HackerNews 编译，转载请注明出处： 英伟达（NVIDIA）发布了一项安全更新，以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞，该漏洞编号为 CVE-2024-0148，可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出，该漏洞存在于 UEFI 固件的 RCM 启动模式中，可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用，这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。 “英伟达 Jetson Linux 和 IGX OS 映像在 UEFI 固件 RCM 启动模式中存在漏洞，具有物理访问权限的未授权攻击者可以加载不受信任的代码，”英伟达在安全公告中表示。 该漏洞的 CVSS 基础评分为 7.6，被归类为高严重性威胁。 英伟达已为受影响的平台发布了补丁： CVE ID 受影响产品 平台/操作系统 受影响版本 更新版本 CVE-2024-0148 NVIDIA IGX Orin IGX OS 所有 IGX 1.1 之前的版本 IGX 1.1 CVE-2024-0148 Jetson AGX Orin 系列 Jetson Linux 所有 36.4.3 之前的版本 36.4.3 英伟达建议所有用户立即升级其软件，以降低被利用的风险。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，多个行业和国家共有 49,000 个配置不当且暴露的访问管理系统（AMS），这可能会危及关键领域的隐私和物理安全。 访问管理系统是通过生物识别、身份证或车牌控制员工进入建筑物、设施和限制区域的安全系统。 Modat 的安全研究人员在 2025 年初进行了全面调查，发现了数万个暴露在互联网上的 AMS，这些系统未正确配置安全认证，任何人都可以访问。 这些暴露的 AMS 包含未加密的敏感员工数据，包括： 个人身份信息（姓名、电子邮件地址、电话号码） 生物识别数据，如指纹和面部识别 照片 工作时间表 访问日志，显示谁进出以及何时进出 在某些情况下，Modat 可以编辑员工记录、添加假员工、更改访问凭证，或操纵建筑入口系统，限制合法员工的访问或允许恶意行为者未经授权的物理访问。 对于政府建筑和关键基础设施（如发电站和水处理单位）的暴露 AMS，物理安全风险尤其令人担忧。 除了物理安全风险外，这些暴露的信息还可能被利用，对暴露的组织进行鱼叉式网络钓鱼和社会工程攻击。 暴露的车牌识别 AMS 在全球总共 49,000 个暴露的 AMS 设备中，大多数（16,678 个）位于意大利，其次是墨西哥（5,940 个）和越南（5,035 个）。在美国，Modat 发现了 1,966 个暴露的 AMS 系统。 缓解问题 研究人员直接联系了所有系统所有者，告知他们 AMS 暴露及其对组织的风险。然而，他们告诉 BleepingComputer，目前尚未收到回复，因此不清楚有多少人采取了措施来保护他们的系统。 供应商也收到了通知，一些供应商表示他们正在与受影响的客户合作解决暴露问题。 Modat 为 AMS 用户提供了几项安全建议，包括将系统离线以防止未经授权的远程访问，或将它们置于防火墙和 VPN 后，以限制只有授权人员的访问。 还建议更改默认的管理员凭据，因为这些凭据很容易被暴力破解，如果可能，应实施多因素身份验证（MFA）。 AMS 管理员应应用供应商的最新软件和固件更新，并减少不必要的网络服务，以降低攻击面。 生物识别数据和个人身份信息（PII）应始终以加密形式存储，并且应清除过去员工的数据，以避免通过未在其他系统上禁用的旧账户进行未经授权的访问。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 专注于隐私的电子邮件提供商 Tuta（原名 Tutanota）和 VPN 信任倡议（VTI）对法国拟议的法律表示担忧，这些法律可能会在加密消息系统中设置后门，并限制互联网访问。 第一个案例涉及法国“毒品贩运法”的一项拟议修正案，该修正案将迫使加密通信服务提供商设置后门，使执法部门能够在 72 小时内访问疑似犯罪分子的解密消息。