最近在PyPI 开发人员的公共存储库中发现了三个能够在受感染的Linux设备上部署加密货币挖矿程序的恶意软件包，分别名为“modularseven”、“driftme”和“catme”。这三个软件包引起了安全专家的注意，在上个月从网站上被删除之前，这些软件包已经被下载了 431 次。 Fortinet 的研究员 Gabby Xiong表示， 这些软件包在第一次使用时会将 CoinMiner 可执行文件部署到 Linux 设备上。 恶意代码位于文件“__init__.py”中，该文件从远程服务器解码并提取第一阶段 （ 是一个 shell 脚本（“unmi.sh”）），用于加载挖矿配置文件以及CoinMiner 文件托管在GitLab上。 然后使用“nohup”命令在后台执行 ELF 二进制文件，确保进程在会话注销后继续运行。 Siong 指出，这些软件包与之前类似活动中的“culturestreak”一样，隐藏了有效负载，从而降低了通过将其放置在远程 URL 上来检测恶意代码的可能性。随后，有效负载会分阶段下载到受害者的计算机上以执行恶意活动。 这与之前的“culturestreak”包有一个相同点：配置文件托管在“papiculo[.]net”域上，并且挖掘可执行文件并托管在公共 GitLab 存储库中。 这三个被检测到的恶意软件包会隐藏 shell 脚本中的恶意意图，这有助于逃避防病毒软件的检测。 此外，Siong指出，该恶意软件将恶意命令插入到“~/.bashrc”文件中，这确保了恶意软件在用户设备上能够长时间潜伏并能被重新激活，从而使黑客从中获益。 转自安全客，原文链接：https://www.anquanke.com/post/id/292435 封面来源于网络，如有侵权请联系删除

安全研究人员深入研究 SpectralBlur 的内部运作方式，发现这是一个新的 macOS 后门，似乎与最近发现的朝鲜恶意软件系列 KandyKorn 有关。 观察到的 SpectralBlur 样本最初于 2023 年 8 月上传到 VirusTotal，但仍未被防病毒引擎检测到，直到本周才引起研究人员的注意。 该恶意软件最初由安全研究员 Greg Lesnewich 进行了剖析，他得出的结论是，该恶意软件包含了通常在后门中常见的功能，例如文件上传/下载、文件删除、shell 执行、配置更新和睡眠/休眠。 Lesnewich 在报告中指出，这些操作是根据从命令与控制 (C&C) 服务器收到的命令执行的。他解释说，与服务器的通信是通过 RC4 封装的套接字进行的。 Lesnewich 对后门的分析揭示了与KandyKorn的相似之处，KandyKorn 是 macOS 后门，朝鲜黑客组织Lazarus 最近在针对加密货币交易平台的攻击中使用了该后门。 KandyKorn 是一种先进的植入程序，旨在逃避检测并为黑客提供监视受感染设备并与之交互的能力。 Lesnewich 指出，SpectralBlur 和 KandyKorn 似乎是来自不同开发人员的恶意软件系列，但它们是根据相同的要求构建的。 Lesnewich 发表研究结果后，Objective-See 的安全研究员 Patrick Wardle 也对 SpectralBlur 进行了分析（https://objective-see.org/blog/blog_0x78.html），得出了类似的结论：该后门包含标准后门功能，与网络通信、文件和进程操作以及其自身配置相关。 初始化后，恶意软件执行解密/加密其配置和网络流量的功能，然后继续执行旨在阻碍分析和检测的各种操作。 根据 Wardle 的说法，SpectralBlur 使用伪终端来执行从 C&C 接收到的 shell 命令，并被设计为在打开文件并用零覆盖其内容后擦除文件。 Lesnewich 和 Wardle 似乎都相信 SpectralBlur 是 Lazarus 武器库中的另一个 macOS 后门，Lazarus 是一个著名的朝鲜黑客组织，至少自 2009 年以来一直活跃。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vpT_DcZ5CEKmWXOJjFNSRA 封面来源于网络，如有侵权请联系删除

