蓝队取证审计网络安全

Zyxel 发现不良的安全签名更新正在引起USG Flex或ATP系列防火墙的关键错误，包括将设备放入启动循环中。 Zyxel 表示，这些问题是由于其网络安全功能的应用程序签名更新失败造成的。收到错误更新的设备现在的问题包括： ·设备错误：CLI 命令错误、设备超时或设备注销。 ·无法通过 Web GUI 登录 ATP/USG FLEX：504 网关超时。 ·CPU 使用率高。 ·在“监控”>“日志”中，出现消息“ZySH daemon is busy”。 ·无法在控制台上输入任何命令。 ·Coredump 消息出现在控制台上。 Zyxel 表示，只有具有有效安全许可证的 USG FLEX 或 ATP 系列（ZLD 固件版本）防火墙受到影响，Nebula平台或USG FLEX H（uOS）系列设备不受影响。解决该问题的唯一方法是物理访问防火墙并通过 RS232 串行电缆连接到控制台。 错误更新后 Zyxel 上显示错误 管理员现在需要进行一系列步骤来恢复防火墙，包括备份配置，下载和应用特殊固件，然后通过Web GUI连接以恢复后面的配置文件。 随后，Zyxel 分享了详细的步骤，并强烈建议用户在尝试恢复设备之前对其进行审查。

我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分：协同》（Information technology—Information security incident management—Part 4:Coordination）正式发布。该提案于2019年4月提交至ISO/IEC JTC1/SC27，后经研究，于2020年4月正式立项；2024年12月正式发布。 ISO/IEC 27035-4是ISO/IEC 27035信息安全事件管理指南系列标准的第4部分，该标准提出了多组织间以协同方式处理信息安全事件的指南，包括对协同规划和准备、协同发现和报告、协同评估和决策、协同响应、协同经验总结等各个阶段的过程指南，以及对制定策略、建立沟通、信息共享、协同演练、树立信任等关键协同活动的指南。该标准还指出了外部合作对单个组织内部事件管理的影响，以及为单个组织参与协同事件管理过程提供指南，并且为协调小组提供指南，以执行支持跨组织事件响应的协调活动。该标准可为组织间开展事件响应协同提供全面的指南，能够促进组织间在防范网络安全事件方面加强合作与协调。 文章来源自：全国网安标委

Python软件包索引（PYPI）宣布了“项目档案”的引入，该系统允许发布者归档其项目，并向用户表明预计不会更新。这些项目还将在PYPI上托管，用户仍然可以下载它们，但会看到有关维护状态的声明。 基于劫持开发人员帐户并将恶意更新推向广泛使用但废弃的项目是开源空间中的常见情况，所以这项新功能旨在提高供应链的安全性。 除了降低用户的风险外，它还通过确保与项目的生命周期状态进行沟通来减少用户的支持请求。 关于存档项目的警告字样 项目档案如何工作 根据PYPI新项目档案系统开发人员的详细博客表示，该功能提供了维护者控制的状态，该状态允许项目所有者将其项目标记为已存档，向用户发出信号，并表明将不会有进一步的更新。 PYPI建议维护者在归档项目之前发布最终版本，以包括对项目的详细信息和解释，尽管这不是强制性的。如果维护者选择恢复工作，可以在将来的任何时间都不构建其项目。 在引擎盖下，新系统使用最初用于项目隔离的生命周期模型，其中包括一个可以在不同状态之间过渡的状态机器。一旦项目所有者单击PYPI设置页面上的“存档项目”选项，该平台将自动更新其元数据以反映新状态。 PYPI新项目档案系统开发人员说，有计划添加更多的项目状态，例如“弃用”，“功能完整”和“未经许可”，使用户对项目状况有了更清晰的了解。 项目设置中的新选项 警告字样旨在通知开发人员，他们需要寻找积极维护的替代依赖性，而不是继续依靠过时的和潜在的不安全项目。除此之外，攻击者通常是针对废弃的包裹，接管未来的项目并通过更新几年后来注入恶意代码的情况。 在其他情况下，维护者选择在计划停止开…

