内容转载

= ̄ω ̄= 内容转载

韩国战争纪念馆遭黑客网络攻击,官方称未泄露军事资料

据韩国纽西斯通讯社21日报道,韩国军方当日称,韩国国防部下设的战争纪念馆近期遭到身份不明的黑客网络攻击,但没有因此泄露军方的军事资料。 位于韩国首尔龙山的战争纪念馆 资料图 图自韩媒 据报道,21日,韩国军方表示,韩国国防部下设的战争纪念馆本月初遭到黑客的网络攻击,导致网络瘫痪一周之久。韩国军方网络作战司令部在发现该情况后采取了相应应对措施,于本月14日恢复了网络系统。 报道称,韩国军方表示,本次黑客攻击导致战争纪念馆服务器相关数据和部分个人信息被盗。但因黑客攻击的是战争纪念馆外网,所以并没有因此泄露军方的军事资料。 据报道,目前黑客的身份尚未得到确认。 转自 安全内参,原文链接:https://www.secrss.com/articles/47185 封面来源于网络,如有侵权请联系删除

欧洲又一国家议会遭攻击,工作停顿多天

安全内参9月21日消息,欧洲国家波黑(全称为波斯尼亚和黑塞哥维那)的检察官正调查一场影响范围极大的网络攻击,据称已经影响到该国议会的正常运行。 最近两周来,波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员,对方称已被告知禁止访问自己的电子邮箱和官方文件,甚至最好干脆别使用电脑。 波黑检察官办公室一位发言人表示,他们几天前就已接到此案。 发言人Boris Grubešić表示,“当日值班的检察官向执法机构官员发出了必要指示,希望澄清案件具体情况,同时对IT网络与各级机构给予网络安全保护。” “此案正在调查当中,我们目前无法透露其他任何消息。” 议会已失去工作能力,议员批评安全人员不关心安全 波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne,目前立法机构已经失去了工作能力,而且此次攻击开始于9月8日-9日左右。 虽然检察官并未透露具体攻击类型,但有消息人士向Nezavisne证实,这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称,攻击发生后,该国议会的主服务器旋即关闭。 一位议会发言人告诉新闻媒体,“用户无法访问服务器,电子邮件和官方网站目前也都处于关闭状态。” 还有多位议员提到,他们收到了不要使用电脑的通知,理由是担心勒索软件会传播到他们的个人设备上。 Miletić对政府网络安全专家的工作持批评态度,强调在此次攻击之前,“根本没人关心安全问题”。 “他们本来有充足的时间采购必要的技术手段,为服务器施加额外保护。他们应该知道,网络安全领域就是需要投资,没有设备就没有安全可言。这些技术手段确实价格不菲,但我们必须要买起来、用起来。不只是议会,其他处理并存储各类数据的机构也应该从中吸取教训。” 另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧,还提到她自己的设备上甚至保存着2004年时的文件。 政治动荡更容易引发网络攻击,今年已有多起案例 随着塞族共和国分裂行为的逐步升级,波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实,则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。 现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击,哥新任总统称这是企图“在过渡时期威胁该国稳定”。 三周之前,就在黑山政府因不信任投票而被实际免职的同时,也有勒索软件攻击趁虚而入。 近年来,全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周,位于首都的阿根廷议会遭遇一起勒索软件攻击,事件破坏了该机构的内部操作系统和WiFi网络。 转自 安全内参,原文链接:https://www.secrss.com/articles/47176 封面来源于网络,如有侵权请联系删除

