研究发现“TheMoon”恶意软件僵尸网络的新变种感染了 88 个国家/地区数千个小型办公室和家庭办公室 (SOHO) 路由器和物联网设备。 TheMoon 与“Faceless”代理服务相关联，该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络犯罪分子路由流量。 Black Lotus Labs 研究人员对 2024 年 3 月上旬开始的最新 TheMoon 活动进行监控，发现 72 小时内有 6,000 台华硕路由器成为攻击目标。 威胁分析师报告称，IcedID 和 SolarMarker 等恶意软件操作目前使用代理僵尸网络来混淆其在线活动。 Faceless 代理服务概述 针对华硕路由器 TheMoon 首次被发现 于 2014 年，当时研究人员警告称，该恶意软件正在利用漏洞感染 LinkSys 设备。 该恶意软件的最新活动在一周内感染了近 7,000 台设备，Black Lotus Labs 表示它们主要针对华硕路由器。 Black Lotus 警告称：“通过 Lumen 的全球网络可见性，Black Lotus Labs 已经确定了 Faceless 代理服务的逻辑图，其中包括一项于 2024 年 3 月第一周开始的活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击”实验室研究人员。 研究人员没有具体说明用于破坏华硕路由器的确切方法，但鉴于目标设备型号已停产，攻击者很可能利用了固件中的已知漏洞。 攻击者还可能暴力破解管理员密码或测试默认和弱凭据。 一旦恶意软件获得对设备的访问权限，它就会检查是否存在特定的 shell 环境（“/bin/bash”、“/bin/ash”或“/bin/sh”）；否则，它会停止执行。 如果检测到兼容的 shell，加载程序会解密、删除并执行名为“.nttpd”的有效负载，该有效负载会创建一个具有版本号（当前为 26）的 PID 文件。 随后，恶意软件设置 iptables 规则以丢弃端口 8080 和 80 上的传入 TCP 流量，同时允许来自特定 IP 范围的流量。这种策略可以保护受感染的设备免受外部干扰。 接下来，恶意软件会尝试联系合法 NTP 服务器列表，以检测沙箱环境并验证互联网连接。 最后，恶意软件通过循环访问一组硬编码的 IP 地址来与命令和控制 (C2) 服务器连接，C2 会用指令进行响应。 在某些情况下，C2 可能会指示恶意软件检索其他组件，例如扫描端口 80 和 8080 上易受攻击的 Web 服务器的蠕虫模块或代理受感染设备上流量的“.sox”文件。 Sox 与 Faceless 服务器通信的样本 Faceless 代理服务 Faceless 是一项网络犯罪代理服务，可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。该服务不使用“了解您的客户”验证流程，任何人都可以使用。 购买 Faceless 代理服务的访问权限 为了保护他们的基础设施不被研究人员绘制地图，Faceless 操作员确保每台受感染的设备在感染持续期间仅与一台服务器通信。Black Lotus Labs 报告称，三分之一的感染会持续 50 天以上，而 15% 的感染会在 48 小时内消失。这表明后者受到更好的监控，并且可以快速检测到危害。 受感染设备的生命周期 尽管 TheMoon 和 Faceless 之间存在明显的联系，但这两个操作似乎是独立的网络犯罪生态系统，因为并非所有恶意软件感染都成为 Faceless 代理僵尸网络的一部分。为了防御这些僵尸网络，请使用强管理员密码并将设备的固件升级到解决已知缺陷的最新版本。如果设备已达到 EoL，请将其替换为有效支持的型号。路由器和物联网上恶意软件感染的常见迹象包括连接问题、过热和可疑的设置更改。 转自E安全，原文链接：https://mp.weixin.qq.com/s/9j5k-AMo3CjD8M_28Ln-ug 封面来源于网络，如有侵权请联系删除

