Hackernews 编译，转载请注明出处： 安全咨询巨头Kroll披露了员工因SIM卡调换攻击而导致的数据泄露事件。 安全咨询公司Kroll透露，黑客针对其一名员工的SIM卡进行调换攻击，导致多个加密货币平台的用户信息被盗。Kroll正在为受影响的组织管理正在进行的破产程序，包括BlockFi、FTX和Genesis。 2023年8月19日，这家咨询公司意识到攻击者瞄准了属于其员工的T-Mobile电话号码。该公司将此次攻击定义为“高度复杂的‘SIM卡调换’攻击”。 “我们最近被告知，在2023年8月19日星期六，一名网络攻击者瞄准了一个属于Kroll员工的T-Mobile账户。具体来说，T-Mobile在没有获得Kroll或其员工的授权或与他们联系的情况下，应黑客的要求，将该员工的电话号码转移到了他们的手机上。”Kroll发表的声明中写道，“因此，攻击者获得了包含BlockFi, FTX和Genesis事务中破产索赔人个人信息的某些文件。我们立即采取了行动保护这三个受影响的公司，并已通过电子邮件通知受影响的个人。” 该公司立即对该事件展开调查，并通知了联邦调查局。该公司指出，他们没有证据表明他们的系统或账户受到了影响。 Kroll遭遇的安全漏洞可能暴露了个人数据。媒体暗示，攻击者可能已经在网络钓鱼攻击中滥用被盗数据。 SIM卡调换攻击会影响任何与BlockFi、FTX或Genesis有财务关系的人。 多名读者表示，他们收到了来自Kroll的违规通知，他们也分享了收到的网络钓鱼邮件。这些邮件欺骗了FTX，并声称:“您已被确定为合格客户，可以开始从您的FTX账户中提取数字资产。”krebsonsecurity发布的一篇帖子写道。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

KillNet黑客组织自豪地声称对乌克兰三大加油站网络的网站遭受的有针对性的网络攻击负责。据称其对200个加油站进行了网络攻击并导致了瘫痪。这些加油站网络攻击再次加剧了俄罗斯和乌克兰之间持续的数字冲突，令安全专家和当局保持高度警惕。这些加油站网络攻击背后的动机仍然笼罩在神秘之中，因为这一与俄罗斯有关的组织尚未透露其行动的明确意图。这一事件加剧了两国之间网络战格局的一系列在线冲突。 随着黑客的其他帖子浮出水面，尽管目标加油站的完整列表仍未披露，但黑客已经挑选出三名主要受害者来展示他们的能力并发送信息。 奇怪的是，这次袭击恰逢乌克兰独立日，具有象征意义。黑客在他们的暗网频道上发帖纪念这一时刻，该帖子宣称：“作为我们团队为纪念乌克兰独立日的礼物——坚持住！袭击乌克兰的 3 个大型加油站网络。” 加油站网络攻击中列出的三名受害者是SOCAR Energy Ukraine，WOG和Amic Energy。 SOCAR能源乌克兰是石油和天然气产品批发领域的突出力量。它拥有为乌克兰广袤地区各种规模的企业提供各种产品的能力。 WOG拥有由400多个加油站组成的网络，是乌克兰加油站景观的基石。在天然气和石油工业的推动下，这条链条已成为该国基础设施的重要组成部分。 Amic Energy来自奥地利，负责监督包括乌克兰在内的多个国家的470个移动和固定加油站以及20个电动汽车充电站的网络。该公司总部位于维也纳，业务遍及多个国家。 这些加油站网络攻击突显了企业和国家每天应对的网络威胁的危险格局。除了直接影响之外，KillNet黑客组织的行动也散布了数字不和，在网络空间留下了不确定性和脆弱性。     转自E安全，原文链接:https://mp.weixin.qq.com/s/p4I_1VqZL6EEtrz5jM1_BA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 去年LockBit 3.0勒索软件构建器的泄漏导致威胁行为者滥用该工具来生成新的变体。 俄罗斯网络安全公司卡巴斯基(Kaspersky)表示，它检测到一次部署了一类LockBit版本的勒索软件的入侵，但索要赎金的程序明显与之前不同。 安全研究人员Eduardo Ovalle和Francesco Figurelli说:“该事件背后的攻击者决定使用不同的勒索信。信的标题与一个从前不为人知的组织有关，名为‘NATIONAL HAZARD AGENCY’。” 新版本的勒索信直接指定了获得解密密钥需要支付的金额，并将通信定向到Tox服务和电子邮件。这与LockBit组织的行为不同，后者没有提到金额，而是使用自己的通信和协商平台。 