哈马斯对以色列发动致命袭击大约 11 天后， Telegram 频道一黑客组织发布消息声称，以色列内瓦蒂姆空军基地的计算机系统遭到破坏，该组织已收集了有关该设施飞行员、其他人员及其家人的信息。该消息包括据称从基地附近的安全摄像头拍摄的屏幕截图和视频。其中一张图片上的标题写道：“你不会安全。” 内瓦蒂姆位于以色列南部，是该国最大的空军基地之一，定期驻扎美国军事资产，并接收了多批美国军事援助物资。 以色列驻华盛顿大使馆周二没有回应置评请求，目前尚不清楚该组织的说法是否准确。对于与哈马斯结盟的黑客来说，对内瓦蒂姆系统的破坏将构成一次重大的公关政变。 这些类型的潜在爆炸性但难以验证的主张已成为寻求影响冲突的黑客活动组织的惯用手段。 周末，一个亲伊朗组织声称，为了报复美国对以色列的支持，它已经获取了数千名美国军方、执法和情报人员的数据，并以大约 2,000 美元的比特币价格出售。该组织发布的样本似乎包括数十名美国军人的身份证和相关文件。 美国军方发言人没有回复置评请求，执法官员周二也拒绝置评。 在以色列和哈马斯之间持续两周多的战斗之后，随着黑客活动组织加大行动力度，诸如此类未经证实的说法变得越来越普遍。针对 内瓦蒂姆空军基地的攻击是否真的发生尚不清楚，但专家警告说，随着冲突的持续，一系列微不足道的攻击 – 以及声称更为严重的攻击 – 可能预示着更重要的网络行动。 SentinelLabs 首席威胁研究员汤姆·黑格尔 (Tom Hegel) 告诉 CyberScoop：“我们可以预见，人们会越来越依赖旨在影响全球对冲突看法的信息行动，特别是在该地区复杂的地缘政治背景下。国家支持的威胁行为者通过各种手段加强其信息行动，包括操纵社交媒体平台、创建虚构的黑客组织以及实施旨在影响全球媒体的战略活动。” 驻英国的伊朗反对派活动家兼独立网络间谍研究员纳里曼·加里布 (Nariman Gharib) 告诉 CyberScoop，伊朗黑客组织“不断针对西方和以色列”。例如，与伊朗有关的人物已经表现出愿意通过窃取和发布有关性取向和艾滋病毒状况等敏感问题的个人数据来恐吓普通民众。 中东是黑客组织的沃土，而最近的网络行动历史是专家们如此担心随着以色列和哈马斯之间的战争拖延而对数字系统的攻击可能升级的原因之一。 被认为与哈马斯、真主党和伊朗有联系的组织多年来一直很活跃，开展的活动包括网络间谍、数据盗窃、黑客攻击和泄密活动，以及以工业控制设施为目标。 SentinelLabs 的高级威胁研究员在周二发布的区域参与者概要中写道。 与以色列有关的网络行动以伊朗政府资产为目标，发起令人尴尬的攻击，导致燃料分配系统关闭并损坏工业设施。 展望未来，黑格尔和米伦科斯基警告说，国家支持的黑客组织可能会利用黑客活动组织作为幌子来掩盖其攻击的起源，而伊朗黑客组织构成了特殊的威胁。 研究人员写道：“伊朗网络威胁行为者的多样性和适应性使他们成为未来全球威胁格局的重要且多方面的组成部分。” “必须将伊朗作为直接网络攻击行动和哈马斯和真主党等与伊朗有联系的组织支持的代理行动的潜在来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291017 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局的一位高级官员周三表示，在一系列不断升级的全球冲突中，美国政府机构和私营部门组织应对针对关键基础设施和关键部门的破坏性网络攻击“保持高度警惕”。 CISA 执行助理主任埃里克·戈尔茨坦 (Eric Goldstein) 表示，美国已经面临重大国际危机——俄罗斯乌克兰以及以色列与哈马斯之间的战争——这对政府机构、关键基础设施运营商和私营部门构成了“网络安全方面的巨大挑战”。 戈德斯坦在智库 R Street Institute 主办的一次活动中表示：“俄罗斯网络攻击者的能力仍然很强。” 围绕乌克兰战争的俄罗斯网络活动的未来轨迹存在“巨大的不确定性”。 戈尔茨坦补充道：“我们必须对如何看待俄罗斯未来针对美国及其盟友的网络活动的可能性保持高度警惕。” CISA 主任 Jen Easterly 在 8 月份的一篇博客文章中表示，在2022 年 2 月之前，乌克兰私营部门与国际网络安全合作伙伴进行了合作，这一努力在增强该国的网络弹性方面发挥了重要作用。 去年俄乌冲突爆发后，CISA 的旗舰公私部门倡议——联合网络防御合作组织开始记录有关俄罗斯威胁行为者的信息，这是防止和减少针对乌克兰和美国本土的破坏性网络活动的一部分。 戈尔茨坦表示，JCDC 拥有 150 多个跨领域的组织，最近几周一直围绕以色列和哈马斯之间的战争“进行持续的合作”。 