据BleepingComputer消息，一款最初被设计为红队演练之用的工具MacroPack近来正被攻击者滥用并部署恶意负载 Havoc、Brute Ratel 和 PhatomCore ，所发现的恶意文档已涉及多个国家和地区。 MacroPack 是由法国开发人员 Emeric Nasi （dba BallisKit） 创建的专注于红队演习演练和对手模拟的专有工具，提供反恶意软件绕过、反逆技术、使用代码混淆构建各种文档有效负载、嵌入无法检测的 VB 脚本等多项高级功能。 Cisco Talos 的安全研究人员研究了来自美国、俄罗斯和巴基斯坦等国家和地区在 VirusTotal 上提交的恶意文档，这些文件的诱饵、复杂程度和感染载体各不相同，表明 MacroPack 正被多个攻击者滥用，已成为一种潜在的威胁趋势。 这些被捕获的野外样本都有在 MacroPack 上创建的痕迹，包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符（这些字符可将静态分析检测率降到最低）以及字符串编码。 当受害者打开这些恶意Office 文档时会触发第一级 VBA 代码，该代码会加载恶意 DLL，并连接到攻击者的命令和控制 (C2) 服务器。 攻击链 Cisco Talos 的报告了一些与MacroPack 滥用相关的重要恶意活动集群： 美国：2023 年 3 月上传的一份文件伪装成加密的 NMLS 更新表格，并使用马尔可夫链生成的函数名来逃避检测。 该文档包含多级 VBA 代码，在尝试通过 mshta.exe 下载未知有效载荷之前会检查沙盒环境。 装成加密的 NMLS 更新表格 俄罗斯：2024 年 7 月，一个俄罗斯 IP 上传的空白 Excel 工作簿提供了 PhantomCore，这是一个基于 Golang 的用于间谍活动的后门 。 该文件运行多级 VBA 代码，试图从远程 URL 下载后门。 巴基斯坦：从巴基斯坦各地上传了以巴基斯坦军事为主题的文件。 其中一份文件伪装成巴基斯坦空军的通知，另一份伪装成就业确认书，部署了 Brute Ratel 獾。 这些文件通过 HTTPS DNS 和亚马逊 CloudFront 进行通信，其中一个文档嵌入了 base64 编码的 blob 以用于 Adobe Experience Cloud 跟踪。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410268.html 封面来源于网络，如有侵权请联系删除。

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。

蒙大拿州计划生育协会证实其网络系统近期遭到入侵，近100GB敏感数据被泄露，RansomHub 勒索软件组织近期宣布对此次攻击负责。 勒索软件组织RansomHub 声称其从蒙大拿州计划生育协会窃取了近 100 GB 的敏感数据，包括多个被盗文件的样本，这些样本包含 2024 年以来的财务预算记录、工资信息、米苏拉县拘留所正在进行的法庭案件的文件以及责任保险证明。 RansomHub 暗泄密网站 蒙大拿州计划生育协会首席执行官兼总裁玛莎·富勒在声明中证实，该组织上个月曾遭到入侵。 “2024 年 8 月 28 日，蒙大拿州计划生育协会 (PPMT) 发现了一起影响 IT 系统的网络安全事件，”富勒说。“在事件发生期间，IT 人员立即实施了该组织的事件响应协议，其中包括将部分网络离线。” 富勒强调称“调查仍在进行中”，并且计划生育协会已知悉 RansomHub 的声明。 与往常一样，网络犯罪集团给了计划生育协会七天时间来协商赎金要求，否则将计划在暗网上泄露这 93 GB 的被盗文件，并将其出售给最高出价者。 RansomHub 暗泄密网站 “我们非常重视此事，已向联邦执法部门报告了此事，并将全力支持他们的调查，”富勒总结道。  RansomHub 是一个新兴的勒索软件组织，自二月份以来该勒索软件的受害者数量一直在增加。 作为一个非营利性妇女生殖健康组织，蒙大拿州计划生育协会在西北部的蒙大拿州已运营逾 50 年，设有五个健康中心，并提供虚拟远程医疗服务。根据其网站，组织每年为“数千名患者”提供服务，包括 LGBTQIA2S+ 社区，总部位于比林斯大都会区。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，澳大利亚网络安全中心（ACSC）就信息窃取恶意软件不断升级的威胁发出警告。警告中提到：这种恶意软件会从受害者的设备中窃取敏感数据，包括登录凭证、财务信息和个人文件等。 越来越多的网络犯罪分子正利用这种信息窃取程序对企业网络进行未经授权的访问，导致企业遭遇勒索软件攻击、数据泄露和经济损失等严重后果。这些数据一旦外流，就会成为暗网市场上的高价商品，网络犯罪分子会将其拍卖给出价最高者。这些被窃取的凭证往往成为更严重攻击的入口，如勒索软件、商业电子邮件泄露和知识产权盗窃。 信息窃取者的能力 信息窃取攻击的生命周期通常分为四个阶段： 1.