NATIONAL HAZARD AGENCY并不是唯一使用泄露的LockBit 3.0构建器的网络犯罪团伙。已知利用它的其他组织包括Bl00dy和Buhti。 卡巴斯基指出，它在遥测中共检测到396个不同的LockBit样本，其中312个工件是使用泄露的构建器创建的。多达77个样本在勒索信中没有提到“LockBit”。 研究人员说:“许多检测到的参数与构建器的默认配置相对应，只有一些包含微小的变化。这表明，这些样本可能是出于紧急需求而开发的，也可能是由懒惰的人开发的。” 这一披露是在Netenrich深入研究一种名为ADHUBLLKA的勒索软件毒株之际发布的。该病毒自2019年以来多次更名(BIT、LOLKEK、OBZ、U2K和TZW)，同时针对个人和小企业，以换取每位受害者800至1600美元的小额赔偿。 尽管每次迭代都会对加密方案、赎金笔记和通信方法进行轻微修改，但仔细检查就会发现，由于源代码和基础架构的相似性，它们都与ADHUBLLKA有关。 安全研究员Rakesh Krishnan说:“当一个勒索软件在野外应用成功时，网络犯罪分子通常会使用相同的勒索软件样本—稍微调整一下他们的代码库—来试验其他项目。” “例如，他们可能会更改加密方案、赎金笔记或指挥与控制(C2)通信通道，然后将自己重新命名为‘新的’勒索软件。” 勒索软件仍然是一个积极发展的生态系统，见证了黑客策略的频繁变化。恶意软件越来越多地关注Linux环境，使用Trigona, Monti和Akira等家族。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。 更重要的是，对在网络攻击中回收的攻击基础设施进行更仔细的检查后，研究人员发现了一种名为CollectionRAT的新威胁软件。 Talos指出，尽管这些组件多年来被充分记录，但Lazarus仍然依赖于相同的间谍技术，这一事实突显了威胁行为者对其行动的信心。 QuiteRAT据说是MagicRAT的后继产品，MagicRAT本身是TigerRAT的后续产品，而CollectionRAT似乎与EarlyRAT(又名Jupiter)有重叠之处。EarlyRAT是一种用PureBasic编写的植入物，具有在终端上运行命令的能力。 安全研究人员Asheer Malhotra、Vitor Ventura和Jungsoo An表示:“QuiteRAT具有与Lazarus组织更知名恶意软件MagicRAT相同的许多功能，但其文件大小要小得多。这两个植入都是基于Qt框架构建的，并有任意命令执行之类的功能。” Qt框架的使用被认为是攻击者有意为之，这使分析更具挑战性，因为它“增加了恶意软件代码的复杂性”。 该活动于2023年初检测到，涉及CVE-2022-47966的利用。在该漏洞的概念验证(Poc)在线出现仅五天之后，黑客就直接从恶意URL部署QuiteRAT二进制文件了。 研究人员表示：“QuiteRAT显然是MagicRAT的进化版本。MagicRAT是一个更大、更笨重的恶意软件家族，平均大小约为18MB，而QuiteRAT的实现要小得多，平均大小约为4到5MB。” 两者之间的另一个关键区别是QuiteRAT中缺乏内置的持久化机制，因此必须从服务器发出命令，以确保软件在受损主机上继续运行。 这一发现也与WithSecure在今年2月早些时候发现的另一个行为相重叠，在那次黑客活动中，未打补丁的Zimbra设备中的安全漏洞被用来入侵受害者系统，并最终安装QuiteRAT。 思科Talos表示，攻击者“在攻击的初始访问阶段越来越依赖于开源工具和框架，而不是在入侵后阶段使用。” 这包括基于GoLang的开源DeimosC2框架，用于获得持久访问，CollectionRAT主要用于收集元数据、运行任意命令、管理受感染系统上的文件，并提供额外的有效负载。 目前还不清楚CollectionRAT是如何传播的，但有证据表明，托管在同一基础设施上的PuTTY Link (Plink)实用程序的木马副本被用来建立到系统的远程隧道并为恶意软件提供服务。 研究人员表示:“Lazarus组织之前依赖于使用定制的植入物，如MagicRAT、VSingle、Dtrack和YamaBot，作为在成功入侵的系统上建立持久初始访问的手段。” “然后，这些植入物被用来部署各种开源或两用工具，在受感染的企业网络中执行大量恶意的键盘操作活动。” 这一事态发展表明，Lazarus正在不断改变策略，扩大其恶意武器库，同时将新披露的软件漏洞武器化，造成毁灭性的影响。     