乌克兰网络警察称，他们已经发现了一名与臭名昭著的 Conti 和 LockBit 勒索软件团伙有关联的当地黑客。 警方称，这名 28 岁的基辅居民专门从事加密器的开发，加密器是一种用于加密恶意软件的恶意工具，使防病毒软件更难检测和分析。 根据警方周三发布的声明，该男子向与俄罗斯有关的 Conti 和 LockBit 勒索软件组织有关的黑客出售自己的服务，以获得加密货币奖励。 乌克兰警方没有说明嫌疑人目前是否被拘留。该机构的发言人告诉 Recorded Future News，“目前正在进行调查行动，包括分析被扣押设备中包含的信息，以收集更多证据并识别可能参与犯罪的其他人员。” 荷兰警方上周发表声明称，该嫌疑人于 4 月在“终局行动”中被捕，该行动是针对僵尸网络的最大规模国际执法行动之一。当局关闭或破坏了 100 台犯罪分子使用的服务器，并查获了 2,000 多个恶意域名。 声明称：“荷兰调查部门对乌克兰的逮捕行动感到非常高兴，并感谢乌克兰警方在战争时期为此找到的空间。” LockBit是过去四年来最猖獗的勒索软件之一。其恶意软件已经破坏了全球数千家企业，其中包括波音公司和英国皇家邮政。 今年 2 月，警方关闭了该勒索网站，但犯罪分子很可能在 5 月重新启用了该网站。FBI 官员最近表示，美国当局拥有 7,000 多个解密密钥，可以帮助 LockBit 受害者恢复数据。 Conti因攻击美国医疗保健组织而闻名。2022 年，美国悬赏高达 1000 万美元，以获取有关任何担任 Conti 领导职务的个人的身份和位置的信息。 乌克兰警方称，这名乌克兰黑客据称使用加密器伪装的恶意软件于 2021 年底感染了荷兰和比利时公司的计算机网络。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TrREozllofJF1mIAKQkfiQ 封面来源于网络，如有侵权请联系删除

6月初，由于病理学和诊断服务提供商 Synnovis 遭受勒索软件攻击，严重影响伦敦几家大型 NHS 医院的运营。攻击迫使受影响的医院取消部分医疗程序，部分患者被转至其他医院。英国国家医疗服务体系 (NHS) 发出紧急呼吁，倡议市民捐献O型血。 Synnovis 是欧洲最大的医疗检测和诊断提供商SYNLAB 的病理学合作伙伴。6月3日，Synnovis 在其网站上发布公告，承认遭遇勒索软件攻击。 “6 月3 日星期一，Synnovis遭受了勒索软件攻击。影响了 Synnovis 的所有 IT 系统，导致许多病理学服务中断。” Synnovis尚未发布新的更新，也没有提供有关攻击范围的任何信息。 执法部门怀疑俄罗斯麒麟（qilin）勒索软件团伙是此次袭击的幕后黑手。 伦敦 NHS 发表了关于 Synnovis 勒索软件攻击的声明，证实该事件对盖伊医院和圣托马斯医院、伦敦国王学院医院以及伦敦东南部初级保健服务产生重大影响。 “所有紧急和急救服务照常开放，大多数门诊服务继续正常运行。” NHS 网站公告说。“不幸的是，一些严重依赖病理学服务的手术和程序已被推迟，血液检测被优先用于最紧急的病例，这意味着一些患者的采血预约被取消。” NHS 确认勒索软件攻击已扰乱血液配型测试，因此受影响的医院正在为无法等待血液配型检测的患者使用 O 型血液，NHS 呼吁市民紧急捐献 O 型血。 “英国 top doctor 今天（6 月 10 日星期一）支持英国国家医疗服务体系血液及移植中心（NHSBT）的呼吁，要求 O 型血液捐献者紧急预约在英格兰 25 个城镇和市中心的 NHS 血液捐献中心进行捐献，以在伦敦网络攻击事件发生后增加 O 型血液的库存。 ”英国国家医疗服务体系血液及移植中心发布的公告中写道。 紧急呼吁公告中说：“影响病理学提供商的 IT 事件意味着受影响的医院目前无法以与往常相同的频率为患者配血。对于需要输血的手术和程序，医院需要使用 O 型血，因为这种血对所有患者来说都是安全的，而且血液的保质期为 35 天，因此需要不断补充库存。这意味着未来几周将需要比平时更多的此类血液单位，以支持一线工作人员的更广泛努力，确保为当地患者提供安全的服务。” 通常情况下，医院手术或紧急抢救病人时，会进行血型配型检测，通常只采用与患者相同的血型输血。 当医院无法提供血液配型检测时，只能被迫提供相对安全的O型血输血。为紧急手术输O型血是在战时或没有其他血源的情况下采取的紧急措施。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pra33_WMogscVxHx164fUw 封面来源于网络，如有侵权请联系删除

