一个活跃的中国全球监控工具 ——
最近发现的一个名为 BPFdoor 的后门恶意软件已经秘密攻击 Linux 和 Solaris 系统五年多了,此前一直没有被发现。普华永道威胁情报中心将其归咎于中国威胁组织 Red Menshen。
研究人员能够检测到来自不同地区的组织中发生的 BPFdoor 活动,最明显的是美国、韩国、香港、土耳其、印度、越南和缅甸。这些组织包括政府系统、邮政和物流系统、教育系统等。
报告说,威胁行为者通过托管于一家知名供应商的虚拟专用服务器(VPS)向 BPFDoor 的受害者发送命令,这些VPS是通过设在台湾的受感染的路由器管理的,威胁者将其用作VPN隧道。报告说,大多数 Red Menshen 活动发生在周一至周五(周末没有观察到),大多数通信发生在1:00至10:00 UTC。这种模式表明,威胁行为者有一个持续的8~9小时的活动窗口,与当地工作时间一致的可能性很高。
在这里 看到报告。
#ThreatIntelligence
最近发现的一个名为 BPFdoor 的后门恶意软件已经秘密攻击 Linux 和 Solaris 系统五年多了,此前一直没有被发现。普华永道威胁情报中心将其归咎于中国威胁组织 Red Menshen。
研究人员能够检测到来自不同地区的组织中发生的 BPFdoor 活动,最明显的是美国、韩国、香港、土耳其、印度、越南和缅甸。这些组织包括政府系统、邮政和物流系统、教育系统等。
报告说,威胁行为者通过托管于一家知名供应商的虚拟专用服务器(VPS)向 BPFDoor 的受害者发送命令,这些VPS是通过设在台湾的受感染的路由器管理的,威胁者将其用作VPN隧道。报告说,大多数 Red Menshen 活动发生在周一至周五(周末没有观察到),大多数通信发生在1:00至10:00 UTC。这种模式表明,威胁行为者有一个持续的8~9小时的活动窗口,与当地工作时间一致的可能性很高。
在这里 看到报告。
#ThreatIntelligence
中国黑客组织正在入侵俄罗斯航空航天公司 ——
一个以前不为人知的中国黑客组织被称为 “太空海盗”,它以俄罗斯航空航天业的企业为目标,通过网络钓鱼邮件在俄罗斯公司的系统上安装新型恶意软件。
据信该威胁组织在2017年开始运作,虽然它与APT41(Winnti)、Mustang Panda 和 APT27 等已知组织有联系,但它被认为是一个新的恶意活动集群。
Positive Technologies 的俄罗斯威胁分析师将该组织命名为 “太空海盗”,因为他们的间谍行动侧重于从航空航天领域的公司窃取机密信息。
太空海盗APT组织被认为是针对位于俄罗斯、格鲁吉亚和蒙古的政府机构和涉及IT服务、航空航天和电力行业的企业。
威胁分析师在去年夏天的事件响应中首次发现了“太空海盗” 的活动迹象,并迅速确认,自2019年以来,该威胁行为者对至少四个以上的俄罗斯国内实体使用了相同的恶意软件和基础设施。
其中两个案例涉及有国家背景的俄罗斯公司,黑客们成功地破坏了这些公司。
在第一起案件中,威胁行为者将其对20台服务器的访问保持了10个月,窃取了1500多份文件、员工资料和其他敏感数据。
在第二个案例中,中国黑客在被入侵公司的网络中停留了一年多,抽走了机密信息,并将恶意软件安装到三个不同地区的12个公司的网络节点上。
#ThreatIntelligence #China #Russia
一个以前不为人知的中国黑客组织被称为 “太空海盗”,它以俄罗斯航空航天业的企业为目标,通过网络钓鱼邮件在俄罗斯公司的系统上安装新型恶意软件。
据信该威胁组织在2017年开始运作,虽然它与APT41(Winnti)、Mustang Panda 和 APT27 等已知组织有联系,但它被认为是一个新的恶意活动集群。
Positive Technologies 的俄罗斯威胁分析师将该组织命名为 “太空海盗”,因为他们的间谍行动侧重于从航空航天领域的公司窃取机密信息。
