据Proton和Constella Intelligence的研究，918名英国议员、欧洲议会议员、法国议员和参议员的电子邮箱地址及其他敏感信息出现在暗网市场上，英国、欧洲和法国议会的2280个官方政府电子邮箱地址中有40%被曝光，其中包括密码、出生日期等详细信息。泄露数据的电子邮件地址大部分属于英国议员（68%），其次是欧盟议员（44%）。 研究人员指出，法国议员和参议员的安全措施最好，在网络犯罪论坛和暗市中搜索的电子邮件仅有18%。 这些议员、欧洲议会议员、众议员和参议员中，许多人都担任高级职务，包括委员会负责人、政府部长和高级反对派领导人。这些政客可以接触到高度敏感的信息，尤其令人担忧的是，他们中的一些人目前或曾经是负责监督和执行国家和国际数字战略的委员会成员。 这些电子邮件出现在暗网上表明，政客们使用他们的官方电子邮件在第三方网络服务上创建账户，而该账户遭遇了数据泄露。 “这些电子邮件在政府网站上公开，但却出现在暗网上，这本身并不是安全漏洞。这也不是英国、欧洲或法国议会遭到黑客攻击的证据。”报告写道。“相反，这表明政客们使用他们的官方电子邮件地址在第三方网站上建立账户（后来遭到黑客攻击或遭到入侵），将他们自己和他们受托保管的信息置于不必要的风险之中。” 更令人担忧的是，研究人员能够将这些电子邮件地址与 697 个纯文本密码进行匹配。专家通知了受影响的政客，他们指出，如果政客将其中一个暴露的密码重复用于他们的官方电子邮件帐户，也可能面临风险。 英国议员没有因账户被盗而卷入重大丑闻，这真是个奇迹，因为 68% 的搜索电子邮件地址都是在暗网上找到的，包括政府和反对派的高级官员。议员的电子邮件地址在暗网上总共被曝光了 2,110 次，研究人员注意到，最常被攻击的议员遭遇了多达 30 次入侵。平均而言，被入侵的议员的详细信息出现在 4.7 次入侵中。与英国议员相比，欧洲议会议员遭遇的泄密事件较少，但搜索到的近一半电子邮件都是在暗网上找到的。在被曝光的 309 名欧洲议会议员中，有 92 人参与了 10 次或以上的泄密。欧盟政客的电子邮件地址被曝光了 2,311 次，同时还有 161 个明文密码。这引发了人们的担忧，因为欧洲议会越来越成为国家支持的攻击的目标，并承认其缺乏准备。 受影响的政客使用他们的官方电子邮件地址在多个网站上创建账户，包括 LinkedIn、Adobe、Dropbox、Dailymotion、请愿网站、新闻服务，甚至在少数情况下还包括约会网站。 “即使恶意接管其中一个账户不会让攻击者（或外国政府）获得国家机密，但它可能会泄露该政客的私人通信或其他敏感数据。然后攻击者可以利用这些信息对政客进行网络钓鱼或勒索。”报告总结道。 “这是最好的情况。如果被攻破的政客在其官方账户之一上重复使用了在暗网上曝光的密码（并且没有使用 双因素身份验证），攻击者就可能进入政府系统。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/XkXNNuHjFy2OkB-ChYAITQ 封面来源于网络，如有侵权请联系删除

日本加密货币交易所 DMM Bitcoin 警告称，近日其一个钱包中已有 4,502.9 比特币 (BTC) 被盗，价值约 3.08 亿美元（482 亿日元），这是 2024 年最严重的加密货币抢劫案。 DMM Bitcoin 告诉客户：“2024 年 5 月 31 日星期五下午 1:26 左右，我们检测到我们的钱包中发生了比特币（BTC）的未经授权的泄露。” “我们仍在调查损失的细节，但以下是我们现阶段所知道的情况。我们已经采取措施防止未经授权的泄露，但我们也对某些服务的使用实施了限制，以确保额外的安全。” 在该公司调查盗窃事件的同时，它限制了其平台上的众多服务： 新开户审查 加密货币提款处理 暂停现货交易买入订单（仅接受卖出订单） 暂停杠杆交易新开仓（仅接受结算订单） DMM Bitcoin 尚未提供任何有关盗窃如何发生的信息，但过去也曾发生过类似的盗窃行为，盗窃方式是进入公司系统或利用智能合约或网站的漏洞。该交易所向客户道歉，并表示所有比特币（BTC）存款将得到全额保障，因为他们将在该集团公司的帮助下补充等量的存款。 