蓝队取证审计网络安全

Lasso Security的研究人员近日在代码存储库中发现了1681个暴露的Hugging Face API令牌，这使谷歌、Meta、微软和VMware等厂商面临潜在的供应链攻击。 Lasso Security在发布的声明中表示，暴露的API令牌使其研究人员能够访问723家组织的GitHub和Hugging Face代码存储库，这些代码库含有大语言模型和生成式AI项目方面的高价值数据。数据科学社区和开发平台Hugging Face表示，它拥有超过50万个AI模型和25万个数据集。 暴露的API令牌使众多组织的生成式AI模型和数据集面临各种威胁，包括供应链攻击、训练数据中毒和模型被盗。其中655家组织的令牌具有写权限，这使得研究人员可以全面访问代码存储库。 一些可以全面访问的代码存储库面向诸如开源的Meta Llama 2、EleutherAI的Pythia和BigScience Workshop的Bloom之类的平台和大语言模型。 Hugging Face在声明中表示，所有暴露的API令牌现都已被撤销，但该公司似乎将责任主要归咎于客户。由于用户在Hugging Face Hub和GitHub等平台上发布了令牌，这些令牌被暴露。Lanyado表示，Hugging Face也有责任，并建议它应该不断扫描暴露的API令牌，要么直接撤销，要么通知用户。 Meta、谷歌、微软和VMware等许多组织和用户非常迅速地采取了行动，他们在报告发布的同一天就撤销了令牌，并删除了公共访问令牌代码。 搜索API令牌 随着大语言模型和生成式AI模型大行其道，L…

基础设施即服务（IaaS）安全是指确保云中的组织数据、应用程序和网络的安全性。随着企业将基础设施转移至云，了解与IaaS安全性相关的风险、优势和最佳实践变得越来越重要。 通过探索相关问题和预防措施，揭示IaaS的安全优势，企业可以更好地保护自己的云安全基础设施。此外，了解基础的最佳实践和各种有助于实现良好IaaS云安全性的软件，可以帮助企业构建强大的防御能力，以应对潜在的攻击。 无论是经验丰富的云专家，还是刚刚起步的云“小白”，了解IaaS安全性对于弹性和安全的云架构至关重要。 8大IaaS安全风险和问题 IaaS安全风险和问题都凸显了采用全面安全策略的重要性，包括持续监控、定期审计和用户教育，以缓解云环境中的潜在威胁和漏洞。驾驭IaaS安全环境需要解决一些关键问题，例如，对底层基础设施的有限控制、安全错误配置的危险以及攻击者逃离虚拟化设置的可能性。主动理解和控制这些特征是构建强大和安全的云基础设施的关键要素。 1. 有限的控制 在IaaS中，云服务提供商负责管理底层基础设施，用户对网络设备、存储设备和其他硬件资源的控制有限，这可能会引发对安全措施实施的担忧，使得用户依赖云提供商的安全实践变得至关重要。 2. 安全配置错误 设计不当的安全设置（如开放端口、宽松的访问限制或错误配置的防火墙规则）都可能暴露基础设施漏洞。这类的安全错误配置是一个普遍存在问题，通常是由云资源设置和管理过程中的人为错误引起的。 3. 逃逸虚拟机、容器或沙盒 老练的攻击者可能会试图利用虚拟化技术、容器或沙箱中的漏洞来突破隔离环境。逃出这些边界可能会允许攻击者对敏感数…

导读：本文基于《IDC TechScape：中国网络安全软件技术发展路线图，2024》中关于网络安全实训演练测试平台（靶场）的技术路线分析，结合国内外靶场的发展状况与建设经验，深入解读国内靶场行业下一阶段的发展及演进趋势。同时，结合实用型靶场的建设经验，概括适用于国内行业的评价指标，明确未来发展方向。 前景好VS应用难，实用型靶场呼之欲出 IDC靶场发展路线解读 2024年10月，IDC TechScape首次发布《中国网络安全软件技术发展路线图》，在机会型科技趋势中提到网络安全靶场（网络安全实训演练测试平台），并将其标记为值得长期投入的产品类型。赛宁网安基于靶场行业的深厚积淀，成为IDC权威认可的网络安全靶场（网络安全实训演练测试平台）首个推荐厂商。多年深耕，赛宁网安积累了丰富的国内外靶场项目建设经验，并深度参与了用户方靶场的规划及标准制定，在下一代实用型靶场建设方面探索出可借鉴的实践路径和方案。 上述图表数据显示，靶场行业的采用度和市场热度均处于中等水平。对比当前国内靶场面临的功能堆砌、业务复杂、上手门槛高等发展现状，结合市场热度数据，可以合理推断出：尽管靶场在网络安全领域具备良好的应用前景，但缺乏一个通用、简明且实用的行业规范来衡量国内同类产品，这成为制约靶场行业发展的重要因素。 放眼国际市场，实用型靶场占据主流 美欧靶场建设经验参考 美、欧地区在靶场类项目的建设初期会经过多轮业务合理性评审，其规划多基于实际业务需求，并结合安全运营要求作为指导。 欧洲案例 - 挪威网络靶场（Norwegian Cyber Range） 挪威网络…

