微软已发布补丁来修复两个流行开源库中的 0-day 漏洞，这些漏洞影响了多种产品，包括 Skype、Teams 及其 Edge 浏览器。 但微软不愿透露这些零日漏洞是否被利用来攻击其产品，或者该公司是否知道其中任何一种情况。 Google和公民实验室的研究人员表示，这两个漏洞（由于开发人员没有提前通知修复这些错误而被称为零日漏洞）是上个月发现的，并且这两个漏洞已被积极利用来针对带有间谍软件的个人。 这些错误是在两个常见的开源库 webp 和 libvpx 中发现的，它们被广泛集成到浏览器、应用程序和手机中以处理图像和视频。 这些库无处不在，再加上安全研究人员警告称这些漏洞被滥用来植入间谍软件，促使科技公司、手机制造商和应用程序开发人员纷纷更新其产品中存在漏洞的库。 微软在周一的一份简短声明中表示，它已经推出了修复程序，解决了 webp 和 libvpx 库中的两个漏洞，并将其集成到其产品中，并承认这两个漏洞都存在漏洞。当联系到微软置评时，微软发言人拒绝透露其产品是否已在外部被利用，或者该公司是否有能力了解情况。 Citizen Lab 的安全研究人员在 9 月初表示，他们发现了证据，表明 NSO Group 的客户使用该公司的 PegASUS间谍软件，利用了最新且已完全修补的iPhone软件中发现的漏洞。 据 Citizen Lab 称，苹果公司在其产品中集成的易受攻击的 webp 库中的漏洞无需设备所有者的任何交互即可被利用，即所谓的零点击攻击。 苹果推出了针对 iPhone、iPad、Mac 和手表的安全修复程序，并承认该漏洞可能已被未知黑客利用。 依赖 Chrome 和其他产品中的 webp 库的Google也于 9 月初开始修补该错误，以保护其用户免受Google表示知道“存在于外部”的漏洞的影响。 开罚Firefox 浏览器和 Thunderbird 电子邮件客户端的 Mozilla 也在其应用程序中修补了该错误，并指出 Mozilla 知道该错误已在其他产品中被利用。 本月晚些时候，Google安全研究人员表示，他们发现了另一个漏洞，这次是在 libvpx 库中，Google称该漏洞已被商业间谍软件供应商滥用，但Google拒绝透露该供应商的名称。 Google很快就推出了更新，以修复集成到 Chrome 中的易受攻击的 libvpx 错误。 苹果周三发布了一个安全更新，修复了 iPhone 和 iPad 中的 libvpx 错误，以及苹果表示的另一个内核漏洞，该漏洞利用了运行 iOS 16.6 之前版本软件的设备。 事实证明，libvpx 中的 0-day 漏洞也影响了微软产品，但目前尚不清楚黑客是否能够利用它来攻击该公司产品的用户。   转自cnBeta，原文链接：https://www.toutiao.com/article/7286221495070917139/?log_from=34346b9858209_1696644430448 封面来源于网络，如有侵权请联系删除

芯片制造商高通公司发布了安全更新，解决了各种组件中的17个漏洞，并警告其他三个积极利用的零日漏洞。 17个漏洞中有3个的严重程度被评为“严重”，13个被评为“高”，1个被评为“中等”。该公司还警告称，另外三个零日漏洞在野外攻击中被积极利用。谷歌威胁分析小组和谷歌Project Zero首先报告称，CVE-2023-33106、CVE-2023-3 3107、CVE-202—22071和CVE-2023—33063在有针对性的攻击中被积极利用。该公司计划在未来几个月内披露被积极利用的漏洞的技术细节。 谷歌威胁分析小组和谷歌Project Zero专家专注于民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。 