据安全公司SentinelOne的调查分析，一个由印度雇佣的黑客组织十多年来一直以美国、中国、缅甸、巴基斯坦、科威特等国家为目标，进行广泛的间谍、监视和破坏行动。 根据分析，该组织名为Appin Software Security（又名 Appin Security Group，以下简称Appin），最初是一家提供攻击性安全培训计划的教育初创公司，但至少从 2009 年起就开展秘密黑客行动。SentinelOne 安全人员汤姆·黑格尔 (Tom Hegel)在近期发布的综合分析中表示：“该组织针对高价值个人、政府组织和其他涉及特定法律纠纷的企业进行了黑客行动。” 该调查结果基于路透社获得的非公开数据，路透社指责 Appin 策划针对政治领导人、国际高管、体育人物的数据盗窃。作为回应，该公司否认了其与雇佣黑客业务的联系。 Appin 被指提供的一个核心服务是名为“MyCommando”（又名 GoldenEye 或 Commando）的工具，该工具允许客户登录查看和下载活动特定数据和状态更新、安全通信，并提供从开源研究到社会工程再到特洛伊木马活动的多种任务选项。 在早期活动中，Appin被指参与了针对中国和巴基斯坦的攻击，2013 年， Appin 还被确定为macOS 间谍软件 KitM 的幕后黑手。此外，SentinelOne 表示还发现了针对印度国内目标的实例，其目的是窃取印度和美国锡克教徒的电子邮件帐户。 黑格尔指出，在一次不相关的活动中，该组织还使用域名 speedaccelator[.]com 作为 FTP 服务器，托管在其恶意网络钓鱼电子邮件中使用的恶意软件，其中一个恶意软件后来被用于ModifiedElephant APT以针对印度国内的目标。 除了利用来自第三方的大型基础设施进行数据泄露、命令与控制 (C2)、网络钓鱼和设置诱饵站点外，据说这个神秘的组织还依赖 Vervata、Vupen 和 Core Security 等私营供应商提供的间谍软件和漏洞利用服务。 在另一个值得注意的策略中，Appin 被发现利用位于美国加利福尼亚州的自由职业者平台 Elance（现名 Upwork），从外部软件开发商那里购买恶意软件，同时还利用内部员工开发定制的黑客工具集。 黑格表示：“研究结果体现了该组织具有非凡的韧性，在代表不同客户成功实施攻击方面有着良好记录。”   转自Freebuf，原文链接：https://www.freebuf.com/news/384405.html 封面来源于网络，如有侵权请联系删除

据了解，一家安全供应商对路透社调查记者获得的非公开数据进行了长达 11 个月的审查，证实了之前的报道，即印度雇佣黑客组织与全球范围内针对个人和实体的众多（具有破坏性的）网络间谍和监视事件有关。总部位于新德里的神秘组织 Appin 目前已不复存在。但从 2009 年左右开始的几年里，Appin 明目张胆地侵入了世界各地企业和企业高管、政治家以及政府和军事官员的计算机。直到今天，其成员仍然积极参与衍生活动。全球范围内的黑客攻击该公司的客户包括私家侦探、侦探、政府组织、企业客户，以及来自美国、英国、以色列、印度、瑞士等国家实体。 路透社记者从多个来源收集了有关其运营和客户的详细信息，包括连接到名为“MyCommando”的 Appin 网站的日志。Appin 客户使用该网站从路透社描述的一系列选项中订购服务，用于侵入目标实体的电子邮件、电话和计算机。 路透社在其报告中提到，此前的调查已将 Appin 与其中一些事件联系起来，例如 Telenor 事件。 近乎确凿的证据 路透社委托 SentinelOne 对数据进行的审查进一步证实了这种联系。这家网络安全公司对路透社记者收集的数据进行了详尽的分析，显示 Appin 与众多数据盗窃事件之间有近乎确定的联系。其中包括窃取巴基斯坦政府官员的电子邮件和其他数据。 SentinelLabs 首席威胁研究员 Tom Hegel 表示：“该组织目前的状况与十年前有很大不同。我们研究中的最初实体‘Appin’已经不复存在，但可以被视为当今几家黑客雇佣企业的鼻祖。” 基础设施采购 SentinelOne 的审查显示，Appin 经常使用第三方外部承包商来获取和管理其用于代表客户实施攻击的基础设施。Appin 操作人员基本上会要求承包商购买具有特定技术要求的服务器。