Hackernews 编译，转载请注明出处： 由国家资助的朝鲜黑客 Andariel 从韩国公司窃取了超过 1.2TB 的国防技术相关文件，并勒索了 35.6 万美元的赎金。 首尔警察厅发布的一份声明称，来自平壤的网络攻击者成功地从韩国的十几家公司窃取了大约 250 份与国防技术相关的文件，其中包括防空激光武器。一些受害者没有意识到这一漏洞，而另一些人则试图隐瞒这一漏洞。 韩国警方与联邦调查局(FBI)合作，揭露了 Andariel 的黑客行为。在调查过程中，办案人员追踪到了赎金通过洗钱流入朝鲜。 黑客从三名受害者那里勒索了价值约 4.7 亿韩元(约合 35.6 万美元)的比特币，以换取系统的恢复。在把钱转移到朝鲜之前，Andariel 黑客利用海外加密货币交易所和一位 A 女士的银行账户洗钱。超过四分之一的被盗比特币被送到了靠近朝鲜边境的一家银行。 韩国警方没收了 Andariel 在韩国使用的服务器，并搜查了嫌疑人的住所和设备。A女士是香港一家货币交易所的前雇员，她否认参与洗钱活动，称她提供账户只是“为了方便”。 朝鲜黑客利用一个本地 IP 地址进行攻击，导致一家国内服务器租赁公司向身份不明的客户提供服务。这使得在2022年12月至2023年3月期间，黑客使用该服务器至少83次得以躲避检测。 警方在查获服务器后，确认了国防企业、金融企业、研究机构、制药企业等被黑客攻击的事实，其中约 1.2TB 的文件被盗，其中可能包含重要的技术和资料，包括证书。 警方的报告中写道：“一些公司没有意识到损失，一些公司由于担心企业信任度下降而没有向警方报告损失。” 据《韩国时报》报道，一些被盗的关键数据包括防空激光技术。 Andariel 被认为是朝鲜最臭名昭著的网络犯罪组织 Lazarus 的一个分支。Andariel 至少从2009年开始活跃，主要针对韩国政府机构、军事组织和各种公司进行破坏性攻击。Andariel 参与了针对银行和加密货币交易所的网络金融行动。该团伙由朝鲜的主要情报机构侦察总局控制。 网络新闻已经报道，朝鲜支持的黑客在六年内窃取了 30 亿美元的加密货币。加密货币盗窃和赎金一直是该政权的主要收入来源，特别是为军事和武器计划提供资金。 美国联邦调查局今年早些时候表示，朝鲜据称拥有 6000 名黑客，并利用他们获取经济利益和情报。     Hackernews 编译，转载请注明出处 消息来源：cybernews，译者：Serene

据知道创宇暗网雷达监测，12月5日，有黑客在暗网论坛发布数据买卖，以 10 万美元的价格出售台湾监控数据，数据大小 3GB。 知道创宇暗网雷达截图 暗网论坛上黑客发布的信息截图 从黑客发布的截图来看，该数据内容涉及监察号码、监察电话内码、执行作业人员、申请单位、监听序号、核准文号等等。 而据联合新闻网12月6日报道，有社群网站爆出暗网出售的数据为情报机构监听资料，监听对象包括前国民党副主席曾永权、国民党中央政策会副执行长卢嘉辰、行政院长室机要、各地区多名立委、退役将领、县市议员、民间社团主席等，蓝绿政治人物皆有。爆料还显示，监听机关是国安局、调查局、廉政署、海巡署及警方。 同时，12月6日晚间联合新闻网还发布消息称，刑事局表示通讯监察对象身份非通讯监察书内容所能得知，网络流传相关监察资料经过处理，窜改捏造事实，企图抹黑影响台湾选举，误导民众对政府信任。 调查局也回应此次暗网数据售卖的监听资料为不实信息，企图制造对立冲突的动机明显且蓄意，此不实资讯两年前曾在网络社群传播，且资料格式为加工拼凑，属典型境外势力借由错假资讯，等待特定时机散播，持续对我国进行认知作战，调查局已协同相关单位深入追查，并呼吁民众不要被误导和利用。   参考链接： https://udn.com/news/story/6656/7622766 https://udn.com/news/story/7321/7623123 https://udn.com/news/story/7315/7623069 （转载请注明出处，消息来源：知道创宇暗网雷达）

