分类: 恶意软件

印度证券业关键机构遭恶意软件入侵,部分设备已隔离

安全内参11月22日消息,总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited(CDSL)表示,其系统已遭恶意软件入侵。 上周五(11月18日),该证券存管机构向印度国家证券交易所提交一份文件,称其检测到“一些内部设备”已遭恶意软件影响。 文件指出,“出于谨慎考量,我公司立即隔离了这些设备,并脱离资产交易市场以避免影响其他部分。” CDSL表示将继续开展调查,但截至目前,“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。” CDSL并未透露该恶意软件的具体细节。截至本文撰稿时,该公司网站已经关闭,且CDSL拒绝解释网站关停是否与攻击事件有关。 CDSL发言人Banali Banerjee表示暂时无法回答其他问题,包括公司是否保存有能确定哪些数据被泄露(如果确有泄露)的日志记录。发言人只表示,“我们正在努力解决问题。” 中央证券存管机构为印度证券业运转关键机构 CDSL号称维护并服务于全国各投资者的近7500万个交易员账户(在印度被称为demat账户),该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation(LIC)人寿保险公司。 CDSL成立于1999年,是印度唯一一家公开上市的同类公司,也是仅次于印度最早证券存管机构National Depository Services Limited(NDSL)的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易,并协助证券交易所进行贸易结算。 印度证券交易委员会要求,所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。 CDSL公司在提交的文件中表示,“CDSL团队已经向有关当局上报了此次事件,目前正与政府网络安全顾问合作,共同分析事件影响。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49261 封面来源于网络,如有侵权请联系删除

每天发送数十万封恶意邮件,臭名昭著的恶意软件 Emotet 再度活跃

销声匿迹大约4个月后,老牌恶意软件 Emotet 卷土重来。安全公司 Proofpoint 表示,自 2022 年 11 月初以来,Emotet再度回归电子邮件攻击领域,每天发送数十万封钓鱼邮件,成为所观察到的数量最多的攻击者之一。 据悉,Emotet上一次活跃的时间是在2022年7月,此次新的活动迹象表明,Emotet正在恢复其作为主要恶意软件系列的全部功能。这一次,它们的主要目标区域包括美国、英国、日本、德国、意大利、法国、西班牙、墨西哥和巴西。 在这次新一轮的攻击活动中,Emotet发送的钓鱼邮件通常包含了 Excel 附件或受密码保护的 zip 附件,其中亦包含 Excel 文件。Excel 文件包含 XL4 宏,可从多个内置 URL 下载 Emotet 负载。但由于最近微软宣布开始默认禁用从互联网下载的Office文档中的宏,许多恶意软件已经开始从Office宏迁移到其他传递机制,如ISO和LNK文件。 虽然 Emotet 采用了旧方法,但仍通过另一种方式,即诱使受害者将文件复制到 Microsoft Office一个受信任的位置,在此处打卡文件将立即执行宏,且不会发出任何警告。但在将文件移动到受信任的位置时,操作系统会要求用户拥有管理员权限才能进行此类移动。 虽然总体活动与7月份的类似,但此次Emotet依然进行了不少更新,包括加载程序组件的更改、新命令的添加、更新打包程序以抵抗逆向工程。值得注意的是,Emotet的有效载荷——IcedID加载程序采用了全新的变体,不仅能接收命令以读取文件内容,将文件内容发送到远程服务器,还能执行其他后门指令以提取 Web 浏览器数据。研究人员对全新的IcedID感到担忧,因为它可能是为勒索攻击做铺垫。 Emotet曾是自2014年至今全球规模最大的恶意软件系列之一。2021年1月,Emotet僵尸网络被执法部门取缔,并于4月25日下发“自毁模块”后被彻底捣毁,C2服务器一度接近瘫痪。2021年11月,Emotet死灰复燃,开始间断性地进行活动。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350412.html 封面来源于网络,如有侵权请联系删除

