星链被俄罗斯攻破，不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 据“纽约时报”报道，俄罗斯正在利用更先进的手段，对乌克兰的星链造成广泛破坏，乌克兰数字部长Mykhailo Fedorov表示该消息属实。 自俄乌冲突爆发以来，星链为乌克兰提供了不可或缺的卫星通信服务，是提供态势感知、部队指挥和控制以及部队之间通信的关键因素之一，例如军队之间的通信、收集情报、无人机袭击等等。由于星链被俄罗斯网络人员攻破，乌克兰第92突击旅大受影响，其原定动作已经慢了下来。 乌克兰官员表示，俄罗斯采用了更先进的工具，可以大幅降低星链的服务质量，这也是俄罗斯首次对星链造成如此严重的破坏，并导致星链服务中断。这不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 资料显示，星链的工作原理是从绕地球运行的卫星上传送互联网连接。这些信号通过地面终端进行接收，然后像Wi-Fi路由器一样将连接发送到附近的笔记本电脑、电话和其他设备上。自2022年以来,”星链”为乌克兰提供了至关重要的互联网服务，例如依靠它来指导互联网连接的无人机群。 国与国之间的网络战最终还是不可避免地延伸至太空领域。5月27日，乌兰克数字部长Mykhailo Fedorov表示，俄罗斯对星链发起了大规模攻击，大量的通信服务被干扰，中断。有消息指出，对于星链的攻击与破坏还在测试中，俄罗斯正在寻找更具威胁的攻击方法，目前乌兰克正在与星链协商如何应对当前局面。 乌克兰士兵表示，星链正在变得“超级、超级缓慢”，甚至于很多士兵开始使用短信通讯，而非即时通讯软件，即使如此短信也需要有足够的时间才能发送，更别提利用星链来发动无人机群进行侦查和攻击。 目前美国正与星链共同应对当前状况，有专家表示，在干扰卫星与地面之间的通讯方面俄罗斯确有其独到之处，俄罗斯对于星链的攻击还有可能破坏器全球定位系统。急剧下降的服务质量让乌克兰部队苦不堪言，其士兵也在不断尝试各种技术与方法，以保护星链免遭攻击，具体包括将终端放置在洞中，并覆盖金属网等，但有专家认为这种方案的效果不大。 乌克兰使用的星链被俄罗斯攻破也给各国关键信息基础设施防护敲响了警钟。一直以来，电信行业关键信息基础设施能够提供网络通信和信息服务，为社会经济起到基础性支撑作用。面对日益严峻的安全风险和安全挑战，各国在关键信息基础设施保护方面积极开展实践，做好电信网络关键信息基础设施安全保护是重中之重。 近年来，国内外针对基础设施和重要信息系统的网络攻击事件频发，攻击手段不断升级，关键信息基础设施受到的网络威胁呈逐年上升趋势，对社会稳定和国家安全造成了巨大威胁，关键信息基础设施安全运行面临巨大挑战。 公共通信网和互联网作为国家信息化、数字化建设的主要载体，是最典型、最重要的关键基础设施，基础运营商的通信网、信令网、业务系统等重要系统是国家基础信息服务的支撑。 因此，电信行业关键信息基础设施运营者需建立关键信息基础设施保护安全管理体系、技术体系和运营体系。另外应呼吁行业协同保护关键信息基础设施安全，建立主动防御、信息共享、应急响应、预警通报和态势感知等协同机制，共同建立电信行业关键信息基础设施保护安全体系。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402143.html 封面来源于网络，如有侵权请联系删除

Fortinet FortiSIEM 产品的一个关键漏洞出现了一个可行的攻击（PoC），这为更广泛的攻击提供了更多机会。 该漏洞被追踪为 CVE-2024-23108，于今年 2 月披露并修复，同时修复的还有与其相关的另一个漏洞 CVE-2024-23109。这两个漏洞在 CVSS 评分系统中的最高严重性评分均为 10 分，都是未经身份验证的命令注入漏洞，攻击者可能利用伪造的 API 请求实现远程代码执行（RCE）。 据 Horizon3AI 的研究人员称，该漏洞被他们称为“NodeZero”，允许用户“以 root 身份在受影响的 FortiSIEM 设备上盲目执行命令”。在 PoC 中，他们使用该漏洞加载了一个用于后继活动的远程访问工具。 FortiSIEM 是 Fortinet 的安全信息和事件管理（SIEM）平台，用于支持企业网络安全运营中心。因此，如果该平台被攻破，攻击者可以以此为跳板进一步入侵企业环境。 受漏洞影响的 FortiSIEM 版本包括 7.1.0 至 7.1.1、7.0.0 至 7.0.2、6.7.0 至 6.7.8、6.6.0 至 6.6.3、6.5.0 至6.5.2 以及 6.4.0 至 6.4.2，用户应立即打上补丁，以避免受到威胁。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402244.html 封面来源于网络，如有侵权请联系删除

近日，有网络安全研究人员警告称，在Python 软件包索引（PyPI）库中发现了一个新的恶意 Python 软件包，该软件包为黑客盗取加密货币提供了便利。 该恶意软件包名为 pytoileur，截至发稿前已被下载 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 维护者删除后，该软件包的作者（名为 PhilipsPY）上传了一个新版本（1.0.2），并且功能完全相同。 根据 Sonatype 发布的分析报告显示，恶意代码被嵌入到了软件包的 setup.py 脚本中，使其能够执行 Base64 编码的有效载荷，该有效载荷负责从外部服务器检索 Windows 二进制文件。 安全研究员 Sharma 表示：检索到的二进制文件’Runtime.exe’会利用 Windows PowerShell 和 VBScript 命令在系统上运行。 一旦安装，二进制文件就会建立持久性并投放额外的有效载荷，包括间谍软件和能够从网络浏览器和加密货币服务中收集数据的窃取恶意软件。 Sonatype 表示，它还发现了一个新创建的名为 “EstAYA G ”的 StackOverflow 账户，该账户在问答平台上回复用户的询问，并引导用户安装恶意 pytoileur 软件包，并将其作为所谓的问题解决方案。 Sharma告诉《黑客新闻》称：虽然在无法访问日志的情况下评估互联网平台上的伪匿名用户账户很难确定其归属，但这两个账户的使用年限及其发布和推广恶意 Python 软件包的目的都表明，这些账户与这次活动背后的黑客有关。 Sonatype 表示：黑客公开滥用可信平台，并将其作为恶意活动的“滋生地”，这对于全球开发者来说都是一个巨大的警示信号。 鉴于 StackOverflow 平台上有很多新手开发者，他们仍在学习、提问，可能会听信恶意建议，因此 StackOverflow 的漏洞尤其令人担忧。 通过对软件包元数据仔细研究发现，它与 Checkmarx 于 2023 年 11 月披露的涉及 Pystob 和 Pywool 等虚假 Python 软件包此前的活动有相似之处。 这些发现再次说明了为什么开源生态系统仍然吸引着黑客的原因，这些黑客往往希望通过所谓的供应链攻击，并利用 Bladeroid 等信息窃取程序和其他恶意软件入侵多个目标。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402227.html 封面来源于网络，如有侵权请联系删除

近日，TP-Link Archer C5400X 游戏路由器被曝存在高危安全漏洞，未经认证的远程威胁攻击者能够通过发送特制请求，在受影响设备上任意执行代码。 据悉，安全漏洞被追踪为 CVE-2024-5035，CVSS 评分为 10.0，主要影响包括 1_1.1.6 及之前版本在内的所有版本的 TP-Link Archer C5400X 游戏路由器固件。鉴于 CVE-2024-5035 安全漏洞的影响范围广、危害程度大、可利用性高等特点，TP-Link 方面在 2024 年 5 月 24 日发布的 1_1.1.7 版本中，修补了安全漏洞。 CVE-2024-5035 安全漏洞详情 CVE-2024-5035 安全漏洞产生的根源在于一个与射频测试 “rftest ”相关的二进制文件，该文件在启动时暴露了 TCP 端口 8888、8889 和 8890 上的网络监听器，从而允许未经认证威胁攻击者，能够远程轻松执行任意代码。 虽然该网络服务被设计为只接受以 “wl ”或 “nvram get ”开头的命令，但网络安全公司 ONEKEY 发现，只要在 shell 元字符（如 ; 、& 或 |）（如 “wl;id;”）之后注入命令，就可以轻松绕过这一限制。TP-Link 公司在版本 1_1.1.7 Build 20240510 的更新中，通过丢弃任何包含这些特殊字符的命令解决该漏洞。 近段时间，TP-Link 公司频频爆出安全漏洞问题，在 CVE-2024-5035 安全漏洞披露的前几周，TP-Link 公司还披露了台达电子 DVW W02W2 工业以太网路由器和 Ligowave 网络设备中存在的两个安全漏洞，分别被追踪为 CVE-2024-3871 和 CVE-2024-4999，远程威胁攻击者能够利用这些安全漏洞，提升的自身权限，执行任意远程命令。 更糟糕的是，由于 TP-Link 公司不再对上述两个安全漏洞进行积极维护，导致受影响的相关设备仍未打补丁。因此，用户必须采取适当措施限制管理界面的暴露，以最大程度上降低威胁攻击者利用安全漏洞的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402141.html 封面来源于网络，如有侵权请联系删除

据黑客新闻（The Hacker News）消息，中国安全厂商奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击，包括分布式拒绝服务 （DDoS） 攻击。 奇安信X实验室团队发现，这些漏洞影响了Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Realtek、Seagate、SonicWall、Tenda、TOTOLINK、TP-Link、ZTE 和 Zyxel 等厂商的路由器、网络设备。 奇安信和绿盟科技曾在 2023 年8月首次观测到 CatDDoS，将其描述为能够使用 UDP、TCP 和其他方法执行 DDoS 攻击的 Mirai 僵尸网络变体。除了使用 ChaCha20 算法加密与 C2 服务器的通信外，它还利用 C2 的 OpenNIC 域来试图逃避检测，这一技术也曾被另一个基于 Mirai 的 DDoS 僵尸网络 Fodcha 采用。 根据绿盟科技截至 2023 年 10 月共享的信息，该恶意软件的大多数攻击目标位于中国，其次是美国、日本、新加坡、法国、加拿大、英国、保加利亚、德国、荷兰和印度。X实验室表示，这些攻击涵盖云服务提供商、教育、科学研究、信息传输、公共管理、建筑等行业。 CatDDoS攻击趋势数据 虽然CatDDoS被怀疑已在2023年12月中止了攻击活动，但源代码已被放在了Telegram 群组中出售，进而后续出现了如RebirthLTD、Komaru、Cecilio Network等攻击变种。尽管不同的变种管理方式不同，但在代码、通信设计、字符串、解密方法等方面几乎没有变化。 另一种威胁—— DNSBomb 就在研究人员披露CatDDoS僵尸网络之际，一种被称为DNSBomb的脉冲式拒绝服务技术（PDoS）也浮出水面。该攻击利用合法的 DNS 功能，例如查询速率限制、查询-响应超时、查询聚合和最大响应大小设置，使用恶意设计的权威服务器和易受攻击的递归解析器创建定时响应泛洪。 清华大学NISL实验室博士生李想表示，DNSBomb 利用多种广泛实现的 DNS 机制来累积以低速率发送的 DNS 查询，将查询放大为大型响应，并将所有DNS响应集中到一个短而大容量的周期性脉冲爆发以压倒目标系统，所进行的小规模实验表明，峰值脉冲幅度可以接近8.7Gb/s，带宽放大因子可以超过2万倍。 由于DNSBomb 旨在通过周期性爆发的放大流量来淹没目标，因此难以对这些流量进行检测。 目前该研究已于2023年10月公布在上海举行的GEEKCON 2023活动中，并在2024年5月20日至23日举行的旧金山第45届IEEE安全与隐私研讨会上再次发表。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402138.html 封面来源于网络，如有侵权请联系删除

佳士得拍卖行确认遭遇数据泄露攻击，原因是一个勒索软件组织周一威胁要泄露从该公司窃取的数据。 本月初，佳士得网站下线，该公司当时称这是“技术安全事件”。此次网络攻击发生时，佳士得拍卖行正准备拍卖价值约 8.4 亿美元的收藏品。虽然此次事件导致潜在买家无法在佳士得网站上查看拍卖品，但人们仍然可以进行竞标。 佳士得是一家拥有250年历史的英国艺术品及奢侈品拍卖行，是全球最富有的拍卖行之一。佳士得去年通过销售艺术品和奢侈品赚取了超过 60 亿美元，此前该公司曾以创世界纪录的 4.5 亿美元价格将列奥纳多·达芬奇的画作《救世主》卖给了一位沙特王子。 佳士得数据泄露事件是RansomHub这一相对较新的勒索软件组织所发起攻击的结果。 该网络犯罪组织于 2024 年 2 月出现，并因开始泄露据称从医疗保健交易处理商 Change Healthcare 窃取的数据而成为最近几周的新闻头条。 RansomHub 于周一在其基于 Tor 的泄密网站上列出了佳士得以及其他一些组织的名单。 该网络犯罪分子声称从拍卖行窃取了 2 GB 的数据，并威胁说如果不支付赎金，他们将在一周内公开这些数据。 RansomHub 勒索软件组织声称窃取了“全球至少 50 万名佳士得拍卖行私人客户”的“敏感个人信息”。 黑客发布的截图显示，他们已经获得一个包含姓名、出生日期、地址、国籍等个人信息以及护照等身份证明文件数据的数据库。 “我们试图与他们达成合理的解决方案，但他们中途停止了沟通。”RansomHub勒索软件组织表示。“很明显，如果发布这些信息，他们将受到 GDPR 的巨额罚款，同时也会毁掉他们在客户心目中的声誉，他们根本不关心客户的隐私。” 佳士得发表声明称，公司本月初遭遇了一起技术安全事故，并迅速采取行动保护系统，包括关闭其网站。 “我们的调查发现，第三方未经授权访问了佳士得的部分网络。他们还发现，事件背后的组织窃取了我们部分客户的少量个人数据。没有证据表明任何财务或交易记录遭到泄露。”佳士得的一位发言人表示。 佳士得发言人补充道：“佳士得目前正在通知隐私监管机构、政府机构，并且正在与受影响的客户进行沟通。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9L_y-acjS_QOvPqSX3BFCA 封面来源于网络，如有侵权请联系删除

近日，在美国颇为流行的商业间谍软件工具pcTattletale登上了美国科技媒体头条，因为该工具的安全漏洞导致17TB用户敏感数据在互联网上公开泄露。 “一键跟踪”的爆款商业间谍软件 pcTattletale是一款公开销售的商业间谍软件，可安装在Windows和Android操作系统设备上，用于远程截取屏幕信息取证，广泛用于跟踪个人（例如夫妻互相监控、父母监控子女）。许多美国酒店入住系统、公司和律师事务所的电脑也安装了该软件，用于监控员工、客户或开展“个性化营销”。pcTattletale最大卖点是易用性，把高端复杂的间谍软件做成了老幼妇孺皆可轻松上手的爆款产品。用户只需在其官网上注册，就可获得定制.exe或.apk跟踪文件，然后在目标设备上安装即可实施持续跟踪（实时屏幕截图）。 该定制文件与用户凭证绑定，从而将安装过程简化为只需两次点击，把易用性做到了极致。安装完成后，间谍软件用户只需登录网站帐户即可触发或访问监控对象的屏幕截图/录屏视频。但pcTattletale提供的所谓录屏视频记录并非视频文件，而是相隔几秒钟拍摄的静态屏幕截图，这些屏幕截图被拼接在一起并以.GIF文件的形式播放，以生成目标所需的（视频）记录。 暗藏后门泄露17TB敏感数据 上周，安全研究人员Eric Daigle发现pcTattletale的API中存在一个严重的低级漏洞：该间谍软件附带了硬编码的AWS凭证，可通过隐藏的Webshell后门访问其亚马逊存储桶（用于存储用户的截屏数据），这意味着攻击者可轻易获取安装了该间谍软件的设备的屏幕截图数据。漏洞披露不久后，pcTattletale遭遇了黑客攻击，黑客从pcTattletale的亚马逊S3存储桶中窃取了高达17TB敏感数据（主要为屏幕截图）被黑客在互联网上公开泄露（下图），任何人都可获取，其中一些截图可追溯到2018年。 黑客公布的数据泄露清单包括数据库转储、stalkerware服务的完整webroot文件以及其他S3存储桶内容，暴露了多年的用户敏感信息。Daigle指出，根据泄露数据样本，大量美国酒店、公司电脑以及至少两家律师事务所似乎都受到了该漏洞的攻击。 虽然pcTattletale花了足足20个小时将入侵的官网关闭，但其客户端软件仍然在源源不断将屏幕截图上传到S3存储桶，直到亚马逊出手锁定了pcTattletale的AWS账户（下图）： 值得注意的是，黑客在攻击中发现的Webshell后门至少从2011年12月起就隐藏在间谍软件的后端代码中，允许通过使用cookie执行任意PHP代码，这引发了人们对其来源的疑问——它是pcTattletale自己放置的后门，还是其他黑客放置的？安全人员buran77指出，这表明pcTattletale基本上一直被后门程序控制，并且多年来可能一直有外部行为者窃取数据。 “受害者”遍布全美各行各业 pcTattletale间谍软件数据泄露事件可谓一石激起千层浪，受影响的受害者（间谍软件用户及其监控目标）遍布全美各个行业。根据安全研究人员maia crimew对泄露数据的初步分析，大量企业和机构都是该工具的忠实用户，其中包括银行、律师事务所、教育机构、医疗机构甚至政府机构等。研究人员分享的一些数据泄露样本/用例如下： 酒店泄露客人信息，例如个人数据和信用卡详细信息。 律师事务所曝光律师与客户之间的沟通以及客户银行路由信息。 一家银行泄露机密客户数据。 学校、托儿所等教育机构监视员工或学生，泄露个人数据。 医疗机构泄露患者信息。 巴勒斯坦政府机构雇员受到监控。 波音公司供应商的人力资源部门泄露员工个人信息。 科技公司在涉嫌不法行为的员工设备上秘密安装pcTattletale，暴露内部系统和源代码。 一名漏洞赏金猎人安装了该软件进行渗透测试，然后立即试图卸载它。 从曝光的泄露数据来看，pcTattletale的应用场景极为广泛，不仅被父母用于监视孩子，配偶相互监视，而且还被大量酒店、律师事务所、学校、科技公司（甚至包括波音公司）用于跟踪员工、客户。这意味着pcTattletale数据泄露事件不仅会泄露大量政企机密信息，同时可能引发大规模的隐私、商业伦理和社会问题。 鉴于受影响的公司范围广泛且存在重大安全漏洞，安全研究员maia crimew指出，pcTattletale可能面临被停业的严重后果，因为美国联邦贸易委员会(FTC)此前已下令其他美国跟踪软件开发商在发生数据泄露事件后停止运营，而pcTattletale的案件也将面临类似的结果。 无论最终结果如何，pcTattletale数据泄露/后门事件都暴露了美国数据安全治理的严重漏洞，很多专业人士质疑该商业间谍软件如何绕过各种数据和隐私安全法规得以公开销售，并担忧同样主打“屏幕截图”的微软Windows的“回忆功能”会引发另一场更大规模的隐私灾难。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/M9Lba-eAaspdXB3ipuTcPg 封面来源于网络，如有侵权请联系删除

数周前被FBI查封的勒索软件泄露数据交易暗网站点BreachForums，如今再次上线。 本周二，BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 5月15日，BreachForums网站和其Telegram频道被查封，两者均显示“现在由FBI控制”的警告。此外，FBI还在BreachForums网站上展示了其管理员Baphomet和ShinyHunters的头像被关在监狱里的图片，许多信息安全观察人士因此认为他们都已被逮捕。 但ShinyHunters团队声称自己毫发无损，并炫耀称其成员没有任何人被捕。 据Hackread.com的报道，ShinyHunters在FBI查封后的第二天重新获得了对BreachForums网站和一个新的暗网域名的访问权。 与此同时，美国司法部或FBI都没有发布关于查封BreachForums的官方声明——这与过去几年高调打击网络犯罪的行事风格不同。FBI也拒绝对之前的查封或BreachForums的重新发表评论。 BreachForums是2022年关闭的RaidForums的替代品，上线至今一直是最令警方头痛的暗网市场。 FBI曾于2023年6月查封了早期版本的BreachForums。其前管理员Conor Brian Fitzpatrick（又名“Pompourin”）被捕，并于今年1月被判处20年监督释放。然而，该网站卷土重来，这次由不同的管理员掌控，但仍然充当勒索软件经纪人。 “BreachForums的重组并不令人意外，”前FBI特工、现任BlueVoyant全球专业服务负责人Austin Berglas表示。 “完全捣毁一个在线有组织犯罪集团极其困难。要确保所有有访问权限的人员都被拘留和离线，识别并查封关键基础设施，包括摧毁整个犯罪组织的金融、技术和通信网络。” “尽管执法部门可能查封主要域名和相关服务器，但可能存在未识别的备份服务器和域名，必要时可以启用，或者之前未识别的个人可能拥有行政或技术访问权限，可以在查封或关闭后使用。”Berglas补充道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EonbSdqw0qrrUV2Xy-DXOA 封面来源于网络，如有侵权请联系删除

近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。 事件发生后，有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。 不过，该公司将此次服务中断归咎于 “大规模技术故障”，该故障影响了其网站和移动应用程序的功能。CDEK 还暂停了包裹运输，以避免人工处理过程中出现错误。 该公司表示：本周一（5月27日），公司在恢复全面运营方面取得了重大进展，但遗憾的是，我们还没有做好恢复服务的准备。您的所有包裹都是安全的，我们正在尽一切必要的努力确保它们尽快到达您的手中。 虽然 CDEK 公司并没有公开表示此次中断是因网络攻击而起，但据该公司内部的一位匿名人士透露给俄罗斯媒体 Vedomosti的消息称，这的确是一起勒索软件攻击事件。本周二（5月28日）晚些时候，俄罗斯国家杜马信息政策委员会主席证实 CDEK 的中断是由网络攻击造成的。 黑客组织在X上公开披露攻击事件 该黑客组织在 X 上发布的一则声明中写道： CDEK 的安全政策几乎是无效的，系统管理员防御能力太弱了。 CDEK 的通讯主管在接受 Interfax 新闻社采访时说，公司打算最迟于 5 月 29 日恢复运营。同时他表示公司正在努力全面恢复服务，也同步准备了备用计划。 CDEK 成立于 2000 年，以特许经营方式运营，截至 2023 年，在 31 个国家拥有超过 4300 个提货点，其中大部分位于俄罗斯。2021 年，公司估值约为 2 亿美元。 有不少СDEK 在俄罗斯的客户近几日纷纷在俄罗斯媒体发表的声明下发表评论，抱怨包裹投递延误。“我们的孩子本应在周五收到我们的包裹。一位客户告诉俄罗斯新西伯利亚市的当地媒体。 另一位俄罗斯公民告诉《生意人报》，快递延误将使他损失 4 万卢布（约合 450 美元）。 黑客没有说明他们为什么要攻击 CDEK，他们在 X 上称 CDEK 是 “俄罗斯最差的快递服务之一”。俄罗斯独立媒体 Meduza 报道称，在俄罗斯入侵乌克兰之初，俄罗斯士兵曾使用 CDEK 从乌克兰边境发送大型包裹。 Head Mare 黑客组织于去年 12 月加入 X，从那时起，它就声称对数家俄罗斯公司的攻击负责，包括互联网提供商、政府机构、工厂以及石油和天然气公司。他们发布了截图来证实这些所谓的攻击，但由于俄罗斯方面没有公开报道，因此很难核实这些行动的真实性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402127.html 封面来源于网络，如有侵权请联系删除

与巴基斯坦有联系的“Transparent Tribe（透明部落）”APT组织涉嫌对印度政府、国防和航空航天部门发动一系列新攻击，这些攻击使用 Python、Golang 和 Rust 编写的跨平台恶意软件。 黑莓研究和情报团队在上周初发布的技术报告中表示：“这一系列活动从 2023 年底持续到 2024 年 4 月，预计还会持续下去。” 此次鱼叉式网络钓鱼活动还因滥用 Discord、Google Drive、Slack 和 Telegram 等流行的在线服务而引人注目，这再次凸显了攻击者如何将合法程序纳入其攻击流程。 据黑莓称，此次电子邮件攻击的目标包括三家公司，它们是国防生产部（DDP）的重要利益相关者和客户。这三家目标公司的总部均位于印度班加罗尔市。 虽然没有透露公司名称，但有迹象表明这些电子邮件针对的是全球最大的航空航天和国防公司之一印度斯坦航空有限公司（ HAL ） 、国有航空航天和国防电子公司巴拉特电子有限公司（ BEL ）以及生产土方设备的国有企业BEML 有限公司。 透明部落APT组织受到全球网络安全社区的普遍关注，其名称包括 APT36、Earth Karkaddan、Mythic Leopard、Operation C-Major 和 PROJECTM。 该组织据信至少自 2013 年以来一直活跃，曾对印度政府、军队和教育机构进行网络间谍活动，此外还针对巴基斯坦、阿富汗、伊拉克、伊朗和阿拉伯联合酋长国的受害者开展过高度针对性的移动间谍软件活动。 此外，该组织还不断尝试新的入侵方法，多年来不断尝试不同的恶意软件，多次迭代其策略和工具包以逃避检测。 Transparent Tribe 使用的一些著名恶意软件家族包括 CapraRAT、CrimsonRAT、ElizaRAT、GLOBSHELL、LimePad、ObliqueRAT、Poseidon、PYSHELLFOX、Stealth Mango 和 Tangelo，后两者与位于拉合尔的一个自由开发团队有关。 移动安全公司 Lookout早在 2018 年就指出，这些开发人员“可供雇用”，并且“至少有一名政府雇员兼职担任移动应用程序开发人员” 。 该组织发起的攻击链涉及使用鱼叉式网络钓鱼电子邮件，通过恶意链接或 ZIP 存档传递有效载荷，由于印度政府严重依赖基于 Linux 的操作系统，他们特别专注于分发 ELF 二进制文件。 感染最终部署三种不同版本的 GLOBSHELL，这是一种基于 Python 的信息收集实用程序， Zscaler之前曾记录过针对印度政府组织内 Linux 环境的攻击。此外，还部署了 PYSHELLFOX 来窃取 Mozilla Firefox 浏览器的数据。 BlackBerry 表示，它还发现了来自攻击者控制的域“apsdelhicantt[.]in”的 bash 脚本版本和基于 Python 的 Windows 二进制文件： swift_script.sh，GLOBSHELL     的 bash 版本 Silverlining.sh     ，一个名为Sliver的开源命令与控制 (C2) 框架 swift_uzb.sh，一个用于从连接的     USB 驱动器收集文件的脚本 afd.exe，一个中间可执行文件，负责下载     win_hta.exe 和 win_service.exe win_hta.exe 和     win_service.exe，两个 Windows 版本的 GLOBSHELL GLOBSHELL for Windows的攻击链 DSOP_Fund_Nomination_Form攻击链和核心功能 作为透明部落战术演变的标志，人们观察到 2023 年 10 月策划的网络钓鱼活动利用 ISO 映像文件部署了基于 Python 的远程访问木马，该木马使用 Telegram 进行 C2 通信。 使用 ISO 映像文件的攻击链 值得指出的是，使用 ISO 文件诱饵攻击印度政府实体是一种自今年年初以来就观察到的做法，这是两起可能相关的入侵事件的一部分 —— 加拿大网络安全公司表示，这种作案手法“具有透明部落攻击链的标志”。 进一步的基础设施分析还发现了一个由 Golang 编译的“一体化”程序，该程序能够查找和窃取具有流行文件扩展名的文件、截取屏幕截图、上传和下载文件以及执行命令。 该间谍工具是开源项目Discord-C2的修改版本，它接收来自 Discord 的指令并通过 ZIP 存档中的 ELF 二进制下载程序传送。 黑莓表示：“透明部落一直将印度国家安全的关键部门作为攻击目标。该组织继续使用一套核心战术、技术和程序 (TTP)，并随着时间的推移不断进行改进。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9lp9towmpMrHMMKbRE654A 封面来源于网络，如有侵权请联系删除