乌克兰情报部门网络部门负责人伊利亚·维蒂克讨论了乌克兰此前一直保密的事情，特别是与美军联合开展的联合追捕行动对乌克兰的帮助，在俄乌战争一开始就阻碍了俄罗斯的网络攻击。 乌克兰与美国网络司令部的合作始于俄罗斯网络攻击前几周。俄罗斯军事情报部门对这些袭击负有责任，维蒂克表示俄罗斯认为乌克兰的基础设施将会崩溃，但事态并没有按照莫斯科计划的方式发展。因为乌克兰花了数年时间强化其系统以抵御攻击，而且来自美国和乌克兰的一个网络运营商团队已经秘密删除了数十个攻击乌克兰关键网络的俄罗斯软件。 从某种意义上说，乌克兰十年来一直在为与莫斯科的网络战做准备。早在开始之前，俄罗斯国家支持的黑客就瞄准了乌克兰的电网，一直在调查乌克兰的网络。乌克兰也因此在网络战中受到打击，开始建立欧洲最复杂的网络之一。 乌克兰方面认为他们制定了计划，制定了网络安全战略，但没有做的一件事是建立一支专门的网络部队。一群网络战士不仅对攻击做出反应，而且努力防止攻击，比如美国网络通信国家任务部队。 美国网络国家任务部队在世界各地部署了处于不同阶段的各种狩猎队。通常，头条新闻中的网络行动往往是攻击性的：一个团队关闭了东欧的一个巨魔农场，或者入侵了叙利亚恐怖组织的服务器。 组建一个专业网络部队通常需要几个月的时间。需要大使馆参与进来，律师参与进来，确定可以搜索哪些网络，如何搜索它们，以及团队将如何合作。但俄乌战争的情况下，美国第一波网络安全运营商很快出现在基辅。 在合作中，美方和乌方声称他们在乌克兰的关键网络中发现了90个恶意软件样本。这个数字令人震惊，说明俄罗斯制造了90个攻击代码来破坏乌克兰的基础设施。对于乌克兰方面来说这就像是发现了90种来自俄罗斯未知的炸弹，他们可以研究、拆除并防止它们爆炸。   转自E安全，原文链接：https://mp.weixin.qq.com/s/PUoj_fHDcOVijtOHk_Fv6g 封面来源于网络，如有侵权请联系删除

网络安全公司 Checkmarx 发现了新一波利用流行通信和电子商务平台中的漏洞进行的供应链攻击。目标平台包括 Telegram、阿里云和 AWS。 攻击者正在将恶意代码注入开源项目并破坏系统。他们利用 Starjacking 和 Typosquatting 技术来引诱开发人员使用恶意软件包。该活动在 2023 年 9 月持续活跃。网络安全公司 Checkmarx 将该攻击者被追踪为 kohlersbtuh15。 最近这些恶意攻击的激增促使开源安全基金会 (OpenSSF)于上周推出了其最新举措——恶意软件包存储库。 根据 Yehuda Gelb 撰写的 Checkmarx报告，攻击者使用 Python 编程软件存储库 (Pypi) 并使用 Starjacking 和 Typosquatting 技术发起攻击。 攻击是如何发起的？ 进一步调查显示，该攻击者正在利用 Telegram、Amazon Web Services (AWS) 和阿里云弹性计算服务 (ECS) 等平台中的漏洞来攻击开发人员和用户。他们正在利用阿里云的服务，而这三个平台都是其中的一部分。 攻击者将恶意代码注入这些平台用来危害用户设备并窃取敏感数据、财务和个人信息以及登录凭据的开源项目中。恶意代码被注入特定的软件功能中，这使得检测恶意行为并解决问题变得非常困难。 嵌入到这些包中的代码不会自动执行，而是策略性地隐藏在不同的函数中，并在调用这些函数之一时触发。据报道，kohlersbtuh15 向 PyPi 包管理器启动了一系列针对开源社区的恶意包。 攻击者利用域名仿冒技术制作一个镜像合法包的包，但假包具有隐藏的恶意依赖项，从而触发在后台运行的恶意脚本。受害者不会怀疑任何事情，因为一切都发生在幕后。 Starjacking 是指将包管理器上托管的包链接到 GitHub 上不相关的包存储库。通过这种技术，毫无戒心的开发人员会被欺骗，认为它是一个真实的包。为了扩大这种攻击的范围，威胁行为者将这两种技术组合在同一个软件包中。 例如，Telethon 2 软件包是流行的 Telethon 软件包的误植版本，它还通过官方 Telethon 软件包的 GitHub 存储库执行明星劫持。