昨天（3月27日），EclecticIQ 研究人员发布了一份报告称：黑客攻击了印度政府和能源公司，目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制（C2）泄露敏感信息。 据调查，这个信息窃取程序是通过伪装成印度空军邀请函的钓鱼邮件发送的。攻击者利用 Slack 作为外渗点，在恶意软件执行后上传机密内部文档、私人电子邮件信息和缓存的网络浏览器数据。 今年 3 月 7 日，荷兰网络安全公司首次注意到这个攻击活动，该活动代号为 “FlightNight 行动”。其攻击的目标涉及印度多个政府机构，包括与电子通信、IT 管理和国防相关的多个组织。 据悉，黑客已经成功入侵了私营能源公司，并获取了财务文件、员工个人资料以及石油和天然气钻探活动的详细信息，攻击行动导致约 8.81 GB 的数据被泄露。 攻击链从包含 ISO 文件（”invite.iso”）的钓鱼邮件开始，该文件又包含一个 Windows 快捷方式（LNK），可触发执行安装在光盘镜像中的隐藏二进制文件（”scholar.exe”）。 恶意软件还会给受害者发一个虚假的印度空军邀请函 PDF 文件，并通过 PDF 获取文档和缓存的网络浏览器数据，然后将这些信息和数据传输到一个由行为者控制的名为 FlightNight 的 Slack 频道。该恶意软件是 HackBrowserData 的修订版，它不仅具有浏览器数据盗窃功能，还具有虹吸文档（Microsoft Office、PDF 和 SQL 数据库文件）、通过 Slack 通信以及使用混淆技术更好地躲避检测的功能。 研究人员称，黑客很可能在之前的一次入侵行动中窃取了诱饵 PDF，其行为相似性可追溯到针对印度空军的网络钓鱼活动，当时他们曾使用了一种名为 GoStealer 的基于 Go 的窃取程序。今年 1 月中旬，一位化名为 xelemental（@ElementalX2）的印度安全研究人员披露了活动细节。 GoStealer 的感染序列与 FlightNight 几乎完全相同，都是利用以采购为主题的诱饵（”SU-30 飞机采购.iso”）来显示诱饵文件，同时部署窃取程序有效载荷，再通过 Slack 泄露信息。 通过改编免费提供的攻击工具，并重新利用企业环境中普遍存在的 Slack 等合法基础设施，威胁行为者可以有效地减少时间和开发成本。这意味着黑客能够更加轻松地发起有针对性的攻击，甚至一些技术水平一般般的初网络犯罪分子也能利用这种方法快速实施攻击，这极易给企业带来巨大的经济损失。 Büyükkaya认为：’FlightNight行动’和’GoStealer行动’进一步透露了黑客如何更简而有效地利用开源工具进行网络间谍活动。同时，这也凸显了网络威胁不断演变的态势。黑客已经开始学会广泛地使用开源攻击工具和平台，以最小的成本博取更大的利益。   转自Freebuf，原文链接：https://www.freebuf.com/news/396179.html 封面来源于网络，如有侵权请联系删除

2024年，18个非洲国家准备进行大选。与此同时，针对非洲的网络虚假信息攻击激增。遏制威胁的关键是加强网络安全工作。 安全内参3月27日消息，针对非洲国家和驻非洲国际组织的网络虚假信息攻击近年来急剧上升，网络安全专家们亟需寻求解决方案，来应对这一不断加剧的问题。 根据美国国防部下属学术机构国防大学非洲战略研究中心的数据，2023年，非洲至少发生了189起有记录的虚假信息攻击活动，这一数字是前一年的四倍。《经济学人》报道称，接下来的一年内，至少有18个非洲国家将举行大选。对于依赖经济稳定的现有政府和企业来说，虚假信息已经成为主要威胁。 非洲战略研究中心研究助理Mark Duerksen指出，随着这些威胁的扩散，网络安全专家需要探讨保护策略，但不能期望通过单一解决方案解决所有问题。 Duerksen表示：“虚假信息不仅是技术问题，更是社会和政治问题。我们需要采取多层次的应对措施来增强韧性。因此，网络专家的工作只能是解决方案的一部分。然而，虚假信息攻击活动正日趋复杂，它们利用网络攻击来放大、洗白和煽动虚假信息。” 今年，超过50个非洲国家在不同程度上继续改进其网络安全水平。例如，拉各斯大学和肯尼亚女性网络安全机构Shehacks Ke等组织致力于提升该地区的网络安全人才水平。然而，许多非洲国家在网络卫生方面仍然相对落后。 外国干预占主导地位 根据非洲战略研究中心的最新报告，虽然全球都面临虚假信息问题，但非洲同时面临来自外国和国内的虚假信息双重打击。报告显示，外国政府主导了大部分针对非洲的虚假信息攻击活动。2023年，约60%的攻击活动归咎于俄罗斯、阿联酋、沙特阿拉伯和卡塔尔。 大西洋理事会旗下的数字取证研究实验室（DFRLab）的一份报告显示，23起针对某个非洲国家的攻击活动中，有16起来自与俄罗斯有关的团体。