麒麟勒索软件组织声称对全球最大的汽车零部件供应商之一延锋汽车内饰（延锋）的网络攻击负责。 延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商，在全球 240 个地点拥有超过 57,000 名员工。 该公司向通用汽车、大众集团、福特、Stellantis（菲亚特、克莱斯勒、吉普、道奇）、宝马、戴姆勒、丰田、本田、日产和上汽集团销售内饰零部件。该公司构成了这些汽车制造商供应链的重要组成部分。 本月早些时候，有 报道 称延锋汽车受到直接影响Stellantis的网络攻击，迫使该汽车公司停止其北美工厂的生产。 这家中国公司仍未回应有关此事的置评询问。然而，直到昨天它的主要网站才重新上线，但没有任何有关中断的声明。 Stellantis 告诉 BleepingComputer，由于外部供应商的“问题”，他们遭受了干扰。 Stellantis 在一份声明中表示：“由于外部供应商的问题，Stellantis 的一些北美组装工厂的生产在 11 月 13 日这一周中断。所有受影响工厂已于 11 月 16 日全面恢复生产。” 麒麟声称对这次袭击负责 昨天，又名“Agenda”的 Qilin 勒索软件组织声称对 Yanfeng 进行了攻击，并将其添加到其 Tor 数据泄露勒索网站中。 威胁行为者发布了多个样本，以证明他们涉嫌访问延锋系统和文件，包括财务文件、保密协议、报价文件、技术数据表和内部报告。 延锋被列入麒麟勒索门户网站 麒麟威胁要在未来几天内公布其掌握的所有数据，但没有设定具体的截止日期。 Qilin 勒索软件团伙于 2022 年 8 月底推出了名为“Agenda”的 RaaS（勒索软件即服务）平台。 2023 年，威胁行为者将他们的勒索软件重新命名为“Qilin”，他们今天使用的名称是“Qilin”。 麒麟勒索信 威胁行为者针对所有行业的公司，许多攻击都在流程终止和文件扩展名更改中进行定制，以最大限度地提高影响。 Group-IB 成功渗透了 Qilin 的运营，并于 2023 年 5 月发布了一份报告，分享其收集的情报，包括有关该团伙招募、管理面板功能和目标排除的详细信息。   转自安全客，原文链接https://www.anquanke.com/post/id/291533 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，七个国家的执法机构与欧洲刑警组织和欧洲司法组织共同发起了一次联合执法行动，成功在乌克兰境内逮捕了某勒索软件组织的核心成员。 据悉，这些网络犯罪分子使用 LockerGoga、MegaCortex、HIVE 和 Dharma 等勒索软件发动网络攻击活动，导致大量企业运营瘫痪。欧洲司法组织称，在入侵受害目标系统后，该组织会偷偷潜伏起来（潜伏时间有时长达数月）部署不同类型的勒索软件，如 LockerGoga、MegaCortex、HIVE 或 Dharma，此后会向受害者“发送”一则赎金通知，要求受害者支付比特币，以换取解密密钥。 从分析结果发现，威胁攻击者通过在暴力攻击和 SQL 注入攻击中窃取受害目标的用户凭证，以及使用带有恶意附件的网络钓鱼电子邮件访问目标网络，一旦成功进入，就会立刻使用 TrickBot 恶意软件、Cobalt Strike 和 PowerShell Empire 等工具横向移动并入侵到其他系统，然后再触发先前部署的勒索软件有效载荷。 截至案发前，该勒索软件团伙已经加密了大型企业的 250 多台服务器，造成的损失超过数亿欧元。值得一提的是，犯罪网络组织内分工十分明确，一些成员主要担任破坏受害目标 IT 网络的“重任”，一些成员主要“帮助”受害者支付加密货币，以解密被加密的文件。 乌克兰勒索软件团伙被捕 鉴于该团伙带来的破坏力，来自挪威、法国、德国和美国的 20 多名调查人员协助乌克兰国家警察在基辅开展调查。11 月 21 日，通过对基辅、切尔卡瑟、罗夫诺和文尼察 30 个地点的协同突袭，逮捕了该团伙 32 岁的主谋，并抓获了四名同伙。 欧洲刑警组织还在荷兰设立了一个虚拟指挥中心，以处理在入室搜查中缴获的数据。最终，乌克兰国家警察局网络警察表示，在 TOR 特别小组的支持下，执法人员在基辅地区以及切尔卡瑟、罗夫诺和文尼察地区对嫌疑人的住宅和汽车进行了 30 多次授权搜查，没收了大量的计算机设备、汽车、银行卡和 SIM 卡、’草稿’、数十种电子媒体和其他非法活动证据和加密货币资产。 