上周，唐纳德·特朗普的总统竞选团队公开宣布，他们成为伊朗黑客的攻击目标。最初，这则消息似乎表明，这个中东国家特别关注这位在其看来对其政权采取最强硬态度的候选人。 后来，情况变得更加明显，伊朗也将民主党纳入了其网络行动的视线。谷歌网络安全分析师已经证实，针对这两个竞选团队的攻击行动是为伊朗服务的同一群黑客。 谷歌威胁分析小组周三发布了一份关于 APT42 的新报告，报告称该组织试图破坏民主党和共和党的总统竞选活动以及以色列的军事、政府和外交组织。 2024 年 2 月至 7 月下旬期间，APT42 重点攻击以色列和美国 5 月和 6 月，据信为伊朗革命卫队 (IRGC) 服务的 APT42 黑客组织针对了与特朗普和乔·拜登有关的大约十几个人，包括现任和前任政府官员以及与这两个政治竞选活动有关的个人。谷歌称，APT42 继续针对共和党和民主党竞选官员。 “在收集信息方面，他们攻击的是各个方面。”谷歌旗下网络安全公司 Mandiant 的威胁情报主管John Hultquist表示，该公司与谷歌的威胁分析小组密切合作。 Hultquist指出，鉴于 APT42 在 2020 年也曾针对拜登和特朗普的竞选活动，同时针对美国两党竞选机构的网络间谍活动并不令人意外。 他说，APT42 的目标并不一定表明它偏爱某一位候选人，而是因为两位候选人——特朗普和现任副总统卡马拉·哈里斯——对伊朗政府都具有重要意义。“他们对两位候选人都感兴趣，因为他们是规划美国中东政策未来的人。”Hultquist说。 然而，只有一个竞选团队的敏感文件似乎不仅被伊朗黑客成功攻破，还被泄露给媒体。《政治报》、《华盛顿邮报》和《纽约时报》都表示，他们收到了据称从特朗普竞选团队窃取的文件，其中一些文件来自一位名叫“罗伯特”的消息人士。 这些文件是否确实被 APT42 窃取尚待证实。微软上周指出，APT42（其称之为 Mint Sandstorm）于 6 月利用另一位“前高级顾问”被黑客入侵的电子邮件账户，攻击了“总统竞选活动的一名高级官员”。谷歌在其新报告中还指出，APT42“成功获取了一位知名政治顾问的个人 Gmail 账户。” 虽然两家公司均未证实哪些人或哪些群体可能遭伊朗组织成功攻击，但特朗普顾问罗杰·斯通透露，微软和美国联邦调查局先后警告他，他的微软和 Gmail 账户均遭黑客入侵。 谷歌表示，它已经阻止了“大量”试图登录这两个竞选团队官员账户的攻击，并向受影响的个人发出了警告，并与执法部门合作调查这些入侵企图。据《华盛顿邮报》报道，美国联邦调查局于 6 月启动了对网络钓鱼攻击的调查。 Mandiant 公司的 Hultquist 表示， APT42 长期以来一直是中东地区最活跃的伊朗黑客组织之一，或者说是最活跃的。但 Hultquist 指出，该组织过去“仅限于间谍活动”。 攻击者利用其对受害者网络的访问权，在过去的案件中远远超出了间谍活动的范围，发动破坏性网络攻击，或在所谓的“影响行动”中入侵和泄露电子邮件，特朗普竞选活动可能就是如此。 “这提醒我们，任何为间谍活动而获得的访问权都可以用于其他目的。”Hultquist 说。 在其报告中，谷歌列出了 APT42 的典型网络钓鱼操作，包括将受害者引导至虚假的 Google Meet 页面，试图诱骗他们输入用户名和密码，诱骗他们进入 Telegram、WhatsApp 或 Signal 等消息平台上的对话，然后黑客向受害者发送旨在拦截其凭据的网络钓鱼工具包，以及双因素身份验证代码或帐户恢复代码。 APT42 于 2024 年 4 月发起网络钓鱼活动 除了总统竞选活动之外，谷歌表示，APT42 还积极利用网络钓鱼网站攻击以色列组织，这些网站冒充以色列和与以色列有关的组织，例如华盛顿近东政策研究所、布鲁金斯学会、犹太机构和阿拉丁计划。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8BInj1e3uW1vCvOFa9aSQw 封面来源于网络，如有侵权请联系删除

7月4日，Cybernews研究团队发现智利最大的养老金和社会保障基金 Caja Los Andes 发生大规模数据泄露，泄露的数据包括个人姓名、家庭住址、出生日期、电话号码、信用额度等等，影响了1000万智利人民。这一惊人数字占智利总人口的一半以上。 Caja Los Andes 成立于 1953 年，是智利最大的家庭津贴补偿基金 (CCAF)。它为公民提供健康保险、养老基金、贷款和抵押贷款。该公司拥有近 3,000 名员工，拥有约 1000 亿智利比索（约合 10 亿美元）的股本。 智利的 CCAF 基金是社会保障体系的一部分，为公民提供重要的金融服务，如此大规模的泄漏令人极为担忧，影响到了该国的广泛区域。 此次泄密事件源于该组织的Apache Cassandra数据库缺乏身份验证，这一数据库存储了公民的私人数据，这一配置错误使得互联网上的任何人都可访问这些数据。 据报道，尽管该基金在 2023 年拥有超过 400 万会员，但泄露的数据集包含的数据是该数量的两倍多。 