HackerNews 编译，转载请注明出处： 周三，英国网络安全负责人宣布，该国情报部门看到了“俄罗斯网络攻击与我们安全面临的现实威胁之间存在直接联系”。 英国国家网络安全中心（NCSC）负责人理查德·霍恩在曼彻斯特举行的CYBERUK会议上警告称，莫斯科的恶意行为者“正在实施破坏行为，常常在其阴谋中使用犯罪代理”。 霍恩表示，无论是NCSC还是国内安全机构军情五处（MI5），都看到来自俄罗斯的网络威胁在英国街头显现，针对英国的各行各业和企业，使民众生命、关键服务和国家安全面临风险。 他告诉CYBERUK会议的听众，信息安全界的作用“因此不仅仅是保护系统，更是保护我们的人民、经济和社会免受伤害”。 霍恩说，NCSC无法透露行动细节，但解释说“网络手段”为一系列威胁行为者提供了侦察能力以及“发起现实威胁的能力”。 此次警告是在一系列疑似俄罗斯策划的欧洲破坏事件之后发布的。去年，欧洲各国的安全机构和政府就这些威胁发出了警告，同时北约和欧盟均谴责俄罗斯“日益加剧”的破坏活动和混合行动。 上个月，英国警方宣布逮捕了一名罗马尼亚男子，该男子涉嫌协助俄罗斯军事情报机构实施一项阴谋，其中包括一枚爆炸装置在伯明翰的DHL物流仓库爆炸。 据信，2024年7月德国莱比锡的DHL物流链发生的一起火灾也是俄罗斯所为。德国安全部门表示，如果那枚寄往英国的包裹炸弹在航班上爆炸，可能会引发空难。 第三起事件发生在7月，地点是波兰首都华沙附近。据路透社报道，这些企图被认为是未来阴谋的“预演”，俄罗斯计划在跨大西洋飞往美国和加拿大的货运航班上在空中引爆爆炸装置。 据报道，这些装置被伪装成来自立陶宛的按摩机，内部含有镁基物质，这种物质燃烧时极具破坏性，可能导致飞机坠毁。 11月，立陶宛总统吉塔纳斯·纳乌斯的首席国家安全顾问克斯蒂托尼斯·布德里斯指责俄罗斯军事情报机构格鲁乌（GRU）策划了这些阴谋。其他西方安全官员也认同这一评估，《华尔街日报》对此进行了报道。 这一指控是在波兰国家检察官办公室证实7月逮捕了4名与藏有爆炸物的包裹相关的人员之后提出的，该办公室称这些包裹被认为是对飞往美国和加拿大航班发动攻击前的试运行。另一名涉嫌在立陶宛邮寄这些包裹的男子于9月被捕。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

欧洲刑警组织和九个国家的执法部门成功捣毁了代号“Ghost”的加密通讯平台，该平台被用来作为开展各种犯罪活动的工具，包括大规模贩毒、洗钱、极端暴力事件和其他形式的严重有组织犯罪。 Ghost 应用程序具有先进的安全和匿名化功能，允许使用加密货币购买订阅，具有三层加密功能以及可从发送者和收件人的设备中删除证据的消息自毁系统。 全球有数千人每天使用 Ghost 平台交换大约 1,000 条消息，同时广泛的全球经销商网络向潜在客户推广该平台。 Ghost 应用程序通过广泛的经销商网络在犯罪生态系统中推广。经过修改的智能手机售价约为 2,350 美元，其中包括六个月的加密网络订阅和技术支持。 对该平台的调查由欧洲刑警组织行动工作组 (OTF) 牵头，于 2022 年 3 月开始，参与调查的特工来自美国、加拿大、法国、意大利、爱尔兰、澳大利亚、瑞典和荷兰。 此次行动导致发现了 Ghost 位于法国和冰岛的服务器、位于澳大利亚的平台所有者以及与该平台相关的位于美国的资产。 通过审查证据，当局能够在不同国家组织协同突袭，总共逮捕 51人，其中澳大利亚 38 人、爱尔兰 11 人、加拿大 1 人、意大利 1 人。 参与此次行动的澳大利亚警方在四个州的突袭行动中逮捕了 38 名嫌疑人，加拿大、瑞典、爱尔兰和意大利也逮捕了多名嫌疑人。 这些嫌疑人包括各种有组织犯罪集团的成员，他们涉嫌使用 Ghost 应用程序进行贩毒和杀人等犯罪活动。自 3 月以来，警方干预了 50 起潜在暴力案件，监控了 12.5 万条信息和 120 通视频通话。 澳大利亚联邦警察透露，警方能够破坏该应用程序使用的更新机制，并推出受污染的更新来危害客户的设备。 “管理员定期发布软件更新，就像普通手机所需的更新一样。但澳大利亚联邦警察能够修改这些更新，从而感染设备，使澳大利亚联邦警察能够访问澳大利亚设备上的内容。”澳大利亚联邦警察发布的新闻稿写道。 大多数使用 Ghost 的犯罪嫌疑人都在新南威尔士州，不过维多利亚州、西澳大利亚州、南澳大利亚州和澳大利亚首都领地也有 Ghost 用户。 