首页
归档
友情链接
Search
1
新的 5G 调制解调器缺陷影响主要品牌的 iOS 设备和 Android 型号
56 阅读
2
不忘初心Windows 10 LTSC 2019美化精简版
52 阅读
3
西瓜视频6.0.0无广告版
42 阅读
4
俄罗斯军事黑客使用新的 MASEPIE 恶意软件瞄准乌克兰
40 阅读
5
Typecho图片水印插件waterMark
37 阅读
操作系统
网络收集
安全新闻
源码插件
登录
Search
标签搜索
西瓜视频6.0.0无广告版
GitHub官网加速访问工具
显卡检测工具 GPU
微软常用运行库合集
Win10 v22H2不忘初心游戏版
5G调制解调器缺陷影
Bitzlato
激活工具
PDF24工具箱
MSI Afterburner
Typecho Sitemap插件
Typecho百度推送插件
Typecho蜘蛛来访插件
俄罗斯黑客
图吧工具箱
Python可视化开发工具
谷歌浏览器精简版
电信运营商 Kyivstar被黑客攻击
Google
GambleForce
05博客
累计撰写
65
篇文章
累计收到
9
条评论
首页
栏目
操作系统
网络收集
安全新闻
源码插件
页面
归档
友情链接
搜索到
23
篇与
的结果
2023-12-24
英国 LAPSUS$ 青少年成员因高调袭击被判刑
两名英国青少年是 LAPSUS$ 网络犯罪和勒索团伙的一部分,他们因策划一系列针对多家公司的高调攻击而被判刑。据英国广播公司(BBC)报道,来自牛津的18岁少年阿里昂·库尔塔伊(Arion Kurtaj)因打算“尽快”重返网络犯罪而被判处无限期住院令。患有自闭症的库尔塔伊被认为不适合接受审判。另一名 LAPSUS$ 成员,一名 17 岁的未透露姓名的未成年人,被判处为期 18 个月的青少年康复令,包括三个月的强化监督和监视要求。他被判犯有两项欺诈罪、两项《计算机滥用法》罪和一项勒索罪。两名被告最初于2022年1月被捕,随后在调查中获释。他们于2022年3月再次被捕。虽然库尔塔伊后来获准保释,但他继续攻击多家公司,直到9月再次被捕。这次攻击发生在 2020 年 8 月至 2022 年 9 月之间,针对的是 BT、EE、Globant、LG、Microsoft、NVIDIA、Okta、Revolut、Rockstar Games、三星、育碧、优步和沃达丰。据说LAPSUS$由来自英国和巴西的成员组成。该组织的第三名成员也被怀疑是青少年,于 2022 年 10 月在南美国家被捕。美国国土安全部(DHS)网络安全审查委员会(CSRB)今年发布的一份报告显示,威胁行为者使用SIM卡交换攻击来接管受害者帐户并渗透目标网络。它还利用Telegram频道宣传其业务并勒索受害者。在过去的一年里,LAPSUS$ 所吸引的恶名也导致了另一个名为 Scattered Spider 的组织的出现。这两个组织都是一个更大的实体的一部分,该实体自称为 Comm。网络安全根据联邦调查局的说法,Comm由“地理上不同的个人群体组成,他们组织成不同的小组,他们都通过Discord和Telegram等在线通信应用程序进行协调”,从事企业入侵,SIM卡交换,加密盗窃,现实生活中的暴力和偷拍。“这起案件是一个例子,说明年轻人在网上可能被吸引的危险,以及它可能对某人更广阔的未来产生的严重后果,”伦敦市警察局侦探总警司阿曼达·霍斯伯格说。“许多年轻人希望探索技术是如何运作的,以及存在哪些漏洞。这可能包括学习编码、在线与志同道合的人互动以及尝试使用工具。不幸的是,数字世界也可能出于错误的原因对年轻人产生诱惑
2023年12月24日
11 阅读
0 评论
0 点赞
2023-12-24
伊朗网络间谍以全新的后门瞄准美国国防组织
