分类: 安全快讯

加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响

安全内参11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。 Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。 恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。 尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。 目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。 Maple Leaf Foods在公告中表示,“我公司正在执行业务连续性计划,着手恢复受到影响的系统。” “但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。” Maple Leaf Foods表示将继续与客户及合作伙伴携手,尽量缓和加拿大市场上的食品供应中断。 该公司发言人还在发给媒体的评论中指出,他们正在对事件开展调查,但尚未确定此次攻击是如何发生的。 声明提到,“中断已经造成部分运营和服务无法正常进行,具体情况依各业务部门、工厂和地点而定。” 至于接下来的恢复阶段,这位发言人预计系统恢复期间会继续发生中断,但他们会努力将这种影响降至最低。 “目前,我们专注于恢复业务连续性。” “在恢复过程中,预计我们的运营和服务还会出现一定波动。但我们的团队正在部署业务连续性计划并实施变通办法,着力减轻对我们运营和业务造成的影响。” ——Maple Leaf Foods 该公司最后补充称,他们还未发现此次事件对其他合作伙伴造成的任何可能影响。 截至本文撰稿时,各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。 转自 安全内参,原文链接:https://www.secrss.com/articles/48899 封面来源于网络,如有侵权请联系删除

加拿大零售巨头 Sobeys 遭勒索软件攻击,部分服务受影响

据BleepingComputer当地时间11月11日报道,自上周末以来,加拿大食品零售巨头Sobeys旗下的杂货店和药房一直出现IT系统问题。Sobeys是加拿大两家全国性的杂货零售商之一,拥有134,000名员工,为所有十个省的1,500家商店网络提供服务,旗下有多个零售品牌,包括 Sobeys、Safeway、IGA、Foodland、FreshCo、Thrifty Foods和Lawtons Drugs。 在周一(11月7日)发布的新闻稿中,Sobeys的母公司Empire透露,虽然其杂货店仍在营业,但该公司范围内的IT问题影响了一些服务。 该零售商透露:“公司的杂货店仍然开放为客户提供服务,目前没有出现重大中断。但是,一些店内服务间歇性或延迟运行。” “此外,公司的某些药房在开具处方方面遇到了技术困难。然而,公司仍致力于为其所有药房患者提供连续性护理。” 该公司还补充说,它正在努力解决影响其IT系统的问题,以减少商店中断。 在Sobeys官方网站上发布的另一份声明中,其中包含有关零售商商店服务的“重要信息”,Sobeys补充说,所有商店仍在营业,“没有经历重大中断”。 然而,根据员工报告,所有计算机都被锁定在受影响的Sobeys商店中,销售点(POS)和支付处理系统仍然在线并正常工作,因为它们被设置为在单独的网络上工作。 在BleepingComputer本周早些时候联系后,Sobeys尚未回复评论请求。 BleepingComputer周日(11月6日)联系了Sobeys,要求发表评论,但尚未收到回复。 Black Basta勒索软件攻击导致的IT问题 尽管该公司尚未披露将此次持续中断与网络攻击联系起来的任何信息,但当地媒体报道称,来自魁北克和阿尔伯塔省的加拿大省级隐私监管机构已确认收到该零售商的“机密事件”通知。 正如魁北克监管机构告诉加通社的那样,此类警报仅在个人信息被泄露的事件发生后才会发送。 此外,根据BleepingComputer看到的赎金记录和谈判聊天记录,攻击者部署了Black Basta勒索软件有效载荷来加密Sobeys网络上的系统。 多个消息来源告诉BleepingComputer,袭击发生在周五(11月4日)晚些时候/周六(11月5日)早上。 Sobeys员工在网上分享的照片还显示,店内电脑显示了一张Black Basta赎金票据。 Sobeys 赎金票据(Redflagdeals,Reddit) Black Basta勒索软件于2022年4月中旬首次在攻击中被发现,该行动在未来几个月内迅速加大了对全球公司的攻击力度。 尽管该团伙对受害者的赎金要求可能不同,但BleepingComputer知道至少有一起事件,受害者收到了超过200万美元的解密器要求,以避免被盗数据在网上泄露。 到2022年6月,人们已经看到Black Basta在之前被Qbot(QuakBot) 操作员破坏的系统上部署了有效载荷。 尽管关于这个勒索软件团伙的细节很少,但这可能不是一个新的行动,而是一个品牌重塑,因为他们的谈判风格和快速破坏新受害者的能力。 一些研究人员认为Black Basta与Conti勒索软件有关,但BleepingComputer目前还无法证实这一点。 在此之前,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。 2021 年,肉类供应商JBS和总部位于阿尔伯塔省的JBS Canada发起了更大规模的网络安全攻击,导致该公司支付了1100万美元的比特币赎金。 而近年来有关食品生产、零售行业网络勒索事件已屡见不鲜。比如美国乳制品巨头遭勒索攻击:工厂瘫痪数天,食品供应链被扰乱;全球最大肉类加工企业遭遇网络攻击停产;FBI发布行业重要预警,勒索软件多次中断食品/农业供应链,等等。 转自 安全内参,原文链接:https://www.secrss.com/articles/48904 封面来源于网络,如有侵权请联系删除

