据Cyber Security News消息，ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件，能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。 基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始，该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片，该图片可以是一张景色秀丽的风景画，但却隐藏着恶意脚本。 恶意脚本使用 System.Drawing 库和特定公式(149 & 15)*16)|| (83^15) = 83从图像通道中计算出一个字节数组，该公式从图像的前两行绿色和蓝色RGB色彩通道值中通过提取隐藏代码而来。获得字节数组后，恶意软件会将其解码为 ASCII 字符，从而显示用户代理字符串和恶意软件将尝试连接的 C2 服务器 IP 地址。 Meterpreter后门原理 通过这种连接，攻击者可以发布命令，并有可能在未经授权的情况下访问被入侵的系统。解码后的信息会被转换成脚本，由恶意软件执行，从而在受感染的机器上建立一个持久的后门。该后门可用于各种恶意活动，如数据外渗、远程代码执行或在网络中进一步传播恶意软件。 隐写术：恶意软件传播的有力武器 隐写术是一种将信息隐藏在看似无害的数据中的做法，能够绕过传统的安全措施，通过在图像、音频文件或其他多媒体内容中隐藏恶意代码，在不被察觉的情况下发送有效载荷，目前正成为网络犯罪分子日益青睐的技术， Meterpreter 后门活动凸显了现代恶意软件作者的复杂性和适应性。通过利用隐写术，可以有效地隐藏其恶意活动，使安全专业人员在识别和减轻威胁方面面临更大的挑战。 一位网络安全专家表示，这一活动凸显了采用多层次安全方法的重要性，这种方法将传统的基于签名的检测与行为分析和机器学习等先进技术相结合，要想在这些不断变化的威胁面前保持领先，就必须时刻保持警惕，并采取积极主动的网络安全方法。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402324.html 封面来源于网络，如有侵权请联系删除

星链被俄罗斯攻破，不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 据“纽约时报”报道，俄罗斯正在利用更先进的手段，对乌克兰的星链造成广泛破坏，乌克兰数字部长Mykhailo Fedorov表示该消息属实。 自俄乌冲突爆发以来，星链为乌克兰提供了不可或缺的卫星通信服务，是提供态势感知、部队指挥和控制以及部队之间通信的关键因素之一，例如军队之间的通信、收集情报、无人机袭击等等。由于星链被俄罗斯网络人员攻破，乌克兰第92突击旅大受影响，其原定动作已经慢了下来。 乌克兰官员表示，俄罗斯采用了更先进的工具，可以大幅降低星链的服务质量，这也是俄罗斯首次对星链造成如此严重的破坏，并导致星链服务中断。这不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 资料显示，星链的工作原理是从绕地球运行的卫星上传送互联网连接。这些信号通过地面终端进行接收，然后像Wi-Fi路由器一样将连接发送到附近的笔记本电脑、电话和其他设备上。自2022年以来,”星链”为乌克兰提供了至关重要的互联网服务，例如依靠它来指导互联网连接的无人机群。 国与国之间的网络战最终还是不可避免地延伸至太空领域。5月27日，乌兰克数字部长Mykhailo Fedorov表示，俄罗斯对星链发起了大规模攻击，大量的通信服务被干扰，中断。有消息指出，对于星链的攻击与破坏还在测试中，俄罗斯正在寻找更具威胁的攻击方法，目前乌兰克正在与星链协商如何应对当前局面。 乌克兰士兵表示，星链正在变得“超级、超级缓慢”，甚至于很多士兵开始使用短信通讯，而非即时通讯软件，即使如此短信也需要有足够的时间才能发送，更别提利用星链来发动无人机群进行侦查和攻击。 目前美国正与星链共同应对当前状况，有专家表示，在干扰卫星与地面之间的通讯方面俄罗斯确有其独到之处，俄罗斯对于星链的攻击还有可能破坏器全球定位系统。