信息安全简介据Microsoft称,伊朗网络间谍正在通过一个名为FalseFont的新后门瞄准国防工业基地组织。在周四发布的一系列Xeets中,雷德蒙德的威胁情报团队表示,它发现了一个名为Peach Sandstrom的民族国家支持的团伙,该团伙试图向国防部门员工提供(可能是Windows)恶意软件。“FalseFont是一个自定义后门,具有广泛的功能,允许操作员远程访问受感染的系统,启动其他文件,并将信息发送到其C2服务器,”Microsoft说。“它于 2023 年 11 月初首次被观察到用于对付目标。”Mandiant以APT33的身份追踪伊朗支持的机组人员,该公司表示,它针对美国,沙特阿拉伯和韩国的组织进行“战略网络间谍活动”,对商业和军用航空公司以及与石化生产有关的能源部门的公司特别感兴趣。威胁猎人在10月份更新的警报中表示:“我们发现了与伊朗角色相关的APT33恶意软件,该角色可能受雇于伊朗政府对其对手进行网络威胁活动。在一个月前发表的研究中,Microsoft表示,他们已经看到机组人员试图对“数千个组织”进行密码喷洒。我们被告知,当这些暴力攻击成功后,Peach Sandstorm 随后使用公开可用和自定义工具的组合来窥探网络,保持持久性并在受害者的 IT 系统中横向移动。“在少数入侵中,”雷德蒙德补充道,“观察到桃沙尘暴从受感染的环境中泄露数据。数以百计的电子商务网站被窃卡者入侵据欧洲刑警组织称,网络骗子入侵了 443 家在线商店,使用 JavaScript 嗅探器窃取这些电子商家客户的信用卡或支付信息。打击数字略读攻击的协调努力包括来自17个国家的警察,欧盟网络安全局(ENISA)以及私营部门安全商店Group-IB和Sansec。在两个月的时间里,执法机构通知在线零售商,作为骗子在线欺诈计划的一部分,他们客户的付款详细信息已被盗。在这些攻击中,窃贼在在线结账过程中使用 JavaScript 代码片段拦截客户的卡数据,而零售商或客户却没有意识到他们已经受到威胁。他们通常会在很长一段时间内不被发现 - 当他们被发现时,骗子已经在疯狂购物,或者将财务信息放在非法市场上出售。参与希腊牵头努力的国家包括阿尔巴尼亚、比利时、波斯尼亚和黑塞哥维那、哥伦比亚、克罗地亚、芬兰、德国、格鲁吉亚、匈牙利、摩尔多瓦、荷兰、波兰、罗马尼亚、西班牙、英国和美国。我们被告知,在行动中,Group-IB 的威胁情报团队确定了 23 个 JS 嗅探器家族,包括 ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter 和 R3nin。这家安全公司表示,截至 2023 年底,有 132 个已知的 JS 嗅探器系列已被用于破坏全球网站。本周关键漏洞我们有一些年终的关键漏洞,包括至少一个已经在野外被发现和利用的漏洞。因此,在你结束假期之前,先打补丁。并为圣诞节奇迹祈祷:2023 年不再有零日线。被利用的 Chrome 漏洞 — CVE-2023-7024:此漏洞尚未达到 CVSS 等级,但 Google 将其归类为高严重性,并警告说 WebRTC 中针对此堆缓冲区溢出漏洞的漏洞正在四处走动。谷歌威胁分析小组的 Clément Lecigne 和 Vlad Stolyarov 于 2023-12-19 报道Apple 安全性更新 — CVE-2023-42940 及更多:Apple 发布了安全性更新以应对 Safari、iOS、iPadOS 及 macOS Sonoma 中的漏洞,但只公布了其中一个漏洞的详细信息和 CVE。这是 macOS Sonoma 中的会话呈现问题,可被利用来窃取敏感信息。CVSS 9.8 — 多个 CVE:Ivanti 的 Avalanche 企业移动设备管理产品包含 12 个内存损坏漏洞,可通过向移动设备服务器发送特制数据包来利用这些漏洞,从而导致拒绝服务或远程代码执行。