Hackernews 编译，转载请注明出处： LogoKit：黑客利用在线服务和应用中流行的开放重定向漏洞，来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.（美国）是一家总部位于洛杉矶的网络安全公司，为财富500强企业提供托管威胁检测和响应，识别黑客，它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器，最终提供网络钓鱼内容。 他们使用高度可信的服务域，如Snapchat和其他在线服务，创建特殊的URL，从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit，曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的，当时已经注册了多个冒充流行服务的新域名，并与开放重定向一起使用。虽然LogoKit在地下就为人所知，但自2015年以来，其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标（模拟服务）和文本，以适应动态变化，这样，目标受害者更有可能与恶意资源进行交互。2021年11月左右，在利用LogoKit的活动中使用了700多个已识别的域名，其数量还在不断增长。 值得注意的是，参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf，或未经授权访问合法网络资源，然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL，LogoKit就会从第三方服务（如Clearbit或谷歌的favicon数据库）获取公司徽标。然后，受害者的电子邮件会自动填写电子邮件或用户名字段，从而使他们感觉自己以前登录过。如果受害者随后输入密码，LogoKit将执行AJAX请求，将目标的电子邮件和密码发送到外部源，最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测，从而诱使受害者访问恶意资源。 不幸的是，开放重定向漏洞的使用极大促进了LogoKit的分发，因为许多（甚至流行的）在线服务并不将此类漏洞视为关键问题，在某些情况下，甚至不进行修补，为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Facebook母公司Meta披露，它对南亚的两个攻击组织采取了反制行动，这两个组织都是利用其社交媒体平台向潜在目标分发恶意软件。 Bitter APT 第一组组织的行动在Meta的描述中是呈现持续和资源丰富的特征，是由一个以Bitter APT（又名APT-C-08或T-APT-17）为名追踪的黑客组织进行，目标是新西兰、印度、巴基斯坦和英国的个人。 Meta公司在其《季度对抗性威胁报告》中称Bitter使用各种恶意战术在网上攻击人们，用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域名、被破坏的网站和第三方托管提供商等诸多方式来分发他们的恶意软件。 这些攻击者会在平台上创建虚构的角色，伪装成有吸引力的年轻女性，以期与目标建立信任，引诱目标点击带有恶意软件的假链接，攻击者说服受害者通过苹果TestFlight下载一个iOS聊天应用程序，TestFlight是一个合法的在线服务，可用于测试应用程序并向应用程序开发人员提供反馈。 研究人员表示该行为意味着黑客不需要依靠漏洞来向目标提供定制的恶意软件，只要攻击者说服人们下载苹果Testflight并欺骗他们安装他们的聊天应用程序，就可以利用苹果的官方服务来分发该恶意应用程序，使得该欺诈行为变得合法化。 虽然该应用程序的功能尚不明确，但它被怀疑是作为一种社会工程上的欺诈手段，通过专门为此目的策划的聊天媒介对活动的受害者进行监控。 此外，Bitter APT运营商使用了一个全新的安卓恶意软件，称为Dracarys，它滥用操作系统的可访问性权限，安装任意应用程序，录制音频，捕捉照片，并从受感染的手机中获取敏感数据，如通话记录、联系人、文件、文本信息、地理位置和设备信息。 Dracarys是通过冒充YouTube、Signal、Telegram和WhatsApp的木马程序传递的，延续了攻击者倾向于部署伪装成合法软件的恶意软件来侵入移动设备的趋势。 此外，作为对抗性适应的一个标志，Meta注意到该组织通过在聊天线程中发布破碎的链接或恶意链接的图片来反击其检测和阻止工作，要求接收者在他们的浏览器中输入链接。 Bitter的起源是一个谜，其行为特征难将其与任何一个特定的国家联系起来，该组织被认为是在南亚运作的，最近扩大了重点，打击孟加拉国的军事实体。 