近日，乌克兰国防部情报总局（GUR）声称入侵了俄罗斯国防部（Minoborony）的内部服务器，并成功窃取大量敏感文件。 乌克兰某政府网站上发布了一份新闻稿，将此次网络攻击事件定性为 GUR 网络专家实施的“特别行动”。GUR 表示，通过本次网络入侵行动，乌方获取了包含俄罗斯特工详细信息在内的大量敏感文件。主要包括如下内容： 俄罗斯国防部用于保护和加密数据的软件； 俄罗斯国防部的一系列特勤文件，包括命令、报告、指令和各种其他文件，在国防部 2000 多个结构单位中分发； 允许建立 Minoborony 系统及其链接的完整结构的信息； 属于俄罗斯国防部副部长蒂穆尔·瓦迪莫维奇·伊万诺夫的文件； 此外，GUR 还发布了四张显示数据库查询结果、日志文件和概述官方程序/指南的文件的截图，作为其成功发动网络入侵的证据。 乌克兰网军多次攻击俄罗斯政府部门 2023 年 11 月，乌克兰国防部下属情报部门团队成员成功侵入了俄罗斯联邦航空运输署（Rosaviatsia），揭露了所谓的俄罗斯航空业“崩溃”事件。据悉，Rosaviatsia 主要职责是监督俄罗斯民航业，负责记录飞行或紧急事件。 从乌克兰方面发布的公告来看，乌国防部下属情报部的工作人员侵入了俄罗斯 Rosaviatsia  机构，窃取了大量文件，可以确定俄罗斯航空部门因为西方国家对备件和软件更新的制裁，导致无法正常修理飞机而遭受损失。 值得注意的是，此次网络攻击事件是首次有国家公开承认的国家级黑客攻击行为，乌克兰政府将其描述为 “网络空间的复杂特殊行动”。乌克兰方面在本次网络攻击相关的公告中表示，通过黑客攻击和渗透敌方（俄罗斯）信息系统，获得了大量的数据，其中主要包括俄罗斯联邦国家航空安全局一年半多以来的报告清单。 一个月后，乌克兰政府军事情报部门又宣称成功入侵了俄罗斯联邦税务局（FNS），并清除了该机构的数据库和备份副本。 从后续乌克兰方面透露的信息来看，本次网络入侵行动由乌克兰国防情报局的网络军事部门策划实施，入侵了俄罗斯联邦税务局的中央服务器以及乌克兰被占领土上的 2300 个地区服务器，导致所有受损的 FTS 服务器都感染了恶意软件，俄罗斯税收系统中重要的配置文件被完全删除，主数据库及其备份文件被清除，一家为 FNS 提供数据中心服务的俄罗斯 IT 公司也遭到疯狂的网络攻击。 乌克兰情报总局（GUR）指出，此次网络攻击活动造成了严重影响，导致莫斯科中央办公室与 2300 个领土部门之间的通信中断，这些部门也在此次攻击中遭到重创，与税收相关的数据大量丢失，俄罗斯各地与税收数据相关的互联网流量落入乌克兰军事情报人员之手。 尽管俄罗斯正在努力尝试恢复 FNS（联邦税务局）服务，但目前仍未成功，GUR 方面估计俄罗斯税务系统瘫痪将持续至少一个月，完全恢复几乎不可能。GUR 还指出此次网络攻击的成功进行意味着俄罗斯主要国家机构之一的基础设施和大量相关税收数据将在很长一段时间内遭到彻底破坏。   转自Freebuf，原文链接：https://www.freebuf.com/news/393297.html 封面来源于网络，如有侵权请联系删除

一个名为 SPIKEDWINE 的未知黑客组织正在针对印度外交使团所在的多个欧洲国家的大使发动攻击。为了实现他们的目标，攻击者使用了新的恶意后门 – WINELOADER。 根据Zscaler ThreatLabz的报告，黑客组织通过向外交使团员工发送PDF文件进行攻击，文件声称是印度大使发出的邀请函，邀请他们参加定于2024年2月2日举行的品酒会。 其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源，可能与SPIKEDWINE黑客组织攻击有关。然而，有迹象表明该活动可能最早始于2023年7月6日。另外，来自同一国家的其他类似PDF文档的发现也支持了这一推断。 安全研究人员Sudeep Singh和Roy Tay指出：“此次攻击规模较小，且在恶意软件及其命令和控制基础设施中采用了先进的方法、技术和程序”。 该PDF文件包含伪装成调查问卷的恶意链接，要求收件人填写表格以参加活动。点击链接会下载一个带有模糊JavaScript代码的HTML应用程序（”wine.hta”）。该应用程序旨在接收加密ZIP存档，其中包含来自同一域的WINELOADER恶意软件。 WINELOADER的核心功能包括从命令和控制服务器下载附加元素的模块，并将第三方DLL嵌入其中，以减少请求之间的时间间隔。 这些网络攻击的显著特征之一是使用被黑客入侵的网站作为命令和控制服务器，并托管恶意软件。据推测，命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求，从而使得攻击更加隐蔽且更难以检测。 正如研究人员指出的那样，黑客付出了巨大的努力来掩盖他们的踪迹，尤其是避免了可能引起内存分析系统和自动URL扫描注意的活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/293599 封面来源于网络，如有侵权请联系删除

FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。 APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。 它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。 联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。” “此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。” 本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。 在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。 APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。 他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。 两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。 如何“恢复”被劫持的 Ubiquiti EdgeRouters FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器： 执行硬件出厂重置以清除恶意文件的文件系统 升级到最新固件版本 更改任何默认用户名和密码 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。 FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。 美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。 正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/99dkf6duob2ii3Lfl170Zw 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Cactus勒索软件团伙声称他们在上个月成功入侵了施耐德电气的网络，并窃取了约1.5TB的数据。 据称，他们于1月17日获取了施耐德电气可持续发展业务部门的访问权限。 近期，暗网上公布了25MB 的被盗数据，其中包括几名美国公民护照和保密协议文件的扫描件，作为黑客所声称的证据。该团伙目前正在勒索该公司，并威胁称，如果不支付赎金，就会泄露所有被盗的数据。 鉴于此，推测从其受损系统中窃取的数据可能涵盖了客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。 目前尚不清楚具体被盗的数据内容，但施耐德电气服务众多知名公司，包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等，在全球拥有超过 150,000 名员工。2013年收入为285亿美元。此前曾遭受Clop勒索软件MOVEit数据盗窃攻击，影响了2700多个组织。 Cactus 泄露网站信息截图 Cactus勒索软件是于2023年3月出现，具有双重勒索攻击特征。其运营商利用购买的凭据、与各种恶意软件分发者的合作、网络钓鱼攻击或利用安全漏洞来渗透企业网络。 一旦获得对目标网络的访问权限，他们会在受感染的网络中横向移动，同时窃取敏感数据以用作赎金谈判的筹码。 自出现以来，Cactus勒索软件已将100多家公司添加到其数据泄露站点。威胁行为者称将要在网上泄露部分数据，同时仍在谈判赎金。   消息来源：bleeping computer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

