Termite 勒索软件团伙正式宣称对软件即服务（SaaS）提供商 Blue Yonder 的11 月攻击负责。Blue Yonder（前身为 JDA Software，作为 Panasonic 子公司运营）是总部位于亚利桑那州的供应链软件供应商，为零售商、制造商和物流供应商提供全球服务。 该公司拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、 DHL 、3M 、Ace Hardware 、宝洁、嘉士伯、多尔、沃尔格林、西部数据和 7-Eleven 等其他知名公司。 BleepingComputer 此前曾听说 Termite 是对 Blue Yonder 进行攻击的幕后黑手，但尚无独立证实。此事件导致该公司软件的客户遭遇故障浪潮，包括美国咖啡连锁店星巴克、英国莫里森和英国 Sainsbury’s 超市链，原因是 Blue Yonder 托管环境的服务受到干扰。 星巴克表示，在勒索软件攻击影响跨越 10000 家门店的员工工作安排跟踪软件后，他们不得不手动支付咖啡师的工资。法国钢笔制造商 BIC 也因出货延迟而受到影响，而莫里森透露这一事件对其新鲜食品的仓库管理系统有所影响。 根据该公司官方的安全事件追踪页面上于周末新增的更新，Blue Yonder 已经重新上线一些受影响的客户，并正在与外部网络安全专家合作，帮助其他客户恢复正常的业务运营。 一周前，Blue Yonder 表示，其团队正在“日以继夜地努力应对此事件，并继续取得进展”。虽然该公司尚未透露有多少客户受到影响，攻击者是否从其受损系统中窃取了任何数据，但 Termitr 勒索软件团伙现在声称对此次攻击负责，并称他们窃取了 680GB 的文件。 “我们的团队获得了 680GB 的数据，如数据库转储、用于未来攻击的电子邮件列表（超过 16000 个）、文档（超过 200000 份）、报告和保险文件”，威胁行为者在其泄漏网站上声称。 Termitr 是一个新兴的勒索软件行动，根据威胁情报公司 Cyjax 的说法，该行动于 10 月中旬出现，并在其暗网门户上列出了来自世界各行各业的七个受害者，包括 Blue Yonder 在内。 与其他勒索软件团伙一样，这个网络犯罪团伙从事数据窃取、勒索和加密攻击。根据趋势科技的说法，他们正在使用在 2021 年9 月泄漏的 Babuk 加密程序的一个版本，将在受害者的加密系统上放置一个名为“How To Restore Your Files.txt”的赎金提示。 趋势科技还表示，由于存在代码执行缺陷，Termitr 的勒索软件加密程序仍然处于未完善状态，可能会过早终止。 Blue Yonder 的一位发言人表示，该公司正在调查勒索软件窃取数据的指控。“遭受勒索软件攻击后，Blue Yonder 与外部网络安全公司合作，加强了防御和取证协议。我们已经通知了受运营干扰影响的客户，并在整个恢复过程中与他们合作。” “我们知道有一家未经授权的第三方声称从我们的系统中获取了某些信息。我们正在与外部网络安全专家共同努力解决这些指控。调查仍在进行中。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417312.html 封面来源于网络，如有侵权请联系删除

领先的心脏外科医疗设备制造商 Artivion 披露了 11 月 21 日的勒索软件攻击，该攻击扰乱了其部分业务并迫使其关闭部分系统。 该公司总部位于亚特兰大，在全球拥有 1,250 多名员工，在 100 多个国家设有销售代表。该公司还在佐治亚州亚特兰大、德克萨斯州奥斯汀和德国黑欣根设有制造工厂。 该公司在周一向美国证券交易委员会 (SEC) 提交的 8-K 文件中透露：“Artivion 的应对措施包括关闭某些系统、启动调查以及聘请外部顾问（包括法律、网络安全和取证专业人士）来评估、控制和补救事件。” 虽然 Artivion 在其提交给美国证券交易委员会的文件中没有直接提到勒索软件，但它披露攻击者加密了其部分系统并从受感染的系统中窃取了数据。 该公司表示：“此次事件涉及文件的获取和加密。公司正在努力尽快安全地恢复系统，并评估任何通知义务。” 