承包商将为 Appin 购买的服务器类型包括用于存储泄露数据的服务器；命令和控制服务器、托管用于凭证网络钓鱼的网页的服务器以及托管旨在引诱特定目标受害者的网站的服务器。 Appin 高管利用内部员工和位于加利福尼亚州的自由门户网站 Elance（现称为 Upwork）来寻找程序员来编写恶意软件和漏洞利用程序。例如，雇佣黑客组织在攻击 Telenor 时使用的 USB 传播器工具就是一位这样的 Elance 自由职业者的作品。在 2009 年的招聘启事中，Appin 将其正在寻找的工具描述为“高级数据备份实用程序”。该公司为该产品支付了 500 美元。 SentinelOne 表示：“十多年前，向客户提供的进攻性安全服务包括通过多种技术形式窃取数据，通常在内部称为‘拦截’服务。其中包括键盘记录、帐户凭据网络钓鱼、网站篡改和 SEO 操纵/虚假信息。” Appin 还可以满足客户的请求，例如按需破解被盗文档的密码。 在审查期间，印度私营部门的雇佣黑客行业表现出了显着的创造力，尽管在特定时期还具有一定的技术基础。 在这个时代，该行业以创业方式运作，通常选择具有成本效益且简单的进攻能力，尽管这些攻击者的行动规模相当大，但他们通常不属于高度复杂的攻击者，特别是与成熟的高级持续威胁 (APT) 或犯罪组织相比。   转自E安全，原文链接：https://mp.weixin.qq.com/s/CwVECpkIO-NUjQXvVOIZpg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 继Sandworm 和 APT28(俗称 Fancy Bear)之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。 APT29 组织以不同的名称被追踪，包括：UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm，并以出售宝马汽车为诱饵瞄准大使馆。 CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作 .rar 和 .zip 文件，这些文件可以在攻击者的后台代码中执行。 自4月以来，该漏洞已被攻击者作为零日漏洞利用，目标是加密货币和股票交易论坛。 在本周的一份报告中，乌克兰国家安全和国防委员会(NDSC)表示，APT29 一直在使用恶意 ZIP 存档，在后台运行脚本来显示 PDF 诱惑，并下载并执行有效载荷的 PowerShell 代码。 恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，目标是欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。 来自 APT29 的宝马汽车广告带有 WinRAR 漏洞 APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官，该活动通过 HTML 走私技术提供 ISO 有效载荷。 乌克兰NDSC表示，在这些攻击中，APT29 将旧的网络钓鱼策略与一种新颖的技术相结合，以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。 在这种策略中，他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务，通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法，攻击者设法隐藏他们的活动并与受损系统通信，而不会有被检测到的风险。 自从网络安全公司 Group-IB 的研究人员报告称，WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后，高级威胁参与者开始将其纳入攻击中。 ESET的安全研究人员发现，今年8月，俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体发起了攻击。 俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体 乌克兰 NDSC 表示，观察到的来自 APT29 的活动之所以突出，是因为它混合了新旧技术，例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。 这份来自乌克兰机构的报告提供了一组入侵指标，包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值，以及域名和电子邮件地址。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

