名为 Patchwork 的威胁行为涉嫌参与了针对不丹相关实体的网络攻击，该攻击旨在传播 Brute Ratel C4 框架和一个名为 PGoShell 的升级版后门。 知道创宇 404 实验室在上周发布的一份分析报告中表示，这一进展标志着首次观察到对手使用红队软件。 该活动集群也被称为 APT-C-09、Dropping Elephant、Operation Hangover、Viceroy Tiger 和 Zinc Emerson，可能是一个受国家支持的印度黑客组织。 根据中国网络安全公司奇安信共享的数据，该黑客组织以针对中国和巴基斯坦实施鱼叉式网络钓鱼和灌水攻击而闻名，据悉至少从 2009 年起就开始活跃。 去年7月，知道创宇404实验室披露了针对中国大学和研究机构的间谍活动细节。该活动利用了代号为EyeShell的基于.NET的植入程序，从攻击者控制的服务器上获取并执行命令，运行附加有效载荷，并截取屏幕截图。 今年二月，研究人员发现该黑客组织利用浪漫主题诱饵对巴基斯坦和印度的受害者实施诱骗，并通过名为VajraSpy的远程访问木马程序入侵其安卓设备。 最新观察显示，攻击链起点是一个Windows快捷方式（LNK）文件，该文件旨在从一个冒充联合国气候变化框架公约支持的适应基金的远程域下载一个诱饵PDF文档，同时隐秘地部署从不同域（“beijingtv[.]org”）获取的Brute Ratel C4和PGoShell。 知道创宇404实验室表示“PGoShell 是用 Go 编程语言开发的。总体而言，它提供了一套丰富的功能，包括远程shell功能、屏幕捕获以及下载和执行有效载荷。” 几个月前，APT-K-47 （另一个与 SideWinder、Patchwork、Confucius 和 Bitter 在战术上有重叠的黑客组织）发起了涉及使用 ORPCBackdoor 以及 WalkerShell、DemoTrySpy 和 NixBackdoor 等之前未记录的恶意软件来收集数据和执行 shellcode 的攻击。 知道创宇 404 实验室表示，这些攻击事件中部署了一个名为 Nimbo-C2 的开源命令与控制（C2）框架而引人注目，该框架 “支持多种远程控制功能”。   转自thehackernews，原文链接：https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html 封面来源于网络，如有侵权请联系删除

去年 1 月，俄罗斯黑客尝试了让乌克兰人受冻的方法：一种恶意软件样本，让黑客直接进入乌克兰供暖设施，在严寒的冬季切断数百栋建筑的暖气和热水。 工业网络安全公司 Dragos 周二披露了新发现的与俄罗斯有关的恶意软件样本，分析报告认为该恶意软件在 1 月底针对乌克兰利沃夫的一家供暖设施发动的网络攻击中被使用，导致 600 栋建筑的服务中断约 48 小时。 在这次攻击中，恶意软件修改了温度读数，欺骗控制系统冷却流经建筑物管道的热水，这是黑客直接破坏供暖设施的首例确认案例。 Dragos 的恶意软件报告指出，攻击发生时利沃夫正经历典型的一月寒流，接近该地区一年中最冷的时节。Dragos 分析师 Kyle O’Meara 说：“有人在隆冬时节关掉你的暖气，这真是太糟糕了。” Dragos 将该恶意软件称为 FrostyGoop，它是迄今为止在野外发现的不到 10 个攻击工业系统的代码样本之一，这些代码旨在直接与工业控制系统软件交互，以产生物理效果。 也是迄今为止发现的第一个试图通过 Modbus 发送命令来实现这些效果的恶意软件，Modbus 是一种常用且相对不安全的协议，用于与工业设备进行通信。 Dragos 于 4 月首次发现了 FrostyGoop 恶意软件，当时该恶意软件以多种形式上传到在线恶意软件扫描服务（最有可能是 Google 旗下的扫描服务和恶意软件存储库 VirusTotal，尽管 Dragos 拒绝确认是哪项服务）——可能是恶意软件的创建者上传的，目的是测试它是否被防病毒系统检测到。 Dragos 表示，通过与乌克兰网络安全情况中心（乌克兰安全局网络安全和情报机构的一部分）合作，他们了解到该恶意软件曾被用于从 1 月 22 日开始针对乌克兰西部最大城市利沃夫的一家供暖设施的网络攻击。 Dragos 拒绝透露受害公用事业公司的名称，事实上，该公司表示，由于该公司是从乌克兰政府那里得知这一攻击目标的，因此尚未独立确认这家公用事业公司的名称。 