本文揭示了 DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 安全研究人员 Johann Rehberger，他记录了许多针对各种人工智能工具的注入攻击，发现在 DeepSeek 聊天中提供”Print the xss cheat sheet in a bullet list. just payloads”的输入触发了 JavaScript 代码的执行，作为生成的响应的一部分——这是典型的跨站脚本（XSS）攻击。 XSS 攻击可能会产生严重后果，因为它们导致在受害者的网络浏览器上执行未经授权的代码。攻击者可以利用这些漏洞劫持用户的会话并访问与 chat.deepseek[.]com 域关联的 cookie 和其他数据，从而导致账户被接管。 “经过一些实验，我发现采取控制用户会话所需的全部是 chat.deepseek.com 域存储的 userToken，” Rehberger 表示，他补充道，可以使用特殊设计的提示来触发 XSS 并通过注入攻击访问被攻击用户的 compromised user’s userToken 。 提示包含了一系列的指令和一个 Base64 编码的字符串，DeepSeek 聊天机器人将其解码后执行 XSS 载荷，用于提取受害者的会话令牌，最终允许攻击者冒充用户。 与此同时，Rehberger 还展示了 Anthropic 的Claude Computer Use 可以通过提示注入来滥用，Claude Computer Use 可以使开发人员通过光标移动、按键点击和键入文本来控制计算机。通过提示注入，攻击者可以滥用 Computer Use 来下载 Sliver 命令与控制（C2）框架，执行该框架，并与攻击者控制的远程服务器建立联系，从而自主运行恶意命令。 此外，还发现可以利用大型语言模型（LLM）的 ANSI 转义码输出来通过提示注入劫持系统终端。这种攻击主要针对 LLM 集成的命令行界面（CLI）工具，被命名为 Terminal DiLLMa 。 “十年前的功能为 GenAI 应用提供了意想不到的攻击面，” Rehberger 说。”对于开发者和应用设计者来说，考虑将 LLM 输出插入的上下文是很重要的，因为输出是不可信的，可能包含任意数据。” 这还不是全部，威斯康辛大学麦迪逊分校和圣路易斯华盛顿大学的学者进行的新研究揭示了 OpenAI 的ChatGPT 在给出的附加标记格式的外部图像链接渲染的问题，这些链接可能涉及淫秽和暴力内容，以一个普通的善意目标为借口。 此外，还发现通过提示注入，可以间接调用 ChatGPT 插件，而无需用户确认，甚至可以绕过 OpenAI 设定的限制，以防止渲染来自危险链接的内容，将用户的聊天记录泄露到由攻击者控制的服务器上。     转自Freebuf，原文链接：https://www.freebuf.com/news/417305.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商，包括 Akamai、Cloudflare、Fastly 和 Imperva，并极有可能导致拒绝服务（DoS）攻击、勒索软件攻击，甚至是全面的应用程序入侵。 研究人员发现，漏洞导致的错误配置影响了涉及财富1000强公司相关的14多万个域。其中，3.6万个后端服务器有 8000 个域名与之相连，这些对潜在的攻击者开放，容易受到 DDoS 攻击。 根据分析，有近 40% 的 “财富 100 强 “企业和 20%  “财富 1000 强 “企业都受到了影响，这凸显了错误配置的普遍性。 一些全球知名企业，包括摩根大通、Visa、英特尔、伯克希尔·哈撒韦和联合健康等，都被发现受到了影响。比如，例如，研究团队的发现迅速披露了直接影响摩根大通主网站 chase.com 的问题；对伯克希尔·哈撒韦子公司 BHHC 拥有的一个网域进行的 20 秒钟拒绝服务攻击试验，展示了该漏洞的严重性。 根据 Zafran 的技术分析，缺陷在于现今 WAF 提供商的双重功能，它们也作为内容交付网络 (CDN) 运行，以增强网络可靠性和缓存。当后端服务器不能正确检查流量时，这种架构设计就会出现漏洞，让攻击者绕过 WAF 保护，直接攻击后端基础设施。比如，攻击者可以通过将外部域映射到后端 IP 地址来利用这一漏洞。 这一发现凸显了 WAF/CDN 解决方案在设计和实施过程中存在的系统性缺陷。 有效的 WAF 通常是面向公众的网络应用程序的主要或唯一防御层，因此这种错误配置尤其令人担忧。 最近的趋势表明，攻击者越来越多地瞄准配置不佳的网络应用程序。  此外，针对暴露在外的网络应用程序的云勒索软件攻击也越来越常见。 此类攻击造成的经济损失通常十分惊人，例如，一次持续一小时的 DDoS 攻击会给金融组织造成大约 180 万美元的损失，而类似的宕机时间给大型披萨连锁店造成的损失可能高达 190 万美元。 缓解措施 为了防范与这种 WAF 错误配置相关的风险，Zafran 概述了几种缓解策略： IP 白名单（源 IP 访问控制列表）： 只允许 CDN 提供商的 IP 地址访问后端服务器。 