网络安全公司 Flare  与 BleepingComputer 分享的一份报告显示，在对暗网和 Telegram 渠道上出售的近 2000 万条泄密数据日志进行分析后，发现信息窃取恶意软件已实现了对商业环境的严重渗透。 信息窃取程序是一种恶意软件，可窃取存储在 Web 浏览器、电子邮件客户端、即时消息、加密货币钱包、FTP 客户端和游戏服务等应用程序中的数据。被盗信息被打包到称为“日志”的档案中，然后将其上传回攻击者用于下一步攻击或在网络犯罪市场上出售。 报告发现，有37.5万 个日志包含对几个主流业务应用程序的访问权限，包括： 17.9万 个 AWS 控制台凭证 2300 个 Google Cloud 凭据 6.45万 个 DocuSign 凭据 1.55万 个 QuickBooks 凭证 2.3万个 Salesforce 凭证 6.6万 个 CRM 凭证 此外还有大约 4.8万 个日志包括对“okta.com”的访问，这是组织用于云和本地用户身份验证的企业级身份管理服务。 这些日志中有74% 发布在 Telegram 频道上，而 25% 的日志在和俄罗斯有关的市场。Flare 报告描述称，包含企业访问权限的日志在俄罗斯市场和 VIP Telegram 频道上的比例过高，这表明攻击者用来获取日志的方法可能无意或有意地针对更多企业。而在一些公开的Telegram 频道可能会故意发布价值较低的日志，为付费客户保留高价值的日志。 Flare 还发现了20多万多个包含 OpenAI 凭证的日志，是 Group-IB 最近报告数量的两倍，这些日志存在泄漏专有信息、内部业务战略、源代码等的风险。 Flare 研究员 Eric Clay 解释道：“根据来自暗网论坛 Exploit 的证据，我们认为通过初始访问代理极有可能使用窃取的日志作为主要来源，以在企业环境中获得初步立足点，然后在顶级暗网论坛上进行拍卖。”     转自Freebuf，原文链接:https://www.freebuf.com/news/373101.html 封面来源于网络，如有侵权请联系删除

近几个月来，伴随着 ChatGPT 的热度暴涨，OpenAI 也不断因 AI 的道德问题和数据安全隐患遭到多方质疑，甚至上周还受到了美国联邦贸易委员会（FTC）的正式调查——这也是美国监管机构首次正式发起对 AI 聊天机器人风险的审查。 而正当 OpenAI 因 ChatGPT 疲于应对各方审查时，一款“没有道德界限或限制”的「邪恶版 ChatGPT」悄然在网络上蔓延：WormGPT。 （图片来源：Hacking forum） 「邪恶版 ChatGPT」，每月 60 欧元 根据网络安全公司 SlashNext 博客报道，其团队在研究生成式 AI 在网络犯罪方面的潜在风险时，偶然发现了 WormGPT：“我们最近通过一个与网络犯罪有关的著名在线论坛获得了一个名为 ‘WormGPT’的工具，它是一个 GPT 模型的黑帽替代品。” 据了解，WormGPT 的收费标准是每月 60 欧元（约人民币 479 元），而 SlashNext 对 WormGPT 的形容是：“专为恶意活动而设计”，简直是“网络罪犯的武器库”。 WormGPT 由一位胆大的黑客设计，他写道：“这个项目（WormGPT）旨在提供 ChatGPT 的替代方案，让你做各种非法的事情，你能想到的所有与黑帽相关的事情，都可以用 WormGPT 完成。”为了证明他的说法，他还上传了相关截图，显示用户可要求机器人生成用 Python 编码语言编写的恶意软件。 WormGPT 基于 2021 年开源的 LLM GPT-J 模型开发，工作方式与 ChatGPT 大致相同：可处理人类自然语言提出的要求，并输出所要求的任何内容，包括故事、摘要和代码。但与 ChatGPT 或 Bard 不同的是，WormGPT 不用像 OpenAI 或谷歌这样的大型公司那样，必须要承担相关的法律义务。 