Transparent Tribe 第二个被Meta反制的集体是Transparent Tribe（又名APT36），这是一个据称以巴基斯坦为基地的APT组织，该组织使用定制的恶意工具攻击印度和阿富汗的政府机构的记录。 最新的一系列入侵事件表明该组织是一个综合体，专门针对阿富汗、印度、巴基斯坦、沙特阿拉伯和阿联酋的军事人员、政府官员、人权和其他非营利组织的雇员以及学生。 这些攻击者通过冒充公司的招聘人员、军事人员或希望建立浪漫关系的年轻女性，使用这些虚假身份进行社交骗局，最终诱使受害者打开承载恶意软件的链接。 下载的文件包含LazaSpy，这是一款名为XploitSPY的开源安卓监控软件的修改版，同时还利用非官方的WhatsApp、微信和YouTube克隆应用来传递另一款名为Mobzsar（又名CapraSpy）的商品恶意软件。 这两款恶意软件都带有收集通话记录、联系人、文件、短信、地理位置、设备信息和照片的功能，并启用了设备的麦克风，使它们成为有效的监视工具。 研究人员表示这个组织的行动体现了在全球APT攻击中的一种趋势，即低级别的团体更多地选择依靠公开的恶意工具，而不是投资开发或购买复杂的进攻能力。这些 低成本工具基本不需要多少专业技术即可使用，这就使得攻击门槛大幅度降低，黑客攻击与监视也会变得更加普遍。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341370.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据观察，一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名，以隐藏命令和控制（C2）基础设施。 奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示：“由于比特币交易的不确定性，这种技术比使用常见的时间生成（域生成算法）更不可预测，因此更难防御。” 据说自2021年2月以来，Orchard已经进行了三次修订，其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上，并执行从C2服务器接收到的命令。 它还旨在上传设备和用户信息以及感染USB存储设备，以传播恶意软件。Netlab的分析显示，迄今为止，已有超过3000台主机被该恶意软件奴役，其中大部分位于中国。 Orchard在一年多的时间里也经历了重大更新，其中之一就是在Golang的实施方面进行了短暂的尝试，然后在第三次迭代中切换回C++。 除此之外，最新版本包含启动XMRig挖矿程序的功能，通过滥用受损系统的资源来铸造门罗币（XMR）。 另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名，但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。 值得指出的是，钱包地址是比特币创世纪区块的矿工奖励接收地址，该地址发生在2009年1月3日，据信由中本聪持有。 研究人员表示：“在过去十年左右的时间里，由于各种原因，每天都有少量比特币被转移到这个钱包中，所以它是可变的，而且这种变化很难预测，因此这个钱包的余额信息也可以用作DGA输入。” 研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱，该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务（DDoS）攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

马里兰州杰瑟普在米德堡的边境地区，美国海军正在采取串联方式进行网络防御和人才培养。 由美国舰队网络司令部授权的首席准尉斯科特布赖森的心血结晶“赛博龙行动”，旨在修复虚拟漏洞一点一点地支撑系统同时培养新一波的网络安全专业知识。“我们这样做是为了继续减轻和加强我们的攻击媒介，并更好地保护我们的网络，”布赖森在7月22日对记者说。 据悉，Cyber Dragon于3月启动，目前该计划的第二阶段正在进行中。在目前的形势下，该行动的重点是加强非机密网络并根除常见的、普遍存在的数字弱点：松懈的安全设置、容易猜到的凭据、未打补丁的软件等等。 官员们表示，这样做会使黑客更难闯入并造成严重破坏。据海军称，最初在服务网络上发现了大约 14,500 个需要解决的问题。每个都可能成为对手的立足点，尤其是在网络冲突加剧的时候。负责信息战的海军作战部副部长杰弗里·特鲁斯勒（Jeffrey Trussler）在2月份的一份备忘录中警告水手们，“针对企业和美国基础设施的网络攻击的频率和复杂性正在增加。” 为了应对如此庞大且不断变化的工作量，需要人力。所以布赖森求助于储备，包括那些不一定能熟练使用网络的人。“我去了第 10 舰队的预备役部队，我想出了一个训练计划。