谷歌和微软警告称，2024 年巴黎奥运会面临着较高的网络威胁风险，尤其是来自俄罗斯黑客的威胁。 据谷歌 Mandiant 网络安全团队称，2024 年巴黎奥运会面临的网络威胁包括间谍活动、干扰、破坏、黑客行动主义、影响以及经济动机活动等。 Mandiant 指出：“奥运会相关的网络威胁可能会对各种目标产生实际影响，包括赛事组织者和赞助商、票务系统、巴黎基础设施以及前往赛事的运动员和观众。” 参加 2024 年奥运会的大量政府官员和决策者可能会引起网络间谍组织的注意，而专注于破坏和扰乱的黑客组织可能会发起分布式拒绝服务 (DDoS)、擦除器恶意软件或 OT 攻击，从而造成负面的心理影响和声誉损害。 攻击者还有望利用人们对奥运会的兴趣，在信息行动中传播谎言和虚假信息，有时还会发动破坏性和破坏性攻击，以扩大传播。 另一方面，出于经济动机的黑客组织可能会从事票务诈骗、窃取个人身份信息和敲诈勒索等活动，以利用人们对奥运会的兴趣，并可能在社会工程行动中使用与奥运会相关的诱饵。 Mandiant 指出：“鉴于俄罗斯曾多次将攻击目标锁定在前几届奥运会上、与欧洲关系紧张、以及最近已将法国作为攻击目标的亲俄信息行动，Mandiant 高度确信，俄罗斯对奥运会构成了最严重的威胁。” 据微软称，俄罗斯黑客组织于 2023 年 6 月开始进行与奥运会相关的活动，并制作了一部长篇名为《奥运会已沦陷》的电影，模仿 2013 年美国政治动作惊悚片“奥林匹斯山陷落”。这部电影使用人工智能生成的音频冒充演员汤姆克鲁斯来暗示他的参与，贬低了国际奥委会的领导层。 俄罗斯黑客组织Storm-1679制作的虚假纪录片《奥运会已陷落》中的视觉效果，该纪录片针对国际奥委会并传播亲俄虚假信息。这部纪录片使用了美国演员汤姆·克鲁斯的形象和肖像，他没有参加任何此类纪录片。 微软表示：“观察到一个与俄罗斯有关的网络正在针对法国、法国总统埃马纽埃尔·马克龙、国际奥委会和巴黎奥运会开展一系列恶意影响活动。这些活动可能预示着今年夏天的国际比赛将面临网络威胁。” 这项由微软命名代号为 Storm-1679 的黑客组织发起的影响力行动还包括发布视频和其他材料，宣扬奥运会期间可能会发生恐怖袭击以及以色列公民将在奥运会上面临暴力的说法。 伪造的视频新闻稿警告公众2024年巴黎夏季奥运会可能发生恐怖袭击（左）。捏造的法国24电视台新闻片段声称，由于对恐怖主义的担忧，近四分之一的巴黎2024年奥运会门票已被退回（右）。这两件赝品都是由俄黑客组织 Storm-1679 制作。 另一个俄罗斯黑客团伙 Storm-1099（又名 Doppelganger）利用 15 个独特的法语“新闻”网站加大了反奥运宣传力度，并警告奥运会期间可能出现暴力事件。 微软“预计俄罗斯针对奥运会的恶意活动将会愈演愈烈。以法语为主的活动可能会扩展到英语、德语和其他语言，以最大限度地提高在线知名度和吸引力，而生成式人工智能的使用也可能会增加”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/g9ji1sS5omiMkcvJTR3SNw 封面来源于网络，如有侵权请联系删除

如今，越来越多黑客开始利用微软图形应用程序接口（Graph API）逃避安全检测。博通公司旗下的赛门铁克威胁猎人团队在一份报告中提到，这样做是为了方便与托管在微软云服务上的命令与控制（C&C）基础设施进行通信。 自 2022 年 1 月以来，已观察到多个与国家结盟的黑客组织使用微软图形 API 进行 C&C。其中包括被追踪为 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig  等黑客组织。 在微软图形应用程序接口（Graph API）被更广泛地采用之前，第一个已知的微软图形应用程序接口滥用实例可追溯到 2021 年 6 月。当时一个被称为 Harvester 的组织使用了一个名为 Graphon 的定制植入程序，该植入程序利用 API 与微软基础架构进行通信。 赛门铁克称最近检测到了针对乌克兰一个未具名组织使用了相同的技术，其中涉及部署一个以前未记录的名为 BirdyClient（又名OneDriveBirdyClient）的恶意软件。 