HackerNews 编译，转载请注明出处： CrowdStrike警告称，一起网络钓鱼攻击正冒充该网络安全公司，通过虚假的招聘邮件诱骗目标对象下载门罗币（Monero）加密货币挖矿软件XMRig。 2025年1月7日，该公司发现了这起恶意攻击活动，根据钓鱼邮件的内容判断，该活动开始的时间应该不会太早。 攻击始于一封发送给求职者的钓鱼邮件，邮件自称来自CrowdStrike的招聘代理，感谢他们申请公司的开发者职位。邮件指示目标对象从一个看似合法CrowdStrike门户的网站上下载所谓的“员工客户关系管理（CRM）应用程序”。 这据说是公司为了“通过推出新的申请者CRM应用程序来简化入职流程”而做出的努力。 点击邮件中嵌入链接的候选人会被带到一个名为“cscrm-hiring[.]com”的网站，该网站提供Windows或macOS系统的应用程序下载链接。 滥用CrowdStrike品牌的恶意网站（图片来源：CrowdStrike） 下载的工具会在获取额外有效载荷之前进行沙箱检查，以确保其不在分析环境中运行，例如检查进程号、CPU核心数以及调试器的存在。 一旦这些检查完成且结果为阴性（即受害者符合感染条件），应用程序会生成一条虚假的错误信息，称安装程序文件可能已损坏。 虚假错误信息（图片来源：CrowdStrike） 在后台，下载器会获取一个包含运行XMRig所需参数的配置文件文本。 然后，它会从GitHub存储库中下载一个包含挖矿软件的ZIP压缩包，并在“%TEMP%\System\”目录中解压文件。 挖矿软件将在后台运行，消耗极少的处理能力（最多10%），以避免被检测。 在“开始”菜单的“启动”目录中添加了一个批处理脚本，以确保在重启之间持续运行，同时在注册表中写入了一个登录时自动启动的键。 有关此次攻击活动的更多详情及其相关的入侵指标，请参阅CrowdStrike的报告。 求职者应始终通过验证电子邮件地址是否属于公司官方域名，并从公司官方页面上联系相关人员来确认对方是否为真正的招聘人员。 请警惕紧急或异常请求、看似过于美好的机会，或要求下载据称招聘所需的可执行文件的邀请。雇主很少（甚至从不）要求候选人在面试过程中下载第三方应用程序，也绝不会要求预先付款。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

10 月 10 日，攻击者通过第三方托管的登录门户访问并更改了员工福利账户，随后发现了这一未经授权的活动。 据该公司称，攻击者发起了一场欺诈性广告活动，将通用动力公司的员工引导到一个钓鱼网站，诱骗他们输入用户名和密码。 通用动力公司向缅因州总检察长办公室表示：“恶意攻击者随后能够访问向虚假第三方登录网站提供此信息的员工的账户。”该公司表示，共有 37 人受到影响。 被入侵的员工福利账户使攻击者可以访问姓名、出生日期、身份证号码、社会保障号码、银行账户信息和残疾状况等个人信息。 通用动力公司称，攻击者在某些情况下更改了被盗账户的银行账户信息。这些账户的所有者从 10 月 10 日开始收到通知。本周，该公司开始向其他受影响人员邮寄书面通知信。 “现有证据表明，涉案的未经授权访问是通过第三方进行身份验证的，而不是直接通过 GD 业务部门进行身份验证。目前，GD 尚未发现此次事件会给受影响的员工带来任何持续伤害或风险。”该公司向缅因州审计院表示。 在向缅因州检察长办公室提交的通知信副本中，通用动力公司告知受影响的个人，攻击者使用通过钓鱼网站获取的泄露凭证，通过员工自助服务门户访问了他们的 Fidelity NetBenefits 账户。 攻击者于 10 月 1 日开始访问员工账户，通用动力公司在发现攻击后立即暂停了对该服务的访问。该公司为受影响的个人提供两年的免费信用监控。 通用动力公司通知受影响的人员重置富达账户登录凭证，并且不要在该账户或您使用的任何其他账户中重复使用之前的凭证。 今年早些时候，美国金融服务公司富达 (Fidelity) 通知数万个人，他们的个人信息在两次数据泄露事件中遭到泄露。一次影响了28,000 名富达投资人寿保险公司客户，另一次影响了超过77,000 名富达投资客户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ryUVDrdBnMOej-3kUssgFQ 封面来源于网络，如有侵权请联系删除

