来自ZachXBT和 MetaMask 开发者Taylor Monahan近日发布消息称，他们发现黑客使用LastPass漏洞，窃取了存储在被盗 LastPass 数据库中的私钥和密码，于 10 月 25 日窃取了价值 440 万美元的加密货币。 LastPass 漏洞 2022 年，LastPass 遭遇两次漏洞，最终导致威胁行为者窃取了存储在包括加密密码库在内的云服务中的源代码、 客户数据和生产备份。 当时，LastPass 首席执行官 Karim Toubba 表示，虽然加密的金库被盗，但只有客户知道解密它们所需的主密码。不过，LastPass 警告称，对于那些使用较弱密码的用户，建议重置主密码。 根据 Monahan 和 ZachXBT 进行的研究 ，据信威胁行为者正在破解这些被盗的密码库，以获取存储的加密货币钱包密码、凭证和私钥的访问权限。 一旦他们获得了这些信息，他们就可以将钱包加载到自己的设备上并耗尽所有资金。 根据 Brian Krebs 的 研究报告，Monahan 和其他研究人员生成了一个独特的签名，将超过 3500 万美元的盗窃案与同一威胁行为者联系起来。 “此时此刻，我也可以自信地说，在大多数情况下，被盗的密钥都是从 LastPass 中窃取的，”  Monahan 在 8 月份发推文说。 “只有 LastPass 中存储的特定种子/密钥组的受害者数量实在太多，不容忽视。” 越来越明显的是，LastPass 攻击背后的威胁行为者已成功破解了金库的密码，并正在利用窃取的信息来助长自己的攻击。 因此，如果在 2022 年 8 月和 12 月违规期间拥有帐户的 LastPass 用户，强烈建议重置所有密码，包括您的密码。   转自安全客，原文链接：https://www.anquanke.com/post/id/291118 封面来源于网络，如有侵权请联系删除

Lockbit勒索软件团伙声称对航空航天制造商和国防承包商波音公司进行了黑客攻击，并威胁要泄露被盗的数据。波音公司是世界上最大的航空航天制造商和国防承包商之一。2022年，波音公司的销售额为666.1亿美元，Lockbit勒索软件组织27日将波音公司添加到其Tor泄露网站的受害者名单中。 该团伙声称从该公司窃取了大量敏感数据，并威胁如果波音不在截止日期（2023 年11月2日13:25:39 UTC）内联系他们，他们将公布这些数据。目前，该组织尚未发布任何样本。Lockbit声称，“如果波音公司不在最后期限内联系，大量敏感数据将被泄露并准备公布！目前我们不会发送清单或样品，但在截止日期之后我们不会这样保留。”有资料显示，Lockbit是全球最臭名昭著的黑客组织之一，他们经常部署难以破解的勒索软件来锁定受害者的一些重要文件，然后要求支付一定金额的赎金才能进行解锁操作。在近期，许多黑客团伙的手段简单化：他们只是简单地窃取一些文件，并要求支付不公开发布文件所需的费用。 该组织在其泄漏网站上发布的消息中写道：“波音公司，这家600亿美元的公司，及其子公司，在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、人类太空飞行以及发射系统和服务。” 波音近日公布了不及市场预期的第三季度业绩，Q3营收为181亿美元，同比增长13.4%，但是较市场预期低2亿美元。波音自去年以来一直在努力加快交付速度，以加速从安全和疫情引发的双重危机中复苏，但尽管市场对喷气式飞机的需求旺盛，但由于整个行业的供应和劳动力短缺，该公司已连续两年面临交付中断。数据显示，该公司积压订单总额为4690亿美元，其中包括5100多架商用飞机。 目前，波音的赎金要求尚未披露，但网络安全分析师Dominic Alvieri认为赎金可能非常高。如果LockBit为波音公司使用他的新收入模式，这将是创纪录的约18亿美元赎金请求。10月中旬，Lockbit勒索软件团伙声称入侵了技术服务巨头 CDW。LockBit勒索软件团伙索要8000万美元的赎金，但该组织声称该公司只提供了100万美元。   转自E安全，原文链接：https://mp.weixin.qq.com/s/bieaXA0gzsrKHFW_zQCPgw 封面来源于网络，如有侵权请联系删除