这是一个名称为 “vxdiff.dll “的 DLL 文件，与一个名为 Apoint 的应用程序（”apoint.exe”）的合法 DLL 文件相同，其目的是连接到 Microsoft Graph API，并将 OneDrive 用作 C&C 服务器，从中上传和下载文件。 目前尚不清楚 DLL 文件的确切传播方式，也不知道是否涉及 DLL 侧载，具体威胁方以及最终目的是什么目前也是未知。 赛门铁克表示：攻击者与 C&C 服务器的通信通常会引起目标组织的警惕。Graph API 之所以受到攻击者的青睐，可能是因为他们认为这种通信方式不太会引起怀疑。 除了看起来不显眼之外，它还是攻击者廉价而安全的基础设施来源，因为OneDrive 等服务的基本账户是免费的。Permiso 揭示了拥有特权访问权限的攻击者如何利用云管理命令在虚拟机上执行命令。 这家云安全公司表示：大多数情况下，黑客会利用信任关系，通过入侵第三方外部供应商或承包商，在连接的虚拟机或混合环境中执行命令，而这些外部供应商或承包商拥有管理内部云环境的权限。 通过入侵这些外部实体，黑客可以获得高级访问权限，从而在虚拟机或混合环境中执行命令。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399970.html 封面来源于网络，如有侵权请联系删除

德国当局查封了暗网市场 Nemesis Market，并没收了价值 94,000 欧元的数字资产。 德国当局采取行动，成功打击了位于德国和立陶宛的非法暗网市场 Nemesis Market，并查获了其服务器和基础设施。 Nemesis Market是一个非法暗网市场，专门用于进行欺诈获取数据交易和其他网络犯罪服务（包括DDoS攻击、网络钓鱼和勒索软件等）。 该平台在全球范围内拥有超过150000名用户和1100个注册卖家账户，其成立于2021年，约20%的卖家来自德国。 Nemesis Market可通过Tor网络访问，其运营商以涉嫌在互联网上进行犯罪交易并且违反麻醉品法的犯行被关闭。在扣押过程中，价值94000欧元的加密货币数字资产被没收。 根据新闻稿，查获Nemesis Market是德国、美国和立陶宛执法当局进行的联合调查的一部分。 “被查获的市场数据将用于进一步调查该平台的犯罪卖家和用户。这一行动是对在暗网上运作的地下经济参与者的打击，展示了国际执法在数字空间中的有效性。”新闻稿说到。 同时，这并非当局首次查封类似Nemesis Market的暗网平台。 据 ALPHV（又称 BlackCat）暗网博客上发布的通知，称当局于 2023 年 12 月查封了该网站。据称，此举是联邦调查局在针对 ALPHV/BlackCat 勒索软件采取的协调执法行动的一部分。 虽然网站在 2023 年 12 月关闭引发了平台被关闭或更名的传言，但后来证实，该勒索软件团伙的网站确认是被执法部门关闭，但在后续过程中，据称该勒索团伙已通过更换网络域名方式重新上线。 消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，与朝鲜有关的APT组织Kimsuky（又名 Black Banshee、Emerald Sleet 或 Springtail）改变了策略，利用编译的 HTML 帮助 (CHM) 文件作为载体来传播恶意软件以收集敏感数据。 Kimsuky 至少自 2012 年以来一直活跃，其目标是位于韩国以及北美、亚洲和欧洲的实体。 据 Rapid7 称，攻击链利用了武器化的 Microsoft Office 文档、ISO 文件和 Windows 快捷方式 (LNK) 文件，该组织还利用 CHM 文件在受感染的主机上部署恶意软件。 该网络安全公司以过去观察到的类似间谍活动为由，以适度的信心将这一活动归咎于 Kimsuky。 该公司表示：“虽然 CHM 文件最初是为帮助文档而设计的，但它也被用于恶意目的，例如分发恶意软件，因为它们在打开时可以执行 JavaScript。” CHM 文件在 ISO、VHD、ZIP 或 RAR 文件中传播，打开后执行 Visual Basic 脚本 (VBScript) 以设置持久性并连接到远程服务器释放下一阶段有效负载，以获取敏感数据。 