不遵守规定可能会导致巨额罚款：个人最高可达 150 万欧元，公司最高可达其全球年营业额的 2%。 该法律尚未生效，但修正案已通过法国参议院，正在提交国民议会，因此增加反对意见至关重要。 在一份新声明中，Tuta 呼吁法国国民议会拒绝这一修正案，倡导保护强大的加密技术，以维护个人隐私和安全。他们再次强调，强制在软件中设置后门会破坏所有用户的安全和隐私，而不仅仅是犯罪分子，因为这会制造出可能被恶意行为者利用的漏洞。 “为好人设置后门只是一个危险的幻觉，”Tuta 邮件的首席执行官 Matthias Pfau 告诉 BleepingComputer。“为了执法而削弱加密技术，必然会制造出可能被网络犯罪分子和敌对外国行为者利用的漏洞。这项法律不仅会针对犯罪分子，还会破坏每个人的安全。” Tuta 进一步指出，拟议的修正案引发了法律复杂性，因为它据称与欧洲的 GDPR 和德国的 IT 安全法相冲突。 VPN 反对访问限制 本周早些时候，VTI 就法国一项由版权方 Canal+ 和法国足球联赛（LFP）推动的法律修正案发表了强烈声明，他们已采取法律行动，迫使 VPN 提供商阻止对盗版网站和服务的访问。 VTI 的成员包括 AWS、Google、Cloudflare、Namecheap、OVH、IPVanish VPN、Ivacy VPN、NordVPN、PureVPN 和 ExpressVPN，认为这是对 VPN 服务的错误 targeting，并敦促法国当局重新考虑他们的方法。 “将重点放在内容中立的工具如 VPN 上，而不是解决非法内容的来源，不仅无法打击盗版，还会对网络安全和隐私造成附带损害，使用户面临风险，”VTI 表示。 政府压力不断增加 关于法国全面法律提案的最新消息证实了政府行动呈上升趋势，旨在对互联网上的数据流施加更严格的控制和监控。 上周，苹果决定从英国撤下其 iCloud 端到端加密功能“高级数据保护”（ADP），此前政府秘密要求创建一个后门以访问用户数据。 瑞典提出的一项类似法律将允许执法机构访问用户在 Signal 等应用上的消息历史。然而，Signal 的总裁 Meredith Whittaker 在最近的一次采访中表示，这项法律将迫使他们将服务撤出该国。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Xlab 调查，Vo1d 恶意软件僵尸网络的新变种已感染全球 226 个国家的 1,590,299 台 Android TV 设备，将其招募为匿名代理服务器网络的一部分。 Xlab 自去年 11 月以来一直在跟踪这场新的活动，并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值，目前有 800,000 台活跃的僵尸设备。 2024 年 9 月，Dr.Web 杀毒研究人员发现，通过未知感染途径，Vo1d 恶意软件已在全球 200 个国家感染了 130 万台设备。 Xlab 的最新报告表明，Vo1d 僵尸网络的新版本继续在更大规模上运作，不受之前曝光的影响。 此外，研究人员强调，该僵尸网络已进化出高级加密（RSA + 自定义 XXTEA）、具有弹性的 DGA（域名生成算法）驱动的基础设施，以及增强的隐蔽能力。 Vo1d 僵尸网络的规模令人瞩目，使用的 32 个 DGA 种子可生成超过 21,000 个 C2（命令与控制）域名。C2 通信受到 2048 位 RSA 密钥的保护，即使研究人员识别并注册了 C2 域名，也无法向僵尸设备发出命令。 截至 2025 年 2 月，近 25% 的感染设备位于巴西，其次是南非（13.6%）、印度尼西亚（10.5%）、阿根廷（5.3%）、泰国（3.4%）和中国（3.1%）。 研究人员报告称，该僵尸网络出现了显著的感染激增情况，例如在印度，感染设备数量在短短三天内从 3,900 台激增至 217,000 台。 最大的波动表明，僵尸网络运营商可能在“出租”特定区域的设备作为代理服务器，这些服务器通常用于进行进一步的非法活动或自动化攻击。 “我们推测，‘快速激增后急剧下降’的现象可能是由于 Vo1d 将其僵尸网络基础设施出租给其他团体。以下是这种‘出租-归还’周期的工作原理： 出租阶段：在出租开始时，僵尸设备从主 Vo1d 网络转移到承租人的操作中。