Google Play商店和Apple App Store上的Android和iOS应用程序包含一个恶意软件开发套件（SDK），旨在使用OCR偷窃器窃取加密货币钱包恢复短语。该活动被称为“ SparkCat”，其名称（“ Spark”）是受感染应用程序中恶意SDK组件之一的名称（“ Spark”）。 根据Kaspersky的说法，仅在Google Play上，下载数字就可以公开使用，被感染的应用程序下载了242,000次。 Kaspersky解释说：“我们发现Android和iOS应用程序具有恶意的SDK/框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在Google Play和App Store上找到。” 从Google Play下载了被感染的应用程序超过242,000次。这是在App Store中找到偷窃器的第一个已知案例。 Spark SDK窃取用户的加密货币 被感染的Android应用程序上的恶意SDK利用了称为“ Spark”的恶意Java组件，该组件伪装成分析模块。 它使用GitLab上存储的加密配置文件，该文件提供命令和操作更新。在iOS平台上，该框架具有不同的名称，例如“ gzip”，“ googleappsdk”或“ stat”。另外，它使用一个称为“ IM_NET_SYS”的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。 该模块使用Google ML Kit OCR从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。 它（恶意组件）会根据系统的语言加…

纽约宣布与 PayPal 达成 200 万美元和解，起因是其未能遵守该州的网络安全法规，导致 2022 年数据泄露。纽约金融服务部 (DFS ) 称，威胁者利用 PayPal 系统中的安全漏洞进行撞库攻击，从而获取到了对敏感客户信息的访问权限。 2023 年，据PayPal 披露，威胁者在 2022 年 12 月 6 日至 8 日期间进行了大规模凭证填充攻击，导致 35,000 个账户遭到泄露。当时曝光的数据包括姓名，出生日期，邮政地址，社会保险号和个人税收标识号等重要数据信息。 据了解，在PayPal实施对现有数据流的更改之后，客户数据被暴露出来，以使IRS表格1099 ks可供更多客户使用。但是，负责实施这些更改的团队未经PayPal的系统和应用程序开发过程进行培训。因此，在更改进行之前，他们未能遵循适当的程序而使不法分子有机可乘。 持有PayPal帐户有效凭证的网络犯罪分子能够访问这些帐户及其1099-K表格后，造成许多敏感信息被泄露。这些“凭据填充”攻击的成功取决于缺乏多因素身份验证（MFA）保护，这在当时不是强制性的。 他们与较弱的访问控件相结合，允许在没有验证码或限制费率的情况下进行自动登录尝试，构成了PayPal的关键合规性失败。构成纽约网络安全法规23条NYCRR§500.3、500.10和500.12的违规行为。事件发生后，PayPal被要求实施适当的网络安全政策，人员培训和身份验证控制。 DFS 表示，尽管 PayPal 在发现漏洞后采取了多项补救措施，包括屏蔽 IRS 表格上的敏感数据、实施验证码和速率限制，以及对所…

在当今数字化深度渗透的时代，网络已然成为经济、社会、生活运转的关键支撑。从金融交易、政务办公到日常的社交娱乐，人们的一切活动都与网络紧密相连。然而，繁荣的网络生态背后，网络安全形势却日益严峻。网络攻击手段日益复杂多变，勒索软件、高级持续性威胁（APT）等层出不穷，与此同时，云计算、大数据、物联网等新技术广泛应用，网络安全面临着前所未有的挑战与全新需求。 为紧跟网络安全领域的快速发展步伐，嘶吼安全产业研究院决定对《网络安全产业图谱》进行更新。在各领域新兴技术不断涌现，尤其是 AI 与网络安全深度融合的背景下，我们将重新调整分类网络安全产业链。比如，专门划分出 AI 赋能网络安全的相关细分领域。进一步优化网安产业布局，为政企及其他组织机构提供更具前瞻性和实用价值的客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将延续2024年图谱收录方式，参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 3、重点领域厂商产品名录展示： 在精选出的多个重点领域中，我们将根据调研结果展示重点领域安全产品名录。 《2025网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2025图谱调研”获取。 1）征集阶段：2025年2月10日——2025年3月7日，下载填报《2025网络安…

