近日，网络安全&垃圾邮件防护公司 Proofpoint 发现了一种利用钢琴主题的信息实施预付款欺诈（AFF）的恶意电子邮件活动。 这些活动至少从 2024 年 1 月开始活跃，主要针对北美高校的学生和教师。不过，医疗保健、食品饮料和服务等行业也受到了影响。据 Proofpoint 称，今年到目前为止，已观察到超过 12.5 万封与该诈骗集群有关的电子邮件。 在这些欺骗性电子邮件中，欺诈者通常以家庭成员去世等个人情况为由提供免费钢琴。然后，受骗者会被引导至一家同样由欺诈者的虚假运输公司，该公司要求受骗者在钢琴发货之前支付运费。 诈骗者接受各种付款方式，包括 Zelle、Cash App、PayPal、Apple Pay 和加密货币。此外，他们还试图收集受骗者的个人信息，如姓名、地址和电话号码。 此次调查中的一个显著发现是欺诈者使用的比特币钱包，该钱包已经处理了超过 90 万美元的交易。巨大的交易量表明，可能有多个威胁行为者在使用这个钱包进行各种诈骗。 尽管电子邮件内容统一，但发件人地址各不相同，由姓名和号码组合而成，通常使用免费电子邮件服务。这些活动还以电子邮件内容和联系地址的多次迭代为特色。 为了进一步深入了解这些诈骗者，Proofpoint 利用研究人员管理的重定向服务捕获了一名犯罪者的 IP 地址和设备信息，这些数据帮助研究人员确认了部分行动是在尼日利亚进行的。 预付费诈骗也称为 419 诈骗，通常是诈骗者要求预付小额款项，以换取承诺的大额报酬。这些骗局通常包括关于遗产、工作机会或其他有利可图的复杂故事。一旦受害者支付了首笔款项，骗子就会停止一切联系，携款消失。 这些欺诈行为严重依赖社交工程和多样化的付款方式。正因为如此，Proofpoint 公司提醒公众保持警惕。该公司建议人们了解黑客使用的常见技术，并警告他们如果一封未经请求的电子邮件听起来好得不像真的，那么它很大可能确实是假的。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402361.html 封面来源于网络，如有侵权请联系删除

近日，有网络安全研究人员警告称，在Python 软件包索引（PyPI）库中发现了一个新的恶意 Python 软件包，该软件包为黑客盗取加密货币提供了便利。 该恶意软件包名为 pytoileur，截至发稿前已被下载 316 次。有趣的是，在前一版本（1.0.1）于 2024 年 5 月 28 日被 PyPI 维护者删除后，该软件包的作者（名为 PhilipsPY）上传了一个新版本（1.0.2），并且功能完全相同。 根据 Sonatype 发布的分析报告显示，恶意代码被嵌入到了软件包的 setup.py 脚本中，使其能够执行 Base64 编码的有效载荷，该有效载荷负责从外部服务器检索 Windows 二进制文件。 安全研究员 Sharma 表示：检索到的二进制文件’Runtime.exe’会利用 Windows PowerShell 和 VBScript 命令在系统上运行。 一旦安装，二进制文件就会建立持久性并投放额外的有效载荷，包括间谍软件和能够从网络浏览器和加密货币服务中收集数据的窃取恶意软件。 Sonatype 表示，它还发现了一个新创建的名为 “EstAYA G ”的 StackOverflow 账户，该账户在问答平台上回复用户的询问，并引导用户安装恶意 pytoileur 软件包，并将其作为所谓的问题解决方案。 Sharma告诉《黑客新闻》称：虽然在无法访问日志的情况下评估互联网平台上的伪匿名用户账户很难确定其归属，但这两个账户的使用年限及其发布和推广恶意 Python 软件包的目的都表明，这些账户与这次活动背后的黑客有关。 Sonatype 表示：黑客公开滥用可信平台，并将其作为恶意活动的“滋生地”，这对于全球开发者来说都是一个巨大的警示信号。 鉴于 StackOverflow 平台上有很多新手开发者，他们仍在学习、提问，可能会听信恶意建议，因此 StackOverflow 的漏洞尤其令人担忧。 通过对软件包元数据仔细研究发现，它与 Checkmarx 于 2023 年 11 月披露的涉及 Pystob 和 Pywool 等虚假 Python 软件包此前的活动有相似之处。 这些发现再次说明了为什么开源生态系统仍然吸引着黑客的原因，这些黑客往往希望通过所谓的供应链攻击，并利用 Bladeroid 等信息窃取程序和其他恶意软件入侵多个目标。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402227.html 封面来源于网络，如有侵权请联系删除

