一组以色列研究人员探索了 Visual Studio Code 市场的安全性，并通过对流行的“Dracula Official”主题的副本进行木马病毒感染，以包含危险代码，成功“感染”了 100 多个组织。对 VSCode 市场的进一步研究发现了数千个扩展程序，安装量达数百万次。 Visual Studio Code（VSCode）是微软发布的一款源代码编辑器，被全球众多专业软件开发人员使用。 微软还运营一个 IDE 的扩展市场，称为 Visual Studio Code Marketplace，它提供可扩展程序功能并提供更多自定义选项的附加组件。 先前的报告强调了 VSCode 的安全性漏洞，允许扩展程序发布者冒充以及窃取开发人员身份验证令牌的扩展，还有一些在野外发现的扩展被证实是恶意目的。 对 Dracula 主题进行域名抢注 在最近的实验中，研究人员Amit Assaraf、Itay Kruk 和 Idan Dardikman创建了一个扩展，对“ Dracula Official ”主题进行了域名抢注，该主题是各种应用程序的流行配色方案，在 VSCode 市场上安装量超过 700 万次。 Darcula 因其视觉上吸引人的暗黑模式和高对比度的调色板而被大量开发人员使用，这对眼睛很友好，有助于减少长时间编码期间的眼睛疲劳。 研究中使用的虚假扩展名为“Darcula”，研究人员甚至在“darculatheme.com”注册了一个匹配的域名。该域名被用来成为 VSCode 市场上经过验证的发布者，从而增加了虚假扩展的可信度。 VSCode 市场上的 Darcula 扩展 他们的扩展使用了合法 Darcula 主题的实际代码，但还包括一个附加脚本，用于收集系统信息，包括主机名、已安装的扩展数量、设备的域名和操作系统平台，并通过 HTTPS POST 请求将其发送到远程服务器。 研究人员指出，恶意代码不会被端点检测和响应 (EDR) 工具标记，因为 VSCode 作为开发和测试系统的性质而受到宽大处理。 该扩展程序迅速获得关注，被多个高价值目标错误地安装，其中包括一家市值 4830 亿美元的上市公司、大型安全公司和一个国家司法法院网络。 研究人员选择不透露受影响公司的名称。 由于该实验没有恶意，分析师仅收集了识别信息，并在扩展的自述文件、许可证和代码中包含了披露。 Darcula 在 VSC Marketplace 上发布帖子 24 小时后受害者的位置 VSCode 市场现状 实验成功后，研究人员决定深入研究 VSCode 市场的威胁状况，使用他们开发的名为“ExtensionTotal”的自定义工具来查找高风险扩展、解包并仔细检查可疑的代码片段。 通过这一过程，他们发现： 1,283 个含有已知恶意代码（2.29 亿次安装）。 8,161 个使用硬编码 IP 地址进行通信。 1,452 个正在运行未知的可执行文件。 2,304 个正在使用其他发布者的 Github repo，表明他们是模仿者。 下面是在恶意 Visual Studio Code Marketplace 扩展中发现的代码示例，该扩展会打开网络犯罪分子服务器的反向 shell。 在代码美化扩展 (CWL Beautifer) 中发现的反向 shell 微软对 VSCode 市场缺乏严格的控制和代码审查机制，这使得攻击者可以肆意滥用该平台，而且随着平台使用的增多，情况会变得越来越糟。 研究人员警告说：“从数字可以看出，Visual Studio Code 市场上有大量的扩展对组织构成风险。” “VSCode 扩展是一种被滥用和暴露的攻击垂直领域，具有零可见性、高影响和高风险。这个问题对组织构成了直接威胁，值得安全社区的关注。” 研究人员检测到的所有恶意扩展都已负责任地报告给 Microsoft 以进行删除。然而，截至撰写本文时，绝大多数扩展仍可通过 VSCode Marketplace 下载。 研究人员计划下周发布他们的“ExtensionTotal”工具以及有关其操作能力的详细信息，并将其作为免费工具发布，以帮助开发人员扫描他们的环境以发现潜在威胁。 研究人员发表的系列技术博客文章： 我们如何使用假的 VSCode 扩展在 30 分钟内入侵价值数十亿美元的公司 揭露恶意扩展：来自 VS Code 市场的令人震惊的统计数据 致微软的一封信：揭露 Visual Studio Code 扩展的设计缺陷   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xDDh_N7o26Em_9Ni3Ddyyw 封面来源于网络，如有侵权请联系删除