黑客从 Wintermute 加密货币做市商处窃取 1.62 亿美元

Bleeping Computer 网站披露,数字资产交易公司 Wintermute 首席执行官 Evgeny Gaevoy 宣布 DeFi 相关业务遭到黑客攻击,损失了约 1.622 亿美元。 Wintermute 表示,接下来几天服务可能会中断,但 CeFi 及 OTC 业务不会受影响。此外,与 Wintermute签订 MM 协议的用户资产依旧安全,担心资金安全的用户可以直接提取自己的资金,公司当前还握有损失数额两倍的股权,依旧据有偿付能力。 值得一提的是,Gaevoy 表示愿意将这一安全事件视为 “白帽子 ”事件,这意味着他们愿意向成功利用该漏洞的攻击者支付赏金,而不会产生任何法律后果。 但是尚不清楚威胁攻击者是否有兴趣将被盗资金返还给 Wintermute。 据悉,黑客的钱包目前持有大约价值 4770 万美元的数字资产,其余的钱已经被转移到 Curve Finance 的 “3CRV ”流动资金池中。 黑客攻击是如何发生的? Gaevoy 没有透露关于黑客如何设法窃取资金的具体细节,一些加密货币专家认为,攻击者可能利用了 Profanity 中的一个漏洞,Profanity 是以太坊的虚拟钱包地址生成器。 Profanity工具允许用户生成的地址不是完全随机的,而是包含一个以太坊虚拟地址生成工具,允许用户创建一个个性化的地址,包含一串预定义的数字和字母(A到F)。几年前,Profanity 项目作者因其存在的一些安全漏洞可以破解私钥,放弃了这个项目。更具体地说,据估计,有人可以用大约 1000 个 GPU 在 50 天内破解 7 个字符的虚荣地址私钥。 虽然如此多的 GPU 需要大量的投资,但是在最近的以太坊合并后,强大的挖矿场已经变得毫无作用,其中一些农场经营者可能会发现,破解 Profanity 地址将是恢复盈利的绝佳方式。 最近,安全分析师披露了 Profanity 漏洞,并声称攻击者可能已经利用其盗取了 330 万美元。因此呼吁在使用 Profanity 创建的钱包上持有资金的用户,应立即将资产转移到其它地方。 目前,Profanity 项目作者已经删除了所有的二进制文件,并将项目的 GitHub 存储库存档,以期降低未来有人使用不安全工具的风险。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/345135.html 封面来源于网络,如有侵权请联系删除

