据BleepingComputer 7月21日消息，随着近期Clop 勒索软件组织利用 MOVEit Transfer 文件传输工具漏洞进行大规模攻击，Coveware发布报告称，Clop将从中获得7500万美元至1亿美元的赎金收入。 报告解释称，虽然支付赎金的受害者比例已降至 34% 的历史新低，但也促使勒索软件团伙改变策略，使他们的攻击更有利可图。下图反映了攻击对受害者的影响大小与攻击者的攻击成本之间的关系图。 该图表显示，复杂性和自动化程度最低的勒索攻击成本最低，但对受害者造成的影响也最小，平均单次攻击的赎金要求通常在几百美元到数千美元之间，攻击者通常希望以”走量“的方式获得不俗的赎金收入；而更复杂、更耗时、影响更大的攻击单次会产生更高的赎金要求，通常为数百万美元。 赎金下降迫使Clop改变策略 5 月 27 日，Clop 勒索软件开始利用 MOVEit漏洞进行大范围的数据窃取攻击，这些攻击预计将影响全球数百家公司，其中许多公司已经在过去两个月内通知了受影响的客户。 Coveware 表示，随着时间的推移，赎金额度开始走低，受害者宁愿被攻击并泄露数据，也不愿向攻击者支付费赎金。究其原因，Coveware的报告解释称，DXF 攻击不会像加密影响那样造成实质性业务中断，但会造成品牌损害并产生通知义务。 Coveware 认为Clop 已经改变了勒索策略，提高了在攻击中的赎金要求，希望通过几笔大额付款来克服赎金整体下降的情况。虽然Coveware预测Clop 能从这一系列攻击活动中获得7500万至1亿美元赎金，但主要依靠的还是少数支付高额款项的受害者。 Coveware首席执行官 Bill Siegel向BleepingComputer 透露，Clop之所以能在2021年利用Accellion FTA勒索100多家企业的攻击中大获成功，是因为当时的受害者普遍还不清楚支付赎金所带来的弊端，而在两年后，受害者对此普遍有了更深刻的认识，普遍不再支付赎金，从而造成今年年初Clop利用GoAnywhere攻击130家企业后仅获得了少量赎金。在此次Clop利用 MOVEit的攻击中，受害者规模将超上述两次攻击至少10倍，Clop将专注于那些最有可能支付高额赎金的受害者，因为超过 90% 的受害者甚至都懒得参与赎金谈判，更不用说付款了。     转自Freebuf，原文链接:https://www.freebuf.com/news/372887.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为HotRat的新型AsyncRAT恶意软件正在通过流行软件和实用程序的免费盗版版本传播，如视频游戏、图像、声音编辑软件以及微软Office。 Avast安全研究员Martin a Milánek表示:“HotRat恶意软件为攻击者提供了广泛的权限，例如窃取登录凭据、加密货币钱包、屏幕捕获、键盘记录、安装更多恶意软件以及获取或修改剪贴板数据等。” 这家捷克网络安全公司表示，至少从2022年10月开始，该木马就一直在全球流行，大多数感染集中在泰国、圭亚那、利比亚、苏里南、马里、巴基斯坦、柬埔寨、南非和印度。 黑客将torrent网站提供的破解软件与恶意的AutoHotkey (AHK)脚本捆绑在一起来实现攻击。该脚本会启动一个感染链，让受感染主机上的反病毒解决方案失效，并使用Visual Basic Script加载器启动HotRat有效载荷。 HotRat是一种全面的RAT恶意软件，带有近20个命令。每个命令都执行从远程服务器检索的.NET模块，这使得攻击者在需要时能够扩展其功能。 也就是说，攻击者需要管理员权限才能成功实现其目标。 “尽管存在巨大的风险，但免费获取高质量软件的诱惑仍然存在，导致许多人下载非法软件，”Milánek说，“因此，分发此类软件仍然是广泛传播恶意软件的有效方法。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

