近日，微软称有一个与俄罗斯对外情报局有关的名为APT29的黑客组织，针对全球数十个组织包括政府机构等进行了网络钓鱼攻击。 微软方面透露，根据目前调查显示，此次攻击活动影响了全球约40个组织。并且此次攻击活动表明该黑客组织将政府、非政府组织(ngo)、IT服务、技术、离散制造业和媒体部门等设置成了特定间谍目标。 黑客利用被入侵的 Microsoft 365 租户创建了新的技术支持主题域并发送技术支持诱饵，试图利用社交工程策略欺骗目标组织的用户。 他们的目的是操纵用户批准多因素身份验证（MFA）提示，最终窃取他们的凭证。 攻击者利用被入侵的 Microsoft 365 租户创建了以技术支持为主题的新域。这些新域是 “onmicrosoft.com “域的一部分，而 “onmicrosoft.com “域是一个合法的微软域，在没有创建自定义域的情况下，Microsoft 365 会自动将其用作备用域。 然后，他们利用这些域发送技术支持诱饵，欺骗目标组织的用户批准多因素身份验证 (MFA) 提示。 APT29团队网络钓鱼消息，图源：微软 由于这些信息均来自合法的 onmicrosoft.com 域名，这使得这些假冒的微软支持信息看起来很值得信赖。 根据雷德蒙德的公告，威胁行为者的最终目的是窃取目标用户的凭证。 微软方面补充称：在某些情况下，行为者试图通过微软 Entra ID（前身为 Azure Active Directory）将设备添加到组织中作为受管设备，这很可能是为了规避为限制受管设备访问特定资源而配置的条件访问策略。 该公司报告称，已成功阻止俄罗斯威胁组织在其他攻击中使用这些域，目前正在积极应对并降低该活动的影响。 Jumpsec安全研究人员上个月发现一个安全问题 上个月，Jumpsec安全研究人员发现Microsoft Teams中存在一个安全问题，该问题可让任何人使用由美国海军红队成员 Alex Reid 开发的名为 TeamsPhisher 的 Python 工具绕过对来自外部租户的传入文件的限制，但微软拒绝解决此问题。 JumpSec 在 6 月份报告该漏洞时，微软表示该漏洞 “不符合立即提供服务的标准”。 BleepingComputer 也联系了微软，询问是否有计划修复这个问题，并被告知客户应该注意可疑信息。 但微软发言人告诉 BleepingComputer：他们已经注意到这个报告，并确定它是依靠社会工程学而成功的。一直以来微软都鼓励客户养成良好的上网计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时保持谨慎。 不幸的是，APT29的社会工程攻击也影响了政府机构，这凸显了这种攻击可能产生的巨大影响，即使是对保护良好的实体。 黑客组织APT29已成功隐蔽多年 APT29 是俄罗斯对外情报局 (SVR) 的黑客部门，三年前曾策划过 SolarWinds 供应链攻击事件，导致多个美国联邦机构遭到入侵。 自那次事件后，这个黑客组织还利用隐蔽的恶意软件（包括 TrailBlazer 和 GoldMax Linux 后门变种）渗透到其他组织的网络中，成功隐蔽了多年一直未被发现。 最近，微软披露，该黑客组织正在使用新的恶意软件，夺取活动目录联盟服务（ADFS）的控制权，以 Windows 系统中任何用户的身份登录。 他们瞄准了北约国家实体的 Microsoft 365 账户，试图获取与外交政策相关的信息。同时，他们还发起了一系列网络钓鱼活动，明确针对欧洲各国政府、大使馆和高级官员。     转自Freebuf，原文链接:https://www.freebuf.com/news/373728.html 封面来源于网络，如有侵权请联系删除

