HackerNews 编译，转载请注明出处： 安全研究人员发现了一种名为“whoAMI”的名称混淆攻击，该攻击允许任何人通过发布具有特定名称的亚马逊机器镜像（AMI）来访问亚马逊网络服务（AWS）账户。 “whoAMI”攻击由 DataDog 研究人员于 2024 年 8 月提出，他们证明了攻击者可以通过利用软件项目检索 AMI ID 的方式，在 AWS 账户内获得代码执行权限。 亚马逊确认了这一漏洞，并在 9 月推出了修复措施，但问题在客户侧仍然存在，尤其是在组织未能更新代码的环境中。 实施“whoAMI”攻击 AMI 是预配置了必要软件（操作系统、应用程序）的虚拟机，用于创建在 AWS 生态系统中称为 EC2（弹性计算云）实例的虚拟服务器。 AMI 有公共和私有之分，每个都有特定的标识符。对于公共 AMI，用户可以在 AWS 目录中搜索所需的 AMI ID。 为了确保 AMI 来自 AWS 市场中的可信来源，搜索需要包含“所有者”属性，否则“whoAMI”名称混淆攻击的风险会增加。 “whoAMI”攻击之所以能够实现，是由于 AWS 环境中 AMI 选择的配置错误： 软件使用 ec2:DescribeImages API 检索 AMI 时未指定所有者 脚本使用通配符而不是具体的 AMI ID 一些基础设施即代码（IaC）工具（如 Terraform）使用“most_recent=true”，自动选择符合过滤条件的最新 AMI 这些条件允许攻击者通过命名资源与受信任的资源相似来插入恶意 AMI。如果没有指定所有者，AWS 会返回所有匹配的 AMI，包括攻击者的 AMI。 如果参数“most_recent”被设置为“true”，受害者的系统会提供最新添加到市场中的 AMI，这可能包括一个名称与合法条目相似的恶意 AMI。 演示检索恶意 AMI 而不是受信任的 AMI 攻击者只需发布一个符合受信任所有者使用的模式的 AMI 名称，用户就很容易选择它并启动一个 EC2 实例。 “whoAMI”攻击不需要突破目标的 AWS 账户。攻击者只需要一个 AWS 账户，将他们的后门 AMI 发布到公共社区 AMI 目录中，并战略性地选择一个模仿目标 AMI 的名称。 DataDog 表示，根据他们的遥测数据，他们监控的大约 1% 的组织容易受到“whoAMI”攻击，但“这一漏洞可能影响数千个不同的 AWS 账户”。 亚马逊的回应和防御措施 DataDog 研究人员通知了亚马逊这一漏洞，该公司确认内部非生产系统容易受到“whoAMI”攻击。 问题在 2024 年 9 月 19 日得到修复，12 月 1 日，AWS 引入了一个名为“Allowed AMIs”的新安全控制功能，允许客户创建受信任 AMI 提供商的允许列表。 AWS 表示，除了安全研究人员的测试外，该漏洞未被利用，因此没有客户数据通过“whoAMI”攻击被泄露。 亚马逊建议客户在使用“ec2:DescribeImages”API 时始终指定 AMI 所有者，并启用“Allowed AMIs”功能以获得额外保护。 新功能可通过 AWS 控制台 → EC2 → 账户属性 → Allowed AMIs 访问。 从 2024 年 11 月开始，Terraform 5.77 在使用“most_recent = true”而没有所有者过滤器时开始向用户发出警告，并计划在未来的版本（6.0）中实施更严格的措施。 系统管理员必须审查他们的配置并更新 AMI 源代码（Terraform、AWS CLI、Python Boto3 和 Go AWS SDK），以安全地检索 AMI。 要检查是否正在使用不受信任的 AMI，可以通过“Allowed AMIs”启用 AWS 审计模式，并切换到“强制模式”以阻止它们。 DataDog 还发布了一个扫描器，用于检查 AWS 账户中由不受信任的 AMI 创建的实例，可在 GitHub 仓库 中获取。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络与云安全领域近期出现了一种利用 Webflow 内容分发网络（CDN）上的虚假 PDF 文档进行的广泛网络钓鱼活动，其目的是窃取信用卡信息并实施金融诈骗。 “攻击者针对在搜索引擎上查找文档的受害者，使他们访问到包含嵌入式 CAPTCHA 图像的恶意 PDF，该图像中嵌入了一个钓鱼链接，诱使受害者提供敏感信息。” Netskope 威胁实验室研究员简・迈克尔・阿尔坎塔拉（Jan Michael Alcantara）表示。 自 2024 年下半年以来，这种活动一直在进行。用户在谷歌等搜索引擎上查找书名、文档和图表时，会被重定向到托管在 Webflow CDN 上的 PDF 文件。这些 PDF 文件中嵌入了一个模仿 CAPTCHA 挑战的图像，导致点击该图像的用户被带到了一个钓鱼页面，而这次页面上托管的是一个真实的 Cloudflare Turnstile CAPTCHA。 通过这种方式，攻击者试图为这一过程披上一层合法的外衣，欺骗受害者认为他们进行了一次安全检查，同时也规避了静态扫描器的检测。 完成真实 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面，以访问所谓的文档。然而，当受害者尝试完成此步骤时，他们会收到一个弹出消息，要求输入个人和信用卡信息。 “在输入信用卡信息后，攻击者会发送一条错误消息，表明信息未被接受。” 迈克尔・阿尔坎塔拉说，“如果受害者再次提交两到三次信用卡信息，他们将被重定向到一个 HTTP 500 错误页面。” 与此同时，SlashNext 详细披露了一种名为 Astaroth 的新型网络钓鱼工具包（不要与同名的银行恶意软件混淆），该工具包在 Telegram 和网络犯罪市场上以 2000 美元的价格出售，提供六个月的更新和绕过技术。 像网络钓鱼即服务（PhaaS）一样，它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来收集凭证和双因素认证（2FA）代码。 “ Astaroth 利用 Evilginx 风格的反向代理拦截和操纵受害者与合法认证服务（如 Gmail、Yahoo 和 Microsoft）之间的流量。” 安全研究员丹尼尔・凯利（Daniel Kelley）表示，“作为中间人，它实时捕获登录凭证、令牌和会话 cookie，有效绕过了 2FA。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据微软报告，与俄罗斯有关的威胁组织Seashell Blizzard已指派其一个分支获取面向互联网的基础设施的初始访问权，并在目标组织中建立长期驻留。 Seashell Blizzard也被称为 APT44、BlackEnergy Lite、Sandworm、Telebots 和 Voodoo Bear，自 2009 年以来一直活跃，据信与俄罗斯总参谋部情报总局 (GRU) 军事单位 74455 有联系。 该威胁组织以从事间谍活动、信息行动和网络破坏而闻名，例如破坏性的 KillDisk (2015)、MeDoc (2017)、NotPetya (2017)、FoxBlade (2022) 和 Prestige (2022) 攻击。 Seashell Blizzard针对关键基础设施发起攻击，包括能源、水利、政府、制造、军事、电信和运输领域的 ICS 和 SCADA 系统，并已在军事行动中得到利用，尤其是在乌克兰。 微软在周三的一份报告中指出：“自 2023 年 4 月以来，Seashell Blizzard已加大了对该地区军事社区的攻击力度，可能是为了获取战术情报。他们持续瞄准乌克兰，这表明Seashell Blizzard的任务是获取并保留对高优先级目标的访问权，为俄罗斯军事和政府提供一系列未来行动选项。” 在过去四年中，Seashell Blizzard内部的一个小组一直致力于一项广泛的初始访问行动，称为“BadPilot 活动”，目的是在高价值目标中建立持久性，以支持定制的网络操作。 微软解释说：“Seashell Blizzard内部的这个小组至少从 2021 年就开始活跃，他们利用机会主义访问技术和隐秘的持久性形式来收集凭据、实现命令执行并支持横向移动，有时会导致严重的区域网络入侵。” 微软表示，该子组织的活动使Seashell Blizzard能够接触多个领域的全球目标（包括国际政府），从而横向扩大业务规模。 