据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

美国新闻媒体《华盛顿时报》被 Rhysida 勒索软件攻击，各种公司文件被拍卖，包括银行对账单、员工文件以及社会保障卡的复印件等。 Rhysida 集团声称正在网上拍卖《华盛顿时报》的“独家”数据，标价为5比特币，拍卖倒计时为七天。 “准备好打开钱包，购买独家数据。我们只卖给一个人，不转售，你将是唯一的所有者！”该团伙发帖称。 总部位于华盛顿特区的《华盛顿时报》被视为美国五大保守派媒体之一，每月在线访客超过 300 万，每天纸质读者超过 5 万。 Rhysida 暗网泄密网站 尽管 Rhysida 并没有具体说明从《纽约时报》服务器窃取的数据量，但提供了所谓的样本作为此次攻击的“证据”。 虽然样本难以辨认，Cybernews 仍能检查出这些样本似乎包含各种公司文件，包括银行对账单、员工文件以及某人的德克萨斯州驾照和社会保障卡的复印件。 Rhysida 暗网泄密网站 《华盛顿时报》暂未做出回应，但公司网站仍在正常运行，没有明显中断。 《华盛顿时报》由新闻世界传播集团于 1982 年创办，以印刷版和网络版形式出版。 Rhysida 受害者数量上升 自 2023 年 5 月成立以来， Rhysida 组织已在暗网上攻击了 114 名受害者。 根据美国政府去年 8 月发布的资料，该团伙以攻击“机会目标”而闻名，已渗透到教育、医疗、制造业和地方政府等多个领域。 Rhysida 被认为是一个勒索软件即服务（RaaS）组织，向其他“犯罪分子”出售其尚未完全成熟的黑客工具，获取一定比例的利润。该团伙经常进行双重勒索，即使受害者已经支付了解密密钥，仍威胁泄露被盗数据，除非收到第二笔付款。 今年，该团伙声称对英国国家图书馆（世界上最大的历史知识宝库之一）和芝加哥的Anne & Robert H. Lurie儿童医院的入侵负责。 在要求 400 万美元赎金（60 比特币）未支付后，Rhysida 最终泄露了从儿童医院窃取的所有数据，安全研究人员批评其行为“极其低劣”。 此外，该团伙还袭击了豪华游艇经销商 Marine Max、马里兰州乔治王子县学校系统和蜘蛛侠视频游戏制造商Insomniac Games。 2023 年的受害者还包括总部位于加州的医疗保健集团 Prospect Medical Holdings (PMH)，该攻击导致多个州的数十家医院和医疗机构服务中断。此外，总部位于慕尼黑的视频制造商 Travian Games 也成为了受害者。 今年 2 月，韩国互联网与安全局（KISA）的研究小组破解了该团伙的加密代码，并在其网站上发布了免费的 Rhysida 解密工具和手册。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

物理安全公司ADT近日披露了一起数据泄露事件，确认黑客非法获取并泄露了超过30000名客户的信息。 “ADT Inc.（以下简称“ADT”或“公司”）最近经历了一起网络安全事件，未经授权的黑客非法访问了包含 ADT 客户订单信息的数据库。”提交给 SEC 的 8-K 表格写道。“公司发现这一事件后迅速采取措施，终止了未经授权的访问，并与顶级网络安全专家合作进行调查。尽管如此，黑客仍窃取了包括电子邮件地址、电话号码和邮政地址在内的有限客户信息。” 黑客声称此次数据泄露涉及超过 30812 条记录，其中包括 30400 封电子邮件。泄露的数据还包括客户的电子邮件、完整地址、用户ID及购买产品等信息。 ADT 的调查表明，客户的家庭安全系统并未受到损害，且没有证据显示财务信息（如信用卡或银行信息）被窃取。公司认为此次事件仅影响了一小部分客户，并已通知相关客户。ADT预计此次事件不会对其运营或财务状况产生重大影响，目前调查仍在继续。 “根据目前的调查结果，公司认为此次事件未对客户的家庭安全系统造成损害。此外，公司没有理由相信攻击者获取了其他个人敏感信息，如信用卡数据或银行信息。”