太空海盗APT组织被认为是针对位于俄罗斯、格鲁吉亚和蒙古的政府机构和涉及IT服务、航空航天和电力行业的企业。
威胁分析师在去年夏天的事件响应中首次发现了“太空海盗” 的活动迹象,并迅速确认,自2019年以来,该威胁行为者对至少四个以上的俄罗斯国内实体使用了相同的恶意软件和基础设施。
其中两个案例涉及有国家背景的俄罗斯公司,黑客们成功地破坏了这些公司。
在第一起案件中,威胁行为者将其对20台服务器的访问保持了10个月,窃取了1500多份文件、员工资料和其他敏感数据。
在第二个案例中,中国黑客在被入侵公司的网络中停留了一年多,抽走了机密信息,并将恶意软件安装到三个不同地区的12个公司的网络节点上。
#ThreatIntelligence #China #Russia
谷歌称“捕食者”间谍软件让政府黑客入侵 Chrome 和 Android ——
谷歌透露,政府支持的黑客正在使用可疑的间谍软件攻击其用户。
谷歌威胁分析小组的研究人员公布了三个使用名为 “Predator” 的间谍软件针对 Android 用户的入侵活动的详细信息。
根据该报告,总部位于北马其顿的私营公司 Cytrox 据称向政府背景的黑客出售了四个 零日漏洞 的访问权限,包括 Chrome 浏览器中的三个以及 Android 操作系统中的一个。
谷歌表示,购买这些信息的客户是多个国家与政府相关的威胁行为者。这些攻击者可能利用这些信息通过 Cytrox 公司开发的侵入性间谍软件“Predator”开展黑客活动。
谷歌的 TAG 团队称,他们去年发现的大多数零日漏洞都是由 Cytrox 等私人监控技术公司故意“开发”的。
#ThreatIntelligence
谷歌透露,政府支持的黑客正在使用可疑的间谍软件攻击其用户。
谷歌威胁分析小组的研究人员公布了三个使用名为 “Predator” 的间谍软件针对 Android 用户的入侵活动的详细信息。
根据该报告,总部位于北马其顿的私营公司 Cytrox 据称向政府背景的黑客出售了四个 零日漏洞 的访问权限,包括 Chrome 浏览器中的三个以及 Android 操作系统中的一个。
谷歌表示,购买这些信息的客户是多个国家与政府相关的威胁行为者。这些攻击者可能利用这些信息通过 Cytrox 公司开发的侵入性间谍软件“Predator”开展黑客活动。
谷歌的 TAG 团队称,他们去年发现的大多数零日漏洞都是由 Cytrox 等私人监控技术公司故意“开发”的。
#ThreatIntelligence
iyouport
这就是他们给我讲述世界末日的方式
Bugs是永远也修补不完的。因为它是政治,而不仅仅是技术问题
与中国有关的国家支持的网络攻击者正在通过破坏公共和私人领域的目标积极建立一个大型的攻击基础设施网络。
根据网络安全和基础设施安全局(CISA)、国家安全局(NSA)和联邦调查局的联合警报,攻击者正针对主要电信公司和网络服务提供商,对各种路由器、VPN和其他网络设备、以及网络附加存储(NAS)设备中的已知漏洞进行一系列利用。
根据该警报,这些网络设备随后被用作额外的接入点,用于路由指挥和控制(C2)流量,并作为中点对其他实体进行网络入侵 —— 据称所有这些都是为了窃取敏感信息。
网络攻击者 “通常通过访问被称为跳点的被破坏的服务器来进行入侵,这些跳点来自于许多 中国的IP地址,可以解析到不同的中国互联网服务供应商”,联邦调查局指出。
在混淆方面,CISA说它已经观察到这些攻击者团体监测网络防御者的账户和行动,根据需要修改他们正在进行的活动以保持不被发现。
这些攻击者还 “经常将其定制的工具集与公开可用的工具混合在一起,特别是利用网络环境中的原生工具,通过网络噪音或常规活动来掩盖其恶意活动。”
#ThreatIntelligence
根据网络安全和基础设施安全局(CISA)、国家安全局(NSA)和联邦调查局的联合警报,攻击者正针对主要电信公司和网络服务提供商,对各种路由器、VPN和其他网络设备、以及网络附加存储(NAS)设备中的已知漏洞进行一系列利用。
