自 2015 年以来，部分乌克兰政府网络一直受到名为 OfflRouter 的恶意软件的感染。 思科 Talos 发布的一份报告显示：其调查结果基于对 100 多个机密文档的分析，这些文档感染了 VBA 宏病毒并上传到 VirusTotal 恶意软件扫描平台。 安全研究员 Vanja Svajcer表示：“这些文件包含 VBA 代码，用于删除并运行名为‘ctrlpanel.exe’的可执行文件。” “该病毒在乌克兰仍然活跃，并导致潜在的机密文件被上传到可公开访问的文件存储库。” OfflRouter 的一个引人注目的方面是它无法通过电子邮件传播，因此需要通过其他方式传播，例如共享文档和可移动媒体，包括包含受感染文档的 USB 记忆棒。 据说这些设计选择，无论是有意还是无意，都将 OfflRouter 的传播限制在乌克兰境内和少数组织内，从而在近 10 年内逃脱了检测。 目前尚不清楚谁是该恶意软件背后的始作俑者，也没有迹象表明它是由乌克兰人开发的。 无论是谁，由于不寻常的传播机制和源代码中存在多个错误，他们都被描述为富有创造力但缺乏经验。 OfflRouter 早在 2018 年 5 月就被 MalwareHunterTeam 重点关注，斯洛伐克计算机安全事件响应小组 ( CSIRT.SK ) 于 2021 年 8 月再次重点关注 OfflRouter，介绍了上传到乌克兰国家警察网站的受感染文件（详情）。 作案手法几乎保持不变：VBA 宏嵌入的 Microsoft Word 文档会删除名为“ctrlpanel.exe”的 .NET 可执行文件，然后该文件会感染系统和其他设备上发现的具有 .DOC（而非 .DOCX）扩展名的所有文件，具有相同宏的可移动媒体。 “感染会迭代要感染的文档候选列表，并使用创新方法检查文档感染标记，以避免多次感染过程 – 该功能检查文档创建元数据，添加创建时间，并检查总和的值。” Svajcer说。 “如果总和为零，则认为该文档已经被感染。” 也就是说，只有启用 VBA 宏时，攻击才会成功。截至 2022 年 7 月，微软一直在默认情况下阻止从互联网下载的 Office 文档中的宏，促使攻击者寻求其他初始访问途径。 该恶意软件的另一个关键功能是修改 Windows 注册表，以确保每次启动系统时可执行文件都会运行。 “该病毒仅针对文件扩展名为 .DOC（OLE2 文档的默认扩展名）的文档，并且不会尝试感染其他文件扩展名，” Svajcer 解释道。“较新的 Word 版本的默认 Word 文档文件扩展名是 .DOCX，因此很少有文档会因此受到感染。” 那不是全部，Ctrlpanel.exe 还能够搜索可移动驱动器上存在的潜在插件（扩展名为 .ORP）并在计算机上执行它们，这意味着恶意软件期望通过 USB 驱动器或 CD-ROM 传递插件。 相反，如果插件已经存在于主机上，OfflRouter 会负责对它们进行编码，将文件复制到附加的可移动媒体的根文件夹（文件扩展名为 .ORP），并对其进行操作以使其隐藏，以便它们将它们插入其他设备时，通过文件资源管理器不可见。 也就是说，一个主要的未知数是初始向量是文档还是可执行模块 ctrlpanel.exe。 “双模块病毒的优点是它可以作为独立的可执行文件或受感染的文档进行传播。”Svajcer 说。 “最初作为可执行文件传播可能是有利的，因为该模块可以独立运行并设置注册表项以允许执行 VBA 代码并将默认保存的文件格式更改为 .DOC，然后再感染文档。这样，感染可能有点隐蔽。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/yqnfg5lJ-ScI0HzPmGWlMw 封面来源于网络，如有侵权请联系删除

芬兰安全研究人员详细介绍了鲜为人知的俄罗斯 Kapeka 后门恶意软件的新情况，该恶意软件至少自 2022 年中期以来一直用于攻击东欧目标。 据芬兰网络安全公司 WithSecure 称，这款名为 Kapeka 的恶意软件可能与俄罗斯军事情报部门 (GRU) 运营的黑客组织 Sandworm 有关。 该公司在与 Recorded Future News 分享的一份报告中表示，后门可能是 Sandworm 武器库的更新，用于间谍活动和破坏活动。像 Kapeka 这样的代码是为了让黑客能够访问网络来部署其他恶意软件。 研究人员还发现 Kapeka 和 Sandworm 的其他恶意工具之间存在重叠。 Kapeka 很可能被用于导致 2022 年底部署 Prestige 勒索软件的入侵。根据之前的报告，与 Sandworm 相关的黑客在针对乌克兰和波兰的运输和物流部门的一系列攻击中部署了 Prestige 勒索软件（详情）。 研究人员表示，Kapeka 有可能是 Sandworm 的 GreyEnergy 恶意软件的后继者，后者本身很可能是著名的 BlackEnergy 病毒的替代品，该病毒曾在 2015 年向乌克兰电网插入恶意代码。 WithSecure 表示，它在 2023 年年中在分析 2022 年底发生的针对爱沙尼亚物流公司的攻击时发现了 Kapeka 的踪迹。 另外两个后门样本分别于 2022 年中期和 2023 年中期从乌克兰提交给 VirusTotal 存储库。WithSecure 研究人员表示，他们“有一定的信心”认为提交者是恶意软件感染的受害者。 今年2月初，微软发现了一个与 Kapeka 特征相似的后门，并将其命名为KnuckleTouch。微软的报告认为，该恶意软件至少从 2022 年初到中期就已被 Sandworm 使用。WithSecure 向 Recorded Future News 证实 KnuckleTouch 和 Kapeka 是同一个后门。 Kapeka的能力 根据 WithSecure 的报告，Kapeka 可以作为早期工具包，并提供对目标系统的长期访问。 一旦部署，后门就会收集有关受感染计算机及其用户的信息。它还可以执行一系列任务，例如从磁盘读取小于 50 MB 的文件并将此信息发送回黑客。 研究人员表示，该恶意软件还可以启动有效负载、执行 shell 命令并升级其自身功能，从而可能使攻击者首先使用后门的框架版本感染受害者，并且只有在受害者被认为是合适的目标时才会释放更完整的版本。 报告称，Kapeka 的开发和部署可能是在俄乌战争爆发之后进行的。该后门可能被用于针对中欧和东欧的破坏性攻击，包括勒索软件活动。 研究人员表示，其他研究中很少提及 Kapeka，这表明该恶意软件至少自 2022 年中期以来就已被用于有限范围的攻击。 该组织可能对针对运输和物流公司特别感兴趣。WithSecure 最初在爱沙尼亚公司的网络中发现了后门，研究人员还将其与针对波兰和乌克兰物流行业的 Prestige 勒索软件式攻击联系起来。 研究人员表示：“由于在编写感染媒介时数据较少，暂无法确定攻击者的目标具体是什么。 “Kapeka 的开发者和运营商是否会随着该工具的新版本而发展，或者开发和使用与 Kapeka 相似的新工具包，就像 Kapeka 和 GreyEnergy 以及 GreyEnergy 和 BlackEnergy 之间发现的那样，还有待观察。”研究人员说。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/sNWWj9sGX_ap1LUrcvazRA 封面来源于网络，如有侵权请联系删除

工业和企业物联网网络安全公司 Claroty 对 Fuxnet 进行了分析，Fuxnet 是乌克兰黑客最近在针对俄罗斯地下基础设施公司的攻击中使用的一款工业控制系统 (ICS) 恶意软件。 近几个月来，据信隶属于乌克兰安全部门的一个名为 Blackjack 的黑客组织声称对俄罗斯多个重要组织发起了攻击。黑客以互联网服务提供商、公用事业公司、数据中心和俄罗斯军方为目标，据称造成了重大损害并泄露了敏感信息。 上周，Blackjack 披露了针对 Moscollector 涉嫌攻击的细节，Moscollector 是一家总部位于莫斯科的公司，负责供水、污水处理和通信系统等地下基础设施。 “俄罗斯的工业传感器和监控基础设施已被禁用，”黑客声称，“它包括俄罗斯的网络运营中心 (NOC)，该中心监视和控制天然气、水、火灾报警器和许多其他设备，包括庞大的远程传感器和物联网控制器网络。” 黑客声称已经清除了数据库、电子邮件、内部监控和数据存储服务器。 此外，他们还声称已经禁用了 87,000 个传感器，其中包括与机场、地铁系统和天然气管道相关的传感器。为了实现这一目标，他们使用了 Fuxnet，这是一种被他们称为“类固醇震网”的恶意软件，这使得他们能够物理破坏传感器设备。 “Fuxnet 现在已开始淹没 RS485/MBus，并向 87,000 个嵌入式控制和传感系统发送‘随机’命令（已谨慎排除了医院、机场和其他民用目标）。”黑客表示。 黑客的说法很难核实，但 Claroty 能够根据 Blackjack 提供的信息和代码对 Fuxnet 恶意软件进行分析。 该网络安全公司指出，Moscollector 部署的用于收集温度等物理数据的实际传感器很可能没有被 Fuxnet 损坏。相反，该恶意软件可能针对大约 500 个传感器网关，这些网关通过串行总线（例如 Blackjack 提到的 RS485/Meter-Bus）与传感器进行通信。这些网关还连接到互联网，能够将数据传输到公司的全球监控系统。 Claroty 指出：“如果网关确实损坏，维修工作可能会很广泛，因为这些分布在莫斯科及其郊区的设备必须更换，或者必须单独重新刷新固件。” Claroty 对 Fuxnet 的分析表明，该恶意软件很可能是远程部署的。一旦进入设备，它将删除重要文件和目录，关闭远程访问服务以防止远程恢复，并删除路由表信息以防止与其他设备通信。然后，Fuxnet 将删除文件系统并重写设备的闪存。 一旦损坏了文件系统并阻止了对设备的访问，恶意软件就会尝试物理破坏 NAND 存储芯片，然后重写 UBI 卷以防止重新启动。 此外，恶意软件还试图通过用随机数据淹没串行通道来破坏连接到网关的传感器，从而使串行总线和传感器过载。 “在恶意软件操作期间，它会通过仪表总线通道重复写入任意数据。这将阻止传感器和传感器网关发送和接收数据，从而使传感器数据采集变得毫无用处。”Claroty 解释道，“因此，尽管攻击者声称破坏了 87,000 个设备，但他们实际上似乎只成功感染了传感器网关，并试图通过淹没连接不同传感器和网关的仪表总线通道来造成进一步的破坏，类似于网络模糊测试不同的连接传感器设备。结果似乎只有传感器网关被变砖，而终端传感器却没有变砖。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295650 封面来源于网络，如有侵权请联系删除

Proofpoint警告称，TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者，通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。 TA547是一个受利益的威胁行为者，至少从2017年11月开始就一直活跃，它被观察到进行了多次活动，以交付各种Android和Windows恶意软件，包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。 该组织还作为初始访问代理(IAB)运营，并以不同的地理区域为目标。 研究人员指出，这是第一个使用此恶意软件家族的TA547集团。在过去的活动中，该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。 TA547集团假冒德国零售公司Metro向受害者发送电子邮件，据称与发票有关。这些消息包含一个密码保护的ZIP文件，打开后包含一个链接文件。执行链接文件时，它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件，并将其作为程序集加载到内存中，然后执行它。专家们注意到，恶意代码直接在内存中执行，而没有将任何工件写入磁盘。“值得注意的是，当解混淆时，用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征，这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。 具体来说，PowerShell脚本在脚本的每个组件上方都包含一个磅符号，后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出，表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell，或从其他使用过它的来源复制了脚本。” 这次活动表明威胁行为者的技术转变，利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。 专家们还发现了在恶意软件活动中使用LLM的企图。 报告总结道：“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链，使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样，威胁行为者可能会将这些资源纳入整个活动中。” “然而，值得注意的是，虽然TA547将可疑的LLM生成的内容纳入整个攻击链，但它并没有改变恶意软件的功能或效力，也没有改变安全工具对它的防御方式。在这种情况下，潜在的LLM生成的代码是一个脚本，它有助于交付恶意软件的有效载荷，但没有观察到它改变了有效载荷本身。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/HJiuPyuiO6HSUSJRJbtp3Q 封面来源于网络，如有侵权请联系删除

近日，惠普威胁研究团队发现 “树莓罗宾 “（通常是勒索软件攻击的前兆）蠕虫背后的威胁行为者改变了传播策略，除了使用 USB 驱动器等可移动媒体向目标主机传播外，还通过高度混淆的 Windows 脚本文件（WSF），利用反分析技术进行传播。 不过只有当恶意软件在真实设备上而不是在沙盒中运行时，才会下载和执行最终有效载荷。 树莓罗宾最早于 2021 年由红金丝雀公司披露，是恶意软件即服务运营商部署的一种工具。微软在 2022 年底表示，该蠕虫是一个复杂且相互关联的恶意软件生态系统的一部分，与其他恶意软件家族和替代感染方法有联系。 据惠普公司称，树莓罗宾是 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 Truebot 这些恶意软件家族的前身。它最初的感染载体是通过 USB 驱动器，但现在已扩展到包括恶意广告在内的其他方法。 今年 3 月，恶意行为者开始通过 .wsf 文件传播该蠕虫病毒。系统管理员和合法软件通常使用这种文件类型在 Windows 中自动执行任务，是自动化日常任务和简化复杂流程的强大工具。 解码树莓罗宾的 WSF Distribution .wsf 文件格式支持 JScript 和 VBScript 等脚本语言，可由 Windows 操作系统内置的 Windows 脚本主机组件进行解释。 这些 Windows 脚本文件通过威胁行为者控制的各种恶意域和子域提供下载。虽然目前还不清楚威胁行为者是如何引诱用户访问恶意 URL ，但惠普威胁研究人员认为他们可能是通过垃圾邮件或恶意广告活动实现的。 该恶意软件还会检测以下安全软件供应商： Kaspersky ESET Avast Avira Check Point Bitdefender 截至惠普发布通知时，威胁行为者的 WSF 文件在 Virus Total 上的检测率为 0%。这就意味着 VirusTotal 上没有任何反病毒扫描器将这些文件分类为恶意文件，显示了该恶意软件的隐蔽性。 分析发现，该脚本还使用了经典方法，通过检查网卡的 MAC 地址来识别运行环境是否虚拟化。为了防止审查，如果在调试器中进行分析，该脚本会从磁盘中自动删除并以命令行参数重新启动。在功能上，它充当了下载器的角色，从网上检索树莓罗宾 DLL 并将其存储在本地，同时通过在防病毒扫描中添加异常来逃避检测。 研究人员表示，WSF下载器被严重混淆，并使用了许多反分析和反虚拟机技术，使恶意软件能够逃避检测并减慢分析速度。鉴于树莓罗宾已被用作人为操作勒索软件的前兆，在感染链的早期阶段反击这种恶意软件应该成为安全团队的重中之重。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397709.html 封面来源于网络，如有侵权请联系删除

苹果公司警告在全球92个国家的iPhone用户可能成为有针对性的雇佣间谍软件攻击的目标，据路透社报道。 报道中只提到了印度是其中一个受到攻击的国家。 根据针对性用户发送的威胁通知电子邮件，这家科技巨头发现了试图“远程侵入iPhone”的行为。 公司并未将此类有针对性的攻击归因于“任何特定的国家支持的攻击者”。 德国网站Heise报道称：“最初，苹果明确提到了这是‘国家支持的攻击’。但最近对印度的反对派政客和记者发出警告后，印度政府似乎感到非常不悦。与此同时，iPhone公司采用了更加圆滑的措辞，称这类攻击为‘雇佣间谍软件’，并指出这类攻击‘在历史上一直与国家行为者有关’。” 自2021年起，苹果开始向来自150多个国家的用户发送了这种类型的威胁通知。 苹果建议受到针对性攻击的iPhone用户将其设备更新到最新的软件版本，并与网络安全专家联系以调查可能的妥协情况。 为了应对2022年7月对苹果用户发起的一波复杂攻击（例如Pegasus、DevilsTongue和Hermit），苹果开发了一项名为“锁定模式”的新安全功能，以保护其用户免受高度有针对性的网络攻击。 苹果iOS锁定模式中实施的一些保护措施包括： – 消息：除了图像之外，大多数消息附件类型都被阻止。某些功能，例如链接预览，将被禁用。 – 网页浏览：除非用户排除了信任的网站，否则某些复杂的网页技术，例如即时JavaScript编译（JIT），将被禁用。 – 苹果服务：如果用户之前未向发起者发送呼叫或请求，则会阻止入站邀请和服务请求，包括FaceTime呼叫。 – 当iPhone被锁定时，与计算机或附件的有线连接将被阻止。 – 在锁定模式开启时，无法安装配置文件，并且设备无法加入移动设备管理（MDM）。   消息来源：SecurityAffairs，译者：Lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

