上周，唐纳德·特朗普的总统竞选团队公开宣布，他们成为伊朗黑客的攻击目标。最初，这则消息似乎表明，这个中东国家特别关注这位在其看来对其政权采取最强硬态度的候选人。 后来，情况变得更加明显，伊朗也将民主党纳入了其网络行动的视线。谷歌网络安全分析师已经证实，针对这两个竞选团队的攻击行动是为伊朗服务的同一群黑客。 谷歌威胁分析小组周三发布了一份关于 APT42 的新报告，报告称该组织试图破坏民主党和共和党的总统竞选活动以及以色列的军事、政府和外交组织。 2024 年 2 月至 7 月下旬期间，APT42 重点攻击以色列和美国 5 月和 6 月，据信为伊朗革命卫队 (IRGC) 服务的 APT42 黑客组织针对了与特朗普和乔·拜登有关的大约十几个人，包括现任和前任政府官员以及与这两个政治竞选活动有关的个人。谷歌称，APT42 继续针对共和党和民主党竞选官员。 “在收集信息方面，他们攻击的是各个方面。”谷歌旗下网络安全公司 Mandiant 的威胁情报主管John Hultquist表示，该公司与谷歌的威胁分析小组密切合作。 Hultquist指出，鉴于 APT42 在 2020 年也曾针对拜登和特朗普的竞选活动，同时针对美国两党竞选机构的网络间谍活动并不令人意外。 他说，APT42 的目标并不一定表明它偏爱某一位候选人，而是因为两位候选人——特朗普和现任副总统卡马拉·哈里斯——对伊朗政府都具有重要意义。“他们对两位候选人都感兴趣，因为他们是规划美国中东政策未来的人。”Hultquist说。 然而，只有一个竞选团队的敏感文件似乎不仅被伊朗黑客成功攻破，还被泄露给媒体。《政治报》、《华盛顿邮报》和《纽约时报》都表示，他们收到了据称从特朗普竞选团队窃取的文件，其中一些文件来自一位名叫“罗伯特”的消息人士。 这些文件是否确实被 APT42 窃取尚待证实。微软上周指出，APT42（其称之为 Mint Sandstorm）于 6 月利用另一位“前高级顾问”被黑客入侵的电子邮件账户，攻击了“总统竞选活动的一名高级官员”。谷歌在其新报告中还指出，APT42“成功获取了一位知名政治顾问的个人 Gmail 账户。” 虽然两家公司均未证实哪些人或哪些群体可能遭伊朗组织成功攻击，但特朗普顾问罗杰·斯通透露，微软和美国联邦调查局先后警告他，他的微软和 Gmail 账户均遭黑客入侵。 谷歌表示，它已经阻止了“大量”试图登录这两个竞选团队官员账户的攻击，并向受影响的个人发出了警告，并与执法部门合作调查这些入侵企图。据《华盛顿邮报》报道，美国联邦调查局于 6 月启动了对网络钓鱼攻击的调查。 Mandiant 公司的 Hultquist 表示， APT42 长期以来一直是中东地区最活跃的伊朗黑客组织之一，或者说是最活跃的。但 Hultquist 指出，该组织过去“仅限于间谍活动”。 攻击者利用其对受害者网络的访问权，在过去的案件中远远超出了间谍活动的范围，发动破坏性网络攻击，或在所谓的“影响行动”中入侵和泄露电子邮件，特朗普竞选活动可能就是如此。 “这提醒我们，任何为间谍活动而获得的访问权都可以用于其他目的。”Hultquist 说。 在其报告中，谷歌列出了 APT42 的典型网络钓鱼操作，包括将受害者引导至虚假的 Google Meet 页面，试图诱骗他们输入用户名和密码，诱骗他们进入 Telegram、WhatsApp 或 Signal 等消息平台上的对话，然后黑客向受害者发送旨在拦截其凭据的网络钓鱼工具包，以及双因素身份验证代码或帐户恢复代码。 APT42 于 2024 年 4 月发起网络钓鱼活动 除了总统竞选活动之外，谷歌表示，APT42 还积极利用网络钓鱼网站攻击以色列组织，这些网站冒充以色列和与以色列有关的组织，例如华盛顿近东政策研究所、布鲁金斯学会、犹太机构和阿拉丁计划。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8BInj1e3uW1vCvOFa9aSQw 封面来源于网络，如有侵权请联系删除

