分类: 网络攻击

乌克兰情报机构成功入侵俄罗斯航空局,窃取的情报显示,俄民航几近崩溃

一个国家公开吹嘘进攻性网络行动的情况相当罕见,但乌克兰却做到了。乌克兰情报部门宣布成功入侵俄罗斯民航局并窃取机密数据。 乌克兰国防部情报总局表示,“由于在网络空间进行了一次成功的复杂特别行动”,它从俄罗斯联邦航空运输局 Rosaviatiya 获得了大量机密文件。 上述机构负责飞行安全并记录俄罗斯航空运营期间的所有紧急情况。乌克兰情报部门表示,它已渗透该机构的信息系统,获取了 Rosaviatiya 一年半多的每日报告。 据基辅称,这些文件据称显示俄罗斯航空业正在崩溃——这要归功于在 2022 年 2 月俄乌冲突爆发后受到的国际制裁。 例如,文件显示,仅 2023 年 1 月,俄罗斯民航就记录了 185 起事故,其中三分之一被列为危险事故。 2023年前9个月,俄罗斯记录了150起飞机故障事件,而2022年同期仅记录了50起此类事件。乌克兰军事情报机构得出结论,这意味着在俄罗斯飞行的安全隐患增加了两倍。 飞机维修也成为俄罗斯的一个关键问题,因为由于制裁而更难获得备件。莫斯科正在将飞机维修转移到伊朗,而伊朗的维修工作是在没有适当认证的情况下进行的。 零部件的严重短缺导致了俄罗斯所谓的“航空自相残杀”:一些飞机被拆解来修理其他飞机。 “这一趋势表明,俄罗斯民航业正处于严重动荡的区域,存在大幅下滑的高风险。这一现实是制裁的直接后果,对于侵略国俄罗斯来说,最痛苦的就是对飞机和零部件的供应实施禁令。”乌克兰表示。 即使一些分析人士 — — 比如莫斯科国立大学莫斯科分校政府与国际事务学院的俄罗斯外交政策和安全专家奥列格·沙基洛夫 — — 表示,一个国家公开其成功的攻击性网络行动是不寻常的,但这也是完全可以理解的。 贸易协会国际金融研究所首席经济学家罗宾·布鲁克斯最近分享了一张图表,显示俄罗斯的国内生产总值现在高于冲突爆发之前的水平。     转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/G3Ly_AjmLB7E397DcjFhXA 封面来源于网络,如有侵权请联系删除

GE 疑遭黑客攻击,大量军事机密泄漏

据Cyberexpress报道,GE(通用电气)近日疑遭黑客攻击,包含大量敏感军事机密信息数据被黑客在论坛中出售。 GE是一家美国跨国公司,业务涉及电力、可再生能源和航空航天行业,同时也是美国国防部的重要承包商。 本月早些时候,一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。 在没能出售所谓的访问权限后,该黑客再次发帖称,他们开始出售GE的网络访问权限和被盗数据。 “我之前列出了GE网络的访问权限,但是,没有真正的买家真正回复我或跟进。我现在在这里单独出售整个东西,包括访问权限(SSH、SVN等),”IntelBroker在黑客论坛发帖称: “数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。” 作为泄露的证据,黑客还公布了GE被盗数据的屏幕截图,数据样本包括GE Aviations的一个SQL数据库(包含有关军事项目的信息)、军事文件、航空系统技术描述和指南以及维护报告等数据。 在一份声明中,GE发言人表示:“我们注意到不良行为者对GE发生数据泄漏的声明,并正在调查该事件。我们将采取适当措施来帮助保护我们系统的完整性。” 虽然此次泄露事件尚未得到证实,但值得注意的是,IntelBroker是一位“专干大案”,且成功率极高的黑客。 今年3月,IntelBroker攻破了DC Health Link,并声称出售了包含数千人个人信息的被盗数据库。DCHealthLink是华盛顿特区的一个医疗保健市场,许多白宫和众议院工作人员及其家人都使用该市场。 此次泄露事件引起了媒体的广泛报道,并召开了国会听证会,以更多地了解和调查泄露事件是如何发生的。 在听证会上,哥伦比亚特区健康福利交换管理局执行董事米拉·科夫曼(Mila Kofman)解释说,这些数据是通过配置错误的服务器暴露的。   转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/2Q78pH8u8gLolTFvhJTK0Q 封面来源于网络,如有侵权请联系删除

