Hackernews 编译，转载请注明出处： 在2022年3月至6月期间，多达三个不同但相关的活动被发现将各种恶意软件（包括 ModernLoader、RedLine Stealer和加密货币矿工）发送到受感染系统上。 Cisco Talos研究员Vanja Svajcer在与The Hacker News分享的一份报告中说：“攻击者使用PowerShell、.NET程序集、HTA和VBS文件在目标网络中传播，最终丢弃其他恶意软件，例如SystemBC特洛伊木马和DCRat，以实现其操作的各个阶段。” 该恶意植入程序名为ModernLoader，旨在为攻击者提供对受害者计算机的远程控制，从而使攻击者能够部署额外的恶意软件、窃取敏感信息，甚至使计算机陷入僵尸网络。 Cisco Talos将感染归因于一名以前没有记录但会说俄语的黑客，理由是使用了现成的工具。潜在目标包括保加利亚、波兰、匈牙利和俄罗斯的东欧用户。 这家网络安全公司发现的感染链涉及试图破坏易受攻击的网络应用程序（WordPress和CPanel），通过假冒亚马逊礼品卡的文件传播恶意软件。 第一阶段有效负载是一个HTML应用程序（HTA）文件，它运行托管在命令和控制（C2）服务器上的PowerShell脚本，以启动临时有效负载的部署，最终使用称为进程空心化的技术注入恶意软件。 ModernLoader（又名Avatar bot）被描述为一种简单的.NET远程访问木马，它具有收集系统信息、执行任意命令或从C2服务器下载并运行文件的功能，允许攻击者实时更改模块时间。 Cisco的调查还发现了2022年3月的两个早期活动，其作案手法相似，利用ModerLoader作为主要的恶意软件C2通信，并提供其他恶意软件，包括XMRig、RedLine Stealer、SystemBC、DCRat和Discord令牌窃取程序等。 Svajcer说：“这些活动描绘了一个尝试不同技术的黑客，使用现成的工具表明，攻击者了解成功的恶意软件活动所需的TTP，但他们的技术技能还不足以完全开发自己的工具。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月30日消息，威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动，该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。 该恶意软件由 Golang 编写，Golang 因其跨平台的特性（Windows、Linux、Mac）以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中，攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的有效负载。 感染链 感染始于一封带有“Geos-Rates.docx”恶意文档的网络钓鱼电子邮件，该文档会下载模板文件，其中包含一个经过混淆的 VBS 宏，如果在 Office 套件中启用了宏，该宏会自动执行。之后，该代码从一个远程资源（“xmlschemeformat[.]com”）下载 JPG 图片（“OxB36F8GEEC634.jpg”），使用 certutil.exe 将其解码为可执行文件（“msdllupdate.exe”）并启动。 以图像查看器（左）和文本编辑器（右）打开图片文件 在图像查看器中，这是一张由 NASA 的詹姆斯韦伯望远镜于 2022 年 7 月发布的星系团 SMACS 0723图片，若使用文本编辑器打开，则会显示伪装成内含证书的额外内容，其本质是Base64编码的恶意有效载荷。有效载荷的字符串使用ROT25进一步混淆，而二进制文件使用XOR来隐藏Golang程序集，以防止分析人员发现。除此之外，这些程序集还使用了案例修改来避免安全工具基于签名的检测。 根据动态恶意软件分析推断出的情况，该可执行程序通过复制到’%localappdata%%microsoft\vault\’并添加一个新的注册表键来实现持久性，之后便与命令和控制（C2）服务器建立了DNS连接，并发送加密查询。C2可通过设置连接请求之间的时间间隔、更改nslookup超时或通过Windows cmd.exe工具发出执行命令来响应恶意软件。 在测试过程中，Securonix观察到攻击者在其测试系统上运行任意的枚举命令，这是一个标准侦察步骤的第一步。研究人员指出，用于该活动的域名注册时间较新，最早的注册时间是 2022 年 5 月 29 日。 Securonix 提供了一组危害指标 (IoC)，其中包括基于网络和主机的指标。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343382.html 封面来源于网络，如有侵权请联系删除

乌俄冲突让网络战更加白热化，近期，美国陆军本周宣布对外招募网络战部队，防御国外政府发动的网络攻击以及防御工作。 美国陆军指出，21世纪的战争已经转移到网络，恶意网络流量、复杂的钓鱼攻击、病毒和其他虚拟攻击，正对美国关键基础设施以及人民安全产生直接威胁。 美国陆军表示，加入“网络战士”将会获得网络攻击及防御任务的技能训练，强化辨识锁定政府机构和金融中心的广告软件、勒索软件、间谍软件，以及找出国际黑客网络、破坏国内网络犯罪计划，保卫美国陆军通讯的能力。 虽然网络战一直存在，但在乌俄冲突后，网络战争也由暗转明，美国拜登政府今年也号召投入资金强化美国国防，号召企业协助美国网络基础架构及军事、政府信息系统的防御。另一方面，新冠疫情影响降低民众从军意愿，美陆军今年一月宣布提供入伍奖金到最高一年5万美元以及其他奖金。 美国陆军招募的主要包括网络电子作战官、网络作战官、密码情报分析师、网络防御员以及网络作战专员。网络电子作战官是网络防御及整合首要人物，负责协调电子攻击和防御任务，并提供电子作战支援。网络作战官主要面对敌人行动执行攻击。 密码情报分析师负责搜集和分析情报，找出目标所在，也要从电脑、语音、影像及文字通讯中找出敌军行动样态线索，协助作战。网络防御员则是专注在电脑网络，包括基础架构支援、安全事件回应、稽核和管理，也需侦测和扫除网络上的未授权活动，并以各种工具来分析以及回应攻击。最后，网络作战专员负责确保美国陆军的重要武器系统，包括卫星、导航、飞航系统免于国内、国外网络威胁。这个角色要协助指挥官在“网络所有领域”克敌制胜。 美国陆军将提供的训练包括基础技术、情报和网络作战技能、程序编写语言、IT安全认证、网络作战策划和执行、进阶的电脑指令、鉴识、恶意程序分析和黑客训练、以及拦截防范爆炸装置（improvised explosive device，IED）和辨识及对抗雷达及其他电子攻击系统的训练。 已有理工科系学位且现职为网络专业人士若加入美军，可以申请成为军官，依其程序编写及分析经验而定，军职可以从少尉起跳，最高到上校，而且获得相应的加给。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/gy0E2fELt83cRZrbHo8NzQ 封面来源于网络，如有侵权请联系删除

据悉，朝鲜民族国家组织 Kimusky 在2022年与初针对韩国的一系列新的恶意活动有关。 卡巴斯基将集群代号为GoldDragon，感染链导致 Windows 恶意软件的部署，这些恶意软件旨在文件列表、用户击键和存储的 Web 浏览器登录凭据。 潜在受害者包括韩国大学教授、智库研究人员和政府官员。 Kimsuky，也被称为 Black Banshee、Thallium 和 Velvet Chollima，是朝鲜多产的高级持续威胁 (APT) 组织的名称，该组织以全球实体为目标，但主要关注韩国，以获取有关各种政权情报。 该组织自 2012 年以来一直在运营，主要使用社会工程策略、鱼叉式网络钓鱼和水坑攻击来从受害者那里窃取所需信息的历史。 上个月末，网络安全公司 Volexity 归咎于一项情报收集任务，该任务旨在通过名为 Sharpext 的恶意 Chrome 浏览器扩展程序从 Gmail 和 AOL 中窃取电子邮件内容。 最新的活动遵循类似的作案手法，其中攻击序列是通过包含宏嵌入 Microsoft Word 文档的鱼叉式网络钓鱼消息发起的，据称这些文档包含与该地区政治问题相关的内容。 据说替代的初始访问路线也利用 HTML 应用程序 (HTA) 和编译的 HTML 帮助 (CHM) 文件作为诱饵来破坏系统。 无论使用哪种方法，初始访问之后都会从远程服务器中删除一个 Visual Basic 脚本，该脚本被编排为对机器进行指纹识别并检索其他有效负载，包括能够泄露敏感信息的可执行文件。 该攻击的新颖之处在于，如果收件人单击电子邮件中的链接以下载其他文档，则受害者的电子邮件地址会传输到命令和控制 (C2) 服务器。如果请求不包含预期的电子邮件地址，则返回良性文档。 为了使杀伤链更加复杂，第一阶段的 C2 服务器将受害者的 IP 地址转发到另一个 VBS 服务器，然后将其与目标打开诱饵文档后生成的传入请求进行比较。 两台 C2 服务器中的“受害者验证方法”确保仅在 IP 地址检查成功时才交付 VBScript，表明该方法具有高度针对性。 卡巴斯基研究员 Seongsu Park 说：“Kimsuky 组织不断改进其恶意软件感染方案，并采用新技术来阻碍分析，追踪这个群体的主要困难是很难获得完整的感染链。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Ulc-heW6R_r8395RKfov4Q 封面来源于网络，如有侵权请联系删除

据Bleeping Computer8月24日消息，一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，其中包括受多因素身份验证 （MFA） 保护的帐户。 Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。 在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。 在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。 发送给目标高管的网络钓鱼邮件 攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。 攻击者将手机添加为新的 MFA 设备 由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。 在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。 然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342973.html 封面来源于网络，如有侵权请联系删除