Rapid7 称这些攻击持续且不断演变，针对的是韩国的组织。它还确定了一种替代感染序列，该序列采用 CHM 文件作为起点，删除负责收集信息的批处理文件和连接到 C2 服务器并传输数据的 PowerShell 脚本。 报告称：“作案手法以及代码和工具的重用表明，攻击者正在积极使用和完善/重塑其技术和策略，以从受害者那里收集情报。” 博通旗下的赛门铁克透露，Kimsuky 攻击者正在传播冒充韩国合法公共实体应用程序的恶意软件。 赛门铁克表示：“一旦受到威胁，植入程序就会安装 Endor 后门恶意软件。” “这种威胁使攻击者能够从受害者那里收集敏感信息或安装其他恶意软件。” 值得注意的是，基于 Golang 的 Endor 与 Troll Stealer（又名 TrollAgent）最近被部署用于针对从韩国建筑相关协会网站下载程序的用户。 联合国对朝鲜在 2017 年至 2023 年间实施的 58 起疑似网络攻击进行了调查，这些攻击为朝鲜带来 30 亿美元的非法收入。 报告称：“据报道，侦察总局下属的黑客组织仍在继续发动大量网络攻击。”“趋势包括针对国防公司和供应链，以及越来越多地共享基础设施和工具。” 侦察总局 (RGB) 是朝鲜主要的对外情报机构，由被广泛追踪的Lazarus集团及其下属组织Andariel 、 BlueNoroff以及Kimsuky组成的APT集群组成。 报告进一步补充说：“Kimsuky 对使用生成人工智能（包括大型语言模型）表现出了兴趣，可能用于编码或编写网络钓鱼电子邮件。” “据观察 Kimsuky 使用 ChatGPT。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IgmPU_q726SP5tcqg6WZWw 封面来源于网络，如有侵权请联系删除

微软和OpenAI通过监测大模型使用记录，找出全球APT组织的使用痕迹，并对相关帐号和资产进行封禁。 安全内参消息称，过去几年来，网络威胁生态系统的发展揭示了一个共同主题，即威胁行为者与企业防守方同步跟随技术趋势。和企业防守方一样，威胁行为者正在关注大语言模型等人工智能技术，希望借以提高生产力，并利用可访问的平台来推进目标实现、提升攻击技术。 微软与OpenAI合作对网络威胁生态进行研究，尚未发现大家密切关注的大语言模型被用于重大攻击。不过，微软认为这项重要研究成果需要公开发布，因为它揭示了目前观察到的知名威胁行为者正在尝试的早期、渐进性举措，并给出应该如何阻止和应对这些行为者的措施。 攻击者会持续对人工智能保持兴趣，并探索当前技术的功能和安全控制措施。重要的是，我们需要将这些风险置于具体情境中加以理解。像多因素身份验证和零信任防御等网络卫生实践一样重要，因为攻击者可能利用基于人工智能的工具，来改进其现有的网络攻击模式，比如通过社会工程学试图找到未受保护的设备和帐号。 本文列举了一些威胁行为者的活动示例。网络安全行业迫切需要使用MITRE的ATT&CK框架或ATLAS知识库更新，更好地跟踪它们的战术、技术和程序（TTPs）。 森林暴雪 森林暴雪（STRONTIUM）是俄罗斯军事情报机构GRU第26165单位相关的俄罗斯军事情报行为者，其主要目标是对俄罗斯政府具有战术和战略利益的受害者。他们的活动覆盖了多个行业，包括国防、交通/物流、政府、能源、非政府组织和信息技术等。 俄乌战争期间，森林暴雪一直积极攻击与冲突有关的组织。微软认为，无论是在乌克兰还是在更广泛的国际社会，森林暴雪的行动都有力地支持了俄罗斯的外交政策和军事目标。森林暴雪与其他研究人员跟踪的威胁行为者（如APT28和Fancy Bear）有所重叠。 森林暴雪主要使用大语言模型对各种卫星和雷达技术进行研究，这些技术可能与在乌克兰进行的常规军事行动或支持网络攻击的通用研究有关。根据这些观察，相关TTPs分类描述如下： 大语言模型指导的侦察：与大语言模型交互以了解卫星通信协议、雷达成像技术和特定技术参数。这些交互行为表明威胁行为者试图更为深入地了解卫星的能力。 大语言模型增强的脚本技术：寻求在基本脚本任务中提供支持，包括文件操作、数据选择、正则表达式和多处理，以期自动化或优化技术操作。 据微软观察，森林暴雪的大语言模型互动与鲑鱼台风（Salmon Typhoon）类似，说明对手在探索如何使用新技术。与其他对手一样，与森林暴雪相关的所有帐号和资产已被禁用。 翡翠雨 翡翠雨（THALLIUM）是归属朝鲜的威胁行为者，在2023年一直保持高度活跃。最近，他们依靠钓鱼邮件来窃取和收集对朝鲜问题具有专业知识的知名人士的情报。据微软观察，翡翠雨冒充声望良好的学术机构和非政府组织，诱使受害者回复有关与朝鲜有关的外交政策的专家见解和评论。翡翠雨与其他研究人员跟踪的威胁行为者（如Kimsuky、Velvet Chollima）有所重叠。 翡翠雨使用大语言模型支持上述活动，涉及对朝鲜问题智库和专家的研究，以及生成可能用于钓鱼攻击的内容。翡翠雨还与大语言模型互动，以了解公开已知的漏洞、排除技术问题、帮助使用各种网络技术。根据这些观察，相关TTPs分类描述如下： 大语言模型辅助的漏洞研究：与大语言模型交互，以更好地了解公开报道的漏洞，例如CVE-2022-30190微软支持诊断工具（MSDT）漏洞（称为Follina）。 大语言模型增强的脚本技术：利用大预言模型进行基本的脚本编写任务，例如对系统中的某些用户事件进行程序化识别，并寻求帮助排除故障、理解各种Web技术。 大语言模型支持的社会工程学：利用大语言模型协助起草和生成可能用于针对具有区域专业知识的个人的钓鱼攻击的内容。 大语言模型指导的侦察：与大语言模型交互，以识别重点关注国防问题或朝鲜核计划的朝鲜问题智库、政府组织或专家。 与翡翠雨相关的所有帐号和资产均已被禁用。 深红沙尘暴 深红沙尘暴（CURIUM）是归属伊朗的威胁行为者，被认为与伊斯兰革命卫队（IRGC）有联系。至少自2017年以来保持活跃。深红沙尘暴已针对多个行业进行了攻击，包括国防、海运、交通运输、医疗保健和技术。这些行动经常依赖于诱饵攻击和社会工程，以传递定制的.NET恶意软件。此前研究发现，其使用基于电子邮件C2通道的定制恶意软件。深红沙尘暴与其他研究人员跟踪的威胁行为者（如Tortoiseshell、Imperial Kitten和Yellow Liderc）有所重叠。 深红沙尘暴对大语言模型的使用，与安全社区观察到的其更广泛行为特征相符。该威胁行为者与大语言模型的交互包括寻求社会工程方面的支持、帮助排除故障、.NET开发以及攻击者在受损计算机上如何避免检测的方式。根据这些观察，相关TTPs分类描述如下： 大语言模型支持的社会工程学：与大语言模型交互以生成各种钓鱼邮件，包括假冒来自国际发展机构的邮件和试图诱使著名女权主义者访问攻击者构建的女权主义网站的邮件。 大语言模型增强的脚本技术：使用大语言模型生成支持应用程序和Web开发的代码片段，与远程服务器交互，Web抓取，在用户登录时执行任务，以及通过电子邮件发送系统信息等。 大语言模型增强的异常检测规避：试图利用大语言模型辅助开发代码以规避检测，学习如何通过注册表或Windows策略禁用防病毒软件，并在应用程序关闭后删除目录中的文件。 所有与深红沙尘暴相关的帐号和资产均已禁用。 大语言模型领域的TTPs 基于以上分析的见解，以及人工智能的其他潜在滥用行为，微软梳理了大语言模型主题的TTPs清单，并将其映射并分类到MITRE ATT＆CK框架或ATLAS知识库中，为社区提供一种共同的分类方法，便于联手跟踪大语言模型的恶意使用并创建对策： 大语言模型指导的侦察：利用大语言模型收集关于技术和潜在漏洞的可行情报。 大语言模型增强的脚本技术：利用大语言模型生成或完善可用于网络攻击的脚本，或用于基本的脚本编写任务，如在系统上编程识别特定用户事件并协助故障排除和理解各种网络技术。 大语言模型辅助开发：在工具和程序的开发生命周期中利用大语言模型，开发包括恶意软件在内的恶意工具。 大语言模型支持的社会工程学：利用大语言模型辅助翻译和沟通，可能用于建立联系或操纵目标。 大语言模型辅助漏洞研究：利用大语言模型了解并识别软件和系统中的潜在漏洞，这些漏洞可能成为攻击目标。 大语言模型优化的载荷制作：利用大语言模型协助创建并完善用于部署网络攻击的载荷。 大语言模型增强的异常检测规避：利用大语言模型开发方法，使恶意活动与正常行为或流量混为一体，以规避检测系统。 大语言模型指导的安全功能绕过：利用大语言模型寻找绕过安全功能的方法，如双因素身份验证、CAPTCHA或其他访问控制。 大语言模型建议的资源开发：在工具开发、工具修改和战略运营规划中利用大语言模型。 总之，人工智能技术将继续发展，并受到各种威胁行为者的研究。微软将继续跟踪威胁行为者和滥用大型语言模型的恶意活动，并与OpenAI等合作伙伴携手分享情报，提高客户保护水平，为更广泛的安全社区提供帮助。   转自安全内参，原文链接：https://www.secrss.com/articles/64624 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的APT28黑客组织与多个正在进行的网络钓鱼活动有关，这些活动使用模仿欧洲、南高加索、中亚以及北美和南美政府和非政府组织 (NGO) 的诱饵文件。 研究人员表示：“发现的诱饵包括内部和公开可用的文件，以及可能由参与者生成的与金融、关键基础设施、高管参与、网络安全、海事安全、医疗保健、商业和国防工业生产相关的文件。”IBMX-Force研究人员在上周发布的一份报告中写道。 IBM X-Force正在追踪名为ITG05的活动，该组织别名包括：Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（以前称为 Strontium）、FROZENLAKE、Iron Twilight、Pawn Storm、Sednit、Sofacy、TA422 和UAC-028。 ITG05 是一个有俄罗斯官方背景的黑客组织，由多个活动集群组成，与 APT28、UAC-028、Fancy Bear 和 Forest Blizzard 的活动重叠。 该报告是在发现使用以色列-哈马斯战争相关的诱饵来提供名为HeadLace的定制后门三个多月后发布的。 APT28 还向乌克兰政府实体和波兰组织发送网络钓鱼消息，这些消息旨在部署定制植入程序和信息窃取程序，例如MASEPIE、OCEANMAP 和 STEELHOOK。 其他活动需要利用Microsoft Outlook 中的安全漏洞（ CVE-2023-23397，CVSS 评分：9.8）来获取 NT LAN Manager (NTLM) v2 哈希值，从而增加了攻击者可能利用其他漏洞窃取 NTLMv2 哈希值的可能性用于中继攻击。 ITG05 活动的感染链示例 IBM X-Force 在 2023 年 11 月下旬至 2024 年 2 月期间观察到的最新活动中，攻击者利用Microsoft Windows 中的“search-ms:”URI 协议处理程序来诱骗受害者下载托管在攻击者控制的 WebDAV 服务器上的恶意软件。 有证据表明，WebDAV 服务器以及 MASEPIE C2 服务器可能托管在受感染的 Ubiquiti 路由器上，该路由器是一个僵尸网络，上个月已被美国政府捣毁。 网络钓鱼攻击冒充来自阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家的实体，利用真实的公开政府和非政府诱饵文件来激活感染链。 安全研究人员 Joe Fasulo、Claire Zaboeva 和 Golo Mühr 表示：“在对其方法的更新中，ITG05 正在利用免费的托管提供商 firstcloudit[.]com 来暂存有效负载，以实现持续的操作。” APT28 精心策划的计划以 MASEPIE、OCEANMAP 和 STEELHOOK 的执行而告终，这些软件旨在窃取文件、运行任意命令和窃取浏览器数据。OCEANMAP 被认为是 CredoMap 的功能更强大的版本，CredoMap 是该组织先前确定使用的另一个后门。 研究人员总结道：“ITG05 通过提供新的感染方法和利用商用基础设施，同时不断发展恶意软件功能，始终能够适应机会的变化。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ewzUZU83mFfvp407SbJuzQ 封面来源于网络，如有侵权请联系删除

分析人士周四表示，一个伊朗国家支持的黑客组织最近渗透了一家以色列学术管理软件公司，并利用窃取的访问权限恐吓其他以色列组织。 据调查该事件的以色列公司 OP Innovate 发布报告称，此次行动的总体目标似乎是黑客行动，而不一定是经济利益。 OP Innovate 表示，去年 11 月，攻击者入侵了Rashim Software，然后似乎使用在该事件中获得的凭据“渗透到该公司的多个客户，包括众多学术机构”。 Rashim 客户 Rashim 公司是以色列知名企业，为大学和学院提供广泛的软件解决方案。他们的主要产品之一是名为 Michlol 的学生 CRM，该产品被全国各地的学术机构广泛使用。 自 2023 年 10 月伊朗加沙战争爆发以来，以色列网络安全公司一直在密切监视伊朗国家支持的黑客。伊朗是巴勒斯坦组织哈马斯的支持者。 鉴于其一些图形设计选择，OP Innovate 将该团体称为“Lord Nemesis（复仇女神）”。 “从他们的引人注目的网站（其中有一个看起来险恶的黑魔王）到他们的作案手法（包括悄悄渗透网络、窃取数据并逐渐将他们的发现发布到全球网络），该组织的行动经过深思熟虑，旨在最大程度地对受害者施加心理影响。”OP Innovate 说。 OP Innovate 表示，Lord Nemesis 与之前被其他网络安全公司追踪为 Nemesis Kitten 的组织有重叠。这是伊朗支持的几个黑客组织之一，包括Cobalt Mirage、APT35和Charming Kitten。美国政府在宣布2022 年针对与伊朗伊斯兰革命卫队有关的行动实施制裁和采取法律行动时引用了这些内容。 OP Innovate 的报告没有具体说明攻击者最初是如何入侵 Rashim Software 的。但 OP Innovate 表示，入侵者能够绕过 Rashim 通过 Office365 电子邮件向他们提供的多因素身份验证，从而扩展到 Rashim 的客户。 直到 3 月 4 日，黑客仍在向受害者进行恐吓。 OP Innovate 表示：“Nemesis 在网上帖子中准确描述了这次攻击，这对于黑客活动组织来说是一个不寻常的举动。” “这表明他们的直接参与和公开归因的愿望，使这一事件与网络犯罪分子通常实施的出于经济动机的攻击区分开来。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QA6wvqATxH_UIRjSrlTDCQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Group-IB 调查结果显示，2023 年 1 月至 10 月期间，超过 225000 个含有泄露的 OpenAI ChatGPT 凭证的日志在地下市场上售出。 这些凭证在与 LummaC2、Raccoon 和 RedLine 等恶意软件相关的信息窃取者日志中被发现。 该公司在《2023-2024 年高科技犯罪趋势》报告中表示：“受感染设备的数量在夏初和夏末略有下降，但在 8 月至 9 月期间大幅增长。” 2023 年 6 月至 10 月期间，超过 130,000 个能够访问 OpenAI ChatGPT 的主机遭到渗透，比前 5 个月增加了 36%。三大窃取者家族细分如下： LummaC2 – 70,484 台主机 Raccoon – 22,468 个主机 RedLine – 15,970 台主机 Group-IB 表示：“ChatGPT 凭证数量的急剧增加是因为感染信息窃取程序的主机数量总体增加，这些数据随后在市场或 UCL 中出售。” 微软和 OpenAI透露，来自俄罗斯、朝鲜和伊朗的民族国家行为体正在尝试利用人工智能 (AI) 和大型语言模型 (LLM)来补充其正在进行的网络攻击行动。 Group-IB 指出，LLMs 可以被对手用来创造新的间谍手段，通过诈骗和网络钓鱼攻击，该技术还可以加快侦察速度，促进黑客工具包的执行，并进行诈骗机器人呼叫。 过去，威胁行为者主要专注于企业计算机和跨网络移动的访问系统，现在他们也关注能够访问公共人工智能系统的设备。 这让他们能够获取包含员工和系统通信历史记录的日志，从而搜索机密信息（用于间谍目的）、内部基础设施的详细信息、身份验证数据（用于进行更具破坏性的攻击）以及应用程序源代码。 威胁行为者可以利用恶意软件轻松获取有效账户凭据，IBM X-Force表示：“信息窃取者的增加以及滥用有效账户凭据来获取初始访问权限，加剧了防御者的身份和访问管理挑战。 企业凭证数据可以通过凭证重用、浏览器凭证存储或直接从个人设备访问企业账户从受感染的设备中窃取。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员表示，过去一年来，来自世界各地的至少14个国家支持的黑客组织瞄准了俄罗斯以及部分原苏联成员国，如阿塞拜疆、白俄罗斯、吉尔吉斯斯坦和哈萨克斯坦，并进行了破坏或间谍活动。 俄罗斯网络安全公司F.A.C.C.T.的报告指出，其中一些APT组织可能与乌克兰有联系，后者正在与俄罗斯交战；另一些则代表自己的国家利益行事，包括朝鲜等国。F.A.C.C.T.此前是知名网络安全公司Group-IB的子公司，于去年4月独立，Group-IB在去年退出了俄罗斯市场。 F.A.C.C.T.称，这份报告为关于俄罗斯等部分原苏联国家，面临的“网络威胁战略和战术提供了最全面的数据来源”。由于俄乌战争爆发，西方安全公司选择退出俄罗斯市场，这导致它们对这些地区的了解程度有限。 研究发现，在间谍活动方面，那些表面上是伙伴或盟友的国家正在利用网络空间相互监视。 F.A.C.C.T.的报告是用俄语编写的，只有在预定义的国家列表中的用户才能下载，这些国家包括亚美尼亚、格鲁吉亚和乌克兰。 国家级网络威胁 报告显示，2023年俄罗斯面临的出于政治动机的攻击，较前一年增加了116%。研究人员发现，至少有28次针对俄罗斯机构的重大攻击活动，是由外国国家控制的黑客组织发动。 对于这些黑客组织来说，最有利可图的目标是俄罗斯政府和军事机构、工业企业、能源公司和电信提供商。F.A.C.C.T.表示，这些攻击通常是为了完成间谍活动。 一些国家支持的黑客组织，比如跟踪代号XDSpy、Cloud Atlas等组织，过去经常攻击俄罗斯。还有一些组织，比如跟踪代号Tomiris的俄语组织，刚刚开始扩展其在该地区的攻击能力。 过去一年里，针对俄罗斯的主要网络攻击有三角测量行动，俄罗斯将其归咎于美国情报机构；与朝鲜相关的APT37组织对俄罗斯国防企业发起的攻击，导致数据泄露；以及跟踪代号为Hellhounds的新组织发起的间谍活动，针对的是俄罗斯航天、物流、能源和国有企业。 该地区的其他俄语国家也成为了国家级黑客的受害者。例如，与亚洲某国有关的SugarGh0st组织瞄准了乌兹别克斯坦外交部，而Cloud Atlas和Sticky Werewolf组织则针对白俄罗斯政府机构发动了攻击。 要弄清楚国家控制的黑客组织究竟听命于哪个国家并非易事。例如，最活跃的威胁行为者之一XDSpy至少从2011年以来一直在运作，主要针对俄罗斯的关键基础设施，然而世界各地的研究人员都无法确定其代表哪个国家的利益。 激进黑客攻击 对俄罗斯企业的另一种有政治动机的威胁，是志愿者发起的网络攻击，此类攻击者更为人熟知的称呼是激进黑客。 F.A.C.C.T.研究人员表示，从发动DDoS攻击的数量来看，乌克兰IT部队仍然是该地区最活跃激进的黑客组织。过去一年中，该组织引入了新工具，并可能与其他当地激进黑客组织合流。 去年早些时候，与乌克兰IT部队有关的分支团队启动了一项名为Activeness的在线服务，旨在在社交网络上推广某些叙事。研究人员表示，此前乌克兰网络部队已经发动过类似行动，但“可能收效甚微”。 另一个名为“白俄罗斯网络游击队”的激进黑客组织，去年针对白俄罗斯和俄罗斯发动了至少六次攻击。其中至少有两次使用了未知的加密病毒，其他几次则是破坏活动，旨在篡改网站界面或泄露机密数据。 研究人员还发现了追求金融和政治利益的组织。其中一个是犯罪集团Comet Twelve。Comet团队要求受害者支付赎金，否则将拒绝解密并分发被盗数据。而Twelve团队不提出赎金要求，直接破坏受害者的网络。这两个团队使用相同的基础设施、战术和攻击工具。 