Xillen Stealer是一种新型跨平台信息窃取恶意软件,最新版本扩展了对浏览器、加密钱包和开发环境的攻击。它具备高级规避技术、伪AI检测和多态引擎,威胁个人用户和DevOps团队。开发者自称为“渗透测试专家”,声称拥有3000名成员。
前间谍软件开发者吉布森遭到间谍软件攻击,感到恐慌。他曾为Trenchant工作,负责iOS漏洞开发,收到苹果通知后才意识到自己成为攻击目标。吉布森认为自己是替罪羊,因公司怀疑他泄露Chrome漏洞而被辞退。
本文介绍了渗透测试的目标选择和信息收集方法,攻击目标分为三个梯度,优先选择私企和医疗单位。信息收集方法包括域名扫描和DNS查询,使用工具如Hunter和fofa。强调获取敏感配置文件和密码的重要性,以便进行内网渗透和横向移动,并提醒遵守网络安全法,谨慎使用技术信息。
谷歌发布2023年零日漏洞利用情况的年度回顾报告,发现97个零日漏洞被利用,增加了50%以上,但低于2021年的106个记录。企业领域成为攻击目标的种类更多,个人用户平台供应商采取了措施来减少零日漏洞的利用。报告给出六个建议,包括加强透明度和公开漏洞修复信息,建立强大的安全基础,为高风险用户提供更强的账户安全措施。
《SoK: 开源软件供应链攻击分类》论文由SAP安全研究机构、雷恩第一大学和上法兰西理工大学合作完成。论文详细梳理了开源软件供应链攻击的方式,包括107个独特的攻击向量,并总结了33个缓解措施。攻击树涵盖了代码贡献、版本控制系统、构建系统、分发平台和下游用户等五个主要攻击目标。每个攻击目标下有多个攻击向量,每个攻击向量都有相应的缓解措施。
这篇文章报告了名为Anatsa的新型手机恶意软件自2023年3月以来向美国、英国、德国、奥地利和瑞士等国的网上银行客户推送的情况。攻击者通过安卓官方应用商店Play Store分发恶意软件,已安装超过30000个。文章详细介绍了Anatsa的活动方式和攻击目标,以及用户保护安卓设备免受此类恶意软件侵害的方法。
完成下面两步后,将自动完成登录并继续当前操作。
