Cybersecurity information flow

TRUE Solicitors LLP 是一家总部位于英国，专门从事人身伤害索赔和就业法的著名律师事务所，现已成为臭名昭著的 BlackBasta 勒索软件组织的涉嫌网络攻击的受害者。该勒索软件组织宣布了对 TRUE Solicitors 的网络攻击，但没有提供有关违规程度或受损数据的详细信息。 TRUE Solicitors LLP 以其专业的律师团队而闻名，他们为寻求人身伤害赔偿和各种法律事务协助的客户提供高质量的法律代理。 针对 TRUE Solicitors 的网络攻击：未经证实 为了验证 BlackBasta 勒索软件组织的说法，Cyber Express 团队尝试访问 TRUE Solicitors LLP 的官方网站。然而，团队发现该网站完全正常运行，这给勒索软件组织声明的真实性带来了不确定性。在该公司发布正式声明之前，TRUE Solicitors 网络攻击背后的真相仍然难以捉摸。 这并不是 BlackBasta 勒索软件组织第一次成为头条新闻的主角。 2024 年，该组织将目标锁定为 Leonard’s Syrups，这是一家位于密歇根州的家族企业。暗网论坛上宣布的针对 Leonard’s Syrups 的网络攻击留下了许多悬而未决的问题，网络犯罪分子隐瞒了泄露、受损数据和其动机的关键细节。 在另一起事件中，新增了两名 BlackBasta 勒索软件组织的受害者：南方水务公司 (Southern Water) 和旭硝子玻璃公司 (Asahi Glass Co)。虽然有关攻击范围、受损数据和动机的详细信息尚未披露，但该勒索软件组织设定的暴露数据最后期限仍未知，这也凸显了情况的紧迫性。 TRUE Solicitors网络攻击的影响 如果 BlackBasta 勒索软件组织网络攻击的说法被证明属实，那么影响可能会很大。敏感法律信息和客户数据的泄露可能会对公司、其客户和合作伙伴产生深远的后果。 随着对TRUE Solicitors LLP 网络攻击的进一步调查，利益相关者正在等待该公司就此次违规行为及其影响发表正式声明。在此之前，该行业仍保持高度警惕，准备应对 BlackBasta 勒索软件组织下一次攻击的可能性。 只有时间才能证明这一说法是否属实，或者这一举动可能是网络犯罪分子试图再次散布恐惧和不确定性的氛围。 转自安全客，原文链接：https://www.anquanke.com/post/id/2

Hirsh Industries 是将金属归档、存储和组织产品的领先制造商和供应商，它已成为 RansomHouse 勒索软件组织的攻击目标。勒索软件组织的针对赫什工业公司的网络攻击引发了人们对敏感数据安全性以及对该公司运营情况的担忧。 Hirsh Industries, LLC 以其金属归档和存储解决方案而闻名，可满足个人和商业需求。该公司的收入为 1.621 亿美元，在行业中占有重要地位。 未经证实：赫什工业公司遭受网络攻击 尽管 RansomHouse 勒索软件组织已提出索赔，但尚未披露有关数据泄露程度或网络攻击背后动机的细节。访问官方网站后，该网站似乎功能齐全，没有发现任何不当行为的迹象。 RansomHouse 勒索软件组织对 Hirsh Industries 的攻击标志着他们的攻击名单中的又增添一个新成员。 RansomHouse 之前的攻击 2024 年 4 月，该组织以印度尼西亚区域开发银行Bank Pembangunan Daerah Banten Tbk 为目标。尽管该银行遭受网络攻击的全部范围尚未披露，但鉴于该银行主要针对微型企业和中小企业，其影响可能会很大。 同月早些时候，Lopesan Hotels 成为 RansomHouse 攻击的受害者，据称该组织获得了 650GB 的敏感数据，包括酒店收入和员工信息。 今年 2 月，韦伯国际大学和 GCA Nederland 成为 RansomHouse 组织的攻击目标，暗网门户网站上的受害者名单也随之增加。 RansomHouse 勒索软件组织对 Hirsh Industries 发起的攻击凸显了此类组织对全球组织构成了日益严重的威胁。尽管该说法的真实性尚未得到证实，但该事件为企业加强网络安全防御敲响了警钟。 赫什工业公司 (Hirsh Industries)是该行业的重要参与者，如果网络攻击被证实属实，其影响可能是深远的。敏感数据的泄露不仅会影响公司的运营，还会引起客户和合作伙伴的担忧。此外，潜在的财务损失和声誉损害可能是巨大的。 随着对赫什工业网络攻击的后续调查，利益相关者正在等待该公司就此次违规行为及其影响做出正式回应。 同时，此事件也敦促企业优先考虑加强网络安全措施，尽量降低成为勒索软件攻击受害者的风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/296030 封面来源于网络，

据称，总部位于美国的维生素和膳食补充剂生产商 Piping Rock 遭到入侵，攻击者访问了超过 210 万封电子邮件。 最近，某知名数据泄露论坛上出现了该公司数据的广告。罪魁祸首声称，210 万封被盗电子邮件中隐藏着近 100 万客户的个人详细信息。 攻击者据称已获得该公司 957,384 名客户的个人详细信息，包括： 电子邮件地址 名称 电话号码 家庭住址 购物信息 攻击者的帖子中写道，“管理层在谈判过程中突然停止与我们交涉”，这暗示了黑客一直在与公司讨论数据盗窃问题。 本月早些时候，同一攻击者发布了据称从加拿大折扣连锁店 Giant Tiger 窃取的数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/296014 封面来源于网络，如有侵权请联系删除

据称，一名暗网用户泄露了一个数据库，其中包含与新加坡在线招聘平台 Glints 相关的员工记录。 2024 年 4 月 23 日报道的 Glints 数据泄露事件被添加到一个暗网论坛中，样本数据被泄露，敏感员工信息被特别突出。 根据 nuovo BreachForums 平台上分享的帖子，据称此次数据泄露包含大约 1,000  条 Glint 员工个人身份信息 (PII) 的记录。 了解 Glints 数据泄露索赔 暴露的数据包括敏感详细信息，例如姓名、员工 ID、职务、电子邮件地址、出生日期、实际地址、身份证号码，甚至银行账户信息。这些记录的样本是由黑客提供的，这增加了指控的分量。 这次 Glints 数据泄露的影响延伸到了 Glints Pte Ltd 和 Glints Singapore Pte Ltd 这两个与该招聘平台密切相关的实体。由于新加坡是这一事件的焦点，人们担心这些数据可能被滥用，尤其是在专业服务行业。 BreachForums 上 sedapmalam 发布的帖子明确列出了大量信息，这一全面数据转储凸显了涉嫌违规行为的严重性以及受影响者面临的潜在风险。 对违规和漏洞评估计划的响应 有趣的是，虽然 Glints 网站似乎可以运行，但没有迹象表明前端受到网络攻击。这表明黑客可能绕过了传统的安全措施，直接针对组织的数据库。 值得注意的是，Glints 有一个专门的服务页面，用于邀请安全研究人员识别其平台内的漏洞。虽然招聘公司的数据泄露和漏洞评估平台之间可能的联系尚未得到证实，但所谓的泄露引发了人们对被盗数据是否属于该计划的一部分或只是在暗网平台上重新发布的质疑。   转自安全客，原文链接：https://www.anquanke.com/post/id/295992 封面来源于网络，如有侵权请联系删除

