正如 28u.cc最先报道的那样,在开源项目 Moq 因悄悄添加数据收集功能而受到严厉批评后,亚马逊 AWS 撤回了与该项目的合作关系。
Moq 是NuGet 软件注册表上广泛分布的库,被发现正在收集其安装的计算机上的开发人员电子邮件地址的哈希值。这始于上周,当时 Moq 的开发人员在没有通知的情况下将其有争议的 SponsorLink 依赖项捆绑在项目中。
Moq 项目的维护者包括 Daniel Cazzulino (kzu) ,本周 Cazzulino 在未事先通知的情况下推出了包含他的 SponsorLink 软件包的4.20 版本后,遭到了严重的抵制 。
包含闭源 SponsorLink 包导致 Moq 从本地 Git 配置中获取开发人员电子邮件地址的 SHA-256 哈希值,并将 其上传到 SponsorLink 的 CDN。
作为回应,一些开发人员要么停止使用 Moq [ 1 , 2 ],转而采用替代方案,要么 建议构建能够检测 和阻止任何运行 SponsorLink 的项目的工具。
有些人更进一步,表示他们将 抵制使用 SponsorLink 的项目 ,甚至将 SponsorLink 作为“恶意软件”向 NuGet 注册表报告 [ 1 , 2 ]。
SponsorLink 之前以混淆的 DLL 形式在 NuGet 上发布,在开源软件用户中引起了强烈反对,他们表示公开该项目的源代码“对于透明度和信任非常重要”。
除了 Moq 或 SponsorLink 是否违反了开源生态系统的预期之外,用户迫切关心的是数据收集是否违反了隐私立法,例如 GDPR [1 , 2 ]。德国法院 此前裁定SHA-256 哈希不足以实现数据匿名化。
开发人员已经回滚了 Moq v4.20.2 中的有争议的更改,称它“破坏了 MacOS 恢复”——这是其他人再次 嘲笑的原因。
尽管开发人员做出了这些修改,但用户仍然怀疑未来的 Moq 版本 可能会重新引入 类似的“功能”。
与许多公司一样,亚马逊 AWS 已与 Moq 保持距离,并停止支持该开源项目。
“我们承认我们过去曾赞助过,”鲍文写道。
“但是,添加 SponsorLink 意味着我们将不再使用此工具,并且不希望在自述文件中突出显示我们的暗示认可。谢谢。”
Moq 开发人员 Cazzulino 对这一请求表示欢迎,并从该项目的自述文件中删除了亚马逊的 AWS 名称:
“正确删除#1383中的整个部分 。应该会自动合并一点,”开发人员回应道。
事实上,根据拉取请求,开发人员已将整个手动编写的“赞助商”列表替换为“自动更新”列表。
我们已联系亚马逊AWS征求意见。本周,当我们联系 BleepingComputer 就此事发表评论时,Cazzulino 没有做出回应。
与此相关的是,根据用户群的持续反馈,开发人员现已将 SponsorLink 项目 开源。
“SponsorLink 的完整 OSS(包括客户端和后端)现在位于src文件夹下的同一存储库中,”Cazzulino 写道。
BleepingComputer 验证了昨天某个时候 SponsorLink 的 GitHub 存储库上提供了“ src ”(源代码)目录:
SponsorLink 的 .NET 实现之前保持闭源背后的原因也得到了修改。
开发人员承认,“提供源代码可能只会让规避这一功能变得微不足道”,该功能将确保用户收到赞助状态通知。
尽管开发人员对 Moq 和 SponsorLink 进行了迫切要求的修改,但这些项目可能需要一段时间才能重新获得开源资深人士的用户信任。
更新,美国东部时间 8 月 11 日中午 12:17:更新了标题并声明亚马逊已与该项目保持距离。
美国政府在分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织后发布了一份报告。
去年12 月, 在 Lapsus$ 泄露了所谓受害者的专有数据后,发生了一系列归因于或由 Lapsus$ 声称的事件后,对该组织的运作进行了审查 。
