近日，eSentire威胁响应小组（TRU）发现网络犯罪分子正利用生成式人工智能（GenAI）平台的普及，通过在暗网市场销售被盗账户凭证来牟利。 据eSentire介绍，每天大约有400个GenAI账户凭证在暗网平台上交易，包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取，该软件会收集用户在互联网浏览器中输入的所有数据。 一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭，但它的存在突显了问题的严重性，被盗密钥的广告价格低至15美元。 LLM Paradise的关闭并没有遏制这一趋势，网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。 eSentire警告，这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权，包括客户数据、财务记录、知识产权和员工的个人可识别信息（PII）。 此外，针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据，这加剧了整体的威胁态势。 eSentire在其的报告中还指出了与GenAI相关的几个关键威胁，包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。 报告还提到了激进的数据收集行为和供应链风险，比如OpenAI在2023年遭遇的数据泄露事件，凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的，平均每天有200个账户在暗网上挂牌。 为了降低这些风险，公司必须实施强有力的安全措施，如使用监控、先进的多因素认证（MFA）方法和暗网监控服务。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407427.html 封面来源于网络，如有侵权请联系删除

一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。 根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过 32,000 次，但未被任何安全工具检测到。 Google Play 中的 Mandrake 应用 Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的，但在此之前已在野外活跃了至少四年。当时，研究人员估计四年期间的受害者人数达“数十万”。 今年 4 月初，卡巴斯基公司的研究人员发现了一个“可疑样本”，他们声称这是 Mandrake 的新版本，它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中，包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后，于 2024 年 3 月底被下架。 Mandrake 分几个阶段收集设备信息。首先，它收集设备数据，包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。 卡巴斯基表示，如果基于这些信息，攻击者发现受害者很有趣，他们就会运行恶意软件的主要组件，其中包含高级功能，例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。 恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如，据 Bitdefender 称，在之前的活动中，Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。 目前尚不清楚黑客如何使用他们在攻击过程中获得的信息，也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定，但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。 卡巴斯基表示，新发现表明，Mandrake 正在“不断进化，改进伪装方法，并绕过新的防御机制”。 研究人员表示，该恶意软件在 Google Play 上多年来一直未被发现，“表明攻击者的资质很高，而且在应用程序发布到市场之前对其进行的限制和检查越来越严格，这导致更复杂的威胁能够渗透到官方应用商店，使它们更难被发现”。 谷歌发言人表示，公司已经意识到这些应用程序的存在，并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击，该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Google Play 之外。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w 封面来源于网络，如有侵权请联系删除

据BlackBerry威胁情报团队报道，一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。 该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger，自 2012 年以来一直活跃，主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 在过去的一年中，该组织不断更新其基础设施，并在新的袭击中采用新的战术和技术，重点针对巴基斯坦、埃及和斯里兰卡实体，同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。 此次攻击延续了 SideWinder 对间谍和情报收集的关注，使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档，并依靠 DLL 侧载来植入恶意软件。 这些攻击中使用的恶意文件经过精心定制，看上去好像来自目标已知的组织，例如地中海的亚历山大港和红海港务局。 诱饵文档1 滥用埃及（合法）红海港务局标志的诱饵文档2 针对斯里兰卡使用僧伽罗语书写的诱饵文档3 “在我们的研究中，我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的；它们的主要目的是分散受害者的注意力，使他们无法意识到自己受到了攻击。”BlackBerry 指出。 SideWinder 使用旨在唤起强烈情绪（如恐惧和焦虑）的标题来引诱目标立即打开文档，从而分散他们对后台发生的恶意活动的注意力。 这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199)，其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档，就会访问该 URL 以获取下一阶段。 下一步，富文本格式 (RTF) 文件会获取一份文档，该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。 Shellcode 执行一系列检查以确定它是否在虚拟环境中运行，然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。 BlackBerry 的分析显示，攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C＆C) 服务器，同时继续依赖已知的 Sidewinder 域命名结构。 BlackBerry 指出：“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而，根据 SideWinder 先前的活动，我们认为此次活动的目标是间谍活动和情报收集。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg 封面来源于网络，如有侵权请联系删除

从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。 全球大规模系统崩溃的灾难性事件尚未完全平息，CrowdStrike近日再爆大雷。 知名黑客USDoD近日宣称窃取了CrowdStrike全部攻击指标（IoC）数据，共约2.5亿条，并在Breach Forums上发布了其中10万条IoC数据作为样本，该事件立即引发了安全业界广泛关注。 研究者发现，这些IoC指标样本含详细的威胁情报信息，其中包括Mispadu恶意软件和SAMBASPIDER威胁行为者的关键细节。 具体泄漏了哪些信息？ USDoD，曾因入侵FBI的InfraGard安全平台而闻名，宣称此次在Breach Forums上发布的只是他掌握的CrowdStrike IoC数据的冰山一角。首批泄漏数据为一个大小为53MB的CSV文件，包含了10.3万行IoC指标信息。Hackread研究团队分析泄漏样本后发现，其中包含与Mispadu恶意软件相关的多个IoC指标的详细信息。这些指标包括多种哈希值（如MD5、SHA-1和SHA-256），用于识别特定的恶意文件。所有数据均与SAMBASPIDER威胁行为者相关，涉及网络攻击的“投放”和“安装”阶段，具体如下： 哈希和恶意软件信息：CSV文件包含各种哈希类型，例如MD5、SHA-1和SHA-256，用于识别与Mispadu恶意软件相关的特定恶意文件。 威胁行为者：泄露的样本数据中的所有条目似乎都与威胁行为者SAMBASPIDER有关。 杀伤链阶段：数据突出显示了网络杀伤链的“交付”和“安装”阶段，提供了对恶意软件在目标系统上交付和安装的阶段的深入了解。 置信度级别：每个条目都标有高置信度级别，表明威胁情报的可靠性。 威胁类型：威胁分为多种类型，包括银行威胁、犯罪威胁和模块化威胁，突显了Mispadu 恶意软件的多面性。 MITRE ATT＆CK技术：泄漏的IoC指标映射到几种MITRE ATT＆CK技术，例如： 执行/用户执行 发现/系统检查 凭证访问/输入捕获 凭证访问/凭证转储 命令与控制/数据混淆 防御规避/混淆的文件或信息 研究者发现，每个IoC指标都标记为高置信度，表明这些威胁情报的可靠性。威胁类型包括银行、犯罪和模块化等多种类别，展示了Mispadu恶意软件的多面性。 针对USDoD的泄漏声明，CrowdStrike采取了谨慎的回应态度，并未完全否认黑客的说法。该公司分析了部分泄漏数据样本，根据其中“LastActive”日期大致判断数据泄漏可能发生在2024年7月。CrowdStrike认为，USDoD有夸大其词的历史，建议公众对其声明保持怀疑态度。 IoC指标泄漏的五大危害 此次大规模IoC数据泄漏可能对CrowdStrike的用户造成严重而深远的不利影响。GoUpSec分析师FunnyG表示，IoC指标信息可能被攻击者利用以规避检测，改进攻击工具和方法，暴露客户安全防御弱点等，具体如下： 1 攻击者规避检测 泄漏的IoC数据包含了CrowdStrike用于检测恶意活动的具体指标，如恶意文件的哈希值、恶意IP地址等。这些数据一旦被攻击者获取，他们可以修改或规避这些已知的特征，以逃避安全检测。例如，攻击者可以改变恶意软件的哈希值或使用不同的IP地址，从而避开安全系统的侦测和拦截。 2 增加客户的安全风险 客户依赖于CrowdStrike提供的威胁情报来保护其网络安全。泄漏的IoC数据可能包含尚未公开的威胁信息，这些信息对保护客户系统至关重要。如果这些数据被广泛传播，攻击者可能更容易找到和利用客户系统的漏洞，导致潜在的安全事件增加。对于使用这些威胁情报保护网络的企业，可能需要重新评估其安全策略并更新防御措施。 3 信息误用和安全情报滥用 IoC指标数据通常包含与恶意软件和威胁行为者相关的详细信息，这些信息对于安全研究人员和企业至关重要。然而，一旦这些数据泄漏，恶意行为者也可以使用这些信息来研究和改进其攻击手段。特别是涉及Mispadu恶意软件和SAMBASPIDER威胁行为者的详细情报，可能帮助攻击者更好地理解安全系统的检测机制，从而进一步精细化其攻击策略。 4 信任危机和声誉损害 此次泄漏事件可能导致客户对CrowdStrike的信任危机。客户依赖于CrowdStrike提供安全保护，而此次事件显示了其在数据安全管理方面的不足。长远来看，这可能影响客户对CrowdStrike服务的信任度，进而影响公司的市场声誉和客户保留率。 5 法律和合规风险 如果泄漏的IoC数据中包含敏感的客户信息或违反了数据保护法规，CrowdStrike可能面临法律和合规风险。公司可能需要面对监管调查和潜在的法律诉讼，这不仅会导致财务损失，还可能影响公司在行业中的地位。  CrowdStrike经历了公司历史上最黑暗的七 值得注意的是，这些泄漏的IoC指标对于（其他厂商的）网络安全研究人员和专家也可以利用这些数据，加强对抗Mispadu恶意软件和SAMBASPIDER的安全机制。 CrowdStrike的黑色七月 月。IoC指标大规模泄漏之际，CrowdStrike正忙于响应不久前导致全球系统崩溃的灾难性事件。后者不仅导致大量Windows设备崩溃，还引发了假冒补丁的恶意软件传播，进一步感染了更多设备。这一连串的安全问题，无疑给CrowdStrike带来了巨大压力。 从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。因为IoC指标的泄漏不仅增加了CrowdStrike客户面临的直接安全威胁，还可能导致更广泛的安全情报滥用、信任危机以及法律和合规风险。 当前，CrowdStrike尚未对最新的泄漏事件发布新的声明，业界正在密切关注此事件的发展及其对网络安全领域的潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6D8YauVU3_8JEzEsUvCX2A 封面来源于网络，如有侵权请联系删除

安全研究人员在 Python 软件包存储库 (PyPI) 中发现了一个恶意软件，该恶意软件针对 Apple macOS 系统，目的是从少数受害者那里窃取用户的 Google Cloud 凭据。 这个名为“lr-utils-lib”的软件包在被删除之前总共吸引了59 次下载。它于 2024 年 6 月初上传。 Checkmarx 研究员 Yehuda Gelb 在周五的一份报告中表示：“该恶意软件使用预定义哈希列表来针对特定的 macOS 机器，并试图获取 Google Cloud 身份验证数据。获取的凭据会被发送到远程服务器。” 该软件包的一个重要方面是，它首先检查它是否已安装在 macOS 系统上，然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希值的硬编码列表进行比较。 如果受感染的机器属于预定义集合中指定的机器之一，它会尝试访问位于 ~/.config/gcloud 目录中的两个文件，即 application_default_credentials.json 和 credentials.db，其中包含 Google Cloud 身份验证数据。 捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]cloudfunctions[.]net”。 Checkmarx 表示，它还在 LinkedIn 上发现了一个名为“Lucid Zenith”的虚假个人资料，与该包裹的所有者相匹配，并谎称自己是 Apex Companies 的首席执行官，这表明此次攻击可能存在社会工程学因素。 目前尚不清楚此次攻击活动的幕后黑手究竟是谁。两个多月前，网络安全公司 Phylum披露了另一起供应链攻击的细节，该攻击涉及一个名为“requests-darwin-lite”的 Python 包，该包在检查 macOS 主机的 UUID 后也被发现会释放恶意行为。 这些活动表明攻击者事先了解他们想要渗透的 macOS 系统，并竭尽全力确保恶意软件只分发到那些特定的机器上。 它还谈到了恶意攻击者用来分发类似软件包的策略，目的是欺骗开发人员将它们合并到他们的应用程序中。 “虽然尚不清楚这次攻击是针对个人还是企业，但这类攻击可能会对企业造成重大影响。”Gelb 说。“虽然最初的攻击通常发生在个人开发人员的机器上，但对企业的影响可能是巨大的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g 封面来源于网络，如有侵权请联系删除

巴黎最高检察官在奥运会开幕前不久宣布，法国当局启动了一项大规模行动，清理该国计算机系统中的恶意软件，据信这些恶意软件已经影响了数千名用户，“尤其是出于间谍目的”。 据巴黎检察院周四发表的声明，所谓的“消毒行动”已进行了一周，并将持续数月。他们没有透露这次行动是否与奥运会有关。 法国当局正在调查一个机器人网络，该网络涉嫌感染了全球数百万受害者，其中至少有 3,000 台法国设备感染了 PlugX 恶意软件。该活动的主要目标是进行间谍活动。 今年 4 月早些时候，网络安全公司 Sekoia 的研究人员报告称，他们查获了与 PlugX 相关的命令和控制服务器，并发现该恶意软件已蔓延至 170 多个国家。 Sekoia 开发了一种技术解决方案，可以远程对僵尸网络的受害机器进行杀毒清理，法国和其他受影响的国家将使用该解决方案来清理其网络。 巴黎检察官表示：“杀毒过程开始几个小时后，数百名受害者已经受益，主要在法国，但也包括马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利。” “在奥运会开幕前夕，这次行动表明了法国国内外各方的警惕性，动员起来打击各种形式的网络犯罪，包括最复杂的犯罪。” 本周即将开幕的奥运会前，法国面临着诸多安全威胁。法国总理加布里埃尔·阿塔尔周四表示，针对奥运会的网络攻击不可避免，但法国将尽一切努力限制其影响。 奥运会前几个月，研究人员已经观察到法国影响力行动有所增加（主要由俄罗斯实施），但也预见到了其他类型的活动，包括间谍活动、勒索软件和破坏性行动。 法国当局还警告可能存在恐怖主义行为和针对其基础设施的破坏。 周五，在奥运会开幕式前几个小时，法国高速铁路遭到有组织的“恶意袭击”。一系列破坏活动，包括纵火，影响了巴黎西部、北部和东部的几条高速铁路线。 法国国家铁路公司 SNCF 取消了多趟列车，并建议旅客“不要前往车站”。该公司总裁告诉当地媒体，最近的停运将影响近 80 万人。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5ZRSu1psroJm4Ips3RCp3Q 封面来源于网络，如有侵权请联系删除

法国警方与欧洲刑警组织推出大规模U盘消毒方案，可自动清除法国境内设备感染的PlugX僵尸木马。 近日，法国国家宪兵队数字犯罪打击中心（C3N）在法国网络安全公司Sekoia的协助下，与欧洲刑警组织联合推出了一款“消毒方案”，该方案能自动从受感染设备中删除PlugX僵尸网络木马。 “孤儿”僵尸网络在欧洲阴魂不散 据悉，此次行动是在Sekoia公司去年4月接管了一个广泛分布的PlugX变种病毒的命令与控制（C2）服务器后进行的。PlugX是一款被多个黑客组织长期部署的僵尸网络远程访问木马，其新变种会根据恶意活动的操作需求进行修改和发布。 Sekoia曾报告称，一个通过U盘传播的PlugX变种的僵尸网络在原始操作者放弃后继续独立传播，感染了近250万台设备。Sekoia接管了被遗弃的C2服务器，该服务器在六个月内从170个国家接收了250万次独立连接，每天有高达10万次来自感染主机的ping请求。 自毁式消杀方案 为了防止恶意行为者重新控制僵尸网络并恢复感染，Sekoia提出了一种清理机制，向感染设备推送自定义的PlugX插件，发出自毁命令将其删除。此外，研究人员还提出了一种扫描U盘并清除恶意软件的方法。然而，这种方法也存在风险，自动清理U盘可能会导致U盘损坏或数据无法访问。 由于这种“自毁式消杀”方案具有侵入性，并可能导致法律问题，研究人员不敢擅自行动，而是选择与执法部门共享解决方案。Sekoia在4月份的报告中解释说：“鉴于进行大规模消毒活动可能带来的潜在法律挑战，我们决定将是否在各自国家开展大规模消毒工作的决定权留给各国的国家计算机紧急响应小组（CERTs）、执法机构（LEAs）和网络安全当局自行决定。” 法国赶在奥运前展开“消杀”行动 根据C3N的说法，欧洲刑警组织从Sekoia那里获得了消毒方案，并正在与合作伙伴国家共享，以便从各自国家的设备中移除恶意软件。 随着2024年巴黎奥运会的临近，法国当局都处于高度警戒状态，因此在法国发现的3000个系统中存在PlugX的风险被认为是不可接受的。目前除法国外，马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利等国的执法机构也正从受感染系统中移除PlugX有效载荷。 消毒行动于2024年7月18日开始，预计将持续数月，可能在2024年底结束。法国信息系统安全局（ANSSI）将逐一通知法国受害者清理过程及潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/5PL9D8RSl3Yt8zrCCqb0lA 封面来源于网络，如有侵权请联系删除

被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS)，用于推送窃取信息的恶意软件。 该恶意软件传播服务名为 Stargazers Ghost Network，它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。 在大多数情况下，恶意软件都是信息窃取程序，例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。 GitHub 存储库推送受密码保护的包含恶意软件的档案，来源：Check Point 由于 GitHub 是一个知名的、值得信赖的服务，人们对它的怀疑较少，并且更有可能点击他们在GitHub存储库中找到的链接。 Check Point Research发现了这一行动，并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。 Check Point Research 的报告解释道：“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。” “在短时间内，数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者，从而使感染更有价值。” GitHub 幽灵账户传播恶意软件 DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。 威胁行为者在暗网上的广告，来源：Check Point Stargazer Goblin 建立了一个系统，他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅，以增加其表面合法性，并使其更有可能出现在 GitHub 的热门部分。 参与该计划的幽灵 GitHub 账户，来源：Check Point 这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。 针对不同社交媒体平台用户的网络钓鱼模板，来源：Check Point “幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板，另一组提供钓鱼图片，第三组提供恶意软件，这让该方案具有一定程度的运营弹性。 “为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时，GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。 “为了应对此类行为，Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库，其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时，这可使网络继续运行，并将损失降至最低。” Stargazers 角色概述资料，来源：Check Point Check Point 发现一个 YouTube 视频，其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。 研究人员指出，它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。 就该行动的规模及其产生的利润而言，Check Point 估计，自该服务推出以来，这名攻击者已经赚取了超过 10 万美元。 通过 Stargazers Ghost Network 的行动分发的恶意软件，包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。 