这种方法虽然简单，但并非万无一失； 自定义标头中的预共享密钥： 使用带有预共享密钥的自定义 HTTP 标头来验证流量。 虽然短期内有效，但这需要定期轮换密钥； 双向TLS（mTLS）：采用客户端认证来验证服务器和 CDN。 这是最安全的方法，但需要专门的工具，可能并非所有常用的负载均衡器都支持这些工具。 Zafran 从 2024 年 8 月 23 日开始启动了为期 90 天的协调披露流程，以通知受影响的公司。该团队向 Visa、英特尔、摩根大通、伯克希尔·哈撒韦公司的 BHHC 和联合健康报告了该漏洞。值得注意的是，摩根大通和联合健康已经解决了这个问题，防止了潜在的漏洞利用。     转自Freebuf，原文链接：https://www.freebuf.com/news/417317.html 封面来源于网络，如有侵权请联系删除

Termite 勒索软件团伙正式宣称对软件即服务（SaaS）提供商 Blue Yonder 的11 月攻击负责。Blue Yonder（前身为 JDA Software，作为 Panasonic 子公司运营）是总部位于亚利桑那州的供应链软件供应商，为零售商、制造商和物流供应商提供全球服务。 该公司拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、 DHL 、3M 、Ace Hardware 、宝洁、嘉士伯、多尔、沃尔格林、西部数据和 7-Eleven 等其他知名公司。 BleepingComputer 此前曾听说 Termite 是对 Blue Yonder 进行攻击的幕后黑手，但尚无独立证实。此事件导致该公司软件的客户遭遇故障浪潮，包括美国咖啡连锁店星巴克、英国莫里森和英国 Sainsbury’s 超市链，原因是 Blue Yonder 托管环境的服务受到干扰。 星巴克表示，在勒索软件攻击影响跨越 10000 家门店的员工工作安排跟踪软件后，他们不得不手动支付咖啡师的工资。法国钢笔制造商 BIC 也因出货延迟而受到影响，而莫里森透露这一事件对其新鲜食品的仓库管理系统有所影响。 根据该公司官方的安全事件追踪页面上于周末新增的更新，Blue Yonder 已经重新上线一些受影响的客户，并正在与外部网络安全专家合作，帮助其他客户恢复正常的业务运营。 一周前，Blue Yonder 表示，其团队正在“日以继夜地努力应对此事件，并继续取得进展”。虽然该公司尚未透露有多少客户受到影响，攻击者是否从其受损系统中窃取了任何数据，但 Termitr 勒索软件团伙现在声称对此次攻击负责，并称他们窃取了 680GB 的文件。 “我们的团队获得了 680GB 的数据，如数据库转储、用于未来攻击的电子邮件列表（超过 16000 个）、文档（超过 200000 份）、报告和保险文件”，威胁行为者在其泄漏网站上声称。 Termitr 是一个新兴的勒索软件行动，根据威胁情报公司 Cyjax 的说法，该行动于 10 月中旬出现，并在其暗网门户上列出了来自世界各行各业的七个受害者，包括 Blue Yonder 在内。 与其他勒索软件团伙一样，这个网络犯罪团伙从事数据窃取、勒索和加密攻击。根据趋势科技的说法，他们正在使用在 2021 年9 月泄漏的 Babuk 加密程序的一个版本，将在受害者的加密系统上放置一个名为“How To Restore Your Files.txt”的赎金提示。 趋势科技还表示，由于存在代码执行缺陷，Termitr 的勒索软件加密程序仍然处于未完善状态，可能会过早终止。 Blue Yonder 的一位发言人表示，该公司正在调查勒索软件窃取数据的指控。“遭受勒索软件攻击后，Blue Yonder 与外部网络安全公司合作，加强了防御和取证协议。我们已经通知了受运营干扰影响的客户，并在整个恢复过程中与他们合作。” “我们知道有一家未经授权的第三方声称从我们的系统中获取了某些信息。我们正在与外部网络安全专家共同努力解决这些指控。调查仍在进行中。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417312.html 封面来源于网络，如有侵权请联系删除

领先的心脏外科医疗设备制造商 Artivion 披露了 11 月 21 日的勒索软件攻击，该攻击扰乱了其部分业务并迫使其关闭部分系统。 该公司总部位于亚特兰大，在全球拥有 1,250 多名员工，在 100 多个国家设有销售代表。该公司还在佐治亚州亚特兰大、德克萨斯州奥斯汀和德国黑欣根设有制造工厂。 该公司在周一向美国证券交易委员会 (SEC) 提交的 8-K 文件中透露：“Artivion 的应对措施包括关闭某些系统、启动调查以及聘请外部顾问（包括法律、网络安全和取证专业人士）来评估、控制和补救事件。” 虽然 Artivion 在其提交给美国证券交易委员会的文件中没有直接提到勒索软件，但它披露攻击者加密了其部分系统并从受感染的系统中窃取了数据。 该公司表示：“此次事件涉及文件的获取和加密。公司正在努力尽快安全地恢复系统，并评估任何通知义务。” 该公司补充说，公司运营、订单处理和运输中断问题已基本得到解决，保险将承担与事件响应相关的费用。然而，Artivion 认为，它将产生保险未涵盖的额外费用。 尽管尚无勒索软件组织声称对此次攻击负责，但如果威胁组织的赎金要求在未来几天或几周内得不到满足，这种情况就有可能发生。 最近几周，美国医疗保健行业的其他组织也遭遇了勒索软件攻击，BianLian 网络犯罪团伙声称波士顿儿童健康医生 (BCHP) 遭受了网络攻击，并威胁称如果不支付赎金，他们就会泄露被盗文件。勒索软件攻击还迫使 UMC 医疗系统在 9 月份转移了部分患者。 本月初，安娜雅克医院证实，去年圣诞节遭受的勒索软件攻击泄露了超过 310,000 名患者的敏感健康数据。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JICJ216PuzgFOfw9BSpclw 封面来源于网络，如有侵权请联系删除