这种转移导致 Vo1d 的感染数量突然下降，因为僵尸设备暂时从其活跃池中移除。 归还阶段：一旦出租期结束，僵尸设备重新加入 Vo1d 网络。这种重新整合导致感染数量迅速激增，因为僵尸设备在 Vo1d 的控制下再次变得活跃。 这种‘出租和归还’的循环机制可以解释 Vo1d 在特定时间点的规模波动。” Vo1d 僵尸网络是一个多用途的网络犯罪工具，将受感染设备变成代理服务器，以促进非法活动。 受感染设备为网络犯罪分子中转恶意流量，隐藏其活动来源，并融入住宅网络流量中。这还帮助威胁行为者绕过区域限制、安全过滤和其他保护措施。 Vo1d 的另一个功能是广告欺诈，通过模拟广告点击或视频平台上的观看行为来为欺诈广告商生成收入。 该恶意软件具有特定的插件，可自动化广告互动并模拟类似人类的浏览行为，以及 Mzmess SDK，该 SDK 将欺诈任务分配给不同的僵尸设备。 由于感染链仍未知，建议 Android TV 用户采取全面的安全措施来应对 Vo1d 威胁。 首先，从信誉良好的供应商和可信的经销商处购买设备，以尽量减少从工厂或运输途中预装恶意软件的可能性。 其次，安装固件和安全更新至关重要，这些更新可以关闭可能被利用进行远程感染的漏洞。 第三，用户应避免下载 Google Play 以外的第三方应用程序或承诺扩展和“解锁”功能的第三方固件镜像。 如果不需要远程访问功能，应禁用 Android TV 设备的远程访问功能，而在不使用时将其断网也是一种有效的策略。 最终，物联网设备应在网络层面与存储敏感数据的贵重设备隔离。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为 TgToxic（又名 ToxicPanda）的 Android 恶意软件的更新版本，这表明其背后的威胁行为者正在持续做出改变以应对公开报道。 “TgToxic 有效载荷中的修改反映了行为者对开源情报的持续监控，并展示了他们增强恶意软件功能以改进安全措施并使研究人员难以应对的承诺，”Intel 471 在本周发布的一份报告中表示。 TgToxic 最早由 Trend Micro 于 2023 年初记录，被描述为一种银行木马，能够从加密钱包以及银行和金融应用程序中窃取凭据和资金。自 2022 年 7 月以来，它已被检测到在野外出现，主要针对台湾、泰国和印度尼西亚的移动用户。 2024 年 11 月，意大利在线欺诈预防公司 Cleafy 详细描述了一种更新的变种，该变种具有广泛的数据收集功能，并将其操作范围扩展到意大利、葡萄牙、香港、西班牙和秘鲁。该恶意软件被认为是中国威胁行为者所为。 Intel 471 的最新分析发现，该恶意软件通过短信或钓鱼网站分发的 Dropper APK 文件进行传播。然而，确切的传播机制仍未知。 一些显著的改进包括增强了模拟器检测能力和更新了命令与控制（C2）URL 生成机制，突显了持续努力以规避分析。 “该恶意软件对设备的硬件和系统能力进行了彻底评估，以检测模拟，”Intel 471 表示。“该恶意软件检查了一组设备属性，包括品牌、型号、制造商和指纹值，以识别模拟系统中常见的差异。” 另一个重大变化是从嵌入恶意软件配置中的硬编码 C2 域名转向使用论坛（如 Atlassian 社区开发者论坛）创建虚假个人资料，其中包含指向实际 C2 服务器的加密字符串。 TgToxic APK 设计为随机选择配置中提供的社区论坛 URL 之一，该 URL 作为 C2 域名的死胡同解析器。 这种方法具有几个优势，最主要的是它使威胁行为者更容易通过简单地更新社区用户个人资料来指向新的 C2 域名，而无需对恶意软件本身进行任何更新。 “这种方法显著延长了恶意软件样本的使用寿命，只要这些论坛上的用户个人资料保持活跃，它们就能保持功能，”Intel 471 表示。 2024 年 12 月发现的 TgToxic 后续迭代版本更进一步，依赖于域生成算法（DGA）来创建用于 C2 服务器的新域名。这使恶意软件更能抵御破坏，因为 DGA 可以创建多个域名，即使某些域名被关闭，攻击者也可以切换到新域名。 “TgToxic 因其先进的反分析技术（包括混淆、有效载荷加密和反模拟机制）而脱颖而出，这些技术使其能够躲避安全工具的检测，”Approov 首席执行官 Ted Miracco 在一份声明中表示。