专家发现了三个新的勒索软件:AXLocker、Octocrypt 和 Alice

Hackernews 编译,转载请注明出处: Cyble研究和情报实验室(CRIL)的专家发现了三个新的勒索软件:AXLocker、Octocrypt和Alice勒索软件。 AXLocker勒索软件会加密受害者的文件,并从受感染的机器上窃取Discord令牌。对代码的分析表明,startencryption()函数通过枚举C:\驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名,并从加密过程中排除目录列表。 AXLocker勒索软件使用AES加密算法加密文件,与其他勒索软件不同,它不会更改加密文件的名称或扩展名。 Cyble发布的分析表明:“在加密受害者的文件后,勒索软件收集并向黑客发送敏感信息,如计算机名、用户名、机器IP地址、系统UUID和Discord令牌。” 恶意软件使用正则表达式在本地存储文件中查找Discord令牌,然后将其与其他信息一起发送到Discord服务器。 一旦勒索软件对文件进行了加密,它就会弹出一个窗口,其中包含一张赎金通知,指示用户与操作人员联系。赎金单不包括要求受害者恢复文件的金额。 Cyble还发现了一种名为Octocrypt的新勒索软件,这是一种Golang勒索软件,其运营商正在采用勒索软件即服务(RaaS)的商业模式。该恶意软件于2022年10月左右出现在威胁环境中,售价为400美元。 Cyble继续说道:“Octocrypt网页面板生成器界面允许黑客通过输入API URL、加密地址、加密金额和联系人邮箱地址等选项来生成勒索软件二进制可执行文件。” Cyble发现的第三种勒索软件被称为“Alice”,也被提供为勒索软件即服务(RaaS)。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

