Mandiant安全研究人员表示，正在进行的针对中东航空航天和国防工业的网络间谍活动似乎与伊朗有关，该活动使用独特的恶意软件进行攻击。 谷歌云网络安全部门Mandiant 发布报告表示，此次行动的目标是以色列和阿拉伯联合酋长国（阿联酋）的实体，也可能是土耳其、印度和阿尔巴尼亚。 该活动早在 2022 年 6 月就开始了，似乎与 Mandiant 追踪的一个名为 UNC1549 的伊朗组织有关，该组织与另一个标记为 Tortoiseshell 的黑客行动重叠。 该组织的打击名单包括以色列航运公司以及美国航空航天和国防公司，有报道称其与伊朗伊斯兰革命卫队（IRGC）有关。本月早些时候，美国制裁了伊斯兰革命卫队的一名袭击供水设施的成员。 研究人员表示，鉴于人们对国防相关实体的关注，以及最近因以色列与哈马斯战争而与伊朗关系紧张，伊朗革命卫队的潜在联系“值得注意”。伊朗公开支持加沙的哈马斯武装分子。 Mandiant 观察到 UNC1549“部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用 Microsoft Azure 云基础设施以及社会工程计划来传播两个独特的后门：MINIBIKE 和 MINIBUS。” MINIBIKE 恶意软件首次发现于 2022 年 6 月，最后一次出现于 2023 年 10 月。Mandiant 表示，它能够“窃取和上传文件、执行命令等”，并且使用 Azure 云基础设施。 与此同时，MINIBUS 是一个“定制后门，提供更灵活的代码执行接口和增强的侦察功能”，研究人员表示。他们第一次发现它是在 2023 年 8 月，最近也是在 1 月份才看到它。 这两种恶意软件涵盖了常见的网络间谍活动清单，包括收集登录凭据以进行进一步的间谍活动，或运行其他恶意代码为更多活动扫清道路。 研究人员还发现了一个定制的“隧道”，他们将其标记为 LIGHTRAIL。隧道本质上是通过将互联网流量包装在其他流量中来隐藏恶意活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/SXYNI1V50vrvU05FK3oF3A 封面来源于网络，如有侵权请联系删除

FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。 APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。 它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。 联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。” “此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。” 本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。 在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。 APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。 他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。 两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。 如何“恢复”被劫持的 Ubiquiti EdgeRouters FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器： 执行硬件出厂重置以清除恶意文件的文件系统 升级到最新固件版本 更改任何默认用户名和密码 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。 FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。 美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。 正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/99dkf6duob2ii3Lfl170Zw 封面来源于网络，如有侵权请联系删除