不知名的黑客组织至少在过去 11 个月内一直向美国境内被的选定目标传送 AsyncRAT 恶意软件，该黑客组织使用了数百个独特的加载程序样本和 100 多个域。 AsyncRAT 是一款适用于 Windows 的开源远程访问工具 (RAT)，自 2019 年起公开发布，具有远程命令执行、键盘记录、数据泄露和删除额外负载的功能。 多年来，无论是该工具的原版还是修改后的版本，已频繁地被网络犯罪分子用于在目标上搭建立足点、窃取文件和数据以及部署其他恶意软件。 微软安全研究员Igal Lytzki 去年夏天发现了通过劫持电子邮件线程进行的攻击，但无法检索最终的有效负载。 9 月，AT&T 的 Alien Labs 研究人员团队注意到“针对某些公司的特定个人的网络钓鱼电子邮件激增”并开始调查。 “受害者及其公司都是经过精心挑选的，以方便扩大该活动的影响。一些已确定的目标管理着美国的关键基础设施。”——AT &T Alien Labs 这些攻击首先会发送是一封带有 GIF 附件的恶意电子邮件，该附件会生成一个 SVG 文件，该文件会下载经过混淆处理的 JavaScript 和 PowerShell 脚本。 通过一些反沙箱检查后，加载程序与命令和控制 (C2) 服务器进行通信，并确定受害者是否有资格感染 AsyncRAT。 部署 AsyncRAT (AT&T)的第 3 阶段脚本 硬编码的 C2 域托管在 BitLaunch 上，该服务允许使用加密货币进行匿名支付，这对黑客来说是一个非常有用的选择。 如果加载程序确定它在分析环境中运行，它就会部署诱饵有效负载，这可能是为了误导安全研究人员和威胁检测工具。 感染链 （AT&T） 加载程序使用的反沙箱系统涉及通过 PowerShell 命令执行的一系列验证，这些验证会检索系统信息详细并计算分数以指示其是否在虚拟机中运行。 AT&T Alien Labs 确定黑客在过去 11 个月内使用了 300 个独特的加载程序样本，每个样本都对代码结构、混淆以及变量名称和值进行了微小的更改。 随着时间线看到的独特加载程序样本 (AT&T) 研究人员的另一个观察结果是黑客使用了域生成算法 (DGA)，该算法每周日都会生成新的 C2 域。 根据 AT&T Alien Labs 的调查结果，该活动中使用的域名遵循特定的结构：位于“顶级”TLD，使用八个随机字母数字字符，在 Nicenic.net 中注册，使用南非作为国家/地区代码，并且是托管在 DigitalOcean 上。 域生成逻辑 (AT&T) AT&T 能够解码域名生成系统背后的逻辑，甚至预测 2024 年 1 月将生成并分配给恶意软件的域名。 研究人员并未将这些攻击归因于特定对象，Alien Labs 团队提供了一组检测指标（IOCs）以及Suricata网络分析和威胁检测签名，企业、机构可以使用这些软件来检测与此 AsyncRAT 活动相关的入侵活动。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Gr1K8bwFeP4fpFd_Kp6yrw 封面来源于网络，如有侵权请联系删除

KELA 发现黑客仅仅以 500 美元出售 Zeppelin 勒索软件工具源代码及其破解版。截止目前，尚未验证该黑客提供的软件是否合法，但据卖方截图显示，该软件包是真实存在。 购买了该软件包的人可以利用该软件启动一个新的RaaS操作，或基于Zeppelin开发新加密软件。  黑客论坛上的帖子宣传Zeppelin源代码售价500美元 RET（Zeppelin源代码和构建工具销售者）声明其非软件原作者，仅破解了构建工具。 该产品将专卖给一个买家，在交易完成前将暂停销售。 构建工具的截图 2022年11月，Zeppelin RaaS停止运营后，执法机关和安全研究人员披露了 Zeppelin加密系统的漏洞，成功开发了解密工具以援助自2020年起的受害者。 但截止目前，此次事件版本中的漏洞暂未被修复。 Zeppelin 勒索软件 Zeppelin 是基于 Delph i编程语言开发的 Vega/VegaLocker 恶意软件家族的分支，该家族在2019年至2022年间较为活跃。该软件曾用于实施双重勒索攻击，有时要求的赎金高达 100 万美元。 2021年，经过重大更新后，原版 Zeppelin 勒索软件的最高售价达 2,300 美元。其 RaaS（勒索软件即服务）模式下，附属方获得 70% 的赎金分成，剩余30% 归开发者所有。 2022年夏，FBI曽警告Zeppelin勒索软件黑客已采用新策略，实施多轮加密。 消息来源：bleepingcomputer，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