黑客声称对以色列的基础设施进行了攻击，其中包括以色列航空公司，据称机密和内部文件在网上泄露。 11 月 16 日，代号为 SiegedSec 的黑客组织在他们的通讯频道上发帖称，他们入侵了以色列航空公司，并在网上泄露了该公司的内部机密文件。该航空公司总部位于特拉维夫，运营飞往欧洲和亚洲的国内国际航班。 SiegedSec 分享了一张屏幕截图，看起来像是包含多个文档的 Israir 管理平台的仪表板。在帖子中，黑客还分享了据称属于该公司的 1.4GB 数据的链接。 泄露的数据包括以色列航空公司的报告、法律文件、许可证、证明、保险文件、飞行许可证和内部程序。截至撰写本文时，该航空公司尚未回复置评请求。 同一个攻击者声称已经破坏了以色列政府的设备。“我们已经断开了许多设备，例如警报器、温度传感器等 ，我希望以色列农业部感谢我们的礼物。”SiegedSec 写道。 该团伙还声称“影响”了 Shufersal 连锁超市的系统。Shufersal 在以色列设有 395 家分支机构，拥有 16,600 名员工。 该公司和农业部尚未回应置评请求。 11 月 14 日，另一名代号为 Abnaa AlSaada（可能来自也门）的攻击者声称他们接管了铝制造公司 Profal 的运营。黑客在其 Telegram 频道上分享了工厂生产线操作仪表板的屏幕截图。 Cybernews 无法独立核实这些说法。截至撰写本文时，该公司的网站已关闭。Profal 尚未回应置评请求。 自以色列和巴勒斯坦战争爆发以来，双方都遭遇了黑客组织对数字战场的定向攻击。亲巴勒斯坦黑客广泛针对以色列的许多公司和组织。 AnonGhost 针对“红色警报”应用程序发送虚假的核攻击威胁，亲俄黑客团伙“匿名苏丹”攻击了《耶路撒冷邮报》网站，声称针对以色列的防空系统“铁穹”。俄罗斯黑客Killnet还对以色列政府网站发起了分布式拒绝服务 (DDoS) 攻击。 亲以色列的黑客活动分子印度网络部队已经摧毁了哈马斯的官方网站。其他亲以色列帮派包括 SilenOne、Garuna Ops 和 Team UCC Ops。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rdsnDy0QU6UQGEslYa2L4w 封面来源于网络，如有侵权请联系删除

乌克兰政府网络安全研究人员发现，俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。 这些攻击归因于臭名昭著的黑客组织 APT29，也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局（SVR）联系起来，该机构负责收集其他国家的政治和经济情报。 乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略，特别是在四月份针对基辅大使馆的行动中。 NCSCC 表示，最近的行动“主要目标是渗透使馆实体”，其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。NCSCC 表示，另一个受害者是希腊主要互联网提供商 Otenet。 研究人员表示，外交账户，尤其是与阿塞拜疆和意大利外交部相关的账户，受到的影响最大。一个可能的原因是俄罗斯情报部门试图收集有关阿塞拜疆战略活动的信息，特别是导致阿塞拜疆入侵纳戈尔诺-卡拉巴赫地区的信息。 APT29 的攻击活动总共针对 200 多个电子邮件地址，但尚不清楚有多少次攻击成功。 战术和技术 APT29 利用了Windows 文件归档工具 WinRAR 中最近发现的漏洞。该漏洞被识别为 CVE-2023-3883，在 2023 年初被国家背景的黑客组织利用，然后才得到修补。该工具的未修补版本仍然容易受到攻击。 NCSCC 表示，该漏洞仍然“构成重大威胁”，因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。 