本月初，捷克交通部长马丁·库普卡警告说，俄罗斯已经进行了“数千次”破坏欧洲铁路的企图。 捷克共和国交通部长告诉英国《金融时报》，这些袭击的目的是破坏欧盟稳定并破坏关键基础设施。 库普卡证实，自俄乌冲突以来，与俄罗斯有关的黑客进行了“数千次削弱我们系统的尝试”。 库普卡说，国家支持的黑客还针对捷克国家铁路运营商捷克德拉希的信号系统和网络。 捷克网络防御能够检测并消除这些攻击；然而，部长强调，破坏铁路可能会导致严重事故。 “这绝对是一个难点。但是我真的非常满意，因为我们能够保护所有系统免受成功的攻击，”库普卡告诉英国《金融时报》。 捷克网络安全机构 NUKIB 警告网络攻击激增，特别是针对能源和交通部门的攻击。自 2022 年一项法律获得批准以来，攻击事件不断升级，该法律允许对涉嫌侵犯人权或网络犯罪的外国实体采取措施。 根据 2023 年 3 月发布的《 ENISA 威胁概况：交通部门》，欧洲网络安全机构 ENISA 也报告了这些攻击。 “铁路部门还遇到勒索软件和数据相关的威胁，主要针对乘客服务、票务系统和移动应用程序等 IT 系统，导致服务中断。黑客组织对铁路公司进行 DDoS 攻击的频率不断增加，这主要是由于俄乌冲突爆发。”报告指出。 捷克政府正计划修建连接柏林、布拉格和维也纳的高速铁路，并宣布优先选择欧洲运营商参与投标。 2023年8月，波兰内部安全局（ABW）和国家警察对该州铁路网络遭受黑客攻击展开调查。据波兰通讯社报道，此次袭击扰乱了交通。 特殊服务副协调员斯坦尼斯瓦夫·扎林 (Stanisław Zaryn) 告诉新闻社，波兰当局正在调查未经授权使用用于控制铁路交通的系统的情况。 斯坦尼斯瓦夫·扎林 (Stanislaw Zaryn) 告诉人民新闻社：“目前，我们不排除任何可能性。”  “我们知道几个月来有人试图破坏波兰国家的稳定，”他补充道。 “俄罗斯联邦与白俄罗斯共同进行了此类尝试。” 自俄乌冲突以来，波兰的铁路系统一直是西方国家支持乌克兰的重要过境基础设施。 扎林解释说，这些袭击是俄罗斯为破坏波兰稳定而进行的更广泛活动的一部分。   转自E安全，原文链接：https://mp.weixin.qq.com/s/3dQ67-y7ps4NL4do_EaNHQ 封面来源于网络，如有侵权请联系删除

谷歌旗下云安全公司 Mandiant 本周三发布调查报告，揭开了俄罗斯顶级黑客组织“沙虫”（Sandworm）的神秘面纱，并将其正式命名（升级）为 APT44。 “沙虫”是俄罗斯最知名的黑客组织之一，因开发和部署 BlackEnergy 和 Industroyer 等破坏力极强的工控系统恶意软件而名声大噪，被看作是最危险的关键基础设施攻击者。其主要行动包括间谍活动、破坏关键基础设施及传播虚假信息。 “沙虫”被正式命名为 APT44 俄乌战争爆发以来，“沙虫”成为俄罗斯网络战的主力军之一，对乌克兰的国家电网、电信网络和新闻媒体等关键基础设施实施沉重打击，主要攻击方式是使用数据擦除程序结合其他攻击策略，其攻击行动通常与俄罗斯军事行动同步进行。 此前，安全业界普遍认为“沙虫”与 APT28 (FancyBear)是同一组织，隶属于 GRU 军事情报局的信息作战部队(VIO)，但 Mandiant 公司认为沙虫是隶属于 VIO 的另外一个组织（俄罗斯武装部队总参谋部主要特种技术中心 GTsST74455 部队），并决定将“沙虫”正式命名为 APT44（下图）： Mandiant 的新报告揭示，APT44 一直使用多个黑客活动者 (hacktivist) 在线身份，主要有三个（下图）：“俄罗斯网络军团重组”(CARR)、“XAKNET”和“Solntsepek”。其中 CARR 因声称能攻击和操纵美国和欧盟的关键基础设施运营技术(OT)资产备受关注。 攻击美国和欧盟国家的水利设施 今年1月份，CARR 在 Youtube 发布视频，证明他们能够操纵波兰和美国的水务设施的人机界面 (HMI)。3月份，CARR 又发布了一个视频，声称通过操纵水位导致法国一座水力发电站停工。 虽然 CARR 的说法无法得到证实，但公开信息表明，黑客可能确实给上述基础设施造成了一些破坏。 报告指出，CARR 在 Telegram 频道上声称针对美国发动攻击大约两周后，当地一位官员公开确认了一个“系统故障”，导致其中一个黑客声称为攻击目标的设施水箱溢出。