“其使用动态命令与控制（C2）策略（如域生成算法（DGA））和自动化能力，使其能够劫持用户界面、窃取凭据并执行未经授权的交易，同时具备躲避反制措施的隐蔽性和弹性。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，被称为“空间海盗”的威胁行为者与一场针对俄罗斯信息技术（IT）组织的恶意活动有关，该活动使用了一种此前未被记录的恶意软件，名为 LuckyStrike Agent。 此次恶意活动于 2024 年 11 月被俄罗斯国有电信公司 Rostelecom 的网络安全部门 Solar 检测到。Solar 将该活动追踪为Erudite Mogwai。 攻击还使用了其他工具，如 Deed RAT（也称为 ShadowPad Light）和一个定制版本的代理工具 Stowaway，后者此前已被其他与中国有关的黑客组织使用。 “Erudite Mogwai是活跃的高级持续性威胁（APT）组织之一，专门从事机密信息窃取和间谍活动，”Solar 研究人员表示，“自 2017 年以来，该组织一直在攻击政府机构、各类组织的 IT 部门以及与航空航天和电力等高科技产业相关的企业。” 该威胁行为者最早于 2022 年由 Positive Technologies 公开记录，详细说明了其独家使用 Deed RAT 恶意软件的情况。该组织被认为与另一个名为 Webworm 的黑客组织在战术上有重叠。已知其针对俄罗斯、格鲁吉亚和蒙古的组织。 在针对一个政府行业客户的攻击中，Solar 表示发现攻击者部署了各种工具以协助侦察，同时还投放了 LuckyStrike Agent，这是一个多功能的 .NET 后门，使用 Microsoft OneDrive 进行命令与控制（C2）。 “攻击者不迟于 2023 年 3 月通过入侵一个公开访问的网络服务获得了对基础设施的访问权限，随后开始在基础设施中寻找‘低垂果实’，”Solar 表示，“在 19 个月的时间里，攻击者逐渐在客户的系统中扩散，直到 2024 年 11 月到达与监控连接的网络段。” 值得注意的是，攻击者还使用了修改版的 Stowaway，仅保留了其代理功能，并使用 LZ4 作为压缩算法，采用 XXTEA 作为加密算法，增加了对 QUIC 传输协议的支持。 “Erudite Mogwai开始通过削减不需要的功能来修改这个工具，”Solar 表示，“他们继续进行了一些小的修改，如重命名函数和更改结构大小（可能是为了绕过现有的检测特征）。目前，该组织使用的 Stowaway 版本可以称为一个完整的分支。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Winos 4.0的恶意软件正在通过伪装成台湾地区国税局的钓鱼邮件，针对中国台湾地区的公司展开攻击。 此次攻击活动由Fortinet FortiGuard Labs于上月发现，与以往利用恶意游戏相关应用程序的攻击链条有所不同。攻击者声称附件是“待税务检查的企业名单”，并要求收件人将其转发给公司财务主管。该附件伪装成财政部的官方文件，诱导收件人下载所谓的“待税务检查企业名单”，但实际上是一个包含恶意DLL文件（“lastbld2Base.dll”）的ZIP文件。该文件为下一阶段的攻击做准备，执行下载Winos 4.0模块的shellcode，该模块从远程服务器（“206.238.221[.]60”）下载并收集敏感数据。 Winos 4.0的登录模块具备多种功能，包括截屏、记录按键、修改剪贴板内容、监控连接的USB设备、运行shellcode，以及在Kingsoft Security和Huorong安全提示时允许执行敏感操作（例如cmd.exe）。Fortinet还发现了一个次要攻击链条，该链条可下载一个在线模块，用于截取微信和网上银行的屏幕截图。 值得注意的是，传播Winos 4.0恶意软件的入侵组织被命名为Void Arachne和银狐（Silver Fox），该恶意软件还与另一种名为ValleyRAT的远程访问木马存在重叠。Forescout Vedere Labs的安全研究主管Daniel dos Santos表示：“Winos和ValleyRAT都源自同一源头——Gh0st RAT，这是一种于2008年在中国开发并开源的恶意软件。” ValleyRAT最早于2023年初被发现，最近被观察到利用假冒Chrome网站作为传播渠道，感染使用中文的用户。