近日，星巴克的关键供应链管理软件提供商 Blue Yonder 遭遇勒索软件攻击，虽此次事件并未影响客户服务或商店运营，但却迫使星巴克恢复使用手动流程来管理员工日程安排和工资系统。商店经理现在使用笔和纸来跟踪员工的时间，因为攻击扰乱了公司的后端调度和时间管理流程。 这次事件给星巴克的新任首席执行官Brian Niccol带来了额外的挑战，他已经在应对连续三个季度的销售额下降。虽然公司努力解决这种情况，但还应优先考虑维持正常的客户服务运营并确保支付适当的员工薪酬。 在多个行业产生的连锁反应 对于英国零售影响：英国主要连锁超市 Morrisons 和 Sainsbury’s 报告称，尽管他们已经实施了备份系统，但他们的仓库管理系统受到了干扰。 Blue Yonder 回应：Blue Yonder 已招募外部网络安全公司协助恢复工作并实施防御协议。该公司尚未提供恢复服务的具体时间表。“我们正在夜以继日地应对这一事件，并继续取得进展。目前没有关于我们的恢复时间表的其他更新可以分享，“Blue Yonder 在相关报告中写道。 该事件凸显了假日期间供应链系统的脆弱性，Blue Yonder 为广泛的客户群提供服务包括： 前 100 家制造商中的 46 家 100 大消费品制造商中的 64 家 全球 100 大零售商中的 76 家 此次攻击增加了影响主要食品服务公司的越来越多的网络安全事件。不由地让人想起今年早些时候，麦当劳和 Panera 都经历了技术中断，Panera 的事件在员工数据泄露后导致了集体诉讼。 相关研究表明攻击的时机特别重要，86%的勒索软件攻击在节假日或周末以组织为目标。尽管政府努力遏制此类活动，但以2023年为例，网络犯罪分子在全球范围内提取了超11亿美元的勒索赎金。     转自Freebuf，原文链接：https://www.freebuf.com/news/416249.html 封面来源于网络，如有侵权请联系删除

供应链管理公司 Blue Yonder 警告称，勒索软件攻击对其服务造成了严重破坏，并影响了英国的杂货店连锁店。 Blue Yonder（前身为 JDA Software）是松下的子公司，年收入超过 10 亿美元，全球拥有 6,000 名员工。 该公司为零售商、制造商和物流供应商提供人工智能驱动的供应链解决方案，包括需求预测、库存优化和运输管理。 其 3,000 名客户中包括 DHL、雷诺、拜耳、莫里森、雀巢、3M、特易购、星巴克、Ace Hardware、宝洁、桑斯伯里和 7-Eleven 等知名组织。 勒索软件攻击破坏供应链 周五，该公司警告称，由于前一天（11 月 21 日）发生的勒索软件事件，其托管服务托管环境正在遭遇中断。 公告中写道：“2024 年 11 月 21 日，Blue Yonder 的托管服务托管环境出现中断，经确定是勒索软件事件导致的。” “自从得知这一事件以来，Blue Yonder 团队一直在与外部网络安全公司密切合作，以在恢复过程中取得进展。我们已经实施了多项防御和取证。” lue Yonder 声称在其公共云环境中未检测到任何可疑活动，并且仍在处理多种恢复策略。 托管服务环境是指 Blue Yonder 代表其客户运营的基础设施和系统，通常包括 SaaS 平台和用于供应链运营的云托管解决方案。 正如预期的那样，这直接影响到了客户，英国连锁杂货店 Morrisons 的一位发言人向媒体证实，他们已经恢复了较慢的备份流程。 Sainsbury 告诉 CNN，他们已经制定了应急计划来克服这一中断。 周六的更新通知客户，受影响的服务仍在继续恢复，但目前还不能透露全面恢复的具体时间表。 周日发布的另一条更新消息重申了同样的观点，敦促客户在未来几天内关注 Blue Yonder 网站上的客户更新页面。 截至发稿时，该公司尚未发布有关情况的最新消息，因此推测托管服务环境仍然受到影响。 尚未看到任何勒索软件团伙宣布对 Blue Yonder 攻击事件负责。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wfhGm_pYJ1EjyddcmPJAiA 封面来源于网络，如有侵权请联系删除