目前，微软正在将 Linux 的 “sudo “功能引入 Windows Server 2025，为管理员提升控制台应用程序的权限提供了一种新方法。 超级用户（Superuser do，简称sudo）是一种 Linux 控制台程序，允许低权限用户以提升的权限执行命令。通过Sudo，服务器可以在低权限账户下正常使用，这提高了 Linux 的安全性。 以下是一个使用 sudo 命令的示例，我们先以低权限用户身份运行 “whoami”，然后使用 sudo 运行它。 请注意，whoami 命令显示是以 bleeping 用户身份运行的。当使用 sudo 执行 whoami 命令时，试验账户的权限会提升到 root。 使用 whoami 演示 sudo 命令 在 Windows Server 2025 中测试 sudo 微软上周发布了首个 Windows Server 2025 Insider 预览版。不久后，网上又泄露出一个更新的版本。 据 Windows Latest 报道，泄露的版本包含一些正在开发的新功能，其中包括 Windows “sudo “命令的新设置。 Windows Server 2025 预览版中的新 sudo 设置 这些设置只有在启用开发者模式后才可用，而且 sudo 命令目前还不能从命令行运行，这表明它还处于开发初期。 不过，sudo 设置提供了该命令将如何运行的一些线索，包括 “在新窗口中”、”禁用输入 “和 “内联 “运行 sudo 应用程序的功能。Windows 已经提供了使用 UAC 提示自动提升程序权限的功能，可让程序在窗口中以提升的权限运行。 某些管理工具（如 bcdedit 和 reagentc）需要管理员身份才能运行这些命令。在这种情况下，sudo 命令将允许程序根据其 Windows 设置运行，如在新窗口、当前窗口中内嵌运行，或使用禁用输入设置在非交互式 shell 中运行。 Windows 11 中目前还没有这个功能，但微软未来也或许会在该操作系统中添加 sudo 功能。值得注意的是，微软通常会在预览版中测试新功能，但不会将其应用到正式版中。     转自Freebuf，原文链接：https://www.freebuf.com/news/391509.html 封面来源于网络，如有侵权请联系删除

以色列最大移动运营商 Pelephone 的工作受到黑客活动分子的干扰，加沙仍然完全缺乏互联网。据 监控全球互联网的非营利组织 NetBlocks 称，Pelephone 网络于 1 月 23 日发生中断。“匿名苏丹”组织声称对其 Telegram 频道的袭击负责。 Pelephone 是以色列领先且历史最悠久的电信公司之一，拥有约 200 万用户。NetBlocks 援引用户报告，证实了 Pelephone 网络中断。 NetBlocks 发布有关 Pelephone 网络关闭的帖子 匿名苏丹组织声称对以色列最大的移动运营商和电信公司之一的基础设施造成了“毁灭性打击”。 匿名苏丹关于 Pelephone 袭击事件的帖子 匿名苏丹还表示，愿意为 Pelephone 网络整体健康造成的任何损害承担责任。 “附带损害将相当大，因为它托管着许多关键系统，包括 SCADA 和其他基于基础设施的端点，以及依赖 Pelephone 基础设施的公司，”匿名苏丹指出。 该组织发誓要继续对以色列发动袭击。与此同时，加沙仍然几乎完全无法接入互联网。据 NetBlocks 报道，自 1 月 22 日以来，加沙一直处于电信中断状态。该事件可能会严重限制大多数居民的沟通能力。   转自安全客，原文链接：https://www.anquanke.com/post/id/292904 封面来源于网络，如有侵权请联系删除

有消息称：谷歌刚刚修复了一个影响重要云服务的漏洞。此前研究人员发现，多家组织（包括一家上市公司）的系统容易受到该漏洞影响。 该问题影响了谷歌Kubernetes引擎（GKE），这是一种用于部署、扩展和管理应用程序“容器化”的系统。GKE是谷歌针对Kubernetes开源项目的商用服务，广泛用于医疗保健、教育、零售和金融服务，以及数据处理和人工智能与机器学习操作。 云安全厂商Orca Security的研究人员解释说，他们在GKE中发现了一个问题，“可以让攻击者使用任何有效的谷歌帐号，接管配置错误的Kubernetes集群，这可能导致严重的安全事件，如加密挖矿、拒绝服务和敏感数据窃取。” 该问题主要与权限有关，GKE允许用户使用任何有效的谷歌帐户访问系统。 Orca Security表示，“当管理员决定将某个组绑定到权限过大的角色时，会造成重大安全漏洞。”研究人员将此漏洞称为Sys:All。 Orca Security表示，经过扫描发现超过1300个集群可能遭到暴露，其中有100多个集群暴露程度极高，可以被广泛访问。 图：攻击者可借此获得大量敏感信息 他们指出，“Kubernetes将其托管的容器化应用程序，与各种不同类型的关键数据资产连接在一起，如数据库、代码存储库和其他第三方供应商，这使得它成为恶意行为者手中的毁灭性工具。” 容器化，是指开发人员将应用程序的代码与运行在任何计算基础设施上所需的一切（如文件和库）捆绑在一起，从而灵活地构建和部署软件。 客户资产大门洞开 Orca Security表示，至少有一个受影响的集群属于一家纳斯达克上市公司，暴露信息给黑客提供了访问AWS网络服务凭证的权限，得以更深入地访问该公司的系统和数据。