CVSS 9.8 — 多个 CVE:EuroTel ETL3100 无线电发射器版本 v01c01 和 v01x37 容易受到三个漏洞的影响,这些漏洞可能允许攻击者获得对系统的完全访问权限并泄露敏感信息。或访问隐藏的资源。CVSS 9.6 — 多个 CVE:EFACEC BCU 500 控制和自动化设备容易受到不受控制的资源消耗和跨站点请求伪造缺陷的影响,这些缺陷可能允许拒绝服务情况或危及 Web 应用程序。俄罗斯信息安全工作者将被引渡到莫斯科据报道,哈萨克斯坦将把一名网络安全专家引渡到莫斯科,尽管美国政府要求将他送往华盛顿。根据其雇主的一份声明,应美国的要求,东欧集团国家于 6 月 22 日拘留了俄罗斯信息安全商店 FACCT 的雇员尼基塔·基斯利钦,美国指控他犯有网络犯罪。“根据我们掌握的信息,对基斯利钦的指控与他在FACCT的工作无关,而是与十多年前尼基塔担任记者和独立研究员的案件有关,”声明说,大概是指他作为黑客杂志前编辑的工作。美国的引渡请求似乎与早些时候对基斯利钦的指控有关,基斯利钦被指控在2012年闯入社交网络服务Formspring。2014年的一份起诉书[PDF]称,在闯入后,Kislitsin窃取了用户名、电子邮件地址和密码,然后试图以每人5000欧元的价格出售被盗的数据库。在联邦调查局要求将基斯利钦引渡到美国后不久,莫斯科提出了自己的引渡请求,这似乎赢得了这场战斗——至少根据俄罗斯联邦总检察长办公室的说法。周四,该政府机构表示,基斯利钦将被送回俄罗斯,在那里他将面临与黑客有关的刑事指控。总检察长的声明说:“根据调查,2022年10月,基斯利钦和他的同伙非法访问了其中一个商业组织的服务器数据。“在这之后,他们被复制了。”在涉嫌窃取该组织的数据后,Kislitsin 随后试图以 550,000 卢布的加密货币勒索该公司。®
2023年12月24日
5 阅读
0 评论
0 点赞
2023-12-23
Lapsus$ 青少年因 Nvidia、GTA 网络攻击被判无限期拘留在医院
两名英国青少年是 Lapsus$ 团伙的成员,他们因在网络犯罪狂潮中的作用而被判刑,其中包括破坏 Uber、Nvidia 和金融科技公司 Revolut,以及勒索侠盗猎车手制造商 Rockstar Games。牛津郡18岁的阿里昂·库尔塔伊(Arion Kurtaj)周四被判处在英国一家医院无限期拘留。患有自闭症的库尔塔伊被精神科医生评估为不适合接受审判。他将继续住院,直到精神健康法庭说他可以离开。同样在周四,混乱犯罪团伙的一名17岁成员因法律原因无法透露姓名,他被授予了青少年康复令。据报道,库尔塔伊在被拘留期间有暴力倾向,法院听取了数十起受伤或财产损失的报告。在他的量刑听证会上,心理健康评估确定库尔塔伊“继续表达尽快重返网络犯罪的意图。他很有动力。此前,库尔塔伊被判犯有 12 项罪行,包括计算机入侵、勒索和欺诈。这名 17 岁的少年被判犯有欺诈、勒索和未经授权的行为以损害计算机的运行。这两名青少年和其他 Lapsus$ 成员在 2020 年 8 月至 2022 年 9 月期间闯入并试图勒索英国电信巨头 BT、Microsoft、三星、沃达丰、Revolut 和 Okta。除其他事项外,库尔塔伊在保释期间在Travelodge酒店受到警方保护,他的笔记本电脑被没收,使用亚马逊Firestick,他房间的电视和电话闯入Rockstar Games,窃取并泄露了一些内部视频和源代码,并告诉商业公司有24小时的时间与他联系,否则他会泄露很多东西。他还从英伟达(Nvidia)窃取了1TB的公司资料,并公开分享了其中的80GB,同时威胁要在网上倾销其余的资料。“这起案件是一个例子,说明年轻人在网上可能被吸引的危险,以及它可能对某人更广阔的未来产生的严重后果,”伦敦市警察侦探总警司阿曼达霍斯伯格说。“不幸的是,数字世界也可能出于错误的原因对年轻人产生诱惑。2022 年 3 月,伦敦警方逮捕并释放了 7 名年龄在 16 至 21 岁之间的人,因为他们涉嫌参与数字入侵和勒索企图。然后,他们再次逮捕并指控库尔塔伊和这名17岁的少年。工作人员的策略包括基于电话的社会工程、SIM卡交换,甚至向目标组织的员工支付访问凭据和多因素身份验证(MFA)代码的费用。在一连串备受瞩目的攻击之后,美国政府在 8 月发布了一份关于 Lapsus$ 的报告 [PDF],并敦促组织摆脱基于语音和短信的 MFA,转而使用硬件支持的 FIDO 密钥或生物识别身份验证。它还呼吁联邦通信委员会(FCC)和联邦贸易委员会(FTC)加强对与SIM卡交换有关的电信提供商的监督和执法活动。®
2023年12月23日
12 阅读
0 评论
0 点赞
2023-12-20
谷歌在Play商店反垄断诉讼中支付了7亿美元
谷歌将支付7亿美元,并彻底改革一些政策,以解决美国各州和消费者发起的Play商店反垄断诉讼。本周公布的 9 月和解协议包括谷歌将向一个基金支付 6.3 亿美元,该基金将用于为消费者的利益而分配,7000 万美元将用于各州使用的基金。根据和解协议,该诉讼最初是在39个司法管辖区对谷歌提起的,之后有50个州,哥伦比亚特区和两个地区决定加入,“因为他们认为这将加强相关市场的竞争,并适当地纠正消费者的伤害。该案的关键是谷歌与原始设备制造商和移动服务提供商签订了反竞争合同,以阻止其他应用商店在Android设备上预装。这意味着消费者被迫使用Google Play商店。根据和解协议中的指控,这使得谷歌能够“从消费者那里榨取巨额资金”,因为巧克力工厂要求从每次购买中抽取30%的佣金。和解条款很宽泛。除了支付这笔钱外,谷歌还必须聘请一名独立合规专家(ICP)来监控公司未来五年的活动。它还必须继续允许旁加载应用和第三方应用商店至少七年,并保持对这些第三方应用商店的 Android 操作系统支持。此外,至少五年内不得与原始设备制造商签订排他性协议。然后是反转向条款,旨在迫使谷歌允许开发人员将消费者从Google Play商店引导到其他计费系统。根据法庭文件:“这种广度的禁令条款在美国对大型科技公司的反垄断监管中是前所未有的在接受和解协议的同时,谷歌表示,它一直允许第三方应用商店。它还设法在侧载方面抨击了苹果,称:“与iOS不同,Android用户可以选择旁加载应用程序,这意味着他们可以直接从开发者的网站下载,而无需通过Google Play等应用商店。这是真的。然而,该公司还表示,它将简化流程,并“更新语言,告知用户首次直接从网络下载应用程序的这些潜在风险。该和解协议是在Epic最近因谷歌的Play商店是非法垄断的指控而获胜后不久发布的。这家搜索巨头咆哮道:“我们正在挑战这一判决,我们与Epic的案件远未结束。虽然金额可能看起来很可观,但分配给所有相关消费者的金额会少一些。根据协议:“每位符合条件的消费者将获得至少 2 美元,并将在 2016 年 8 月 16 日至 2023 年 9 月 30 日期间按其 Google Play 支出比例获得额外付款。谷歌母公司 Alphabet 最近公布,截至 9 月 30 日的季度收入为 767 亿美元,净收入为 196.89 亿美元。
2023年12月20日
11 阅读
0 评论
0 点赞
2023-12-20
菲律宾、韩国、国际刑警组织逮捕3,500名涉嫌网络诈骗者,扣押3亿美元
跨国警察的行动逮捕了3,500名涉嫌网络犯罪分子,并没收了3亿美元的现金和数字资产。国际刑警组织周二公布了所谓的“海智四号行动”的结果,这是一项为期六个月的努力,有34个国家在韩国的资助下进行了合作。该行动于 12 月结束,针对七种网络诈骗:语音网络钓鱼、浪漫诈骗、在线性勒索、投资欺诈、与非法在线赌博相关的洗钱、商业电子邮件泄露欺诈和电子商务欺诈。该行动调查的大部分(约四分之三)犯罪是商业电子邮件泄露、电子商务欺诈和投资欺诈。这次行动的结果是,国际刑警组织发布了两份“紫色通缉令”——提供有关犯罪分子使用的作案手法、对象、装置和隐藏方法的信息的公告。其中一人描述了在韩国发现的一个骗局,该骗局通过承诺巨额回报来引诱投资者购买不可替代的代币 (NFT)。国际刑警组织表示,该计划是一种经典的“地毯式拉动”——一种令人讨厌的加密世界做法,在这种做法中,投注者被说服购买大量代币,然后这些代币的运营商与资金一起消失。投资者只剩下毫无价值的数字资产。国际刑警组织的公告包括一张与猫相关的像素艺术 NFT 的图像来说明代币,但没有说明它们是否是受到地毯式拉动的资产。另一份紫色通缉令“警告说,使用人工智能和深度伪造技术,使犯罪分子能够隐藏自己的身份并假装是家人、朋友或爱人,从而为骗局提供可信度。在英国观察到了这种活动,当局“报告了几起人工智能生成的合成内容被用于欺骗、欺诈、骚扰和勒索受害者的案件,特别是通过冒充诈骗、在线性勒索和投资欺诈。在一些案件中,语音克隆技术被用来冒充受害者认识的人。国际刑警组织特别指出,菲律宾和韩国当局的共同努力导致在菲律宾首都马尼拉逮捕了“一名备受瞩目的在线赌博罪犯”,此前韩国国家警察厅进行了两年的追踪工作。该行动发现的涉嫌犯罪分子经常受到I-GRIP(国际刑警组织全球快速支付干预机制)的打击,该机制会阻止支付,使犯罪收益无法流经世界金融体系。这些命令加上其他努力,海智四号行动封锁了82,112个可疑银行账户,并查获了1.99亿美元的硬通货和1.01亿美元的虚拟资产。权的引渡被取消了吗......目前由于我们已经在谈论加密货币、涉嫌犯罪和韩国,让我们赶上 Do Kwon。这位韩国人创立了加密货币公司 Terraform Labs,该公司创造了一种名为 Terra USD 的所谓“稳定币”和相关资产,这些资产被吹捧为不会崩溃的安全投资。但它们确实崩溃了,造成了400亿美元的财政崩溃。Kwon是韩国和美国的通缉犯,他前往黑山希望保持自由。11月,当局撤销了这一计划,裁定他可以被引渡。但周二,美国高等法院取消了引渡令,理由是下级法院没有遵循必要的程序。因此,该案将返回黑山下级法院重新审判。跨国警察的行动逮捕了3,500名涉嫌网络犯罪分子,并没收了3亿美元的现金和数字资产。国际刑警组织周二公布了所谓的“海智四号行动”的结果,这是一项为期六个月的努力,有34个国家在韩国的资助下进行了合作。该行动于 12 月结束,针对七种网络诈骗:语音网络钓鱼、浪漫诈骗、在线性勒索、投资欺诈、与非法在线赌博相关的洗钱、商业电子邮件泄露欺诈和电子商务欺诈。该行动调查的大部分(约四分之三)犯罪是商业电子邮件泄露、电子商务欺诈和投资欺诈。这次行动的结果是,国际刑警组织发布了两份“紫色通缉令”——提供有关犯罪分子使用的作案手法、对象、装置和隐藏方法的信息的公告。其中一人描述了在韩国发现的一个骗局,该骗局通过承诺巨额回报来引诱投资者购买不可替代的代币 (NFT)。国际刑警组织表示,该计划是一种经典的“地毯式拉动”——一种令人讨厌的加密世界做法,在这种做法中,投注者被说服购买大量代币,然后这些代币的运营商与资金一起消失。投资者只剩下毫无价值的数字资产。国际刑警组织的公告包括一张与猫相关的像素艺术 NFT 的图像来说明代币,但没有说明它们是否是受到地毯式拉动的资产。另一份紫色通缉令“警告说,使用人工智能和深度伪造技术,使犯罪分子能够隐藏自己的身份并假装是家人、朋友或爱人,从而为骗局提供可信度。国际刑警组织采取行动打击奴役人们在网上诈骗您的人口贩子呼叫中心技术骗子可能是人口贩运的受害者国际刑警组织使用生物识别中心对嫌疑人进行首次边境逮捕国际刑警组织逮捕了14名涉嫌在“网络激增”中从受害者那里骗取4000万美元的人在英国观察到了这种活动,当局“报告了几起人工智能生成的合成内容被用于欺骗、欺诈、骚扰和勒索受害者的案件,特别是通过冒充诈骗、在线性勒索和投资欺诈。