HackerNews 编译，转载请注明出处：   网络安全研究人员揭露了一项新活动，该活动针对运行基于PHP应用的Web服务器，以在印度尼西亚推广赌博平台。 Imperva公司研究员Daniel Johnston在分析中指出：“过去两个月，我们观察到大量来自基于Python的机器人的攻击，这表明有一股势力在协同利用成千上万的Web应用。这些攻击似乎与赌博相关网站的泛滥有关，可能是对政府加强审查的回应。” 这家隶属于泰雷兹集团的公司表示，他们检测到数百万条来自Python客户端的请求，该客户端包含安装GSocket（又称Global Socket）的命令，这是一种开源工具，可用于在两个机器之间建立通信通道，不受网络边界的限制。 值得注意的是，近几个月来，GSocket已被用于多起加密货币劫持活动，甚至还被利用来插入恶意JavaScript代码，以窃取网站上的支付信息。 攻击链特别涉及利用已遭入侵服务器上预先存在的Web shell来部署GSocket。大多数攻击都瞄准了运行着一种名为Moodle的流行学习管理系统（LMS）的服务器。 攻击的一个显著特点是，在bashrc和crontab系统文件中添加了内容，以确保即使删除了Web shell，GSocket也能持续运行。 经确认，GSocket为这些目标服务器提供的访问权限被用作武器，以交付包含指向在线赌博服务（特别是针对印度尼西亚用户）的HTML内容的PHP文件。 Johnston说：“每个PHP文件的顶部都有PHP代码，只允许搜索机器人访问页面，而普通访问者则会被重定向到另一个域名。其背后的目的是瞄准搜索已知赌博服务的用户，然后将他们重定向到另一个域名。” Imperva表示，这些重定向指向了已知的印度尼西亚赌博网站“pktoto[.]cc”。 与此同时，c/side披露了一项广泛的恶意软件活动，该活动已针对全球超过5000个网站，创建未经授权的管理员账户，从远程服务器安装恶意插件，并将凭据数据回传至该服务器。 目前尚不清楚这些网站上部署JavaScript恶意软件的确切初始访问向量。该恶意软件被命名为WP3.XYZ，以与其用于获取插件和泄露数据的服务器域名（“wp3[.]xyz”）相关联。 为防范此类攻击，建议WordPress网站所有者保持插件更新，使用防火墙阻止恶意域名，扫描并删除可疑的管理员账户或插件。 消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据区块链分析公司Elliptic发布的数据，基于Telegram的在线市场HuiOne Guarantee（汇旺担保）及其供应商已累计收到至少240亿美元的加密货币，超越了已消亡的Hydra，成为有史以来最大的在线非法市场。 自2024年7月以来，该市场的月度流入量增长了51%。 HuiOne Group旗下的HuiOne Guarantee去年年中备受瞩目，因其被曝为网络诈骗分子的中心，宣传洗钱服务、出售被盗数据，甚至提供电击镣铐，用于对付以高薪工作为诱饵被骗入诈骗窝点从事恋爱诈骗的人。此事导致加密货币公司Tether冻结了与该市场相关的2962万美元稳定币。 HuiOne Guarantee成立于2021年，表面上是为了促进汽车和房地产的销售，但据说与柬埔寨执政的洪氏家族有着密切联系。据联合国毒品和犯罪问题办公室（UNODC）发布的一份报告，该平台拥有82万多用户。 Elliptic在与The Hacker News分享的一份新报告中表示：“该市场似乎是助长跨国有组织犯罪团伙对全球受害者实施诈骗的关键推手。” 自HuiOne Group的子公司HuiOne Guarantee和HuiOne Pay被公开曝光后，中文市场已与其母公司保持距离，并更名为Haowang Guarantee。 值得注意的是，2023年6月至2024年2月期间，HuiOne Pay被确认从朝鲜黑客组织Lazarus使用的匿名钱包中收到了超过15万美元的加密货币。该钱包曾被用于存放2023年6月和7月从三家加密货币公司窃取的数字资产。 