2023 年 12 月，名为 ScarCruft 的黑客组织精心策划了一场新的攻击活动，媒体组织和朝鲜事务的知名专家成为了这场活动的目标。 SentinelOne 研究人员 Aleksandar Milenkoski 和 Tom Hegel 在一份报告中表示：“ScarCruft 黑客组织一直在试验新的感染链，包括使用技术威胁研究报告作为诱饵，目标可能是网络安全专业人员等威胁情报的消费者。” 网络钓鱼电子邮件（韩语） 这个与朝鲜有联系的黑客组织，也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet，被评估为国家安全部 (MSS) 的一部分，与 Lazarus Group 和 Kimsuky 不同，后者是国家安全部 (MSS) 的一部分。 ScarCruft 黑客组织以政府和叛逃者为目标而闻名，利用鱼叉式网络钓鱼诱饵提供 RokRAT 和其他后门，最终目标是秘密收集情报以实现朝鲜的战略利益。 2023 年 8 月，ScarCruft 与 Lazarus 集团一起对俄罗斯导弹工程公司 NPO Mashinostroyeniya 进行的攻击有关，这被认为是一次“非常理想的战略间谍任务”，旨在使其有争议的导弹计划受益。 感染链 本周早些时候，朝鲜官方媒体报道称，该国已对其“水下核武器系统”进行了测试，以回应美国、韩国和日本的演习，并称这些演习对其国家安全构成威胁。 SentinelOne 观察到的最新攻击链针对朝鲜事务专家，冒充朝鲜研究所成员，敦促收件人打开包含演示材料的 ZIP 存档文件。 虽然存档中的 9 个文件中有 7 个是良性的，但其中两个是恶意 Windows 快捷方式 (LNK) 文件，反映了 Check Point 先前于 2023 年 5 月披露的用于分发 RokRAT 后门的多阶段感染序列。 诱饵文件 有证据表明，一些在 2023 年 12 月 13 日左右成为攻击目标的个人此前也曾在一个月前的 2023 年 11 月 16 日被挑选出来。 SentinelOne 表示，其调查还发现了恶意软件——两个 LNK 文件（“inteligence.lnk”和“news.lnk”）以及提供 RokRAT 的 shellcode 变体——据说这是黑客行动计划和测试过程的一部分。 虽然前一个快捷方式文件只是打开合法的记事本应用程序，但通过 news.lnk 执行的 shellcode 为 RokRAT 的部署铺平了道路，尽管这种感染过程尚未在野外观察到，这表明它可能用于未来的活动。 这一事态发展表明，国家背景的黑客组织正在积极调整其作案方式，可能是为了规避对其策略和技术公开披露的检测。 研究人员表示：“ScarCruft 仍然致力于获取战略情报，并可能打算深入了解非公开网络威胁情报和防御策略。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zlbizmZlCEeZMOTxH05OJw 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，萨博 SAAB 公司内部数据在黑市泄露，初步判定数据为 2022-2023 时间段，数据大小 2.83 GB，售价 1500$。 萨博公司（SAAB AB）是一家总部位于瑞典斯德哥尔摩的国际性高科技集团，成立于 1937 年。公司主要业务包括防务、航空航天、海上安全和城市交通等领域。 在防卫方面，萨博公司为多个国家提供了各种军事装备及解决方案。其中最著名的产品之一就是“维斯比级”级护卫舰（Visby-class corvette），它具有隐身行战能力，并且配备了多种武器系统和设备。 同时，在民用领域中，萨博还生产商业飞机、控制飞机引擎和其他空中交通相关产品，并且他们积极地践行可持续发展承诺, 在气候变化问题上得到社会广泛认可。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据报道，攻击者向卡尔维亚市政府索要 1000 万欧元赎金，该市市长称绝对不会支付，此前西班牙加入了《反勒索软件倡议》。 1 月 17 日，西班牙马略卡岛卡尔维亚市议会宣布，该市于上周六遭受勒索软件攻击，市政服务受到影响。 卡尔维亚坐落于马略卡岛，历史悠久，拥有 5 万人口。