蓝队取证审计网络安全

Otelier（以前称为 MyDigitalOffice）是一种基于云的酒店管理解决方案，全球 10,000 多家酒店使用它来管理预订、交易、夜间报告和发票。该公司被许多知名酒店品牌使用，其中包括万豪、希尔顿和凯悦。 近期，酒店管理平台 Otelier 遭遇数据泄露，黑客入侵了其 Amazon S3 云存储，窃取了数百万客人的个人信息以及万豪、希尔顿和凯悦等知名酒店品牌的预订信息。 据称，该漏洞首次发生于 2024 年 7 月，并持续访问至 10 月份，威胁者声称从 Otelier 的 Amazon AWS S3 存储桶中窃取了近 8 TB 的数据，并表示正在与受影响的客户进行沟通。 Otelier 表示一直在与可能涉及信息的客户进行沟通，目前经调查，未经授权的访问已被终止。为了防止未来发生类似事件，Otelier 已经禁用了相关帐户。 通过窃取的凭证而遭到破坏 Otelier 漏洞背后的威胁者表示，他们最初使用员工的登录信息入侵了该公司的 Atlassian 服务器。这些凭证是通过信息窃取恶意软件窃取的，这在过去几年中已成为企业网络的祸根。有媒体要求 Otelier 确认这一信息时，该公司表示他们无法就该事件发表任何进一步的评论。安全研究员在 Flare 威胁情报平台 Otelier 上发现员工信息已被 infostealer 恶意软件窃取。威胁者表示，他们使用这些凭据来抓取票据和其他数据，其中包含该公司 S3 存储桶的更多凭据。 黑客声称利用此访问权限从该公司的亚马逊云存储下载了 7.8TB 的数据，其中包括由 Otelier 管理的…

加州正全力应对野火带来的毁灭性打击，以保护民众的生命和财产安全。然而不幸的是，这些灾难也为网络犯罪分子提供了可乘之机，他们利用灾时的混乱与不确定性实施犯罪。 Veriti Research 发现，与当前山火灾难相关的网络钓鱼诈骗正呈现出一种令人担忧的趋势，这凸显出在这些脆弱时期，迫切需要提升公众的网络安全意识 。 Veriti Research 的主要发现 Veriti Research在迅速调查后，在短短 72 小时内就发现了多个与加州山火有关的新注册域名。其中一些可疑域名包括： · malibu-fire[.]com · fire-relief[.]com · calfirerestoration[.]store · fire-evacuation-service[.]com · lacountyfirerebuildpermits[.]com · pacificpalisadesrecovery[.]com · boca-on-fire[.]com · palisades-fire[.]com · palisadesfirecoverage[.]com 这些域名表现出了典型的网络钓鱼活动模式，从模仿官方服务到针对马里布和太平洋帕利塞德等特定地区。 早期迹象表明，这些网站准备进行欺诈活动，包括网络钓鱼攻击、虚假捐赠请求和恶意下载。 黑客采用的策略 网络犯罪分子特别喜欢利用人们面对灾难时产生的恐惧和不确定性心理。在灾难发生期间，他们会采取以下策略： · 注册与合法服务机构极为相似的域名，以此混淆视听。 · 借助这些精心设计的域名发送网络…

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现16款移动App存在隐私不合规行为。 1、隐私政策难以访问、未声明App运营者的基本情况。涉及9款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《168运友物流》（版本3.9.93，应用宝）、 《天水秦州村镇银行》（版本3.0.7，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《懂球圈》（版本1.3.0，应用宝）、 《学法减分笔记》（版本1.0.5，vivo应用商店）、 《中峪数交》（版本1.2.9，应用宝）、 《全能CAD手机看图王》（版本2.0.1，360手机助手）、 《多语游外语学习》（版本1.0，百度手机助手）。 2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及8款App如下： 《小鹿组队电竞陪玩》（版本3.7.1，360手机助手）、 《易面酷》（版本2.1.0，应用宝）、 《168运友物流》（版本3.9.93，应用宝）、 《智慧狐》（版本3.4.10，vivo应用商店）、 《esc模拟社恐快逃》（版本2.1.8，百度手机助手）、 《山西信托》（版本2.8.5，应用宝）、 《多语游外语学习》（版本1.0，百度手机助手）、 《健康诺时邦》（版本1.4.5，360手机助手）。 3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收…

