近来，Facebook母公司Meta陷入了一起法律诉讼。据 TechCrunch 报道，Meta 被指控在其数据收集活动上撒谎，并利用其从用户那里“欺骗性地提取”数据进行不公平的斗争。 诉讼称，Meta在2016 年 6 月至 2019 年 5 月之间曾使用一种名为“SSL man-in-the-middle”的网络攻击方法来拦截和解密竞品软件 Snapchat、YouTube 和 Amazon 加密的分析流量。 据起诉Meta的广告商称，该项目以秘密的方式进行，旨在对自身构成威胁的竞品进行分析。这种做法可能违反了窃听法，属犯罪行为。 根据法庭文件中公开的内部电子邮件，该项目以一种工具包的形式呈现，可以拦截特定子域的流量并读取原本加密的流量，以便衡量应用内的使用情况（即人们在应用中执行的特定操作，而不仅仅是整体应用访问量）。 Meta对此表示，这一问题在几年前就被报道过了，现在原告的主张毫无根据。在3月26日针对原告的回应中，Meta还声称“Snapchat 自己也证实，无法识别因Meta的这一用户研究产品而损失的单笔广告销售，不知道其他竞争对手是否收集了类似信息，也不知道 Meta 的任何研究是否为 Meta 提供了竞争优势。” 扎克伯格亲自部署 据起诉 Meta 的广告商称，该项目是应马克·扎克伯格的要求启动。扎克伯格在2016年6月发给高管的内部电子邮件中透露，他对Snapchat的快速增长感到担忧。Facebook没有关于竞争对手的分析，因为他们的流量是加密的。扎克伯格表示，考虑到它们的增长速度，通过定制软件找到一种新方法来获得关于它们的可靠分析似乎很重要。 所披露的电子邮件 现任 Facebook 首席运营官的哈维尔·奥利文同意并责成 Meta 在 2013 年收购 VPN 服务商Onavo，并建议潜在的付费用户安装“某种重要软件”（甚至可以实现中间人等功能）。 在原告提供的文件和证词显示，这种 “中间人 “方法依赖于在 Facebook 的 Onavo 服务器上执行一种被称为服务器端 SSL 碰撞的技术，该技术在 2016 年 6 月至 2019 年初期间得到了大规模实施，其中分别于 2017年-2018 年针对 YouTube 和亚马逊进行了部署。 该项目实施后，在Meta内部就有人表达了不满，该公司一位最高级别的工程高管认为这是一场法律、技术和安全的噩梦。   转自Freebuf，原文链接：https://www.freebuf.com/news/396187.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer网站消息，HUMAN 的 Satori 威胁情报团队发现Google Play 应用商店中有10多款免费VPN应用内含恶意工具包，能在用户不知情的情况下将安卓设备变成住宅代理，进而从事各种恶意活动。 住宅代理是通过位于家中的设备为其他远程用户路由互联网流量，使流量看起来合法，虽然这种代理具有市场研究、广告验证和搜索引擎优化 (SEO) 等合法用途，但也被许多网络犯罪分子利用来隐藏恶意活动，包括广告欺诈、垃圾邮件、网络钓鱼、撞库和密码喷洒。 当住宅代理被秘密安装时，受害者的互联网带宽将在他们不知情的情况下被劫持，并成为恶意活动流量的“帮凶”，事后容易给自身惹来法律纠纷。 Satori团队一共列出了 Google Play 上的 28 个应用程序，这些应用程序能秘密地将安卓设备变成代理服务器。在这 28 个应用程序中，有 17 个为免费 VPN 软件。 Satori 分析师报告称，违规应用程序均使用 LumiApps 的软件开发工具包 (SDK)，其中包含“ Proxylib ”（一个用于执行代理的 Golang 库）。LumiApps 是一个安卓应用程序货币化平台，声称其 SDK 将使用设备的 IP 地址在后台加载网页并将检索到的数据发送给公司。 LumiApps 主页 这一功能被宣传为完全符合 GDPR/CCPA相关规定，旨在公司将这些搜集来的数据用来改进数据库，以提供更好的产品、服务和定价。然而，尚不清楚开发人员是否知道 SDK 正在将其用户的设备转换为可用于有害活动的代理服务器。 Satori 在观察到代理提供商网站的链接后认为，这些恶意应用程序与俄罗斯住宅代理服务提供商“Asocks”有关联。 Asocks 通常在黑客论坛上向网络犯罪分子提供服务。 根据团队的报告，谷歌已于 2024 年 2 月从Google Play应用商店中删除了所有使用 LumiApps SDK 的应用程序，并更新了 Google Play Protect 以检测应用程序中使用的 LumiApp 库。 与此同时，这些VPN应用也在被开发人员删除恶意的 SDK 后重新上线。BleepingComputer 已联系谷歌，问询这些应用现在是否安全，但目前尚未收到回复。   转自Freebuf，原文链接：https://www.freebuf.com/news/396042.html 封面来源于网络，如有侵权请联系删除

