哈马斯对以色列发动致命袭击大约 11 天后， Telegram 频道一黑客组织发布消息声称，以色列内瓦蒂姆空军基地的计算机系统遭到破坏，该组织已收集了有关该设施飞行员、其他人员及其家人的信息。该消息包括据称从基地附近的安全摄像头拍摄的屏幕截图和视频。其中一张图片上的标题写道：“你不会安全。” 内瓦蒂姆位于以色列南部，是该国最大的空军基地之一，定期驻扎美国军事资产，并接收了多批美国军事援助物资。 以色列驻华盛顿大使馆周二没有回应置评请求，目前尚不清楚该组织的说法是否准确。对于与哈马斯结盟的黑客来说，对内瓦蒂姆系统的破坏将构成一次重大的公关政变。 这些类型的潜在爆炸性但难以验证的主张已成为寻求影响冲突的黑客活动组织的惯用手段。 周末，一个亲伊朗组织声称，为了报复美国对以色列的支持，它已经获取了数千名美国军方、执法和情报人员的数据，并以大约 2,000 美元的比特币价格出售。该组织发布的样本似乎包括数十名美国军人的身份证和相关文件。 美国军方发言人没有回复置评请求，执法官员周二也拒绝置评。 在以色列和哈马斯之间持续两周多的战斗之后，随着黑客活动组织加大行动力度，诸如此类未经证实的说法变得越来越普遍。针对 内瓦蒂姆空军基地的攻击是否真的发生尚不清楚，但专家警告说，随着冲突的持续，一系列微不足道的攻击 – 以及声称更为严重的攻击 – 可能预示着更重要的网络行动。 SentinelLabs 首席威胁研究员汤姆·黑格尔 (Tom Hegel) 告诉 CyberScoop：“我们可以预见，人们会越来越依赖旨在影响全球对冲突看法的信息行动，特别是在该地区复杂的地缘政治背景下。国家支持的威胁行为者通过各种手段加强其信息行动，包括操纵社交媒体平台、创建虚构的黑客组织以及实施旨在影响全球媒体的战略活动。” 驻英国的伊朗反对派活动家兼独立网络间谍研究员纳里曼·加里布 (Nariman Gharib) 告诉 CyberScoop，伊朗黑客组织“不断针对西方和以色列”。例如，与伊朗有关的人物已经表现出愿意通过窃取和发布有关性取向和艾滋病毒状况等敏感问题的个人数据来恐吓普通民众。 中东是黑客组织的沃土，而最近的网络行动历史是专家们如此担心随着以色列和哈马斯之间的战争拖延而对数字系统的攻击可能升级的原因之一。 被认为与哈马斯、真主党和伊朗有联系的组织多年来一直很活跃，开展的活动包括网络间谍、数据盗窃、黑客攻击和泄密活动，以及以工业控制设施为目标。 SentinelLabs 的高级威胁研究员在周二发布的区域参与者概要中写道。 与以色列有关的网络行动以伊朗政府资产为目标，发起令人尴尬的攻击，导致燃料分配系统关闭并损坏工业设施。 展望未来，黑格尔和米伦科斯基警告说，国家支持的黑客组织可能会利用黑客活动组织作为幌子来掩盖其攻击的起源，而伊朗黑客组织构成了特殊的威胁。 研究人员写道：“伊朗网络威胁行为者的多样性和适应性使他们成为未来全球威胁格局的重要且多方面的组成部分。” “必须将伊朗作为直接网络攻击行动和哈马斯和真主党等与伊朗有联系的组织支持的代理行动的潜在来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291017 封面来源于网络，如有侵权请联系删除

乌克兰黑客与该国安全部门 SBU 合作，入侵了俄罗斯最大的私人银行，该部门的一位消息人士向 Recorded Future News 证实。 据报道，上周，两个亲乌克兰黑客组织 KibOrg 和 NLB 侵入了 Alfa-Bank，并声称获得了超过 3000 万客户的数据，包括他们的姓名、出生日期、账号和电话号码。他们的官方网站上有一个帖子。 去年俄罗斯与乌克兰爆发冲突后，阿尔法银行受到美国制裁。该银行的所有者是俄罗斯裔以色列亿万富翁米哈伊尔·弗里德曼(Mikhail Fridman)，他被美国和欧洲列入黑名单，这是对俄罗斯经济及其最富有的商人实施限制的一部分。 黑客在网上发布了一些数据，包括有关弗里德曼父子、亲俄博主阿特米·列别杰夫以及俄罗斯说唱歌手蒂马蒂和巴斯塔的信息。据俄罗斯通讯社塔斯社报道，阿尔法银行否认了有关泄密的报道。 乌克兰安全部门的一位消息人士因无权公开谈论这一事件而要求匿名，他向记录未来新闻证实乌克兰机构参与了此次行动，但没有提供进一步的细节。 这并不是乌克兰情报部门第一次与黑客活动分子合作。乌克兰安全局网络安全负责人伊利亚·维提乌克此前曾表示，乌克兰黑客泄露的文件在该国的网络情报工作中发挥着重要作用。 维提乌克表示，泄露的数据有助于乌克兰查明克里姆林宫在乌克兰境内的目标、敌方军队如何动向以及俄罗斯如何躲避西方制裁。 “网络情报帮助我们获取绝密的敌人文件，”维蒂克说。“过去，我们必须在敌国招募间谍才能获得这种材料，既危险又耗时。” 闯入阿尔法银行的黑客表示，他们计划与调查记者分享获得的数据。 他们还声称已要求乌克兰 YouTube 博主兼恶作剧者叶夫根尼·沃尔诺夫 (Evgeniy Volnov) 给弗里德曼打电话，告诉他有关黑客攻击的事情。黑客活动分子在他们的网站上发布了所谓的对话，弗里德曼在对话中表示他对这次黑客攻击无能为力，然后挂断了电话。阿尔法银行没有回应置评请求。 此前，NLB 黑客声称对俄罗斯 MTS 银行和俄罗斯最大国有银行 Sberbank 的网络攻击负责。   转自安全客，原文链接：https://www.anquanke.com/post/id/290929 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处 近期，DoNot Team的黑客被发现使用了一种新型的基于.NET的后门，名为Firebird，其主要针对巴基斯坦和阿富汗的一些受害者。 网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现，称这些攻击链还配置了一个名为CSVtyrei的下载器（因其与Vtyrei相似而得名）。 这家俄罗斯公司表示：“示例中的一些代码似乎不起作用，其暗示着正在进行的开发工作。” Vtyrei（又名BREEZESUGAR）指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。 DoNot Team，也被称为APT-C-35、Origami Elephant和SECTOR02，疑似起源于印度，其攻击利用鱼叉式网络钓鱼电子邮件和恶意的 Android 应用程序来传播恶意软件。 卡巴斯基的最新评估是基于黑客 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。 此外，网络安全公司Zscaler ThreatLabz披露了总部位于巴基斯坦的Transparent Tribe（又名APT36））攻击者使用更新的恶意软件库对印度政府部门开展了新的恶意活动，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。 安全研究员 Sudeep Singh上个月指出：“ElizaRAT以.NET二进制形式传递，并通过 Telegram 建立 C2 通信通道，使黑客能够完全控制目标端点。” Transparent Tribe自2013年以来一直活跃，利用凭证收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将开源命令与控制 (C2) 框架（例如 Mythic）武器化。 这个黑客组织近期也也有了瞄准了Linux系统的迹象，Zscaler表示：他们发现了一小组桌面入口文件，这些文件为执行基于Python的ELF二进制文件铺平了道路，其中包括用于用于文件渗漏的GLOBSHELL以及从Mozilla Firefox浏览器中窃取会话数据的PYSHELLFOX。 Sudeep Singh表示：“印度政府部门广泛使用基于Linux的操作系统”，他补充说，瞄准Linux环境还可能是因为印度决定在跨政府和国防部门全面使用以Debian Linux为基础的操作系统Maya OS，以替代微软Windows操作系统。 除了DoNot Team和Transparent Tribe，还有来自亚太地区的另一个国家级行动者重点关注巴基斯坦地区。 代号神秘象（又名APT-K-47）的黑客组织被认为涉及一场利用一种名为ORPCBackdoor的新型后门的钓鱼攻击活动，该后门能够在受害者计算机上执行文件和命令，并从恶意服务器接收文件或命令。 知道创宇 404高级威胁情报团队曾在文章中表示，APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠，其中大多数被认为和印度有关联。   Hackernews 编译，转载请注明出处： 消息来源：thehackernews，译者：dengdeng；

FortiGuard Labs研究人员发现了一种用Rust编写的新注入器，用于注入Shellcode并将XWorm引入到受害者的环境中。尽管Rust在恶意软件开发中相对不常见，但自2019年以来，包括Buer loader、Hive和RansomExx在内的几个攻击活动开始采用这种语言。FortiGuard Labs的分析还揭示了2023年5月注入器活动的显著增加，其中该Shellcode可以使用Base64进行编码，并可选择AES、RC4或LZMA等加密算法来逃避杀毒软件的检测。 通过检查编码算法和API名称，我们确定了这种新注入器的源自于红队工具”Freeze.rs“，该工具旨在创建能够绕过EDR安全控制的有效载荷。此外，在对攻击进行分析过程中，我们发现了SYK Crypter（一个通过社区聊天平台传递恶意软件的工具）加载Remcos。SYK Crypter于2022年出现，并被各种恶意软件家族使用，包括AsyncRAT、njRAT、QuasarRAT、WarzoneRAT和NanoCore RAT。 FortiGuard Labs研究人员还观察到2023年7月13日的钓鱼邮件活动，该活动通过一个恶意的PDF文件启动攻击链。该文件重定向到一个HTML文件，并利用”search-ms”协议访问远程服务器上的一个LNK文件。单击LNK文件后，将执行一个PowerShell脚本，用于进一步执行Freeze.rs和SYK Crypter等攻击行动。最终，XWorm和Remcos被加载，并与C2服务器建立通信。 在本文中，我们将深入研究用于交付Rust-lang注射器(SYK密码器)的初始攻击方法，并进一步探索攻击的后续阶段。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3008/ 消息来源：fortinet，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近，我们向客户推送了一份报告，介绍了网络犯罪恶意软件集的一个有趣且常见的组件——SystemBC。与2021年Darkside Colonial Pipeline事件类似，我们发现了一个新的SystemBC变种被部署到一个关键基础设施目标上。这次，可代理的后门与南非某国家的关键基础设施中的Cobalt Strike信标一起被部署。 Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中对之前的Colonial Pipeline事件进行了回顾，并称其为“分水岭时刻”，同时我们在世界其他地方也看到了和目标战术上的相似之处。 关于勒索软件攻击的内容和趋势分析报道已比较常见，但关于特定电力系统勒索软件事件的技术细节却很少被公开披露。我们知道，在全球范围内被调查的公共事业单位发现，越来越多地以有针对性的活动方式进行报道：“56%的受访者报告在过去12个月中至少发生过一次涉及隐私信息丢失或OT环境中断的攻击”。虽然并非所有活动都是由勒索软件攻击者造成的，但相关的勒索软件攻击者正在避免受到强大政府机构和联盟的报复。无论如何，这种增加的公用事业目标攻击事件是一个现实世界的问题，特别是对网络中断可能在全国范围内影响客户的区域，具有严重的潜在风险。 值得注意的是，一名不明身份的攻击者使用Cobalt Strike信标和DroxiDat（SystemBC有效载荷的新变种)对南非一个电力公司进行了定向攻击。该攻击发生在2023年3月下旬，是涉及世界各地DroxiDat和CobaltStrike beacons的袭击的一小部分事件。在这个电力公司中还检测到了DroxiDat，它是SystemBC的一个约8kb的精简变体，用作系统分析和简单支持SOCKS5的bot。该电力公司的C2基础设施涉及一个与能源相关的域名”powersupportplan.com”，其已解析到一个已经可疑的IP主机。该主机在几年前曾被用作APT活动的一部分，其增加了APT相关目标攻击的可能性。目前勒索软件还没有被交付给该组织，因此我们没有足够的信息来对这次活动进行准确归因。然而，同一时间范围内的一个医疗事件中，也涉及到了DroxiDat，Nokoyawa勒索软件被交付，另外还有其他几起涉及CobaltStrike的事件，它们共享了相同的license_id和staging目录及C2。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3007/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文讨论了SugarCRM 0-day漏洞（CVE-2023-22952）的认证如何绕过远程代码执行，并总结出了防御者们应该注意的事项。由于该漏洞是一个Web应用程序，如果没有进行正确配置或保护，一旦黑客了解了云服务提供商使用的基础技术，并获取了适当权限，可能会引发多次安全事件。 在过去的一年中，Unit 42响应了多起案例，其中 SugarCRM 漏洞 （CVE-2023-22952） 是主要的初始攻击媒介，其允许黑客访问AWS 账户。但这并不是因为AWS的漏洞，任何云环境都可能发生这种情况。相反，黑客后期利用错误配置来扩大他们的访问权限。 本文参考 MITRE ATT&CK 框架对AWS环境遇到的各种攻击事件进行分析，并总结了各个组织可以来保护自己的多种预防保护机制。这些保护措施包括利用AWS提供的控制和服务、云最佳实践以及足够多的数据来捕获完整的攻击过程。 这些攻击的复杂性更加表明了设置日志记录和监控对于检测未经授权的AWS API调用的重要性。一旦黑客得以立足，那么可能会导致更加严重的威胁行为，而这些行为是不可被追溯的。云安全保护并非一刀切，这些攻击暴露了需要重点关注的领域，而这样也可以让我们在面对攻击时能做出更充分的准备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3006/ 消息来源：unit42，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Reptile 是一个针对Linux系统的开源内核模块rootki（其可在 GitHub 上获取）。爬虫可隐藏自身及其他恶意软件，主要针对目标为：文件、进程和网络通信等。爬虫的隐藏功能不仅包括它自己的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常只提供隐藏功能的恶意软件不同，Reptile可以提供了一个反向shell，允许威胁参与者轻松控制系统。端口敲门是爬虫所支持的最显著的特性，当打开恶意软件时受感染系统的特定端口会进入到备用状态。威胁者会向系统发送Magic Packet，而接收到的数据包也会作为与C&C服务器建立连接的基础。 该方法类似早期Avast在报告中提到的Syslogk，但主要的区别在于Syslogk是基于另一个Adore-Ng的开源Linux内核rootkit而开发的。但两者间的相似点在于：被Magic Packet 触发之前在受感染的系统中会处于待机状态，且会使用定制的 inySHell (即Rekoobe)作为攻击的后门。 在GitHub上开放源代码后，Reptile一直被用于攻击中。Mandiant最新报告证实一个位于中国的威胁组织在利用Fortinet产品中的零日漏洞持续进行的攻击过程中攻击中使用了爬虫。此外，ExaTrack在分析Mélofée恶意软件的报告中也发现了Reptile rootkit。ExaTrack将此归因于位于该事件时中国的Winnti攻击组织行为。 本文我们将简要分析Reptile的基本结构和功能，并整理出它被用于攻击韩国公司的事件概述。最后，我们将根据恶意软件的安装路径或伪装的目录名，总结与Mélofée恶意软件案例的相似之处。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3004/ 消息来源：AhnLab，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2022年11月28日，总部位于波士顿的威胁情报公司Recorded Future宣布其年度经常性收入(ARR)已超过2.5亿美元，成为全球最成功的SaaS公司行列。这标志着该公司的一个重要里程碑，并巩固了其作为不断增长的市场领导者的地位，证明情报对于抵御融合的威胁至关重要。 “这一成绩使得Recorded Future成为全球最大的情报公司。”Recorded Future的CEO Christopher Ahlberg激动宣称，“我们的成功证明了不断增长的情报市场及其在安全方面发挥的重要作用。” ARR和威胁情报SaaS订阅 ARR（Annual Recurring Revenue）即年度经常性收入，是衡量SaaS企业经营优劣的基本指标，一般是指SaaS的订阅模式这部分收入。ARR的特别之处在于收入的「经常性」，也就是说如果没有特别情况，这个收入明年会继续有（且数额也不会有太大的波动），因此ARR也经常被用作评判未来SaaS收入可衡量和可预测性的核心指标。 威胁情报业务中，符合SaaS订阅模式收入的可以分为TI Feed和TI Lookup两种常见形态，Recorded Future两者均支持。 关于Insight Partners Recorded Future于2019年5月被美国知名私募基金Insight Partners以7.8亿美金并购。 Insight Partners专注于软件领域的投资与并购，拥有超过25年的运营和投资经验，截至2022年2月24日管理的资产超过900亿美元。InsightPartners对安全领域非常关注，有众多成功的投资、IPO和退出记录，迄今Portfolio中依然还有57个安全公司，许多都是新兴技术领域的明星厂商，如OneTrust、Wiz、INKY、Aqua、Island等等。 威胁情报SaaS订阅在国内 TI Feed和TI Lookup这两种SaaS订阅模式，也同样被国内许多威胁情报厂商所采用。近年国内兴起的TI Inside合作生态，是订阅模式逐步走向成熟的一个例证。 转自 安全内参，原文链接：https://www.secrss.com/articles/49706 封面来源于网络，如有侵权请联系删除

据The Register网站消息，微软已在本周推出两项新服务，让企业安全运营中心 (SOC) 更广泛地访问其每天收集的大量威胁情报。 这两项服务分别是Defender Threat Intelligence和Defender External Attack Surface Management (EASM)，都使用了微软在 2021 年以 5 亿美元收购网络安全公司 RiskIQ时继承的技术。微软致力于通过自己的产品和Azure云安全能力来保护企业系统，这很大程度上是处理大量的信号和威胁情报来实现。Defender EASM服务让企业以局外人的眼光看待自己的攻击面，扫描互联网及其连接，以创建其环境图，并找到企业可能不知道但可被攻击利用的面向互联网的资源。 微软负责安全合规、身份和管理的公司副总裁Vasu Jakkal在宣布新服务的博文中表示，得益于微软自身强有力平台搜集的大量情报及独特洞察力，企业不仅能从中获得关于威胁者活动、行为模式和目标的可靠预测，还可以映射他们的数字环境和基础设施，以攻击者的眼光看待他们的组织。这种由外而内的方式提供了更深入的洞察力，可以帮助企业预测恶意活动并保护未受管理的资源。 据悉，微软每天都会收集大量网络威胁信息，其安全团队跟踪了 35 个勒索软件系列以及来自 250 多个国家和地区的网络犯罪分子，该公司的 Azure 公共云每天处理和分析超过 43 万亿个安全信号。所有这些信息都会同步至供应商及其安全服务平台，包括其 Defender 以及 Azure 中的 Sentinel 安全信息和事件管理 (SIEM) 服务，并提供实时威胁检测。 随着去年的收购，RiskIQ的收集和安全情报技术也并入微软，通过检测威胁和可疑活动以及补救漏洞来保护企业的攻击面。它与微软的云计算合作，也可用于其他公有云，包括亚马逊网络服务，并被企业内部服务所使用。 Jakkal认为，有了组织的完整视图，企业可以将这些未知的资源、端点和资产置于其安全信息和事件管理（SIEM）以及扩展检测和响应（XDR）工具的安全管理范围内来降低风险。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340995.html 封面来源于网络，如有侵权请联系删除