世界黑客新闻动态

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikmSke4NE6m8JSN4ivC13AYK1SLKclqGXJdHZHJywJl_C5PYKa7ULECJQ0rsVWfIxnzc1PFGYOd5aluSk2BuJM_3GWm5mj180YoGx1MH9QEvj2SE-hNu8KOt3azq-Cd1dDj9CNvVwd5JeFTqC2zm8HcqGLeBydbvbpm_YIrZP5GE_oakL2StxmvJe2w8IW/s728-rw-e365/hacking.png 网络安全研究人员警告称，一项新的大规模活动利用 AVTECH IP 摄像机和华为 HG532 路由器的安全漏洞，将这些设备纳入被称为 Murdoc Botnet 的 Mirai 僵尸网络变种。 Qualys 安全研究员 Shilpesh Trivedi在分析中表示，正在进行的活动“展示了增强的能力，利用漏洞破坏设备并建立广泛的僵尸网络”。 据了解，该活动至少自 2024 年 7 月开始活跃，迄今为止已感染了1,370 多个系统。大多数感染位于马来西亚、墨西哥、泰国、印度尼西亚和越南。 证据表明，该僵尸网络利用 CVE-2017-17215、CVE-2024-7029 等已知安全漏洞获取物联网（IoT）设备的初始访问权限，并通过 Shell 脚本下载下一阶段的有效负载。 该脚本会获取僵尸网络恶意软件并根据 CPU 架构执行它…

近期，网络犯罪分子利用U盘进行恶意软件攻击的事件大幅增加。据Mandiant的安全研究人员称，在2023年上半年，通过U盘窃取敏感信息的恶意软件攻击增加了三倍之多。这些研究人员还披露了两个具体的攻击活动的细节。 其中一个攻击活动是由网络间谍组织TEMP.Hex发起的，目标是针对欧洲、亚洲和美国的公共和私营机构进行攻击。 这些U盘中包含了多种恶意软件，并采用DLL劫持技术将最终有效载荷下载到被入侵系统的内存中。一旦这些恶意代码被执行，SOGU恶意软件就会执行各种操作，如捕获屏幕截图、记录键盘输入、建立反向shell连接以及启用远程桌面连接执行其他文件。 这些被窃取的数据可以通过TCP、UDP或ICMP使用自定义二进制协议发送到攻击者的命令和控制（C2）服务器内。此次攻击活动的目标行业包括建筑、工程、政府、制造、零售、媒体和制药行业。 在一次攻击活动中，受害者被诱使点击一个文件，该文件看似是一个在U盘根目录下发现的合法的可执行文件。在执行该文件后，就会使得感染链触发，然后下载一个名为SNOWYDRIVE的基于shellcode的后门程序。 该恶意软件不仅会将自身复制到与受感染系统相连的可移动驱动器上，而且还会执行各种其他的恶意操作，如写入或删除文件、进行文件上传以及执行反向的shell命令。 最近，Check Point研究小组发现了一个新的基于USB的攻击活动，该活动是由一个名为 "Camaro"的组织发起的。 该攻击活动专门针对欧洲的一家医疗机构进行攻击，这其中涉及部署…

一个名为 BlackLotus 的隐蔽统一可扩展固件接口 (UEFI) bootkit 已成为第一个能够绕过安全启动防御的公开恶意软件，使其成为网络环境中的一个强大威胁。 斯洛伐克网络安全公司 ESET在与 The Hacker News 分享的一份报告中说：“这个 bootkit 甚至可以在启用了 UEFI 安全启动的完全最新的 Windows 11 系统上运行。” UEFI bootkit部署在系统固件中，允许完全控制操作系统 (OS) 启动过程，从而可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。 以 5,000 美元（以及每个新的后续版本 200 美元）的价格出售，功能强大且持久的工具包使用 Assembly 和 C 进行编程，大小为 80 KB。它还具有地理围栏功能，可以避免感染亚美尼亚、白俄罗斯、哈萨克斯坦、摩尔多瓦、罗马尼亚、俄罗斯和乌克兰的计算机。 有关 BlackLotus 的详细信息于 2022 年 10 月首次出现，卡巴斯基安全研究员 Sergey Lozhkin 将其描述为一种复杂的犯罪软件解决方案。 Eclypsium 的 Scott Scheferman 表示：“这代表了一点‘飞跃’，在易用性、可扩展性、可访问性方面，最重要的是，以持久性、逃避和/或破坏的形式产生更大影响的潜力”注意到。 简而言之，BlackLotus 利用一个被跟踪为CVE-2022-21894（又名Baton Drop）的安全漏洞来绕过 UEFI 安全启动保护并设置…