去年，该小组扩大了其目标列表，包括美国和英国的组织，主要通过利用 ConnectWise ScreenConnect (CVE-2024-1709) 和 Fortinet FortiClient EMS (CVE-2023-48788) 的漏洞。 微软还发现该小组对 OWA 登录页面和 DNS 配置等网络资源进行恶意修改，以被动收集网络凭据，并将恶意 JavaScript 代码注入合法登录门户以收集用户名和密码。 微软指出：“鉴于Seashell Blizzard是俄罗斯在乌克兰的网络先锋，微软威胁情报评估认为，这个访问小组将继续创新新的扩展技术，入侵乌克兰和全球网络，以支持俄罗斯的战争目标和不断变化的国家优先事项。”   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的黑客组织Kimsuky近日被发现使用一种新策略，通过欺骗目标以管理员身份运行PowerShell，随后指示受害者粘贴并执行其提供的恶意代码。 微软威胁情报团队在X平台上发布的一系列帖子中表示：“为了执行这一战术，黑客伪装成韩国政府官员，并与目标建立信任关系，之后通过钓鱼邮件发送带有PDF附件的邮件。” 受害者被说服点击包含Windows系统注册步骤链接的URL，以查看所谓的PDF文档。该注册链接要求受害者以管理员身份启动PowerShell并将显示的代码片段复制并粘贴到终端中执行。 如果受害者照做，恶意代码将下载并安装基于浏览器的远程桌面工具，并从远程服务器下载包含硬编码PIN的证书文件。 微软表示：“该代码随后向远程服务器发送网页请求，使用下载的证书和PIN注册受害者的设备。这使得黑客能够访问该设备并进行数据外泄。” 微软还表示，自2025年1月以来，该攻击方法在少数攻击中得到了应用，并称其与Kimsuky黑客组织以往的攻击手法有所不同。 值得注意的是，Kimsuky并非唯一采用这种攻击策略的朝鲜黑客组织。2024年12月，调查显示，与“传染性面试”活动相关的黑客组织也通过类似方式欺骗用户，在Apple macOS系统的终端应用中复制并执行恶意命令，声称是为了解决浏览器无法访问摄像头和麦克风的问题。 此类攻击在近几个月内迅速增加，部分原因在于它们依赖目标自行感染机器，从而绕过了安全防护。 亚利桑那州女子承认为朝鲜IT工人运营“笔记本电脑农场” 与此同时，美国司法部（DoJ）宣布，亚利桑那州一名48岁女子因参与诈骗IT工人计划认罪，该计划使朝鲜黑客能够冒充美国公民和居民，在超过300家美国公司获得远程工作机会。 司法部表示，从2020年10月到2023年10月，这一活动为Christina Marie Chapman和朝鲜非法获利超过1710万美元，违反了国际制裁。 司法部称：“作为美国公民，Chapman与海外IT工人合作，从2020年10月到2023年10月，盗取美国国民的身份，并利用这些身份申请远程IT工作，进一步实施计划时，向国土安全部传递虚假文件。” “Chapman和她的同谋在数百家美国公司获得了工作机会，包括财富500强公司，通常是通过临时工作人员公司或其他承包机构。” 被告于2024年5月被捕，她还被指控通过在家中设置多个笔记本电脑，运营一个“笔记本电脑农场”，制造出朝鲜工人正在国内工作的假象，实际上这些工人位于中国和俄罗斯，通过远程连接到公司的内部系统。 司法部补充道：“由于Chapman及其同谋的行为，超过300家美国公司受影响，超过70个美国公民身份被泄露，超过100次向DHS传递虚假信息，超过70名美国人被错误地创建了税务责任。” 随着执法部门加大对这一IT工人计划的审查，相关的数据外泄和勒索行为不断升级。 美国联邦调查局（FBI）在上个月发布的通报中表示：“在被发现连接到公司网络后，朝鲜IT工人通过扣押窃取的专有数据和代码进行勒索，直到公司满足赎金要求。”FBI还表示：“在某些情况下，朝鲜IT工人已公开发布受害公司专有代码。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 EclecticIQ 威胁分析师披露，俄罗斯军事网络间谍组织 Sandworm 正在针对乌克兰的 Windows 用户，通过恶意的微软密钥管理服务（KMS）激活工具和伪装的 Windows 更新进行攻击。这些攻击可能始于 2023 年末，基于重叠的基础设施、一致的战术、技术与程序（TTPs）以及频繁使用的 ProtonMail 账号注册攻击域名，被 EclecticIQ 确认为与 Sandworm 黑客相关。 