Change Healthcare 证实，自 2 月份遭受勒索软件攻击以来，几乎整整九个月，其信息交换中心服务已恢复正常运行。 在平常的一年里，这家医疗保健机构要处理 150 亿笔交易，是美国所有信息交换中心中处理交易最多的。它负责整个美国医疗保健系统中医疗保健提供商、医院、从业人员和患者之间的支付和交易。据美国医院协会（AHA）称，2 月份 ALPHV/Blackcat 的勒索软件攻击导致次月高达 94% 的医院受到财务影响。 通过更新网站状态页面确认的这项服务的恢复，标志着 Change Healthcare 从攻击中整体恢复的一个重要里程碑，目前该恢复工作已基本完成，但尚未完全结束。 他们没有使用多因素身份验证，这让我大吃一惊。网络没有被分割，这让我大吃一惊…… 在短短两个月内，绝大多数功能都已重新上线，并且至少部分恢复。唯一尚未完全恢复的业务功能是 Clinical Exchange（电子病历信息交换）、MedRX（药房报销管理）和支付方打印通信多渠道分发系统（支付文件打印）。 然而，医疗服务提供者将在更长的时间内感受到这一事件带来的巨大财务影响。 几乎就在 Change Healthcare 被 ALPHV 打得落花流水之后，医疗服务提供商就报告了财务困难。到 3 月初，超过三分之一的医院表示，他们一半以上的收入受到了支付中断的影响，近 60% 的医院表示每天的收入缺口达到或超过 100 万美元。 联合健康（UnitedHealth）旗下的 Optum 于 3 月 1 日启动了 “临时资金援助计划”，以支持医疗机构解决现金流问题。联合健康旗下的 Change Healthcare 在发布恢复信息交换中心服务的最新消息时也表示，截至 10 月 15 日，已经偿还了 32 亿美元的贷款。 无息借给医疗服务提供者的资金总额被认为超过了 60 亿美元。根据联合健康最近的财报[PDF]，仅在 3 月底，Change Healthcare 为修复此次攻击就花费了 8.72 亿美元，而此后的费用已远远超过 20 亿美元（含税）。 The Register联系了Change Healthcare公司要求发表声明，但该公司没有立即做出回应。 根据美国卫生与公众服务部（HHS）最近的统计数据，约有 1 亿人受到了 Change Healthcare 大型漏洞的影响。美国医疗协会认为，该公司处理的美国公民医疗报销申请约占三分之一，而美国人口约为 3.37 亿，这意味着美国近三分之一的人口受到影响，绝大多数 Change Healthcare 患者的信息受到泄露。 人们的数据被泄露的程度各不相同，但全名、电子邮件地址、银行数据、报销记录等都被窃取了。 事情发生后不久，联合健康公司首席执行官安德鲁-威蒂（Andrew Witty）自然被传唤到国会，解释究竟是如何允许这种武器级的事件发生的。 他向议员们解释说，ALPHV 的附属公司使用窃取的凭证登录了 Citrix 门户网站，你猜对了，该门户网站没有启用多因素身份验证 (MFA)。 威蒂在接受质询时谈到了公司向勒索者付款的决定，此前曾有传言称，此举是基于对已知 ALPHV 钱包的区块链分析而做出的。他向参议员们证实，联合健康确实向攻击者支付了 2200 万美元。 他承认自己是授权付款的人，并表示这 “是我不得不做出的最艰难的决定之一。我不希望任何人做出这样的决定”。 在首席执行官作证后，专家们向 The Register 表示，网络犯罪分子利用的安全漏洞相当于 “严重疏忽”。 Contrast Security 公司网络战略高级副总裁汤姆-凯勒曼（Tom Kellermann）说：“他们没有使用多因素身份验证，这让我大吃一惊。“我对网络没有分段感到震惊。他们在明知网络已被入侵的情况下，却没有对该环境进行强有力的威胁猎杀，这让我大吃一惊。坦率地说，我认为这是令人震惊的疏忽。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302062 封面来源于网络，如有侵权请联系删除