类似的恶意下载方案也被用于传播Gh0st RAT。此外，Winos 4.0的攻击链条还整合了名为CleverSoar的安装程序，该程序通过伪装成假软件或游戏相关应用程序的MSI安装包执行。Rapid7在2024年11月底指出，CleverSoar安装程序会检查用户的语言设置，如果设置为中文或越南语以外的语言，安装程序将终止，从而防止感染。 与此同时，银狐APT组织还被发现利用被篡改的飞利浦（Philips）DICOM查看器版本部署ValleyRAT，随后用于投放键盘记录器和加密货币矿工。值得注意的是，这些攻击利用了TrueSight驱动程序的漏洞来禁用防病毒软件。Forescout表示：“此次攻击利用被篡改的DICOM查看器作为诱饵，感染受害者系统，部署用于远程访问和控制的后门（ValleyRAT）、用于捕获用户活动和凭据的键盘记录器，以及用于利用系统资源获取经济利益的加密货币矿工。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “Have I Been Pwned”（HIBP）数据泄露通知服务新增了超 2.84 亿个被信息窃取恶意软件盗取且在一个 Telegram 频道上被发现的账户。 HIBP 创始人特洛伊・亨特表示，他在分析可能从多个来源收集并在一个名为 “ALIEN TXTBASE” 的 Telegram 频道上共享的 1.5TB 窃取日志时，发现了 284,132,969 个受到危害的账户。 “这些日志包含 230 亿行数据，涉及 4.93 亿个唯一的网站和电子邮件地址组合，影响了 2.84 亿个唯一的电子邮件地址，” 亨特在周二的博客中说道。 “我们还向 Pwned Passwords 添加了 2.44 亿个此前从未见过的密码，并更新了其中已有的另外 1.99 亿个密码的计数。” 由于此次收集的账户数量庞大，这些数据可能既包括通过凭证填充攻击和数据泄露被盗取的旧凭据，也包括新凭据。 在将被盗账户添加到 HIBP 数据库之前，特洛伊通过检查使用被盗电子邮件地址进行密码重置尝试是否会触发该服务发送密码重置电子邮件来确认其真实性。 借助新添加的 API（每分钟允许搜索多达 1000 个电子邮件地址以及窃取日志搜索），域名所有者和网站运营者（支付月订阅费用的）现在可以通过按电子邮件域名或网站域名查询添加的窃取日志来识别凭据被盗的客户。 当被问及普通用户是否也能知道他们的账户是否在 ALIEN TXTBASE 信息窃取日志中时，特洛伊称如果他们也订阅了 HIBP 通知服务的话，就可以知道。 “但如果他们使用通知服务来验证地址，它只会显示其凭据被捕获的网站，我不想公开显示这些信息，因为这可能会暴露对敏感服务的使用，” 他说道。 “今天推出这些新 API 将最终帮助许多组织确定恶意活动的来源，更重要的是，提前采取措施，在其造成损害之前阻止它，” 他补充道。 2021 年 12 月，HIBP 还添加了 44.1 万个账户，这些账户是在当时使用最广泛的信息窃取软件之一 RedLine 进行的信息窃取活动中被盗取的。这些数据在一个未受保护的服务器上被发现，该服务器暴露了 2021 年 8 月和 9 月收集的超过 600 万条 RedLine 日志。 更近一些，本月早些时候，HIBP 添加了 1200 万个 Zacks Investment 用户的账户，这些用户的敏感数据（包括姓名、用户名、电子邮件地址、IP 地址、实际地址和电话号码）在一次安全漏洞事件中被暴露。 两年前，即 2023 年 6 月，该漏洞通知服务还添加了另一个数据库，其中包含使用 Zacks 平台的另外 880 万个用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 白蚁勒索软件团伙声称对澳大利亚最大的生育服务提供商 Genea 近期的数据泄露事件负责，窃取了敏感的医疗保健数据。 这家体外受精（IVF）提供商自 1986 年开始运营（当时名为悉尼 IVF）。它在新南威尔士州、南澳大利亚州、西澳大利亚州、墨尔本、堪培拉和昆士兰的 22 家生育诊所提供广泛的服务，包括生育治疗、检查、遗传服务、保存选项和捐赠者计划。 据澳大利亚国家广播公司报道，Genea 和另外两家公司（Monash IVF 和 Virtus）占据了该国行业总收入的 80% 以上。 