亨利·施恩公司在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿，并泄露了大量用户数据。 安全内参8月8日消息，美国医疗保健分销商、财富500强企业亨利·施恩（Henry Schein）日前下调了其年度利润预期。这家牙科和医疗设备分销商警告称，从去年10月披露的网络攻击中恢复正常的速度较慢。 该公司股价在盘前交易中下跌至64.50美元，跌幅达7.3%。 在网络安全漏洞发生后，亨利·施恩将一些系统下线，通知了当局并聘请了专家，事件还扰乱了其制造和分销业务。 伦敦证券交易所数据显示，该事件对公司今年的财务表现产生了持续影响，第二季度收入为31.4亿美元，低于分析师预估的32.7亿美元。 首席执行官Stanley Bergman表示：“我们在分销业务中的销售趋势正在改善，但自去年年底的网络事件以来，这些业务的恢复速度比预期的要慢。” 勒索攻击造成重大损失 亨利·施恩最初在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿。BlackCat组织声称，泄露了包括DEA号码、个人身份信息（PII）数据和供应商银行账户在内的敏感数据。 尽管公司努力恢复，网络攻击者在去年11月14日再次发动攻击。威胁行为者声称，此次造成超过5亿美元的损失。 值得注意的是，ALPHV/BlackCat组织声称对亨利·施恩进行了两次重新加密，并预告了第三次攻击。然而，几天后，BlackCat从其泄露网站上移除了亨利·施恩，这表明公司可能支付了赎金，但没有官方声明证实这一点。 黑客组织在去年12月再次通过其暗网频道更新了亨利·施恩数据泄露的情况。同月，亨利·施恩公司向美国缅因州总检察长报告称，数据泄露影响了超过2.9万人的个人信息。 公司下调营收预期 亨利·施恩将其年度利润预期从此前的每股5美元至5.16美元下调至每股4.70美元至4.82美元。分析师预计利润为每股5.06美元。 公司表示，现在预计全年销售额将增长4%至6%，而此前的预测为增长8%至10%。按照公司2023财年总营收123.39亿美元计算，2024财年总营收预期下调了4.93亿美元（约合人民币35.4亿元）。 亨利·施恩的牙科部门第二季度销售额下降了1.7%，至19.2亿美元，低于预期的19.9亿美元。 其医疗部门的销售额也下降了5%，至9.98亿美元，低于预期的10.7亿美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68973 封面来源于网络，如有侵权请联系删除

去中心化金融生态系统再次遭受了重大的安全漏洞。区块链基础设施协议Nexera遭遇一个重大漏洞，导致价值约180万美元的数字资产被盗。 加密安全公司Cyvers在8月7日详细描述了这次攻击。攻击者通过一个复杂的策略，控制了Nexera的代理合同（proxy contract）。 在去中心化金融（DeFi）协议中，代理合同通常是一个关键的控制点，它允许用户通过智能合约与DeFi平台进行交互。 攻击者利用控制的代理合同，执行了“withdraw admin”（撤回管理员）功能，窃取了平台的全部NXRA币（3250万NXRA币）。 “我们的系统检测到一笔涉及您的代理合同的可疑交易。Cyvers在X（Twitter）上的一篇文章中解释说：“一个地址拥有了你的代理合约并对其进行了升级。不久之后，该地址使用了撤回管理功能来转移所有的$NXRA币。” 事件发生后，Nexera迅速做出反应，暂停了NXRA币合约，并停止了去中心化交易所的交易。Kucoin和MEXC交易所已经暂停交易活动。 尽管采取的措施对于防止进一步的损失至关重要，但平台在重建信任和追回被盗资金方面面临着巨大的挑战。 此前Ronin Network案例中，一个被认为是”白帽黑客”（即那些发现并报告安全漏洞的黑客，通常不会利用这些漏洞进行恶意行为）的人盗取了价值980万美元的以太币，但很快就归还了这些资金。 与Ronin Network情况不同，Nexera事件表现出了明显的恶意意图。 盗窃发生后，黑客立即启动了一个流程来清洗被盗的NXRA币。通过将被盗资金转换为以太坊（ETH）并可能利用加密货币混合器，掩盖被盗资金的来源，使当局和网络安全公司追踪和恢复资产变得更具挑战性。 这次攻击在加密货币社区中引起了巨大的震动。 在攻击之后，NXRA币的价值暴跌了40%。区块链侦探ZachXBT已经将攻击者与一系列先前的私钥泄露事件联系起来，涉及SpaceCatch、Concentric Finance、OKX DEX、Serenity Shield和Reach等事件。 攻击者目前持有大量的3250万NXRA币，这些代币的价值大约为123万美元，以及价值55.5万美元的USDT稳定币（USDT是一种与美元价值挂钩的稳定币，通常用于加密货币交易和存储价值）。   转自E安全，原文链接：https://mp.weixin.qq.com/s/mPRWBSYPfew2UOVfwMZyEw 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击，这些攻击针对大学教授、研究人员和其他工作人员，目的是收集情报。 网络安全公司 Resilience表示，在观察到黑客犯下的操作安全 (OPSEC) 错误后，它在 2024 年 7 月下旬发现了这一活动。 Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima，只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点：使用受感染的主机作为临时基础设施，部署经过混淆的 Green Dinosaur Web Shell 版本，然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面，这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户，目的是获取他们的凭证。 接下来，受害者被重定向到另一个网站，该网站指向托管在 Google Drive 上的 PDF 文档，该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示：“此外，在 Kimsuky 的网络钓鱼网站上，还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理，用于窃取访问者的 cookie 和凭据，并显示弹出窗口，告诉用户他们需要再次登录，因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具，该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁，建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络，如有侵权请联系删除

