在提高该国关键基础设施和政府服务的弹性。上周晚些时候，黑客在波兰国家通讯社 PAP 的新闻推送中发布了一篇关于军事动员的虚假文章，随后波兰政府宣布了这一消息。Gawkowski 表示，有迹象表明，俄罗斯支持的黑客对此次攻击负责。 他在本周的新闻发布会上表示：“如今，虚假信息已经成为各类团体制造紧张局势的关键因素之一，这些团体往往与俄罗斯或白俄罗斯联系在一起。” 俄罗斯驻华沙大使馆表示，对针对人民行动党的袭击毫不知情，并驳斥了有关莫斯科试图破坏波兰（北约成员国和前苏联集团国家）稳定的指控。 选举季 波兰最新事件发生之际，对波兰乃至整个欧洲来说都是一个关键时刻，欧盟正在为本周举行的议会选举做准备。波兰将于周日选举出 53 名欧洲议会议员。选举前，地方当局表示，他们高度警惕莫斯科试图干预选举的行为。据该国数字部称，选举前的网络攻击有所增加，这是莫斯科一系列“混合活动”的一部分。 加夫科夫斯基表示：“一个多月以来，我们观察到针对波兰的网络攻击次数显著增加。” 他补充道：“俄罗斯联邦有一个目标——破坏局势稳定，确保支持欧盟解体的势力能够受益。” Gawkowski 表示，自上周 PAP 遭受攻击以来，波兰的关键基础设施已遭受一系列攻击。5 月初，俄罗斯政府支持的黑客针对波兰政府机构发动间谍活动，此次活动被归咎为黑客组织APT28（又名 Fancy Bear）所为，该组织与俄罗斯军事情报机构 GRU 有关联。   转自E安全，原文链接：https://mp.weixin.qq.com/s/ApwPtjSVfCceeTRw1rhuRQ 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，美国国家安全局 （NSA）近日发布公告，建议所有苹果和安卓手机用户每周至少重启一次来更好地抵御安全威胁。 根据NSA的说法，重新启动移动设备有助于破坏恶意软件，以及其他可能渗透到系统中的恶意软件。许多类型的恶意软件被设计为保留在设备的内存中，重新启动可以有效地清除此内存，从而消除威胁。 “定期重启移动设备有助于确保终止在后台运行的任何恶意代码。这个简单的操作可以大大降低持续恶意软件感染的风险，“NSA在公告中表示。 该公告还强调，虽然重启不是一个万无一失的解决方案，但它是全面安全策略的重要组成部分，并建议将定期重启与其他最佳实践相结合，包括： 定期更新软件：确保设备的操作系统和所有已安装的应用程序都使用最新的安全补丁和更新保持最新状态。 使用强身份验证：启用多重身份验证 （MFA） 以添加除密码之外的额外安全层。 谨慎使用公共 Wi-Fi：避免使用公共 Wi-Fi 网络进行敏感交易。如有必要，请使用虚拟专用网络 （VPN） 来保护连接。 从受信任的来源安装应用程序：仅从官方应用商店（例如 Apple App Store 或 Google Play Store）下载和安装应用程序，以降低安装恶意软件的风险。 定期查看应用权限：定期查看授予已安装应用程序的权限，并撤销任何看似不必要或过于侵入的权限。 NSA的这一建议被指是为了更好地应对人们对移动设备安全风险担忧的加剧，最近的报告指出针对智能手机用户的恶意软件攻击、网络钓鱼和其他形式的网络犯罪的激增。这些威胁可能导致包括数据泄露、经济损失和个人信息泄露等。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402825.html 封面来源于网络，如有侵权请联系删除

近日，一些网络安全研究人员演示了恶意软件是如何成功窃取 Windows Recall 工具收集到的数据。 微软 Recall 功能是一种人工智能驱动的工具，旨在帮助用户搜索电脑上过去的活动，该工具收集的数据在本地存储和处理。工具推出后，鉴于其扫描并保存电脑屏幕的定期截图，有可能暴露敏感数据，例如密码或财务信息等，引起了网络安全专家对其安全和隐私的担忧。 随着这一事件的发酵，微软方面一直在试图淡化用户面临的安全风险。该公司指出，黑客需要物理访问权限才能获取 Recall 工具收集的数据。不过，微软的回应就遭到了”打脸“，多名网络安全研究人员成功验证恶意代码可以窃取 Windows Recall 工具收集到的数据。 