SecurityScorecard 的网络安全专家发现了 一种名为 Menorah 的计算机病毒新变种，其目标是中东的组织。今年 10 月， 趋势科技首次 发现并分析了 它。 Menorah 病毒渗透到公司的计算机系统并在那里牢牢扎根。该恶意软件允许攻击者完全控制网络上受感染设备的信息。 据信，伊朗黑客组织 OilRig（也称为 APT34）负责 Menorah 的开发和分发。该组织经常以中东的组织为目标。 Menorah 的功能之一是它会在受感染计算机的系统中创建一个所谓的“互斥体”，这保证了该设备上只会运行一份病毒副本。这增加了系统中恶意软件的保密性并减慢了其检测速度。 此外，Menorah 收集公司网络上的计算机和用户的名称，从中计算特殊标识符，并将其发送给攻击者。 分析人士指出，该病毒的功能使黑客能够完全访问受攻击公司员工的机密文件、信件和个人数据。 专家建议该地区信息安全组织的管理人员和普通专家提高警惕，并采取额外措施保护企业系统免受网络攻击。 转自安全客，原文链接：https://www.anquanke.com/post/id/292272 封面来源于网络，如有侵权请联系删除

黑客正在利用一种新的恶意软件加载器来传送各种信息窃取程序，例如 Lumma Stealer（又称 LummaC2）、Vidar、RecordBreaker（又称 Raccoon Stealer V2）和 Rescoms。 网络安全公司 ESET 正在追踪这个木马，并将其命名为 Win/TrojanDownloader.Rugmi。 公司在 2023 年下半年的威胁报告中说道：“这个恶意软件是一个包含三种组件的加载器：一个下载器用于下载加密的有效负载，一个加载器用于从内部资源运行有效负载，以及另一个加载器用于从磁盘上的外部文件运行有效负载。” 公司收集的数据显示，对 Rugmi 加载器的检测在 2023 年 10 月和 11 月激增，从每天个位数增加到每天数百次。 Stealer malware 通常以恶意软件即服务（MaaS）的模式向其他黑客提供订阅服务。例如，Lumma Stealer 在地下论坛中以每月 250 美元的价格进行宣传。最昂贵的方案售价为 20,000 美元，但它也赋予客户访问源代码和出售的权限。 有证据表明，与 Mars、Arkei 和 Vidar stealers 相关联的代码库已被重新利用以创建 Lumma 。 除了持续调整其策略以规避检测外，这款现成的工具还通过多种方式进行分发，包括恶意广告、虚假浏览器更新，以及破解安装流行软件如 VLC 媒体播放器和 OpenAI ChatGPT。 趋势科技在2023年10月披露：“该技术涉及利用 Discord 的内容传送网络（CDN）来托管和传播恶意软件。” 这包括利用随机和受损的 Discord 帐户的组合向潜在目标发送直接消息，向他们提供10美元或 Discord Nitro 订阅以换取他们在一个项目上的帮助。 同意此提议的用户随后被敦促下载托管在 Discord CDN上的可执行文件，伪装成 iMagic Inventory，但实际上包含 Lumma Stealer 的有效载荷。 “现成的恶意软件解决方案促进了恶意活动的蔓延，因为它们使得恶意软件甚至可供技术可能较差的黑客使用。” ESET 表示。 “提供更广泛的功能将使Lumma Stealer成为更具吸引力的产品。” McAfee Labs披露了 NetSupport RAT 的一个新变种，该变种来自其合法的前身 NetSupport Manager，此后被初始访问代理用于收集信息并对感兴趣的受害者执行其他操作。 McAfee表示“感染始于被混淆的JavaScript文件，这些文件充当恶意软件的初始入口点” ，并强调了“黑客不断演变的策略”。 JavaScript 文件的执行通过运行 PowerShell 命令从受黑客控制的服务器检索远程控制和窃取器恶意软件，推动了攻击链的进展。该攻击活动的主要目标包括美国和加拿大。 消息来源：The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

国际特赦组织证实了苹果公司在 10 月底发出的警告——印度政府正在使用臭名昭著的 Pegasus 间谍软件针对记者和反对派。 10 月底，苹果公司警告印度记者和反对派政界人士，政府正在针对 iPhone 发起持续的APT攻击。 来自印度反对党的六名印度议员表示，他们收到了苹果手机发出的威胁通知，几位知名记者也是如此。 印度政府对此反应强烈，政府官员公开质疑苹果公司的调查结果，称该公司的算法有错误，并宣布对苹果设备的安全性进行调查。 《华盛顿邮报》还表示，印度官员愤怒地敦促苹果驻印度代表撤回这些警告。 但苹果公司已经对 Pegasus 间谍软件的创建者以色列公司 NSO Group 提起诉讼。 印度政府并没有公开证实或否认使用 Pegasus 间谍软件工具。但现在，活跃于全球的非营利组织国际特赦组织表示，它在印度著名记者的 iPhone 上发现了侵入性间谍软件。 国际特赦组织的声明称，国际特赦组织安全实验室的取证调查证实，《火线报》创始编辑 Siddharth Varadarajan 和有组织犯罪与腐败报告项目 (OCCRP) 南亚编辑阿南德·曼纳勒 (Anand Mangnale) 均在最近受到 Pegasus 攻击的记者之列。在 2023 年 10 月，他们发现自己的 iPhone 被安装了间谍软件。 该组织还声称，这一消息是在印度当局对和平言论和集会自由进行“前所未有的镇压”之际发布的。 “我们的最新调查结果表明，印度记者们仅仅因为他们的工作正面对越来越多的非法威胁，以及其他镇压手段，包括根据严厉的法律实施的监禁、诽谤、骚扰和恐吓。”国际特赦组织的安全实验室在调查报告中写道。 “尽管屡次被揭露，但印度对 Pegasus 间谍软件的使用缺乏问责，这只会加剧这些侵犯人权行为有罪不罚的感觉。” 国际特赦组织的安全实验室对世界各地收到这些通知的个人（包括 Varadarajan 和 Mangnale）的手机进行取证分析。该组织在两名印度记者拥有的设备上发现了 Pegasus 间谍软件活动的痕迹。 研究人员从 Mangnale 的设备中找到了零点击漏洞的证据，该漏洞于 2023 年 8 月 23 日通过 iMessage 发送到他的手机，旨在秘密安装 Pegasus 间谍软件。该手机运行的是当时最新的 iOS 16.6 版本。 零点击漏洞利用是指无需目标用户执行任何操作（例如单击链接）即可将间谍软件安装在设备上的恶意软件。 国际特赦组织在声明中再次呼吁所有国家禁止使用和出口高度侵入性间谍软件。不过，印度被单独挑了出来。 国际特赦组织表示：“为了确保透明度，印度当局还应公开披露与私人监控公司（包括 NSO 集团）之前、当前或未来签订的任何合同的信息。” 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Jqt8iTBBkf484IqTQ-9H5Q 封面来源于网络，如有侵权请联系删除

McAfee 移动研究团队发现了一个名为 Xamalicious 的新型安卓后门，它能够完全控制设备并执行欺诈行为。该恶意软件是利用 Xamarin 实现的，这是一个开源框架，允许使用 .NET 和 C# 构建安卓和 iOS 应用程序。 Xamalicious 通过社会工程学手段获取辅助功能权限，然后连接到 C2 以评估是否下载第二阶段的有效载荷。恶意有效载荷在运行时以装配 DLL 的形式动态注入，以完全控制设备并执行广泛的欺诈行为，例如点击广告和安装应用程序。 第二阶段的有效载荷利用在第一阶段获得的强大辅助功能服务来完全控制被感染设备。恶意代码还支持主 APK 的自更新机制，使威胁非常多样化。 专家们发现了 Xamalicious 与广告欺诈应用“Cash Magnet”之间存在联系，黑客利用此应用控制设备点击广告、安装应用程序和执行其他操作以获取收入。 研究人员认为，黑客出于经济动机开发了该后门软件。 使用 Xamarin 框架使得黑客能够长时间不被发现。他们还采用了各种混淆技术和定制加密，以避免被检测。 McAfee 发现了大约 25 个不同的恶意应用，其中一些自 2020 年年中以来就已经被上传到 Google Play。谷歌已经迅速将这些恶意软件应用从 Google Play 上移除。 “根据这些应用的安装数量，它们可能已经在 Google Play 上损害了至少 32.7 万台设备，还有从第三方市场下载的安装，这些市场根据 McAfee 客户在全球范围内的检测数据不断产生新的感染。” McAfee 发布的报告中写道。“Android/Xamalicious 木马应用与健康、游戏、星座和生产力相关。这些应用中的大多数仍然可以在第三方市场上下载。” 为了规避分析和检测，该恶意软件对所有的 C2 通信进行了加密。这种加密不仅限于 HTTPS 保护，还利用了 RSA-OAEP 和 128CBC-HS256 算法加密的 JSON Web Encryption（JWE）令牌。