目前，PDF 已然成为了数字通信中不可或缺的一部分，在 PDF 阅读器领域，Adobe Acrobat Reader 占据了最大的市场份额，但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进，在 200 多个国家拥有超过 7 亿用户。 然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用 Foxit PDF Reader 设计中存在安全缺陷 研究人员表示，安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉，警告消息中提供了一个”有害“的默认选项，一旦有粗心的用户使用默认选项，安全漏洞就会自动触发，从远程服务器下载并执行恶意有效负载。 安全研究人员已经证实安全漏洞已经被多个黑客用于电子犯罪和间谍活动。其中，名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为”著名“。黑客通过部署特定恶意软件、获得受害者的数据信息。此外，黑客能够开展针对 Windows 和 Android 设备的混合攻击活动，从而绕过双因素身份验证 （2FA） 。 VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞，以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动，发现了一条攻击链。 在另一场攻击活动中，Check Point Research 确认了黑客为@silentkillertv，主要利用两个链接的PDF 文件执行活动，其中一个文件托管在合法网站 trello.com 上。黑客还销售恶意工具，并于 4 月 27 日宣传了这一漏洞。 研究过程中，Check Point 获得了多个攻击者拥有的构建器，这些构建器利用此漏洞创建恶意 PDF 文件，大多数收集的 PDF 正在执行 PowerShell 命令，该命令从远程服务器下载有效负载，然后立刻执行。 最后，安全人员指出，随着社会工程策略的日益复杂，用户必须时刻保持警惕，随时了解自身网络安全状况，谨慎行事，并实施包括多因素身份验证和安全意识培训等在内的安全措施，以最大程度上降低成为此类攻击受害者的风险。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401073.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示， 暗网知名的黑市论坛BreachForums 在今天（5 月 16 日）再次被 FBI 执法机构控制。 目前FBI 执法机构在控制的黑市网站上留言：“我们正在审查此网站的后端数据。如果您有关于网络犯罪活动的信息需要报告。在BreachForums上，请联系我们。” 目前 BreachForums 的 Telegram 群组也被 FBI 接管，并留下了举报联系方式。 后续我们将持续追踪这一事件，并披露相关细节。 据了解， BreachForums  黑客论坛曾多次发布泄露数据。 2022年10月21日，台湾地区户政系统传出遭黑客入侵，一名ID为“OKE”的网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料，并宣称手上有全台2300万民众资料。 2023年10月19日，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据源主要来自英国和德国。 2024年3月，一名为IntelBroker的黑客在非法论坛BreachForums上发布帖子称，法国跨国酒店公司Accor.com遭遇数据泄露事件，导致64.2万用户的个人信息泄露。除姓名、电子邮件地址、职位以及所属公司等数据外，泄露的数据样本还包括与个人社交媒体资料信息。 BreachForums  2024 年 4 月 10 日发布的帖子称，一名为Okhotnik 的黑客声称对渗透 BHF Couriers 的基础设施并随后提取大量数据库负有责任。泄露的数据集含 1920 万条记录，其中有多种信息，包括发票、订单详细信息、地址、信用卡详细信息和联系电话号码。 相关资讯链接： 台湾全岛个人信息被放在网上兜售，经调查至少 20 万条数据属实 数百万份 23andMe 基因数据资料被盗 IntelBroker 再次出击，知名酒店 64.2 万人数据遭泄露 澳大利亚快递公司 BHF 1920 万条数据记录泄露   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达  