我说，’好吧，如果你给我 X 天的 X 数量的水手，我认为我们可以得到一定百分比的漏洞，修补和扫描。预备队通过人员配备，他们通过空间。“布赖森说。 据参与这项工作的官员称，到目前为止，Cyber Dragon 团队已经发现并修复了数千个问题——从几次“高调曝光”到默认用户名和密码 ，再到发现“我们不希望数据存在的数据”。 “默认用户名和密码意味着任何人都可以在这些特定机器上登录并执行。现在，它们与国家安全无关。没有直接关系到国家安全的重大问题，”美国第 10 舰队舰队网络司令部副司令、海军少将史蒂夫·唐纳德说。“但在某些情况下，它可能会对个人造成伤害、身份盗窃或类似性质的事情。我们能够关闭它。” 团队还关注潜在的欺骗证书、有风险的软件使用和云管理问题。大约50名水手接受了最先进的攻击面管理软件的培训，用于发现、分类和评估组织资产的安全性，预计未来几个月还将有 100 人接受同样的教育。 具有网络和技术背景的预备役军人布莱克·布雷兹中尉表示，这次行动提高了他对该领域和海军网络安全的理解。“我留在预备队的最大动机是我想接近战斗，以防我们的一些近乎同行的对手变得有趣，”布拉兹说。“可以这么说，我们并没有直接与敌人接触，但我们正在努力阻止他们进入我们网络的途径。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/izSWfzO5o25UCe_Ib8rb6A 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，攻击者在一系列网络钓鱼攻击中滥用 Snapchat 和美国运通网站上的开放重定向，以期窃取受害者 Microsoft 365 凭证。 据悉，开放式重定向作为 Web 应用程序的弱点，允许威胁者使用受信任网站的域名作为临时登陆页面，以简化网络钓鱼攻击。 在以往的网络攻击案例中，重定向一般被用来将目标重定向到恶意网站，使其感染恶意软件或诱使其交出敏感信息（如登录凭证、财务信息、个人信息等）。 发现此次网络攻击的电子邮件安全公司 Inky 表示，被“操纵”的链接中第一个域名实际上是原网站的域名，受信任的域名（如美国运通，Snapchat）在浏览者被转到恶意网站之前，充当了一个临时登陆页面。 冒充 Microsoft (Inky) 的网络钓鱼电子邮件 恶意重定向锁定了成千上万的潜在受害者 据 Inky 研究人员称，在两个半月内，从谷歌和微软 365 劫持的 6812 封钓鱼邮件中使用了 Snapchat 的开放重定向，这些电子邮件冒充 Microsoft、DocuSign 和 FedEx，并将收件人重定向到旨在获取 Microsoft 凭据的登录页面。 值得一提的是，一年前(2021 年 8 月 4 日)，研究人员已经通过开放平台 Bug Bounty 将 Snapchat 漏洞报告给了其所属公司，但目前开放的重定向还没有修补。美国运通的开放式重定向在 7 月下旬被利用了几天后，很快就打上了补丁，新的尝试攻击目前会链接到美国运通的一个错误页面上。 美国运通打开重定向的错误页面 (Inky) 在漏洞问题解决之前，美国运通的开放重定向被用于 2029 封使用微软 Office 365 诱饵的钓鱼邮件中，这些邮件从刚注册的域名发出，旨在将潜在的受害者引向微软凭证采集网站。 另外，Inky 表示，攻击者在利用 Snapchat 和美国运通的漏洞过程中，将个人身份信息 (PII) 插入到 URL 中，以便可以为个别受害者即时定制恶意登录页面。以上两种情况，插入都是通过将其转换为 Base 64 编码来伪装的，使其看起来像一堆随机字符。 为防范此类网络攻击，Inky 建议用户在收到电子邮件后，仔细检查“url=”、“redirect=”、“xternal-link”或“proxy”字符串或电子邮件中嵌入的 URL 中，是否多次出现“HTTP”可能显示指示的重定向。 另外，强烈建议网站所有者实施外部重定向免责声明。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341287.html 封面来源于网络，如有侵权请联系删除

英国国家卫生服务（NHS）的111紧急服务受到网络攻击,继而引发了重大影响，服务系统出现持续性中断，该攻击袭击了英国管理服务提供商（MSP）Advanced的系统。 根据NHS111服务的介绍页面，85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案，该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。 威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障，该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的，故障造成的影响也十分深远，英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前，先使用在线平台访问NHS 111紧急服务。 