)，并由他的几个下属管理，黑鸟通过查询相关网站whois也可以发现该情况。外媒称，熟悉Joffe职业生涯的人士说，Joffe为政府实体提供专业数据和能力，有时是机密项目。在

2021年初，朝鲜APT组织Lazarus通过养推特大V账号，配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动，详细可见：通过社交媒体针对安全研究人员的社会工程学攻击活动。而就在2021年11月10日，国外安全厂商ESET曝光了该组织的另一起攻击活动，在该活动中，Lazarus组织使用了带有两个后门文件的IDA

中心（信息安全中心）指挥协调。SSU称虽然攻击过程匿名且难以发现攻击者痕迹，但他们还是根据姓名和职位确定了五名成员，SSU表示已向他们发送了"叛国罪通知"：Chernykh

2021年10月31日，国家安全机关公布某航空公司数据被境外间谍情报机关网络攻击窃取案，其称在2020年1月，某航空公司向国家安全机关报告，该公司信息系统出现异常，怀疑遭到网络攻击。国家安全机关立即进行技术检查，确认相关信息系统遭到网络武器攻击，多台重要服务器和网络设备被植入特种木马程序，部分乘客出行记录等数据被窃取。国家安全机关经过进一步排查发现，另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。经深入调查，确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施，攻击中利用了多个技术漏洞，并利用多个网络设备进行跳转，以隐匿踪迹。针对这一情况，国家安全机关及时协助有关航空公司全面清除被植入的特种木马程序，调整技术安全防范策略、强化防范措施，制止了危害的进一步扩大。要知道，航空技术在任何一个国家都是保密程度最高的，关系到国家命脉。因此针对航空系统进行进行攻击的情报机构基本所图甚大，黑鸟不妨将一些历史会攻击我国航空系统的已经公开的APT活动列一下。2020年04月14日，国家安全机关公布称，2019年9月，某境外APT组织利用特种木马，通过控制多个境外跳板设备对我国航空系统数十台计算机设备实施高强度网络攻击活动。攻击者精心伪装窃密行为，所用特种木马平时处于静默潜伏状态，接收到远程控制指令再激活运行，整个过程十分隐蔽。2020年03月，环球时报报道称，根据360披露的部分信息，CIA在针对中国航空航天与科研机构的攻击中，主要是围绕这些机构的系统开发人员来进行定向打击。这些开发人员的工作主要涉及航空信息技术有关服务，如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。因此360方面推测，CIA在过去长达11年的渗透攻击里，或许早已掌握到了中国乃至国际航空的精密信息，甚至不排除CIA已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。2019年12月，卡巴斯基发布的APT组织攻击报告总结中，提到了CIA使用的木马针对中国航空部门进行攻击。2019年9月，奇安信威胁情报中心红雨滴团队发布报告，对历史曝光的CIA网络武器及相关资料进行研究，并发现了多种网络武器文件，并且根据分析的结果与现有公开资料内容进行了关联和判定。并且还发现这些网络武器曾用于攻击中国的目标人员和机构，其相关攻击活动主要发生在2012年到2017年（与Vault7资料公开时间相吻合），并且在其相关资料被曝光后直至2018年末，依然维持着部分攻击活动，目标涉及国内的航空行业。从上述攻击事件曝光时间线来看，不难看出针对我国航空行业的针对性窃密攻击是持续性进行，攻击过程使用针对性系统漏洞，并且都异常注重隐蔽性，构建的C2回传网络复杂多变，与传统的鱼叉、水坑攻击不在同一维度。航空行业的重要性不言而喻，其中涉及到各类要员的行程、信息等等机密信息。若要让我国航空行业的网络安全防护能够达到防护顶级APT组织的水平，务必需要全方面对整个航空系统运转过程中涉及到的方方面面的系统进行网络安全演练。图片来自国际航空运输协会IATA的《航空网络安全指导手册》译文http://blog.nsfocus.net/acstf-air-3/其中不妨参考一下美国国安、五角大楼和运输部的航空电子网络安全计划，该计划不仅对真机（波音）进行安全测试，而且除飞机外，会对航空公司整个系统进行安全检查，以发现哪些地方还有漏洞。同时美国空军会检查内部的飞机网络安全系统，并与黑客问题专家、安全人员和IT专家合作，以听取他们对航空运输如何预防网络攻击的意见，往年就有在blackhat黑客大会上公开波音飞机通过机载网络系统入侵飞机核心系统的技术分析。文中事件参考链接见下文末:美国CIA网络武器库新增被动流量监听器

