现如今，越来越多的人选择在线购买商品。不仅因为它方便，商品会直接送到你家门口，而且有的购物网站价格还相对便宜。但可悲的是，骗子们滥用了这个机会，为了自身利益瞄准用户进行欺诈。而网络欺诈者们主要通过创建虚假的商品列表进行诈骗，一旦用户进行支付，他们则消失得无影无踪。 最近，我们发现了一个工具包的源代码，这个工具包为骗子们提供了很大的帮助。骗子们无需精通技术，只需说服受害者即可。这个工具包的实现主要依靠一个Telegram机器人，当激活时，它以可点击按钮的形式提供几个易于导航的菜单，骗子们可以同时进行操作。本文我们将重点分析这个工具包的特性和功能，以及使用它的群体结构。我们将这个工具包命名为Telekopye。 本文是系列文章中第一部分，在这里我们将更详细地了解Telekopye，并展示一些对骗子们非常有帮助的关键功能。在第二部分中，我们将更多地关注群组操作。 概要 Telekopye取自于Telegram和kopye，kopye是俄语中“长矛”的意思，选用的原因是因为这种欺诈活动使用了网络钓鱼手法，欺诈中，受害者被骗子戏称为 Mammoths（猛犸象）（见图1），为了更好的理解其中的含义，我们沿用相同的逻辑，将称使用Telekopye进行欺诈的骗子为Neanderthals。 Telekopye被多次上传到 VirusTotal，其用户主要来自俄罗斯、乌克兰和乌兹别克斯坦，这些地区通常是Neanderthals活动最活跃的地方，可以根据代码中的评论和目标市场进行判断。尽管Neanderthals的主要目标是俄罗斯（如OLX和YULA），但在实际操作过程中，俄罗斯以外的市场（如BlaBlaCar或eBay）也没能幸免。为了说明这些市场有多么庞大，根据《财富》杂志的数据，2014年OLX平台每月有110亿次页面浏览量和850万次交易量。 我们收集了几个迭代版本的Telekopye，所有版本都可用于创建钓鱼网页，发送钓鱼邮件和短信。此外，一些版本的Telekopye可以将受害者数据（通信地址或电子邮件地址）存储在运行该机器人的磁盘上。Telekopye非常通用，但不具有聊天机器人的AI功能。因此，它实际上并不执行漏洞，只是简化了用于此类骗局的内容生成过程。2023年7月，我们检测到符合Telekopye操作者模式的新域名，因此他们仍然活跃。我们所能收集到的最新版本的Telekopye是2022年4月11日的。因此可以评估，Telekopye至少从2015年开始使用，根据Neanderthals之间的对话片段，可以推测黑客团体们仍在使用它。 Telekopye 功能 Telekopye具有多种不同的功能， Neanderthals可以充分利用这些功能。其中包括发送钓鱼邮件、生成钓鱼网页、发送短信、创建QR码和创建钓鱼截图。在接下来的部分，我们将重点介绍对Neanderthals来说最有用的Telekopye的部分。 连接 每个使用Telekopye的Telegram群组都由一个或多个同时独立操作的Neanderthals组成。功能主要通过按钮提供，而这很可能是为了让Neanderthals更容易进行诈骗活动。 本文显示了Telekopye在一个正在运作的Telegram群组中的一个菜单。特别值得注意的是“我的广告”按钮，显示每个Neanderthals所打开的列表（进行中的诈骗广告），以及“我的资料”按钮，允许Neanderthals查看他们在该平台上的个人资料信息，如诈骗的数量，准备下次支付的金额等。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3023/ 消息来源：welivesecurity，译者：知道创宇404实验室翻译组； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

