据AT&T Cybersecurity 的研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。 据统计，攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求，攻击者会诱骗他们下载一个使用双扩展名的文件，文件名为 “Navigating Future Changes October 2023.pdf.msi”，这是 DarkGate 常用的伎俩。 安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器，Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。 由于在默认情况下，微软允许外部 Microsoft Teams 用户向其他用户发送消息，这才给了这种类型的网络钓鱼攻击可乘之机。 AT&T Cybersecurity 网络安全工程师Peter Boyle认为：除非日常的必要业务需使用，否则他建议大多数公司禁用 Microsoft Teams 中的外部访问，因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样，很可能不是那种典型的电子邮件钓鱼诈骗形式。 网络钓鱼群聊 Microsoft Teams 拥有数量庞大的 2.8 亿用户，是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点，通过 Microsoft Teams 推送恶意软件。 去年也出现过类似的活动，恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。 Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络，还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输，攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷， APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门，它利用这种方式攻击了全球数十个组织，包括政府机构。 DarkGate 恶意软件攻击激增 自去年 8 月 Qakbot 僵尸网络被捣毁后，网络犯罪分子更多地转向 DarkGate 恶意软件加载器，将其作为初始访问企业网络的首选。 而就在 Qakbot 僵尸网络被攻陷之前，有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称，它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。 在开发者发布消息后，就出现了越来越多的 DarkGate 攻击事件，网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/391138.html 封面来源于网络，如有侵权请联系删除

据知情人士透露，全球能源管理和工业自动化巨头施耐德电气遭受 Cactus 勒索软件攻击，导致公司数据被盗。 BleepingComputer 获悉，勒索软件攻击于本月初的 1 月 17 日袭击了施耐德电气公司的可持续发展业务部门。 这次攻击扰乱了施耐德电气的部分资源顾问云平台，该平台至今仍处于中断状态。 据报道， Cactus 勒索软件团伙在网络攻击期间窃取了该公司数 TB 的公司数据，威胁该公司，如果不支付赎金，就会泄露被盗的数据。 虽然尚不清楚被盗的数据类型，但可持续发展业务部门为企业组织提供咨询服务，就可再生能源解决方案提供建议，并帮助他们满足全球公司复杂的气候监管要求。 施耐德电气资源顾问平台上的停止服务的消息 施耐德电气可持续发展业务部门的客户包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛。 被盗数据可能包含有关客户用电、工业控制和自动化系统以及环境和能源法规合规性的敏感信息。 目前尚不清楚施耐德电气是否会支付赎金，但如果不支付赎金，我们很可能会看到勒索软件团伙泄露被盗数据，就像他们在之前的攻击之后所做的那样。 施耐德电气在一份声明中证实，其可持续发展业务部门遭受了网络攻击，并且数据被攻击者访问。不过，该公司表示，此次攻击仅限于该部门，并未影响公司其他部门。 施耐德电器称： 从恢复的角度来看，可持续发展业务正在执行补救措施，以确保业务平台恢复到安全的环境。团队目前正在测试受影响系统的操作能力，预计将在接下来的两个工作日内恢复访问。 从遏制的角度来看，由于可持续发展业务是一个自治实体，运营其隔离的网络基础设施，施耐德电气集团内其他实体没有受到影响。 从影响评估的角度来看，正在进行的调查表明数据已被访问。