据知道创宇暗网雷达监测，2024年1月9日，台湾虎航 85.8 万数据泄露，泄露的数据包含客户数据和航班预定数据，样本可下载。 泄露数据的详细类型包括： 客户数据: id，账户，密码，国籍，姓名，性别，生日，电子邮件，护照号码，护照过期日期，重置密码代码，创建时间 预定数据: id，创建者，创建日期，更新者，预订Id，预订参考号，电子邮件地址，乘客数量，产品类别，已创建的代理名称   数据被泄露的截图 台湾虎航是一家廉价航空公司 (LCC)，总部位于桃园国际机场。 它是中华航空集团与廉价航空控股有限公司的合资企业。 Hackernews在12月27日曾报道，中华航空航空公司的2400万条数据被公开贩卖。 2022年7月22日，台湾虎航在其官网发表公告称，公司遭受了一次网络攻击事件，所幸未造成重大运营影响。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

KELA 发现黑客仅仅以 500 美元出售 Zeppelin 勒索软件工具源代码及其破解版。截止目前，尚未验证该黑客提供的软件是否合法，但据卖方截图显示，该软件包是真实存在。 购买了该软件包的人可以利用该软件启动一个新的RaaS操作，或基于Zeppelin开发新加密软件。  黑客论坛上的帖子宣传Zeppelin源代码售价500美元 RET（Zeppelin源代码和构建工具销售者）声明其非软件原作者，仅破解了构建工具。 该产品将专卖给一个买家，在交易完成前将暂停销售。 构建工具的截图 2022年11月，Zeppelin RaaS停止运营后，执法机关和安全研究人员披露了 Zeppelin加密系统的漏洞，成功开发了解密工具以援助自2020年起的受害者。 但截止目前，此次事件版本中的漏洞暂未被修复。 Zeppelin 勒索软件 Zeppelin 是基于 Delph i编程语言开发的 Vega/VegaLocker 恶意软件家族的分支，该家族在2019年至2022年间较为活跃。该软件曾用于实施双重勒索攻击，有时要求的赎金高达 100 万美元。 2021年，经过重大更新后，原版 Zeppelin 勒索软件的最高售价达 2,300 美元。其 RaaS（勒索软件即服务）模式下，附属方获得 70% 的赎金分成，剩余30% 归开发者所有。 2022年夏，FBI曽警告Zeppelin勒索软件黑客已采用新策略，实施多轮加密。 消息来源：bleepingcomputer，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

化名为“Snow”的黑客成功访问了Orange Spain的RIPE账户，并对BGP路由进行了错误配置，导致互联网中断。 由于这次攻击，公司的客户在1月3日的几个小时内无法访问互联网。 该公司确认一名黑客侵入了其RIPE账户。 NOTA: Orange在IP网络协调中心（RIPE）的账户遭到未授权访问，导致一些客户的网络访问受到影响。服务几乎已经恢复。 — Orange España (@orange_es) 2024年1月3日 RIPE NCC（Réseaux IP Européens Network Coordination Centre）是区域互联网注册机构（RIRs）之一，负责在特定地理区域分配和注册IP地址和自治系统号（ASNs）。RIPE NCC主要服务于欧洲和中东地区。其主要职能包括管理和分配互联网数字资源，促进区域互联网基础设施的协调，并支持其服务区域互联网的发展。 黑客更改了Orange Spain一系列IP地址的AS号，并在其上启用了无效的RPKI配置。 资源公钥基础设施（RPKI）是设计用于保护互联网路由基础设施的系统，尤其是在边界网关协议（BGP）的背景下。BGP是用于在互联网上不同自治系统（ASes）之间路由流量的关键协议。RPKI通过将IP地址前缀与持有其合法广告权的实体进行密码学绑定，为BGP添加了一层安全性。 “正如我们所看到的，他们所做的是创建ROA /12记录，这基本上说明了在前缀上谁是RPKI授权的实体（即可以宣告它的AS），这将/22和/24前缀组合在一起，由Orange Spain宣告。” DMNTR Network Solutions的研究员Felipe Canizares在X上发布的一系列消息中解释说。 Snow联系了Orange Spain提供了新的凭据，并解释说他这样做是为了“防止实际的黑客找到这个账户并入侵它”。 @orange_es 喵喵喵！我已经修复了你们的RIPE管理员账户安全。