2021年5月以来，在公安部的组织指挥下，云南公安机关历时8个多月，成功破获全国首例域名黑产犯罪案件，经全国各地公安机关连续奋战，共侦破案件300起，抓获涉案人员630人，查封用于黄、赌、诈等违法网站域名50余万个。 近日，该案在昆明市西山区人民法院依法进行审理，案件中违规销售域名的某网络科技公司被判处罚金200万元；李某某、怀某某等主要犯罪嫌疑人一审分别被判处一至二年不等有期徒刑，并处罚金。 近年来，随着网络技术和智能手机的飞速发展，赌博、色情、诈骗等传统犯罪加速向网上迁移，以网站和APP为载体的网络犯罪活动日益突出。域名是其中不可或缺的重要组成部分，是此类非法网站和APP必不可少的构成要素,因此网络域名黑产犯罪也逐渐成为了一种危害较大的新型网络技术犯罪。 2021年5月13日，昆明市公安机关成功捣毁了2个为境外“黄赌诈”网站及APP提供“域名防封堵”服务的网络黑产犯罪团伙，查明其共为2400余个境外“黄赌诈”网站提供“域名防封”技术服务非法牟利的犯罪事实，一条网络黑灰产业被“起底揭盖”。 经深入调查，发现为两个犯罪团伙提供的域名全部来自省外某网络科技公司。案件情况上报后，引起公安部高度重视，将该案列为公安部督办案件，要求云南组织精干力量开展专案攻坚，查清该公司违法犯罪事实，摸清域名类犯罪活动生态，为全国公安机关类案打击提供“云南经验”，深入推动行业治理。 2021年11月1日，专案组赴省外并在当地公安机关的大力配合支持下，对该网络科技公司开展收网工作。抓获以李某某、怀某某等为首的犯罪嫌疑人29人，查获非法销售域名400余万个、被用于违法违规网站94万个（其中近90万个涉及黄、赌、诈违法犯罪网站），帮助解封违法违规域名2.4万个，查、冻涉案资金200余万元。经查，该网络科技公司作为国内域名注册服务代理商，未履行监管职责和义务，违规销售未实名注册的域名，并将未变更的备案域名高价出售给他人搭建违法犯罪网站，还为违法犯罪人员提供“域名防封”服务，导致违法犯罪网站、APP屡禁不止，严重危害网络安全秩序和群众财产安全。 2022年3月25日，公安部迅速对全国公安机关作出安排部署，在云南省公安厅成立分指挥部，对上述案件涉及域名黑产的犯罪线索发动全国集群战役。云南密切联合27个省市公安机关，高效统筹全面推进。经全国各地公安机关连续奋战，共侦破案件300起，抓获涉案人员630人，查封用于黄、赌、诈等违法网站域名50余万个，查获境内外公民个人信息450余万条，查封仿冒网站4000余个。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351436.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，一种名为“Schoolyard Bully”木马程序攻击遍布 71 个国家的 30 多万Android用户。该木马程序伪装成合法的教育主题应用程序，引诱毫无戒心的用户下载，随后便窃取其 Facebook 凭证。 据悉，这些应用程序可以从官方Google Play商店下载，目前已经被删除了。但是，用户仍然可以在第三方应用商店中下载并继续使用。 Zimperium 研究人员 Nipun Gupta 和 Aazim Bill SE Yaswant 在与 The Hacker News 分享的一份报告中表示，“Schoolyard Bully”木马程序使用了 JavaScript 注入来窃取 Facebook 凭证。 研究人员进一步分析发现，“Schoolyard Bully”通过在 WebView 中启动 Facebook 的登录页面来实现这一目的，该页面还嵌入了恶意 JavasCript 代码，将用户电话号码、电子邮件地址和密码渗透到配置的命令和控制（C2）服务器。 此外，“Schoolyard Bully”木马还进一步利用诸如“libabc.so”之类的本地库，以避免防病毒解决方案的检测。 虽然“Schoolyard Bully”木马专门针对越南语应用程序，但在 70 多个国家的其它应用程序中也发现了其踪迹。 一年多前，Zimperium 在代号为 FlyTrap 的活动中发现了类似活动，攻击者旨在通过恶意 Android 应用程序危害 Facebook 账户。 Zimperium 移动威胁情报主管理查德·梅里克（Richard Melick）强调，攻击者窃取 Facebook 密码会造成很大破坏，如果攻击者冒充受害者，就很容易诱使其朋友和其它联系人发送金钱或敏感信息。 值得注意的是，许多用户重复使用相同密码，如果攻击者窃取了受害者 Facebook 密码，很可能掌握其电子邮件和密、银行或金融应用程序、公司账户等。