据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。 大江生医股份有限公司是中国台湾地区的企业，全球500强上市公司，成立于1980年，是一家生物整合设计公司，集团下设有四大生产中心，分别坐落在中国台湾、中国上海，以及美国、日本。目前有大江生医、上海百岳特、大江生活、光腾新药、和康生技、沛富生技等多家子公司。 此次暗网雷达监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。 黑客先于11月14日在暗网公开了该集团的部分数据，约 1.3GB，随后又发布了全部 236.3GB 的文件数据。 大江生医集团暂未对此数据泄露事件发表公开声明。       Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

Hackernews 编译，转载请注明出处： 继Sandworm 和 APT28(俗称 Fancy Bear)之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。 APT29 组织以不同的名称被追踪，包括：UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm，并以出售宝马汽车为诱饵瞄准大使馆。 CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作 .rar 和 .zip 文件，这些文件可以在攻击者的后台代码中执行。 自4月以来，该漏洞已被攻击者作为零日漏洞利用，目标是加密货币和股票交易论坛。 在本周的一份报告中，乌克兰国家安全和国防委员会(NDSC)表示，APT29 一直在使用恶意 ZIP 存档，在后台运行脚本来显示 PDF 诱惑，并下载并执行有效载荷的 PowerShell 代码。 恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，目标是欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。 来自 APT29 的宝马汽车广告带有 WinRAR 漏洞 APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官，该活动通过 HTML 走私技术提供 ISO 有效载荷。 乌克兰NDSC表示，在这些攻击中，APT29 将旧的网络钓鱼策略与一种新颖的技术相结合，以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。 在这种策略中，他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务，通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法，攻击者设法隐藏他们的活动并与受损系统通信，而不会有被检测到的风险。 自从网络安全公司 Group-IB 的研究人员报告称，WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后，高级威胁参与者开始将其纳入攻击中。 ESET的安全研究人员发现，今年8月，俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体发起了攻击。 俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体 乌克兰 NDSC 表示，观察到的来自 APT29 的活动之所以突出，是因为它混合了新旧技术，例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。 这份来自乌克兰机构的报告提供了一组入侵指标，包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值，以及域名和电子邮件地址。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 谷歌的研究人员发现，黑客利用 Zimbra 电子邮件产品的一个漏洞，攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。 谷歌的威胁分析团队在 6 月份首次发现了这个漏洞，编号为 CVE-2023-37580。从 6 月开始，四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration，这是一个许多组织用来托管电子邮件的电子邮件服务器。 该漏洞是一个跨站点脚本(XSS)漏洞，允许黑客向受害者网站注入恶意脚本。 黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序，并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。 谷歌表示，针对希腊政府机构的攻击发生在 6 月 29 日，而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。 在官方补丁发布之前，谷歌观察到有三个威胁组织利用了这个漏洞，其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。 “在官方补丁发布后，我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的，这强调了组织尽快应用修复程序的重要性。” 对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮，黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。 第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为，该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月，该组织被发现利用了一个零日漏洞，影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中，电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。 第三次攻击是针对越南的一个政府组织，黑客试图通过网络钓鱼获取用户凭证。谷歌表示：“在这种情况下，利用 url 指向一个脚本，该脚本显示了一个钓鱼页面，要求用户的 webmail 凭证，并将窃取的凭证发布到一个托管在官方政府域名上的 url 上，攻击者可能会破坏这个域名。” 第四次攻击是针对巴基斯坦的一个政府组织，黑客试图窃取Zimbra认证令牌。 谷歌表示，这些黑客攻击是攻击者如何监控开源存储库的例子，这些存储库发布了漏洞修复程序，但尚未向用户发布。 研究人员补充说，这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后，第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。 他们表示：“邮件服务器中经常出现的跨站攻击漏洞也表明，需要对这些应用程序进行进一步的代码审计，尤其是针对跨站攻击漏洞。” “我们敦促用户和组织迅速应用补丁，并保持软件的最新状态，以获得全面的保护。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： 三星电子通知部分客户，他们的个人信息被泄露给了未经授权的个人。 该公司表示，网络攻击仅影响了2019年7月1日至2020年6月30日期间在三星英国在线商店购物的客户。 黑客利用第三方应用程序中的漏洞 两天前，也就是11月13日，三星发现了数据泄露事件，并确定这是黑客利用该公司使用的第三方应用程序的漏洞造成的。 目前还没有提供有关攻击中利用的安全问题，或使攻击者能够访问三星客户个人信息的易受攻击应用程序的细节。 三星向客户发出的通知称，泄露的数据可能包括姓名、电话号码、邮政和电子邮件地址。该公司强调，凭证或财务信息不会受到此次事件的影响。 三星通知英国商店的客户数据泄露 三星的一位发言人说，该公司最近收到了网络安全事件的警报，该事件仅限于英国地区，并不影响美国客户、员工或零售商的数据。 “我们最近收到了一起网络安全事件的警报，导致一些三星英国电子商店客户的某些联系信息被非法获取。没有财务数据，如银行或信用卡详细信息或客户密码受到影响。该事件仅限于英国，不会影响美国客户、员工或零售商的数据。” 该发言人表示，该公司已采取一切必要措施解决安全问题，并补充说，该事件也已报告给英国信息专员办公室。 这是三星在两年内遭遇的第三次数据泄露。前一次在2023年7月下旬——8月4日被发现，当时黑客访问并窃取了三星客户的姓名、联系方式、人口统计信息、出生日期和产品注册数据。 2023年3月，勒索组织Lapsus$入侵了三星网络，窃取了机密信息，包括Galaxy智能手机的源代码。 三星证实，在Lapsus$泄露了约190GB的存档文件以及内容描述后，“某些内部数据”落入了未经授权的一方手中。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 根据路透社消息，Lockbit 勒索软件团伙本周一在一份声明中称中国工商银行已支付了赎金。路透社无法独立证实该声明的真实性。 工行美国分支机构 11 月 9 日受到勒索软件攻击（中国工商银行美国子公司遭 LockBit 勒索软件攻击），导致美国国债市场交易中断。工行没有立即回应置评请求。 “他们支付了赎金，交易已完成，”Lockbit 的代表通过在线消息应用程序 Tox 告诉路透社。 工商银行美国经纪自营商的停牌使其暂时欠下纽约梅隆银行 90 亿美元的债务，这一数额是其净资本的数倍。 据路透社报道，这次黑客攻击的范围如此之广，以至于该公司的公司电子邮件都停止了运行，迫使员工改用谷歌邮件。 勒索软件攻击发生之际，正值人们对 26 万亿美元美国国债市场的弹性担忧加剧，美国国债市场对全球金融管道至关重要，可能会受到监管机构的密切关注。对此，美国财政部发言人周一没有立即发表评论。 金融行业网络安全组织金融服务信息共享和分析中心说，金融公司有完善的协议来共享此类事件的信息。一位发言人在一份声明中表示：“我们提醒会员保持所有保护措施的最新状态，并立即修补关键漏洞。”他补充说：“勒索软件仍然是金融业面临的最大威胁载体之一。” 为什么支付? 最近几个月，Lockbit 入侵了世界上一些最大的组织，在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。 据美国官员称，在短短三年内，它已成为世界上最大的勒索软件威胁。 而美国遭受到了最广泛的打击，从金融服务、食品到学校、交通和政府部门，1700 多家美国组织都受到了影响，几乎涉及每个行业。 长期以来，官方一直建议不要向勒索软件团伙支付赎金，以打破犯罪分子的商业模式。赎金通常被要求以加密货币的形式支付，这种形式更难追踪，并且接收者为匿名。 一些公司已经悄悄支付了赎金，以求迅速恢复运营，避免敏感数据被公开泄露对公司声誉造成损害。如果受害者没有数字备份，必须使用解密密钥才能恢复系统，他们有时别无选择，只能付费。 上周，Lockbit 团伙公布了航空巨头波音公司的内部数据（勒索不成！LockBit 泄露 43GB 波音公司数据）。并在其网站上表示，他们已经感染了安理律师事务所的计算机系统。 另外值得注意的是，Lockbit 团伙对中国工商银行、DP World、Allen & Overy 和波音等多家公司的攻击，其共同点都是利用 Citrix Bleed (CVE-2023-4966) 的公开漏洞，以破坏大型组织的系统、窃取数据和加密文件。 尽管 Citrix 在一个多月前就修复了 CVE-2023-4966，但数千个暴露在互联网上的端点仍在运行易受攻击的设备。     Hackernews 编译，转载请注明出处 消息来源：Reuters，译者：Serene

Hackernews 编译，转载请注明出处： FBI 和 CISA 在一份联合报告中透露，自 2022 年 9 月以来，Royal 勒索软件团伙已经入侵了全球至少 350 个组织的网络。 在 3 月份发布的原始报告的更新中，这两家机构还指出，勒索软件行动与超过 2.75 亿美元的赎金要求有关。更新中包含了联邦调查局调查期间发现的额外信息。 报告中写道：“自 2022 年 9 月以来，Royal 已经在全球范围内锁定了 350 多名已知受害者，勒索软件的需求超过了 2.75 亿美元。” “Royal 在加密之前进行数据泄露和勒索，然后在没有支付赎金的情况下将受害者的数据发布到泄露网站。网络钓鱼邮件是 Royal 团伙最初访问的最成功的媒介之一。” 今年 3 月，FBI 和 CISA 首次共享了入侵指标和战术、技术和程序(TTPs)清单，以帮助防御者检测和阻止在其网络上部署皇家勒索软件有效载荷的企图。 美国卫生与公众服务部(HHS)安全团队于 2022 年 12 月透露，勒索软件是针对美国医疗机构的多起攻击的幕后黑手，随后发布了这份联合咨询。 从 Royal 到 BlackSuit? 最新的咨询报告还指出，Royal 可能会计划一个品牌重塑计划和/或衍生版本，BlackSuit 勒索软件将展示与 Royal 共享的几个编码特征。 BleepingComputer 在 6 月份报道称，Royal 勒索软件团伙一直在测试一种新的 BlackSuit 加密器，它与该组织常用的加密器有许多相似之处。 虽然人们认为，自 5 月份 BlackSuit 勒索软件行动浮出水面以来，Royal 勒索软件行动将会重塑，但实际上从未发生过。Royal 仍在积极利用 BlackSuit 对企业组织进行有限的攻击。 由于 BlackSuit 是一个独立的行动，Royal 可能计划成立一个专注于某些类型受害者的组织，因为一旦发现两个加密器之间的相似性，重新命名就不再有意义了。 “我相信我们很快就会看到更多类似 BlackSuit 的东西。但到目前为止，似乎新的载入程序和新的 Blacksuit 加密器都是失败的，”RedSense 的合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer。 与 Conti 网络犯罪团伙的联系 Royal 勒索软件是由技术高超黑客组成的一个私人组织，他们曾与臭名昭著的 Conti 网络犯罪团伙合作。 