网络犯罪是一项蓬勃发展的业务。因此，像任何其他繁荣的市场一样，勒索软件集团或在线诈骗行动背后的主谋也需要工人。而且他们不仅仅是在寻找其他犯罪黑客。开发人员、管理员和设计师的需求量也很大。 正如网络安全市场正在争夺最好的人才一样，网络犯罪分子也在提供高薪和福利以吸引最优秀的人才。一些广告吹嘘熟练黑客的年薪高达120万美元。 根据网络安全公司卡巴斯基的新分析，开发人员似乎是网络犯罪生态系统中最抢手的。该公司的研究人员审查了2020年1月至2022年6月期间155个暗网论坛上发布的大约20万条与就业有关的信息。帖子的数量在2022年3月达到顶峰，可能是因为COVID-19相关的防疫措施影响和多个国家的收入减少。尽管如此，分析发现，招聘帖子–包括寻求就业和列出工作–每季度都超过了1万个。 其他需求职位包括攻击专家、反向工程师、测试人员、分析师、管理员和设计师。研究人员说，即使是最复杂的黑客团队仍然需要帮助。 并非所有的招聘信息都是从事非法工作的角色–事实上，一家”知名的俄罗斯银行”寻求招聘开发人员，而其他银行则寻求开发合法的IT学习课程的候选人–但即使是犯罪工作也有典型就业广告的那种平凡的感觉。研究人员说，测试任务很常见，包括加密文件、躲避反病毒检测以及总体上专业和在线的步骤。 描述候选人测试过程的清单。成功进入第四步的候选人将被雇用做全职工作，每周获得800至1500美元的报酬（图像来源于卡巴斯基）。 清单的其他常规部分对于普通的技术求职者来说是普通人很熟悉的，比如激励措施–“每一次成功的任务，你都会得到加薪和即时奖金”，例如推荐入职可以有额外奖金甚至是带薪休假。合适的候选人可以获得高薪，根据角色的不同，一般黑产雇员工资中位数在1300至4000美元之间。 一些安排似乎更加非正式：”想要长期合作，黑掉一些中国网站并为我转储数据库，让我们在xmpp上交谈。”一条信息写道，指的是一个广泛的互联网信息平台。 分析发现，一些寻求工作的人似乎只是需要钱，但对其他人来说，原因可能更难确定。无论哪种情况，寻求这种工作的人可能并不完全了解他们所涉及的对象。研究人员写道：”人们去暗网找工作可能有几个原因。许多人被对轻松赚钱和巨大经济利益的期望所吸引。大多数时候，这只是一种幻觉，实际上工资很少明显高于可以合法获得的工资。然而，由于对他们的工资不满意，合法经济中相当大比例的雇员辞去工作，在暗网市场上找到类似的工作。市场上的变化、裁员和减薪，也常常促使他们在网络犯罪网站上寻找工作。”     转自 cnBeta，原文链接：https://www.toutiao.com/article/7194671259689419323/ 封面来源于网络，如有侵权请联系删除

威胁行为者针对在“被占领土地上”运营的以色列化学公司发起了大规模黑客攻击活动。一个名为 Electronic Quds Force 的组织正在威胁公司的工程师和工人，并邀请他们辞职。 这次攻击是对以色列政府及其针对巴勒斯坦人的政策的报复，黑客指责特拉维夫的暴力行为。 电子圣城军发出信息：“我们对在化工厂工作的科学家的建议是辞掉他们的工作，寻找一份新工作，并在我们不在的地方找到避难所。我们确认你在化工厂的工作对你的生命构成威胁；下次对巴勒斯坦人实施暴力行为时，我们会毫不犹豫地用化学制品熔化你们的身体。” 消息很明确，黑客声称能够干扰化学公司运营的工厂的运营，可能导致人员伤亡。 这段时期的紧张局势非常严重，巴勒斯坦卫生部表示，1 月是“自 2015 年以来西岸最血腥的一个月。迄今为止，已有 35 名烈士被以色列占领军和定居者杀害，其中包括 8 名儿童，一位妇人。 这些消息与据称属于网络攻击目标之一的化学公司的工业控制系统 (ICS) 图像一起发布在该组织的 Telegram 频道上。 据联合国称，上周以色列军队在巴勒斯坦村庄开展的行动数量有所增加，根据过去 16 年的数据，2022 年是巴勒斯坦人死亡人数最多的一年。 双方的网络攻击都在增加，2022 年 9 月，亲巴勒斯坦黑客组织 GhostSec 声称已经破坏了以色列组织使用的 55 个 Berghof 可编程逻辑控制器 (PLC)，作为自由巴勒斯坦运动的一部分。 GhostSec 还发布了一段视频，展示了成功登录到 PLC 的管理面板以及 HMI 屏幕的屏幕截图，其中显示了攻击的某些阶段，包括 PLC 的块。 