戈尔茨坦表示，CISA 还一直与以色列国家网络管理局的合作伙伴“并肩”合作。从外部来看，这场冲突中的网络安全攻击似乎仅限于寻求关注的黑客行动拒绝服务事件。密切观察人士表示，在冲突最初几天爆发后，这些攻击的速度已经放缓（参见：以色列-哈马斯战争：寻求公众关注的黑客活动分子选边站队）。 戈尔茨坦表示，为了成功防止未来与新出现的国际冲突有关的网络事件，政府需要继续“推动对公私部门网络安全举措的投资”，同时与私营部门合作伙伴共享互惠的有价值信息。 他补充道：“我们能做的越多，以确保我们能够顺畅地共享、共享互惠价值，这将使我们能够领先于威胁并在伤害发生之前降低风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291015 封面来源于网络，如有侵权请联系删除

乌克兰黑客与该国安全部门 SBU 合作，入侵了俄罗斯最大的私人银行，该部门的一位消息人士向 Recorded Future News 证实。 据报道，上周，两个亲乌克兰黑客组织 KibOrg 和 NLB 侵入了 Alfa-Bank，并声称获得了超过 3000 万客户的数据，包括他们的姓名、出生日期、账号和电话号码。他们的官方网站上有一个帖子。 去年俄罗斯与乌克兰爆发冲突后，阿尔法银行受到美国制裁。该银行的所有者是俄罗斯裔以色列亿万富翁米哈伊尔·弗里德曼(Mikhail Fridman)，他被美国和欧洲列入黑名单，这是对俄罗斯经济及其最富有的商人实施限制的一部分。 黑客在网上发布了一些数据，包括有关弗里德曼父子、亲俄博主阿特米·列别杰夫以及俄罗斯说唱歌手蒂马蒂和巴斯塔的信息。据俄罗斯通讯社塔斯社报道，阿尔法银行否认了有关泄密的报道。 乌克兰安全部门的一位消息人士因无权公开谈论这一事件而要求匿名，他向记录未来新闻证实乌克兰机构参与了此次行动，但没有提供进一步的细节。 这并不是乌克兰情报部门第一次与黑客活动分子合作。乌克兰安全局网络安全负责人伊利亚·维提乌克此前曾表示，乌克兰黑客泄露的文件在该国的网络情报工作中发挥着重要作用。 维提乌克表示，泄露的数据有助于乌克兰查明克里姆林宫在乌克兰境内的目标、敌方军队如何动向以及俄罗斯如何躲避西方制裁。 “网络情报帮助我们获取绝密的敌人文件，”维蒂克说。“过去，我们必须在敌国招募间谍才能获得这种材料，既危险又耗时。” 闯入阿尔法银行的黑客表示，他们计划与调查记者分享获得的数据。 他们还声称已要求乌克兰 YouTube 博主兼恶作剧者叶夫根尼·沃尔诺夫 (Evgeniy Volnov) 给弗里德曼打电话，告诉他有关黑客攻击的事情。黑客活动分子在他们的网站上发布了所谓的对话，弗里德曼在对话中表示他对这次黑客攻击无能为力，然后挂断了电话。阿尔法银行没有回应置评请求。 此前，NLB 黑客声称对俄罗斯 MTS 银行和俄罗斯最大国有银行 Sberbank 的网络攻击负责。   转自安全客，原文链接：https://www.anquanke.com/post/id/290929 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处 近期，DoNot Team的黑客被发现使用了一种新型的基于.NET的后门，名为Firebird，其主要针对巴基斯坦和阿富汗的一些受害者。 网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现，称这些攻击链还配置了一个名为CSVtyrei的下载器（因其与Vtyrei相似而得名）。 这家俄罗斯公司表示：“示例中的一些代码似乎不起作用，其暗示着正在进行的开发工作。” Vtyrei（又名BREEZESUGAR）指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。 DoNot Team，也被称为APT-C-35、Origami Elephant和SECTOR02，疑似起源于印度，其攻击利用鱼叉式网络钓鱼电子邮件和恶意的 Android 应用程序来传播恶意软件。 卡巴斯基的最新评估是基于黑客 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。 此外，网络安全公司Zscaler ThreatLabz披露了总部位于巴基斯坦的Transparent Tribe（又名APT36））攻击者使用更新的恶意软件库对印度政府部门开展了新的恶意活动，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。 