HackerNews 编译，转载请注明出处： 据 Palo Alto Networks Unit 42 的调查发现，网络犯罪分子正将目标对准亚马逊网络服务（AWS）环境，向毫无戒心的目标推送网络钓鱼活动。 这家网络安全公司正在追踪一个名为 TGR-UNK-0011（代表动机不明的威胁组织）的活动集群，该公司表示，该集群与一个名为 JavaGhost 的组织有重叠。据悉，TGR-UNK-0011 自 2019 年以来一直活跃。 “该组织历史上一直专注于网站篡改，”安全研究员玛格丽特・凯利（Margaret Kelley）表示。“2022 年，他们转向发送网络钓鱼电子邮件以谋取经济利益。” 值得注意的是，这些攻击并未利用 AWS 的任何漏洞。相反，威胁行为者利用受害者环境中暴露的 AWS 访问密钥的配置错误，通过滥用亚马逊简单电子邮件服务（SES）和 WorkMail 服务发送网络钓鱼消息。 这样一来，其作案手法的好处是无需托管或支付自己的基础设施来开展恶意活动。 更重要的是，这使得威胁行为者的网络钓鱼消息能够绕过电子邮件保护，因为这些数字信件源自目标组织之前接收过电子邮件的已知实体。 “JavaGhost 获得了与身份和访问管理（IAM）用户相关的暴露的长期访问密钥，这使他们能够通过命令行界面（CLI）获得对 AWS 环境的初始访问权限，”凯利解释道。 “在 2022 年至 2024 年期间，该组织演变了他们的战术，采用了更高级的防御规避技术，试图在 CloudTrail 日志中隐藏身份。这种战术历史上曾被 Scattered Spider 利用。” 一旦确认获得对组织 AWS 账户的访问权限，攻击者就会生成临时凭证和登录 URL 以允许控制台访问。Unit 42 指出，这使他们能够隐藏自己的身份并查看 AWS 账户内的资源。 随后，该组织被观察到利用 SES 和 WorkMail 建立网络钓鱼基础设施，创建新的 SES 和 WorkMail 用户，并设置新的 SMTP 凭证以发送电子邮件消息。 “在攻击的时间范围内，JavaGhost 创建了各种 IAM 用户，其中一些他们在攻击期间使用，而另一些他们从未使用，”凯利说道。“未使用的 IAM 用户似乎充当长期持久性机制。” 威胁行为者作案手法的另一个显著特点是创建了一个带有信任策略的新 IAM 角色，从而允许他们从其控制的另一个 AWS 账户访问组织的 AWS 账户。 “该组织继续在攻击过程中留下相同的标记，通过创建名为 Java_Ghost 的新亚马逊弹性云计算（EC2）安全组，其组描述为‘我们存在但不可见’，”Unit 42 总结道。“这些安全组不包含任何安全规则，该组织通常不会尝试将这些安全组附加到任何资源。安全组的创建出现在 CloudTrail 日志的 CreateSecurityGroup 事件中。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，被称为“空间海盗”的威胁行为者与一场针对俄罗斯信息技术（IT）组织的恶意活动有关，该活动使用了一种此前未被记录的恶意软件，名为 LuckyStrike Agent。 此次恶意活动于 2024 年 11 月被俄罗斯国有电信公司 Rostelecom 的网络安全部门 Solar 检测到。Solar 将该活动追踪为Erudite Mogwai。 攻击还使用了其他工具，如 Deed RAT（也称为 ShadowPad Light）和一个定制版本的代理工具 Stowaway，后者此前已被其他与中国有关的黑客组织使用。 “Erudite Mogwai是活跃的高级持续性威胁（APT）组织之一，专门从事机密信息窃取和间谍活动，”Solar 研究人员表示，“自 2017 年以来，该组织一直在攻击政府机构、各类组织的 IT 部门以及与航空航天和电力等高科技产业相关的企业。” 该威胁行为者最早于 2022 年由 Positive Technologies 公开记录，详细说明了其独家使用 Deed RAT 恶意软件的情况。