特别是法国从马里和其他萨赫勒国家撤军后，非洲国家面临的189次攻击活动大多数得到了俄罗斯的幕后支持。 报告引用了俄乌战争作为例证。Duerksen表示，当时，一些尼日利亚记者的社交媒体账户被黑客攻击，用于传播亲普京的标签和虚假信息，制造出非洲支持俄罗斯的假象。 当前，非洲有6亿互联网用户，其中4亿是活跃的社交媒体用户。非洲公民是全球最热衷于社交媒体的用户之一，尤其是尼日利亚和肯尼亚的用户在社交媒体上花费的时间最长。根据大西洋理事会/DFRLab的报告，非洲国家的互联网普及率不同，中非共和国的普及率最低，仅为7%，而尼日利亚的普及率最高，达到了51%。 最近，卡内基国际和平基金会发布了题为《有效对抗虚假信息：基于证据的政策指南》的报告，指出要保护公民和企业免受虚假信息攻击，需要采取一系列措施，包括支持本地新闻和媒体素养、提高选举的网络安全，以及检测、报告和移除不真实的社交媒体用户。 以用户为中心的安全策略 尽管有些专家质疑虚假信息攻击是否属于网络安全专家的职责，但大多数人认为这是以人为中心的综合安全学科的一部分。专家需要为用户提供有效的安全警告，并加强员工对复杂网络钓鱼攻击的抵御能力。 Duerksen表示：“我们有一个重要的教训——需要培养通过分布式和可互操作的方法来追踪和分析虚假信息的能力，并建立信息分享和分析中心（ISACs）。ISACs这个概念直接来源于网络安全，将成为反虚假信息的核心。我们在创建标准化框架和定义方面已经取得了进展。研究人员可以分享数据集，共同分析虚假信息背后的行为者和策略。” 他强调，与政府机构合作的网络安全专家应当深入研究虚假信息的威胁。与网络钓鱼培训一样，提高媒体素养可以帮助提升员工抵御这些攻击的能力。 Duerksen进一步表示：“这意味着，我们需要积极开发对新兴数字信息空间的情境意识，而不是等待攻击事件发生。目前看来，制定预防虚假信息攻击的应对计划，例如编制战略通信手册、与社交媒体公司联系等，似乎显得过于谨慎。但是，许多大公司已经亲身体验到，这些攻击一旦发生，会迅速严重损害其声誉和财务状况。”   转自安全内参，原文链接：https://www.secrss.com/articles/64750 封面来源于网络，如有侵权请联系删除

Lumen Technologies 的威胁情报分析师发现一个由 40,000 个僵尸网络组成的强大僵尸网络集群，其中充满了用于网络犯罪活动的报废路由器和物联网设备。 根据 Lumen Black Lotus Labs 的最新报告，一个臭名昭著的网络犯罪组织一直在针对世界各地的报废小型家庭/小型办公室 (SOHO) 路由器和物联网设备开展多年攻击活动。 研究人员警告说，该路由器僵尸网络于 2014 年首次出现，一直在悄悄运行，同时在 2024 年 1 月和 2 月增长到来自 88 个国家的 40,000 多个僵尸网络。 “这些机器人中的大多数都被用作臭名昭著的、针对网络犯罪的代理服务的基础，该服务被称为 Faceless。我们最新的跟踪显示，[僵尸网络] 使 Faceless 的新用户数量以每周近 7,000 个的速度增长。” Black Lotus Labs 的研究人员表示，他们确定了该组织代理服务的逻辑图，其中包括 2024 年 3 月第一周开始的一项活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。 研究人员指出，据观察，基于 SOHO/IoT 的活动集群每周与数以万计的不同 IP 地址进行通信。Black Lotus Labs 团队表示：“我们的分析表明，该僵尸网络背后的运营商正在将受感染的报废 (EoL) 设备注册到名为 Faceless 的代理服务中。”该服务已成为“一项强大的代理服务，从“iSocks”匿名服务的废墟中诞生，已成为网络犯罪分子混淆其活动的不可或缺的工具。” 研究人员认为，全球范围内针对报废物联网设备的攻击是故意的，因为它们不再受到制造商的支持，而且已知的安全漏洞也没有得到修补。 研究人员警告说：“此类设备有时也有可能被遗忘或遗弃。” Black Lotus Labs 的研究人员建议企业网络防御者寻找针对弱凭据和可疑登录尝试的攻击，即使这些攻击源自绕过地理围栏和基于 ASN 的阻止住宅 IP 地址。 安全从业人员还应该保护云资产免遭与试图执行密码喷洒攻击的BOT进行通信，并开始使用 Web 应用程序防火墙阻止 IoC。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/aIvqEkg5ZBUTLL9-t094qw 封面来源于网络，如有侵权请联系删除