Lumen Technologies 的威胁情报分析师发现一个由 40,000 个僵尸网络组成的强大僵尸网络集群，其中充满了用于网络犯罪活动的报废路由器和物联网设备。 根据 Lumen Black Lotus Labs 的最新报告，一个臭名昭著的网络犯罪组织一直在针对世界各地的报废小型家庭/小型办公室 (SOHO) 路由器和物联网设备开展多年攻击活动。 研究人员警告说，该路由器僵尸网络于 2014 年首次出现，一直在悄悄运行，同时在 2024 年 1 月和 2 月增长到来自 88 个国家的 40,000 多个僵尸网络。 “这些机器人中的大多数都被用作臭名昭著的、针对网络犯罪的代理服务的基础，该服务被称为 Faceless。我们最新的跟踪显示，[僵尸网络] 使 Faceless 的新用户数量以每周近 7,000 个的速度增长。” Black Lotus Labs 的研究人员表示，他们确定了该组织代理服务的逻辑图，其中包括 2024 年 3 月第一周开始的一项活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。 研究人员指出，据观察，基于 SOHO/IoT 的活动集群每周与数以万计的不同 IP 地址进行通信。Black Lotus Labs 团队表示：“我们的分析表明，该僵尸网络背后的运营商正在将受感染的报废 (EoL) 设备注册到名为 Faceless 的代理服务中。”该服务已成为“一项强大的代理服务，从“iSocks”匿名服务的废墟中诞生，已成为网络犯罪分子混淆其活动的不可或缺的工具。” 研究人员认为，全球范围内针对报废物联网设备的攻击是故意的，因为它们不再受到制造商的支持，而且已知的安全漏洞也没有得到修补。 研究人员警告说：“此类设备有时也有可能被遗忘或遗弃。” Black Lotus Labs 的研究人员建议企业网络防御者寻找针对弱凭据和可疑登录尝试的攻击，即使这些攻击源自绕过地理围栏和基于 ASN 的阻止住宅 IP 地址。 安全从业人员还应该保护云资产免遭与试图执行密码喷洒攻击的BOT进行通信，并开始使用 Web 应用程序防火墙阻止 IoC。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/aIvqEkg5ZBUTLL9-t094qw 封面来源于网络，如有侵权请联系删除

近日，有研究人员称机器人平台 Top.gg Discord 受到了来自黑客的供应链攻击， 并在开发人员感染恶意软件后窃取平台的敏感信息。据悉，该平台拥有超 17 万名成员，是一个针对 Discord 服务器、机器人和其他社交工具的流行搜索和发现平台，主要面向游戏、提高参与度和改进功能。 多年来，黑客一直尝试各种攻击战术，包括劫持 GitHub 账户、分发恶意 Python 软件包、使用伪造的 Python 基础架构和社交工程等等。 Checkmarx 指出黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。 劫持 top.gg 维护者账户 根据研究人员的调查，黑客的攻击活动最早被发现于 2022 年 11 月，当时他们在 Python 软件包索引（PyPI）上首次上传了恶意软件包。随后的几年时间里，有越来越多的携带恶意软件的软件包被上传到了 PyPI。 这些软件包类似于流行的开源工具，其包装的十分“诱人”的描述使它们更有可能在搜索引擎结果中排名靠前。最近的一次上传是今年 3 月名为 “yocolor “的软件包。 活动中使用的软件包 2024 年初，攻击者在 “files[.]pypihosted[.]org “建立了一个虚假的 Python 软件包，PyPI 软件包的原型文件就存放在 “files.pythonhosted.org”。 