Sophos在上周发布的新报告中表示：“似乎运营[Rockstar2FA]服务的团队至少经历了基础设施的部分崩溃，与该服务相关的页面不再可访问。这似乎并非因为被取缔行动，而是因为服务后端的某些技术故障。” Rockstar2FA最初由Trustwave在上月底记录为一种PhaaS服务，允许犯罪分子发起能够窃取Microsoft 365账户凭证和会话cookie的网络钓鱼攻击，从而绕过多重因素认证（MFA）保护。 该服务被评估为DadSec网络钓鱼工具包的更新版本，微软将其追踪为Storm-1575。大多数网络钓鱼页面被发现托管在.com、.de、.ru和.moscow顶级域名上，尽管人们相信.ru域名的使用量随时间减少。 Rockstar2FA似乎在2024年11月11日遭受了技术中断，当时重定向到中间诱饵页面时产生了Cloudflare超时错误，伪造的登录页面无法加载。 虽然尚不清楚导致中断的原因，但PhaaS工具包留下的空白导致与FlowerStorm相关的网络钓鱼活动激增，FlowerStorm自2024年6月以来一直活跃。 Sophos表示，这两种服务在网络钓鱼门户页面的格式和连接后端服务器以收集凭证的方法上存在相似之处，这引发了它们可能有共同起源的可能性。它们还滥用Cloudflare Turnstile，以确保传入页面请求不是来自机器人。 人们怀疑11月11日的中断可能代表其中一个团队的战略转变、运营人员的变动，或是有意将两个操作分开的努力。目前没有确凿的证据将这两个服务联系起来。 使用FlowerStorm最频繁的目标国家包括美国、加拿大、英国、澳大利亚、意大利、瑞士、波多黎各、德国、新加坡和印度。 Sophos表示：“服务行业是最受攻击的行业，特别是那些提供工程、建筑、房地产和法律服务及咨询的公司。” 如果有什么不同的话，这些发现再次说明了攻击者使用网络犯罪服务和商品工具在不需要太多技术专长的情况下，也能大规模进行网络攻击的持续趋势。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

区块链技术解决方案公司OwlTing因开放了对AWS存储（S3）的访问，不慎暴露了765,000用户的敏感数据。此次数据泄露主要影响了台湾方面入住过酒店的客人。 7月29日，Cybernews研究团队在例行的开源情报（OSINT）调查中，发现了一个配置错误的亚马逊S3存储桶，其中存储了大量文件。S3存储桶是亚马逊网络服务（AWS）上的简单云存储容器，类似于用于存储文件的文件夹。 该存储桶中的超过168,000个CSV和XLSX文档包含了超过765,000名客户的个人身份信息（PII）。 此次泄露被归咎于OwlTing，这是一家服务于全球旅游、食品安全、酒店业和其他电子商务领域的台湾公司，提供着广受认可的区块链解决方案。 该公司确认了这一事实，并采取了相应的措施来遏止泄露。然而，它对事件的严重性有所弱化，称：“此次泄露不涉及任何敏感数据。” 但Cybernews研究人员警告说：“姓名、电话号码和酒店预订详情等个人信息的泄露，可能导致各种形式的身份盗窃和欺诈，给被泄漏方带来严重风险。” 那么究竟泄露了哪些数据呢？ 暴露的数据似乎与酒店管理服务有关，并且主要包含了来自Booking、Expedia等流行平台的预订数据。 