彼得森健康保险公司经营本就陷入严重困境，但去年10月自身遭受勒索软件攻击、今年2月重要供应商Change Healthcare也遭受勒索软件攻击，两起事件让公司更是雪上加霜，最终向法院提出破产申请。 安全内参消息称：美国最大的养老院运营商之一彼得森健康保险公司（Petersen Health Care），因遭受网络攻击和政府支持贷款违约，正式向特拉华州破产法院提出破产申请。这一决定进一步凸显了该公司长期存在的财务困境。 这家健康保险公司请求根据《美国破产法》进行破产保护。截至目前，该公司的负债总额超过2.95亿美元，其中包括由美国住房和城市发展部（HUD）担保的4500万美元医疗设施贷款。 公司经营陷入严重困境 法庭文件显示，彼得森健康保险公司未能按时偿还HUD保险贷款，导致贷款机构将其部分物业置于托管状态。这一情况进一步扰乱了公司的日常运营。 该公司表示，将在破产期间正常运营，并寻求重组债务。 首席重组官David Campbell在一份声明中表示：“我们将致力于重组为一个资本结构更加灵活、更为强大的公司，继续提供最优质的护理服务，成为员工心中的可靠雇主。” 彼得森健康保险公司在伊利诺伊州、密苏里州和艾奥瓦州运营90多家养老院，拥有近4000名员工，可为6796名居民提供服务。在2023年，该公司的收入超过了3.397亿美元。 该公司提供的老年护理服务包括助理居住、技术性护理、临时护理、记忆护理、临终关怀、当地医疗运输、放射学和药店服务，并在两处设施为智力和发展障碍人群提供护理。 在网络攻击和HUD贷款违约之前，该公司本就面临多项长期挑战，如农村地区养老院需求长期下降、新冠疫情后合格护理人员的竞争加剧，以及因2015-2017年伊利诺伊州预算困难导致的未报销医疗补助计划（Medicaid）成本积压。 彼得森健康保险公司表示，自新冠疫情爆发以来，农村地区老年人转向家庭护理的趋势尤为明显。 根据2023年8月美国医疗保健协会的数据，全美已有579家养老设施关闭，导致45217张床位消失。 网络攻击让公司运营雪上加霜 彼得森健康保险公司曾尝试重组债务，但2023年10月遭受的勒索软件攻击对重组进程造成了影响。攻击后，公司不得不更换服务器、电子邮件地址和软件，导致大量业务记录丢失，给客户和保险公司的开票带来了“难以想象的困难和延迟”。 不久之后，作为彼得森健康保险公司主要付款方的美国联合健康集团（UnitedHealth Group）旗下的Change Healthcare也遭受了勒索软件攻击，进一步加剧了该公司的财务困境。彼得森健康保险公司表示，Change Healthcare在调查此次攻击期间，对包括该公司在内的提供商的付款进行了推迟或暂停。 网络攻击部分导致彼得森健康保险公司未能按时支付HUD贷款，随后贷款机构将该公司19处设施置于托管状态。该公司已努力将这些地点转交给托管人控制，但在同时处理更大的债务问题时，难以满足“托管人一次又一次提出新要求”。 目前，彼得森健康保险公司已获得4500万美元的破产贷款，用于支付其在第11章破产案件期间的运营费用。   转自安全内参，原文链接：https://www.secrss.com/articles/64699 封面来源于网络，如有侵权请联系删除

安全内参消息称，美国民主党参议员Mark R. Warner日前提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后提供预付款和加急付款。 这项立法是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断，使许多提供商面临财务破产风险。据美国医院协会报告统计，几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。 这项法案提出者Mark R. Warner是参议院财政委员会成员，也是参议院网络安全小组的共同主席。法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。   该法案提出，如果付款需求确为网络事件导致，接收付款的医疗提供商必须满足部长确立的最低网络安全标准，才有资格收到付款；如果提供商的中介是事件目标，中介也必须满足部长确立的最低网络安全标准，提供商才能收到付款。这些规定将在方案生效后两年内实施。该法案规定：“自2024年《医疗保健网络安全改进法案》生效之日起两年后，如果部长确定网络事件导致医院中介的运营中断或医院运营出现异常情况，造成严重的现金流问题，只有医院满足部长确立的最低网络安全标准，方可向该医院提供加急付款；如果受影响的是医院中介的运营，只有中介满足部长确立的最低网络安全标准，提供商才能获得付款。”法案进一步规定：“自本法案生效之日起两年后，如果卫生与公共服务部长确定网络事件导致根据第742号联邦法规的421.214节（或任何后续法规）描述的计划付款，只有服务提供商或供应商满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款；如果提供商或供应商的中介是此类事件的目标，只有中介满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款。” 医疗行业极为脆弱，需要针对性保护措施 参议员Warner在媒体声明中说：“我一直在警告医疗保健领域的网络安全问题。能够中断全国范围内患者护理能力的重大攻击早晚会发生。最近Change Healthcare黑客攻击事件提醒我们，整个医疗行业都很脆弱，需要提高防御水平。这项法案将为提供商和供应商提供一些重要的财务激励，帮助他们采取行动。” 他还强调，在极少数情况下，某些无法控制的事件（比如新冠疫情）会给医疗保险A部分的提供商（如急诊医院、康复护理机构和其他住院护理设施）和B部分的供应商（包括医生、非医生从业者、耐用医疗设备供应商和其他提供门诊服务的人员）带来现金流困难。 自20世纪80年代以来，美国医疗保险与医疗补助服务中心（CMS）通过加急付款和预付款（AAP）计划为这些计划参与者提供临时财务救济。救济期间，这些提供商和供应商从联邦政府获得预付款，后续政府会通过扣留后续索赔的付款的形式收回资金。 2022年，Warner参议员撰写了一份政策选择文件《网络安全即患者安全》，概述了当前医疗提供商和系统面临的网络安全威胁，并提供了一系列政策解决方案供讨论，以改进整个行业的网络安全。自发布以来，Warner参议员与跨党派同僚成立了医疗保健网络安全工作组，负责审查并提出潜在的立法解决方案，从而加强医疗和公共卫生领域的网络安全。   转自安全内参，原文链接：https://www.secrss.com/articles/64725 封面来源于网络，如有侵权请联系删除

近日，苏黎世联邦理工学院的研究人员开发出了 Rowhammer DRAM 攻击的新变种 ZenHammer，适用于AMD Zen 微体系结构的 CPU，该微体系结构可以映射 DDR4 和 DDR5 内存芯片上的物理地址。 值得一提的是，AMD Zen 芯片和 DDR5 内存模块此前被认为不太容易受到 Rowhammer 攻击，研究人员的最新发现对这一观点提出了“挑战”。 攻击背景 Rowhammer 主要利用现代动态随机存取存储器 (DRAM) 的物理特性，通过读/写操作重复访问（”锤击”）特定行的存储单元，改变其中的位值，从而更改数据。存储单元以电荷的形式存储信息，电荷决定了内部 1 或 0 的位值。 由于现代芯片中存储单元的密度增加，反复 “敲击 “可以改变相邻行的电荷状态，这一过程被称为 “位翻转”。通过在特定位置策略性地诱导这些位翻转，威胁攻击者就可以获取敏感数据（例如加密密钥）或提升权限。 目前，这种技术已经在英特尔和 ARM CPU 上得到了验证，但 AMD 的 Zen 架构 CPU 由于其固有的特点（如未知的 DRAM 寻址方案以及难以实现足够高的行激活吞吐量），还没有被证明会受到此类攻击的影响。 近日，苏黎世联邦理工学院的研究人员通过对 AMD 平台中复杂和非线性的 DRAM 寻址功能进行逆向工程，利用 ZenHammer 解决了这些“挑战”。 逆向工程地址映射和偏移 苏黎世联邦理工学院的研究人员还开发了新颖的同步技术，使攻击时间与 DRAM 的刷新命令一致，这对于绕过目标行刷新 (TRR) 等缓解措施至关重要。此外，研究人员还优化了内存访问模式，以提高行激活率，这是 Rowhammer 攻击成功的关键因素。 测试结果 研究人员证明，ZenHammer 攻击可以诱导 AMD Zen 2（Ryzen 5 3600X）和 Zen 3 平台（Ryzen 5 5600G）上的 DDR4 设备发生位翻转。