收购： 网络犯罪分子通过各种渠道获取信息窃取者，包括恶意软件即服务 （MaaS） 平台，这降低了技术不太熟练的犯罪分子的进入门槛。 2.分配： 一旦获得权限，恶意软件就会通过网络钓鱼电子邮件、恶意广告、破解软件和其他欺骗性方法进行分发，通常以用于工作和休闲的个人设备为目标，这种做法在远程工作环境中尤为常见。 3.数据收集： 成功感染后，恶意软件会从受害者的设备中收集敏感信息，重点关注存储在 Web 浏览器中的凭据、身份验证 cookie 和其他关键数据。 4.货币： 最终，被盗数据会统一在暗网市场上出售，通常由初始访问代理购买。这些经纪人专门进入公司网络并将该访问权限转售给其他网络犯罪分子，然后这些网络犯罪分子执行更具破坏性的攻击。 美国可持续发展协会 ACSC 建议企业应采取积极主动的网络安全措施以降低信息窃取者带来的风险的重要性，具体包括： 实施多因素身份验证 (MFA)：在所有关键服务中实施多因素身份验证（MFA），特别是针对特权用户账户。 安全意识培训：定期教育员工有关网络钓鱼、恶意下载的危险以及安全密码管理的重要性。 设备管理：确保所有访问企业网络的设备（包括个人设备）都遵守严格的安全策略。 网络监控：持续监控异常活动，尤其是远程连接和特权账户。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410057.html 封面来源于网络，如有侵权请联系删除

微软的网络安全研究人员最近发现，隶属于伊朗革命卫队的APT组织 Peach Sandstorm 在 2024 年 4 月至 7 月期间将新的多级后门 Tickler 添加到他们的武器库中。 该组织攻击卫星设备是因为它们对于军事和全球通信等现代设施至关重要。此类攻击的实施者可以通过破坏卫星系统来利用它，从而破坏通信和数据泄露，并影响导航和计时信息。 这种定制恶意软件袭击了美国和阿联酋的卫星、通信、石油或天然气以及政府行业。 技术分析 Peach Sandstorm 冒充“go-http-client”用户代理，对数千个组织发起密码喷洒攻击，主要针对美国和澳大利亚的国防、航天、教育和政府部门。 该组织还通过 LinkedIn 使用虚假的俄罗斯和西方个人资料进行情报收集，以便联系美国人和西欧人并为他们制定商业提案。 经过深度攻击后，他们还使用虚假的 Azure订阅来获取其他 C&C 服务。 微软注意到多个领域都存在此类活动，并且公司直接联系了那些受到影响的客户。 Microsoft Threat Intelligence 发现了两个 Tickler 恶意软件样本，它们由 Peach Sandstorm 于 2024 年 7 月部署。 第一个样本伪装成 PDF，这是一个 64 位 C/C++ PE 文件，使用 PEB 遍历来定位“kernell32.dll”。该样本还收集网络数据并通过 HTTP POST 将其发送到 C2 服务器。 Peach Sandstorm 攻击链（来源 – 微软） Tickler 恶意软件的第二个样本 sold.dll 下载了额外的有效负载，包括用于 DLL 侧加载的合法 Windows 二进制文件（msvcp140.dll、LoggingPlatform.dll、vcruntime140.dll、Microsoft.SharePoint.NativeMessaging.exe）以及能够执行各种命令（如 systeminfo、dir、run、delete、upload、download）的恶意 DLL。 Peach Sandstorm 通过创建具有学生订阅的 Azure 租户（通过新帐户和破坏现有的教育部门帐户）建立了 C2 基础设施。 他们设置了多个 azurewebsites[.]net 域作为 C2 节点，其他伊朗组织（如 Smoke Sandstorm）也采用了这种策略。 Peach Sandstorm事件活动包括： 欧洲防御组织中的横向 SMB 运动。 在一家制药公司遭遇密码泄露后，尝试安装 AnyDesk。 中东卫星运营商通过 Microsoft Teams 上的恶意 ZIP 捕获 AD 快照。 这些技术使 Peach Sandstorm 能够扩大访问权限、保持持久性并在受感染的网络中收集敏感数据。 缓解措施： 重置密码、撤销会话 cookie 并撤消攻击者 MFA 更改。 实施 Azure 安全基准，阻止旧式身份验证并强制执行 MFA。 保护具有最小权限的帐户，使用 Entra Connect Health 进行监控，并使用密码保护。 启用云和实时保护、EDR 阻止模式和防篡改保护。 教育用户有关登录安全性并过渡到无密码身份验证。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/yYyjB8B6JVd_vbC2wfmQeg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，GitHub  teloxide rust 库的一位贡献者发现，GitHub项目中的评论以提供修复程序为幌子，实际在其中植入了Lumma Stealer 恶意软件。 