一项新的有针对性的网络钓鱼活动已将注意力集中在印度政府官员使用的名为Kavach的双因素身份验证解决方案上。 网络安全公司 Securonix 将此次活动命名为STEPPY#KAVACH，根据与先前攻击的战术重叠，将其归因于名为 SideCopy 的威胁行为者。 “.LNK 文件用于启动代码执行，最终下载并运行恶意 C# 有效负载，其功能类似于远程访问木马 (RAT)，”Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov在一份新报告中表示。 SideCopy 是一个据信来自巴基斯坦的黑客团队，至少从 2019 年开始活跃，据说与另一个名为Transparent Tribe（又名 APT36 或 Mythic Leopard）的演员有联系。 众所周知，它还模仿 SideWinder 利用的攻击链，SideWinder是一个多产的民族国家组织，不成比例地挑出巴基斯坦的军事实体，以部署自己的工具集。 也就是说，这并不是 Kavach 第一次成为演员的目标。2021 年 7 月，Cisco Talos 详细介绍了一项窃取印度政府雇员凭证的间谍活动。 自今年年初以来，以 Kavach 为主题的诱饵应用程序已被 Transparent Tribe 用于针对印度的攻击。 Securonix 在过去几周观察到的最新攻击序列需要使用网络钓鱼电子邮件引诱潜在受害者打开快捷方式文件 (.LNK)，以使用mshta.exe Win…

位于美国的公司一直处于“激进的”Qakbot 恶意软件活动的接收端，该活动导致受感染网络上的 Black Basta 勒索软件感染。 Cybereason 研究人员 Joakim Kandefelt 和 Danielle Frankel在与黑客新闻分享的一份报告中说： “在最近的这次活动中，Black Basta 勒索软件团伙正在使用 QakBot 恶意软件创建初始入口点并在组织网络内横向移动。” 2022 年 4 月出现的 Black Basta 遵循久经考验的双重勒索方法，从目标公司窃取敏感数据，并以此为杠杆，通过威胁发布被盗信息来勒索加密货币支付。 这不是第一次观察到勒索软件团队使用 Qakbot（又名 QBot、QuackBot 或 Pinkslipbot）。上个月，趋势科技披露了类似的攻击，这些攻击需要使用 Qakbot 来提供Brute Ratel C4框架，而该框架又被用来放弃 Cobalt Strike。 Cybereason 观察到的入侵活动从等式中删除了 Brute Ratel C4，而是使用 Qakbot 直接在受感染环境中的多台机器上分发 Cobalt Strike。 攻击链从一封带有恶意磁盘映像文件的鱼叉式网络钓鱼电子邮件开始，该文件在打开时启动 Qbot 的执行，而 Qbot 则连接到远程服务器以检索 Cobalt Strike 有效载荷。 …

RansomExx 勒索软件的运营商已成为最新开发出用 Rust 编程语言完全重写的新变体的公司，紧随其后的是BlackCat、Hive和Luna等其他变种。 最新版本被称为 Hive0091（又名 DefrayX）的威胁参与者称为 RansomExx2，主要设计用于在 Linux 操作系统上运行，尽管预计将来会发布 Windows 版本。 RansomExx，也称为 Defray777 和 Ransom X，是众所周知的自 2018 年以来活跃的勒索软件 家族。此后，它与针对政府机构、制造商和其他知名实体（如 Embraer 和 GIGABYTE）的多次攻击有关。 IBM Security X-Force 研究员夏洛特哈蒙德在一份报告中说： “用 Rust 编写的恶意软件通常受益于较低的 [antivirus] 检测率（与用更常见的语言编写的恶意软件相比），这可能是使用该语言的主要原因。”本周出版。 RansomExx2 在功能上与其 C++ 前身相似，它将目标目录列表作为命令行输入进行加密。 执行后，勒索软件会递归地遍历每个指定目录，然后使用AES-256 算法枚举和加密文件。 完成该步骤后，包含要求的赎金票据最终会放入每个加密目录中。 这一发展说明了一种新趋势，即越来越多的恶意行为者正在使用 Rust 和 Go 等鲜为人知的编程语言构建恶意软件和勒索软…