8-K表格进一步说明：“公司正在继续对该网络安全事件进行调查，并已通知可能受影响的客户，这些客户仅占公司整体用户群的一小部分。” ADT 是一家警报和物理安全系统提供商，在美国 150 多个地区拥有 13000 多名专业人员。该公司拥有超过 600 万客户，在遭受网络攻击后披露了这一数据泄露事件。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在现代微芯片中，一些晶体管的尺寸已经缩小到比新冠病毒还要小十分之一的程度，这些微小的电荷作为计算基础的0和1，很容易受到干扰。一束散射的光子就足以让电子错位，干扰计算机程序。或者，通过更有针对性的激光精确照射，也可以达到同样的效果。现在，这种物理学上的电脑漏洞利用技术即将向更多的硬件黑客开放。 首个开源激光芯片黑客工具诞生 在即将于拉斯维加斯举行的Black Hat网络安全会议上，安全公司NetSPI的黑客Sam Beaumont和Larry “Patch” Trowell计划展示他们研发的新型激光黑客设备——RayV Lite。 安装在3D打印框架上的RayV Lite组件 图片：NETSPI 两位黑客打算将这款工具的设计和组件列表开源发布，目的是让任何人都能通过激光手段来逆向工程芯片，触发它们的漏洞，并揭露它们的秘密——这些方法过去只有财大气粗的企业巨头、学术实验室和政府机构的研究人员才能使用。目前最先进的商业光基黑客工具，如Riscure Laser Station，通常价格高达15万美元，超过了一辆法拉利跑车的价格，即使是低预算版本的价格也接近1万美元。然而，通过3D打印、商品组件选择和巧妙的物理技巧，Beaumont和Trowell以一辆自行车的成本（不到500美元）发出了类似工具。 两位黑客表示，创造并发布这款超廉价芯片黑客工具的设计，旨在证明激光故障注入或激光逻辑状态成像等激光利用技术比许多硬件设计师（包括NetSPI的一些客户）想象的更为可行。通过展示这些方法可以极低成本实现，他们希望能敦促硬件制造商加强对这种小众但奏效的黑客技术的防范，同时为全球DIY黑客和研究人员提供一种新研究工具。 Beaumont认为RayV Lite代表着一种潮流，那就是“高端黑客工具的家庭化”：像ChipWhisperer和HackRF这样的设备已经使电磁或基于无线电的黑客技术变得更加便宜和易于获取。 长期从事硬件黑客工作、现为电动汽车充电公司Alpitronic产品安全负责人的Adam Laurie在仔细评估了Beaumont和Trowell的激光黑客工作后表示：“它将此类工具从超昂贵的学术或国家黑客平台转移到了车库，那里才是创造性工作真正发生的地方。” RayV Lite的工作原理 在开发RayV Lite时，Beaumont和Trowell专注于两种不同的激光黑客方法。一种是激光故障注入（LFI），它使用短暂的光束来干扰处理器晶体管的电荷，“翻转”位元从1到0或反之亦然。在某些情况下，小心地触发这些位元翻转可能会产生更大的效果。例如，在他们测试的一款汽车芯片中，在某个特定时刻用激光干扰该芯片可以绕过一个安全检查，将芯片的固件置于未受保护状态，进而可以扫描其原本混淆的代码以找到漏洞。 Beaumont和Trowell表示，许多加密货币硬件钱包也容易受到LFI的攻击，比如在芯片请求PIN码以解锁加密密钥的那一刻进行干扰。“你取下加密钱包的芯片，在正确的时间用激光照射它，它就会假定你拥有PIN码，”Trowell说，“它会跳过指令，直接给你密钥。” 第二种激光黑客技术被称为激光逻辑状态成像，它专注于实时监视芯片的架构和活动，通过激光光束反射并捕捉结果（类似于相机或显微镜），然后进行分析——在Beaumont和Trowell的工作中，这通常通过机器学习工具完成。由于激光光线根据其电荷反射硅的方式不同，这种技巧使黑客不仅能够绘制出处理器的物理布局，还能够提取其晶体管存储的数据，从而揭示其处理的数据和代码的线索，其中可能包含敏感信息。 