然而，研究人员注意到 Xamalicious 使用的 RSA 密钥值是硬编码在反编译的恶意 DLL 中的，这使得在分析期间如果 C2 基础架构是可访问的，就可以解密传输的信息。 大多数感染发生在美国、巴西、阿根廷、英国、西班牙和德国。 “使用 Flutter、React Native 和 Xamarin 等非 Java 代码编写的 Android 应用会为恶意软件作者提供额外的混淆层，他们有意选择这些工具以避免被检测，并试图保持在安全供应商的监测范围之外，从而保证这些恶意软件不被移除。” 报告总结道。“在一般情况下，建议用户不要使用需要辅助访问权限的应用程序，除非出于特定需求。如果一个应用程序试图在没有充分理由的情况下激活辅助功能，并且要求用户忽略操作系统的安全警告，那么这个应用程序可能存在重大安全风险。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 已发现一种新的 Android 后门，该后门具有强大的功能，可以在受感染的设备上执行一系列恶意操作。 该恶意软件被 McAfee 移动研究团队称为 Xamalicious ，之所以如此命名，是因为它使用名为 Xamarin 的开源移动应用程序框架开发，并滥用操作系统的可访问性权限来实现其目标。 它还能够收集有关受感染设备的元数据，并联系命令和控制（C2）服务器以获取第二阶段有效载荷，但前提是要确定它是否符合要求。 安全研究员 Fernando Ruiz 说，第二阶段是“在运行时级别动态注入程序集DLL，以完全控制设备，并可能执行欺诈行为，例如点击广告，安装应用程序，以及其他未经用户同意出于经济动机的行为。” 这家网络安全公司表示，它确定了 25 个带有这种主动威胁的应用程序，其中一些应用程序自 2020 年中期以来在官方 Google Play 商店中分发。据估计，这些应用程序至少被安装了 327,000 次。 大多数感染报告发生在巴西、阿根廷、英国、澳大利亚、美国、墨西哥以及欧洲和美洲其他地区。下面列出了一些应用程序 ： Essential Horoscope for Android (com.anomenforyou.essentialhoroscope) 3D Skin Editor for PE Minecraft (com.littleray.skineditorforpeminecraft) Logo Maker Pro (com.vyblystudio.dotslinkpuzzles) Auto Click Repeater (com.autoclickrepeater.free) Count Easy Calorie Calculator (com.lakhinstudio.counteasycaloriecalculator) Sound Volume Extender (com.muranogames.easyworkoutsathome) LetterLink (com.regaliusgames.llinkgame) NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS (com.Ushak.NPHOROSCOPENUMBER) Step Keeper: Easy Pedometer (com.browgames.stepkeepereasymeter) Track Your Sleep (com.shvetsStudio.trackYourSleep) Sound Volume Booster (com.devapps.soundvolumebooster) Astrological Navigator: Daily Horoscope & Tarot (com.Osinko.HoroscopeTaro) Universal Calculator (com.Potap64.universalcalculator) Xamalicious 通常伪装成健康、游戏、星座和生产力应用程序，是滥用 Android 辅助功能服务的一长串恶意软件系列中的最新一个。这种软件在安装时会请求用户授权辅助功能权限，以执行其任务。     “为了逃避分析和检测，恶意软件作者加密了 C2 和受感染设备之间传输的所有通信和数据，不仅受到 HTTPS 保护，还使用 RSA-OAEP 和 128CBC-HS256 算法将其加密为 JSON Web 加密（JWE）令牌”，Ruiz 指出。 