霞浦警方破获网络赌博案 | 兰山警方破获跑分洗钱案——涉网犯罪每日情报

以色列网络安全公司 Perception Point 近日发布报告，公布了关于“幻蓝行动”（Operation PhantomBlu）的最新追踪调查报告。

“幻蓝行动”是指近期针对美国企业的网络钓鱼活动，黑客制作携带有 NetSupport RAT 木马的微软 Office 文件，并通过邮件方式分发，吸引用户点击打开，从而远程窃取敏感数据。

NetSupport RAT 源自合法的远程桌面工具 NetSupport Manager，是一种恶意软件，网络犯罪分子通常利用该工具，在已经被入侵的终端上搜刮各种数据。

黑客首先会制作一封以工资为主题的钓鱼邮件，看起来像是由会计团队发送的。它要求收件人打开所附的 Microsoft Word 文档，查看每月工资报告。安全团队检查电子邮件标题（主要是 Return-Path 和 Message-ID 字段）后发现，黑客使用了一个名为 Brevo（以前称为 Sendinblue）的有效电子邮件营销平台来发送电子邮件。

受害者打开 Word 文档时，系统会要求他们输入电子邮件正文中提到的密码并启用编辑功能。然后，他们双击文档中嵌入的打印机图标，查看工资图表。后续该文件会解压名为 Chart20072007.zip 的 ZIP 压缩文件，其中包含一个 Windows 快捷方式文件，该文件可用作 PowerShell 驱动器，从远程服务器检索并执行 NetSupport RAT 安装文件。

PhantomBlu 使用加密的 .doc 文件，通过 OLE 模板和模板注入的方式发送 NetSupport RAT，这标志着 PhantomBlu 与通常与 NetSupport RAT 部署相关的传统 TTP 的不同，并添加了更新的技术，展示了 PhantomBlu 在将复杂的规避策略与社交工程相结合方面的创新。

三位网络安全专家近日发布报告，谷歌旗下 Firebase 平台实例存在配置错误问题，导致近 1900 万个明文密码曝光。

研究人员扫描了500多万个域名并发现916个网站或者未启用安全规则或者对这些规则的设置不正确。他们发现了超过1.25亿条敏感的用户记录，包括邮件、姓名、密码、电话号码和含有银行详情的账单信息。

而更为严重的是，本次曝光的 20185831 个密码中，98% 都是明文存储的，确切地说是 19867627 个密码都是纯文本。

扫描配置不当的 Firebase 实例中的被暴露个人可识别信息是研究员另外一个项目的一部分。两个月前，由于配置不当问题，他们获得了由AI驱动的招聘软件解决方案 Chattr 使用的一个 Firebase 实例上的管理员权限和“超级管理员”权限。

Chattr 的 Firebase 仪表盘中的管理员角色可用于查看与快餐店求职人员相关的敏感数据，而超级管理员权限可访问公司的账户并以公司名义执行某些任务如招聘决策等。

*以上信息由无糖学院

反网络犯罪情报研究中心收集提供

如需转载，请联系开白并注明来源