正在追踪被盗比特币的加密货币情报公司 Elliptic 表示，威胁行为者已将被盗的比特币分成多个新钱包。 如果威胁行为者试图将其兑换成其他加密货币，这很可能是为了混淆其踪迹并逃避其他加密货币交易所的阻拦。 Elliptic 表示，如果确认这是一起盗窃案，那么它将成为有史以来第八大加密货币盗窃案，也是今年最大的一起盗窃案。 Elliptic 还证实，它已经确定了参与攻击的钱包。   转自E安全，原文链接：https://mp.weixin.qq.com/s/si7ZaIM-9h4fAQrD0aMRAg 封面来源于网络，如有侵权请联系删除

星链被俄罗斯攻破，不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 据“纽约时报”报道，俄罗斯正在利用更先进的手段，对乌克兰的星链造成广泛破坏，乌克兰数字部长Mykhailo Fedorov表示该消息属实。 自俄乌冲突爆发以来，星链为乌克兰提供了不可或缺的卫星通信服务，是提供态势感知、部队指挥和控制以及部队之间通信的关键因素之一，例如军队之间的通信、收集情报、无人机袭击等等。由于星链被俄罗斯网络人员攻破，乌克兰第92突击旅大受影响，其原定动作已经慢了下来。 乌克兰官员表示，俄罗斯采用了更先进的工具，可以大幅降低星链的服务质量，这也是俄罗斯首次对星链造成如此严重的破坏，并导致星链服务中断。这不仅凸显出乌克兰通信类关键基础设施的脆弱性，也引发了星链用户对于其可靠性和安全性的质疑。 资料显示，星链的工作原理是从绕地球运行的卫星上传送互联网连接。这些信号通过地面终端进行接收，然后像Wi-Fi路由器一样将连接发送到附近的笔记本电脑、电话和其他设备上。自2022年以来,”星链”为乌克兰提供了至关重要的互联网服务，例如依靠它来指导互联网连接的无人机群。 国与国之间的网络战最终还是不可避免地延伸至太空领域。5月27日，乌兰克数字部长Mykhailo Fedorov表示，俄罗斯对星链发起了大规模攻击，大量的通信服务被干扰，中断。有消息指出，对于星链的攻击与破坏还在测试中，俄罗斯正在寻找更具威胁的攻击方法，目前乌兰克正在与星链协商如何应对当前局面。 乌克兰士兵表示，星链正在变得“超级、超级缓慢”，甚至于很多士兵开始使用短信通讯，而非即时通讯软件，即使如此短信也需要有足够的时间才能发送，更别提利用星链来发动无人机群进行侦查和攻击。 目前美国正与星链共同应对当前状况，有专家表示，在干扰卫星与地面之间的通讯方面俄罗斯确有其独到之处，俄罗斯对于星链的攻击还有可能破坏器全球定位系统。急剧下降的服务质量让乌克兰部队苦不堪言，其士兵也在不断尝试各种技术与方法，以保护星链免遭攻击，具体包括将终端放置在洞中，并覆盖金属网等，但有专家认为这种方案的效果不大。 乌克兰使用的星链被俄罗斯攻破也给各国关键信息基础设施防护敲响了警钟。一直以来，电信行业关键信息基础设施能够提供网络通信和信息服务，为社会经济起到基础性支撑作用。面对日益严峻的安全风险和安全挑战，各国在关键信息基础设施保护方面积极开展实践，做好电信网络关键信息基础设施安全保护是重中之重。 近年来，国内外针对基础设施和重要信息系统的网络攻击事件频发，攻击手段不断升级，关键信息基础设施受到的网络威胁呈逐年上升趋势，对社会稳定和国家安全造成了巨大威胁，关键信息基础设施安全运行面临巨大挑战。 公共通信网和互联网作为国家信息化、数字化建设的主要载体，是最典型、最重要的关键基础设施，基础运营商的通信网、信令网、业务系统等重要系统是国家基础信息服务的支撑。 因此，电信行业关键信息基础设施运营者需建立关键信息基础设施保护安全管理体系、技术体系和运营体系。另外应呼吁行业协同保护关键信息基础设施安全，建立主动防御、信息共享、应急响应、预警通报和态势感知等协同机制，共同建立电信行业关键信息基础设施保护安全体系。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402143.html 封面来源于网络，如有侵权请联系删除