更令人不安的是，第一阶段的 dropper 包含自我更新主 Android 软件包（APK）文件的功能，这意味着它可以被武器化，以充当间谍软件或银行木马，而无需任何用户交互。 McAfee 表示，它发现了 Xamalicious  与名为 Cash Magnet 的广告欺诈应用程序之间的联系，该应用程序促进了应用程序下载和自动点击活动，通过点击广告非法赚取收入。 “使用非 Java 代码编写的 Android 应用程序以及 Flutter、react native 和 Xamarin 等框架可以为恶意软件作者提供额外的混淆层，这些作者故意选择这些工具来避免检测，并试图保持在安全供应商的雷达之下，保持他们在应用程序市场上的存在”，Ruiz 说。 Android 网络钓鱼活动使用银行家恶意软件针对印度 此次披露之际，这家网络安全公司详细介绍了一项网络钓鱼活动，该活动使用 WhatsApp 等社交消息应用程序来分发冒充印度国家银行（SBI）等合法银行的恶意 APK 文件，并提示用户安装它们以完成强制性的客户身份验证（KYC）程序。 安装后，该应用程序会要求用户授予其与短信相关的权限，并重定向到一个虚假页面，该页面不仅捕获受害者的凭证，还捕获他们的帐户、信用卡/借记卡和国民身份信息。 收集的数据与截获的 SMS 消息一起被转发到参与者控制的服务器，从而允许对手完成未经授权的交易。 值得注意的是，微软上个月警告了一场类似的活动，它利用 WhatsApp 和 Telegram 作为分发渠道，针对印度在线银行用户。 研究人员 Neil Tyagi 和 Ruiz 表示：“印度强调了这种银行恶意软件在该国数字环境中构成的严重威胁，我们在世界其他地方发现了一些攻击，可能来自居住在其他国家的印度 SBI 用户。”   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络犯罪组织 UAC-0099 继续攻击乌克兰，利用WinRAR中的漏洞传播 LONEPAGE 恶意软件。 据网络安全公司 Deep Instinct 称，攻击的主要目标是在国外工作的乌克兰员工。UAC-0099 组于 2023 年 6 月首次由乌克兰计算机应急响应小组 (CERT-UA) 发现。值得注意的是，这些攻击是针对政府组织和媒体的，目的是从事间谍活动。UAC-0099 组织还在 2022 年至 2023 年期间获得了对乌克兰数十台计算机的未经授权的远程访问。 这些攻击是使用包含 HTA、RAR 和 LNK 附件的网络钓鱼消息进行的，这会导致部署 LONEPAGE，这是一种 Visual Basic Script (VBS) 恶意软件，能够与命令和控制服务器通信以获取其他恶意软件，例如键盘记录程序、信息窃取程序和截屏程序。   UAC- 0099 攻击链 Deep Instinct 的最新分析表明，利用 HTA 附件只是三种不同感染方法之一。另外两个包括自解压 (SFX) 档案和带有诱饵文档的 ZIP 档案。LONEPAGE 分发 ZIP 文件利用 WinRAR 漏洞（ CVE-2023-38831 ，CVSS 评分：7.8），该漏洞允许攻击者在用户尝试查看 ZIP 存档中的安全文件时执行任意代码。 在一种情况下，SFX 文件包含伪装成传票 DOCX 文件的 LNK 快捷方式，并使用 Microsoft 写字板图标来诱骗受害者打开它。该攻击导致恶意 PowerShell 代码的执行和 LONEPAGE 的设置。 另一种攻击使用特制的 ZIP 存档，该存档容易受到 CVE-2023-38831 的攻击。Deep Instinct 于 2023 年 8 月 5 日发现了由 UAC-0099 创建的两个此类文件，即 WinRAR 开发人员发布该漏洞修复程序三天后。 根据 Deep Instinct 的说法，UAC-0099 使用的策略简单但有效。尽管初始感染的方法不同，但感染的基础仍然相同：它基于使用 PowerShell 并创建执行 VBS 文件的计划任务。 使用复杂的感染方法，包括流行的 WinRAR 软件中的漏洞，展示了 UAC-0099 组织的高水平准备。公共和私营部门保持警惕并加强安全措施的必要性变得越来越明显。这一事件凸显了不断更新和加强防御系统以防止未来网络攻击和保护国家数字基础设施的重要性。   转自安全客，原文链接：https://www.anquanke.com/post/id/292171 封面来源于网络，如有侵权请联系删除