著名网络安全专家 Kevin Beaumont 表示，黑客能够使用恶意软件远程访问运行 Recall 的设备。 当用户登录电脑并运行软件时，一切都会自动解密，静态加密只有在有人到用户家中偷走笔记本电脑时才会有用（黑客犯罪可不是这么干）。自动窃取用户名和密码的 InfoStealer 木马十多年来一直是行业内的大麻烦，目前这些木马仍然可以被轻松修改，以”支持“ Recall。 值得一提的是，微软方面表示，公司内部的工具捕获的信息是高度加密的，没有人可以非法访问这些数据信息。对此， Kevin Beaumont 很快就指出微软的说法是假的，并公布了一段视频，视频中两名微软工程师访问了包含图片的文件夹。 演示视频地址：此处 网络安全研究人员 Alex Hagenah 发布了一款名为 “TotalRecall ”的 PoC 工具，可以自动提取和显示 Recall 在笔记本电脑上捕获并保存到数据库中的快照。Hagenah 声称，数据库没有被加密的，全是纯文本。 Hagenah 进一步表示，Windows Recall 将所有内容都存储在本地未加密的 SQLite 数据库中，截图只是保存在 PC 上的一个文件夹中，可以在下面的路径中查看： C:\Users\$USER\AppData\Local\CoreAIPlatform.00\UKP\{GUID} 所有图像都存储在以下子文件夹中 .\ImageStore\ 研究人员 Marc-André Moreau 强调，信息窃取型恶意软件可以从本地 SQLite 数据库中轻松窃取远程桌面管理器中暂时可见的密码，这些密码都会被 Recall 工具捕获。 演示视频地址：此处 最后， Kevin Beaumont 在其研究报告中指出，微软方面此时应该立刻召回 Recall ，并在后续的更新中解决安全隐患。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402814.html 封面来源于网络，如有侵权请联系删除

近日，有网络犯罪分子开始在 Telegram 上推广一种名为 “V3B ”的新型网络钓鱼工具包，该工具包针对爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利 54 家主要金融机构的客户。 该网络钓鱼工具包的价格在每月 130 美元至 450 美元之间，具体价格取决于购买的内容。该钓鱼包具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者实时聊天以及各种规避机制等功能。 据 Resecurity 研究人员称，其 Telegram 频道已经拥有超过 1250 名成员，这表明新的网络钓鱼即服务（PhaaS）平台正在网络犯罪领域迅速崛起。 在 Telegram 上推广钓鱼工具包 V3B 的特点 V3B 在自定义内容管理系统之上使用了大量混淆的 JavaScript 代码，以躲避反钓鱼网站和搜索引擎机器人的检测，并保护自己不受研究人员的攻击。 它包括芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面，以提高网络钓鱼攻击的有效性，使黑客能够开展多国活动。 该工具包可在移动和桌面平台上使用，可拦截银行账户凭证和信息以及信用卡详细信息。 此外，管理面板（uPanel）允许欺诈者通过聊天系统与受害者实时互动，通过发送自定义通知获取一次性密码（OTP）。 实现实时互动的即时聊天功能 此外，窃取的信息会通过 Telegram API 传回给网络犯罪分子。 在实时交互触发选项中，有一个 QR 码登录劫持功能，网络犯罪分子利用该功能可以为钓鱼页面生成一个 QR 码，让受害者误以为这是一个合法的可信服务。 V3B 工具包的另一个显著特点是支持 PhotoTAN 和 Smart ID，可绕过德国和瑞士银行广泛使用的高级身份验证技术。 Resecurity 解释说：银行用于客户身份验证的技术可能各不相同。但欺诈者已经开始实施对替代性 OTP/TAN 验证机制的支持，而不是仅仅依赖传统的基于短信的方法，这证明欺诈防范团队在打击私人和企业客户账户接管方面将面临严峻的挑战。 网络钓鱼工具包是网络犯罪的关键助推器，它能够辅助入门级黑客对银行客户发起破坏性极大的攻击。 根据最新消息，针对美国和加拿大银行的 LabHost 的原始开发者以及其他相关的 37 人均在执法行动中被捕。截止被抓捕前，LabHost 在全球共拥有 10000 名用户，并曾通过 40000 个域名发起网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402697.html 封面来源于网络，如有侵权请联系删除

