近日，全球网络巨头Palo Alto Networks确认旗下0Day漏洞正在被黑客利用。11月8日，Palo Alto Networks发布了一份安全通告(https://security.paloaltonetworks.com/PAN-SA-2024-0015)，警告客户PAN-OS管理界面中存在一个远程代码执行漏洞，并建议客户确保PAN-OS管理界面访问的安全性。 但随着该漏洞的曝光，Palo Alto Networks在11月15日发现已经有黑客/威胁组织正在利用该漏洞，对用户发起网络攻击，主要目标用户是那些暴露在互联网上防火墙管理界面。 目前还不清楚该漏洞如何暴露，以及受影响的企业范围。该漏洞也还没有分配CVE标识符，CVSS评分9.3分。Palo Alto Networks表示，他们认为Prisma Access和Cloud NGFW产品不受此漏洞影响。 安全措施和建议 目前，Palo Alto Networks正在开发补丁和威胁预防签名，建议客户确保只有来自可信IP地址的访问才能访问防火墙管理界面，而不是从互联网访问。公司指出，大多数防火墙已经遵循了这一Palo Alto Networks和行业的安全最佳实践。 其他受影响的产品：除了上述漏洞，美国网络安全机构CISA还表示，他们知道有三个影响Palo Alto Networks Expedition的漏洞在野外被利用。CISA警告，至少有两个影响Palo Alto Networks Expedition软件的漏洞正在被积极利用，并已将这些漏洞添加到其已知被利用漏洞(KEV)目录中，要求联邦文职行政部门机构在2024年12月5日之前应用必要的更新。 屡屡出现0Day漏洞 值得一提的是，在2024年3月，Palo Alto Networks防火墙产品也曾被曝存在严重安全漏洞，编号 CVE-2024-3400 ，CVSS 评分达10分，具体涉及PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙版本软件中的两个缺陷。 在第一个缺陷中，GlobalProtect 服务在存储会话 ID 格式之前没有对其进行充分验证。Palo Alto Networks 产品安全高级总监 Chandan B. N. 表示，这使得攻击者能够用选择的文件名存储一个空文件。第二个缺陷被认为是系统生成的文件将文件名作为了命令的一部分。 值得注意的是，虽然这两个缺陷本身都不够严重，但当它们组合在一起时，就可能导致未经验证的远程 shell 命令执行。 Palo Alto Network表示，利用该漏洞实施零日攻击的攻击者实施了两阶段攻击，以便在易受影响的设备上执行命令。该活动被命名为Operation MidnightEclipse，涉及发送包含要执行命令的特制请求，然后通过名为 UPSTYLE 的后门运行。 在攻击的第一阶段，攻击者向 GlobalProtect 发送精心制作的 shell 命令而非有效的会话 ID，导致在系统上创建一个空文件，文件名由攻击者命名为嵌入式命令；在第二阶段，定时运行系统作业会在命令中使用攻击者提供的文件名，进而让攻击者提供的命令能以更高的权限执行。利用这种方式，攻击者就能将该漏洞武器化，且不需要在设备上启用遥测功能就能对其进行渗透。       转自Freebuf，原文链接：https://www.freebuf.com/news/415484.html 封面来源于网络，如有侵权请联系删除

众所周知，钓鱼邮件几乎都是以网络为载体进行传播，但在瑞士，网络犯罪分子将这一行为发展到了线下，通过实体信件向受害者传播恶意软件。 据Cyber News消息，有黑客冒充瑞士气象局（联邦气象和气候学办公室），以该部门的抬头发送纸质信件，其中包含一个二维码，要求收件人下载最新的“恶劣天气警报程序”。 为了让受害者尽可能地扫码下载，信中称该信用被要求强制安装，对家庭安全至关重要，因此提示用户使用智能手机扫描二维码，然后按照后续说明下载并安装该应用程序。 瑞士国家网络安全中心 （NCSC） 警告说，网络犯罪分子正在使用这种方法将恶意软件加载到移动设备上。该恶意应用程序试图模仿联邦民防局官方的 Alertswiss 应用程序，该机构使用它来通知、警告和提醒民众。 NCSC透露，如果受害者扫码并安装了程序，就会载入一个名为“Coper”（也称为“Octo2”）恶意软件。Octo2是一个会窃取银行账户凭证的安卓系统木马，在意大利、波兰、摩尔多瓦、匈牙利等国家广泛传播。 