该组织被认为与另一个名为 Webworm 的黑客组织在战术上有重叠。已知其针对俄罗斯、格鲁吉亚和蒙古的组织。 在针对一个政府行业客户的攻击中，Solar 表示发现攻击者部署了各种工具以协助侦察，同时还投放了 LuckyStrike Agent，这是一个多功能的 .NET 后门，使用 Microsoft OneDrive 进行命令与控制（C2）。 “攻击者不迟于 2023 年 3 月通过入侵一个公开访问的网络服务获得了对基础设施的访问权限，随后开始在基础设施中寻找‘低垂果实’，”Solar 表示，“在 19 个月的时间里，攻击者逐渐在客户的系统中扩散，直到 2024 年 11 月到达与监控连接的网络段。” 值得注意的是，攻击者还使用了修改版的 Stowaway，仅保留了其代理功能，并使用 LZ4 作为压缩算法，采用 XXTEA 作为加密算法，增加了对 QUIC 传输协议的支持。 “Erudite Mogwai开始通过削减不需要的功能来修改这个工具，”Solar 表示，“他们继续进行了一些小的修改，如重命名函数和更改结构大小（可能是为了绕过现有的检测特征）。目前，该组织使用的 Stowaway 版本可以称为一个完整的分支。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   OpenAI 表示，已阻止多个朝鲜黑客组织使用其 ChatGPT 平台来研究未来目标并寻找入侵其网络的方法。 “我们封禁了显示与公开报道的朝鲜相关威胁行为者活动的账户，”该公司在 2025 年 2 月的威胁情报报告中表示。 “其中一些账户的活动与一个名为 VELVET CHOLLIMA（又名 Kimsuky、Emerald Sleet）的威胁组织的行为一致，而其他账户则可能与一个被可信来源评估为与 STARDUST CHOLLIMA（又名 APT38、Sapphire Sleet）相关的组织有关。” 这些被封禁的账户是通过一个行业合作伙伴提供的信息检测到的。除了研究网络攻击中使用的工具外，这些威胁行为者还利用 ChatGPT 获取与加密货币相关的信息，这与朝鲜国家支持的威胁组织的常见兴趣相关。 这些恶意行为者还利用 ChatGPT 进行编码辅助，包括如何使用开源远程管理工具（RAT），以及对用于远程桌面协议（RDP）暴力攻击的开源和公开可用的安全工具和代码进行调试、研究和开发辅助。 OpenAI 的威胁分析师还发现，朝鲜行为者在调试自动启动扩展点（ASEP）位置和 macOS 攻击技术时，暴露了当时安全供应商未知的恶意二进制文件的暂存 URL。 这些暂存 URL 和相关的编译可执行文件被提交给一个在线扫描服务，以便与更广泛的安全社区共享。因此，一些供应商现在能够可靠地检测到这些二进制文件，保护潜在受害者免受未来攻击。 OpenAI 在研究朝鲜威胁行为者如何使用被封禁账户时发现的其他恶意活动包括但不限于： – 询问各种应用程序中的漏洞， – 开发和排除 C# 基 RDP 客户端的故障，以启用， – 要求代码以绕过未经授权的 RDP 的安全警告， – 请求多个 PowerShell 脚本，用于 RDP 连接、文件上传/下载、从内存中执行代码和混淆 HTML 内容， – 讨论创建和部署混淆的有效载荷以供执行， – 寻求对加密货币投资者和交易者进行针对性网络钓鱼和社会工程的方法，以及更通用的网络钓鱼内容， – 制作网络钓鱼电子邮件和通知，诱使用户透露敏感信息。 该公司还封禁了与一个潜在的朝鲜 IT 工人计划相关的账户，该计划被描述为具有通过欺骗西方公司雇佣朝鲜人来为平壤政权获取收入的所有特征。 “在似乎获得就业后，他们使用我们的模型执行与工作相关的任务，如编写代码、排除故障和与同事交流，”OpenAI 解释道。“他们还使用我们的模型来编造掩盖故事，以解释异常行为，如避免视频通话、从未经授权的国家访问公司系统或工作时间不规律。