瑞典唯一的酒类零售商 Systembolaget 警告称，勒索软件的攻击导致其主要饮料供应商之一瘫痪，饮料可能很快就会售空。 据当地媒体报道，瑞典饮料供应商 Skanlog 最近遭受朝鲜勒索软件攻击。这次攻击破坏了该公司的 IT 系统，这意味着三个大型饮料仓库无法将货物运送到 Systembolaget 的零售店。 Systembolaget 是一家国有连锁酒类商店，是瑞典唯一一家获准销售酒精含量超过 3.5% 的酒精饮料的商店。根据 Systembolaget 的声明，Skanlog 的供应中断影响了该零售商四分之一的销量。 虽然目前不存在饮料短缺，但总体情况将取决于 Skanlog 恢复运营的速度。与此同时，供应商无法透露何时恢复运送酒精，导致瑞典人需要提前备货。 Skanlog 首席执行官 Mona Zuko 表示，该公司成为了携带 Lockbit 3.0 勒索软件的朝鲜黑客的攻击目标。攻击者于 4 月 21 日晚对该公司的文件进行了加密。   转自安全客，原文链接：https://www.anquanke.com/post/id/295995 封面来源于网络，如有侵权请联系删除

Keonne Rodriguez 和 William Lonergan Hill 被美国司法部指控通过 Samourai（他们运营了近十年的加密货币混合服务）从各种犯罪企业洗钱超过 1 亿美元。 正如替代起诉书中详细描述的那样，犯罪分子还使用 Samourai 的 Whirlpool 加密货币混合器在 2015 年至 2024 年 2 月期间处理了超过 20 亿美元的非法资金。 除了加密货币混合服务外，Samourai 还提供了一项名为“Ricochet”的服务，该服务允许用户使用额外的和不必要的中间交易发送加密货币，以阻止执法和加密货币交易追踪来自犯罪活动的资金。 据称，这项洗钱活动为两位创始人从 Whirlpool 和 Ricochet 交易中赚取了约 450 万美元的费用。 “自 2019 年左右启动 Whirlpool 服务以及 2017 年左右启动 Ricochet 服务以来，超过 80,000 BTC（按每笔交易时的 BTC 兑美元汇率计算，价值超过 20 亿美元）已通过这两个渠道Samourai 运营的服务”，起诉书称。 Samourai 的 Wallet 移动应用程序下载量也超过 10 万次，允许用户存储他们控制的 BTC 地址的私钥，并在匿名金融交易中与其他 Samourai 用户交换资金。 冰岛执法部门已查封 Samourai 的域名（samourai[.]io 和 samouraiwallet[.]com）和网络服务器，Google Play 商店在收到查封令后删除了 Android 移动应用程序。 罗德里格斯今天早上被拘留，并将在接下来的几天内在宾夕法尼亚州西区的美国治安法官面前出庭。 希尔今天上午也在葡萄牙因美国刑事指控而被捕，美国政府计划要求将他引渡到美国，以便他可以接受审判。 他们均被指控犯有两项共谋罪：洗钱（最高刑期 20 年）和经营无证汇款业务（最高刑期 5 年）。 美国司法部表示：“被告在提供 Samourai 作为‘隐私’服务时，知道这是犯罪分子进行大规模洗钱和逃避制裁的避风港。” “Samourai 清洗了超过 1 亿美元的犯罪所得，这些犯罪所得除其他犯罪来源外，还包括丝绸之路和 Hydra 市场等非法暗网市场；各种电信欺诈和计算机欺诈计划，包括网络服务器入侵、鱼叉式网络钓鱼计划以及诈骗多个去中心化金融协议的计划和其他非法行为。”   转自E安全，原文链接：htt

科学家们正在研究人工智能对抗人工智能，以识别深度伪造视频。 人工智能生成的内容已经流行了一段时间，但视频生成最近又发展到了新的高度。自二月份发布以来，OpenAI 的 Sora 以其超现实的合成内容而令人惊叹，所有这些内容都是使用文本提示生成的。这就是它让人们相信其真实性的能力，生成内容现在引起了人们对错误信息传播的日益担忧。 德雷克塞尔工程学院的多媒体和信息安全实验室 (MISL) 十多年来一直致力于创造操纵图像的技术。 目前现有的方法对人工智能生成的视频无效。科学家们评估了 11 种可供公众使用的合成图像探测器。这些程序显示出很高的效率，在检测被篡改的图像方面至少有 90% 的准确率。然而，当负责识别公开可用的 AI 生成器生成的视频时，它们的性能下降了 20-30%。 德雷克塞尔工程学院副教授兼 MISL 主任马修·斯塔姆 (Matthew Stamm) 博士在一份报告中表示：“在没有一个好的系统来检测不良行为者制造的假货之前，这种视频技术就已经发布，这真是令人不安。” Stemm 认为，一旦该技术公开，恶意使用就不可避免。“这就是为什么我们正在努力通过开发新技术来从媒体特有的模式和特征中识别合成视频，以保持领先地位。”他补充道。 直到最近，图像处理还依赖于照片和视频编辑程序来改变像素、调整速度或操纵帧。然而，这些编辑留下了数字痕迹，MISL 的科学家已经使用他们的工具套件有效地识别了这些痕迹。 虽然文本到视频生成器不是由相机生成的，也不是由视觉软件编辑的，但它们在检测操纵方面提出了新的挑战。在 MISL 的最新研究中，科学家们决定使用 AI 对抗 AI 来确定生成式 AI 程序如何构建视频。他们成功地训练了一种称为约束神经网络的机器学习算法。 该网络能够在粒度级别上了解合成视频的外观，并将这些知识应用于使用 AI 视频生成器生成的一组新视频，例如Stable Video Diffusion, Video-Crafter, and Cog-Video，以及以前未知的程序。 该算法在识别合成视频和准确识别用于创建视频的程序方面的效率超过 93%。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/naGdbz_1Uj0JPUrc50mSUg 封面来源于网络，如有侵权请联系删除

知名智能门铃/摄像头厂商 Ring，不但未能阻止员工和黑客窥探用户，而且未经用户同意使用用户视频训练算法，其产品在乌克兰等地甚至被滥用成监控工具，最终因产品安全漏洞和用户隐私泄露而遭受重罚。 近日，美国联邦贸易委员会(FTC)将向智能家居安防厂商 Ring 的用户发放总计 560 万美元的退款，主要原因如下： Ring 用户的私人视频录像遭到亚马逊员工和承包商的未经授权访问 Ring 未经用户同意使用用户视频训练算法 因产品安全防护不足导致用户账户和设备被黑客入侵 该处罚是 2023 年 5 月 FTC 针对 Ring 提起诉讼后达成的和解协议的一部分。诉讼指控 Ring 未实施足够的安全措施来保护设备免遭未授权访问。 Ring 是亚马逊的一家子公司，以其智能家居安防产品而闻名全球，主打产品包括视频门铃、室内外安全摄像头、中央警报集线器、智能传感器、运动感应灯等。这些设备连接互联网，用户可以通过移动应用程序远程访问和控制。 FTC 在最初的起诉书中称，Ring 为了提高工作效率和开发速度，允许其员工无限制访问用户的Ring 设备。此外，Ring 还向高级客户支持人员授予了高级访问权限，其中包括数百名位于乌克兰和其他地方的第三方承包商，他们可以在没有限制的情况下操作设备，无法保护客户免遭滥用访问的侵害。 除了内部访问政策松懈之外，FTC 还指控Ring 直到 2019 年才实施基本的安全措施，例如多因素认证(MFA)。这使得用户账户更容易被劫持，攻击者可以通过凭证填充和暴力破解攻击来访问私人视频录像。 作为对用户损失的补偿，根据和解协议，FTC 将通过PayPal 向 11.7 万名 Ring 用户（由 Ring 提供名单）直接发放退款。 FTC 指出，所购买产品存在投诉中指控的隐私和安全问题的 Ring 用户都有资格获得退款。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16236.html 封面来源于网络，如有侵权请联系删除