随着更多信息的出现，施耐德电气可持续发展业务部门将继续与受影响的客户直接对话，并继续提供相关信息和帮助。 从取证分析的角度来看，领先的网络安全公司和施耐德电气全球事件响应团队将继续对该事件进行详细分析，并与相关当局合作，根据结果采取进一步行动。 施耐德电气是一家法国跨国公司，生产能源和自动化产品，公司经营领域从大型商店中的家用电气元件到企业级工业控制和楼宇自动化产品。 2023 年前 9 个月的收入为 285 亿美元，在全球拥有超过 15 万名员工，此前曾成为 Clop 勒索软件团伙大规模 MOVEit 数据盗窃攻击的目标，攻击影响了 2,700 多家公司。 关于Cactus 勒索软件团伙 Cactus 勒索软件于 2023 年 3 月启动，此后攻击了许多公司，他们声称这些公司在网络攻击中遭到破坏。 与所有勒索软件操作一样，Cactus 勒索软件团伙将通过购买凭据、与恶意软件分发者合作、网络钓鱼攻击或利用漏洞来破坏企业网络。 一旦攻击者获得网络访问权限，他们就会悄悄传播到其他系统，同时窃取服务器上的公司数据。 在窃取数据并获得网络管理权限后，勒索软件团伙会对文件进行加密并留下勒索信息。 来自不同攻击的 Cactus 勒索信示例 勒索软件通常进行双重勒索攻击，即他们要求赎金以获得文件解密器并承诺销毁且不泄露被盗数据。 对于那些不支付赎金的公司，勒索软件团伙将在数据泄露网站上公开受害企业的数据。目前，Cactus 数据泄露网站上列出的 80 多家公司的数据已被泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ePV0HBKeUPKrtxTSk_YWcQ 封面来源于网络，如有侵权请联系删除

研究人员警告称，年收入超过 1 亿美元的墨西哥公司面临定期网络攻击的风险。 据BlackBerry 专家称，犯罪分子正在使用 AllaKore RAT 恶意软件窃取银行凭证和独特的身份验证信息。 以经济利益为目的的攻击已经持续了两年多，而且没有减弱的迹象。研究人员注意到攻击者对大公司的持续兴趣。 有证据表明 AllaKore RAT 通过鱼叉式网络钓鱼和路过式攻击进行分发，其中恶意代码会自动发送给受感染网站的访问者。 AllaKore RAT 是一款开源远程访问软件，此前曾被用于印度的间谍攻击。尽管很简单，但该恶意软件具有键盘记录、屏幕捕获、下载/上传文件，甚至远程控制受害者设备的功能。 攻击的目标受众不限于任何行业，两年来的黑客活动已经影响了零售、农业、公共部门、制造业、运输、商业服务、资本货物和银行部门的公司。 黑莓报告还提到，这种恶意活动可能与 FIN13 组织有联系，其动机是经济利益， Mandiant 研究人员在 2021 年底（即当前活动开始前后） 描述了这一点。   转自安全客，原文链接：https://www.anquanke.com/post/id/292941 封面来源于网络，如有侵权请联系删除

中文用户已成为通过Telegram等消息应用程序传播的恶意 Google 广告的攻击目标。 Malwarebytes 在周四的一份报告中表示：“攻击者正在滥用 Google 广告商帐户来创建恶意广告，将毫无戒心的用户指向下载远程管理木马 (RAT) 的页面。” “此类程序使攻击者能够完全控制受害者的计算机，并能够删除其他恶意软件。” 该活动代号为FakeAPP ，是2023 年 10 月下旬针对在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序攻击浪潮的延续。 该活动的最新版本还将消息应用程序 LINE 添加到消息应用程序列表中，将用户重定向到 Google 文档或 Google 协作平台上托管的虚假网站。 Google 基础设施用于嵌入到攻击者控制下的其他站点的链接，以便提供最终部署PlugX和Gh0st RAT等木马的恶意安装程序文件。 Malwarebytes 表示，它追踪到欺诈性广告来自两个位于尼日利亚的广告商帐户，分别为Interactive Communication Team Limited和Ringier Media Bulgaria Limited 。 攻击者似乎通过不断推送新的有效负载和基础设施作为命令和控制（C2）服务器，优先考虑数量而非质量。 这一进展正值 Trustwave SpiderLabs 披露名为Greatness的网络钓鱼即服务 (PhaaS) 平台的使用激增之际，该平台用于创建针对 Microsoft 365 用户的看似合法的凭据收集页面。 该公司表示：“该工具包允许个性化发件人姓名、电子邮件地址、主题、消息、附件和二维码，从而增强相关性和参与度。”并补充说，它配备了反检测措施，例如随机标头、编码和混淆，旨在绕过垃圾邮件过滤器和安全系统。 Greatness 以每月 120 美元的价格出售给其他犯罪分子，有效降低了进入门槛，帮助他们进行大规模攻击。 