个人隐私在网络泄露往往并非源于高级黑客攻击，而是用户自己的疏忽大意，即使是顶尖间谍也会百密一疏，阴沟翻船。 以军情报头子出书泄密 近日，一位化名“准将YS”的匿名人士撰写了一本名为《人机团队》的书籍，在亚马逊上公开发行出售，宣扬可将先进人工智能技术与人类特工结合打造超级特工。 然而，经过英国《卫报》的调查，该书电子版中引用的一个私人匿名电子邮件地址（下图）却轻易暴露了作者的真实身份——以色列8200情报部队（相当于美国国家安全局或英国政府通信总部）的指挥官和人工智能战略架构师Yossi Sariel。 YossiSariel担任以色列8200情报部队指挥官的身份是以军最高机密之一，而8200情报部队则是世界上最强大的情报机构之一，建立了庞大的情报系统来密切监视巴勒斯坦领土，其情报能力可与美国国家安全局相媲美。 调查显示，Yossi Sariel在著作出版中犯下多个低级错误，例如： 作者笔名YS是Yossi Sariel姓名首字母缩写 书中的示例使用了Yossi Sariel私人谷歌（邮件）帐户，以及与该帐户关联的地图和日历配置文件链接。 据以色列国防部消息来源证实，该谷歌邮件账户与Sariel相关，多方信源也确认了他就是该书作者。对于一位潜伏了20多年的顶尖间谍来说，以如此低级的方式轻易暴露身份令业界感到震惊。 真实身份：“智能杀人工厂”推荐算法架构师 Yossi Sariel领导的8200情报部队目前正处于舆论的风口浪尖。去年10月哈马斯袭击以色列时，号称世界上最强大的情报机构之一的8200部队对袭击事件一无所知，没有发出任何预警，因而饱受国内舆论批评。 但是令人费解的是，在随后以色列对加沙地带的报复性轰炸中，8200情报部队开发的人工智能目标识别系统却在大规模锁定和攻击哈马斯武装分子的行动中发挥了极为关键的作用。以色列国防军（IDF）严重依赖8200部队开发的Lavender算法（目标推荐引擎）来生成数以万计的巴勒斯坦伊斯兰圣战组织（PIJ）及哈马斯武装分子的个人数据库。 据英国卫报报道，在战争的最初几周内，8200部队改进了Lavender的算法并调整了其搜索参数。在随机抽样和交叉检查其预测后，8200部队得出的结论是Lavender的准确率达到了90%，这导致以色列国防军批准将其广泛用作目标推荐工具。 据报道，以色列国防军已经通过Lavender创建了一个包含3-4万名可疑武装分子的个人数据库，大多被标记为哈马斯军事部门的低级别成员。（编者：战前，美国和以色列估计哈马斯军事组织的成员人数约为2.5-3万人） 与此同时，以色列国防军对加沙地带的轰炸还依赖8200部队开发的另外一个人工智能决策支撑系统和推荐算法——Gospel/Habsora（福音），该系统负责为以色列国防军推荐（轰炸）目标建筑物和工事。 Gospel人工智能系统到底采用了哪些形式的数据尚不清楚。但专家表示，基于人工智能的目标推荐决策支持系统通常会分析来自各种来源的大量信息，例如无人机镜头、截获的通信、监视数据以及通过监测个人和大型群体的行动和行为模式得出的信息。 消息人士告诉《卫报》，8200情报部队的Gospel和Lavender推荐系统帮助以色列国防军建立了“智能化大规模暗杀工厂”，在制定和授权暗杀名单方面发挥了关键作用。 总之，基于Yossi Sariel领导的8200情报部队开发的人员和建筑目标推荐算法，以色列国防军可以快速生成轰炸目标（每天100个甚至更多），而且可以精确调整平民附带伤害“参数”，例如杀死某个级别的哈马斯武装分子（或轰炸一个建筑）可以牺牲多少个平民（大约是1：15，该参数在不断变动中）。 