HackerNews 编译，转载请注明出处： 被称为 Blind Eagle 的威胁行为者自 2024 年 11 月以来，与一系列针对哥伦比亚机构和政府实体的持续攻击活动有关。 “监控到的攻击活动针对哥伦比亚司法机构以及其他政府或私人组织，感染率很高。” Check Point 在一项新分析中表示。 “在 2024 年 12 月 19 日左右进行的一次攻击活动中，超过 1600 名受害者受到影响。考虑到 Blind Eagle 的定向 APT 方法，这一感染率非常显著。” 自 2018 年以来一直活跃的 Blind Eagle ，也被称为 AguilaCiega、APT-C-36 和 APT-Q-98。它以对南美实体，特别是哥伦比亚和厄瓜多尔的超针对性攻击而闻名。 该威胁行为者策划的攻击链涉及使用社会工程学手段，通常以鱼叉式网络钓鱼电子邮件的形式，获取对目标系统的初始访问权限，并最终投放现成的远程访问木马，如 AsyncRAT、NjRAT、Quasar RAT 和 Remcos RAT。 最新的入侵行为因三个原因而引人注目：使用了针对微软 Windows 漏洞（CVE-2024-43451）的变种利用，采用了新兴的 “打包即服务”（PaaS）HeartCrypt，以及通过 Bitbucket 和 GitHub 分发有效载荷，超越了谷歌硬盘和 Dropbox。 具体来说，HeartCrypt 用于保护恶意可执行文件，这是 PureCrypter 的一个变种，然后负责启动托管在现已被删除的 Bitbucket 或 GitHub 存储库上的 Remcos RAT 恶意软件。 CVE-2024-43451 指的是微软在 2024 年 11 月修复的 NTLMv2 哈希泄露漏洞。据 Check Point 称，盲鹰在补丁发布后仅六天就将其变种纳入攻击武器库，导致毫无戒心的受害者在手动点击通过网络钓鱼电子邮件分发的恶意.URL 文件时推进感染。 “虽然这个变种实际上并不会暴露 NTLMv2 哈希，但它会通知威胁行为者文件是由同一异常用户文件交互下载的。” 这家网络安全公司表示。 “在易受 CVE-2024-43451 影响的设备上，即使在用户手动与文件交互之前，也会触发 WebDAV 请求，表现出同样的异常行为。同时，在已打补丁和未打补丁的系统上，手动点击恶意.URL 文件会启动下一阶段有效载荷的下载和执行。” Check Point 指出，这种 “快速反应” 有助于突出该组织的技术专长以及其在面对不断演变的安全防御时适应和追求新攻击方法的能力。 作为威胁行为者起源的铁证，GitHub 存储库显示该威胁行为者在 UTC-5 时区运营，与南美多个国家一致。 不仅如此，似乎出现了一次操作失误，对存储库提交历史的分析发现了一个包含 1634 个唯一电子邮件地址的账户密码对文件。 尽管名为 “Ver Datos del Formulario.html” 的 HTML 文件于 2025 年 2 月 25 日从存储库中删除，但发现它包含与个人、政府机构、教育机构和在哥伦比亚运营的企业相关的详细信息，如用户名、密码、电子邮件、电子邮件密码和 ATM PIN 码。 “其成功的关键因素之一是能够利用合法的文件共享平台，包括谷歌硬盘、Dropbox、Bitbucket 和 GitHub，使其能够绕过传统安全措施并秘密分发恶意软件。” Check Point 表示。 “此外，其使用地下犯罪软件工具如 Remcos RAT、HeartCrypt 和 PureCrypter 加强了其与网络犯罪生态系统的深厚联系，提供了访问 sophisticated 逃避技术和持续访问方法的途径。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2024年9月以来，中东和北非地区成为了一场新型攻击活动的目标，该活动传播了一种经过修改的知名恶意软件AsyncRAT。 “这场利用社交媒体分发恶意软件的活动，与该地区的当前地缘政治气候有关，”Positive Technologies的研究人员克利门蒂·加尔金和斯坦尼斯拉夫·皮日霍夫在上周发布的一份分析报告中表示。“攻击者将恶意软件托管在合法的在线文件共享账户或专门为此目的设立的Telegram频道中。” 据估计，自2024年秋季以来，这场活动已经感染了大约900名受害者，俄罗斯网络安全公司补充道，这表明其传播范围广泛。