据 SlashNext 介绍，WormGPT 在各种数据源上进行训练，尤其集中在恶意软件相关的数据上，加上输出没有道德限制，可以被要求执行各种恶意任务，包括创建恶意软件和“一切与黑帽有关的事情”，对于网络犯罪分子而言无疑是一大利器。 对于 WormGPT，NordVPN 网络安全专家 Adrianus Warmenhoven 的评价是“ChatGPT 的邪恶双胞胎”，因为它显然是从 OpenAI 对 ChatGPT 不断施加限制、而攻击者极力规避这些限制才衍生出来的。 为了全面评估 WormGPT 相关的潜在危险，SlashNext 团队进行了以 BEC 攻击（商业电子邮件泄露，一种通过电子邮件进行的社会工程学攻击，攻击者一般会伪造电子邮件消息以诱骗受害者执行某些操作）为重点的测试：“在一次实验中，我们要求 WormGPT 生成一封电子邮件，内容是向毫无戒心的账户经理施压，迫使其支付虚假发票。” WormGPT 的输出结果令 SlashNext 直呼危险：“结果令人非常不安。WormGPT 生成的电子邮件不仅极具说服力，而且在战略上也非常狡猾，展示了它在复杂的网络钓鱼和 BEC 攻击中的无限潜力。” AI 加持下，新手将轻易实现诈骗 通过上面这个测试，SlashNext 总结道，类似于 WormGPT 这样的生成式 AI 技术可能会带来巨大威胁，因为有了这类工具的加持后，就连网络犯罪新手都能轻易实现诈骗。 以 BEC 攻击为例，使用生成式 AI 具有以下两大优势： （1）卓越的语法：生成式 AI 可以创建在语法上无懈可击的电子邮件，使其看起来合法合理，被系统标记为可疑邮件的可能性会大幅降低。 （2）降低犯罪门槛：生成式 AI 的出现，极大简化了原本复杂的 BEC 攻击，即便是技术有限的攻击者也能使用生成式 AI，它将成为越来越多网络犯罪分子可以使用的工具。 不过同时，针对生成式 AI 可能引发的大范围 BEC 攻击，SlashNext 也建议了两种防范策略： （1）进行 BEC 专项培训：公司应制定广泛的、定期更新的培训计划，以应对 BEC 攻击，尤其是由 AI 增强的攻击，要让员工了解到 BEC 攻击的威胁，以及 AI 将如何加大这种威胁的原理。 （2）强化电子邮件的验证措施：为防范 AI 驱动的 BEC 攻击，企业应执行严格的电子邮件验证流程，例如当有来自组织外部的电子邮件冒充内部高管或供应商时，系统要自动发出警报等。 AI 领域仍存在不少挑战和局限性 而事实上，除了上文提到的 WormGPT 编写恶意软件、助力 BEC 攻击以外，上个月 ChatGPT 的“奶奶漏洞”也证实了一个事实：尽管 OpenAI 等公司都对 AI 技术做出了许多限制措施，但目前还是无法完全避免这类漏洞的出现。 上个月，一位名为 Sid 的用户发现，只要让 ChatGPT 扮演其过世祖母讲睡前故事，就能顺利骗出 Windows 10 Pro 密钥。 经过Sid 的分享后，越来越多用户发现了这个漏洞，并开始尝试欺骗 ChatGPT 报出 Windows 11 序列号，其中许多人都成功了。据了解，虽然这些密钥大多是无效的，但有少量序列号也确实是真实可用的。 不论是 ChatGPT 的“奶奶漏洞”，还是“网络犯罪分子专用”的 WormGPT 的出现，都证明了至少现阶段 AI 领域仍存在不少挑战和局限性。为此，一方面，研究人员需继续深入相关技术，在提高数据质量、优化算法的同时，充分考虑伦理道德层面的影响。另一方面，作为用户的我们也应时刻保持谨慎，避免对 AI 产生过度依赖。     转自Freebuf，原文链接:https://www.freebuf.com/news/373009.html 封面来源于网络，如有侵权请联系删除