泄密的后果 鉴于8200情报部队在以色列对加沙的轰炸行动中扮演着至关重要的角色，其开发的机器学习和人工智能系统首次被用于大规模杀伤性军事行动导致加沙地带大量平民死亡而在全球引发了人工智能武器化的一系列法律和道德问题争论。 随着加沙地带“大规模智能杀人工厂”的总设计师，人工智能武器化先驱，以色列国防军8200情报部队的指挥官兼人工智能战略架构师——YossiSariel发生严重泄密并意外暴露个人身份，全球人工智能产业、政府、军队将重新审视其匿名著作《人机团队》中描绘的“超级特工”和未来智能化战场场景。 作为这场由精确弹药和智能算法导致的大规模加沙平民伤亡事件的人工智能架构师，YossiSariel本人也将直接面对全球调查和谴责，其在以色列国防军中的去留尚不明朗。 最后，值得所有企业反思的是，如果顶尖情报机构的领导人都能犯下如此简单的身份暴露错误，那么（缺乏约束并拥有敏感信息和特权账户的）企业高级管理层该如何保护自己的隐私呢？   转自GoUpsec，原文链接：https://mp.weixin.qq.com/s/I7V1OrYJXaByV8-G93hXMw 封面来源于网络，如有侵权请联系删除

以色列流行的 LGBTQ 约会应用程序 Atraf 遭遇了重大数据泄露，超过 50 万用户的个人信息被泄露，包括明文密码和支付卡数据。 据2021年11月Hackread.com报告，部分以色列 LGBTQ 约会应用程序Atraf的用户数据泄露，是由来自伊朗的黑客组织“黑影”发起的赎金失败导致的。他们通过攻击以色列托管服务CyberServe获取了该应用程序的数据，并要求支付100万美元的赎金。 据Breach Forums上一名显然是俄罗斯裔的用户声称，已泄露Atraf数据库，包含超过150万用户的个人数据。然而，Hackread.com分析了价值2.63 GB的数据，显示泄露的账户总数实际上减少到超过50万个，即669,672个，经过删除重复项后确认。 值得注意的是，Atraf数据库在2023年曾在同一论坛上两次泄露。然而，这些泄密事件都没有像最新的泄密事件那样包含明文密码或敏感个人信息。 黑客在论坛上发布的内容 值得注意的是，在该公司正式确认之前，数据泄露事件仍然处于指控阶段。 与此同时，我们的分析了来自以色列用户的个人和敏感信息的泄露，包括全名、昵称、城市、年龄、身高、宗教信仰、电话号码、IP地址、兴趣爱好、性取向、某些用户的纯文本密码、智能手机类型和操作系统、直接消息 (DM) 中的对话、家庭详细信息（包括是否有孩子），以及支付卡数据等。 Hackread.com确认数据泄露记录可以追溯到2021年，没有最近的记录。这一时间线与Black Shadow在2021年11月提出的说法一致，表明这些数据可能是合法的。 泄露数据截图 这种数据泄露对受影响用户的隐私和人身安全构成了重大威胁。因为泄露行为包括明文密码，可能导致在线骚扰和电子邮件帐户被黑客入侵。   转自安全客，原文链接：https://www.anquanke.com/post/id/295157 封面来源于网络，如有侵权请联系删除

一伙声称跟伊朗有联系的黑客宣布，他们已经突破了以色列一个敏感核设施的电脑网络。据“匿名”黑客组织声明，这是对加沙战争的抗议行为。这些黑客声称，他们窃取并公开了数千份文件，包括 PDF 文件、电子邮件和 PowerPoint 幻灯片，均来自希蒙·佩雷斯内盖夫核研究中心。这个被保护得十分严密的设施里有一个核反应堆，它与以色列那并不为人所知的核武器项目有关，而且该设施多次成为哈马斯火箭的攻击目标。该团伙在一条社交媒体消息中解释了他们的意图，声称“我们和嗜血的内塔尼亚胡及其恐怖主义军队不一样，我们的行动保证了没有平民伤亡。”然而，他们在另一条社交媒体消息中却表示，“我们不打算引起核爆炸，不过此次行动非常危险，任何事情都有可能发生”，他们还发布了一段核爆炸的动画视频，并呼吁邻近的迪莫纳城和 Yeruham 镇居民撤离。 