高通在公告中写道：“谷歌威胁分析小组和谷歌Project Zero表示有迹象表明，CVE-2023-33106、CVE-2023-3 3107、CVE-202—22071和CVE-2023—3063可能受到有限的、有针对性的利用。针对影响Adreno GPU和Compute DSP驱动程序的问题的补丁已经提供，OEM已收到通知，强烈建议尽快部署安全更新。有关特定设备的修补程序状态的详细信息，请与设备制造商联系。CVE-2022-22071已包含在2022年5月的公开公告中。其余CVE的详细信息将在2023年12月的公开公报中分享。”   芯片制造商解决的三个严重漏洞是：CVE-2023-24855:在调制解调器中使用超范围指针偏移。问题是在AS security Exchange之前处理安全相关配置时，调制解调器内存损坏。 CVE-2023-28540:数据调制解调器中的身份验证不正确。该漏洞是数据调制解调器中的加密问题，由TLS握手过程中的不正确身份验证引起。 CVE-2023-33028:WLAN固件中未检查输入大小的缓冲区复制。该漏洞是在对pmk缓存进行内存复制时发生的WLAN固件内存损坏。 目前没有证据表明上述漏洞在野外攻击中被利用。   转自E安全，原文链接：https://mp.weixin.qq.com/s/j5tY2IV3ZOEcA4Tu2uFVKg 封面来源于网络，如有侵权请联系删除

近日，浙江温州平阳县公安网安部门破获一起案件，抓获涉案犯罪嫌疑人30名，退赔退赃118万元。 案情回顾 今年4月，平阳县公安局网安大队接辖区内某公司财务人员小陈报警，称其电脑被他人非法控制，嫌疑人利用其微信指令出纳小张往不同的银行卡转账，造成经济损失298.2万元。 案件深挖 原来，境外诈骗团伙先是通过网络招募境内黑客技术员，制作了木马程序。随后他们将伪装成“***政策计划”的木马程序邮件群发至国内企业邮箱，企业工作人员打开程序，便感染了木马病毒，黑客远程控制其电脑，伪装身份，伺机作案。案发当天，出纳小张就是接收到微信上的”财务小陈“指示，从而进行了三次大额转账。微信上的”小陈“说话语气和断句习惯与平时发邮件时一模一样。 不仅如此，该木马程序可自主呈“几何式扩散” 利用企业邮箱传播达到远程控制目的后，黑客利用被控制电脑登录企业员工聊天工具，再进行二次传播，并重复上述作案过程，致使该病毒达到量级传播。危害程度可想而知，案件侦破迫在眉睫。 线索浮出 结合受害方财务室内监控和涉案电脑勘验结果，民警排除了公司内部人员作案的嫌疑。随后，民警通过对远控软件的层层追踪，彻底弄清楚其流程。犯罪团伙利用微信、邮箱传播，致使受害企业财务人员的计算机被控制，企业财务秘密“一览无遗”。在时机成熟之际，黑客就会模仿财务人员的口吻向出纳发出转账指令，让企业蒙受巨额损失。 收网行动 对案情抽丝剥茧后，专案民警分别在浙江、广西、河南、江西等地组织开展收网行动，一举捣毁了一个以廖某为首的黑客工作室和以葛某为首的洗钱团伙，抓获涉案犯罪嫌疑人30名。经审讯，犯罪嫌疑人对其违法犯罪的行为供认不讳。民警结合案件病毒以及远控端数据源分析，发现辖区内另有预警风险企业23家。平阳公安已实地走访排查13家，并做好对企业财务人员转账规范的提醒工作。 案件特点 1.作案目标明确，迷惑性强。 该类犯罪主要针对企业财务人员。犯罪团伙制作木马程序后，伪装成国家相关政策文件木马程序，并发送至企业邮箱，从而降低了企业员工的防范意识，达到植入木马的目的。 2.木马呈几何式扩散，溯源较难。 该木马程序利用企业邮箱传播达到远程控制目的后，犯罪嫌疑人利用被控制电脑登录企业员工聊天工具进行二次传播，并重复上述作案过程，致使该病毒达到量级传播。 3.木马伪装性强，不易被发现。 犯罪团伙对木马实时更新，普通杀毒软件无法查杀该木马程序。企业电脑中毒后，犯罪嫌疑人将使用远程控制端窥视该电脑使用情况，进一步判断电脑使用人员的身份、作息规律、聊天语气等，并伺机作案。 提示 1.普及安全防范意识教育 企业需加大对重点岗位工作人员的信息安全知识普及教育，不随意点击下载陌生人发布的链接、文件。 