卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。 Lazarus Group利用恶意ISO文件来逃避检测，部署了木马化的VNC软件，以传递如Ranid Downloader、MISTPEN、RollMid和LPEClient等恶意软件。 研究人员还在受感染的主机上发现了CookieTime恶意软件，该恶意代码在LPEClient安装后以SQLExplorer服务激活，最初执行C2命令，但现在主要用于下载有效载荷。 攻击者使用CookieTime下载了多种恶意软件，包括LPEClient、Charamel Loader、ServiceChanger和更新版的CookiePlus。Charamel Loader使用ChaCha20算法解密并加载如CookieTime、CookiePlus和ForestTiger等恶意软件。 攻击者使用ServiceChanger恶意软件停止了一个合法服务，在磁盘上存储恶意文件，并重启服务以通过侧加载加载恶意DLL。Lazarus Group针对ssh-agent服务使用了libcrypto.dll，与Kimsuky APT组织利用现有服务而不是注册新服务的方法不同。在某些情况下，CookieTime也通过DLL侧加载被加载，并且支持多种加载方法和不同的入口点。 “由于CookiePlus充当下载器，它的功能有限，并且只从受感染的主机向C2服务器传输最少的信息。在其与C2的初始通信中，CookiePlus生成了一个32字节的数据数组，其中包括其配置文件中的ID、特定偏移量和计算步骤标志数据。”报告中写道。 研究人员认为CookiePlus可能是MISTPEN的继任者。尽管两者没有代码重叠，但都伪装成Notepad++插件，并使用类似的策略，如利用TBaseInfo.dll和hiber.dll等插件。CookiePlus在2024年6月被编译和使用，看起来更为先进，与2024年初已知的MISTPEN样本相比，支持额外的执行选项。 Lazarus Group APT组织在大部分活动中使用了被破坏的WordPress网络服务器作为C2。这些服务器被MISTPEN、LPEClient、CookiePlus和RollMid恶意软件用作C2。然而，CookieTime只使用了一个基于WordPress的C2。所有已识别的C2托管了分布在不同国家的基于PHP的网络服务。 “在其历史上，Lazarus Group只使用了少量的模块化恶意软件框架，如Mata和Gopuram Loader。引入这种类型的恶意软件对他们来说是一种不寻常的策略。他们确实引入了新的模块化恶意软件，如CookiePlus，这表明该组织正在不断努力改进他们的武器库和感染链，以逃避安全产品的检测。”报告总结道。“对于防御者来说，问题是CookiePlus可以表现得像一个下载器。这使得调查CookiePlus是否只下载了一个小插件或下一个有意义的有效载荷变得困难。从我们的分析来看，它似乎仍在积极开发中，这意味着Lazarus Group未来可能会添加更多插件。”       消息来源：securityaffairs；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周五，美国北加州联邦法官认定NSO集团——这家开发了臭名昭著的Pegasus间谍软件的公司，对其在今年早些时候成功入侵并感染1400名WhatsApp用户设备的行为负有不可推卸的责任。 这一裁决可能会对NSO集团带来巨额的赔偿。据悉，该公司的间谍软件被多个匿名政府客户在全球范围内广泛使用，且多次被曝出滥用行为。 尽管NSO的间谍软件已被发现潜藏于数百名活动家、记者及其他社会公民的手机中，但在此之前，法院从未判定该公司需为其滥用行为承担法律责任。NSO集团一直坚称，其工具仅供国家安全官员和执法人员用于调查情报事务和打击犯罪活动。 Meta旗下的WhatsApp早在2019年便提起了诉讼，指控NSO集团发现了其系统漏洞，并利用该漏洞在用户设备上秘密安装了间谍软件。记者、人权活动家、政治异见者、外交官及高级外国政府官员等，这些常成为Pegasus攻击目标的群体，均不幸成为了WhatsApp的受害者。 WhatsApp在诉讼中指出，NSO集团多次调整漏洞利用方式，以突破WhatsApp在长达两年时间内设置的防御屏障。 北加州联邦法官Phyllis Hamilton在裁决中明确表示，NSO集团的行为违反了联邦计算机欺诈和滥用法（CFAA）以及加利福尼亚州的综合计算机数据访问和欺诈法（CDAFA），并为其所实施的攻击提供了有力支持。此外，法官还判定NSO集团因违反WhatsApp的服务条款而需承担违约责任。 “历经五年的诉讼，我们对今天的裁决深感欣慰。”WhatsApp在声明中表示，“NSO集团将不再能够逃避其对WhatsApp、记者、人权活动家及公民社会所实施的非法攻击的责任。” “随着这一裁决的作出，间谍软件公司应清醒地认识到，他们的非法行为将不再被社会所容忍。” NSO集团的发言人未立即对请求置评的请求作出回应。 间谍软件的受害者及其支持者纷纷对这一裁决表示欢迎。 “这是首次成功地对NSO集团提起诉讼，并判定其因使用Pegasus间谍软件破坏了数百万人的数字安全基础设施而负有责任。”Access Now的高级技术法律顾问Natalia Krapiva表示，“尽管法院仍需确定NSO应支付的赔偿金额，但这一裁决对WhatsApp来说无疑是一次重大胜利，同时也为全球数百名受害者带来了正义，他们的生活因Pegasus和其他间谍软件而遭受了严重破坏。” Krapiva补充说，全球的间谍软件公司都应引起警觉，“无罪时代已经结束，他们将为破坏我们的设备和平台安全以及侵犯人权的行为承担法律责任。” 在裁决中，法官严厉批评了NSO集团，指出其多次未能按照法院命令提供完整的Pegasus源代码。法官在命令中强调，NSO提交的源代码仅限于以色列公民在以色列境内查看，并指出NSO未能以可访问的方式提供完整源代码是其决定支持WhatsApp请求制裁的主要原因之一。 法官进一步指出，NSO集团利用了一个名为“WhatsApp安装服务器”（WIS）的工具，使客户能够发送“加密”文件，并通过“安装向量”对目标实施监视。法官表示，NSO集团似乎“完全承认WIS通过WhatsApp服务器发送消息，导致Pegasus被安装到目标用户的设备上，并且WIS随后能够通过WhatsApp服务器获取受保护的信息，并将其传回WIS。” 在此案中出庭作证的NSO高级执行人员在宣誓证词中承认了他们开发了针对WhatsApp黑客攻击中使用的漏洞利用方式。最近公开的法院文件还显示，WhatsApp的安全团队多次成功阻止了Pegasus的入侵，但NSO集团仍继续研发新型恶意软件以突破其防御系统。 这场备受瞩目的诉讼为我们提供了一个难得的机会，得以深入了解这家神秘间谍软件制造商的内部运作。公司高管在证词中承认，与过去的声明相反，NSO集团实际上完全控制了从目标设备提取数据以及将间谍软件植入目标设备的过程。 “NSO的客户角色微不足道，”WhatsApp的一份文件表示，引用了一位高级高管的证词，“NSO通过其Pegasus的设计控制了数据检索和交付过程的每一个方面。” 这家间谍软件制造商曾试图阻止证词公开，但法官驳回了其请求，并命令上个月解封了这些文件。 案件中的证据还显示，即使在WhatsApp起诉NSO集团涉嫌违反联邦反黑客法之后，NSO集团仍继续开发新的恶意软件，通过WhatsApp账户感染受害者。 根据法院档案，关于赔偿金额的辩论将于三月展开。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日前，一名俄罗斯和以色列双重国籍男子在美国被起诉，涉嫌自2019年或更早开始，至2024年2月至少间歇性地参与开发已停运的LockBit勒索病毒即服务（RaaS）平台。 51岁的Rostislav Panev于今年8月在以色列被捕，当前正等待引渡，美国司法部（DoJ）在一份声明中表示。根据他加密货币钱包的资金转移记录，Panev在2022年6月至2024年2月期间赚取了约23万美元。 美国检察官Philip R. Sellinger表示：“Rostislav Panev多年致力于构建并维护数字武器，支持其LockBit同谋者进行全球破坏，造成数十亿美元的损失。” LockBit是全球最活跃的勒索病毒团伙之一，其基础设施在2024年2月被国际执法行动“Cronos”查封。该团伙因攻击全球至少120个国家的2500多个实体而声名狼藉，其中美国受害者多达1800个。 LockBit的攻击目标涵盖个人、小型企业、跨国公司、医院、学校、非营利组织、关键基础设施、政府和执法机构等多个领域。该RaaS平台估计为该团伙带来了至少5亿美元的非法收入。 法庭文件显示，Panev被捕后，调查人员分析了他的计算机，发现他拥有一个位于暗网的在线存储库管理员凭证，该存储库包含多个版本的LockBit构建器源代码，供附属成员用于创建定制版本的勒索病毒。 此外，调查人员还发现了LockBit控制面板的访问凭证和名为StealBit的工具，后者允许附属成员在加密操作前窃取受害主机的敏感数据。 除了编写和维护LockBit恶意代码外，Panev还被指控为该网络犯罪团伙提供技术支持，并与主要管理员Dmitry Yuryevich Khoroshev（网络别名LockBitSupp）通过直接消息交流，讨论构建器和控制面板的开发工作。 美国司法部表示：“在8月被以色列当局逮捕后的审讯中，Panev承认曾为LockBit团伙进行编码、开发和咨询工作，并因此定期收到加密货币支付。” “Panev承认，他为LockBit开发了禁用杀毒软件的代码；将恶意软件部署到多个连接受害者网络的计算机上；并将LockBit勒索信息打印到受害网络上的所有打印机。” 此次逮捕后，已有七名LockBit成员——Mikhail Vasiliev、Ruslan Astamirov、Artur Sungatov、Ivan Gennadievich Kondratiev、Mikhail Pavlovich Matveev——在美国被起诉。 尽管遭遇这些打击，LockBit的运营者似乎计划东山再起，预计2025年2月发布LockBit 4.0版本。但在持续的执法打击和起诉压力下，勒索团伙能否成功复出仍未可知。