尽管芯片制造商发布了修复程序，但 Android 设备上几个月来 Arm 的 Mali GPU 驱动程序中的一组五个中等严重的安全漏洞仍未修补。 发现并报告这些漏洞的谷歌零项目表示，Arm 在 2022 年 7 月和 2022 年 8 月解决了这些缺陷。 “这些修复还没有影响到受影响的安卓设备（包括 Pixel、三星、小米、Oppo 等），”零项目研究员 Ian Beer在一份报告中说。“配备 Mali GPU 的设备目前容易受到攻击。” 这些漏洞在标识符CVE-2022-33917（CVSS 分数：5.5）和CVE-2022-36449（CVSS 分数：6.5）下共同跟踪，涉及内存处理不当的情况，从而允许非特权用户获得访问权限释放内存。 根据 Arm 发布的公告，第二个漏洞 CVE-2022-36449 可以进一步武器化以写入缓冲区边界之外并泄露内存映射的详细信息。受影响的驱动程序列表如下 - CVE-2022-33917 Valhall GPU 内核驱动程序：r29p0 - r38p0 的所有版本 CVE-2022-36449 Midgard GPU 内核驱动程序：r4p0 - r32p0 的所有版本 Bifrost GPU 内核驱动程序：r0p0 - r38p0 和 r39p0 的所有版本 Valhall GPU 内核驱动程序：r19p0 - r38p0 和 r39p0 的所有版本 成功利用这些漏洞可能允许攻击者获得在应…

DTrack是Lazarus组织开发的后门，该后门最早于2019年被发现，目前仍在使用。Lazarus组织用它来攻击各种各样的目标。例如，我们已经看到它被用于攻击自动取款机，攻击核电站和有针对性的勒索软件攻击。基本上，Lazarus组织都是冲着经济利益去的。 DTrack允许攻击者在受害主机上上传、下载、启动或删除文件。在标准DTrack工具集中已经发现的那些已下载和执行的文件中，有一个键盘记录器、一个截图生成器和一个用于收集受害系统信息的模块。有了这样的工具集，攻击者可以在受害者的基础设施中实施横向移动，以检索泄露信息。 DTrack本身在过去的时间里并没有太大的变化。尽管如此，我们还是想在本文文中强调一些有趣的修改，Dtrack将自己隐藏在一个看起来像合法程序的可执行文件中，在恶意软件有效负载开始之前，需要经过几个阶段的解密。 第一阶段——植入代码 DTrack分几个阶段解压恶意软件。第二阶段存储在恶意软件PE文件中。要实现这一点，有两种方法： 基于偏移； 基于资源； DTrack通过从文件中的偏移量读取有效负载，或者通过从PE二进制文件中的资源读取有效负载来检索有效负载。下面是使用基于偏移量的方法检索数据的反编译伪函数的示例。 DTrack偏移量检索函数示例 在检索到下一个阶段的位置及其密钥后，恶意软件然后解密缓冲区(使用修改过的RC4算法)并将控制权传递给它。为了计算有效负载的偏移量、大小和解密密钥，DTrack有一个特殊的二进制（我们称之为…

最近，规避多因素认证(MFA)安全措施的网络攻击数量激增，导致数据中心系统岌岌可危。数据中心面临的挑战在于需要与可能符合传统MFA协议的整体企业安全策略保持一致，并超越传统MFA以满足数据中心独特的安全需求。 今年8月，攻击者诱骗思科的一名员工接受MFA请求，从而获得关键内部系统的访问权限。 优步声称，今年9月，攻击者在暗网上购买了优步承包商的密码，并多次试图用窃取的凭据登录系统。起初，MFA阻止了登录的尝试，但最终承包商接受了请求，因此攻击者径直驶入。攻击者访问了许多公司工具，包括G-Suite和Slack。 更尴尬的是，今年8月，攻击者入侵了Twilio广泛使用的MFA服务。他们通过欺骗Twilio的员工来共享凭证和MFA授权。结果招了100多个Twilio的客户，包括Okta和Signal。 MFA网络保护方面的变化对用户意味着什么？ 根据微软威胁情报中心今年夏天发布的报告，除了攻击MFA平台和诱骗员工批准非法访问请求，攻击者还使用中间人攻击来绕过MFA验证机制。在过去的一年中，超过10，000个组织成为这些攻击的目标，这些攻击的工作方式是等待用户成功登录系统，然后劫持正在进行的会话。 咨询公司QDEx Labs的创始人兼首席执行官沃尔特格林(Walt Greene)表示，最成功的MFA网络攻击都是基于社会工程伎俩，最常用的伎俩是各种网络钓鱼。如果实施得当，这些攻击对于不知情的用户来说有相当大的成功机会。 显然，单靠MFA是不够安全的，数据中心网络安全管理员需要提前开始规划后密码安全模式。在…