根据Radware最新发布的报告，与2021年前六个月相比，2022年上半年恶意DDoS攻击的数量增加了203%。 报告还指出俄乌冲突改变了DDoS威胁格局——焦点从疫情转向爱国黑客活动攻击。 DDoS攻击剧增 2022年前六个月，全球DDoS活动显著增加： 与2021年前六个月相比，恶意DDoS攻击的数量增加了203%。 2022年前六个月的恶意DDoS事件比2021年全年多60%。 2022年5月，Radware缓解了一次大规模地毯轰炸攻击，总流量为2.9 PB。攻击持续了36小时，峰值为1.5 Tbps，持续攻击速率超过700 Gbps，持续时间超过8小时。从持续时间、数量和平均/持续攻击率等数据指标来看，该攻击是有记录以来最大规模的DDoS攻击之一。 爱国黑客行为激增 2022年上半年，爱国黑客行为急剧增加。 亲乌克兰和亲俄罗斯的网络军团都试图通过窃取和泄露信息、拒绝服务攻击来破坏和制造混乱。 DragonForce Malaysia是2021年针对中东组织的黑客行动，在2022年卷土重来，它最近的活动是对国家事件的政治回应。OpsBedil Reloaded是对以色列发生的一系列事件的回应。OpsPatuk行动则是针对印度一位知名政治人物的公开评论。 与菲律宾2022年大选有关的DDoS攻击针对菲律宾的主要信息和通信网络，包括CNN、新闻网络ABS-CBN、Rappler和VERA Files。 “目前世界上没有任何组织可以免受网络报复，”报告警告说：“新的大量参与者可能会给情报服务带来极端的不可预测性，从而产生溢出和错误归因的可能性，最终可能导致网络冲突升级。” RDoS勒索服务卷土重来 在战争领域之外，其他网络犯罪集团卷土重来并继续开展业务。 2022年上半年，一个自称是REvil的组织发起了一场新的RDoS攻击活动。这一次，该组织不仅在攻击开始前发送赎金警告记录，而且还在有效载荷中嵌入了赎金记录和要求。 2022年5月，Radware发现了来自一个伪装成Phantom Squad的组织的几封勒索信。 零售和高科技行业是最热门的网络攻击目标 在2022年的前六个月，针对在线应用程序的恶意交易有所增加，主要是可预测的资源定位和注入攻击。 与2021年前六个月相比，恶意Web应用程序交易数量增长了38%，超过了2020年记录的恶意交易总数。 可预测的资源定位攻击占所有攻击的48%，其次是代码注入(17%)和SQL注入(10%)。 受攻击最多的行业是零售和批发贸易（27%）和高科技（26%）。运营商和SaaS提供商排名第三和第四，分别承受了14%和7%的攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/46215 封面来源于网络，如有侵权请联系删除

在我们还在纠结买车全款还是贷款的时候，就有人在网上直接2200多万元，拍下一辆柯尼塞格超跑了，这你敢相信？不过，有钱人也有有钱人的烦恼，买车稍有不慎同样“进坑”。日前，网友上传一段视频显示，一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑，8月19日，和朋友一起斥资2200多万元将其拍下。 8月21日收到平台的付款信息，将剩余车款2200多万元全款支付，计划22日前往天津提车。但是此时却有意外发生，平台告知，因为受到黑客攻击，导致拍卖结果有误。 原本愉快的提车之旅，现在变成了维权之路，就在他们去往天津的路上，拍卖平台无任何说法，将车款全额退还；5个多小时后，将300万元保证金一同退还。 8月24日，他们一行人来到拍卖平台所在公司，却得不到任何答复，也不出具任何证明，只说明事情仍在调查当中。 对此，买家相当不解，如果是他们拍卖后，不及时支付尾款，那么他们300万的保证金平台肯定不会退还；但现在是他们支付了尾款，而平台方却不给提车，平台这种做法是否构成违约，需要退还双重保证金？需要专业人士来解答。 目前，双方还未达成一致，后续关注。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308665.htm 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞，从用户处掠夺加密货币。 攻击事件发生不久后，General Bytes 在一份公告中表示，自 2020-12-08 版本以来，该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面，利用页面上的 URL 调用，远程创建管理员用户。 CAS CAS，Crypto Application Server 的缩写，是 General Bytes 公司旗下一款自托管产品，能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM（BATM）机器。 目前，涉及 CAS 管理界面的零日漏洞，已经在以下两个版本的服务器补丁中得到了修复： 20220531.38 20220725.22 General Bytes 强调，未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间，识别出在端口 7777 或 443 运行的 CAS 服务，随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。 之后，黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”，这时候客户向 ATM 机发送加密货币，双向 ATM 机则会向黑客钱包地址转发货币。 换句话说，攻击者主要目的是通过修改设置，将所有资金都转到其控制的数字钱包地址里。值得一提的是，目前尚不清楚有多少服务器受到此漏洞影响，以及有多少加密货币被盗。 最后，General Bytes 公司强调，自 2020 年以来，内部已经进行了多次“安全审计”，从未发现这一零日漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342610.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用，来破坏目标网络，进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说： “Bumblebee操作员进行密集的侦察活动，并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光，当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动，该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付，此后，这种操作方式得到了调整，避开使用带有宏的文档，转而使用ISO和LNK文件，主要是为了响应微软默认阻止宏的决定。 研究人员说：“恶意软件的传播是通过钓鱼电子邮件来完成的，该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行，最终用户必须提取存档，挂载ISO映像文件，并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言，包含启动Bumblebee加载程序的命令，然后将其用作下一阶段操作（如持久性、权限升级、侦察和凭据盗窃）的管道。 攻击期间还使用了Cobalt Strike对手模拟框架，该框架在受感染端点上提升权限后，使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中，一名高权限用户的被盗凭据随后被用来控制Active Directory，更不用说创建一个本地用户帐户来进行数据泄露。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件，冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵，而在近期的恶意活动中，该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。 这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后，就会显示上图这样的诱饵 PDF 文件，然后就会调用恶意 DLL，最终允许威胁攻击者向受影响的设备发送命令。 ESET 的网络安全专家表示黑客已经做好攻击 macOS 系统的准备了。专家表示 Intel 和 Apple Silicon 的 Mac 均会受到影响，意味着无论新旧设备都可以成为黑客的攻击目标。 在 Twitter 上的一份帖子中，该恶意文件会释放 3 个文件 ● 捆绑的 FinderFontsUpdater.app ● 下载器 safarifontagent ● 一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。 ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来，后者也被认为是 Lazarus 的手笔，以类似的方式攻击知名航空航天和军事组织。 查看 macOS 恶意软件，研究人员注意到它是在 7 月 21 日签署的（根据时间戳值），并在 2 月份向开发人员颁发了证书，该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。 8 月 12 日，该证书尚未被 Apple 吊销。但是，该恶意应用程序并未经过公证，这是Apple 用于检查软件是否存在恶意组件的自动过程。 与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比，ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器，该服务器在分析时不再响应。长期以来，朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305963.htm 封面来源于网络，如有侵权请联系删除