近日，美国海军军事法庭严厉处罚了在战舰上私自安装非法Wi-Fi网络的行为，对下令安装该网络的高级指挥官进行了降职处理。 根据美国《海军时报》获取的审判文件，在美国海军太平洋舰队的濒海战斗舰曼彻斯特号上服役的前高级女指挥官Grisel Marrero于今年3月被审判并定罪。 美国海军发言人发表声明表示： “由于对Marrero指挥能力的信心丧失，她被解除高级军士长指挥官的职务。海军对高级军士长的个人和职业行为要求很高，他们必须保持高度的责任感、可靠性和领导能力，当他们未能达到这些标准时，海军会追究其责任。” 根据指控，在2023年3月至8月期间，Marrero“故意协调采购、安装和使用未经授权和未批准的Wi-Fi系统”。这表明Marrero并非独自行动，其他水手也因与此Wi-Fi网络相关的问题受到了惩罚。 众所周知，Wi-Fi网络并不安全，被美国海军禁止在海军舰艇上使用。据悉，Marrero私自搭建的Wi-Fi热点直到6月才引起注意，当时一名船员试图向舰长报告这一非法网络的信息，但被Marrero拦截，她没有向舰长透露任何关于Wi-Fi部署的情况。 8月，该事件在一名曼彻斯特船员即将（因非法WiFi热点）遭到惩戒时被揭穿。为“影响或阻碍”对该船员的惩罚，Marrero编辑了舰艇的Starlink数据使用截图，试图掩盖Wi-Fi网络的存在。 Marrero于9月被解除职务，随后接受军事法庭审判，被控故意失职、做虚假陈述和妨碍司法。她对除最后一项指控外的所有指控认罪，最终仍被判有罪。 Marrero被降职一级，从E-8级降至E-7级。目前尚不清楚海军将如何处理其他参与该Wi-Fi网络“建设”的战舰船员。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/5uEBGMTXZSbEJZqeCRfjEQ 封面来源于网络，如有侵权请联系删除

据Proton和Constella Intelligence的研究，918名英国议员、欧洲议会议员、法国议员和参议员的电子邮箱地址及其他敏感信息出现在暗网市场上，英国、欧洲和法国议会的2280个官方政府电子邮箱地址中有40%被曝光，其中包括密码、出生日期等详细信息。泄露数据的电子邮件地址大部分属于英国议员（68%），其次是欧盟议员（44%）。 研究人员指出，法国议员和参议员的安全措施最好，在网络犯罪论坛和暗市中搜索的电子邮件仅有18%。 这些议员、欧洲议会议员、众议员和参议员中，许多人都担任高级职务，包括委员会负责人、政府部长和高级反对派领导人。这些政客可以接触到高度敏感的信息，尤其令人担忧的是，他们中的一些人目前或曾经是负责监督和执行国家和国际数字战略的委员会成员。 这些电子邮件出现在暗网上表明，政客们使用他们的官方电子邮件在第三方网络服务上创建账户，而该账户遭遇了数据泄露。 “这些电子邮件在政府网站上公开，但却出现在暗网上，这本身并不是安全漏洞。这也不是英国、欧洲或法国议会遭到黑客攻击的证据。”报告写道。“相反，这表明政客们使用他们的官方电子邮件地址在第三方网站上建立账户（后来遭到黑客攻击或遭到入侵），将他们自己和他们受托保管的信息置于不必要的风险之中。” 更令人担忧的是，研究人员能够将这些电子邮件地址与 697 个纯文本密码进行匹配。专家通知了受影响的政客，他们指出，如果政客将其中一个暴露的密码重复用于他们的官方电子邮件帐户，也可能面临风险。 英国议员没有因账户被盗而卷入重大丑闻，这真是个奇迹，因为 68% 的搜索电子邮件地址都是在暗网上找到的，包括政府和反对派的高级官员。议员的电子邮件地址在暗网上总共被曝光了 2,110 次，研究人员注意到，最常被攻击的议员遭遇了多达 30 次入侵。平均而言，被入侵的议员的详细信息出现在 4.7 次入侵中。