LockBit 3.0勒索软件集团周一泄露了从印度贷款机构Fullerton India窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 Fullerton 印度公司4月24日表示，他们遭受了恶意软件的攻击，作为预防措施，被迫暂时脱机运营。该公司表示，目前已经恢复了客户服务，并与全球网络安全专家合作，使其安全环境更具弹性。 随后，LockBit 3.0 勒索软件集团很快在其数据泄漏网站上将富勒顿印度公司列为受害者，称其窃取了600GB的 “个人和合法公司的贷款协议”。 LockBit 3.0 勒索软件集团给出了4月29日的最后期限，要求其支付赎金否则将公布被盗数据。随后该组织还让该公司选择支付1000美元，将最后期限延长24小时。 Fullerton 印度公司在印度各地设有699个分支机构，为大约210万客户提供上门信贷服务。该公司在2022年管理着价值超过25亿美元的资产，雇用了13000多名员工。 著名的网络犯罪研究人员Ritesh Bhatia与信息安全媒体集团分享了关于LockBit集团在暗网上发布与Fullerton印度公司相关文件的证据。他说，数据泄漏是由于Fullerton印度公司拒绝勒索软件集团的要求，导致该集团启动了三重勒索手段，迫使该公司付款。 双重勒索是指勒索软件攻击者加密受害者的数据并将其渗出，以对受害者施加额外的压力，而三重勒索是指黑客联系受害者的客户、商业伙伴、供应商和客户，将漏洞公之于众，迫使受害者到谈判桌上来。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366094.html 封面来源于网络，如有侵权请联系删除

3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后，西部数据已将其商店下线，并向客户发送了数据泄露通知。 上周五下午，该公司通过电子邮件发送了数据泄露通知，称其数据库遭到攻击，存储在内的客户数据被盗。 西部数据表示：根据调查，我们最近了解到，在2023年3月26日左右，一个未经授权的组织获取了西部数据数据库的副本，其中包含在线商店客户的有限个人信息。这些个人信息涉及到客户姓名、帐单和送货地址、电子邮件地址和电话号码。作为一项安全措施，相关数据库以加密的形式存储了哈希密码（已加盐）和部分信用卡号码。 西部数据公司的数据泄露通知 西部数据一方面在继续调查此事件，同时也已将其商店做了下线处理。其商店现在仅显示一条信息，写着：我们很快就会回来，我们现在无法处理订单。 用户访问权限预计将于2023年5月15日恢复。同时，西部数据还告知那些受影响的客户需警惕鱼叉式网络钓鱼攻击，有一些威胁行为者可能冒充公司，利用被盗数据从客户那里收集更多的个人信息。 西部数据遭遇网络攻击 3月26日，西部数据公司遭遇网络攻击，发现其网络遭到黑客攻击，公司数据被盗，随后发布了数据泄露通知。作为对这次攻击的回应，该公司关闭了两周云服务功能，并同时关闭了移动、桌面和网络应用功能。 据TechCrunch报道，一个“未命名”的黑客组织此前入侵了西部数据公司，并声称窃取了10tb的数据。虽然威胁行为者表示他们并隶属于ALPHV勒索软件的麾下，但他们利用他们的数据泄露网站勒索西部数据，并将他们与勒索团伙联系起来。 在4月28日发布的一份报告中，攻击者通过发布被盗电子邮件、文件和应用程序的截图嘲弄了西部数据。这些截图显示，即使他们的行为已经被该公司发现，但他们仍然可以访问公司的网络。 黑客们还声称窃取了一个包含客户信息的SAP Backoffice数据库，并分享了一张疑似客户发票的截图。这之后威胁者没有发布进一步的数据，这也表明他们目前仍在敲诈西部数据，希望借此机会得到一大笔赎金。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/365811.html 封面来源于网络，如有侵权请联系删除