这个虚假软件包被用来托管中毒版本的合法软件包，例如流行的 “colorama “软件包的篡改版本，目的是诱骗用户和开发系统使用这个恶意源。 上传到 PyPI 的恶意软件包是入侵系统的初始载体，一旦用户系统被入侵，或者攻击者劫持了有权限的 GitHub 账户，他们就会修改项目文件以指向虚假软件包托管的依赖项。 Checkmarx 提到，近日攻击者入侵了 top.gg 维护者 “editor-syntax “的账户，该账户在平台的 GitHub 资源库中拥有大量写入访问权限。 Discord 上关于被黑账户的讨论 攻击者使用该账户对 Top.gg 的 python-sdk 版本库进行恶意提交，如添加对中毒版本 “colorama “的依赖，并存储其他恶意版本库，以提高其知名度和可信度。 恶意提交修改 requirements.txt 文件 一旦恶意 Python 代码被执行，它就会启动下一阶段，从远程服务器下载一个小型加载器或滴注脚本，以加密形式获取最终有效载荷。 恶意软件通过修改 Windows 注册表，在重启之间在被入侵机器上建立持久性。 修改注册表以获得持久性 该恶意软件的数据窃取功能可归纳为以下几点： 针对 Opera、Chrome、Brave、Vivaldi、Yandex 和 Edge 中的浏览器数据，以窃取 cookie、自动填充、浏览历史记录、书签、信用卡详细信息和登录凭据。 搜索与 Discord 相关的目录以解密和窃取 Discord 令牌，从而可能获得对帐户的未经授权的访问。 通过搜索 ZIP 格式的钱包文件并将其上传到攻击者的服务器，从各种加密货币钱包中窃取。 试图窃取 Telegram 会话数据以未经授权访问帐户和通信。 包括一个文件窃取程序组件，根据特定关键字针对桌面、下载、文档和最近打开的文件上的文件。 利用被盗的 Instagram 会话令牌通过 Instagram API 检索帐户详细信息。 捕获击键并保存它们，可能会暴露密码和敏感信息。此数据将上传到攻击者的服务器。 利用匿名文件共享服务（例如 GoFile、Anonfiles）和具有唯一标识符（硬件 ID、IP 地址）的 HTTP 请求等方法来跟踪被盗数据并将其上传到攻击者的服务器。 攻击概述 据 Checkmarx 研究人员称，尽管有这些复杂的策略，但一些警惕的 Top.gg 社区成员注意到了恶意活动并报告了它，这导致 Cloudflare 删除了滥用的域名。 虽然受此影响的用户数量目前尚不清楚，但 Checkmarx 的报告强调了开源供应链的风险以及开发人员检查其构建模块安全性的重要性。 研究人员认为，IT 安全专业人员应定期监控和审核新代码项目，企业应定期对开发人员开展供应链攻击风险的教育和意识培训。 除了Discord 机器人平台源代码遭遇黑客“投毒”事件外，最近还出现了其他软件供应链安全问题，比如 3 月早些时候有供应商对以色列大学发起了供应链攻击，以及 JetBrains TeamCity 软件开发平台管理器云版本受到攻击，还有去年 9 月份数百个 GitHub 存储库被黑客入侵。 可见机器学习模型的存储库（如 Hugging Face）为威胁行为者提供了将恶意代码注入开发环境的机会，类似于开源存储库 npm 和 PyPI。   转自Freebuf，原文链接：https://www.freebuf.com/news/395869.html 封面来源于网络，如有侵权请联系删除

被追踪为MuddyWater （又名 Mango Sandstorm 或 TA450）的伊朗APT组织与 2024 年 3 月的一次新网络钓鱼活动有关，该活动旨在提供名为 Atera 的合法远程监控和管理 (RMM) 解决方案。 Proofpoint 安全研究人员表示，该活动从 3 月 7 日到 3 月 11 日这一周进行，针对的是跨越全球制造、技术和信息安全领域的以色列实体。 该企业安全公司表示：“TA450 发送的电子邮件带有包含恶意链接的 PDF 附件。” “虽然这种方法对 TA450 来说并不陌生，攻击者最近依赖于直接在电子邮件正文中包含恶意链接，而不是添加此额外步骤。” MuddyWater 被认为是自 2023 年 10 月下旬以来针对以色列组织的攻击活动中，使用了 N-able 的远程管理工具。 