国家安全部官微10月27日发布《警惕！一些境外SDK背后的“数据间谍”窃密》一文，具体内容如下。 你知道SDK是什么吗？SDK是英文Software Development Kit的缩写，即软件开发工具包，它的类型多种多样。如果把开发一个软件系统比作盖一所“三室一厅”的房子，那么不同的SDK就是这套房子的“客厅”“卧室”“卫生间”“厨房”等功能模块。盖好这套房子，我们只需要从不同的供应商那里选择这个功能模块拼装即可，而不再需要从“砌砖”“垒墙”做起，从而极大提高了软件开发的效率。近年来，国家安全机关工作发现，境外一些别有用心的组织和人员，正在通过SDK搜集我用户数据和个人信息，给我国家安全造成了一定风险隐患。 SDK带来哪些数据安全问题 当前，SDK以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务，与此同时也带来诸多数据安全问题。 ——过度收集用户数据。有些SDK会收集与提供服务无关的个人信息，或强制申请非必要的使用权限，比如获取地理位置、通话记录、相册照片等信息以及拍照、录音等功能。当SDK的用户覆盖量达到一定规模时，可以通过搜集的大量数据，对不同用户群体进行画像侧写，从而分析出潜在的有用信息，比如同事关系、单位位置、行为习惯等。一些境外SDK服务商，通过向开发者提供免费服务，甚至向开发者付费等方式来获取数据。据相关网站披露，一款在美国拥有5万日活跃用户的应用程序，其开发者通过使用某SDK，每月可以获得1500美元的收入。作为回报，该SDK服务商可以从这款应用程序中收集用户的位置数据。 SDK搜集个人信息类型 ——境外情报机构将SDK作为搜集数据的重要渠道。据报道，美国特种作战司令部曾向美国SDK服务商Anomaly Six购置了“商业遥测数据源”的访问服务，而该服务商曾自称将SDK软件植入全球超过500款应用中，可以监控全球大约30亿部手机的位置信息。2022年4月，有关媒体曝光巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式，将其SDK代码整合到应用程序中，秘密地从数百万台移动设备上收集数据，而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。 《华尔街日报》：美国政府承包商在多个手机APP中嵌入跟踪软件 消除SDK背后的数据风险我们应该怎么做 据国内权威机构掌握，截至2022年12月，我国10万个头部应用中，共检测出2.3万余例样本使用境外SDK，使用境外SDK应用的境内终端约有3.8亿台。对此，我们又应该做些什么呢？ SDK申请收集用户信息占比 ——应用程序开发企业：应尽量选择接入经过备案认证的SDK，引入境外SDK前应做好安全检测和风险评估，深入了解SDK的隐私政策，并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对，并持续监测SDK是否有异常行为。 ——个人用户：个人用户在使用手机应用程序时，要增强个人信息保护意识及安全使用技能，要选择安全可靠的渠道下载使用应用程序，不安装来路不明的应用，不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时，需要保持高度警惕。   转自国家安全部，原文链接：https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg 封面来源于网络，如有侵权请联系删除