Radiant Capital 表示，朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。 在 Mandiant 网络安全专家的协助下，对该事件进行了调查，并最终确定了攻击原因，他们表示，此次攻击是由朝鲜黑客组织 Citrine Sleet（又名“UNC4736”和“AppleJeus”）发起的。 Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。 该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性，并在社区驱动的系统下运行，使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。 2024 年 10 月 16 日，Radiant宣布其遭受入侵，事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。 黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。 此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。 矛头指向朝鲜黑客组织 在 Mandiant 的协助下对此次攻击进行内部调查后，Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。 攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。 该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，它在受感染的设备上建立了后门。 攻击中使用的诱饵 PDF 文件，来源：Radiant Radiant 表示，此次攻击设计精良，执行完美，绕过了所有现有的安全措施。 Radiant 解释说：“这种欺骗行为进行得如此天衣无缝，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP，攻击者仍然能够入侵多个开发者设备。” “前端界面显示良性交易数据，而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见。” Mandiant 高度确信，此次攻击是由 UNC4736 发起的，该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。 鉴于其安全措施被成功绕过，Radiant强调需要更强大的设备级解决方案来增强交易安全性。 至于被盗资金，该平台表示正在与美国执法部门和zeroShadow合作，追回尽可能多的资金。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig 封面来源于网络，如有侵权请联系删除  

上周黑客声称入侵了德勤英国分公司。德勤否认数据泄露，称与德勤网络之外的单个客户系统有关，德勤系统没有受到影响。 12月4日，勒索软件组织Brain Cipher宣称已入侵全球四大会计师事务所之一的德勤英国公司（Deloitte UK），并窃取了超过1TB的敏感数据，威胁要在本周早些时候公布其窃取的数据。 尽管有这些指控，德勤的一位发言人告诉媒体Infosecurity，其调查显示这些指控与德勤网络之外的单个客户的系统有关。“德勤系统没有受到影响，”发言人说。 Brain Cipher称给该公司10天的时间至12月15日，以回应威胁。 在其声明中，勒索软件团伙表示，“大公司并不总是能很好地完成工作。”帖子还表示，它将揭示德勤如何“没有遵守信息安全的‘基本点’”。 根据报告，Brain Cipher从事多管齐下的敲诈行为，托管了一个基于TOR的数据泄露网站。该威胁行为者的载荷基于LockBit 3.0。 2024年6月，Brain Cipher声称入侵印尼临时国家数据中心（PDNS），并破坏了该国的服务。团伙最初要求PDNS支付800万美元的赎金，但后来免费发布了解密器。 为什么伪造网络攻击索赔 尽管德勤已经与这次攻击划清界限，但这并不意味着处于勒索软件索赔目标组织不受影响。 “不影响目标组织系统并不意味着没有影响。”KnowBe4的首席安全意识倡导者Javvad Malik告诉Infosecurity。