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、窃取商业秘密和知识产权、侵犯公民个人信息等，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下： 一、恶意地址信息 （一）恶意地址：gael2024.kozow.com 关联IP地址：149.28.98.229 归属地：美国/佛罗里达州/迈阿密 威胁类型：后门 病毒家族：AsyncRAT 描述：该恶意地址关联多个AsyncRAT病毒家族样本，部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。相关后门程序采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式shell，以及访问特定URL等。这些病毒可通过移动存储介质、网络钓鱼邮件等方式进行传播，现已发现多个关联变种，部分变种主要针对中国境内民生领域的重要联网系统。 （二）恶意地址：185.174.101.218 归属地：美国/加利福尼亚州/洛杉矶 威胁类型：后门 病毒家族：RemCos 描述：该恶意地址关联到多个RemCos病毒家族样本，部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款远程管理工具，自2016年起就已存在…

绿湾包装工队（Green Bay Packers）美式足球队通知球迷，一名威胁行为者于 10 月份入侵了其官方线上零售店，并注入了卡片盗刷脚本，以窃取客户的个人和支付信息。 国家橄榄球联盟球队表示，10 月 23 日发现 packersproshop.com 网站遭到入侵后，立即禁用了所有结账和付款功能。 “2024 年 10 月 23 日，我们收到警报，第三方威胁行为者在 Pro Shop 网站上插入了恶意代码，得知此事后，我们立即暂时禁用了 Pro Shop 网站上的所有支付和结账功能，并开始调查。”Packers 零售业务总监 Chrysta Jorgensen解释道。 该 NFL 球队还聘请了外部网络安全专家来调查该事件的影响并查明是否有客户信息被窃取。 调查显示，插入结帐页面的恶意代码可能会在 2024 年 9 月下旬至 10 月上旬期间窃取个人和支付信息。然而，Packers 表示，攻击者无法拦截使用礼品卡、Pro Shop 网站帐户、PayPal 或 Amazon Pay 进行的支付的信息。 “我们还立即要求托管和管理 Pro Shop 网站的供应商从结帐页面删除恶意代码、刷新密码并确认没有剩余漏洞，”Jorgensen 补充道。 荷兰电子商务安全公司Sansec在 12 月 31 日发布的一份报告中指出： “在这次攻击中，一个脚本从 https://js-stats.com/getInjector 注入。该脚本从网站上的输入、选择和文本区域字段中收集数据，并将捕获的信息泄露到 https://js-stats.com/f…

2024 年 9 月出现了一场冒充美国社会保障局的网络钓鱼活动，它向电子邮件发送嵌入了 ConnectWise 远程访问木马 (RAT) 安装程序链接的电子邮件。 这些电子邮件伪装成更新的福利声明，采用了各种技巧，包括不匹配的链接和“查看声明”按钮，以欺骗收件人。 它最初利用ConnectWise基础设施进行命令和控制 (C2)，但后来转变为动态 DNS 服务和威胁行为者托管的域。 据观察，活动在 11 月初至中旬显著增加，并在选举日左右达到顶峰，这表明它可能与政治选举有关。 威胁行为者在针对个人的电子邮件活动中采用了复杂的欺骗策略，利用社会保障管理局合法的福利来制造假象。 通过仿政府官方网页的欺骗性链接，使用邮件诱骗收件人点击。 这可能导致恶意软件感染或数据盗窃。 使用品牌图像资产的欺骗社会保障管理局电子邮件示例 通过使用欺骗性的攻击，嵌入式链接能够在用户首次访问链接时将用户重定向到 ConnectWise RAT 安装程序。 然而，随后尝试访问同一链接时，用户会被重定向到合法的社会保障管理局网站，这表明使用浏览器 cookie 来追踪以前的访问。 通过在第一次访问时设置 cookie，系统可以区分初次尝试和重复尝试。 这有效地将恶意软件传递到精准用户，从而使识别恶意攻击更具挑战性。 当后续尝试访问该链接时，该网站会重定向到官方网站 威胁行为者利用社会工程技术部署凭证网络钓鱼活动，他们制作模仿合法实体（例如社会保障局）的电子邮件来诱骗受害者点击恶意链接。 据Cofense Intelligence称，这些链接通常会…

名为“FlowerStorm”的新 Microsoft 365 网络钓鱼即服务平台填补了 Rockstar2FA 网络犯罪服务突然关闭所留下的空白。 Trustwave 于 2024 年 11 月下旬首次记录，Rockstar2FA 作为 PhaaS 平台运行，促进针对 Microsoft 365 凭据的大规模中间对手 (AiTM) 攻击。该服务提供先进的规避机制、用户友好的面板和众多网络钓鱼选项，以每两周 200 美元的价格向网络犯罪分子出售访问权限。 Sophos 研究人员表示，Rockstar2FA 于 2024 年 11 月 11 日遭遇部分基础设施崩溃，导致该服务的许多页面无法访问，但这似乎不是针对网络犯罪平台的执法行动的结果，而是技术故障。几周后，FlowerStorm 首次出现在网上，并迅速获得关注。 Rockstar2FA 检测 Rockstar2FA 会重塑品牌吗 1.这两个平台都使用模仿合法登录页面（例如 Microsoft）的网络钓鱼门户来获取凭据和 MFA 令牌，依赖于 .ru 和 .com 等域上托管的后端服务器。 Rockstar2FA 使用随机 PHP 脚本，而 FlowerStorm 使用 next.php 进行标准化。 2.他们的钓鱼页面的 HTML 结构非常相似，具有评论中的随机文本、Cloudflare“十字转门”安全功能以及“初始化浏览器安全协议”等提示。 Rockstar2FA 使用汽车主题，而 FlowerStorm 则转向植物主题，但底层设计保持一致。 3.凭据收集方法紧密结合，使用电子邮…

