据网络安全公司 Tenable 称，Fluent Bit 是多家大公司使用的流行日志记录实用程序，受到一个严重漏洞的影响，该漏洞可能导致拒绝服务 (DoS) 攻击、信息泄露，甚至可能导致远程代码执行 (RCE)。 Fluent Bit 是一个开源数据收集器和处理器，能够处理来自各种来源的大量日志数据。该工具的下载量已达数十亿次，目前每日部署量超过 1000 万次。 其开发人员表示，微软、谷歌云和 AWS 等主要云公司以及思科、LinkedIn、VMware、Splunk、英特尔、Arm 和 Adobe 等科技巨头都在使用它。 Tenable 研究人员在 Fluent Bit 的内置 HTTP 服务器中发现了他们所说的严重内存损坏漏洞（CVSS 评分为 9.8）。该问题已被命名为Linguistic Lumberjack，官方编号为 CVE-2024-4323。 该网络安全公司已确认，有权访问 Fluent Bit 监控 API（旨在查询和监控内部服务信息）的用户或服务可以发起 DoS 攻击或获取潜在的敏感信息。 也有可能利用 CVE-2024-4323 进行 RCE，但 Tenable 指出，利用取决于多种因素，例如操作系统和主机架构。 Tenable 解释说：“虽然已知此类堆缓冲区溢出是可利用的，但创建可靠的漏洞利用不仅很困难，而且非常耗时。” 该公司周一公开了技术信息和可用于 DoS 攻击的概念验证 (PoC) 代码。 Tenable于 4 月下旬向 Fluent Bit 开发人员报告了其调查结果，虽然已经开发了补丁，但尚未包含在正式版本中。该安全公司表示，它还于 5 月 15 日向微软、AWS 和谷歌云报告了调查结果。 在自己的基础设施和环境中部署 Fluent Bit 的用户可以采取缓解措施，包括限制对该工具 API 的访问以及禁用受影响的端点（如果不使用）。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/714brgIVzP-UVkp79v12jQ 封面来源于网络，如有侵权请联系删除

攻击者声称，美国国防部发生一起重大数据泄露事件，泄露了包含数百万美国人犯罪记录的庞大数据库。 数据库详细信息：据称遭到破坏的数据库包含惊人的 7000 万行数据 格式：CSV 文件大小：压缩时约为 3 GB，未压缩时扩展至 22 GB 涵盖年份：数据跨度为 2020 年至 2024 年 归因：此次违规行为归咎于名为 SXUL 的实体 数据库字段：包括ID、姓氏、名字、出生地、年龄、身高、体重、头发、眼睛、种族、肤色、犯罪日期及描述、定罪时间地点、逮捕日期、案件号等   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/UjY-9yWz09IQATyfUbUMsA 封面来源于网络，如有侵权请联系删除

近日，接上级网信部门通报，南昌某集团有限公司所属IP疑似被黑客远程控制，频繁与境外通联，向境外传输大量数据。 经过立案调查、现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：1.该公司未履行数据安全保护义务，未采取相应的技术措施和其他必要措施保障数据安全，所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序，大量数据疑似泄露或被窃取，相关行为违反了《中华人民共和国数据安全法》第二十七条规定；2.该公司开展数据处理活动未加强风险监测，在发现数据安全漏洞风险和事件时未采取补救措施，未履行风险监测、补救处置等义务，相关行为违反了《中华人民共和国数据安全法》第二十九条规定。 2024年5月15日，南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定，对南昌某集团有限公司处以警告、罚款10万元，对直接负责的主管人员处以罚款2万元的行政处罚。 涉案公司表示，已充分认识到问题的严重性及造成的不良影响，诚恳接受处罚，今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规要求，切实履行好网络安全和数据安全保护义务。 下一步，南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度，依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为，切实维护网络安全、数据安全和社会公共利益，进一步营造安全稳定的网络环境。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/2OmOBQDXcyGgMrCJgxGEsg 封面来源于网络，如有侵权请联系删除