该公司补充说，公司运营、订单处理和运输中断问题已基本得到解决，保险将承担与事件响应相关的费用。然而，Artivion 认为，它将产生保险未涵盖的额外费用。 尽管尚无勒索软件组织声称对此次攻击负责，但如果威胁组织的赎金要求在未来几天或几周内得不到满足，这种情况就有可能发生。 最近几周，美国医疗保健行业的其他组织也遭遇了勒索软件攻击，BianLian 网络犯罪团伙声称波士顿儿童健康医生 (BCHP) 遭受了网络攻击，并威胁称如果不支付赎金，他们就会泄露被盗文件。勒索软件攻击还迫使 UMC 医疗系统在 9 月份转移了部分患者。 本月初，安娜雅克医院证实，去年圣诞节遭受的勒索软件攻击泄露了超过 310,000 名患者的敏感健康数据。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JICJ216PuzgFOfw9BSpclw 封面来源于网络，如有侵权请联系删除

上周黑客声称入侵了德勤英国分公司。德勤否认数据泄露，称与德勤网络之外的单个客户系统有关，德勤系统没有受到影响。 12月4日，勒索软件组织Brain Cipher宣称已入侵全球四大会计师事务所之一的德勤英国公司（Deloitte UK），并窃取了超过1TB的敏感数据，威胁要在本周早些时候公布其窃取的数据。 尽管有这些指控，德勤的一位发言人告诉媒体Infosecurity，其调查显示这些指控与德勤网络之外的单个客户的系统有关。“德勤系统没有受到影响，”发言人说。 Brain Cipher称给该公司10天的时间至12月15日，以回应威胁。 在其声明中，勒索软件团伙表示，“大公司并不总是能很好地完成工作。”帖子还表示，它将揭示德勤如何“没有遵守信息安全的‘基本点’”。 根据报告，Brain Cipher从事多管齐下的敲诈行为，托管了一个基于TOR的数据泄露网站。该威胁行为者的载荷基于LockBit 3.0。 2024年6月，Brain Cipher声称入侵印尼临时国家数据中心（PDNS），并破坏了该国的服务。团伙最初要求PDNS支付800万美元的赎金，但后来免费发布了解密器。 为什么伪造网络攻击索赔 尽管德勤已经与这次攻击划清界限，但这并不意味着处于勒索软件索赔目标组织不受影响。 “不影响目标组织系统并不意味着没有影响。”KnowBe4的首席安全意识倡导者Javvad Malik告诉Infosecurity。“仅仅暗示数据泄露就可能损害声誉，影响股价，或引发昂贵且不必要的反应。因此，即使是空洞的威胁，也和在拥挤的剧院里喊‘着火’一样具有同样的分量。” 德勤是一家私有公司，只有合伙人才能拥有公司的股权。关于为什么此类组织可能会捏造声明，Secureworks Counter Threat Unit威胁情报总监Rafe Pilling表示，网络犯罪分子这样做的原因有很多。 “众所周知，犯罪分子和国家支持的威胁行为者都会获取数据——可能来自知名品牌的客户或供应商——然后将其宣传为该大品牌的泄露，而不是分享数据的真正来源。”他说。 “这让他们有了更高的知名度，看起来更像是一个威胁。这种策略可能特别吸引那些希望在竞争激烈的犯罪环境中树立声誉的小型网络犯罪集团。” Malik对此表示赞同，并补充说：“这可能是为了提高犯罪团伙的声誉，试图获得恶名，灌输恐惧，甚至可能引诱受害者采取不明智的行动，比如为他们不需要的解密密钥付费。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

罗马尼亚的选举系统遭受了超过 85,000 次攻击，在总统选举前，俄罗斯黑客论坛上发布了泄露的凭证。 罗马尼亚情报局透露，该国选举系统遭受了超过 85000 次网络攻击。 威胁者获取了与选举相关网站的凭证，然后在总统选举前几天将其泄露在俄罗斯网络犯罪论坛上。 “情报部门还称，罗马尼亚官方选举网站的访问数据被公布在俄罗斯网络犯罪平台上。”路透社称：“这些访问数据可能是通过针对合法用户或利用合法培训服务器获取的。”路透社称，“该机构补充说，它已经发现了超过 85,000 次旨在利用系统漏洞的网络攻击。” 莫斯科否认对罗马尼亚选举系统发动过任何攻击。 