据知道创宇暗网雷达监测，12月27日，有黑客在 Telegram 上发布数据买卖，发布的内容显示该数据来源为中华航空（china-airlines.com），涉及的敏感信息包括中英文姓名、出生日期、电子邮箱、手机号、飞行常旅客计划（Frequent Flyer Program）等。 黑客发布的信息截图 发布者提供的数据样本共 50 条，总数据包含 2400 万条，售价 4000 美元。 中华航空官网 据公开资料显示，中华航空股份有限公司（China Airlines），简称“中华航空”、“华航”，成立于1959年12月16日， 由台湾当局与中国国民党联合出资创办，主运营中心为台湾桃园国际机场。中华航空是台湾的旗舰航空公司，也是全球航空货运领导品牌之一。       转载请注明出处，消息来源：知道创宇暗网雷达

Hackernews 编译，转载请注明出处： 微软对伊朗发起的针对美国国防工业基地(DIB)组织员工的新攻击发出警告。 这家科技巨头将这些攻击归咎于 Peach Sandstorm，也被追踪为 APT33、Elfin、Holmium、Magnallium 和 Refined Kitten。 据信，APT33 至少从 2013 年开始活跃，并得到了伊朗政府的支持，以美国、欧洲、亚洲和中东的政府、研究、航空航天、能源、金融、电信和其他部门的组织为目标。 微软观察到伊朗支持的组织 Peach Sandstorm 试图向为国防工业基地(DIB)部门组织工作的个人提供一个名为 FalseFont 的新后门。 新发现的后门为攻击者提供了远程访问受感染系统的机会，允许他们执行文件，并将数据泄露到 C&C 服务器。微软表示，FalseFont 在2023年11月首次被用于攻击。 微软在一篇帖子中指出：“FalseFont 的开发和使用与微软在过去一年中观察到的 Peach Sandstorm 活动一致，这表明 Peach Sandstorm 正在继续改进他们的间谍技术。” 今年9月，微软曾警告称，APT33 以数千家组织为目标，使用密码喷洒攻击，在某些情况下，导致数据从受损网络中泄露。 在 2023 年 2 月至 7 月期间进行的第一阶段活动中，密码喷洒用于初始入侵，而第二阶段则利用 Zoho ManageEngine 和 Confluence 的已知漏洞进行攻击。 建议各组织重置攻击目标的任何帐户的密码，撤销会话 cookie，实现保护身份基础设施的最佳实践，采用多因素身份验证，过渡到无密码身份验证，以及保护远程桌面连接。       Hackernews 编译，转载请注明出处 消息来源：Securityweek，译者：Serene

Hackernews 编译，转载请注明出处： 德国执法部门查封了暗网市场 Kingdom Market 的服务器，这是一个为网络犯罪分子提供毒品、恶意软件、虚假文件和其他工具的非法集市。 在周三的一份新闻稿中，警方表示，他们在该网站上发布了关闭通知，目前正在分析 Kingdom Market 的服务器基础设施，以确定该网站的幕后黑手。 据美国法庭文件显示，上周，一名涉嫌与 Kingdom Market 有关联的人被确认为斯洛伐克人 Alan Bill，他的别名是“Vendor”。 在这次行动中，美国执法机构与德国以及瑞士、摩尔多瓦和乌克兰的警方“密切合作”。 Kingdom Market 是暗网中一家英文市场，自2021年3月开始运营。它提供了超过4.2万件商品出售，其中包括大约 3600 件来自德国的商品。德国警方声称，“数以万计的客户和数百个卖家账户”在该市场上注册。 该网站的运营者接受比特币、莱特币、门罗币和Zcash等加密货币进行支付。他们还从处理通过该平台销售的非法商品中获得3%的佣金。 这是美国联邦调查局周二查封 Blackcat/AlphV 勒索软件团伙网站后，本周第二个主要的暗网网站被关闭。Blackcat/AlphV 分支机构已经入侵了 1000 多个组织，并收到了近3亿美元的赎金。 在 FBI 在 Blackcat/AlphV 网站上发布删除通知后不久，黑客们就用自己的信息替换了该通知，声称他们已经“解锁”了该页面，并将其重新置于他们的控制之下。 然而，许多研究人员对这种说法表示怀疑，称黑客之所以能够让它重新上线，是因为他们列出受害者的网站是作为 onion 服务运行的，这是一种只能通过 Tor 网络访问的特殊类型的匿名网站。 Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： Comcast 旗下的 Xfinity 通知客户，他们的信息在一次网络攻击中遭到泄露，这次攻击利用了 CitrixBleed 的漏洞，泄露了约 3600 万人的数据。 