此前声称对平台上宣传的商品和服务不承担任何责任的HuiOne Guarantee也已介入，阻止包括人口贩卖、枪支和恐怖主义相关交易在内的某些类型商业活动。 然而，Elliptic的分析显示，该市场仍在持续增长，现金流入量已超过240亿美元。仅在2024年第四季度，HuiOne Guarantee及其供应商使用的钱包收到的加密货币价值就超过了40亿美元。相比之下，Hydra市场在其长达六年的运营期间总共收到的加密货币约为52亿美元。 Elliptic表示：“此外，近60亿美元的加密货币通过HuiOne Guarantee上主要用于网络赌博的Telegram机器人流通。对通过该平台下注的初步分析表明，其中大部分可能构成洗钱行为。” Elliptic的调查还发现，HuiOne Pay是众多提供恋爱诈骗洗钱服务的供应商之一。该公司识别的另一家供应商声称在柬埔寨柴桢省的金福科技园区运营，该园区是一个与网络诈骗相关的诈骗窝点。 近几个月来，HuiOne Group还推出了一系列加密相关产品，包括一种名为USDH的与美元挂钩的稳定币、一个允许用户将USDH兑换为其他加密货币的去中心化加密货币交易所，以及一款名为ChatMe的适用于Android和iOS的通讯应用。 Elliptic联合创始人兼首席科学家Tom Robinson在一份声明中表示：“这似乎是HuiOne试图降低被Tether或Telegram等平台下架风险的一种尝试。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

本周三，OpenAI方表示，自今年年初以来，它已经成功干扰了全球20多个，试图将其平台用于恶意运营和欺诈的网络活动。 它们主要采取了：调试恶意软件，为网站撰写文章，为社交媒体帐户生成传记，以及为X上的假帐户创建人工智能生成的个人资料图片的举措。 这家人工智能（AI）公司表示：“威胁者不断进化并持续使用我们的模型，但我们并未发觉其创建实质性新恶意软件或建立病毒受众的能力有真正意义上的突破。” 除此之外，OpenAI方还表示，它扰乱了在美国、卢旺达的选举以及较小程度上与印度和欧盟相关的社媒活动。这些网络都没有吸引到病毒式的参与或持续的受众。 这包括一家名为STOIC（也称为Zero Zeno）的以色列商业公司所做的努力，正如Meta和OpenAI今年5月初披露的那样，该公司在社交媒体上发表了关于印度选举的评论。 OpenAI强调的一些网络操作如下： SweetSpecter，疑似是以中国为基地的对手，利用OpenAI的服务进行LLM知情的侦察、漏洞研究、脚本支持、异常检测规避和开发。还观察到，它对OpenAI员工进行了失败的鱼叉式网络钓鱼的企图，以提供SugarGh0st RAT。 Cyber Av3ngers是隶属于伊朗伊斯兰革命卫队（IRGC）的团体，使用其模型对可编程逻辑控制器进行研究。 Storm-0817，来自伊朗的威胁者，使用其模型进行调试，能够收集包含敏感信息的Android恶意软件，通过Selenium抓取Instagram个人资料，并将LinkedIn个人资料翻译成波斯语。 该公司表示，在其他领域，它也采取了各种措施来阻止多个集群，包括代号为A2Z和Stop News的操作。这些帐户生成了英语和法语内容，以便日后在各类网站和社交媒体帐户上发布。 研究人员Ben Nimmo和Michael Flossman说：“[Stop News]在图像使用方面异常丰富。其许多网络文章和推文都附有DALL·E生成的图像。这些图像通常是卡通风格，以明亮的调色板或戏剧性的色调来吸引注意力。” 经OpenAI Bet Bot和Corrupt Comment识别发现，其网络使用API在X上与用户生成对话，并向他们发送赌博网站的链接，以及在X上制造评论。 近两个月前，OpenAI禁止了一组与伊朗Storm-2035秘密行动有关的账户，该行动利用ChatGPT生成内容，这些内容主要关注即将到来的美国总统大选。 Nimmo和Flossman写道：“威胁者对我们模型的使用主要在活动中期——即在他们获得了互联网接入、电子邮件地址和社交媒体帐户等基本工具之后，以及在他们通过一系列分销渠道在互联网上部署社交媒体帖子或恶意软件等‘成品’之前。” 