微软已将此前追踪的朝鲜黑客组织Moonstone Sleet与勒索软件FakePenny的网络攻击联系起来，该组织提出了数百万美元的勒索要求。 尽管该威胁组织的战术、技术和程序（TTPs）在很大程度上与其他朝鲜攻击者重叠，但他们也在持续采用新颖的攻击方法，使用自主开发的基础设施和工具。 此前追踪的Moonstone Sleet组织Storm-17已被观察到使用木马化软件（例如PuTTY）、恶意游戏和npm软件包、自定义恶意软件加载器，以及虚假的软件开发公司（如StarGlow Ventures和C.C. Waterfall）对金融和网络间谍目标进行攻击。他们通过LinkedIn、Telegram、自由职业网络或电子邮件与潜在受害者互动。 微软表示：“在首次检测到Moonstone Sleet活动时，我们发现该组织与Diamond Sleet表现出很大的重叠性。该组织重复使用已知的Diamond Sleet恶意软件（如Comebacker）的代码，并使用成熟的Diamond Sleet技术获取对组织的访问权限，例如通过社交媒体传递木马化软件。” “然而，Moonstone Sleet很快转变为使用自主开发的基础设施和攻击方式。随后，微软观察到Moonstone Sleet和Diamond Sleet同时行动，其中Diamond Sleet仍在大量使用此前已知的成熟技术手段。” Moonstone Sleet PuTTY 攻击流程 朝鲜黑客与勒索软件相关 在黑客入侵受害者网络的两个月后，即今年四月，我们首次发现黑客部署了新的定制 FakePenny 勒索软件变种。 然而，与之前朝鲜国家黑客协调的勒索软件攻击不同，此前受害者被朝鲜黑客要求支付10万美元的赎金，而Moonstone Sleet攻击者要求支付660万美元的比特币。 微软对此次攻击的评估结论为：Moonstone Sleet部署勒索软件的主要动机是获取经济利益。而此前该组织参与的网络间谍攻击也表明，他们的攻击旨在创收和收集情报。 自首次观察到该组织的行动以来，Moonstone Sleet已针对多个行业发起攻击，包括软件和信息技术、教育以及国防工业基地部门的个人和组织。 FakePenny 勒索软件的留言截图 Moonstone Sleet并不是近年来第一个与勒索软件攻击有关联的朝鲜黑客组织。此前，美国和英国政府正式将 2017 年 5 月勒索软件 WannaCry 危害全球数十万台电脑这一事件归咎于 Lazarus Group。 2022年7月，微软和FBI也分别将朝鲜黑客与勒索软件Holy Ghost的行动、勒索软件Maui针对医疗机构的攻击联系起来。 微软补充道：“Moonstone Sleet 的各种战术之所以引人注目，不仅是因为它们十分有效，还因为它们是从其他朝鲜黑客多年来为实现朝鲜网络目标而开展的活动中演变而来的。” “此外，Moonstone Sleet 效仿另一朝鲜黑客 Onyx Sleet 将勒索软件加入其战术库，这表明该组织可能正在加强自己的能力来实现一些破坏性行动。”   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