尽管在2022年1月首次被发现，但自同年9月以来，他们的恶意活动强度才有所增加。 虽然他们最初使用的是来自 ALPHV/BlackCat 等其他行动的勒索软件加密器，可能是为了避免引起注意，但该团伙后来转向部署自己的工具。 虽然他们的第一个加密器 Zeon 放弃了让人想起 Conti 生成的勒索信，但他们在2022年9月中旬进行了品牌重塑后改用了 Royal 加密器。最近，该恶意软件已经升级到在针对 VMware ESXi 虚拟机的攻击中加密 Linux 设备。 尽管他们通常通过可公开访问设备的安全漏洞渗透目标网络，但 Royal 运营商也以回调网络钓鱼攻击而闻名。 在这些攻击中，当目标拨打嵌入在电子邮件中的电话号码时，攻击者巧妙地伪装成订阅续订，利用社会工程策略诱骗受害者安装远程访问软件，授予他们访问目标网络的权限。 Royal 攻击者的手法包括对目标的企业系统进行加密，并要求每次攻击的赎金从25万美元到数千万美元不等。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： LockBit 勒索软件团伙公布了从波音公司窃取的数据，波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。在泄露之前，LockBit 黑客表示，波音公司无视有关数据将被公开的警告，并威胁要公布约 4GB 的最新文件样本。 在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。 LockBit 网站上列出的大多数数据都是不同系统的备份，其中最近的时间戳是10月22日。 该勒索软件于10月27日在其网站上发布了波音公司的信息，并要求波音公司在11月2日的最后期限前与他们联系并进行谈判。 黑客当时表示，他们已经窃取了“大量敏感数据”，并准备公布这些数据。 波音在 LockBit 数据泄露网站的页面 波音公司从 LockBit 的受害者名单上消失了一段时间，但在11月7日再次被列入名单，当时黑客宣布他们的警告被忽视了。LockBit 勒索软件团伙决定表明他们有讨价还价的筹码，并威胁要公布“大约 4GB 的样本数据”。 黑客还威胁说，“如果我们看不到波音公司的积极合作”，他们将公布这些数据库。 LockBit 勒索软件威胁波音公司泄露被盗文件 11月10日，LockBit 在他们的网站上公布了他们从波音公司获得的所有数据。这些文件包括 IT 管理软件的配置备份，以及监控和审计工具的日志。 Citrix 设备的备份也被列出，这引发了人们对 LockBit 勒索软件使用最近披露的 Citrix Bleed 漏洞(CVE-2023-4966)的猜测，该漏洞的概念验证漏洞代码已于10月24日公布。 虽然波音公司证实了网络攻击，但该公司没有提供有关该事件的任何细节，也没有提供黑客是如何侵入其网络的。 LockBit 勒索软件已经活跃了四年多，在各个行业造成了数千名受害者。受害者包括大陆汽车巨头、英国皇家邮政、意大利国税局和奥克兰市。 美国政府 6 月表示，自 2020 年以来，该团伙对美国各组织进行了近1700次攻击，勒索了约 9100 万美元。 不仅如此，今年8月西班牙国家警察警告称，一场针对该国建筑公司的网络钓鱼活动，目的是用 LockBit 的 locker 恶意软件对系统进行加密。 而上周，LockBit 确认对中国工商银行美国子公司的勒索攻击负责 >>>中国工商银行美国子公司遭 LockBit 勒索软件攻击       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 世界上最大的银行之一正在处理勒索软件攻击。 英国《金融时报》报道称，中国最大的国有银行中国工商银行(ICBC)本周遭到勒索软件攻击。 据报道，代表证券公司、银行和资产管理公司的行业组织证券业和金融市场协会(Securities Industry and Financial Markets Association)在美国国债市场的某些交易无法结算后，向其成员发出了有关这一事件的信息。 中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布声明称，美东时间11月8日，ICBCFS遭勒索软件攻击，导致部分系统中断。 ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，已展开彻底调查并向执法部门报告，正在专业信息安全专家团队的支持下推进恢复工作。ICBCFS称，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。 声明称，中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。 消息人士告诉英国《金融时报》，此次攻击的幕后黑手是 LockBit 勒索软件团伙。