近日，黑客组织 FIN7 针对美国一家大型汽车制造商的 IT 部门的员工发送了鱼叉式钓鱼邮件，并利用 Anunak 后门感染了该系统。 据黑莓公司的研究人员称，该攻击发生在去年年底，依赖于二进制文件、脚本和库（LoLBas）。黑客重点攻击了那些具有高级权限的员工，并通过链接到冒充合法的高级 IP 扫描器工具的恶意 URL 引诱他们“上钩”。 黑莓公司根据使用独特 PowerShell 脚本的情况，确信这些攻击是 FIN7 所为，这些脚本使用了对方标志性的 “PowerTrash “混淆 shellcode 调用器，这种方式最早曾在 2022 年的一次攻击活动中出现过。 之前FIN7 的目的是暴露 Veeam 备份和 Microsoft Exchange 服务器，同时在该企业的网络中部署 Black Basta 和 Clop 勒索软件。 FIN7使用鱼叉式网络钓鱼电子邮件发起攻击 FIN7 向美国某大型汽车制造商 IT 部门的多位高权限员工发送了鱼叉式网络钓鱼电子邮件。邮件中包含 “advanced-ip-sccanner[.]com”链接，但事实上这其实是个虚假的 “advanced-ip-scanner.com “合法扫描仪项目。 研究人员发现，假冒网站会重定向到 “myipscanner[.]com”（现已下线）。访问者接下来会被带到一个提供恶意可执行文件（’WsTaskLoad.exe’）的 Dropbox 页面，该文件伪装成 Advanced IP Scanner 的合法安装程序。 该文件一旦被执行，就会触发一个涉及 DLL、WAV 文件和 shellcode 执行的多阶段进程，从而加载并解密一个名为 “dmxl.bin “的文件，其中包含 Anunak 后门有效载荷。 Anunak/Carbanak 是 FIN7 常用的恶意软件工具，其他常用的还有 Loadout、Griffon、PowerPlant 和 Diceloader。 同时，WsTaskLoad.exe 安装了 OpenSSH 以实现持久访问，并创建了一个计划任务。FIN7 以前也曾使用 OpenSSH 进行横向移动，但黑莓公司称在他们分析的活动中没有发现这种情况。 研究人员没有透露受害组织的名称，他们仅将其描述为 “一家位于美国的大型跨国汽车制造商”。FIN7 自 2013 年开始出现，但只是在过去几年才转向更大的目标，典型的最终有效载荷是勒索软件。在勒索软件的背景下，转而攻击更大的组织是合理的，因为它们可以支付更大的赎金。 黑莓公司表示，FIN7 的攻击未能扩散到最初感染的系统之外，而是进入了横向移动阶段。建议该企业适当给员工提供有关网络钓鱼的安全培训，降低安全风险。 同时，应在所有用户账户上实施多因素身份验证（MFA），即使攻击者成功窃取了访问凭证，也很难访问员工的账户。此外，使用强大、唯一的密码，保持所有软件更新，监控网络可疑行为，添加高级电子邮件过滤解决方案等基础防御措施也有助于防范各类攻击。 网络钓鱼数量激增且花样百出 Egress 的最新报告提到，在众多网络安全问题中，网络钓鱼攻击正大行其道。尤其是冒充攻击普遍存在，其中有 77% 会伪装成知名平台进行诈骗攻击，特别是 DocuSign 和 Microsoft 。社会工程策略愈演愈烈，占网络钓鱼攻击的 16.8%，而网络钓鱼电子邮件的长度自 2021 年以来增长了三倍，这可能归因于生成式 AI 的使用。 多渠道攻击利用了工作消息传递应用程序的流行，特别是Microsoft Teams和Slack。总的来说，这些应用程序占此类攻击第二步的一半。与上一季度相比，仅 Microsoft Teams 在 2024 年就大幅增长了 104.4%。 如今快速发展的人工智能也成为网络犯罪的有力工具，渗透到攻击的各个阶段。该报告预测，在视频和音频格式中使用深度伪造将激增，从而放大了网络攻击的复杂性。 尽管技术取得了进步，但安全电子邮件网关 （SEG） 仍然落后，到 2024 年初，逃避检测的攻击增加了 52.2%。这凸显了在面对不断变化的威胁时采取适应性网络安全措施的必要性。 据统计，千禧一代成为了网络犯罪分子的主要目标，37.5%的网络钓鱼电子邮件将他们视为了攻击目标。这种情况在金融、法律和医疗保健等领域尤为明显。同时，社工攻击策略也在不断变化，比如围绕情人节等事件的个性化定制攻击，这也进一步凸显了网络威胁的演变。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398441.html 封面来源于网络，如有侵权请联系删除

