臭名昭著的黑客组织 Earth Kapre（也称为 RedCurl 和 Red Wolf）一直利用武器化的ISO 和 IMG 文件瞄准全球各地的组织。 Earth Kapre 的业务遍及俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国。该组织通过包含 .iso 和 .img 文件形式的恶意附件的网络钓鱼电子邮件发起攻击。一旦收件人打开这些文件，恶意软件就会在系统中建立立足点，为数据盗窃和间谍活动创造条件。 恶意附件 执行后，这些附件会触发创建持久性计划任务，确保恶意软件在受感染的系统中保持活动状态。 此技术有助于未经授权收集敏感数据并将其传输到攻击者操作的命令和控制 (C&C) 服务器。 多重耐药调查 趋势科技托管扩展检测和响应 (MDR)和事件响应 (IR) 团队对涉及大量计算机被 Earth Kapre 下载程序感染的事件进行了彻底调查。观察到该恶意软件与其 C&C 服务器建立连接，暗示存在潜在的数据盗窃情况。 调查发现，使用Powershell.exe 和curl.exe 等合法工具来下载更多恶意负载，展示了 Earth Kapre 复杂的规避技术。Earth Kapre通过融入网络并逃避检测，利用程序兼容性助手 (pcalua.exe) 执行恶意命令行。 这种方法使该组织能够在雷达下运作，利用与合法系统工具相关的信任来开展其邪恶活动。 数据盗窃场景 调查揭露了Earth Kapre精心策划的复杂数据盗窃场景。 该小组使用Python 脚本建立出站通信并执行远程命令，表明使用 Impacket 库进行 Windows 网络协议交互。 Trend Vision One™ 执行配置文件显示使用“curl.exe”下载的 Earth Kapre 加载程序。 Earth Kapre 黑客组织的最新活动凸显了复杂的网络间谍活动所构成的持续而活跃的威胁。 Earth Kapre雷攻击链 通过利用带有武器化 ISO 和 IMG 文件的网络钓鱼电子邮件，该组织已证明其有能力渗透全球范围内的各种组织。使用合法工具进行恶意目的进一步凸显了该组织在逃避检测和实现其目标方面的独创性。   转自安全客，原文链接：https://www.anquanke.com/post/id/293818 封面来源于网络，如有侵权请联系删除

一个名为Magnet Goblin的出于经济动机的威胁行为者正在迅速将一日安全漏洞纳入其武器库，以便伺机破坏边缘设备和面向公众的服务，并在受感染的主机上部署恶意软件。 Check Point表示：“威胁组织 Magnet Goblin 的特点是能够迅速利用新披露的漏洞，特别是针对面向公众的服务器和边缘设备。” “在某些情况下，PoC发布后 1 天内就会部署漏洞，从而显着增加了该攻击者构成的威胁级别。” 对手发起的攻击利用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始感染媒介来获得未经授权的访问。据称该组织至少自 2022 年 1 月起就一直活跃。 成功利用此漏洞后，会部署一个名为 Nerbian RAT 的跨平台远程访问木马 (RAT)，该木马由 Proofpoint 于 2022 年 5 月首次披露，其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。 这两种病毒都允许执行从命令与控制 (C2) 服务器接收的任意命令，并泄露返回给它的结果。 Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 凭证窃取程序、基于 Go 的隧道软件 Ligolo，以及合法的远程桌面产品（例如 AnyDesk 和 ScreenConnect）。 该公司表示：“Magnet Goblin 的活动似乎是出于经济动机，很快就利用 1 天漏洞来传播他们的定制 Linux 恶意软件、Nerbian RAT 和 MiniNerbian。” “这些工具在雷达下运行，因为它们大多驻留在边缘设备上。这是威胁行为者瞄准迄今为止尚未受到保护的区域的持续趋势的一部分。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293818 封面来源于网络，如有侵权请联系删除

法国媒体报道称，多个政府部门已成为多次网络攻击的目标，总理办公室的消息人士表示，攻击强度“前所未有”。黑客组织“Anonymous Sudan(匿名苏丹)”声称对事件负责。 如此激烈，以至于总理办公室告诉国际新闻媒体法新社，“已经启动了一个危机小组来部署对策”，这有助于恢复大多数服务和国家网站。 法国总理工作人员告诉新闻媒体，法国网络安全机构（ANSSI）表示，“正在实施过滤措施，直到攻击结束”。 法国 BMF 电视台周一报道称，据其他政府消息来源称，连接 100 万公共部门代理和 14,000 个国家站点的国家部际网络 (RIE) 自周日以来已成为攻击目标。 与此同时，以分布式拒绝服务 (DDoS) 攻击而闻名的黑客组织 Anonymous Hundred 也声称参与了攻击活动。 黑客活动分子周一在他们的 Telegram 页面上发帖称，此次攻击是由“@InfraShutdown DDoS 基础设施”发起的。 “我们对法国数字事务部际理事会的基础设施进行了大规模网络攻击。”Anonymous Sudan（匿名苏丹）说。 该组织声称，目标“基础设施包括超过 17,000 个 IP 和设备以及超过 300 个域名，这些都已被强力摧毁。” “他们主办和组织了许多法国数字政府和组织部门，这意味着许多不同的数字政府部门都受到了影响，包括非常重要的网站及其各自的子域。由于核心数字政府端点受到打击，而且法国人非常了解细节，因此损害将是广泛的。”它说。 匿名苏丹，Telergam 上周，法国国防部长在 6 月欧盟议会选举和 7 月开始的 2024 年巴黎奥运会之前发布了针对网络攻击的警告。 此外，X 上的内部人士发布了有关此次攻击的信息，将其归因于法国总统埃马纽埃尔·马克龙威胁“向乌克兰部署法国军队，大规模网络攻击袭击了法国！”退休军官兼北约顾问 @CaptCoronado 表示。匿名苏丹过去因以北约及其成员国为目标而闻名。 “匿名苏丹”组织在 2023 年上半年对多个与北约相关的知名目标（包括以色列总理本杰明·内塔尼亚胡和神秘的摩萨德）多次发动分布式拒绝服务 (DDoS) 攻击，引起了轰动。 该组织通过多次单独的攻击无情地针对瑞典 SAS 航空公司。此后，该团伙与其他亲俄罗斯黑客组织KillNet和 UserSec 联手攻击北约，这三个组织同时发起 DDoS 攻击，使目标网站的流量不堪重负，基本导致其离线。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/R3N8LrlKujuRZsf3rkTOZA 封面来源于网络，如有侵权请联系删除

美国司法部已起诉伊朗公民阿里雷扎·沙菲·纳萨布 。据调查人员称，该男子多年来领导了一次大规模网络行动，影响了数十万个账户，旨在渗透美国国防承包商和政府机构的计算机系统。 根据起诉书，纳萨布及其同伙在一家虚构的网络安全公司 Mahak Rayan Afraz 的掩护下开展业务。他们利用网络钓鱼电子邮件、社交工程和定制开发的恶意软件，在 2016 年至 2021 年 4 月期间破坏了美国目标。 纽约南区联邦检察官达米安·威廉姆斯 (Damian Williams) 表示：“Nasab 参与了一场网络行动，其中超过 20 万台设备（其中许多包含敏感国防信息）因网络钓鱼和其他黑客技术而遭到破坏。” 纳萨布及其组织的主要目标是与五角大楼有关的组织，但一路上还有其他受害者。其中：会计师事务所、纽约酒店，以及国务院、美国财政部和一个不知名的外国。 虽然起诉书没有透露黑客是否成功渗透了政府机构，但美国国务院和美国财政部近年来已经遭到黑客攻击。 据司法部称，该组织成员还诉诸社会工程学，冒充女性“以获取受害者的信任”。 Mahak Rayan Afraz 的活动此前曾引起网络安全专家的关注。2021 年，Facebook* 对伊朗黑客组织Tortoiseshell “采取了行动” ，赛门铁克称该组织与 Mahak Rayan Afraz 有联系。据 Facebook 称，Tortoiseshell 使用的一些恶意软件也是由 Nasab 的同事开发的。值得注意的是，美国当局还将这起窃贼与伊斯兰革命卫队联系在一起。 纳萨布被指控共谋实施计算机欺诈、电信欺诈和身份盗窃。在最坏的情况下，他将面临最高 47 年的监禁。 然而，逮捕伊朗公民纳萨布可能并不是一件容易的事。他目前在国际通缉名单上。美国国务院悬赏 1000 万美元，寻找有助于确定他下落的信息。 负责国家安全的助理总检察长马修·奥尔森表示：“此案展示了伊朗的有害网络环境，犯罪分子可以完全自由地攻击国外的计算机系统并威胁敏感信息和关键的美国基础设施。” “我们的国家安全网络犯罪部门致力于破坏这些跨境黑客计划并将责任人绳之以法。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293746 封面来源于网络，如有侵权请联系删除

这些高度敏感的数据在 Breach 论坛上以门罗币 (XMR) 交易仅售 3,000 美元。 IntelBroker 黑客声称已经入侵了美国联邦承包商 Acuity，目前正在出售属于 ICE 和 USCIS 的数据——这一事件可能会暴露移民的敏感信息，并可能对国家安全产生影响。 臭名昭著的黑客IntelBroker声称对最近发生的一起数据泄露事件负责，据称该事件的目标是位于弗吉尼亚州雷斯顿的联邦承包商 Acuity Inc.。此次泄露导致美国两个著名政府实体的敏感数据和文件被盗：美国移民和海关执法局 (ICE) 以及美国公民和移民服务局 (USCIS)。 Acuity Inc . 是一家联邦技术咨询公司，总部位于弗吉尼亚州雷斯顿。他们为联邦机构，特别是那些专注于国家安全和公共安全的机构提供深厚的行业专业知识。 出售数据的说法出现在臭名昭著的网络犯罪和黑客论坛Breach Forums最近的一篇帖子中。Hackread.com 独家证实，被盗数据目前正在论坛上以仅 3,000 美元的门罗币 (XMR) 出售。 在违规论坛上发布违规消息后，IntelBroker 继续展示了涉嫌被盗数据的样本，据称其中包含超过 100,000 名受害者的个人和个人身份信息 (PII)。展示的记录包括： 全名 护照 出生日期 电话号码 电子邮件地址 物理地址 据黑客称，“一切都属于美国公民”，这意味着泄露的数据包含有关平民和政府特工的信息。 数据的敏感性 除了论坛上提供的信息外，Hackread.com 还深入了解了更多敏感数据，包括源代码、用户手册、机密对话以及 ICE 代理和承包商之间交换的反馈。这延伸到对调查技术的讨论，例如五眼联盟所使用的调查技术、乌克兰和俄罗斯冲突、全球恐怖主义相关研讨会的信息等。 此外，涉嫌泄露的数据包括 .GOV 托管的电子邮件，其中包含某些人的纯文本密码。但值得注意的是，这些帐户受到双因素身份验证 (2FA) 的保护，任何未经授权的访问它们的尝试都会被立即阻止，直到提供有效的代码。 泄露的电子邮件地址以及黑客尝试登录时发生的情况 鉴于此信息的高度敏感性质，Hackread.com 没有分享一些屏幕截图，并相应地编辑了示例数据。 所谓的黑客攻击是如何发生的？ 在与黑客的独家对话中，Hackread.com 了解到他们利用了GitHub中的一个关键 0day 漏洞。尽管没有披露有关该漏洞的概念验证 (PoC) 的技术细节，但黑客声称该漏洞使攻击者能够窃取 GitHub 代币并推进其恶意活动。 针对这些事态发展，Hackread.com 已开始与 GitHub、ICE、USCIS 和 Acuity Inc. 联系，请求他们对此事发表评论。 IntelBroker 经纪商是谁？ IntelBroker 以针对美国的知名目标而闻名。他们之前的一些数据泄露事件包括洛杉矶国际机场。机场、美国国防部文件、人员配备巨头 Robert Half、 Facebook Marketplace 数据库、通用电气违规事件中与 DARPA 相关的访问，Weee！杂货店和其他几个。 根据美国政府的说法，IntelBroker也是T-Mobile数据泄露事件背后的黑客之一。 Acuity Inc.黑客入侵事件的后果 Acuity Inc. 黑客入侵事件的后果可能会带来严重且持久的影响。如果被美国视为敌对的国家获得这些泄露的数据，可能会对国家安全构成重大风险。利用此类情报相关信息可能会危及特工和官员的安全，并危及正在进行的行动。 此外，最近发生的事件凸显了第三方承包商造成的脆弱性。就在最近，即 2024 年 3 月 4 日，美国运通披露其持卡人受到来自第三方供应商的重大数据泄露的影响。 2023 年 8 月，伦敦警察厅雇用的一名 IT 承包商遭遇了网络攻击，影响了超过 50,000 名伦敦警察厅警察。 2023 年 9 月，一家第三方承包商遭遇数据泄露，影响了 8,000 多名大曼彻斯特警察。2023 年 10 月，另一家承包商无意中暴露了他们的数据库，导致爱尔兰警方扣押的 50 万辆车辆记录的敏感细节泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/l4Hn0ZUOkdnDXvFogFQaQg 封面来源于网络，如有侵权请联系删除

微软周五警告称，对美国政府发起数次引人注目的攻击的俄罗斯黑客现在正在利用他们 11 月份从微软公司系统中窃取的信息。 微软表示，与我们在 2024 年 1 月看到的已经很大的攻击量相比，2 月份黑客在某些方面的攻击量增加了 10 倍之多。 微软安全团队表示，最近几周，有证据表明俄罗斯外国情报局 (SVR) 的网络间谍组织一直在使用从该公司企业电子邮件环境中窃取的信息。 黑客正在利用他们在 11 月份事件中获取的信息（该事件于 1 月份发现）“获得或试图获得未经授权的访问”。 Midnight Blizzard(午夜暴雪)正在尝试使用它发现的与客户共享的不同类型的秘密。一月份，Midnight Blizzard 被发现试图渗透微软公司系统。 “这包括访问公司的一些源代码存储库和内部系统。迄今为止，我们还没有发现任何证据表明微软托管的面向客户的系统已受到损害。”微软表示。 周五的警告涉及微软称为 Midnight Blizzard 的网络间谍组织，美国政府已将其与 SVR 联系起来。 “很明显，午夜暴雪正在尝试使用它发现的不同类型的秘密。其中一些机密是在客户和微软之间通过电子邮件共享的，当我们在泄露的电子邮件中发现这些机密时，我们已经并且正在与这些客户联系，以帮助他们采取缓解措施。”微软表示。 微软表示，该组织大大增加了操作的某些方面，例如“密码喷射攻击”，或使用多个帐户上发现的密码来尝试访问。 该公司补充说，该组织可能正在利用其拥有的信息“积累攻击区域的图片并增强其攻击能力”。对该活动的调查仍在进行中，但微软警告称，此次攻击的特点是“持续、投入资源、协调和重点。” 微软向美国证券交易委员会 (SEC)提交了文件，重申了博文中的内容。 Midnight Blizzard（午夜暴雪）也被西方网络安全研究人员称为 Cozy Bear、BlueBravo 和 APT29。 微软最初于 1 月 19 日宣布了该问题，并表示该活动始于 2023 年 11 月下旬，当时黑客入侵了一个测试帐户，并访问了微软高级领导团队以及涉及网络安全、法律和其他职能的员工的电子邮件帐户。 黑客在攻击过程中窃取了电子邮件和附加文档。微软的一项调查表明，黑客正在寻找有关他们自己的信息。微软因没有解释黑客如何从他们所谓的“非生产测试帐户”进入公司高级领导的收件箱而受到批评。 微软曾将其称为 Nobelium，Midnight Blizzard 因其 2020 年对科技公司 SolarWinds 的攻击而闻名，这使得它能够广泛接触到几家大公司以及国防部、司法部、商务部、财政部、国务院和其他美国政府部门。 上周，英国国家网络安全中心 (NCSC) 和五眼联盟的国际合作伙伴警告称，SVR 正在调整其技术，以入侵已将网络转移到云托管环境中的组织。 在过去 12 个月中，黑客“被发现窃取系统颁发的访问令牌以危害受害者帐户”。如果黑客破坏了有权访问公司资源的个人非托管设备，这些访问令牌可能会被盗。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/K8RYfy3565m-FWMLyxmMWg 封面来源于网络，如有侵权请联系删除

尼泊尔网络安全研究员Sameep Aryal发现了Facebook密码重置系统中的漏洞，允许攻击者接管任何账户，而受害者无需采取任何行动。这一发现使Aryal荣登了2024年Facebook白帽黑客名人堂榜首，并获得了公司创纪录的奖金，奖励金额尚未公布。 Aryal发现了Facebook密码重置功能存在漏洞，即请求次数不受限制，攻击者可以发送重置密码请求并利用暴力破解6位安全码。 他的研究表明，通过Android Studio重置密码时，系统会通过Facebook通知提示用户接收安全代码，即使输入失败，该代码在2小时内仍然有效。与短信重置不同，该代码在多次尝试失败后仍然有效。 对于某些用户，密码重置代码直接显示在通知中，无需点击；而对其他用户，则需要点击通知后才能查看代码。 通过暴力破解，他在一小时内测试了所有可能的代码组合，发现了这一漏洞。Aryal于2024年1月30日向Facebook报告了该问题，并于2月2日修复了该漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/293637 封面来源于网络，如有侵权请联系删除

美国司法部周五公布了对一名伊朗国民的起诉，指控他参与了一场旨在损害美国政府和私人实体的多年网络活动。 据说有十几个实体成为袭击目标，其中包括美国财政部和国务院、支持美国国防部项目的国防承包商，以及一家总部位于纽约的会计师事务所和一家酒店公司。 39岁的Alireza Shafie Nasab自称是一家名为Mahak Rayan Afraz的公司的网络安全专家，同时至少在2016年左右至2021年4月左右参与了一场针对美国的持续运动。 美国南方检察官达米安·威廉姆斯表示：“正如所称，Alireza Shafie Nasab参与了一场网络活动，使用鱼叉式网络钓鱼和其他黑客技术感染了20多万台受害者设备，其中许多设备包含敏感或机密的国防信息。” 在一个例子中，威胁行为者侵入了一个属于未具名国防承包商的管理员电子邮件帐户，随后利用该帐户创建流氓帐户，并向另一个国防承包商和一家咨询公司的员工发送鱼叉式网络钓鱼电子邮件。 除了鱼叉式网络钓鱼攻击之外，共谋者还伪装成其他人，通常是女性，以获得受害者的信任，并将恶意软件部署到受害者的计算机上。 Nasab在为幌子的公司工作期间，据信负责使用窃取的真实身份来注册服务器和电子邮件帐户，从而获得活动中使用的基础设施。 他被指控犯有一项共谋计算机欺诈罪、一项共谋电信欺诈罪、另一项电信欺诈罪和一项严重身份盗窃罪。如果所有罪名成立，Nasab可能面临最高47年的监禁。 虽然Nasab仍然在逃，但美国国务院宣布悬赏高达1000万美元，以获取有关Nasab身份或位置的信息。 