谷歌威胁分析小组（TAG）报告俄罗斯黑客利用西方间谍软件公司开发的网络武器

谷歌的威胁分析小组（TAG）发现，从2023年11月到2024年7月，蒙古政府网站遭受了水坑攻击，俄罗斯支持的APT29组织涉嫌使用与Intellexa和NSO集团相同的漏洞。这些攻击针对iOS和Android用户，利用已知但未修补的漏洞（n-day exploits）来窃取cookie和用户数据。TAG已通知相关厂商和蒙古CERT，并强调了保持软件更新的重要性。攻击者使用了复杂的技术，包括Google Sheets作为C2服务器，以及针对Chrome的漏洞链。TAG将继续监测和报告0-day漏洞，以提高整个生态系统的安全性。

https://blog.google/threat-analysis-group/state-backed-attackers-and-commercial-surveillance-vendors-repeatedly-use-the-same-exploits/

Proofpoint发布新的恶意软件活动报告

Proofpoint研究人员发现了名为“Voldemort”的恶意软件活动，疑似进行间谍活动。该活动模仿多国税务机构，通过邮件发送恶意链接，影响全球70多个组织。攻击者利用Google Sheets作为命令和控制服务器，并通过特殊技术手段隐藏其攻击链。Voldemort后门程序具备情报收集能力，可能用于更广泛的间谍目的。Proofpoint未确定具体威胁行为者，但提醒需警惕此类结合了多种技术的复杂攻击。

https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

威胁者利用伪造的 Palo Alto GlobalProtect 工具瞄准中东

趋势科技发布报告，威胁行为者通过伪装成Palo Alto GlobalProtect工具的复杂恶意软件，针对中东用户进行攻击。该恶意软件采用两阶段感染程序和先进的C&C基础设施，通过名为“setup.exe”的文件传播，使用Interactsh项目进行信标传输，与特定主机名通信，报告感染进度并收集受害者信息。它能够执行远程PowerShell命令、下载和泄露文件、加密通信，并绕过沙箱解决方案，对目标组织构成重大威胁。趋势科技建议提高用户意识、实施最小权限原则、部署电子邮件和网络安全解决方案以及制定应急响应计划，以防范此类攻击。

https://www.trendmicro.com/en_us/research/24/h/threat-actors-target-middle-east-using-fake-tool.html

研究人员因与媒体分享勒索软件窃取的数据而被起诉

哥伦布市（Ohio）对安全研究员大卫·勒罗伊·罗斯（Connor Goodwolf）提起诉讼，指控他非法下载并传播由Rhysida勒索软件团伙盗取的数据。2024年7月18日，该市遭受勒索软件攻击，导致多项服务中断。尽管市政府声称没有系统被加密，但Rhysida声称盗取了6.5 TB的数据，并在未能成功敲诈后发布了其中的45%。

诉状指出，泄露的数据包括涉及执法人员的敏感信息。市长安德鲁·金瑟（Andrew Ginther）曾表示泄露信息无价值，但Goodwolf随后向媒体分享了数据样本，反驳了这一说法。哥伦布市指控Goodwolf的行为造成了社区广泛担忧，寻求禁止他进一步传播被盗数据，并要求超过25,000美元的赔偿。市政府强调，此诉讼并非为了压制言论自由，而是为了防止数据的进一步泄露。

https://www.bleepingcomputer.com/news/security/researcher-sued-for-sharing-data-stolen-by-ransomware-with-media/

Versa Director 0day使攻击者能够上传恶意文件

Versa Networks 发布了关于CVE-2024-39717的安全公告，披露了Versa Director中的一个高危漏洞，该漏洞允许恶意文件上传。Versa已发布补丁，并建议用户升级系统并遵循安全加固指南。受影响的主要是使用Versa Director的管理服务提供商。

https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/

恶意软件Lumma Stealer 通过 GitHub 评论传播

Lumma Stealer是一种危险的信息窃取软件，通过GitHub评论传播。它能够窃取敏感数据，如浏览器密码和加密货币。攻击者利用加密链接和通用密码在GitHub上散布恶意文件。为了安全，建议使用最新杀毒软件，更改密码，启用双因素认证，并避免点击可疑链接。GitHub正在努力删除这些恶意评论，但用户应保持警惕。

https://www.gendigital.com/blog/news/innovation/lumma-stealer-github

AresLoader 开发人员宣布推出新加载器

ManticoraLoader是由AresLoader开发者推出的新型恶意软件加载器。它设计用于分发各种恶意软件，包括信息窃取工具和勒索软件。ManticoraLoader具有隐蔽性强、易于定制和自动化功能，能够通过多种渠道传播，如电子邮件附件和恶意网站。该加载器的目标是提高攻击者的成功率，并增加对受害者系统的控制。研究人员警告，ManticoraLoader可能会对网络安全构成严重威胁。

https://cyble.com/blog/manticoraloader-new-loader-announced-from-the-developers-of-aresloader/