据BleepingComputer 7月19日消息，化妆品巨头雅诗兰黛最近遭到了来自两个不同勒索软件的攻击。 在7月18日提交给美国证券交易委员会 (SEC) 的文件中，雅诗兰黛公司证实了其中一次攻击，称攻击者获得了其部分系统的访问权限，并可能窃取了数据。 该公司没有提供有关该事件的太多细节，称其积极采取行动并关闭了一些系统，但已这次攻击似乎是受MOVEit Transfer漏洞的影响，让Clop 勒索软件获得了对该公司的访问权限。在其数据泄露网站上，Clop 列出了雅诗兰黛，并注明已经获取了131GB的数据。 与此同时，BlackCat 勒索软件组织也将雅诗兰黛添加到了受害者名单中，并表示雅诗兰黛对勒索邮件保持沉默让他们感到不满。但BlackCat 在提到雅诗兰黛请来进行调查的安全专家时表示，尽管该公司使用了微软的检测和响应团队 (DART) 和 Mandiant，但网络仍然受到威胁，他们仍然可以访问。 BlackCat表示，他们没有对公司的任何系统进行加密，并补充说，除非雅诗兰黛参与谈判，否则他们将透露有关被盗数据的更多细节，并暗示泄露的信息可能会影响客户、公司员工和供应商。 雅诗兰黛对 BlackCat 的沟通没有做出回应，这表明公司不会与攻击者进行任何谈判。 在向 SEC 提交的文件中，雅诗兰黛重点强调了补救措施，包括恢复受影响的系统和服务，并对可能造成的持续性影响做了评估。     转自Freebuf，原文链接:https://www.freebuf.com/news/372587.html 封面来源于网络，如有侵权请联系删除

  近日，市面上出现了一款名为SophosEncrypt的新型勒索软件，该软件与网络安全厂商Sophos同名，因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。 MalwareHunterTeam在本周一（7月17日）首次发现了这款勒索软件，起初还以为它是 Sophos 红队演习的一部分。 但很快Sophos X-Ops团队就在推特上表明，他们并没有创建该加密程序，且正在对此次事件进行调查。 Sophos X-Ops团队表示，他们早些时候在VT上发现了这个勒索软件并且一直在调查。但据初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。 此外，ID勒索软件显示了一份受害者提交的报告，表明此勒索软件目前仍处于活动状态。虽然对RaaS操作及其推广方式知之甚少，但MalwareHunterTeam还是发现了一个加密器的样本。 SophosEncrypt 勒索软件 据悉，该勒索软件的加密程序是用 Rust 编写的，并使用了 “C:\Users\Dubinin\”路径作为其原型。 在内部，该勒索软件被命名为 “sophos_encrypt”，因此被称为SophosEncrypt，检测结果已添加到ID Ransomware中。 执行时，加密程序会提示联盟成员输入一个与受害者相关的令牌，该令牌可能首先从勒索软件管理面板中获取。 输入令牌后，加密程序将连接到 179.43.154.137:21119 并验证令牌是否有效。 勒索软件专家Michael Gillespie发现可以通过禁用网卡绕过这一验证，从而有效地离线运行加密程序。输入有效令牌后，加密器会提示勒索软件联盟在加密设备时使用其他信息，包括联系人电子邮件、jabber 地址和 32 个字符的密码，Gillespie称这也是加密算法的一部分。 然后，加密器会提示联盟成员加密一个文件或加密整个设备，如下图所示。 加密器在加密前提示信息，来源：BleepingComputer BleepingComputer 在加密文件时，Gillespie告诉BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每个加密文件都会在文件名后附加输入的令牌、输入的电子邮件和sophos扩展名，格式为：.[[[]].[[[]].sophos。下面是 BleepingComputer 的加密测试示例。 被SophosEncrypt加密的文件，来源：BleepingComputer BleepingComputer 在每个文件被加密的文件夹中，勒索软件都会创建一个名为 information.hta 的赎金说明，加密完成后会自动启动。该赎金说明包含有关受害者文件遭遇情况的信息，以及关联方在加密设备前输入的联系信息。 SophosEncrypt 勒索信，来源：BleepingComputer BleepingComputer 该勒索软件还能更改 Windows 桌面壁纸，壁纸会直接显示为它所冒充的 “Sophos “品牌。 SophosEncrypt 壁纸，来源：BleepingComputer BleepingComputer 加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 网站。这个 Tor 网站不是一个谈判或数据泄漏网站，而似乎是勒索软件即服务操作的附属面板。 勒索软件面板，来源：BleepingComputer BleepingComputer Sophos研究人员对 SophosEncrypt 恶意软件进行分析后发布了一份关于新的 SophosEncrypt 勒索软件的报告。 该报告显示，该勒索软件团伙位于 179.43.154.137 的命令和控制服务器与之前攻击中使用的 Cobalt Strike C2 服务器有所关联。 此外，两个样本都包含一个硬编码 IP 地址，该地址在近一年多的时间内一直与 Cobalt Strike 命令控制和自动攻击有关，这些攻击还曾试图用加密采矿软件感染其他计算机。     转自Freebuf，原文链接:https://www.freebuf.com/news/372446.html 封面来源于网络，如有侵权请联系删除

