哈马斯与以色列的冲突已经爆发一年多了，两大实体之间的网络战仍在继续，其中涉及各种各样的网络攻击者，并借鉴了其他全球冲突的剧本。 以下是此次网络战争期间的一些重大发展以及可以预期在 2025 年看到的形势。 初始阶段 哈马斯对以色列发动袭击后不久，十多个威胁组织宣布准备对巴勒斯坦、以色列及其各自的支持者发动网络攻击。这些组织包括 Killnet、Anonymous Sudan、Team insane、Mysterious Team Bangladesh 和 Indian CyberForce。 在最初的日子里， 首批遭受网络攻击的受害者是耶路撒冷邮报，它遭到了Anonymous Sudan（匿名者苏丹）的攻击，以及特拉维夫索拉斯基医疗中心遭到西尔赫特团伙的攻击，最终导致其运营中断。 随着网络攻击的持续，  Krypton 网络向有意攻击以色列组织的黑客分子出售其分布式拒绝服务 (DDoS) 功能。 攻击也从另一边袭来，据报道，ThreatSec 攻击了巴勒斯坦互联网服务提供商 AlfaNet，导致该公司的服务器关闭，并在此过程中控制了加沙 5,000 多台服务器。 随后，在 X 上的第一篇帖子中，亲以色列的黑客组织 Predatory Sparrow 再次出现在人们的视野中。 该组织对其追随者说：“你觉得这很可怕吗？我们回来了。我们希望你们关注加沙事件。”——并附上了一份关于美国派遣战斗机和军舰支持以色列的报道链接。 全球范围的网络战 冲突开始后大约一个月，美国联邦调查局局长克里斯托弗·雷 (Christopher Wray) 警告称，中东战争增加了针对美国的网络攻击威胁，并指出针对美国海外军事基地的袭击有所增加，预计未来将出现物理攻击和网络攻击。 联邦调查局再次发出警告，这次警告涉及网络犯罪分子伪装成筹款人和慈善机构，通过电子邮件、社交媒体、电话和众筹网站联系个人，所有这些都是为了让受害者相信他们的加密货币资金将流向以色列或巴勒斯坦受害者。 Netcraft 的一份报告追踪到这些虚假账户中有 160 万美元的加密货币，这是他们影响力的一次盛大展示。 到 2023 年底，以色列公司 CyTaka 雇佣了来自世界各地的网络黑客网络来对抗反以色列的在线活动，而被称为加沙网络帮 (Gaza Cybergang) 的网络攻击者则使用了Pierogi++ 后门恶意软件的变种来攻击巴勒斯坦和以色列目标。 年度回顾 去年年初，土耳其黑客在特拉维夫一家客流量很大的电影院里传播有关以色列和加沙冲突的政治暴力信息。 7 月，以色列陆军参谋长报告称，自冲突开始以来，已挫败约 30 亿次网络攻击 。针对以色列国防军 (IDF) 的网络攻击包括针对军队运作所必需的操作系统，但并未提供有关攻击性质的详细信息。 随后在 10 月，安全公司 ESET 报告了一起影响其以色列合作伙伴公司的 “安全事件”。该公司称，有一起恶意电子邮件活动已被拦截，并最终否认其系统存在任何真正的危害。 就在上个月，有报道称支持哈马斯及其议程的高级持续性威胁 (APT)“Wirte”正在对中东各国政府进行间谍活动 ，并对以色列进行擦除器攻击。 该 APT 使用包含文档、合法资源和恶意软件的网络钓鱼攻击，有时使用 IronWind 加载程序，该加载程序采用多阶段感染链来投放恶意负载。 未来展望 观察人士和业内专家预计，2025 年还会出现更多类似的情况。冲突加剧了网络威胁，国家背景的黑客组织和自发黑客团体会继续利用全球紧张局势。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 在发给 Dark Reading 的电子邮件声明中表示：“我们可以预见复杂的网络钓鱼活动、虚假信息和对关键基础设施的攻击将会升级。”“组织应该优先考虑实时威胁情报和先进的人工智能检测系统，以保持领先于不断发展的策略。” 此外，他建议各组织做好强有力的员工培训，并实施多层次的安全措施，以减轻未来的攻击。 Kowski 补充道：“这对于防御预计将激增的社会工程学和有针对性的恶意软件攻击至关重要。” Bambenek Consulting 总裁约翰·巴姆贝内克 (John Bambenek) 则持不同看法。巴姆贝内克在发给 Dark Reading 的电子邮件声明中表示：“目前，哈马斯遭受了巨大损失，他们更注重生存，甚至在网络领域的能力也大大减弱。” 他认为，2025 年，人们的注意力应该集中在伊朗身上，因为伊朗是这场冲突中的主要力量。 “如果最近的报道属实，以色列正在考虑在短期内对伊朗进行军事打击，那么这很可能很容易升级为网络战。”他说。“  Team82 最近的研究表明，如果事态升级，伊朗政府已经决定进行实地测试，并预先部署广泛发动 ICS/OT 攻击的能力，而这些攻击很可能包括美国和欧洲。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/izjiorVaHiRLNaGFNGV_ow 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一种全新的Microsoft 365钓鱼即服务（PaaS）平台，名为“FlowerStorm”，正在网络空间中迅速崛起，并成功填补了此前Rockstar2FA网络犯罪服务平台因意外关闭而留下的市场空缺。 据Trustwave的记录显示，Rockstar2FA作为一种专门支持大规模中间人攻击（AiTM）的PaaS平台，其主要目标是窃取Microsoft 365用户的凭证信息。该平台以其先进的规避技术、直观易用的控制面板以及多样化的钓鱼选项，向网络犯罪分子提供了为期两周的访问权限，费用高达200美元。 然而，在2024年11月11日，Rockstar2FA遭遇了部分基础设施的重大故障，导致多个服务页面无法正常访问。Sophos的研究员Sean Gallagher和Mark Parsons指出，此次故障似乎并非由执法机构的行动引发，而更可能源于技术层面的失误。 就在Rockstar2FA陷入困境的几周后，FlowerStorm这一新平台悄然出现在网络上，并迅速吸引了大量关注。   Rockstar2FA的检测情况 Sophos的研究发现，新兴的FlowerStorm服务与之前的Rockstar2FA在多个方面存在显著共性，这引发了人们对其是否为同一运营者为了降低曝光风险而改名的猜测。具体而言，Sophos识别出以下相似之处： 两个平台都使用模拟合法登录页面（如Microsoft）的钓鱼门户来窃取凭证和多因素认证（MFA）令牌，依赖于托管在.ru和.com等域名上的后台服务器。Rockstar2FA使用随机PHP脚本，而FlowerStorm则统一使用next.php。 钓鱼页面的HTML结构非常相似，包含随机文本注释、Cloudflare“旋转门”安全功能和类似“初始化浏览器安全协议”的提示。Rockstar2FA使用汽车主题，而FlowerStorm则改为植物主题，但底层设计保持一致。 凭证收集方法高度一致，使用诸如电子邮件、密码和会话跟踪令牌等字段。两个平台都支持通过后台系统进行电子邮件验证和MFA认证。 域名注册和托管模式有显著重叠，广泛使用.ru和.com域名及Cloudflare服务。它们的活动模式在2024年底显示出同步的波动，可能暗示有协调行动。 两个平台都出现了操作失误，暴露了后台系统，并展示了高度可扩展性。Rockstar2FA管理超过2000个域名，而FlowerStorm在Rockstar2FA崩溃后迅速扩展，暗示共享框架。 Sophos总结道：“尽管我们不能完全确定Rockstar2FA与FlowerStorm之间存在直接的关联，但两者在工具包内容上的高度相似性表明它们至少有着共同的起源或技术背景。”同时，Sophos也指出，“域名注册的相似模式可能反映了FlowerStorm和Rockstar在某种程度上的协调合作，但也有可能是市场力量驱动的结果。” 无论FlowerStorm的崛起背后有何种故事，对于用户和组织而言，它都是一个不容忽视的新威胁。该平台支持破坏性的钓鱼攻击，可能导致全面的网络入侵和数据泄露。 Sophos的遥测数据显示，约63%的组织和84%的FlowerStorm攻击目标用户位于美国。其中，服务、制造业、零售和金融服务等行业成为最受攻击的目标。 为了有效防范钓鱼攻击，建议用户和组织采取以下措施： 使用支持AiTM抗性FIDO2令牌的多因素认证（MFA）技术； 部署电子邮件过滤解决方案以拦截恶意邮件； 使用DNS过滤技术来阻止对可疑域名的访问（如.ru、.moscow和.dev等）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已修复的Fortinet FortiClient EMS严重安全漏洞CVE-2023-48788（CVSS评分高达9.3）目前正被恶意攻击者利用。