Bitdefender 安全研究人员披露了一个名为Unfading Sea Haze的先前未记录的威胁组织的详细信息，据信该组织自 2018 年以来一直活跃。 Bitdefender 在一份报告中表示，这次入侵专门针对东南亚地区。 攻击者多次重新获得对受感染系统的访问权限。这次攻击凸显了一个关键漏洞：凭证管理不佳以及对暴露设备和网络服务的修补措施不足。 研究人员表示，攻击者的行为特征与任何已知黑客团队都不重叠。此次攻击使用了Gh0st RAT 恶意软件的不同版本，这是一种已知的商品木马。 Bitdefender 表示：Unfading Sea Haze 采用的一项特定技术——通过名为 SharpJSHandler 的工具运行 JScript 代码——类似于‘ FunnySwitch ’后门中发现的一项功能。 据观察，Unfading Sea Haze 通过包含陷阱档案的鱼叉式网络钓鱼电子邮件获得对目标实体的访问权限。 这些存档文件附带 Windows 快捷方式 (LNK) 文件，启动后，会通过执行旨在从远程服务器检索下一阶段有效负载的命令来启动感染过程。此有效负载是一个名为 SerialPktdoor 的后门，旨在运行 PowerShell 脚本、枚举目录、下载/上传文件以及删除文件。 此外，该命令利用 Microsoft 构建引擎 ( MSBuild ) 以无文件方式执行位于远程位置的文件，从而不会在受害者主机上留下任何痕迹，并降低检测到的机会。 滥用 msbuild.exe 启动无文件攻击 攻击链的特点是使用计划任务作为建立持久性的一种方式，任务名称模拟合法的 Windows 文件，这些文件用于运行无害的可执行文件，该可执行文件容易受到DLL 侧面加载的影响，从而加载恶意 DLL。 Gh0st 变体部署的大致时间表 Bitdefender 表示：“除了使用计划任务外，攻击者还采用了另一种持久性技术：操纵本地管理员帐户。包括尝试启用已禁用的本地管理员帐户，然后重置其密码。” 据了解，至少自 2022 年 9 月以来，Unfading Sea Haze 就开始采用市售的远程监控和管理 (RMM) 工具（例如 ITarian RMM）来在受害者网络中站稳脚跟。 攻击者的复杂程度可以从其武器库中的各种自定义工具中看出，其中包括 Gh0st RAT 的变种，例如 SilentGh0st 及其进化后继者 InsidiousGh0st（有 C++、C# 和 Go 版本）、TranslucentGh0st、FluffyGh0st 和 EtherealGh0st，后三种是模块化的并采用基于插件的方法。 同时使用的是一种名为 Ps2dllLoader 的加载器，它可以绕过反恶意软件扫描接口 (AMSI)，并充当传递 SharpJSHandler 的管道，它通过监听 HTTP 请求并使用 Microsoft.JScript 库执行编码的 JavaScript 代码。 Bitdefender 表示，它发现了另外两种 SharpJSHandler，它们能够从 Dropbox 和 Microsoft OneDrive 等云存储服务中检索和运行有效负载，并将结果导出回同一位置。 Ps2dllLoader 还包含另一个代号为 Stubbedoor 的后门，该后门负责启动从命令和控制 (C2) 服务器接收到的加密 .NET 程序集。 攻击过程中部署的其他工具包括一个名为 xkeylog 的键盘记录器、一个网络浏览器数据窃取程序、一个用于监视便携式设备存在的工具，以及一个名为 DustyExfilTool 的自定义数据泄露程序，该程序于 2018 年 3 月至 2022 年 1 月期间投入使用。 自定义工具每十秒检查一次新插入的 USB 和 Windows 便携式设备 (WPD)，并向攻击者发送设备详细信息和特定文件。 这还不是全部。在 Unfading Sea Haze 使用的复杂恶意代理和工具库中，还有第三个后门，称为 SharpZulip，它利用 Zulip 消息服务 API 从名为“NDFUIBNFWDNSA”的流中获取要执行的命令。在 Zulip 中，流（现在称为频道）类似于 Discord 和 Slack 中的频道。 有证据表明，数据泄露是由攻击者手动执行的，目的是获取感兴趣的信息，包括来自 Telegram 和 Viber 等消息应用程序的数据，并将其打包为受密码保护的档案形式。 Zugec 指出：“这种定制工具和现成工具的结合，再加上手动数据提取，描绘了一幅有针对性的间谍活动的画面，重点是从受感染的系统中获取敏感信息。” “他们的定制恶意软件库，包括 Gh0st RAT 系列和 Ps2dllLoader，展示了对灵活性和规避技术的关注。观察到的向模块化、动态元素和内存执行的转变凸显了他们绕过传统安全措施的努力。” Unfading Sea Haze 利用无文件攻击、先进的规避方法和模块化恶意软件设计，展现了隐秘性、持久性和适应性。 为了阻止这些攻击，组织必须采用多方面的安全策略，包括补丁管理、MFA 采用、网络分段、流量监控以及部署最先进的检测和响应产品。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mFytHVCDELMGFCJHAt6I_g 封面来源于网络，如有侵权请联系删除

近日，伊朗国家黑客组织用数据擦除器对以色列40家重要组织实施了大规模的网络攻击活动。 双拳出击 根据Check Point Research的研究报告，伊朗情报和安全部（MOIS）麾下有两个高级黑客组织（APT），其中一个名为Scarred Manticore（疤面蝎狮，也称Storm-861），是伊朗最顶尖的间谍黑客组织，常年对中东及其他地区的高价值组织进行监视。该组织的攻击效率很高，获取了很多高价值目标的初始访问权限；另一个MOIS的高级黑客组织Void Manticore（也称Storm-842）也会利用Scarred Manticore获得的初始访问权限，开展自己的破坏性活动。 据报道，到目前为止，Void Manticore声称已成功攻击了超过40个以色列组织，并在阿尔巴尼亚也发起多次高调的攻击活动。 协同作战 这两个伊朗黑客组织之间的合作模式简单且高效，充分利用了各自的优势。 Check Point对Void Manticore的攻击和信息泄露进行分析后发现，其受害者与Scarred Manticore的受害者群体存在显著重叠，表明这两个组织之间存在合作，某些案例中还发现有明确的“交接”程序（下图）： 首先，Scarred Manticore进行间谍活动，通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露，通常持续超过一年。 当发生一些升级事件时，比如以色列哈马斯之间爆发冲突，攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动，这时就轮到Void Manticore开始施展拳脚。 Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴，主要使用简单且大部分公开可用的工具发动攻击，例如使用远程桌面协议(RDP)进行横向移动，并手动部署数据擦除器。 与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。 破坏行动 Void Manticore在以色列的行动使用“Karma”的代号。 以色列与哈马斯冲突爆发后不久，Karma就通过Telegram Channel介入冲突，并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站，发动反对以色列政府，特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物，因此使用蝴蝶图标作为其标志的一部分。 Karma的另一个任务是彻底的破坏（擦除数据）。该组织使用常见的公开工具（如用于横向移动的RDP和reGeorg Web shell），他们的目标是删除以色列组织的文件，有时甚至手动删除文件和共享驱动器。 Void Manticore还拥有一系列定制的数据擦除器，可以大致分为两类。一类是设计用于破坏特定文件或文件类型的，采用更有针对性的方法。另一类则针对分区表，即主机系统中负责映射磁盘中文件位置的部分。通过破坏分区表，磁盘上的数据虽然未被触动但无法访问。 自首次出现以来，Karma声称已成功针对40多个以色列组织，其中包括几个高价值目标。攻击方式包括擦除、窃取和发布受害者的数据。 防御策略 对于防御者来说，同时对抗两个分工协作的国家级APT黑客组织颇具挑战性。因为他们各自拥有不同的工具、基础设施、战术、技术和程序（TTPs）。Check point的报告指出：“这是一个新趋势，但还没有人对此进行深入思考。” 两个伊朗APT组织之间交接到破坏开始的时间窗口非常短，因此更简单有效的防御路径可能是专注于初始威胁（尽管它更复杂），因为间谍活动通常比破坏活动持续时间更长。当破坏性行为者获得网络访问权限时，几乎会立即进行操作。 报告指出，任何组织都可以采取简单的防御措施来阻止协同作战的APT组织中的一个。例如，Void Manticore的简单TTPs可以通过有效的端点安全措施来阻止。 即使是Scarred Manticore这种隐蔽的间谍活动也可以在源头上被阻断。在大多数情况下，Scarred Manticore通过利用CVE-2019-0604漏洞（一个严重但已有五年历史的微软Sharepoint漏洞）开始攻击。“这并不是一个零日漏洞，所以完全是可以预防的。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DxGeWcqEx1LdZgnlQV126g 封面来源于网络，如有侵权请联系删除

近日，据美国检方发布的一份起诉书，检察官指控麻省理工学院毕业的两兄弟被指控利用以太坊区块链的一个漏洞，进行了一场“闪电般的抢劫行动”，他们在12秒内窃取了2500万美元（折合人民币约1.8亿元）。 曼哈顿的联邦检察官指控，24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示，在几个月的时间内，两人利用以太坊的安全漏洞策划、实施了此次攻击，并通过成立空壳公司来隐藏他们获得的非法利润。 两人都曾就读于麻省理工学院，Anton于今年2月毕业，获得计算机科学和数学学士学位，James于2021年毕业，获得航空航天硕士学位。纽约南区联邦检察官达米安·威廉姆斯在一份声明中表示：“这对兄弟曾在世界上最负盛名的大学之一学习计算机科学和数学，他们被控利用自己的专业技能和教育来篡改和操纵全球数百万以太坊用户所依赖的协议。” 美国检方表示，这对兄弟开发了一种名为验证器的东西，旨在帮助在以太坊网络上下单交易，并通过促进套利和其他有利可图的交易来帮助机器人赚钱。检方称，他们两人同时安装了自己的验证器，以欺骗操作机器人的交易员。他们获得了待处理交易的访问权限，并改变了电子货币的流动，以窃取加密货币。 当局表示，他们于2023年4月实施了精心策划的抢劫，在短短12秒内从交易员那里窃取了2500万美元，欺诈性地获得了待处理交易的访问权限，并改变了加密货币的走势。这对兄弟随后通过一个交易网络转移了加密货币，试图隐藏资金来源。检察官表示，在实施抢劫后，兄弟俩拒绝了归还资金的请求，而是采取措施清洗和隐藏被盗的加密货币。 起诉书指控他们共谋实施电信诈骗和共谋洗钱。Anton在波士顿被捕，James在纽约被捕。检察官指出，这是此类“新颖”的欺诈形式首次受到刑事指控。如果罪名成立，他们每人将面临20年以上的监禁。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401266.html 封面来源于网络，如有侵权请联系删除

勒索软件团伙通过 Google 搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站，针对Windows系统管理员。 WinSCP 和 Putty 是流行的 Windows 实用程序，其中 WinSCP 是 SFTP 客户端和 FTP 客户端，Putty 是 SSH 客户端。 系统管理员通常在 Windows 网络上拥有更高的权限，这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。 Rapid7 最近的一份报告称，搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。 这些广告使用了易混淆的相似域名，例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。 这些网站包含下载链接，单击这些链接后，这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。 假冒 Putty 下载网站推送木马安装程序 下载的 ZIP 存档包含一个 Setup.exe 可执行文件（它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe )）和一个恶意 python311.dll 文件。 当 pythonw.exe 可执行文件启动时，它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。 当用户运行Setup.exe时，认为它正在安装PuTTY或WinSCP，它会加载恶意DLL，该DLL会提取并执行加密的Python脚本。 该脚本最终将安装 Sliver 后利用工具包，这是一种用于初始访问公司网络的流行工具。 Rapid7 表示，攻击者使用 Sliver 远程投放更多有效负载，包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。 攻击链 虽然 Rapid7 分享了有关勒索软件的有限细节，但研究人员表示，该活动与Malwarebytes 和趋势科技发现的活动类似 ，后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。 Rapid7 的 Tyler McGraw 解释说：“在最近的一次事件中，Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据，然后部署勒索软件，但这一尝试最终在执行过程中被阻止。” “Rapid7 观察到的相关技术、策略和程序 (TTP) 让人想起趋势科技去年报告的过去的 BlackCat/ALPHV 活动。” 在过去的几年中，搜索引擎广告已成为一个大问题， 许多攻击者利用它们来推送恶意软件和网络钓鱼网站。 这些广告针对流行程序，包括 Keepass、CPU-Z、  Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、 7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、 Thunderbird 和 Brave。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/wdmVhgYz__iF2KJiyvMq6w 封面来源于网络，如有侵权请联系删除

赛门铁克研究人员观察到与朝鲜有关的APT组织Kimsuky使用名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个新版本，Kimsuky 在最近的一次活动中通过特洛伊木马软件安装包传播该后门。 Kimsuky 网络间谍组织 （又名 Springtail、ARCHIPELAGO、Black Banshee、  Thallium、Velvet Chollima、  APT43）于 2013 年首次被卡巴斯基研究人员发现。该 APT 组织主要针对韩国的智库和组织，其他受害者分布在美国、欧洲和俄罗斯。 Gomir 和 GoBear 共享很大一部分代码。 韩国安全公司 S2W 的研究人员于 2024 年 2 月首次发现了该活动，观察到攻击者使用特洛伊木马软件安装包传播名为 Troll Stealer 的新恶意软件系列。 Troll Stealer 支持多种窃取功能，它允许操作员收集文件、屏幕截图、浏览器数据和系统信息。 恶意代码是用 Go 编写的，研究人员注意到 Troll Stealer 包含与早期 Kimsuky 恶意软件大量代码重叠的内容。 Troll Stealer 还可以复制受感染计算机上的 GPKI（政府公钥基础设施）文件夹。 GPKI 是韩国政府人员和国家组织的公钥基础设施架构，这表明政府机构是国家资助的黑客的攻击目标之一。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。 此前有报道称，Wizvera VeraPort 受到了 与朝鲜有联系的组织Lazarus发起的供应链攻击。 “Troll Stealer 似乎与最近发现的另一个名为 GoBear 的基于 Go 语言编写的后门有关。这两种威胁均使用颁发给“D2innovation Co.,LTD”的合法证书进行签名。GoBear 还包含与旧版 Springtail 后门（称为 BetaSeed）类似的函数名称，后者是用 C++ 编写的，这表明这两种威胁具有共同的起源。”赛门铁克发布的报告中写道。 执行时，恶意软件会检查组 ID 值以确定其是否在 Linux 计算机上作为组 0（组与超级用户或管理权限关联）运行。 恶意代码汇集了要执行的命令，研究人员观察到它支持多个命令。包括 Gomir和GoBear Windows后门支持几乎相同的命令。 最新的 Kimsuky 活动强调，朝鲜间谍活动越来越青睐软件安装包和更新作为感染媒介。专家们注意到，木马软件安装程序和虚假软件安装程序已转向软件供应链攻击。一个突出的例子是3CX 供应链攻击，源于早期的 X_Trader 攻击。 “最新的 Springtail 活动提供了进一步的证据，表明软件安装包和更新现在是朝鲜间谍活动者最喜欢的感染媒介之一。”报告总结道。“与此同时，Springtail 专注于第三方网站上托管的木马软件安装程序，需要安装或伪装成官方应用程序。目标软件似乎是经过精心挑选的，以最大限度地提高感染韩国目标的机会。” 该报告还提供了最新活动中使用工件的威胁检测指标（IOCs） ，包括 Troll Stealer、Gomir 和 GoBear dropper。 完整技术报告：https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/fnnn4iP3RtT1zWTgr4GnXQ 封面来源于网络，如有侵权请联系删除

网络安全研究人员最近发现一项 SugarGh0st RAT 活动，针对美国参与人工智能领域组织，包括学术界、私营企业和政府服务机构。 2024 年 5 月的活动被称为 UNK_SweetSpecter，使用 SugarGh0st RAT，这是一种根据 Gh0stRAT 定制的远程访问木马，是 Gh0stRAT 的定制变体。 Gh0stRAT 是一种较旧的商品木马，变体被用于针对与人工智能相关的实体，SugarGh0st RAT 历来被用于针对中亚和东亚的目标用户。 Proofpoint 发布的一份报告中描述，这些攻击利用免费电子邮件帐户来分发以 AI 为主题的诱饵，诱使收件人打开 zip 附件。 此后，感染链与思科 Talos之前发现的模式非常相似。值得注意的是，攻击者修改了注册表项名称以实现持久性，并利用了不同的命令和控制 (C2) 服务器。 Proofpoint 分析显示，UNK_SweetSpecter 将 C2 通信转移到了新域 account.gommask[.]online，这凸显了攻击者的敏捷性。 自初次报告以来，SugarGh0st RAT 仅参与了少数活动，表明其行动具有高度针对性。目标包括一家美国电信公司、一家国际媒体组织和一家南亚政府组织，几乎所有收件人的电子邮件地址似乎都是公开的。 Proofpoint写道：“虽然这些活动没有利用技术复杂的恶意软件或攻击链，但[我们的]遥测支持评估所识别的活动极具针对性。” “2024 年 5 月的攻击活动似乎针对不到 10 个人，根据开源研究，所有这些人似乎都与美国领先的人工智能组织有直接联系。” Proofpoint 无法将这些活动高度可信地归因于特定的黑客组织。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/iEXzE0TTvQ_NTxovy_fqBQ 封面来源于网络，如有侵权请联系删除

Akira 勒索软件团伙声称攻击 Fiskars 集团后，集团发布声明确认“遭遇了网络攻击，影响了在美国的一小部分公司系统。” Fiskars 表示公司的运营未受影响，业务仍在正常进行。 “Fiskars 集团发现此次攻击后，立即采取了遏制措施，并成功阻止了事件的进一步发展。目前，针对该事件及其对数据影响的调查正在进行中，”公司表示。 Fiskars 集团已通知执法部门，并继续协助他们的调查。 尚不清楚此次事件是否暴露了任何个人数据。 5月14日，使用Akira 勒索软件的著名黑客在其受害者网站上发布了 Fiskars 集团的信息，声称他们窃取了2TB的数据，包括“各种敏感文件”。 “我们拿走了2TB的数据。需要我列出从他们服务器上复制的内容吗？很显然这里有很多你们感兴趣的敏感文件。我们会尽快提供这些文件的访问权限，”Akira 在暗网上的帖子写道。 Fiskars集团总部位于芬兰赫尔辛基，是Fiskars、Georg Jensen、Gerber、Iittala、Moomin Arabia、Royal Copenhagen、Waterford和Wedgwood的全球消费品供应商。该公司在 100 多个国家/地区开展业务，拥有近 450 家门店。Fiskars集团拥有约7,000名员工，2023年全球净销售额为11亿欧元。 根据 Cybernews Ransomlooker 工具，Akira Ransomware 是 2023 年最活跃的勒索软件团伙之一，共有 169 名受害者。 据联邦调查局 （FBI） 和其他当局称，在不到一年的运营中，该团伙已从 250 多个受影响的组织中获得了约 4200 万美元的勒索软件收益。Akira的最大受害者是日本汽车巨头日产（Nissan），该公司向100,000人通报了网络漏洞，据称斯坦福大学（Stanford University）和德克萨斯州的城市拿骚湾（Nassau Bay）丢失了430GB的内部数据。    消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

黑客组织R00TK1T ISC CyberTeam声称对入侵埃及供应和内贸部负责。该组织在其平台上发布的声明中大胆宣称成功渗透该部系统，并附上了据称他们访问高度安全网络的证据。 这次埃及供应和内部贸易部的被入侵声明是在R00TK1T ISC此前一系列公告后发布的，包括他们曾意图攻击BreachForums并关闭其官方Telegram频道的说明。 该组织提到，出于安全考虑，他们将转回秘密运作，只留下私密数据频道作为其活动的唯一沟通方式。 供应和内贸部入侵声明 Cyber Express试图联系埃及供应和内部贸易部来了解此次所谓数据泄露的信息。然而，由于沟通困难，Cyber Express无法直接与该部取得联系，从而无法验证入侵情况。因此，R00TK1T ISC的声明仍未得到确认。 目前，供应和内部贸易部的网站似乎运行正常，没有显示出任何被入侵的迹象。黑客分享了几张此次入侵盗取的文件截图。 在谈到入侵供应和内部贸易部时，黑客在其帖子中表示：“我们成功入侵了埃及供应和内部贸易部，展现了我们对其系统的深度渗透。” R00TK1T ISC CyberTeam黑客活动 与此同时，在2024年1月30日的另一起事件中，R00TK1T ISC CyberTeam对马来西亚的数字基础设施发起了攻击，进一步突显了此类恶意活动对全球的影响力和威胁性。他们声称已访问了诸如欧莱雅和卡塔尔航空等知名公司的敏感信息，突显了企业所面临网络威胁的复杂性和持续性。 在埃及，最近几周企业部门见证了勒索软件攻击事件的激增，这给各行各业带来了重大风险。面对这一不断升级的威胁，需要紧急采取行动来加强网络安全以减轻潜在的损害。 在中东持续的政治和安全挑战中，埃及企业成为网络攻击的主要目标，勒索软件成为普遍威胁。这类攻击的后果包括数据丢失和声誉受损，强调了建立良好防御机制以免受网络威胁的关键性。   消息来源：cyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，黑客利用域名系统（DNS）隧道技术跟踪受害者，追踪其何时打开网络钓鱼电子邮件和点击恶意链接，并扫描网络是否存在潜在漏洞。 DNS 隧道技术是对通过 DNS 查询发送和检索的数据或命令进行编码，实质上是将 DNS 这一基本网络通信组件变成一个隐蔽的通信渠道。 黑客以 Base16 或 Base64 或自定义文本编码算法等各种方式对数据进行编码，以便在查询 TXT、MX、CNAME 和地址记录等 DNS 记录时返回这些数据。 黑客通常使用 DNS 隧道绕过网络防火墙和过滤器，利用这种技术进行指挥和控制（C2）以及虚拟专用网络（VPN）操作。DNS 隧道技术也有合法的应用，如绕过审查。 Palo Alto Networks 的 Unit 42 安全研究团队最近在涉及受害者跟踪和网络扫描的恶意活动中发现了更多使用 DNS 隧道的情况。 TrkCdn 活动 第一个活动被追踪为 “TrkCdn”，重点是追踪受害者与钓鱼电子邮件内容的关联。 攻击者在电子邮件中嵌入内容，打开后会对攻击者控制的子域执行 DNS 查询，这些子域的 FQDN 包含编码内容。例如，4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com。 其中 4e09ef9806fb9af448a5efcd60395815 是 unit42@not-a-real-domain[.]com 的 md5 哈希值，它解析为主要权威名称服务器的 CNAME。 研究人员解释说：尽管不同目标的 FQDN 各不相同，但它们都被转发到 cdn.simitor[.]com 使用的相同 IP 地址。随后该权威名称服务器会返回一个 DNS 结果，该结果会指向一个由攻击者控制的服务器，该服务器会发送由攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。 通过这种方法，攻击者可以评估他们的策略，改进策略，并确认向受害者发送恶意有效载荷。 Unit 42 的报告还强调了一个类似的活动，该活动利用 DNS 隧道跟踪垃圾邮件的发送，被称为SpamTracker。 SecShow 活动 分析人员发现的第二个活动代号为 “SecShow”，利用 DNS 隧道扫描网络基础设施。攻击者会在 DNS 查询中嵌入 IP 地址和时间戳，以绘制网络布局图，发现潜在的配置漏洞，并利用这些漏洞进行渗透、数据窃取或拒绝服务。 该活动中使用的 DNS 查询会定期重复，以实现实时数据收集、检测状态变化，并测试不同网络部分对主动 DNS 请求的响应。 威胁行为者选择 DNS 隧道而不是跟踪像素和常规网络扫描工具等更传统的方法有几个原因，包括能够绕过安全工具、避免检测和保持操作的多功能性。 Unit 42 建议企业实施 DNS 监控和分析工具，以监控和分析日志中的异常流量模式和异常情况，如非典型或高流量请求。 此外，最好限制网络中的 DNS 解析器，只处理必要的查询，减少 DNS 隧道滥用的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，澳大利亚最主要的非银行类贷款机构Firstmac日前遭遇了一起由网络攻击导致的数据泄露事件，被称为Embargo的勒索软件团伙从该公司窃取了超过500G的数据。 Firstmac是澳大利亚金融服务行业的重要参与者，主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班，拥有 460 名员工，已发放10万笔住房贷款，目前管理着 150 亿澳元的抵押贷款。 5月11日，Have I Been Pwned 的创建者 Troy Hunt 在 X 上公开了由Firstmac发送给客户的通知信样本，告知他们发生了严重的数据泄露事件，并称在外部网络安全专家的协助下确定泄露的信息包括了客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息。 尽管如此，Firstmac 向客户保证，他们的账户和资金是安全的，该公司的系统现在已经得到了适当的支持。 为此，Firstmac已将所有帐户更改都必须使用双因素身份验证或生物识别技术来确认用户的身份。IDCare也将为收到通知的客户提供免费的身份盗窃保护服务，并建议对未经请求的通信保持谨慎，并定期检查其帐户对帐单是否有异常活动。 据澳大利亚新闻媒体报道，这一数据泄露事件发生在2024年4月，Embargo勒索软件组织在其数据泄露网站上宣布了这一消息。 Embargo在数据泄露网站上公开的勒索信息 该组织被认为是一个新兴的网络犯罪团伙，其勒索页面上只列出了两名受害者，目前尚未找到该组织的加密器的样本，不清楚他们是自己主导了勒索攻击，还是从其他人手中购买了被盗数据进行勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/400745.html 封面来源于网络，如有侵权请联系删除