据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。 根据微软的通报，黑客可以通过向用户发送精心设计的互联网快捷方式文件（URL）并说服收件人点击它来利用该问题。 这家科技巨头表示：“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 在漏洞公开披露后，我们观察到黑客展示了对该漏洞的利用，并发布了各种概念验证 (PoC) 漏洞，并且许多黑客已将此漏洞的利用纳入其攻击链中。 现在，趋势科技报告称，恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer，这是一种以前未知的恶意软件类型，可以从受感染的系统中获取大量信息。 Phemedrone Stealer 采用 C# 编写，可作为开源软件使用，并在 GitHub 和 Telegram 上积极维护。 除了从网络浏览器、加密货币钱包和各种消息应用程序（包括 Telegram、Steam 和 Discord）窃取数据之外，该威胁还会截取屏幕截图并收集系统信息，包括硬件详细信息和位置数据。 然后，收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。 作为观察到的攻击的一部分，利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后，这些文件会下载并执行一个控制面板项 (.cpl) 文件，该文件调用 rundll32.exe 来执行恶意 DLL，充当下一阶段的加载程序，该阶段托管在 GitHub 上。 下一阶段是一个模糊加载器，它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件，进而加载 Phemedrone Stealer 有效负载。 趋势科技指出：“尽管已经打了补丁，但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法，以多种恶意软件类型感染用户，包括勒索软件和 Phemedrone Stealer 等窃取程序。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292678 封面来源于网络，如有侵权请联系删除

GrapheneOS 团队开发了一个专注于隐私和安全的 Android 操作系统版本，并提出在 Android 中引入自动重启功能。这一功能将使得利用固件漏洞变得更加困难。 该团队最近报告了影响 Google Pixel 和三星 Galaxy 智能手机的 Android 漏洞。当设备处于非活动状态时，该漏洞可用于窃取数据并监视用户。 当设备关闭或打开后未解锁时，设备被视为“静止”。在这种状态下，隐私保护非常高，并且设备的功能受到限制，因为加密密钥尚未被可供安装的应用程序使用。 重新启动后的首次解锁会将许多加密密钥移至缓存中，从而允许应用程序正确运行并使设备从休眠状态唤醒。GrapheneOS 团队指出，使用设备后锁定屏幕并不会使其恢复到静止状态，因为仍然存在一些安全异常。 重新启动设备会结束所有可被利用的临时状态、进程或操作，并需要进行 PIN、密码或生物识别验证等身份验证操作，从而恢复所有安全机制。 GrapheneOS 开发人员没有透露有关他们发现的可利用固件漏洞的详细信息，但他们提出了一个在大多数情况下有效的通用解决方案：GrapheneOS 操作系统中已经存在的自动重启功能。 该功能的目的是通过比用户更频繁地重置所有设备安全系统来最大程度地减少攻击者的机会。GrapheneOS 自动重启系统每 18 小时重置一次设备。 GrapheneOS 发言人解释说，虽然 GrapheneOS 由于硬件限制无法直接修复固件错误，但新功能提供了重启时固件内存擦除功能，并提供了管理 API 改进，可以更安全地擦除设备中的数据。 GrapheneOS 还指出，许多人认为智能手机上的飞行模式可以降低受到攻击的风险，但实际上通常仍然允许通过 Wi-Fi、蓝牙、NFC 和 USB 以太网进行数据交换。根据攻击向量的不同，飞行模式可能不是有效的防御措施。 