#本周热读 微软安全研究人员表示，他们发现了一起由中国政府支持的针对美国关键基础设施的黑客攻击行动。

#本周热读 微软安全研究人员表示，他们发现了一起由中国政府支持的针对美国关键基础设施的黑客攻击行动。 这次攻击是由Volt Typhoon领导的，这是一个总部设在中国的组织，通常专注于间谍活动和信息收集。

#本周热读 中国军方东部战区公布了其发言人施毅大校的表态，他表示，东部战区正在台湾岛周边海空域组织联合战备巡逻和实战化演练，以回

#本周热读 中国军方东部战区公布了其发言人施毅大校的表态，他表示，东部战区正在台湾岛周边海空域组织联合战备巡逻和实战化演练，以回应这次访问。施毅说，这是针对美台继续玩弄政治把戏、破坏台海和平稳定的严正震慑。

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构 具体来说，黑客已经入侵了 48 个政府组织，其中 10 个是外交部门，另外 49 个政府机构也成为了黑客的攻击目标。受害者（红色）和目标（黄色）地图（趋势科技）攻击者利用易受攻击的面向互联网的服务器，使用鱼叉式网络钓鱼电子邮件部署定制的网络间谍活动后门。Earth Krahang 滥用其在被攻破的政府基础设施上的存在来攻击其他政府，在被攻破的系统上建立 VPN 服务器，并执行暴力破解以破解重要电子邮件账户的密码。攻击概述威胁行为者利用开源工具扫描面向公众的服务器，查找特定漏洞，如 CVE-2023-32315（Openfire）和 CVE-2022-21587（Oracle Web Apps）。通过利用这些漏洞，他们部署 webhell 来获取未经授权的访问权限，并在受害者网络中建立持久性。或者，他们使用鱼叉式网络钓鱼作为初始访问载体，围绕地缘政治主题发送信息，诱使收件人打开附件或点击链接。一旦进入网络，Earth Krahang 就会利用被入侵的基础设施托管恶意有效载荷、代理攻击流量，并使用被黑客入侵的政府电子邮件账户向其同事或其他政府发送鱼叉式网络钓鱼电子邮件。趋势科技在报告中写道："我们注意到，Earth Krahang 在侦察阶段会从目标处获取数百个电子邮件地址。在一个案例中，行为者利用一个政府实体的受损邮箱向属于同一实体的 796 个电子邮件地址发送恶意附件"。用于从被入侵账户发送电子邮件的脚本（已删节）（趋势科技）这些电子邮件包含恶意附件，可将后门植入受害者的计算机，传播感染并在检测和清理时实现冗余。攻击者使用被入侵的 Outlook 账户来强行获取 Exchange 凭据，同时还发现了专门从 Zimbra 服务器中渗入电子邮件的 Python 脚本。用于收集电子邮件数据的 Python 脚本（趋势科技）该威胁组织还利用 SoftEtherVPN 在被入侵的面向公众的服务器上建立 VPN 服务器，以建立对受害者私人网络的访问，并进一步提高他们在这些网络中横向移动的能力。Eath Krahang 在网络上建立存在后，会部署 Cobalt Strike、RESHELL 和 XDealer 等恶意软件和工具，提供命令执行和数据收集功能。XDealer 是这两种后门程序中更复杂、更精密的一种，因为它支持 Linux 和 Windows，可以截屏、记录键盘输入和截取剪贴板数据。攻击链概述（趋势科技）趋势科技称，根据指挥和控制（C2）的重叠，它最初发现 Earth Krahang 与中国附属行为者 Earth Lusca 之间存在联系，但确定这是一个独立的集群。这两个威胁组织可能都在中国公司I-Soon 旗下运作，作为专门针对政府实体进行网络间谍活动的特遣部队。此外，RESHELL 以前与"Gallium"组织有关，而 XDealer 则与"Luoyu"黑客有关。然而，趋势科技的洞察力表明，这些工具很可能是威胁行为者之间共享的，每个工具都使用不同的加密密钥。本次的"Earth Krahang"指标清单在此单独发布。 ... PC版： 手机版：

研究人员周三称，私密通讯应用 Signal 的假版本已进入 Google Play，并且似乎与中国间谍活动有关。

研究人员周三称，私密通讯应用 Signal 的假版本已进入 Google Play，并且似乎与中国间谍活动有关。 并且不只有Google Play，黑客们还在三星 Galaxy Store 上发布了一个版本。 假的 Signal 被称为 ‘Signal Plus Messenger’，其功能与合法版本相同，其主要目的是监视真实应用程序的通信。 Signal 的标准版本允许用户将移动应用程序链接到桌面或苹果iPad，而恶意的 Signal Plus Messenger 就利用该功能将消息传递至攻击者的账户。研究人员表示，攻击发生在“用户没有注意到任何事情、也没有接收到任何通知的情况下，一切都是在悄无声息中完成的”。 虽然这些攻击表明与中国有关的黑客找到了绕过全球两家最大科技公司安全检查的方法，但同时也标志着前所未有的窥探 Signal 通信的尝试。视频演示： #E2EE #security

微软称中国黑客已将“数十个”台湾组织作为目标

微软称中国黑客已将“数十个”台湾组织作为目标 微软研究人员周四，一个疑似与中国政府有联系的黑客组织正在积极针对台湾的数十个组织进行网络间谍活动。 微软在星期四的一篇博客文章中表示，Flax Typhoon（微软用来描述该组织的名称）正在努力获得并维持对主要台湾组织的长期访问，尽管在东南亚、北美和非洲也发现了一些受害者。该组织的目标包括政府实体、制造公司和科技公司。 这一消息是在拜登政府批准向台湾提供价值 5 亿美元的武器包以及中国在台湾附近进行新一轮军事演习之后发布的。三个月前，微软和情报机构联盟透露，与中国有关的黑客以关岛的电信系统为目标，作为一项行动的一部分，该行动可能为切断美国与其在东亚的军事资产之间的通信奠定了基础。

研究人员发现一种新的攻击可以破除任何主要浏览器上的用户匿名

研究人员发现一种新的攻击可以破除任何主要浏览器上的用户匿名 新泽西理工学院的研究人员本周警告说，攻击者可以使用一种新技术来消除网站访问者的匿名性，并有可能将目标数字生活的许多部分联系起来。 新泽西理工学院的研究人员将在下个月于波士顿举行的Usenix安全研讨会上介绍这一发现，该研究表明，攻击者如果诱使某人加载一个恶意网站，就可以确定该访问者是否控制着一个特定的公共标识符，如电子邮件地址或社交媒体账户，从而将该访问者与一段潜在的个人数据联系起来。 当你访问一个网站时，页面可以捕捉到你的IP地址，但这并不一定给网站所有者足够的信息来单独识别你。相反，黑客会分析潜在目标的浏览器活动的细微特征，以确定他们是否登录了一系列服务的账户，从YouTube和Dropbox到Twitter、Facebook、TikTok等等。此外，这些攻击对所有主要的浏览器都有效，包括以匿名为重点的Tor浏览器。 “如果你是一个普通的互联网用户，当你访问一个随机的网站时，你可能不会过多地考虑你的隐私，”研究作者之一、新泽西州立大学计算机科学教授Reza Curtmola说。“但有某些类别的互联网用户可能会受到更明显的影响，比如组织和参与政治抗议的人，记者，以及与他们的少数群体同伴联网的人。而使这些类型的攻击变得危险的是它们非常隐蔽。你只是访问了网站，你不知道你已经暴露了。”