据知道创宇暗网雷达监测，沙特阿拉伯外交部 140万数据泄露，泄露文件大小600MB。它包含 ID、GUID、阿拉伯姓名、全名、相关部门、职务、办公室电话号码、手机号码、电子邮件、家庭电话号码、职位等信息。 黑客发布的截图 发布者提供的样本量共 90 条，从样本来看数据包含 2008 年至2013年的数据。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

HackerNews 编译，转载请注明出处： 近日，LockBit勒索软件组织声称对 2023 年 11 月发生在 Capital Health 医院的网络攻击事件负责。 CAPITAL HEALTH医院网络在遭受攻击后经历了IT 系统中断。事件发生后，医院立即通报法务部门，并聘请了第三方数字取证和信息技术专家提供支持。与此同时，医院采取了额外的安全措施以保护其基础设施功能。 Capital Health区域医疗中心是Capital Health系统的成员，位于新泽西州特伦顿。该中心是一个区域性学术医疗中心，同时也是州指定的创伤中心，专门负责治疗相关病例。 目前，LockBit勒索软件组织已将Capital Health列入其Tor数据泄露网站的受害者名单，被盗的医疗机密数据总量超过 7 TB ，价值 25 万美元。截止发稿时，暂未找到相关信息。 同时，LockBit澄清其攻击仅限于医院数据的盗窃，不会对患者护理产生中断影响。 日前，LockBit勒索软件组织仍在持续对卫生保健组织进行攻击。最近，Katholische Hospitalvereinigung Ostwestfalen（KHO）宣布，其三家医院（Bielefeld、Rheda-Wiedenbrück和Herford）在LockBit勒索软件攻击后经历了服务中断，这一安全事件可能对当地居民产生严重影响。   Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：dengdeng

HackerNews 编译，转载请注明出处： Cybernews发现一起Elasticsearch数据泄露事件，其中包含超过2.23亿条巴西人的敏感信息。 Elasticsearch 是一个常用的工具，用于搜索、分析和可视化大量数据。这次泄露的数据并没有明确与某个特定公司或组织关联，因此目前暂时无法追溯具体数据来源。   数据泄露总数 这个数据集存放在云服务器上，包含了完整姓名、出生日期、性别以及个人税务登记号码（CPF）。泄露的数据超过 2.23 亿条记录，这意味着巴西全民可能都受到了此次数据泄露的影响。 泄露的私人数据 尽管数据不再公开可用，但黑客可能利用这些信息进行身份盗窃、欺诈和网络犯罪，给相关人员带来财务损害和非授权账户访问等严重风险。 此前，Cybernews曾报道涉及大量据称来自政府实体的泄露数据集在网络上出售的情况，而这次规模更大的泄露加剧了潜在影响。 今年年初，黑客还曝光了10 亿台电脑中的 23TB 数据，其中包括中国公民及上海警方的数十亿份案件记录。此外，还有 1.05 亿印度公民的个人数据（包括身份证号码、全名、出生日期和其他个人身份信息），也被非法披露并在网上售卖。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。 已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。 CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。” CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。 这次重点发现的六个漏洞如下： CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”） CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”） CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”） CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”） CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”） 其中一些列出的漏洞最近才被披露。 例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。 该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。 CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。 