Hackernews 编译，转载请注明出处： 个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。 23andMe 正在通知受影响的客户，并通过要求用户重置密码和设置双重身份验证方法来加强账户安全。 该公司表示，10月初，他们发现数据窃贼已经进入了由从其他网站回收的登录信息保护的账户。这位发言人表示：“没有任何迹象表明我们的系统出现了漏洞或数据安全事件，也没有迹象表明 23andMe 是这些攻击中使用的账户凭证的来源。” 据 23andMe 称，在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 23andMe 公司成立于2006年，总部位于加州山景城，谷歌的总部也在这里。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

Hackernews 编译，转载请注明出处： 美国和以色列当局说，与伊朗有关联的黑客攻击了一个特定的工业控制设备，因为它是以色列制造的，美国宾夕法尼亚州西部的一个小型水务局（黑客劫持美国自来水公司的工业控制系统）只是其中一个。 美国联邦调查局(FBI)、美国环境保护局、美国网络安全和基础设施安全局(CISA)以及以色列国家网络管理局上周五在一份报告中表示：“受害者遍及美国多个州。”但他们没有说明有多少组织遭到了黑客攻击。 阿利基帕市水务局的主席马修·莫特斯在11月25日发现遭到了黑客攻击，他表示，联邦官员告诉他，同一组织还入侵了另外四家公用事业公司和一家水族馆。 网络安全专家说，虽然没有证据表明伊朗参与了10月7日哈马斯对以色列发动的袭击，那次袭击引发了加沙的战争，但他们预计，政府支持的伊朗黑客和亲巴勒斯坦的黑客活动分子会在事件发生后加强对以色列及其盟友的网络攻击。这确实发生了。 这份多机构咨询报告解释了 CISA 在周三确认宾夕法尼亚州遭到黑客攻击时没有提到的问题——除供水和水处理设施外的其他行业也使用同样的设备，Unitronics 公司生产的 Vision 系列可编程逻辑控制器，并且也存在潜在的漏洞。 该报告称，这些行业包括“能源、食品和饮料制造以及医疗保健”。这些装置用来调节压力、温度和流体流量等。 阿利基帕的黑客事件促使工人暂时停止在一个偏远的泵站抽水，该泵站负责调节附近两个城镇的水压，导致工作人员改用人工操作。黑客在被入侵的设备上留下了一张数字名片，称所有以色列制造的设备都是“合法目标”。 该公告称，这些自称“Cyber Av3ngers”的黑客隶属于伊朗伊斯兰革命卫队，美国在 2019 年将其列为外国恐怖组织。该组织称，至少从11月22日起，该组织就盯上了 Unitronics 的设备。 通过 Shodan 搜索，发现美国有200多台这样的联网设备，全球有1700多台。通过 ZoomEye 搜索”Unitronics Web”，发现该 PLC 设备的 Web 界面相关资产，美国有40条，全球共有640条。 上图均为 “Unitronics控制系统” 更多资产信息可以访问www.zoomeye.org查看   该报告指出，Unitronics 的设备出厂时带有默认密码，专家不赞成这种做法，因为这会使设备更容易受到黑客攻击。最佳的要求是在开箱即用时创建唯一的密码。该公司表示，黑客可能是通过“利用网络安全漏洞，包括密码安全性差和暴露于互联网”来访问受影响的设备的。 专家表示，许多水务公司对网络安全的重视不够。 作为对阿利基帕黑客事件的回应，宾夕法尼亚州的三名国会议员在一封信中要求美国司法部进行调查，他们说，美国人必须知道，他们的饮用水和其他基础设施是安全的，不会受到”民族国家对手和恐怖组织”的威胁。“Cyber Av3ngers”在10月30日的社交媒体帖子中声称，他们入侵了以色列的10个水处理厂，但目前尚不清楚他们是否关闭了任何设备。 自从以色列和哈马斯开战以来，该组织扩大并加速了对以色列关键基础设施的袭击。在10月7日之前，伊朗和以色列进行了低级别的网络冲突。Unitronics 没有回应美联社关于黑客攻击的询问。 据了解，这次攻击发生不到一个月前，联邦上诉法院的一项裁决促使美国环保署废除了一项规定，该规定要求美国公共供水系统将网络安全测试纳入联邦授权的定期审计中。联邦上诉法院对密苏里州、阿肯色州和爱荷华州提起的一起案件的裁决引发了这一回调，一家水务公司贸易集团也加入了这一裁决。 拜登政府一直在努力加强关键基础设施的网络安全，其中80%以上是私人拥有的，并对电力公用事业、天然气管道和核设施等部门实施了监管。但许多专家指出，太多重要行业被允许进行自我监管。       Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

