近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。 针对 Python 开发人员的虚假编码测试 恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员，试图诱导开发人员下载恶意软件。 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。 ReversingLabs 的研究人员发现，攻击者会使用 GitHub 存储库和开源容器来托管其恶意代码。这些代码通常会伪装成编码技能测试或密码管理器应用程序，代码附带的 README 文件包含诱骗受害者执行恶意软件的说明。这些文件往往使用 “Python_Skill_Assessment.zip ”或 “Python_Skill_Test.zip ”等名称。 他们发现，恶意软件包含在经过修改的 pyperclip 和 pyrebase 模块文件中，这些文件也经过 Base64 编码，以隐藏下载程序代码。这些代码与 VMConnect 活动早期迭代中观察到的代码相同，后者向 C2 服务器发出 HTTP POST 请求以执行 Python 命令。 在一次事件中，研究人员成功识别出一名受到攻击者欺骗的开发人员。攻击者伪装成Capital One的招聘人员，然后通过LinkedIn个人资料和开发人员取得联系，并向他提供了一个GitHub的链接作为一项题目。当被要求推送更改时，假冒的招聘人员指示他分享截图，以证明任务已经完成。 安全研究人员随后访问的 .git 文件夹中的日志目录中包含一个 HEAD 文件，该文件显示了克隆该仓库并实施所需功能的开发人员的全名和电子邮件地址。 研究人员立即与该开发人员取得了联系，并确认他于今年 1 月感染了恶意软件，而该开发人员并不知道自己在此过程中执行了恶意代码。 虽然此事件已经追溯到了几个月前，但研究人员认为，目前有足够的证据和活动线索表明该活动仍在继续。7 月 13 日，他们又发现了一个新发布的 GitHub 存储库，与之前事件中使用的存储库相吻合，但使用的是不同的账户名。 通过进一步调查，研究人员发现这个“尘封”的GitHub 账户在他们与受害者建立联系的同一天又活跃了起来，并认为威胁行为者可能仍保留着对受感染开发人员通信的访问权限。研究人员还认为，被联系的开发人员可能与恶意活动有关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/410804.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一组新的恶意 Python 包，它们以编码评估为幌子针对软件开发人员。 ReversingLabs 研究员 Karlo Zanki表示：“新的样本被追踪到 GitHub 项目，该项目与之前的针对性攻击有关，这些攻击使用虚假的求职面试来引诱开发人员。” 该活动被认为是正在进行的被命名为 VMConnect 的黑客活动的一部分，该活动于 2023 年 8 月首次曝光。有迹象表明，这是朝鲜支持的 Lazarus Group 所为。 朝鲜黑客组织广泛使用求职面试作为感染媒介，他们要么在 LinkedIn 等网站上接触毫无戒心的开发人员，要么诱骗他们下载恶意软件包作为所谓的技能测试的一部分。 这些软件包已直接发布在 npm 和 PyPI 等公共存储库上，或托管在其控制下的 GitHub 存储库上。 ReversingLabs 表示，它发现了嵌入在合法 PyPI 库（如pyperclip和pyrebase ）的修改版本中的恶意代码。 Zanki 表示：“恶意代码存在于 __init__.py 文件及其对应的编译后的 Python 文件（PYC）中，这些文件位于各个模块的 __pycache__ 目录内。” 它以 Base64 编码字符串的形式实现，掩盖了下载器功能，该功能与命令和控制 (C2) 服务器建立联系，以执行作为响应收到的命令。 在软件供应链公司发现的一个编码任务实例中，攻击者试图通过要求求职者在五分钟内构建以 ZIP 文件形式共享的 Python 项目并在接下来的 15 分钟内查找并修复编码缺陷来创造一种虚假的紧迫感。 这使得“攻击者更有可能在未执行任何类型的安全甚至源代码审查的情况下执行该软件包”，Zanki 表示，并补充道，“这确保了此次活动背后的恶意行为者能够在开发人员的系统上执行嵌入的恶意软件。” 上述一些测试声称是针对 Capital One 和 Rookery Capital Limited 等金融机构进行的技术面试，突显攻击者如何冒充该行业的合法公司来完成操作。 目前尚不清楚这些活动的范围有多广，谷歌旗下的 Mandiant 最近也强调，他们会使用 LinkedIn 来搜寻和联系潜在目标。 该公司表示：“在初步聊天对话后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码挑战的 COVERTCATCH 恶意软件，该恶意软件会下载通过启动代理和启动守护程序持续存在的第二阶段恶意软件来危害用户的 macOS 系统。” 网络安全公司 Genians透露，代号为Konni的朝鲜黑客组织正在加强对俄罗斯和韩国的攻击，通过使用鱼叉式网络钓鱼诱饵来部署 AsyncRAT，并且与代号为CLOUD#REVERSER（又名 puNK-002）的行动有重叠。 其中一些攻击还涉及传播一种名为CURKON的新恶意软件，这是一种 Windows 快捷方式 (LNK) 文件，可用作Lilith RAT的 AutoIt 版本的下载器。 根据 S2W 的说法，该活动已链接到跟踪为 puNK-003 的子集群。 技术报告：https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/G_KWKOfvr-fR6ru0Hmwh1A 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

一名此前未被记录的黑客组织自 2024 年开始的网络攻击活动中主要针对敏感地区的无人机制造商。 趋势科技以TIDRONE为名追踪该对手，并表示由于其专注于军事相关产业链，评估该活动与间谍活动相关。 目前尚不清楚用于入侵目标的确切初始访问载体，但趋势科技的分析发现，攻击者使用 UltraVNC 等远程桌面工具部署了 CXCLNT 和 CLNTEND 等自定义恶意软件。 攻击链 在不同的受害者中观察到的共同点是存在相同的企业资源规划（ERP）软件，这增加了供应链攻击的可能性。 攻击链随后经历三个不同的阶段，旨在通过绕过用户帐户控制 ( UAC )、凭据转储和通过禁用主机上安装的防病毒产品来逃避防御，从而促进特权提升。 这两个后门都是通过 Microsoft Word 应用程序侧载恶意 DLL 来启动的，从而允许攻击者收集各种敏感信息。 CXCLNT 配备了基本的上传和下载文件功能，以及清除痕迹、收集受害者信息（如文件列表和计算机名称）以及下载下一阶段可移植可执行文件 (PE) 和 DLL 文件以供执行的功能。 CLNTEND 于 2024 年 4 月首次被发现，是一种发现的远程访问工具 (RAT)，支持更广泛的网络通信协议，包括 TCP、HTTP、HTTPS、TLS 和 SMB（端口 445）。 安全研究人员 Pierre Lee 和 Vickie Su 表示：“此次活动很可能是由一个尚未确定的高级威胁组织进行的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/q7rbKkDMsNVkIVQFUq9hkg 封面来源于网络，如有侵权请联系删除。

极度危险、臭名昭著的以色列 Predator （捕食者） 商业间谍软件套件带着最新的升级版回归了。 网络安全公司 Recorded Future 的威胁研究部门 Insikt Group上周报告称，新的Predator基础设施出现在刚果民主共和国和安哥拉等国家，这表明美国对Predator 背后的间谍软件公司Intellexa实施的制裁并未完全成功。 Insikt Group 在其关于 Predator 的报告中写道：“在 Intellexa 受到制裁和曝光后，Predator 的活动明显减少。然而，根据我们最近的分析，Predator 还远未消失。” 2023年3月，美国政府发布行政命令，禁止美国政府使用对国家安全构成风险的商业间谍软件。 2023年7月，美国商务部工业和安全局 (BIS) 将监控技术供应商 Intellexa 和 Cytrox 列入实体清单，原因是其贩卖用于获取信息系统访问权限的网络漏洞。 2024年3月，美国财政部宣布对与 Intellexa Consortium有关的两名个人和五个实体进行制裁 ，原因是他们在开发和分发用于针对美国人的商业 Predator 间谍软件方面发挥了作用 。 该监视软件还用于监视美国政府官员、记者和政策专家。 美国财政部警告称，商业间谍软件的扩散对美国构成了越来越大的风险。外国攻击者滥用监视软件对世界各地的异见人士和记者发动攻击。 Predator是由以色列间谍软件联盟Intellexa开发的复杂间谍软件，与NSO 集团的Pegasus和其他商业间谍软件一样，允许政府人员入侵设备并监视用户。允许操作员渗透到设备中，获取消息和联系人等敏感数据，甚至在用户不知情的情况下激活摄像头和麦克风。 基础设施和逃避策略的变化 Predator的运营商已显著增强其基础设施，增加了复杂性以逃避检测。新的基础设施在其多层交付系统中增加了一个附加层，可匿名处理客户操作，从而更难确定哪些国家正在使用该间谍软件。这一变化使研究人员和网络安全防御者更难追踪 Predator 的传播。 尽管发生了这些变化，但运作模式基本保持不变。间谍软件可能继续使用“一键”和“零点击”攻击媒介，利用浏览器漏洞和网络访问将自身安装在目标设备上。尽管没有关于完全远程零点击攻击（如与 Pegasus 相关的攻击）的报告，但 Predator 仍然是针对知名人士的危险工具。 备受瞩目的目标仍面临风险 Predator捕食者间谍软件重返战场最令人担忧的一点是，它很可能会继续以知名人士为目标。政客、高管、记者和活动人士面临的风险最高，因为他们掌握着政府或其他恶意行为者的情报价值。捕食者昂贵的授权费用进一步表明，运营商将其用于战略性、高价值目标。 这种雇佣间谍软件的广泛使用，尤其是针对政治反对派，已经引起欧盟等地区的担忧。希腊和波兰的调查已经揭露了间谍软件如何被用来对付反对派人士和记者，这引发了人们对此类监视的合法性和道德性的严重质疑。 防御最佳实践 鉴于 Predator 的再次出现及其基础设施的复杂性，个人和组织必须保持警惕。Insikt Group 概述了几种有助于减轻 Predator 间谍软件渗透风险的防御措施： 定期软件更新——让设备保持最新的安全补丁对于减少 Predator 等间谍软件利用的漏洞至关重要。 设备重启——定期重启设备可以破坏间谍软件的运行，但可能无法完全消除高级间谍软件。 锁定模式——在设备上激活锁定模式可以帮助阻止未经授权的访问和利用尝试。 移动设备管理 (MDM) –实施 MDM 系统允许组织管理和保护员工设备，确保他们遵守安全协议。 安全意识培训——对员工进行有关鱼叉式网络钓鱼和其他社会工程策略的教育可以降低成为间谍软件攻击受害者的可能性。 这些措施对于担任敏感职务的个人尤其重要，例如在政府、民间社会或企业领导职位任职的个人。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eb8qJi7R32axHubefyOPmA 封面来源于网络，如有侵权请联系删除。

以色列研究人员设计了一种新的攻击技术，该技术依靠来自内存总线的无线电信号从隔离系统中窃取数据。 据以色列内盖夫本·古里安大学的 Mordechai Guri 介绍，恶意软件可用于对敏感数据进行编码，而这些数据可使用软件定义无线电 (SDR) 硬件和现成的天线从远处捕获。 该攻击名为RAMBO，允许攻击者以每秒 1,000 比特的速度窃取编码文件、加密密钥、图像、按键和生物特征信息。测试在最远 7 米（23 英尺）的距离内进行。 隔离系统在物理和逻辑上与外部网络隔离，以保证敏感信息的安全。虽然这些系统提供了更高的安全性，但它们并不能防范恶意软件，有数十个已记录的恶意软件家族针对它们，包括Stuxnet、Fanny和PlugX。 在新的研究中，发表了多篇有关隔离网络攻击尝试技术论文的 Mordechai Guri 解释说，隔离系统上的恶意软件可以操纵 RAM 来生成时钟频率修改后的编码无线电信号，然后从远处接收这些信号。 攻击者可以使用适当的硬件接收电磁信号，解码数据并检索被盗信息。 RAMBO 攻击首先在隔离系统上部署恶意软件，可以通过受感染的 USB 驱动器、使用有权访问系统的恶意内部人员或通过破坏供应链将恶意软件注入硬件或软件组件。 攻击的第二阶段涉及数据收集、通过隔离网络隐蔽通道（在本例中是来自 RAM 的电磁发射）进行信息泄露以及远距离检索。 Guri 解释说，数据通过 RAM 传输时会发生快速的电压和电流变化，从而产生电磁场，这些电磁场可以以取决于时钟速度、数据宽度和整体架构的频率辐射电磁能。 研究人员解释说，发射器可以通过以与二进制数据相对应的方式调制内存访问模式来创建电磁隐蔽通道。 通过精确控制与内存相关的指令，该学者能够使用该隐蔽通道传输编码数据，然后使用 SDR 硬件和基本天线在远处检索它。 Guri 指出：“通过这种方法，攻击者可以以每秒数百比特的速率将数据从隔离网络的计算机泄露到附近的接收器。” 研究人员详细介绍了可以实施的几种防御和保护对策，以防止 RAMBO 攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qMsQJFXPH1IN6K78cqoGdg 封面来源于网络，如有侵权请联系删除。

据观察，与朝鲜有关的黑客组织利用 LinkedIn 来针对开发人员进行虚假招聘行动。 谷歌旗下的 Mandiant 在一份有关 Web3 领域面临威胁的新报告中表示，这些攻击采用编码测试作为常见的初始感染媒介。 研究人员 Robert Wallace、Blas Kojusner 和 Joseph Dobson表示：“在最初的聊天对话之后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码的 COVERTCATCH 恶意软件。” 该恶意软件充当启动器，通过下载第二阶段有效负载（该负载通过启动代理和启动守护进程建立持久性）来危害目标的 macOS 系统。 值得指出的是，这是朝鲜黑客组织开展的众多活动集群之一，这些攻击活动利用与工作相关的诱饵来感染目标恶意软件。 招募主题的诱饵也是传播RustBucket 和 KANDYKORN等恶意软件家族的常用手段。目前尚不清楚 COVERTCATCH 是否与这些病毒株或新发现的 TodoSwift 有任何联系。 Mandiant 表示，它观察到一项社会工程活动，该活动发送了一份恶意 PDF，伪装成一家著名加密货币交易所的“财务和运营副总裁”的职位描述。 “恶意 PDF 释放了名为 RustBucket 的第二阶段恶意软件，这是一个用 Rust 编写的支持文件执行的后门。”Mandiant 表示。 RustBucket 植入物可以收集基本系统信息、与通过命令行提供的 URL 进行通信，并使用伪装成“Safari 更新”的启动代理设置持久性，以便联系硬编码的命令和控制 (C2) 域。 朝鲜针对 Web3 组织的攻击不仅仅限于社会工程学，还包括软件供应链攻击，正如近年来针对3CX和JumpCloud的事件所观察到的那样。 Mandiant 表示：“一旦通过恶意软件建立立足点，攻击者就会转向密码管理器窃取凭证，通过代码库和文档进行内部侦察，并进入云托管环境以泄露热钱包密钥并最终耗尽资金。” 此事披露之际，美国联邦调查局 (FBI) 警告称，朝鲜黑客利用“高度定制化、难以察觉的社会工程活动”瞄准加密货币行业。 这些正在进行的活动冒充受害者可能亲自或间接认识的招聘公司或个人，向其提供就业或投资，这被视为明目张胆的加密货币盗窃的渠道。 值得注意的是，他们采用的策略包括确定感兴趣的加密货币相关业务、在联系目标之前进行广泛的术前研究，以及编造个性化的虚假场景，试图吸引潜在受害者并增加攻击成功的可能性。 联邦调查局表示：“犯罪分子可能会提及个人信息、兴趣、从属关系、事件、个人关系、专业联系或受害者认为很少有人知道的细节。如果成功建立双向联系，最初的攻击者或攻击者团队的另一名成员可能会花费大量时间与受害者接触，以增加合法性、产生熟悉感和信任度。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NfCLcauOW03sMMPV3GuC_w 封面来源于网络，如有侵权请联系删除。

随着战争的持续，乌克兰军事人员不仅在战场上面临威胁，而且在其设备上也面临威胁。 乌克兰机构发现两起针对乌克兰军事人员设备的网络攻击。 黑客通过 Signal 信使向这些人发送消息，其中包含看起来像乌克兰 Griselda 和“Eyes”军事系统的移动应用程序的链接。 根据其网站，Griselda 是一个使用人工智能（AI）自动输入、处理和传输信息的系统，“Eyes”是指军事追踪系统。 军人被要求下载的这些移动应用程序实际上并非来自这两个实体。相反，它们是包含恶意软件和潜在恶意代码的假冒应用程序。 乌克兰计算机应急响应小组 (CERT-UA) 和乌克兰国防部及武装部队 (MILCERT) 发现，这是一次试图窃取身份验证数据以访问敏感军事系统的攻击。此次攻击还经过精心策划，旨在识别并提取设备的 GPS 坐标。 欺诈性的 Griselda 链接会将受害者引导至一个冒充该项目官方网页的傀儡网站。该网站提示受害者下载 Griselda 应用程序的移动版本。 该设备并没有下载所谓的 Griselda 应用程序，而是安装了数据窃取恶意软件 Hydra。 与此同时，“Eyes” 也遭到了攻击。军方人员被告知有文件可供下载。然而，这不是普通文件，而是已被修改并感染了第三方代码，安装会导致数据被窃取，进而识别设备的 GPS 坐标。 黑客试图窃取极其敏感的数据，这些数据可能会泄露军人的位置，从而危及生命。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gghbWBydUYoI_kcSI4XENw 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，有黑客使用一种假冒的 OnlyFans 工具瞄准其他黑客，声称可以用来帮助窃取用户帐户，但实际上却是用 Lumma信息窃取器对这些黑客发动入侵。 这项由 Veriti Research 发现的现象反映了网络犯罪分子之间并非是统一的”猎食者“身份，彼此之间的背刺时有发生。 这次黑客所利用的OnlyFans 是一个非常受欢迎、基于用户订阅的内容创作平台，创作者可以与订阅者分享视频、图像、消息和直播流，而订阅者则需要支付经常性费用或一次性付款以获得独家内容。鉴于它的受欢迎程度，OnlyFans 帐户经常成为攻击者的目标，试图劫持账户、勒索账户所有者支付赎金，或者干脆泄露私人照片。 黑客论坛上的OnlyFans恶意工具广告 因此，黑客开发了一种能快速验证账户的工具，检查登录信息是否与任何 OnlyFans 账户匹配，以及是否仍然有效，否则，黑客就必须手动测试成千上万个凭证，其过程既不现实又繁琐，导致该计划无法实施。 然而，正是由于该工具由黑客创建并在其他黑客中传播，处于竞争关系的黑客必然在其中留了一手，对其他黑客窃取信息以将自身利益最大化。 Veriti发现的假冒OnlyFans 工具内含有Lumma信息窃取器，有效载荷名为 “brtjgjsefd.exe”，是从 GitHub 存储库中获取并加载到受害者计算机中。Lumma 自 2022 年以来一直以每月 250-1000 美元的价格出租给网络犯罪分子，并通过各种方式传播，包括恶意广告、YouTube 评论、种子文件以及最近的 GitHub 评论。 Lumma 具有创新的规避机制和恢复过期谷歌会话令牌的能力。 它主要用于窃取双因素身份验证代码、加密货币钱包，以及存储在受害者浏览器和文件系统中的密码、cookie 和信用卡。 Lumma 本身也是一个加载器，能够在被入侵系统中引入额外的有效载荷，并执行 PowerShell 脚本。 Veriti 发现，当 Lumma Stealer 有效载荷启动时，它会连接到一个名为 “UserBesty “的 GitHub 账户，幕后黑客利用该账户托管其他恶意有效载荷。 这并不是黑客第一次针对其他网络犯罪分子进行恶意攻击。 2022 年 3 月，黑客利用伪装成破解 RAT 和恶意软件构建工具的剪贴板窃取程序来窃取加密货币。 同年晚些时候，一名恶意软件开发者在自己的恶意软件中设置了后门，以窃取其他黑客的凭证、加密货币钱包和 VPN 账户数据。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410373.html 封面来源于网络，如有侵权请联系删除。

Check Point Research 最近曝光了一个新的分发即服务 (DaaS) 网络，称为 Stargazers Ghost Network，该网络至少在一年前就在 GitHub 上传播恶意软件。由于这些账户也执行正常活动，因此用户并未意识到这些账户正在执行恶意活动。 这些幽灵账户针对的是那些想要增加 YouTube、Twitch 和 Instagram 粉丝的用户，通过 Discord 频道向 GitHub 存储库分发恶意链接。由于恶意链接指向已加星标和验证的内容，其他用户会认为这些存储库是合法的。然而，高星标数量让 Check Point 研究人员意识到这些账户很可疑。 恶意软件通过密码加密的档案发布进行分发 “在短短的监控期内，我们发现了 2,200 多个发生‘幽灵’活动的恶意存储库。在 2024 年 1 月左右的一次活动中，该网络传播了 Atlantida 窃取程序，这是一个新的恶意软件家族，可窃取用户凭据和加密货币钱包以及其他个人身份信息 (PII)。这次活动非常有效，因为在不到四天的时间内，超过 1,300 名受害者感染了 Atlantida 窃取程序。”Check Point Research 报告中写道。 通过使用三个 GitHub 帐户协同工作，Stargazers Ghost Network 成功避开了 GitHub 的检测。当攻击者将包含钓鱼下载链接的 README.md 文件附加到外部存储库的发布版本时，攻击就开始了。 一个帐户提供钓鱼存储库模板，而另一个帐户提供钓鱼图像模板。然后，第三个帐户将恶意软件作为发布版本中受密码保护的存档提供，有时攻击就是在这里检测到的，然后第三个帐户被 GitHub 禁止。如果发生这种情况，攻击者就会使用第一个帐户中的新链接再次发起攻击。 暗网赚钱 研究人员还发现了该计划的另一部分——利用幽灵账户在暗网上赚钱。CheckPoint 估计，2024 年 5 月中旬至 6 月中旬的恶意活动为 Stargazers Ghost Network 带来了约 8,000 美元的收入。Check Point 估计，该计划在整个生命周期内带来了约 100,000 美元的收入。 2023 年 7 月 8 日，Terefos 团队发现 Stargazers Ghost Network 在暗网上发布了横幅广告。网络犯罪分子可以“雇佣”幽灵账户，获得 GitHub 上的各种服务，包括加星标、关注、分叉和关注账户和存储库。 这些服务的价格各不相同，例如加星标 100 个账户需 10 美元，而为受信任的账户提供“陈旧”存储库则需 2 美元。除了广告横幅，网络犯罪分子还使用了另一种典型的营销策略：折扣。在 Stargazers Ghost Network 上花费超过 500 美元的威胁行为者可以获得服务折扣。 GitHub 采取行动 在了解到这 3,000 个幽灵账户后，GitHub 采取行动阻止恶意软件的传播。 Check Point 的研究人员认为，幽灵账户在许多其他平台上运作，包括 YouTube、Discord、Instagram 和 Facebook。由于这些渠道还可用于通过帖子、存储库、视频和推文分发链接和恶意软件，Check Point 认为这些账户的运作方式类似于 GitHub 计划，这意味着这很可能只是一种新策略的开始。 Check Point 报告总结道：“未来的幽灵账户可能会利用人工智能 (AI)模型来生成更具针对性和多样性的内容，从文本到图像和视频。通过考虑目标用户的回复，这些由人工智能驱动的账户不仅可以通过标准化模板来推广网络钓鱼材料，还可以通过针对真实用户的需求和互动量身定制的响应来推广网络钓鱼材料。恶意软件传播的新时代已经到来，我们预计这些类型的操作将更频繁地发生，这使得区分合法内容和恶意材料变得越来越困难。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/jbtBFnvYnPHHUn8PuwjpAA 封面来源于网络，如有侵权请联系删除。