该数据库由Redcliffe Labs拥有，Redcliffe Labs是一家位于北方邦诺伊达的印度医疗公司。 网络安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个无密码保护的数据库，其中包含 1200 多万条记录。这些数据包括敏感的患者数据，如医疗诊断扫描、测试结果和其他医疗记录。 在调查过程中，福勒发现医疗检测结果中包含大量患者的个人信息，包括姓名、医生姓名、与健康相关的详细信息，以及患者是在家中接受检测还是在医疗机构接受检测。这些文件属于印度一家医疗诊断公司 Redcliffe Labs。 数据库总容量为 7TB，包含约 12347297 条记录。标有 “报告 “的文件夹包含 1180000 个对象（约620GB）。标有 “智能报告存储 “的文档文件夹包含 1164000 个对象（1.5GB），标有 “测试结果 “的文件夹包含 6090852 个对象（2.2TB），其他文件夹包含内部文档、PDF、日志和应用程序文件等杂项文档。这些文件夹总共有 3912445 个对象（2.7GB）。 除了庞大的患者数据，暴露的数据库还包含公司移动应用程序的开发文件。这些文件控制着应用程序的功能和数据传输。 Redcliffe Labs 是印度领先的医疗中心之一，提供 3600 多种不同的健康和疾病测试。据 Redcliffe Labs 网站称，该机构拥有 250 万用户。该公司在印度 220 多个城市提供上门检测样本采集服务，并在全国拥有 2000 多家健康和样本采集中心。 根据福勒的博文，在他把问题上报的同一天，数据库的公开访问也随即受到限制。但是，目前还不清楚该数据库暴露了多长时间，也不清楚是否有未经授权的个人访问过该数据库。 然而此类漏洞可能会给患者带来深远的影响，因为他们可能会面临身份被盗、医疗欺诈和敲诈勒索等风险。如果移动应用程序的相关数据落入不法分子之手，网络犯罪分子就会利用这些数据发动网络攻击，破坏应用程序的功能，危害移动用户的安全。 最大的风险因素是应用程序代码的暴露，威胁者可以利用这些代码注入恶意代码，破坏应用程序，添加未经授权的功能，并注入恶意软件。 目前，Redcliffe Labs 尚未说明是否已将数据泄露事件通知相关部门或受影响的个人。此外，也没有迹象表明该公司的移动应用程序受到了威胁，或有人在数据受限前已经访问了患者数据。   转自Freebuf，原文链接：https://www.freebuf.com/news/381917.html 封面来源于网络，如有侵权请联系删除

美国运输安全管理局 (TSA) 更新了客运和货运铁路公司的网络安全指令，该指令将于周二到期。 这些规则分为三个 单独的 指令，要求运营商每年测试部分网络安全事件响应计划，向 TSA 提交年度更新的网络安全评估计划，并报告工作的有效性。运营商必须制定网络分段策略和控制措施，将运营技术 (OT) 系统与通用 IT 系统分开，以防受到威胁。该指令还命令运营商制定访问控制措施，制定网络威胁检测策略，并及时为操作系统、应用程序、驱动程序和固件实施修补或更新流程。 TSA 局长 David Pekoske 表示：“为了确保国家铁路系统免受网络威胁，更新是正确的做法，这些更新维持了铁路行业现有的强有力的网络安全措施。”他指出，该机构与运输安全管理局合作与网络安全和基础设施安全局 (CISA) 以及联邦铁路管理局就这些文件进行合作。 这些规则于 2021 年 10 月首次发布，并于去年 10 月与几项新措施一起更新。本次发布的最新更新将所有规则再延长一年。 多个行业的专家和利益相关者因制定被认为过于规范的网络安全法规而遭到强烈反对，TSA 官员修改了他们的工作，并在 2022 年使规则更加基于绩效，重点关注关键基础设施组织可以通过多种方式防止其网络中断和退化运营。 近年来，铁路行业遭受了相当多的网络攻击： 8 月，美国最大的转车和终点站铁路遭受勒索软件攻击。一月份，全球最大的铁路和机车公司之一宣布发生数据泄露事件，涉及去年夏天涉嫌勒索软件攻击后的大量员工信息。同月，加州圣克拉丽塔谷交通管理局遭遇勒索软件攻击，2020 年，宾夕法尼亚州东南部交通管理局也遭遇勒索软件事件。   转自安全客，原文链接：https://www.anquanke.com/post/id/290972 封面来源于网络，如有侵权请联系删除