Genea 上周三首次披露，其正在调查一起 “网络事件”，此前在公司网络上检测到 “可疑活动”。在今天发布的一份更新声明中，这家生育服务巨头确认攻击者从其系统中窃取了数据，这些数据随后被发布在网上。 该公司表示，已获得法院命令，禁止他人分享泄露的数据，并且正在与澳大利亚网络安全中心合作调查这起事件。 这份经过删减的法院命令显示，威胁行为者于 2025 年 1 月 31 日通过 Citrix 服务器入侵了 Genea 的网络。随后，他们获得了对该公司主文件服务器、域控制器、备份程序和 BabySentry 主患者管理系统的访问权限。两周后，即 2 月 14 日，攻击者从 Genea 的被入侵系统中窃取了 940.7GB 的数据，并将其转移到了他们控制的一个 DigitalOcean 云服务器上。 正在进行的调查还发现，Genea 被入侵的患者管理系统中包含了以下类型的个人和健康数据，每个受影响个体暴露的信息各不相同： 全名、电子邮件、地址、电话号码、出生日期、紧急联系人和近亲信息， 医疗保险卡号码、私人健康保险详情、国防部门号码、医疗记录号码、患者号码， 病史、诊断和治疗、药物和处方、患者健康问卷、病理和诊断测试结果、医生和专家的记录、预约详情和时间表。 “目前没有证据表明任何财务信息（如信用卡详细信息或银行账户号码）受到此次事件的影响，”Genea 补充道。 “我们还通知了澳大利亚信息专员办公室（OAIC）这起事件的最新进展，”Genea 一位发言人告诉 BleepingComputer。 白蚁勒索软件声称对此负责 尽管 Genea 没有将此次攻击归咎于特定的威胁组织或网络犯罪团伙，但白蚁勒索软件团伙在周一声称对此负责。 在他们暗网泄露网站的新条目中，他们声称窃取了约 700GB 的数据，并泄露了据称从 Genea 网络中窃取的身份证明文件和患者文件的截图。 “我们从公司的服务器中获得了约 700GB 的数据，包括客户的机密和个人数据，”威胁行为者声称。 据威胁情报公司 Cyjax 称，白蚁勒索软件团伙于 2024 年 10 月中旬浮出水面，此后在其暗网门户上列出了来自世界各地和各个行业的 18 名受害者。 2024 年 12 月，该勒索软件团伙还声称入侵了总部位于亚利桑那州的服务（SaaS）提供商 Blue Yonder。这家全球供应链软件提供商拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、DHL、3M、Ace Hardware、宝洁、嘉士伯、都乐、沃尔格林、西部数据和 7-Eleven 等知名企业。 与其他勒索软件团伙一样，白蚁网络犯罪团伙也从事数据盗窃、勒索和加密攻击。据网络安全公司 Trend Micro 称，他们使用的是 2021 年 9 月泄露的 Babuk 加密器版本，并且已知会在受害者的加密系统上留下 “How To Restore Your Files.txt” 赎金便条。 Trend Micro 还补充道，白蚁的勒索软件加密器可能仍在开发中，因为它会因代码执行缺陷而提前终止。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Prodaft 上周内部发布并于昨天公开的一份报告显示，自 2024 年 6 月开始活动以来，被追踪为 “EncryptHub”（又称 Larva-208）的威胁行为者已针对全球各地的组织发起了鱼叉式网络钓鱼和社会工程攻击，以获取企业网络的访问权限。该报告显示，自 2024 年 6 月 EncryptHub 开始运营以来，已至少入侵了 618 家机构。 在获得访问权限后，这些威胁行为者会安装远程监控和管理（RMM）软件，随后部署诸如 Stealc 和 Rhadamanthys 之类的信息窃取木马。在许多被观察到的案例中，EncryptHub 还会在被入侵的系统上部署勒索软件。 Prodaft 告诉 BleepingComputer，该威胁组织与 RansomHub 和 BlackSuit 有关联，曾部署过这两种勒索软件加密器，可能作为它们的初始访问代理或直接附属机构。然而，在许多攻击中，研究人员观察到威胁行为者部署了自定义的 PowerShell 数据加密器，因此他们也有自己的变种。 Larva-208 的攻击手段包括短信钓鱼、语音钓鱼以及模仿 Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet 和 Microsoft 365 等企业 VPN 产品的虚假登录页面。 攻击者通常在发给目标的消息中冒充 IT 支持人员，声称 VPN 访问出现问题或账户存在安全问题，引导他们登录钓鱼网站。 受害者会收到链接，这些链接会将他们重定向到钓鱼登录页面，其凭据和多因素认证（MFA）令牌（会话 cookie）会被实时捕获。 一旦钓鱼过程结束，受害者会被重定向到服务的真实域名，以避免引起怀疑。 EncryptHub 购买了 70 多个模仿上述产品的域名，如 “linkwebcisco.com” 和 “weblinkteams.com”，以增加钓鱼页面的可信度。 这些钓鱼网站托管在 Yalishanda 等不受监管的托管服务提供商上，ProDaft 表示，这些提供商通常不会响应合理的下架请求。 Prodaft 还发现另一个被追踪为 Larva-148 的子组，该子组帮助购买钓鱼活动中使用的域名、管理托管服务并设置基础设施。虽然 Larva-148 可能向 EncryptHub 出售域名和钓鱼工具包，但它们的确切关系尚未明确。 一旦 EncryptHub 入侵目标系统，它会部署各种 PowerShell 脚本和恶意软件，以获得持久性、远程访问、数据窃取和文件加密的能力。 首先，他们诱骗受害者安装 AnyDesk、TeamViewer、ScreenConnect、Atera 和 Splashtop 等 RMM 软件。这使他们能够远程控制被入侵的系统，保持长期访问权限，并实现横向移动。 接下来，他们使用不同的 PowerShell 脚本部署信息窃取木马，如 Stealc、Rhadamanthys 和 Fickle Stealer，以窃取存储在网页浏览器中的数据。这些数据包括保存的凭据、会话 cookie 和加密货币钱包助记词。 BleepingComputer 还看到了针对 Linux 和 Mac 设备执行类似操作的 Python 脚本。 在 BleepingComputer 看到的脚本样本中，威胁行为者试图从被入侵的系统中窃取大量数据，包括： 各种加密货币钱包的数据，包括 MetaMask、Ethereum Wallet、Coinbase Wallet、Trust Wallet、Opera Wallet、Brave Wallet、TronLink、Trezor Wallet 等。 各种 VPN 客户端的配置数据，包括 Cisco VPN Client、FortiClient、Palto Alto Networks GlobalProtect、OpenVPN 和 WireGuard。 各种流行密码管理器的数据，包括 Authenticator、1Password、NordPass、DashLane、Bitwarden、RoboForm、Keeper、MultiPassword、KeePassXC 和 LastPass。 与特定扩展名匹配或文件名包含某些关键词的文件，包括图片、RDP 连接文件、Word 文档、Excel 电子表格、CSV 文件和证书。文件名中的一些目标关键词包括 “pass”、“account”、“auth”、“2fa”、“wallet”、“seedphrase”、“recovery”、“keepass”、“secret” 等。 Larva-208 的最终威胁是勒索软件，其形式为自定义的基于 PowerShell 的加密器，该加密器使用 AES 加密文件并附加 “.crypted” 扩展名，同时删除原始文件。 会为受害者生成一张赎金条，要求通过 Telegram 以 USDT 支付赎金。 Prodaft 表示，EncryptHub 是一个复杂的威胁行为者，会根据目标定制攻击以提高效果，成功入侵了大型组织的高价值目标。 “本报告中考察的 LARVA-208 鱼叉式网络钓鱼行为者体现了针对性网络攻击日益增长的复杂性，”Prodaft 警告说。“通过采用高度定制的社会工程手段、先进的混淆方法和精心制作的诱饵，该威胁行为者展示了强大的能力，能够规避检测并入侵高价值目标。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文