根据该警报,这些网络设备随后被用作额外的接入点,用于路由指挥和控制(C2)流量,并作为中点对其他实体进行网络入侵 —— 据称所有这些都是为了窃取敏感信息。
网络攻击者 “通常通过访问被称为跳点的被破坏的服务器来进行入侵,这些跳点来自于许多 中国的IP地址,可以解析到不同的中国互联网服务供应商”,联邦调查局指出。
在混淆方面,CISA说它已经观察到这些攻击者团体监测网络防御者的账户和行动,根据需要修改他们正在进行的活动以保持不被发现。
这些攻击者还 “经常将其定制的工具集与公开可用的工具混合在一起,特别是利用网络环境中的原生工具,通过网络噪音或常规活动来掩盖其恶意活动。”
#ThreatIntelligence
Unit 42 最近发现了一个名为 PingPull 的难以检测的新远程访问木马,该木马被一个高级持续性威胁(APT)组织 “GALLIUM” 使用。
Unit 42 监测了多个APT组织有关的基础设施。其中一个组织,GALLIUM(也被称为Softcell),通过针对在东南亚、欧洲和非洲运营的电信公司建立了自己的声誉。该组织的地理目标、特定行业的重点和技术熟练程度,加上他们使用已知的中国威胁行为者恶意软件以及战术、技术和程序(TTPs),导致行业评估认为 GALLIUM 可能是一个中国国家支持的骇客组织。
在过去的一年里,该组织的目标已经超出了电信公司的范围,现在还包括金融机构和政府实体。在此期间,已经可以确定 GALLIUM 基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的目标实体之间的若干联系。最重要的是,研究人员还发现该集团使用了一种名为 PingPull 的新远程访问木马。
PingPull 有能力利用三种协议(ICMP、HTTP(S)和原始TCP)进行指挥和控制(C2)。虽然使用ICMP隧道并不是新技术,但 PingPull 使用 ICMP 使其C2通信更难被发现,因为很少有组织会在其网络上实施ICMP流量检查。
在这里看到详细调查报告。
#ThreatIntelligence
Unit 42 监测了多个APT组织有关的基础设施。其中一个组织,GALLIUM(也被称为Softcell),通过针对在东南亚、欧洲和非洲运营的电信公司建立了自己的声誉。该组织的地理目标、特定行业的重点和技术熟练程度,加上他们使用已知的中国威胁行为者恶意软件以及战术、技术和程序(TTPs),导致行业评估认为 GALLIUM 可能是一个中国国家支持的骇客组织。
在过去的一年里,该组织的目标已经超出了电信公司的范围,现在还包括金融机构和政府实体。在此期间,已经可以确定 GALLIUM 基础设施与阿富汗、澳大利亚、比利时、柬埔寨、马来西亚、莫桑比克、菲律宾、俄罗斯和越南的目标实体之间的若干联系。最重要的是,研究人员还发现该集团使用了一种名为 PingPull 的新远程访问木马。
PingPull 有能力利用三种协议(ICMP、HTTP(S)和原始TCP)进行指挥和控制(C2)。虽然使用ICMP隧道并不是新技术,但 PingPull 使用 ICMP 使其C2通信更难被发现,因为很少有组织会在其网络上实施ICMP流量检查。
在这里看到详细调查报告。
#ThreatIntelligence
Unit 42
GALLIUM Expands Targeting Across Telecommunications, Government and Finance Sectors With New PingPull Tool
A new, difficult-to-detect remote access trojan named PingPull is being used by GALLIUM, an advanced persistent threat (APT) group.