据报道，此事件是美国多地水基础设施系统遭遇的一系列网络攻击事件的一部分，这些攻击的切入点都是“用于远程访问水处理系统的供应商软件”。 除 CARR 主动披露的攻击外，Mandiant 的报告还首次将 APT44 与一系列攻击和行动联系起来。 例如，自2023年4月以来，APT44 就一直为提供俄罗斯军队提供前线部署的基础设施，用来窃取战场上缴获的移动设备中加密的 Signal 和 Telegram 消息。 APT44 还实施了一次使用擦除程序的供应链攻击。Mandiant 表示：“最近的一个案例显示，沙虫通过入侵一家软件开发商，控制了东欧和中亚的关键基础设施网络，然后向受害者组织部署了擦除程序恶意软件。” 从网络战转向舆论战 值得注意的是，2024 年 APT44 正在将更多注意力从网络战转向舆论战，其主要目标是影响全球政治大选结果、情报收集和媒体舆论控制，改变外界对俄罗斯黑客组织和 GRU 网络能力的看法。例如近期针对荷兰调查性新闻组织 Bellingcat 和其他类似实体的攻击首次被归咎于 APT44。 Mandiant 的报告详细介绍了 APT44 武器库中种类繁多的恶意软件、网络钓鱼活动以及漏洞利用（ APT44 用这些工具来实现目标网络内的初始访问和持续操作），并列举了 2024 年该组织的最新趋势和重点活动： APT44 继续以北约国家的选举系统为目标，利用涉及泄露敏感信息和部署恶意软件的网络行动来影响选举结果。 APT44 更加注重情报收集，以支持俄罗斯的军事优势，包括从战场上捕获的移动设备中提取数据。 APT44 针对全球邮件服务器进行广泛的凭据盗窃，旨在保持对高价值网络的访问以进行进一步的恶意活动。 APT44 开始攻击调查俄罗斯政府活动的记者和新闻组织 Bellingcat。 今年年初以来，APT44 对北约国家的关键基础设施开展了一系列网络攻击行动，部署破坏性恶意软件，以表达政治不满或报复。 APT44 的活动仍然集中在乌克兰，持续开展破坏和收集情报的行动，支持俄罗斯在该地区的军事和政治目标。 Mandiant 警告说，根据 APT44 的活动模式，该组织很有可能试图干扰包括美国在内的各国即将举行的全国选举和其他重大政治事件。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16177.html 封面来源于网络，如有侵权请联系删除

Volexity 安全研究人员警告说，疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。 Palo Alto Networks于周五披露了该漏洞，警告称其已意识到有限的野外利用情况，并承诺在未来两天内提供补丁。 该安全缺陷被追踪为CVE-2024-3400（CVSS 评分为 10/10），被描述为命令注入问题，允许未经身份验证的攻击者以 root 权限在受影响的防火墙上执行任意代码。 据供应商称，所有运行 PAN-OS 版本 10.2、11.0 和 11.1 且启用了 GlobalProtect 网关和设备遥测的设备都容易受到攻击。其他 PAN-OS 版本、云防火墙、Panorama 设备和 Prisma Access 不受影响。 “Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用，因为我们非常有信心地评估，迄今为止我们分析的已知利用仅限于单个攻击者。”该公司在博客文章中表示。 Volexity 将CVE-2024-3400 漏洞归因于一个有国家背景的黑客，追踪编号为“UTA0218”，攻击者似乎能力很强，“有一个明确的剧本，说明如何进一步实现其目标”。 “Volexity 评估认为，根据开发和利用此类性质的漏洞所需的资源、攻击者针对的受害者类型以及安装 Python 后门和所显示的功能，UTA0218 很可能是国家支持的黑客组织，意图进一步访问受害者网络。”该网络安全公司指出。 该公司目前无法将该活动与先前已知的黑客组织联系起来。 目前尚不清楚这种利用的范围有多广泛，但 Volexity 表示，“有证据表明，潜在的侦察活动涉及更广泛的利用，旨在识别易受攻击的系统”。 该网络安全公司表示，自 3 月 26 日以来，UTA0218 已成功利用0day漏洞攻击多个组织。在两个实例中，攻击者还注入了一个名为 Upstyle 的基于 Python 的后门，并用它来执行其他命令。 “成功利用设备后，UTA0218 从他们控制的远程服务器下载了额外的工具，以便于访问受害者的内部网络。