前不久印度最大的电力集团塔塔电力公布遭遇网络攻击。10月25日，Hive勒索组织宣称对此次网络攻击负责。 Hive成员声称从塔塔电力窃取了数据并对外公布数据截图，Hive声称，其在10月3日加密了塔塔电力的数据，但与塔塔的赎金谈判失败。一般情况下，如果目标公司拒绝支付赎金，谈判失败，威胁行为者通常会选择泄露或出售窃取的数据。 一名研究人员Rakesh Krishnan分享了被盗数据的截屏，截图信息显示，被盗数据包括塔塔电力员工个人身份信息（PII）、国民身份证（Aadhar）卡号、PAN（税务账户）号、工资信息、工程图纸、财务、银行记录和客户信息等。 10月14日，塔塔电力公司在一份股票文件中披露遭到网络攻击，IT基础设施和部分IT系统受影响，但并未透露有关攻击者的信息。 塔塔电力在公告中表示，“公司已经采取措施尽快恢复系统，目前所有关键操作系统运转正常。但为了全面预防，我们对员工和门户和接触点实施了限制访问和预防性检查。”该文件当时由公司秘书H.M. Mistry签署。 关于Hive勒索组织 Hive勒索组织比其网站显示的更加活跃和激进，自2021年6月底面世之后，其附属机构平均每天攻击三家公司。 据了解，该团伙采用一套多样化的战术、技术和程序，这使得被攻击企业难以抵御其攻击。联邦调查局此前也曾警告过这一点。 今年9月，Hive声称是纽约赛马协会、加拿大贝尔公司的子公司以及纽约的应急响应和救护车服务提供商网络攻击活动的幕后黑手。 去年，Hive对Memorial卫生系统的攻击导致了手术和诊断操作取消，病人数据被盗。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347859.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SQLite数据库中已披露了一个高严重性漏洞，该漏洞是2000年10月代码更改的一部分，可能使攻击者崩溃或控制程序。 该漏洞被追踪为CVE-2022-35737（CVSS评分：7.5），已有22年历史，会影响SQLite版本1.0.12至3.39.1，并在2022年7月21日发布的版本3.39.2中得到解决。 “CVE-2022-35737在64位系统上是可利用的，可利用性取决于程序的编译方式。”Trail of Bits研究人员Andreas Kellas在今天发表的一篇技术文章中表示。 当编译库时没有堆栈金丝雀时，任意代码执行是确认的，但是当堆栈金丝雀存在时，任意代码执行是未确认的，并且在所有情况下都确认拒绝服务。 SQLite是用C语言编程，使用最广泛的数据库引擎，默认情况下包含Android、iOS、Windows和macOS，以及流行的web浏览器，如谷歌Chrome、Mozilla Firefox和Apple Safari。 Trail of Bits发现的漏洞涉及一个整数溢出漏洞，当超大字符串输入作为参数传递给printf函数的SQLite实现时，就会出现该漏洞，而PRINTF函数又会使用另一个函数来处理字符串格式化（“sqlite3_str_vappendf”）。 然而，漏洞库成功武器化的前提是字符串包含%Q、%Q或%w格式替换类型，当用户控制的数据写入超出堆栈分配缓冲区的边界时，可能会导致程序崩溃。 Kellas解释道：“如果格式字符串包含’！’特殊字符以启用unicode字符扫描，那么在最坏的情况下就有可能实现任意代码执行，或者导致程序无限期地挂起和循环。” 该漏洞也是几十年前被认为不切实际的一个例子——分配1GB字符串作为输入——随着64位计算系统的出现而变得可行。 Kellas说：“当系统主要是32位体系结构时，这个bug在编写时（可以追溯到SQLite源代码中的2000年）可能看起来并不是一个错误。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据BleepingComputer 10月24日消息，英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击，部分数据被窃取，并收到了高达6000万美元的赎金支付通知。 Pendragon在安全公告中声称：“我们在部分 IT 系统中发现了可疑活动，并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时，该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前，并表示攻击者以发布被盗数据为威胁，要求在截止日期前支付高额赎金。经过其他媒体查证，确认LockBit 的索要金额为 6000 万美元。 “我们坚持不向攻击者付款！”该公司发言人说道。为了回应外界担忧，发言人强调称攻击发生后，公司 IT 团队立即做出了反应，调查结果显示，黑客仅窃取了数据库中 5%的数据。 BleepingComputer 已联系该公司以获取有关被盗数据的更多信息，以及如果黑客泄露数据会产生的影响，但在发布时没有收到任何回复。 Pendragon在英国遍布200多个经销商站点，拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月，Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑（约4.52亿美元）的收购申请。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347783.