拥有百年历史的蒙特利尔市电力服务委员会遭到LockBit勒索软件攻击，官方拒绝支付赎金，选择重建IT基础设施。 LockBit勒索软件团伙持续占据头条新闻，他们对关键组织、政府和企业发动了一系列攻击，引发了网络安全专家的担忧。 周三（30日），该团伙声称对加拿大蒙特利尔市电力服务委员会（CSEM）发动了攻击。这是一家拥有百年历史的市政组织，负责管理蒙特利尔市的电力基础设施。 CSEM在周二确认了攻击事件，并在一份声明中写道，他们于8月3日遭受勒索软件攻击，但拒绝支付赎金。他们正在努力恢复系统，并联系了加拿大国家当局和魁北克省执法部门，并已重建信息技术基础设施。 CSEM表示：“今天，制造此案件的犯罪团伙公开了一些被窃数据。我们谴责这种非法行为，同时指出被披露的数据对公众安全和CSEM运营带来的安全风险都很低。” “需要指出，CSEM所有项目都有公开文件可查。也就是说，人们可以从魁北克省官方流程办公室获取所有工程、施工、管理计划。” LockBit在周三威胁要泄露数据，这正是他们宣布对攻击负责的同一天。 LockBit团伙动作频频，内部或发生变化 过去一周，LockBit团伙颇为高调，发起了很多攻击事件，反复登上新闻。CSEM事件为这一周画上了句号。该团伙发动的攻击数量远远超过其他所有勒索软件团伙。 上周五，西班牙国家警察警告称，LockBit攻击团伙正在向建筑公司发送一系列高度复杂的网络钓鱼邮件。 这些电子邮件自称来自一家摄影公司，要求为建筑物拍照制定预算。在邮件往来后，假公司会发送一份照片拍摄计划文档。一经下载，受害者设备将遭到加密。 这只是LockBit对欧洲目标发动的多样化攻击行动的一小部分。其他攻击目标有法国法兰西岛自然区域管理机构以及意大利国立卡波迪蒙特博物馆。 该团伙的攻击速度十分惊人。但是，网络安全厂商Analyst1首席安全专家Jon DiMaggio发布研究报告，对这个网络犯罪团伙的运作能力产生疑问。 Analyst1针对LockBit团伙进行了一系列研究，DiMaggio表示，LockBit领导层在8月的前两周内消失了，一度失联，直到8月13日才重新出现。 DiMaggio表示，由于后端基础设施和可用带宽出现问题，该团伙在发布攻击期间窃取的数据时遇到了困难。他说，LockBit的惯用手段是，利用他们是目前攻击频率最高的勒索软件团伙这一恶名，迫使受害者支付赎金。 DiMaggio报告发布后，卡巴斯基在本周也发布了一份报告，表示LockBit 3.0勒索软件生成器流出后，黑客滥用这一工具生成新变种。卡巴斯基发现了396个基于LockBit代码的不同样本。     转自安全内参，原文链接:https://www.secrss.com/articles/58380 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个基于.NET的开源信息窃取恶意软件SapphireStealer，已被多个实体用来增强其能力并产生自己的定制变体。 思科Talos研究员Edmund Brumaghin在与The Hacker News分享的一份报告中表示:“像SapphireStealer这样窃取信息的恶意软件可以用来获取敏感信息，包括公司凭据。这些信息经常被转售给其他威胁行为者，他们利用这些访问权进行额外的攻击，包括与间谍活动或勒索软件/勒索有关的行动。” 随着时间的推移，一个允许经济动机和国家行为者使用恶意软件提供商提供的服务来实施各种攻击的完整生态系统已经发展起来了。 从这个角度来看，这种恶意软件不仅代表了网络犯罪即服务(CaaS)模式的演变，而且还为其他威胁行为者提供了将被盗数据货币化的机会。这让他们能够分发勒索软件，进行数据盗窃和其他恶意网络活动。 SapphireStealer与暗网上越来越多的其他窃取恶意软件很像，它具备收集主机信息、浏览器数据、文件、截图的功能，并通过简单邮件传输协议(SMTP)以ZIP文件的形式泄露数据。 它的源代码在2022年12月下旬免费发布，这使得不法分子能够试验恶意软件，并使其隐蔽。这包括使用Discord webhook或Telegram API达到数据泄露的目的。 Brumaghin说:“这种威胁的多种变体已经在野外存在，且随着时间的推移，攻击者将提高其效率和有效性。” 恶意软件作者还公开了一个.NET恶意软件下载程序，代号为fd – loader，这使得从攻击者控制的分发服务器检索额外的二进制有效负载成为可能。 Talos表示，它检测到恶意软件下载程序被用于提供远程管理工具，如DCRat、jnrat、DarkComet和Agent Tesla。 一个多星期前，Zscaler分享了另一个名为Agniane Stealer的窃取恶意软件的细节，该恶意软件能够从浏览器、Telegram、Discord和文件传输工具中窃取凭证、系统信息、会话细节，以及来自70多个加密货币扩展和10个钱包的数据。 它在几个暗网论坛和Telegram频道上以每月50美元的价格出售(没有终身许可证)。 安全研究员Mallikarjun Piddannavar说:“开发Agniane Stealer的黑客利用包装程序来维护和定期更新恶意软件的各种功能。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 自2023年6月下旬以来，一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户，远程控制设备并进行金融欺诈。 该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容，还可以通过各种技术远程控制受害者设备，使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。 MMRat的与众不同之处在于，它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议，可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。 根据网络钓鱼页面中使用的语言，该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。 MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点，目前尚不清楚受害者是如何被引导到这些链接的。 这款应用严重依赖Android辅助服务和MediaProjection API，而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。 紧接着，它会进一步设置持久性，以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令，并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。 MMRat具有收集广泛的设备数据和个人信息的能力，包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑，在进入下一阶段之前，攻击者会利用这些细节来进行某种形式的受害者侧写。 攻击结束后，MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后，可以有效地从设备中删除所有感染痕迹。 为了减轻这种强大的恶意软件带来的威胁，建议用户只从官方来源下载应用程序，仔细审查应用程序评论，并在使用前检查应用程序请求访问权限。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日有研究人员发现，MMRat新型安卓银行恶意软件利用protobuf 数据序列化这种罕见的通信方法入侵设备窃取数据。 趋势科技最早是在2023年6月底首次发现了MMRat，它主要针对东南亚用户，在VirusTotal等反病毒扫描服务中一直未被发现。 虽然研究人员并不知道该恶意软件最初是如何向受害者推广的，但他们发现 MMRat 目前是通过伪装成官方应用程序商店的网站进行传播的。 这些应用程序通常会模仿政府官方应用程序或约会应用程序，待受害者下载时会自动安装携带 MMRat 的恶意应用程序，并在安装过程中授予权限，如访问安卓的辅助功能服务等。 恶意软件会自动滥用辅助功能，为自己授予额外权限，从而在受感染设备上执行大量恶意操作。 MMRat 的功能 一旦 MMRat 感染了安卓设备，它就会与 C2 服务器建立通信渠道，并监控设备活动以发现设备空闲时间。在此期间，威胁行为者会滥用可访问性服务远程唤醒设备、解锁屏幕并实时进行银行欺诈。 MMRat 的主要功能可归纳为以下几点： 收集网络、屏幕和电池信息 窃取用户的联系人列表和已安装的应用程序列表 通过键盘记录获取用户输入信息 通过滥用 MediaProjection API 从设备上捕获实时屏幕内容 记录和实时串流摄像头数据 以文本转储形式记录和转储屏幕数据，并将其外泄到 C2 从设备上卸载，清除所有感染证据 恶意软件支持的所有命令，图源：趋势科技 MMRat 能够捕捉实时屏幕内容，甚至还能通过更初级的 “用户终端状态 “方法提取需要重构的文本数据，这都要求高效的数据传输。 