这并不是该组织第一次因其依赖合法远程桌面软件来实现其战略目标而受到关注，还观察到使用 ScreenConnect、RemoteUtilities、Syncro 和 SimpleHelp。 最新的攻击链涉及 MuddyWater 嵌入指向 Egnyte、Onehub、Sync 和 TeraBox 等文件共享网站上托管的文件链接。据称，一些以付费为主题的网络钓鱼邮件是从与“co.il”（以色列）域相关的可能已受感染的电子邮件帐户发送的。 在下一阶段，单击 PDF 诱饵文档中的链接将导致检索包含 MSI 安装程序文件的 ZIP 文件，该文件最终会在受感染的系统上安装 Atera Agent远程管理软件。MuddyWater 对 Atera Agent 的使用可以追溯到2022 年 7 月。 MuddyWater 策略发生转变之际，一个名为 Lord Nemesis 的伊朗黑客组织针对以色列学术界发起了软件供应链攻击，对一家名为 Rashim Software 的软件服务提供商进行了攻击。 OP Innovate 安全研究团队在一份报告中称，Lord Nemesis 组织使用从 Rashim 泄露事件中获得的凭证渗透到该公司的多个客户，包括众多学术机构。该组织声称在攻击活动中获得了敏感信息，他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。 Lord Nemesis 通过劫持管理员帐户并利用该公司不完善的多重身份验证 (MFA) 保护来获取 Rashim 基础设施的未经授权的访问权限来获取感兴趣的个人数据。 该公司还于 2024 年 3 月 4 日（即初次泄露事件发生四个月后）向 200 多名客户发送了电子邮件，详细说明了事件的严重程度，攻击者访问 Rashim 系统的确切方法尚未披露。 安全研究员 Roy Golombick 表示：“该事件凸显了第三方供应商和合作伙伴（供应链攻击）带来的重大风险。” “这次袭击突显了国家背景的黑客组织日益增长的威胁，他们以规模较小、资源有限的公司为目标，以此作为推进其地缘政治议程的手段。” “通过成功入侵 Rashim 的管理帐户，Lord Nemesis 黑客组织有效规避了众多组织实施的安全措施，使自己获得更高权限并不受限制地访问敏感系统和数据。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tkwD-AAo5HvRhFzDvT1TaQ 封面来源于网络，如有侵权请联系删除

近日，StrelaStealer 恶意软件发起了大规模的攻击行动，试图窃取电子邮件帐户凭据，行动波及到了美国和欧洲的一百多个组织。 2022 年 11 月，StrelaStealer 被首次披露，它是一种新型信息窃取恶意软件，可从 Outlook 和 Thunderbird 中窃取电子邮件帐户凭据。该恶意软件的一个显著特点是能够使用多文件感染方法来逃避安全软件的检测。当时，StrelaStealer 主要针对西班牙语用户。 但根据 Palo Alto Networks 的 Unit42 最近发布的一份报告显示，StrelaStealer 扩大了其攻击目标，现在以美国和欧洲的组织为目标。 StrelaStealer 是通过网络钓鱼活动传播的，据统计，去年 11 月该组织发起恶意活动的次数显著上升，其中有多次攻击是针对美国 250 多个组织发起的。 根据折线图，可见钓鱼邮件分发量的趋势上升一直持续到了今年年初，Unit42 分析师在 2024 年 1 月底至 2 月初又记录到了大规模的活动。 StrelaStealer 最新攻击数据统计 在此期间，美国遭遇的攻击次数超过了 500 次。 Unit42 表示已确认美国和欧洲至少曾发生了 100 次入侵事件。恶意软件操作员使用英语和其他欧洲国家的语言，并根据需要调整其攻击。 用德语书写的发票主题电子邮件 据统计，该恶意软件的大多数攻击目标都锁定了 “高科技 “领域运营，其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。 攻击目标 新的感染方式 2022年年底，StrelaStealer 的原始感染机制开始演变，但该恶意软件仍使用恶意电子邮件作为主要感染载体。