ISHACK AI BOT

流行的开源项目“ip”的 GitHub 存储库最近被其开发人员存档或设为“只读”，由于 Fedor Indutny 的项目收到了 CVE 报告，因此网上有人开始向他报告这个漏洞。 不幸的是，Indutny 的案例并非孤例。近年来，开源开发者收到的有争议的 CVE 报告数量不断增加，有些甚至是未经确认的伪造 CVE 报告。 这可能会导致这些项目的用户产生不必要的恐慌，并且安全扫描程序会生成警报，而所有这些都会成为开发人员的头痛之源。 “node-ip” GitHub 存储库已存档 本月初，“node-ip”项目的作者 Fedor Indutny 将该项目的 GitHub 存储库存档，实际上使其成为只读的，并限制了人们打开新问题（讨论）、拉取请求或向项目提交评论的能力。 node-ip GitHub repo 已存档并设为“只读” “node-ip”项目作为“ip”包存在于 npmjs.com 注册表中，每周下载量达 1700 万次，是 JavaScript 开发人员使用的最受欢迎的 IP 地址解析实用程序之一。 6 月底，Indutny 在社交媒体上表达了存档“node-ip”背后的理由与 CVE-2023-42282 有关，这是该项目今年早些时候披露的一个漏洞。 使用其他开放项目（例如应用程序中的 npm 包和依赖项）的 Node.js 开发人员可以运行“npm audit”命令来检查其应用程序所使用的这些项目中是否有针对它们的漏洞报告。 Bothered dev 的开发人员在社交媒体上表达了他的担忧 该 CVE 与实用程序无法正确识别以非标准格式（例如十六进制）提供给它的私有 IP 地址有关。这会导致“node-ip”实用程序将私有 IP 地址（十六进制格式）如“0x7F.1...”（代表 127.1...）视为公共 IP 地址。 如果应用程序仅依赖 node-ip 来检查提供的 IP 地址是否公开，则非标准输入可能会导致受影响的实用程序版本返回不一致的结果。 “可疑”的安全影响 公开消息称，CVE-2023-42282 最初的评分为 9.8，即“严重”。尽管 Indutny 在其项目的后续版本中修复了该问题，但他否认该漏洞构成了实际威胁，以及严重程度较高。 该开发人员早些时候写道：“我认为该漏洞的安全影响相当可疑”，并要求 GitHub 撤销 CVE。 正如 GitHub 安全团队成员所解释的那样，对 CVE 提出异议不是一件容易的事，它要求项目维护者追踪最初发布 CVE 的 CVE 编号机构 (CNA)。 CNA 通常包括 NIST 的 NVD 和 MITRE。过去几年，科技公司和安全供应商也加入了这一名单，并能够随意发布 CVE。这些 CVE 以及漏洞描述和报告的严重性评级随后被其他安全数据库（如 GitHub 公告）联合发布。 在 Indutny 在社交媒体上发布帖子后，GitHub 降低了其数据库中 CVE 的严重性，并建议开发人员开启私人漏洞报告，以便更好地管理传入的报告并减少噪音。 在撰写本文时，该漏洞在 NVD 上的严重程度仍然为“严重”。 日益严重的滋扰 CVE 系统最初旨在帮助安全研究人员以合乎道德的方式报告项目中的漏洞，并在负责任的披露后对其进行分类，但最近吸引了一部分社区成员提交未经核实的报告。 虽然许多 CVE 都是由负责任的研究人员善意提交的，并且代表了可信的安全漏洞，但最近出现了一种新模式，新手安全爱好者和漏洞赏金猎人表面上“收集”CVE 来丰富他们的简历，而不是报告构成现实世界、实际利用影响的安全漏洞。 因此，开发人员和项目维护人员进行了反击。 2023 年 9 月，著名软件项目“curl”的创建者 Daniel Stenberg 斥责了“虚假 curl 问题 CVE-2020-19909”，这是针对该项目报告的一个拒绝服务漏洞。 根据 NVD 的历史数据，这个现在备受争议的 CVE 的严重程度最初被评为 9.8 级或严重程度，但在随后的讨论中，该漏洞对安全造成的实际影响引发质疑，随后其评级被降至“低”3.3 级。 “这不是一个独特的例子，也不是第一次发生。这种情况已经持续多年了，”斯滕伯格在批评 CVE 条目时写道。 另一个 npm 项目 micromatch 每周下载量达 6400 万次，但报告称存在“高”严重程度的 ReDoS 漏洞，社区成员正在追查其创建者，询问这些问题。 针对未经验证的漏洞报告发布 CVE 的行为类似于针对项目、其创建者及其更广泛的消费者群体发起拒绝服务 (DoS)。 开发人员安全解决方案（例如 npm audit）旨在防止易受攻击的组件进入用户的应用程序，如果检测到任何已知漏洞，可能会触发警报，并且根据用户的设置，可能会破坏用户构建。 “几个月前 有人报告了针对该项目的一个关键 CVE，并认为其破坏了全球的构建，”一位评论员在 2023 年针对虚假的 curl CVE 做出反应时写道。 正如其他开发人员所说，这个问题并不是项目的安全问题，而是 Java 递归数据结构的固有性质。 平衡点在哪里 此类事件频发引发了人们的疑问：如何才能取得平衡？不断报告理论上的漏洞可能会让开源开发者（其中许多是志愿者）因筛选而精疲力竭。 另一方面，如果安全从业人员（包括新手）对他们认为的安全漏洞置之不理，不免给项目维护人员带来不便，这是否合乎道德？ 第三个问题出现在没有活跃维护者的项目上。多年无人触及的废弃软件项目包含漏洞，即使被披露，也永远不会被修复，而且没有办法联系其原始维护者。 在这种情况下，包括 CNA 和漏洞赏金平台在内的中介机构就陷入了困境。 在收到研究人员的漏洞报告后，这些组织可能并不总是能够独立地充分审查每一份此类报告。在没有得到（现已缺席的）项目维护者的意见的情况下，他们可能会被迫在“负责任的披露”窗口期过后分配和发布 CVE。 目前，这些问题均没有答案。 在安全研究人员、开发人员和供应商社区齐心协力找到有效的解决方案之前，开发人员必然会对虚假报告感到沮丧，而 CVE 系统也将充斥着夸大的“漏洞”，这些漏洞在纸面上看起来可信，但实际上毫无意义。

7月19日,微软在全球多地出现“蓝屏故障”,大量用户无法正常操作系统,其中不少出现了“csagent.sys”错误。其原因是美国网络安全服务提供商CrowdStrike更新错误所致。该事件影响到了世界各地的各种组织和服务，包括机场、电视台和医院等大型企业。 事发当天，大量用户反馈在安装 CrowdStrike Falcon Sensor 的最新更新后，Windows 主机陷入启动循环或显示蓝屏死机 (BSOD)。 该安全供应商承认了该问题，并发布了技术警报，解释称其工程师“发现了与此问题相关的内容部署并撤销了这些更改”。 CrowdStrike 的工程团队迅速应对了这一危机。根据该公司论坛上的一个置顶帖，该团队已确定与该问题相关的内容部署并恢复了这些更改。 CrowdStrike透露，罪魁祸首是一个通道文件，其中包含传感器的数据。由于它只是传感器更新的一个组件，因此可以单独解决此类文件，而无需删除 Falcon 传感器更新。 对于已经受到影响的用户，CrowdStrike 提供了以下解决方法： 1、将 Windows 启动到安全模式或 Windows 恢复环境 （1）重启你的电脑。 （2）当您的计算机重新启动时，按F8（或Shift + F8）打开高级启动选项菜单。 （3）选择Safe Mode并按 Enter。 2、删除相关文件 （1）导航到 C:\Windows\System32\drivers\CrowdStrike 目录。 （2）找到匹配“C-00000291*.sys”的文件，并将其删除。 3、重启电脑。 CrowdStrike 的首席执行官表示他们已经发布了修复程序，并建议客户下载最新更新。 CrowdStrike 首席执行官就故障更新导致 Windows 主机崩溃一事发表评论 在更新的声明中，CrowdStrike 表示“有问题的文件 [ C-00000291*.sys”，时间戳为 0409 UTC ] 已被恢复”，其正确版本是 C-00000291*.sys， 时间戳为 0527 UTC 或更新。 该公司还提供了两种解决云和虚拟环境中该问题的选项，一种是回滚到 UTC 04:09 之前的快照。第二种选择是以下七步程序： 1.从受影响的虚拟服务器中分离操作系统磁盘卷 2.在继续操作之前，请创建磁盘卷的快照或备份，以防发生意外更改 3.将卷附加/安装到新的虚拟服务器 4.导航到 %WINDIR%\System32\drivers\CrowdStrike 目录 5.找到匹配“C-00000291*.sys”的文件，并将其删除。 6.从新的虚拟服务器分离卷 7.将固定卷重新连接到受影响的虚拟服务器 对于此次微软蓝屏事件，奇安信安全专家汪列军表示： CrowdStrike软件更新导致Windows计算机瘫痪的主要原因是其核心驱动csagent.sys出现了bug，导致操作系统无法正常启动，甚至出现蓝屏。这种情况与一般应用程序不同，因为安全软件的驱动操作涉及操作系统底层，一旦出现问题就会直接影响系统稳定性。 这一事件影响广泛，特别是在亚太地区（如日本）首先显现，但也在欧美等其他地区引起了不小的波及。影响范围主要集中在使用CrowdStrike的外企及其在中国的分支机构，以及部分国外的云计算环境，尤其是基于Windows的应用实例。 虽然事件影响了多个Windows版本，但具体影响的范围可能因技术细节而有所不同。此外，虽然有简单的修复方法，例如手动删除或重命名相关驱动文件，但由于涉及大量机器且无法集中管理，修复过程相对耗时复杂，需要逐台操作。 综上所述，这一事件显示了安全软件更新可能带来的系统性风险，尤其是对大规模部署的影响管理和应急响应能力提出了挑战。 参考及文献来源： · https://gbhackers.com/crowdstrike-update-triggers-widespread/ · https://www.bleepingcomputer.com/news/security/crowdstrike-update-crashes-windows-systems-causes-outages-worldwide/ · 奇安信安全专家汪列军访谈解读。

