蓝队取证审计网络安全

近期，安全研究人员发现了一种分发 Remcos 远程访问木马 (RAT) 的新方法。这种恶意软件可以让攻击者完全控制受感染的系统，并通过包含缩短URL 的恶意 Word 文档进行传播。 这些URL会导致下载Remcos RAT，该木马可用于数据窃取、间谍活动以及其他恶意活动。理解感染链条并识别此类攻击的迹象对于减少这些威胁至关重要。 感染链分析 这种攻击通常始于一封包含.docx附件的电子邮件，旨在欺骗接收者。在检查该文件时，发现其中包含一个缩短的URL，显示出恶意意图。该URL会重定向至下载以RTF格式存在的Equation Editor恶意软件的变种。 通过利用Equation Editor的漏洞（CVE-2017-11882），这种恶意软件试图下载一个由一长串连接的变量和字符串组成的VB脚本，可能经过编码或混淆处理。 这些字符串形成一个编码的有效负载，可以稍后在脚本中解码或执行。 该VB脚本解混淆后变成PowerShell代码，尝试通过隐写术图像和反向Base64编码的字符串下载恶意二进制文件。 尽管进行了一次命令与控制（C2）的调用，但也存在TCP重新连接，表明C2可能不可用。 被动DNS分析确认了C2域名，但它们目前处于停用状态。 攻击细节 该文档（SHA1：f1d760423da2245150a931371af474dda519b6c9）包含两个关键文件：settings.xml.rels 和 document.xml.rels，位于 word/_rels/。 Settings.xml.rels 文件显示了一个缩短的 UR…

Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。 该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。 Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。 2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。 Hunters International 是一个在 2023 年底开始活跃的勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。 到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。 SharpRhino RAT SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。 存档内容 安装程序会修改 Windows 注册表以实现持久…

往期回顾： 2024.7.22—2024.7.28安全动态周回顾 2024.7.15—2024.7.21安全动态周回顾 2024.7.8—2024.7.14安全动态周回顾 2024.7.1—2024.7.7安全动态周回顾 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾

Bitdefender 于 2020 年首次记录了 Android 间谍软件“Mandrake”，研究人员强调了该恶意软件复杂的间谍功能，并指出它至少从 2016 年开始就在野外运行。 卡巴斯基最近报告称，具有更好的混淆和规避功能的 Mandrake 新变种已经通过 2022 年提交给 Google Play 的五个应用程序潜入进来。 这些应用程序至少持续可用一年，而最后一个应用程序 AirFS（在受欢迎程度和感染率方面较为突出）于 2024 年 3 月底被删除。 Google Play 上的 AirFS 卡巴斯基确定了五款携带 Mandrake 的应用程序如下： · AirFS – it9042 通过 Wi-Fi 共享文件（2022 年 4 月 28 日至 2024 年 3 月 15 日期间下载量为 30,305 次） · Astro Explorer 来自 shevabad（2022 年 5 月 30 日至 2023 年 6 月 6 日期间下载量为 718 次） · Amber 来自 kodaslda （2022 年 2 月 27 日至 2023 年 8 月 19 日期间下载量为 19 次） · CryptoPulsing 来自 shevabad（2022 年 11 月 2 日至 2023 年 6 月 6 日期间下载量为 790 次） ·Brain Matrix 来自 kodaslda（2022 年 4 月 27 日至 2023 年 6 月 6 日期间下载量为 259 次） 该网络安全公司表示，大多数下载来自加拿大、德国、意大利、…

