分类: 网络安全

微软发布带外更新,紧急修复补丁引发的 Kerberos 问题

微软发现最近的一个Windows 补丁可导致 Kerberos 认证问题后,发布带外安全更新。 11月补丁星期二,微软修复了影响 Windows Server 的提权漏洞CVE-2022-37966。该高危漏洞可导致能够收集目标系统信息的攻击者获得管理员权限。 微软在安全公告中指出,“未认证攻击者可执行攻击,利用RFC 4757和MS-PAC中的加密协议漏洞,绕过Windows AD 环境中的安全特性。” 然而,就在补丁发布几天后,用户开始抱怨Kerberos认证问题。微软快速行动并在几天后提供了缓解措施。11月17日,微软发布带外更新。 微软告知客户称,“尚未安装11月8日发布的安全更新的客户,应当安装该带外更新。已经安装Windows安全补丁且遇到问题的客户,应当安装该带外更新。” 虽然CVE-2022-37966并未遭在野利用且并未公开披露,不过微软仍然给出“更可能利用”的评级。 转自 安全内参,原文链接:https://www.secrss.com/articles/49306 封面来源于网络,如有侵权请联系删除

研究人员警告说,思科安全电子邮件网关很容易被绕过

Hackernews 编译,转载请注明出处: 一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器,并使用特制的电子邮件发送恶意软件。 研究人员在完整披露邮件列表中写道:“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系,但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低,而且第三方已经发布了漏洞攻击,因此在公开线程方面不能再有任何推迟。” 研究人员解释说,利用电子邮件客户端的容错能力和不同的MIME解码能力,远程攻击者可以绕过思科安全电子邮件网关。 研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关,他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。 这三种方法是: 方法1:Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端,包括Microsoft Outlook for Microsoft 365 MSO(版本2210 Build 16.0.15726.20070)64位、Mozilla Thunderbird 91.11.0(64位)、Vivaldi 5.5.2805.42(64位)、Mutt 2.1.4-1ubuntu1.1等。 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0(64位)电子邮件客户端。 方法3:隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42(64位)和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。 思科发布了一份错误报告,警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题,该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。 报告中写道:“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞,通过受影响的设备发送带有格式错误的内容类型标头(MIME类型)的恶意电子邮件,从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能,并成功将恶意消息传递给最终客户端。” 这些漏洞会影响使用默认配置运行的设备。 研究人员解释说,使用攻击方法的代码,以及许多操纵MIME编码的类似技术,都是在一个开源工具包中实现的,该工具包可以在GitHub上生成和测试错误的MIME。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

甜甜圈勒索组织正对企业部署双重勒索

据BleepingComputer 11月22日消息称,名为甜甜圈(D0nut)的勒索软件组织正制定针对企业的双重勒索攻击策略。 今年8月,BleepingComputer首次报道了甜甜圈勒索软件组织,它们分别参与了对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的网络勒索攻击。 最近,BleepingComputer 发现了用于甜甜圈的加密器样本,表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。根据分析,加密器在执行时会扫描匹配特定扩展名的文件进行加密,并避开包含以下字符串的文件和文件夹: Edge ntldr Opera bootsect.bak Chrome BOOTSTAT.DAT boot.ini AllUsers Chromium bootmgr Windows thumbs.db ntuser.ini ntuser.dat desktop.ini bootmgr.efi autorun.inf 当文件被加密时,Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此,例如,1.jpg 将被加密并重命名为 1.jpg.d0nut。 甜甜圈勒索软件还会利用 ASCII 编码,制作富有个性化的赎金票据页面,如旋转的 ASCII 甜甜圈。 甜甜圈勒索软件的赎金票据 为了增强隐蔽性,赎金票据被严重混淆,所有字符串都被编码,要通过JavaScript在浏览器中对赎金票据进行解码。这些赎金票据包括联系攻击者的不同方式,例如通过 TOX 和 Tor 协商站点。 甜甜圈勒索软件还在其数据泄露站点上设置了一个构建器,由一个 bash 脚本组成,用于创建 Windows 和 Linux Electron 应用程序,并带有捆绑的 Tor 客户端以访问数据泄露站点。 BleepingComputer认为,该勒索组织不仅有较为突出的技能水平,而且还有一定的营销能力,需要对其引起足够的警惕。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350528.html 封面来源于网络,如有侵权请联系删除