针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。 建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。   消息来源：bleepingcomputer，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处：   知名律师事务所 Orrick，Herrington&Sutcliffe 近期披露了一起数据泄露事件，超过 60 万人受该事件影响。 据了解，此次数据泄露事件发生在 2023 年 2 月 28 日至 3  月 13 日，攻击者在入侵该公司网络后，获得了一个数据存储区，其中包括该律所的相关客户文件。在该事件发生后，Orrick 采取了对应措施来阻止未经授权的访问，并启动了对安全事件的调查。 Orrick 补充到：自该事件发生以来，暂未发现进一步的未经授权行为。 在这次安全事件中，可能受到影响的信息包括：姓名、地址、电子邮件地址、出生日期、社会安全号码、驾驶执照或其他政府发行的身份证明号码、护照号码、金融账户信息、纳税人识别号码、医疗治疗和/或诊断信息、索赔信息（日期、服务费用和索赔标识符）、健康保险信息等。 据路透社报道，去年12月，该律师事务所宣布已初步与数据泄露相关的四起集体诉讼达成和解。 Orrick 于 1863 年在旧金山成立，主要为金融、政府、基础设施、技术和其他类型的组织提供交易、诉讼和监管事务咨询。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：dengdeng

据知道创宇暗网雷达监测，2024年1月2日，德国能源署 Dena 被勒索数据遭全量公开。 据报道，德国能源署Dena成为国际 LockBit 勒索软件组织的新受害者，黑客组织在暗网平台上披露了针对 Dena 的网络攻击。在该帖子中，黑客披露了数据泄露事件并将受影响的实体添加到他们不断增长的受害者名单中。据悉，黑客声称已对该机构的网站发起攻击，Dena于 11 月 14 日证实了这次网络攻击，袭击发生后不久，能源署基本上无法正常办公，无法通过电话或电子邮件联系。11月23日，Dena发布了一份新声明，称可以再次通过电子邮件和电话联系到该机构，但不能排除其业务联系人处理的数据因网络攻击而受到损害的可能性，敏感信息（如银行帐号）也可能遭到泄露。该黑客组织发出了威胁性的最后通牒，截止日期为2023年12月26日。 此次勒索事件时间轴如下： 2023年12月6日，Dena被 BlackCat/ALPHV公告勒索； 2023年12月12日，Dena被 LockBit 公告勒索，此期间 BlackCat/ALPHV 疑似关停； 2023年12月27日，Dena勒索公告被 LockBit下架； 2023年12月29日，Dena被LockBit重新公告勒索； 2024年1月2日，Dena被LockBit公开全量数据； 德国能源署Dena被公开的数据截图 德国能源署Dena 德国能源署Dena 成立于2000年，是一个由政府和行业联盟支持的公共机构，旨在促进全球清洁能源转型，并协助实现可持续能源的供应、使用和存储。该组织与企业、政治家、科研人员和民间社会团体合作，推动创新解决方案的开发和实施来达到减少碳排放和气候变化等可持续目标。 勒索组织 BlackCat/ALPHV 和 LockBit 的关系 在此次勒索事件中，Dena 先后出现在了BlackCat/ALPHV 和 LockBit 的勒索公告中。 2023年12月6日，Dena被 BlackCat/ALPHV公告勒索。 2023年12月7日，多方消息称，因为警方的执法行动，位于 Tor 的 blackcat 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称，该网站已被执法部门关闭。在此期间。包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。2023年12月11日，该数据泄露网站恢复，但所有数据都被删除了。 紧接着，2023年12月12日，Dena 被 LockBit 公告勒索。 正如FalconFeeds在推特上写得：“LockBit 勒索组织将德国能源署 Dena 添加到他们的受害者名单中，该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。” 现在还不能确定 LockBit 和 BlackCat/ALPHV 的组织人员有多少是相同的，但据报道，LockBit 运营经理 LockBitSupp 已经开始从 BlackCat/ALPHV 中招募分支机构。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