虽然目前公开的文件似乎表明黑客得以突破了与该设施相连的信息技术 (IT) 网络，但目前并无证据表明他们能够侵入其运营技术 (OT) 网络。就算他们真的做到了，核设施也有众多安全系统，可以防止危险事件的发生。 以色列驻伦敦大使馆未对此事件作出回应。以色列网络安全公司 Checkpoint 的首席执行官 Gil Messing 向 Recorded Future News 透露，该公司关注到匿名黑客团伙在加沙对哈马斯战争爆发时建立了自己的 Twitter 和 Telegram 账号。 Checkpoint 观察到，这些黑客所进行的攻击大多是模仿伊朗黑客团体的行为，Messing 提出，这些可能都是同一群体在使用不同名义进行操作。 伊朗外交部并未就此回应置评请求。 Messing 表示：“到目前为止，这些攻击有的是假的，有的是真的，所以对于这次特定的攻击是否真实，很难下定论。”正如 Messing 之前对 Recorded Future News 所说，自从去年 10 月加沙战争开始以来，以色列的网络安全公司就开始密切监控伊朗的国家支持的黑客行动。 他说，自从战争开始以来，对以色列及其盟友的网络攻击行为一直“持续不断”。这些攻击者不仅泄露了海量数据，入侵了政府电脑系统，还黑进了以色列的安全摄像头系统，对信息进行了大量篡改，甚至还远距离针对了世界另一端的工业控制系统。 此外，他补充说，Checkpoint 分析了黑客公开的文件。“我们分析后认为，这些文件大部分信息（主要是电子邮件、姓名、他们合作的供应商等）并不过于敏感；但这些信息对于未来可能的攻击，如网络钓鱼等，则可能带来风险。”Messing 强调，这些文件并不能证明黑客真的控制了该核设施的运营系统。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TZrKjDZpiot_kAPn24QV4Q 封面来源于网络，如有侵权请联系删除

以色列最大移动运营商 Pelephone 的工作受到黑客活动分子的干扰，加沙仍然完全缺乏互联网。据 监控全球互联网的非营利组织 NetBlocks 称，Pelephone 网络于 1 月 23 日发生中断。“匿名苏丹”组织声称对其 Telegram 频道的袭击负责。 Pelephone 是以色列领先且历史最悠久的电信公司之一，拥有约 200 万用户。NetBlocks 援引用户报告，证实了 Pelephone 网络中断。 NetBlocks 发布有关 Pelephone 网络关闭的帖子 匿名苏丹组织声称对以色列最大的移动运营商和电信公司之一的基础设施造成了“毁灭性打击”。 匿名苏丹关于 Pelephone 袭击事件的帖子 匿名苏丹还表示，愿意为 Pelephone 网络整体健康造成的任何损害承担责任。 “附带损害将相当大，因为它托管着许多关键系统，包括 SCADA 和其他基于基础设施的端点，以及依赖 Pelephone 基础设施的公司，”匿名苏丹指出。 该组织发誓要继续对以色列发动袭击。与此同时，加沙仍然几乎完全无法接入互联网。据 NetBlocks 报道，自 1 月 22 日以来，加沙一直处于电信中断状态。该事件可能会严重限制大多数居民的沟通能力。   转自安全客，原文链接：https://www.anquanke.com/post/id/292904 封面来源于网络，如有侵权请联系删除

黑客组织APT28利用与以色列和哈马斯冲突相关的蜜罐分发定制的HeadLace后门来获取情报信息。这 是由监视该组织活动的 IBM X-Force 专家报告的。 新的攻击活动针对至少 12 个国家，包括匈牙利、土耳其、澳大利亚、波兰、比利时、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚。在袭击过程中，袭击者使用虚假文件，主要针对影响人道主义援助分配的欧洲组织。诱饵包括与联合国、以色列银行、美国国会公共政策研究所、欧洲议会和智库有关的文件。 