虚假马斯克账号都能认证?Twitter Blue 订阅引发冒牌危机

据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。 Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权,而最引人注目的特征,则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去,这一标识只对知名人士和组织机构的帐号开放。 这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。 真(右)假(左)马斯克推特账号都带有蓝色认证 到目前为止,区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标,查看弹窗中的认证说明信息,过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。 11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349499.html 封面来源于网络,如有侵权请联系删除

将机密藏在三明治中,美国夫妇因出售核军舰机密被判入狱

据美国司法部网站消息,一夫妇因试图窃取核军舰设计机密并出售,于11月9日正式被判刑入狱。 据称,44岁的被告Jonathan Toebbe在任职海军核工程师期间,具备访问海军核推进机密信息,包括军事敏感的设计元素、性能特征以及核动力军舰反应堆其他敏感数据的权限,他协同自己46岁的妻子Diana Toebbe,试图将上述部分信息出售给外国政府。 根据法庭文件披露,泄密过程始于2020年4月1日寄给外国政府的一个包裹,其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡。FBI在了解到泄密情报后,于 2020 年 12 月派出一名冒充为对方国家特工的卧底,通过ProtonMail 加密邮件与被告取得联系。 2021 年 4 月至 2021 年 6 月与被告的交流中,这名FBI卧底在同意以门罗币加密货币支付报酬后,说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点(dead drop)。在这期间,被告也曾表现出对这名卧底的不信任,表示在将机密信息送至情报秘密传递点之前可能不会再与其进行沟通。 2021 年 6 月 26 日,Jonathan Toebbe将一张加密 SD 卡藏进半个花生酱三明治中,放置在了预先约定的地点,而他的妻子负责放风。在向他们支付2万美元报酬后,FBI收到了解密密钥,审查发现,其中包含与潜艇核反应堆有关的军事敏感信息。8月28日,Jonathan Toebbe将另一张加密SD卡藏在口香糖包装中,放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥,其中也包含与潜艇核反应堆有关的敏感数据。 2021 年 10 月 9 日,在按约定将第三张SD卡交付后,这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕,并于 2022 年 2 月认罪。在11月9日的审判中,Jonathan Toebbe被判处19年监禁,其妻子Diana Toebbe被判处21年监禁。 美国检察官 Cindy Chung 表示,Jonathan Toebbe受托负责并保护国家机密,但他和其妻子的做法将国家的安全置于风险之中,是对忠诚无私的海军军人的背叛,其罪行的严重性怎么强调都不为过。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349380.html 封面来源于网络,如有侵权请联系删除

与俄有关的间谍组织 APT29 利用 Windows 漏洞入侵欧洲外交实体网络

与俄罗斯有关的APT29间谍组织利用了一个 “鲜为人知 “的Windows功能,称为 “凭证漫游”,对欧洲外交实体发起攻击。 “Mandiant研究员Thibault Van Geluwe de Berlaere在一份技术文件中说:”此次攻击符合俄罗斯的国家利益和目标,也是APT29的一贯作风“。 APT29作为一个俄罗斯间谍组织,也被称为Cozy Bear、Iron Hemlock和The Dukes,其旨在收集与国家战略目标一致的情报。据了解它是由外国情报局(SVR)赞助的。。 谷歌旗下的安全情报和事件响应公司表示,他们在2022年初APT29出现在受害者网络内的时间里发现了凭证漫游的使用,并对活动目录系统进行了 “大量具有非正常性的LDAP查询”。 在Windows Server 2003 Service Pack 1(SP1)中引入的凭证漫游是一种机制,允许用户以安全的方式在Windows域的不同工作站中访问他们的凭证(即私钥和证书)。 在进一步调查其内部运作时,Mandiant发现了一个任意文件写入漏洞,攻击者可以利用这个漏洞实现远程代码执行。 这个漏洞被命名为CVE-2022-30170,该公司强调,利用该漏洞需要用户登录到Windows,攻击成功后可以获得远程交互式登录机器的权利,而受害者的账户通常不会拥有这种特权。 目前该漏洞已在微软2022年9月13日 “补丁星期二 “更新中得到解决。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349385.html 封面来源于网络,如有侵权请联系删除

IceXLoader 恶意软件破坏了全球数千名受害者的计算机

Hackernews 编译,转载请注明出处: 名为IceXLoader的恶意软件加载程序的更新版本涉嫌破坏了全球数千台个人和企业Windows计算机。 IceXLoader是一种商品恶意软件,在地下论坛上以118美元的价格出售,终身许可。它主要用于在被入侵的主机上下载和执行其他恶意软件。 今年6月,Fortinet FortiGuard实验室表示,他们发现了一个用Nim编程语言编写的特洛伊木马版本,目的是逃避分析和检测。 Minerva实验室的网络安全研究员Natalie Zargarov在周二发表的一份报告中表示:“虽然6月份发现的版本(v3.0)看起来像是一个正在进行中的工作,但我们最近发现了一个新的v3.3.3加载器,它看起来功能齐全,并且包括一个多级交付链。” IceXLoader传统上是通过网络钓鱼活动分发的,包含ZIP档案的电子邮件是部署恶意软件的触发因素。感染链利用IceXLoader提供DarkCrystal RAT和加密货币矿工。 在Minerva实验室详细描述的攻击序列中,发现ZIP文件包含一个dropper,该dropper会丢弃一个基于.NET的下载程序,从硬编码的URL下载PNG图像(“Ejvffhop.png”)。 这个图像文件(另一个dropper)随后被转换为字节数组,允许它有效地解密并使用一种称为进程空心的技术将IceXLoader注入到一个新进程中。 IceXLoader的3.3.3版本与其前身一样,是用Nim编写的,它可以收集系统元数据,所有元数据都会被泄露到远程攻击者控制的域中,同时等待服务器发出进一步的命令。 这些命令包括重新启动和卸载恶意软件加载程序并停止其执行的功能。但它的主要功能是在磁盘上或内存中无文件下载和执行下一阶段的恶意软件。 Minerva实验室表示,命令和控制(C2)服务器中托管的SQLite数据库文件正在不断更新数千名受害者的信息,并补充说,该文件正在通知受影响的公司。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

VMware 修复了三个身份认证绕过漏洞

Bleeping Computer  网站披露,VMware 近期发布了安全更新,以解决 Workspace ONE Assist 解决方案中的三个严重漏洞,分别追踪为 CVE-2022-31685(认证绕过)、CVE-2022-31686 (认证方法失败)和 CVE-2022-31687 (认证控制失败)。据悉,这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。 Workspace ONE Assist  可以提供远程控制、屏幕共享、文件系统管理和远程命令执行,以帮助服务后台和 IT 人员从 Workspace ONE 控制台实时远程访问设备并排除故障。 未经身份认证的威胁攻击者可以在不需要用户交互进行权限升级的低复杂度攻击中利用这些漏洞。从 VMware 发布的声明来看,一旦具有 Workspace ONE Assist 网络访问权限的恶意攻击者成功利用这些漏洞,无需对应用程序进行身份验证就可以获得管理访问权限。 漏洞现已修复 目前,VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10(89993),对这些漏洞进行了修补。 此外,VMware 还修补了一个反射式跨站脚本(XSS)漏洞(CVE-2022-31688)以及一个会话固定漏洞(CVE-2022-31689),前者允许攻击者在目标用户的窗口中注入 javascript 代码,,后者允许攻击者获得有效会话令牌后进行身份验证。 值得一提的是,Workspace ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。 VMware 修复了多个安全漏洞 今年 8 月,VMware 警告管理员要修补 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中另外一个关键身份认证绕过安全漏洞,该漏洞允许未经认证的攻击者获得管理权限。 同年 5 月,Mware 修补了一个几乎相同的关键漏洞,该漏洞是 Innotec Security的Bruno López 在 Workspace ONE Access、VMware Identity Manager(vIDM)和vRealize Automation 中发现的另一个身份验证绕过漏洞(CVE-222-22972)。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349339.html 封面来源于网络,如有侵权请联系删除

