Akamai 的安全研究人员正在分享 Microsoft 今年早些时候针对 Outlook 零点击远程代码执行漏洞发布的补丁的多个绕过细节。 最初的问题被追踪为 CVE-2023-23397，在黑客利用该问题大约一年 后，微软于 2023 年 3 月修复了该问题。 未经身份验证的黑客可以通过发送包含指定为路径的声音通知的电子邮件提醒来利用此问题，强制 Outlook 客户端连接到攻击者的服务器，从而导致 Net-NTLMv2 哈希发送到服务器。 利用该漏洞不需要用户交互，因为当服务器收到并处理电子邮件时，该错误会立即触发。微软通过调用 API 函数解决了这个问题，该函数将检查路径以确保它没有引用互联网 URL。 然而，通过在电子邮件中包含精心设计的 URL，被调用的函数可能会被欺骗，将远程路径视为本地路径。该绕过由 Akamai 发现并跟踪为 CVE-2023-29324，并于 5 月被 Microsoft 修复。 然而，CVE-2023-29324 缺陷只是Akamai在研究 Outlook 零点击漏洞时发现的绕过方法之一。 第二个漏洞是 CVE-2023-35384，由 Microsoft 通过2023 年 8 月的补丁解决，它是一种路径类型混淆，可以通过精心设计的 URL 来利用，但确实需要用户交互。 微软在其通报中表示：“黑客可以制作恶意文件或发送恶意 URL，从而逃避安全区域标记，从而导致浏览器和某些自定义应用程序所使用的安全功能的完整性和可用性受到有限的损失。” 10 月份，这家科技巨头修复了与 Outlook 攻击向量相关的另一个漏洞，这次的漏洞源于 Windows 上声音文件的解析。 该问题被追踪为CVE-2023-36710，是音频压缩管理器 (ACM) 中的整数溢出错误，该代码处理 WAV 文件中的编解码器需要由自定义解码器进行解码的情况。编解码器由功能类似于内核模式驱动程序的驱动程序处理，但通过 ACM 注册。 Akamai 在技术文章中指出，该安全缺陷是在 ACM 管理器的 mapWavePrepareHeader 函数中发现的。 由于该函数在将字节添加到目标缓冲区大小时不执行溢出检查，因此攻击者可以触发非常小的缓冲区的分配，从而导致两次越界写入。 “我们设法使用 IMA ADP 编解码器触发了该漏洞。文件大小约为 1.8 GB。通过对计算执行数学限制运算，我们可以得出结论，IMA ADP 编解码器的最小可能文件大小为 1 GB，”根据 Akamai 的文档。 Akamai 表示，黑客可以在 Outlook 客户端或其他即时消息应用程序的上下文中成功利用此漏洞，无需用户交互即可实现远程代码执行。 “截至目前，我们研究的Outlook中的攻击面仍然存在，并且可以发现和利用新的漏洞。尽管 Microsoft 对 Exchange 进行了修补，以删除包含 PidLidReminderFileParameter 属性的邮件，但我们不能排除绕过此缓解措施的可能性。”Akamai 总结道。 转自安全客，原文链接：https://www.anquanke.com/post/id/292038 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）近期宣称，截至 2023 年 9 月，ALPHV/BlackCat 勒索软件团伙已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金，其中近 75% 受害者来自美国，其余约 250 个散布在全球各地。 在近期与 CISA 合作发布的联合公告中，FBI 分享了 ALPHV/BlackCat 勒索软件的缓解措施，以期帮助降低全球实体组织受该勒索软件攻击的风险。FBI 和 CISA 这两家机构还提供了联邦调查局于 12 月 6 日确定的 ALPPV IOC（妥协指标）和 TTP（战术、技术和程序），强烈建议网络管理者优先修补正在被利用的安全漏洞。 