值得注意的是，此次抓捕行动“继承了” 2021 年的某执法行动，当时警方拘留了12名嫌疑人，这些人大都来自同一勒索软件团伙的成员，该团伙与针对 71 个国家 1800 名受害者的攻击有关。正如两年前调查显示的结果一样，威胁攻击者部署了 LockerGoga、MegaCortex 和 Dharma 勒索软件，还在攻击中使用了Trickbot 等恶意软件和 Cobalt Strike 等工具。 欧洲刑警组织和挪威相关机构接下来的工作重点是是分析 2021 年在乌克兰查获的设备数据，以期帮助确定近期在基辅逮捕的其他嫌疑人的身份。 LockerGoga 和 MegaCortex 勒索软件免费解密程序 据悉，联合执法行动由法国当局于 2019 年 9 月发起，重点是在挪威、法国、英国和乌克兰组成的联合调查小组（JIT）的帮助下，在欧洲司法组织的财政支持下，与荷兰、德国、瑞士和美国当局合作，找到乌克兰境内的威胁攻击者并将其绳之以法。参与的执法机构名单如下： 挪威：国家刑事调查局（Kripos） 法国：巴黎检察官办公室、国家警察局（Police Nationale – OCLCTIC） 荷兰：国家警察局（Politie）、国家检察院（Landelijk Parket, Openbaar Ministerie） 乌克兰：总检察长办公室 (Офіс Генерального прокурора), 乌克兰国家警察局 (Національна поліція України) 德国：斯图加特检察官办公室、罗伊特林根警察总部（Polizeipräsidium Reutlingen）CID Esslingen 瑞士：瑞士联邦警察局（fedpol）、巴塞尔-兰茨查特警察局（Polizei Basel-Landschaft）、苏黎世州检察官办公室、苏黎世州警察局 美国：美国：美国特勤局 (USSS)、联邦调查局 (FBI) 欧洲刑警组织：欧洲网络犯罪中心 (EC3) 欧洲司法组织。 欧洲刑警组织指出，来自七个国家的执法和司法机构与欧洲刑警组织和欧洲司法组织联手，在乌克兰摧毁并逮捕了勒索软件攻击幕后的“元凶”。此外，通过法证分析，瑞士当局还与 No More Ransom 合作伙伴和 Bitdefender 合作开发了 LockerGoga 和 MegaCortex 勒索软件变种的解密工具。   转自Freebuf，原文链接https://www.freebuf.com/news/385165.html 封面来源于网络，如有侵权请联系删除

近日，Malwarebytes发现有一种专门针对Mac操作系统（OS）的数据窃取程序正通过伪造的网页浏览器更新程序进行分发。Malwarebytes称这与其通常的技术、战术和程序大不相同，该恶意软件可以模仿 Safari 和谷歌 Chrome 浏览器。 网络安全公司表示：AMOS现在正通过利用假冒的Safari与Chrome浏览器更新包来向用户电脑植入恶意软件，这种方法被称为ClearFake。这很可能是该恶意软件第一次主要的社交工程活动之一。该软件之前的活动仅针对 Windows系统，如今不仅在地理位置方面有所变化，在操作系统方面也开始进行了扩展。 用于诱骗 ClearFake 活动受害者的虚假 Safari 浏览器更新 此次事件已经并非是 AMOS 第一次出现在 Malwarebytes 的雷达上。早在今年 9 月，Malwarebytes 就检测到该恶意软件通过虚假广告传播，以诱骗受害者下载。 如果该恶意软件未来传播越来越广泛，将意味着网络上会出现更多的网络犯罪，而幕后的犯罪分子可能从这样的滚雪球效应中获取高额利益。 Malwarebytes表示：随着可利用的被攻击网站列表数量在不断增加，威胁行为者也能够接触到更多受众，从而更大程度地窃取到更多凭证和文件，这些凭证和文件可以立即变现，也可被重新用于其他攻击。 网络安全研究员Randy McEoin于今年 8 月首次发现并命名了 ClearFake 恶意软件活动，此后该活动经历了多次升级，因此 Malwarebytes 认为它是 “最普遍、最危险的社会工程计划之一”。 Malwarebytes 的报告中再次强调，MacOS 如今和 Windows 一样容易受到网络攻击。 Malwarebytes表示：”多年来，Windows用户一直在应对虚假浏览器更新的类似问题。不过目前威胁行为者还并未完全将这个问题扩展到MacOS上。类似AMOS这样的恶意软件，未来只需稍作调整，就能轻易地瞄准其他受害者。   转自Freebuf，原文链接：https://www.freebuf.com/news/384754.html 封面来源于网络，如有侵权请联系删除

