安全研究人员发现了新的后门程序，分别名为LunarWeb和LunarMail，该程序被用于攻击欧洲政府在海外的外交机构。 此恶意软件被用来入侵在中东有多个外交使团的某欧洲国家外交部，该软件至少自2020年以来一直在活跃。 网络安全公司ESET的研究人员认为，这些后门程序可能与俄罗斯国家支持的黑客组织Turla有关。这一推测的可信度属于中等水平。 Lunar攻击链 ESET在其报告中表示，攻击从鱼叉式网络钓鱼邮件开始，这些邮件携带含恶意宏代码的Word文件，用来在目标系统上安装LunarMail后门程序。 VBA宏代码通过创建Outlook插件来在被感染的主机上建立持久性，并确保每次启动电子邮件客户端时该插件都会被激活。 恶意 Outlook 加载项 ESET分析人员还发现潜在滥用配置错误的开源网络监控工具Zabbix来投放LunarWeb有效载荷的证据。 具体来说，服务器上部署了一个模仿Zabbix代理日志的组件，在通过HTTP请求使用特定密码访问时，它会解密并执行加载器和后门组件。 LunarWeb通过多种技术持久存在于被入侵的设备上，技术包括创建组策略扩展、替换系统DLL文件以及作为合法软件的一部分进行部署。 研究人员称，这两个有效载荷由恶意软件加载器”LunarLoader”解密，该加载器使用RC4和AES-256加密算法解密来自加密数据块的内容。此加载器使用DNS域名进行解密操作，并确保仅在目标环境中运行。 一旦Lunar后门在主机上运行，攻击者可以通过指挥C2服务器直接发送命令，并使用被盗凭证和被入侵的域控制器在网络中进行横向移动。 活动中出现的两条感染链 LunarWeb和LunarMail 这两个Lunar后门程序旨在进行长期隐蔽监控、数据盗窃以及保持对受感染系统的控制，例如政府和外交机构等高价值目标。 LunarWeb部署在服务器上，通过伪造Windows和ESET产品更新的HTTP标头模拟合法流量。该后门程序接收隐藏在.JPG和.GIF图像文件中的命令，此命令通过隐写术技术隐藏，包括执行shell和PowerShell命令、收集系统信息、运行Lua代码、压缩文件以及以AES-256加密形式外传数据。 ESET研究人员在一次攻击中观察到，黑客在几分钟内将LunarWeb投放到欧洲外交部的三个外交机构。 攻击者之所以能够快速移动，可能是因为他们之前已经获得了该部域控制器的访问权限，利用它从网络上的其他机构移动到计算机。 LunarMail部署在安装了Microsoft Outlook的用户工作站上。 它使用基于电子邮件的通信系统（Outlook MAPI）与特定的Outlook配置文件进行数据交换，这些配置文件与C2链接，用以逃避在HTTPS流量监控较为严格的环境中的检测。 从C2发送的命令嵌入在电子邮件附件中，通常隐藏在.PNG图像中，后门程序解析该图像来提取隐藏指令。 LunarMail可以创建进程、截屏、写文件和运行Lua代码。Lua脚本执行允许它在需要的时间内直接运行shell和PowerShell命令。 LunarMail 操作图 基于Lunar工具集和过去活动的战术、技术和程序（TTPs）的相似性，ESET将此后门程序归因于俄罗斯黑客组织Turla，可信度为中等。 然而，研究人员注意到存在不同程度的复杂性，这表明该工具可能是由多人开发和操作的。 尽管入侵是最近发生的，但根据ESET发现的证据显示，这些后门至少自2020年以来一直在运作，并且成功地规避了检测。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Akira 勒索软件团伙声称攻击 Fiskars 集团后，集团发布声明确认“遭遇了网络攻击，影响了在美国的一小部分公司系统。” Fiskars 表示公司的运营未受影响，业务仍在正常进行。 “Fiskars 集团发现此次攻击后，立即采取了遏制措施，并成功阻止了事件的进一步发展。目前，针对该事件及其对数据影响的调查正在进行中，”公司表示。 Fiskars 集团已通知执法部门，并继续协助他们的调查。 