该组织还分享了其他截图，声称已经获得了另一个控制面板的访问权限，该面板可用于修改水中的氯含量和 pH 值。2022 年 8 月，黑客组织 ALtahrea Team 攻陷雅法、海法、阿卡和埃拉特港口网站。 据悉，该组织还在针对数百个以色列网站，包括 Sderot 市政府的网站。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/CNReUbjnwnPsW4aOvyAzyA 封面来源于网络，如有侵权请联系删除

一个名为 InTheBox 的攻击组织正在俄罗斯网络犯罪论坛上发布 1894 个网络注入（网络钓鱼窗口的覆盖）的清单，用于从银行、加密货币交易所和电子商务应用程序中窃取凭据和敏感数据。 这些覆盖层与各种 Android 银行恶意软件兼容，并模仿由数十个国家/地区主要组织运行的应用程序。 InTheBox 商店为各种银行恶意软件提供范围广泛的 Web 注入，包括 Alien、Ermac、Octopus、MetaDroid、Cerberus 和 Hydra。数百次注入的打包价格从近 4000 美元到 6500 美元不等。单个 Web 注入的价格已从每个 50 美元降至 30 美元。 自 2020 年 2 月以来，InTheBox 一直是经过验证的 Android 移动应用程序网络注入供应商。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分（例如：恶意软件的开发），并将攻击范围扩大到其他地区。 网络注入如何工作？ InTheBox 的网络注入通常以压缩包的形式出现，其中包括一个 PNG 格式的应用程序图标和一个 HTML 文件。该 HTML 文件包含 JavaScript 代码，负责使用伪装成移动应用程序输入表单的恶意覆盖界面收集敏感信息。 CRIL 研究人员表示，注入过程从一个覆盖界面开始，该界面要求受感染的用户输入他们的手机银行详细信息，例如用户 ID、密码和手机号码。 输入这些凭据后会加载一个覆盖界面，诱使用户透露他们的信用卡号、有效期和 CVV 信息，然而合法的应用程序根本不需要输入这些。 如何保持安全？ 研究人员建议遵循以下网络安全最佳实践，以防止攻击者访问他们的个人和财务信息。 仅从官方应用商店等可信来源下载和安装软件。 仅下载获得许可的防病毒软件并始终保持更新。 谨慎打开手机上未知来源的消息或电子邮件收到的任何链接。 在您的 Android 设备上启用 Google Play Protect 以保持保护。 授予任何应用程序权限时请谨慎行事。 让您的设备、操作系统和应用程序保持最新。 密切注意最新软件更新中提供的安全功能，并警惕任何要求输入额外信息（如支付卡详细信息）的提示。 如果您怀疑您的设备可能已被感染，请尝试恢复出厂设置或删除可疑应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356329.html 封面来源于网络，如有侵权请联系删除

目前，鉴于各平台对密码的要求越来越复杂，越来越多用户使用密码管理软件统一存储密码，虽然此举可以很好帮助用户管理账户信息，但也意味着一旦此类软件存在漏洞，很容易导致机密数据泄露。 近日，Bleeping Computer 网站披露，开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055，网络攻击者能够利用漏洞在用户毫不知情的情况下，以纯文本形式导出用户的整个密码数据库。 不同于 LastPass 、BitwardenKeePass 等云托管的数据库，KeePass 允许用户使用本地存储的数据库来管理密码，并允许用户通过主密码加密数据库，以避免泄漏，这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。 但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器，从而将数据库中所有用户名和密码以明文方式导出。 