急剧下降的服务质量让乌克兰部队苦不堪言，其士兵也在不断尝试各种技术与方法，以保护星链免遭攻击，具体包括将终端放置在洞中，并覆盖金属网等，但有专家认为这种方案的效果不大。 乌克兰使用的星链被俄罗斯攻破也给各国关键信息基础设施防护敲响了警钟。一直以来，电信行业关键信息基础设施能够提供网络通信和信息服务，为社会经济起到基础性支撑作用。面对日益严峻的安全风险和安全挑战，各国在关键信息基础设施保护方面积极开展实践，做好电信网络关键信息基础设施安全保护是重中之重。 近年来，国内外针对基础设施和重要信息系统的网络攻击事件频发，攻击手段不断升级，关键信息基础设施受到的网络威胁呈逐年上升趋势，对社会稳定和国家安全造成了巨大威胁，关键信息基础设施安全运行面临巨大挑战。 公共通信网和互联网作为国家信息化、数字化建设的主要载体，是最典型、最重要的关键基础设施，基础运营商的通信网、信令网、业务系统等重要系统是国家基础信息服务的支撑。 因此，电信行业关键信息基础设施运营者需建立关键信息基础设施保护安全管理体系、技术体系和运营体系。另外应呼吁行业协同保护关键信息基础设施安全，建立主动防御、信息共享、应急响应、预警通报和态势感知等协同机制，共同建立电信行业关键信息基础设施保护安全体系。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402143.html 封面来源于网络，如有侵权请联系删除

近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。 事件发生后，有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。 不过，该公司将此次服务中断归咎于 “大规模技术故障”，该故障影响了其网站和移动应用程序的功能。CDEK 还暂停了包裹运输，以避免人工处理过程中出现错误。 该公司表示：本周一（5月27日），公司在恢复全面运营方面取得了重大进展，但遗憾的是，我们还没有做好恢复服务的准备。您的所有包裹都是安全的，我们正在尽一切必要的努力确保它们尽快到达您的手中。 虽然 CDEK 公司并没有公开表示此次中断是因网络攻击而起，但据该公司内部的一位匿名人士透露给俄罗斯媒体 Vedomosti的消息称，这的确是一起勒索软件攻击事件。本周二（5月28日）晚些时候，俄罗斯国家杜马信息政策委员会主席证实 CDEK 的中断是由网络攻击造成的。 黑客组织在X上公开披露攻击事件 该黑客组织在 X 上发布的一则声明中写道： CDEK 的安全政策几乎是无效的，系统管理员防御能力太弱了。 CDEK 的通讯主管在接受 Interfax 新闻社采访时说，公司打算最迟于 5 月 29 日恢复运营。同时他表示公司正在努力全面恢复服务，也同步准备了备用计划。 CDEK 成立于 2000 年，以特许经营方式运营，截至 2023 年，在 31 个国家拥有超过 4300 个提货点，其中大部分位于俄罗斯。2021 年，公司估值约为 2 亿美元。 有不少СDEK 在俄罗斯的客户近几日纷纷在俄罗斯媒体发表的声明下发表评论，抱怨包裹投递延误。“我们的孩子本应在周五收到我们的包裹。一位客户告诉俄罗斯新西伯利亚市的当地媒体。 另一位俄罗斯公民告诉《生意人报》，快递延误将使他损失 4 万卢布（约合 450 美元）。 黑客没有说明他们为什么要攻击 CDEK，他们在 X 上称 CDEK 是 “俄罗斯最差的快递服务之一”。俄罗斯独立媒体 Meduza 报道称，在俄罗斯入侵乌克兰之初，俄罗斯士兵曾使用 CDEK 从乌克兰边境发送大型包裹。 Head Mare 黑客组织于去年 12 月加入 X，从那时起，它就声称对数家俄罗斯公司的攻击负责，包括互联网提供商、政府机构、工厂以及石油和天然气公司。他们发布了截图来证实这些所谓的攻击，但由于俄罗斯方面没有公开报道，因此很难核实这些行动的真实性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402127.html 封面来源于网络，如有侵权请联系删除