 乌克兰网络警察拆除了一个用于传播宣传的大型机器人农场，并查获了150000张SIM卡。 这是一个100 多人组成的团伙，该团伙使用虚假社交网络账户进行虚假信息和心理行动，以支持俄罗斯政府及其关于俄乌冲突的叙述。这个巨大的机器人农场不仅分发非法内容，还获取乌克兰公民的个人数据并进行欺诈。 乌克兰国家警察网络警察局在文尼察、扎波罗热和利沃夫进行21次搜查后，拆除了该组织使用的大型机器人农场。网络警察发现该组织使用特殊设备和软件在多个社交网络中注册了数千个机器人账户。 乌克兰网络警察发布的公告中表示，案件已根据以下条例提起刑事诉讼：第361条（未经授权干扰信息（自动化）、电子通信、信息和通信系统、电子通信网络的工作）；第361-2条（未经授权出售或分发存储在电子计算机（计算机）、自动化系统、计算机网络或此类信息介质上的有限访问信息）；《乌克兰刑法典》第190条（欺诈）；第259条（明知公民安全受到威胁、财产遭到破坏或损坏的虚假通知）。目前调查正在稳步进行中。 此次行动，警方查获了各种移动运营商的计算机设备、手机、250多个GSM网关和约150，000张SIM卡。 早在2022年8月，乌克兰网络警察就已经拆除了一个由一百万个机器人组成的大型机器人农场，该农场也是通过社交网络传播虚假信息和进行俄罗斯宣传。     转自E安全，原文链接:https://mp.weixin.qq.com/s/VoSI1zBTtlwgs6-qihyPLw 封面来源于网络，如有侵权请联系删除

昨天（7月11日），微软正式披露了一个未修补的零日安全漏洞，该漏洞存在于多个Windows和Office产品中，可以通过恶意Office文档远程执行代码。 未经身份验证的攻击者可在无用户交互的情况下利用该漏洞(跟踪为CVE-2023-36884)进行高复杂性攻击。 一旦攻击成功，即可导致对方系统的机密性、可用性和完整性的完全丧失，从而允许攻击者访问敏感信息、关闭系统保护并拒绝对受损系统的访问。 目前，微软正在调查并制作一系列影响Windows和Office产品的远程代码执行漏洞的报告。微软已经意识到了这是一系列有针对性的攻击，这些攻击试图利用特制的微软Office文档来利用这些漏洞。 攻击者可以创建一个特制的Microsoft Office文档，使他们能够在受害者的系统中执行远程代码执行。但前提是攻击者必须说服受害者打开恶意文件。 虽然该漏洞尚未得到解决，但微软表示后续将通过每月发布的程序或带外安全更新向客户提供补丁。 可通过启用“阻止所有Office应用程序创建子进程”免于攻击 微软方面表示，在CVE-2023-36884补丁可用之前，使用Defender for Office的客户和启用了“阻止所有Office应用程序创建子进程”攻击面减少规则的客户可以免受网络钓鱼攻击。 不使用这些保护的用户可以将以下应用程序名称添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项中，作为REG_DWORD类型的值，数据为1: Excel.exe Graph.exe MSAccess.exe MSPub.exe PowerPoint.exe Visio.exe WinProj.exe WinWord.exe Wordpad.exe 但是，需要注意的是，设置此注册表项以阻止利用尝试也可能影响到与上面列出的应用程序链接的某些Microsoft Office功能。 设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项（图源：Microsoft) CVE-2023-36884漏洞最新动态 微软方面表示，CVE-2023-36884漏洞在最近针对参加立陶宛维尔纽斯北约峰会的组织的攻击中被利用。 根据乌克兰计算机应急响应小组(CERT-UA)和黑莓情报团队的研究人员发布的报告，攻击者使用恶意文件冒充乌克兰世界大会组织安装恶意软件，包括MagicSpell加载程序和RomCom后门。 黑莓安全研究人员表示：如果被成功利用，攻击者就可以通过制作恶意的docx或rtf文件来利用该漏洞，进行基于远程代码执行(RCE)的攻击。 攻击是通过利用特制的文档来执行易受攻击的MSDT版本来实现的，这反过来又允许攻击者向实用程序传递命令以执行。 微软周二（7月11日）时也表示：该攻击者在2023年6月发现的最新攻击涉及滥用CVE-2023-36884，提供与RomCom相似的后门。 