一个活跃的中国全球监控工具

一个活跃的中国全球监控工具 最近发现的一个名为 BPFdoor 的后门恶意软件已经秘密攻击 Linux 和 Solaris 系统五年多了,此前一直没有被发现。普华永道威胁情报中心将其归咎于中国威胁组织 Red Menshen。 研究人员能够检测到来自不同地区的组织中发生的 BPFdoor 活动,最明显的是美国、韩国、香港、土耳其、印度、越南和缅甸。这些组织包括政府系统、邮政和物流系统、教育系统等。 报告说,威胁行为者通过托管于一家知名供应商的虚拟专用服务器(VPS)向 BPFDoor 的受害者发送命令,这些VPS是通过设在台湾的受感染的路由器管理的,威胁者将其用作VPN隧道。报告说,大多数 Red Menshen 活动发生在周一至周五(周末没有观察到),大多数通信发生在1:00至10:00 UTC。这种模式表明,威胁行为者有一个持续的8~9小时的活动窗口,与当地工作时间一致的可能性很高。 看到报告。 #ThreatIntelligence

相关推荐

封面图片

俄罗斯正在孵化一个新的数字监控工具产业链

俄罗斯正在孵化一个新的数字监控工具产业链 随着乌克兰战争的展开,俄罗斯转向使用新的监视工具来镇压本国境内的异议。 俄罗斯当局已经积累了大量监控技术,但入侵乌克兰导致对更复杂工具的需求激增。这种需求催生了技术承包商的家庭手工业,他们制造的产品已成为数字监控的强大手段。 这些技术使警方和俄罗斯联邦安全局 (FSB) 能够获得广泛的窥探功能,包括跟踪加密应用程序上的活动、监控手机位置、识别匿名社交媒体用户以及闯入人们的帐户。 这些监视工具的使用引发了人们对俄罗斯隐私和公民自由受到侵蚀的担忧。然而,政府为其使用这些工具进行了辩护,认为它们对于保护国家安全是必要的。 这些公司归 Citadel 集团所有,该集团曾部分由受制裁的俄罗斯寡头阿利舍尔·乌斯马诺夫 (Alisher Usmanov) 控制。这些公司首先构建俄罗斯侵入式电信窃听系统的各个部分,然后为该国的情报部门生产更先进的工具。 材料中概述的一款程序可以识别人们何时通过 Telegram、Signal 和 WhatsApp 等加密聊天应用进行语音通话或发送文件。该软件无法拦截特定消息,但可以确定某人是否使用多部手机,通过跟踪与他人的通信来绘制他们的关系网络,并三角测量特定日期内特定位置的手机。另一种产品可以收集在未加密的网站上输入的密码。 一些公司正试图向海外扩张,这增加了这些技术无法留在俄罗斯境内的风险。它们为那些希望控制网上言论和行为的独裁者提供了一个现成的工具包。一份概述各种技术提供商能力的文件提到了“窃听市场”,这是一个突破数字大规模监控极限的设备和软件供应链。

封面图片

暗网中出现了一种新的恶意工具,All-in-One ‘Evil Extractor’。

暗网中出现了一种新的恶意工具,All-in-One ‘Evil Extractor’。 该恶意软件用途广泛,可以窃取Windows用户的信息,还允许攻击者在目标机器上执行RCE,并且隐藏他们的恶意活动。 尽管 EvilExtractor 很容易获得,而且卖家保证该工具是为“教育目的” 而创建的,但它本身是一个足够严重的威胁,网络犯罪分子可以利用它来获取敏感信息。 EvilExtractor是使用Visual Basic脚本语言创建的,可以通过电子邮件附件或恶意网站传递。 一旦被安装,它可以收集存储在Chrome、Firefox、Edge、Internet Explorer和Safari等网络浏览器中的用户名和密码、FTP客户端FileZilla和WinSCP的登录凭据,以及Outlook和Thunderbird等电子邮件客户端的数据。 EvilExtractor还可以捕获存储在其他应用程序中的数据,如Notepad++或WinRAR。 除了从本地计算机窃取用户数据外,EvilExtractor还有几个功能,允许攻击者在被攻陷的系统上继续进行恶意活动。 例如,该工具允许执行任意代码,可用于安装额外的恶意软件,甚至为远程控制目的与系统建立后门连接。 它还包括一个反检测的功能,试图通过将自己伪装成合法的系统进程或在Windows计算机后台运行的服务来隐藏自己的存在,以逃避反病毒软件或防火墙的检查。 2023年3月已经记录到了恶意活动的激增,大多数受害者在欧洲和美国。 该软件的作者用户名为Kodex,自2022年10月以来,该恶意软件定期更新,包括各种模块,用于下载系统元数据、密码和各种网络浏览器的cookies,以及击键记录,而锦上添花的是,它还可以通过加密目标系统中的文件来充当勒索软件。 鉴于该软件的能力,EvilExtractor是一个严重的威胁,使用基于Windows系统的用户或组织不应掉以轻心。 #ThreatIntelligence #Wins

