广泛用于企业资源规划 ( ERP )的Apache OfBiz系统 中发现了一个严重的 0day 漏洞。它允许黑客绕过身份验证系统，并使许多企业面临网络攻击的风险。  SonicWall 研究团队发现了一个 名为 CVE-2023-51467的漏洞 。该问题与登录功能有关，是由于对先前的关键漏洞CVE-2023-49070 的修复不完整造成的 ，该修复已于本月早些时候发布。  CVE-2023-49070 是一个未经身份验证的远程代码执行漏洞。它影响 12.18.10 之前的版本，并可能导致服务器完全控制和机密数据被盗。该问题是由 Apache OFBiz 中已弃用的 XML-RPC 组件引起的。  CVE-2023-51467 由 HTTP 请求中的空或无效的 USERNAME 和 PASSWORD 参数触发，导致身份验证成功消息。这使得黑客能够访问内部资源。  该攻击依赖于 URL 中设置为“Y”（是）的“requirePasswordChange”参数，这使得无论提供的用户和密码信息是否正确，都可以绕过身份验证。  美国国家漏洞数据库 ( NVD ) 指出，该漏洞允许绕过身份验证并导致服务器端请求伪造 ( SSRF ) 漏洞，并强烈建议 Apache OFbiz 用户更新到 18.12.11 版本或更高版本，以减少潜在威胁。 转自安全客，原文链接：https://www.anquanke.com/post/id/292261 封面来源于网络，如有侵权请联系删除

  2023年对网络安全领域来说是充满发展和变化的一年。黑客攻击、勒索软件肆虐，大型企业和个人隐私备受威胁。 LockBit、BlackCat等勒索软件家族频频现身，不仅对全球知名企业实施攻击，也直接威胁到个人隐私安全。从全球范围内的网络冲突到个人数据泄露，网络安全风险日益凸显。 考虑到当前全球经济形势的不确定性，预计在未来一年中，黑客攻击和勒索事件可能会更加猖獗，这将为网络安全带治理来更加严峻的挑战。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2023年备受关注的网络安全热点事件，排名不分先后。   01 LockBit 勒索软件家族席卷全球，对各个行业发起攻击 LockBit 勒索软件家族，一种高度活跃和危险的恶意软件，其于 2019 年 9 月被首次发现，该组织通常通过利用网络安全漏洞、分布式拒绝服务攻击（DDoS）和双重勒索策略等技术手段，对目标组织发起攻击。它们会加密受害者的数据并要求赎金，否则就威胁公开或销毁数据。 2023 年，该组织发起了多次攻击活动，对在全球范围内的各种组织构成了严重的威胁。 其中 5 月，LockBit 3.0 勒索软件集团在其数据泄露网站上将富勒顿印度公司列为受害者，称其窃取了 600GB 的 “个人和合法公司的贷款协议”。 7 月，一个名为 Bassterlord 的 Lockbit 关联公司通过 Twitter 宣布了对台积电的黑客攻击，分享了与该公司相关信息的截图作为证据，并对其索要 7000 万美元赎金。 11 月，中国工商银行美国子公司在遭受攻击后疑似已支付赎金。而同样是面对勒索，在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。月中，正利用 Citrix Bleed 已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件，1 万台服务器遭暴露。 11 月底，LockBit 勒索软件组织在其暗网门户上发布了印度国家航空航天实验室 8 份据称被盗的文件，其中包括机密信件、员工护照和内部文件。 事件详情： https://hackernews.cc/archives/43893 https://hackernews.cc/archives/44372 https://hackernews.cc/archives/46929 https://hackernews.cc/archives/46897 https://hackernews.cc/archives/46959 https://hackernews.cc/archives/4742 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞: 盘点 2023 年造成实际破坏的十大漏洞   02 BlackCat 勒索软件袭击全球千名受害者，狂“薅”超 3 亿美元赎金 BlackCat 勒索软件家族，也被称为 ALPHV， 于 2021 年 11 月被首次观察到，是最早用 Rust 编程语言编写的勒索软件之一。