Patchwork也被称为“Operation Hangover”和“Zinc Emerson”，被怀疑是来自印度的APT组织。该组织发起的攻击链至少自 2015 年 12 月起就开始活跃，其关注点很窄，专门针对中国和巴基斯坦进行鱼叉式网络钓鱼和水坑攻击并植入特定程序。 EyeShell 是一个基于 .NET 的模块化后门，具有与远程命令和控制 (C2) 服务器建立联系，可以枚举文件和目录、向主机下载和上传文件、执行指定文件、删除文件和捕获屏幕截图。 研究还发现，该组织其他与印度相关的网络间谍组织（包括SideWinder和DoNot Team）在战术上均存在重叠。 近两年来，Knownsec 404高级威胁情报团队多次实时、提前发现该组织针对国内重点高校、科研院所、科研院所等相关研究组织和机构的攻击行为，并多次成功预警这些行为。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2091/ 封面来自网络，作者：K&Nan@知道创宇 404高级威胁情报团队。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以色列最大的炼油厂运营商BAZAN Group的网站遭遇黑客入侵，全球大范围宕机。 BAZAN集团总部位于海法湾，前身为石油精炼厂有限公司，每年原油炼化规模约980万吨，年收入超135亿美元，员工超过1800人。 BAZAN网站被切断网络 上周末，BAZAN Group旗下网站BAZAN .co.il和eng.bazan.co.il无法进入，登入页面显示“请求超时”、“被公司的服务器拒绝”等字样。 BleepingComputer证实，BAZAN Group全球各地的炼油厂网站均已无法访问。 但经BleepingComputer测试，该集团网站可以从以色列境内访问，这可能是由于BAZAN已经实施了地理封锁的举措的原因。 Bazan Group网站显示“访问被拒绝”错误信息 (BleepingComputer) 伊朗黑客组织声称对此次攻击负责 伊朗黑客组织Cyber Avengers又名“CyberAv3ngers”在Telegram中称，他们在周末入侵了BAZAN的网络。 周六（7月29日）晚上，该组织还泄露了BAZAN SCADA系统的截图，SCADA系统是用于监控和操作工业控制系统的软件应用程序。 如BleepingComputer所示，这些图表包括“火炬气回收装置”、“胺再生”系统、石化“分离器段”和PLC代码。 在给BleepingComputer的一份声明中，BAZAN的一位发言人驳斥了泄露的材料“完全是捏造的”。他表示：最近网上流传着一份针对BAZAN进行网络攻击的虚假出版物，请注意其提供的资料和图像完全是捏造的，与BAZAN及其资产毫无关联。虽然我们的图片网站在DDoS攻击期间短暂中断，但没有观察到公司服务器或资产受到损害。 BAZAN发言人还称，BAZAN的网络安全措施是警惕的，目前集团正在与以色列国家网络管理局和其他合作伙伴密切合作，监控任何可疑活动，以确保行动的安全和完整性。 黑客组织进一步暗示，它通过一个针对该公司Check Point防火墙的漏洞入侵了这家石化巨头。 威胁参与者使用的所谓检查点防火墙漏洞 据称属于防火墙设备的IP地址(194.xxx.xxx.xxx)确实分配给Oil refinery Ltd.， BleepingComputer可以通过公开记录确认。但IP地址在BleepingComputer的测试访问时提示了“Forbidden”错误消息。 Check Point发言人强调“这些说法都不是真的”，并在给BleepingComputer的电子邮件中重申了炼油厂的调查结果。邮件中澄清说道：过去没有任何漏洞导致这样的攻击。 此前，Cyber Avengers还称对2021年海法湾石油化工厂因管道故障引起的火灾负责。2020年，该组织还声称攻击了以色列28个火车站，目标是150多台工业服务器。不过这些声明的真实性暂时无法核实。       转自Freebuf，原文链接：https://www.freebuf.com/news/373441.html 封面来源于网络，如有侵权请联系删除