2.加强信息安全技术支持 企业电脑需配置防火墙、入侵检测等防护技术，定期更新软件、查杀木马，一旦发现电脑出现不明文件或异常操作，要立刻切断网络，并向公安机关报案。 3.健全完善内部管理制度 企业需进一步完善信息安全管理制度，明确内部职责和管理流程，如设置多道审批确认程序，加强财务审批、出纳确认等关键环节的日常防范管理，确保企业财产安全。 转自安全圈，原文链接：https://mp.weixin.qq.com/s/5_-zruPDitNSN1UGP5k_Ag?from=industrynews&version=4.1.9.6012&platform=win 封面来源于网络，如有侵权请联系删除

最近，来自四所美国大学的研究人员开发出了一种新的 GPU 侧通道攻击，可利用数据压缩技术在访问网页时从现代显卡中泄漏敏感的视觉数据。 研究人员通过 Chrome 浏览器可执行跨源 SVG 滤镜像素窃取攻击，这也证明了这种 “GPU.zip “攻击的有效性。研究人员于 2023 年 3 月向受影响的显卡制造商披露了该漏洞。截至 2023 年 9 月，受影响的 GPU 厂商，包括AMD、苹果、Arm、英伟达、高通、谷歌Chrome 浏览器等均未推出解决该问题的补丁。 德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在一篇论文中详细概述了这一新漏洞，该论文于第 45 届电气和电子工程师学会安全与隐私研讨会上正式发表。 通过压缩泄密 一般来说，数据压缩会产生明显的数据依赖性 DRAM 流量和缓存利用率，这可能会被滥用于数据泄露，因此软件在处理敏感数据时会关闭压缩功能。 GPU.zip 研究人员解释说，所有现代图形处理器单元，尤其是集成的英特尔和 AMD 芯片，即使没有明确要求，也会执行软件可见的数据压缩。 现代图形处理器将这种危险的做法作为一种优化策略，因为它有助于节省内存带宽，并能够在不使用软件的情况下提高性能。 这种压缩通常不会留下记录，但研究人员已经找到了一种数据可视化的方法。他们演示了一种可以在各种设备和 GPU 架构上通过网络浏览器提取单个像素数据的攻击方式，如下图所示： 不同系统的测试结果 概念验证攻击演示了从维基百科 iframe 中窃取用户名的过程，使用 Ryzen GPU 和英特尔 GPU 分别可在 30 分钟和 215 分钟内完成，准确率分别为 97% 和 98.3%。 找回用户名 iframe 承载了一个跨源网页，其像素被分离并转换成二进制，即可转换成两种颜色。然后这些像素会被放大，并应用专门的 SVG 过滤器堆栈来创建可压缩或不可压缩的纹理。研究人员可以通过测量纹理渲染所需的时间，推断出目标像素的原始颜色/状态。 GPU.zip 攻击概念 在 “Hot Pixels “攻击中，SVG 过滤器被用以诱导数据的执行，JavaScript 则被用来测量计算时间和频率，以辨别像素的颜色。 Hot Pixels 利用的是现代处理器上依赖数据的计算时间，而 GPU.zip 则利用未注明的 GPU 数据压缩来实现类似的结果。 GPU.zip 的严重性 GPU.zip 几乎影响了所有主要的 GPU 制造商，包括 AMD、苹果、Arm、英特尔、高通和英伟达，但并非所有显卡都受到同样的影响。 事实上，所有受影响的厂商都没有选择通过优化数据压缩的方法并将其操作限制在非敏感情况下，来修复该问题，因为这可能会进一步提高风险。 尽管 GPU.zip 有可能影响全球绝大多数笔记本电脑、智能手机、平板电脑和台式电脑，但由于执行攻击十分复杂并且需要大量时间，所以对用户的直接影响并不明显。 此外，拒绝跨源 iframe 嵌入的网站也无法通过这种或类似的侧信道攻击泄漏用户数据。 研究人员在该团队网站上的常见问题中解释说：大多数敏感网站已经拒绝被跨源网站嵌入，因此它们并不容易受到 GPU.zip 安装的像素窃取攻击。 最后，研究人员指出，Firefox 和 Safari 并不符合 GPU.zip 运行所需的所有条件，例如允许跨源 iframe 使用 cookies 加载、在 iframe 上呈现 SVG 过滤器以及将呈现任务委托给 GPU。   转自Freebuf，原文链接：https://www.freebuf.com/news/379530.html 封面来源于网络，如有侵权请联系删除