罗马尼亚情报部门在一份解密文件中报告说：“攻击仍在继续，包括在选举日和选举后的当晚。攻击活动的运作模式和规模使我们得出结论，攻击者拥有攻击国家特有的大量资源。” 罗马尼亚安全部门的解密文件显示，亲俄总统候选人卡林-乔治斯库（Calin Georgescu）通过协调账户和付费广告在 TikTok 上进行了 “积极 ”的宣传。 在 11 月 24 日罗马尼亚总统大选前，卡林-杰奥尔杰斯库（Calin Georgescu）的民调起初仅为个位数，但后来却一举获胜，这引起了人们的怀疑。 2024 年 12 月 6 日，罗马尼亚宪法法院援引《宪法》第 146（f）条，出于对公平性和合法性的担忧，一致宣布整个总统选举过程无效。该废止令既影响了第 756/2024 号政府决定确定的选举日期，也影响了第 1061/2024 号政府决定批准的实施日程。法院下令全面重启选举进程，要求政府确定新的选举日期和相应的行动计划。该裁决是最终裁决，具有约束力，并将在《政府公报》上公布。 罗马尼亚情报机构还警告说，该国的选举系统仍然很脆弱，威胁者可能会再次入侵这些系统。 Bleeping Computer 透露，威胁分子从超过 33 个国家实施了 SQL 注入和 XSS 攻击。另一份报告揭露了一场影响活动，100 多名拥有 800 多万粉丝的罗马尼亚 TikTok 影响者被收买为亲俄候选人卡林-乔治斯库（Calin Georgescu）做宣传，每 2 万名粉丝可获得 100 多美元。 罗马尼亚对外情报局（SIE）认为，俄罗斯瞄准罗马尼亚是其影响东欧民主选举的广泛努力的一部分。由于支持北约和乌克兰，莫斯科将罗马尼亚视为 “敌国”。这些影响行动包括宣传、虚假信息和支持欧元怀疑论议程，旨在塑造对俄罗斯有利的公众舆论。虽然没有明确证实俄罗斯在罗马尼亚最近的袭击和活动中扮演了直接角色，但分析强调了俄罗斯在其他地方干预选举的历史。     转自安全客，原文链接：https://www.anquanke.com/post/id/302538 封面来源于网络，如有侵权请联系删除

趋势科技在一篇分析报告中表示： “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备，使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。” Earth Minotaur 攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。 MOONSHINE于 2019 年 9 月首次曝光，公民实验室将其使用归咎于其追踪的名为POISON CARP 的运营商，该运营商与威胁组织Earth Empusa 和 Evil Eye有重叠。 这是一种基于 Android 的漏洞利用工具包，已知利用各种 Chrome 浏览器漏洞来部署有效载荷，从而窃取受感染设备的敏感数据。 具体来说，包含针对各种应用程序的代码，例如 Google Chrome、Naver 以及嵌入应用内浏览器的即时通讯应用程序（例如 LINE、QQ、微信和 Zalo）。 根据趋势科技的说法，Earth Minotaur 与 Earth Empusa 没有直接联系。威胁组织使用升级版的 MOONSHINE 渗透受害者设备，随后用 DarkNimbus 感染它们。 新变种增加了漏洞库CVE-2020-6418，这是 V8 JavaScript 引擎中的类型混淆漏洞，在有报道称该漏洞已被用作0day漏洞武器后，谷歌于 2020 年 2 月对其进行了修补。 Earth Minotaur的攻击链 研究人员表示：“Earth Minotaur 通过即时通讯应用发送精心设计的消息，诱使受害者点击嵌入的恶意链接。他们在聊天中伪装成不同的角色，以提高社交工程攻击的成功率。” 这些虚假链接指向至少 55 个 MOONSHINE 漏洞工具包服务器之一，这些服务器负责在目标设备上安装 DarkNimbus 后门。 为了巧妙欺骗，这些 URL 伪装成看似无害的链接。 趋势科技表示：“当受害者点击攻击链接并被重定向到漏洞攻击包服务器时，它会根据嵌入的设置做出反应。攻击结束后，服务器会将受害者重定向到伪装的合法链接，以防止受害者注意到任何异常活动。” MOONSHINE 漏洞利用工具包的验证流程 当基于 Chromium 的浏览器不易受到 MOONSHINE 支持的任何漏洞攻击时，该工具包服务器被配置为返回一个钓鱼页面，警告用户应用内浏览器（名为XWalk的 Android WebView 的定制版本）已过期，需要点击提供的下载链接进行更新。 这会导致浏览器引擎降级攻击，从而允许威胁组织利用未修补的安全漏洞来利用 MOONSHINE 框架。 成功的攻击会导致 XWalk 的木马版本植入 Android 设备并取代应用程序中的合法版本，最终为 DarkNimbus 的执行铺平道路。 该后门据信自 2018 年以来就已开发并积极更新，它使用 XMPP 协议与攻击者控制的服务器进行通信，并支持详尽的命令列表来获取有价值的信息，包括设备元数据、屏幕截图、浏览器书签、电话通话记录、联系人、短信、地理位置、文件、剪贴板内容和已安装应用程序的列表。 它还能够执行 shell 命令、录制电话、拍照，并滥用 Android 的辅助服务权限来收集来自 DingTalk、MOMO、QQ、Skype、TalkBox、Voxer、微信和 WhatsApp 的消息。 最后但同样重要的是，它可以从受感染的手机上自行卸载。 MOONSHINE 漏洞攻击包所针对的漏洞和浏览器版本 趋势科技表示，它还检测到了 Windows 版本的 DarkNimbus，该版本可能是在 2019 年 7 月至 10 月期间制作的，但直到一年多后的 2020 年 12 月才开始使用。 它缺少 Android 版本的许多功能，但包含各种命令来收集系统信息、已安装应用程序的列表、击键、剪贴板数据、已保存的凭据和来自网络浏览器的历史记录，以及读取和上传文件内容。 尽管目前尚不清楚Earth Minotaur的具体起源，但观察到的感染链的多样性，加上功能强大的恶意软件工具，表明这是一个复杂的威胁。 趋势科技推测： “MOONSHINE 是一个仍在开发中的工具包，并已与多个威胁行为者共享，包括 Earth Minotaur、POISON CARP、UNC5221等。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CpvqeklX_SUGfSDV2pbWlw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，臭名昭著的勒索软件组织 Brain Cipher 近日声称入侵了世界四大会计师事务所之一德勤，并从中窃取了1TB的压缩数据。 Brain Cipher是一家成立于 2024 年 6 月的新型勒索软件组织，因对全球组织的网络攻击而迅速”走红“。在针对印度尼西亚的攻击中，该组织曾让200多个政府机构的服务中断。 根据Brain Cipher 发出的声明，这次攻击暴露了德勤英国公司网络安全基础设施中的关键漏洞。他们计划发布有关此次数据窃取的详细信息，包括德勤涉嫌违反安全协议的证据、德勤与客户的合同协议、有关公司监控系统和安全工具的详细信息以及一些数据样例。 Brain Cipher 要求对方在 2024 年 12 月 15 日前做出回应。据悉，该组织已邀请德勤英国公司的企业代表以电子邮件的形式进行私下谈判，预示着存在支付赎金的可能。 根据 SentinelOne 的说法，Brain Cipher 针对多个关键行业和政府组织，并从事多管齐下的勒索。该组织在基于 TOR 的数据泄露网站上发布受害者，其恶意负载基于 LockBit 3.0的修改版本，网络钓鱼和鱼叉式网络钓鱼是该组织的主要初始访问媒介。 目前德勤英国公司尚未对这一事件进行官方回应，如果攻击事件属实，尤其是正如Brain Cipher 在声明中称”大公司并不总是能很好地完成他们的工作“（指未能尽到网络安全职责），其后果不仅将泄露机密商业信息、客户数据和财务记录，同时将对公司的专业声誉和客户关系带来巨大的负面影响。     转自Freebuf，原文链接：https://www.freebuf.com/news/417056.html 封面来源于网络，如有侵权请联系删除  