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自由职业软件开发者正成为一项持续活动的目标，该活动利用以工作面试为主题诱饵来传播跨平台恶意软件家族，即BeaverTail和InvisibleFerret。据《黑客新闻》报道，这一与朝鲜有关的活动被命名为“欺骗性开发”（DeceptiveDevelopment），与被追踪为“传染性面试”（Contagious Interview，又称CL-STA-0240）、DEV#POPPER、著名千里马（Famous Chollima）、PurpleBravo和坚韧的蓬山（Tenacious Pungsan）的集群有重叠。该活动自2023年底以来一直在进行。 “‘欺骗性开发’通过在求职和自由职业网站上进行鱼叉式网络钓鱼，针对自由职业软件开发者，旨在窃取加密货币钱包以及浏览器和密码管理器中的登录信息，”网络安全公司ESET在一份与《黑客新闻》共享的报告中表示。 2024年11月，ESET向《黑客新闻》证实，“欺骗性开发”与“传染性面试”存在重叠，将其归类为一个新的拉撒路集团（Lazarus Group）活动，该活动旨在进行加密货币盗窃。 这些攻击链的特点是利用社交媒体上的虚假招聘人员资料联系潜在目标，并与他们分享托管在GitHub、GitLab或Bitbucket上的特洛伊木马代码库，以工作面试过程为借口部署后门程序。 这些活动的后续版本已经扩展到其他求职平台，如Upwork、Freelancer.com、We Work Remotely、Moonlight和Crypto Jobs List。正如之前所强调的，这些招聘挑战通常涉及修复漏洞或为加密货币相关项目添加新功能。 除了编码测试，这些虚假项目还伪装成加密货币项目、具有区块链功能的游戏以及具有加密货币功能的赌博应用程序。恶意代码通常以单行代码的形式嵌入到良性组件中。 “此外，他们被指示构建并执行项目以进行测试，这就是初始入侵发生的地方，”安全研究员马特耶·哈夫拉内克（Matěj Havránek）表示。“使用的代码库通常是私有的，因此受害者首先被要求提供他们的账户ID或电子邮件地址以获得访问权限，这很可能是为了掩盖恶意活动，避免被研究人员发现。” 实现初始入侵的第二种方法是诱骗受害者安装带有恶意软件的视频会议平台，如MiroTalk或FreeConference。 虽然BeaverTail和InvisibleFerret都具有信息窃取功能，但前者作为后者的下载器。BeaverTail还有两种变体：一种是可嵌入特洛伊木马项目的JavaScript变体，另一种是使用Qt平台构建的本地版本，伪装成会议软件。 InvisibleFerret是一种模块化的Python恶意软件，它检索并执行三个额外的组件： pay：收集信息并充当后门，能够接受攻击者控制服务器的远程命令，记录键盘输入、捕获剪贴板内容、运行shell命令、从挂载的驱动器中窃取文件和数据，以及安装AnyDesk和浏览器模块，并从浏览器扩展和密码管理器中收集信息； bow：负责窃取存储在基于Chromium的浏览器（如Chrome、Brave、Opera、Yandex和Edge）中的登录数据、自动填充数据和支付信息； adc：通过安装AnyDesk远程桌面软件作为持久化机制。 ESET表示，该活动的主要目标是全球范围内从事加密货币和去中心化金融项目的软件开发者，其中芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国报告了大量目标。 “攻击者不区分地理位置，旨在尽可能多地入侵受害者，以增加成功提取资金和信息的可能性。” 这也在运营商采用的明显较差的编码实践中得到体现，从未能删除开发注释到用于开发和测试的本地IP地址，表明该入侵组织并不关心隐蔽性。 值得注意的是，利用工作面试诱饵是朝鲜各种黑客组织采用的经典策略，其中最突出的是一个长期活动，被称为“梦幻工作”（Operation Dream Job）。 此外，有证据表明，这些威胁行为者还参与了欺诈性的IT工作者计划，朝鲜国民在该计划中以虚假身份申请海外工作，以获取定期薪水，从而为政权的优先事项提供资金。 “‘欺骗性开发’集群是朝鲜相关行为者采用的众多赚钱计划之一，并符合从传统货币转向加密货币的持续趋势，”ESET表示。 “在我们的研究过程中，我们观察到它从原始的工具和技术发展到更高级、更有能力的恶意软件，以及更成熟的技巧来吸引受害者并部署恶意软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个与俄罗斯有关的威胁行为者被观察到通过隐私导向的即时通讯应用 Signal，针对感兴趣的目标个体，以获得对其账户的未经授权访问。 “俄罗斯相关行为者试图 compromise Signal 账户的最新型且广泛使用的技术是滥用该应用合法的‘关联设备’功能，该功能允许多个设备同时使用 Signal，”谷歌威胁情报小组（GTIG）在一份报告中表示。 在这家科技巨头的威胁情报团队发现的攻击中，包括被追踪为 UNC5792 的威胁行为者，他们使用恶意二维码，一旦扫描，就会将受害者的账户链接到行为者控制的 Signal 实例。 因此，未来的消息会同步实时地传递给受害者和威胁行为者，从而让威胁行为者能够持续窃听受害者的对话。谷歌表示，UAC-0195 部分与一个名为 UAC-0195 的黑客组织重叠。 这些二维码已知会伪装成群组邀请、安全警报或来自 Signal 网站的合法设备配对说明。或者，恶意设备链接二维码被发现嵌入在伪装成乌克兰军队使用的专用应用的网络钓鱼页面中。 “UNC5792 已经在其控制的基础设施上托管了修改后的 Signal 群组邀请，设计得与合法的 Signal 群组邀请完全相同，”谷歌表示。 另一个与针对 Signal 的行为者有关的是 UNC4221（也称为 UAC-0185），它通过一个定制的网络钓鱼工具包，模仿乌克兰武装部队用于炮兵制导的 Kropyva 应用的某些方面，来针对乌克兰军事人员的 Signal 账户。 还使用了一种名为 PINPOINT 的轻量级 JavaScript 有效载荷，可以通过网络钓鱼页面收集基本用户信息和地理位置数据。 除了 UNC5792 和 UNC4221 之外，其他一些将目标对准 Signal 的敌对组织包括 Sandworm（也称为 APT44），它使用了一个名为 WAVESIGN 的 Windows 批处理脚本；Turla，它运行一个轻量级的 PowerShell 脚本；以及 UNC1151，它使用 Robocopy 实用程序从受感染的桌面 exfiltrate Signal 消息。 谷歌的披露是在微软威胁情报团队将俄罗斯威胁行为者 Star Blizzard 归因于一项类似的设备链接功能，以劫持 WhatsApp 账户的网络钓鱼活动一个多月后发布的。 上周，微软和 Volexity 还透露，多个俄罗斯威胁行为者正在利用一种称为设备代码网络钓鱼的技术，通过即时通讯应用（如 WhatsApp、Signal 和 Microsoft Teams）来登录受害者的账户。 “最近几个月，多个威胁行为者对 Signal 的操作重点，为安全即时通讯应用面临的日益增长的威胁发出了重要警告，这种威胁肯定会加剧，”谷歌表示。 “正如在广泛的 effort 中所反映的那样，这种对安全即时通讯应用的威胁不仅限于网络钓鱼和恶意软件交付等远程网络操作，还包括关键的 close-access 操作，其中威胁行为者可以短暂访问目标的未锁设备。” 这一披露还紧随发现一种新的搜索引擎优化（SEO）投毒活动，该活动使用伪装成 Signal、LINE、Gmail 和 Google Translate 等流行应用的假下载页面，向说中文的用户传递后门可执行文件。 “通过假下载页面传递的可执行文件遵循一致的执行模式，涉及临时文件提取、进程注入、安全修改和网络通信，”Hunt.io 表示，并补充说这些样本表现出与名为 MicroClip 的恶意软件相关的 infostealer 类似功能。