与英国议员相比，欧洲议会议员遭遇的泄密事件较少，但搜索到的近一半电子邮件都是在暗网上找到的。在被曝光的 309 名欧洲议会议员中，有 92 人参与了 10 次或以上的泄密。欧盟政客的电子邮件地址被曝光了 2,311 次，同时还有 161 个明文密码。这引发了人们的担忧，因为欧洲议会越来越成为国家支持的攻击的目标，并承认其缺乏准备。 受影响的政客使用他们的官方电子邮件地址在多个网站上创建账户，包括 LinkedIn、Adobe、Dropbox、Dailymotion、请愿网站、新闻服务，甚至在少数情况下还包括约会网站。 “即使恶意接管其中一个账户不会让攻击者（或外国政府）获得国家机密，但它可能会泄露该政客的私人通信或其他敏感数据。然后攻击者可以利用这些信息对政客进行网络钓鱼或勒索。”报告总结道。 “这是最好的情况。如果被攻破的政客在其官方账户之一上重复使用了在暗网上曝光的密码（并且没有使用 双因素身份验证），攻击者就可能进入政府系统。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/XkXNNuHjFy2OkB-ChYAITQ 封面来源于网络，如有侵权请联系删除

俄罗斯机构正遭受网络攻击，这些攻击被发现传播一种名为“Decoy Dog”的恶意软件的 Windows 版本。 网络安全公司 Positive Technologies 正在追踪代号为 Operation Lahat 的活动集群，并将其归咎于名为HellHounds（地狱猎犬）的高级持续威胁 (APT) 组织。 安全研究人员亚历山大·格里戈里安 (Aleksandr Grigorian) 和斯坦尼斯拉夫·皮佐夫 (Stanislav Pyzhov)表示：“地狱猎犬 APT组织会入侵他们选定的目标，在这些目标网络站稳脚跟，多年不被发现。在这样做的过程中，该组织利用了主要的入侵媒介，从易受攻击的网络服务到可信任的关系。” 2023 年 11 月下旬，一家未具名的电力公司被 Decoy Dog 木马病毒感染，随后该公司首次记录了HellHounds 病毒。迄今为止，已证实该病毒已感染了俄罗斯的 48 名受害者，其中包括 IT 公司、政府、航天工业公司和电信提供商。 攻击链 有证据表明，该APT组织至少从 2021 年开始就将目标对准俄罗斯公司，恶意软件的开发早在 2019 年 11 月就开始了。 2023 年 4 月，Infoblox发现Decoy Dog（开源Pupy RAT的定制变体）使用 DNS 隧道与其命令和控制 (C2) 服务器进行通信以远程控制受感染的主机，有关该恶意软件的详细信息浮出水面。 该恶意软件的一个显着特点是它能够将受害者从一个控制器移动到另一个控制器，从而使攻击者能够与受感染的机器保持通信并在较长时间内保持隐藏。 涉及这一复杂工具包的攻击主要集中在俄罗斯和东欧，更不用说专门针对 Linux 系统，尽管 Infoblox 暗示了可能存在 Windows 版本。 Infoblox 在 2023 年 7 月指出：“代码中对 Windows 的引用暗示存在包含新 Decoy Dog 功能的更新 Windows 客户端，尽管当前所有样本都针对 Linux。” Positive Technologies 的最新发现几乎证实了 Windows 版 Decoy Dog 的存在，该版本通过使用专用基础设施的加载器传送到关键任务主机以获取解密有效载荷的密钥。 进一步分析发现，HellHounds 使用另一个名为3snake的开源程序的修改版本来获取运行 Linux 主机上的凭证。 Positive Technologies 表示，在至少两起事件中，攻击者通过承包商使用受损的SSH登录凭据成功获取了受害者基础设施的初始访问权。 研究人员表示：“攻击者长期以来一直能够在俄罗斯的重要组织内部保持存在。” “尽管几乎所有的 Hellhounds 工具包都是基于开源项目，但攻击者对其进行了相当好的修改，以绕过恶意软件防御并确保在受感染组织内部长期隐蔽存在。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/he0EWFxhUNEznTZsH083xA 封面来源于网络，如有侵权请联系删除