他们迅速在受害者的网络中横向移动，提取敏感凭证和其他文件，以便在入侵期间和之后可能进行访问。”Volexity 解释道。 攻击链 研究人员发现攻击在防火墙上创建了一个 cron 作业，以持续从远程服务器获取文件并执行其内容。我们看到攻击者手动管理命令与控制 (C&C) 服务器的访问控制列表，以确保只能从与其通信的设备进行访问。 还观察到 UTA0218 部署了用 Python 编写的反向 shell 和开源 SSH 反向 shell，下载 GOST（GO Simple Tunnel）等反向代理工具，并从受感染的防火墙中窃取配置数据。 在一次攻击中，攻击者使用帕洛阿尔托网络防火墙的高特权服务帐户通过 SMB 和 WinRM 横向移动。随后，UTA0218 窃取了 Active Directory 数据库、关键数据、Windows 事件日志、登录信息、cookie 和浏览器数据，并能够解密存储的凭据。 “没有观察到 UTA0218 在受害者网络内的系统上部署恶意软件或其他持久性方法。被盗的数据确实使攻击者能够有效地破坏所有域帐户的凭据。此外，攻击者获得了访问权限，并可能使用从浏览器数据中获取的有效凭据或 cookie 来访问特定的用户工作站。”Volexity 解释道。 CVE-2024-3400 的补丁预计将于 4 月 14 日发布。与此同时，建议组织在其防火墙上禁用设备遥测，并应用 Palo Alto Networks 在其公告中详细介绍的其他缓解建议。 建议认为自己因该0day漏洞而受到损害的组织收集日志、创建技术支持文件并保留取证工件。他们还应该寻找潜在的横向移动，并应考虑防火墙上的所有敏感数据受到损害。 Palo Alto Networks 和 Volexity 警告称，UTA0218 和其他攻击者对 CVE-2024-3400 的利用可能会在未来几天内激增，这主要是由于补丁尚未推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxtN-VsXRmSLKEZ_avFeLA 封面来源于网络，如有侵权请联系删除

美国网络安全机构 CISA 周四发布了一项紧急指令，要求所有联邦机构立即寻找已知的俄罗斯 APT 的迹象，该 APT 闯入微软公司网络并窃取美国政府机构的敏感信件。 该指令是在微软披露了令人尴尬的黑客攻击事件并确认“Midnight Blizzard（午夜暴雪）”攻击者还窃取了源代码并且可能仍在其内部计算机系统中进行攻击之后不到三个月的时候发布的。 根据CISA 指令，联邦机构必须立即“分析被窃取的电子邮件的内容，重置受损的凭据，并采取额外措施确保特权 Microsoft Azure 帐户的身份验证工具的安全。” CISA 表示：“Midnight Blizzard 成功入侵了 Microsoft 公司电子邮件帐户，并泄露了各机构与 Microsoft 之间的通信，这给各机构带来了严重且不可接受的风险。” 该机构警告说，俄罗斯政府支持的黑客正在利用最初从企业电子邮件系统窃取的信息（包括微软客户和微软通过电子邮件共享的身份验证详细信息）来获得或试图获得对微软客户系统的额外访问权限。 该机构表示，它与全球最大的软件制造商合作，通知所有与微软的电子邮件通信被确定被Midnight Blizzard黑客组织入侵的联邦机构。 CISA 表示：“此外，微软已向 CISA 表示，对于部分受影响的机构，其泄露的电子邮件包含凭据或密码等身份验证机密，微软将向这些机构提供此类电子邮件的元数据。” 该机构表示，微软还同意应国家网络调查联合工作组 (NCIJTF) 的要求，提供所有被窃取的联邦机构信件的元数据，无论是否存在身份验证秘密，该工作组是本次事件的单一联邦联络点。 今年早些时候，微软表示，专业黑客团队使用密码喷射攻击入侵了一个遗留的非生产测试租户帐户并获得立足点，然后利用该帐户的权限访问了极小比例的微软企业电子邮件帐户。 “他们窃取了一些电子邮件和附加文件，”微软在向美国证券交易委员会（SEC）提交的文件中表示。该公司表示，其安全团队于 2024 年 1 月 12 日检测到黑客对我们公司系统的攻击，并将感染追溯到 2023 年 11 月。 CSRB 报告称：“微软的安全文化不够充分，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的中心地位以及客户对公司保护其数据和运营的信任程度。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/NvHSDzCgQiVS1clATCMt8A 封面来源于网络，如有侵权请联系删除