BlackCat 常用的手段之一是双重敲诈，除了加密受害者的数据并要求赎金外，它还威胁要公开或销售被盗数据，以迫使受害者支付。 2023 年，BlackCat 已针对多家企业、机构等发起了多次勒索行动。 其中6 月，BlackCat 勒索软件声称从 Reddit 窃取了 80GB 的数据，并提出了450 万美元的赎金需求。 10 月，美高梅度假村透露，因遭受网络攻击影响，损失高达 1 亿美元，美高梅酒店和赌场的网络系统陷入瘫痪。 次月，美国医疗保健公司 Henry Schein  报告称再次遭受 BlackCat 网络攻击，公司的应用程序和电子商务平台再次被关闭，35TB 数据被窃。 12 月， BlackCat 将台湾中国石化添加到其Tor泄露网站的受害者名单中，泄露数据41.9GB。美国联邦调查局（FBI）宣称，截至 2023 年 9 月，BlackCat 勒索软件团伙就已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金。 事件详情： https://hackernews.cc/archives/44204 https://hackernews.cc/archives/45957 https://hackernews.cc/archives/47309 https://hackernews.cc/archives/47360   03 俄乌网络空间攻击战火力全开 2023年，俄乌网络战全面升级，双方的网络攻击火力全开。网络攻击、信息战和网络钓鱼活动成为战争的关键组成部分，对乌克兰及俄罗斯的基础设施、政府机构和民众产生了深远影响。 其中，2 月，俄乌冲突一周年纪念日当天，亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站，以示对战争的抗议。 4月，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 6月，Cyber.Anarchy.Squad 的乌克兰黑客声称发动了一次攻击，导致俄罗斯电信提供商 Infotel JSC 瘫痪。 8月，乌克兰独立日遭俄罗斯黑客组织袭击，致200 多家加油站深夜瘫痪。 9月，乌克兰黑客声称已侵入俄罗斯公司 Sirena-Travel 的数据库，超 41 亿条乘客信息被窃取（包括航班号码、路线、票价、机票价格等）。 11月，乌克兰情报机构成功入侵俄罗斯航空局，窃取的情报显示，俄民航几近崩溃。 12月，乌克兰军事情报部门入侵了俄罗斯联邦税务局，还中断了俄罗斯联邦税务局中央办公室与 2300 个地区办公室之间的通信。 事件详情： https://hackernews.cc/archives/43353 https://hackernews.cc/archives/43745 https://hackernews.cc/archives/44141 https://hackernews.cc/archives/45336 https://hackernews.cc/archives/45838 https://hackernews.cc/archives/47292   04 巴以冲突进入白热化阶段 与俄乌冲突类似，巴以冲突中也伴随了针对双方关键信息基础设施的网络攻击行为。这场战争不仅在物理世界中展开，也深入到了网络空间，涉及网络攻击、信息战、社交工程和AI技术的使用，甚至国家级网络部队和非国家级黑客组织开始“选边站”，更加体现了该事件的复杂程度。 2 月，巴勒斯坦黑客喊话以色列化学公司，并威胁雇员生命。 10月，哈马斯与以色列爆发武装冲突、多国黑客组织进入网络战场参加战斗。该月底，以色列空军基地的计算机系统遭到破坏，一种名为 BiBi-Linux 的新型恶意软件擦除器来销毁针对以色列公司 Linux 系统的攻击中的数据，亲哈马斯的黑客组织使用 Wiper 来摧毁以色列公司的基础设施。 