Dragos 对此次攻击的描述与Lvivteploenergo 公用事业公司大约在同一时间发生的供暖中断的报道非常吻合，据当地媒体报道，此次中断导致近 10 万人无法供暖和使用热水。 利沃夫市长 Andriy Sadovyi 当时在Telegram 消息服务上发帖称此次事件为“故障” ，但补充说，“怀疑公司工作系统受到外部干扰，目前正在核实这一信息。” 1 月 23 日，Lvivteploenergo 的一份声明更明确地将此次供暖中断描述为“黑客攻击的结果”。 Lvivteploenergo 和乌克兰安全局均未回应《连线》的置评请求。乌克兰网络安全机构国家特别通信和信息保护局拒绝置评。 Dragos 在对供热设施攻击的分析中表示，FrostyGoop 恶意软件被用来攻击 ENCO 控制设备（立陶宛公司 Axis Industries 销售的支持 Modbus 的工业监控工具），并改变其温度输出以关闭热水流量。 Dragos 表示，黑客实际上在攻击发生前几个月（2023 年 4 月）就利用易受攻击的 MikroTik 路由器作为入口点获得了网络访问权限。然后，他们在网络中建立了自己的 VPN 连接，并重新连接到莫斯科的 IP 地址。 尽管与俄罗斯有关，但 Dragos 表示，它尚未将供热设施入侵事件与其追踪的任何已知黑客组织联系起来。Dragos 特别指出，它尚未将黑客攻击与 Kamacite 或 Electrum 等常见嫌疑组织联系起来，这是 Dragos 内部对一些团体的称呼，这些团体被更广泛地统称为Sandworm，是俄罗斯军事情报机构 GRU 的一个单位。 Dragos 发现，虽然黑客利用对供热设施网络的入侵发送了 FrostyGoop 的 Modbus 命令，这些命令针对 ENCO 设备并破坏了该设施的服务，但该恶意软件似乎托管在黑客自己的计算机上，而不是受害者的网络上。 这意味着，仅靠简单的防病毒软件，而不是网络监控和分段来保护易受攻击的 Modbus 设备，可能无法阻止该工具在未来的使用，Dragos 分析师 Mark “Magpie” Graham 警告说：“它可以远程与设备交互，这意味着它不一定需要部署到目标环境中。”Graham 说。“你可能永远不会在环境中看到它，只能看到它的效果。” 虽然利沃夫供暖设施中的 ENCO 设备是网络内部攻击的目标，但 Dragos 还警告称，它发现的早期版本的 FrostyGoop 被配置成针对可通过开放互联网公开访问的 ENCO 设备。 Dragos 表示，在自己的扫描中，它发现了至少 40 台类似的 ENCO 设备，它们同样存在在线漏洞。该公司警告称，ENCO 控制器主要部署在东欧，包括乌克兰、罗马尼亚和立陶宛。大约有 46,000 台暴露在互联网上的 ICS 设备通过此协议进行通信。 Dragos 表示：“FrostyGoop 能够通过 Modbus TCP 与 ICS 设备进行通信，这威胁到了多个行业的关键基础设施。鉴于 Modbus 协议在工业环境中的普遍性，这种恶意软件可能会通过与传统和现代系统进行交互，对所有工业领域造成破坏。” “我们认为 FrostyGoop 能够与大量此类设备进行交互，我们正在进行研究，以验证哪些设备确实存在漏洞。”Graham 说。 虽然 Dragos 尚未正式将利沃夫袭击事件与俄罗斯政府联系起来，分析师 Graham 本人并不回避将这次袭击描述为俄罗斯对该国发动的战争的一部分——这场战争自 2022 年以来就用炸弹残酷地摧毁了乌克兰的关键基础设施，而网络攻击早在 2014 年就开始了。 Graham 认为，在乌克兰冬季以网络攻击瞄准供暖基础设施实际上可能表明乌克兰人击落俄罗斯导弹的能力不断增强，将俄罗斯推回到黑客破坏的轨道，尤其是在乌克兰西部。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JuwKahvFvIBM4kcB5TgrLA 封面来源于网络，如有侵权请联系删除