被称为Kimsuky的朝鲜黑客组织在最近的攻击中被发现使用定制的RDP包装器和代理工具直接访问受感染的机器。 发现该活动的AhnLab安全情报中心（ASEC）表示，朝鲜黑客现在正使用一套多样化的定制远程访问工具，而不再仅仅依赖于PebbleDash等嘈杂的后门，但PebbleDash目前仍在使用中，此举也是Kimsuky改变策略的手段之一。 Kimsuky最新的攻击链 最新的感染链始于一封鱼叉式网络钓鱼电子邮件，其中包含伪装成PDF或Word文档的恶意快捷方式（. lnk）文件附件。这些电子邮件包含收件人的姓名和正确的公司名称，表明Kimsuky在攻击前进行了侦察。 打开.LNK文件会触发PowerShell或Mshta从外部服务器检索额外的负载，包括： ·PebbleDash，一个已知的Kimsuky后门，提供初始系统控制。 ·一个修改版本的开源RDP包装工具，支持持久的RDP访问和安全措施绕过。 ·代理工具绕过私有网络的限制，允许攻击者访问系统，即使直接RDP连接被阻止。 自定义RDP包装器 RDP Wrapper是一个合法的开源工具，用于在Windows版本（如Windows Home）上启用本地不支持的远程桌面协议（RDP）功能。 它充当中间层，允许用户在不修改系统文件的情况下启用远程桌面连接。Kimsuky的版本改变了导出功能，以绕过反病毒检测，并可能区分其行为，足以逃避基于签名的检测。 自定义RDP包装器导出功能 使用自定义RDP包装器的主要优点是规避检测，因为RDP连接通常被视为合法的，允许Kimsuky在雷达下停留更长时…

国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知 发改数据〔2025〕18号 各省、自治区、直辖市、新疆生产建设兵团发展改革委、数据管理部门、党委网信办、工业和信息化主管部门、公安厅（局）、市场监管局（厅、委）： 为深入贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，推动高质量发展和高水平安全良性互动，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，现印发给你们，请结合实际抓好落实。 国家发展改革委 国家数据局 中央网信办 工业和信息化部 公安部 市场监管总局 2025年1月6日 关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案 数据流通安全治理规则是数据基础制度的重要内容。为贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，更好统筹发展和安全，建立健全数据流通安全治理机制，提升数据安全治理能力，促进数据要素合规高效流通利用，释放数据价值，提出如下意见。 一、总体要求 以习近平新时代中国特色社会主义思想为指导，深入落实党的二十大和二十届二中、三中全会精神，全面贯彻总体国家安全观，统筹数据高质量发展和高水平安全，坚持系统…

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services（ADFS），使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证（MFA）保护措施。据发现该攻击的安全公司称，此次攻击的目标主要是教育、医疗和政府机构，攻击目标至少有150个。 这些攻击旨在访问公司电子邮件帐户，以将电子邮件发送给组织内的其他受害者或进行经济攻击（例如商业电子邮件妥协（BEC）），在此付款转移到威胁者的帐户中。 欺骗Microsoft Active Directory联合服务 Microsoft Active Directory Federation Services（ADFS）是一个身份验证系统，允许用户登录一次并访问多个应用程序和服务，而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录（SSO）。 攻击者会向冒充其公司IT团队的目标发送电子邮件，要求他们登录以更新其安全设置或接受新策略。 攻击中使用的网络钓鱼电子邮件示例 点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名，密码和MFA代码，或引导他们批准推送通知。 欺骗的ADFS门户 网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单，针对多种常用MFA机制的异常观察到的模板，包括Microsoft Authenticator，Duo Security和SMS验证。 两个可用的MFA旁路屏 一旦受害…

暴力破解攻击是指威胁者尝试使用大量用户名和密码反复登录一个账户或设备，直到找到正确的组合。一旦他们获取到正确的凭证，就可以利用这些凭证劫持设备或访问网络。 据悉，一场动用了近 280 万个 IP 地址的大规模暴力破解密码攻击正在进行，该攻击试图验证包括Palo Alto Networks，Ivanti和Sonicwall在内的众多网络设备的登录凭证。 根据威胁监控平台Shadowserver基金会的说法，自上个月以来，一直有暴力破解攻击在进行，每天使用近 280 万个源 IP 地址来实施这些攻击。这 110 万人中，大多数来自巴西，其次是土耳其、俄罗斯、阿根廷、摩洛哥和墨西哥，但参与该活动的原籍国数量总体上非常多。 这些边缘安全设备，如防火墙、vpn、网关和其他安全设备，通常暴露在互联网上以方便远程访问。进行这些攻击的设备主要是MikroTik、Cisco、Boa的路由器和物联网，这些设备通常会受到大型恶意软件僵尸网络的攻击。 据Shadowserver基金会证实，该活动已经持续了一段时间，但最近捕捉到数量大幅增加。据了解，攻击IP地址分布在许多网络和自治系统中，可能是僵尸网络或与住宅代理网络相关的某些操作。 住宅代理是分配给互联网服务提供商（isp）的消费者的IP地址，这使得它们在网络犯罪、抓取、绕过地理限制、广告验证、倒卖球鞋或门票等方面受到高度追捧。 这些代理通过住宅网络路由互联网流量，使用户看起来像是普通的家庭用户，而不是机器人、数据抓取器或黑客。 网关设备（例如那些被此活动作为目标的设备）可以用作住宅代理操作中的代理出口节点，…

