HackerNews 编译，转载请注明出处： 微软透露，正对一家“境外威胁行为组织”采取法律行动，因该组织运营了一项“黑客即服务”基础设施，故意绕过其生成式人工智能（AI）服务的安全控制，制作攻击性和有害内容。 这家科技巨头的数字犯罪部门（DCU）表示，已观察到这些威胁行为者“开发了复杂的软件，利用从公共网站上抓取到的暴露的客户凭证”，并“试图识别和非法访问某些生成式AI服务的账户，故意篡改这些服务的功能”。 随后，这些对手利用Azure OpenAI服务等，通过向其他恶意行为者出售访问权限来获利，并为他们提供如何使用这些定制工具生成有害内容的详细指导。微软表示，其于2024年7月发现了这一活动。 微软表示，自那以后，已撤销了该威胁行为组织的访问权限，实施了新的应对措施，并加强了保障措施，以防止此类活动在未来再次发生。同时，微软还表示已获得法院命令，查封了该组织犯罪活动的核心网站（“aitism[.]net”）。 随着OpenAI ChatGPT等AI工具的普及，威胁行为者滥用这些工具进行恶意活动的现象也屡见不鲜，从制作违禁内容到开发恶意软件等。微软和OpenAI曾多次披露，来自中国、伊朗、朝鲜和俄罗斯的国家组织正在利用他们的服务进行侦察、翻译和虚假信息宣传活动。 法院文件显示，至少有三名未知人员参与了此次活动，他们利用窃取的Azure API密钥和客户Entra ID认证信息侵入微软系统，违反可接受使用政策，使用DALL-E创建有害图像。据信，还有另外七方使用了他们提供的服务和工具进行类似活动。 目前尚不清楚这些API密钥是如何被窃取的，但微软表示，被告从包括多家美国公司在内的多个客户那里进行了“系统性API密钥盗窃”，其中一些公司位于宾夕法尼亚州和新泽西州。 微软在一份文件中表示：“被告使用属于美国微软客户的被盗Microsoft API密钥，创建了一个‘黑客即服务’计划，该计划可通过‘rentry.org/de3u’和‘aitism.net’等基础设施访问，专门用于滥用微软的Azure基础设施和软件。” 一个现已被删除的GitHub存储库显示，de3u被描述为“具有反向代理支持的DALL-E 3前端”。该GitHub账户于2023年11月8日创建。 据说，在查封“aitism[.]net”后，这些威胁行为者采取了“掩盖行踪”的措施，包括试图删除某些Rentry.org页面、de3u工具的GitHub存储库以及反向代理基础设施的部分内容。 微软指出，这些威胁行为者使用de3u和一款名为oai反向代理的定制反向代理服务，利用被盗的API密钥向Azure OpenAI Service API发出请求，以文本提示非法生成数千张有害图像。目前尚不清楚创建了何种类型的攻击性图像。 运行在服务器上的oai反向代理服务旨在通过Cloudflare隧道将de3u用户计算机的通信传输到Azure OpenAI Service，并将响应传回用户设备。 “de3u软件允许用户通过简单的用户界面发出Microsoft API调用，利用Azure API访问Azure OpenAI Service，使用DALL-E模型生成图像，”微软解释道。 “被告的de3u应用程序使用未记录的Microsoft网络API与Azure计算机通信，发送旨在模仿合法Azure OpenAPI Service API请求的请求。这些请求使用被盗的API密钥和其他认证信息进行身份验证。” 值得一提的是，Sysdig于2024年5月指出，使用代理服务非法访问大型语言模型（LLM）服务与针对Anthropic、AWS Bedrock、Google Cloud Vertex AI、Microsoft Azure、Mistral和OpenAI等AI服务的LLMjacking攻击活动有关，这些攻击活动利用了被盗的云凭证，并将访问权限出售给其他行为者。 微软表示：“被告通过协调一致和持续的非法活动模式，开展Azure滥用企业的相关事务，以实现其共同的非法目的。” “被告的非法活动模式不仅限于对微软的攻击。微软迄今发现的证据表明，Azure滥用企业一直在瞄准并侵害其他AI服务提供商。