Advanced首席运营官确认了网络攻击 目前为止，公众暂时无法查看Advanced状态页面，Advanced的首席运营官Simon Short证实，该故障事件是由周四上午发现的网络攻击造成的。 Simon Short在BBC上发表声明称，近日发现的安全问题造成了此次服务的故障，他们可以确认，该事件与网络攻击有关，作为预防措施，Advanced立即隔离了该组织所有的健康和护理环境。Advanced的事件响应小组的早期干预将这个问题控制在少数服务器上，这些问题服务器约占Advanced使用的健康和护理基础服务器的2%。 虽然没有提供有关网络攻击性质的细节，但根据Advanced的首席运营官的发言推测，此次事件可能是一个勒索软件或数据勒索攻击。Advanced为22,000多个全球客户提供商业软件服务，这些客户来自不同的行业垂直领域，从医疗保健和教育到非营利组织，MSP的客户名单包括NHS、英国工作和养老金部（DWP）以及伦敦城市机场。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341264.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员警告称，一种名为GwisinLocker的新勒索软件能够对Windows和Linux ESXi服务器进行加密。该勒索软件针对韩国医疗、工业和制药公司，其名称来自作者“Gwisin”（韩语中的幽灵）的名字。 勒索软件通过针对特定组织的定向攻击进行分发。专家们还表示，韩国警方，国家情报局和KISA等韩国实体的名称也出现在勒索信上。 据当地媒体报道，Gwisin黑客在公休日和凌晨攻击了韩国公司。 Windows系统上的攻击链利用MSI安装程序，需要一个特殊值作为参数来运行MSI中包含的DLL文件。 “它类似于Magniber，因为它以MSI安装程序的形式运行。但与针对随机个体的Magniber不同，Gwisin本身不执行恶意行为，它需要为执行参数提供特殊值，该值用作运行MSI中包含的DLL文件的关键信息。”安全公司Ahnlab发布的报告中写道。“文件本身不会在各种沙箱环境的安全产品上执行勒索软件活动，因此很难检测到Gwisin，勒索软件的内部DLL通过注入正常的Windows进程来运行，对于每个受攻击的公司来说，这个过程都是不同的。” GwisinLocker勒索软件能够在安全模式下运行，它首先将自身复制到ProgramData的某个路径，然后在强制系统重新启动之前注册为服务。 Reversinglabs的研究人员分析了勒索软件的Linux版本，他们指出这是一种复杂的恶意软件，具有专门设计用于管理Linux主机和针对VMWare ESXI虚拟机的功能。GwisinLocker将AES对称密钥加密与SHA256哈希相结合，为每个文件生成唯一密钥。 Linux GwisinLocker变体的受害者需要登录到该组织运营的门户网站，才能与黑客取得联系。 “对更大规模的GwisinLocker活动的分析和公开报道表明，勒索软件掌握在复杂的黑客手中，他们在部署勒索软件之前获得了对目标环境的访问和控制权，这包括识别和窃取敏感数据，用于所谓的“双重勒索”活动。”Reversinglabs发布的报告总结道。“该组织勒索信中的细节表明，他们熟悉韩语以及韩国政府和执法部门。因此人们猜测，Gwisin可能是一个与朝鲜有关的高级持续威胁（APT）组织。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

7月中旬，一场针对阿尔巴尼亚政府的网络攻击使国家网站和公共服务中断了数小时。随着俄罗斯在乌克兰的战争肆虐，克里姆林宫似乎是最可能的嫌疑人。但威胁情报公司Mandiant周四发表的研究报告将这次攻击归咎于伊朗。虽然德黑兰的间谍活动和数字干预已经在世界各地出现，但曼迪安特的研究人员说，来自伊朗对一个北约成员国的破坏性攻击是一个值得注意的行动升级。 阿尔巴尼亚 地拉那 7月17日针对阿尔巴尼亚的数字攻击发生在”自由伊朗世界峰会”之前，该会议定于7月23日和24日在阿尔巴尼亚西部的马涅兹镇召开。该峰会隶属于伊朗反对派组织（通常缩写为MEK、PMOI或MKO）。但会议在预定开始的前一天被推迟，因为据说有未指明的”恐怖主义”威胁。 Mandiant研究人员说，攻击者部署了Roadsweep系列的勒索软件，可能还利用了一个以前未知的后门，被称为Chimneysweep，以及Zeroclear擦除工具的一个新变种。Mandiant发现，过去使用类似的恶意软件，攻击的时间，Roadsweep勒索软件说明中的其他线索，以及在Telegram上声称对攻击负责的行为人的活动都指向伊朗。 