一些攻击使用 RAR 存档，利用 WinRAR中的CVE-2023-38831 (CVSS: 7.8) 漏洞来分发 HeadLace 后门。当用户尝试查看存档中的安全文件时，该错误允许网络犯罪分子执行任意代码。如果受害者安装了存在漏洞的 WinRAR 应用程序并打开了存档，则当Headlace dropper在后台运行时，就会显示诱饵文档。 在其他情况下，感染会使用 DLL 劫持方法，该方法将易受 DLL 劫持的合法 Microsoft Calc.exe 二进制文件传递到目标设备。当受害者单击 Calc.exe 时，就会下载恶意 DLL 并将其与 Calc 一起打包在恶意存档中。此时 DLL 启动 Headlace。为了诱骗受害者运行可执行文件，Calc.exe 被重命名并在扩展名前包含空格，这可能会阻止用户检测 .EXE 扩展名。 另一个 Headlace 选项伪装成 Windows 更新。当执行脚本时，在其恶意组件被传递和执行后，Headlace 会立即定期显示虚假的更新状态消息。 值得注意的是，在建立对系统的控制后，APT28 使用额外的方法来拦截帐户数据NTLM或SMB哈希值，并试图通过 TOR 渗透网络。 X-Force 充满信心地表示，该组织将继续攻击外交和学术中心，以获取有关新政治决策的信息。APT28 可以通过利用公开的 CVE 和商用基础设施来适应网络威胁能力的变化。   转自安全客，原文链接：https://www.anquanke.com/post/id/291890 封面来源于网络，如有侵权请联系删除

自巴以冲突爆发以来，齐夫医疗中心已遭受三次袭击。 一个据信与伊朗有关的黑客组织声称从以色列齐夫医疗中心医院窃取了数千份医疗记录。据他们称，被盗数据包括以色列军事人员的记录。 位于叙利亚和黎巴嫩边境附近萨法德市的医院遭到袭击，导致去年的 500 GB 数据遭到未经授权的访问。这些数据包括约 70 万份文档，其中包含患者的个人和医疗信息，例如疾病类型和处方药物。 在他们的Telegram频道中，一个自称 Malek Team 并声称对此次袭击负责的组织开始发布文件，其中包括来自以色列武装部队 ( IDF ) 的据称数据。 医院遭到袭击的日期没有具体说明，但以色列国家网络安全局上周 警告称 ，齐夫医疗中心计算机系统受到影响。 声明称，事件很快被发现并得到遏制，没有影响医疗中心的工作。作为预防措施，医院暂时关闭了电子服务器和部分计算机系统。 安全团队已展开调查，以确定黑客所说的信息泄露事件是否真的发生过。不过，这项调查的结果尚未公布。 据 以色列报纸《耶路撒冷邮报》报道，这是过去四个月内对 Ziv 医疗中心的第三次网络攻击。据当地媒体报道，医院和以色列数据保护机构承认，医院系统存在信息泄露的迹象。 以色列当局禁止使用、转移或传播任何被盗信息，并宣布打算对参与这一事件的所有人提出指控。 Malek Team 黑客还声称对以色列其他目标的网络攻击负责，其中包括小野学院以及一些以色列技术和媒体公司。 黑客公布了大量被盗数据的证据，包括大学课程和候选人采访的视频，以及受害者护照和文件的扫描件。这些数据的真实性尚未得到独立评估。 在以色列和巴勒斯坦军事组织哈马斯之间的冲突中，网络攻击的数量呈指数级增长。在这方面，以色列的医院和其他医疗机构应更好地保护其网络安全，以保护患者的机密信息免受恶意者的侵害。   转自安全客，原文链接：https://www.anquanke.com/post/id/291680 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国和以色列当局说，与伊朗有关联的黑客攻击了一个特定的工业控制设备，因为它是以色列制造的，美国宾夕法尼亚州西部的一个小型水务局（黑客劫持美国自来水公司的工业控制系统）只是其中一个。 美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示：“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。 