主要经营者面临五项指控和可能的处罚，最高可判处 26 年监禁。 欧洲刑警组织执行主任凯瑟琳·德博勒评论道：“今天我们已经明确表示，无论犯罪网络认为自己有多么隐蔽，他们都无法逃脱我们的共同努力。” “9 个国家的执法部门与欧洲刑警组织携手，捣毁了一条严重有组织犯罪的生命线。” 除了逮捕之外，当局还捣毁了一个毒品实验室并缴获了武器、非法物质以及超过 100 万欧元（110 万美元）的现金。 查获的Ghost 手机 欧洲刑警组织表示，由于调查的复杂性，不得不在冰岛、爱尔兰和澳大利亚部署网络专家执行高度专业化的技术任务。 该机构还强调，诸如拆除 Ghost 以及之前的Sky ECC、EncroChat和Exlu等行动导致加密通信领域出现碎片化，这使得调查和犯罪追踪变得更具挑战性。 欧洲刑警组织在新闻稿中解释道：“作为回应，犯罪分子现在转向各种不太成熟或定制的通信工具，这些工具提供不同程度的安全性和匿名性。” “这一策略有助于这些行为者避免在单一平台上暴露他们的整个犯罪行动和网络，从而降低被拦截的风险。” 欧洲刑警组织最近呼吁对加密采取平衡的方法，主张采取措施确保隐私，同时不损害刑事调查中合法获取的数据。 该机构借此机会提醒私营公司，当刑事调查需要时，有责任提供合法的数据访问权。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ls4lZa8niqVFyqNA6CPxjA 封面来源于网络，如有侵权请联系删除

伊朗情报和安全部（MOIS）下属的网络行动已成为该国黑客的复杂初始访问代理，为中东各地电信和政府组织的系统提供持续入口。 谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称，与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门，这些工具和后门将继续协助伊朗的其他黑客行动。 Mandiant 解释说：“据报道，这些组织为针对以色列的破坏性和破坏性行动提供了初步途径，这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列，于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。” Mandiant 指出，虽然他们无法独立确认 UNC1860 是否参与了这两次行动，但他们发现了“可能旨在促进交接操作”的工具。 Mandiant 表示，UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施，以支持该组织的初始访问和横向移动目标。” 这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问，以用于各种目的。 Mandiant 称 UNC1860 是一个“强大的APT组织”，可能支持“从间谍活动到网络攻击行动等各种目标”。 该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据，例如APT34——一个著名的伊朗威胁组织，负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周，研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。 Mandiant 表示，该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件，这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。 该公司补充说，2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。 Mandiant 表示：“在取得初步立足点后，该组织通常会部署额外的实用程序和一套选择性的被动植入物，这些植入物的设计比普通的后门更为隐蔽。” 其他公司过去也曾重点关注 UNC1860 的工具，其中包括思科、Check Point和Fortinet。 随着伊朗黑客组织网络行动变得越来越明目张胆，其受到安全研究人员和政府机构的越来越大的关注。 Mandiant 表示：“随着中东紧张局势持续起伏，我们认为，该攻击者在获取目标环境初始访问权方面的娴熟技能，对伊朗网络生态系统而言是一笔宝贵的资产，可随着需求的变化而用于应对不断变化的目标。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/IQKFQhb3RDBENKYQI62Qmw 封面来源于网络，如有侵权请联系删除