这表明威胁行为者已完全复制官方包中的源代码，并将恶意行嵌入到 telethon/client/messages.py 文件中。恶意代码仅通过“发送消息”命令执行。 “通过针对 Telegram、AWS 和阿里云等平台中使用的流行软件包，攻击者表现出了很高的精确度。这不是随机行为，而是故意损害依赖这些广泛使用平台的特定用户，可能影响数百万人，”盖尔布写道。 这种攻击造成的损害远远大于受感染的设备，因为与这些平台关联的所有类型的数据（例如来自 Telegram 或 AWS 云数据的通信详细信息以及来自阿里云的业务相关数据）都可以被访问和利用。 这次攻击凸显出供应链攻击仍然是一种威胁，因为攻击者正在寻找第三方服务/软件中的漏洞来访问目标系统并窃取数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/290825 封面来源于网络，如有侵权请联系删除

2023年5月至9月期间，被追踪为“Sandworm”的俄罗斯国家支持的黑客组织在乌克兰入侵了11家电信服务提供商。这是基于乌克兰计算机应急小组（CERT-UA）的一份新报告，该报告引用了“公共资源”和从一些被破坏的供应商那里检索到的信息。 该机构表示，俄罗斯黑客“干扰”了该国11家电信公司的通信系统，导致服务中断和潜在的数据泄露。 Sandworm是一个非常活跃的间谍威胁组织，与俄罗斯武装部队有联系。它在整个2023年都将注意力集中在乌克兰，攻击中使用了网络钓鱼诱饵、安卓恶意软件和数据擦除器。 瞄准电信公司 攻击开始于Sandworm使用“masscan”工具对电信公司的网络进行侦察，对目标的网络进行扫描。 质量扫描脚本示例 Sandworm寻找开放端口和未受保护的RDP或SSH接口，可以利用这些接口破坏网络。此外，攻击者使用“ffuf”、“gowitness”等工具来查找Web服务中的潜在漏洞，这些漏洞可用于获取访问权限。未受多因素身份验证保护的受损VPN帐户也被用来获得网络访问权限。为了让他们的入侵更加隐蔽，Sandworm使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵过的乌克兰互联网区域内的服务器来进行他们的恶意活动，使其看起来不那么可疑。CERT-UA报告称，在被破坏的ISP系统中发现了两个后门，即“Poemgate”和“Poseidon”。 Poemgate捕获试图在受损端点中进行身份验证的管理员的凭据，为攻击者提供访问其他帐户的权限，这些帐户可以用于横向移动或更深层次的网络渗透。Poseidon是一个Linux后门，乌克兰机构称其“包含全套远程计算机控制工具”。Poseidon的持久性是通过修改Cron以添加流氓作业来实现的。 Cron 二进制修改以增加 Poseidon 的持久性 Sandworm使用Whitecat工具删除攻击痕迹并删除访问日志。在攻击的最后阶段，黑客部署了会导致服务中断的脚本，尤其是关注Mikrotik设备，并擦除备份，使恢复更具挑战性。 损害 Mikrotik 设备的脚本 CERT-UA建议乌克兰所有服务提供商遵循指南中的建议，使网络入侵者更难入侵其系统。 转自E安全，原文链接：https://mp.weixin.qq.com/s/9nZXGfc4aiWQ0AFm9ENiuw 封面来源于网络，如有侵权请联系删除

以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标，该应用程序虽然提供了承诺的功能，但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序，以色列公民使用它来接收针对该国的来袭火箭弹的通知。 该应用程序非常受欢迎，在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击，使用数千枚火箭弹以来，随着人们寻求有关其地区即将发生的空袭的及时警告，对该应用程序的兴趣激增。 据Cloudflare称，动机和来源不明的黑客正在利用人们对该应用程序日益浓厚的兴趣以及对攻击的恐惧来分发安装间谍软件的假版本。