大多数受害者位于利比亚、沙特阿拉伯、埃及、土耳其、阿拉伯联合酋长国、卡塔尔和突尼斯。 这一活动被归因于一个名为Desert Dexter的威胁行为者，该行为者于2025年2月被发现。其主要手段是在Facebook上创建临时账户和新闻频道，然后利用这些账户发布包含文件共享服务或Telegram频道链接的广告。 网络安全研究人员指出，这些链接会将用户重定向到一个经过修改的AsyncRAT恶意软件版本，该版本包含离线键盘记录功能；搜索16种不同的加密货币钱包扩展和应用程序；并与Telegram机器人通信。 攻击链从一个RAR存档开始，其中包含批处理脚本或JavaScript文件，这些文件被编程为运行PowerShell脚本，该脚本负责触发攻击的第二阶段。 具体来说，它终止了与各种.NET服务相关的进程，这些进程可能会阻止恶意软件启动，从“C:\ProgramData\WindowsHost”和“C:\Users\Public”文件夹中删除扩展名为BAT、PS1和VBS的文件，并在C:\ProgramData\WindowsHost中创建一个新的VBS文件，在C:\Users\Public中创建BAT和PS1文件。 该脚本随后在系统上建立持久性，收集并外泄系统信息到Telegram机器人，截取屏幕截图，并最终通过将AsyncRAT有效载荷注入“aspnet_compiler.exe”可执行文件来启动它。 目前尚不清楚谁是这场活动的幕后黑手，尽管JavaScript文件中的阿拉伯语评论暗示了他们可能的来源。 对发送到Telegram机器人的消息的进一步分析显示，攻击者的桌面截图名为“DEXTERMSI”，其中包含PowerShell脚本以及一个名为Luminosity Link RAT的工具。Telegram机器人中还有一个名为“dexterlyly”的Telegram频道的链接，这表明威胁行为者可能来自利比亚。该频道创建于2024年10月5日。 “大多数受害者是普通用户，包括以下行业的员工：石油生产、建筑、信息技术和农业，”研究人员表示。 网络安全研究人员指出，Desert Dexter使用的工具并不特别复杂。然而，Facebook广告与合法服务的结合以及对地缘政治形势的利用，已经导致了众多设备被感染。 这一消息的出现正值奇安信（QiAnXin）披露了一场名为“海象行动”的鱼叉式网络钓鱼活动的细节，该活动被发现针对中国科研机构，目的是投放一个能够收集与海洋科学和技术相关的敏感信息的后门。 这一活动被归因于一个名为UTG-Q-011的集群，据称，它是另一个敌对集体CNC集团的一个子集，该集团与印度的Patchwork威胁行为者在战术上存在重叠。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 出于经济利益驱动的威胁组织EncryptHub被发现通过复杂的网络钓鱼活动部署信息窃取器和勒索软件，同时还在开发一款名为EncryptRAT的新产品。 Outpost24的KrakenLabs在一份报告中称：“EncryptHub通过分发热门应用的被篡改版本来攻击用户，还利用了第三方按安装付费（PPI）分发服务。” 这家网络安全公司将该威胁组织描述为一个存在操作安全失误的黑客团体，且该团体会将针对热门安全漏洞的利用整合到攻击活动中。 EncryptHub还被瑞士网络安全公司PRODAFT追踪为LARVA-208，被认为自2024年6月底开始活跃，采用从短信钓鱼到语音钓鱼等多种方式，诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司向《黑客新闻》透露，该网络钓鱼组织与RansomHub和Blacksuit勒索软件组织有关联，过去九个月里，利用高级社会工程学手段攻击了618个高价值目标，涉及多个行业。 “攻击者通常会创建一个针对组织的钓鱼网站来获取受害者的VPN凭证，”PRODAFT表示，“随后，受害者会接到电话，被要求在钓鱼网站上输入个人信息以解决技术问题，对方伪装成IT团队或客服。如果攻击不是通过电话，而是直接发送短信，就会使用伪造的Microsoft Teams链接来说服受害者。” 这些钓鱼网站托管在防弹主机提供商Yalishand等平台上。