疑似国家级黑客入侵了纽交所母公司的VPN设备，试图窃取该设备上的用户账号信息，以进一步渗透内网；该公司评估事件影响极小，但SEC认为其作为市场关键主体，未能及时上报事件，以此处罚1000万美元。 安全内参5月23日消息，美国洲际交易所（ICE）因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞，遭美国证券交易委员会（SEC）指控，需支付1000万美元（约合人民币7245万元）罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司，在全球范围内拥有并经营多家金融交易所和结算所，包括纽约证券交易所。2023年，该公司雇佣了超过1.3万名员工，报告总收入为99.03亿美元。 美国《监管系统合规性和完整性》（Regulation SCI）法规要求，如公司发现入侵等安全事件，必须立即通知SEC，并在24小时内提供更新，除非他们确定事件对其业务或市场参与者的影响微乎其微。 SEC表示：“被告受Reg SCI监管，但却未能按要求通知SEC有关入侵事件。相反，委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。” “SEC在命令中指控，洲际交易所足足花了四天时间评估事件影响，得出内部结论，认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中，每一秒都很重要，四天过于漫长。” 洲际交易所于2021年4月15日发现了这一事件。此前，第三方通知洲际交易所，可能发生了与其VPN设备中未知漏洞有关的系统入侵。 疑为国家级黑客入侵 后续调查发现，一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码，用于远程访问洲际交易所的企业网络。 SEC的命令显示：“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码，试图窃取该设备处理的信息，包括员工姓名、密码和多因素认证代码。利用这些数据，威胁行为者或能访问内部企业网络。” 洲际交易所的安全团队发现证据表明，威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”，但是他们依然确定攻击者只访问了一台被入侵的VPN设备。 SEC表示，洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞，违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误，洲际交易所子公司未能正确评估入侵情况，并未履行Reg SCI规定的披露义务。 洲际交易所及其子公司同意接受SEC的命令，承认子公司违反了Regulation SCI的通知规定，且这些违规行为系洲际交易所所致。 对于SEC的调查结果，洲际交易所及其子公司既未承认也未否认，表示将按SEC禁止令的规定，不再违反Reg SCI法规，并支付1000万美元民事罚款。   转自安全内参，原文链接：https://www.secrss.com/articles/66426 封面来源于网络，如有侵权请联系删除

近日，在产品接连曝出多个严重漏洞后，工业自动化巨头罗克韦尔（Rockwell Automation）向其全球客户发出紧急通知，要求他们立即采取行动切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接，原因是全球地缘政治局势紧张，（针对罗克韦尔设备的）网络攻击活动日益猖獗。 罗克韦尔表示，网络安全人员绝不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。通过断开互联网连接，企业可以大幅减少自身遭受攻击的风险面，确保黑客组织Akteure（德语，意为行动者，此处指网络攻击者）无法直接访问尚未修复安全漏洞的罗克韦尔工控系统，从而阻止攻击者获取目标内部网络的访问权限。 罗克韦尔在通知中指出：“断开网络连接作为积极防御措施，可以缩小攻击面，并能立即降低来自外部威胁Akteure的未授权恶意网络活动风险。” 罗克韦尔还提醒客户采取必要的缓解措施，以保护其设备免受以下影响Rockwell ICS设备的安全漏洞的攻击（其中包括五月份最新披露的多个严重漏洞）： 美国网络安全和基础设施安全局(CISA)也在今天发布了警报，重点强调了罗克韦尔关于减少ICS设备遭受网络攻击的新指南。 本月初，包括美国国家安全局、联邦调查局、CISA以及加拿大和英国的网络安全机构在内的一些美国联邦机构警告称，亲俄黑客组织可能会通过入侵不安全的OT系统来扰乱关键基础设施运营。 其中一个名为“俄罗斯网络军团”的组织，被Mandiant公司关联到沙虫组织（Sandworm），后者据称是俄罗斯联邦对外情报局(GRU)的一个黑客组织，也是俄罗斯的对外军事情报机构。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_klILoB3Kk2Hl0FV-pzkkA 封面来源于网络，如有侵权请联系删除

therecord网站消息，据最新研究显示，DHS（美国国土安全局）在过去四年中采集了超过 150 万移民的 DNA 数据，并将其储存在一个用于刑事调查的数据库中。 Georgetown Law Center on Privacy & Technology（乔治城隐私与技术法律中心）发现，自特朗普政府强制要求收集所有被拘留移民 DNA 的规定于 2020 年生效以来，该机构收集的 DNA 样本数量已从规定修改前 15 年内收集的 3 万份样本总数激增了 50 倍。 研究人员表示，即使移民被拘留的时间非常短暂，国土安全部也会从他们身上提取DNA。 乔治城报告的作者呼吁拜登政府推翻特朗普的规定，并删除政府目前掌握的大量移民数据，这些移民没有犯罪，却被迫提供基因信息。 报告合著者之一 Emerald Tse 表示，许多被采集 DNA 的移民并不了解他们的 DNA 正被用于填充一个名为 “CODIS”（DNA 联合索引系统）的犯罪数据库。CODIS 数据库可供国际执法部门以及地方、州和联邦层面的国内犯罪调查人员使用。 虽然国土安全局有内部指导方针，要求其工作人员告知移民他们的 DNA 将被提取，但许多移民表示他们并没有被告知。 “我们采访的许多人都没有看到书面通知，也没有被口头告知他们的 DNA 被提取，他们表示非常困惑和害怕，有些人认为他们接受口腔拭子检查是为了检测疾病。“Tse 说。 政府无限期地储存 DNA 样本，乔治城大学的研究人员认为这很危险，因为技术发展如此之快，而限制政府使用这些样本的法律又非常缺乏。 Tse 表示，被提取 DNA 的移民可能会在没有正当理由的情况下被拘留，从而引发严重的宪法问题。政府不需要向中立的法官证明任何事情，他们仅凭一个 CBP（美国海关和边境保护局）或 ICE（移民和海关执法局）特工的决定就可以拘留某人。 目前，国土安全局没有对置评请求做出回应。 Tse 介绍，DNA 采集计划不仅针对试图进入美国的人，也针对在几乎任何环境下被拘留的移民，又或是被迫交出 DNA 样本的移民（包括驾车通过边境检查站或在机场通过海关时被拦下盘问的人）。这涉及到很多不同的情况，人们被移民执法部门拦下，但这仍然构成拘留。 Tse 表示，国土安全局并未报告数据显示其收集 DNA 的对象的种族、民族和国籍，但她断言，由于被 CBP 和 ICE 拘留的大多数人是跨越美国与墨西哥边境的，因此不难推断该计划对有色人群的影响过大。 Tse说：”这些社区的警力已经过剩，而且监控过度，因此扩大 DNA 采集范围意味着这些社区的警力将加强。” 值得注意的是，DNA 采集计划是在 “美国针对不同种族移民群体的移民法律和政策由来已久的背景下出台的”。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401557.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示， 暗网知名的黑市论坛BreachForums 在今天（5 月 16 日）再次被 FBI 执法机构控制。 目前FBI 执法机构在控制的黑市网站上留言：“我们正在审查此网站的后端数据。如果您有关于网络犯罪活动的信息需要报告。在BreachForums上，请联系我们。” 