根据安全研究人员的最新调查，俄罗斯国家安全机构正在针对美国、欧洲和俄罗斯的民间社会成员发起越来越复杂的网络钓鱼攻击，在某些情况下，他们会冒充与攻击目标有私人关系的个人。 在多伦多大学公民实验室和Access Now发布了新报告，研究人员表示，与俄罗斯有关的攻击在社会工程策略和技术方面都变得更加复杂。 最近一系列袭击事件的目标包括前美国驻乌克兰大使史蒂芬·皮弗 (Steven Pifer)和流亡的俄罗斯出版商波琳娜·马克霍德 (Polina Machold)。 就皮弗的案例而言，研究人员表示，他之所以成为攻击目标，是因为有人与皮弗进行了一次“高度可信”的交流，其中有人冒充了皮弗认识的另一位前美国大使。 Machold 的案件同样采用了更为复杂的攻击方法。这位出版商于 2021 年夏天被俄罗斯驱逐出境后居住在德国，2023 年 11 月，她之前曾与另一家出版商的一位同事通过电子邮件首次联系了她。他让她查看附件，但没有附件。她回答说附件不见了。 几个月后，他再次联系她，这次使用的是 Proton Mail 的用户名，Proton Mail 是一种免费且安全的电子邮件服务，记者经常使用。她说，当她打开那封电子邮件，发现附件看起来像是 Proton Mail 驱动器时，她开始感到警觉。她打电话给联系人，对方震惊地表示，他没有给她发电子邮件。 “我以前从未见过这样的事情。他们知道我和这个人有联系。尽管我认为自己处于高度警惕状态，但我却一无所知。”Machold说。 研究人员表示，针对 Machold 和 Pifer 的网络钓鱼活动是由一个名为 Coldriver 的攻击者实施的。第二个攻击者名为 Coldwastrel，其攻击模式类似，而且似乎也专注于俄罗斯感兴趣的目标。 Access Now 高级技术法律顾问 Natalia Krapiva 表示：“这项调查显示，流亡的俄罗斯独立媒体和人权组织面临着与针对现任和前任美国官员的同类高级网络钓鱼攻击。但他们保护自己的资源要少得多，而且受到攻击的风险要大得多。” 几乎所有接受研究人员采访的目标人物都出于自身安全考虑选择匿名，研究人员表示，大多数目标人物的共同点是他们“在敏感社区中拥有广泛的人脉”。 观察到的最常见策略是攻击者与目标发起电子邮件交流，伪装成目标认识的人；要求目标查看文档。附加的 PDF 通常声称使用 Proton Drive 等注重隐私的服务进行加密，登录页面甚至可能预先填充目标的电子邮件地址，使其看起来合法。如果目标输入密码和双因素代码，攻击者就可以将信息发回给他们，从而让他们能够访问目标的电子邮件帐户。 “一旦这些攻击者获得凭证，我们认为他们会立即采取行动，访问电子邮件帐户和任何在线存储，如 Google Drive，以获取尽可能多的敏感信息。”公民实验室高级研究员 Rebekah Brown 表示。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bprMEnkE-dZYdLRSmdn7wg 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击，这些攻击针对大学教授、研究人员和其他工作人员，目的是收集情报。 网络安全公司 Resilience表示，在观察到黑客犯下的操作安全 (OPSEC) 错误后，它在 2024 年 7 月下旬发现了这一活动。 Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima，只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点：使用受感染的主机作为临时基础设施，部署经过混淆的 Green Dinosaur Web Shell 版本，然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面，这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户，目的是获取他们的凭证。 接下来，受害者被重定向到另一个网站，该网站指向托管在 Google Drive 上的 PDF 文档，该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示：“此外，在 Kimsuky 的网络钓鱼网站上，还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理，用于窃取访问者的 cookie 和凭据，并显示弹出窗口，告诉用户他们需要再次登录，因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具，该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁，建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络，如有侵权请联系删除

美国国务院周三宣布，将悬赏高达 1000 万美元，征集几名被控入侵工业控制系统 (ICS) 的伊朗公民的个人信息。 通缉名单包括：哈米德·霍马云法尔 (Hamid Homayunfal)、哈米德·礼萨·拉什加里安 (Hamid Reza Lashgarian)、马赫迪·拉什加里安 (Mahdi Lashgarian)、米拉德·曼苏里 (Milad Mansuri)、穆罕默德·巴盖尔·希林卡 (Mohammad Bagher Shirinkar) 和礼萨·穆罕默德·阿明·萨贝里安 (Reza Mohammad Amin Saberian)，他们与伊朗伊斯兰革命卫队 (IRGC)，特别是网络电子指挥部有联系。 据信，这些人是名为 Cyber Av3ngers 的黑客组织的幕后黑手，该组织于 2023 年秋季针对宾夕法尼亚州阿利奎帕市水务局的 Unitronics Vision 可编程逻辑控制器 (PLC) 发起攻击。还针对美国其他水务公司的 ICS发起攻击。 目标 PLC 暴露在互联网上，仅受弱默认密码的保护。 CyberAv3ngers 自称是一个黑客组织，但美国认为这是伊朗政府用来进行恶意网络活动的身份。 此前，美国政府宣布悬赏1000 万美元缉拿“网络复仇者”组织成员。悬赏 1000 万美元，征集有关Alphv/BlackCat 勒索软件运营商及其附属机构以及朝鲜黑客组织 APT45成员的信息。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5XwhSGjDOHLjBn_Mkp8TeQ 封面来源于网络，如有侵权请联系删除