Authy 是一款移动应用程序，可在启用 MFA 的网站上生成多因素身份验证码。 6 月底，一个名为 ShinyHunters 的威胁分子泄露了一个 CSV 文本文件，其中包含他们声称的在 Authy 服务上注册的 3300 万个电话号码。 Twilio 已确认，不安全的 API 端点允许威胁分子验证数百万 Authy 多因素身份验证用户的电话号码，而这使他们很容易就受到短信网络钓鱼和 SIM 卡交换攻击。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据 该 CSV 文件包含 33,420,546 行，每行包含一个帐户 ID、电话号码、一个“over_the_top”列、帐户状态和设备数量。 Twilio 现已证实，威胁分子使用未经身份验证的 API 端点编制了电话号码列表。Twilio 检测到威胁分子能够通过未经身份验证的端点识别，与 Authy 帐户相关的数据，包括电话号码。目前，Twilio 已采取措施保护此端点，不再允许未经身份验证的请求。 Twilio 接受媒体采访时表示“没有看到任何证据表明威胁分子获得了 Twilio 系统或其他敏感数据的访问权限。作为预防措施，我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获取最新的安全更新，并鼓励所有 Authy 用户保持警惕并提高对网络钓鱼和短信钓鱼攻击的认识。” 早在2022 年，Twilio 就披露其在 6 月和 8 月遭受了入侵，威胁分子得以入侵其基础设施并访问 Authy 客户信息。 滥用不安全的 API 据获悉，这些数据是通过将大量电话号码列表输入不安全的 API 端点汇编而成的。如果号码有效，端点将返回有关在 Authy 注册的关联帐户的信息。 现在该 API 已经得到保护，它不再被滥用来验证电话号码是否与 Authy 一起使用。 这种技术类似于威胁分子滥用不安全的 Twitter API 和 Facebook API 来编译包含公开和非公开信息的数千万用户的个人资料。 虽然 Authy 抓取的数据仅包含电话号码，但对于想要通过短信网络钓鱼和 SIM 卡交换攻击来窃取账户的用户来说，它们仍然是有利的。 ShinyHunters 在他们的帖子中提到了这一点，并表示“你们可以在 gemini 或 Nexo db 上加入”，建议威胁分子将电话号码列表与所谓的 Gemini 和 Nexo 数据泄露中泄露的电话号码列表进行比较。 如果发现匹配，威胁分子可能会尝试执行 SIM 卡交换攻击或网络钓鱼攻击来破坏加密货币交易账户并窃取所有资产。 Twilio 现已发布新的安全更新，并建议用户升级到包含安全更新的 Authy Android (v25.1.0) 和 iOS App (v26.1.0)。目前尚不清楚此安全更新如何帮助保护用户免受威胁者利用抓取的数据进行攻击。 Authy 用户还应确保其移动帐户配置为在未提供密码或关闭安全保护的情况下阻止号码转移。此外，Authy 用户应警惕潜在的短信网络钓鱼攻击，这些攻击试图窃取更敏感的数据，例如密码。 在一次看似无关的泄露事件中，Twilio 也开始发送数据泄露通知，因为第三方供应商不安全的 AWS S3 存储桶暴露了通过该公司发送短信的相关数据。

网络安全专家发现了一种名为“XFiles Stealer”的新型恶意软件，该恶意软件瞄准 Windows 用户窃取密码和其他敏感信息。 网络安全研究机构 MonThreat 通过其 X 官方频道公布了这一发现。 XFiles Stealer 新版本发布 XFiles Stealer 以 C 编程语言编写，已在暗网论坛上发布，并附带更新。Xfiles 可在 Windows 7 至 Windows 11 的机器上运行。它收集浏览器数据、cookie、密码、自动填充、信用卡等…… 根据分析，这种复杂的恶意软件对个人用户和企业组织都构成威胁。 X-Files Stealer 旨在通过各种媒介渗透 Windows 系统，包括网络钓鱼电子邮件、恶意下载和受感染的网站。 一旦安装，恶意软件就会秘密运行，逃避传统防病毒软件的检测。 它主要用于提取存储在网络浏览器、电子邮件客户端和其他应用程序中的密码。 被盗数据随后被传输到网络犯罪分子控制的远程服务器，网络犯罪分子可以利用这些数据进行身份盗窃、金融欺诈和其他恶意活动。 MonThreat 的分析表明，XFiles Stealer 采用了代码混淆和加密等先进技术来逃避检测。 鉴于 XFiles Stealer 的复杂性，网络安全专家建议应采取多种措施来防范此类威胁和类似的威胁。 ·首先，用户应确保其操作系统和软件已安装最新的安全补丁。 ·此外，采用具有实时保护功能的强大防病毒解决方案可以帮助检测并阻止恶意软件造成危害。 ·最后，建议用户在打开来自未知发件人的电子邮件或从不受信任的来源下载文件时要小心谨慎。 为在线账户启用多因素身份验证 (MFA) 可以提供额外的安全保障，即使密码被泄露，网络犯罪分子也更难以获得未经授权的访问。 随着数字格局的不断发展，及时了解 XFiles Stealer 等新兴威胁至关重要。通过采取主动措施保护系统安全，用户可以减轻这种危险恶意软件带来的风险，并保护他们的敏感信息不落入不法分子之手。

