FBI日前警告称，勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司，以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出，网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息，如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的侦察阶段，网络犯罪分子会找出非公开的信息，他们威胁要发布这些信息或者在敲诈过程中把这些信息作为筹码诱使受害者遵守赎金要求，”FBI说道，“即将发生的可能影响受害者股票价值的事件如公告、兼并和收购，鼓励勒索软件行为者瞄准一个网络或在建立了访问权的情况下调整勒索的时间表。如果受害者不迅速支付赎金，勒索软件行为者将威胁公开披露这些信息，这会造成潜在的投资者反弹。” FBI还称，其已经发现了几起勒索软件集团利用正在进行的合并或收购谈判的信息对组织施加压力以支付费用的案例。 去年，REvil勒索软件集团的一个长期成员鼓励利用纳斯达克证券交易所作为一种方式来强行要求受害者付款。几周后，另一个勒索软件组织在跟该公司的谈判中引用了受害者的公开交易股票。据FBI披露称，当年晚些时候，对另一个勒索软件攻击的分析发现，黑客使用几个关键词在受害者的网络上搜索与向监管机构提交的财务文件和即将发布的新闻有关的非公开财务信息。 今年4月，DarkSide勒索软件集团–后来改名为BlackMatter–宣布，它正在寻求跟市场交易商合作以惩罚那些未能付款的受害者。在其现已经停用的博客上发布的一条信息中，他们敦促交易员联系并获得该团伙最新的企业受害者的内部消息以便他们能在任何数据被泄露和消息公开之前卖空股票。 “现在我们的团队和合作伙伴加密了许多在纳斯达克和其他证券交易所交易的公司，”俄罗斯黑客集团的一个帖子写道，“如果公司拒绝付款，我们准备在公布前提供信息，这样就有可能在股票的减价中赚取。” FBI长期以来一直在敦促各组织不要屈服于网络犯罪分子的赎金要求，因为这使黑客更有胆量瞄准更多的组织并资助其他犯罪活动，但它也指出，理解当企业面临无法运作时，高管们将评估所有选项以保护他们的股东、员工和客户。 这一警告则是在FBI警告称上述BlackMatter勒索软件集团已经针对被认为是关键基础设施的多个组织–包括美国食品和农业部门的两个组织后发出的。   （消息及封面来源：cnBeta）

一场在全球范围性欺诈行为被发现，它利用151个恶意Android应用程序，下载量达1050万次，在未经用户同意和知情的情况下将用户拉入付费订阅服务。 名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始，涉及的应用程序涵盖范围广泛，包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦截程序、摄像头过滤器和游戏，下载了欺诈性应用程序的用户大多来自埃及、沙特阿拉伯、巴基斯坦、巴基斯坦、阿联酋、土耳其、阿曼、卡塔尔、科威特、美国和波兰。 尽管有很大一部分有问题的应用程序已经从Google Play商店中删除，但截至2021年10月19日，其中82个应用程序仍然可以在在线市场上使用。 首先，这些应用程序会提示用户输入自己的电话号码和电子邮件地址，以便使用宣传的功能，然后诱使受害者订阅付费短信服务，根据国家和移动运营商的不同，这些服务每月收费40美元。 Avast研究人员Jakub Vávra说：“这些应用不会解锁用户可能认为应该出现的宣传功能，而是会显示更多的短信订阅选项，或者完全无法使用。”。 Ultimams广告软件骗局还值得注意的是，它通过流行社交媒体网站（如Facebook、Instagram和TikTok）上的广告渠道传播，用“吸引人的视频广告”吸引毫无戒心的用户。 除了卸载上述应用程序外，建议用户与运营商禁用付费短信选项，以防止用户滥用订阅。Vávra说：“根据一些用户留下的差评，似乎儿童是受害者之一，这使得这一步骤在儿童手机上尤为重要，因为他们可能更容易受到这类骗局的影响。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伊朗国家石油产品分销公司（NIOPDC）的加油站26日停工，原因是网络攻击波及了整个分销网络。 NIOPDC网络在全国拥有3500多个加油站，80多年来一直供应石油产品。 调查机构正在查找造成破坏的原因，目前还没有公开说明幕后黑手的信息，但伊朗正在指责一个敌对国家。 并非全无线索，ISNA 通讯社首先将此次事件称为网络攻击，并表示看到那些试图通过机器使用政府发行的卡购买燃料的人收到一条消息，上面写着“网络攻击 64411”，但该线索真实性待考证。 这条信息使人联想到7月份的一次网络攻击，该次攻击扰乱了伊朗的火车服务。