eXotic Visit 是一个活跃的 Android 恶意软件活动，主要是针对南亚、尤其是印度和巴基斯坦的用户。该恶意软件可以通过专门网站和 Google Play 商店下载。 斯洛伐克网络安全公司表示，这项活动自 2021 年 11 月以来一直在进行，并且与任何已知的威胁行为者或组织无关。公司正在追踪 Virtual Invaders 行动背后的组织。 ESET 安全研究员 Lukáš Štefanko 在今天发布的一份技术报告中表示：“下载的应用程序提供合法功能，但也包含来自开源 Android XploitSPY RAT 的代码。” 据称，该活动具有很强的针对性，Google Play 上提供的应用程序的安装量从 0 到 45 不等。这些应用程序目前已被下架。 这些虚假但实用的应用程序主要伪装成消息服务，例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。据称，大约 380 名受害者下载了这些应用并创建了帐户。 eXotic Visit 还使用了 Sim Info 和 Telco DB 等应用程序，这两个应用程序都声称只需输入巴基斯坦的电话号码即可提供该 SIM 卡所有者的详细信息。而其他应用程序冒充巴基斯坦的食品订购服务和一家名为 Specialist Hospital 的合法印度医院（现已更名为 Trilife Hospital）。 XploitSPY在 2020 年 4 月由名为RaoMK的用户上传到 GitHub ，与一家名为 XploitWizer 的印度网络安全解决方案公司挂钩。它也被认为是另一个名为L3MON开源 Android 木马的分支，而 L3MON 又从AhMyth中汲取了灵感。 XploitSPY具有广泛的功能，可以从受感染的设备中收集敏感数据，例如 GPS 位置、麦克风录音、联系人、短信、通话记录和剪贴板内容；从 WhatsApp、Facebook、Instagram 和 Gmail 等应用程序中提取通知信息；下载和上传文件；查看已安装的应用程序和队列命令。 最重要的是，恶意应用程序旨在拍摄照片并枚举与屏幕截图、WhatApp、WhatsApp Business、Telegram 和非官方 WhatsApp mod（称为 GBWhatsApp）相关的多个目录中的文件。 “多年来，这些威胁行为者通过添加混淆、模拟器检测、隐藏C2地址以及使用本机库来定制他们的恶意代码，”Štefanko 说。 本机库（“defcome-lib.so”）的主要目的是对 C2 服务器信息进行编码并隐藏静态分析工具。如果检测到模拟器，该应用程序会利用伪造的 C2 服务器来避开检测。 一些应用程序通过专门创建的网站（“chitchat.ngrok[.]io”）进行传播，该网站提供指向 GitHub 上托管的 Android 包文件（“ChitChat.apk”）的链接。目前尚不清楚受害者是如何被引导到这些应用程序的。 “软件一开始需要从专门的网站下载，之后直接转到官方 Google Play 商店，”Štefanko 总结道。 “这是一次间谍活动，可能针对的是巴基斯坦和印度的受害者。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295522 封面来源于网络，如有侵权请联系删除

黑客正在利用 Facebook 广告和劫持页面来推广虚假人工智能服务，例如 MidJourney、OpenAI 的 SORA 和 ChatGPT-5 以及 DALL-E，以窃取密码的恶意软件感染毫无戒心的用户。 这些恶意广告活动是通过劫持 Facebook 个人资料创建的，这些个人资料冒充流行的人工智能服务，假装提供新功能的预览。被广告欺骗的用户成为欺诈性 Facebook 社区的成员，威胁行为者在其中发布新闻、人工智能生成的图像和其他相关信息，以使页面看起来合法。 OpenAI 的 Sora 视频生成工具的广告 然而，社区帖子经常提倡限时访问即将推出且备受期待的 AI 服务，诱骗用户下载恶意可执行文件，这些可执行文件会利用 Rilide、Vidar、IceRAT 和 Nova 等信息窃取恶意软件感染 Windows 计算机。 信息窃取恶意软件专注于从受害者的浏览器窃取数据，包括存储的凭据、cookie、加密货币钱包信息、自动完成数据和信用卡信息。 然后，这些数据会在暗网市场上出售，或被攻击者用来破坏目标的在线帐户，以达成进一步的诈骗或进行欺诈。 在某些情况下，这些违法活动危害巨大，因为人们目前对人工智能的兴趣非常高。该领域的发展如此之快，以至于人们很难跟上并辨别合法的公告和明显的虚假信息。 在Bitdefender 研究人员发现的一个案例中，一个冒充 Midjourney 的恶意 Facebook 页面聚集了 120 万粉丝，并在最终被删除之前保持活跃近一年。 该页面不是从头开始创建的；而是从头开始创建的。相反，攻击者于 2023 年 6 月劫持了现有的个人资料，并将其转换为虚假的 Midjourney 页面。Facebook 于 2024 年 3 月 8 日关闭了该页面。 恶意 Facebook 个人资料 许多帖子通过宣传该工具不存在的桌面版本来诱骗人们下载信息窃取程序。一些帖子强调了 V6 的发布，但尚未正式发布（最新版本是 V5）。 推广不存在的 MJ 版本 在其他情况下，恶意广告促进了创作 NFT 艺术并将其创作货币化的机会。 假冒 NFT 推广 正如你可以在元广告库中查看 Facebook 广告的定位参数一样，研究人员发现，这些广告的目标受众是欧洲 25 岁至 55 岁的男性，主要是德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典。该活动的操作者没有使用 Dropbox 和 Google Drive 链接来托管有效负载，而是设置了多个克隆官方 Midjourney 登陆页面的网站，诱骗用户通过 GoFile 下载他们认为是最新版本的艺术生成工具关联。 用于传播恶意软件的虚假网站之一 相反，他们安装了 Rilide v4，它伪装成网络浏览器的 Google Translate 扩展，  在后台窃取 Facebook cookie和其他数据时有效地隐藏了恶意软件。 虽然此页面已被删除，但威胁行为者启动了一个新页面，该页面仍然活跃，拥有超过 600,000 名成员，该页面正在推送一个传播恶意软件的虚假 Midjourney 网站。 尽管这个拥有超过 120 万粉丝的冒名顶替者页面最近被关闭，但研究表明，网络犯罪分子迅速采取行动，于 2024 年 3 月 8 日至 9 日期间建立了一个冒充 Midjourney 的新页面。该页面也是在接管另一位用户的 Facebook 后建立的帐户，他还在页面的评论部分发表评论，警告其他用户该帐户已被黑客入侵。自调查以来，研究人员注意到另外四个 Facebook 页面试图冒充 Midjourney，其中一些页面也已从平台上删除。 最新的冒充 Midjourney 的恶意页面似乎已于 3 月 18 日被攻击者接管，当时网络犯罪分子更改了原始 Facebook 页面的原始名称。截至 3 月 26 日，该诈骗个人资料有 637,000 名关注者。   转自E安全，原文链接：https://mp.weixin.qq.com/s/9APl6ypoppZgmA5vKQsEeA 封面来源于网络，如有侵权请联系删除

攻击者正在积极瞄准超过 92,000 个报废的 D-Link NAS设备，这些设备在线暴露且服务商并不提供针对远程代码执行 (RCE)0day漏洞的补丁方案。 此安全漏洞 ( CVE-2024-3273 ) 是通过硬编码帐户（用户名“messagebus”，密码为空）促成的后门以及通过“system”参数的命令注入问题造成的。 攻击者现在将这两个安全漏洞链接起来，部署 Mirai 恶意软件变体 ( skid.x86 )。Mirai 变体通常旨在将受感染的设备添加到可用于大规模分布式拒绝服务 (DDoS) 攻击的僵尸网络中。 据网络安全公司 GreyNoise和威胁监控平台 ShadowServer观察，这些攻击于周一开始。两周前，安全研究人员 Netsecfish在 D-Link 通知他们这些报废设备不会得到修补后披露了该漏洞。 Netsecfish 解释说：“所描述的漏洞影响多个 D-Link NAS 设备，包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等型号。” “成功利用此漏洞可能允许攻击者在系统上执行任意命令，从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务。” 当被问及是否会发布安全更新来修补这个0day漏洞时，D-Link 表示，他们不再支持这些报废 (EOL) NAS 设备。 D-Link 发言人称：“所有 D-Link NAS设备已终止其生命周期和服务寿命，并且与这些产品相关的资源已停止开发且不再受支持。” “D-Link 建议淘汰这些产品，并用接收固件更新的产品替换它们。” 该发言人补充说，这些 NAS 设备不具备自动在线更新或警报发送功能，因此无法通知所有者这些正在进行的攻击。 消息披露后，D-Link于周四发布了安全公告，通知用户该安全漏洞，并建议他们尽快淘汰或更换受影响的设备。 它还为旧设备创建了一个支持页面，警告所有者通过旧支持网站应用最新的安全和固件更新，尽管这并不能保护他们的设备免受攻击。 D-Link 警告说：“如果美国消费者违反 D-Link 的建议继续使用这些设备，请确保该设备具有最新的已知固件。” D-Link 没有说的是 NAS 设备不应在网上公开，因为它们通常是勒索软件攻击的目标，以窃取或加密数据。 近几个月来，其他 D-Link 设备（其中一些也已报废）已成为多个基于 Mirai 的 DDoS 僵尸网络 （其中一个 被追踪为 IZ1H9）的目标。该僵尸网络所有者不断致力于扩展它们的功能，添加新的漏洞和攻击目标。 D-link友讯科技股份有限公司是总部位于台北市的科技公司，专注于电脑网络设备的设计开发，自创“D-Link”品牌，主要提供消费者及企业所使用的无线网络和以太网硬件产品等网络通信设备与解决方案。在全世界44国设立82个营销据点，品牌营收近6亿美元。全球拥有超过一千六百名以上的员工。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QsdKKN9YigwsIRVktThkSw 封面来源于网络，如有侵权请联系删除

近日，有黑客利用一种名为 Rhadamanthys 的信息窃取恶意软件发起网络钓鱼活动，专门针对石油和天然气行业。 Cofense研究员 Dylan Duncan 表示：这些钓鱼邮件使用了比较独特的车辆事故作为“诱饵”，并在感染链的后期阶段，用一个PDF文件诱骗联邦运输局，其中提到了对事故的巨额罚款。 据悉，该电子邮件附带的恶意链接利用了开放重定向漏洞，会将收件人重定向到一个托管了虚假 PDF 文档的链接，但实际上是一个图片，点击后会引导收件人下载包含窃取程序有效载荷的 ZIP 压缩包。 Rhadamanthys 用 C++ 编写，旨在与命令与控制（C2）服务器建立连接，以便从被入侵的主机上获取敏感数据。 Dylan Duncan 表示：这个活动是在执法部门摧毁LockBit勒索软件组织后几天内出现的。虽然这可能只是巧合，但趋势科技在 2023 年 8 月披露了一个 Rhadamanthys 变种，该变种捆绑了泄漏的 LockBit 有效载荷、剪切恶意软件和加密货币挖掘器。 该公司指出：黑客在 Rhadamanthys 捆绑软件中添加了信息窃取程序和 LockBit 勒索软件变种的组合，这可能表明该恶意软件仍在不断进化。 在出现 Sync-Scheduler 和 Mighty Stealer 等新的窃取程序恶意软件家族的同时，StrelaStealer 等现有病毒也在通过改进混淆和反分析技术不断发展。 在此之前，还出现了针对印度尼西亚的恶意垃圾邮件活动，该活动利用与银行业务相关的诱饵传播 Agent Tesla 恶意软件，以掠夺登录凭证、财务数据和个人文件等敏感信息。 Check Point称，2023 年11 月观察到的 Agent Tesla 网络钓鱼活动还将目标锁定了澳大利亚和美国，Check Point 将这些攻击行动归咎于两名非洲裔威胁行为者，追踪到的Bignosa（又名Nosakhare Godson和Andrei Ivan）和Gods（又名GODINHO或Kmarshal或Kingsley Fredrick），后者是一名网页设计师。 网络安全 以色列网络安全公司提到：Bignosa 似乎是一个针对组织机构实施恶意软件和网络钓鱼活动团伙的成员，美国和澳大利亚的电子邮件业务数据库也证实了这一点，同时也证实了Bignosa 的个人身份。 通过这些攻击链分发的 Agent Tesla 恶意软件现已被 Cassandra Protector 保护起来，该软件有助于保护软件程序免受逆向工程或修改行为的攻击。据调查，这些邮件均是通过一个名为 RoundCube 的开源网络邮件工具发送的。 Check Point 称：从这些黑客的行动描述中可以看出，在过去几年中最流行的恶意软件家族之一背后开展网络犯罪行动的准入门槛教低，只要是愿意通过垃圾邮件活动激怒受害者来启动恶意软件的人，都能通过这种方式实施网络钓鱼攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/397145.html 封面来源于网络，如有侵权请联系删除