尚不清楚此次事件是否暴露了任何个人数据。 5月14日，使用Akira 勒索软件的著名黑客在其受害者网站上发布了 Fiskars 集团的信息，声称他们窃取了2TB的数据，包括“各种敏感文件”。 “我们拿走了2TB的数据。需要我列出从他们服务器上复制的内容吗？很显然这里有很多你们感兴趣的敏感文件。我们会尽快提供这些文件的访问权限，”Akira 在暗网上的帖子写道。 Fiskars集团总部位于芬兰赫尔辛基，是Fiskars、Georg Jensen、Gerber、Iittala、Moomin Arabia、Royal Copenhagen、Waterford和Wedgwood的全球消费品供应商。该公司在 100 多个国家/地区开展业务，拥有近 450 家门店。Fiskars集团拥有约7,000名员工，2023年全球净销售额为11亿欧元。 根据 Cybernews Ransomlooker 工具，Akira Ransomware 是 2023 年最活跃的勒索软件团伙之一，共有 169 名受害者。 据联邦调查局 （FBI） 和其他当局称，在不到一年的运营中，该团伙已从 250 多个受影响的组织中获得了约 4200 万美元的勒索软件收益。Akira的最大受害者是日本汽车巨头日产（Nissan），该公司向100,000人通报了网络漏洞，据称斯坦福大学（Stanford University）和德克萨斯州的城市拿骚湾（Nassau Bay）丢失了430GB的内部数据。    消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测显示， 暗网知名的黑市论坛BreachForums 在今天（5 月 16 日）再次被 FBI 执法机构控制。 目前FBI 执法机构在控制的黑市网站上留言：“我们正在审查此网站的后端数据。如果您有关于网络犯罪活动的信息需要报告。在BreachForums上，请联系我们。” 目前 BreachForums 的 Telegram 群组也被 FBI 接管，并留下了举报联系方式。 后续我们将持续追踪这一事件，并披露相关细节。 据了解， BreachForums  黑客论坛曾多次发布泄露数据。 2022年10月21日，台湾地区户政系统传出遭黑客入侵，一名ID为“OKE”的网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料，并宣称手上有全台2300万民众资料。 2023年10月19日，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据源主要来自英国和德国。 2024年3月，一名为IntelBroker的黑客在非法论坛BreachForums上发布帖子称，法国跨国酒店公司Accor.com遭遇数据泄露事件，导致64.2万用户的个人信息泄露。除姓名、电子邮件地址、职位以及所属公司等数据外，泄露的数据样本还包括与个人社交媒体资料信息。 BreachForums  2024 年 4 月 10 日发布的帖子称，一名为Okhotnik 的黑客声称对渗透 BHF Couriers 的基础设施并随后提取大量数据库负有责任。泄露的数据集含 1920 万条记录，其中有多种信息，包括发票、订单详细信息、地址、信用卡详细信息和联系电话号码。 相关资讯链接： 台湾全岛个人信息被放在网上兜售，经调查至少 20 万条数据属实 数百万份 23andMe 基因数据资料被盗 IntelBroker 再次出击，知名酒店 64.2 万人数据遭泄露 澳大利亚快递公司 BHF 1920 万条数据记录泄露   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达  