此外，FBI 督促网络管理员尽快在所有服务中使用强密码强制执行多因素身份验证（MFA），尤其是对于网络邮件、VPN 和与关键系统链接的帐户，并将软件定期更新至最新版本，日常重点工作应放在漏洞评估上，并将其作为标准安全协议的重要组成部分。 2021 年 11 月，ALPHV/BlackCat 勒索软件首次 “浮出水面”，一度被业内人士怀疑是臭名昭著的 DarkSide 和BlackMatter 勒索软件的再现。成功袭击 Colonial Pipeline 后，ALPHV/BlackCat 勒索软件在全球范围内变得臭名昭著，执法机构对其进行了广泛且深入的调查。FBI 曾将 ALPHV/BlackCat 勒索软件团伙与 2021 年 11 月至 2022 年 3 月期间发生的 60 多起违规行为联系起来。 FBI ”颠覆“了 ALPHV/BlackCat 勒索软件 12 月 7 日，Bleeping Computer 首次报道称，ALPHV/BlackCat 勒索软件团伙的 Tor 谈判和数据泄露网站突然停止工作。近期，美国司法部证实了报道，称联邦调查局成功”攻入“了 ALPHV/BlackCat 勒索软件的服务器，监控了该组织的日常活动并获得了解密密钥。 值得一提的是，为了”访问“ ALPHV/BlackCat 勒索软件的后端附属小组，联邦调查局与一名机密人力资源（CHS）接触，该人员在与勒索软件运营商面谈后获得了作为附属机构的登录凭据。 ALPHV/BlackCat 勒索软件扣押横幅 FBI 在收集解密密钥的同时，对 ALPHV/BlackCat 勒索软件的运作进行了持续数月的监控，使得其能够帮助全球 500 多名受害者免费恢复文件，节省了约 6800 万美元的赎金。 FBI 还扣押了 ALPHV/BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，ALPHV/BlackCat 勒索软件就“解封”了数据泄露网站，并声称联邦调查局进入了托管该团伙服务器的数据中心。此外，ALPHV/BlackCat 勒索软件还在其泄漏网站上发布的消息中声称，他们已经突破了至少 3400 名受害者的网络防御系统。 最后，由于 ALPHV/BlackCat 勒索软件团伙 和 FBI 目前都拥有数据泄漏网站的私钥，因此双方可以从对方手中夺取域名的控制权，目前这种局面已被其它网络犯罪团伙视为提前送上的“节日礼物”，例如，LockBit 勒索软件团伙已经开始要求 ALPHV/BlackCat 勒索软件的分支机构转换团队，继续与受害者谈判。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387160.html 封面来源于网络，如有侵权请联系删除

微软分析师在对 Perforce Helix 的游戏开发工作室产品进行安全审查时，发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞，并于今年 8 月底向 Perforce 报告了这些漏洞，其中一个漏洞被评为严重漏洞。 尽管目前微软表示尚未发现上述四个漏洞被黑客利用的迹象，但还是建议用户尽快升级到 11 月 7 日发布的 2023.1/2513900 版本，以降低风险。 Perforce Helix 核心漏洞 微软发现的四个漏洞主要涉及拒绝服务（DoS）问题，其中最严重的漏洞允许未经认证的攻击者以本地系统（LocalSystem）身份执行任意远程代码。 漏洞概述如下： CVE-2023-5759（CVSS 得分 7.5）： 通过 RPC 标头滥用进行未验证（DoS）。 CVE-2023-45849（CVSS 得分为 9.8）： 以 LocalSystem 身份执行未经验证的远程代码。 CVE-2023-35767 (CVSS 得分为 7.5)： 通过远程命令执行未经验证的 DoS。 CVE-2023-45319 (CVSS 得分 7.5)：通过远程命令执行未验证的 DoS： 通过远程命令实施未经验证的 DoS。 