近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。 IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式，针对遍布中美洲和南美洲，非洲，欧洲和印太地区的 60 多个国家 1500 多家银行，发动网络攻击行动。 值得一提的是，自出道以来，Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区，也曾在这些地区发动了多次网络攻击活动，获得很多坏“名声”，但自从巴西当局试图关闭其基础设施后，该组织便开始了战略转变，谋求大规模自主扩张。 同时，Grandoreiro  恶意软件自身也进行了重大改进。 安全研究人员 Golo Mühr 和 Melissa Frydrych 指出， 在对 Grandoreiro  恶意软件进行详细分析后，发现其对字符串解密和域生成算法（DGA）进行了重大更新，并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。 在进行网络攻击时，钓鱼邮件会指示收件人点击链接查看发票或付款（具体取决于诱惑的性质和邮件中假冒的政府实体），一旦点击了链接，用户会被重定向到一个 PDF 图标图像，最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。 自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。此外，它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制 （C2） 服务器，以及下载和执行主要银行木马。 值得注意的是，该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统，以及位于美国且未安装杀毒软件的 Windows 7 机器。 特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令，Grandoreiro 支持各种命令，允许威胁攻击者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。 研究人员强调，为了与本地 Outlook 客户端进行交互，Grandoreiro 使用 Outlook 安全管理器工具，通过使用本地 Outlook 客户端发送垃圾邮件，Grandoreiro 可以利用电子邮件在受感染的受害者收件箱中传播，这很可能是导致从 Grandoreiro 中观察到大量垃圾邮件的原因。   转自Freebuf，原文链接：https://www.freebuf.com/news/401362.html 封面来源于网络，如有侵权请联系删除

有消息称安全研究人员披露了十多个影响通用电气（GE）医疗旗下Vivid系列超声产品的安全漏洞。恶意攻击者可以利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。 OT安全厂商Nozomi Networks发布技术报告称：“这些漏洞可以造成多方面影响，包括在超声设备上植入勒索软件、访问和篡改存储在易受攻击设备上的患者数据等。” 这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop网页应用程序。该应用程序暴露在设备的本地主机接口上，允许用户执行管理操作。 另一个受影响的软件程序叫做EchoPAC，安装在医生的Windows工作站上，帮助他们访问多维度的超声、血管和腹部影像。 物理接触后可造成高危害 要成功利用这些漏洞，攻击者首先需要进入医院环境并与设备进行物理交互，之后他们才能利用这些漏洞获得管理员权限，执行任意代码。 在假设的攻击场景中，恶意攻击者可以通过植入勒索软件锁定Vivid T9系统，甚至窃取或篡改患者数据。 最严重的漏洞是CVE-2024-27107（CVSS评分：9.6），涉及使用硬编码凭证。研究人员发现的其他缺陷包括命令注入（CVE-2024-1628）、以不必要的权限执行（CVE-2024-27110、CVE-2020-6977）、路径遍历（CVE-2024-1630、CVE-2024-1629）以及保护机制失效（CVE-2020-6977）。 