朝鲜黑客攻击台湾讯连科技,全球多地设备受影响

Microsoft安全威胁情报团队揭露了朝鲜黑客组织Lazarus发起的供应链攻击。这些黑客篡改台湾软件供应商讯连科技的应用程序安装档案,植入恶意功能。目前全球已有100多台设备受害,涉及中国台湾、日本、加拿大、美国等多个国家。 Microsoft通过跟踪木马软件和相关负载发现,此次恶意攻击行为有意避开了受FireEye 、 CrowdStrike 、 Tanium 等安全软件保护的系统,并企图于受害计算机下载伪装成PNG图档的第2阶段恶意负载。一旦在内存中解密并执行另一个可执行文件,黑客就尝试从C2接收命令。 这种攻击方法是Lazarus惯用的手法,他们以使用特洛伊木马合法加密货币软件窃取加密资产的恶劣行为而臭名昭著。 Lazarus黑客组织是一个由朝鲜资助的组织,已经运作了十多年。其行动包括窃取敏感数据、渗透软件构建环境、向下游推进以剥削更多受害者、建立对受害者环境的持续访问等。该组织还曾嵌入恶意代码在开源加密货币平台中,执行大规模的加密货币抢劫,以及使用虚假的工作面试来传播恶意软件等行为。 此外,Lazarus还被认为是许多备受瞩目的网络攻击的幕后黑手,包括2014年索尼影业黑客攻击、2017年的WannaCry勒索软件攻击以及2022年最大的加密黑客攻击。 美国政府已对朝鲜资助的三个黑客组织(Lazarus、Bluenoroff和Andariel)实施制裁,并提供高达500万美元的奖励以获取有关朝鲜黑客活动的信息。   转自E安全,原文链接:https://mp.weixin.qq.com/s/YvissjYZlc7GK365eYrR8Q 封面来源于网络,如有侵权请联系删除

与哈马斯相关的网络攻击使用 Rust 驱动的 SysJoker 后门针对以色列

以色列安全公司Check Point的研究人员揭示了一个名为SysJoker的跨平台后门的 Rust版本,据评估,该后门已被哈马斯相关的黑客组织用来针对以色列目标。 Check Point在分析报告中表示:“最显著的变化是转向 Rust 语言,这表明恶意软件代码被完全重写,同时仍然保持类似的功能。” “此外,攻击者转而使用 OneDrive 而不是 Google Drive 来存储动态 C2(命令和控制服务器)URL。” Intezer 于 2022 年 1 月公开记录了SysJoker ,将其描述为一个后门,能够收集系统信息,并通过访问 Google Drive 上托管的包含硬编码 URL 的文本文件来与攻击者控制的服务器建立联系。 VMware去年表示:“跨平台使恶意软件作者能够在所有主要平台上获得广泛感染的优势。” “SysJoker 能够远程执行命令以及在受害者计算机上下载和执行新的恶意软件。” SysJoker Rust 变体的发现表明跨平台威胁的演变,植入程序在其执行的各个阶段采用随机睡眠间隔,可能是为了逃避沙箱。 一个值得注意的转变是使用 OneDrive 检索加密和编码的 C2 服务器地址,随后解析该地址以提取要使用的 IP 地址和端口。 Check Point 表示:“使用 OneDrive 可以让攻击者轻松更改 C2 地址,从而使他们能够领先于不同的基于信誉的安全检测服务。” “这种行为在不同版本的 SysJoker 中保持一致。” 与服务器建立连接后,该工件会等待更多额外的有效负载,然后在受感染的主机上执行这些有效负载。 这家网络安全公司表示,它还发现了两个前所未见的为 Windows 设计的 SysJoker 样本,这些样本明显更加复杂,其中一个样本利用多阶段执行过程来启动恶意软件。 SysJoker 尚未被正式归咎于任何专业黑客组织。但新收集的证据显示,后门和与“Operation Electric Powder”行动相关的恶意软件样本之间存在重叠,“Operation Electric Powder”指的是 2016 年 4 月至 2017 年 2 月期间针对以色列组织的有针对性的网络攻击活动。 McAfee将这一活动与哈马斯附属威胁组织Molerats (又名Extreme Jackal、Gaza Cyber Gang 和 TA402)联系起来。 Check Point 指出,“这两个活动都使用了以 API 为主题的 URL,并以类似的方式实现了脚本命令”,这增加了“尽管两次攻击之间存在很大的时间间隔,但两次攻击都是由同一个攻击者负责的可能性”。   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/ypWH5YY6saPZSHXRVkSYuw 封面来源于网络,如有侵权请联系删除