消息来源：thehakernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，恶意软件系列 CypherRAT 和 CraxsRAT 的创建者曝光，是一位名为 EVLF 的叙利亚威胁行为者。 网络安全公司Cyfirma在上周发布的一份报告中提到：这些RAT旨在允许攻击者远程执行实时操作，并控制受害者设备的摄像头、位置和麦克风。 据说，CypherRAT 和 CraxsRAT 会作为恶意软件即服务（MaaS）计划的一部分提供给其他网络犯罪分子。在过去的三年里，有多达 100 名独特的威胁行为者以终身许可的方式购买了这两个工具。 根据调查，EVLF 至少从 2022 年 9 月开始就一直在经营一家网店，并为其创建的恶意软件打广告。 CraxsRAT 号称是一款安卓特洛伊木马程序，能让威胁者从 Windows 计算机远程控制受感染的设备，开发者会根据客户的反馈不断发布新的更新版本供使用。 恶意软件包是通过一个生成器生成的，该生成器提供了自定义和混淆有效载荷、选择图标、应用程序名称以及安装到智能手机后需要激活的功能和权限等选项。 Cyfirma解释说：CraxsRAT是当前安卓威胁中最危险的RAT之一，它具有谷歌播放保护绕过、实时屏幕视图以及用于执行命令的外壳等强大功能。 超级Mod功能使该应用程序更加致命，让受害者难以卸载该应用程序，每当受害者试图卸载时，页面就会崩溃。 该安卓恶意软件要求受害者授予其访问安卓服务的权限，以获取大量对网络犯罪分子有价值的信息，包括通话记录、联系人、外部存储、位置和短信等。 据观察，EVLF 运营着一个名为 “EVLF Devz “的 Telegram 频道，该频道创建于 2022 年 2 月 17 日。截至发稿时，该频道已有 10,678 名用户。 在 GitHub 上搜索 CraxsRAT，会出现大量该恶意软件的破解版本，不过在过去几天里，微软似乎已经删除了其中一些版本。不过，EVLF 的 GitHub 账户仍然活跃在代码托管服务上。 2023 年 8 月 23 日，EVLF在该频道发布消息称他们将暂停该项目。 EVLF 在帖子中说：由于生活所迫，后续他将停止开发和发布。但是客户无需担心，在他离开之前会为用户发布几个补丁以供其后续使用。     转自Freebuf，原文链接:https://www.freebuf.com/news/376000.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 周三，伦敦一家陪审团发现黑客组织Lapsus$的一名青少年成员入侵了Uber和金融科技公司Revolut，然后勒索了最畅销游戏《侠盗猎车手》的开发者。 18岁的Arion Kurtaj于2022年9月开始独自进行网络犯罪，先是针对Revolut，两天后又针对Uber。 然后，他入侵了Rockstar Games，并威胁要在Slack上向所有Rockstar员工发布计划中的《侠盗猎车手》续集的源代码。 他无法接受法律审判，所以南华克刑事法庭的陪审团被要求查明他是否犯下了这些行为，而不是作出有罪或无罪的判决。 Kurtaj此前曾在2021年入侵并勒索英国最大的宽带提供商—英国电信集团和移动运营商EE，并在2022年2月入侵并勒索芯片制造商英伟达公司。 陪审团周三裁定，Kurtaj犯下了12项罪名，包括3项勒索、2项欺诈和6项违反《计算机滥用法》的指控。 Kurtaj的案件与一名17岁少年一起进行审理，由于法律原因，这名少年的名字无法透露。这名17岁的少年被指控参与了对英国电信和英伟达的黑客攻击，但陪审团否决了其一项勒索罪和一项与英国电信有关的计算机滥用法罪的成立。 这名17岁的少年此前承认了一项违反《计算机滥用法》的指控，以及一项与英国电信黑客攻击有关的欺诈指控。 在警方于2022年逮捕他几周后，他还承认了一项与黑客入侵伦敦市警察局云存储有关的《计算机滥用法》罪行。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