据称，2023 年 6 月发生的泄露事件导致约 50 万用户数据库泄露，其中包含个人隐私信息等。 据知道创宇暗网雷达监测，2023 年 6 月发生的泄露事件导致 DITP.go.th 域的各种用户数据库泄露。 泰国对外贸易促进委员会（Department of International Trade Promotion）泄露的数据包括个人身份信息 (PII)，例如名字、姓氏、用户名、身份证号码、DITP ID、单点登录 (SSO) ID、电话号码、电子邮件地址、公司名称、出口商详细信息、地址、密码等。上述内容皆已被黑客公开。 知道创宇暗网雷达信息截图 黑客发布的相关文件信息截图 据公告称，该数据集包含大约 500,000 行数据，但具体数量暂时无法确定。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

自四月以来，数百万封网络钓鱼邮件通过Phorpiex僵尸网络发送，进行了大规模的LockBit Black勒索软件活动。 新泽西州网络安全和通信集成中心（NJCCIC）在周五警告称，攻击者使用包含可执行文件的ZIP附件来部署LockBit Black有效载荷，一旦被启动，这些文件将加密收件人的系统。 这些攻击中LockBit Black加密器可能是使用LockBit 3.0生成器构建的，该生成器由一位不满的开发者于2022年9月在推特上泄露。然而，这次活动被认为与实际的LockBit勒索软件操作没有任何关联。 这些带有“你的文件”和“你的照片”等主题的网络钓鱼邮件，用“Jenny Brown”或“Jenny Green”的别名从全球1500多个独立IP地址发送出去，地址包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。 攻击链始于收件人打开恶意的ZIP压缩附件并执行其中的二进制文件。 接着，此可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本并在受害者系统上执行。启动后，它将尝试窃取敏感数据、终止服务并加密文件。 自4月24日以来一直调查这些攻击事件的网络安全公司Proofpoint在周一表示，黑客针对全球各个行业的公司进行攻击。 尽管这种方法并不新鲜且缺乏其他网络攻击的复杂性，但发送大量邮件来传送恶意负载，并将勒索软件作为第一阶段负载使用，让这种方法在众多网络攻击中脱颖而出。 Proofpoint的安全研究人员表示：“2024年4月24日后约一周时间，Proofpoint观察到由Phorpiex僵尸网络促成的大规模活动，该网络每天发送数百万封信息来传送LockBit Black勒索软件。” “这是Proofpoint研究人员首次观察到通过Phorphiex以如此高的效率传送LockBit Black勒索软件（又名LockBit 3.0）的样本。” Phorpiex僵尸网络（也称为Trik）已经活跃了十多年。它从通过可移动USB存储设备和Skype或Windows Live Messenger聊天传播的蠕虫，演变为使用电子邮件垃圾邮件传送的由IRC控制的木马。 经过多年的活动和发展，Phorpiex僵尸网络逐渐壮大，控制了超过100万台感染设备。然而，其运营者在关闭Phorpiex基础设施后，尝试在黑客论坛上出售该恶意软件的源代码。 Phorpiex僵尸网络还被用来发送数百万封色情勒索邮件（每小时发送超过30,000封邮件），最近还使用了剪贴板劫持模块，将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。 在添加加密货币剪贴板劫持功能的一年内，Phorpiex的运营者劫持了969笔交易，盗取了3.64比特币（价值172,300美元）、55.87以太币（价值216,000美元）和价值55,000美元的ERC20代币。 为了防御推送勒索软件的网络钓鱼攻击，NJCCIC建议实施勒索软件风险缓解策略，并使用终端安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息传播。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ，散播、部署恶意软件 NetSupport RAT。 根据网络安全公司 eSentire 发布的一份报告来看，黑客组织 FIN7 在 Google Ads 传播恶意软件活动中主要冒充了包括 AnyDesk、WinSCP、BlackRock、Asana、Concur、《华尔街日报》、Workable 和 Google Meet 等在内的众多知名众品牌。 FIN7 网络犯罪团伙（又名 Carbon Spider 、Sangria Tempest）自 2013 年“出道”以来一直非常活跃。最初，该组织主要针对销售终端（PoS）设备开展攻击活动，窃取支付数据。