Stoli集团在美国的子公司因8月份遭受的勒索软件攻击，以及俄罗斯当局没收其在俄剩余酿酒厂而不得不申请破产保护。 Stoli美国公司及其子公司肯塔基猫头鹰公司的总裁兼全球首席执行官克里斯·考德威尔在上周五提交的文件中指出，这一决定是在8月的网络攻击严重破坏了公司的IT系统，包括企业资源规划（ERP）平台之后作出的。 这场网络攻击迫使整个集团不得不依赖手动操作，严重影响了会计等关键业务流程，预计要到2025年初才能完全恢复正常。 考德威尔表示：“2024年8月，Stoli集团的IT基础设施在数据泄露和勒索软件攻击后遭受了严重破坏。” 他进一步解释说：“这次攻击导致Stoli集团内的所有公司都遭遇了重大的运营挑战，包括Stoli美国公司和KO，因为ERP系统被禁用，导致大多数内部流程（包括会计职能）被迫转为手动操作。” 此外，这一事件还阻止了Stoli美国子公司向贷款人提供财务报告，后者声称这两家公司拖欠了7800万美元的债务。 就在一个月前的2024年7月，Stoli集团在俄罗斯的最后两家价值1亿美元的酿酒厂也被没收，这一行动与Stoli集团及其创始人尤里·谢夫勒被俄罗斯政府标记为“极端分子”有关。这一标记与他们在乌克兰战争期间对乌克兰难民提供的人道主义援助和营销活动的支持有关。 Stoli集团还与俄罗斯国有企业FKP Sojuzplodoimport就Stolichnaya和Moskovskaya伏特加商标的权益进行了长达23年的法律斗争，这场斗争跨越了多个司法管辖区，包括美国。这场法律战始于2000年3月，当时普京总统发布了一项行政命令，旨在“恢复和保护国家在1990年代被私人公司购买的伏特加商标的权利”。 Stoli集团的创始人谢夫勒因对普京政权的批评和所谓的“捏造”指控，于2002年被迫逃离俄罗斯。在2010年代，俄罗斯的引渡请求被拒绝后，谢夫勒获得了瑞士的庇护和英国公民身份。     转自Freebuf，原文链接：https://www.freebuf.com/news/416924.html 封面来源于网络，如有侵权请联系删除

Aqua Nautilus 研究人员发现了一个由 Matrix 发起的一系列大规模 DDoS 攻击活动，该活动可能是俄罗斯威胁组织发起。 Aqua Nautilus 的网络安全研究人员发现了一个名为 Matrix 的威胁组织发起的新型分布式拒绝服务 ( DDoS ) 活动，利用现成的工具和最低限度的技术专长。 根据 Aqua Nautilus 的调查结果，Matrix（研究人员将其称为脚本小子）的目标是庞大的互联网IoT设备，包括物联网设备、摄像头、路由器、DVR 和企业系统。 攻击者使用不同的技术，主要依靠暴力攻击，利用弱密码和错误配置来获取初始访问权限。 一旦被入侵，设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。 根据 Aqua Nautilus 的博客文章，尽管最初有迹象表明该攻击与俄罗斯有关，但乌克兰目标的缺失表明该攻击主要关注的是经济利益，而非政治目的。 Matrix 创建了一个 Telegram 机器人 Kraken Autobuy，以销售针对第 4 层（传输层）和第 7 层（应用层）攻击的 DDoS 攻击服务，进一步强调了该攻击活动的商业化。 该活动利用了近期和之前的一系列漏洞，其中包括： CVE-2014-8361 CVE-2017-17215 CVE-2018-10562 CVE-2022-30525 CVE-2024-27348 CVE-2018-10561 CVE-2018-9995 CVE-2018-9995 CVE-2017-18368 CVE-2017-17106 这些漏洞与广泛存在的弱凭证相结合，为恶意攻击者创造了巨大的攻击面。大多数活动（约 95%）发生在工作日。 Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本，主要用 Python、Shell 和 Golang 编写。 研究人员指出：“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件（主要是 Mirai 和其他 DDoS 相关工具）的工具。” 