CitrixBleed，官方追踪为CVE-2023-4966，是一个影响 Citrix Netscaler ADC 和 Gateway 设备的严重漏洞。黑客可以利用该漏洞劫持现有会话，从而使他们能够访问目标组织的系统。 Citrix 公司于10月10日发布了补丁，但该漏洞自8月以来一直被利用为零日漏洞。在该补丁发布几周后，大规模利用 CitrixBleed 的行为就开始了，有关它被用于针对大公司的攻击的报道也开始出现。（中国工商银行美国子公司遭 LockBit 勒索软件攻击、勒索不成！LockBit 泄露 43GB 波音公司数据） 在 Xfinity 的案例中，这家电信和智能家居解决方案提供商表示，它“迅速修补并缓解了”其系统中的漏洞。然而，在10月25日的一次例行网络安全演习中，他们发现 CitrixBleed 被黑客利用，黑客在10月16日至19日期间访问了他们的系统。 Xfinity 在12月6日确定，用户名和散列密码等客户信息已被泄露。一些客户的姓名、联系方式、出生日期、社会保险号后四位、安全问题和答案等信息也可能被盗。 Xfinity 现在正在通知客户并要求他们重置密码。该公司还建议他们确保在自己的账户上启用多因素身份验证。 据报道，CitrixBleed 漏洞与针对世界各地许多组织的攻击有关，包括丰田等知名公司。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

Hackernews 编译，转载请注明出处： VF 集团(纽约证券交易所代码：VFC)是全球最大的服装、鞋类和配饰公司之一，拥有一系列全球知名品牌，总部位于科罗拉多州丹佛市。该公司目前在提交给美国证交会的一份文件中表示受到了勒索软件攻击，黑客窃取了敏感的公司和个人数据。 这家拥有 The North Face、Vans、Timberland、Smartwool 和 Dickies 等品牌的大公司表示，其全球各地的零售店仍在营业，但警告称，它正在经历“某些运营中断”。黑客扰乱了公司的业务运营，包括其履行电子商务订单的能力，并劫持了公司的数据，包括个人数据。 该公司没有提供有关被盗数据的更多细节，也没有提供第三方客户数据是否被泄露。 VF 公司表示：“我们正在努力使 IT 系统受影响的部分重新上线，并为某些离线业务实施变通措施，目的是减少对其为零售和品牌电子商务消费者以及批发客户提供服务能力的干扰。” 消费者仍然可以在全球大多数品牌电商网站上下订单，但该公司履行订单的能力目前受到影响。 这家的公司指出，事件的全部范围、性质和影响尚不清楚，并警告说，“在恢复工作完成之前，很可能会继续对业务运营产生重大影响。” VF 公司是世界上最大的服装、鞋类和配饰公司之一，产品销往100多个国家。该公司的收入超过 116 亿美元，在全球拥有约 3.5 万名员工，拥有 1,265 家零售店。截至发稿时，该公司股价已下跌近 9%。 该事件发生的同一天，美国证交会新的网络事件披露要求开始生效，要求企业在发现事件产生重大影响后的 4 个工作日内披露任何“重大违规行为”。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

Hackernews 编译，转载请注明出处： MongoDB 警告称，本周早些时候该公司发现了一起网络攻击，其企业系统遭到入侵，客户数据暴露。 在 MongoDB 首席信息安全官 Lena Smart 发给客户的邮件中，该公司表示，他们在12月13日检测到系统被黑客入侵，并开始调查这一事件。 邮件中写道：“MongoDB 正在调查一起涉及未经授权访问某些 MongoDB 公司系统的安全事件，包括暴露客户账户元数据和联系信息，目前，我们不知道客户存储在 MongoDB Atlas 中的数据有任何泄露。” 该公司不认为黑客访问了存储在 MongoDB Atlas 中的任何客户数据。然而，MongoDB 表示，在被发现之前，黑客已经访问了系统有一段时间。通常，在这样的攻击中，黑客已经进行了长时间持续的访问。 由于客户元数据暴露，MongoDB 建议所有客户在其帐户上启用多因素身份验证，更换密码，并警惕潜在的网络钓鱼和社会工程攻击。 MongoDB 表示，他们仍在调查此次安全事件，将继续在 MongoDB 警报网页上发布有关此次漏洞的最新信息。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 一个前所未知的黑客组织，被称为 GambleForce，瞄准了亚太地区的公司，其中针对中国的攻击目标有 4 个。 从2023年9月开始，一个名为 GambleForce 的黑客组织针对亚太地区的公司发起了一系列 SQL 注入攻击。 