近期，网络安全研究人员发现，名为 “UAC-0184 “的黑客组织利用隐写图像文件传播 Remcos 远程访问木马（RAT），受害者是一个在芬兰境内运营的乌克兰实体组织。 2023 年末，UAC-0184 威胁组织被趋势科技的研究人员首次观察到 ，主要针对乌克兰武装部队发起网络攻击。 2024 年 1 月初，Morphisec 分析师发现芬兰境内运营的一家乌克兰企业成为了该组织的受害者，这就表明该组织已将目标扩展到乌克兰境外与其战略目标有关联的组织了。 出于保密需求，Morphisec 暂时不能提供有关受害者的详细信息和其它具体攻击细节。 利用图片加载恶意软件 “隐写术”是一种有据可查但很少见的网络攻击策略，威胁攻击者通过将恶意代码编码到图像的像素数据中，从而躲避基于签名规则的解决方案的检测。 通常情况下，图像像素中的小块有效载荷不会导致图像外观出现很明显的改变，但在 Morphisec 观察分析的案例中，图像看起来有明显失真了，这种失真现象很难被直观察觉，只有在人工检查仔细情况下才会有所发现，一旦没有人工检查，就可以轻松躲避自动安全产品的检测。 包含嵌入代码的恶意 PNG 图像 Morphisec 观察到的网络攻击链始于一封精心制作的网络钓鱼电子邮件，该电子邮件来自乌克兰第三突击分队或以色列国防军，上当的受害者一旦打开快捷方式文件附件后，就会立刻触发感染链，启动一个可执行文件（DockerSystem_Gzv3.exe），进而激活一个名为’IDAT’的模块化恶意软件加载器。 IDAT 采用了动态加载 Windows API 函数、HTTP 连接测试、进程阻止列表和系统调用等复杂的技术，来逃避安全检测。为了保持网络攻击的隐蔽性，API 调用不会以明文形式写入代码中，是在运行时使用作为攻击链一部分的解密密钥进行解析。 此外，IDAT 还采用了代码注入和执行模块等独特技术，使其与传统的加载程序不同。IDAT 提取嵌入恶意PNG 图像文件中的编码有效载荷，然后在内存中对其进行解密和执行，最后解密和执行 Remcos RAT。（这是一种商品恶意软件，黑客将其用作被入侵系统的后门，允许隐秘地窃取数据和监控受害者的活动） 最后，Morphisec 强调，IDAT 还能够提供 Danabot、SystemBC 和 RedLine Stealer 等恶意软件，但目前还不清楚这些恶意软件是否出现在了受害者的内部系统中。   转自Freebuf，原文链接：https://www.freebuf.com/news/392677.html 封面来源于网络，如有侵权请联系删除

多家媒体披露，Python 软件包索引（PyPI）资源库中一个“休眠已久”的软件包在两年后突然再次更新了，研究人员发现，威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。 软件供应链安全公司 Phylum 表示，2022 年 4 月，一个为 django-log-tracker 的软件包首次发布出现在 PyPI 上。两年后，网络研究人员重新检测到该库出现异常更新。 研究人员指出，Django-log-tracker 自上线以来已经被其它用户下载了 3866 次，但链接的 GitHub 存储库自 2022 年 4 月 10 日以来没有更新过一次，本次恶意更新表明该库开发者的 PyPI 账户很可能已经被威胁攻击者入侵了。 值得一提的是，恶意版本（1.0.4）在发布当日被下载 107 次。目前，django-log-tracker 软件包已无法从 PyPI 下载。 研究人员在分析后发现，威胁攻击者的恶意更改简单明了，包括从远程服务器（“45.88.180[.] 54”）获取一个名为“Updater_1.4.4_x64.exe”的可执行文件，然后使用 Python os.startfile（）函数启动它。二进制的执行文件嵌入了 Nova Sentinel 窃取恶意软件。