摩洛哥和西撒哈拉地区的人权活动人士成为新黑客组织的目标，攻击者利用网络钓鱼攻击诱骗受害者安装虚假 Android 应用程序，并为 Windows 用户提供凭据收集页面。 Cisco Talos 正在以Starry Addax 命名跟踪该活动集群，并将其描述为主要针对与阿拉伯撒哈拉国家 (SADR) 有关的活动分子。 技术报告全文：https://blog.talosintelligence.com/starry-addax/ Starry Addax 的基础设施 – ondroid[.]site 和 ondroid[.]store – 旨在针对 Android 和 Windows 用户，后者涉及伪装成流行社交媒体网站登录页面的虚假网站。 恶意应用程序的启动屏幕 Starry Addax 的基础设施 – ondroid[.]site 和 ondroid[.]store – 旨在针对 Android 和 Windows 用户，后者涉及伪装成流行社交媒体网站登录页面的虚假网站。 据信该黑客组织自 2024 年 1 月以来一直活跃，已知会向目标发送鱼叉式网络钓鱼电子邮件，敦促收件人安装撒哈拉新闻服务的移动应用程序或与该地区相关的诱饵。 根据发出请求的操作系统，目标要么会收到冒充 Sahara Press Service 的恶意 APK，要么会被重定向到社交媒体登录页面以获取其凭据。 这种名为 FlexStarling 的新型 Android 恶意软件用途广泛，能够提供额外的恶意软件组件并从受感染的设备中窃取敏感信息。 安装后，它会请求受害者授予其广泛的权限，允许恶意软件执行恶意操作，包括从基于 Firebase 的命令和控制 (C2) 获取要执行的命令。 Cisco Talos研究人员说：“像这样针对高价值个人的活动通常打算长时间潜伏在设备上。” “从恶意软件到操作基础设施的所有组件似乎都是针对这一特定活动定制的，这表明该活动非常注重隐藏活动。” 这一进展正值一种名为Oxycorat的新型商业 Android 远程访问木马 (RAT) 出现之际，该木马正在出售，具有多种信息收集功能。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ODcjJkoCdD4RaPiu8VQn9A 封面来源于网络，如有侵权请联系删除

黑客组织RGB-TEAM声称对侵入俄罗斯总检察长网站负责，导致该网站暴露了过去30年来俄罗斯犯罪行为的数据。 该组织在其Telegram频道上公布了泄露的档案，声称拥有从1993年到2022年的10万份俄罗斯犯罪记录。黑客表示，这只是他们入侵总检察长网站后获得的部分数据。 俄罗斯独立调查媒体“重要故事”分析了泄露数据的随机样本，据该媒体称，该数据库确实包含有关真正犯罪的俄罗斯人的信息。报道指出，大部分案件涉及盗窃、贩毒以及侮辱警察。俄罗斯总检察长尚未就此次泄密事件公开发表评论，也没有回应记者的置评请求。 RGB-TEAM是一个之前未知的俄语威胁组织，自称为“一个由匿名黑客活动人士组成的为自由而战的社区”。该组织声称在美国、欧洲以及东西方地区都没有敌人。 黑客泄露行动一直是乌克兰和俄罗斯之间正在进行的网络战争的核心部分。双方以及来自其他国家的黑客活动分子都参与其中，泄露可能对敌对方造成伤害的信息。 在2月初，一群反克里姆林宫的黑客入侵了一个数据库，其中包含数十万俄罗斯囚犯及其亲属和联系人的信息。此举被视为对俄罗斯反对派领导人阿列克谢·纳瓦尔尼在北极流放地死亡的报复行动。 据美国有线电视新闻网报道，该黑客组织由俄罗斯侨民和乌克兰人组成，并利用俄罗斯监狱系统在线小卖部的访问权限降低了商品价格，包括面条和牛肉罐头等商品。   转自安全客，原文链接：https://www.anquanke.com/post/id/295370 封面来源于网络，如有侵权请联系删除

