根据安全研究人员的最新调查，俄罗斯国家安全机构正在针对美国、欧洲和俄罗斯的民间社会成员发起越来越复杂的网络钓鱼攻击，在某些情况下，他们会冒充与攻击目标有私人关系的个人。 在多伦多大学公民实验室和Access Now发布了新报告，研究人员表示，与俄罗斯有关的攻击在社会工程策略和技术方面都变得更加复杂。 最近一系列袭击事件的目标包括前美国驻乌克兰大使史蒂芬·皮弗 (Steven Pifer)和流亡的俄罗斯出版商波琳娜·马克霍德 (Polina Machold)。 就皮弗的案例而言，研究人员表示，他之所以成为攻击目标，是因为有人与皮弗进行了一次“高度可信”的交流，其中有人冒充了皮弗认识的另一位前美国大使。 Machold 的案件同样采用了更为复杂的攻击方法。这位出版商于 2021 年夏天被俄罗斯驱逐出境后居住在德国，2023 年 11 月，她之前曾与另一家出版商的一位同事通过电子邮件首次联系了她。他让她查看附件，但没有附件。她回答说附件不见了。 几个月后，他再次联系她，这次使用的是 Proton Mail 的用户名，Proton Mail 是一种免费且安全的电子邮件服务，记者经常使用。她说，当她打开那封电子邮件，发现附件看起来像是 Proton Mail 驱动器时，她开始感到警觉。她打电话给联系人，对方震惊地表示，他没有给她发电子邮件。 “我以前从未见过这样的事情。他们知道我和这个人有联系。尽管我认为自己处于高度警惕状态，但我却一无所知。”Machold说。 研究人员表示，针对 Machold 和 Pifer 的网络钓鱼活动是由一个名为 Coldriver 的攻击者实施的。第二个攻击者名为 Coldwastrel，其攻击模式类似，而且似乎也专注于俄罗斯感兴趣的目标。 Access Now 高级技术法律顾问 Natalia Krapiva 表示：“这项调查显示，流亡的俄罗斯独立媒体和人权组织面临着与针对现任和前任美国官员的同类高级网络钓鱼攻击。但他们保护自己的资源要少得多，而且受到攻击的风险要大得多。” 几乎所有接受研究人员采访的目标人物都出于自身安全考虑选择匿名，研究人员表示，大多数目标人物的共同点是他们“在敏感社区中拥有广泛的人脉”。 观察到的最常见策略是攻击者与目标发起电子邮件交流，伪装成目标认识的人；要求目标查看文档。附加的 PDF 通常声称使用 Proton Drive 等注重隐私的服务进行加密，登录页面甚至可能预先填充目标的电子邮件地址，使其看起来合法。如果目标输入密码和双因素代码，攻击者就可以将信息发回给他们，从而让他们能够访问目标的电子邮件帐户。 “一旦这些攻击者获得凭证，我们认为他们会立即采取行动，访问电子邮件帐户和任何在线存储，如 Google Drive，以获取尽可能多的敏感信息。”公民实验室高级研究员 Rebekah Brown 表示。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bprMEnkE-dZYdLRSmdn7wg 封面来源于网络，如有侵权请联系删除

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击，这些攻击针对大学教授、研究人员和其他工作人员，目的是收集情报。 网络安全公司 Resilience表示，在观察到黑客犯下的操作安全 (OPSEC) 错误后，它在 2024 年 7 月下旬发现了这一活动。 Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima，只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点：使用受感染的主机作为临时基础设施，部署经过混淆的 Green Dinosaur Web Shell 版本，然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面，这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户，目的是获取他们的凭证。 接下来，受害者被重定向到另一个网站，该网站指向托管在 Google Drive 上的 PDF 文档，该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示：“此外，在 Kimsuky 的网络钓鱼网站上，还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理，用于窃取访问者的 cookie 和凭据，并显示弹出窗口，告诉用户他们需要再次登录，因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具，该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁，建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络，如有侵权请联系删除