该恶意版本是从“redalerts[.]me”网站分发的，该网站创建于2023年10月12日，包含两个用于下载 iOS和 Android平台应用程序的按钮。 iOS下载会将用户重定向到 Apple App Store上的合法项目页面，但Android按钮会直接下载要安装在设备上的APK文件。Cloudflare发现该应用程序向受害者请求额外权限。启动后，该应用程序会启动一个后台服务，该服务会滥用这些权限来收集数据，在CBC模式下使用AES对其进行加密，然后将其上传到硬编码的IP地址。 间谍软件警报 下载的APK使用 真正的RedAlert应用程序的合法代码，因此它包含所有常规功能，并显示为合法的火箭警报工具。 然而，Cloudflare 发现该应用程序向受害者请求额外权限，包括访问用户的联系人、号码、短信内容、已安装软件列表、通话记录、电话 IMEI、登录的电子邮件和应用程序帐户等。 启动后，该应用程序会启动一个后台服务，该服务会滥用这些权限来收集数据，在 CBC 模式下使用 AES 对其进行加密，然后将其上传到硬编码的 IP 地址。 从受感染设备收集数据的代码 (Cloudflare) 该应用程序还具有反调试、反仿真和反测试机制，可保护其免受研究人员和代码审查工具的侵害。 红警安全提示 在撰写本文时，该假冒网站已离线。然而，在其行动曝光后，威胁行为者可能会转向新的领域。 区分真实版本和附加版本的一个简单方法是检查应用程序在安装时请求的权限或在它已安装在您的设备上时可以访问的权限。 要检查这一点，请长按应用程序的图标，选择“应用程序信息”，然后点击“权限”。 此外，据报道 真实的 RedAlert 应用程序遭到劫持 ，黑客活动分子利用 API 缺陷向用户推送虚假通知。 为了最大程度地减少发生此类事件的可能性，请确保您使用的是包含所有可用安全修复程序的最新应用程序版本。   转自安全客，原文链接：https://www.anquanke.com/post/id/290798 封面来源于网络，如有侵权请联系删除

研究人员正在关注以色列-哈马斯冲突引发的国家支持的信息行动，但到目前为止，还没有出现重大举措。然而，随着越来越多的黑客活动主义者和间谍行为者加入这场争论，预计反以色列的影响力和间谍活动将加大。 在本周举行的一次新闻电话会议上，谷歌云Mandiant Intelligence首席分析师John Hultquist表示，到目前为止，还没有发现“协调的网络活动”，但随着情况的持续，攻击预计会随着时间的推移而增加。他指出分布式拒绝服务（DDoS）活动可能是其他类型政治活动的前兆，并特别指出匿名苏丹是活跃的。 与此同时，他指出，预计破坏性威胁开始增加——或者至少声称关键基础设施遭到黑客攻击。 影响力行动的开端 信息作战有两个定义：它们可以指收集有关对手的战术信息，或传播宣传，以获得对手的竞争优势。 在另一方面，Hultquist说，到目前为止，已经确定了两个值得注意的信息行动活动。第一个与伊朗有关，伊朗“在宣传与危机有关的叙事”。特别是这涉及伊朗假扮埃及人，从而煽动历史敌对行动。在之前的案例中，一些团体利用虚假新闻网站和多个社交媒体平台上的相关账户群，宣传符合伊朗利益的政治叙事，包括反以色列和亲巴勒斯坦的主题。 这些信息声称，以色列受到了一支小部队的羞辱，这暴露了最先进的军事超级大国之一的弱点，以色列士兵现在害怕哈马斯。Hultquist表示，这些说法尚未得到证实，值得怀疑。 在这种情况下，这些报道放大以色列政府的失败，以色列政府似乎没有意识到即将到来的袭击。 Hultquist还说到：“不过，目前没有任何迹象表明这些行动正在获得重大进展或真正的吸引力，传播这些信息和创建这些内容是一回事。真正渗透到普通公民的意识中是另一回事。” 超越影响力运动：下一阶段的攻击 Hultquist表示，今后预计会有更多的间谍活动，特别是与伊朗和黎巴嫩真主党有关的行为者。他还表示，预计会看到一些活动看起来像是出于经济动机的网络犯罪，包括基于勒索软件的部署，这些部署没有收集资金，只是围绕数据泄露发出威胁。 与此同时，针对关键基础设施的威胁和姿态将会增加。就在本周，威胁组织宣布他们打算对以色列、巴勒斯坦及其支持者发动破坏性袭击，而“匿名苏丹”则声称他们袭击了《耶路撒冷邮报》。