黑客组织 Lazarus 正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。 GitHub 提醒称，朝鲜国家黑客组织 Lazarus 正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。 Lazarus 组织又被微软威胁情报部门称为 Jade Sleet，被CISA 称为 TraderTraitor。美国政府机构在2022年发布报告详述了威胁行动者所使用的技术。 Lazarus 黑客组织长久以来攻击密币公司和网络安全研究人员，实施网络间谍活动并窃取密币。 以恶意软件攻击开发人员 GitHub 发布安全警报称，Lazarus 黑客组织正在攻陷合法账户或虚假人设，在GitHub 和社交媒体上假冒开发人员和招聘人员。 GitHub 在安全警报中提到，“GitHub 发现一个小规模社工活动，组合利用仓库邀请和恶意 npm 程序包依赖，攻击技术企业员工的个人账户。” 这些人设用于和密币、在线赌博和网络安全行业中的开发人员和员工联系并启动会话。这些会话常常会导向另一个平台，而在以往这个平台是 WhatsApp。与目标建立信任后，威胁行动者邀请目标协作项目并克隆一个主题为媒体播放器和密币交易工具的 GitHub 仓库。然而，GitHub 指出，这些项目利用恶意 NPM 依赖将更多恶意软件下载到目标设备上。 虽然 GitHub 仅提到，这些恶意 NPM 包作为第一阶段的恶意软件下载器，但他们引用 Phylum 在6月份发布的报告详细说明了与这些恶意 NPM 相关的详情。Phylum 公司提到，这些 NPM 作为恶意软件下载器，与远程站点连接，在受感染机器上执行的更多 payload。遗憾的是，Phylum 公司的研究员并未收到第二阶段的 payload 来查看交付给设备的最终恶意软件并分析被执行的恶意行为。Phylum 公司的研究人员提到，“不管原因是什么，很肯定这是复杂的供应链威胁行动者。该攻击引人注意的原因在于它独特的执行链要求：同样机器上需要以特定顺序安装两个不同的程序包。另外，这些恶意组件存储在服务器上，会在执行时动态分配。” GitHub 表示，他们已暂停使用所有的NPM和GitHub 账户并发布了与该活动相关的域名、GitHub 账户以及NPM包的完整指标清单。GitHub 公司还强调称这起攻击活动并未攻陷任何 GitHub 或 npm 系统。 这起活动类似于2021年1月Lazarus 组织发动的另一起攻击活动，当时攻击者利用详细的虚假“安全研究员”社交媒体人设对研究员发动社工攻击，以恶意软件感染目标。攻击者说服研究员协作开发漏洞，为安装自定义后门的漏洞利用分发恶意 Visual Studio 项目。2021年3月还发生类似攻击，黑客为虚假公司 SecureElite 创建网站，以恶意软件感染研究人员。 Lazarus 组织发动的其它攻击 Lazarus 黑客组织被指一直以来攻击密币企业和开发人员，窃取资产以支持朝鲜的计划。该组织传播木马化的密币钱包和交易应用窃取用户的密币钱包及其资金。2022年4月，美国财政部和 FBI 认为 Lazarus 组织盗取基于区块链的游戏公司 Axie价值6.17亿美元的以太坊和 USDC令牌。之后发现该组织将恶意 PDF 文件伪装成诱人的工作机会，发送给该公司的一名工程师。利用虚假工作机会传播恶意软件的情况也发生在2020年的“梦想工作行动”攻击中，位于美国的国防企业和航天企业员工遭攻击。     转自安全内参，原文链接:https://www.secrss.com/articles/56948 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为HotRat的新型AsyncRAT恶意软件正在通过流行软件和实用程序的免费盗版版本传播，如视频游戏、图像、声音编辑软件以及微软Office。 Avast安全研究员Martin a Milánek表示:“HotRat恶意软件为攻击者提供了广泛的权限，例如窃取登录凭据、加密货币钱包、屏幕捕获、键盘记录、安装更多恶意软件以及获取或修改剪贴板数据等。” 