据悉，当目标用户启动 KeePass 并输入主密码以解密数据库时，将触发导出规则，并将数据库内容保存到一个文件中，攻击者可以稍后将其导出到其控制的系统中。值得一提的是，整个数据库导出过程都在系统后台完成，不需要前期交互，不需要受害者输入密码，甚至不会通知受害者，悄悄导出所有数据库中存储的密码信息。 安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示，或者提供一个没有导出功能的应用程序版本。 KeePass 官方表示暂无漏洞修补措施 KeePass 官方声明表示，CVE-2023-24055 漏洞不应该归咎于 KeePass，并且这一漏洞不是其所能够解决的，有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。 当用户常规安装 KeePass 时，一旦攻击者具有写入权限，就可以执行各种命令，开展攻击活动，就算用户运行可移植版，威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。 上述两种情况表明，对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，而不受配置文件保护）。因此，KeePass 建议用户只有保持环境安全（使用防病毒软件、防火墙、不打开未知电子邮件附件等），才能防止此类攻击。 最后，KeePass 开发人员指出，即使用户无法获得更新版本，仍然能够通过系统管理员身份登录并创建强制配置文件来保护数据库。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356226.html 封面来源于网络，如有侵权请联系删除

2023年1月26日，美国司法部和欧洲刑警组织共同宣布，经过长达6个月的渗透，臭名昭著的Hive 勒索软件组织被FBI和国际刑警破获：该组织的IT基础设施已经完全被破坏，Tor支付和数据泄露站点被查封，警方获得两台服务器和一台虚拟专用服务器的访问权，并对在荷兰托管的两个备份专用服务器的访问权限…… 目前，Hive 勒索软件组织在暗网的泄露站点显示一条俄语和英语交替使用的信息：“作为针对Hive 勒索软件组织全球协调执法的一部分，这个隐藏的网站已经被联邦调查局查封。”这也意味着，FBI已经彻底控制了Hive的核心站点。 同时，美国司法部长梅里克表示，警方正在构建Hive开发人员、管理员和附属机构的地图，作为逮捕、扣押Hive 勒索软件组织以及其他行动的重要支撑证据。 美国司法部称，自2022年7月下旬以来，FBI持续渗透Hive勒索软件组织，破获了其解密密钥并向全球300多名受害者提供解密密钥，还向以往的Hive勒索受害者分发了1千多个额外的解密密钥，从而避免了大约 1.3 亿美元的赎金支付。 换句话说，Hive勒索软件组织基本上已经被一网打尽，但是还存在一个明显的遗留问题：Hive勒索软件组织的核心成员依旧逍遥法外。这意味着Hive勒索软件组织随时都有可能会死灰复燃，只需要换一个马甲就会再度成为全球网络安全的毒瘤。 狂揽1亿美元，Hive成2022年最暴利的勒索组织 2021年6月，Hive勒索软件组织开始在全球网络空间肆虐，以”勒索软件即服务”的模式运作，招募“附属机构”对外进行部署，主要针对医疗保健组织以及其他配置薄弱无法抵御网络攻击的企业。 2022年11月，美国司法部公布一组令业界震惊的数据：截止到2022年11月，Hive勒索软件组织已经攻击了1500多家企业，并成功获得了大约1亿美元的赎金，堪称勒索软件组织中最暴利的存在。 2021年8月，该团伙声称总部设在伊利诺伊州的纪念卫生系统是其第一个医疗保健行业的受害者，随后是哥斯达黎加的公共卫生服务和纽约的应急响应和救护车服务提供商Empress EMS。10月，Hive还将印度顶级发电公司Tata Power作为目标。这些骚操作也让Hive勒索软件组织迅速在业界有了相当大的名气。 为了跑通”勒索软件即服务”模式，Hive管理员建立了一个服务器网络来运行他们的在线犯罪业务。网络面向公众的一侧或“前端”由四个可访问的网站或“面板”组成，每个网站都面向不同类型的用户/受众。一个由Hive参与者使用的但公众无法访问的单独服务器托管了一个支持前端Tor的数据库面板和泄漏网站。 登录到管理面板上的用户界面，管理员能够管理Hive数据库，跟踪攻击，与附属机构沟通他们针对特定受害者的活动，并与受害者协商支付赎金。 Hive勒索软件组织常用的入侵方法包括：通过远程桌面协议 （RDP）、虚拟专用网络 （VPN） 和其他远程网络连接协议进行单因素登录;利用 FortiToken 漏洞;以及发送带有恶意附件的网络钓鱼电子邮件。 公开资料显示，Hive勒索软件采用GO语言编写，加密算法使用AES+RSA，同时这款勒索病毒也采用了“双重”勒索的模式，通过在暗网上公布受害者数据，来逼迫受害者交纳赎金。虽然该勒索组织刚出现不久，但已经成为高度活跃且危险的勒索组织之一。 所谓“双重勒索”是被害人已经交过赎金攻击者还可以再次封锁被害人数据的一种攻击，攻击者加密目标系统数据之前会先窃取数据，这样，即便受害者有备份数据，勒索软件仍然可以用泄露数据作威胁要求其支付赎金。 更过分的是，对于那些不支付赎金的企业，Hive勒索软件组织会在其网络上部署更多的恶意软件，例如使用其他勒索软件的变种，对于目标用户进行重复感染，严重打击了企业的系统更新和业务恢复的速率。 国际网警长达六个月的渗透 2022年，美国FBI联合德国、加拿大、法国、立陶宛、荷兰、挪威、葡萄牙、罗马尼亚、西班牙、瑞典和英国，共同组建了全球执法队伍，对Hive勒索软件组织进行围剿。 7月，美国FBI已经渗透到 Hive 的计算机网络，同时阻断了Hive勒索软件组织的多次勒索攻击，其中包括针对路易斯安那州一家医院、一家食品服务公司和德克萨斯州学区的攻击。 在这场为期六个月的大围剿行动中，FBI和欧洲警方可谓是极具耐心，在Hive勒索软件组织未曾察觉的情况下，悄悄潜伏其中，一步步摸索清楚该组织的内部成分、网络、目标服务器等等。 举个例子，在渗透的过程中，FBI成功发现了Hive勒索软件组织位于洛杉矶的两个专用服务器和一个虚拟专用服务器（VPS）的镜像。 这两个专用服务器分别与IP地址（目标服务器1）（目标服务器2）相关联。通过分析从所有服务器的搜索中获得的证据，调查人员证实，这些证据都被Hive勒索软件组使用过。特别是，调查人员证实，位于洛杉矶的目标服务器1和荷兰服务器被设置为冗余的web服务器。 通过分析来自目标服务器2的数据，联邦调查局确定它作为Hive网络的后端，并包含Hive数据库。 除了解密密钥，当联邦调查局检查在目标服务器2上发现的数据库时，联邦调查局发现了Hive通信记录、恶意软件文件哈希值、Hive250个附属机构的4个信息，以及与之前获得的信息一致的受害者信息解密密钥操作。 这仅仅是其中一个例子。最终，Hive勒索软件组织被FBI一锅给端了，整个组织结构遭到了毁灭性的打击。目前尚不清楚的是，Hive勒索软件组织主要领导与核心成员是否已经被逮捕。 众所周知，目前有不少国家并未对勒索组织成员采取打压态势，有些勒索组织也具备政府部门的身影，对勒索组织成员的抓捕造成了较为明显的阻碍，对于勒索组织的打击也不够彻底。他们完全可以换一个马甲重新发起新的勒索攻击，曾经名盛一时的Conti勒索软件组织因为FBI的打压而关闭，但该组织随后又成立了新的勒索组织，继续在全球范围内发起勒索攻击。 持续增强勒索攻击的打击力度 美国FBI联合欧洲警方共同执法，对Hive勒索软件组织进行彻底的打击，进一步体现了全球主要国家对于勒索攻击的态度。 自2019年以来，勒索攻击以超高的经济收益、超强的危害、企业无法抵御的难度等要素，开始了自己的疯狂的成长之路。勒索攻击的对象也从中小公司一跃成为大型跨国企业，行业龙头企业，国家关键基础设施等，甚至勒索组织开始以某个国家和地区作为勒索目标，态度嚣张，日益猖獗。 在这场网安空间的对抗之中，勒索软件组织一直处于优势地位，凭借着多元、复杂、先进的攻击手法，给无数企业和政府部门带来了巨大的危害，最终勒索软件组织也迎来了前所未的严峻打击。 随着越来越的企业拒绝支付赎金，勒索软件组织的日子也越来越不好过。Chainalysis 对勒索软件攻击相关的钱包地址的跟踪显示，受害者在 2022 年支付的赎金为 4.57 亿美元，而 2021 年为 7.66 亿美元。 