数周前被FBI查封的勒索软件泄露数据交易暗网站点BreachForums，如今再次上线。 本周二，BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 5月15日，BreachForums网站和其Telegram频道被查封，两者均显示“现在由FBI控制”的警告。此外，FBI还在BreachForums网站上展示了其管理员Baphomet和ShinyHunters的头像被关在监狱里的图片，许多信息安全观察人士因此认为他们都已被逮捕。 但ShinyHunters团队声称自己毫发无损，并炫耀称其成员没有任何人被捕。 据Hackread.com的报道，ShinyHunters在FBI查封后的第二天重新获得了对BreachForums网站和一个新的暗网域名的访问权。 与此同时，美国司法部或FBI都没有发布关于查封BreachForums的官方声明——这与过去几年高调打击网络犯罪的行事风格不同。FBI也拒绝对之前的查封或BreachForums的重新发表评论。 BreachForums是2022年关闭的RaidForums的替代品，上线至今一直是最令警方头痛的暗网市场。 FBI曾于2023年6月查封了早期版本的BreachForums。其前管理员Conor Brian Fitzpatrick（又名“Pompourin”）被捕，并于今年1月被判处20年监督释放。然而，该网站卷土重来，这次由不同的管理员掌控，但仍然充当勒索软件经纪人。 “BreachForums的重组并不令人意外，”前FBI特工、现任BlueVoyant全球专业服务负责人Austin Berglas表示。 “完全捣毁一个在线有组织犯罪集团极其困难。要确保所有有访问权限的人员都被拘留和离线，识别并查封关键基础设施，包括摧毁整个犯罪组织的金融、技术和通信网络。” “尽管执法部门可能查封主要域名和相关服务器，但可能存在未识别的备份服务器和域名，必要时可以启用，或者之前未识别的个人可能拥有行政或技术访问权限，可以在查封或关闭后使用。”Berglas补充道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EonbSdqw0qrrUV2Xy-DXOA 封面来源于网络，如有侵权请联系删除

近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责，这次攻击导致该公司的服务中断数日。 事件发生后，有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责，他们用勒索软件加密了该公司的服务器，并销毁了公司系统的备份副本。 不过，该公司将此次服务中断归咎于 “大规模技术故障”，该故障影响了其网站和移动应用程序的功能。CDEK 还暂停了包裹运输，以避免人工处理过程中出现错误。 该公司表示：本周一（5月27日），公司在恢复全面运营方面取得了重大进展，但遗憾的是，我们还没有做好恢复服务的准备。您的所有包裹都是安全的，我们正在尽一切必要的努力确保它们尽快到达您的手中。 虽然 CDEK 公司并没有公开表示此次中断是因网络攻击而起，但据该公司内部的一位匿名人士透露给俄罗斯媒体 Vedomosti的消息称，这的确是一起勒索软件攻击事件。本周二（5月28日）晚些时候，俄罗斯国家杜马信息政策委员会主席证实 CDEK 的中断是由网络攻击造成的。 黑客组织在X上公开披露攻击事件 该黑客组织在 X 上发布的一则声明中写道： CDEK 的安全政策几乎是无效的，系统管理员防御能力太弱了。 CDEK 的通讯主管在接受 Interfax 新闻社采访时说，公司打算最迟于 5 月 29 日恢复运营。同时他表示公司正在努力全面恢复服务，也同步准备了备用计划。 CDEK 成立于 2000 年，以特许经营方式运营，截至 2023 年，在 31 个国家拥有超过 4300 个提货点，其中大部分位于俄罗斯。2021 年，公司估值约为 2 亿美元。 有不少СDEK 在俄罗斯的客户近几日纷纷在俄罗斯媒体发表的声明下发表评论，抱怨包裹投递延误。“我们的孩子本应在周五收到我们的包裹。一位客户告诉俄罗斯新西伯利亚市的当地媒体。 另一位俄罗斯公民告诉《生意人报》，快递延误将使他损失 4 万卢布（约合 450 美元）。 黑客没有说明他们为什么要攻击 CDEK，他们在 X 上称 CDEK 是 “俄罗斯最差的快递服务之一”。俄罗斯独立媒体 Meduza 报道称，在俄罗斯入侵乌克兰之初，俄罗斯士兵曾使用 CDEK 从乌克兰边境发送大型包裹。 Head Mare 黑客组织于去年 12 月加入 X，从那时起，它就声称对数家俄罗斯公司的攻击负责，包括互联网提供商、政府机构、工厂以及石油和天然气公司。他们发布了截图来证实这些所谓的攻击，但由于俄罗斯方面没有公开报道，因此很难核实这些行动的真实性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402127.html 封面来源于网络，如有侵权请联系删除

Gipy 是一种新发现的信息窃取恶意软件，它以德国、俄罗斯、西班牙和台湾的用户为目标，通过钓鱼诱饵承诺提供人工智能语音更改应用程序。 卡巴斯基的研究人员表示，Gipy 恶意软件最早出现于 2023 年初，一旦成功部署，威胁行为者就可以窃取数据、挖掘加密货币，并在受害者的系统中安装其他恶意软件。 研究人员解释说，在这种情况下，威胁行为者以合法的人工智能语音更改应用程序为诱饵。卡斯帕克团队补充说，一旦用户安装了它，应用程序就会按照承诺开始工作，与此同时，Gipy 恶意软件也会在后台运行。 研究人员注意到，当 Gipy 被执行时，恶意软件会从 GitHub 启动受密码保护的恶意软件。在对该活动的调查过程中，专家们分析了其中的 200 多个档案。 卡巴斯基在一封电子邮件声明中说：”GitHub 上的大多数档案都包含臭名昭著的 Lumma 密码窃取程序。“另外，专家们还发现了 Apocalypse ClipBanker、一个修改过的 Corona 密码窃取程序、几个 RAT（包括 DCRat 和 RADXRat）、一个名为 Loli 的基于 Golang 的窃取程序、RedLine 和 RisePro 等密码窃取程序，以及一个名为 TrueClient 的基于 Golang 的后门程序。 研究人员表示，威胁行为者热衷于利用人工智能工具的日益普及来进行此类恶意利用，用户需要多加注意。   转自Freebuf，原文链接：https://www.freebuf.com/news/401931.html 封面来源于网络，如有侵权请联系删除

黑客正在利用微软经典游戏扫雷的 Python 克隆代码来隐藏恶意脚本，以攻击欧洲和美国的金融机构。 乌克兰的 CSIRT-NBU 和 CERT-UA 将这些攻击归咎于一个被追踪为“UAC-0188”的黑客组织，攻击者使用合法代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。 Superops RMM 是一款合法的远程管理软件，可远程访问受感染的系统。 CERT-UA 报告称 ，在首次发现此次攻击之后进行的研究显示，欧洲和美国的金融和保险机构中至少存在五起由相同文件引发的潜在漏洞。 攻击细节 攻击始于一封从地址“support@patient-docs-mail.com”发送的电子邮件，该邮件冒充一家医疗中心，主题为“医疗文件个人网络档案”。 收件人会收到提示，要求从提供的 Dropbox 链接下载一个 33MB 的 .SCR 文件。此文件包含来自扫雷游戏的 Python 克隆的无害代码，以及从远程源（“anotepad.com”）下载其他脚本的恶意 Python 代码。 可执行文件中包括的扫雷代码可以作为包含恶意代码的 28MB base64 编码字符串的掩护，试图使其对安全软件显得无害。 此外，扫雷代码包含一个名为“create_license_ver”的函数，该函数被重新用于解码和执行隐藏的恶意代码，因此合法软件组件被用于掩盖和促进网络攻击。 对 base64 字符串进行解码以组装一个 ZIP 文件，该文件包含 SuperOps RMM 的 MSI 安装程序，最终使用静态密码进行提取和执行。 攻击链，来源：CERT-UA SuperOps RMM 是一个合法的远程访问工具，但在这种情况下，它被用来授予攻击者对受害者计算机的未经授权的访问权限。 CERT-UA 指出，未使用 SuperOps RMM 产品的组织应将其存在或相关网络活动（例如对“superops.com”或“superops.ai”域的调用）视为黑客入侵的迹象。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DslAJuYGb9ZLAvuGvE9ngA 封面来源于网络，如有侵权请联系删除