这家捷克网络安全公司表示，至少从2022年10月开始，该木马就一直在全球流行，大多数感染集中在泰国、圭亚那、利比亚、苏里南、马里、巴基斯坦、柬埔寨、南非和印度。 黑客将torrent网站提供的破解软件与恶意的AutoHotkey (AHK)脚本捆绑在一起来实现攻击。该脚本会启动一个感染链，让受感染主机上的反病毒解决方案失效，并使用Visual Basic Script加载器启动HotRat有效载荷。 HotRat是一种全面的RAT恶意软件，带有近20个命令。每个命令都执行从远程服务器检索的.NET模块，这使得攻击者在需要时能够扩展其功能。 也就是说，攻击者需要管理员权限才能成功实现其目标。 “尽管存在巨大的风险，但免费获取高质量软件的诱惑仍然存在，导致许多人下载非法软件，”Milánek说，“因此，分发此类软件仍然是广泛传播恶意软件的有效方法。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

  近日，市面上出现了一款名为SophosEncrypt的新型勒索软件，该软件与网络安全厂商Sophos同名，因此有一些威胁行为者专门冒用该公司名称进行一些非法行动。 MalwareHunterTeam在本周一（7月17日）首次发现了这款勒索软件，起初还以为它是 Sophos 红队演习的一部分。 但很快Sophos X-Ops团队就在推特上表明，他们并没有创建该加密程序，且正在对此次事件进行调查。 Sophos X-Ops团队表示，他们早些时候在VT上发现了这个勒索软件并且一直在调查。但据初步调查结果显示，Sophos InterceptX可以抵御这些勒索软件样本。 此外，ID勒索软件显示了一份受害者提交的报告，表明此勒索软件目前仍处于活动状态。虽然对RaaS操作及其推广方式知之甚少，但MalwareHunterTeam还是发现了一个加密器的样本。 SophosEncrypt 勒索软件 据悉，该勒索软件的加密程序是用 Rust 编写的，并使用了 “C:\Users\Dubinin\”路径作为其原型。 在内部，该勒索软件被命名为 “sophos_encrypt”，因此被称为SophosEncrypt，检测结果已添加到ID Ransomware中。 执行时，加密程序会提示联盟成员输入一个与受害者相关的令牌，该令牌可能首先从勒索软件管理面板中获取。 输入令牌后，加密程序将连接到 179.43.154.137:21119 并验证令牌是否有效。 勒索软件专家Michael Gillespie发现可以通过禁用网卡绕过这一验证，从而有效地离线运行加密程序。输入有效令牌后，加密器会提示勒索软件联盟在加密设备时使用其他信息，包括联系人电子邮件、jabber 地址和 32 个字符的密码，Gillespie称这也是加密算法的一部分。 然后，加密器会提示联盟成员加密一个文件或加密整个设备，如下图所示。 加密器在加密前提示信息，来源：BleepingComputer BleepingComputer 在加密文件时，Gillespie告诉BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每个加密文件都会在文件名后附加输入的令牌、输入的电子邮件和sophos扩展名，格式为：.[[[]].[[[]].sophos。下面是 BleepingComputer 的加密测试示例。 被SophosEncrypt加密的文件，来源：BleepingComputer BleepingComputer 在每个文件被加密的文件夹中，勒索软件都会创建一个名为 information.hta 的赎金说明，加密完成后会自动启动。该赎金说明包含有关受害者文件遭遇情况的信息，以及关联方在加密设备前输入的联系信息。 SophosEncrypt 勒索信，来源：BleepingComputer BleepingComputer 该勒索软件还能更改 Windows 桌面壁纸，壁纸会直接显示为它所冒充的 “Sophos “品牌。 