整个 2023 年，该组织对政府、公司和组织进行了几次大规模攻击，远远超过了目前任何其他勒索软件团伙。 网络安全专家 Kevin Beaumont 分享了一份 Shodan 搜索报告，显示中国工商银行有一个 Citrix Netscaler 盒子没有打 CVE-2023-4966 的补丁，专家称这个漏洞为“CitrixBleed”，影响 Netscaler ADC 和 Netscaler 网关设备。这些产品被公司用来管理网络流量。 Beaumont 说，这个盒子目前已下线，但他指出，勒索软件团伙正在利用这个问题，因为它“允许完全、轻松地绕过所有形式的身份验证”。他补充说，超过 5000 家组织尚未修补该漏洞。 Beaumont 解释说:“它就像你在组织内部的指向和点击一样简单——它为攻击者提供了一个完全交互式的远程桌面PC。” Halcyon 首席执行官 Jon Miller 表示，针对中国工商银行的所谓攻击“有可能对全球金融市场产生严重影响，因为美国国债是全球银行和金融体系的核心。” 他说:“金融、制造业、医疗保健和能源等关键基础设施提供商仍然是勒索软件运营商的首要目标，因为迅速解决攻击并恢复运营的压力增加了受害组织支付赎金要求的可能性。” 据《财富》杂志报道，按收入计算，工商银行是中国最大的银行，也是全球最大的商业银行，2022年的收入为2147亿美元，利润为535亿美元。它拥有1070万企业客户和7.2亿个人客户。除了在国内拥有1.7万家分行外，工商银行还在41个国家设有分行，其中包括美国东西海岸的13家分行。       Hackernews 编译，转载请注明出处 消息来源：TheRecord、bleepingcomputer、每日经济新闻，译者：Serene

Hackernews 编译，转载请注明出处： 制造业巨头日本航空电子公司(Japan Aviation Electronics)证实，其系统正面临网络攻击，迫使该公司关闭其网站。 本周一晚，这家电子产品和航空航天产品制造商用一条静态消息取代了其网站，称其部分服务器上周四被黑客入侵。 该公司表示：“我们目前正在调查受影响情况，并恢复运营，但一些系统已经暂停，收发电子邮件出现了一些延迟。”该公司的收入超过10亿美元。 “到目前为止，没有确认信息泄露。对于给客户和其他相关方造成的不便，我们深表歉意。一旦我们通过进一步调查发现任何新情况，我们将立即通知您。” 该公司的网站只有一个页面，发表了相关声明： 日本航空电子公司网站截图 本周一，日本航空电子公司被添加到 AlphV/Black Cat 勒索软件团伙的泄露站点中，但该公司尚未证实是否正在应对勒索软件攻击。 最近几个月发生了一系列针对日本大型公司的攻击事件。 制表商精工、卡西欧、拉链巨头YKK、制药公司卫材和日本最大的贸易港今年都遭遇了网络攻击或勒索软件事件。苏黎世和Aflac保险公司的数百万日本客户在1月份的一次数据泄露事件中受到影响。       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： 新加坡滨海湾金沙集团表示，66.5万名客户的数据在网络攻击中被盗。 上个月，针对新加坡滨海湾金沙赌场和酒店的网络攻击导致66.5万名客户的数据被盗。 这个庞大的综合体位于新加坡滨海湾海滨，拥有2200间客房的酒店，旁边是亚洲最大的赌场之一。 该公司在周二的公开通知中表示，黑客前一天侵入他们的系统，他们在10月20日意识到数据安全事件。黑客获取了客户忠诚度计划的会员数据。 “发现这一事件后，我们团队立即采取行动解决问题，”他们说。“根据我们的调查，到目前为止，我们没有证据表明未经授权的第三方滥用数据对客户造成伤害。我们不认为赌场奖励计划金沙奖赏俱乐部的会员数据受到影响。” 该公司正在与一家网络安全公司合作解决这个问题，并表示被盗的数据包括姓名、电子邮件地址、电话号码、居住国、会员号码等。 公司将与受影响的客户联系。这起事件已报告给新加坡和其他国家的当局。 在滨海湾金沙遭到攻击之前，位于拉斯维加斯的米高梅度假村和凯撒娱乐公司——全球最大的两家酒店和赌场公司——也遭到了勒索软件的攻击。 上个月，美高梅度假村表示，由于酒店系统受损以及客户数据被盗，勒索软件攻击将给他们造成约1亿美元的损失。 Semperis首席技术专家Sean Deuby与酒店公司合作处理网络安全问题，他表示，对滨海湾金沙、米高梅和凯撒的攻击“让整个酒店和赌场行业处于紧张状态”。 他说：“在最近的这起数据泄露事件中，令人欣慰的是，黑客似乎并没有带走社会安全号码和信用卡数据等个人身份信息。” “然而，通过窃取滨海湾金沙集团忠诚客户的其他个人信息，如电子邮件地址和手机号码，攻击者很有可能在未来几周内进行其他基于社会工程学的攻击和网络钓鱼骗局，或者将这些数据出售给暗网上出价最高的人。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene