Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。 更重要的是，对在网络攻击中回收的攻击基础设施进行更仔细的检查后，研究人员发现了一种名为CollectionRAT的新威胁软件。 Talos指出，尽管这些组件多年来被充分记录，但Lazarus仍然依赖于相同的间谍技术，这一事实突显了威胁行为者对其行动的信心。 QuiteRAT据说是MagicRAT的后继产品，MagicRAT本身是TigerRAT的后续产品，而CollectionRAT似乎与EarlyRAT(又名Jupiter)有重叠之处。EarlyRAT是一种用PureBasic编写的植入物，具有在终端上运行命令的能力。 安全研究人员Asheer Malhotra、Vitor Ventura和Jungsoo An表示:“QuiteRAT具有与Lazarus组织更知名恶意软件MagicRAT相同的许多功能，但其文件大小要小得多。这两个植入都是基于Qt框架构建的，并有任意命令执行之类的功能。” Qt框架的使用被认为是攻击者有意为之，这使分析更具挑战性，因为它“增加了恶意软件代码的复杂性”。 该活动于2023年初检测到，涉及CVE-2022-47966的利用。在该漏洞的概念验证(Poc)在线出现仅五天之后，黑客就直接从恶意URL部署QuiteRAT二进制文件了。 研究人员表示：“QuiteRAT显然是MagicRAT的进化版本。MagicRAT是一个更大、更笨重的恶意软件家族，平均大小约为18MB，而QuiteRAT的实现要小得多，平均大小约为4到5MB。” 两者之间的另一个关键区别是QuiteRAT中缺乏内置的持久化机制，因此必须从服务器发出命令，以确保软件在受损主机上继续运行。 这一发现也与WithSecure在今年2月早些时候发现的另一个行为相重叠，在那次黑客活动中，未打补丁的Zimbra设备中的安全漏洞被用来入侵受害者系统，并最终安装QuiteRAT。 思科Talos表示，攻击者“在攻击的初始访问阶段越来越依赖于开源工具和框架，而不是在入侵后阶段使用。” 这包括基于GoLang的开源DeimosC2框架，用于获得持久访问，CollectionRAT主要用于收集元数据、运行任意命令、管理受感染系统上的文件，并提供额外的有效负载。 目前还不清楚CollectionRAT是如何传播的，但有证据表明，托管在同一基础设施上的PuTTY Link (Plink)实用程序的木马副本被用来建立到系统的远程隧道并为恶意软件提供服务。 研究人员表示:“Lazarus组织之前依赖于使用定制的植入物，如MagicRAT、VSingle、Dtrack和YamaBot，作为在成功入侵的系统上建立持久初始访问的手段。” “然后，这些植入物被用来部署各种开源或两用工具，在受感染的企业网络中执行大量恶意的键盘操作活动。” 这一事态发展表明，Lazarus正在不断改变策略，扩大其恶意武器库，同时将新披露的软件漏洞武器化，造成毁灭性的影响。     消息来源：thehakernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，恶意软件系列 CypherRAT 和 CraxsRAT 的创建者曝光，是一位名为 EVLF 的叙利亚威胁行为者。 网络安全公司Cyfirma在上周发布的一份报告中提到：这些RAT旨在允许攻击者远程执行实时操作，并控制受害者设备的摄像头、位置和麦克风。 据说，CypherRAT 和 CraxsRAT 会作为恶意软件即服务（MaaS）计划的一部分提供给其他网络犯罪分子。在过去的三年里，有多达 100 名独特的威胁行为者以终身许可的方式购买了这两个工具。 根据调查，EVLF 至少从 2022 年 9 月开始就一直在经营一家网店，并为其创建的恶意软件打广告。 CraxsRAT 号称是一款安卓特洛伊木马程序，能让威胁者从 Windows 计算机远程控制受感染的设备，开发者会根据客户的反馈不断发布新的更新版本供使用。 恶意软件包是通过一个生成器生成的，该生成器提供了自定义和混淆有效载荷、选择图标、应用程序名称以及安装到智能手机后需要激活的功能和权限等选项。 Cyfirma解释说：CraxsRAT是当前安卓威胁中最危险的RAT之一，它具有谷歌播放保护绕过、实时屏幕视图以及用于执行命令的外壳等强大功能。 超级Mod功能使该应用程序更加致命，让受害者难以卸载该应用程序，每当受害者试图卸载时，页面就会崩溃。 该安卓恶意软件要求受害者授予其访问安卓服务的权限，以获取大量对网络犯罪分子有价值的信息，包括通话记录、联系人、外部存储、位置和短信等。 据观察，EVLF 运营着一个名为 “EVLF Devz “的 Telegram 频道，该频道创建于 2022 年 2 月 17 日。截至发稿时，该频道已有 10,678 名用户。 在 GitHub 上搜索 CraxsRAT，会出现大量该恶意软件的破解版本，不过在过去几天里，微软似乎已经删除了其中一些版本。不过，EVLF 的 GitHub 账户仍然活跃在代码托管服务上。 2023 年 8 月 23 日，EVLF在该频道发布消息称他们将暂停该项目。 EVLF 在帖子中说：由于生活所迫，后续他将停止开发和发布。但是客户无需担心，在他离开之前会为用户发布几个补丁以供其后续使用。     