在最近的活动中，Cozy Bear 向受害者发送了包含 PDF 文档链接和利用该漏洞的恶意 ZIP 文件的网络钓鱼电子邮件，可能会授予攻击者访问受感染系统的权限。 为了说服目标打开恶意文件，黑客创建了电子邮件，声称拥有有关外交宝马汽车销售的信息。今年春天，该组织在袭击基辅大使馆时也使用了同样的诱饵。 研究人员表示，在这次活动中，攻击者引入了一种与恶意服务器通信的新技术。特别是，他们使用了一种名为 Ngrok 的合法工具，该工具允许用户将其本地服务器公开到互联网。 Ngrok 通常在 Web 开发和测试过程中用于为本地 Web 服务器提供临时公共 URL，但网络犯罪分子部署它是为了混淆他们的活动并与受感染的系统进行通信，同时逃避检测。 NCSCC 表示，通过以这种方式利用 Ngrok 的功能，攻击者可以使网络安全分析进一步复杂化，并保持在雷达之下，从而使防御和归因更具挑战性。 Cozy Bear 之前的攻击 乌克兰战争期间，APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。 例如，四月份，该组织针对北约国家、欧盟以及“在较小程度上”非洲的外交部和外交实体发起了一场间谍活动。 黑客的策略与 9 月份的攻击活动中使用的策略类似。特别是，他们向特定人员发送冒充欧洲国家大使馆的网络钓鱼电子邮件，通常在邮件正文或附件 PDF 中包含恶意链接，邀请目标外交官访问大使的日历。 APT29 因战前几起备受瞩目的事件而受到指责，其中包括2020 年SolarWinds供应链攻击，该攻击影响了全球数千个组织，并导致了一系列数据泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XHHuyhAtNyoJWFQQHHKFTA 封面来源于网络，如有侵权请联系删除

Resecurity, Inc.（美国）保护全球主要财富 100 强和政府机构，发现针对能源行业（包括核设施和相关研究实体）的勒索软件运营商数量惊人增加。去年，勒索软件攻击者瞄准了北美、亚洲和欧盟的能源设施。据《商报》报道，在欧盟，2022 年针对能源行业的勒索软件攻击比前一年增加了一倍多，截至 10 月份防御者记录了 21 起攻击。 Resecurity 的研究深入探讨了美国国土安全部在最近发布的情报企业国土威胁评估中引用的独特勒索软件趋势。根据国土安全部的报告，“2020 年 1 月至 2022 年 12 月期间，美国已知的勒索软件攻击数量增加了 47%”。该机构还指出，“勒索软件攻击者在 2023 年上半年在全球勒索了至少 4.491 亿美元，预计将迎来第二个最赚钱的年份。” 针对能源部门和关键基础设施的勒索软件攻击不断升级，这是一个不容忽视的趋势。随着BlackCat/ALPHV、Medusa 和 LockBit 3.0 等至少十几个复杂组织加强对这些高风险目标的关注，威胁形势变得越来越危险。这些威胁行为者并不是孤立行动的；它们得到了由地下接入经纪人和工具开发商组成的蓬勃发展的生态系统的支持，这些经纪人和工具开发商为渗透和利用关键基础设施中的这些基本系统提供了必要的杠杆作用。 这些团体和个人行为者之间的合作清楚地表明了能源行业的战略重要性，该行业被视为高价值数据的金矿，在某些情况下最高支付的赎金超过 5,000,000 美元。Resecurity 发现了多起针对核运营商的袭击事件，这是国家安全主要关注的领域。 展望 2024 年，Resecurity 分析师预计，有针对性的网络威胁将显着增长，特别是勒索软件组织越来越优先考虑能源行业及其供应链内的高价值目标。 报告“针对能源行业的勒索软件攻击呈上升趋势——核能、石油和天然气是 2024 年的主要目标”中有证据表明核能公司正在成为勒索团体的优先目标。     转自安全客，原文链接：https://www.anquanke.com/post/id/291368 封面来源于网络，如有侵权请联系删除