SophosEncrypt 壁纸，来源：BleepingComputer BleepingComputer 加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 网站。这个 Tor 网站不是一个谈判或数据泄漏网站，而似乎是勒索软件即服务操作的附属面板。 勒索软件面板，来源：BleepingComputer BleepingComputer Sophos研究人员对 SophosEncrypt 恶意软件进行分析后发布了一份关于新的 SophosEncrypt 勒索软件的报告。 该报告显示，该勒索软件团伙位于 179.43.154.137 的命令和控制服务器与之前攻击中使用的 Cobalt Strike C2 服务器有所关联。 此外，两个样本都包含一个硬编码 IP 地址，该地址在近一年多的时间内一直与 Cobalt Strike 命令控制和自动攻击有关，这些攻击还曾试图用加密采矿软件感染其他计算机。     转自Freebuf，原文链接:https://www.freebuf.com/news/372446.html 封面来源于网络，如有侵权请联系删除

随着生成式人工智能如今风靡一时，黑客将该技术重新用于自身利益，为加速网络犯罪提供了途径。根据SlashNext的调查结果，一种名为WormGPT的新型生成人工智能网络犯罪工具已在地下论坛上宣传，这是发起复杂的网络钓鱼和商业电子邮件入侵（BEC）攻击的一种方式。 安全研究员Daniel Kelley认为：“该工具将自己呈现为GPT模型的黑帽替代品，专为恶意活动而设计，黑客可以使用这种技术自动创建高度令人信服的虚假电子邮件，针对收件人进行个性化设置，从而增加攻击成功的机会。”该软件的作者将其描述为“众所周知的ChatGPT的最大敌人”，“可以让你做各种非法的事情” 在黑客手中，像WormGPT这样的工具可能是一种强大的武器，特别是OpenAI、ChatGPT和Google Bard采取越来越多地措施打击滥用大型语言模型（LLM）来制造令人信服的网络钓鱼电子邮件并生成恶意代码的行为。Check Point在本周的一份报告中表示：“与ChatGPT相比，巴德在网络安全领域的反滥用限制措施明显较低，因此，使用巴德的功能生成恶意内容要容易得多。” 今年2月初，这家以色列网络安全公司披露了黑客是如何利用API绕过ChatGPT 的限制，更不用通过使用大量电子邮件地址和密码列表入侵 ChatGPT 帐户，交易被盗的高级帐户。WormGPT在没有任何道德界限的情况下运行，这一事实突显了生成式 AI 构成的威胁，甚至允许新手黑客在没有技术手段的情况下迅速、大规模地发起攻击。更糟糕的是，黑客正在为ChatGPT推广“越狱”，目的是操纵该工具生成中可能泄露的敏感信息、制作不适当内容和执行有害代码的输出。 生成式人工智能可以创建语法无可挑剔的电子邮件，使它们看起来合法，并减少被标记为可疑的可能性。它的使用使复杂的BEC攻击的执行民主化。即使是技能有限的攻击者也可以使用这项技术，使其成为更广泛的网络犯罪工具。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Vk5iRQoRDimY5FNOI0bLhQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种新型恶意软件已持续暗中攻击小型办公室/家庭办公室(SOHO)路由器两年多，渗透了7万多台设备，并创建了一个跨越20个国家、4万个节点的僵尸网络。 Lumen Black Lotus Lab 将这种恶意软件命名为AVrecon，这是继去年ZuoRAT和HiatusRAT之后，第三个针对SOHO路由器的恶意软件。 该公司表示:“AVrecon已成为了有史以来最大的SOHO路由器目标僵尸网络之一。