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据区块链研究公司Chainalysis的报告，2024年，超过22亿美元的加密货币被盗自加密平台。 该公司发现，近五年来这些平台的盗窃金额超过了10亿美元，2024年增长了21%以上，达到了22亿美元，事件数目从2023年的282起增至2024年的303起。 研究人员指出，仅在2024年1月至7月之间，加密平台的损失就达到了15亿美元——这一速度使得行业预计2024年的盗窃金额将达到30亿美元。然而，随着2024年5月日本平台DMM Bitcoin遭遇3.05亿美元的重大损失，以及2024年7月印度WazirX平台近2.35亿美元的被盗事件，年中以后，攻击的数量和规模大幅下降。 这两起攻击对现实世界产生了深远的影响。DMM Bitcoin两周前宣布，黑客攻击迫使其关闭网站并将所有加密资产出售给日本金融巨头SBI Group。Chainalysis追踪了被盗的DMM资金，发现其通过多个不同平台进行洗钱，最终在臭名昭著的柬埔寨金融平台Huione Guarantee上兑现——该平台是中国有组织犯罪和网络诈骗的中心。 11月，印度当局逮捕了一名来自西孟加拉邦的男子，指控他参与盗取WazirX平台的2.35亿美元。 Chainalysis表示，与朝鲜政府相关的黑客组织主导了大部分来自加密平台的盗窃行为，2024年，这些黑客通过47起事件窃取了13.4亿美元。这一数字较2023年的6605万美元（20起攻击事件）大幅增加。 根据Chainalysis，朝鲜黑客已因其加密货币盗窃行为而臭名昭著——朝鲜利用这些资金规避国际制裁，并资助其弹道导弹项目。 “遗憾的是，朝鲜的加密攻击似乎变得更加频繁，”研究人员表示，“尤其是5000万到1亿美元之间的攻击，以及超过1亿美元的攻击在2024年出现得比2023年更为频繁，表明朝鲜在进行大规模攻击时变得更加熟练和迅速。这与过去两年形成鲜明对比，过去两年中，朝鲜的攻击每次带来的利润通常低于5000万美元。” 虽然根据被盗金额，多个史上最大规模的黑客攻击已被归因于朝鲜黑客，但该国也在逐渐转向盗取来自小型平台的小额资金。Chainalysis表示，朝鲜攻击事件的密度在“尤其是约1万美元”的范围内有了增长。   朝鲜加密黑客的技能继续令安全专家困惑。上周，加密平台Radiant Capital发布了关于9月一起事件的事后分析，其中超过5000万美元被盗。 这些黑客涉嫌与朝鲜的侦察总局（RGB）有关，采用创新的手段破坏了Radiant Capital工程师使用的设备。 根据联合国调查人员的报告，朝鲜政府在2017年至2023年间，通过攻击加密货币平台获得了30亿美元的资金。   消息来源：The Record, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

卡巴斯基研究人员将多起针对性攻击与一个名为“The Mask”的网络间谍组织联系起来。该 APT 组织于 2019 年和 2022 年针对拉丁美洲的一个组织发起攻击。 威胁组织访问了 MDaemon 电子邮件服务器并使用其 WorldClient 网络邮件组件在受感染的组织内保持持久性。 WorldClient 组件的身份验证面板 卡巴斯基发布的分析报告称：“攻击者使用的持久性方法基于 WorldClient，允许加载处理从客户端到电子邮件服务器的自定义 HTTP 请求的扩展程序。” “这些扩展程序可以通过 C:\MDaemon\WorldClient\WorldClient.ini 文件进行配置” “The Mask”APT组织（又名“Careto” [西班牙语，意为“丑陋的脸”或“面具”]）是一个备受瞩目的受国家支持的黑客组织，其目标一直是政府机构、外交机构、大使馆、外交办公室和能源公司。 卡巴斯基于 2014 年首次发现该 APT 组织，但专家认为该网络间谍活动已持续了五年多。当时，卡巴斯基称这是他们迄今为止见过的最复杂的 APT 行动。 Mask APT 自 2007 年起就已活跃，它展示了使用复杂植入物的能力，通常通过0day漏洞进行传播。 专家们尚未确定该 APT 组织的来源，但他们还注意到该组织讲西班牙语，并且针对全球 30 多个国家。 在最近的攻击中，The Mask 使用恶意扩展进行侦察、文件系统交互和有效载荷执行。 2024 年初，攻击者利用 hmpalert.sys 驱动程序和 Google Updater 部署了一个名为 FakeHMP 的新植入程序，可实现文件检索、键盘记录、屏幕截图和其他有效载荷。他们还部署了麦克风录音机和文件窃取程序。 在调查 2022 年的攻击时，研究人员注意到受害组织在 2019 年也遭受过使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署了 Careto2，然后通过 COM 劫持保持持久性。该框架从虚拟文件系统加载插件，插件名称被哈希化为 DJB2 值。 “距离我们上次看到 Careto 网络攻击已经过去了 10 年，但该攻击者仍然像以前一样强大。这是因为 Careto 能够发明非凡的感染技术，例如通过 MDaemon 电子邮件服务器持久化或通过 HitmanPro Alert 驱动程序植入加载，以及开发复杂的多组件恶意软件。” 报告总结道。“虽然我们无法估计社区需要多长时间才能发现该攻击者的下一次攻击，但我们相信他们的下一次活动将与之前的一样复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7C4Xm3xCiGziXGXwr4SUGg 封面来源于网络，如有侵权请联系删除