其中，CVE-2023-45849 是这组漏洞中最危险的漏洞，它允许未经身份验证的黑客通过 “LocalSystem “执行代码，”LocalSystem “是一个为系统功能保留的高权限 Windows 操作系统账户，通过该账户可以访问本地资源和系统文件、修改注册表设置等。 根据调查，该漏洞的源头是由于服务器对 user-bgtask RPC 命令的错误处理。在默认配置下，Perforce 服务器允许未经身份验证的黑客以 LocalSystem 身份远程执行任意命令，包括 PowerShell 脚本。 黑客一旦成功利用 CVE-2023-45849漏洞，就能安装后门、访问敏感信息、创建或修改系统设置，并有可能完全控制运行有漏洞的 Perforce Server 版本的系统。 导致命令执行的函数调用链 其余三个漏洞的严重程度较低，但仍应该引起重视。这些漏洞允许DDos攻击，可能造成运行中断，一旦有黑客利用漏洞发起大规模攻击可能会出现重大经济损失。 保护建议 除了从供应商的下载门户下载最新版本的 Helix Core 外，微软还建议采取以下措施： 定期更新第三方软件 使用 VPN 或 IP 允许列表限制访问 使用带有代理的 TLS 证书进行用户验证 记录对 Perforce 服务器的所有访问 为 IT 和安全团队设置崩溃警报 使用网络分段遏制漏洞 建议广大用户遵循上述的官方安全指南提示内容。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387010.html 封面来源于网络，如有侵权请联系删除

Cybernews 研究团队发现，ByteX 旗下的集中式加密货币交易所 GokuMarket 留下了一个开放实例，泄露了几乎所有用户的详细信息。 此次泄露是在该团队发现一个未受保护的 MongoDB 实例之后发生的，该实例存储了 GokuMarket 加密货币交易所用户的信息。 企业使用 MongoDB 来组织和存储大量面向文档的信息，在 GokuMarket 的案例中，存储了超过一百万客户和管理用户的详细信息。 GokuMarket 是一家加密货币交易所，最近被加拿大加密货币交易所 ByteX 收购。此举是在当时拥有约 100 万用户的 GokuMarket 在 2022 年年中（对加密货币来说是灾难性的一年）拒绝用户提款选择后几乎破产之后发生的。 GokuMarket 暴露的数据库于 2023 年 10 月被发现，并在研究人员发送负责任的披露说明后的第二天就得到了保护。 然而，该数据库暴露在网络上一段时间了，这意味着任何人都可以访问它。与此同时，开放实例保存着超过一百万用户的大量敏感数据。数据包括： 用户IP 国家 电子邮件地址 加密密码 用户加密钱包地址 出生日期 名字和姓氏 手机号码 研究人员认为，对于持续攻击者来说，有足够的信息来开展鱼叉式网络钓鱼活动，其目的很可能是耗尽用户的加密货币资金。 此外，该团队发现该数据库拥有 35 个具有完全管理访问权限的帐户，包括私人 Telegram 频道 ID、交换平台秘密令牌、密码和其他极其敏感的信息。 虽然个人用户数据可能会被利用来通过撞库攻击来瞄准其他平台上的暴露用户，但管理访问详细信息会带来更可怕的蠕虫病毒，攻击者可以获得集体诈骗的能力，并个人会面临资金未经授权被转移的风险。 转自安全客，原文链接：https://www.anquanke.com/post/id/291973 封面来源于网络，如有侵权请联系删除

由 Cisco、DrayTek、Fortinet 和 NETGEAR 的防火墙和路由器组成的新僵尸网络正被用作高级持续性威胁（APT）攻击者的秘密数据传输网络，其中包括与某国有关的名为Volt Typhoon（伏特台风）的黑客组织。 KV-botnet僵尸网络逻辑网络图 该组织被 Lumen Technologies 的 Black Lotus Labs 团队称为 KV-botnet，该恶意网络是两个互补活动集群的合并，这些集群具有至少自 2022 年 2 月以来一直处于活跃状态。 Black Lotus Labs 团队的技术报告中写道： “该活动感染网络边缘设备，该部分已成为许多企业防御阵列中的软肋，并且由于近年来向远程工作的转变而变得更加复杂。” 