在最新的暗网新闻中，一个威胁行为者宣布推出 qBit Ransomware-as-a-Service (RaaS)，这是一种用 Go 编程语言编写的创新型、高适应性恶意软件。 qBit 勒索软件的设计目标是 Windows（从 Win 7 到 Win 11）和各种 Linux 发行版，目前正在开发 ESXi 变种。 它的功能包括通过混合逻辑、多种加密模式、快速执行和几种独特的安全功能进行闪电般快速加密。 qBit 勒索软件的诞生： 网络犯罪分子的资产 qBit 勒索软件以 Go 语言为基础，拥有卓越的并发功能。这可以加快运行速度，降低检测率，增强多功能性。 它已在一系列操作系统上进行了严格测试，包括从 Win 7 到 Win 11 的 Windows 变体（X32 和 X64），以及 CentOS、Ubuntu、Linux Mint、Endeavour OS 和 Fedora 等流行 Linux 发行版（均为 X64）。 此外，ESXi 变种目前正处于早期开发阶段，有望在不久的将来提供更广泛的攻击面，这可能会动摇各种大型组织的基础设施。 qBit RaaS： 增强犯罪活动的能力 自勒索软件诞生以来，”勒索软件即服务”（RaaS）模式在这些恶意攻击的扩散过程中发挥了重要作用。 qBit 勒索软件的显著特征如下： 混合逻辑快速加密： 利用 Salsa20 和 RSA 2046 算法，qBit 可确保快速加密过程。 灵活的加密模式： 该勒索软件提供三种模式–完全加密、部分加密和智能加密–允许采用量身定制的方法进行数据加密。 及时执行：qBit 勒索软件可迅速执行，确保在加密过程中将干扰降到最低。 增强的安全措施： 该勒索软件采用模糊二进制文件，大大增加了安全分析人员分析和检测工作的难度。 反分析技术：qBit 采用了反分析措施，以挫败反向工程尝试。 直接系统调用和多线程： 这些功能可提高勒索软件的运行效率，确保最佳性能。 解密工具： 贴心地加入了解密工具，为受害者恢复加密文件提供了潜在的生命线。 qBit勒索软件的定制开发 据 PCrisk 称，qBit RaaS 已在黑客论坛上得到推广。它对 EDR 解决方案的规避使检测和缓解具有挑战性，往往会让受害者直到造成实质性伤害时才意识到。 对于寻求额外定制的买家，qBit勒索软件销售背后的暗网用户提供执行前的shell代码注入、文件外渗和个性化目标信息报告，所有这些都不收取额外费用。 虽然 qBit RaaS 通过”-log “参数启用了一个可选的用户界面，但值得注意的是，威胁行为者可以利用它来渗透组织的防御，同时完全隐藏在威胁检测系统之外。   转自Freebuf，原文链接：https://www.freebuf.com/news/381725.html 封面来源于网络，如有侵权请联系删除

相关组织发现，越南方面制作了诱饵网址，在拜登访越等多个时间节点，利用“X”社交网站传播引诱美国政治人士和其他人员访问，点击就会安装欧洲公司的“捕食者”间谍软件，或将造成严重的信息泄露。 据美国华盛顿邮报报道，相关组织和机构近日对内嵌在“X”社交网站（原推特网站）贴文以及多份文档中的链接进行了甄别检查，结果发现今年以来越南政府工作人员曾多次试图向美国国会议员、政策专家以及新闻记者的手机内植入间谍软件。 越南人在“捕食” 据悉，越南方面设计了一些可以自动安装“捕食者”（Predator）入侵软件的“钓鱼”网站，并试图利用“X”社交网站引诱政治人士和其他人员访问。 根据Google公司提供的线索，多伦多大学公民实验室对“X”网站上的贴文进行了调查，发现其中数条回复贴包含的链接均指向安装了“捕食者”软件的钓鱼网站，无意中点击的话非常有可能导致用户手机感染，或将造成严重的信息泄露。 资料显示，“捕食者”是一款功能强大且隐蔽性强的间谍软件，由欧洲商业间谍软件制造商 Intellexa以及与其关联的Cytrox开发制作。运行后可以打开苹果手机上的麦克风和摄像头，或控制使用安卓系统的电子设备，窃取其中的所有加密或未加密的文件和个人信息。 “捕食者”间谍软件的启动通常只需要目标在没有互动的情况下对链接进行点击。这就要求软件开发商或用户对已发现或尚未得到修补的手机安全漏洞了如指掌并能够加以利用。如此一来，他们就必须花费数百万美元研究或购买手机安全漏洞。高昂的成本决定了手机入侵通常只针对高价值目标，而且需要在保密状态下进行。 近年来，越南与美国的关系逐渐回暖，与越南政府达成“全面战略伙伴关系”成为拜登政府的首要任务。在这样的大背景下，美国科技公司已表露出在越南投资的意愿。越南方面迫切希望能够了解美方的真实想法，所以与白宫、国务院、国防部等重要美国部门联系密切且颇具影响力的资深国会议员，以及与决策者保持着密切关系的美国智库分析人士就成为越南方面感兴趣的目标。 调查数据显示，在已发现的59条包含恶意链接的推特贴文中，有十多条针对的是美国人，其中包括颇具影响力的外交事务委员会主席、众议员米歇尔·麦克考尔(Michael McCaul)，外交关系委员会成员、中东事务小组主席、参议员克里斯·墨菲（Sen. Chris Murphy），资深议员约翰·胡弗（Sens. John Hoeven）和加里·彼德斯（Gary Peters），以及华盛顿多家智库的亚洲事务专家和多名CNN记者。 神秘的“Joseph Gordon” 有报道称，越南此前确实有过使用间谍软件对智能手机进行入侵的黑历史。他们针对的目标，是活跃在其他国家境内活动的人权活动人士。比如2020年时，公民实验室就曾宣称探测到越南方面试图暗中安装Circles公司提供的手机系统入侵软件。Circles公司的建立者是以色列情报专家Tal Dilian，后被出售给投资公司Francisco Partners。Francisco Partners将其与“飞马”间谍软件制造商NSO Group合并后再次转卖。 越南方面此番针对美国目标的手机入侵企图是“大赦国际”组织率先发现的。有消息称，发现越方的入侵企图后，“大赦国际”组织向《华盛顿邮报》以及其他14家国际家媒体进行了通报，后者在“欧洲新闻调查协作组织”协调下对此进行了详尽调查。 据称，一个活跃在“X”网站上恶意账户发布了大部分指向钓鱼网站的链接，该账户的用户定位是 @Joseph_Gordon16。“大赦国际”组织声称，“X”网站上的“Joseph Gordon”账户“代表的是越南当局或利益团体”。Google则宣称，“大赦国际”组织追踪的“技术基础设施”，“与越南境内的政府部门有直接关联。” 为避免被继续深挖， @Joseph_Gordon16在很短时间内删除了数条推文，而且最近几周在网站上销声匿迹了。 谁给了越南人“技术支持”？ “大赦国际”组织安全实验室负责人Donncha Ó Cearbhaill说，“根据所有已获取的证据和文件，我们相信‘捕食者’是Intellexa公司通过中间人出售给越南公共安全部（Ministry of Public Security）的。”法国知名新闻网站Mediapart以及德国《明镜》周刊的消息称，有证据显示，越南方面在尝试新的手机网络入侵前，曾与“捕食者”发布厂商的子公司进行了冗长的商谈和技术交流。 “欧洲新闻调查协作组织”（EIC）根据上述线索进行追查，但相关公司并未做出直接回应。Cytrox、NSO Group等公司一再宣称间谍软件的销售只面向政府并严禁不当使用，但也承认其客户使用这款软件针对非暴力活动人士、新闻记者和政治人士是不争的事实。Tal Dilian辩解称，尽管他把软件卖给“好人”，但难免他们偶尔会行差踏错。 “欧洲新闻调查协作组织”下属的“捕食者”文件调查小组还发现，出售“捕食者”软件的公司同时向买方提供了通过无线WiFi网络、互联网网站或国有移动通信网络感染设备的能力。换句话说，越南方面目前可能具备了相当的移动网络侦察与监视能力。 一名要求匿名的美国政府官员表示，约有50名在海外工作的官员受到商业间谍软件的威胁。拜登总统对此表示了极度关切，并于今年3月发布 行政令，要求只有在“不违反法律、人权以及民主规范和价值”的情况下才能使用商业间谍软件。美国商业部也于今年7月采取措施，把Intellexa和Cytrox两家公司列入实体清单。这意味着美国公司要想和上述公司进行商业往来，必须首先获得政府颁发的许可。 反“捕食”正在进行 不过，受到重点关照的美国人似乎对“捕食者”并不担心。媒体对部分手机入侵的潜在目标进行了采访，后者声称自己从未见过安装有入侵程序的链接，更没有点击过它们。目前没有证据表明越南人的手机入侵企图获得了成功。甚至有调查人员表示，即使有人点击了入侵链接也不会造成严重后果。唯一的可能是，点击者的手机会遭到最低级的攻击——甄别其是否为选定的目标。 公民实验室也表达了美国目标对手机目标“天然免疫”的可能。