近日，网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。 老牌恶意软件藏身U盘 PlugX 是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到 2008 年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后，PlugX 被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。 PlugX 的最新变种增加了蠕虫组件，可通过 U 盘感染物理隔离系统。2023 年派拓网络公司（PaloAltoNetwork）的 Unit42 团队在响应 BlackBasta 勒索软件攻击时，在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播，并能将目标敏感文件隐藏在 U 盘中。 2023 年 3 月，Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种，并称其已经“传播了半个地球”。 全球 250万台主机中招，中美都是重灾区 六个月前，Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种（Sinkhole）的命令和控制(C2)服务器。 在 Seqoia 联系托管公司并请求控制 IP 后，研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ，并使用该 IP 获得了对服务器的 shell 访问权限。 分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，捕获来自受感染主机的 HTTP 请求并观察流量的变化。 C2 服务器的操作记录显示，每天有 9-10 万个主机发送请求，六个月内全球有近 250 万个独立 IP 连接到该服务器（下图）： 研究人员发现，PlugX 已传播到全球 170 个国家，但集中度较高，15 个国家占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。 研究人员强调，由于被废弃的 PlugXC2 服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为： 许多受感染的工作站可以通过相同的 IP 地址连接 由于采用动态 IP 寻址，一个受感染系统可以连接多个 IP 地址 许多连接是通过 VPN 服务进行的，这可能使来源国家/地区的数据失真 两种杀毒方法 Sekoia 建

有研究人员披露，黑客目前正积极利用 WordPress 的 WP Automatic 插件中的一个严重漏洞来创建具有管理权限的用户账户，并植入后门以实现长期访问。 WP Automatic 现已被安装在 30000 多个网站上，让管理员自动从各种在线资源导入内容（如文本、图片、视频），并在 WordPress 网站上发布。该漏洞被认定为 CVE-2024-27956，严重程度为 9.9/10。 3 月 13 日，PatchStack 漏洞缓解服务的研究人员公开披露了这一漏洞，并将其描述为一个 SQL 注入漏洞，存在于插件的用户验证机制中，攻击者可以绕过该机制来执行恶意 SQL 查询。 通过发送特制请求，攻击者还可以将任意 SQL 代码注入站点的数据库并获得提升的权限。可能影响到 3.9.2.0 之前的 WP Automatic 版本。 已观察到超过 550 万次攻击尝试 自 PatchStack 披露该安全问题以来，Automattic 的 WPScan 已观察到超过 550 万次试图利用该漏洞的攻击，其中大部分攻击记录于 3 月 31 日。 WPScan 报告称，在获得目标网站的管理员访问权限后，攻击者会创建后门并混淆代码，使其更难被发现。 WPScan 的一份报告中指出：一旦 WordPress 网站被入侵，攻击者就会通过创建后门和混淆代码来确保其访问的持久性。为了防止其他黑客利用同样的问题入侵网站并避免被发现，黑客还会将有漏洞的文件重命名为 “csv.php”。黑客一旦成功控制了网站，通常会安装额外的插件，允许上传文件和编辑代码。 WPScan 提供了一套入侵指标，可以帮助管理员确定网站是否被黑客入侵。管理员可以通过查找是否存在以 “xtw ”开头的管理员账户以及名为 web.php 和 index.php 的文件（这两个文件是在最近的攻击活动中植入的后门）来检查黑客接管网站的迹象。 为降低被入侵的风险，研究人员建议 WordPress 网站管理员将 WP Automatic 插件更新到 3.92.1 或更高版本。 为了应对这种威胁，研究人员敦促网站所有者立即采取行动保护他们的 WordPress 网站。并提出了几种主要的缓解措施，包括： 插件更新： 确保 WP-Automatic 插件已更新到最新版本。 用户帐户审查：定期审查和审核 WordPress 中的用户帐户，删除任何未经授权或可疑的管理员用户。 

科技巨头思科周三警告称，国家支持的专业黑客团队正在利用其 ASA 防火墙平台中的至少两个 0day 漏洞，在电信和能源部门网络上植入恶意软件。 根据思科 Talos 的一份报告，攻击者瞄准运行思科自适应安全设备 (ASA) 或思科 Firepower 威胁防御 (FTD) 产品的某些设备中的软件缺陷，植入恶意软件、执行命令，并可能从受感染的设备中窃取数据。 该活动标记为 ArcaneDoor，利用思科产品中两个已记录的软件漏洞（CVE-2024-20353 和 CVE-2024-20359），但思科公司的恶意软件猎人仍然不确定攻击者是如何入侵的。 “我们尚未确定此次活动中使用的初始访问向量。迄今为止，我们尚未发现预身份验证利用的证据。”思科 Talos 表示。 “ArcaneDoor 是一项由国家背景的黑客组织针对多个供应商的外围网络设备发起攻击的最新例子。对于这些攻击者来说，外围网络设备是针对间谍活动的完美入侵点。”思科解释说，并指出，在这些设备上获得立足点可以让攻击者直接进入组织、重新路由或修改流量并监控网络通信。 思科表示，一位未透露姓名的客户于 2024 年初向其 PSIRT 团队通报了 ASA 防火墙产品的“安全问题”，启动了一项调查，最终发现了黑客活动（Talos 追踪为 UAT4356，微软威胁情报中心追踪为 STORM-1849） 。 该公司表示，该攻击者使用了定制工具，表现出对间谍活动的明确关注以及对其目标设备的深入了解，这是成熟的国家资助攻击者的标志。 思科表示，它观察到黑客团队部署了两个后门，这些后门共同用于针对目标进行恶意操作，其中包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。 该公司警告称：“思科与受害者和情报合作伙伴合作，发现了一个复杂的攻击链，该攻击链用于植入定制恶意软件并在一小部分客户中执行命令。” 思科研究人员表示，网络遥测和情报合作伙伴提供的信息表明，黑客有兴趣刺探微软和其他供应商的网络设备。 思科表示：“无论您的网络设备提供商是谁，现在都是确保设备正确修补、登录到中央安全位置并配置为具有强大的多因素身份验证 (MFA) 的时候了。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pU4AlNI8VyIAlfuOBs2llQ 封面来源于网络，如有侵权请联系删除

美国财政部外国资产控制办公室 (OFAC) 对四名伊朗国民实施制裁，因为他们参与了针对美国政府、国防承包商和私营公司的网络攻击。 OFAC 还制裁了与伊朗伊斯兰革命卫队网络电子司令部 (IRGC-CEC)有关联的两家幌子公司 Mehrsam Andisheh Saz Nik (MASN) 和 Dadeh Afzar Arman (DAA) 。 伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC）是伊朗政府内负责网络安全和网络战的组织。由于其参与各种网络活动，它被包括美国在内的许多国家视为主要威胁。 这些伊朗国民参与了针对十几家美国公司和政府实体的袭击。他们发起了鱼叉式网络钓鱼和恶意软件攻击。美国司法部和联邦调查局针对这四人在这些网络行动中所扮演的角色提起了起诉书。 美国财政部负责恐怖主义和金融情报的副部长布莱恩·尼尔森 (Brian E. Nelson) 表示：“伊朗恶意网络行为者继续以协调一致的多管齐下的行动针对美国公司和政府实体，旨在破坏我们关键基础设施的稳定并对我们的公民造成伤害。” 。“美国将继续利用我们的整体政府方法来揭露和破坏这些网络的运营。” 伊朗网络行为者坚持通过各种网络活动瞄准美国，包括针对关键基础设施的勒索软件攻击以及针对个人、公司和政府实体的鱼叉式网络钓鱼活动。 这四名伊朗公民是 Hossein Harooni、Reza Kazemifar、Komeil Baradaran Salmani 和 Alireza Shafie Nasab，他们被指控参与利用鱼叉式网络钓鱼和其他黑客技术窃取数十万企业员工账户的恶意软件操作。 Alireza Shafie Nasab 和 Reza Kazemifar Rahman 在 MASN 工作期间针对美国实体。卡泽米法尔参与了针对财政部的袭击。 Hosein Mohammad Harooni 使用鱼叉式网络钓鱼和社会工程攻击财政部和其他美国实体。 Komeil Baradaran Salmani 与多家 IRGC-CEC 幌子公司合作，参与针对包括财政部在内的多个美国实体的鱼叉式网络钓鱼活动。 “由于今天的行动，上述指定人员在美国或由美国人拥有或控制的所有财产和财产权益均被封锁，并且必须向 OFAC 报告。此外，由一名或多名被封锁人员直接或间接、单独或合计拥有 50% 或以上股份的任何实体也将被封锁。 除非获得 OFAC 颁发的一般或特定许可证授权或豁免，否