近期，网络安全研究人员发现，名为 “UAC-0184 “的黑客组织利用隐写图像文件传播 Remcos 远程访问木马（RAT），受害者是一个在芬兰境内运营的乌克兰实体组织。 2023 年末，UAC-0184 威胁组织被趋势科技的研究人员首次观察到 ，主要针对乌克兰武装部队发起网络攻击。 2024 年 1 月初，Morphisec 分析师发现芬兰境内运营的一家乌克兰企业成为了该组织的受害者，这就表明该组织已将目标扩展到乌克兰境外与其战略目标有关联的组织了。 出于保密需求，Morphisec 暂时不能提供有关受害者的详细信息和其它具体攻击细节。 利用图片加载恶意软件 “隐写术”是一种有据可查但很少见的网络攻击策略，威胁攻击者通过将恶意代码编码到图像的像素数据中，从而躲避基于签名规则的解决方案的检测。 通常情况下，图像像素中的小块有效载荷不会导致图像外观出现很明显的改变，但在 Morphisec 观察分析的案例中，图像看起来有明显失真了，这种失真现象很难被直观察觉，只有在人工检查仔细情况下才会有所发现，一旦没有人工检查，就可以轻松躲避自动安全产品的检测。 包含嵌入代码的恶意 PNG 图像 Morphisec 观察到的网络攻击链始于一封精心制作的网络钓鱼电子邮件，该电子邮件来自乌克兰第三突击分队或以色列国防军，上当的受害者一旦打开快捷方式文件附件后，就会立刻触发感染链，启动一个可执行文件（DockerSystem_Gzv3.exe），进而激活一个名为’IDAT’的模块化恶意软件加载器。 IDAT 采用了动态加载 Windows API 函数、HTTP 连接测试、进程阻止列表和系统调用等复杂的技术，来逃避安全检测。为了保持网络攻击的隐蔽性，API 调用不会以明文形式写入代码中，是在运行时使用作为攻击链一部分的解密密钥进行解析。 此外，IDAT 还采用了代码注入和执行模块等独特技术，使其与传统的加载程序不同。IDAT 提取嵌入恶意PNG 图像文件中的编码有效载荷，然后在内存中对其进行解密和执行，最后解密和执行 Remcos RAT。（这是一种商品恶意软件，黑客将其用作被入侵系统的后门，允许隐秘地窃取数据和监控受害者的活动） 最后，Morphisec 强调，IDAT 还能够提供 Danabot、SystemBC 和 RedLine Stealer 等恶意软件，但目前还不清楚这些恶意软件是否出现在了受害者的内部系统中。   转自Freebuf，原文链接：https://www.freebuf.com/news/392677.html 封面来源于网络，如有侵权请联系删除

德国德国能源行业开发商 PSI Software SE 已确认受到勒索软件攻击，该攻击影响了其内部基础设施。 该公司在全球开展业务，拥有 2,000 多名员工。它专门为大型能源供应商开发软件解决方案，还提供一系列用于管理和维护交钥匙能源基础设施、投资组合管理和能源分配的解决方案。 2月15日，PSI Software 在其网站主页上宣布遭受网络攻击。由于此次攻击，该公司不得不关闭包括电子邮件在内的多个 IT 系统，以降低数据丢失的风险。 在随后的更新中，PSI Software 确认此次中断是由网络犯罪分子使用勒索软件造成的。到目前为止，该公司还无法确定攻击者的具体渗透方法。 “2 月 15 日晚，我们的网络检测到异常活动。出于安全原因，所有外部连接和系统立即被禁用。”PSI Software 表示。 目前没有证据表明攻击者获得了客户端系统的访问权限，但调查仍在进行中。 该公司没有提供有关客户端系统目前是否以任何形式运行的信息。所有 PSI Software 客户的运营也可能无限期暂停。当局已获悉该事件，联邦信息安全办公室的专家正在积极帮助该公司最大程度地减少该事件的后果。所有系统的功能将在不影响安全的情况下尽快恢复。   转自安全客，原文链接：https://www.anquanke.com/post/id/293369 封面来源于网络，如有侵权请联系删除

近期有安全研究人员警告称，黑客滥用谷歌云运行服务传播大量银行木马，如Astaroth、Mekotio和Ousaban。 谷歌云运行服务无需管理基础设施或进行扩展，允许用户部署前端和后端服务、网站或应用程序，处理工作负载。 思科Talos研究人员观察到，从2023年9月开始，滥用谷歌服务传播恶意软件的情况大量增加，当时就曾有巴西黑客发起了使用MSI安装文件部署恶意软件有效载荷的活动。 研究人员的报告中指出，谷歌云运行服务近来对网络犯罪分子很有吸引力，因为它成本效益高，而且能够绕过标准的安全拦截和过滤器。 链接到谷歌云运行服务的大量钓鱼电子邮件 攻击链 这些攻击往往是通过发送给潜在受害者的网络钓鱼电子邮件开始，这些电子邮件被伪造成发票、财务报表或当地政府和税务机构信息的合法通信。 研究人员称，由于攻击目标是拉丁美洲国家，因此活动中的大多数电子邮件都使用西班牙语，但也有使用意大利语的情况。 