该漏洞与RomCom组织有所渊源 RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978），该组织以从事勒索软件和勒索攻击以及专注于窃取凭证的活动而闻名。该组织与此前的工业间谍勒索软件行动有关，现在该行动已转向名为“地下”(VirusTotal)的勒索软件。 地下勒索信（图源：BleepingComputer） 2022年5月，在调查工业间谍勒索通知中的TOX ID和电子邮件地址时，MalwareHunterTeam发现了与古巴勒索软件操作的特殊关联。 他观察到，工业间谍勒索软件样本生成了一封勒索信，其TOX ID和电子邮件地址与古巴使用的相同，以及古巴数据泄露网站的链接。 然而，提供的链接并没有将用户引导到工业间谍数据泄露网站，而是指向古巴勒索软件的Tor网站。此外，勒索信使用了相同的文件名，!!READ ME !!.txt，就像之前发现的古巴勒索邮件一样。 在2023年5月，在Trend Micro发布的一份关于RomCom的最新活动报告显示，威胁参与者现在正在冒充Gimp和ChatGPT等合法软件，或者创建虚假的软件开发人员网站，通过谷歌广告和黑色搜索引擎优化技术向受害者推送后门。     转自Freebuf，原文链接:https://www.freebuf.com/news/371814.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 6月初，微软的一些服务遭遇严重中断，包括Outlook、OneDrive和云计算基础设施Azure。 一个名为Anonymous Sudan(又名Storm-1359)的组织宣称对破坏该公司服务的DDoS攻击负责。 该组织自2023年1月起便活跃于人们的视野中，并宣言“针对任何反对苏丹的国家”。然而，一些安全研究人员认为，Anonymous Sudan实际上是亲俄威胁组织Killnet的一个分支。 攻击者依赖于虚拟专用服务器(VPS)以及租用的云基础设施、开放代理和DDoS工具进行攻击。 最初，微软并没有提供攻击的细节，但后来在一份题为“微软对第7层分布式拒绝服务(DDoS)攻击的响应”的报告中证实，他们受到了DDoS攻击。 “从2023年6月初开始，微软就发现了一些服务流量的激增，以及部分服务的可用性暂时受到影响，于是立刻展开了调查。随即，微软便跟踪正在进行的DDoS活动，并将其追踪为Storm-1359。“该公司发布的报告写道。 微软指出，他们没有发现任何证据表明客户数据被访问或泄露。 相反地，Anonymous Sudan声明已经窃取了3000万客户账户的信任证书。 该组织于2023年7月2日在其Telegram频道上发布的消息中写道：”我们宣布，我们已经成功入侵了微软，并进入了一个包含3000多万微软账户、电子邮件和密码的大型数据库。完整数据库交易的价格为50000美元。”   Anonymous Sudan分享了被盗数据的样本，并以5万美元的价格出售该数据库的完整版。 目前，微软尚未对所谓的”数据泄露“发表公开评论。BleepingComputer要求该公司公开否认任何数据泄露。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

有黑客组织声称攻击并瘫痪了俄罗斯重要卫星网络服务Dozor，窃取近700份文件并公之于众，声称为瓦格纳集团“鸣不平”。互联网观测公司Kentik发现，Dozor的互联网连接至少发生了数小时中断。 安全内参6月30日消息，28日（周三）晚间，身份不明的黑客组织在Telegram发布消息，声称已针对卫星电信提供商Dozor发起攻击。Dozor主要为俄罗斯电力线路、油田、俄军和联邦安全局（FSB）等提供服务。 黑客组织发布的第一条消息大意如下：“为俄罗斯电力线路、油田、国防部军事单位、联邦安全局、养老金基金、北方商船队、比利比诺核电站等众多项目提供卫星服务的Dozor公司（Amtel集团）已被瘫痪。