Lockbit是最常见的勒索软件之一。它附带了一个联盟勒索软件即服务（RaaS）计划，向参与者提供高达80%的赎金要求，并为那些发现并报告导致文件可以无需支付赎金解密漏洞的人提供了漏洞赏金计划。根据Lockbit所有者、同名网络犯罪组织的说法，已经支付了多达5万美元的赏金。除了这些特点之外，Lockbit还提供了一个可搜索的门户网站，用于查询被勒索软件家族攻击过的公司的泄露信息，甚至向那些在身上纹有Lockbit标志的人提供支付。 Lockbit v3，也称为Lockbit Black，于2022年6月首次被发现，这对自动化分析系统及分析师来说是一个挑战。其中最具挑战性的特征包括： 它支持使用随机生成密码的加密可执行文件。这将会阻止执行并阻碍自动化分析，除非在命令行中提供适当的密码。 有效载荷包括针对逆向工程分析的强大保护技术。 它包括许多未记录的内核级Windows函数. 2022年9月，多名安全新闻专业人士报道并证实了Lockbit 3的一个生成器工具的泄露。该工具允许任何人创建自己定制版本的勒索软件。其中两个不同的用户发布了创建不同变种的勒索软件所需的文件 Lockbit builder上传到GitHub根据我们的分析，X（之前称为Twitter）用户@protonleaks和@ali_qushji发现了两个不同的变体。我们的时间戳分析证实，在两次泄露中builder.exe二进制文件略有不同。protonleaks版本的编译日期是2022年9月9日，而ali_qushji版本是的编译日期是2022年9月13日。在恶意软件的模板二进制文件（嵌入和不完整版本的恶意软件，用于构建最终可供分发的版本）中也发现了类似的编译时间差异。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3018/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击，能将恶意 Word 文件嵌入 PDF 来绕过安全检测。 JPCERT采样了一种多格式文件，能被大多数扫描引擎和工具识别为 PDF，但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。多格式文件是包含两种不同文件格式的文件，这些文件格式可根据打开它们的应用程序解释为多种文件类型并执行。 通常，攻击者使用多格式来逃避检测或迷惑分析工具，因为这些文件在一种格式中可能看起来安全，而在 另一种格式中隐藏恶意代码。 在JPCERT的分析结果中，PDF 文档包含一个带有 VBS 宏的 Word 文档，如果在 Microsoft Office 中以 .doc 文件形式打开，则可以下载并安装 MSI 恶意软件文件，但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。 需要注意，PDF 中的 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置，用户需要通过点击相应设置或解锁文件来手动禁用。 JPCERT 表示，虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事，但攻击者部署多格式文件来逃避检测的情况已时有发生。 对于攻击者来说，PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具（如 “pdfid”）或其他自动分析工具的检测，这些工具只会检查文件外层看似正常的结构。 JPCERT给出的解决办法是采用多层防御和丰富的检测集，“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外，他们还分享了一条 Yara 规则，即检查文件是否以 PDF 签名开头，并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式，这与 JPCERT 在野外发现的规避技术一致。     转自Freebuf，原文链接:https://www.freebuf.com/news/376435.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员发现了一个与Microsoft Entra ID(以前的Azure Active Directory)应用程序相关的特权升级案例，该应用程序利用了一个废弃的回复URL。 Secureworks反威胁小组(CTU)在上周发布的一份技术报告中表示:“攻击者可以利用这个废弃的URL将授权码重定向到自己，将非法获得的授权码交换为访问令牌。然后，攻击者可以通过中间层服务调用Power Platform API，并获得更高的权限。” 在2023年4月5日负责任的披露之后，微软通过一天后发布的更新解决了这个问题。