攻击者还利用 BACKORDER 加载器部署 DarkCrystal RAT（DcRAT）恶意软件（此前 Sandworm 攻击中也曾使用），并且调试符号引用了俄语构建环境，进一步证实了研究人员对俄罗斯军事黑客参与其中的信心。 EclecticIQ 识别出七个与同一恶意活动集群相关的恶意软件分发活动，每个活动都使用类似的诱饵和 TTPs。最近一次是在 2025 年 1 月 12 日，分析师观察到攻击者利用拼写错误的域名，通过 DcRAT 远程访问木马进行数据泄露攻击。 一旦在受害者的设备上部署，假冒的 KMS 激活工具会显示一个伪造的 Windows 激活界面，在后台安装恶意软件加载器，并禁用 Windows Defender，随后传递最终的 RAT 负载。 这些攻击的最终目的是从受感染的计算机中收集敏感信息，并将其发送到攻击者控制的服务器。恶意软件会窃取键盘输入、浏览器 Cookie、浏览历史记录、保存的凭据、FTP 凭据、系统信息和屏幕截图。 Sandworm 使用恶意 Windows 激活工具的动机可能是由于乌克兰广泛使用盗版软件，这为攻击者提供了巨大的攻击面，甚至影响到该国的政府机构。EclecticIQ 表示：“许多用户，包括企业和关键实体，都从不可信的来源转向使用盗版软件，这为 Sandworm（APT44）等对手提供了将恶意软件嵌入广泛使用程序的绝佳机会。”这种策略使得大规模间谍活动、数据盗窃和网络入侵成为可能，直接威胁到乌克兰的国家安全、关键基础设施和私营部门的韧性。 Sandworm（也被追踪为 UAC-0113、APT44 和 Seashell Blizzard）是一个自 2009 年以来一直活跃的黑客组织，隶属于俄罗斯军事情报局（GRU）的第 74455 军事单位，主要针对乌克兰发动破坏性和破坏性攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，一名来自阿拉巴马州的男子因在2024年1月通过SIM卡交换攻击劫持美国证券交易委员会（SEC）的X账户而认罪。 25岁的被告埃里克·康塞尔（Eric Council Jr.）最初对该账户的黑客攻击行为表示不认罪。他被指控通过黑客手段劫持账户，并协助同伙发布了一条虚假消息，称比特币ETF已获批准。 虚假消息内容如下：“今天，美国证券交易委员会批准了比特币ETF在注册的国家证券交易所上市。获批准的比特币ETF将受到持续监控和合规措施的约束，以确保投资者保护。” 康塞尔的虚假帖子导致比特币价格一度上涨1000美元，随后在SEC主席加里·根斯勒（Gary Gensler）发推文称SEC账户被劫持、比特币ETF批准消息为假后，比特币价格迅速下跌2000美元。 SEC次日确认，@SECGov X账户是通过针对账户负责人的手机号码的SIM卡交换攻击被攻破的。这使得被告能够控制该手机号码，重置账户密码以发布虚假消息，并允许其他同伙（他们支付了他5万美元比特币）访问被攻破的账户并发布虚假消息。 美国司法部表示，作为该计划的一部分，康塞尔使用身份证打印机，利用从同伙那里获得的受害者个人信息，制作了一张虚假身份证。他利用这张虚假身份证冒充受害者，获取其手机号码，进而访问SEC的账户。 法庭文件还显示，康塞尔使用个人电脑搜索与攻击相关的信息，并表达了对联邦调查局（FBI）正在调查他的担忧。调查人员发现，被告搜索了诸如“如果FBI尚未联系你，如何知道你正在被执法部门调查”以及“如何确定我是否正在被FBI调查”等内容。 康塞尔将于5月16日被判刑，他因承认共谋实施严重身份盗窃和访问设备欺诈罪，面临最高五年监禁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据网络安全公司 Sucuri 报告，威胁行为者正在利用 Google Tag Manager（GTM）向基于 Magento 的电商网站部署信用卡窃取恶意软件。 这些恶意代码表面上看似用于网站分析和广告目的的常规 GTM 和 Google Analytics 脚本，但实际上包含了一个混淆的后门，能够为攻击者提供持续访问权限。截至发稿时，已有三个网站被发现感染了相关 GTM 标识符（GTM-MLHK2N68），低于 Sucuri 报告的六个。