这个声称针对俄罗斯网站进行DDoS攻击的应用程序是假的,它已经感染了很多亲乌克兰的活动人士 ——
谷歌的威胁分析小组 (TAG)的安全工程师 Billy Leonard 发现了一个名为 Cyber Azov 的恶意安卓应用,该应用事实上由俄罗斯APT组织 Turla 创建。
该应用程序宣称:“加入Cyber Azov,帮助阻止俄罗斯对乌克兰的*******。我们是一个由世界各地的自由人组成的团体,正在与******* 俄罗斯作斗争。我们正在招募那些愿意帮助我们的事业的积极人士 ……” 该网站还声称:“我们已经开发了一个安卓应用程序,正在攻击俄罗斯的互联网基础设施。”
这是威胁行为组织 Turla 分发安卓恶意软件的第一个已知案例。该应用程序的分发声称是为了对俄罗斯网站进行DDoS攻击,然而事实上,所谓的DDoS攻击只包括对目标网站的一个GET请求,这对攻击来说是基本上没用的:Leonard写道。
#Russia #ThreatIntelligence
谷歌的威胁分析小组 (TAG)的安全工程师 Billy Leonard 发现了一个名为 Cyber Azov 的恶意安卓应用,该应用事实上由俄罗斯APT组织 Turla 创建。
该应用程序宣称:“加入Cyber Azov,帮助阻止俄罗斯对乌克兰的*******。我们是一个由世界各地的自由人组成的团体,正在与******* 俄罗斯作斗争。我们正在招募那些愿意帮助我们的事业的积极人士 ……” 该网站还声称:“我们已经开发了一个安卓应用程序,正在攻击俄罗斯的互联网基础设施。”
这是威胁行为组织 Turla 分发安卓恶意软件的第一个已知案例。该应用程序的分发声称是为了对俄罗斯网站进行DDoS攻击,然而事实上,所谓的DDoS攻击只包括对目标网站的一个GET请求,这对攻击来说是基本上没用的:Leonard写道。
#Russia #ThreatIntelligence
中国GPS追踪器的关键漏洞允许攻击者控制车辆追踪 ——
- 来自 BitSight 的IS专家在流行的 MiCODUS MV720 GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球150多万辆汽车上。
- 成功利用所发现的漏洞,攻击者可以控制追踪器,在人们不知情的情况下追踪他们的位置、控制车辆燃料供应、甚至禁用警报器。
- 此外,脆弱的GPS追踪器甚至可以对整个国家的国家安全构成威胁,因为美国和欧洲的一些军事和政府组织都在使用MiCODUS。
#China #ThreatIntelligence
- 来自 BitSight 的IS专家在流行的 MiCODUS MV720 GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球150多万辆汽车上。
- 成功利用所发现的漏洞,攻击者可以控制追踪器,在人们不知情的情况下追踪他们的位置、控制车辆燃料供应、甚至禁用警报器。
- 此外,脆弱的GPS追踪器甚至可以对整个国家的国家安全构成威胁,因为美国和欧洲的一些军事和政府组织都在使用MiCODUS。
#China #ThreatIntelligence
Twitter泄漏 ——
540多万个Twitter账户的数据正在被出售。邮箱和电话号码,以及名人、公司和随机用户的私密信息,售价仅30,000美元。
攻击者利用了一个漏洞,该漏洞允许未经任何身份验证的一方通过提交电话号码/电子邮件来获取任何用户的Twitter ID。即使用户在他们的个人资料设置中禁用查找,也没用。一年前,一个类似的漏洞已经使得5亿Facebook用户的数据被盗。
这个漏洞在年初就被曝光,当时就被修复了,但是黑客早在去年12月就使用了这个漏洞。
#DataBreach #ThreatIntelligence
540多万个Twitter账户的数据正在被出售。邮箱和电话号码,以及名人、公司和随机用户的私密信息,售价仅30,000美元。
攻击者利用了一个漏洞,该漏洞允许未经任何身份验证的一方通过提交电话号码/电子邮件来获取任何用户的Twitter ID。即使用户在他们的个人资料设置中禁用查找,也没用。一年前,一个类似的漏洞已经使得5亿Facebook用户的数据被盗。
这个漏洞在年初就被曝光,当时就被修复了,但是黑客早在去年12月就使用了这个漏洞。
