APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织，据美国和英国政府称，黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中，美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞，目的是针对欧洲组织和美国政府机构。 咨询报告说，黑客还入侵了”大约250名乌克兰受害者”，这些机构没有透露姓名。APT28也被称为Fancy Bear，以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。 根据联合公告，黑客利用了思科在2017年修补的一个可远程利用的漏洞，部署了一个被称为”美洲豹牙”的定制恶意软件，该软件旨在感染未打补丁的路由器。 为了安装该恶意软件，威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。 SNMP，即简单网络管理协议，允许网络管理员远程访问和配置路由器，以代替用户名或密码，但也可能被滥用来获取敏感的网络信息。一旦安装，该恶意软件就会从路由器中渗出信息，并提供对设备的隐秘后门访问。 思科Talos的威胁情报总监Matt Olney在一篇博文中说，这次活动是”一个更广泛的趋势，即复杂的对手将网络基础设施作为目标，以推进间谍活动的目标或为未来的破坏性活动做准备”的一个例子。 “思科对网络基础设施的高精尖攻击率的增加深感担忧–我们已经观察到了，并且看到了由各种情报组织发布的许多报告所证实的情况–表明国家支持的行为者正在瞄准全球的路由器和防火墙，”奥尔尼补充说，除了俄罗斯之外，还有其他国家支持的黑客被发现在一些活动中攻击网络设备，例如利用Fortinet设备的一个零日漏洞，对政府组织进行了一系列攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7223790451927548420/ 封面来源于网络，如有侵权请联系删除

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。 APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。 在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。 自定义 Cisco IOS 路由器恶意软件 Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。 NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。” 为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。 如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。 一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。 NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。” 此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露： 显示运行配置 显示版本 显示 ip 界面简介 显示arp 显示 cdp 邻居 演出开始 显示 ip 路由 显示闪光 所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。 Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。 如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。 CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。 最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。 目标的转变 公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。 由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。 此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/0SbA7wXgGuDajkAMoOxqZA 封面来源于网络，如有侵权请联系删除  

美国高级安全官员表示，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 美国国家安全局网络安全主管罗伯·乔伊斯（Rob Joyce）称，作为乌克兰战争的一部分，俄罗斯政府和政府支持黑客一直在攻击乌克兰的信息技术系统。 而黑客攻击的一大重点，正是乌克兰地方当局和私营企业用于监控周边环境的闭路电视摄像头。 乔伊斯在华盛顿国际与战略研究中心表示，“乌克兰的利益正不断受到侵害，包括试图破坏其金融、政府、个人和个体企业。” “俄方采取了种种创造性的攻击手段。我们观察到，俄罗斯黑客开始登入面向公众的联网摄像头，希望借此观察运送援助物资的车队和列车。” “他们入侵了这些网络摄像头……并且选择的目标并非网上公开的城镇广场监控，而是咖啡厅安装的安保摄像头。” 他表示，俄罗斯方面还将黑客攻击的重点放在美国国防制造商和物流运输企业身上，希望了解关于乌克兰武器供应链的更多信息。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/JOMDRDIgNKsnNlBFxkYRVg 封面来源于网络，如有侵权请联系删除