MITRE 公司透露，2023 年 12 月下旬针对这家公司的网络攻击利用了 Ivanti Connect Secure (ICS) 的零日漏洞，攻击者在其 VMware 环境中创建了恶意虚拟机 (VM)。 MITRE 研究人员 Lex Crumpton 和 Charles Clancy表示：“攻击者利用受损的 vCenter Server 访问权限，在 VMware 环境中创建了自己的恶意虚拟机。” “他们在 vCenter Server 的 Tomcat 服务器下编写并部署了一个 JSP Web Shell（BEEFLUSH）来执行基于 Python 的隧道工具，从而促进对手创建的虚拟机与 ESXi 虚拟机管理程序基础架构之间的 SSH 连接。” 此举背后的动机是通过隐藏其恶意活动来逃避检测，使其不受 vCenter 等集中管理界面的监控，并保持持续访问，同时降低被发现的风险。 上个月，MITRE 披露了与黑客（谷歌旗下的 Mandiant 将其编号为 UNC5221）利用两个 ICS 漏洞 CVE-2023-46805 和 CVE-2024-21887 入侵了其网络实验、研究和虚拟化环境 (NERVE)，随后披露了此次攻击的详细信息。 绕过多因素身份验证并获得初步立足点后，攻击者在网络中横向移动，利用受损的管理员帐户控制 VMware 基础架构，并部署各种后门和 Web shell来保留访问权限和获取凭据。 它包括一个基于 Golang 的后门，代号为 BRICKSTORM，嵌入在恶意虚拟机和两个称为 BEEFLUSH 和 BUSHWALK 的 Web shell 中，允许 UNC5221 执行任意命令并与命令和控制服务器进行通信。 MITRE 表示：“攻击者还使用默认的 VMware 帐户 VPXUSER 进行了七次 API 调用，列举了已安装和未安装的驱动器列表。” “恶意虚拟机在标准管理流程之外运行，不遵守既定的安全策略，因此很难仅通过 GUI 进行检测和管理。相反，需要特殊的工具或技术才能有效识别和减轻与恶意虚拟机相关的风险。” 针对攻击者秘密绕过检测并保持访问权限的有效对策之一是启用安全启动，通过验证启动过程的完整性来防止未经授权的修改。 该公司表示，还提供两个名为Invoke-HiddenVMQuery和VirtualGHOST的 PowerShell 脚本，以帮助识别和减轻 VMware 环境中的潜在威胁。 MITRE 表示：“随着对手不断改进其策略和技术，组织必须保持警惕并灵活应对网络威胁。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xqH2NCI5VFuUCQR653YpxA 封面来源于网络，如有侵权请联系删除

本周一（5月28日），Check Point 公司发布警告称，有黑客针对其远程访问VPN设备发起了持续攻击。 Check Point 公司方面表示，这些攻击者的目标，是使用不安全的纯密码验证的旧本地账户的安全网关。一般来说，这种验证应与证书验证一起使用，以防止出现漏洞攻击事件。 Remote Access是集成在所有Check Point网络防火墙中的，并可以配置成客户端到站点VPN，通过VPN客户端访问企业网络，也可以设置成SSL VPN门户，进行基于Web的访问。 近期已经发生了多起VPN解决方案遭到破坏的事件，涉及到多家网络安全供应商。 研究人员表示：鉴于这些事件，我们一直在监控未经授权访问 Check Point 客户 VPN 的尝试。截至 2024 年 5 月 24 日，我们发现了少量使用旧 VPN 本地账户的登录尝试，这些账户依赖于未推荐的仅密码验证方法。 最初我们发现了 3 次这样的尝试，后来当我们与我们组建的特别小组进一步分析时发现他们使用的攻击方式可能是相同的模式。 Check Point 发言人称：这些黑客在全球范围内的几次尝试让我们了解到了一种趋势，尤其是一种确保攻击不成功的非常直接的方法。 为了抵御这些持续不断的攻击，Check Point警告客户要及时检查Quantum Security Gateway和CloudGuard Network Security产品以及Mobile Access和Remote Access VPN软件上是否有此类易受攻击的账户。 同时，他们还建议客户将用户验证方法更改为更安全的选项（使用本支持文档中的说明），或从安全管理服务器数据库中删除易受攻击的本地账户。 该公司还发布了一个安全网关热修复程序，它将阻止所有本地账户使用密码进行身份验证。安装后，仅使用弱密码验证的本地账户将无法登录远程访问 VPN。 