近期，美国、澳大利亚和英国制裁了俄罗斯防弹主机（BPH）服务提供商Zservers，原因是该公司为LockBit勒索软件团伙提供必要的攻击基础设施。 该公司的两名主要管理人员是俄罗斯公民，他们也因指导Lockbit虚拟货币交易和支持该团伙的攻击而被指控。 美国外国资产控制办公室（OFAC）表示，加拿大当局在2022年对一家已知的LockBit附属公司的突袭中发现了一台运行虚拟机的笔记本电脑，该虚拟机与Zservers转租的IP地址相连，并运行LockBit恶意软件控制面板。 2022年，一名俄罗斯黑客从Zservers获得了IP地址，这些地址可能与LockBit聊天服务器一起用于协调勒索软件活动，而在2023年，Zservers向LockBit附属公司提供了包括俄罗斯IP地址在内的基础设施。 美国财政部负责恐怖主义和金融情报的代理副部长表示：“勒索软件攻击者和其他网络犯罪分子依靠第三方网络服务提供商（如Zservers）来攻击美国和国际关键基础设施。”并称这些托管服务提供商‘刀枪不入’是一种虚假的营销噱头。网络犯罪分子认为他们有这些服务提供商的保护，然而，一次大规模行动打开并破坏了基础设施。 像ZSERVERS这样的BPH提供商提供一系列可购买的工具来掩盖网络犯罪分子的位置、身份和活动，从而保护和支持网络犯罪分子。以这些供应商为目标可以同时挫败数百或数千名罪犯。 英国外交、联邦和发展办公室还制裁了Zservers在英国的幌子公司XHOST Internet Solutions LP和四名员工，同样因为他们支持LockBit勒索软件攻击。 …

据安全研究员观察发现，一个可能与俄罗斯有关联的威胁者发起的活跃攻击活动，正利用设备代码钓鱼手段针对个人微软 365 账户进行攻击。 这些攻击目标涉及欧洲、北美、非洲和中东地区的政府、非政府组织、信息技术服务和科技、国防、电信、医疗以及能源/石油和天然气行业。 微软威胁情报中心将此次设备代码钓鱼活动背后的威胁者追踪为“风暴-237”。基于受害者特征和作案手法，研究人员认为，该活动与符合俄罗斯利益的国家行为有关。 设备代码钓鱼攻击 输入受限设备——那些缺少键盘或浏览器支持的设备，比如智能电视和某些物联网设备，依靠代码认证流程让用户通过在另一台设备（如智能手机或电脑）上输入授权码来登录应用程序。 微软研究人员发现，自去年 8 月以来，Storm-2372 通过诱骗用户在合法的登录页面输入攻击者生成的设备代码，滥用这种身份验证流程。 这些特工人员首先通过在 WhatsApp、Signal 和 Microsoft Teams 等消息平台上“冒充与目标有关的知名人士”与目标建立联系，然后才发起攻击。 Storm-2372发送到目标的消息 威胁者会在通过电子邮件或短信发送虚假的在线会议邀请之前，与受害者逐渐建立起一种融洽的关系。根据研究人员的说法，受害者收到一个团队会议邀请，其中包括攻击者生成的设备代码。 微软表示：“这些邀请会引诱用户完成设备代码认证请求，模拟消息传递服务，这为Storm-2372提供了对受害者账户的初始访问权限，并启用了Graph API数据收集活动，如电子邮件收集。” 只要被盗的令牌有效，黑客就可以在不需要密码的情况下访问受害…

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内捕获发现仿冒DeepSeek官方App的安卓平台手机木马病毒。 相关病毒样本信息 用户一旦点击运行仿冒App，该App会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限。 诱导用户“更新”（左上）、诱导用户安装“带毒”子安装包（右上）、诱导用户授权其后台运行（左下）、诱导用户授权其使用无障碍功能（右下）。 同时，该恶意App还包含拦截用户短信、窃取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为。经分析，该恶意App为金融盗窃类手机木马病毒的新变种。网络犯罪分子很可能将该恶意App用于电信网络诈骗活动，诱使用户从非官方渠道安装仿冒DeepSeek的手机木马，从而对用户的个人隐私和经济利益构成较大威胁。 除仿冒DeepSeek安卓客户端的“DeepSeek.apk”之外，国家计算机病毒协同分析平台还发现了多个文件名为“DeepSeek.exe”“DeepSeek.msi”和“DeepSeek.dmg”的病毒样本文件，由于DeepSeek目前尚未针对Windows平台和MacOS平台推出官方客户端程序，因此相关文件均为仿冒程序。由此可见，网络犯罪分子已经将仿冒DeepSeek作为传播病毒木马程序的新手法。预计未来一段时间内，包括仿冒DeepSeek在…

最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。 在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。 Steam上的恶意软件 上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。 PirateFi的Steam页面 本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。” 用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。 Steam对受影响用户的通知 受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。 SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cooki…

依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期国家计算机病毒应急处理中心通过互联网监测，发现14款移动应用存在隐私不合规行为。 一、个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及6款移动应用如下： 1、《艾乐游》（版本1.3.3，百度手机助手） 2、《江子为民》（版本1.1.54，应用宝） 3、《元气桌面壁纸》（版本3.52.4324，vivo应用商店） 4、《易念》（版本3.0.2，应用宝） 5、《同城酒库》（版本3.2.9，vivo应用商店） 6、《乐山商业银行》（版本3.31.6，应用宝） 二、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及10款移动应用如下： 1、《运多星司机》（版本1.2.6，应用宝） 2、《艾乐游》（版本1.3.3，百度手机助手） 3、《鲸鱼爱学》（版本3.1.0，应用宝） 4、《华龙智信恒生版》（版本7.1.3.0，应用宝） 5、《江子为民》（版本1.1.54，应用宝） 6、《元气桌面壁纸》（版本3.52.4324，vivo应用商店 7、《易念》（版本3.0.2，应用宝） 8、《乐山商业银行》（版本3.31.6，应用宝） 9、《普益基金》（版本7.0.3，应用宝） 10、《i音乐》（版本10.5.2.0，vivo应用商店） 三、个人信息处理者向其他个人信息处理者提供其处理…

GitVenom 活动是一种复杂的网络威胁，利用 GitHub 存储库传播恶意软件并窃取加密货币。该活动通过创建数百个看似合法但包含恶意代码的虚假 GitHub 存储库来实施攻击，旨在诱骗开发人员下载和执行恶意代码，从而导致严重的财务损失。 恶意代码部署 GitVenom 背后的攻击者使用多种编程语言（如 Python、JavaScript、C、C++ 和 C#）制作虚假项目。这些项目通常声称提供社交媒体或加密货币管理的自动化工具等功能，但实际上隐藏了恶意代码，执行恶意操作。 恶意存储库的示例结构 Python 项目：攻击者使用一种技术，在一长行制表符后隐藏解密并执行恶意 Python 脚本的代码。 JavaScript 项目：嵌入了恶意函数，用于解码并执行 Base64 编码的脚本。 C、C++ 和 C# 项目：恶意批处理脚本被隐藏在 Visual Studio 项目文件中，以便在构建过程中执行。 这些虚假项目部署的恶意负载会从攻击者控制的 GitHub 存储库下载其他恶意组件。这些组件包括一个 Node.js 窃取程序，用于收集凭证和加密货币钱包数据等敏感信息，并通过 Telegram 将其上传给攻击者。此外，攻击者还使用了开源工具如 AsyncRAT 和 Quasar 后门。 根据 SecureList 的报告，攻击者还使用了剪贴板劫持程序，将加密货币钱包地址替换为攻击者控制的地址，从而导致严重的财务盗窃。值得注意的是，一个攻击者控制的比特币钱包在 2024 年 11 月收到了约 5 BTC（当时价值约 485,000 美元）。 …

一款名为 SpyLend 的 Android 恶意软件应用程序已在 Google Play 上被下载超过 10 万次。该应用伪装成一款金融工具，但实际上是一个针对印度用户的掠夺性贷款应用程序。 该应用程序属于名为 SpyLoan 的恶意 Android 应用程序组，这些应用伪装成合法的金融工具或贷款服务，实际上却窃取设备数据用于掠夺性贷款。这些应用通常承诺提供快速简便的贷款，只需很少的文档，并提供诱人的条款，以此吸引用户。然而，在安装时，它们会请求过多的权限，从而窃取用户的个人数据，包括联系人、通话记录、短信、照片和设备位置等信息。 这些收集到的数据随后被用来骚扰、敲诈和勒索用户，尤其是当用户未能满足应用程序的还款条款时。 贷款诈骗和敲诈勒索 网络安全公司 CYFIRMA 发现了一款名为 Finance Simplified 的 Android 应用，该应用自称是一款财务管理工具，在 Google Play 上的下载量已达 10 万次。然而，CYFIRMA 表示，该应用在某些国家（如印度）表现出更多的恶意行为，会窃取用户设备的数据用于掠夺性贷款。研究人员还发现了其他恶意 APK，这些 APK 似乎是同一恶意软件活动的变种，包括 KreditApple、PokketMe 和 StashFur。 尽管该应用现已被从 Google Play 中移除，但它可能仍在后台运行，继续从受感染的设备中收集敏感信息。 Google Play 上 Finance Simplified 的多条用户评论显示，该应用提供的贷款服务会向未支付高额利息的借款人进行勒…

zklend 官方承认遭到黑客攻击，威胁者利用智能合约中 mint() 函数的舍入错误漏洞盗取了 3600 个以太币，价值约 950 万美元。 zkLend 是一个建立在 Starknet 上的去中心化货币市场协议，Starknet 是以太坊的二层扩容解决方案，它使用户能够存入、借入和贷出各种资产。据了解，攻击者将“lending_accumulator”操纵为非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的舍入误差，反复存入 4.069297906051644021 wstETH，每次获得 2 个 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次仅花费 1 个 wei。 开发 Starknet 网络的 Starkware 确认，该漏洞并非 Starknet 技术本身的问题，而是某个应用程序特有的错误。 据 Cyvers 称，威胁者试图通过 RailGun 隐私协议清洗加密货币，但因协议政策而被阻止。 zkLend现已向黑客发出消息，称如果他们归还被盗以太坊的90%资金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他们可以保留另外10%的资金作为白帽赏金，并且不会对攻击承担任何责任。 目前zkLend 正在与安全公司和执法部门合作。如果在2025年2月14日前没有收到威胁分子的消息，该公司将继续采…

一场名为“StaryDobry”的大规模恶意软件活动以破解游戏《Garry’s Mod， BeamNG》的木马版本为目标，攻击全球玩家。 这些游戏都是Steam上拥有数十万“绝对正面”评价的顶级游戏，因此它们很容易成为恶意活动的目标。 值得注意的是，据报道，在2024年6月，一个带花边的光束模型被用作迪士尼黑客攻击的初始访问向量。 根据卡巴斯基的说法，StaryDobry活动始于2024年12月下旬，结束于2025年1月27日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。 攻击者在2024年9月提前几个月将受感染的游戏安装程序上传到torrent网站，并在假期期间触发游戏中的有效载荷，从而降低了检测的可能性。 StaryDobry活动时间表 StaryDobry感染链 StaryDobry活动使用了一个多阶段感染链，最终以XMRig加密程序感染告终。用户从种子网站下载了木马化的游戏安装程序，这些程序看起来都很正常。 活动中使用的恶意种子之一 在游戏安装过程中，恶意软件卸载程序（unrar.dll）被解包并在后台启动，在继续之前，它会检查它是否在虚拟机，沙箱或调试器上运行。 恶意软件表现出高度规避行为，如果它检测到任何安全工具，立即终止，可能是为了避免损害声誉。 Anti-debug检查 接下来，恶意软件使用‘regsvr32.exe’进行持久化注册，并收集详细的系统信息，包括操作系统版本、国家、CPU、 RAM和GPU详细信息，并将其发送到pinokino[.]fun的命令和控制（C2）服务器。 最终，drop…

CISA 和 FBI 表示，部署“幽灵”勒索软件的攻击者已入侵了来自 70 多个国家多个行业领域的受害者，其中包括关键基础设施组织。 受影响的其他行业包括医疗保健、政府、教育、科技、制造业以及众多中小型企业。 CISA、FBI 以及 MS-ISAC 联合发布的一份咨询报告称：“自 2021 年初开始，幽灵黑客开始攻击那些互联网服务所运行的软件和固件版本过时的受害者。”目前，这种对存在漏洞的网络不加区分的攻击已导致全球 70 多个国家的组织受到侵害。 幽灵勒索软件的运营者经常更换其恶意软件可执行文件，更改加密文件的扩展名，修改勒索信的内容，并使用多个电子邮件地址进行勒索沟通，导致该组织的归属很难被及时确定。 与该组织有关联的名称包括 Ghost、Cring、Crypt3r、 Phantom、 Strike、 Hello、 Wickrme、HsHarada、和 Rapture。其攻击中使用的勒索软件样本包括“Cring.exe”“Ghost.exe”“ ElysiumO.exe” 和“Locker.exe”。 这个以盈利为目的的勒索软件团伙利用公开可获取的代码来攻击存在安全漏洞的服务器。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。 为防范幽灵勒索软件攻击，建议网络防御人员采取以下措施： 1.定期和异地备份不能被勒索软件加…

卡巴斯基发布的关于 2024 年移动恶意软件演变的最新报告显示，针对移动设备的网络威胁显著增加。 这一年，该安全公司的产品成功阻止了多达 3330 万次涉及恶意软件、广告软件或有害移动软件的攻击。 移动恶意软件格局正随着新的传播方案发生变化 广告软件依旧在移动威胁领域占据主导地位，在总检测数量中占比 35%。卡巴斯基安全网络发现了 110 万个恶意以及潜在有害的安装包，其中近 69,000 个与手机银行木马相关。 这份报告着重指出了移动恶意软件几个新出现且令人担忧的趋势。比如，发现了 Mamont 银行木马针对俄罗斯安卓用户的一种新型传播方案。攻击者运用社会工程手段，以折扣产品吸引受害者，随后发送伪装成货运追踪应用程序的恶意软件。 研究人员还在捷克共和国发现了一种新的 NFC 银行诈骗手段。网络犯罪分子利用钓鱼网站，传播合法 NFCGate 应用程序的恶意修改版本。从诈骗者的聊天记录中，能看到相关的钓鱼链接。这种诈骗手段通过 NFC 连接，诱骗用户泄露银行卡详细信息，让欺诈者得以进行未经授权的交易。 新兴威胁和复杂的攻击媒介 有一个重大发现是 SparkCat SDK 植入程序，它从 2024 年 3 月开始传播。该恶意软件存在于多个 Google Play 应用里，目的是窃取设备图库中的图像，尤其针对加密货币钱包的恢复短语。值得注意的是，这个植入程序的变种还成功渗透进了苹果的 App Store，成为已知首个绕过苹果严格安全措施的 OCR 恶意软件。 在移动威胁态势下，预装恶意应用程序的情况有所增多，比如在安卓电视机顶盒上检测到了 L…

格拉茨技术大学的研究人员发现了一种具有突破性的基于软件的旁道攻击方式 ——KernelSnitch，它利用的是 Linux 内核数据结构中的时间差异。 根据研究人员在 Github 上发布的报告，与依赖硬件的攻击不同，KernelSnitch 主要针对哈希表、基数树和红黑树。这使得非特权攻击者能够跨越隔离进程泄露敏感数据。 漏洞：内核数据结构是静默泄漏者 操作系统依靠哈希表和树等动态数据结构来管理用户空间锁、计时器和进程间通信 (IPC) 的元数据。 KernelSnitch 利用了一个关键的架构疏忽：访问这些结构所需的时间取决于它们的占用情况（元素的数量）。 通过测量系统调用执行时间，攻击者可以推断占用率并提取秘密。 KernelSnitch 的工作原理 1、时间测量：攻击者触发与内核结构交互的系统调用（例如，futex、msgget）。 2、占用率推断：系统调用持续时间越长，表示由于迭代搜索（例如，遍历哈希桶中的链接列表）导致的占用率越高。 3、放大：哪怕是极其微小的时间差异（低至 8 个 CPU 周期），也会通过缓存抖动（刷新 CPU 缓存以加剧内存延迟）或者结构操作（人为增加占用率）被放大。 KernelSnitch 利用哈希表中的可变访问时间。每个存储桶的链接列表长度会影响系统调用持续时间，通过时间戳比较泄露。 分析 1、隐蔽通道（580 kbit/s 传输）：恶意进程通过调节哈希桶占用率来进行通信。在 Intel i7 - 1260P 上，KernelSnitch 利用 futex 子系统实现了 580 kbit/s 的传输…