据了解，俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中，WinRAR 被用来破坏政府设备上的数据。 在一份新的通报中，乌克兰政府计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。 一旦获得网络访问权，他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。 在 Windows 上，Sandworm 使用的 BAT 脚本是“RoarBat”，它会在磁盘和特定目录中搜索文件类型，例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat，并使用 WinRAR 程序将它们归档。 RoarBat 在所有驱动器上搜索指定的文件类型 (CERT-UA) 但是，当执行 WinRAR 时，攻击者会使用“-df”命令行选项，该选项会在文件存档时自动删除它们。当档案本身被删除，实际上删除了设备上的数据。 CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。 定时任务集运行BAT脚本 （CERT-UA） 在 Linux 系统上，攻击者使用 Bash 脚本代替，该脚本使用“dd”实用程序用零字节覆盖目标文件类型，擦除其内容。由于这种数据替换，即使不是完全不可能，也不太可能使用 dd 工具恢复“清空”的文件。 由于“dd”命令和 WinRAR 都是合法程序，威胁行为者可能使用它们来绕过安全软件的检测。 CERT-UA 表示，该事件类似于 2023 年 1 月袭击乌克兰国家新闻机构“Ukrinform”的另一场破坏性攻击，同样归因于 Sandworm。 “恶意计划的实施方法、访问主体的 IP 地址以及使用 RoarBat 修改版本的事实证明与 Ukrinform 网络攻击的相似性，有关信息已在 Telegram 频道中发布” Cyber ArmyofRussia_Reborn 写道。 CERT-UA 建议该国所有关键组织减少攻击面、修补漏洞、禁用不需要的服务、限制对管理界面的访问并监控其网络流量和日志。 在这样的情况下，允许访问公司网络的 VPN 帐户应该受到多重身份验证的保护。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/vdHnHLQASjIs_tBMTYPwSw 封面来源于网络，如有侵权请联系删除  

APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织，据美国和英国政府称，黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中，美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞，目的是针对欧洲组织和美国政府机构。 咨询报告说，黑客还入侵了”大约250名乌克兰受害者”，这些机构没有透露姓名。APT28也被称为Fancy Bear，以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。 根据联合公告，黑客利用了思科在2017年修补的一个可远程利用的漏洞，部署了一个被称为”美洲豹牙”的定制恶意软件，该软件旨在感染未打补丁的路由器。 为了安装该恶意软件，威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。 SNMP，即简单网络管理协议，允许网络管理员远程访问和配置路由器，以代替用户名或密码，但也可能被滥用来获取敏感的网络信息。一旦安装，该恶意软件就会从路由器中渗出信息，并提供对设备的隐秘后门访问。 思科Talos的威胁情报总监Matt Olney在一篇博文中说，这次活动是”一个更广泛的趋势，即复杂的对手将网络基础设施作为目标，以推进间谍活动的目标或为未来的破坏性活动做准备”的一个例子。 “思科对网络基础设施的高精尖攻击率的增加深感担忧–我们已经观察到了，并且看到了由各种情报组织发布的许多报告所证实的情况–表明国家支持的行为者正在瞄准全球的路由器和防火墙，”奥尔尼补充说，除了俄罗斯之外，还有其他国家支持的黑客被发现在一些活动中攻击网络设备，例如利用Fortinet设备的一个零日漏洞，对政府组织进行了一系列攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7223790451927548420/ 封面来源于网络，如有侵权请联系删除

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。 APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。 在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。 自定义 Cisco IOS 路由器恶意软件 Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。 NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。” 为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。 如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。 一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。 NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。” 此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露： 显示运行配置 显示版本 显示 ip 界面简介 显示arp 显示 cdp 邻居 演出开始 显示 ip 路由 显示闪光 所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。 Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。 如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。 CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。 最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。 目标的转变 公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。 由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。 此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/0SbA7wXgGuDajkAMoOxqZA 封面来源于网络，如有侵权请联系删除  

美国高级安全官员表示，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 美国国家安全局网络安全主管罗伯·乔伊斯（Rob Joyce）称，作为乌克兰战争的一部分，俄罗斯政府和政府支持黑客一直在攻击乌克兰的信息技术系统。 而黑客攻击的一大重点，正是乌克兰地方当局和私营企业用于监控周边环境的闭路电视摄像头。 乔伊斯在华盛顿国际与战略研究中心表示，“乌克兰的利益正不断受到侵害，包括试图破坏其金融、政府、个人和个体企业。” “俄方采取了种种创造性的攻击手段。我们观察到，俄罗斯黑客开始登入面向公众的联网摄像头，希望借此观察运送援助物资的车队和列车。” “他们入侵了这些网络摄像头……并且选择的目标并非网上公开的城镇广场监控，而是咖啡厅安装的安保摄像头。” 他表示，俄罗斯方面还将黑客攻击的重点放在美国国防制造商和物流运输企业身上，希望了解关于乌克兰武器供应链的更多信息。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/JOMDRDIgNKsnNlBFxkYRVg 封面来源于网络，如有侵权请联系删除

近日，据韩国加密货币交易所GDAC 称，被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币 。 韩国加密货币交易所和区块链平台 GDAC 成为毁灭性黑客攻击的受害者，导致价值约 1390 万美元的各种加密货币被盗。 GDAC CEO Han Seunghwan 于 2023 年 4 月 10 日发布公告，透露攻击发生在 2023 年 4 月 9 日上午，当时黑客控制了交易所的部分热钱包。 被盗的加密货币包括 61 个比特币、350.5 个以太币、1000 万个 WEMIX 游戏货币和价值 220,000 美元的泰达币。如公告所述，这相当于 GDAC 托管资产总额的 23% 左右。为应对此次攻击，GDAC已暂停所有充提业务，并启动紧急服务器维护。 GDAC 已迅速采取行动，向警方报告黑客攻击事件，通知韩国互联网安全局 (KISA)，并向金融情报部门 (FIU) 通报攻击造成的损失。该交易所还敦促其他加密货币交易所不要兑现从攻击者使用的地址进行的任何存款，封锁相关地址的入金，具体举措包括： 01 通知韩国金融情报部门 02 暂停GDAC服务器、出入金服务 03 已报警，要求进行网络犯罪调查 04 向韩国网络安全局(KISA)请求技术支援 05 要求代币发行方、交易所、DeFi协议联合冻结资产 Seunghwan 表达了确认恢复存款和取款时间表的挑战，并指出正在进行的调查是造成不确定性的原因。 不幸的是，这起事件并不是孤立的，因为中心化交易所黑客继续困扰着加密货币行业。2022 年 1 月，Crypto.com 遭受黑客攻击，损失超过 1500 万美元。 2019 年 11 月，韩国加密货币交易所 UPbit 遭到黑客攻击，之后攻击者设法窃取了价值 5000 万美元的以太币。尽管如此，GDAC 黑客攻击只会损害投资者对在线加密货币交易所的信任。 随着加密货币市场的持续增长，安全仍然是一个关键问题。交易所和投资者都必须保持警惕并采取强有力的措施来防范潜在的网络威胁。GDAC 的不幸经历提醒人们，在不断发展的加密货币领域，严格的安全协议非常重要。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/5imgP5fmHBalhbvPtaNFKw 封面来源于网络，如有侵权请联系删除  