在针对阿富汗政府的 APT 攻击中检测到新的“HrServ.dll”Web Shell

阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标,这被怀疑是高级持续威胁 (APT) 攻击。 卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中表示,Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL),具有“复杂的功能,例如用于客户端通信和内存执行的自定义编码方法” 。 这家俄罗斯网络安全公司表示,根据这些工件的编译时间戳,它发现了可以追溯到 2021 年初的恶意软件变种。 Web shell 通常是恶意工具,可对受感染的服务器提供远程控制。一旦上传,它就允许攻击者执行一系列利用后活动,包括数据盗窃、服务器监控和网络内的横向推进。 攻击链涉及PAExec远程管理工具,这是PsExec的替代品,用作启动板来创建伪装成 Microsoft 更新(“MicrosoftsUpdate”)的计划任务,随后将其配置为执行 Windows 批处理脚本(“JKNLA.蝙蝠”)。 批处理脚本接受 DLL 文件(“hrserv.dll”)的绝对路径作为参数,然后将其作为服务执行以启动能够解析传入 HTTP 请求以进行后续操作的 HTTP 服务器。 Degirmenci 表示:“根据 HTTP 请求中的类型和信息,会激活特定功能。”他补充道,“hrserv.dll 文件中使用的 GET 参数用于模仿 Google 服务。” 这很可能是攻击者试图将这些恶意请求混合到网络流量中,从而使区分恶意活动和良性事件变得更加困难。 这些 HTTP GET 和 POST 请求中嵌入了一个名为 cp 的参数,其值(范围从 0 到 7)决定了下一步的操作。这包括生成新线程、创建写入任意数据的文件、读取文件以及访问Outlook Web App HTML 数据。 如果POST请求中cp的值等于“6”,则会触发代码执行,解析编码数据并将其复制到内存中,然后创建一个新线程,进程进入睡眠状态。 Web shell 还能够激活内存中隐秘的“多功能植入物”的执行,该植入物负责通过删除“MicrosoftsUpdate”作业以及初始 DLL 和批处理文件来擦除取证痕迹。 目前尚不清楚该 Web shell 背后的威胁发起者归属,但源代码中存在多个拼写错误表明恶意软件作者的母语不是英语。 “值得注意的是,网络 shell 和内存植入针对特定条件使用不同的字符串。”Degirmenci 总结道。“此外,记忆植入物还具有精心制作的帮助信息。” “考虑到这些因素,该恶意软件的特征更符合出于经济动机的恶意活动。然而,其操作方法与 APT 行为有相似之处。”、   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/j0ZyDl74epEwNzBi3DvROQ 封面来源于网络,如有侵权请联系删除

