安全研究人员发现二手市场上的企业级网络设备暗藏很多敏感数据，黑客可以利用这些数据来入侵公司网络或获取客户信息。 核心路由器是大型企业网络的骨干设备，用于连接所有其他网络设备，支持多个数据通信接口，是企业IP网络和应用的高速枢纽，也是黑客觊觎的主要目标之一。 近日，网络安全公司ESET的研究人员检查了几款从在线平台上购买的二手企业级路由器（编者：在国内二手交易市场上仅需数百元至数千元就可以买到多种品牌的二手企业级路由器），发现其中大多数在报废流程中没有被彻底擦除数据。 二手核心路由器暗藏敏感数据 网络安全公司ESET的研究人员在线购买了18台二手核心路由器，发现仍可正常使用的设备中一半以上保存着可访问的完整配置数据。 最初，ESET研究团队购买这些二手路由器用于设置测试环境，结果发现这些路由器没有被正确擦除，保留了网络配置数据以及可用于识别以前所有者的信息。 研究人员购买的设备包括思科（ASA 5500）的4台设备，Fortinet（Fortigate系列）的3台设备和来自瞻博网络（SRX系列服务网关）的11台设备。 在本周早些时候的一份报告中，Cameron Camp和Tony Anscombe表示，一台设备在抵达时已无法正常工作，被从测试中淘汰，其中两台设备是彼此的镜像，在评估结果中算作一个。 在剩下的16台设备中，只有5台设备被正确擦除，只有2台设备得当安全强化（其中保存的配置数据访问难度较大）。 其余9台设备没有被正确擦除或强化，研究人员可以轻松访问前用户配置网络和系统连接的完整配置数据，包括所有者信息。 公司网络设备的报废流程中，管理员通常需要运行一些命令来安全地擦除配置并重置配置。如果没有执行上述措施，第三方可通过恢复模式来从二手市场的核心路由器中访问配置数据。 处于管理盲区的“硬件泄露” 研究人员表示，一些路由器保留了客户信息，允许第三方连接到网络的数据，甚至是“作为受信任方连接到其他网络的凭据”。 此外，在上述测试中，保留了完整配置数据的9台路由器中有8台还保存了路由器到路由器身份验证密钥和哈希。公司机密列表扩展到本地或云中托管的敏感应用程序的完整映射。例如：Microsoft Exchange、Salesforce、SharePoint、Spiceworks、VMware Horizon和SQL等。 “攻击者可根据（路由器泄露的）应用程序粒度和特定版本，在整个网络拓扑中部署特定的漏洞利用。”-ESET 研究人员解释说，如此详细的内部信息通常只有“高级权限人员”才能访问，例如网络管理员及其经理。 黑客可通过二手核心路由器中的这些敏感信息轻松制定攻击路径和计划，深入网络而不被发现。 “有了如此详细的网络信息，模拟网络或内部主机对于攻击者来说会简单得多，特别是二手路由器设备通常还包含VPN凭据或其他容易破解的身份验证令牌”-ESET 更糟糕的是，通过分析二手路由器中的信息，研究人员发现其中一些路由器来自托管IT提供商的环境，这些托管提供商运营着（很多）大公司的网络。 其中一台设备甚至来自托管安全服务提供商（MSSP），该提供商为各个领域（例如教育、金融、医疗、制造业）的数百个客户处理网络。 最后，研究人员强烈建议企业在淘汰网络设备之前正确擦除数据。公司应该制定并严格执行安全销毁和处置数字设备的流程，彻底清理设备中的潜在敏感数据，将其恢复为出厂默认状态。 研究人员还警告说，使用第三方服务进行设备销毁或擦除可能并不是个好主意。因为当ESET通知路由器原用户时发现，很多公司使用了第三方服务（但设备并未被正确擦除）。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/yS7lfvQpoxNyR1DeSbP58g 封面来源于网络，如有侵权请联系删除

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。 APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。 在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。 自定义 Cisco IOS 路由器恶意软件 Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。 NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。” 为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。 如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。 一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。 NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。” 此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露： 显示运行配置 显示版本 显示 ip 界面简介 显示arp 显示 cdp 邻居 演出开始 显示 ip 路由 显示闪光 所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。 Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。 如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。 CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。 最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。 目标的转变 公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。 由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。 此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/0SbA7wXgGuDajkAMoOxqZA 封面来源于网络，如有侵权请联系删除  

据BleepingComputer 4月18日消息，澳大利亚公平竞争和消费者委员会（ACCC）表示，2022 年澳大利亚人因网络诈骗损失了创纪录的 31 亿美元，相比2021年增加80%。 根据分类，网络投资类诈骗占了大头，损失达 15 亿美元，其次是远程访问诈骗及支付重定向诈骗，分别造成 2.29 亿美元及2.24 亿美元的损失。这些数字基于 ACCC 的 Scamwatch、ReportCyber、澳大利亚金融犯罪交易所 (AFCX)、IDCARE 和其他各种政府机构收集的数据。 根据ACCC的数据，虽然2022年总体诈骗报告数量要比2021 年下降16.5%，但由于平均每起报告受害者的经济损失增加了 50%，达到约 2万美元，最终造成总体损失有了大幅上升。 ACCC 副主席 Catriona Lowe 认为，诈骗有效性的提高是由于攻击者使用的主题越来越复杂，使诈骗更加可信，比如从冒充官方电话号码、电子邮件地址和合法组织的网站，到与真实消息出现在同一对话线程中的诈骗文本。 不过，最重要的驱动因素是数据泄露，2022 年在澳大利亚创下了历史新高。最具代表性的事件源自2022 年 9 月，澳大利亚电信巨头 Optus因网络攻击导致1100 万客户个人数据泄露。ACCC指出，在数据泄露事件发生后的几周内，Scamwatch 收到了数百份诈骗报告，包括冒充政府部门和企业进行身份盗窃和远程访问诈骗。 澳大利亚政府已在2022年底批准了一项修订该国隐私立法的法案，规定对遭受大规模数据泄露的公司处以最高5000 万澳元（约3360万美元）的罚款。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364050.html 封面来源于网络，如有侵权请联系删除

继去年美军被曝光秘密采购基于网络日志的大规模监控工具后，日前又有多个美国联邦政府机构遭曝光，向私人数据公司购买互联网流量日志，或存在侵犯公民隐私嫌疑。 美军秘密采购大规模监控工具 2022年有报道称，美国海军刑事调查局、国防情报局、国防反情报与安全局、海关与边境保护局等多个军事情报单位花费数百万美元向数据经纪机构购买互联网流量日志。 美国参议员罗恩·怀登称，上述部门购买的互联网流量日志，“能够展示民众的个人身份，以及人们在网上的阅读内容等极其敏感的信息。”这意味着政府机构可能会绕过宪法的保护，从见不得光的数据经纪机构和其他私营企业那边获得公民的隐私数据。 美国公民自由联盟等主要权利组织对此事件表达了担忧，称有必要以更高的透明度关注政府机构如何使用这些信息。多位联邦议员也在努力调查美国政府在未获授权的情况下获取互联网数据的行为，要求有关部门颂涉嫌购买数据的细节，以确定是否侵犯了公民隐私。 FBI也被曝出多次采购Netflow数据 但美国联邦机构对议员和权利组织对此质疑置若罔闻，近日又被曝出向私人数据公司购买互联网流量日志，继续表现出对互联网数据和产品的极大兴趣。 