黑客利用谷歌的动态搜索广告（DSAs）技术，诱导希望下载WinSCP等合法软件的用户安装恶意软件。DSAs技术能够根据网站内容自动生成广告，黑客利用这一特性提供恶意广告，将用户引导至一个遭受入侵的WordPress网站gameeweb[.]com，该网站会将用户重定向至攻击者控制的钓鱼网站。 这一复杂的多阶段攻击链的最终目标是诱使用户点击伪装成WinSCP官方网站的winccp[.]net，并下载恶意软件。 从gaweeweb[.]com网站到假冒的winsccp[.]net网站的流量取决于正确设置的引用头。如果引用头不正确，用户将被”Rickrolled”，并被重定向到臭名昭著的Rick Astley YouTube视频。 最终的恶意载荷以ZIP文件（”WinSCP_v.6.1.zip”）的形式存在，其中包含一个安装可执行文件。当该文件启动时，它会利用DLL侧载功能加载并执行存档中名为python311.dll的DLL文件。 该DLL文件会下载并执行一个合法的WinSCP安装程序，以维持欺诈行为，并在后台偷偷运行Python脚本（”slv.py”和”wo15.py”）以触发恶意行为。 此次恶意事件的攻击目标仅限于需要下载WinSCP软件的人。根据托管恶意软件的网站上使用的地理阻断功能显示，美国用户是此次攻击的主要受害者。 这并不是谷歌的动态搜索广告首次被滥用来传播恶意软件。上个月，Malwarebytes揭露了一起恶意事件，该事件涉及的网站通过向搜索PyCharm的用户提供指向黑客网站的链接，为部署窃取信息的恶意软件铺平了道路。 另外，Malwarebytes还揭示了2023年10月信用卡盗刷活动的上升趋势。据估计，该活动已入侵数百个电子商务网站，其目的是通过注入逼真的虚假支付页面来窃取财务信息。   转自E安全，原文链接：https://mp.weixin.qq.com/s/AEB5giyQcSkXn1ioOq7ZHg 封面来源于网络，如有侵权请联系删除

加拿大政府表示，其两名承包商遭到黑客攻击，泄露了属于数量不详的政府雇员的敏感信息。 这些违规行为发生在上个月，影响了 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services，这两家公司都是为加拿大政府雇员提供搬迁服务的提供商。 受影响的 BGRS 和 SIRVA 加拿大系统中存储的与政府相关的信息可以追溯到 1999 年，这些信息属于广泛的受影响个人，包括加拿大皇家骑警 (RCMP) 成员、加拿大武装部队人员和加拿大政府雇员。 虽然加拿大政府尚未确定该事件的来源，但 LockBit 勒索软件团伙已声称对破坏 SIRVA 系统负责，并泄露了他们声称包含 1.5TB 被盗文件的档案。 LockBit 还公开了与所谓的 SIRVA 代表谈判失败的内容。 “Sirva.com 表示，他们的所有信息仅值 100 万美元。我们有超过 1.5TB 的文件被泄露，以及分支机构（欧盟、北美和澳大利亚）的 3 个 CRM 完整备份，”该勒索软件组织在其暗网的一个条目中表示。数据泄露网站。 Sirva 在 LockBit 泄露网站上 10 月 19 日获悉承包商的安全漏洞后，政府立即向加拿大网络安全中心和隐私专员办公室等相关当局报告了该漏洞。 虽然对大量受损数据的分析仍在继续，但有关受影响个人的具体细节（包括受影响员工的数量）仍未确定。然而，初步评估表明，自 1999 年以来使用搬迁服务的人可能已经暴露了个人和财务信息。 周五发表的一份声明称：“加拿大政府不会等待这项分析的结果，而是正在采取积极主动的预防措施来支持那些可能受到影响的人。  ” “将向过去 24 年来随 BGRS 或 SIRVA Canada 搬迁的现任和前任公务员、加拿大皇家骑警和加拿大武装部队成员提供信用监控或重新签发可能已被泄露的有效护照等服务。 “有关将提供的服务以及如何访问这些服务的更多详细信息将尽快提供。” 我们敦促可能受此数据泄露影响的个人采取预防措施，包括更新登录凭据、启用多因素身份验证以及监控在线财务和个人帐户是否存在异常活动。 那些怀疑其账户遭到未经授权的访问的人还必须立即联系其金融机构、当地执法部门和加拿大反欺诈中心 (CAFC)。     转自安全客，原文链接：https://www.anquanke.com/post/id/291424 封面来源于网络，如有侵权请联系删除