伊朗国家级行动者被观察到使用一种以前未记录的命令与控制（C2）框架，名为MuddyC2Go，作为针对以色列的攻击的一部分。 Deep Instinct安全研究员Simon Kenin在周三发布的技术报告中表示：“该框架的Web组件是用Go编程语言编写的。”该工具被归因于MuddyWater，这是一个与伊朗情报和安全部（MOIS）有关的伊朗国家级支持的黑客团队。 这家网络安全公司称，该C2框架可能从2020年初开始被威胁行为者使用，最近的攻击利用它代替了PhonyC2，这是MuddyWater的另一个自定义C2平台，于2023年6月曝光并泄露了其源代码。 多年来观察到的典型攻击序列包括发送带有恶意软件的压缩文件或伪造链接的钓鱼邮件，这些链接会导致合法远程管理工具的部署。远程管理软件的安装为传递其他有效载荷（包括PhonyC2）铺平了道路。 MuddyWater的作案手法已经得到改进，使用密码保护的压缩文件来规避电子邮件安全解决方案，并分发可执行文件而不是远程管理工具。 “这个可执行文件包含一个嵌入的PowerShell脚本，它会自动连接到MuddyWater的C2，消除了操作员手动执行的需要，” Kenin解释道。 作为回报，MuddyC2Go服务器发送一个PowerShell脚本，每10秒运行一次，并等待操作员的进一步命令。尽管MuddyC2Go的全部功能尚不清楚，但它被怀疑是一个负责生成PowerShell有效载荷以进行后渗透活动的框架。 “如果不需要，我们建议禁用PowerShell，” Kenin说道。”如果启用了PowerShell，我们建议密切监控PowerShell的活动。”       转自Freebuf，原文链接：https://www.freebuf.com/news/383617.html 封面来源于网络，如有侵权请联系删除

俄罗斯国家黑客通过采用陆上技术改进了破坏工业控制系统的方法，这些技术能够以更少的资源更快地达到攻击的最后阶段。 安全研究人员强调，这一变化为更难以检测的攻击打开了大门，而且工业控制系统 (ICS) 不一定需要复杂的恶意软件。 用于发送命令的本机二进制文件 去年，“沙虫”威胁组织在一次攻击中攻破了乌克兰的一个关键基础设施组织，该攻击仅用了不到四个月的时间就达到了最后阶段，由于对全国关键设施的导弹袭击，停电情况加剧了一倍。 Sandworm 是一个至少从 2009 年开始活跃的黑客组织，与俄罗斯总参谋部主要情报局 (GRU) 有联系。它专注于针对工业控制系统（ICS）并从事间谍活动和破坏性网络攻击。 2022 年底，谷歌旗下 Mandiant 的事件响应人员对乌克兰发生的一次破坏性网络攻击（他们将其归因于 Sandworm）做出了响应，并分析了策略、技术和程序。 研究人员确定，Sandworm 至少从 2022 年 6 月开始入侵，并通过托管 MicroSCADA 服务器的管理程序获得了对操作技术 (OT) 环境的访问权限，从而实现了整个配电系统的集中控制和自动化操作。 “根据横向移动的证据，攻击者可能可以访问 SCADA 系统长达三个月”。尽管目前初始攻击媒介仍未知，但研究人员指出，沙虫活动首次在 2022 年 6 月被观察到，当时Neo-REGEORG Webshell 部署在公共互联网上暴露的服务器上。 一个月后，黑客执行了基于 Golang 的 GOGETTER 隧道程序，以使用Yamux开源库代理命令和控制 (C2) 服务器的加密通信。 这次袭击导致了两起破坏性事件。其中一次是 2022 年 10 月 10 日的一次停电，当时 Sandworm 使用 ISO CD-ROM 映像文件运行本机 MicroSCADA 实用程序scilc.exe，可能会运行关闭变电站的恶意命令。 加载 ISO 映像是可能的，因为运行 MicroSCADA 的虚拟机启用了自动运行功能，允许物理或虚拟 CD-ROM（例如 ISO 文件）自动运行。 破坏性沙虫攻击的各个阶段 scilc.exe 实用程序是 MicroSCADA 软件套件的一部分，Sandworm 使用它来运行 SCIL（MicroSCADA 的高级编程语言）命令，服务器将这些命令中继到变电站中的远程终端单元（RTU – 现场设备）。 根据研究人员的发现，受感染的 MicroSCADA 服务器运行的是一个已停产的软件版本，该版本允许默认访问 SCIL-API。 在攻击中使用本机二进制文件 (LoLBin) 表明黑客转向依赖更轻量级和通用工具的离地 (LoL/LOTL) 技术，这使得威胁活动更难以检测。 ISO文件里面至少有以下三个文件： “lun.vbs”，运行 n.bat “n.bat”，可能运行本机scilc.exe实用程序 “s1.txt”，可能包含未经授权的 MicroSCADA 命令 研究人员发现lun.vbs脚本的时间戳为9月23日，这表明黑客自初始访问阶段以来有大约两个月的时间来开发他们的OT能力。 