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351387.htmll 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Medibank周四证实，在拒绝支付赎金后，这起破坏性网络攻击的幕后黑客在暗网上发布了从其系统中窃取的另一批数据。 澳大利亚健康保险公司表示：“我们正在分析数据，但公布的数据似乎是我们认为罪犯窃取的数据。” “虽然我们的调查仍在继续，但目前没有迹象表明金融或银行数据已被窃取。被盗的个人数据本身不足以实现身份和金融欺诈。到目前为止，我们分析的原始数据是不完整的，难以理解。” 该公司承认，在2022年10月发生勒索软件事件后，其现有和前任客户中约970万人的个人数据被访问。 其中包括510万Medibank客户、280万ahm客户和180万国际客户。还访问了约16万Medibank客户、30万ahm客户和2万国际客户的健康索赔。 最新的数据集以六个ZIP存档文件的形式上传，其中包括健康索赔信息，尽管Medibank注意到大部分数据都是碎片化的，并且没有与客户姓名和联系方式相结合。 攻击者被怀疑位于俄罗斯，与今年5月早些时候卷土重来的REvil勒索软件组织有关。 与此同时，澳大利亚信息委员会（OAIC）办公室宣布对Medibank与安全事件相关的数据处理做法展开调查。 电信巨头Optus已经在进行类似的调查，该公司在2022年9月下旬遭遇黑客入侵，以确定该公司是否“采取了合理措施，保护其持有的个人信息免受滥用、干扰、丢失、未经授权的访问、修改或披露”。 这些大型数据泄露事件也促使澳大利亚政府通过了一项新的立法，如果公司多次或严重的数据泄露，可能会面临高达5000万澳元的罚款。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

虽然企业客户支出因经济下滑而放缓，但全球消息安全市场仍有望以两位数增长。IMARC Group的最新报告显示，全球消息安全市场的价值预计将从2021年的51亿美元暴增至2022年的112亿美元。Mordor Intelligence发布的另一份报告则预测该市场将从2021年的40亿美元增长到2022年的147亿美元。 面对消息安全市场需求的暴增，刚刚宣布关闭面向消费者的加密消息服务（Wickr Me）的亚马逊AWS在本周二的re：Invent大会上宣布正式推出Wickr Me的企业版本AWS Wickr。 AWS Wickr于7月首次公布，此前一直处于预览状态。 据AWS介绍，Wickr企业级消息加密服务让企业用户能够安全地通过文本、语音和视频以及文件和屏幕共享进行协作，同时还能帮助企业满足有关审计和监管要求（例如信息自由法案FOIA）。 AWS管理控制台集成Wickr 为了帮助企业配置和管理Wickr服务，AWS将加密消息服务的管理框架集成到了AWS管理控制台中，通过该控制台企业可以选择、配置和管理其所有AWS服务。 企业可以用AWS身份和访问管理(IAM)访问控制和策略来设置Wickr管理策略，管理员还可以管理加密消息服务网络，该网络可直观显示组内的用户数量及其在访问和权限方面的配置，类似于Slack Workspaces。 AWS表示，企业内的新用户可以通过现有身份系统注册消息服务，并补充说使用Wickr的企业客户可以通过iOS、Android、Windows、Linux和macOS设备访问该应用程序。 不同系统的Wickr版本可以从各自的应用市场下载。 可选择数据存储位置 此外，Wickr的管理功能还允许IT团队为消息服务数据配置存储，包括数据的位置，以使该服务更符合医疗等行业的监管标准。 IT团队存储加密消息数据时，需要先设置数据保留流程并将其应用于网络，然后再将数据存储在他们选择的位置（本地或云端）。 AWS表示，这些功能和流程已经就续，以确保最大限度地保护数据。数据保留过程可以在任何地方运行：本地、Amazon Elastic Compute Cloud(Amazon EC2)虚拟机或用户选择的任何位置。目前，已经有数据保留流程的Docker容器可用。 此外，Wickr还附带了几个打包为Docker容器的机器人。该公司表示，这些机器人与Slack机器人非常相似，可以用Node JS创建工作流。 定价 面向企业的Wickr加密消息服务目前在美国东部（弗吉尼亚北部）的AWS区域可用，预计其他地区也将逐步启动。 亚马逊表示，不超过30名用户的个人和团队可以免费使用该服务三个月，超过30名用户的收费标准是每用户每月5美元。 AWS还提供每位用户每月15美元的高级计划，该计划包括数据保留等额外功能。 