近日，爱沙尼亚加密支付服务提供商CoinsPaid称其遭遇网络攻击，价值3720万美元的加密货币被盗。 尽管此次攻击给该公司造成了重大的经济损失，并对支付平台的可用性产生了诸多不利影响，但该公司表示客户资金仍是安全的，该事件不会对公司的业务产生重大影响。 CoinsPaid称此次攻击的始作俑者是Lazarus黑客组织，他们的目标是获得更高的现金。 为了应对这次攻击，公司的专家团队加强了系统防护等级，以将攻击造成的影响降到最低，让Lazarus黑客组织无法达成预期的攻击效果。 该公司表示，工程师们正在将系统恢复到一个全新的安全环境中，所有服务也正在逐渐恢复正常。 CoinsPaid方面表示，因此次攻击受到的损失或将在接下来的一段时间内完全补平。 该公司首席执行官Max Krupyshev还表示，Chainalysis, Binance, Crystal, Match Systems, Staked以及OKCoinJapan和Valkyrieinvest都在协助我们调查。与此同时，爱沙尼亚执法当局也已得到通知，并正在参与追踪工作。 Max Krupyshev表示，黑客们逃不掉法律的制裁。 7月26日，区块链分析师指责Lazarus盗窃了6000万美元的加密货币，影响了支付处理平台Alphapo，该平台仍在恢复中。 虽然目前还没有公布该黑客组织参与攻击的具体证据，但据报道，该事件带有与 Lazarus有关的明显特征。 考虑到Alpapho和CoinsPaid这两家公司的业务类型相似， Lazarus集团可能在最近的攻击中将重心放在加密货币的支付处理器上。 此前，该威胁组织还曾从Atomic Wallet窃取到了3500万美元，从Harmony Horizon窃取了1亿美元，并从基于区块链的游戏axy Infinity窃取了创纪录的6.17亿美元。     转自Freebuf，原文链接:https://www.freebuf.com/news/373276.html 封面来源于网络，如有侵权请联系删除

黑客组织SiegedSec近日攻击了北约组织，声称破坏了其COI门户，随后泄露了近1GB的数据，包括数百份供北约国家和合作伙伴使用的敏感文件。该数据还包含至少70名北约官员的全名、电子邮件地址、电话号码、办公地址和军衔。 SiegedSec在Telegram频道上声称，其对北约的黑客攻击与俄乌战争无关，主要针对的是北约侵犯人权的行为。SiegedSec还表示，针对北约的最新攻击展示了该组织日益增强的攻击性和攻击知名目标的熟练程度。 SiegedSec已成为一种重大网络威胁，其攻击行为由黑客行动主义和个人利益共同驱动，在黑客界号称“特种部队”，利用“匿名者”运动实施攻击，旨在引起人们对其主张的关注。 正如SiegedSec声称的那样，针对北约黑客攻击是对北约国家的报复行为，因为北约涉嫌侵犯人权。 著名网络安全研究公司Cyberint一直在密切关注SiegedSec的活动，该公司认为，称对北约COI门户的攻击标志着SiegedSec攻击目标的升级。过去，SiegeSec的策略是从知名和受欢迎的公司或组织窃取和泄露敏感信息，以吸引注意力并获得免费宣传。这种策略在过去被证明是有效的，从今年早些时候针对Atlassian的高调活动中就可以看出这一点。 尽管北约官员尚未确认数据泄露事件，但据称泄露的文件包含对北约国家和合作伙伴至关重要的信息，引发了人们对潜在安全影响的担忧。 黑客泄漏的北约敏感数据截图  数据来源：Cyberint 这不是北约第一次成为黑客攻击的目标。今年4月初，亲俄黑客组织Killnet声称其实施的网络攻击导致北约40%的电子基础设施“瘫痪”。 KillNet黑客还声称，他们针对北约进行了DDoS攻击，窃取了纯文本登录凭据，并使用它们在基辅和摩尔多瓦的同性恋约会门户网站上创建帐户。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/wUnH2DbPd66GfMuxlBaHmQ 封面来源于网络，如有侵权请联系删除