卫星和空间技术领导者 Maxar Space Systems 公司遭遇数据泄露。 “我们的信息安全团队发现，一名使用香港 IP 地址的黑客锁定并访问了 Maxar 系统，该系统中包含某些含有员工个人数据的文件。” “当我们在 2024 年 10 月 11 日发现这一情况时，我们立即采取了行动，以防止对系统的进一步未经授权的访问。尽管如此，根据我们的调查，黑客很可能在采取这一行动之前已经访问了系统中的文件大约一个星期。” 以下员工数据已被访问： 姓名 家庭住址 社会保险号 业务联系信息（电话、地址、电子邮件等） 性别 就业状况 员工编号 职位名称 聘用日期、角色开始日期，以及（如适用）终止日期 主管 部门 攻击者访问的文件不包含任何银行账户信息或出生日期。 Maxar 在发现这一问题后展开了调查，与网络安全专家和执法部门合作评估漏洞的范围，并确保受影响系统的安全。 这次攻击发生时，太空和国防领域正面临着不断升级的网络威胁，对手的目标是战略基础设施和敏感的人员数据。     转自安全客，原文链接：https://www.anquanke.com/post/id/302094 封面来源于网络，如有侵权请联系删除

苹果公司19日发布安全更新，修复了两个被用于攻击Mac用户的安全漏洞，并建议所有用户安装。 苹果在官网发布的安全公告中表示，发现了两个漏洞（CVE-2024-44308、CVE-2024-44309），可能在基于英特尔处理器的Mac系统上“被积极利用”。这类漏洞属于零日漏洞，因为在漏洞被攻击者利用时，苹果尚未意识到它们的存在。 为修复这两个漏洞，苹果发布了一系列软件更新，包括macOS、iOS和iPadOS。 目前尚不清楚针对Mac用户的攻击是由谁发起，也不清楚有多少用户成为目标，或者是否有用户设备已经被成功攻破。这些漏洞由谷歌威胁分析小组报告，该小组专注于调查政府支持的黑客行为和网络攻击。这表明，此次攻击可能涉及某个政府背景的行为者。而政府支持的网络攻击有时会使用商业间谍软件针对目标设备展开行动。 苹果在公告中表示，这些漏洞与WebKit和JavaScriptCore有关。WebKit是Safari浏览器运行网络内容的核心引擎，同时也是恶意攻击者的常见目标。攻击者通常通过利用WebKit引擎中的漏洞，侵入设备的软件系统，进而窃取用户的隐私数据。 安全公告进一步指出，这些漏洞可通过诱使易受攻击的苹果设备处理恶意构造的网络内容（如伪造的网站或电子邮件），触发任意代码执行，从而在目标设备上植入恶意软件。 苹果建议用户尽快更新其iPhone、iPad和Mac设备，以降低安全风险。 苹果生态已成零日攻击高发地带 加上这两个漏洞，苹果在2024年已累计修复了六个零日漏洞。今年的首次修复发生在1月，随后在3月修复了两个漏洞，5月修复了第四个漏洞。 相比2023年修复的20个遭在野利用的零日漏洞，今年的情况有了显著改善。 以下是2023年苹果修复零日漏洞的时间表： 11月修复的两个零日漏洞（CVE-2023-42916和CVE-2023-42917） 10月修复的两个零日漏洞（CVE-2023-42824和CVE-2023-5217） 9月修复的五个零日漏洞（CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993） 7月修复的两个零日漏洞（CVE-2023-37450和CVE-2023-38606） 6月修复的三个零日漏洞（CVE-2023-32434、CVE-2023-32435和CVE-2023-32439） 5月修复的三个零日漏洞（CVE-2023-32409、CVE-2023-28204和CVE-2023-32373） 4月修复的两个零日漏洞（CVE-2023-28206和CVE-2023-28205） 2月修复的另一个WebKit零日漏洞（CVE-2023-23529）。       转自安全内参，原文链接：https://www.secrss.com/articles/72598 封面来源于网络，如有侵权请联系删除