BleepingComputer 进一步审查发现， GitHub 上的各种项目中有数千条类似的评论，这些评论都为用户的提问提供了虚假的修复程序。 以下图为例，该评论告诉用户从 mediafire.com 或通过 bit.ly URL 下载受密码保护的压缩包，然后运行其中的可执行文件。 逆向工程师告诉 BleepingComputer，仅在 3 天时间里就有超过2.9万条推送该恶意软件的评论。 传播Lumma Stealer 恶意软件的评论回复 含有 Lumma Stealer的安装程序 单击该链接会将用户带到一个名为“fix.zip”的文件下载页面，其中包含一些 DLL 文件和一个名为 x86_64-w64-ranlib.exe 的可执行文件。通过在 Any.Run分析发现，这是一个Lumma Stealer 信息窃取恶意软件。 Lumma Stealer 是一种高级信息窃取程序，能够从 Google Chrome、Microsoft Edge、Mozilla Firefox 和其他 Chromium 浏览器中窃取 cookie、凭证、密码、信用卡和浏览历史记录。此外，它还能窃取加密货币钱包、私钥和名称为 seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、单词、wallet.txt、*.txt 和 *.pdf 等名称的文本文件。这些数据被收集并发送回给攻击者，攻击者可以使用这些信息进行进一步的攻击或在网络犯罪市场上出售。 虽然 GitHub的工作人员会在检测到这些评论时进行删除，但已经有受害者在Reddit上进行了反馈。 就在最近，Check Point Research 披露了名为Stargazer Goblin 的攻击者进行的类似活动，他们通过在Github上创建3000多个虚假账户传播恶意软件。目前尚不清楚这两起事件是否由同一攻击者所为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409987.html 封面来源于网络，如有侵权请联系删除

美国四机构联合报告指出，自2024年2月问世以来，RansomHub勒索软件已经入侵至少210个目标，涉及美国多个关键基础设施领域。 8月29日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、多州信息共享和分析中心（MS-ISAC）以及卫生与公众服务部（HHS）共同发布了一份咨询报告，指出RansomHub对受害者进行”双重勒索攻击”。 报告指出：“自2024年2月成立以来，ansomHub通过加密和泄露数据的方式对至少210个目标进行了攻击。” 这些目标来自多个关键基础设施领域，包括水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信行业。 联邦机构表示，RansomHub（前身为Cyclops和Knight）已经将自己确立为一种高效且成功的服务模式。（它最近吸引了来自LockBit和ALPHV等其他知名勒索软件变体的附属成员）。 E安全了解到，Check Point发布的2024年6月《全球威胁指数》报告，揭示了勒索软件即服务 (RaaS) 领域发生的变化，RansomHub跃居榜首，取代LockBit3成为最猖獗的勒索软件团伙。这种新型的勒索软件即服务（RaaS）运作模式，勒索者获取赎金以保证不泄露被盗文件，若谈判失败就将文件出售给出价最高的人。这个勒索组织主要通过数据盗窃进行敲诈，而不是加密受害者的文件。此外他们也被认为可能是Knight勒索软件源代码的潜在买家。 自今年年初以来，RansomHub组织公开承认对以下几家美国机构的网络入侵行为负责：美国非营利性信用合作社Patelco、Rite Aid连锁药店、佳士得拍卖行和美国电信提供商Frontier Communications 。Frontier Communications后来向超过750,000名客户发出警告，他们的个人信息被泄露。 四家机构在报告中给出了建议：网络防御者应该修补已经被利用的漏洞，并对 webmail、VPN和链接到关键系统的账户使用强密码和多因素身份验证（MFA）。此外，还建议将软件更新并执行漏洞评估作为安全协议的标准部分。这四个机构还提供RansomHub感染指标（IOC），以及2024年8月FBI发现的其关联方的策略、技术和程序（TTP）信息。 “不鼓励支付赎金，因为支付赎金并不能保证受害者文件被恢复。”联邦机构补充说。“此外，付款还可能使攻击者变本加厉组织实施犯罪行为。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/YG2muhIvnrX6VQW0jsA7aw 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一种新型恶意软件活动，它利用 Google Sheets（电子表格） 作为命令和控制 (C2) 机制。 