至少自 2023 年 5 月以来，据观察，据认为来自越南的黑客利用旨在收集有价值数据的恶意软件针对多个亚洲和东南亚国家的受害者。 Cisco Talos 将该黑客组织命名为 CoralRaider，并将其描述为出于经济动机。该活动的目标包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。 安全研究人员 Chetan Raghuprasad 和 Joey Chen 表示：“该组织专注于窃取受害者的凭证、财务数据和社交媒体帐户，包括商业和广告帐户。” 他们解释说，该恶意软件使用 RotBot（Quasar RAT 的一种特殊变体）和 XClient 窃贼作为其有效负载。 该组织使用的其他商品恶意软件包括远程访问木马和信息窃取程序，例如 AsyncRAT、NetSupport RAT 和 Rhadamanthys。针对企业和广告帐户已成为在越南境外运营的攻击者的特别关注点，部署了 Ducktail、NodeStealer 和 VietCredCare 等各种类型的窃取恶意软件来控制此类帐户以进一步获利。 作案手法是利用 Telegram 过滤受害者机器上被盗的信息，然后在地下市场上进行交易以产生非法收入。 研究人员表示：“CoralRaider 运营商的总部位于越南河内，根据攻击者在 C2 Telegram 机器人频道中的消息以及命名机器人的语言偏好、PDB 字符串以及有效负载二进制文件中编码的其他越南语单词进行命名。” 攻击链从 Windows 快捷方式文件 (LNK) 开始，尽管目前还没有明确解释这些文件如何分发到目标。如果打开 LNK 文件，则会从攻击者控制的下载服务器下载并执行 HTML 应用程序 (HTA) 文件，然后运行嵌入的 Visual Basic 脚本。 攻击链 该脚本本身会解密并按顺序执行其他三个 PowerShell 脚本，这些脚本负责执行反虚拟机和反分析检查、规避 Windows 用户访问控制 (UAC)、禁用 Windows 通知和应用程序以及下载和运行 RotBot。 RotBot 配置为联系 Telegram 机器人，检索 XClient 窃取恶意软件并在内存中执行，最终促进窃取数据，包括：Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、和Opera；Discord 和 Telegram 数据；屏幕截图。 XClient 还旨在从受害者的 Facebook、Instagram、TikTok 和 YouTube 帐户中窃取数据，收集有关其企业帐户和 Facebook 广告的支付方式和权限的详细信息。 研究人员表示：“RotBot 是 Quasar RAT 客户端的一个变体，是威胁行为者为此次活动定制和制作的。” “[XClient] 通过其插件模块和各种模块来执行远程管理任务，具有广泛的信息窃取功能。” 这一进展发生之际，Bitdefender 披露了 Facebook 上一项恶意广告活动的细节，该活动利用围绕生成人工智能工具的热议来鼓励各种信息窃取者，如 Rilide、Vidar、IceRAT 和一个名为 Nova Stealer 的新来者。 这次攻击的出发点是攻击接管现有的 Facebook 帐户并修改其外观以模仿 Google、OpenAI 和 Midjourney 等知名人工智能工具，并通过在该平台上运行赞助广告来扩大其影响范围。 一个冒充 Midjourney 的欺诈页面在 2023 年 3 月 8 日被删除之前拥有 120 万粉丝。运行该页面的攻击者主要来自越南、美国、印度尼西亚、英国和澳大利亚等。 研究人员表示：“恶意广告活动通过 Meta 的赞助广告系统产生了巨大的影响力，并积极针对来自德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典和其他地方的欧洲用户。” 完整技术报告：https://blog.talosintelligence.com/coralraider-targets-socialmedia-accounts/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ats3lPk6bNa0_f4EuQKHnw 封面来源于网络，如有侵权请联系删除

近日，有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件，这次他们利用广告跟踪功能，向企业用户发送 Slack 和 Notion 等流行协作群件的虚假广告。 本周，AhnLab 安全情报中心（ASEC）的研究人员发布的文章中提到，黑客利用了统计功能嵌入传播恶意软件（包括 Rhadamanthys 窃取程序）的 URL。该功能允许广告商在广告中插入外部分析网站地址，以收集和使用访问者的访问相关数据来计算广告流量。 但研究人员发现，黑客并没有插入外部统计网站的 URL，而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。但根据ASEC的说法，当这些广告仍处于“活动”状态时，如果用户不小心点击了横幅广告，仍然会跳转到下载恶意文件的页面。 在类似的攻击活动中，Rhadamanthys 伪装成了企业常用的安装程序。一旦恶意软件被安装和执行，它就会从黑客的服务器下载恶意文件和有效载荷。 重定向到窃取下载 ASEC 的帖子详细介绍了黑客是如何精心策划的这一活动。 该活动使用的典型安装程序是 Inno Setup 安装程序或 Nullsoft Scriptable Install System (NSIS) 安装程序；具体而言，黑客使用了以下可执行文件： Notion_software_x64_.exe、Slack_software_x64_.exe、Trello_software_x64_.exe 和 GoodNotes_software_x64_32.exe。 ASEC在其发布的博文中提到：恶意软件一旦被执行，就会使用可以保存文本的网站（如textbin或tinyurl）来访问恶意有效载荷地址。同时，他们还列出了黑客用来获取这些地址的URL，这些地址随后会被发送给用户。 据 ASEC 称，该活动的最终有效载荷是 Rhadamanthys 窃取程序，它会通过”%system32%”路径注入到合法的 Windows 文件中。研究人员指出，这使得窃取程序可以在用户不知情的情况下窃取用户的私人数据。 Rhadamanthys一个非常受黑客欢迎的信息窃取软件，可以在暗网上通过恶意软件即服务的模式购买。它是一个典型的窃取程序，可用于收集系统信息，如计算机名称、用户名、操作系统版本和其他机器详细信息。它还会查询已安装浏览器（包括 Brave、Edge、Chrome、Firefox、Opera Software）的目录，搜索并窃取浏览器历史记录、书签、cookie、自动填充、登录凭证和其他数据。 警惕广告提供的 URL 事实上，这并非黑客首次滥用谷歌广告及其相关功能来传播 Rhadamanthys 和其他恶意软件，也很可能不是最后一次。去年 1 月，就曾有研究人员发现的黑客使用了谷歌广告的网站重定向和流行远程工作软件（如 Zoom 和 AnyDesk）的虚假下载诱饵来传播 Rhadamanthys。 黑客甚至还会滥用该服务的 “动态搜索广告 “功能，通过创建有针对性的广告来发送大量恶意软件，从而扩大恶意活动的效果。 ASEC警告称，由于 “所有提供追踪功能以计算广告流量的搜索引擎都可能被用来传播恶意软件”，因此用户在访问谷歌提供的广告链接时必须保持警惕。用户应 “注意访问网站时看到的 URL，而不是广告横幅上显示的 URL”，以避免落入恶意活动的圈套。 此外，ASEC 还发布了一份与该活动不同阶段相关的 URL 综合列表，以帮助管理员识别是否有企业用户受到该活动的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396864.html 封面来源于网络，如有侵权请联系删除

“Winnti”黑客组织被发现使用一种名为 UNAPIMON 的先前未被记录的恶意软件来让恶意进程在不被发现的情况下运行。 Winnti是最古老（自 2012 年以来活跃）、最复杂 和最多产的网络间谍威胁组织之一。目标范围广泛，包括政府、硬件供应商、软件开发商、智囊团、电信服务提供商和教育机构。 趋势科技的一份新报告深入研究了他们一直在密切监控的操作中使用的前未见过的自定义恶意软件，将网络间谍攻击归因于他们命名为“Earth Freybug”的集群。 UNAPIMON 攻击 攻击首先将恶意进程注入到合法的 VMware Tools vmtoolsd.exe 进程中，该进程执行远程计划任务来运行收集系统信息（包括网络配置和用户详细信息）的批处理文件。 接下来，第二个批处理文件 (cc.bat) 利用涉及 SessionEnv 服务的 DLL 侧加载 (TSMSISrv.dll) 将 UNAPIMON 加载到内存中，并将其注入到 cmd.exe 进程中。 