谷歌旗下云安全公司 Mandiant 本周三发布调查报告，揭开了俄罗斯顶级黑客组织“沙虫”（Sandworm）的神秘面纱，并将其正式命名（升级）为 APT44。 “沙虫”是俄罗斯最知名的黑客组织之一，因开发和部署 BlackEnergy 和 Industroyer 等破坏力极强的工控系统恶意软件而名声大噪，被看作是最危险的关键基础设施攻击者。其主要行动包括间谍活动、破坏关键基础设施及传播虚假信息。 “沙虫”被正式命名为 APT44 俄乌战争爆发以来，“沙虫”成为俄罗斯网络战的主力军之一，对乌克兰的国家电网、电信网络和新闻媒体等关键基础设施实施沉重打击，主要攻击方式是使用数据擦除程序结合其他攻击策略，其攻击行动通常与俄罗斯军事行动同步进行。 此前，安全业界普遍认为“沙虫”与 APT28 (FancyBear)是同一组织，隶属于 GRU 军事情报局的信息作战部队(VIO)，但 Mandiant 公司认为沙虫是隶属于 VIO 的另外一个组织（俄罗斯武装部队总参谋部主要特种技术中心 GTsST74455 部队），并决定将“沙虫”正式命名为 APT44（下图）： Mandiant 的新报告揭示，APT44 一直使用多个黑客活动者 (hacktivist) 在线身份，主要有三个（下图）：“俄罗斯网络军团重组”(CARR)、“XAKNET”和“Solntsepek”。其中 CARR 因声称能攻击和操纵美国和欧盟的关键基础设施运营技术(OT)资产备受关注。 攻击美国和欧盟国家的水利设施 今年1月份，CARR 在 Youtube 发布视频，证明他们能够操纵波兰和美国的水务设施的人机界面 (HMI)。3月份，CARR 又发布了一个视频，声称通过操纵水位导致法国一座水力发电站停工。 虽然 CARR 的说法无法得到证实，但公开信息表明，黑客可能确实给上述基础设施造成了一些破坏。 报告指出，CARR 在 Telegram 频道上声称针对美国发动攻击大约两周后，当地一位官员公开确认了一个“系统故障”，导致其中一个黑客声称为攻击目标的设施水箱溢出。据报道，此事件是美国多地水基础设施系统遭遇的一系列网络攻击事件的一部分，这些攻击的切入点都是“用于远程访问水处理系统的供应商软件”。 除 CARR 主动披露的攻击外，Mandiant 的报告还首次将 APT44 与一系列攻击和行动联系起来。 例如，自2023年4月以来，APT44 就一直为提供俄罗斯军队提供前线部署的基础设施，用来窃取战场上缴获的移动设备中加密的 Signal 和 Telegram 消息。 APT44 还实施了一次使用擦除程序的供应链攻击。Mandiant 表示：“最近的一个案例显示，沙虫通过入侵一家软件开发商，控制了东欧和中亚的关键基础设施网络，然后向受害者组织部署了擦除程序恶意软件。” 从网络战转向舆论战 值得注意的是，2024 年 APT44 正在将更多注意力从网络战转向舆论战，其主要目标是影响全球政治大选结果、情报收集和媒体舆论控制，改变外界对俄罗斯黑客组织和 GRU 网络能力的看法。例如近期针对荷兰调查性新闻组织 Bellingcat 和其他类似实体的攻击首次被归咎于 APT44。 Mandiant 的报告详细介绍了 APT44 武器库中种类繁多的恶意软件、网络钓鱼活动以及漏洞利用（ APT44 用这些工具来实现目标网络内的初始访问和持续操作），并列举了 2024 年该组织的最新趋势和重点活动： APT44 继续以北约国家的选举系统为目标，利用涉及泄露敏感信息和部署恶意软件的网络行动来影响选举结果。 APT44 更加注重情报收集，以支持俄罗斯的军事优势，包括从战场上捕获的移动设备中提取数据。 APT44 针对全球邮件服务器进行广泛的凭据盗窃，旨在保持对高价值网络的访问以进行进一步的恶意活动。 APT44 开始攻击调查俄罗斯政府活动的记者和新闻组织 Bellingcat。 今年年初以来，APT44 对北约国家的关键基础设施开展了一系列网络攻击行动，部署破坏性恶意软件，以表达政治不满或报复。 APT44 的活动仍然集中在乌克兰，持续开展破坏和收集情报的行动，支持俄罗斯在该地区的军事和政治目标。 Mandiant 警告说，根据 APT44 的活动模式，该组织很有可能试图干扰包括美国在内的各国即将举行的全国选举和其他重大政治事件。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16177.html 封面来源于网络，如有侵权请联系删除