安全研究员 Sudeep Singh上个月指出：“ElizaRAT以.NET二进制形式传递，并通过 Telegram 建立 C2 通信通道，使黑客能够完全控制目标端点。” Transparent Tribe自2013年以来一直活跃，利用凭证收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将开源命令与控制 (C2) 框架（例如 Mythic）武器化。 这个黑客组织近期也也有了瞄准了Linux系统的迹象，Zscaler表示：他们发现了一小组桌面入口文件，这些文件为执行基于Python的ELF二进制文件铺平了道路，其中包括用于用于文件渗漏的GLOBSHELL以及从Mozilla Firefox浏览器中窃取会话数据的PYSHELLFOX。 Sudeep Singh表示：“印度政府部门广泛使用基于Linux的操作系统”，他补充说，瞄准Linux环境还可能是因为印度决定在跨政府和国防部门全面使用以Debian Linux为基础的操作系统Maya OS，以替代微软Windows操作系统。 除了DoNot Team和Transparent Tribe，还有来自亚太地区的另一个国家级行动者重点关注巴基斯坦地区。 代号神秘象（又名APT-K-47）的黑客组织被认为涉及一场利用一种名为ORPCBackdoor的新型后门的钓鱼攻击活动，该后门能够在受害者计算机上执行文件和命令，并从恶意服务器接收文件或命令。 知道创宇 404高级威胁情报团队曾在文章中表示，APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠，其中大多数被认为和印度有关联。   Hackernews 编译，转载请注明出处： 消息来源：thehackernews，译者：dengdeng；

近日，开源 CasaOS 个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用，就可实现任意代码执行并接管易受攻击的系统。 这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266，CVSS评分均为9.8分。 发现这些漏洞的Sonar安全研究员Thomas Chauchefoin表示：这两个漏洞均允许攻击者绕过身份验证要求，获得对CasaOS仪表板的完全访问权限。 更令人担忧的是，CasaOS 对第三方应用程序的支持可被用于在系统上运行任意命令，以获得对设备的持久访问权或进入内部网络。 继 2023 年 7 月 3 日负责任的披露之后，其维护者 IceWhale 于 2023 年 7 月 14 日发布的 0.4.4 版本中解决了这些漏洞。 这两个漏洞的简要说明如下： CVE-2023-37265 – 源 IP 地址识别不正确，允许未经身份验证的攻击者在 CasaOS 实例上以 root 身份执行任意命令 CVE-2023-37265 – 未經驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗證的功能，並在 CasaOS 實體上以根身份執行任意指令 这两个漏洞被成功利用的后果是，攻击者可以绕过身份验证限制，并在易受攻击的 CasaOS 实例上直接获得管理权限。 Chauchefoin表示，在应用层识别IP地址是有风险的，不应该依赖于安全决策。许多不同的报头都可能传输诸如X-Forwarded-For, Forwarded等信息，并且语言api有时需要以相同的方式解释HTTP协议的细微差别。同样，所有的框架都有自己的“怪癖”，如果没有这些常见安全漏洞的专业知识，便很难驾驭。   转自Freebuf，原文链接：https://www.freebuf.com/news/381025.html 封面来源于网络，如有侵权请联系删除

FortiGuard Labs研究人员发现了一种用Rust编写的新注入器，用于注入Shellcode并将XWorm引入到受害者的环境中。尽管Rust在恶意软件开发中相对不常见，但自2019年以来，包括Buer loader、Hive和RansomExx在内的几个攻击活动开始采用这种语言。FortiGuard Labs的分析还揭示了2023年5月注入器活动的显著增加，其中该Shellcode可以使用Base64进行编码，并可选择AES、RC4或LZMA等加密算法来逃避杀毒软件的检测。 通过检查编码算法和API名称，我们确定了这种新注入器的源自于红队工具”Freeze.rs“，该工具旨在创建能够绕过EDR安全控制的有效载荷。此外，在对攻击进行分析过程中，我们发现了SYK Crypter（一个通过社区聊天平台传递恶意软件的工具）加载Remcos。