当受害者发现勒索软件 Conti 背后的黑客组织与俄罗斯有关联，因本国政府实施的制裁他们有更多的理由拒绝支付赎金。网络安全分析公司 Coveware 也观察到了类似的趋势，受害者支付赎金的比例从 2019 年一季度的 85% 降到了 2022 年四季度的 37%。 这意味着，共同对抗勒索软件组织已经成为越来越多企业的选择，也是目前不少政府极力倡导的方向。而对于勒索软件组织来说，凛冬似乎正在到来：Hive勒索软件组织不是第一个，也不会是最后一个。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356042.html 封面来源于网络，如有侵权请联系删除

1月28日凌晨，蓝筹NFT项目Azuki Twitter账号遭到黑客入侵，发布一系列虚假“Azuki虚拟世界土地Mint”推文及链接。 目前Azuki官方已恢复其账号控制权，第一时间发布公告并删除相关推文及链接，Azuki开发团队Chiru Labs表示正在与Twitter联系并调查此次违规事件。 Web3安全研究员Fantasy表示，本次“Azuki Twitter黑客入侵”事件中的用户损失约为78万美元。 某0x3ec开头用户地址被盗75.1万枚USDC，其余用户被盗少量ETH，目前黑客已将全部USDC兑换为ETH。     转自 新浪财经，原文链接：https://finance.sina.com.cn/blockchain/roll/2023-01-28/doc-imycsxuu0298011.shtml 封面来源于网络，如有侵权请联系删除

近日，在国外论坛中，黑客曝光台湾华航会员资料，黑客以挤牙膏的方式，先后于今年1月4日和1月11日陆续曝光10位和50位，总计60位包括台湾知名的政界、商界、明星和名嘴等知名人士的资料，资料除了华航的会员编号外，还有中英文姓名、出生年月日、电子邮件和手机等个人信息。 黑客曝光华航会员资料，鼓励被曝光成员向华航提出集体诉讼 值得关注的是，这次黑客曝光的华航会员资料有一个很有趣的现象，以往都会公布售卖金额，但这两次曝光的资料中，都没有提出售卖金额，反而在两次发文中都提到，因为华航迟迟不肯承认信息泄露，所以接下来会持续公布入侵华航路径、华航所有系统清单，以及300万名会员的资料库内容。黑客也知道台湾有消基会，可以协助被曝光会员提出团体诉讼。黑客发文提到，因为华航必须符合欧盟最严格个资法GDPR规范，一旦成功提出诉讼，每个人还可以获得16.6美元（新台币498元）至666美元（新台币19,980元）的赔偿。 有网络专家表示，从这种黑客的异常行为来看，目前并不排除这可能是黑客原本要勒索华航、但华航不愿意支付赎金后，所以黑客就借由曝光部分会员资料的资料，借此威胁华航同意支付赎金。 华航被曝光会员名单从政界、商界、名嘴到明星都有 此次外泄名单都是台湾的知名人物，除了少数名单没有手机的资料外，资料都非常完整，如台湾当局副领导人赖清德、台积电创办人张忠谋和大家熟悉的志玲姐姐的个人信息都在名单中。 外泄的政治人物名单包括：赖清德、王国材、陈宗彦、庄人祥、罗一钧，吴昭燮、萧美琴等人。 地方政府外泄名单则有：柯文哲、黄珊珊、郑文灿、陈其迈、张善政、高虹安、周春米等人。 商界人士几乎都是重量级人士，包含：中华电信董事长谢继茂、台积电创办人张忠谋、台积电现任董事长刘德音、鸿海创办人郭台铭、鸿海现任董事长刘扬伟、富邦金控董事长蔡明忠、联发科董事长蔡明介、台达电董事长海英俊、台塑总裁王文渊、统一集团董事长罗智先。 另外名单则有名嘴包括：周玉寇、陈文茜、谢震武、赵少康、于耘捷（即于美人本名）、郭正亮、吴子嘉、王浩宇、黄敬平、童文薰等人。 明星部分则包括：林志玲、徐熙娣（小S）、徐若瑄、杨谨华、隋棠、胡盈祯（小祯）和贾永婕等人。 华航强调配合警方调查 华航致电表示，针对近日收到匿名网络勒赎信件，该公司已进行清查确认，目前无法确认来源，本公司全力配合警方调查。 华航表示，该公司收到匿名网络勒赎信件后，已立即报警及依法通报主管机关，并在第一时间有效采取防御应变措施，确认各项资通系统作业正常，也配合警方追查事件及调查原因，目前已全面性监视系统安全，确保网络安全防护。本公司将持续严格落实个人信息保护，强化信息安全。 华航除了谴责非法行为外，也呼吁会员应该定期修改密码，以保障个人信息安全，也应该妥善保管自身账号密码，不要将相关个人信息资料交给他人，避免遭不当利用；并提醒他人个人信息不可散布，避免触及法律。 1月14日新增华航回应 国外论坛第二波曝光的华航会员名单中，包括中央和地方政府人士，台湾知名大企业家，以及家喻户晓的明星和名嘴等人，都在外泄清单中。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/uMmR-lj-MTiGoWTSh9_bxw 封面来源于网络，如有侵权请联系删除