研究人员说，恶意行为者“有可能访问这些系统，提取或操纵敏感数据，干扰服务，甚至更进一步进入网络。” Orca Security表示，他们向该公司报告了这个问题，并与之合作解决了这些漏洞，其中包括收紧权限、保护暴露的云储存桶等。 研究人员同时向其他多家易受漏洞影响的企业报告了这个问题，并指出，所有组织“应该始终在身份和访问领域追求细粒度，避免给不需要的实体赋予过多的访问权限。” Orca Security还向谷歌报告了这个问题。谷歌认识到问题的严重性，并“积极采取预防措施、发布客户通知，还将继续采取行动确保客户安全。” 一位谷歌发言人表示，他们与Orca Security合作解决该漏洞。发言人指出，谷歌还在上周发布了一份安全公告，“针对有限数量的受影响GKE用户，详细说明了他们应采取的步骤，以保护自己免受任何意外授权的伤害。” 谷歌还向一些客户直接发送了这份公告。 谷歌在1月19日发布的建议中说道，“我们已经确定了几个群集，用户已经授予Kubernetes权限给system:authenticated组，其中包括所有具有谷歌帐户的用户。我们不建议进行这些类型的绑定，因为它们违反了最小权限原则，向过多用户群体授予了访问权限。” Orca Security指出，谷歌认为这是“可以预期的问题”，因为最终这是一种用户可以预防的分配权限漏洞。客户有责任配置其访问控制。 研究人员认同谷歌的评估，即组织“有责任以没有安全风险和漏洞的方式部署资产和权限。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/0LZlgqK5QU2zbzfurvdVbA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，大约有38%采用 Apache Log4j 库的应用程序使用的是存在安全问题的版本，其中包括 Log4Shell 漏洞，该漏洞被追踪为 CVE-2021-44228，尽管两年多前就有了修补程序，但目前的严重程度仍达到了最高级别。 Log4Shell 是一个未经验证的远程代码执行 (RCE) 漏洞，攻击者可以利用其完全控制使用 Log4j 2.0-beta9 及以上版本 2.15.0 的系统。2021 年 12 月 10 日，研究人员首次发现 Log4Shell 安全漏洞作，其广泛的影响、易利用性和巨大的安全影响在当时引起了行业巨大的“震动”。 研究人员在发现安全漏洞问题后，立刻向所有受影响的项目维护者和系统管理员发出了安全通知，然而坏消息是，虽然发出了无数警告依然有大量组织在补丁可用后继续使用易受攻击的版本。更糟糕的是，漏洞披露和修复程序发布两年后，仍有大量目标易受 Log4Shell 影响。 应用程序安全公司 Veracode 根据8月15日至11月15日期间收集的数据，编写了一份安全报告，在报告中，Veracode 强调 Log4Shell 安全漏洞带来的影响可能会持续很长一段时间。 巩固攻击面 Veracode 从3866个组织收集了90天的数据信息，这些组织使用38278个依赖 Log4j 的应用程序，版本在1.1到3.0.0之间。 在这些应用程序中，2.8% 使用 Log4J 版本 2.0-beta9至2.15.0，这些版本及其容易受到 Log4Shell 漏洞的直接影响。另有3.8%的应用程序使用 Log4j 2.17.0，虽然这个版本不会受到 Log4Shell 漏洞的影响，但却容易受到 CVE-2021-44832漏洞的影响（CVE-2021-44832是一个远程代码执行漏洞，已在该框架的2.17.1版本中得到修复。） 32%使用的是1.2.x 版 Log4j ，该版本自2015年8月起已经停止支持更新，这些版本易受2022年之前发布的多个严重漏洞的影响，其中包括 CVE-2022-23307、CVE-2022-23305和 CVE-2022-23302等安全漏洞。 Veracode 还发现，在其可见范围内，总共约有38%的应用程序使用了不安全的 Log4j 版本，这一比例与 Sonatype 的软件供应链管理专家在其 Log4j 面板上报告的情况非常接近，过去一周时间里，该库25%的下载涉及到有漏洞的版本。 Log4j 版本下载 (Sonatype) 根据 Veracode 的调查结果，79%的开发人员选择在第三方库首次纳入代码库后则不再更新，以避免破坏功能。值得一提的是，即使65% 的开源库更新包含不太可能导致功能问题的小改动和修复，开发人员也不愿意更新。 此外，研究还表明 50% 的项目需要 65 天以上的时间来解决高严重性安全漏洞，在人员不足的情况下，修复积压项目中一半的漏洞需要比平时多花 13.7 倍的时间，而在缺乏信息的情况下，处理 50%的漏洞需要 7 个多月的时间。 不幸的是，从 Veracode 的调查数据来看，Log4Shell 安全漏洞并没有像许多安全从业者希望的那样敲响安全“警钟”。恰恰相反，目前每三个 Log4j 案例中就有1 个存在安全风险，而且很容易成为威胁攻击者入侵特定目标的途径之一。 最后，安全研究专家强烈建议企业及时扫描其网络环境，找出正在使用的开源库版本，然后为所有这些库制定紧急升级计划。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/386209.html 封面来源于网络，如有侵权请联系删除