如果没有这样的效率，其性能将阻碍威胁行为者有效实施银行欺诈，这也是 MMRat 的作者选择开发用于数据外渗的定制 Protobuf 协议的原因。 MMRat攻击链，图源：趋势科技 Protobuf的优势 MMRat 使用基于协议缓冲区（Protobuf）的独特命令与控制（C2）服务器协议来实现高效数据传输，这在安卓木马中并不多见。 Protobuf 是谷歌开发的一种结构化数据序列化方法，类似于 XML 和 JSON，但体积更小、速度更快。 MMRat 使用不同的端口和协议与 C2 交换数据，如 8080 端口的 HTTP 用于数据渗出，RTSP 和 8554 端口用于视频流，8887 端口的自定义 Protobuf 用于命令和控制。 趋势科技的报告指出：C&C协议尤其独特，因为它是基于Netty和上文提到的Protobuf定制的，具有精心设计的消息结构。 对于 C&C 通信，威胁行为者使用一个总体结构来表示所有消息类型，并使用 “oneof “关键字来表示不同的数据类型”。 Protobuf模式，图源：趋势科技 除了 Protobuf 的高效性，定制协议还能帮助威胁行为者躲避网络安全工具的检测，这些工具会寻找已知异常的共同模式。 Protobuf的灵活性允许MMRat的作者定义他们的信息结构，并组织数据的传输方式。同时，Protobuf 的结构化特性还能确保发送的数据符合预定义的模式，从而降低在接收端被破坏的可能性。 MMRat凸显出了安卓银行木马不断发展的复杂性，它巧妙地将隐蔽性与高效数据提取融为一体。 因此，安卓用户最好全部在Google Play里下载应用 ，查看用户评论，并只选择信誉良好的软件发行商。此外，在安装应用程序阶段被要求授予访问权限时须保持谨慎。     转自Freebuf，原文链接:https://www.freebuf.com/news/376569.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，新版 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中一个严重远程代码执行漏洞感染设备，漏洞被追踪为 CVE-2023-33246，主要影响 RocketMQ 5.1.0 及以上版本。 据悉，Juniper Threat Labs 安全研究人员发现利用 CVE-2023-33246 漏洞进行 DreamBus 攻击的安全事件，并报告称该攻击在 2023 年 6 月中旬开始激增。 攻击者利用未打补丁的服务器 Juniper Threat Labs 报告称 2023 年 6 月初，第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻击主要针对 RocketMQ 默认 10911 端口以及其他七个端口。 攻击数量时间表（Juniper Threat Labs） 研究人员发现网络攻击者使用 “interactsh “开源侦察工具确定互联网服务器上运行的软件版本，并推断出潜在的可利用漏洞。此外，研究人员还观察到威胁攻击者从 Tor 代理服务下载一个名为 “reketed “的恶意 bash 脚本（该混淆脚本是从 Tor 网站获取的 DreamBus 主模块（ELF 文件）的下载和安装程序，在执行后会被删除，以尽量减少被检测到的机会，可以躲过了 VirusTotal 上反病毒引擎的检测）。 从 Tor 获取有效载荷 DreamBus 主模块采用定制的 UPX 包装，因此能通过所有 VirusTotal AV 扫描而不被发现，该模块有几个 base64 编码的脚本，可执行包括下载恶意软件的附加模块等不同的功能。主模块对这些字符串进行解码以执行任务，例如向 C2 发送在线状态信号、下载 XMRig 开源 Monero 矿机、执行其他 bash 脚本或下载新的恶意软件版本。 XMRig 配置（Juniper Threat Labs） DreamBus 通过设置一个系统服务和一个 cron 作业（两者都设置为每小时执行一次）来确保其在受感染系统上保持持续活跃。 值得一提的是，该恶意软件还包含使用 ansible、knife、salt 和 pssh 等工具的横向传播机制，以及一个能够扫描外部和内部 IP 范围以发现漏洞的扫描仪模块。 