一个网络间谍组织被指控对南欧大型 B2B IT 服务提供商发动攻击，这是代号为“Digital Eye（数字眼行动）”的行动的一部分。 网络安全公司 SentinelOne、SentinelLabs 和 Tinexta Cyber在一份联合报告中表示，入侵行为发生在 2024 年 6 月下旬至 7 月中旬，并补充说这些活动在进入数据泄露阶段之前就被发现并消除了。 安全研究人员亚历山大·米伦科斯基 (Aleksandar Milenkoski) 和路易吉·马蒂雷 (Luigi Martire)表示：“这些入侵可能使对手建立战略立足点并危及下游实体。” “威胁组织滥用 Visual Studio Code 和 Microsoft Azure 基础设施进行 C2 [命令和控制] 攻击，试图通过使恶意活动看起来合法来逃避检测。” 目前尚不清楚哪个黑客组织是此次攻击的幕后黑手，该组织与多个已知的黑客组织之间存在广泛的共享工具和基础设施，使得情况更加复杂。 “Digital Eye（数字眼行动）”的核心是将 Microsoft Visual Studio Code远程隧道武器化用于 C2，这是一项合法功能，可实现对端点的远程访问，使攻击者能够执行任意命令和操纵文件。 黑客使用此类公共云基础设施，部分原因在于，活动就可以融入网络防御者看到的典型流量中。此外，此类活动使用合法的可执行文件，不会被应用程序控制和防火墙规则阻止。 研究人员观察到的攻击链涉及使用SQL 注入作为初始访问载体来破坏面向互联网的应用程序和数据库服务器。代码注入是通过名为SQLmap的合法渗透测试工具完成的，该工具可自动检测和利用 SQL 注入漏洞。 成功攻击后，会部署一个基于 PHP 的 Web Shell（称为 PHPsert），使攻击者能够站稳脚跟并建立持久的远程访问。后续步骤包括侦察、凭证收集以及使用远程桌面协议 (RDP) 和传递哈希技术横向移动到网络中的其他系统。 研究人员表示：“对于传递哈希攻击，他们使用了自定义修改版的 Mimikatz。”该工具“利用被破解的 NTLM 密码哈希，无需输入用户的实际密码，即可在用户的安全上下文中执行进程。” 大量源代码重叠表明，定制工具与疑似网络间谍活动（如Soft Cell “软细胞行动”and Operation Tainted Love“爱情污点行动”）中观察到的工具来自同一来源。这些自定义 Mimikatz 修改版还包括共享代码签名证书和使用独特的自定义错误消息或混淆技术，统称为 mimCN。 研究人员指出：“mimCN 样本的长期演变和版本控制，以及留给单独操作团队的说明等显著特征，表明有共享供应商的主动维护和配置。” 另外值得注意的是依赖 SSH 和 Visual Studio Code 远程隧道进行远程命令执行，攻击者使用 GitHub 帐户进行身份验证并连接到隧道，以便通过基于浏览器的 Visual Studio Code 版本（“vscode[.]dev”）访问受感染的端点。 目前尚不清楚威胁组织是否使用新近自注册或已经被入侵的 GitHub 帐户来验证隧道身份。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HR3r6oajc1ZinB2fDuA1ww 封面来源于网络，如有侵权请联系删除

据新报告称，疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。 乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185，攻击者发送了网络钓鱼电子邮件，伪装成上周在基辅举行的合法国防会议的邀请。 该组织也称为 UNC4221，自 2022 年以来一直活跃，主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证，主要针对乌克兰军事人员。 据 MIL.CERT-UA 称，除了入侵账户之外，攻击者还选择性地发动网络攻击，以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。 乌克兰尚未将该组织归咎于某个特定国家，但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。 该组织使用知名工具来感染受害者的设备，包括 MeshAgent 和 UltraVNC（一种用于远程管理计算机系统的开源软件）。 8 月初，被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。 