给我发消息获取新的凭据 :^) pic.twitter.com/NKFFDWb0Ec — Snow 🏳️‍⚧️ (@Ms_Snow_OwO) 2024年1月3日 RIPE NCC也启动了对该事件的调查。 “我们鼓励用户更新密码，并为他们的账户启用多因素身份验证。如果您怀疑您的账户可能受到影响，请将其报告给security@ripe.net。” RIPE NCC发布的声明中写道。 Hudson Rock的联合创始人兼首席技术官Alon Gal推测，黑客在2023年9月一名Orange员工的计算机感染了Raccoon信息窃取器后，从Orange Spain的RIPE管理员账户中获取了凭据。 “今天，黑客接管了Orange Spain的RIPE管理员账户，导致流量减少了50%。Hudson Rock确认渗透源于Orange员工感染了信息窃取器（Raccoon） – 使用的密码也很荒谬 – “ripeadmin”。” Gal在LinkedIn上写道。 “今天早些时候，黑客发布了从他们渗透的RIPE账户内部的图片，显示了该账户的电子邮件地址。在Hudson Rock的网络犯罪情报数据库中找到了这个电子邮件地址，我们可以确认该员工在去年9月被Raccoon信息窃取器感染。 该员工拥有许多企业凭据，包括他们的RIPE凭据，很可能是黑客渗透账户的方式。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

乌克兰安全部门表示，他们拆除了两台据称被俄罗斯黑客入侵了的网络摄像头，这两台摄像头用于监视乌克兰首都基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的住宅楼上，最初被居民用来监视周围区域和停车场。据称，在被黑客攻击后，俄罗斯情报机构远程访问了这些摄像头，改变了它们的视角，并将其连接到YouTube，以传输敏感画面。 根据乌克兰国家安全局（SBU）的说法，这些录像很可能在上周俄罗斯对乌克兰进行的大规模军事行动中辅助指引无人机和导弹攻击基辅。在行动中，俄罗斯发射了近100枚导弹和多架无人机，主要瞄准基辅和乌克兰第二大城市哈尔科夫。 自从俄罗斯于2022年2月和乌克兰开战以来，SBU表示已经封锁了约10,000台数字安全摄像头，以防止俄罗斯筹备对乌克兰的军事行动。 根据 Radio Free Europe 的调查，俄罗斯情报机构可能一直在获取数千台配备有俄罗斯软件程序 Trassir 的乌克兰监控摄像头的视频画面。这个监控系统可以捕捉人和车辆的移动，并能够识别人脸和车牌。 这些摄像头的录像将直接传送到莫斯科的服务器，并可能被俄罗斯的安全部门获取。乌克兰在战争开始后才逐渐禁用俄罗斯软件。 在线录像，包括照片和视频，可能是乌克兰和俄罗斯情报机构的重要信息来源。 乌克兰法律规定，禁止公民分享被俄罗斯导弹攻击的住宅建筑或关键基础设施的照片或视频，因为这有助于俄罗斯“修正”目标。触犯该法律的人将有可能被判处12年的监禁。 乌克兰国家安全局呼吁街头监控摄像头的所有者将其设备下线，并报告在 YouTube 上发现的任何这类摄像头的数据流。 消息来源：The Record，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

INC RANSOM 勒索软件组织声称对入侵施乐公司的行为负责，并威胁要公布被盗的数据。 INC RANSOM 组织将施乐公司添加到其 Tor 泄露站点的受害者名单中。 施乐公司在全球范围内提供文档管理解决方案。该公司的文档技术部门提供桌面单色和彩色打印机、多功能打印机、复印机、数字印刷机和轻型生产设备；以及用于图形通信市场和大型企业的生产打印和出版系统。   勒索软件组织发布了八份文件的图像，包括电子邮件和发票，作为黑客攻击的证据。 目前尚不清楚INC RANSOM 组织从该公司窃取了多少数据。 INC RANSOM 自 2023 年以来一直很活跃，声称对迄今为止针对40 多个组织的攻击行为负责。 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

