俄勒冈州动物园通知大约 118000 人，称他们的姓名和支付卡信息在其在线售票服务中被盗。 6 月 26 日发现了该数据泄露事件，泄露的数据包括姓名、支付卡号、CVV 等。动物园称2023年12月20日至2024年6月26日期间的交易可能受到影响。 该动物园在提交给缅因州总检察长办公室的监管文件中表示：“为防止产生其他的影响，俄勒冈动物园审查了这段期间的所有交易，确定了所有支付卡信息可能受到影响的人。” 据该动物园称，威胁者通过重定向处理俄勒冈州动物园在线购票的第三方供应商的交易来实施攻击。动物园立即停用了受影响的网站，并建立了一个新的安全在线购票网站。 另外，该动物园已于8月16日向缅因州动物保护协会发送了书面通知，指出可能有117815只动物受到影响。 “俄勒冈动物园已将此事通报联邦执法部门。并且也在审查其政策和程序，以减少未来发生类似事件的可能性，”动物园表示。 动物园为可能受到影响的个人提供一年的免费信用监控和身份保护服务。 虽然动物园尚未明确透露导致数据泄露的具体网络攻击类型，但该事件可能与俄勒冈州动物园在线票务服务受到网络浏览器感染有关。 网络窃取器也称为数字窃取器、JavaScript 嗅探器或 JS 嗅探器，是一个恶意软件家族，通常会被威胁行为者注入到合法网站上（通常在结帐页面上），以窃取访问者的个人和支付卡信息。 盗取器感染通常难以被发现，俄勒冈州动物园就是一个例子，被盗信息被用于实施各种欺诈行为。迄今为止，网络安全研究人员已经确定了 130 多个数字盗取器家族。 作为美国最古老的动物园之一，成立于 1888 年的俄勒冈动物园归当地大都会政府所有，占地 64 英亩。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

7月4日，Cybernews研究团队发现智利最大的养老金和社会保障基金 Caja Los Andes 发生大规模数据泄露，泄露的数据包括个人姓名、家庭住址、出生日期、电话号码、信用额度等等，影响了1000万智利人民。这一惊人数字占智利总人口的一半以上。 Caja Los Andes 成立于 1953 年，是智利最大的家庭津贴补偿基金 (CCAF)。它为公民提供健康保险、养老基金、贷款和抵押贷款。该公司拥有近 3,000 名员工，拥有约 1000 亿智利比索（约合 10 亿美元）的股本。 智利的 CCAF 基金是社会保障体系的一部分，为公民提供重要的金融服务，如此大规模的泄漏令人极为担忧，影响到了该国的广泛区域。 此次泄密事件源于该组织的Apache Cassandra数据库缺乏身份验证，这一数据库存储了公民的私人数据，这一配置错误使得互联网上的任何人都可访问这些数据。 据报道，尽管该基金在 2023 年拥有超过 400 万会员，但泄露的数据集包含的数据是该数量的两倍多。 Cybernews 研究团队解释道：“这表明泄露的数据库可能包括家庭成员、已更换服务提供商的个人，甚至可能涉及已经去世的人。” 令人震惊的是，这次泄露使该基金数百万客户面临身份盗窃的风险，他们的个人信息可能被用于欺诈、有针对性的诈骗和网络钓鱼攻击。 1000人的姓名和电话号码。 Cybernews 的研究人员表示：“家庭住址和财务信息泄露，再加上此次数据泄密，使得这些人容易遭受有针对性的抢劫或人身威胁。更为严重的是，即使没有产生直接的威胁，他们仍可能成为诈骗的主要目标。泄露的数据中还包含了大量的个人身份信息，如电子邮件地址，这使得数据集成为网络钓鱼攻击的宝贵目标。” 1000 万人的姓氏和家庭住址。 除了对CCAF基金的客户产生威胁外，此类数据泄露还会给该组织带来严重的声誉损害风险。根据智利的数据保护法，泄露个人数据的公司可能面临严厉处罚，包括高达年收入4%的罚款，以及受影响个人可能提起的大规模诉讼。 Cybernews已联系Cajas Los Andes，泄露事件已得到控制，但尚未收到官方回应。 分支机构   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