近日，安全研究人员揭露了一系列利用亚马逊 S3、谷歌云存储、Backblaze B2 和 IBM 云对象存储等云存储服务的犯罪活动。这些活动由未具名的威胁行为者发起，目的是将用户重定向到恶意网站，利用短信窃取他们的信息。 根据 Enea 今天发表的一篇技术文章，攻击者有两个主要目标。 威胁行为者要确保诈骗短信能在不被网络防火墙检测到的情况下发送到手机上。 威胁行为者试图让终端用户相信他们收到的短信或链接是可信的。 威胁行为者利用云存储平台托管带有嵌入式垃圾邮件 URL 的静态网站，使其信息看起来合法，并避开常见的安全措施。 云存储服务允许企业存储和管理文件，并通过在存储桶中存储网站资产来托管静态网站，威胁行为者利用这一功能，将垃圾邮件 URL 嵌入存储在这些平台上的静态网站中。 他们通过短信分发链接到这些云存储网站的 URL，由于知名云域被认为是合法的，这些 URL 通常可以绕过防火墙限制。用户一旦点击这些链接，就会在不知情的情况下被重定向到恶意网站。 例如，谷歌云存储域名 “storage.googleapis.com” 就被攻击者用来创建链接到垃圾网站的 URL。托管在谷歌云存储桶中的静态网页采用了 HTML 元刷新技术，可立即将用户重定向到诈骗网站。威胁行为者利用这种方法诱骗用户访问欺诈网站，这些网站通常会模仿礼品卡促销等合法优惠活动，以窃取用户的个人信息和财务信息。 Enea 还观察到亚马逊网络服务（AWS）和 IBM 云等其他云存储服务也采用了类似的策略，即通过短信中的 URL 进入托管垃圾邮件的静态网站。 为防范此类威胁，Enea 建议监控流量行为、检查 URL 并警惕包含链接的意外消息。   转自Freebuf，原文链接：https://www.freebuf.com/news/401751.html 封面来源于网络，如有侵权请联系删除

黑客组织“Sharp Panda”正在开展网络间谍活动，其目标已扩大到非洲和加勒比地区。 Check Point 在一份报告中表示：“此次攻击活动采用 Cobalt Strike Beacon 作为有效载荷，启用 C2 通信和命令执行等后门功能，同时最大限度地减少其自定义工具的暴露。”“这种精妙的方法表明他们对目标有更深入的了解。” 以色列网络安全公司正在以新名称“Sharp Dragon”跟踪这一活动，称对手在瞄准目标时十分谨慎，同时正在扩大侦察力度。 该活动于 2021 年 6 月首次曝光，当时被发现针对东南亚，在 Windows 系统上部署了一个名为 VictoryDLL 的后门。 Sharp Dragon随后发起的攻击将目光瞄准了东南亚备受瞩目的实体，以传播Soul 模块化恶意软件框架，然后该框架用于从攻击者控制的服务器接收其他组件，以促进信息收集。 有证据表明，Soul 后门自 2017 年 10 月以来一直在酝酿中，采用了Gh0st RAT 和其他公开的黑客工具。 另一组攻击发生在 2023 年 6 月，目标是 G20 国家的高级政府官员。 Sharp Panda 行动的关键是利用 1day 安全漏洞（例如 CVE-2023-0669）渗透基础设施，以便以后用作命令和控制 (C2) 服务器。另一个值得注意的方面是使用合法的模拟框架 Cobalt Strike 而不是自定义后门。 更重要的是，最新一系列针对非洲和加勒比地区的攻击表明其原有目标有所扩大，其作案手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件，感染这两个地区的新目标。 