转自 安全内参，原文链接：https://www.secrss.com/articles/49599 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月30日消息，谷歌的威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的漏洞从事间谍活动，目前漏洞已经得到修复。 谷歌TAG表示，这家总部位于巴塞罗那的软件公司虽然官方宣称是一家安全解决方案提供商，但其实也从事商业监控活动。 该公司使用Heliconia 框架，利用了 Chrome、Firefox 和 Microsoft Defender 中的 N-day 漏洞，提供了将有效载荷部署到目标设备所需的所有工具。该利用框架由多个组件组成，每个组件都针对目标设备软件中的特定安全漏洞： Heliconia Noise：一个 Web 框架，用于部署 Chrome 渲染器错误利用，以及 Chrome 沙箱逃逸以在目标设备上安装代理 Heliconia Soft：一个部署包含 Windows Defender 漏洞的 PDF  Web 框架，被跟踪为 CVE-2021-42298 Heliconia 文件：一组针对 Linux 和 Windows 的 Firefox 漏洞利用，其中一个被跟踪为 CVE-2022-26485 对于 Heliconia Noise 和 Heliconia Soft，这些漏洞最终会在受感染的设备上部署名为“agent_simple”的代理。 TAG分析了一个包含虚拟代理的框架样本，得到的结果是在运行和退出的情况下未执行任何恶意代码，认为该框架的客户提供了他们自己的代理，或者是谷歌没有权限访问整个框架。 尽管没有证据表明目标安全漏洞被积极利用，并且谷歌、Mozilla 和微软在 2021 年和 2022 年初修补了这些漏洞，但TAG 表示这些漏洞很可能在野外被用作零日漏洞。 对间谍软件供应商的跟踪 TAG 属于谷歌旗下的安全专家团队，专注于保护谷歌用户免受国家支持的网络攻击，但团队也跟踪了数十家从事间谍或监视服务的公司。 2022年6 月，TAG 注意到意大利间谍软件供应商 RCS Labs在一些互联网服务提供商 (ISP) 的帮助下，在意大利和哈萨克斯坦的 Android 和 iOS 用户的设备上部署了商业监控工具。期间，目标用户被提示安装伪装成合法移动运营商应用的监控软件。 最近，TAG 揭露了另一场监视活动，受国家支持的攻击者利用五个零日漏洞，在目标设备上安装商业间谍软件开发商 Cytrox 开发的 Predator 间谍软件。 TAG表示，间谍软件行业的发展使用户处于危险之中，并降低了互联网的安全性，虽然根据国家或国际法律，监控技术可能是合法的，但它们经常以有害的方式被用来对一系列群体进行数字间谍活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351256.html 封面来源于网络，如有侵权请联系删除

2022年11月28日，澳大利亚议会正式通过《2022年隐私法修订案（执行和其它措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022），本次修订大幅提高了对于严重或多次侵犯隐私行为的处罚力度，并赋予澳大利亚信息专员办公室（OAIC）更广泛的监管权力。之前，澳大利亚《隐私法》下最高罚款为 222 万澳元（约合人民币 1076 万元）。修订后，此项罚款金额至少为5000万澳元（约合人民币 2.42 亿元），或为滥用个人信息所获利润的3倍与公司在相关期间调整后营业额的30%之中的较高者（当其高于5000万澳元时）。 澳大利亚信息专员兼隐私专员Angelene Falk表示，本次修订将使澳大利亚《隐私法》与竞争和消费者的救济措施，以及国际上诸如欧洲《通用数据保护条例》下的法律责任规定更加一致。与此同时，本次修订也是在对1988年《隐私法》进行全面修订之前迈出的积极一步，将更好为个人隐私提供保护。此外值得注意的是，本次修订案还对域外效力条款进行了简化，将有助于确保在澳大利亚开展业务的外国公司遵守澳大利亚《隐私法》。 导读系本公众号原创，转载请注明文字出自本公众号。 转自 安全内参，原文链接：https://www.secrss.com/articles/49569 封面来源于网络，如有侵权请联系删除