Hackernews 编译，转载请注明出处： Rhysida 勒索软件组织声称入侵了伦敦爱德华七世国王医院，并将其添加到其Tor 泄露网站的受害者名单中。 爱德华七世国王医院是一家私立医院，位于伦敦市中心马里波恩区的博蒙特街。它是一家领先的急性和专科医疗保健提供商，专注于肌肉骨骼健康、泌尿科、女性健康和消化系统健康。该医院有着悠久的历史，可以追溯到1899年，当时由威尔士亲王(后来的爱德华七世国王)创建，为工人阶级提供高质量的医疗服务。 该组织声称窃取了包括王室在内的大量患者和员工的数据，并公布了被盗文件的图片作为黑客攻击的证据，泄露的图像包括医疗报告、登记表、X光片、医疗处方、医疗报告等等。 “独特的文件呈现在您的眼前! 来自王室的数据! 大量的病人和员工数据。 一次性出售!!” 泄露网站上的公告写道 该勒索软件组织声称窃取了大量“敏感数据”，并以10比特币的价格拍卖。像往常一样，Rhysida 计划将被盗数据出售给一个单一的买家。该团伙将在公告发布后的7天内公布相关数据。 最近，Rhysida勒索软件团伙还将大英图书馆和中国能源工程公司添加到其 Tor 泄露网站的受害者名单中。 Rhysida 勒索软件组织自2023年5月以来一直活跃。根据该团伙的 Tor 泄露网站，至少有 62 家公司是这次行动的受害者，他们袭击了多个行业的组织，包括教育、医疗、制造、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全咨询，对 Rhysida 勒索软件攻击发出警告。该咨询是正在进行的#StopRansomware 工作的一部分，宣传有关与勒索软件组织相关的战术、技术和程序(TTPs)以及妥协指标(ioc)的信息。 有开源报告详细描述了 Vice Society (DEV-0832)活动与观察到的部署 Rhysida 勒索软件的黑客之间的相似之处。这份联合报告写道：“开源报告已经证实了观察到的 Rhysida 组织以勒索软件即服务(RaaS)的方式运作的实例，其中勒索软件工具和基础设施以利润分享模式出租，支付的赎金会在该组织和附属机构之间分配。” Rhysida 黑客利用面向外部的远程服务(例如 VPN、RDP)来获得对目标网络的初始访问并保持持久性。该组织依靠被破坏的凭据对内部 VPN 接入点进行身份验证。根据该报告，黑客利用微软 Netlogon 远程协议中的 Zerologon (CVE-2020-1472)进行网络钓鱼尝试。该组织依靠现有的技术，如本地(内置于操作系统中)网络管理工具来执行恶意操作。     Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：Serene

Hackernews 编译，转载请注明出处： 本月初，全球领先的自行车零部件制造商之一 Shimano 遭受勒索软件攻击，涉及 4.5TB 的敏感公司数据。 据《自行车新闻》报道，攻击者 LockBit 是一个网络犯罪组织，他们使用恶意软件来破坏公司的敏感数据、勒索金钱，以换取不公开发布这些数据。 网络安全公司 Flashpoint 称其为世界上“最活跃”的勒索软件组织，在所有已知的勒索软件攻击中，有27.93%是由该组织发起的。 本月早些时候，LockBit 组织威胁要公布 Shimano 公司的 4.5TB 机密数据，除非他们支付一笔数额不详的赎金。泄露的数据包括机密员工详细信息、财务文件、客户数据库和其他机密公司文件。 黑客将赎金的最后期限定为2023年11月5日，逾期未支付赎金，LockBit 网站上的通知就变为了“所有可用数据(已)公布”。但是没有相应的下载链接来访问这些数据。直到上周，Escape Collective 更新了他们的报告，Shimano 可能正在进行谈判。 但至少部分数据确实已经公布，Escape Collective 报告说，公开的是多个文件夹以及子文件夹，文件包含英文、中文和印尼语，涵盖了 Shimano 渔具和自行车部门不同机密性的广泛信息。目前还不清楚赎金是多少。 很明显，Shimano 公司没有支付赎金，因此泄露了敏感信息。但这并不意味着结束。在 Shimano 收到的勒索信中，黑客指出，“如果你不支付赎金，我们将来会再次攻击你的公司。”     Hackernews 编译，转载请注明出处 消息来源：bicycling.com，译者：Serene