据外媒Motherboard报道，美国联邦调查局（FBI）内部文件显示，FBI分别于2009、2011、2013和2017年向私人公司购买了互联网流量日志（netflow），其中最新一次交易（2017年）花费了76450美元。所谓“互联网流量日志”包括服务器之间的通信、本应只能够被服务器所有者或互联网服务提供商获取的信息等流量数据。 文件显示，FBI是为其下属的网络部门进行上述交易的。据悉，FBI网络部门的主要职责，是调查网络犯罪和国家安全领域的黑客。 但按照参议员罗恩·怀登的说法，对这些数据进行分析可以识别黑客所用的基础设施，更能够“揭示美国人访问的网站以及其他敏感信息，比如一个人看什么医生、他们的宗教信仰或他们使用的约会网站”等等，所以“政府这种在未得到法院授权的情况下购买私人数据是不可接受的”。 Team Cymru公司为核心供应商 值得注意的是，向FBI提供“货品”的，仍然是出现在2022年报道中的Team Cymru公司（或其子公司），这表明该公司在去年的曝光事件后并未收敛，美国政府部门也未终止与它的合作。Team Cymru公司的产品优势由此可见一斑。 Motherboard称，这家公司的上市产品主打“通过虚拟专用网络跟踪流量的能力”，并可显示访问流量来自哪个服务器。另外，Team Cymru公司的产品清单上还包括URL访问数据、cookie和PCAP数据等。尽管被曝光的内部文件显示FBI并未购买或获得此类数据，但在2022年的报道中，一名举报人曾明确表示海军犯罪调查处涉嫌在没有授权的情况下使用了这些数据。 Motherboard称，Team Cymru公司是通过“交换服务”的方式从互联网服务提供商处获取上述数据和信息的——前者承诺向后者提供威胁情报做为回报。但很有可能的是，两者之间的交易是在互联网用户不知情的情况下进行的。罗恩·怀登毫不客气地指出，FBI从Team Cymru公司手里购买这样的数据，“欠美国人民一个解释。” 国税局也被曝光采购Netflow数据 然而，FBI的解释还没等到，美国联邦政府机构向Team Cymru公司购买互联网流量日志的另一笔交易新闻却先到了。这次的主角是美国国税局（IRS）。 公开采购记录显示，国税局希望向Team Cymru公司购买一款互联网监控工具，并从其他网络安全公司购买定制服务。据悉，国税局寻求购买的互联网监控工具，是Team Cymru公司出品的“Recon—Advanced”。公司官网介绍称，Recon—Advanced具备“互联网流量遥感”功能，可通过主动向采集器上送监测数据的方式采集类型丰富的互联网数据，该网站将这些数据描述为“世界上最大的威胁情报数据海洋”。所以使用Recon—Advanced产品，就能够“通过十多个代理和VPN追踪恶意活动，以确定网络威胁的来源”。 综合上述信息，国税局购买Recon—Advanced产品的目的似乎是防御性的，可以帮助本部门网络安全专业人员监控本部门网络之外的活动，并对互联网上正在发生的事情进行观察。如果真的如此，那么这可能有利于防御者对黑客进行识别。 众多行业人士表达怀疑和担忧 但是，多名网络安全专业人士对此表示了怀疑和担忧。 首先，Team Cymru公司互联网监控工具的数据收集对象不仅仅针对黑客或疑似黑客，而是无差别式的。一位消息人士表示，他在Team Cymru收集到的数据仓库中甚至看到了一个自己熟识的组织的流量，当时大吃了一惊。言下之意，即谁也不能保证Team Cymru公司收集的数据不会侵犯公民或社会团体的隐私。 其次，国税局或其他政府部门从Team Cymru公司购买的数据将用于何处无法得到有效监督。正如网络大数据分析公司Kentik总裁艾唯·弗里德曼（Avi Freedman）所说，尽管Team Cymru公司宣称本公司出售的数据将用于网络安全，但仍有些人想将这些数据用于其他目的。所以最好的办法是取消互联网数据交易。他举例称，曾有一家对冲基金试图以研究经济的名义从Kentik公司获取网络数据流量，但遭到了自己的拒绝。他表示，对冲基金求购的数据“是我们客户的数据，不是我们的。所以我们的回答是‘不’”。 Team Cymru公司一再向政府部门出售流量数据的行为已引起不满和怀疑。参议员罗恩·怀登在表示此类行为“不可接受”的同时，还强调自己已提出出台《禁止出售法》的建议，禁止政府部门或相关机构购买此类私人数据。 旨在为用户提供绕过审查匿名访问网站服务的非营利性项目Tor Project则表示，将对Team Cymru公司捐赠的基础设施敬而远之。该组织称，远离Team Cymru公司基础设施的迁移工作预计将在今年春天完成。     转自 安全内参，原文链接：https://www.secrss.com/articles/53850 封面来源于网络，如有侵权请联系删除  

西门子 Metaverse 是一个虚拟空间，用于镜像真实的机器、工厂和其他高度复杂的系统，它暴露的敏感数据，包括公司的办公计划和物联网 (IoT) 设备。 虽然 Metaverse （即“元宇宙”）不再是流行语，但在 ChatGPT 和类似 AI 工具突然流行的情况下，这些虚拟世界仍然存在，为公司、用户以及不幸的威胁参与者提供了令人兴奋的机会。 收入超过 71 万亿美元、在全球拥有 300,000 名员工的德国跨国公司西门子也加入了元宇宙的行列。2022年，与美国跨国科技公司英伟达合作，共建工业元宇宙。 最近，Cybernews 研究团队发现西门子 Metaverse（一个旨在为其工厂和办公室创建数字“双胞胎”的平台）正在泄露敏感信息。 如果攻击者获得了暴露的数据，可能会对该公司和其他使用其服务的大公司造成毁灭性后果，包括勒索软件攻击。 另一方面，西门子表示，“该问题并不严重，并且已得到缓解。” Metaverse 泄漏：我们发现了什么 3 月 1 日，Cybernews 研究团队发现了一个托管在 metaverse.siemens.com 域中的环境文件。它包含 ComfyApp 凭据和端点，还发现西门子在受影响系统的不同端点上泄露了四组 WordPress 用户以及三组后端和身份验证端点 URL。 WordPress 只设置了暴露的用户名和头像图片，但所有四个基于西门子 WordPress 的子域都容易受到 WordPress 本身在 2017 年修复的缺陷的影响，这让研究人员怀疑这些网站上是否存在更严重的漏洞 。 后端和身份验证端点 URL，用于在授予用户访问权限之前验证用户，可能导致攻击者测试它们的漏洞并加以利用。 最令人担忧的发现是暴露的办公管理平台 ComfyApp 用户凭据。西门子拥有的应用程序有助于工作区管理，这意味着它需要敏感数据，包括平面图、有关物联网 (IoT) 设备的信息、员工日历和室内图片。 我们无法确定单独使用 ComfyApp 凭据可以访问上述数据中的多少。 Cybernews 的研究人员说：“我们真诚地希望威胁行为者在西门子设法修复之前没有发现泄漏。鉴于西门子制造并维护着关键基础设施所使用的大量技术和机器，一旦获得访问权限，他们就可以窃取大量敏感数据。” Cybernews 团队补充说：“西门子的客户包括数十亿美元的公司，处理极其敏感的数据，攻击者肯定会发现它非常有价值。” 极具吸引力的目标 那么，如果有人登录并偷看您的办公室计划和图片，甚至是您的日历怎么办？员工很清楚他们不应该让陌生人进入他们的办公室，那么为什么数字工作场所的规则会有所不同呢？ Cybernews 研究人员说：“在窥探数字办公室之后，攻击者可以简单地出现在实体办公室，就好像他们在那里工作了多年，了解所有空间并熟悉智能空调等办公设备。这只会让攻击者更容易闯入。” 而且他们不会只是为了偷笔而闯入。更有可能的是，他们会插入受感染的 USB 驱动器，最终甚至可能导致勒索软件。 由于 Metaverse 的构建方式使其应具有最新的工厂数据，因此攻击者甚至可以提取一些商业机密，例如制造技术。 “这里的威胁行为者有很多机会。但由于这是元宇宙技术在可能泄露敏感现实世界数据的情况下使用的首批案例之一，因此目前尚不清楚威胁参与者将采用何种方法来充分利用此类问题。”研究小组说。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/mFB3YvxKLo7lwo_n4rTtMQ 封面来源于网络，如有侵权请联系删除

4月14日，谷歌正式公布了一系列举措，专门针对目前漏洞管理生态系统的不足，出台一些更透明度的制度和措施。 谷歌曾在一份公告中提到，零日漏洞作为头条新闻的“常客”，风险性确实是比较大的。即使我们一发现漏洞就立刻修复，它的风险仍然存在，而且可能出现的风险包括OEM采用的滞后时间、补丁测试的痛点、终端用户的更新问题等各个方面，所以如何去改善这件事，真的是个非常现实的问题。 不仅如此，安全威胁还可能来自于供应商应用不完整的补丁。有时候一些实验室和研究机构外部的零日漏洞有很大一部分会直接变成以前打过补丁的漏洞的“升级版本”。如果想要减轻此类风险，必须要从漏洞的根源解决问题。而在这个解决过程中，要优先考虑现代安全软件开发实践的情况，这样就能更好的消除所有同类型的威胁，同时还能阻止潜在的攻击路径。 基于上述因素，谷歌表示目前正在组建一个黑客政策委员会，该委员会将会确立新的政策和法规。同时，谷歌进一步强调，后面如果再出现某产品系列的漏洞被人利用的情况出现，掌握证据后，会直接将调查事件结果进行公开披露。 这家科技巨头表示，它还在筹备设立一个安全研究法律辩护基金，专为从事正向研究的优秀个人提供种子资金，以更好的促进网络安全问题的宣传，从而更好的发现安全问题并更加及时地报告漏洞信息。 谷歌最新的安全计划表明，如果想要漏洞不轻易被利用，那么就要加速已知漏洞的补丁应用，制定有针对性的政策，并且让用户及时了解这些讯息，以最大程度的确保产品的生命周期。另外，安全计划中还强调了在软件开发生命周期的任何阶段，应用设计安全原则都十分重要。 在公开宣布这一消息之后，谷歌还推出了一项名为deps.dev API的免费API服务，可以向人们提供对Go、Maven、PyPI、npm和Cargo存储库中约500万个开源包中，共计约5000多万个版本的安全元数据和依赖性信息访问的服务，从而确保软件供应链的安全性。 同时，谷歌的云计算部门也宣布将为Java和Python生态系统提供开源软件（Assured OSS）服务，以保证该系统的普遍可用性。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363591.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员详细介绍了一个名为 RTM Locker的新兴网络犯罪团伙的策略，该团伙作为私营勒索软件即服务（RaaS）供应商，进行勒索攻击以获取非法利润。 网络安全公司Trellix在一份分享的报告中说：RTM 团伙有着严格的规则和商业化设置，要求附属机构保持活跃，这也显示了该组织有较高的成熟度。 RTM是ESET在2017年2月首次发现的，RTM起初在2015年是一个银行恶意软件，通过驱动下载、垃圾邮件和钓鱼邮件来针对俄罗斯的企业。此后，该组织的攻击链发展到在被攻击的主机上部署勒索软件的有效载荷。 2021年3月，该组织被认定为是一个勒索和敲诈活动的组织，部署了三重威胁，包括一个金融木马、合法的远程访问工具和一个名为Quoter的勒索软件。 该组织的一个关键特征是它故意避开可能引起人们关注的高知名度目标。因此，独联体国家以及停尸房、医院、新冠疫苗相关企业、关键基础设施、执法部门和其他知名公司都是该团伙的禁区。 RTM Locker恶意软件的构建受到严格的授权约束，禁止附属机构泄露样本，否则将面临被禁止的风险。在其他规则中，有一个条款规定，如果联盟成员在没有预先通知的情况下保持10天不活动，就会被锁定。 RTM像其他RaaS集团一样，使用敲诈技术迫使受害者付款。就其本身而言，该有效载荷能够提升权限，终止防病毒和备份服务，并在开始其加密程序之前删除影子副本。 它还被设计能够清空回收站以防止恢复，改变墙纸，擦除事件日志，并执行一个壳命令，作为最后一步自我删除。 这些发现表明，网络犯罪团伙将继续 采用新的战术和方法，以绕过、躲避研究人员的监控雷达。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363586.html 封面来源于网络，如有侵权请联系删除

理论上，大多数恶意的Android应用来自可疑的网页或第三方应用商店，但安全研究人员经常发现它们隐藏在Google的官方Play商店中。卡巴斯基的一份新报告表明，被黑的Play Store应用正变得越来越复杂。 在本周发表的一份新报告中，安全公司卡巴斯基描述了一个暗网市场，提供用Android恶意软件和间谍软件入侵目标的服务。黑客可以将大部分恶意代码偷偷放到Google Play商店，规避Google最严格的保护措施。 这个过程的第一步，也可以说是对终端用户最危险的一步就是劫持Play商店的开发者账户。一个潜在的攻击者可以向黑客支付25-80美元，购买一个被盗或用偷来的凭证注册的开发者账户。这让网络犯罪分子把以前信任的应用程序转化为恶意软件的载体。 如果攻击者上传了一个新的应用，他们可能不会立即加载间谍软件，以避免引起Google的注意，相反，其策略是等待，直到它积累了足够的下载量。黑客还提供夸大下载量的服务，并发起Google广告活动，使欺诈性的应用程序看起来更合法。 然后，黑客可以使用加载器，通过看似合法的更新将恶意代码推送到目标设备，但这些可能不包含最终的恶意软件有效载荷。应用程序可能会要求用户同意从Google游戏商店以外的地方下载应用程序或其他信息，然后完全感染设备以完全控制或窃取信息。被感染的应用程序有时会停止正常工作，直到用户授予下载完整有效载荷的权限。 黑客在销售恶意软件时提供一系列复杂的服务和交易，包括演示视频、捆绑销售、拍卖和各种付款计划。恶意软件卖家可能会要求一次性付款，从诈骗行动中获得一定比例的利润，或收取订阅费。 为了增加成功感染的机会，黑客们出售混淆服务，使有效载荷复杂化，以加强对Google的安全防护。相反，存在更便宜的绑定服务选择，试图用非Play Store APK感染目标，其成功率比加载器低。 对用户来说，最直接的预防措施是永远不要让Play Store应用程序从Play Store以外的地方下载任何东西，特别是如果这些应用程序通常不要求这种许可。始终谨慎对待授予应用程序的权限。同时，开发者应该格外小心，通过多因素认证和一般的警惕性等常见的最佳做法来保护他们的账户安全。最常受影响的应用程序是加密货币追踪器、二维码扫描器、约会和金融应用程序。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7220990076393062967/ 封面来源于网络，如有侵权请联系删除

近日，有一个名为ARES的威胁组织突然名声大噪，该组织不仅窃取一些企业、公共机构的数据库信息，还会将窃取来的信息放在网站进行售卖。 不过事实上早在2021年底，Telegram上就出现了这类窃密事件。而且值得一提的是，这个事情还与此前RansomHouse勒索软件事件也有点关联，甚至还涉及到了KelvinSecurity、Adrastea这两个黑客组织。 ARES组织有自己的独立网站，网站内涵盖一些窃取来的数据信息以及一个黑客论坛。从另一个层面来看，这个论坛倒是有可能会成为此前宣布关停的知名地下黑客论坛Breached的替代品。 ARES展示了其合作项目（Cyfirma） 针对ARES目前的这一些列操作，知名网络情报公司Cyfirma在其报告中提到，这个组织的运营模式和之前的勒索软件卡特尔几乎可以说“一脉相承”。他们的都是先和这些实施窃取信息的人取得联系，然后再把他们汇聚到一起，然后对企业或其他组织的数据信息实施入侵窃取等行为。 ARES Leaks：只有想不到，没有它“窃不到” ARES Leaks是一个依托在网页上的平台，里面涉及到了包括美国、法国、西班牙、澳大利亚和意大利等65个国家的泄露信息。从电话号码、电子邮件地址、客户详细资料、B2B、SSN和公司数据库，到外汇数据、政府信息和护照信息等等，反正几乎人们能想到的信息，几乎都能在这找到。 如果有人想要访问这个网站的数据，或者是想要购买这个网站提供的某项服务，比如漏洞利用、应用入侵测试、恶意软件开发或分布式拒绝服务攻击（DDoS）等，必须要使用加密货币进行付费。 而且值得注意的是，在Breached关停后，Cyfirma就曾表示过，ARES Leaks的活跃度是有明显提升的。 2022年底ARES还发布信息称，希望能找到一些在叙利亚工作的恶意软件开发人员和专业做应用入侵测试的人，并为其提供加密货币的付款方式。 ARES寻求雇佣IT专家 (Cyfirma) 不仅如此，ARES还提供VIP服务，应该是售卖一些价值很高的权威机构数据信息。Cyfirma的报告中提到，ARES最近已经接触到了一些涉及到军事机密的数据库，并且还在网站上积极的打广告，说这些信息的价值“不菲”，希望能引来一些客户。 LeakBase：或成Breached的“继承者” 今年年初，ARES威胁组织又推出了一个名叫LeakBase的新论坛平台。之前因为正赶上Breached黑客论坛关停，不少论坛的用户“无处可去”，所以年初这个平台一登场，确实引来了不少人“驻足”。 这个平台是任何人都可以免费注册的，而且这里有个免费的数据库可供使用。但事实上这里其实是一个售卖泄密线索、漏洞和服务的全新平台。而在付款方式上，ARES动了点小心思。因为考虑到有的“消费者”可能会担心交易过程中存在一定支付风险，所以这个平台的收款方式设定的是代理收付业务，从而提升客户的“信任度”。 此外，这个平台专门为一些热衷讨论编程、黑客技巧、教程、社会工程、渗透、密码学、匿名和opsec指南等内容的用户提供了专属讨论空间。 LeakBase论坛（BleepingComputer） 虽然LeakBase目前还在初期建设运营阶段，无法媲美此前知名的Breached。但不得不承认的是，LeakBase的名声已经日益开始“响亮”起来了，它可能很快就会成为网络犯罪分子的重要信息和服务枢纽。 现在看来，ARES似乎是一个组织精密、部署完善的威胁组织。它现在不仅正在快速扩张，而且甚至野心勃勃地想要垄断整个行业的利益链。Cyfirma也表示，Breached的关停，从一定程度上对于ARES来说，似乎成为了其发展的垫脚石，正好给ARES的发展提了速，还为其在市场站稳脚跟提供了一个“良机”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363224.html 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）牵头、十余个国际合作伙伴参与联合执法行动，查封了全球最重要的网络犯罪平台之一Genesis Market。 作为犯罪分子的一站式商店，Genesis Market销售被盗凭证和数据武器化工具，与全球数百万起出于经济动机的网络事件有关，包括网络欺诈、勒索软件攻击等。 Genesis Market网站的登录页面现已被题为“Operation Cookie Monster”的新页面取代，其中明确提到该市场已被查封。Genesis组织在暗网和常规网络分别维护有网站。 外媒体The Record了解到，全球范围内也在进行大规模逮捕行动。 最大特色：售卖附带浏览器指纹的凭证 威胁情报厂商Recorded Future的分析师Alexander Leslie表示，Genesis Market凭借着独特的“服务内容”，从Russian Market和2easy Shop等凭证销售市场中脱颖而出。 与其他同类市场不同，Genesis Market为犯罪分子提供“肉鸡”（bot）或“浏览器指纹”的访问权限，使得他们可以冒充受害者的网络浏览器——包括IP地址、会话cookie、操作系统信息和插件等。 Leslie表示，利用这些指纹信息，犯罪分子可以访问Netflix、亚马逊等订阅平台乃至在线银行服务，且不会触发“用户XX为何会在印度登录？”之类的安全警报。用户甚至可以成功绕过多重身份验证。 “之所以说Genesis Store上的指纹信息与众不同，是因为其能够模拟受害者的浏览器会话——这样受害者跟实际用户的身份将无法区分，从而绕过安全识别「标记」。” Leslie解释道，“肉鸡”中包含的数据主要由信息窃取恶意软件负责收集。而且区别于其他竞争对手，Genesis Market上没有第三方供应商列表，这与Russian Market明确列出RedLine、Vidar、Raccoon或META等信息窃取程序的作法不同。 图：GENESIS MARKET上列出的“肉鸡” 规模巨大：累计出现上亿个“肉鸡”列表 购买之后，“肉鸡”即可导入犯罪分子开发的名为Genesis Security的浏览器，其也可作为其他网络浏览器的扩展。这些“肉鸡”允许犯罪者使用窃取到的凭证进行伪装。 其中还提供可通过指纹访问的服务列表，通常包括Netflix、亚马逊、Facebook和eBay账户。“肉鸡”还掌握着未自动纳入列表中的服务凭证，例如员工网络等。 “一切都完全匹配——所在位置、IP地址、浏览器信息等。在安装了Genesis Store浏览器扩展程序之后，买家就能导入受害者「肉鸡」，浏览器将立即重置以伪造你的受害者「身份」。对于在线服务，这种身份与真实用户高度相似、甚至很可能完全相同。” 图：该平台提供浏览器和插件，供用户部署“肉鸡” Genesis市场是邀请注册制的网站，但邀请码可以在搜索引擎找到。与大多数大型犯罪论坛一样，其邀请码随处可见，甚至在YouTube视频中也能获取。 目前尚不清楚Genesis市场上的受害者总数，但Leslie表示自2018年以来，Recorded Future平台共发现约1.35亿个“肉鸡”列表。 “根据当前活跃列表的数量来看，再参考过去一个月平台引用的总样本规模（130万），我认为Genesis Store的整个生命周期内约掌握着3000到5000万个活跃列表。” 他还警告称，这个数字只是估算值，“因为Genesis Store不显示历史记录”，所以“实际数字可能要高得多”。 其犯罪业务在设计当中还专门考虑到低准入门槛，希望为更多受众提供一站式欺诈服务。Genesis甚至提供相应的维基百科，向新用户解释其工作原理，以期广泛实现欺诈商品化。   图：GENSISS在维基词条中解释如何进行欺诈活动 “这意味着窃取信息的「僵尸网络」由Genesis Store负责管理和控制”，也就是说Genesis Store背后的犯罪分子拥有“对整个列表的命令和控制权，并可持续访问受到感染的机器。” “这就是Genesis Store维持「活力」的部分原因。与受感染机器的持续通信将保证「肉鸡」得到不断更新，尽可能让指纹信息保持最新。”     转自 安全内参，原文链接：https://www.secrss.com/articles/53469 封面来源于网络，如有侵权请联系删除