安全内参11月30日消息，英国议会国家安全战略联合委员会（JCNSS）周一举行首次证据介绍会，调查其国家安全战略能否有效应对勒索软件威胁。 联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示，这次介绍会旨在确定“威胁的规模和性质”。 在此之前，由英国上、下议院议员组成的联合委员会已开放证据提交通道。 预计后续听证会将进一步引入应对勒索软件攻击的证人，包括受害者及执法机构。其中一部分由委员会传唤，另一些则根据书面证据进行选择。 勒索软件威胁规模有多大？ 贝克特表示，“人们似乎普遍认为，近年来勒索软件威胁正持续恶化，但总体上仍缺少能够证明威胁规模的可靠数据。” 网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人，在本次介绍会上提出了以下几大要点： 针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性； 尽管不清楚攻击事件的真实数量，但其他数据来源证实这确实是个普遍存在的威胁； 所谓“泄露网站”所公布的信息，并不足以体现其他未公开被盗数据的网络勒索活动； 勒索攻击事件上报的普及度不高，组织只在有明显好处时才会选择与政府和执法部门接触； 应当以仍在持续发展的网络安全科学为基础，据此探索对勒索软件的抵御之道。 会上公布了哪些证据？ 在本次调查之前，英国政府已经发布过两项国家安全战略审查：第一是2021年的安全、国防、发展与外交政策综合审查，其中将勒索软件确定为“最有害的网络犯罪形式之一”；第二是今年的英国国家网络战略，其中将勒索软件描述为“英国面临的最重大网络威胁”，且“可能与国家支持的间谍活动具备同等危害”。 在听证会的开场，Ollie Whitehouse引用了美国财政部金融犯罪执法网络（FinCEN）本月早些时候发布的数据。数据显示，2021年全美勒索软件攻击和支付赎金数额均创下新纪录。 他指出，上报的事件已经由2020年的487起跃升至1489起，同比增长约300%。但2022年期间，NCC Group对勒索软件泄露网站的分析显示，受害者数量减少了7%至10%。 Jayan Perera观察到，俄乌战争似乎影响到了勒索软件即服务（RaaS）生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突，地缘政治争端后来导致其聊天记录泄露。 Sadie Cresse多次强调犯罪团伙的经济学原理，例如确定供应链攻击如何通过一次投入拿下多位受害者，以此获取规模经济收益。 她还指出，尽管Conti组织已经覆灭（该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡），但其个人成员仍可能以新的身份继续活跃，这也体现出犯罪生态系统的内部流动性。 “隧道尽头没有光明” 英国上议院议员Baroness Crawley援引媒体报道，提到勒索软件攻击已经成为英国政府内阁办公室简报室（COBR）召开会议的主要原因。 报道称，尽管经过几个月的工作，内政部领导的勒索软件“冲刺”已经在一年前结束，但政府方面仍未采取任何切实行动以应对这一威胁。 直接负责勒索软件事务的官员表示，他们觉得隧道尽头没有光明，甚至完全感受不到有助于英国遏制这方面问题的任何希望。 Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示，“其实勒索软件中还涉及其他多种网络威胁类型，所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49576 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周一在其已知漏洞利用目录（KEV）中，添加了一个影响Oracle Fusion中间件的关键漏洞，引用了积极利用漏洞的证据。 该漏洞被跟踪为CVE-2021-35587, CVSS评分为9.8，影响Oracle Access Manager (OAM)版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。 成功利用远程命令执行漏洞可能会使具有网络访问权限的未经身份验证的攻击者完全破坏并接管access Manager实例。 越南安全研究员Nguyen Jang (Janggggg)在今年3月初报告了peterjson的漏洞，他指出：“它可以让攻击者访问OAM服务器，创建拥有任何特权的用户，或者只是在受害者的服务器中执行代码。” 2022年1月，Oracle在其关键补丁更新中解决了该漏洞。 有关这些攻击的性质和利用规模的其他细节目前尚不清楚。威胁情报公司GreyNoise收集的数据表明，将该漏洞武器化的企图一直在进行，其源头是美国、中国、德国、新加坡和加拿大。 CISA还将最近修补的Google Chrome浏览器（CVE-2022-4135）中的堆缓冲区溢出漏洞添加到KEV目录中，这家互联网巨头承认该漏洞在野外被滥用。 联邦机构需要在2022年12月19日前应用供应商补丁，以保护其网络免受潜在威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国网络司令部已于今年10月与国防高级研究项目局（DARPA）签署合作谅解备忘录，两个机构将建立聚焦需求确立及加速创新网络科技成果转化的合作关系，网络司令部未来将深入参与其感兴趣的国防高级研究项目局科研项目，并在相关项目产出成果时投资支持其转化为美军网络战能力。这一合作也是美国网络司令部在逐渐降低其对美国安局人力资源及网络基础设施依赖、开始构建自主的网络战基础平台“联合网络作战架构”（Joint Cyber Warfighting Architecture，JCWA）的背景下，拓宽其新能力来源渠道、深化其与美国军方背景科研机构沟通合作的又一重要动作。 美国网络司令部和国防高级研究项目局未来合作将采取所谓“星座”（Constellation）的流水线式作业模式——国防高级研究项目局发起科研项目，而网络司令部在项目开展过程中参与并提供意见建议，之后再共同将项目成果转化为与网络司令部现有的“联合平台”（Unified Platform）、“持续网络训练环境”（Persistent Cyber Training Environment，PCTE）等网络战生态系统主要构件相匹配的网络武器。 随着其规模逐渐扩大，美国网络司令部开始寻求更好运用其现有职能授权的途径。预计到2024年，网络司令部将获得“加强的预算授权”即允许其直接控制和管理自身运作、项目筹备、预算规划及为旗下网络任务部队安排资源的授权，在此背景下，深化与国防高级研究项目局、国防创新单元（DIU）及美军各军种实验室的沟通合作，自然便成为网络司令部拓宽其新能力来源渠道的重要思路。 网络司令部与国防高级研究项目局之前已就“Project IKE”——原为美国陆军于十几年前启动的网络单位指挥控制科研项目“Project X”——的成果转化进入网络司令部“联合网络指挥与控制”（Joint Cyber Command and Control）框架开展过合作。而与国防创新单元及网络司令部支持的创新设施“梦之港”（DreamPort）的合作，也为网络司令部带来了加强旗下网络任务部队能力的新能力。最近网络司令部还首次组织了参会者包括来自美国国防部研究与工程次长办公室旗下各实验室之代表的研讨会，共同讨论其后续发展网络战能力应重视的优先方向。 转自 安全内参，原文链接：https://www.secrss.com/articles/49517 封面来源于网络，如有侵权请联系删除

一群可能位于越南的攻击者专门针对可能访问 Facebook 业务和广告管理帐户的员工，在几个月前首次曝光后，他们重新出现并改变了其基础设施、恶意软件和作案手法。 该组织被WithSecure的研究人员称为 DUCKTAIL，该组织使用鱼叉式网络钓鱼来针对 LinkedIn 上的个人，从这些个人的职位描述来看可能他们有权管理 Facebook 企业帐户。最近，还观察到攻击者通过 WhatsApp 瞄准受害者。受感染的 Facebook 商业帐户用于在平台上投放广告，以获取攻击者的经济利益。 DUCKTAIL 攻击者进行研究 帐户滥用是通过恶意软件程序使用受害者的浏览器实现的，该恶意软件程序伪装成与品牌、产品和项目规划相关的文档。攻击者首先建立一个在 Facebook 上有业务页面的公司列表。然后，他们在 LinkedIn 和其他来源上搜索为这些公司工作并拥有可以让他们访问这些业务页面的职位的员工。这些包括管理、数字营销、数字媒体和人力资源角色。 最后一步是向他们发送一个链接，其中包含一个伪装成 .pdf 的恶意软件的存档，以及看似属于同一项目的图像和视频。研究人员看到的一些文件名包括项目“发展计划”、“项目信息”、“产品”和“新项目预算业务计划”。 DUCKTAIL 组织自 2021 年下半年以来一直在开展这项活动。在今年 8 月WithSecure 曝光他们的行动后，该行动停止了，攻击者重新设计了他们的一些工具集。 攻击者改用 GlobalSign 作为证书颁发机构 今年早些时候分析的恶意软件样本使用以一家越南公司的名义从 Sectigo 获得的合法代码签名证书进行了数字签名。由于该证书已被报告和撤销，攻击者已切换到 GlobalSign 作为他们的证书颁发机构。在他们继续以原公司的名义向多个 CA 申请证书的同时，他们还建立了其他六家企业，全部使用越南语，其中三个获得了代码签名证书。 2021 年底出现的 DUCKTAIL 恶意软件样本是用 .NET Core 编写的，并使用框架的单文件功能编译，该功能将所有必需的库和文件捆绑到一个可执行文件中，包括主程序集。这确保恶意软件可以在任何 Windows 计算机上执行，无论它是否安装了 .NET 运行时。