一旦获得访问权限，EncryptHub就会运行PowerShell脚本，进而部署Fickle、StealC和Rhadamanthys等窃取器恶意软件。大多数情况下，攻击的最终目的是投放勒索软件并索要赎金。 威胁者采用的另一种常见方法是使用伪装成合法软件的特洛伊木马应用程序作为初始访问手段。这些包括QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect的假冒版本。 这些被篡改的应用程序一旦安装，就会触发一个多阶段的过程，作为后续有效载荷（如Kematian窃取器）的传递工具，以方便窃取Cookie。 自2025年1月2日起，EncryptHub分发链的一个关键部分是使用名为LabInstalls的第三方PPI服务，该服务为付费客户（从10美元100次安装到450美元10000次安装）提供批量恶意软件安装。 “EncryptHub通过在俄语顶级地下论坛XSS上的LabInstalls销售帖子中留下好评，甚至附上使用该服务的截图，确认自己是其客户，”Outpost24表示。 “该威胁者很可能雇佣这项服务以减轻分发负担并扩大其恶意软件的攻击范围。” 这些变化突显了EncryptHub攻击链的积极调整，该组织还在开发新组件，如用于管理活跃感染、发布远程命令和访问被盗数据的命令与控制（C2）面板EncryptRAT。有证据表明，对手可能正考虑将该工具商业化。 “EncryptHub不断演变其战术，强调了持续监控和积极防御措施的必要性，”该公司表示，“组织必须保持警惕，采用多层次安全策略来降低此类对手带来的风险。” 提醒广大用户：为规避风险，请从官方或可信赖的渠道下载软件，避免使用来路不明的安装包。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自 2025 年 1 月以来，不明身份的黑客组织针对日本的企业发起了一系列恶意攻击，受害者涵盖科技、电信、娱乐、教育及电商行业。   Cisco Talos 研究员 Chetan Raghuprasad 在周四发布的技术报告中指出，攻击者利用 CVE-2024-4577 漏洞（PHP 在 Windows 平台的 PHP-CGI 远程代码执行漏洞）作为初始攻击手段，成功入侵目标系统。   “攻击者利用这一漏洞获取初始访问权限，并运行 PowerShell 脚本，以执行 Cobalt Strike 反向 HTTP shellcode 载荷，从而实现对受感染终端的长期远程控制，”Raghuprasad 表示。   入侵后，攻击者利用 JuicyPotato、RottenPotato、SweetPotato、Fscan 和 Seatbelt 等工具进行侦察、权限提升和横向移动。同时，黑客通过修改 Windows 注册表、创建计划任务及自定义服务等手段，进一步巩固在系统内的持久化控制。此外，攻击者使用 Cobalt Strike 插件 “TaoWu” 进行后渗透攻击。   为了隐藏恶意行为，黑客利用 wevtutil 命令清除 Windows 事件日志，抹除安全、系统及应用日志中的记录。最终，攻击者执行 Mimikatz 命令，从内存中提取并窃取密码及 NTLM 哈希。   攻击的最终目标是窃取凭据，而进一步分析 Cobalt Strike 的命令与控制（C2）服务器后发现，黑客意外暴露了存储在阿里云服务器上的完整攻击工具集。   攻击者使用的工具包括：   – Browser Exploitation Framework（BeEF）：一款公开可用的渗透测试工具，可在浏览器上下文中执行命令。   – Viper C2：一个模块化的 C2 框架，支持远程命令执行，并可生成 Meterpreter 反向 shell 载荷。   – Blue-Lotus：一个 JavaScript Webshell XSS 攻击框架，可用于劫持浏览器会话、窃取 Cookie、截取屏幕截图、创建反向 shell，甚至在内容管理系统（CMS）中创建新账户。   “根据我们观察到的后渗透活动，包括建立持久性、提升至 SYSTEM 级权限，以及对对抗性框架的潜在访问，我们有理由相信，攻击者的动机不仅仅是窃取凭据，而是可能策划更大规模的未来攻击，”Raghuprasad 表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以经济利益为驱动的威胁行为者 EncryptHub 被发现正开展复杂的网络钓鱼活动来部署窃密程序和勒索软件，同时还研发了一种名为 EncryptRAT 的新产品。 “有观察发现 EncryptHub 通过分发热门应用的被植入木马的版本来攻击其用户，此外，该威胁行为者还利用了第三方‘按安装量付费’（PPI）分发服务”，Outpost24 KrakenLabs 在一份报告中表示。 该网络犯罪公司称，该威胁行为者是一个会犯下运营安全错误的黑客组织，并且会在其攻击活动中融入针对热门安全漏洞的利用方法。 EncryptHub 还被瑞士网络安全公司 PRODAFT 追踪为 LARVA-208，据评估，它于 2024 年 6 月末开始活跃，采取从短信网络钓鱼（smishing）到语音网络钓鱼（vishing）等多种方式，企图诱骗潜在目标安装远程监控和管理（RMM）软件。 该公司告诉 The Hacker News，这个鱼叉式网络钓鱼组织与 RansomHub 和 Blacksuit 勒索软件组织有关联，且一直在使用高级社会工程学手段攻击多个行业的高价值目标。 “该行为者通常会创建一个针对组织的钓鱼网站来获取受害者的 VPN 凭证，随后会给受害者打电话，以 IT 团队或技术支持的身份要求受害者将详细信息输入钓鱼网站，以解决技术问题。如果针对受害者的攻击不是电话，而是一条直接发送的短信，那么就会使用一个伪造的 Microsoft Teams 链接来说服受害者。” 这些钓鱼网站托管在像 Yalishand 这样的防弹托管服务提供商上。一旦获得访问权限，EncryptHub 就会运行导致部署窃密程序（如 Fickle、StealC 和 Rhadamanthys）的 PowerShell 脚本。大多数情况下，这些攻击的最终目的是投放勒索软件并索要赎金。 威胁行为者采用的另一种常见方法是使用伪装成合法软件的被植入木马的应用程序以获取初始访问权限。这些包括 QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的假冒版本。 一旦这些带有陷阱的应用程序被安装，就会触发一个多阶段进程，充当交付下一阶段有效载荷（如 Kematian 盗窃程序）的载体，以方便窃取 Cookie。 自 2025 年 1 月 2 日起，EncryptHub 分发链的一个关键组成部分是使用第三方 PPI 服务，名为 LabInstalls，该服务为付费客户（起价为 10 美元（100 次安装量）至 450 美元（10,000 次安装量））提供批量恶意软件安装便利。 “EncryptHub 确实通过在顶级俄语地下论坛 XSS 上的 LabInstalls 销售帖子中留下好评反馈来确认自己是他们的客户，甚至还包含了一张证明使用该服务的截图”，Outpost24 表示。 “该威胁行为者很可能是雇佣这项服务来减轻分发负担，并扩大其恶意软件能够触达的目标数量。” 这些变化突显了 EncryptHub 攻击链的积极调整，同时该威胁行为者还在开发像 EncryptRAT 这样的新组件，这是一种用于管理活动感染、发布远程命令和访问被盗数据的命令与控制（C2）面板。有迹象表明，该对手可能正打算将这一工具商业化。 “EncryptHub 继续演变其战术，这强调了持续监控和积极防御措施的必要性”，该公司称，“组织必须保持警惕，并采用多层次安全策略来缓解此类对手带来的风险。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究揭示，网络攻击者正利用暴露的云凭证，快速劫持企业的人工智能（AI）系统。这种攻击方式被称为 LLMjacking，主要针对非人类身份（NHIs），如 API 密钥、服务账户和机器凭证，以绕过传统安全控制并利用被盗的生成式 AI 访问权限进行非法牟利。 安全公司 Entro Labs 的研究发现，攻击者利用自动化的机器人扫描公共代码库和论坛，使用 Python 脚本检测有效凭证。一旦凭证被暴露，攻击者在 9 至 17 分钟内进行初步的 API 调用，如 GetCostAndUsage，以评估账户价值，同时避免使用可预测的调用如 GetCallerIdentity 来逃避检测。 