DreamBus 的传播模块（Juniper Threat Labs） 研究人员透露，DreamBus 恶意网络活动的主要目标似乎是挖掘门罗币，不过其模块化特性允许网络攻击者随时在未来更新中轻松扩展其它功能。再考虑到 RocketMQ 服务器用于通信，网络攻击者理论上可以决定窃取被入侵设备管理的敏感对话数据，这样的话可能比在被劫持的资源上进行加密货币挖矿具有更大的货币化潜力。 据了解，早期版本的 DreamBus 恶意软件还针对 Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack，因此建议管理员对所有软件产品进行良好的补丁管理，以应对这一网络威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/376570.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据IT安全公司ReliaQuest的威胁研究人员研究，QakBot、SocGholish和Raspberry Robin这三种恶意软件加载程序在80%的攻击事件中造成了严重破坏。 恶意软件加载程序被用作交付和执行其他形式的恶意软件的载体，例如勒索软件、病毒、特洛伊木马或蠕虫。它们是攻击者在初始网络攻击阶段投放有效载荷（payloads）的最常见工具之一。 ReliaQuest的研究人员观察了消费者环境中最常见的变种，发现自今年年初以来，仅三个恶意软件加载程序就占了大部分事件的份额。 恶意软件加载器对网络安全团队来说很棘手，因为即使加载的恶意软件相同，对一个加载器的防御可能对另一个加载器不起作用。 “仅检测到恶意软件加载程序，并不意味着目标网络受到了损害。我们观察到的大多数情况下，恶意软件加载程序在杀伤链的早期都会被检测到并停止，但加载器引起的任何系统瘫痪威胁都不容忽视，尤其是三种最受欢迎的加载器。”研究人员写道。然而，我们对主要罪犯QakBot (QBot, QuackBot, Pinkslipbot)、SocGholish和Raspberry Robin真的了解吗? QakBot瞬息万变 QakBot与Black Basta勒索软件组织有关，最初是作为银行木马设计的，升级了新的功能后便成为了一种通用的恶意软件。 QakBot不仅用于对目标网络的初始访问，还提供远程访问有效载荷、窃取敏感数据，并帮助黑客进行横向移动和远程代码执行。 通常，QakBot是通过网络钓鱼电子邮件发送的。这些电子邮件为收件人提供量身定制的诱饵，如工作订单、紧急请求、发票、文件附件、超链接等。有效载荷以PDF、HTML或OneNote文件的形式下载。 研究人员解释说:“QakBot会使用WSF、JavaScript、Batch、HTA或LNK文件，通过此类文件在执行计划任务或注册表运行键从而建立持久性。” QakBot的经营者足智多谋，能够迅速做出反应或改变他们的部署策略。这种恶意软件是一种不断发展和持续的威胁，可以灵活的针对任何行业或地区。 通过SocGholish，一个用户得以影响整个系统 SocGholish，也被称为FakeUpdates，是一种伪装成合法的软件更新的程序。这个JavaScript恶意软件加载程序的目标是基于微软Windows环境的系统，并通过驱动式妥协(下载无需用户交互)交付。 ReliaQuest写道:“访问受感染网站的访问者被诱骗下载‘更新’，他们通常是通过过时浏览器的提示或其他针对Microsoft Teams和Adobe Flash的诱饵看到更新提示的。” SocGholish与总部位于俄罗斯、以经济驱动的网络犯罪集团“Evil Corp”有关。他们典型的主要目标是位于美国的住宿和食品服务商、零售贸易和法律服务行业。 该软件还与初始访问代理公司Exotic Lily有联系。Exotic Lily公司通过高度复杂的网络钓鱼活动获得初始访问权限，并将权限出售给勒索软件组织或其他攻击者。 SocGholish运营商会使用令人信服的社会工程策略，让人们放下戒备心。 “它庞大的恶意软件分发网络会运行在受感染的网站和社会工程上，”研究人员警告说:“仅仅四次用户点击就能在几天内影响整个领域或计算机系统网络。” Raspberry Robin是个多面手 树莓罗宾(Raspberry Robin)是一种非常难以捉摸的蠕虫加载程序，针对微软Windows环境，与各种能力很强的恶意组织(包括Evil Corp和Silence (Whisper Spider))有联系。 