入侵只要 1 小时,米高梅幕后黑手攻击细节浮出水面

九月份,曾引起广泛关注的MGM网络袭击背后的犯罪团伙再度浮出水面,此次他们发起的勒索软件攻击复杂度更高。在此次事件中,仅仅一小时,攻击者便从第三方服务环境侵入并转移到了目标组织的内部网络。 ReliaQuest在11月22日发表的报告中指出,Scattered Spider——ALPHV/Black Cat勒索软件的下属机构——此次行动彰显了其作为大型企业中的强敌之实力。这一团伙灵活地利用云服务供应商的资源针对企业展开攻击。 该报告揭露,该团伙此次的作案策略与之前攻陷MGM网络的手段相似:他们利用盗取员工的Okta单点登录代理凭证进入了第三方云环境,并借此侵入企业的内部网络。 报告中提到:“调查初期并不清楚首次入侵是如何发生的,然而几周后,客户反馈称入侵是由于社会工程学攻击,攻击者重置了相关用户的凭证。”报告继续指出:“这类社会工程学策略与Scattered Spider历来的作案手段、技术及程序(TTPs)极为吻合,这些手段旨在窃取目标账户的有效凭证。” 具体来说,攻击者采用了一种名为社会工程学多因素认证(MFA)疲劳攻击的手段,短短两分钟内连续尝试四次MFA挑战。在最后一次尝试中成功突破,来自佛罗里达州IP地址99.25.84[.]9的“新设备登录”被捕捉到,攻击者利用此地址重置了合法Okta用户的凭证,进而进入云服务供应商的系统。 接着,攻击者迅速转向企业的本地环境,在这里他们通过IT管理员的Okta凭证成功登录Citrix Workspace,并再次面对MFA的挑战。认证请求被转发到攻击者新注册、掌控下的设备,使其得以步入工作区,并在客户的基础设施中展开更多恶意行为。 这些行动包括劫持Citrix会话和提升权限,攻击者创建了一个具有高权限的虚假安全架构师用户,从而在Azure、SharePoint以及其他关键系统中畅行无阻,研究人员如是表示。 Scattered Spider通过一系列行为——包括对员工进行社会工程学操控、跨租户的身份即服务(IDaaS)冒充、文件遍历、滥用企业特定应用程序以及部署持久性工具——实现了对目标网络广泛的加密和数据泄露。 Scattered Spider成了不容小觑的对手 这一次的事件突显了Scattered Spider团伙之规模与实力,他们在极短的时间内就能在不同行业和地域的被侵环境中,展现其利用资源的复杂手段。此外,研究人员警告,其他网络威胁参与者可能会效仿他们的策略,发起类似的侵袭。 报告强调:“Scattered Spider以惊人的策略性和精准度兵分多路,针对特定应用程序发起攻击,充分利用对内部IT系统的了解快速横向移动。”“随着其他网络威胁行为者技巧日益精进,借鉴成功典型,他们很可能利用类似的TTPs发起攻击。” 事实上,若以MGM的遭遇为案例,Scattered Spider的攻击潜力巨大,足以对企业网络安全构成灾难性影响,应受到相应的高度重视。此团伙曾令全球逾30家酒店和赌场的系统在超过10天时间中瘫痪,这不仅导致了除支付1500万美元的赎金外,还造成数千万美元的经济损失。 尽管执法部门如FBI对这一威胁组织已有充分认知,并且已搜集了海量数据,但迄今为止尚未能有效遏制其行动——在安全界,这仍是一大争议话题。 企业如何防范重大网络威胁 ReliaQuest建议企业应采取一系列措施以防范这一机敏的威胁团伙,因企业自身的防御技巧至关重要。 其中一种方法就是实行“最小权限原则”,尤其是在Okta超级管理员凭证被滥用的情况下,研究人员如此提议。企业应严格限制超级管理员的角色,以防止可能引发设置变更之类的行为,如注册外部身份提供者或取消强认证要求。 报告建议:“承担该角色的用户应采用对MFA绕过攻击具有明显抵抗力的认证方式。”对于超级管理员账户的新登陆情形或MFA认证因素注册,应伴有通知相应人员。同样的建议也适用于内部IT文档的访问——许多组织在这方面并没有适当的访问限制措施。 鉴于Scattered Spider多次利用社会工程学策略操纵员工进行初始侵入云服务,研究人员还建议应严格执行验证最终用户身份的相关政策,尤其对于涉及凭证重置或MFA操作的手续。包含实施挑战-响应流程或在任何操作之前确保用户身份的确认。 综上所述,针对像Scattered Spider这样的组织,企业防御者应将增强安全议程、定期评估和随时对新兴威胁保持警惕作为优先事项,研究人员这样总结。   转自Freebuf,原文链接:https://www.freebuf.com/news/384821.html 封面来源于网络,如有侵权请联系删除

美国汽车零部件巨头 AutoZone 遭遇网络攻击

Security Affairs 网站披露,美国汽车配件零售商巨头 AutoZone 称其成为了 Clop MOVEit 文件传输网络攻击的受害者,导致大量数据泄露。 AutoZone 是美国最大的汽车零配件售后市场经销商之一,在美国、墨西哥、波多黎各、巴西和美属维尔京群岛经营着 7140 家门店。遭受网络攻击后,AutoZone 立刻通知了 184995 名民众,大规模黑客攻击活动泄露了他们的个人信息。 经调查研究,AutoZone 发现一个未经授权的第三方利用了与 MOVEit 相关的漏洞,并从支持 MOVEit 应用程序的 AutoZone 系统中“过滤”了某些数据。目前,相关机构已经对受影响的系统和相关数据进行了分析,以确定用户的信息是否受到了潜在影响。 2023 年 8 月 15 日左右,AutoZone 确定有威胁攻击者利用 MOVEit 应用程序中的漏洞盗取了其系统中的大量数据信息,虽然后来 AutoZon 公司没有发现任何滥用被暴露的个人信息的情况,但还是强烈建议用户对欺诈和身份盗窃时刻保持警惕。 针对此次数据泄露事件,AutoZon 公司已经采取了技术措施来解决该漏洞,其中主要包括暂时禁用 MOVEit 应用程序、重建受影响的系统以及修补漏洞,以及为受影响的客户提供免费的信用监控和身份保护服务。 Cl0p 勒索软件组织滥用 MOVEit 漏洞 今年 8 月,网络安全公司 Emsisoft 分享了 Cl0p 勒索软件组织如何滥用 MOVEit Transfer 文件传输平台漏洞的具体细节。网络安全专家表示,此次攻击影响了约 1000 个组织和 60144069 名个人,Cl0p 勒索软件团伙利用零日漏洞 CVE-2023-34362 成功入侵了许多实体组织,并盗取大量数据信息。 以下是受影响人数最多的组织名单: Emsisoft 在发布的报告指出,已知的受害者中美国机构占 83.9%,德国占 3.6%,加拿大占 2.6%,英国占 2.1%。受影响最严重的行业是金融与专业服务和教育,分别占事件总数的 24.3% 和 26.0%。值得一提的是,网络安全公司 Resecurity 的研究人员在发布的报告中证实了 Emsisoft 分享的数据,截至 8 月 23 日,Resecurity 报告声称 MOVEit 活动已经袭击了 963 家公共和私营的实体组织。 此外,Resecurity 报告指出受影响最大的行业是金融、专业服务和教育,这些行业合计占报告受害者的48% 以上,Cl0p 预计将产生 750 万至 1 亿美元赎金收入。   转自Freebuf,原文链接:https://www.freebuf.com/news/384758.html 封面来源于网络,如有侵权请联系删除