转自Freebuf，原文链接:https://www.freebuf.com/news/376000.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 最近的Discord.io漏洞表明，游戏社区成为了越来越有吸引力的目标，因为他们经常使用高性能的机器，并且有资源可以窃取。DomainTools的研究人员写道，大多数恶意软件的目标是Windows系统，并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。 利用Discord.io漏洞，恶意行为者可以挖掘被入侵的账户和社区列表，以确定可能的感染目标。 研究人员警告说:“只需点击一下，目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序，但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。” 如果发生这种情况，用户不应该浪费时间试图用好的软件来清除有害的软件。 DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候，解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路（nuke and pave）。” 为什么擦除硬盘是最好的方法 “Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器，从而删除所有数据和软件，然后重新安装一个干净版本的Windows。但事情并不总是那么简单，因为网络骗子正在寻找隐藏他们肮脏代码的新方法。 恶意软件通常会深入到系统中，躲避监控，还可能包括防御防篡改措施。 尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒，但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上，你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’，结果系统仍然表现出不可否认的严重的问题。” 如今，用户必须牢记，即使是重新格式化驱动器和重新安装系统也变得更加复杂。 DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。” 在这种情况下，研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等，不同类型决定了清洁工具的不同。 你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项，”研究人员警告说：“许多杀毒软件供应商只使用一个工具，并未提供一个全面的方法来发现和清除所有类型的恶意软件。” 此外，用户应该扫描其系统上的所有数据卷（volumes）。但即便如此，目前无论使用什么工具都无法得到保证。例如，即使杀毒产品宣称计算机是干净的，最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。 研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上，ADW发现并标记了三个注册表项，但没有删除。” 恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋，难以修复。例如，搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。 其他恶意软件可能隐藏在浏览器扩展中，这些扩展可能被防病毒软件扫描，也可能不被扫描，并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。 为什么是游戏玩家?为什么是Discord? 攻击者已经进行了成本效益分析，而游戏玩家在他们的清单上名列前茅。 首先，游戏电脑通常比非游戏电脑更强大，而且往往拥有一流的网络连接。如果攻击需要付出同等精力，网络犯罪分子将瞄准更快的系统来安装他们的加密矿工，控制中心或其他货币化选项。 游戏电脑通常不受保护，因为防病毒软件和其他措施可能会“减慢系统速度”。 Discord是一款面向游戏玩家的即时通讯服务，免费且广受欢迎，拥有超过1.5亿活跃用户。该软件的通信是加密的，因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。 Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件，Discord API也是恶意命令和控制网络功能的沃土，这些功能隐藏在Discord的tls保护的网络流量中。 一种流行的攻击方式是“新游戏”，当队友或其他人要求尝试新软件时，这实际上可能是恶意软件。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Monti勒索软件是一个同时具有Windows和Linux变种的勒索软件。其在2022年6月被首次发现，当时也引起了不少的关注。