黑客正在利用一种新的恶意软件加载器来传送各种信息窃取程序，例如 Lumma Stealer（又称 LummaC2）、Vidar、RecordBreaker（又称 Raccoon Stealer V2）和 Rescoms。 网络安全公司 ESET 正在追踪这个木马，并将其命名为 Win/TrojanDownloader.Rugmi。 公司在 2023 年下半年的威胁报告中说道：“这个恶意软件是一个包含三种组件的加载器：一个下载器用于下载加密的有效负载，一个加载器用于从内部资源运行有效负载，以及另一个加载器用于从磁盘上的外部文件运行有效负载。” 公司收集的数据显示，对 Rugmi 加载器的检测在 2023 年 10 月和 11 月激增，从每天个位数增加到每天数百次。 Stealer malware 通常以恶意软件即服务（MaaS）的模式向其他黑客提供订阅服务。例如，Lumma Stealer 在地下论坛中以每月 250 美元的价格进行宣传。最昂贵的方案售价为 20,000 美元，但它也赋予客户访问源代码和出售的权限。 有证据表明，与 Mars、Arkei 和 Vidar stealers 相关联的代码库已被重新利用以创建 Lumma 。 除了持续调整其策略以规避检测外，这款现成的工具还通过多种方式进行分发，包括恶意广告、虚假浏览器更新，以及破解安装流行软件如 VLC 媒体播放器和 OpenAI ChatGPT。 趋势科技在2023年10月披露：“该技术涉及利用 Discord 的内容传送网络（CDN）来托管和传播恶意软件。” 这包括利用随机和受损的 Discord 帐户的组合向潜在目标发送直接消息，向他们提供10美元或 Discord Nitro 订阅以换取他们在一个项目上的帮助。 同意此提议的用户随后被敦促下载托管在 Discord CDN上的可执行文件，伪装成 iMagic Inventory，但实际上包含 Lumma Stealer 的有效载荷。 “现成的恶意软件解决方案促进了恶意活动的蔓延，因为它们使得恶意软件甚至可供技术可能较差的黑客使用。” ESET 表示。 “提供更广泛的功能将使Lumma Stealer成为更具吸引力的产品。” McAfee Labs披露了 NetSupport RAT 的一个新变种，该变种来自其合法的前身 NetSupport Manager，此后被初始访问代理用于收集信息并对感兴趣的受害者执行其他操作。 McAfee表示“感染始于被混淆的JavaScript文件，这些文件充当恶意软件的初始入口点” ，并强调了“黑客不断演变的策略”。 JavaScript 文件的执行通过运行 PowerShell 命令从受黑客控制的服务器检索远程控制和窃取器恶意软件，推动了攻击链的进展。该攻击活动的主要目标包括美国和加拿大。 消息来源：The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

McAfee 移动研究团队发现了一个名为 Xamalicious 的新型安卓后门，它能够完全控制设备并执行欺诈行为。该恶意软件是利用 Xamarin 实现的，这是一个开源框架，允许使用 .NET 和 C# 构建安卓和 iOS 应用程序。 Xamalicious 通过社会工程学手段获取辅助功能权限，然后连接到 C2 以评估是否下载第二阶段的有效载荷。恶意有效载荷在运行时以装配 DLL 的形式动态注入，以完全控制设备并执行广泛的欺诈行为，例如点击广告和安装应用程序。 第二阶段的有效载荷利用在第一阶段获得的强大辅助功能服务来完全控制被感染设备。恶意代码还支持主 APK 的自更新机制，使威胁非常多样化。 专家们发现了 Xamalicious 与广告欺诈应用“Cash Magnet”之间存在联系，黑客利用此应用控制设备点击广告、安装应用程序和执行其他操作以获取收入。 研究人员认为，黑客出于经济动机开发了该后门软件。 使用 Xamarin 框架使得黑客能够长时间不被发现。他们还采用了各种混淆技术和定制加密，以避免被检测。 McAfee 发现了大约 25 个不同的恶意应用，其中一些自 2020 年年中以来就已经被上传到 Google Play。谷歌已经迅速将这些恶意软件应用从 Google Play 上移除。 “根据这些应用的安装数量，它们可能已经在 Google Play 上损害了至少 32.7 万台设备，还有从第三方市场下载的安装，这些市场根据 McAfee 客户在全球范围内的检测数据不断产生新的感染。” McAfee 发布的报告中写道。“Android/Xamalicious 木马应用与健康、游戏、星座和生产力相关。这些应用中的大多数仍然可以在第三方市场上下载。” 为了规避分析和检测，该恶意软件对所有的 C2 通信进行了加密。这种加密不仅限于 HTTPS 保护，还利用了 RSA-OAEP 和 128CBC-HS256 算法加密的 JSON Web Encryption（JWE）令牌。