后来，逐渐转向通过部署勒索软件，袭击大型公司以获取赎金。 多年来，FIN7 网络犯罪团伙已经多次改进其战术和恶意软件库，采用了 BIRDWATCH、Carbanak、DICELOADER（又名 Lizar 和 Tirion）、POWERPLANT、POWERTRASH 和 TERMITE 等各种自定义恶意软件。 FIN7 网络犯罪团伙使用的技术手段 2023 年 12 月，微软宣布观察到了 FIN7 网络犯罪团伙依赖谷歌广告诱导用户下载恶意的 MSIX 应用程序包，一旦安装就会执行一个基于 PowerShell 的内存驱动程序 POWERTRASH，用于加载 NetSupport RAT和 Gracewire。 微软还表示，FIN7 黑客组织是一个以金钱为“动机”的网络犯罪团伙，目前专注于开展网络入侵活动，通过盗窃、加密受害者的数据信息，直接向受害者索要大量钱财，或者通过部署勒索软件，”慢慢”讹诈受害者。 据悉，目前已经有多个威胁攻击者滥用 MSIX 作为恶意软件的分发媒介 ，研究人员表示黑客组织都喜欢用的原因或许是其能够绕过 Microsoft Defender SmartScreen 等安全机制。 网络安全公司 eSentire 在 2024 年 4 月观察到的网络攻击活动中发现，用户通过谷歌广告访问假冒网站时，会显示一个弹出消息，敦促他们立刻下载一个假的浏览器扩展（其中包含一个 PowerShell 脚本的 MSIX 文件）该脚本会收集系统信息。此后，会联系远程服务器获取另一个编码的 PowerShell 脚本（第二个 PowerShell 有效载荷会下载和执行 NetSupport RAT）。 Malwarebytes 也观察到了类似的恶意活动 ，并将网络攻击活动“描述”成通过模仿 Asana、BlackRock、CNN、Google Meet、SAP 和《华尔街日报》等知名品牌的恶意广告和模态窗口，针对企业用户，发起大规模网络攻击。值得一提的是，Malwarebytes  并没有将这一攻击活动归咎在 FIN7 身上。 最糟糕的是，赛门铁克指出，恶意软件一旦安装，通常会在任务调度程序中注册命令以保持持久性，即使在删除后也能持续安装新的恶意软件。   转自Freebuf，原文链接：https://www.freebuf.com/news/400742.html 封面来源于网络，如有侵权请联系删除 

亲俄罗斯黑客针对科索沃政府网站，包括总统和总理的网站，进行了 DDoS 攻击。这些攻击是对科索沃向乌克兰提供军事装备支持的报复。国防部长埃尤普·马克东奇声称，俄罗斯黑客对科索沃发动了网络攻击，以报复他在波兰举行的国防 24 小时会议上支持乌克兰的言论。 这些攻击造成了暂时的中断，但政府信息社会局恢复了网站。总理阿尔宾·库尔蒂告诉当地媒体，这次袭击是一场混合战争的一部分，旨在破坏科索沃的安全、稳定和福利机构。 “我们从相关机构获悉，部分政府网站已成为DDoS攻击的目标。在短时间内，这些网站无法运行。”政府发言人告诉《巴尔干洞察》报。 “这次攻击是俄罗斯黑客发起的，目的是为了报复我们向乌克兰提供军事装备的支持。” 继科索沃宣布支持乌克兰防御俄罗斯侵略后，外交部长多尼卡·热瓦拉·施瓦茨周二宣布，科索沃正遭受俄罗斯的混合攻击。 俄罗斯和亲俄罗斯团体过去曾针对多个表示支持乌克兰的欧洲政府。 北约和欧盟本月初谴责与俄罗斯有关的威胁组织 APT28  （又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 德国联邦政府以最强烈的措辞谴责APT28组织针对德国社会民主党执行委员会进行的长期间谍活动。 2024 年 3 月，摩尔多瓦国家情报机构在即将举行的选举之前警告称，俄罗斯可能会发动混合攻击。自俄乌战争爆发以来，亲俄罗斯黑客组织由于摩尔多瓦对基辅的支持而袭击了该国。 亲俄罗斯组织Killnet组织对表示支持乌克兰的政府发起了多次 DDoS 攻击，其中包括摩尔多瓦、意大利、罗马尼亚、捷克、 立陶宛、挪威和拉脱维亚。 2022 年 10 月，另一波攻击针对摩尔多瓦数十家机构，进行了分布式拒绝服务 (DDoS) 攻击。 2023 年 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国组织，包括政府实体、企业、大学、以及研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dfPY5YA5GYjthaK3yE2g8Q 封面来源于网络，如有侵权请联系删除 

美国主要医疗卫生系统Ascension警告称，由于遭受网络攻击关闭部分系统，各地医院等设施可能出现临床服务中断的情况。 安全内参5月9日消息，美国最大的天主教医疗卫生系统之一Ascension在昨天检测到网络攻击，目前正在处理临床运营中断情况。 Ascension是一家非营利组织，在19个州经营140所医院。该组织表示，2023年为生活在贫困中的人们提供了价值22亿美元的护理服务，并拥有超过35000家附属服务提供商。此外，还经营了40所养老设施。 该组织发布通知称，发现网络系统异常活动后，立即聘请了Mandiant公司展开调查，并在不久之后通知了执法部门。 该组织声明：“随着事态发展，部分系统访问已中断。我们的护理团队接受过此类中断的培训，并已启动程序以确保患者护理服务安全，并尽可能降低事件影响。”该组织指出，仍在评估事件影响以及中断可能持续的时间。 声明补充道，该组织正在努力确认是否有数据被攻击者窃取。 Ascension敦促业务伙伴暂时中断与其技术环境的连接，等待后续通知。 该组织声明：“我们会在合适时通知伙伴们重新连接到我们的环境。事件正在持续发展，我们将在了解更多信息后提供更新。” 美国医疗业网络风险严峻 这次攻击是又一次对美国医疗卫生系统造成重大影响的事件。 去年8月，美国另一家天主教卫生组织Prospect Medical Holdings遭受勒索软件攻击，影响了数十家医院，引发了FBI和其他联邦机构的介入。这一事件还影响了全球数百家医院和医疗机构。 自从美国联合健康集团旗下机构Change Healthcare遭受勒索软件攻击，导致全美大多数医院和药房使用的系统严重受损后，医疗卫生行业的网络安全审查就一直备受关注。 美国医院协会两周前发布公开信，呼吁国会“要求联邦机构保护医院和卫生系统，以及他们所照料的患者，通过部署强大且持续的主动网络战略，以应对这个长期存在但尚未解决的国家安全威胁。”   转自安全内参，原文链接：https://www.secrss.com/articles/65960 封面来源于网络，如有侵权请联系删除

据供应链网络安全公司Eclypsium 5月8日发布的一份报告，研究人员在 F5 的 Next Central Manager 中发现了重大安全漏洞，可使攻击者长期且隐蔽地存在于任何F5资产相关的组织网络基础设施中。 这些漏洞被追踪为CVE-2024-21793 和 CVE-2024-26026，可能允许攻击者执行危及网络安全的未经身份验证的攻击。F5 在 4 月份发布了针对这些缺陷的补丁，但Eclypsium的研究人员称披露給F5的漏洞一共有5个，尚未确认另外3个漏洞是否已经修复。 F5 的 Next Central Manager 是 BIG-IP Next 机群所有生命周期任务的集中控制点，该工具为企业提供了一个统一的管理用户界面，用于管理应用程序可用性、访问控制和安全解决方案。Eclypsium研究人员表示，攻击者可以利用这些漏洞在该公司的Central Manager系统管理的任何BIG-IP Next资产上开设不可见的板载帐户，即使在管理员密码被重置和系统打补丁后，黑客仍能通过这种规避方法留在网络中。 Eclypsium敦促F5客户尽快升级到最新的20.2.0软件版本，并已向该公司问询另外3个漏洞的修复情况，目前还未得到回复。 网络边缘设备通常具有不完善的端点保护和专有软件，使漏洞检测变得复杂，日益成为了国家支持的黑客和全球网络犯罪分子的攻击目标。 Mandiant 在 4 月份发布了一份报告，警告攻击者正在将重点转向规避策略，同时利用离地攻击、零日漏洞等技术或方式瞄准边缘设备。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400364.html 封面来源于网络，如有侵权请联系删除

日前，英美等国执法机构揭露了臭名昭著的勒索软件组织 LockBit一名主要头目——31岁的俄罗斯黑客德米特里·霍罗舍夫（Dmitry Yuryevich Khoroshev），目前已经受到英国、美国和澳大利亚的多项制裁。 据英国国家犯罪局（NCA）于5月7日发布的公告称，霍罗舍夫又名LockBitSupp，是LockBit勒索软件组织的管理员和开发人员，针对他的调查属于之前“克罗诺斯行动”的一部分，该行动由11个国家的相关执法机构组成，在今年2月曾查封了该组织的基础设施并迫使其服务下线。 美国司法部公布的一份起诉书显示霍罗舍夫犯有26项罪名，包括一项共谋实施欺诈、敲诈勒索和与计算机有关的相关活动的罪名；一项串谋电汇欺诈罪;八项故意损坏受保护计算机的罪名；八项与受保护计算机的机密信息有关的勒索罪；八项与损坏受保护计算机有关的敲诈勒索罪。 美国当局已对霍罗舍夫实施了资产冻结和旅行禁令，并悬赏1000万美元征集他的个人线索，一旦霍罗舍夫成功被捕，上述指控最高可判处185年监禁，每项指控都会受到最高 2.5万美元的罚款。 据悉，霍罗舍夫于2019年9月左右创立了LockBit，并在过去几年中至少获得了1亿美元的个人收入。