这两个集群（代号为 KV 和 JDY）据称各不相同，但同时协同工作，以方便接触知名受害者并建立秘密基础设施。遥测数据表明，该僵尸网络是从某国的 IP 地址中获取的。 虽然 JDY 的机器人部分使用不太复杂的技术进行更广泛的扫描，但 KY 组件主要以过时和报废产品为特色，据评估保留用于针对前者选择的引人注目的目标进行手动操作。 人们怀疑 Volt Typhoon 至少是 KV 僵尸网络的一个用户，并且它包含其运营基础设施的一个子集，2023 年 6 月和 7 月初的运营量明显下降就证明了这一点，这与公开披露的情况一致敌对集体针对美国关键基础设施的攻击。 恶意软件安装流程 揭露攻击者策略的微软公司表示：该组织通过受感染的小型办公室和家庭办公室 (SOHO) 网络设备（包括路由器、防火墙和 VPN 硬件）的流量隐蔽通信，“尝试通过路由融入正常网络活动”。 用于破坏设备的确切初始感染机制过程目前尚不清楚。接下来，第一阶段的恶意软件会采取措施删除安全程序和其他恶意软件，以确保它是“唯一存在”的恶意软件。 它还设计用于从远程服务器检索主要有效负载，该服务器除了向同一服务器发送信标之外，还能够上传和下载文件、运行命令以及执行其他模块。 在过去的一个月里，该僵尸网络的基础设施进行了改造，以安讯士 IP 摄像机为目标，这表明运营商可能正在为新一波的攻击做好准备。 “这次活动的一个相当有趣的方面是，所有工具似乎都完全驻留在内存中。”研究人员说。“这使得检测变得极其困难，代价是长期持续存在。 由于恶意软件完全驻留在内存中，因此最终用户只需重新启动设备即可停止感染。虽然这消除了迫在眉睫的威胁，但再次感染仍然经常发生。” 调查结果发布之际，《华盛顿邮报》报道称，过去一年中，美国有数十个关键实体遭到Volt Typhoon黑客组织的渗透，其中包括电力和供水设施以及通信和运输系统。 研究人员称，黑客经常通过家庭或办公室路由器等无害设备进行攻击，然后再到达受害者，从而掩盖他们的踪迹。 转自 “会杀毒的单反狗” ，原文链接：https://mp.weixin.qq.com/s/NIsadqksKElBGDuygngBNw?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

戴尔正在向 PowerProtect DD 产品客户通报 8 个漏洞，其中许多漏洞被评为“高危”，并敦促他们安装补丁。 漏洞影响 PowerProtect Data Domain (DD) 系列设备，这些设备旨在帮助组织大规模保护、管理和恢复数据。 APEX Protect Storage、PowerProtect DD Management Center、PowerProtect DP 系列设备和 PowerProtect Data Manager 设备也受到影响。 最严重的缺陷是 CVE-2023-44286（CVSS 得分为 8.8），被描述为基于 DOM 的跨站点脚本 (XSS) 问题，允许未经身份验证的远程攻击者将恶意代码注入目标用户的浏览器。 利用该漏洞可能会导致客户端请求伪造、会话盗窃和信息泄露。虽然戴尔的通报中没有具体说明，但利用这些类型的缺陷通常涉及攻击者诱骗受害者点击恶意链接。 其他几个漏洞已被授予“高危”评级，包括操作系统命令注入和不当访问控制缺陷。 命令注入错误可被利用以利用易受攻击的权限在底层操作系统上执行任意命令，并且它们可能允许攻击者接管目标系统。 利用该漏洞需要本地访问权限以及较低或较高的权限。但是，攻击者有可能利用 CVE-2023-44286 等漏洞来实现身份验证要求。 PowerProtect 产品中发现的三个中等危险缺陷可被经过身份验证的攻击者利用，绕过安全限制并接管系统，获得对操作系统文件的读写访问权限，并在应用程序的后端数据库上执行任意 SQL 命令并获得读取访问权限到应用程序数据。 “Dell Technologies 发布了针对影响某些 Dell PowerProtect Data Domain 产品的漏洞的修复措施。