近半年来，一个未知的威胁行为者一直在向Python包索引（PyPI）资源库发布typosquat包，其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。 Checkmarx 在一份新报告中说，这 27 个软件包伪装成流行的合法 Python 库，吸引了数千次下载。大部分下载来自美国、中国、法国、香港、德国、俄罗斯、爱尔兰、新加坡、英国和日本。 该软件供应链安全公司说：这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中，增加了攻击的隐蔽性。 这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一个软件包于 2023 年 5 月 13 日被植入。 这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包（即 pystob 和 pywool）的引用，这些软件包部署了一个 Visual Basic 脚本（VBScript），以便下载和执行一个名为 “Runtime.exe “的文件，从而实现在主机上的持久化。 二进制文件中嵌入了一个编译文件，能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。 Checkmarx 观察到的另一种攻击链将可执行代码隐藏在 PNG 图像（”uwu.png”）中，随后解码并运行该图像，以提取受影响系统的公共 IP 地址和通用唯一标识符（UUID）。 特别是 Pystob 和 Pywool，它们打着 API 管理工具的幌子发布，只是为了将数据外泄到 Discord webhook，并试图通过将 VBS 文件放置在 Windows 启动文件夹中来保持持久性。 Checkmarx表示：这一活动再次提醒我们，当今的数字环境中存在着无处不在的威胁，尤其是在以协作和开放代码交换为基础的领域。 针对软件供应链的持续攻击浪潮也促使美国政府在本月发布了新的指南，要求软件开发商和供应商维护软件安全并提高安全意识。 网络安全和基础设施安全局（CISA）、国家安全局（NSA）和国家情报局局长办公室（ODNI）表示：鉴于近期备受关注的软件供应链事件，建议采购组织在其采购决策中指定供应链风险评估。 软件开发商和供应商应改进其软件开发流程，不仅要降低对员工和股东的伤害风险，还要降低对用户的伤害风险。   转自Freebuf，原文链接：https://www.freebuf.com/articles/384308.html 封面来源于网络，如有侵权请联系删除

Resecurity, Inc.（美国）保护全球主要财富 100 强和政府机构，发现针对能源行业（包括核设施和相关研究实体）的勒索软件运营商数量惊人增加。去年，勒索软件攻击者瞄准了北美、亚洲和欧盟的能源设施。据《商报》报道，在欧盟，2022 年针对能源行业的勒索软件攻击比前一年增加了一倍多，截至 10 月份防御者记录了 21 起攻击。 Resecurity 的研究深入探讨了美国国土安全部在最近发布的情报企业国土威胁评估中引用的独特勒索软件趋势。根据国土安全部的报告，“2020 年 1 月至 2022 年 12 月期间，美国已知的勒索软件攻击数量增加了 47%”。该机构还指出，“勒索软件攻击者在 2023 年上半年在全球勒索了至少 4.491 亿美元，预计将迎来第二个最赚钱的年份。” 针对能源部门和关键基础设施的勒索软件攻击不断升级，这是一个不容忽视的趋势。随着BlackCat/ALPHV、Medusa 和 LockBit 3.0 等至少十几个复杂组织加强对这些高风险目标的关注，威胁形势变得越来越危险。这些威胁行为者并不是孤立行动的；它们得到了由地下接入经纪人和工具开发商组成的蓬勃发展的生态系统的支持，这些经纪人和工具开发商为渗透和利用关键基础设施中的这些基本系统提供了必要的杠杆作用。 这些团体和个人行为者之间的合作清楚地表明了能源行业的战略重要性，该行业被视为高价值数据的金矿，在某些情况下最高支付的赎金超过 5,000,000 美元。Resecurity 发现了多起针对核运营商的袭击事件，这是国家安全主要关注的领域。 展望 2024 年，Resecurity 分析师预计，有针对性的网络威胁将显着增长，特别是勒索软件组织越来越优先考虑能源行业及其供应链内的高价值目标。 报告“针对能源行业的勒索软件攻击呈上升趋势——核能、石油和天然气是 2024 年的主要目标”中有证据表明核能公司正在成为勒索团体的优先目标。     转自安全客，原文链接：https://www.anquanke.com/post/id/291368 封面来源于网络，如有侵权请联系删除