  2023年对网络安全领域来说是充满发展和变化的一年。黑客攻击、勒索软件肆虐，大型企业和个人隐私备受威胁。 LockBit、BlackCat等勒索软件家族频频现身，不仅对全球知名企业实施攻击，也直接威胁到个人隐私安全。从全球范围内的网络冲突到个人数据泄露，网络安全风险日益凸显。 考虑到当前全球经济形势的不确定性，预计在未来一年中，黑客攻击和勒索事件可能会更加猖獗，这将为网络安全带治理来更加严峻的挑战。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2023年备受关注的网络安全热点事件，排名不分先后。   01 LockBit 勒索软件家族席卷全球，对各个行业发起攻击 LockBit 勒索软件家族，一种高度活跃和危险的恶意软件，其于 2019 年 9 月被首次发现，该组织通常通过利用网络安全漏洞、分布式拒绝服务攻击（DDoS）和双重勒索策略等技术手段，对目标组织发起攻击。它们会加密受害者的数据并要求赎金，否则就威胁公开或销毁数据。 2023 年，该组织发起了多次攻击活动，对在全球范围内的各种组织构成了严重的威胁。 其中 5 月，LockBit 3.0 勒索软件集团在其数据泄露网站上将富勒顿印度公司列为受害者，称其窃取了 600GB 的 “个人和合法公司的贷款协议”。 7 月，一个名为 Bassterlord 的 Lockbit 关联公司通过 Twitter 宣布了对台积电的黑客攻击，分享了与该公司相关信息的截图作为证据，并对其索要 7000 万美元赎金。 11 月，中国工商银行美国子公司在遭受攻击后疑似已支付赎金。而同样是面对勒索，在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。月中，正利用 Citrix Bleed 已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件，1 万台服务器遭暴露。 11 月底，LockBit 勒索软件组织在其暗网门户上发布了印度国家航空航天实验室 8 份据称被盗的文件，其中包括机密信件、员工护照和内部文件。 事件详情： https://hackernews.cc/archives/43893 https://hackernews.cc/archives/44372 https://hackernews.cc/archives/46929 https://hackernews.cc/archives/46897 https://hackernews.cc/archives/46959 https://hackernews.cc/archives/4742 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞: 盘点 2023 年造成实际破坏的十大漏洞   02 BlackCat 勒索软件袭击全球千名受害者，狂“薅”超 3 亿美元赎金 BlackCat 勒索软件家族，也被称为 ALPHV， 于 2021 年 11 月被首次观察到，是最早用 Rust 编程语言编写的勒索软件之一。BlackCat 常用的手段之一是双重敲诈，除了加密受害者的数据并要求赎金外，它还威胁要公开或销售被盗数据，以迫使受害者支付。 2023 年，BlackCat 已针对多家企业、机构等发起了多次勒索行动。 其中6 月，BlackCat 勒索软件声称从 Reddit 窃取了 80GB 的数据，并提出了450 万美元的赎金需求。 10 月，美高梅度假村透露，因遭受网络攻击影响，损失高达 1 亿美元，美高梅酒店和赌场的网络系统陷入瘫痪。 次月，美国医疗保健公司 Henry Schein  报告称再次遭受 BlackCat 网络攻击，公司的应用程序和电子商务平台再次被关闭，35TB 数据被窃。 12 月， BlackCat 将台湾中国石化添加到其Tor泄露网站的受害者名单中，泄露数据41.9GB。美国联邦调查局（FBI）宣称，截至 2023 年 9 月，BlackCat 勒索软件团伙就已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金。 事件详情： https://hackernews.cc/archives/44204 https://hackernews.cc/archives/45957 https://hackernews.cc/archives/47309 https://hackernews.cc/archives/47360   03 俄乌网络空间攻击战火力全开 2023年，俄乌网络战全面升级，双方的网络攻击火力全开。网络攻击、信息战和网络钓鱼活动成为战争的关键组成部分，对乌克兰及俄罗斯的基础设施、政府机构和民众产生了深远影响。 其中，2 月，俄乌冲突一周年纪念日当天，亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站，以示对战争的抗议。 