匈牙利官员向当地媒体证实，该国国防采购机构（VBÜ）遭到“国际黑客组织”的攻击。 周四早些时候，名为 INC Ransomware 或 INC Ransom 的网络犯罪组织声称可以访问该机构的数据，并在其暗网门户网站上发布了示例截图。 先前的研究表明，该组织于去年出现，主要针对医疗保健、教育和政府实体。其背后的运营者仍然未知。 匈牙利国防部在回应媒体询问时拒绝透露可能的信息泄露，称调查仍在进行中。该部补充说，VBÜ 不存储敏感的军事数据。匈牙利是北约联盟的成员。 总理维克托·欧尔班的幕僚长盖尔盖利·古利亚斯将此次袭击归咎于“敌对的外国非国家黑客组织”，但没有透露该组织的名字。 古利亚斯在周四的新闻发布会上表示，可能被访问的最敏感数据包括“有关军事采购的计划和数据”。 匈牙利新闻媒体 Magyar Hang报道称，INC 勒索软件入侵了该机构的服务器，下载并加密了所有文件。据称，黑客发布了包含匈牙利军队空中和陆地能力数据的文件截图，以及标有“非公开”的文件。 媒体报道称，泄露的数据“相当新”，一些文件可追溯到今年 10 月。据报道，黑客索要 500 万美元赎金。 匈牙利官员没有就他们是否正在与黑客谈判发表评论。国防部尚未回应 Recorded Future News 的置评请求。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bIPxaypcWTd3AUp9Ov9O8g 封面来源于网络，如有侵权请联系删除

网络安全公司 ClearSky 警告称，Windows 中一个新修补的day漏洞可通过用户最少的交互（例如删除文件或右键单击文件）被利用。 该0day漏洞编号为 CVE-2024-43451，是一个中等严重程度的漏洞，会影响 MSHTM 引擎，该引擎继续由 Internet Explorer 模式下的 Edge 和其他应用程序通过 WebBrowser 控件使用，从而使它们暴露于困扰该组件的任何安全缺陷。 成功利用 CVE-2024-43451 允许威胁组织窃取受害者的 NTLMv2 哈希，然后通过执行传递哈希攻击使用它来作为目标用户进行身份验证。 微软在 11 月 12 日的安全公告（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451）中指出：“用户与恶意文件进行最小程度的交互，例如选择（单击）、检查（右键单击）或执行除打开或执行之外的操作，都可能触发此漏洞。” ClearSky 发现了该漏洞并于 2024 年 6 月向微软报告，据该公司称，一些看似无害的操作可能会触发隐藏在 URL 文件中的漏洞，包括删除文件和将文件拖放到另一个文件夹。 ClearSky 观察到 CVE-2024-43451 被疑似俄罗斯黑客在针对乌克兰实体的攻击中利用。 受害者会收到来自受感染的乌克兰政府服务器的钓鱼电子邮件，提示他们更新学历证书。这些电子邮件将受害者引导至从政府官方网站下载的恶意 ZIP 文件。 该档案包含两个文件——一个 PDF 文档和一个 URL 文件——针对两个已知漏洞，即 CVE-2023-320462 和 CVE-2023-360251。该 URL 指向外部服务器以获取两个可执行文件，也旨在利用新披露的0day漏洞。 ClearSky 在一份技术报告中解释道：“当用户通过右键单击、删除或移动 URL 文件与它交互时，漏洞就会被触发。此操作会与攻击者的服务器建立连接并下载更多恶意文件，包括 SparkRAT 恶意软件。” 攻击链 该网络安全公司表示，在 Windows 10 和 Windows 11 上，URL 文件在执行任何这些操作时都会立即与外部服务器建立通信。在 Windows 7、8 和 8.1 上，该漏洞仅在多次尝试后才会触发。 ClearSky 表示，这表明“新发现的漏洞在 Windows 10/11 操作系统上更容易被利用”。 乌克兰计算机应急响应小组 (CERT-UA) 称，CVE-2024-43451 已被追踪为 UAC-0194 的威胁组织利用为0day漏洞，该威胁组织疑似来自俄罗斯。据 ClearSky 称，攻击者使用了与其他团体常见的工具包和技术。 技术报告：https://www.clearskysec.com/wp-content/uploads/2024/11/Zero-day-cve-2024-4351-report.pdf       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tPJInKAx4HZxpk8o98_lTg 封面来源于网络，如有侵权请联系删除  