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自“白厅进程”启动以应对商业黑客工具“泛滥及滥用”问题一年以来，其参与者担忧该倡议缺乏实际改变这些工具交易和使用方式的能力。 白厅进程组织者周三发布的咨询总结显示，所谓商业网络入侵能力（CCIC）的市场正在扩大，并警告称，CCIC对国家安全和人权构成的威胁“预计将在未来几年增加”。 早在2023年，英国政府通信总部（GCHQ）就警告称，过去十年里，80多个国家购买了间谍软件，其中一些国家利用这些软件“瞄准记者、人权活动家、政治异见人士和反对者以及外国政府官员”。 为应对这一问题，去年2月，英国和法国政府在伦敦共同主办了一场会议，召集外交官、行业代表、学者和民间团体承诺采取行动。 据Recorded Future News当时报道，一些最重要的CCIC出口国——尤其是以色列、印度、奥地利、埃及和北马其顿——选择不参加会议，且参会行业代表中没有销售引起担忧的CCIC者。同样拥有国内CCIC行业的俄罗斯也不太可能受邀参会。 尽管会议召开之际，美国刚宣布将限制“涉及滥用商业间谍软件”人员的签证，并将多家涉嫌助长侵犯人权行为的间谍软件公司列入制裁名单，但参会国家此后均未采取类似措施。 相反，与会者现已就CCIC供应商和国家的良好做法应为何样，制定了一份56页的咨询报告。该报告多次提及“担忧”（超过30次），并附带说明不代表英国或法国政府政策，广泛质疑该进程如何能将那些对解决问题毫无兴趣的政府和企业纳入其中。 英国渗透测试企业NCC Group的政府事务主管凯瑟琳·索默表示：“‘白厅进程’面临的挑战在于，它故意撒下大网，旨在纳入并吸引CCIC生态系统中的大多数，但实际上如何触及那些行为和做法需要改变以真正产生影响的群体。”“负责任的行为者和寻求澄清和指导的积极参与者将从‘白厅进程’下一阶段的成果中受益。但我们所有人都希望看到的重大转变目前仍难以预见，”索默告诉Recorded Future News，并补充说，“但这不应阻止我们继续尝试！” 网络研究非营利组织Virtual Routes（以其原名参与‘白厅进程’）联合主任詹姆斯·夏尔斯称赞该进程是“CCIC治理方面迈出的一大步”，但仍“遇到与其他努力相同的根本障碍”。 夏尔斯强调，各国对“国家安全”的不同定义助长了CCIC的滥用，并阻碍了对这些能力采购情况的独立监督。 他补充说，“与网络安全能力建设之间的联系凸显了‘有者’和‘无者’之间的不公平感。对一些发展中国家而言，具有讽刺意味的是，‘白厅进程’的组织者英国和法国一方面想限制（CCIC的）获取，另一方面却又支持自己的间谍软件行业。” 夏尔斯还表示，“大帐篷式做法有可能同意联合国已确立的那类自愿准则或最佳做法——而这些准则在更广泛的网络空间负责任国家行为方面经常被公然违反——而不是针对已知违规者和滥用者（无论是国家还是公司）采取具体、有针对性的行动。” 迄今为止，只有美国采取了针对性行动。国务卿安东尼·布林肯称CCIC威胁“隐私和言论自由、和平集会和结社自由”。他在国务院发布针对从事间谍软件行业人员的签证限制时发表的评论还谈到了该技术“在最恶劣的情况下与任意拘留、强迫失踪和法外处决有关”。 在唐纳德·特朗普赢得选举胜利后举行的白厅进程会议上，据一位与会者称，与会者对新政府是否会对此话题表现出同等兴趣表示怀疑，一些人因其他政府没有紧急采取具体行动解决CCIC滥用问题而感到沮丧。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本周三将过去五年针对该国国家安全和高科技目标发动的 200 多起网络攻击归咎于黑客组织MirrorFace，详细介绍了他们的策略，并呼吁政府机构和企业加强预防措施。 日本警察厅表示，通过对 MirrorFace 在 2019 年至 2024 年期间发起的网络攻击的目标、方法和基础设施的分析，得出结论，这些攻击的目的是窃取日本国家安全和先进技术的数据。 