2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。 13. 互联网档案馆被黑 10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。 互联网档案馆上的 JavaScript 警报警告有关违规行为 破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。 该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。 12. 错误的 CrowdStrike 更新导致 850 万台 Windows 设备崩溃 2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。 该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。 该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 …

本周，欧洲航天局 (ESA) 官方网上商店遭到黑客攻击，该商店出现一段 JavaScript 代码，该代码在结账时会生成虚假的 Stripe 支付页面。 欧洲航天局的预算超过 100 亿欧元，主要通过培训宇航员、建造火箭和卫星来探索宇宙的奥秘，从而扩大太空活动的极限。获得销售欧空局商品许可的网络商店目前无法使用，并显示“暂时无法使用”。 该恶意脚本本周出现在该机构的网站上，并收集客户信息，包括在购买最后阶段提供的支付卡数据。电子商务安全公司 Sansec 注意到了该恶意脚本，并提醒该商店似乎与 ESA 系统集成，可能会给该机构员工带来风险。 Sansec 表示 ESA 商店遭到入侵 Sansec 发现用于泄露信息的域名与销售 ESA 商品的合法商店使用的域名相同，但具有不同的顶级域名 (TLD)。虽然欧洲机构的官方商店在 .com TLD 中使用“esaspaceshop”，但黑客在 .pics TLD 中使用相同的名称（即 esaspaceshop[.]pics），如 ESA 商店的源代码所示： ESA 网络商店中注入恶意 JavaScript 该脚本包含来自 Stripe SDK 的模糊 HTML 代码，当客户尝试完成购买时，该代码会加载虚假的 Stripe 支付页面。值得注意的是，假冒的 Stripe 页面看起来并不可疑，特别是当看到它是由 ESA 官方网上商店提供时。 ESA 的网上商店加载虚假的 Stripe 支付页面 有网络应用安全公司也证实了 Sansec 的调查结果，并捕获了 ESA 官方网络商店上加载的虚假 S…

Apache 发布了一个安全更新，解决了 Tomcat Web 服务器中的一个重要漏洞，该漏洞可能导致攻击者实现远程代码执行。 Apache Tomcat 是一种开源 Web 服务器和 Servlet 容器，广泛用于部署和运行基于 Java 的 Web 应用程序。它为 Java Servlet、JavaServer Pages (JSP) 和 Java WebSocket 技术提供运行时环境。 该产品深受运行自定义 Web 应用程序的大型企业和依赖 Java 提供后端服务的 SaaS 提供商的欢迎。云和托管服务集成了 Tomcat 来进行应用程序托管，软件开发人员使用它来构建、测试和部署 Web 应用程序。 新版本中修复的漏洞被追踪为 CVE-2024-56337，并解决了 CVE-2024-50379 的不完整缓解措施，这是一个关键的远程代码执行 (RCE)，供应商已于 12 月 17 日发布了补丁。 人们意识到应用 CVE-2024-50379 的更新不足以保护系统，并决定发布 CVE-2024-56337强调手动操作的必要性。 这两个问题本质上是完全相同的漏洞，但决定使用新的 CVE ID 是为了提高受影响系统管理员的认识。该安全问题是一个检查时间使用时间 (TOCTOU) 竞争条件漏洞，该漏洞会影响启用默认 Servlet 写入（“只读”初始化参数设置为 false）并在不区分大小写的文件系统上运行的系统。 该问题影响 Apache Tomcat 11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33 以及 …

一、相关病毒传播案例 近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）在我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中，攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接，通过微信群直接传播包含该木马病毒的加密压缩包文件，如图1所示。 图1 钓鱼信息及压缩包文件 图1中名为“笔记”等字样的收藏链接指向文件名为“违规-记录（1）.rar”等压缩包文件，用户按照钓鱼信息给出的解压密码解压压缩包文件后，会看到以“开票-目录.exe”、“违规-告示.exe”等命名的可执行程序文件，这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。 二、病毒感染特征 1.钓鱼信息特征 本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点，攻击者刻意强调“12月”、“稽查”、“违规”等关键词，借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后，攻击者继续发送附带所谓的相关工作文件的钓鱼链接。 2.文件特征 1）文件名 对于本次发现的新一批变种，犯罪分子继续将木马病毒程序的文件名设置为与财税、金融管理等相关工作具有密切联系的名称，以引诱相关岗位工作人员点击下载运行，如：“开票-目录”、“违规-记录”、“违规-告示”等。此次发现的新变种仍然只针对安装W…