两名俄罗斯网络犯罪分子针对美国关键基础设施开展网络攻击，美国政府已对其实施制裁。 据美国财政部新闻稿，这两名被制裁者分别是 Yuliya Vladimirovna Pankratova 和 Denis Olegovich Degtyarenko，他们是与俄罗斯结盟的黑客组织 “俄罗斯重生网络军”（CARR）的主要成员。 据报道，黑客 Pankratova 在网络上被称为”YuliYA”。据称她是 CARR 组织的头目，负责管理该组织的操作人员，并充当发言人角色。 Degtyarenko 又名 “Dena”，是 CARR 的核心黑客，负责实施攻击计划并为其他人制作培训材料。 CARR 于 2022 年开始活动，并使用分布式拒绝服务 (DDoS) 攻击乌克兰和支持乌克兰的国家。 该黑客组织的行动于 2023 年底升级，他们将目标锁定在关键基础设施的工业系统上，包括美国和欧洲的水处理和能源设施。 2024 年 1 月，CARR 声称对一家美国能源公司 SCADA 系统和德克萨斯州一个储水装置的入侵事件负责，并发布了他们进入相关系统的视频证据。 虽然 CARR 在这些事件中未能造成重大损失，但其活动所带来的高风险足以促使相关机构对其采取法律行动。 财政部负责反恐事务的副部长 Brian E. Nelson 表示：“CARR 及其成员针对我们的关键基础设施实施攻击，这一行为给公民和社区造成了很大的威胁，可能导致一些危险的后果。” “美国将持续采取行动，利用各种手段追究恶意网络活动参与者的责任。” 由于美国宣布了制裁措施，因此被指认个人在美国的财产和利益基本上被封锁。 此外，美国公民被禁止与这两名黑客进行任何交易，任何发生交易的金融机构都可能面临制裁或罚款。 对没有美国引渡协议的国家公民实施制裁可以有效地孤立他们，同时对其施压，破坏他们的网络犯罪活动，并阻止其他黑客与他们合作。 美国财政部还提到了 LockBit 勒索软件行动领导人 Dmitry Khoroshev 的例子，他于 2024 年 5 月受到制裁。此外，俄罗斯国民 Aleksandr Gennadievich Ermakov 是勒索软件组织 REvil 的成员，他于 2024 年 1 月受到制裁。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，未知黑客组织利用开源工具开展了针对全球政府和私营部门组织的疑似网络间谍活动。 Recorded Future 的 Insikt Group 正在以临时代号 TAG-100 跟踪该活动，并指出攻击者可能攻击了非洲、亚洲、北美洲、南美洲和大洋洲至少十个国家的组织，其中包括两个未具名的亚太政府间组织。 自 2024 年 2 月以来，柬埔寨、吉布提、多米尼加共和国、斐济、印度尼西亚、荷兰、英国、美国和越南的外交、政府、半导体供应链、非营利组织和宗教实体也被列入名单。 该网络安全公司表示：“TAG-100 采用开源远程访问功能，并利用各种面向互联网的设备获取初始访问权限。” “该组织使用了开源 Go 后门Pantegana和Spark RAT进行后利用。” 攻击链涉及利用影响各种面向互联网的产品已知安全漏洞，包括 Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange Server、SonicWall、Cisco Adaptive Security Appliances (ASA)、Palo Alto Networks GlobalProtect 和 Fortinet FortiGate。 据观察，该组织还针对至少 15 个国家/地区的组织机构的互联网设备开展了广泛的侦察活动，其中包括法国、意大利、日本和马来西亚等，其中还包括位于玻利维亚、法国和美国的几个古巴大使馆。 该公司表示：“从 2024 年 4 月 16 日开始，TAG-100 针对教育、金融、法律、地方政府和公用事业领域的 Palo Alto Networks GlobalProtect 设备进行了可能的侦察和利用活动。” 据称，攻击活动与CVE-2024-3400 （CVSS 评分：10.0）的概念验证（PoC）漏洞的公开发布同时进行，CVE-2024-3400 是一个影响 Palo Alto Networks GlobalProtect 防火墙的严重远程代码执行漏洞。 成功进行初始访问后，将在受感染主机上部署 Pantegana、Spark RAT 和 Cobalt Strike Beacon。 研究结果表明，PoC 漏洞可以与开源程序相结合，从而策划攻击，有效降低不太熟练的攻击者的进入门槛。此外，此类伎俩还能让对手的归因工作变得复杂，并逃避检测。 Recorded Future 表示：“广泛瞄准面向互联网的设备尤其具有吸引力，因为它可以通过通常具有有限可视性、日志记录功能和对传统安全解决方案的支持的产品在目标网络中提供立足点，从而降低利用后检测的风险。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ceKHCFQLCZqlbjwPVGj7xg 封面来源于网络，如有侵权请联系删除