研究人员发现，一个名为“蓝宝石狼人”的黑客组织在过去三个月内利用紫水晶信息窃取程序攻击了 300 多家俄罗斯公司。 该组织的目标包括俄罗斯的教育、制造业、科技、国防和航空航天工程行业。目前尚不清楚该组织背后的组织者是谁，以及该组织是否受到政府支持或出于经济动机。 俄罗斯网络公司 BI.ZONE自 3 月以来一直在跟踪Sapphire Werewolf 的活动。研究人员称，该组织的 Amethyst 工具是开源 SapphireStealer 的一个分支。 一旦进入系统，Amethyst 可以收集 Telegram 配置文件、密码和 cookie 数据库、浏览器和热门网站历史记录、从浏览器保存的页面和配置以及 PowerShell 日志。 黑客通过伪装成官方命令的网络钓鱼电子邮件将恶意软件传送到受害者的设备，这些命令包括来自中央选举委员会甚至俄罗斯总统弗拉基米尔·普京的命令。 目前尚不清楚 Sapphire Werewolf 的活动效果如何，也不清楚他们如何使用所获得的数据。研究人员注意到，该组织的恶意软件已经进化。就在三个月前，窃取者还“没有任何机制可以在受感染的系统中实现持久性”，而且只收集了“一组有限的数据”。 由于西方公司在俄罗斯的知名度有限，有关俄罗斯境内网络攻击的报道很少，而且通常由当地网络公司独家发布。 本周早些时候，另一家俄罗斯公司 Positive Technologies（因向俄罗斯情报部门提供技术而受到美国制裁）发布了一份报告，报告称一个名为 HellHounds 的受国家支持的组织使用 Decoy Dog 恶意软件攻击俄罗斯电力公司、科技企业、政府机构、航天工业和电信提供商。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Wu5Y1-M1OhooFEQPX3nWMg 封面来源于网络，如有侵权请联系删除

OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 近日，因安全团队核心人员离职而深陷信任危机的OpenAI发布了最新的安全报告，宣称在过去三个月中挫败了五个利用ChatGPT操控舆论的黑客组织APT行动（舆论黑客）。 OpenAI将操控舆论的影响力活动（IO）定义为“试图以欺骗的方式操纵舆论或影响政治结果，而不揭露背后行为者的真实身份或意图”。 在报告中，OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 “舆论黑客”攻击成效不及预期 舆论操控和内容安全是人们最担忧的两大人工智能威胁，尤其是国家黑客组织利用ChatGPT-4o为代表的多模态大模型进行大规模的，跨平台、跨国界的意识形态渗透和社交媒体舆论操控。 据OpenAI报告，这些“舆论黑客”行动主要利用人工智能生成大量社交媒体帖子和评论等文本内容，同时还进行了一些辅助性的工作，例如通过调试代码来提高生产力。 但是，根据布鲁金斯突破量表(Brookings Breakout Scale)的评估，这些“舆论黑客”行动的评分均未超过2分，目前尚未取得显著成效。 布鲁金斯突破量表用1-6分来衡量影响力行动的影响范围，其中1分表示仅限于单个社区或平台，6分则意味着引发了政策干预或其他具体行动，例如暴力事件。2分意味着影响力行动跨越了单个平台中的多个社区，或者影响了多个平台中的单个社区。 