该行动的目的似乎是建立一个秘密网络，从而悄无声息地进行一系列犯罪活动，例如密码喷洒、数字广告欺诈等。” 受感染最多的国家是英国和美国，其次是阿根廷、尼日利亚、巴西、意大利、孟加拉国、越南、印度、俄罗斯、南非等。 卡巴斯基高级安全研究员Ye (Seth) Jin在2021年5月首次强调了AVrecon，然而该恶意行为直到现在才被发现。 在Lumen详细介绍的攻击链中，成功感染的设备会枚举受害者的SOHO路由器，并将该信息泄露回嵌入式命令和控制(C2)服务器。 它还通过搜索端口48102上的现有进程并在该端口上打开监听器来检查主机上是否已经运行了其他恶意软件实例。绑定在端口48102的进程将被其终止。 下一阶段涉及到被破坏的系统与独立服务器（辅助C2服务器）建立联系，并等待进一步的命令。自2021年10月以来，Lumen确定了至少15个这样一直活跃的独特服务器。 值得注意的是，分层C2基础设施在Emotet和QakBot等臭名昭著的僵尸网络中得到了普遍应用。 AVrecon是用C语言编写的，因此很容易将恶意软件移植到不同的架构中。这类攻击之所以有效，一个关键原因是它们利用了缺乏安全解决方案支持的边缘基础设施。 目前收集到的证据表明，该僵尸网络被用来点击Facebook和谷歌的各种广告，并与微软Outlook进行交互。这可能表明，他们不仅在进行广告欺诈，还在泄露数据。 研究人员表示:“本次攻击方式主要集中在窃取带宽上，不影响端用户。其目的是创建一个住宅代理服务，帮助清洗恶意活动，避免吸引同tor隐藏服务或商用VPN服务同样程度的关注。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

昨天（7月11日），微软正式披露了一个未修补的零日安全漏洞，该漏洞存在于多个Windows和Office产品中，可以通过恶意Office文档远程执行代码。 未经身份验证的攻击者可在无用户交互的情况下利用该漏洞(跟踪为CVE-2023-36884)进行高复杂性攻击。 一旦攻击成功，即可导致对方系统的机密性、可用性和完整性的完全丧失，从而允许攻击者访问敏感信息、关闭系统保护并拒绝对受损系统的访问。 目前，微软正在调查并制作一系列影响Windows和Office产品的远程代码执行漏洞的报告。微软已经意识到了这是一系列有针对性的攻击，这些攻击试图利用特制的微软Office文档来利用这些漏洞。 攻击者可以创建一个特制的Microsoft Office文档，使他们能够在受害者的系统中执行远程代码执行。但前提是攻击者必须说服受害者打开恶意文件。 虽然该漏洞尚未得到解决，但微软表示后续将通过每月发布的程序或带外安全更新向客户提供补丁。 可通过启用“阻止所有Office应用程序创建子进程”免于攻击 微软方面表示，在CVE-2023-36884补丁可用之前，使用Defender for Office的客户和启用了“阻止所有Office应用程序创建子进程”攻击面减少规则的客户可以免受网络钓鱼攻击。 不使用这些保护的用户可以将以下应用程序名称添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项中，作为REG_DWORD类型的值，数据为1: Excel.exe Graph.exe MSAccess.exe MSPub.exe PowerPoint.exe Visio.exe WinProj.exe WinWord.exe Wordpad.exe 但是，需要注意的是，设置此注册表项以阻止利用尝试也可能影响到与上面列出的应用程序链接的某些Microsoft Office功能。 设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项（图源：Microsoft) CVE-2023-36884漏洞最新动态 微软方面表示，CVE-2023-36884漏洞在最近针对参加立陶宛维尔纽斯北约峰会的组织的攻击中被利用。 