#DataBreach #ThreatIntelligence
CloudSEK的攻击面监控平台,发现了3207个应用程序,泄露了Twitter的API密钥,可以用来访问甚至直接接管Twitter账户,以执行关键/敏感的行动,如:
阅读DM信息;
转发;
点赞;
删除;
删除关注者;
关注任何账户;
获取账户设置;
更改显示图片;
🧬 https://cloudsek.com/download/20147/
#ThreatIntelligence
阅读DM信息;
转发;
点赞;
删除;
删除关注者;
关注任何账户;
获取账户设置;
更改显示图片;
🧬 https://cloudsek.com/download/20147/
#ThreatIntelligence
云服务Twilio和Cloudflare遭遇了通过短信进行的网络钓鱼攻击。两家公司的员工都上钩了,把他们的账户和密码泄露给了假网站。在 Twilio,攻击者成功获得了对系统和 “一些用户数据” 的访问。Cloudflare之所以能逃脱,是因为他们有物理安全密钥。
目前还不知道谁是这次袭击的幕后黑手。截图中是一个钓鱼短信的例子。就是这么简单。史上最愚蠢的社交工程。它居然还成功了。只能说明这些企业的安全设施有多差。
#ThreatIntelligence #SocialEngineering #Phishing
目前还不知道谁是这次袭击的幕后黑手。截图中是一个钓鱼短信的例子。就是这么简单。史上最愚蠢的社交工程。它居然还成功了。只能说明这些企业的安全设施有多差。
#ThreatIntelligence #SocialEngineering #Phishing
思科被与Lapsus$有关的阎罗王勒索软件入侵 ——
- 直到2022年8月10日,在黑客向暗网公布被盗文件清单后,该公司才证实入侵事件的存在。
- 调查显示,攻击者通过入侵一名员工的个人谷歌账户渗透到了思科的企业网络中,该账户在浏览器中存储了所有密码。
- 然后,其中一名黑客在与该员工的电话交谈中假装是一个受信任组织的代表,说服该员工接受负责多因素身份认证的应用程序的推送通知。这使得攻击者得以渗透到思科的企业网络中。
这说明思科的组织安全性太差了。“在浏览器中储存所有密码”这是最基本的操作安全性的大忌。接听电话却没有从其他渠道验证来电者身份,只能说明思科员工连最基本的安全性培训都没及格。
总之,整个过程愚蠢到不可思议的地步。
#Cisco #ThreatIntelligence
- 直到2022年8月10日,在黑客向暗网公布被盗文件清单后,该公司才证实入侵事件的存在。
- 调查显示,攻击者通过入侵一名员工的个人谷歌账户渗透到了思科的企业网络中,该账户在浏览器中存储了所有密码。
- 然后,其中一名黑客在与该员工的电话交谈中假装是一个受信任组织的代表,说服该员工接受负责多因素身份认证的应用程序的推送通知。这使得攻击者得以渗透到思科的企业网络中。
这说明思科的组织安全性太差了。“在浏览器中储存所有密码”这是最基本的操作安全性的大忌。接听电话却没有从其他渠道验证来电者身份,只能说明思科员工连最基本的安全性培训都没及格。
总之,整个过程愚蠢到不可思议的地步。
#Cisco #ThreatIntelligence
Signal表示,它已经泄露了1900名用户的电话号码和验证码。
这是由于Twilio(一家电话号码验证服务公司)的数据库被黑客入侵所致。
由于泄露的数据,攻击者有可能在另一台设备上重新注册账号,发送和接收信息。
🚩 再一次提醒,对于任何需要用户提供电话号码的应用或服务,您都应该当心。
🧬 https://support.signal.org/hc/en-us/articles/4850133017242
#Security #ThreatIntelligence
这是由于Twilio(一家电话号码验证服务公司)的数据库被黑客入侵所致。
由于泄露的数据,攻击者有可能在另一台设备上重新注册账号,发送和接收信息。
🚩 再一次提醒,对于任何需要用户提供电话号码的应用或服务,您都应该当心。
🧬 https://support.signal.org/hc/en-us/articles/4850133017242
#Security #ThreatIntelligence