除此以外，Octo2还会图访问其他将近400款智能手机应用程序的登录数据，并将其外泄到攻击者控制的服务器上。 但这款“带毒”的冒牌货也可通过肉眼识别出端倪，首先，假冒程序的名称为“AlertSwiss”（S为大写），而不是官方正版的“Alertswiss”（S为小写），此外，二者的Logo也存在些许差异。 瑞士当局已建议用户忽略该信件并将其扔掉。但恶意应用程序可以采取多种形式，伪装成其他应用继续传播。       转自Freebuf，原文链接：https://www.freebuf.com/news/415468.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，朝鲜黑客正使用 Flutter 创建的木马记事本应用程序和扫雷游戏来攻击苹果 macOS 系统，这些应用程序具有合法的苹果开发人员 ID 签名和公证。 这些暂时经过了苹果安全检查的应用涉及窃取加密货币，与朝鲜黑客长期在金融盗窃方面的兴趣一致。根据发现该活动的 Jamf Threat Labs 的说法，该活动看起来更像是一场绕过 macOS 安全的实验，而不是一场成熟且高度针对性的操作。 从 2024 年 11 月开始，Jamf 在 VirusTotal 上发现了多个应用程序，这些应用程序对所有 AV 扫描似乎完全无害，但展示了“第一阶段”功能，连接到与朝鲜行为者相关的服务器。 这些应用程序均使用谷歌的 Flutter 框架为 macOS 构建，该框架使开发人员能够使用以 Dart 编程语言编写的单个代码库为不同的操作系统创建本地编译的应用程序。 Jamf研究人员表示，攻击者在基于 Flutter 的应用程序中嵌入恶意软件并非闻所未闻，但却是第一次看到攻击者使用它来攻击 macOS 设备。 由于嵌入在动态库 （dylib） 中，该库由动态库 （dylib） 在运行时加载，使用这种方法不仅为恶意软件开发者提供了更多功能，而且还使恶意代码更难检测。 Flutter 应用程序布局 在进一步分析其中一款名为 New Updates in Crypto Exchange （2024-08-28）的应用程序时，Jamf 发现 dylib 中的混淆代码支持 AppleScript 执行，使其能够执行从命令和控制 （C2） 服务器发送的脚本。该应用程序打开了一个适用于 macOS 的扫雷游戏，其代码可在 GitHub 上免费获得。 Jamf 发现的 6 个恶意应用程序中有 5 个具有用合法的开发人员 ID 签名，并且恶意软件已通过公证，这意味着这些应用程序被苹果的自动化系统扫描并被认为安全。 经过安全签名、带有木马的扫雷游戏 Jamf 还发现了两款基于 Golang 和 Python 变体的应用，两者都向一个已知的与朝鲜有关联的域 “mbupdate.linkpc[.]net “发出网络请求，并具有脚本执行功能。 目前苹果已经撤销了 Jamf 发现的应用程序签名，因此这些应用如果加载到最新的 macOS 系统上将无法绕过 Gatekeeper 防御。 然而，目前尚不清楚这些应用程序是否曾经用于实际操作，或者仅用于“在野”测试中，以评估绕过安全软件的技术。     转自Freebuf，原文链接：https://www.freebuf.com/news/415171.html 封面来源于网络，如有侵权请联系删除

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

图：ABC新闻演示扫地机摄像头拍摄的效果 据澳大利亚媒体ABC 新闻日前报道，今年早些时候，黑客获取了科沃斯地宝 X2 Omni 扫地机器人在多个美国城市的控制权，利用这些机器人追赶宠物并向主人大喊种族歧视性言论。 媒体采访了多位地宝 X2 用户。这些用户表示，他们的地宝 X2 在今年 5 月份遭到黑客入侵。 明尼苏达州的律师Daniel Swenson是其中之一。他回忆道，有一天他和家人正在看电视，突然从扫地机器人扬声器中传出“像收音机信号不佳时一样断断续续的”噪音。他表示，在他重置密码并重新启动机器人后，这种声音再次出现，且更加清晰。这一次，声音似乎来自一名青少年，内容充满了侮辱性言论。 美国多地城市均发生了类似案例，比如埃尔帕索和洛杉矶的用户。洛杉矶的一位用户报告称，有人通过控制地宝 X2 骚扰他家的一只狗，不仅大喊大叫，还追赶它。 科沃斯公司在一份声明中对媒体表示，经过调查，他们确认了一次“凭证填充攻击”事件，并已屏蔽了相关的 IP 地址。