凭证收集：自动化的机器人使用 Python 脚本扫描公共代码库和论坛，以检测有效凭证，其中 44% 的非人类身份是通过代码库和协作平台泄露的。 快速验证：攻击者在凭证暴露后的 9-17 分钟内执行初始 API 调用（如 GetCostAndUsage）来评估账户价值，并避免使用可预测的调用（如 GetCallerIdentity）以逃避检测。 模型枚举：入侵者通过 AWS Bedrock 执行 GetFoundationModelAvailability 请求，以列出可访问的大型语言模型（LLM），包括 Anthropic 的 Claude 和 Amazon Titan，并映射可用的攻击面。 漏洞利用：攻击者对受损端点进行自动化的 InvokeModel 尝试，研究人员在实验密钥中观察到每小时超过 1200 次未经授权的推理尝试。 Storm-2139 网络犯罪组织最近利用这种方法攻击了 Microsoft Azure AI 客户，窃取 API 密钥以生成暗网内容。取证日志显示，攻击者： 利用 Python 的请求库进行凭证验证 使用 aws s3 ls 命令识别 AI/ML 存储桶 尝试使用精心设计的提示来绕过内容过滤器的 InvokeModel Entro 的模拟入侵表明攻击者将自动脚本与手动侦察相结合 ——63% 的初始访问使用 Python SDK，而 37% 使用 Firefox 用户代理通过 AWS 控制台进行交互式探索。 成本利用：仅需一个带有 Bedrock 访问权限的受 compromis NHIs，每天可能会产生 46000 美元的未授权推理费用。 数据泄露：在 22% 的观察到的事件中，攻击者窃取了模型配置和训练数据元数据。 声誉损害：Microsoft Q1 2025 安全漏洞事件中，威胁者利用被盗的 Azure OpenAI 密钥生成了 14000 多张深度伪造图像。 缓解策略 检测并实时监控 NHIs 实施自动化的秘密轮换 强制执行最小权限原则 监控不寻常的 API 活动 对开发人员进行安全的 NHI 管理教育 随着攻击者在不到 20 分钟内利用漏洞，实时秘密扫描和自动轮换不再是可选的安全措施，而是 LLM 时代的关键生存机制。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种名为 “Eleven11bot” 的新型僵尸网络恶意软件已感染超过 86,000 台物联网设备，主要是安全摄像头和网络视频录像机（NVR），用于发起分布式拒绝服务（DDoS）攻击。 这个与伊朗有松散联系的僵尸网络已经对电信服务提供商和在线游戏服务器发起了 DDoS 攻击。 Eleven11bot 由诺基亚研究人员发现，并与威胁监测平台 GreyNoise 分享了相关细节。 诺基亚安全研究员杰罗姆·迈耶（Jérôme Meyer）表示，Eleven11bot 是他们近年来观察到的最大的 DDoS 僵尸网络之一。 “这个僵尸网络主要由被攻陷的网络摄像头和网络视频录像机（NVR）组成，已经迅速增长到超过 30,000 台设备，”迈耶在 LinkedIn 上表示。 “它的规模在非国家行为体的僵尸网络中非常突出，使其成为自 2022 年 2 月乌克兰战争以来观察到的最大的 DDoS 僵尸网络活动之一。” 今天早些时候，威胁监测平台 Shadowserver 基金会报告称，观察到 86,400 台设备感染了 Eleven11bot 僵尸网络，其中大部分位于美国、英国、墨西哥、加拿大和澳大利亚。 受 Eleven11bot 影响的国家及地区 来源：Shadowserver 基金会 迈耶表示，僵尸网络的攻击强度已达每秒数亿个数据包，攻击持续时间通常跨越多天。 在 GreyNoise 和 Censys 的帮助下，过去一个月内记录了 1,400 个与僵尸网络操作相关的 IP 地址，其中 96% 来自真实设备（非伪造）。 与 Eleven11bot 相关的恶意 IP 地址 来源：GreyNoise 这些 IP 地址大多位于伊朗，其中超过 300 个被 GreyNoise 归类为恶意。 GreyNoise 报告称，该恶意软件通过暴力破解弱或常见的管理员用户凭据传播，利用特定物联网型号的已知默认凭据，并积极扫描网络以查找暴露的 Telnet 和 SSH 端口。 