活动中使用的钓鱼电子邮件样本（思科） 这些电子邮件带有重定向到谷歌云运行服务托管的恶意网络服务的链接。 在某些情况下，有效载荷通过 MSI 文件传送。在其他示例中，服务会发出 302 重定向到谷歌云存储位置，该位置存储了包含恶意 MSI 文件的 ZIP 压缩包。 恶意软件分发链（思科） 当受害者执行恶意 MSI 文件时，系统会下载并执行新的组件和有效载荷。 在观察到的案例中，第二阶段的有效载荷传输是通过滥用合法的 Windows 工具 “BITSAdmin “完成的。 最后，恶意软件通过在启动文件夹中添加 LNK 文件（’sysupdates.setup<random_string>.lnk’），配置为执行 PowerShell 命令来执行感染脚本（’AutoIT’），从而在受害者的系统上建立持久性，以便在重启后继续运行。 阿斯塔罗斯的执行链（思科） 黑客利用谷歌云运行服务传播三大银行木马 此次黑客利用谷歌云运行服务传播的三个银行木马分别是： Astaroth/Guildma、Mekotio 和 Ousaban。这些木马都能够隐蔽地渗透系统、建立持久性并外泄敏感的金融数据，这些数据均可用于接管银行账户。 Astaroth 具有先进的规避技术。该恶意软件最初主要针对巴西受害者，但现在的目标是拉丁美洲 15 个国家的 300 多家金融机构。最近，该恶意软件开始利用键盘记录、屏幕捕获和剪贴板监控，Astaroth 不仅能窃取敏感数据，还能拦截和操纵互联网流量以获取银行凭证。 Ousaban与Astaroth或系同个恶意软件家族 除了Astaroth外，Mekotio 也已活跃数年，它以窃取银行凭证、个人信息和进行欺诈性交易而闻名。它还可以操纵网络浏览器，将用户重定向到钓鱼网站。其以往的攻击活动主要集中在拉丁美洲地区。 另外一个Ousaban 银行木马能够进行键盘记录、截图，并利用伪造（即克隆）的银行门户网站对银行凭证进行网络钓鱼。 Cisco Talos指出，Ousaban是在Astaroth感染链的后期阶段发布的，这表明这两个恶意软件家族的操作者之间可能存在合作，或者是这两个恶意软件家族可能是由同一个威胁行为者同时管理的。   转自Freebuf，原文链接：https://www.freebuf.com/news/392271.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 乌克兰多家知名媒体遭受俄罗斯黑客攻击，并发布了与战争有关的虚假新闻。 受攻击的媒体包括《乌克兰真理报》、商业媒体网站Liga.net，以及新闻网站Apostrope和Telegraf。传播的虚假消息声称俄罗斯摧毁了乌克兰东部城市阿夫季夫卡的乌克兰特种部队。 乌克兰陆军参谋长奥列克桑德·西尔斯基 (Oleksandr Syrskyi) 表示，乌克兰军队已撤离该市。俄罗斯军方于二月初占领了阿夫季夫卡，但没有官方信息证实该市当地特种部队已被俄罗斯摧毁。 Liga.net目前已删除虚假报道，但该报道曾在一段时间内被持续传播。该组织已向读者发布道歉声明，并调查可能存在的安全漏洞，以防止未来类似事件发生。 同时，乌克兰最大的新闻网站Ukrainska Pravda报告称，周日晚间其X账户遭到黑客攻击，黑客利用该账户发布了关于Avdiivka的虚假内容。 乌克兰国家网络安全机构(SSSCIP)将此次攻击归咎于俄罗斯黑客，称此事件是俄罗斯针对乌克兰的“信息战”一部分，目前正在调查。 乌克兰媒体经常成为俄罗斯黑客的目标，针对媒体的攻击侧重于虚假信息的传播。乌克兰计算机紧急响应小组(CERT-UA)的负责人Yevheniia Nakonechna指出，俄罗斯黑客组织包括国家控制威胁行为者，例如Sandworm。 去年，乌克兰计算机紧急响应小组(CERT-UA)发现了数十起针对乌克兰媒体机构及其员工的网络攻击。该机构指出，这仅是所有案例中的一小部分，因为许多组织并未报告网络事件。 2022年2月及随后几个月内，俄罗斯针对乌克兰媒体的网络活动达到高峰。一些攻击结合了污损和破坏性手段，例如在6月份对乌克兰公共广播公司Suspilne的攻击中，黑客发布了虚假新闻并扰乱网站运行。 “敌人通过攻击媒体试图破坏乌克兰局势稳定，散布恐慌，推动不信任国家当局或军队，并获取重要信息，包括媒体工作者的个人数据。”SSSCIP称。   消息来源：therecord.media，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，与白俄罗斯和俄罗斯利益一致的威胁行为者与一场新的网络间谍活动有关，该活动可能利用Roundcube网络邮件服务器中的跨站点脚本（XSS）漏洞，以80多个组织为目标。 