该漏洞是一种SQL注入漏洞，允许攻击者通过发送精心构造的数据包来执行未经授权的代码或命令。 据俄罗斯网络安全公司Kaspersky透露，2024年10月，一家未透露名称的公司因Windows服务器暴露在互联网上且存在两个与FortiClient EMS相关的开放端口而成为了攻击目标。这家公司使用Fortinet技术为员工提供安全的VPN访问权限，并允许员工将特定的策略下载到公司设备上。 攻击者首先利用CVE-2023-48788漏洞作为初始访问途径，随后通过部署远程桌面软件如AnyDesk和ScreenConnect获得远程访问受损主机的权限。Kaspersky的分析指出，在初次安装后，攻击者开始向受感染系统上传额外的有效载荷，进行发现与横向移动活动，如枚举网络资源、尝试获取凭证、执行防御规避技术，并通过AnyDesk远程控制工具生成进一步的持久性。 攻击过程中部署的一些其他重要工具包括： webbrowserpassview.exe，一款密码恢复工具，用于显示存储在Internet Explorer（版本4.0至11.0）、Mozilla Firefox（所有版本）、Google Chrome、Safari和Opera中的密码。 Mimikatz netpass64.exe，一款密码恢复工具 netscan.exe，一款网络扫描工具 据信，这场攻击的幕后黑手针对了多家位于不同国家的公司，包括巴西、克罗地亚、法国、印度、印尼、蒙古、纳米比亚、秘鲁、西班牙、瑞士、土耳其和阿联酋等，并利用了不同的ScreenConnect子域名。 Kaspersky还表示，它在2024年10月23日检测到了另一起利用CVE-2023-48788漏洞的攻击。这次攻击执行了一个托管在webhook[.]site域名上的PowerShell脚本，旨在扫描易受该漏洞影响的系统并“收集来自易受攻击目标的响应”。 这一披露发生在网络安全公司Forescout在8个月前揭露类似的攻击活动后，后者也利用了CVE-2023-48788漏洞，部署了ScreenConnect和Metasploit Powerfun有效载荷。 “对这一事件的分析帮助我们确定了攻击者当前用于部署远程访问工具的技术，正在不断更新和增加复杂性，”研究人员表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rspack开发者近日透露，其两个npm包——@rspack/core与@rspack/cli，不幸遭遇了供应链攻击。攻击者利用未授权的npm发布权限，将含有加密货币挖矿恶意软件的版本上传至官方包管理库中。 在发现该问题后，Rspack团队迅速行动，将存在风险的1.1.7版本从npm注册表中下架，并发布了最新的安全版本1.1.8。 安全供应链领域的专家公司Socket对此进行了分析，指出：“这些被攻击者发布的版本，内含恶意脚本，对系统安全构成严重威胁。” Rspack，这一由字节跳动公司开发的高性能JavaScript打包工具，凭借其Rust编写的高效性，受到了阿里巴巴、亚马逊、Discord和微软等众多公司的青睐。数据显示，受影响的npm包每周下载量分别超过30万和14.5万次。 深入分析感染版本后发现，恶意代码会秘密地将敏感配置信息（如云服务凭证）通过HTTP请求发送至远程服务器（”80.78.28[.]72″），同时还会收集IP地址和位置信息。值得注意的是，此次攻击还特别针对了中国、俄罗斯、中国香港、白俄罗斯和伊朗等地区的机器。 而攻击的最终目的，是在受感染的Linux主机上，通过安装包中的postinstall脚本，自动下载并执行XMRig加密货币挖矿程序。Socket公司表示：“恶意软件通过自动运行的postinstall脚本执行，确保恶意负载无需用户操作即可嵌入目标环境中。” 面对此次攻击，Rspack项目维护者除了发布无恶意代码的新版本外，还采取了多项措施，包括废除所有现有的npm和GitHub令牌、检查代码库和npm包的权限、对源代码进行审计等。目前，针对令牌盗窃的根本原因仍在调查中。 此次事件再次凸显了包管理工具在安全防护方面的不足，需要加强认证检查等保护措施，但即便如此，也无法完全避免此类攻击。 此外，研究还发现，另一npm包vant也遭受了此次供应链攻击的波及。该包每周下载量超过4.1万次。Sonatype公司表示，攻击者成功将多个受感染版本发布至npm注册表，版本范围覆盖2.13.3至4.9.14。 vant项目维护者对此回应称：“此版本旨在修复一个安全问题。我们发现团队成员的npm令牌被窃取，并被用于发布多个含有安全漏洞的版本。我们已经采取措施修复问题，并重新发布了最新版本。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 Check Point 与 Hackread.com 共同发布的最新研究报告，Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。 Google 日历成工具：网络攻击者利用 Google 日历的功能模块，发送仿冒合法邀请函的网络钓鱼邮件。 高级攻击策略：攻击者采用 Google 表单和 Google 绘图等多元化工具，规避传统邮件安全防护机制，从而强化攻击的可信度。 影响范围广泛：在短短四周内，已检测到与该攻击活动关联的 4000 余封网络钓鱼邮件，涉及约 300 家品牌企业。 社会工程学手法：网络犯罪分子通过制造紧迫感、恐慌情绪以及冒充身份等手段，诱使受害者点击恶意链接并泄露敏感信息。 防范措施：部署高级邮箱安全监控系统、第三方应用程序使用审计机制以及行为分析技术，对于抵御此类不断演进的威胁具有重要意义。 Google 日历作为 Google 工作空间的重要组成部分，是一款面向全球超过 5 亿用户的日程安排与时间管理工具，支持 41 种语言。 据 CPR 的研究显示，攻击者正试图操控 Google 日历及其相关功能模块，例如 Google 绘图，通过发送伪装成合法邮件的链接，突破传统邮箱安全防线，实施网络钓鱼攻击。这些链接表面上看似指向 Google 表单或 Google 绘图，进一步提升了攻击的可信度。 恶意邮件与 Google 日历配置（来源：CPR） 攻击者最初利用 Google 日历内置的友好功能，提供链接至 Google 表单。在察觉到安全产品能够识别恶意日历邀请后，攻击者迅速调整策略，将攻击手段与 Google 绘图功能相结合。 Check Point 发文指出：网络犯罪分子正在篡改“发件人”头部信息，使邮件看起来像是由已知且合法的用户通过 Google 日历发送的。在短短四周内，网络安全研究人员已监测到 4000 多封此类钓鱼邮件，涉及约 300 家品牌企业。 攻击者利用用户对 Google 日历的信任和熟悉程度，诱使受害者点击恶意链接。他们会伪造看似合法的日历邀请，通常来自受害者熟悉的联系人或组织机构。这些初始邀请可能包含指向 Google 表单、Google 绘图或 ICS 文件附件的链接，后者看似是简单的信息请求或调查问卷，常以 CAPTCHA 或支持按钮的形式呈现。 一旦受害者点击链接，将被重定向至一个精心设计的恶意网站，该网站通过虚假身份验证流程窃取个人信息或公司数据。该网站可能模仿合法的登录页面、加密货币交易所或技术支持页面。攻击者的最终目的是诱骗受害者泄露敏感信息，如密码、信用卡详细信息或个人身份证号码。被盗取的信息可能被用于信用卡欺诈或未经授权的交易，给受害者带来重大风险。 值得注意的是，攻击者通常会叠加社会工程学策略来增强攻击的可信度。他们可能通过制造紧迫感、恐慌情绪或激发好奇心，诱使受害者点击恶意链接。此外，攻击者还可能冒充可信任的个人或组织，以获取受害者的信任。这无疑大大大提高了通过Google日历钓鱼的成功率，企业/组织应保持高度警惕，以应对日益复杂化的网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418157.html 封面来源于网络，如有侵权请联系删除

趋势科技公布了威胁组织 Earth Koshchei 开展的大规模流氓远程桌面协议 (RDP) 活动。Earth Koshchei 以间谍活动而闻名，他们利用鱼叉式网络钓鱼电子邮件和恶意 RDP 配置文件来入侵包括政府、军事组织和智囊团在内的高知名度目标。 据描述，该攻击方法涉及 “RDP 中继、恶意 RDP 服务器和恶意 RDP 配置文件”，利用红队技术达到恶意目的。报告称，这种方法使攻击者能够获得受害者机器的部分控制权，导致 “数据泄露和恶意软件安装”。 该活动在 2024 年 10 月 22 日达到顶峰，当时向包括外交和军事实体在内的各种目标发送了数百封鱼叉式网络钓鱼电子邮件。这些电子邮件诱骗收件人打开恶意 RDP 配置文件，将他们的机器连接到地球 Koshchei 的 193 个 RDP 中继站之一。 