一群威胁正在使用一家不明媒体公司的受攻击基础设施，在美国数百家报纸的网站上部署SocGholish JavaScript恶意软件框架，也称为FakeUpdates。 这次供应链攻击(Proofpoint编号为TA569)背后的威胁分子将恶意代码注入到一个无害的JavaScript文件中，该文件被多家新闻媒体的网站加载。 该恶意JavaScript文件用于安装SocGholish。这种恶意软件框架可以感染那些访问带有恶意软件有效载荷的被攻击网站的用户。这些恶意软件有效载荷伪装成虚假的浏览器更新，这些更新通过虚假的更新提醒以ZIP压缩包的形式分发。比如Chrome。udate。拉链，铬合金。Updater.zip，firebo 。u dat zip，Firefo.Udat。zip和opera.updte.zip。 Proofpoint的威胁洞察团队今天在推特上透露：“Proofpoint的威胁研究团队观察到，一家服务于多家主要新闻机构的媒体公司被间歇性注入。这家媒体公司通过JavaScript向合作伙伴提供内容。” "通过修改这个原本无害的JavaScript的代码库，它现在被用来部署SocGholish . " 图一。恶意JavaScript文件混淆内容(来源：BleepingComputer) 根据企业安全公司Proofpoint的安全研究人员的说法，这种恶意软件已经被安装在250多家美国新闻机构的网站上，其中一些是大型新闻机构。 虽然尚不清楚有多少新闻机构受到影响，但Proofpoint…

最近的研究表明，中非和西非超过85%的金融机构遭受了多次网络攻击，包括窃取信息、窃取用户身份、欺诈性转账和用假支票取款。 本文将介绍一项由研究人员发现的名为DangerousSavanna的恶意活动，该活动在过去两年中一直以非洲法语区的几家主要金融服务机构为目标。该活动背后的攻击者使用鱼叉式网络钓鱼作为初始感染方法，向至少五个不同法语国家的金融机构员工发送带有恶意附件的电子邮件：科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥。在过去几个月里，这项活动主要集中在科特迪瓦。根据受害者的特征、策略、技术和程序(TTP)，研究人员认为DangerousSavanna背后的动机可能是出于经济考虑。 DangerousSavanna倾向于在受感染的环境中安装相对简单的软件工具。这些工具都是自己编写的，基于Metasploit、PoshC2、DWservice和AsyncRAT等开源项目。攻击者的创造力在最初的感染阶段就表现出来了。他们不断监控目标公司的员工，并不断使用各种恶意文件类型改变感染链，从自行编写的可执行加载程序和恶意文档到ISO、LNK、JAR和VBE文件的各种组合。攻击者不断发展的感染链反映了我们在过去几年中看到的威胁模式的变化，因为感染媒介变得越来越复杂和多样。 目标都在非洲法语国家。 感染链 这种感染始于用法语编写的鱼叉式网络钓鱼电子邮件，通常发送给目标公司的几名员工，这些公司都是非洲法语区的大中型金融机构。在活动的早期阶段，网络钓鱼邮件是通过Gmail和Hotmail服务发送的。为了提高可信度，攻击者开…

三年前，一本名为《零信任网络》的书被Chianxin身份安全实验室引入中国并翻译出版，为当时还处于起步阶段的国内零信任市场带来了关于这一创新安全理念的系统介绍和基础知识。 如今，三年过去了，零信任在中国已经得到了广泛的认可。其中，基于远程访问的企业业务场景得到了广泛应用。但是，零信任之路似乎有点“窄”。 作为一个安全概念，零信任本身就是一个安全体系，涉及能力的多个维度。如果这些能力建设不当，将极大影响零信任的落地效果，最终影响企业的安全投资收益。 其中，身份安全是零信任能力体系中最重要的维度。零信任是基于身份的，因此从零信任的角度来构建和提高身份安全能力非常重要。 新书推荐 目前国内几乎没有关于身份安全的专业书籍。Chianxin身份安全实验室经过精挑细选，选择将《身份攻击向量》引入国内，希望通过这本书普及身份安全领域的知识，指导实践。 055-79000(身份攻击载体)由BeyondTrust公司生产，该公司是安全行业的知名公司，也是特权访问管理(PAM)解决方案的领导者。作者是来自BeyondTrust公司的Morey Haber和来自SailPoint公司的Darran Rolls。由Chianxin身份安全实验室翻译介绍，于2022年8月正式发布，以飨读者。创作和翻译团队可谓强强联合。 本书从基本概念普及和工程实践指导的角度，详细介绍了企业IAM和身份治理相关的基本概念和技术，从攻击者的角度分析了身份管理和治理中的漏洞是如何被利用进行攻击的，最后给出了缓解身份攻击载体的实用建议…