目前 BreachForums 的 Telegram 群组也被 FBI 接管，并留下了举报联系方式。 后续我们将持续追踪这一事件，并披露相关细节。 据了解， BreachForums  黑客论坛曾多次发布泄露数据。 2022年10月21日，台湾地区户政系统传出遭黑客入侵，一名ID为“OKE”的网友在海外论坛BreachForums上贩售20万笔台湾民众户籍资料，并宣称手上有全台2300万民众资料。 2023年10月19日，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据源主要来自英国和德国。 2024年3月，一名为IntelBroker的黑客在非法论坛BreachForums上发布帖子称，法国跨国酒店公司Accor.com遭遇数据泄露事件，导致64.2万用户的个人信息泄露。除姓名、电子邮件地址、职位以及所属公司等数据外，泄露的数据样本还包括与个人社交媒体资料信息。 BreachForums  2024 年 4 月 10 日发布的帖子称，一名为Okhotnik 的黑客声称对渗透 BHF Couriers 的基础设施并随后提取大量数据库负有责任。泄露的数据集含 1920 万条记录，其中有多种信息，包括发票、订单详细信息、地址、信用卡详细信息和联系电话号码。 相关资讯链接： 台湾全岛个人信息被放在网上兜售，经调查至少 20 万条数据属实 数百万份 23andMe 基因数据资料被盗 IntelBroker 再次出击，知名酒店 64.2 万人数据遭泄露 澳大利亚快递公司 BHF 1920 万条数据记录泄露   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达  

根据国家网络办公室周二发布的一份报告，拜登政府计划采取积极行动，增强关键基础设施部门的网络弹性，包括医疗保健和水务部门，这些部门是近几个月来重大威胁活动的目标。 美国希望加快情报共享流程并促进与私营部门更密切的合作。政府还计划增强主动破坏威胁活动并打击攻击者的能力。 “我们国家的网络安全正处于根本性变革之中。”国家网络总监Harry Coker Jr. 在一份声明中表示。“我们在实现安全、繁荣和公平的数字未来的积极愿景方面取得了进展，但我们面临的威胁仍然令人畏惧。” 该报告于周二网络安全界聚集在旧金山举行的 RSA 年度会议上发布，强调自去年 3 月国家网络安全战略启动以来，美国网络安全态势的重大改变。 报告称，国家背景的黑客组织对美国构成重大威胁，这些组织积极针对美国关键基础设施提供商进行破坏性网络攻击。 报告称，勒索软件组织也在加大针对美国组织的双重和三重勒索活动。 随着官员们发布了政府网络实施计划的最新信息，对美国网络安全态势的审查也随之而来。 美国仍需要开展更多工作来帮助增强其私营部门合作伙伴的抵御能力，这些合作伙伴拥有并运营着美国大部分关键基础设施。人们的担忧之一是政府和关键基础设施部门使用老化技术的风险增加，容易受到复杂的攻击。 “态势报告反复强调政府、企业和公用事业公司正在向云服务提供商迁移，这既是积极的一步，也需要更多地关注安全方面的细节。”网络与安全中心高级主任马克·蒙哥马利 (Mark Montgomery) 表示。 政府正在采取措施提高私营部门合作伙伴的抵御能力，其中包括美国网络信任标志计划，该计划旨在突出安全技术产品，以及通过网络安全和基础设施安全局开发安全软件的行业承诺。 然而，分析人士对政府今后是否能够真正获得私营部门的充分合作提出了疑问。 Gartner 杰出副总裁分析师凯特尔·蒂勒曼 (Katell Thielemann) 表示：“为了在对抗网络不安全的战争中取得进展，白宫需要参与和协调。” “目前，私营企业感受到来自四面八方的大量新指令。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/d_AOjdw4asfUAb4GMbhlRw 封面来源于网络，如有侵权请联系删除