美国国务院周三宣布，将悬赏高达 1000 万美元，征集几名被控入侵工业控制系统 (ICS) 的伊朗公民的个人信息。 通缉名单包括：哈米德·霍马云法尔 (Hamid Homayunfal)、哈米德·礼萨·拉什加里安 (Hamid Reza Lashgarian)、马赫迪·拉什加里安 (Mahdi Lashgarian)、米拉德·曼苏里 (Milad Mansuri)、穆罕默德·巴盖尔·希林卡 (Mohammad Bagher Shirinkar) 和礼萨·穆罕默德·阿明·萨贝里安 (Reza Mohammad Amin Saberian)，他们与伊朗伊斯兰革命卫队 (IRGC)，特别是网络电子指挥部有联系。 据信，这些人是名为 Cyber Av3ngers 的黑客组织的幕后黑手，该组织于 2023 年秋季针对宾夕法尼亚州阿利奎帕市水务局的 Unitronics Vision 可编程逻辑控制器 (PLC) 发起攻击。还针对美国其他水务公司的 ICS发起攻击。 目标 PLC 暴露在互联网上，仅受弱默认密码的保护。 CyberAv3ngers 自称是一个黑客组织，但美国认为这是伊朗政府用来进行恶意网络活动的身份。 此前，美国政府宣布悬赏1000 万美元缉拿“网络复仇者”组织成员。悬赏 1000 万美元，征集有关Alphv/BlackCat 勒索软件运营商及其附属机构以及朝鲜黑客组织 APT45成员的信息。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5XwhSGjDOHLjBn_Mkp8TeQ 封面来源于网络，如有侵权请联系删除

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

在拉斯维加斯举行的黑帽大会（BLACK HAT USA 2024）上，来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞细节。 RISC-V是一种开源指令集架构 (ISA)，旨在为各种类型的应用开发定制处理器，包括嵌入式系统、微控制器、数据中心和高性能计算机。 CISPA 研究人员发现中国芯片公司 T-Head （阿里巴巴旗下的平头哥半导体）生产的玄铁 C910 CPU 中存在漏洞。据专家介绍，玄铁 C910 是速度最快的 RISC-V CPU 之一。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存，从而可能使他们获得对目标设备的完全和不受限制的访问权限。 虽然 GhostWrite 漏洞特定于玄铁 C910 CPU，但已确认多种类型的系统受到影响，包括云服务器中的 PC、笔记本电脑、容器和虚拟机。 研究人员列出的易受攻击的设备列表包括 Scaleway Elastic Metal RV 裸机云实例；Sipeed Lichee Pi 4A、Milk-V Meles 和 BeagleV-Ahead 单板计算机 (SBC)；以及一些 Lichee 计算集群、笔记本电脑和游戏机。 “要利用此漏洞，攻击者需要在易受攻击的 CPU 上执行非特权代码。这对多用户和云系统构成威胁，或者在执行不受信任的代码时，甚至在容器或虚拟机中也是如此。”研究人员解释道。 为了展示他们的研究结果，研究人员展示了攻击者如何利用 GhostWrite 获取 root 权限或从内存中获取管理员密码。 与之前披露的许多CPU 攻击不同，GhostWrite 不是侧信道攻击，也不是瞬时执行攻击，而是一个架构错误。 研究人员向 T-Head 报告了他们的发现，但目前尚不清楚该供应商是否采取了任何行动。SecurityWeek在本文发表前几天联系了 T-Head 的母公司阿里巴巴征求意见，但尚未得到回复。 云计算和网络托管公司 Scaleway 也已收到通知，研究人员表示该公司正在向客户提供缓解措施。 值得注意的是，该漏洞是一个硬件错误，无法通过软件更新或补丁修复。禁用 CPU 中的矢量扩展可以减轻攻击，但也会影响性能。 研究人员告诉SecurityWeek，尚未为 GhostWrite 漏洞分配 CVE 标识符。 虽然没有迹象表明该漏洞已被利用，但 CISPA 研究人员指出，目前还没有特定的工具或方法来检测攻击。 研究人员发表的论文中提供了更多技术信息。他们还发布了一个名为 RISCVuzz 的开源框架，用于发现 GhostWrite 和其他 RISC-V CPU 漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aO8kr865bmh1VSlC4fIPPQ 封面来源于网络，如有侵权请联系删除