它不仅在名称上与臭名昭著的Conti勒索软件相似，而且在威胁行为上也非常类似。该小组以“Monti”为名，并故意模仿了Conti团队广为人知的战术、技术和程序（TTPs），整合了大量Conti的工具，甚至使用了Conti泄漏的源代码。自被发现以来，Monti团队一直在持续针对公司进行持续攻击，并在泄露的网站上公开曝光受害公司的数据。 Industry Count Legal 3 Financial services 2 Healthcare 2 Others 6 表1： Monti勒索软件泄露网站上出现的公司的行业（数据日为2023年3月至8月） Monti勒索软件被曝光两个月后，又开始了恶意活动，这一次他们的目标是政府部门。与此同时，一个新的基于Linux的Monti变种（Ransom.Linux.MONTI.THGOCBC）出现，其与先前的基于Linux的变种有显著差异。早期版本主要基于泄露的Conti源代码，新版本采用了不同的加密器，并具有额外的不同行为。截至撰写本文时，在VirusTotal上只有三家安全厂商将样本标记为恶意。 通过使用BinDiff将新变种与旧变种进行比较，我们发现它们的相似性仅为29%，而旧变种和Conti的相似性率为99%。 我们建议采取后续安全措施来保护重要数据: 实施多因素身份验证（MFA），以阻止攻击者在网络中横向扩展并获得对敏感数据的访问权限。 遵循3-2-1备份指南来生成关键文件的备份。该指南要求创建三个备份副本，使用两种不同的文件格式，并将一个副本存储在不同的位置。这种方法确保了冗余，并最大限度地降低了数据丢失的可能性。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3010/ 消息来源：trendmicro，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

The Hacker News 网站披露，此前从未被记录的威胁组织正在针对香港和亚洲其它地区的实体组织，展开攻击活动，赛门铁克威胁猎人网络安全小组正在以昆虫为主题的“Carderbee”绰号追踪这一活动。 赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的合法软件的木马版本，在受害者网络上传播一个名为 PlugX（又名 Korplug）的已知后门，在与 The Hacker News 共享的一份报告中，安全人员还指出在攻击过程中，攻击者使用了带有合法微软证书签名的恶意软件。 ESET 在其今年发布的季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动，还详细描述了 2022 年 9 月香港一家未命名的博彩公司因该软件推送的恶意更新，遭到黑客入侵。 值得一提的是，尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上，但据说受 Cobra DocGuard 影响的组织中只有多达 100 台计算机受到了感染，这表明攻击的重点范围可能有所缩小了。 Syamtec 指出恶意软件被发送到受感染计算机上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’，表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的方式。 在其中一个攻击实例中，上述描述的情况充当了部署下载器的渠道，该下载器具有来自微软的数字签名证书，随后被用于从远程服务器检索和安装 PlugX，这种模块化植入为攻击者在受感染平台上提供了一个秘密后门，使其可以继续安装其它有效载荷、执行命令、捕获击键、枚举文件和跟踪运行进程等。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。 尽管如此，关于 Carderbee 的许多细节仍未披露，目前还尚不清楚 Carderbee 的总部位于何处，它的最终目标是什么，以及它是否与 Lucky Mouse 有任何联系。 赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者，他们利用供应链攻击和签名恶意软件来开展活动，试图保持低调。此外，这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷，这也表明幕后攻击者进行过一定程度的策划和侦察。     转自Freebuf，原文链接:https://www.freebuf.com/news/375853.html 封面来源于网络，如有侵权请联系删除

最近，有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标，入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件，该组织后来增加了一个Linux加密器，以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用，在用户和企业网络之间提供安全、加密的数据传输，通常供远程工作的员工使用。 据报道，Akira经常利用被攻破的思科 VPN 账户入侵企业网络，而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况，当时研究人员指出，勒索软件团伙使用 “单因素身份验证的 VPN 访问 “入侵了一个网络。 一个名为 “Aura “的事件响应者在 Twitter 上分享了关于入侵活动的更多信息，介绍了他们是如何应对多个 Akira 事件的，这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与BleepingComputer 的对话中，Aura 表示，由于思科 ASA 缺乏日志记录，所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据，还是在暗网市场上购买的。 SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法，报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞，在没有 MFA 的情况下绕过了身份验证。 SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据，并在至少 8 个案例中观察到了思科 VPN 相关特征，表明这是勒索软件团伙持续攻击策略的一部分。 在八起 “Akira “攻击中发现思科VPN特征  图源：SentinelOne SentinelOne 远程访问 RustDesk 此外，SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络，这是已知的第一个滥用该软件的勒索软件组织。 由于 RustDesk 是一个合法工具，不会引起任何警报，因此它可以隐蔽地远程访问被入侵的计算机。 使用 RustDesk 带来的好处包括： 可在 Windows、macOS 和 Linux 上跨平台运行，覆盖 Akira 的全部目标范围 P2P 连接经过加密，因此不太可能被网络流量监控工具标记 支持文件传输，有助于数据外渗，从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底，Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁，Avast 的工具只能帮助那些旧版本的受害者。     转自Freebuf，原文链接:https://www.freebuf.com/news/375848.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，日本著名手表制造商Seiko在7月末遭到了网络攻击，8月21日，BlackCat（又名ALPHV）勒索软件组织在其网站上宣布对这起攻击事件负责。 8 月 10 日，Seiko发布了一份数据泄露通知，称在7月末有未经授权的第三方获得了对其部分 IT 基础设施的访问权限，一些数据可能已被窃取，公司已于8月2日委托外部网络安全专家团队对情况进行调查和评估。 伴随着正式承认对Seiko实施了网络攻击，一份窃取的数据样本被挂在了BlackCat网站上，其中包括看生产计划、员工护照扫描件、新品发布计划和实验室测试结果的内容。 最令人担忧的是，BlackCat声称还窃取了机密技术原理图和手表设计的样本，表明 BlackCat 很可能拥有展示精密内部结构的图纸，包括专利技术，这些内容可能会因此被Seiko的竞争厂家获取。 由于调查仍在进行中，Seiko正在努力采取措施防止造成更多损失，并敦促客户和业务合作伙伴警惕可能冒充公司的电子邮件或其他通信，不要盲目打开邮件或者点击其中的任何链接。 ALPHV勒索软件组织一段时间以来一直在成功地实施各种攻击，并不断演变其勒索策略，最近还创建了一个数据泄露API，从而可以更轻松地分发被盗数据。 到目前为止，BlackCat 组织尚未透露其从 Seiko 服务器窃取的数据更具体的详细信息，也没有透露是否已给该公司支付赎金的最后期限。 该事件反映出针对日本实体的攻击有所增加，特别是在制造业。威胁情报公司 Rapid7 在 6 月份表示，日本价值 1 万亿美元的制造业是勒索软件和一些国家支持的APT攻击的主要目标，所有勒索软件受害者中近三分之一属于汽车和一般制造业。     转自Freebuf，原文链接:https://www.freebuf.com/news/375841.html 封面来源于网络，如有侵权请联系删除

谷歌搜索结果中一个看起来合法的亚马逊广告将访问者重定向到Microsoft Defender技术支持骗局，该骗局会锁定他们的浏览器。 谷歌搜索结果中亚马逊有效广告显示了亚马逊的合法URL，就像该公司的典型搜索结果一样，如下所示。 但是，点击Google广告会将此人重定向到技术支持骗局，伪装Microsoft Defender的警报，说明电脑感染了ads（exe）.finacetrack（2）.dll恶意软件。 这些技术支持骗局将自动进入全屏模式，因此很难在不终止谷歌浏览器进程的情况下退出页面。但是，当Chrome以这种方式终止时，在重新启动时，它会提示用户恢复以前关闭的页面，重新打开技术支持骗局。 2022年6月，Malwarebytes发现了一个看起来合法的YouTube广告，该广告也使用了该平台的URL，导致了同样的技术支持骗局。