thecyberexpress网站消息，近日，新加坡国会批准了《网络安全法》修正案，该法案旨在加强国家不断发展的关键基础设施的防御能力，并适应技术进步。 《网络安全法》修正案要求关键信息基础设施（CII）的所有者报告更广泛的事件，包括在其供应链中发生的事件。 新加坡通信与信息部高级国务部长 Janil Puthucheary 表示，当务之急是应对恶意网络行为者不断变化的策略，他强调，需要将警惕范围扩大到外围系统和供应链。 最新《网络安全法》修正案的意义 新立法授权当局监管 “临时网络安全关注系统”（STCC），这些系统在有限的时间内面临网络攻击的风险较高，如果遭到破坏，将对新加坡的国家利益构成威胁。 该修正案赋予新加坡网络安全局（CSA）监督网络安全特别关注实体（ESCI）的权力，如果这些实体遭到破坏，可能会对国防、外交关系、经济、公共卫生、安全或秩序造成重大不利影响。为防止无意中将 ESCIs 识别为目标，其具体身份将不会公开披露。 拟议的法案还将增加新的实体类别，当局将对其数字防御系统进行审计，其中包括可能持有敏感数据或履行重要职能自主大学。 此外，如果支持海外基本服务的公司所有者位于新加坡，CSA 可以对这些公司进行监管。Janil 博士强调，该法案旨在应对网络安全形势的变化和 CSA 在运营中面临的挑战。 网络安全形势不断变化，云计算的使用和对数字技术的依赖都在增加，因此有必要更新法律以保障基本服务。 在该法案制定之初，CII 通常是在办公场所内的物理系统，完全由 CII 所有者拥有或控制。但云服务的出现对这种模式提出了挑战。Janil博士说道：”随着恶意行为者的战术和技术发展到以外围或供应链上的系统为目标，我们也必须开始在这些地方设置警报。” 数字通信的普及和技术应用的激增凸显了个人和组织所面临的网络风险的增加。在此背景下，更新网络安全法对于确保新加坡的数字韧性并保持对新威胁的领先地位至关重要。 国会议员对合规成本和监管清晰度表示担忧，Janil 博士澄清说，该法案针对的是关键国家系统的网络安全，而不是对商界施加广泛义务。新法律将只监管在国家层面上具有重要意义的系统基础设施和服务的网络安全，因为这些系统基础设施和服务的中断或受损可能会影响新加坡的生存、安全、保障或其他国家利益。 “这是一组已知的、有限的系统和实体，我们的方法是有针对性的、经过校准的，因为监管将涉及合规成本，而有些合规成本是无法避免的，我·们不会在没有充分理由的情况下寻求监管。”Janil 博士说。 CSA 将为受监管的实体提供支持，在指定系统或实体之前与它们进行接触，并就合规措施提供指导。另外，指定实体的上诉程序已经到位，以确保监管决定的透明度和问责制。Janil 博士还强调了指定实体决定的重要性，因为这些决定对国家安全和利益有潜在影响。 政府将采取审慎的方法，在监管要求与最大限度降低合规成本和支持受影响实体的需要之间取得平衡。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400205.html 封面来源于网络，如有侵权请联系删除

北约和欧盟谴责与俄罗斯有关的威胁组织APT28（又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 本周，德国联邦政府以最强烈的措辞谴责 APT28 组织针对德国社会民主党执行委员会开展的长期间谍活动。 “联邦政府针对此次活动的国家归因程序得出的结论是，在相对较长的一段时间内，网络攻击者 APT28 利用了 Microsoft Outlook 中当时尚未识别的关键漏洞来危害众多电子邮件帐户。”德国联邦监管局发布的公告中说。 自 2022 年 4 月以来，APT28 利用 0day 漏洞 CVE-2023-23397 对欧洲实体进行攻击。这个与俄罗斯相关的 APT 组织还针对北约实体和乌克兰政府机构。 CVE-2023-23397漏洞是一个 Microsoft Outlook 欺骗漏洞，可导致身份验证绕过。 2023 年 12 月，Palo Alto Networks 的 Unit 42 研究人员报告称，APT28组织 在针对欧洲北约成员国的攻击中利用了 CVE-2023-23397 漏洞。 专家们强调，在过去 20 个月中，APT黑客针对了 14 个国家的至少 30 个机构，这些机构可能对俄罗斯政府及其军队具有战略情报意义。 