五大舆论黑客攻击活动 报告指出，虽然“舆论黑客”来自全球各地，但本质上却非常相似，主要利用ChatGPT为多平台生成多语言版本的内容（账户、文章、评论、标签等），以下为报告调查的五大“舆论黑客”行动： “垃圾伪装(Spamouflage)”。该行动利用OpenAI的工具进行代码调试、社交媒体活动研究，并用多种语言在X平台、Medium和Blogspot发布内容。 俄罗斯的“语法错误(Bad Grammar)”。一个来自俄罗斯的新威胁组织，主要针对Telegram平台的东欧和美国用户。它也利用人工智能来调试用于运行Telegram机器人的代码，并用英语和俄语生成Telegram上的政治评论。 俄罗斯的“变形金刚(Doppelganger)”。这个俄罗斯组织利用人工智能在X平台和9GAG上用五种欧洲语言发布评论，生成标题，并将新闻文章翻译、编辑并转换成Facebook帖子。 伊朗的“国际虚拟媒体联盟(IUVM)”。利用人工智能为其网站生成和翻译文章、标题和网站标签。 以色列的“零点禅(Zero Zeno)”行动。由位于特拉维夫的政治营销和商业情报公司Stoic运营。Stoic利用OpenAI为Instagram、Facebook、X平台和其他网站生成文章和评论。Meta公司最近在其“对抗性威胁报告”中也点名了Stoic。报告显示，Meta删除了与Stoic关联的510个Facebook账户、32个Instagram账户、11个页面和1个群组。Stoic的各个Instagram账户只有大约2000个关注者，Facebook页面约有500个关注者，其Facebook群组的成员人数不足100人。 为了打击人工智能的滥用，OpenAI在一份更详细的报告中透露正在与传媒、社交网站和科技行业合作伙伴合作，并利用舆论黑客的威胁活动来设计更安全的用户平台。该公司还表示正在“投资于技术和团队，以识别和阻止恶意行为者，以及利用人工智能工具来帮助打击滥用行为。”报告并未进一步详细说明OpenAI采取了哪些具体措施来阻止和打击恶意行为者， 舆论黑客的四大攻击趋势 OpenAI在报告中透露，根据自身调查以及开源社区的工作，发现舆论黑客使用（类似ChatGPT的）大语言模型进行的隐蔽宣传活动呈现四大趋势： 内容生成：所有舆论黑客都利用OpenAI的服务生成大量文本（偶尔还包括图像），并且语言错误比仅靠人工操作者要少得多。 融合新旧：所有这些行动都不同程度地使用了人工智能，但没有一个行动只使用人工智能。相反，人工智能生成的内容只是他们发布的众多内容类型之一，其他类型包括更传统的形式，例如手动编写的文本或从互联网上复制的模因。 伪造参与度（人气）：OpenAI瓦解的一些活动利用ChatGPT在社交媒体上营造用户参与热度的假象。例如，用人工智能生成内容回复或评论自己的帖子。 提高效率：许多舆论黑客都尝试利用ChatGPT来提高效率，例如总结社交媒体帖子或调试代码。 舆论黑客的五大防御趋势 OpenAI在报告中指出，虽然关于人工智能的潜在应用的讨论的大多关注攻击侧，但是人工智能也为防御者提供了优势。例如人工智能技术大大提高了OpenAI的调查效率，以下为人工智能提高内容安全防御能力的五大趋势： 防御设计：OpenAI通过内容安全系统给攻击者制造麻烦，这也是OpenAI负责任地部署人工智能的方法。例如，OpenAI多次观察到ChatGPT拒绝生成舆论黑客要求的文本或图像。 人工智能增强调查：OpenAI基于此前使用GPT-4进行内容审核和网络防御的方法，又开发了新人工智能工具来提高（用户会话内容的）检测和分析效率。得益于新的工具，此次报告的调查耗时仅数天，而不是数周或数月。随着模型的改进，OpenAI将继续利用其功能来改进调查。 分发很重要：与传统的内容形式一样，人工智能生成的内容也必须进行分发才能到达受众。这些舆论操控行动在各种平台上发布内容，包括X、Telegram、Facebook、Medium、Blogspot和较小的论坛，但截至调查结束没有一个活动成功吸引大量受众。 行业共享的重要性：为了提高对舆论黑客行为的防御和反击能力，OpenAI与业界同行分享了详细的威胁指标。