在数字化和智能化浪潮的推动下，网络安全产业正处于一个快速变革的时期。从传统的防御手段和被动的威胁应对，到如今主动预防和智能检测技术的普及，网络安全领域的焦点和需求正不断演进。为了更好的理解当前网络安全产业现状和未来发展方向，嘶吼安全产业研究院在2024年7月16日正式发布《嘶吼2024网络安全产业图谱》，旨在全面展示网络安全产业的构成及其重要组成部分，探索网络安全产业的竞争格局和发展前景。 本次《嘶吼2024网络安全产业图谱》通过市场调研、数据精析、文献研究及政策参考等多方面的综合分析，全面反映了网络安全行业的市场规模，揭示了产业化重点发展的方向，并展示了各细分领域在整个网络安全行业中的市场占比情况，深入分析了行业热门细分赛道的市场潜力和发展趋势。 嘶吼安全产业研究院希望通过本次发布的图谱，能够为各行业、研究机构和政府部门提供有价值的参考，助力他们在网络安全领域取得更大的进展和成就。嘶吼也将继续跟踪行业动态，及时发布研究成果，推动网络安全产业的健康发展，共同应对数字时代的安全挑战。 图谱概况： 全景示意图，高清完整版下载请在文末获取 《嘶吼2024网络安全产业图谱》调研共收到400+网络安全企业参报，嘶吼安全产业研究院通过全面的市场调研与数据分析，对收录企业进行筛选，重点展示综合能力较高或具有代表性的企业，为行业用户提供更精准的行业参考指南。本次图谱共涉及七大类别，127个细分领域。相比于2023年新增5个细分领域，下面为本次图谱新增与修改部分。 新增分类： · 基础技术与通用能力-身份和访问安全-单点登录（SSO） · 安全服务-攻防对抗与演练-网络靶场 · 应用与产业安全-工控安全-工控入侵检测系统（ICS IDS） · 应用与产业安全-工控安全-工控安全信息与事件管理（ICS SIEM） · 开发与应用安全-软件供应链安全-模糊测试（Fuzz Testing） 修改部分： · 网络接入管理（NAM）修改为 网络访问控制（NAC） · SIEM/SOC修改为：安全信息与事件管理（SIEM） · 删除大数据反欺诈细分 · 删除内部数据泄露细分 调研发现 根据嘶吼安全产业研究院调研数据显示，一级分类-安全服务收录占比36%，同比占比增长3.9%；一级分类-应用与产业安全收录占比19.1%，同比占比减少0.3%；一级分类-数据安全收录占比13.3%，同比占比减少2.9%。 根据以上数据可以看出，安全服务收录占比仍然持续增长，反映了各行业对于数据和信息安全日益关注，以及对专业安全服务的持续需求。应用与产业安全虽然占比减少了0.3%，但仍然保持了19.1%的收录。这表明，随着各行业数字化进程的深入推进，对各种应用场景的安全需求和行业特定解决方案的安全性要求也在不断提升。相对而言，数据安全领域的占比则出现了2.9%的减少，这可能部分反映了数据治理和合规性方面的挑战，以及对于新兴技术如AI和大数据安全性的不断探索和应对。 总体来看，网络安全产业依然以安全服务、应用与产业安全、数据安全这三大主流方向为核心。随着技术的进步和威胁的不断演变，未来网络安全市场将继续扩展和分化，各个子领域的专业化和深化将成为行业发展的重要趋势。 细分赛道方面，通过本次调研，排名TOP10的细分领域与收录占比分别是：渗透测试2.38%、演练保障2.13%、重保支持2.13%、安全意识培训2.11%、态势感知2.01%、漏洞检测1.91%、合规检测1.78%、安全运维管理1.61%、数据库安全1.56%、零信任1.48%。 细分领域的收录占比反映了市场对于各种安全挑战和需求的关注程度。渗透测试和演练保障等主要服务领域，强调通过模拟攻击和实际演练来评估和提升系统的安全性和应对能力。安全意识培训和合规检测则体现在人员培训和法规遵从方面的投资增加，意在提升组织内部安全意识和遵循行业标准的能力。而安全运维管理和数据库安全的占比反映了企业对于持续监控和保护关键业务运营和敏感数据的重视。 这些细分赛道不仅展示了网络安全行业的多样性和复杂性，也提示了企业在构建全面安全战略时需要综合考虑的各个方面。随着技术和威胁的不断进化，这些领域的发展和创新技术，将继续推动网络安全解决方案的演进与升级。 营收占比方面，根据嘶吼安全产业研究院调研的127个细分领域分析显示，下一代防火墙、安全集成、重保支持、安全运维管理、入侵检测与防御IPS/DPS、分别以7.41%、3.38%、2.22%、2.19%、2.06%的占比，占据前五位置。此外，根据调研数据统计，中国网络安全厂商的主要客户领域占比依次为：政府与公共机构、金融、运营商、商企。 根据嘶吼安全产业研究院数据可以看出，安全服务占据了最大的份额，体现出企业对专业安全解决方案的持续需求。细分领域中，下一代防火墙以其能够应对复杂威胁和高级攻击的能力，已成为企业首选的安全设备之一。安全集成服务通过整合不同的安全技术和产品，提供全面的安全解决方案，满足企业对于一体化安全管理的需求也成激增趋势。 热门领域Top10企业推荐： 嘶吼安全产业研究院通过广泛的市场调研和数据分析，从众多安全技术领域中精选出了十大热门领域，这些领域不仅在技术创新和市场需求上具有突出表现，也对整个行业的发展产生了深远影响。 在此基础上，嘶吼安全产业研究院参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，在各热门领域中评选出了Top10优秀安全企业： 1.下一代防火墙企业推荐： 2.身份访问管理(IAM)企业推荐： 3.车联网安全企业推荐： 4.工控系统安全防护企业推荐： 5.云原生安全企业推荐： 6.APT高级威胁与勒索软件防护企业推荐： 7.态势感知企业推荐： 8.数据防泄露(DLP）企业推荐： 9.动态防御企业推荐： 10.网络靶场企业推荐： 嘶吼2024网络安全产业图谱全图分解： 一、基础技术与通用能力 二、网络与通信安全 三、开发与应用安全 四、数据安全 五、终端安全 六、应用与产业安全 七、安全服务 最后，嘶吼郑重的感谢所有参与到嘶吼图谱绘制的各家厂商，不论是网络框架梳理到内容划分调整，亦或是申请入驻、参与对细分领域的调研等环节，行业同仁都对我们提供了莫大的帮助。再次表示诚挚的感谢！ 关注嘶吼公众号“嘶吼专业版”回复“2024图谱”获取《嘶吼2024网络安全产业图谱》完整版下载方式。

研究发现，黑客正试图利用现代事件日历 WordPress 插件中的漏洞（该漏洞存在于超过 150,000 个网站上），将任意文件上传到易受攻击的站点并远程执行代码。 该插件由 Webnus 开发，用于组织和管理现场、虚拟或混合活动。 攻击中利用的漏洞被标识为 CVE-2024-5441，并获得了高严重性评分（CVSS v3.1：8.8）。该漏洞由 Friderika Baranyai 于 5 月 20 日在 Wordfence 的 Bug Bounty Extravaganza 期间发现并报告。 在一份描述安全问题的报告中，Wordfence 表示，安全问题源于插件的“set_featured_image”函数缺乏文件类型验证，该函数用于上传和设置事件的特色图片。 该函数获取图像 URL 和帖子 ID，尝试获取附件 ID，如果未找到，则使用 get_web_page 函数下载图像。 它使用 wp_remote_get 或 file_get_contents 检索图像，并使用 file_put_contents 函数将其保存到 WordPress 上传目录。 现代事件日历版本（直至 7.11.0）不检查上传的图像文件中扩展名的文件类型，允许上传任何文件类型，包括有风险的 .PHP 文件。 一旦上传，这些文件就可以被访问和执行，从而可以在服务器上执行远程代码，并可能导致完全的网站接管。 任何经过身份验证的用户（包括订阅者和任何注册会员）均可利用 CVE-2024-5441。如果插件设置为允许非会员（没有帐户的访问者）提交事件，则无需身份验证即可利用 CVE-2024-5441。 Webnus 近日发布了现代事件日历 7.12.0 版本修复了该漏洞，可有效避免网络攻击风险的推荐升级。 然而，Wordfence 报告称，黑客已试图利用该问题进行攻击，并在 24 小时内阻止了 100 多次攻击尝试。 鉴于正在进行的攻击活动，现代事件日历和现代事件日历精简版（免费版）的用户应尽快升级到最新版本或禁用该插件，直到他们可以执行更新。

昨日，Ticketmaster 发布最新声明表示，黑客泄露了 166,000 张泰勒·斯威夫特时代巡回演唱会门票的 Ticketmaster 条形码数据，并警告说，如果不支付 200 万美元的勒索要求，将会泄露更多活动的信息。 自 5 月起，一个名叫 ShinyHunters 的威胁分子开始以 500,000 美元的价格出售 5.6 亿 Ticketmaster 客户的数据。 Ticketmaster 后来证实了数据泄露事件，并承认数据来自他们在 Snowflake 上的账户。据悉，Snowflake 是一家基于云的数据仓库公司，企业使用该公司来存储数据库、处理数据和执行分析。 今年 4 月，威胁分子开始利用恶意软件窃取的凭证下载至少 165 个组织的 Snowflake 数据库。威胁者随后勒索这些公司，要求他们支付费用以防止数据泄露或出售给其他威胁者。 已确认被窃取 Snowflake 账户数据的公司包括 Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage 和 Satander。 泰勒·斯威夫特巡演门票信息被泄露 昨日，一个名为 Sp1d3rHunters 的威胁分子泄露了他们所声称的 166,000 个泰勒·斯威夫特时代巡演条形码的门票数据，这些条形码可用于在各个音乐会日期入场。 Sp1d3rHunters（之前名为 Sp1d3r）是出售从 Snowflake 账户窃取的数据的威胁分子，并公开勒索各公司付款。 威胁情报服务 HackManac 最先分享的勒索要求是：“向我们支付 200 万美元，否则我们将泄露全部 6.8 亿用户信息和 3000 万个活动条形码，其中包括：泰勒·斯威夫特的更多活动、P!nk、Sting、体育赛事 F1 方程式赛车、MLB、NFL 和数千个其他活动。” 泰勒·斯威夫特演唱会门票信息在黑客论坛上泄露 该帖声称条形码数据是泰勒·斯威夫特即将在迈阿密、新奥尔良和印第安纳波利斯举行的演唱会的数据。 该帖子包含一小部分所谓的条形码数据样本，其中包含用于创建可扫描条形码的值、座位信息、票面价值和其他信息。威胁者进一步分享了如何将这些数据转换为可扫描条形码的详细信息。 虽然条形码数据不是威胁分子 5 月份发布的被盗 Ticketmaster 数据样本的初始泄露的一部分，但一些新泄露的数据可以在旧的泄露中找到，包括散列的信用卡和门票的销售订单信息。 这些攻击背后的组织是 ShinyHunters，多年来，该组织造成了多起数据泄露事件。其中包括 2020 年泄露 18 家公司的 3.86 亿条用户记录数据、影响 7000 万客户的 AT&T 数据泄露事件，以及最近泄露 Authy 多因素身份验证应用程序使用的 3300 万个电话号码。 Ticketmaster 随后称，唯一的条形码每隔几秒钟就会更新一次，因此被盗的门票无法使用。“Ticketmaster 的 SafeTix 技术通过每隔几秒自动刷新新的独特条形码来保护门票，以防止其被盗或复制。” Ticketmaster 还证实，他们没有与威胁者进行任何赎金谈判，并对 ShinyHunter 声称他们被出价 100 万美元以删除数据的说法表示是无稽之谈。

往期回顾： 2024.6.24—2024.6.30安全动态周回顾 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾 2024.5.27—2024.6.2安全动态周回顾 2024.5.20—2024.5.26安全动态周回顾 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾

在过去几年中，勒索软件攻击已成为最普遍和最昂贵的网络犯罪形式之一。最初，这些攻击涉及恶意软件，该恶意软件破坏加密受害者的数据，使受害者无法访问数据，直到向攻击者支付赎金。如今，这种策略已经演变，勒索软件运营商几乎在每起案件中都会先窃取敏感数据，然后对受害者进行威胁，声称如果不支付赎金，他们就会公开披露这些数据。 在某些情况下，攻击者甚至利用监管行动的威胁，或通过向监管机构和保险公司报告受害者的安全漏洞，导致网络保险政策失效。在其他情况下，他们可能会发起拒绝服务 (DoS) 攻击，以损害受害者的公众形象，或试图勒索受数据泄露影响的第三方，如客户或业务合作伙伴。单独使用或协同使用这些策略以增加受害者压力，迫使受害组织支付其赔偿金。 勒索软件产生的经济影响深远，影响着全球的企业、政府和个人。了解驱动勒索软件的经济因素对于制定有效的策略来对抗这一日益严重的危害至关重要。 RaaS：镜像合法的 SaaS 模型 2012 年年中，随着首个勒索软件即服务 (RaaS) Reveton 的推出，勒索软件生态系统也随之演变。这彻底改变了网络犯罪格局，让技术能力最差的人也更容易发动勒索软件攻击。 RaaS 模型反映了合法的软件即服务 (SaaS) 模型，开发人员创建和维护工具，并将其出租给关联公司，以换取部分利润。 RaaS 生态系统由开发人员、关联公司、访问代理等专家组成，每个人都扮演着自己的角色。开发人员编写复杂的勒索软件变体并定期提供更新以确保其有效性；关联公司是通过网络钓鱼电子邮件、漏洞利用工具包或受感染网站分发勒索软件的攻击者，而访问代理则出售受感染网络的访问权限。 自上而下的层级结构、多样化的收入来源和包括客户支持在内的业务功能已将 RaaS 转变为高利润的“组织”。 暗网是一个繁忙的地下犯罪市场，犯罪分子在这里买卖勒索软件工具包、被盗数据和支持服务。这些市场提供各种工具和服务，包括为网络犯罪分子提供客户支持，确保即使是初出茅庐的攻击者也能成功实施勒索软件活动。 网络犯罪团伙经常跨境活动，利用全球网络逃避执法部门的追捕。他们使用一切可能的工具，包括被入侵的服务器和匿名服务，进行混淆，让当局难以追踪和关闭他们的行动。 勒索软件攻击之所以如此普遍，是因为它们承诺以最小的努力获得最大的回报。赎金要求从数千美元到数百万美元不等，不幸的是，许多受害者为了尽快恢复对其数据和系统的访问权而支付赎金。一些备受关注的案件，例如 Colonial Pipeline 攻击中，赎金金额高达数百万美元。 实施勒索软件攻击所需的初始投资极少，尤其是在使用 RaaS 模型时。联盟成员可以无需预付任何费用，只需向开发人员支付他们收取的赎金的一定比例即可。这种低门槛加剧了这些攻击的扩散。 此外，勒索软件团伙的投资回报率非常高。成功攻击的潜在回报远远超过开发或租用勒索软件的成本。这种投资回报率使勒索软件成为犯罪分子引人注目的商业模式，因此其受欢迎程度正在飙升。 犯罪的数字货币 加密货币在勒索软件经济中扮演着核心角色，因为它提供了传统支付方式无法比拟的匿名性和隐私性。不法分子通常要求以比特币或门罗币等加密货币付款，这些货币难以追踪，并能保持其身份匿名。 使用加密货币进行交易既快捷又简单，便于快速付款和验证。这种速度和简便性非常适合想要立即获得赎金的攻击者和希望尽快恢复运营的受害者。 此外，执法部门在追踪和扣押用于不法目的的加密货币方面面临重大障碍。加密货币的去中心化性质和匿名技术的使用使得追踪交易和追回资金变得极其困难。 虽然有一些成功的追回行动，比如扣押了部分 Colonial 输油管道赎金，但在大多数情况下，这些钱已经一去不复返。 计算公司的成本 遭受勒索软件攻击的实体必须支付直接成本，包括赎金和与恢复和补救相关的费用。即使不支付赎金，从备份中恢复数据和加强安全性的相关成本也可能相当可观。 勒索软件攻击的间接成本往往更具破坏性，事件和恢复期间的停机和生产力损失会严重影响业务运营。此外，声誉损害和客户信任丧失是无法估量的，并会产生长期的财务后果，影响公司的盈利。事实上，到 2031 年，勒索软件攻击给受害者造成的损失估计每年将达到 2650 亿美元 (USD)。 攻击频率和攻击数量的增加也导致网络安全保险费飙升，网络安全措施支出也大幅增加。企业正在加大对员工培训、高级安全工具和事件响应计划的投资，以降低未来攻击的风险。 限制财务影响 主动的网络安全措施对于防御勒索软件至关重要。实施端点和反勒索软件保护、补丁管理和访问控制可以大大降低成功攻击的风险。 数据备份等防御措施可以帮助用户限制勒索软件的影响，而弹性和程序测试可以帮助用户有效地从攻击中恢复并减少运营中断。最后，员工培训和意识计划对于防止勒索软件攻击至关重要。 另一方面，管理加密货币的网络安全框架和促进国际合作对于打击勒索软件至关重要。更好的反洗钱 (AML) 和了解客户 (KYC) 法规有助于降低加密货币交易的匿名性，而国际合作则有助于跨境抓捕和起诉这些团伙。 复杂且不断演变的威胁 勒索软件是一种复杂且不断演变的威胁，由于实在太有利可图，因此在网络安全生态环境中绝不会很快消失。然而，了解顶级勒索软件组织的策略和这种威胁背后的经济动态可以帮助企业制定更有效的策略来对抗它。 多管齐下的方法，例如包括加强网络防御、完善法规和提高意识等措施，都对减轻勒索软件的风险和影响至关重要。

一个规模巨大的恶意软件活动（可能由同一组织运行）正在使用名为“WEXTRACT.EXE .MUI”的人工嵌套文件进行分发。 全球范围内有超过50,000个文件采用这种方法进行分发，涉及的恶意软件包括Redline、RisePro和Amadey等窃取器和加载器。 一些样本与东欧网络犯罪分子相关的自治系统有关，OutPost24 的网络安全研究人员近日检测到一个新的黑客组织正在同时使用 10 种恶意软件攻击系统。 同时出现 10 种恶意软件 “WEXTRACT.EXE .MUI”恶意软件分发系统利用嵌套的CAB文件来分发大量恶意软件样本，例如窃取程序和加载程序。 该方法的执行序列复杂，会以相反的顺序释放和运行恶意软件，从而可能导致绕过安全措施。由于加载器可能会下载更多的恶意软件，因此该技术可能会导致多重感染。 从 2023 年 2 月到 2024 年初，大规模的恶意软件分发活动嵌套了多个恶意软件家族，例如 Redline、Mystic Stealer、RisePro、Amadey 和SmokeLoader。 该活动随着时间的推移而发展，融合了混淆工具和不同的分发方法。超过两千一百个实例的检查显示，一些恶意软件组合可能导致受害者同时感染多种窃取器和加载器。 这表明，此次活动的基础设施和策略背后有一个单一参与者。 WEXTRACT 样本的分布步骤 分发名为“Unfurling Hemlock”的恶意软件的活动很可能从其他参与者那里购买分发服务。 其最早阶段存在于电子邮件附件以及从被黑客入侵或欺诈网站下载的内容中。 该基础设施主要基于 AS 203727，使用独有 IP 和共享 IP 来分发 WEXTRACT 和其他恶意软件。这表明只有一个参与者负责该活动，但将其部分分发给其他委托人。 该恶意软件活动使用不同的 C2 URL 和 IP 地址，其中一些是 WEXTRACT 相关恶意软件所特有的，另一些则是其他活动所共有的。 基础设施的多样性支持了这样的推测：该攻击者可能受到经济利益的驱使，提供来自其他活动的样本。 虽然上传地点不一定代表实际的感染地点，但感染源遍布多个国家。 如图所示： 样本来源 与通常的趋势不同，这次大规模恶意软件攻击主要针对包括俄罗斯在内的西方机构。此次行动同时启动了不同类型的恶意软件，以此增加感染的可能性并提高回报。 尽管现在还不够完善，但不排除这种“集束炸弹”方法未来仍有可能被威胁分子采用。 因此，安全研究人员建议使用最新的反恶意软件工具，对打包文件进行分析，并提高用户警惕，对可疑的电子邮件保持谨慎。

近期，安全研究人员发现了一种分发 Remcos 远程访问木马 (RAT) 的新方法。这种恶意软件可以让攻击者完全控制受感染的系统，并通过包含缩短URL 的恶意 Word 文档进行传播。 这些URL会导致下载Remcos RAT，该木马可用于数据窃取、间谍活动以及其他恶意活动。理解感染链条并识别此类攻击的迹象对于减少这些威胁至关重要。 感染链分析 这种攻击通常始于一封包含.docx附件的电子邮件，旨在欺骗接收者。在检查该文件时，发现其中包含一个缩短的URL，显示出恶意意图。该URL会重定向至下载以RTF格式存在的Equation Editor恶意软件的变种。 通过利用Equation Editor的漏洞（CVE-2017-11882），这种恶意软件试图下载一个由一长串连接的变量和字符串组成的VB脚本，可能经过编码或混淆处理。 这些字符串形成一个编码的有效负载，可以稍后在脚本中解码或执行。 该VB脚本解混淆后变成PowerShell代码，尝试通过隐写术图像和反向Base64编码的字符串下载恶意二进制文件。 尽管进行了一次命令与控制（C2）的调用，但也存在TCP重新连接，表明C2可能不可用。 被动DNS分析确认了C2域名，但它们目前处于停用状态。 攻击细节 该文档（SHA1：f1d760423da2245150a931371af474dda519b6c9）包含两个关键文件：settings.xml.rels 和 document.xml.rels，位于 word/_rels/。 Settings.xml.rels 文件显示了一个缩短的 URL，负责下载感染的下一阶段： 在沙盒环境中运行该.docx文件发现它包含CVE-2017-0199漏洞。利用此漏洞后，该文档将尝试连接到远程服务器以下载恶意文件。 攻击者使用URL缩短服务来掩盖恶意URL，使受害者难以识别风险，并帮助绕过可能会标记可疑URL的安全过滤器。进一步调查 \word\embeddings 文件夹，发现 oleObject bin 文件中嵌入了 PDF 文件。 PDF 文件看似无害，显示某公司与银行之间的交易。但真正的威胁在于通过缩短的 URL 下载的 RTF 文件（SHA1：539deaf1e61fb54fb998c54ca5791d2d4b83b58c）。 该文件利用公式编辑器漏洞下载 VB 脚本（SHA1：9740c008e7e7eef31644ebddf99452a014fc87b4）。 混淆和有效载荷投递 VB 脚本是一串连接变量和字符串的长字符串，可能是编码或混淆的数据。 重要变量“remercear”由反复连接各种字符串文字构成，表明它包含编码信息或命令。 去混淆后，PowerShell 代码尝试从两个不同的 URL 下载恶意二进制文件。 第一个 URL 使用隐写术将恶意软件隐藏在图像中：隐写图像 该图像包含一个长的Base64编码字符串，其中前六个字节解码为'MZ'，表明存在一个Windows可执行文件。 第二个 URL 与 IP 地址通信以检索包含反向 Base64 编码字符串的 TXT 文件。 这增加了一层混淆，从而逃避了简单的检测机制。 使用 Cyber Chef 等工具，对字符串进行反转，并对 Base64 进行解码以显示恶意负载（SHA1：83505673169efb06ab3b99d525ce51b126bd2009）。 监控这些进程发现与潜在 C2 服务器（IP：94[.]156[.]66[.]67:2409）的连接目前已关闭，导致 TCP 重新连接。 在Word文档中使用缩短URL来分发Remcos RAT突显了网络犯罪分子不断进化的策略。 通过理解感染链条并识别此类攻击的迹象，个人或企业组织可以更好地保护其免受这些威胁。所以，请始终谨慎处理未经请求的带附件的电子邮件，并避免点击来自未知来源的缩短URL。

往期回顾： 2024.6.17—2024.6.23安全动态周回顾 2024.6.10—2024.6.16安全动态周回顾 2024.5.27—2024.6.2安全动态周回顾 2024.5.20—2024.5.26安全动态周回顾 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾 2024.4.29—2024.5.5安全动态周回顾

一种新发现的 Linux 恶意软件被称为“DISGOMOJI”，它使用一种新颖的方法，利用表情符号在受感染的设备上执行命令，并以此攻击了印度的政府机构。 该恶意软件是由网络安全公司 Volexity 发现的，该公司认为它与巴基斯坦的威胁行为者“UTA0137”有关。 2024 年，Volexity 发现了一个疑似巴基斯坦威胁分子发起的网络间谍活动，Volexity 目前以别名 UTA0137 跟踪该活动。 该恶意软件与用于不同攻击的许多其他后门/僵尸网络类似，允许威胁分子执行命令、截取屏幕截图、窃取文件、部署其他有效负载以及搜索文件。然而，它使用 Discord 和表情符号作为命令和控制 (C2) 平台，这使得该恶意软件与众不同，并可能使其绕过寻找基于文本的命令的安全软件。 Discord 和表情符号作为 C2 据 Volexity 称，研究人员在 ZIP 存档中发现了一个 UPX 封装的 ELF 可执行文件，该可执行文件很可能是通过钓鱼邮件传播的，之后研究人员发现了该恶意软件。 Volexity 认为，该恶意软件的目标是印度政府机构用作桌面的定制 Linux 发行版 BOSS。然而，该恶意软件同样可以轻易用于攻击其他 Linux 发行版。 恶意软件运行时会下载并显示一个 PDF 诱饵，该诱饵是印度国防军官公积金的受益人表格，用于军官死亡时使用。 但是，还会在后台下载其他有效载荷，包括 DISGOMOJI 恶意软件和名为“uevent_seqnum.sh”的 shell 脚本，用于搜索 USB 驱动器并从中窃取数据。 当 DISGOMOJI 启动时，恶意软件将从机器中窃取系统信息，包括 IP 地址、用户名、主机名、操作系统和当前工作目录，并将这些信息发送回攻击者。 为了控制恶意软件，威胁者利用开源命令和控制项目 discord-c2，该项目使用 Discord 和表情符号与受感染的设备进行通信并执行命令。恶意软件将连接到攻击者控制的 Discord 服务器，并等待威胁者在频道中输入表情符号。 DISGOMOJI 在 Discord 服务器上的命令通道中监听新消息。C2 通信使用基于表情符号的协议进行，攻击者通过向命令通道发送表情符号向恶意软件发送命令，并在表情符号后附加其他参数（如果适用）。 当 DISGOMOJI 正在处理命令时，它会在命令消息中用“时钟”表情符号做出反应，让攻击者知道命令正在处理中。命令完全处理后，“时钟”表情符号反应将被删除，DISGOMOJI 会在命令消息中添加“复选标记按钮”表情符号作为反应，以确认命令已执行。 九个表情符号用于表示在受感染设备上执行的命令，如下所示。 该恶意软件通过使用@reboot cron命令在启动时执行恶意软件来保持在Linux设备上的持久性。 Volexity 表示，他们发现了其他版本，这些版本利用了 DISGOMOJI 和 USB 数据窃取脚本的其他持久性机制，包括 XDG 自动启动条目。 一旦设备被攻破，威胁者就会利用其访问权限进行横向传播，窃取数据，并试图从目标用户那里窃取更多凭据。

黑客利用LNK（Windows快捷方式）文件传播恶意软件，因为它们能够携带恶意代码，在单击快捷方式时自动执行。尽管LNK文件表面看似无害，但它们实际上可以触发恶意软件下载或其他恶意操作，因此成为Windows系统上有效的初始感染方式。 最近，ASEC网络安全研究人员发现，威胁行为者积极利用武器化的Windows快捷方式文件来部署无文件的“RokRat”恶意软件。 无文件的RokRat恶意软件 AhnLab 证实，RokRat 恶意软件一直在针对韩国用户，尤其是与朝鲜问题相关的用户。已知的恶意LNK文件名称包括： · National Information Academy 8th Integrated Course Certificate (Final).lnk · Gate access roster 2024.lnk · Northeast Project (US Congressional Research Service (CRS Report).lnk · Facility list.lnk 已确认的 LNK 文件属性（来源 - ASEC） 这些恶意LNK文件通过CMD执行PowerShell，与去年的RokRAT样本相似。值得注意的是，它们在LNK文件中捆绑了以下内容以增加社会工程诱惑： · 合法文件 · 脚本 · 恶意PE负载 运营结构（来源 – ASEC） 当LNK文件运行时，它会使用PowerShell创建一个合法文档诱饵，然后在公共文件夹中创建三个文件（find.bat、search.dat、viewer.dat）。find.bat运行search.dat，它以无文件方式执行viewer.dat中的RokRAT后门有效负载。 RokRAT能够收集用户数据并接收命令，并将窃取的信息泄露到攻击者的云服务器（如pCloud、Yandex和DropBox），同时将请求伪装成Googlebot。利用无文件技术的多阶段执行过程旨在逃避检测。 有关所使用的云 URL 的详细信息（来源 - ASEC） RokRAT能够运行命令、显示目录、删除启动文件、收集启动/应用程序数据/最近的文件列表以及收集系统和网络信息。攻击者在渗透到云基础设施（例如伪装成 Googlebot 的 pCloud）之前，被盗数据会存放在临时文件夹中。已知的攻击者电子邮件地址包括[email protected]、[email protected]、[email protected]和[email protected]。 威胁行为者经常瞄准与韩国统一、军事或教育部门相关的目标，涉及这些领域的组织应格外警惕此类性质的持续攻击。 IoCs · b85a6b1eb7418aa5da108bc0df824fc0 · 358122718ba11b3e8bb56340dbe94f51 · 35441efd293d9c9fb4788a3f0b4f2e6b · 68386fa9933b2dc5711dffcee0748115 · bd07b927bb765ccfc94fadbc912b0226 · 6e5e5ec38454ecf94e723897a42450ea · 3114a3d092e269128f72cfd34812ddc8 · bd98fe95107ed54df3c809d7925f2d2c