在一些案件中,语音克隆技术被用来冒充受害者认识的人。国际刑警组织特别指出,菲律宾和韩国当局的共同努力导致在菲律宾首都马尼拉逮捕了“一名备受瞩目的在线赌博罪犯”,此前韩国国家警察厅进行了两年的追踪工作。该行动发现的涉嫌犯罪分子经常受到I-GRIP(国际刑警组织全球快速支付干预机制)的打击,该机制会阻止支付,使犯罪收益无法流经世界金融体系。这些命令加上其他努力,海智四号行动封锁了82,112个可疑银行账户,并查获了1.99亿美元的硬通货和1.01亿美元的虚拟资产。权的引渡被取消了吗......目前由于我们已经在谈论加密货币、涉嫌犯罪和韩国,让我们赶上 Do Kwon。这位韩国人创立了加密货币公司 Terraform Labs,该公司创造了一种名为 Terra USD 的所谓“稳定币”和相关资产,这些资产被吹捧为不会崩溃的安全投资。但它们确实崩溃了,造成了400亿美元的财政崩溃。Kwon是韩国和美国的通缉犯,他前往黑山希望保持自由。11月,当局撤销了这一计划,裁定他可以被引渡。但周二,美国高等法院取消了引渡令,理由是下级法院没有遵循必要的程序。因此,该案将返回黑山下级法院重新审判。国际刑警组织称赞这次行动是一场胜利,因为与以前的努力相比,它导致逮捕人数增加了200%。“值得注意的是,全球努力领先于最新的犯罪趋势,导致行动成果大幅增长,”国际刑警组织韩国国家中心局局长Kim Dong Kwon说。“尽管犯罪分子试图通过当代趋势获得非法利益,但他们最终将被逮捕并面临应有的惩罚。为此,HAECHI计划将不断发展和扩大其范围。®
2023年12月20日
27 阅读
1 评论
0 点赞
2023-12-19
Rhadamanthys 恶意软件:信息窃取者的瑞士军刀出现
名为 Rhadamanthys 的信息窃取恶意软件的开发人员正在积极迭代其功能,扩大其信息收集能力,并整合插件系统以使其更具可定制性。这种方法不仅将其转变为能够满足“特定分销商需求”的威胁,而且还使其更加强大,Check Point在上周发表的技术深入研究中表示。Rhadamanthys 于 2022 年 10 月由 ThreatMon 首次记录,早在 2022 年 9 月,一名化名“kingcrete2022”的演员就以恶意软件即服务 (MaaS) 模式出售。该恶意软件通常通过恶意网站进行分发,这些网站反映了通过 Google 广告宣传的正版软件,该恶意软件能够从受感染的主机中收集各种敏感信息,包括来自 Web 浏览器、加密钱包、电子邮件客户端、VPN 和即时消息应用程序。这家以色列网络安全公司在 2022 年 3 月指出:“Rhadamanthys 代表了新兴恶意软件传统的一步,它试图尽可能多地做,也表明在恶意软件业务中,拥有强大的品牌就是一切。随后在8月份对现成的恶意软件进行了调查,发现其“设计和实现”与Hidden Bee硬币矿工的“设计和实现”重叠。“这种相似性在许多层面上都很明显:自定义可执行格式,使用类似的虚拟文件系统,某些组件的相同路径,重用的功能,类似使用隐写术,使用LUA脚本以及整体类似设计,”研究人员说,将恶意软件的发展描述为“快节奏和持续”。在撰写本文时,根据威胁参与者的 Telegram 频道上的描述,Rhadamanthys 的当前工作版本为 0.5.2。Check Point 对 0.5.0 和 0.5.1 版本的分析揭示了一个新的插件系统,它有效地使其更像是一把瑞士军刀,表明向模块化和定制的转变。这也允许窃取者客户部署针对其目标量身定制的其他工具。窃取程序组件既是主动的,能够打开进程并注入旨在促进信息盗窃的额外有效负载,也是被动的,旨在搜索和解析特定文件以检索保存的凭据。另一个值得注意的方面是使用 Lua 脚本运行器,它可以加载多达 100 个 Lua 脚本,以从加密货币钱包、电子邮件代理、FTP 服务、笔记应用程序、即时通讯工具、VPN、双因素身份验证应用程序和密码管理器中窃取尽可能多的信息。版本 0.5.1 更进一步,添加了剪裁器功能,以更改与钱包地址匹配的剪贴板数据,以将加密货币支付转移到攻击者控制的钱包,以及恢复 Google 帐户 cookie 的选项,追随 Lumma Stealer 的脚步。“作者不断丰富可用功能集,试图通过使其能够加载由分销商创建的多个扩展来使其不仅是一个窃取者,而且是一个多用途机器人,”安全研究员Aleksandra“Hasherezade”Doniec说。网络安全“增加的功能,如键盘记录器,以及收集有关系统的信息,也是使其成为通用间谍软件的一步。AsyncRAT 的代码注入到 aspnet_compiler.exe#这一发现是在趋势科技详细介绍新的AsyncRAT感染链之际发布的,该感染链利用名为aspnet_compiler.exe的合法Microsoft进程,用于预编译 ASP.NET Web应用程序,通过网络钓鱼攻击秘密部署远程访问木马(RAT)。与 Rhadamanthys 将代码注入到正在运行的进程中的方式类似,多阶段进程最终将 AsyncRAT 有效负载注入到新生成的aspnet_compiler.exe进程中,最终与命令和控制 (C2) 服务器建立联系。“根据嵌入式配置,AsyncRAT后门还有其他功能,”安全研究人员Buddy Tancio,Fe Cureg和Maria Emreen Viray说。“这包括反调试和分析检查、持久性安装和键盘记录。”它还旨在扫描应用程序目录中的特定文件夹、浏览器扩展和用户数据,以检查是否存在加密钱包。最重要的是,已经观察到威胁行为者依靠动态 DNS (DDNS) 故意混淆他们的活动。研究人员说:“使用动态主机服务器使威胁行为者能够无缝更新其IP地址,从而增强他们在系统中保持不被发现的能力。
2023年12月19日
3 阅读
0 评论
0 点赞
2023-12-18
注册超 7.5 亿个欺诈账户!微软捣毁越南知名网络犯罪团伙
近日,微软数字犯罪部门查获了越南网络犯罪团伙 Storm-1152 使用的多个域名,该团伙注册了超过 7.5 亿个欺诈账户,并通过在网上向其他网络犯罪分子出售这些账户赚取了数百万美元。Storm-1152 是一家网络犯罪即服务提供商,也是欺诈性 Outlook 账户以及其他非法 “产品 “的头号销售商,其供应的非法 “产品 “包括绕过微软验证码挑战并注册更多欺诈性微软电子邮件账户的验证码自动解决等多种服务。Storm-1152 团伙运营 着自己的非法网站和社交媒体网页,并销售欺诈性微软账户和工具,以及一些绕过知名技术平台上的身份验证软件。微软数字犯罪部门总经理Amy Hogan-Burney表示:这些服务提高了犯罪分子在网上实施一系列犯罪和滥用行为的效率。至少从 2021 年起,Storm-1152 团伙就开始以虚构用户的名义获取了数百万个 Microsoft Outlook 电子邮件账户,然后将这些欺诈账户出售给恶意行为者,用于各种类型的网络犯罪。据微软威胁情报部门称,许多参与勒索软件、数据盗窃和敲诈勒索的网络组织都曾购买并使用 Storm-1152 提供的账户进行攻击。例如,出于经济动机的 Storm-0252、Storm-0455 和 Octo Tempest(又名 Scattered Spider)网络犯罪团伙使用Storm-1152欺诈账户渗透到全球各地的组织,并在其网络上部署勒索软件。据微软估计,由此导致的服务中断造成了数亿美元的损失。