NPA 表示，网络攻击目标包括日本外务省和防卫省、国家航天局以及政治家、记者、私营公司和与高科技相关的智库等个人。 NPA 调查发现，MirrorFace 主要在 2019 年 12 月至 2023 年 7 月期间向目标组织和个人发送了带有恶意软件附件的电子邮件，以查看计算机上保存的数据，这些邮件通常来自使用被盗身份的 Gmail 和 Microsoft Outlook 地址。 NPA 表示，这些电子邮件通常使用“日美同盟”、“台海”、“俄乌战争”和“自由开放的印太地区”等关键词作为主题，并附有研究小组的邀请、参考文献和小组成员名单。 另一种策略是，黑客在 2023 年 2 月至 10 月期间利用虚拟专用网络中的漏洞获取未经授权的信息访问，攻击了日本航空航天、半导体、信息和通信领域的组织。 此次攻击包括针对日本宇宙航空研究开发机构（JAXA）的一次攻击。该机构于 6 月承认，自 2023 年以来遭受了一系列网络攻击，但与火箭、卫星和国防相关的敏感信息并未受到影响。该机构正在调查并采取预防措施。 去年，一次网络攻击导致名古屋市港口集装箱码头的 运营陷入瘫痪三天。 最近，日本航空在圣诞节期间遭遇网络攻击，导致 20 多个国内航班延误或取消，该航空公司成功阻止了攻击并在数小时后恢复了系统，飞行安全并未受到影响。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NS_xe7HsbAdmau4a9gpjgg 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员近日揭示了一款名为NonEuclid的新型远程访问木马，该木马可使不法分子远程控制受感染的Windows系统。 Cyfirma上周发布的技术分析指出：“NonEuclid远程访问木马（RAT）采用C#开发，是一款高度复杂的恶意软件，通过先进的规避技术提供未经授权的远程访问。” “它运用多种机制，包括杀毒软件绕过、权限提升、反检测和针对关键文件的勒索软件加密。” 自2024年11月底以来，NonEuclid已在地下论坛中被宣传，并在Discord、YouTube等热门平台上发现了有关该恶意软件的教程和讨论。这表明有人正有组织地将其作为犯罪软件解决方案进行分发。 该RAT的核心是从客户端应用程序的初始化阶段开始，之后进行一系列检查以躲避检测，然后再为与指定IP和端口的通信建立TCP套接字。 它还会配置Microsoft Defender防病毒排除项，以防止安全工具标记其相关文件，并监控如“taskmgr.exe”、“processhacker.exe”和“procexp.exe”等常用于分析和进程管理的进程。 Cyfirma表示：“它使用Windows API调用（CreateToolhelp32Snapshot、Process32First、Process32Next）来枚举进程，并检查其可执行文件名是否与指定目标匹配。如果找到匹配项，则根据AntiProcessMode设置，要么终止该进程，要么触发客户端应用程序退出。” 该恶意软件采用的一些反分析技术包括检查其是否在虚拟或沙盒环境中运行，一旦发现，则立即终止程序。此外，它还具备绕过Windows反恶意软件扫描接口（AMSI）的功能。 NonEuclid通过计划任务和Windows注册表更改实现持久性，并试图通过绕过用户帐户控制（UAC）保护来提升权限并执行命令。 一个相对罕见的功能是，它能够加密具有特定扩展名（如.CSV、.TXT和.PHP）的文件，并将它们重命名为“.NonEuclid”扩展名，从而有效转变为勒索软件。 Cyfirma称：“NonEuclid RAT是现代恶意软件日益复杂的典型代表，结合了先进的隐蔽机制、反检测功能和勒索软件能力。它在地下论坛、Discord服务器和教程平台上的广泛宣传表明，它对网络犯罪分子具有吸引力，并凸显了应对此类威胁的挑战。