Ducktail 窃取恶意软件背后的越南威胁行为者与 2023 年 3 月至 10 月初开展的一项新活动有关，该活动针对印度的营销专业人士，旨在劫持 Facebook 企业帐户。 卡巴斯基在上周发布的一份报告中表示，“它与众不同的一个重要特点是，与之前依赖 .NET 应用程序的活动不同，这次活动使用 Delphi 作为编程语言。” Ducktail与Duckport和NodeStealer一样，都是在越南运营的网络犯罪生态系统的一部分，攻击者主要使用 Facebook 上的赞助广告来传播恶意广告并部署能够掠夺受害者登录 cookie 并最终控制其帐户的恶意软件。 此类攻击主要针对可能有权访问 Facebook Business 帐户的用户。然后，欺诈者利用未经授权的访问来投放广告以获取经济利益，从而进一步加剧感染。 在俄罗斯网络安全公司记录的活动中，寻求职业转变的潜在目标会收到包含恶意可执行文件的存档文件，该恶意可执行文件伪装成 PDF 图标，以诱骗他们启动二进制文件。 这样做会导致恶意文件将名为 param.ps1 的 PowerShell 脚本和一个诱饵 PDF 文档本地保存到 Windows 中的“C:\Users\Public”文件夹中。 卡巴斯基表示：“该脚本使用设备上的默认 PDF 查看器打开诱饵，暂停五分钟，然后终止 Chrome 浏览器进程。” 父可执行文件还会下载并启动名为 libEGL.dll 的恶意库，该库会扫描“C:\ProgramData\Microsoft\Windows\Start Menu\Programs”和“C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned” \TaskBar\” 文件夹，用于存放基于 Chromium 的 Web 浏览器的任何快捷方式（即 LNK 文件）。 下一阶段需要通过添加“ –load-extension ”命令行开关后缀来更改浏览器的 LNK 快捷方式文件，以启动一个恶意扩展程序，该扩展程序伪装成合法的Google Docs Offline 附加组件以在雷达下运行。 该扩展程序旨在将所有打开的选项卡的信息发送到在越南注册的由攻击者控制的服务器，并劫持 Facebook 企业帐户。 谷歌起诉诈骗者使用巴德诱饵传播恶意软件 这些发现凸显了 Ducktail 攻击技术的战略转变，与此同时，谷歌对印度和越南的三名身份不明的个人提起诉讼，指控他们利用公众对 Bard 等生成式 AI 工具的兴趣，通过 Facebook 传播恶意软件并窃取社交媒体登录凭据。 该公司在诉状中称，“被告通过社交媒体帖子、广告（即赞助 帖子）和页面分发其恶意软件的链接，每个页面都声称提供 Bard 或其他 Google AI 产品的可下载版本。” “当登录社交媒体帐户的用户点击被告广告或其页面上显示的链接时，这些链接会重定向到外部网站，从该网站将 RAR 存档（一种文件类型）下载到用户的计算机上。” 存档文件包括一个安装程序文件，该文件能够安装擅长窃取受害者社交媒体帐户的浏览器扩展。 今年 5 月初，Meta 表示，它观察到威胁行为者在官方网络商店中创建了欺骗性浏览器扩展，这些扩展声称提供 ChatGPT 相关工具，并且它检测到并阻止了 1,000 多个唯一 URL 在其服务中共享。     转自安全客，原文链接：https://www.anquanke.com/post/id/291370 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员警告称，此前曾在针对以色列的网络攻击中观察到针对 Linux 系统的 Windows 版本擦除恶意软件。 该擦拭器被黑莓称为BiBi-Windows Wiper ，是BiBi-Linux Wiper的 Windows 版本，上个月以色列与哈马斯战争后，亲哈马斯的黑客组织开始使用 BiBi-Linux Wiper。 这家加拿大公司上周五表示：“Windows变体证实创建擦除器的威胁行为者正在继续构建恶意软件，并表明攻击范围已扩大到目标最终用户计算机和应用程序服务器。” 斯洛伐克网络安全公司正在追踪名为 BiBiGun 的雨刷器背后的攻击者，并指出 Windows 变体 (bibi.exe) 旨在用垃圾数据递归地覆盖 C:\Users 目录中的数据，并将 .BiBi 附加到文件名中。 BiBi-Windows Wiper 据说是在2023年10月21日，即战争爆发两周后编译的。