近日，一个名为 “AeroBlade “的全新网络间谍黑客组织“浮出水面”。 BlackBerry公司发现该黑客组织以美国航空航天领域的组织为目标，陆续发起了两次攻击：第一次是在2022年9月的一次测试浪潮，第二次是今年7月发起的一次更高级别的攻击。 攻击利用了鱼叉式网络钓鱼和武器化文件实现对企业网络的初始访问，并投放能够列出文件和窃取数据的反向外壳有效载荷。 BlackBerry公司评估后认为，该黑客组织的攻击目标是商业网络间谍活动，旨在收集有价值的信息，可信度为中高。 攻击活动详情 AeroBlade 的首次攻击发生在 2022 年 9 月，它使用带有文档 (docx) 附件的钓鱼电子邮件，利用远程模板注入下载第二阶段的 DOTM 文件。 第二阶段执行恶意宏，在目标系统上创建反向shell，并连接到攻击者的命令和控制（C2）服务器。 向受害者展示的诱饵文件 BlackBerry方面表示，一旦受害者通过手动点击 “启用内容 “引诱信息打开并执行该文件，[redacted].dotm 文件就会谨慎地向系统投放一个新文件并打开它。用户新下载的文件是可读的，这就能够让受害者相信最初通过电子邮件收到的文件是合法的。 AeroBlade的攻击链 反向外壳有效载荷是一个严重混淆的 DLL 文件，它会列出被入侵计算机上的所有目录，以帮助操作员计划下一步的数据盗窃行动。 DLL 文件具有反分析机制，包括沙箱检测、自定义字符串编码、通过死代码和控制流混淆提供反汇编保护，以及通过 API 散列掩盖 Windows 功能滥用。 该有效荷载还通过Windows任务调度程序在系统上建立持久性，添加一个名为“WinUpdate2”的任务，因此在被破坏设备上的立足点在系统重新启动后仍然存在。 早期的DLL有效载荷样本遗漏了2023样本中看到的大多数规避机制，以及列出目录和窃取数据的能力。 这表明黑客在继续改进其工具，以实施更复杂的攻击，而 2022 年的尝试则更侧重于测试入侵和感染链。 在这两次攻击中，最终有效载荷都是连接到相同 C2 IP 地址的反向shell，黑客在网络钓鱼阶段使用了相同的引诱文件。 BlackBerry公司无法确定 AeroBlade 的来源或攻击的确切目的。 但据研究人员推测，其目的是窃取数据进行出售，将其提供给国际航空航天竞争对手，或利用这些信息对受害者进行敲诈勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/385667.html 封面来源于网络，如有侵权请联系删除

一个名为 XDSpy 的网络间谍组织最近以俄罗斯军工企业为目标。 XDSpy 被认为是一个国家控制的威胁组织，自 2011 年以来一直活跃，主要攻击东欧和巴尔干地区的国家。俄罗斯网络安全公司 FACCT 表示，在 11 月份的最新活动中，黑客试图访问一家俄罗斯冶金企业和一家参与导弹开发生产研究机构。 在本周早些时候发布的一份报告中，新加坡网络安全公司 Group IB 的分支机构 FACCT 表示，黑客伪装成专门从事核武器设计的研究机构，向受害者发送网络钓鱼电子邮件。 该组织的策略与之前对俄罗斯公司的攻击如出一辙，其中包括 7 月份针对一家知名研究机构的攻击。在那次事件中，黑客冒充俄罗斯紧急情况部，发送包含恶意 PDF 附件的网络钓鱼信件。研究人员没有透露黑客是否成功渗透系统并窃取数据。 FACCT 声称俄罗斯是 XDSpy 黑客的首要目标。研究人员表示，该组织此前曾针对该国政府、军队和金融机构，以及能源、研究和采矿公司。 尽管该组织已活跃多年，但其对俄罗斯发动攻击的证据有限，特别是考虑到许多外国网络安全公司在俄罗斯入侵乌克兰后撤离了该国。 总部位于斯洛伐克的网络安全公司 ESET自 2020 年以来一直在监控 XDSpy 的活动，研究员 Matthieu Faou 告诉 Recorded Future News，该组织持续开展鱼叉式网络钓鱼活动，主要针对东欧的战略组织。 在退出俄罗斯和白俄罗斯（XDSpy 的两个目标）后，ESET 失去了对这些国家发生的网络攻击的第一手资料。然而，该公司上周表示，它发现该组织对一家乌克兰航空航天公司进行了攻击。 在这次攻击中，乌克兰安全机构没有公开报告，并且很可能不成功，黑客使用了与 FACCT 描述的几乎相同的攻击链。“我们确实同意他们的分析，并将其归因于 XDSpy。”Faou 说。 尽管该组织历史悠久，但研究人员一直无法确定支持该组织的国家。Faou 表示，XDSpy 并不运行特别复杂的工具包，但“它们具有非常不错的运行安全性”。