该恶意软件集成了权限提升、AMSI绕过和进程阻止等功能，展示了其在躲避安全措施方面的适应性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，一名涉嫌泄露总统通话记录的美陆军士兵卡梅伦·约翰·瓦格纽斯（Cameron John Wagenius），于12月20日在德克萨斯州胡德堡被捕，他面临两项非法转移机密电话记录的指控。 瓦格纽斯现年20岁，被怀疑为一名网络罪犯，其网名“Kiberphant0m”，涉嫌提供并泄露从电信提供商AT&T和Verizon窃取的通话记录。 此次逮捕大约发生在调查记者布莱恩·克雷布斯（Brian Krebs）揭露一名美军士兵可能参与影响包括安海斯-布希（Anheuser-Busch）、好事达（Allstate）、美国前进汽车零件公司（Advance Auto Parts）、三菱（Mitsubishi）、尼曼马库斯（Neiman Marcus）、前进保险（Progressive）、桑坦德银行（Santander Bank）、州立农业保险（State Farm）和Ticketmaster在内的数百家组织的“雪花”黑客攻击行动的一个月后。 克雷布斯在一份新报告中透露，瓦格纽斯曾驻韩，是一名通信专家，很可能就是“Kiberphant0m”，且与10月底因“雪花”账户黑客攻击案被捕的加拿大公民康纳·莱利·穆卡（Connor Riley Moucka，网名Judische）有关联。 穆卡被捕后不久，“Kiberphant0m”为勒索AT&T，在网络犯罪门户BreachForums上发布了疑似被盗的特朗普总统和哈里斯副总统的通话记录。 他还提供了据称来自美国国家安全局的“数据架构”、据称从美国政府机构和Verizon应急响应人员处窃取的通话记录，以及针对Verizon一键通（PTT）客户的SIM卡交换服务。 “Kiberphant0m”还在Telegram上吹嘘自己黑进了包括AT&T和Verizon在内的15家电信提供商，并维护了一个分布式拒绝服务（DDoS）僵尸网络。 12月20日的起诉书（PDF）指控瓦格纽斯于11月初参与了机密电话记录信息的销售和传输，但未提供有关嫌疑人身份或其与“雪花”攻击关联的更多细节。 然而，据克雷布斯称，瓦格纽斯的母亲已确认他参与了网络犯罪活动，而穆卡此前也透露，他将从“雪花”客户处窃取的数据销售外包给了“Kiberphant0m”。 迄今为止，已有三人因“雪花”攻击案被捕。除穆卡和瓦格纽斯外，当局还逮捕了约翰·艾琳·宾斯（John Erin Binns），此人曾因2021年黑进T-Mobile而自居功劳，目前被关押在土耳其监狱。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新曝光的一起针对Chrome浏览器扩展开发者的钓鱼攻击事件显示，至少有35个扩展被黑客入侵并植入了数据窃取代码，其中包括网络安全公司Cyberhaven的扩展。这些受害扩展累计用户量约260万。 最初报道聚焦于Cyberhaven的安全扩展，但后续调查发现，同一恶意代码已渗透至35个扩展中。根据LinkedIn和Google Groups上受害开发者的反馈，攻击活动大约始于2024年12月5日，但BleepingComputer发现的相关子域名信息显示，攻击活动可能早在2024年3月就已开始酝酿。 “我只是想提醒大家注意一封比平常更为复杂的钓鱼邮件，邮件称我们违反了Chrome扩展政策，形式是：‘描述中有不必要的细节’。”该开发者在Google Group的Chromium扩展组发布了此信息。 “邮件中的链接看起来像是网页商店，但实际指向一个钓鱼网站，试图控制你的Chrome扩展，并可能将其更新为恶意软件。” 该攻击始于向Chrome扩展开发者直接发送的钓鱼邮件，或通过与其域名关联的支持邮箱发送。 根据BleepingComputer查看的邮件，以下域名被用于此次钓鱼攻击： supportchromestore.com forextensions.com chromeforextension.com 这些钓鱼邮件伪装成来自Google，声称该扩展违反了Chrome Web Store的政策，面临被下架的风险。 “我们不允许具有误导性、格式差、描述不清、无关、过多或不当的元数据的扩展，包括但不限于扩展描述、开发者名称、标题、图标、截图和宣传图片。”钓鱼邮件中写道。 具体而言，扩展开发者被诱导认为其软件描述含有误导信息，并被要求确认遵守Chrome Web Store的政策。一旦开发者点击邮件中的“前往政策”链接以了解违规详情，他们会被重定向至Google域下的正规登录页面，但该页面实则用于一个恶意的OAuth应用。 此登录页面遵循Google的标准授权流程，本用于安全授权第三方应用访问Google账户资源。然而，攻击者在此平台上部署了一个名为“隐私政策扩展”的恶意OAuth应用，诱骗受害者授权其管理Chrome Web Store扩展的权限。 “当您允许此访问时，隐私政策扩展将能够：查看、编辑、更新或发布您可以访问的Chrome Web Store扩展、主题、应用程序和许可证。”OAuth授权页面上写道。 权限批准提示（来源：Cyberhaven） 尽管启用了多因素认证（MFA），但账户安全仍未能得到保障，因为OAuth授权流程中的直接批准环节无需额外验证，且默认用户充分知晓所授予的权限。 Cyberhaven在事后分析中指出：“一名员工按照标准流程操作，不慎授权了恶意第三方应用。” 该员工虽已启用Google高级保护并设有MFA，但在授权过程中未收到任何MFA提示，其Google凭证也未被泄露。 获得账户访问权后，攻击者篡改了扩展，植入了“worker.js”和“content.js”两个恶意文件，内含窃取Facebook账户数据的代码。随后，这些被劫持的扩展以“新版本”的形式被发布到Chrome Web Store上。 尽管Extension Total追踪了此次钓鱼活动影响的35个扩展，但来自攻击的IOCs显示，实际受影响的扩展数量要远远超过这个数字。 根据VirusTotal的数据，攻击者为目标扩展预先注册了域名，即便这些扩展的开发者没有上当。 尽管大多数域名是在11月和12月创建的，BleepingComputer发现攻击者早在2024年3月就开始测试这一攻击。 早期钓鱼活动中使用的子域名（来源：BleepingComputer） 对受损设备的分析显示，攻击者瞄准了使用中毒扩展的用户的Facebook账户。具体来说，窃取数据的代码试图抓取用户的Facebook ID、访问令牌、账户信息、广告账户信息和企业账户信息。 被劫持扩展窃取的Facebook数据（来源：Cyberhaven） 此外，恶意代码还在Facebook.com上设置了鼠标点击事件监听器，专门捕获与Facebook双因素认证（2FA）或验证码相关的二维码图像，企图绕过2FA保护，从而控制用户账户。 这些被窃取的信息，包括Facebook Cookies、用户代理字符串、Facebook ID以及监听到的鼠标点击事件，会被打包并传输至攻击者的指挥和控制（C2）服务器。 攻击者针对Facebook企业账户展开多种攻击手段，意图利用受害者的信用卡信息直接向其账户转账，或在社交平台上散布虚假信息、实施钓鱼活动，甚至将账户访问权限转售他人。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客已找到多种绕过多因素认证（MFA）的方法，而九成安全专家仍然认为MFA能够完全防止账户被接管，网络安全公司警告道。 多因素认证常被誉为防止账户接管的“银弹”，用于保护用户在密码泄露后避免被黑客侵入。然而，黑客早已预见到这一障碍并已做好了反击准备。网络犯罪分子正发动数百万次攻击，旨在绕过MFA。 Proofpoint 2024年《Phish报告》显示，仅使用一个名为EvilProxy的MFA绕过工具，每个月就发起了超过100万次攻击。EvilProxy是一个钓鱼即服务工具包。 “然而，89%的安全专家认为MFA能够完全防止账户接管。显然，这之间存在脱节，”该公司表示。 威胁行为者至少使用六种方法绕过MFA，其中许多战术都相当复杂： 钓鱼攻击：网络罪犯诱使用户将MFA代码或登录凭证输入由攻击者控制的网站。 