WhatsApp for Windows 最新版本中存在一个安全问题，允许发送 Python 和 PHP 附件，当收件人打开这些附件时，这些附件会在没有任何警告的情况下执行。要成功攻击，需要安装 Python，这一先决条件可能会将目标限制在软件开发人员、研究人员和高级用户。 该问题与 4 月份影响 Windows 版 Telegram 的问题类似，该问题最初被拒绝但后来得到修复，攻击者可以在通过消息传递客户端发送 Python .pyzw 文件时绕过安全警告并执行远程代码执行。 WhatsApp 屏蔽了多种被认为对用户有风险的文件类型，但该公司不打算将 Python 脚本添加到列表中且PHP 文件 (.php) 也不包含在 WhatsApp 的阻止列表中。 Python、PHP 脚本未被阻止 安全研究员 Saumyajeet Das 在试验可以附加到 WhatsApp 对话中的文件类型时发现了此漏洞，以查看该应用程序是否允许任何有风险的文件。当发送潜在危险的文件（例如 .EXE）时，WhatsApp 会显示该文件并为收件人提供两个选项：打开或另存为。 WhatsApp 的可执行文件选项 但是，当尝试打开文件时，WhatsApp for Windows 会生成错误，用户只能选择将文件保存到磁盘并从那里启动它。在测试中，使用 WhatsApp for Windows 客户端时，此行为与 .EXE、.COM、.SCR、.BAT 和 Perl 文件类型一致。Das 发现 WhatsApp 还会阻止 .DLL、.HTA 和 VBS 的执行。 对于…

威胁者利用 CrowdStrike 故障更新造成大规模业务中断，利用数据擦除器和远程访问工具攻击公司。随着越来越多企业寻求帮助，要求修复受影响的 Windows 主机，研究人员和政府机构发现试图利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道沟通 CrowdStrike 在最新的更新中表示，它“正在积极协助受到近期内容更新影响的客户”，该更新导致全球数百万台 Windows 主机崩溃。 该公司建议客户通过官方渠道验证他们是否与合法代表进行沟通，因为“对手和不良行为者会试图利用此类事件”。 英国国家网络安全中心 (NCSC) 警告称，他们发现旨在利用此次中断的网络钓鱼邮件数量有所增加。自动恶意软件分析平台 AnyRun 也注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼”。 伪装成修复程序和更新的恶意软件 网络安全研究员 g0njxa 首次报告了针对 BBVA 银行客户的恶意软件活动，该活动提供了安装 Remcos RAT 的虚假 CrowdStrike Hotfix 更新。 该虚假修补程序通过钓鱼网站 portalintranetgrupobbva[.]com 进行推广，该网站伪装成 BBVA 内部网门户。恶意存档中附有说明，告知员工和合作伙伴安装更新，以避免在连接到公司内部网络时出现错误。 “强制更新以避免公司内部网络的连接和同步错误”，西班牙语的“instrucciones.txt”文件写道。AnyRun 也在社交媒体上发布了有关同一活动的推文，他表示，假冒的热修复程序会提供 HijackLoader，然后…

循万变·见未来——技术前瞻 未来，静态代码分析领域发展趋势将呈现五大特征： 特征一：关注度提升 随着该领域技术的日益普及和需求的不断上升，在未来，该领域将会受到更多技术和市场的关注。 特征二：全面的代码质量评估 随着分析技术的提高，静态代码分析工具或将超越基本的语法和安全性检查，可提供包括代码风格、可维护性、性能等多方面的综合评估，并且安全性将会进一步被重视，静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著，通过与持续集成/持续交付（CI/CD）流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。 特征三：遵从性与合规性支持 工具将更加注重帮助企业满足行业标准和法规要求，减少合规风险，特别是在部分高度规范的行业中。 特征四：定制化解决方案与开源生态 用户对于定制化静态代码分析规则的需求将持续增长，同时开源工具因其灵活性和成本效益而受到更多开发者的青睐，并促进形成更加活跃的社区和生态系统。 特征五：智能化分析工具 人工智能和机器学习技术的发展或将被应用于静态代码分析，以提供更为深入和精准的代码审查。 ——四维创智（成都）科技发展有限公司 高级研发工程师 王磊 在静态代码分析领域，传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性，导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果，特别是YakSSA和SyntaxFlow两项创新技术。 YakSSA，一种为代码审计量身定制的静态单一赋值（SSA）格式中间表示（IR），解决了传统工具在OOP语言和闭包…

安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。 RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。 两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。 虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。 Revolver Rabbit 运营着超过 500,000 个域名 专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。 威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。 Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。 Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，…