一黑客兜售印尼 13 亿手机卡用户数据,公开嘲讽多名高官

安全内参9月20日消息,印度尼西亚近期成立的数据保护工作组正在追捕一名黑客。此人据称涉嫌窃取了13亿注册手机用户与1.05亿选民数据,甚至掌握了总统通信日志。 公开兜售印尼海量公民数据,涉及总统与众多高官 这位化名Bjorka、声称居住在波兰华沙的黑客,过去几周来一直在黑客论坛BreachForums上兜售被盗数据,受害者包括印尼多家国有企业、手机运营商及大选委员会。 Bjorka还掌握一份机密文件日志,其中记录着印尼总统佐科·维多多(Joko Widodo)与国家情报局之间的往来信息。 这位黑客也拿到多位公众人物的个人数据,包括印尼海洋与投资统筹部长卢胡特·班查伊丹(Luhut Pandjaitan)及信息与通讯部长约翰尼·G·布拉特(Johnny G. Plate)。泄露的细节包括电话号码、身份证号以及疫苗接种编码。 在9月5日的新闻发布会上,一名信息部高级官员呼吁Bjorka停止泄露印尼民众的个人数据。但一天之后,此黑客在BreachForums的新帖中大放狂言,提醒政府“别再白日做梦了”。 Bjorka在9月10号的一条推文中表示,他的意图是展示“在糟糕的数据保护政策之下,黑客渗透、特别是针对政府部门的渗透,是多么易如反掌。” 在推特上,Bjorka还表示那些负责黑客调查的人员根本不知道该从何入手,同时对公众人物大加嘲弄,包括奉劝国有企业部长艾瑞克·托希尔(Erick Thohir)断了竞选总统的念想。 目前,Bjorka至少有三个推特账户已被冻结。 印尼高官回应称,没有任何关键系统被黑 印尼政治、法律和安全事务统筹部长马福德(Mahfud MD)在上周三呼吁公众保持冷静,称没有任何关键系统遭到黑客入侵,也未出现国家机密泄露事件。 他解释道,此次泄密“只涉及总统的一般通信数据,而且截至目前,对方还没有公开通信内容。” 他补充道,当局已经根据“全面的追踪工具”确定了Bjorka的身份及其所在位置。 据印尼当地知名杂志《Tempo》报道,就在上周三成立数据保护工作组后不久,警方就在东爪哇省茉莉芬县审讯了一名23岁的男子,他的姓名首字母为MAH。他的日常工作,是在当地集市上出售饮料。 警方尚未确认他是否就是Bjorka,专案组正对近期事件开展调查。 印尼网络安全形势严峻,曾出现更严重违规事件 尽管国内数字经济蓬勃发展,但自2019年以来,印尼先后遭遇多起针对政府机关和私营企业的大规模数据泄露事件。 去年5月,医疗保健与社会保障局数据库中超过2亿公民的社保详细信息(包括身份证和家庭卡)被泄露,事件严重性令人震惊。 有专家认为,这可以说是“最最顶格的”安全违规事件,同时批评印尼政府对以往的违规事态缺乏足够的反应。 数字取证专家Ruby Alamsyah在接受新加坡《海峡时报》采访时称,“Bjorka泄露的数据在质量和数量上其实都不及之前的事件。但在此人的行动之下,人们终于开始对个人数据泄露给予重视。” 他还指出,在BreachForums之前,Bjorka曾经在RedForum出售过来自其他国家的泄露数据。作为暗网内规模最大的被盗数据集散地之一,RedForum已经在今年4月被美国司法部关闭。 总部位于雅加达的Digital Forensic Indonesia公司CEO Ruby认为,工作组不应只关注新近发生的数据泄露事件,还应调查2019年以来的同类案件,至少要“从过往案例中吸取教训”、避免后续类似问题的再次发生。 IT安全专家Alfons Tanujaya也认为,“工作组最好能改进数据管理。过去几年来,相关机构一直在否认发生了数据泄露,根本没有加强数据保护,因此导致数据泄露时有发生。” “如果Bjorka被捕,但数据泄露仍在继续,那么未来三到六个月内一定会出现更多步Bjorka后尘的仿效者。” 政法安统筹部长马德福博士则表示,印尼议会预计将在一个月内通过《个人数据保护法案》。 Ruby和Alfons都认为,如果这项法案能顺利通过,那么政府机关和私营企业将被迫加强自身网安水平,否则任何数据泄露都会招致经济处罚、甚至刑事制裁。 Ruby总结道,“从逻辑上讲,罚款与制裁的潜在压力将引导各方做好充分准备,保证自己的网络安全比过去更好,同时尽可能避免出现数据泄露。一旦发生泄露,根据新的法律条款,公众也可以依法要求追究责任、索取赔偿。” 转自 安全内参,原文链接:https://www.secrss.com/articles/47128 封面来源于网络,如有侵权请联系删除

黑客升级钓鱼活动,欺骗重要机构/大型企业员工提交 Microsoft 365 凭证

一群恶意行为者加强了他们的网络钓鱼活动,以欺骗大公司(尤其是能源、专业服务和建筑行业的公司)提交他们的 Microsoft Office 365 帐户凭据。根据网络钓鱼检测和响应解决方案公司 Cofense 的一份报告,这些恶意行为者改进了诱饵元素的流程和设计,现在将自己伪装成一些美国政府机构,例如交通部、商务部和劳工部。 Cofense 表示 威胁行为者正在开展一系列活动,以欺骗美国政府的多个部门。这些电子邮件声称要求对政府项目进行投标,但却将受害者引导至凭据网络钓鱼页面。相关证据表明这些活动早在 2019 年年中就已经投入运营,并于 2019 年 7 月首次在我们的 Flash Alert 中进行了报道。 这些活动精心设计的相关文件已出现在受安全电子邮件网关 (SEG) 保护的环境中,并且非常有说服力,也更有针对性。随着时间的推移,它们通过改进电子邮件内容、PDF 内容以及凭据网络钓鱼页面的外观和行为而不断发展。 Cofense 展示了一系列截图,比较了攻击者用于诱骗用户点击的前后材料。其中最先获得改进的是电子邮件和 PDF,现在用于诈骗的版本可谓是非常真实。 Cofense 补充道。 “早期的电子邮件只有简单的正文,没有徽标,语言相对简单。最近的电子邮件使用了徽标、签名块、一致的格式和更详细的说明。最近的电子邮件还包括访问 PDF 的链接,而不是直接附加它们”。 另一方面,为了防止受害者的怀疑,攻击者还对凭证钓鱼页面进行了更改,从登录过程到设计和主题。页面的 URL 也有意更改为更长的 URL(例如,transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com),因此目标只能在较小的浏览器中看到 .gov 部分视窗。此外,该活动现在具有验证码要求和其他说明,以使该过程更加可信。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318403.htm 封面来源于网络,如有侵权请联系删除