在网络安全公司Sophos上周发布的一份报告中显示： 生成性人工智能可能会被滥用，通过微目标电子邮件传播量身定制的错误信息。 这意味着滥用人工智能模型来编造政治竞选网站、生成政治人物角色，以及根据竞选要点针对性发布电子邮件，从而实现了新的自动化水平，使大规模传播错误信息成为可能。 研究人员Ben Gelman和Adarsh Kyadige表示：“这意味着用户可以通过简易的配置生成任何内容，从良性的竞选材料到错误信息和恶意威胁不等。” 错误信息的影响会使受众与本不支持的候选人结盟，或与他们自认喜欢的候选人意见相左。     消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

区块链分析公司 Chainalysis周四发布了年中加密犯罪更新报告，并重点关注了与柬埔寨企业集团 Huione Group 有关的在线市场 Huione Guarantee。自 2021 年以来这个在线市场处理了超过 490 亿美元的加密货币交易。 7 月，区块链安全公司 Elliptic透露，该平台是目前工业规模杀猪盘诈骗的关键参与者——充当“所有交易的担保人或托管提供商”。 Chainalysis 在该研究的基础上发现，该平台的规模远超之前的认知。Huione Guarantee 是一个通过提供 Telegram 账号作为联系点来连接买家和卖家的市场。该平台称自己是中立方，不会核实所宣传商品的合法性。 研究人员表示，有数千个 Telegram 群组在 Huione Guarantee 上做广告，其中许多“可能与在该地区运营的犯罪企业有联系”。 “链上分析显示，Huione Pay 在以太坊上很活跃，总流入量超过 19 亿美元，在 TRON 上也很活跃，流入量超过 470 亿美元。”他们还表示，“Huione Guarantee 上的许多商家很少掩饰他们的活动，而是使用不加掩饰的暗语来宣传他们所寻求的服务类型。” Chainalysis 发现了 Huione Pay 与非法或有风险的各方之间数百次转账的例子。他们表示，Huione 曾向研究人员之前与诈骗、被盗资金、受制裁的俄罗斯交易所 Garantex、欺诈商店、儿童性虐待材料、赌场等有关的账户接收和发送资金。 Chainalysis 发现，这些钱包与缅甸知名诈骗团伙以及其他数十家已知参与东南亚非法活动的实体有关联。 他们表示：“这些网络对 Huione Guarantee 的使用表明，该服务促进了诈骗者和欺诈者本身的活动，还促进了他们背后的犯罪网络的活动。” 该平台上的一些帖子提供了面部识别系统和工具，可用于进行杀猪盘诈骗业务或其他庞氏骗局。 Chainalysis 表示，之所以关注 Huione Guarantee，是因为它是众多网络犯罪分子的“枢纽”。 母公司 Huione Group 提供合法服务，但区块链数据一再显示，该公司的子公司深度涉足持续在东南亚运营的杀猪盘诈骗生态系统。 Elliptic 指出，Huione Pay 的董事之一是 Hun To——因长期与海洛因贩运、洗钱、中国有组织犯罪和诈骗团伙有联系而臭名昭著。 网络诈骗不断创新 Chainalysis 的报告还追踪了一系列与网络诈骗有关的其他加密货币趋势，并指出犯罪分子不断发展并适应执法力度。 犯罪集团现在能够在更短的时间内重新生成诈骗工具，并继续维持同时进行的小规模犯罪活动。 Chainalysis 表示，最引人注目的一件事是 2024 年创建的活跃钱包数量，这表明新的骗局激增。 根据 Chainalysis 的数据，约有 43% 的诈骗资金流入了今年开始活跃的钱包，创下了历史新高。第二高的年份是 2022 年，当时 29.9% 的犯罪资金流入了当年开始活跃的钱包。 但与诈骗活动相关的最大钱包之一整合了来自KK Park 的许多骗局的资金——KK Park 是缅甸与泰国边境最臭名昭著的杀猪盘诈骗组织之一。 与 KK Park 有关的钱包于 2022 年首次被发现，截至 2024 年，已有超过 1 亿美元汇入该钱包。