根据SpyCloud的最新报告，大多数企业安全主管对利用恶意软件窃取身份验证数据的攻击表示担忧。有53%的受访者表示极度担忧，只有不到1%的人表示根本不担心。 虽然企业普遍关注SSO和云应用程序的被盗身份数据的可见性，但调查显示人员行为仍然困扰着IT安全团队。最容易被忽视的恶意软件人员入口点包括： 57%的企业允许员工在个人和公司设备之间同步浏览器数据，从而使攻击者能够通过受感染的个人设备窃取员工凭证和其他用户身份验证数据，同时保持不被发现。 54%的企业正与影子IT（员工未经批准使用应用程序和系统）作斗争，这不仅在可见性方面造成了差距，而且在基本安全控制和公司政策方面也造成了差距。 36%的企业允许不受管理的个人或共享设备访问业务应用程序和系统，这为缺乏严格安全措施的设备访问敏感数据和资源打开了大门，并极大削弱了安全团队的“可见性”。 上述看似无害的行为可能会无意中使企业遭受恶意软件和后续攻击，包括勒索软件攻击。根据研究，企业每次感染平均会暴露26个业务应用程序的访问权限。 快速检测漏洞并采取行动对于阻止和减少攻击损失至关重要。然而，调查显示，许多企业应对恶意软件感染的常规响应并不充分：27%的企业不会定期检查其应用程序日志是否有泄露迹象，36%的企业不会为可能暴露的应用程序重置密码，39%的企业在发现暴露迹象时没有终止会话cookie。 研究表明，攻击驻留时间一直在增长，攻击者有着更加充足的时间来操作恶意软件窃取数据。而安全团队的可见性有限会影响其平均发现时间(MTTD)和平均修复时间(MTTR)，从而增加业务风险并耗尽资源。 研究人员发现，2023年上半年，在所有恶意软件日志中，有20%成功执行的恶意软件突破了防病毒程序。这些防病毒解决方案不仅不能阻止攻击，而且还缺乏自动化能力来防御被盗数据的滥用。 报告最后指出：在这场可见性和全面响应的斗争中，安全团队需要实施更强大、以身份为中心的感染后补救方法，以阻止犯罪分子利用恶意软件渗透的数据进一步损害业务。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DIXttt6Rj_cdqoKqjAGmzg 封面来源于网络，如有侵权请联系删除

Windows用户再次成为被称为LokiBot恶意软件的攻击目标，该恶意软件通过Office文档进行传播。 根据Fortinet安全研究员Cara Lin的最新报告，攻击者利用已知漏洞，如CVE-2021-40444和CVE-2022-30190，在微软Office文档中嵌入恶意宏。 这些宏一旦被执行，就会将LokiBot恶意软件投放到受害者的系统中，允许攻击者控制和收集敏感信息。 LokiBot是一个臭名昭著的木马程序，自2015年以来一直活跃，专门从受感染的机器中窃取敏感信息，主要针对Windows系统。 FortiGuard实验室对已识别的文件进行了深入分析，并探索它们传输的有效载荷以及行为模式。 根据调查显示，恶意文档采用了多种技术，包括使用外部链接和VBA脚本来启动攻击链。 LokiBot恶意软件一旦部署，就会使用规避技术躲避检测，并执行一系列恶意活动，从被入侵系统中收集敏感数据。 Viakoo公司Viakoo实验室副总裁John Gallagher在谈到新的攻击时说：这是LokiBot的新包装，相比之前更不容易被发现，并且能有效地掩盖其踪迹和混淆其过程，从而可能导致大量个人和商业数据外流。 为了防范此威胁，建议用户在处理 Office 文档或未知文件（尤其是包含外部链接的文件）时要更加谨慎。 Coalfire副总裁Andrew Barratt评论道，从解决方案和解决方法的角度来看，Microsoft是问题的根源，因此我们必须提醒用户保持安全防护产品为最新版本。 与此同时这也显示了电子邮件过滤解决方案的重要性，因为它可以在附件进入用户的收件箱之前主动扫描附件。     转自Freebuf，原文链接:https://www.freebuf.com/news/372237.html 封面来源于网络，如有侵权请联系删除

