HackerNews 编译，转载请注明出处： Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者，至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为，他们扮演着初始访问经纪人（IABs）的角色，即先获取目标的初始访问权限，然后在暗网上将其出售给其他攻击者。 为了实施攻击，黑客通常利用一系列开源工具，包括攻击框架 PoshC2、隧道工具 Chisel，以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤： 攻击者使用 PsExec 远程连接到另一台机器，将其作为代理； 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护，并连接到多台机器； 在部分机器上，攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动，网络流量通过 Chisel 隧道传输； 在其他机器上，攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy（如下图）。来源：Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序（PowerShell、C#.NET 和 Python），并预装了多种攻击模块。 Classroom Spy 具备一系列功能，包括： 实时监控电脑屏幕（包括截图）； 控制鼠标和键盘； 在机器间收集和部署文件； 记录访问的网页； 键盘记录； 录音； 访问摄像头； 打开终端； 收集系统信息； 监控和阻止应用程序。 最后，CL-CRI-1014 采用了多种方法来规避检测，包括使用加壳器、用窃取的签名为其工具进行签名，以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

一个新的开源工具”S3crets Scanner “扫描仪允许研究人员和红色团队搜索错误存储在公开曝光的或公司的亚马逊AWS S3存储桶中的 “秘密”。 亚马逊S3（简单存储服务）是一项云存储服务，通常被公司用来将软件、服务和数据存储在被称为桶的容器中。但是公司有时不能很好的保护他们的S3桶，从而导致存储的数据公开暴露在互联网上。 这种类型的错误配置已经造成了数据泄露，威胁者获得了员工或客户的详细资料、备份和其他类型的数据。除了应用程序数据外，S3桶中的源代码或配置文件也可能包含 “秘密”，即认证密钥、访问令牌和API密钥。如果这些秘密被威胁者暴露和访问，可能会对其他服务甚至公司的企业网络进行更大的访问。 扫描S3的秘密 在一次检查世嘉最近的资产暴露的演习中，安全研究员Eilon Harel发现没有扫描意外数据泄露的工具存在，所以他决定创建自己的自动扫描器，并将其作为开源工具发布在GitHub。 为了帮助及时发现公共S3桶上暴露的秘密，Harel创建了一个名为 “S3crets Scanner “的Python工具，自动执行以下操作。 使用CSPM来获取公共桶的列表 通过API查询列出桶的内容 检查是否有暴露的文本文件 下载相关的文本文件 扫描内容中的秘密 将结果转发给SIEM 扫描工具将只列出以下配置设置为 “False “的S3桶，这表示暴露可能是意外的。 “BlockPublicAcls” “BlockPublicPolicy” “IgnorePublicAcls” “RestrictPublicBuckets” 在为 “秘密扫描 “步骤下载文本文件之前，任何打算公开的桶都被从列表中过滤掉。 当扫描一个桶时，脚本将使用Trufflehog3工具检查文本文件的内容，这是一个基于Go的改进版秘密扫描器，可以检查GitHub、GitLab、文件系统和S3桶上的凭证和私钥。 Trufflehog3使用Harel设计的一套自定义规则扫描S3crets下载的文件，这些规则针对个人身份信息（PII）暴露和内部访问令牌。 当定期用于扫描一个组织的资产时，研究人员认为 “S3crets扫描器 “可以帮助企业最大限度地减少因秘密暴露而导致的数据泄露或网络漏洞。 最后，该工具还可用于白帽行动，如扫描可公开访问的桶，并在攻击者发现秘密之前通知其所有人。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348371.html 封面来源于网络，如有侵权请联系删除