在黑客滥用合法基础设施达到邪恶目的的最新演变中，新的调查结果表明，民族国家黑客组织已经加入了利用社交平台针对关键基础设施的竞争。 近年来，Discord 已成为一个利润丰厚的目标，它成为利用其内容交付网络 (CDN)托管恶意软件的沃土，并允许信息窃取者从应用程序中窃取敏感数据，并通过网络钩子促进数据泄露。 Trellix 研究人员 Ernesto Fernández Provecho 和 David Pastor Sanz在周一的一份报告中表示：“Discord 的使用很大程度上仅限于任何人都可以从互联网上购买或下载的信息窃取程序和抓取程序。” 但这种情况可能正在改变，因为这家网络安全公司表示，它发现了针对乌克兰关键基础设施的工件的证据。目前没有证据表明它与已知的威胁组织有关。 研究人员指出：“利用 Discord 功能的 APT 恶意软件活动的潜在出现给威胁环境带来了新的复杂性。” 该样本是一个 Microsoft OneNote 文件，通过冒充非营利组织 dobro.ua 的电子邮件进行分发。 该文件一旦打开，就会包含对乌克兰士兵的引用，这些士兵会通过点击一个诱杀按钮来诱骗接受者捐款，从而导致执行 Visual Basic 脚本 (VBS)，该脚本旨在提取并运行 PowerShell 脚本，以便下载另一个 PowerShell来自 GitHub 存储库的脚本。 就其本身而言，在最后阶段，PowerShell 利用 Discord Webhook 来窃取系统元数据。 研究人员表示：“最终有效载荷的唯一目标是获取有关系统的信息，这表明该活动仍处于早期阶段，这也符合使用 Discord 作为[命令和控制]。” “但是，需要强调的是，攻击者将来可以通过修改 GitHub 存储库中存储的文件，向受感染的系统发送更复杂的恶意软件。” Trellix 的分析进一步显示，SmokeLoader、PrivateLoader 和 GuLoader 等加载程序是最流行的恶意软件家族之一，它们利用 Discord 的 CDN 下载下一阶段的有效负载，包括 RedLine、Vidar、Agent Tesla 和 Umbral 等窃取程序。 最重要的是，使用 Discord Webhook 观察到的一些常见恶意软件家族包括 Mercurial Grabber、Stealerium、Typhon Stealer 和 Venom RAT。 研究人员表示：“滥用 Discord 的 CDN 作为额外恶意软件有效负载的分发机制，展示了网络犯罪分子利用协作应用程序获取利益的适应性。” “APT 以其复杂和有针对性的攻击而闻名，通过渗透广泛使用的通信平台（如 Discord），它们可以有效地在网络中建立长期立足点，使关键基础设施和敏感数据面临风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290833 封面来源于网络，如有侵权请联系删除

台湾网络设备制造商 D-Link 证实了一起数据泄露事件，该事件与从其网络中窃取的信息有关，并于本月早些时候在 BreachForums 上出售。 攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码，以及数百万个包含客户和员工个人信息的条目，其中包括该公司首席执行官的详细信息。 据称，被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了 45 条被盗记录的样本，时间戳在 2012 年至 2013 年之间，这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。 “我攻破了台湾D-Link的内部网络，我拥有300万行客户信息，以及从系统中提取的D-View源代码，”攻击者说。 “这确实包括台湾许多政府官员以及公司首席执行官和员工的信息。” 自 10 月 1 日起，这些数据就可以在黑客论坛上购买，威胁行为者索要 500 美元来购买被盗的客户信息和所谓的 D-View 源代码。 与攻击者声称窃取数百万用户数据的说法相反，D-Link 表示，受感染的系统包含大约 700 条记录，其中包含至少 7 年的账户信息。 “然而，根据调查，它只包含大约 700 条过时且零散的记录，这些记录至少已经闲置了七年，”D-Link表示。 “这些记录源自于 2015 年到期的产品注册系统。此外，大部分数据由低敏感度和半公开信息组成。” D-Link 还怀疑黑客故意篡改最近的登录时间戳，以制造最近数据被盗的假象。此外，该公司表示，大多数现有客户不太可能受到此事件的影响。   转自安全客，原文链接：https://www.anquanke.com/post/id/290829 封面来源于网络，如有侵权请联系删除