RayV Lite如何做到超低成本 在RayV Lite的首个版本中，Beaumont和Trowell为该工具设计了两个不同的版本，每个版本适用于这两种激光黑客技术之一。目前，他们只发布了激光故障注入模型，并希望在几个月内推出激光逻辑状态成像版本。这两种版本将使用相同的基本组件和相同的DIY成本削减技巧。例如，该工具的机身基于一个名为OpenFlexure的开源3D打印显微镜模型，该模型利用3D打印的PLA塑料的灵活性来实现激光的精确瞄准。目标芯片被安装在固定于打印塑料杠杆上的底盘上，由步进电机推动微小的三维移动。通过这种塑料弯曲技巧和透镜聚焦的激光，Beaumont和Trowell表示，RayV可以精确到纳米级别的晶体管组。（PLA塑料确实会磨损，但Beaumont指出，整个RayV Lite的机身可以只需几美元重新打印。） 另一个使Beaumont和Trowell能够大幅降低RayV Lite成本的创新，是由伦敦皇家霍洛威大学的一组学术研究人员首次实现的，他们构建了自己的低成本激光故障注入工具。该创新发现，激光芯片黑客攻击可以使用远比之前认为的更便宜的激光器组件，这是因为即使是较低功率的激光器在较长时间间隔（尽管仍在毫秒内）内发射，也能达到较高功率激光器在较短时间内发射的同等效果。 这一发现使得Beaumont和Trowell能够使用价格不到20美元的激光器，并且大大节省了激光器的电力和设备成本。“人们不会随身携带大功率激光器，”Beaumont说，“但你可以用激光指示器来做这件事，这实际上是我们现在正在做的。”（尽管如此，Beaumont和Trowell警告说，任何使用即使是低功率激光器的人都应佩戴护目镜。） 实际上，RayV Lite最昂贵的组件是用于聚焦的镜头和用作计时机制的FPGA芯片，每个约100美元，以及用于控制和编程的68美元的Raspberry Pi微型计算机。 汽车、医疗行业的“混淆”安全策略面临空前危机 高端黑客工具的贫民化意味着过去专业技术领域流行的“混淆”安全策略正在面临空前的威胁和危机。除了“激光酷”的普遍印象外，Trowell表示，是越来越多的易于获取的激光黑客技术研究促使她和Trowell构思了RayV Lite，同时他们还观察到客户对激光黑客技术的难度存在误解。 一些用于工业控制系统、汽车和医疗设备的高度敏感设备将容易受到激光故障注入或激光逻辑状态成像的攻击。Trowell指出，制造业需要认识到，利用激光破解这些关键设备内部芯片的想法并不像他们可能认为的那样深奥或遥不可及。 “靠混淆来实现的安全性并不能长期依赖，特别是在我们处理关键基础设施或我们家中和心脏中的设备时。”Beaumont说。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/QJTaFEJHRckwfYgAnGhCrw 封面来源于网络，如有侵权请联系删除

根据乌克兰网络机构最近的一份报告，乌克兰国防企业再次成为黑客的目标，攻击者向他们发送伪装成无人机采购合同的恶意电子邮件。 这些电子邮件包含一个 zip 存档和一个 PDF 文档，其中包含一个恶意链接，该链接在受害者的计算机上安装名为 Glueegg 的恶意软件和一个名为 Dropclue 的加载程序。 攻击链 随后黑客在受感染的设备上下载并安装一个名为Atera的合法程序，该程序用于远程控制。 乌克兰的计算机应急响应小组 CERT-UA 正在追踪该活动背后的组织 UAC-0180。他们没有将其归咎于特定国家，也没有提供有关攻击目标的任何具体细节。 CERT-UA周四表示：“尽管其攻击的地理范围很广，但该组织并没有停止试图未经授权访问乌克兰国防企业员工的计算机。 该机构表示，黑客已经用各种恶意程序感染了设备，包括Acrobait，Rosebloom，Rosethorn，Glueegg和Dropclue，并不断更新他们的工具集。 乌克兰军事和国防企业是黑客的常见目标，通常与俄罗斯有联系。