The Hacker News 网站披露，此前从未被记录的威胁组织正在针对香港和亚洲其它地区的实体组织，展开攻击活动，赛门铁克威胁猎人网络安全小组正在以昆虫为主题的“Carderbee”绰号追踪这一活动。 赛门铁克安全人员知乎此次攻击活动利用一个名为 EsafeNet Cobra DocGuard Client 的合法软件的木马版本，在受害者网络上传播一个名为 PlugX（又名 Korplug）的已知后门，在与 The Hacker News 共享的一份报告中，安全人员还指出在攻击过程中，攻击者使用了带有合法微软证书签名的恶意软件。 ESET 在其今年发布的季度威胁报告中着重强调了使用 Cobra DocGuard 客户端实施供应链攻击的黑客活动，还详细描述了 2022 年 9 月香港一家未命名的博彩公司因该软件推送的恶意更新，遭到黑客入侵。 值得一提的是，尽管 Cobra DocGuard 客户端应用程序被安装在大约 2000 个端点上，但据说受 Cobra DocGuard 影响的组织中只有多达 100 台计算机受到了感染，这表明攻击的重点范围可能有所缩小了。 Syamtec 指出恶意软件被发送到受感染计算机上的以下位置：csidl_system_drive\program files\esafenet\Cobra DocGuard client\update’，表明涉及 Cobra DocGuard 的供应链攻击或恶意配置是攻击者破坏受影响计算机的方式。 在其中一个攻击实例中，上述描述的情况充当了部署下载器的渠道，该下载器具有来自微软的数字签名证书，随后被用于从远程服务器检索和安装 PlugX，这种模块化植入为攻击者在受感染平台上提供了一个秘密后门，使其可以继续安装其它有效载荷、执行命令、捕获击键、枚举文件和跟踪运行进程等。这些发现揭示了威胁攻击者继续使用微软签名的恶意软件进行攻击后活动并绕过安全保护。 尽管如此，关于 Carderbee 的许多细节仍未披露，目前还尚不清楚 Carderbee 的总部位于何处，它的最终目标是什么，以及它是否与 Lucky Mouse 有任何联系。 赛门铁克强调针对香港等地的攻击活动背后的攻击者是极具耐心且技术娴熟的网络攻击者，他们利用供应链攻击和签名恶意软件来开展活动，试图保持低调。此外，这些攻击者似乎只在少数获得访问权限的计算机上部署了有效载荷，这也表明幕后攻击者进行过一定程度的策划和侦察。     转自Freebuf，原文链接:https://www.freebuf.com/news/375853.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种名为XLoader的苹果macOS恶意软件的新变种浮出水面，它伪装成一款名为“OfficeNote”的办公生产力应用程序，将其恶意功能伪装起来。 “新版本的XLoader被捆绑在一个名为OfficeNote的标准苹果磁盘映像中，”哨兵一号安全研究人员迪尼什·德瓦多斯和菲尔·斯托克斯在周一的分析中说，“其中包含的应用程序使用了开发人员签名MAIT JAKHU (54YDV8NU9C)进行签名。” XLoader于2020年首次被发现，被认为是Formbook的后继产品。它是一种以恶意软件即服务(MaaS)模式提供的信息窃取和键盘记录工具。该恶意软件的macOS变体于2021年7月出现，以Java程序的形式以编译的.JAR文件的形式分发。 这家网络安全公司当时指出:“此类文件需要Java运行时环境，因此，恶意的.jar文件无法在macOS的安装中执行，因为苹果在十多年前就停止在Mac电脑上发布JRE了。” XLoader的最新版本通过切换编程语言(如C和Objective C)来绕过此限制，并在2023年7月17日签署了磁盘映像文件。苹果公司已经撤销了签名。 SentinelOne表示，在整个2023年7月，他们在VirusTotal上检测到多次该工件的提交，证实了这次活动的广泛性。 研究人员说:“犯罪软件论坛上的广告提供了Mac版本的租金，每月199美元或299美元/3个月。有趣的是，与Windows版本的XLoader(每月59美元和每月129美元)相比，这个价格相对昂贵。” 一旦执行，OfficeNote就会抛出一条错误消息，提示“无法打开，因为找不到原始项目”。实际上，它会在后台安装一个Launch Agent以实现持久化。 XLoader旨在收集剪贴板数据以及存储在与web浏览器(如Google Chrome和Mozilla Firefox)相关的目录中的信息。然而，Safari不是其攻击目标。 除了采取手动和自动化解决方案逃避分析的步骤外，恶意软件还被配置为运行睡眠命令来延迟其执行并避免引发任何危险信号。 研究人员总结道:“XLoader持续对macOS用户和企业构成威胁。” “这个伪装成办公生产力应用程序的最新迭代版本表明，其目标显然是工作环境中的用户。恶意软件试图窃取浏览器和剪贴板的机密，这些机密可能被使用或出售给其他威胁行为者，以进一步危害用户。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