OpenAI自己的调查也受益于研究社区多年来的开源分析。 人为因素：人工智能可以改变人类操作者使用的工具包，但它不会改变操作者本身。OpenAI的调查表明，攻击者与前几代人一样容易犯人为错误。例如，（因为疏忽）将ChatGPT的拒绝消息发布在社交媒体和他们的网站上。虽然攻击工具在不断进化，但是黑客活动的运营和决策者的人性弱点和局限性并没有变。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aVzureY0NPIfZoJ3zfSXmA 封面来源于网络，如有侵权请联系删除

本周一（5月28日），Check Point 公司发布警告称，有黑客针对其远程访问VPN设备发起了持续攻击。 Check Point 公司方面表示，这些攻击者的目标，是使用不安全的纯密码验证的旧本地账户的安全网关。一般来说，这种验证应与证书验证一起使用，以防止出现漏洞攻击事件。 Remote Access是集成在所有Check Point网络防火墙中的，并可以配置成客户端到站点VPN，通过VPN客户端访问企业网络，也可以设置成SSL VPN门户，进行基于Web的访问。 近期已经发生了多起VPN解决方案遭到破坏的事件，涉及到多家网络安全供应商。 研究人员表示：鉴于这些事件，我们一直在监控未经授权访问 Check Point 客户 VPN 的尝试。截至 2024 年 5 月 24 日，我们发现了少量使用旧 VPN 本地账户的登录尝试，这些账户依赖于未推荐的仅密码验证方法。 最初我们发现了 3 次这样的尝试，后来当我们与我们组建的特别小组进一步分析时发现他们使用的攻击方式可能是相同的模式。 Check Point 发言人称：这些黑客在全球范围内的几次尝试让我们了解到了一种趋势，尤其是一种确保攻击不成功的非常直接的方法。 为了抵御这些持续不断的攻击，Check Point警告客户要及时检查Quantum Security Gateway和CloudGuard Network Security产品以及Mobile Access和Remote Access VPN软件上是否有此类易受攻击的账户。 同时，他们还建议客户将用户验证方法更改为更安全的选项（使用本支持文档中的说明），或从安全管理服务器数据库中删除易受攻击的本地账户。 该公司还发布了一个安全网关热修复程序，它将阻止所有本地账户使用密码进行身份验证。安装后，仅使用弱密码验证的本地账户将无法登录远程访问 VPN。 安装热修补程序后阻止了存在漏洞的本地帐户 思科 VPN 设备也成为严重攻击目标 Check Point是近几个月来第二家警告其VPN设备成为持续攻击目标的公司。 今年 4 月，思科也警告说，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭据暴力攻击非常普遍。 这种攻击最早始于今年 3 月 18 日左右，攻击源于 TOR 出口节点，并使用其他各种匿名工具和代理服务器来躲避拦截。 一个月前，思科发现了一波针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备的密码喷射攻击，这可能是该攻击行动的第一阶段侦察活动。 安全研究员 Aaron Martin 认为此类活动于此前的 “Brutus “恶意软件僵尸网络有所关联。据悉，该僵尸网络控制着云服务和住宅网络中至少 20000 个 IP 地址。 上个月，该公司还披露，UAT4356（又名 STORM-1849）黑客组织至少从 2023 年 11 月起就一直在利用思科自适应安全设备（ASA）和火力威胁防御（FTD）防火墙中的零日漏洞，用以入侵世界各地的政府网络，这种攻击活动被称为 ArcaneDoor 的网络间谍活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402032.html 封面来源于网络，如有侵权请联系删除

最近披露的致命性黑客攻击为包括特斯拉和百度在内的自动驾驶厂商敲响了警钟。 4月底特斯拉CEO马斯克来华推动FSD自动驾驶在中国的落地，特斯拉也顺利成为首个通过全部4项中国汽车数据安全合规要求的外资车企。 FSD本身的“进化“也非常顺利。特斯拉表示，2024年第一季度特斯拉FSD真实路况总里程已达12.5亿英里（约20亿公里），有望在5月底达到20亿英里，并在一年之内达到60亿英里总量（马斯克曾表示60亿英里是FSD系统实现质变的一个重要节点）。 黑客攻击可导致致命车祸 近日，对FSD安全性信心十足马斯克遭遇当头一棒，特斯拉自动驾驶系统FSD（以及类似的基于视觉传感器方案的自动驾驶技术，例如百度Apollo项目）正面临一个全新的威胁。 新加坡安全研究人员发现了一种新的攻击方法，可以利用自动驾驶汽车摄像头传感器的弱点来欺骗汽车，甚至人为制造致命车祸（例如在停车让行路口让汽车冲上主路）。避免该攻击可能需要厂商更换自动驾驶视觉方案中的硬件组件。 该方法代号GhostStripe（论文链接在文末），可以通过向道路交通标志投射特殊的光线图案来干扰自动驾驶汽车的摄像头，使其无法识别标志。研究人员表示，该方法对特斯拉和百度Apollo等使用CMOS摄像头的自动驾驶汽车特别有效。 攻击技术细节 GhostStripe属于针对机器学习技术的对抗性攻击，利用了CMOS摄像头卷帘快门的弱点。CMOS摄像头逐行捕捉图像，这意味着图像的不同部分可能由不同光照条件下的传感器像素拍摄。研究人员利用这一点，向交通标志投射快速闪烁的不同颜色光线。由于每个像素接收的光线颜色不同，因此最终图像将出现奇怪的条纹图案（下图）： 结果是相机捕捉到的交通标识图像布满了与预期不匹配的线条，导致这些图片被裁剪并发送到汽车自动驾驶软件中的分类器（通常基于深度神经网络）进行分析时，分类器不会将该图像识别为交通标志，因此车辆不会对其进行操作（从而可能酿成重大车祸）。 GhostStripe攻击有两种版本： GhostStripe1：无需物理访问汽车。采用跟踪系统来监控目标车辆的实时位置，并相应地动态调整LED闪烁，以确保标志无法被正确读取。 GhostStripe2：需要物理访问汽车，在摄像机的电源线上放置一个传感器来检测取景时刻并完善定时控制以实现近乎完美的攻击。 攻击成功率超过九成 研究团队在配备Leopard Imaging AR023ZWDR（百度Apollo硬件参考设计中使用的相机）的真实道路和汽车上测试了GhostStripe攻击，发现其对停止、限速和让行标志的有效率分别为94%（第一种攻击方法）和97%（第二种攻击方法）。 值得注意的是，强光环境会降低攻击的成功率，因为攻击光被环境光淹没了。研究团队表示，不法分子在计划实施此类攻击时需要仔细挑选时间和地点。 缓解措施 研究者表示，自动驾驶汽车制造商可以采取以下措施来缓解GhostStripe攻击： 使用全局快门摄像头而不是卷帘快门摄像头。 随机化摄像头曝光时间（随机线扫描）。 采用更多摄像头交叉验证。 在自动驾驶汽车的AI系统中加入对抗训练，使其能够识别和抵御GhostStripe攻击。 点评：合规并不代表安全 GhostStripe攻击突显了（全）自动驾驶汽车面临的安全威胁的复杂性和不确定性，这并不是马斯克的“60亿英里“自动驾驶里程能够一劳永逸解决的问题。自动驾驶技术也许能够超越平庸的司机，但同时也增加了复杂的数字攻击面。 GhostStripe可用于发起致命攻击，而这只是自动驾驶技术面临的黑客攻击的冰山一角。数据安全合规并不代表网络安全合规，网络安全合规并不代表“产品安全”，汽车行业需要与网络安全行业深度合作，通过全面、持续、深入的”渗透测试“和安全加固，才能打造出真正安全可靠的自动驾驶技术。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16341.html 封面来源于网络，如有侵权请联系删除

亲俄罗斯黑客针对科索沃政府网站，包括总统和总理的网站，进行了 DDoS 攻击。这些攻击是对科索沃向乌克兰提供军事装备支持的报复。国防部长埃尤普·马克东奇声称，俄罗斯黑客对科索沃发动了网络攻击，以报复他在波兰举行的国防 24 小时会议上支持乌克兰的言论。 这些攻击造成了暂时的中断，但政府信息社会局恢复了网站。总理阿尔宾·库尔蒂告诉当地媒体，这次袭击是一场混合战争的一部分，旨在破坏科索沃的安全、稳定和福利机构。 “我们从相关机构获悉，部分政府网站已成为DDoS攻击的目标。在短时间内，这些网站无法运行。”政府发言人告诉《巴尔干洞察》报。 “这次攻击是俄罗斯黑客发起的，目的是为了报复我们向乌克兰提供军事装备的支持。” 继科索沃宣布支持乌克兰防御俄罗斯侵略后，外交部长多尼卡·热瓦拉·施瓦茨周二宣布，科索沃正遭受俄罗斯的混合攻击。 俄罗斯和亲俄罗斯团体过去曾针对多个表示支持乌克兰的欧洲政府。 北约和欧盟本月初谴责与俄罗斯有关的威胁组织 APT28  （又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 德国联邦政府以最强烈的措辞谴责APT28组织针对德国社会民主党执行委员会进行的长期间谍活动。 2024 年 3 月，摩尔多瓦国家情报机构在即将举行的选举之前警告称，俄罗斯可能会发动混合攻击。自俄乌战争爆发以来，亲俄罗斯黑客组织由于摩尔多瓦对基辅的支持而袭击了该国。 亲俄罗斯组织Killnet组织对表示支持乌克兰的政府发起了多次 DDoS 攻击，其中包括摩尔多瓦、意大利、罗马尼亚、捷克、 立陶宛、挪威和拉脱维亚。 2022 年 10 月，另一波攻击针对摩尔多瓦数十家机构，进行了分布式拒绝服务 (DDoS) 攻击。 2023 年 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国组织，包括政府实体、企业、大学、以及研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dfPY5YA5GYjthaK3yE2g8Q 封面来源于网络，如有侵权请联系删除 

据 Google 旗下的 Mandiant 安全团队报道，伊朗网络间谍组织 APT42 在最近针对非政府组织、政府和政府间组织的攻击中一直使用两个新的后门。 APT42 也被追踪为 Calanque 和 UNC788，至少自 2015 年以来一直活跃，据信它代表伊斯兰革命卫队 (IRGC) 运作，该组织是伊朗情报机构的一部分。 据观察，该组织以西方和中东国家的学术界、活动人士、法律服务机构、媒体组织和非政府组织为目标，通常依靠社会工程计划，冒充记者和活动组织者来获取受害者的信任。 APT42 使用从受害者那里获取的凭据来访问云环境并窃取感兴趣的数据，并依靠开源工具和内置功能来避免检测。 通过深入研究该组织的活动，Mandian 发现了三个基础设施集群，这些基础设施用于针对政府部门、记者、非政府组织和活动人士的广泛凭证收集活动。 第一个集群伪装成媒体组织和非政府组织，自 2021 年以来一直活跃，其目标是记者、地缘政治实体和研究人员，其虚假新闻文章的链接被重定向到 Google 登录网络钓鱼页面。 第二个集群自 2019 年以来一直活跃，冒充合法服务，以研究人员、记者、非政府组织和活动人士为目标，提供活动邀请或托管在云基础设施上的合法文档，要求用户提供登录凭据。 第三个集群自 2022 年以来一直活跃，冒充非政府组织、Bitly URL 缩短服务和“Mailer Daemon”，目标是与美国和以色列的学术、国防和外交问题相关的实体，并提供邀请函和合法文件的链接。 此外，在 2022 年和 2023 年，APT42 在获取受害者凭据并通过推送通知绕过多重身份验证 (MFA) 后，从美国和英国的法律服务实体和非政府组织的 Microsoft 365 环境中窃取了感兴趣的文档。 在最近的攻击中，网络间谍组织部署了 Nicecurl 和 Tamecat 定制后门，针对与伊朗和中东问题相关的非政府组织、政府或政府间组织进行攻击。 Nicecurl 用 VBScript 编写，可以在受感染的计算机上放置其他模块，包括一个用于数据收集的模块和另一个用于执行任意命令的模块。2024 年 1 月和 2 月，APT42 冒充中东研究所和美国智库传播后门。 Tamecat 是一种能够执行 PowerShell 和 C# 内容的 PowerShell 工具，通过带有恶意宏的文档进行分发。 “尽管以色列与哈马斯的战争导致其他与伊朗有联系的行为体通过进行破坏性、破坏性和黑客泄露活动来适应，但 APT42 仍然相对专注于情报收集和针对类似的受害者。除了在受感染的设备上部署定制植入程序之外，APT42 还被观察到进行广泛的云操作。”Mandiant 指出。 该网络安全公司还指出，APT42 的一些活动与臭名昭著的伊朗黑客组织Charming Kitten的活动重叠，该组织也被追踪为 Mint Sandstorm、Phosphorus、 TA453、ITG18 和 Yellow Garuda。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/SMTPjISIpdBnctK3uglzuA 封面来源于网络，如有侵权请联系删除

根据乌克兰计算机应急响应团队（CERT-UA）的报告，俄罗斯黑客组织 “沙虫 “（Sandworm）旨在破坏乌克兰约 20 家关键基础设施的运行。 该黑客组织也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44 ，据信与俄罗斯武装部队总参谋部主管部门（GRU）有关，主要针对各种目标进行网络间谍活动和破坏性攻击。 CERT-UA 的报告称，2024 年 3 月，APT44 破坏了乌克兰 10 个地区的能源、水务、供暖供应商的信息和通信系统。 在某些情况下，Sandworm 会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。 另外，该组织还结合了之前用过的恶意软件和新的恶意工具（比如BIASBOAT和LOADGRIP）来获取系统访问权限，在网络中横向移动。 CERT-UA 专家已确认至少有三条 “供应链 “遭到破坏，这导致最初未经授权的访问。这种访问要么与安装含有后门和漏洞的软件有关，要么是由于供应商员工通常具备访问组织工控系统进行维护和技术支持的权限。 乌克兰机构指出，Sandworm 的入侵行为得以简化，部分原因是目标的网络安全实践较差（例如缺乏网络分段以及软件供应商防御措施不足）。 自 2024 年 3 月 7 日至 3 月 15 日，CERT-UA 进行了大规模的反网络攻击行动，包括通知受影响企业、清除恶意软件和加强安全措施。 对受影响实体的日志进行调查后发现，Sandworm 主要依靠以下恶意软件对乌克兰公共事业供应商进行攻击： QUEUESEED/IcyWell/Kapeka：这是一个针对 Windows 的 C++ 后门，用于收集基本系统信息并执行来自远程服务器的命令。它可以处理文件操作、命令执行和配置更新，并能自行删除。通信通过 HTTPS 进行安全传输，数据使用 RSA 和 AES 加密。它通过在 Windows 注册表中加密其配置并设置任务或注册表项以实现自动执行，从而在感染的系统上存储数据并保持持久性。 BIASBOAT（新）：最近出现的 QUEUESEED Linux 变种。它伪装成加密文件服务器，与 LOADGRIP 同时运行。 LOADGRIP（新）：也是用 C 语言开发的 QUEUESEED Linux 变种，用于使用 ptrace API 向进程注入有效负载。有效负载通常是加密的，解密密钥来自一个常量和一个特定机器 ID。 GOSSIPFLOW：在 Windows 上使用基于 Go 的恶意软件，利用 Yamux 多路复用器库建立隧道；它提供 SOCKS5 代理功能，帮助外泄数据并确保与命令和控制服务器的通信安全 CERT-UA 在调查期间发现的其他恶意工具来自开源空间，包括 Weevly webshell、Regeorg.Neo、Pitvotnacci 和 Chisel 隧道程序、LibProcessHider、JuicyPotatoNG 和 RottenPotatoNG。黑客组织利用这些工具来维持攻击持久性、隐藏恶意进程，并提升他们在被入侵系统上的权限。 乌克兰机构认为，这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398980.html 封面来源于网络，如有侵权请联系删除