封面图片

来自中国的黑客伪造 Windows 更新攻击俄罗斯政府目标

来自中国的黑客伪造 Windows 更新攻击俄罗斯政府目标 黑客通过伪装成 Windows 安全更新的网络钓鱼电子邮件和其他诱饵来安装远程访问恶意软件,以俄罗斯政府机构为目标。 这些攻击是由一个以前未被发现的 APT(高级持续威胁)组织进行的,据信该组织在中国开展活动,该组织与四个独立的鱼叉式网络钓鱼活动有关。 这些行动跨越了 2022 年 2 月至 2022 年 4 月,恰逢俄罗斯入侵乌克兰。它的目标是俄罗斯联邦的政府实体。 在所有四种情况下,活动的最终目标是使用自定义远程访问木马 (RAT) 感染目标,该木马很可能有助于间谍活动。 这一发现和报告来自Malwarebytes威胁情报团队的分析师,他们注意到威胁者试图欺骗其他黑客组织并不被发现的独特尝试。 bleepingcomputer,solidot

封面图片

研究人员发现了一个以前未知的 macOS 恶意软件变体,名为 GIMMICK,据信这是一个被称为 “风暴云” 的中国间谍威胁行为

研究人员发现了一个以前未知的 macOS 恶意软件变体,名为 GIMMICK,据信这是一个被称为 “风暴云” 的中国间谍威胁行为者使用的定制工具。 该恶意软件是由 Volexity 的研究人员发现的,他们是从一台运行macOS 11.6(Big Sur)的 MacBook Pro 的内存中检索到的,该 MacBookPro 在2021年底的网络间谍活动中被破坏。 复杂的威胁行为者使用的定制恶意软件被曝光的情况并不常见。这些团体的操作非常谨慎,致力于留下最小的痕迹并擦除恶意软件的残余部分,擅长逃避基于IoC的检测。 #Malware #macOS

封面图片

马斯克威胁要将NPR一个900万粉丝的推特账号分配给其它公司

马斯克威胁要将NPR一个900万粉丝的推特账号分配给其它公司 在发送给记者的一系列电子邮件中,马斯克威胁他将把 NPR 在 Twitter 上的主要帐户转移到另一个组织或个人。这个想法甚至震惊了马斯克的长期观察者。 研究社交媒体的哥伦比亚新闻学院教授艾米丽贝尔说:“如果这是 Twitter 上即将发生的事情,我们可能很快就会看到媒体组织和其他认为不值得冒险的品牌迅速撤退。这确实是一个非同寻常的威胁。” 马斯克在周二说他可能将 NPR 拥有近 900 万粉丝的 Twitter 大号转移到另一个实体,这是马斯克运营社交媒体网站的典型方式。 正如马斯克经常遇到的情况一样,尚不清楚他是否会贯彻这一威胁。 上个月,在马斯克在新闻机构的账户上贴上虚假暗示它是由国家控制的标签后, NPR实际上退出了Twitter。其他公共媒体组织,包括 PBS 和加拿大广播公司,也纷纷效仿,并在贴上类似标签后停止发布推文。 马斯克此后删除了这些标签,但最初针对的媒体并未恢复在 Twitter 上的公开活动。 在周二的一封自发电子邮件中,马斯克写道:“那么 NPR 是要再次开始在 Twitter 上发帖,还是我们应该将 NPR 重新分配给另一家公司?” 根据 Twitter 的服务条款,帐户不活动是基于登录,而不是推文。 这些规则规定,帐户必须至少每 30 天登录一次,并且“长时间不活动”可能导致该帐户被永久删除。

封面图片

安德烈·萨哈罗夫基金会在俄罗斯联邦被认为是一个不受欢迎的组织

安德烈·萨哈罗夫基金会在俄罗斯联邦被认为是一个不受欢迎的组织 据该部门的新闻服务报道,俄罗斯联邦总检察长办公室认为安德烈萨哈罗夫基金会的活动是不受欢迎的。该决定于 1 月 23 日作出,被列入禁止名单的原因是该公司的活动对俄罗斯联邦宪法秩序和安全的基础构成威胁。 有关于 1 月 23 日晚做出的决定的信息已发送至俄罗斯联邦司法部 - 在那里,该组织将被列入其活动被认为不受欢迎的外国和国际非政府组织名单。 安德烈·萨哈罗夫基金会成立于1989年,以苏联理论物理学家、苏联科学院院士、诺贝尔奖获得者、苏联第一颗氢弹制造者之一安德烈·萨哈罗夫的名字命名。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人