在 Check Point 报告中展示的一个示例攻击链中，GitHub 存储库将访问者重定向到受感染的 WordPress 网站，访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。 Atlantida Stealer 攻击链，来源：Check Point VBScript 触发两个连续的 PowerShell 脚本的执行，最终导致 Atlantida Stealer 的部署。 尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动，自 2024 年 5 月以来已删除了 1,500 多个存储库，但 Check Point 表示，目前仍有超过 200 个存储库活跃并继续传播恶意软件。 GitHub 上每日新增的 Stargazer 存储库，来源：Check Point 建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。 受密码保护的档案尤其如此，防病毒软件无法扫描这些档案。对于这些类型的文件，建议您在虚拟机上提取它们，并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。 如果没有虚拟机，您也可以使用VirusTotal，它会提示输入受保护存档的密码，以便扫描其内容。但是，VirusTotal 只能扫描包含单个文件的受保护存档。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MA_O_b2GnrBgt_hfezoM2g 封面来源于网络，如有侵权请联系删除

去年 1 月，俄罗斯黑客尝试了让乌克兰人受冻的方法：一种恶意软件样本，让黑客直接进入乌克兰供暖设施，在严寒的冬季切断数百栋建筑的暖气和热水。 工业网络安全公司 Dragos 周二披露了新发现的与俄罗斯有关的恶意软件样本，分析报告认为该恶意软件在 1 月底针对乌克兰利沃夫的一家供暖设施发动的网络攻击中被使用，导致 600 栋建筑的服务中断约 48 小时。 在这次攻击中，恶意软件修改了温度读数，欺骗控制系统冷却流经建筑物管道的热水，这是黑客直接破坏供暖设施的首例确认案例。 Dragos 的恶意软件报告指出，攻击发生时利沃夫正经历典型的一月寒流，接近该地区一年中最冷的时节。Dragos 分析师 Kyle O’Meara 说：“有人在隆冬时节关掉你的暖气，这真是太糟糕了。” Dragos 将该恶意软件称为 FrostyGoop，它是迄今为止在野外发现的不到 10 个攻击工业系统的代码样本之一，这些代码旨在直接与工业控制系统软件交互，以产生物理效果。 也是迄今为止发现的第一个试图通过 Modbus 发送命令来实现这些效果的恶意软件，Modbus 是一种常用且相对不安全的协议，用于与工业设备进行通信。 Dragos 于 4 月首次发现了 FrostyGoop 恶意软件，当时该恶意软件以多种形式上传到在线恶意软件扫描服务（最有可能是 Google 旗下的扫描服务和恶意软件存储库 VirusTotal，尽管 Dragos 拒绝确认是哪项服务）——可能是恶意软件的创建者上传的，目的是测试它是否被防病毒系统检测到。 Dragos 表示，通过与乌克兰网络安全情况中心（乌克兰安全局网络安全和情报机构的一部分）合作，他们了解到该恶意软件曾被用于从 1 月 22 日开始针对乌克兰西部最大城市利沃夫的一家供暖设施的网络攻击。 Dragos 拒绝透露受害公用事业公司的名称，事实上，该公司表示，由于该公司是从乌克兰政府那里得知这一攻击目标的，因此尚未独立确认这家公用事业公司的名称。 Dragos 对此次攻击的描述与Lvivteploenergo 公用事业公司大约在同一时间发生的供暖中断的报道非常吻合，据当地媒体报道，此次中断导致近 10 万人无法供暖和使用热水。 利沃夫市长 Andriy Sadovyi 当时在Telegram 消息服务上发帖称此次事件为“故障” ，但补充说，“怀疑公司工作系统受到外部干扰，目前正在核实这一信息。” 1 月 23 日，Lvivteploenergo 的一份声明更明确地将此次供暖中断描述为“黑客攻击的结果”。 Lvivteploenergo 和乌克兰安全局均未回应《连线》的置评请求。乌克兰网络安全机构国家特别通信和信息保护局拒绝置评。 Dragos 在对供热设施攻击的分析中表示，FrostyGoop 恶意软件被用来攻击 ENCO 控制设备（立陶宛公司 Axis Industries 销售的支持 Modbus 的工业监控工具），并改变其温度输出以关闭热水流量。 Dragos 表示，黑客实际上在攻击发生前几个月（2023 年 4 月）就利用易受攻击的 MikroTik 路由器作为入口点获得了网络访问权限。然后，他们在网络中建立了自己的 VPN 连接，并重新连接到莫斯科的 IP 地址。 尽管与俄罗斯有关，但 Dragos 表示，它尚未将供热设施入侵事件与其追踪的任何已知黑客组织联系起来。Dragos 特别指出，它尚未将黑客攻击与 Kamacite 或 Electrum 等常见嫌疑组织联系起来，这是 Dragos 内部对一些团体的称呼，这些团体被更广泛地统称为Sandworm，是俄罗斯军事情报机构 GRU 的一个单位。 Dragos 发现，虽然黑客利用对供热设施网络的入侵发送了 FrostyGoop 的 Modbus 命令，这些命令针对 ENCO 设备并破坏了该设施的服务，但该恶意软件似乎托管在黑客自己的计算机上，而不是受害者的网络上。 这意味着，仅靠简单的防病毒软件，而不是网络监控和分段来保护易受攻击的 Modbus 设备，可能无法阻止该工具在未来的使用，Dragos 分析师 Mark “Magpie” Graham 警告说：“它可以远程与设备交互，这意味着它不一定需要部署到目标环境中。”Graham 说。“你可能永远不会在环境中看到它，只能看到它的效果。” 虽然利沃夫供暖设施中的 ENCO 设备是网络内部攻击的目标，但 Dragos 还警告称，它发现的早期版本的 FrostyGoop 被配置成针对可通过开放互联网公开访问的 ENCO 设备。 Dragos 表示，在自己的扫描中，它发现了至少 40 台类似的 ENCO 设备，它们同样存在在线漏洞。该公司警告称，ENCO 控制器主要部署在东欧，包括乌克兰、罗马尼亚和立陶宛。大约有 46,000 台暴露在互联网上的 ICS 设备通过此协议进行通信。 Dragos 表示：“FrostyGoop 能够通过 Modbus TCP 与 ICS 设备进行通信，这威胁到了多个行业的关键基础设施。鉴于 Modbus 协议在工业环境中的普遍性，这种恶意软件可能会通过与传统和现代系统进行交互，对所有工业领域造成破坏。” “我们认为 FrostyGoop 能够与大量此类设备进行交互，我们正在进行研究，以验证哪些设备确实存在漏洞。”Graham 说。 虽然 Dragos 尚未正式将利沃夫袭击事件与俄罗斯政府联系起来，分析师 Graham 本人并不回避将这次袭击描述为俄罗斯对该国发动的战争的一部分——这场战争自 2022 年以来就用炸弹残酷地摧毁了乌克兰的关键基础设施，而网络攻击早在 2014 年就开始了。 Graham 认为，在乌克兰冬季以网络攻击瞄准供暖基础设施实际上可能表明乌克兰人击落俄罗斯导弹的能力不断增强，将俄罗斯推回到黑客破坏的轨道，尤其是在乌克兰西部。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JuwKahvFvIBM4kcB5TgrLA 封面来源于网络，如有侵权请联系删除

据网络安全公司Barracuda近期的一项研究报告，一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件，到目前为止这些攻击已针对至少数百家公司。 这些攻击主要利用了电子邮件安全网关中的URL保护功能，该功能能够检查链接是否指向已知的网络钓鱼或恶意软件网站，并根据结果阻止对该链接的访问或将请求重定向到最终目的地，以此来保护用户免受钓鱼或恶意软件威胁。 从2024 年 5 月中旬开始，Barracuda观察到网络钓鱼攻击利用三种不同的 URL 保护服务来掩盖他们的网络钓鱼链接，且提供这些保护服务的都是信誉良好的合法品牌。 目前还不清楚这些攻击者是如何生成指向其虚假网站的重写 URL， 不过，研究人员推测，他们很可能入侵了企业内部使用这些服务的电子邮件账户，向这些被入侵的账户发送电子邮件（或从这些账户发出电子邮件），以强制重写URL。 随后，只需从生成的电子邮件信息中获取重写的URL，并重复使用来制作新的网络钓鱼电子邮件即可。 在目标域被标记为恶意域之前，这些 URL 将在多个用户的点击中无限期地发挥作用。 一些使用这种技术的钓鱼电子邮件可以伪装成微软的密码修改提醒或 DocuSign 的文档签名请求。 伪装成微软账户密码修改的钓鱼邮件 URL保护功能在实施过程中存在一些争议，最大的一项缺陷是该功能的黑名单制度，难以有效快速更新最新生成的网络钓鱼网站。因为攻击者已经擅长使用便宜的域名生成大量钓鱼URL，当某一个链接被标记为网络钓鱼网站时，可能已经产生了数百名受害者。 另一个缺陷在于该功能会破坏加密电子邮件签名，因为安全电子邮件网关会通过更改链接来修改原始电子邮件。 例如，微软为 Office 365 用户提供了名为 “安全链接 “的功能，在 Outlook 和 Teams 等应用程序中，收到的电子邮件和信息中的链接会被重写为 na01.safelinks.protection.outlook.com/?url=[original_URL]，这一方式过去曾受到安全公司的批评，因为它实际上没有执行动态扫描，且很容易被基于 IP 的流量重定向绕过，或者被使用来自合法和可信域的开放重定向 URL 绕过。 目前，传统的电子邮件安全工具可能很难检测到这些攻击，最有效的防御是通过多层级安全的方法，全面检测和阻止异常或意外活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406740.html 封面来源于网络，如有侵权请联系删除