UNAPIMON 是一种以 DLL 形式 (_{random}.dll) 提供的 C++ 恶意软件，它使用 Microsoft Detours 来挂钩 CreateProcessW API 函数，使其能够取消挂钩子进程中的关键 API 函数。 挂钩流程 （趋势科技） 由于许多安全工具使用 API 挂钩来跟踪恶意活动，UNAPIMON 的机制允许它从恶意子进程中取消这些 API 以逃避检测。 根据趋势科技的分析，规避机制的工作步骤如下： 使用 Microsoft  Detours 挂钩“CreateProcessW”API 函数来拦截进程创建调用。 修改进程创建调用以在挂起状态下启动新进程，从而允许在进程运行之前进行操作。 在挂起的进程中搜索特定 DLL，在%User Temp%目录中创建本地副本，并在不解析引用的情况下加载这些副本以防止错误。 将复制的 DLL 与进程中的原始DLL 进行比较，查找导出地址中指示安全软件挂钩的修改。 将原始代码复制到进程内存中加载的DLL中的修改部分，从而有效地删除安全工具插入的挂钩。 卸载临时 DLL 副本并恢复子进程的主线程，从而允许不可检测的执行。 趋势科技解释说，大多数恶意软件都利用挂钩来拦截消息、捕获敏感数据和改变软件行为。因此，UNAPIMON的脱钩逃避方式是一种不寻常的技术。 趋势科技总结道：“该恶意软件的一个独特而显着的特点是它的简单性和独创性。” “它对现有技术（例如 Microsoft Detours）的使用表明，任何简单且现成的库如果创造性地使用，都可以被恶意使用。这也显示了恶意软件编写者的编码能力和创造力。” “在典型情况下，是恶意软件进行挂钩。但是，在这种情况下，情况恰恰相反。” 此外，与使用未知的自定义例程相比，使用合法的 Microsoft Detours 调试工具来执行脱钩可以使其逃避行为检测。 Winnti 黑客以其在进行攻击时逃避检测的新颖方法而闻名。2020 年，该组织滥用 Windows 打印处理器来隐藏后门并持续存在。 2022 年，黑客将 Cobalt Strike 信标分成 154 个小块以逃避检测，只有在准备好启动时才将它们重建为可执行文件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rei9f36sxkGJWGDMgrR6wA 封面来源于网络，如有侵权请联系删除

由于使用VNDirect的投资者无法交易，胡志明市证券交易所25日的交易量下降了10%。 有消息称：越南第三大证券经纪公司VNDirect（越南直接投资证券股份有限公司）在上周末遭遇网络攻击，目前正全力恢复运营。 尽管公司27日宣布部分服务已经恢复上线，但据当地媒体报道，投资者仍然无法登录平台。VNDirect计划分四个阶段逐步恢复各项在线服务，从客户账户开始，最后是金融产品。 由于部分系统刚刚恢复，访问量较大，VNDirect在Facebook上发布声明称，用户可能会遇到登录问题，建议“请耐心等待并再次刷新页面。” 截至当地时间27日晚些时候，VNDirect的官方网站仍然无法访问。 河内证券交易所（HNX）宣布，“在问题得到解决之前”， 暂时中断VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。 据路透社报道，本周以来，VNDirect的股价已经下跌了近4%。由于使用VNDirect的投资者无法交易，胡志明市证券交易所（简称HOSE或HSX）25日的交易量下降了10%。 越南国家证券委员会（SSC）的副主席向路透社表示，他认为这次攻击不具备“传染性”，其他当地金融机构没有风险。他补充说，没有其他经纪商受到这次黑客攻击的影响。 VNDirect在胡志明市交易所的市场份额排名第三，占比7%。公司表示，其“整个系统在周日被国际黑客攻击”，但客户资产或数据没有受到影响。 VNDirect的首席执行官Nguyen Vu Long表示，公司被“一群专业黑客”攻击，数据遭到加密。 他补充道，“我们已成功解密这些数据，现在开始系统恢复工作。” 另据当地媒体报道，与VNDirect有关的IPA投资公司和IPAAM股票投资基金等公司也遭受了网络攻击，官方网站仍然无法访问。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/Q0iuBKDZ9D3pVgMGTFdFhA 封面来源于网络，如有侵权请联系删除