卡尔维亚是该岛的旅游热点，年接待游客约 160 万人次。 市政在线服务瘫痪，议会成立危机委员会 上周末，卡尔维亚市各大系统遭受网络攻击，市议会被迫成立危机委员会，负责评估攻击造成的损害，并制定影响缓解计划。 卡尔维亚市发布声明，“上周六凌晨，本市遭受了一次勒索软件网络攻击，攻击者试图勒索市议会。市议会正在努力尽快恢复正常。” 该市市长 Juan Antonio Amengual 表示，一组 IT 专家正在进行取证分析，以估计未经授权访问的程度、恢复受影响的系统和服务。 由于 IT 故障，市政府将指控、申请等所有行政服务的受理截止日期，推迟到 2024 年 1 月 31 日。 如市民急需提交注册文件，仍可以通过西班牙国家综合行政门户网站办理业务。 与此同时，市政府已向警方网络犯罪部门通报这一事件、提交初步取证分析信息，并提出了必要的投诉。 声明末尾，市政府对给市民带来的不便致歉，提醒市民服务热点仍在运营。 声明还表示：“市议会对这种情况可能造成的不便深感遗憾，再次保证将坚定不移地以最有序、快速、高效的方式解决当前情况。” “至少，电话沟通和当面沟通都保持正常。” 攻击者索要 1000 万欧元赎金遭拒 截至本文撰写之时，主要勒索软件团体均未宣布对卡尔维亚市攻击事件负责，因此肇事者身份仍然未知。 不过，当地一家媒体获悉，网络犯罪分子设定了 1000 万欧元的赎金，约合 1100 万美元。 市长告诉当地媒体，市政府在任何情况下都不会支付赎金。 勒索软件对包括小城镇在内的各种规模的实体构成重大风险，这是当今数字领域的一大隐忧。 勒索软件攻击可能使关键的市政服务陷入混乱，严重干扰日常运营和公共服务。如果在旅游旺季发生此类攻击，后果将不堪设想。   转自安全内参，原文链接：https://www.secrss.com/articles/62902 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 瑞士方面称，亲俄团体 NoName 发起的网络攻击已干扰了部分政府网站的正常访问，这是出于对乌克兰总统弗拉基米尔·泽连斯基对达沃斯访问的报复。 该黑客团体在其 Telegram 频道发布的消息中表示：“我们知道瑞士正在举办世界经济论坛达沃斯会议。当然，我们不是空手而来，而是带着 DDoS 攻击这份‘礼物’。” 该团体对瑞士的几个政府网站发动了一系列的 DDoS 攻击，导致这些网站在一段时间内不可访问。 法新社报道称：“瑞士政府表示‘与俄罗斯有关的黑客组织 NoName 声称对这次攻击负责，理由是乌克兰总统泽连斯基参加了在瑞士达沃斯豪华滑雪胜地举行的世界经济论坛年会。” 瑞士国家网络安全中心（NCSC）声称，已经迅速检测到这次网络攻击，并立即采取了必要的措施，恢复了对目标网站的访问。 受攻击的一些网站包括： 达沃斯-克洛斯特滑雪胜地网站的授权 瑞士缆车网络服务提供商 POOL-ALPIN 瑞士内政部 雷蒂亚铁路（前往达沃斯） NCSC 报告称：“这种攻击是预料之中的，我们已经采取了适当的安全措施。” 这些攻击并未影响瑞士政府主门户网站（www.admin.ch）的可访问性。 这并非 NoName 组织第一次袭击瑞士，在去年 6 月，这个亲俄团体曾袭击多个瑞士政府网站，包括瑞士机场、市政府和协会。 瑞士总统 Viola Amherd 宣称，瑞士同意组织一场世界领导人的和平峰会，旨在结束俄罗斯对乌克兰的战争。 然而，瑞士从未向基辅发送军火，也不允许拥有瑞士制造武器的国家将其重新出口到乌克兰。 瑞士只同意欧盟对俄罗斯的经济制裁。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

