近日，有多个窃取信息的恶意软件团伙正在滥用一个未记录的名为 “MultiLogin “的谷歌 OAuth 端点恢复过期的身份验证 cookie 。通过这种方式黑客可以获取到用户账户信息，即使账户密码已被重置仍能成功登陆。 会话 cookie 是一种特殊类型的浏览器 cookie，其中包含身份验证信息，允许用户在不输入凭据的情况下自动登录网站和服务。这类 cookie 的储存时间有限，因此如果账户被盗，黑客无法一直使用它们登录账户。 但在2023年11月下旬，Lumma和 Rhadamanthys 黑客曾声称可以恢复在攻击中被盗的过期谷歌身份验证cookie，即使用户已经注销、重置密码或会话过期，这些 cookie 仍可让网络犯罪分子在未经授权的情况下访问谷歌账户。 利用谷歌 OAuth 端点 CloudSEK  研究人员上周五（12月29日）发布的一份报告进一步揭示了这个零日漏洞的工作原理，并阐述了该漏洞的被大规模利用的严重后果。 2023 年 10 月 20 日，一个名为 PRISMA 的黑客首次披露了该漏洞，他在 Telegram 上发布消息称发现了一种恢复过期 Google 身份验证 cookie 的方法。 在对该漏洞进行逆向工程后，CloudSEK 发现它使用了一个名为 “MultiLogin “的未注明谷歌 OAuth 端点，该端点通过接受账户 ID 和 auth-login 标记向量来同步不同 Google 服务之间的帐户。 此请求用于在多个 Google 网站（例如 YouTube）的 Google 身份验证 cookie 中设置浏览器中的 Chrome 帐户。 这个请求是 Gaia Auth API 的一部分，只要 cookie 中的帐户与浏览器中的帐户不一致就会触发。 CloudSEK 表示，滥用该终端的信息窃取恶意软件会提取登录到谷歌账户的 Chrome 配置文件的 tokens 和账户 ID。这些被盗信息包含两个关键数据：service (GAIA ID) 和 encrypted_token。 加密令牌使用存储在 Chrome 浏览器 “Local State” 文件中的加密密钥进行解密。同样的加密密钥也用于解密浏览器中保存的密码。 通过利用窃取的 token，GAIA 与多重登录端点配对，威胁行为者可以重新生成过期的 Google Service cookies，并访问被盗账户。 使用令牌：GAIA对从文本文件中读取以生成对MultiLogin的请求 CloudSek 研究员 Pavan Karthick 表示，他们对该漏洞进行了逆向工程，并能够使用它来重新生成过期的 Google 身份验证 cookie，如下所示： 重置密码后，cookie再生成功 Karthick 解释称，如果用户重置其 Google 密码，身份验证 cookie 只能重新生成一次。否则，它可以多次重新生成，从而登陆账户。 恶意软件开发者急于添加漏洞 Lumma stealer 于 11 月 14 日首次利用了该漏洞，其开发人员采用了黑盒技术，如用私钥加密 token:GAIA 对，以向竞争对手隐藏这一机制，并防止该功能被复制。 Radamanthys 是第一个在 11 月 17 日效仿的人；此后还有 12 月 1 日的 Stealc、12 月 11 日的 Medusa、12 月 12 日的 RisePro 和 12 月 26 日的 Whitesnake。因此，目前至少有 6 个黑客声称能够使用此 API 端点重新生成 Google cookie。 Lumma 还发布了该漏洞的更新版本：转而使用 SOCKS 代理来逃避 Google 的滥用检测措施，并在恶意软件和 MultiLogin 端点之间实现加密通信；以对抗谷歌的修复措施。 由于Google尚未证实 MultiLogin 端点被滥用，因此目前该漏洞的利用状况及其修复措施仍不清楚。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388434.html 封面来源于网络，如有侵权请联系删除