一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播，该蠕虫能够窃取账户凭证和其他数据。 据发现该活动的卡巴斯基研究人员称，CMoon 可以执行多种功能，包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。 从攻击者使用的分发渠道来看，他们的目标范围集中在高价值目标而不是随机的互联网用户，这表明他们的行动非常复杂。 感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件（docx、.xlsx、.rtf 和 .pdf）链接时。 攻击者将文档链接替换为恶意可执行文件的链接，这些恶意可执行文件也托管在网站上，并作为自解压档案传递给受害者，其中包含原始文档和 CMoon 负载（以原始链接命名）。 卡巴斯基报告称：“我们还没有发现这种恶意软件的其他传播媒介，因此我们认为此次攻击仅针对特定网站的访问者。” 在该天然气公司收到此入侵通知后，恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。 由于 CMoon 的自我传播机制，感染仍在继续自主进行。 CMoon 是一种 .NET 蠕虫，它会将自身复制到一个新创建的文件夹中，该文件夹以其在受感染设备上检测到的防病毒软件命名；如果未检测到 AV，则复制到一个类似于系统文件夹的文件夹中。 该蠕虫在 Windows 启动目录上创建快捷方式，以确保它在系统启动时运行，从而确保重新启动之间的持久性。 为了避免在手动用户检查时引起怀疑，它将文件的创建和修改日期更改为 2013 年 5 月 22 日。 该蠕虫会监视新连接的 USB 驱动器，当任何 USB 驱动器连接到受感染的机器时，它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。 CMoon 还会查找 USB 驱动器上存储的有趣文件，并将它们临时存储在隐藏目录（“.intelligence”和“.usb”）中，然后将它们泄露到攻击者的服务器。 CMoon 具有标准的信息窃取功能，目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。 一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件，例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。 该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。 被盗文件和系统信息被打包并发送到外部服务器，在那里进行解密（RC4）并使用 MD5 哈希验证其完整性。 卡巴斯基表示，在其当前可见范围之外还有更多网站分发 CMoon，蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/H1YEJmnkrLXOjPOhVHZcmg 封面来源于网络，如有侵权请联系删除