2021年10月，福布斯发布了一篇关于美国FBI秘密命令谷歌提供任何输入特定搜索词的人员数据，其中提及到多份意外解封的关键词搜查令的法庭文件，该文还对其中可能牵连无辜网络用户而发表了一些看法。该手段主要是利用犯罪嫌疑人可能会通过搜索引擎去进行犯罪活动踪迹回溯的心理，从而进行一个大海捞针式的逆推分析过程。根据公开信息显示，美国联邦调查局FBI和国土安全部使用该手段进行执法已经持续数年。根据19年的绑架案案例显示，为了追查犯罪嫌疑人，FBI会求助于谷歌，要求该公司提供在19年指定16

2021年4月27日，卡巴斯基发布了2021年第一季度APT活动总结，里面提到了一个新的Lambert家族木马。（未了解详情可点击查阅

2021年3月28日，有身份不明人士入侵了PHP编程语言的官方Git服务器http://git.php.net，并上传了未经授权的更新包，而包中源代码被插入了秘密后门代码。这两个恶意提交被推送到git.php.net服务器上的自托管php-src存储库中，使用的是编程语言的作者Rasmus

2020年下半年至2021年初，谷歌威胁分析小组发现并确定了一个持续针对网络和漏洞安全研究人员的攻击活动，这些研究人员在不同的公司和组织中从事漏洞研究和开发。谷歌认为这项攻击运动的发起者来自朝鲜网军。需要注意的是，这起攻击活动成立的本身，在于实施社会工程学的人员精通漏洞分析和研究，在此基础上才能成功攻击多个漏洞研究人员。攻击者首先建立了几个专注于漏洞研究的推特号。他们使用了这些Twitter个人资料来发布指向其博客的链接，并发布漏洞利用的视频，这些账号之间存在互相转发的行为。号称安全界养号策略，这点此前黑鸟也曾发布过一个伪装成漏洞研究人员发布0day剪辑视频用来骗钱的案例：外国骗子装成中国黑客制造假0day漏洞视频，骗完钱后删号走人但需要注意的是，这次的攻击者真的懂漏洞研究，并且发布的文章分析的还挺不错。博客包含已公开披露的漏洞的文章和分析，甚至有的安全研究人员还会往这投稿，可能试图在其他安全研究人员中建立更多的信誉。2021年1月14日，攻击者们通过Twitter分享了他们上传的YouTube视频，声称可以利用CVE-2021-1647（一个最近修复的Windows

X-Mode

Joker's

俄罗斯安全公司GroupIB发现了一个名为Classiscam的自动化诈骗服务计划，该服务计划主要是对诈骗钱财和获取支付信息的骗局提供自动化支持。服务方案主要通过Telegram机器人实现，只要对该机器人发送需要钓鱼的诱饵产品链接，那么机器人就会自动生成一个完整的网络钓鱼工具包，其中包括钓鱼URL链接、付款链接、退款链接等等。并且每种机器人可以支持生成十多个不同地区独有的品牌钓鱼页面，地区包括保加利亚，捷克共和国，法国，波兰和罗马尼亚。而这些机器人的幕后运营人员会针对每个品牌和国家/地区编写脚本，以帮助新加入的诈骗新手可以登录国外站点并以当地语言与受害者交流。GroupIB发现至少有40个利用Classiscam服务的犯罪组织，每个组织运行一个单独的Telegram聊天机器人。这些组织中至少有20个专注于欧洲国家。他们的平均月收入约为61000美元，但各集团的利润可能有所不同。据估计，40个最活跃的犯罪组织每月的总收入为522000美元，2020年的总收入至少650万美元。诈骗组织的层次结构类似一个金字塔，管理员位于顶部。他们负责招募新成员，创建骗局网站，注册新帐户，并在银行阻止收款人的卡或交易时提供帮助。管理员的份额约为被盗金额的20％至30％。而打工人（操作员）可以获得与受害者进行通信并向其发送网络钓鱼URL的赃款的70-80％。拨号员主要通过伪装技术专家进行诈骗，可以获取赃款的5-10%。总体而言，这些网络钓鱼类诈骗集团形成了一条诈骗链，层层分工，如下图所示。2020年夏天，GroupIB通过监测可以发现280个诈骗网站，到12月，这一数字增长了10倍，达到了3,000个。现在这个诈骗活动正在积极地从俄罗斯迁移到欧洲和其他国家。可见俄罗斯再次成为了渴望全球化的网络犯罪分子的试验场。这些诈骗组织的打工人（操作员），通过Telegram获取了钓鱼链接后，其会在流行的平台或市场和机密网站上发布诱饵广告。这些广告通常会以故意低价出售相机，游戏机，笔记本电脑，智能手机和类似物品。买方与卖方会进行联系，卖方诱使买方通过第三方通讯程序（如WhatsApp）继续进行对话。为了更具说服力，诈骗者在与受害者交谈时会使用本地电话号码，这些号码均通过黑市购得。类似的诈骗网页如下所示：而这些模仿的快递服务网站，或模仿带有付款表格的骗局网站，都可以采取钓鱼得到的受害者支付数据进行下一步的提现等操作。另一种情况是诈骗者以客户为幌子联系合法卖家，并发送模仿电汇的假付款单，同样这些付款单都是通过Telegram机器人获得，从而拿到卖家的商品或兑换的货币。到2020年底，这40个最流行的Telegram机器人中已经注册了5,000多名用户（也就是5千多个骗子）。此外，这些Telegram机器人还设有商店，诈骗者可以在其中购买各种市场的帐户，电子钱包，目标邮件和手册，甚至可以聘请律师代表出庭，当然请律师的情况是你已经被抓了。参考链接：https://www.group-ib.com/media/mammoth-migration/上期:使用Windows与Android双平台在野漏洞利用链的APT攻击活动