（佚名） 研究人员对近期新冠病毒主题的攻击活动进行了总结。 2月1日——利用新冠病毒传播恶意软件 安全研究人员发现有攻击者利用新冠病毒疫情来吸引普通用户的注意，以传播恶意软件。 https://securityaffairs.co/wordpress/97127/cyber-crime/cybercrime-exploits-coronavirus.html 2月25日——韩国发现疫情实时感染恶意查询程序 Est安全研究人员发现有伪装为新冠病毒实时状态的查询程序来传播恶意代码。 https://securityaffairs.co/wordpress/98420/malware/south-korea-corona-19.html 2月26日——利用新冠病毒的新网络攻击 Cybaze Yoroi的研究人员发现一款利用人们对COVID-19的兴趣传播恶意软件的攻击活动。 https://securityaffairs.co/wordpress/98484/malware/covid-19-hacking-campaign.html 3月6日——TrickBot利用伪造的WHO新冠病毒邮件攻击意大利 Sophos研究人员发现有攻击者利用新冠病毒疫情来传播附有TrickBot恶意软件的垃圾邮件。打开垃圾邮件附件后，如果启用了宏，word文档就会展示一个要求接收者启用编辑和内容的消息。如果没有启用宏，就会执行VBA脚本，并最终创建一个单独的JS文件来解码和执行恶意payload，然后使用WSH…

最近，规避多因素认证(MFA)安全措施的网络攻击数量激增，导致数据中心系统岌岌可危。数据中心面临的挑战在于需要与可能符合传统MFA协议的整体企业安全策略保持一致，并超越传统MFA以满足数据中心独特的安全需求。 今年8月，攻击者诱骗思科的一名员工接受MFA请求，从而获得关键内部系统的访问权限。 优步声称，今年9月，攻击者在暗网上购买了优步承包商的密码，并多次试图用窃取的凭据登录系统。起初，MFA阻止了登录的尝试，但最终承包商接受了请求，因此攻击者径直驶入。攻击者访问了许多公司工具，包括G-Suite和Slack。 更尴尬的是，今年8月，攻击者入侵了Twilio广泛使用的MFA服务。他们通过欺骗Twilio的员工来共享凭证和MFA授权。结果招了100多个Twilio的客户，包括Okta和Signal。 MFA网络保护方面的变化对用户意味着什么？ 根据微软威胁情报中心今年夏天发布的报告，除了攻击MFA平台和诱骗员工批准非法访问请求，攻击者还使用中间人攻击来绕过MFA验证机制。在过去的一年中，超过10，000个组织成为这些攻击的目标，这些攻击的工作方式是等待用户成功登录系统，然后劫持正在进行的会话。 咨询公司QDEx Labs的创始人兼首席执行官沃尔特格林(Walt Greene)表示，最成功的MFA网络攻击都是基于社会工程伎俩，最常用的伎俩是各种网络钓鱼。如果实施得当，这些攻击对于不知情的用户来说有相当大的成功机会。 显然，单靠MFA是不够安全的，数据中心网络安全管理员需要提前开始规划后密码安全模式。在…