GTM 标识符是指包含各种跟踪代码（如 Google Analytics、Facebook Pixel）和在满足特定条件时触发的规则的容器。 进一步分析显示，恶意软件是从 Magento 数据库表 “cms_block.content” 中加载的，GTM 标签包含一个编码的 JavaScript 负载，用作信用卡窃取器。安全研究员 Puja Srivastava 表示：“该脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。” 恶意软件执行后，会从结账页面窃取信用卡信息并发送到外部服务器。这并非 GTM 首次被用于恶意目的。2018 年 4 月，Sucuri 曾揭露该工具被用于恶意广告活动。 此次事件发生在该公司详细描述另一场 WordPress 活动数周之后，该活动可能利用插件漏洞或受攻击的管理员账户安装恶意软件，将网站访客重定向至恶意 URL。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

科技媒体 decrypt 2 月 8 日发布博文，报道称有黑客在暗网论坛发帖，声称持有 2000 万 OpenAI 用户账户的登录凭据，并开始公开兜售。 OpenAI 公司表示目前已紧急启动调查，初步排查证据表明其系统并未遭受攻击，但用户仍需警惕潜在风险，并采取必要安全措施。 一位匿名黑客在暗网论坛发布俄语信息，声称拥有超过 2000 万个 OpenAI 账户的访问代码，并称之为“金矿”，还提供了包含电子邮件地址和密码的样本数据。IT之家附上图片如下： 有安全研究人员对样本数据进行了验证，发现其中至少有两个电子邮件地址无效，该用户在论坛上的其他帖子也与窃取日志有关。目前相关帖子已被删除，这让此次泄露事件的真实性存疑。 OpenAI 已发表声明，表示正在认真对待此事，但尚未发现任何证据表明 OpenAI 系统遭到入侵。即使此次事件最终被证实为虚惊一场，用户也应提高安全意识，采取多种措施保护自己的 OpenAI 账户。 转自军哥网络安全读报，原文链接：https://www.ithome.com/0/829/406.htm 封面来源于网络，如有侵权请联系删除

Sysdig的研究揭示了一个令人担忧的现象：一个针对大型语言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）运营商向攻击者提供未经授权的被盗账户访问权限，从而获取巨额利润。本文将深入剖析攻击者如何窃取访问权限，并利用LLM进行牟利。 DeepSeek遭遇LLMjacking攻击，云成本急剧飙升 自2024年5月首次被发现以来，LLMjacking攻击呈现出迅速演变的趋势，攻击范围不断扩展至新的大型语言模型，例如DeepSeek。据报道，DeepSeek-V3发布仅数天后，就被集成到ORP实例中，这充分展示了攻击者惊人的适应能力。 LLMjacking的驱动因素在于基于云的LLM使用相关的高成本。攻击者通过入侵账户，利用这些昂贵的服务而不支付费用。根据TRT的最新发现，LLMjacking已经成为一种成熟的攻击向量，线上社区积极分享相关工具和技术。 TRT观察到LLMjacking的牟利行为有所增加，攻击者通过ORP出售LLM访问权限。其中一个实例，根据报道每月售价为30美元。然而，运营商往往低估了与LLM使用相关的成本。研究人员注意到，在一个实例中，仅4.5天的运行时间就产生了近5万美元的成本，其中Claude 3 Opus是最昂贵的。 攻击者运营的一个ORP实例（通过Sysdig） 资源利用的规模 在观察到的ORP中，总令牌（LLM生成的单词、字符集或单词/标点符号的组合）的使用量超过20亿，突显了资源利用的规模之大。受害者是凭证被盗用的合法账户持有者。 ORP使用仍然是LLMjacking的流行方法。ORP服务器作为各种LLM的反向代理，可以通过Nginx或TryCloudflare等动态域名暴露，有效地掩盖攻击者的来源。这些代理通常包含来自不同提供商（如OpenAI、Google AI和Mistral AI）的众多被盗API密钥，使攻击者能够向他人提供LLM访问权限。 研究人员在博客文章中指出：“Sysdig TRT发现超过十几个代理服务器使用被盗凭证跨多个不同服务，包括OpenAI、AWS和Azure。