然而，关于此类袭击严重性的大量“可疑信息”，许多声称成功击中主要目标的说法只是另一种形式的影响力活动。 “我们看到威胁行为者利用一个极其混乱的环境，谎报他们能做什么、已经完成了什么，或者‘几乎’完成了什么——因为这些事情很难得到专家的验证。这些可疑的说法可以产生预期的效果。预计在未来几天会看到很多这样的情况，这可能会产生不利的心理影响。”Hultquist说道。   转自E安全，原文链接：https://mp.weixin.qq.com/s/sWq9XoQIOYKbJ5bWwIko5Q 封面来源于网络，如有侵权请联系删除

微软本周早些时候宣布，未来将在 Windows 11 中取消 NTLM 身份验证协议。NTLM（新技术 LAN 管理器的缩写）是一系列用于验证远程用户身份并提供会话安全性的协议。 Kerberos 是另一种身份验证协议，它已取代 NTLM，现在是 Windows 2000 以上所有 Windows 版本上域连接设备的当前默认身份验证协议。虽然 NTLM 是旧 Windows 版本中使用的默认协议，但如今仍在使用，并且如果出于任何原因 Kerberos 失败，将改用 NTLM。 黑客在NTLM 中继攻击中广泛利用 NTLM ，迫使易受攻击的网络设备（包括域控制器）对攻击者控制下的服务器进行身份验证，从而提升权限以获得对 Windows 域的完全控制。 尽管如此，NTLM 仍然在 Windows 服务器上使用，允许攻击者利用ShadowCoerce、DFSCoerce、PetitPotam和RemotePotato0等漏洞，这些漏洞旨在绕过 NTLM 中继攻击缓解措施。 NTLM 还成为哈希传递攻击的目标，网络犯罪分子利用系统漏洞或部署恶意软件从目标系统获取 NTLM 哈希（代表哈希密码）。一旦拥有哈希值，攻击者就可以利用它来验证受感染用户的身份，从而获得对敏感数据的访问权限并在网络上横向传播。 微软表示，自 2010 年以来，开发人员不应再在其应用程序中使用 NTLM ，并一直建议 Windows 管理员禁用 NTLM 或配置其服务器以使用 Active Directory 证书服务 (AD CS) 阻止 NTLM 中继攻击。 不过，微软现在正在开发两个新的 Kerberos 功能：IAKerb（使用 Kerberos 进行初始和传递身份验证）和本地 KDC（本地密钥分发中心）。 “Kerberos 的本地 KDC 构建在本地计算机的安全帐户管理器之上，因此可以使用 Kerberos 完成本地用户帐户的远程身份验证，”微软的 Matthew Palko 解释道。 “这利用 IAKerb 允许 Windows 在远程本地计算机之间传递 Kerberos 消息，而无需添加对其他企业服务（如 DNS、netlogon 或 DCLocator）的支持。IAKerb 也不需要我们在远程计算机上打开新端口来接受 Kerberos 消息”。 Microsoft 打算在 Windows 11 中引入两项新的 Kerberos 功能，以扩大其用途并解决导致 Kerberos 回退到 NTLM 的两个重大挑战。 第一个功能 IAKerb 使客户端能够在更广泛的网络拓扑中使用 Kerberos 进行身份验证。第二个功能涉及 Kerberos 的本地密钥分发中心 (KDC)，它将 Kerberos 支持扩展到本地帐户。 Redmond 还计划扩展 NTLM 管理控制，为管理员提供更大的灵活性来监控和限制其环境中的 NTLM 使用。 “所有这些更改都将默认启用，并且在大多数情况下不需要配置。NTLM 将继续作为维持现有兼容性的后备方案，”Palko 说。 “减少 NTLM 的使用最终将导致它在 Windows 11 中被禁用。我们正在采用数据驱动的方法并监控 NTLM 使用的减少情况，以确定何时可以安全地禁用它。 “与此同时，您可以使用我们提供的增强控件来抢占先机。默认情况下禁用后，客户还可以出于兼容性原因使用这些控件重新启用 NTLM。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290783 封面来源于网络，如有侵权请联系删除