泄露的数据包括以下内容： 全名 电话号码和一些电子邮件地址 酒店预订详情，如订单日期、登记入住和退房、房间号码和类型、支付和未付金额、货币以及用于预订的各项服务。 图片来源：cybernews 泄露的电子邮件地址大约有3,000个，但大多数电话号码皆被收集，总数接近900万条。 暴露电话号码中超过92%属于台湾用户，与此同时还包括来自日本、香港、新加坡、马来西亚、泰国和韩国的数千名用户和欧洲国家的数百名用户，但几乎没有识别出美国用户。 数据可能被攻击者使用 Cybernews研究人员警告说，暴露的数据对专门从事鱼叉式网络钓鱼、语音钓鱼（vishing）、短信钓鱼（Smishing）和其他社交工程攻击的网络犯罪分子来说非常有价值。此外，数据可能与其他过去的泄露结合起来，试图进行金融欺诈或账户入侵攻击。 研究人员警告说：“攻击者可以使用过去的酒店预订详情，进行极具欺骗性的网络钓鱼行为。例如，一条短信或电子邮件引用在特定酒店的住宿，请求反馈或为未来的预订提供折扣，都可能会诱使个人点击恶意链接或提供更多个人信息。” 欺诈者可以使用电话号码给用户打电话或发送短信，假装是酒店或相关服务的人，索要敏感信息，如信用卡号或密码。此外，一长串电话号码可能被用于非法的自动拨号。 网络跟踪（Doxxing）是另一个严重威胁，因为网络犯罪分子已知会在互联网上搜索可能用于推进其财务或个人议程的敏感材料。 网络犯罪分子会使用AI和其他智能工具大规模发起攻击。 Cybernews研究团队无法验证数据是否被任何威胁行为者或其他第三方访问。我们联系了OwlTing以获取额外评论，但在发布前没有收到回应。 谨慎对待亚马逊S3存储桶 Cybernews研究人员建议在亚马逊S3存储桶暴露时采取以下缓解步骤： 更改访问控制以限制公开访问并保护存储桶。更新权限以确保只有授权用户或服务具有必要的访问权限。 监控访问日志，以评估存储桶是否被未经授权的行为者访问。 启用服务器端加密以保护静态数据。 使用AWS密钥管理服务（KMS）安全地管理加密密钥。 实施SSL/TLS以确保数据传输中的安全通信。 考虑加强安全实践，包括定期审计、自动化安全检查和员工培训。 OwlTing成立于2010年，总部位于台湾，专门提供多个领域的区块链技术解决方案。该公司在全球范围内设有办事处，包括美国、日本、马来西亚、泰国和新加坡。 披露时间线 2024年7月29日：发现泄露。 2024年8月2日：发送初次披露电子邮件，并随后发送了多封跟进电子邮件。 2024年9月13日：通知台湾CERT。 2024年9月19日：关闭了对数据的访问。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2024 年第二季度共报告了 877,536 次网络钓鱼攻击，与同年第一季度报告的 963,994 次攻击相比明显减少。然而，这可能还不是值得庆祝的事情，因为这种减少可能是由于电子邮件提供商使用户报告网络钓鱼企图变得越来越困难。 投诉和测试表明，某些著名的电子邮件提供商正在阻止用户转发他们怀疑可能是网络钓鱼企图的电子邮件。这可能会使结果出现偏差，因为真实的网络钓鱼活动可能比数字显示的要高，这突出表明需要更好、更方便的报告机制。 反钓鱼网站工作组 (APWG) 发布的《2024 年第二季度网络钓鱼活动趋势报告》揭示了这一点。该报告对网络钓鱼攻击和身份盗用方法进行了全面分析，深入揭示了恶意攻击者不断演变的策略，包括网络钓鱼计划、商业电子邮件泄密 (BEC) 和其他形式的在线欺诈。 该报告基于从其成员公司、全球研究合作伙伴处收集的数据，以及通过其网站和电子邮件提交的直接报告。这种广泛的数据收集提供了当前网络钓鱼形势的详细视图，捕捉到了网络犯罪分子使用的社会工程和技术潜伏策略。这些数据通过 APWG eCrime eXchange (eCX) 进行处理，以跟踪独特的网络钓鱼网站、电子邮件主题和目标品牌。 网络钓鱼和网络诈骗兴起 报告还强调了向电话网络钓鱼方法的转变，包括语音网络钓鱼（vishing）和短信网络钓鱼（smishing）。越来越多的银行和在线支付服务客户成为这些欺诈行为的目标。传统的电子邮件网络钓鱼依靠欺骗性信息引诱受害者，而网络钓鱼和短信网络钓鱼则不同，它们涉及与潜在受害者的直接交流。 网络钓鱼通常是通过电话，由恶意行为者伪装成可信组织的人员来获取敏感信息，而网络钓鱼则是发送包含恶意链接或要求提供个人信息的虚假短信。这种直接方法允许攻击者与受害者实时接触，使这些方法更有效地绕过传统的电子邮件安全过滤器并获取敏感信息。随着这些策略变得越来越普遍，组织和个人需要保持警惕，并采取全面的安全措施来防范这些日益复杂的威胁。 针对特定行业的攻击 另一个令人担忧的趋势是社交媒体平台成为攻击目标。这些平台仍然是最常受到攻击的领域，占所有网络钓鱼攻击的 32.9%。这一数字之高说明了社交媒体网站一直很容易受到网络钓鱼的攻击，因为网络钓鱼利用了社交媒体的广泛性和个人特性。由于社交媒体账户的广泛使用及其所蕴藏的个人信息宝库，它们也是网络钓鱼者的目标。 相比之下，针对金融服务实体的网络钓鱼攻击从 2023 年第三季度的 24.9% 和 2023 年第四季度的 14% 降至 2024 年第二季度攻击总量的 10%。针对在线支付服务（如 PayPal、Venmo、Stripe 和类似公司）的攻击保持稳定，占所有攻击的 7.5%。 攻击下降的部分原因是金融公司实施了双因素身份验证（2FA）等强化安全措施，大大降低了传统网络钓鱼的成功率。随着银行和支付服务加强防御，不良分子将重点转向安全措施不那么严格的部门。这表明，所有部门持续保持警惕和采取强有力的安全措施至关重要。 成本更高，但攻击更少 跟踪 BEC 攻击的重要机构 Fortra 报告称，2024 年第二季度，电汇 BEC 攻击请求的平均金额从 2024 年第一季度的 84059 美元增至 89520 美元。 尽管请求的平均金额有所增加，但 BEC 攻击的数量却比上一季度下降了 8.4%。这表明，虽然个别攻击的目标金额可能更高，但这些攻击的总体频率有所下降。 流行骗局 该公司的分析还显示，礼品卡欺诈是最流行的欺诈类型，占所有攻击的 38.1%。此外，预付费欺诈占 26.1%，而工资转移也依然流行，在 Fortra 的跟踪中占 7.6%。混合式网络钓鱼在 2023 年之前甚至还未出现在人们的视线中，但在跟踪的案件中却占到了 4.9%。这些混合式诈骗通常涉及电子邮件信息，提示收件人拨打电话号码解决问题或要求退款。 有趣的是，在工资转移方面，35% 的尝试涉及将工资转入 Green Dot 账户，GoBank 也是热门选择。这表明这些金融机构的审查流程存在漏洞，可能会影响其对 “了解你的客户”（KYC）法规的遵守。 免费网络电子邮件提供商 Fortra 还发现，72% 的 BEC 攻击使用了免费网络邮件域名，其中谷歌 Gmail 最受欢迎，有 72.4% 的攻击使用了该域名。免费网络邮件服务的高使用率凸显了这些平台的漏洞，因为骗子经常利用这些平台进行诈骗。 微软的网络邮件服务在 BEC 攻击中占 16.3%，与 Gmail 相比所占比例较小，但也很重要。 采取积极措施 随着网络钓鱼技术的不断发展和日益复杂，组织和个人都必须保持警惕。这意味着要随时了解网络犯罪分子使用的最新策略，并不断更新和加强安全措施，以有效打击这一祸患。 定期对员工进行培训、实施多因素身份验证和利用先进的网络安全工具等积极主动的措施有助于确保防御措施足够强大，能够跟上网络钓鱼攻击的动态发展。     转自安全客，原文链接：https://www.anquanke.com/post/id/300865 封面来源于网络，如有侵权请联系删除