然而，研究人员注意到 Xamalicious 使用的 RSA 密钥值是硬编码在反编译的恶意 DLL 中的，这使得在分析期间如果 C2 基础架构是可访问的，就可以解密传输的信息。 大多数感染发生在美国、巴西、阿根廷、英国、西班牙和德国。 “使用 Flutter、React Native 和 Xamarin 等非 Java 代码编写的 Android 应用会为恶意软件作者提供额外的混淆层，他们有意选择这些工具以避免被检测，并试图保持在安全供应商的监测范围之外，从而保证这些恶意软件不被移除。” 报告总结道。“在一般情况下，建议用户不要使用需要辅助访问权限的应用程序，除非出于特定需求。如果一个应用程序试图在没有充分理由的情况下激活辅助功能，并且要求用户忽略操作系统的安全警告，那么这个应用程序可能存在重大安全风险。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

加密硬件钱包制造商 Ledger 遭受了供应链攻击，导致价值 600,000 美元的虚拟资产被盗。 黑客发布了一个恶意版本的“@ledgerhq/connect-kit” npm 模块，该模块原本由加密硬件钱包制造商 Ledger 开发。这次攻击导致超过 60 万美元的虚拟资产遭窃。 在发现问题后，Ledger 立即发布了其 npm 模块的新版本（版本1.1.8），并已将恶意的 npm 模块（版本号为2e6d5f64604be31）从代码库中移除。 攻击者利用网络钓鱼攻击获取了一位 Ledger 前员工的凭据和对 Ledger 的NPMJS账户的访问权限。 “今天我们经历了对 Ledger Connect Kit 的攻击，这是一个实现一键功能的 JavaScript 库，允许用户将其 Ledger 设备连接到第三方 DApps（与钱包相关的网站）。这次攻击源于一位前员工遭受网络钓鱼攻击，导致黑客能够上传恶意文件至 Ledger 的 NPMJS（这是一个用于在应用程序间共享 JavaScript 代码的软件包管理器）。” Ledger 主席兼 CEO Pascal Gauthier 在一份声明中指出。“我们与合作伙伴 WalletConnect 紧急合作，解决了这次攻击，并在发现问题后的40分钟内更新了 NPMJS，停用并移除了恶意代码。” 初步观察显示，该账户可能未启用多重身份验证（MFA）。接着，黑客上传了三个恶意版本的模块（1.1.5、1.1.6和1.1.7），其中包含加密货币挖矿恶意软件。 Ledger 的库确认遭到入侵，并被替换为一个挖矿程序。在情况变得更清楚之前，请暂停与任何DApps的交互。 —banteg (@bantg) 2023年12月14日 由于供应链攻击，依赖含有恶意软件模块的应用程序都受到了损害。 这个恶意模块的恶意版本在线上存在了约 5 小时。Ledger 在 WalletConnect 的帮助下迅速禁用了这个恶意项目。Ledger、WalletConnect 及其合作伙伴确认了黑客的钱包地址（0x658729879fca881d9526480b82ae00efc54b5c2d），而 Tether 已经冻结了他们的资金。 消息来源: securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据澳大利亚和美国发布的最新联合网络安全咨询报告，截至2023年10月，Play 勒索软件背后的黑客影响了大约 300 个实体。 当局表示：“使用Play勒索软件的黑客采用双重勒索模式，在窃取数据后加密系统，影响了北美、南美、欧洲和澳大利亚的广泛业务和关键的基础设施组织。” Play，又称为 Balloonfly 和 PlayCrypt，于 2022 年出现，利用 Microsoft Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）以及 Fortinet 设备（CVE-2018-13379 和 CVE-2020-12812）中的安全漏洞，侵入企业并部署文件加密恶意软件。 值得注意的是，根据 Corvus 的数据，勒索软件攻击越来越多地利用漏洞作为初始感染途径，而不是使用钓鱼邮件。这种方式从 2022 年下半年几乎为零，到 2023 年上半年增加到近三分之一。 网络安全公司Adlumin在上个月发布的一份报告中指出，他们“提供服务”给其他黑客，这个服务形成了“勒索软件即服务（RaaS）”运营的完整转变。 