开发人员还涉及与设备加密和安全系统相关的 PIN 和密码安全主题，因为此类身份验证方法被用作加密设备数据的密钥。使用短 PIN 码和密码来防止隐藏的暴力破解非常重要，这不仅可以解锁屏幕，还可以解锁设备芯片上的受保护区域。 作为 Android 漏洞奖励计划 (VRP) 的一部分，GrapheneOS 团队向 Google 报告了发现的漏洞。该公司正在审查和确定后续步骤。 经常重新启动 Android 或 iOS 设备已被认为是解决过热、内存或通话信号障碍等问题的有效方法。从安全角度来看，此操作可以防止攻击者恢复数据或对不具备有效恢复机制的移动设备造成其他威胁。 因此，GrapheneOS 在 Android 中引入自动重启功能的提议，是基于对该过程作为提高设备安全性手段的重要性的理解。重启不仅有助于解决常见的技术问题，而且还是对抗数据安全和用户隐私潜在威胁的关键要素。   转自安全客，原文链接：https://www.anquanke.com/post/id/292653 封面来源于网络，如有侵权请联系删除

Guardio Labs 的安全研究人员发现 Windows 和 macOS 操作系统的 Opera Web 浏览器存在严重缺陷。利用这些缺陷，攻击者可以在计算机的基本操作系统上运行任何文件，包括恶意文件。 专家将该漏洞命名为“MyFlaw”（文字游戏，直译为“我的漏洞”），因为它与“我的流程”功能相关联，该功能允许用户在移动设备和桌面设备之间同步消息和文件。 攻击者使用受其控制的浏览器扩展来实现这个漏洞，成功绕过了浏览器的沙箱和整个工作流程。该问题同时影响 Opera 和 Opera GX 的常规版本。 My Flow 具有类似聊天的界面，用于在智能手机和台式计算机之间共享笔记和文件。事实证明，来自该聊天的文件可以直接通过浏览器的网络界面启动，不受浏览器安全性的影响。 My Flow 的运行由名为“Opera Touch Background”的内置扩展来实现，该扩展负责与移动模拟设备进行通信。该扩展包含自己的清单文件，其中指定了其行为以及所有必要的权限，包括“externally_connectable”属性，该属性声明其他网页和扩展可以连接到它。 可以与扩展程序通信的域必须与模式“*.flow.opera.com”和“.flow.op-test.net”匹配，由浏览器开发人员自己控制。然而，Guardio Labs 研究人员在“web.flow.opera.com”域上发现了 My Flow 起始页的“被遗忘”版本。 找到的页面在视觉上与当前版本类似，但不同之处在于缺少内容安全策略标记以及存在调用JavaScript文件而不检查其完整性的脚本标记。 Guardio Labs 的报告称：“这正是攻击者所需要的——一种不安全、被遗忘且易受代码注入攻击的资源，并且具有对浏览器 API 的非常高的特权访问权限。” 最后的攻击链涉及攻击者创建一个特殊的扩展程序，将自己伪装成移动设备来与受害者的计算机进行通信，并通过修改后的 JavaScript 文件传输加密的恶意代码，以便随后只需点击用户的屏幕即可执行。 “MyFlaw”攻击方案 研究人员表示：“尽管在孤立的环境中运行，扩展程序仍然可以成为黑客的强大工具，使他们能够窃取信息并突破浏览器的安全边界。” Opera在2023年11月22日修复了这个漏洞，仅在漏洞被披露的5天后。开发人员还进行了服务器端修复，并采取了一系列措施来防止将来出现类似问题。出于安全原因，决定现在才公开披露该漏洞，以确保尽可能多的用户能够自动接收到必要的更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/292647 封面来源于网络，如有侵权请联系删除