“到目前为止，我们还没有发现任何可能指向特定国家的证据。” “他们投入了大量精力来混淆植入程序，以试图逃避安全解决方案。因此，即使我们能够长期跟踪他们的运营，他们也可能取得了相当大的成功率。”他补充道。 鉴于许多西方公司对该地区计算机系统的了解有限，有关针对俄罗斯的网络攻击的报道很少。 然而，本周有大量来自俄罗斯网络安全公司的报告。除了 XDSpy 的攻击之外，FACCT 还记录了使用DarkWatchman 恶意软件对俄罗斯银行、电信运营商、物流和科技公司进行的网络攻击。黑客将网络钓鱼电子邮件伪装成俄罗斯快递服务公司的时事通讯。这些攻击的结果尚不清楚。 据俄罗斯网络安全公司Positive Technologies称，另一次网络攻击是由一个新的黑客组织Hellhounds发起的，该公司已受到美国制裁，该组织已损害了至少20个俄罗斯组织，包括政府机构、科技公司以及太空和能源企业。 网络安全公司 BI.ZONE 还记录了Rare Wolf 黑客进行的攻击。研究人员表示，自 2019 年以来，该组织已攻击了近 400 家俄罗斯公司。 这些报告没有透露哪些国家是针对俄罗斯的袭击的幕后黑手。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5JwNajkOEeOuqBBgI2eGkA 封面来源于网络，如有侵权请联系删除

Decoy Dog的新修改可以帮助黑客秘密攻击Linux系统。 Positive Technologies 专家中心发现了一个新的网络组织 Hellhounds，该组织已经攻击了至少 20 家俄罗斯公司和政府机构。分析人士注意到攻击者的高度专业性和他们使用的工具的复杂性。 今年 10 月，Positive Technologies 事件调查团队 发现了 一家俄罗斯能源公司使用诱饵狗木马的新修改版进行的攻击，该木马允许人们控制受感染的节点，并在受感染的基础设施中发起攻击。攻击者修改了恶意软件，使其更难以检测和分析，并通过新的遥测功能添加了与操作员（攻击者）交换数据的额外通道。 该公司指出，Decoy Dog 是一种复杂的木马，其最新的修改使其几乎不可见。它在数据流中有效地伪装自己，模仿合法流量，收集 APT 组织感兴趣的数据，并将其上传到一个基于开放 Mastodon 引擎的鲜为人知的社交网络。 黑客使用的工具和方法不允许将他们归类到任何已知的组中。除了公共部门和能源之外，他们还攻击了信息技术、太空、建筑、运输、电信等领域的公司。该组织的目标尚不清楚，但至少已知一例对受害公司造成严重损害的案例。 Positive Technologies 专家表示，该组织攻击成功的原因之一是公司很少在运行Linux 的服务器上使用额外的监控系统和防病毒软件。他们建议更加关注保护基于 Linux 的基础设施。发现的受感染节点再次证实了该操作系统无懈可击且对攻击的敏感性可忽略不计的方法的谬误。   转自安全客，原文链接：https://www.anquanke.com/post/id/291583 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，洛杉矶地区法院判处 25 岁的 Amir Hossein Golshan 八年监禁，并勒令其支付 120 万美元赔偿金。据悉，Golshan 罪名涉及 SIM 卡交换、商家欺诈、支持欺诈、账户黑客攻击和加密货币盗窃。 023 年 7 月 19 日，Golshan 承认曾劫持一位知名社交媒体影响者的 Instagram 账户，还供认出在 2019 年 4 月至 2023 年 2 月期间，实施了一系列诈骗活动。 美国司法部在公告中表示，至少从 2019 年 4 月到 2023 年 2 月开始，Golshan 精心策划、实施了多起在线欺诈活动，通过各种在线骗局和未经授权的非法访问，入侵了多个受害者的数字账户，共诈骗数百名受害者。 此外，公告还披露 Golshan 使用的手段包括社交媒体账户接管、Zelle支付欺诈和冒充苹果支持，几年来，Golshan 的诈骗活动总共给数百名受害者造成了约 74 万美元的损失。 Golshan 通过虚拟 VPN 隐藏身份 从披露的案件详情来看，Golshan 进行欺诈活动时多次试图通过使用 VPN（虚拟专用网络）工具和多个账户名来隐藏自己的身份。随着时间推移，Golshan 逐渐“磨练”了自身“技艺”，成功策划多起越来越复杂的网络犯罪。 