英国信息专员办公室 (ICO) 宣布了一项临时决定，对高级计算机软件集团有限公司 (Advanced) 处以 609 万英镑（774 万美元）的罚款，原因是该公司在 2022 年遭受勒索软件攻击时未能保护好数万人的个人信息。 Advanced 是英国国家医疗服务体系 (NHS) 签约的 IT 服务和托管供应商，于 2022 年 8 月 4 日遭到威胁行为者的攻击。 该事件影响了数百家公共和私人实体，包括 NHS 111 以及 Adastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan 和 eFinancials 等各种医疗保健产品。 此次泄密事件导致近 83,000 人的个人信息被泄露，其中包括 890 名接受居家护理人员的入院指导。 尽管所有受影响的人都已被告知并被警告采取行动降低风险，而且到目前为止，没有任何攻击数据在暗网上发布，但敏感数据泄露的潜在影响是巨大的。 “这一事件表明信息安全是多么重要。”英国信息专员约翰·爱德华兹表示，“失去对敏感个人信息的控制，会让那些别无选择只能信任医疗和护理机构的人感到痛苦。” 爱德华兹在谈到高级安全立场时补充道：“对于一个受信任处理大量敏感和特殊类别数据的组织来说，我们暂时发现其在此次事件之前的信息安全方法存在严重缺陷。” ICO 指出，实施基本措施（例如应用安全更新、启用多因素身份验证以及检查系统是否存在已知漏洞）对于保护敏感数据至关重要，所有组织都应遵循这些最低限度的步骤。 该临时决定的发布旨在提醒所有组织其安全义务以及一旦失败可能产生的后果。 但是770 万美元的罚款尚未实施，ICO 表示将等待 Advanced 的评论后再做出最终决定，因此罚款金额可能会发生变化。 如果Advanced无法提供令人信服的论据，且罚款仍为774万美元，则每位被曝光者的罚款将相当于93.3美元，与过去的类似事件相比，这个数字非常高。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。 全球大规模系统崩溃的灾难性事件尚未完全平息，CrowdStrike近日再爆大雷。 知名黑客USDoD近日宣称窃取了CrowdStrike全部攻击指标（IoC）数据，共约2.5亿条，并在Breach Forums上发布了其中10万条IoC数据作为样本，该事件立即引发了安全业界广泛关注。 研究者发现，这些IoC指标样本含详细的威胁情报信息，其中包括Mispadu恶意软件和SAMBASPIDER威胁行为者的关键细节。 具体泄漏了哪些信息？ USDoD，曾因入侵FBI的InfraGard安全平台而闻名，宣称此次在Breach Forums上发布的只是他掌握的CrowdStrike IoC数据的冰山一角。首批泄漏数据为一个大小为53MB的CSV文件，包含了10.3万行IoC指标信息。Hackread研究团队分析泄漏样本后发现，其中包含与Mispadu恶意软件相关的多个IoC指标的详细信息。这些指标包括多种哈希值（如MD5、SHA-1和SHA-256），用于识别特定的恶意文件。所有数据均与SAMBASPIDER威胁行为者相关，涉及网络攻击的“投放”和“安装”阶段，具体如下： 哈希和恶意软件信息：CSV文件包含各种哈希类型，例如MD5、SHA-1和SHA-256，用于识别与Mispadu恶意软件相关的特定恶意文件。 威胁行为者：泄露的样本数据中的所有条目似乎都与威胁行为者SAMBASPIDER有关。 杀伤链阶段：数据突出显示了网络杀伤链的“交付”和“安装”阶段，提供了对恶意软件在目标系统上交付和安装的阶段的深入了解。 置信度级别：每个条目都标有高置信度级别，表明威胁情报的可靠性。 威胁类型：威胁分为多种类型，包括银行威胁、犯罪威胁和模块化威胁，突显了Mispadu 恶意软件的多面性。 MITRE ATT＆CK技术：泄漏的IoC指标映射到几种MITRE ATT＆CK技术，例如： 执行/用户执行 发现/系统检查 凭证访问/输入捕获 凭证访问/凭证转储 命令与控制/数据混淆 防御规避/混淆的文件或信息 研究者发现，每个IoC指标都标记为高置信度，表明这些威胁情报的可靠性。