近几个月来，伴随着 ChatGPT 的热度暴涨，OpenAI 也不断因 AI 的道德问题和数据安全隐患遭到多方质疑，甚至上周还受到了美国联邦贸易委员会（FTC）的正式调查——这也是美国监管机构首次正式发起对 AI 聊天机器人风险的审查。 而正当 OpenAI 因 ChatGPT 疲于应对各方审查时，一款“没有道德界限或限制”的「邪恶版 ChatGPT」悄然在网络上蔓延：WormGPT。 （图片来源：Hacking forum） 「邪恶版 ChatGPT」，每月 60 欧元 根据网络安全公司 SlashNext 博客报道，其团队在研究生成式 AI 在网络犯罪方面的潜在风险时，偶然发现了 WormGPT：“我们最近通过一个与网络犯罪有关的著名在线论坛获得了一个名为 ‘WormGPT’的工具，它是一个 GPT 模型的黑帽替代品。” 据了解，WormGPT 的收费标准是每月 60 欧元（约人民币 479 元），而 SlashNext 对 WormGPT 的形容是：“专为恶意活动而设计”，简直是“网络罪犯的武器库”。 WormGPT 由一位胆大的黑客设计，他写道：“这个项目（WormGPT）旨在提供 ChatGPT 的替代方案，让你做各种非法的事情，你能想到的所有与黑帽相关的事情，都可以用 WormGPT 完成。”为了证明他的说法，他还上传了相关截图，显示用户可要求机器人生成用 Python 编码语言编写的恶意软件。 WormGPT 基于 2021 年开源的 LLM GPT-J 模型开发，工作方式与 ChatGPT 大致相同：可处理人类自然语言提出的要求，并输出所要求的任何内容，包括故事、摘要和代码。但与 ChatGPT 或 Bard 不同的是，WormGPT 不用像 OpenAI 或谷歌这样的大型公司那样，必须要承担相关的法律义务。 据 SlashNext 介绍，WormGPT 在各种数据源上进行训练，尤其集中在恶意软件相关的数据上，加上输出没有道德限制，可以被要求执行各种恶意任务，包括创建恶意软件和“一切与黑帽有关的事情”，对于网络犯罪分子而言无疑是一大利器。 对于 WormGPT，NordVPN 网络安全专家 Adrianus Warmenhoven 的评价是“ChatGPT 的邪恶双胞胎”，因为它显然是从 OpenAI 对 ChatGPT 不断施加限制、而攻击者极力规避这些限制才衍生出来的。 为了全面评估 WormGPT 相关的潜在危险，SlashNext 团队进行了以 BEC 攻击（商业电子邮件泄露，一种通过电子邮件进行的社会工程学攻击，攻击者一般会伪造电子邮件消息以诱骗受害者执行某些操作）为重点的测试：“在一次实验中，我们要求 WormGPT 生成一封电子邮件，内容是向毫无戒心的账户经理施压，迫使其支付虚假发票。” WormGPT 的输出结果令 SlashNext 直呼危险：“结果令人非常不安。WormGPT 生成的电子邮件不仅极具说服力，而且在战略上也非常狡猾，展示了它在复杂的网络钓鱼和 BEC 攻击中的无限潜力。” AI 加持下，新手将轻易实现诈骗 通过上面这个测试，SlashNext 总结道，类似于 WormGPT 这样的生成式 AI 技术可能会带来巨大威胁，因为有了这类工具的加持后，就连网络犯罪新手都能轻易实现诈骗。 以 BEC 攻击为例，使用生成式 AI 具有以下两大优势： （1）卓越的语法：生成式 AI 可以创建在语法上无懈可击的电子邮件，使其看起来合法合理，被系统标记为可疑邮件的可能性会大幅降低。 （2）降低犯罪门槛：生成式 AI 的出现，极大简化了原本复杂的 BEC 攻击，即便是技术有限的攻击者也能使用生成式 AI，它将成为越来越多网络犯罪分子可以使用的工具。 不过同时，针对生成式 AI 可能引发的大范围 BEC 攻击，SlashNext 也建议了两种防范策略： （1）进行 BEC 专项培训：公司应制定广泛的、定期更新的培训计划，以应对 BEC 攻击，尤其是由 AI 增强的攻击，要让员工了解到 BEC 攻击的威胁，以及 AI 将如何加大这种威胁的原理。 （2）强化电子邮件的验证措施：为防范 AI 驱动的 BEC 攻击，企业应执行严格的电子邮件验证流程，例如当有来自组织外部的电子邮件冒充内部高管或供应商时，系统要自动发出警报等。 AI 领域仍存在不少挑战和局限性 而事实上，除了上文提到的 WormGPT 编写恶意软件、助力 BEC 攻击以外，上个月 ChatGPT 的“奶奶漏洞”也证实了一个事实：尽管 OpenAI 等公司都对 AI 技术做出了许多限制措施，但目前还是无法完全避免这类漏洞的出现。 上个月，一位名为 Sid 的用户发现，只要让 ChatGPT 扮演其过世祖母讲睡前故事，就能顺利骗出 Windows 10 Pro 密钥。 