黑客入侵了全球使用的数字教室管理平台 Mobile Guardian，并远程抹去了至少 13,000 名学生的 iPad 和 Chromebook 上的数据。 Mobile Guardian 是“Google for Education”合作伙伴，是针对 K-12 学校的跨平台（Android、Windows、iOS、ChromeOS、macOS）一对一解决方案，提供全套设备管理、家长监控和控制、安全网络过滤、课堂管理和通信等功能。 该平台宣布于 2024 年 8 月 4 日遭遇安全漏洞，一名黑客未经授权访问其平台，影响其北美、欧洲和新加坡实例。 Mobile Guardian 表示，由于此次入侵，一小部分 iOS 和 ChromeOS 设备被远程清除数据，但没有证据表明存在数据访问或泄露。 公告中写道：“此次事件导致一小部分设备从 Mobile Guardian 中取消注册，设备中的内容被远程清除。”并补充道，“没有证据表明犯罪者可以访问用户的数据。” 该服务目前已暂停，因此用户无法登录移动监护平台，学生也只能在其设备上进行受限访问。 该漏洞仍在调查中，但该公司目前就该事件发表的声明称，没有证据表明攻击者获取了用户数据。北美、欧洲和新加坡的实例均受到影响。 受影响设备的确切数量尚不清楚，但 Mobile Guardian 称其只占“一小部分”。受影响的客户之一新加坡教育部表示，26 所学校的 13,000 名学生的设备已被攻击者远程清除。 该事件给新加坡造成了严重混乱，学生无法访问存储在 iPad 和 Chromebook 上的应用程序和信息。 新加坡教育部表示，此次事件发生后，将从所有 iPad 和 Chromebook 中删除“Mobile Guardian”应用程序。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NsbOWU_rwqLtg5FwVM_pCw 封面来源于网络，如有侵权请联系删除

以色列黑客宣布对伊朗持续的互联网中断负责。 该组织以 WeRedEvils 为名开展活动，至少自 2023 年 10 月以来就已存在，这可能是哈马斯袭击以色列的直接后果，从而引发了当前的加沙战争。 “接下来几分钟，我们将攻击伊朗的系统和互联网提供商。”WeRedEvils 昨天在 Telegram 上表示。“猛烈的打击即将到来。” 根据该组织自己的说法，这次攻击是成功的，他们声称已经成功侵入伊朗的计算机系统，窃取数据并导致互联网中断。该组织声称他们已将窃取的信息转交给以色列政府。 作为证据，WeRedEvils 指出，信息和通信技术部网站 ict.gov.ir 目前已瘫痪，伊朗各部委的大多数其他网站也同样瘫痪，并出现“响应时间过长”的错误。一些网站还出现 403 错误。 《The Register》仅找到两个可在美国访问的政府部门页面，一个是该国文化部，另一个是外交部。 目前还不清楚 WeRedEvils 究竟造成了多大的损失，或者它是否应对当前的中断负全部责任。 WeRedEvils 声称，去年 10 月，它曾袭击伊朗电网，导致电网瘫痪两小时。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qzJ9kecAyX8K93tdE7R9lg 封面来源于网络，如有侵权请联系删除

周日，亲乌克兰黑客声称入侵了俄罗斯电视台并播放反战信息，将俄罗斯对乌克兰的袭击与 911恐怖袭击相提并论。 亲乌克兰黑客组织“hdr0”的成员在 Telegram 上表示，俄罗斯多个频道（包括 Channel One Russia、Russia-24 和 Russia-1）均受到黑客攻击。该组织并未透露他们如何实施攻击以及有多少人看到了该消息。 这并不是黑客第一次针对俄罗斯电视台。今年 5 月，黑客将俄罗斯电视台播出的胜利日游行（纪念二战中战胜纳粹德国）替换为反战信息。 周末遭到黑客入侵的广播节目播放了俄罗斯袭击乌克兰城市的镜头，以及对乌克兰总统泽连斯基和其他世界领导人的采访摘录，他们谴责俄罗斯在乌克兰实施暴力行为。 上周，该组织声称入侵了克里米亚的一家俄罗斯电视台，播放了泽连斯基的公开讲话。他们还呼吁当地民众采取行动，以防乌克兰军方控制该地区。 8 月份，位于克里米亚的俄罗斯电视台也遭遇过类似的攻击：黑客播放了泽连斯基的讲话，后面跟着一句话：“克里米亚是乌克兰的土地”。 亲克里姆林宫的黑客也在采取类似的策略。 7 月，乌克兰最大的广播公司之一旗下的两个广播电台遭到黑客攻击，传播泽连斯基住院且病情危急的虚假信息。6 月，黑客攻击了乌克兰流媒体服务 Oll.tv，将乌克兰和威尔士之间的足球比赛转播替换为俄罗斯的宣传内容。2 月，乌克兰国家公共广播公司遭受了分布式拒绝服务攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/B71KHT8PfiDgZocmi3B-0A 封面来源于网络，如有侵权请联系删除

