加拿大政府表示，其两名承包商遭到黑客攻击，泄露了属于数量不详的政府雇员的敏感信息。 这些违规行为发生在上个月，影响了 Brookfield Global Relocation Services (BGRS) 和 SIRVA Worldwide Relocation & Moving Services，这两家公司都是为加拿大政府雇员提供搬迁服务的提供商。 受影响的 BGRS 和 SIRVA 加拿大系统中存储的与政府相关的信息可以追溯到 1999 年，这些信息属于广泛的受影响个人，包括加拿大皇家骑警 (RCMP) 成员、加拿大武装部队人员和加拿大政府雇员。 虽然加拿大政府尚未确定该事件的来源，但 LockBit 勒索软件团伙已声称对破坏 SIRVA 系统负责，并泄露了他们声称包含 1.5TB 被盗文件的档案。 LockBit 还公开了与所谓的 SIRVA 代表谈判失败的内容。 “Sirva.com 表示，他们的所有信息仅值 100 万美元。我们有超过 1.5TB 的文件被泄露，以及分支机构（欧盟、北美和澳大利亚）的 3 个 CRM 完整备份，”该勒索软件组织在其暗网的一个条目中表示。数据泄露网站。 Sirva 在 LockBit 泄露网站上 10 月 19 日获悉承包商的安全漏洞后，政府立即向加拿大网络安全中心和隐私专员办公室等相关当局报告了该漏洞。 虽然对大量受损数据的分析仍在继续，但有关受影响个人的具体细节（包括受影响员工的数量）仍未确定。然而，初步评估表明，自 1999 年以来使用搬迁服务的人可能已经暴露了个人和财务信息。 周五发表的一份声明称：“加拿大政府不会等待这项分析的结果，而是正在采取积极主动的预防措施来支持那些可能受到影响的人。  ” “将向过去 24 年来随 BGRS 或 SIRVA Canada 搬迁的现任和前任公务员、加拿大皇家骑警和加拿大武装部队成员提供信用监控或重新签发可能已被泄露的有效护照等服务。 “有关将提供的服务以及如何访问这些服务的更多详细信息将尽快提供。” 我们敦促可能受此数据泄露影响的个人采取预防措施，包括更新登录凭据、启用多因素身份验证以及监控在线财务和个人帐户是否存在异常活动。 那些怀疑其账户遭到未经授权的访问的人还必须立即联系其金融机构、当地执法部门和加拿大反欺诈中心 (CAFC)。     转自安全客，原文链接：https://www.anquanke.com/post/id/291424 封面来源于网络，如有侵权请联系删除

eSentire 研究人员设计了一种名为 Wiki-Slack 攻击的新攻击技术，可用于将业务专业人员重定向到恶意网站。 eSentire 威胁响应单元 (TRU) 安全研究人员发现了一种名为 Wiki-Slack 攻击的新攻击技术，可用于将业务专业人员重定向到恶意网站。 攻击者在维基百科中选择潜在受害者可能感兴趣的主题，然后他们将转到维基百科条目的第一页并编辑该页面。技巧包括在条目中添加合法的引用脚注。当文章在 Slack 上共享时，脚注可以为格式错误做好准备。一旦满足某些附加条件（通过对维基百科文章进行小的语法更改即可轻松实现），Slack 将呈现原始维基百科文章中不可见的链接。 研究人员指出，脚注本身并无恶意，但在某些附加条件下，由于维基百科文章的语法发生微小变化，Slack 会呈现原始维基百科文章中不可见的链接。 “一旦商业专业人士将维基百科条目复制并粘贴到 Slack 频道中，就会呈现恶意链接。如果链接的语法设计得足够好，Slack 用户就会被吸引点击它，从而将他们引导至攻击者控制的网站，其中基于浏览器的恶意软件就在那里等待。” 阅读eSentire 发表的帖子。 必须满足的三个条件是： 维基百科链接必须在第一段末尾包含引用。 维基百科文章第二段的第一个单词必须是顶级域名 (TLD)，例如 in、at、com、net、us 等。 上述两个条件必须出现在维基百科文章的前100个字中。 这导致 Slack 对第一段和第二段之间的间距处理不当，导致在 Slack 中创建新链接。 研究人员发现了 1000 多个这种无意制造的实例。 