俄罗斯正在孵化一个新的数字监控工具产业链

俄罗斯正在孵化一个新的数字监控工具产业链 随着乌克兰战争的展开，俄罗斯转向使用新的监视工具来镇压本国境内的异议。 俄罗斯当局已经积累了大量监控技术，但入侵乌克兰导致对更复杂工具的需求激增。这种需求催生了技术承包商的家庭手工业，他们制造的产品已成为数字监控的强大手段。 这些技术使警方和俄罗斯联邦安全局 (FSB) 能够获得广泛的窥探功能，包括跟踪加密应用程序上的活动、监控手机位置、识别匿名社交媒体用户以及闯入人们的帐户。 这些监视工具的使用引发了人们对俄罗斯隐私和公民自由受到侵蚀的担忧。然而，政府为其使用这些工具进行了辩护，认为它们对于保护国家安全是必要的。 这些公司归 Citadel 集团所有，该集团曾部分由受制裁的俄罗斯寡头阿利舍尔·乌斯马诺夫 (Alisher Usmanov) 控制。这些公司首先构建俄罗斯侵入式电信窃听系统的各个部分，然后为该国的情报部门生产更先进的工具。 材料中概述的一款程序可以识别人们何时通过 Telegram、Signal 和 WhatsApp 等加密聊天应用进行语音通话或发送文件。该软件无法拦截特定消息，但可以确定某人是否使用多部手机，通过跟踪与他人的通信来绘制他们的关系网络，并三角测量特定日期内特定位置的手机。另一种产品可以收集在未加密的网站上输入的密码。 一些公司正试图向海外扩张，这增加了这些技术无法留在俄罗斯境内的风险。它们为那些希望控制网上言论和行为的独裁者提供了一个现成的工具包。一份概述各种技术提供商能力的文件提到了“窃听市场”，这是一个突破数字大规模监控极限的设备和软件供应链。

暗网中出现了一种新的恶意工具，All-in-One ‘Evil Extractor’。

暗网中出现了一种新的恶意工具，All-in-One ‘Evil Extractor’。 该恶意软件用途广泛，可以窃取Windows用户的信息，还允许攻击者在目标机器上执行RCE，并且隐藏他们的恶意活动。 尽管 EvilExtractor 很容易获得，而且卖家保证该工具是为“教育目的” 而创建的，但它本身是一个足够严重的威胁，网络犯罪分子可以利用它来获取敏感信息。 EvilExtractor是使用Visual Basic脚本语言创建的，可以通过电子邮件附件或恶意网站传递。 一旦被安装，它可以收集存储在Chrome、Firefox、Edge、Internet Explorer和Safari等网络浏览器中的用户名和密码、FTP客户端FileZilla和WinSCP的登录凭据，以及Outlook和Thunderbird等电子邮件客户端的数据。 EvilExtractor还可以捕获存储在其他应用程序中的数据，如Notepad++或WinRAR。 除了从本地计算机窃取用户数据外，EvilExtractor还有几个功能，允许攻击者在被攻陷的系统上继续进行恶意活动。 例如，该工具允许执行任意代码，可用于安装额外的恶意软件，甚至为远程控制目的与系统建立后门连接。 它还包括一个反检测的功能，试图通过将自己伪装成合法的系统进程或在Windows计算机后台运行的服务来隐藏自己的存在，以逃避反病毒软件或防火墙的检查。 2023年3月已经记录到了恶意活动的激增，大多数受害者在欧洲和美国。 该软件的作者用户名为Kodex，自2022年10月以来，该恶意软件定期更新，包括各种模块，用于下载系统元数据、密码和各种网络浏览器的cookies，以及击键记录，而锦上添花的是，它还可以通过加密目标系统中的文件来充当勒索软件。 鉴于该软件的能力，EvilExtractor是一个严重的威胁，使用基于Windows系统的用户或组织不应掉以轻心。 #ThreatIntelligence #Wins

来自中国的黑客伪造 Windows 更新攻击俄罗斯政府目标

来自中国的黑客伪造 Windows 更新攻击俄罗斯政府目标 黑客通过伪装成 Windows 安全更新的网络钓鱼电子邮件和其他诱饵来安装远程访问恶意软件，以俄罗斯政府机构为目标。 这些攻击是由一个以前未被发现的 APT（高级持续威胁）组织进行的，据信该组织在中国开展活动，该组织与四个独立的鱼叉式网络钓鱼活动有关。 这些行动跨越了 2022 年 2 月至 2022 年 4 月，恰逢俄罗斯入侵乌克兰。它的目标是俄罗斯联邦的政府实体。 在所有四种情况下，活动的最终目标是使用自定义远程访问木马 (RAT) 感染目标，该木马很可能有助于间谍活动。 这一发现和报告来自Malwarebytes威胁情报团队的分析师，他们注意到威胁者试图欺骗其他黑客组织并不被发现的独特尝试。 bleepingcomputer，solidot

研究人员发现了一个以前未知的 macOS 恶意软件变体，名为 GIMMICK，据信这是一个被称为 “风暴云” 的中国间谍威胁行为

研究人员发现了一个以前未知的 macOS 恶意软件变体，名为 GIMMICK，据信这是一个被称为 “风暴云” 的中国间谍威胁行为者使用的定制工具。 该恶意软件是由 Volexity 的研究人员发现的，他们是从一台运行macOS 11.6（Big Sur）的 MacBook Pro 的内存中检索到的，该 MacBookPro 在2021年底的网络间谍活动中被破坏。 复杂的威胁行为者使用的定制恶意软件被曝光的情况并不常见。这些团体的操作非常谨慎，致力于留下最小的痕迹并擦除恶意软件的残余部分，擅长逃避基于IoC的检测。 #Malware #macOS

马斯克威胁要将NPR一个900万粉丝的推特账号分配给其它公司

马斯克威胁要将NPR一个900万粉丝的推特账号分配给其它公司 在发送给记者的一系列电子邮件中，马斯克威胁他将把 NPR 在 Twitter 上的主要帐户转移到另一个组织或个人。这个想法甚至震惊了马斯克的长期观察者。 研究社交媒体的哥伦比亚新闻学院教授艾米丽贝尔说：“如果这是 Twitter 上即将发生的事情，我们可能很快就会看到媒体组织和其他认为不值得冒险的品牌迅速撤退。这确实是一个非同寻常的威胁。” 马斯克在周二说他可能将 NPR 拥有近 900 万粉丝的 Twitter 大号转移到另一个实体，这是马斯克运营社交媒体网站的典型方式。 正如马斯克经常遇到的情况一样，尚不清楚他是否会贯彻这一威胁。 上个月，在马斯克在新闻机构的账户上贴上虚假暗示它是由国家控制的标签后， NPR实际上退出了Twitter。其他公共媒体组织，包括 PBS 和加拿大广播公司，也纷纷效仿，并在贴上类似标签后停止发布推文。 马斯克此后删除了这些标签，但最初针对的媒体并未恢复在 Twitter 上的公开活动。 在周二的一封自发电子邮件中，马斯克写道：“那么 NPR 是要再次开始在 Twitter 上发帖，还是我们应该将 NPR 重新分配给另一家公司？” 根据 Twitter 的服务条款，帐户不活动是基于登录，而不是推文。 这些规则规定，帐户必须至少每 30 天登录一次，并且“长时间不活动”可能导致该帐户被永久删除。

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构 具体来说，黑客已经入侵了 48 个政府组织，其中 10 个是外交部门，另外 49 个政府机构也成为了黑客的攻击目标。受害者（红色）和目标（黄色）地图（趋势科技）攻击者利用易受攻击的面向互联网的服务器，使用鱼叉式网络钓鱼电子邮件部署定制的网络间谍活动后门。Earth Krahang 滥用其在被攻破的政府基础设施上的存在来攻击其他政府，在被攻破的系统上建立 VPN 服务器，并执行暴力破解以破解重要电子邮件账户的密码。攻击概述威胁行为者利用开源工具扫描面向公众的服务器，查找特定漏洞，如 CVE-2023-32315（Openfire）和 CVE-2022-21587（Oracle Web Apps）。通过利用这些漏洞，他们部署 webhell 来获取未经授权的访问权限，并在受害者网络中建立持久性。或者，他们使用鱼叉式网络钓鱼作为初始访问载体，围绕地缘政治主题发送信息，诱使收件人打开附件或点击链接。一旦进入网络，Earth Krahang 就会利用被入侵的基础设施托管恶意有效载荷、代理攻击流量，并使用被黑客入侵的政府电子邮件账户向其同事或其他政府发送鱼叉式网络钓鱼电子邮件。趋势科技在报告中写道："我们注意到，Earth Krahang 在侦察阶段会从目标处获取数百个电子邮件地址。在一个案例中，行为者利用一个政府实体的受损邮箱向属于同一实体的 796 个电子邮件地址发送恶意附件"。用于从被入侵账户发送电子邮件的脚本（已删节）（趋势科技）这些电子邮件包含恶意附件，可将后门植入受害者的计算机，传播感染并在检测和清理时实现冗余。攻击者使用被入侵的 Outlook 账户来强行获取 Exchange 凭据，同时还发现了专门从 Zimbra 服务器中渗入电子邮件的 Python 脚本。用于收集电子邮件数据的 Python 脚本（趋势科技）该威胁组织还利用 SoftEtherVPN 在被入侵的面向公众的服务器上建立 VPN 服务器，以建立对受害者私人网络的访问，并进一步提高他们在这些网络中横向移动的能力。Eath Krahang 在网络上建立存在后，会部署 Cobalt Strike、RESHELL 和 XDealer 等恶意软件和工具，提供命令执行和数据收集功能。XDealer 是这两种后门程序中更复杂、更精密的一种，因为它支持 Linux 和 Windows，可以截屏、记录键盘输入和截取剪贴板数据。攻击链概述（趋势科技）趋势科技称，根据指挥和控制（C2）的重叠，它最初发现 Earth Krahang 与中国附属行为者 Earth Lusca 之间存在联系，但确定这是一个独立的集群。这两个威胁组织可能都在中国公司I-Soon 旗下运作，作为专门针对政府实体进行网络间谍活动的特遣部队。此外，RESHELL 以前与"Gallium"组织有关，而 XDealer 则与"Luoyu"黑客有关。然而，趋势科技的洞察力表明，这些工具很可能是威胁行为者之间共享的，每个工具都使用不同的加密密钥。本次的"Earth Krahang"指标清单在此单独发布。 ... PC版： 手机版：