攻击链需要发送带有恶意 HTML 附件的网络钓鱼电子邮件，当收件人打开这些附件时，会将其引导至虚假登录页面，该页面捕获输入的登录凭据，并通过 Telegram 将详细信息上传给攻击者。 其他感染序列利用附件在受害者的计算机上投放恶意软件，以促进信息盗窃。 为了增加攻击成功的可能性，电子邮件会欺骗银行和雇主等受信任的来源，并使用“紧急发票付款”或“需要紧急帐户验证”等主题引发错误的紧迫感。 Trustwave 表示：“目前受害者人数尚不清楚，但 Greatness 得到了广泛使用和良好支持，其自己的 Telegram 社区提供了有关如何操作该工具包的信息，以及其他提示和技巧。” 据观察，网络钓鱼攻击还利用冒充 Kakao 等科技公司的诱饵来攻击韩国公司，通过恶意 Windows 快捷方式 (LNK) 文件分发 AsyncRAT。 AhnLab 安全情报中心 (ASEC)表示：“伪装成合法文档的恶意快捷方式文件正在不断传播。” “用户可能会将快捷方式文件误认为是普通文档，因为‘.LNK’扩展名在文件名上不可见。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5cwfbe3hvy-rbocUExnCRg 封面来源于网络，如有侵权请联系删除

安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具，该工具使用 Discord 机器人从受感染的主机窃取敏感数据。 该恶意软件名为 NS-STEALER，通过 ZIP 存档分发，伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。 存档内容 在创建的文件夹中，恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后，收集到的信息会传输到机器人的 Discord 频道。 感染链 研究人员指出，恶意软件利用复杂的功能来收集敏感信息，并且通过使用支持身份验证的 X509Certificate 功能，在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。   转自安全客，原文链接：https://www.anquanke.com/post/id/292819 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，存在一种“显著增加”的网络威胁行为，其通过积极利用 Apache ActiveMQ 中一个现已修复的漏洞，在受感染的主机上部署 Godzilla Web Shell。 “这些 Web Shell 被隐藏在未知的二进制格式中，旨在规避安全和基于签名的扫描器” ，Trustwave 表示。“值得注意的是，尽管二进制文件格式未知，但 ActiveMQ 的 JSP 引擎仍然继续编译和执行 Web Shell。” CVE-2023-46604（CVSS 分数：10.0）是指 Apache ActiveMQ 中的一种严重漏洞，可实现远程代码执行。自 2023 年 10 月底公开披露以来，已有多个对手积极利用该漏洞部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。 在 Trustwave 观察到的最新入侵集合中，易受攻击的实例成为基于 JSP 的 Web Shell 的目标，这些 Web Shell 被植入到 ActiveMQ 安装目录的“admin”文件夹中。 这个名为 Godzilla 的 Web Shell 是一个功能丰富的后门，能够解析传入的 HTTP POST 请求、执行内容，并以 HTTP 响应的形式返回结果。 “这些恶意文件引人注目的地方在于，JSP 代码似乎被隐藏在一种未知类型的二进制中” ，安全研究员 Rodel Mendrez 表示。“这种方法有可能绕过安全措施，在扫描期间避免被安全端点检测到。” 对攻击链的更仔细审查显示，Web Shell 代码在被 Jetty Servlet 引擎执行之前被转换成 Java 代码。 JSP 负载最终允许黑客通过 Godzilla 管理用户界面连接到 Web Shell，并完全控制目标主机，便于执行任意 Shell 命令、查看网络信息以及处理文件管理操作。 强烈建议使用 Apache ActiveMQ 的用户尽快升级到最新版本，以降低潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全研究人员发现了一种针对易受攻击的 Docker 服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用 9hits 应用程序作为有效负载的恶意软件案例的诞生。 Cado 安全实验室发现，该活动将两个容器部署到易受攻击的 Docker 实例 —— 一个标准 XMRig 挖矿程序和 9hits 查看器应用程序。