一种名为“DroidBot”的新 Android 银行恶意软件试图窃取英国、意大利、法国、西班牙和葡萄牙超过 77 个加密货币交易所和银行应用程序的凭据。 据发现新 Android 恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 (MaaS) 平台运行，该工具的售价为每月 3,000 美元。至少有 17 个附属组织已被发现使用恶意软件构建器来针对特定目标定制其有效负载。 尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其僵尸网络之一的分析显示，英国、意大利、法国、土耳其和德国有 776 种独特的感染，表明存在重大活动。此外，Cleafy 表示，该恶意软件似乎正在大力开发，有迹象表明试图扩展到包括拉丁美洲在内的新地区。 DroidBot MaaS 操作 DroidBot 的开发人员似乎是土耳其人，他们为附属公司提供了进行攻击所需的所有工具。这包括恶意软件构建器、命令和控制 (C2) 服务器以及中央管理面板，他们可以从中控制操作、检索被盗数据和发出命令。 创作者声称 DroidBot 在 Android 14 上运行良好 多个附属机构在同一 C2 基础设施上运行，并为每个组织分配了唯一的标识符，使 Cleafy 能够识别 17 个威胁组织。 从样本配置中提取的附属机构 有效负载构建器允许附属机构自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址。关联公司还可以访问详细文档、恶意软件创建者的支持以及定期发布更新的 Telegr…

数字化转型和智能化时代的浪潮下，网络安全问题已成为全球范围内的严峻挑战。近年来，网络攻击呈现出更加多样化和高频化的趋势，勒索病毒、数据泄露、APT攻击（高级持续性威胁）等威胁不断升级，使得传统的安全防护手段面临前所未有的压力，不仅给企业带来巨大的经济损失，也对国家安全和社会稳定构成了严峻考验。同时，随着全球网络安全环境的变化和国家对信息安全的高度重视，自主可控的技术产品和解决方案也成为行业的重要发展方向。 面对诸多复杂局面，越来越多的网络安全企业加强技术创新，致力于开发更加智能、全面、主动的安全解决方案。通过引入人工智能、大数据分析、区块链等前沿技术，许多企业已经开始从被动防护向主动预警转变，致力于构建更加坚固、灵活的安全防线。并且为了减少对外部技术的依赖，推动网络安全的自主可控，许多企业积极研发符合国内安全要求的国产化技术，推动关键基础设施的自主防护体系建设，确保网络安全在国家安全战略中的关键地位。 随着网络安全产业不断地发展、技术的不断升级、政策法规的逐步完善，网络安全行业正朝着更智能、更高效、更自主可控的方向发展，帮助社会各界应对日益复杂的网络安全威胁，同时为我国网络安全产业的自主可控提供了坚实的支撑。 为表彰在网络安全领域做出卓越贡献、并持续推动技术创新的“中国网安优能企业“，嘶吼安全产业研究院进行了《嘶吼2024中国网络安全产业势能榜》评选活动。旨在基于对产业发展的深度调研及甲方侧的需求视角，严选中国网络安全领域内“实力优·技术优·服务优·创新优·品牌优”的优能企业，为市场和甲方的选品提供重要参考，为技术的应用与创新树立行业标杆…

德国联邦信息安全办公室 (BSI) 破坏了该国销售的 30000 多台 Android IoT 设备中预装的 BadBox 恶意软件操作。受影响的设备类型包括数码相框、媒体播放器和流媒体，以及智能手机和平板电脑。 BadBox 是一种 Android 恶意软件，预装在联网设备的固件中，用于窃取数据、安装其他恶意软件或让威胁者远程访问设备所在的网络。 当受感染的设备首次连接到互联网时，恶意软件将尝试联系威胁者运行的远程命令和控制服务器。该远程服务器将告诉 BadBox 恶意软件应在设备上运行哪些恶意服务，并且还将接收从网络窃取的数据。 BSI 表示，该恶意软件可以窃取双因素身份验证代码、安装更多恶意软件，并创建电子邮件和消息传递平台帐户来传播虚假新闻。它还可以通过在后台加载和点击广告来进行广告欺诈，为欺诈团伙创造收入。 最后，BadBox 可以设置为代理，允许其他人使用该设备的互联网带宽和硬件来路由自己的流量。这种策略被称为住宅代理，通常涉及涉及用户 IP 地址的非法操作。 德国网络安全机构表示，它通过沉入 DNS 查询来阻止 BadBox 恶意软件设备与其命令和控制 (C2) 基础设施之间的通信，以便恶意软件与警方控制的服务器而不是攻击者的命令和控制服务器进行通信。 Sinkholing 可防止恶意软件向攻击者发送窃取的数据并接收在受感染设备上执行的新命令，从而有效防止恶意软件发挥作用。 BSI 的声明中写道：“BSI 目前正在将受影响设备的通信重定向到犯罪者的控制服务器，作为根据 BSI 法案 (BSIG) 第 7c 条采取的陷坑措施…

