黑客通过在论坛推送虚假恶意软件从其他黑客那里窃取信息

1、黑客通过在论坛推送虚假恶意软件从其他黑客那里窃取信息

两家公司的安全分析师发现了一个新的案例，黑客通过伪装成破解老鼠和恶意软件构建工具的剪贴板窃取者攻击黑客。剪贴板窃取者非常常见，通常用于监视受害者的剪贴板内容，以识别加密货币钱包地址，并将其替换为属于恶意软件运营商的地址。这使得攻击者能够在飞行中劫持金融交易，并将资金转移到他们的账户。这些窃取者专注于更流行的加密货币，如比特币、以太坊和Monero。

亚欧委员会的研究人员在“俄罗斯黑帽”等黑客论坛上发现了窃取剪贴板者的虚假报价骗子们用破解版的BitRAT和Quasar RAT吸引了有抱负的黑客，这两种商品恶意软件的标价通常在20美元到100美元之间。那些试图下载任何提供的文件的人会被引导到一个Anonfiles页面，该页面提供一个RAR存档，该存档被认为是所选恶意软件的构建器。这些档案中包含的“crack.exe”文件实际上是一个ClipBanker安装程序，它将恶意二进制文件复制到启动文件夹，并在第一次重新启动时执行。

第二份关于假冒盗贼的报告来自Cyble，Cyble的分析师在一个网络犯罪论坛上发现，该论坛提供了一个月的免费AvD加密盗贼服务。在这种情况下，受害者也会下载所谓的恶意软件生成器，并启动一个名为“Payload”的可执行文件。exe”，假设这将允许他们自由访问加密窃取者。[阅读原文]

 

2、十种臭名昭著的勒索软件面临加密速度测试

研究人员进行了一项技术实验，测试了十种不同的勒索软件，以确定它们加密文件的速度，并评估及时响应攻击的可行性。勒索软件是一种恶意软件，它枚举受损机器上的文件和目录，选择有效的加密目标，然后对数据进行加密，因此如果没有相应的解密密钥，数据将不可用。

这会阻止数据所有者访问文件，因此勒索软件攻击要么是为了数据破坏和运营中断，要么是为了财务勒索，要求支付赎金以换取解密密钥。设备的加密速度很重要，因为检测速度越快，造成的损坏就越小，需要恢复的数据量就保持在最低限度。

由于大多数勒索软件组在IT团队人手不足的周末攻击，大多数加密尝试都成功完成，因此加密时间不应成为防御者的重要考虑因素。最终，最好的防御措施是在侦察阶段，甚至在部署勒索软件之前，检测异常活动。

这包括查找可疑网络活动、异常帐户活动，以及检测攻击前常用的工具，如Cobalt Strike、ADFind、Mimikatz、PsExec、Metasploit和Rclone。[阅读原文]

 

3、FBI将俄罗斯网络犯罪市场所有者列入头号通缉名单

一名俄罗斯公民因涉嫌创建和管理网络犯罪市场而被美国司法部起诉，并被列入FBI的网络头号通缉犯名单。起诉书称，Dekhtyarchuk于2017年5月推出该市场，并从2018年4月开始在俄罗斯黑客论坛上推广。

“Dekhtyarchuk于2018年4月开始在俄罗斯语言黑客论坛上为出售受损账户数据做广告，并于2018年5月开设了Marketplace A。Dekhtyarchuk于2018年5月立即开始为Marketplace A及其出售的产品做广告，”司法部起诉书写道。截至2021年5月，德克塔古克，通过市场A，公开广告，他已经售出超过48000个折衷的电子邮件帐户，25000个受损的公司B帐户，以及19000个受损的公司A帐户。当买家从市场上购买设备访问时，据称Dekhtyarchuk或他的一名同事通过电报联系他们，并发送登录凭证或登录cookie，允许他们访问购买的设备或帐户。

Dekhtyarchuk已被列入FBI的网络头号通缉犯名单，罪名是网络欺诈、接入设备欺诈和严重身份盗窃。今年2021年6月，一项国际执法行动打垮了Slilpp，这是最大的被盗登录证书在线市场。[阅读原文]

4、新的Mustang Panda黑客攻击行动针对外交官、ISP

安全分析人员发现了Mustang Panda发起的恶意活动。该活动已使用名为Hodur和custom loaders的Korplug恶意软件的新变种运行了至少八个月。

Mustang Panda也被追踪为TA416，最近还参与了针对欧洲外交官的网络钓鱼和间谍活动。Korplug是一种定制恶意软件，广泛使用，但并非仅限于这一特定的威胁行为体。Mustang Panda的目标范围在过去几年中基本保持不变，因此威胁组织主要致力于更新其诱饵和改进其工具集。

ESET报告对精心设计的定制加载程序和新的Korplug（Hodur）变体进行了采样，它们仍然使用DLL侧加载，但现在在整个感染链中都有更重的模糊和反分析系统。恶意模块和加密的Korplug有效载荷与诱饵文档和合法可执行文件一起下载，将它们的执行结合起来，用于DLL端加载，以逃避检测。[阅读原文]

 

5、IT安全团队平均负责超过16万项资产

据JupiterOne称，捉襟见肘的 IT 安全团队可能会因必须保护的资产数量而不堪重负，尤其是云中的资产。这家安全供应商分析了近 1,300 个组织的 3.7 亿资产，以编制其2022 年网络资产状况报告。这些网络资产可能包括云工作负载、设备、网络资产、应用程序、数据资产和用户。

报告警告说，平均安全团队负责管理其中的 165,000 多个。对于每个人类员工来说，这相当于 500 个网络资产，因此自动化成为有效安全的必要条件。报告称，大部分挑战都围绕着云计算，占设备资产的 90% 和安全发现的 97%。尽管云网络资产的数量与物理网络的比例接近 60:1，但对 1000 万条安全策略的分析发现，只有不到 30% 的安全策略是特定于云的。包括主机和代理在内的设备数量与人员数量之比为 110:1，平均规模的团队负责管理 32,190 台设备。动态网络架构也对安全团队提出了越来越大的挑战。该报告称，静态 IP 地址现在占网络资产的比例不到 1%，而动态网络接口占 56%。JupiterOne 还警告称，供应链风险敞口正在增加。

对 2000 万个应用程序资产的分析发现，只有 9% 是内部开发的，91% 的代码是由第三方开发的。供应商的现场安全总监 Jasmine Henry 认为，云原生开发、微服务和横向扩展架构对过度工作、人手不足和技能不足的安全团队产生了重大影响。[阅读原文]