日本游戏发行商万代南梦宫证实，它最近被黑客攻击，目前正在调查损失的范围。据Eurogamer报道，通过今天分享的一份新声明，这家著名的日本公司证实了本周早些时候网上开始流传的报道。 7月3日，未经授权的黑客行为侵入了亚洲地区的几个集团公司的内部系统。攻击发生后，出版商采取了阻止访问的措施，以防止损害的扩散，由于目前仍在调查其范围，损害仍是未知的。 你可以在下面找到万代南梦宫今天分享的声明全文： 2022年7月3日，万代南梦宫控股有限公司确认，该公司在亚洲地区（不包括日本）的几家集团公司的内部系统遇到了第三方未经授权的访问。 在我们确认了这一未经授权的访问后，我们已经采取了一些措施，如阻止对服务器的访问，以防止损失的扩大。此外，与亚洲地区（不包括日本）的玩具和爱好业务有关的客户信息有可能包括在服务器和个人电脑中，我们目前正在确定是否存在泄漏的情况，损害的范围，并调查其原因。 我们将继续调查这一事件的原因，并将酌情披露调查结果。我们还将与外部机构合作，加强整个集团的安全，并采取措施，防止再次发生。 我们对此次事件造成的任何复杂情况或担忧向所有相关人员表示最诚挚的歉意。 万代南梦宫只是最近一段时间被黑客攻击的众多视频游戏发行商之一。去年，《巫师》系列和《赛博朋克2077》的发行商CD Projekt Red也遭遇黑客入侵，但该发行商没有屈服于黑客的要求，这导致多个项目的源代码在网上被分享。 转自 cnbeta，原文链接：https://hot.cnbeta.com/articles/game/1291995.htm 封面来源于网络，如有侵权请联系删除

PFC（Professional Finance Company,Inc.）是一家总部位于美国科罗拉多州的债务催收公司，和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日，官方发布新闻稿承认过去数月持续遭到勒索软件，最早可以追溯到今年 2 月。 PFC 虽然在美国的知名度并不高，但它服务于数百家美国医院和医疗机构，因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。 PFC 表示本次数据泄漏将影响 650 家医疗提供商，黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。 在提交给美国卫生与公众服务部的文件中，PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露，位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏，在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。 包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop，但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问，但是回答都是公文化的，并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现，为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商，以及被窃取的数据是否经过加密。 转自 cnbeta，原文链接：https://www.cnbeta.com/articles/tech/1292183.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Qakbot恶意软件背后的黑客正在改变他们的传输载体，试图避开检测。 Zscaler Threatlabz的研究人员Tarun Dewan和Aditya Sharma说：“最近，黑客改变了他们的技术，通过使用ZIP文件扩展名、常见格式的文件名和Excel (XLM) 4.0欺骗受害者下载安装Qakbot的恶意附件来逃避检测。” 该组织采用的其他方法包括代码混淆、在攻击链中引入从初始泄露到执行的新层，以及使用多个URL和未知文件扩展名（例如 .OCX, .ooccxx, .dat, 或.gyp）来交付有效负载。 Qakbot也被称为QBot，QuackBot或Pinkslipbot，自2007年底以来一直是反复出现的威胁，从最初的银行木马发展到能够部署勒索软件等下一阶段有效载荷的模块化信息窃取者。 这款恶意软件从2022年初的XLM宏转向5月份的.LNK文件，这被视为试图反击Microsoft在2022年4月默认阻止Office宏的计划，该公司后来暂时收回了这一决定。 此外，进一步的修改还包括使用PowerShell下载DLL恶意软件，以及从regsvr32.exe切换到rundlll32.exe来加载有效载荷，研究人员称这是“Qakbot进化以逃避更新的安全实践和防御的明显迹象”。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