LLM的高成本是网络犯罪分子选择窃取凭证而不是支付LLM服务费用的原因。” 在线社区对LLMjacking的推动 4chan和Discord等在线社区通过ORP促进了LLM访问的共享。Rentry.co被用于共享工具和服务。研究人员在蜜罐环境中的LLM提示日志中发现了许多ORP代理，其中一些使用自定义域名，另一些则使用TryCloudflare隧道，最终追溯到攻击者控制的服务器。 凭证盗窃：LLMjacking的关键环节 凭证盗窃是LLMjacking的一个重要方面。攻击者针对易受攻击的服务，使用验证脚本来识别访问ML服务的凭证。公共存储库也提供了暴露的凭证。定制的ORP，通常为隐私和隐蔽性而修改，被用于访问被盗账户。 应对LLMjacking：关键措施 为应对LLMjacking攻击，保护访问密钥并实施强大的身份管理至关重要。最佳实践包括避免硬编码凭证、使用临时凭证、定期轮换访问密钥，以及监控暴露的凭证和可疑账户行为。   转自FREEBUF，原文链接：https://www.freebuf.com/news/421317.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地利用合法的HTTP客户端工具，对Microsoft 365环境发动账户接管（ATO）攻击。 企业安全公司Proofpoint表示，其观察到有黑客利用HTTP客户端Axios和Node Fetch发送HTTP请求并从Web服务器接收HTTP响应，以实施ATO攻击。 安全研究员Anna Akselevich称：“这些工具最初源自GitHub等公共存储库，如今却越来越多地被用于中间人（AitM）攻击和暴力破解等技术手段中，导致大量账户被接管。” 自2018年2月以来，利用HTTP客户端工具进行暴力破解攻击的现象一直备受关注，随后的迭代更是采用OkHttp客户端的各种变体来攻击Microsoft 365环境，这种情况一直持续到2024年初。 但Proofpoint指出，到2024年3月，各种HTTP客户端开始受到追捧，攻击规模达到新高。截至去年下半年，78%的Microsoft 365租户至少遭受过一次ATO攻击。 Akselevich说：“2024年5月，这些攻击达到高峰，利用数百万个被劫持的家庭IP地址来攻击云账户。” Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现，证明了这些攻击尝试的数量和多样性。其中，将精确瞄准与AitM技术相结合的攻击手段，取得了更高的成功率。 Proofpoint表示，Axios是为Node.js和浏览器设计的，可以与Evilginx等AitM平台配合使用，以窃取凭据和多因素认证（MFA）代码。 此外，还观察到威胁行为者设置了新的邮箱规则以掩盖恶意活动证据、窃取敏感数据，甚至注册了权限范围过大的新OAuth应用程序，以建立对受损环境的持久远程访问。 据悉，Axios攻击活动主要针对交通运输、建筑、金融、信息技术和医疗保健等行业的高价值目标，如高管、财务官、账户经理和运营人员。 2024年6月至11月期间，超过51%的目标组织被评估为已成功受到攻击，43%的目标用户账户遭到入侵。 这家网络安全公司还检测到一起大规模密码喷洒攻击活动，该活动使用Node Fetch和Go Resty客户端，自2024年6月9日以来记录了不少于1300万次的登录尝试，平均每天超过6.6万次恶意尝试。然而，成功率仍然较低，仅影响了2%的目标实体。 迄今为止，已确定3000个组织中的超过17.8万个目标用户账户遭到攻击，其中大多数属于教育领域，特别是学生用户账户，这些账户可能保护不足，可被用于其他攻击活动或被出售给不同的威胁行为者。 Akselevich表示：“威胁行为者用于ATO攻击的工具已大大发展，他们利用各种HTTP客户端工具来利用API和发送HTTP请求。这些工具具有独特优势，使攻击更加高效。” “鉴于这一趋势，攻击者可能会继续在不同HTTP客户端工具之间切换，调整策略以利用新技术并逃避检测，这反映出了他们为增强攻击效果和降低曝光度而不断进化的更广泛模式。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文