上个月，上个月，全球最大的印刷电路板组件 (PCBA) 制造商之一 Key Tronic 在一份提交给美国证券交易委员会的文件中披露，该公司在 5 月遭受了网络攻击，导致其运营中断，并限制了对支持公司活动的业务应用程序的访问，目前正常运营已经恢复。 此次袭击和生产损失将对Key Tronic截至 2024 年 6 月 29 日第四季度的财务状况产生重大影响。 该公司表示，已经花费了约 60 万美元用于聘请外部网络安全专家，而且这些费用可能还会继续增加。 虽然 Key Tronic 并未将此次攻击归咎于某个特定的威胁组织，但 Black Basta 勒索软件团伙声称对此次攻击负责，并泄露了他们所称的 100% 被盗数据，该公司的调查证实了威胁者在攻击期间窃取了个人信息。 Black Basta 数据泄露网站上的 Key Tronic 条目 威胁者声称，此次攻击窃取了人力资源、财务、工程和公司数据，并分享了员工护照和社会保障卡、客户演示文稿和公司文件的截图。 相关媒体向 Key Tronic 询问有多少人受到数据泄露的影响，但并未收到答复。 Black Basta Black Basta 勒索软件团伙于 2022 年 4 月启动，由 Conti 勒索软件团伙的前成员组成，他们在关闭后分裂成几个小团体。 Black Basta 目前已经成为最重大的勒索软件组织之一，发起过大量攻击，包括针对 Capita、现代欧洲分部、多伦多公共图书馆、美国牙科协会的攻击，以及最近针对美国医疗保健巨头 Ascension 的勒索软件攻击。 上个月，CISA 和 FBI 透露，该勒索软件组织在 2022 年 4 月至 2024 年 5 月期间入侵了 500 个组织，窃取了 16 个关键基础设施部门中至少 12 个部门的数据。

往期回顾： 2024.6.10—2024.6.16安全动态周回顾 2024.5.27—2024.6.2安全动态周回顾 2024.5.20—2024.5.26安全动态周回顾 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾

2024 年 6 月，大型计算公司 AMD 遭遇数据泄露。泄露的数据包括：未来的 AMD 产品、规格表、员工数据库、客户数据库、属性文件、ROM、源代码、固件和财务状况。 据报道，仅员工数据库中就包含了用户 ID、名字和姓氏、职务、公司电话号码、电子邮件地址和就业状况等多重信息。 目前，威胁者分享了一些被盗的 AMD 凭证的截图，但尚未透露他们将以多少钱出售这些凭证以及如何获得这些凭证。 黑客论坛帖子涉嫌出售 AMD 数据 据悉，此次 AMD 数据泄露事件出自网络威胁分子 IntelBroker 之手。IntelBroker 最出名的事件是 DC Health Link 的泄密事件，该事件在泄露美国众议院议员和工作人员的个人数据后引发了国会听证会。 最近，IntelBroker 还泄密了欧洲刑警组织专家平台 (EPE)，这是一个用于在国际执法机构之间共享信息的网络门户。 除此之外，2022 年 6 月，AMD 还遭到了 RansomHouse 勒索团伙的网络攻击，该团伙声称窃取了 450GB 的数据信息。

一项新的网络钓鱼活动正滥用 Windows 搜索协议 (search-ms URI) 的 HTML 附件来推送托管在远程服务器上的批处理文件，从而传播恶意软件。 Windows Search 协议是一种统一资源标识符 (URI)，它使应用程序能够打开 Windows 资源管理器以使用特定参数执行搜索。 虽然大多数 Windows 搜索都会查看本地设备的索引，但也可以强制 Windows 搜索查询远程主机上的文件共享并使用自定义标题作为搜索窗口。 攻击者可以利用此功能在远程服务器上共享恶意文件。2022 年 6 月，安全研究人员设计了一个强大的攻击链，该攻击链还利用了 Microsoft Office 漏洞直接从 Word 文档启动搜索。 Trustwave SpiderLabs 的研究人员在报告中说，这种技术已被威胁分子广泛使用，他们使用 HTML 附件在攻击者的服务器上启动 Windows 搜索。 滥用 Windows Search Trustwave 报告中描述的近期攻击始于一封恶意电子邮件，该邮件带有一个伪装成发票文档的 HTML 附件，该附件位于一个小型 ZIP 存档中。ZIP 有助于逃避可能无法解析存档中的恶意内容的安全/AV 扫描程序。 电子邮件附件 该HTML文件使用标签，导致浏览器在打开HTML文档时自动打开恶意URL。 HTML 文件内容 如果由于浏览器设置阻止重定向或其他原因导致元刷新失败，则锚标记会提供指向恶意 URL 的可点击链接，作为后备机制。但这需要用户采取相应行动。 搜索提示和“故障安全”链接 示例中，URL 是用于 Windows Search 协议使用以下参数在远程主机上执行搜索的： ·询问：搜索标签为“INVOICE”的项目。 ·标记：指定搜索范围，通过 Cloudflare 指向恶意服务器。 ·显示名称：将搜索显示重命名为“下载”，以模仿合法界面 ·位置：使用 Cloudflare 的隧道服务来掩盖服务器，通过将远程资源呈现为本地文件使其看起来合法。 接下来，搜索会从远程服务器检索文件列表，显示一个名为发票的快捷方式 (LNK) 文件。如果受害者点击该文件，则会触发托管在同一服务器上的批处理脚本 (BAT)。 搜索结果 Trustwave 还无法确定 BAT 的作用，因为在分析时服务器已关闭，但进行危险操作的可能性很高。 为了防御此威胁，安全研究人员建议通过执行以下命令删除与 search-ms/search URI 协议相关的注册表项： reg delete HKEY_CLASSES_ROOT\search /f reg delete HKEY_CLASSES_ROOT\search-ms /f此操作应小心进行，因为它也会阻止依赖此协议的合法应用程序和集成 Windows 功能按预期工作。

往期回顾： 2024.5.27—2024.6.2安全动态周回顾 2024.5.20—2024.5.26安全动态周回顾 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾

越来越多的网站和服务强制实施多因素身份验证 (MFA)，这使得网络犯罪分子更难访问其帐户。 但随着安全性的发展，网络犯罪分子也在不断发展，他们总是在寻找新的方法来进行欺骗。于是，一种称之为中间人身份验证的网络钓鱼手段正在出现。虽然这些以中间人 (MitM) 攻击命名的技术已经存在了一段时间，但如今它们已越来越受欢迎。 其工作原理如下 用户被诱骗到伪装成他们通常使用的网站（例如银行、电子邮件或社交媒体帐户）的钓鱼网站。一旦用户在虚假网站上输入登录信息，网络犯罪分子就会在用户不知情的情况下将这些信息重定向到实际网站。 然后提示用户进行 MFA 步骤，他们通常通过输入代码或接受推送通知来完成此操作，然后将此信息传递给犯罪分子，允许他们登录网站。 一旦犯罪分子进入账户，他们就可以开始更改账户的电子邮件地址、电话号码和密码等设置，这样用户就无法再登录，或者他们可以简单地清空银行账户。 这可能有助于您理解为什么许多平台在您尝试更改这些重要设置之一时会再次要求您输入 PIN 或其他身份验证。受害者通过社交媒体或电子邮件中的链接被引诱到此类钓鱼网站，在这些网站上很难识别真正的链接。 如何保护自己免受中间人身份验证攻击 ·保持警惕 了解诈骗者的作案手法是避免上当的第一步。不要假设网络搜索结果即是合法的，如果某件事看起来可疑，那么它很可能就是不合法的。 ·使用安全软件 许多安全程序会阻止已知的钓鱼网站，尽管域名通常存在时间较短且会快速轮换，此时，如果使用有相关安全解决方案则可以帮助保护用户。 ·使用密码管理器 密码管理器不会自动填充虚假网站的密码，即使它看起来像是真实的。 ·考虑使用密钥 启用多因素身份验证仍然非常重要，它可以保护您免受多种类型的攻击，因此请继续使用它。 但是，中间人身份验证攻击仅适用于某些类型的 MFA，而密钥不会允许网络犯罪分子以这种方式登录用户帐户。目前，已有许多服务开始使用密钥。