Cybernews 研究团队解释道：“这表明泄露的数据库可能包括家庭成员、已更换服务提供商的个人，甚至可能涉及已经去世的人。” 令人震惊的是，这次泄露使该基金数百万客户面临身份盗窃的风险，他们的个人信息可能被用于欺诈、有针对性的诈骗和网络钓鱼攻击。 1000人的姓名和电话号码。 Cybernews 的研究人员表示：“家庭住址和财务信息泄露，再加上此次数据泄密，使得这些人容易遭受有针对性的抢劫或人身威胁。更为严重的是，即使没有产生直接的威胁，他们仍可能成为诈骗的主要目标。泄露的数据中还包含了大量的个人身份信息，如电子邮件地址，这使得数据集成为网络钓鱼攻击的宝贵目标。” 1000 万人的姓氏和家庭住址。 除了对CCAF基金的客户产生威胁外，此类数据泄露还会给该组织带来严重的声誉损害风险。根据智利的数据保护法，泄露个人数据的公司可能面临严厉处罚，包括高达年收入4%的罚款，以及受影响个人可能提起的大规模诉讼。 Cybernews已联系Cajas Los Andes，泄露事件已得到控制，但尚未收到官方回应。 分支机构   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一，运行于 Ring -1（用于虚拟机管理程序和 CPU 虚拟化）和 Ring 0 之上，后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别，SMM 与操作系统隔离，以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315，严重性评级为高（CVSS 评分：7.5），由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现，他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节，演讲主题为“ AMD Sinkclose：通用 Ring-2 权限提升”。 研究人员报告称，Sinkclose 近 20 年来一直未被发现，影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置，即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的，因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired，检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU，然后扫描内存中是否存在恶意软件。 根据 AMD 的建议，以下型号受到影响： EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO（Castle Peak WS SP3、Chagall WS） AMD Athlon 3000 系列移动版（Dali、Pollock） AMD Instinct MI300A AMD在其公告中表示，它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施，并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点，并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而，IOActive 回应称，内核级漏洞虽然并不普遍，但在复杂的攻击中肯定并不少见，根据先前攻击情况实例来看，确实如此。 高级持续性威胁 (APT) 参与者，例如朝鲜的 Lazarus 组织，一直在使用BYOVD（自带易受攻击的驱动程序）技术，甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略，采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现，包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序，甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此，Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁，尤其是来自国家支持的和老练的专业黑客组织的威胁，不容忽视。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

在 2023 年 11 月，南亚的一家媒体机构遭遇了一次前所未有的网络攻击，攻击者利用了一种之前未曾记录的基于 Go 语言开发的后门程序，名为 GoGra。 “GoGra 是一种用 Go 语言编写的后门程序，它通过 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制（C&C）服务器进行交互。”Broadcom旗下的Symantec在与The Hacker News分享的一份报告中表示。 目前尚不清楚 GoGra 是如何被交付到目标环境的。然而，GoGra 被专门配置为从 Outlook 用户名为“FNU LNU”的账户中读取邮件，其邮件主题以“Input”一词开头。 接着，GoGra 使用密钥和 AES-256 算法在密码块链（CBC）模式下对邮件内容进行解密，然后通过 cmd.exe 执行相关命令。 随后，操作结果会被加密并发送回同一用户，邮件主题为“Output”。 据报道，GoGra 可能由一个名为 Harvester 的国家级黑客组织开发，因为其与名为 Graphon 的定制 .NET 植入程序具有相似特征，该植入程序同样利用 Microsoft Graph API 进行命令和控制（C&C）。 这一趋势表明，威胁行为者越来越倾向于利用合法的云服务，以保持隐匿并减少对专用基础设施的依赖。   下面列出了采用该技术的其他一些新恶意软件家族： Firefly是一种在针对东南亚军事组织的网络攻击中部署的以前未见的数据泄露工具。该工具收集的信息会通过硬编码的刷新令牌上传至 Google Drive。 在 2024 年 4 月，一种名为 Grager 的新型后门被部署于台湾、香港和越南的三个组织。Grager 利用 Graph API 与托管在 Microsoft OneDrive 上的命令与控制（C&C）服务器进行通信。这一活动初步与一个被追踪为 UNC5330 的疑似中国威胁行为者相关联。 另一个名为 MoonTag 的后门也具备与 Graph API 通信的功能，并被认为是中国威胁参与者所开发。 此外，名为 Onedrivetools 的后门曾被用于攻击美国和欧洲的 IT 服务公司。该后门通过 Graph API 与托管在 OneDrive 上的 C&C 服务器进行交互，以执行接收到的命令并将结果保存至 OneDrive。 Symantec 表示：“尽管通过云服务进行命令与控制并非新技术，但近期越来越多的攻击者开始采用这一方法。”该公司还提到了一些相关的恶意软件，例如 BLUELIGHT，Graphite，Graphican和BirdyClient等。 根据目前利用云服务的威胁参与者的数量，可以推测，间谍行为者正在研究并模仿其他组织所采用的成功技术。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

去中心化金融生态系统再次遭受了重大的安全漏洞。区块链基础设施协议Nexera遭遇一个重大漏洞，导致价值约180万美元的数字资产被盗。 加密安全公司Cyvers在8月7日详细描述了这次攻击。攻击者通过一个复杂的策略，控制了Nexera的代理合同（proxy contract）。 在去中心化金融（DeFi）协议中，代理合同通常是一个关键的控制点，它允许用户通过智能合约与DeFi平台进行交互。 攻击者利用控制的代理合同，执行了“withdraw admin”（撤回管理员）功能，窃取了平台的全部NXRA币（3250万NXRA币）。 “我们的系统检测到一笔涉及您的代理合同的可疑交易。Cyvers在X（Twitter）上的一篇文章中解释说：“一个地址拥有了你的代理合约并对其进行了升级。不久之后，该地址使用了撤回管理功能来转移所有的$NXRA币。” 事件发生后，Nexera迅速做出反应，暂停了NXRA币合约，并停止了去中心化交易所的交易。Kucoin和MEXC交易所已经暂停交易活动。 尽管采取的措施对于防止进一步的损失至关重要，但平台在重建信任和追回被盗资金方面面临着巨大的挑战。 此前Ronin Network案例中，一个被认为是”白帽黑客”（即那些发现并报告安全漏洞的黑客，通常不会利用这些漏洞进行恶意行为）的人盗取了价值980万美元的以太币，但很快就归还了这些资金。 与Ronin Network情况不同，Nexera事件表现出了明显的恶意意图。 盗窃发生后，黑客立即启动了一个流程来清洗被盗的NXRA币。通过将被盗资金转换为以太坊（ETH）并可能利用加密货币混合器，掩盖被盗资金的来源，使当局和网络安全公司追踪和恢复资产变得更具挑战性。 这次攻击在加密货币社区中引起了巨大的震动。 在攻击之后，NXRA币的价值暴跌了40%。区块链侦探ZachXBT已经将攻击者与一系列先前的私钥泄露事件联系起来，涉及SpaceCatch、Concentric Finance、OKX DEX、Serenity Shield和Reach等事件。 攻击者目前持有大量的3250万NXRA币，这些代币的价值大约为123万美元，以及价值55.5万美元的USDT稳定币（USDT是一种与美元价值挂钩的稳定币，通常用于加密货币交易和存储价值）。   转自E安全，原文链接：https://mp.weixin.qq.com/s/mPRWBSYPfew2UOVfwMZyEw 封面来源于网络，如有侵权请联系删除

谷歌已修复 Android 设备中一个可能“受到有限、有针对性利用”的“高严重性”漏洞。 谷歌在周一的公告中表示，该漏洞编号为CVE-2024-36971，影响 Linux 内核——操作系统的核心组件，是软件和计算机物理硬件之间的桥梁。 谷歌表示，该漏洞允许黑客在受影响的设备上远程执行代码。该公司尚未提供有关具体攻击以及幕后威胁者的任何详细信息。 为了成功利用该漏洞，攻击者需要拥有系统级权限，即最高级别的访问权限。 谷歌 8 月份的补丁共修复了 47 个漏洞，包括 Arm、Imagination Technologies、联发科和高通组件中的漏洞。其中大多数漏洞被评为“高严重性”。 新的 Android 0day漏洞是由 Google 威胁分析小组的 Clement Lecigne 发现的。他之前主要报道间谍攻击中利用的0day漏洞。 今年早些时候，谷歌的研究人员警告称，0day漏洞已变得越来越普遍，因为国家黑客和网络犯罪分子已经找到了实施攻击的复杂方法。 谷歌在 3 月份的一份报告中表示，它观察到 2023 年有 97 个0day漏洞被利用，而 2022 年只有 62 个，增长了 50%。其中 48 个漏洞归因于间谍行为者，其余 49 个漏洞归因于以经济为目的的黑客。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/K-H7sGAjR_4u_iScnfRYOw 封面来源于网络，如有侵权请联系删除

黑客入侵了全球使用的数字教室管理平台 Mobile Guardian，并远程抹去了至少 13,000 名学生的 iPad 和 Chromebook 上的数据。 Mobile Guardian 是“Google for Education”合作伙伴，是针对 K-12 学校的跨平台（Android、Windows、iOS、ChromeOS、macOS）一对一解决方案，提供全套设备管理、家长监控和控制、安全网络过滤、课堂管理和通信等功能。 该平台宣布于 2024 年 8 月 4 日遭遇安全漏洞，一名黑客未经授权访问其平台，影响其北美、欧洲和新加坡实例。 Mobile Guardian 表示，由于此次入侵，一小部分 iOS 和 ChromeOS 设备被远程清除数据，但没有证据表明存在数据访问或泄露。 公告中写道：“此次事件导致一小部分设备从 Mobile Guardian 中取消注册，设备中的内容被远程清除。”并补充道，“没有证据表明犯罪者可以访问用户的数据。” 该服务目前已暂停，因此用户无法登录移动监护平台，学生也只能在其设备上进行受限访问。 该漏洞仍在调查中，但该公司目前就该事件发表的声明称，没有证据表明攻击者获取了用户数据。北美、欧洲和新加坡的实例均受到影响。 受影响设备的确切数量尚不清楚，但 Mobile Guardian 称其只占“一小部分”。受影响的客户之一新加坡教育部表示，26 所学校的 13,000 名学生的设备已被攻击者远程清除。 该事件给新加坡造成了严重混乱，学生无法访问存储在 iPad 和 Chromebook 上的应用程序和信息。 新加坡教育部表示，此次事件发生后，将从所有 iPad 和 Chromebook 中删除“Mobile Guardian”应用程序。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NsbOWU_rwqLtg5FwVM_pCw 封面来源于网络，如有侵权请联系删除

以色列黑客宣布对伊朗持续的互联网中断负责。 该组织以 WeRedEvils 为名开展活动，至少自 2023 年 10 月以来就已存在，这可能是哈马斯袭击以色列的直接后果，从而引发了当前的加沙战争。 “接下来几分钟，我们将攻击伊朗的系统和互联网提供商。”WeRedEvils 昨天在 Telegram 上表示。“猛烈的打击即将到来。” 根据该组织自己的说法，这次攻击是成功的，他们声称已经成功侵入伊朗的计算机系统，窃取数据并导致互联网中断。该组织声称他们已将窃取的信息转交给以色列政府。 作为证据，WeRedEvils 指出，信息和通信技术部网站 ict.gov.ir 目前已瘫痪，伊朗各部委的大多数其他网站也同样瘫痪，并出现“响应时间过长”的错误。一些网站还出现 403 错误。 《The Register》仅找到两个可在美国访问的政府部门页面，一个是该国文化部，另一个是外交部。 目前还不清楚 WeRedEvils 究竟造成了多大的损失，或者它是否应对当前的中断负全部责任。 WeRedEvils 声称，去年 10 月，它曾袭击伊朗电网，导致电网瘫痪两小时。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qzJ9kecAyX8K93tdE7R9lg 封面来源于网络，如有侵权请联系删除