该实验室声称，包括NSO Group在内的部分间谍软件开发商已声明他们的软件在设计时就排除了针对美国手机号码的选项。与此同时，苹果公司也强调本公司生产的手机具备“锁机”模式选项，勾选后可对手机的某些功能进行限制，能够在某种程度上阻止“捕食者”的入侵。 但公民实验室同时表示，上述安全保证并不可靠，也许手机已经在用户没有察觉的情况下遭到了入侵，因为入侵者的隐蔽手段防不胜防。比如他们会在“X”网站上直接给目标人物发送表面上看起来人畜无害的公共链接，如果目标人物无意中对其进行点击，那么他就有中招的可能。另外，层出不穷的手机安全漏洞也可被“捕食者”加以利用。在针对越南方面手机入侵活动的调查过程中，Google团队就发现了至少一个新安全漏洞并对其进行了修补。消息称，该漏洞存在于Chrome浏览器中，可导致使用安卓系统的手机受到初级感染。 资料显示，目前手机间谍软件的不当使用在墨西哥、希腊、沙特阿拉伯及另外一些国家泛滥成灾，甚至连埃及反对派总统候选人的手机也成为入侵目标。为解决这个问题，美国等国家的立法机构正考虑制定针对性法案。 另外，Google团队为加大手机间谍软件的防范力度，从今年6月开始每个月都会向包括国会议员在内的美国敏感手机用户推送预警信息，但手机可能面临哪种入侵方式却无法事先确认。   转自安全内参，原文链接：https://www.secrss.com/articles/59964 封面来源于网络，如有侵权请联系删除

身份服务提供商Okta周五披露了一起新的安全事件，黑客利用窃取的凭证访问了其支持案例管理系统。 Okta首席安全官David Bradbury表示：该攻击者能够查看部分Okta客户上传的文件。需要注意的是，Okta 支持案例管理系统与生产型 Okta 服务是分开的，后者是正常运行的，没有受到影响。该公司还强调，其 Auth0/CIC 案例管理系统没有受到此次漏洞的影响，并指出目前已经直接通知了受到影响的客户。 不过，该公司表示，客户支持系统也被用于上传 HTTP 存档（HAR）文件，以复制最终用户或管理员的错误路径来进行故障排除。 Okta 警告说：HAR 文件可能包含敏感数据，包括 cookie 和会话令牌，恶意行为者可以利用这些数据冒充有效用户。Okta还进一步表示，他们正在与受影响的客户沟通，确保内嵌的会话令牌被撤销，以防止它们被滥用。 目前，Okta尚未透露攻击的规模、事件发生的时间以及何时检测到未经授权的访问。尽管如此，BeyondTrust 和 Cloudflare 这两家客户已确认在最新的支持系统攻击中成为目标。Cloudflare表示：威胁者从Cloudflare员工创建的怕凭证中劫持了一个会话令牌。利用从 Okta 提取的令牌，威胁者于 10 月 18 日访问了 Cloudflare 系统。 安全公司表示，这是一次复杂的攻击，幕后的攻击者入侵了Okta平台上两个独立的Cloudflare员工账户。该公司强调，此次事件没有导致任何客户信息或系统被访问。 BeyondTrust表示，它已于2023年10月2日向Okta通报了这一漏洞，但对Cloudflare的攻击表明，对手至少在2023年10月18日之前都可以访问他们的支持系统。 这家身份管理服务公司称，其Okta管理员在10月2日向系统上传了一个HAR文件，以解决一个支持问题，并在共享文件后的30分钟内检测到了涉及会话cookie的可疑活动。针对 BeyondTrust 的攻击企图最终没有得逞。 BeyondTrust 发言人告诉记者：BeyondTrust 立即通过自己的身份识别工具 Identity Security Insights 检测到并修复了这次攻击，没有对 BeyondTrust 的基础设施或客户造成任何影响或暴露。 在过去的几年中，Okta 公司遭遇了一系列安全事故，而此次事件是其中最新的一起。该公司已成为黑客的高价值目标，因为其单点登录（SSO）服务被世界上一些大的公司所使用。   转自Freebuf，原文链接：https://www.freebuf.com/news/381522.html 封面来源于网络，如有侵权请联系删除