在 6 月的一次活动中，名为 Vermin 的组织使用 Spectr 恶意软件袭击了乌克兰武装部队，以从他们的设备中窃取敏感信息。 在同一时期，研究人员警告说，白俄罗斯黑客Ghostwriter对乌克兰国防部进行了攻击。 早些时候，CERT-UA 还警告使用 DarkCrystal 恶意软件对乌克兰军事人员和国防服务进行网络攻击，这可能允许攻击者远程访问受害者的设备。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rLI0VO1rTbF03eLbTDmQ0g 封面来源于网络，如有侵权请联系删除

近期，印度加密货币交易所WazirX被黑客入侵，价值超过2.349亿美元的资金被盗。为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。 1 WazirX遭入侵 7月18日，印度加密货币交易所WazirX被黑客入侵。安全平台Cyvers从其多重签名钱包中发现了多笔可疑交易。Cyvers报告称，黑客已将价值超过2.349亿美元的资金转移到新地址。 为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。尽管此前他们采取了措施来保护客户的资产，但攻击者似乎在盗窃发生之前就已经破坏了他们的安全防护措施。 2 研究人员发声 据悉，在WazirX公开消息前，7月17日晚上多家区块链安全公司例如Elliptic、Arkham和BlockSec等均表示，他们注意到有价值数百万美元的加密货币被非法转移出了WazirX这个平台。 根据Elliptic公司的说法，攻击者已经利用多种去中心化服务将一些代币换成了以太币。Elliptic公司通过审查区块链数据和其他信息，将这次事件归咎于与朝鲜有关联的黑客。 一位知名的加密货币黑客研究人员指出，最近的一次攻击具有“Lazarus Group攻击的潜在特征”。“Lazarus Group”是一个著名的朝鲜黑客组织，他们以擅长进行引人注目的加密货币平台盗窃而知名。 3 安全漏洞引关注 外媒表示，当下网络犯罪分子持续利用加密货币平台中的安全漏洞来进行大规模的盗窃行为。 不久前一个流行的加密货币平台被盗取了大约800万美元。上个月，日本加密货币交易所DMM Bitcoin被盗，损失了价值超过3亿美元的比特币。加密货币平台仍需进一步加强安全措施来保护用户资产。   转自E安全，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除

一个名为 ExCobalt 的网络犯罪团伙利用一种之前未知的基于 Golang 的后门（名为 GoRed）攻击了俄罗斯目标。 Positive Technologies 研究人员 Vladislav Lunin 和 Alexander Badayev在本周发布的技术报告中表示：“ExCobalt 专注于网络间谍活动，其几名成员至少自 2016 年以来就一直活跃，大概曾经是臭名昭著的Cobalt Gang的成员。” “Cobalt攻击金融机构以窃取资金。Cobalt 的标志之一是使用CobInt 工具，这是 ExCobalt 在 2022 年开始使用的工具。” 过去一年来，该黑客组织发起的攻击针对俄罗斯的各个行业，包括政府、信息技术、冶金、采矿、软件开发和电信部门。 初始访问环境是通过利用先前受到攻击的承包商和供应链攻击来实现的，其中攻击者感染了用于构建目标公司合法软件的组件，这表明其高度复杂。 攻击链 该作案手法需要使用各种工具（如 Metasploit、Mimikatz、ProcDump、SMBExec、Spark RAT）在受感染的主机上执行命令，以及 Linux 权限提升漏洞（CVE-2019-13272、CVE-2021-3156、CVE-2021-4034和CVE-2022-2586）。 