4月，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 6月，Cyber.Anarchy.Squad 的乌克兰黑客声称发动了一次攻击，导致俄罗斯电信提供商 Infotel JSC 瘫痪。 8月，乌克兰独立日遭俄罗斯黑客组织袭击，致200 多家加油站深夜瘫痪。 9月，乌克兰黑客声称已侵入俄罗斯公司 Sirena-Travel 的数据库，超 41 亿条乘客信息被窃取（包括航班号码、路线、票价、机票价格等）。 11月，乌克兰情报机构成功入侵俄罗斯航空局，窃取的情报显示，俄民航几近崩溃。 12月，乌克兰军事情报部门入侵了俄罗斯联邦税务局，还中断了俄罗斯联邦税务局中央办公室与 2300 个地区办公室之间的通信。 事件详情： https://hackernews.cc/archives/43353 https://hackernews.cc/archives/43745 https://hackernews.cc/archives/44141 https://hackernews.cc/archives/45336 https://hackernews.cc/archives/45838 https://hackernews.cc/archives/47292   04 巴以冲突进入白热化阶段 与俄乌冲突类似，巴以冲突中也伴随了针对双方关键信息基础设施的网络攻击行为。这场战争不仅在物理世界中展开，也深入到了网络空间，涉及网络攻击、信息战、社交工程和AI技术的使用，甚至国家级网络部队和非国家级黑客组织开始“选边站”，更加体现了该事件的复杂程度。 2 月，巴勒斯坦黑客喊话以色列化学公司，并威胁雇员生命。 10月，哈马斯与以色列爆发武装冲突、多国黑客组织进入网络战场参加战斗。该月底，以色列空军基地的计算机系统遭到破坏，一种名为 BiBi-Linux 的新型恶意软件擦除器来销毁针对以色列公司 Linux 系统的攻击中的数据，亲哈马斯的黑客组织使用 Wiper 来摧毁以色列公司的基础设施。 11月，伊朗黑客组织 Imperial Kitten 对以色列运输、物流和技术公司发起新一轮网络攻击。并入侵了以色列航空公司，在网上泄露了该公司的内部机密文件。 事件详情： https://hackernews.cc/archives/43160 https://hackernews.cc/archives/46027 https://hackernews.cc/archives/46472 https://hackernews.cc/archives/46643 https://hackernews.cc/archives/46908 https://hackernews.cc/archives/47002   05 Twitter 2 亿用户数据遭泄露，后回复并非通过系统漏洞流出 1月初，一个包含超过 2 亿 Twitter 用户数据的文件在黑客论坛上发布，数据包括电子邮件地址、姓名、网名、关注人数和账户创建日期，价格约为 2 美元。 一周后，Twitter 回复称没有证据表明泄露的用户数据是利用系统漏洞进行获取，安全研究人员认为这些数据很可能是在网上公开的数据集。 事件详情： https://hackernews.cc/archives/43005 https://hackernews.cc/archives/43080   06 黑客论坛上“在售”宏碁 160 GB 敏感数据 3 月，中国台湾电脑巨头宏碁证实，在黑客成功入侵一台存有维修技术人员私人文件的服务器后，公司 160 GB 敏感数据遭泄露。化名为“Kernelware”的黑客声称对此次重大数据泄露事件负责。 从黑客说法来看，被盗数据主要包含宏碁公司的技术手册、软件工具、后台基础设施细节、手机、平板电脑和笔记本电脑的产品型号文档、BIOS 图像、ROM 文件、ISO 文件和替换数字产品密钥（RDPK）等。为证实数据的真实性，黑客还分享了宏碁 V206HQL 显示器技术原理图、文件、BIOS 定义和机密文件的截图。 事件详情： https://hackernews.cc/archives/43434   07 超过 10 万个 ChatGPT 账户被恶意软件窃取 6月， Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。 许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 事件详情： https://hackernews.cc/archives/44221   08 卡巴斯基曝光史上最复杂苹果系列 APT 攻击——三角测量行动 6 月，卡巴斯基披露了一起 APT 攻击——“三角测量行动”， iOS 已成为利用 iMessage 平台的零点击漏洞武器化，使攻击者可秘密从受感染设备中窃取敏感信息。 