近日，GuidePoint Research和Intelligence Team（GRIT）发现了一个针对英语使用者的持续钓鱼活动，该活动已经针对美国超过130家公司和组织。 研究人员指出，自2024年6月26日以来，这个威胁行为者注册了与目标组织使用的VPN提供商相似的域名。威胁行为者通常会打电话给员工个人，假装来自服务台或IT团队，并声称他们正在解决VPN登录问题。如果这种社工攻击尝试成功，威胁行为者会发送一个短信链接给用户，该链接指向假冒公司VPN的假网站。 该威胁行为者还为每个目标组织设置了自定义的VPN登录页面。与此活动相关的域名如下： – ciscoweblink.com – ciscolinkweb.com – ciscolinkacc.com – ciscoacclink.com – linkciscoweb.com – fortivpnlink.com – vpnpaloalto.com – linkwebcisco.com 这些页面与每个组织的合法页面非常相似，包括可用的 VPN 组。但是，在某些情况下，威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中，这可能是作为社会工程攻击中的一种策略。 通过这些虚假登录页面，威胁行为者能够收集用户的用户名、密码和令牌，即使存在多因素认证（MFA）也是如此。 如果 MFA 使用推送通知，则威胁行为者会指示用户在社交工程调用期间批准推送通知。在最后一步中，用户被重定向到目标组织的合法 VPN 地址，并可能被要求再次登录，从而加强问题已解决的错觉。 一旦威胁行为者获得对网络的VPN访问权限，他们立即开始扫描网络，以识别横向移动、持久性和进一步权限提升的目标。 GRIT写道：这种钓鱼活动中使用的社会工程类型特别难以检测，因为它通常发生在传统安全工具的可见性之外，例如通过直接拨打用户的手机号和使用短信/文本消息。 除非用户报告收到这些类型的电话或消息，否则安全团队甚至可能察觉不到。威胁行为者还可以通过这种方法针对多个用户，直到他们成功地找到一个容易受到这种攻击的用户。 为了避免安全风险，用户应对过去30天内来自VPN分配IP地址的可疑活动日志进行详细排查。如果发现任何成功的入侵迹象要立即与安全团队沟通，并立刻采取相应措施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409821.html 封面来源于网络，如有侵权请联系删除

近期，一个大规模的网络钓鱼活动利用Microsoft Sway这一云基础的在线演示工具来搭建登陆页面，目的是为了诱使Microsoft 365用户泄露他们的登录凭证。 2024年7月，Netskope的安全威胁实验室发现，通过Microsoft Sway托管的钓鱼网页数量激增，与今年上半年相比，增长了惊人的2000倍。这种急剧上升的趋势与此前的低活动水平形成了鲜明对比，更加凸显了这次攻击活动的规模。 该活动主要针对亚洲和北美地区的用户，特别是技术、制造和金融行业，这些行业成为攻击者的主要目标。 攻击者通过电子邮件将潜在的受害者引导至由sway.cloud.microsoft域名托管的钓鱼登陆页面。这些页面诱导目标用户扫描QR码，进而将他们重定向到其他恶意网站。 攻击者倾向于鼓励用户使用移动设备扫描这些二维码，因为移动设备的安全防护通常较弱，这增加了他们绕过安全措施、无障碍访问钓鱼网站的可能性。 安全研究人员指出：由于URL被嵌入到图片中，那些只能扫描文本内容的电子邮件扫描器将无法识别。此外，当用户收到二维码时，他们可能会选择使用手机等移动设备进行扫描。 “移动设备，尤其是个人手机，其实施的安全措施通常没有笔记本电脑和台式机那么严格，这使得用户更容易成为攻击的目标。”研究人员进一步解释道。   微软 Sway 网络钓鱼页面示例 攻击者采取了多种手段来提高其钓鱼活动的成功率，例如通过透明钓鱼手段，他们盗取了用户的凭证和多因素认证码，并在向用户展示合法登录页面的同时，使用这些信息登录用户的Microsoft账户。 