据海外科技媒体Bleepingcomputer报道，一个名为RansomedVC的新型勒索攻击组织本周早前事件宣称已成功入侵了索尼公司的网络系统，并非法窃取了超过3.14GB未压缩数据。该组织表示：由于索尼公司不愿意配合谈判并按要求支付赎金，因此他们将通过非法渠道公开售卖这些“数据和访问权限”。 索尼公司目前已正式回应遭勒索攻击的传言，该公司发言人表示：我们正在紧急调查这起网络攻击事件，但目前尚未有明确的调查结果。 据了解，除了RansomedVC组织，还有其他黑客组织也声称对这起勒索攻击事件负责。虽然RansomedVC的勒索组织最先声称是其攻击了索尼公司的网络系统，但据研究人员观察，RansomedVC发布的勒索样本很小（仅2MB），包括一个PowerPoint演示文稿、一些Java源代码文件、Eclipse IDE屏幕截图及其他内容。 RansomedVC在暗网网站上发布的勒索声明 另一个威胁组织MajorNelson表示他们才是真正的攻击者，并驳斥了RansomedVC的说法。“媒体不应该相信RansomedVC勒索软件工作人员的谎言，他们应该感到羞耻。”MajorNelson在BreachForums上发帖表示。 为了证实其说法的真实性，MajorNelson公开展示了一个2.4 GB大小的压缩包，其中含有被宣称属于索尼公司的3.14 GB未压缩数据。MajorNelson声称这些数据中含有大量的“内部系统的凭据”以及以下文件信息： SonarQube Creators Cloud 索尼证书 用于生成许可证的设备模拟器 qasop安全 事件响应策略 BreachForums同样表示对本次攻击事件负责 在MajorNelson发布的压缩包含有RansomedVC发布的小样本中所有文件，但目前仍然难以判断谁是这次勒索攻击的元凶。虽然攻击者分享的数据似乎确实属于索尼公司，但最终事件认定有待索尼公司发布的官方说明。如果本次攻击事件得到证实，将是索尼在今年内遭遇的第二次内部数据泄露。 此前，勒索软件组织Cl0p利用文件传输软件MOVEit Transfer的一个漏洞，窃取了索尼公司的部分重要数据。该攻击事件对索尼造成了重大的影响，包括财务损失、声誉受损和用户信任的丧失等。   转自安全牛，原文链接：https://mp.weixin.qq.com/s/GIG45oipY95TqIxF1vVdKQ 封面来源于网络，如有侵权请联系删除

ThreatFabric的研究人员发现了一项向美国和世界各地的安卓用户传播Xenomorph恶意软件的新活动。2022年2月，ThreatFabric的研究人员首次发现了Xenomorph恶意软件，该恶意软件通过官方 Google Play商店分发，安装量超过50000次。 专家们注意到，Xenomorph在2022年期间不断改进，并在小型活动中分发。运营商首先通过GymDropper操作分发安卓恶意软件，后来恶意代码也通过Zombinder操作分发。 3月，专家警告称，一种新的变种被追踪为Xenomorph.C，该变种已得到显著改善。新变种支持新的自动转账系统（ATS）框架，可针对400多家银行和金融机构，主要来自西班牙、土耳其、波兰、美国、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 这个新版本的恶意软件为已经功能丰富的Android Banker添加了许多新功能，最引人注目的是引入了一个由辅助功能服务提供支持的非常广泛的运行时引擎，实现了一个完整的ATS框架。