Secureworks还提供了一个开源工具，其他组织可以使用它来扫描废弃的回复URL。 回复URL，也称为重定向URI，指的是一旦应用程序被成功授权并授予授权码或访问令牌后，授权服务器发送给用户的位置。 微软在其文档中指出:“授权服务器将代码或令牌发送到重定向URI，因此在应用程序注册过程中注册正确的位置非常重要。” Secureworks CTU表示，他们发现了一个废弃的Dynamics Data Integration应用程序回复URL，该URL与Azure Traffic Manager配置文件相关联，这使得通过中间层服务调用Power Platform API并篡改环境配置成为可能。 在假设的攻击场景中，黑客可能获取现有服务主体的系统管理员角色，并发送删除环境的请求，以及滥用Azure AD Graph API来收集有关目标的信息，以便进行后续活动。 然而，这是基于受害者点击恶意链接的可能性，该行为会导向Microsoft Entra ID在登录时发出的授权代码被传递给攻击者劫持的重定向URL。 Kroll透露，以docusign为主题的网络钓鱼活动正在增加，这些活动利用开放的重定向，使攻击者能够传播特制的URL，当点击这些URL时，将潜在的受害者重定向到恶意网站。 该公司的乔治·格拉斯说:“通过伪造一个值得信赖的网站URL，攻击者可以更容易地操纵用户点击链接，并欺骗/绕过扫描链接以查找恶意内容的网络技术。这会导致受害者被重定向到一个恶意网站，该网站旨在窃取敏感信息，如登录凭据、信用卡详细信息或个人数据。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 你真的隐身了吗? 深入谷歌私人浏览，揭开网络隐身的神话和真相。 长期以来，谷歌的隐身模式一直是那些希望对共享设备和有意跟踪在线活动的公司的用户的首选保密工具。它通常被称为私人浏览，或色情模式。 与流行的观点相反，隐私功能不仅仅是为了隐藏网上的成人内容。例如，大多数在线航班搜索引擎使用cookie来跟踪搜索，在多次搜索同一行程后，机票价格会慢慢上涨，从而诱使用户提前预订。用户可以通过打开单独的隐身浏览窗口来节省潜在的巨大成本。 “隐形页面”的真相 许多用户仍然没有意识到，隐身浏览窗口并没有向雇主、互联网服务提供商或他们访问的一些网站隐藏他们的浏览历史。在私人窗口登录Facebook、亚马逊或Gmail等任何网站时，大型科技公司仍然可以将你的在线活动与其他账户和个人资料联系起来。虽然对许多人来说，这是显而易见的，但其他人仍带着虚假的安全感继续使用这个功能。 然而，在技术人员沾沾自喜之前，即使你相信你的在线行为被匿名所掩盖，看不见的力量可能仍然在起作用。即使没有登录到一个平台，你的虚拟足迹仍然很容易被追踪，这要归功于“指纹识别”。这种高级形式的跟踪结合了您的IP地址、屏幕分辨率、安装的字体和浏览器版本等详细信息。指纹识别技术创造了一个独特的轮廓—就像一个侦探从分散的线索中拼凑出一个难以捉摸的人物的身份。 这个数字身份可以跨会话和设备持久存在。它通常不受试图清除浏览器历史记录或使用隐身模式的影响。这对用户来说意味着，让你的设备成为“你的”的那些方面—那些个人定制和调整—也可能是泄露你在线匿名性的因素。所以，即使你在“隐身”的保护伞下浏览网页，也要记住:你的数字身份影子可能仍然是可见的。 隐私审判:谷歌的隐身模式面临50亿美元的赔款 自从将“不作恶”(Don’t be evil)的座右铭从公司行为准则中删除后，许多人对信任这家科技巨头变得越来越谨慎。从2020年起，谷歌将面临一场50亿美元的巨额诉讼，这是一项开创性的法律行动，给其吹捧的“隐身模式”蒙上了阴影。原告强烈认为，尽管谷歌保证了隐私，但其复杂的cookie网络、分析工具和基于应用程序的工具未能暂停跟踪，即使用户认为他们在隐身保护伞下受到了保护。 相比之下，谷歌坚定地为自己辩护，强调其网站一贯有清晰的声明。他们指出，Chrome的隐身功能并不是一种隐形的面纱，而只是一种防止浏览数据被存储在本地的功能。事实上，每次用户打开私人浏览会话时，都会出现警告。问题是很少有人读到这个警告，这意味着这场诉讼的关键在于一个经典的论题:感知安全与实际安全。 这家科技巨头将法庭案件视为小麻烦。从局外人的角度来看，潜在的罚款似乎只是他们巨大收入海洋中的沧海一粟。对这类公司来说，处罚已成为他们在数据驱动的帝国中开展业务的另一项成本。但随着一场50亿美元的诉讼越来越接近审判，这家科技巨头会受到的可能不仅仅是流个鼻血这么简单了。 谷歌是否歪曲了隐身模式的作用? 从技术角度来看，谷歌的隐身模式的主要功能似乎一直是透明的:保护用户的浏览历史不被其他使用同一设备的人看到。如果你的设备在多个设备上同步，这个功能可以确保隐私不被窥探。 精通技术的人很清楚它的局限性。然而，普通用户往往会被迫接受冗长的条款和条件。