This media is not supported in your browser
VIEW IN TELEGRAM
来自 Faraday Security 的研究人员在DEFCON上介绍了利用Realtek RTL819x系统芯片的关键 CVE-2022-27255 漏洞的细节。
这些芯片被60多家制造商用于网络路由器、接入点、Wi-Fi放大器、IP摄像机、物联网设备和其他网络设备,包括华硕、A-Link、Beeline、贝尔金、Buffalo、D-Link、Edison、华为、LG、Logitec、MT-Link、Netgear、Smartlink、UPVEL、中兴和Zyxel。
该漏洞允许通过发送特制的UDP数据包在设备上执行其代码,值得注意的是,它允许攻击那些已禁用外部网络访问的设备。
已经在公共领域发布了利用实例,以 Nexxt Nebula 300 Plus 路由器为例,获得对设备的远程访问并执行其命令。此外,分析固件漏洞的工具也已公布。
攻击成功后,受影响的设备可以被攻击者用来形成僵尸网络,部署后门以在企业内部网络中留下漏洞,拦截回程流量或将其重定向到外部主机。
#ThreatIntelligence
这些芯片被60多家制造商用于网络路由器、接入点、Wi-Fi放大器、IP摄像机、物联网设备和其他网络设备,包括华硕、A-Link、Beeline、贝尔金、Buffalo、D-Link、Edison、华为、LG、Logitec、MT-Link、Netgear、Smartlink、UPVEL、中兴和Zyxel。
该漏洞允许通过发送特制的UDP数据包在设备上执行其代码,值得注意的是,它允许攻击那些已禁用外部网络访问的设备。
已经在公共领域发布了利用实例,以 Nexxt Nebula 300 Plus 路由器为例,获得对设备的远程访问并执行其命令。此外,分析固件漏洞的工具也已公布。
攻击成功后,受影响的设备可以被攻击者用来形成僵尸网络,部署后门以在企业内部网络中留下漏洞,拦截回程流量或将其重定向到外部主机。
#ThreatIntelligence
超过80,000台脆弱的海康威视摄像机能让您监视“整个世界” ——
CYFIRMA安全研究人员发现超过80,000台海康威视摄像机包含一个关键的命令注入漏洞,可以通过对易受攻击的 Web 服务器的特殊请求轻松利用该漏洞。
据CYFIRMA称,俄语黑客论坛已经开始出售对易受攻击的海康威视摄像机网络的访问权,可用于建立僵尸网络。
据称,中国的威胁行为团体APT41和APT10正在瞄准海康威视的网络服务器,专门从事网络间谍活动的俄罗斯团体也是如此。
#ThreatIntelligence #China #Hikvision
CYFIRMA安全研究人员发现超过80,000台海康威视摄像机包含一个关键的命令注入漏洞,可以通过对易受攻击的 Web 服务器的特殊请求轻松利用该漏洞。
据CYFIRMA称,俄语黑客论坛已经开始出售对易受攻击的海康威视摄像机网络的访问权,可用于建立僵尸网络。
据称,中国的威胁行为团体APT41和APT10正在瞄准海康威视的网络服务器,专门从事网络间谍活动的俄罗斯团体也是如此。
#ThreatIntelligence #China #Hikvision
网络犯罪分子 “破解" 了LastPass密码管理器 ——
根据LastPass的声明,该事件是在两星期前被发现的,当时专家在密码管理器的部分开发环境中发现了可疑的活动。
黑客利用其中一名开发人员的受损账户,进入了LastPass的开发环境,然后窃取了一些源代码和有关密码管理器的技术信息。
该公司聘请了一家领先的网络安全和取证公司对这一事件进行调查,目前声称数据泄漏并没有泄露用户的主密码。
#ThreatIntelligence #PasswordManager #Security
根据LastPass的声明,该事件是在两星期前被发现的,当时专家在密码管理器的部分开发环境中发现了可疑的活动。
黑客利用其中一名开发人员的受损账户,进入了LastPass的开发环境,然后窃取了一些源代码和有关密码管理器的技术信息。
该公司聘请了一家领先的网络安全和取证公司对这一事件进行调查,目前声称数据泄漏并没有泄露用户的主密码。
#ThreatIntelligence #PasswordManager #Security