后者用于在 9hits 平台上为攻击者生成积分。 9hits 是一个被称为“独特的网络流量解决方案”的平台，允许会员购买积分以进行网站流量交换。在此活动中，通常用于访问网站以换取积分的 9hits 查看器应用程序被恶意软件利用，使攻击者受益。 攻击首先由攻击者控制的服务器通过互联网在易受攻击的 Docker 主机上部署容器。虽然 Cado 研究人员无法访问该传播程序，但他们推测攻击者可能通过 Shodan 等平台发现了蜜罐。该传播器使用 Docker API 启动两个容器，从 Dockerhub 获取现成的镜像用于 9hits 和 XMRig 软件。 仔细检查有效负载操作后发现，9hits 容器运行带有会话令牌的脚本，允许应用程序通过 9hits 服务器进行身份验证并为攻击者赚取积分。XMRig 容器利用链接到攻击者动态 DNS 域的私人矿池来挖掘加密货币。 对受感染主机的影响是资源耗尽，XMRig 矿工消耗可用的 CPU 资源，而 9hits 应用程序则利用大量带宽、内存和任何剩余的 CPU。这可能会阻碍受感染服务器上的合法工作负载，并可能导致更严重的违规行为。 Cado 安全研究员 Nate Bill 表示，这一发现凸显了攻击者从受感染主机中获利的策略不断演变。它还强调暴露的 Docker 主机作为入口点的持续漏洞。 “由于 Docker 允许用户运行任意代码，因此保持其安全至关重要，以避免您的系统被用于恶意目的，” 公告中写道。   转自安全客，原文链接：https://www.anquanke.com/post/id/292769 封面来源于网络，如有侵权请联系删除

COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标，以往该组织主要通过网络钓鱼活动窃取凭据。 谷歌周四警告（https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/）称，以网络钓鱼攻击闻名的俄罗斯 APT 组织 ColdRiver 也一直在开发定制恶意软件。 谷歌安全团队共享了失陷检测指标 (IoC) 和 YARA 规则，以帮助防御者检测和分析威胁。 ColdRiver 还受到 Star Blizzard、Callisto Group、BlueCharlie、TA446 和 Dancing Salome 等其他公司的关注。该组织与俄罗斯联邦安全局的一个部门有联系，以开展网络间谍活动和影响力活动而闻名。 APT 组织通常针对美国、英国和其他北约国家的学术界、国防、政府、非政府组织和智库部门的组织。 美国和英国政府最近就 ColdRiver 的活动向各组织发出警告，并宣布对两名涉嫌成员实施制裁。 ColdRiver 的许多攻击都涉及旨在窃取凭据的鱼叉式网络钓鱼。谷歌的安全研究人员最近发现似乎是由该组织开发和使用的定制恶意软件。 该恶意软件名为 Spica，被描述为用 Rust 编写的后门，它使用基于 Websocket 的 JSON 进行命令和控制 (C&C)。Spica 可用于执行任意 shell 命令、窃取 Web 浏览器 cookie、上传和下载文件、获取文件系统内容以及窃取文档。 该恶意软件是通过向目标发送看似加密的良性 PDF 来传播的。当受害者通知发件人 PDF 已加密时，他们会收到一个据称可用于解密文档的可执行文件，这个可执行文件会部署恶意软件。 诱饵文档 Spica 于 2023 年 9 月被 Google 发现，但 ColdRiver 可能至少从 2022 年 11 月起就开始使用它。该公司的研究人员只能获得该恶意软件的单个样本，他们认为该样本可能在 8 月份就被使用过。 谷歌研究人员表示：“我们认为 SPICA 后门可能有多个版本，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文档。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Yk0WmhcN5MhUvZNjTUEtuw? 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室专家分享了他们分析 iOS 设备的经验，该设备感染了以色列公司 NSO Group 的 Pegasus 恶意软件。已发现恶意软件在系统日志文件 Shutdown.log 中留下痕迹。开发的方法不仅可以帮助检测 Pegasus，还可以帮助检测其他恶意软件，例如 QuaDream 的 Reign 和 Cytrox 的 Predator ，它们在文件系统中使用类似的路径。 Shutdown.log 是 iOS 设备每次重新启动时创建的文本日志文件。它记录有关重新启动时正在运行的进程的信息、它们的标识符和文件系统中的路径。如果某些进程干扰正常重新启动，也会在日志文件中注明。