近日，Citizenlab 研究人员调查了多家厂商的输入法应用安全漏洞并报告称：除华为以外，百度、荣耀、科大讯飞、OPPO 、三星、腾讯、Vivo 和小米等供应商的九款应用程序中有八款均存在安全漏洞。 随着用户规模的不断增长，云输入法应用的后端技术正变得越来越复杂，人们对此类应用的潜在安全风险也越来越重视。其中，用户数据在云服务器上是否安全；信息从用户设备传输到云服务器的过程中是否安全是研究人员关注的两个重点问题。 为此，研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO 、vivo和荣耀输入法的多个平台版本（安卓、iOS 和 Windows 版本）。 其中腾讯、百度和科大讯飞是键盘输入法应用的开发者；三星、华为、小米、OPPO 、vivo和荣耀是手机制造商，它们要么自己开发了键盘输入法，要么预装了上述三个输入法产品。 为了更好地了解这些厂商的键盘应用是否安全地实现了其云推荐功能，研究者对这些输入法进行了安全分析以确定它们是否充分加密了用户的输入按键记录。 对九家厂商的输入法进行分析后，研究者发现只有华为的输入法应用在传输用户按键记录时未发现任何安全问题。其余八家厂商的每一家至少有一款应用发现了漏洞，黑客可以利用该漏洞完全窃取用户输入的内容。 去年 8 月，多伦多大学跨学科实验室发现了腾讯搜狗输入法中的加密漏洞，此次披露的信息建立在该实验室此前研究的基础上。 据估计，有近十亿用户受到这类漏洞的影响，其中搜狗、百度和 iFlytek 的输入法编辑器（IME）占据了很大的市场份额。 已发现出现漏洞的输入法应用如下： 腾讯 QQ 拼音易受 CBC padding oracle 攻击，可恢复明文 百度输入法，由于 BAIDUv3.1 加密协议中的错误，允许网络窃听者解密网络传输并提取 Windows 上键入的文本 iFlytek IME，其安卓应用程序允许网络窃听者恢复未充分加密的网络传输明文 安卓系统上的三星键盘，通过未加密的纯 HTTP 传输按键数据 小米手机，预装了百度、iFlytek 和搜狗的键盘应用程序 OPPO，预装了百度和搜狗的键盘应用程序 vivo，预装搜狗 IME 荣耀，预装百度 IME 由于输入法安全漏洞可导致个人财务信息、登录账号和隐私泄露。因此研究人员建议使用这些键盘的用户及时更新应用程序和操作系统，并改用完全在设备上操作的键盘应用程序，以减少这些隐私问题。 隐私专家建议手机用户应保持

日前，Egress 公司公布，2023 年二维码网络钓鱼（QR）攻击数量急剧增加。2021 年和 2022 年，网络钓鱼电子邮件中的二维码有效载荷相对较少，分别占攻击总数的 0.8% 和 1.4%。2023 年，这一比例跃升至 12.4%。 据悉，黑客使用社会工程学发起的攻击案例同样有所增加，目前已经占到网络钓鱼攻击的 19%，这种情况发生的原因可能是生成式人工智能技术的大量使用。 另一方面，自 2021 年以来，附件型有效载荷的使用有所减少，三年前，在 Egress 检测到的攻击中，附件型有效载荷占 72.7%，到了 2024 年第一季度，随着黑客不断改进有效载荷，这一比例已降至 35.7%。 黑客利用人工智能技术，进行深度伪造和自动网络钓鱼 从研究人员发布的信息来看，深度伪造已经成为了当下“头条新闻”，与 2023 年最后一个季度相比，2024 年第一季度使用 Zoom 和移动电话作为多渠道攻击链路的情况有所增加；Zoom 增加了 33.3%，移动电话增加了 31.3%。 研究人员预测，未来 12 个月及以后，网络攻击中使用视频和音频深度伪造的情况将会继续大幅度增加。 生成式人工智能技术的出现大大提高了攻击成功率，黑客可以利用该技术轻松创建恶意软件、网络钓鱼网站和电汇欺诈攻击发票等有效载荷，最大程度上简化了网络黑客的作案流程，并以更快的速度提供了更高效的攻击策略。 此外，研究人员还发现，2024 年前三个月，通过 SEG 检测的攻击数量增加了 52.2%。其中 68.4% 的攻击通过了验证检查，甚至包括 SEG 使用的主要检测能力 DMARC。 与集成云电子邮件安全 （ICES） 解决方案不同，SEG 对合法的但已经遭到入侵的第三方帐户效果相对较差，而大多数攻击却都是从这些帐户发送出来。（SEG 位于网络边缘，利用定义库并使用基于签名和基于信誉的检测扫描已知威胁。） 混淆技术经常绕过 SEG，例如劫持合法超链接和屏蔽基于图像的附件（如 JPEG）中指向网络钓鱼网站的超链接，这两种技术占绕过 SEG 的混淆方法的 45.5%。 金融、法律和医疗保健等行业是网络钓鱼攻击的首要目标 报告显示，千禧一代是网络钓鱼攻击的首要目标，收到了 37.5% 的网络钓鱼电子邮件。最受网络钓鱼攻击“喜爱”的行业是金融、法律和医疗保健，其中会计和财务团队的员工收到的网络钓鱼电子邮件最多，其次是营销和人力资源。 值得注意的是，有 13

日前，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 例如上传到 GitHub 的文件 URL 地址可以表明来自微软，但事实上该项目代码中从未提及相关内容，IT 之家附上两个案例如下： https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件，然后通过 GitHub 链接进行分发。 而且这些链接属于 GitHub 官方 URL 域名，且后缀是“Microsoft”等官方储存库，因此用户很大几率认为该 URL 下载链接的内容是正规安全的。 GitHub 目前已经删除了部分恶意软件链接，对尚未完全修复该漏洞。对于开发者而言，现阶段没有足够有效的方法阻止这种滥用，唯一的方案就是完全禁用 comment。     转自FreeBuf，原文链接：https://www.freebuf.com/news/399336.html 封面来源于网络，如有侵权请联系删除

据称，一家名为 Spy.pet 互联网搜索公司自 2023 年 11 月以来一直在抓取并收集 Discord 用户数据，数量已达 40 亿条。 据报道，这些信息可公开访问，分别从 14201 台服务器上收集，而这些服务器上累计有超过 6 亿名用户。 虽然目前还不清楚该网站的所有者是谁，但从抓取这些数据的性质表明，Discord  与机器人或第三方应用程序的交互方式存在潜在安全漏洞。此前，来自 Chess、Clubhouse、LinkedIn、Mastodon 和 GETTR 的废弃数据库也曾泄露在了网络上。 Spy.pet 是一个聊天信息收集平台，它通过包含已知别名、代词、连接账户、Discord 服务器和公开消息的配置文件收集用户数据。该平台只接受加密货币支付，用户必须购买信用点数（每个信用点数 0.01 美元，至少 500 个信用点数）才能访问个人资料、对话档案和搜索服务器。 2024 年 2 月，该平台遭到 DDoS 攻击，但平台所有者声称损失很小。 安全专家怀疑，Discord 聊天中泄露的数据可能会暴露个人信息、私人照片和视频、财务细节和公司机密。其中，财务细节可能成为诈骗者的目标，如果 Discord 用于商务沟通，则可能暴露公司机密。 目前，Discord 称已经在调查 Spy.pet，并致力于保护用户的隐私。如果发现违反其服务条款和社区准则的行为，公司计划采取适当措施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399310.html 封面来源于网络，如有侵权请联系删除

与俄罗斯有联系的 APT28 黑客组织将 Microsoft Windows Print Spooler 组件中的安全漏洞武器化，以传播一种名为 GooseEgg 的先前未知的自定义恶意软件。 据称，该工具最早能追溯到 2019 年 4 月，至少从 2020 年 6 月开始使用，它利用了一个现已修补的缺陷，漏洞允许权限升级（CVE-2022-38028，CVSS 评分：7.8）。 Microsoft  在 2022 年 10 月发布的更新中解决了这个问题，美国国家安全局 (NSA) 当时报告了该缺陷。 根据微软威胁情报团队的最新发现，APT28组织将该漏洞武器化，用于针对乌克兰、西欧和北美政府、非政府、教育和交通的攻击部门组织。 至少从 2020 年 6 月开始，可能最早在 2019 年 4 月，Forest Blizzard 就使用该工具（微软称之为 GooseEgg）通过修改 JavaScript 约束文件并使用系统级权限执行该文件来利用 Windows Print Spooler 服务中的 CVE-2022-38028  漏洞。 Microsoft 观察到 Forest Blizzard 使用 GooseEgg 作为针对乌克兰、西欧和北美政府、非政府组织、教育和交通部门组织等目标的攻击活动的一部分。 虽然是一个简单的启动器应用程序，但 GooseEgg 能够生成在命令行中指定的具有提升权限的其他应用程序，允许攻击者支持任何后续目标，例如远程代码执行、安装后门以及通过受感染的网络横向移动。 近几个月来，APT28 黑客还滥用了 Microsoft Outlook 中的权限提升漏洞（CVE-2023-23397，CVSS 得分：9.8）和 WinRAR 中的代码执行漏洞（CVE-2023-38831，CVSS 得分：7.8），这表明他们能够迅速将流行安全漏洞应用到他们的间谍技术中。 微软表示：“Forest Blizzard（森林暴雪）部署 GooseEgg 的目的是获得对目标系统的更高访问权限并窃取凭据和信息。” “GooseEgg 通常使用批处理脚本进行部署。” GooseEgg 二进制文件支持触发漏洞利用的命令并启动动态链接库 (DLL) 或具有提升权限的可执行文件。它还验证是否已使用 whoami 命令成功激活漏洞。 微软敦促客户尽快应用 2022 年发布的 Print Spooler 漏洞的安全更新以

EDR/XDR 是当前流行的网络安全解决方案，在高级威胁检测中发挥着重要作用，监控着数以百万计的端点和服务器。然而，权力越大，责任越大，这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“，用来部署勒索软件、窃取机密信息，而且难以被发觉和删除。 近日，安全研究员 Shmuel Cohen 在 Black Hat Asia 大会上展示了如何用逆向工程破解 Palo Alto Networks 的 Cortex XDR 安全软件，并将其转换为隐蔽持久的“超级恶意工具“，用于部署后门程序和勒索软件。这一发现凸显了 EDR/XDR 等强大安全工具的潜在风险，也为网络安全防御敲响了警钟。 XDR（Extended Detection and Response）是一种集成了威胁检测、调查和响应功能的安全解决方案，能够为企业提供全面的安全防护。然而，强大的功能也伴随着潜在的风险。Shmuel Cohen 的研究表明，EDR/XDR 本身也可能成为攻击者的目标，被用来实施恶意攻击。 Cohen 通过逆向工程和分析 Cortex XDR 软件，发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了 Cortex XDR 的安全机制（包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护）。 具体来说，Cohen 做到以下几件事： 修改了 XDR 的安全规则，使其无法检测到他的恶意活动。 部署了后门程序，使他能远程控制受感染的计算机。 植入了勒索软件，向受害者索取赎金。 敏感用户账号泄露 在系统中长期驻留（无法从管理界面远程删除） 整机加密（FUD） 完整的 LSASS 内存转储 隐藏恶意活动通知 绕过 XDR 管理员密码 全面利用XDR 实施攻击 Cohen 指出，虽然 Palo Alto Networks 与其合作修复了漏洞并发布补丁程序，但其他 XDR 平台也很可能存在类似的漏洞，容易受到攻击。 Cohen 的攻击证明，即使是像 Palo Alto Cortex XDR 这样的知名安全软件也并非绝对安全。 安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落。 例如，为了跨 IT 系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除。 这意味着一旦攻击者

近日，有研究人员发现，在针对美国、英国、德国和日本系统的攻击活动中，有黑客使用了网络缓存来传播恶意软件。 研究人员认为，该活动的幕后黑手是 CoralRaider。该组织曾发起过多次窃取凭证、财务数据和社交媒体账户的攻击活动。此外该黑客还提供 LummaC2、Rhadamanthys 和 Cryptbot 信息窃取程序，这些信息窃取程序可在恶意软件即服务平台的地下论坛上获得，但需要支付订阅费。 思科 Talos 根据战术、技术和程序 (TTP) 与该黑客以往攻击的相似性，以中等可信度评估该活动是 CoralRaider 的行动。特别是通过初始攻击载体、使用中间 PowerShell 脚本进行解密和有效载荷传输，以及绕过受害者计算机上的用户访问控制 (UAC) 的特定方法等等进行了进一步评判。 CoralRaider 感染链 Cisco Talos报告称，最新的CoralRaider攻击始于受害者打开一个包含恶意Windows快捷方式文件（.LNK）的压缩包。目前还不清楚这个存档是如何发送的，但它可能是恶意电子邮件的附件，也可能是从不受信任的位置下载的，还可能是通过恶意广告推广的。 LNK 包含 PowerShell 命令，可从 Bynny 内容分发网络 (CDN) 平台上攻击者控制的子域下载并执行严重混淆的 HTML 应用程序 (HTA) 文件。 通过使用 CDN 缓存作为恶意软件交付服务器，黑客避免了请求延迟，同时也欺骗了网络防御系统。 HTA 文件包含 JavaScript，可解码并运行 PowerShell 解密器脚本，该脚本可解压第二个脚本，在临时文件夹中写入批脚本。其目的是通过修改 Windows Defender 排除项来保持不被发现。 本机二进制文件 FoDHelper.exe LoLBin 用于编辑注册表键值和绕过用户访问控制（UAC）安全功能。 完成这一步后，PowerShell 脚本会下载并执行三种信息窃取程序（Cryptbot、LummaC2 或 Rhadamanthys）中的一种，这些程序已被添加到 Defender 扫描排除的位置。   信息窃取有效载荷 Cisco Talos 称，CoralRaider 使用的是新的 LummaC2 和 Rhadamanthys 版本，它们在 2023 年底增加了捕获 RDP 登录和恢复过期谷歌账户 cookie 等强大功能。虽然 Crypt