11月，伊朗黑客组织 Imperial Kitten 对以色列运输、物流和技术公司发起新一轮网络攻击。并入侵了以色列航空公司，在网上泄露了该公司的内部机密文件。 事件详情： https://hackernews.cc/archives/43160 https://hackernews.cc/archives/46027 https://hackernews.cc/archives/46472 https://hackernews.cc/archives/46643 https://hackernews.cc/archives/46908 https://hackernews.cc/archives/47002   05 Twitter 2 亿用户数据遭泄露，后回复并非通过系统漏洞流出 1月初，一个包含超过 2 亿 Twitter 用户数据的文件在黑客论坛上发布，数据包括电子邮件地址、姓名、网名、关注人数和账户创建日期，价格约为 2 美元。 一周后，Twitter 回复称没有证据表明泄露的用户数据是利用系统漏洞进行获取，安全研究人员认为这些数据很可能是在网上公开的数据集。 事件详情： https://hackernews.cc/archives/43005 https://hackernews.cc/archives/43080   06 黑客论坛上“在售”宏碁 160 GB 敏感数据 3 月，中国台湾电脑巨头宏碁证实，在黑客成功入侵一台存有维修技术人员私人文件的服务器后，公司 160 GB 敏感数据遭泄露。化名为“Kernelware”的黑客声称对此次重大数据泄露事件负责。 从黑客说法来看，被盗数据主要包含宏碁公司的技术手册、软件工具、后台基础设施细节、手机、平板电脑和笔记本电脑的产品型号文档、BIOS 图像、ROM 文件、ISO 文件和替换数字产品密钥（RDPK）等。为证实数据的真实性，黑客还分享了宏碁 V206HQL 显示器技术原理图、文件、BIOS 定义和机密文件的截图。 事件详情： https://hackernews.cc/archives/43434   07 超过 10 万个 ChatGPT 账户被恶意软件窃取 6月， Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。 许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 事件详情： https://hackernews.cc/archives/44221   08 卡巴斯基曝光史上最复杂苹果系列 APT 攻击——三角测量行动 6 月，卡巴斯基披露了一起 APT 攻击——“三角测量行动”， iOS 已成为利用 iMessage 平台的零点击漏洞武器化，使攻击者可秘密从受感染设备中窃取敏感信息。 10 月，卡巴斯基再次披露其主要同时利用了 4 个 0 day 漏洞以及 1 个PAC bypass 的 1day 漏洞。这些漏洞链接在一起，形成零点击攻击，允许黑客提升权限并执行远程代码。 在该次攻击中，关键的攻击组件是一个名为 TriangleDB 的后门，该程序由至少四个模块组成，功能包括录制麦克风、提取 iCloud 钥匙串、从各种应用程序所使用的 SQLite 数据库中窃取数据，以及估算受害者的位置。 此外，在 12 月，卡巴斯基还进一步披露了该攻击软件攻击的技术细节。这些漏洞不仅影响 iPhone，还波及到了 Mac、iPod、iPad、Apple TV 和 Apple Watch 等设备。 事件详情： https://hackernews.cc/archives/44125 https://hackernews.cc/archives/46431 https://hackernews.cc/archives/48616 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞： 盘点 2023 年造成实际破坏的十大漏洞   09 超 2000 家美国公司凭据遭到泄露！