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 乌克兰计算机紧急响应小组（CERT-UA）警告称，当地关键基础设施可能受到古巴勒索软件攻击。 2022年10月21日，乌克兰CERT-UA发现了一场冒充乌克兰武装部队总参谋部新闻处的网络钓鱼活动。网络钓鱼邮件包括一个第三方网站的链接，用于下载标题为“Наказ_309.pdf”的文档。 该网页旨在诱骗读者更新软件（PDF阅读器）来阅读文档。 单击“下载”按钮后，名为“AcroRdrDCx642200120169_uk_UA.exe”的可执行文件将下载到计算机。 运行上述可执行文件将解码并运行“rmtpak.dll”DLL文件，即ROMCOM RAT。 研究人员将RomCom后门的使用与黑客Tropical Scorpius（又名UNC2596）联系在一起，CERT-UA将其追踪为UAC-0132，负责古巴勒索软件的分发。 乌克兰发布的警报称：“考虑到RomCom后门的使用以及相关文件的其他功能，我们认为可以将检测到的活动与Tropical Scorpius (Unit42)，又名UNC2596（Mandiant）的活动联系起来，该集团负责古巴勒索软件的分发；CERT-UA 在标识符UAC-0132下监视活动。” 从2022年5月初开始，Palo Alto Network的第42分队观察到Tropical Scorpius黑客使用新颖的工具和技术部署了古巴勒索软件，包括定制后门RomCom。 警报还包括此次活动的妥协指标。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据BleepingComputer 10月22日消息，两个名为TommyLeaks和SchoolBoys的新网络勒索组织正把攻击目标瞄准全球多家公司，但经过调查，背后是系同一团伙所为。 9月，安全研究员 MalwareHunterTeam 率先在推特上发布 了一个名为TommyLeaks的新勒索组织。该组织通过侵入破坏公司网络窃取数据，并索要赎金。BleepingComputer 了解到的赎金要求从 40 万美元到 70 万美元不等。 而本月，MalwareHunterTeam 声称发现 了另一个名为SchoolBoys Ransomware Gang的勒索组织，该组织将窃取数据并加密受害者设备作为勒索攻击的一部分。BleepingComputer 后来发现了一个 SchoolBoys 勒索软件加密器样本，并确认它由泄露的 LockBit 3.0 构建器创建。 虽然这两个组织没有公开数据泄露站点，但他们都使用相同的 Tor 聊天系统作为谈判网站，且该聊天系统以前只被卡拉库特勒索小组使用过，这不得不让人怀疑二者背后存在关联。 TommyLeaks与SchoolBoys使用相似的赎金谈判网站入口 就在上周，BleepingComputer证实，TommyLeaks 和 SchoolBoys Ransomware Gang 实际上就是同组织。在与BleepingComputer 共享的 SchoolBoys 信息中，该组织将受害者称为TommyLeaks，试图强迫受害者支付赎金。 虽然目前尚不清楚他们为何在运营中使用两个不同的名称，但这一做法与之前Conti 使用Karakurt这一马甲名称相类似。今年年初，AdvIntel 首席执行官 Vitali Kremez 向BleepingComputer透露，当 Conti 的勒索软件加密器在攻击中被阻止时，攻击者会使用 Karakurt继续进行攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347695.html 封面来源于网络，如有侵权请联系删除

澳大利亚医疗保险公司Medibank透露，有网络犯罪团伙发来消息宣称掌握了其客户的资料，并威胁将公开这些资料。 上周，英国科技新闻网站The Register报道称，原国有保险公司Medibank于10月13日透露，因“在其网络上发现了异常活动”，已下线旗下子品牌“ahm”的各个系统及为海外学生提供保险产品的应用。该公司表示，没有发现表明敏感数据被盗的证据，但聘用了网络安全公司确保其掌控局面。 10月17日，Medibank发布情况更新通告，称该事件“应验了勒索软件事件前兆”，并解释称，已出于谨慎下线了上述应用，还利用停机时间提升了整个运营的安全性。 该公司于10月19日发布的通报则揭示了更糟糕的情况： 今天，Medibank集团收到某团伙发来的消息，称其希望与公司就其所谓的客户数据删除事宜进行谈判。 “这是个新情况，Medibank立即紧急查证情况是否属实，尽管正在进行的调查取证表明我们当前已谨慎对待此事。” Medibank原为国有非营利保险公司，国营近40年后才于2014年在澳大利亚证券交易所挂牌上市。该公司通告澳大利亚证券交易所称，由于服务可能中断，公司将暂停其股票交易。 澳大利亚媒体报道称，联系Medibank的团伙威胁要向数据库中的人发送这些个人数据，证明他们持有该保险公司客户的数据。如果Medibank不讨论花钱防止泄露范围扩大，所谓的攻击者表示将出售这些盗得的数据。 澳大利亚内政部长认为该事件堪称“重大”，并向澳大利亚国民发出警告，称此类网络攻击是令人不快的新常态。 关于Medibank网络事件的声明： Medibank发生了重大网络安全事件。事实仍在证实中。 