近日，网络安全公司Group-IB的研究人员周四表示，一项黑客活动针对亚太地区和欧洲地区的一系列组织，主要为窃取公司数据和其他高价值机密的复杂活动. Group-IB 研究人员 Andrey Polovinkin 和 Albert Priego 在详细分析中表示，所谓的“深粉红色”活动在 2022 年下半年激增，迄今为止，已经造成七次成功的攻击。根据研究人员的分析，它的主要目标似乎是企业间谍活动、文件盗窃、从受感染设备的麦克风中捕获声音以及从信使中泄露数据。 研究人员没有将该活动归因于任何团体，“这使得 Dark Pink 很可能是一个全新的高级持续威胁团体，”研究人员说。但另一家安全公司在1 月 5 日发布的分析中将该活动与“疑似东南亚”联系起来。 亚太地区是各种正在进行的与国家结盟的网络活动的发源地，代表着广泛的相互竞争的利益和议程。Group-IB 分析的已知 Dark Pink 攻击始于 2022 年 6 月在越南对一个未具名宗教组织的攻击。但该组织很可能至少可以追溯到 2021 年 5 月，也就是攻击者使用的 Github 帐户变得活跃的时候。其他已知的受害者包括一个越南非营利组织、一个印度尼西亚政府组织、菲律宾和马来西亚的两个军事机构以及柬埔寨、印度尼西亚和波斯尼亚和黑塞哥维那的政府机构。 研究人员指出，已经通知了潜在的受害者，而且可能还有更多的受害者尚未被发现。 攻击始于可能专门为每个目标设计的鱼叉式网络钓鱼电子邮件。至少在一个案例中，攻击者伪装成公共关系和传播实习生职位的申请人，建议他们扫描求职板以锁定受害者。美国政府在 5 月份警告说，朝鲜黑客使用类似的方法是众所周知的，既可以为朝鲜政府创收，也可以访问企业网络。 电子邮件中的缩短链接包括恶意和无害的文档，这些文档传递用于进一步操作的恶意软件。 研究人员表示，攻击者可以通过三种方式泄露数据：通过 Telegram 发送、将文件传输到 Dropbox 以及通过电子邮件。 研究人员指出，电子邮件方法“特别令人惊讶”。使用电子邮件地址包括 blackpink.301@outlook[.]com和blackred.113@outlook[.]com 等。根据研究人员收集的数据，电子邮件的正文简单地写着“hello badboy”，而主题行是特定设备的名称。 最终，调查结果表明，攻击者技术的创新可能会产生深远的影响。Dark Pink 背后的威胁行为者能够在他们定制工具包的帮助下，突破亚太地区和欧洲地区一系列国家的政府和军事机构的防御。 Dark Pink 的活动再次强调了鱼叉式网络钓鱼活动对组织构成的巨大危险，因为即使是非常先进的威胁行为者也会使用这种媒介来访问网络，建议组织继续教育其人员如何检测这些类型的电子邮件。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/3n6Z-h5tQnrWOLqltrYL7w 封面来源于网络，如有侵权请联系删除

名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站，以木马化版本的 Telegram 应用程序瞄准 Android 用户。 “一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序，”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本，使用 StrongPity 后门代码重新打包。” StrongPity，也被称为 APT-C-41 和 Promethium，是一个从 2012 年开始活跃的网络间谍组织，其大部分行动集中在叙利亚和土耳其。