商业航班正遭遇“难以想象”的GPS攻击

中东上空发生了一些“不可思议”的事情。 据MotherBoard最新报道,商业机组人员报告说,中东上空发生了一些“不可思议”的事情:自9月份以来,新颖的“欺骗”攻击已导致数十起导航系统故障。9月下旬,伊朗附近的多架商业航班因导航系统失灵而误入歧途。这些飞机首先收到了欺骗性的GPS信号,这些信号旨在欺骗飞机的系统,让其误认为飞机正在远离真实位置的地方飞行数英里。其中一架飞机未经许可差点飞入伊朗领空。名为OPSGROUP的国际组织跟踪了大量此类事件,过去一个多月内有50多起类似事件。从那时起,在网上讨论这个问题的机组人员表示,情况只会变得更糟,专家们正在竞相查明幕后黑手。目前这个问题还没有解决方案,其潜在的灾难性影响和原因尚不清楚。 OPSGROUP是一个由飞行员和飞行技术人员组成的国际组织, 9月份就这些事件发出了警报,并开始收集数据与其成员和公众分享。据OPSGROUP称,中东地区多架商用飞机在连续数月收到欺骗性导航信号后失去了导航能力。不仅仅是GPS,后备导航系统也被损坏,导致彻底失败。 据OPSGROUP称,该活动集中在三个地区:巴格达、开罗和特拉维夫。该组织在11月的更新中表示,该组织在过去五周内跟踪了50多起事件,并确定了三种新的、不同类型的导航欺骗事件,其中两起是自 9 月份首次报告以后发生的。 OPSGROUP表示,虽然GPS欺骗并不新鲜,但这些新攻击的具体载体以前是“不可想象的”,并将其描述为暴露了“航空电子设备设计中的基本缺陷”。这种欺骗破坏了惯性参考系统(IRS),这是一种通常被称为飞机“大脑”的设备,使用陀螺仪、加速度计和其他技术来帮助飞机导航。Motherboard采访的一位专家表示,这“非常重要”。 “这听起来简直不可思议,”OPSGROUP在其关于这些事件的公开帖子中表示。“IRS(惯性参考系统)应该是一个独立的系统,无法被欺骗。我们可能会失去所有机载导航能力,并且必须向[空中交通管制]询问我们的位置并请求航向,乍一看毫无意义,尤其是对于配备最新航空电子设备的最先进的飞机而言。然而,多份报告证实这确实发生了。” 中东地区的信号干扰很常见,但这种强大的欺骗手段却是新鲜事。德克萨斯大学奥斯汀分校研究卫星通信的教授托德·汉弗莱斯 (Todd Humphreys) 表示,自2018年以来,叙利亚附近的空域 中一直存在极其强大的信号干扰器。叙利亚被美国总统称为‘地球上最具侵略性的电子战环境。 汉弗莱斯领导着德克萨斯大学无线电导航实验室,该实验室开发了国际空间站强大接收器所使用的软件,该接收器用于研究来自近地轨道的全球导航卫星信号。如今,汉弗莱斯和他实验室的研究生团队正在不断研究该地区的信号。 “除了普通的干扰(例如,使用线性调频干扰器),我们还在无线电拖网中捕获了GPS欺骗信号,”他说。“但是,有趣的是,欺骗信号似乎从未完成。它们要么缺少关键的内部数据,要么相互不一致,因此无法欺骗GPS接收器。他们的目的似乎是拒绝服务而不是真正的欺骗。我和我的学生开始意识到欺骗是新的干扰。换句话说,它被用于拒绝服务,因为它比钝性干扰更有效。” 