它的传播能力异常强大，恶意USB设备完成初始感染后，cmd.exe便会在受感染的USB上运行并执行LNK文件。LNK文件包含触发本地Windows进程的命令，例如msiexec.exe，以启动一个出站连接来下载Raspberry Robin DLL。 除了Cobalt Strike工具外，Raspberry Robin还被用于传递多种勒索软件和其他恶意软件变体，如“Cl0p”“LockBit”“TrueBot”和“Flawed Grace”。 2023年，Raspberry Robin运营商的目标是金融机构、电信、政府和制造组织。 研究人员解释说:“Raspberry Robin是黑客武器库中非常有用的补充，有助于开辟一个初始网络立足点，并提供多种形式的有效载荷。” 如何防御恶意软件加载程序? 有几个步骤可以帮助最小化来自恶意软件加载程序的威胁。以下是ReliaQuest的建议: 配置GPO(组策略对象)以将JS文件的默认执行引擎从Wscript更改为Notepad，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。 阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。 通过防火墙或代理配置，限制公司资产与互联网的任意连接，以最大限度地减少恶意软件和C2活动。 限制远程访问软件的使用（除非个人工作绝对需要）或者加强监控以发现误用。网络犯罪分子—尤其是IAB和勒索软件运营商——喜欢使用这种软件来获取和维持对网络的访问权限。 禁用ISO挂载。ISO是一种越来越可靠的绕过防病毒或端点检测工具的方式。 实现USB访问控制和 GPO，以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。 培训员工识别网络上使用的社会工程策略，并为他们提供适当的渠道来报告可疑的电子邮件或其他活动。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 去年LockBit 3.0勒索软件构建器的泄漏导致威胁行为者滥用该工具来生成新的变体。 俄罗斯网络安全公司卡巴斯基(Kaspersky)表示，它检测到一次部署了一类LockBit版本的勒索软件的入侵，但索要赎金的程序明显与之前不同。 安全研究人员Eduardo Ovalle和Francesco Figurelli说:“该事件背后的攻击者决定使用不同的勒索信。信的标题与一个从前不为人知的组织有关，名为‘NATIONAL HAZARD AGENCY’。” 新版本的勒索信直接指定了获得解密密钥需要支付的金额，并将通信定向到Tox服务和电子邮件。这与LockBit组织的行为不同，后者没有提到金额，而是使用自己的通信和协商平台。 NATIONAL HAZARD AGENCY并不是唯一使用泄露的LockBit 3.0构建器的网络犯罪团伙。已知利用它的其他组织包括Bl00dy和Buhti。 卡巴斯基指出，它在遥测中共检测到396个不同的LockBit样本，其中312个工件是使用泄露的构建器创建的。多达77个样本在勒索信中没有提到“LockBit”。 研究人员说:“许多检测到的参数与构建器的默认配置相对应，只有一些包含微小的变化。这表明，这些样本可能是出于紧急需求而开发的，也可能是由懒惰的人开发的。” 这一披露是在Netenrich深入研究一种名为ADHUBLLKA的勒索软件毒株之际发布的。该病毒自2019年以来多次更名(BIT、LOLKEK、OBZ、U2K和TZW)，同时针对个人和小企业，以换取每位受害者800至1600美元的小额赔偿。 尽管每次迭代都会对加密方案、赎金笔记和通信方法进行轻微修改，但仔细检查就会发现，由于源代码和基础架构的相似性，它们都与ADHUBLLKA有关。 安全研究员Rakesh Krishnan说:“当一个勒索软件在野外应用成功时，网络犯罪分子通常会使用相同的勒索软件样本—稍微调整一下他们的代码库—来试验其他项目。” “例如，他们可能会更改加密方案、赎金笔记或指挥与控制(C2)通信通道，然后将自己重新命名为‘新的’勒索软件。” 勒索软件仍然是一个积极发展的生态系统，见证了黑客策略的频繁变化。恶意软件越来越多地关注Linux环境，使用Trigona, Monti和Akira等家族。