（Sekoia 在 2023 年 11 月首次记录到其以虚假 Electron 应用程序的形式，在提供视频游戏下载的虚假网站上疯狂传播） 此外，威胁攻击者在恶意更新中还几乎删除了 django-log-tracker 软件包的大部分原始内容，只留下了 __init__.py 和 example.py 文件。 最后，Phylum 安全研究人员强调，此次 PyPI 软件包传播恶意软件案例有趣之处在于，攻击向量似乎是通过一个受损的 PyPI 账户进行了一次供应链攻击，如果该软件包这是一个非常“流行”的包，那么任何将此包列为依赖项的项目，如果在其依赖项文件中没有指定版本或指定灵活版本，都会获取此包的最新恶意版本。   转自Freebuf，原文链接：https://www.freebuf.com/news/392568.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基的网络安全专家发现了一种专门针对中小型企业新的网络钓鱼活动。 攻击的方式包括利用电子邮件服务提供商(ESP) Twilio SendGrid来访问客户邮件列表，以及利用窃取的凭证发送令人信服的网络钓鱼电子邮件等。 这些电子邮件伪装得十分真实，所以如果收件人收到后没有意识到是钓鱼邮件，极可能会造成其一定的损失。 卡巴斯基在其最新发现中解释说，通过利用 SendGrid 的基础设施，攻击者可以利用收件人对过往发件人来源的信任度，来提高网络钓鱼成功的效果。 这些欺诈性电子邮件通常是伪装成来自ESP的合法消息，提示收件人在增强安全性的幌子下启用双因素身份验证(2FA)。但其提供的链接会将用户重定向到一个模仿SendGrid登录页面的假冒网站，然后在那里获取他们的凭据。 卡巴斯基安全专家Roman Dedenok表示：使用可靠的电子邮件服务提供商对企业的声誉和安全非常重要。但现在有一些骗子学会了伪装，他们往往伪装成提供可靠服务的邮件提供商。所以对企业来说，认真检查您收到的电子邮件至关重要，为了更好地提供保护，请安装可靠的网络安全解决方案。 安全专家还强调称，网络钓鱼者经常利用被劫持的账户，这是因为 ESP 通常会对新客户进行严格检查，而已经发送过大量电子邮件的老账户通常被认为是值得信赖的。 为了降低遭受网络钓鱼攻击的风险，卡巴斯基建议对员工进行基本的网络安全培训，利用具有反钓鱼功能的邮件服务器保护解决方案，并部署端点安全解决方案。 对此，Twilio 发布声明称：假冒网站管理员或其他关键功能已被证明是整个行业中一种有效的网络钓鱼手段，不少黑客对其平台和服务加以滥用，不仅窃取了客户的账户凭证，还利用平台发起了钓鱼攻击，Twilio SendGrid 对此非常重视，安全团队一经发现与网络钓鱼活动有关的账户就立即将其关停。 Twilio 发言人表示：平台鼓励所有终端用户采取多管齐下的方法来打击网络钓鱼攻击，包括双因素身份验证、IP 访问管理和使用基于域的消息传递等。   转自Freebuf，原文链接：https://www.freebuf.com/news/392548.html 封面来源于网络，如有侵权请联系删除

影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户，它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞当时没有 CVE 标识符。第二天，该公司警告说，它已经意识到野外的利用企图。 CVE 标识符现已分配给这两个漏洞：CVE-2024-1709 为身份验证绕过漏洞，CVE-2024-1708 为路径遍历漏洞。 威胁检测和响应公司 Huntress（将这些缺陷称为SlashAndGrab）在概念验证 (PoC) 漏洞利用已经可用后，于 2 月 21 日披露了技术细节。 身份验证绕过漏洞允许攻击者创建具有管理员权限的新帐户。然后可以利用路径遍历来执行任意代码。 有几份报告表明 CVE-2024-1709 被广泛利用，但尚不清楚 CVE-2024-1708 是否也被利用。 Huntress报告称，看到 SlashAndGrab 被利用来传播 LockBit 勒索软件、Cobalt Strike、SSH 隧道、远程管理工具和加密货币挖矿程序。