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对 Palo Alto Networks PAN-OS 防火墙发动攻击，利用的是一个最近修复的漏洞（CVE-2025-0108），该漏洞允许绕过认证。 这一安全问题被评定为高严重性，影响 PAN-OS 管理 Web 界面，允许网络上的未认证攻击者绕过认证并调用某些 PHP 脚本，可能危及系统的完整性和机密性。 在 2 月 12 日的安全公告中，Palo Alto Networks 强烈敦促管理员将防火墙升级到以下版本以解决该问题： 11.2.4-h4 或更高版本 11.1.6-h1 或更高版本 10.2.13-h3 或更高版本 10.1.14-h9 或更高版本 PAN-OS 11.0 也受到影响，但该产品已达到生命周期终点（EoL），Palo Alto Networks 不计划为其发布任何修复。因此，强烈建议用户升级到受支持的版本。 受影响的 PAN-OS 版本： 11.2 版本低于 11.2.4-h4 11.1 版本低于 11.1.6-h1 10.2 版本低于 10.2.13-h3 10.1 版本低于 10.1.14-h9 该漏洞由 Assetnote 的安全研究人员发现并报告给 Palo Alto Networks。他们还在补丁发布时发布了包含完整利用细节的技术分析。 研究人员展示了如何利用这一漏洞提取敏感系统数据、检索防火墙配置，或可能操纵 PAN-OS 内的某些设置。 该漏洞的利用方式是利用 PAN-OS 中 Nginx 和 Apache 之间的路径混淆，从而绕过认证。 具有管理界面网络访问权限的攻击者可以利用这一点收集进一步攻击的情报，或通过修改可访问的设置来削弱安全防御。 威胁监控平台 GreyNoise 记录了针对未修补 PAN-OS 防火墙的利用尝试。这些攻击始于 2 月 13 日 17:00 UTC，似乎源自多个 IP 地址，可能表明不同威胁行为者正在利用该漏洞。 关于在线暴露的易受攻击设备，Macnica 研究员 Yutaka Sejiyama 告诉 BleepingComputer，目前有超过 4400 个 PAN-OS 设备在线暴露其管理界面。 为了防范正在进行的利用活动，考虑到概念验证（PoC）已公开，预计未来几天内可能会达到高潮，建议应用可用的补丁并限制对防火墙管理界面的访问。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现了一种名为“whoAMI”的名称混淆攻击，该攻击允许任何人通过发布具有特定名称的亚马逊机器镜像（AMI）来访问亚马逊网络服务（AWS）账户。 “whoAMI”攻击由 DataDog 研究人员于 2024 年 8 月提出，他们证明了攻击者可以通过利用软件项目检索 AMI ID 的方式，在 AWS 账户内获得代码执行权限。 亚马逊确认了这一漏洞，并在 9 月推出了修复措施，但问题在客户侧仍然存在，尤其是在组织未能更新代码的环境中。 实施“whoAMI”攻击 AMI 是预配置了必要软件（操作系统、应用程序）的虚拟机，用于创建在 AWS 生态系统中称为 EC2（弹性计算云）实例的虚拟服务器。 AMI 有公共和私有之分，每个都有特定的标识符。对于公共 AMI，用户可以在 AWS 目录中搜索所需的 AMI ID。 为了确保 AMI 来自 AWS 市场中的可信来源，搜索需要包含“所有者”属性，否则“whoAMI”名称混淆攻击的风险会增加。 “whoAMI”攻击之所以能够实现，是由于 AWS 环境中 AMI 选择的配置错误： 软件使用 ec2:DescribeImages API 检索 AMI 时未指定所有者 脚本使用通配符而不是具体的 AMI ID 一些基础设施即代码（IaC）工具（如 Terraform）使用“most_recent=true”，自动选择符合过滤条件的最新 AMI 这些条件允许攻击者通过命名资源与受信任的资源相似来插入恶意 AMI。如果没有指定所有者，AWS 会返回所有匹配的 AMI，包括攻击者的 AMI。 如果参数“most_recent”被设置为“true”，受害者的系统会提供最新添加到市场中的 AMI，这可能包括一个名称与合法条目相似的恶意 AMI。 演示检索恶意 AMI 而不是受信任的 AMI 攻击者只需发布一个符合受信任所有者使用的模式的 AMI 名称，用户就很容易选择它并启动一个 EC2 实例。 “whoAMI”攻击不需要突破目标的 AWS 账户。攻击者只需要一个 AWS 账户，将他们的后门 AMI 发布到公共社区 AMI 目录中，并战略性地选择一个模仿目标 AMI 的名称。 DataDog 表示，根据他们的遥测数据，他们监控的大约 1% 的组织容易受到“whoAMI”攻击，但“这一漏洞可能影响数千个不同的 AWS 账户”。 亚马逊的回应和防御措施 DataDog 研究人员通知了亚马逊这一漏洞，该公司确认内部非生产系统容易受到“whoAMI”攻击。 问题在 2024 年 9 月 19 日得到修复，12 月 1 日，AWS 引入了一个名为“Allowed AMIs”的新安全控制功能，允许客户创建受信任 AMI 提供商的允许列表。 AWS 表示，除了安全研究人员的测试外，该漏洞未被利用，因此没有客户数据通过“whoAMI”攻击被泄露。 亚马逊建议客户在使用“ec2:DescribeImages”API 时始终指定 AMI 所有者，并启用“Allowed AMIs”功能以获得额外保护。 新功能可通过 AWS 控制台 → EC2 → 账户属性 → Allowed AMIs 访问。 从 2024 年 11 月开始，Terraform 5.77 在使用“most_recent = true”而没有所有者过滤器时开始向用户发出警告，并计划在未来的版本（6.0）中实施更严格的措施。 系统管理员必须审查他们的配置并更新 AMI 源代码（Terraform、AWS CLI、Python Boto3 和 Go AWS SDK），以安全地检索 AMI。 要检查是否正在使用不受信任的 AMI，可以通过“Allowed AMIs”启用 AWS 审计模式，并切换到“强制模式”以阻止它们。 DataDog 还发布了一个扫描器，用于检查 AWS 账户中由不受信任的 AMI 创建的实例，可在 GitHub 仓库 中获取。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络与云安全领域近期出现了一种利用 Webflow 内容分发网络（CDN）上的虚假 PDF 文档进行的广泛网络钓鱼活动，其目的是窃取信用卡信息并实施金融诈骗。 “攻击者针对在搜索引擎上查找文档的受害者，使他们访问到包含嵌入式 CAPTCHA 图像的恶意 PDF，该图像中嵌入了一个钓鱼链接，诱使受害者提供敏感信息。” Netskope 威胁实验室研究员简・迈克尔・阿尔坎塔拉（Jan Michael Alcantara）表示。 自 2024 年下半年以来，这种活动一直在进行。用户在谷歌等搜索引擎上查找书名、文档和图表时，会被重定向到托管在 Webflow CDN 上的 PDF 文件。这些 PDF 文件中嵌入了一个模仿 CAPTCHA 挑战的图像，导致点击该图像的用户被带到了一个钓鱼页面，而这次页面上托管的是一个真实的 Cloudflare Turnstile CAPTCHA。 通过这种方式，攻击者试图为这一过程披上一层合法的外衣，欺骗受害者认为他们进行了一次安全检查，同时也规避了静态扫描器的检测。 完成真实 CAPTCHA 挑战的用户随后会被重定向到一个包含“下载”按钮的页面，以访问所谓的文档。然而，当受害者尝试完成此步骤时，他们会收到一个弹出消息，要求输入个人和信用卡信息。 “在输入信用卡信息后，攻击者会发送一条错误消息，表明信息未被接受。” 迈克尔・阿尔坎塔拉说，“如果受害者再次提交两到三次信用卡信息，他们将被重定向到一个 HTTP 500 错误页面。” 