INC Ransom 是一项于 2023 年 8 月推出的勒索软件即服务 (RaaS) 操作，一位名为“salfetka”的网络犯罪分子声称正在出售 INC Ransom 的源代码。 INC 此前的目标是施乐商业解决方案公司 (XBS) 的美国分部、菲律宾雅马哈汽车公司，以及苏格兰国家医疗服务体系 (NHS)。 在涉嫌出售的同时，INC 赎金业务正在发生变化，其核心团队成员之间或许已存在裂痕，或计划进入涉及使用新加密器的方向。 源码出售 威胁分子宣布在 Exploit 和 XSS 黑客论坛上出售 INC 的 Windows 和 Linux/ESXi 版本，要价 30 万美元，并将买家数量限制为三个。根据发现此次销售的 KELA 威胁情报专家提供的信息，论坛帖子中提到的技术细节，例如在 CTR 模式下使用 AES-128 和 Curve25519 Donna 算法，与 INC Ransom 的公开分析一致样品。 涉嫌出售源代码 “salfetka”自 2024 年 3 月以来一直活跃在黑客论坛上。该威胁分子此前曾希望以高达 7000 美元的价格购买网络访问权限，并从勒索软件攻击收益中向初始访问经纪人提供提成。 增加销售合法性的另一点是“salfetka”其签名上包括新旧 INC 勒索页面 URL，表明它们与勒索软件操作有关联。 尽管如此，这次销售可能是一个骗局，威胁分子在过去几个月里精心策划了“salfetka”帐户，宣称有兴趣购买网络访问权限，并设定了高价标签以使报价看起来合法。 目前，INC的新旧网站上都没有关于出售该项目源代码的公…

新瞬态执行攻击Inception可从所有AMD Zen CPU泄露敏感数据。 苏黎世联邦理工学院（ETH Zurich）研究人员发现一种新的瞬态执行攻击——'Inception'攻击。攻击可从攻击者控制的地址发起推测执行，引发信息泄露。漏洞CVE编号CVE-2023-20569，影响所有AMD Zen CPU。 瞬态执行攻击利用了现代处理器的推测执行特征，通过猜测接下来要执行的内容来提高CPU的性能。如果猜测正确，CPU就无需等到操作执行结束，如果猜测失败，只需要回滚并继续执行操作即可。猜测执行存在的问题是会留下痕迹，攻击者可以查看和分析这些有价值的数据用于攻击活动。 苏黎世联邦理工学院研究人员融合了'Phantom speculation' (CVE-2022-23825)和一种新的瞬态执行攻击（TTE，Training in Transient Execution）创建了更加强大的inception攻击。'Phantom speculation'允许攻击者在无错误预测源处无需任何分支就可以触发错误预测，比如在任意异或XOR指令创建推测执行周期（瞬态窗口）。TTE是一种对未来错误预测的操纵，通过注入新的预测到预测分支来创建可利用的推测执行。Inception攻击融合了以上两种概念，使得被攻击的CPU认为XOR指令是一个递归调用指令。Inception攻击会用攻击者控制的目标地址来覆写返回栈缓存，攻击者可从AMD Zen CPU运行的非特权进程泄露任意数据。 图 Inception攻击逻辑 Inception攻击可实现39字节/秒的数…