部分卫星终端设备发生故障，交换机重启，服务器信息被销毁。” 攻击者声称站队瓦格纳集团 黑客组织还声称，已经篡改了四个俄罗斯网站，用于发布支持瓦格纳集团的信息。上周末，瓦格纳集团发动了一场未遂兵变，震惊全球。事后，领导人普里戈任去往白俄罗斯。普里戈任曾创建并资助号称“巨魔农场”的互联网研究所。2016年美国总统大选和2018年美国中期选举期间，俄罗斯发动大规模干预行动。互联网研究所深度参与，遭到了美国政府制裁。 遭篡改网站上发布了带瓦格纳标志的内容，包括有关“起义”的信息和结果。消息大意如下：“我们同意和平收场，因为我们达到了主要目的——我们展示了自己的实力，证明我们的行动得到社会全面支持……然而，我们看到的是什么？俄军领导层没有撤职，（针对我们的）刑事立案没有撤销……你把我们赶出了NOW地区，赶出了俄罗斯，但你无法把我们从网络中赶走……我们对黑客攻击负责。这只是个开始，更多行动还在路上。” 该黑客组织还发布了一条链接，指向一个包含674份文件（包括PDF、图像和文档）的压缩文件。周四早上，黑客组织又公布了三份文件，疑似揭露俄联邦安全局与Dozor的关联，以及Dozor员工用来验证交流对象是否为俄联邦安全局代表的密码。今年，这套密码每隔两个月更新一次。 已观测到Dozor网络中断 周四，互联网观测公司Kentik的分析主管Doug Madory表示，Dozor的互联网连接在美国东部时间周三晚上10点左右中断，并且持续无法访问。Dozor使用的一条路由被切换到位于莫斯科的母公司Amtel-Svyaz。 截至目前，外媒CyberScoop未能联系上Amtel-Svyaz和瓦格纳集团对此事进行评价。 如果确认属实，这将是俄罗斯卫星网络又一次遭受黑客攻击。去年，亲乌克兰黑客声称，他们侵入了俄罗斯的低地球轨道卫星通信网络Gonets，删除了对其正常运行至关重要的数据库。与此同时，“匿名者”（Anonymous）关联黑客组织NB65称，他们通过攻击俄罗斯航天局扰乱了俄罗斯车辆监控系统。 自称为乌克兰网络联盟新闻秘书的Sean Townsend在他的Telegram频道上指出，此次攻击类似俄罗斯在2022年2月24日晚间对维亚萨特（Viasat）卫星的网络攻击。维亚萨特官员表示，当时，俄罗斯通过入侵、利用客户终端管理系统发动网络攻击。这一事件影响了乌克兰军方通信，以及欧洲数以万计的终端，显示了依赖商业卫星通信的危险性。 Sean Townsend称：“假设你乘坐俄罗斯天然气工业股份公司的天然气运输船，在冰天雪地中航行，想找到卫星调制解调器和交换机的固件并不容易。”他还说，Dozor可能需要数天到数周才能恢复连接。 俄罗斯智库PIR中心的网络政策专家和顾问Oleg Shakirov发推文称：“瓦格纳参与（此次攻击事件）可能性很低”，表示事件看起来像是“乌克兰制造的假旗行动”。Shakirov还表示：“整个黑客攻击和泄漏事件看起来非常真实，但这不是瓦格纳的作风。他们现在没有动机，也没有发动这种攻击的前科。”     转自安全内参，原文链接：https://www.secrss.com/articles/56162 封面来源于网络，如有侵权请联系删除

据微软披露，近日检测到由俄罗斯国家附属黑客组织 “午夜暴雪 “进行的凭证窃取攻击激增。 微软的威胁情报团队说，入侵行为利用住宅代理服务来混淆攻击的源IP地址，目标是政府、IT服务提供商、非政府组织、国防和关键制造部门。 “午夜暴雪”以前被称为Nobelium，也以APT29、Cozy Bear、Iron Hemlock和The Dukes等名称被追踪过。 该组织在2020年12月因对 SolarWinds 高调攻击而引起全世界的关注，但在其针对外国部委和外交实体的目标攻击中，该组织依旧依靠隐蔽的工具。 这一迹象表明他们有强大的决心，即使在被曝光的情况下仍然保持他们的运作，这也使他们成为间谍领域可怕的存在。 微软在一系列推文中说：”这些凭证攻击使用了各种密码喷涂、暴力破解和令牌盗窃技术，同时还进行了会话重放攻击，利用可能通过非法销售获得的被盗会话获得对云资源的初始访问”。 