来自能源、石油/天然气和公用事业领域的 275 名 IT/网络安全领导者分享了他们遭遇勒索软件攻击的经历。 Sophos 最新的年度研究针对能源、石油/天然气和公用事业领域（支持企业的关键基础设施的核心要素）的真实勒索软件经历，探索了受害者的完整历程，从攻击率和根本原因到运营影响和业务结果。 今年的报告揭示了该行业的新研究领域，包括对赎金要求与赎金支付的探讨，以及能源、石油/天然气和公用事业组织从执法机构获得支持以补救攻击的频率。 提交表单，此处下载报告PDF副本。 勒索软件感染率持稳 2024 年，67% 的能源、石油/天然气和公用事业组织遭受勒索软件的攻击，与 2023 年报告的攻击率相同。 98% 的能源、石油/天然气和公用事业组织在过去一年遭受勒索软件攻击，他们表示网络犯罪分子在攻击期间试图破坏其备份。其中五分之四 (79%) 的备份破坏尝试成功，这是所有行业中备份破坏成功率最高的。 2024 年针对能源、石油/天然气和公用事业组织的勒索软件攻击中有 80% 导致数据加密，与 2023 年该行业报告的加密率 (79%) 一致，但高于 2024 年跨行业平均水平 70%。 2024 年，能源、石油/天然气和公用事业组织从勒索软件攻击中恢复的平均成本为 312 万美元，与 2023 年报告的 317 万美元相似。 受勒索软件攻击影响的设备 平均而言，能源、石油/天然气和公用事业行业中有 62% 的计算机受到勒索软件攻击的影响，远高于 49% 的跨行业平均值。 与其他行业不同，其他行业中只有一小部分组织对其整个环境进行了加密，而大约五分之一的能源、石油/天然气和公用事业组织 (17%) 报告称其 91% 或更多的设备受到影响。 51%的组织使用备份进行数据恢复 61% 的能源、石油/天然气和公用事业组织支付了赎金以恢复加密数据，而只有 51% 的组织使用备份恢复了加密数据，这是所有行业中备份使用率最低的一次。 这是能源、石油/天然气和公用事业组织首次报告支付赎金的倾向高于使用备份。相比之下，在全球范围内，支付赎金的组织占 56%，使用备份的组织占 68%。 今年的调查结果与前两年相比发生了显著变化，当时该行业的备份使用率令人印象深刻（2023 年为 70%，2022 年为 77%）。 一个显著变化是受害者使用多种方法恢复加密数据的倾向有所增加（例如支付赎金和使用备份）。这一次，35% 的能源、石油/天然气和公用事业组织报告称，他们使用了不止一种方法来加密数据，高于 2023 年报告的 26%。 关键基础设施受害者通常不会支付最初要求的赎金 86 家支付赎金的能源、石油/天然气和公用事业组织受访者分享了实际支付的金额，结果显示 2024 年的平均（中位数）支付金额为 250 万美元。 略少于一半（48%）的受访者表示，他们的付款与原始要求相符。26% 的人支付的金额低于原始要求，27% 的人支付的金额更多。 从行业数据来看，能源、石油/天然气和公用事业最倾向于支付攻击者要求的原始赎金金额。这也是支付低于原始要求金额的倾向第二低的行业。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O3SHo9cdffsRXRG1jZ3LYA 封面来源于网络，如有侵权请联系删除

关键供应商Synnovis遭勒索软件攻击，导致英国伦敦器官移植和血液供应受到干扰。 安全内参7月17日消息，六周前，勒索软件攻击干扰了血液检测公司Synnovis的运作。到目前为止，这一事件已经影响了近8000名英国国家医疗服务体系（NHS）患者的手术，包括器官移植和癌症治疗，已被取消、推迟或转移到伦敦的其他设施。 NHS在7月11日发布公告更新指出，自6月3日事件爆发以来，伦敦国王学院医院NHS信托基金和盖伊和圣托马斯NHS信托基金，两家受影响最严重的NHS信托基金共推迟了6199次急性门诊预约和1491次选择性手术。 NHS表示，尽管推迟的急性门诊预约和选择性手术数量有所减少，但攻击的影响仍在继续，并且具有破坏性。 NHS伦敦医疗主任Chris Streather医生在声明中说：“这仍然对患者产生了重大影响，我理解手术推迟带来的痛苦。” “在整个伦敦，我们继续与NHS同事合作，互相提供帮助，尽量减少事件对护理服务的干扰，特别是在伦敦东南部的护理服务。