公司还强调，目前“没有证据显示”攻击者获得了用户的用户名和密码。 去年，有研究人员发现了一个漏洞，该漏洞允许攻击者绕过地宝 X2的PIN码验证，从而控制扫地机器人。科沃斯在声明中提到，这个问题已得到解决，并计划在今年 11 月发布一项更新，以“进一步加强安全性”。不过，目前尚不清楚这次更新是否会修复媒体早些时候报道的蓝牙漏洞。 近年来，随着云连接的智能家居设备普及，类似事件频发。部分情况是黑客入侵所致，部分则是凭证泄露，甚至有时是软件问题导致用户可以意外看到其他人的摄像头画面，仿佛是收到了一份“意外的小礼物”。 随着越来越多的智能家居设备需要持续连接互联网才能正常运行，而且设备制造商还没有提供有效安全漏洞报告途径，这类问题似乎变得不可避免。 参考资料：https://www.theverge.com/2024/10/12/24268508/hacked-ecovacs-deebot-x2-racial-slurs-chase-pets     转自安全内参，原文链接：https://www.secrss.com/articles/71201 封面来源于网络，如有侵权请联系删除

图片来源：SOLEES TIME VIA UNSPLASH 10月11日，日本电子产品制造商卡西欧公司证实，先前宣布的网络事件确为一起勒索软件攻击。此次攻击可能暴露了员工、客户、业务合作伙伴和附属公司的信息。 卡西欧在一份更新的声明中称，10 月 5 日的攻击涉及 “受到第三方勒索软件攻击破坏 ”的服务器。   勒索软件攻击导致多个系统无法使用，调查显示黑客已经获得了受影响服务器上的数据。随后，该公司关闭了服务器，并聘请外部安全公司协助应对。 10 月 6 日，卡西欧公司向日本警方通报了这一事件，10 月 7 日还联系了日本个人信息保护委员会。   截至10月11日，卡西欧公司表示，它认为临时员工和合同工的个人信息已经泄露。附属公司员工的个人信息也被泄露，同时被泄露的还有业务合作伙伴、过去曾参加过公司面试的人员以及 “使用公司和部分附属公司提供的服务 ”的部分客户数据。 卡西欧公司没有公开每一组所泄露的具体数据，但表示不包括客户的信用卡信息。 声明还补充说，所有业务合作伙伴以及卡西欧附属公司有关的合同、发票和销售信息也在攻击中泄露。 黑客可能已经访问了内部法律文件以及人力资源规划、审计、销售、技术信息等方面的数据。 卡西欧提醒到：“请注意，您的个人信息有可能被滥用于向您发送陌生的电子邮件，如钓鱼邮件或垃圾邮件。如果您收到任何可疑邮件，请不要打开并立即删除。 ”  该公司强调不要通过社交媒体传播被盗信息，因为这 “可能会增加因本案信息泄露造成的损失，侵犯受影响者的隐私，对他们的生活和业务造成严重影响，并助长犯罪”。 随后，“地下 ”勒索软件团伙宣称是他们发动了这次攻击。黑客称，他们从该公司窃取了 204.9 GB 的数据，并提供了被窃取数据的样本作为证明。 研究人员称，该组织于 2023 年 7 月首次出现，一些专家解释说，它似乎与总部设在俄罗斯的 RomCom 网络犯罪组织有联系。 Fortinet 指出，该组织已经列出了 16 名受害者，其中大部分位于美国和欧洲。微软去年发布了一份报告，概述了 RomCom 的行动，称其： “会伺机开展勒索软件和勒索行动，以及实施有针对性的凭证收集活动，而这一切的目的很可能是为了支持情报行动”。 RomCom 组织还部署了地下勒索软件，它与 2022 年 5 月首次在野外观察到的工业间谍勒索软件密切相关。 已查明的勒索软件攻击影响了电信和金融等行业。 微软补充说：“他们发现了这与 “工业间谍 ”勒索软件的 “大量代码重叠”，他们认为这意味着 “地下 ”是同一行动的重塑。” 消息来源：The Record，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

10月12日，广东省教育厅发布声明： 近日，发现有不法分子入侵我厅短信平台，以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。我厅已第一时间向公安机关报案，并配合开展调查。请广大师生和家长提高警惕，切勿点击短信中的非法链接，避免个人信息泄露或遭受财产损失。 此前，社交媒体上有用户表示，收到一条来自“广东省教育厅”的短信，写着“成人电影”。 文章来源：综合正观新闻、南方都市报 转自安全内参，原文链接：https://www.secrss.com/articles/71121 封面来源于网络，如有侵权请联系删除