阿利基帕市水务局的主席马修·莫特斯在11月25日发现遭到了黑客攻击，他表示，联邦官员告诉他，同一组织还入侵了另外四家公用事业公司和一家水族馆。 网络安全专家说，虽然没有证据表明伊朗参与了10月7日哈马斯对以色列发动的袭击，那次袭击引发了加沙的战争，但他们预计，政府支持的伊朗黑客和亲巴勒斯坦的黑客活动分子会在事件发生后加强对以色列及其盟友的网络攻击。这确实发生了。 这份多机构咨询报告解释了 CISA 在周三确认宾夕法尼亚州遭到黑客攻击时没有提到的问题——除供水和水处理设施外的其他行业也使用同样的设备，Unitronics 公司生产的 Vision 系列可编程逻辑控制器，并且也存在潜在的漏洞。 该报告称，这些行业包括“能源、食品和饮料制造以及医疗保健”。这些装置用来调节压力、温度和流体流量等。 阿利基帕的黑客事件促使工人暂时停止在一个偏远的泵站抽水，该泵站负责调节附近两个城镇的水压，导致工作人员改用人工操作。黑客在被入侵的设备上留下了一张数字名片，称所有以色列制造的设备都是“合法目标”。 该公告称，这些自称“Cyber Av3ngers”的黑客隶属于伊朗伊斯兰革命卫队，美国在 2019 年将其列为外国恐怖组织。该组织称，至少从11月22日起，该组织就盯上了 Unitronics 的设备。 通过 Shodan 搜索，发现美国有200多台这样的联网设备，全球有1700多台。通过 ZoomEye 搜索”Unitronics Web”，发现该 PLC 设备的 Web 界面相关资产，美国有40条，全球共有640条。 上图均为 “Unitronics控制系统” 更多资产信息可以访问www.zoomeye.org查看   该报告指出，Unitronics 的设备出厂时带有默认密码，专家不赞成这种做法，因为这会使设备更容易受到黑客攻击。最佳的要求是在开箱即用时创建唯一的密码。该公司表示，黑客可能是通过“利用网络安全漏洞，包括密码安全性差和暴露于互联网”来访问受影响的设备的。 专家表示，许多水务公司对网络安全的重视不够。 作为对阿利基帕黑客事件的回应，宾夕法尼亚州的三名国会议员在一封信中要求美国司法部进行调查，他们说，美国人必须知道，他们的饮用水和其他基础设施是安全的，不会受到”民族国家对手和恐怖组织”的威胁。“Cyber Av3ngers”在10月30日的社交媒体帖子中声称，他们入侵了以色列的10个水处理厂，但目前尚不清楚他们是否关闭了任何设备。 自从以色列和哈马斯开战以来，该组织扩大并加速了对以色列关键基础设施的袭击。在10月7日之前，伊朗和以色列进行了低级别的网络冲突。Unitronics 没有回应美联社关于黑客攻击的询问。 据了解，这次攻击发生不到一个月前，联邦上诉法院的一项裁决促使美国环保署废除了一项规定，该规定要求美国公共供水系统将网络安全测试纳入联邦授权的定期审计中。联邦上诉法院对密苏里州、阿肯色州和爱荷华州提起的一起案件的裁决引发了这一回调，一家水务公司贸易集团也加入了这一裁决。 拜登政府一直在努力加强关键基础设施的网络安全，其中80%以上是私人拥有的，并对电力公用事业、天然气管道和核设施等部门实施了监管。但许多专家指出，太多重要行业被允许进行自我监管。       Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本，据评估，该后门已被哈马斯相关的黑客组织用来针对以色列目标。 Check Point在分析报告中表示：“最显著的变化是转向 Rust 语言，这表明恶意软件代码被完全重写，同时仍然保持类似的功能。” “此外，攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2（命令和控制服务器）URL。” Intezer 于 2022 年 1 月公开记录了SysJoker ，将其描述为一个后门，能够收集系统信息，并通过访问 Google Drive 上托管的包含硬编码 URL 的文本文件来与攻击者控制的服务器建立联系。 