卡巴斯基于 2016 年 10 月首次公开报告了该组织的存在。 此后，该组织的活动范围扩大到涵盖非洲、亚洲、欧洲和北美的更多目标，入侵利用水坑攻击和网络钓鱼来激活杀伤链。 StrongPity 的主要特征之一是它使用假冒网站，这些网站声称提供各种软件工具，只是为了诱骗受害者下载受感染的应用程序版本。 2021 年 12 月，Minerva Labs披露了一个三阶段攻击序列，该序列源于看似良性的 Notepad++ 安装文件，安装后将后门上传到受感染的主机上。 同年，专家观察到StrongPity 首次部署了一款 Android 恶意软件，它能够入侵叙利亚电子政府门户网站并将官方 Android APK 文件替换为流氓文件。 ESET 的最新发现突出了一种类似的作案手法，该作案手法旨在分发更新版本的 Android 后门有效荷载，该后门有效荷载能够记录电话呼叫、跟踪设备位置并收集 SMS 消息、通话记录、联系人列表和文件。 此外，授权恶意软件可访问权限使其能够从各种应用程序（如 Gmail、Instagram、Kik、LINE、Messenger、Skype、Snapchat、Telegram、Tinder、Twitter、Viber 和微信）中窃取信息。 此次后门功能隐藏在 2022 年 2 月 25 日左右可供下载的合法版本的 Telegram Android 应用程序中。也就是说，虚假的 Shagle 网站目前不再活跃。 也没有证据表明该应用程序已在官方 Google Play 商店中发布。目前尚不清楚潜在受害者是如何被引诱到假冒网站的。 Štefanko 指出：“恶意域名是在同一天注册的，因此山寨网站和假冒的 Shagle 应用程序可能从那天起就可以下载了。” 攻击的另一个值得注意的方面是 Telegram 的篡改版本使用与正版 Telegram 应用程序包名称相同，这意味着后门变体无法安装在已经安装 Telegram 的设备上。 Štefanko 说：“这可能意味攻击者首先诱导受害者，并迫使他们从设备上卸载 Telegram（如果安装了 Telegram），或者该活动的重点是很少使用 Telegram 进行通信的国家。”     转自 Freebuf，原文链接：https://www.freebuf.com/news/354887.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，在暗网上销售毒品和其他非法商品的在线市场已经开始使用定制的安卓应用程序来增加隐私，并逃避警方的追捕。 Resecurity 的分析师大概在 2022 年第三季度初观察到了这一新趋势，认为是对去年备受瞩目的暗网市场打击行动、尤其是针对Hydra行动的回应。Hydra曾是暗网最大的“黑市”之一，主要涉及大量非法毒品交易，在全球拥有 19000 名注册卖家和 1700 万客户。2022 年 4 月，由德国主导的一次联合执法行动彻底查封了Hydra服务器，该市场宣告瓦解。 也正因为如此，其他一些小众市场开始瓜分Hydra的用户群体，Resecurity注意到7个此类安卓应用程序，分别是Yakudza、TomFord24、24Deluxe、PNTS32、Flakka24、24Cana和MapSTGK。这些应用程序都使用相同的 M-Club CMS 引擎构建，因此它们可能源自同一开发者。 Resecurity 在报告中提到，这些安卓移动应用程序能够传输有关毒品订单的详细信息，还可以发送运输者留下的毒品包裹的地理坐标，以方便取件。为了防止被索引，此类信息以图像的形式传输，[…] 注释则可能包含包裹埋藏在地下的深度或任何其他可用的详细信息。 包裹埋藏地点的详细信息 （Resecurity）   当这种信息交换发生在几个不同的应用程序上时，会造成信息碎片化，给执法部门的追捕造成一定阻碍。Resecurity 认为，2023年会有越来越多的地下市场采用安卓应用程序，以逐渐取代有隐私风险的论坛和开放市场平台。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/354768.html 封面来源于网络，如有侵权请联系删除