来自意大利和英国的研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了4个漏洞，攻击者可以利用这些漏洞窃取目标的 WiFi 密码。 TP-Link  Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量 。 智能灯泡缺陷 第一个漏洞涉及 Tapo L503E 上的不正确身份验证，允许攻击者在会话密钥交换步骤中冒充设备。此高严重性漏洞（CVSS v3.1 评分：8.8）允许相邻攻击者检索 Tapo 用户密码并操纵 Tapo 设备。 第二个漏洞也是一个高严重性漏洞（CVSS v3.1 得分：7.6），由硬编码的短校验和共享密钥引起，攻击者可以通过暴力破解或反编译 Tapo 应用程序来获取该密钥。 第三个漏洞是一个中等严重性缺陷，涉及对称加密过程中缺乏随机性，使得加密方案可预测。 第四个漏洞源于缺乏对接收消息的新鲜度的检查，保持会话密钥在 24 小时内有效，并允许攻击者在此期间重放消息。 攻击场景 研究发现，最令人担忧的攻击场景是利用上述的第一个和第二个漏洞进行灯泡冒充和检索 Tapo 用户帐户详细信息，然后通过访问 Tapo 应用程序，攻击者可以提取受害者的 WiFi SSID 和密码，并获得连接到该网络的所有其他设备的访问权限。 设备需要处于设置模式才能使攻击起作用。然而，攻击者可以取消灯泡的认证，迫使用户重新设置以恢复其功能。 灯泡模拟图 而未配置的 Tapo 设备也可能受到 MITM 攻击，方法是再次利用第一个漏洞，在设置过程中连接到 WiFi、桥接两个网络并路由发现信息，最终以易于破译的 base64 编码形式检索 Tapo 密码、SSID 和 WiFi 密码。 MITM 攻击图 最后，第四个漏洞允许攻击者发起重放攻击，复制之前嗅探到的消息以实现设备的功能更改。 披露和修复 研究人员在发现这些漏洞后向 TP-Link 进行了披露，对方承认了这些问题的存在，并告知将很快对应用程序和灯泡固件进行修复。在这之前，研究人员建议用户将这些类型的设备与关键网络隔离，使用最新的可用固件更新和配套应用程序版本，并使用 MFA 和强密码保护帐户。   转自Freebuf，原文链接:https://www.freebuf.com/news/375669.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，威胁情报公司 Hudson Rock 的研究人员在约 12 万台感染信息窃取恶意软件的计算机上发现了与网络犯罪论坛相关的账户凭证，这些在 2018 年至 2023 年间被破坏的计算机中，有许多属于威胁攻击者。 研究人员根据电脑上发现的附加凭证（附加电子邮件、用户名）、包含个人信息（姓名、地址、电话号码）的自动填充数据和系统信息等指标，揭露出了黑客的真实身份，其中受感染数量最多的网络犯罪论坛是 “Nulled.to”（57 203），其次是 “Cracked.io”（19 062）和 “Hackforums.net”（13 366）。 对用户密码的分析结果表明，用户密码最强的论坛是 “Breached.to”，值得一提的是，黑客网站上使用的大多数凭证甚至比政府和军事网站上使用的凭证更强。 分析过程中，研究人员发现大多数窃取信息的恶意软件是 Redline，其次是 Raccoon和Azorult。黑客受到感染且至少有一个网络犯罪论坛认证的前 5 个国家分别是突尼斯（占该国感染总数的 7.55）、马来西亚（占全国感染总数的 6）、比利时（占全国感染总数的 5.14）、荷兰（占全国感染总数的 4.8），以色列（占全国感染总数的 4.43）。 最后，Hudson Rock 在发布的报告中指出信息攻击者感染作为一种新的网络犯罪趋势，自 2018 年以来激增了 6000%，使其成为威胁攻击者用来渗透组织和包括勒索软件、数据泄露、账户超越和企业间谍活动）等攻击活动的主要载体。     转自Freebuf，原文链接:https://www.freebuf.com/news/375281.html 封面来源于网络，如有侵权请联系删除