以前，电子邮件会附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件，利用多语言调用 “rundll32.exe “并执行恶意软件有效载荷。 最新的感染链则使用了 ZIP 附件将 JScript 文件植入受害者系统。执行时，脚本会投放一个批处理文件和一个解码为 DLL 的 base64 编码文件。该 DLL 会再次通过 rundll32.exe 执行，以部署 StrelaStealer 有效载荷。 新旧感染链 此外，该恶意软件的最新版本在其包装中采用了控制流混淆技术，使分析复杂化，并删除了 PDB 字符串，以逃避依赖静态签名的工具的检测。 StrelaStealer 的主要功能保持不变：从常用的电子邮件客户端窃取电子邮件登录信息，并将其发送到攻击者的指挥和控制（C2）服务器。 所以如果用户收到声称涉及付款或发票的未经请求的电子邮件时应保持警惕，同时尽量避免下载来自未知发件人的附件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395752.html 封面来源于网络，如有侵权请联系删除

据观察，与朝鲜有关的APT组织Kimsuky（又名 Black Banshee、Emerald Sleet 或 Springtail）改变了策略，利用编译的 HTML 帮助 (CHM) 文件作为载体来传播恶意软件以收集敏感数据。 Kimsuky 至少自 2012 年以来一直活跃，其目标是位于韩国以及北美、亚洲和欧洲的实体。 据 Rapid7 称，攻击链利用了武器化的 Microsoft Office 文档、ISO 文件和 Windows 快捷方式 (LNK) 文件，该组织还利用 CHM 文件在受感染的主机上部署恶意软件。 该网络安全公司以过去观察到的类似间谍活动为由，以适度的信心将这一活动归咎于 Kimsuky。 该公司表示：“虽然 CHM 文件最初是为帮助文档而设计的，但它也被用于恶意目的，例如分发恶意软件，因为它们在打开时可以执行 JavaScript。” CHM 文件在 ISO、VHD、ZIP 或 RAR 文件中传播，打开后执行 Visual Basic 脚本 (VBScript) 以设置持久性并连接到远程服务器释放下一阶段有效负载，以获取敏感数据。 Rapid7 称这些攻击持续且不断演变，针对的是韩国的组织。它还确定了一种替代感染序列，该序列采用 CHM 文件作为起点，删除负责收集信息的批处理文件和连接到 C2 服务器并传输数据的 PowerShell 脚本。 报告称：“作案手法以及代码和工具的重用表明，攻击者正在积极使用和完善/重塑其技术和策略，以从受害者那里收集情报。” 博通旗下的赛门铁克透露，Kimsuky 攻击者正在传播冒充韩国合法公共实体应用程序的恶意软件。 赛门铁克表示：“一旦受到威胁，植入程序就会安装 Endor 后门恶意软件。” “这种威胁使攻击者能够从受害者那里收集敏感信息或安装其他恶意软件。” 值得注意的是，基于 Golang 的 Endor 与 Troll Stealer（又名 TrollAgent）最近被部署用于针对从韩国建筑相关协会网站下载程序的用户。 联合国对朝鲜在 2017 年至 2023 年间实施的 58 起疑似网络攻击进行了调查，这些攻击为朝鲜带来 30 亿美元的非法收入。 报告称：“据报道，侦察总局下属的黑客组织仍在继续发动大量网络攻击。”“趋势包括针对国防公司和供应链，以及越来越多地共享基础设施和工具。” 侦察总局 (RGB) 是朝鲜主要的对外情报机构，由被广泛追踪的Lazarus集团及其下属组织Andariel 、 BlueNoroff以及Kimsuky组成的APT集群组成。 报告进一步补充说：“Kimsuky 对使用生成人工智能（包括大型语言模型）表现出了兴趣，可能用于编码或编写网络钓鱼电子邮件。” “据观察 Kimsuky 使用 ChatGPT。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IgmPU_q726SP5tcqg6WZWw 封面来源于网络，如有侵权请联系删除