近日，知名勒索软件团伙Lockbit声称入侵了技术服务巨头 CDW，并因赎金谈判破裂泄露了部分数据。 CDW是是全球最大的经销商企业之一，专为商业、政府和教育提供技术解决方案和服务。Lockbit在入侵CDW后索要8000万美元赎金，但该组织声称该对方只支付了 100 万美元。 Lockbit在接受The Register采访时表示，一家价值 200 亿美元的纳斯达克上市企业仅支付100万美元赎金，对他们来说具有侮辱性，并称如果对方不继续支付足额赎金，将在倒计时期限结束后公布所窃取的数据，且不再进行任何谈判。 网络安全公司Emsisoft的威胁分析师布雷特·卡洛 (Brett Callow ) 称，8000万美元的赎金至少在公开的赎金要求中排名第三。 随着10月12日的最后期限已过，Lockbit在其泄露网站上发布了 2 篇包含 CDWG 数据的帖子，从安全和商业角度来看，泄露数据涉及员工徽章、审计、佣金支付数据和其他帐户相关信息。 CDW 透露，已经检测到与 Sirius Federal 服务器相关的可疑活动，并在外部网络安全专家的帮助下迅速启动了调查。该公司指出，其系统仍然全面运行。 对于声称已经泄露的数据，CDW表示将作为正在进行的调查的一部分，对这些数据进行审查，并将采取适当的应对行动，包括酌情直接通知任何受影响的人。   转自Freebuf，原文链接：https://www.freebuf.com/news/380865.html 封面来源于网络，如有侵权请联系删除

The cyber express 网站消息，某论坛用户爆料知名体育用品零售商迪卡侬一起数据泄露事件，大约 8000 名员工个人信息在此前迪卡侬数据泄露事件中被曝光，这些信息目前已在暗网上“共享”。 据悉，消息源于 vpnMentor 最近发表的一篇博客，一名攻击者“共享”了此前迪卡侬发生的数据泄露事件中的数据，该事件影响了迪卡侬的全球员工和客户。论坛用户上传了一个据称与迪卡侬有关的 61MB 数据库，根据帖子内容，该数据库据称包含约 8000 名迪卡侬员工的个人身份信息 (PII)。 值得一提的是，迪卡侬之前发生的数据泄露事件中暴露的数据包含一系列敏感信息，例如全名、用户名、电话号码、电子邮件地址、居住国家和城市的详细信息、身份验证令牌甚至照片。 咨询公司 Bluenove同时被曝发生数据泄露 数据泄露还包括来自技术和咨询公司 Bluenove 的信息，the cyber express 与 Bluenove 联系后，该公司迅速做出回应，确认暗网论坛上流传的数据库副本真实存在。 对暗网论坛上发布的数据库进行进一步分析检查后，网络安全研究人员发现这些窃取的信息似乎与研究小组在 2021 年发现并报告的迪卡侬员工数据泄漏事件相吻合，vpnMentor 因其数据储存相关政策，不能再拥有最初迪卡侬数据泄漏事件的数据样本，但根据之前的报告，网络攻击者共享样本中包含的信息与团队两年前发现的数据信息基本一致。 为收集更多有关迪卡侬数据泄露的信息，the cyber express 联系了迪卡侬和 Bluenove。然而，截至本文发布前，两家公司均未发表官方声明或做出回应。因此，从现有掌握的数据来看，有关迪卡侬员工数据泄露和 Bluenove 网络攻击的说法仍未得到完全证实。   转自Freebuf，原文链接：https://www.freebuf.com/news/380889.html 封面来源于网络，如有侵权请联系删除