据悉,微软在本案调查中迄今收集到的证据显示,微软电子邮件账户被被告以欺诈手段获得并出售给网络犯罪分子,被微软称为 Storm-0252、Storm-0455 和 Octo Tempest 的有组织网络犯罪团伙用于从事网络犯罪活动,包括电子邮件网络钓鱼诈骗,这些诈骗经常被用作传播勒索软件和其他恶意软件的工具。上周四(12 月 7 日),在获得纽约南区法院的命令后,微软查封了 Storm-1152 位于美国的基础设施,并关闭了以下网站:Hotmailbox.me,专门销售欺诈性微软 Outlook 账户的网站1stCAPTCHA、AnyCAPTCHA 和 NoneCAPTCHA,专门用于销售其他技术平台的身份验证绕过工具等此外,微软公司还起诉了 Duong Dinh Tu、Linh Van Nguyen(又名 Nguyen Van Linh)和 Tai Van Nguyen,指控他们曾在这些网站上参与网络犯罪活动。正如诉状中提到的,Storm-1152 团伙管理并开发了被查封网站的代码并参与发布如何使用欺诈 Outlook 账户的视频指南,还向使用其欺诈服务的 “客户 “提供了聊天支持。Hogan-Burne表示:今天的行动是微软战略的延续,战略的最终目标是捣毁网络犯罪生态系统。
2023年12月18日
2 阅读
0 评论
0 点赞
2023-12-18
Crypto Hardware Wallet Ledger 的供应链漏洞导致 600,000 美元被盗
加密硬件钱包制造商 Ledger 发布了其“@ledgerhq/connect-kit”npm 模块的新版本,此前身份不明的威胁行为者推送了恶意代码,导致超过 600,000 美元的虚拟资产被盗。该公司在一份声明中表示,妥协是由于一名前雇员成为网络钓鱼攻击的受害者。这允许攻击者访问 Ledger 的 npm 账户并上传该模块的三个恶意版本(1.1.5、1.1.6 和 1.1.7),并将加密消耗恶意软件传播到依赖于该模块的其他应用程序,从而导致软件供应链泄露。“恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包,”Ledger 说。顾名思义,Connect Kit 可以将 DApp(短去中心化应用程序)连接到 Ledger 的硬件钱包。根据安全公司Sonatype的说法,1.1.7版本直接嵌入了一个耗尽钱包的有效载荷来执行未经授权的交易,以便将数字资产转移到参与者控制的钱包中。版本 1.1.5 和 1.1.6 虽然缺少嵌入式 drainer,但经过修改以下载辅助 npm 包,标识为 2e6d5f64604be31,它充当加密 drainer。截至撰写本文时,该模块仍可供下载。加密硬件“一旦安装到您的软件中,恶意软件就会向用户显示一个虚假的模态提示,邀请他们连接钱包,”Sonatype研究员Ilkka Turunen说。“一旦用户点击此模式,恶意软件就会开始从连接的钱包中抽走资金。”据估计,恶意文件已经存在了大约五个小时,尽管资金被耗尽的活跃利用窗口仅限于不到两个小时的时间。网络安全受该事件影响的公司之一Revoke.cash表示,Ledger的部署系统缺乏双因素身份验证(2FA)保护,从而允许攻击者使用开发人员的受感染帐户发布该软件的恶意版本。此后,Ledger 从 npm 中删除了所有三个恶意版本的 Connect Kit,并发布了 1.1.8 以缓解此问题。它还报告了威胁行为者的钱包地址,并指出稳定币发行商 Tether 已经冻结了被盗资金。如果说有什么不同的话,那就是这一发展突显了开源生态系统的持续目标,PyPI和npm等软件注册表越来越多地被用作通过供应链攻击安装恶意软件的载体。Turunen指出:“加密货币资产的具体目标表明,网络犯罪分子的策略不断演变,在数小时内获得可观的经济收益,直接将他们的恶意软件货币化。
2023年12月18日
8 阅读
0 评论
0 点赞
1
2
3