Bughttps://googleprojectzero.blogspot.com/2021/01/in-wild-series-chrome-infinity-bug.html[3]Chrome

2021年1月7日，The

2020年1月11日，著名俄罗斯安全公司卡巴斯基发布报告称，SolarWinds供应链攻击事件中的Sunburst后门代码与俄罗斯APT组织常用木马Kazuar后门存在代码重叠。因此，可以结合此前美国联合发布报告称，SolarWinds供应链事件可能来自俄罗斯的结论来看本文。Kazuar是.NET平台的后门程序，由PaloAlto于2017年首次报告并将Kazuar与APT组织Turla关联起来，卡巴斯基称在过去几年，Turla组织经常使用Kazuar木马。而Sunburst和Kazuar在几个不常用的模块中存在代码重叠或相似性。相似功能模块包括受害人UID生成算法，休眠算法以及FNV-1a哈希。1、使用相似休眠算法2、均使用FNV-1a哈希算法Kazuar后门shellcode使用FNV-1a哈希算法变种来查找库函数的地址。Sunburst使用经过修改的64位FNV-1a哈希来进行字符串混淆。3、用于生成受害者标识符的算法两者均使用了生成唯一受害者标识符的算法，均采用的是MD5

Future着实收集了不少威胁情报。上期(可点击)：Telegram附近的人功能存在安全风险，可被用于探测用户位置

近日，有安全研究人员指出，使用著名加密聊天软件Telegram的“附近的人”功能可以暴露用户的确切位置，且该功能长期存在。要知道，Telegram作为一款高度匿名软件，一旦暴露所处位置，可能会当场社会性死亡，目前，启用此功能的人可以看到是十几千米内的其他用户列表，从而可以添加附近的人进行聊天。而该安全研究员通过伪造自己的Android设备位置，分别定位到三个不同点的距离，然后使用三角定位法来精确定位目标的位置，从而能够使用此方法检索确切的家庭住址。当年国内各种社交APP没有对用户位置距离限定的比较严格的时候曾经被多方使用过这项技术。详细原理如下：打开Telegram，点击附近的人，可以选择查看人们离你的所在位置有多远。（此处可伪造）单击它之后，它将显示附近的人的列表，如下所示：如图所见，Telegram会告诉每个人离自己有多远。这里提一下三角定位法，其原理是利用2台或者2台以上的探测器在不同位置探测目标方位，然后运用三角几何原理确定目标的位置和距离。应用到定位领域可以见下图。(网图，侵权删除)因此可以通过伪造自己位置以获得三个点，这三个点以三角分布进行选取，这样每伪造一个位置，就获取一下你想要获取的目标地址现在显示的距离有多远，这里距离作为半径，最后用这些数据绘制三个三角剖分圆。其中伪造手机定位方法有很多种，详细可以搜索伪造定位。Telegram最多可以获取在7英里（11千里）半径范围内的用户列表。这里研究员发现目标用户住在贝里奇（Bay

”计划（译为“这只是冰山一角”，涉及敏感话题）。然后，Almisshal担心自己的手机可能会遭到黑客入侵，因此在2020年1月，他同意让Citizen

2020年12月10日，Facebook发布新闻稿称，其封禁越南黑客组织海莲花关联的IT公司账户。Facebook在调查中称，海莲花黑客组织（APT32）是总部设在越南，目标对象是越南境内和海外的越南human权活动家，老挝和柬埔寨的外国政府，非政府组织，新闻社以及许多涉及信息技术公司，酒店，农业和商品，医院，零售，汽车工业以及带有恶意软件的移动服务。Facebook将海莲花这系列的攻击活动与越南的IT公司CyberOne

Access漏洞进行攻击"这样一个主题进行。通过信息收集后表明，来自俄罗斯赞助的一个组织的攻击者正在利用此漏洞来初步访问存在漏洞的VMware工作站系统。他们通过该漏洞上传了一个Web