据研究数据显示，今年第一季度勒索软件行为者陷入困境，因为越来越多的公司拒绝支付勒索金，导致 2024 年第一季度只有 28％ 的公司支付了赎金，这是有记录以来的最低点。这一数字在 2023 年第四季度是 29％ ，Coveware 的统计数据显示自 2019 年初开始支付额持续减少。这种减少是由于组织实施了更加先进的保护措施、不屈服于勒索者财务要求的法律压力日益增加，以及网络犯罪分子多次违背了赎金支付后不公开或转售被盗数据的承诺。 然而，需要注意的是，尽管支付率下降，给勒索软件行为者的支付金额却比以往任何时候都要高，根据 Chainalysis 的报告，去年达到了11 亿美元。 这是因为勒索软件团伙通过提高攻击频率和要求更高的金额来避免暴露被盗秘密并向受害者提供解密钥匙，从而影响了更多的组织。 关于 2024 年第一季度，Coveware 报告，平均赎金支付额环比下滑 32％ ，现在为 381,980 美元，而中位数赎金支付额环比上涨 25％ ，为 250,000 美元。 平均和中位数赎金支付额同时下降和上升表明高额支付的减少和适中金额的增加。这可能是由于勒索要求变得更加谦逊和/或少有高价值目标屈服于勒索。 关于最初的渗透方式，报告上半年几乎有一半的情况都是未知的。 在那些已确定的情况中，远程访问和漏洞利用起了最大的作用，其中 CVE-2023-20269，CVE-2023-4966 和 CVE-2024-1708-9 漏洞在第一季度被勒索软件操作者更广泛地利用。 执法效应 Coveware 报告显示，FBI 的 LockBit 干扰对这个曾经领先的操作产生了巨大影响，这反映在他们的攻击统计数据中。该行动也给其他主要团伙带来了动荡，导致支付纠纷和退出骗局，就像我们看到的 BlackCat/ALPHV 一样。 此外，这些执法行动削弱了其他勒索软件附属机构对 RaaS（勒索软件即服务）经营者的信心，许多人决定独立运营。 “我们已经看到了最近攻击中 Babuk 分支的增加，以及几个前 RaaS 附属机构使用无处不在且几乎免费的 Dharma / Phobos 服务，”  Coveware 在报告中解释。 根据安全公司的说法，附属机构在许多情况下决定完全退出网络犯罪。 “网络敲诈生态系统中的大多数参与者并不是顽固的犯罪分子，而是拥有 STEM 技能的个体，生活在缺乏引渡条约的司法管辖区内，与此同时缺乏足够合法的经济机会来

4 月 23 日，国际医疗诊断和试验巨头 Synlab 的意大利分公司因遭受勒索软件攻击，被迫关闭其 IT 系统，目前所有医学诊断和试验服务均已暂停。 Synlab 集团总部位于德国慕尼黑，在全球 30 个国家开展业务。其意大利分公司的网络覆盖 380 个实验室和医疗中心，每年进行 3500 万次医疗分析，年营业额达 4.26 亿美元。 该公司在上周末宣布，在 4 月 18 日凌晨遭到安全入侵，为限制破坏活动，所有计算机不得不关闭。 公司在声明中表示：“在发现入侵事件后，IT 部门立即执行了公司的安全程序，从网络中隔离了公司的所有基础设施，并关闭了所有机器。” 尽管公司尚未确认，但一些敏感的医疗数据可能已经被攻击者获取。 “作为《通用数据保护条例》第28条规定的数据处理者，我们通知您，目前我们不能排除此次攻击可能影响到为您提供的服务或您的治疗方案中的个人数据。” ——Synlab意大利分公司 由于这一事件，所有的实验室分析和样本收集服务都已经暂停，直至另行通知。由于电子邮件服务已停止，客户被建议通过电话与 Synlab 联系。 Synlab 在遭受网络攻击之前收到但尚未进行分析的医学样本都已储存在每个案例所需的低温条件下。然而，如果系统恢复所需时间过长，客户可能需要重新提交样本。 该公司在周末发布更新，通知客户已开始逐步重新启动一些服务，包括专科门诊访问和物理治疗。 与此同时，公司正在努力确保 IT 基础设施上不再存在恶意软件，并从备份中恢复系统。 状态更新中写道：“目前，Synlab 特别工作组正在分析包括备份系统在内的所有IT基础设施的每个部分，以便尽快安全地恢复系统。” 该公司没有提供具体的恢复时间表，而是鼓励客户查看网站或关注 Synlab 的社交媒体渠道以获取最新信息。 截至本文撰写之时，尚无任何大型勒索软件团伙宣称对 Synlab 意大利分公司的网络攻击负责。   转自安全内参，原文链接：https://www.secrss.com/articles/65543 封面来源于网络，如有侵权请联系删除

LockBit勒索软件团伙声称已泄露据称从哥伦比亚特区保险、证券和银行部（DISB）窃取的1GB数据。 该组织声称拥有DISB、美国证券交易委员会（SEC）、特拉华州银行机构以及其他金融实体的800GB数据，并威胁称除非DISB支付赎金，否则将这些数据公开。 据称，这些数据疑似是在3月底针对数据服务商Tyler Technologies 的网络攻击期间从DISB的STAR系统客户端盗取的。 Tyler Technologies和DISB分别表示，此次攻击涉及对托管DISB STAR系统客户端数据的云环境进行未经授权的访问，导致该系统离线。 虽然在受感染的系统上部署了文件加密勒索软件，但Tyler一直致力于使用可用备份恢复环境和相关数据。 Tyler目前已证实，从STAR系统窃取的信息已在网上泄露，但尚未确定数据泄露的范围。承包商表示，可能泄露的信息可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息。 “我们已确认黑客获取系统信息的证据，并正在与第三方网络安全取证专家合作，以确定影响范围。截至4月18日，黑客已发布了他们声称从STAR系统获取的信息。”该公司表示。 Tyler还指出，它尚未确定在攻击中可能被盗的个人身份信息（PII），一旦识别过程完成，将开始通知相关个人。 LockBit网站相关信息截图 Tyler指出，这次攻击与2020年的勒索软件攻击暂无联系，2020年的攻击事件影响了公司内部网络和电话系统，并迫使其关闭了包括网站在内的多个系统。 总部位于德克萨斯州的Tyler Technologies提供财产税生命周期管理解决方案、公民服务解决方案、安全系统用于访问官方记录、监管解决方案以及综合纠错、案件管理和公共安全解决方案。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一名暗网用户声称对印度著名文具产品制造商 Luxor International Private Limited 的数据泄露事件负责。 Luxor 数据泄露事件于 2024 年 4 月 19 日首次被发现， nuovo BreachForums 的邮箱管理员披露了据称属于 Luxor 数据库的泄露情况。 泄露的数据最初分享在 Telegram 频道 Leakbase ，包含了 692 MB 的 SQL  数据，涵盖大量敏感信息。暴露的数据包括名字、姓氏、出生日期、散列密码、账单和运输详细信息、税务信息等。 涉嫌 Luxor 数据泄露暴露敏感数据库 Luxor 数据泄露包括注册在 Luxor 网站上的个人信息，这意味着泄露的数据可能是真实的。如果被盗数据被证实是真实的，此次泄露可能导致信任丧失、财务损失、声誉受损、身份盗窃、运营中断和潜在的欺诈，不仅影响到公司本身，还包括其客户和利益相关者。 据称受到影响的 Luxorwriting Instruments Private Limited 和 Luxor International Private Limited 已被通知此次泄露事件。 Luxor 在印度次大陆开展业务，其泄露事件不仅对国内客户造成影响，还影响了其在亚太地区的客户和合作伙伴。 此外，邮政局的动机尚不清楚，因为黑客并未分享有关泄露的任何意图或动机，而且被盗的数据似乎仅限于客户，因为它仅包含来自 Gmail 帐户而不是组织的业务帐户的数据。 解读 Luxor 数据泄露 一篇归因于邮政局的公开帖子提供了对 Luxor 数据泄露的见解，将 Luxor 描述为“印度书写工具行业的领军品牌”。该帖子包括文件名（luxor.in.sql）和大小（未压缩的692 MB），为泄露的数据规模提供了参考。 泄露的数据似乎包括结算信息或交易记录，它们被分成不同条目，且包含各种字段。这些字段可能包括标识符、时间戳、数值和文本数据，这表明存在着一个管理结算相关活动的综合系统。   消息来源：thecyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据乌克兰计算机应急响应团队（CERT-UA）的报告，俄罗斯黑客组织 “沙虫 “（Sandworm）旨在破坏乌克兰约 20 家关键基础设施的运行。 该黑客组织也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44 ，据信与俄罗斯武装部队总参谋部主管部门（GRU）有关，主要针对各种目标进行网络间谍活动和破坏性攻击。 CERT-UA 的报告称，2024 年 3 月，APT44 破坏了乌克兰 10 个地区的能源、水务、供暖供应商的信息和通信系统。 在某些情况下，Sandworm 会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。 另外，该组织还结合了之前用过的恶意软件和新的恶意工具（比如BIASBOAT和LOADGRIP）来获取系统访问权限，在网络中横向移动。 CERT-UA 专家已确认至少有三条 “供应链 “遭到破坏，这导致最初未经授权的访问。这种访问要么与安装含有后门和漏洞的软件有关，要么是由于供应商员工通常具备访问组织工控系统进行维护和技术支持的权限。 乌克兰机构指出，Sandworm 的入侵行为得以简化，部分原因是目标的网络安全实践较差（例如缺乏网络分段以及软件供应商防御措施不足）。 自 2024 年 3 月 7 日至 3 月 15 日，CERT-UA 进行了大规模的反网络攻击行动，包括通知受影响企业、清除恶意软件和加强安全措施。 对受影响实体的日志进行调查后发现，Sandworm 主要依靠以下恶意软件对乌克兰公共事业供应商进行攻击： QUEUESEED/IcyWell/Kapeka：这是一个针对 Windows 的 C++ 后门，用于收集基本系统信息并执行来自远程服务器的命令。它可以处理文件操作、命令执行和配置更新，并能自行删除。通信通过 HTTPS 进行安全传输，数据使用 RSA 和 AES 加密。它通过在 Windows 注册表中加密其配置并设置任务或注册表项以实现自动执行，从而在感染的系统上存储数据并保持持久性。 BIASBOAT（新）：最近出现的 QUEUESEED Linux 变种。它伪装成加密文件服务器，与 LOADGRIP 同时运行。 LOADGRIP（新）：也是用 C 语言开发的 QUEUESEED Linux 变种，用于使用

据称，俄罗斯网络军对 Consol Energy 发起网络攻击。Consol Energy 是一家总部位于宾夕法尼亚州塞西尔镇的美国著名能源公司。据报道，Consol Energy 扰乱该公司网站的可访问性，给美国境外用户带来大量问题。该网站现已恢复上线并正常运行。 Consol Energy 涉足农业和采矿业，在国家能源供应链中发挥着至关重要的作用，贡献了超过 10 亿美元的收入，并为数千人提供了就业机会。此次网络攻击凸显出能源领域网络攻击的日益严重。 亲俄黑客声称 Consol Energy 遭受网络攻击 黑客的帖子暗示了他们的动机，指出 Consol Energy 是欧洲能源市场的竞争对手并从乌克兰冲突中获得利益。 然而这并不是 Consol Energy 第一次成为网络攻击的目标。 2023 年，Cl0p 勒索软件组织声称对该公司的类似攻击负责。尽管发生了这些事件，Consol Energy 仍继续在其社交媒体渠道上发帖，并为该国的电力供应做出贡献。 金融分析师观察在观察网络攻击对 Consol Energy 股票的影响。 Hedge_Your_Risk 首席交易员 Justin Spittler 表达了对煤炭股的见解，强调了 CONSOL Energy 尽管近期下跌，但仍具有韧性的特点。 然而，网络攻击导致的股价下降的影响程度仍不确定，有待该公司发表官方声明。 俄罗斯网络军重生并正在进行调查 针对 Consol Energy 的网络攻击是针对全球能源公司的网络攻击的一部分。就在上个月，“俄罗斯重生网络军”声称对斯洛文尼亚的政府机构和公共广播公司的网络攻击负责。 在视频中，该组织暗示袭击是由斯洛文尼亚对乌克兰的支持造成的。该信息是以斯洛文尼亚语发出的，并通过当地新闻传播，这一信息旨在提醒俄罗斯人和斯洛文尼亚人不要对此怀有敌意，因为这是他们共同的传统。   转自安全客，原文链接：https://www.anquanke.com/news 封面来源于网络，如有侵权请联系删除

一月份美国德克萨斯州一小镇供水系统溢出遭黑客攻击，目前调查得出，该事件疑似与一个神秘的俄罗斯黑客组织有关。这是美国公用事业公司成为外国网络攻击目标的最新案例。 本次袭击是针对德克萨斯州狭长地带乡村小镇的三起袭击事件之一。当地官员表示，公众没有面临任何危险，这些企图已报告给联邦当局。 Hale 中心城市经理 Mike Cypert 表示：“在四天内，我们的防火墙遭受了 37,000 次登录尝试。由于该市采取了手动操作并关闭了系统，黑客攻击未能成功。” 他指出，被攻击小镇Muleshoe位于西部约60英里处，人口约5000人。黑客攻击导致供水系统溢出，但随后该系统被关闭，并由官员手动接管。目前事件已迅速处理解决，水消毒系统未受影响，公共供水系统和公众没有受到任何危险。 本周，美国网络安全公司 Mandiant 发起的至少一起攻击与一个神秘的俄罗斯黑客活动组织有关。猜测该组织可能与俄罗斯军事黑客组织有合作，或者其本身就是俄罗斯军事黑客组织的一部分。 该组织自称为“CyberArmyofRussia_Reborn”，声称对一月份美国和波兰供水设施遭受的袭击负责，这些袭击当时几乎没有受到关注。 网络安全研究人员表示，CyberArmyofRussia_Reborn 涉嫌与俄罗斯政府有联系。去年，这些组织对乌克兰及其盟友进行了攻击，其中包括导致网站暂时离线的拒绝服务数据攻击。 微软去年12月在报道中指出，有时这些组织声称对实际上由克里姆林宫军事情报黑客实施的攻击负责。 Hale 中心城市经理 Mike Cypert 表示，他已向联邦调查局（FBI）和国土安全部（DHS）转达了信息。 联邦调查局（FBI）拒绝就此发表评论，国土安全部（DHS）旗下的网络安全和基础设施安全局（CISA）将问题转交给了目标城市。 去年11月，伊朗国家集团对美国供水设施进行了黑客攻击。随后，CISA发布了一份咨询报告。伊朗国家集团表示，他们的目标是使用以色列设备的设施。 该国副国家安全顾问 Anne Neuberger 去年12月表示，针对伊朗黑客的攻击以及针对医疗保健行业的一系列勒索软件攻击，政府应该对公用事业和行业采取行动，以此加强网络安全。 今年三月，美国环境保护局局长Michael S. Regan和总统国家安全事务助理Jake Sullivan 致信各州州长，要求他们采取措施保护供水。 Regan和Sullivan 提出：“饮用水和废水系统

最新微软报告显示，与朝鲜有关的黑客组织开始应用人工智能技术，提高其网络行动的效率和效果。 报告指出，这些黑客正在学习利用基于大语言模型（LLM）的 AI 工具，增强网络攻击活动的成效。 “他们利用这些工具来加强针对朝鲜半岛问题专家的鱼叉式网络钓鱼活动，这一手法不断明智且高效。” 微软在报告中指出。微软特别提到了一个名为 Emerald Sleet（亦称为Kimusky或TA427）的黑客组织，观察到其使用 LLM 技术帮助提升针对朝鲜半岛专家的网络钓鱼攻击力度。 该报告还提到，这些黑客利用 AI 技术的最新进展来研究安全漏洞，并对专注于研究朝鲜问题的组织和专家进行侦查。 此外，微软表示它们还运用了 LLMs 来解决技术难题、执行基础脚本任务和撰写网络钓鱼邮件内容，并和 OpenAI 合作封禁了相关的威胁账户和资产。 根据研究人员发布的报告显示，Kimusky 利用看似友好的对话开始方式，与目标展开长期的沟通，以获取重要信息。 Kimusky 的常见手法是使用与智库和非政府组织相关的身份来使其恶意邮件看起来更加合法，提高了攻击的成功率。 近月来，这个国家支持的黑客组织还开始滥用宽松的基于域的消息认证体系（DMARC），通过伪装各种身份和植入网页信标（即追踪像素），以便绘制目标人物的概况，显示出它们对策略调整具有的敏捷性。 “这些网页信标主要用于最初的侦察工作，验证目标邮箱是否有效，同时收集关于收件人网络环境的一些基本信息，比如外部可见的 IP 地址、用户的浏览器类型，以及他们打开邮件的时间。”报告中说。 这一事态发展正值朝鲜黑客组织继续从事加密货币抢劫和供应链攻击之际，一名被称为 Jade Sleet 的威胁者与2023 年 6 月从爱沙尼亚一家加密公司盗窃至少 3500 万美元以及从一家加密货币公司盗窃超过 1.25 亿美元有关。一个月后，新加坡的加密货币平台出现了。 Jade Sleet，与其他被跟踪的黑客团伙 TraderTraitor 和 UNC4899 有重叠，也在 2023 年 8 月对在线加密货币赌场发动攻击，并使用假冒的 GitHub 仓库和恶意 npm 包来选择性攻击加密货币和科技企业的员工。 在 2023 年 8 月，一个位于德国的 IT 公司遭到了名为 Diamond Sleet（别名Lazarus Group）的黑客组织的侵害，然后在 11 月通过对台湾一家 IT 公司的软件进行供应链攻击。

据观察，名为ToddyCat 的黑客组织使用各种工具来保留对受感染环境的访问权限并窃取有价值的数据。 俄罗斯网络安全公司卡巴斯基将其描述为依靠各种程序从位于亚太地区的主要政府组织（其中一些与国防相关）收集“工业规模”的数据。 安全研究人员 Andrey Gunkin、Alexander Fedotov 和 Natalya Shornikova 表示：“为了从许多主机收集大量数据，攻击者需要尽可能自动化数据收集过程，并提供多种替代方法来持续访问和监控他们攻击的系统。” 该公司于 2022 年 6 月首次记录 ToddyCat，攻击至少自 2020 年 12 月以来针对欧洲、亚洲政府和军事实体。这些入侵利用了一个名为 Samurai 的被动后门，允许远程访问受感染的系统。 此后，研究人员对攻击者的间谍技术进行了更仔细的检查，发现了其他数据泄露工具，例如 LoFiSe 和 Pcexter，用于收集数据并将存档文件上传到 Microsoft OneDrive。 最新的一组程序需要混合隧道数据收集软件，这些软件在攻击者已经获得对受感染系统中特权帐户的访问权限后才可以使用。 包括： 使用 OpenSSH 反向 SSH 隧道 SoftEther VPN，被重命名为看似无害的文件，如“boot.exe”、“mstime.exe”、“netscan.exe”和“kaspersky.exe” Ngrok 和 Krong 将命令和控制 (C2) 流量加密并重定向到目标系统上的某个端口 FRP 客户端，一个基于 Golang 的开源快速反向代理 Cuthead，.NET 编译的可执行文件，用于搜索与特定扩展名或文件名或修改日期匹配的文档 WAExp，一个 .NET 程序，用于捕获与 WhatsApp Web 应用程序相关的数据并将其保存为存档，以及 TomBerBil 从 Google Chrome 和 Microsoft Edge 等网络浏览器中提取 cookie 和凭据 卡巴斯基说：“攻击者正在积极使用绕过防御的技术，试图掩盖他们在系统中的存在。” “为了保护组织的基础设施，我们建议将提供流量隧道的云服务的资源和 IP 地址添加到防火墙拒绝名单中。此外，必须要求用户避免在浏览器中存储密码，因为这有助于攻击者访问敏感信息”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/gdx3Zk

SafeBreach 研究人员 Or Yair 设计了一种技术，利用 DOS 到 NT 路径转换过程中的漏洞，在 Windows 上实现类似 rootkit 的功能。 当用户在 Windows 中执行带有路径参数的函数时，文件或文件夹的 DOS 路径将转换为 NT 路径。在此转换过程中出现了一个已知问题，即该函数从任何路径元素中删除尾随点，并从最后一个路径元素中删除尾随空格。此行为在 Windows 中的大多数用户空间 API 中都是一致的。 利用此已知问题的专家发现了以下漏洞： CVE-2023-36396，Windows 压缩文件夹远程代码执行漏洞 RCE 漏洞存在于 Windows 针对所有新支持的存档文件类型的新提取逻辑中。该专家制作了一个恶意档案，一旦提取，该档案就会写入他选择的远程计算机上的任何位置，从而导致代码执行。 CVE-2023-32054，卷影复制特权提升漏洞 可以利用此漏洞来获取正在运行受影响应用程序的用户权限。研究人员发现了两个特权提升 (EoP) 漏洞。CVE -2023-32054允许在没有所需权限的情况下写入文件，方法是从卷影副本操纵先前版本的恢复过程，以及另一个允许在没有所需权限的情况下删除文件的恢复过程。 “除了引导我发现这些漏洞之外，MagicDot 路径还赋予了我类似 rootkit 的能力，任何非特权用户都可以访问这些能力。”Or Yair写道。“我发现恶意行为者（没有管理员权限）如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等。” 用户空间 Rootkit 旨在拦截用户空间 API 调用、执行原始函数、过滤掉恶意数据并将更改后的信息返回给调用者。攻击者需要管理员权限才能运行此类 Rootkit，因为他们需要通过在具有提升权限的进程中进行操作来向用户（包括管理员）隐藏自己的存在。 内核 Rootkit 在内核中运行并尝试拦截系统调用，从而更改返回给请求该信息的用户空间进程的信息。 运行内核 Rootkit 需要访问内核，通常需要管理权限并克服各种安全措施，例如补丁防护、驱动程序签名强制、驱动程序阻止列表和 HVCI。因此，内核 Rootkit 的流行率显著下降。 Or Ya

近日，一个被全球主流银行和超过 300 个政府情报机构使用的“风控数据库”（又称恐怖分子数据库）发生数据泄露，530 万条高风险个人信息落入犯罪分子手中并在网上泄露。 全球最大的“黑名单”之一 泄露的数据库名为 World-Check，汇总了数以百万的非法分子（高风险人物）和实体信息，例如恐怖分子、洗钱者、不端政客等，供企业验证用户可信度（KYC），尤其是银行等金融机构用来验证其客户的身份，确定潜在客户是否可能与洗钱等金融犯罪有关，或是否受到政府制裁。 World-Check 从公开来源（例如官方制裁名单、监管执法名单、政府来源和值得信赖的媒体出版物）汇总数据，以订阅方式提供给全球主流银行和政府情报机构（需要通过严格的审核流程并签署保密协议）。其中包含大量敏感人物信息，例如皇室成员、国家黑客组织成员、宗教人士、受制裁的政府官员和实体等。 World-Check 数据库泄露可能会对全球金融业的安全审核程序产生重大影响。毕竟，没有一家银行愿意与洗钱者扯上关系。 被第三方泄露 据 The Register 报道，上周四黑客组织 GhostR 宣称对数据库泄露事件负责。负责维护 World-Check 数据库的伦敦证券交易所集团(LSEG)的发言人后来证实了这一说法。 LSEG 发言人表示，数据泄露事件确实发生，但是通过第三方泄露的。 “这不是针对 LSEG 或我们系统的安全漏洞，” LSEG 发言人说道：“此次事件涉及第三方的数据集，其中包含一份 World-Check 数据文件的副本。该副本是非法从第三方系统中获取的。我们正在与受影响的第三方联络，以确保我们的数据安全，并确保通知任何相关执法机构。” 根据 TechCrunch 的报道，GhostR 声称 3 月份入侵了一家能够访问 World-Check 数据库的新加坡公司，但并未透露公司名称及其与 World-Check 的关系。 1万条泄露数据样本流出 黑客组织 GhostR 并未透露窃取数据的动机，但在回复 The Register 的邮件中表示将很快开始泄露数据库。GhostR 声称第一次泄露将包含数千人的详细信息，其中包括“皇室成员”。 为验证其说法的真实性，GhostR 向 The Register 提供了1万条被盗数据的样本供查阅核验。据称整个数据库总共包含超过 500万条记录。 研究者快速浏览样本后发现，该名单上来自不同国家的大量个人和实体因各种原因