由于第三方提供商遭受勒索软件攻击，医疗专业人员无法获得病理学服务，伦敦几家最大的医院取消了手术，并宣布进入重大事件紧急状态。 病理学和诊断服务提供商 Synnovis 遭受勒索软件攻击，严重影响伦敦几家大型医院的运营。此次攻击迫使受影响的医院取消部分医疗服务，在某些情况下，患者被转至其他医院。 根据社交媒体上发布的报道和内部电子邮件，此次攻击于周一被发现。 盖伊和圣托马斯 NHS 基金会信托的首席执行官伊恩·埃布斯写道：“我可以确认，我们的病理学合作伙伴 Synnovis 今天早些时候经历了一次重大 IT 事故，该事故仍在继续，意味着我们目前无法连接到 Synnovis IT 服务器。” 据信，英国最大的心脏和肺部专科中心皇家布朗普顿医院和哈里菲尔德医院也受到了影响。阿布斯写道，此次事件还影响了国王学院医院 NHS 基金会“以及整个伦敦东南部的初级保健，对我们服务的提供产生了重大影响，输血尤其受到影响。” 由于此次事件，一些预约已被取消，或患者被临时转至其他医疗机构。额外患者给其他医院带来的负担可能会导致资源进一步紧张，并宣布更多紧急事件。目前尚不清楚此次中断将持续多久。 伦敦 NHS 发表了关于 Synnovis 勒索软件攻击的声明，证实该事件对盖伊医院和圣托马斯医院、伦敦国王学院医院 NHS 基金会信托以及伦敦东南部初级保健服务的服务产生了重大影响。 目前，该公司尚未提供有关此次攻击的详细信息，例如感染其系统的恶意软件家族以及是否遭受数据泄露。 4月，SYNLAB集团意大利分公司Synlab Italia因遭受Blackbasta网络攻击而陷入停顿。该公司暂停了意大利采样点、医疗中心和实验室的所有活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2UiW_FwgnxmnVI9guwVDqw 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的黑客FlyingYeti正在以乌克兰为目标进行网络钓鱼活动，以提供PowerShell恶意软件COOKBOX。 Cloudflare研究人员发现了一名与俄罗斯有关的黑客FlyingYeti（又名UAC-0149）针对乌克兰进行的网络钓鱼活动。专家们发表了一份报告，描述了破坏和延迟这种威胁活动的实时努力。 在2022年2月24日俄罗斯入侵乌克兰之初，乌克兰暂停驱逐和终止未偿还债务的公用事业服务。暂停期于2024年1月结束，导致乌克兰公民承担巨额债务，并增加了财务压力。FlyingYeti运动利用这种焦虑，使用债务主题的诱饵诱骗目标打开嵌入消息中的恶意链接。打开文件后，PowerShell恶意软件COOKBOX会感染目标系统，使攻击者能够部署额外的有效载荷并控制受害者的系统。 黑客利用WinRAR漏洞CVE-2023-38831向目标感染恶意软件。 Cloudflare表示，FlyingYeti的战术、技术和程序（TTP）与乌克兰CERT在分析UAC-0149集群时详细说明的战术、技巧和程序相似。 至少从2023年秋天开始，UAC-0149就用COOKBOX恶意软件攻击乌克兰国防实体。 Cloudflare发布的报告中写道：“黑客将动态DNS（DDNS）用于其基础设施，并利用基于云的平台托管恶意内容和进行恶意软件指挥与控制（C2）。”“我们对FlyingYeti TTPs的调查表明，这很可能是一个与俄罗斯结盟的威胁组织。该行为者似乎主要专注于针对乌克兰军事实体。” 黑客以基辅Komunalka公共住房网站的恶搞版本为目标用户(https://www.komunalka.ua)，托管在参与者控制的GitHub页面上（hxxps[：]//comunalka[.]GitHub[.]io）。Komunalka是基辅地区公用事业和其他服务的支付处理商。 FlyingYeti很可能通过网络钓鱼电子邮件或加密信号消息将目标引导到此页面。在这个被欺骗的网站上，一个大的绿色按钮提示用户下载一个名为“Рахунок.docx”（“Invoice.docx”）的文件，而该文件下载了一个标题为“ЗаборгованасапоЖКП.rar”（“住房和公用事业债务.rar”）的恶意档案。 一旦打开RAR文件，CVE-2023-38831漏洞就会触发COOKBOX恶意软件的执行。 RAR档案包含多个文件，其中一个文件的Unicode字符为“U+201F”，在Windows系统中显示为空白。此字符可以通过添加过多的空格来隐藏文件扩展名，使恶意CMD文件（“Рахунокнаоплару.pdf[unicode character U+201F].CMD”）看起来像pdf文档。该档案还包括一个良性的PDF文件，其名称相同，但没有Unicode字符。打开档案后，目录名称也与良性PDF名称匹配。这种命名重叠利用了WinRAR漏洞CVE-2023-38831，导致目标尝试打开良性PDF时执行恶意CMD。 “CMD文件包含名为COOKBOX的Flying Yeti PowerShell恶意软件。该恶意软件被设计为持久存在于主机上，作为受感染设备的立足点。一旦安装，该COOKBOX变体将向DDNS域postposterk[.]serveftp[.]com请求C2，等待恶意软件随后运行的PowerShell cmdlet。”报告继续说道。“除了COOKBOX，还打开了几个诱饵文档，其中包含使用Canary Tokens服务的隐藏跟踪链接。   转自E安全，原文链接：https://mp.weixin.qq.com/s/sG5cSjt29W55VFOwkLfkDw 封面来源于网络，如有侵权请联系删除

日本加密货币交易所 DMM Bitcoin 警告称，近日其一个钱包中已有 4,502.9 比特币 (BTC) 被盗，价值约 3.08 亿美元（482 亿日元），这是 2024 年最严重的加密货币抢劫案。 DMM Bitcoin 告诉客户：“2024 年 5 月 31 日星期五下午 1:26 左右，我们检测到我们的钱包中发生了比特币（BTC）的未经授权的泄露。” “我们仍在调查损失的细节，但以下是我们现阶段所知道的情况。我们已经采取措施防止未经授权的泄露，但我们也对某些服务的使用实施了限制，以确保额外的安全。” 在该公司调查盗窃事件的同时，它限制了其平台上的众多服务： 新开户审查 加密货币提款处理 暂停现货交易买入订单（仅接受卖出订单） 暂停杠杆交易新开仓（仅接受结算订单） DMM Bitcoin 尚未提供任何有关盗窃如何发生的信息，但过去也曾发生过类似的盗窃行为，盗窃方式是进入公司系统或利用智能合约或网站的漏洞。该交易所向客户道歉，并表示所有比特币（BTC）存款将得到全额保障，因为他们将在该集团公司的帮助下补充等量的存款。 正在追踪被盗比特币的加密货币情报公司 Elliptic 表示，威胁行为者已将被盗的比特币分成多个新钱包。 如果威胁行为者试图将其兑换成其他加密货币，这很可能是为了混淆其踪迹并逃避其他加密货币交易所的阻拦。 Elliptic 表示，如果确认这是一起盗窃案，那么它将成为有史以来第八大加密货币盗窃案，也是今年最大的一起盗窃案。 Elliptic 还证实，它已经确定了参与攻击的钱包。   转自E安全，原文链接：https://mp.weixin.qq.com/s/si7ZaIM-9h4fAQrD0aMRAg 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的 APT28 使用 HeadLace 恶意软件和凭证收集网页对欧洲各地的网络发动攻击。 Insikt Group 的研究人员观察到，俄罗斯 GRU 的APT28小组利用信息窃取程序 Headlace 和凭证收集网页，针对整个欧洲的网络。 APT28 组织在 2023 年 4 月至 12 月期间分三个不同阶段部署了 Headlace，分别使用网络钓鱼、受感染的互联网服务和二进制文件。凭证收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆智库。 该组织创建的凭证收集页面可以通过在合法服务和受感染的 Ubiquiti 路由器之间传递请求来通过双因素身份验证和 CAPTCHA 挑战。 在一些攻击者中，攻击者在 Mocky 上创建了特制的网页，这些网页与在受感染的 Ubiquiti 路由器上运行的 Python 脚本进行交互，以窃取提供的凭据。 乌克兰国防部和欧洲铁路系统相关网络遭到入侵，攻击者可借此收集情报，影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣表明，他们可能意图了解并影响地区政策。 Insikt Group 推测此次行动旨在影响地区和军事动态。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM ）自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。 该组织隶属于俄罗斯总参谋部情报总局（GRU）第 85 主要特别勤务中心（GTsSS）的 26165 军事单位。 Insikt Group 详述的攻击中使用的攻击链有七个不同的基础设施阶段，用于过滤沙盒、不兼容的操作系统和非目标国家。未通过这些检查的受害者会下载一个良性文件，并被重定向到 Microsoft 的 Web 门户 msn.com。通过检查的用户会下载恶意的 Windows BAT 脚本，该脚本连接到免费 API 服务以执行连续的 shell 命令。 攻击链 2023 年 12 月，Proofpoint 和 IBM 的研究人员详细介绍了新一波 APT 鱼叉式网络钓鱼攻击，这些攻击依靠多种诱饵内容来传播 Headlace 恶意软件。这些攻击针对至少 13 个不同的国家。 通过分析 Headlace 地理围栏脚本和自 2022 年以来凭证收集活动所针对的国家，Insikt Group 发现 BlueDelta 针对了 13 个不同的国家。乌克兰位居榜首，占活动的 40%。 土耳其可能看起来像是一个意外的目标，占 10%，但值得注意的是，它只是被 Headlace 地理围栏单独挑出来，不像乌克兰、波兰和阿塞拜疆，它们既被 Headlace 地理围栏瞄准，又被凭证收集。 研究人员呼吁政府、军队、国防和相关部门加强网络安全措施：优先检测复杂的网络钓鱼企图，限制对非必要互联网服务的访问，并加强对关键网络基础设施的监控。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/EahbrbVDJj-iKBwhj5ZueA 封面来源于网络，如有侵权请联系删除

近日，由于谷歌内部机器人“错误操作”，一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。 同时，也有安全专家认为“真实版”谷歌搜索排名机制文档的泄露对黑帽SEO来说也是一次不可多得的“盛宴”。 机密文档被“开源” 泄露文档描述了谷歌内容仓库API的旧版本，披露了谷歌搜索内部运作的幕后（真实）细节。 据悉，这些材料于3月13日左右由谷歌自己的自动化工具无意中提交到一个可公开访问的谷歌GitHub存储库（链接在文末）。该自动化工具在提交时附上了Apache2.0开源许可证，这是谷歌公共文档的标准做法。5月7日的一次后续提交试图撤回这一泄露。 这些文档被搜索引擎优化（SEO）公司EA Digital Eagle的首席执行官Erfan Azimi发现，并于上周日由其他SEO从业者——SparkToro的首席执行官Rand Fishkin和iPullRank的首席执行官Michael King披露。 从技术上讲，由于谷歌是在Apache2.0许可下发布的文档，这意味着任何偶然发现这些文档的人都获得了“永久、全球、非独占、免费、免版税、不可撤销的版权许可”，因此这些文档现在可以在线免费获取（链接在文末）。 泄露文档样本 欺骗 SEO 行业多年 这些泄露文档不包含代码，主要描述了如何使用谷歌内容仓库API（GoogleApi.ContentWarehouse，可能仅供内部使用）；泄露的文档包括大量对内部系统和项目的引用。虽然谷歌云API中有一个同名的公共API，但GitHub上泄露的内容显然超出了这个范围。 这些文件揭示了谷歌在网页相关性排名中优先考虑的因素（与公开规则有出入），这也是SEO行业和网站运营者们长期关注的问题。 这批超过2500页的文档详细描述了与API相关的14000多个属性，但由于这些属性是否被使用，以及是否重要的信息很少。因此，很难辨别谷歌在其搜索结果排名算法中给这些属性分配的权重。 但上述SEO专家认为，泄露文档包含了大量颇具价值的细节，因为它们与谷歌多年来的公开声明并不完全一致，甚至是矛盾的。 “这些细节与谷歌多年来的公开声明相矛盾，例如谷歌一再公开（撒谎）否认使用以点击为中心的用户信号，否认在排名中单独考虑子域名，否认对新网站进行沙盒处理，否认收集或考虑域名年龄等。”SparkToro的Fishkin在一份报告中解释道。 iPullRank首席执行官King在文章中提到了谷歌搜索顾问John Mueller的一段视频声明，后者称“谷歌没有类似网站权威评分的东西”——即否认谷歌会评级网站的权威性，并在搜索结果中给与更高排名。 但King指出，泄露文档包含“siteAuthority”站点权威评分。 一个关键的关注点是点击的重要性——不同类型的点击（好点击、坏点击、长时间点击等）在确定网页排名中的作用。在美国政府对谷歌的反垄断审判中，谷歌承认点击指标是网页搜索排名的一个因素。 另一个发现是谷歌使用Chrome浏览器中浏览的网站作为质量信号，在API中显示为参数ChromeInTotal。“与页面质量评分相关的一个模块包含来自Chrome浏览器的站点级视图衡量标准，”King解释道。 此外，文件还显示谷歌考虑了其他因素，如内容新鲜度、作者身份、页面是否与网站的核心内容相关、页面标题与内容的一致性以及文档正文中术语的平均加权字体大小。 这些泄露的文档不仅揭示了谷歌搜索排名的复杂机制，还暴露了谷歌内部机制与公开声明的表里不一。这些信息对SEO行业和网站运营者来说无疑是宝贵的洞见，当然，对于黑帽SEO来说更是如此。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16528.html 封面来源于网络，如有侵权请联系删除

上周六，RansomHub 组织在其泄密网站上发布了 Frontier Communications，声称掌握了 200 多万人的敏感信息。该组织表示，他们花了两个多月的时间试图勒索Frontier，但从未得到回应。 Frontier 没有回应置评请求，但在 4 月份该公司向美国证券交易委员会（SEC）报告了一起网络安全事件。 当时，这家总部位于达拉斯的公司 Frontier 表示， 4 月 14 日他们检测到其 IT 系统遭到未经授权访问后开始采取 “遏制措施”，其中包括 “关闭公司的某些系统”。该公司称，这些关闭造成的运营中断 “可被视为重大影响”。 Frontier 在向美国证券交易委员会提交的文件中说：“根据公司调查，已确定第三方很可能是一个网络犯罪团伙，该团伙获取了包括个人身份信息在内的其他信息。” 该该勒索软件团伙声称，他们可以访问用户的姓名、地址、社会安全号码、信用评分等信息。自今年早些时候出现以来，RansomHub 因为几起备受瞩目的事件备受关注。 参与针对 Change Healthcare 的勒索软件攻击的黑客正在使用 RansomHub 平台出售被盗信息，这可能涉及三分之一美国人的医疗保健数据。 该组织的成员还声称对全球收入最高的拍卖行佳士得(Christie’s)和其他组织发动了攻击。 NCC Group 的专家表示，RansomHub 是 3 月份第三大最多产的勒索软件团伙，至少发动了 27 次攻击。该组织的出现强化了安全研究人员长期以来的一个说法，即勒索软件团伙的行动是模糊的，其分支机构在不同的行动之间游走，并将窃取的数据或访问权限出售给不同的团伙。 在安全公司 Mandiant 的一份勒索软件报告中，研究人员表示，Ransomhub 正试图“招募最近受到关闭或退出诈骗影响的分支机构”——最明显的是执法部门取缔了 LockBit 和 AlphV 。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402610.html 封面来源于网络，如有侵权请联系删除

近日，Cox Communications修复了一个授权绕过漏洞，该漏洞允许远程攻击者滥用暴露的后端api来重置Cox调制解调器的设置并窃取客户的敏感个人信息。据悉，该漏洞影响到了数百万Cox提供的调制调节器。 Cox是美国最大的私人宽带公司，通过光纤网络为30多个州的近700万家庭和企业提供互联网、电视和电话服务。 此次的 Cox安全漏洞是由赏金猎人Sam Curry发现的。他发现一旦威胁行为者成功利用该漏洞，就能够获取到与ISP技术支持类似的一组权限。 攻击者可以利用这一访问权限，通过存在漏洞的 Cox API 访问数百万台 Cox 设备，覆盖配置设置并在设备上执行命令。 举例来说，通过利用这个身份验证绕过漏洞，恶意行为者可以通过暴露的 API，使用 Cox 客户的姓名、电话号码、电子邮件地址或账号查找他们并窃取他们的个人身份信息（PII），包括 MAC 地址、电子邮件、电话号码和地址。 不仅如此，攻击者还可以通过查询在前一攻击阶段窃取的硬件 MAC 地址，收集连接设备的 Wi-Fi 密码和其他信息。继而执行未经授权的命令、修改设备设置并控制受害者的账户。 库里表示：这一系列漏洞也展示了一种方法。在不具备任何先决条件的情况下，由外部攻击者执行命令并修改数百万调制解调器的设置，可访问任何企业客户的 PII，并获得与 ISP 支持团队基本相同的权限。 目前已有 700 多个公开的 API，其中许多提供了管理功能，如查询调制解调器的连接设备。每个 API 都存在相同的权限问题，重复重放 HTTP 请求将允许攻击者运行未经授权的命令。 不过，该公司在Curry 报告后的 6 小时内就立即关闭了暴露的 API 调用，并在第二天修补了漏洞。 作为后续安全审查的一部分，Cox 方面还调查了这一攻击向量在被报告之前是否曾被利用过，但截至目前并未发现被滥用的证据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402577.html 封面来源于网络，如有侵权请联系删除

OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 近日，因安全团队核心人员离职而深陷信任危机的OpenAI发布了最新的安全报告，宣称在过去三个月中挫败了五个利用ChatGPT操控舆论的黑客组织APT行动（舆论黑客）。 OpenAI将操控舆论的影响力活动（IO）定义为“试图以欺骗的方式操纵舆论或影响政治结果，而不揭露背后行为者的真实身份或意图”。 在报告中，OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 “舆论黑客”攻击成效不及预期 舆论操控和内容安全是人们最担忧的两大人工智能威胁，尤其是国家黑客组织利用ChatGPT-4o为代表的多模态大模型进行大规模的，跨平台、跨国界的意识形态渗透和社交媒体舆论操控。 据OpenAI报告，这些“舆论黑客”行动主要利用人工智能生成大量社交媒体帖子和评论等文本内容，同时还进行了一些辅助性的工作，例如通过调试代码来提高生产力。 但是，根据布鲁金斯突破量表(Brookings Breakout Scale)的评估，这些“舆论黑客”行动的评分均未超过2分，目前尚未取得显著成效。 布鲁金斯突破量表用1-6分来衡量影响力行动的影响范围，其中1分表示仅限于单个社区或平台，6分则意味着引发了政策干预或其他具体行动，例如暴力事件。2分意味着影响力行动跨越了单个平台中的多个社区，或者影响了多个平台中的单个社区。 五大舆论黑客攻击活动 报告指出，虽然“舆论黑客”来自全球各地，但本质上却非常相似，主要利用ChatGPT为多平台生成多语言版本的内容（账户、文章、评论、标签等），以下为报告调查的五大“舆论黑客”行动： “垃圾伪装(Spamouflage)”。该行动利用OpenAI的工具进行代码调试、社交媒体活动研究，并用多种语言在X平台、Medium和Blogspot发布内容。 俄罗斯的“语法错误(Bad Grammar)”。一个来自俄罗斯的新威胁组织，主要针对Telegram平台的东欧和美国用户。它也利用人工智能来调试用于运行Telegram机器人的代码，并用英语和俄语生成Telegram上的政治评论。 俄罗斯的“变形金刚(Doppelganger)”。这个俄罗斯组织利用人工智能在X平台和9GAG上用五种欧洲语言发布评论，生成标题，并将新闻文章翻译、编辑并转换成Facebook帖子。 伊朗的“国际虚拟媒体联盟(IUVM)”。利用人工智能为其网站生成和翻译文章、标题和网站标签。 以色列的“零点禅(Zero Zeno)”行动。由位于特拉维夫的政治营销和商业情报公司Stoic运营。Stoic利用OpenAI为Instagram、Facebook、X平台和其他网站生成文章和评论。Meta公司最近在其“对抗性威胁报告”中也点名了Stoic。报告显示，Meta删除了与Stoic关联的510个Facebook账户、32个Instagram账户、11个页面和1个群组。Stoic的各个Instagram账户只有大约2000个关注者，Facebook页面约有500个关注者，其Facebook群组的成员人数不足100人。 为了打击人工智能的滥用，OpenAI在一份更详细的报告中透露正在与传媒、社交网站和科技行业合作伙伴合作，并利用舆论黑客的威胁活动来设计更安全的用户平台。该公司还表示正在“投资于技术和团队，以识别和阻止恶意行为者，以及利用人工智能工具来帮助打击滥用行为。”报告并未进一步详细说明OpenAI采取了哪些具体措施来阻止和打击恶意行为者， 舆论黑客的四大攻击趋势 OpenAI在报告中透露，根据自身调查以及开源社区的工作，发现舆论黑客使用（类似ChatGPT的）大语言模型进行的隐蔽宣传活动呈现四大趋势： 内容生成：所有舆论黑客都利用OpenAI的服务生成大量文本（偶尔还包括图像），并且语言错误比仅靠人工操作者要少得多。 融合新旧：所有这些行动都不同程度地使用了人工智能，但没有一个行动只使用人工智能。相反，人工智能生成的内容只是他们发布的众多内容类型之一，其他类型包括更传统的形式，例如手动编写的文本或从互联网上复制的模因。 伪造参与度（人气）：OpenAI瓦解的一些活动利用ChatGPT在社交媒体上营造用户参与热度的假象。例如，用人工智能生成内容回复或评论自己的帖子。 提高效率：许多舆论黑客都尝试利用ChatGPT来提高效率，例如总结社交媒体帖子或调试代码。 舆论黑客的五大防御趋势 OpenAI在报告中指出，虽然关于人工智能的潜在应用的讨论的大多关注攻击侧，但是人工智能也为防御者提供了优势。例如人工智能技术大大提高了OpenAI的调查效率，以下为人工智能提高内容安全防御能力的五大趋势： 防御设计：OpenAI通过内容安全系统给攻击者制造麻烦，这也是OpenAI负责任地部署人工智能的方法。例如，OpenAI多次观察到ChatGPT拒绝生成舆论黑客要求的文本或图像。 人工智能增强调查：OpenAI基于此前使用GPT-4进行内容审核和网络防御的方法，又开发了新人工智能工具来提高（用户会话内容的）检测和分析效率。得益于新的工具，此次报告的调查耗时仅数天，而不是数周或数月。随着模型的改进，OpenAI将继续利用其功能来改进调查。 分发很重要：与传统的内容形式一样，人工智能生成的内容也必须进行分发才能到达受众。这些舆论操控行动在各种平台上发布内容，包括X、Telegram、Facebook、Medium、Blogspot和较小的论坛，但截至调查结束没有一个活动成功吸引大量受众。 行业共享的重要性：为了提高对舆论黑客行为的防御和反击能力，OpenAI与业界同行分享了详细的威胁指标。OpenAI自己的调查也受益于研究社区多年来的开源分析。 人为因素：人工智能可以改变人类操作者使用的工具包，但它不会改变操作者本身。OpenAI的调查表明，攻击者与前几代人一样容易犯人为错误。例如，（因为疏忽）将ChatGPT的拒绝消息发布在社交媒体和他们的网站上。虽然攻击工具在不断进化，但是黑客活动的运营和决策者的人性弱点和局限性并没有变。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aVzureY0NPIfZoJ3zfSXmA 封面来源于网络，如有侵权请联系删除

BleepingComputer网站消息，近日，卡巴斯基发布了一款名为 KVRT 的新型病毒清除工具，允许 Linux 平台用户免费扫描系统并清除恶意软件和其他已知威胁。 该安全公司指出，人们普遍认为 Linux 系统本质上是安全的，不会受到威胁，但不断有 “野生 ”的例子证明并非如此，XZ Utils 后门就是其中之一。 卡巴斯基的新工具并不是实时威胁防护工具，而是一个独立的扫描器，可以检测恶意软件、广告软件、被滥用于恶意目的的合法程序以及其他已知威胁，并提供清理服务。 被删除或清除的恶意文件副本会以无害形式保存在隔离目录中。 该应用程序使用一个经常更新的反病毒数据库来扫描整个系统的匹配病毒，但用户每次都需要下载一个新的副本来获取最新的定义。 “我们的应用程序可以扫描系统内存、启动对象、引导扇区和操作系统中的所有文件，以查找已知的恶意软件。它可以扫描所有格式的文件，包括存档文件。”卡巴斯基说。 需要注意的是，KVRT 仅支持 64 位系统，并且需要激活互联网连接才能工作。 卡巴斯基已经在流行的 Linux 发行版上测试了该工具，并确认它可以在 Red Hat Enterprise Linux、CentOS、Linux Mint、Ubuntu、SUSE、openSUSE 和 Debian 等系统上运行。 卡巴斯基表示，即使发行版不在支持系统列表上，KVRT 也很有可能顺利运行，所以尝试运行一下扫描也无妨。 KVRT 主窗口 使用 KVRT KVRT 可从此处下载，下载后，用户需要将文件设为可执行文件，并以根用户身份运行，以获得最大功能。 KVRT 既可以在图形用户界面（GUI）上执行，也可以作为命令行工具在终端上执行。因此，它可以在较低的初始运行级别（低至 3 级）下使用（在这种情况下，人们可能会在感染恶意软件后陷入困境）。 如果普通用户执行扫描程序，它将不具备扫描所有可能隐藏威胁的目录和分区所需的权限。 在初始化过程中，扫描程序会将一些必要的文件解压缩到的临时目录中，但一旦关闭，这些文件就会被清除。 卡巴斯基在该网页上提供了如何通过图形用户界面和控制台设置二进制文件以执行的详细说明。 BleepingComputer 表示，他们没有测试过 KVRT 的有效性，也不能保证其安全性，因此使用该工具需要自行承担风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/402471.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，AhnLab 安全情报中心（ASEC）发现网络攻击者正利用资源网站上的盗版微软 Office办公软件传播多种恶意软件。 这些恶意软件包括远程访问木马（RAT）、加密货币挖掘机、恶意软件下载器、代理工具和反病毒程序。 破解版 Office 安装程序具有精心设计的界面，用户可以选择要安装的版本、语言。用户一旦开始安装，安装程序就会在后台启动一个混淆的 .NET 恶意软件，该恶意软件会联系 Telegram 或 Mastodon 频道，以接收一个有效的下载 URL，并从该 URL 获取其他组件。 恶意Office安装程序界面 由于URL 指向 Google Drive 或 GitHub，这两种合法服务都不太可能触发防病毒警告。这些平台上托管的 base64 有效载荷包含 PowerShell 命令，使用 7Zip 解压缩后可将一系列恶意软件引入系统。 获取和解压缩恶意软件的组件 恶意软件组件 “Updater “会在 Windows 任务计划程序中注册任务，以确保在系统重启期间持续运行。据 ASEC 称，恶意软件会在被入侵系统上安装以下类型的恶意软件： Orcus RAT：实现全面远程控制，包括键盘记录、网络摄像头访问、屏幕捕获和系统操作，以实现数据外渗。 XMRig：使用系统资源挖掘 Monero 的加密货币矿机，会在受害者玩游戏等资源使用率高的时候停止挖矿，以避免被发现。 3Proxy：通过打开 3306 端口将受感染系统转换为代理服务器，并将其注入合法进程，允许攻击者路由恶意流量。 PureCrypter：下载并执行来自外部的额外恶意有效载荷，确保系统持续感染最新威胁。 AntiAV：通过修改配置文件破坏和禁用安全软件，阻止软件正常运行。 即使用户发现并删除了上述恶意软件，在系统启动时执行的 “更新器 “模块也会重新引入恶意软件。 类似的活动也被用来推送 STOP 勒索软件——一款针对消费者的活跃勒索软件。 攻击链 由于这些文件没有数字签名，且用户在运行这些文件时通常会忽略杀毒软件的警告，因此它们经常被网络攻击者用来入侵系统。建议用户在安装从可疑来源下载的文件时应谨慎，一般应避免安装盗版/破解软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/402477.html 封面来源于网络，如有侵权请联系删除