我们鼓励客户立即查看并实施戴尔安全通报 (DSA-2023-412) 中针对受影响的产品、版本和其他信息的补救步骤。我们产品的安全性是重中之重，对于保护我们的客户至关重要。”戴尔在 SecurityWeek 分享的一份声明中表示。 该公司表示，它已迅速修复了该漏洞，目前尚未发现任何活跃的利用情况。 值得注意的是，已知戴尔产品漏洞已被复杂的威胁行为者利用进行攻击。 戴尔最近还向客户通报了PowerEdge服务器BIOS中存在高危权限升级漏洞，PowerMax 和 Unisphere 产品，以及影响 VxRail Manager 第三方组件的数十个漏洞。 转自 安全客 ，原文链接：https://www.anquanke.com/post/id/291944 封面来源于网络，如有侵权请联系删除

在Rhysida勒索软件团伙公开的截图中，能够看到一些机密的内部电子邮件、护照和身份证的复印件，以及游戏素材或游戏画面的图像。 据外媒报道，《漫威蜘蛛侠》系列开发商Insomniac Games最近遭到一个名为Rhysida的黑客组织攻击，该勒索软件团伙声称他们窃取到了即将推出的《金刚狼》游戏的详细信息以及一些前任和现任员工的数据。 Insomniac Games是一家总部位于加利福尼亚伯班克的美国视频游戏开发商，该公司在2019年被索尼互动娱乐以2.29亿美元收购后成为PlayStation Studios旗下的一个游戏工作室。其代表作有《漫威蜘蛛侠》《拉切特与克兰克》《抵抗》《小龙斯派罗》等系列作品。 在Rhysida勒索软件团伙公开的截图中，能够看到一些机密的内部电子邮件、护照和身份证的复印件，以及游戏素材或游戏画面的图像。 Rhysida在暗网博客上的帖子中写道，距离这些“独家、独特、令人印象深刻的”数据开拍仅剩一周，他们强调只会卖给一个人，拍卖时出价高者将是唯一的所有者，起拍价为50比特币（价值约200万美元）。——勒索软件团伙通常都会像这样通过设置一个拍卖期限来迫使受害者支付赎金。 据了解，Rhysida是才冒头不久的一个网络犯罪组织，于今年5月首次被发现。美国网络安全基础设施与安全局（CISA）将其描述为一个以教育、医疗、制造、信息技术和政府部门作为攻击目标的威胁行为者。 Rhysida在今年6月曾成功攻击并泄露智利政府的数据，后又于8月攻击美国医疗集团Prospect Medical Group，引起轰动。根据Cybernews的勒索软件监控工具Ransomlooker，该团伙在过去12个月内已经攻击了近50个组织。   转自看雪学苑，原文链接：https://mp.weixin.qq.com/s/TfvsNRD-fCvBP3jm8r5cAw 封面来源于网络，如有侵权请联系删除

用户启用APP推送功能就会被监控！此前苹果和谷歌都被告知要对这一做法保密，直到美国参议员Ron Wyden的信件首度披露此事。 有消息称：美国民主党参议员Ron Wyden日前致信司法部，表示美国联邦政府调查人员曾利用推送通知数据追踪关注对象，首次披露了美国人可以通过智能手机提供的一项基本服务而被追踪的事实。 Wyden在信中表示，司法部曾禁止苹果和谷歌讨论这项追踪技术，并要求这些公司修改规定。Wyden还指出，根据其办公室收到的消息，外国政府也开始要求获取推送通知数据。 用户启用APP推送功能就会被监控 这项追踪技术利用了许多人手机上收到电子邮件或短信时的常见提醒。《华盛顿邮报》通过查阅法庭记录发现，该技术曾用以收集2021年1月6日国会山暴动参与者和其他犯罪嫌疑人的信息。 应用程序利用推送通知向用户的手机或平板电脑提供最新消息或提醒。一旦用户启用了推送通知功能，苹果和谷歌会生成一小段名为“令牌”的数据，将用户设备与他们在这些公司提供的账户信息（例如姓名和电子邮件地址）进行关联。 Wyden在信中指出，联邦政府已开始要求苹果和谷歌提供与这些令牌相关的记录，因为这些公司类似于“数字邮局”，负责转发通知。 这些令牌可能会泄露大量细节信息，例如某人在消息或游戏应用程序中的通信对象、通信时间，甚至可能会透露通知消息的文本内容。 