微软表示，从2021年9月开始，已经有超过10,000个组织受到网络钓鱼攻击，攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏（BEC）攻击。攻击者使用登陆页面欺骗Office在线认证页面，从而绕过多因素认证（MFA），实现劫持Office 365认证的目的。 在这些钓鱼攻击中，潜在的受害者会收到一封使用HTML附件的钓鱼邮件，当目标点击时会被重定向到登陆页面，而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后，这些攻击者会登录受害者的电子邮件账户，并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露（BRC）活动。 Microsoft 365 Defender 研究团队和微软威胁情报中心（MSTIC）针对这一系列的钓鱼活动称：“该网络钓鱼活动使用中间人（AiTM）钓鱼网站窃取密码，劫持用户的登录会话，并跳过认证过程，即使用户已启用多因素认证（MFA）也难以防护。然后攻击者会利用窃取的凭证和会话cookies访问受影响用户的邮箱，并对其他目标进行后续的商业电子邮件破坏（BEC）活动。” 在这次大规模的网络钓鱼活动可以在几个开源网络钓鱼工具包的帮助下实现自动化，包括广泛使用的Evilginx2、Modlishka和Muraena。 该活动中使用的钓鱼网站作为反向代理，托管在网络服务器上，目的是通过两个独立的传输层安全（TLS）会话将目标的认证请求代理给他们试图登录的合法网站。 利用这种战术，攻击者的钓鱼页面充当中间人，拦截认证过程，然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。在攻击者得到目标的会话Cookie后，他们将其注入自己的网络浏览器，这使得他们可以规避MFA，实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露（BRC）活动中使用他们窃取的访问权限。 为了防御此类攻击，微软仍然建议用户使用 MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0。微软还建议用户监测可疑的登录尝试和邮箱活动，以及采取有条件的访问策略，以阻止攻击者试图使用来自不合规设备或不可信任的IP地址的被盗会话Cookies。 在微软的相关报告中指出虽然AiTM网络钓鱼试图规避MFA，但重要的是要强调MFA的实施仍然是身份安全的一个重要支柱，MFA在阻止各种威胁方面仍然非常有效，其有效性是AiTM网络钓鱼首先出现的原因。 转自 freebuf，原文链接：https://www.freebuf.com/news/339014.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 欧洲央行行长Christine Lagarde遭到了一次未遂的网络攻击。 欧洲央行透露，黑客攻击是最近发生的，但好消息是，欧洲央行的专家能够发现并阻止它。 总部位于法兰克福、负责19个欧元区国家的央行在回复《商业内幕》一篇报道询问的电子邮件中表示：“这一尝试是‘最近’进行的。”该行补充称，“很快就被发现并叫停了”，但在调查中没有更多可说的。 据《商业内幕》报道，黑客试图通过从德国前总理Angela Merkel的手机号码向她发送短信来入侵Lagarde的移动设备。发送给欧洲央行的消息告诉Lagarde，Merkel希望通过WhatsApp与她沟通，因为WhatsApp更安全。 此次攻击之所以失败，是因为Lagarde对这条消息持怀疑态度，并通过电话联系了Merkel。黑客有兴趣接管各种消息服务（包括WhatsApp）上各种知名人士的账户。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： GitHub Actions和Azure虚拟机正被用于基于云的加密货币挖掘，这表明黑客一直试图将云资源用于非法目的。 趋势科技研究人员Magno Logan在上周的一份报告中表示:“攻击者可以滥用GitHub提供的运行器或服务器来运行组织的管道和自动化，通过恶意下载和安装自己的加密货币矿工轻松获利。” GitHub Actions是一个持续集成和持续交付平台，允许用户自动化软件构建、测试和部署管道。开发人员可以利用该功能创建工作流，以构建和测试代码存储库的每个拉取请求，或将合并的拉取请求部署到生产环境。 这家日本公司表示，它发现了1000多个存储库和550多个代码样本，它们正在利用GitHub提供的运行器挖掘加密货币。Microsoft 拥有的代码托管服务已收到该问题的通知。 此外，在11个存储库中发现了类似的YAML脚本变体，其中包含挖掘Monero硬币的命令，所有这些命令都指向同一个钱包，这表明它要么是单个黑客的行为，要么是一个协同工作的团队。 众所周知，面向加密劫持的团体通过利用目标系统内的安全漏洞（例如未修补的漏洞、弱凭据或配置错误的云实现）渗透到云部署中。 非法加密货币开采领域的一些重要参与者包括8220，Keksec（又名Kek Security），Kinsing，Outlaw和TeamTNT。 该恶意软件工具集的另一个特点是使用kill脚本终止和删除竞争的加密货币矿工，以最好地利用云系统为自己谋利，趋势科技称这是一场“为控制受害者资源而战”的战斗。 也就是说，加密矿工的部署，除了产生基础设施和能源成本外，也是安全卫生状况不佳的晴雨表，使黑客能够将通过云错误配置获得的初始访问武器化，以实现更具破坏性的目标，如数据泄露或勒索软件。 争夺并保留对受害者服务器的控制权是这些团体工具和技术发展的主要驱动力，促使他们不断提高从受损系统中删除竞争对手的能力，同时抵制他们的攻击。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 法国虚拟移动电话运营商La Poste mobile受到勒索软件攻击，影响了行政和管理服务。 该公司指出，黑客可能已经访问了其客户数据，因此建议他们保持警惕。并且该公司强调了身份盗用或网络钓鱼攻击的风险，以防数据泄露。 “La Poste Mobile的行政和管理服务于7月4日（星期一）成为恶意勒索软件型病毒的受害者。我们一知悉此事件，便立即采取了必要的保护措施，暂停了相关的计算机系统。这一保护行动使得我们暂时关闭了网站和客户区，”该公司在其网站上发表的一份声明中写道，并且该网站目前仍处于关闭状态。“我们的IT团队目前正在诊断这一情况。初步分析表明，我们的服务器对您的移动电话线路的运行至关重要，目前已经得到了很好的保护。另一方面，La Poste mobile员工电脑中的文件可能受到了影响。其中一些文件可能包含个人数据。” 从周四到周五，Lockbit勒索软件在其泄露网站上添加了La Poste Mobile的名字。 该团伙自2019年以来一直很活跃，如今是最活跃的勒索团伙之一。最近，Lockbit勒索软件发布了LockBit 3.0，其中有一些重要的新功能，例如漏洞奖励计划、Zcash支付和新的勒索策略。 最近归咎于该组织的事件包括对富士康工厂，加拿大战斗机训练公司和热门德国图书馆服务的攻击事件。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

Hackernews 编译，转载请注明出处： 网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁，称为OrBit，这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。 根据网络安全公司Intezer的说法，该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。 “它既可以安装持久性功能，也可以作为挥发性植入物，”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术，并通过hook关键功能在机器上获得持久性，通过SSH为黑客提供远程访问能力，获取凭据并记录TTY命令。” 该恶意软件的功能与Symbiote非常相似，因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同，OrBit采用两种不同的方法。 “第一种方法是将共享对象添加到加载程序使用的配置文件中，”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象。” 攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始，并将其添加到动态链接器加载的共享库中。 流氓共享库被设计为 hook三个库（libc，libcap和Pugable Authentication Module（PAM））中的函数，导致现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动，并通过SSH设置对主机的远程访问，同时一直保持在雷达之下。 此外，OrBit依赖于一连串的方法，使其能够在不通知其存在的情况下运行，并以一种难以从受感染的计算机中删除的方式建立持久性。 一旦启动，这个后门程序的最终目标是通过hook读写函数来窃取信息，从而捕获机器上执行的进程正在写入的数据，包括bash和sh命令，这些命令的结果存储在特定的文件中。 针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下，现在OrBit是新恶意软件如何规避和持久化的又一个例子。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处：   OpenSSL于1998年首次发布，是一个通用加密库，它提供了安全套接字层和传输层安全协议的开源实现，使用户能够生成私钥，创建证书签名请求，安装SSL/TLS证书。 OpenSSL项目的维护者已经发布了补丁，以解决加密库中的一个严重错误，该错误可能在某些场景下导致远程代码执行。 该问题现在被分配为漏洞编号CVE-2022-2274，并被描述为在2022年6月21日发布的OpenSSL 3.0.4版本中引入的RSA私钥操作导致堆内存损坏的情况。 维护者称其为“RSA实现中的严重漏洞”，称该漏洞可能导致计算过程中的内存损坏，攻击者可能将其武器化，以触发执行计算的机器上的远程代码执行。 西安电子科技大学博士生Xi Ruoyao于2022年6月22日向OpenSSL报告了该漏洞。建议该库的用户升级到OpenSSL版本3.0.5，以减轻任何潜在的威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： CloudSEK研究人员发现了一场大规模的网络钓鱼活动，其中黑客假冒阿联酋政府人力资源部。 通过该公司的人工智能(AI)数字风险监测平台XVigil，新的威胁将针对金融、旅游、医院、法律、油气和咨询行业的各种政府和企业实体。 安全专家的调查表明，这是一场大规模的网络钓鱼活动，主要针对个人求职者和企业，并使他们面临419和BEC诈骗。 据安全专家称，上述网络钓鱼项目还可能被其他黑客团体利用，以特定用户为目标，窃取他们的密码、文件、加密钱包和其他敏感信息。 CloudSEK表示，为了减轻这些攻击的影响，公司和个人应该避免从未知来源下载可疑文件或点击可疑链接。 此外，该公司还表示，应该启用文件扩展名的可见性(在Windows系统上)，以便在下载未知扩展名的文件之前发现它们。 最后，CloudSEK得出结论，多因素认证(MFA)和使用最新的杀毒软件和异常检测工具也有助于减少这些高级网络钓鱼诈骗的影响。 消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文