近期，安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站，致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。 Sign1 恶意软件活动 从以往的 WordPress 网站攻击案例来看， Sign1 恶意软件可能采用了暴力攻击或者利用了插件漏洞，一旦威胁攻击者获得了网站访问权限，就会立刻使用 WordPress 自定义 HTML 小工具，或者安装合法的 Simple Custom CSS and JS 插件来注入恶意 JavaScript 代码。 通过简单自定义 CSS 和 JS 插件注入 Sign1 恶意软件来源 在对 Sign1 恶意软件详细分析后，Sucuri 指出该恶意软件使用了基于时间戳的随机化生成动态 URL，每 10 分钟就会更新一次，以躲避安全拦截。（威胁攻击者在开展网络攻击前不久才会注册域名，因此域名不在任何拦截列表中） 这些 URL 被用来获取更多的恶意脚本，并在访问者的浏览器中运行。Sucuri 强调，这些域名一开始都是托管在 Namecheap 上，目前威胁攻击者已经将其转移到 HETZNER 上托管了，并且使用了 Cloudflare 进行 IP 地址混淆。 注入的代码采用 XOR 编码和看似随机的变量名，这样就使得安全工具更难检测到恶意软件。恶意代码在执行前还会检查特定的推荐人以及 cookie，其主要目标是谷歌、Facebook、雅虎和 Instagram 等主要网站的访问者，而在其他情况下则处于休眠状态。 此外，代码还会在目标浏览器上创建一个 cookie，这样弹出式窗口对每个访客只显示一次，从而降低了向被入侵网站所有者生成报告的可能性。随后，脚本会将访问者重定向到诈骗网站，例如假冒的验证码，试图诱骗访问者启用浏览器通知。（这些通知会将一些广告直接发送到访问者的操作系统桌面上） 值得注意的是，Sucuri 警告称，Sign1 容易软件在过去六个月中不断演变，每当新版恶意软件发布时，感染率就会激增。 每日下载量 过去 6 个月中，Sucuri 的扫描仪在 39000 多个网站上检测到了 Sign1 恶意软件。随着时间推移， Sign1 恶意软件活动已经变得更加隐蔽，对拦截的抵御能力也更强了。 最后，网络安全专家指出，为了保护网站免受 Sign1 恶意软件的攻击，网站管理员应当尽量使用强大/冗长的管理员密码、将插件更新到最新版本，并当尽快删除不必要的附加组件。   转自Freebuf，原文链接：https://www.freebuf.com/news/395610.html 封面来源于网络，如有侵权请联系删除

作为针对欧洲各地组织的活动的一部分，已经发现了涉及 AceCryptor 工具的数千个新感染，该工具允许黑客混淆恶意软件并将其侵入系统而不被防病毒软件检测到。 2023 年 AceCryptor 检测数量（7 天移动平均值） ESET 的研究人员花了数年时间跟踪 AceCryptor，他们周三发布的报告表示，最近的攻击活动与之前的迭代不同，因为攻击者扩展了内部打包的恶意代码类型。 2023 年下半年 AceCryptor 中打包的恶意软件系列 AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用，这是一种强大的远程监视工具，研究人员已发现该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外，ESET 表示，现在还发现 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。 ESET 根据目标国家/地区发现了一些差异。针对乌克兰的袭击使用了SmokeLoader，而波兰、斯洛伐克、保加利亚和塞尔维亚的袭击则使用了Remcos。 2023 年下半年受 AceCryptor 封装的 Rescom 影响的欧洲国家 “在这些活动中，AceCryptor 被用来针对多个欧洲国家，并提取信息或获得对多家公司的初步访问权限。这些攻击中的恶意软件通过垃圾邮件传播，在某些情况下非常令人信服；有时垃圾邮件甚至是从合法但被滥用的电子邮件帐户发送的。”发现该活动的 ESET 研究员 Jakub Kaloč 说道。 ESET 表示，最近一次行动的目标是获取电子邮件和浏览器凭据，以便对目标公司进行进一步攻击，并补充说，他们看到的绝大多数恶意软件样本都被用作初始攻击向量。 Rescoms 活动的攻击链 ESET 表示，2023 年上半年，受 AceCryptor 打包的恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其，其中秘鲁遭受的攻击最多，达到 4,700 起。 2023年下半年，黑客将攻击重点转向欧洲国家，针对波兰发起了超过26000次攻击。乌克兰、西班牙和塞尔维亚也发生了数千起袭击事件。 “今年下半年，Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族，点击次数超过 32,000 次。其中一半以上的尝试发生在波兰，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。”研究人员表示。 “在此期间，ESET 在波兰总共记录了超过 26,000 起此类攻击。” 对波兰企业的攻击也有类似的主题，涉及为受害公司提供 B2B 服务。黑客试图通过使用真实的波兰公司名称和现有员工姓名来使电子邮件看起来合法。 ESET 表示，目前尚不清楚黑客是否打算为自己收集被盗的凭据或将其出售给其他攻击者。 虽然 ESET 无法识别攻击活动的来源，但与俄罗斯政府关联的黑客已多次使用 Remcos 和 SmokeLoader。 ESET去年指出，2021 年和 2022 年在秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度发现了超过 24 万次检测。   转自杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6GEUuVrmGTNefVA2bxRM7Q 封面来源于网络，如有侵权请联系删除

Crinetics 是一家以对药物发现和开发做出贡献而闻名的美国著名组织，该组织透露，它最近遭遇了网络攻击。一位官方发言人向《网络快报》表示，在发现员工账户中的可疑活动后，该公司迅速对 Crinetics 网络攻击做出了反应。 根据官方声明，Crinetics 立即启动了网络安全事件响应协议，对此事展开全面调查。 此外，该公司还聘请了第三方网络安全专家，并及时通知了执法机构。为了控制这种情况，Crinetics 还在整个组织内实施了强化的安全措施。 解码 Crinetics 网络攻击 在得知 Crinetics 遭受网络攻击后，《网络快报》立即向这家制药公司寻求见解。Crinetics 在回应中披露了发现漏洞后采取的主动措施。 在得知Crinetics遭受网络攻击后，《网络快报》立即进行了求证。在其回应中，Crinetics披露了发现漏洞后采取的主动措施。 “Crinetics最近发现了一名员工帐户中的可疑活动，并立即禁用该帐户。随后，Crinetics启动了网络安全事件响应流程，展开调查，聘请第三方网络安全专家提供支援，并通知了执法部门。此外，该公司还在全公司范围内实施了额外的安全措施，成功遏制了这一事件。”Crinetics 发言人告诉《网络快报》。 尽管受到了网络攻击，Crinetics向利益相关者保证，该事件不会扰乱其运营或损害与发现和研究相关的重要数据库。 “这一事件没有影响公司的运营或其发现和研究数据库。Crinetics 认真对待所有与安全相关的问题，我们致力于进行全面调查，目前正在进行中，并将提供所需的任何法律通知，”官员进一步补充道。 LockBit 勒索软件被击垮 LockBit勒索软件声称对Crinetics Pharmaceuticals进行了网络攻击。然而，这起事件发生在最近执法部门努力瓦解LockBit勒索软件组织的背景下。 由 FBI 牵头的一项名为“克罗诺斯行动”的协作计划对 LockBit 的基础设施造成了重大打击。通过拆除服务器、扣押源代码和破坏数据存储，当局对勒索软件集团的运营造成了严重打击。 对 LockBit 的打击行动跨越了国际边界，英国、美国和欧洲的执法机构查获了超过 35 台与该邪恶组织有关联的服务器。此外，当局还发现了大约 30,000 个与赎金支付相关的比特币钱包，揭示了犯罪集团的规模。 尽管取得了这些重大进展，但与 LockBit 的斗争仍在持续。当局已采取措施限制对知名加密货币交易所的 LockBit 相关账户的访问，但追踪和起诉附属机构仍面临挑战。LockBit 关键成员的难以捉摸的性质使彻底瓦解该集团的努力变得更加复杂。   转自安全客，原文链接：https://www.anquanke.com/post/id/294185 封面来源于网络，如有侵权请联系删除