韩国国家警察厅 (KNPA) 警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络，以窃取敏感的医疗信息和个人详细信息。该事件发生在 2021年5月至 6 月之间，警方在过去两年中进行了分析调查，以确定肇事者。 根据执法机构的新闻稿，根据以下信息将此次攻击归因于朝鲜黑客： 在攻击中观察到的入侵技术 与朝鲜威胁行为者独立关联的 IP 地址 网站注册详情 特定语言和朝鲜语词汇的使用   韩国当地媒体将这次袭击与 Kimsuky 黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。 攻击者使用韩国等国的七台服务器对医院内部网络发起攻击。 警方表示，该事件导致831,000人的数据泄露，其中大多数是患者。此外，受影响的人中有17,000人是现任和前任医院员工。 KNPA 新闻警告说，朝鲜黑客可能会试图渗透各个行业的信息和通信网络。它强调需要加强安全措施和程序，例如实施安全补丁、管理系统访问和加密敏感数据。 KNPA警告说：“我们计划调动我们所有的安全能力，积极应对国家政府支持的有组织网络攻击，并通过信息共享和与相关机构的合作来防止进一步的损害，从而坚定地保护韩国的网络安全。 ”   毛伊岛和安达利尔 据悉，朝鲜黑客此前与医院网络入侵有关，旨在窃取敏感数据并向医疗机构勒索赎金。 美国政府曾强调了 Maui 勒索软件威胁本身，警告医疗保健部门他们需要加强对朝鲜行动的防御。 发出此警告后不久，卡巴斯基的安全研究人员将 Maui 勒索软件操作与名为“Andariel”（又名“Stonefly”）的特定活动集群联系起来，该活动被认为是 Lazarus 的一个子组。 自2021年4月以来， Lazarus以使用勒索软件攻击韩国实体而闻名 。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/TfanyqS4SwwPFipd6AtHpg 封面来源于网络，如有侵权请联系删除

一名英国人已就2020年7月盗取众多高知名度账户和诈骗该平台其他用户的推特攻击事件表示认罪。 美国司法部（DoJ）表示，约瑟夫-詹姆斯-奥康纳（Joseph James O’Connor）在网上化名为PlugwalkJoe，他承认 “在网络跟踪和涉及计算机黑客的多个事件中的不法行为，包括2020年7月对Twitter的黑客攻击”。 在西班牙国家法院于2月批准司法部移交奥康纳至美国后，这个23岁的黑客于4月26日被从西班牙引渡回国。 发生在2020年7月15日的大规模黑客攻击，涉及奥康纳和他的同谋者盗取了130个Twitter账户，这些账户中包括巴拉克-奥巴马、比尔-盖茨和埃隆-马斯克的账户，并通过这些账户实施加密货币骗局，在几个小时内净赚12万美元。 这次攻击是通过社会工程技术获得对Twitter后台的访问权限，然后利用这个入口点来盗取账户，并在某些情况下将账户访问权出售给其他人。 奥康纳是被指控实施Twitter黑客攻击的四个人之一。尼玛-法泽里和格雷厄姆-伊万-克拉克在同一个月被捕，而奥康纳在一年后的2021年7月在埃斯特波纳镇被西班牙当局逮捕。 据BBC的Joe Tidy报道，Mason Sheppard还没有被逮捕。克拉克在2021年3月对30项重罪指控认罪后被判处三年监禁。 除了推特事件，被告人还被指控入侵TikTok和Snapchat用户账户的犯罪行为，以及在网上跟踪一名青少年受害者。 这需要攻击者对两名受害者进行SIM卡交换攻击，以分别获得对他们的Snapchat和TikTok账户的非法访问，以及向执法部门拨打关于第三名受害者的虚假紧急电话，声称对方要开枪打人。 当欺诈者以受害者的名义联系电信服务提供商，将目标的手机号码移植到他们控制的SIM卡上，导致受害者的电话和信息被路由到攻击者控制的恶意设备上，以此进行SIM卡交换。 然后，不法分子通常利用对受害者手机号码的控制，通过利用基于呼叫或短信的双因素认证，盗取受害者的银行账户和其他服务。 奥康纳和他的同谋者就被指控在2019年3月至5月期间采用SIM卡交换技术从纽约市一家加密货币公司盗取79.4万美元。 在窃取加密货币后，奥康纳和他的同谋者通过数十次转账和交易进行洗钱，并利用加密货币兑换服务将其中一些兑换成比特币。一部分被盗的加密货币被存入奥康纳的私人账户。 目前，司法部门已没收其约794000美元的被盗资金。奥康纳将于6月23日被判刑，综上所有指控被判刑期最高超过70年。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366215.html 封面来源于网络，如有侵权请联系删除

3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后，西部数据已将其商店下线，并向客户发送了数据泄露通知。 上周五下午，该公司通过电子邮件发送了数据泄露通知，称其数据库遭到攻击，存储在内的客户数据被盗。 西部数据表示：根据调查，我们最近了解到，在2023年3月26日左右，一个未经授权的组织获取了西部数据数据库的副本，其中包含在线商店客户的有限个人信息。这些个人信息涉及到客户姓名、帐单和送货地址、电子邮件地址和电话号码。作为一项安全措施，相关数据库以加密的形式存储了哈希密码（已加盐）和部分信用卡号码。 西部数据公司的数据泄露通知 西部数据一方面在继续调查此事件，同时也已将其商店做了下线处理。其商店现在仅显示一条信息，写着：我们很快就会回来，我们现在无法处理订单。 用户访问权限预计将于2023年5月15日恢复。同时，西部数据还告知那些受影响的客户需警惕鱼叉式网络钓鱼攻击，有一些威胁行为者可能冒充公司，利用被盗数据从客户那里收集更多的个人信息。 西部数据遭遇网络攻击 3月26日，西部数据公司遭遇网络攻击，发现其网络遭到黑客攻击，公司数据被盗，随后发布了数据泄露通知。作为对这次攻击的回应，该公司关闭了两周云服务功能，并同时关闭了移动、桌面和网络应用功能。 据TechCrunch报道，一个“未命名”的黑客组织此前入侵了西部数据公司，并声称窃取了10tb的数据。虽然威胁行为者表示他们并隶属于ALPHV勒索软件的麾下，但他们利用他们的数据泄露网站勒索西部数据，并将他们与勒索团伙联系起来。 在4月28日发布的一份报告中，攻击者通过发布被盗电子邮件、文件和应用程序的截图嘲弄了西部数据。这些截图显示，即使他们的行为已经被该公司发现，但他们仍然可以访问公司的网络。 黑客们还声称窃取了一个包含客户信息的SAP Backoffice数据库，并分享了一张疑似客户发票的截图。这之后威胁者没有发布进一步的数据，这也表明他们目前仍在敲诈西部数据，希望借此机会得到一大笔赎金。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/365811.html 封面来源于网络，如有侵权请联系删除

据Cyber News 5月5日消息，有网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥，这些密钥是区分合法和恶意更新的关键组件。 研究人员已经确定了泄露的固件映像签名密钥和英特尔用于 MSI 产品的 BootGuard。据固件供应链安全平台 Binarly 首席执行官 Alex Matrosov 称，泄露的固件密钥影响了 57 款 微星产品，而泄露的 BootGuard 密钥影响了该公司 166 款产品。 固件镜像签名密钥是硬件安全基础设施的重要组成部分。这些密钥提供了安全信任，即固件是真实的并且没有被除软件开发人员或设备制造商之外的任何人篡改。同样，Intel Boot Guard 是一种处理器保护措施，可防止计算机运行非系统制造商发布的固件映像。 密钥的泄露会给用户带来重大风险，攻击者可以访问密钥，将受恶意软件感染的固件映像或固件更新推送为合法的更新。由于固件通常在操作系统启动之前启动，因此恶意代码可能会躲过防病毒或其他安全措施的监视。攻击者还可以使用密钥修改固件，严重影响设备的可靠性。 根据 Binarly 的说法，被曝光的设备包括多款微星的 Stealth、Creator、Crosshair、Prestige、Pulse、Modern、Raider、Sword、Summit、Vector 和 Katana 系列笔记本电脑。Github上已挂出受影响产品的完整列表。 今年早些时候，Money Message 勒索软件曾窃取了微星包括源代码在内的近1.5TB重要数据，并要求为此支付400万美元的赎金，但微星拒绝支付赎金。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365686.html 封面来源于网络，如有侵权请联系删除

Americold是一家美国冷藏与物流行业的知名企业，自上周二（4月25日）晚间遭遇网络入侵以来，该公司一直受到IT中断问题困扰。 该公司表示已经控制住此次攻击，目前正在调查这起影响到客户及员工的安全事件。 图：Reddit上有网友询问相关情况 据外媒BleepingComputer看到的一份上周发送给客户的备忘录，该公司预计其系统至少要一周以上时间才能重新上线。 Americold表示，“公司正继续评估上周二晚间至上周三早上发生的入侵。我们控制住了入侵活动并关闭了内部网络，以确保其他区域及客户不受风险影响。目前，我们正在继续探索如何重建受到影响的系统。” “就当前的情况看，我们预计本周内有望实现系统恢复。随着持续了解数据的恢复水平，我们将不断调整预期的重启时间表并发布相应更新。” 出站入站配送受阻 Americold已经要求客户取消本周内的所有“入站”配送，并重新安排除即将到期的关键配送以外的所有出站配送时间。 Americold公司指出，“与此同时，我们提醒您取消本周内的一切出站配送。由于大量操作转为手动，我们的出站配送能力仍将非常有限，因此请您推迟一切非关键出站计划，并稍后与站点可靠性工程师重新安排。” “关键出站配送，包括了可能即将到期的货品。” “我们诚挚感谢贵公司的理解，也将继续努力解决这个问题，控制对网内客户的影响。” Americold公司尚未就此事发表官方声明，也没有在发送给客户的备忘录中提供任何攻击细节。 目前，Americold正专注重建受影响系统并评估哪些数据有望恢复。由此看来，这似乎是一起勒索软件攻击。 外媒BleepingComputer联系到Americold公司一位发言人，但对方没有立即回应置评请求。 2020年也曾遭遇入侵 2020年11月，Americold公司曾遭遇另一起网络攻击，受到影响的运营系统包括电话、电子邮件、库存管理和订单履行等。 当时曾有多位知情人士向BleepingComputer透露，那起事件属于勒索软件攻击。 该公司一直没有明确证实这一论断，攻击背后的勒索软件团伙也仍身份未知。 Americold公司在全球拥有近1.7万名员工，经营的245个控温仓库遍布北美、欧洲、亚太地区及南美各地。     转自 安全内参，原文链接：https://www.secrss.com/articles/54334 封面来源于网络，如有侵权请联系删除  

据观察，朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，现在称为“ReconShark”。 Sentinel Labs 报告称，威胁行为者扩大了目标范围，现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。 2023年3月，韩国和德国当局警告说，Kimsuky（也称为 Thallium 和 Velvet Chollima）开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。 此前，在 2022 年 8 月，卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动，该活动使用多阶段目标验证方案，确保只有有效目标才会感染恶意负载。 钓鱼攻击 在Microsoft默认禁用下载的Office文档的宏后，大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型，例如ISO文件和最近的OneNote文档。 Sentinel Labs 的高级威胁研究员Tom Hegel说：“攻击者可能希望轻松战胜过时版本的Office，或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”   Kimsuky 攻击中使用的恶意文档(Sentinel Labs) Microsoft在默认情况下对下载的 Office 文档禁用宏后，大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击，例如ISO文件，以及最近的OneNote文档。 Sentinel Labs 的高级威胁研究员 Tom Hegel 说：“攻击者可能希望轻松战胜过时版本的 Office，或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。” 侦察鲨鱼 ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变，APT43也部署了该恶意软件，APT43是一个针对美国组织的重叠朝鲜网络间谍组织。 ReconShark 滥用 WMI 收集有关受感染系统的信息，如正在运行的进程、电池数据等。 它还检查机器上是否运行安全软件，Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。 检查安全工具进程（Sentinel Labs） 侦察数据的泄露是直接的，恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器，而不在本地存储任何内容。 “ReconShark泄露有价值信息的能力，例如已部署的检测机制和硬件信息，表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分，该行动可实现后续精确攻击，可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。 ReconShark 的另一个功能是从 C2 获取额外的有效载荷，这可以让 Kimsuky 在受感染的系统上更好地立足。 Sentinel Labs 报告中写道，“除了窃取信息外，ReconShark 还以多阶段方式部署更多有效载荷，这些有效载荷以脚本（VBS、HTA 和 Windows Batch）、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。” 有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK)，以便在用户启动这些应用程序之一时执行恶意软件。 ReconShark 编辑快捷方式文件(Sentinel Labs) 另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本，以便在用户启动 Microsoft Word 时加载恶意代码。 加载恶意 Office 模板(Sentinel Labs) 这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中，保持持久性，并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。 Kimsuky的复杂程度和变形策略要求提高警惕，并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/06SDfqaEBb-iuok473eoKQ 封面来源于网络，如有侵权请联系删除

FPV无人机竞赛护目镜制造商Orqa称，一个承包商在其设备的固件中植入代码，作为一个隐形威胁，旨在使设备瘫痪，索取高昂赎金。 4月30日，Orqa收到客户的报告，FPV.One V1护目镜开机后会直接进入引导程序模式无法正常使用。 随后该公司透露，这个问题是由日期/时间功能引起的固件错误造成的。 Orqa说：在这场危机的5、6个小时内，我们发现这个问题是由一个勒索软件引起的，这个勒索软件是几年前由一个黑心的前承包商秘密植入到我们的引导程序中的，目的是为了从公司获得高昂的赎金。 攻击者毫无商业信誉，为了不引起怀疑，他在过去几年里还与我们保持着业务关系，直到这次暴雷。 此次 “赎金软件定时炸弹攻击 “背后的承包商据称已经发布了一个 “未经授权的二进制文件”，说是可以解决FPV.One护目镜瘫痪的问题。 然而，该公司警告客户不要安装非官方固件，目前公司正在积极的测试以寻求解决的方法。 该公司表示，由于攻击者已经公开了他的所作所为，并发布了另一个被破坏的固件，我们决定让用户了解这一情况，并警告他们在设备上安装非官方固件的风险，积极的保障我们用户的利益。 除此之外，我们的安全审查发现，只有一小部分代码受到这个恶意软件的影响，目前正在进行修复。 修复后的固件预计将在新版本公开发布。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365496.html 封面来源于网络，如有侵权请联系删除

据CBS报道，美国德克萨斯州达拉斯市本周三遭受了勒索软件攻击，导致其多项市政服务中断。 “周三早上，该市的安全监控工具向安全运营中心 (SOC)发出勒索软件攻击的告警。”该市的公开声明透露。 “目前达拉斯市已确认许多服务器已被勒索软件破坏，影响了几个功能区域，包括达拉斯警察局网站。安全团队及其供应商正在积极努力隔离勒索软件以防止其传播，从受感染的服务器中删除勒索软件，并恢复当前受影响的所有服务。根据达拉斯市的事件响应计划(IRP)，该市市长和市议会已获悉该事件。” CBS Texas还发布了一张勒索软件的通知截图（下图），据报道，该图是通过达拉斯市的网络打印机发送的。 根据勒索通知内容，勒索软件组织Royal似乎对此次攻击负责。 Royal是一种复杂的、不断发展的勒索软件，于2022年初首次被发现。使用Royal的勒索软件组织主要针对大型企业。 BlackBerry 研究人员指出：“与常见的勒索软件即服务（RaaS）不同，Royal不出售其软件，而是直接从初始访问代理 (IAB)那里购买目标公司的网络访问权限，并在公司网络内部实施攻击活动。此外，Royal还因采用双重勒索策略而闻名。” 目前尚不清楚攻击者如何获取了达拉斯市政系统的访问权限。赎金通知表明他们已经对数据进行了加密，并计划在线泄露敏感信息。 攻击导致部分市政服务中断 勒索软件攻击发生后，达拉斯市警察局和市政厅网站已下线，以防止恶意软件进一步传播。 与此同时，达拉斯市的信息和技术服务部门(ITS)正在努力查明中断的原因并关闭所有受影响的设备。 达拉斯市的公开声明补充说： “目前，该市数千台设备中只有不到200台受到影响，但如果任何城市设备存在风险，ITS将对其进行隔离和阻止。恢复工作将优先考虑公共安全服务，面向公众的服务，然后是其他部门”。 目前，达拉斯市警察局和消防局的所有服务、911和311电话仍然有效。 达拉斯市自来水公司的付款仍可通过IVR系统处理，但在线付款可能会遇到一些延迟。另外，达拉斯市法院预计将于周五休庭。 Emsisoft威胁分析师Brett Callow指出，勒索软件对美国地方政府的攻击已经非常普遍，平均每周都会发生一起类似攻击。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/OpF6ddAGsFhg3n0IDhtnGA 封面来源于网络，如有侵权请联系删除

据了解，俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中，WinRAR 被用来破坏政府设备上的数据。 在一份新的通报中，乌克兰政府计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。 一旦获得网络访问权，他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。 在 Windows 上，Sandworm 使用的 BAT 脚本是“RoarBat”，它会在磁盘和特定目录中搜索文件类型，例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat，并使用 WinRAR 程序将它们归档。 RoarBat 在所有驱动器上搜索指定的文件类型 (CERT-UA) 但是，当执行 WinRAR 时，攻击者会使用“-df”命令行选项，该选项会在文件存档时自动删除它们。当档案本身被删除，实际上删除了设备上的数据。 CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。 定时任务集运行BAT脚本 （CERT-UA） 在 Linux 系统上，攻击者使用 Bash 脚本代替，该脚本使用“dd”实用程序用零字节覆盖目标文件类型，擦除其内容。由于这种数据替换，即使不是完全不可能，也不太可能使用 dd 工具恢复“清空”的文件。 由于“dd”命令和 WinRAR 都是合法程序，威胁行为者可能使用它们来绕过安全软件的检测。 CERT-UA 表示，该事件类似于 2023 年 1 月袭击乌克兰国家新闻机构“Ukrinform”的另一场破坏性攻击，同样归因于 Sandworm。 “恶意计划的实施方法、访问主体的 IP 地址以及使用 RoarBat 修改版本的事实证明与 Ukrinform 网络攻击的相似性，有关信息已在 Telegram 频道中发布” Cyber ArmyofRussia_Reborn 写道。 CERT-UA 建议该国所有关键组织减少攻击面、修补漏洞、禁用不需要的服务、限制对管理界面的访问并监控其网络流量和日志。 在这样的情况下，允许访问公司网络的 VPN 帐户应该受到多重身份验证的保护。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/vdHnHLQASjIs_tBMTYPwSw 封面来源于网络，如有侵权请联系删除  

微软要求个人电脑支持TPM来安装Windows 11，这使得该操作系统在2021年的发布备受争议。从那时起，TPM自身存在的安全缺陷、要求的变通方法和其他问题使其对Windows 11的必要性产生了疑问，甚至一个新发现的漏洞有可能完全破坏一些AMD处理器的保护层。   一份新的研究论文解释了AMDSoC中的漏洞，这些漏洞可能让攻击者中和其TPM实现的任何安全性。攻击可以暴露TPM守护的任何加密信息或其他凭证。 可信平台模块（TPM）为CPU增加了一个安全层，它封锁了加密密钥和证书等敏感信息，使黑客更难访问它们。在使用该功能的系统中，它是用于登录Windows的PIN背后的机制。传统上，TPM包含在主板上的一个物理芯片，但许多处理器也包含一个基于软件的版本，称为固件TPM（fTPM），用户可以通过BIOS激活。 当微软强制要求安装和接收Windows 11的官方更新时，这一安全功能引发了争议。许多旧的CPU，本来可以毫无问题地处理Windows 11，但缺乏TPM的计算机会迫使所有者要么进行昂贵的升级，要么采用有点复杂的方法来规避这一要求。 TPM早期的问题使微软的坚持显得更加糟糕，但柏林工业大学-SecT和弗劳恩霍夫SIT的研究人员最近发现了一个可以完全消除fTPM的漏洞。成功的攻击可以实现任意代码执行和提取加密信息。   一种攻击方法涉及电压故障注入攻击，其中操纵电源可以迫使Zen 2或Zen 3 CPU接受虚假信息，使攻击者能够操纵固件。另一种是更简单的ROM攻击，利用Zen 1和Zen+处理器中一个不可修补的缺陷。 这些漏洞严重威胁到完全依赖TPM的安全方法，如BitLocker。研究人员认为，一个强大的密码比TPM和PIN码更安全。 对用户来说，幸运的是，这些攻击需要对目标系统进行数小时的物理访问，这意味着它们不涉及通过恶意软件的远程感染。该漏洞主要是丢失或被盗设备的问题。电压故障涉及约200美元的专用硬件来操纵主板，但实现ROM攻击只需要一个SPI闪存编程器。     转自 cnBeta，原文链接：toutiao.com/article/7228790497513636407/ 封面来源于网络，如有侵权请联系删除