他们还使用了Cloudflare Turnstile这一旨在防止机器人访问的工具，来隐藏其钓鱼登陆页面的内容，避免静态扫描器的检测。这有助于保持钓鱼域名的良好信誉，并防止被诸如Google Safe Browsing之类的网络过滤服务所屏蔽。 Microsoft Sway在五年前的PerSwaysion钓鱼活动中也遭到了滥用，该活动通过一个在恶意软件即服务（MaaS）业务中提供的钓鱼套件，针对Office 365的登录凭证。 Group-IB的安全研究人员当时揭露，这些攻击至少欺骗了156位在中小型金融服务公司、律师事务所和房地产集团中担任高级职位的人员。 Group-IB表示，在所有被“收割” 的Office 365账户中，有超过20%是来自美国、加拿大、德国、英国、荷兰、香港和新加坡等国家或地区的组织中的高级执行官、总裁和常务董事。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409605.html 封面来源于网络，如有侵权请联系删除

在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中，最近发现了一种复杂的移动网络钓鱼技术。这种网络钓鱼方法利用渐进式Web应用程序PWA，提供类似本机应用程序的体验，主要在Android和iOS设备上出现。 iOS和Android上的PWA网络钓鱼 这种新型的网络钓鱼技术之所以能够实施，是利用PWA的工作特性诱导用户下载并运行恶意软件，而无需用户明确允许第三方手机应用的安装。在iOS上，网络钓鱼网站冒充知名应用程序的登录页面，并指示受害者将PWA添加到他们的主屏幕。在登录页面建立之前，某个威胁通过修改PWA的清单文件，使得PWA能够独立运行，并且其行为与普通的移动应用相似。 PWA工作原理的简化图 在Android设备上，当用户在浏览器中确认了自定义的弹出窗口后，PWA会被安装。这会导致用户静默地安装Web Android包工具包（WebAPK）。WebAPK是一种特殊类型的APK，即标准的Android应用程序文件，可以被视为PWA的升级版本。这种升级是因为Chrome浏览器从PWA生成原生Android应用程序。 针对银行的金融欺诈活动 在2023年11月，ESET观察到针对几家捷克银行、匈牙利OTP银行和格鲁吉亚TBC银行的移动网络钓鱼活动，在这些活动中，攻击者使用了一种特定的技术，并且这种技术是与标准的网络钓鱼传递技术一起使用的。这些网络钓鱼活动使用了三种不同的URL传递机制：语音呼叫传送：自动呼叫警告用户过时的银行应用程序，并要求用户在数字键盘上选择一个选项。按下正确的按钮后，将通过短信发送网络钓鱼URL。短信发送：带有网络钓鱼链接的短信被莫名其妙地发送到捷克的电话号码。 恶意广告投放：在Instagram和Facebook等Meta平台上发布号召性用语的广告，例如为下载更新用户提供优惠。 PWA 网络钓鱼流 2024年3月，研究人员首次发现了控制网络钓鱼应用的C2服务器。服务器中的数据表明，3月之前可能并未运行。根据C2服务器和后端基础设施的分析，研究人员得出结论，至少有两个不同的威胁行动者在操作这些网络钓鱼活动。ESET目前已经通知了被这些网络钓鱼活动针对的银行。   转自E安全，原文链接：https://mp.weixin.qq.com/s/2v-zewR5qAfpiv_kAcldGg 封面来源于网络，如有侵权请联系删除