经过Sid 的分享后，越来越多用户发现了这个漏洞，并开始尝试欺骗 ChatGPT 报出 Windows 11 序列号，其中许多人都成功了。据了解，虽然这些密钥大多是无效的，但有少量序列号也确实是真实可用的。 不论是 ChatGPT 的“奶奶漏洞”，还是“网络犯罪分子专用”的 WormGPT 的出现，都证明了至少现阶段 AI 领域仍存在不少挑战和局限性。为此，一方面，研究人员需继续深入相关技术，在提高数据质量、优化算法的同时，充分考虑伦理道德层面的影响。另一方面，作为用户的我们也应时刻保持谨慎，避免对 AI 产生过度依赖。     转自Freebuf，原文链接:https://www.freebuf.com/news/373009.html 封面来源于网络，如有侵权请联系删除

黑客组织 Lazarus 正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。 GitHub 提醒称，朝鲜国家黑客组织 Lazarus 正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。 Lazarus 组织又被微软威胁情报部门称为 Jade Sleet，被CISA 称为 TraderTraitor。美国政府机构在2022年发布报告详述了威胁行动者所使用的技术。 Lazarus 黑客组织长久以来攻击密币公司和网络安全研究人员，实施网络间谍活动并窃取密币。 以恶意软件攻击开发人员 GitHub 发布安全警报称，Lazarus 黑客组织正在攻陷合法账户或虚假人设，在GitHub 和社交媒体上假冒开发人员和招聘人员。 GitHub 在安全警报中提到，“GitHub 发现一个小规模社工活动，组合利用仓库邀请和恶意 npm 程序包依赖，攻击技术企业员工的个人账户。” 这些人设用于和密币、在线赌博和网络安全行业中的开发人员和员工联系并启动会话。这些会话常常会导向另一个平台，而在以往这个平台是 WhatsApp。与目标建立信任后，威胁行动者邀请目标协作项目并克隆一个主题为媒体播放器和密币交易工具的 GitHub 仓库。然而，GitHub 指出，这些项目利用恶意 NPM 依赖将更多恶意软件下载到目标设备上。 虽然 GitHub 仅提到，这些恶意 NPM 包作为第一阶段的恶意软件下载器，但他们引用 Phylum 在6月份发布的报告详细说明了与这些恶意 NPM 相关的详情。Phylum 公司提到，这些 NPM 作为恶意软件下载器，与远程站点连接，在受感染机器上执行的更多 payload。遗憾的是，Phylum 公司的研究员并未收到第二阶段的 payload 来查看交付给设备的最终恶意软件并分析被执行的恶意行为。Phylum 公司的研究人员提到，“不管原因是什么，很肯定这是复杂的供应链威胁行动者。该攻击引人注意的原因在于它独特的执行链要求：同样机器上需要以特定顺序安装两个不同的程序包。另外，这些恶意组件存储在服务器上，会在执行时动态分配。” GitHub 表示，他们已暂停使用所有的NPM和GitHub 账户并发布了与该活动相关的域名、GitHub 账户以及NPM包的完整指标清单。GitHub 公司还强调称这起攻击活动并未攻陷任何 GitHub 或 npm 系统。 这起活动类似于2021年1月Lazarus 组织发动的另一起攻击活动，当时攻击者利用详细的虚假“安全研究员”社交媒体人设对研究员发动社工攻击，以恶意软件感染目标。攻击者说服研究员协作开发漏洞，为安装自定义后门的漏洞利用分发恶意 Visual Studio 项目。2021年3月还发生类似攻击，黑客为虚假公司 SecureElite 创建网站，以恶意软件感染研究人员。 Lazarus 组织发动的其它攻击 Lazarus 黑客组织被指一直以来攻击密币企业和开发人员，窃取资产以支持朝鲜的计划。该组织传播木马化的密币钱包和交易应用窃取用户的密币钱包及其资金。2022年4月，美国财政部和 FBI 认为 Lazarus 组织盗取基于区块链的游戏公司 Axie价值6.17亿美元的以太坊和 USDC令牌。之后发现该组织将恶意 PDF 文件伪装成诱人的工作机会，发送给该公司的一名工程师。利用虚假工作机会传播恶意软件的情况也发生在2020年的“梦想工作行动”攻击中，位于美国的国防企业和航天企业员工遭攻击。     