特斯拉、FBI、五角大楼无一幸免 8 月，美国国家安全委员会(NSC)泄露了近 1 万名会员的电子邮件和密码，包括政府机关和大企业在内的 2000 多家企业被曝光，NASA、特斯拉、FBI、五角大楼无一幸免。 该漏洞不仅对 NSC 系统构成了风险，而且对使用 NSC 服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如 VPN 门户、人力资源管理平台或公司电子邮件。此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。 事件详情： https://hackernews.cc/archives/45421   10 美国金融机构遭遇史上最大规模 DDoS 攻击 9 月，Akamai 近日透露，已经挫败了针对一家美国银行的大规模 DDoS 攻击，攻击峰值高达每秒 5510 万个数据包，攻击流量达到了每秒 633.7GB。这也是 Akamai 挫败的第三大规模的 DDoS 攻击。 事件详情： https://hackernews.cc/archives/45681   11 勒索组织 Cl0p 利用 MOVEit 发起漏洞攻击 9 月，勒索组织 Cl0p 利用 MOVEit 漏洞攻击的组织数量已超过 2000 个，受影响的人数超过 6000 万。 在今年 5 月，该组织还利用流行的 MOVEit 文件传输解决方案中的 SQL 注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 事件详情： https://hackernews.cc/archives/45873   12 中国台湾大江生医集团 236.3GB 数据于暗网泄露 11月，据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。 此次暗网雷达监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。 事件详情： https://hackernews.cc/archives/47123   13 8 亿印度人遭遇大规模数据泄露 11 月，据美国一家安全公司称，超过 8 亿印度人的高度敏感个人信息正在网上以 8 万美元的价格出售。 网上提供的个人数据包括 Aadhaar 生物识别身份证和护照信息，以及姓名、电话号码和地址。据有关媒体报道，今年 10 月初，该公司在暗网上发现了数百万份属于印度居民的个人信息记录。 事件详情： https://hackernews.cc/archives/46590   14 GE 疑遭黑客攻击，大量军事机密泄露 11月，GE（通用电气）疑遭黑客攻击，黑客还公布了 GE 被盗数据的屏幕截图，数据样本包括 GE Aviations 的一个 SQL 数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。 事件详情： https://hackernews.cc/archives/47286   15 基因检测公司 690 万名会员信息遭泄露 12 月，基因检测公司 23andMe 证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 事件详情： https://hackernews.cc/archives/47586     作者：知道创宇404实验室 （数据来源 https://hackernews.cc/，转载请注明出处。）

12月26日，阿尔巴尼亚议会宣布遭遇大规模网络攻击。黑客试图从政府信息系统获取机密数据，导致系统运行暂时中断。声明指出，目前没有信息表明攻击者能够获取任何有价值的信息并将其用于任何目的。专家们正在对事件进行彻底调查，并努力恢复基础设施。 当地媒体报道称，该国最大的移动运营商之一和国家航空公司周一遭受了类似的网络攻击，但该信息尚未得到独立证实。据推测，此次攻击的组织者是总部位于伊朗的黑客组织“国土正义”。 让我们回想一下，2022年7月，阿尔巴尼亚就已经面临过类似事件，该国当局将此事归咎于伊朗情报部门。这次袭击发生之际，阿尔巴尼亚向反对派组织“人民圣战者”成员提供庇护，这被视为伊朗的报复。此后，两国彻底断交。 伊朗外交部否认参与对阿尔巴尼亚的袭击。德黑兰将这些事件归咎于圣战者组织本身，称伊朗经常受到反对派的攻击。 六月，阿尔巴尼亚当局突袭了圣战者营地，没收了他们所说的用于非法政治活动的计算机设备。圣战者组织流亡阿尔巴尼亚，无权参与政治。 美国、北约和欧盟均表示支持阿尔巴尼亚在此问题上与伊朗对抗。 转自安全客，原文链接：https://www.anquanke.com/post/id/292207 封面来源于网络，如有侵权请联系删除

位于约旦安曼现代Al Abdali社区的阿卜杜勒医院（Abdali Hospital） 已成为黑客组织Rhysida的最新受害者。这是一家多学科诊所，提供多个领域的医疗服务。 除外科外，医院还拥有骨科和风湿科、妇科、泌尿科和内分泌科、神经内科、肾内科、肺内科、内科、肿瘤科、感染科和麻醉科等专家。此外还设有美容区——整形外科、皮肤科和妇女健康中心。 黑客在暗网上发布了被盗医疗文件和员工 ID 的屏幕截图，作为攻击的证据。该数据已被拍卖，最低价格为 10 比特币。 黑客发布的数据截图 该网站发布的公告称：“您只有7天的时间购买独家且唯一的数据。我们只向一个人出售信息，禁止转售。您将是唯一的所有者！” Rhysida 声称，7 天后，被盗信息将被公开。 黑客发布的公告 11月底，他们宣布对伦敦爱德华七世国王医院、 大英图书馆和中国能源建设集团公司 （CEEC）进行黑客攻击。 Rhysida 于 2023 年 5 月开始运营。据犯罪分子自己称，在此期间，至少有 62 家教育、医疗、制造、IT 和公共部门的公司成为受害者。 上周，美国联邦调查局和美国网络安全局（CISA）针对该组织构成的威胁发出联合警告。该文件确定了所使用的方法和妥协指标。 值得注意的是，攻击者根据“勒索即服务”模式（勒索软件即服务，RaaS）进行操作，出租他们的工具和基础设施。收到的赎金由该组织和附属机构分配。 为了访问系统，黑客利用外部远程服务（例如 VPN 和 RDP）中的漏洞以及受损的凭据。已有利用 Zerologon 漏洞进行网络钓鱼攻击的案例。另外，Rhysida经常使用操作系统内置的网络工具。 转自安全客，原文链接：https://www.anquanke.com/post/id/292212 封面来源于网络，如有侵权请联系删除

国际特赦组织证实了苹果公司在 10 月底发出的警告——印度政府正在使用臭名昭著的 Pegasus 间谍软件针对记者和反对派。 10 月底，苹果公司警告印度记者和反对派政界人士，政府正在针对 iPhone 发起持续的APT攻击。 来自印度反对党的六名印度议员表示，他们收到了苹果手机发出的威胁通知，几位知名记者也是如此。 印度政府对此反应强烈，政府官员公开质疑苹果公司的调查结果，称该公司的算法有错误，并宣布对苹果设备的安全性进行调查。 《华盛顿邮报》还表示，印度官员愤怒地敦促苹果驻印度代表撤回这些警告。 但苹果公司已经对 Pegasus 间谍软件的创建者以色列公司 NSO Group 提起诉讼。 印度政府并没有公开证实或否认使用 Pegasus 间谍软件工具。但现在，活跃于全球的非营利组织国际特赦组织表示，它在印度著名记者的 iPhone 上发现了侵入性间谍软件。 国际特赦组织的声明称，国际特赦组织安全实验室的取证调查证实，《火线报》创始编辑 Siddharth Varadarajan 和有组织犯罪与腐败报告项目 (OCCRP) 南亚编辑阿南德·曼纳勒 (Anand Mangnale) 均在最近受到 Pegasus 攻击的记者之列。在 2023 年 10 月，他们发现自己的 iPhone 被安装了间谍软件。 该组织还声称，这一消息是在印度当局对和平言论和集会自由进行“前所未有的镇压”之际发布的。 “我们的最新调查结果表明，印度记者们仅仅因为他们的工作正面对越来越多的非法威胁，以及其他镇压手段，包括根据严厉的法律实施的监禁、诽谤、骚扰和恐吓。”国际特赦组织的安全实验室在调查报告中写道。 “尽管屡次被揭露，但印度对 Pegasus 间谍软件的使用缺乏问责，这只会加剧这些侵犯人权行为有罪不罚的感觉。” 国际特赦组织的安全实验室对世界各地收到这些通知的个人（包括 Varadarajan 和 Mangnale）的手机进行取证分析。