据Recorded Future称，这些实体主要位于格鲁吉亚、波兰和乌克兰，该公司将入侵事件归因于一个名为Winter Vivern的威胁行为者，也被称为TA473和UAC0114。这家网络安全公司正在追踪这家名为“威胁活动组70”（TAG-70）的黑客组织。 Winter Vivern利用Roundcube和软件中的安全漏洞的行为此前曾在2023年10月被ESET强调，加入了APT28、APT29和Sandworm等其他与俄罗斯有关的威胁行为者团体，这些团体以电子邮件软件为目标。 该对手至少自2020年12月以来一直活跃，还与去年Zimbra Collaboration电子邮件软件中一个现已修补的漏洞被滥用，于2023年7月渗透到摩尔多瓦和突尼斯的组织有关。 Recorded Future发现的这场运动从2023年10月初开始，一直持续到本月中旬，目的是收集有关欧洲政治和军事活动的情报。这些攻击与2023年3月发现的针对乌兹别克斯坦政府邮件服务器的TAG-70活动重叠。 该公司表示：“TAG70在攻击方法上表现出了高度的先进性。威胁行为者利用社会工程技术，利用Roundcube网络邮件服务器中的跨站点脚本漏洞，绕过政府和军事组织的防御，获得对目标邮件服务器的未经授权的访问。” 攻击链涉及利用Roundcube缺陷向命令和控制（C2）服务器提供JavaScript有效载荷，这些有效载荷旨在过滤用户凭据。 Recorded Future表示，TAG-70瞄准伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的证据。 报告称：“伊朗驻俄罗斯和荷兰大使馆的袭击表明，评估伊朗的外交活动，特别是在乌克兰对俄罗斯的支持方面，有着更广泛的地缘政治利益。同样，针对格鲁吉亚政府实体的间谍活动反映了格鲁吉亚对加入欧盟和北约的愿望的关注。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/eIv3gX9vH-GAqQDTDD97Ug 封面来源于网络，如有侵权请联系删除

五角大楼证实，与执法部门合作调查指控黑客组织ALPHV（又名BlackCat）窃取了涉及美国武装部队的敏感数据文件。该组织威胁将公布从弗吉尼亚州IT公司Technica窃取的300GB数据。 Technica 尚未回应置评请求，但黑客表示，该公司的黑客攻击使他们能够获取与国防反情报和安全局相关的信息，该局已经进行了各种安全许可检查。 五角大楼发言人苏·高夫表示，目前正在与执法部门协调，但拒绝就具体安全事件发表评论。 与此同时，为了支持他们的说法，ALPHV 发布了被盗文件的屏幕截图，其中包含数十人的姓名、社会安全号码、安全许可和就业地点，以及与各个政府机构和私人承包商的发票和合同。该组织威胁称，除非 Technica 联系他们，否则将出售或公开这些数据。 ALPHV 采用RaaS模型运行，自成立以来已发起了一千多次网络攻击。美国司法部将该组织描述为世界第二大勒索团伙（ LockBit 排名第一 ）。 ALPHV 最引人注目的攻击是去年 9 月针对米高梅度假村和凯撒娱乐公司的勒索行为 。尽管 FBI 声称已于 12 月封锁了该组织的网络基础设施，但 ALPHV 表示已恢复对其资源的访问，并取消了针对美国政府和军事企业的攻击限制。   转自安全客，原文链接：https://www.anquanke.com/post/id/293090 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国财政部外国资产控制办公室（OFAC）宣布对六名涉嫌与伊朗情报机构有关的官员实施制裁，原因是他们袭击了美国和其他国家的关键基础设施实体。 这些被制裁的官员隶属于伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC），其中礼萨·拉什加里安也是IRGC-CEC的负责人兼IRGC-Qods部队指挥官，据称他还参与了伊斯兰革命卫队的各种网络和情报行动。 根据美国财政部的声明，这些个人被追责是因为其涉及的网络行动。在这些行动中他们入侵了以色列公司Unitronics制造的可编程逻辑控制器，并发布了图像。 根据2023年11月下旬美国网络安全和基础设施安全局（CISA）的披露，宾夕法尼亚州西部阿利基帕市政水务局成为伊朗威胁行为者利用Unitronics PLC的目标。 这次攻击是由一个名为Cyber Av3ngers的伊朗黑客组织发起的，该组织在以色列与哈马斯冲突后加剧，对以色列和美国的实体发动了破坏性攻击。其自2020年以来活跃，曾针对波士顿儿童医院、欧洲和以色列等地进行多起网络攻击。 根据美国财政部的表示：“工业控制设备如可编程逻辑控制器等，是水和其他关键基础设施系统的敏感目标。虽然此次特殊行动未中断任何关键服务，但未经授权访问关键基础设施系统可能对公众造成伤害，引发毁灭性人道主义后果。” 与此同时，另一个亲伊朗的“psychological operation group”组织声称袭击了阿尔巴尼亚统计研究所（INSTAT），并声称窃取了数TB的数据。自2022年7月中旬以来，Homeland Justice 就有针对阿尔巴尼亚的跟踪记录，最近观察到该黑客传播了代号为No-Justice的擦除器恶意软件。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文  