苹果在欧洲下架了一款假冒的Threads应用，该应用在高峰的时候曾在下载榜排名第一。 据网络安全公司和iOS开发商Mysk称，苹果已经暂停了该假冒应用程序开发商的账户。 SocialKit LTD的所有应用程序都已被删除。其中包括名为ChatGP、SelfMe：Selfie AI Face Editor、Remove Background Eraser等应用。 自Meta本月初推出Threads以来，下载量已超过1亿次。但是，Meta尚未在欧盟发布Threads，原因是欧盟有严格的隐私法。 借用这个机会，假冒的Threads应用在欧盟和其他欧洲国家的应用商店中占据主导地位。它在德国、荷兰和瑞士占据了第一的位置。 目前，Instagram的原版Threads应用在美国免费应用排行榜上排名第二，仅次于Remini-AI Photo Enhancer。 据Cybernews报道，网络犯罪分子正忙于通过模仿新的社交媒体应用程序来套现，一天之内就出现了700多个虚假域名。 网络安全分析机构Veriti表示：”随着Meta推出的 Threads应用程序的普及率持续上升，攻击者正在利用这一热点开展恶意活动。通过创建大量可疑域名，骗用户并分发恶意软件。 尤其是欧洲用户，应提防山寨Threads下载，因为它们通常被用于安装恶意软件或钓鱼攻击。用户应时刻保持警惕，只从可信来源下载该应用。     转自Freebuf，原文链接:https://www.freebuf.com/news/372083.html 封面来源于网络，如有侵权请联系删除

今年上半年的数据表明，勒索软件活动和赎金金额有望创下历史新高。 根据区块链分析公司Chainaanalysis的一份报告，勒索软件是今年唯一出现增长的加密货币犯罪类别，而其他所有犯罪类别，包括黑客、诈骗、恶意软件、违禁品销售、欺诈商店和暗网市场收入，均大幅下降（下图）。 报告称：“勒索软件是2023年迄今为止唯一呈上升趋势的基于加密货币的犯罪形式。勒索赎金有望创下新的纪录。截至6月份，勒索软件攻击者已勒索至少4.491亿美元。” 如下图Chainaanalysis所示，2023年上半年勒索软件的年度累计收入已达到2022年总收入的90%。 如果收入增长速度保持在这一水平，到2023年底，勒索软件攻击者将从受害者身上获利约9亿美元，有可能打破2022年创纪录的9.4亿美元。 分析人士认为，所谓的“大型狩猎”是勒索软件收入大幅增长背后的推动力，因为网络犯罪分子已重新瞄准可勒索大笔赎金的大型企业和机构。 这一趋势反映在赎金支付分布图上（下图），2023年上半年显示右侧出现前所未有的增长，对应于大笔支付。 BlackBasta、LockBit、ALPHV/Blackcat和Clop是高额赎金付款的主要接收者，其中Clop的平均赎金规模为170万美元，中位付款金额为190万美元。 Clop利用文件传输工具中的两个零日漏洞发起两波大规模攻击：今年第一季度的Fortra的GoAnywhere和二季度的Progress的MOVEit Transfer。 据NCC Group当时报道，Clop的GoAnywhere利用活动涉及129次攻击，直接导致2023年3月成为勒索软件活跃性破纪录的一个月。 MOVEit攻击浪潮规模更大，到目前为止已有296名受害企业，并且每周都有更多受害企业在Clop勒索网站上披露。 另一方面，2023年上半年小额勒索软件也呈增长趋势。大量小额勒索赎金支付给了Dharma、Phobos和STOP/DJVU等采用“喷射攻击”的勒索软件即服务(RaaS)，小额勒索赎金通常为数百美元（下图）。     转自Freebuf，原文链接:https://mp.weixin.qq.com/s/vCJuRA3mGAdomaEtOlcodQ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，疑似具有俄罗斯背景的黑客组织 APT29（又名 Nobelium，Cloaked Ursa）正在使用二手宝马汽车广告等非常规性”诱饵“，引诱西方驻乌克兰外交官点击带有恶意软件的链接。 过去两年，APT29 组织针对北约、欧盟和乌克兰等地的高价值目标，使用带有外交政策主题的网络钓鱼电子邮件或虚假网站，通过秘密后门感染目标受害者。Palo Alto Network Unit 42 团队在发布的一份报告中指出 APT29 组织“进化”了其网络钓鱼策略，目前已经开始使用对网络钓鱼电子邮件收件人更具吸引力的诱饵。 