我已联系了Medibank首席执行官David Koczkar和澳大利亚国防信号局（@ASDGovAu ）及澳大利亚联邦警察（@AusFedPolice）的负责人。 —— Clare O”Neil MP (@ClareONeilMP) 2022年10月19日 此事件升级之前，新加坡电信旗下澳大利亚电信运营商Optus才泄露了近1000万条记录，并因为前后不一致且毫无同理心的回应而引发众怒。 Medibank数据泄露、Optus黑客攻击和其他一些规模较小的安全事件，令信息安全话题在澳大利亚新闻媒体上此起彼伏了几乎一个月。所有企业都感受到了整顿自家网络的压力——如果他们能够整顿的话。 10月20日，Medibank又发布了关于当前情况的更新通告： ● 一名犯罪分子联系Medibank宣称盗取了200GB数据。 ● 此人提供了包含100份保单的记录样本，我们认为样本中的记录出自ahm和国际学生系统。 ● 样本数据中包含姓名、住址、生日、医保编号、保单号、电话号码和一些索赔数据。 ● 这些索赔数据包括客户接受医疗服务的地点，以及与他们的诊断和治疗相关的规定。 ● 这名犯罪分子宣称还盗取了其他信息，例如信用卡安全相关数据，但我们的调查尚未验证此事。 Medibank补充道，公司正在努力“了解还有其他哪些客户数据受到影响”，并已开始联系受影响的客户，“向其通告事件最新进展，以及提供后续支持和帮助”。 转自 安全内参，原文链接：https://www.secrss.com/articles/48200 封面来源于网络，如有侵权请联系删除

10月20日，Google宣布正在为名为Graph for Understanding Artifact Composition（GUAC）的开源项目寻找感兴趣的贡献者，以此进一步强化软件供应链安全。 谷歌Brandon Lum、Mihai Maruseac 和 Isaac Hepworth称，GUAC开源项目将可以解决整个生态系统中迅速发展的工作所产生的需求，以生成软件构建、安全和依赖元数据。GUAC旨在让每个组织都可以只有访问和调用这些信息，正在发挥开源的共享和民主的特性。 当下，软件供应链安全已成为网络安全领域内一大重点因素，攻击者频频利用软件供应链中某个使用广泛的弱点，掀起令全球企业为之侧目的网安大事件。例如曾经肆虐一时的SolarWinds事件和近期发生的Log4Shell漏洞事件。 在这些供应链安全事件中，攻击中以一点为突破，随后沿着供应链进行入侵并大肆窃取敏感数据、植入恶意软件、并控制属于下游客户的系统。 谷歌多手段强化供应链安全 在启动GUAC开源项目之前，谷歌在供应链安全方面已经有了多个动作。 2021年，谷歌发布了一个名为Supply chain Levels for Software Artifacts（SLSA）的框架，旨在确保软件包的完整性并防止未经授权的修改。此外它还推出了安全记分卡的更新版本，该版本识别了第三方依赖项可能给项目带来的风险，允许开发人员就接受易受攻击的代码或考虑其他替代方案做出明智的决定。 2021年8月，谷歌进一步推出软件供应链漏洞赏金计划，以识别横跨多个项目的安全漏洞，其中包括赫赫有名的Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia。 GUAC 是谷歌为加强供应链健康所做的最新努力。它通过将来自公共和私人来源的软件安全元数据聚合成一个“知识图”，并以此回答有关供应链风险的问题。支撑此架构的数据来自Sigstore、GitHub、开源漏洞( OSV )、Grype和Trivy等，以在漏洞、项目、资源、开发人员、工件和存储库之间建立有意义的关系。 谷歌公开表示，查询知识图可以推动更高级别的组织成果，例如审计、政策、风险管理，甚至开发人员的协助。换句话说，这个想法是将项目与其开发人员、漏洞和相应的软件版本、工件和它所属的源存储库之间的不同点联系起来。 因此，其目的不仅使组织能够确定它们是否受到特定漏洞的影响，还可以估计供应链受到损害时的爆炸半径。换言之，谷歌已经开始意识到可能破坏 GUAC 的潜在威胁，包括系统被诱骗获取有关工件，及其元数据的伪造信息等，它希望通过数据文档的加密验证来缓解这种威胁。 转自 安全内参，原文链接：https://www.secrss.com/articles/48204 封面来源于网络，如有侵权请联系删除

近日，多个冒充沙特政府服务门户网站Absher的钓鱼网站被建立起来，向公民提供虚假服务并窃取他们的凭证。这一发现来自CloudSEK的网络安全研究人员，他们在周四发布了一份关于该威胁的咨询。 安全专家写道：”威胁者通过发送短信，以及一个链接，敦促人们在Absher门户网站上更新他们的信息，来锁定个人。该钓鱼网站向用户展示了一个假的登录门户，损害了登录凭证”。 据CloudSEK称，在假的 “登录 “操作之后，网站上出现一个弹出窗口，提示向注册的手机号码发送一个四位数的一次性密码（OTP），可能是用来绕过合法的Absher门户网站的多因素认证（MFA）。任何四位数的数字都被接受为OTP，无需验证，受害者就能成功登录到假的门户网站。 一旦假的登录过程完成，用户就会被要求填写一个 “注册 “表格，泄露敏感的个人身份信息（PII），并被重定向到一个新的页面，提示他们选择一家银行。随后，将被引导到一个假的银行登录门户，旨在窃取他们的凭证。 安全研究人员指出，在提交网银登录信息后，弹出一个加载图标，页面被卡住，而用户的银行凭证已经被泄露。 据CloudSEK称，沙特地区的政府服务最近已成为网络犯罪分子的主要目标，他们破坏了用户的凭证，并利用它们进行进一步的网络攻击。”已经注册了多个网络钓鱼域名，以获取沙特阿拉伯个人的PII。 为了减轻这些攻击的影响，CloudSEK呼吁政府组织监测针对公民的网络钓鱼活动，并告知和教育他们这些危险，例如，告诉他们不要点击可疑的链接。在CloudSEK发现针对沙特阿拉伯的肯德基和麦当劳客户的单独的网络钓鱼活动的几周后，发布了这一警告。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/xfd7IaClhEJaO388bSDsZA 封面来源于网络，如有侵权请联系删除

网络新闻研究小组发现，近200万个包含重要项目信息的.git文件夹被暴露在公众面前。 Git是最流行的开源分布式版本控制系统（VCS），由Linus Torvalds在近20年前为Linux内核的开发而开发，其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作，并允许跟踪变化。 一个.git文件夹包含了项目的基本信息，如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如，Cybernews最近的另一项研究发现，美国的流媒体服务CarbonTV将一台服务器的源代码开放，危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳，导致源代码泄露。 Cybernews的研究人员对最常见的网络服务端口80和443进行了研究，发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。 “让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的，而且是众所周知的，这可能会导致更多的内部泄露，或者让恶意行为者更容易进入系统，”Cybernews的研究员Martynas Vareikis说。 超过31%的公开曝光的.git文件夹位于美国，其次是中国（8%）和德国（6.5%）。 约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。 上面的截图显示的是.git/config文件，凭证已被遮挡。 “凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库，为恶意行为者提供更多机会，如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说：”当你有完全的权限时，可能性是无穷的。 他说，开发者需要利用.gitignore文件，告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说，提交任何敏感文件都不是一个好主意，即使是提交到私人仓库。 CyberNews专家注意到，让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。  域名，如cybernews.com，是为了让用户记住并方便访问，但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址，开发人员往往忘记为相应的IP地址设置相同的访问控制规则，这可能导致威胁者修改域名和配置访问规则等。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/O99zr8fKsLnfHPB3sQSdBA 封面来源于网络，如有侵权请联系删除

微软于本周三承认，由于服务器配置错误导致包括联系信息和电子邮件内容在内的未统计客户数据泄露，黑客可能已经通过网络访问了这部分数据。微软没有透露数据可能在泄漏中暴露的公司数量或涉及的数据量的细节。 网络安全供应商 SOCRadar 在一篇博文中表示，它已经向微软报告了本次数据泄露事件，并预估有超过 65000 家客户公司的数据受到影响。不过，微软在自己的帖子中表示，SOCRadar“大大夸大了这个问题的范围”。 报告称本次服务器错误配置始于今年 9 月 24 日，此后受影响的服务器“迅速得到保护”。微软表示，由于配置错误，某些“业务交易数据”可能无需身份验证即可访问。该公司在其帖子中表示，这些数据对应于“微软与潜在客户之间的互动”，包括围绕微软服务的规划和实施。 微软表示受影响的数据可能包括姓名、电子邮件地址、电子邮件内容、公司名称和电话号码，并且可能包括与客户与微软或微软授权合作伙伴之间的业务相关的附件。 SOCRadar 表示，“一个配置错误的数据桶”导致分布在全球 111 个国家和地区的超过 65000 家企业受到影响。据 SOCRadar 称，此次泄露的数据量为 2.4 TB，包括 335,000 封电子邮件，涉及超过 50 万用户。供应商表示，这些文件的日期在 2017 年至 2022 年 8 月之间。 微软对 SOCRadar 关于泄漏规模的说法提出异议，称“对数据集的分析显示重复信息，多次引用相同的电子邮件、项目和用户”微软在博文中表示：““我们非常重视这个问题，并对 SOCRadar 夸大了这个问题所涉及的数字感到失望，即使我们强调了他们的错误”。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1329425.htm 封面来源于网络，如有侵权请联系删除