由于勒索攻击导致运营能力骤降，OneBlood要求250多家医院启动“血液短缺”应急程序，并持续一段时间。 安全内参8月1日消息，因勒索软件攻击关闭部分系统，美国大型血液中心OneBlood的运营能力骤降。 上周三，向美国东南部医疗机构提供血液的非营利组织OneBlood发布声明，告知公众其运作能力受到勒索软件攻击影响。 OneBlood企业传播高级副总裁Susan Forbes表示：“为了维持运转，我们已经实施了手动流程和程序。手动流程执行起来不仅需要耗费长得多的时间，还会影响库存可用性。” “为了进一步管理血液供应，我们已要求250多家接受我们服务的医院启动关键的血液短缺程序，并在一段时间内保持该状态。” OneBlood表示，目前正在与网络安全专家以及联邦和州官员合作解决这一危机。该组织向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。该组织仍在运作，并继续收集、测试和分发血液，但“运行能力已经显著降低”。 这一事件引发了其他血液组织的大力支持，美国血库协会（AABB）灾害工作组正在组织将血液和血小板送往OneBlood。目前，所有血型都有捐献需求，其中O型阳性血、O型阴性血和血小板最为紧缺。 Forbes表示，公司在确认遭到攻击后立即开始调查，并启动了应对工作。“我们正在执行全面的响应工作，并努力尽快恢复系统的所有功能。” “血液供应并不稳定。事件处理仍在进行。如果您符合献血标准，我们敦促您尽快进行预约。” 外媒CNN首次报道了这次攻击。CNN获得了一份发给健康信息共享与分析中心的咨询通知，警告佛罗里达州医院可能面临血液短缺。由于勒索软件攻击，该组织不得不手动标记血液产品。 医疗行业网络威胁严峻 这次攻击发生一周之前，英国一家知名血液测试提供商宣布，在6月勒索软件攻击后，已成功重建大部分IT基础设施。 上个月，英国病理服务提供商Synnovis被Qilin勒索软件团伙攻击，导致1000多次关键手术被取消。英国国家医疗服务体系（NHS）被迫紧急呼吁人们捐献O型血液。 根据两周前发给NHS首席执行官的一封信，勒索软件攻击使英国的国家血液库存“处于非常脆弱的状态”。 勒索软件团伙还攻击了南非国家卫生实验室服务局，严重影响了该国应对猴痘、艾滋病和结核病等多重健康危机的工作。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/kC0UJk-6KlWH10OY4WiQoA 封面来源于网络，如有侵权请联系删除

美国网络安全公司 KnowBe4 表示，其最近聘请的一名首席软件工程师原来是朝鲜黑客，他试图在其设备上安装信息窃取软件。 该公司及时发现并阻止了恶意行为，因此没有发生数据泄露。这起案件凸显了朝鲜黑客冒充 IT 人员的持续威胁，这是FBI 自 2023 年以来多次警告的事情 。 朝鲜拥有一支组织严密的IT 工作者大军，他们隐瞒自己的真实身份，可能受雇于数百家美国公司。 朝鲜黑客利用AI骗过背景调查 在雇用这名“员工”之前，KnowBe4 进行了背景调查，核实了所提供的推荐信，并进行了四次视频面试，以确保他们是真实的人，并且他的脸与简历上的相符。 但后来确定，该人提交了一名被盗的美国人的身份，以逃避初步检查，并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。 KnowBe4 是一家专门从事安全意识培训和网络钓鱼模拟的公司，2024 年 7 月 15 日，其 EDR 产品报告有人试图从刚刚发送给新员工的 Mac 工作站加载恶意软件，因此怀疑出现了问题。 KnowBe4 的一位发言人表示，该恶意软件是一个针对存储在网络浏览器数据的信息窃取程序，而这名恶意员工很可能希望提取在委托给他之前留在计算机上的信息。 攻击者可能为了查找 IT 部门初始配置过程中先前浏览器会话遗留的凭据，或者提取先前发给其他员工的未完成或未正确擦除的笔记本电脑中遗留的信息。 当该公司 IT 人员质问该活动时，这名“员工”最初辩解，但很快就停止了所有通信。 当这些警报到达 KnowBe4 的 SOC 团队时，他们联系了用户，询问异常活动和可能的原因。XXXX回复 SOC 说，他正在按照路由器指南上的步骤排除速度问题，这可能造成了损害。 攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 获取更多详细信息，包括给他打电话。XXXX 表示他无法接听电话，后来没有回应。 KnowBe4 首席执行官 Stu Sjouwerman 在一篇帖子中解释说，该计划涉及诱骗雇主将工作站发送到“IT 电脑农场”，该农场位于诈骗者在其申请表上申报的家庭住址附近。 然后，他们在夜间使用 VPN 连接到该设备，这样看起来就像他们在美国时间工作一样，并正常执行分配给他们的任务。 为了降低这种风险，KnowBe4 建议公司为新员工维护一个与最关键的网络部分隔离的沙盒。 该公司还表示，要确保新员工的外部设备不会被远程使用，并将送货地址不一致视为危险信号。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NqYAPiPcdk4OsVgAG_LkLQ 封面来源于网络，如有侵权请联系删除