“仅仅暗示数据泄露就可能损害声誉，影响股价，或引发昂贵且不必要的反应。因此，即使是空洞的威胁，也和在拥挤的剧院里喊‘着火’一样具有同样的分量。” 德勤是一家私有公司，只有合伙人才能拥有公司的股权。关于为什么此类组织可能会捏造声明，Secureworks Counter Threat Unit威胁情报总监Rafe Pilling表示，网络犯罪分子这样做的原因有很多。 “众所周知，犯罪分子和国家支持的威胁行为者都会获取数据——可能来自知名品牌的客户或供应商——然后将其宣传为该大品牌的泄露，而不是分享数据的真正来源。”他说。 “这让他们有了更高的知名度，看起来更像是一个威胁。这种策略可能特别吸引那些希望在竞争激烈的犯罪环境中树立声誉的小型网络犯罪集团。” Malik对此表示赞同，并补充说：“这可能是为了提高犯罪团伙的声誉，试图获得恶名，灌输恐惧，甚至可能引诱受害者采取不明智的行动，比如为他们不需要的解密密钥付费。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

美国国会下属监督机构政府问责局（GAO）发布了一份新报告，指出一些联邦机构未能在法律规定的截止日期前，完成物联网网络安全相关要求。 根据2020年出台的《物联网网络安全改进法案》要求，美国国家标准技术研究院（NIST）和管理与预算办公室（OMB）需制定安全采购物联网设备的相关指南。这些设备通常是连接到建筑、车辆或其他基础设施的联网技术和设备。该法案还要求23个联邦民事机构实施物联网网络安全要求，并由OMB建立豁免流程。 图：《物联网网络安全改进法案》的要求 根据GAO的报告，有3个机构表示未能在9月30日前完成物联网设备的清点工作，6个机构未提供完成清点工作的具体时间框架。此外，小企业管理局声称未使用任何物联网设备，因此无需开展清点工作。 GAO指出：“在OMB和各机构确保满足这些要求之前，这些机构将无法有效评估风险，也无法制定适当的安全要求或采取其他缓解措施。” 美联邦物联网威胁态势严峻 GAO强调，联邦机构对物联网技术的应用目的广泛，包括控制设备或设施的访问权限，以及监控系统和设备。物联网技术的广泛使用进一步凸显了适当网络安全协议的重要性，尤其是在物联网面临显著网络威胁的情况下。 司法部在2022年的报告中提到，一个俄罗斯的僵尸网络瞄准了大量物联网及运营技术设备，包括路由器、流媒体设备、时钟以及工业控制系统。今年早些时候，美国网络安全与基础设施安全局、国家安全局及联邦调查局联合评估认为，一个外国支持的网络团体已入侵了多个通信、能源、交通运输和水务组织的IT网络。 GAO写道：“这些技术面临严峻的网络威胁，这可能对组织运营与资产、个人隐私、关键基础设施乃至国家安全造成不利影响。随着网络威胁的日益复杂化，加强物联网与运营技术产品和服务的网络安全管理变得愈发紧迫。这些威胁包括蓄意攻击、环境干扰以及设备故障，可能危及美国的国家和经济安全利益。” 应尽快完成清点工作，以便开展风险评估 截至目前，在23个联邦民事机构中，只有国务院、财政部和核管理委员会完成了物联网设备清点工作。10个机构表示计划在2024财年结束前完成清点，另有3个机构计划在2025财年达成清点要求。 GAO建议，OMB应核实各机构报告的物联网网络安全豁免情况。6个机构获得了部分物联网豁免，但后续沟通显示，其中5个机构表示这些豁免事项不应被报告。在这5个机构中，4个已纠正了其豁免事项，1个取消了豁免。 此外，GAO建议以下机构应指示其首席信息官按时完成物联网设备的清点工作：教育部、卫生与公众服务部（HHS）、退伍军人事务部、劳工部、人事管理局、环境保护署、总务管理局、社会保障管理局以及美国国家航空航天局。同时，GAO建议HHS部长指示其首席信息官确保授予的物联网豁免符合OMB的相关要求。     转自安全内参，原文链接：https://www.secrss.com/articles/73287 封面来源于网络，如有侵权请联系删除

罗马尼亚的选举系统遭受了超过 85,000 次攻击，在总统选举前，俄罗斯黑客论坛上发布了泄露的凭证。 罗马尼亚情报局透露，该国选举系统遭受了超过 85000 次网络攻击。 威胁者获取了与选举相关网站的凭证，然后在总统选举前几天将其泄露在俄罗斯网络犯罪论坛上。 “情报部门还称，罗马尼亚官方选举网站的访问数据被公布在俄罗斯网络犯罪平台上。”路透社称：“这些访问数据可能是通过针对合法用户或利用合法培训服务器获取的。”路透社称，“该机构补充说，它已经发现了超过 85,000 次旨在利用系统漏洞的网络攻击。” 莫斯科否认对罗马尼亚选举系统发动过任何攻击。 罗马尼亚情报部门在一份解密文件中报告说：“攻击仍在继续，包括在选举日和选举后的当晚。攻击活动的运作模式和规模使我们得出结论，攻击者拥有攻击国家特有的大量资源。” 罗马尼亚安全部门的解密文件显示，亲俄总统候选人卡林-乔治斯库（Calin Georgescu）通过协调账户和付费广告在 TikTok 上进行了 “积极 ”的宣传。 在 11 月 24 日罗马尼亚总统大选前，卡林-杰奥尔杰斯库（Calin Georgescu）的民调起初仅为个位数，但后来却一举获胜，这引起了人们的怀疑。 