地球 Koshchei 在 2024 年 8 月至 10 月间注册了 200 多个域名，展示了精心策划的活动。这些域名通常模仿合法的服务或组织，如云提供商和政府实体。此外，该组织还使用 TOR、VPN 和住宅代理等匿名层来掩盖其行动，并使归因复杂化。 该基础设施包括 193 个代理服务器和 34 个流氓 RDP 后端服务器，它们是数据外泄和间谍活动的入口点。 地球 Koshchei 展示了重新利用合法红队工具的敏锐能力。通过采用 2022 年 Black Hills 信息安全博客中描述的技术，攻击者使用 PyRDP 等工具拦截和操纵 RDP 连接。这使他们能够浏览受害者的文件系统、渗出数据，甚至打着 “AWS 安全存储连接稳定性测试 ”等合法程序的幌子运行恶意应用程序。 趋势科技解释说：“PyRDP代理可确保窃取的任何数据或执行的任何命令都会被导回攻击者，而不会引起受害者的警觉。” 该组织的目标受害者多种多样，包括政府、军队、云提供商和学术研究人员。Earth Koshchei（又称 APT29 或 Midnight Blizzard）的典型战术、技术和程序（TTPs）以及受害者研究都支持将此次活动归咎于该组织。 报告指出：“Earth Koshchei 的特点是持续针对外交、军事、能源、电信和 IT 公司。据信，该组织与俄罗斯对外情报局（SVR）有关联。” 为抵御此类攻击，企业应该： 阻止出站 RDP 连接： 将 RDP 流量限制在受信任的服务器上。 检测恶意 RDP 文件： 使用能够识别恶意 RDP 配置文件的工具，如趋势科技的 Trojan.Win32.HUSTLECON.A 检测系统。 加强电子邮件安全： 实施过滤器，防止发送可疑附件，尤其是 RDP 配置文件。   转自安全客，原文链接：https://www.anquanke.com/post/id/302885 封面来源于网络，如有侵权请联系删除

E安全消息，黑客组织TIDRONE以针对台湾国防和无人机行业而闻名，现已将业务扩展到韩国，利用企业资源规划（ERP）软件部署CLNTEND后门恶意软件。AhnLab安全情报中心 (ASEC) 近期揭露了TIDRONE策划的一系列针对韩国公司的网络攻击。TIDRONE最初于2024年9月由Trend Micro发现，与一个讲中文的威胁组织有关。他们的活动以台湾组织为目标，现在扩展到韩国，尤其是小型ERP解决方案。ASEC表示：“自2024年7月以来，该集团也一直在利用韩国ERP软件……可能由小公司开发并分发给少数韩国公司。使用ERP软件作为攻击媒介突显了该组织对供应链的战略目标，特别是那些分发范围有限且在安全性方面缺乏透明度的软件。这些攻击涉及DLL side-loading，这是一种众所周知的技术，允许恶意软件以合法程序为幌子执行。分发过程遵循两个主要模式： 1. 定制化ERP利用：小规模ERP开发商为每个客户提供量身定制的软件，给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”，而合法版本“大约20MB”。 2. Dropper安装：攻击者分发包含安装程序（droppers）的ERP软件版本，这些安装程序会同时安装ERP软件和CLNTEND恶意软件。 恶意加载器经常滥用合法的可执行文件，例如： winword.exe（Microsoft Word） VsGraphicsDesktopEngine.exe rc.exe 该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件，从而启用旁加载来解密和执行内存中的CLNTEND有效负载。 CLNTEND被描述为远程访问木马（RAT），能够与命令和控制（C2）服务器进行复杂的通信。 ASEC解释说：“与CXCLNT不同，CLNTEND以支持各种通信协议而闻名，例如TCP（原始套接字、Web套接字）、TLS、HTTP、HTTPS和SMB。” 恶意软件的加密数据文件（例如wctE5ED.tmp）使用FlsCallback等高级混淆技术进行解密，这进一步使研究人员的分析复杂化。 