Proofpoint 从 2024 年 8 月 5 日开始检测到这一活动，它冒充了欧洲、亚洲和美国政府的税务机关，目的是通过一种名为 Voldemort 的定制工具瞄准全球 70 多个组织，该工具可以收集信息并传递额外的有效载荷。 目标行业包括保险、航空航天、交通、学术、金融、技术、工业、医疗保健、汽车、酒店、能源、政府、媒体、制造、电信和社会福利组织。 此次疑似网络间谍活动尚未被归咎于特定黑客组织，攻击活动发送了多达 20,000 封电子邮件。 这些电子邮件声称来自美国、英国、法国、德国、意大利、印度和日本的税务机关，提醒收件人有关其税务申报的变化，并敦促他们点击将用户重定向到中间登录页面的 Google AMP Cache URL。 诱饵电子邮件 该页面的作用是检查User-Agent 字符串以确定操作系统是否为 Windows，如果是，则利用search-ms:URI 协议处理程序显示 Windows 快捷方式 (LNK) 文件，该文件使用 Adobe Acrobat Reader 伪装成 PDF 文件，试图诱骗受害者启动它。 Proofpoint 研究人员 Tommy Madjar、Pim Trouerbach 和 Selena Larson 表示：“如果执行 LNK，它将调用 PowerShell 从同一隧道上的第三个 WebDAV 共享（\library\）运行 Python.exe，并将同一主机上的第四个共享（\resource\）上的 Python 脚本作为参数传递。这会导致 Python 运行脚本而不将任何文件下载到计算机，而是直接从 WebDAV 共享加载依赖项。” 该 Python 脚本旨在收集系统信息并以 Base64 编码字符串的形式将数据发送到攻击者控制的域，然后向用户显示诱饵 PDF 并从 OpenDrive 下载受密码保护的 ZIP 文件。 诱饵PDF 该 ZIP 存档包含两个文件，一个合法的可执行文件“CiscoCollabHost.exe”，容易受到 DLL 侧载攻击，另一个是恶意 DLL“CiscoSparkLauncher.dll”（即 Voldemort）文件，该文件容易受到侧载攻击。 Voldemort 是一个用 C 语言编写的自定义后门，具有信息收集和加载下一阶段有效负载的功能，该恶意软件利用 Google Sheets 进行 C2、数据泄露以及执行来自操作员的命令。 Proofpoint 称该活动与高级持续性威胁 (APT) 有关，但由于使用了电子犯罪领域流行的技术，因此带有“网络犯罪色彩”。 “攻击者滥用文件架构 URI 来访问外部文件共享资源以进行恶意软件分阶段，特别是 WebDAV 和服务器消息块 (SMB)。这是通过使用架构‘file://’并指向托管恶意内容的远程服务器来实现的。”研究人员说。 这种方法在充当初始访问代理（IAB）的恶意软件家族中越来越 流行，例如Latrodectus、DarkGate和XWorm。 此外，Proofpoint 表示它能够读取 Google Sheet 的内容，总共识别出六名受害者，其中一名被认为是沙盒或“已知研究人员”。 此次攻击活动被认为不同寻常，这增加了攻击者在锁定一小部分目标之前撒下大网的可能性。攻击者的技术水平可能各不相同，他们也有可能计划感染多个组织。 研究人员表示：“虽然该活动的许多特征与网络犯罪威胁活动相符，但我们认为这很可能是为了支持尚未知晓的最终目标而进行的间谍活动。这种巧妙而复杂的能力与非常基本的技术和功能的混合，使得评估攻击者的能力水平和高度自信地确定该活动的最终目标变得十分困难。” 这一进展是在 Netskope 威胁实验室发现了 Latrodectus 的更新版本（1.4 版）之后取得的，该更新版本配备了一个新的 C2 端点，并增加了两个新的后门命令，允许它从指定服务器下载 shellcode 并从远程位置检索任意文件。 安全研究员 Leandro Fróes表示：“Latrodectus 的进化速度非常快，为其有效载荷添加了新功能。了解其有效载荷的更新可以让防御者保持自动管道的正确设置，并利用这些信息进一步寻找新的变种。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rsoYdXoY-r3x7lsqVi6szg 封面来源于网络，如有侵权请联系删除