2024 年 12 月 6 日，罗马尼亚宪法法院援引《宪法》第 146（f）条，出于对公平性和合法性的担忧，一致宣布整个总统选举过程无效。该废止令既影响了第 756/2024 号政府决定确定的选举日期，也影响了第 1061/2024 号政府决定批准的实施日程。法院下令全面重启选举进程，要求政府确定新的选举日期和相应的行动计划。该裁决是最终裁决，具有约束力，并将在《政府公报》上公布。 罗马尼亚情报机构还警告说，该国的选举系统仍然很脆弱，威胁者可能会再次入侵这些系统。 Bleeping Computer 透露，威胁分子从超过 33 个国家实施了 SQL 注入和 XSS 攻击。另一份报告揭露了一场影响活动，100 多名拥有 800 多万粉丝的罗马尼亚 TikTok 影响者被收买为亲俄候选人卡林-乔治斯库（Calin Georgescu）做宣传，每 2 万名粉丝可获得 100 多美元。 罗马尼亚对外情报局（SIE）认为，俄罗斯瞄准罗马尼亚是其影响东欧民主选举的广泛努力的一部分。由于支持北约和乌克兰，莫斯科将罗马尼亚视为 “敌国”。这些影响行动包括宣传、虚假信息和支持欧元怀疑论议程，旨在塑造对俄罗斯有利的公众舆论。虽然没有明确证实俄罗斯在罗马尼亚最近的袭击和活动中扮演了直接角色，但分析强调了俄罗斯在其他地方干预选举的历史。     转自安全客，原文链接：https://www.anquanke.com/post/id/302538 封面来源于网络，如有侵权请联系删除

Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织，该组织一直在破坏关键基础设施环境并篡改系统控制。 Z-Pentest 组织成立仅两个月，但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击，其中包括最近未经证实的事件，威胁组织声称破坏了美国油井系统。 Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”（也称为“俄罗斯重生网络军”）的活动，该组织除了声称今年还至少八次入侵了美国水利系统。 这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由，其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。 这两个俄罗斯组织都喜欢制造戏剧效果。例如，俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后，其成员篡改操作控制的屏幕录像（以下为德克萨斯州视频截图）。 德克萨斯州斯坦顿供水系统遭黑客攻击 今年 1 月，人民网络军发动攻击，导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出，成为头条新闻。 即使在通常不安全的关键基础设施领域中，供水和污水处理系统也被认为特别脆弱。 Z-Pentest 可能是新出现的威胁组织，10 月份才首次亮相，但在这个塞尔维亚威胁组织运作的两个月内，它已经声称至少 10 次破坏，并且在每次事件中都发布了成员篡改系统设置的视频。 根据 Cyble 的报告，在过去一周内，Z-Pentest 的活动不断升级，包括“破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统”。 一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图，显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。 目前还不清楚该石油设施位于何处，但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。 黑客能够对关键基础设施造成多大的破坏？ 虽然黑客似乎能够访问敏感环境，但 Cyble 指出，目前尚不清楚他们能造成多大的破坏。研究人员表示，可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能，但威胁组织可以访问此类环境这一事实仍然令人担忧”。 Cyble 还指出，近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出，“在发生更大规模的入侵和攻击之前，暗网上就有能源网络访问凭证出售，这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。” Cyble 表示，“应该认真对待 Z-Pentest，因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。” 研究人员还针对运营技术和关键基础设施环境提出了安全建议，指出它们通常无法承受停机，并且通常拥有无法修补的报废设备。 技术报告：https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O1b9dZPahwn4ivsZz7ug9A 封面来源于网络，如有侵权请联系删除