全球医疗机构因勒索软件攻击累计停机超 7 千天,造成经济损失 920 亿美元

安全内参11月18日消息,自2018年以来,全球已发生500次公开确认的针对医疗保健组织的勒索软件攻击。凶猛的攻势导致近13000个独立设施瘫痪,并影响到近4900万份病患记录。 总体估算,我们认为这些攻击仅由停机造成的经济损失就已超过920亿美元。 勒索软件攻击对各行业不同组织有着广泛的破坏力。其不仅能够将系统加密锁死,还可能将个人数据置于失窃与被利用的风险之下。而当来到医疗保健场景,相关风险将进一步提升,关键系统和患者数据可能无法访问,导致严重延误甚至危及病患生命安全。例如,阿拉巴马州一项将于本月开庭的诉讼就表明,2019年针对一家医院的勒索软件攻击已致使一名婴儿死亡。 下面,本文将探究勒索软件对全球医疗机构的攻击与影响。美国研究团队Comparitech使用全球勒索软件跟踪程序采集到的数据,探索了勒索软件在医疗保健领域引发的持续威胁,特别是这些攻击造成的真实成本。这次研究只涉及公开确认的攻击,所以实际数据可能更加触目惊心。 图:2018 年至 2022 年 10 月对医疗保健组织的勒索软件攻击 图:医疗保健勒索软件攻击次数(按组织类型划分) 请注意,某一国家比其他国家遭受的攻击次数更多,并不一定代表其更易成为攻击者的“目标”。相反,这可能代表着该国对勒索软件攻击的认识和报告更加成熟且深入。以美国为例,各州就有多种数据泄露报告工具和法规,有助于确认攻击事件。相比之下,其他国家/地区可能不存在同类工具或法规。 重要发现 2018年初至2022年10月期间,我们在研究中发现: 共有500起针对医疗机构的勒索软件攻击;其中2021年攻击数量最多,共发生166起。 共12961家独立医院/诊所/组织可能受到攻击影响。 攻击至少影响到4884万7107份个人病历,其中接近半数(约2000万份)来自2021年。 赎金要求从900美元到2000万美元不等。 我们估计,黑客索取的赎金总额已超过12亿美元。 我们估计,受害者已向黑客支付了近4400万美元赎金。 勒索攻击造成的停机时间从几小时到七个月(期间系统无法满负荷运转)不等。 攻击引发的平均停机时间从2021年和2022年开始急剧增加,分别为19.5天和16天。 全球勒索软件引发的医疗机构停机总成本估计为920亿美元。 Conti、Pysa、Maze、Hive和Vice Society成为占比最高的几种勒索软件毒株,前三种在2020/2021年间占据主导地位,后两种在2021/2022年间占主导地位。 针对医疗保健组织的逐年/逐月勒索软件攻击统计 如前文提到,2021年是医疗保健组织遭受勒索软件攻击最严重的一年,占自2018年以来整个采样周期内所有攻击的33%(166起)。2020年同样占比不小,共发生137起攻击。 这两年恰逢新冠疫情大爆发。由于医疗机构运营压力巨大、资源捉襟见肘,恶意黑客也找到了趁虚而入的方法,例如疲惫的员工们更难发现包含勒索软件的网络钓鱼邮件。 2022年起,针对医疗保健组织的勒索软件攻击有所减少,截至10月底共83起。虽然数量较少,但预计这一数字在未来几个月内又会重新上升,因为不少攻击是在发生几个月后才被公开上报(例如当黑客已经对外公布数据,或向受影响患者发出通告时,相关机构才被迫承认)。 攻击数量: 2022年(截至10月)— 83起 2021年 – 166起 2020年 – 137起 2019年 – 78起 2018年 – 36起 受影响的病患记录数量: 2022年(截至10月)— 535万1462份 2021年 – 2000万8774份 2020年 – 488万9336份 2019年 – 1802万7346份 2018年 – 57万189份 平均停机时间: 2022年(截至10月)– 16.1天 2021年 – 19.5天 2020年 – 12.3天 2019年 – 13.3天 2018年 – 2.6天 各年停机时长和相应事件数量(已知部分): 2022年(截至10月)– 514天 (32起事件) 2021年 – 974天(50起事件) 2020年 – 394天(32起事件) 2019年 – 279天(21起事件) 2018年 – 13天(5起事件) 估算总停机时间(将已知事件的平均值推衍至未知事件算出): 2022年(截至10月) – 1334天 2021年 – 3232天 2020年 – 1685天 2019年 – 1037天 2018年 – 94天 估算停机成本: 2022年(截至10月) – 166亿美元 2021年 – 403亿美元 2020年 – 210亿美元 2019年 – 129亿美元 2018年 – 117亿美元 勒索软件攻击对医疗机构造成的真实成本 不同攻击事件提出的赎金数额往往存在很大差异,统计数字发现赎金最低可至900美元(法国伊苏丹的Centre Hospitalier de la Tour Blanche à Issoudun医疗中心于2019年上报),最高则达到2000万美元(由爱尔兰健康服务局于2021年上报)。造成这种差异的原因,可能是因多数组织并未透露赎金要求(特别是决定屈服、向黑客支付赎金的组织),所以抽样结果不足以反映整体趋势。 只有40起事件报告中给出的赎金数字。除以上提到的爱尔兰健康服务局外,其他赎金数字巨大的事件还包括: 以色列Hillel Yaffe医疗中心——1000万美元:2021年10月,黑客向以色列Hillel Yaffe医疗中心勒索1000万美元。该中心拒绝付款,整个恢复周期持续了约一个月。 法国Le Centre Hospitalier Sud Francilien——1000万美元:法国CHSF在2022年8月收到1000万美元赎金要求。LockBit团伙随后将赎金要求减少至100万美元,但截至本文撰稿时,受害方仍未付款。目前距离服务中断已过去三周,预计将在11月内全面恢复。 美国UF Health Central Florida——500万美元:虽然尚未确认受害方是否支付了赎金,但院方已经提交一份涉及70万981名患者的数据泄露报告,这似乎表明其没有屈服于黑客的压力。 根据目前掌握的数据,可以看到: 平均勒索金额: 2022年(截至10月) – 188万7058美元 2021年 – 579万2857美元 2020年 – 69万624美元 2019年 – 38万6067美元 2018年 – 19400美元 索取的赎金总额(已知部分): 2022年(截至10月)– 1887万美元(10起事件) 2021年 – 4055万美元(7起事件) 2020年 – 414万美元(6起事件) 2019年 – 463万美元(12起事件) 2018年 – 97000美元(5起事件) 受害方支付赎金的百分比: 2022年(截至10月)– 13%(16起事件中,有2起支付了赎金) 2021年 – 9%(35起事件中,有3起支付了赎金) 2020年 – 26%(38起事件中,有10起支付了赎金) 2019年 – 30%(40起事件中,有12起支付了赎金) 2018年 – 36%(14起事件中,有5起支付了赎金) 通过这些数字,我们可以估算出: 赎金估算总额: 2022年(截至10月)– 1.566亿美元 2021年 – 9.616亿美元 2020年 – 9460万美元 2019年 – 3010万美元 2018年 – 69万8400美元 已支付赎金的估算总额: 2022年(截至10月)– 2140万美元 2021年 – 无法确认支付赎金总额 2020年 –1930万美元 2019年 – 270万美元 2018年 – 38万5714美元 可以看到,近年来勒索软件攻击提出的赎金要求一路飙升,但能够确认的赎金支付数额并不算大。随着人们对勒索软件的认知不断提高,更多企业可能不会公开赎金要求以及是否支付了赎金。毕竟有观点认为,承认支付赎金只会给这些组织招来更多后续勒索攻击。 这一观点有其事实支撑。2021年根本无法确认支付赎金总额,而2022年也仅有一笔赎金上报:恶意黑客对卢森堡、比利时和荷兰的130多处分支机构系统造成严重破坏之后,牙医诊所Colosseum Dental为此支付了超过200万美元赎金。 用停机时间计算损失 可以看到,单靠赎金来计算勒索软件攻击造成的损失非常困难。但我们发现,此类事件中还有另一个更易于衡量的因素——停机时间。 在多数情况下,勒索软件攻击都会导致系统在数小时、数天、数周甚至数月之内无法访问。在某些极端情况下,系统甚至无法恢复正常。 从前文数据可以看到,我们整理到共140个实体的停机时间,总停机时长为2174天,相除计算得出每起攻击事件的平均停机时长。以此为依据,即可估算出所有上报勒索软件攻击的停机总时长——结果为,全球医疗保健组织因停机而承受的业务中断总计7381天,相当于20多年。 2017年的一项研究发现,20个不同行业的平均每分钟停机成本估算为8662美元。按同样的标准计算,医疗保健组织仅因系统停机就损失了超过920亿美元。 尽管这个数字看似巨大,但从部分医疗机构在遭受攻击后披露的信息来看,好像也不是那么夸张。 例如,爱尔兰健康服务局就透露,在攻击发生之后,他们花费了21亿美元升级其IT系统。2021年针对美国Scripps Health的攻击也造成了超1.12亿美元损失。 针对医疗机构的勒索软件攻击仍是一大突出威胁 尽管2022年针对医疗保健组织的勒索攻击数量有所下降,但这并不代表威胁程度有所降低。可以看到恶意黑客提出的赎金数字和造成的停机时间愈发可观,而且黑客可能也在选取更具针对性的攻击方法,确保用更广泛的破坏力提升收到赎金的机率。 此外,针对系统进行加密锁定和数据窃取的“双重勒索”也愈发多见。即使受害实体能够利用备份快速恢复系统,恶意黑客仍然掌握着大量病患私人数据,足以强迫企业选择接受谈判。而且即使企业方最终拒绝支付赎金,出售这些数据也可能给黑客带来巨额利润。 勒索软件攻击有所减少的另一个原因(此趋势在美国乃至全球各行业均有体现)在于,组织对于遭受攻击的态度越来越“低调”。随着人们对勒索攻击认知的增加,受影响实体不太愿意以坦诚的态度上报此类事件。这一方面源自遭受勒索软件攻击带来的耻辱感,另外也是担心会在未来招致更多攻击。 研究方法 从勒索软件攻击图谱中的数据来看,我们在研究中共发现了500起针对医疗保健组织的勒索软件攻击。结合数据内容,我们最终估算出了赎金总额、是否支付赎金以及造成的停机时间。 对于未给出具体停机数字的事件,例如“数日”、“一个月”或“六周后已恢复至80%”,我们会根据数字的下限进行估算。例如,“数日”计为3天,“一个月”计为攻击发生当月的总天数,“六周后已恢复至80%”则直接计为六周。 对于受勒索攻击事件影响的组织,我们将其整理为17种具体类型,定义如下: 学术性医院 救护服务 诊所:提供全方位医疗保健服务的诊所 诊所网络:由多家诊所组成的体系,提供全方位的医疗保健服务 牙医诊所:提供牙科保健服务的诊所 政府卫生部门:受健康相关数据泄露影响的一般政府部门/实体,例如人类卫生服务部/州政府 家庭/老年护理:包括在当地社区提供社会服务的组织 医院 医院网络:由多家医院组成的体系,提供全方位的医疗保健服务 实验室:以医疗健康为基础的实验室业务 心理健康:为成瘾性等精神疾病提供支持的服务机构 验光诊所:提供眼科保健服务的诊所 药房:专门提供药品的组织/网络 康复服务 医疗研究机构 专科诊所:面向特定医疗保健领域的诊所,例如内科诊所或康复中心 专科诊所网络:同上,但拥有多家诊所/多个运营地点 转自 安全内参,原文链接:https://www.secrss.com/articles/49153 封面来源于网络,如有侵权请联系删除

警惕!新的网络钓鱼攻击使用 Windows 安全绕过零日漏洞来投放恶意软件

新的网络钓鱼攻击利用Windows零日漏洞在不显示Web安全警告标记的情况下投放Qbot 恶意软件。从不受信任的远程位置(如 Internet 或电子邮件附件)下载文件时,Windows 会向文件添加一个特殊属性,称为 Web 标记。 此Web标记 (MoTW) 是备用数据流,其中包含有关文件的信息,例如文件来源的URL安全区域 、其引荐来源网址及其下载URL。当用户尝试打开具有 MoTW 属性的文件时,Windows 将显示一条安全警告,询问他们是否确定要打开该文件。 Windows 的警告中写道:“虽然来自 Internet 的文件可能很有用,但这种文件类型可能会危害您的计算机。如果您不信任来源,请不要打开此软件。” 上个月,惠普威胁情报团队报告称,网络钓鱼攻击正在使用JavaScript文件分发Magniber 勒索软件。这些JavaScript 文件与网站上使用的文件不同,它们是使用 Windows 脚本宿主 (wscript.exe) 执行的带有“.JS”扩展名的独立文件。 在分析文件后,ANALYGENCE 的高级漏洞分析师 Will Dormann 发现威胁参与者正在使用一个新的Windows零日漏洞 ,该漏洞阻止显示 Web 标记安全警告。 要利用此漏洞,可以使用嵌入式 base64 编码的签名块对JS文件(或其他类型的文件)进行签名,如 Microsoft 支持文章中所述。 但是,当打开具有这些格式错误签名之一的恶意文件时 ,Windows 不会被 Microsoft SmartScreen标记 并显示 MoTW 安全警告,而是自动允许该程序运行。 QBot恶意软件活动使用Windows零日 最近的 QBot 恶意软件网络钓鱼活动分发了包含 ISO 映像的受密码保护的 ZIP 存档。这些 ISO 映像包含用于安装恶意软件的 Windows 快捷方式和 DLL。 ISO 映像被用来分发恶意软件,因为 Windows 没有正确地将 Web 标记传播到其中的文件,从而允许包含的文件绕过 Windows 安全警告。 作为Microsoft 2022年11月补丁星期二的一部分,发布了修复此错误的安全更新,导致 MoTW 标志传播到打开的 ISO 映像内的所有文件,修复了此安全绕过问题。 在安全研究人员 ProxyLife发现的新 QBot 网络钓鱼活动中,威胁行为者通过分发带有格式错误的签名的 JS 文件来切换到 Windows Mark of the Web 零日漏洞。这个新的网络钓鱼活动从一封电子邮件开始,其中包含指向涉嫌文件的链接和该文件的密码。 单击该链接时,将下载一个受密码保护的 ZIP 存档,其中包含另一个 zip 文件,后跟一个 IMG 文件。在 Windows 10 及更高版本中,当双击磁盘映像文件(如 IMG 或 ISO)时,操作系统会自动将其挂载为新的盘符。 此 IMG 文件包含一个 .js 文件(“WW.js”)、一个文本文件(“data.txt”)和另一个包含重命名为 .tmp 文件的 DLL 文件的文件夹(“resemblance.tmp”)[ VirusTotal】,如下图。应该注意的是,文件名会因活动而异,因此不应将其视为静态的。 JS文件包含 VB 脚本,该脚本将读取包含“vR32”字符串的 data.txt 文件,并将内容附加到 shellexecute 命令的参数以加载“port/resemblance.tmp”DLL 文件。在这封特定的电子邮件中,重建的命令是: 由于 JS 文件来自 Internet,因此在 Windows 中启动它会显示 Web 安全警告标记。 但是,正如您从上面的 JS 脚本图像中看到的那样,它使用与 Magniber 勒索软件活动中使用的格式相同的畸形密钥进行签名,以利用 Windows 零日漏洞。 这种格式错误的签名允许 JS 脚本运行和加载 QBot 恶意软件,而不会显示来自 Windows 的任何安全警告,如下面启动的进程所示。 短时间后,恶意软件加载程序会将 QBot DLL 注入合法的 Windows 进程以逃避检测,例如 wermgr.exe 或 AtBroker.exe。 自10月以来,Microsoft 就知道了这个零日漏洞,现在其他恶意软件活动正在利用它,我们希望在 2022 年 12 月补丁星期二安全更新中看到该漏洞得到修复。 QBot 恶意软件 QBot,也称为 Qakbot,是一种 Windows 恶意软件,最初是作为银行木马开发的,但后来发展成为恶意软件植入程序。一旦加载,该恶意软件将在后台悄悄运行,同时窃取电子邮件用于其他网络钓鱼攻击或安装其他有效负载,如 Brute Ratel、 Cobalt Strike和 其他恶意软件。 安装 Brute Ratel 和 Cobalt Strike 后开发工具包通常会导致更具破坏性的攻击,例如数据盗窃和勒索软件攻击。 过去,Egregor 和 Prolock 勒索软件运营与 QBot 分销商合作以获得对公司网络的访问权限。最近, 在 QBot 感染后网络上出现了Black Basta勒索软件攻击。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/GSQ6W_nFDlWcRknl4hnb_Q 封面来源于网络,如有侵权请联系删除

年末购物季将至,一复杂钓鱼工具正针对北美消费者

据BleepingCompuer 11月17日消息,自 9 月中旬以来,一个复杂的网络钓鱼工具包一直以北美用户为目标,利用劳动节和万圣节等假期,对消费者发动攻击。 根据Akamai安全研究人员的说法,该工具包使用多种逃避检测技术,并结合了多种机制,其中最为独特的功能是能基于令牌系统,确保每个受害者都被重定向到一个唯一的 URL钓鱼页面。 活动概览 Akamai 发现该钓鱼活动始于 2022 年 9 月,通过发送“有机会赢得知名品牌的奖品”为主题的钓鱼邮件,吸引那些企图寻找节日特惠的消费者上钩。 钓鱼邮件示例 钓鱼邮件中的链接不会引发任何安全告警,在经过一系列重定向,以及借助URL 缩短器隐藏大多数 URL后,大多防病毒软件无法识别其有害性,而攻击者滥用 Google、AWS 和 Azure 等具有良好声誉的合法云服务,也为绕过保护机制提供了便利。 这些钓鱼邮件假冒的品牌包括体育用品公司 Dick’s、高端行李箱制造商 Tumi、达美航空、山姆超市会员店、开市客等。当受害者来到钓鱼页面,都会提示需完成一份限时5分钟的调查问卷来获得奖品。由于时间的紧迫性,让不少受奖品驱使的受害者没有时间过多犹豫。此外,为进一步打消受害者顾虑,攻击者还炮制出带有奖品实物图片的虚假用户评价,从而增加了钓鱼的成功率。 虚假的用户晒单评价 在获得所谓的“奖品”后,受害者会被要求输入付款的详细信息,以支付奖品运费。这些信息会被攻击者窃取,用于其他的网上消费。 Akamai 表示,大约 89% 的受害者来自美国和加拿大,并根据他们的确切位置,重定向至不同的网络钓鱼站点,以冒充当地品牌。 每个受害者都有一个唯一的 URL 通常,URL地址中的“#”用于将访问者引导至链接页面的特定部分,而在此钓鱼邮件活动中,锚标记代表 JavaScript 在网络钓鱼登陆时使用的令牌,将目标重定向至一个新的URL。 “HTML 锚点之后的值不会被视为 HTTP 参数,也不会被发送到服务器,但受害者浏览器上运行的 JavaScript 代码可以访问该值,”Akamai解释称。“在网络钓鱼诈骗的背景下,当验证它是否是恶意的安全产品扫描时,放置在 HTML 锚点之后的值可能会被忽略或忽略。” Akamai 分享了如下两图,展示网络钓鱼链接锚点如何用于创建重定向链接。 基于锚令牌的重定向 安全产品和网络流量检测工具会忽略此令牌,因此不会给攻击者带来风险,并且能规避研究人员、分析师和其他非受害人群对钓鱼页面的访问。而对于受害者,该令牌还能对其活动进行追踪。总体而言,该工具包结合了几乎所有已知的有效性和检测规避技术,使其成为针对北美网络用户一个不可忽视的潜在威胁。 随着黑色星期五和圣诞节购物季的临近,专家提示,消费者在收到有关促销和特别优惠的信息时应格外警惕。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350147.html 封面来源于网络,如有侵权请联系删除