只要用户与联邦调查对象进行过电子邮件、短信或社交媒体消息的交流，调查人员就可以通过令牌数据获取到部分相关信息。获取的信息量取决于用户对推送通知的设定。 苹果谷歌将在透明度报告中公布情况 苹果在一份声明中表示，“联邦政府禁止我们分享任何信息”；鉴于现在这种追踪方法已经公开，苹果将更新即将发布的透明度报告，以“详细说明这类请求”。 苹果的执法指南详细规定了警方和政府调查人员获取用户信息的具体方式。根据当前的指南，可以凭借“传票或更高级的法律程序”获取与推送通知令牌相关联的Apple ID。 Wyden和苹果都没有详细说明已经审核的通知数量，涉及的目标人士，正在调查的犯罪类型，或是哪些政府提出了请求。 谷歌发布声明称，公司已发布透明度报告，详细列出其收到的用户数据请求的数量和类型，并表态支持Wyden提出的“让用户了解这些请求”的承诺。 美国司法部拒绝对此置评。这封信件最初由路透社报道。 美政府曾利用推送通知监控目标 《华盛顿邮报》在法庭记录中找到了二十多份与联邦政府请求推送通知数据相关的搜查令申请和其他文件。尽管许多文件都经过了删减，但仍然能够看出有9份文件涉及联邦政府对2021年1月6日暴动者的追踪行动。另外两份文件要求获取涉嫌洗钱和传播儿童色情材料的嫌疑人的数据。 这些搜查令要求获得与亚马逊、苹果、谷歌、微软等多家公司的应用有关的推送通知数据。 其中一份搜查令申请旨在获得爱达荷州男子Josiah Colt的Facebook账户相关数据。该男子曾在2021年1月6日暴动期间侵入参议院会议厅。提交申请的联邦调查局特工表示，推送通知令牌或能提供“有用信息”，帮助确定用户的账户。 今年早些时候，Colt被判处15个月监禁。暴动当日，他发布了一段视频宣称进入了国会大厦。目前尚不清楚推送通知数据请求在他案件中的作用。 其他国家也开始利用APP推送数据 Wyden在信中指出，他的办公室去年收到消息称，外国政府调查人员已开始向上述公司索取数据。Wyden的发言人拒绝具体指明是哪些政府。 Wyden写道，这些公司告诉他的工作人员，任何“有关这一做法的信息”都被“政府限制，不得公开发布”。Wyden敦促司法部废除任何禁止这些公司讨论“监视做法”的政策。 他强调，“苹果和谷歌应该被允许透明地公开它们所收到的法律要求，尤其是来自外国政府的要求，就像这些公司经常告知用户其他类型的政府数据要求一样。” 政府调查人员通常通过提交传票、搜查令或其他法院命令向科技公司施压，迫使它们提供信息。一些搜查令附带禁令，禁止公司告知用户他们的数据已被交出。 谷歌在最近的透明度报告中提到，去年下半年，他们收到了与全球超过40万个账户相关的19.2万次数据请求，其中约7万次请求来自美国国内。 报告未单独列出有关推送元数据请求的数据。但是指出，2022年1月至6月期间，美国援引《外国情报监视法》进行了多达500次“非内容信息”的请求。这个类别包括推送通知数据，牵涉到3.6万个账户。 谷歌指出，为了配合美国对推送通知和其他非内容信息的请求，需提供受司法监督的法院命令，而不是简单的传票。对于这样的法院命令，联邦官员还必须说服法官请求的数据与正在进行的刑事调查相关，并且具有重要意义。   转自安全内参，原文链接：https://www.secrss.com/articles/61752 封面来源于网络，如有侵权请联系删除

黑客组织APT28利用与以色列和哈马斯冲突相关的蜜罐分发定制的HeadLace后门来获取情报信息。这 是由监视该组织活动的 IBM X-Force 专家报告的。 新的攻击活动针对至少 12 个国家，包括匈牙利、土耳其、澳大利亚、波兰、比利时、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚。在袭击过程中，袭击者使用虚假文件，主要针对影响人道主义援助分配的欧洲组织。诱饵包括与联合国、以色列银行、美国国会公共政策研究所、欧洲议会和智库有关的文件。 一些攻击使用 RAR 存档，利用 WinRAR中的CVE-2023-38831 (CVSS: 7.8) 漏洞来分发 HeadLace 后门。当用户尝试查看存档中的安全文件时，该错误允许网络犯罪分子执行任意代码。