据报道，有消息人士向乌克兰媒体透露，与乌克兰安全局 (SBU) 有联系的 Blackjack 网络组织本周发起了一次网络攻击，他们声称能够“摧毁”莫斯科互联网服务提供商 M9 Telecom 的服务器。 该 ISP 的网站于 1 月 9 日上线。 不愿透露姓名的消息人士告诉乌克兰国营媒体 Ukrinform，这次网络行动是为了报复俄罗斯支持的12 月 12 日对 Kyivstar移动电话运营商的入侵，该事件导致乌克兰各地的通信中断。消息人士补充说，M9 Telecom 网络攻击只是“为 Kyivstar 进行更严厉的报复”的“热身”。 Blackjack 网络组织同样声称对 12 月底莫斯科 Rosvodokanal 自来水公司的入侵事件负责，该组织声称在 SBU 的帮助下成功完成了这次事件。 本月早些时候，SBU 网络负责人 Illia Vitiuk 警告称，俄罗斯对现代私营公司 Kyivstar 的入侵向西方国家发出信号：没有什么是俄罗斯网络威胁无法触及的。   转自安全客，原文链接：https://www.anquanke.com/post/id/292524 封面来源于网络，如有侵权请联系删除

黑客破坏了航班信息显示系统，周日出发和抵达信息被一条指责真主党组织将黎巴嫩置于与以色列全面战争风险的信息所取代。信息中写道：“哈桑·纳斯鲁拉，如果你用一场你将承担责任和后果的战争诅咒黎巴嫩，你将不再有支持者。” 这与多年来批评真主党通过黎巴嫩走私武器和弹药的指责相似。 屏幕上显示的信息来自一个被称为“上帝战士”的强硬基督教组织，该组织在过去一年中因其反对黎巴嫩 LGBTQ+ 群体的活动而受到关注，而一个鲜为人知的自称“发言者”的组织则来自该组织。在一份视频声明中，该基督教团体否认参与其中，而另一个团体则在其社交媒体频道上分享了屏幕照片。 据报道，这次袭击导致 BHS 行李检查系统中断，机场的内部安全部队正在努力实施替代计划，并维持在机场运作的所有安全和行政机构的正常行动。 事件发生后，黎巴嫩人的手机上收到了两条短信。第一份似乎是由信息部门发送的，第二份似乎是由中东航空公司发送的。然而，据 LBCI 称，这两条消息是假的，来源不明。 最新消息称，屏幕已恢复工作，并逮捕了 3 名嫌疑人，但目前没有提供更多细节。 自10月8日（加沙哈马斯与以色列战争爆发的第二天）以来，真主党一直在袭击该国北部与黎巴嫩边境附近的以色列军事基地和阵地。作为反击，以色列也一直在攻击真主党阵地。 过去一周，以色列在贝鲁特南部郊区发动的袭击导致哈马斯高级官员兼指挥官萨利赫·阿鲁里丧生，几乎每天都发生的冲突急剧加剧。 在周六的一次讲话中，真主党领导人赛义德·哈桑·纳斯鲁拉在一次讲话中誓言该组织将进行报复。他驳斥了有关真主党寻求与以色列发动全面战争的批评，但表示，如果以色列发动一场战争，真主党就准备好发动一场“无限制”的战争。 周六，真主党宣布对阿鲁里被杀做出“初步回应”，向梅龙山的以色列空中监视基地发射了 62 枚火箭弹。 黎巴嫩政府和国际社会一直在努力防止黎巴嫩发生战争，他们担心这场战争会引发地区溢出效应。 转自E安全，原文链接：https://mp.weixin.qq.com/s/HTyn4H5ESdnSbYka1Z3mgw 封面来源于网络，如有侵权请联系删除

最近在PyPI 开发人员的公共存储库中发现了三个能够在受感染的Linux设备上部署加密货币挖矿程序的恶意软件包，分别名为“modularseven”、“driftme”和“catme”。这三个软件包引起了安全专家的注意，在上个月从网站上被删除之前，这些软件包已经被下载了 431 次。 Fortinet 的研究员 Gabby Xiong表示， 这些软件包在第一次使用时会将 CoinMiner 可执行文件部署到 Linux 设备上。 恶意代码位于文件“__init__.py”中，该文件从远程服务器解码并提取第一阶段 （ 是一个 shell 脚本（“unmi.sh”）），用于加载挖矿配置文件以及CoinMiner 文件托管在GitLab上。 然后使用“nohup”命令在后台执行 ELF 二进制文件，确保进程在会话注销后继续运行。 Siong 指出，这些软件包与之前类似活动中的“culturestreak”一样，隐藏了有效负载，从而降低了通过将其放置在远程 URL 上来检测恶意代码的可能性。随后，有效负载会分阶段下载到受害者的计算机上以执行恶意活动。 这与之前的“culturestreak”包有一个相同点：配置文件托管在“papiculo[.]net”域上，并且挖掘可执行文件并托管在公共 GitLab 存储库中。 这三个被检测到的恶意软件包会隐藏 shell 脚本中的恶意意图，这有助于逃避防病毒软件的检测。 此外，Siong指出，该恶意软件将恶意命令插入到“~/.bashrc”文件中，这确保了恶意软件在用户设备上能够长时间潜伏并能被重新激活，从而使黑客从中获益。 转自安全客，原文链接：https://www.anquanke.com/post/id/292435 封面来源于网络，如有侵权请联系删除

安全研究人员深入研究 SpectralBlur 的内部运作方式，发现这是一个新的 macOS 后门，似乎与最近发现的朝鲜恶意软件系列 KandyKorn 有关。 观察到的 SpectralBlur 样本最初于 2023 年 8 月上传到 VirusTotal，但仍未被防病毒引擎检测到，直到本周才引起研究人员的注意。 该恶意软件最初由安全研究员 Greg Lesnewich 进行了剖析，他得出的结论是，该恶意软件包含了通常在后门中常见的功能，例如文件上传/下载、文件删除、shell 执行、配置更新和睡眠/休眠。 Lesnewich 在报告中指出，这些操作是根据从命令与控制 (C&C) 服务器收到的命令执行的。他解释说，与服务器的通信是通过 RC4 封装的套接字进行的。 Lesnewich 对后门的分析揭示了与KandyKorn的相似之处，KandyKorn 是 macOS 后门，朝鲜黑客组织Lazarus 最近在针对加密货币交易平台的攻击中使用了该后门。 KandyKorn 是一种先进的植入程序，旨在逃避检测并为黑客提供监视受感染设备并与之交互的能力。 Lesnewich 指出，SpectralBlur 和 KandyKorn 似乎是来自不同开发人员的恶意软件系列，但它们是根据相同的要求构建的。 Lesnewich 发表研究结果后，Objective-See 的安全研究员 Patrick Wardle 也对 SpectralBlur 进行了分析（https://objective-see.org/blog/blog_0x78.html），得出了类似的结论：该后门包含标准后门功能，与网络通信、文件和进程操作以及其自身配置相关。 初始化后，恶意软件执行解密/加密其配置和网络流量的功能，然后继续执行旨在阻碍分析和检测的各种操作。 根据 Wardle 的说法，SpectralBlur 使用伪终端来执行从 C&C 接收到的 shell 命令，并被设计为在打开文件并用零覆盖其内容后擦除文件。 Lesnewich 和 Wardle 似乎都相信 SpectralBlur 是 Lazarus 武器库中的另一个 macOS 后门，Lazarus 是一个著名的朝鲜黑客组织，至少自 2009 年以来一直活跃。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vpT_DcZ5CEKmWXOJjFNSRA 封面来源于网络，如有侵权请联系删除

化名为“Snow”的黑客成功访问了Orange Spain的RIPE账户，并对BGP路由进行了错误配置，导致互联网中断。 由于这次攻击，公司的客户在1月3日的几个小时内无法访问互联网。 该公司确认一名黑客侵入了其RIPE账户。 NOTA: Orange在IP网络协调中心（RIPE）的账户遭到未授权访问，导致一些客户的网络访问受到影响。服务几乎已经恢复。 — Orange España (@orange_es) 2024年1月3日 RIPE NCC（Réseaux IP Européens Network Coordination Centre）是区域互联网注册机构（RIRs）之一，负责在特定地理区域分配和注册IP地址和自治系统号（ASNs）。RIPE NCC主要服务于欧洲和中东地区。其主要职能包括管理和分配互联网数字资源，促进区域互联网基础设施的协调，并支持其服务区域互联网的发展。 黑客更改了Orange Spain一系列IP地址的AS号，并在其上启用了无效的RPKI配置。 资源公钥基础设施（RPKI）是设计用于保护互联网路由基础设施的系统，尤其是在边界网关协议（BGP）的背景下。BGP是用于在互联网上不同自治系统（ASes）之间路由流量的关键协议。RPKI通过将IP地址前缀与持有其合法广告权的实体进行密码学绑定，为BGP添加了一层安全性。 “正如我们所看到的，他们所做的是创建ROA /12记录，这基本上说明了在前缀上谁是RPKI授权的实体（即可以宣告它的AS），这将/22和/24前缀组合在一起，由Orange Spain宣告。” DMNTR Network Solutions的研究员Felipe Canizares在X上发布的一系列消息中解释说。 Snow联系了Orange Spain提供了新的凭据，并解释说他这样做是为了“防止实际的黑客找到这个账户并入侵它”。 @orange_es 喵喵喵！我已经修复了你们的RIPE管理员账户安全。给我发消息获取新的凭据 :^) pic.twitter.com/NKFFDWb0Ec — Snow 🏳️‍⚧️ (@Ms_Snow_OwO) 2024年1月3日 RIPE NCC也启动了对该事件的调查。 “我们鼓励用户更新密码，并为他们的账户启用多因素身份验证。如果您怀疑您的账户可能受到影响，请将其报告给security@ripe.net。” RIPE NCC发布的声明中写道。 Hudson Rock的联合创始人兼首席技术官Alon Gal推测，黑客在2023年9月一名Orange员工的计算机感染了Raccoon信息窃取器后，从Orange Spain的RIPE管理员账户中获取了凭据。 “今天，黑客接管了Orange Spain的RIPE管理员账户，导致流量减少了50%。Hudson Rock确认渗透源于Orange员工感染了信息窃取器（Raccoon） – 使用的密码也很荒谬 – “ripeadmin”。” Gal在LinkedIn上写道。 “今天早些时候，黑客发布了从他们渗透的RIPE账户内部的图片，显示了该账户的电子邮件地址。在Hudson Rock的网络犯罪情报数据库中找到了这个电子邮件地址，我们可以确认该员工在去年9月被Raccoon信息窃取器感染。 该员工拥有许多企业凭据，包括他们的RIPE凭据，很可能是黑客渗透账户的方式。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，德国豪华车制造商宝马被黑客“盯上”了。因为宝马某些用于访问经销商内部工作系统的子域名容易受到SAP重定向漏洞的影响，黑客恰好利用这些子域名伪造链接，针对宝马进行鱼叉式网络钓鱼活动或部署恶意软件。 SAP重定向漏洞会影响SAP产品（SAP NetWeaver Application Server Java）网络应用服务器的安全，这就意味着任何人都可以通过添加字符串来伪造重定向链接。 例如，用户在子域名中添加字符串： “sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite.com” 但实际上的URL是这样的： “https://<…>.bmw.com/sap/public/bc/icf/logoff?redirecturl=https://maliciouswebsite.com” “这表明黑客只需要通过操纵受影响的SAP系统的URL参数，就可以将用户重定向到恶意网站，或者将任意内容注入到合法网站中。” Cybernews研究人员解释道。 虽然这种漏洞不是关键性的，但它为黑客提供了很多能够触及宝马内部员工或客户的机会。 想象一下，如果你收到了来自CEO或经理下达工作指令的的邮件，因为域名是合法的，防火墙并不会识别出邮件中的恶意链接。一旦你打开了链接并输入了你的凭证，黑客就能对你部署勒索软件或进行其他恶意行为。 这种漏洞对于黑客来说再好不过，只需要几个步骤就能进行大规模的网络钓鱼活动。他们通常会在实际环境中利用这个漏洞来窃取类似于登陆凭证的敏感信息，或者向毫无戒心的用户传播恶意软件。当受害者点击看似合法的链接时，实际上进入的是恶意网站，然后在网站执行恶意的JavaScript代码，被提示输入敏感信息。 宝马已经修复该漏洞 在Cybernews的研究人员向宝马披露了这一漏洞后，宝马针对该漏洞迅速进行了修复。 宝马集团发言人表示，对公司的员工、客户和商业伙伴而言，信息安全是宝马集团的首要任务。在发现漏洞后，公司立即做出了应对以最小化可能带来的影响，目前，这一漏洞并未危及到宝马集团相关系统，也没有出现数据泄露或被误用的情况。 宝马集团发言人称，宝马集团在访问内部系统时采用的是多级安全控制措施，他们遵循的原则是：数据越敏感，安全措施就越高。 重定向攻击如何工作以及如何避免 在Web应用程序或组件没有正确验证或清洗URL情况下，SAP重定向漏洞及类似漏洞通常会导致Web应用程序将用户重定向到指定的URL。 这种影响到宝马网站和其他SAP系统类型的漏洞最早可追溯到2012年，即使公司进行了安全更新，仍然存在风险。因为攻击者只需要修改URL值，就能将用户重定向到恶意网站。 MITRE 公司指出：“修改后链接中的服务器名称与原始站点相同，钓鱼尝试看起来更可信。而这个问题是否构成一个漏洞取决于应用程序的预期行为，例如，一个搜索引擎可能会故意提供重定向到任意URL的服务。” 为了解决SAP重定向漏洞，Cybernews研究人员推荐以下措施： SAP已经发布了针对SAP重定向漏洞的补丁，补丁对漏洞进行了修复，这是缓解漏洞最有效的方法。 为了防止注入攻击和其他安全漏洞，开发者应当遵循安全编码实践和指南，比如开放网络应用安全项目（OWASP）十大安全风险。 定期进行安全评估可以帮助识别系统和应用中的漏洞，并在攻击者有机会利用它们之前，采取主动的补救措施。 研究人员表示，安全是一个持续的过程，公司应当定期审查和更新他们的安全措施，确保措施有效。而重定向漏洞是重大的安全风险，并且可能对组织造成毁灭性的影响，需要尤其注意。 当然，用户也应该小心点击那些链接，即使域名看起来合法，黑客也可能通过其他方式来传递恶意载荷。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388671.html 封面来源于网络，如有侵权请联系删除

过去几个月，一个名为 Cyber Toufan 的黑客组织袭击了以色列 100 多个公共和私人组织，这是该地区地缘政治紧张局势加剧所推动的网络攻击活动的一部分。 CyberToufan 具有复杂的黑客特征，该组织声称由巴勒斯坦国家网络战士组成，因此迅速声名鹊起，该组织对知名以色列实体执行复杂的网络攻击。 据报道， 该组织的策略表明 Cyber Toufan 很可能是由政府赞助的，有证据表明伊朗可能参与其中。 “与其他亲巴勒斯坦的哈马斯黑客组织相比，该组织表现出了卓越的能力。他们的活动重点是破坏服务器、数据库和泄露信息，有证据表明该组织受到来自民族国家——有可能是伊朗——的支持。”国际反恐研究所 (ICT) 在 11 月底指出。 安全研究人员已跟踪超过 100 起与 Cyber Toufan 操作相关的入侵，其特点是泄露大量数据（包括个人信息）并将其发布在网络上。 威胁情报公司SOC Radar在两周前的一份报告中写道：“他们的攻击不仅导致大量数据泄露，而且还成为一种数字报复形式，符合该地区更广泛的战略目标。” Cyber Toufan 于 2023 年 11 月 18 日在 Telegram 频道上发表的一篇文章 安全研究员Kevin Beaumont 表示，迄今为止，该组织已在其 Telegram 频道上泄露了 59 个组织的数据。在针对托管服务提供商 (MSP) 的攻击中，它可能还攻击了 40 多个目标。 “他们发布的数据包括完整的服务器磁盘映像、带有许多域私钥的 SSL 证书（尚未被撤销且仍在使用）、SQL 和 CRM 转储。甚至 WordPress 备份，显然现在人们在 WordPress 上构建 CRM。”Beaumont 说。 CyberToufan 的受害实体包括以色列国家档案馆、以色列创新局、Homecenter Israel、以色列自然和公园、特拉维夫学院、以色列卫生部、福利和社会保障部、以色列证券管理局、Allot、MAX Security & Intelligence 、Radware 和丰田以色列。 博蒙特表示，一些受害实体无法从网络攻击中恢复，并且已离线数周，这可能是黑客使用擦除器针对 Linux 系统导致的。 据研究人员称，CyberToufan 使用合法工具 Shred 来“以不可恢复的方式删除文件”。为此，该组织使用自己的 shell 脚本运行 Shred，以确保即使该进程被管理员终止，该工具也能继续运行。 人们还看到该组织向受害实体的客户发送电子邮件以进行宣传，并且似乎正在与其他黑客组织进行更大规模的集体行动协调。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/J6zk7amcWphjOU2KbqZWRg 封面来源于网络，如有侵权请联系删除