近日，据韩国加密货币交易所GDAC 称，被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币 。 韩国加密货币交易所和区块链平台 GDAC 成为毁灭性黑客攻击的受害者，导致价值约 1390 万美元的各种加密货币被盗。 GDAC CEO Han Seunghwan 于 2023 年 4 月 10 日发布公告，透露攻击发生在 2023 年 4 月 9 日上午，当时黑客控制了交易所的部分热钱包。 被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币。如公告所述，这相当于 GDAC 托管资产总额的 23% 左右。为应对此次攻击，GDAC已暂停所有充提业务，并启动紧急服务器维护。 GDAC 已迅速采取行动，向警方报告黑客攻击事件，通知韩国互联网安全局 (KISA)，并向金融情报部门 (FIU) 通报攻击造成的损失。该交易所还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款，封锁相关地址的入金，具体举措包括： 01 通知韩国金融情报部门 02 暂停GDAC服务器、出入金服务 03 已报警，要求进行网络犯罪调查 04 向韩国网络安全局(KISA)请求技术支援 05 要求代币发行方、交易所、DeFi协议联合冻结资产 Seunghwan 表达了确认恢复存款和取款时间表的挑战，并指出正在进行的调查是造成不确定性的原因。 不幸的是，这起事件并不是孤立的，因为中心化交易所黑客继续困扰着加密货币行业。2022 年 1 月，Crypto.com 遭受黑客攻击，损失超过 1500 万美元。 2019 年 11 月，韩国加密货币交易所 UPbit 遭到黑客攻击，之后攻击者设法窃取了价值 5000 万美元的以太币。尽管如此，GDAC 黑客攻击只会损害投资者对在线加密货币交易所的信任。 随着加密货币市场的持续增长，安全仍然是一个关键问题。交易所和投资者都必须保持警惕并采取强有力的措施来防范潜在的网络威胁。GDAC 的不幸经历提醒人们，在不断发展的加密货币领域，严格的安全协议非常重要。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/5imgP5fmHBalhbvPtaNFKw 封面来源于网络，如有侵权请联系删除  

理论上，大多数恶意的Android应用来自可疑的网页或第三方应用商店，但安全研究人员经常发现它们隐藏在Google的官方Play商店中。卡巴斯基的一份新报告表明，被黑的Play Store应用正变得越来越复杂。 在本周发表的一份新报告中，安全公司卡巴斯基描述了一个暗网市场，提供用Android恶意软件和间谍软件入侵目标的服务。黑客可以将大部分恶意代码偷偷放到Google Play商店，规避Google最严格的保护措施。 这个过程的第一步，也可以说是对终端用户最危险的一步就是劫持Play商店的开发者账户。一个潜在的攻击者可以向黑客支付25-80美元，购买一个被盗或用偷来的凭证注册的开发者账户。这让网络犯罪分子把以前信任的应用程序转化为恶意软件的载体。 如果攻击者上传了一个新的应用，他们可能不会立即加载间谍软件，以避免引起Google的注意，相反，其策略是等待，直到它积累了足够的下载量。黑客还提供夸大下载量的服务，并发起Google广告活动，使欺诈性的应用程序看起来更合法。 然后，黑客可以使用加载器，通过看似合法的更新将恶意代码推送到目标设备，但这些可能不包含最终的恶意软件有效载荷。应用程序可能会要求用户同意从Google游戏商店以外的地方下载应用程序或其他信息，然后完全感染设备以完全控制或窃取信息。被感染的应用程序有时会停止正常工作，直到用户授予下载完整有效载荷的权限。 黑客在销售恶意软件时提供一系列复杂的服务和交易，包括演示视频、捆绑销售、拍卖和各种付款计划。恶意软件卖家可能会要求一次性付款，从诈骗行动中获得一定比例的利润，或收取订阅费。 为了增加成功感染的机会，黑客们出售混淆服务，使有效载荷复杂化，以加强对Google的安全防护。相反，存在更便宜的绑定服务选择，试图用非Play Store APK感染目标，其成功率比加载器低。 对用户来说，最直接的预防措施是永远不要让Play Store应用程序从Play Store以外的地方下载任何东西，特别是如果这些应用程序通常不要求这种许可。始终谨慎对待授予应用程序的权限。同时，开发者应该格外小心，通过多因素认证和一般的警惕性等常见的最佳做法来保护他们的账户安全。最常受影响的应用程序是加密货币追踪器、二维码扫描器、约会和金融应用程序。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7220990076393062967/ 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包，这些软件包导致了短暂拒绝服务（DoS）攻击。 Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示，攻击者利用开源生态系统在搜索引擎上的良好声誉，创建恶意网站并发布带有恶意网站链接的空包，此举可能导致拒绝服务（DoS）攻击，使 NPM 变得极不稳定，甚至偶尔会出现服务不可用的“错误”。 在最近观察到的一波攻击活动中，软件包版本数量达到了 142 万个，显然比 npm 上发布的约 80 万个软件包数量大幅上升。 Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站，并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉，任何新的开源软件包及其描述都会继承这一良好声誉，并在搜索引擎中得到很好的索引，因此毫无戒心的用户更容易看到它们。 值得注意的是，鉴于整个攻击过程都是自动化的，众多虚假软件包同时发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。 Checkmarx 指出，此次攻击活动背后可能有多个威胁攻击者，其最终目的也略有差别，大致可分作为以下三种： 第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统；第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站，一旦受害者在这些平台上购买商品，攻击者就会获得分成利润； 第三类则是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。 最后，Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动，因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性， 为了防止此类自动化攻击活动，建议 npm 在创建用户帐户时采用反机器人技术。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363174.html 封面来源于网络，如有侵权请联系删除  

一份法庭文件显示，美国政府在3月14日以近2.16亿美元的价格出售了9861.17枚比特币（BTC）。出售的比特币是11月逮捕詹姆斯-钟(James Zhong)后扣押的5万枚比特币中的一部分，詹姆斯-钟在政府指控他在2012年操纵暗网市场丝绸之路的交易系统后承认了电信欺诈罪。当时，政府描述其为最大的加密货币扣押行动。 该文件说，政府打算在本日历年内分四批清空剩余的41490个比特币。 在看到美国当局于3月9日将价值超过2亿美元的比特币转移到Coinbase（COIN）后，加密货币交易商受到惊吓。比特币的价格因此而波动，在24小时内涨幅高达9.7%，然后又回到了之前的位置。 然而，现在，比特币交易员仍然没有受到美国政府卖出压力的重新担忧的干扰，加密货币继续在28000美元左右交易。     转自 Freebuf，原文链接：https://www.toutiao.com/article/7216993392683647500/ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，西班牙警方逮捕了 一名19 岁黑客 JoséLuis Huertas（又名“Alcaseca”、“Mango”、“chimichuri”）。据悉， Huertas 创建了名为 Udyat 的搜索引擎，专门出售大量被盗敏感信息，被“誉为”西班牙最危险的黑客。 早在 2022 年 11 月，西班牙警方开始调查 JoséLuis Huertas，通过不断的努力，终于在 Huertas 的家中获了大量现金、文件和电脑，掌握充分证据后，立刻逮捕了这位年轻的黑客。在警方描述下，Huertas 对国家安全构成严重威胁。 值得一提是，之所以启动对 JoséLuis Huertas 的调查，原因是西班牙国家司法委员会（CGPJ）的计算机网络遭到了严重破坏，此次网络攻击中，黑客窃取了 575000 名纳税人的敏感数据（包括个人身份信息、账号、银行号码），并创建了一个数据库，以期将这些信息出售给其他网络犯罪分子。 Huertas 还被指控冒充 Gestevisión Telecinco/Mediaset España 首席执行官 Paolo Vasile，并盗取 Vasile窃取了 30 万欧元。此外，警方还指控 Huertas 攻击高级国家机构和洗钱。 更讽刺的是，Huertas 每次成功发起网络攻击后都会变得更加大胆，以至于在某次 YouTube 上采访中，他声称可以访问大约 90% 西班牙公民的个人信息。 根据西班牙当地媒体报道的信息来看，虽然 Huertas 使用的加密货币已经通过混合服务“清洗”，但警方在国家加密中心专家的帮助下，通过持续追踪“Udyat ”服务器托管服务的资金线索，最终追踪到了 Huertas。 目前，警方鉴于Huertas 有逃跑、销毁证据并继续犯下类似罪行的巨大风险，将会一直拘留他到审判日当天。法官何塞·路易斯·卡拉马（JoséLuis Calama）进一步表示，嫌疑人拥有大量加密货币，可以居住在世界任何地方，因此他决定继续拘留嫌疑人。