周一，乌克兰计算机应急响应小组 (CERT-UA) 披露，攻击者冒充乌克兰安全局 (SSU) 使用恶意垃圾邮件来攻击并破坏该国政府机构的系统，成功使用 AnonVNC 恶意软件感染了 100 多台计算机。 “下午好，为了对一些组织进行全面检查，我要求您在 2024 年 8 月 15 日之前向位于 01601, Kyiv 1, str. Malopodvalna, 16 的 SBU 总局提交所需文件清单。请下载官方请求：Dokumenty.zip。”恶意电子邮件写道，并链接到一个假装是 SSU 所需文件清单的附件。 这些攻击开始于一个多月前，电子邮件中推送指向 Documents.zip 存档的超链接，而该存档会从 gbshost[.]net 下载用于部署恶意软件的 Windows 安装程序 MSI 文件。 尽管 CERT-UA 没有对该恶意软件功能进行具体描述，但它表示，该恶意软件使被跟踪为 UAC-0198 的威胁组织能够秘密访问受感染的计算机。 攻击流程（CERT-UA） “CERT-UA 已发现超过 100 台受影响的计算机，尤其是中央和地方政府机构的计算机。 ”CERT-UA表示，“请注意，相关的网络攻击至少自 2024 年 7 月就开始了，而且可能涉及更广泛的地域。”   消息来源：BleepingCompute，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

澳大利亚金矿公司 Evolution Mining 披露，一勒索软件攻击影响了其 IT 系统的正常运营。 该公司在提交给澳大利亚证券交易所 (ASX) 的文件 (PDF) 中表示，该攻击于 8 月 8 日被发现，并已得到控制。 Evolution Mining 表示：“我们积极处理这一事件，重点是保护员工的健康、安全和隐私，同时确保公司的系统和数据的安全。” 该公司还透露，一直在与外部网络取证专家合作调查此次攻击，并且澳大利亚网络安全中心也已获悉此事。 Evolution Mining 在澳大利亚证券交易所的公告中指出：“公司预计此次攻击不会对运营产生任何重大影响。” 该公司没有提供此次攻击背后的勒索软件团伙的具体细节，而且SecurityWeek也没有看到任何已知组织声称对此事件负责。 大约两个月前，BianLian 勒索软件团伙在其基于 Tor 的泄密网站上公布了从澳大利亚稀土金属生产商 Northern Minerals窃取的数据，随后 Evolution Mining 遭受了勒索软件攻击。 尽管公司确认了数据、运营信息、财务数据、现任和前任员工的个人信息及部分股东信息在攻击中遭到泄露，但表示此次事件并未对运营造成重大影响。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

库特奈医疗中心 (Kootenai Health) 披露了一起数据泄露事件，464000 名患者的个人信息被 3AM 勒索软件窃取和泄露，泄露的数据包括姓名、出生日期、社会安全号码 (SSN)、医疗和病情信息、医疗诊断以及健康保险信息等。 Kootenai提交给缅因州司法部长办公室的通知写道：“2024 年 3 月 2 日，Kootenai卫生局发现异常活动，导致某些 IT 系统访问中断。” 经调查，网络犯罪分子于 2024 年 2 月 22 日就未经授权访问了 Kootenai 的系统，这一行为使得犯罪分子有十天时间能够窃取敏感数据。 2024 年 8 月 1 日，Kootenai结束了对所有泄露数据的检查，确认泄露的数据包括：姓名、出生日期、社会安全号码 (SSN)、驾驶执照、政府身份证号码、医疗记录编号、医疗和病情信息、医疗诊断以及健康保险信息。 Kootenai Health 表示，未发现被盗信息遭到滥用的情况，但是建议受影响人员注册 12-24 个月的身份保护服务。 患者还可以访问医院在库特奈健康网站上发布的公告，以获取更多信息和支持链接。 Kootenai Health 是爱达荷州的一家非营利性医疗保健机构，运营着该地区最大的医院，提供急救、外科手术、癌症治疗、心脏护理和骨科等广泛的医疗服务。 3AM 勒索软件泄露数据 3AM 勒索软件团伙已声称对此次攻击负责，并在其暗网门户上泄露了被盗数据，网页显示还未支付赎金。 被盗数据包括一个 22GB 的档案，任何网络犯罪分子都可以免费下载并用于进一步的攻击。 Kootenai Health 数据在 3AM 勒索门户网站上泄露 3AM 是一种基于 Rust 开发的勒索软件毒株，首次报告于 2023 年 9 月。它主要作为备选工具，用于当其他更成熟的锁定工具失效时进行部署，因此其部署范围相对较为有限。 今年 1 月，Intrisec 分析师报告称，发现3AM、Conti 和 Royal 勒索软件团伙之间存在明显联系，暗示这三者之间可能存在某种关联。   BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

俄罗斯国家通信监管机构周五表示，已封锁对 Signal 通讯应用程序的访问，这是当局在乌克兰战乱期间加强信息管控的最新举措。 俄罗斯联邦通信监管局表示，之所以做出这一决定，是因为 Signal“违反了俄罗斯法律的规定，而这些规定必须得到遵守，以防止该通讯工具被用于恐怖主义和极端主义目的”。 Signal 采用端到端加密，这使得俄罗斯政府很难拦截通信。 2022 年 2 月，俄罗斯总统弗拉基米尔·普京向乌克兰派兵后，俄罗斯当局加大了对异见人士和自由媒体的打压。他们封锁了多家批评克里姆林宫的独立俄语媒体，并切断了对 Twitter（后来成为 X）以及 Meta 的 Facebook 和 Instagram 的访问。 在最近几周屡次出现速度减慢之后，YouTube 于周四遭遇了大规模中断，这是对信息自由的最新打击。 俄罗斯当局将网络速度下降归咎于谷歌未能升级其在俄罗斯的设备，但许多专家对这一说法提出质疑，他们认为网络速度下降和最新中断的可能原因是克里姆林宫希望关闭公众对承载反对派观点的主要平台的访问。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

 美国联邦调查局克利夫兰分部已通过摧毁勒索软件团伙 Radar(又名Dispossessor） 的各个服务器和域名，彻底瓦解该团伙的势力。 美国联邦调查局发布声明称，2024年8月12日，以网名“布莱恩”为首的犯罪团伙被捣毁。执法部门拆除了三台美国服务器、三台英国服务器、十八台德国服务器、八个美国犯罪域名和一个德国犯罪域名，这些均属于 Radar。 联邦调查局发布声明，确认以“布莱恩”为首的犯罪团伙已被彻底捣毁。该组织自2023年8月起开始活动，并迅速发展成为具有国际影响力的勒索软件集团，专门针对中小型企业和组织实施攻击。 Radar 针对多个行业进行攻击，包括制造业、开发、教育、医疗保健、金融服务及交通运输等。尽管该组织最初主要针对美国的目标，联邦调查局发现其已涉及13个不同国家的43家企业。 调查还发现，许多网站与布莱恩及其网络犯罪团队有关。与其他勒索软件变种类似，Radar 勒索软件采用双重勒索模式，即不仅加密受害者系统，还窃取数据以勒索赎金。 勒索软件是一种恶意软件，通过加密用户数据使其无法访问，受害者需支付赎金以恢复数据。Radar通过识别使用弱密码或未启用多因素身份验证的易受攻击系统来实施攻击。 “一旦犯罪分子获得系统访问权限，他们就会获得管理员权限并轻松访问文件，然后实际的勒索软件会用于加密。”FBI 表示。 如果受害者没有先支付赎金，Radar的成员就会主动通过电子邮件或电话联系受害者公司内部的人员，发送链接展示被盗文件的视频，迫使受害者付款。最终，犯罪团伙会将窃取的数据发布到泄密页面，并设置倒计时，如果未支付赎金，数据将被公开发布到公共论坛上。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

物理安全公司ADT近日披露了一起数据泄露事件，确认黑客非法获取并泄露了超过30000名客户的信息。 “ADT Inc.（以下简称“ADT”或“公司”）最近经历了一起网络安全事件，未经授权的黑客非法访问了包含 ADT 客户订单信息的数据库。”提交给 SEC 的 8-K 表格写道。“公司发现这一事件后迅速采取措施，终止了未经授权的访问，并与顶级网络安全专家合作进行调查。尽管如此，黑客仍窃取了包括电子邮件地址、电话号码和邮政地址在内的有限客户信息。” 黑客声称此次数据泄露涉及超过 30812 条记录，其中包括 30400 封电子邮件。泄露的数据还包括客户的电子邮件、完整地址、用户ID及购买产品等信息。 ADT 的调查表明，客户的家庭安全系统并未受到损害，且没有证据显示财务信息（如信用卡或银行信息）被窃取。公司认为此次事件仅影响了一小部分客户，并已通知相关客户。ADT预计此次事件不会对其运营或财务状况产生重大影响，目前调查仍在继续。 “根据目前的调查结果，公司认为此次事件未对客户的家庭安全系统造成损害。此外，公司没有理由相信攻击者获取了其他个人敏感信息，如信用卡数据或银行信息。”8-K表格进一步说明：“公司正在继续对该网络安全事件进行调查，并已通知可能受影响的客户，这些客户仅占公司整体用户群的一小部分。” ADT 是一家警报和物理安全系统提供商，在美国 150 多个地区拥有 13000 多名专业人员。该公司拥有超过 600 万客户，在遭受网络攻击后披露了这一数据泄露事件。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在 2023 年 11 月，南亚的一家媒体机构遭遇了一次前所未有的网络攻击，攻击者利用了一种之前未曾记录的基于 Go 语言开发的后门程序，名为 GoGra。 “GoGra 是一种用 Go 语言编写的后门程序，它通过 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制（C&C）服务器进行交互。”Broadcom旗下的Symantec在与The Hacker News分享的一份报告中表示。 目前尚不清楚 GoGra 是如何被交付到目标环境的。然而，GoGra 被专门配置为从 Outlook 用户名为“FNU LNU”的账户中读取邮件，其邮件主题以“Input”一词开头。 接着，GoGra 使用密钥和 AES-256 算法在密码块链（CBC）模式下对邮件内容进行解密，然后通过 cmd.exe 执行相关命令。 随后，操作结果会被加密并发送回同一用户，邮件主题为“Output”。 据报道，GoGra 可能由一个名为 Harvester 的国家级黑客组织开发，因为其与名为 Graphon 的定制 .NET 植入程序具有相似特征，该植入程序同样利用 Microsoft Graph API 进行命令和控制（C&C）。 这一趋势表明，威胁行为者越来越倾向于利用合法的云服务，以保持隐匿并减少对专用基础设施的依赖。   下面列出了采用该技术的其他一些新恶意软件家族： Firefly是一种在针对东南亚军事组织的网络攻击中部署的以前未见的数据泄露工具。该工具收集的信息会通过硬编码的刷新令牌上传至 Google Drive。 在 2024 年 4 月，一种名为 Grager 的新型后门被部署于台湾、香港和越南的三个组织。Grager 利用 Graph API 与托管在 Microsoft OneDrive 上的命令与控制（C&C）服务器进行通信。这一活动初步与一个被追踪为 UNC5330 的疑似中国威胁行为者相关联。 另一个名为 MoonTag 的后门也具备与 Graph API 通信的功能，并被认为是中国威胁参与者所开发。 此外，名为 Onedrivetools 的后门曾被用于攻击美国和欧洲的 IT 服务公司。该后门通过 Graph API 与托管在 OneDrive 上的 C&C 服务器进行交互，以执行接收到的命令并将结果保存至 OneDrive。 Symantec 表示：“尽管通过云服务进行命令与控制并非新技术，但近期越来越多的攻击者开始采用这一方法。”该公司还提到了一些相关的恶意软件，例如 BLUELIGHT，Graphite，Graphican和BirdyClient等。 根据目前利用云服务的威胁参与者的数量，可以推测，间谍行为者正在研究并模仿其他组织所采用的成功技术。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文