Nozomi Networks设计的漏洞利用链，通过CVE-2020-6977获取设备的本地访问权限，然后利用CVE-2024-1628实现代码执行。 Nozomi Networks表示：“为了加快攻击速度，攻击者还可以利用暴露的USB端口，插入一只恶意U盘，通过模拟键盘和鼠标，以比人类更快的速度自动执行所有必要步骤。” 或者，攻击者可以使用通过其他手段（如网络钓鱼或数据泄漏）获取的被盗VPN凭证，访问医院的内部网络，扫描易受攻击的EchoPAC设备，然后利用CVE-2024-27107获取对患者数据库的不受限制的访问，彻底破坏其机密性、完整性和可用性。 GE医疗发布了一系列公告，表示“现有的缓解措施和控制措施”将这些漏洞带来的风险降到了可接受的水平。 公告指出：“具有物理访问权限的恶意攻击者可能会使设备无法使用，但是这种情况不太可能发生。而且设备的预期用户会看到明确的被攻击迹象。该漏洞只能被具有直接物理访问权限的人利用。” 物联网漏洞频发 这次漏洞披露几周前，研究人员在医学成像软件Merge DICOM Toolkit Windows版中发现了数个安全漏洞（CVE-2024-23912、CVE-2024-23913和CVE-2024-23914）。这些漏洞可用于触发DICOM服务进入拒绝服务状态。这些问题已在这一工具库的v5.18版本中得到解决。 此外，研究人员还在西门子SIMATIC Energy Manager（EnMPro）产品中发现了最高严重性安全漏洞（CVE-2022-23450，CVSS评分：10.0）。远程攻击者可以通过发送恶意制作的对象利用该漏洞以SYSTEM权限执行任意代码。 Claroty安全研究员Noam Moshe表示：“成功利用该漏洞的攻击者可以远程执行代码，并完全控制EnMPro服务器。” 强烈建议用户更新到V7.3 Update 1或更高版本，因为之前的所有版本都包含不安全的反序列化漏洞。 集成于物联网设备中的ThroughTek Kalay平台中也曝出了安全漏洞（CVE-2023-6321到CVE-2023-6324）。攻击者可以利用这些漏洞提升权限、以root身份执行命令，并与受害设备建立连接。 罗马尼亚安全厂商Bitdefender表示：“将这些漏洞结合在一起，可以在本地网络内进行未经授权的root访问和远程代码执行，从而彻底破坏受害设备。只有在设备被本地网络探测到后才有可能实施远程代码执行。” 这些漏洞在2023年10月被披露后，于2024年4月得到了修补。这些漏洞影响了Owlet、Roku和Wyze等供应商生产的婴儿监视器和室内安全摄像头。攻击者可以将这些漏洞链接在一起，在设备上执行任意命令。 Bitdefender 补充道：“这些漏洞的影响远远超出了理论攻击的范围，因为它们直接影响依赖ThroughTek Kalay驱动设备的用户的隐私和安全。”   转自安全内参，原文链接：https://www.secrss.com/articles/66222 封面来源于网络，如有侵权请联系删除

勒索软件团伙通过 Google 搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站，针对Windows系统管理员。 WinSCP 和 Putty 是流行的 Windows 实用程序，其中 WinSCP 是 SFTP 客户端和 FTP 客户端，Putty 是 SSH 客户端。 系统管理员通常在 Windows 网络上拥有更高的权限，这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。 Rapid7 最近的一份报告称，搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。 这些广告使用了易混淆的相似域名，例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。 这些网站包含下载链接，单击这些链接后，这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。 假冒 Putty 下载网站推送木马安装程序 下载的 ZIP 存档包含一个 Setup.exe 可执行文件（它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe )）和一个恶意 python311.dll 文件。 当 pythonw.exe 可执行文件启动时，它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。 