安装热修补程序后阻止了存在漏洞的本地帐户 思科 VPN 设备也成为严重攻击目标 Check Point是近几个月来第二家警告其VPN设备成为持续攻击目标的公司。 今年 4 月，思科也警告说，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭据暴力攻击非常普遍。 这种攻击最早始于今年 3 月 18 日左右，攻击源于 TOR 出口节点，并使用其他各种匿名工具和代理服务器来躲避拦截。 一个月前，思科发现了一波针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备的密码喷射攻击，这可能是该攻击行动的第一阶段侦察活动。 安全研究员 Aaron Martin 认为此类活动于此前的 “Brutus “恶意软件僵尸网络有所关联。据悉，该僵尸网络控制着云服务和住宅网络中至少 20000 个 IP 地址。 上个月，该公司还披露，UAT4356（又名 STORM-1849）黑客组织至少从 2023 年 11 月起就一直在利用思科自适应安全设备（ASA）和火力威胁防御（FTD）防火墙中的零日漏洞，用以入侵世界各地的政府网络，这种攻击活动被称为 ArcaneDoor 的网络间谍活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402032.html 封面来源于网络，如有侵权请联系删除

黑客正在利用微软经典游戏扫雷的 Python 克隆代码来隐藏恶意脚本，以攻击欧洲和美国的金融机构。 乌克兰的 CSIRT-NBU 和 CERT-UA 将这些攻击归咎于一个被追踪为“UAC-0188”的黑客组织，攻击者使用合法代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。 Superops RMM 是一款合法的远程管理软件，可远程访问受感染的系统。 CERT-UA 报告称 ，在首次发现此次攻击之后进行的研究显示，欧洲和美国的金融和保险机构中至少存在五起由相同文件引发的潜在漏洞。 攻击细节 攻击始于一封从地址“support@patient-docs-mail.com”发送的电子邮件，该邮件冒充一家医疗中心，主题为“医疗文件个人网络档案”。 收件人会收到提示，要求从提供的 Dropbox 链接下载一个 33MB 的 .SCR 文件。此文件包含来自扫雷游戏的 Python 克隆的无害代码，以及从远程源（“anotepad.com”）下载其他脚本的恶意 Python 代码。 可执行文件中包括的扫雷代码可以作为包含恶意代码的 28MB base64 编码字符串的掩护，试图使其对安全软件显得无害。 此外，扫雷代码包含一个名为“create_license_ver”的函数，该函数被重新用于解码和执行隐藏的恶意代码，因此合法软件组件被用于掩盖和促进网络攻击。 对 base64 字符串进行解码以组装一个 ZIP 文件，该文件包含 SuperOps RMM 的 MSI 安装程序，最终使用静态密码进行提取和执行。 攻击链，来源：CERT-UA SuperOps RMM 是一个合法的远程访问工具，但在这种情况下，它被用来授予攻击者对受害者计算机的未经授权的访问权限。 CERT-UA 指出，未使用 SuperOps RMM 产品的组织应将其存在或相关网络活动（例如对“superops.com”或“superops.ai”域的调用）视为黑客入侵的迹象。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DslAJuYGb9ZLAvuGvE9ngA 封面来源于网络，如有侵权请联系删除