乌克兰计算机应急反应小组 (CERT-UA)警告称，新的网络钓鱼攻击利用恶意软件感染设备。 该活动被归因于其跟踪的威胁集群 UAC-0020，也称为Vermin。目前尚不清楚攻击的具体规模和范围。 攻击链以带有库尔斯克地区所谓战俘照片的网络钓鱼邮件开始，敦促收件人点击指向 ZIP 档案的链接。 ZIP 文件包含一个 Microsoft 编译的 HTML 帮助 (CHM) 文件，其中嵌入了负责启动混淆的 PowerShell 脚本的 JavaScript 代码。 CERT-UA 表示：“打开该文件会安装已知间谍软件 SPECTR 的组件，以及名为 FIRMACHAGENT 的新恶意软件。FIRMACHAGENT 的目的是检索 SPECTR 窃取的数据并将其发送到远程管理服务器。” SPECTR 是一种已知的恶意软件，早在 2019 年就与 Vermin 有关。据评估，该组织与卢甘斯克人民共和国 (LPR) 的安全机构有联系。 今年 6 月初，CERT-UA详细介绍了由 Vermin 攻击者策划的另一项名为 SickSync 的活动，该活动使用 SPECTR 攻击该国的国防部队。 SPECTR 是一款功能齐全的工具，旨在收集各种信息，包括来自各种即时通讯应用程序（如 Element、Signal、Skype 和 Telegram）的文件、屏幕截图、凭证和数据。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/z5WzJJqiMYjnKdNaTg64pw 封面来源于网络，如有侵权请联系删除

思科 Talos 团队发现一种名为MoonPeak的新型远程访问木马，思科 Talos 将此次恶意网络活动归咎于其追踪的编号为 UAT-5394 的黑客组织，并称该组织与代号为Kimsuky 的朝鲜黑客组织存在一定程度的战术重叠。 MoonPeak 是由攻击者开发的，它是开源Xeno RAT恶意软件的一个变种，之前曾作为网络钓鱼攻击的一部分进行部署，旨在从攻击者控制的云服务（如 Dropbox、Google Drive 和 Microsoft OneDrive）中检索有效负载。 Xeno RAT 的一些主要功能包括加载附加插件、启动和终止进程以及与命令和控制 (C2) 服务器通信的能力。 Talos 表示，两组入侵行为之间的共同点表明 UAT-5394 实际上是 Kimsuky（或其分支）发起的，或者是朝鲜网络机构内的另一个黑客团队，他们从 Kimsuky 那里借用了工具箱。 实现该活动的关键是使用新的基础设施，包括 C2 服务器、有效载荷托管站点和测试虚拟机，这些都是为生成 MoonPeak 的新迭代而创建。 Talos 研究人员 Asheer Malhotra、Guilherme Venere 和 Vitor Ventura在周三发表的分析报告中表示：“C2 服务器托管可供下载的恶意文件，然后用于访问和设置新的基础设施来支持这一活动。” “在多个实例中，我们还观察到攻击者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染收集的日志和信息。” 这一转变被视为从使用合法云存储提供商转向建立自己的服务器的更广泛举措的一部分。不过，目前尚不清楚此次活动的目标。 这里要注意的一个重要方面是“MoonPeak 的不断发展与威胁行为者建立的新基础设施密切相关”，并且每个新版本的恶意软件都会引入更多的混淆技术来阻止分析和改变整体通信机制以防止未经授权的连接。 “简而言之，攻击者确保 MoonPeak 的特定变体仅与 C2 服务器的特定变体一起工作。”研究人员指出，“新恶意软件的持续采用及其演变（例如 MoonPeak 的情况）的时间表突显出 UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的速度之快表明，该组织旨在迅速扩大这一活动并建立更多的投放点和 C2 服务器。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UefWT-cRw_fcjmg1qvb3dg 封面来源于网络，如有侵权请联系删除