近期，Infoblox和Eclypsium的网络安全研究人员，在域名系统（DNS）中发现了复杂的攻击媒介“Sitting Ducks”。Infoblox公司在报告中透露，自2018年以来，Sitting Ducks劫持超过35,000个域名，存在超过100万个易受攻击的目标域。这次攻击是在研究俄罗斯托管的404TDS（一个流量分配系统）基础设施时发现的，系俄罗斯网络犯罪分子参与其中。攻击者在伪装下执行恶意活动，包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。 “Sitting Ducks”攻击与其他控制域名的技术不同，因为它不需要注册商的访问权限，攻击者只需要利用所谓的”无效委托”（lame delegation）即可。 Sitting Ducks flow (Infoblox) 无效委托发生在注册的域名或子域名将权威DNS服务委托给不同于域名注册商的其他提供商时，如果权威名称服务器缺少域名信息并且无法解析查询，这种委托就被称为无效的。当恶意行为者注册了被分配的域名，获得指向该域名的所有域名的访问权限时，就会发生无效委托攻击。此外，攻击者通过利用DNS提供商的漏洞，扫描互联网上具有无效委托的域名，未经授权就声称拥有所有权。他们把劫持的域名创建恶意记录，将流量定向到恶意服务器，并将用户定向到攻击者的网站。根据Eclypsium博客文章所述，“Sitting Ducks”现象有多种变体。它能够利用域名所有者在域名服务器信息中的拼写错误，从而使得攻击者能够注册部分无效域名。Dangling DNS记录，由于配置被遗忘而包含无效信息，可以推广到其他类型的DNS记录。Dangling CNAME攻击将DNS响应重定向到失效的域名，从而允许恶意行为者注册失效的域名并获得血统。经过对十几个DNS提供商域名授权的分析，结果显示，参与者中最显著的是俄罗斯的网络犯罪分子。 利用这种攻击，每天有数百个域名被劫持，这些域名通常是通过所谓的“品牌保护注册商”注册的，或者是注册了外观相似的域名。 媒体呼吁，为了避免Sitting Ducks攻击，域名所有者应该使用独立于其域名注册商的权威DNS提供商。确保域名和子域将名称服务器委托给有效的服务提供商，并询问DNS提供商缓解措施以降低风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/QDInVB-9JghzoCeyLIEXSA 封面来源于网络，如有侵权请联系删除

2024年巴黎奥运会是数智化程度最高的一届奥运会，同时也是安全风险最高的奥运会。 根据IDC最新发布的研究报告，巴黎奥运会可能是历史上网络安全风险最高的一届奥运会。网络犯罪、黑客活动和网络间谍活动正在不断升级，这使得这场全球最大的体育盛会成为网络攻击者的主要目标。 运动员都想在奥运会上一战成名，斩获金牌，黑客也是如此。“近年来，针对奥运会的网络犯罪和网络威胁急剧增加。这不仅是体育界的最大盛会，可能也是全球最大的“黑客靶场”。各类人群出于各种原因都会将奥运会作为攻击目标，”IDC欧洲安全服务研究经理Richard Thurston表示。 事实上，巴黎奥运会已经经历了一次网络安全事件。7月19日，CrowdStrike的错误更新导致全球大量企业的微软系统发生故障。巴黎奥运会组织者表示，该事件对奥运会运营也造成了轻微影响，仅限于一些制服和奖牌的交付。 根据网络基础设施提供商思科的数据，2021年东京夏季奥运会期间，新冠疫情导致了4.5亿次网络攻击。而思科预计，针对巴黎奥运会（7月26日至8月11日）和残奥会（8月28日至9月8日）的攻击次数将同比增加八倍。 IDC在奥运会前发布的一份研究报告中指出，“巴黎2024将成为历史上网络干扰最严重的一届奥运会”。IDC进一步将其称为“有史以来数字化分享最多的奥运会”，拥有“最复杂的威胁环境”和“攻击者最易执行攻击的高度便利性”。 