REvil 黑入中国家电制造商美的公司 ——
在沉寂数月之后,REvil威胁行为组织重新开始行动,声称从美的公司窃取了约400GB的数据,包括固件源代码和财务数据。
据黑客称,他们从PLM(产品生命周期管理)系统中窃取了所有数据,如图纸、固件源代码等,还从Git和SVN版本控制系统中窃取了信息,还有财务信息,黑客们愿意出售这些信息。
REvil 已经公布了大量据称从美的公司窃取的文件,包括物理和数字身份的扫描,内部 VMware vSphere 客户端的截图,多个7zip档案和一个SSH密钥。这是数月来最大的 REvil 黑客攻击。
中国企业美的集团拥有超过 15 万员工,200 多家子公司,收入超过 530 亿美元,在全球财富 500 强榜单中排名第 245 位。该公司还拥有德国机器人制造商 KUKA 的控股权。
#REvil #China #ThreatIntelligence
在沉寂数月之后,REvil威胁行为组织重新开始行动,声称从美的公司窃取了约400GB的数据,包括固件源代码和财务数据。
据黑客称,他们从PLM(产品生命周期管理)系统中窃取了所有数据,如图纸、固件源代码等,还从Git和SVN版本控制系统中窃取了信息,还有财务信息,黑客们愿意出售这些信息。
REvil 已经公布了大量据称从美的公司窃取的文件,包括物理和数字身份的扫描,内部 VMware vSphere 客户端的截图,多个7zip档案和一个SSH密钥。这是数月来最大的 REvil 黑客攻击。
中国企业美的集团拥有超过 15 万员工,200 多家子公司,收入超过 530 亿美元,在全球财富 500 强榜单中排名第 245 位。该公司还拥有德国机器人制造商 KUKA 的控股权。
#REvil #China #ThreatIntelligence
暗网中出现了一种新的恶意工具,All-in-One ‘Evil Extractor’。
该恶意软件用途广泛,可以窃取Windows用户的信息,还允许攻击者在目标机器上执行RCE,并且隐藏他们的恶意活动。
尽管 EvilExtractor 很容易获得,而且卖家保证该工具是为“教育目的” 而创建的,但它本身是一个足够严重的威胁,网络犯罪分子可以利用它来获取敏感信息。
EvilExtractor是使用Visual Basic脚本语言创建的,可以通过电子邮件附件或恶意网站传递。
一旦被安装,它可以收集存储在Chrome、Firefox、Edge、Internet Explorer和Safari等网络浏览器中的用户名和密码、FTP客户端FileZilla和WinSCP的登录凭据,以及Outlook和Thunderbird等电子邮件客户端的数据。
EvilExtractor还可以捕获存储在其他应用程序中的数据,如Notepad++或WinRAR。
除了从本地计算机窃取用户数据外,EvilExtractor还有几个功能,允许攻击者在被攻陷的系统上继续进行恶意活动。
例如,该工具允许执行任意代码,可用于安装额外的恶意软件,甚至为远程控制目的与系统建立后门连接。
它还包括一个反检测的功能,试图通过将自己伪装成合法的系统进程或在Windows计算机后台运行的服务来隐藏自己的存在,以逃避反病毒软件或防火墙的检查。
2023年3月已经记录到了恶意活动的激增,大多数受害者在欧洲和美国。
该软件的作者用户名为Kodex,自2022年10月以来,该恶意软件定期更新,包括各种模块,用于下载系统元数据、密码和各种网络浏览器的cookies,以及击键记录,而锦上添花的是,它还可以通过加密目标系统中的文件来充当勒索软件。
鉴于该软件的能力,EvilExtractor是一个严重的威胁,使用基于Windows系统的用户或组织不应掉以轻心。
🧬 https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer
#ThreatIntelligence #Wins
该恶意软件用途广泛,可以窃取Windows用户的信息,还允许攻击者在目标机器上执行RCE,并且隐藏他们的恶意活动。
尽管 EvilExtractor 很容易获得,而且卖家保证该工具是为“教育目的” 而创建的,但它本身是一个足够严重的威胁,网络犯罪分子可以利用它来获取敏感信息。