这些消息带有恶意附件，利用 Royal Road 富文本格式 (RTF) 武器化来投放名为 5.t 的下载程序，该下载程序负责进行侦察并启动 Cobalt Strike Beacon，从而允许攻击者收集有关目标环境的信息。 诱饵文档 Check Point 补充道，使用 Cobalt Strike 作为后门不仅可以最大限度地减少自定义工具的暴露，而且还表明了“改进的目标评估方法”。 自 2023 年 5 月以来 Sharp Dragon 的感染链 有迹象表明攻击者正在不断改进其策略，最近的攻击序列已被观察到使用伪装成文档的可执行文件来启动感染，而不是依靠利用远程模板的 Word 文档下载被 Royal Road 武器化的 RTF 文件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/YUOD4mrQpV2QGUwDaoSEKQ 封面来源于网络，如有侵权请联系删除

美国联邦通信委员会 (FCC) 已将其首个官方指定的机器人电话黑客命名为“Royal Tiger”，此举旨在帮助国际合作伙伴和执法部门更轻松地追踪重复机器人电话活动背后的个人和实体。 Royal Tiger 是一群来自印度、英国、阿拉伯联合酋长国和美国的不良分子，他们使用欺骗性电话号码冒充政府机构、银行和公用事业公司拨打自动电话，并拨打虚假信用卡利率。减价优惠。据称，由 Jashvantlal Anand 王子及其同伙 Kaushal Bhavsar 领导的 Royal Tiger 集团正在美国经营多个与非法电话有关的实体，包括 VoIP 公司 Illum T communications Limited (Illum)、PZ T communications LLC (PZ Telecom) 和 One眼睛有限责任公司（一只眼睛）。 他们将美国境内的自动骚扰电话转接到总部位于德克萨斯州的 Great Choice Telecom 公司，此前该公司曾因拨打非法欺骗性自动骚扰电话而被联邦通信委员会 (FCC) 和联邦贸易委员会 (FTC) 处以 2.25 亿美元的没收令和勒令停止函。 “无论垃圾电话最初来自何处，旨在欺骗或伤害消费者的垃圾电话都需要终止。我们将继续寻找新的方法来打击这些非法诈骗，” FCC 主席杰西卡·罗森沃塞尔 (Jessica Rosenworcel)表示。 “当我们发现屡犯者时，我们将确保继续使用我们所拥有的一切工具来阻止这些垃圾到达消费者并对其造成伤害。” 这个新的 FCC robocall 不良行为者分类系统被称为消费者通信信息服务威胁 (C-CIST) [ PDF ]，旨在帮助州、联邦和国际监管机构和执法实体识别和跟踪滥用电信的黑客基础设施，并对其采取适当行动。 FCC 表示，新的指定还使其能够利用其全部权力来阻止这些威胁组织进入美国电信领域并针对消费者。 虽然潜在的执法行动可能包括停止函、从 Robocall 缓解数据库中删除以及没收令，但 FCC 采取的最终行动将取决于当事人及其违法行为。 今天的行动以执法局的“春季大扫除”举措为基础，该举措于四月开始，针对虚假税收减免计划背后的机器人来电者增加了目标。 FCC在周一发布的公告中补充道：“执法部门、行业利益相关者和消费者应将 Royal Tiger 视为对通信信息服务的潜在威胁。” “如果您怀疑与 Royal Tiger 有关的个人或实体违反了 1934 年通信法（修订版）或委员会的规则，请发送电子邮件至 CCIST@fcc.gov 通知 FCC。” 去年，美国联邦贸易委员会 (FTC) 收到 853,935 起冒名顶替诈骗的报告，报告损失总额近 27 亿美元。 冒名顶替诈骗也是 2023 年军事人员报告的最常见欺诈行为，造成总损失 1.78 亿美元。此外，联邦贸易委员会 (FTC) 于 2022 年指出，老年人因政府冒充诈骗而遭受重大损失，损失总额约为 1.86 亿美元。   转自E安全，原文链接：https://mp.weixin.qq.com/s/_DBq-GGDo4ZmGczs-IEbgQ 封面来源于网络，如有侵权请联系删除