eSentire进一步阐述，攻击者可以利用维基百科的统计数据来选择产生大量流量的页面，并利用它们通过Wiki-Slack技术发起攻击。 研究人员解释说，Wiki-Slack 攻击是一场数字游戏，因此，利用 ChatGPT 或类似的大型语言模型 (LLM)，攻击者可以在短时间内扩大攻击范围。 建议组织对可能导致恶意软件感染的基于浏览器的攻击保持警惕。采用端点监控并在流程中构建网络弹性可以让组织限制遭受此类攻击的风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/291145 封面来源于网络，如有侵权请联系删除

为了应对教育领域日益严重的网络安全威胁，英国国家网络安全中心（NCSC） 宣布启动一项新举措 ，旨在防止学校网络用户访问恶意网站。 NCSC 经济和社会副主任 Sarah Lyons 表示，面向学校的PDNS计划将完全免费，预计明年将推广到大多数英国学校 。 学校 PDNS 服务建立在 PDNS 成功实施的基础上，作为 NCSC 主动网络防御策略的一部分，该策略 由.uk 域名注册商Nominet于 2017 年推出，此后一直充当递归解析器，阻止对有风险的网站的访问。 根据 NCSC 的说法，PDNS 通过阻止访问已知的恶意域来防止访问。这可以从源头防止病毒、网络钓鱼攻击、勒索软件、间谍软件和其他威胁的传播，从而提高网络安全性。 此外，PDNS 还使组织能够深入了解其网络的健康状况，并提供 NCSC 支持来解决出现的问题。从 PDNS 获得的信息还用于通知和支持英国政府的网络事件响应。 根据 NCSC 今年 1 月发布的 2022 年调查，78% 的英国学校在过去一年中至少经历过一种网络事件，其中 73% 的学校报告称曾向教职员工发送网络钓鱼电子邮件或教职员工被重定向到欺诈网站。 希望使用 PDNS 服务的学校目前可能不会采取任何行动，直到预计 2024 年上半年全面宣布推出该服务。 但是，英格兰地方当局以及苏格兰、威尔士和北爱尔兰向学校提供 DNS 服务的授权公共网络建议您在该服务可用时预先注册。   转自安全客，原文链接：https://www.anquanke.com/post/id/291126 封面来源于网络，如有侵权请联系删除

该数据库由Redcliffe Labs拥有，Redcliffe Labs是一家位于北方邦诺伊达的印度医疗公司。 网络安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个无密码保护的数据库，其中包含 1200 多万条记录。这些数据包括敏感的患者数据，如医疗诊断扫描、测试结果和其他医疗记录。 在调查过程中，福勒发现医疗检测结果中包含大量患者的个人信息，包括姓名、医生姓名、与健康相关的详细信息，以及患者是在家中接受检测还是在医疗机构接受检测。这些文件属于印度一家医疗诊断公司 Redcliffe Labs。 数据库总容量为 7TB，包含约 12347297 条记录。标有 “报告 “的文件夹包含 1180000 个对象（约620GB）。标有 “智能报告存储 “的文档文件夹包含 1164000 个对象（1.5GB），标有 “测试结果 “的文件夹包含 6090852 个对象（2.2TB），其他文件夹包含内部文档、PDF、日志和应用程序文件等杂项文档。这些文件夹总共有 3912445 个对象（2.7GB）。 除了庞大的患者数据，暴露的数据库还包含公司移动应用程序的开发文件。这些文件控制着应用程序的功能和数据传输。 Redcliffe Labs 是印度领先的医疗中心之一，提供 3600 多种不同的健康和疾病测试。据 Redcliffe Labs 网站称，该机构拥有 250 万用户。该公司在印度 220 多个城市提供上门检测样本采集服务，并在全国拥有 2000 多家健康和样本采集中心。 根据福勒的博文，在他把问题上报的同一天，数据库的公开访问也随即受到限制。但是，目前还不清楚该数据库暴露了多长时间，也不清楚是否有未经授权的个人访问过该数据库。 然而此类漏洞可能会给患者带来深远的影响，因为他们可能会面临身份被盗、医疗欺诈和敲诈勒索等风险。如果移动应用程序的相关数据落入不法分子之手，网络犯罪分子就会利用这些数据发动网络攻击，破坏应用程序的功能，危害移动用户的安全。 最大的风险因素是应用程序代码的暴露，威胁者可以利用这些代码注入恶意代码，破坏应用程序，添加未经授权的功能，并注入恶意软件。 目前，Redcliffe Labs 尚未说明是否已将数据泄露事件通知相关部门或受影响的个人。此外，也没有迹象表明该公司的移动应用程序受到了威胁，或有人在数据受限前已经访问了患者数据。   转自Freebuf，原文链接：https://www.freebuf.com/news/381917.html 封面来源于网络，如有侵权请联系删除

至少自 10 月 11 日起，俄罗斯 Winter Vivern 黑客组织就一直在利用 Roundcube Webmail 0day漏洞攻击欧洲政府实体和智库。 Roundcube 开发团队发布了安全更新，修复了ESET 研究人员于 10 月 16 日报告的存储跨站脚本 (XSS) 漏洞 ( CVE-2023-5631 )。 安全补丁是在ESET检测到俄罗斯黑客组织野外使用0day漏洞攻击五天后推出的。根据 ESET 的调查结果，网络间谍组织（也称为 TA473）使用包含精心制作的 SVG 文档的 HTML 电子邮件来远程注入任意 JavaScript 代码。 他们的网络钓鱼邮件冒充 Outlook 团队，试图诱骗潜在受害者打开恶意电子邮件，自动触发利用 Roundcube 电子邮件服务器漏洞的第一阶段有效负载。攻击中投放的最终 JavaScript 有效负载帮助攻击者从受害者的网络邮件服务器窃取电子邮件。 ESET 表示：“通过发送特制的电子邮件消息，攻击者能够在 Roundcube 用户的浏览器窗口上下文中加载任意 JavaScript 代码。除了在网络浏览器中查看消息之外，不需要任何手动干预。” “最终的 JavaScript 负载 [..] 能够列出当前 Roundcube 帐户中的文件夹和电子邮件，并将电子邮件泄露到 C&C 服务器。” Roundcube 网络钓鱼电子邮件示例 (ESET) Winter Vivern黑客组织于 2021 年 4 月首次被发现，因其蓄意针对全球各地的政府实体（包括印度、意大利、立陶宛、乌克兰和梵蒂冈等国家）而引起关注。 SentinelLabs 研究人员表示，该组织的目标与白俄罗斯和俄罗斯政府的利益密切相关。 至少自 2022 年以来，Winter Vivern 一直积极瞄准政府组织拥有的 Zimbra 和 Roundcube 电子邮件服务器。 根据 ESET 遥测数据，这些攻击包括在 2023 年 8 月至 9 月期间利用 Roundcube XSS 漏洞 (CVE-2020-35730)。 值得注意的是，俄罗斯 APT28 军事情报黑客也利用同一漏洞针对属于乌克兰政府的 Roundcube 电子邮件服务器。 俄罗斯网络间谍还在针对北约国家的攻击中利用 Zimbra CVE-2022-27926 XSS 漏洞窃取属于北约官员、政府和军事人员的电子邮件。 ESET 表示：“Winter Vivern 通过利用 Roundcube 中的0day漏洞加强了其行动。此前，它曾利用 Roundcube 和 Zimbra 中的已知漏洞，这些漏洞的概念验证代码已经可以公开获得。” 该组织对欧洲各国政府构成威胁，因为它持续存在，经常进行网络钓鱼活动，而且大量面向互联网的应用程序尽管已知存在漏洞，但并未定期更新。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxMqkdvERrAVSZ3oj7v5eQ 封面来源于网络，如有侵权请联系删除

2023年6月，卡巴斯基曝光了一起高级持续威胁（APT）攻击——“三角测量行动”，攻击者秘密从受感染设备中窃取敏感信息， 近日，卡巴斯基发布报告，详细介绍了“三角测量行动”进一步的技术细节。报告指出，该攻击框架的核心是一个名为TriangleDB 的后门，该植入程序包含至少四个不同的木块，用于记录麦克风、提取 iCloud 钥匙串、从各种应用程序使用的 SQLite 数据库中窃取数据以及估计受害者的位置。 攻击者利用 CVE-2023-32434（一个可被滥用执行任意代码的内核漏洞）获得目标 iOS 设备的 root 权限后部署该后门。 现在，根据俄罗斯网络安全公司的说法，植入程序的部署之前有两个验证器阶段，即 JavaScript 验证器和二进制验证器，执行这些阶段以确定目标设备是否与研究环境无关。 卡巴斯基研究人员 Georgy Kucherin、Leonid Bezvershenko 和 Valentin Pashkov在周一发布的一份技术报告中表示：“这些验证器收集有关受害设备的各种信息，并将其发送到 C2 服务器。” “然后，这些信息将用于评估要植入 TriangleDB 的 iPhone 或 iPad 是否可能是研究设备。通过执行此类检查，攻击者可以确保他们的零日漏洞和植入物不会被烧毁。” 背景知识：攻击链的起点是受害者收到的不可见 iMessage 附件，该附件会触发零点击漏洞利用链，旨在秘密打开包含模糊 JavaScript 和加密负载的唯一 URL。 有效负载是 JavaScript 验证器，除了执行各种算术运算并检查 Media Source API 和 WebAssembly 是否存在之外，还通过使用WebGL 在粉红色背景上绘制黄色三角形并计算其校验和来执行称为画布指纹识别的浏览器指纹识别技术。 此步骤之后收集的信息将传输到远程服务器，以便接收未知的下一阶段恶意软件作为回报。在一系列未确定的步骤之后还交付了二进制验证器，这是一个执行以下操作的 Mach-O 二进制文件 ： 从 /private/var/mobile/Library/Logs/CrashReporter 目录中删除崩溃日志，以清除可能被利用的痕迹 删除从 36 个不同的攻击者控制的 Gmail、Outlook 和 Yahoo 电子邮件地址发送的恶意 iMessage 附件的证据 获取设备和网络接口上运行的进程列表 检查目标设备是否越狱 开启个性化广告跟踪 收集有关设备的信息（用户名、电话号码、IMEI 和 Apple ID），以及 检索已安装应用程序的列表 研究人员表示：“这些操作的有趣之处在于，验证器同时针对 iOS 和 macOS 系统实现了它们。”他补充说，上述操作的结果会被加密并渗透到命令和控制 (C2) 服务器以获取TriangleDB 植入。 后门采取的最初步骤之一是与 C2 服务器建立通信并发送心跳，随后接收删除崩溃日志和数据库文件的命令，以掩盖取证线索并妨碍分析。 还向植入程序发出定期从 /private/var/tmp 目录中提取文件的指令，其中包含位置、iCloud 钥匙串、SQL 相关数据和麦克风录制数据。 麦克风录音模块的一个显着特点是它能够在设备屏幕打开时暂停录音，表明威胁行为者在雷达下飞行的意图。 此外，位置监控模块经过精心设计，可使用 GSM 数据，例如移动国家代码 ( MCC )、移动网络代码 (MNC) 和位置区域代码 ( LAC )，在 GPS 数据不可用时对受害者的位置进行三角测量。 研究人员表示：“三角测量背后的对手非常小心地避免被发现。” “攻击者还表现出了对 iOS 内部结构的深入了解，因为他们在攻击过程中使用了未记录的私有 API。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290976 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处 近期，DoNot Team的黑客被发现使用了一种新型的基于.NET的后门，名为Firebird，其主要针对巴基斯坦和阿富汗的一些受害者。 网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现，称这些攻击链还配置了一个名为CSVtyrei的下载器（因其与Vtyrei相似而得名）。 这家俄罗斯公司表示：“示例中的一些代码似乎不起作用，其暗示着正在进行的开发工作。” Vtyrei（又名BREEZESUGAR）指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。 DoNot Team，也被称为APT-C-35、Origami Elephant和SECTOR02，疑似起源于印度，其攻击利用鱼叉式网络钓鱼电子邮件和恶意的 Android 应用程序来传播恶意软件。 卡巴斯基的最新评估是基于黑客 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。 此外，网络安全公司Zscaler ThreatLabz披露了总部位于巴基斯坦的Transparent Tribe（又名APT36））攻击者使用更新的恶意软件库对印度政府部门开展了新的恶意活动，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。 安全研究员 Sudeep Singh上个月指出：“ElizaRAT以.NET二进制形式传递，并通过 Telegram 建立 C2 通信通道，使黑客能够完全控制目标端点。” Transparent Tribe自2013年以来一直活跃，利用凭证收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将开源命令与控制 (C2) 框架（例如 Mythic）武器化。 这个黑客组织近期也也有了瞄准了Linux系统的迹象，Zscaler表示：他们发现了一小组桌面入口文件，这些文件为执行基于Python的ELF二进制文件铺平了道路，其中包括用于用于文件渗漏的GLOBSHELL以及从Mozilla Firefox浏览器中窃取会话数据的PYSHELLFOX。 Sudeep Singh表示：“印度政府部门广泛使用基于Linux的操作系统”，他补充说，瞄准Linux环境还可能是因为印度决定在跨政府和国防部门全面使用以Debian Linux为基础的操作系统Maya OS，以替代微软Windows操作系统。 除了DoNot Team和Transparent Tribe，还有来自亚太地区的另一个国家级行动者重点关注巴基斯坦地区。 代号神秘象（又名APT-K-47）的黑客组织被认为涉及一场利用一种名为ORPCBackdoor的新型后门的钓鱼攻击活动，该后门能够在受害者计算机上执行文件和命令，并从恶意服务器接收文件或命令。 知道创宇 404高级威胁情报团队曾在文章中表示，APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠，其中大多数被认为和印度有关联。   Hackernews 编译，转载请注明出处： 消息来源：thehackernews，译者：dengdeng；

身份服务提供商Okta周五披露了一起新的安全事件，黑客利用窃取的凭证访问了其支持案例管理系统。 Okta首席安全官David Bradbury表示：该攻击者能够查看部分Okta客户上传的文件。需要注意的是，Okta 支持案例管理系统与生产型 Okta 服务是分开的，后者是正常运行的，没有受到影响。该公司还强调，其 Auth0/CIC 案例管理系统没有受到此次漏洞的影响，并指出目前已经直接通知了受到影响的客户。 不过，该公司表示，客户支持系统也被用于上传 HTTP 存档（HAR）文件，以复制最终用户或管理员的错误路径来进行故障排除。 Okta 警告说：HAR 文件可能包含敏感数据，包括 cookie 和会话令牌，恶意行为者可以利用这些数据冒充有效用户。Okta还进一步表示，他们正在与受影响的客户沟通，确保内嵌的会话令牌被撤销，以防止它们被滥用。 目前，Okta尚未透露攻击的规模、事件发生的时间以及何时检测到未经授权的访问。尽管如此，BeyondTrust 和 Cloudflare 这两家客户已确认在最新的支持系统攻击中成为目标。Cloudflare表示：威胁者从Cloudflare员工创建的怕凭证中劫持了一个会话令牌。利用从 Okta 提取的令牌，威胁者于 10 月 18 日访问了 Cloudflare 系统。 安全公司表示，这是一次复杂的攻击，幕后的攻击者入侵了Okta平台上两个独立的Cloudflare员工账户。该公司强调，此次事件没有导致任何客户信息或系统被访问。 BeyondTrust表示，它已于2023年10月2日向Okta通报了这一漏洞，但对Cloudflare的攻击表明，对手至少在2023年10月18日之前都可以访问他们的支持系统。 这家身份管理服务公司称，其Okta管理员在10月2日向系统上传了一个HAR文件，以解决一个支持问题，并在共享文件后的30分钟内检测到了涉及会话cookie的可疑活动。针对 BeyondTrust 的攻击企图最终没有得逞。 BeyondTrust 发言人告诉记者：BeyondTrust 立即通过自己的身份识别工具 Identity Security Insights 检测到并修复了这次攻击，没有对 BeyondTrust 的基础设施或客户造成任何影响或暴露。 在过去的几年中，Okta 公司遭遇了一系列安全事故，而此次事件是其中最新的一起。该公司已成为黑客的高价值目标，因为其单点登录（SSO）服务被世界上一些大的公司所使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/381522.html 封面来源于网络，如有侵权请联系删除

思科警告称，IOS XE 中存在新的零日漏洞，未知威胁者已积极利用该漏洞在易受影响的设备上部署基于Lua 的恶意植入程序。 该问题被追踪为CVE-2023-20273（CVSS 评分：7.2），与 Web UI 功能中的权限升级缺陷有关，据说与 CVE-2023-20198（CVSS 评分：10.0）一起使用，作为漏洞利用链。 思科在周五发布的更新公告中表示：“攻击者首先利用 CVE-2023-20198 获得初始访问权限，并发出特权 15 命令来创建本地用户和密码组合。” “这允许用户以普通用户访问权限登录。” “攻击者随后利用了 Web UI 功能的另一个组件，利用新的本地用户提升 root 权限并将植入程序写入文件系统，”这一缺陷已被分配了标识符 CVE-2023-20273。 思科发言人告诉 The Hacker News，已经确定了涵盖这两个漏洞的修复程序，并将于 2023 年 10 月 22 日开始向客户提供。在此期间，建议禁用 HTTP 服务器功能。 虽然思科此前曾提到，同一软件中现已修补的安全漏洞 ( CVE-2021-1435 ) 已被利用来安装后门，但根据发现的情况，该公司评估该漏洞不再与该活动相关。新的零日漏洞。 美国网络安全和基础设施安全局 (CISA)表示：“未经身份验证的远程攻击者可能会利用这些漏洞来控制受影响的系统。” “具体来说，这些漏洞允许攻击者创建一个特权帐户，以提供对设备的完全控制。” 成功利用这些漏洞可能使攻击者能够不受限制地远程访问路由器和交换机、监控网络流量、注入和重定向网络流量，并由于缺乏针对这些设备的保护解决方案而将其用作网络的持久滩头阵地。 根据Censys和LeakIX的数据，估计有超过 41,000 台运行易受攻击的 IOS XE 软件的思科设备已被利用这两个安全漏洞的威胁者所破坏。 该攻击面管理公司表示：“截至 10 月 19 日，受感染的思科设备数量已减少至 36,541 台。” “该漏洞的主要目标不是大公司，而是较小的实体和个人。” 检测到的思科植入程序神秘下降 周六，多个网络安全组织报告称，受恶意植入的 Cisco IOS XE 设备数量已神秘地从大约 60,000 台设备下降到仅 100-1,200 台，具体取决于不同的扫描。 Onyphe 创始人兼首席技术官 Patrice Auffret 告诉 BleepingComputer，他相信攻击背后的威胁行为者正在部署更新来隐藏他们的存在，从而导致扫描中不再显示植入程序。 “连续第二天，我们看到植入程序的数量在短时间内急剧下降（请参阅随附的屏幕截图）。基本上，它们似乎几乎全部重新启动（因为已知的植入程序无法在重新启动后幸存）或已更新。” “我们认为，这是最初的威胁行为者的行为，他们试图解决从一开始就不应该存在的问题。事实上，植入物如此容易被远程检测到，这是他们的一个错误。 “他们可能正在部署更新来隐藏他们的存在。” Shadowserver 基金会首席执行官 Piotr Kijewski 也告诉 BleepingComputer，自 10 月 21 日以来，他们发现植入程序急剧下降，扫描仅发现 107 台设备带有恶意植入程序。 “植入物似乎已被移除或以某种方式更新，”Kijewski 通过电子邮件告诉 BleepingComputer。 被恶意植入的 Cisco IOS XE 设备数量 另一种理论认为，灰帽黑客正在自动重启受影响的 Cisco IOS XE 设备以清除植入程序。2018 年也出现过类似的活动，当时一名黑客声称已经修补了 100,000 个 MikroTik 路由器，这样它们就不会被滥用于加密劫持和 DDoS 活动。 然而，Orange Group 的 Orange Cyberdefense CERT 告诉 BleepingComputer，他们不认为灰帽黑客是植入减少的幕后黑手，而认为这可能是一个新的利用阶段。 Orange Cyberdefense CERT 发推文称：“请注意，潜在的痕迹清理步骤正在进行中，以隐藏植入程序（在利用 #CVE-2023-20198 之后）。  ” “即使您禁用了 WebUI，我们也建议您进行调查，以确保没有添加恶意用户并且其配置没有被更改。” 安全研究人员丹尼尔·卡德（Daniel Card）分享的另一种可能性  是，许多被植入物破坏的设备只是一个诱饵，旨在隐藏攻击中的真正目标。 不幸的是，目前我们所拥有的只是理论。在思科或其他研究人员能够检查之前遭到破坏的 Cisco IOS XE 设备以查看它们是否只是重新启动或是否进行了新更改之前，无法知道发生了什么。 BleepingComputer 已联系思科询问有关植入物掉落的问题，但目前尚未收到回复。   转自安全客，原文链接：https://www.anquanke.com/post/id/290858 封面来源于网络，如有侵权请联系删除

研究人员 发现了 巴勒斯坦军事组织哈马斯与历史悠久的阿拉伯语黑客组织之一之间可能存在合作的迹象。根据研究公司 Recorded Future 发布的一份报告，哈马斯可能已转向加沙以外的运营商和“第三方”，以保持与以色列战争期间运行的军事部门卡萨姆 (al-Qassam) 相关的新闻网站。 哈马斯对以色列发动首次重大袭击几天后，哈马斯成员和支持者使用的 Telegram 频道宣布推出一款与 Al-Qassam 相关的应用程序。该应用程序的发布是为了传播哈马斯的信息。 在加沙保持网站或应用程序运行很困难 – 以色列的空袭损坏了互联网基础设施并导致停电。该地区还经常受到出于政治动机的黑客的攻击，他们试图破坏其重要服务和网站。 哈马斯应该通过与那些能够帮助维持其运行的人共享其基础设施来解决这个问题。在以色列遭受重大攻击后，卡萨姆站点的运营商将其在不同的基础设施提供商之间转移。 通过分析该基础设施，研究人员发现了可疑的 Al-Qassam 网站重定向以及与该网站域和大约 90 个其他域相关的相同 Google Analytics 代码。 第一组域名使用了与黑客组织TAG-63类似的注册方法，也称为AridViper和APT-C-23。它是一个国家支持的网络间谍组织，以中东地区讲阿拉伯语的人为目标而闻名。据信该组织代表哈马斯行事。 第二组域名可能与伊朗有关。与伊朗相关的网页之一试图冒充世界反酷刑组织 (OMCT)。研究人员无法确认该网站是否被黑客用于网络钓鱼或社交工程。 伊朗与哈马斯保持着密切联系，伊朗的圣城军是一支专门从事非常规战争和军事情报的部队，是唯一经过验证的伊朗实体，以对哈马斯和其他巴勒斯坦威胁组织提供网络支持而闻名。 研究人员表示，尽管没有太多证据表明双方之间存在合作，但这份报告提供了有关这些团体如何互相帮助的见解。   转自安全客，原文链接：https://www.anquanke.com/post/id/290856 封面来源于网络，如有侵权请联系删除