一、相关病毒传播案例 近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内发现针对我国用户的“银狐”（又名：“游蛇”、“谷堕大盗”等）木马病毒最新变种。攻击者通过构造财务、税务等主题的钓鱼网页，通过微信群传播该木马病毒的下载链接。如图1、图2所示。 图1 钓鱼信息及链接(1) 图2 钓鱼信息及链接(2) 用户点击上述钓鱼链接后，钓鱼网页会根据用户终端类型进行跳转，如果用户使用手机终端访问，则会提示用户使用电脑终端进行访问，用户使用电脑终端访问链接后会下载文件名为“金稅四期（电脑版）-uninstall.msi”的安装包文件或“金稅五期（电脑版）-uninstall.zip”的压缩包文件（内含同文件名的可执行程序文件），实际为“银狐”木马病毒家族的最新变种程序。如果用户运行相关程序文件，将被攻击者实施远程控制、窃密、网络诈骗等恶意活动并充当进一步攻击的“跳板”。 二、病毒感染特征 1.钓鱼信息特征 钓鱼信息可能通过微信群、QQ群等社交媒体或电子邮件发送，信息通常为犯罪分子伪造的官方通知，主题通常涉及财税或金融管理等公共管理部门发布的最新政策和工作通知等，并附所谓的对接相关工作所需专用程序的下载链接。 2. 文件特征 1）文件名 犯罪分子通常会将木马病毒程序的文件名设置为与财税、金融管理部门相关工作具有显著关联，且对相关岗位工作人员具有较高辨识度的名称，如：“金稅四期（电脑版）”、“金稅五期（电脑版）”等，并以此为诱饵欺骗企业中的财务管理人员或个体经营者。由于目前该木…

跨国电信巨头 BT 集团（前身为英国电信）已确认，其 BT 会议业务部门在 Black Basta 勒索软件泄露后关闭了部分服务器。 据悉，英国电信集团是英国领先的固定和移动电信提供商，它还为 180 个国家/地区的客户提供托管电信、安全以及网络和 IT 基础设施服务。 目前，该公司发言人表示，这起安全事件并未影响 BT 集团的运营或 BT 会议服务，尚不清楚是否有任何系统被加密或仅数据被盗。虽然英国电信表示这只是试图破坏他们的平台，但他们也表示他们已将受影响的服务器下线。 在此之前，Black Basta 勒索软件团伙声称他们破坏了该公司的服务器，并窃取了 500GB 的数据，包括财务和组织数据、“用户数据和个人文档”、NDA 文件、机密信息等。 Black Basta 泄露网站上的 BT 会议条目 该网络犯罪组织还发布了该公司在招聘过程中要求的文件的文件夹列表和多个屏幕截图，作为其主张的证据。 该勒索软件团伙还为其暗网泄露网站添加了倒计时，称被盗的数据即将泄露。威胁者声称从 BT 会议服务器窃取了数百 GB 的文档，这是一次严重的数据泄露事件。 英国电信集团发言人补充道：“我们正在继续积极调查这一事件的各个方面，并与相关监管和执法机构合作，作为我们应对措施的一部分。” Black Basta 勒索软件即服务 (RaaS) 操作于 2022 年 4 月浮出水面，并在全球范围内造成了许多知名受害者，其中包括医疗保健公司和政府承包商。一些著名的受害者包括美国医疗保健巨头 Ascension、英国技术外包公司 Capita、德国国防承包…

美国联邦贸易委员会 (FTC) 称，一些在线工作进行诈骗的现象（称为“任务诈骗”）大幅增加，这些诈骗吸引人们通过重复性任务赚取现金，并承诺如果他们存入自己的钱，就能赚更多钱。 尽管这种类型的诈骗在 2020 年前几乎不存在，但自去年起 FTC 已经记录了 5000 起案件。到了 2024 年，涉及任务诈骗的举报数量激增，仅上半年 FTC 就收到了 20000 份来自被诈骗个人的举报。 因此，从 2020 年到 2023 年，报告的工作诈骗造成的经济损失增加了两倍，从 1 月到 2024 年 6 月，损失超过 2.2 亿美元。 FTC 表示，其中大约 40% 的损失是由“任务诈骗”增加造成的，报告的损失为 4100 万美元。 工作任务诈骗增多 类似“赌博”式工作 FTC 解释说，诈骗者通过 WhatsApp 和其他通信或社交媒体平台上未经请求的消息来接近受害者。诈骗者提供了一种简单的赚钱方法，告诉他们所要做的就是每天执行一组任务来赚钱，例如在在线平台或通过特殊应用程序上点赞视频或对产品进行评分。这些骗局冒充合法公司，例如德勤、亚马逊、麦肯锡公司和 Airbnb，并为受害者提供成组的任务，通常有 40 项。用户承诺每次完成一套并升级到下一个级别时都会收到升级佣金。 冒充德勤的任务诈骗 乍一看，这个骗局看起来很合法，因为求职者赚取了 50 至 60 美元的 USDT 或以太坊加密货币小额存款。然而，在某些时候，当受害者在应用程序上积累了可观的“佣金”时，他们会被要求进行存款，声称为了解锁提款选项和下一个任务集。许多受害人存钱，都是希望能…

Ultralytics YOLO11 AI 模型在供应链攻击中受到损害，该攻击在运行 Python 包索引 (PyPI) 8.3.41 和 8.3.42 版本的设备上部署加密货币挖矿程序。 Ultralytics 工具是开源的，被跨广泛行业和应用的众多项目所使用。该库在 GitHub 上已被加注 33,600 次，分叉 6,500 次，在过去 24 小时内，仅 PyPI 的下载量就超过 260,000 次。 Ultralytics YOLO11 受损 Ultralytics 8.3.41 和 8.3.42 已发布到 PyPi，直接安装受感染版本或作为依赖项安装的用户发现部署了加密货币挖矿程序。 对于 Google Colab 帐户，所有者因“滥用行为”而被标记并禁止。 Ultralytics 是 SwarmUI 和 ComfyUI 的依赖项，它们都确认其库的全新安装将导致矿工的安装。 来源：@GozukaraFurkan 安装后，受感染的库会在“/tmp/ultralytics_runner”处安装并启动 XMRig Miner，以连接到“connect.consrensys[.]com:8080”处的 minin 池。 运行 XMRig Miner 进程 Ultralytics 创始人兼首席执行官 Glenn Jocher 证实，该问题仅影响这两个受损版本，这些版本已被撤下并替换为干净的 8.3.43 版本。 Jocher 在 GitHub 上发帖称：“我们确认 Ultralytics 版本 8.3.41 和 8.3.42 受到…

生成式人工智能日渐成为推动进步的强大工具，但也使其成为网络领域的重大威胁。恶意分子使用生成人工智能的情况越来越普遍，这使他们能够进行广泛的网络攻击。 从生成深度伪造品到增强网络钓鱼活动，生成人工智能正在演变成大规模网络犯罪的工具。人工智能因其跨行业的变革潜力而引起了研究人员和投资者的关注。不幸的是，恶意分子的滥用正在改变网络威胁格局。 生成人工智能最令人担忧的应用之一是创建深度造假和虚假信息活动，这些活动已被证明是有效和危险的。 Deepfakes 是使用生成人工智能创建的媒体内容（例如视频、图像或音频），可以真实地操纵面部、声音甚至整个事件。这些技术的日益复杂使得区分真实内容和虚假内容变得比以往任何时候都更加困难。这使得深度造假成为从事虚假信息活动、欺诈或侵犯隐私的攻击者的有力武器。 麻省理工学院在 2019 年发布的一项研究表明，人工智能生成的深度造假欺骗人类的概率高达 60%。鉴于人工智能的进步，这一比例很可能有所增加，从而使深度造假成为更加重大的威胁。攻击者可以利用它们来捏造事件、冒充有影响力的人物或创造操纵公众舆论的场景。在虚假信息活动中使用生成人工智能也不再是假设。 生成人工智能对于寻求经济利益的攻击者来说也有很多可用之处。通过自动创建网络钓鱼电子邮件，恶意分子可以扩大其活动规模，生成高度个性化且令人信服的消息，更有可能欺骗受害者。 这种滥用的一个例子是使用生成人工智能创建欺诈性社交媒体资料。 2022 年，联邦调查局称，旨在从受害者身上获取经济利益的虚假个人资料有所增加。 生成人工智能不仅允许攻击者生成真实的文本，还可以生…