EvilExtractor是使用Visual Basic脚本语言创建的,可以通过电子邮件附件或恶意网站传递。
一旦被安装,它可以收集存储在Chrome、Firefox、Edge、Internet Explorer和Safari等网络浏览器中的用户名和密码、FTP客户端FileZilla和WinSCP的登录凭据,以及Outlook和Thunderbird等电子邮件客户端的数据。
EvilExtractor还可以捕获存储在其他应用程序中的数据,如Notepad++或WinRAR。
除了从本地计算机窃取用户数据外,EvilExtractor还有几个功能,允许攻击者在被攻陷的系统上继续进行恶意活动。
例如,该工具允许执行任意代码,可用于安装额外的恶意软件,甚至为远程控制目的与系统建立后门连接。
它还包括一个反检测的功能,试图通过将自己伪装成合法的系统进程或在Windows计算机后台运行的服务来隐藏自己的存在,以逃避反病毒软件或防火墙的检查。
2023年3月已经记录到了恶意活动的激增,大多数受害者在欧洲和美国。
该软件的作者用户名为Kodex,自2022年10月以来,该恶意软件定期更新,包括各种模块,用于下载系统元数据、密码和各种网络浏览器的cookies,以及击键记录,而锦上添花的是,它还可以通过加密目标系统中的文件来充当勒索软件。
鉴于该软件的能力,EvilExtractor是一个严重的威胁,使用基于Windows系统的用户或组织不应掉以轻心。
🧬 https://www.fortinet.com/blog/threat-research/evil-extractor-all-in-one-stealer
#ThreatIntelligence #Wins
转译俄语新闻 ——
您可以在亚马逊上购买的一些流行的安卓电视机顶盒其实并不像它们看起来那样无害。它们没有带来观看您最喜欢的电视节目的喜悦,而是带来了可怕的“额外功能”。
这是来自中国公司全志科技 (Allwinner Technology)和瑞芯微电子 (Rockchip)的 “礼物” ... 他们的一些机顶盒很受欢迎,这要归功于其实惠的价格标签和在亚马逊及阿里巴巴全球速卖通上成千上万的好评。
但是,这里有一个问题:您买回家的这些小玩意往往已经被安装了恶意软件。
这些机顶盒可以被连接到僵尸网络 —— 一个由受感染的设备组成的网络,它们参与窃取数据、挖掘加密货币,甚至组织对其他网站和服务器的DDoS攻击。
最重要的是:这些特定型号的机顶盒在俄罗斯和其他独联体国家非常普遍,因为它们在中国的阿里巴巴上大量销售。
截止新闻发布时,受感染的机顶盒型号仍在亚马逊上出售。
Подробнее: https://www.securitylab.ru/news/538285.php
#Security #ThreatIntelligence
您可以在亚马逊上购买的一些流行的安卓电视机顶盒其实并不像它们看起来那样无害。它们没有带来观看您最喜欢的电视节目的喜悦,而是带来了可怕的“额外功能”。
这是来自中国公司全志科技 (Allwinner Technology)和瑞芯微电子 (Rockchip)的 “礼物” ... 他们的一些机顶盒很受欢迎,这要归功于其实惠的价格标签和在亚马逊及阿里巴巴全球速卖通上成千上万的好评。
但是,这里有一个问题:您买回家的这些小玩意往往已经被安装了恶意软件。
这些机顶盒可以被连接到僵尸网络 —— 一个由受感染的设备组成的网络,它们参与窃取数据、挖掘加密货币,甚至组织对其他网站和服务器的DDoS攻击。
最重要的是:这些特定型号的机顶盒在俄罗斯和其他独联体国家非常普遍,因为它们在中国的阿里巴巴上大量销售。
截止新闻发布时,受感染的机顶盒型号仍在亚马逊上出售。
Подробнее: https://www.securitylab.ru/news/538285.php
#Security #ThreatIntelligence
SecurityLab.ru
Китайские TV-приставки на базе Android продаются с предустановленным вредоносным ПО
DDoS-атаки, майнинг и кража данных — стоит ли покупка дешёвого ТВ-бокса таких последствий?