被称为 ChatGPT 开发商的 OpenAI 近日在达沃斯世界经济论坛上宣布为美国军方开发网络安全技术，并加大对美国选举安全的工作力度。 该公告是在公司政策发生变化之后发布的，该政策此前禁止生成式人工智能模型用于军事目的和创建恶意软件。这些限制现已从 OpenAI 的文件中消失，但该公司强调其技术仍不应用于暴力、破坏或通信间谍活动。 OpenAI 全球事务副总裁 Anna Makanju 在论坛接受采访时提到了与五角大楼在开发开源网络安全软件方面的合作，这次合作必将在该公司的关键产品上留下深远影响。 尽管取消了对 ChatGPT 军事和政治应用的限制，Makanju 确认仍继续禁止使用模型进行武器开发。与此同时，OpenAI 首席执行官 Sam Altman 宣布了一系列措施，以防止生成式 AI 工具被用于传播与选举有关的虚假信息。 值得注意的是，此类声明是在 OpenAI 最大投资者微软做出类似努力的背景下做出的。11 月，雷德蒙德官员宣布了一项保护美国和其他国家选举的五步战略。 根据世界经济论坛的《2024 年全球风险》报告显示，“错误信息和虚假信息”是短期内主要的全球风险。同时，有 56% 的高管认为，生成式人工智能将在未来两年内使攻击者比 IT 防御者更具优势。 然而，我们有理由相信，网络安全领域的共同努力将有助于改善这一状况。那些致力于开发先进人工智能技术的公司已经采取了具体措施，以最大程度地减少潜在的风险。通过全体利益相关者的积极响应，新的发展将显著强化对网络威胁和错误信息传播的保护。   转自安全客，原文链接：https://www.anquanke.com/post/id/292715 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，微软表示，一伙疑似由伊朗支持的威胁攻击者正在针对欧洲和美国研究机构和大学的高级雇员发起鱼叉式网络钓鱼攻击，并推送新的后门恶意软件。 据悉，这些威胁攻击者是臭名昭著的 APT35 伊朗网络间谍组织（又称 Charming Kitten 和 Phosphorus）的一个子组织，疑似与伊斯兰革命卫队（IRGC）有关联。这些威胁攻击者通过此前已经成功入侵的账户发送定制的、难以检测的钓鱼邮件。 微软方面强调，自 2023 年 11 月以来，微软持续观察到 APT 35 的子组织以比利时、法国、加沙、以色列、英国和美国的大学和研究机构中从事中东事务的知名人士为目标，在这些攻击活动中，威胁攻击者使用了定制的网络钓鱼诱饵，试图通过社交工程让目标下载恶意文件。 少数情况下，微软还观察到了新的入侵后技术，包括使用名为 MediaPl 的新定制后门。 MediaPl 恶意软件使用加密通信渠道与其指挥控制（C2）服务器交换信息，并被设计为伪装成 Windows媒体播放器以逃避安全检测。MediaPl 与其 C2 服务器之间的通信使用 AES CBC 加密和 Base64 编码，在被入侵设备上发现的变种具有自动终止、暂时停止、重试 C2 通信以及使用  popen  函数执行 C2 命令的能力。 此外，名为 MischiefTut 的第二个基于 PowerShell 的后门恶意软件可帮助威胁攻击者投放额外的恶意工具并提供侦察能力，使其能够在被入侵的系统上运行任何命令，并输出发送到威胁攻击者控制的服务器上 APT35 攻击活动背后的攻击链（图源：微软） APT35 组织的子组织主要攻击高价值目标，并从被攻破的系统中窃取敏感数据，此前该组织的攻击目标主要是研究人员、教授、记者和其他了解与伊朗利益一致的安全和政策问题的个人。这些与情报界和政策界合作或有可能对情报界和政策界产生影响的个人，对于那些试图为赞助其活动的国家（如伊朗伊斯兰共和国）收集情报的对手来说，是极具吸引力的目标。 疑似多个和伊朗有关的 APT 组织异常活跃 2021 年 3 月至 2022 年 6 月间，APT35 组织在针对政府和医疗保健组织以及金融服务、工程、制造、技术、法律、电信和其他行业领域的公司的攻击活动中，利用以前未知的恶意软件，至少在 34 家公司中设置了后门。 伊朗黑客组织还在针对 macOS 系统的攻击中使用了前所未见的 NokNok 恶意软件，旨在收集、加密和外泄被入侵 Mac 的数据。 另一个被追踪为 APT33（又名 Refined Kitten 或 Holmium）的伊朗威胁组织自 2023 年 2 月以来在针对全球数千个组织的大范围密码喷射攻击中入侵了国防组织，最近还被发现试图利用新的 FalseFont 恶意软件入侵国防承包商。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389981.html 封面来源于网络，如有侵权请联系删除