近日，安全研究员 Greg Lesnewich 发现了一个名为 SpectralBlur 的后门，该后门针对的是 Apple macOS。 该后门与恶意软件家族 KANDYKORN（又名 SockRacket）有相似之处，后者归因于与朝鲜有关的 Lazarus 子组织 BlueNoroff（又名 TA444）。 KandyKorn 是一种先进的植入物，具有多种监控、交互和避免检测的功能。它利用反射加载，这是一种可以绕过检测的直接内存执行形式。 SpectralBlur 不是复杂的恶意软件，它支持普通的后门功能，包括根据 C2 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或休眠。 TA444 在这些新的 MacOS 恶意软件家族中持续运行，通过寻找类似的字符串，安全研究人员将 SpectralBlur 和 KandyKorn 联系起来，在出现更多样本后，进一步与 TA444 联系起来。 最终，网络钓鱼活动袭击了人们的可见度，导致 KandyKorn 瘫痪。最新发现证实了与朝鲜有关的威胁者对开发 macOS 恶意软件以用于有针对性的攻击的极大兴趣。 2023 年 11 月，Jamf 威胁实验室的研究人员发现了一种名为 ObjCShellz 的新 macOS 恶意软件菌株，并将其归因于与朝鲜有关的 APT BlueNoroff。 专家们注意到 ObjCShellz 恶意软件与 BlueNoroff APT 组织相关的 RustBucket 恶意软件活动有相似之处。 2023 年 7 月，Elastic Security…

Google Play 上发现了一组新的 15 个 SpyLoan Android 恶意软件应用程序，安装量超过 800 万次，主要针对来自南美洲、东南亚和非洲的用户。 这些应用程序现已从 Android 官方应用程序商店中删除。然而，它们出现在 Google Play 上表明了威胁者的持续存在，因为即使最近针对 SpyLoan 运营商的执法行动也未能遏制这一问题。 Google Play 上一次重大的“SpyLoan 清理”是在 2023 年 12 月，当时删除了十多个累计 1200 万次下载的应用程序。 SpyLoan的作案手法 SpyLoan 应用程序是作为金融工具推广的工具，通过快速审批流程以欺骗性且常常是虚假的条款向用户提供贷款。 一旦受害者安装了这些应用程序，它们就会通过一次性密码 (OTP) 进行验证，以确保它们位于目标区域。然后他们被要求提交敏感的身份证明文件、员工信息和银行账户数据。此外，这些应用程序滥用其在设备上的权限来收集大量敏感数据，包括访问用户的联系人列表、短信、摄像头、通话记录和位置，以用于勒索过程。 McAfee 指出，这些应用程序的侵略性数据收集策略甚至会泄露受害者设备上的所有 SMS 消息，以及 GPS/网络位置、设备信息、操作系统详细信息和传感器数据。 窃取所有短信的代码 一旦用户通过该应用程序获得贷款，他们就必须支付高额利息，并且经常受到运营商利用从他们手机中窃取的数据进行骚扰和勒索。在某些情况下，诈骗者还会给贷款人的家人打电话骚扰他们。 Google Play 上的下载量达到 800 万次 Mc…

代号为“Operation Passionflower”的国际执法行动已经关闭了 MATRIX，这是一个加密消息平台，网络犯罪分子利用该平台协调非法活动，同时逃避警方追捕。 MATRIX 与同名的安全开源、去中心化、实时通信协议是不同的实体，继续使用是完全合法的。该行动在欧洲各地进行，包括法国、荷兰、意大利、立陶宛、西班牙和德国，并由欧洲刑警组织和欧洲司法组织协调。 犯罪推动者 警方在找到一名 2021 年 7 月试图暗杀记者的枪手的手机后，顺藤摸瓜找到了 MATRIX。在分析手机后，他们发现该手机经过定制，可以连接到名为 Matrix 的加密消息服务。 荷兰和法国当局之间的联合调查小组 (JIT) 允许警方监控和拦截通过这些设备发送的 33 种不同语言的 230 万条消息。但是，没有提供有关如何做到这一点的技术细节。 “三个月来，当局能够监控可能犯罪分子的信息，这些信息现在将用于支持其他调查。”欧洲刑警组织发布了一份声明。 在欧洲司法组织和欧洲刑警组织支持的协调行动中，荷兰和法国当局关闭了该消息服务，意大利、立陶宛和西班牙当局采取了后续行动。 MATRIX 遍布欧洲的 40 台服务器促进了至少 8,000 个用户帐户的通信，这些用户帐户支付了 1350 至 1700 美元的加密货币购买基于 Google Pixel 的设备以及手机上安装的服务的六个月订阅。 MATRIX 还以“Mactrix”、“Totalsec”、“X-quantum”和“Q-safe”等名称出售，但它们都使用相同的基础设施。 MATRIX 还提供加密视频通话、跟踪…