Golshan 曾通过社会工程学，成功说服了包括 T-Mobile 在内的运营商将合法用户的手机号码转移到他自己的 SIM 卡上，这使得他可以轻松绕过基于短信的双因素身份验证（2FA），从而劫持受害者的社交媒体账户。 以 2021 年 12 月发生的一起备受瞩目的案件中为例，Golshan 从一位被其劫持的好友的账户联系上了一位洛杉矶模特，并通过 SIM 卡交换劫持了她的 Instagram 账户。 接下来，Golshan 滥用了对该账户的访问权限，给模特的许多朋友发信息，要求他们向其控制的 Zelle 和 PayPal 账户汇款。不仅如此，Golshan还以删除模特的社交媒体账户为要挟，敲诈其 2000 美元。 其他案件中，Golshan 通过宣传 Instagram 验证服务，诱骗受害者向其支付 300 至 500 美元不等的费用，以换取账户上的验证徽章。据估计，通过上述骗局，Golshan 从大约 500 名受害者身上“赚取”了 8.2 万美元。 此后，2022 年 8 月，这名“多产”的骗子 Golshan 冒充苹果公司支持人员，在未经授权的情况下访问苹果 iCloud 账户。Golshan 欺骗受害者，让这些人相信他能够加强账户安全，诱骗受害者“分享出”六位数的安全码，以此轻松绕过现有的保护措施。 通过访问受害者的 iCloud 存储，Golshan 轻松窃取了大量的数字资产，其中主要包括价值 31.9 万美元的 NFT 和价值 7 万美元的加密货币。随后，Golshan 在 NFT 市场上以 13 万美元的价格转售了这些资产。 网络安全专家指出，想要抵御 SIM 卡交换攻击，用户需要激活运营商的号码移植安全功能，使用物理安全密钥或验证器应用程序取代短信验证，并尽量减少在网上共享一些敏感信息。 目前，美国联邦通信委员会（FCC）通过了保护消费者免受 SIM 卡交换攻击的新规定，此举可能会使使欺诈性号码转移变得相对困难。   转自Freebuf，原文链接：https://www.freebuf.com/news/385302.html 封面来源于网络，如有侵权请联系删除

近日，乌克兰国防情报局声称，他们成功进行了网络攻击，入侵了俄罗斯政府的民航局，并获得大量机密文件，其中包括民航局长达一年半的每日报告清单。 这是乌克兰政府首次承认对俄罗斯进行网络攻击。自2022年初俄罗斯入侵以来，亲乌克兰团体和黑客组织曾声明过发起了类似不法攻击事件，包括对航空公司、银行和互联网供应商的袭击等。但国家公开承认黑客攻击还史无前例，针对此次事件，乌克兰政府将其描述为“网络空间的复杂特别行动”。 乌克兰政府称，俄罗斯的民航部门正处于崩溃的边缘。乌克兰政府还公布了几份据称泄露的文件的截图，并列出了从中了解到的一些事实。 据称，2023年1月，俄罗斯民航报告了大约185起事件，其中三分之一被宣布为危险事件。在2023年前9个月，记录了150起飞机故障案例，而2022年同期为50起。乌克兰政府声称，这表明俄罗斯航空最近记录的安全隐患强度增加了两倍。 这还不是全部。俄罗斯在飞机维护方面也遇到了问题，由于乌克兰方的制裁，备件很难外包。现在，该国正在将飞机维修转移到伊朗，但在那里进行此类工作没有相关认证，存在更高的风险和安全隐患。飞机零件的短缺在俄罗斯造成了“飞机自相残杀”，这意味着它正在拆解飞机以修理其他飞机。 目前尚不清楚黑客攻击是何时进行的。俄罗斯的民航局尚未对这些指控做出回应。值得注意的是，这是乌克兰首次承认对俄罗斯目标进行网络行动。国家自豪地宣传他们对对手的网络攻击是很反常的，但就乌克兰而言，这似乎可以理解。因为这一违规操作对俄罗斯航空业造成了重大打击，并引发了对其民用空域安全的担忧。被盗文件可能暴露该国航空交通管制系统的漏洞，并为乌克兰提供有价值的信息。此次黑客攻击的时机至关重要，因为它发生在俄罗斯和乌克兰之间的紧张局势达到顶峰的时候。   转自E安全，原文链接：https://mp.weixin.qq.com/s/leIEYylUZLTYTeO-kp2DCg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客，正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本，通过供应链攻击来瞄准下游客户。 微软威胁情报团队在周三的一份分析报告中表示：“这个恶意文件是一个合法的 CyberLink 应用程序安装程序，已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。” 这家科技巨头表示，病毒文件托管在该公司拥有的更新基础设施上，同时还包括限制执行时间窗口和绕过安全产品检测的检查。 据估计，此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。早在10月20日，就发现了与修改后的 CyberLink 安装文件相关的可疑活动。 与朝鲜的联系源于这样一个事实，即第二级有效载荷与之前被黑客入侵的 C2 服务器建立了连接。 微软进一步表示，他们已经观察到攻击者利用木马化的开源和专有软件来攻击信息技术、国防和媒体部门的组织。 Diamond Sleet与被称为“TEMP.Hermit”和“Labyrinth Chollima”的集群相吻合，这是一个来自朝鲜的伞状组织，也被称为“Lazarus集团”。至少从2013年就开始活跃。 “他们从那时起的行动代表了平壤收集战略情报以造福朝鲜利益的努力，”谷歌旗下的Mandiant上个月指出。“这个黑客的目标是全世界的政府、国防、电信和金融机构。” 有趣的是，微软表示，在发布代号为 LambLoad 的被篡改的安装程序后，它没有在目标环境中检测到任何操作键盘的活动。 武器化的下载和加载器首先检查目标系统中是否存在来自 CrowdStrike、FireEye 和 Tanium 的安全软件，如果不存在，则从伪装成 PNG 文件的远程服务器获取另一个有效载荷。 微软表示：“PNG 文件包含一个嵌入的有效载荷，在一个假的外部PNG标头中进行切断、解密，并在内存中启动。”在执行时，恶意软件进一步尝试联系合法但受损的域，以检索额外的有效载荷。 此前一天，Palo Alto Networks Unit 42团队披露了由朝鲜黑客设计的两项活动，这些活动旨在传播恶意软件，作为虚构工作面试的一部分，并在美国和世界其他地区的组织获得未经授权的就业机会。 上个月，微软还暗示 Diamond Sleet 利用 JetBrains TeamCity的一个关键安全漏洞(CVE-2023-42793)，伺机破坏易受攻击的服务器，并部署一个名为 ForestTiger 的后门。 朝鲜黑客组织(3CX、MagicLine4NX、JumpCloud和CyberLink)发起的软件供应链攻击激增，也促使韩国和英国发布了一份新的咨询报告，警告称此类攻击的复杂性和频率越来越高，敦促各组织采取安全措施，以减少被攻击的可能性。 这些机构表示：“我们观察到，这些行为者利用第三方软件中的零日漏洞，通过供应链进入特定目标或任意组织。这些供应链攻击极大地帮助朝鲜实现创收、间谍活动和窃取先进技术。”     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene

有消息称：美国最大的产权保险公司富达国民金融（Fidelity National Financial）遭黑客攻击，导致原定交易无法进行。经纪人和购房者被迫匆忙寻找解决方案。 11月21日，富达国民金融向美国证券交易委员会（SEC）提交报告，表示正在阻止访问部分系统。这些系统与下列项目相关：“公司提供的产权相关服务，包括房地产保险服务、第三方资金托管服务；抵押交易服务；向房地产和抵押行业提供的技术。” 富达国民金融总部位于美国佛罗里达州杰克逊维尔，是富达国民产权公司、芝加哥产权公司、联邦土地产权公司、阿拉莫产权公司和纽约国民产权公司的母公司。 该公司表示已展开调查，聘请外部网络安全专家，并通知执法部门。 SEC报告称：“根据我们目前的调查结果，富达国民金融已确定未经授权的第三方访问了公司部分系统并获取了某些凭据。我们正在努力解决这一事件，并尽快安全地恢复正常运营。” 据TechCrunch报道，一名了解这一事件的当事人表示，听说富达国民金融“决定关闭他们的网络、系统，甚至他们的电子邮件系统……目的是清理他们在杰克逊维尔的服务器，防止出现任何问题。”这名人士声称在一家与富达金融服务有业务往来的公司工作。 另一位知情人士表示，他们听闻富达国民金融“已经全面封锁”。他声称在一家使用富达国民金融服务的公司从事IT工作。 富达国民金融尚未回应媒体要求提供额外消息的请求。 计划本周买房的购房者不得不等待 与此同时，计划通过富达国民金融在本周完成购房交易的买家们获悉，用于完成交易的系统直到周日才能恢复正常。 Crypton地产公司老板、旧金山经纪人Kate Fomina表示，她有客户原本计划周三完成交易。她说，“交易资金托管方是芝加哥产权公司。他们给我打电话，告诉我出现了安全漏洞，被迫关闭整个系统，全国范围内都是如此。