乌俄冲突让网络战更加白热化，近期，美国陆军本周宣布对外招募网络战部队，防御国外政府发动的网络攻击以及防御工作。 美国陆军指出，21世纪的战争已经转移到网络，恶意网络流量、复杂的钓鱼攻击、病毒和其他虚拟攻击，正对美国关键基础设施以及人民安全产生直接威胁。 美国陆军表示，加入“网络战士”将会获得网络攻击及防御任务的技能训练，强化辨识锁定政府机构和金融中心的广告软件、勒索软件、间谍软件，以及找出国际黑客网络、破坏国内网络犯罪计划，保卫美国陆军通讯的能力。 虽然网络战一直存在，但在乌俄冲突后，网络战争也由暗转明，美国拜登政府今年也号召投入资金强化美国国防，号召企业协助美国网络基础架构及军事、政府信息系统的防御。另一方面，新冠疫情影响降低民众从军意愿，美陆军今年一月宣布提供入伍奖金到最高一年5万美元以及其他奖金。 美国陆军招募的主要包括网络电子作战官、网络作战官、密码情报分析师、网络防御员以及网络作战专员。网络电子作战官是网络防御及整合首要人物，负责协调电子攻击和防御任务，并提供电子作战支援。网络作战官主要面对敌人行动执行攻击。 密码情报分析师负责搜集和分析情报，找出目标所在，也要从电脑、语音、影像及文字通讯中找出敌军行动样态线索，协助作战。网络防御员则是专注在电脑网络，包括基础架构支援、安全事件回应、稽核和管理，也需侦测和扫除网络上的未授权活动，并以各种工具来分析以及回应攻击。最后，网络作战专员负责确保美国陆军的重要武器系统，包括卫星、导航、飞航系统免于国内、国外网络威胁。这个角色要协助指挥官在“网络所有领域”克敌制胜。 美国陆军将提供的训练包括基础技术、情报和网络作战技能、程序编写语言、IT安全认证、网络作战策划和执行、进阶的电脑指令、鉴识、恶意程序分析和黑客训练、以及拦截防范爆炸装置（improvised explosive device，IED）和辨识及对抗雷达及其他电子攻击系统的训练。 已有理工科系学位且现职为网络专业人士若加入美军，可以申请成为军官，依其程序编写及分析经验而定，军职可以从少尉起跳，最高到上校，而且获得相应的加给。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/gy0E2fELt83cRZrbHo8NzQ 封面来源于网络，如有侵权请联系删除

据悉，朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。 卡巴斯基将集群代号为GoldDragon，感染链导致 Windows 恶意软件的部署，这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。 潜在受害者包括韩国大学教授、智库研究人员和政府官员。 Kimsuky，也被称为 Black Banshee、Thallium 和 Velvet Chollima，是朝鲜多产的高级持续威胁 (APT) 组织的名称，该组织以全球实体为目标，但主要关注韩国，以获取有关各种政权情报。 该组织自 2012 年以来一直在运营，主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。 上个月末，网络安全公司 Volexity 归咎于一项情报收集任务，该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。 最新的活动遵循类似的作案手法，其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的，据称这些文档包含与该地区政治问题相关的内容。 据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。 无论使用哪种方法，初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本，该脚本被编排为对机器进行指纹识别并检索其他有效负载，包括能够泄露敏感信息的可执行文件。 该攻击的新颖之处在于，如果收件人单击电子邮件中的链接以下载其他文档，则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址，则返回良性文档。 为了使杀伤链更加复杂，第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器，然后将其与目标打开诱饵文档后生成的传入请求进行比较。 两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript，表明该方法具有高度针对性。 卡巴斯基研究员 Seongsu Park 说：“Kimsuky 组织不断改进其恶意软件感染方案，并采用新技术来阻碍分析，追踪这个群体的主要困难是很难获得完整的感染链。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Ulc-heW6R_r8395RKfov4Q 封面来源于网络，如有侵权请联系删除

据Bleeping Computer8月24日消息，一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，其中包括受多因素身份验证 （MFA） 保护的帐户。 Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。 在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。 在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。 发送给目标高管的网络钓鱼邮件 攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。 攻击者将手机添加为新的 MFA 设备 由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。 在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。 然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342973.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SolarWinds供应链攻击背后的黑客与另一个“高度目标化”的后门恶意软件有关，该恶意软件可用于保持对受损环境的持久访问。 微软威胁情报团队称之为MagicWeb，该开发重申了Nobelium对开发和维护专用功能的承诺。 