据OpenAI本月最新发布的报告《Influence and cyber operations: an update》，伊朗黑客组织CyberAv3ngers利用人工智能模型ChatGPT策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。 该组织与伊斯兰革命卫队（IRGC）有关，利用AI工具进行侦察、编码和漏洞研究，攻击以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。美国国务院已确定六名参与攻击美国水务公司的伊朗黑客，并提供奖励。 CyberAv3ngers利用AI寻找默认密码和漏洞，编写bash和Python脚本，增强攻击能力。这表明网络战正转向利用AI制定全面网络攻击战略，对传统安全措施构成挑战，需采取新的防御措施。 OPENAI的结论认为，AI为防御者提供了强大的能力，以识别和分析可疑行为，缩短了分析步骤的时间。威胁行为者通常在活动中期使用AI模型，如在获取基本工具后和部署最终产品前。尽管威胁行为者不断尝试，但没有证据表明他们能通过AI创造新的恶意软件或建立病毒式受众。 事件缘起 伊朗与政府有关联的黑客迅速成为精通技术的工程师。起初只是协助侦察，但很快就升级为更为险恶的行为。伊朗伊斯兰革命卫队(IRGC)关联组织“CyberAv3ngers”一直在使用ChatGPT等人工智能模型，对工业控制系统(ICS)和可编程逻辑控制器(PLC)发起新一轮网络攻击。OpenAI的最新发现表明，随着这些攻击者不断突破网络战的界限，他们的活动反映出人工智能和民族国家黑客攻击日益融合的现象。 据OpenAI称，CyberAv3ngers使用人工智能工具来协助侦察、编码和漏洞研究。人工智能模型不仅仅是被动的信息来源。相反，该组织积极寻求有关调试脚本和收集已知ICS漏洞情报的指导。OPenAI的最新报告中列出了该组织向Chatgpt提问的类型，大致有如下17种情形。 目标明确：针对关键基础设施 据悉，CyberAv3ngers最近的行动集中在以色列、美国和爱尔兰的高价值目标上，利用开源工具来攻击水系统、电网和制造设施中的弱点。 2023年末，他们破坏了爱尔兰梅奥郡的供水服务，并入侵了宾夕法尼亚州阿利奎帕市供水局。美国国务院还确定了与该威胁组织有关的六名伊朗黑客，他们参与了针对美国水务公司的一系列网络攻击。该部门为任何提供有关这些黑客的信息的人提供了丰厚的奖励。 这些事件表明，威胁组织能够利用默认口令和PLC中的已知漏洞来利用安全性较差的工业网络。 CyberAv3ngers专门破坏关键基础设施，瞄准工业控制系统中的薄弱环节，工业控制系统通常管理水利、能源和制造业的关键业务。他们的行动对国家安全构成直接威胁，利用人工智能洞察力和传统攻击方法相结合。 使用LLM：用AI助力侦察和编写脚本 黑客对大型语言模型(LLM)的依赖反映了网络攻击者越来越倾向于自动化部分攻击生命周期。通过ChatGPT等 AI工具，CyberAv3ngers寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。每个请求都代表着精心策划的努力，以增强他们执行ICS特定攻击的工具包。 OpenAI表示：“虽然之前关于该威胁行为者的公开报道主要集中在他们对ICS和PLC的目标上，但从这些提示中，我们能够识别出他们可能试图利用的其他技术和软件。” 例如，该组织利用人工智能协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。通过利用这些功能，CyberAv3ngers增强了逃避检测的能力，并进一步扩大了针对工业网络的武器库。 AI驱动攻击：有限但危险 虽然CyberAv3ngers利用LLM来协助他们的侦察活动，但他们获取的信息并不具有开创性。他们获取的大部分知识都可以通过搜索引擎或公开的网络安全资源等传统方法找到。在这种情况下，人工智能的作用是渐进式的，帮助他们自动执行繁琐的任务，而不是提供全新的漏洞利用。 尽管如此，他们对人工智能的依赖也凸显了利用机器学习支持国家黑客攻击的潜在危险。即使是有限的增量收益，在针对关键基础设施部署时也会产生重大影响。 AI将为谁所用？ 使用人工智能工具入侵工业控制系统揭示了网络战的下一步，现在网络战似乎正在从信息战转向制定全面网络攻击的战略。像CyberAv3ngers这样的民族国家行为者正在利用人工智能来加快攻击准备，以以前无法想象的效率和规模探测工业系统。这一新兴趋势对传统安全措施提出了挑战，并要求安全专业人员（尤其是能源和水利等行业的安全专业人员）采取新的防御措施来抵御人工智能辅助攻击。 与攻击者主动积极利用AI/LLM相反的是，在工业领域AI的应用尚处于初级阶段。10月8日SANS发布的《2024 ICS/OT网络安全调查报告》显示，关键基础设施安全方面较2019年已取得很大起步，但仍存在重大差距。报告的关键发现中有一条，即有限的人工智能应用：人工智能在很大程度上仍处于实验阶段，由于缺乏用例和安全性/可靠性问题，很少有组织将其应用于ICS/OT。 随着人工智能模型变得越来越复杂，风险也随之增加。现在至关重要的是组织如何预测和缓解这些人工智能驱动的威胁。采取主动措施，例如加强密码、修复众所周知的漏洞以及持续监控 ICS 网络，可以帮助组织领先于攻击者。 在网络攻击可能破坏整个城市的供水或对电网造成严重破坏的时代，风险从未如此之高。安全专业人员需要将人工智能视为防御者的工具和攻击者的武器。 CyberAv3ngers最近的活动证明，人工智能虽然是一种强大的创新工具，但也为试图破坏关键基础设施的恶意行为者打开了新的大门。网络安全社区现在应该尽快关闭这些大门，以免为时已晚。 随着AI能力的全球进步，AI公司将继续与内部团队合作，预测恶意行为者如何使用高级模型，并规划相应的执法步骤，与行业同行和研究社区合作，以保持领先风险并加强集体安全。 参考资源： https://thecyberexpress.com/cyberav3ngers-use-chatgpt-to-plan-ics-attacks/ https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf3 https://www.sans.org/press/announcements/2024-ics-ot-cybersecurity-survey-reveals-significant-progress-while-highlighting-that-major-gaps-remain-in-securing-critical-infrastructure/     转自FreeBuf，原文链接：https://www.freebuf.com/news/412521.html 封面来源于网络，如有侵权请联系删除

图片来源：therecord 互联网档案馆表示，黑客在窃取了其平台3100万用户的数据后，仍在继续攻击。 这家非营利性数字图书馆运营着存档网页的WayBack Machine，在分布式拒绝服务（DDoS）攻击后于周三脱机。 互联网档案馆的创始人Brewster Kahle表示，在抵御了DDoS攻击中所使用的垃圾网络流量后，网站本身遭到了破坏。黑客还窃取了所有注册用户的用户名、电子邮件和加密密码。 Kahle表示，虽然互联网档案馆禁用了漏洞来源，清理了系统并升级了安全性。但当DDoS攻击于周四卷土重来，使得Internet Archive网站和OpenLibrary平台再次下线。 Kahle说：“互联网档案馆正在谨慎行事，优先考虑以牺牲服务可用性为代价来保护数据安全。我们将分享更多我们所知道的信息。” 后来，一群名为SN_BLACKMETA的黑客表示是其发动了攻击。研究人员指出，虽然该组织的大部分帖子都是用俄语写的，工作时间与莫斯科时间一致，但该组织的确针对中东各地的机构进行了强大的DDoS攻击。 该组织的X和Telegram帖子表明他们位于俄罗斯的斯塔拉亚，一再宣称他们正在对巴勒斯坦的反对者发动袭击。 美国东部时间周四下午早些时候，互联网档案馆离线消息的屏幕截图 黑客声称他们针对互联网档案馆，“因为档案馆属于美国，众所周知，这个可怕而虚伪的政府支持恐怖主义国家‘以色列’正在进行的种族灭绝。” 事件发生在周三晚上，隐私专家Troy Hunt表示，黑客联系了他，他们声称从互联网档案馆窃取了用户信息。 HaveIBeenPwnd服务的运营者Hunt，提供了有关被盗信息可能来自何处的更多细节，并表示黑客于9月30日联系了他，但他只能在10月5日查看文件。第二天，他联系了互联网档案馆，告诉他们，他计划在72小时内将被盗信息添加到自己的平台上。 HaveIBeenPowned（HIBP）得让用户知道他们的服务或网站登录信息是否被泄露。