破坏性OT事件的执行链 第二次破坏性事件发生在 2022 年 10 月 12 日，当时 Sandworm 部署了新版本的CADDYWIPER数据破坏恶意软件，这可能是为了进一步破坏环境并消除攻击痕迹。 “但是，我们注意到擦除器部署仅限于受害者的 IT 环境，不会影响虚拟机管理程序或 SCADA 虚拟机。” 研究人员指出，这一行为很不寻常，因为威胁行为者已经从 SCADA 系统中删除了其他取证工件。他们认为这可能表明“参与攻击的不同个人或行动小组之间缺乏协调”。 攻击调查过程中发现的线索表明，黑客至少在攻击发生前三周就做好了破坏系统的准备。 没有足够的证据支持这一理论，但研究人员认为，沙虫可能等待了一个特定的时刻来完成任务。 “袭击的最终实施恰逢对乌克兰多个城市的关键基础设施进行为期多天的协调导弹袭击 ，其中包括受害者所在的城市。” Sandworm 不需要定制恶意软件 在今天发布的报告中，Mandiant 强调，攻击中使用的技术“表明俄罗斯进攻性 OT 武器库日益成熟”，这意味着识别新 OT 威胁向量、开发新功能以及利用不同类型 OT 基础设施的能力增强对于他们的攻击。 结合向离地生活技术的转变，研究人员认为 Sandworm 很可能能够对不同供应商的 OT 系统进行攻击。 谷歌云 Mandiant 新兴威胁和分析主管 Nathan Brubaker 告诉 BleepingComputer，Sandworm 在乌克兰境外的威胁活动不会受到其能力的限制，而是受到攻击动机的引导。 研究人员表示，这种攻击的新颖之处在于其敏捷性，这将使 Sandworm 能够“比某些复杂的 ICS 恶意软件更容易地攻击其他环境”。 Brubaker 强调，Sandworm 并未使用自定义恶意软件进行攻击的 OT 部分，而是采用了 LoL 二进制文件，这需要 OT 专业知识并了解目标工业流程，而攻击中使用的技术（本例中为 MicroSCADA）不太引人注目。 “沙虫没有理由不能在另一个环境中使用不同的技术复制类似类型的攻击，”布鲁贝克总结道。 Mandiant 的报告包括妥协指标、YARA 规则、强化 SCADA 管理主机的指南以及可帮助防御者检测 Sandworm 在 ICS 环境中的活动并减轻威胁的建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/291329 封面来源于网络，如有侵权请联系删除

Predator AI ChatGPT 集成给云服务带来风险。 该恶意工具专门针对云服务而设计，并集成了人工智能 (AI) 技术，特别是在 Python 脚本中实现的 ChatGPT 驱动类。 GPTj 类的包含添加了一个类似聊天的文本处理界面，以便与该工具的功能进行交互。这种集成旨在减少对 OpenAI API 的依赖，同时简化 Predator AI 的功能。 Predator AI 拥有超过 11,000 行代码，使用基于 Tkinter 的图形用户界面 (GUI)。它包含处理不同功能的各种类，包括 Web 应用程序安全扫描和与云服务的集成。 该工具主要通过与黑客社区相关的 Telegram 渠道分发。其核心功能是促进对常用技术的 Web 应用程序攻击，包括 WordPress 等内容管理系统和 AWS SES 等云电子邮件服务。 值得注意的是，Predator AI 与AlienFox和 Legion 云垃圾邮件工具集等其他工具集有相似之处，因为它们将公开可用的代码重新用于恶意目的。 根据SentinelLabs 周二发布的公告，该工具正在积极维护并接收更新，最近添加了 Twilio 帐户检查器。开发人员强调，该工具用于教育目的，并阻止非法使用。 SentinelLabs 澄清说：“虽然 Predator AI 可能有一定的功能，但这种集成并不会大幅提高攻击者的能力。” “该功能尚未在活跃黑客组织的 Telegram 频道上宣传，并且可能存在许多边缘情况，导致其不稳定且可能昂贵。” 可以通过维护最新的系统、限制互联网访问和使用云安全态势管理工具来减轻此类工具带来的风险。 SentinelLabs 还建议实施专门的日志记录和检测机制来识别云服务提供商 (CSP) 资源中的异常活动，包括快速添加新用户帐户和立即删除现有帐户。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zhpEAmg28EQWZbC5itWpTg 封面来源于网络，如有侵权请联系删除