SYK Crypter于2022年出现，并被各种恶意软件家族使用，包括AsyncRAT、njRAT、QuasarRAT、WarzoneRAT和NanoCore RAT。 FortiGuard Labs研究人员还观察到2023年7月13日的钓鱼邮件活动，该活动通过一个恶意的PDF文件启动攻击链。该文件重定向到一个HTML文件，并利用”search-ms”协议访问远程服务器上的一个LNK文件。单击LNK文件后，将执行一个PowerShell脚本，用于进一步执行Freeze.rs和SYK Crypter等攻击行动。最终，XWorm和Remcos被加载，并与C2服务器建立通信。 在本文中，我们将深入研究用于交付Rust-lang注射器(SYK密码器)的初始攻击方法，并进一步探索攻击的后续阶段。     更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3008/ 消息来源：fortinet，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近，我们向客户推送了一份报告，介绍了网络犯罪恶意软件集的一个有趣且常见的组件——SystemBC。与2021年Darkside Colonial Pipeline事件类似，我们发现了一个新的SystemBC变种被部署到一个关键基础设施目标上。这次，可代理的后门与南非某国家的关键基础设施中的Cobalt Strike信标一起被部署。 Kim Zetter在她的BlackHat 2022主题演讲“Pre-Stuxnet, Post-Stuxnet: Everything Has Changed, Nothing Has Changed”中对之前的Colonial Pipeline事件进行了回顾，并称其为“分水岭时刻”，同时我们在世界其他地方也看到了和目标战术上的相似之处。 关于勒索软件攻击的内容和趋势分析报道已比较常见，但关于特定电力系统勒索软件事件的技术细节却很少被公开披露。我们知道，在全球范围内被调查的公共事业单位发现，越来越多地以有针对性的活动方式进行报道：“56%的受访者报告在过去12个月中至少发生过一次涉及隐私信息丢失或OT环境中断的攻击”。虽然并非所有活动都是由勒索软件攻击者造成的，但相关的勒索软件攻击者正在避免受到强大政府机构和联盟的报复。无论如何，这种增加的公用事业目标攻击事件是一个现实世界的问题，特别是对网络中断可能在全国范围内影响客户的区域，具有严重的潜在风险。 值得注意的是，一名不明身份的攻击者使用Cobalt Strike信标和DroxiDat（SystemBC有效载荷的新变种)对南非一个电力公司进行了定向攻击。该攻击发生在2023年3月下旬，是涉及世界各地DroxiDat和CobaltStrike beacons的袭击的一小部分事件。在这个电力公司中还检测到了DroxiDat，它是SystemBC的一个约8kb的精简变体，用作系统分析和简单支持SOCKS5的bot。该电力公司的C2基础设施涉及一个与能源相关的域名”powersupportplan.com”，其已解析到一个已经可疑的IP主机。该主机在几年前曾被用作APT活动的一部分，其增加了APT相关目标攻击的可能性。目前勒索软件还没有被交付给该组织，因此我们没有足够的信息来对这次活动进行准确归因。然而，同一时间范围内的一个医疗事件中，也涉及到了DroxiDat，Nokoyawa勒索软件被交付，另外还有其他几起涉及CobaltStrike的事件，它们共享了相同的license_id和staging目录及C2。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3007/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本文讨论了SugarCRM 0-day漏洞（CVE-2023-22952）的认证如何绕过远程代码执行，并总结出了防御者们应该注意的事项。由于该漏洞是一个Web应用程序，如果没有进行正确配置或保护，一旦黑客了解了云服务提供商使用的基础技术，并获取了适当权限，可能会引发多次安全事件。 在过去的一年中，Unit 42响应了多起案例，其中 SugarCRM 漏洞 （CVE-2023-22952） 是主要的初始攻击媒介，其允许黑客访问AWS 账户。但这并不是因为AWS的漏洞，任何云环境都可能发生这种情况。相反，黑客后期利用错误配置来扩大他们的访问权限。 本文参考 MITRE ATT&CK 框架对AWS环境遇到的各种攻击事件进行分析，并总结了各个组织可以来保护自己的多种预防保护机制。