近日，热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。 开发者 Michael Mayhem 表示：被入侵的软件包是原游戏的预包装独立修改版，并非通过 Steam Workshop 安装的修改版。 最开始是其中一台设备被恶意软件非法入侵，当时正在运行的安全软件没能阻止它，甚至都没有做出标记。但这并不是一个盗取密码的恶意软件，因为 2FA 并没有触发或阻止它，而且被入侵的账户都在不同的电子邮件地址下（这些地址本身都没有被盗）。 此外，黑客还入侵了《Downfall》开发者之一的 Steam 和 Discord 账户，从而控制了该 MOD 的 Steam 账户。Michael Mayhem称此次事件更像是一种令牌劫持，黑客们专门劫持 Steam 并利用它上传，但目前这还只是猜测。 Mayhem 在周三（12月27日）发表的一份声明中告知用户称：此次安全漏洞允许恶意上传替换已打包的《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》，并且该游戏向您弹出了 Unity 库安装程序，那么您的设备可能会出现安全风险。 该恶意软件会从设备中的网络浏览器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息。 同时，它还会查找文件名中包含 “密码 “的文件，并查找其他凭证，包括本地 Windows 登录和 Telegram等账户信息。 Epsilon恶意软件收集凭证(Any.run) Mayhem 建议Downfall用户立即更改所有重要密码，尤其是未受2FA（双因素验证）保护的账户密码。 有用户报告称：该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中，或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。 Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标，以测试新游戏漏洞为幌子，诱骗他们安装恶意软件以换取报酬。 在安装游戏后，恶意软件还会在后台运行，窃取用户的密码、信用卡信息和身份验证 cookie。窃取的信息要么被威胁者用来入侵更多账户，要么在暗网市场上出售。 根据 VirusTotal 数据，这次攻击背后的黑客的目标不只是Steam，还可能瞄准了其他游戏和游戏开发商。 包含相同信息窃取恶意软件的其他文件（VirusTotal） Steam加强安全防护 自 8 月底开始，越来越多的Steamworks 账户被黑客用来上传恶意游戏版本，使玩家感染恶意软件，因此今年 10 月，Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查。 作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码，这样 Steam 才能在继续之前给你发短信确认代码，任何需要添加新用户的 Steamworks 帐户都需如此。这一项规定已经于今年10月24日起正式生效。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388252.html 封面来源于网络，如有侵权请联系删除

法国著名视频游戏开发商和发行商育碧公司证实遭受网络攻击，导致其游戏、系统和服务的运行暂时中断。 据VX-Underground消息，12月20日，该公司遭到一名身份不明的黑客攻击。该黑客获得了育碧内部系统的访问权限，持续时间约为48小时。黑客试图提取约 900 GB 的数据，但在此之前就失去了访问权限。该公司开始调查这一事件，并为所有员工重置密码作为预防措施。 育碧表示，在安全研究小组 VX-Underground 分享了看似公司内部服务的屏幕截图后，他们正在调查一起可疑的数据安全事件。 作为此次所谓黑客攻击的一部分，攻击者声称已获得对 Ubisoft SharePoint 服务器、Microsoft Teams、Confluence 和 MongoDB Atlas 面板的访问权限，并分享了他对其中一些服务的访问权限的屏幕截图。 