近日，著名开源情报分析公司贝灵猫发布了一篇关于通过太阳投射的阴影位置进行地理定位的教程，基于此以后恐怕只敢在室内拍照了，下面请看详情。首先需要先介绍一个免费工具，该工具名为SunCalc，可以用来定位计时。(Chronolocation)地址：https://www.suncalc.org/如下图所示，根据右侧的太阳阴影位置可以判断图片当前时间，并结合当地位置（右图为亚美和阿塞交战处），判断出时间大概为14:00。这个就是通过地理位置计算时间，简称定位计时。但其还有一个功能便是允许用户在任何给定的时间和日期，在任何给定的位置分析阴影和太阳的位置。通过选择日期并放大某个位置（例如马德里的太阳门广场），用户可以单击页面顶部的太阳拖动图标以查看特定时间的太阳位置。以下屏幕截图显示了2020年11月22日正午太阳在马德里的太阳门上的位置。此外，当用户选择任何对象的高度时，该算法会指示阴影的相应长度。因此，通过逆向原理，理论上，通过太阳和其投射的阴影位置，再结合一些外部因素，可以推测出当事人所处位置。下面这个教学案例，通过排除误报并确定相机在特定帧中指向哪个方向，该技术在缩小搜索范围方面可能非常有效。下面的视频是于2020年11月22日，由一名Instagram的未知用户上传，上传24小时后个人资料中便看不见该视频了。通过对该视频进行分析，视频带有时间戳，并清晰显示太阳和阴影。这是第一个提示。第二个是该用户会说葡萄牙语。换句话说，它可能是在葡萄牙语圈

具备国家背景的APT组织，一般给人带来的感觉便是拥有国家资助，但自从接连曝出朝鲜、伊朗的网军投放勒索软件，甚至进行信用卡诈骗来获取资金后，对于界定是APT攻击还是网络犯罪活动的难度开始上升。在这个前提下，又有一个具备国家背景的APT组织被曝迈入这个国家级资金获取的领域。微软365威胁分析和MSTIC发布博客称，具备越南背景的黑客组织海莲花，近期在攻击过程中布下了门罗币挖矿软件，其中每个软件都有一个唯一的钱包地址，在攻击过程中总共赚了1000多美元。攻击发生于2020年7月至2020年8月的竞选活动中，该组织将Monero（门罗币）挖矿软件部署到针对法国和越南的私营部门以及政府机构中。完整攻击流程图如下：具体步骤如下：首先海莲花会注册一个特定的Gmail账户，并制作精心设计钓鱼邮件，每封邮件针对目标组织不同的收件人，这表明已经提前进行过目标信息搜集，内容也与目标息息相关，从而引到目标打开邮件附件。钓鱼邮件主题如商务合同和简历，都是量身订做的诱饵。其中有的邮件还会出现攻击者和受害者的交流记录，主要为攻击者回复邮件引诱受害者打开恶意文档。Dựthảhợpđồng（草稿合同）Ứngtuyển–Trưởngbannghiêncứuthịtrường（申请表–市场研究负责人）恶意文档主要会下载恶意软件，其中恶意软件会通过DLL

AG窃听120国，销售产品被植入加密漏洞，而就在2020年11月25日，瑞士媒体SRF又曝光了另一家瑞士的加密公司同样参与了美国情报机构的项目，这家公司名叫Omnisec

近日，有分析指出，多个下载量近亿的Muslim祈祷、Quran经等APP被曝将用户的位置等数据共享给一家数据公司，而那家数据公司正在将这些特定APP的位置数据出售给美国军队。该分析由Motherboard报道，除了上述提到的APP，还有Muslim约会APP，Craigslist

随着全球新冠病毒大流行，世界各地的经济处于崩溃的边缘，失业率攀升。然而，勒索软件由于其匿名性和暴力性，导致一些使用勒索软件进行分发敛财的团队愈发增多。2020年以来，这些制造勒索软件的服务商，以及从这些服务商购置勒索软件用于投递给受害者的攻击者（会员），二者配合，外加服务商提供的恐吓勒索之数据曝光服务，让世界各地公司，政府，学校等等机构深恶痛疾。但勒索软件也并不是不能医治，如果杀毒软件厂商及时更新勒索软件特征，用户及时更新杀毒软件，便能在一定程度上降低系统被勒索软件加密的概率，下面黑鸟就来给大家看一下2020年以来活跃的提供勒索软件使用服务团伙，也就是我们平常说的勒索软件即服务（RaaS）。如下面的表格显示，一般有博客的团伙都会使用恐吓方法，即将加密公司系统前的数据，发布在博客上，从而要挟公司赶紧交赎金。新成立的Raas团伙：勒索市场的中坚力量：勒索软件市场的最强力量：DopplePaymer自2019年以来，DoppelPaymer，由前BitPaymer（FriedEx）勒索软件成员组成。勒索软件本身通常是在拷贝敏感数据后，再手动部署。DoppelPaymer团队运营着一个基于Tor的博客，该博客用于发布有关受感染公司及其被盗数据的信息。Egregor/Maze目前Maze（迷宫）勒索软件服务幕后团伙已经宣布将关闭其运营。然而，有分析人员指出Maze的成员或者会员已经融入Egregor勒索软件背后的服务中。Egregor在操作中遵循一种熟悉的模式：破坏公司网络以窃取敏感数据并部署勒索软件，与受害者进行通信并索取赎金，然后在受害者组织拒绝支付赎金时将敏感数据转储到博客中。有证据表明，Egregor也与Sekhmet勒索软件有关。Egregor包含与Sekhmet相同的Base64编码数据，其中最后一行包含来自受感染系统的其他参数。研究人员还发现，Egregor赎金记录与Sekhmet所使用的记录极为相似。Netwalker