有了这些新功能，Xenomorph现在能够完全自动化完成从感染到资金流出的整个欺诈链，使其成为流通中最先进、最危险的安卓恶意软件特洛伊木马之一。 此外，ThreatFabric识别的样本包括由400多家银行和金融机构组成的目标列表的配置，其中包括几个加密货币钱包，与之前的变体相比增加了6倍多，包括来自各大洲的金融机构。 ATS框架允许运营商自动过滤凭据、检查账户余额、进行交易和从目标应用程序中窃取资金，而无需运营商进行人工交互。 2023年8月，ThreatFabric发现了通过网络钓鱼网页分发的新样本，这些网页旨在诱骗收件人安装恶意APK。目标列表比以前的版本大。该列表为来自美国、葡萄牙和多个加密钱包的机构添加了数十个新的覆盖层。还针对西班牙、葡萄牙、意大利、加拿大和比利时的用户。 这场最新的活动还增加了大量来自美国的金融机构，以及多个加密钱包应用程序，每个样本总共有100多个不同的目标，每个目标都使用特制的覆盖层从受害者受感染的设备中窃取宝贵的PII。恶意软件是通过冒充Chrome更新的网络钓鱼页面发布的。 在调查该活动时，研究人员注意到，威胁行为者犯了一个重要错误，即无限制地暴露了包含分发恶意软件所需文件的服务器文件夹。这使得研究人员能够监控服务器，识别出多个文件。其中一个名为count.txt的文件包含一个条目列表（IP、用户代理和日期），这些条目是试图下载网络钓鱼页面有效负载的目标系统的列表。大部分下载来自西班牙。 Xenomorph的新样本没有对之前的迭代进行重大修改。这些示例支持防睡眠功能和“模拟”功能。后一个功能为恶意软件提供了充当任何其他应用程序的选项，并删除了通常与恶意软件相关的行为。 最新示例中的另一个新功能是“ClickOnPoint”，它允许恶意软件模拟特定屏幕坐标下的点击。 报告总结道：“经过数月的中断，Xenomorph又回来了，这一次的分销活动针对的是他们感兴趣的一些地区，如西班牙或加拿大，并增加了一大批来自美国的目标，以及多个新的加密钱包。Xenomorph保持着极其危险的安卓银行恶意软件的地位，其特点是具有非常通用和强大的ATS引擎，已经创建了多个模块，并支持多个制造商的设备。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/Qsx4ew3I2OxwHQZEc8u25g 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，RansomedVC 勒索组织声称成功入侵了索尼并将该公司添加到其 Tor 泄密网站上。目前，索尼已宣布正在调查数据泄露事件。 网络安全事件发生后，勒索软件组织公布了一些文件以作为成功入侵的证据，但目前尚不清楚威胁攻击者是否入侵了该公司的所有系统，但从 RansomedV 发布在其泄露网站上的信息来看，该组织已经成功入侵了索尼的所有系统。 RansomedVC 向 Bleeping Computer 透漏，其已经从索尼网络中窃取了 260 GB 的数据，并试图以 250 万美元的价格出售窃取的数据。就目前来看索尼并不想支付赎金，RansomedVC  组织表示虽然不会在索尼网络上部署任何勒索软件，但会出售被盗数据。 有意思的是，在 RansomedVC 声称对索尼进行黑客攻击的同时，另一个网名为 “MajorNelson “的威胁攻击者也声称对此次攻击事件负责，并表示 RansomVC 在撒谎。不仅如此，MajorNelson 还发布帖嘲讽记者相信 RansomedVC 勒索软件的谎言，太容易受骗了，应该为此感到羞耻。（MajorNelson 在 BreachForums 上发表 RansomedVCs 是骗子，他们只是想骗取你的钱财，追逐影响力，享受泄密吧。） 除了反驳 RansomedVC ，MajorNelson 还”曝出“了一个 2.4 GB 大小的压缩包，其中包含 “大量内部系统的凭证”，以及与下列系统相关的数据：SonarQube、创作者云、索尼的证书、用于生成许可证的设备模拟器、qasop 安全、事件响应策略等等。   转自Freebuf，原文链接：https://www.freebuf.com/news/379448.html 封面来源于网络，如有侵权请联系删除