GoRed 自诞生以来经历了多次迭代，是一个全面的后门，允许操作员执行命令、获取凭据并收集活动进程、网络接口和文件系统的详细信息。它利用远程过程调用 (RPC) 协议与其命令和控制 (C2) 服务器进行通信。 此外，它还支持多种后台命令，用于监视感兴趣的文件和密码以及启用反向 shell。然后，收集的数据将导出到攻击者控制的基础设施。 研究人员表示：“ExCobalt 在攻击俄罗斯公司方面继续表现出高度的活跃和决心，不断在其武器库中添加新工具并改进其技术。” “此外，ExCobalt 通过用修改后的标准实用程序补充其工具集，展示了灵活性和多功能性，这有助于该组织轻松绕过安全控制并适应保护方法的变化。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/qJVWk6LVGRVR3FKokt3sCA 封面来源于网络，如有侵权请联系删除

LevelBlue Labs（前身为 AT&T Alien Labs）报告称，最近发现的一种名为 SquidLoader 的恶意软件加载器与一个未知的黑客组织有关，该组织两年来一直以中文受害者为目标。 LevelBlue Labs 最近发现了一种新型高度规避检测的加载程序，该加载程序通过网络钓鱼附件传送给特定目标。加载程序是一种恶意软件，用于将第二阶段有效负载恶意软件加载到受害者的系统中。 由于缺乏在野外观察到的先前样本，LevelBlue Labs 将此恶意软件命名为“SquidLoader”，因为它明显具有诱饵和规避作用。 在分析 LevelBlue Labs 检索到的样本后，研究人员发现 SquidLoader 正在使用几种技术来避免被静态或动态分析。LevelBlue Labs 于 2024 年 4 月下旬首次在活动中观察到 SquidLoader，研究人员评估在此之前至少已经活跃了一个月。 2024 年 4 月下旬，LevelBlue Labs 观察到一些可能附加在钓鱼电子邮件中的可执行文件。观察到的样本之一是“914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635”，其中文文件名翻译为“华为工业级路由器相关产品介绍和优秀客户案例”。 LevelBlue Labs 观察到的所有样本都以中国公司命名，例如：中国移动集团陕西有限公司、嘉奇智能科技或黄河水利技术研究所 (YRCTI)。所有样本都有描述性文件名，旨在引诱员工打开它们，它们带有与 Word 文档相对应的图标，但实际上是可执行二进制文件。 这些样本是加载程序，它们通过对 /flag.jpg URI 的 GET HTTPS 请求下载并执行 shellcode 有效负载。这些加载程序具有强大的规避和诱饵机制，可帮助它们保持不被发现，同时也妨碍分析。传递的 shellcode 也加载在同一加载程序进程中，很可能是为了避免将有效负载写入磁盘，从而避免被发现的风险。 LevelBlue 解释道：“由于在此加载器中观察到的所有诱饵和逃避技术，以及之前没有类似的样本，LevelBlue 实验室将此恶意软件命名为‘SquidLoader’。” 已识别的 SquidLoader 样本已使用合法（尽管已过期）证书进行签名，并会连接到使用自签名证书的命令和控制 (C&C) 服务器。 LevelBlue Labs 观察到的大多数样本都使用合法的过期证书来使文件看起来不那么可疑。无效证书（于 2021 年 7 月 15 日到期）颁发给杭州英格科技有限公司。 它的指纹为“3F984B8706702DB13F26AE73BD4C591C5936344F”，序列号为“02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB”。然而，这并不是用于签署恶意样本的唯一无效证书。 SquidLoader 使用的命令和控制 (C&C) 服务器采用自签名证书。在本次调查过程中，所有发现的 C&C 服务器均使用包含以下字段的证书，包括颁发者和主体： 通用名称：localhost 组织单位：group 组织：Company 地點：Nanjing 州/省：Jiangsu 国家：CN 样本执行后，恶意软件加载程序首先使用无害的名称将自身复制到预定义位置，这可能是一种诱饵技术。事实上，该恶意软件使用各种其他诱饵以及多种规避技术来确保自己能够躲过检测。 观察到的一些技术包括无意义或模糊的指令、加密的代码段、堆栈内的加密字符串、跳转到指令中间、返回地址混淆、控制流图 (CFG) 混淆、调试器检测和直接系统调用。 尽管文件名和图标声称是 Word 文档以欺骗受害者，但这些样本包含大量引用微信或 mingw-gcc 等流行软件产品的代码，试图误导检查文件的安全研究人员。此外，文件和 PE 元数据还带有对这些公司的引用。 这样做是为了诱使受害者相信这些产品是合法的组件。然而，这些代码永远不会被执行——因为在执行到达该点之前，执行流将转移到加载的有效载荷。 在调查过程中，LevelBlue 实验室发现该恶意软件加载器只传递了一个有效载荷，即 Cobalt Strike 信标，其配置曾在针对中文用户的多个活动中出现过。 观察到的工具、技术和程序 (TTP) 与高级持续威胁 (APT) 行为者一致，但 LevelBlue Labs 表示没有足够的数据将该威胁行为者归类为 APT。 LevelBlue Labs 表示：“鉴于 SquidLoader 在逃避检测方面取得的成功，针对中国以外人群的攻击者可能会开始模仿 SquidLoader 所使用的技术，帮助他们逃避对其独特恶意软件样本的检测和分析。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/cklZzsYY_kTrJTZP50XcmA 封面来源于网络，如有侵权请联系删除

两名男子Thomas Pavey（又名“Dopenugget”）和Raheim Hamilton（又名“Sydney”和“Zero Angel”）因在2018年至2020年经营暗网市场“帝国市场”而被芝加哥联邦法院起诉。 根据起诉书，在开始帝国市场之前，两人之前曾参与在AlphaBay上出售假冒美国货币。 这两名男子被指控促成了400多万笔交易，总价值超过4.3亿美元，涉及非法商品和服务。当局指控他们犯有各种罪行，包括贩毒、计算机欺诈、访问设备欺诈、伪造和洗钱，这些罪行在联邦监狱中最高可判处终身监禁。Pavey和Hamilton目前被美国执法拘留，传讯尚未安排。 “根据周四芝加哥美国地方法院发布的替代起诉书，托马斯·佩维（THOMAS PAVEY），又名“Dopenugget”，38 岁，来自佛罗里达州奥蒙德海滩；拉海姆·汉密尔顿（RAHEIM HAMILTON），又名“Sydney”和“Zero Angel”，28 岁，来自弗吉尼亚州萨福克，2018 年至2020 年期间拥有并经营帝国市场，在此期间，他们促成了大约400万笔卖家和买家之间的交易，价值超过4.3亿美元。”美国司法部发布的新闻稿写道。起诉书称，他们于 2018年2月1日开始经营帝国市场。” 暗网市场帝国市场以多类非法商品为特色，如非法药物、假冒商品、软件和恶意软件以及信用卡号，它允许用户使用比特币（BTC）、门罗币（XMR）和莱特币（LTC）付款。 暗网市场于 2020 年关闭，用户没有时间从托管账户中提取资金，当时一些用户将此归咎于长时间的拒绝服务 (DDoS) 攻击，而其他人则怀疑这是退出骗局。 这两家运营商使用加密货币来掩盖非法交易的性质和身份，并鼓励用户使用“混币”服务，即混合和交换加密货币以掩盖其来源和与市场的联系。 在调查期间，联邦调查局在扣押时查获了价值7500万美元的加密货币，以及现金和贵金属。   转自e安全，原文链接：https://mp.weixin.qq.com/s/587G_Xvo1ETyCmiKj2Ho4g 封面来源于网络，如有侵权请联系删除