目前尚不清楚谷歌为什么允许广告商模仿其他公司的URL来制造这些令人信服的广告骗局。 在过去的一年里，谷歌广告被黑客严重滥用，以传播恶意软件，这有时会导致勒索软件攻击。黑客会创建合法网站的副本，但交换下载链接以分发安装恶意软件的木马程序。皇家勒索软件公司还制作谷歌广告，宣传安装Cobalt Strike信标的恶意网站。这些信标用于提供对公司网络的初始访问，以进行勒索软件攻击。     转自E安全，原文链接:https://mp.weixin.qq.com/s/-GkZzuStN2qg7UuO9nFsFQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面，它伪装成一款名为“OfficeNote”的办公生产力应用程序，将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中，”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说，“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现，被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现，以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境，因此，恶意的.jar文件无法在macOS的安装中执行，因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制，并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示，在整个2023年7月，他们在VirusTotal上检测到多次该工件的提交，证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金，每月199美元或299美元/3个月。有趣的是，与Windows版本的XLoader(每月59美元和每月129美元)相比，这个价格相对昂贵。” 一旦执行，OfficeNote就会抛出一条错误消息，提示“无法打开，因为找不到原始项目”。实际上，它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而，Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外，恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明，其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密，这些机密可能被使用或出售给其他威胁行为者，以进一步危害用户。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

根据 ESET 的一份报告，至少从 2023 年 4 月起，网络钓鱼活动就一直在试图窃取全球多地的 Zimbra Collaboration 电子邮件凭证。 根据 ESET 研究人员的说法，攻击始于一封假装来自组织管理员的网络钓鱼电子邮件，通知用户即将进行电子邮件服务器更新，会导致帐户暂时停用，要求用户打开附加的 HTML 文件，以了解有关服务器升级的更多信息，并查看有关避免停用帐户的说明。 钓鱼邮件内容示例 打开 HTML 附件时，将显示一个虚假的 Zimbra 登录页面，为了更加真实，该页面复刻了包含目标公司的徽标和品牌。一旦在钓鱼表单中输入了帐户密码，就会通过 HTTPS POST 请求发送到攻击者的服务器。 Zimbra 钓鱼登录页面 窃取用户输入的密码 ESET 报告称，在某些情况下，攻击者会使用窃取到的管理员帐户创建新邮箱向企业组织的其他成员发送网络钓鱼电子邮件。分析师强调，尽管该活动缺乏复杂性，但其传播范围很广，Zimbra Collaboration 的用户需要意识到这一威胁。 由于此次网络钓鱼电子邮件被发送到世界各地的企业组织，而不是特定针对某些组织或部门，其背后的攻击者身份仍然未知。 通常，攻击者会针对 Zimbra Collaboration 电子邮件服务器进行网络间谍活动，以收集内部通信或将其用作传播到目标组织网络的初始突破点。 今年年初，Proofpoint 透露，俄罗斯“ Winter Vivern ”黑客组织利用 Zimbra Collaboration 缺陷 (CVE-2022-27926) 访问了北约组织、政府、外交官和军事人员的网络邮件门户；去年，Volexity 报告称，名为“ TEMP_Heretic ”的攻击者利用 Zimbra Collaboration 产品中的零日漏洞 (CVE-2022-23682) 访问邮箱并执行了横向网络钓鱼攻击。 ESET 总结称，Zimbra Collaboration 在IT 预算较低的企业组织中广受欢迎，这也导致它对攻击者而言是一个颇具吸引力的目标。   转自Freebuf，原文链接:https://www.freebuf.com/news/375349.html 封面来源于网络，如有侵权请联系删除