Chainalysis 表示，这些资金“可能来自诈骗受害者，也可能来自试图拯救被贩卖家庭成员的家庭支付的赎金”。 “此外，值得注意的是，KK Park 和类似建筑的诈骗行动在调整其链下诈骗存在方面非常活跃，经常从中国服务商处购买成熟的 Facebook、Tinder 和 Match.com 个人资料用于他们的诈骗活动。”他们解释道。 这些诈骗行为所赚取的大部分资金随后通过 Huione Guarantee 等中心化交易所进行洗钱。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/4GwwzPAuHI4G9OtRt_xolw 封面来源于网络，如有侵权请联系删除

近日，网络安全研究团队Cyberint发现了一种难以检测的新型恶意软件UULoader，主要针对中韩用户。该软件被黑客用于投放后续恶意载荷，如Gh0st RAT和Mimikatz等工具，进而实施信息传播、窃密、诈骗、投放恶意软件、窃取加密货币等非法活动。 据Cyberint的技术报告披露，UULoader通过伪装成合法应用程序的恶意安装程序，主要针对韩语和中文用户。这些恶意软件通常以微软柜文件（.cab）格式分发，内部包含两个核心可执行文件，一个为.exe文件，另一个为.dll文件。这些文件的文件头已被剥离，使其难以被传统检测工具识别。 值得注意的是，UULoader的代码中包含了中文字符串，且嵌入的DLL文件中存在程序数据库（PDB）文件，进一步指向其开发者可能为中文母语者。Cyberint指出，该恶意软件利用合法的二进制文件进行DLL侧加载，最终加载的文件名为“XamlHost.sys”，实际上是远程访问工具（RAT）或Mimikatz凭证窃取器。 此外，UULoader的安装文件中包含了Visual Basic脚本（.vbs），负责启动Realtek等合法可执行文件，同时部分样本还会运行诱饵文件，作为混淆策略。例如，若伪装为Chrome更新程序，诱饵文件就是真实的Chrome更新程序。 UULoader攻击路径 这并非UULoader首次曝光，早在上个月，网络安全公司eSentire就曾报告过类似的攻击链条，攻击者通过伪造的Google Chrome网站传播Gh0st RAT，目标为中国的Windows用户。 UULoader的出现恰逢近年来以加密货币为诱饵的钓鱼攻击激增。攻击者利用免费托管服务搭建钓鱼网站，冒充Coinbase、Exodus和MetaMask等加密钱包服务，诱导用户点击恶意链接。Symantec的报告指出，攻击者利用Gitbook和Webflow等服务，创建仿冒加密钱包的域名，诱骗受害者访问钓鱼页面。 不仅如此，部分钓鱼攻击还伪装成印度和美国政府机构，诱导用户访问虚假域名，窃取敏感信息，并用于进一步的诈骗、信息传播或恶意软件分发。值得警惕的是，这些攻击还滥用微软Dynamics 365 Marketing平台，通过创建子域名和发送钓鱼邮件，绕过常规的邮件过滤机制。 同时，随着生成式人工智能（GenAI）的广泛应用，社会工程攻击也开始利用这一趋势，设置伪装成OpenAI ChatGPT的诈骗域名，用于钓鱼、灰色软件、勒索软件等恶意活动。据Palo Alto Networks的报告显示，超过72%的诈骗域名包含gpt或Chatgpt等与生成式AI应用有关的关键词。 面对日益复杂的境外网络攻击，中国企业和个人需提高警惕，尤其是在使用与生成式AI、加密货币相关的服务时，应加强防范措施，避免成为网络犯罪的目标。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/9s1Shc-UO4GuzJ3WBcZzwQ 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员揭露了一项复杂的信息窃取活动，该活动冒充合法品牌来分发DanaBot和StealC等恶意软件。 据称，该活动集群由俄语网络犯罪分子策划，代号为“Tusk”，包含多个子活动，利用平台的声誉诱骗用户使用虚假网站和社交媒体账户下载恶意软件。 