Hunt说，他在10月8日再次联系了互联网档案馆，让他们知道他计划在10月9日将信息放入他的平台。 Hunt说：“就在数据加载到HIBP时，它们会被污损和DDoS攻击。最后一点的时机似乎完全是巧合。它也可能涉及多方，当我们谈论违规+污损+DDoS时，这显然不仅仅是一次攻击。” Hunt又补充道，一旦互联网档案馆恢复运行，每个人都应该在网站上更改密码。 他说：“很显然，档案馆是一个非营利组织，做着出色的工作，提供了许多我们所依赖的服务。我希望能尽早看到这一事件被披露，了解他们受到攻击的始末。我认为每个人都应该放松一下。” BleepingComputer证实，泄露数据中的一些电子邮件是合法的。 SN_BLACKMETA今年对中东的一家金融机构发起了强大的DDoS攻击，其Telegram订阅源中充满了，批评阿拉伯联合酋长国政府支持以色列和涉嫌参与当前苏丹内战的信息。 除了阿联酋，该组织还袭击了阿兹雷尔国际机场和沙特国防部。 因为该组织在3月份继续开展活动，加拿大和法国的基础设施组织，以及以色列和特拉维夫证券交易所的电信公司也受到了攻击。2024年5月和6月，他们将目标扩大到微软、雅虎和Orange等科技巨头。     消息来源：therecord，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

图片来源：FreeBuf 近日， 有黑客入侵了Internet Archive 网站并窃取了一个包含3100万条记录的用户认证数据库。 昨天（10月9日）下午 ，在 archive.org 的访问者开始看到黑客创建的 JavaScript 警报后，有关泄露的消息开始流传，称 Internet Archive 已被入侵。 archive.org 网站上显示的 JavaScript 警报中写道：“你有没有觉得互联网档案馆就像是在用棍子运行，随时可能遭受灾难性的安全漏洞？现在已经发生了。看到HIBP上的3100万用户了吗！”这里的“HIBP”指的是由Troy Hunt创建的Have I Been Pwned数据泄露通知服务，威胁分子通常会与之分享窃取的数据以添加到该服务中。 Archive.org上显示的 JavaScript， 警报来源：BleepingComputer Hunt告诉BleepingComputer，威胁分子在九天前分享了 Internet Archive 的认证数据库，这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册会员的认证信息，包括他们的电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt散列密码以及其他内部数据。被盗记录的最新时间戳是2024年9月28日，这可能是数据库被盗的时间。 Hunt表示，数据库中有3100万唯一的电子邮件地址，其中许多订阅了HIBP数据泄露通知服务。这些数据将很快被添加到HIBP中，允许用户输入他们的电子邮件并确认他们的数据是否在此次泄露中被暴露。 在Hunt联系了数据库中列出的用户（包括网络安全研究员Scott Helme）后，确认了数据的真实性。 Helme允许BleepingComputer分享他的暴露记录。Helme确认，数据记录中的bcrypt散列密码与他密码管理器中存储的bcrypt散列密码相匹配。他还确认，数据库记录中的时间戳与他最后一次在密码管理器中更改密码的日期相匹配。 archive.org的密码管理器条目，参考来源：Scott Helme Hunt表示，他在三天前联系了 Internet Archive  并开始了披露过程，称数据将在72小时内加载到服务中，但此后他再也没有收到回复。 目前尚不清楚威胁分子是如何侵入 Internet Archive  的，以及是否有其他数据被盗。 昨天早些时候， Internet Archive  遭受了一次DDoS攻击，BlackMeta黑客组织声称将对此次攻击负责，他们表示还将进行的其他持续攻击。BleepingComputer就此次攻击联系了 Internet Archive ，但暂时没有得到回应。 参考来源：https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/     转自Freebuf，原文链接：https://www.freebuf.com/news/412412.html 封面来源于网络，如有侵权请联系删除