Bleeping Computer 网站消息， Cloudflare 透露其内部 Atlassian 服务器遭到一名疑似 “民族国家攻击者 “的网络入侵，威胁攻击者访问了 Confluence 维基、Jira 错误数据库和 Bitbucket 源代码管理系统。 11 月 14 日，威胁攻击者非法访问了 Cloudflare 自托管 Atlassian 服务器，然后又进入了 Cloudflare 公司的 Jira 系统。Cloudflare 首席执行官 Matthew Prince、首席技术官 John Graham-Cumming 和首席信息安全官 Grant Bourzikas 表示，11 月 22 日，威胁攻击者使用 Jira 的 ScriptRunner 对其 Atlassian 服务器建立起了持久访问，获得了对源代码管理系统（使用 Atlassian Bitbucket）的访问权限。威胁攻击者甚至尝试访问一个控制台服务器。（该服务器可以访问 Cloudflare 尚未投入生产的巴西圣保罗数据中心） 从后续披露的调查结果来看，为访问 Cloudflare 系统，威胁攻击者使用一个访问令牌和三个服务帐户凭据。据悉，这些凭据是某次 Okta 遭受网络攻击活动中流出的，Cloudflare 并未对凭据进行轮换更新。（Okta 入侵期间泄露了数千个凭据）。 11 月 23 日，Cloudflare 的安全研究人员检测到网络恶意活动，11 月 24 日上午切断了威胁攻击者的访问权限，三天后，Cloudflare 组织了大量网络安全专家开始调查该事件。处理该事件时，Cloudflare 的工作人员轮换了所有生产凭证（超过 5000 个唯一凭证），对测试和暂存系统进行了物理分割，对 4893 个系统进行了取证分流，重新映像和重启了包括所有 Atlassian 服务器（Jira、Confluence 和 Bitbucket）和攻击者访问的机器在内的全球网络上的所有系统。 2024 年1 月，Confluence 公司发布声明称，其员工目前仍在进行软件加固、凭证更新和漏洞管理，并指出此次网络攻击事件未影响 Cloudflare 的客户数据或系统，其服务、全球网络系统或配置也未受到影响。 Prince、Graham-Cumming 和 Bourzikas 表示，鉴于威胁者使用窃取的凭证入侵了 Cloudflare 的 Atlassian 服务器，并访问了一些文档和少量源代码，尽管知道此次事件对公司运营的影响极为有限，但还是非常重视此次事件。 值得一提的是， Cloudflare 方面认为威胁攻击者分析 Cloudflare 的维基页面、漏洞数据库问题和源代码库，似乎在寻找有关 Cloudflare 全球网络的架构、安全和管理的信息，毫无疑问，这些威胁攻击者的目标是获得更深的立足点。 Cloudflare 认为此次攻击活动由一个“民族国家攻击者 “实施，其目的是获得对 Cloudflare 全球网络的持久和广泛访问。 Cloudflare 遭受多次网络攻击 2023 年 10 月 18 日，Cloudflare 的 Okta 实例使用从 Okta 支持系统窃取的身份验证令牌被攻破，威胁攻击者成功入侵了 Okta 客户支持系统，并获取了属于包括 1Password、BeyondTrust 和 Cloudflare 等在内的 134 家客户的文件信息。 2023 年 10 月事件发生后， Cloudflare 公司表示，其安全事件响应小组已经做出快速反应，最大限度地减少了对 Cloudflare 系统和数据的影响，没有 Cloudflare 客户信息或系统受到影响。2022 年 8 月，威胁攻击者还曾试图使用在一次网络钓鱼攻击中窃取的员工凭证入侵 Cloudflare 系统，好在最终因无法访问受害者公司发放的符合 FIDO2 标准的安全密钥而失败。   转自Freebuf，原文链接：https://www.freebuf.com/news/391275.html 封面来源于网络，如有侵权请联系删除