VMware去年表示：“跨平台使恶意软件作者能够在所有主要平台上获得广泛感染的优势。” “SysJoker 能够远程执行命令以及在受害者计算机上下载和执行新的恶意软件。” SysJoker Rust 变体的发现表明跨平台威胁的演变，植入程序在其执行的各个阶段采用随机睡眠间隔，可能是为了逃避沙箱。 一个值得注意的转变是使用 OneDrive 检索加密和编码的 C2 服务器地址，随后解析该地址以提取要使用的 IP 地址和端口。 Check Point 表示：“使用 OneDrive 可以让攻击者轻松更改 C2 地址，从而使他们能够领先于不同的基于信誉的安全检测服务。” “这种行为在不同版本的 SysJoker 中保持一致。” 与服务器建立连接后，该工件会等待更多额外的有效负载，然后在受感染的主机上执行这些有效负载。 这家网络安全公司表示，它还发现了两个前所未见的为 Windows 设计的 SysJoker 样本，这些样本明显更加复杂，其中一个样本利用多阶段执行过程来启动恶意软件。 SysJoker 尚未被正式归咎于任何专业黑客组织。但新收集的证据显示，后门和与“Operation Electric Powder”行动相关的恶意软件样本之间存在重叠，“Operation Electric Powder”指的是 2016 年 4 月至 2017 年 2 月期间针对以色列组织的有针对性的网络攻击活动。 McAfee将这一活动与哈马斯附属威胁组织Molerats （又名Extreme Jackal、Gaza Cyber Gang 和 TA402）联系起来。 Check Point 指出，“这两个活动都使用了以 API 为主题的 URL，并以类似的方式实现了脚本命令”，这增加了“尽管两次攻击之间存在很大的时间间隔，但两次攻击都是由同一个攻击者负责的可能性”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ypWH5YY6saPZSHXRVkSYuw 封面来源于网络，如有侵权请联系删除

一名以色列黑客因参与大规模鱼叉式网络钓鱼活动而在美国被判处 80 个月监禁。 Aviram Azari（52 岁）因参与针对美国和世界各地公司和个人的大规模鱼叉式网络钓鱼活动而因计算机入侵、电信欺诈和严重身份盗窃而被判处 80 个月监禁。该男子于 2019 年 9 月从国外前往美国时被捕。 阿扎里在以色列的家中精心策划了国际雇佣黑客鱼叉式网络钓鱼活动。据司法部称，这名以色列男子获得了超过 480 万美元的犯罪收益 阿扎里在以色列创立了一家名为 Aviram Hawk 或 Aviram Netz 的“情报公司”。该公司帮助其客户管理“项目”，这些项目被官方描述为情报收集工作，但实际上是专门针对某些受害者群体的黑客活动。 “大约从 2014 年 11 月到 2019 年 9 月，AZARI 开展了大规模的鱼叉式网络钓鱼活动，针对美国和全球各地的个人和公司。” 阅读司法部发布的新闻稿。“AZARI 向不同的黑客组织（包括位于印度的一个特定组织）付费，向各个项目的受害者发送鱼叉式网络钓鱼电子邮件。黑客组织向 AZARI 通报了他们的进展情况，包括向他发送了跟踪他们针对特定受害者的黑客活动的列表。黑客还发送了 AZARI 报告，告知他们何时成功访问受害者账户并窃取信息。” 美国司法部透露，AZARI 的黑客项目之一针对的是参与气候变化倡导的个人和组织。该男子及其同伙从受害者的在线帐户中窃取了文件并将其泄露给媒体，从而发表了与纽约州和马萨诸塞州总检察长对埃克森美孚公司有关气候变化的知识进行调查以及埃克森美孚公司在气候变化方面可能做出的错误陈述有关的文章。它了解气候变化的风险，目标实体还包括对冲基金和记者。 调查人员获得了针对 Azari 目标的 100 次成功攻击的证据，但专家认为，被黑客攻击的实体数量可能高出 100 倍。 该男子还被判处额外三年监管释放，并没收他通过该计划赚取的 484 万美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/291436 封面来源于网络，如有侵权请联系删除