目前这个问题还没有解决方案,其潜在的灾难性影响和原因尚不清楚。根据OPSGROUP组织11月份的更新,“业界在解决这一问题方面进展缓慢,导致机组人员只能寻找检测和缓解GPS欺骗的方法。” 汉弗莱斯说,如果机组人员确实意识到出了问题,他们唯一的办法就是依靠空中交通管制。 “GPS和IRS及其冗余备份是现代飞机导航系统的主要组成部分,”汉弗莱斯说。“当读数损坏时,飞行管理系统会假设飞机位置不正确,合成视觉系统会显示错误的背景信息等。最终,如果飞行员发现出现问题,他们可以恢复到 [VHF全向范围]/[陆地上的距离测量设备]。但在最近的几个案例中,空中交通管制必须介入并直接为飞行员提供方向“矢量”(通过不安全的通信通道)以引导他们到达目的地。这不是一个可扩展的解决方案。” 汉弗莱斯说:“如果飞行员弄清楚发生了什么事,而忽略了GPS和损坏的IRS,那么欺骗的效果就仅限于拒绝服务。” “但是GPS干扰的一个重要区别是,尽管干扰会导致GPS失效,但它不会破坏IRS。欺骗确实存在,这对于航空安全而言非常重要。” “这表明,在GPS故障时充当航位推算备份的惯性参考系统在面对GPS欺骗时根本没有备份,因为欺骗的GPS接收器会破坏IRS,然后 IRS就会对错误的位置进行航位推算。”汉弗莱斯告诉MotherBoard。“此外,冗余的GPS接收器和IRS(大型飞机有2个以上的GPS接收器和3个以上的IRS)无法提供额外的保护:它们都会被损坏。” 过去15年来,汉弗莱斯和其他人一直在对发生的此类袭击发出警报。2012年,他在国会作证,说明需要保护GNSS免遭欺骗。“GPS欺骗就像针对航空系统的零日攻击,”他告诉 Motherboard。“他们对此完全没有准备,也无能为力。” 汉弗莱斯表示,OPSGROUP从9月份开始发布的报告是“我所知道的第一个明确的案例,其中商用飞机因GPS欺骗而偏离航线”。 这些新型欺骗攻击背后的实体尚不清楚,但汉弗莱斯表示,他和一名学生已经缩小了可能的来源范围。“我的学生扎克·克莱门茨 (Zach Clements) 上周利用近地轨道上的几艘航天器的原始GPS测量结果,将这种欺骗的源头定位到了德黑兰东部外围,”他说。 伊朗并不是该地区唯一欺骗GPS信号的国家。正如Politico首次报道的那样,克莱门茨是哈马斯10月7日袭击后第一个发现很可能来自以色列的欺骗行为的人。“自10月15日左右以来,我们在以色列看到的强烈而持续的欺骗行为几乎肯定是以色列自己进行的,”汉普莱斯说。“以色列国防军实际上向一名记者承认了这一点。” 汉弗莱斯当时表示,遇到这GPS欺骗的机组人员可以依靠其他机载仪器来着陆。 汉弗莱斯表示,以色列欺骗行为的影响与9月底在伊朗附近观察到的效果相同。“据我所知,这是有史以来第一起明确的商用飞机GPS欺骗案件,”他说。“它们发生的时间如此之近令人惊讶,但可能只是巧合。”     转自网空闲话plus,原文链接:https://mp.weixin.qq.com/s/y_seB1mt1Oa1SGZBE0skNQ 封面来源于网络,如有侵权请联系删除

大英图书馆遭受勒索攻击,业务完全恢复需要数周时间

大英图书馆是英国国家图书馆,也是世界上最大的图书馆之一,2023年10 月下旬,大英图书馆首次对外披露,它正在经历一场未具体说明的网络安全事件,导致其位于伦敦和约克郡的网站出现“重大技术中断”,进而导致其网站、电话线路和现场服务(例如访客 Wi-Fi)瘫痪,部分中断的服务至今仍没有完全恢复。 英国当地时间11月21日,大英图书馆正式发布事件声明,确认了此次中断是由“以此类犯罪活动闻名的组织”发起的勒索软件攻击造成的。该组织表示,目前已发现一些内部数据被非法窃取并泄露,这些数据“可能来自图书馆的内部人力资源档案系统”。 据新闻网站 TechCrunch 报道,大英图书馆已被列入 Rhysida 勒索软件团伙的暗网泄露网站名单,该团伙声称对此次网络攻击负责,并威胁以75万美元等值比特币的价格出售所窃取的数据。 目前,大英图书馆并未透露它是如何被入侵的,以及有多少数据被盗,也没有明确表示是否会满足攻击者的赎金要求。但是大英图书馆在最新声明中指出,受此次攻击影响的业务可能需要数周甚至更长时间才能完全恢复正常。   转自安全牛,原文链接:https://mp.weixin.qq.com/s/2zfk9DTpwZfLfrRJZ1SfUg 封面来源于网络,如有侵权请联系删除

微软报告 Lazarus 黑客使用供应链攻击战术针对台湾知名多媒体软件开发商讯连科技

微软表示,朝鲜背景的黑客组织入侵了中国台湾多媒体软件公司讯连科技,并对其一个安装程序进行木马化,以在针对全球潜在受害者的供应链攻击中推送恶意软件。 讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件,该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD,就是迅连科技的产品。 根据 Microsoft 威胁情报,疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。 该木马安装程序托管在讯连科技拥有的合法更新基础设施上,迄今为止已在全球 100 多台设备上检测到,包括日本、台湾、加拿大和美国。 在调查此攻击时观察到的第二阶段有效负载与同一组攻击者之前破坏的基础设施进行交互。 该公司表示:“Diamond Sleet 使用了向 CyberLink Corp. 颁发的合法代码签名证书来签署恶意可执行文件。” “该证书已添加到 Microsoft不允许信任的证书列表中,以保护客户免受未来恶意使用该证书的影响。” 使用合法证书签名的木马 Cyberlink 安装程序 微软将木马软件和相关有效负载跟踪为 LambLoad(恶意软件下载器和加载器)。 LambLoad 的目标系统不受 FireEye、CrowdStrike 或 Tanium 安全软件保护。如果不满足这些条件,恶意可执行文件将继续运行,而不执行捆绑的恶意代码。 但是,如果满足条件,恶意软件将与三个命令与控制 (C2) 服务器之一连接,以使用静态用户代理“Microsoft Internet Explorer”检索隐藏在伪装成 PNG 文件的文件中的第二阶段有效负载。 微软表示:“PNG 文件在假的外部 PNG 标头中包含嵌入的有效负载,该有效负载在内存中被提取、解密和启动。” 这是 Lazarus 黑客组织使用的常见攻击方法,他们以木马化合法加密货币软件来窃取加密资产而闻名。 尽管 Microsoft 尚未检测到 LambLoad 恶意软件漏洞后的键盘操作活动,但 Lazarus 黑客却以以下方式而闻名: 从受损系统中窃取敏感数据 渗透软件构建环境 向下游发展以利用更多受害者 建立对受害者环境的持久访问 在检测到供应链攻击后,Microsoft 通知了 CyberLink,并通知了受攻击影响的微软客户。 微软还向 GitHub 报告了这次攻击,GitHub 根据其可接受的使用政策删除了第二阶段的有效负载。 Lazarus Group 是有朝鲜官方背景的知名黑客组织,至少自 2009 年以来已经运营了十多年。Lazarus 以全球范围内的组织为目标而闻名,迄今为止的行动包括对金融机构、媒体和政府机构的攻击。 他们的活动还涉及针对安全研究人员、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫以及利用虚假工作面试来传播恶意软件。 该组织被认为是许多备受瞩目的网络攻击的幕后黑手,包括 2014 年索尼影业黑客攻击、2017 年WannaCry 勒索软件攻击以及 2022 年有史以来最大规模的加密黑客攻击。   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/LFOi5SRhuf2cop_3c2KeZQ 封面来源于网络,如有侵权请联系删除