实验过程中，在 DDR4/AMD Zen 2 平台的 10 次测试中成功了 7 次，在 DDR4/AMD Zen 3 平台的 10 次测试中成功了 6 次。 针对不同平台的 ZenHammer 位翻转成功案例 研究人员还在 AMD Zen 4 微架构平台上的 DDR5 芯片上取得了成功，不过，测试只在 10 个系统中的一个（Ryzen 7 7700X）上取得了成功，这表明 “DDR5 的变化，如改进的 Rowhammer 缓解措施、片上纠错码（ECC）和更高的刷新率（32 毫秒），使得触发位翻转变得更加困难”。（该平台以前被认为可以更好地抵御 Rowhammer 攻击） 值得一提的是，这些位翻转并不停留在理论上，分析人员能够模拟针对系统安全性的成功攻击，包括操纵页表条目进行未经授权的内存访问。 ZenHammer 的可利用性和每次攻击所用时间 2021 年第四季度生产的一款 Zen 3 测试系统上，研究人员从发现可利用的位翻转开始，通过 10 次成功攻击，获得了 root 权限，平均耗时 93 秒。 最后，研究人员指出，这种攻击方式非常复杂，威胁攻击者想要成功实施需要对软件和硬件组件都有深入的了解。AMD CPU 用户抵御这一威胁的方法包括应用软件补丁和固件更新。   转自Freebuf，原文链接：https://www.freebuf.com/news/395926.html 封面来源于网络，如有侵权请联系删除

近日，有研究人员称机器人平台 Top.gg Discord 受到了来自黑客的供应链攻击， 并在开发人员感染恶意软件后窃取平台的敏感信息。据悉，该平台拥有超 17 万名成员，是一个针对 Discord 服务器、机器人和其他社交工具的流行搜索和发现平台，主要面向游戏、提高参与度和改进功能。 多年来，黑客一直尝试各种攻击战术，包括劫持 GitHub 账户、分发恶意 Python 软件包、使用伪造的 Python 基础架构和社交工程等等。 Checkmarx 指出黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。 劫持 top.gg 维护者账户 根据研究人员的调查，黑客的攻击活动最早被发现于 2022 年 11 月，当时他们在 Python 软件包索引（PyPI）上首次上传了恶意软件包。随后的几年时间里，有越来越多的携带恶意软件的软件包被上传到了 PyPI。 这些软件包类似于流行的开源工具，其包装的十分“诱人”的描述使它们更有可能在搜索引擎结果中排名靠前。最近的一次上传是今年 3 月名为 “yocolor “的软件包。 活动中使用的软件包 2024 年初，攻击者在 “files[.]pypihosted[.]org “建立了一个虚假的 Python 软件包，PyPI 软件包的原型文件就存放在 “files.pythonhosted.org”。 这个虚假软件包被用来托管中毒版本的合法软件包，例如流行的 “colorama “软件包的篡改版本，目的是诱骗用户和开发系统使用这个恶意源。 上传到 PyPI 的恶意软件包是入侵系统的初始载体，一旦用户系统被入侵，或者攻击者劫持了有权限的 GitHub 账户，他们就会修改项目文件以指向虚假软件包托管的依赖项。 Checkmarx 提到，近日攻击者入侵了 top.gg 维护者 “editor-syntax “的账户，该账户在平台的 GitHub 资源库中拥有大量写入访问权限。 Discord 上关于被黑账户的讨论 攻击者使用该账户对 Top.gg 的 python-sdk 版本库进行恶意提交，如添加对中毒版本 “colorama “的依赖，并存储其他恶意版本库，以提高其知名度和可信度。 恶意提交修改 requirements.txt 文件 一旦恶意 Python 代码被执行，它就会启动下一阶段，从远程服务器下载一个小型加载器或滴注脚本，以加密形式获取最终有效载荷。 恶意软件通过修改 Windows 注册表，在重启之间在被入侵机器上建立持久性。 修改注册表以获得持久性 该恶意软件的数据窃取功能可归纳为以下几点： 针对 Opera、Chrome、Brave、Vivaldi、Yandex 和 Edge 中的浏览器数据，以窃取 cookie、自动填充、浏览历史记录、书签、信用卡详细信息和登录凭据。 搜索与 Discord 相关的目录以解密和窃取 Discord 令牌，从而可能获得对帐户的未经授权的访问。 