最新微软报告显示，与朝鲜有关的黑客组织开始应用人工智能技术，提高其网络行动的效率和效果。 报告指出，这些黑客正在学习利用基于大语言模型（LLM）的 AI 工具，增强网络攻击活动的成效。 “他们利用这些工具来加强针对朝鲜半岛问题专家的鱼叉式网络钓鱼活动，这一手法不断明智且高效。” 微软在报告中指出。微软特别提到了一个名为 Emerald Sleet（亦称为Kimusky或TA427）的黑客组织，观察到其使用 LLM 技术帮助提升针对朝鲜半岛专家的网络钓鱼攻击力度。 该报告还提到，这些黑客利用 AI 技术的最新进展来研究安全漏洞，并对专注于研究朝鲜问题的组织和专家进行侦查。 此外，微软表示它们还运用了 LLMs 来解决技术难题、执行基础脚本任务和撰写网络钓鱼邮件内容，并和 OpenAI 合作封禁了相关的威胁账户和资产。 根据研究人员发布的报告显示，Kimusky 利用看似友好的对话开始方式，与目标展开长期的沟通，以获取重要信息。 Kimusky 的常见手法是使用与智库和非政府组织相关的身份来使其恶意邮件看起来更加合法，提高了攻击的成功率。 近月来，这个国家支持的黑客组织还开始滥用宽松的基于域的消息认证体系（DMARC），通过伪装各种身份和植入网页信标（即追踪像素），以便绘制目标人物的概况，显示出它们对策略调整具有的敏捷性。 “这些网页信标主要用于最初的侦察工作，验证目标邮箱是否有效，同时收集关于收件人网络环境的一些基本信息，比如外部可见的 IP 地址、用户的浏览器类型，以及他们打开邮件的时间。”报告中说。 这一事态发展正值朝鲜黑客组织继续从事加密货币抢劫和供应链攻击之际，一名被称为 Jade Sleet 的威胁者与2023 年 6 月从爱沙尼亚一家加密公司盗窃至少 3500 万美元以及从一家加密货币公司盗窃超过 1.25 亿美元有关。一个月后，新加坡的加密货币平台出现了。 Jade Sleet，与其他被跟踪的黑客团伙 TraderTraitor 和 UNC4899 有重叠，也在 2023 年 8 月对在线加密货币赌场发动攻击，并使用假冒的 GitHub 仓库和恶意 npm 包来选择性攻击加密货币和科技企业的员工。 在 2023 年 8 月，一个位于德国的 IT 公司遭到了名为 Diamond Sleet（别名Lazarus Group）的黑客组织的侵害，然后在 11 月通过对台湾一家 IT 公司的软件进行供应链攻击。 微软威胁分析中心（MTAC）的负责人Clint Watts表示：“这样做主要是为了为该国的武器计划筹集资金，同时也为了收集有关美国、韩国和日本的情报。”Lazarus Group 还以使用复杂方法而著称，比如在 Windows 系统中利用 Phantom DLL 劫持技巧以及在 macOS 系统中操纵透明度、许可和控制（TCC）数据库，这些手法进一步展示了其狡猾和难以捉摸的特性，据安全公司Interpres Security的分析。 这些发现发生在 Konni（又名Vedalia）组织使用 Windows 快捷方式（LNK）文件传播恶意软件的背景下。赛门铁克公司提到：“该黑客组织利用双重扩展名技巧隐藏真正的.lnk扩展名，并且在 LNK 文件中填充了大量的空白字符，以掩盖恶意指令行。在攻击过程中，这些命令行脚本会努力检测 PowerShell 以逃避侦测，并寻找潜藏在文件中的恶意载荷。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCr2neSRqn6JIXJAcT72KA 封面来源于网络，如有侵权请联系删除