卡巴斯基研究人员 Elsayed Elrefaei 和 AbdulRhman Alfaifi表示：“所有活跃的子活动都在 Dropbox 上托管初始下载程序。” “该下载程序负责向受害者的机器提供其他恶意软件样本，这些样本大多是信息窃取程序（DanaBot 和 StealC）和剪辑程序。” 迄今为止，已发现 19 个子攻击活动中，其中三个目前仍在活跃。“Tusk”这个名字指的是攻击者在与初始下载器相关的日志消息中使用的“Mammoth”一词。值得注意的是，Mammoth是俄罗斯电子犯罪集团经常用来指代受害者的俚语。 这些活动还因使用网络钓鱼手段欺骗受害者提供其个人和财务信息而闻名，这些信息随后在暗网上出售或用于未经授权访问他们的游戏账户和加密货币钱包。 三个子活动中的第一个名为 TidyMe，模仿 peerme[.]io，在 tidyme[.]io（以及 tidymeapp[.]io 和 tidyme[.]app）上托管一个相似的网站，该网站会诱使用户点击下载适用于 Windows 和 macOS 系统的恶意程序。可执行文件由 Dropbox 提供。 该下载器是一个 Electron 应用程序，启动时会提示受害者输入显示的 CAPTCHA，然后显示主应用程序界面，同时在后台秘密获取并执行另外两个恶意文件。 此次活动中观察到的有效载荷都是Hijack Loader构件，它们最终会启动 StealC 窃取恶意软件的变种，能够收集广泛的信息。 第二个子活动 RuneOnlineWorld（“runeonlineworld[.]io”）使用一个模拟大型多人在线（MMO）游戏 Rise Online World 的虚假网站来分发类似的下载程序，为受感染主机上的 DanaBot 和 StealC 铺平道路。 在这次活动中，通过 Hijack Loader 分发的还有一种基于 Go 的剪切板监视恶意软件，该恶意软件旨在监视剪贴板内容，并使用攻击者控制的比特币钱包替换受害者复制的钱包地址，以执行欺诈交易。 活跃活动的最后一项是 Voico，它冒充名为 YOUS（yous[.]ai）的 AI 翻译项目，并使用名为 voico[.]io 的恶意对应项目来传播初始下载程序，在安装时，该下载程序会要求受害者填写包含其凭证的注册表，然后将信息记录在控制台上。 最终的有效载荷表现出与第二个子活动类似的行为，唯一的区别是，在这种情况下使用的 StealC 恶意软件与不同的命令和控制 (C2) 服务器进行通信。 “这些活动表明，网络犯罪分子的威胁持续不断且不断演变，他们善于模仿合法项目来欺骗受害者。对网络钓鱼等社会工程技术的依赖，加上多阶段恶意软件传递机制，凸显了威胁行为者的先进能力。”研究人员表示，“通过利用用户对知名平台的信任，这些攻击者有效地部署了一系列恶意软件，旨在窃取敏感信息，破坏系统，并最终获取经济利益。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a777eGTYEUHDwa5qfuODsw 封面来源于网络，如有侵权请联系删除

根据一份新报告，2024 年上半年，勒索软件攻击的受害者被勒索了超过 4.59 亿美元，凸显日益严重的危机，这场危机已经影响了从大公司到地方政府和医院的所有组织。 区块链研究公司 Chainalysis 追踪了向勒索软件攻击者控制的钱包进行的加密货币支付，发现从这些犯罪分子那里赚取的金额增加了 1000 万美元，而去年的数字为 4.491 亿美元。 研究人员表示，支付的速度使世界“坚定地走上了有记录以来最糟糕的一年”。其他几项统计数据表明，勒索软件问题只会越来越严重。除了创纪录的支付赎金7500万美元外——其他区块链分析师也证实了这一点——支付的中位数也有所增长。 对于最具威胁性的群体——今年收到最高金额超过 100 万美元的群体——赎金中位数从 2023 年第一周的 198,939 美元增加到 2024 年 6 月中旬的 150 万美元。 研究人员说：“这种模式可能表明，勒索软件新变种针对大型企业和关键基础设施提供商，由于这些目标的雄厚财力和系统重要性，这些企业和关键基础设施提供商更有可能支付巨额赎金。” 