受 Lapsus$ 影响的知名公司包括 微软、 思科、 Okta、 Nvidia、 T-Mobile、 三星、 Uber、 沃达丰、 育碧和 Globant。
Lapsus$ 被描述为一个组织松散的团体,主要由青少年组成,成员来自英国和巴西,他们在 2021 年至 2022 年间从事活动,目的是为了恶名、经济利益或娱乐。然而,他们还将各种复杂的技术与“创造力的闪光”结合起来。
美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 完成了分析,并在一份报告中描述了该组织的策略和技术,其中还包括对行业的建议。
“Lapsus$ 采用了其他威胁行为者众所周知且可用的低成本技术,揭示了我们网络基础设施中可能容易受到未来攻击的弱点”——国土安全部网络安全审查委员会。
该组织利用 SIM 卡交换来访问目标公司的内部网络,并窃取源代码、专有技术详细信息或业务和客户相关文档等机密信息。
在 SIM 交换攻击中,威胁行为者通过将受害者的电话号码移植到攻击者拥有的 SIM 卡来窃取受害者的电话号码。该伎俩依赖于社会工程或受害者移动运营商的内部人员。
通过控制受害者的电话号码,攻击者可以接收基于短信的临时代码,以进行登录各种企业服务或破坏企业网络所需的双因素身份验证 (2FA)。
就 Lapsus$ 而言,一些欺诈性 SIM 交换是在劫持员工和承包商的账户后直接通过电信提供商的客户管理工具进行的。
为了获取有关受害者的机密信息(姓名、电话号码、客户专有网络信息),该组织的成员有时会使用欺诈性的 紧急披露请求 (EDR)。
攻击者可以通过冒充合法请求者(例如执法人员)或通过在请求中应用官方徽标来创建虚假 EDR。
Lapsus$ 还依赖目标公司、员工或承包商的内部人员来获取凭据、批准多重身份验证 (MFA) 请求或使用内部访问来帮助威胁行为者。
“在执行欺诈性 SIM 交换后,Lapsus$ 通过登录和帐户恢复工作流程接管了在线帐户,这些工作流程通过短信或语音通话发送一次性链接或 MFA 密码”——国土安全部网络安全审查委员会。
在一个案例中,Lapsus$ 利用对电信提供商的未经授权的访问来尝试破坏与 FBI 和国防部人员相关的手机帐户。
由于对这些帐户实施了额外的安全措施,该尝试未成功。
根据 CSRB 的研究结果,该组织每周支付高达 20,000 美元的费用来访问电信提供商的平台并进行 SIM 卡交换。
尽管 FBI 并不知道 Lapsus$ 出售了他们窃取的数据,也没有发现受害者向该组织支付赎金的证据,但 CSRB 表示,一些安全专家“观察到 Lapsus$ 向组织勒索了一些赎金”。
根据 CSRB 的调查结果,该组织还利用 Microsoft Active Directory 中未修补的漏洞来增加其在受害者网络上的权限。
据估计,Lapsus$ 在高达 60% 的攻击中利用了 Active Directory 安全问题,这表明该组织的成员拥有在网络内部移动的技术技能。
虽然 Lapsus$ 的特点是高效、速度、创造力和大胆,但该组织的攻击并不总是成功。它在实施应用程序或基于令牌的多重身份验证 (MFA) 的环境中失败。
此外,强大的网络入侵检测系统和标记可疑帐户活动可以防止 Lapsus$ 攻击。CSRB 在报告中表示,如果遵循事件响应程序,影响就会“显着减轻” 。
尽管安全研究人员和专家多年来一直谴责使用基于短信的身份验证不安全,但国土安全部的网络安全审查委员会强调,“大多数组织没有准备好阻止”来自 Lapsus$ 或其他采用类似策略的组织的攻击。
委员会关于防止其他行为者未经授权访问内部网络的建议包括:
Lapsus$ 自 2022 年 9 月以来一直保持沉默,可能是由于执法调查导致该组织的几名成员被捕。
去年 3 月,伦敦市警方宣布逮捕了 与 Lapsus$ 有关的 7 名个人。几天后,即 4 月 1 日, 又有两人被捕,一名 16 岁和一名 17 岁。
10 月,在“暗云行动”期间, 巴西联邦警察逮捕了 一名涉嫌 Lapsus$ 勒索组织成员的个人,罪名是破坏该国卫生部的系统。