理论上，大多数恶意的Android应用来自可疑的网页或第三方应用商店，但安全研究人员经常发现它们隐藏在Google的官方Play商店中。卡巴斯基的一份新报告表明，被黑的Play Store应用正变得越来越复杂。 在本周发表的一份新报告中，安全公司卡巴斯基描述了一个暗网市场，提供用Android恶意软件和间谍软件入侵目标的服务。黑客可以将大部分恶意代码偷偷放到Google Play商店，规避Google最严格的保护措施。 这个过程的第一步，也可以说是对终端用户最危险的一步就是劫持Play商店的开发者账户。一个潜在的攻击者可以向黑客支付25-80美元，购买一个被盗或用偷来的凭证注册的开发者账户。这让网络犯罪分子把以前信任的应用程序转化为恶意软件的载体。 如果攻击者上传了一个新的应用，他们可能不会立即加载间谍软件，以避免引起Google的注意，相反，其策略是等待，直到它积累了足够的下载量。黑客还提供夸大下载量的服务，并发起Google广告活动，使欺诈性的应用程序看起来更合法。 然后，黑客可以使用加载器，通过看似合法的更新将恶意代码推送到目标设备，但这些可能不包含最终的恶意软件有效载荷。应用程序可能会要求用户同意从Google游戏商店以外的地方下载应用程序或其他信息，然后完全感染设备以完全控制或窃取信息。被感染的应用程序有时会停止正常工作，直到用户授予下载完整有效载荷的权限。 黑客在销售恶意软件时提供一系列复杂的服务和交易，包括演示视频、捆绑销售、拍卖和各种付款计划。恶意软件卖家可能会要求一次性付款，从诈骗行动中获得一定比例的利润，或收取订阅费。 为了增加成功感染的机会，黑客们出售混淆服务，使有效载荷复杂化，以加强对Google的安全防护。相反，存在更便宜的绑定服务选择，试图用非Play Store APK感染目标，其成功率比加载器低。 对用户来说，最直接的预防措施是永远不要让Play Store应用程序从Play Store以外的地方下载任何东西，特别是如果这些应用程序通常不要求这种许可。始终谨慎对待授予应用程序的权限。同时，开发者应该格外小心，通过多因素认证和一般的警惕性等常见的最佳做法来保护他们的账户安全。最常受影响的应用程序是加密货币追踪器、二维码扫描器、约会和金融应用程序。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7220990076393062967/ 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包，这些软件包导致了短暂拒绝服务（DoS）攻击。 Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示，攻击者利用开源生态系统在搜索引擎上的良好声誉，创建恶意网站并发布带有恶意网站链接的空包，此举可能导致拒绝服务（DoS）攻击，使 NPM 变得极不稳定，甚至偶尔会出现服务不可用的“错误”。 在最近观察到的一波攻击活动中，软件包版本数量达到了 142 万个，显然比 npm 上发布的约 80 万个软件包数量大幅上升。 Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站，并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉，任何新的开源软件包及其描述都会继承这一良好声誉，并在搜索引擎中得到很好的索引，因此毫无戒心的用户更容易看到它们。 值得注意的是，鉴于整个攻击过程都是自动化的，众多虚假软件包同时发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。 Checkmarx 指出，此次攻击活动背后可能有多个威胁攻击者，其最终目的也略有差别，大致可分作为以下三种： 第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统；第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站，一旦受害者在这些平台上购买商品，攻击者就会获得分成利润； 第三类则是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。 最后，Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动，因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性， 为了防止此类自动化攻击活动，建议 npm 在创建用户帐户时采用反机器人技术。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363174.html 封面来源于网络，如有侵权请联系删除  

一份法庭文件显示，美国政府在3月14日以近2.16亿美元的价格出售了9861.17枚比特币（BTC）。出售的比特币是11月逮捕詹姆斯-钟(James Zhong)后扣押的5万枚比特币中的一部分，詹姆斯-钟在政府指控他在2012年操纵暗网市场丝绸之路的交易系统后承认了电信欺诈罪。当时，政府描述其为最大的加密货币扣押行动。 该文件说，政府打算在本日历年内分四批清空剩余的41490个比特币。 在看到美国当局于3月9日将价值超过2亿美元的比特币转移到Coinbase（COIN）后，加密货币交易商受到惊吓。比特币的价格因此而波动，在24小时内涨幅高达9.7%，然后又回到了之前的位置。 然而，现在，比特币交易员仍然没有受到美国政府卖出压力的重新担忧的干扰，加密货币继续在28000美元左右交易。     转自 Freebuf，原文链接：https://www.toutiao.com/article/7216993392683647500/ 封面来源于网络，如有侵权请联系删除