这些数字与包括 Sophos 在内的其他网络安全公司追踪的数据相符，该公司最近释放的一份报告显示，2024 年支付赎金的 49 个州和地方政府的勒索中位数为 220 万美元。 跟踪支付还显示，勒索软件攻击变得越来越频繁，今年记录的攻击至少增加了 10%。 但是，尽管攻击频率和支付规模有所增加，但支付赎金的受害者数量似乎减少了。 研究人员表示，与去年相比，“勒索软件支付事件”的数量下降了27%，这表明更多的受害者可能准备得更充分，并选择自己从攻击中恢复过来。 事件响应公司Kiva Consulting的总法律顾问安德鲁·戴维斯（Andrew Davis）表示，他们受雇协助的攻击事件中有65%在没有支付赎金的情况下得到解决。 戴维斯补充说，取缔 ALPHV/BlackCat 和 LockBit 勒索软件组织的执法行动已经分裂了网络犯罪格局，迫使附属公司迁移到效果较差的其他勒索软件团伙。 “无论是这些知名攻击者行动的前附属机构，还是勒索行业新贵，大量新的勒索软件组织都加入了这场争夺战，展示了新的方法和技术来实施他们的攻击，扩大他们的初始访问手段和横向移动方法。”他说。 虽然政府官员最近几周质疑勒索软件基础设施拆除质疑有效性，但一些研究人员表示，这些数据说明了这些操作的重要性。执法部门的联合行动“对于遏制勒索软件犯罪至关重要”。 2023 年支付了创纪录的 10亿美元的赎金，部分来自几起备受瞩目的攻击，包括 Clop 利用流行的文件传输工具和 ALPHV/BlackCat 对凯撒酒店物业的攻击。 Chainalysis 通常会每年修改赎金支付数字，因为他们发现犯罪分子使用的加密钱包更多。 加密货币盗窃 勒索软件并不是 Chainalysis 警告的唯一网络安全威胁——研究人员表示，加密货币抢劫案也在增加。2024 年上半年，网络犯罪分子从此类攻击中净赚了近 16 亿美元，高于 2023 年同期的 8.57 亿美元。 对加密货币平台的攻击数量基本保持稳定，但与去年相比，黑客在每次攻击中都窃取了更多的钱。与去年上半年的590万美元相比，今年盗窃案的平均价值增长到1060万美元。 Chainalysis将这在很大程度上归因于加密货币（尤其是比特币）的价值增加，与去年相比，去年市场在几个主要平台关闭后崩溃。 今年最大的攻击是针对DMM，被盗3.05亿美元被盗。 根据 Chainalysis 的说法，提供去中心化金融 （DeFi） 服务的公司提高了安全性，将大多数黑客拒之门外，迫使他们“回归本源，并在四年后再次瞄准中心化交易所，这些交易所通常不交易比特币”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vdOE6L3MFUbO9EqENqtV2g 封面来源于网络，如有侵权请联系删除

根据安全研究人员的最新调查，俄罗斯国家安全机构正在针对美国、欧洲和俄罗斯的民间社会成员发起越来越复杂的网络钓鱼攻击，在某些情况下，他们会冒充与攻击目标有私人关系的个人。 在多伦多大学公民实验室和Access Now发布了新报告，研究人员表示，与俄罗斯有关的攻击在社会工程策略和技术方面都变得更加复杂。 最近一系列袭击事件的目标包括前美国驻乌克兰大使史蒂芬·皮弗 (Steven Pifer)和流亡的俄罗斯出版商波琳娜·马克霍德 (Polina Machold)。 就皮弗的案例而言，研究人员表示，他之所以成为攻击目标，是因为有人与皮弗进行了一次“高度可信”的交流，其中有人冒充了皮弗认识的另一位前美国大使。 Machold 的案件同样采用了更为复杂的攻击方法。这位出版商于 2021 年夏天被俄罗斯驱逐出境后居住在德国，2023 年 11 月，她之前曾与另一家出版商的一位同事通过电子邮件首次联系了她。他让她查看附件，但没有附件。她回答说附件不见了。 几个月后，他再次联系她，这次使用的是 Proton Mail 的用户名，Proton Mail 是一种免费且安全的电子邮件服务，记者经常使用。她说，当她打开那封电子邮件，发现附件看起来像是 Proton Mail 驱动器时，她开始感到警觉。她打电话给联系人，对方震惊地表示，他没有给她发电子邮件。 “我以前从未见过这样的事情。他们知道我和这个人有联系。尽管我认为自己处于高度警惕状态，但我却一无所知。”Machold说。 研究人员表示，针对 Machold 和 Pifer 的网络钓鱼活动是由一个名为 Coldriver 的攻击者实施的。第二个攻击者名为 Coldwastrel，其攻击模式类似，而且似乎也专注于俄罗斯感兴趣的目标。 Access Now 高级技术法律顾问 Natalia Krapiva 表示：“这项调查显示，流亡的俄罗斯独立媒体和人权组织面临着与针对现任和前任美国官员的同类高级网络钓鱼攻击。但他们保护自己的资源要少得多，而且受到攻击的风险要大得多。” 几乎所有接受研究人员采访的目标人物都出于自身安全考虑选择匿名，研究人员表示，大多数目标人物的共同点是他们“在敏感社区中拥有广泛的人脉”。 观察到的最常见策略是攻击者与目标发起电子邮件交流，伪装成目标认识的人；要求目标查看文档。附加的 PDF 通常声称使用 Proton Drive 等注重隐私的服务进行加密，登录页面甚至可能预先填充目标的电子邮件地址，使其看起来合法。如果目标输入密码和双因素代码，攻击者就可以将信息发回给他们，从而让他们能够访问目标的电子邮件帐户。 “一旦这些攻击者获得凭证，我们认为他们会立即采取行动，访问电子邮件帐户和任何在线存储，如 Google Drive，以获取尽可能多的敏感信息。”公民实验室高级研究员 Rebekah Brown 表示。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bprMEnkE-dZYdLRSmdn7wg 封面来源于网络，如有侵权请联系删除

一个可能与神秘威胁组织 “Crazy Evil “有关联的复杂网络犯罪行动已经将目光瞄准了 Mac 用户，利用流行的屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。Moonlock Lab 的研究人员发现了这一令人震惊的活动，揭露了攻击者是如何滥用谷歌广告来引诱毫无戒心的受害者访问精心制作的假 Loom 网站的。 最近，Moonlock Lab 发现，一个可能与俄罗斯有关联的名为 Crazy Evil 的组织正在传播 AMOS 窃取程序的变种。该组织正在谷歌广告上开展欺骗活动，将用户重定向到一个托管在 smokecoffeeshop[.]com的假冒 Loom 网站。该网站几乎完美地模仿了合法的 Loom 网站，从该网站下载的任何内容都会导致安装 AMOS 窃取程序。 自 2021 年首次出现以来，该恶意软件已发生了重大演变，并在不断更新和改进。这款复杂的恶意软件可以提取敏感信息、窃取浏览器数据，甚至清空加密货币钱包。 这种新型 AMOS 变种的一个显著特点是能够克隆合法应用程序。Moonlock Lab 发现，该恶意软件可以用恶意克隆程序替换 Ledger Live（一款流行的加密货币钱包应用程序）等应用程序。这一新功能代表了恶意软件功能的重大进步，使其能够绕过苹果应用商店的安全措施，直接侵入用户设备。 威胁行为者还创建了其他流行应用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一个名为BlackDesertPersonalContractforYouTubepartners[.]dmg 的虚假应用程序以游戏社区为目标，参考了大型多人在线角色扮演游戏 Black Desert Online。游戏玩家通常涉及数字资产和加密货币，是此类网络攻击的常见目标。 Moonlock Lab 将这次攻击活动背后的团伙称为 “疯狂邪恶”（Crazy Evil）。他们通过 Telegram 机器人进行沟通和招募，并强调新型 AMOS 窃取器在招募广告中的能力。该团伙的行动与一个高恶意软件关联 IP 地址（85[. 28[.]0[.]47）有关，研究人员进一步将他们与俄罗斯网络犯罪活动联系起来。 为了保护自己免受这种新型威胁，请遵循以下准则： 谨慎下载： 只从官方网站或 Apple App Store 下载软件。避免点击谷歌广告中的软件下载链接。 验证 URL： 仔细检查 URL，确保访问的是合法网站。 保护游戏账户： 警惕主动提供奖励或新游戏试用的信息。报告、阻止和删除可疑信息。 使用安全软件： 使用信誉良好的杀毒软件和反恶意软件工具来检测和删除威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/408362.html 封面来源于网络，如有侵权请联系删除