Nobelium是这家科技巨头的绰号，因为2020年12月针对SolarWinds的复杂攻击曝光了一系列活动，并与俄罗斯民族国家黑客组织APT29，Cozy Bear或The Dukes重叠。 微软表示：“Nobelium仍然非常活跃，同时针对美国、欧洲和中亚的政府组织、非政府组织、政府间组织和智囊团开展了多项活动。” MagicWeb与另一个名为FoggyWeb的工具有相似之处，据评估，它已部署用于在补救工作期间维护访问权限和抢占驱逐，但只有在获得对环境的高度特权访问并横向移动到AD FS服务器之后。 虽然FoggyWeb具有专门的功能来提供额外有效负载和从Active Directory Federation Services（AD FS）服务器窃取敏感信息，但MagicWeb是一个流氓DLL（“Microsoft.IdentityServer.Diagnostics.dll”的后门版本），它通过身份验证旁路促进对AD FS系统的秘密访问。 “Nobelium部署MagicWeb的能力取决于能否访问对AD FS服务器具有管理权限的高特权凭据，从而使他们能够在其访问的系统上执行任何恶意活动。”微软表示。 此前，一项以APT29为主导的针对北约附属组织的行动被披露，目的是获取外交政策信息。 具体来说，这需要禁用名为Purview Audit（以前称为高级审核）的企业日志记录功能，以从Microsoft 365帐户中获取电子邮件。Mandiant说：“APT29将继续展现卓越的操作安全性和规避战术。” 黑客在最近的操作中使用的另一种新策略是使用密码猜测攻击来获取与休眠帐户相关联的凭据，并将其注册为多重身份验证，从而允许其访问组织的VPN基础设施。 APT29仍然是一个多产的威胁组织。上个月，Palo Alto Networks Unit 42标记了一场网络钓鱼活动，该活动利用Dropbox和Google Drive云存储服务进行恶意软件部署和其他入侵后行动。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

在我们还在纠结买车全款还是贷款的时候，就有人在网上直接2200多万元，拍下一辆柯尼塞格超跑了，这你敢相信？不过，有钱人也有有钱人的烦恼，买车稍有不慎同样“进坑”。日前，网友上传一段视频显示，一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑，8月19日，和朋友一起斥资2200多万元将其拍下。 8月21日收到平台的付款信息，将剩余车款2200多万元全款支付，计划22日前往天津提车。但是此时却有意外发生，平台告知，因为受到黑客攻击，导致拍卖结果有误。 原本愉快的提车之旅，现在变成了维权之路，就在他们去往天津的路上，拍卖平台无任何说法，将车款全额退还；5个多小时后，将300万元保证金一同退还。 8月24日，他们一行人来到拍卖平台所在公司，却得不到任何答复，也不出具任何证明，只说明事情仍在调查当中。 对此，买家相当不解，如果是他们拍卖后，不及时支付尾款，那么他们300万的保证金平台肯定不会退还；但现在是他们支付了尾款，而平台方却不给提车，平台这种做法是否构成违约，需要退还双重保证金？需要专业人士来解答。 目前，双方还未达成一致，后续关注。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308665.htm 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞，从用户处掠夺加密货币。 攻击事件发生不久后，General Bytes 在一份公告中表示，自 2020-12-08 版本以来，该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面，利用页面上的 URL 调用，远程创建管理员用户。 CAS CAS，Crypto Application Server 的缩写，是 General Bytes 公司旗下一款自托管产品，能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM（BATM）机器。 目前，涉及 CAS 管理界面的零日漏洞，已经在以下两个版本的服务器补丁中得到了修复： 20220531.38 20220725.22 General Bytes 强调，未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间，识别出在端口 7777 或 443 运行的 CAS 服务，随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。 之后，黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”，这时候客户向 ATM 机发送加密货币，双向 ATM 机则会向黑客钱包地址转发货币。 换句话说，攻击者主要目的是通过修改设置，将所有资金都转到其控制的数字钱包地址里。值得一提的是，目前尚不清楚有多少服务器受到此漏洞影响，以及有多少加密货币被盗。 最后，General Bytes 公司强调，自 2020 年以来，内部已经进行了多次“安全审计”，从未发现这一零日漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342610.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 黑客控制了一颗退役卫星，并播放了黑客会议演讲和黑客电影。 在拉斯维加斯举行的最新一届DEF CON黑客大会上，白帽黑客团体Shadytel演示了如何控制地球静止轨道上的卫星。该组织使用了一颗名为Anik F1R的卫星，该卫星于2020年被销毁。 该组织被授权进行黑客攻击，他们攻击的卫星已经退役，这意味着它将被送往墓地轨道。墓地轨道，也被称为垃圾轨道，它远离普通运行轨道，一些卫星在其运行寿命结束时被移入此类轨道，以避免与运行中的航天器和卫星发生碰撞。 该小组的一名成员Karl Koscher解释说，他们可以使用一个未使用的上行链路设施，其中包括连接卫星的硬件。 “[Koscher]说，他们还获得了使用上行链路的许可证，并租用了卫星转发器，该转发器是在接收天线和发射天线之间打开通道的单元。”Lorenzo Franceschi-Bicchierai在主板上写道。 这群黑客能够将去年在ToorCon举行的黑客会议上的谈话与WarGames等黑客电影一起播放。 Koscher及其团队强调黑客一旦进入上行链路设施，就可能控制退役卫星进行恶意活动。 