GreyNoise 已发布与 Eleven11bot 相关的 IP 地址列表，并确认这些 IP 地址存在恶意行为，建议防御者将此列表添加到其阻止列表中，并监控可疑的登录尝试。 一般来说，建议确保所有物联网设备运行最新固件版本，如果不需要远程访问功能则将其禁用，并将默认管理员账户凭据更改为强大且唯一的密码。 物联网设备通常无法获得供应商的长期支持，因此定期检查设备是否已达到使用寿命终点（EOL），并将其替换为较新的型号至关重要。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）周一将五个影响思科、日立 Vantara、微软 Windows 和 Progress WhatsUp Gold 软件的安全漏洞添加到其已知被利用漏洞（KEV）目录中，基于这些漏洞正被积极利用的证据。 漏洞详情 CVE-2023-20118（CVSS 评分：6.5）：思科小型企业 RV 系列路由器的基于网络的管理界面中的命令注入漏洞，允许经过身份验证的远程攻击者获得根级别权限并访问未经授权的数据（由于路由器已达到使用寿命终点，未进行修补） CVE-2022-43939（CVSS 评分：8.6）：日立 Vantara Pentaho BA Server 中的授权绕过漏洞，源于使用非规范 URL 路径进行授权决策（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2022-43769（CVSS 评分：8.8）：日立 Vantara Pentaho BA Server 中的特殊元素注入漏洞，允许攻击者将 Spring 模板注入属性文件，从而执行任意命令（已于 2024 年 8 月通过版本 9.3.0.2 和 9.4.0.1 修复） CVE-2018-8639（CVSS 评分：7.8）：微软 Windows Win32k 中的不正确资源关闭或释放漏洞，允许本地经过身份验证的用户进行权限提升，并在内核模式下运行任意代码（已于 2018 年 12 月修复） CVE-2024-4885（CVSS 评分：9.8）：Progress WhatsUp Gold 中的路径遍历漏洞，允许未经过身份验证的攻击者实现远程代码执行（已于 2024 年 6 月通过版本 2023.1.3 修复） 关于上述漏洞中的一些在野外如何被利用的报告很少，但法国网络安全公司 Sekoia 上周透露，威胁行为者正在利用 CVE-2023-20118 将易受攻击的路由器纳入名为 PolarEdge 的僵尸网络。 至于 CVE-2024-4885，Shadowserver 基金会表示，自 2024 年 8 月 1 日起，已观察到针对该漏洞的利用尝试。GreyNoise 的数据显示，来自中国香港、俄罗斯、巴西、韩国和英国的多达八个独特 IP 地址与该漏洞的恶意利用有关。 最后，CISA 提醒联邦民用执行部门（FCEB）机构在 2025 年 3 月 24 日之前应用必要的缓解措施，以保护其网络免受这些漏洞的威胁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 中国及美国西海岸的互联网服务提供商（ISP）近期遭遇大规模网络攻击，黑客通过入侵受害系统，植入信息窃取程序和加密货币挖矿软件。 据Splunk威胁研究团队报告，此次攻击还涉及多个二进制程序，这些程序不仅可用于窃取数据，还能帮助攻击者在受感染系统中建立长期控制权限。 黑客利用脚本语言绕过安全防护 Cisco旗下的Splunk研究团队表示，攻击者在操作过程中尽量减少入侵痕迹，以规避检测，除非受害账户已经遭到控制。“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透，并使用API（如Telegram）执行远程控制（C2）操作。” 此次攻击活动主要利用暴力破解手段，针对弱密码账户进行入侵。攻击源IP地址主要来自东欧，受害目标包括超过4,000个ISP提供商的IP地址。 攻击流程：入侵、窃取信息、植入挖矿程序 攻击者在获取初始访问权限后，会通过PowerShell执行一系列恶意程序，包括网络扫描、信息窃取以及XMRig加密货币挖矿，以滥用受害设备的计算资源。 在执行恶意程序之前，攻击者通常会先关闭安全软件功能，并终止与挖矿检测相关的服务，以降低被发现的风险。 