该组织在两名印度记者拥有的设备上发现了 Pegasus 间谍软件活动的痕迹。 研究人员从 Mangnale 的设备中找到了零点击漏洞的证据，该漏洞于 2023 年 8 月 23 日通过 iMessage 发送到他的手机，旨在秘密安装 Pegasus 间谍软件。该手机运行的是当时最新的 iOS 16.6 版本。 零点击漏洞利用是指无需目标用户执行任何操作（例如单击链接）即可将间谍软件安装在设备上的恶意软件。 国际特赦组织在声明中再次呼吁所有国家禁止使用和出口高度侵入性间谍软件。不过，印度被单独挑了出来。 国际特赦组织表示：“为了确保透明度，印度当局还应公开披露与私人监控公司（包括 NSO 集团）之前、当前或未来签订的任何合同的信息。” 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Jqt8iTBBkf484IqTQ-9H5Q 封面来源于网络，如有侵权请联系删除

McAfee 移动研究团队发现了一个名为 Xamalicious 的新型安卓后门，它能够完全控制设备并执行欺诈行为。该恶意软件是利用 Xamarin 实现的，这是一个开源框架，允许使用 .NET 和 C# 构建安卓和 iOS 应用程序。 Xamalicious 通过社会工程学手段获取辅助功能权限，然后连接到 C2 以评估是否下载第二阶段的有效载荷。恶意有效载荷在运行时以装配 DLL 的形式动态注入，以完全控制设备并执行广泛的欺诈行为，例如点击广告和安装应用程序。 第二阶段的有效载荷利用在第一阶段获得的强大辅助功能服务来完全控制被感染设备。恶意代码还支持主 APK 的自更新机制，使威胁非常多样化。 专家们发现了 Xamalicious 与广告欺诈应用“Cash Magnet”之间存在联系，黑客利用此应用控制设备点击广告、安装应用程序和执行其他操作以获取收入。 研究人员认为，黑客出于经济动机开发了该后门软件。 使用 Xamarin 框架使得黑客能够长时间不被发现。他们还采用了各种混淆技术和定制加密，以避免被检测。 McAfee 发现了大约 25 个不同的恶意应用，其中一些自 2020 年年中以来就已经被上传到 Google Play。谷歌已经迅速将这些恶意软件应用从 Google Play 上移除。 “根据这些应用的安装数量，它们可能已经在 Google Play 上损害了至少 32.7 万台设备，还有从第三方市场下载的安装，这些市场根据 McAfee 客户在全球范围内的检测数据不断产生新的感染。” McAfee 发布的报告中写道。“Android/Xamalicious 木马应用与健康、游戏、星座和生产力相关。这些应用中的大多数仍然可以在第三方市场上下载。” 为了规避分析和检测，该恶意软件对所有的 C2 通信进行了加密。这种加密不仅限于 HTTPS 保护，还利用了 RSA-OAEP 和 128CBC-HS256 算法加密的 JSON Web Encryption（JWE）令牌。然而，研究人员注意到 Xamalicious 使用的 RSA 密钥值是硬编码在反编译的恶意 DLL 中的，这使得在分析期间如果 C2 基础架构是可访问的，就可以解密传输的信息。 大多数感染发生在美国、巴西、阿根廷、英国、西班牙和德国。 “使用 Flutter、React Native 和 Xamarin 等非 Java 代码编写的 Android 应用会为恶意软件作者提供额外的混淆层，他们有意选择这些工具以避免被检测，并试图保持在安全供应商的监测范围之外，从而保证这些恶意软件不被移除。” 报告总结道。“在一般情况下，建议用户不要使用需要辅助访问权限的应用程序，除非出于特定需求。如果一个应用程序试图在没有充分理由的情况下激活辅助功能，并且要求用户忽略操作系统的安全警告，那么这个应用程序可能存在重大安全风险。” 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测，12月27日，曼谷航空(Bangkok Airways) 106.5GB 数据被泄露，包含122000份文件，包括机场、就业和合同信息。数据可全量下载。 在此次攻击中，黑客发布了此次泄露数据的全部文件。 黑客发布的文件截图 曼谷航空公司（Bangkok Airways）成立于1968年，是泰国颇具知名度的航空公司之一。最初作为一家私人航空公司，后来逐渐发展成为一家颇具规模和影响力的航空企业。 这并不是该公司第一次发生如此大规模的数据泄露事件，在2021年9月，曼谷航空公司就曾被 LockBit 勒索软件团队窃取了超过 200 GB 的数据。LockBit 勒索软件团队还在其泄密网站上发布了一条消息，威胁说如果曼谷航空不支付赎金，就会泄露被盗数据，消息还显示他们有更多的数据要泄露。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