据知道创宇暗网雷达监测，近日勒索软件组织 BlackCat(ALPHV)将台湾中国石化（https://www.cpdc.com.tw）添加到其Tor泄露网站的受害者名单中，从公布的数据来看，本次泄露的数据大小为41.9GB，数据上传时间是2023年11月27日。 BlackCat (ALPHV)勒索网站官网 台湾中国石油化学工业开发股份有限公司（中石化、CPDC）成立于1969年。原系台湾行政院经济部所属国营事业，1991年股票于台湾证券交易所挂牌上市，1994年，正式转为民营企业，为威京集团事业体之一。 台湾中国石化开发总公司及其子公司在台湾和国际上生产和销售石化中间体及相关工程塑料、合成树脂、化学纤维和其他衍生产品。 关于BlackCat (ALPHV)组织 BlackCat 勒索组织（又名AlphaVM、AlphaV 或ALPHV）于2021 年11月中旬首次被 Malwarehuntertam 研究人员披露，是第一个基于 RUST 语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场，是勒索即服务(RaaS) 的运营商之一。 根据目前的分析，BlackCat 采用勒索软件即服务 (RaaS) 商业模式，在已知的网络犯罪论坛中招揽生意，允许合作的黑客组织使用勒索软件并自留 80-90% 的赎金。BlackCat 采取了更激进的方式来对受害者进行勒索，在一个多月的时间里，在他们的泄密网站上已经有十几个受害者的信息被泄露。 迄今为止，该组织的最大受害者都是美国的组织，但 BlackCat 及其合作组织也攻击了欧洲、菲律宾和其他地方的目标。受害者包括以下行业的组织：建筑和工程、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和制药。 BlackCat 在数据泄露站点（暗网）上公布的台湾中国石化部分样例数据截图如下： 黑客公布的部分样例数据截图 从勒索组织发布的截图上来看，此次泄露的数据包含了其内部通讯录、银行账户、收入支出等财务状况和高管交接资料等。     Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

Hackernews 编译，转载请注明出处： 据报道，宾夕法尼亚州的一个自来水公司遭受了网络攻击，官员向该地区人民保证饮用水没有受到该事件的影响。 该公司为 Aliquippa 以及 Hopewell、Raccoon 和 Potter 镇部分地区的6600多名客户提供供水和污水处理服务。自来水公司的一名代表表示，受损的系统与一个增压站有关，该增压站监测和调节 Raccoon 镇和 Potter 镇的水压。 警报很快就向 Aliquippa 实用程序发出了入侵警报，并禁用了受感染的系统。供水设施的代表说，目前还没有发现供水和饮用水存在风险。 一个自称为“Cyber Av3ngers”与伊朗有关联的黑客组织，声称对此次袭击负责。反以色列黑客的目标似乎是以色列公司 Unitronics 生产的工业控制系统(ICS)。黑客控制了 Unitronics Vision 系统，该系统是一个可编程逻辑控制器(PLC)，带有集成的人机界面(HMI)。据了解，Unitronics Vision 产品受到严重漏洞的影响，这些漏洞可能会使设备遭受攻击。 另一方面，HMI经常暴露在互联网上，无需身份验证就可以访问，即使是低技能的黑客也很容易将其作为攻击目标。 Cyber Av3ngers组织声称，自10月7日以色列和哈马斯冲突升级以来，他们已经入侵了以色列许多水处理厂的系统。 