信息窃取与恶意软件投放 除了截屏功能，该恶意软件还具备类似“剪贴板劫持”程序的特性，可监控受害者的剪贴板内容，专门窃取比特币（BTC）、以太坊（ETH）、币安链BEP2（ETHBEP2）、莱特币（LTC）和波场（TRX）等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。 此外，受感染设备还会被植入一个二进制文件，用于执行额外的恶意负载，其中包括： Auto.exe：从C2服务器下载密码列表（pass.txt）和IP地址列表（ip.txt），用于后续暴力破解攻击 Masscan.exe：多功能端口扫描工具 大规模IP扫描，精准锁定目标 Splunk研究团队指出，攻击者专门针对美国西海岸及中国的ISP基础设施IP地址，并利用Masscan扫描工具批量扫描大量IP地址，以发现开放端口，并进一步实施凭证暴力破解攻击。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家近日警告，一场高度针对性的网络钓鱼攻击行动已锁定阿联酋境内“少于五个”实体，目的是投放一种此前未被记录的Golang后门程序“Sosano”。 据网络安全公司Proofpoint披露，该恶意活动主要针对航空和卫星通信领域，并于2024年10月下旬被发现。Proofpoint将此新出现的攻击组织命名为“UNK_CraftyCamel”。 此次攻击的一大特点是，攻击者利用了印度电子公司INDIC Electronics的受感染电子邮件账户发送钓鱼邮件。该公司与所有攻击目标均保持着可信赖的商业关系，因此邮件内容根据不同受害者量身定制，以提高欺骗性。 Proofpoint在提供给《The Hacker News》的报告中表示：“UNK_CraftyCamel利用一家受感染的印度电子公司，向阿联酋少数几家机构发送包含恶意ZIP文件的钓鱼邮件。这些ZIP文件包含多种混合格式（polyglot files），最终安装了名为Sosano的定制Go语言后门。” 攻击者在邮件中嵌入了指向伪装成印度公司官方网站的恶意链接（“indicelectronics[.]net”），该网站托管着一个ZIP压缩包，内含一份XLS文件和两份PDF文件。 实际上，该XLS文件是一个伪装成Excel文档的Windows快捷方式（LNK），而两份PDF文件则是特殊的多格式文件。其中一份PDF文件附带了HTML应用程序（HTA）文件，另一份则嵌入了一个ZIP压缩包。 这意味着，这两份PDF文件在不同程序（如文件资源管理器、命令行工具和浏览器）中解析时，可能会呈现出不同的格式，从而掩盖其恶意性质。 Proofpoint的分析显示，攻击者利用LNK文件启动cmd.exe，随后借助mshta.exe执行PDF/HTA混合文件，触发HTA脚本。该脚本进一步解压第二个PDF文件中隐藏的ZIP压缩包，并执行其中的恶意代码。 在解压的文件中，有一个URL快捷方式文件（.url），用于加载一个二进制文件。该文件随后搜索一个特定的图像文件，并使用字符串“234567890abcdef”进行异或（XOR）解码，从而释放并运行名为Sosano的DLL后门程序。 Sosano后门采用Golang编写，功能相对有限，主要用于连接远程指挥控制（C2）服务器，并执行指令，包括： sosano：获取当前目录或更改工作目录 yangom：枚举当前目录内容 monday：下载并运行下一阶段的未知载荷 raian：删除或移除目录 lunna：执行Shell命令 Proofpoint指出，UNK_CraftyCamel的攻击手法与任何已知的黑客组织或威胁团体均无明显关联。 Proofpoint高级威胁研究员Joshua Miller对《The Hacker News》表示：“我们的分析表明，这次行动很可能由一个与伊朗有联系的攻击团体实施，可能与伊朗伊斯兰革命卫队（IRGC）相关。” “被攻击的行业对经济稳定和国家安全至关重要，因此成为地缘政治竞争中的重要情报目标。这场攻击规模虽小但极具针对性，攻击者不仅利用了多种混淆技术，还通过可信的第三方账户进行渗透，目标直指阿联酋的航空、卫星通信及关键交通基础设施。这表明，与国家相关的黑客组织正不断升级手法，以规避检测并达成情报收集任务。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文