根据网络安全公司 MalwareBytes 的分析，MeshAgent 可以通过多种方式入侵系统，最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。 乌克兰军方和国防企业是黑客的常见目标，通常与俄罗斯有联系。7 月初，被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。 在 6 月份的一次活动中，一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队，以窃取其设备中的敏感信息。 此前，CERT-UA 还警告称，乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击，这种恶意软件可能允许攻击者远程访问受害者的设备。 技术报告：https://cert.gov.ua/article/6281632     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ELFo_NAc7u8IJvOlJgVSLg 封面来源于网络，如有侵权请联系删除

Radiant Capital 表示，朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。 在 Mandiant 网络安全专家的协助下，对该事件进行了调查，并最终确定了攻击原因，他们表示，此次攻击是由朝鲜黑客组织 Citrine Sleet（又名“UNC4736”和“AppleJeus”）发起的。 Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。 该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性，并在社区驱动的系统下运行，使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。 2024 年 10 月 16 日，Radiant宣布其遭受入侵，事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。 黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。 此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。 矛头指向朝鲜黑客组织 在 Mandiant 的协助下对此次攻击进行内部调查后，Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。 攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。 该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，它在受感染的设备上建立了后门。 攻击中使用的诱饵 PDF 文件，来源：Radiant Radiant 表示，此次攻击设计精良，执行完美，绕过了所有现有的安全措施。 Radiant 解释说：“这种欺骗行为进行得如此天衣无缝，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP，攻击者仍然能够入侵多个开发者设备。” “前端界面显示良性交易数据，而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见。” Mandiant 高度确信，此次攻击是由 UNC4736 发起的，该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。 鉴于其安全措施被成功绕过，Radiant强调需要更强大的设备级解决方案来增强交易安全性。 至于被盗资金，该平台表示正在与美国执法部门和zeroShadow合作，追回尽可能多的资金。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig 封面来源于网络，如有侵权请联系删除  

上周黑客声称入侵了德勤英国分公司。德勤否认数据泄露，称与德勤网络之外的单个客户系统有关，德勤系统没有受到影响。 12月4日，勒索软件组织Brain Cipher宣称已入侵全球四大会计师事务所之一的德勤英国公司（Deloitte UK），并窃取了超过1TB的敏感数据，威胁要在本周早些时候公布其窃取的数据。 尽管有这些指控，德勤的一位发言人告诉媒体Infosecurity，其调查显示这些指控与德勤网络之外的单个客户的系统有关。“德勤系统没有受到影响，”发言人说。 Brain Cipher称给该公司10天的时间至12月15日，以回应威胁。 在其声明中，勒索软件团伙表示，“大公司并不总是能很好地完成工作。”帖子还表示，它将揭示德勤如何“没有遵守信息安全的‘基本点’”。 根据报告，Brain Cipher从事多管齐下的敲诈行为，托管了一个基于TOR的数据泄露网站。该威胁行为者的载荷基于LockBit 3.0。 2024年6月，Brain Cipher声称入侵印尼临时国家数据中心（PDNS），并破坏了该国的服务。