Anonymous Sudan（匿名苏丹）是一个亲俄罗斯的黑客活动组织，其出现与乌克兰战争开始以来其他亲俄罗斯网络行为者的崛起相一致。 Anonymous Sudan（匿名苏丹）在 Telegram 上声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。 Anonymous Sudan（匿名苏丹）由不同背景的成员组成，该组织声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。它是世界上最大的交换点之一。 伦敦互联网交换中心 (LINX) 是一个共同管理的互联网交换点 (IXP)，总部位于英国伦敦。它为英国及其他地区的网络运营商提供对等服务和公共政策代表。 该组织声称其网络攻击是对英国支持以色列以及对也门发动空袭的回应。Anonymous Sudan（匿名苏丹）组织还威胁称，将在未来几天发动大规模网络攻击，给英国带来重大挫折。 2023 年 1 月 12 日，该组织在其 Telegram 频道上发布了有关 LINX 攻击的信息，但这一说法尚未得到证实。 然而，根据 CyberKnow 的 OSINT 专家的一条推文，在该组织的声明中，LINX 的网站仍然在线，这引发了人们对这些声明的真实性或是否仅仅是猜测的疑问。 英国和美国对也门胡塞武装军事目标发动了空袭。英国使用 150 枚精确制导弹药袭击了 30 个胡塞武装军事基地，打死 5 名武装分子。英国首相里希·苏纳克批准了这一军事行动。 英国此举是对胡塞武装袭击红海国际海事船只的回应。据报道，美国官员从三艘驱逐舰和一艘潜艇发射了 80 多枚“战斧”巡航导弹。艾森豪威尔号航空母舰的 22 架飞机也参与了此次行动。 Anonymous Sudan（匿名苏丹）以针对反俄罗斯和反穆斯林团体/实体使用大规模 DDoS 攻击而闻名。最近，他们几乎每周都会发起攻击，目标是航空公司、政府、银行、大型企业、机场和电信公司。 2023 年 11 月，该组织还声称对ChatGPT 进行 DDoS 攻击并造成服务中断负责。他们此前曾于2023 年 6 月参与对微软办公套件的网络攻击，包括 Outlook 和 OneDrive 等流行应用程序及其 Azure 云计算平台。 自成立以来，Anonymous Sudan（匿名苏丹）组织一直活跃在 Telegram 上，对潜在的攻击发出警告并实时更新。其主要目标包括以色列总理本杰明·内塔尼亚胡的网站、摩萨德，还与Killnet合作。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GTXxeRHmQfJtvE6Iwg9xLg? 封面来源于网络，如有侵权请联系删除

近日，肯尼亚数据保护专员办公室（ODPC）发布了新的指导文件，旨在加强教育、通讯和数字信贷领域的数据保护措施，并提供了一个处理健康数据的通用指南。 这些指导意见是基于《数据保护法》（DPA）制定的，该法是肯尼亚的主要数据保护立法（也是成立ODPC的动力），它于2019年11月25日生效。 为了帮助机构更好地实施规定， ODPC此前已经发布了四份所谓的指导文件，涉及同意、选举、数据控制者与数据处理者的注册，以及数据保护影响评估。 非洲信息与通讯技术联盟（AfICTA）东非地区副主席雷切尔·希坦达表示：“我们的法律还不成熟，希望随着数据保护专员办公室工作的推进，我们的政策控制体系能够得到进一步完善。” Dark Reading就ODPC这一事件发表了评论。 肯尼亚加强数据保护 《数据保护法》（DPA）开始施行到现在已经四年多了，希坦达指出，由于受到世界上发生的许多事情的影响，近年来，该保护法才真正发挥了它的作用。 举几个例子，ODPC根据《数据保护法》对一家餐厅处以大约12500美元（以肯尼亚先令计）的罚款，原因是他们在社交媒体上发布了顾客的照片；对一家数字信贷提供商处以大约20000美元的罚款，因为他们未经用户同意收集了第三方联系信息；对一所学校处以30000美元的罚款，因为他们未经父母同意发布了孩子的照片，这些都是按照《数据保护法》进行的。 希坦达表示，肯尼亚企业与新数据法规之间的冲突至少可以归结于几个因素： 一方面是存在很多合规性的抵触。普通人试图逃避规定或者让法律看起来过于限制性。但对于企业来说，当涉及到它们能被规范到什么程度时，总是会有冲突的。 