近日，Palo Alto Networks的研究人员发现，一个被称为Fighting Ursa（也被称作APT28、Fancy Bear或Sofacy）的与俄罗斯有关联的威胁行为者，通过发布虚假的汽车销售广告来传播HeadLace后门恶意软件，主要针对外交官。 这场活动始于2024年3月，攻击者采用了多年来对外交官有效的网络钓鱼策略，利用能够吸引目标的敏感主题发起攻击，并依赖于公共和免费的服务来托管攻击的各个阶段。 2023年4月到12月期间，该APT分三个不同阶段部署 Headlace，分别使用网络钓鱼、被破坏的互联网服务和本地二进制文件。而这些凭据收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆的一个智库，通过在合法服务和被破坏的Ubiquiti路由器之间转发请求，绕过双因素认证和CAPTCHA挑战。 乌克兰国防部和欧洲铁路系统的相关网络被破坏后，攻击者能够收集情报以影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣也表明他们有意了解并影响地区政策。Insikt Group推测这次行动旨在影响地区和军事动态。 今年5月，Fighting Ursa利用合法服务Webhook.site通过托管恶意HTML页面启动了感染链，该页面在2024年3月14日提交给VirusTotal，其中包含用于确定访问者的计算机是否运行Windows的脚本。非Windows用户会被重定向到ImgBB上托管的诱饵图片。 HTML 还从 Base64 文本中创建了一个 ZIP 压缩包供下载，并利用 JavaScript 自动完成该过程。攻击者使用了一张奥迪Q7 Quattro SUV的图片作为诱饵，虚假宣传它是“外交用车出售”，其中包括虚假的联系方式以增加网络钓鱼计划的可信度。 ZIP归档包含三个文件：一个伪装成图像文件的合法Windows计算器可执行文件calc.exe（”IMG-387470302099.jpg.exe”），一个DLL文件（”WindowsCodecs.dll”），以及一个批处理文件（”zqtxmo.bat”）。 IMG-387470302099.jpg.exe文件用于加载WindowsCodecs.dll，这是HeadLace后门的一部分，可运行批处理脚本。该脚本执行了一个Base64编码的命令，从另一个webhook[.]site URL检索文件。 Palo Alto Networks的分析报告指出：“批处理文件将从第二个Webhook.site URL下载的内容保存在用户的下载目录中为IMG387470302099.jpg，然后将其移动到%programdata%目录，并更改文件扩展名从.jpg到.cmd。最后，批处理文件执行IMG387470302099.cmd，然后删除自身，以消除恶意活动的明显痕迹。” 专家认为，Fighting Ursa组织将继续在其攻击基础设施中使用合法的网络服务。 Recorded Future的一份最新报告也指出，该组织使用的基础设施一直在不断变化和发展。其他行业报告也展示了该组织在尝试投放HeadLace恶意软件时使用的各种诱饵。 为了防御此类攻击，建议限制对这些类似托管服务的访问，并仔细审查这些免费服务的使用，以识别可能的攻击载体。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407808.html 封面来源于网络，如有侵权请联系删除