Fortinet 已发出警报,称 Gafgyt 僵尸网络恶意软件正在积极尝试利用已报废的 Zyxel P660HN-T1A 路由器中的漏洞进行数千次日常攻击。
该恶意软件针对的是 CVE-2017-18368,这是设备远程系统日志转发功能中的一个严重严重性(CVSS v3:9.8)未经身份验证的命令注入漏洞,Zyxel 于 2017 年修复了该漏洞。
合勤科技此前 在 2019 年强调了当时新的 Gafgyt 变种的威胁,敦促仍在使用过时固件版本的用户升级到最新版本,以保护他们的设备免遭接管。
然而,自 2023 年 7 月以来,Fortinet 平均每天仍遭受 7,100 次攻击,并且今天的攻击量仍在持续。
今天发布的新Fortinet 爆发警报中写道:“截至 2023 年 8 月 7 日,FortiGuard 实验室继续发现针对 2017 年漏洞的攻击尝试,并在上个月阻止了数千个独特 IPS 设备的攻击尝试。 ”
目前尚不清楚观察到的攻击尝试中哪些部分导致了成功的感染。然而,自 7 月份以来,活动量一直保持稳定。
CISA 本周还就 CVE-2017-18368 的活跃利用发出警告,并将该缺陷添加到其已知被利用漏洞的目录中。
该网络安全机构现在要求联邦机构在 2023 年 8 月 28 日之前修补 Zyxel 漏洞。
为了应对漏洞利用爆发,Zyxel 更新了安全公告,提醒客户 CVE-2017-18363 仅影响运行固件版本 7.3.15.0 v001/3.40(ULM.0)b31 或更早版本的设备。
运行 2017 年发布的用于修复该缺陷的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受这些攻击的影响。
然而,供应商强调该设备已达到使用寿命,不再受支持,因此切换到更新的型号将是明智的选择。
路由器上僵尸网络感染的常见迹象包括连接不稳定、设备过热、配置突然更改、无响应、非典型网络流量、打开新端口以及意外重启。
如果您怀疑受到僵尸网络恶意软件的危害,请执行恢复出厂设置、将设备固件更新到最新版本,并更改默认管理员用户凭据。
此外,它建议您禁用远程管理面板并仅管理来自内部网络的设备。
微软发现 Microsoft Exchange Server 的 8 月份安全更新在非英语安装上会破坏 Exchange,因此已将其从 Windows Update 中撤下。
8 月 8 日,微软在2023 年 8 月补丁星期二期间发布了新的 Exchange Server 安全更新 。
这些安全更新修复了六个漏洞,包括四个远程代码执行漏洞、一个特权提升漏洞以及一个可用于进行 NTLM 中继攻击的欺骗漏洞。
然而,当 Microsoft Exchange 管理员开始在非英语服务器上安装新更新后,他们发现 Exchange Windows 服务不再启动。
IT 架构师 Frank Zoechling 警告说: “显然,该更新无法成功安装在德语操作系统和 Exchange 服务器上。 ”
“安装失败,错误代码为 1603,并留下错误的 Exchange 安装。因此,使用德语的 Exchange 服务器和操作系统的用户暂时不应安装更新。”
此后,微软更新了 2023 年 8 月 Exchange Server 安全更新公告,警告管理员在调查问题时暂时从 Windows 和 Microsoft Update 中删除了该更新。
“我们意识到非英语服务器上的安装问题,并已暂时从 Windows/Microsoft 更新中删除 August SU,” Microsoft解释道。
“如果您使用非英语服务器,我们建议您等待 August SU 的部署,直到我们提供更多信息。”
一篇专门的 支持文章 进一步阐明了该问题,指出该问题是由“Exchange Server 2023 年 8 月 SU 安装程序中的本地化问题”引起的。