转自安全内参，原文链接:https://www.secrss.com/articles/56948 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： “匿名苏丹”再次进入公众视野，这一次，他们声称已经关闭了名为“Only Fans”的在线成人内容订阅网站的服务。 这些与俄罗斯有关的黑客在周三下午发布了关于“中断Only Fans网站”的帖子。该组织曾在6月份导致微软Outlook和其他Office 365服务离线数天，引起了人们的注意。 匿名苏丹首先声称，他们于美东时间下午3点左右在其加密的Telegram频道上关闭了Only Fans网站。 黑客们发布了加载失败的Only Fans网站截图、公司简介以及Check-Host链接。此行为大概是为了证明该网站的服务器IP地址已在超过41个国家发生了连接超时。 匿名苏丹的Telegram 匿名苏丹的Telegram 匿名苏丹最常使用分布式拒绝服务(DDoS)攻击作为攻击目标受害者的方法。 DDoS攻击会向受害者的服务器发送大量流量请求，导致其网站离线，从而使该组织能够控制攻击持续的时间。 “匿名苏丹”的攻击时间通常持续一到两个小时，Only Fans也不例外。该组织声称将继续对该订阅平台进行1小时的攻击。 匿名苏丹的Telegram 接着，他们发布了网站已被下线以及关于宕机的评论的截图。 具有讽刺意味的是，一名用户写道：“该组织发布的社交媒体消息指出，Only Fans网站几乎每周都宕机。” 总部位于伦敦的OnlyFans平台诞生于2016年夏天。 OnlyFans的内容创作者从订阅他们内容的用户那里赚钱，他们中的大多数是发布自己色情视频的性工作者。 据Business Insider报道，顶级OnlyFans创作者的收入可以达到10万美元到500多万美元不等。       消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

人工智能技术“出圈”后，越来越多网络攻击者对生成人工智能工具表现出极大“兴趣”。从 Bleeping Computer 网站披露的信息来看，暗网市场目前有数十万个 OpenAI 证书待售。 据悉，技术不熟练和经验丰富的网络犯罪分子都可以使用这些工具，创建更具诱惑力的钓鱼电子邮件（电子邮件可以为目标专门定制），以增加网络攻击成功的机会。 黑客大面积入侵 GPT AI Flare 的安全研究人员在分析暗网论坛和市场时注意到，OpenAI 证书是最新待售的商品之一， 目前可以确定了约有 20 多万个 OpenAI 证书以窃取日志的形式在暗网上出售。 虽然这一数字与 OpenAI 1 月份 1 亿活跃用户相比，似乎微不足道，但也能说明网络攻击者“看到”了生成式人工智能工具蕴藏的破坏力。 2023 年 6 月，网络安全公司 Group IB 在一份报告中指出超过101100个被泄露的 OpenAI ChatGPT 账户凭证在非法的暗网市场上待售。 可见许多网络犯罪分子都盯上了人工智能，甚至有一网络攻击者还开发了一个名为 WormGPT 的盗版 ChatGPT，并对其进行了针对恶意软件的数据训练， 该工具也被被宣传为“黑帽的最佳 GPT 替代品”。 网络犯罪论坛上推广 WormGPT 工具 WormGPT 主要依赖 2021 年推出的 GPT-J 开源大型语言模型，以此来生成类人文本，其开发人员表示在不同的数据集上训练了该工具，重点是恶意软件相关数据，但没有提供有关具体数据集的提示。 WormGPT 显示了 BEC 攻击的潜力 电子邮件安全提供商 SlashNext 访问了 WormGPT，并进行了一些测试以确定其潜在危险。研究人员指出在一项实验中，指示 WormGPT 生成一封电子邮件，旨在向毫无戒心的客户经理施压，迫使其支付欺诈发票。 结果，WormGPT 生成的电子邮件不仅极具说服力，而且在战略上非常狡猾，完美展示了其在复杂的网络钓鱼和 BEC 攻击中的潜力。 WormGPT 为 BEC 攻击生成的内容 来源：SlashNext 通过分析生成的信息，SlashNext 的研究人员发现了生成式人工智能工具 WormGPT 除了能够生成 “无懈可击的语法 “的信息外，还能够使技术水平较低的攻击者实施超出其水平的攻击。 最后，研究人员指出尽管抵御这种威胁可能比较困难，但是并非不能防御。