作者：知道创宇404实验室 原文链接：https://paper.seebug.org/2053/   一．摘要 在实现网络攻击的过程中，C2 服务器、loader 服务器甚至黑客的“工作机”都有可能通过开启 Web 服务器进行数据的传输。 根据 ZoomEye 网络空间搜索引擎[1]的历史数据，我们发现 9247 个 Cobalt Strike[2]控制端服务器中，有 6.53% 曾对外提供目录浏览和文件下载服务，涉及恶意样本、利用脚本、扫描结果等多种文件。根据已有数据，我们针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 在研究过程中，我们还发现存在遍历下载黑客“工作机”所有文件的行为，推断在互联网上已经存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 二．概述 黑客在控制他人电脑窃取他人文件的同时，也会成为他人攻击的重点对象。例如，黑客下载被他人嵌入恶意木马的扫描工具，运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。 本文，我们将从黑客开启的 Web 服务器入手，通过使用 ZoomEye 网络空间搜索引擎，成为黑客背后的“猎人”。 黑客攻击者在进行攻击时，会遇到各类环境，为保证攻击成功，会使用较常用的方式下发恶意样本。例如开启 Web 服务器，然后通过大部分系统自带的 curl、wget 命令实现下载。在黑客进行测试样本和回传数据的时候，也可以通过开启临时 Web 服务器实现数据的传输。 部分编程语言自带了类似的功能，例如 Python 语言。我们可以使用一条命令开启一个 HTTP 服务: python3 -m http.server，然后在浏览器上访问的效果是这样子的: 这种做法虽然方便了数据传输，却给了其他人可趁之机。其他人若找到黑客使用的“工作机”，便可以获取其攻击工具，了解其攻击手法，甚至直接获取其窃取的数据。 三．利用 ZoomEye 平台找黑客“工作机” 下面我们来看如何利用 ZoomEye 平台找到这样的黑客“工作机”。 除了网页标题中的特征字符串之外，我们还需要指定黑客“工作机”中经常出现的关键词特征，才可以在 ZoomEye 平台精准的找到黑客“工作机”。 下面是一些搜索语句示例: “工作机”上经常存放漏洞 EXP 攻击工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"exp" “工作机”上经常存放 log4j 漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"log4j" “工作机”上经常部署 CobaltStrike (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobaltstrike" (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobalt strike" “工作机”上经常部署 Metasploit (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"Metasploit" “工作机”上经常存放包含 CVE 编号的漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cve" “工作机”上经常存放 payload (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"payload" “工作机”上经常存放 calc.exe，用于木马捆绑测试 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"calc.exe" 3.1 示例：黑客上传扫描工具进行恶意扫描 IP 地址为 124.200.*.* 的服务器，在 2023 年 2 月 14 日新增了名为 fscan64.exe 的工具。在随后的第二天（2023 年 2 月 15 日），创宇安全智脑 [3] 便捕获了由该 IP 地址发起的 1255 次攻击请求行为，并将该 IP 地址标记为恶意 IP 地址。 2023年2月14日，服务器上新增了名为 fscan64.exe的工具 2023年2月15日，创宇安全智脑捕获了由该 IP 地址发起的 1255 次 攻击请求行为 3.2 示例：黑客用于投放的恶意文件被标记为恶意 黑客在“工作机”上存储了多个用于投放给受害者点击的诱饵文件。我们随机挑选一个文件“Google3.exe”，该文件出现在“工作机”上的时间为 2023 年 1 月 31 日；然后将其上传到 Virustotal 平台上进行验证，显示在 2023 年 2 月 17 日该文件已经被识别为恶意。 2023年1月31日，服务器上出现了“Google3.exe”文件 我们将“Google3.exe”文件上传至Virustotal平台检测，被识别为恶意 3.3 示例：我们可获取黑客使用的攻击工具 我们在黑客“工作机”上，可以获取黑客所使用的攻击工具， 例如 CVE 漏洞利用工具、网马工具、Payload 代码、诱饵文件等。 ①Cobalt Strike 工具 ②CVE-2019-7609 Kibana远程代码执行漏洞利用工具 ③payload代码 ④Apache James Server 2.3.2 远程代码执行漏洞利用工具 ⑤多个CVE漏洞利用工具 ⑥EXP工具 3.4 示例：我们可获取黑客的工作结果 我们在黑客“工作机”上，可以获取黑客的工作成果，例如网站扫描结果、窃取的受害者 Cookie 数据、窃取的受害者键盘记录数据、窃取的受害者电脑上的文件等。 窃取受害者cookie的数据 ①针对gov.pk进行扫描工作结果的存储文件夹 ②gov.pk的子域名扩展结果 ③针对各子域名，使用FFUF工具进行Web Fuzz的结果 四．测绘重点网段 4.1 Cobalt Strike控制端开放Web目录浏览情况 根据ZoomEye网络空间搜索引擎的探测结果，2020年1月1日至2023年2月16日，一共有9247个IP地址被标记为Cobalt Strike控制端。其中有 604 个 IP 地址曾经出现过对外提供目录浏览和文件下载的服务，占比 6.53%。我们根据探测到的文件名等信息进行判断，绝大多数文件均和黑客攻击相关。这说明互联网上的部分黑客“工作机”给了其他人可趁之机。 4.2 高频测绘重点网段 从已识别为Cobalt Strike控制端的IP地址中，我们挑选了出现Cobalt Strike控制端最多的30个B段进行小范围测试，针对这30个B段IP地址的 3 个端口（8000、8080、8888）进行了持续 72 个小时的高频测绘，检测其是否对外提供目录浏览和文件下载服务，以及是否为黑客“工作机”。 结果是，在 72 个小时内，30 个 B 段的 196 万 IP 地址中，我们测绘到有 176 个 IP 地址对外提供过目录浏览和文件下载服务， 其中 13 个是黑客“工作机”。 我们进而分析其 HTTP 服务的开放和关闭时间，这 176 个 IP 地址 中，有 70 个为临时开放 HTTP 服务后便关闭的情况。 因此，我们可以推断，与通过网空搜索引擎进行查询相比，针对重要网段进行高频测绘，可以发现更多的黑客“工作机”。 五．探寻互联网上已经存在的“猎人” 通过这种方式，作为黑客背后的“猎人”，可以直接获取黑客“工作机”上的攻击工具和工作结果。我们推测互联网上已经存在这样的“猎人”，我们尝试来寻找之。 通过IP 地址 83.136.*.* 的 8000 端口 HTTP 服务列出的文件，我们可判断其是一台黑客“工作机”。其中文件“nohup.out” 是 HTTP 服务的请求日志记录文件。 nohup.out文件存储了HTTP服务的请求记录在该文件中，我们发现有一个 IP 地址 34.140.*.* 的行为很可疑。该 IP 地址在 2023 年 1 月 30 日，遍历并下载了黑客“工作机”所有文件夹下的文件。我们使用创宇安全智脑查询 IP 地址 34.140.*.* 的威胁等级，发现该 IP 地址已被标记为恶意 IP 地址，标签为 “2022 二十大重保”、“2022 护网”、“恶意扫描”等，且在 2023 年 1 月 30 日确实发起过恶意扫描攻击行为。 该 IP 地址 34.140.*.* 并不是一个搜索引擎蜘蛛IP，因此我们推断它是一个“猎人 IP”。当然，它的目标可能不仅仅是针对黑客“工作机”，也可能针对所有存在目录浏览漏洞的服务器。 ①该IP的威胁等级为“中” ②该IP的标签有“2022二十大重保”、“恶意扫描”等。 ③该IP在2023年1月30日发起过23次恶意扫描攻击行为在文件“nohup.out”中，存在 3 个与 34.140.*.* 行为一样的 IP 地址，我们推测其均属于“猎人 IP”。通过这一个黑客“工作机”的示例，我们有理由推断，在互联网上存在众多“猎人” 通过搜寻黑客“工作机”的方式，窃取其攻击工具和工作结果。 六．结语 黑客攻击者可能是一个人单打独斗，缺点是技术能力和实战经验有限，无法关注到方方面面的细节；也可能是团队合作，人员分工明确，各自负责编写工具、实施攻击、分析结果等，缺点是各自只关注自身负责的工作，未明确到位的工作或风险便无人关注。正是由于这些原因，使得我们通过 ZoomEye 网络空间搜索引擎，可以捕获到这些黑客的“工作机”。 善于攻击的黑客不一定善于防守，也可能以猎物的方式出现在高端的猎人面前。成为攻击事件背后的黑客，还是成为黑客背后的猎人，这是攻防对抗的升级，也是从上帝视角测绘网络空间的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/ [2] Cobalt Strike https://www.cobaltstrike.com/ [3] 创宇安全智脑 https://gac.yunaq.com/

黑客入侵了美国一家允许人们买卖枪支的网站，暴露了其用户的身份。这次入侵暴露了超过55万用户的大量敏感个人数据，包括客户的全名、家庭住址、电子邮件地址、明文密码和电话号码。此外，据称被盗的数据使其有可能将某个人与特定武器的销售或购买联系起来。 网络安全专家特洛伊-亨特（Troy Hunt）对此表示：”有了这些数据，你就可以把一个公开的清单……并把它解析到[被盗数据库中的数据]，这样你就有了[卖家]的姓名、电子邮件、物理地址和电话号码，并且可以推测出枪支的位置”，他经营着流行的数据泄露库和警报服务Have I BeenPwned。(发现该漏洞的研究人员与亨特分享了数据，以便他能将其上传到Have I BeenPwned。） 去年年底，一位要求匿名的安全研究人员发现了一个包含数据的服务器，结果发现该服务器被一个黑客（或一群黑客）使用，他们用该服务器存储被盗数据。该服务器没有受到任何系统的保护，无法限制或控制谁可以访问它，因此该研究人员下载了数据并进行了分析。 他发现的数据来自GunAuction.com网站，该网站自1998年以来允许人们将枪支放在网上进行拍卖。 GunAuction.com的屏幕截图 TechCrunch分析了被盗数据的样本，并通过电子邮件联系了100人，通过电话联系了60人。其中，10人确认被盗数据库中的数据是准确的。然而，目前还不清楚这些数据的最新情况，因为有25个电子邮件地址的信息被退回或无法送达，还有几个电话号码拨打后被切断。 GunAuction.com首席执行官Manny DelaCruz在一封电子邮件中证实了这一漏洞。 DelaCruz在声明中写道：”我可以确认，联邦调查局最近与我们联系，讨论可能发生影响我们公司的数据泄露事件，该漏洞可能暴露了姓名、地址和电子邮件地址等个人客户信息。然而，我们想向我们的客户保证，我们没有理由相信任何财务信息在这次漏洞中被访问。我们建议我们的客户保持警惕，监测他们的金融账户和信用报告中的任何可疑活动。我们的意图是尽快通知受影响的用户”。 这不是第一次关于枪支所有者的敏感数据被曝光。去年，加州司法部错误地泄露了个人数据，包括枪支所有者的姓名、生日、地址、年龄、购买日期和他们拥有的枪支许可证类型，以及他们的犯罪识别指数号码，这些都是用来追踪州和联邦的犯罪记录。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7206043284957823527/ 封面来源于网络，如有侵权请联系删除

一个被称为 “SCARLETEEL “的高级黑客行动针对面向公众的网络应用，其主要手段是渗透到云服务中以窃取敏感数据。 SCARLETEEL是由网络安全情报公司Sysdig在应对客户的云环境事件时发现的。 虽然攻击者在受感染的云环境中部署了加密器，但黑客在AWS云机制方面表现出更专业的技术，进一步钻入该公司的云基础设施。 Sysdig认为，加密劫持攻击仅仅是一个诱饵，而攻击者的目的是窃取专利软件。 SCARLETEEL攻击 SCARLETEEL攻击开始时，黑客利用了托管在亚马逊网络服务（AWS）上的Kubernetes集群中面向公众的服务。 一旦攻击者访问容器，他们就会下载一个XMRig coinminer（被认为是诱饵）和一个脚本，从Kubernetes pod中提取账户凭证。 然后，被盗的凭证被用来执行AWS API调用，通过窃取进一步的凭证或在公司的云环境中创建后门来获得持久性。然后这些账户被用来在云环境中进一步传播。 根据AWS集群的角色配置，攻击者还可能获得Lambda信息，如功能、配置和访问密钥。 攻击者执行的命令 接下来，攻击者使用Lambda函数枚举和检索所有专有代码和软件，以及执行密钥和Lambda函数环境变量，以找到IAM用户凭证，并利用它们进行后续枚举和特权升级。 S3桶的枚举也发生在这一阶段，存储在云桶中的文件很可能包含对攻击者有价值的数据，如账户凭证。 Sysdig的报告中说：”在这次特定的攻击中，攻击者能够检索和阅读超过1TB的信息，包括客户脚本、故障排除工具和日志文件。这1TB的数据还包括与Terraform有关的日志文件，Terraform在账户中被用来部署部分基础设施。这些Terraform文件将在后面的步骤中发挥重要作用，也就是攻击者可能转到另一个AWS账户”。 SCARLETEEL攻击链 为了尽量减少留下的痕迹，攻击者试图禁用被攻击的AWS账户中的CloudTrail日志，这对Sysdig的调查产生了不小的困难。 然而，很明显，攻击者从S3桶中检索了Terraform状态文件，其中包含IAM用户访问密钥和第二个AWS账户的密钥。这个账户被用来在该组织的云计算中进行横移。 由TruffleHog发现的Terraform秘密 基于云的基础设施安全 随着企业越来越依赖云服务来托管他们的基础设施和数据，黑客们也在与时俱进，成为API和管理控制台方面的专家，继续他们的攻击。 SCARLETEEL攻击证明，企业在云环境中的任何一个薄弱点都足以让攻击者利用它进行网络渗透和敏感数据盗窃，当然这些攻击者可能技术更高。 Sysdig建议企业采取以下安全措施，以保护其云基础设施免受类似攻击： 及时更新你所有的软件 使用IMDS v2而不是v1，这可以防止未经授权的元数据访问 对所有用户账户采用最小特权原则 对可能包含敏感数据的资源进行只读访问，如Lambda 删除旧的和未使用的权限 使用密钥管理服务，如AWS KMS、GCP KMS和Azure Key Vault Sysdig还建议实施一个全面的检测和警报系统，以确保及时报告攻击者的恶意活动，即使他们绕过了保护措施。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358975.html 封面来源于网络，如有侵权请联系删除  

Security Affairs 网站披露，俄乌冲突一周年纪念日当天，亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站，以示对战争的抗议，这一消息通过匿名者黑客组织的社交媒体迅速传播。 匿名者组织发布的信息 成功入侵俄罗斯网站后，CH01 黑客组织上传了一段视频，显示克里姆林宫在被入侵网站上“燃烧”。值得一提的是，目前尚不清楚该组织采取那些方式攻破了俄罗斯网站。 此外，CH01 组织在其推特上写道，“神谕说一切邪恶都会消失，一切美好都会永远存在，我们是 CH01黑客组织，代表所有自由世界。 CH01 加入了匿名者的号召，向俄罗斯开战 俄乌战争开始不久后，匿名者组织号召黑客世界对抗俄罗斯，黑客组织 CH01 理所应当的响应号召。此后，在其推特上表示将与整个文明世界团结一致，为恢复正义、光明和善良，持续努力。 在俄乌冲突一周年纪念之际，CH01 组织选择向俄罗斯宣战，其推特上写道，今天凌晨 4 点整，因俄罗斯轰炸基辅，决定对俄罗斯实施一场网络战争，已经成功攻破了几十个俄罗斯网站的防御系统，并获得了所有数据。 “反俄群体”表示将继续与俄罗斯作斗争 本周，匿名者在其社交媒体上发布了一条重磅信息，重申其保护乌克兰免受犯罪入侵方面的承诺。 2023 年 2 月 23 日，匿名者组织入侵了包括 Yumor FM、Relax FM、Comedy Radio、Humor FM 和 Avatoradio 在内的几个俄罗斯电台。       转自 Freebuf，原文链接：https://www.freebuf.com/articles/358755.html 封面来源于网络，如有侵权请联系删除

自俄乌战争爆发以来，俄罗斯网络前线得到多个黑客组织的支持。其中一部分与俄官方关系密切，还有一些与国家利益保持着较为松散的独立状态。 后一部分黑客组织在西方甚至是俄罗斯的法律条款中，已经属于网络罪犯。不过这种情况似乎正在改变。 俄议会讨论豁免亲俄黑客法律责任 据俄罗斯广播电台Govoritmoskva在上周五（2月10日）报道称，杜马信息政策委员会正在考虑这类亲俄派黑客的“罪责”问题。 杜马信息政策委员会主席Alexander Khinshtein向俄国有通讯社塔斯社表示，“总的来说，我们正在讨论免除那些在我国境内外的计算机信息领域，出于俄罗斯联邦利益而行动的黑客们的罪责。” 据Govoritmoskva的报道，目前这个想法仍在讨论中。 按照俄罗斯的现行法律条款，网络罪犯将面临最高七年的监禁。消息如果属实，将标志着俄罗斯对于黑客组织的立场迎来重大转变。 这是个影响深远的议题，特别是在当下这个历史时刻，俄罗斯与乌克兰间持续不断的冲突在网络空间中激起众多非国家支持黑客。他们的攻击行动，正在重塑整个威胁格局。 频遭美国指责，新规是否会坐实网络犯罪“避风港”？ 在塔斯社上周五（2月10日）报道的一份声明中，俄罗斯驻美国大使Anatoly Antonov谴责了近期美方对Trickbot黑客组织及成员实施的制裁。 Antonov大使认为，“美国财政部似乎只知道对俄罗斯公民实施制裁。而所有这一切，都是以非常粗糙的方式完成的——既没有论据，也没有证据支持。” Antonov还进一步谴责华盛顿方面“冻结”了近期关于网络犯罪的对话与合作，还不断将俄罗斯称为犯罪天堂。 “至于美国财政部关于俄罗斯是网络犯罪分子「避风港」的指控，这是错误且不负责任的。所有这一切，都是其对我们发动混合战的一部分。” “2022年，我们的国家遭遇前所未有的大量外部网络攻击，期间共击退约5万次黑客入侵，其中大部分来自美国领土。所以我们可以公平地质问，也许美国才是网络犯罪的「避风港」吧？” 如果俄罗斯最终批准对出于俄国家利益的黑客组织做出豁免，那么可能会被坐实了“避风港”的身份。     转自 安全内参，原文链接：https://www.secrss.com/articles/51894 封面来源于网络，如有侵权请联系删除

Dota 2的玩家注意了，你使用的游戏模式很可能被黑客盯上了。 2月13日消息，未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式，这些模式可能已经被利用来建立对玩家系统的后门访问。 威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003（CVSS 评分8.8），谷歌在2021年10月已修复该漏洞。 “由于V8在Dota中没有沙盒化，这个漏洞本身就可以对Dota玩家进行远程代码执行，”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。 目前，游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。游戏模式本质上是一种自定义功能，既可以扩展现有游戏，也可以以一种偏离标准规则的方式提供全新玩法。 虽然向Steam商店发布自定义游戏模式需要经过Valve的审查，但威胁行为者还是成功地绕过了审查。 这些游戏模式已经被下架，它们是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。据称，该威胁行为者还发布了名为“Brawl in Petah Tiqwa ”的第五种游戏模式，没有包含任何恶意代码。 “test addon plz ignore”中嵌入了一个针对V8缺陷的漏洞，该漏洞可以被用来执行自定义的shellcode。 另外三个采取了更隐蔽的方法，其恶意代码被设计成与远程服务器联系以获取JavaScript有效载荷，这也可能是对CVE-2021-38003的利用，因为该服务器已不能访问。 Avast表示，目前还不知道开发者创建这些游戏模式背后的最终目的是什么。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/game/357530.html 封面来源于网络，如有侵权请联系删除

“阿里的正义”（Edalat-e Ali）黑客团伙声称，对入侵伊朗国家电视台及广播电台的现场直播负责。这次攻击中断并篡改了伊朗总统易卜拉欣·莱希在革命日仪式上的演讲画面。 2月11日，伊朗总统易卜拉欣·莱希在德黑兰的阿扎迪广场发表演讲，与聚集在这里的大批民众庆祝国家成立44周年。本是政府展示群众基础的大好时机，但此次活动却遭到黑客团伙“阿里的正义”的破坏。 黑客干扰了国家电视台的正常播报，转而放送“哈梅内伊去死”的口号，并敦促民众从政府银行中取出资金。此外，他们还鼓励公民参加定于2023年2月16日举行的反政府抗议活动。 图：“阿里的正义”中断了伊朗国家电视台的直播节目 驻德国的伊朗记者Bamdad Esmaili已经在自己的推特账户上证实了此次网络攻击。另一方面，阿里的正义团伙也在其Telegram频道上公布了攻击活动。根据外媒Hackread看到的一份声明，该团伙宣称对入侵广播和电视直播负责。 “我们阿里的正义组织已入侵伊朗伊斯兰共和国的广播与电视播报。首先，阿里的正义要向伊朗这个热爱自由的国家表示哀悼，既悼念这新的十年、也哀悼刽子手哈梅内伊对这个国家的不洁玷污。” “阿里的正义”组织 “阿里的正义”是谁？ 值得注意的是，阿里的正义是一个知名的黑客团伙，过去几年来一直在与伊朗政府作对。他们近期曾发动一系列黑客攻击，包括在2022年10月导致伊朗国营电视台发生直播中断。 2021年8月，该团伙还曾入侵了德黑兰北部一处监狱设施的计算机系统和安保摄像头，导致内部恶劣关押条件与严重侵犯人权行为的录像泄露。 伊朗、抗议、黑客与黑客行动主义者 自2022年9月以来，伊朗一直饱受网络攻击侵扰。当时，有匿名黑客发起了OpIran行动，支持伊朗民众因22岁库德族女孩玛莎·艾米妮(Mahsa Amini)之死发起的抗议。 艾米妮因未按规定佩戴头巾而遭到“指导巡逻队”，即德黑兰道德警察的逮捕，并在拘留期间死亡。 艾米妮之死引发了抗议者与政府当局间的冲突，对抗导致部分民众被捕和死亡。阿里的正义发动的这次最新攻击，也是为了支持伊朗方面的抗议者。 但伊朗政府坚持要对付抗议者，同时世界各地的黑客行动主义者也已经把矛头指向伊朗的关键基础设施。     转自 安全内参，原文链接：https://www.secrss.com/articles/51825 封面来源于网络，如有侵权请联系删除  

匿名者组织上周发布了 128 GB 的文件，据称这些文件是从俄罗斯互联网服务提供商 Convex 窃取的。庞大的数据宝库由 Anonymous 附属集团 Caxxii 的附属机构租用。被盗文件包含情报部门 FSB 进行的天罗地网监视活动的证据。 据称，这种监视活动被归类为未经授权的窃听、间谍活动和对平民的无证监视，这些都是违反该国法律的。 2015 年，在Zakharov 诉俄罗斯一案中，欧洲人权法院警告称，管辖该国调查活动系统监控系统的法律并未提供充分有效的保障，防止任意和滥用任何秘密监控系统，敦促克里姆林宫规避法定授权要求。 2016 年 Yarovaya 法的通过允许当局在不需要法院命令的情况下获取通信信息。 什么数据被转储了？ 据悉，公民的互联网和电话使用情况，以及尚未公开的绿色原子监视计划的独家细节，匿名者组织声称，是由俄罗斯联邦安全局运营。该数据还包含数千名俄罗斯公民的记录，他们是该计划针对的俄罗斯公司的客户。 根据匿名者组织的说法，Green Atom 数据提供了俄罗斯政府滥用其法律结构的程度的证据，因为 Convex 几乎捕获了全部数据。Anonymous 还指出，他们有更多关于 FSB 情报收集活动的未公开信息。 什么是绿色原子监督计划？ 匿名者组织表示数据是从 Convex 窃取的，这导致该公司一直在运行一个名为 Green Atom 的项目，该项目涉及安装和维护监控设备以监控俄罗斯公民和私营公司的在线活动。 通过绿色原子计划，政府可以执行广泛的监视活动，使用 Convex 的设备来监视他们的进出流量。 在发布本文时，数据可在 DDoSecrets 的官方网站上获得。 匿名 – 俄罗斯和乌克兰冲突 随着对俄罗斯网络的匿名网络攻击，乌克兰与俄罗斯的冲突达到了一个新的水平。致力于打击审查制度和腐败的国际黑客组织匿名者迄今已声称对针对俄罗斯政府和私营部门的多起网络和社会工程攻击负责。 该集体的一些攻击包括入侵 Yandex 出租车应用程序(1)、支付处理器 Qiwi (2)、文化部(3)、国营广播公司(4)、俄罗斯中央银行(5)、不安全的打印机(6)、安全摄像头(7)、媒体审查机构 Roskomnadzor (8)、90% 的俄罗斯错误配置数据库(9)、电视传输(10)、电动汽车充电站(11)等等。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/4P0l8Nci5xXG204qrK23RA 封面来源于网络，如有侵权请联系删除  

外媒黑客新闻报道称，恶意黑客正在利用向日葵（Sunlogin）软件的已知漏洞来部署Silver C2框架，以实施后续入侵活动。 这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心（ASEC）发布。该中心发现，中国远程桌面控制软件向日葵的安全漏洞已遭到利用，攻击者正借此部署各种恶意载荷。 研究人员表示，“恶意黑客不仅使用了Silver后门，还使用了BYOVD（自带易受攻击驱动程序）来破坏安全产品并安装反向shell。” 攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞（CNVD-2022-03672 和 CNVD-2022-10270）打开局面，然后借此传播Silver或其他恶意软件，例如Gh0st RAT和XMRig加密货币采矿程序。 在相关案例中，恶意黑客据称利用向日葵漏洞安装了PowerShell脚本，该脚本又利用BYOVD技术使得系统中已安装的安全软件失效，最后使用Powercat投放了反向shell。 BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名，可获得更高权限并终止反病毒进程。 值得注意的是，趋势科技此前曾经披露过，有攻击者利用原神冲击（Genshin Impact）游戏的反作弊驱动程序（包括mhyprot2.sys）部署勒索软件。 研究人员指出，“目前还不确定，这次是否出自同一批恶意黑客之手，但几个小时之后，日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。” 从调查结果来看，这批黑客打算利用由Go语言编写的合法渗透测试工具Silver，替代以往的Cobalt Strike和Metasploit。 研究人员总结道，“Silver提供必要的分步功能，例如账户信息窃取、内部网络横移以及企业内网越界，跟Cobalt Strike非常相似。”     转自 安全内参，原文链接：https://www.secrss.com/articles/51691 封面来源于网络，如有侵权请联系删除

近日，Julius “Zeekill” Kivimäki因攻击一家心理治疗中心并勒索病人而被捕。然而这只是他数千起网络犯罪行为中的一件。 据报道，2020年10月，该黑客闯入位于赫尔辛基的私人心理治疗中心Vastaamo，窃取了与治疗有关的敏感数据和超过22000名患者的财务信息。 由于该医疗中心拒绝支付六位数的赎金，个别病人收到威胁，勒索支付500欧元的赎金，否则他们的私人信息将被曝光。 最终犯罪者将一个包含所有被盗Vastaamo患者记录的大型压缩文件上传到了暗网上。不小心的是在这个大型压缩文件内包含了一份犯罪者的家庭文件夹副本，这也使网警锁定了Kivimäki。 自2022年10月以来该嫌疑人一直否认所有指控并躲避芬兰当局。在逮捕令发出后，他仍在一条推特上继续否认自己参与过任何形式的犯罪活动。 目前Julius “Zeekill” Kivimäki 因被控勒索和敲诈罪被法国当局逮捕。这次逮捕是长期的国际合作和两国警方共享信息的结果。目前对于犯罪嫌疑人何时引渡还不确定，引渡程序的时间取决于诸多因素，因此在目前阶段，何时将嫌疑人带到芬兰会是一个挑战。 曾因超过50000起网络犯罪被定罪 Kivimäki是一个名为Lizard Squad的网络犯罪集团的成员。该组织在2014年底最为活跃，曾参与对PlayStation和Xbox在线游戏服务的DDoS攻击，还曾对一架载有索尼在线娱乐公司总裁约翰-斯梅德利的飞机发出炸弹威胁。 Kivimäki还是个少年时，就参与了一系列高调的网络攻击，并在2013年因50000多起网络犯罪被定罪。 然而，这位17岁的少年没有入狱，仅仅获得到了两年的缓刑。然而这样宽松的判决也引起了网络犯罪领域专家的批评。假设我是另一个黑客组织，看到有人因为超过50000次黑客攻击而仅仅被判处缓刑，这样只能助长网络犯罪的风气。   转自 Freebuf，原文链接：https://www.freebuf.com/news/356806.html 封面来源于网络，如有侵权请联系删除