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Secureworks的研究人员发现，Smoke Loader 僵尸网络背后的网络犯罪分子正在使用一种名为 Whiffy Recon 的新恶意软件，通过 WiFi 扫描和 Google 地理定位 API 来定位受感染设备的位置。 Google 的地理定位 API 是一项带有 WiFi 接入点信息的 HTTPS 请求，能返回纬度和经度坐标以定位没有 GPS 系统的设备。 在 Whiffy Recon 的案例中，了解受害者的位置有助于更好地针对特定地区甚至城市进行攻击，或者通过展示跟踪能力来帮助恐吓受害者。根据该区域 WiFi 接入点的数量，通过 Google 地理定位 API 进行的三角测量精度范围可达20米——50 米甚至更小。但在人口密度较低的区域，该精度可能会降低。 恶意软件首先检查服务名称“WLANSVC”，如果不存在，则会将僵尸程序注册到命令和控制（C2）服务器并跳过扫描部分。 Whiffy Recon 主要功能 对于存在该服务的 Windows 系统，Whiffy Recon 会进入每分钟运行一次的 WiFi 扫描循环，滥用 Windows WLAN API 来收集所需数据，并向 Google 的地理定位 API 发送包含 JSON 格式的 WiFi 接入点信息的 HTTPS POST 请求。 使用 Google 响应中的坐标，恶意软件会制定有关接入点更完整的报告，包括其地理位置、加密方法、SSID，并将其作为 JSON POST 请求发送到攻击者的 C2。 由于此过程每 60 秒发生一次，因此攻击者可以几乎实时对设备进行跟踪。 Secureworks的研究人员于 8 月 8 日发现了这种新型恶意软件，并注意到恶意软件在向 C2 发出的初始 POST 请求中使用的版本号是“1”，表明恶意软件可能还会存在后续开发版本。     转自Freebuf，原文链接:https://www.freebuf.com/articles/376176.html 封面来源于网络，如有侵权请联系删除

美国联邦调查局于近日警告称，梭子鱼电子邮件安全网关（ESG）的一个重要远程命令注入漏洞的补丁 “无效”，已打补丁的设备仍在不断受到攻击。 该漏洞被追踪为CVE-2023-2868，于2022年10月首次被发现。不法分子通过该漏洞入侵了ESG设备并从被入侵系统中窃取数据。 攻击者部署了以前未知的恶意软件 SeaSpy 和 Saltwater 以及恶意工具 SeaSide，以建立远程访问的反向外壳。 随后CISA 分享了在相同攻击中部署的 Submariner 和 Whirlpool 恶意软件的更多细节。 5月27日，美国网络安全机构还将该漏洞添加到其在野外被积极利用的漏洞目录中，并警告联邦机构检查其网络是否存在漏洞证据。 尽管梭子鱼在5月20日，也就是发现漏洞的第二天，就对所有设备进行了远程修补，并阻止了攻击者对被入侵设备的访问。但可能由于它无法确保完全清除攻击中部署的恶意软件，所以其在6月7日向客户发出了新的警告，称必须立即更换所有受影响的设备， 联邦调查局也警告梭子鱼客户更换设备 联邦调查局现在加强了警告，告知梭子鱼客户应立即隔离和更换被黑客攻击的设备。由于补丁无效，所以客户们即使给设备打好补丁也有被入侵的风险。 联邦执法机构在周三发布的紧急警报[PDF]中警告说：强烈建议客户立即隔离和更换所有受影响的 ESG 设备，并立即扫描所有网络与所提供的入侵指标列表的连接。 联邦调查局观察此次的主动入侵行为后认为梭子鱼 ESG 设备极易容易受到该漏洞的攻击。 另外，FBI已经证实所有被利用的ESG设备，即使是那些由梭子鱼推送补丁的设备，仍然存在被利用的风险。 此外，该机构还建议梭子鱼客户通过扫描与咨询中共享的入侵指标（IOC）列表中的 IP 的出站连接，调查其网络是否存在潜在的其他入侵。 那些在梭子鱼设备上使用企业特权凭据，如活动目录域管理员等用户也被敦促撤销和轮换这些凭据，以确保网络安全。 梭子鱼表示，其安全产品已被全球20多万家企业使用，其中包括三星、达美航空、三菱和卡夫亨氏等知名企业。     转自Freebuf，原文链接:https://www.freebuf.com/news/376173.html 封面来源于网络，如有侵权请联系删除