根据乌克兰计算机应急响应小组(CERT-UA)和黑莓情报团队的研究人员发布的报告，攻击者使用恶意文件冒充乌克兰世界大会组织安装恶意软件，包括MagicSpell加载程序和RomCom后门。 黑莓安全研究人员表示：如果被成功利用，攻击者就可以通过制作恶意的docx或rtf文件来利用该漏洞，进行基于远程代码执行(RCE)的攻击。 攻击是通过利用特制的文档来执行易受攻击的MSDT版本来实现的，这反过来又允许攻击者向实用程序传递命令以执行。 微软周二（7月11日）时也表示：该攻击者在2023年6月发现的最新攻击涉及滥用CVE-2023-36884，提供与RomCom相似的后门。 该漏洞与RomCom组织有所渊源 RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978），该组织以从事勒索软件和勒索攻击以及专注于窃取凭证的活动而闻名。该组织与此前的工业间谍勒索软件行动有关，现在该行动已转向名为“地下”(VirusTotal)的勒索软件。 地下勒索信（图源：BleepingComputer） 2022年5月，在调查工业间谍勒索通知中的TOX ID和电子邮件地址时，MalwareHunterTeam发现了与古巴勒索软件操作的特殊关联。 他观察到，工业间谍勒索软件样本生成了一封勒索信，其TOX ID和电子邮件地址与古巴使用的相同，以及古巴数据泄露网站的链接。 然而，提供的链接并没有将用户引导到工业间谍数据泄露网站，而是指向古巴勒索软件的Tor网站。此外，勒索信使用了相同的文件名，!!READ ME !!.txt，就像之前发现的古巴勒索邮件一样。 在2023年5月，在Trend Micro发布的一份关于RomCom的最新活动报告显示，威胁参与者现在正在冒充Gimp和ChatGPT等合法软件，或者创建虚假的软件开发人员网站，通过谷歌广告和黑色搜索引擎优化技术向受害者推送后门。     转自Freebuf，原文链接:https://www.freebuf.com/news/371814.html 封面来源于网络，如有侵权请联系删除

7月4日，黑莓威胁研究和情报团队发现了针对支持乌克兰的海外组织进行的鱼叉式网络钓鱼活动。研究人员发现了两份IP地址为匈牙利提交的诱饵文件，这两份文件都针对即将向乌克兰提供支持的北约峰会参会者。 据悉，黑莓识别的诱饵文件冒充合法的非营利组织乌克兰世界大会（Ukrainian World Congress），文件显示为一封信，声明支持乌克兰政府加入北约联盟。专家们根据战术、技术和程序 （TTP）、代码相似性和攻击基础设施，将这些攻击归因于一个名为 RomCom（又名热带天蝎座和 UNC2596）的黑客组织。北约峰会将于7月11日到12日在维尔纽斯举行，会议期间将讨论未来可能加入乌克兰联盟的成员资格。这些黑客旨在让受害者点击乌克兰世界大会网站的特制复制品。攻击者使用域名仿冒技术用 .info 后缀伪装虚假网站，使其看起来合法。克隆的网站被发现时是属于托管流行软件的武器化版本。 黑莓发布的报告中写道“一旦用户下载并执行Microsoft Word文件，就会从RTF加载一个OLE对象，该对象会连接到与VPN代理服务相关的IP地址104.232.39[.]26，或者连接到端口80、139和445（HTTP和SMB服务）。”此文件的目标是将 OLE 流加载到 Word Microsoft，呈现出负责下一阶段恶意软件执行的 iframe 标记。打开文档后，会触发多阶段攻击链，还会利用漏洞CVE-2022-30190（也称为Follina）影响Microsoft的支持诊断工具（MSDT）。最后阶段的恶意软件是RomCom RAT，运营商使用它来收集那些受损系统的信息并执行远程命令。 根据现有信息，可以得出这是一次RomCom更名活动，或者RomCo黑客组织中的一个或多个成员支持的新的活动的幕后黑手。主要信息包括：1.地缘政治背景 2.合法网站的域名注册和 HTML 抓取 3.此活动与以前已知的 RomCom 活动之间的代码中的某些相似之处 4.网络基础设施信息     转自E安全，原文链接:https://mp.weixin.qq.com/s/s8TuqicvwhfPEPnZnot31Q 封面来源于网络，如有侵权请联系删除