卡巴斯基实验室专家注意到，恶意软件通常从“/private/var/db/”或“/private/var/tmp/”文件夹启动，这些路径可以在 Shutdown.log 中看到。 摘自 Shutdown.log 文件 为了获取日志文件，您需要生成一个 sysdiag 存档，其中包含各种系统日志和数据库。这可以在 iOS 设置中的“设置”>“隐私和安全”>“分析和改进”下完成。sysdiag 存档的大小约为 200-400 MB，可以传输到分析计算机。解压存档后，Shutdown.log 文件位于“\system_logs.logarchive\Extra”文件夹中。 卡巴斯基实验室创建了多个 Python3 脚本来帮助提取和分析 Shutdown.log 文件。使用这些脚本，您可以检测日志文件中的异常情况 – 运行恶意进程、重新启动延迟或文件系统中的异常路径。脚本还可以将日志文件转换为 CSV 格式、解码时间戳并生成分析摘要。 检测 Pegasus 恶意软件实例 专家强调，分析 Shutdown.log 文件并不是检测 iOS 设备上所有恶意软件的通用方法，这种方法取决于用户重新启动设备的频率。他们还在继续跨不同平台更详细地研究日志文件，并希望从其条目中创建更多启发式方法。 卡巴斯基实验室鼓励那些拥有有趣样本、可协助研究的用户通过 intelreports@kaspersky.com 联系该公司。研究人员声称 Shutdown.log 文件不包含任何个人信息，因此可以安全地提交进行分析。 请注意，GrapheneOS 开发团队之前曾提到过通过重新启动智能手机来对抗恶意软件，该团队为 Android 创建了同名操作系统，重点关注隐私和安全。专家建议在 Android 中引入自动重启功能，这将使固件漏洞的利用变得更加复杂。   转自安全客，原文链接：https://www.anquanke.com/post/id/292709 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，微软表示，一伙疑似由伊朗支持的威胁攻击者正在针对欧洲和美国研究机构和大学的高级雇员发起鱼叉式网络钓鱼攻击，并推送新的后门恶意软件。 据悉，这些威胁攻击者是臭名昭著的 APT35 伊朗网络间谍组织（又称 Charming Kitten 和 Phosphorus）的一个子组织，疑似与伊斯兰革命卫队（IRGC）有关联。这些威胁攻击者通过此前已经成功入侵的账户发送定制的、难以检测的钓鱼邮件。 微软方面强调，自 2023 年 11 月以来，微软持续观察到 APT 35 的子组织以比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士为目标，在这些攻击活动中，威胁攻击者使用了定制的网络钓鱼诱饵，试图通过社交工程让目标下载恶意文件。 少数情况下，微软还观察到了新的入侵后技术，包括使用名为 MediaPl 的新定制后门。 MediaPl 恶意软件使用加密通信渠道与其指挥控制（C2）服务器交换信息，并被设计为伪装成 Windows媒体播放器以逃避安全检测。MediaPl 与其 C2 服务器之间的通信使用 AES CBC 加密和 Base64 编码，在被入侵设备上发现的变种具有自动终止、暂时停止、重试 C2 通信以及使用  popen  函数执行 C2 命令的能力。 此外，名为 MischiefTut 的第二个基于 PowerShell 的后门恶意软件可帮助威胁攻击者投放额外的恶意工具并提供侦察能力，使其能够在被入侵的系统上运行任何命令，并输出发送到威胁攻击者控制的服务器上 APT35 攻击活动背后的攻击链（图源：微软） APT35 组织的子组织主要攻击高价值目标，并从被攻破的系统中窃取敏感数据，此前该组织的攻击目标主要是研究人员、教授、记者和其他了解与伊朗利益一致的安全和政策问题的个人。这些与情报界和政策界合作或有可能对情报界和政策界产生影响的个人，对于那些试图为赞助其活动的国家（如伊朗伊斯兰共和国）收集情报的对手来说，是极具吸引力的目标。 疑似多个和伊朗有关的 APT 组织异常活跃 2021 年 3 月至 2022 年 6 月间，APT35 组织在针对政府和医疗保健组织以及金融服务、工程、制造、技术、法律、电信和其他行业领域的公司的攻击活动中，利用以前未知的恶意软件，至少在 34 家公司中设置了后门。 伊朗黑客组织还在针对 macOS 系统的攻击中使用了前所未见的 NokNok 恶意软件，旨在收集、加密和外泄被入侵 Mac 的数据。 另一个被追踪为 APT33（又名 Refined Kitten 或 Holmium）的伊朗威胁组织自 2023 年 2 月以来在针对全球数千个组织的大范围密码喷射攻击中入侵了国防组织，最近还被发现试图利用新的 FalseFont 恶意软件入侵国防承包商。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389981.html 封面来源于网络，如有侵权请联系删除