Cyber News 网站披露，前 NBA 球星托尼-帕克旗下篮球队 ASVEL 遭 NoEscape 勒索软件攻击，威胁攻击者窃取了大量球员数据信息和机密协议。 注：公开资料显示，ASVEL 是欧洲最著名的篮球队之一，总部位于法国里昂的维勒班内社区，主要参加欧洲级别最高的篮球联赛-欧洲联赛，球员包括乔弗里-劳沃金、南多-德-科洛、大卫-莱蒂、迈克-斯科特等人，老板是四届 NBA 冠军球星托尼·帕克。 勒索软件事件发生不久后，威胁攻击者将盗取的数据信息发布在 NoEscape 勒索软件团伙泄露网站上，并在泄密帖子宣称盗取了 ASVEL 篮球队 共 32GB 的数据，其中主要包括球员的护照和身份证、ASVEL 的财务和税务数据、保密协议 (NDA)、球员球探合同以及其他机密信息。 NoEscapte 泄密网站上列出的 ASVEL 数据信息。图片来自 Cybernews。 网络安全研究人员表示 NoEscape 勒索软件最早出现在 2023 年 5 月，与其它许多勒索软件一样，也是按照 “勒索软件即服务”（RaaS）模式运作，恶意软件开发者通过向运营商出售勒索软件，从中抽成赚取利益。 从 Cybernews 监控工具 Ransomlooker 的数据来看，NoEscape 自成立以来已经攻击了 54 个组织，赎金要求从几十万美元到一千万美元不等。值得一提的是，据信 NoEscape 是 Avaddon 勒索软件集团的”继承者“。 最后，针对勒索软件一事，Cyber News 已向 ASVEL 球队方面征求意见，但截至发稿前并未收到回复。   转自Freebuf，原文链接：https://www.freebuf.com/news/380658.html 封面来源于网络，如有侵权请联系删除

在.NET Framework的NuGet软件包管理器上发现了一个恶意软件包，它可发送名为SeroXen RAT的远程访问木马。 软件供应链安全公司Phylum在今天的一份报告中说，这个名为Pathoschild.Stardew.Mod.Build.Config的软件包是一个名为Pathoschild.Stardew.ModBuildConfig的合法软件包的篡改版本。 据了解，真实软件包迄今已获得近 79000 次下载，但恶意变种在 2023 年 10 月 6 日发布后人为虚假夸大了下载次数，让其下载量突破了 10万 次。 该软件包背后的个人资料还发布了其他六个软件包，累计吸引了不少于210万次下载，其中四个伪装成各种加密服务（如Kraken、KuCoin、Solana和Monero）的库，但也是为了部署SeroXen RAT而设计的。 攻击链是在安装软件包时通过 tools/init.ps1 脚本启动的，该脚本旨在不触发任何警告的情况下实现代码执行，JFrog 曾在 2023 年 3 月披露过利用这种行为检索下一阶段恶意软件的情况。 JFrog当时表示：尽管init.ps1脚本已被弃用，但它仍被Visual Studio认可，并会在安装NuGet软件包时不发出任何警告的情况下运行。在 .ps1 文件中，攻击者可以编写任意命令。 在Phylum分析的软件包中，PowerShell脚本被用来从远程服务器下载一个名为x.bin的文件，而这个文件实际上是一个被严重混淆的Windows批处理脚本，它反过来负责构建和执行另一个PowerShell脚本，最终部署SeroXen RAT。 SeroXen RAT是一款现成的恶意软件，以60美元的终身捆绑价格出售，因此网络犯罪分子很容易获得它。它是一种无文件 RAT，结合了 Quasar RAT、r77 rootkit 和 Windows 命令行工具 NirCmd 的功能。 该公司在Python包索引（PyPI）资源库中检测到7个恶意软件包，它们冒充阿里云、亚马逊网络服务（AWS）和腾讯云等云服务提供商的合法产品，偷偷将凭证传输到一个混淆的远程URL。 