微软表示,当你在非英语操作系统上安装 Microsoft Exchange Server 2019 或 2016 安全更新时,安装程序将停止并回滚更改,使 Exchange Server Windows 服务处于禁用状态。
New-ADUser -Name “Network Service” -SurName “Network” -GivenName “Service” -DisplayName “Network Service” -Description “Dummy user to work around the Exchange August SU issues” -UserPrincipalName “网络 服务@$((Get-ADForest).RootDomain) ”
$acl = Get-Acl -Path “HKLM:\SOFTWARE\Microsoft\MSIPC\Server”
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System. Security.Principal.SecurityIdentifier(“S-1-5-20”)), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path “HKLM:\SOFTWARE\Microsoft\MSIPC\Server ” -AclObject $acl
完成这些步骤并重新启动 Exchange 服务器后,Windows 服务应再次正确启动,并且 Exchange 将恢复并运行。
对于运行英语本地化 Windows 的用户,仍然建议下载并安装更新,以免受已公开漏洞的影响。
据观察,一个名为“MoustachedBouncer”的网络间谍组织对 ISP 使用中间对手 (AitM) 攻击来入侵白俄罗斯的外国大使馆。
根据今天发布的 ESET 报告,研究人员观察到了五次不同的活动,据信威胁行为者至少自 2014 年以来就一直活跃,自 2020 年以来在白俄罗斯 ISP 中使用 AitM。
MoustachedBouncer 在此期间使用的两个签名恶意软件框架是自 2014 年以来的“NightClub”和 2020 年推出的“Disco”,用于支持数据盗窃、捕获屏幕截图、录制音频等。
最近用于破坏网络的方法是在 ISP 级别使用中间对手 (AitM) 攻击来欺骗目标 Windows 10 安装,使其假设它位于强制门户后面。
MoustachedBouncer 确认使用的 ISP 是 Beltelecom(国有独资)和 Unitary Enterprise AI(最大的私营)。
ESET 认为,威胁行为者通过破坏 ISP 基础设施或与有权访问白俄罗斯网络服务提供商的实体合作来操纵流量来实现这一目标。
ESET 的报告解释说:“对于 MoustachedBouncer 所针对的 IP 范围,网络流量在 ISP 级别被篡改,后者 URL 重定向到看似合法但虚假的 Windows 更新 URL“updates.microsoft[.]com” 。
“因此,假冒的 Windows 更新页面将在网络连接时向潜在受害者显示。”
当目标 Windows 10 设备连接到网络时,它会将强制门户检查(用于检查设备是否连接到互联网)重定向到虚假的 Windows 更新 HTML 页面。
此页面使用 JavaScript 显示“获取更新”按钮,单击该按钮后会下载虚假的操作系统更新 ZIP 文件。
这个ZIP文件包含一个基于Go的恶意软件,它创建一个每分钟执行一次的计划任务,从看似谷歌云IP地址但很可能只是为了掩护的地方获取另一个可执行文件,即恶意软件加载程序。
MoustachedBouncer 自 2014 年以来使用的恶意软件负载是“NightClub”和“Disco”恶意软件工具包的各个版本,每个新版本都展示了显着的演变。
早期版本以文件监控和 SMTP(电子邮件)渗透以及命令和控制服务器通信为特色,而其作者后来添加了持久性机制和键盘记录器,