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362702.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能，这些档案包含无害的诱饵文件，使其能够在不触发目标系统上安全代理的情况下设置后门。 用 WinRAR 或 7-Zip 等压缩软件创建的自解压档案（SFX）本质上是包含归档数据的可执行文件，以及一个内置解压存根（解压数据的代码），对这些文件的访问可以有密码保护，以防止未经授权的访问。（SFX 文件目的是为了简化向没有提取软件包的用户分发存档数据的过程。） 使用7-Zip创建受密码保护的SFX （来源：CrowdStrike） 然而，网络安全公司 CrowdStrike 的研究人员在最近的一次事件响应调查中发现了 SFX 滥用。 野外发现 SFX 攻击 Crowdstrike 发现了一个网络犯罪分子使用窃取来的凭据滥用“utilman.exe”，将其设置为启动一个受密码保护的 SFX 文件，并且该文件之前已植入系统。 （Utilman 是一种可访问性应用程序，可以在用户登录之前执行，经常被黑客滥用以绕过系统身份验证。） 登录屏幕上的 utilman 工具 （来源：CrowdStrike） utilman.exe 触发的 SFX 文件不仅受密码保护，而且包含一个用作诱饵的空文本文件。SFX  文件的真正功能是滥用 WinRAR 的设置选项，以系统权限运行 PowerShell、Windows 命令提示符（cmd.exe）和任务管理器。 CrowdStrike 的研究人员仔细研究了其中的技术细节，发现攻击者在目标提取存档的文本文件后添加了多个命令来运行。虽然档案中没有恶意软件，但威胁攻击者在设置菜单下添加了创建 SFX 档案的命令，该档案可能成为“打开”目标系统的后门。 WinRAR SFX 设置中允许后门访问的命令 （来源：CrowdStrike） 如上图所示，注释显示在攻击者自定义 SFX 存档后，在提取过程中不会显示任何对话框和窗口。此外，威胁攻击者还添加了运行 PowerShell、命令提示符和任务管理器的指令。WinRAR 提供了一组高级 SFX 选项，允许添加一个可执行文件列表，以便在进程之前或之后自动运行，如果存在同名条目，还可以覆盖目标文件夹中的现有文件。 Crowdstrike 解释说因这个 SFX 档案可以从登录屏幕上运行，所以攻击者实际上有个持久后门，只要提供了正确的密码，就可以访问它来运行 PowerShell、Windows 命令提示符和具有NT AUTHORITY\SYSTEM 权限的任务管理器。 研究人员进一步强调，传统的反病毒软件很可能无法检测到这种类型的攻击，毕竟检测软件只在档案（通常也有密码保护）中寻找恶意软件，而不是 SFX 档案解压缩器存根的行为。 观察到的攻击链 （来源：CrowdStrike） Crowdstrike 声称，恶意的 SFX 文件不太可能被传统恶意软件解决方案捕获。在测试过程中，安全人员创建了一个自定义的 SFX 存档以提取后运行 PowerShell 时，Windows Defender 做出了反应，然而，仅仅只记录了一次这种反应，无法复制。 最后，研究人员建议用户应特别注意 SFX 档案，并使用适当的软件检查档案的内容。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362553.html 封面来源于网络，如有侵权请联系删除

西部数据（Western Digital）于当地时间4月3日公开声称，公司系统网络遭到了入侵，某未经授权的访问者获得了对多个系统的访问权限。 这家全球知名、总部位于美国加利福尼亚州的计算机驱动器制造商和数据存储服务提供商在一份新闻稿中表示，网络入侵是在上周日，也就是3 月 26 日被发现。事发后，公司实施了事件响应工作，并在专家团队的协助下开始进行调查。目前调查处于早期阶段，但根据现已掌握的迹象，公司认为入侵者已经访问了部分数据，可能会对其业务运营造成进一步破坏。 为了保护系统数据，西部数据采取了额外的安全措施，部分服务不得不中断。自3月26日以来，多个包括My Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS5、SanDisk ibi、SanDisk Ixpand等产品在内的用户一直在报告他们无法访问自己的云存储服务系统，在登陆时会弹出“服务暂时不可用”的提示。 Delinea 首席安全科学家兼咨询 CISO 约瑟夫·卡森表示，该事件提醒我们，当攻击者成功获得对受害者网络的未授权访问、尤其是该公司是一家为众多客户提供服务的云存储公司时会造成的后果。由于许多消费者和企业无法远程访问关键数据，因此这一安全事件的影响可能会显著升级。 根据 My Cloud 服务状态页面，当前的服务中断已经是该公司近几年来持续时间最长、范围最广的一次，而上一次该公司出现较为重大的安全事件是在2021年，其My Book Live 系列产品被曝存在两个严重漏洞，能允许外部攻击者远程擦除NAS 机箱内的硬盘数据。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362529.html 封面来源于网络，如有侵权请联系删除