这一便利性很大程度上归功于人工智能，因为巴黎奥运是生成是AI时代的首届奥运会。 据悉，生成式AI已被用于针对奥运会的复杂在线抹黑活动。2023年，俄罗斯虚假信息组织Storm-1679制作了一段由好莱坞明星汤姆·克鲁斯的深度伪造视频，名为“奥运陷落”（讽刺2013年的动作惊悚片“奥林匹斯陷落”），在巴黎奥运会前诋毁国际奥委会。 Intel 471的高级情报分析师Ashley Jess警告说，网络犯罪分子还在利用AI进行恶意广告和SEO投毒，以在奥运会前后开展攻击。她指出，有人分享了如何使用ChatGPT创建优化搜索引擎的网站，使恶意网站在搜索结果中排名靠前。这种AI战术还可能用于构建假冒奥运会售票网站，并将这些网站推送到在线搜索结果的顶部。为防止票务欺诈，巴黎奥运会组织者指定了唯一的合法售票网站tickets.paris2024.org。然而，截至6月，法国当局已经识别出338个欺诈性的奥运会售票网站。 除了AI增强的恶意广告和网络钓鱼，黑客主义和网络间谍也都将处于政治目标对奥运会发动进攻。乌克兰和加沙当前的地缘政治冲突可能使2024年夏季奥运会特别容易受到黑客主义攻击。 加拿大网络安全中心（CCCS）在5月发布的一份公告中警告了大型全球体育赛事中的网络间谍风险。该公告指出，由于乌克兰战争导致俄罗斯被禁止参加多个国际体育组织（包括IOC和国际足联），这可能促使俄罗斯支持报复性的网络间谍活动。俄罗斯黑客此前制造了最为严重的奥运网络安全事件，包括里约奥运会WADA美国运动员数据泄露以及平昌冬奥会官网和门票闸机被黑客攻击后瘫痪。   转自安全内参，原文链接：https://www.secrss.com/articles/68613 封面来源于网络，如有侵权请联系删除

一名未知黑客组织涉嫌参与一场大规模诈骗活动，该活动利用电子邮件安全供应商 Proofpoint 防御系统中的电子邮件路由配置错误漏洞，发送数百万条冒充百思买、IBM、耐克、华特迪士尼等多家知名公司的邮件。 滥用 Proofpoint 基础设施，以客户名义完美伪造电子邮件 Guardio Labs 研究员 Nati Tal在一份报告中表示：“这些电子邮件通过安全验证的SPF 和 DKIM 签名从官方 Proofpoint 电子邮件中继中发出，从而绕过了主要的安全保护措施 —— 所有这些都是为了欺骗收件人并窃取资金和信用卡详细信息。” Guardio Labs将此次活动命名为EchoSpoofing。据信该活动始于 2024 年 1 月，攻击者利用该漏洞平均每天发送多达 300 万封电子邮件，当 Proofpoint 开始采取对策时，这一数字在 6 月初达到 1400 万封的峰值。 Guardio Labs 研究员称：“这个域名最独特和最强大的部分是欺骗方法——几乎没有机会意识到这不是由这些公司发送的真正电子邮件。” 带有经过身份验证的发件人和恶意内容的伪造 Disney.com 电子邮件示例 “EchoSpoofing 非常强大。奇怪的是，它被用于这种大规模网络钓鱼，而不是精品鱼叉式网络钓鱼活动——攻击者可以迅速窃取任何真实公司团队成员的身份并向其他同事发送电子邮件——最终通过高质量的社会工程，获取内部数据或凭证，甚至危及整个公司。” 该技术涉及攻击者从虚拟专用服务器 (VPS) 上的 SMTP 服务器发送消息，值得注意的是，它符合SPF 和 DKIM 等身份验证和安全措施，它们分别是发件人策略框架和域名密钥识别邮件的缩写，是指旨在防止攻击者模仿合法域的身份验证方法。 这一切都归结为这样一个事实：这些邮件是从 Microsoft 365 租户路由的，然后通过 Proofpoint 企业客户的电子邮件基础设施进行中继，以到达 Yahoo!、Gmail 和 GMX 等免费电子邮件提供商的用户。 这就是 Guardio 所说的 Proofpoint 服务器（“pphosted.com”）中“超级宽容的错误配置缺陷”造成的结果，它实际上允许垃圾邮件发送者利用电子邮件基础设施来发送邮件。 转发中继配置允许伪造的标头流经 Exchange 服务器 Proofpoint在一份报告中表示：“根本原因是 Proofpoint 服务器上可修改的电子邮件路由配置功能，允许中继组织从 Microsoft 365 租户发出的出站消息，但没有指定允许哪些 M365 租户。” “任何提供此电子邮件路由配置功能的电子邮件基础设施都可能被垃圾邮件发送者滥用。” 换句话说，攻击者可以利用该漏洞设置恶意 Microsoft 365 租户，并将伪造的电子邮件消息发送到 Proofpoint 中继服务器，然后这些电子邮件会被“回送”，成为冒充客户域的真实数字信件。 而这又通过将 Exchange Server 的外发电子邮件连接器直接配置到与客户关联的易受攻击的“pphosted.com”端点来实现。此外，破解版的合法电子邮件传递软件PowerMTA也用于发送邮件。 Proofpoint 表示：“垃圾邮件发送者使用来自多家提供商的一系列轮流租用的虚拟专用服务器 (VPS)，使用许多不同的 IP 地址从其 SMTP 服务器一次性快速发送数千条邮件，发送到 Microsoft 365，然后中继到 Proofpoint 托管的客户服务器。” “Microsoft 365 接受了这些欺骗性消息，并将其发送到这些客户的电子邮件基础设施进行中继。当客户域在通过匹配客户的电子邮件基础设施中继时被欺骗时，DKIM 签名也会在邮件通过 Proofpoint 基础设施传输时应用，从而使垃圾邮件更容易被传递。” 针对迪士尼 Proofpoint 电子邮件中继服务器的侧信道攻击 人们怀疑，EchoSpoofing 是垃圾邮件运营商故意选择的，作为一种获取非法收入以及避免长期暴露风险的方式，因为通过这种运作方式直接针对公司可能会大大增加被发现的机会，从而有效地危及整个计划。 目前尚不清楚谁是该活动的幕后黑手。Proofpoint 表示，该活动与任何已知的黑客组织均无重叠。 该公司在一份声明中表示：“今年 3 月，Proofpoint 研究人员发现，垃圾邮件活动通过少数 Proofpoint 客户的电子邮件基础设施进行，通过 Microsoft 365 租户发送垃圾邮件。”“所有分析都表明，这一活动是由一名垃圾邮件参与者进行的，我们并未将其活动归咎于任何已知实体。” “EchoSpoofing” 操作活动——每天大约发送的欺骗电子邮件数量 “自发现此垃圾邮件活动以来，我们一直在努力提供纠正说明，包括为客户实施简化的管理界面，以指定允许哪些 M365 租户中继，所有其他 M365 租户默认被拒绝。” Proofpoint 强调，这些活动并未导致任何客户数据泄露，也未造成任何数据丢失。该公司进一步指出，已直接联系部分客户，要求他们更改设置，以阻止出站中继垃圾邮件活动的有效性。 “当我们开始阻止垃圾邮件发送者的活动时，垃圾邮件发送者加快了测试速度，并迅速转向其他客户。”该公司指出。“我们建立了一个持续的流程，每天识别受影响的客户，重新确定优先顺序以修复配置。” 为了减少垃圾邮件，它敦促 VPS 提供商限制其用户从其基础设施上托管的 SMTP 服务器发送大量邮件的能力。它还呼吁电子邮件服务提供商限制免费试用和新创建的未经验证租户发送批量出站电子邮件的能力，并阻止攻击者发送伪造过的他们没有所有权的域名的邮件。 Tal 表示：“对于 CISO 来说，主要要点是要格外注意其组织的云态势，特别是在使用第三方服务时，这些服务将成为公司网络和通信方法的支柱。特别是在电子邮件领域，始终保持反馈循环和自我控制，即使您完全信任您的电子邮件提供商。” “至于其他提供此类骨干服务的公司，就像 Proofpoint 一样，他们必须保持警惕，积极主动地首先考虑所有可能出现的威胁。不仅是直接影响客户的威胁，还有更广泛的公众。 “这对我们所有人的安全都至关重要，而创建和运营互联网骨干的公司，即使是私营公司，也对此负有最高责任。就像有人说的那样，虽然语境完全不同，但在这里却如此贴切：‘能力越大，责任越大。’”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MtgX4BJEdwt1fenbD581Fg 封面来源于网络，如有侵权请联系删除

网络钓鱼攻击仍然是最普遍的网络威胁之一，并经常成为更大规模供应链攻击活动的前兆。最近，Check Point的威胁情报部门发布了 2024 年第二季度网络犯罪分子最常冒充品牌的排名，该排名揭示了哪些公司最常被攻击者用来欺骗用户并窃取个人或支付信息。 2024 年第二季度显示，微软仍然是被冒充最多的品牌，占所有网络钓鱼尝试的一半以上，占 57%。苹果以10%位列第二位，高于今年第一季度的第四位。LinkedIn以7%保持了第三的位置。此外，阿迪达斯、WhatsApp 和 Instagram 自 2022 年以来首次重新出现在前 10 名中。 科技行业仍然是网络钓鱼攻击中最常被欺骗的行业，其次是社交网络和银行业。微软、谷歌和亚马逊等科技公司经常存储敏感数据，包括个人和财务信息，并提供对其他帐户的访问权限，这使它们成为网络犯罪分子的诱人目标。 2024 年第 2 季度冒充网络钓鱼攻击的 10 大品牌： 微软（57%） 苹果 （10%） LinkedIn （7%） 谷歌 （6%） 脸书 （1.8%） 亚马逊 （1.6%） DHL （0.9%） 阿迪达斯 （0.8%） WhatsApp的 （0.8%） Instagram的 （0.7%） 在第二季度，Check Point观察到几起模仿阿迪达斯品牌网站的网络钓鱼活动。例如adidasyeezys[.]CZ 和 Adidasyeezys[.]。这些欺诈性网站在视觉上复制了原始的阿迪达斯官方页面。 近几个月来，利用 Instagram进行在线诈骗的活动迅速增加，导致其排名进入前10。一个例子包括 instagram-nine-flame[.] 上的网络钓鱼页面，通稿模仿 Instagram 登录界面，诱导用户输入账户登录凭证。另一个例子是 instagram-verify-account[.]tk，以要求用户验证其 Instagram 帐户为幌子，敦促用户输入个人信息。 如今，网络钓鱼攻击正持续构成重大安全威胁，用户必须提高警惕，避免个人敏感数据落入网络犯罪分子设下的陷阱。   转自Freebuf，原文链接：https://www.freebuf.com/news/407192.html 封面来源于网络，如有侵权请联系删除

被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS)，用于推送窃取信息的恶意软件。 该恶意软件传播服务名为 Stargazers Ghost Network，它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。 在大多数情况下，恶意软件都是信息窃取程序，例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。 GitHub 存储库推送受密码保护的包含恶意软件的档案，来源：Check Point 由于 GitHub 是一个知名的、值得信赖的服务，人们对它的怀疑较少，并且更有可能点击他们在GitHub存储库中找到的链接。 Check Point Research发现了这一行动，并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。 Check Point Research 的报告解释道：“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。” “在短时间内，数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者，从而使感染更有价值。” GitHub 幽灵账户传播恶意软件 DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。 威胁行为者在暗网上的广告，来源：Check Point Stargazer Goblin 建立了一个系统，他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅，以增加其表面合法性，并使其更有可能出现在 GitHub 的热门部分。 参与该计划的幽灵 GitHub 账户，来源：Check Point 这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。 针对不同社交媒体平台用户的网络钓鱼模板，来源：Check Point “幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板，另一组提供钓鱼图片，第三组提供恶意软件，这让该方案具有一定程度的运营弹性。 “为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时，GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。 “为了应对此类行为，Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库，其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时，这可使网络继续运行，并将损失降至最低。” Stargazers 角色概述资料，来源：Check Point Check Point 发现一个 YouTube 视频，其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。 研究人员指出，它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。 就该行动的规模及其产生的利润而言，Check Point 估计，自该服务推出以来，这名攻击者已经赚取了超过 10 万美元。 通过 Stargazers Ghost Network 的行动分发的恶意软件，包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。 在 Check Point 报告中展示的一个示例攻击链中，GitHub 存储库将访问者重定向到受感染的 WordPress 网站，访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。 Atlantida Stealer 攻击链，来源：Check Point VBScript 触发两个连续的 PowerShell 脚本的执行，最终导致 Atlantida Stealer 的部署。 尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动，自 2024 年 5 月以来已删除了 1,500 多个存储库，但 Check Point 表示，目前仍有超过 200 个存储库活跃并继续传播恶意软件。 GitHub 上每日新增的 Stargazer 存储库，来源：Check Point 建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。 受密码保护的档案尤其如此，防病毒软件无法扫描这些档案。对于这些类型的文件，建议您在虚拟机上提取它们，并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。 如果没有虚拟机，您也可以使用VirusTotal，它会提示输入受保护存档的密码，以便扫描其内容。但是，VirusTotal 只能扫描包含单个文件的受保护存档。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MA_O_b2GnrBgt_hfezoM2g 封面来源于网络，如有侵权请联系删除

近日，世界观察组织的专家团队揭露了一种新型流量分配系统（TDS），该系统与附属营销紧密相关，并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列，这一系统被命名为R0bl0ch0n TDS，已经对全球约1.1亿互联网用户造成了影响。 附属营销本是一种正当的商品与服务推广方式，但在本次事件中，它被用作散播欺诈广告的手段。研究人员发现，有数百个小规模的附属网络专门推广可疑的优惠，这些优惠往往与知名的诈骗计划相关。 R0bl0ch0n TDS是一个包含众多域名和专用服务器的复杂架构，由Cloudflare提供安全保护。尽管操纵者在他们的计划中加入了一些合法功能，例如退订和反馈机制，但他们也采取了重要措施来隐藏这些操作背后的真正组织。 技术分析显示，R0bl0ch0n TDS中嵌入电子邮件的URL遵循固定模式（<domain>/bb/[0-9]{18}），并通过多个自动重定向将用户引导至假冒商店或调查页面。值得注意的是，由于需要用户参与来绕过假CAPTCHA，这些URL无法被自动化系统准确分析。 专家们还发现，托管假冒调查的域名会主动与第三方网站交换用户数据。例如，域名facileparking.sbs向event.trk-adulvion.com传输信息。这个域名网络从2021年夏天开始运营，在亚马逊网络服务（AWS）服务器上拥有300多个专用IP地址。 DomainTools的数据显示，自2021年起，event子域的A型DNS请求总数约为1.1亿。考虑到每个用户由于指纹识别机制只记录一次DNS请求，这个数字准确地反映了这些欺诈计划所针对的总人数。 研究人员识别了通过R0bl0ch0n TDS分发的两类主要欺诈性优惠： 1. 抽奖活动 提供诱人的中奖信息，要求用户完成在线调查后支付小额运费。