2023 年 3 月，Microsoft 发布了调查利用已修补的 Outlook 漏洞（跟踪为CVE-2023-23397 ）的攻击指南 。 在微软威胁情报于 2023 年底发现的攻击中，攻击者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。 据Unit 42称，APT28于2022年3月开始利用上述漏洞。 “在此期间，Fighting Ursa 至少进行了两次利用此漏洞进行的活动，并且这些活动已被公开。第一次发生在 2022 年 3 月至 12 月期间，第二次发生在 2023 年 3 月。”Unit 42发布的分析报告这样描述。 “Unit 42 研究人员发现了第三个最近活跃的活动，其中 Fighting Ursa 也利用了此漏洞。该组织在 2023 年 9 月至 10 月期间开展了最近一次活动，目标是七个国家的至少 9 个组织。” 研究人员指出，在第二次和第三次活动中，攻击者继续使用众所周知的 Outlook 漏洞。这意味着这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。 目标清单很长，包括： 除乌克兰外，所有目标欧洲国家均为北约组织 (NATO) 成员 至少一支北约快速反应部队 以下部门内与关键基础设施相关的组织：能源、运输、电信、信息技术、军工基地 微软威胁情报还警告称，与俄罗斯有关的网络间谍组织 APT28 正在积极利用 CVE-2023-23397  Outlook 漏洞劫持 Microsoft Exchange 帐户并窃取敏感信息。 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国机构，包括政府实体、企业、大学、研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。政府专家指出，在某些情况下，该组织并没有在受感染的系统中部署任何后门。 ANSSI 观察到 APT28 在针对法国组织的攻击中至少使用了三种攻击技术： 零日漏洞； 攻击路由器和个人电子邮件帐户； 使用开源工具和在线服务。 ANSSI 调查确认 APT28 利用了 Outlook 0day 漏洞 CVE-2023-23397。 据其他合作伙伴称，在此期间，还利用了其他漏洞，例如影响 Microsoft Windows 支持诊断工具的漏洞（MSDT、 CVE-2022-30190，也称为 Follina）以及针对 Roundcube 应用程序的漏洞（CVE- 2020-12641、CVE-2020-35730、CVE-2021-44026）。 根据德国政府最近发布的公告，APT28活动针对的是德国、其他欧洲国家和乌克兰的政府当局、物流公司、军火、航空航天工业、IT服务、基金会和协会。该组织还对 2015 年德国联邦议院的网络攻击负责。这些行为违反了国际网络规范，需要特别关注，特别是在许多国家的选举年期间。 捷克外交部也谴责APT28组织的长期网络间谍活动。该部的声明还证实，从 2023 年起，捷克机构已成为与俄罗斯相关的 APT28 的目标，该组织利用 Microsoft Outlook 0day漏洞。 “根据情报部门的信息，自 2023 年起，一些捷克机构成为利用 Microsoft Outlook 中先前未知漏洞进行网络攻击的目标。这些攻击的操作模式和重点与攻击者 APT28 的个人资料相符。” 北约、 欧盟理事会以及美国和英国政府也发表了类似声明。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM）至少自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。该组织还参与了针对2016 年总统选举的一系列攻击 。该组织隶属于俄罗斯总参谋部主要情报局 (GRU) 。 大多数 APT28 的活动都利用了鱼叉式网络钓鱼和基于恶意软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BQuLzaxvmlzuPUUsa6xe8Q 封面来源于网络，如有侵权请联系删除