一次针对一家车辆追踪解决方案公司的网络攻击，导致英国囚车追踪系统和报警系统陷入瘫痪，目前尚无证据表明犯罪分子试图利用这一情况。 作为当事者公司，Microlise已于近期向伦敦证券交易所通报了此次事件，但未提供有关客户可能受到连锁反应影响的详细信息。 Microlise在11月6日发布声明，表示攻击者可能已获取了员工数据，不过“公司有信心客户的系统数据未受到泄露。” Microlise称：“我们正在努力恢复服务，恢复工作预计将持续数天，服务有望在下周末基本恢复正常。” 作为Microlise公司的客户，Serco是一家为英国司法部运营囚犯押送服务的外包公司。据《金融时报》报道，Serco的员工于11月4日接到通知，因Microlise事件影响，“车辆追踪、紧急报警、导航和预计到达时间通知”均已暂停使用。 英国司法部对此事拒绝发表评论。据了解，相关官员认为此次事件对英国的囚犯押送服务没有实质性影响。 尽管此次供应链事件暴露出第三方供应商遭受网络攻击带来的风险，但目前没有迹象表明攻击者意识到Microlise与Serco囚犯运输服务之间的关联。 英国政府目前正在试点一项“Cyber Essentials”认证计划来保护供应链，该项目初期将要求英国最大的银行，将网络安全标准纳入对供应商的要求中。 根据英国政府即将出台的《网络安全与弹性法案》，其他关键基础设施运营商以及公共部门承包商也可能会被要求引入类似的供应商安全标准。该法案预计将于明年提交议会审议。     转自安全内参，原文链接：https://www.secrss.com/articles/72339 封面来源于网络，如有侵权请联系删除  

国际零售巨头皇家阿霍德德尔海兹集团（Ahold Delhaize）日前确认，旗下Food Lion、Stop & Shop等多个美国超市品牌的系统中断，是因为持续的“网络安全问题”所引发。公司表示，他们已关闭了一些系统，这对部分药房及电商业务造成了影响。 这家总部位于荷兰的跨国企业，在欧洲以阿尔伯特·海恩（Albert Heijn）和德尔海兹（Delhaize）等品牌闻名，在美国市场则拥有Stop & Shop、Hannaford、Giant和Food Lion等品牌，公司官网显示这些品牌在美国市场拥有超过2000家门店。 图：该公司官网显示美国市场的品牌数据 该公司在上周五（8日）发布的声明中指出：“在问题首次被发现时，我们的安全团队立即在外部网络安全专家的协助下展开了调查。同时，我们也已通知执法部门。” “皇家阿霍德德尔海兹集团美国分公司旗下的所有品牌店铺仍正常营业，继续为客户提供服务。我们将持续采取措施，以进一步保护我们的系统。客户、员工和合作伙伴的安全始终是我们的首要任务。” “我们对于此次事件可能给客户和合作伙伴带来的不便深感抱歉。” 员工顾客在社交媒体上反馈吐槽 据悉，美国零售店面临的问题已经持续了一周。由于网络安全调查通常需要较长时间，案件的具体细节仍在收集中。但是，受影响店铺的员工们已在社交媒体上分享了他们的经历。 Stop & Shop的部分顾客最近反映，他们所在的超市药房因IT问题暂时无法补充药品。为应对这一问题，药品被转移至附近的沃尔格林药房，但由于商店的电话线路也出现了问题，处理过程受到了影响。 不过，地方新闻报道称，药房的IT问题目前已经得到解决，现在可以正常补充处方药。 一位自称负责向商店运送物资的人员表示，发票上的价格与实际成本不符。 不同商店受到影响的程度有所差异。截至11月9日，部分商店的服务已经恢复正常，而另一些商店仍然没有互联网连接，只能依靠员工的个人热点来维持运营。 Food Lion的Reddit社区尤其活跃，用户们讨论了员工在店铺内遇到的类似问题。 关于交货延迟或缺失的报告频繁出现，且部分到货物资供应不足。截至11月10日，也出现了与Stop & Shop类似的发票与实际价格不匹配现象。