如果受害者安装了存在漏洞的 WinRAR 应用程序并打开了存档，则当Headlace dropper在后台运行时，就会显示诱饵文档。 在其他情况下，感染会使用 DLL 劫持方法，该方法将易受 DLL 劫持的合法 Microsoft Calc.exe 二进制文件传递到目标设备。当受害者单击 Calc.exe 时，就会下载恶意 DLL 并将其与 Calc 一起打包在恶意存档中。此时 DLL 启动 Headlace。为了诱骗受害者运行可执行文件，Calc.exe 被重命名并在扩展名前包含空格，这可能会阻止用户检测 .EXE 扩展名。 另一个 Headlace 选项伪装成 Windows 更新。当执行脚本时，在其恶意组件被传递和执行后，Headlace 会立即定期显示虚假的更新状态消息。 值得注意的是，在建立对系统的控制后，APT28 使用额外的方法来拦截帐户数据NTLM或SMB哈希值，并试图通过 TOR 渗透网络。 X-Force 充满信心地表示，该组织将继续攻击外交和学术中心，以获取有关新政治决策的信息。APT28 可以通过利用公开的 CVE 和商用基础设施来适应网络威胁能力的变化。   转自安全客，原文链接：https://www.anquanke.com/post/id/291890 封面来源于网络，如有侵权请联系删除

据网络安全公司Abnormal Security近日发布的一份报告称：发起BazaCall钓鱼攻击的威胁组织正在尝试通过利用Google表单实施新一轮攻击。 BazaCall（又称BazarCall）最早被发现于2020年，攻击者通过发送假冒的电子邮件订阅通知给目标用户，敦促他们如有异议立刻联系服务台取消计划，否则可能面临50至500美元的收费。 在Abnormal Security最新检测到的攻击变种中，威胁组织使用了Google Forms创建的表单用作传递所谓订阅详情的渠道。 值得注意的是，该表单启用了回执功能，会通过电子邮件向表单回应者发送回应副本，以便攻击者可以发送邀请让其自己完成表单并接收回应。 安全研究员Mike Britton表示：由于攻击者启用了回执选项，目标收件人将收到已完成表单的副本，类似Norton Antivirus软件的付款确认。 使用Google Forms的巧妙之处还在于回应是从地址“forms-receipts-noreply@google[.]com”发送的，这是一个受信任的域名，因此有更高的绕过安全电子邮件网关的机会。Cisco Talos上个月曾披露过一起类似的Google Forms钓鱼活动。 Britton解释称：谷歌表单经常使用动态生成的 URL。这些 URL 不断变化的特性可以躲避利用静态分析和基于签名的检测的传统安全措施，这些措施依赖于已知的模式来识别威胁。 黑客利用More eggs后门瞄准招聘人员 Proofpoint 在披露这一信息的同时，还揭露了一个新的网络钓鱼活动，该活动以招聘人员为目标，直接发送电子邮件，最终导致一个名为 More eggs 的 JavaScript 后门。 这家企业安全公司将这一攻击浪潮归咎于一个 “技术娴熟、有经济动机的威胁行为者”，它追踪到的TA4557有滥用合法信息服务和通过电子邮件提供虚假工作机会的记录，并最终提供了More_eggs后门。 Proofpoint 说：在使用新的电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会收到一个回复链接到行为者控制的网站的 URL。 另外，还观察到该行为者回复了一个 PDF 或 Word 附件，其中包含访问虚假简历网站的说明。 More eggs以恶意软件即服务（malware-as-a-service）的形式提供，诸如Cobalt Group（又名Cobalt Gang）、Evilnum和FIN6其他著名的网络犯罪团伙也在使用它。     转自Freebuf，原文链接：https://www.freebuf.com/news/386558.html 封面来源于网络，如有侵权请联系删除