MFA疲劳攻击：一旦威胁行为者获得了用户的密码，他们就会发起大量MFA推送通知，试图让用户困惑。受害者通常为了停止这些通知而批准访问请求。 会话劫持：攻击者使用信息窃取恶意软件和其他手段在身份验证后窃取会话Cookie，这使得前面的MFA身份验证变得无效。 SIM卡交换：如果用户依赖SMS验证码进行MFA，黑客可能尝试将目标的电话号码转移到自己的手中。为此，攻击者需要通过社会工程学手段操控移动运营商，或在组织内有内部人员协助。 社交工程：黑客获取敏感凭证的另一种方式是通过直接询问。许多公司提供一种方式，允许远程员工重置密码和MFA设置，而无需亲自到场。如果没有适当的在线身份验证，攻击者可以通过欺骗IT帮助台交出伪造的员工凭证。 中间人攻击：攻击者使用如Evilginx之类的专用钓鱼工具拦截会话令牌。然后，这些令牌会被转发给合法服务，攻击者因此获得访问权限。 此前，研究人员甚至成功地仅通过猜测6位数验证码绕过了微软的MFA实施。微软声称，MFA能够防止99%的账户被接管攻击。 Proofpoint指出，单靠MFA是不够的。 “毫无疑问，MFA为用户认证安全增添了重要的防护层。这使得威胁行为者更加难以突破。但上述绕过技术展示了为何仅依赖单一的安全防御机制是如此危险，”该公司表示。“攻击者能够适应并突破广泛部署的保护措施。” Proofpoint建议，MFA应作为更大范围防御深度策略的一部分，额外的安全层次能在一个防御层被突破时减少成功攻击的可能性。 MFA工具并不相同，因此建议采用抗钓鱼的MFA。更安全的MFA方法包括硬件安全密钥（FIDO2）或生物识别技术。 通过部署端点检测与响应（EDR）工具来增强端点保护，是识别和缓解主机级别未经授权访问的一个安全层。 “投资于防御凭证钓鱼。大多数威胁行为者偏好使用高度针对性的社交工程钓鱼攻击来获取用户凭证，”Proofpoint指出。 其他措施包括安装专门的账户接管安全系统，能够检测、调查并自动响应云账户接管，教育用户识别钓鱼企图，并制定事件响应和恢复计划。 “准备应对最坏的情况。确保有一个明确的事件响应计划，包含快速撤销访问令牌和调查可疑登录的办法。”   消息来源：Cybernews, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据美国财政部周一发给国会议员的一封信，财政部表示，第三方软件提供商 BeyondTrust 于 12 月 8 日通知它，称一名黑客获得了安全密钥，允许攻击者远程访问员工工作站和存储在其上的机密文件。 BeyondTrust 是一家网络安全公司，专门从事特权访问管理 （PAM） 和安全远程访问解决方案。该公司的SaaS产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。 “根据现有指标，该事件被归咎于高级持续威胁 （APT） 行为者。”财政部负责管理的助理部长 Aditi Hardikar 在信中说。 财政部没有具体说明受影响的工作站数量或被黑客攻击的文档类型。它也没有说明黑客活动是何时发生的。 财政部补充说，受感染的服务已下线，目前没有证据表明攻击者能够继续访问财政部信息。根据财政部的政策，归因于 APT 的入侵被视为重大网络安全事件。 本月早些时候，有报告称 BeyondTrust 已被黑客入侵了远程支持 实例（https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/）。威胁组织利用被盗的远程支持 SaaS API 密钥重置了本地应用程序帐户的密码，并获得了对系统的进一步特权访问。 在调查了这次攻击后，BeyondTrust 发现了两个0day漏洞，即 CVE-2024-12356 和 CVE-2024-12686，这些漏洞允许攻击者入侵并接管远程支持 SaaS 实例。 由于财政部是其中一个受感染实例的客户，因此威胁组织能够使用该平台访问客户计算机并远程窃取文档。在 BeyondTrust 检测到违规行为后，他们关闭了所有受损的实例并撤销了被盗的 API 密钥。 