实际上，这会导致用户注册定期支付的订阅服务（每两周20至45欧元）。美国联邦贸易委员会报告称，投诉导致的损失总额超过3亿美元，平均每人损失约900美元。世界观察组织的专家认为，考虑到每天发送的广告量，实际损失可能更高。 2.家居改善优惠 推广价格过高的服务，如檐槽过滤器、太阳能电池板、热泵或老年人使用的步入式淋浴。这些计划通常通过电子邮件传播或利用搜索引擎优化（SEO）进行推广。每次用户填写联系表后，附属公司可获得佣金，随后“销售人员”会联系潜在客户。而且，卖家经常故意夸大客户可能有资格获得的政府补贴金额。 R0bl0ch0n TDS的URL通过多种方法进行初始分发： 使用带有URL片段数据的随机AWS子域，这些数据可能与附属程序参数相关联。 使用匹配特定模式的随机Azure子域，URL片段中的数据同样传递给R0bl0ch0n TDS。 使用URL缩短服务。 专家指出，利用AWS或Azure等合法基础设施服务或URL缩短器，附属公司能够轻松地修改和部署新的基础设施，从而绕过谷歌安全浏览或反垃圾邮件过滤器中的检测系统和对策。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406861.html 封面来源于网络，如有侵权请联系删除

钓鱼攻击一直是企业和个人用户面临的主要威胁之一。为了应对这种威胁，许多电子邮件安全服务引入了URL重写（保护）技术，通过声誉过滤器阻止用户访问已知钓鱼网站。然而，近期的一些钓鱼活动却利用这种保护技术来实施攻击。 安全公司Barracuda Networks最新报告显示：“从2024年5月中旬开始，网络钓鱼攻击者开始利用三种不同的URL重写服务来掩盖钓鱼网站URL。这些URL重写服务由值得信赖的合法品牌提供。到目前为止，此类滥用URL重写服务攻击已经攻击了数百家甚至更多的公司。” URL重写服务的工作原理 URL重写服务是电子邮件安全供应商在安全邮件网关和云邮件服务中广泛使用的一种对电子邮件中的链接进行即时声誉检查的工具，通过重写传入或传出电子邮件中的链接，使其指向由安全受控的域名和服务。当用户点击重写的链接时，服务器会检查该链接是否指向已知的钓鱼或恶意软件网站，并根据检查结果决定是阻止访问还是重定向到安全网址。这种方法的好处在于，如果一个网站在稍后被标记为恶意，所有指向它的重写链接都将停止工作，从而为所有用户提供保护。 URL重写的技术缺陷与挑战 尽管URL重写服务在理论上具有保护作用，但其实际效果却存在争议。首先，这种方法会破坏加密电子邮件签名，因为安全电子邮件网关通过更改链接修改了原始电子邮件。其次，重写的链接掩盖了真实的目的地网址，这使得用户无法通过查看链接来识别钓鱼网站。例如，微软在其Office 365用户中提供了名为“安全链接”的功能，该功能会重写传入电子邮件和应用程序（如Outlook和Teams）中的链接。然而，这一功能过去曾被安全公司批评，原因包括不进行动态扫描或容易被基于IP的流量重定向绕过——微软的IP地址是公开的——或通过使用来自合法和受信任域名的开放重定向URL。 URL重写服务最大的缺点是，其链接声誉检查基于黑名单机制，而一个新钓鱼网站被添加到安全厂商的黑名单所需的时间各不相同。这可能需要几分钟、几小时或几天，取决于是否有人报告。一些安全厂商比其他厂商动作更快，攻击者也知道这一点。域名相当便宜，等到一个域名因托管钓鱼网站而被标记时，可能已经有数百名用户成为其受害者。 攻击者如何滥用URL重写服务 目前尚不清楚Barracuda观察到的钓鱼活动如何重写指向钓鱼网站的URL。研究人员推测，他们可能入侵了使用这些服务的企业内部电子邮件账户，然后向这些被入侵的帐户发送电子邮件或从这些被入侵的帐户发送电子邮件以强制进行URL重写。然后，攻击者只需从生成的电子邮件消息中获取重写的URL，用来制作新的钓鱼电子邮件。 一些使用URL重写技术的钓鱼电子邮件伪装成来自微软的密码更改提醒或来自DocuSign的文档签名请求。这些电子邮件包含被仿冒服务的典型品牌元素，包括使用重写链接将用户重定向的按钮。 面对滥用URL重写服务的钓鱼邮件攻击，Barracuda的研究人员强调，安全措施应与安全意识培训相结合，企业和个人用户应保持警惕，及时更新安全策略，以应对不断变化的网络威胁。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Jpg4KqY6j3fkYeei4SFICQ 封面来源于网络，如有侵权请联系删除