这位臭名昭著的黑客以“IntelBroker”为别名，声称已经攻破了位于迈阿密的地理空间情报公司 Space-Eyes 的网络基础设施。IntelBroker 在 Breach Forums 上发布的消息中吹嘘他的入侵速度很快，只需要“大约 10-15 分钟”即可访问敏感数据。 据 Space-Eyes 网站称，它专门服务于政府机构和组织，包括司法部、国土安全部、美国武装部队的各个部门以及国家地理空间情报局 (NGA) 等重要情报机构。如果所指控的违规行为属实，将对美国国家安全产生重大影响。 根据 IntelBroker 的说法，被盗数据包括“有关 Space-Eyes 在美国政府内部为国家安全提供的服务的高度机密文件”。这些数据的深度和特征极其敏感，包含有关美国国家安全的机密讨论、通信和简介，以及被拒绝进入美国或根据美国法律进行隔离的个人和船只。   转自安全客，原文链接：https://www.anquanke.com/post/id/295641 封面来源于网络，如有侵权请联系删除

乌克兰黑客声称攻破了俄罗斯无人机开发商Albatross，泄露了100GB 数据，包括内部文档、技术数据和各类无人机图纸。 一个自称为“网络抵抗”的组织表示，它与国际志愿者社区 InformNapalm 分享了这些文件，该社区根据数据泄露进行调查。 InformNapalm 周一发布了一份分析 Albatross 数据的报告。黑客表示，并非所有获得的数据都包含在报告中，其中一些信息无法披露，因为乌克兰军方“已经使用了几个月”。 “我们只会与那些能够有效使用这些信息的人分享这些信息，”网络抵抗组织在其 Telegram 频道上写道。 Recorded Future News 无法立即证实这一说法或验证泄露数据的真实性。目前尚不清楚黑客的所在地，但他们用乌克兰语公开交流。 8 月初，该组织与 InformNapalm 合作，根据一名涉嫌参与洗钱和逃避制裁计划的俄罗斯高级政客泄露的电子邮件进行调查。 Albatross泄露 InformNapalm 在其分析中表示，俄罗斯无人机开发商 Albatross 泄露的文件证实了之前关于该公司参与开发伊朗设计的 Shahed 无人机的调查结果，俄罗斯在正在进行的战争期间对乌克兰部署了这些无人机。 去年，英国《金融时报》报道称，俄罗斯秘密与伊朗合作，将其农业无人机开发商Albatross转变为军用无人机制造商。该公司去年12月遭到美国制裁。 InformNapalm 还声称，网络抵抗泄露事件揭示了有关 Albatross 行动的最新细节，例如参与组装俄罗斯制造的伊朗无人机的人员身份，以及对俄罗斯经济特区阿拉布加（据称是伊朗的枢纽）运作的深入了解。 InformNapalm 调查包含涉嫌与 Albatross 行动有关的泄露文件、地图和照片的屏幕截图。 这并不是亲乌克兰黑客第一次声称入侵俄罗斯无人机制造商。 2 月初，名为白俄罗斯网络游击队 (Belarusian Cyber Partisans)的黑客组织表示，他们获得了另一家俄罗斯无人机开发商 Orlan 的内部信件、员工数据以及军事训练场地的位置。黑客声称他们将这些数据交给了乌克兰情报部门，但乌克兰情报部门拒绝对此发表评论。 乌克兰网络安全官员此前承认，他们在网络攻击期间获得的情报有助于武装部队的地面行动。有时他们认为是当地黑客窃取了这些数据。 关于网络抵抗组织的运作方式及其与政府的联系，人们知之甚少。该组织自称为“黑客行动团队”，并声称自 2014 年以来一直与 InformNapalm 以及乌克兰安全部队合作。该组织经常在其拥有 10,000 名粉丝的 Telegram 频道上发布针对其黑客行为的调查结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/295650 封面来源于网络，如有侵权请联系删除

网络安全供应商 Cisco Duo 警告，黑客闯入了一家用于发送 Duo MFA SMS 消息的身份不明的电话供应商，并窃取了可用于下游攻击的日志数据。 据思科数据隐私和事件响应团队的客户通知，此次泄露暴露了电话号码、电话运营商、元数据和其他可能导致网络钓鱼和社会工程攻击的日志。 思科警告道： “我们从[未透露姓名的电话提供商]了解到，黑客于 2024 年 4 月 1 日使用提供商员工的凭据获得了对该提供商内部系统的访问权限，该黑客通过网络钓鱼攻击非法获得了该凭据，并利用该访问权限下载一组与您的 Duo 帐户相关的 MFA 短信日志。” “更具体地说，黑客下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给您 Duo 帐户下的某些用户的 SMS 消息的消息日志。消息日志不包含任何消息内容，但包含电话号码，每条消息发送到的电话运营商、国家和州，以及其他元数据（例如消息的日期和时间、消息类型等）。” 据思科称，被入侵的电话提供商确认黑客没有下载或以其他方式访问任何消息的内容，也没有利用其访问权限向消息日志中包含的任何号码发送任何消息。 思科表示，拥有受影响 Duo 帐户的客户可以根据要求获得被盗消息日志的副本。 “由于黑客通过对提供商的社会工程攻击获得了对消息日志的访问权限，因此请立即通知电话号码在消息日志中受影响的用户此事件”，思科补充说：“我们要提醒他们保持警惕，并向相关事件响应团队或其他指定的此类事件联系人报告任何可疑的社会工程攻击。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295665 封面来源于网络，如有侵权请联系删除

隶属于乌克兰情报部门的黑客组织 Blackjack 声称已经关闭了莫斯科的污水网络系统。 黑客声称，Moskollector（一家为莫斯科污水网络运营通信系统的公司）遭受大规模网络攻击后，所有 87,000 个传感器和控制装置均被禁用，包括机场、地铁和天然气管道。 这让公用事业公司无法响应事故和紧急事件。 其他损害包括删除了所有服务器、邮件、30TB 数据（包括备份驱动器和大多数工作站）、所有路由器恢复出厂设置、所有钥匙卡失效、SIM 卡禁用等。 黑客甚至声称使用恶意软件 Fuxnet 永久损坏了一些物理设备，他们将其描述为“类固醇震网（Stuxnet on steroids）”。他们通过 NAND/SSD 耗尽以及在固件中引入错误的 CRC（循环冗余校验 – 错误检测代码）来降低传感设备的性能。 “大约 1,700 个传感器路由器被毁。中央指挥调度器和数据库已被摧毁。 87,000 个传感器都处于离线状态。”黑客说道，并分享了他们的大量活动截图。 有一段时间，该公司所属的网页 moscollector.ru 和社交媒体账户也遭到污损。 正如liga.net首先报道的那样，恢复系统功能可能需要两周到一个月的时间。 在撰写本文时，Moskollector 的网站已启动运行。损害的真实程度尚且未知。 几天前，同一乌克兰黑客摧毁了俄罗斯军事、能源和电信行业使用的数据中心。   转自安全客，原文链接：https://www.anquanke.com/post/id/295566 封面来源于网络，如有侵权请联系删除

美国网络安全机构 CISA 周四发布了一项紧急指令，要求所有联邦机构立即寻找已知的俄罗斯 APT 的迹象，该 APT 闯入微软公司网络并窃取美国政府机构的敏感信件。 该指令是在微软披露了令人尴尬的黑客攻击事件并确认“Midnight Blizzard（午夜暴雪）”攻击者还窃取了源代码并且可能仍在其内部计算机系统中进行攻击之后不到三个月的时候发布的。 根据CISA 指令，联邦机构必须立即“分析被窃取的电子邮件的内容，重置受损的凭据，并采取额外措施确保特权 Microsoft Azure 帐户的身份验证工具的安全。” CISA 表示：“Midnight Blizzard 成功入侵了 Microsoft 公司电子邮件帐户，并泄露了各机构与 Microsoft 之间的通信，这给各机构带来了严重且不可接受的风险。” 该机构警告说，俄罗斯政府支持的黑客正在利用最初从企业电子邮件系统窃取的信息（包括微软客户和微软通过电子邮件共享的身份验证详细信息）来获得或试图获得对微软客户系统的额外访问权限。 该机构表示，它与全球最大的软件制造商合作，通知所有与微软的电子邮件通信被确定被Midnight Blizzard黑客组织入侵的联邦机构。 CISA 表示：“此外，微软已向 CISA 表示，对于部分受影响的机构，其泄露的电子邮件包含凭据或密码等身份验证机密，微软将向这些机构提供此类电子邮件的元数据。” 该机构表示，微软还同意应国家网络调查联合工作组 (NCIJTF) 的要求，提供所有被窃取的联邦机构信件的元数据，无论是否存在身份验证秘密，该工作组是本次事件的单一联邦联络点。 今年早些时候，微软表示，专业黑客团队使用密码喷射攻击入侵了一个遗留的非生产测试租户帐户并获得立足点，然后利用该帐户的权限访问了极小比例的微软企业电子邮件帐户。 “他们窃取了一些电子邮件和附加文件，”微软在向美国证券交易委员会（SEC）提交的文件中表示。该公司表示，其安全团队于 2024 年 1 月 12 日检测到黑客对我们公司系统的攻击，并将感染追溯到 2023 年 11 月。 CSRB 报告称：“微软的安全文化不够充分，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的中心地位以及客户对公司保护其数据和运营的信任程度。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/NvHSDzCgQiVS1clATCMt8A 封面来源于网络，如有侵权请联系删除

安全内参4月11日消息，一家名为Ph1ns的黑客组织宣布，对菲律宾科技部（科学和技术部，DOST）的服务器进行了毁灭性攻击，这在菲律宾网络社区引发了热议。 该组织声称，已经获得对虚拟机管理器、网络附加存储（NAS）和路由器等关键基础设施的访问权限，甚至获取了域管理员权限，从而能够无限制地访问员工的计算机。雪上加霜的是，他们还夸耀称加密了域控制器，有效地封锁了授权用户的访问。 菲律宾信息和通信技术部（DICT）的消息人士透露，黑客删除了25TB数据，造成一片混乱。然而，这些入侵者不仅仅删除了数据。Ph1ns组织在受到威胁的服务器上留下了这样的信息：“这个网站被菲律宾人民夺取了！” 菲律宾信息和通信技术部基础设施管理、网络安全和技能提升副秘书长Jeffrey Ian C. Dy表示：“我们报警系统在夜间10点左右检测到了对科技部的攻击。我们认识到需要改进国家网络安全运营中心（NSOC）的自动响应机制。目前，我们正在与科技部合作，尽快恢复他们的服务，并提高我们的检测和事件响应能力。我们还已经通知了我们在国家调查局（NBI）和安全机构的联系人，告知对方一个本地组织声称对此次攻击负责。” 网络攻击伴随政治目的，企图掀起反抗活动 Ph1ns组织的留言涉及社会政治议题，批评政治家族及其寡头盟友的权力影响，声称这些人并不能代表大多数人的利益。黑客指责这些精英人物操纵政治格局，推动他们的议程，而普通的菲律宾家庭在缺乏足够支持的情况下只能挣扎求存。 黑客的留言明确反对“报答政客的恩惠”（Utang na Loob），呼吁结束对寡头的长期偏爱，并强烈反对任何可能将经济权力进一步集中在富人手中的宪法修正案。 Ph1ns组织在留言中以#opEDSA作为签名，显然是在向1986年历史性的人民力量革命致敬。Ph1ns组织邀请其他人加入他们的事业，利用网络武器反对他们眼中根深蒂固的腐败和不平等问题。这一行动呼吁不禁令人思考几个重要问题：当代社会中骇客主义起到什么作用？网络攻击作为反抗和活动主义工具的潜力如何？ Ph1ns组织还大胆地提供了一个电子邮件地址，ph1ns@proton.me，鼓励对他们的事业持同情态度的人们联系并加入这场数字圣战。 Ph1ns对菲律宾科技部服务器的渗透向大众发出警示，即使是看似非常安全的系统，在面对决心坚定的网络对手时也是脆弱的。这一事件还展现了政治动机的网络攻击的增长趋势，其中网络攻击被用作反抗和活动主义的工具，而不仅仅是出于间谍和财务利益。在菲律宾当局努力控制后果并加强网络安全措施的同时，关于骇客主义的伦理和有效性的争论仍在继续。   转自安全内参，原文链接：https://www.secrss.com/articles/65168 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，在3月的一起针对德国数十家机构网络钓鱼活动中，研究人员发现，攻击者使用的 PowerShell 脚本很有可能由人工智能辅助创建。 网络安全公司 Proofpoint 的研究人员将这次攻击归因于一个至少从 2017 年起就开始活跃、被追踪为 TA547 的攻击者，又名 Scully Spider，擅长利用各类恶意软件针对Windows和安卓系统。而此次攻击活动中使用的是一种名为“Rhadamanthys”的模块化窃取程序，能够搜集剪贴板、浏览器、cookie中的数据。 研究人员称， TA547 在此次攻击活动中冒充德国麦德龙，以发票为诱饵，欺骗了德国各行各业的数十家组织。 这些邮件包括一个用密码 “MAR26 “保护的 ZIP 压缩包，其中包含一个恶意快捷方式文件（.LNK），访问该快捷方式文件会触发 PowerShell 运行远程脚本，并在内存中执行恶意代码。 在分析加载 Rhadamanthys 的 PowerShell 脚本时，研究人员注意到脚本中包含一个哈希符号 (#)，后面是每个组件的特定注释，这在由真人创建的代码中并不常见。 研究人员指出，这是由ChatGPT、Gemini 或 CoPilot 等生成式人工智能所生成代码的典型特征。虽然他们不能绝对确定 PowerShell 代码来自大型语言模型（LLM）解决方案，但研究人员表示，脚本内容表明 TA547 有可能使用了生成式人工智能来编写或改写 PowerShell 脚本。 Proofpoint 威胁研究主管丹尼尔·布莱克福德（Daniel Blackford）告诉BleepingComputer，虽然开发人员很擅长编写代码，但他们的注释通常是隐晦的，而且存在语法错误。而这些疑似由 LLM 生成的 PowerShell 脚本注释缜密，语法无懈可击，几乎每一行代码都有一些相关注释。 此外，根据使用 LLM 生成代码的实验结果，研究人员已几乎相信TA547所用的代码就是使用此类技术生成。BleepingComputer 使用 ChatGPT-4 创建了一个类似的 PowerShell 脚本，输出的代码看起来与 Proofpoint 看到的代码相似，包括变量名和注释，这进一步表明该脚本很可能是由人工智能生成。 自 OpenAI 于 2022 年底发布 ChatGPT 以来，出于经济动机的攻击者一直在利用人工智能来创建定制化或本地化的网络钓鱼电子邮件、运行网络扫描以识别主机或网络上的漏洞，以及构建高度可信的网络钓鱼页面。但由于大多数大型语言学习模型都试图限制可能被用于恶意软件或恶意行为的输出，网络犯罪分子开始推出专门用于恶意目的的人工智能平台。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397597.html 封面来源于网络，如有侵权请联系删除

摩洛哥和西撒哈拉地区的人权活动人士成为新黑客组织的目标，攻击者利用网络钓鱼攻击诱骗受害者安装虚假 Android 应用程序，并为 Windows 用户提供凭据收集页面。 Cisco Talos 正在以Starry Addax 命名跟踪该活动集群，并将其描述为主要针对与阿拉伯撒哈拉国家 (SADR) 有关的活动分子。 技术报告全文：https://blog.talosintelligence.com/starry-addax/ Starry Addax 的基础设施 – ondroid[.]site 和 ondroid[.]store – 旨在针对 Android 和 Windows 用户，后者涉及伪装成流行社交媒体网站登录页面的虚假网站。 恶意应用程序的启动屏幕 Starry Addax 的基础设施 – ondroid[.]site 和 ondroid[.]store – 旨在针对 Android 和 Windows 用户，后者涉及伪装成流行社交媒体网站登录页面的虚假网站。 据信该黑客组织自 2024 年 1 月以来一直活跃，已知会向目标发送鱼叉式网络钓鱼电子邮件，敦促收件人安装撒哈拉新闻服务的移动应用程序或与该地区相关的诱饵。 根据发出请求的操作系统，目标要么会收到冒充 Sahara Press Service 的恶意 APK，要么会被重定向到社交媒体登录页面以获取其凭据。 这种名为 FlexStarling 的新型 Android 恶意软件用途广泛，能够提供额外的恶意软件组件并从受感染的设备中窃取敏感信息。 安装后，它会请求受害者授予其广泛的权限，允许恶意软件执行恶意操作，包括从基于 Firebase 的命令和控制 (C2) 获取要执行的命令。 Cisco Talos研究人员说：“像这样针对高价值个人的活动通常打算长时间潜伏在设备上。” “从恶意软件到操作基础设施的所有组件似乎都是针对这一特定活动定制的，这表明该活动非常注重隐藏活动。” 这一进展正值一种名为Oxycorat的新型商业 Android 远程访问木马 (RAT) 出现之际，该木马正在出售，具有多种信息收集功能。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ODcjJkoCdD4RaPiu8VQn9A 封面来源于网络，如有侵权请联系删除