Koscher解释说，很容易找到连接卫星的硬件，该小组使用了一种Hack RF软件定义的无线电外围设备，能够传输或接收从1 MHz到6 GHz的无线电信号。这个软件很便宜，只需300美元左右。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用，来破坏目标网络，进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说： “Bumblebee操作员进行密集的侦察活动，并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光，当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动，该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付，此后，这种操作方式得到了调整，避开使用带有宏的文档，转而使用ISO和LNK文件，主要是为了响应微软默认阻止宏的决定。 研究人员说：“恶意软件的传播是通过钓鱼电子邮件来完成的，该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行，最终用户必须提取存档，挂载ISO映像文件，并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言，包含启动Bumblebee加载程序的命令，然后将其用作下一阶段操作（如持久性、权限升级、侦察和凭据盗窃）的管道。 攻击期间还使用了Cobalt Strike对手模拟框架，该框架在受感染端点上提升权限后，使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中，一名高权限用户的被盗凭据随后被用来控制Active Directory，更不用说创建一个本地用户帐户来进行数据泄露。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件，冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵，而在近期的恶意活动中，该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。 这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后，就会显示上图这样的诱饵 PDF 文件，然后就会调用恶意 DLL，最终允许威胁攻击者向受影响的设备发送命令。 ESET 的网络安全专家表示黑客已经做好攻击 macOS 系统的准备了。专家表示 Intel 和 Apple Silicon 的 Mac 均会受到影响，意味着无论新旧设备都可以成为黑客的攻击目标。 在 Twitter 上的一份帖子中，该恶意文件会释放 3 个文件 ● 捆绑的 FinderFontsUpdater.app ● 下载器 safarifontagent ● 一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。 ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来，后者也被认为是 Lazarus 的手笔，以类似的方式攻击知名航空航天和军事组织。 查看 macOS 恶意软件，研究人员注意到它是在 7 月 21 日签署的（根据时间戳值），并在 2 月份向开发人员颁发了证书，该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。 8 月 12 日，该证书尚未被 Apple 吊销。但是，该恶意应用程序并未经过公证，这是Apple 用于检查软件是否存在恶意组件的自动过程。 与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比，ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器，该服务器在分析时不再响应。长期以来，朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305963.htm 封面来源于网络，如有侵权请联系删除

《CS:GO》（反恐精英：全球攻势）是近来最热门的多人第一人称射击游戏之一，由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性，这就促使了使用Steamworks API的交易网站的创建，以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一，拥有53种武器的1696种独特皮肤，总资产价值为1650万美元。而该平台最近不幸被黑客盯上，在第一波攻击中大约600万美元的皮肤失窃，资产直接缩水了1/3以上。 在8月13日察觉到攻击后至今，CS.MONEY网站处于关闭状态，并且暂时无法给出恢复服务的预计时间。CS.MONEY正在采取各种方式挽回损失。据其在Twitter上发布的推文，其他交易平台已同意阻止20000件被盗物品的交易，以防止黑客脱手赃物。 对于本次攻击事件，CS.MONEY的公关主管Timofey Sobolevky撰文详细说明了来龙去脉： CS.MONEY在收到可疑交易的消息后，最初的想法是CS.MONEY本身被黑客入侵，他们禁用了所有外部设备和服务的授权，怀疑问题可能出在cookie文件被盗。但工作人员登陆交易数据库后，发现CS.MONEY service在其日志中未记录任何交易，这说明发送可疑交易的机器人不是受CS.MONEY控制，而是由攻击者直接控制。这也解释为什么即使他们重置了所有授权并关闭了服务仍未能停止可疑交易。 CS.MONEY随后确认，事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限，使得黑客能够直接控制托管皮肤的机器人。 该黑客为混淆视听，除将皮肤发送给自己外，还随机将其分发给普通玩家、知名交易者、博主等，以转移调查人员的注意力、隐藏自身的踪迹。在攻击的第一天，黑客共操纵约100个帐户完成了约1000笔交易。 CS.MONEY团队现在正在尝试重置其密码和MA文件，而所有被转移的皮肤现在都处于交易锁定状态。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。 转自 安全内参，原文链接：https://www.secrss.com/articles/45939 封面来源于网络，如有侵权请联系删除