AI 攻防最前线:“恶意软件”击败人工智能围棋冠军 KataGo

一个连业余围棋选手都下不过的“恶意”围棋软件击败了不可一世的人工智能围棋冠军KataGo。 2016年李世石在1:4惨败给“阿尔法狗”的比赛中下出的“神之一手”,被职业围棋界看作是人类“最后的倔强”和人类能够挖掘的围棋人工智能技术“最后的漏洞”。此后,围棋人工智能技术的水平一骑绝尘,遥遥领先任何人类职业棋手,成了新的“围棋之神”,人类正式进入计算围棋时代。 但是,近日一篇人工智能论文惊掉了计算围棋界所有人的下巴,加州大学伯克利分校的研究人员们开发出一种对抗性样本技术来摸索KataGo的盲点,并用基于该技术的菜鸟级围棋程序(业余人类选手可轻松击败)打败了KataGO(当今最强的围棋人工智能程序,实力远超当年的阿尔法狗)。 据该论文的作者之一,加州大学伯克利分校的亚当戈里夫博士介绍,击败KataGo的“对抗性政策”方法挖掘并利用了KataGo的盲区(漏洞)。 KataGo是一个强大的开源围棋AI引擎,作为当今世界顶级围棋人工智能技术,实现了一系列超越阿尔法零算法的功能和技术,目前是韩国国家队的陪练AI,同时也支持着多种流行围棋软件,例如阿Q围棋、Anago等。 与谷歌的阿尔法零类似,KataGo通过与自己对战数百万盘比赛的海量数据来自我训练,但最新的论文成果表明,即便是KataGo这样的高度成熟的人工智能模型依然存在盲区,存在导致意外行为的漏洞。 格里夫博士介绍了击败KataGo的对抗性策略的一个示例。在上图中,执黑棋的业余围棋程序在棋盘的右上角围住角地实空,其余的广大空间则被KataGo牢牢控制。这让KataGo判定自己已经大获全胜,且已经收完最后一个单关,为了不“损空”选择“停招”(停一手),期待对手(执黑的业余围棋程序)也停招,根据围棋规则双方停招将自动结束比赛开始点目计算胜负。 但是,由于KataGo的围空中的黑子尚有活力,按照围棋裁判规则并未被判定为“死子”,因此KataGo的围空中有黑子的地方都不能被计算为有效目数,导致KataGo被系统判负。 虽然这看上去是一个非常“赖皮”,“令人感到作呕”的对抗性策略,但业余围棋程序确实在公平规则下击败了KataGo,该程序唯一的设计目的就是“专治”KataGo,即便它的水平连普通业余爱好者的水平都达不到。 更为可怕的是,不仅仅是KataGo,几乎所有深度学习人工智能技术,从人脸识别、自动驾驶到网络安全,都存在类似的盲区和脆弱性。 一些看似“无厘头”或“人畜无害”的对抗性样本,却能够击垮对人类顶级选手保持100%胜率的最强健的人工智能程序。 格里夫博士指出,这个研究结果在围棋比赛中很有趣,但是在安全关键系统中出现此类故障可能会带来灾难性后果。 在人工智能战胜人类顶级选手五年后,围棋这款古老的游戏仍然在机器学习中发挥着重要作用。对围棋人工智能技术漏洞的挖掘和分析,对关键人工智能应用(自动驾驶、智能助理、人脸识别、智能工厂、智慧城市)的安全性和攻防两端技术的发展都有重要的警示和启示作用。 根据Advesa的人工智能安全性报告,互联网、网络安全、生物识别和企业行业是人工智能网络安全问题的重灾区,都是“对抗性样本策略”的有效打击目标。 转自 安全内参,原文链接:https://www.secrss.com/articles/48788 封面来源于网络,如有侵权请联系删除

注意!一个新的恶意扩展可以远程控制你的谷歌浏览器

最近Zimperium 的研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络,它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码,并让受害者的浏览器参与 DDoS 攻击。 Cloud9 浏览器实际上是 Chromium Web 浏览器(包括 Google Chrome 和 Microsoft Edge)的远程访问木马 (RAT),其作用是允许攻击者远程执行命令。 恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用,而是通过其他渠道传播,例如推送虚假 Adobe Flash Player 更新的网站。 这种方法似乎运作良好,因为根据Zimperium 的研究人员报告说,他们已经在全球系统上看到了 Cloud9 感染。 感染浏览器 Cloud9 是一个恶意浏览器扩展,它对 Chromium 浏览器进行感染,以执行大量的恶意功能。 该扩展工具由三个 JavaScript 文件组成,用于收集系统信息、使用主机资源挖掘加密货币、执行 DDoS 攻击以及注入运行浏览器漏洞的脚本。 Zimperium 注意到它还加载了针对 Firefox 中的 CVE-2019-11708 和 CVE-2019-9810 漏洞、Internet Explorer 的 CVE-2014-6332 和 CVE-2016-0189 以及 Edge 的 CVE-2016-7200 漏洞的利用。 这些漏洞用于在主机上自动安装和执行 Windows 恶意软件,使攻击者能够进行更深入的系统入侵。 然而,即使没有 Windows 恶意软件组件,Cloud9 扩展也可以从受感染的浏览器中窃取 cookie,攻击者可以使用这些 cookie 劫持有效的用户会话并接管帐户。 此外,该恶意软件具有一个键盘记录器,可以窥探按键以窃取密码和其他敏感信息。 扩展中还存在一个“剪辑器”模块,不断监视系统剪贴板中是否有复制的密码或信用卡。 Cloud9 还可以通过静默加载网页来注入广告,从而产生广告展示,为其运营商带来收入。 最后,恶意软件可以利用主机通过对目标域的 HTTP POST 请求执行第 7 层 DDoS 攻击。 “第 7 层攻击通常很难检测,因为 TCP 连接看起来与正常请求非常相似” ,Zimperium 评论道。 开发人员很可能会使用这个僵尸网络来提供执行 DDOS 的服务。 运算符和目标 Cloud9 背后的黑客有可能与 Keksec 恶意软件组织有联系,因为在最近的活动中使用的 C2 域在 Keksec 过去的攻击中被发现。 Keksec 负责开发和运行多个僵尸网络项目,包括EnemyBot、Tsunamy、Gafgyt、DarkHTTP、DarkIRC 和 Necro。 Cloud9 的受害者遍布全球,攻击者在论坛上发布的屏幕截图表明他们针对各种浏览器。 此外,在网络犯罪论坛上公开宣传 Cloud9 导致 Zimperium 相信 Keksec 可能会将其出售/出租给其他运营商。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349237.html 封面来源于网络,如有侵权请联系删除

Amadey 恶意软件在被黑机器上部署 LockBit 3.0 勒索软件

Hackernews 编译,转载请注明出处: 研究人员警告称,Amadey恶意软件被用于在受损系统上部署LockBit 3.0勒索软件。 AhnLab安全应急响应中心(ASEC)在今天发布的一份新报告中表示:“用于安装LockBit的恶意软件Amadey bot正通过两种方法进行分发:一种是使用恶意Word文档文件,另一种是利用伪装成Word文件图标的可执行文件。” Amadey于2018年首次被发现,是一个“罪犯对罪犯(C2C)僵尸网络信息窃取者项目”,正如黑莓研究和情报团队所描述的那样,在地下罪犯网站上可以购买,价格高达600美元。 虽然它的主要功能是从受感染的主机收集敏感信息,但它还兼作传递下一阶段工件的通道。今年7月初,它是使用SmokeLoader传播的,这是一种有与自身功能没有太大区别的恶意软件。 就在上个月,ASEC还发现了伪装成韩国流行的即时通讯服务KakaoTalk的恶意软件,作为网络钓鱼活动的一部分。 这家网络安全公司的最新分析基于2022年10月28日上传到VirusTotal的微软Word文件(“심시아.docx”)。该文档包含一个恶意VBA宏,当受害者启用该宏时,它会运行PowerShell命令以下载并运行Amadey。 在另一种攻击链中,Amadey伪装成一个看似无害的文件,上面带有Word图标,但实际上是一个通过网络钓鱼消息传播的可执行文件(“Resume.exe”)。ASEC表示,它无法识别被用作诱饵的电子邮件。 成功执行Amadey后,恶意软件从远程服务器获取并启动其他命令,其中包括PowerShell(.ps1)或二进制(.exe)格式的LockBit勒索软件。 LockBit 3.0,也称为LockBit Black,于2022年6月推出,同时推出了一个新的暗网门户和第一个勒索软件操作漏洞赏金计划,承诺在其网站和软件中发现漏洞可获得高达100万美元的奖励。 研究人员总结道:“由于LockBit勒索软件正在通过各种方法分发,因此建议用户谨慎使用。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文