曹县官方背景的黑客组织 BlueNoroff 正在利用影响 macOS 的恶意软件瞄准金融机构。 安全公司 Jamf 的研究人员在一份新报告中表示，一个名为BlueNoroff 的高级持续威胁组织正在针对加密货币交易所、风险投资公司和银行发起出于经济动机的攻击。 美国财政部认为BlueNoroff APT 黑客是 Lazarus 的一个子组织，Lazarus 是研究人员和政府追踪的最臭名昭著的曹县政府黑客。 Jamf 威胁实验室的研究人员将最新的活动与他们之前称为“Rustbucket”的活动进行了结合，涉及可以利用 Mac 设备的恶意软件。 研究人员表示：“大多数恶意软件都非常复杂，而这种恶意软件似乎有点懒惰，功能很少。” “从代码角度来看，该恶意软件与我们所知的其他恶意软件并不直接相似。话虽这么说，因为它很简单，所以没有什么可挑剔的。代码中包含的域以及它能够接收和执行来自该域的命令是主要的危险信号。” 研究人员在发现尚未提交到 VirusTotal（恶意软件存储库）的恶意软件后对此产生了兴趣。日本和美国在 9 月和 10 月开始调查该恶意软件。 他们发现了其他引起他们兴趣的线索，包括与一个似乎与加密货币公司相关的域进行通信的事实。Jamf 威胁实验室表示，BlueNoroff 通常“创建一个看起来属于合法加密公司的域名，以便融入网络活动。” 在本例中，该组织正在与 swissborg[.]blog 域名进行通信，该域名是 5 月31 日注册的加密货币交易所 swissborg.com/blog 的山寨品。 “这里看到的活动与我们在 Jamf 威胁实验室追踪的 Rustbucket 活动中从 BlueNoroff 看到的活动非常一致，在该活动中，攻击者接触到目标，声称有兴趣与他们合作，或者在伪装下为他们提供一些有益的东西。”他们说。 目前尚不清楚黑客是如何获得初始访问权限的，但他们怀疑恶意软件是通过社会工程攻击传播的。然后，它会在攻击的后期使用，并提供有关 macOS 设备等的信息。 Menlo Security 的网络安全专家 Ngoc Bui 指出，该组织此前曾使用冒充招聘人员的网络钓鱼电子邮件，通过后门恶意软件感染目标，这些恶意软件可以窃取数据并远程控制受感染的系统。 “Jamf 威胁实验室发现的新恶意软件菌株意义重大，因为它表明 BlueNoroff 正在继续开发新的复杂恶意软件。Bui 表示，该恶意软件在上传时未被 VirusTotal 检测到，这一事实表明 BlueNoroff 正在采取措施逃避检测。他补充说，这种病毒很危险，因为它被伪装成合法软件。 2019 年，美国财政部对该组织实施了制裁，并表示 BlueNoroff“由曹县政府成立，旨在非法赚取收入，以应对全球制裁力度加大。” 美国财政部表示：“Bluenoroff 代表曹县政权以网络抢劫的形式对外国金融机构进行恶意网络活动，以赚取收入，部分用于其不断发展的核武器和弹道导弹计划。” “网络安全公司早在 2014 年就首次注意到这个组织，当时曹县的网络活动除了获取军事信息、破坏网络稳定或恐吓对手之外，还开始关注经济利益。” 美国财政部表示，到 2018 年，该组织已试图从目标窃取超过 11 亿美元，并对孟加拉国、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾、土耳其、智利和越南的银行进行了攻击。 其中最引人注目的攻击之一包括从孟加拉国中央银行纽约联邦储备银行账户中盗窃 8000 万美元。 俄罗斯安全公司卡巴斯基表示，BlueNoroff 与俄罗斯、波兰、斯洛文尼亚、乌克兰、捷克共和国、中国、印度、美国、香港、新加坡、阿联酋和越南的加密货币公司遭受的多起黑客攻击有关。 该组织被指控在 2021 年从 bZx DeFi 平台窃取了 5500 万美元，东北亚某国黑客组织被指控从全球受害者那里窃取了相当于数十亿美元的资金。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ZVANxN1unmO9YTfzZ4-bAw 封面来源于网络，如有侵权请联系删除