软件包名称如下： 腾讯云–python-sdk python-alibabacloud-sdk-core alibabacloud-oss2 python-alibabacloud-tea-openapi aws-enumerate-iam enumerate-iam-aws alisdkcore Phylum指出：在这次攻击活动中，攻击者利用了开发人员的信任，利用现有的、完善的代码库，插入了一段恶意代码，目的是渗出敏感的云凭证。 Phylum指出：其精妙之处在于，攻击者采取了保留软件包原有功能的策略，试图掩人耳目。这种攻击简约而有效。 Checkmarx 还分享了同一活动的其他细节，称其目的也是通过一个名为 telethon2 的欺骗性软件包来攻击 Telegram，该软件包旨在模仿 telethon，这是一个与 Telegram API 交互的 Python 库。 假冒库的下载大多来自美国，其次是中国、新加坡、香港、俄罗斯和法国。 该公司表示：这些软件包中的恶意代码并不是自动执行的，而是被策略性地隐藏在函数中，只有当这些函数被调用时才会触发。攻击者利用 Typosquatting 和 StarJacking 技术引诱开发者使用他们的恶意软件包。 本月早些时候，Checkmarx 进一步揭露了针对 PyPI 逐步复杂的攻击活动，即在软件供应链中埋下 271 个恶意 Python 软件包，以便从 Windows 主机上窃取敏感数据和加密货币。 这些软件包还带有破坏系统防御的功能，在被下架前总共被下载了约 75000 次。   转自Freebuf，原文链接：https://www.freebuf.com/news/380623.html 封面来源于网络，如有侵权请联系删除

在以色列和哈马斯之间持续冲突之际，网络空间开辟了一个新的战场，双方的黑客组织阵营都试图攻击对方的基础设施，同时也将对方的支持者拖入冲突。 DDoS是主要攻击方式 Flashpoint网络威胁情报运营副总裁Ian Gray表示：“分析人士注意到DDoS攻击、网站篡改以及各种黑客组织暗网热烈讨论的大量公开实例。”该地区持续不断的武装冲突可能会吸引更多的黑客组织，这些组织出于意识形态、政治，或者机会主义选择支持以色列或巴勒斯坦。” Cloudflare的数据显示，以色列和巴勒斯坦的大量目标遭遇了DDoS攻击。 10月7日哈马斯发动袭击后仅几个小时，加沙地带的两个自治系统就遭DDoS攻击离线。随后，10月9日，另外两个网络也出现中断。Cloudflare还监测到针对以色列和巴勒斯坦的网络攻击暴增，其中包括一次12.6亿个HTTP请求的DDoS攻击。 俄罗斯黑客组织主导对以色列的攻击 根据FalconFeedsio的最新统计，目前已经有20个黑客组织宣布支持以色列，77个黑客组织支持巴勒斯坦： 亲巴勒斯坦的黑客阵营的领导者是几个俄罗斯黑客组织：Killnet和Anonymous Surdan（匿名苏丹）。他们在Telegram上声称对最近针对以色列政府网站和《耶路撒冷邮报》的攻击负责。匿名苏丹还声称对袭击以色列的全天候防空系统“铁穹”负责。 其他黑客组织也纷纷加入冲突。10月7日，支持巴勒斯坦的黑客组织“孟加拉国神秘团队”在Telegram上宣布支持哈马斯，使用了支持巴勒斯坦的主题标签，包括#FreePalestine和#OpIsraelV2。 “孟加拉国神秘团队”声称支持匿名苏丹，其频道还宣传多个亲巴勒斯坦的黑客活动。包括Team_Azrael_Angel_of_Death、GanosecTeam、HacktivistIndonesia、GarudaAnonSecurity、KEPTEAM、TeamInsanePakistan和Xv888。这些组织声称对以色列多个网站的攻击负责。 印度黑客组织攻击巴勒斯坦 总部位于印度的黑客组织“印度网络部队”针对巴勒斯坦发动了多次网络攻击来声援以色列，并声称对哈马斯官网、巴勒斯坦国家银行、巴勒斯坦网络邮件政府服务和巴勒斯坦电信公司网站遭受的攻击负责。 Flashpoint在一份报告中表示：“印度网络部队“此前曾发起过几场支持印度的网络活动。他们之前的目标包括孟加拉国和加拿大。孟加拉国因其与巴基斯坦的关系而成为目标。 印度因支持以色列遭受攻击 印度在此次冲突中背离传统中立立场选择支持以色列，因此被拖入了网络战。 黑客组织“巴勒斯坦幽灵”在Telegram频道上宣布将对印度发动攻击，原因是印度公开支持以色列。 