每年负责 150 亿笔医疗保健交易的Change Healthcare公司估计，尽管支付了 2200 万美元的赎金，但在 2 月份的网络攻击中，三分之一的美国人（约 1.12 亿）的个人健康和身份信息被盗。 Change Healthcare尚未确定或联系数据遭到泄露的具体个人；与该公司签约的医疗服务提供商现在才看到其财务运营恢复正常。 圣玛丽山区医院、西部家庭健康中心、社区医院和科罗拉多州大章克申市退伍军人事务医疗中心均证实，他们与 Change 签订了合同，并受到系统中断的影响。 Family Health West 首席执行官兼总裁 Korrey Klein 医学博士表示：“坏人可能掌握的信息非常可怕。更糟糕的是，如果涉及到圣玛丽医院、社区和 Family Health West，任何在梅萨县接受过医疗服务的人都可能受到这种泄露的影响。” 根据美国医院协会 (AHA) 的数据，Change 是 UnitedHealth Group 的子公司，负责处理三分之一的患者记录。Klein 博士表示，Change 的医疗索赔流程通常包含患者的姓名、地址、出生日期、社会安全号码和雇主；如果索赔有共付额，它还可能包含患者的保险 ID 和金融机构信息。 除了获取敏感信息外，勒索软件还阻止医疗服务提供商使用 Change 软件接收付款和提交医疗索赔。提交医疗索赔对于服务提供商让保险公司报销患者费用至关重要。 袭击发生十二周后，梅萨县受影响的医院报告称，他们以电子方式提交索赔的能力已与大多数其他系统一起恢复。 损害控制 UnitedHealth Group （联合健康集团）首席执行官安德鲁·威蒂本月初在众议院小组委员会面前作证称，网络犯罪分子可能掌握约三分之一美国人的健康数据；该公司以比特币支付了 2200 万美元的赎金，但无法确定此次黑客攻击的 BlackCat 勒索软件组织是否会遵守协议。 联合健康集团于 4 月底发布声明，解释称由于数据复杂，数月内无法向特定个人提供援助。不过，联合健康集团已建立了呼叫中心和网站，提供信用监控和身份盗窃保护。 Klein 博士表示，鉴于情况的严重性，应该尽早通知患者，因此 Family Health West 承担了这项任务。 “尽管通知不是我们的责任，但我们会通知过去三年内接受过 Family Health West 医疗服务的任何人。”Klein 说道。“我们不知道他们是否收集了当前信息、过去信息，或者根本没有收集（任何）信息，但我们认为最好主动为患者提供信息。” 据社区医院通讯主管凯伦·马索夫 (Karen Martsolf) 称，在 2 月份网络攻击发生后不久，他们就向患者发送了一封有关该攻击的信件。 社区医院首席执行官兼总裁克里斯·托马斯表示：“虽然我们受到了社区医院外发生的这次网络攻击的影响，但我们将继续致力于保护我们的组织和患者免受这些外部威胁。” 美国退伍军人事务部部长丹尼斯·麦克多诺 (Denis McDonough) 在四月底的新闻发布会上表示，全国退伍军人事务部已向 1500 多万退伍军人发送了电子邮件，告知他们信息泄露的可能性，并提供了由变革医疗机构、联邦贸易委员会和退伍军人事务部本身提供的防欺诈资源和建议。 “几周以来，我们一直在敦促 Change 提供更多信息。”麦克多诺说。“如果我们确实得知退伍军人的个人信息已被泄露，我们将迅速采取行动，减轻影响，并为受影响的退伍军人提供全力支持。但要明确的是，我们不会等待确认后再与退伍军人沟通此事。” 深远的财务影响 根据联合健康集团最新的财务披露，此次网络攻击已造成约 8.7 亿美元的损失；联合健康集团首席财务官约翰·雷克斯估计，到今年年底，此次事件可能给公司造成 14 亿至 16 亿美元的损失。 这种勒索软件攻击还对全国许多医疗机构和服务提供商造成了显著的经济损失：AHA 在 3 月 9 日至 3 月 12 日期间对近 1,000 家医院进行了调查，发现 82% 的医院报告其现金流受到影响，其中近 60% 的受访者表示其每日收入受到超过 100 万美元的影响。 尽管医院没有受到直接攻击，但受影响的主要原因是勒索软件阻止提供商通过 Change 软件处理索赔。因此，提供商必须手动填写索赔单并将其发送给保险公司，克莱恩说这说起来容易做起来难。 “如果索赔是针对手术的，账单上可能会有 100 行信息。”Klein 说。“所有这些都必须手动输入到保险公司的网站上——每个病人、每次就诊。 “我们无法手动处理通常发出的大量索赔，因此索赔案件开始堆积，我们的现金开始减少。幸运的是，我们有足够的现金储备，所以我们知道我们最终会得到赔偿。这只是需要多长时间的问题。”     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/f51flEf2Cv4eIXbfO-p-7A 封面来源于网络，如有侵权请联系删除