总部位于新加坡的 Group-IB 在报告中表示：“GambleForce 使用了一套很基础但非常有效的技术，包括 SQL 注入和利用易受攻击的网站内容管理系统(CMS)来窃取敏感信息，比如用户凭证。” 据估计，该组织的目标是澳大利亚、巴西、中国、印度、印度尼西亚、菲律宾、韩国和泰国的赌博、政府、零售和旅游行业的24家组织。其中6次攻击成功。 GambleForce 的攻击地图，对中国有4个目标 GambleForce 的操作方式完全依赖开源工具，如 dirsearch、sqlmap、tinyproxy 和 redis-rogue-getshell，最终目标是从攻击的网络中窃取敏感信息。 黑客还使用了 Cobalt Strike，在其攻击基础设施中发现的工具版本还使用了中文命令，但该组织的起源还不清楚。 Group-IB 分析该组织使用的工具 攻击链包括通过利用 SQL注入 以及利用 CVE-2023-23752 (Joomla CMS的一个中等严重漏洞)来滥用受害者面向公众的应用程序，以未授权访问一个巴西的公司。 目前尚不清楚 GambleForce 如何利用被盗信息。网络安全公司 Group-IB 表示，他们还关闭了对手的 C2 服务器，并通知了已识别的受害者。该公司高级威胁分析师 Nikita Rostovcev 表示：“网络注入是最古老、最流行的攻击方式之一。”原因是有时候开发者忽视了输入安全性和数据验证的重要性。不安全的编码实践、不正确的数据库设置和过时的软件，都为 web 应用程序的 SQL 注入攻击创造了丰富的环境。”         Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene

Hackernews 编译，转载请注明出处： LockBit 勒索软件业务现在正在从BlackCat/ALPHV 和 NoEscape 中招募分支机构和开发人员。 上周，NoEscape 和 BlackCat/ALPHV 勒索软件的 Tor 网站突然无法访问，没有任何警告。与 NoEscape 相关的分支机构声称，该勒索组织实施了一场退出骗局，窃取了数百万美元的赎金，并关闭了该公司的网页和数据泄露网站。 NoEscape 被认为是 Avaddon 勒索软件的翻版，Avaddon 于2011年6月关闭，并向 BleepingComputer 发布了解密密钥。我们希望 NoEscape 将再次为他们的受害者释放解密密钥。 BlackCat/ALPHV 勒索软件上周也遭受了5天的中断，包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。周一，该数据泄露网站恢复，但所有数据都被删除了。管理员声称他们的中断是由硬件故障引起的，然而，多方消息称，网站中断与执法行动有关（执法部门捣毁臭名昭著的 BlackCat 勒索软件网站）。 LockBit 从陷入困境的帮派中招募成员，据 LeMagIT 首次报道，LockBit 运营经理 LockBitSupp 已经开始从 BlackCat 和 NoEscape 勒索软件中招募分支机构。 在一个俄语的黑客论坛上，LockBitSupp 告诉附属机构，如果他们有被盗数据的备份，他们可以利用他的数据泄露网站和谈判小组继续勒索受害者。除了附属机构之外，LockBitSupp 还试图为 ALPHV 加密器招募编码员。 虽然目前还不清楚是否有任何 BlackCat/NoEscape 分支机构已经转移到LockBit，但在 LockBit 的数据泄露网站上已经发现了一个 BlackCat 的受害者。 FalconFeeds在推特上写道：“LockBit 勒索软件组织将德国能源署 dena (http://dena.de)添加到他们的受害者名单中，该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。” BlackCat/ALPHV是DarkSide和BlackMatter勒索软件操作的重新命名。BlackMatter 于2021年11月关闭后，其附属公司过渡到LockBit。 BlackMatter 转移受害者到 LockBit 网站 由于LockBit是目前最大的勒索软件，LockBitSupp告诉BleepingComputer，他将 BlackCat 的中断视为“圣诞礼物”。 现在判断分支机构和渗透测试人员是否已经对 BlackCat 或 NoEscape 失去了信任，并转向其他业务，现在还很难说。然而，如果我们很快看到另一个品牌组织的重塑，也就不足为奇了。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 臭名昭著的勒索软件组织 BlackCat/Alphv 的官方网站已经离线好几天了，据信是执法部门关闭的。 