一种名为“TetrisPhantom”的新型复杂威胁一直在使用受损的安全 USB 驱动器来攻击亚太地区的政府系统。 安全 USB 驱动器将文件存储在设备的加密部分中，并用于在系统（包括气隙环境中的系统）之间安全地传输数据。 可以通过自定义软件访问受保护的分区，该软件根据用户提供的密码解密内容。UTetris.exe 就是此类软件之一，它捆绑在 USB 驱动器的未加密部分上。 安全研究人员在一场针对亚太地区政府的攻击活动中发现了部署在安全 USB 设备上的 UTetris 应用程序的木马版本，该攻击活动已经运行了至少几年。 根据 卡巴斯基最新的 APT 趋势报告，TetrisPhantom 使用各种工具、命令和恶意软件组件，表明威胁组织复杂且资源充足。 “该攻击包含复杂的工具和技术，包括基于虚拟化的恶意软件组件软件混淆、使用直接 SCSI 命令与 USB 驱动器进行低级通信、通过连接的安全 USB 驱动器进行自我复制以传播到其他气隙系统以及注入将代码写入 USB 驱动器上的合法访问管理程序中，该程序充当新计算机上恶意软件的加载程序。” – 卡巴斯基 攻击详情 卡巴斯基与 BleepingComputer 分享了更多详细信息，解释说，木马 Utetris 应用程序的攻击首先在目标计算机上执行名为 AcroShell 的有效负载。 AcroShell 与攻击者的命令和控制 (C2) 服务器建立通信线路，可以获取并运行额外的有效负载以窃取文档和敏感文件，并收集有关目标使用的 USB 驱动器的特定详细信息。 威胁行为者还使用通过这种方式收集的信息来研究和开发另一种名为 XMKR 的恶意软件和木马 UTetris.exe。 “XMKR 模块部署在 Windows 计算机上，负责破坏连接到系统的安全 USB 驱动器，从而将攻击传播到潜在的气隙系统” – 卡巴斯基 XMKR 在设备上的功能包括窃取用于间谍目的的文件，并将数据写入 USB 驱动器。 当存储设备插入感染 AcroShell 的联网计算机时，受损 USB 上的信息就会被泄露到攻击者的服务器。 卡巴斯基检索并分析了两个恶意 Utetris 可执行变体，其中一个在 2022 年 9 月至 10 月期间使用（版本 1.0），另一个从 2022 年 10 月至今部署在政府网络中（版本 2.0）。卡巴斯基表示，这些攻击已经持续了至少几年，间谍活动一直是俄罗斯方块幻影的关注重点。研究人员观察到政府网络上有少量感染，表明存在有针对性的操作。   转自安全客，原文链接：https://www.anquanke.com/post/id/290863 封面来源于网络，如有侵权请联系删除

日本卡西欧 (Casio) 近期披露，有黑客侵入其 ClassPad 教育平台的服务器后，泄露了来自 149 个国家及地区的用户数据。 卡西欧于 10 月 11 日检测到开发环境中的 ClassPad 数据库发生故障。有证据表明，攻击者在一天后（即 10 月 12 日）便访问并获得了数据，包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息。卡西欧方面称，信用卡信息并未存储在受损的数据库中。 截至 10 月 18 日，攻击者获取了属于91921 条日本用户的个人信息记录、35049 条记录属于148个海外国家和地区用户的记录。 卡西欧认为，由于主管部门对系统操作失误以及运营管理不足，造成开发环境中的部分网络安全设置被禁用，进而导致攻击者能获得未经授权的访问。 10月16日，卡西欧向日本个人信息保护委员会报告了这一事件，并正在与执法机构合作，协助其进行违规调查。此外，卡西欧正在与外部网络安全和取证专家合作进行内部调查，以找出事件的根本原因，并针对违规行为制定对策。 今年8月初，一名称为 thrax的攻击者声称在 BreachForums 网络犯罪论坛泄露了超过 120 万条卡西欧用户记录，这些记录据称是从旧版远程桌面服务 (RDS) 服务器中窃取，所有数据均来自2011年7月之前。   转自Freebuf，原文链接：https://www.freebuf.com/news/381495.html 封面来源于网络，如有侵权请联系删除