威胁类型包括银行、犯罪和模块化等多种类别，展示了Mispadu恶意软件的多面性。 针对USDoD的泄漏声明，CrowdStrike采取了谨慎的回应态度，并未完全否认黑客的说法。该公司分析了部分泄漏数据样本，根据其中“LastActive”日期大致判断数据泄漏可能发生在2024年7月。CrowdStrike认为，USDoD有夸大其词的历史，建议公众对其声明保持怀疑态度。 IoC指标泄漏的五大危害 此次大规模IoC数据泄漏可能对CrowdStrike的用户造成严重而深远的不利影响。GoUpSec分析师FunnyG表示，IoC指标信息可能被攻击者利用以规避检测，改进攻击工具和方法，暴露客户安全防御弱点等，具体如下： 1 攻击者规避检测 泄漏的IoC数据包含了CrowdStrike用于检测恶意活动的具体指标，如恶意文件的哈希值、恶意IP地址等。这些数据一旦被攻击者获取，他们可以修改或规避这些已知的特征，以逃避安全检测。例如，攻击者可以改变恶意软件的哈希值或使用不同的IP地址，从而避开安全系统的侦测和拦截。 2 增加客户的安全风险 客户依赖于CrowdStrike提供的威胁情报来保护其网络安全。泄漏的IoC数据可能包含尚未公开的威胁信息，这些信息对保护客户系统至关重要。如果这些数据被广泛传播，攻击者可能更容易找到和利用客户系统的漏洞，导致潜在的安全事件增加。对于使用这些威胁情报保护网络的企业，可能需要重新评估其安全策略并更新防御措施。 3 信息误用和安全情报滥用 IoC指标数据通常包含与恶意软件和威胁行为者相关的详细信息，这些信息对于安全研究人员和企业至关重要。然而，一旦这些数据泄漏，恶意行为者也可以使用这些信息来研究和改进其攻击手段。特别是涉及Mispadu恶意软件和SAMBASPIDER威胁行为者的详细情报，可能帮助攻击者更好地理解安全系统的检测机制，从而进一步精细化其攻击策略。 4 信任危机和声誉损害 此次泄漏事件可能导致客户对CrowdStrike的信任危机。客户依赖于CrowdStrike提供安全保护，而此次事件显示了其在数据安全管理方面的不足。长远来看，这可能影响客户对CrowdStrike服务的信任度，进而影响公司的市场声誉和客户保留率。 5 法律和合规风险 如果泄漏的IoC数据中包含敏感的客户信息或违反了数据保护法规，CrowdStrike可能面临法律和合规风险。公司可能需要面对监管调查和潜在的法律诉讼，这不仅会导致财务损失，还可能影响公司在行业中的地位。  CrowdStrike经历了公司历史上最黑暗的七 值得注意的是，这些泄漏的IoC指标对于（其他厂商的）网络安全研究人员和专家也可以利用这些数据，加强对抗Mispadu恶意软件和SAMBASPIDER的安全机制。 CrowdStrike的黑色七月 月。IoC指标大规模泄漏之际，CrowdStrike正忙于响应不久前导致全球系统崩溃的灾难性事件。后者不仅导致大量Windows设备崩溃，还引发了假冒补丁的恶意软件传播，进一步感染了更多设备。这一连串的安全问题，无疑给CrowdStrike带来了巨大压力。 从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。因为IoC指标的泄漏不仅增加了CrowdStrike客户面临的直接安全威胁，还可能导致更广泛的安全情报滥用、信任危机以及法律和合规风险。 当前，CrowdStrike尚未对最新的泄漏事件发布新的声明，业界正在密切关注此事件的发展及其对网络安全领域的潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6D8YauVU3_8JEzEsUvCX2A 封面来源于网络，如有侵权请联系删除