Progressive Leasing是一家价值数十亿美元的公司，允许人们租赁消费品，上周宣布了一次网络攻击，敏感信息在这次网络攻击中被盗。该公司表示，尚未发现这次攻击对其服务的运营造成“重大”影响，但事件的具体情况仍在调查当中。 一位公司发言人表示：“Progressive Leasing最近发生了一次网络安全事件，影响了Progressive Leasing的某些系统。在发现该事件后，我们立即聘请了优秀的第三方网络安全专家，并展开了调查。我们的团队正在与网络安全专家和执法部门一起努力调查和应对这一事件……对事件的调查，包括所涉及数据的识别等，仍在进行中。” 这家总部位于盐湖城的公司与百思买、三星、Cricket、Lowe’s、Zales、Overstock、戴尔等主要零售商建立了数十家合作伙伴关系。它们是运营中最大的先租后买公司之一，隶属于一家更大的公司——PROG Holdings——提供“先买后付”的服务。 该公司向美国证券交易委员会的监管机构报告了此次网络攻击，称所涉及的相关数据包含大量个人身份信息，包括Progressive Leasing客户和其他个人的社会安全号码。 Progressive Leasing将根据适用法律向事件中涉及身份信息的个人以及监管机构发出通知，并且继续承担应对、补救和调查此事的重大费用。该事件的全部费用和相关影响，包括公司的网络安全保险将在多大程度上抵消这些费用，尚未确定。 该公司首席财务官补充说，他们预计此次攻击不会因运营有限而带来财务后果，这与清洁巨头Clorox不同，后者上周向美国证券交易委员会报告称，在网络攻击后面临生产问题。 网络安全专家Dominic Alvieri表示，AlphV/Black Cat勒索软件团伙声称对攻击事件负责，已将该公司添加到其泄密网站，并声称窃取了超过 4000万客户的个人信息。上周，该勒索软件团伙对米高梅度假村的袭击登上了国际头条新闻，这一事件仍在拉斯维加斯造成广泛影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UxlSKaaHAMLYD6UaYlY41g 封面来源于网络，如有侵权请联系删除

在黑客利用思科SSL VPN漏洞CVE-2023-20269入侵相关组织，加密Windows、Linux电脑档案后，勒索软件Akira攻击态势持续延烧，上个月成为前10大的勒索软体家族，超过110个组织遭Akira锁定。 今年5月研究人员观察到勒索软件Akira采用了过往较为少见的攻击手法，黑客疑似针对尚未采用双因素验证的SSL VPN系统下手，从而入侵受害组织，这样的手法引起不少研究人员对于该黑客组织的高度关注。 后来到了8月，恶意软件分析员Aura确认被针对的SSL VPN系统厂牌是思科。而且，黑客应该是针对该系统的漏洞下手，绕过双因素验证流程。当时，确认有8起勒索软件攻击是透过该厂牌的SSL VPN系统入侵，并且研究发现也有人利用类似手法散布勒索软件LockBit。 这样的发现，在9月上旬得到思科的证实，勒索软件Akira就是利用CVE-2023-20269入侵组织的内部网络环境，漏洞存在于该厂牌的网络资安设备ASA、FTD系列，攻击者可在未经授权的情况下，借由暴力破解攻击找出有效的帐号及密码，甚至有可能透过未经授权的用户，建立无客户端的SSL VPN连线。 最近有新的分析指出，勒索软体黑客组织Akira的攻击行动持续升温。