同时，电话线路依然无法使用。 有些用户反映，Food Lion To Go和Instacart的订单无法处理，后者的恢复时间也一再推迟。此外，部分支付服务也受到了限制。 据称，在某些地点，一线员工被经理告知不要与同事讨论此问题，目的是防止信息在社交媒体上扩散。然而，也有员工表示，他们的店铺并没有受到这样的限制。 一名员工还表达了对财务数据可能被影响的担忧。该员工声称，在事件发生几天后，他的借记卡被用于多次欺诈性消费，但目前尚不清楚这两件事是否有关联。 官方缺乏进一步的信息更新 外媒The Register就此问题询问了皇家阿霍德德尔海兹集团，是否有任何数据在此次攻击中遭到泄露，但并未收到回复。 本文发布时，Hannaford的网站仍处于宕机状态，显示消息：“抱歉！我们的服务器出现了技术问题。我们正在尽快恢复服务。” The Register尝试从英国访问其他美国品牌的网站（Giant、Food Lion和Stop & Shop），但即便使用VPN，也无法绕过其网络保护层，访问被阻止。 在美国，这四大零售品牌共拥有约2000家店铺，均可能受到此次网络安全事件的影响。 其中，Food Lion拥有超过1000家门店，员工人数超过8.2万人，每周服务超过1000万名顾客。如果问题持续影响这些店铺，潜在影响规模将非常巨大。       转自安全内参，原文链接：https://www.secrss.com/articles/72373 封面来源于网络，如有侵权请联系删除

据The Hack News消息，与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。 Check Point 在一份分析中表示，该活动与一个名为 WIRTE 的组织有关，该组织最近至少进行了两波针对以色列的破坏性攻击。 WIRTE 是中东高级持续威胁 （APT） 的绰号，首先由西班牙网络安全公司 S2 Grupo 发现。该组织至少自 2018 年 8 月以来就一直活跃，主要针对该地区的广泛实体发动攻击，活动范围包括巴勒斯坦、约旦、伊拉克、沙特阿拉伯和埃及。 Check Point表示，该组织的活动在整个加沙战争期间一直存在，一方面，它的持续活动加强了与哈马斯的联系，另一方面又使这项活动的地理归属变得特别复杂。 WIRTE 在 2024 年的活动被发现利用中东的地缘政治紧张局势和战乱来制作恶意RAR文档，从而部署 Havoc 后期开发框架。 在 2024 年 9 月之前观察到的替代链利用类似的 RAR 文档部署 IronWind 下载器。这两种感染序列利用向受害者传播带有欺骗性的 PDF 文档，使用合法的可执行文件来侧载带有恶意软件的 DLL。 在 2024 年 10 月观察到针对医院和市政当局等多个以色列组织的网络钓鱼活动中，钓鱼电子邮件甚至显示从网络安全公司 ESET 在以色列的合作商发出，其中包含新创建的SameCoin Wiper 版本，该版本也曾在今年早些时候针对以色列的攻击中部署。 除了用随机字节覆盖文件外，最新版本的 SameCoin 擦除器还会修改受害者系统的背景，以显示带有哈马斯军事分支 Al-Qassam Brigades 名称的图像。SameCoin 是一种以安全更新为幌子分发的定制擦除器，于 2024 年 2 月被发现，被哈马斯附属的攻击者用来破坏 Windows 和 Android 设备。 据 HarfangLab 称，Windows 加载程序样本（“INCD-SecurityUpdate-FEB24.exe”）的时间戳被更改为 2023 年 10 月 7 日，即哈马斯对以色列发动突然攻势的日期。而初始访问媒介据信是一封冒充以色列国家网络局 （INCD） 的电子邮件。 “尽管中东冲突持续，但该组织坚持开展多项活动，展示了一个多功能工具包，其中包括用于间谍和破坏活动的擦除器、后门和网络钓鱼页面，”Check Point 在报告中总结道。       转自Freebuf，原文链接：https://www.freebuf.com/news/415238.html 封面来源于网络，如有侵权请联系删除