本周，Mandiant 公司发布的一份新报告记录了 APT45 作为一个针对医疗保健提供商、金融机构和能源公司的激进勒索软件组织的出现，有朝鲜官方背景的黑客行动的内部运作变得更加清晰。 这个被命名为 APT45 的组织多年来一直被追踪为Andariel或Silent Chollima，以支持朝鲜战略利益的网络间谍活动而闻名，但最近其业务范围扩大到包括针对非常敏感目标的勒索软件攻击。 APT45针对的目标 Mandiant 的新报告发布之际，美国政府及其盟友发布了一项大规模通报，揭露了朝鲜这个危险黑客组织使用的工具和策略。Mandiant 的一位发言人表示，该公司与包括联邦调查局在内的多个美国政府机构密切合作，追踪该组织获取国防和研发情报的行动。 Mandiant 表示，专家和政府机构对 APT45 窃取一系列武器和工具敏感计划的能力感到震惊，其中包括： 重型和轻型坦克和自行榴弹炮 轻型攻击车和弹药补给车 濒海战斗舰和战斗艇 潜艇、鱼雷、无人水下航行器 (UUV)     和自主水下航行器 (AUV) 建模和仿真服务 战斗机和无人机（UAV） 导弹和导弹防御系统 卫星、卫星通信和纳米卫星技术 监视雷达、相控阵雷达和其他雷达系统 铀加工和浓缩 材料浪费和储存 核电厂 政府核设施和研究机构 船舶制造和海洋工程 机器人机械和机械臂 增材制造和 3D 打印组件和技术 铸造、制造、高温金属成型、橡胶和塑料成型 加工工艺和技术 Mandiant 朝鲜威胁搜寻团队负责人迈克尔·巴恩哈特 (Michael Barnhart) 表示。“APT45 不受道德考量约束，并已证明他们愿意并足够灵活地针对任何实体来实现其目标，包括医院。” Mandiant 表示，该组织的间谍活动可以追溯到 2009 年，并逐渐扩展为以经济为目的的攻击——其使用勒索软件的特点使其有别于其他朝鲜组织。该组织使用的一些恶意软件与该国其他组织使用的工具集截然不同。 Mandiant 表示，2019 年，该组织瞄准了印度的库丹库拉姆核电站，并补充说，其他核设施和发电厂也成为攻击目标。该组织还于 2020 年攻击了一家跨国公司的作物科学部门，并在过去四年中攻击了多个医疗保健和制药垂直行业。 “我们还相当确信 APT45 参与了勒索软件的开发。”该事件响应公司表示。“该组织针对核相关实体开展了行动，凸显了其在支持朝鲜优先事项方面的作用。” 尽管 Mandiant 谨慎地否认 APT45 是勒索软件攻击的起因，但该公司指出，公开报道称该组织一直在进行金融犯罪。 虽然 Mandiant 无法确认勒索软件是 APT45 武器库的一部分，但它指出，美国政府网络安全机构CISA 警告称，朝鲜背景的攻击者使用MAUI勒索软件针对医疗保健和公共卫生部门。 Mandiant 表示，与朝鲜的大多数黑客团队一样，APT45 恶意软件随着时间的推移表现出明显的共同特征，包括代码的重复使用、独特的自定义编码和密码。 Mandiant 发布了 VirusTotal Collection，其中包含与APT45 相关的攻击指标，以帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vsqgskqG5cFtthe–oUA4A 封面来源于网络，如有侵权请联系删除

名为 Patchwork 的威胁行为涉嫌参与了针对不丹相关实体的网络攻击，该攻击旨在传播 Brute Ratel C4 框架和一个名为 PGoShell 的升级版后门。 知道创宇 404 实验室在上周发布的一份分析报告中表示，这一进展标志着首次观察到对手使用红队软件。 该活动集群也被称为 APT-C-09、Dropping Elephant、Operation Hangover、Viceroy Tiger 和 Zinc Emerson，可能是一个受国家支持的印度黑客组织。 根据中国网络安全公司奇安信共享的数据，该黑客组织以针对中国和巴基斯坦实施鱼叉式网络钓鱼和灌水攻击而闻名，据悉至少从 2009 年起就开始活跃。 去年7月，知道创宇404实验室披露了针对中国大学和研究机构的间谍活动细节。该活动利用了代号为EyeShell的基于.NET的植入程序，从攻击者控制的服务器上获取并执行命令，运行附加有效载荷，并截取屏幕截图。 今年二月，研究人员发现该黑客组织利用浪漫主题诱饵对巴基斯坦和印度的受害者实施诱骗，并通过名为VajraSpy的远程访问木马程序入侵其安卓设备。 最新观察显示，攻击链起点是一个Windows快捷方式（LNK）文件，该文件旨在从一个冒充联合国气候变化框架公约支持的适应基金的远程域下载一个诱饵PDF文档，同时隐秘地部署从不同域（“beijingtv[.]org”）获取的Brute Ratel C4和PGoShell。 知道创宇404实验室表示“PGoShell 是用 Go 编程语言开发的。总体而言，它提供了一套丰富的功能，包括远程shell功能、屏幕捕获以及下载和执行有效载荷。” 几个月前，APT-K-47 （另一个与 SideWinder、Patchwork、Confucius 和 Bitter 在战术上有重叠的黑客组织）发起了涉及使用 ORPCBackdoor 以及 WalkerShell、DemoTrySpy 和 NixBackdoor 等之前未记录的恶意软件来收集数据和执行 shellcode 的攻击。 知道创宇 404 实验室表示，这些攻击事件中部署了一个名为 Nimbo-C2 的开源命令与控制（C2）框架而引人注目，该框架 “支持多种远程控制功能”。   转自thehackernews，原文链接：https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员表示，他们发现了一个意外泄露的 GitHub 令牌，该令牌可以授予对 Python 语言、Python 包索引 (PyPI) 和 Python 软件基金会 (PSF) 存储库的提升访问权限。 发现 GitHub 个人访问令牌的 JFrog 表示，该令牌密钥是在托管在 Docker Hub 上的公共 Docker 容器中泄露的。 该软件供应链安全公司表示：“这个案例很特殊，因为如果它落入坏人之手，很难估计其潜在后果——据称有人可能会将恶意代码注入 PyPI 包中（想象一下用恶意代码替换所有 Python 包），甚至注入 Python 语言本身。” 攻击者可以利用其管理员访问权限，通过毒害与 Python 编程语言核心或 PyPI 包管理器相关的源代码来发动大规模供应链攻击。 JFrog 注意到，在 Docker 容器内发现了身份验证令牌，该令牌位于一个已编译的 Python 文件（“build.cpython-311.pyc”）中，但该文件因疏忽而未被清理。 在 2024 年 6 月 28 日负责任地披露后，为与 PyPI 管理员 Ee Durbin 关联的 GitHub 帐户颁发的令牌立即被撤销。目前还没有证据表明该秘密被野外利用。 PyPI 表示，该令牌是在 2023 年 3 月 3 日之前的某个时间发行的，由于 90 天后安全日志不可用，因此具体日期未知。 Durbin解释道：“在本地开发 cabotage-app5 并处理代码库的构建部分时，我不断遇到 GitHub API 速率限制。” “这些速率限制适用于匿名访问。在生产中，系统配置为 GitHub App，出于偷懒，我修改了本地文件以包含自己的访问令牌，而不是配置本地主机 GitHub App。这些更改从未打算远程推送。” Checkmarx 在 PyPI 上发现了一系列恶意软件，这些恶意软件旨在在未经受害者同意或不知情的情况下将敏感信息泄露给 Telegram 机器人。 有问题的软件包 – testbrojct2、proxyfullscraper、proxyalhttp 和 proxyfullscrapers – 通过扫描受感染的系统以查找与 .py、.php、.zip、.png、.jpg 和 .jpeg 等扩展名匹配的文件来工作。 Checkmarx 研究员 Yehuda Gelb表示：“Telegram 机器人与伊拉克的多个网络犯罪行动有关”，并指出该机器人的消息历史可以追溯到 2022 年。 “该机器人还可以充当提供社交媒体操纵服务的地下市场。它与金融盗窃有关，并通过窃取受害者的数据来利用受害者。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RG-VvrMfqF2rtFPKdpU9tg 封面来源于网络，如有侵权请联系删除

根据俄罗斯安全供应商卡巴斯基的最新报告，一种新的高级持续性威胁组织(APT) 被发现针对俄罗斯政府实体进行网络间谍活动。 卡巴斯基表示，这个被称为CloudSorcerer的APT组织使用 Dropbox、Microsoft Graph 和 Yandex Cloud 窃取数据，同时依赖公共云服务作为命令和控制 (C&C) 基础设施。 根据该公司的文档，APT 会在受感染的机器上手动执行 CloudSorcerer 恶意软件。根据其运行的进程，恶意软件可以充当后门、启动 C&C 通信模块或尝试将 shellcode 注入 explorer.exe、msiexec.exe 或 mspaint.exe。 后门模块收集受害者计算机的各种信息，包括机器名称、用户名、Windows 信息和系统正常运行时间。这些数据被存储在专门创建的结构中，并写入连接到通信模块的命名管道。 