据外媒报道，疑似亲俄罗斯黑客组织利用了 WinRAR 归档实用程序中最近披露的安全漏洞，作为网络钓鱼活动的一部分，旨在从受感染的系统中获取凭据。 Cluster25在上周发布的一份报告中表示：“这次攻击涉及使用恶意存档文件，这些文件利用了最近发现的影响 WinRAR 压缩软件 6.23 版本之前版本的漏洞，该漏洞被追踪为 CVE-2023-38831。” 该存档包含一个诱杀 PDF 文件，单击该文件会导致执行 Windows 批处理脚本，该脚本启动 PowerShell 命令以打开反向 shell，使攻击者可以远程访问目标主机。 还部署了一个 PowerShell 脚本，该脚本可从 Google Chrome 和 Microsoft Edge 浏览器窃取数据，包括登录凭据。捕获的信息通过合法的 Web 服务 webhook[.] 站点泄露。 CVE-2023-38831 是指WinRAR 中的一个高严重性缺陷，该缺陷允许攻击者在尝试查看 ZIP 存档中的良性文件时执行任意代码。Group-IB 于 2023 年 8 月的调查结果披露，自 2023 年 4 月以来，该漏洞已被武器化为零日漏洞，用于针对交易者的攻击。 这一进展发生之际，谷歌旗下的 Mandiant绘制了俄罗斯民族国家攻击者 APT29针对外交实体的“快速发展”网络钓鱼活动的图表，其攻击节奏加快，并在 2023 年上半年重点关注乌克兰。 该公司表示，APT29 工具和间谍技术的重大变化“可能是为了支持增加的操作频率和范围并阻碍取证分析”，并且它“在不同的操作中同时使用了各种感染链”。 一些显着的变化包括使用受损的 WordPress 网站来托管第一阶段的有效负载以及额外的混淆和反分析组件。 AT29 也与以云为中心的利用有关，它是去年年初战争爆发后针对乌克兰发起的众多源自俄罗斯的活动集群之一。 2023 年 7 月，乌克兰计算机紧急响应小组 (CERT-UA)指控Turla 参与了部署 Capibar 恶意软件和 Kazuar 后门的攻击，对乌克兰防御资产进行间谍攻击。 趋势科技在最近的一份报告中披露：“Turla 组织是一个顽固的对手，有着悠久的活动历史。他们的起源、战术和目标都表明他们的行动资金充足，操作人员技术精湛。” “Turla 多年来不断开发其工具和技术，并且可能会继续完善它们。” 乌克兰网络安全机构在上个月的一份报告中还透露，克里姆林宫支持的威胁行为者以国内执法实体为目标，收集有关乌克兰对俄罗斯士兵犯下的战争罪进行调查的信息。 “2023年，最活跃的群体是UAC-0010（Gamaredon /FSB）、UAC-0056（GRU）、UAC-0028（APT28 /GRU）、UAC-0082（Sandworm / GRU）、UAC-0144/UAC-0024 / UAC-0003 (Turla)、UAC-0029 (APT29/SVR)、UAC-0109 ( Zarya )、UAC-0100、UAC-0106 ( XakNet )、[和] UAC-0107 ( CyberArmyofRussia )，”乌克兰特殊通信和信息保护（SSSCIP）表示。 CERT-UA 在 2023 年上半年记录了 27 起“严重”网络事件，而 2022 年下半年为 144 起，2022 年上半年为 319 起。总的来说，影响运营的破坏性网络攻击从 518 起下降到 267 起。   转自安全客，原文链接：https://www.anquanke.com/post/id/290800 封面来源于网络，如有侵权请联系删除

近日，Kwik Trip 遭遇勒索软件攻击，导致其业务中断。Kwik Trip 是一家美国连锁店，在密歇根州、明尼苏达州和威斯康星州拥有 800 多家便利店和加油站；在伊利诺伊州、爱荷华州和南达科他州还以 Kwik Star 的名义经营，公司员工超过 35000 人。 神秘的“网络事件” 自上周末以来，Kwik Trip的员工在网上报告称IT系统都出现了中断，但并未提供导致系统中断的明确原因。 据报道，目前Kwik Trip的员工无法接收新订单，无法使用Kwik奖励系统接受付款，也无法访问公司的支持系统。此外，这次“网络事件”还影响到了Kwik Trip办公室的电子邮件和电话系统。 由于 IT 中断影响了公司的 Kwik Rewards 平台，因此顾客无法使用之前积攒的奖励购买汽油或杂货，他们越来越很失望。 不少Kwik Trip的门店经理和员工都开始在店门口张贴告示，解释停电是他们无法控制的，这是一次公司范围的事件，并表示希望客户尊重工人。 有关 Kwik Trip IT 故障的告示 Kwik Trip 在 Twitter 上发布的一份声明中写道：正如大家所知，我们目前正在处理一起网络事件，该事件导致公司出现了系统中断。 而根据该公司所经历的 IT 故障时间和类型表明，这很可能是一次勒索软件攻击。 在过去的九年里，企业和政府一直在努力防止威胁者入侵其网络、窃取数据然后加密设备。许多此类攻击都发生在周末，因为周末上班的 IT 人员较少，可能会疏于监控用于发现恶意活动的网络或工作站。 威胁者常常会利用窃取的数据作为筹码，威胁勒索公司支付赎金。 区块链分析公司 Chainalysis 今年 6 月报告称，勒索软件团伙在 2023 年至少赚取了 4.491 亿美元。   转自Freebuf，原文链接：https://www.freebuf.com/news/380766.html 封面来源于网络，如有侵权请联系删除