这些保护措施包括利用AWS提供的控制和服务、云最佳实践以及足够多的数据来捕获完整的攻击过程。 这些攻击的复杂性更加表明了设置日志记录和监控对于检测未经授权的AWS API调用的重要性。一旦黑客得以立足，那么可能会导致更加严重的威胁行为，而这些行为是不可被追溯的。云安全保护并非一刀切，这些攻击暴露了需要重点关注的领域，而这样也可以让我们在面对攻击时能做出更充分的准备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3006/ 消息来源：unit42，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在快速变化的网络威胁世界中，了解最新变化和模式至关重要。这对于勒索软件来说尤其如此，它以快速变化和复杂的策略而闻名。今年8月，我们在SentinelOne的MDR团队偶然发现了一些异常情况：新的LOLKEK实例，也被称为GlobeImposter，表明这个长期存在的勒索软件家族正在进行新的改变。 LOLKEK，也被称为 GlobeImposter，于2016年首次亮相。在快节奏的勒索软件世界里，事件瞬息万变，而Maze ransomware于 2019年才再次被看见。GlobeImposter标签很巧妙地描述了这种新的勒索软件是如何模仿Globe的。 LOLKEK可以被认为是一种“现成的”勒索软件，其经常会进行迭代更新。尤其是在目标选择和勒索要求方面要求相对较低，如在最近的攻击中，勒索金额通常低于2000美元。相比之下，像Cl0p、LockBit和Royal这样的重量级勒索软件要求的赎金数额令人瞠目结舌。 LOLKEK的主要目标是中小型企业(smb)和个人用户。尽管如此，有时这种勒索软件也会在更复杂、更有计划的金融攻击中发挥作用。以2017年为例，臭名昭著的TA505(也被称为G0092，GOLD TAHOE)集团开始雇用GlobeImposter进行系列行为。 这扩大了他们的网络，提高他们的运作能力，也展示了LOLKEK在更广泛的勒索软件领域的适应性和作用。 本文将带您探索最近的LOLKEK有效载荷，重点介绍关键特性、策略更改以及对IOC指标的观察。我们还将强调一个持续存在的OPSEC错误，该错误不断泄露勒索软件运营商的游戏。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3005/ 消息来源：sentinelone，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Reptile 是一个针对Linux系统的开源内核模块rootki（其可在 GitHub 上获取）。爬虫可隐藏自身及其他恶意软件，主要针对目标为：文件、进程和网络通信等。爬虫的隐藏功能不仅包括它自己的内核模块，还包括文件、目录、文件内容、进程和网络流量。 与其他通常只提供隐藏功能的恶意软件不同，Reptile可以提供了一个反向shell，允许威胁参与者轻松控制系统。端口敲门是爬虫所支持的最显著的特性，当打开恶意软件时受感染系统的特定端口会进入到备用状态。威胁者会向系统发送Magic Packet，而接收到的数据包也会作为与C&C服务器建立连接的基础。 该方法类似早期Avast在报告中提到的Syslogk，但主要的区别在于Syslogk是基于另一个Adore-Ng的开源Linux内核rootkit而开发的。但两者间的相似点在于：被Magic Packet 触发之前在受感染的系统中会处于待机状态，且会使用定制的 inySHell (即Rekoobe)作为攻击的后门。 在GitHub上开放源代码后，Reptile一直被用于攻击中。Mandiant最新报告证实一个位于中国的威胁组织在利用Fortinet产品中的零日漏洞持续进行的攻击过程中攻击中使用了爬虫。此外，ExaTrack在分析Mélofée恶意软件的报告中也发现了Reptile rootkit。ExaTrack将此归因于位于该事件时中国的Winnti攻击组织行为。 本文我们将简要分析Reptile的基本结构和功能，并整理出它被用于攻击韩国公司的事件概述。最后，我们将根据恶意软件的安装路径或伪装的目录名，总结与Mélofée恶意软件案例的相似之处。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3004/ 消息来源：AhnLab，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。