据称，2023 年 6 月发生的泄露事件导致约 50 万用户数据库泄露，其中包含个人隐私信息等。 据知道创宇暗网雷达监测，2023 年 6 月发生的泄露事件导致 DITP.go.th 域的各种用户数据库泄露。 泰国对外贸易促进委员会（Department of International Trade Promotion）泄露的数据包括个人身份信息 (PII)，例如名字、姓氏、用户名、身份证号码、DITP ID、单点登录 (SSO) ID、电话号码、电子邮件地址、公司名称、出口商详细信息、地址、密码等。上述内容皆已被黑客公开。 知道创宇暗网雷达信息截图 黑客发布的相关文件信息截图 据公告称，该数据集包含大约 500,000 行数据，但具体数量暂时无法确定。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

黑客组织R00TK1T ISC CyberTeam声称对入侵埃及供应和内贸部负责。该组织在其平台上发布的声明中大胆宣称成功渗透该部系统，并附上了据称他们访问高度安全网络的证据。 这次埃及供应和内部贸易部的被入侵声明是在R00TK1T ISC此前一系列公告后发布的，包括他们曾意图攻击BreachForums并关闭其官方Telegram频道的说明。 该组织提到，出于安全考虑，他们将转回秘密运作，只留下私密数据频道作为其活动的唯一沟通方式。 供应和内贸部入侵声明 Cyber Express试图联系埃及供应和内部贸易部来了解此次所谓数据泄露的信息。然而，由于沟通困难，Cyber Express无法直接与该部取得联系，从而无法验证入侵情况。因此，R00TK1T ISC的声明仍未得到确认。 目前，供应和内部贸易部的网站似乎运行正常，没有显示出任何被入侵的迹象。黑客分享了几张此次入侵盗取的文件截图。 在谈到入侵供应和内部贸易部时，黑客在其帖子中表示：“我们成功入侵了埃及供应和内部贸易部，展现了我们对其系统的深度渗透。” R00TK1T ISC CyberTeam黑客活动 与此同时，在2024年1月30日的另一起事件中，R00TK1T ISC CyberTeam对马来西亚的数字基础设施发起了攻击，进一步突显了此类恶意活动对全球的影响力和威胁性。他们声称已访问了诸如欧莱雅和卡塔尔航空等知名公司的敏感信息，突显了企业所面临网络威胁的复杂性和持续性。 在埃及，最近几周企业部门见证了勒索软件攻击事件的激增，这给各行各业带来了重大风险。面对这一不断升级的威胁，需要紧急采取行动来加强网络安全以减轻潜在的损害。 在中东持续的政治和安全挑战中，埃及企业成为网络攻击的主要目标，勒索软件成为普遍威胁。这类攻击的后果包括数据丢失和声誉受损，强调了建立良好防御机制以免受网络威胁的关键性。   消息来源：cyberexpress，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一名为“salfetka”的网络犯罪分子声称正在出售INC Ransom的源代码，INC Ransom是一种于2023年8月推出的勒索软件即服务（RaaS）操作。 INC此前的目标包括施乐商业解决方案公司（XBS）的美国分部、菲律宾雅马哈发动机公司，以及最近的苏格兰国家卫生服务（NHS）。 在涉嫌出售同时，INC Ransom的运营也在发生变化，这可能表明其核心团队成员之间出现裂痕，或者计划进入一个涉及使用新的加密器的阶段。 源代码出售 该黑客在Exploit和XSS黑客论坛上宣布出售INC的Windows和Linux/ESXi版本，售价30万美元，并将潜在买家的数量限制为三人。 根据威胁情报专家KELA提供给BleepingComputer的信息，他们发现该出售公告中提到的技术细节，如使用CTR模式的AES-128和Curve25519 Donna算法，与公众分析的INC Ransom样本一致。 KELA还告诉BleepingComputer，“salfetka”自2024年3月以来一直活跃在黑客论坛上。该黑客曾经希望以高达7000美元的价格购买网络访问权限，并且表示愿意从勒索软件攻击收益中向初始访问经纪人提供分成。 另一个给此次出售增加可信度的行为是“salfetka”在其签名中包含了INC Ransom旧页面和新页面的URL，表明这与该勒索软件操作有关联。 尽管如此，此次出售也可能是骗局，该黑客可能在过去几个月里精心打理“salfetka”账户，宣称对购买网络访问感兴趣，并出示高价来提高交易的可信度。 目前，INC的新旧网站上都没有关于出售项目源代码的公开声明。 INC Ransom迁移到新网站 2024年5月1日，INC Ransom在其旧的泄露网站上宣布他们将迁移到一个新的数据泄露勒索“博客”，并共享了一个新的TOR地址，称旧网站将在两到三个月内关闭。 新网站已经上线，受害者名单与旧门户网站有部分重叠，且新增了十二个在旧网站上未出现的受害者。 新网站共列出了64个受害者（其中12个是新增的），而旧网站有91个受害者，因此过去受害者中约有一半没有在新网站上出现。 KELA的分析师评论道：“两个网站之间的差异表明该操作可能是领导层更换或分裂成不同团体后进行的。” “然而，‘salfetka’引用了这两个网站作为其所谓项目的一部分，这表明该行为者与两个部分都有关联。” “在这种情况下，创建新博客可能是为了从出售中获取更多利润。” 值得注意的是，INC新的勒索页面设计在视觉上类似于Hunters International，这表明该操作还可能与其他勒索软件有关。 与允许安全分析人员破解加密的公开泄露不同，出售没有现成解密器的勒索软件源代码可能会给全球的组织带来更多麻烦。 这些勒索软件生成器通常被刚刚进入这一领域的高度动机黑客、希望通过使用更强大和通过测试的加密器来提升实力的半成熟团体购买。 尤其是提供Linux/ESXi版本时，这种情况尤为严重，因为开发这些版本通常更具挑战性且成本更高。 当勒索软件团伙重塑品牌时，他们通常会重复使用旧加密器的大部分源代码，从而让研究人员能将旧团伙与新操作联系起来。 使用其他勒索软件操作的加密器还可以帮助其重塑品牌，因为这会让执法部门和研究人员的追踪变得更加困难。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自四月以来，数百万封网络钓鱼邮件通过Phorpiex僵尸网络发送，进行了大规模的LockBit Black勒索软件活动。 新泽西州网络安全和通信集成中心（NJCCIC）在周五警告称，攻击者使用包含可执行文件的ZIP附件来部署LockBit Black有效载荷，一旦被启动，这些文件将加密收件人的系统。 这些攻击中LockBit Black加密器可能是使用LockBit 3.0生成器构建的，该生成器由一位不满的开发者于2022年9月在推特上泄露。然而，这次活动被认为与实际的LockBit勒索软件操作没有任何关联。 这些带有“你的文件”和“你的照片”等主题的网络钓鱼邮件，用“Jenny Brown”或“Jenny Green”的别名从全球1500多个独立IP地址发送出去，地址包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。 攻击链始于收件人打开恶意的ZIP压缩附件并执行其中的二进制文件。 接着，此可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本并在受害者系统上执行。启动后，它将尝试窃取敏感数据、终止服务并加密文件。 自4月24日以来一直调查这些攻击事件的网络安全公司Proofpoint在周一表示，黑客针对全球各个行业的公司进行攻击。 尽管这种方法并不新鲜且缺乏其他网络攻击的复杂性，但发送大量邮件来传送恶意负载，并将勒索软件作为第一阶段负载使用，让这种方法在众多网络攻击中脱颖而出。 Proofpoint的安全研究人员表示：“2024年4月24日后约一周时间，Proofpoint观察到由Phorpiex僵尸网络促成的大规模活动，该网络每天发送数百万封信息来传送LockBit Black勒索软件。” “这是Proofpoint研究人员首次观察到通过Phorphiex以如此高的效率传送LockBit Black勒索软件（又名LockBit 3.0）的样本。” Phorpiex僵尸网络（也称为Trik）已经活跃了十多年。它从通过可移动USB存储设备和Skype或Windows Live Messenger聊天传播的蠕虫，演变为使用电子邮件垃圾邮件传送的由IRC控制的木马。 经过多年的活动和发展，Phorpiex僵尸网络逐渐壮大，控制了超过100万台感染设备。然而，其运营者在关闭Phorpiex基础设施后，尝试在黑客论坛上出售该恶意软件的源代码。 Phorpiex僵尸网络还被用来发送数百万封色情勒索邮件（每小时发送超过30,000封邮件），最近还使用了剪贴板劫持模块，将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。 在添加加密货币剪贴板劫持功能的一年内，Phorpiex的运营者劫持了969笔交易，盗取了3.64比特币（价值172,300美元）、55.87以太币（价值216,000美元）和价值55,000美元的ERC20代币。 为了防御推送勒索软件的网络钓鱼攻击，NJCCIC建议实施勒索软件风险缓解策略，并使用终端安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息传播。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

俄亥俄州彩票公司正在给圣诞前夕遭受网络攻击影响的约538,000人发送数据泄露通知函。 缅因州总检察长办公室的文件显示，此次攻击共影响了538,959人。攻击者获取了受影响者的姓名、社会安全号码和其他个人信息。 “在2023年12月24日，一次网络安全事件导致我们所维护的数据被曝光，由此公司检测到内部办公网络存在未经授权的访问。但这一事件并未影响游戏网络，”俄亥俄州彩票公司表示。 “在经过全面的法证调查和手动文件审查后，我们于2024年4月5日得知，某些包含个人信息的文件遭到了未经授权的访问。” 俄亥俄州彩票公司表示，尚未发现被盗信息被用于欺诈的证据。尽管如此，出于谨慎起见，该公司向所有可能受影响的个人提供免费的信用监控和身份盗用保护服务。 DragonForce 勒索软件声称的数据泄露 尽管俄亥俄州彩票公司并未透露此次受影响事件的性质，但几天后，DragonForce勒索软件团伙声称对此次攻击负责。 黑客声称他们加密了设备，并窃取了俄亥俄州彩票公司客户和员工的文件。 12月27日，勒索软件组织的暗网上增加了一个条目，称攻击者窃取了超过300万条记录。在谈判失败后，该团伙于1月22日泄露了四个 .bak 档案和多个CSV文件，据称这些文件是从俄亥俄州彩票公司的系统中窃取的。 DragonForce声称泄露的94GB数据仅包含150万条俄亥俄州彩票客户的姓名、社会安全号码和出生日期。 虽然DragonForce勒索软件是一个相对较新的组织，于2023年12月首次曝光第一个受害者，但其战术、谈判风格和数据泄露网站表明这是一个经验丰富的勒索团伙。 他们的泄露网站现在列出了将近四十个受害者，而执法部门最近几个月一直在破坏许多勒索软件的行动，如果他们是一个先前已知团伙的重组，那也不足为奇。 DragonForce勒索软件还声称对去年12月中旬日本益生菌饮料制造商Yakult在澳大利亚和新西兰的IT系统的网络攻击负责。 在勒索软件团伙泄露了据称从公司服务器窃取的95GB数据后，Yakult披露了这次攻击。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文  

据观察，朝鲜黑客Kimsuky部署了一种全新的Golang恶意软件“Durian”，针对两家韩国加密货币公司进行高度定向网络攻击。 “Durian具有全面的后门功能，可以执行传送的命令、下载额外文件并泄露文件。”Kaspersky在2024年第一季度APT趋势报告中指出。 2023年8月和11月的网络攻击使用韩国独有的合法软件作为感染途径，操纵该程序的确切机制尚且未知。 已知的是，该软件与攻击者服务器相连，从而导致恶意有效载荷检索并启动感染序列。 第一阶段充当了额外恶意软件的安装程序，同时也是一种在主机上建立持久性的手段。它还为最终执行Durian的加载程序铺平了道路。 Durian被用于引入更多的恶意软件。包括AppleSeed、Kimsuky的主要后门选择，一个自定义代理工具LazyLoad，还有其他如ngrok和Chrome远程桌面的合法工具。 “攻击者最终通过植入恶意软件窃取了浏览器中存储的数据，包括Cookie和登录凭据。”Kaspersky表示。 此次攻击的一个显著特点是使用了LazyLoad，这个工具之前已经被Lazarus组织的一个子集Andariel使用过，这也引发了两个黑客间存在潜在合作或战术重叠的可能性。 Kimsuky团队自2012年以来一直非常活跃，其恶意网络活动涉及APT43、Black Banshee、Emerald Sleet（前身为Thallium）、Springtail、TA427和Velvet Chollima。 据评估，Kimsuky团队是63号研究中心的下属部门，该中心隶属于朝鲜的总参谋部，是该国家的主要军事情报组织。 美国联邦调查局（FBI）和国家安全局（NSA）本月早些时候在一份警报中表示，Kimsuky行动人员的主要任务是通过渗透政策分析人员和其他专家来窃取数据和有价值的地缘政治洞察，然后将其提供给朝鲜政权。 “成功的渗透让Kimsuky行动人员能进一步制作更有信服力、更有效的鱼叉式网络钓鱼邮件，并且能够利用更敏感、价值更高的目标。” Broadcom旗下的Symantec表示，该国家级黑客还与传递基于C#的远程访问木马和TutorialRAT信息窃取程序的攻击活动有关，该木马利用Dropbox作为“躲避威胁监控的基地。 “此次活动似乎是APT43的BabyShark威胁活动的延伸，采用了典型的鱼叉式网络钓鱼技术，如使用快捷方式（LNK）文件，”报告补充道。 安全智能中心（ASEC）详细描述了另一个朝鲜国家赞助的黑客组织ScarCruft策划的活动，该活动以部署RokRAT为目标，针对韩国用户使用Windows快捷方式（LNK）文件。 这个对抗性集体，也被称为APT37、InkySquid、RedEyes、Ricochet Chollima和Ruby Sleet，据说与朝鲜的国家安全部（MSS）对齐，负责秘密情报收集并支持该国的战略军事、政治和经济利益。 “最近我们确认了快捷方式文件（* .LNK）针对的是韩国用户，特别是那些与朝鲜相关的用户，”ASEC说。   消息来源：thehackernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

总部位于美国的医疗保健提供商MediExcel声称暴露了超过55万份患者文档，其中包括诊断结果和索赔表。 医疗保健提供商是网络犯罪集团的首要目标之一，因此保护医疗数据是至关重要的。然而，研究团队发现数十万份医疗文件可供任何人访问。 该团队发现MediExcel拥有Amazon S3（简单存储服务）存储桶。该公司为圣地亚哥和因皮里尔县的雇主提供健康福利的健康计划。 此次泄漏的数据包含超过55.5万份文档，其中包括： 注册表副本 诊断结果 医疗账单 发票 保险索赔 个人医疗数据在暗网论坛上可以售卖数百美元。黑客可以利用医疗细节盗窃医疗身份，这是一种利用窃取信息向医疗保险和其他健康保险公司伪造索赔的欺诈行为。 与此同时，其他个人可识别信息（PII）可能被用于诈骗，例如身份盗窃和钓鱼攻击、开立新的信用账户、进行未经授权的购买，或者以虚假借口获取贷款等。 “黑客可能利用这些信息进行身份盗窃、保险欺诈，甚至是勒索。医疗文件和发票的泄露可能导致患者隐私被泄露，其健康信息可能被滥用，这会带来严重的法律和道德问题。”研究人员说。 根据该团队的说法，大部分被暴露的信息都揭示了MediExcel患者的敏感细节。信息表明数据集可在2023年5月至2024年4月访问。数据暴露是由AWS S3访问控制列表配置错误导引起的。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文