据悉，2023 年 4 月， 一名准备离开乌克兰的波兰外交官发布了合法汽车出售广告，网络威胁攻击者拦截和模仿了该广告，并在广告中嵌入了恶意软件，之后将其发送给在基辅工作的其他数十名外国外交官， APT29 发送的恶意传单（Unit 42 团队） 一旦收件人点击恶意文档中嵌入的“获取更高质量的照片”链接时，便会被重定向到一个 HTML 页面，该页面通过 HTML 传递恶意 ISO 文件有效载荷。  （HTML 走私是一种用于网络钓鱼活动的技术，使用 HTML5 和 JavaScript 将恶意有效载荷隐藏在 HTML 附件或网页的编码字符串中。） 当用户打开附件或点击链接时，浏览器会对这些字符串进行解码，这时候恶意代码会被混淆，并且只有在浏览器中呈现时才会被解码，网络攻击者使用该技术有助于规避安全软件。 据悉，ISO 文件主要包含九张 PNG 图像，但实际上是 LNK 文件，它们可触发下图所示的感染链。 Unit 42 团队观察到的感染链 当受害目标打开任何伪装成 PNG 图像的 LNK 文件时，就会启动一个合法的可执行文件，该文件使用 DLL侧载将 shellcode 注入内存中的当前进程。 ISO 档案中包含的伪造PNG文件（Unit 42 团队） Unit 42 团队指出此次网络攻击活动主要针对基辅 80 多个外国使团中至少有22个使团，其中主要包括美国、加拿大、土耳其、西班牙、荷兰、希腊、爱沙尼亚和丹麦的使团。目前，受害目标的感染率尚不清楚。 值得一提的是，大约 80% 收到恶意传单的电子邮件地址是公开在互联网上的，由此可以看出，APT29 黑客组织一定是通过破坏目标外交官账户和情报收集获得另外 20% 的电子邮件地址。 以乌克兰大使馆为目标（Unit 42 团队） APT29 组织最近发动的另一个网络钓鱼的例子是 2023 年初发送给土耳其外交部的一份 PDF，该 PDF 指导为 2 月袭击土耳其南部的地震提供人道主义援助。Unit 42 团队表示由于攻击利用了绝佳的时机，该恶意 PDF 文件很可能在外交部员工之间共享，并被转发给土耳其其他组织。 最后，Unit 42 团队指出随着俄罗斯和乌克兰双方冲突的持续以及北约内部不断变化的事态有可能改变地缘政治格局，预计俄罗斯网络间谍组织将继续甚至加强针对外交使团的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/371931.html 封面来源于网络，如有侵权请联系删除

7月4日，黑莓威胁研究和情报团队发现了针对支持乌克兰的海外组织进行的鱼叉式网络钓鱼活动。研究人员发现了两份IP地址为匈牙利提交的诱饵文件，这两份文件都针对即将向乌克兰提供支持的北约峰会参会者。 据悉，黑莓识别的诱饵文件冒充合法的非营利组织乌克兰世界大会（Ukrainian World Congress），文件显示为一封信，声明支持乌克兰政府加入北约联盟。专家们根据战术、技术和程序 （TTP）、代码相似性和攻击基础设施，将这些攻击归因于一个名为 RomCom（又名热带天蝎座和 UNC2596）的黑客组织。北约峰会将于7月11日到12日在维尔纽斯举行，会议期间将讨论未来可能加入乌克兰联盟的成员资格。这些黑客旨在让受害者点击乌克兰世界大会网站的特制复制品。攻击者使用域名仿冒技术用 .info 后缀伪装虚假网站，使其看起来合法。克隆的网站被发现时是属于托管流行软件的武器化版本。 黑莓发布的报告中写道“一旦用户下载并执行Microsoft Word文件，就会从RTF加载一个OLE对象，该对象会连接到与VPN代理服务相关的IP地址104.232.39[.]26，或者连接到端口80、139和445（HTTP和SMB服务）。”此文件的目标是将 OLE 流加载到 Word Microsoft，呈现出负责下一阶段恶意软件执行的 iframe 标记。打开文档后，会触发多阶段攻击链，还会利用漏洞CVE-2022-30190（也称为Follina）影响Microsoft的支持诊断工具（MSDT）。最后阶段的恶意软件是RomCom RAT，运营商使用它来收集那些受损系统的信息并执行远程命令。 根据现有信息，可以得出这是一次RomCom更名活动，或者RomCo黑客组织中的一个或多个成员支持的新的活动的幕后黑手。主要信息包括：1.地缘政治背景 2.合法网站的域名注册和 HTML 抓取 3.此活动与以前已知的 RomCom 活动之间的代码中的某些相似之处 4.网络基础设施信息     转自E安全，原文链接:https://mp.weixin.qq.com/s/s8TuqicvwhfPEPnZnot31Q 封面来源于网络，如有侵权请联系删除