想要轻松掌握 Android 恶意软件的逆转技术吗？Incinerator 将是你在这场网络攻防战中的得力伙伴，无论是资深专家还是初出茅庐的新手，都能在这款工具中找到自己的舞台。 大家好！在这篇文章里，我们将探索 Incinerator 的强大功能、丰富特性以及它所带来的种种优势。这款 Android 逆向工程工具集的灵感来自于广受好评的 Shambles 项目。 我们的目标非常明确：打造一款能够轻松应对 Android 应用，尤其是恶意软件的高级逆向工具。我们需要的是一个集反编译、解密、动态调试和漏洞检测于一体的全能工具。而且，这款工具还得能够快速、准确地揪出那些常见和隐蔽的威胁迹象（IOCs）。 正是基于这些目标，我们推出了 Incinerator！简单来说，它是一个功能全面、操作简便的逆向工程生态系统。不论你是经验丰富的逆向工程专家，还是刚踏入恶意软件分析领域的新手，Incinerator 都能满足你的需求。 Incinerator 应用内置了多种强大功能，让你可以轻松反编译 Android 应用，自动解密内容，取消反射 API 调用，获取清晰的反混淆代码，并在真实设备上进行实时调试分析。这对于那些想要深入了解、分析和逆转 Android 恶意软件的人来说，是一个完美的选择，即使你没有太多经验也没关系。 Incinerator 在后台进行的分析工作包括组件分析、安全漏洞检测、静态和动态代码分析、漏洞挖掘以及恶意代码分析。通过全面的检查，Incinerator 能够有效地帮助用户识别和解决安全风险和漏洞。 在更高层次上，Incine…

1 概述 InterLock勒索攻击组织被发现于2024年9月，该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络，窃取敏感信息并加密数据，实施双重勒索，以此对受害者施加压力。暂未发现该组织通过勒索软件即服务（RaaS）模式招募附属成员以扩大非法收益的情况。目前，已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中，InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名，以及出现名为“!README!.txt”的勒索信。截至目前，尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。 InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站，公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者，攻击者创建独立的信息板块，列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟，迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日，该网站已公布7名受害者的信息，但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息，例如在与受害者达成协议，或受害者支付赎金换取了信息的移除。 InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]…

许多 iOS 应用程序正在利用推送通知触发的后台进程，来收集有关用户数据，从而允许创建用于跟踪的指纹配置文件。 发现这种做法的移动研究人员 Mysk 表示，这些应用程序绕过了苹果的后台应用程序活动限制，并对 iPhone 用户构成隐私风险。 “应用程序不应根据收集的数据秘密构建用户配置文件，并且不得尝试、促进或鼓励其他人识别匿名用户或根据从 Apple 提供的 API 收集数据。” 苹果应用商店审查指南的一部分写道。 在分析了 iOS 后台进程在接收或清除哪些数据后，研究人员发现许多有一定用户群的应用程序涉及其中。 唤醒并收集数据 Apple 设计 iOS 时不允许应用程序在后台运行，以防止资源消耗并提高安全性。当不使用应用程序时，它们会被暂停并最终终止，因此它们无法监视或干扰前台活动。 不过，在 iOS 10 中，苹果推出了一个新系统，允许应用程序在后台悄悄启动，以便设备显示新的推送通知之前对其进行处理。 该系统允许接收推送通知的应用程序解密传入有效负载，并从其服务器下载附加内容在将其提供给用户之前对其进行丰富。此过程完成后，应用程序将再次终止。 通过测试，研究人员发现许多应用程序滥用此功能。根据应用程序的不同，包括系统正常运行时间、区域设置、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示屏亮度。 LinkedIn 在推送通知到达期间的网络数据交换 研究人员认为，这些数据可用于指纹识别/用户分析，从而实现持久跟踪，而这在 iOS 中是严格禁止的。 “我们的测试表明，这种做法比我们预期的更常见。许多应用程序在被通知触发后发送…

2023年11月，IPStorm基础设施被FBI拆除，同时对与IPStorm恶意软件有关的相关个人进行了定罪。这是当前打击网络威胁工作中的一个重要里程碑。 本文将对IPStorm恶意软件的变体和功能进行深入介绍。 2019年5月，来自anomaly的研究人员发现了一种新的针对Windows的Golang恶意软件，他们将其命名为IPStorm。IPStorm是一种僵尸网络，它滥用名为星际文件系统(IPFS)的合法点对点(p2p)网络作为掩盖恶意流量的手段。据发现，该恶意软件允许攻击者在受害者的Windows计算机上执行任意PowerShell命令。 研究人员最近确定了针对各种Linux架构(ARM, AMD64, Intel 80386)和平台(服务器，Android, IoT)的IPStorm新Linux变体并检测到一个macOS变体。在本文发布时，macOS变体和大多数Linux样本在VirusTotal中完全未被检测到。IPStorm是用Golang编写的，这使得Intezer能够检测到Linux样本和由anomaly首先报告的Windows恶意软件之间的跨平台代码连接。 linux变体比Windows变体有更多的功能，比如使用SSH暴力破解来传播给更多的受害者，以及滥用Steam游戏和广告平台的欺诈性网络活动。linux变体调整了一些功能，以解释该操作系统和Windows之间存在的根本差异。 接下来将介绍IPStorm Windows和Linux样本之间的代码关系图，分析其中一个Linux变体的行为，并将其功能和功能与旧的Wind…