黑客在 2020 年至 2022 年期间使用的 NightClub 最新版本具有用于截取屏幕截图、录制音频、键盘记录以及为 C2 通信设置 DNS 隧道后门的新模块。
DNS 后门执行附加命令,为恶意软件提供文件、目录创建、读取和搜索功能以及进程操作功能。
此外,最新的 NightClub 使用硬编码的私有 RSA-2048 密钥来加密其字符串,而其配置存储在外部文件中,使其更具隐蔽性和多功能性。
ESET 无法确定 MoustachedBouncer 用于 NightClub 的感染渠道,因此该方面仍然未知。
Disco 是一种较新的恶意软件框架,通过之前描述的基于 AitM 的攻击链到达受害者,MoustachedBouncer 于 2020 年开始使用该攻击链。
Disco 使用多个基于 Go 的插件来扩展其功能,从而允许恶意软件:
Disco 还使用 SMB(服务器消息块)共享进行数据泄露,该协议主要用于共享访问文件、打印机和串行端口,因此不会直接传输到 C2 服务器。
MoustchedBouncer 的 C2 基础设施无法直接从公共互联网访问,这有效地将其隐藏起来,不让安全研究人员发现,并保护其免遭攻击。
ESET 建议驻白俄罗斯的外交官和大使馆员工在访问互联网时使用端到端加密 VPN 隧道来阻止 AiTM 攻击。
美国网络安全和基础设施安全局(CISA)发现名为“Whirlpool”的后门恶意软件用于攻击受损的梭子鱼电子邮件安全网关(ESG)设备。
今年5月,梭子鱼透露,一个疑似亲中国的黑客组织(UNC4841) 利用CVE-2023-2868 零日漏洞 进行数据盗窃攻击, 破坏了ESG(电子邮件安全网关)设备。
CVE-2023-2868 是一个严重程度极高(CVSS v3:9.8)的远程命令注入漏洞,影响 Barracuda ESG 版本 5.1.3.001 至 9.2.0.006。
后来发现,这些攻击 始于 2022 年 10 月 ,用于 安装以前未知的 名为 Saltwater 和 SeaSpy 的恶意软件,以及名为 SeaSide 的恶意工具,用于建立反向 shell,以便轻松进行远程访问。
梭子鱼没有通过软件更新来修复设备,而是 免费向所有受影响的客户提供 更换设备,这表明这些攻击的破坏性比最初想象的更大。
此后,CISA 分享了有关 攻击中部署的名为 Submariner 的其他恶意软件的更多详细信息。
昨天,CISA 披露了另一个名为“Whirlpool”[ VirusTotal ]的后门恶意软件的发现,该恶意软件被发现用于攻击 Barracuda ESG 设备。
Whirlpool 的发现使其成为针对 Barracuda ESG 的攻击中使用的第三个不同的后门,再次说明了为什么该公司选择更换设备而不是用软件修复它们。
CISA 更新的梭子鱼 ESG 恶意软件报告称,“该工件是一个 32 位 ELF 文件,已被识别为名为“WHIRLPOOL”的恶意软件变种 。
“该恶意软件从模块中获取两个参数(C2 IP 和端口号)来建立传输层安全 (TLS) 反向 shell。”
“传递参数的模块无法用于分析。”
从向 VirusTotal 提交的内容来看,Whirlpool 恶意软件似乎在“ pd ”进程下运行。
此前,梭子鱼于 2023 年 5 月 30 日在被黑的 ESG 设备上发现了 SeaSpy,这是一个持久的被动后门,伪装成合法服务,即“BarracudaMailService”,并代表威胁行为者运行命令。
2023 年 7 月 28 日,CISA 警告称,被入侵的 Barracuda 设备中存在一个先前未知的后门,名为“Submarine”。
Submarine 驻留在 ESG 的 SQL 数据库中,允许 root 访问、持久性以及命令和控制通信。
另一份文件中提供了妥协指标和 YARA 规则,可帮助检测 SeaSpy 和 Whirlpool 四种新发现的变种的感染。