至少到周日之前，结算系统都将处于停止状态。他们无法发起任何转账，也无法提交材料存档。” Fomina表示，对于已准备完成交易的购房者，“银行已经发放贷款。所以，我的买家正在为一套尚未拥有的房屋支付抵押贷款。” 经过与托管人员沟通，对方向她保证将为她的客户解决问题。Fomina表示，“对方告诉我，如果再等一周还无法完成交易，托管公司将承担我买家必须支付的所有抵押贷款。”为了避免出现这种情况，“他们可能会走线下按老办法处理。我不确定，但是我们必须想出办法。” 好在Fomina的买家们并不打算立即搬入新家。Fomina说，“很幸运，老办法可以起作用。”但是，其他计划在感恩节当周进行交易购房者面临的情况更为棘手。Fomina问道，“那些急着完成同类财产交换（类似房屋置换），或者急需套现买东西的人怎么办呢？交易日期非常关键。”   转自安全内参，原文链接：https://www.secrss.com/articles/61049 封面来源于网络，如有侵权请联系删除

最近，前网络安全公司首席运营官 Vikas Singla 已经承认犯有罪行。他在 2021 年 6 月黑入了格威内特医疗中心（GMC）旗下的两家医院，以拉动他所在公司的业务。 检察官在 2021 年 6 月的起诉书中指出，Singla 曾在为医疗行业提供服务的网络安全公司 Securolytics 工作。他承认侵入了位于德卢斯和劳伦斯维尔两地的 GMC Northside Hospital 医院的系统。 在 2018 年 9 月 27 日的攻击中，Singla 破坏了医疗服务机构的电话和网络打印机服务，并从与 GMC 劳伦斯维尔医院的乳房 X 光检查机连接的一台 Hologic R2 Digitizer 数字化设备中窃取了 200 多名患者的个人信息。 同一天，Singla 使用位于德卢斯的 GMC 医院的 200 多台打印机打印了窃取的患者信息，并附上了“WE OWN YOU”（我们控制了你）的信息。他还企图通过宣传这次攻击，包括发布未经授权获得的信息，为 Securolytics 招揽业务。 Singla 在推特上大肆宣传 GMC 黑客活动，公布了 43 名数据被盗的患者的姓名、出生日期和性别。Securolytics 在 Singla 实施攻击后，积极联系潜在客户，强调了 GMC 事件。 负责联邦调查局亚特兰大办事处的特工 Chris Hacker 表示：“这次针对医院的网络攻击不仅可能造成灾难性的后果，还导致患者的个人信息泄露。” Singla 被指控了 17 项故意损坏受保护电脑的罪名和 1 项从受保护电脑获取信息的罪名。检察官表示，被告对 GMC 的 ASCOM 电话系统、打印机和数字化设备的攻击造成了超过 81.7 万美元的经济损失。作为认罪协议的一部分，Singla 现在同意向劳伦斯维尔的格威内特 Northside 医院和 Ace American 保险公司支付超过 81.7 万美元的赔偿金和利息。 考虑到 Singla 被诊断患有一种罕见的、无法治愈的癌症和可能危险的血管疾病，检察官建议判处 57 个月的缓刑，包括家庭拘留，以便他能够得到适当的医疗护理。 法官将在 2024 年 2 月 15 日的量刑听证会上进行判决，可能判处最高 10 年的监禁。此案也涉及到破坏网络的罪名和造成的后果。   转自安全圈，原文链接：https://mp.weixin.qq.com/s/LkjD3qfabMfWmI2dtAlgdw 封面来源于网络，如有侵权请联系删除

一名以色列黑客因参与大规模鱼叉式网络钓鱼活动而在美国被判处 80 个月监禁。 Aviram Azari（52 岁）因参与针对美国和世界各地公司和个人的大规模鱼叉式网络钓鱼活动而因计算机入侵、电信欺诈和严重身份盗窃而被判处 80 个月监禁。该男子于 2019 年 9 月从国外前往美国时被捕。 阿扎里在以色列的家中精心策划了国际雇佣黑客鱼叉式网络钓鱼活动。据司法部称，这名以色列男子获得了超过 480 万美元的犯罪收益 阿扎里在以色列创立了一家名为 Aviram Hawk 或 Aviram Netz 的“情报公司”。该公司帮助其客户管理“项目”，这些项目被官方描述为情报收集工作，但实际上是专门针对某些受害者群体的黑客活动。 “大约从 2014 年 11 月到 2019 年 9 月，AZARI 开展了大规模的鱼叉式网络钓鱼活动，针对美国和全球各地的个人和公司。” 阅读司法部发布的新闻稿。“AZARI 向不同的黑客组织（包括位于印度的一个特定组织）付费，向各个项目的受害者发送鱼叉式网络钓鱼电子邮件。