印度尼西亚通过备受瞩目的数据隐私法,刑罚最高可至监禁六年

印度尼西亚议会在这个东南亚国家遇到几起违规事件后的几个月,提出了一项数据隐私法作为其第一项动议。周二,印度尼西亚立法者通过了已经审议了一年多的个人数据保护法案。有了这项法律,数据处理人员可能会因为泄露或滥用私人信息而被判处长达5年的监禁。 根据该法律,为获得利益而伪造个人数据的个人也可能被判处长达6年的监禁。 此外,法律还包括公司罚款,在数据泄漏的情况下,罚款可高达公司年收入的2%。泄露个人数据的公司的资产也可能被没收或拍卖。 这部新法律是在一些数据泄露和涉嫌违规事件发生后制定的,这些事件不仅影响到个人,而且还影响到该国的各种公司和政府。 去年,一个联系人追踪应用程序泄露了印度尼西亚总统Joko Widodo的COVID-19疫苗记录。 随着新举措的实施,印尼已成为东南亚地区继新加坡、马来西亚、泰国和菲律宾之后第五个对个人数据保护进行专门立法的国家。 与印度尼西亚类似,印度也经常面临与个人数据安全有关的事件。然而,该国尚未出台围绕个人数据保护的立法。上个月,它撤回了其预期的个人数据保护法案,该法案引起了科技巨头的关注。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318553.htm 封面来源于网络,如有侵权请联系删除

俄罗斯沙虫黑客冒充乌克兰电信公司投放恶意软件

据观察,与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商,以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉,APT 黑客组织在今年发起了多次攻击,包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始,Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT(远程访问木马)等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施,但它是逐步更新的,因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ,伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar,Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”,很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址,但在某些情况下,与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域,通常是通过从这些域发送的电子邮件,使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语,呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页,翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件,当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是,几个俄罗斯国家资助的黑客组织使用 HTML 走私,最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT,这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是,俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”,从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时,但它仍然提供强大的功能,如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外,Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件,如下图 11所示。APT29 最初使用此例程是用于二进制数组,这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络,如有侵权请联系删除

安全公司 Bitdefender 无偿放出 LockerGoga 勒索软件解密器

响应 NoMoreRansom Initiative 活动号召,罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器,LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现,以攻击工业组织而闻名。 LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro,导致这家挪威铝制造商停产近一周,损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。 据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称,LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击,造成超过 1 亿美元的损失。 LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态,当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示,逮捕后,警方花了几个月的时间检查突袭期间收集的数据,并发现了该组织的加密密钥,以解锁 LockerGoga 勒索软件攻击的数据。 Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示:“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时,通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥,根据我们与相关执法部门的合作,这些密钥已私下与我们共享”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318303.htm 封面来源于网络,如有侵权请联系删除