该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括： C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe C:\NVIDIA\DisplayDriver\rc.exe C:\ProgramData\Microsoft OneDrive\setup\nir.exe 这凸显了TIDRONE的一贯策略，即将恶意组件混合到可识别的目录中以逃避检测。 TIDRONE组织通过ERP利用针对韩国公司，展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件，确保了该组织对脆弱系统的更广泛访问。 ASEC总结道：“最近识别出的攻击案例涉及利用ERP，这些ERP被怀疑是由一个小开发公司创建的。” 建议依赖ERP系统的组织（尤其是来自较小供应商的组织）仔细检查其软件供应链，实施更严格的监控机制，并定期更新其端点防御措施，以降低此类高级威胁带来的风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/oT4Ajv8SO4ShPfJv6GDdKQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近日，网络安全研究人员披露了一项针对欧洲公司的新型网络钓鱼活动，旨在窃取账户凭证并控制受害者的 Microsoft Azure 云基础设施。 Palo Alto Networks Unit 42 将该活动命名为 HubPhish，因为攻击链中滥用了 HubSpot 工具。受害者包括至少 20,000 名来自汽车、化学和工业复合材料制造领域的欧洲用户。 “该钓鱼活动在 2024 年 6 月达到了高峰，利用 HubSpot 免费表单构建器服务创建了虚假表单，”安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在一份与《The Hacker News》共享的报告中表示。 这些攻击通过伪装成 Docusign 的钓鱼邮件，诱使收件人查看文档，随后将用户重定向到恶意的 HubSpot 免费表单构建器链接，从那里再引导到一个假的 Office 365 Outlook Web App 登录页面，以窃取用户的凭证。 Unit 42 发现至少 17 个有效的免费表单，用户点击后被重定向到多个由攻击者控制的恶意域名。其中，大部分域名托管在 “.buzz” 顶级域（TLD）上。 “钓鱼活动托管在多个平台上，包括 Bulletproof VPS 主机，”该公司表示。“[攻击者] 还利用这些基础设施访问了被攻击的 Microsoft Azure 租户，在账户接管操作中进行进一步渗透。” 在成功访问账户后，攻击者会在账户中添加一个新设备以确保持续控制。 “攻击者通过钓鱼活动针对受害者的 Microsoft Azure 云基础设施，利用凭证盗窃攻击从受害者的终端设备获取凭证，”Unit 42 解释道。“随后，他们通过横向渗透操作进入云端。” 此事的披露与攻击者冒充 SharePoint 进行的钓鱼邮件活动有关，目的是传播一种名为 XLoader 的信息盗窃者恶意软件，它是 Formbook 的继任者。 钓鱼攻击也在不断演变，采用新颖的方法绕过电子邮件安全措施。最新的攻击方式包括滥用 Google 日历和 Google 绘图等合法服务，以及伪造电子邮件安全供应商品牌，如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。 这些利用 Google 服务信任的攻击通常会发送包含日历（.ICS）文件的邮件，文件内有指向 Google Forms 或 Google Drawings 的链接。点击该链接后，用户会被引导到另一个链接，通常伪装成 reCAPTCHA 或支持按钮。一旦点击，受害者将被转发到假页面，进行财务诈骗。   消息来源：The Hacker News, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Deep Instinct 的网络安全研究人员发现了一种新颖且强大的基于分布式组件对象模型(DCOM) 的横向移动攻击方法，使攻击者能够在目标 Windows 系统上秘密部署后门。 攻击利用 Windows Installer 服务远程编写自定义 DLL，将其加载到活动服务中，并使用任意参数执行它们。具体来说，DLL（动态链接库）是一个 Windows 文件，其中包含多个程序共享的代码、数据和资源。 Deep Instinct 的技术博客详细介绍了该攻击，该攻击利用了IMsiServer COM 接口。通过逆向其内部结构，攻击者可以操纵其功能以实现远程代码执行，绕过传统的安全控制并在受感染的系统上建立持久立足点。 DCOM 横向移动是一种利用 DCOM 中的漏洞在网络内横向移动的技术，它允许不同计算机上的程序之间进行通信。 另一方面，计算机对象 (COM) 是经过编译的代码，它基于由全局唯一类 ID (CLSID) 定义的类实现的接口为系统提供服务，并使用全局唯一标识符 (GUID) – AppID 进行远程访问。COM 组件之间的所有通信都通过接口进行。 该技术包括识别易受攻击的 Windows Installer 服务、利用其 COM 接口、制作包含恶意代码的恶意 DLL、远程编写 DLL、将 DLL 加载到正在运行的服务进程中并执行代码。攻击者控制该服务，操纵其功能以与其进行远程交互。 恶意 DLL 被加载到 Windows Installer 服务中，允许攻击者执行其代码，并授予他们对系统的远程访问权限。由于 Windows Installer 具有广泛的系统权限和网络可访问性，此方法对 Windows Installer 特别有效。 研究人员在技术博客文章中指出，DCOM 上传和执行攻击功能强大，但也有局限性。它要求攻击者和受害者机器都位于同一个域内，从而将其适用性限制在特定的组织边界内。 一致的 DCOM 强化补丁状态可以降低补丁级别不同的环境中攻击的有效性。 除此之外，上传的有效负载必须是强命名的 .NET 程序集，并且必须与目标计算机的架构（x86 或 x64）兼容，这增加了攻击过程的复杂性。 Deep Instinct 研究讨论了 IDispatch，这是一个基本的 COM 接口，它使脚本语言和高级语言能够与 COM 对象交互。但是，由于 IMsiServer 接口未实现 IDispatch，因此它并不直接参与 DCOM 上传和执行攻击。 这意味着像 PowerShell 这样的传统脚本语言无法使用标准技术直接与其交互。研究人员使用较低级别的技术来操纵 IMsiServer 接口，并通过直接调用接口的方法并传递必要的参数来实现远程代码执行。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/EaXRq4TFwC4wc2eAe0yKUQ 封面来源于网络，如有侵权请联系删除

Hunting Shadow Lab网络安全研究人员发现新一轮针对中国科研机构的网络攻击 。活动被归咎于Patchwork APT，利用复杂的恶意软件和隐蔽技术来入侵工作站并窃取敏感数据。 据悉，Patchwork组织（也称为Hangover和Dropping Elephant）被认为得到了印度当局的支持，自2009年以来一直从事网络间谍活动。 他们之前的活动主要集中在亚洲各国政府机构和科研机构，然而这次最新的行动显示了他们方法的精细化以及对获取科学研究相关的知识产权的持续兴趣。 攻击链从一封鱼叉式钓鱼邮件开始，其中包含恶意LNK文件，该文件伪装成与正在进行的中国研究项目相关的文件。 执行后，LNK文件将启动多阶段恶意软件传送过程。为避免引起怀疑，会显示良性PDF文档，同时在后台秘密下载和执行恶意EXE和DLL文件。 一份诱饵文件 资料来源：Hunting Shadow Lab 此活动中提供的主要有效载荷是BadNews恶意软件，这是一种专为隐身和持久性而设计的复杂后门。为了逃避检测，该恶意软件采用了多层混淆技术，包括加密和使用以前观察到的数字证书。 一旦激活，BadNews就会与命令和控制（C2）服务器建立安全的通信通道，使攻击者能够泄露敏感数据并发出进一步的命令。 此次行动的复杂性还体现在使用了模仿合法网站的假冒域名。 研究人员发现了属于巴基斯坦国际航空公司、Zong（巴基斯坦电信提供商）、Global News和Scandinavian Airlines网站的欺诈版本。 这些域名被用来托管其他恶意软件并促进数据泄露，利用这些实体已建立的信任。 对于组织来说，主动更新安全框架，集成当前的入侵指标（IoC），并利用高级威胁分析工具。此外，利用基于云的服务来分析可疑文件可以显着增强对此类攻击的防御。       转自E安全，原文链接：https://mp.weixin.qq.com/s/laBfNeNRX6FXMNo0zTxIKw 封面来源于网络，如有侵权请联系删除