上海市网信办在工作中发现，上海市某科技公司相关数据库存在未授权访问漏洞，部分数据被窃并传输到境外。上海市网信办将相关情况通报涉事企业并要求立即核查整改，但该科技公司无视数据安全保护责任，未进行及时有效整改且擅自将涉事数据库一删了之，意图逃避处罚。上海市网信办依据《数据安全法》对该科技公司及公司直接责任人员予以行政处罚。 经调查核实，该科技公司主要从事为保险类企业提供互联网通信服务。2022年10月，公司安装配置了一台Elasticsearch数据库服务器，用于搜集多个应用系统的业务日志，并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，因数据库存在未授权访问漏洞，造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告，未有效履行数据安全保护义务。针对以上违法情况，上海市网信办依据《数据安全法》第二十七条、第四十五条，对该科技公司作出责令改正，给予警告，并处人民币8万元罚款的行政处罚；对公司直接责任人员作出罚款人民币1万元的行政处罚。 上海市网信办相关负责人强调，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定。开展数据处理活动的企业应当依照法律、法规的规定，完善相关管理制度，采取相应的技术措施和其他必要措施，保障数据安全。一旦发现数据安全缺陷、漏洞等风险时，企业应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时向网信部门报告，擅自删除涉事数据库的行为不仅无益无效而且违法违规，将会受到法律惩处。下一步，上海市网信办将深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律要求，持续加强网络安全、数据安全和个人信息保护工作，督促企业切实履行好主体责任，对问题严重、屡教不改的企业坚决予以依法查处。   转自网信上海，原文链接：https://mp.weixin.qq.com/s/3LKOKFVUM9EMZ_CEdoRVhw 封面来源于网络，如有侵权请联系删除

美国联邦贸易委员会（FTC）10月6日发布调查数据，显示自 2021 年以来，美国人因社交媒体诈骗损失了至少 27 亿美元。 FTC 高级数据研究员艾玛·弗莱彻 (Emma Fletcher)表示，由于绝大多数欺诈行为都没有被举报，实际数字可能要高出许多倍。一项研究表明，只有 4.8% 的诈骗受害者向政府机构提出投诉。 2023年上半年美国社交媒体诈骗常见类型及损失占比 在此次公布的调查中，显示在2023年上半年，社交媒体上最常报告的诈骗行为与在线购物有关，有44%涉及与在线买卖有关的欺诈行为，其中 Facebook 和 Instagram 是高发平台。 虽然网上购物诈骗的报告数量最多，但造成损失最多的是利用社交媒体进行虚假投资诈骗，有超过一半的损失流向了投资诈骗者。 此外，交友诈骗是社交媒体上损失第二大的诈骗类型，大多通过 Facebook、Instagram 或 Snapchat发起陌生好友申请，在博得受害人的好感后对其实施诈骗。 在调查到的受害者年龄分布上，绝大多数为30岁以下的年轻人，其中20 至 29 岁人群占比38%，18至19岁人群占比47%，与社交媒体使用的代际差异一致。 FTC为此建议美国用户谨慎行事，保护自己免受社交媒体诈骗，鼓励面临风险的个人限制其社交媒体帖子和联系方式，如果有人（即使自称是亲朋好友）通过社交媒体索要钱财，请直接通过电话进行联系。   转自Freebuf，原文链接：https://www.freebuf.com/news/379947.html 封面来源于网络，如有侵权请联系删除

23andMe 发布博客称，黑客利用回收的登录名进入账户后，其基因测试和分析平台用户的数据在暗网论坛上流传。BleepingComputer周四写道，一名黑客泄露了他们所说的阿什肯纳兹犹太人的”一百万行数据”，然后说他们会以每个账户1至10美元的价格出售被盗的23andMe数据。这些数据包括用户的姓名、个人照片、基因祖先结果、出生日期和地理位置。 该公司在一份声明中向 BleepingComputer 证实，这些数据是真实的。在声明中，23andMe 的总编辑斯科特-哈德利（Scott Hadly）写道：”此次调查的初步结果表明，这些访问尝试中使用的登录凭证可能是由威胁行为者从涉及其他在线平台的用户回收登录凭证事件中泄露的数据中收集的。他补充说，没有迹象表明”我们的系统出现了安全事故”。BleepingComputer报道称，其他用户的数据是通过23andMe自己的一项名为”DNA亲属”的选择性功能被窃取的。 23andMe 的博文提供了密码重置和多因素验证设置说明的链接。该公司还提供了一个隐私和安全检查页面的链接，并表示需要帮助的用户可以向其支持团队发送电子邮件。 据 PCMag 周三报道，多达 700 万个账户可能被出售，PCMag 援引了暗网信息提供商的一篇帖子，该帖子分享了另一篇现已删除的黑客论坛帖子的截图。这大约是 23andMe 平台用户总数的一半。根据 ArsTechnica 的报道，黑客声称 23andMe 的首席执行官在两个月前就知道数据泄露的事情，但并没有披露这一事件。 与此同时，23andMe 发布了一条来自支持账户的消息：   转自cnBeta，原文链接：https://www.toutiao.com/article/7287291218084807203/?log_from=c0c4b88eb0a67_1696753569060 封面来源于网络，如有侵权请联系删除