身份盗窃资源中心 (ITRC)在 2024 年第二季度追踪了 1,041,312,601 名数据泄露受害者，数据显示，比 2023 年第二季度（81,958,874 名受害者）增加了 1,170%。 人数增加的绝大部分原因是由于大多数人们的妥协。ITRC 提到 Prudential（250 万人）和 Infosys McCamish Systems（600 万人）事件是主要导火索。 由于这两起泄密事件都是在 2024 年第二季度宣布的，因此对数据产生了巨大影响。当比较 2024 年上半年 (H1 2024) 的数据泄露受害者数量时，研究人员发现与 2023 年上半年相比，这一数字增长了 490%。 ITRC 对一些数字进行了分解，并以信息图的形式展示： 我们可以从信息图中得出一些值得注意的统计数据： ·2024 年上半年，近 90% 的入侵都是由于数据泄露造成的。 ·金融服务业的入侵次数最多，其次是医疗保健业。受害者数量最多的数据泄露企业是 Ticketmaster、Advance Auto Parts 和戴尔。 ·80 次供应链攻击涉及 446 个实体，受害者超过 1000 万人。 ITRC 强调的另一个趋势是被盗驾照信息数量增加。这主要是由于疫情后使用驾照信息进行身份确认的趋势所致。这既增加了这些信息被泄露的可能性，也增加了这些信息对窃贼的价值。 疫情爆发前的 2019 年全年，驾驶执照数据被盗的数据泄露事件总计为 198 起，而 2023 年全年为 636 起，截至 2024 年 6 月 30 日为 308 起。 大多数数据泄露…

漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案，主要功能包含VPN、访问控制、流量加密等。其IF-T/TLS协议在认证前，存在栈缓冲区溢出漏洞，攻击者可以利用该漏洞实现未授权远程代码执行。该漏洞已被APT组织利用。 影响范围 Ivanti Connect Secure 22.7R2 - 22.7R2.4 Ivanti Policy Secure 22.7R1 - 22.7R1.2 Ivanti Neurons for ZTA gateways 22.7R2 - 22.7R2.3 复现环境 版本：Ivanti Connect Secure 22.7R2.3 环境搭建 Ivanti Connect Secure 22.7R2.3导入虚拟机后开机，按照界面提示设置IP地址，管理员账号和密码等。 配置成功后，进入命令行界面，可以根据编号进行系统管理，但是无法执行底层Shell命令。 同时在浏览器中使用HTTPS协议打开配置的IP地址，可以正常显示Web登录界面。 查看虚拟机磁盘文件，尝试挂载到其他系统，解包出系统中的文件。但是文件系统被加密，无法通过常规挂载方式获取系统文件。这种情况下，常见方案可以逆向分析系统启动流程，分析解密算法，解密出系统文件。但是时间成本比较高。 笔者则是选择使用另一种方法，将虚拟机暂停后，修改其内存文…

上个月，上个月，全球最大的印刷电路板组件 (PCBA) 制造商之一 Key Tronic 在一份提交给美国证券交易委员会的文件中披露，该公司在 5 月遭受了网络攻击，导致其运营中断，并限制了对支持公司活动的业务应用程序的访问，目前正常运营已经恢复。 此次袭击和生产损失将对Key Tronic截至 2024 年 6 月 29 日第四季度的财务状况产生重大影响。 该公司表示，已经花费了约 60 万美元用于聘请外部网络安全专家，而且这些费用可能还会继续增加。 虽然 Key Tronic 并未将此次攻击归咎于某个特定的威胁组织，但 Black Basta 勒索软件团伙声称对此次攻击负责，并泄露了他们所称的 100% 被盗数据，该公司的调查证实了威胁者在攻击期间窃取了个人信息。 Black Basta 数据泄露网站上的 Key Tronic 条目 威胁者声称，此次攻击窃取了人力资源、财务、工程和公司数据，并分享了员工护照和社会保障卡、客户演示文稿和公司文件的截图。 相关媒体向 Key Tronic 询问有多少人受到数据泄露的影响，但并未收到答复。 Black Basta Black Basta 勒索软件团伙于 2022 年 4 月启动，由 Conti 勒索软件团伙的前成员组成，他们在关闭后分裂成几个小团体。 Black Basta 目前已经成为最重大的勒索软件组织之一，发起过大量攻击，包括针对 Capita、现代欧洲分部、多伦多公共图书馆、美国牙科协会的攻击，以及最近针对美国医疗保健巨头 Ascension 的勒索软件攻击。 上个月，CISA …