臭名昭著的 Hive 勒索软件,从 1300 多名受害者手中勒索 1 亿美元

美国联邦调查局(FBI)今天表示,自2021年6月以来,臭名昭著的Hive勒索软件团伙已经从一千多家公司成功勒索了大约1亿美元。 更过分的是,Hive团伙在拒绝支付赎金的受害者网络上会部署更多的恶意软件。 据了解,Hive团伙会用Hive勒索软件或另一种勒索软件的变种重新感染那些没有支付赎金就恢复网络的受害组织。 根据网络安全基础设施安全局(CISA)和卫生与公众服务部(HHS)发布的联合咨询中披露,受害者名单包括了各行各业和关键基础设施部门,如政府设施、通信和信息技术,重点是医疗保健和公共卫生(HPH)实体。 虽然向ID勒索软件平台提交的信息并不包括所有的Hive勒索软件攻击,但自今年年初以来,受害者已经提交了850多个样本,其中许多是在3月底和4月中旬之间的巨大活动高峰后推送的。 为了帮助防御者发现与Hive关联的恶意活动,减少或消除此类事件的影响,联邦调查局分享了Hive破坏指标(IOCs)和战术、技术和程序(TTPs)。 目前,联邦机构不鼓励支付赎金,因为这很可能会鼓励其他攻击者加入赎金软件的攻击,并敦促受害者向他们当地的联邦调查局外地办事处或CISA报告Hive攻击。 这将有助于执法部门收集所需的关键信息,以跟踪勒索软件的活动,防止更多的攻击。 Hive是一个至少从2021年6月开始活跃的勒索软件组织,已知其部分成员从2021年11月开始同时为Hive和Conti网络犯罪团伙工作了至少六个月。并且已经掌握了HIVE积极使用Conti提供的初始攻击权限和Conti的笔试人员服务的扩展证据。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350142.html 封面来源于网络,如有侵权请联系删除

密歇根州的两所公立学校遭到勒索软件攻击

Hackernews 编译,转载请注明出处: 在勒索软件攻击后,密歇根州两个县的公立学校被迫停止活动,包括上课。 密歇根州杰克逊县和希尔斯代尔县的公立学校在因勒索软件攻击其系统而关闭两天后重新开放。 周一,公立学校开始出现系统故障,影响关键操作系统,之所以出现故障,是因为他们是周末检测到的勒索软件攻击的受害者。 杰克逊县中学学区负责人Kevin Oxley宣布,该系统已被关闭,以控制损坏。 学校通知执法部门,聘请外部网络安全顾问对事件进行调查,并在安全恢复系统方面获得帮助。 作为预防措施,学校要求每个人不要使用任何学校发放的设备。 杰克逊县中级学区的公告中写道:“多亏了我们的技术团队和网络安全专家的全天候工作,我们准备迎接学生明天(2022年11月17日,星期四)返校。” 我们的首要任务是让孩子们重返校园,很高兴明天能够做到这一点。虽然我们的修复工作仍在继续,但我们优先恢复了基本系统,以便我们能够安全地恢复运营,并使杰克逊县和希尔斯代尔县的学校大楼重新开放。然而,由于我们的团队仍致力于恢复其他系统,所以学生们对一些技术资源的访问将受到限制。 目前,尚未有任何网络犯罪集团声称此次攻击。 学区是勒索软件团伙的特权目标,今年9月,美国最大的学区之一洛杉矶联合学区遭到了勒索软件攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