如果您在梭子鱼 ESG 设备上发现可疑活动,或发现上述三个后门中的任何一个受到损害的迹象,我们建议您通过“report@cisa.gov”联系 CISA 的 24/7 运营中心,以帮助他们进行调查。
戴尔 Compellent Integration Tools for VMware (CITV) 中存在未修复的硬编码加密密钥缺陷,攻击者可利用该缺陷解密存储的 vCenter 管理员凭据并检索明文密码。
该漏洞编号为 CVE-2023-39250,是由所有安装共享的静态 AES 加密密钥引起的,该密钥用于加密程序配置文件中存储的 vCenter 凭据。
Dell Compellent 是一系列企业存储系统,提供数据处理、实时卷、精简配置、数据快照和克隆以及集成管理等功能。
但是,要集成客户端,必须使用 VMware vCenter 凭据进行配置,这些凭据存储在戴尔程序的加密配置文件中。
LMG Security 的研究员 Tom Pohl在一次渗透练习中发现,Dell CITV 包含一个静态 AES 加密密钥,该密钥对于所有安装的所有 Dell 客户来说都是相同的。
此 AES 加密密钥用于加密包含程序设置(包括输入的 vCenter 管理员凭据)的 CITV 配置文件。
由于 AES 是一种对称密码,因此它使用相同的密钥来加密和解密数据。这使得提取密钥的攻击者可以轻松解密配置文件并检索加密的密码。
Pohl 告诉 28u.cc:“戴尔软件需要管理 vCenter 凭据才能正常运行,并且它使用静态 AES 密钥保护配置文件中的这些凭据。”
“戴尔正在与 vCenter 服务器进行交互,并将其凭据保存在加密的配置文件中,该文件应该完全无法被戴尔软件以外的任何人或任何人查看。”
“攻击者不应该能够访问该文件的内容,但它是可以访问的。但是,由于这个新发现的漏洞,攻击者可以提取戴尔软件用于保护该文件内容的加密密钥。 ”
使用此 AES 密钥,Pohl 可以解密 Dell Compellent 配置文件并检索 VMware vCenter 管理员的用户名和密码,如下所示。
包含该密钥的服务器可以使用弱凭据(admin/admin)访问。然而,正如我们反复看到的那样,由于漏洞或不良做法,威胁行为者可以通过各种方式访问服务器。
此外,该问题可能会被有权访问 Dell CITV 的流氓内部人员或低权限外部攻击者利用。
在这种情况下,LMG 团队本可以进一步利用对域控制的访问权限,但选择创建一个域管理员帐户,利用网络管理员错误地将控制台解锁的机会。
分析师于 2023 年 4 月 11 日向戴尔发送了电子邮件,告知他们这一发现,但计算机和软件供应商最初驳回了该报告,误解了其范围。
经过进一步沟通,戴尔承诺在 2023 年 11 月之前推出修复程序。
由于标准的 90 天漏洞披露政策已经过期,Pohl 在题为“公共场所的私钥”的 DEFCON 会议上公开分享了他的研究成果。
Pohl 于 2020 年在 Netgear 和 Fortinet中发现了类似的硬编码密钥 ,随后得到了修复。
23 年 8 月 10 日更新: 本文发布后,戴尔与 BleepingComputer 分享了 CVE-2023-39250 的公告,建议用户更改 Compellent 设备的 root 密码作为缓解措施。
“Dell Technologies 发布了完整解决方法的说明,以解决适用于 VMware 产品的 Dell Storage Compellent Integration Tools 中的漏洞。客户应尽早查看戴尔安全通报DSA-2023-282以了解详细信息。我们产品的安全性是首要任务对于保护我们的客户来说是优先和关键的。”
但是,尚不清楚这将如何阻止本地用户提取 AES 密钥。
2023 年前 7 个月,网络犯罪生态系统持续快速发展。勒索软件数据泄露攻击、窃取者日志分发以及针对组织的新攻击持续大幅增加。
本文探讨了网络犯罪生态系统的关键组成部分、窃取者日志及其在更广泛的网络犯罪生态系统中的作用。
在过去三年中,信息窃取者恶意软件已成为网络犯罪最重要的媒介之一。