卡巴斯基的数据显示，2023 年网络犯罪分子平均每天释放 411,000 个恶意文件，比上一年增加 3%。 该公司于 2023 年 12 月 14 日发布的年度安全统计报告显示，特定类型的威胁也在升级。 一个例子是使用恶意文件（Microsoft Office、PDF等）来传播其他恶意软件。2023 年卡巴斯基检测到的 1.25 亿个文件中，有 24,000 个此类文件，较 2022 年增加了 53%。 报告称：“这种增长可能与利用网络钓鱼 PDF 文件的攻击增加有关，这些文件旨在窃取潜在受害者的数据。” 后门使用量增加 Microsoft Windows 仍然是网络攻击的主要目标，占每日检测到的所有恶意软件数据的 88%。同时，卡巴斯基称观察到一些有趣的 macOS 恶意软件样本，特别是在法国、中国和意大利。 许多针对 macOS 系统的恶意文件都伪装成广告软件。 最普遍的恶意软件类型仍然是木马，后门的使用显着增加，检测到的文件数量从 2022 年每天 15,000 个增加到 2023 年每天 40,000 个。 后门是最危险的木马类型之一，它使攻击者能够远程控制受害者的系统，以执行发送、接收、执行和删除文件等任务，以及收集机密数据和记录计算机活动。 Magniber、WannaCry 和 Stop/Djvu 是卡巴斯基检测最多的十个木马家族之一。 微软Office漏洞受青睐 网络犯罪分子尤其青睐 Microsoft Office 服务的漏洞。它们占所有被利用漏洞的 69.10%。 “报告期间因业务应用程序中的许多危险漏洞而被记住，例如MOVEit Transfer 中的CVE-2023-34362、CVE-2023-35036和CVE-2023-35708或Microsoft Outlook 中的CVE-2023-23397。”研究人员指出。 LockBit、BlackCat 和 Clop 是最多产的勒索软件团伙 根据卡巴斯基的遥测数据，排名第一的勒索软件组织是 LockBit，该组织在勒索软件团伙数据泄露网站上公布的受害者数量占勒索软件团伙公开声明的受害者总数的 24.63%。 LockBit 之后是 ALPHV/BlackCat (10.81%) 和 Clop (9.97%)。 卡巴斯基反恶意软件研究主管 Vladimir Kuskov 评论道：“攻击者不断开发新的恶意软件、技术和方法来攻击组织和个人。报告的漏洞数量也在逐年增加，包括勒索软件团伙在内的攻击者组织会毫不犹豫地使用新出现的漏洞武器。” “此外，由于人工智能的普及，网络犯罪的进入门槛正在降低，攻击者利用人工智能来创建具有更令人信服的网络钓鱼消息。在这个时代，对于大型组织和每个普通用户来说，采用可靠的安全解决方案至关重要。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2YWYO7laN-1vusdhGsZk8A? 封面来源于网络，如有侵权请联系删除

vpnMentor 报告称，属于房地产财富网络的一个不受保护的数据库在一段未知的时间内可以通过互联网进行访问。 Real Estate Wealth Network 成立于1993年，总部位于纽约，是一个在线房地产教育平台，为订阅者提供课程、培训材料和社区的访问权限。 网络安全研究员 Jeremiah Fowler 发现，未受保护的数据库大小为1.16 TB，包含超过15亿条记录。 “数据按照以下内容组织在各种文件夹中：房产历史、积极卖家、破产、离婚、税收留置权、止赎、房主协会（HOA）留置权、继承、法院判决、讣告（死亡）、空置房产等，”研究人员说。 