针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件，都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到：虚拟化平台是组织IT基础设施的核心组成部分，但它们往往存在固有的错误配置和漏洞，这使它们成为威胁行为者有利可图和高度有效的滥用目标。 这家以色列公司通过对LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各种勒索软件家族的事件响应工作发现，对虚拟化环境的攻击遵循类似的行动顺序。 这包括以下步骤： 通过网络钓鱼攻击、恶意文件下载和利用面向互联网资产的已知漏洞获取初始访问权限 利用暴力攻击或其他方法提升权限，获取 ESXi 主机或 vCenter 的凭证 验证他们对虚拟化基础架构的访问权限并部署勒索软件 删除或加密备份系统，或在某些情况下更改密码，使恢复工作复杂化 将数据渗出到外部位置，如 Mega.io、Dropbox 或他们自己的托管服务 启动勒索软件的执行以加密 ESXi 文件系统的”/vmfs/volumes “文件夹 将勒索软件传播到非虚拟化服务器和工作站，以扩大攻击范围 为降低此类威胁带来的风险，建议企业确保实施充分的监控和日志记录，创建强大的备份机制，执行强有力的身份验证措施，加固环境，并实施网络限制以防止横向移动。 网络安全公司 Rapid7 警告称，自 2024 年 3 月初以来，该公司一直在利用常用搜索引擎上的恶意广告，通过错别字域名分发 WinSCP 和 PuTTY 的木马安装程序，并最终安装勒索软件。 这些伪装安装程序充当了投放 Sliver 后期漏洞工具包的渠道，该工具包随后被用于投放更多有效载荷，包括用于部署勒索软件的 Cobalt Strike Beacon。 该活动与之前的 BlackCat 勒索软件攻击在战术上有共同之处，后者使用恶意广告作为初始访问载体，是交付氮气恶意软件的重复性活动的一部分。 安全研究员Tyler McGraw说：该活动一定程度上影响了 IT 团队的成员，他们最有可能在寻找合法版本的同时下载木马文件。 勒索软件攻击 恶意软件一旦被成功执行可能会为威胁行为者提供更多便利，让其通过模糊后续管理操作的意图来阻碍分析。 此次攻击也是继Beast、MorLock、Synapse和Trinity等新勒索软件家族出现后的又一次最新事件披露，其中MorLock家族广泛针对俄罗斯公司，并在不先外泄文件的情况下对文件进行加密。 Group-IB在俄罗斯的分支机构F.A.C.C.T.表示：为了恢复数据访问，MorLock攻击者要求支付相当高的赎金，赎金数额可达数千万或数亿卢布。 根据 NCC 集团共享的数据，2024 年 4 月全球勒索软件攻击比上月下降了 15%，从 421 起降至 356 起。 值得注意的是，2024 年 4 月也标志着 LockBit 结束了长达 8 个月的受害者最多的威胁行为体统治，这也说明了其在今年早些时候执法部门大举打击后的艰难生存状况。 然而，令人惊讶的是，LockBit 3.0 并不是本月最突出的威胁组织，其观察到的攻击次数还不到 3 月份的一半。反倒Play 成为了最活跃的威胁组织，紧随其后的是 Hunters。 除了勒索软件领域的动荡之外，网络犯罪分子还在宣传隐藏的虚拟网络计算（hVNC）和远程访问服务，如 Pandora 和 TMChecker，这些服务可被用于数据外渗、部署额外的恶意软件和促进勒索软件攻击。 Resecurity表示：多个初始访问代理（IAB）和勒索软件操作员使用 TMChecker 来检查可用的受损数据，以确定是否存在企业VPN和电子邮件账户的有效凭证。 因此，TMChecker 的同时崛起意义重大，因为它大大降低了那些希望获得高影响力企业访问权限的威胁行为者的进入成本门槛，这些访问权限既可以用于初次利用，也可以在二级市场上出售给其他对手。   转自Freebuf，原文链接：https://www.freebuf.com/news/401744.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员揭露了一系列利用亚马逊 S3、谷歌云存储、Backblaze B2 和 IBM 云对象存储等云存储服务的犯罪活动。