该组织策划的勒索软件攻击使用 AdFind 等公共和定制工具，运行 Active Directory 查询，使用Grixba 列举网络信息，通过GMER、IOBit 和 PowerTool 禁用防病毒软件，以及使用 Grixba 收集有关备份软件和远程管理工具在机器上安装情况的信息。 观察发现，这些黑客还进行了横向移动、数据外泄和加密步骤，依赖 Cobalt Strike、SystemBC 和 Mimikatz 进行攻击后利用。 “Play ransomware group 采用双重勒索模式，在外泄数据后加密系统，” 这些机构表示。“勒索信息中并不包括初始赎金要求或付款说明，而是指示受害者通过电子邮件联系威胁行为者。” 据 Malwarebytes 汇编的统计数据显示，Play 仅在 2023 年 11 月就已经攻击了近 40 个受害者，但明显少于于其同行 LockBit 和 BlackCat（又称 ALPHV 和 Noberus）。 此警报发布数天后，美国政府机构发布了有关 Karakurt 组的更新公告。该组以纯粹的勒索方式著称，避开了基于加密的攻击方式，而是在获得对网络的初始访问权限后，通过购买被盗的登录凭证、入侵经纪人（又称初始访问经纪人）、钓鱼和已知的安全漏洞等方式进行攻击。 政府表示：“Karakurt 的受害者并未报告受损机器或文件的加密情况；相反，Karakurt 的行为者声称窃取了数据，并威胁将其拍卖或公开发布，除非他们收到所要求的赎金。” 这些进展出现的同时，有人猜测 BlackCat 勒索软件可能成为执法行动的目标，因为其暗网泄露门户网站离线了五天。然而，网络犯罪集体将这次停机归咎于硬件故障。 此外，另一个新兴的名为 NoEscape 的勒索软件组织据称已经了退出这次网络攻击，有效地“窃取了赎金支付并关闭了该组织的网络面板和数据泄漏站点”，促使像 LockBit 这样的其他团伙招募他们以前的联盟成员。 勒索软件格局不断演变和转变，不管是否由于执法部门的外部压力，这都并不令人意外。这进一步证实了 BianLian、White Rabbit 和 Mario 勒索软件团伙在针对上市金融服务公司的联合勒索活动中的合作。 “这些合作式的勒索活动并不常见，但可能因暗网中的初始访问经纪人（IABs）与多个团体合作而变得更加普遍，” Resecurity 在上周发布的报告中指出。”导致更多合作的另一个因素可能是执法介入，这造成了网络犯罪分散的局面。这些黑客的被转移者可能更愿意与竞争对手合作。” 消息来源: The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软警告称，他们正在追踪的名为 Storm-0539 的新兴威胁集群已经出现恶意活动上升趋势。这种威胁通过高度复杂的电子邮件和短信钓鱼攻击，在节假日购物季针对零售实体进行礼品卡欺诈和盗窃。 攻击的目标是传播设有陷阱的链接，将受害者引导至中间人攻击（AiTM）的钓鱼页面，这些页面能够窃取他们的凭据和会话令牌。 在 X（之前的 Twitter）的一系列帖子中，这家科技巨头表示：“在获取初始会话和令牌后，Storm-0539为随后的次要身份验证提示注册了他们自己的设备，绕过了多重因素认证（MFA）保护，并且使用完全被妥协的身份在环境中持续存在。” 通过这种方式获得的立足点进一步作为升级权限的通道，横向移动穿越网络，并访问云资源以获取敏感信息，特别是针对与礼品卡相关的服务，以进行欺诈。 另外，Storm-0539还收集电子邮件、联系人列表和网络配置，用于对同一组织进行后续攻击。这需要加强账户安全措施，以更好地保护组织的凭证和访问权限。 在上个月发布的每月 Microsoft 365 Defender 报告中，Redmond描述这个对手是一个有着经济动机的团体，至少自 2021 年以来一直活跃。 据称，“Storm-0539对目标组织进行了广泛的侦察，以制作极具欺骗性的钓鱼诱饵，并窃取用户凭证和令牌以获取初始访问权限。” “这个攻击者对云服务提供商很熟悉，并利用目标组织的云服务资源进行攻击后活动。” 微软在宣布获得法院命令，扣押了一个名为 Storm-1152 的越南网络犯罪团伙的基础设施后发布了这一披露。该团伙售卖大约 7.5 亿个欺诈的微软账户以及其他技术平台的身份验证绕过工具。 本周早些时候，微软还警告称，多个黑客正在滥用 OAuth 应用程序，自动化进行金融动机的网络犯罪，如商业电子邮件篡改（BEC）、钓鱼、大规模垃圾邮件活动，并部署虚拟机非法挖掘加密货币。  消息来源: The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文