Mahak Rayan Afraz (MRA)于2021年7月首次被Meta曝光，该公司是一家总部位于德黑兰的公司，与负责捍卫伊朗革命政权的伊朗武装部队伊斯兰革命卫队(IRGC)有联系。 该活动集群与Tortoiseshell也有重叠，此前曾被认为与精心设计的社会工程活动有关，包括在Facebook上假扮成健美操教练，试图用恶意软件感染某航空航天国防承包商员工的机器。 这一事态发展之际，德国执法部门宣布取缔Crimemarket，这是一个德语非法交易平台，拥有超过18万用户，专门从事毒品、武器、洗钱和其他犯罪服务的销售。 与此次行动有关的六人已被逮捕，其中包括一名23岁的主要嫌疑人，当局还缴获了手机、IT设备、一公斤大麻、摇头丸和60万欧元现金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/9ZdztcoTJjEQATMVXa8yPQ 封面来源于网络，如有侵权请联系删除

上周，Change Healthcare遭受网络攻击，影响了美国各地药房的药品和保险流程，给医护人员带来了巨大困难。此次攻击可能导致重大财务损失。 由于计费中断，马里兰州心理治疗师雷亚·迪士尼考虑放弃个人办公室，医疗机构面临着医生和药房的更大负担——现在他们必须寻找其他方式来提交保险申请。 上周受到攻击的是 Change Healthcare，它是医疗保健巨头 UnitedHealth 的子公司，为全国数千家药店处理保险处方。信息安全公司Health First Advisory指出，一些医疗机构因故障每天损失超过1亿美元。 Elevance Health已停止与Change Healthcare的网络连接，但客户的护理和药物机会保持不变。Change Healthcare正在研究替代索赔方法。 美国医院协会报告了保险索赔处理中持续存在的问题。联邦调查局和卫生部对此表示担忧，初步调查结果显示黑客使用了ALPHV/BlackCat勒索软件程序。 此次攻击导致医疗机构和保险公司之间传输数据的系统出现故障，部分药店药品流通受阻。   转自安全客，原文链接：https://www.anquanke.com/post/id/293575 封面来源于网络，如有侵权请联系删除

一个名为 Mogilevich 的黑客组织宣布 入侵 Epic Games 的服务器 ，该公司因开发《堡垒之夜》、《虚幻竞技场》和《战争机器》等热门游戏，以及开发和支持逼真的游戏引擎 Unreal Engine 而闻名。此外，该公司还拥有自己的在线视频游戏商店，多年来一直试图与 VALVE 的 Steam 竞争。根据莫吉列维奇代表的声明，此次黑客攻击事件于2月27日发布在该组织的暗网泄密网站上，该组织声称获取了189 GB的公司机密数据。据称，被盗数据包括Epic Games用户的个人信息（如电子邮件地址、密码、全名、付款信息），以及部分产品的源代码和其他数据。黑客已将这些数据出售，难以确定竞争对手是否已获取该数据。莫吉列维奇是一个新的勒索集团，于今年2月20日首次在网络犯罪社区中亮相，最近Epic Games成为该团伙的第四个受害者，之前其还攻击过Nissan子公司Infinity USA。 Mogilevich官方尚未公布具体赎金金额，Epic Games支付或其他人购买信息的截止日期定为3月4日，该组织未提供黑客攻击的证据。 Epic Games官方代表尚未发表评论。Insomniac Games遭受类似攻击，黑客获取了约1.7 TB的机密数据，包括PS5版《蜘蛛侠2》的预发布版本。网络安全专家持续监视莫吉列维奇组织活动，尝试建立攻击者的档案。这可能不是莫吉列维奇组织的最后一次重大黑客攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/293555 封面来源于网络，如有侵权请联系删除