10 月，卡巴斯基再次披露其主要同时利用了 4 个 0 day 漏洞以及 1 个PAC bypass 的 1day 漏洞。这些漏洞链接在一起，形成零点击攻击，允许黑客提升权限并执行远程代码。 在该次攻击中，关键的攻击组件是一个名为 TriangleDB 的后门，该程序由至少四个模块组成，功能包括录制麦克风、提取 iCloud 钥匙串、从各种应用程序所使用的 SQLite 数据库中窃取数据，以及估算受害者的位置。 此外，在 12 月，卡巴斯基还进一步披露了该攻击软件攻击的技术细节。这些漏洞不仅影响 iPhone，还波及到了 Mac、iPod、iPad、Apple TV 和 Apple Watch 等设备。 事件详情： https://hackernews.cc/archives/44125 https://hackernews.cc/archives/46431 https://hackernews.cc/archives/48616 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞： 盘点 2023 年造成实际破坏的十大漏洞   09 超 2000 家美国公司凭据遭到泄露！特斯拉、FBI、五角大楼无一幸免 8 月，美国国家安全委员会(NSC)泄露了近 1 万名会员的电子邮件和密码，包括政府机关和大企业在内的 2000 多家企业被曝光，NASA、特斯拉、FBI、五角大楼无一幸免。 该漏洞不仅对 NSC 系统构成了风险，而且对使用 NSC 服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如 VPN 门户、人力资源管理平台或公司电子邮件。此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。 事件详情： https://hackernews.cc/archives/45421   10 美国金融机构遭遇史上最大规模 DDoS 攻击 9 月，Akamai 近日透露，已经挫败了针对一家美国银行的大规模 DDoS 攻击，攻击峰值高达每秒 5510 万个数据包，攻击流量达到了每秒 633.7GB。这也是 Akamai 挫败的第三大规模的 DDoS 攻击。 事件详情： https://hackernews.cc/archives/45681   11 勒索组织 Cl0p 利用 MOVEit 发起漏洞攻击 9 月，勒索组织 Cl0p 利用 MOVEit 漏洞攻击的组织数量已超过 2000 个，受影响的人数超过 6000 万。 在今年 5 月，该组织还利用流行的 MOVEit 文件传输解决方案中的 SQL 注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 事件详情： https://hackernews.cc/archives/45873   12 中国台湾大江生医集团 236.3GB 数据于暗网泄露 11月，据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。 此次暗网雷达监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。 事件详情： https://hackernews.cc/archives/47123   13 8 亿印度人遭遇大规模数据泄露 11 月，据美国一家安全公司称，超过 8 亿印度人的高度敏感个人信息正在网上以 8 万美元的价格出售。 网上提供的个人数据包括 Aadhaar 生物识别身份证和护照信息，以及姓名、电话号码和地址。据有关媒体报道，今年 10 月初，该公司在暗网上发现了数百万份属于印度居民的个人信息记录。 事件详情： https://hackernews.cc/archives/46590   14 GE 疑遭黑客攻击，大量军事机密泄露 11月，GE（通用电气）疑遭黑客攻击，黑客还公布了 GE 被盗数据的屏幕截图，数据样本包括 GE Aviations 的一个 SQL 数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。 事件详情： https://hackernews.cc/archives/47286   15 基因检测公司 690 万名会员信息遭泄露 12 月，基因检测公司 23andMe 证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 事件详情： https://hackernews.cc/archives/47586     作者：知道创宇404实验室 （数据来源 https://hackernews.cc/，转载请注明出处。）