上周五，CrowdStrike 发布了一项错误更新，导致全球数百万台 Windows 设备突然崩溃，出现蓝屏死机 (BSOD) 并进入重启循环。 这次故障导致大规模 IT 中断，公司突然发现所有 Windows 设备都无法使用。这些 IT 中断影响了世界各地的机场、医院、银行、公司和政府机构。 为了解决此问题，管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境，并从 C:\Windows\System32\drivers\CrowdStrike 文件夹中手动删除有问题的内核驱动程序。但是，由于面临数百甚至数千台受影响的 Windows 设备，因此手动执行这些修复可能会很麻烦、耗时且困难。 为了帮助 IT 管理员和支持人员，微软发布了一款自定义恢复工具，可以自动从 Windows 设备中删除有缺陷的 CrowdStrike 更新，以便它们可以再次正常启动。“作为对影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续行动，我们发布了一款 USB 工具来帮助 IT 管理员加快修复过程，”微软支持公告中写道。 用户可以在 Microsoft 下载中心找到签名的 Microsoft 恢复工具：https://go.microsoft.com/fwlink/?linkid=2280386。” 要使用 Microsoft 的恢复工具，IT 人员需要一个具有至少 8 GB 空间的 Windows 64 位客户端、此设备的管理权限、一个至少具有 1 GB 存储空间的 USB 驱动器以及 Bitl…

流行的开源项目“ip”的 GitHub 存储库最近被其开发人员存档或设为“只读”，由于 Fedor Indutny 的项目收到了 CVE 报告，因此网上有人开始向他报告这个漏洞。 不幸的是，Indutny 的案例并非孤例。近年来，开源开发者收到的有争议的 CVE 报告数量不断增加，有些甚至是未经确认的伪造 CVE 报告。 这可能会导致这些项目的用户产生不必要的恐慌，并且安全扫描程序会生成警报，而所有这些都会成为开发人员的头痛之源。 “node-ip” GitHub 存储库已存档 本月初，“node-ip”项目的作者 Fedor Indutny 将该项目的 GitHub 存储库存档，实际上使其成为只读的，并限制了人们打开新问题（讨论）、拉取请求或向项目提交评论的能力。 node-ip GitHub repo 已存档并设为“只读” “node-ip”项目作为“ip”包存在于 npmjs.com 注册表中，每周下载量达 1700 万次，是 JavaScript 开发人员使用的最受欢迎的 IP 地址解析实用程序之一。 6 月底，Indutny 在社交媒体上表达了存档“node-ip”背后的理由与 CVE-2023-42282 有关，这是该项目今年早些时候披露的一个漏洞。 使用其他开放项目（例如应用程序中的 npm 包和依赖项）的 Node.js 开发人员可以运行“npm audit”命令来检查其应用程序所使用的这些项目中是否有针对它们的漏洞报告。 Bothered dev 的开发人员在社交媒体上表达了他的担忧 该 CVE 与实用程序无法正…

7月19日,微软在全球多地出现“蓝屏故障”,大量用户无法正常操作系统,其中不少出现了“csagent.sys”错误。其原因是美国网络安全服务提供商CrowdStrike更新错误所致。该事件影响到了世界各地的各种组织和服务，包括机场、电视台和医院等大型企业。 事发当天，大量用户反馈在安装 CrowdStrike Falcon Sensor 的最新更新后，Windows 主机陷入启动循环或显示蓝屏死机 (BSOD)。 该安全供应商承认了该问题，并发布了技术警报，解释称其工程师“发现了与此问题相关的内容部署并撤销了这些更改”。 CrowdStrike 的工程团队迅速应对了这一危机。根据该公司论坛上的一个置顶帖，该团队已确定与该问题相关的内容部署并恢复了这些更改。 CrowdStrike透露，罪魁祸首是一个通道文件，其中包含传感器的数据。由于它只是传感器更新的一个组件，因此可以单独解决此类文件，而无需删除 Falcon 传感器更新。 对于已经受到影响的用户，CrowdStrike 提供了以下解决方法： 1、将 Windows 启动到安全模式或 Windows 恢复环境 （1）重启你的电脑。 （2）当您的计算机重新启动时，按F8（或Shift + F8）打开高级启动选项菜单。 （3）选择Safe Mode并按 Enter。 2、删除相关文件 （1）导航到 C:\Windows\System32\drivers\CrowdStrike 目录。 （2）找到匹配“C-00000291*.sys”的文件，并将其删除。 3、重启电脑。 CrowdStrik…