自12月7日以来，位于 Tor 的 BlackCat/Alphv 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称，该网站已被执法部门关闭。 在周日的更新中，该公司表示，“RedSense 首席研究官 Yelisey Bohuslavkiy 证实，包括 BlackCat 附属公司和初始访问经纪人在内的黑客确信关闭是由执法行动造成的。”另外，该公司补充说：“与 AlphV 直接相关的顶级组织的其他勒索软件领导层也证实了这一点，特别是 Royal/BlackSuit、BlackBasta、LockBit 和 Akira 的管理员和团队负责人。” RedSense 还了解到，网络犯罪分子预计一切都会很快恢复，这表明对其运营和基础设施的影响有限。 截止发稿，BlackCat 网站已经关闭了四天。SOC 公司 ReliaQuest 指出，该集团的网站确实存在连接问题和中断的历史，然而，这似乎是一个最长的停机时间。 目前还没有执法机构公布针对 BlackCat 的行动信息。 在2023年1月关闭Hive勒索软件后，BlackCat 表示，这不会对其运营造成影响。 根据思科Talos最近的一份年度回顾报告，BlackCat 是今年第二活跃的黑客组织，仅次于LockBit。BlackFog 11月份的一份勒索软件报告显示，上个月BlackCat 和 LockBit 一样活跃。 BlackCat 背后的运营者似乎会说俄语，该公司于 2021 年底以勒索软件即服务的形式出现，提供高达90%的赎金，以吸引附属机构。据说，BlackCat 的许多开发人员和洗钱者都与现已不存在的 Darkside/BlackMatter 勒索软件有关。 ReliaQuest 表示，该勒索软件的泄密网站在关闭前列出了 650 多名受害者。受害者包括 Reddit、西部数据、瑞士体育、米高梅度假村和 NCR 等主要组织。前不久，BlackCat还勒索了台湾中国石化（BlackCat 声称攻击了台湾中国石化）。       Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

Hackernews 编译，转载请注明出处： 由国家资助的朝鲜黑客 Andariel 从韩国公司窃取了超过 1.2TB 的国防技术相关文件，并勒索了 35.6 万美元的赎金。 首尔警察厅发布的一份声明称，来自平壤的网络攻击者成功地从韩国的十几家公司窃取了大约 250 份与国防技术相关的文件，其中包括防空激光武器。一些受害者没有意识到这一漏洞，而另一些人则试图隐瞒这一漏洞。 韩国警方与联邦调查局(FBI)合作，揭露了 Andariel 的黑客行为。在调查过程中，办案人员追踪到了赎金通过洗钱流入朝鲜。 黑客从三名受害者那里勒索了价值约 4.7 亿韩元(约合 35.6 万美元)的比特币，以换取系统的恢复。在把钱转移到朝鲜之前，Andariel 黑客利用海外加密货币交易所和一位 A 女士的银行账户洗钱。超过四分之一的被盗比特币被送到了靠近朝鲜边境的一家银行。 韩国警方没收了 Andariel 在韩国使用的服务器，并搜查了嫌疑人的住所和设备。A女士是香港一家货币交易所的前雇员，她否认参与洗钱活动，称她提供账户只是“为了方便”。 朝鲜黑客利用一个本地 IP 地址进行攻击，导致一家国内服务器租赁公司向身份不明的客户提供服务。这使得在2022年12月至2023年3月期间，黑客使用该服务器至少83次得以躲避检测。 警方在查获服务器后，确认了国防企业、金融企业、研究机构、制药企业等被黑客攻击的事实，其中约 1.2TB 的文件被盗，其中可能包含重要的技术和资料，包括证书。 警方的报告中写道：“一些公司没有意识到损失，一些公司由于担心企业信任度下降而没有向警方报告损失。” 据《韩国时报》报道，一些被盗的关键数据包括防空激光技术。 Andariel 被认为是朝鲜最臭名昭著的网络犯罪组织 Lazarus 的一个分支。Andariel 至少从2009年开始活跃，主要针对韩国政府机构、军事组织和各种公司进行破坏性攻击。Andariel 参与了针对银行和加密货币交易所的网络金融行动。该团伙由朝鲜的主要情报机构侦察总局控制。 网络新闻已经报道，朝鲜支持的黑客在六年内窃取了 30 亿美元的加密货币。加密货币盗窃和赎金一直是该政权的主要收入来源，特别是为军事和武器计划提供资金。 美国联邦调查局今年早些时候表示，朝鲜据称拥有 6000 名黑客，并利用他们获取经济利益和情报。     Hackernews 编译，转载请注明出处 消息来源：cybernews，译者：Serene