Stoli 集团的美国公司在 8 月份遭遇勒索软件攻击后申请破产，俄罗斯当局查封了该公司在该国的剩余酿酒厂。Stoli 集团的两家子公司 Stoli USA 和 Kentucky Owl 的总裁兼全球首席执行官在最近的一份文件中表示，这是因为 8 月份的攻击严重破坏了其 IT 系统（包括企业资源规划 (ERP)）之后发生的。此次网络攻击还迫使整个集团进行手动操作，影响了会计等关键流程，预计要到 2025 年初才能完全恢复。 Caldwell 表示：“2024 年 8 月，Stoli 集团的 IT 基础设施因数据泄露和勒索软件攻击而遭受严重破坏。” 由于 Stoli 集团的企业资源规划 (ERP) 系统被禁用，并且 Stoli 集团的大部分内部流程（包括会计职能）被强制，此次攻击给 Stoli 集团内的所有公司（包括 Stoli USA 和 KO）造成了严重的运营问题。 这一事件还导致 Stoli 美国子公司无法向两家公司拖欠 7800 万美元债务的贷款人提供财务报告。2024 年 7 月，该集团在俄罗斯仅存的最后资产——两家价值 1 亿美元的酿酒厂也因 Stoli 集团及其创始人 Yuri Shefler 被认定为“极端分子”而被没收。 此外，Stoli 集团还花费了数千万美元与俄罗斯国有企业 FKP Sojuzplodoimport 就 Stolichnaya 和 Moskovskaya 伏特加商标权进行了长达 23 年的长期法庭诉讼，涉及多个司法管辖区，其中包括美国。 这场法律斗争源于 2000 年 3 月总统普京的一项行政命令，旨在…

威胁者越来越多地使用可扩展矢量图形 (SVG) 附件来显示网络钓鱼形式或部署恶意软件，同时逃避检测。网络上的大多数图像都是 JPG 或 PNG 文件，它们由称为像素的小方块网格组成。每个像素都有特定的颜色值，这些像素一起形成整个图像。 SVG（即可缩放矢量图形）以不同的方式显示图像，因为图像不是使用像素，而是通过代码中文本数学公式中描述的线条、形状和文本创建。 例如，以下文本将创建一个矩形、一个圆形、一个链接和一些文本： Hello, SVG!在浏览器中打开时，该文件将生成上述文本描述的图形。 生成的 SVG 图像 由于这些是矢量图像，它们会自动调整大小，而不会损失图像质量或形状，这使得它们非常适合在可能具有不同分辨率的浏览器应用程序中使用。 使用 SVG 附件逃避检测 在网络钓鱼活动中使用 SVG 附件并不是什么新鲜事，然而，根据安全研究人员发现，威胁者正在网络钓鱼活动中越来越多地使用 SVG 文件。 SVG 附件的多功能性，使得它们不仅可以显示图形，还可以使用。这使得威胁者可以创建 SVG 附件，这些附件可以创建网络钓鱼表单来窃取凭据。如下所示，最近的 SVG 附件 [VirusTotal] 显示了一个带有内置登录表单的虚假 Excel 电子表格，提交后会将数据发送给受害者。 显示网络钓鱼表单的 SVG 附件 最近活动 [VirusTotal] 中使用的其他 SVG 附件会伪装成官方文档或要求提供更多信息，提示您单击下载按钮，然后从远程站点下载恶意软件。 …

黑客利用新的 GodLoader 恶意软件，广泛使用 Godot 游戏引擎功能，在短短三个月内逃避检测并感染了 17,000 多个系统。 Check Point Research 在调查攻击时发现，威胁者可以使用此恶意软件加载程序来针对所有主要平台（包括 Windows、macOS、Linux、Android 和 iOS）的游戏玩家。它还利用 Godot 的灵活性及其 GDScript 脚本语言功能来执行任意代码，并使用游戏引擎 .pck 文件（打包游戏资产）绕过检测系统来嵌入有害脚本。 一旦加载，恶意制作的文件就会触发受害者设备上的恶意代码，使攻击者能够窃取凭据或下载其他有效负载，包括 XMRig 加密矿工。 该矿工恶意软件的配置托管在 5 月份上传的私人 Pastebin 文件中，该文件在整个活动期间被访问了 206,913 次。 至少自 2024 年 6 月 29 日起，网络犯罪分子一直在利用 Godot Engine 执行精心设计的 GDScript 代码，从而触发恶意命令并传播恶意软件。VirusTotal 上的大多数防病毒工具仍未检测到这种技术，可能仅在短短的时间内就感染了超过 17,000 台计算机。 Godot 拥有一个充满活力且不断发展的开发者社区，他们重视其开源性质和强大的功能。超过 2,700 名开发者为 Godot 游戏引擎做出了贡献，而在 Discord、YouTube 和其他社交媒体平台等平台上，Godot 引擎拥有大约 80,000 名关注者，他们可以随时了解最新消息。 攻击链 攻击者通过 Starga…