自2021年起，俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。 网络安全公司卡巴斯基在2024年3月发现了这款恶意软件，并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制（C2）通信，以避免设立专用基础设施并逃避检测。 安全研究员Dmitry Kalinin在周一发布的技术报告中表示：LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。 目前尚不清楚该间谍软件的传播方式，但卡巴斯基推测，它可能是通过未知的安全漏洞或是直接接触目标手机来部署的，这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。 LianSpy一旦被激活，会先检查自己是不是以系统应用身份在运行。如果是，它会利用管理员权限在后台操作。如果不是，它会请求一系列权限以访问联系人、通话记录、通知，甚至会在手机屏幕上绘制覆盖层。 它还会检查自己是否在调试环境中运行，以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标，并触发屏幕截图、导出数据和更新配置等活动，以指定需要捕获的信息类型。 某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据，并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。 Kalinin说：“为了更新间谍软件配置，LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式’^frame_.+.png$’匹配的文件，如果找到，文件将被下载到应用程序的内部数据目录中。” 并且，收集的数据以加密形式存储在SQL数据库中，指定记录类型和SHA-256哈希值，只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。 LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能，该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数，防止通知图标出现在状态栏。 它还利用NotificationListenerService隐藏后台服务的通知，处理并抑制状态栏通知。 LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为”mu”的su二进制文件来获取root权限，这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。 此外，LianSpy的C2通信是单向的，只接收命令，不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令，从硬编码的Pastebin URL更新Yandex Disk的凭据，不同恶意软件变种的 Pastebin URL 各不相同，使用这种合法服务增加了混淆层，追踪LianSpy变得更加困难。 LianSpy是不断增长的间谍软件工具列表中的最新成员，通常利用零日漏洞攻击目标移动设备（无论是 Android 还是 iOS）。Kalinin表示：“除了收集通话记录和应用列表等标准间谍行为外，它还利用root权限进行隐蔽的屏幕录制，避开安全检查，其依赖重命名的su二进制文件，暗示了初次入侵后的二次感染。”   转自Freebuf，原文链接：https://www.freebuf.com/news/408008.html 封面来源于网络，如有侵权请联系删除

谷歌已修复 Android 设备中一个可能“受到有限、有针对性利用”的“高严重性”漏洞。 谷歌在周一的公告中表示，该漏洞编号为CVE-2024-36971，影响 Linux 内核——操作系统的核心组件，是软件和计算机物理硬件之间的桥梁。 谷歌表示，该漏洞允许黑客在受影响的设备上远程执行代码。该公司尚未提供有关具体攻击以及幕后威胁者的任何详细信息。 为了成功利用该漏洞，攻击者需要拥有系统级权限，即最高级别的访问权限。 谷歌 8 月份的补丁共修复了 47 个漏洞，包括 Arm、Imagination Technologies、联发科和高通组件中的漏洞。其中大多数漏洞被评为“高严重性”。 新的 Android 0day漏洞是由 Google 威胁分析小组的 Clement Lecigne 发现的。他之前主要报道间谍攻击中利用的0day漏洞。 今年早些时候，谷歌的研究人员警告称，0day漏洞已变得越来越普遍，因为国家黑客和网络犯罪分子已经找到了实施攻击的复杂方法。 谷歌在 3 月份的一份报告中表示，它观察到 2023 年有 97 个0day漏洞被利用，而 2022 年只有 62 个，增长了 50%。其中 48 个漏洞归因于间谍行为者，其余 49 个漏洞归因于以经济为目的的黑客。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/K-H7sGAjR_4u_iScnfRYOw 封面来源于网络，如有侵权请联系删除

黑客入侵了全球使用的数字教室管理平台 Mobile Guardian，并远程抹去了至少 13,000 名学生的 iPad 和 Chromebook 上的数据。 Mobile Guardian 是“Google for Education”合作伙伴，是针对 K-12 学校的跨平台（Android、Windows、iOS、ChromeOS、macOS）一对一解决方案，提供全套设备管理、家长监控和控制、安全网络过滤、课堂管理和通信等功能。 该平台宣布于 2024 年 8 月 4 日遭遇安全漏洞，一名黑客未经授权访问其平台，影响其北美、欧洲和新加坡实例。 Mobile Guardian 表示，由于此次入侵，一小部分 iOS 和 ChromeOS 设备被远程清除数据，但没有证据表明存在数据访问或泄露。 公告中写道：“此次事件导致一小部分设备从 Mobile Guardian 中取消注册，设备中的内容被远程清除。”并补充道，“没有证据表明犯罪者可以访问用户的数据。” 该服务目前已暂停，因此用户无法登录移动监护平台，学生也只能在其设备上进行受限访问。 该漏洞仍在调查中，但该公司目前就该事件发表的声明称，没有证据表明攻击者获取了用户数据。北美、欧洲和新加坡的实例均受到影响。 受影响设备的确切数量尚不清楚，但 Mobile Guardian 称其只占“一小部分”。受影响的客户之一新加坡教育部表示，26 所学校的 13,000 名学生的设备已被攻击者远程清除。 该事件给新加坡造成了严重混乱，学生无法访问存储在 iPad 和 Chromebook 上的应用程序和信息。 新加坡教育部表示，此次事件发生后，将从所有 iPad 和 Chromebook 中删除“Mobile Guardian”应用程序。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NsbOWU_rwqLtg5FwVM_pCw 封面来源于网络，如有侵权请联系删除