攻击者者还修改了铁路留言板，称是黑客导致列车晚点或取消，并显示了最高领袖阿里·哈梅内伊办公室的电话号码。 网络安全公司SentinelOne的研究显示，伊朗的火车站系统被专门用来删除数据（文件雨刷）的恶意软件攻击，这个软件被称为Meteor，以前从未见过。 26日的黑客攻击让一些伊朗人等了几个小时才打开加油站，结果却没有燃料。 据媒体报道，客户试图使用政府发行的卡以每升5美分或每加仑20美分的价格获得补贴燃油，然后收到了“cyberattack 64411”的消息。 随着NIOPDC分销网络遭到攻击的消息传播，伊朗多个城市的数字广告牌开始显示“哈梅内伊！我们的燃料在哪里？”和“贾马兰加油站的免费燃料”的信息。 一些当地媒体最初报道说，加油站中断是由技术故障造成的，后来指出问题是由网络攻击造成的。 据英国广播公司记者沙扬·萨尔达里扎德（Shayan Sardarizadeh）和基安·谢里菲（Kian Sharifi）报道，伊朗国家电视台证实了加油站遭受网络攻击的报道，伊朗网络空间最高委员会认为这起事件是由国家支持的，尽管并没有指明哪个国家。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一名遭受飞马间谍软件黑客攻击的记者透露了他们成为黑客攻击目标的经历，包括可疑信息和 “零点击”漏洞如何导致记者的智能手机被非法访问。7月的一项调查强调了NSO集团Pegasus间谍软件如何被用来攻击记者和人权活动家。 NSO集团的间谍软件本来只用于犯罪预防和调查目的，但却被一些政府滥用，对可能成千上万的活动家和记者进行监视。在《纽约时报》的一篇报道中，中东记者本-哈伯德解释了他是如何成为目标的，虽然哈伯德由于面临监禁或死亡的风险而采取了保护消息来源的预防措施，但他仍然成为飞马黑客的受害者。 在与公民实验室合作的过程中，哈伯德发现，他在2018年收到一条可疑的短信，被认为是由沙特阿拉伯发送的。该出版物的技术安全团队发现了2018年的另一次黑客企图，通过WhatsApp发送的第二条信息，邀请该记者参加在华盛顿沙特大使馆前举行的抗议活动，并附有一个可疑的链接。公民实验室证实，这两次尝试都没有成功，因为哈伯德没有点击每条信息中的链接，不过这并不是骚扰行为的结束。 对哈伯德设备的进一步调查显示，在2020年和2021年有2次黑客攻击成功，使用的是零点击漏洞，不需要用户点击链接就能感染。调查似乎不太可能揭开黑客的身份，据发现，第二次黑客攻击是为了清除第一次黑客攻击留下的痕迹。NSO集团否认其产品被用于攻击，认为技术和合同原因和限制，意味着哈伯德不可能成为2020年和2021年事件的目标。 目前还不清楚哈伯德在整个期间使用的到底是什么智能手机，但飞马公司以攻击iPhone等设备而闻名，利用iOS中的各种漏洞来击败设备上的安全措施。9月，苹果发布了iOS 14.8和iOS 12.5.5的补丁，堵塞了PegASUS滥用的安全漏洞。 成功感染Pegasus后，攻击者几乎可以无限制地访问iPhone或其他设备，包括能够提取数据、阅读加密信息、启用摄像头和麦克风、记录电话，并实时跟踪设备的GPS坐标。被认为是NSO客户的政府包括阿塞拜疆、哈萨克斯坦、卢旺达和阿联酋，还包括9月披露的德国。   （消息及封面来源：cnBeta）

时间回到今年4月，勒索软件集团REvil曾攻击了苹果供应商广达电脑并能够窃取概述本周早些时候宣布的14和16英寸MacBook Pro型号设计的原理图。这些原理图泄露了新机器的设计，当时，REvil威胁称，如果苹果不在5月1日前支付5000万美元的赎金就会公布其他文件。   不过这种情况在几天后就消失了，REvil神秘地从其网站上删除了所有跟苹果有关的文件和敲诈威胁。 此后，人们再也没有听到关于REvil攻击苹果的进一步消息，但事实证明，有一个多国行动正在进行以拿下这个勒索软件集团。据悉，几个政府机构在本周联手黑掉了REvil并使其下线。 一位知情人士披露称，美国政府的一个外国合作伙伴进行了黑客行动并渗透了REvil的计算机架构。一位不愿透露姓名的前美国官员表示，该行动仍在进行。 REvil用于泄露被盗文件的Happy Blog已被下线并不再可用。实际上，在执法和情报专家能够入侵REvil的计算机网络后，该黑客组织早在7月已经下线了，不过它在上个月又回来了，之前被政府破坏的服务器再次被用于这次的第二次攻坚。 REvil还对5月对Colonial Pipeline的网络攻击负责，该攻击造成了美国东海岸的天然气短缺。   （消息及封面来源：cnBeta）

韩剧鱿鱼游戏Squid Game让互联网火了起来。随着Netflix的热播，人们急于下载与该韩剧有关的一切东西，包括谷歌Play Store中的一款壁纸应用，其中包含了恶意软件。 目前还没有官方的Squid Games应用程序，然而ESET的Android恶意软件研究员Lukas Stefanko在Twitter上说，Play Store上有超过200个与该系列有关的应用程序，其中就有Google保障措施还没有检测到的恶意软件，其中包括一款鱿鱼游戏壁纸应用。安全研究人员对其进行了分析，他们都认为这款鱿鱼游戏壁纸应用内置了一种Joker恶意软件。 我们以前在Play Store上见过Joker恶意软件很多次。它可以通过模拟注册过程，偷偷地将受害者签入高级订阅服务。它还能窃取短信、联系人名单和设备信息。2019年，它在24个下载量超过47.2万的应用程序中被检测到，去年有64个新变体出现在Google Play当中。本案中的Joker恶意软件以广告欺诈为目标，在受害者不知情的情况下与他们签订了昂贵的短信服务。好消息是，Google发现了这个应用，并将其从Google Play商店中删除，但它已经被下载至少5000次。 对于利用热度的非官方应用程序，无论是游戏、电影还是电视节目，最好都要保持警惕。之前《赛博朋克2077》的”移动版”在游戏推出后不久就被发现是勒索软件。   （消息及封面来源：cnBeta）

据两位知情人士透露，针对日本科技巨头奥林巴斯（Olympus）的“持续”网络攻击是由一家俄罗斯恶意集团发起的，而该集团正被美国政府制裁。10 月 10 日发起的攻击中使用了名为 Macaw 的恶意软件新变种，将奥林巴斯在美国、加拿大和拉美的系统进行了加密。 图片来自于 WikiMedia Macaw 是 WastedLocker 恶意软件的一个新变种，而这两种恶意软件都是由 Evil Corp.创建的，这是一个总部设在俄罗斯的犯罪集团，在 2019 年受到了美国财政部的制裁。 这是该公司在几个月内遭受的第二次勒索软件攻击，此前，该公司在欧洲、中东和非洲的网络于 9 月被 BlackMatter 勒索软件攻击。（据了解，BlackMatter和Evil Corp.并无关联） 安全公司 Recorded Future 的高级威胁分析员 Allan Liska 告诉 TechCrunch：“奥林巴斯上个月被 BlackMatter 攻击，然后在一周左右后被 Macaw 攻击。Macaw 恶意软件在被黑的电脑上留下了一个赎金字条，声称已经从受害者那里窃取了数据”。 奥林巴斯在周二的一份声明中说，该公司正在调查“数据泄漏的可能性”，这是勒索软件集团的一种常见技术，被称为“双重勒索”，即黑客在加密受害者的网络之前窃取文件，并威胁说如果不支付解密文件的赎金，将在网上公布这些文件。   （消息及封面来源：cnBeta）

一项针对250多名勒索软件受害者的新调查显示，超过一半的人在过去一年中被勒索软件攻击过，69%的人说他们很可能在未来一年中至少被成功攻击一次。那些被勒索软件成功击中的人更倾向于支付费用，65%的人确实这样做了，然而，完全恢复数据的情况只占55%。当被问及支付意愿时，13%的人说他们肯定会，但只有20%的人说他们肯定不会。 这项研究是由CISOs Connect、AimPoint Group和W2 Communications进行的。 虽然支付赎金息事宁人的行为仍然是有争议的，并且是许多辩论的主题，但抛开道德和法律的争议而言，同样需要关注恢复业务运营的财务影响。这是可以理解的，因为一次攻击的总成本，包括缓解危害、恢复业务和可能的指出，数额大的可能达到数百万美元。据受访者称，勒索软件受害者有20%的机会支付超过500万美元，有5%的机会影响可能超过5000万美元。 调查中只有55个组织采取了购买勒索软件保险的措施，而且其中大多数是在较大的组织，这意味着小企业更容易受到勒索软件影响。 “我们的数据显示，虽然勒索软件的肆虐正在推动一些有关预防与应对的倡议和规划，但许多努力可能仍然是孤立的，”CISOs Connect的首席执行官兼创始人Aimee Rhodes说。”这就造成了某些领域的暴露，随着这些攻击的继续加速，可能会造成问题。根据CISO的反馈，许多人将受益于一种更全面的方法，使他们不仅为预防和检测勒索软件做好准备，而且还为可能的财务影响做好准备。” 你可以在下面的信息图中看到更多的发现。   （消息及封面来源：cnBeta）

一个不为人知的国家支持的攻击者正在部署一套新的工具，以攻击南亚的电信供应商和IT公司。 Symantec的研究人员发现了这一组织，并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。 Harvester的恶意工具以前从未发现过，这表明这是一个新出现的攻击者。 “Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具，该攻击始于2021年6月，最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。 “这些工具的能力，它们的定制开发，以及目标受害者，都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。 