Live Nation 已确认 Ticketmaster 遭遇数据泄露，其数据被第三方云数据库提供商窃取。 Live Nation 在提交给美国证券交易委员会的文件中分享道：“2024 年 5 月 20 日，Live Nation Entertainment, Inc.在包含公司数据（主要来自其子公司 Ticketmaster LLC）的第三方云数据库环境中发现未经授权的活动，现已与取证调查员展开调查”。 2024 年 5 月 27 日，一名犯罪威胁分子通过暗网出售了该公司用户数据。目前，该公司正积极采取各种方式降低用户和公司面临的风险，并已通知执法部门并配合他们的工作。 据称此次泄密事件泄露了超过 5.6 亿 Ticketmaster 用户的数据，但该公司表示，他们并不认为此次泄密事件会对整体业务运营或财务状况产生重大影响。 此前，一个名为 Shiny Hunters 的威胁分子曾试图在黑客论坛上以 50 万美元的价格出售 Ticketmaster 数据。 据称被盗的数据库包含 1.3TB 的数据，包括客户的完整详细信息（即姓名、家庭和电子邮件地址以及电话号码），以及 5.6 亿客户的门票销售、订单和活动信息。 黑客论坛上出售 Ticketmaster 数据 有关威胁分子如何获取 Ticketmaster 数据库以及其他客户数据的更多信息也被披露出来。有威胁分子声称他们将对最近的 Santander 和 Ticketmaster 数据泄露事件负责，并表示他们从云存储公司 Snowflake 窃取了数据。 据威胁者称，他们使用信息窃取恶意软件窃取的凭证入侵了 Snowflake 员工的 ServiceNow 帐户，并利用该帐户窃取了公司的信息。这些信息包括未过期的身份验证令牌，可用于创建会话令牌并访问客户帐户以下载数据。 威胁者声称他们还使用这种方法窃取了其他公司的数据，包括 Anheuser-Busch、State Farm、Mitsubishi、Progressive、Neiman Marcus、Allstate 和 Advance Auto Parts。 Progressive 和三菱公司对威胁分子的说法提出异议，表示没有迹象表明他们的系统或数据遭到任何入侵。Snowflake 表示，最近的入侵事件是由安全措施不力的客户账户造成的，这些账户的凭证被盗，而且没有启用多因素身份验证。该公司补充说，攻击始于 4 月中旬，客户数据于 5 月 23 日首次被盗。Snowflake 已分享了攻击中的 IOC，以便客户可以查询日志以确定是否遭到入侵。 目前 Snowflake 没有对此进行反驳，只是表示没有进一步的信息可以透露。

威胁分子使用 Atlassian Bitbucket 工件文件以明文形式泄露的身份验证密钥来破坏 AWS 帐户。 Mandiant 率先发现该问题，他当时正在调查最近曝光的 Amazon Web Services (AWS) 机密，威胁分子利用这些机密来访问 AWS。 尽管该问题是在调查中发现的，但它说明了之前被认为是安全的数据可以以纯文本形式泄露到公共存储库。 BitBucket 的安全变量 Bitbucket 是一个与 Git 兼容的基于 Web 的版本控制存储库和托管服务，由 Atlassian 运行，为开发人员提供代码管理和协作平台。 Bitbucket Pipelines 是一种集成的持续交付/部署 (CI/CD) 服务，可自动执行构建、测试和部署流程。系统管理员通常将 Pipelines 直接链接到 AWS，以便快速部署应用程序并使用 AWS CLI、开发工具包和其他 AWS 工具访问资源。 为了促进这种自动化，Bitbucket 允许开发人员将敏感信息（例如 AWS 身份验证密钥）存储在“安全变量”中，以便在代码中轻松使用这些变量，而无需将密钥暴露给其他人。 在 Bitbucket 中存储安全变量 当变量在 BitBucket 中设置为安全时，它们将以加密形式存储，以防止在 Bitbucket 环境中公开暴露其值。 Bitbucket 文档解释说：“您可以保护变量，这意味着它可以在您的脚本中使用，但其值将隐藏在构建日志中（参见下面的示例）。如果想编辑安全变量，只能为其赋予新值或删除它。安全变量以加密值的形式存储。” 然而，Mandiant 发现，在管道运行期间生成的工件文件可能包含敏感信息，包括纯文本形式的安全变量。由于开发人员可能不知道这些秘密在工件文件中暴露，因此源代码可能会发布到公共存储库，威胁者可以从中窃取它们。 明文形式的秘密 工件在 bitbucket-pipelines.yml 配置文件中定义，用于指定 Bitbucket 项目的 CI/CD 流程。 这些文件中的指令之一是 artifacts:，用于指定导出到工件的变量、文件和目录，以便在构建和测试过程的进一步步骤中保留和使用。开发人员通常使用 printenv 命令将所有环境文件存储在文本文件中，然后将其传递给工件对象以供构建过程中的后续步骤使用。 将所有环境变量导出到工件文件 但是，这样做将导致“安全变量”以明文形式而不是以加密形式导出到工件文件。如果这些工件文件随后存储在公共位置，威胁分子只需打开文本文件并以明文形式查看所有变量，即可轻松窃取可用于窃取数据或执行其他恶意活动的身份验证机密。 以纯文本形式泄露机密的文本文件 报告中写道：“Mandiant 发现，开发团队在 Web 应用程序源代码中使用 Bitbucket 工件进行故障排除，但开发团队并不知道，这些工件包含密钥的纯文本值。这导致密钥暴露在公共互联网上，随后被攻击者利用，获得未经授权的访问权限。” Mandiant 认为，另一种可能性是错误配置定义 CI/CD 管道的“bitbucket-pipelines.yml”文件，将安全变量包含在日志或工件中。当管道脚本出于调试目的记录环境变量时，它们可能会无意中记录敏感信息，而且由于这些日志通常存储在可访问的位置，因此再次存在密钥暴露的风险。 缓解技巧 Mandiant 提醒开发人员，Bitbucket 并非为管理机密而设计，建议使用专用的、专门的产品来实现此目的。还建议开发人员仔细检查工件，以确保生成的文件中不包含任何纯文本机密。 最后，建议在整个管道生命周期中部署代码扫描，以捕获秘密暴露事件并在代码到达生产之前将其删除。

代号为“REF4578”的恶意加密货币挖矿活动被发现部署了一个名为 GhostEngine 的恶意负载，该负载使用易受攻击的驱动程序关闭安全产品并部署 XMRig 矿工。 Elastic Security Labs 和 Antiy 的研究人员在报告中特别强调了这些加密货币挖矿攻击的异常复杂性，并共享了检测规则以帮助防御者识别和阻止它们。然而，两份报告都没有将该活动归咎于已知的威胁分子，也没有分享有关目标/受害者的详细信息，因此该活动的起源和范围仍然未知。 GhostEngine 虽然尚不清楚服务器最初是如何被破坏的，但威胁分子的攻击从执行名为“Tiworker.exe”的文件开始就伪装成合法的 Windows 文件。 此可执行文件是 GhostEngine 的初始暂存有效负载，GhostEngine 是一个 PowerShell 脚本，可下载各种模块以在受感染的设备上执行不同的行为。当 Tiworker.exe 执行时，它会从攻击者的命令和控制 (C2) 服务器下载名为“get.png”的 PowerShell 脚本，该服务器充当 GhostEngine 的主要加载程序。 此 PowerShell 脚本下载其他模块及其配置、禁用 Windows Defender、启用远程服务并清除各种 Windows 事件日志。 接下来，get.png 验证系统是否至少有 10MB 的可用空间（这是进一步感染所必需的），并创建名为“OneDriveCloudSync”、“DefaultBrowserUpdate”和“OneDriveCloudBackup”的计划任务以实现持久性。 为持久性添加计划任务 PowerShell 脚本现在将下载并启动名为 smartsscreen.exe 的可执行文件，该可执行文件充当 GhostEngine 的主要负载。 该恶意软件负责终止和删除 EDR 软件，并下载和启动 XMRig 以挖掘加密货币。为了终止 EDR 软件，GhostEngine 加载两个易受攻击的内核驱动程序： aswArPots.sys（Avast 驱动程序），用于终止 EDR 进程。 IObitUnlockers.sys（Iobit 驱动程序），用于删除关联的可执行文件。EDR 终止程序所针对的进程列表如下所示： kill.png 和 smartscreen.exe 使用的硬编码 EDR 列表 为了实现持久性，名为“msdtc”的 Windows 服务会加载名为“oci.dll”的 DLL。启动后，此 DLL 将下载“get.png”的新副本，以在机器上安装最新版本的 GhostEngine。 虽然 Elastic 没有从他们检查的单个付款 ID 中看到令人印象深刻的数字，但每个受害者可能都有一个独特的钱包，因此总体财务收益可能非常可观。 完整的GhostEngine攻击链 防御 GhostEngine Elastic 研究人员建议防御者留意可疑的 PowerShell 执行、异常进程活动以及指向加密矿池的网络流量。 此外，在任何环境中，部署易受攻击的驱动程序和创建相关的内核模式服务都应被视为危险信号。人们可以采取拒绝从易受攻击的驱动程序（如 aswArPots.sys 和 IobitUnlockers.sys）创建文件。