诈骗分子被捕,5.75 亿美元的加密货币庞氏骗局”暴雷“

Bleeping Computer 网站披露,近期爱沙尼亚逮捕了两名本国国民,此前这两人因实施大规模加密货币庞氏骗局被起诉,该骗局最终导致 5.75 亿美元的损失。 据悉,此次逮捕的两名爱沙尼亚公民姓名分别是 Sergei Potapenko 和 Ivan Turõgin,这两人被指控在 2013 年 12 月至 2019 年 8 月期间,与居住在爱沙尼亚、白俄罗斯和瑞士的其他四名同伙一起诈骗了数十万名受害者。 犯罪分子苦心经营庞氏骗局 这个诈骗团伙通过一个由空壳公司(疑似出售挖矿设备)、银行账户、虚拟资产服务和加密货币钱包组成的复杂网络,将受害者资金集中在一起,以帮助他们洗钱。 当不能按时交付设备时,为了避免客户退款,诈骗团伙通过一种名为 HashFlare(于 2015 年 2 月推出)的新加密货币挖矿服务,诱骗已支付挖矿硬件费用的客户签署远程挖矿合同(”云挖矿“)。 从起诉书的内容来看,该团伙许诺部分同意”云挖矿“的客户将从一个集中远程挖矿中获得采矿权,并可以获得一定比例的利润。但是 HashFlare 利润回报和余额都是假的,HashFlarePotapenko 和 Turõgin 只是将其当作了一个大规模的庞氏骗局来运营。 值得一提的是,起诉书显示,当受害者要求提取其采矿收益时,为了掩盖骗局,该犯罪团伙要么拒绝付款,要么从公开市场上购买一些虚拟货币支付给受害者。 以开”银行“的名义,欺骗受害者 从起诉书内容来看,这伙诈骗分子还在爱沙尼亚成立了一家名为 Polybius Foundation OÜ(又名 Polybius Bank )的新公司,并邀请许多潜在投资者通过 “首次代币发行”(ICO)为项目提供资金,以换取被称为 Polybius代币(PLBT)的虚拟代币,表示这一举措是 “数字加密银行世界的真正革命 “的一部分。 随后,Polybius 在一份新闻稿中声称,ICO 已经从超过 14250 名投资者手里筹集了约 1700 万美元,满足了获得欧洲银行执照的要求(想要获得银行执照需要三天内筹集 600 多万美元)。 此外,FBI 的 HashFlare 调查结果显示,这伙诈骗分子从第三方投资者处筹集了超过 3100 万美元,这些资金被转移到他们的个人银行账户和虚拟货币钱包,而不是用于资助 Polybius 银行,犯罪分子从未向投资者支付任何股息,也从未组建银行。 相反,欺诈分子利用非法资金购买了至少 75 处房地产、豪华车辆,还投资了数以千计的加密货币采矿机。 美国检察官尼克-布朗表示,犯罪分子利用加密货币的”诱惑力“,围绕加密货币采矿的神秘性实施了一个巨大庞氏骗局,涉及范围和造成的影响确实令人震惊。 诈骗分子利用虚假消息吸引投资者,然后利用拉来的资金支付给早期投资者,还试图把这些赃款”隐匿“在爱沙尼亚的房产、豪华汽车以及世界各地的银行账户和虚拟货币钱包里。 目前,美国与爱沙尼亚当局正在努力追查赃款,两名诈骗分子也被指控了 16 项电信诈骗罪,一项阴谋洗钱罪。一旦罪名成立,这两人将面临最高 20 年监禁。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350426.html 封面来源于网络,如有侵权请联系删除