越来越多接受过安全意识培训的员工不再轻易点击邮件中的可疑链接，但是网络钓鱼攻击者又找到了新的方法：二维码钓鱼邮件。 近日，安全公司Inky的研究人员发现，网络钓鱼攻击者开始发送大量包含二维码图片的钓鱼邮件，这些电子邮件将二维码嵌入邮件正文，以成功绕过安全保护，并可针对目标进行某种程度的定制，从而更容易欺骗收件人。研究人员表示，在许多情况下，这些钓鱼邮件来自收件人工作的企业内部被盗电子邮件账户，这种来自内部（可信）邮件地址的钓鱼邮件会进一步提高攻击的成功率。 Inky检测到的二维码钓鱼邮件的主题大多是要求员工解决安全问题（下图），例如缺少双因素身份验证注册或更改密码，并警告如果收件人未能及时操作，可能会产生后果。上当受骗的员工会用手机扫描邮件中的二维码并被引导至一个伪装成该公司合法站点的钓鱼网站，用户在钓鱼网站输入的账户密码会被发送给攻击者。 研究人员指出，此类二维码钓鱼邮件多为“喷射攻击”，攻击者会将邮件发送给尽可能多的目标用户，以期待提高攻击成功率。Inky的研究人员观察到多个行业都受到了二维码钓鱼邮件的攻击。在Inky检测到的545封二维码钓鱼邮件中，目标受害者主要位于美国和澳大利亚，其中包括非营利组织、多家财富管理公司、管理顾问、土地测量师、建材公司等。 二维码钓鱼邮件的两大特点 首先，二维码钓鱼邮件邮件不包含任何文本，只有一个图片文件附件，能够绕过基于文本分析的电子邮件安全方案。由于默认情况下，某些电子邮件程序和服务会自动直接在正文中显示附件图片，收件人通常不会意识到自己看到的邮件“正文”实际上是图片（不包含文本）。二维码钓鱼邮件的另一个显著特征是：图像中嵌入了一个二维码，指向凭证收集站点。这加快的访问钓鱼站点的速度，并能够有效降低员工意识到问题的可能性。二维码指向的钓鱼网站往往还会在登录框的用户名字段中预填收件人的电子邮件地址，这进一步产生安全错觉，让员工相信钓鱼网站是合法站点。 对于注重隐私的人来说，修改电子邮件设置阻止加载远程存储的图像不但是可行的，而且是值得推荐的。钓鱼邮件攻击者通过使用外部图像来确定他们发送的消息是否已被打开，因为收件人的设备会与托管图像的服务器建立连接。一些电子邮件服务，例如Gmail和Thunderbird不会在正文中显示附件图片，但其它很多邮件客户端或服务会显示图片附件。如果可能，建议企业和个人关闭此类客户端或服务的图片显示功能。（编者：禁止在电子邮件正文中显示图片是柄双刃剑，可能会产生用户体验问题或麻烦。） 二维码钓鱼邮件的防范 对于二维码钓鱼邮件的防御，安全专家们给出如下建议： 格外警惕含有二维码的电子邮件 通过其它渠道（即通过电子邮件以外的渠道）与发件人核实，确认消息是否真实 小心检查发件人地址，确保电子邮件来自其声称的地址 单击电子邮件正文，查看是否可以复制和粘贴文本。如果没有可复制的文本，需要格外警惕 在相关网络安全意识培训中增加对新型钓鱼邮件内容和攻击方法的培训内容 人们往往误以为网络钓鱼攻击并不复杂，只要稍加注意（培训）就能避免上当受骗。事实上，调查研究表明网络钓鱼是网络攻击最有效和最具成本效益的手段之一。根据AGG IT Services的数据，全球每天发送高达34亿封垃圾邮件，而Tessian的数据显示，四分之一的员工表示他们在工作中点击过网络钓鱼电子邮件。 无论企业投入多少预算构筑强大的网络安全防线，都可能因为一封钓鱼邮件而土崩瓦解。因此，企业安全团队需要对新型钓鱼邮件攻击的技术和策略保持高度关注。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/58x3NvnF8nyzJ1gPNqqv3w 封面来源于网络，如有侵权请联系删除