与此同时，SlashNext 详细披露了一种名为 Astaroth 的新型网络钓鱼工具包（不要与同名的银行恶意软件混淆），该工具包在 Telegram 和网络犯罪市场上以 2000 美元的价格出售，提供六个月的更新和绕过技术。 像网络钓鱼即服务（PhaaS）一样，它允许网络犯罪分子通过模仿流行在线服务的虚假登录页面来收集凭证和双因素认证（2FA）代码。 “ Astaroth 利用 Evilginx 风格的反向代理拦截和操纵受害者与合法认证服务（如 Gmail、Yahoo 和 Microsoft）之间的流量。” 安全研究员丹尼尔・凯利（Daniel Kelley）表示，“作为中间人，它实时捕获登录凭证、令牌和会话 cookie，有效绕过了 2FA。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月11日，网络安全公司eSentire发布报告称，网络攻击者正在利用一种名为“ClickFix”的技术，部署名为NetSupport RAT的远程访问木马。 自2025年1月初以来，“ClickFix”技术被频繁用于传播NetSupport RAT。该木马通常通过虚假网站和伪装的浏览器更新传播，攻击者可借此完全控制受害者设备，实时监控屏幕、操作键盘和鼠标、上传下载文件以及执行恶意命令。 NetSupport RAT最初是一款合法的远程IT支持程序，但已被恶意攻击者重新利用，针对组织机构窃取敏感信息，包括屏幕截图、音频、视频和文件。 “ClickFix”技术通过在被入侵的网站上注入虚假验证码页面，诱使用户按照指示复制并执行恶意的PowerShell命令，从而下载并运行恶意软件。在攻击过程中，PowerShell命令用于从远程服务器下载并执行NetSupport RAT客户端，恶意组件以PNG图像文件的形式存储。 此外，ClickFix技术还被用于传播Lumma Stealer恶意软件的更新版本，该软件使用ChaCha20密码算法解密包含命令与控制（C2）服务器列表的配置文件。eSentire表示，这些变化揭示了开发者为绕过当前的提取和分析工具而采用的规避策略。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年2月10日，一名来自阿拉巴马州的男子因在2024年1月通过SIM卡交换攻击劫持美国证券交易委员会（SEC）的X账户而认罪。 25岁的被告埃里克·康塞尔（Eric Council Jr.）最初对该账户的黑客攻击行为表示不认罪。他被指控通过黑客手段劫持账户，并协助同伙发布了一条虚假消息，称比特币ETF已获批准。 虚假消息内容如下：“今天，美国证券交易委员会批准了比特币ETF在注册的国家证券交易所上市。获批准的比特币ETF将受到持续监控和合规措施的约束，以确保投资者保护。” 康塞尔的虚假帖子导致比特币价格一度上涨1000美元，随后在SEC主席加里·根斯勒（Gary Gensler）发推文称SEC账户被劫持、比特币ETF批准消息为假后，比特币价格迅速下跌2000美元。 SEC次日确认，@SECGov X账户是通过针对账户负责人的手机号码的SIM卡交换攻击被攻破的。这使得被告能够控制该手机号码，重置账户密码以发布虚假消息，并允许其他同伙（他们支付了他5万美元比特币）访问被攻破的账户并发布虚假消息。 美国司法部表示，作为该计划的一部分，康塞尔使用身份证打印机，利用从同伙那里获得的受害者个人信息，制作了一张虚假身份证。他利用这张虚假身份证冒充受害者，获取其手机号码，进而访问SEC的账户。 法庭文件还显示，康塞尔使用个人电脑搜索与攻击相关的信息，并表达了对联邦调查局（FBI）正在调查他的担忧。调查人员发现，被告搜索了诸如“如果FBI尚未联系你，如何知道你正在被执法部门调查”以及“如何确定我是否正在被FBI调查”等内容。 康塞尔将于5月16日被判刑，他因承认共谋实施严重身份盗窃和访问设备欺诈罪，面临最高五年监禁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文