团伙最初要求PDNS支付800万美元的赎金，但后来免费发布了解密器。 为什么伪造网络攻击索赔 尽管德勤已经与这次攻击划清界限，但这并不意味着处于勒索软件索赔目标组织不受影响。 “不影响目标组织系统并不意味着没有影响。”KnowBe4的首席安全意识倡导者Javvad Malik告诉Infosecurity。“仅仅暗示数据泄露就可能损害声誉，影响股价，或引发昂贵且不必要的反应。因此，即使是空洞的威胁，也和在拥挤的剧院里喊‘着火’一样具有同样的分量。” 德勤是一家私有公司，只有合伙人才能拥有公司的股权。关于为什么此类组织可能会捏造声明，Secureworks Counter Threat Unit威胁情报总监Rafe Pilling表示，网络犯罪分子这样做的原因有很多。 “众所周知，犯罪分子和国家支持的威胁行为者都会获取数据——可能来自知名品牌的客户或供应商——然后将其宣传为该大品牌的泄露，而不是分享数据的真正来源。”他说。 “这让他们有了更高的知名度，看起来更像是一个威胁。这种策略可能特别吸引那些希望在竞争激烈的犯罪环境中树立声誉的小型网络犯罪集团。” Malik对此表示赞同，并补充说：“这可能是为了提高犯罪团伙的声誉，试图获得恶名，灌输恐惧，甚至可能引诱受害者采取不明智的行动，比如为他们不需要的解密密钥付费。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除

Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织，该组织一直在破坏关键基础设施环境并篡改系统控制。 Z-Pentest 组织成立仅两个月，但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击，其中包括最近未经证实的事件，威胁组织声称破坏了美国油井系统。 Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”（也称为“俄罗斯重生网络军”）的活动，该组织除了声称今年还至少八次入侵了美国水利系统。 这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由，其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。 这两个俄罗斯组织都喜欢制造戏剧效果。例如，俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后，其成员篡改操作控制的屏幕录像（以下为德克萨斯州视频截图）。 德克萨斯州斯坦顿供水系统遭黑客攻击 今年 1 月，人民网络军发动攻击，导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出，成为头条新闻。 即使在通常不安全的关键基础设施领域中，供水和污水处理系统也被认为特别脆弱。 Z-Pentest 可能是新出现的威胁组织，10 月份才首次亮相，但在这个塞尔维亚威胁组织运作的两个月内，它已经声称至少 10 次破坏，并且在每次事件中都发布了成员篡改系统设置的视频。 根据 Cyble 的报告，在过去一周内，Z-Pentest 的活动不断升级，包括“破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统”。 一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图，显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。 目前还不清楚该石油设施位于何处，但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。 黑客能够对关键基础设施造成多大的破坏？ 虽然黑客似乎能够访问敏感环境，但 Cyble 指出，目前尚不清楚他们能造成多大的破坏。研究人员表示，可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能，但威胁组织可以访问此类环境这一事实仍然令人担忧”。 Cyble 还指出，近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出，“在发生更大规模的入侵和攻击之前，暗网上就有能源网络访问凭证出售，这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。” Cyble 表示，“应该认真对待 Z-Pentest，因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。” 研究人员还针对运营技术和关键基础设施环境提出了安全建议，指出它们通常无法承受停机，并且通常拥有无法修补的报废设备。 技术报告：https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O1b9dZPahwn4ivsZz7ug9A 封面来源于网络，如有侵权请联系删除