这些活动由未具名的威胁行为者发起，目的是将用户重定向到恶意网站，利用短信窃取他们的信息。 根据 Enea 今天发表的一篇技术文章，攻击者有两个主要目标。 威胁行为者要确保诈骗短信能在不被网络防火墙检测到的情况下发送到手机上。 威胁行为者试图让终端用户相信他们收到的短信或链接是可信的。 威胁行为者利用云存储平台托管带有嵌入式垃圾邮件 URL 的静态网站，使其信息看起来合法，并避开常见的安全措施。 云存储服务允许企业存储和管理文件，并通过在存储桶中存储网站资产来托管静态网站，威胁行为者利用这一功能，将垃圾邮件 URL 嵌入存储在这些平台上的静态网站中。 他们通过短信分发链接到这些云存储网站的 URL，由于知名云域被认为是合法的，这些 URL 通常可以绕过防火墙限制。用户一旦点击这些链接，就会在不知情的情况下被重定向到恶意网站。 例如，谷歌云存储域名 “storage.googleapis.com” 就被攻击者用来创建链接到垃圾网站的 URL。托管在谷歌云存储桶中的静态网页采用了 HTML 元刷新技术，可立即将用户重定向到诈骗网站。威胁行为者利用这种方法诱骗用户访问欺诈网站，这些网站通常会模仿礼品卡促销等合法优惠活动，以窃取用户的个人信息和财务信息。 Enea 还观察到亚马逊网络服务（AWS）和 IBM 云等其他云存储服务也采用了类似的策略，即通过短信中的 URL 进入托管垃圾邮件的静态网站。 为防范此类威胁，Enea 建议监控流量行为、检查 URL 并警惕包含链接的意外消息。   转自Freebuf，原文链接：https://www.freebuf.com/news/401751.html 封面来源于网络，如有侵权请联系删除

黑客组织“Sharp Panda”正在开展网络间谍活动，其目标已扩大到非洲和加勒比地区。 Check Point 在一份报告中表示：“此次攻击活动采用 Cobalt Strike Beacon 作为有效载荷，启用 C2 通信和命令执行等后门功能，同时最大限度地减少其自定义工具的暴露。”“这种精妙的方法表明他们对目标有更深入的了解。” 以色列网络安全公司正在以新名称“Sharp Dragon”跟踪这一活动，称对手在瞄准目标时十分谨慎，同时正在扩大侦察力度。 该活动于 2021 年 6 月首次曝光，当时被发现针对东南亚，在 Windows 系统上部署了一个名为 VictoryDLL 的后门。 Sharp Dragon随后发起的攻击将目光瞄准了东南亚备受瞩目的实体，以传播Soul 模块化恶意软件框架，然后该框架用于从攻击者控制的服务器接收其他组件，以促进信息收集。 有证据表明，Soul 后门自 2017 年 10 月以来一直在酝酿中，采用了Gh0st RAT 和其他公开的黑客工具。 另一组攻击发生在 2023 年 6 月，目标是 G20 国家的高级政府官员。 Sharp Panda 行动的关键是利用 1day 安全漏洞（例如 CVE-2023-0669）渗透基础设施，以便以后用作命令和控制 (C2) 服务器。另一个值得注意的方面是使用合法的模拟框架 Cobalt Strike 而不是自定义后门。 更重要的是，最新一系列针对非洲和加勒比地区的攻击表明其原有目标有所扩大，其作案手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件，感染这两个地区的新目标。 这些消息带有恶意附件，利用 Royal Road 富文本格式 (RTF) 武器化来投放名为 5.t 的下载程序，该下载程序负责进行侦察并启动 Cobalt Strike Beacon，从而允许攻击者收集有关目标环境的信息。 诱饵文档 Check Point 补充道，使用 Cobalt Strike 作为后门不仅可以最大限度地减少自定义工具的暴露，而且还表明了“改进的目标评估方法”。 自 2023 年 5 月以来 Sharp Dragon 的感染链 有迹象表明攻击者正在不断改进其策略，最近的攻击序列已被观察到使用伪装成文档的可执行文件来启动感染，而不是依靠利用远程模板的 Word 文档下载被 Royal Road 武器化的 RTF 文件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/YUOD4mrQpV2QGUwDaoSEKQ 封面来源于网络，如有侵权请联系删除