从2020年11月16日开始，马里兰州创新研究所（MISI）及其DreamPort计划和赞助商美国网络司令部将举行，重点针对各类设施的控制系统网络安全和关键基础设施网络安全的网络演习。这场名为Hack

网络威胁情报（CTI）是一门情报学科，利用收集，完善和分析数字信息来应对网络空间领域中存在的威胁。网络威胁情报基于内部到外部数据源，威胁社区或商业产品中收集的数据，可以帮助检测和防御网络犯罪分子，高级持续威胁组织（APT）和黑客主义者。由美国国防部支持的Project

近日，著名安全厂商火眼发布了一款用于威胁情报分析的虚拟机，事实上就是将大量分析需要使用的工具集成在一个windows系统中，并将安装脚本发布到了github中。通过该虚拟机里面集合的工具，我们可以看出，大洋彼岸的分析师们在进行情报分析过程中需要用到的比较前沿的工具以及对应的技能，也可以看出关于这个行业未来的一些趋势。开发,

Lazarus

Cerberus银行木马，是一款专门针对安卓系统的恶意软件，最早出现在2019年6月，在发现的时候安全人员认为他是Anubis恶意软件的变种。但这个银行木马的团队却与其他编写恶意软件的团队不太一样。首先，他会站出来，在推特赛出自己的恶意软件的被杀毒软件查杀的杀软家数，嘲讽杀软们，并建议大家将他的恶意软件命名为Cerberus(地狱三头犬)他，还时刻关注安卓恶意软件分析人员的推文，并转发自己木马的分析结果下面是该作者对其木马进行宣传所发布的控制端的截图Cerberus木马控制台可提供注入的APP列表甚至还配套晒出了视频教程这款木马按照使用期限收费，由其他网络犯罪分子租用恶意软件前去攻击，从而可以达到让这些攻击者隐蔽自己，一切让提供木马服务的服务商背锅。3个月-4,000美元6个月-7,000美元12个月-12,000美元该团队声称不能退款，但可以免费测试。然而，如此高调的他，最后下场可能还是完美的，就像GandCrab勒索软件团伙最后光荣拿着20亿美元退出江湖一样。现在，Cerberus银行木马的幕后运营者正在拍卖整个项目(源代码)，起价为50000美元，可能会以双倍的价格完成交易。价格包括从源代码到客户清单的所有内容，以及安装指南和协同工作的脚本。达成协议购买者，可以使买方获得恶意APK的源代码以及模块，管理面板和服务器。公告中也提到了，他们的团队解散了，无法提供7×24小时的技术支持，因此就打算连同服务器一块卖掉，让其他人运营去。像Cerberus这样功能强大的恶意软件的标价为10万美元而且还加配备好的环境，每月至少能有1万美元的收益，因此很吸引一些擅长改装的老牌写恶意软件"专家"前来围观。要知道，Cerberus恶意软件可以检测受感染设备是否处于真实移动的状态，以确定是否为真实系统，并避免在安卓沙箱环境中运行。Cerberus程序还可以能够欺骗设备上存在的银行服务的通知，以提示受害者输入登录凭据，并窃取经过双因素认证的身份验证的短信，从而刷光受害者的钱钱。下图为Cerberus的所有功能面对这么一场公开拍卖，作为安全分析的黑鸟也只能默默吃瓜，顶多拿着他们的demo

英里的量子互联网原型，该网络最近成功完成了首次纠缠实验。为了进行进一步研究，该网络将与费米实验室运营的另一个网络相连，创建一个

Emotet银行木马，作为一个历史悠久的恶意软件家族，其一直以金融、外贸业为目标进行钓鱼攻击，属于"商贸信"攻击活动。据网上资料显示，Emotet僵尸主机已经达到百万量级，算是业界巨型僵尸网络之一。攻击模式类似下图，通过邮件加恶意宏文档的附件进行传播，伪装内容大部分为贸易相关。而近日，一个未知的正义黑客，通过使用GIF动画替换了Emotet用来分发恶意软件的下载链接，从而有效地制止了Emotet幕后团伙的攻击活动。破坏活动从7月21日开始，目前已经影响了Emotet的大部分攻击业务，有四分之一的网站对应的Payload均被替换。访问Emotet分发恶意软件链接，会出现下面的Gif当然还有其他版本整个攻击到弹gif的演示。从上面的分发链接黑鸟观察到，链接基本是正常用户的WordPress站点，事实上也确实如此，Emotet幕后团伙通过入侵这些WordPress站点，并在站点上放置木马，从而可以达到逃避追踪的结果。但偏偏，这个团伙上传到Wordpress的WebShell都使用了同一个密码。这也就意味着，一旦密码被猜解成功，所有攻击资产都得遭殃。但事实上也确实如此，Emotet僵尸网络已于周四关闭，因为Emotet团伙试图从其Web