10月9日，多家媒体报道援引未公开消息来源证实印度政府网站遭到网络攻击，其中包括德里政府和印度顶级医学科学研究所AIIMS的网站。 同一天，网络安全公司CloudSEK的情境人工智能数字风险平台XVigil发现，由于印度对以色列的支持，多个黑客组织正在策划对印度进行网络攻击。 CloudSEK网络情报主管Rishika Desai表示：“对印度的网络攻击将在黑客活动标签#OpsIsrael#OpIsraelV2下进行组织。”“这些攻击背后的动机主要是政治因素，攻击媒介可能是大规模篡改、数据泄露、凭证泄露和DDoS攻击。” CloudSE透露，多个黑客组织在10月7日至9日期间攻击了印度政府网站。这些组织包括Syhlet Gang、与Moroccan Black Cyber Team结盟的Garnesia Team、System Admin BD和Cyber Error System。 专家表示，随着哈马斯和以色列之间的冲突愈演愈烈，网络战可能会蔓延到支持任何一方的其他国家。 Binary Defense威胁情报总监JP Castellanos表示，以色列拥有大量优秀的网络安全企业，有能力针对任何敌对方的IT或关键基础设施发动破坏性的报复攻击。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/lykWvoRX5x4T3SIYpzXmnA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某新型恶意软件冒充合法缓存插件来攻击 WordPress 网站，允许威胁攻击者创建管理员账户控制网站的活动。 据悉，该恶意软件具有多种功能，不仅能够管理插件，在被攻击网站上隐藏自身的活动插件，还可以替换内容或将某些用户重定向到其它恶意链接上。 “假冒”插件具体详情 7 月份，WordPress 的 Wordfence 安全插件制造商 Defiant 公司安全分析师，在清理一个网站时发现了这个新恶意软件。经研究人员仔细观察分析，发现该恶意软件 “带有专业的开头注释”，以伪装成缓存工具（缓存工具通常有助于减少服务器压力和提高页面加载时间）。 值得一提的是，恶意软件可能是在故意模仿缓存工具，以确保在人工检查时不会被发现。此外，恶意插件还被设置为将自己排除在 “活动插件 “列表之外，以此逃避检查。 恶意软件具有以下功能： 创建用户：创建一个名为 “superadmin “的用户，该用户拥有硬编码密码和管理员级权限，第二个功能是删除该用户以清除感染痕迹。 在网站上创建恶意管理员用户（Wordfence） 机器人检测：当访客被识别为机器人（如搜索引擎爬虫）时，恶意软件会向它们提供不同的内容，如垃圾邮件，导致它们索引被入侵网站的恶意内容。因此，管理员可能会看到流量突然增加，或用户报告抱怨被重定向到恶意位置。 内容替换：恶意软件可以更改帖子和页面内容，插入垃圾链接或按钮。网站管理员会收到未修改的内容，以延迟网络攻击者入侵的现象。 插件控制：恶意软件操作员可以远程激活或停用被入侵网站上的任意 WordPress 插件。不仅如此，恶意软件还会清除网站数据库中的痕迹。 控制插件的激活/停用（Wordfence） 远程调用：恶意软件能够检查特定用户的代理字符串，允许网络攻击者远程激活各种恶意功能。 研究人员在一份报告中表示，在以牺牲网站自身的搜索引擎优化排名和用户隐私为代价前提下，上述功能为网络攻击者提供了远程控制受害网站并使其货币化所需的一切条件。 目前，Defiant 没有提供任何有关被新恶意软件入侵网站数量的详细信息，其研究人员也尚未确定最初的访问载体，但已为 Wordfence 免费版用户发布了检测签名，并添加了防火墙规则，以保护高级版、关怀版和响应版用户免受后门攻击。 入侵网站的典型方法包括窃取凭证、暴力破解密码或利用现有插件或主题中的漏洞。因此，网站所有者应为管理员账户使用强大的登陆凭据，保持插件更新并删除不使用的附加组件和用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/380395.html 封面来源于网络，如有侵权请联系删除