当用户运行Setup.exe时，认为它正在安装PuTTY或WinSCP，它会加载恶意DLL，该DLL会提取并执行加密的Python脚本。 该脚本最终将安装 Sliver 后利用工具包，这是一种用于初始访问公司网络的流行工具。 Rapid7 表示，攻击者使用 Sliver 远程投放更多有效负载，包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。 攻击链 虽然 Rapid7 分享了有关勒索软件的有限细节，但研究人员表示，该活动与Malwarebytes 和趋势科技发现的活动类似 ，后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。 Rapid7 的 Tyler McGraw 解释说：“在最近的一次事件中，Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据，然后部署勒索软件，但这一尝试最终在执行过程中被阻止。” “Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。” 在过去的几年中，搜索引擎广告已成为一个大问题， 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。 这些广告针对流行程序，包括 Keepass、CPU-Z、  Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、 7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird 和 Brave。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/wdmVhgYz__iF2KJiyvMq6w 封面来源于网络，如有侵权请联系删除

赛门铁克研究人员观察到与朝鲜有关的APT组织Kimsuky使用名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个新版本，Kimsuky 在最近的一次活动中通过特洛伊木马软件安装包传播该后门。 Kimsuky 网络间谍组织 （又名 Springtail、ARCHIPELAGO、Black Banshee、  Thallium、Velvet Chollima、  APT43）于 2013 年首次被卡巴斯基研究人员发现。该 APT 组织主要针对韩国的智库和组织，其他受害者分布在美国、欧洲和俄罗斯。 Gomir 和 GoBear 共享很大一部分代码。 韩国安全公司 S2W 的研究人员于 2024 年 2 月首次发现了该活动，观察到攻击者使用特洛伊木马软件安装包传播名为 Troll Stealer 的新恶意软件系列。 Troll Stealer 支持多种窃取功能，它允许操作员收集文件、屏幕截图、浏览器数据和系统信息。 恶意代码是用 Go 编写的，研究人员注意到 Troll Stealer 包含与早期 Kimsuky 恶意软件大量代码重叠的内容。 Troll Stealer 还可以复制受感染计算机上的 GPKI（政府公钥基础设施）文件夹。 GPKI 是韩国政府人员和国家组织的公钥基础设施架构，这表明政府机构是国家资助的黑客的攻击目标之一。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。 此前有报道称，Wizvera VeraPort 受到了 与朝鲜有联系的组织Lazarus发起的供应链攻击。 “Troll Stealer 似乎与最近发现的另一个名为 GoBear 的基于 Go 语言编写的后门有关。这两种威胁均使用颁发给“D2innovation Co.,LTD”的合法证书进行签名。GoBear 还包含与旧版 Springtail 后门（称为 BetaSeed）类似的函数名称，后者是用 C++ 编写的，这表明这两种威胁具有共同的起源。”赛门铁克发布的报告中写道。 执行时，恶意软件会检查组 ID 值以确定其是否在 Linux 计算机上作为组 0（组与超级用户或管理权限关联）运行。 恶意代码汇集了要执行的命令，研究人员观察到它支持多个命令。包括 Gomir和GoBear Windows后门支持几乎相同的命令。 最新的 Kimsuky 活动强调，朝鲜间谍活动越来越青睐软件安装包和更新作为感染媒介。专家们注意到，木马软件安装程序和虚假软件安装程序已转向软件供应链攻击。一个突出的例子是3CX 供应链攻击，源于早期的 X_Trader 攻击。 “最新的 Springtail 活动提供了进一步的证据，表明软件安装包和更新现在是朝鲜间谍活动者最喜欢的感染媒介之一。”报告总结道。“与此同时，Springtail 专注于第三方网站上托管的木马软件安装程序，需要安装或伪装成官方应用程序。目标软件似乎是经过精心挑选的，以最大限度地提高感染韩国目标的机会。” 该报告还提供了最新活动中使用工件的威胁检测指标（IOCs） ，包括 Troll Stealer、Gomir 和 GoBear dropper。 完整技术报告：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/fnnn4iP3RtT1zWTgr4GnXQ 封面来源于网络，如有侵权请联系删除

据英国TOP10VPN的一份最新研究报告指出，一种基于 IEEE 802.11 Wi-Fi 标准中的设计缺陷能够允许攻击者诱导用户连接至不安全的网络，进而对用户进行网络窃听。 报告指出，该缺陷是基于CVE-2023-52424 SSID 混淆攻击的漏洞利用，涉及所有操作系统和 Wi-Fi 客户端，包括基于 WEP、WPA3、802.11X/EAP 和 AMPE 协议的家庭网络和网状网络。 TopVPN表示，攻击者可以通过发动 “中间人”（AitM）攻击，欺骗客户端连接到一个不受信任的 Wi-Fi 网络，而不是它打算连接的网络。比如当用户想要连接到网络 TrustedNet 时，攻击者会诱骗它连接到使用类似凭证的另一个网络 WrongNet。因此，用户客户端会显示连接到了 TrustedNet，而实际上却连接到的是 WrongNet。 换句话说，即使在连接到受保护的 Wi-Fi 网络时——密码或其他凭证经过了相互验证，也不能保证用户连接到的是他们想要的网络。 研究人员指出，之所以能够利用这一缺陷，一个重要原因是目前的Wi-Fi网络依靠 4 路握手来验证自己和客户端的身份，并协商加密连接的密钥。4路握手需要一个共享的配对主密钥（PMK），根据Wi-Fi版本和所使用的特定认证协议，PMK可以以不同的方式获得。 问题在于，IEEE 802.11 标准并未强制要求在密钥推导过程中包含 SSID。换句话说，当客户端设备连接到 SSID 时，SSID 并不总是认证过程的一部分。在这些实施过程中，攻击者有机会设置一个恶意接入点，欺骗受信任网络的 SSID，并利用它将受害者降级到信任度较低的网络。 攻击者要利用这一弱点，必须具备某些条件，即只在可能拥有两个共享凭证的 Wi-Fi 网络的情况下起作用。例如，环境中可能有分别有一个 2.4 GHz 和5GHz 网络频段，每个频段都有不同的 SSID，但具有相同的验证凭据。通常情况下，客户端设备会连接到安全性更好的 5 GHz 网络。但如果攻击者足够接近目标网络以实施中间人攻击，就可以粘贴一个与 5 GHz 频段具有相同 SSID 的恶意接入点，然后就可以利用恶意接入点接收所有验证帧并将其转发到较弱的 2.4 GHz 接入点，让客户端设备与该网络连接。 值得注意的是，在某些情况下它还可能使 VPN 保护失效。研究人员表示，许多 VPN，如 Clouldflare’s Warp、hide.me 和 Windscribe在连接到受信任的 Wi-Fi 网络时可以自动禁用 VPN。他们指出，这是因为 VPN 根据 SSID 识别 Wi-Fi 网络。 TOP10VPN也指出了了针对SSID混淆攻击的三种防御措施： 更新IEEE 802.11标准，以强制执行SSID身份验证； 妥善存储接入点定期发送的信标，以在客户端连接时能检测 SSID 变化； 避免在不同的 SSID 之间重复使用凭证。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401222.html 封面来源于网络，如有侵权请联系删除

therecord网站消息，美国悬赏500万美元，以获取被控代表朝鲜诈骗公司近 700 万美元的 IT 员工信息。 美国国务院称，从 2020 年 10 月到 2023 年 10 月，一位名叫克里斯蒂娜-查普曼（Christina Chapman）的美国公民帮助化名为 Jiho Han、Chunji Jin 和 Haoran Xu 的工作者以软件和应用程序开发员的身份在多个行业和领域的公司实施欺诈，获得远程工作。 查普曼、以上三名工作者以及一名27岁的乌克兰人奥列克桑德尔·迪登科（Oleksandr Didenko）已被联邦检察官指控参与该计划。三名工作者的经理（化名 Zhonghua 和 Venechor S ）被列为未被起诉的同谋。 本周三，查普曼在她的家乡亚利桑那州利奇菲尔德公园被捕，迪登科于 5 月 7 日在波兰被捕，美国正在寻求对他的引渡。 国务院表示，该诈骗计划帮助 Jiho Han、Chunji Jin 和 Haoran Xu 使用属于 60 多名真实美国人的虚假身份在美国公司获得非法远程工作，为朝鲜创造了至少 680 万美元的收入。 司法部表示，该计划影响了 300 多家美国公司，导致 100 多次向国土安全部传递了虚假信息，为超过 35 名美国人制造了虚假纳税义务。 据美国国务院介绍，这三名工作者与朝鲜军火工业部（该部门负责监督朝鲜弹道导弹的开发、武器生产和研发项目）有关联，他们曾尝试在两家未具名的美国政府机构找到工作，但均以失败告终。不过，他们成功在多家财富 500 强公司获得工作，其中包括排名前五的大型电视网络、一家硅谷科技公司、一家航空航天和国防公司、一家美国汽车制造商、一家奢侈品零售店和一家美国标志性媒体和娱乐公司。 美国国务院称，查普曼帮助他们获取了 60 名美国公民的身份信息，并 “接收和托管 ”了雇主发送的笔记本电脑，目的是让这些朝鲜人看起来像是在美国工作。另外，他还帮助这些工作者远程连接到美国公司的电脑网络、处理工资支票，把钱洗白。 FBI 纽约分局助理局长吉姆-史密斯（Jim Smith）说，迪登科涉嫌在该计划中搭建了一些网站，用于欺诈和盗用美国人的身份。 美国国务院呼吁知道查普曼、 Jiho Han、Chunji Jin 和 Haoran Xu 信息的人提供线索，FBI 也发布了关于朝鲜 IT 人员的警报。 逃避制裁 去年，美国财政部宣布对四个实体实施制裁，这些实体雇用了数千名朝鲜 IT 员工，帮助非法资助朝鲜政权的导弹和大规模杀伤性武器项目。 财政部称，朝鲜在全球各地拥有大批 “高技能 ”IT 员工，这些年薪高达 30 万美元的人“故意混淆自己的身份、地点和国籍，通常使用假冒的角色、代理账户、盗用的身份以及伪造或假冒的文件”来申请工作。 财政部负责恐怖主义和金融情报的副部长布莱恩-纳尔逊（Brian Nelson）指出，朝鲜“广泛的非法网络和 IT 工人活动”有助于“为该政权的非法大规模杀伤性武器和弹道导弹计划提供资金”。 近年来，一些美国执法机构和国际组织对朝鲜 IT 工作者冒充其他国家公民获得工作的情况发出了警告。他们的职位要么用于为朝鲜政权筹集资金，要么用来渗透具有资金和信息获取权限的机构。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401209.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员最近发现一项 SugarGh0st RAT 活动，针对美国参与人工智能领域组织，包括学术界、私营企业和政府服务机构。 2024 年 5 月的活动被称为 UNK_SweetSpecter，使用 SugarGh0st RAT，这是一种根据 Gh0stRAT 定制的远程访问木马，是 Gh0stRAT 的定制变体。 Gh0stRAT 是一种较旧的商品木马，变体被用于针对与人工智能相关的实体，SugarGh0st RAT 历来被用于针对中亚和东亚的目标用户。 Proofpoint 发布的一份报告中描述，这些攻击利用免费电子邮件帐户来分发以 AI 为主题的诱饵，诱使收件人打开 zip 附件。 此后，感染链与思科 Talos之前发现的模式非常相似。值得注意的是，攻击者修改了注册表项名称以实现持久性，并利用了不同的命令和控制 (C2) 服务器。 Proofpoint 分析显示，UNK_SweetSpecter 将 C2 通信转移到了新域 account.gommask[.]online，这凸显了攻击者的敏捷性。 自初次报告以来，SugarGh0st RAT 仅参与了少数活动，表明其行动具有高度针对性。目标包括一家美国电信公司、一家国际媒体组织和一家南亚政府组织，几乎所有收件人的电子邮件地址似乎都是公开的。 Proofpoint写道：“虽然这些活动没有利用技术复杂的恶意软件或攻击链，但[我们的]遥测支持评估所识别的活动极具针对性。” “2024 年 5 月的攻击活动似乎针对不到 10 个人，根据开源研究，所有这些人似乎都与美国领先的人工智能组织有直接联系。” Proofpoint 无法将这些活动高度可信地归因于特定的黑客组织。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/iEXzE0TTvQ_NTxovy_fqBQ 封面来源于网络，如有侵权请联系删除