微软进一步指出，APT29使用住宅代理服务来路由恶意流量，试图混淆使用受损凭证的连接。 自2021年11月以来，Recorded Future详细介绍了APT28（又名BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight和Fancy Bear）针对乌克兰政府和军事实体策划的新的鱼叉式钓鱼活动。 这些攻击利用带有附件的电子邮件，以及开源Roundcube网络邮件软件的多个漏洞（CVE-2020-12641，CVE-2020-35730和CVE-2021-44026）来进行侦察和数据收集。 通过一个有效的漏洞使俄罗斯军事情报的黑客能够部署流氓的JavaScript恶意软件，将目标个人的电子邮件重定向到攻击者控制的电子邮件地址，并窃取他们的联系人名单。 随后，该特权升级漏洞已在2023年3月的 “补丁星期二 “中得到部分解决。 这些发现表明，俄罗斯的威胁者一直在努力收集关于乌克兰和整个欧洲的各种实体的有价值的情报，特别是在2022年2月俄乌战争爆发之后。 俄罗斯的威胁者在对乌克兰网络战行动中的显著特点是广泛部署旨在删除和破坏数据的雨刷恶意软件。 最后，Recorded Future总结道，”BlueDelta几乎肯定会继续优先针对乌克兰政府和私营部门组织，以更广泛的支持俄罗斯军事。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370415.html 封面来源于网络，如有侵权请联系删除

16日，俄罗斯三大黑客组织联合宣布：将在48小时对欧洲银行发动沉重打击！ 俄罗斯三大黑客组织集体行动，这一次主要任务是瘫痪SWIFT 的工作，对欧洲银行系统进行大规模网络攻击，目标包括：欧洲、美国和美国联邦储备委员会的银行。 48小时之内，三大黑客组织计划对欧洲银行系统进行大规模的计算机攻击。 值得注意的是，这些计算机黑客组织，在高效和破坏性的计算机攻击方面有着长期的记录。 美国网络安全技术公司曾经发表了一篇报道，里面有个世界各国黑客的“突破时间”排名，其中俄罗斯黑客以18分49秒成功拿下第一，稳坐世界黑客头把交椅，远远领先于第二名朝鲜的2小时20分14秒。 毫不夸张地说，全世界的黑客只有两种，一个是俄罗斯黑客，还是一个是其他国家黑客。 声称将是历史上最强大的网络攻击 俄黑客组织声称这将是“历史上最强大的网络攻击，在接下来的48小时内摧毁欧洲银行。这场毁灭性的网络攻击将切断向乌克兰提供军事援助的资金流动。” 其中有些黑客组织已为大众熟知，“Killnet”（杀网/杀戮网络）的黑客行动主义者，与“Revil”（邪恶）的代表（长期以来被认为已被击败）以及“Anonymous”（匿名者）的成员表示，他们联合起来实现这一目标。 绰号为“Killmilk”的“杀网”领导者证实，袭击的准备工作已经在进行中，预计将在接下来的48小时内开始。 “没有钱，没问题。杀网对欧洲金融基础设施非常熟悉。”该组织的代表威胁说。 “Anonymous”（匿名者）的一名成员还指出，欧洲金融机构将见证“世界近代历史上最强烈的网络攻击”。他敦促他们为即将到来的打击做好准备，并表示当打击发生时，“再修复任何东西都为时已晚”。 “许多欧洲银行将成为目标，我们将毫不留情地打击。”匿名者的代表总结道。 “杀网”发布的关于摧毁欧洲银行系统的视频截图 据媒体报道，Killnet 最近是几个北约网站、FBI 数据库和汉莎航空 IT 中断事件的幕后黑手。 除了对银行的直接攻击外，黑客还可能将目标对准SWIFT系统，该系统是大多数国际银行交易的基础，然而，部分专家怀疑这样的攻击是否会成功。 据报道，网安专家叶夫根尼·戈尔博夫表示，由于银行系统涉及多层保护，宣布的大规模攻击不太可能成功。 戈尔博夫表示：“要对欧洲的银行系统进行网络攻击，您必须先破解它，一切都由多个数据中心控制，对其中一个的攻击不会解决任何问题，即使他们将其关闭一天或一周，银行系统也不会崩溃并且会继续运作，一些银行可能会受到攻击，但不太可能导致灾难性后果。” 