被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。 发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是Kimsuky改变策略的手段之一。 Kimsuky最新的攻击链 最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。 打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括： ·PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。 ·一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。 ·代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接RDP连接被阻止。 自定义RDP包装器 RDP Wrapper是一个合法的开源工具，用于在Windows版本（如Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。 它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。 自定义RDP包装器导出功能 使用自定义RDP包装器的主要优点是规避检测，因为RDP连接通常被视为合法的，允许Kimsuky在雷达下停留更长时…

LastPass 发现，诈骗者正在为其 Chrome 扩展程序撰写评论，以宣传虚假的客户支持电话号码。 其实电话号码背后是更大的阴谋，旨在诱骗呼叫者让诈骗者可以远程访问他们的计算机。 LastPass 是一款流行的密码管理器，它利用 LastPass Chrome 扩展来生成、保存、管理和自动填充网站密码。威胁者试图通过使用虚假的 LastPass 客户支持号码留下 5 星级评论来瞄准该公司的大量用户群。 这些评论敦促遇到任何应用程序问题的用户拨打相关热线以联系 LastPass 在线客户服务，该服务与供应商无关。 Chrome 网上应用店中的欺诈性评论 相反，接听电话的骗子会冒充 LastPass 并将个人引导至“dghelp[.]top”网站，他们必须在其中输入代码才能下载远程支持程序。 虚假支持网站 拨打虚假支持号码的人会有人询问他们遇到的问题，然后询问他们是否试图通过计算机或移动设备访问 LastPass 以及他们使用的操作系统等一系列问题。然后，他们将被引导至 dghelp[.]top 网站，而威胁者仍保持在线状态，并试图让潜在受害者与该网站互动，从而暴露他们的数据。 研究人员发现，在此页面上输入代码将下载 ConnectWise ScreenConnect 代理 [VirusTotal]，该代理将使诈骗者能够完全访问某人的计算机。 由 ConnectWise 签署的支持代理 从那里，一名威胁者可以让呼叫者继续提问。与此同时，另一个诈骗者利用ScreenConnect在后台安装其他程序进行无人值守的远程访问、窃取数据，…

今年上半年，一家软件供应商受到了Lazarus恶意软件的攻击，该恶意软件是通过未打补丁的正版软件传播的。值得注意的是，这些软件漏洞并不是新的，尽管供应商发出了警告和补丁，但许多供应商的系统仍继续使用有漏洞的软件，允许攻击者利用它们。幸运的是，研究人员的主动响应发现了对另一个供应商的攻击，并有效地挫败了攻击者的努力。 经过进一步调查，研究人员发现开发被利用软件的软件供应商之前曾多次成为Lazarus的受害者。这种反复出现的漏洞表明，一个持久的攻击者的目标可能是窃取有价值的源代码或篡改软件供应链，他们继续利用公司软件中的漏洞，同时瞄准其他软件制造商。 攻击时间 攻击者表现出了高度的复杂性，采用了先进的逃避技术，并引入了SIGNBT恶意软件来控制受害者。此外，在内存中发现的其他恶意软件包括Lazarus著名的LPEClient，这是一种以受害者分析和有效负载传播而闻名的工具，此前曾在针对国防承包商和加密货币行业的攻击中被观察到。 执行情况如下： 1.一个软件供应商通过利用另一个备受瞩目的软件而受到威胁。 2.这次攻击中使用的SIGNBT恶意软件采用了多种攻击链和复杂的技术。 3.在这次攻击中使用的LPEClient被观察到执行一系列与Lazarus组织相关的目标攻击。 SIGNBT加载程序 在2023年7月中旬，研究人员发现了一系列针对几名受害者的攻击，这些攻击是通过合法的安全软件进行的，这些软件旨在使用数字证书加密网络通信。该软件被利用来传递恶意软件的确切方法仍然难以捉摸。然而，研究人员在正版软件的进程中发现了利用后的活动。 在检查受害者系…