通过搜索 ZIP 格式的钱包文件并将其上传到攻击者的服务器，从各种加密货币钱包中窃取。 试图窃取 Telegram 会话数据以未经授权访问帐户和通信。 包括一个文件窃取程序组件，根据特定关键字针对桌面、下载、文档和最近打开的文件上的文件。 利用被盗的 Instagram 会话令牌通过 Instagram API 检索帐户详细信息。 捕获击键并保存它们，可能会暴露密码和敏感信息。此数据将上传到攻击者的服务器。 利用匿名文件共享服务（例如 GoFile、Anonfiles）和具有唯一标识符（硬件 ID、IP 地址）的 HTTP 请求等方法来跟踪被盗数据并将其上传到攻击者的服务器。 攻击概述 据 Checkmarx 研究人员称，尽管有这些复杂的策略，但一些警惕的 Top.gg 社区成员注意到了恶意活动并报告了它，这导致 Cloudflare 删除了滥用的域名。 虽然受此影响的用户数量目前尚不清楚，但 Checkmarx 的报告强调了开源供应链的风险以及开发人员检查其构建模块安全性的重要性。 研究人员认为，IT 安全专业人员应定期监控和审核新代码项目，企业应定期对开发人员开展供应链攻击风险的教育和意识培训。 除了Discord 机器人平台源代码遭遇黑客“投毒”事件外，最近还出现了其他软件供应链安全问题，比如 3 月早些时候有供应商对以色列大学发起了供应链攻击，以及 JetBrains TeamCity 软件开发平台管理器云版本受到攻击，还有去年 9 月份数百个 GitHub 存储库被黑客入侵。 可见机器学习模型的存储库（如 Hugging Face）为威胁行为者提供了将恶意代码注入开发环境的机会，类似于开源存储库 npm 和 PyPI。   转自Freebuf，原文链接：https://www.freebuf.com/news/395869.html 封面来源于网络，如有侵权请联系删除

近日AWS修复了一个关键漏洞，通过利用该漏洞，攻击者可直接接管亚马逊Apache Airflow（MWAA）托管工作流。该漏洞危害较大，虽然利用起来比较复杂，但仍建议及时进行修复。 网络安全公司Tenable披露AWS 一个严重的安全漏洞，将之命名为FlowFixation，攻击者可借此完全控制客户在AWS服务上的账户。AWS承认漏洞存在，并表示该漏洞利用较为困难，且已经在几个月前进行修复，建议用户更新补丁。 Tenable在报告中强调，通过研究发现了一个更加严重、广发的安全问题，并且可能在不久的未来造成伤害。 Apache Airflow托管工作流(MWAA)是亚马逊推出的一项全托管的服务，简化了在 AWS 上运行开源版 Apache Airflow，构建工作流来执行 ETL 作业和数据管道的工作。 Apache Airflow 是一个开源工具，每月下载量达到1200万次，用于通过编程的方式开发、调度和监控被称为“工作流”的过程和任务序列。开发人员和数据工程师用 Apache Airflow 管理工作流，通过用户界面(UI)来监控它们，并通过一组强大的插件来扩展它们的功能。但是，要使用 Apache Airflow，需要进行手动安装、维护和扩展，AWS 解决了这个问题，它为开发人员和数据工程师提供了 MWAA，让他们可以在云端构建和管理自己的工作流，无需关心与管理和扩展 Airflow 平台基础设施相关的问题。 由于MWAA网络管理面板中的会话是固定的，以及AWS域名配置错误可引发跨站脚本攻击（XSS），让FlowFixation漏洞可以实现接管MWAA。 Tenable指出，攻击者可利用该漏洞强迫受害者使用并认证其已知的会话，随后利用已经认证的会话接管受害者的网络管理面板。这一步骤完成后，攻击者将可进行更进一步的入侵动作，包括读取连接字符串、添加配置、触发有向无环图等。此时他可以对底层实例执行远程代码攻击或进行其他横向移动。 Tenable研究还揭示一个更广泛的问题，即共享父域和公共后缀列表（PSL）相关的同站点攻击。而由同一供应商提供云服务往往会共享一个父域，例如多个AWS服务共同使用“amazonaws.com”。这种共享导致了一个攻击场景，攻击者可对在“amazonaws.com”共享父域的子域资产发起攻击。 Tenable解释称，在本地环境中，你通常不会允许用户在子域上运行XSS，但在云上允许却是一个非常自然的操作。例如当用户创建一个AWS S3存储桶时，可以通过存储桶中的HTML页面来运行客户端代码；代码可以在S3存储桶子域的上下文中运行，自然也在共享父域“amazonaws.com”的上下文中运行。 也有研究显示，该风险不仅仅存在于AWS，Azure/Google Cloud等共享父服务域被错误配置，即域名没有出现在PSL上，那么客户也将面临相应的攻击风险，包括cookie tossing、同站点cookie保护绕过等。 AWS和微软都已经采取了措施来减轻Tenable报告中的风险。AWS发言人Patrick Neighorn表示，AWS在2023年9月对上述风险进行修复，因此运行当前版本的Amazon托管工作流Apache Airflow（MWAA）的客户不会受到影响。在2023年AWS已经通知并督促用户通过AWS控制台、API或AWS命令行界面进行更新修复。   转自Freebuf，原文链接：https://www.freebuf.com/news/395687.html 封面来源于网络，如有侵权请联系删除

作为针对欧洲各地组织的活动的一部分，已经发现了涉及 AceCryptor 工具的数千个新感染，该工具允许黑客混淆恶意软件并将其侵入系统而不被防病毒软件检测到。 2023 年 AceCryptor 检测数量（7 天移动平均值） ESET 的研究人员花了数年时间跟踪 AceCryptor，他们周三发布的报告表示，最近的攻击活动与之前的迭代不同，因为攻击者扩展了内部打包的恶意代码类型。 2023 年下半年 AceCryptor 中打包的恶意软件系列 AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用，这是一种强大的远程监视工具，研究人员已发现该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外，ESET 表示，现在还发现 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。 ESET 根据目标国家/地区发现了一些差异。针对乌克兰的袭击使用了SmokeLoader，而波兰、斯洛伐克、保加利亚和塞尔维亚的袭击则使用了Remcos。 2023 年下半年受 AceCryptor 封装的 Rescom 影响的欧洲国家 “在这些活动中，AceCryptor 被用来针对多个欧洲国家，并提取信息或获得对多家公司的初步访问权限。这些攻击中的恶意软件通过垃圾邮件传播，在某些情况下非常令人信服；有时垃圾邮件甚至是从合法但被滥用的电子邮件帐户发送的。”发现该活动的 ESET 研究员 Jakub Kaloč 说道。 ESET 表示，最近一次行动的目标是获取电子邮件和浏览器凭据，以便对目标公司进行进一步攻击，并补充说，他们看到的绝大多数恶意软件样本都被用作初始攻击向量。 Rescoms 活动的攻击链 ESET 表示，2023 年上半年，受 AceCryptor 打包的恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其，其中秘鲁遭受的攻击最多，达到 4,700 起。 2023年下半年，黑客将攻击重点转向欧洲国家，针对波兰发起了超过26000次攻击。乌克兰、西班牙和塞尔维亚也发生了数千起袭击事件。 “今年下半年，Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族，点击次数超过 32,000 次。其中一半以上的尝试发生在波兰，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。”研究人员表示。 “在此期间，ESET 在波兰总共记录了超过 26,000 起此类攻击。” 对波兰企业的攻击也有类似的主题，涉及为受害公司提供 B2B 服务。黑客试图通过使用真实的波兰公司名称和现有员工姓名来使电子邮件看起来合法。 ESET 表示，目前尚不清楚黑客是否打算为自己收集被盗的凭据或将其出售给其他攻击者。 虽然 ESET 无法识别攻击活动的来源，但与俄罗斯政府关联的黑客已多次使用 Remcos 和 SmokeLoader。 ESET去年指出，2021 年和 2022 年在秘鲁、埃及、泰国、印度尼西亚、土耳其、巴西、墨西哥、南非、波兰和印度发现了超过 24 万次检测。   转自杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6GEUuVrmGTNefVA2bxRM7Q 封面来源于网络，如有侵权请联系删除