企业可以通过培训员工如何验证要求紧急关注的邮件（尤其是含有金融内容的邮件）、改进电子邮件验证流程，或标记出通常与 BEC 攻击相关的关键字。     转自Freebuf，原文链接:https://www.freebuf.com/news/372594.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 攻击者正在积极利用WooCommerce Payments WordPress插件近期披露的一个严重安全漏洞，作为大规模针对性攻击的一部分。 该漏洞被追踪为CVE-2023-28121 (CVSS得分:9.8)，一种身份验证绕过的情况。漏洞允许未经身份验证的攻击者冒充包括管理员在内的任意用户，并执行一些操作。这可能导致网站被黑客接管。 Wordfence安全研究员Ram Gall在文章中表示:“针对该漏洞的大规模攻击始于2023年7月14日，并持续了整个周末。16日，针对15.7万个站点的攻击达到了130万次。” WooCommerce Payments的4.8.0到5.6.1版本存在风险，超过60万个网站都安装了该插件。WooCommerce早在2023年3月就发布了该漏洞的补丁，WordPress也向使用该软件受影响版本的网站发布了自动更新信息。 这类攻击的一个共同点是使用了HTTP请求标头“X-Wcpay-Platform-Checkout-User: 1”，这导致易受影响的站点将任何额外的有效负载均视为来自管理员的操作。 Wordfence表示，上述漏洞被用于部署WP Console插件。管理员可以使用该插件执行恶意代码，以设置持久性和后门受感染的站点。 Adobe ColdFusion漏洞被利用 Rapid7报告称，从2023年7月13日开始，Adobe ColdFusion漏洞就在多个客户环境中被积极利用，且在受感染的端点上部署web shell。 Rapid7安全研究员Caitlin Condon表示:“攻击者似乎正在利用CVE-2023-29298以及一个次要漏洞。”另外一个漏洞是CVE-2023-38203 (CVSS得分:9.8)，这是一个反序列化漏洞，在7月14日发布的带外更新中得到了解决。 CVE-2023-29298 (CVSS评分:7.5)涉及一个访问控制绕过漏洞，影响ColdFusion 2023、ColdFusion 2021 Update 6及以下，以及ColdFusion 2018 Update 16及以下。 “该漏洞允许攻击者通过在请求的URL中插入额外斜杠字符来访问管理端。”Rapid7上周披露到。他们表示，CVE-2023-29298的修复是不完整的，攻击者仍可以可以通过琐碎的修改来绕过Adobe发布的补丁。 thehackernews建议用户更新到最新版本的Adobe ColdFusion，以防止潜在的威胁，因为修复CVE-2023-38203的程序打破了漏洞利用链。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 乌克兰和波兰的政府机构、军事组织以及平民用户已经成为一系列攻击的目标。这些攻击旨在窃取敏感数据，并获得对受感染系统的持久远程访问权限。 该入侵行为从2022年4月开始持续到了2023年7月，利用网络钓鱼诱饵和诱饵文件部署名为“PicassoLoader”的恶意软件。该恶意软件可以作为启动Cobalt Strike Beacon和jnrat的载体。 思科Talos研究员Vanja Svajcer在一份新报告中表示:“这些攻击使用了一个由恶意的微软Office文档发起的多级感染链，目前最常见的文档使用了Excel和PowerPoint格式。随后，该攻击会利用一个可执行的下载程序以及隐藏在图像文件中的有效载荷。这意味着检测难度可能会升级。” 其中一些活动被归因于一个名为GhostWriter(又名UAC-0057或UNC1151)的攻击者。据说该组织的优先级与白俄罗斯政府一致。 值得注意的是，在过去的一年中，乌克兰计算机应急响应小组(CERT-UA)和Fortinet FortiGuard实验室已经记录了该攻击的一个子集，其中一个在2022年7月使用了宏加载的PowerPoint文档来发布代理特斯拉恶意软件。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文