每天发送数十万封恶意邮件,臭名昭著的恶意软件 Emotet 再度活跃

销声匿迹大约4个月后,老牌恶意软件 Emotet 卷土重来。安全公司 Proofpoint 表示,自 2022 年 11 月初以来,Emotet再度回归电子邮件攻击领域,每天发送数十万封钓鱼邮件,成为所观察到的数量最多的攻击者之一。 据悉,Emotet上一次活跃的时间是在2022年7月,此次新的活动迹象表明,Emotet正在恢复其作为主要恶意软件系列的全部功能。这一次,它们的主要目标区域包括美国、英国、日本、德国、意大利、法国、西班牙、墨西哥和巴西。 在这次新一轮的攻击活动中,Emotet发送的钓鱼邮件通常包含了 Excel 附件或受密码保护的 zip 附件,其中亦包含 Excel 文件。Excel 文件包含 XL4 宏,可从多个内置 URL 下载 Emotet 负载。但由于最近微软宣布开始默认禁用从互联网下载的Office文档中的宏,许多恶意软件已经开始从Office宏迁移到其他传递机制,如ISO和LNK文件。 虽然 Emotet 采用了旧方法,但仍通过另一种方式,即诱使受害者将文件复制到 Microsoft Office一个受信任的位置,在此处打卡文件将立即执行宏,且不会发出任何警告。但在将文件移动到受信任的位置时,操作系统会要求用户拥有管理员权限才能进行此类移动。 虽然总体活动与7月份的类似,但此次Emotet依然进行了不少更新,包括加载程序组件的更改、新命令的添加、更新打包程序以抵抗逆向工程。值得注意的是,Emotet的有效载荷——IcedID加载程序采用了全新的变体,不仅能接收命令以读取文件内容,将文件内容发送到远程服务器,还能执行其他后门指令以提取 Web 浏览器数据。研究人员对全新的IcedID感到担忧,因为它可能是为勒索攻击做铺垫。 Emotet曾是自2014年至今全球规模最大的恶意软件系列之一。2021年1月,Emotet僵尸网络被执法部门取缔,并于4月25日下发“自毁模块”后被彻底捣毁,C2服务器一度接近瘫痪。2021年11月,Emotet死灰复燃,开始间断性地进行活动。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350412.html 封面来源于网络,如有侵权请联系删除

美国 CISA、NSA、ODNI 联合发布保护软件供应链安全指南

10月18日,美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)和国家情报总监办公室(ODNI)合作发布了关于保护软件供应链的三部分系列文章的最后一部分。 该出版物遵循2022年8月发布的开发人员指南和2022年10月发布的供应商指南,为客户提供了推荐做法,以确保软件在采购和部署阶段的完整性和安全性。其中包括使用业务流程使安全要求和风险评估保持最新,并要求充分保护和控制所有数据和元数据的地理定位。 文章描述了威胁行为者可能利用的各种场景。其中包括旨在应对威胁的安全要求不是特定领域或不包括组织要求的事实,以及安全要求分析中的差距可能导致解决方案或所选安全控制不匹配。 此外,文章还指出,公司应分配特定员工来验证特定领域和组织的安全要求,并协调风险概况定义与任务和企业领域等。 最近的网络攻击,如针对SolarWinds及其客户的攻击,以及利用Log4j等漏洞的攻击,都突出了软件供应链中的弱点;这一问题既涉及商业软件,也涉及开源软件,对私营企业和政府企业都有影响。软件供应链可能会被国家对手使用类似的战术技术和程序(TTP)进行攻击,因此越来越需要软件供应链安全意识。 文章中还提到,白宫对此特地发布了关于改善国家网络安全的行政命令(EO 14028)。该命令确立了保护联邦政府软件供应链的新要求。这些要求包括对软件供应商和开发人员以及为联邦政府购买软件的客户的系统审查过程改进和安全标准。 CISA写道:“当产品没有得到适当的保护,当客户与可疑的地理位置和元数据相关联,或者当客户被怀疑与外国利益相关时,一般的安全漏洞也可能普遍存在。” JupiterOne首席信息安全Sounil Yu表示:“软件生产通常由行业完成,因此会有一些行业力量拒绝生产软件物料清单(SBOM)。由于行业和政府都使用软件,支持共享SBOM符合行业和政府的最大利益。但是,我们会看到政府内部的阻力较小。” CISA还表示,还应建立所有收购的安全要求。通过分拆公司、外部实体或第三方供应商获取软件时,客户应对整个供应链风险管理 (SCRM) 计算实施持续监控,并采取适当的控制措施来减轻假设变化和安全风险。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/y3n3PEfQsZtpWkYPc-wKCQ 封面来源于网络,如有侵权请联系删除

谷歌发现 34 个 Cobalt Strike 黑客工具包的破解版本

Hackernews 编译,转载请注明出处: 谷歌云(Google Cloud)上周披露,它在野外发现了34个不同的Cobalt Strike工具黑客版本,其中最早的版本于2012年11月发布。 根据谷歌云威胁情报(GCTI)团队的调查结果,这些版本从1.44到4.7,总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。 Cobalt Strike由Fortra(née HelpSystems)开发,是一种受欢迎的对抗框架,红色团队使用它来模拟攻击场景并测试其网络防御能力。 它包括一个作为指挥和控制(C2)中心的团队服务器,以远程控制受感染的设备,以及一个旨在提供下一阶段有效负载的stager,称为Beacon,这是一个功能齐全的植入物,可向C2服务器报告。 由于该软件具有广泛的功能,越来越多地黑客将其未经授权的版本武器化,以推进他们的后开发活动。 谷歌Chronicle子公司的逆向工程师Greg Sinclair表示:“虽然Cobalt Strike的意图是模拟真实的网络威胁,但黑客已经掌握了它的能力,并将其作为受害者网络中横向移动的强大工具,作为第二阶段攻击有效载荷的一部分。” 为了解决这种滥用,GCTI发布了一套开源的YARA规则,以标记恶意黑客组织使用的软件的不同变体。 Sinclair说:“我们的想法是删除坏版本,同时保留合法版本,我们的目的是将这个工具移回合法红色团队的领域,让攻击者难以滥用它。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

印度在新的隐私法案中提议允许与某些国家进行跨境数据传输

之前印度提出了一项新的全面数据隐私法,该法将规定公司如何处理其公民的数据,包括允许与某些国家进行信息的跨境转移,三个月后,印度在隐私倡导者和科技巨头的审查和关注下突然撤回了之前的提案。该国信息技术部于周五公布了一份名为《2022年数字个人数据保护法案》的拟议规则草案,供公众咨询。它将在12月17日前听取公众的意见。 草案说:”本法案的目的是规定数字个人数据的处理方式,既要承认个人保护其个人数据的权利,又要承认为合法目的处理个人数据的必要性,以及与此相关或附带的事项。” 该草案允许与”某些被通知的国家和地区”进行数据的跨境互动,此举被视为科技公司的胜利。 草案说:”中央政府在对其认为必要的因素进行评估后,可以通知印度以外的国家或地区,数据受托人可以按照规定的条款和条件将个人数据转移到这些国家或地区”,但没有指明具体国家。 代表Meta、Google、亚马逊和其他许多科技公司的游说团体的亚洲互联网联盟曾要求新德里允许数据跨境转移。他们在今年早些时候给信息技术部的一封信中写道:”跨境转移的决定应该不受行政或政治干预,最好是受到最低限度的监管。” “对跨境数据流动施加限制可能会导致更高的商业失败率,为初创企业引入障碍,并导致现有市场参与者提供更昂贵的产品。最终,上述授权将影响数字包容性和印度消费者访问真正的全球互联网和服务质量的能力,”该组织曾说。 该提案还试图赋予新德里(联邦政府)以权力,使各邦政府出于国家安全的考虑而豁免该法律。 该草案还提议,公司只能将他们收集的用户数据用于他们最初获得的目的。它还要求公司承担责任,确保他们为用户处理个人数据的确切目的而收集数据。 它还要求企业在默认情况下不要永久存储数据。该部的一份说明说:”存储应限于收集个人数据的既定目的所需的时间。” 该草案建议,如果公司未能提供”合理的安全保障措施以防止个人数据泄露”,最高可罚款等值3060万美元的当地货币。如果公司未能通知当地政府,以及未能披露个人数据泄露的用户,还将被罚款2450万美元。 印度政府自称早期提出的规则有助于保护公民的个人数据,根据其性质将其分为不同的部分,如敏感或关键。然而,根据该草案,新版本并没有对数据进行这样的隔离。 与欧洲的GDPR和美国的CCPA(加州消费者隐私法)类似,印度拟议的《2022年数字个人数据保护法案》将适用于在该国经营的企业和处理印度公民数据的任何实体。 公共政策专家对政府将该提案从以前的版本缩减到30条的举动表示赞赏–从90多条到30条。然而,他们认为,削减其文本会带来一些模糊性。 数字政策倡导者、总部位于新德里的科技政策智囊团The Dialogue的创始董事卡齐姆-里兹维(Kazim Rizvi)表示,删除与在各监管机构之间达成谅解备忘录以建立监管间协调有关的条款,以及省略测试创新的沙盒机制是有些令人担忧的。 “鉴于该法案将在不一致的情况下优先于其他现有的和拟议的法律,在印度的监管格局中,这种管辖权的先例说起来容易,实施起来难。因此,有必要采取更有条理的方法来协调现有的和拟议的相关法律,比如一个交叉参考系统,部门或特定领域的监管机构可以与《数字保护法》合作制定法规,”他说。 预计在接受公众咨询后,拟议的规则将在议会中讨论,不会对该国十多年前起草的有争议的特定法律带来任何变化。不过,新德里正在努力更新其二十年前的信息技术法,该法将作为《数字印度法》首次亮相。印度信息技术部部长Rajeev Chandrasekhar在最近的一次采访中透露将隔离中介机构,并作为终局。 今年8月,印度政府撤回了早先的《个人数据保护法案》,该法案是在人们的期待和司法压力下于2019年公布的。当时,印度IT部长Ashwini Vaishnaw说,考虑撤回是为了”提出一个符合综合法律框架的新法案”。Meta、Google和亚马逊等公司曾对议会联合委员会关于拟议法案的一些建议表示担忧。 带来数据保护法的举动是在2017年印度最高法院宣布隐私是一项基本权利。然而,由于其授予政府机构访问公民数据的权力的内在性质,该国先前的数据保护法案面临强烈的批评。 在本周早些时候在巴厘岛举行的20国集团峰会期间的一次会议上,总理纳伦德拉-莫迪谈到了”数据促进发展”的原则,并表示该国将与20国集团伙伴合作,在明年担任19个国家的政府间论坛主席期间,将”数字转型引入每个人的生活”。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7167649215261180456/?log_from=4340accc3e02e_1669001529978 封面来源于网络,如有侵权请联系删除

警惕!新的网络钓鱼攻击使用 Windows 安全绕过零日漏洞来投放恶意软件

新的网络钓鱼攻击利用Windows零日漏洞在不显示Web安全警告标记的情况下投放Qbot 恶意软件。从不受信任的远程位置(如 Internet 或电子邮件附件)下载文件时,Windows 会向文件添加一个特殊属性,称为 Web 标记。 此Web标记 (MoTW) 是备用数据流,其中包含有关文件的信息,例如文件来源的URL安全区域 、其引荐来源网址及其下载URL。当用户尝试打开具有 MoTW 属性的文件时,Windows 将显示一条安全警告,询问他们是否确定要打开该文件。 Windows 的警告中写道:“虽然来自 Internet 的文件可能很有用,但这种文件类型可能会危害您的计算机。如果您不信任来源,请不要打开此软件。” 上个月,惠普威胁情报团队报告称,网络钓鱼攻击正在使用JavaScript文件分发Magniber 勒索软件。这些JavaScript 文件与网站上使用的文件不同,它们是使用 Windows 脚本宿主 (wscript.exe) 执行的带有“.JS”扩展名的独立文件。 在分析文件后,ANALYGENCE 的高级漏洞分析师 Will Dormann 发现威胁参与者正在使用一个新的Windows零日漏洞 ,该漏洞阻止显示 Web 标记安全警告。 要利用此漏洞,可以使用嵌入式 base64 编码的签名块对JS文件(或其他类型的文件)进行签名,如 Microsoft 支持文章中所述。 但是,当打开具有这些格式错误签名之一的恶意文件时 ,Windows 不会被 Microsoft SmartScreen标记 并显示 MoTW 安全警告,而是自动允许该程序运行。 QBot恶意软件活动使用Windows零日 最近的 QBot 恶意软件网络钓鱼活动分发了包含 ISO 映像的受密码保护的 ZIP 存档。这些 ISO 映像包含用于安装恶意软件的 Windows 快捷方式和 DLL。 ISO 映像被用来分发恶意软件,因为 Windows 没有正确地将 Web 标记传播到其中的文件,从而允许包含的文件绕过 Windows 安全警告。 作为Microsoft 2022年11月补丁星期二的一部分,发布了修复此错误的安全更新,导致 MoTW 标志传播到打开的 ISO 映像内的所有文件,修复了此安全绕过问题。 在安全研究人员 ProxyLife发现的新 QBot 网络钓鱼活动中,威胁行为者通过分发带有格式错误的签名的 JS 文件来切换到 Windows Mark of the Web 零日漏洞。这个新的网络钓鱼活动从一封电子邮件开始,其中包含指向涉嫌文件的链接和该文件的密码。 单击该链接时,将下载一个受密码保护的 ZIP 存档,其中包含另一个 zip 文件,后跟一个 IMG 文件。在 Windows 10 及更高版本中,当双击磁盘映像文件(如 IMG 或 ISO)时,操作系统会自动将其挂载为新的盘符。 此 IMG 文件包含一个 .js 文件(“WW.js”)、一个文本文件(“data.txt”)和另一个包含重命名为 .tmp 文件的 DLL 文件的文件夹(“resemblance.tmp”)[ VirusTotal】,如下图。应该注意的是,文件名会因活动而异,因此不应将其视为静态的。 JS文件包含 VB 脚本,该脚本将读取包含“vR32”字符串的 data.txt 文件,并将内容附加到 shellexecute 命令的参数以加载“port/resemblance.tmp”DLL 文件。在这封特定的电子邮件中,重建的命令是: 由于 JS 文件来自 Internet,因此在 Windows 中启动它会显示 Web 安全警告标记。 但是,正如您从上面的 JS 脚本图像中看到的那样,它使用与 Magniber 勒索软件活动中使用的格式相同的畸形密钥进行签名,以利用 Windows 零日漏洞。 这种格式错误的签名允许 JS 脚本运行和加载 QBot 恶意软件,而不会显示来自 Windows 的任何安全警告,如下面启动的进程所示。 短时间后,恶意软件加载程序会将 QBot DLL 注入合法的 Windows 进程以逃避检测,例如 wermgr.exe 或 AtBroker.exe。 自10月以来,Microsoft 就知道了这个零日漏洞,现在其他恶意软件活动正在利用它,我们希望在 2022 年 12 月补丁星期二安全更新中看到该漏洞得到修复。 QBot 恶意软件 QBot,也称为 Qakbot,是一种 Windows 恶意软件,最初是作为银行木马开发的,但后来发展成为恶意软件植入程序。一旦加载,该恶意软件将在后台悄悄运行,同时窃取电子邮件用于其他网络钓鱼攻击或安装其他有效负载,如 Brute Ratel、 Cobalt Strike和 其他恶意软件。 安装 Brute Ratel 和 Cobalt Strike 后开发工具包通常会导致更具破坏性的攻击,例如数据盗窃和勒索软件攻击。 过去,Egregor 和 Prolock 勒索软件运营与 QBot 分销商合作以获得对公司网络的访问权限。最近, 在 QBot 感染后网络上出现了Black Basta勒索软件攻击。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/GSQ6W_nFDlWcRknl4hnb_Q 封面来源于网络,如有侵权请联系删除