今年8月Akira是第4大的勒索软体，仅次于LockBit 3.0、8Base、BlackCat（Alphv），截至9月15日，总共有110个组织受害，这些组织大部分位于美国和英国，但黑客没有偏好特定产业，受害组织涵盖教育、金融、房仲、制造、顾问业者，当中包含大型生产流程质量检验业者Intertek。 研究人员指出，一旦黑客得到内部网络的访问权限，就会使用远程桌面连线工具AnyDesk、RustDesk，以及压缩软件WinRAR来进行后续攻击行动，并且利用系统信息工具PC Hunter及wmiexec横向移动。 此外，为了让档案加密工作能顺利执行，黑客会停用Windows内建的防毒软件实时监控功能，并使用PowerShell下达删除磁盘区阴影复制服务（VSS）的备份档案。此外，这些黑客也开发了Linux版的加密程序，可用来加密VMware ESXi虚拟机的档案，进行绑架勒赎。 勒索软体黑客采取寄生攻击（LOLBins）手法，利用企业组织内现成的应用程序，执行攻击行动，来回避系统侦测的情况可说是非常普遍。其中，有许多黑客组织，如：LockBit、BlackByte以及专门针对SQL Server的勒索软件FreeWorld，滥用远程桌面连线工具AnyDesk来存取受害主机，Akira也不例外。 但值得留意的是，这些黑客还运用另一款开源、跨平台的远程桌面连线工具RustDesk，有可能会架设自己的基础设施架构，或是利用其内建的点对点（P2P）连线功能，让攻击行动变得更为隐密。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UxlSKaaHAMLYD6UaYlY41g 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，乌克兰军事实体组织近期成为一起网络钓鱼攻击活动的目标，某些网络犯罪分子利用无人机服务手册为诱饵，传播一种名为 Merlin 的工具包（基于 Go 语言开发）。 网络安全公司 Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 向 The Hacker News 透露，无人机/无人驾驶飞行器（UAV）一直以来都是乌克兰军方惯用的军事手段，因此以 UAV 服务手册为主题的恶意软件“引诱文件”，就成为网络攻击者常用的方式之一。 目前， Securonix 正在以 STARK#VORTEX 为名追踪这一网络攻击活动。 经过安全研究人员分析，此次钓鱼攻击从一个微软编译的 HTML帮助（CHM）文件开始发起，一旦打开后，便会运行嵌入在其中一个 HTML 页面中的恶意 JavaScript，然后执行旨在联系远程服务器获取混淆二进制文件的 PowerShell 代码。 随后，解码基于 Windows 的有效载荷，提取 Merlin Agent，Merlin Agent 又被配置为与命令与控制 (C2) 服务器通信，以方便网络攻击者进行后期开发行动，从而有效夺取主机控制权。 研究人员强调虽然本次攻击的攻击链相当简单，但网络攻击者利用了一些相当复杂的技术手段和混淆方法来逃避检测。 值得一提的是，2023 年 8 月初，乌克兰计算机应急小组（CERT-UA）曾披露了一个类似的攻击链，网络攻击者利用 CHM 文件作为诱饵，用开源工具感染受害者计算机系统。 CERT-UA 将攻击活动归咎于其监控的一个名为 UAC-0154 的网络攻击组织。 研究人员指出攻击链中使用的文件和文档能够很好地绕过防御系统，通常情况下，通过互联网接收微软帮助文件会被认为极不寻常。 最后，CERT-UA 表示其在几周前，检测到了俄罗斯国家支持的名为 APT28 的组织对该国一个未命名的关键能源基础设施发动了网络攻击，但未获成功。   转自Freebuf，原文链接：https://www.freebuf.com/news/379281.html 封面来源于网络，如有侵权请联系删除