Authy 是一款移动应用程序，可在启用 MFA 的网站上生成多因素身份验证码。 6 月底，一个名为 ShinyHunters 的威胁分子泄露了一个 CSV 文本文件，其中包含他们声称的在 Authy 服务上注册的 3300 万个电话号码。 Twilio 已确认，不安全的 API 端点允许威胁分子验证数百万 Authy 多因素身份验证用户的电话号码，而这使他们很容易就受到短信网络钓鱼和 SIM 卡交换攻击。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据 该 CSV 文件包含 33,420,546 行，每行包含一个帐户 ID、电话号码、一个“over_the_top”列、帐户状态和设备数量。 Twilio 现已证实，威胁分子使用未经身份验证的 API 端点编制了电话号码列表。Twilio 检测到威胁分子能够通过未经身份验证的端点识别，与 Authy 帐户相关的数据，包括电话号码。目前，Twilio 已采取措施保护此端点，不再允许未经身份验证的请求。 Twilio 接受媒体采访时表示“没有看到任何证据表明威胁分子获得了 Twilio 系统或其他敏感数据的访问权限。作为预防措施，我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获取最新的安全更新，并鼓励所有 Authy 用户保持警惕并提高对网络钓鱼和短信钓鱼攻击的认识。” 早在2022 年，Twilio 就披露其在 6 月和 8 月遭受了入侵，威胁分子得以入侵其基础设施并访问 Authy 客户信息。 滥用不安全的 API 据获…

网络安全专家发现了一种名为“XFiles Stealer”的新型恶意软件，该恶意软件瞄准 Windows 用户窃取密码和其他敏感信息。 网络安全研究机构 MonThreat 通过其 X 官方频道公布了这一发现。 XFiles Stealer 新版本发布 XFiles Stealer 以 C 编程语言编写，已在暗网论坛上发布，并附带更新。Xfiles 可在 Windows 7 至 Windows 11 的机器上运行。它收集浏览器数据、cookie、密码、自动填充、信用卡等…… 根据分析，这种复杂的恶意软件对个人用户和企业组织都构成威胁。 X-Files Stealer 旨在通过各种媒介渗透 Windows 系统，包括网络钓鱼电子邮件、恶意下载和受感染的网站。 一旦安装，恶意软件就会秘密运行，逃避传统防病毒软件的检测。 它主要用于提取存储在网络浏览器、电子邮件客户端和其他应用程序中的密码。 被盗数据随后被传输到网络犯罪分子控制的远程服务器，网络犯罪分子可以利用这些数据进行身份盗窃、金融欺诈和其他恶意活动。 MonThreat 的分析表明，XFiles Stealer 采用了代码混淆和加密等先进技术来逃避检测。 鉴于 XFiles Stealer 的复杂性，网络安全专家建议应采取多种措施来防范此类威胁和类似的威胁。 ·首先，用户应确保其操作系统和软件已安装最新的安全补丁。 ·此外，采用具有实时保护功能的强大防病毒解决方案可以帮助检测并阻止恶意软件造成危害。 ·最后，建议用户在打开来自未知发件人的电子邮件或从不受信任的来源下载文件时要小心谨慎。 …

在数字化和智能化浪潮的推动下，网络安全产业正处于一个快速变革的时期。从传统的防御手段和被动的威胁应对，到如今主动预防和智能检测技术的普及，网络安全领域的焦点和需求正不断演进。为了更好的理解当前网络安全产业现状和未来发展方向，嘶吼安全产业研究院在2024年7月16日正式发布《嘶吼2024网络安全产业图谱》，旨在全面展示网络安全产业的构成及其重要组成部分，探索网络安全产业的竞争格局和发展前景。 本次《嘶吼2024网络安全产业图谱》通过市场调研、数据精析、文献研究及政策参考等多方面的综合分析，全面反映了网络安全行业的市场规模，揭示了产业化重点发展的方向，并展示了各细分领域在整个网络安全行业中的市场占比情况，深入分析了行业热门细分赛道的市场潜力和发展趋势。 嘶吼安全产业研究院希望通过本次发布的图谱，能够为各行业、研究机构和政府部门提供有价值的参考，助力他们在网络安全领域取得更大的进展和成就。嘶吼也将继续跟踪行业动态，及时发布研究成果，推动网络安全产业的健康发展，共同应对数字时代的安全挑战。 图谱概况： 全景示意图，高清完整版下载请在文末获取 《嘶吼2024网络安全产业图谱》调研共收到400+网络安全企业参报，嘶吼安全产业研究院通过全面的市场调研与数据分析，对收录企业进行筛选，重点展示综合能力较高或具有代表性的企业，为行业用户提供更精准的行业参考指南。本次图谱共涉及七大类别，127个细分领域。相比于2023年新增5个细分领域，下面为本次图谱新增与修改部分。 新增分类： · 基础技术与通用能力-身份和访问安全…

研究发现，黑客正试图利用现代事件日历 WordPress 插件中的漏洞（该漏洞存在于超过 150,000 个网站上），将任意文件上传到易受攻击的站点并远程执行代码。 该插件由 Webnus 开发，用于组织和管理现场、虚拟或混合活动。 攻击中利用的漏洞被标识为 CVE-2024-5441，并获得了高严重性评分（CVSS v3.1：8.8）。该漏洞由 Friderika Baranyai 于 5 月 20 日在 Wordfence 的 Bug Bounty Extravaganza 期间发现并报告。 在一份描述安全问题的报告中，Wordfence 表示，安全问题源于插件的“set_featured_image”函数缺乏文件类型验证，该函数用于上传和设置事件的特色图片。 该函数获取图像 URL 和帖子 ID，尝试获取附件 ID，如果未找到，则使用 get_web_page 函数下载图像。 它使用 wp_remote_get 或 file_get_contents 检索图像，并使用 file_put_contents 函数将其保存到 WordPress 上传目录。 现代事件日历版本（直至 7.11.0）不检查上传的图像文件中扩展名的文件类型，允许上传任何文件类型，包括有风险的 .PHP 文件。 一旦上传，这些文件就可以被访问和执行，从而可以在服务器上执行远程代码，并可能导致完全的网站接管。 任何经过身份验证的用户（包括订阅者和任何注册会员）均可利用 CVE-2024-5441。如果插件设置为允许非会员（没有帐户的访问者）提交事件，则无需身份验证即…

昨日，Ticketmaster 发布最新声明表示，黑客泄露了 166,000 张泰勒·斯威夫特时代巡回演唱会门票的 Ticketmaster 条形码数据，并警告说，如果不支付 200 万美元的勒索要求，将会泄露更多活动的信息。 自 5 月起，一个名叫 ShinyHunters 的威胁分子开始以 500,000 美元的价格出售 5.6 亿 Ticketmaster 客户的数据。 Ticketmaster 后来证实了数据泄露事件，并承认数据来自他们在 Snowflake 上的账户。据悉，Snowflake 是一家基于云的数据仓库公司，企业使用该公司来存储数据库、处理数据和执行分析。 今年 4 月，威胁分子开始利用恶意软件窃取的凭证下载至少 165 个组织的 Snowflake 数据库。威胁者随后勒索这些公司，要求他们支付费用以防止数据泄露或出售给其他威胁者。 已确认被窃取 Snowflake 账户数据的公司包括 Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage 和 Satander。 泰勒·斯威夫特巡演门票信息被泄露 昨日，一个名为 Sp1d3rHunters 的威胁分子泄露了他们所声称的 166,000 个泰勒·斯威夫特时代巡演条形码的门票数据，这些条形码可用于在各个音乐会日期入场。 Sp1d3rHunters（之前名为 Sp1d3r）是出售从 Snowflake 账户窃取的数据的威胁分子，并公开勒索各公司付款。 威胁情报服务 HackManac 最先分享的勒索要求是：“向我们支付 …

往期回顾： 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾 2024.5.27—2024.6.2安全动态周回顾 2024.5.20—2024.5.26安全动态周回顾 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾

在过去几年中，勒索软件攻击已成为最普遍和最昂贵的网络犯罪形式之一。最初，这些攻击涉及恶意软件，该恶意软件破坏加密受害者的数据，使受害者无法访问数据，直到向攻击者支付赎金。如今，这种策略已经演变，勒索软件运营商几乎在每起案件中都会先窃取敏感数据，然后对受害者进行威胁，声称如果不支付赎金，他们就会公开披露这些数据。 在某些情况下，攻击者甚至利用监管行动的威胁，或通过向监管机构和保险公司报告受害者的安全漏洞，导致网络保险政策失效。在其他情况下，他们可能会发起拒绝服务 (DoS) 攻击，以损害受害者的公众形象，或试图勒索受数据泄露影响的第三方，如客户或业务合作伙伴。单独使用或协同使用这些策略以增加受害者压力，迫使受害组织支付其赔偿金。 勒索软件产生的经济影响深远，影响着全球的企业、政府和个人。了解驱动勒索软件的经济因素对于制定有效的策略来对抗这一日益严重的危害至关重要。 RaaS：镜像合法的 SaaS 模型 2012 年年中，随着首个勒索软件即服务 (RaaS) Reveton 的推出，勒索软件生态系统也随之演变。这彻底改变了网络犯罪格局，让技术能力最差的人也更容易发动勒索软件攻击。 RaaS 模型反映了合法的软件即服务 (SaaS) 模型，开发人员创建和维护工具，并将其出租给关联公司，以换取部分利润。 RaaS 生态系统由开发人员、关联公司、访问代理等专家组成，每个人都扮演着自己的角色。开发人员编写复杂的勒索软件变体并定期提供更新以确保其有效性；关联公司是通过网络钓鱼电子邮件、漏洞利用工具包或受感染网站分发勒索软件的攻击者，而访问代理则出售受感…

一个规模巨大的恶意软件活动（可能由同一组织运行）正在使用名为“WEXTRACT.EXE .MUI”的人工嵌套文件进行分发。 全球范围内有超过50,000个文件采用这种方法进行分发，涉及的恶意软件包括Redline、RisePro和Amadey等窃取器和加载器。 一些样本与东欧网络犯罪分子相关的自治系统有关，OutPost24 的网络安全研究人员近日检测到一个新的黑客组织正在同时使用 10 种恶意软件攻击系统。 同时出现 10 种恶意软件 “WEXTRACT.EXE .MUI”恶意软件分发系统利用嵌套的CAB文件来分发大量恶意软件样本，例如窃取程序和加载程序。 该方法的执行序列复杂，会以相反的顺序释放和运行恶意软件，从而可能导致绕过安全措施。由于加载器可能会下载更多的恶意软件，因此该技术可能会导致多重感染。 从 2023 年 2 月到 2024 年初，大规模的恶意软件分发活动嵌套了多个恶意软件家族，例如 Redline、Mystic Stealer、RisePro、Amadey 和SmokeLoader。 该活动随着时间的推移而发展，融合了混淆工具和不同的分发方法。超过两千一百个实例的检查显示，一些恶意软件组合可能导致受害者同时感染多种窃取器和加载器。 这表明，此次活动的基础设施和策略背后有一个单一参与者。 WEXTRACT 样本的分布步骤 分发名为“Unfurling Hemlock”的恶意软件的活动很可能从其他参与者那里购买分发服务。 其最早阶段存在于电子邮件附件以及从被黑客入侵或欺诈网站下载的内容中。 该基础设施主要基于 AS 2…

WinSCP 和 Putty 是流行的 Windows 实用程序，其中 WinSCP 是 SFTP 客户端和 FTP 客户端，而 Putty 是 SSH 客户端。 系统管理员通常在 Windows 网络上拥有更高的权限，这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件的威胁分子的首要目标。 勒索软件操作通过投放 Google 广告来推广 Putty 和 WinSCP 的虚假下载网站，从而将目标锁定在 Windows 系统管理员身上。 最近的一份报告称，搜索引擎活动在搜索“下载 WinSCP”或“下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。目前尚不清楚该活动是在 Google 还是 Bing 上进行。 这些广告使用了误植域名，例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。 虽然这些网站冒充了 WinSCP 的合法网站 (winscp.net)，但威胁分子模仿了 PuTTY 的无关联网站 (putty.org)，使许多人认为这是真正的网站。 PuTTY 的官方网站实际上是 https://www.chiark.greenend.org.uk/~sgtatham/putty/。这些网站包含下载链接，点击后，会将您重定向到合法网站或从恶意分子的服务器下载 ZIP 存档，具体取决于用户是通过搜索引擎还是活动中的其他网站推荐的。 假冒 Putty 下载网站推送木马安装程序 下载的 ZIP 存档包含一个 Setup.exe 可…

Live Nation 已确认 Ticketmaster 遭遇数据泄露，其数据被第三方云数据库提供商窃取。 Live Nation 在提交给美国证券交易委员会的文件中分享道：“2024 年 5 月 20 日，Live Nation Entertainment, Inc.在包含公司数据（主要来自其子公司 Ticketmaster LLC）的第三方云数据库环境中发现未经授权的活动，现已与取证调查员展开调查”。 2024 年 5 月 27 日，一名犯罪威胁分子通过暗网出售了该公司用户数据。目前，该公司正积极采取各种方式降低用户和公司面临的风险，并已通知执法部门并配合他们的工作。 据称此次泄密事件泄露了超过 5.6 亿 Ticketmaster 用户的数据，但该公司表示，他们并不认为此次泄密事件会对整体业务运营或财务状况产生重大影响。 此前，一个名为 Shiny Hunters 的威胁分子曾试图在黑客论坛上以 50 万美元的价格出售 Ticketmaster 数据。 据称被盗的数据库包含 1.3TB 的数据，包括客户的完整详细信息（即姓名、家庭和电子邮件地址以及电话号码），以及 5.6 亿客户的门票销售、订单和活动信息。 黑客论坛上出售 Ticketmaster 数据 有关威胁分子如何获取 Ticketmaster 数据库以及其他客户数据的更多信息也被披露出来。有威胁分子声称他们将对最近的 Santander 和 Ticketmaster 数据泄露事件负责，并表示他们从云存储公司 Snowflake 窃取了数据。 据威胁者称，他们使用信息窃…

威胁分子使用 Atlassian Bitbucket 工件文件以明文形式泄露的身份验证密钥来破坏 AWS 帐户。 Mandiant 率先发现该问题，他当时正在调查最近曝光的 Amazon Web Services (AWS) 机密，威胁分子利用这些机密来访问 AWS。 尽管该问题是在调查中发现的，但它说明了之前被认为是安全的数据可以以纯文本形式泄露到公共存储库。 BitBucket 的安全变量 Bitbucket 是一个与 Git 兼容的基于 Web 的版本控制存储库和托管服务，由 Atlassian 运行，为开发人员提供代码管理和协作平台。 Bitbucket Pipelines 是一种集成的持续交付/部署 (CI/CD) 服务，可自动执行构建、测试和部署流程。系统管理员通常将 Pipelines 直接链接到 AWS，以便快速部署应用程序并使用 AWS CLI、开发工具包和其他 AWS 工具访问资源。 为了促进这种自动化，Bitbucket 允许开发人员将敏感信息（例如 AWS 身份验证密钥）存储在“安全变量”中，以便在代码中轻松使用这些变量，而无需将密钥暴露给其他人。 在 Bitbucket 中存储安全变量 当变量在 BitBucket 中设置为安全时，它们将以加密形式存储，以防止在 Bitbucket 环境中公开暴露其值。 Bitbucket 文档解释说：“您可以保护变量，这意味着它可以在您的脚本中使用，但其值将隐藏在构建日志中（参见下面的示例）。如果想编辑安全变量，只能为其赋予新值或删除它。安全变量以加密值的形式存储。” 然而…

代号为“REF4578”的恶意加密货币挖矿活动被发现部署了一个名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动程序关闭安全产品并部署 XMRig 矿工。 Elastic Security Labs 和 Antiy 的研究人员在报告中特别强调了这些加密货币挖矿攻击的异常复杂性，并共享了检测规则以帮助防御者识别和阻止它们。然而，两份报告都没有将该活动归咎于已知的威胁分子，也没有分享有关目标/受害者的详细信息，因此该活动的起源和范围仍然未知。 GhostEngine 虽然尚不清楚服务器最初是如何被破坏的，但威胁分子的攻击从执行名为“Tiworker.exe”的文件开始就伪装成合法的 Windows 文件。 此可执行文件是 GhostEngine 的初始暂存有效负载，GhostEngine 是一个 PowerShell 脚本，可下载各种模块以在受感染的设备上执行不同的行为。当 Tiworker.exe 执行时，它会从攻击者的命令和控制 (C2) 服务器下载名为“get.png”的 PowerShell 脚本，该服务器充当 GhostEngine 的主要加载程序。 此 PowerShell 脚本下载其他模块及其配置、禁用 Windows Defender、启用远程服务并清除各种 Windows 事件日志。 接下来，get.png 验证系统是否至少有 10MB 的可用空间（这是进一步感染所必需的），并创建名为“OneDriveCloudSync”、“DefaultBrowserUpdate”和“OneDriveCloudBackup…

各省、自治区、直辖市财政厅（局）、网信办，新疆生产建设兵团财政局、网信办，深圳市财政局： 为贯彻落实《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》（国办发〔2021〕30号）有关要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，我们制定了《会计师事务所数据安全管理暂行办法》，现予印发，请遵照执行。 附件：会计师事务所数据安全管理暂行办法 财政部　国家互联网信息办公室 2024年4月15日 会计师事务所数据安全管理暂行办法 第一章 总则 第一条 为保障会计师事务所数据安全，规范会计师事务所数据处理活动，根据《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。 第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法： （一）为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的； （二）为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的； （三）为境内企业境外上市提供审计服务的。 会计师事务所从事的审计业务不属于前款规定的范围，但涉及重要数据或者核心数据的，适用本办法。 第三条 本办法所称数据，是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 第四条 会计师事务所承担本所的…

网络犯罪分子在社会工程攻击中滥用 Windows Quick Assist 功能，在受害者的网络上部署 Black Basta 勒索软件负载。 微软至少从 2024 年 4 月中旬开始就一直在调查这一活动，他们观察到，威胁组织（追踪为 Storm-1811）在将其地址订阅到各种电子邮件订阅服务后，通过电子邮件轰炸目标开始了攻击。 一旦他们的邮箱充斥着未经请求的消息，威胁分子就会冒充 Microsoft 技术支持人员或受攻击公司的 IT 或服务台工作人员给他们打电话，以帮助修复垃圾邮件问题。 在这次语音网络钓鱼攻击中，攻击者通过启动 Quick Assist 内置远程控制和屏幕共享工具，诱骗受害者授予其 Windows 设备访问权限。 微软表示：“一旦用户允许访问和控制，威胁分子就会运行脚本化的 cURL 命令来下载一系列用于传递恶意负载的批处理文件或 ZIP 文件。”在一些情况下，微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike。 安装恶意工具并结束通话后，Storm-1811 会执行域枚举，在受害者网络中横向移动，并使用 Windows PsExec telnet 替换工具部署 Black Basta 勒索软件。 Quick Assist 屏幕共享提示 网络安全公司 Rapid7 也发现了这些攻击，该公司表示，恶意分子将使用“批处理脚本，使用 PowerShell 从命令行获取受害者的凭据”。“凭据是在要求用户登录…