目前尚不清楚其分发的确切方法。 除了损坏除 .exe、.dll 和 .sys 扩展名之外的所有文件外，擦除器还会从系统中删除卷影副本，从而有效防止受害者恢复其文件。 与其 Linux 变体的另一个显着相似之处是其多线程功能。 黑莓网络威胁情报高级总监 Dmitry Bestuzhev表示：“为了尽可能最快地采取破坏行动，该恶意软件运行12个线程和8个处理器内核。” 目前尚不清楚该擦除器是否已部署在现实世界的攻击中，如果是，目标是谁。 最早记录 BiBi-Linux Wiper 的 Security Joes表示，该恶意软件是“针对以色列公司的更大规模活动的一部分，旨在通过数据破坏来故意扰乱他们的日常运营”。 这家网络安全公司表示，它发现了自称 Karma 的黑客组织与另一名代号为Moses Staff（又名 Cobalt Sapling）的出于地缘政治动机的组织之间的战术重叠，该组织被怀疑源自伊朗。 安全乔斯说：“尽管到目前为止，该活动主要集中在以色列 IT 和政府部门，但一些参与团体，例如 Moses Staff，有同时针对不同业务部门和地理位置的组织的历史。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/G1XQv8MjJwUl_nkQhGhGmg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。 据悉，Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc，疑似与伊朗武装部队分支伊斯兰革命卫队（IRGC）关联密切，至少自 2017 年以来持续活跃，多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织，发动网络攻击。 网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动，并根据基础设施与过去攻击活动的重叠情况、观察到的战术、技术和程序 (TTP)、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵，进行了归因分析。 Imperial Kitten 攻击 近期，研究人员在发布的一份报告中指出，Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动。在邮件中使用了 “招聘 “主题，并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档，其中的恶意宏代码会提取两个批处理文件，通过修改注册表创建持久性，并运行 Python 有效载荷进行反向 shell 访问。 然后，网络攻击者就可以使用 PAExec 等工具在网络上横向移动，远程执行进程，并使用 NetScan 进行网络侦察。 此外，网络攻击这还使用 ProcDump 从系统内存中获取凭证。（指挥和控制（C2）服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的，两者都依赖电子邮件来交换信息。）研究人员表示，StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在，并执行从 C2 接收的base64 编码命令。 CrowdStrike 向 BleepingComputer 证实，2023 年 10 月，主要攻击目标是以色列境内的实体组织。 Imperial Kitten 此多次发起网络攻击活动 值得一提的是，此前的网络攻击活动中，Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站，非法“收集”访问者的信息（如浏览器数据和 IP 地址），对潜在目标进行剖析。 普华永道的威胁情报团队指出，这些活动发生在 2022 年至 2023 年之间，威胁攻击者的目标是海事、航运和物流行业，其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件。Crowdstrike 还发现威胁攻击者直接入侵网络，利用公共漏洞代码，使用窃取的 VPN 凭据，执行 SQL 注入，或通过向目标组织发送钓鱼电子邮件。       转自Freebuf，原文链接：https://www.freebuf.com/news/383615.html 封面来源于网络，如有侵权请联系删除