MongoDB Atlas 最近报告称其系统遭到黑客攻击，但根据他们的披露，这起事件似乎无关。 攻击者告诉 vx-underground，他们试图窃取《彩虹 6：围攻》用户数据，但在他们这样做之前就被发现并被拒绝访问。 2020 年初，育碧遭到 Egregor 勒索软件团伙的黑客攻击，该团伙公布了育碧《看门狗》游戏的部分源代码。2022 年，该公司遭受了第二次黑客攻击，导致其游戏、系统和服务中断。   转自安全客，原文链接：https://www.anquanke.com/post/id/292131 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软对伊朗发起的针对美国国防工业基地(DIB)组织员工的新攻击发出警告。 这家科技巨头将这些攻击归咎于 Peach Sandstorm，也被追踪为 APT33、Elfin、Holmium、Magnallium 和 Refined Kitten。 据信，APT33 至少从 2013 年开始活跃，并得到了伊朗政府的支持，以美国、欧洲、亚洲和中东的政府、研究、航空航天、能源、金融、电信和其他部门的组织为目标。 微软观察到伊朗支持的组织 Peach Sandstorm 试图向为国防工业基地(DIB)部门组织工作的个人提供一个名为 FalseFont 的新后门。 新发现的后门为攻击者提供了远程访问受感染系统的机会，允许他们执行文件，并将数据泄露到 C&C 服务器。微软表示，FalseFont 在2023年11月首次被用于攻击。 微软在一篇帖子中指出：“FalseFont 的开发和使用与微软在过去一年中观察到的 Peach Sandstorm 活动一致，这表明 Peach Sandstorm 正在继续改进他们的间谍技术。” 今年9月，微软曾警告称，APT33 以数千家组织为目标，使用密码喷洒攻击，在某些情况下，导致数据从受损网络中泄露。 在 2023 年 2 月至 7 月期间进行的第一阶段活动中，密码喷洒用于初始入侵，而第二阶段则利用 Zoho ManageEngine 和 Confluence 的已知漏洞进行攻击。 建议各组织重置攻击目标的任何帐户的密码，撤销会话 cookie，实现保护身份基础设施的最佳实践，采用多因素身份验证，过渡到无密码身份验证，以及保护远程桌面连接。       Hackernews 编译，转载请注明出处 消息来源：Securityweek，译者：Serene

ESO Solutions 是一家为应急响应人员和医疗机构提供数据和软件的提供商，已开始向 270 万名受黑客攻击影响的个人发出通知。 此次泄露事件于 9 月 28 日发生，迫使 ESO 暂时关闭系统，以遏制事件的影响。尽管黑客访问并加密了内部系统，但 ESO 表示已使用备份恢复了这些系统。 在今天早些时候发布的事件通知中，该公司表示未经授权的第三方可能已经获取了个人数据，他们正在积极配合联邦执法调查。包括姓名、地址和健康详细信息在内的患者信息遭到泄露，社会安全号码等敏感信息也可能被泄露。 “事实上，HIPAA 合规性确实包括允许医疗保健提供商将 ePHI 存储在 SaaS 应用程序和云中，” Centripetal 的安全工程师 Colin Little 评论道。 “我看到的所有针对医疗保健提供商的指南都指出，SaaS 应用程序供应商在做出选择时需要经过彻底审查。虽然有很多因素使得选择 SaaS 应用程序具有吸引力，例如可扩展性和经济因素，但显然需要对该策略进行更彻底的风险评估。” 虽然负责的黑客团伙仍不清楚，但 ESO 的声明表明，该公司可能已付费以确保删除受影响的数据。Infosecurity 已联系该公司核实这些说法。 不管怎样，该公司于 12 月 19 日通知缅因州总检察长办公室，称有 270 万人受到影响，并从 12 月 12 日开始寄出信件。超过 9500 名 Tallahassee Memorial HealthCare 患者受到影响。 ESO 与 Ascension Providence 和 Manatee Memorial Hospital 等医疗保健提供者合作，正在向患者通报此次泄露事件。其他受影响的机构包括密西西比浸信会医疗中心、Merit Health Biloxi、Merit Health River Oaks 和各种医疗机构。 Comparitech 的消费者隐私倡导者 Paul Bischoff 评论道：“受影响的患者应立即采取措施保护自己免遭身份盗窃和健康福利欺诈。” “ESO 尚未说明受影响的患者是否会获得免费的信用监控，但我预计至少其中一些人会获得免费的信用监控。检查您的信用报告，利用免费信用监控，并密切关注您的医疗账单是否存在可疑活动。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

意大利云服务商 Westpole 遭遇 Lockbit 3.0 勒索攻击，导致云上客户 PA Digitale 服务中断，PA Digitale 托管的大量地方政府组织和市政机构无法提供服务。 意大利云服务提供商 Westpole 在12月8日遭受网络攻击，此次事件殃及Westpole的客户、政务服务商 PA Digitale。后者通过旗下 Urbi 平台为各地地方政府机构和组织提供服务。服务对象包括1300 家公共管理机构，其中有 540 家为市政机构。 Westpole 通知了意大利个人数据保护局（隐私监管机构）和意大利警方。二者正在调查这次网络攻击事件。 据知情人士称，Westpole遭遇了勒索软件攻击，威胁行为者使用的是Lockbit 3.0变种。不过，截至本文撰写之时，Lockbit黑客团伙尚未将Westpole在Tor泄露网站上列出。 Westpole官网上的最新公告 Lockbit 勒索软件攻击导致 PA Digitale 公司中断服务，这起安全事件导致很多公共管理部门和市政机构的服务瘫痪。为了继续提供服务，数家市政机构被迫回归人工模式。目前，意大利国家网络安全局正在努力恢复受影响机构的数据。 PA Digitale官网上的最新公告 一些意大利媒体报道称，由于此次攻击，部分受影响政府机构将无法向员工发放12月工资。 意大利国家网络安全局发布了以下声明： “经过努力，我们恢复了遭受攻击的 700多家与 PA Digitale 公司供应链相关的国家和地方公共实体数据。” “对于其他管理部门，约1000家公共实体与PA Digitale公司签订了各类管理服务提供合同，攻击发生当日（12月8日）之前3天至今的数据尚未恢复。” “我们在此特别说明，经PA Digitale公司确认，经过努力，一些间接受影响的地方行政机构员工不必担忧无法领取12月工资和13薪。” 这次勒索软件攻击造成的损害程度难以评估。据意大利媒体《共和国报》报道，Westpole 仅成功恢复了其系统的50%。意大利国家网络安全局表示，鉴于恢复过程缓慢且充满挑战，无法确定该公司能否完全恢复受影响系统。 专家警告称，受影响的公共管理部门可能难以履行某些服务和员工义务。 在 Westpole 遭受攻击的消息曝光后，这家云服务提供商声称，其系统没有数据外泄。然而，如果确定是勒索软件攻击，很难相信像Lockbit 3.0这样的老牌黑客组织会不窃取任何数据。 目前唯一确定的是，Westpole 事件是意大利公共管理部门迄今为止遭受的最严重的网络攻击。 转自安全内参，原文链接：https://www.secrss.com/articles/61962 封面来源于网络，如有侵权请联系删除

“自周一以来，该网站遭受了一些间歇性中断，这可能会影响您的读者体验，以及您对我们相关数字版本和应用程序的访问，”《每日回声》周三写道。 该媒体表示：“这是由一系列被称为‘分布式拒绝服务’（DDOS）的网络攻击引起的。我们已经能够遏制大部分攻击，但一些读者会遇到干扰。” Newsquest Daily Echo 遭到攻击 Newsquest 的 Daily Echo 通知读者，“网络攻击破坏了该报纸的网站、应用程序和数字版本。”图片来自网络新闻。 《每日回声》随后向读者和订阅者保证，在攻击期间没有任何个人数据被访问。 Newsquest 隶属于美国媒体巨头 Gannett，旗下拥有 250 多个本地新闻品牌和杂志。甘尼特发言人将《网络新闻》引回《每日回声》新闻文章以获取其官方声明。 此外，该媒体集团表示其数字受众超过 4100 万，每月还有 700 万纸质读者。 与此同时，英国的 Hold the Front Page (HTFP) 供记者使用的在线新闻网站发布了有关 X 的攻击事件的信息。 据 HTFP 报道，此次攻击影响了内容管理系统，导致网站故障，并导致记者无法上传故事、图像和媒体。 HTFP 看到了周三发给员工的一份 Newsquest 内部备忘录。 声明称：“我们正在讨论这对我们记者的影响，我们正在研究改进上传和管理的方法。” DDoS 攻击：勒索软件的目的 Closed Door Security 首席执行官 William Wright 表示，Newsquest 的攻击与去年 12 月卫报的类似攻击相呼应。 几个月后，《卫报》透露，那次攻击结果是一次“高度复杂的勒索软件攻击”，损害了员工个人信息。 “DDoS 攻击通常不像现在的勒索软件那样受到广泛关注，但这并没有降低它们的严重程度，”Wright 解释道。 “在某些情况下，它们被用来隐藏数据泄露，而有些攻击纯粹是为了让组织停止运营，”他说。赖特告诉网络新闻。 与此同时，Newsquest 现已正式将此次攻击标记为“重大业务连续性事件，并且已向 Gannett 的网络安全事件响应团队发出警报。 声明称：“我们正在继续密切监视事态发展，但攻击现已平息，网站访问也恢复正常。” Barrier Networks 首席技术官 Ryan McConechy 表示，尽管 Newsquest 宣布攻击现已基本得到控制，但媒体公司现在必须调查是否有任何客户或员工数据遭到泄露。 McConechy 还认为，DDoS 攻击可能只是“隐藏更严重事件的烟幕弹”。 “DDoS 攻击通过大量流量使网站离线，是当今企业面临的主要威胁。” McConechy 表示，特别是那些试图发表政治声明或伤害特定组织的黑客活动分子。 “检测 DDoS 攻击的最佳方法是使用监控网络流量并识别意外峰值的技术。当检测到大量流量时，可以在必要时进行调查和阻止，从而阻止 DDoS 攻击。”他补充道。 此外，Wright 指出，物联网设备经常被招募到僵尸网络中来执行 DDoS 攻击，公司可以通过整合物联网安全。 这有助于确保一个组织的物联网设备不会无意中用于对其他组织的攻击，他说。 转自安全客，原文链接：https://www.anquanke.com/post/id/291978 封面来源于网络，如有侵权请联系删除

近日，微软数字犯罪部门查获了越南网络犯罪团伙 Storm-1152 使用的多个域名，该团伙注册了超过 7.5 亿个欺诈账户，并通过在网上向其他网络犯罪分子出售这些账户赚取了数百万美元。 Storm-1152 是一家网络犯罪即服务提供商，也是欺诈性  Outlook  账户以及其他非法 “产品 “的头号销售商，其供应的非法 “产品 “包括绕过微软验证码挑战并注册更多欺诈性微软电子邮件账户的验证码自动解决等多种服务。 Storm-1152 团伙运营 着自己的非法网站和社交媒体网页，并销售欺诈性微软账户和工具，以及一些绕过知名技术平台上的身份验证软件。微软数字犯罪部门总经理Amy Hogan-Burney表示：这些服务提高了犯罪分子在网上实施一系列犯罪和滥用行为的效率。 至少从 2021 年起，Storm-1152 团伙就开始以虚构用户的名义获取了数百万个 Microsoft Outlook 电子邮件账户，然后将这些欺诈账户出售给恶意行为者，用于各种类型的网络犯罪。 据微软威胁情报部门称，许多参与勒索软件、数据盗窃和敲诈勒索的网络组织都曾购买并使用 Storm-1152 提供的账户进行攻击。 例如，出于经济动机的 Storm-0252、Storm-0455 和 Octo Tempest（又名 Scattered Spider）网络犯罪团伙使用Storm-1152欺诈账户渗透到全球各地的组织，并在其网络上部署勒索软件。 据微软估计，由此导致的服务中断造成了数亿美元的损失。 据悉，微软在本案调查中迄今收集到的证据显示，微软电子邮件账户被被告以欺诈手段获得并出售给网络犯罪分子，被微软称为 Storm-0252、Storm-0455 和 Octo Tempest 的有组织网络犯罪团伙用于从事网络犯罪活动，包括电子邮件网络钓鱼诈骗，这些诈骗经常被用作传播勒索软件和其他恶意软件的工具。 Hotmailbox.me 上周四（12 月 7 日），在获得纽约南区法院的命令后，微软查封了 Storm-1152 位于美国的基础设施，并关闭了以下网站： Hotmailbox.me，专门销售欺诈性微软 Outlook 账户的网站 1stCAPTCHA、AnyCAPTCHA 和 NoneCAPTCHA，专门用于销售其他技术平台的身份验证绕过工具等 此外，微软公司还起诉了 Duong Dinh Tu、Linh Van Nguyen（又名 Nguyen Van Linh）和 Tai Van Nguyen，指控他们曾在这些网站上参与网络犯罪活动。 正如诉状中提到的，Storm-1152 团伙管理并开发了被查封网站的代码并参与发布如何使用欺诈 Outlook 账户的视频指南，还向使用其欺诈服务的 “客户 “提供了聊天支持。 Hogan-Burne表示：今天的行动是微软战略的延续，战略的最终目标是捣毁网络犯罪生态系统。 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/386692.html 封面来源于网络，如有侵权请联系删除

美国、波兰和英国的政府机构周三表示，俄罗斯对外情报局 (SVR) 一直在利用今年早些时候捷克软件巨头 JetBrains 的一款热门产品中暴露的一个关键漏洞。 官员们表示，在发现数百台受感染的设备后，他们已通知美国、欧洲、亚洲和澳大利亚的数十家公司。 这些机构将这些攻击归咎于被称为 APT29 的俄罗斯SVR黑客——网络安全研究人员也将其追踪为 CozyBear 或 Midnight Blizzard——并表示这场“大规模”攻击活动于 9 月份开始。 微软此前表示，朝鲜黑客在 9 月份利用了这个标记为 CVE-2023-42793 的漏洞。它影响了名为 TeamCity 的产品，开发人员使用该产品在发布之前测试和交换软件代码。 SVR 已被发现“使用通过利用 TeamCity CVE 收集的初始访问权限来升级其权限、横向移动、部署更多后门，并采取其他步骤来确保对受感染网络环境的持续和长期访问”。 一般来说，除了拥有未打补丁、可通过互联网访问的 JetBrains TeamCity 服务器之外，受害者类型不符合任何类型的模式或趋势，这导致人们认为 SVR 对这些受害者网络的利用本质上是机会主义的，并不一定是恶意的、有针对性的攻击。 受到攻击的组织包括能源贸易协会；提供计费、医疗设备、客户服务、员工监控、财务管理、营销、销售和视频游戏软件的公司；以及网络托管公司、工具制造商以及小型和大型 IT 公司。 据  PRODRAFT 的研究人员称，JetBrains于 9 月 20 日发布了针对该关键漏洞的补丁，但随后发布的技术细节导致一系列勒索软件组织立即利用该补丁。超过 1,200 台未打补丁的服务器被发现容易受到该漏洞的影响。 针对软件开发人员 该通报由 FBI、NSA、美国网络安全和基础设施安全局 (CISA)、波兰军事反情报局 (SKW)、波兰国家网络安全中心 CERT (CERT.PL) 和英国国家网络安全中心 (NCSC) 发布。 他们警告说，对 TeamCity 服务器的访问将“让恶意攻击者能够访问该软件开发人员的源代码、签署证书以及破坏软件编译和部署流程的能力——攻击者可以进一步利用这些访问来进行供应链操作。” 该通报指出，SVR 此前利用SolarWinds 软件中的漏洞进行了类似的攻击，但并未以同样的方式利用其对 TeamCity 漏洞的访问权限。 周三的咨询报告中提出的主要担忧之一是，SVR 可能会从数十名使用 TeamCity 的软件开发人员的网络受到损害中受益。 虽然评估 SVR 尚未使用其对软件开发人员的访问权限来访问客户网络，并且可能仍处于运营的准备阶段，但访问这些公司网络为 SVR 提供了实现难以访问的机会。 任何拥有受影响系统但没有立即应用 JetBrains 补丁的组织都应该假设它们已受到损害并开始调查。 这些机构表示，他们发现 SVR 利用该漏洞窃取文件，从而深入了解受害者的操作系统，并使用多种技术“禁用或彻底杀死端点检测和响应 (EDR) 以及防病毒 (AV) 软件”。 SVR 黑客被发现使用多种定制和开源可用工具和后门。 他们表示：“FBI、CISA、NSA、SKW、CERT Polska 和 NCSC 评估了该活动的范围和不分青红皂白的目标对公共安全构成的威胁，并建议组织实施以下缓解措施，以改善组织的网络安全态势。” 持续十多年的网络行动 这些机构指出，SVR 至少自 2013 年以来就有针对全球公共和私人组织网络的悠久历史。SVR 表现出“一种长期的目标模式，旨在收集并能够收集外国情报，对俄罗斯而言，广义概念涵盖外国政治、经济和军事信息；科学和技术; 和外国反情报组织信息。” 该咨询报告补充说，美国政府于 2016 年 12 月发布了一份报告，强调了 SVR 在美国政党在总统选举前的网络攻击行动中所扮演的角色——指的是民主党全国委员会网络遭到黑客攻击。 中央情报局当时告诉美国立法者，大多数机构认为 SVR 进行黑客攻击是为了帮助唐纳德·特朗普赢得总统职位。SVR还攻击了共和党全国委员会，但没有公布从其网络窃取的信息。 2020 年，黑客还利用定制恶意软件针对参与 COVID-19 疫苗开发的组织和能源公司。 根据该通报，SVR 的黑客目前参与了一项名为“外交轨道者”的活动，涉及针对外交机构的入侵，目标是世界各地的数十个大使馆。 微软官方X（原twitter）发布了自己关于 JetBrains 攻击的通知，指出其之前关于与朝鲜政府有关的多个黑客组织利用该漏洞的警告。 这家科技巨头在调查中表示，发现 SVR 黑客使用 VaporRage 恶意软件。他们呼应了执法部门的建议，他们还看到了凭证盗窃、试图关闭防病毒工具以及更深入地访问受感染系统的行为 转自“会杀毒的单反狗”，原文链接https://mp.weixin.qq.com/s/QW3TVk2KbiRDaKtjVkyvuQ?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

趋势科技的网络安全研究人员分析了几起涉及引入AsyncRAT恶意软件的事件。攻击者利用了Microsoft的合法进程“aspnet_compiler.exe”中的漏洞，该进程专为 ASP.NET 平台上的 Web 应用程序预编译而设计。这使得黑客能够悄悄地下载恶意代码。 AsyncRAT 具有各种远程访问功能，例如键盘记录、桌面管理和静默文件修改。这使其成为执行各种攻击的强大工具。特别是在2023年初，趋势科技专家发现了 AsyncRAT 与勒索软件一起使用的案例。 在所有分析的事件中，攻击的第一阶段是用户下载受密码保护的 ZIP 存档。解压存档后，受害者启动了恶意 WSF 脚本，该脚本又下载了另一个包含其他 AsyncRAT 脚本的 ZIP 存档。 这些脚本最终将 AsyncRAT 有效负载注入到“aspnet_compiler.exe”进程中，允许恶意软件通过收集用户名和密码、计算机数据、防病毒软件和加密钱包等信息来秘密运行。 在检查 AsyncRAT 源代码后，专家发现与GitHub上的开放存储库有相似之处。然而，恶意样本包含额外的功能，这表明攻击者正在对开源代码进行微调以适应他们的目的。 正如专家指出的，动态DNS服务器的使用使攻击者能够快速更改AsyncRAT 控制服务器的IP 地址和域名。这使得它们难以被安全系统检测和阻止。 趋势科技建议组织实施持续监控和快速响应网络安全事件的解决方案，以保护其网络和设备。 如果员工不需要将 PowerShell/WSF/JS 宏和脚本用作标准工作流程的一部分，那么在员工计算机上禁用它们也是一个好主意。一般来说，定期投入时间和资源来改善员工网络卫生是值得的；这将有助于在未来节省更多。   转自安全客，原文链接https://www.anquanke.com/post/id/291862 封面来源于网络，如有侵权请联系删除