黑客组织向 AZARI 通报了他们的进展情况，包括向他发送了跟踪他们针对特定受害者的黑客活动的列表。黑客还发送了 AZARI 报告，告知他们何时成功访问受害者账户并窃取信息。” 美国司法部透露，AZARI 的黑客项目之一针对的是参与气候变化倡导的个人和组织。该男子及其同伙从受害者的在线帐户中窃取了文件并将其泄露给媒体，从而发表了与纽约州和马萨诸塞州总检察长对埃克森美孚公司有关气候变化的知识进行调查以及埃克森美孚公司在气候变化方面可能做出的错误陈述有关的文章。它了解气候变化的风险，目标实体还包括对冲基金和记者。 调查人员获得了针对 Azari 目标的 100 次成功攻击的证据，但专家认为，被黑客攻击的实体数量可能高出 100 倍。 该男子还被判处额外三年监管释放，并没收他通过该计划赚取的 484 万美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/291436 封面来源于网络，如有侵权请联系删除

据观察，与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。 乌克兰国家安全与国防委员会 (NDSC) 报告称，APT29（又名 SVR 组织、  Cozy Bear、  Nobelium、  Midnight Blizzard和 The Dukes）在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。 APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。 据观察，与俄罗斯相关的 APT 组织使用了特制的 ZIP 存档，该存档在后台运行脚本以显示 PDF 诱饵，同时下载 PowerShell 代码以获取并执行有效负载。 APT 组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。 威胁行为者使用了一份诱饵文件（“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中包含可供出售给外交实体的宝马汽车的图像。武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。 “在这次特定攻击的背景下，会执行一个脚本，生成一个以待售宝马汽车为主题的 PDF 文件。同时，在后台，从下一阶段有效负载服务器下载并执行 PowerShell 脚本。” 阅读NDSC 发布的报告。“值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。” 在这个攻击方案中，Ngrok 被用来托管他们的下一代 PowerShell 有效负载并建立隐蔽的通信通道。 威胁行为者使用该工具来混淆与受感染系统的通信并逃避检测。 “这次活动特别值得注意的是新旧技术的结合。APT29继续采用宝马汽车待售的诱惑主题，这种策略在过去就已经出现过。然而，CVE-2023-38831 WinRAR 漏洞的部署是一种新颖的方法，揭示了它们对不断变化的威胁形势的适应性。此外，他们使用 Ngrok 服务建立秘密通信强调了他们保持隐蔽的决心。” NDSC 得出结论，还发布了这些攻击的危害指标 (IoC)。 今年 4 月，谷歌观察到与俄罗斯相关的 FROZENBARENTS  APT（又名 SANDWORM）冒充乌克兰无人机培训学校来运送 Rhadamanthys 信息窃取者。 威胁行为者使用诱饵主题作为加入学校的邀请，该电子邮件包含指向匿名文件共享服务 fex[.]net 的链接。文件共享服务被用来提供良性诱饵 PDF 文档，其中包含无人机操作员培训课程和特制的 ZIP 存档（“Навчальна-програма-Оператори.zip”（培训计划操作员）），该文档利用了缺陷 CVE-2023-38831 。 9 月，CERT-UA 观察到 FROZENLAKE 组织利用 WinRAR 缺陷在针对能源基础设施的攻击中部署恶意软件。 Google TAG 专家还观察到与俄罗斯有关的 ATP28 组织利用该漏洞攻击乌克兰用户。国家资助的黑客利用恶意 PowerShell 脚本 (IRONJAW) 窃取浏览器登录数据和本地状态目录。     转自安全客，原文链接：https://www.anquanke.com/post/id/291429 封面来源于网络，如有侵权请联系删除