Hackernews 编译，转载请注明出处： 微软关闭了一项旨在简化应用程序安装的功能，有黑客组织利用该功能传播恶意软件。 这项名为 ms-appinstaller 协议的功能基本上允许人们在向设备添加 Windows 应用程序时跳过一两个步骤。微软在一篇文章中说，网络犯罪分子发现它还提供了一种安装加载恶意软件的方法。 微软表示：“攻击者之所以选择 ms-appinstaller 协议处理程序，可能是因为它可以绕过旨在保护用户免受恶意软件攻击的机制，比如 Microsoft Defender SmartScreen 和内置的浏览器下载可执行文件格式警告。” 禁用该协议意味着 Windows 应用程序不能直接从服务器安装到设备上。相反，用户必须先下载软件包，然后运行应用安装程序。 微软将这些活动归因于他们追踪的 Storm-0569、Storm-1113、Storm-1674和Sangria Tempest。“Storm”这个标签指的是一个来历不明的团体。长期存在的网络犯罪组织 Sangria Tempest 也被网络安全研究人员追踪为 FIN7，并与 Clop 等勒索软件组织有关联。 微软表示，这些组织在11月和12月被发现“欺骗合法应用程序，引诱用户安装冒充合法应用程序的恶意MSIX软件包，并逃避初始安装文件的检测”。 网络犯罪分子的目标是安装允许进一步感染的加载器恶意软件，包括常见的数据泄露工具比如 IcedID，或勒索软件比如 Black Basta。 该公司对每个 Storm 小组活动的总结： Storm-0569 是一个访问代理，专注于通过恶意广告和包含恶意下载网站链接的网络钓鱼邮件下载被入侵后的有效载荷，比如 BATLOADER。 Storm-1113 是一个威胁行为者，它既是一个通过搜索广告传播恶意软件的访问代理，也是一个提供恶意安装程序和登陆页面框架的‘即服务’实体。 Storm-1674 是一个访问代理，以使用基于公开可用的 TeamsPhisher 工具来分发 DarkGate 恶意软件而闻名。 与此同时，Sangria Tempest 被发现投放了 Carbanak，“这是该演员自2014年以来使用的一个后门，反过来又提供了 Gracewire 恶意软件。”微软此前曾在5月份报道过该组织。     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

据知道创宇暗网雷达监测，12月27日，曼谷航空(Bangkok Airways) 106.5GB 数据被泄露，包含122000份文件，包括机场、就业和合同信息。数据可全量下载。 在此次攻击中，黑客发布了此次泄露数据的全部文件。 黑客发布的文件截图 曼谷航空公司（Bangkok Airways）成立于1968年，是泰国颇具知名度的航空公司之一。最初作为一家私人航空公司，后来逐渐发展成为一家颇具规模和影响力的航空企业。 这并不是该公司第一次发生如此大规模的数据泄露事件，在2021年9月，曼谷航空公司就曾被 LockBit 勒索软件团队窃取了超过 200 GB 的数据。LockBit 勒索软件团队还在其泄密网站上发布了一条消息，威胁说如果曼谷航空不支付赎金，就会泄露被盗数据，消息还显示他们有更多的数据要泄露。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据知道创宇暗网雷达监测，12 月 27 日，Ultra Intelligence & Communications 公司 30GB 数据遭到泄露，数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。数据来源于勒索组织 BlackCat，数据可下载。 据悉，美国联邦调查局（FBI ）在本月攻入了 BlackCat  勒索软件的服务器，以监控该组织的日常活动并获得解密密钥，同时扣押了 BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，BlackCat 勒索软件就“解封”了数据泄露网站。 Ultra Intelligence & Communications（简称ULTRA），是一家全球领先的技术公司，总部位于英国。该公司提供先进的情报、通信和安全技术解决方案，服务于政府、军事和商业客户。是一家与美国政府合作的承包商，由美国政府相关或在美国政府工作的机密人员赞助。 ULTRA 的高层管理人员拒绝支付恢复被盗数据的费用，导致所有与 ULTRA 及其附属公司有关的被盗数据都在这个数据泄露博客中公开。 每个与美国政府合作的承包商都应该被警告这一事件，如果他们不希望美国联邦机密被公开，就应该避免与 ULTRA 有任何进一步的业务往来。这一事件可能促使美国政府重新审视与这些承包商及其分包商的关系。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达