这些文件有时用密密麻麻的法律术语写成，似乎是为了鼓励用户盲目地同意。 对许多用户来说，“历史”一词可能包含了更广泛的理解。他们可以假定“没有历史”意味着没有任何痕迹—在网络空间的沙滩上没有留下脚印。这种感知到的隐私和实际功能之间的差异可能会导致虚假陈述。如果这是故意混淆以误导普通用户，那么问责制问题就出现了。 2018年，谷歌Chrome工程师的内部通信揭示了他们对隐身模式的看法，这为这场辩论增加了另一层含义。谷歌员工开玩笑说，使用“间谍”图标是不合适的。另一个人将其与《辛普森一家》中的一个搞笑角色“Guy Incognito”联系起来，这个角色以其可笑而无效的伪装而闻名。这个玩笑虽然轻松愉快，但可能无意中强调了一个事实:隐姓姓名对隐私的承诺可能就像“Guy Incognito”的胡子伪装一样肤浅。虽然表面上来看是幽默的，但这种内部玩笑可以被视为淡化隐私问题。 隐私逐渐成为这个时代的奢侈品，但结合VPN浏览器扩展可以在保护在线匿名性方面发挥关键作用。它提供了一个强大的屏障，防止互联网服务提供商跟踪你的一举一动。这是阻止广告商从你在网站上的浏览中获取利益一个屏障。 虽然隐身面纱看起来不透明，但真正的在线隐身可能比你想象的更难以捉摸。读者可以常常自省：我的数字身份是否真的隐藏起来了。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

据BleepingComputer消息，网络安全公司 Deep Instinct 的安全研究人员发布了一个滥用Windows筛选平台（ WFP) 来提升用户权限的工具NoFilter，能将访问者的权限增加到Windows上的最高权限级别——SYSTEM权限。 该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。 微软将WFP 定义为一组 API 和系统服务，为创建网络过滤应用程序提供平台。开发人员可以使用 WFP API 创建代码，在网络数据到达目的地之前对其进行过滤或修改，这些功能在网络监控工具、入侵检测系统或防火墙中可见。 研究人员开发了三种新的攻击来提升的权限，既不会留下太多证据，也不会被众多安全产品检测到。 复制访问令牌 第一种方法允许使用 WFP 复制访问令牌，即在线程和进程的安全上下文中识别用户及其权限的代码片段。当线程执行特权任务时，安全标识符会验证关联的令牌是否具有所需的访问级别。 安全研究员解释称，调用 NtQueryInformationProcess 函数可以获取包含进程持有的所有令牌的句柄表。这些令牌的句柄可以复制，以便另一个进程升级到 SYSTEM。Windows 操作系统中一个名为 tcpip.sys的重要驱动程序 具有多个函数，可以通过设备 IO 请求向 WPF ALE（应用程序层执行）内核模式层调用这些函数，以进行状态过滤。NoFilter工具 通过这种方式滥用WPF来复制令牌，从而实现权限提升。 研究人员表示，通过避免调用 DuplicateHandle，可以提高隐蔽性，并且许多端点检测和响应解决方案可能会忽视恶意操作。 获取系统和管理员访问令牌 第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务以将 SYSTEM 令牌插入表中。使用 RpcOpenPrinter 函数按名称检索打印机的句柄。通过将名称更改为“\\127.0.0.1”，该服务将连接到本地主机。在 RPC 调用之后，需要向 WfpAleQueryTokenById 发出多个设备 IO 请求才能检索 SYSTEM 令牌。 研究人员表示，这种方法比第一种方法更隐蔽，因为配置 IPSec 策略通常是由网络管理员等合法特权用户完成的操作。 第三种方法允许获取登录到受感染系统的另一个用户的令牌，以进行横向移动。研究人员表示，如果可以将访问令牌添加到哈希表中，则可以使用登录用户的权限启动进程。为了获取令牌并以登录用户的权限启动任意进程，研究人员滥用了 OneSyncSvc 服务和 SyncController.dll，它们是攻击性工具领域的新组件。 检测建议 黑客和渗透测试人员很可能会采用这三种方法，但Deep Instinct也给出了如下缓解措施： 配置与已知网络配置不匹配的新 IPSec 策略。 当 IPSec 策略处于活动状态时，RPC 调用 Spooler/OneSyncSvc。 通过多次调用 WfpAleQueryTokenById 来暴力破解令牌的 LUID。 BFE 服务以外的进程向设备 WfpAle 发出设备 IO 请求。     转自Freebuf，原文链接:https://www.freebuf.com/news/376019.html 封面来源于网络，如有侵权请联系删除

近日，Cofense发现了一次专门针对美国能源公司的网络钓鱼攻击活动，攻击者利用二维码将恶意电子邮件塞进收件箱并绕过安全系统。 Cofense 方面表示，这是首次发现网络钓鱼行为者如此大规模的使用二维码进行钓鱼攻击，这表明他们可能正在测试用二维码作为攻击载体的有效性。 在归因于该活动的 1,000 封电子邮件中，约有三分之一（29%）是针对美国一家大型能源公司的，其余的则是针对制造业（15%）、保险业（9%）、科技业（7%）和金融服务业（6%）的公司。 不过Cofense 并没有透露此次活动的目标能源公司具体名称，只将其归类为美国的一家 “大型 “公司。 二维码钓鱼活动 来源：Cofense Cofense 网络钓鱼中的二维码 Cofense 方面称，攻击开始时会先发送一封钓鱼电子邮件，提醒收件人必须尽快更新其 Microsoft 365 帐户设置。邮件中的 PNG 或 PDF 附件会带有二维码，收件人会被提示扫描以验证其账户。为了增加紧迫感，邮件还指出收件人必须在 2-3 天内完成这一步骤。 网络钓鱼电子邮件样本 来源：Cofense Cofense 威胁行为者使用嵌入在图片中的 QR 代码绕过电子邮件安全工具，这些工具会扫描邮件中的已知恶意链接，从而使网络钓鱼邮件到达目标收件箱。 为了规避安全问题，钓鱼活动中的 QR 代码还使用了必应、Salesforce 和 Cloudflare 的 Web3 服务中的重定向功能，将目标重定向到 Microsoft 365 钓鱼页面。 在 QR 代码中隐藏重定向 URL、滥用合法服务以及为钓鱼链接使用 base64 编码都有助于逃避检测和通过电子邮件保护过滤器。 重定向 URL 示例（Cofense） 网络犯罪分子利用二维码窃取凭证和财务信息 QR 码过去也曾被攻击者用于其在法国和德国的网络钓鱼活动，尽管规模较小。此外，这些诈骗者还利用二维码诱骗人们扫描，并将他们重定向到恶意网站，试图窃取他们的钱财。 2022 年 1 月，美国联邦调查局警告称，网络犯罪分子越来越多地利用二维码窃取凭证和财务信息。尽管二维码能有效绕过保护措施，但它仍然需要受害者采取行动才能被破解，这是一个有利于训练有素人员的决定性缓解因素。 此外，现代智能手机上的大多数二维码扫描器都会要求用户在启动浏览器前验证目标 URL，以此作为保护措施。 除培训外，Cofense 还建议企业使用图像识别工具作为其网络钓鱼防护措施的一部分，尽管这些工具不能保证捕捉到所有 QR 代码威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/375201.html 封面来源于网络，如有侵权请联系删除

近日，有安全研究人员警告称，有越来越多的网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施，进入企业员工的收件箱。 谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源HTML框架，旨在加快网页内容在移动设备上的加载速度。 AMP 网页托管在谷歌的服务器上，内容经过简化，并预先加载了一些较重的媒体元素，以加快交付速度。 在钓鱼邮件中嵌入谷歌 AMP URL 的目的是确保电子邮件防护技术不会因为谷歌的良好声誉而将邮件标记为恶意或可疑邮件。 AMP URL 会触发重定向到恶意钓鱼网站，这个步骤还额外增加了一个干扰分析的层。 谷歌AMP重定向到钓鱼网站，图源：Cofense 反钓鱼保护公司 Cofense 的数据显示，使用 AMP 的网络钓鱼攻击数量在 7 月中旬大幅飙升，这表明威胁行为者可能正在采用这种方法进行一些行动。 利用谷歌 AMP 实现隐身的钓鱼电子邮件，图源：Cofense Cofense在报告中解释说：在目前观察到的所有谷歌AMP URL中，约77%托管在google.com域名上，23%托管在google.co.uk域名上。 虽然 “google.com/amp/s/”路径在所有情况下都很常见，但阻止这种路径也会影响所有使用 Google AMP 的合法情况。不过，如果遇到了就直接打上标记，这可能是最合适的做法，至少可以提醒收件人警惕潜在的恶意重定向。 额外的隐蔽性 Cofense 称，滥用 Google AMP 服务的网络钓鱼行为者还采用了一系列额外的技术，这些技术共同帮助他们躲避检测并提高成功率。 例如，在 Cofense 观察到的许多案例中，威胁行为者使用基于图片的 HTML 电子邮件，而不是传统的文本正文。这样做的目的是混淆文本扫描仪，使其无法在邮件内容中查找常见的网络钓鱼术语。 基于图像的网络钓鱼电子邮件，图源：Cofense 在另一个案例中，攻击者使用了一个额外的重定向步骤，通过滥用 Microsoft.com URL 将受害者带到一个 Google AMP 域，并最终将其带到真正的钓鱼网站。 攻击者利用 Cloudflare 的 CAPTCHA 服务来阻止安全机器人对网络钓鱼网页进行自动分析，从而阻止爬网程序访问这些网页。 总之，如今安全工具想要捕捉并阻止网络钓鱼行为者越来越难了，因为他们采用了多种规避检测的方法。     转自Freebuf，原文链接:https://www.freebuf.com/news/373624.html 封面来源于网络，如有侵权请联系删除

随着生成式人工智能如今风靡一时，黑客将该技术重新用于自身利益，为加速网络犯罪提供了途径。根据SlashNext的调查结果，一种名为WormGPT的新型生成人工智能网络犯罪工具已在地下论坛上宣传，这是发起复杂的网络钓鱼和商业电子邮件入侵（BEC）攻击的一种方式。 安全研究员Daniel Kelley认为：“该工具将自己呈现为GPT模型的黑帽替代品，专为恶意活动而设计，黑客可以使用这种技术自动创建高度令人信服的虚假电子邮件，针对收件人进行个性化设置，从而增加攻击成功的机会。”该软件的作者将其描述为“众所周知的ChatGPT的最大敌人”，“可以让你做各种非法的事情” 在黑客手中，像WormGPT这样的工具可能是一种强大的武器，特别是OpenAI、ChatGPT和Google Bard采取越来越多地措施打击滥用大型语言模型（LLM）来制造令人信服的网络钓鱼电子邮件并生成恶意代码的行为。Check Point在本周的一份报告中表示：“与ChatGPT相比，巴德在网络安全领域的反滥用限制措施明显较低，因此，使用巴德的功能生成恶意内容要容易得多。” 今年2月初，这家以色列网络安全公司披露了黑客是如何利用API绕过ChatGPT 的限制，更不用通过使用大量电子邮件地址和密码列表入侵 ChatGPT 帐户，交易被盗的高级帐户。WormGPT在没有任何道德界限的情况下运行，这一事实突显了生成式 AI 构成的威胁，甚至允许新手黑客在没有技术手段的情况下迅速、大规模地发起攻击。更糟糕的是，黑客正在为ChatGPT推广“越狱”，目的是操纵该工具生成中可能泄露的敏感信息、制作不适当内容和执行有害代码的输出。 生成式人工智能可以创建语法无可挑剔的电子邮件，使它们看起来合法，并减少被标记为可疑的可能性。它的使用使复杂的BEC攻击的执行民主化。即使是技能有限的攻击者也可以使用这项技术，使其成为更广泛的网络犯罪工具。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Vk5iRQoRDimY5FNOI0bLhQ 封面来源于网络，如有侵权请联系删除

昨天（7月11日），微软正式披露了一个未修补的零日安全漏洞，该漏洞存在于多个Windows和Office产品中，可以通过恶意Office文档远程执行代码。 未经身份验证的攻击者可在无用户交互的情况下利用该漏洞(跟踪为CVE-2023-36884)进行高复杂性攻击。 一旦攻击成功，即可导致对方系统的机密性、可用性和完整性的完全丧失，从而允许攻击者访问敏感信息、关闭系统保护并拒绝对受损系统的访问。 目前，微软正在调查并制作一系列影响Windows和Office产品的远程代码执行漏洞的报告。微软已经意识到了这是一系列有针对性的攻击，这些攻击试图利用特制的微软Office文档来利用这些漏洞。 攻击者可以创建一个特制的Microsoft Office文档，使他们能够在受害者的系统中执行远程代码执行。但前提是攻击者必须说服受害者打开恶意文件。 虽然该漏洞尚未得到解决，但微软表示后续将通过每月发布的程序或带外安全更新向客户提供补丁。 可通过启用“阻止所有Office应用程序创建子进程”免于攻击 微软方面表示，在CVE-2023-36884补丁可用之前，使用Defender for Office的客户和启用了“阻止所有Office应用程序创建子进程”攻击面减少规则的客户可以免受网络钓鱼攻击。 不使用这些保护的用户可以将以下应用程序名称添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项中，作为REG_DWORD类型的值，数据为1: Excel.exe Graph.exe MSAccess.exe MSPub.exe PowerPoint.exe Visio.exe WinProj.exe WinWord.exe Wordpad.exe 但是，需要注意的是，设置此注册表项以阻止利用尝试也可能影响到与上面列出的应用程序链接的某些Microsoft Office功能。 设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项（图源：Microsoft) CVE-2023-36884漏洞最新动态 微软方面表示，CVE-2023-36884漏洞在最近针对参加立陶宛维尔纽斯北约峰会的组织的攻击中被利用。 