最近发现黑客找到了一种使用第三方键盘绕过 iPhone 安全性的方法。根据 Certo Software 的 Russell Kent-Payne 的一份报告，攻击者正在使用这些键盘记录私人消息、浏览器历史记录，甚至 iPhone 用户密码。 在许多有关网络跟踪的报道之后，开始对此威胁进行研究。在调查过程中，发现所有受影响的设备都安装了恶意键盘。 左侧为默认的 iOS 键盘，右侧为用作键盘记录器的自定义键盘 这种攻击的特殊之处在于，黑客不需要破解设备或获取 iCloud 的访问权限。相反，他们使用苹果的 TestFlight 平台来分发键盘，因为该平台上的应用程序不会像 App Store 上的应用程序那样经过严格的安全审查。 通过设备设置安装恶意键盘后，黑客将标准的iPhone键盘替换为自己的键盘，与原来的键盘没有区别。这样的键盘可以记录用户输入的所有内容并将数据发送到黑客的服务器。 如何检查和保护 要检查 iPhone 是否安装了恶意键盘，先打开“设置”，转到“键盘”，然后检查已安装键盘的列表。如果发现启用了完全控制权限的陌生键盘，建议删除可疑键盘。 还值得考虑使用 Mac 防病毒软件，它可以扫描的 iPhone 或 iPad 是否存在恶意软件，但需要通过 USB 连接到Mac。目前，苹果尚未对这种攻击方法发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291678 封面来源于网络，如有侵权请联系删除

印度国家航空航天实验室(NAL)面临严重威胁，臭名昭著的LockBit勒索软件组织声称对网络攻击负责。继LockBit在暗网上发布网络攻击声明后，该黑客组织发布了一份令人心寒的最后通牒，截止日期为2023年12月18日18:58:48 UTC，警告如果他们的要求仍未得到满足，则数据将被泄露。令人惊讶的是，与之前的情况不同，LockBit 没有披露缓解计划，该计划通常涉及支付10,000美元起的赎金，以将截止日期延长24小时。 国家航空航天实验室(NAL)于1959年由科学与工业研究委员会(CSIR)在德里成立，是印度最重要的航空航天研究机构。NAL与HAL、DRDO和ISRO密切合作，在引领国内民用飞机开发方面发挥着关键作用。其重点集中在先进航空航天及相关领域的开拓性研究。 截至目前，NAL的官方网站似乎已无法访问，没有任何提示的信息显示。NAL的网站(https://www.nal.res.in/en)已在全球范围内瘫痪。目前尚不清楚网站中断是否是由于所谓的勒索软件攻击造成的。然而，LockBit勒索软件组织在其暗网门户上发布了八份据称被盗的文件，包括机密信件、员工护照和内部文件，从而加大了风险。   此次中断的原因仍不确定，《Cyber Express》已联系NAL，要求澄清NAL涉嫌遭受的网络攻击。目前，NAL尚未发表官方声明或回应，国家航空航天实验室网络攻击的说法尚未得到证实。印度计算机紧急响应小组(CERT-In)没有立即回应置评请求。 除了这次NAL网络攻击之外，LockBit勒索软件还因其复杂且有影响力的变体而臭名昭著，它利用勒索软件即服务模型和错误赏金计划来增强其恶意功能。 该组织原名ABCD组织，采用双重勒索策略向受害者施压，对数据进行加密，并威胁称如果不支付赎金就将其公布在网上。 在其第三个版本中，LockBit甚至纳入了分布式拒绝服务(DDoS)攻击，作为受害者遵守赎金要求的额外激励。 全年，LockBit声称对各种网络攻击负责，攻击目标包括Shimano、MicroTrain Technologies、波音和泰国气象局等实体。LockBit勒索软件攻击的著名受害者包括埃森哲、法国司法部、工商银行金融服务公司和曼谷航空公司。 围绕国家航空航天实验室涉嫌网络攻击的情况仍在继续发展，凸显了LockBit等勒索软件组织所构成的不断升级的威胁。 本号密切关注事态发展，一旦获得有关国家航空航天实验室此次网络攻击的更多信息或官方确认，将提供最新信息。   转自网空闲话plus，原文链接：https://mp.weixin.qq.com/s/g6rEzoVT1cX8r1wHu1WzaA 封面来源于网络，如有侵权请联系删除