臭名昭著的 Lazarus 黑客组织在最近的一波网络攻击中，他们利用了一个很隐蔽的攻击方式，通过受感染的微软互联网信息服务（IIS）服务器传播恶意软件。网络安全专业人员正在积极关注这一情况，尽可能减少攻击所带来的大量的危害。 根据其他媒体的报道，Lazarus 黑客已经成功控制了一些微软的 IIS 服务器，并利用其在不同的网络中传播恶意软件的能力为自己谋利。黑客传播病毒似乎是由于他们的主要目标，这给使用微软网络服务器软件的公司和组织带来了严重的风险。 赛门铁克的威胁情报团队最近公开了 Lazarus 使用的攻击载体，可以很明显的看出黑客利用被攻击的服务器达到其邪恶目的的行为。赛门铁克在其中的一篇博文中强调了问题的严重性，称这一恶意活动是 Lazarus 组织一直在从事的工作。 AhnLab 的安全分析师也在对目前正在进行的攻击进行了深入的分析。他们一直在积极追踪黑客的行踪，并发现了黑客具有强大实力的证据。在英文和韩文博客文章中，AhnLab 的研究团队就 Lazarus 黑客带来的危险向用户和管理员发出了警告，并敦促他们迅速采取安全措施，防止 IIS 服务器受到攻击。 Lazarus 黑客组织因与朝鲜有关联而闻名，过去曾与各种备受瞩目的网络犯罪有关。他们很擅长网络战争和以金钱为动机的攻击，这使得他们成为全球政府、企业和网络安全机构关注的焦点。最近这起涉及利用微软 IIS 服务器的事件标志着他们的攻击战术达到了一个新的复杂水平，这也强调了我们在面对不断变化的威胁保持警惕的必要性。 在微软 IIS 服务器上托管网站和网络应用程序是目前全球非常…

国家网络安全中心（NCSC）和韩国国家情报局（NIS）就与朝鲜有关的 Lazarus 黑客组织活动发出严重警告。该组织利用目前广泛使用的 MagicLine4NX 软件中发现的零日漏洞，发动了一系列复杂的供应链攻击，影响了全球多个实体。 MagicLine4NX 软件由韩国 Dream Security 公司开发，是用于安全登录和数字交易的重要联合证书程序。网络攻击者利用该软件中的一个漏洞，在未经授权的情况下访问了目标组织的内网系统，并在此过程中破坏了很多安全认证系统。 联合公告显示，网络攻击者利用软件漏洞未经授权访问了目标组织的内网。他们利用 MagicLine4NX 安全认证程序进行初始入侵，并利用网络连接系统中的零日漏洞进行横向移动，获取更多的敏感信息。 此次攻击链始于"水坑漏洞攻击"，这是一种黑客入侵特定用户经常访问网站的策略，此种情况下，国家支持的黑客会潜入到媒体的网站内，在文章中嵌入恶意的脚本，专门攻击针对使用特定 IP 范围的访问者。当访问者使用 MagicLine4NX 身份验证软件访问已被入侵的网站时，嵌入的代码就会执行，黑客就会完全控制该系统。 随后，攻击者利用系统漏洞，使连接网络的个人电脑访问黑客的互联网服务器。随后便通过网络连接系统的数据同步功能将恶意代码传播到业务端服务器。 尽管已经采取了各种安全措施，但威胁者仍能渗透到企业的PC中，其目的是为了获得企业内部敏感信息。 恶意软件会与两台 C2 服务器建立连接，其中一台是网络系统内的网关，另一台位于互联网外部。同时报告指出，恶意代码试图将数据从内部服务器转移到外部…

在相关部门截获其服务器不到一周，LockBit 团伙便在新的基础设施上重新启动了勒索软件，并威胁说会将更多的攻击集中在政府部门。 在联邦调查局泄密模型下的一条消息中，该团伙专门发布了一条冗长的消息，讲述了他们的疏忽导致了此次泄露，以及未来的行动计划。 LockBit 勒索软件持续攻击 上周六，LockBit 宣布将恢复勒索软件业务，并发布公告，承认因“个人疏忽和不负责任”导致扰乱了其在克罗诺斯行动中的活动。目前，该团伙将其数据泄露网站转移到了新的 .onion 地址，该地址列出了五名受害者，并附有发布被盗信息的倒计时器。 重新启动的 LockBit 数据泄露网站显示有 5 名受害者 上周，有关部门拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。 攻击发生后，该团伙称他们只丢失了运行 PHP 的服务器，没有 PHP 的备份系统未受影响。 五天后，LockBit卷土重来并提供了有关漏洞的详细信息，以及他们将如何运营业务以使他们的基础设施更难以被攻击。 过时的 PHP 服务器 LockBit 表示，执法部门（他们统称为 FBI）入侵了两个主要服务器。 “由于我个人的疏忽和不负责任，我没有及时更新PHP。” 威胁分子表示，受害者的管理和聊天面板服务器以及博客服务器正在运行 PHP 8.1.2，并且很可能使用跟踪为 CVE-2023-3824 的关键漏洞进行了黑客攻击。 随后，LockBit 表示他们更新了 PHP 服务器，并宣布日后将奖励任何在最新版本中发现漏…

勒索软件组织LockBit已承认他们是印度国有航空航天研究实验室遭受网络攻击的幕后黑手。此外，在今年七月份，印度制药公司Granules作为最新的网络攻击目标之一，LockBit就在其暗网泄露了Granules的相关数据。 本周三，LockBit将国家航空航天实验室（NAL）的数据放到了其暗网泄漏网站上，勒索软件组织通常会从受害者那里骗取钱财。他们经常威胁说，除非受害者支付一笔巨额金额，否则他们将共享该组织被盗的信息。 在宣称对国家航空航天实验室的网络攻击负责并在暗网上发布声明后，黑客组织提出了最后通牒。他们设定的最后期限是2023年12月18日18:58:48UTC，并强调如果不满足他们的要求，就会曝光所有被入侵的数据。 出乎意料的是，LockBit这次一反常态，并没有透露任何勒索赎金缓解计划。通常情况下，他们会提出赎金要求，通常起价为10,000美元，以确保将最后期限延长24小时。在分享此信息时，国家航空航天实验室（NAL）网站目前在全球范围内都无法访问。 网站服务中断的原因尚不确定，也不清楚是否与勒索软件攻击有关。 此外，LockBit还发布了8份文件，声称这些文件已经被盗，这些文件中包括大量的机密信件、一名员工的护照和各种内部记录。 根据美国网络安全和基础设施安全局（CISA）及其在澳大利亚、加拿大、法国、德国、新西兰和英国的对应机构发布的合作咨询报告中显示，Lockbit已成为2022年和2023年全球最著名的勒索软件变种。

macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决，这表明网络堆栈存在不兼容问题。 受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题，以及防火墙引起的数据包损坏，从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。 9 月，苹果发布了 Sequoia，称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中，CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化，建议客户不应升级，直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。 据报道，SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia，因为最近发现了可用性问题。 人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题，但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。 虽然苹果公司尚未回应有关这些问题的新闻请求，但 据 macOS 15 发行说明显示，该操作系统防火墙中的一项功能已被弃用，这可能是导致这些问题的原因。 Application Firewall settings are no longer contained in a property list. If your app or workflow…

Check Point Research与Sygnia事件响应小组合作，追踪分析Manticore活动，这是一个主要针对中东政府和电信部门的攻击活动。据分析，Manticore与OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)有关联。 在最新的攻击活动中，攻击者利用了LIONTAIL框架，这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。Manticore使用HTTP.sys驱动程序的未记录功能从传入的HTTP流量中提取有效负载。观察到的LIONTAIL相关恶意软件的多种变体表明，Manticore为每台受攻击的服务器生成了一个自定义的植入程序，使恶意活动能够融入合法的网络流量中，并且无法从中识别。 尽管LIONTAIL框架本身看起来很独特，并且与任何已知的恶意软件家族没有明显的代码重叠，但这些攻击中使用的其他工具与之前报告的活动重叠。最值得注意的是，其中一些最终与OilRig有关联。 在这篇文章中，我们提供了最新工具的技术分析。 LIONTAIL框架 LIONTAIL是一个恶意软件框架，包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用c语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门，安装在Windows服务器上，使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的url列表设置侦听器，并执行攻击者向这些url发送请求的有效负载。 LIONTAIL后门组件是最新的Manticore攻击中使用的主要植入程序。利用来自面向…

MANTICORE的攻击范围正在逐步扩大（上） Web shell Manticore部署了多个Web shell，包括之前被间接归因于OilRig的Web shell，其中一些web shell因其混淆、命名约定和工件而更受关注。与Manticore在过去几年的攻击中使用的许多其他web Shell和基于.NET的工具相比，web Shell保留了类和方法模糊以及类似的字符串加密算法，该加密算法与一个字节异或，密钥从第一个字节或前2个字节派生。 其中一个shell是对开源XML/XSL转换web shell (XSL Exec shell)进行了严重混淆和略微修改的版本。这个web shell还包含两个混淆的函数，它们返回字符串“~/1.aspx”。这些函数从未被调用过，很可能是其他版本的残余，正如我们在Manticore之前使用的工具(如FOXSHELL)中观察到的那样： FOXSHELL web shell版本中未使用的字符串 攻击目标 根据对最新利用LIONTAIL的分析发现，受害者遍布中东地区。大多数受影响的实体属于政府、电信、军事和金融部门，以及IT服务提供商。 至少从2019年开始，Manticore就开始在中东地区活跃。它最初是基于开源的web部署代理，随着时间的推移演变成一个多样化和强大的工具集，既利用了自定义编写的组件，也利用了开源组件。 Manticore使用的多个恶意软件版本的代码和功能演变概述 基于Tunna的Web shell 最早的一个与攻击者活动相关的样本是基于Tunna的web shell, Tunn…

此次网络攻击迫使美高梅酒店集团（MGM Resorts）关闭了旗下所有的酒店系统。在周日大部分时间里，美高梅的大部分内部网络都处于关闭状态，而这正值其拉斯维加斯大道上的酒店和赌场（如 Bellagio、Aria 和 Cosmopolitan）盛大开业的前一天晚。 由于此次技术故障，公司旗下酒店和赌场的自动取款机也出现了大面积的中断，客人们也反应说他们的客房数字钥匙卡和电子支付系统出现了很多的问题。 总部位于俄亥俄州的网络安全公司 TrustedSec 的网络安全专家说："美高梅是一家庞大的公司，但每周都有无数中小型企业成为勒索软件的受害者，并且这一般不会成为头条新闻。 据该公司在周一称，近期受到网络攻击，影响了部分系统的使用，迫使该公司关闭了部分系统，并且这些系统归美高梅公司所有。该公司在全球拥有二十多家酒店和赌场，还有一个在线体育博彩部门。据一些报道指出，在接下来的几天里，从酒店房间钥匙到游戏机，所有东西都无法使用，并且该公司的部分物业也暂时被迫下线，包括其网站。 由于该公司目前一直努力保证用户能得到访问反馈，已经从电子系统转向了人工系统，因此当公司进入人工模式后，客人们也感到非常的困惑。目前美高梅度假村没有对置评请求做出任何回应，有在 Twitter/X 上含糊地提及了网络安全问题，向游客保证公司目前正在努力的解决这一问题，并且度假村不会受到任何干扰。 美高梅可能遭到 " Scattered Spider"的攻击 据报道，一个名为 "Scattered Spider "的组织使用了 ALPHV 或 BlackCat 开发的勒索软件，这…

近期，微软推出的云计算版本操作系统Windows Azure服务出现故障，微软MSDN发文称，Azure服务中断是由于操作系统升级时出现故障，并且表示Windows Azure的存储并没有受到影响。 微软目前已解决了 Azure 中断问题，并停止了北美和拉丁美洲客户的多项服务。 该公司表示，事件影响了利用其现代云内容交付网络 (CDN) Azure Front Door (AFD) 的服务。其公司代表在 Azure 状态页面上首次承认中断时称：这是由所谓的“配置更改”引起的。为了应对这一问题，许多 Microsoft 服务已无法使用 AFD。 然而，有客户报告称，在英国连接 Azure 服务（包括 Azure DevOps）时遇到错误，Azure DevOps 状态页面将这些问题标记为影响巴西用户。 此外，尽管 Azure 状态页面至少一小时内没有显示任何有关服务受到影响的信息，但在中断期间，许多客户也无法加载该页面。尽管服务健康状态页面显示在整个中断期间 Azure 均未出现任何问题，但 Downdetector 已收到数千份有关服务器连接和登录问题的用户报告。 Azure DevOps 中断 该中断影响了许多 Microsoft 365 和 Azure 服务，导致全球客户出现访问问题和性能下降。 该公司随后证实，此次中断影响了 Microsoft 365 管理中心、Intune、Entra、Power BI 和 Power Platform 服务，并将其归咎于“意外的使用量激增”，“导致 Azure Front Door (AFD)…

Microsoft 正在调查打开 .ICS 日历文件时触发 Outlook 安全警报的问题。 受此问题影响的Microsoft 365 用户在双击本地保存的 ICS 文件时，会看到对话框警告说“Microsoft Office 已发现潜在的安全问题”以及“此位置可能不安全”等提醒。 微软在本地支持文档中解释说：“打开 .ICS 文件时不会出现此情况，这个问题将在未来的更新中解决。” 该公司还透露，在部署修补CVE-2023-35636 Microsoft Outlook信息泄露漏洞的安全更新后，将显示安全警告。 如果不修补，攻击者可能会利用该安全漏洞来诱骗未修补 Outlook 安装的用户，打开恶意制作的文件，以窃取 NTLM 哈希值（他们的混淆 Windows 凭据）。攻击者可以使用它们来验证受感染用户的身份、访问敏感数据或在网络上横向传播。 可用的解决方法 在解决方案出台之前，以注册表项的形式为受影响的用户提供了一个临时修复程序，该注册表项将禁用安全通知。 但是，部署此解决方法后，用户将停止接收所有潜在危险文件类型的安全提示，而不仅仅是 ICS 日历。 受此已知问题影响的用户必须将值为“1”的新 DWORD 密钥添加到： HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security（组策略注册表路径） Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security（…