卡巴斯基表示：“值得注意的是，所有数据交换都是使用具有不同目的的明确定义的结构来组织的，例如后门命令结构和信息收集结构。” 根据通过相同命名管道接收的命令，恶意软件可以收集其他信息，执行 shell 命令，篡改文件并将 shellcode 注入进程。 接收到特定命令 ID 后即可使用其他功能，例如创建进程、清除 DNS 缓存、篡改 Windows 任务、服务、广告注册表、创建/删除用户、断开网络资源、篡改文件以及收集网络信息。 我们发现 C&C 通信模块正在启动与包含三个公共项目分支的 GitHub 页面或俄罗斯云端照片托管服务器 my.mail[.]ru 的初始连接。两个页面均包含相同的编码字符串。 据卡巴斯基介绍，C＆C 模块“通过读取数据、接收编码命令、使用字符代码表对其进行解码以及通过命名管道将其发送到后门模块来与云服务进行交互”。 卡巴斯基表示，利用公共云基础设施进行 C＆C 是 CloudWizard APT（去年披露的另一个高级威胁组织）的作案手法，但 CloudSorcerer 的活动似乎有所不同。 卡巴斯基研究人员补充道：“将 CloudSorcerer 归因于同一攻击者的可能性很低，因为恶意软件的代码和整体功能都不同。因此，我们目前假设 CloudSorcerer 是一个采用了与公共云服务交互技术的新攻击者。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dDSWoj9bV8Dv_izl42NV4A 封面来源于网络，如有侵权请联系删除

Morphisec 的研究人员观察到一个被称为 Sticky Werewolf 的黑客，其目标是俄罗斯和白俄罗斯的实体。 Sticky Werewolf 是一个黑客，于 2023 年 4 月首次被发现，最初针对俄罗斯和白俄罗斯的公共组织。该组织已将业务扩展到各个领域，包括一家制药公司和一家专门从事微生物学和疫苗开发的俄罗斯研究机构。 在最新的活动中，Sticky Werewolf 针对航空业发送了据称来自 AO OKB Kristall 第一副总经理的电子邮件，AO OKB Kristall 是一家总部位于莫斯科的公司，从事飞机和航天器的生产和维护。此前，该组织使用带有恶意文件链接的网络钓鱼电子邮件。在最新的活动中，黑客使用了包含指向存储在 WebDAV 服务器上的有效负载的 LNK 文件的存档文件。 在执行托管在 WebDAV 服务器上的二进制文件后，会启动一个经过混淆的 Windows 批处理脚本。该脚本运行 AutoIt 脚本，最终注入最终有效载荷。 “在之前的活动中，感染链始于包含从 gofile.io 等平台下载恶意文件的链接的网络钓鱼电子邮件。然而，在他们最新的活动中，感染方法已经发生了变化。” Morphisec 发布的分析报告写道。“最初的电子邮件包含一个存档附件；当收件人提取存档时，他们会找到 LNK 和诱饵文件。这些 LNK 文件指向托管在 WebDAV 服务器上的可执行文件。一旦执行，就会启动一个批处理脚本，然后启动一个 AutoIt 脚本，最终注入最终的有效负载。” 该档案包括一个诱饵 PDF 文件和两个伪装成 DOCX 文档的 LNK 文件，分别名为 Повестка совещания.docx.lnk（会议议程）和 Список рассылки.docx.lnk（邮件列表）。 黑客使用了据称由 AO OKB Kristall 第一副总经理兼执行董事发送的网络钓鱼消息。收件人是来自航空航天和国防部门的个人，他们被邀请参加有关未来合作的视频会议。这些消息使用包含恶意负载的受密码保护的存档。 黑客使用的有效载荷包括商品 RAT 或窃取程序。最近，Sticky Werewolf 被发现在其活动中使用了Rhadamanthys Stealer和 Ozone RAT。在之前的攻击中，该组织还部署了 MetaStealer、DarkTrack 和NetWire。 “这些恶意软件可进行广泛的间谍活动和数据泄露。虽然没有确凿证据表明 Sticky Werewolf 的国籍，但地缘政治背景表明它可能与亲乌克兰的网络间谍组织或黑客活动分子有联系，尽管这种归属仍不确定。”该报告总结道，其中还包括入侵指标 (IoC)。   转自e安全，原文链接：https://mp.weixin.qq.com/s/HaP15jspRaYYZpleJTFXoA 封面来源于网络，如有侵权请联系删除