F.A.C.C.T.将Twelve与Muppets和BlackJack等黑客组织联系在一起。今年1月初，BlackJack声称对莫斯科互联网供应商的攻击负责，据信此次攻击系该组织与乌克兰安全部门SBU合作进行。 研究人员说：“在严峻的地缘政治冲突中，激进黑客活动和亲政府黑客组织的活动在近几年不会减少。他们的优先目标将是间谍活动、窃取知识产权、获取公司数据库的访问权限。” 总体而言，去年黑客和激进黑客在暗网上新发布了246个俄罗斯公司数据库。根据报告，网络犯罪分子不会立即发布泄露的数据，而是利用数据对商业和公共领域的主要参与者发动新的攻击。 根据F.A.C.C.T.的预测，今年俄罗斯会受到来自世界各地“敌对”国家和“中立”国家的持续攻击。研究人员表示，攻击还会由内部人员发动，比如已经离开俄罗斯的公司前员工。   转自安全内参，原文链接：https://www.secrss.com/articles/64064 封面来源于网络，如有侵权请联系删除

2023 年 12 月，名为 ScarCruft 的黑客组织精心策划了一场新的攻击活动，媒体组织和朝鲜事务的知名专家成为了这场活动的目标。 SentinelOne 研究人员 Aleksandar Milenkoski 和 Tom Hegel 在一份报告中表示：“ScarCruft 黑客组织一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。” 网络钓鱼电子邮件（韩语） 这个与朝鲜有联系的黑客组织，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为国家安全部 (MSS) 的一部分，与 Lazarus Group 和 Kimsuky 不同，后者是国家安全部 (MSS) 的一部分。 ScarCruft 黑客组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供 RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。 2023 年 8 月，ScarCruft 与 Lazarus 集团一起对俄罗斯导弹工程公司 NPO Mashinostroyeniya 进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。 感染链 本周早些时候，朝鲜官方媒体报道称，该国已对其“水下核武器系统”进行了测试，以回应美国、韩国和日本的演习，并称这些演习对其国家安全构成威胁。 SentinelOne 观察到的最新攻击链针对朝鲜事务专家，冒充朝鲜研究所成员，敦促收件人打开包含演示材料的 ZIP 存档文件。 虽然存档中的 9 个文件中有 7 个是良性的，但其中两个是恶意 Windows 快捷方式 (LNK) 文件，反映了 Check Point 先前于 2023 年 5 月披露的用于分发 RokRAT 后门的多阶段感染序列。 诱饵文件 有证据表明，一些在 2023 年 12 月 13 日左右成为攻击目标的个人此前也曾在一个月前的 2023 年 11 月 16 日被挑选出来。 SentinelOne 表示，其调查还发现了恶意软件——两个 LNK 文件（“inteligence.lnk”和“news.lnk”）以及提供 RokRAT 的 shellcode 变体——据说这是黑客行动计划和测试过程的一部分。 虽然前一个快捷方式文件只是打开合法的记事本应用程序，但通过 news.lnk 执行的 shellcode 为 RokRAT 的部署铺平了道路，尽管这种感染过程尚未在野外观察到，这表明它可能用于未来的活动。 这一事态发展表明，国家背景的黑客组织正在积极调整其作案方式，可能是为了规避对其策略和技术公开披露的检测。 研究人员表示：“ScarCruft 仍然致力于获取战略情报，并可能打算深入了解非公开网络威胁情报和防御策略。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zlbizmZlCEeZMOTxH05OJw 封面来源于网络，如有侵权请联系删除