截图显示使用弱凭证成功登录摄像头面板（通过 Aqua Nautilus） 另一方面，Virus Total 发现用于发起 DDoS 攻击的各种工具，包括 DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack 和 Homo Network。 这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击，以及利用 Discord 进行通信和远程控制。 此次攻击活动的潜在影响十分巨大，数千万台联网设备可能面临风险。 研究人员指出：“近 3500 万台设备存在风险。如果 1% 的设备受到攻击，僵尸网络可能覆盖 35 万台设备；如果 5% 的设备受到攻击，僵尸网络可能覆盖 170 万台设备，与过去发生的重大攻击不相上下。” 主要影响是服务器拒绝服务，扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用，影响依赖它们的企业。观察到针对 ZEPHYR 的有限加密货币挖掘操作，但产生的经济收益微乎其微。 为了保证安全，组织应该优先考虑强有力的安全实践，如定期修补、强密码策略、网络分段、入侵检测系统、Web 应用程序防火墙和定期安全审核，以减少遭受DDoS 攻击和其他网络威胁的风险。 技术报告：https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/xx3FkgaS4rGsEhZwmMHvCQ 封面来源于网络，如有侵权请联系删除

一个俄罗斯黑客组织Romcom利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”，其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传播黑客攻击，这些网页似乎伪装成虚假新闻机构。如果易受攻击的浏览器访问该页面，它可以秘密触发软件漏洞，在受害者的电脑上安装后门。 ESET 警告称，用户无需与该网页进行任何交互。 目前尚不清楚黑客如何传播恶意网页链接。但第一个漏洞（称为CVE-2024-9680）可导致 Firefox 和 Tor 浏览器在正常受限制的进程中运行恶意代码。 黑客利用 Windows 10 和 11 中的第二个漏洞（称为CVE-2024-49039）发动攻击，以便在浏览器之外和操作系统上执行更多恶意代码。秘密下载并安装一个能够监视 PC 的后门，包括收集文件、截屏以及窃取浏览器 cookie 和保存的密码。   Mozilla、Tor 和 Microsoft 都已修补了漏洞。Tor 浏览器基于 Firefox。Mozilla 于 10 月 8 日私下报告了此问题，这两款浏览器都在第二天修补了此漏洞。与此同时，Microsoft于 11 月 12 日修补了另一个漏洞。 如果用户未能及时打补丁，黑客仍可继续利用该攻击。ESET 提供的遥测数据显示，某些国家可能有多达 250 名用户遭遇过该攻击，攻击始于 10 月，甚至可能更早。 ESET将这些攻击与一个名为“RomCom”的俄罗斯黑客组织联系起来，该组织一直专注于网络犯罪和间谍活动。 ESET追踪了该组织一系列的攻击活动： 将两个0day漏洞串联起来，RomCom 便可以利用无需用户交互的漏洞进行攻击。这种复杂程度表明威胁组织有意愿并有手段获得或开发隐身能力。 详细技术报告： https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/ Mzoilla官方漏洞公告： https://blog.mozilla.org/security/2024/10/11/behind-the-scenes-fixing-an-in-the-wild-firefox-exploit/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kutWJlxhfVnDaq3Qtd_QGw 封面来源于网络，如有侵权请联系删除