这次全球网络攻击利用了“几个美国联邦政府机构”广泛使用的软件中的一个缺陷。美国联邦政府(15日)多个机构遭到的网络攻击，具体程度尚未清楚。而另一起针对西方金融系统的攻击，则由一个组织在那里行动，据说是与俄罗斯有关联的黑客。 美国网络安全和基础设施安全局(CISA)在给CNN的一份声明中证实了这些攻击。CISA网络安全执行助理主任 Eric Goldstein：“CISA正在为经历过入侵的几个联邦机构提供支援。我们正在紧急工作以了解影响并确保及时补救。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/4r02PPYLt7-EyCG9G_O77Q 封面来源于网络，如有侵权请联系删除

近日，一群名为 Cyber.Anarchy.Squad 的乌克兰黑客声称发动了一次攻击，导致俄罗斯电信提供商 Infotel JSC 瘫痪。 除此之外，总部位于莫斯科的 Infotel 还提供俄罗斯中央银行与其他俄罗斯银行、在线商店和信贷机构之间的连接服务。 正如乌克兰新闻网站 Economichna Pravda最先报道的那样，继昨天的攻击之后，俄罗斯多家主要银行被切断了与该国银行系统的访问权限，因此它们无法再进行在线支付。 Infotel 已在其网站上证实了这一事件，称其目前正在努力恢复在所谓的“大规模”攻击后受损的系统。    “我们想通知您，由于 Infotel JSC 网络遭到大规模黑客攻击，部分网络设备遭到破坏。”这家俄罗斯公司表示，“修复工作目前正在进行中，完成工作的其他截止日期将另行通知。我们希望得到您的理解和进一步合作。” 虽然 Infotel 或其攻击者尚未分享攻击的时间表，但佐治亚理工学院的互联网中断检测和分析 (IODA) 项目显示，俄罗斯中央银行的互联网供应商于 6 月 8 日上午 11:00 左右 UTC 中断。 IODA 还证实，这家俄罗斯公司正在努力恢复其系统，在被攻击 34 小时内仍处于离线状态。 “他们所有的基础设施都被摧毁了，没有任何生命留在那里。”乌克兰黑客昨天在他们的 Telegram 频道上宣布袭击时说。 公司总共有大约四百个客户，其中四分之一是银行，其余是信贷机构、汽车经销商。 作为攻击的证据，他们发布了据称访问 Infotel 网络的屏幕截图，包括网络图和似乎已被入侵的电子邮件帐户。 据称泄露的 Infotel 与其客户之间通信的屏幕截图 这是 Cyber.Anarchy.Squad 乌克兰黑客组织的一个反复出现的模式，该组织在俄罗斯入侵乌克兰后浮出水面，并以其他俄罗斯公司为目标。 值得注意的是，去年，该组织泄露了从一家俄罗斯零售商和一家珠宝制造商的系统中窃取的在线数据库。 泄露的数据库包含数百万条记录，其中包含属于公司员工和客户的信息，以及公司内部电子邮件。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/EqIiOnAJcnwtiNl_xcmLFQ 封面来源于网络，如有侵权请联系删除

美国司法部当地时间5月9日宣布，由FBI进行的美杜莎联合行动已经成功阻止了来自俄罗斯联邦安全局 (FSB) 的恶意软件Snake，该软件被指窃取北大西洋公约组织 (NATO) 成员国政府的机密文件长达近20年之久。 Snake是由受俄罗斯政府支持的黑客组织Turla（又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug）研发。根据美国网络安全和基础设施安全局 (CISA) 发布的一份咨询报告，Snake 被设计为一种秘密工具，用于对高优先级目标进行长期情报收集，并针对目标创建点对点 (P2P) 全球受感染系统网络，P2P 网络中的多个系统充当中继节点，将伪装的操作流量与Snake恶意软件相连接，从而使活动难以检测。 因此，美国司法部表示，在窃取数据后，Snake能够通过遍布美国及其他地区的受感染机器网络泄露敏感数据，以加大检测难度。 