在这些文件夹中，研究人员发现了有关业主、投资者和卖家的详细信息，以及2023年4月至10月期间的日志记录，其中包含用户的姓名、地址、电话号码、电子邮件地址、设备信息和文件详细信息已访问。 福勒说，暴露的信息涉及数百万人，包括名人和政客，例如“凯莉·詹纳、布莱克·谢尔顿、布兰妮·斯皮尔斯、弗洛伊德·梅威瑟、戴夫·查佩尔、埃隆·马斯克及合伙人有限责任公司、多莉·帕顿、马克·沃尔伯格、南希·佩洛西” ， 和别的”。 “我能够看到他们的街道地址、购买价格和日期、抵押贷款公司、抵押贷款金额、税号、所欠、已付或到期税款以及其他信息，”福勒说。 研究人员向房地产财富网络报告了这一发现，该网络立即阻止公众访问该数据库，并在几天后确认了所有权。 福勒指出，他无法确定该数据库在互联网上暴露了多长时间以及谁可能访问了该数据库，并指出只有内部法证审计才能揭示该信息是否可能已被访问或下载。 研究人员指出，虽然美国的财产税记录被认为是半公开的，但公众通常无法完全获取所有权信息。 “在搜索数据库时，我找到了我自己的财产、我的姓名、地址、购买日期和其他详细信息。然后，我检查了当地县税务和收入办公室，看看这些数据是否公开，结果发现我当地县没有在线提供这些信息，”研究人员指出。 福勒指出，这些数据的暴露会给名人和政客的个人隐私、安全和保障带来潜在风险，但也可能导致信息滥用以及财产和抵押贷款欺诈。 “目前尚不清楚这些数据被公开暴露了多长时间，甚至是否有其他人可能访问过这些数据。我并不是说房地产财富网络数据库中的个人面临迫在眉睫的风险，我只是提供一个假设的例子，说明利用暴露的所有权记录和税务信息如何发生房地产或其他形式的欺诈，”研究人员指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292106 封面来源于网络，如有侵权请联系删除

近日，微软称伊朗网络间谍组织 APT33 正在利用 FalseFont 后门恶意软件攻击全球国防工业基地。 据观察，伊朗民族国家黑客 Peach Sandstorm 曾试图向国防工业基地（DIB）部门的组织员工发送名为 FalseFont 的开发后门。此类攻击针对的目标包括 10 万多家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。 该黑客组织又名 Peach Sandstorm\HOLMIUM \Refined Kitten，自 2013 年起就频繁活动。他们的攻击目标横跨美国、沙特阿拉伯和韩国的多个行业领域，还包括政府、国防、研究、金融和工程等垂直行业。 此次微软公布的 FalseFont 是该组织最新行动中部署的自定义后门，它为操作员提供了远程访问被入侵系统、执行文件和向其指挥控制（C2）服务器传输文件的功能。 微软方面表示，这个后门是在今年 11 月初初次被在野发现。 Redmond 表示：FalseFont 的相关威胁行动与微软在过去一年中观察到的 Peach Sandstorm 活动一致，这表明 Peach Sandstorm 的技术在持续精进。他建议各组织机构重置密码、撤销会话 cookie，并使用多因素身份验证（MFA）确保账户和 RDP 或 Windows 虚拟桌面端点的安全，从而减少 APT33 黑客的攻击面。 遭受攻击的国防承包商 今年 9 月，微软曾发布警告声明称自 2 月以来，黑客组织APT33针对全球数以千计的组织（包括国防部门）发起了大范围的密码喷射攻击。 据微软威胁情报团队称：2023 年 2 月至 7 月间，Peach Sandstorm 发起了一波密码喷射攻击，试图对数千个环境进行身份验证。 在2023年一整年，Peach Sandstorm 一直展现出对美国和其他国家的卫星、国防部门组织以及制药部门的兴趣。一旦发起攻击，黑客极易导致国防、卫星和制药领域的数据泄露。 微软威胁情报中心（MSTIC）的研究人员还发现了另一个与伊朗有关的黑客组织，名为DEV-0343。微软2012年10月的一份报告显示，该组织两年前也曾攻击过美国和以色列的国防科技公司。 转自Freebuf，原文链接：https://www.freebuf.com/news/387399.html 封面来源于网络，如有侵权请联系删除