各省、自治区、直辖市财政厅（局）、网信办，新疆生产建设兵团财政局、网信办，深圳市财政局： 为贯彻落实《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》（国办发〔2021〕30号）有关要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，我们制定了《会计师事务所数据安全管理暂行办法》，现予印发，请遵照执行。 附件：会计师事务所数据安全管理暂行办法 财政部　国家互联网信息办公室 2024年4月15日 会计师事务所数据安全管理暂行办法 第一章 总则 第一条 为保障会计师事务所数据安全，规范会计师事务所数据处理活动，根据《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。 第二条 在中华人民共和国境内依法设立的会计师事务所开展下列审计业务相关数据处理活动的，适用本办法： （一）为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的； （二）为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务的； （三）为境内企业境外上市提供审计服务的。 会计师事务所从事的审计业务不属于前款规定的范围，但涉及重要数据或者核心数据的，适用本办法。 第三条 本办法所称数据，是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 第四条 会计师事务所承担本所的数据安全主体责任，履行数据安全保护义务。 第五条 财政部负责全国会计师事务所数据安全监管工作，省级（含深圳市、新疆生产建设兵团）财政部门负责本行政区域内会计师事务所数据安全监管工作。 第六条 注册会计师协会应当加强行业自律，指导会计师事务所加强数据安全保护，提高数据安全管理水平。 第二章 数据管理 第七条 会计师事务所应当在下列方面履行本所数据安全管理责任： （一）建立健全数据全生命周期安全管理制度，完善数据运营和管控机制； （二）健全数据安全管理组织架构，明确数据安全管理权责机制； （三）实施与业务特点相适应的数据分类分级管理； （四）建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录； （五）组织开展数据安全教育培训； （六）法律法规规定的其他事项。 第八条 会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人。 第九条 会计师事务所应当按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据。 会计师事务所和被审计单位应当通过业务约定书、确认函等方式明确审计资料中核心数据和重要数据的性质、内容和范围等。 第十条 会计师事务所对核心数据、重要数据的存储处理，应当符合国家相关规定。 存储核心数据的信息系统要落实四级网络安全等级保护要求。存储重要数据的信息系统要落实三级及以上网络安全等级保护要求。 数据汇聚、关联后属于国家秘密事项的，应当依照有关保守国家秘密的法律、行政法规规定处理。 第十一条 会计师事务所应当对审计业务相关的信息系统、数据库、网络设备、网络安全设备等设置并启用访问日志记录功能。 涉及核心数据的，相关日志留存时间不少于三年。涉及重要数据的，相关日志留存时间不少于一年；涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年。 第十二条 会计师事务所应当明确数据传输操作规程。核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。 第十三条 审计工作底稿应当按照法律、行政法规和国家有关规定存储在境内。相关加密设备应当设置在境内并由境内团队负责运行维护，密钥应当存储在境内。 第十四条 会计师事务所应当建立数据备份制度。会计师事务所应当确保在审计相关应用系统因外部技术原因被停止使用、被限制使用等情况下，仍能访问、调取、使用相关审计工作底稿。 第十五条 会计师事务所不得在业务约定书或者类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。 第十六条 会计师事务所应当采用网络隔离、用户认证、访问控制、数据加密、病毒防范、非法入侵检测等技术手段，及时识别、阻断和溯源相关网络攻击和非法访问，保障数据安全。 第十七条 会计师事务所应当建立数据安全应急处置机制，加强数据安全风险监测。发现数据外泄、安全漏洞等风险的，应当立即采取补救、处置措施。发生重大数据安全事件，导致核心数据或者重要数据泄露、丢失或者被窃取、篡改的，应当及时向有关主管部门报告。 第十八条 会计师事务所向境外提供其在境内运营中收集和产生的个人信息和重要数据的，应当遵守国家数据出境管理有关规定。 第十九条 会计师事务所对于审计工作底稿出境事项应当建立逐级复核机制，采取必要措施严格落实数据安全管控责任。对于需要出境的审计工作底稿，按照国家有关规定办理审批手续。 第三章 网络管理 第二十条 会计师事务所应当建立完善的网络安全管理治理架构，建立健全内部网络安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络安全管理能力与提供的专业服务相适应，为数据安全管理工作提供安全的网络环境。 第二十一条 会计师事务所应当按照业务活动规模及复杂程度配置具备相应职业技能水平的网络管理技术人员，确保合理的网络资源投入和资金投入。 第二十二条 会计师事务所应当做好信息系统安全管理和技术防护，根据存储、处理数据的级别采取相应的网络物理隔离或者逻辑隔离等措施，设置严格的访问控制策略，防范未经授权的访问行为。 第二十三条 会计师事务所应当拥有其审计业务系统中网络设备、网络安全设备的自主管理权限，统一设置、维护系统管理员账户和工作人员账户，不得设置不受限制、不受监控的超级账户，不得将管理员账号交由第三方运维机构管理使用。 加入国际网络的会计师事务所使用所在国际网络的信息系统的，应当采取必要措施，使其符合国家数据安全法律、行政法规和本办法的规定，确保本所数据安全。 第四章 监督检查 第二十四条 财政部和省级财政部门（以下统称省级以上财政部门）与同级网信部门、公安机关、国家安全机关加强会计师事务所数据安全监管信息共享。 第二十五条 省级以上财政部门、省级以上网信部门对会计师事务所数据安全情况开展监督检查。公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。 第二十六条 对于承接金融、能源、电信、交通、科技、国防科工等重要领域审计业务且符合本办法第二条规定范围的会计师事务所，省级以上财政部门在监督检查工作中予以重点关注，并持续加强日常监管。 第二十七条 会计师事务所对于依法实施的数据安全监督检查，应当予以配合，不得拒绝、拖延、阻挠。 第二十八条 会计师事务所开展数据处理活动，影响或者可能影响国家安全的，应当按照国家安全审查机制进行安全审查。 第二十九条 相关部门在履行数据安全监管职责中，发现会计师事务所开展数据处理活动存在较大安全风险的，可以对会计师事务所及其责任人采取约谈、责令限期整改等监管措施，消除隐患。 第三十条 会计师事务所及相关人员违反本办法规定的，应当按照《中华人民共和国注册会计师法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处理处罚；涉及其他部门职责权限的，依法移送有关主管部门处理；构成犯罪的，移送司法机关依法追究刑事责任。 第三十一条 相关部门工作人员在履行会计师事务所数据安全监管职责过程中，玩忽职守、滥用职权、徇私舞弊的，依法追究法律责任。 第五章 附则 第三十二条 会计师事务所及相关人员开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。 第三十三条 会计师事务所及相关人员开展其他涉及个人信息的数据处理活动，应当遵守有关法律、行政法规的规定。 第三十四条 会计师事务所可以参照本办法加强对非审计业务数据的管理。 第三十五条 本办法由财政部、国家网信办负责解释。 第三十六条 本办法自2024年10月1日起施行。 文章来源：中国网信网

WinSCP 和 Putty 是流行的 Windows 实用程序，其中 WinSCP 是 SFTP 客户端和 FTP 客户端，而 Putty 是 SSH 客户端。 系统管理员通常在 Windows 网络上拥有更高的权限，这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件的威胁分子的首要目标。 勒索软件操作通过投放 Google 广告来推广 Putty 和 WinSCP 的虚假下载网站，从而将目标锁定在 Windows 系统管理员身上。 最近的一份报告称，搜索引擎活动在搜索“下载 WinSCP”或“下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。目前尚不清楚该活动是在 Google 还是 Bing 上进行。 这些广告使用了误植域名，例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。 虽然这些网站冒充了 WinSCP 的合法网站 (winscp.net)，但威胁分子模仿了 PuTTY 的无关联网站 (putty.org)，使许多人认为这是真正的网站。 PuTTY 的官方网站实际上是 https://www.chiark.greenend.org.uk/~sgtatham/putty/。这些网站包含下载链接，点击后，会将您重定向到合法网站或从恶意分子的服务器下载 ZIP 存档，具体取决于用户是通过搜索引擎还是活动中的其他网站推荐的。 假冒 Putty 下载网站推送木马安装程序 下载的 ZIP 存档包含一个 Setup.exe 可执行文件（它是 Python for Windows (pythonw.exe) 的重命名且合法的可执行文件）和一个恶意 python311.dll 文件。 当 pythonw.exe 可执行文件启动时，它将尝试启动合法的 python311.dll 文件。然而，威胁分子使用 DLL 旁加载加载的恶意版本替换了该 DLL。当用户运行Setup.exe时，认为它正在安装PuTTY或WinSCP，它会加载恶意DLL，该DLL会提取并执行加密的Python脚本。 该脚本最终将安装 Sliver 后利用工具包，这是一种用于初始访问企业网络的流行工具。威胁分子使用 Sliver 远程投放更多有效负载，包括 Cobalt Strike 信标。 黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。 此活动中看到的攻击流程 报告机构只透露了有关勒索软件的有限细节，但研究人员表示，该活动与 Malwarebytes 和 Trend Micro 发现的活动类似，后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。 在最近的一次事件中，可以观察到威胁分子试图使用备份实用程序 Restic 窃取数据，然后部署勒索软件，这一尝试最终在执行过程中被阻止。 在过去的几年中，搜索引擎广告已成为一个大问题，许多威胁分子利用它们来推送恶意软件和网络钓鱼网站。 这些广告针对流行程序，包括 Keepass、CPU-Z、Notepad++、Grammarly、MSI Afterburner、Slack、Dashlane、7-Zip、CCleaner、VLC、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird和 Brave。 最近，一名威胁分子取出了谷歌广告，其中包含加密货币交易平台 Whales Market 的合法 URL。 然而，该广告导致了一个包含加密货币删除程序的网络钓鱼网站，用于窃取访问者的加密货币。