一群威胁正在使用一家不明媒体公司的受攻击基础设施，在美国数百家报纸的网站上部署SocGholish JavaScript恶意软件框架，也称为FakeUpdates。 这次供应链攻击(Proofpoint编号为TA569)背后的威胁分子将恶意代码注入到一个无害的JavaScript文件中，该文件被多家新闻媒体的网站加载。 该恶意JavaScript文件用于安装SocGholish。这种恶意软件框架可以感染那些访问带有恶意软件有效载荷的被攻击网站的用户。这些恶意软件有效载荷伪装成虚假的浏览器更新，这些更新通过虚假的更新提醒以ZIP压缩包的形式分发。比如Chrome。udate。拉链，铬合金。Updater.zip，firebo 。u dat zip，Firefo.Udat。zip和opera.updte.zip。 Proofpoint的威胁洞察团队今天在推特上透露：“Proofpoint的威胁研究团队观察到，一家服务于多家主要新闻机构的媒体公司被间歇性注入。这家媒体公司通过JavaScript向合作伙伴提供内容。” "通过修改这个原本无害的JavaScript的代码库，它现在被用来部署SocGholish . " 图一。恶意JavaScript文件混淆内容(来源：BleepingComputer) 根据企业安全公司Proofpoint的安全研究人员的说法，这种恶意软件已经被安装在250多家美国新闻机构的网站上，其中一些是大型新闻机构。 虽然尚不清楚有多少新闻机构受到影响，但Proofpoint…

在消失近五个月后，臭名昭著的Emotet恶意软件团伙再次发送恶意电子邮件。 Emotet是一种恶意软件，通过包含恶意Excel或Word文档的钓鱼活动感染系统。一旦用户打开这些文档并启用宏，Emotet DLL将被下载并加载到系统内存中。 一旦加载，该恶意软件将搜索和窃取电子邮件以进行未来的垃圾邮件活动，并丢弃额外的攻击负载，如Cobalt Strike或其他通常会导致勒索软件攻击的恶意软件。 虽然Emotet曾经被认为是传播最广泛的恶意软件，但它在2022年6月13日突然停止发送垃圾邮件。 Emotet卷土重来 EMOTE的研究部门Cryptolaemus的研究人员报告称，美国东部时间11月2日凌晨4点左右，EMOTE团伙突然再次活跃起来，向世界各地的电子邮件地址发送垃圾邮件。 图1 Proofpoint的威胁研究员、Cryptolaemus的成员Tommy Madjar告诉IT安全外媒BleepingComputer，如今的Emotet电子邮件活动利用窃取的电子邮件回复链来分发恶意的Excel附件。 BleepingComputer从上传到VirusTotal的样本中看到了不同语言和文件名的附件，伪装成发票、扫描副本、电子表格和其他诱饵。 下面列出了示例文件名的一部分： Scan_20220211_77219.xls fattura年11月. xls BFE-011122 XNIZ-021122.xls FH-1612报告. xls 2022-1…

urlscan.io的网站被发现泄露了大量用户的敏感网址。通过自动化工具，可以挖掘文档共享、密码重置、团队邀请等敏感环节。使用这种错误配置的安全协调、自动化和响应(SOAR)工具的用户有很高的风险，他们的帐户将通过手动触发的密码重置被劫持。 Github数据泄露 今年2月，GitHub向受影响的客户发送了一封电子邮件，告知他们数据泄露的情况。具体来说，通过Github页面启用私有存储库托管的用户的存储库名称及其用户名被泄露。 好像开发者还没有公开承认这个漏洞，我只是通过《黑客新闻》上的一则新闻了解到的。 GitHub从一名GitHuc员工的内部发现中得知，GitHubPages网站是从GitHub上的一个私有存储库发布的，并作为自动化过程的一部分发送到urlscan.io进行元数据分析。 GitHub回应称“修复了自动发送GitHub Pages网站进行元数据分析的过程，从而只发送公共GitHub Pages网站进行分析”，并要求第三方删除数据。 urlscan.io是什么？ Urlscan.io是一项免费的网站扫描和分析服务。当一个URL被提交到urlscan.io时，一个自动化的进程会像普通用户一样浏览到这个URL并记录这个页面导航所创建的活动。这包括联系的域和IP，从这些域请求的资源(JavaScript，CSS等。)，以及关于页面本身的其他信息。 Urlscan.io将自己描述为“网络沙箱”。您可以提交URL，然后以各种方式对其进行分析和扫描。主要用于检测钓鱼网站等恶意网站。u…

Dropbox被钓鱼攻击，130个GitHub库未经授权即可访问。 Dropbox是一款免费的在线文件同步工具，是由Dropbox运营的在线存储服务。通过云计算，互联网上的文件是同步的，用户可以存储和共享文件和文件夹。截至2022年8月，Dropbox拥有1737万付费用户，7亿注册用户。 11月1日，Dropbox发布消息称，它是一次钓鱼攻击的受害者，攻击者获得了其130个GitHub源代码库的访问权限。早在9月份，GitHub和CircleCI就发出警告，称有攻击者通过虚假通知邮件窃取了GitHub凭据。 事件分析 Dropbox使用GitHub来保存一些公共库和私有库。CircleCI还用于选择一些内部部署。10月初，几名Dropbox员工收到伪装成CircleCI的钓鱼邮件，钓鱼邮件的目的是获取他们的GitHub账户。该电子邮件将网络钓鱼连接重定向到一个虚假的CircleCI登录页面。受害者输入GitHub用户名和密码后，利用硬件认证码将一次性密码传递给恶意站点。 10月14日，GitHub向Dropbox发出警告，称其官方账号从13日开始活跃。Dropbox研究人员经过调查发现，攻击者成功访问了Dropbox的GitHub账户，130个GitHub库可以在未经授权的情况下被访问，包括为Dropbox修改的第三方库的副本、内部原型系统、安全团队使用的工具和配置文件等。攻击者成功访问了Dropbox开发人员使用的API密钥，属于Dropbox员工、当前和以前的客户和制造商的数千个姓名和电子邮件地址。 …

《国务院关于数字经济发展情况的报告》28日提交十三届全国人大常委会第三十七次会议审议。报告明确，要发挥我国社会主义制度、新国家体系和超大规模市场优势，强化目标导向和问题导向，牢牢把握数字技术发展主动权，抓住新一轮科技革命和产业转型发展机遇，大力发展数字经济。 报告显示，十年来，中国数字经济发展成就显著，总体规模连续多年位居世界第二，对经济社会发展的引领和支撑作用日益凸显。同时，中国数字经济还存在大而不强、快而不优的问题。 报告认为，以数据为关键要素，以数字技术与实体经济深度融合为主线，以数字产业化和产业数字化协同推进、传统产业转型升级为重点，以加强数字基础设施建设为基础，以完善数字经济治理体系为保障，不断做强、做优、做大中国数字经济。 报告从八个方面提出了下一步工作安排，包括集中力量攻关关键核心技术，牢牢把握数字经济发展自主权；适当提前部署数字基础设施建设，构筑数字经济发展的基础；大力推动数字产业创新发展，构建具有国际竞争力的产业体系；加快产业数字化转型，释放数字对经济发展的放大、叠加和倍增作用；不断提升数字化公共服务水平，不断满足人民美好生活需要；不断完善数字经济治理体系，推动数字经济健康可持续发展；全面加强网络安全和数据安全保护，构筑数字安全屏障；积极参与数字经济国际合作，推动构建网络空间命运共同体。

最近的研究表明，中非和西非超过85%的金融机构遭受了多次网络攻击，包括窃取信息、窃取用户身份、欺诈性转账和用假支票取款。 本文将介绍一项由研究人员发现的名为DangerousSavanna的恶意活动，该活动在过去两年中一直以非洲法语区的几家主要金融服务机构为目标。该活动背后的攻击者使用鱼叉式网络钓鱼作为初始感染方法，向至少五个不同法语国家的金融机构员工发送带有恶意附件的电子邮件：科特迪瓦、摩洛哥、喀麦隆、塞内加尔和多哥。在过去几个月里，这项活动主要集中在科特迪瓦。根据受害者的特征、策略、技术和程序(TTP)，研究人员认为DangerousSavanna背后的动机可能是出于经济考虑。 DangerousSavanna倾向于在受感染的环境中安装相对简单的软件工具。这些工具都是自己编写的，基于Metasploit、PoshC2、DWservice和AsyncRAT等开源项目。攻击者的创造力在最初的感染阶段就表现出来了。他们不断监控目标公司的员工，并不断使用各种恶意文件类型改变感染链，从自行编写的可执行加载程序和恶意文档到ISO、LNK、JAR和VBE文件的各种组合。攻击者不断发展的感染链反映了我们在过去几年中看到的威胁模式的变化，因为感染媒介变得越来越复杂和多样。 目标都在非洲法语国家。 感染链 这种感染始于用法语编写的鱼叉式网络钓鱼电子邮件，通常发送给目标公司的几名员工，这些公司都是非洲法语区的大中型金融机构。在活动的早期阶段，网络钓鱼邮件是通过Gmail和Hotmail服务发送的。为了提高可信度，攻击者开…