自 2022 年 8 月活动停止以来，WithSecure 研究人员观察到从越南上传到 VirusTotal 的多个开发 DUCKTAIL 样本。 其中一个示例是使用 .NET 7 的 NativeAOT 编译的，它提供与 .NET Core 的单文件功能类似的功能，允许二进制文件提前本地编译。然而，NativeAOT 对第三方库的支持有限，因此攻击者转而使用 .NET Core。 坏演员一直在试验 其他实验也被观察到，例如包含来自 GitHub 项目的反分析代码，但从未真正打开过，从命令和控制服务器发送电子邮件地址列表作为 .txt 文件的能力在恶意软件中对它们进行硬编码，并在执行恶意软件时启动一个虚拟文件，以减少用户的怀疑——观察到文档 (.docx)、电子表格 (.xlsx) 和视频 (.mp4) 虚拟文件。 攻击者还在测试多级加载程序以部署恶意软件，例如 Excel 加载项文件 (.xll)，它从加密的 blob 中提取二级加载程序，然后最终下载信息窃取程序恶意软件。研究人员还确定了一个用 .NET 编写的下载程序，他们高度信任 DUCKTAIL，它执行 PowerShell 命令，从 Discord 下载信息窃取程序。 infostealer 恶意软件使用电报频道进行命令和控制。自从 8 月被曝光以来，攻击者更好地锁定了这些频道，一些频道现在有多个管理员，这可能表明他们正在运行类似于勒索软件团伙的附属程序。研究人员说：“聊天活动的增加和新的文件加密机制可确保只有特定用户能够解密某些泄露的文件，这进一步加强了这一点。” 浏览器劫持 部署后，DUCKTAIL 恶意软件会扫描系统上安装的浏览器及其 cookie 存储路径。然后它会窃取所有存储的 cookie，包括存储在其中的任何 Facebook 会话 cookie。会话 cookie 是网站在身份验证成功完成后在浏览器中设置的一个小标识符，用于记住用户已经登录了一段时间。 该恶意软件使用 Facebook 会话 cookie 直接与 Facebook 页面交互，或向 Facebook Graph API 发送请求以获取信息。此信息包括个人帐户的姓名、电子邮件、生日和用户 ID；个人帐户可以访问的 Facebook 业务页面的名称、验证状态、广告限制、名称、ID、账户状态、广告支付周期、货币、adtrust DSL 以及任何相关 Facebook 广告账户的花费金额。 该恶意软件还会检查是否为被劫持的帐户启用了双因素身份验证，并在启用时使用活动会话获取 2FA 的备份代码。“从受害者机器窃取的信息还允许威胁行为者从受害者机器外部尝试这些活动（以及其他恶意活动）。研究人员说：“窃取的会话 cookie、访问令牌、2FA 代码、用户代理、IP 地址和地理位置等信息，以及一般帐户信息（如姓名和生日）可用于隐藏和冒充受害者。” 该恶意软件旨在尝试将攻击者控制的电子邮件地址添加到被劫持的 Facebook 企业帐户中，这些帐户可能具有较高的身份：管理员和财务编辑。根据 Facebook 所有者 Meta 的文档，管理员可以完全控制帐户，而财务编辑可以控制存储在帐户中的信用卡信息以及帐户上的交易、发票和支出。他们还可以将外部业务添加到存储的信用卡和月度发票中，从而使这些业务可以使用相同的付款方式。 冒充合法客户经理身份 在目标受害者没有足够的访问权限以允许恶意软件将攻击者的电子邮件地址添加到预期的企业帐户的情况下，攻击者依靠从受害者的机器和 Facebook 帐户中泄露的信息来冒充他们。 在 WithSecure 事件响应人员调查的一个案例中，受害者使用的是 Apple 机器，并且从未从 Windows 计算机登录过 Facebook。系统上未发现恶意软件，无法确定初始访问向量。目前尚不清楚这是否与 DUCKTAIL 有关，但研究人员确定袭击者也来自越南。 建议 Facebook Business 管理员定期审查在 Business Manager > Settings > People 下添加的用户，并撤销对任何授予管理员访问权限或财务编辑角色的未知用户的访问权限。 在我们的调查中，WithSecure 事件响应团队发现业务历史日志和目标个人的 Facebook 数据与事件分析相关。“然而，对于与个人 Facebook 帐户相关的日志，门户网站上可见的内容与下载数据副本时获得的内容之间存在广泛的不一致。作为对其他调查人员的建议，WithSecure 事件响应团队强烈建议尽快捕获业务历史日志的本地副本，并为其帐户请求用户数据的副本。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351010.html 封面来源于网络，如有侵权请联系删除