Securonix 威胁研究团队发现了一项针对中文用户的秘密攻击活动，该活动可能通过钓鱼电子邮件发送 Cobalt Strike 负载。攻击者设法横向移动，建立持久性并在系统内潜伏超过两周而不被发现。 该秘密活动代号为SLOW#TEMPEST，并未归属于任何已知黑客组织，它从恶意 ZIP 文件开始，解压后会激活感染链，从而在受感染系统上部署后利用工具包。 ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件，该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”，大致翻译为“违反远程控制软件法规的人员列表” 。 研究人员指出：“从诱饵文件中使用的语言来看，特定的中国相关商业或政府部门很可能成为目标，因为他们都会雇用遵守‘远程控制软件规定’的人员。” LNK 文件充当启动合法 Microsoft 二进制文件（“LicensingUI.exe”）的管道，该二进制文件使用DLL 侧载来执行恶意 DLL（“dui70.dll”）。 这两个文件都是 ZIP 存档的一部分，位于名为“\其他信息\.__MACOS__\._MACOS__\__MACOSX\_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。 该 DLL 文件是 Cobalt Strike 植入程序，允许持续、隐秘地访问受感染的主机，同时与远程服务器（“123.207.74[.]22”）建立联系。 据称，远程访问使攻击者能够进行一系列实际活动，包括部署额外的有效载荷进行侦察和建立代理连接。 感染链还因设置计划任务而引人注目，该任务定期执行名为“lld.exe”的恶意可执行文件，该可执行文件可以直接在内存中运行任意 shellcode，从而在磁盘上留下最少的痕迹。 攻击链 研究人员表示：“攻击者通过手动提升内置 Guest 用户帐户的权限，进一步使自己能够隐藏在受感染的系统中。Guest账户通常被禁用且权限极低，但通过将其添加到关键管理组并为其分配新密码，它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问，因为 Guest 账户通常不像其他用户账户那样受到密切监控。” 随后，黑客使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动，然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。 后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察，然后以 ZIP 存档的形式泄露其结果。 所有 C2 服务器均在中国托管，这一事实进一步证实了该活动与中国的联系。此外，与该活动相关的大多数工件都来自中国。 “尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来，但它很可能是由经验丰富的黑客组织策划的，这些攻击者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”研究人员总结道，“此次活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p_7IlpzQiyTpVmmoxHsnkQ 封面来源于网络，如有侵权请联系删除

伊朗黑客组织APT33利用新型Tickler恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。 根据微软安全研究人员撰写的报告，代表伊朗利益的威胁组织（也被追踪为 Peach Sandstorm 和 Refined Kitten）在 2024 年 4 月至 7 月期间使用了这种新恶意软件作为情报收集活动的一部分。 在这些攻击过程中，攻击者利用 Microsoft Azure 基础设施进行命令和控制 (C2)，使用欺诈性的、攻击者控制。 APT33 在 2024 年 4 月至 5 月期间成功发动密码喷洒攻击，入侵了国防、航天、教育和政府部门的目标组织。在这些攻击中，他们试图使用少量常用密码访问许多帐户，以避免触发帐户锁定。 “尽管密码喷洒活动在各个行业中都持续出现，但微软观察到 Peach Sandstorm 专门利用教育行业中被盗用的用户账户来获取运营基础设施。在这些情况下，攻击者访问了现有的 Azure 订阅或使用被盗用账户创建订阅来托管其基础设施。”微软表示。 黑客控制的 Azure 基础设施被用于后续针对政府、国防和航天领域的行动。 APT33 Tickler 攻击流程 微软补充道：“在过去的一年里，Peach Sandstorm 使用定制工具成功入侵了多家组织，主要是上述领域的组织。” 伊朗黑客组织还在 2023 年 11 月使用了这种策略，攻击了全球国防承包商的网络并部署了 FalseFont 后门。 今年 9 月，微软警告称，APT33 活动已再次出现，自 2023 年 2 月以来，该活动针对全球数千个组织发起了大规模密码喷洒攻击，针对国防、卫星和制药领域。 微软宣布，从 10 月 15 日开始，所有 Azure 登录尝试都必须进行多重身份验证 (MFA)，以保护 Azure 帐户免遭网络钓鱼和劫持。 该公司此前发现，MFA 可使 99.99% 启用 MFA 的账户抵御黑客攻击，并将入侵风险降低 98.56%，即使攻击者试图使用之前被入侵的凭据入侵账户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/uczzZDeRMymYI9BBmqqYog 封面来源于网络，如有侵权请联系删除