补充二:去年的样本分流 https://wwvx.lanzoul.com/idHGj13lfulc
文件名也是所谓的 VPN登录控件.exe
文件名也是所谓的 VPN登录控件.exe
去年(2023年)7月27日的类似事件,来自卡饭论坛的回顾:https://bbs.kafan.cn/thread-2258618-1-1.html
补充域名:
hxxps://ysmail.mihoyo.com
hxxps://it-jenkins.mihoyo.com
看起来似乎不像是真正意义的攻击,这几个域名存在相似点的(例如都存在一个debugger断点 都解析在阿里云 linux的都是openssh7.2版本)
最早可追溯至7月8日2024年6月,研究人员发现了一个专门针对DingTalk和WeChat用户的macOS版HZ Rat后门。该后门几乎完全复制了其Windows版本的功能,唯一不同的是通过攻击者服务器接收shell脚本形式的有效载荷。一些样本使用本地IP地址连接到C2服务器,显示出可能的定向攻击意图,且可能用于在受害者网络中进行横向移动。
HZ Rat最早于2022年由DCSO研究人员检测到,最初针对Windows系统并通过PowerShell脚本接收命令。macOS版后门的安装包名为OpenVPNConnect.pkg,作为合法应用的包装,包含两个恶意文件:exe和init,其中“init”是实际的后门,负责与C2服务器建立连接。
该后门主要通过XOR加密与C2服务器通信,支持执行shell命令、写文件、发送文件和检查受害者在线状态等功能。研究表明,攻击者利用该后门收集包括系统信息、网络连接信息、WeChat和DingTalk用户数据等在内的敏感信息。
大部分C2服务器位于中国,少数在美国和荷兰。研究人员还发现,恶意安装包曾从中国游戏公司米哈游的域名下载。目前尚不清楚该文件如何到达合法域名以及公司是否被攻击。
研究表明,HZ Rat背后的攻击者依然活跃,且可能继续针对相关用户进行攻击。用户应及时更新安全软件并警惕不明来源的文件
下载。
后门下载链接
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip数据收集:
WeChat:恶意软件尝试获取受害者的WeChat ID、电子邮件和电话号码,这些数据以明文形式存储在userinfo.data文件中。
DingTalk:攻击者更关注更详细的受害者数据,如用户工作的组织和部门名称、用户名、公司电子邮件地址和电话号码。这些数据主要从orgEmployeeModel文件中提取。如果该文件缺失,恶意软件会在sAlimailLoginEmail文件中查找用户的电话号码和电子邮件,或者在DingTalk缓存文件.holmes.mapping中寻找用户的电子邮件,这些文件也未加密,并以明文形式存储数据。
一个短视频平台背后的未成年暗网
https://mp.weixin.qq.com/s/8Jyi5UVY68-0UBSsDvQC9Q
#分享
当短视频平台打破了年龄、性别、时间与空间的间隔,只要关掉“青少年模式”,未成年人就可以毫无障碍地闯入成年人的世界。一个儿童几乎不需要跨越任何门槛,就能抵达成年人的擦边直播间。这种个性化的内容推荐机制,打破了成年世界与儿童世界的间隔。青少年可以在不断地上划中,被不分年龄的短视频彻底淹没,算法成功将他们“催熟”为不合时宜的伪大人。
https://mp.weixin.qq.com/s/8Jyi5UVY68-0UBSsDvQC9Q
#分享
喜闻乐见的字节跳动拉新活动,因为本人测着效果确实一般且安装插件会上报基础信息(盲猜是检测虚拟机)就静音不推送发链接了,感兴趣的支持下(
https://www.marscode.cn/events/2024-invitation?utm_source=event_invite_code&invite_code=SaVHjw6k5Qsji7ViWZdPJnKd8erLxhYU&event_id=2024_invitation
https://www.marscode.cn/events/2024-invitation?utm_source=event_invite_code&invite_code=SaVHjw6k5Qsji7ViWZdPJnKd8erLxhYU&event_id=2024_invitation
警惕最近流行在 GitHub Issues 的盗号投毒链接,不要下载任何来历不明的文件运行,不管这个链接是由谁发出来的。
https://www.v2ex.com/t/1068305
https://www.v2ex.com/t/1068305
Microsoft donates the Mono Project to the Wine team (🔥 Score: 168+ in 45 minutes)
Link: https://readhacker.news/s/6dAjL
Comments: https://readhacker.news/c/6dAjL
Link: https://readhacker.news/s/6dAjL
Comments: https://readhacker.news/c/6dAjL
一些迁移的背景,博客生成器的讨论,以及迁移过程中的一些流水账。
特别感谢 @chiyuki0325 的优雅主题。
https://blog.hanlin.press/2024/08/Migrate-to-Hexo/
*题图和标题与某挺好萌热门番剧制作方无关
博客园站点遭遇疑似大规模 CC 攻击
博客园8月26日发布公告,从上周五开始遭遇大规模 DDoS 攻击后,今天11:40左右开始遭遇疑似大规模 CC 攻击,明显的特征是有很多来自海外各个国家IP的异常高频次访问请求。博客园表示,虽然针对海外访问临时采取了躲避措施,但攻击请求不仅限于海外躲不过去。博客园称,这次遇到的攻击与去年遇到的攻击类似,但今年攻击时,特地选择在工作日,周五 DDoS 攻击,周末双休,周一改用 CC 攻击,影响很大。
—— 博客园
博客园8月26日发布公告,从上周五开始遭遇大规模 DDoS 攻击后,今天11:40左右开始遭遇疑似大规模 CC 攻击,明显的特征是有很多来自海外各个国家IP的异常高频次访问请求。博客园表示,虽然针对海外访问临时采取了躲避措施,但攻击请求不仅限于海外躲不过去。博客园称,这次遇到的攻击与去年遇到的攻击类似,但今年攻击时,特地选择在工作日,周五 DDoS 攻击,周末双休,周一改用 CC 攻击,影响很大。
—— 博客园
据介绍,8月24日18点开始,攻击者集中火力猛攻亚洲的新加坡节点机房,以及Steam中国区代理的完美世界机房,到25日上午又切换到美国机房。在时间的选择上,几乎和当地游戏高峰期(当地晚上和夜间)基本重合。重点攻击目标包括了中国,美国,新加坡,瑞典,德国,奥地利,西班牙,英国,日本,韩国,澳大利亚,智利,荷兰等13个地区的107个Steam服务器IP。
Steam 受网络攻击致崩溃!奇安信分析:近60个僵尸网络,攻击一夜上涨2万倍
https://www.21jingji.com/~
https://mp.weixin.qq.com/s/DrjyvFVK14I3fExYjJNIPA
https://www.21jingji.com/~
https://mp.weixin.qq.com/s/DrjyvFVK14I3fExYjJNIPA