然而，众所周知，黑客会夸大攻击的影响，甚至会发布虚假数据，并声称这些数据是从目标组织窃取的。 黑客组织经常以ICS为目标，他们很清楚攻击这类设备的潜在影响，这有助于他们吸引更多的注意力。在许多情况下，黑客并不需要成为工业系统专家才能进行攻击。由于HMI通常不受保护，黑客可以很容易地访问它们并更改可能对物理过程产生重大影响的参数。 这类黑客组织的说法往往被夸大了，但安全专家警告称，不应忽视它们。 据 KDKA-TV 报道，宾夕法尼亚州警方已被告知 Aliquippa 自来水公司发生的这起事件，但目前尚不清楚联邦当局是否也参与了调查。针对水务部门的网络攻击并不罕见，美国政府机构 CISA 最近开始向该行业的组织提供免费的漏洞扫描服务。     Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

Hackernews 编译，转载请注明出处： 一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客，正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本，通过供应链攻击来瞄准下游客户。 微软威胁情报团队在周三的一份分析报告中表示：“这个恶意文件是一个合法的 CyberLink 应用程序安装程序，已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。” 这家科技巨头表示，病毒文件托管在该公司拥有的更新基础设施上，同时还包括限制执行时间窗口和绕过安全产品检测的检查。 据估计，此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。早在10月20日，就发现了与修改后的 CyberLink 安装文件相关的可疑活动。 与朝鲜的联系源于这样一个事实，即第二级有效载荷与之前被黑客入侵的 C2 服务器建立了连接。 微软进一步表示，他们已经观察到攻击者利用木马化的开源和专有软件来攻击信息技术、国防和媒体部门的组织。 Diamond Sleet与被称为“TEMP.Hermit”和“Labyrinth Chollima”的集群相吻合，这是一个来自朝鲜的伞状组织，也被称为“Lazarus集团”。至少从2013年就开始活跃。 “他们从那时起的行动代表了平壤收集战略情报以造福朝鲜利益的努力，”谷歌旗下的Mandiant上个月指出。“这个黑客的目标是全世界的政府、国防、电信和金融机构。” 有趣的是，微软表示，在发布代号为 LambLoad 的被篡改的安装程序后，它没有在目标环境中检测到任何操作键盘的活动。 武器化的下载和加载器首先检查目标系统中是否存在来自 CrowdStrike、FireEye 和 Tanium 的安全软件，如果不存在，则从伪装成 PNG 文件的远程服务器获取另一个有效载荷。 微软表示：“PNG 文件包含一个嵌入的有效载荷，在一个假的外部PNG标头中进行切断、解密，并在内存中启动。”在执行时，恶意软件进一步尝试联系合法但受损的域，以检索额外的有效载荷。 此前一天，Palo Alto Networks Unit 42团队披露了由朝鲜黑客设计的两项活动，这些活动旨在传播恶意软件，作为虚构工作面试的一部分，并在美国和世界其他地区的组织获得未经授权的就业机会。 上个月，微软还暗示 Diamond Sleet 利用 JetBrains TeamCity的一个关键安全漏洞(CVE-2023-42793)，伺机破坏易受攻击的服务器，并部署一个名为 ForestTiger 的后门。 朝鲜黑客组织(3CX、MagicLine4NX、JumpCloud和CyberLink)发起的软件供应链攻击激增，也促使韩国和英国发布了一份新的咨询报告，警告称此类攻击的复杂性和频率越来越高，敦促各组织采取安全措施，以减少被攻击的可能性。 这些机构表示：“我们观察到，这些行为者利用第三方软件中的零日漏洞，通过供应链进入特定目标或任意组织。这些供应链攻击极大地帮助朝鲜实现创收、间谍活动和窃取先进技术。”     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene