近日，研究人员发现一种名为 “Darcula “的新型网络钓鱼即服务（PhaaS）使用 20000 个虚假域名，盗取了大量 Android 和 iPhone 用户的凭证。 Darcula 目前已被用于针对全球 100 多个国家的各种服务和组织，涵盖了邮政、金融、政府、税务部门、电信公司、航空公司公用事业公司，为威胁攻击者提供了 200 多个“模板”供其选择。 值得一提的是，Darcula 服务与其它类型的钓鱼服务有一些差别，它主要使用谷歌信息和 iMessage 的富通信服务（RCS）协议发送钓鱼信息（其它类型的钓鱼服务大都使用短信）。 Darcula 网络钓鱼服务 安全研究人员 Oshri Kalfon 去年夏天首次记录了 Darcula 网络钓鱼服务。Netcraft 分析师指出，目前该服务在网络犯罪领域越来越受欢迎，已经被用于几起备受瞩目的案件中。 相比传统网络钓鱼服务，Darcula 采用了 JavaScript、React、Docker 和 Harbor 等现代技术，成功实现了持续更新和新功能添加，“客户”无需重新安装网络钓鱼工具包。 从研究人员透露的信息来看，Darcula 网络钓鱼工具包提供 200 个网络钓鱼模板，可假冒 100 多个国家的品牌和组织。不仅如此，Darcula 使用了正确的本地语言、徽标和内容，虚假登陆页面质量非常高。 Darcula 工具包中的登陆页面 威胁攻击者只需选择一个想要假冒的组织品牌，然后运行一个设置脚本，将相应的钓鱼网站及其管理面板直接安装到 Docker 环境中。 研究人员指出，Darcula 服务通常使用”.top “和”.com “顶级域名来托管用于钓鱼攻击的目的注册域名，其中大约三分之一的域名由 Cloudflare 支持。Netcraft 已经成功绘制了横跨 11000 个 IP 地址的 20000 个 Darcula 域名。（据悉，欺诈域名以每天 120 个的数量激增） Darcula 服务放弃了短信欺诈 Darcula 服务放弃了传统的基于短信的策略，改为利用 RCS（Android）和 iMessage（iOS）向受害者发送带有钓鱼 URL 链接的信息，这样做收件人更容易上当。此外，由于 RCS 和 iMessage 支持端到端加密，因此无法根据其内容拦截和阻止网络钓鱼信息。 从 Darcula 发送的 RCS 消息 Netcraft 表示，全球范围内正在加紧通过遏制基于短信的网络犯罪活动的立法，以期推动 PhaaS 平台转向 RCS 和 iMessage 等替代协议，但这些协议都有自身的局限性。例如，苹果禁止账户向多个收件人发送大量信息，谷歌最近也实施了一项限制措施，禁止已 root 的安卓设备发送或接收 RCS 信息。 然而，网络犯罪分子试图通过创建多个 Apple ID 和使用大量设备，从每个设备中发送处少量信息来规避这些限制。 此外，iMessage 中还有一项保护措施，即只有收件人回复了信息，才被允许点击 URL 链接。为了绕过这些防御措施，钓鱼信息指示收件人回复 “Y “或”1″，然后重新打开信息，点击链接。 通过 iMessage 发送的钓鱼信息 最后，研究人员强调，用户应该以怀疑的态度对待所有催促其点击 URL 链接的信息，尤其是在发件人不明确的情况下。   转自会Freebuf，原文链接：https://www.freebuf.com/news/396192.html 封面来源于网络，如有侵权请联系删除

被追踪为MuddyWater （又名 Mango Sandstorm 或 TA450）的伊朗APT组织与 2024 年 3 月的一次新网络钓鱼活动有关，该活动旨在提供名为 Atera 的合法远程监控和管理 (RMM) 解决方案。 Proofpoint 安全研究人员表示，该活动从 3 月 7 日到 3 月 11 日这一周进行，针对的是跨越全球制造、技术和信息安全领域的以色列实体。 该企业安全公司表示：“TA450 发送的电子邮件带有包含恶意链接的 PDF 附件。” “虽然这种方法对 TA450 来说并不陌生，攻击者最近依赖于直接在电子邮件正文中包含恶意链接，而不是添加此额外步骤。” MuddyWater 被认为是自 2023 年 10 月下旬以来针对以色列组织的攻击活动中，使用了 N-able 的远程管理工具。 这并不是该组织第一次因其依赖合法远程桌面软件来实现其战略目标而受到关注，还观察到使用 ScreenConnect、RemoteUtilities、Syncro 和 SimpleHelp。 最新的攻击链涉及 MuddyWater 嵌入指向 Egnyte、Onehub、Sync 和 TeraBox 等文件共享网站上托管的文件链接。据称，一些以付费为主题的网络钓鱼邮件是从与“co.il”（以色列）域相关的可能已受感染的电子邮件帐户发送的。 在下一阶段，单击 PDF 诱饵文档中的链接将导致检索包含 MSI 安装程序文件的 ZIP 文件，该文件最终会在受感染的系统上安装 Atera Agent远程管理软件。MuddyWater 对 Atera Agent 的使用可以追溯到2022 年 7 月。 MuddyWater 策略发生转变之际，一个名为 Lord Nemesis 的伊朗黑客组织针对以色列学术界发起了软件供应链攻击，对一家名为 Rashim Software 的软件服务提供商进行了攻击。 OP Innovate 安全研究团队在一份报告中称，Lord Nemesis 组织使用从 Rashim 泄露事件中获得的凭证渗透到该公司的多个客户，包括众多学术机构。该组织声称在攻击活动中获得了敏感信息，他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。 Lord Nemesis 通过劫持管理员帐户并利用该公司不完善的多重身份验证 (MFA) 保护来获取 Rashim 基础设施的未经授权的访问权限来获取感兴趣的个人数据。 该公司还于 2024 年 3 月 4 日（即初次泄露事件发生四个月后）向 200 多名客户发送了电子邮件，详细说明了事件的严重程度，攻击者访问 Rashim 系统的确切方法尚未披露。 安全研究员 Roy Golombick 表示：“该事件凸显了第三方供应商和合作伙伴（供应链攻击）带来的重大风险。” “这次袭击突显了国家背景的黑客组织日益增长的威胁，他们以规模较小、资源有限的公司为目标，以此作为推进其地缘政治议程的手段。” “通过成功入侵 Rashim 的管理帐户，Lord Nemesis 黑客组织有效规避了众多组织实施的安全措施，使自己获得更高权限并不受限制地访问敏感系统和数据。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tkwD-AAo5HvRhFzDvT1TaQ 封面来源于网络，如有侵权请联系删除

Darktrace的最新研究表明，威胁行为者利用Dropbox的合法基础设施发起了一场新型的钓鱼活动，并成功绕过了多因素认证（MFA）。 这意味着利用合法的流行服务进行攻击的情况日益增多，以此诱使目标下载恶意软件，导致登录凭证泄露。 Darktrace威胁研究负责人汉娜·达利强调，威胁行为者利用用户对特定服务的信任，通过模仿用户收到的正常电子邮件发起攻击的做法比较常见。但在新型钓鱼活动中，威胁行为者进一步利用合法的 Dropbox 云存储平台进行网络钓鱼攻击，这种做法相对新颖。 威胁行为者利用Dropbox基础设施进行攻击 2024年1月25日，威胁行为者对Darktrace的一位客户发起了针对性攻击，该组织的软件即服务(SaaS)环境中的16名用户收到了一封来自“no-reply@dropbox[.]com”的邮件，这是Dropbox文件存储服务所使用的官方合法电子邮件地址。 电子邮件中包含了一个链接，此链接会引导用户前往一个存放在Dropbox上的PDF文件，而这个PDF文件的名称似乎是以该组织的一个合作伙伴来命名的。 PDF文件又包含一个指向新域名‘mmv-security[.]top’的可疑链接，此前，这个域名在客户的系统环境中从未出现过。 虽然这封电子邮件被Darktrace的电子邮件安全工具识别并拦截，但是，在1月29日，一位用户收到了另一封来自官方的no-reply@dropbox[.]com邮箱地址的邮件，提醒他们打开之前共享的PDF文件。 尽管这条信息被自动归类到了用户的垃圾邮件文件夹，但该员工还是打开了这封令人怀疑的邮件，并且跟随链接查看了PDF文件。几天后，他们的内部设备连接到了恶意链接mmv-security[.]top。 这个链接引导至一个伪造的Microsoft 365登录页面，其目的是为了获取合法的SaaS账户持有者的登录凭证。 用户点击PDF文件中的链接后被引导至伪造的微软登录页面 威胁行为者成功绕过多因素认证（MFA） 1月31日，Darktrace观察到多个异常地点出现了几次可疑的SaaS登录行为，这些地点以前从未访问过该账户。紧接着在2月1日，又发现了与ExpressVPN相关的异常登录活动，这表明威胁行为者可能利用虚拟私人网络（VPN）来遮掩他们的真实位置。 研究人员指出，通过使用有效的令牌并满足必要的多因素认证（MFA）条件，威胁行为者往往能够避开 传统安全工具的侦测，因为这些工具将MFA视为万能的解决方案。 尽管威胁行为者使用合法凭据绕过了MFA，但在识别到SaaS账户上的异常活动后，该组织的安全团队也会提高警惕。 Darley在接受Infosecurity采访时表示，这一事件表明，组织不能再把MFA作为防御网络攻击的最后一道防线。因为MFA绕过作为威胁行为者常用的策略之一，在获取像SharePoint文件这类可被滥用的共享资源的访问权限方面已经取得了成功。 威胁行为者表现出持久性 在绕过多因素认证（MFA）后不久，Darktrace监测到另一起异常登录事件，威胁行为者使用HideMyAss VPN服务进入了SaaS账户。 这次，威胁行为者者在受损的Outlook账户中设立了一个新的邮件规则，该规则会自动将财务团队发送的邮件直接转移到“会话历史”文件夹。 研究人员表示，威胁行为者通过把他们的恶意邮件及其回复转移到不常查看的邮箱文件夹中，以此绕过侦测。 此外，威胁行为者还发送了标题为“合同错误”和“需要紧急审核”的跟进邮件。这表明威胁行为者正在使用被入侵的账户向财务团队发送更多恶意邮件，目的是在客户的SaaS环境中感染更多账户。 网络钓鱼攻击既有针对性又复杂 研究人员指出，与依赖基础设施相比，威胁行为者利用像Dropbox这样的合法第三方解决方案进行钓鱼攻击“相对简单”。 Darley评论道，这个研究案例凸显了威胁行为者在多层次的攻击方面变得越来越高明，他们通过Dropbox的一个官方‘不接受回复’地址（这类地址通常用于向客户发送通知或链接）发出这些电子邮件。而电子邮件中的链接表面上指向一个合法的Dropbox存储点，实际上存放的却是一个恶意文件。该文件被伪装成合作伙伴文档，使电子邮件看上去似乎是合法的。 生成式AI助攻黑客 Darley强调，生成式人工智能技术在帮助威胁行为者编写更精密的钓鱼邮件方面产生了巨大影响。 根据Darktrace在2023年发布的年终威胁报告，在2023年下半年观测到的钓鱼案例中，超过25%的邮件包含了1000个以上的字符，这在很大程度上归功于生成式AI的能力。 “这些邮件不再是仅含简短文本和可疑链接的‘单一载荷’邮件，而是经过精心编写、内容丰富的邮件。还有威胁行为者利用高级社交工程技术，潜入正在进行的对话中，冒充同事或熟人，尝试模仿通信的语调。”Darley解释到，“这些高度复杂的实例正是由生成式AI所赋能，它让威胁行为者有更多时间去策划大规模的攻击。”   转自Freebuf，原文链接：https://www.freebuf.com/news/393909.html 封面来源于网络，如有侵权请联系删除

欧洲零售连锁店Pepco在其官方新闻稿中透露，该公司被复杂的网络钓鱼攻击骗取了大量资金。Pepco Group 的匈牙利分公司拥有 Poundland、 Dealz 及欧洲多个国家的 Pepco 等品牌，该分公司已成为网络犯罪分子的受害者，总经济损失约为 1500 万欧元。目前尚不清楚这笔钱是否会被追回，该公司正在积极与执法部门和银行合作，试图找到并冻结被盗资金。 Pepco强调，网络攻击并未影响普通客户、供应商或员工的个人数据。此外，该公司还向客户和业务合作伙伴保证了公司的财务实力，并表示可以获得超过 4 亿欧元的现金和债务流动性。 新闻稿还宣布对所有系统和流程进行全面审核，以加强未来的业务安全。 尽管该公司没有透露此次攻击的技术细节，但 Pepco 有可能是商业电子邮件泄露 ( BEC ) 攻击的受害者，该攻击涉及商业电子邮件的欺诈性使用。 转自安全客，原文链接：https://www.anquanke.com/post/id/293618 封面来源于网络，如有侵权请联系删除

网络安全公司Enea近日发布的一份报告指出，随着以人工智能驱动的的语音钓鱼(vishing)和短信钓鱼(smishing)攻击激增，自2022年11月OpenAI发布ChatGPT以来，网络钓鱼(phishing)攻击整体增加了惊人的1265%。 移动欺诈损失惨重，安全性成企业采购电信服务关键依据 报告显示，61%的企业因移动欺诈遭受了重大损失，其中短信钓鱼和语音钓鱼是最普遍且造成损失最多的攻击手段。 51%的企业期望电信运营商保护他们免受语音和移动消息欺诈，他们认为电信运营商在欺诈防护中扮演的角色比云提供商、托管IT提供商、系统集成商或软件供应商更重要，85%的企业表示安全性是他们在电信服务采购决策中的重要考量因素。 但另一方面，多达61%的企业表示移动欺诈带来的损失居高不下，超过四分之三的企业表示没有投资短信垃圾邮件或语音诈骗/欺诈保护。 电信运营商安全态势不容乐观 尽管大多数企业表示安全性是他们在电信采购决策中的重要考量因素，但只有59%的受访电信运营商表示部署了消息防火墙，51%表示他们实施了信令防火墙。 只有46%的受访电信运营商采用了某种威胁情报服务，这意味着大多数电信运营商无法（及时）识别新的安全威胁。 人工智能时代，网络安全是电信运营商的核心竞争力 报告强调，重视安全的电信运营商通常具备更强的安全能力、更好的资金支持和更高的安全优先级，其安全漏洞未被发现或未得到缓解的可能性只有追随者的一半不到(12%vs25%)。此外，网络安全能力领先的电信运营商更可能将网络安全视为创造收入的机会(31%vs19%)。 Enea公司网络安全部门高级副总裁兼主管John Hughes评论道：“随着人工智能技术变得更容易被网络犯罪分子利用，移动欺诈急剧上升，尤其是在像ChatGPT这样的先进技术出现之后，加强网络安全措施已经成为关键需求。调查显示，企业对电信运营商安全能力的期望值与其实际情况存在较大差距。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/59i32ksNuRRlUvki30mmOg 封面来源于网络，如有侵权请联系删除

网络钓鱼即服务（PhaaS）平台 “LabHost “一直在帮助网络犯罪分子攻击北美银行，尤其是加拿大的金融机构，近日的攻击活动明显增加。 PhaaS 平台向网络犯罪分子提供整套网络钓鱼工具、托管网页的基础设施、电子邮件内容生成和活动概述服务，可按月订购。 LabHost 并不是一家新的提供商，但在 2023 年上半年为加拿大银行推出定制网络钓鱼工具包后，其受欢迎程度急剧上升。 Fortra 在跟踪网络犯罪分子的活动后报告说，LabHost 已经超越了之前的 PhaaS 平台 Frappo，LabHost 现在成为了针对加拿大银行客户的大多数网络钓鱼攻击背后“助力”。 虽然 LabHost 在 2023 年 10 月初曾出现过一次破坏性的中断，但目前它的各项服务已恢复正常，每月都会协助网络网络犯罪分子发起数百次攻击。 观测到的 PhaaS 活动（Fortra） 两周前，ortra 首次在其博客上发布了一篇文章，提醒人们注意新出现的威胁，但昨天又增加了有关 LabHost 及其内部运作的更多细节，据推测，这是在他们用自己的账户潜入该公司后发布的。 LabHost内部情况 LabHost 提供三个会员等级，分别为： 标准（179 美元/月） 高级（249 美元/月） 世界（300 美元/月） 第一个级别主要针对加拿大银行，第二个级别包括美国银行，第三个级别针对除北美以外的全球 70 家机构。 除了针对银行的钓鱼工具包，这些模板还包括针对 Spotify 等在线服务、DHL 等邮政快递服务以及地区电信服务提供商的钓鱼网页。购买了 LabHost 面板访问权限的网络犯罪分子可获得多个安装选项定制攻击。 网络钓鱼定制选项 LabHost 通过将网络钓鱼过程与实时网络钓鱼管理工具 “LabRat “相连接，使攻击者能够窃取目标账户的 2FA 保护。 Fortra 解释称，LabHost提供的所有诈骗工具包都与名为LabRat的实时活动管理工具一同运行。LabRat 允许网络钓鱼者控制和监控他们的主动攻击，这种功能在中间人攻击中被用来获取双因素验证码、验证有效凭证和绕过其他安全检查。 用于实施攻击的 LabRat 工具 LabHost 在 10 月中断后重新开始运营时，还推出了一种名为 “LabSend “的新短信垃圾邮件发送工具，该工具在短信中嵌入了指向 LabHost 钓鱼页面的链接。 Fortra的报告提到，LabSend工具可以在多个SID之间协调自动钓鱼活动，随机化短信的部分内容，以躲避编入目录的恶意垃圾短信的检测。在发送短信诱饵后，LabSend 还能够使用可定制的信息模板自动回复受害者的消息。 在 Telegram 上推广 LabSend 新功能 网络钓鱼即服务（Phishing-as-a-Service）平台能够协助初级黑客更便捷地接触网络犯罪，这大大增加了威胁行为者的数量，导致网络安全事件加剧。 除了LabHost外，研究人员还警告大家警惕 “Greatness “和 “Robin Banks” 两大PhaaS 平台，这两个平台都是在 2022 年中期推出的，其特点是绕过 MFA、定制网络钓鱼工具包和管理面板。   转自Freebuf，原文链接：https://www.freebuf.com/news/392751.html 封面来源于网络，如有侵权请联系删除

COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标，以往该组织主要通过网络钓鱼活动窃取凭据。 谷歌周四警告（https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/）称，以网络钓鱼攻击闻名的俄罗斯 APT 组织 ColdRiver 也一直在开发定制恶意软件。 谷歌安全团队共享了失陷检测指标 (IoC) 和 YARA 规则，以帮助防御者检测和分析威胁。 ColdRiver 还受到 Star Blizzard、Callisto Group、BlueCharlie、TA446 和 Dancing Salome 等其他公司的关注。该组织与俄罗斯联邦安全局的一个部门有联系，以开展网络间谍活动和影响力活动而闻名。 APT 组织通常针对美国、英国和其他北约国家的学术界、国防、政府、非政府组织和智库部门的组织。 美国和英国政府最近就 ColdRiver 的活动向各组织发出警告，并宣布对两名涉嫌成员实施制裁。 ColdRiver 的许多攻击都涉及旨在窃取凭据的鱼叉式网络钓鱼。谷歌的安全研究人员最近发现似乎是由该组织开发和使用的定制恶意软件。 该恶意软件名为 Spica，被描述为用 Rust 编写的后门，它使用基于 Websocket 的 JSON 进行命令和控制 (C&C)。Spica 可用于执行任意 shell 命令、窃取 Web 浏览器 cookie、上传和下载文件、获取文件系统内容以及窃取文档。 该恶意软件是通过向目标发送看似加密的良性 PDF 来传播的。当受害者通知发件人 PDF 已加密时，他们会收到一个据称可用于解密文档的可执行文件，这个可执行文件会部署恶意软件。 诱饵文档 Spica 于 2023 年 9 月被 Google 发现，但 ColdRiver 可能至少从 2022 年 11 月起就开始使用它。该公司的研究人员只能获得该恶意软件的单个样本，他们认为该样本可能在 8 月份就被使用过。 谷歌研究人员表示：“我们认为 SPICA 后门可能有多个版本，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文档。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Yk0WmhcN5MhUvZNjTUEtuw? 封面来源于网络，如有侵权请联系删除