在相继迎来了两大波关于Mongodb和ElasticSearch的自动化入侵攻击后【Mongodb服务器正被自动化入侵，备份并删库企图进行勒索】【ES服务器正被自动化入侵，删库后嫁祸给安全公司】自动化入侵数据库这个行业又迎来了新的朋友，而这位新的朋友的名字虽然很好听，但干的事却也对的上它的畜生名字：Meow

以商品价格为基础的商品指数在国际上已有近50年的历史，在这近半个世纪当中，商品指数无论在商品市场中还是在对宏观经济的分析指导中，都扮演了极其重要的角色。那么，暗网的地下市场也一样，为了研究暗网市场对世人的影响，研究其商品价格指数也同样具备深远的意义。下面就来展示一下privacyaffairs暗网研究家统计的各类热门商品的价格指数。价格显示基本为均价。克隆的信用卡和相关数据产品暗网平均价格带PIN码的克隆万事达卡$

近日黑鸟说了说美国的监视设备情况(美国执法机构使用的奇特又昂贵的监视设备)，结果留言处全是华强北华强北，那么下面说一些在中国被曝光的用于犯罪的窃照设备。该类设备由广东省广州市公安局近日展示，均为缴获的窃照设备。基本用途大概率都是菠菜相关。人民币如下图所示，摄像头夹藏在两张人民币中间，在地下赌博时钱放在桌面上就可以对赌台进行偷拍水瓶办案民警介绍，有犯罪分子将微型针孔摄像头，植入水瓶中间部位，通过商品标签掩饰，外表看上去是一个普通的水瓶，里面甚至还装有饮用水。保温杯外表平平无奇的保温杯，标签字体部位也可能暗藏针孔摄像头。而充电等开关设置在杯子底部，通过瓶底盖进行遮掩衣物此外，还有针孔摄像头伪装成皮带，或者衣服纽扣，通过衣服掩饰，外表上很难分辨手串外表上看是一个手串，其实背后另有开关打火机针孔摄像头就隐藏在打火机的侧面以上设备已经被广州市公安局网警支队侦破，名为“飓风132号”的非法生产、销售窃听窃照专用器材专案。涉案的2个团伙主要制售针孔摄像头、微型无线耳机等各类窃听窃照设备，近半年内制售设备上万套，非法收入达3000多万元，重点涉案人员62名。而据央视财经《经济半小时》调查发现，在广州市的海印电器总汇市场，各种针孔摄像机和窃听器堂而皇之地摆在多个柜台上销售。至于是否允许售卖，商家们表示他们只管卖货赚钱。至于谁买走，用于什么，他们并不关心。还有一个著名的地点也在销售此类设备，那便是广东省深圳市的华强北商业区，著名的电子产品集散地。央视财经记者发现，很多商贩在街道上，手里拿着印有数十种不同外观的窃听、偷拍设备的广告牌，拉住行人，推销自己的针孔摄像机和窃听设备。销售人员，光天化日之下，在大街上公然叫卖这类设备。感兴趣也可以看看这个节目:华强北街头公开叫卖针孔摄像机.mp4针孔摄像机和普通插座一模一样

美国黑命贵抗议活动目前已经趋于平缓，但在整个抗议运动过程中，美国警察也借此浪潮购买了大量监视设备。例如一家名为Advanced

Kitten、ITG18)组织成员的屏幕上录制的。这是与伊朗政府有联系的最活跃的国家赞助间谍团队之一。这些泄露的视频是在黑客从受害者帐户（包括美国和希腊军事人员）窃取的40

2020年7月16日，美国网络安全和基础设施安全局（CISA），英国国家网络安全中心（NCSC），加拿大通信安全机构（CSE）和美国国家安全局（NSA）发布了一份联合安全分析报告。报告指出，名为APT29的俄罗斯黑客组织正在针对美国，英国和加拿大的新冠研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来针对参与新冠研究和疫苗开发的组织。工具包括SOREFANG，WELLMESS和WELLMAIL恶意软件。报告指出，该组织使用了多个公开漏洞对存在漏洞的系统进行扫描和利用，目的是获取凭证。在针对新冠疫苗研发的近期攻击中，该组织针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后，该小组针对发现的脆弱服务部署了公共的漏洞利用程序。CVE-2019-19781