报告显示 2022 年 macOS 操作系统的恶意软件感染率最低

一份新的全球威胁报告为微软描绘了一幅糟糕的画面,因为Windows继续拥有最多的恶意软件感染,而macOS的恶意软件最少。Elastic Security Labs周二发布了一份网络安全报告,研究了流行的操作系统和它们收到的威胁,该公司还包括对企业客户的预测和建议。 像往常一样,macOS在名单上表现最佳,甚至击败了Linux,这意味着它看到的安全威胁最少。数字显示,54%的恶意软件感染是在Windows上发现的,39.4%是在Linux上发现的,而macOS只有6.2%的感染率。 木马是造成大多数感染的原因,占80.5%。特洛伊木马是一种软件,假装是良性的,但里面隐藏着恶意软件,一旦用户运行该程序就会激活。 研究人员发现,MacKeeper是Mac用户作为恶意软件攻击载体的最大威胁。MacKeeper有一段不好的历史,涉及的弹窗广告,而且一些版本让Mac容易受到恶意软件的攻击。 MacKeeper程序经常被视为恶意软件,或被用来传播恶意软件 报告提到,攻击者可以滥用MacKeeper,因为它有广泛的权限和对macOS进程和文件的访问。 它还警告说,在苹果平台的恶意软件中,macOS加密软件可能变得更加普遍。密码挖掘恶意软件或”密码劫持”是一种恶意程序,它利用计算机在未经用户同意的情况下秘密”挖掘”一种加密货币。挖矿会占用计算机的大部分或全部资源,如GPU或CPU性能,使系统变慢。 除了这些具体的威胁,报告中并没有过多提及macOS。这表明,当谈到到恶意软件感染时,Mac用户并没有感到太多的担心。 苹果公司软件工程主管克雷格-费德里吉(Craig Federighi)在2021年表示,该平台的恶意软件水平令人无法接受,至少比iOS更糟糕。但macOS对用户有内置的保护措施,包括杀毒软件,对已知开发者的应用进行验证,以及文件系统加密的能力。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7166262350633239077/?log_from=f914f982fe00d_1668653007456 封面来源于网络,如有侵权请联系删除

卡巴斯基最新发现!朝鲜黑客使用新的恶意软件瞄准欧洲组织

朝鲜黑客正在使用新版本的 DTrack 后门来攻击欧洲和拉丁美洲的组织。DTrack 是一个模块化后门,具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和网络连接信息捕捉器等。 除了间谍之外,它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据,以及在受感染的设备上执行进程。与过去分析的样本相比,新的恶意软件版本没有太多功能或代码更改,但现在部署范围更广。 分布更广 正如卡巴斯基在今天发布的一份报告中所解释的那样,他们的遥测显示了德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。 目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。在新的攻击活动中,卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。 例如, 他们共享的一个样本 以“NvContainer.exe”文件名分发,该文件名与合法的 NVIDIA 文件同名。 卡巴斯基指出,DTrack 继续通过使用窃取的凭据破坏网络或利用暴露在 Internet 上的服务器来安装,如 之前的活动所示。启动后,恶意软件会经过多个解密步骤,然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。 与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串,并且 C2 服务器的数量已减少一半,仅为三个。 卡巴斯基发现的一些 C2 服务器是: “pinkgoat[.]com”、 “purewatertokyo[.]com” “purplebear[.]com” “salmonrabbit[.]com” DTrack归因 卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织,并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack。 2022 年 8 月,同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来,该组织在美国和韩国的企业网络中部署了 Maui 勒索软件。 2020 年 2 月,Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/KkMllkVWQMf79rys8iZllQ 封面来源于网络,如有侵权请联系删除