近期，Splunk 威胁研究团队发现了一起大规模恶意软件攻击活动，4000 多家互联网服务提供商（ISP）深受其害，黑客借此获得了关键基础设施的远程访问权限。种种迹象表明，此次攻击或源自东欧，攻击者运用了暴力攻击手段、植入加密挖掘负载，并采用了先进的规避技术。 攻击概述 该恶意软件专门针对 ISP 系统中存在的弱凭证，通过暴力破解的方式强行渗透进入。一旦成功潜入系统，攻击者便迅速部署一系列恶意二进制文件，像 mig.rdp.exe、x64.exe 和 migrate.exe 等。这些文件一方面执行加密挖掘操作，利用受害系统的计算资源谋取利益；另一方面，负责窃取敏感信息。 这些恶意有效载荷具备多种破坏能力，它们能够禁用系统的安全功能，通过命令和控制（C2）服务器（其中包括 Telegram 机器人）将窃取的数据泄露出去，并且能够在受感染的网络中寻找并攻击其他目标。在受感染网络中横向移动时，该恶意软件主要借助 Windows 远程管理（WINRM）服务。它运用编码的 PowerShell 脚本，不仅可以禁用防病毒保护，终止其他竞争的加密矿工程序，还能在受感染的系统上建立起长期的控制权，同时修改目录权限，限制用户访问，防止自身文件被发现。 启用目录的继承权限 技术细节 此次恶意软件活动采用自解压 RAR 档案（SFX）的方式，极大地简化了部署过程。以 mig.rdp.exe 有效载荷为例，它会释放出多个文件，其中包含批处理脚本（ru.bat、st.bat）和可执行文件（migrate.exe）。这些文件会禁用 Windows Defender…

Common Crawl 非营利组织维护着一个庞大的开源存储库，其中存储了自 2008 年以来收集的数 PB 级网络数据，任何人都能免费使用这些数据。由于数据集规模巨大，许多人工智能项目，包括 OpenAI、DeepSeek、Google、Meta、Anthropic 和 Stability 等公司的大型语言模型（LLM）训练，可能至少部分依赖这一数字档案。 Truffle Security 公司（TruffleHog 敏感数据开源扫描器背后的公司）的研究人员对 Common Crawl 2024 年 12 月档案中 267 亿个网页的 400 TB 数据进行检查后，发现了 11,908 个成功验证的有效机密。这些机密均为开发人员硬编码，这意味着 LLM 存在在不安全代码上进行训练的可能性。 在这些机密中，有 Amazon Web Services（AWS）的根密钥、MailChimp API 密钥以及 WalkScore 服务的有效 API 密钥等。 前端 HTML 源代码中的 AWS 根密钥：Truffle Security TruffleHog 在 Common Crawl 数据集中总共识别出 219 种不同类型的秘密，其中最常见的是 MailChimp API 密钥，近 1,500 个独特的 Mailchimp API 密钥被硬编码在前端 HTML 和 JavaScript 中。 MailChimp API 密钥在前端 HTML 源 代码中泄露：Truffle Security 开发人员的失误在于将这些密钥硬编码到 HTML 表…

篇首语：最近杨叔看到好多朋友家小盆友都在上橄榄球课，也就习惯性关注下这个行业的隐私保护现状，于是就......看到了有趣的东西 今年7月，第一本全面揭露美国NFL职业橄榄球大联盟中阴暗面的书籍出版，书中囊括了从偷拍、安装窃听器材、秘密监视，到窃取文件、窃听电话、间谍刺探，以及内部斗争等等球队间对抗的情节。 谁能想到这些听起来像是007电影里的桥段，都来自真实的美国职业橄榄球联盟 声明1：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。 声明2：咳咳，杨叔不是橄榄球迷，如果在体育术语上有翻译不准确的地方，就当没看见吧 1 NFL全美职业橄榄球大联盟 美国职业橄榄球大联盟（National Football League，简称NFL）是指美国国家橄榄球联合会（National Football Conference，简称国联NFC）与美国橄榄球联合会（American Football Conference，简称美联AFC）合并后的名称。 NFL美国职业橄榄球大联盟，高居北美四大职业体育运动联盟之首，也是世界上规模最大的职业橄榄球大联盟。 目前，不但很多赛事国内平台都有转播，作为对身体素质要求更高的橄榄球运动，在国内的粉丝群体也正在快速增长中。 PS：杨叔在以前的软文里也提及过NFL，可以作为本篇的参考： 内幕 | 那些体育圈的窃密事件 OK，接下来，我们直接看看有趣的部分。 2 被窃听的球队更衣室 球队最担心的是在客场被恶意窃听。 很显然，客场的更衣室是一个值得关注的区域…