Infostealers 是远程访问木马 (RAT) 的一种形式,它会感染受害者计算机,窃取浏览器中保存的所有凭据以及会话 cookie,同时还会窃取其他敏感数据,例如信用卡信息、加密货币钱包数据和来自主机的其他信息。
然后,日志被使用或分发给其他网络犯罪分子,作为关键的初始向量,从而导致针对组织的金融欺诈、帐户接管攻击、勒索软件分发和数据泄露。
恶意软件即服务 (MaaS) 供应商不断开发信息窃取恶意软件的新变体,然后在专门的 Telegram 渠道中出售。我们今天看到的最常见的变体是RedLine、Vidar 和 Raccoon。
MaaS 供应商通常将其恶意软件打包在方便的每月订阅包中,这些包可以通过一定数量的加密货币轻松购买,并配有命令和控制 (C2) 基础设施以及可无缝管理数十万个窃取者日志的后端。
然后,威胁行为者只需确定将恶意软件分发给消费者的方法即可。
分发通常采取多种形式,其中最常见的一些形式是将信息窃取者有效负载添加到破解软件、网络钓鱼电子邮件、恶意广告和免费视频游戏货币广告中;infostealer 恶意软件主要以“喷雾和祈祷”的方式分布,很少用于有针对性的攻击。
一旦发生感染,数据就会以“窃取者日志”的形式渗透到恶意软件的后端基础设施。
左侧的屏幕截图显示了与常见信息窃取者变体相关的基础设施。这些列显示感染日期、国家/地区代码、标记重复项的复选框、凭据计数,最后是用于识别日志中高价值凭据的自动解析系统。
窃取者日志过去几乎只通过Genesis Market 和 Russian Market等流行的汽车商店在暗网在线商店上分发。
然而,近年来,越来越多的人采用消息平台Telegram来处理与网络犯罪相关的一切,包括窃取者日志分发;在每月收集的超过 100 万条独特日志中,我们目前看到超过 70% 的日志分布在 Telegram 频道上。
威胁行为者团体创建通常称为“云”的通道,他们将在其中出售对新收集的窃取者日志的访问权限,并收取订阅费。
除了出售“私人”频道的访问权限之外,这些团体通常还会有一个“公共”频道,他们在其中分发可被视为潜在买家通过购买其“私人”频道的订阅而获得的访问权限的样本。 。
每天,数千条窃取者日志分布在 Telegram 上,分布在数百个渠道中。
虽然这些渠道的大多数成员都在寻找一种简单的方法来快速赚钱,例如通过利用被盗的加密货币钱包或访问银行帐户,但其他更高级的用户将考虑利用提供的非法访问窃取者日志来破坏公司运营。
我们已经看到大量证据表明,初始访问经纪人(IAB)、在暗网论坛上运作并出售对公司网络和 IT 基础设施的访问权限的威胁行为者,使用日志作为初始访问的主要向量。
一旦 IAB 在公司网络中建立了立足点,访问权限本身就会在暗网论坛上拍卖。
根据所提供的访问级别,这些拍卖对于勒索软件附属机构来说可能很有价值,可以作为勒索软件攻击的“简单”切入点。
窃取者日志对消费者和组织都构成危险,消费者(感染的受害者)面临成为金融欺诈或加密货币盗窃受害者以及未经授权访问其帐户的风险,但数量惊人的窃取者日志也提供了一些企业获得各种服务。
最近的 Flare 分析发现,超过 350,000 个日志包含常用企业应用程序的凭据,包括单点登录 (SSO) 门户、云环境访问权限和其他高价值应用程序。
Flare 可自动检测数千万条窃取者日志中的企业凭据,为安全团队提供情境化的高价值警报。
Flare 的 SaaS 平台可自动检测导致勒索软件攻击、数据泄露和影响组织的其他形式网络犯罪的主要威胁。
注册免费试用,了解 Flare 如何在 30 分钟内将高价值的网络犯罪情报无缝集成到您的安全计划中。
如何安装fish shell工具呢?本文给出详细说明。
1.更新apt资源
sudo apt-get update
2.安装fish shell,等待安装完成
apt-get install fish
3.等待安装完成后运行
fish
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