近日，据海外消息，美国总统特朗普近期在接受该报采访时首次证实，2018年美国曾对“俄罗斯互联网研究所”(巨魔工厂)进行过一次秘密攻击。而关于美国什么机构针对俄罗斯发起攻击，特朗普并未细谈。而就在今日(7月15日)，雅虎新闻忽然爆出惊天内幕：特朗普秘密赋予中央情报局(CIA)更多权力发起网络攻击。而在这篇报告中，以往的许多著名的网络攻击和数据泄露事件的幕后真凶，彷佛均浮出水面！而这事可能要从2018年9月说起，当时的博尔顿宣布特朗普已经签署了一项总统指令，以放宽奥巴马时代管理军事网络运营的规则。尽管美国政府披露了该指令的存在：国家安全总统备忘录13，但其在军事网络作战的运作流程仍然是秘密。此外，美国政府还单独对中央情报局的调查结果保密，这使该机构掌握了新的权限，新获得的权力可以协调全球“至少十二个业务”(针对的国家)。也就是说，虽然CIA已经被授权进行静默监视和数据收集的权力，但是新的权力可以使他们走得更远，"路子更野"。一些美国前官员在报道中指出，拒绝详细介绍中央情报局进行的网络操作，但他们表示，该机构已经针对伊朗和俄罗斯进行了秘密的黑客和倾销行动。▲原文截图，下文无删减一位前官员说，例如，中央情报局在网上泄露了一家表面上独立的俄罗斯公司的信息，该公司“正在为俄罗斯情报部门工作”。尽管前任官员拒绝透露更多具体信息，但BBC俄罗斯在2019年7月报道称，黑客已经入侵了SyTech的网络并窃取了约7.5

此前，黑鸟曾写过一篇关于【ES服务器正被自动化入侵，删库后嫁祸给安全公司】的文章，里面提到了黑客批量入侵嫁祸给一个安全公司的故事。巧了，今天的主角还是这个安全公司，也许就是因为这个网络安全公司得罪的黑客太多，这次他们被黑客入侵了。这里需要简单说明一下，DataViper数据泄漏监视服务由美国网络安全公司Night

ISP的秘密服务。系统仅知道目标人员进入提供商网络的登录信息就足够了，以便在他们的计算机上安装远程监视解决方案并从那里监视它们。”甚至还有一段宣传视频，介绍FinFly

此前说到，因曝光269GB美国警察数据集合，DDoSecrets推特账号被冻结一事，近日有了新的情况。(关于BlueLeaks一事请看前文)7月7日，DDoSecrets创始人Emma

2019年泰国Cert发布了一份长达273页数记录至今的APT组织以及黑产团伙攻击活动的文档资源，帮助需要了解整理这类资料的同行节省了不少时间而就2020年7月8日，泰国Cert发布了2.0版本，这个版本页数增加到了435页。在2.0版本中，有如下新增项*添加了115个黑客组织*过滤并统一所有字段*根据新的情报，对过去未归属组织的攻击活动进行填写*向所有组织添加“首次出现”年份字段*适度添加黑产组织的引用链接*添加了来自攻击组织的许多恶意软件活动，并针对这些活动对应的组织进行反向引用，例如A可能用B攻击，B引用A，AB均在百科中。*从安全供应商处添加了几个新的黑客组织名和描述（大家来找茬系列）赶紧入库八！使用指南，除了挨个复制粘贴，谷歌翻译然后进行阅读入库外，还可以多多注意一下表格字段的用意。比如拿下面这个著名Lamberts/Longhorn网军为例，相比1.1版本增加了组织首次出现的时间，并且还对使用的工具进行了更新工具一栏的[Vault

Magecart是一种攻击手法，一般攻击者会通过入侵具备商城类功能的网站，通过在网页中插入恶意Javascript代码(水坑攻击)，比如伪造虚假的输入框，并通过记录受害者在网页输入的内容，在受害者结账的时候拦截交易数据，达成转账到攻击者账户的目的。也有一部分攻击目的是获取受害者输入的信用卡号和相关信息，并在暗网以每张5至30美元的价格出售。而国外信用卡如果没有进行相关设置，那么只需要填入信用卡的一些支付信息即可刷卡支付，这对于攻击者而言是一个利好消息。在此之前，会使用MageCart攻击手法进行信用卡和个人信息窃取的攻击者一般为俄语使用者和印尼语使用者，而且多为黑产组织。而如今，国外的安全研究显示，朝鲜网军也入驻此"商业战场"。据2019年联合国报告称，此前，朝鲜的黑客活动主要局限于各国银行和韩国的加密货币市场，这些秘密的网络业务为朝鲜带来了20亿美元的外汇收入。显然，一不做，二不休，现在朝鲜将目光看向欧洲市场，毕竟欧洲是MageCart攻击的重灾区。而参战的仍然是朝鲜外汇代表，Lazarus(HIDDEN