另一方面是因为这项法律是在2019年颁布的，距今已经四年多了，所以很多人不了解这项法律，或者对它的实际含义只有一个模糊的概念。 在全国范围内提高意识 为特定行业制定指导意见是传播肯尼亚新数据法律意识的一个重要步骤。 在谈到政府监管机构时，希坦达指出，机构需要将新数据法规变成一个公开讨论的话题。以西方国家为例，英国人或美国人都非常了解自己在数据共享和个人信息方面拥有哪些权利，以及如何保护自己，在他们的权利被侵犯时应该如何通过诉讼维权。这些需要尤其注意。 “另外，还需要增强商界对我们信心，以便他们在遇到问题时能够及时上报，因为在信息资产管理方面，企业扮演着至关重要的角色，这是一种公开透明的交流方式。” 希坦达补充到。 目前，公众和企业对新数据法规的接受度很好，政府正在传播有关个人数据保护法的信息，公众对自己的权利也会更加了解。   转自Freebuf，原文链接：https://www.freebuf.com/news/389498.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Cybernews发现一起Elasticsearch数据泄露事件，其中包含超过2.23亿条巴西人的敏感信息。 Elasticsearch 是一个常用的工具，用于搜索、分析和可视化大量数据。这次泄露的数据并没有明确与某个特定公司或组织关联，因此目前暂时无法追溯具体数据来源。   数据泄露总数 这个数据集存放在云服务器上，包含了完整姓名、出生日期、性别以及个人税务登记号码（CPF）。泄露的数据超过 2.23 亿条记录，这意味着巴西全民可能都受到了此次数据泄露的影响。 泄露的私人数据 尽管数据不再公开可用，但黑客可能利用这些信息进行身份盗窃、欺诈和网络犯罪，给相关人员带来财务损害和非授权账户访问等严重风险。 此前，Cybernews曾报道涉及大量据称来自政府实体的泄露数据集在网络上出售的情况，而这次规模更大的泄露加剧了潜在影响。 今年年初，黑客还曝光了10 亿台电脑中的 23TB 数据，其中包括中国公民及上海警方的数十亿份案件记录。此外，还有 1.05 亿印度公民的个人数据（包括身份证号码、全名、出生日期和其他个人身份信息），也被非法披露并在网上售卖。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。 已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。 CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。” CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。 这次重点发现的六个漏洞如下： CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”） CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”） CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”） CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”） CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”） 其中一些列出的漏洞最近才被披露。 例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。 该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。 CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。 针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。 建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。   消息来源：bleepingcomputer，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文