该公司确定的受害者包括地方政府、应急系统和医疗机构。 Sophos 还报告称看到了LockBit 勒索软件的传播，考虑到该网络犯罪企业最近成为了一场极具破坏性的执法行动的目标，这一点很有趣。 Sophos 表示：“尽管针对 LockBit 采取了执法行动，但一些附属机构似乎仍在运行。” 该网络安全公司还发现通过利用 ScreenConnect 漏洞传播 AsyncRAT、各种信息窃取程序和 SimpleHelp 远程访问软件。 非营利网络安全组织 Shadowserver 基金会报告称，截至 2 月 21 日，已发现超过8,200 个暴露于互联网且易受攻击的ScreenConnect 实例。易受攻击实例的比例最高的是美国，其次是加拿大和英国。 Shadowserver 表示：“CVE-2024-1709 在野外被广泛利用——迄今为止，我们的传感器已发现 643 个 IP 受到攻击。” CISA 已将 CVE-2024-1709 添加到其已知被利用的漏洞目录中，并指出该机构已意识到勒索软件攻击中的利用情况。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/v4gwb3Z4PYd4vOSGpSB6nA 封面来源于网络，如有侵权请联系删除

在Joomla内容管理系统中发现了五个漏洞，可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。 CVE-2024-21722 ：当用户的多重身份验证 (MFA) 方法发生更改时， MFA 管理功能 CVE-2024-21723 ：不正确的 URL 解析可能导致开放重定向。 CVE-2024-21724 ：媒体选择字段的输入验证不当会导致各种扩展中存在跨站脚本 ( XSS ) 漏洞。 CVE-2024-21725 ：电子邮件地址的不当转义会导致各种组件中存在 XSS 漏洞，被利用的可能性很高。 CVE-2024-21726 ：过滤器代码中的内容过滤不正确，导致多个 XSS 缺陷。 根据Joomla通报，XSS漏洞CVE-2024-21726影响核心Joomla过滤器组件，被利用的可能性属于中等级别。然而，根据Sonar的说法，该缺陷可用于实现远程代码执行。 攻击者可以通过诱骗管理员单击恶意链接来利用此漏洞。虽然利用需要用户交互，但攻击者可以使用各种技巧来吸引管理员的注意或发起攻击，诱骗某些用户点击恶意链接。 Sonar未透露该漏洞的技术细节，以便让更多的Joomla管理员应用可用的安全更新。Sonar强调立即采取行动降低风险的重要性，并强烈建议所有Joomla用户更新到最新版本。   转自安全客，原文链接：https://www.anquanke.com/post/id/293403 封面来源于网络，如有侵权请联系删除

俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门，可传播名为Konni RAT（又名UpDog）的远程访问木马。 调查结果来自德国网络安全公司 DCSO，该公司将此次活动与源自朝鲜针对俄罗斯的关联黑客联系起来。 Konni（又名 Opal Sleet、Osmium 或TA406）活动集群有针对俄罗斯实体部署 Konni RAT 的既定模式，至少自 2021 年 10 月以来，该组织还与针对 MID 的攻击有关。 2023 年 11 月，Fortinet FortiGuard 实验室披露了使用俄语 Microsoft Word 文档来传播能够从受感染的 Windows 主机获取敏感信息的恶意软件。 DCSO 表示，将 Konni RAT 打包在软件安装程序中是该组织此前于 2023 年 10 月采用的一种技术，当时发现该组织利用名为 Spravki BK 的后门俄罗斯纳税申报软件来分发该木马。 这家总部位于柏林的公司表示：“在这种情况下，后门安装程序似乎是针对名为‘Statistika KZU’（Cтатистика КЗУ）的工具。” “根据安装程序中捆绑的安装路径、文件元数据和用户手册，[…]该软件旨在供俄罗斯外交部 (MID) 内部使用，特别是用于转发年度报告文件从海外领事馆（КЗУ — консульские загранучреждения）通过安全通道发送至 MID 领事部。” 木马安装程序是一个 MSI 文件，启动后会启动感染序列，与命令和控制 (C2) 服务器建立联系，等待进一步指令。 该远程访问木马具有文件传输和命令执行功能，据信早在 2014 年就已投入使用，并且也被其他朝鲜威胁组织Kimsuky 和 ScarCruft（又名 APT37）所利用。 目前尚不清楚攻击者如何设法获取该安装程序，因为该安装程序无法公开获取。但有人怀疑，针对俄罗斯的间谍活动的悠久历史可能帮助他们确定了后续攻击的潜在工具。 尽管朝鲜针对俄罗斯的攻击并不新鲜，但这一事态发展是在两国地缘政治日益接近的情况下发生的。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/PeahlD7rct5V6sxqrR_gjg 封面来源于网络，如有侵权请联系删除

近期有安全研究人员警告称，黑客滥用谷歌云运行服务传播大量银行木马，如Astaroth、Mekotio和Ousaban。 谷歌云运行服务无需管理基础设施或进行扩展，允许用户部署前端和后端服务、网站或应用程序，处理工作负载。 思科Talos研究人员观察到，从2023年9月开始，滥用谷歌服务传播恶意软件的情况大量增加，当时就曾有巴西黑客发起了使用MSI安装文件部署恶意软件有效载荷的活动。 研究人员的报告中指出，谷歌云运行服务近来对网络犯罪分子很有吸引力，因为它成本效益高，而且能够绕过标准的安全拦截和过滤器。 链接到谷歌云运行服务的大量钓鱼电子邮件 攻击链 这些攻击往往是通过发送给潜在受害者的网络钓鱼电子邮件开始，这些电子邮件被伪造成发票、财务报表或当地政府和税务机构信息的合法通信。 研究人员称，由于攻击目标是拉丁美洲国家，因此活动中的大多数电子邮件都使用西班牙语，但也有使用意大利语的情况。 活动中使用的钓鱼电子邮件样本（思科） 这些电子邮件带有重定向到谷歌云运行服务托管的恶意网络服务的链接。 在某些情况下，有效载荷通过 MSI 文件传送。在其他示例中，服务会发出 302 重定向到谷歌云存储位置，该位置存储了包含恶意 MSI 文件的 ZIP 压缩包。 恶意软件分发链（思科） 当受害者执行恶意 MSI 文件时，系统会下载并执行新的组件和有效载荷。 在观察到的案例中，第二阶段的有效载荷传输是通过滥用合法的 Windows 工具 “BITSAdmin “完成的。 最后，恶意软件通过在启动文件夹中添加 LNK 文件（’sysupdates.setup<random_string>.lnk’），配置为执行 PowerShell 命令来执行感染脚本（’AutoIT’），从而在受害者的系统上建立持久性，以便在重启后继续运行。 阿斯塔罗斯的执行链（思科） 黑客利用谷歌云运行服务传播三大银行木马 此次黑客利用谷歌云运行服务传播的三个银行木马分别是： Astaroth/Guildma、Mekotio 和 Ousaban。这些木马都能够隐蔽地渗透系统、建立持久性并外泄敏感的金融数据，这些数据均可用于接管银行账户。 Astaroth 具有先进的规避技术。该恶意软件最初主要针对巴西受害者，但现在的目标是拉丁美洲 15 个国家的 300 多家金融机构。最近，该恶意软件开始利用键盘记录、屏幕捕获和剪贴板监控，Astaroth 不仅能窃取敏感数据，还能拦截和操纵互联网流量以获取银行凭证。 Ousaban与Astaroth或系同个恶意软件家族 除了Astaroth外，Mekotio 也已活跃数年，它以窃取银行凭证、个人信息和进行欺诈性交易而闻名。它还可以操纵网络浏览器，将用户重定向到钓鱼网站。其以往的攻击活动主要集中在拉丁美洲地区。 另外一个Ousaban 银行木马能够进行键盘记录、截图，并利用伪造（即克隆）的银行门户网站对银行凭证进行网络钓鱼。 Cisco Talos指出，Ousaban是在Astaroth感染链的后期阶段发布的，这表明这两个恶意软件家族的操作者之间可能存在合作，或者是这两个恶意软件家族可能是由同一个威胁行为者同时管理的。   转自Freebuf，原文链接：https://www.freebuf.com/news/392271.html 封面来源于网络，如有侵权请联系删除

根据 Experian 的报告显示，有70% 的企业表示近年来因网络欺诈造成的损失有所增加。同时，也有超过一半的消费者认为自己相比去年遇到网络欺诈事件的次数有所增长。 为了在 2024 年有效降低网络欺诈事件的发生频率，企业需要部署更先进的欺诈保护解决方案，并利用数据和技术的力量来降低风险从而更好的保护消费者。 Experian 认为企业和消费者今年需警惕以下五种欺诈威胁： 生成式人工智能加速了 DIY 欺诈行为 生成式人工智能的爆炸式普及为我们的生活带来了许多好处，但同时也给网络欺诈提供了诸多便利。 Experian预测，欺诈者将利用生成式人工智能加速 “自己动手 “的欺诈行为，利用电子邮件、语音和视频等各种深度伪造内容以及代码创建来建立诈骗网站并实施在线攻击。欺诈者还可能利用生成式人工智能来设计 “生命证明 “计划。 欺诈者将使用盗来的身份信息，利用生成式人工智能在社交媒体上创建虚假身份和他人进行互动，最终实施欺诈目的。 这可能会大大增加欺诈攻击事件发生的可能。因此为了保护客户的安全，企业必须尽可能地利用多层次的欺诈预防解决方案，以人工智能对抗人工智能。 消费者仍选择银行分行开户 尽管数字借贷体验已大幅迁移，但许多消费者仍亲自前往银行分行开设新账户或获取金融建议。消费者之所以这样做，是因为他们希望更有安全感，并认为亲临现场可以避免网络安全风险。 在分行核实身份时，可能会出现人为错误或疏忽。根据 Experian 的一份报告，85% 的消费者称物理生物识别是他们最近遇到的最值得信赖和最安全的身份验证方法，但目前只有 32% 的企业使用这种方法来检测和防范欺诈。 Experian 预测，贷款机构将在亲自开户的分行引入更多数字身份验证步骤，如物理生物识别技术，以保护合法客户并减少损失。 零售商遭遇空头退货 随着网络购物的兴起，骗子们找到了骗取零售商和小企业的诈骗新方式。一般都是顾客说要退回购买的商品，但当企业方收到包裹时，发现里面是空的。 这时候顾客会说他们已经退回了产品，肯定是在邮寄过程中丢失了。Experian 预测，2024 年将会有更多的犯罪分子使用这种方法保留商品，从而造成商家的经济损失。 合成身份欺诈将激增 在此前疫情期间，许多欺诈者创建了合成身份，他们通过各种援助计划窃取资金。 Experian 预测，诈骗分子利用这类虚假身份能够更轻松的躲避侦查，极可能利用这些休眠账户窃取资金。企业需要比以往任何时候都更谨慎地审视合作伙伴，避免遭遇虚假身份欺诈。 欺诈者将业务扩展到与慈善事业有关的欺诈和投资欺诈 从虚假的GoFundMe活动、社交媒体赠品、投资机会到短信欺诈，欺诈者通过与事业相关的请求或者低的令人难以置信的优惠引起消费者的注意，以获取消费者重要的个人信息。 Experian 预测，2024 年之后，这类欺骗事件将激增。因此为了避免成为受害者，消费者必须格外谨慎，在与这些机会、慈善机构或短信互动之前，要确认它们的来源。 Experian Decision Analytics 北美首席创新官Kathleen Peters表示：欺诈者可能通过新技术实施更为复杂的欺诈攻击，这将使得企业和消费者在 2024 年面临巨大风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/392164.html 封面来源于网络，如有侵权请联系删除

据多家外媒2月19日报道，一项由11个国家参与、名为“克罗诺斯”的联合执法行动一举”重锤“了臭名昭著的勒索软件组织LockBit，相关基础设施已被查封。 该行动由英国国家犯罪署（NCA）牵头，美国、日本、澳大利亚及欧盟部分成员国参与。目前，LockBit的数据泄露网站已被NCA控制，并在其顶部用醒目的横幅显示“该网站现在处于执法部门的控制之下”。NCA向外界确认：“LockBit 服务已因国际执法行动而中断。这一行动仍将持续。” LockBit网站已被贴上”该网站现在处于执法部门的控制之下“的标语 BleepingComputer还证实，LockBit 用于与受害者“谈判”的网站也已关闭，尽管该团伙的其他活动似乎仍在运行。路透社表示，LockBit在加密应用程序上发布消息称备份服务器未受到执法行动的影响。 目前，该行动的更多信息尚未公开，官方将于欧洲中部时间 2 月 20 日中午举行新闻发布会来透露相关细节。 LockBit：勒索软件中的“扛把子” SecureWorks 反威胁部门副总裁唐·史密斯（Don Smith）以追踪勒索软件团伙为生，他形容这次打击行动“太棒了”，并表示在竞争激烈且残酷的市场中，LockBit 已成为最多产且占主导地位的勒索软件运营商。根据泄露网站的数据，LockBit 占据勒索软件市场 25% 的份额，而最有力的竞争对手BlackCat占有率约为 8.5%。 LockBit首次亮相于2019年9月，在经历过3次重大版本迭代后，到2022年已成为全球最活跃的勒索软件即服务运营商之一。仅在刚刚过去的2023年内，LockBit就针对多家全球巨头企业发起过攻击： 2023年1月：攻击英国最大的邮政企业皇家邮政，并索要8000万美元赎金； 2023年3月：攻击生产公司Maximum Industries的系统后窃取了 SpaceX 的机密数据； 2023年6月：攻击全球最大晶圆代工厂台积电，并索要7000万美元赎金； 2023年10月：攻击技术服务巨头 CDW，并索要8000万美元赎金； 2023年10月：攻击波音并最终泄露43GB内部文件； 2023年11月：攻击中国工商银行美国子公司，导致部分系统中断。   转自Freebuf，原文链接：https://www.freebuf.com/news/392044.html 封面来源于网络，如有侵权请联系删除

2023年11月，ThreatFabric的研究人员发现Anatsa银行木马复苏，该木马也被称为TeaBot或Toddler。在11月到2月之间，该银行木马共发起五波不同的攻击浪潮，每一波都针对不同区域。 在这之前，Anatsa主要针对英国、德国和西班牙，但最新的活动目标是斯洛伐克、斯洛文尼亚和捷克等国家，这表明其运营策略发生了变化。 研究人员认为，Anatsa的行为是“有针对性的”，且最近的攻击主要集中3到5个区域。 据ThreatFabric所述，这些滴管式应用程序（dropper applications）被上传到了目标地区的Google Play商店，并且能在“最新免费应用”分类中跻身前三名，容易让用户误以为这是一款合法且被众多用户下载的应用。 在这场攻击活动中，Anatsa的作案手法已经演变，采取了更高级的策略，包括滥用Android辅助功能服务、实施多阶段感染，并成功绕过了Android 13版本中的安全限制。 一些滴管应用能够有效利用辅助功能服务，绕过Google Play商店的强化检测与防护措施。为了避免被检测到，这些滴管应用分步骤实施策略，能够从其C2（指挥与控制）服务器动态获取配置和恶意文件。 报告进一步指出，这场攻击行动中所有滴管应用都已具备绕开Android 13对辅助服务限制设置的能力。Anatsa支持Android银行木马的常见功能，像其他类似的恶意软件家族一样，滥用辅助功能服务。 以下是该恶意软件实施的功能列表： 能够对多个银行应用发起覆盖攻击（Overlay Attacks），窃取登录凭证和信用卡信息 能够发送/截取/隐藏短信 启用键盘记录功能 能够窃取谷歌验证器的验证码 能够通过辅助服务和实时屏幕共享功能，获得对安卓设备的完全远程控制权 Anatsa银行木马允许操作者接管被感染的设备，并代表受害者执行操作。那么，有效检测和监控恶意应用，并观察客户账户的异常行为，对于识别和调查与Anatsa这类接管型移动恶意软件相关的潜在欺诈案件至关重要。     转自Freebuf，原文链接：https://www.freebuf.com/news/392076.html 封面来源于网络，如有侵权请联系删除