Mandiant的情报副总裁John Hultquist说：”这是一个积极的升级步骤，我们必须承认。伊朗的间谍活动在世界各地一直在发生。这里的区别是这不是间谍活动。这些是破坏性的攻击，影响到生活在北约联盟内的阿尔巴尼亚人的日常生活。而且，这基本上是一种胁迫性的攻击，以迫使政府出手。” 伊朗在中东，特别是在以色列进行了广泛的黑客活动，其国家支持的黑客已经渗透和探测了制造、供应和关键基础设施组织。2021年11月，美国和澳大利亚政府警告说，伊朗黑客正在积极努力获取与运输、医疗保健和公共卫生实体等相关的一系列网络。国土安全部网络安全和基础设施安全局当时写道：”这些伊朗政府资助的APT行为者可以利用这种访问进行后续行动，如数据渗出或加密、勒索软件和敲诈。” 不过，德黑兰已经限制了其攻击的范围，在全球范围内主要保持数据渗透和侦察。然而，该国也参与了影响行动、虚假信息活动和干预外国选举的努力，包括针对美国。 Hultquist说：”我们已经习惯于看到伊朗在中东地区咄咄逼人，这种活动从未停止过，但在中东以外的地区，他们一直都很克制。我担心他们可能更愿意在该地区之外利用其能力。而且他们显然对针对北约国家毫无顾忌。” 由于伊朗声称它现在有能力生产核弹头，而且该国代表与美国官员在维也纳就可能恢复两国之间的2015年核协议进行了会晤，任何关于伊朗在与北约打交道时可能的意图和风险容忍度的信号都是重要的。 阅读研究报告以了解更多： https://www.mandiant.com/resources/likely-iranian-threat-actor-conducts-politically-motivated-disruptive-activity-against?1 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1301675.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 8月4日，美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了最近披露的Zimbra电子邮件中的高危漏洞，有证据表明该漏洞被积极利用。 追踪为CVE-2022-27924（CVSS评分：7.5），这是平台中的命令注入漏洞，可能导致执行任意Memcached命令并窃取敏感信息。 CISA表示：“Zimbra Collaboration允许攻击者将memcached命令注入目标实例，从而导致任意缓存条目的覆盖。” 具体而言，该漏洞与用户输入验证不足有关，如果成功利用该漏洞，攻击者可以从目标Zimbra实例的用户那里窃取明文凭据。 SonarSource于6月披露了该漏洞，2022年5月10日Zimbra发布了8.8.15版本P31.1和9.0.0版本P24.1的补丁。 CISA尚未透露在野外利用该漏洞进行攻击的技术细节，也尚未将其归因于某个黑客。 鉴于该漏洞被积极利用，建议用户对软件进行更新，以减少潜在的网络攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

根据网络安全公司Akamai的一份最新的报告，过去一年，针对游戏行业的网络攻击增加了 167%。Akamai本次名为Gaming Respawned针对游戏行业的研究发现美国是攻击者的主要目标，其次是瑞士、印度、日本、英国等欧洲和亚洲国家。 根据Akamai的数据，游戏行业是全球遭受分布式拒绝服务(DDoS)攻击最多的行业，占全球所有DDoS攻击的35%，对此，Akamai 媒体和娱乐行业高级策略师 Jonathan Singer说，“随着游戏活动的增加和演变，通过网络攻击破坏游戏活动的价值也在增加。网络犯罪分子通常会破坏实时服务并使用凭证来窃取游戏资产。此外，随着该行业向云游戏领域的扩张，新的威胁面已经为攻击者打开了大门，新玩家数量的增加更是成为了威胁行为者的主要目标。” Akamai表示，自上次发布关于游戏行业威胁的报告以来，他们已经观察到了一些趋势。首先，游戏行业没有受COVID-19的封锁和社交距离的影响。其次，网络犯罪分子继续对游戏玩家和游戏平台进行攻击，Web 应用程序攻击在过去一年中增加了一倍以上。在这方面，攻击包括三个关键攻击向量：LFI、SQLi 和 XSS。据Akamai称，DDoS和勒索软件仍然是主要威胁。 此外，云游戏虽然在持续增长，但游戏行业的整体攻击面也在不断增长，游戏行业其他有利可图方面的增长将是吸引威胁行为者发起攻击的诱因之一。例如，微交易对网络犯罪分子具有巨大吸引力，他们可以利用游戏玩家的消费能力和虚拟资产的可替代性。“网络犯罪分子清楚游戏的价值，他们将继续寻找获取它或利用虚拟资金流动的方法。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341114.html 封面来源于网络，如有侵权请联系删除