根据乌克兰计算机应急响应小组(CERT-UA)和黑莓情报团队的研究人员发布的报告，攻击者使用恶意文件冒充乌克兰世界大会组织安装恶意软件，包括MagicSpell加载程序和RomCom后门。 黑莓安全研究人员表示：如果被成功利用，攻击者就可以通过制作恶意的docx或rtf文件来利用该漏洞，进行基于远程代码执行(RCE)的攻击。 攻击是通过利用特制的文档来执行易受攻击的MSDT版本来实现的，这反过来又允许攻击者向实用程序传递命令以执行。 微软周二（7月11日）时也表示：该攻击者在2023年6月发现的最新攻击涉及滥用CVE-2023-36884，提供与RomCom相似的后门。 该漏洞与RomCom组织有所渊源 RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978），该组织以从事勒索软件和勒索攻击以及专注于窃取凭证的活动而闻名。该组织与此前的工业间谍勒索软件行动有关，现在该行动已转向名为“地下”(VirusTotal)的勒索软件。 地下勒索信（图源：BleepingComputer） 2022年5月，在调查工业间谍勒索通知中的TOX ID和电子邮件地址时，MalwareHunterTeam发现了与古巴勒索软件操作的特殊关联。 他观察到，工业间谍勒索软件样本生成了一封勒索信，其TOX ID和电子邮件地址与古巴使用的相同，以及古巴数据泄露网站的链接。 然而，提供的链接并没有将用户引导到工业间谍数据泄露网站，而是指向古巴勒索软件的Tor网站。此外，勒索信使用了相同的文件名，!!READ ME !!.txt，就像之前发现的古巴勒索邮件一样。 在2023年5月，在Trend Micro发布的一份关于RomCom的最新活动报告显示，威胁参与者现在正在冒充Gimp和ChatGPT等合法软件，或者创建虚假的软件开发人员网站，通过谷歌广告和黑色搜索引擎优化技术向受害者推送后门。     转自Freebuf，原文链接:https://www.freebuf.com/news/371814.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关，这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。 Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链，该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会，TA453 就会移植其恶意软件，并试图启动一个名为 NokNok 的苹果风格的感染链。此外，研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。 关于 TA453 TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一个与伊朗伊斯兰革命卫队（IRGC）有关的网络威胁组织，至少自 2011 年以来一直活跃。 近期，网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 发现的某次网络攻击活动中，黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL。 值得一提的是，文件中有一个 LNK 滴管，它启动了一个多阶段的过程，最终部署 GorjolEcho，然后显示一个诱饵 PDF 文档，同时秘密等待来自远程服务器的下一阶段有效载荷。一旦意识到受害目标使用的是苹果电脑后，TA453 就会调整其整个操作方式，发送第二封电子邮件，邮件中包含一个 ZIP 档案，嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件，但实际上是一个 AppleScript，它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。 就 NokNok 而言，它能够获取多达四个模块，这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据，并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外，NokNok 还共享了一些源代码，这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。 TA453 攻击者还使用了一个虚假的文件共享网站，该网站可能会对访问者进行指纹识别，并作为追踪成功受害者的机制。 最后，研究人员表示 TA453 能够不断调整其恶意软件库，部署新的文件类型，并针对新的操作系统。     转自Freebuf，原文链接：https://www.freebuf.com/news/371343.html 封面来源于网络，如有侵权请联系删除