与Fortinet、Ivanti和VMware设备安全漏洞0day利用有关的网络间谍活动据观察采用多种持久机制，以维持对受感染环境的不受限制的访问。 Mandiant 研究人员在一份新报告中表示：“持久机制涵盖网络设备、虚拟机管理程序和虚拟机，确保即使主要层被检测和消除，替代通道仍然可用。” 该APT组织代号UNC3886，谷歌旗下的 Mandiant 公司将其标记为“老练、谨慎和逃避”。 攻击者精心策划的攻击利用了CVE-2022-41328（Fortinet FortiOS）、CVE-2022-22948（VMware vCenter）和CVE-2023-20867（VMware Tools）等 0day 漏洞执行各种恶意操作，从部署后门到获取更深层次访问权限的凭据。 在网络安全公司 Fortinet FortiGate 公开披露该漏洞后不久，人们还观察到有人利用漏洞CVE-2022-42475 。 这些入侵主要针对北美、东南亚和大洋洲的实体，欧洲、非洲和亚洲其他地区也发现了其他受害者。目标行业涵盖政府、电信、技术、航空航天和国防以及能源和公用事业部门。 UNC3886 武器库中一个值得注意的策略是，它开发了逃避安全软件的技术，使其能够潜入政府和商业网络并在不被发现的情况下长时间监视受害者。 这需要在客户虚拟机 (VM) 上使用可公开获得的 rootkit，例如Reptile和Medusa，后者使用名为 SEAELF 的安装程序组件进行部署。 Mandiant 指出：“Reptile 仅提供具有 rootkit 功能的交互式访问，而 Medusa 则不同，它能够记录成功身份验证的用户凭据（无论是本地还是远程）以及命令执行。这些功能对 UNC3886 非常有利，因为它们的作案手法是利用有效凭据进行横向移动。” 系统上还提供了两个名为 MOPSLED 和 RIFLESPINE 的后门，它们利用 GitHub 和 Google Drive 等可信服务作为命令和控制 (C2) 通道。 MOPSLED 可能是Crosswalk恶意软件的演变，它是一种基于 shellcode 的模块化植入程序，通过 HTTP 进行通信以从 GitHub C2 服务器检索插件，而 RIFLESPINE 是一种跨平台工具，利用 Google Drive 传输文件和执行命令。 Mandiant 表示，它还发现 UNC3886 部署了后门 SSH 客户端来获取 2023-20867 漏洞利用后的凭证，并利用 Medusa 设置自定义 SSH 服务器以达到相同目的。 “攻击者首次尝试通过瞄准TACACS 服务器来扩展对网络设备的访问权限，就是使用 LOOKOVER。”报告指出。“LOOKOVER 是一个用 C 编写的嗅探器，可处理 TACACS+ 身份验证数据包、执行解密并将其内容写入指定的文件路径。” 在针对 VMware 实例的攻击过程中，还传播了一些其他恶意软件家族： 具有凭证记录功能的合法 TACACS 守护程序的木马版本 VIRTUALSHINE，一个基于 VMware VMCI 套接字的后门，可提供对 bash shell 的访问 VIRTUALPIE，一个支持文件传输、任意命令执行和反向 shell 功能的 Python 后门 VIRTUALSPHERE，与基于 VMCI 的后门关联的控制器模块 多年来，由于虚拟机在云环境中的广泛使用，它已成为攻击者有利可图的目标。 Palo Alto Networks Unit 42表示：“被入侵的虚拟机不仅可以让攻击者访问虚拟机实例内的数据，还可以访问分配给它的权限。由于虚拟机等计算工作负载通常是短暂且不可改变的，因此身份被入侵所带来的风险可以说比虚拟机内数据被入侵的风险更大。” 建议各组织遵循Fortinet和VMware公告中的安全建议，以防范潜在威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/WigivE2ENVghHk3wUwnsqA 封面来源于网络，如有侵权请联系删除