在此次针对Snake的行动中，FBII开发了一种名为 Perseus 的工具，能够让Snake覆盖其自身重要组件，在不影响主机或计算机上的合法应用程序的情况下自行禁用。 但禁用 Snake 的没有修补任何漏洞，也没有搜索或删除黑客组织可能放置在系统上的其他恶意软件或工具，司法部建议采取更多额外措施来保护系统安全。 老牌黑客组织Turla 作为强大的跨平台黑客组织，Turla的一系列策略和工具几乎能够覆盖Windows、macOS、Linux 和 Android四大主流系统，这与其自身存在的时间之长、技术沉淀之多不无关系。 谷歌云 Mandiant 情报分析主管 John Hultquist 表示，Turla是他们所追踪的存在时间最长的黑客组织之一，最早可以追溯到上世纪90年代针对美国及政府机构的攻击，卡巴斯基也曾在2017年发现Turla悄然回收了在90 年代针对美国的网络攻击中使用的代码。今年， Mandiant也观察到 Turla 使用已有 10 年历史的恶意软件 Andromeda 对乌克兰进行监视。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366214.html 封面来源于网络，如有侵权请联系删除

近日，美国联邦调查局和国际当局宣布，他们已成功拆除由克里姆林宫支持的一个臭名昭著的黑客组织使用了二十年的恶意软件植入程序。 美国司法部表示，它于周一获得法院授权，允许美国执法部门清除被称为“Snake”的恶意代码，该恶意软件与俄罗斯Turla黑客组织相关联 。Turla是一个长期隶属于俄罗斯联邦安全局 (FSB) 的组织。调查人员追踪该组织的活动到俄罗斯的一个 FSB 设施。 “我们认为这是他们的首要间谍工具。”一位联邦调查局高级官员在电话会议上告诉记者，并指出它已被部署用于对付北约国家和其他国家，目的是窃取美国的敏感信息。 “20年来，FSB 一直依靠 Snake 恶意软件对美国和我们的盟友进行网络间谍活动，但是今天结束了。”美国司法部国家安全部负责人助理司法部长马修奥尔森在一份声明中说。 根据公告发布的一份宣誓书，这项名为“美杜莎”的行动表面上剥夺了俄罗斯组织所依赖的工具。该工具“在全球至少 50 个国家/地区破坏了数百台计算机”。 FBI 官员说：“我们有能力将其关闭，然后公开向网络防御者提供保护其网络免受其攻击的能力，我们认为这使得 FSB 无法在此次行动后重组。” FBI 能够识别出 19 个与受感染的美国计算机相关的互联网协议 (IP) 地址，但该官员拒绝透露具体有多少美国计算机受到感染。这位官员透露，截至周一，Snake 已经“活跃起来”。 执法部门在周一获得合法许可后，FBI 部署了自己特制的工具，称为“Perseus”，允许该机构将命令发回恶意软件（该恶意软件自 2004 年推出以来经历了多次迭代）。此举导致 Snake 覆盖其核心组件，然后自毁。在希腊神话中，珀尔修斯杀死了蛇发美杜莎。 司法部依靠被称为规则Rule 41 程序的特别扣押令，从美国受害计算机中删除俄罗斯恶意软件。它过去曾做过两次：一个是扰乱 Hafnium 间谍活动并摧毁Cyclops Blink ；另一个是扰乱由俄罗斯情报部门控制的僵尸网络。 美国及其盟友发布了一份冗长的网络安全咨询，详细说明了 Snake 的工作原理以及如何缓解它。 美国国家安全局网络安全主管 Rob Joyce 在推特上写道：“这些技术细节将帮助行业政府在全球范围内找到并关闭恶意软件。” 谷歌云 Mandiant Intelligence Analysis 负责人 John Hultquist 在推特上表示：“Turla 黑客行动缓慢，他们似乎总是在幕后工作。这种破坏将是暂时的，但战争还在继续，现在是破坏敌人情报机构的最佳时机，当时他们正试图做出更好的决定以摆脱困境。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/RRsDZP9B_H_f0IUaV5rPzg 封面来源于网络，如有侵权请联系删除