攻击者正冒充美国政府机构骗取承包商 Office 账户

据Bleeping Computer 9月19日消息,针对美国政府承包商的持续性网络钓鱼攻击呈逐渐扩大之势,攻击者正采用更加难以分辨的“诱饵”制作钓鱼文件。 在这些钓鱼攻击中,攻击者通过伪造利润丰厚的政府项目投标请求,通过电子邮件将承包商骗至仿冒合法联邦机构门户的网络钓鱼页面。 这与 INKY 在 2022 年 1 月报告的钓鱼操作基本相同,攻击者使用随附的 PDF 文件,其中包含有关美国劳工部项目招标流程的说明。但根据Cofense在9月19日发布的情报,这些攻击者已经扩大了他们的目标,如今的冒充对象还涵盖美国交通部和商务部。 更加“精致”的钓鱼文件 根据Cofense的情报,攻击者在之前已经颇有成效的钓鱼文件基础之上采用了更加多样且精细化的设计,并删除了在之前版本中可能露出马脚的细节。 在Cofense例举的样例中,钓鱼文件在首页采用了更大的徽标,并且更倾向于采用包含PDF的链接而不是直接在邮件中置入附加文件。此前,PDF 曾经包含有关如何投标的详细说明,其中包含过多的技术信息,而现在,这些信息已被简化,并在显要位置显示指向网络钓鱼页面的链接。 钓鱼活动中使用的新版PDF 此外,PDF 之前的签名者是edward ambakederemo,而现在,文档中的元数据与冒充的部门更加匹配。例如由威斯康星州交通部发送的“诱饵”将带有WisDOT的签名。 在钓鱼网站域名方面,除了显示.gov冒充政府机构外,攻击者现在还使用长域名,如transportation.gov bidprocure.secure akjackpot.com,以便在无法从URL栏里显示完整链接的移动浏览器中打开时看起来像是合法链接。 在试图诱骗访问者输入其 Microsoft Office 365 帐户凭证的网络钓鱼页面上,攻击者现在还添加了验证码识别步骤,以确保他们没有采用机器人输入。 在窃取凭证之前添加了验证码识别步骤 在这类钓鱼攻击事件中,使用的电子邮件、PDF和网站基本上都是照抄真实的招标文件和国家招标门户网站的实际内容,因此很难看出欺诈的痕迹,唯一的防御措施是除了检查内容本身外,还要包括其他所有细节,如发送地址、登陆网址,并最终通过搜索引擎访问投标门户网站,而不是按照提供的链接。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/344938.html 封面来源于网络,如有侵权请联系删除

Revolut 遭遇黑客入侵,少量用户数据被暴露

线上金融与支付公司Revolut最近成为网络攻击的目标,该公司在发给客户的电子邮件中确认,实际上有少数用户的账户已经被暴露。不过这次漏洞并没有导致任何资金被盗,。然而,该公司没有透露哪些信息已经暴露,但它说它现在正在联系每一个用户,告知有关该漏洞以及其可能带来的影响。 “不同客户的数据不同。如果有必要,我们会单独联系他们,”Revolut说。另一方面,Revolut解释说,目前没有任何银行卡的细节、PIN码或密码被访问。 该公司声称只有0.16%的客户受到影响,且在这一点上,用户方面不需要采取行动来进一步保护账户。 “我们最近收到了来自一个未经授权的第三方的高度针对性的网络攻击,可能在短时间内获得了你的一些信息。你不需要采取任何行动,然而我们想让你知道,并为这一事件真诚地道歉。我们立即检测并隔离了这一网络攻击。”Revolut在发给受影响客户的电子邮件中说:”由于你是受影响客户中非常小的一部分,我们想向你保证,你的数据现在是安全的,我们理解你可能对这次事件有疑问。” “我们强调,没有接触到资金被盗的情况。你的钱是安全的,像往常一样。你可以正常使用你的虚拟卡/实体卡和账户。作为预防措施,我们已经建立了一个专门的团队来监控你的账户,保证你的钱和账户的安全。虽然你的钱是安全的,但你可能会面临更多的欺诈风险。我们建议你对任何可疑的活动保持特别警惕,包括可疑的电子邮件、电话或信息”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1318091.htm 封面来源于网络,如有侵权请联系删除