伦敦的NHS组织正在合作制定恢复服务的计划。” NHS表示，6月3日事件造成持续干扰，也影响了整个英国的血液供应。 医院正在使用比平时更多的通用血型- O阴性和O阳性。NHS表示：“这对国家血液库存产生了影响。” 关键供应商因勒索攻击丧失IT能力 Synnovis在7月1日的最新更新中表示，网络攻击影响了其几乎所有的IT系统，导致公司处理样本的能力持续大幅降低。 Synnovis是盖伊和圣托马斯NHS信托基金、国王学院医院NHS信托基金和SYNLAB之间的病理学合作伙伴关系。 讲俄语的勒索软件组织Qilin声称对此次攻击负责。该组织在6月底在暗网上泄露了近4GB从Synnovis和NHS窃取的数据，据说还要求受害者支付5千万美元赎金。 公司表示，攻击影响了Synnovis分析仪识别和处理传入样本以及传输测试结果的能力。“相关的电子过程很多被迫归回纸面和手动操作，这大大影响了处理能力和交付时间。” Synnovis表示，预计“需要一些时间”才能完全恢复，并补充说，公司正在采取分阶段的方法重新建立其技术基础设施，“根据临床重要性进行优先排序”。 Synnovis说：“这包括在盖伊和圣托马斯以及国王学院医院交付新的中间件，即简化我们实验室信息管理系统结果报告和传输的软件。这些软件能增加我们各方的处理能力。” 外媒Security Media Group试图采访NHS和Synnovis，二者均拒绝提供该事件的额外详细信息。 医疗行业勒索破坏式攻击层出不穷 Synnovis攻击事件及其对NHS患者服务的破坏性影响令人想起最近美国和其他地区医疗保健部门遭遇的类似网络事件。 今年2月，美国联合健康集团的子公司Change Healthcare遭遇攻击；5月，Ascension连锁医院受到勒索软件攻击。两次事件均造成了大规模的干扰。 上周五，弗吉尼亚州民主党参议员Mark R. Warner向美国卫生与公众服务部部长Xavier Becerra和国家安全顾问助理Anne Neuberger发送了一封信，敦促拜登政府迅速制定并发布医疗保健部门的强制性最低网络标准。 尽管美国卫生部几个月来一直在研究如何制定医院的潜在网络安全绩效目标，Warner鼓励政府在Change Healthcare攻击之后立即发布新的医疗保健规定。 他说：“鉴于网络安全威胁和攻击的严重性、频率和复杂性不断增加，我今天写信是为了敦促您优先制定、尽快提出强制性最低网络标准。简而言之，不充分的网络安全实践使人们的生命处于危险之中。”   转自安全内参，原文链接：https://www.secrss.com/articles/68200 封面来源于网络，如有侵权请联系删除

全球最大游艇经销商MarineMax 正在给超 123000 人发送通知，称他们的个人信息在 3 月份发生的安全漏洞事件中被盗。此次事件由 Rhysida 勒索软件团伙宣称负责。 MarineMax 在全球经营 130 多个网点，包括 83 个经销商和 66 个游艇码头及仓储设施。去年，该公司实现营业收入 23.9 亿美元，毛利润 8.353 亿美元。 这家总部位于佛罗里达州的游艇经销商最初在 3 月 12 日提交给美国证券交易委员会的文件中称，被入侵的系统没有存储敏感数据。然而，两周后，该公司在一份新的 8-K 文件中表示，攻击者窃取了未公开的个人数据。 本周二，MarineMax 在向缅因州和佛蒙特州总检察长办公室提交的数据泄露通知函中透露，此次数据泄露事件影响人数为 123494 人。MarineMax 补充说，该事件发生在 3 月 10 日，即攻击者入侵其网络的十天后，并且只影响了“有限”数量的系统。 MarineMax 表示：“根据我们对该事件的调查，我们确定在 2024 年 3 月 1 日至 3 月 10 日期间，有未经授权的第三方访问了我们的系统。我们调查结果显示，这些未经授权的第三方获取了一些包含个人信息的数据。” MarineMax 还告诉缅因州和佛蒙特州总检察长，攻击者窃取了姓名和其他个人身份信息。然而，该公司尚未披露还有哪些其他个人信息被泄露，以及数据泄露是否同时影响了客户和员工。 虽然该公司没有将此次数据泄露事件归咎于某个特定的威胁组织，并仍将其描述为 “网络安全事件”，但 Rhysida 勒索软件团伙于 3 月 20 日宣称发动了此次攻击。 Rhysida 泄露网站上的 MarineMax 条目 黑客在暗网上发布了 225GB 的文件档案，声称这些文件是从 MarineMax 的网络中窃取的，并表示这些文件中的数据无法出售。 Rhysida 还公布了 MarineMax 的财务文件截图，以及客户或员工的驾照和护照照片。 该勒索团伙于 2023 年 5 月出现，并在不到一年的时间内迅速声名鹊起，先后入侵了智利军队（Ejército de Chile）和大英图书馆。 美国卫生与公众服务部（HHS）也将其分支机构与针对医疗机构的网络攻击联系在一起，而 CISA 和 FBI 则警告说，Rhysida 勒索软件团伙是许多针对各行业组织的机会主义攻击的幕后黑手。 例如，Rhysida 勒索软件团伙在索尼子公司 Insomniac Games 拒绝支付 200 万美元赎金后，于11月入侵了索尼公司，并在其泄露网站上公开了 167 TB 的文件。 近期，星河卫生系统警告说，在 2023 年 8 月的一次 Rhysida 勒索软件攻击中，近 90 万人的数据被盗。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

以获取经济利益为目的的APT组织 FIN7 在多个地下论坛上使用多个假名，出售其定制的“AvNeutralizer”工具，该工具用于通过杀死企业网络上的企业端点保护软件（EDR）来逃避检测。 网络安全公司 SentinelOne在一份报告中表示：“AvNeutralizer（又名AuKill）是 FIN7 开发的用于篡改安全解决方案的高度专业化工具，已在地下犯罪市场销售，并被多个勒索软件团体使用。” FIN7 攻击者在黑客论坛上销售 AVNeutralizer FIN7 是一个源自俄罗斯和乌克兰的网络犯罪集团，自 2012 年以来一直是一个全球性的持续威胁，其最初目标是专注于金融欺诈以及窃取借记卡和信用卡。后来转变为充当 REvil 和 Conti 等现已不复存在的勒索软件团伙的附属机构，之后又推出了自己的勒索软件程序 DarkSide 和 BlackMatter。 FIN7 以复杂的网络钓鱼和工程攻击而闻名，以获取对公司网络的初始访问权，包括冒充百思买发送恶意 USB 密钥以及开发自定义恶意软件和工具。 为了增加攻击范围，他们创建了一个 名为 Bastion Secure 的虚假安全公司 ，雇佣渗透测试人员和开发人员进行勒索软件攻击，而申请人却不知道他们的工作成果是如何被利用的。 该APT组织被世界各地不同安全研究机构以 Carbanak、Carbon Spider、Gold Niagara 和 Sangria Tempest（以前称为 Elbrus）等名称进行追踪，曾设立Combi Security 和 Bastion Secure 等幌子公司，以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。 多年来，FIN7 通过重组其恶意软件库——POWERTRASH、DICELOADER（又名IceBot、Lizar 或Tirion）以及通过POWERTRASH加载器提供的渗透测试工具Core Impact，展示了高度的适应性、复杂性和技术专长。 Sophos 2023 年的一份报告详细说明了 AvNeutralizer/AuKill 如何滥用合法的 SysInternals Process Explorer 驱动程序来终止设备上运行的防病毒进程。 FIN7声称该工具可用于杀死任何防病毒/EDR 软件，包括 Windows Defender 以及 Sophos、SentinelOne、Panda、Elastic 和 Symantec 的产品。 SentinelOne 现在发现 FIN7 已更新 AVNeutralizer 以利用 Windows ProcLaunchMon.sys 驱动程序挂起进程，使其不再正常运行。 AvNeutralizer 工作流程，来源：SentinelOne SentinelOne 发现 FIN7 使用的其他定制工具和恶意软件，目前尚未出售给其他黑客组织： Powertrash（PowerShell 后门）、Diceloader（轻量级 C2 控制后门）、Core Impact（渗透测试工具包）和基于 SSH 的后门。 研究人员警告称，FIN7 在工具和技术方面的不断发展和创新以及其软件的销售，对全球企业构成了重大威胁。 SentinelOne 研究员 Antonio Cocomazzi 总结道：“FIN7 的不断创新，尤其是其在逃避安全措施的复杂技术方面，展示了其技术专长。” SentinelOne 的最新发现表明，FIN7 不仅在网络犯罪论坛上使用多个角色来促进 AvNeutralizer 的销售，而且还对该工具进行了新功能改进。 FIN7 一直致力于开发和使用复杂工具来开展自己的业务，向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的手段的自然演变。 FIN7 一直利用地下市场来获取收入。例如，美国司法部报告称，自 2015 年以来，FIN7 成功窃取了超过 1600 万张支付卡的数据，其中许多都在地下市场上出售。虽然这在勒索软件时代之前更为常见，但 AvNeutralizer 目前的广告可能预示着其攻击活动的转变或扩张。 与以前的 AV 系统相比，流行的 EDR 解决方案提供的保护不断增加。随着这些防御措施的改进，对 AvNeutralizer 等攻击工具的需求显著增长，尤其是在勒索软件运营商中。攻击者现在在绕过这些保护方面面临更严峻的挑战，这使得此类工具非常有价值且昂贵。 就其本身而言，更新后的 AvNeutralizer 版本采用了反分析技术，最重要的是，它利用名为“ ProcLaunchMon.sys ”的 Windows 内置驱动程序与Process Explorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信该工具自 2022 年 4 月以来一直在积极开发中。 Lazarus Group 也使用了类似版本的方法，这使得该方法更加危险，因为它通过将 Windows 机器中默认存在的易受攻击的驱动程序武器化，超越了传统的自带易受攻击驱动程序 (BYOVD) 攻击。 另一个值得注意的更新涉及 FIN7 的Checkmarks 平台，该平台已被修改为包含一个自动 SQL 注入攻击模块，用于利用面向公众的应用程序。 SentinelOne 表示：“FIN7 在其攻击活动中采用了自动攻击方法，通过自动 SQL 注入攻击瞄准面向公众的服务器。此外，它在犯罪地下论坛中开发和商业化 AvNeutralizer 等专用工具，大大增强了该组织的影响力。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ogNxXV6CLTijrxwyTi4ZGw 封面来源于网络，如有侵权请联系删除

据悉，一名黑客发布了与 Trello 账户相关的 1500 多万个电子邮件地址，这些地址是黑客于今年 1 月利用不安全的 API 收集到的。 Trello 是 Atlassian 旗下的一款在线项目管理工具，企业通常利用该工具将数据和任务组织到板块、卡片和列表中。 今年 1 月，BleepingComputer 报道称，一名黑客在一个流行黑客论坛上出售 15115516 名 Trello 会员的资料。 尽管这些档案中的数据几乎已全公开，但每个档案还包含一个与账户相关的非公开电子邮件地址。 虽然 Trello 的所有者 Atlassian 当时并未证实这些数据是如何被窃取的，但该黑客告诉 BleepingComputer，这些数据是通过一个不安全的 REST API 收集的，该 API 允许开发人员根据用户的 Trello ID、用户名或电子邮件地址查询个人资料的公共信息。 这名黑客创建了一个包含 5 亿个电子邮件地址的列表，并将其输入 API 以确定它们是否与 Trello 账户关联。接着，将该列表与返回的账户信息相结合，创建了超过 1500 万用户的会员档案。 目前，黑客在 Breached 论坛上以 8 个网站信用点（价值 2.32 美元）的价格出售 15115516 个配置文件的整个列表。 他在论坛帖子中解释道：“Trello 有一个开放的 API 端点，允许任何未经验证的用户将电子邮件地址映射到一个 trello 账户。” 黑客在论坛上发布的帖子截图 泄露的数据包括电子邮件地址和公共 Trello 账户信息，其中包括用户的全名。 这些信息可用于有针对性的网络钓鱼攻击，从而窃取更为敏感的信息（如密码）。该黑客还表示，这些数据可用于 “dxxing”，黑客能够将电子邮件地址与个人及其别名联系起来。 Atlassian 证实道，这些信息是通过 Trello REST API 收集的，该 API 于今年 1 月被加密。 Atlassian 表示：”在 Trello REST API 的支持下，Trello 用户可以通过电子邮件地址邀请成员，或者通过访客访问其公共板块。但由于 2024 年 1 月的调查发现 API 的滥用，我们对 API 进行了修改，未经身份验证的用户或服务无法通过电子邮件请求其他用户的公开信息。而已通过身份验证的用户仍可使用此 API 请求其他用户配置文件中的公开信息。这一改动在防止滥用 API 和保持’通过电子邮件邀请到公开讨论区‘功能对用户有效之间取得了平衡。我们将继续监督 API 的使用情况，并采取任何必要的措施。” 不安全的 API 已成为黑客的热门攻击目标，他们通过滥用 API 将电子邮件地址和电话号码等非公开信息与公开资料相结合。而很多人都会在社交媒体上匿名发帖，这些内容都有可能暴露个人数据，从而造成了巨大的隐私风险。 2021 年，黑客滥用 API 将电话号码与 Facebook 账户链接，创建了 5.33 亿用户的个人资料。2022 年，Twitter 也发现了类似的漏洞，黑客滥用不安全的 API，将电话号码和电子邮件地址链接到数百万用户的账户。近期，一个不安全的 Twilio API 被用来确认 3300 万 Authy 多因素身份验证应用程序用户的电话号码。 很多组织制不通过 API 密钥进行身份验证，而是使用速率限制来保护 API。然而，黑客只需购买数百个代理服务器，并轮流连接来查询 API，就能够让速率限制毫无用处。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，Phylum的研究人员在开源NPM JavaScript存储库中发现两个恶意AWS软件包暗藏精心设计的代码，一旦执行，就会在开发者的计算机上植入后门程序。研究人员称恶意软件包存续期间已经被下载了数百次。 这两个软件包分别是img-aws-s3-object-multipart-copy和legacyaws-s3-object-multipart-copy，它们试图冒充合法的JavaScript库aws-s3-object-multipart-copy。 假冒软件包包含了所有合法库中的代码，并添加了一个名为loadformat.js的JavaScript文件。这个文件表面上包含无害的代码和三个JPG图像（分别是英特尔、AMD和微软的公司Logo），但其中一个图像隐藏了恶意代码片段，这些片段被重建后可组成后门程序代码，攻击开发者的设备。 日益复杂的开源供应链攻击 “我们已经报告了这些软件包并要求移除，但这些恶意软件包在npm项目中仍然存在了近两天时间，”发现这些软件包的研究人员写道：“这令人担忧，因为当今大多数系统无法检测并及时报告这些软件包，导致开发者长时间暴露在攻击风险中。” 研究人员表示，绝大多数杀毒软件产品都未能发现隐藏在这两个软件包中的后门。 Phylum的研究主管Ross Bryant在邮件中透露，img-aws-s3-object-multipart-copy在被删除前被下载了134次，另一个文件legacyaws-s3-object-multipart-copy被下载了48次。 这些恶意软件包开发者对代码的精心设计及其策略的有效性，突显了针对上游开源代码库的攻击日益复杂化，除了NPM外，其他热门攻击目标还包括PyPI、GitHub和RubyGems等。 近年来，针对开发者的开源供应链攻击威胁不断恶化。 在过去的17个月里，由朝鲜政府支持的黑客组织曾两次针对开发者，其中一次利用了一个零日漏洞。 近期发现的最具创新性的一种开源后门隐藏方法是今年3月曝光的XZ Utils后门，只差一步进入生产版本中。该后门通过一个五阶段加载器实现，使用了一系列简单但巧妙的技术来隐藏自己。一旦安装，黑客可以管理员权限登录受感染的系统。 策划XZ Utils攻击的黑客组织（或个人）花费了数年时间来开发后门。除了隐蔽方法的复杂性，该组织还投入了大量时间为开源项目编写高质量代码，以赢得其他开发者的信任。 今年5月，Phylum阻止了另一个使用隐写术（将秘密代码嵌入图像中的技术）来植入后门的PyPI软件包攻击活动。 “在过去几年中，发布到开源生态系统的恶意软件包的复杂性和数量显著增加，”Phylum研究人员写道：“毫无疑问，这些攻击是成功的。开发者和企业必须高度警惕所使用的开源库。”   转自GoUpSec，原文链接：https://www.goupsec.com/news/16856.html 封面来源于网络，如有侵权请联系删除