日前，哥伦比亚特区选举委员会（DCBOE） 正在调查一起数据泄漏事件。一个名为 RansomedVC 的威胁行为者称通过系统漏洞入侵了选民系统并获取了大量选民信息。 DCBOE 是哥伦比亚特区政府内的一个自治机构，负责监督选举、管理选票访问和处理选民登记流程。 但据调查显示，攻击者是通过入侵华盛顿特区选举机构的托管服务提供商 DataNet 的网络服务器获取到的选民信息，而并非华盛顿特区选举委员会的服务器和内部系统。 10月5日，华盛顿特区选举委员会获悉了此次华盛顿特区选民记录的网络安全事件。该机构表示：虽然事件仍在调查中，但 DCBOE 的内部数据库和服务器并未受到损害。 在与 MS-ISAC 的计算机事件响应小组 (CIRT) 密切合作下，DCBOE 在确定其网站是漏洞源头后，立即关闭了网站，以维护页面控制局势。 DCBOE 网站维护信息 自发现该事件以来，选举委员会与数据安全专家、联邦调查局 (FBI) 和国土安全部 (DHS) 合作，对其内部系统进行了全面的安全评估。 此外，DCBOE 还对其数据库、服务器和 IT 网络进行了漏洞扫描，以确定具体存在哪些潜在安全问题。 被盗数据在暗网上出售 RansomedVC 声称，他们还表示已经成功入侵了哥伦比亚特区选举委员会，并获取了超过 60 万条美国选民信息，其中就包括哥伦比亚特区选民的记录。这些被窃取的信息目前正在威胁者的暗网泄漏网站上出售，但具体价格尚未公布。 为了证明其所盗数据的真实性，RansomedVC 提供了一条记录，其中包含其声称的华盛顿特区选民的个人信息。该数据集包括个人姓名、登记 ID、选民 ID、部分社会安全号码、驾照号码、出生日期、电话号码、电子邮件等。 RansomedVC DCBOE 数据泄露 华盛顿州选举当局在声明中指出，在哥伦比亚特区，一些选民登记数据，如选民姓名、地址、投票记录和党派归属，都是公开信息，除非根据哥伦比亚特区的法规和条例将其保密。 但是，选举当局不提供诸如选民联系信息和 SSN 等机密信息的访问权限。 RansomedVC 曾在上周四（10月5日）透露，被盗的选民记录将出售给一个买家。 RansomedVC 多次深陷争议之中 尽管 RansomedVC 威胁组织目前正在他们的泄漏网站上出售选民数据，但一位匿名人士曾在 10 月 3 日表示，DCBOE 被盗的数据库最初是由一位名为 pwncoder 的用户在 BreachForums 和 Sinister.ly 黑客论坛上出售的，但这些帖子后来被删除了。 据悉，这些数据是从一个被盗的 MSSQL 数据库中倾倒出来的，其中包含超过 60 万名华盛顿特区选民的信息。 pwncoder DCBOE 泄露 不仅如此，RansomedVC 近日还曾声称入侵了索尼系统并窃取了超过 260GB 的文件，其中有 2MB 的泄露档案作为证据。但有另一位自称 MajorNelson 的威胁行为者对此提出了质疑，并在BreachForums 上发布了 2.4GB 的文件档案，也表示是从索尼系统中窃取的。 虽然这些攻击者分享的数据的确看起来与索尼有关，但关于双方说法的真实性，目前仍无从考证。   转自Freebuf，原文链接：https://www.freebuf.com/news/379742.html 封面来源于网络，如有侵权请联系删除