以下是Harvester在攻击中使用的工具: Backdoor.Graphon ——自定义后门，它使用微软的基础设施进行C&C活动 自定义下载程序——使用微软的基础设施为其C&C活动服务 自定义屏幕快照——定期记录屏幕截图到一个文件 Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具，可用于执行命令、注入其他进程、提升当前进程或模拟其他进程，以及上传和下载文件) Metasploit——一个现成的模块化框架，可用于完成感染机器上的各种恶意目的，包括特权升级、屏幕捕获、设置持久后门等。 巧妙的技巧和安全的通讯 虽然Symantec的分析师无法找出最初的感染载体，但有一些证据表明，有人使用了恶意URL。 Graphon为攻击者提供了对网络的远程访问，它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。 一个有趣的地方是自定义下载器的工作方式，它在系统上创建必要的文件，为新的加载点添加注册表值，最终在hxxps://usedust[.]com打开嵌入式web浏览器。 虽然这似乎是获取Backdoor.Graphon的地方，参与者只是使用URL作为诱饵，来制造混淆。 自定义截图工具从桌面捕获照片，并将它们保存到一个密码保护的ZIP档案，通过Graphon导出。每个ZIP保存一周，任何比这个时间更久的文件都会被自动删除。 Symantec警告说，Harvester仍然活跃，目前主要针对阿富汗的组织。 尽管研究人员能够对这个新群体的工具进行取样，但他们还没有足够的证据将这种活动归因于某个特定的国家。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Lyceum是一个已为人知的黑客组织，与针对中东组织的攻击有关，如今它带着新的恶意软件和策略重新露面，而这个策略与一个在伊朗运作的危险的APT组织所使用的相似。 卡巴斯基的安全研究人员表示，他们观察到新的Lyceum活动集中在突尼斯的两个实体。卡巴斯基对攻击的分析显示，Lyceum的恶意软件已经从以前的PowerShell脚本和基于.NET的远程管理工具DanBot演变为用c++编写的新恶意软件。 卡巴斯基根据他们在这个恶意代码中经常遇到的名字，将这种新的恶意软件分成了两组变种，一组叫詹姆斯，另一组叫凯文。这两种新的变种——像DanBot那样——都被设计成通过安全的DNS和HTTP隧道与它们的命令和控制服务器通信，这使得恶意活动难以被检测。 除了新的詹姆斯和凯文恶意软件变种，卡巴斯基还观察到Lyceum在其最近的攻击中使用了另一个工具，该工具似乎不包含任何网络通信机制。该公司推测，恶意软件可能是设计用来代理一个已经被泄露的网络内部系统之间的流量。Lyceum的工具包中还新增了一个PowerShell脚本，用于从浏览器中窃取用户凭证，以及一个自定义键盘记录器，看起来似乎是为相同目的设计的。 卡巴斯基在一份总结本周Lyceum活动的报告中表示，“我们对Lyceum的调查显示，该组织多年来已经发展了自己的武器库，并将其使用在新的工具上。” Lyceum首次出现被发现是在2019年8月，当时Secureworks报告称，观察到该集团针对中东石油、天然气和电信行业的组织。Secureworks称，该威胁组织可能至少从2018年4月开始就活跃了，与Lyceum相关的攻击是基于域名注册，专注南非目标。 Secureworks表示，其调查显示，Lyceum通常利用之前通过密码喷溅或暴力破解获得的账户凭证，获得进入目标网络的初始权限。该组织的战术、技术和程序(TTPs)与其他组织的战术、技术和程序相似，那些组织专注于具有重要战略意义的中东目标，如OilRig (APT34)和Cobalt Trinity (APT33和Elfin)。然而，Secureworks指出，这些相似之处还不足以证明Lyceum与其他威胁组织之间存在直接联系。 卡巴斯基本周重申了这些相似之处，但与Secureworks一样，他没有将Lyceum的活动与此前已知的伊朗威胁分子的活动直接联系起来。据该公司分析，Lyceum的活动与另一个名为DNSpionage的威胁行为者的活动在高层次上有某些相似之处，该威胁行为者在2018年被观察到使用DNS重定向攻击黎巴嫩和阿拉伯联合酋长国的目标。卡巴斯基说，DNSpionage与OilRig的活动有关。Lyceum和DNSpionage的相似之处包括：目标位于相同区域、利用DNS和假网站来隧道指挥和控制流量、以及相似的用来引诱受害者点击恶意附件的文件。 除了对调查结果的总结外，卡巴斯基本周还发布了一份来自最近一次会议的报告，提供了关于Lyceum新活动的技术细节。   消息来源：DarkReading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接