臭名昭著的 Zeus 僵尸网络团伙头目在日内瓦被捕

Hackernews 编译,转载请注明出处: 一名乌克兰国民因参与臭名昭著的网络犯罪集团,使用名为Zeus的恶意软件从受害者的银行账户窃取数百万美元,被美国通缉十多年,已被瑞士当局逮捕。 Vyacheslav Igorevich Penchukov在网上化名“tank”和“father”,据说他参与了该组织的日常运营,于2022年10月23日被捕,目前正在等待引渡到美国。 独立安全记者Brian Krebs首先报道了逮捕的细节。 Penchukov和Ivan Viktorovich Klepikov(又名“petrovich”和“nowhere”)和Alexey Dmitrievich Bron(又名“thehead”)于2012年8月在内布拉斯加州特区首次被指控。 根据美国司法部(DoJ)在2014年发布的法庭文件,Penchukov和网络犯罪集团的其他八名成员用Zeus感染了“数千台商业计算机”,Zeus能够窃取密码、帐号和其他与登录网上银行帐户相关的信息。 然后,这些缴获的凭证被用来从账户中抽取资金,司法部称Jabber Zeus团伙为“广泛的勒索企业”。 2017年的一份WIRED报道称,Zeus银行木马是由一位匿名人士编写的,只知道此人的名字是lucky12345,将Penchukov描述为当地著名的DJ,喜欢高档宝马和保时捷。 更重要的是,被“无限适应性”恶意软件感染的机器可以被折叠到僵尸网络中,僵尸网络的力量可以用来执行分布式拒绝服务(DDoS)攻击。 Zeus的继任者,被称为Gameover Zeus,是一个对等僵尸网络,在2014年作为代号为Tovar的国际执法行动的一部分,被暂时中断。 所有被告都被指控共谋参与敲诈勒索活动、共谋实施计算机欺诈和身份盗窃、严重身份盗窃以及多项银行欺诈罪。 他的两名同谋Yevhen Kulibaba(又名“jonni”)和Yuriy Konovalenko(又名为“jtk0”)于2014年11月从英国引渡回国后认罪,并于2015年5月28日被判处两年零十个月监禁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文