在这期间，该组织软件历经3次迭代，向全球黑客或“附属公司”网络提供勒索软件即服务 （RaaS），为其提供进行攻击的工具和基础设施，逐渐成为威胁世界各企业组织的头号勒索软件。 NCA表示，仅在2022年6月至2024年2月期间，通过LockBit服务建立的攻击达到了7000多次，受打击最大的5个国家是美国、英国、法国、德国和中国。 自“克罗诺斯行动“以来，LockBit在过去两个月中一直试图重建，并构建了新的数据泄露网站，但NCA评估称，联合执法行动已使该组织“元气大伤”，目前只能以有限的容量运行，对全球构成的威胁已大幅降低。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400211.html 封面来源于网络，如有侵权请联系删除

研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。 VPN的主要功能是将互联网流量封装在一个加密隧道中，并隐藏用户的IP地址。但是近日，研究人员发现一种名为TunnelVision的攻击方法，可以窃取几乎所有VPN应用的流量。 研究人员表示除了安卓系统之外，几乎所有其他操作系统中的VPN应用目前都没有办法防御此类攻击。 研究人员还指出，这种攻击技术可能从2002年就已存在，并且可能已经被发现并用于实战。 攻击方法详解 研究者发布的攻击演示视频（链接在文末）解释了TunnelVision的技术细节，“受害者的流量将被解密并直接路由到攻击者那里。攻击者可以读取、丢弃或修改泄漏的流量，而受害者仍然保持与VPN和互联网的连接。” 该攻击通过操纵分配IP地址给本地网络连接设备的DHCP服务器来实现。DHCP服务器中有一个名为“选项121”的设置，它允许服务器覆盖默认路由规则，这些规则会将VPN流量通过启动加密隧道的本地IP地址发送出去。通过使用选项121将VPN流量路由到DHCP服务器，攻击会将数据转移到DHCP服务器本身。来自Leviathan Security Group的研究人员解释道： “攻击者在与目标VPN用户相同网络上运行一个DHCP服务器，并将攻击端配置为网关。当流量到达攻击者的网关时，攻击者可使用DHCP服务器上的流量转发规则将流量传递到合法网关，同时进行窥探。” “攻击者使用DHCP选项121在VPN用户的路由表中设置路由，可以根据需要设置任意路由，也可以设置多个路由。通过推送比大多数VPN使用的/0CIDR范围更具体的路由，攻击者可以创建优先级高于VPN创建的虚拟接口路由的路由规则。攻击者可以设置多个/1路由来重建大多数VPN设置的0.0.0.0/0全部流量规则。” “推送路由还意味着网络流量将通过与DHCP服务器相同的接口发送，而不是虚拟网络接口。这是一个未在RFC中清楚说明的预期功能。因此，攻击者推送的路由永远不会被VPN的虚拟接口加密，而是由与DHCP服务器通信的网络接口传输。攻击者可以选择哪些IP地址通过隧道传输，哪些地址通过与DHCP服务器通信的网络接口传输。” 研究者表示，这种技术也可以用于已经建立的VPN连接（当VPN用户的主机需要从攻击者的DHCP服务器续订租约时）。攻击者可以通过在DHCP租约中设置较短的租约时间来人为地创建这种场景，这样用户会更频繁地更新其路由表。此外，VPN控制通道仍然完好，因为它已经使用物理接口进行通信。在研究者的测试中，VPN一直显示已连接，从未断开。 研究者指出，这种攻击最有效的方式是由控制目标用户所连网络的人实施。在这种情况下，攻击者可将DHCP服务器配置为使用选项121。网络上的非特权用户也可以通过设置他们自己的恶意DHCP服务器来发动此类攻击。 攻击后果与缓解方法 攻击可以让部分或全部流量通过未加密的隧道路由。在这种情况下，VPN应用程序仍会报告所有数据都通过受保护的连接发送。任何偏离隧道的流量都将不会被VPN加密，并且远程用户可看到VPN用户的真实IP，而不是VPN应用指定的IP。 值得注意的是，由于未实现选项121，安卓是唯一可以完全保护VPN应用免受攻击的操作系统。对于所有其他操作系统，目前没有彻底的修复方法。当应用程序运行在Linux上时，有一个设置可以最小化影响，但即使这样，TunnelVision也可以用于利用侧信道来取消对目标流量的匿名化并执行拒绝服务攻击。网络防火墙也可以配置为拒绝进出物理接口的入站和出站流量。这种补救措施存在两个问题： （1）连接到不受信任网络的VPN用户无法控制防火墙 （2）它会打开与Linux缓解措施相同的侧信道 目前最有效的缓解方法是在网络适配器未设置为桥接模式的虚拟机内运行VPN，或者通过手机的Wi-Fi网络将VPN连接到互联网。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Wvp9UOYbu1i4ofBQggUwYQ 封面来源于网络，如有侵权请联系删除