干掉加密聊天软件已经成为了全球警察的目标，主要原因不必多说，犯罪分子总是会使用加密聊天软件进行交流和犯罪。但同样，很大一部分犯罪分子还会使用一种加密手机，该手机不仅搭载了加密聊天软件，而且还部署了各式各样的反追踪防护措施。EncroChat是一家已停产的基于移动电话的通信网络和服务提供商，也就是加密手机服务，据称很多犯罪分子曾用该公司的服务策划许多犯罪活动，该犯罪活动于2020年中期在欧洲范围内被警方渗透。此后，由于无法保证安全运营，该公司已停止运营。EncroChat服务可用于Android和Blackberry手机，并且由一家荷兰公司提供。这些手机上的GPS，相机和麦克风功能已禁用。据报道，到2020年6月，加入该服务的合同费用为

世间有两个著名数据库：Elastic和Mongodb，由于他俩的默认配置均无密码设置，因此容易被攻击者未授权访问，从而导致每次大型数据泄露的万恶之源总有这两数据库的名字。此前介绍过关于ElasticSearch服务器，因为没有设置密码被自动化删库的故事：ES服务器正被自动化入侵，删库后嫁祸给安全公司而今天，故事的主角换成Mongodb。近日，黑鸟在找某些资产的时候发现了一个Mongodb数据库出现了一个集合名

黑鸟于此前多次说过关于勒索软件加密文件后，威胁受害者并将部分数据挂到自己网站上的案例。但实际上，有很多大公司都悄悄付款了，同时因为付款意味着向攻击者屈服，对于大公司的声誉也不太好，一般这时候攻击者都会保留部分公司的泄露数据，达成"欲盖弥彰"的效果。但这里就有个案例掩盖的不太好了。2020年6月4日，Netwalker勒索软件团伙声称已成功攻击了加利福尼亚大学旧金山分校（UCSF），窃取了未加密的数据并对计算机进行了加密。*加州大学旧金山分校是一所位于加州旧金山的研究型大学，完全专注于健康科学，该分校在医学院研究中排名第二。NetWalker在其暗网网站上将该大学加入到了未支付赎金的列表中，在规定时间内不付款就会自动公布数据。作为参考，攻击者发布了一些被盗文件的屏幕截图。这些图像包括带有社会安全号码的学生应用程序，电子表格以及看起来包含员工信息，医学研究和财务状况的文件夹列表。但6月19日，该大学名字消失在网站的列表中。然而这一举措还是被眼尖的吃瓜群众发现了。迫于舆论压力，2020年6月26日该大学发布了公告，称由于学术资料很重要因此支付了部分赎金，约114万美元。而NetWalker与此前的曝光数据类勒索软件的攻击手法有所不同的是，他会通过VBS脚本进行加密模块下发，像今年3月就用了新冠相关诱饵CORONAVIRUS_COVID-19.vbsMD5:7a1288c7be386c99fad964dbd068964fNetWalker赎金信受害者需要输入指定的User

遇到文件丢失，误删文件等不可控情况时，如果文件足够重要，大部分人都会在百度搜索"文件恢复工具"，但搜索出来的软件总是参差不齐，价格或高或低，恢复效果不尽人意。而近日，作为Windows系统之父的微软，也许是想要便利人们的生活，在微软商店上发布了一个免费的8.29

Maze勒索软件团伙(迷宫)，以前安全社区将其称为ChaCha勒索软件，该勒索软件是将受害者数据发布到网站并进行勒索的元祖团伙之一。近日，Maze的官网上称，LG电子已受到Maze勒索软件攻击。该团伙声称已破坏并锁定了LG电子的网络。并声称其已经窃取了涉及LG与美国大公司的项目专有信息，而其中之一似乎就是AT＆T(美国电信)。Maze称其窃取了LG为美国大型公司开发的40GB

美国司法部周三发布的新起诉书显示，维基解密创始人阿桑奇被指控与匿名组织和LulzSec黑客组织的黑客合作，试图入侵”目标清单“。这项新的起诉书称，2012年，阿桑奇向LulzSec的领导人（当时是FBI的线人）提供了要入侵的目标组织列表，其中包括美国一家私人情报承包商。美国司法部是这样描述的：自从WikiLeaks成立之初，阿桑奇就在黑客大会上发表演讲，以宣扬自己作为“澳大利亚著名的青少年黑客”的历史，并鼓励其他黑客入侵以获取WikiLeaks的信息。例如，在2009年，阿桑奇在“随机黑客入侵”会议上说，维基解密通过利用美国国会文件分发系统内部的“小漏洞”，从国会研究服务局获得了非公开文件，然后断言“

组织正当轰轰烈烈的世界性爆料活动然然有序的进行之时，民主的气息来了。Twitter发言人称，由于该帐户共享了从美国执法机构盗取的被黑客入侵的数据的链接，他们已永久暂停@DDoSecrets