财政部表示，它正在与 FBI 和美国网络安全和基础设施安全局 （CISA） 合作解决入侵问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XJHv5-cPQV1plDn78rGeXw 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 本周，美国司法部（DoJ）公布了对巴西库里奇巴29岁公民Junior Barros De Oliveira的起诉书。De Oliveira涉嫌通过黑客攻击威胁勒索，已被起诉四项与从受保护计算机获取信息相关的勒索威胁罪名，以及四项威胁通讯罪名。 案件受害者是一家新泽西州公司在巴西的子公司，其计算机系统于2020年3月遭到De Oliveira的入侵。他利用获取的访问权限，至少三次窃取约30万名客户的机密信息。 2020年9月，De Oliveira通过假名向该公司首席执行官发送电子邮件，要求支付300比特币（约320万美元），否则将泄漏公司数据。一个月后，他又将同一邮件转发给首席执行官及巴西子公司高管。 在后续邮件中，De Oliveira表示愿“协助解决安全漏洞”，但要求75比特币（约80万美元）作为咨询费，并提供了支付到比特币钱包的详细指南。 若罪名成立，每项勒索威胁罪名最高可判5年监禁，并处25万美元或非法获利/损失两倍的罚款（以较高者为准）；每项威胁通讯罪名最高可判2年监禁，并处相同额度的罚款。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，名为 Charming Kitten （迷人小猫）的伊朗APT组织正在部署已知恶意软件 BellaCiao 的 C++ 变体。 卡巴斯基将新版本命名为BellaCPP，该公司表示，它是在“最近”对亚洲一台被感染了 BellaCiao 恶意软件的机器进行调查时发现这个文件的。 BellaCiao于 2023 年 4 月首次被罗马尼亚网络安全公司 Bitdefender 记录在案，该公司将其描述为能够传递额外有效载荷的自定义投放器。Charming Kitten （迷人小猫）黑客组织已在针对美国、中东和印度的网络攻击中部署了该恶意软件。 这也是Charming Kitten （迷人小猫）多年来众多开发定制的恶意软件家族之一。该高级持续威胁 (APT) 组织隶属于伊朗伊斯兰革命卫队 (IRGC)，也被称为 APT35、CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm（以前称为 Phosphorus）、Newscaster、TA453 和 Yellow Garuda。 虽然该组织曾策划过巧妙的社会工程活动来赢得目标的信任并传播恶意软件，但研究发现，涉及 BellaCiao 的攻击会利用 Microsoft Exchange Server 或 Zoho ManageEngine 等可公开访问的应用程序中已知的安全漏洞。 卡巴斯基研究员 Mert Degirmenci表示：“BellaCiao 是一个基于 .NET 的恶意软件家族，它为入侵增添了独特的变化，将 Web shell 的隐秘持久性与建立隐蔽隧道的能力相结合。” BellaCiao 的 C++ 变体是一个名为“adhapl.dll”的 DLL 文件，它实现与其祖先类似的功能，包含用于加载另一个未知 DLL（“D3D12_1core.dll”）的代码，该 DLL 可能用于创建 SSH 隧道。 BellaCPP 的独特之处在于缺少 BellaCiao 中用于上传和下载任意文件以及运行命令的 Web shell。 Degirmenci 表示：“从高层角度来看，这是没有 Web Shell 功能的 BellaCiao 样本的 C++ 表示”，并补充说 BellaCPP“使用了先前归因于该参与者的域名”。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-w5W0f_bwQql3_QeHIz37A 封面来源于网络，如有侵权请联系删除