根据乌克兰网络机构最近的一份报告，乌克兰国防企业再次成为黑客的目标，攻击者向他们发送伪装成无人机采购合同的恶意电子邮件。 这些电子邮件包含一个 zip 存档和一个 PDF 文档，其中包含一个恶意链接，该链接在受害者的计算机上安装名为 Glueegg 的恶意软件和一个名为 Dropclue 的加载程序。 攻击链 随后黑客在受感染的设备上下载并安装一个名为Atera的合法程序，该程序用于远程控制。 乌克兰的计算机应急响应小组 CERT-UA 正在追踪该活动背后的组织 UAC-0180。他们没有将其归咎于特定国家，也没有提供有关攻击目标的任何具体细节。 CERT-UA周四表示：“尽管其攻击的地理范围很广，但该组织并没有停止试图未经授权访问乌克兰国防企业员工的计算机。 该机构表示，黑客已经用各种恶意程序感染了设备，包括Acrobait，Rosebloom，Rosethorn，Glueegg和Dropclue，并不断更新他们的工具集。 乌克兰军事和国防企业是黑客的常见目标，通常与俄罗斯有联系。在 6 月的一次活动中，名为 Vermin 的组织使用 Spectr 恶意软件袭击了乌克兰武装部队，以从他们的设备中窃取敏感信息。 在同一时期，研究人员警告说，白俄罗斯黑客Ghostwriter对乌克兰国防部进行了攻击。 早些时候，CERT-UA 还警告使用 DarkCrystal 恶意软件对乌克兰军事人员和国防服务进行网络攻击，这可能允许攻击者远程访问受害者的设备。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rLI0VO1rTbF03eLbTDmQ0g 封面来源于网络，如有侵权请联系删除

一个名为 NullBulge 的自称黑客行动主义组织旨在“保护艺术家的权利并确保他们的作品获得公平的报酬”，该组织声称已入侵迪士尼并窃取该公司 1.1 TiB（1.2 TB）的内部 Slack 数据。这些声明于 2024 年 7 月 12 日发布在臭名昭著的网络犯罪和黑客论坛Breach Forums。 此次数据泄露事件尚未得到证实，据称其中包含该公司开发团队使用的 Slack 通信的完整副本，包括在 Slack 工作区内交换的消息、文件和其他数据。 黑客进一步声称，该转储包含“近 10,000 个频道、所有可能的消息和文件、未发布的项目、原始图像、代码、登录信息、内部 API/网页链接等！” NullBulge 在 Breach Forums 上 (截图：Hackread.com) NullBulge 还利用 X（以前的 Twitter）宣布了此次黑客攻击，并表示：“迪士尼的整个开发 Slack 都被泄露了。1.1 TiB 的文件和聊天消息。我们下载并打包了所有我们能拿到的东西。想看看门后发生了什么吗？快去拿吧。” NullBulge 黑客是谁？ NullBulge 黑客的起源尚不清楚。但是，其官方网站声称该组织旨在保护艺术家的权利并确保他们的作品获得公平的报酬。有传言称，NullBulge 可能与 LockBit 勒索软件团伙有联系，因为他们似乎正在使用 LockBit 泄露的构建器。 NullBulge 在 Twitter 上的推文（截图：Hackread.com） 近年来，迪士尼公司在向艺术家和作家支付公平份额方面面临批评和法律问题。尼尔·盖曼等知名人物强调，迪士尼已停止向一些作家和艺术家支付包括迪士尼旗下作品的小说和图画小说在内的作品版税。这一问题影响了《星球大战》和《异形》等热门系列的多名创作者。 当作家艾伦·迪恩·福斯特公开表示迪士尼收购《星球大战》和《异形》小说的系列特许经营权后，他并没有收到这些小说的版税时，这个问题就成为了人们关注的焦点。 尽管达成了一些备受瞩目的和解，但许多作家和艺术家仍在努力获得应得的报酬。美国科幻与奇幻作家协会 (SFWA) 等组织一直在积极为这些创作者争取权益，并成立了特别工作组向迪士尼施压，要求其履行财务义务。 Hackread.com 已联系迪士尼征求意见。与此同时，在线恶意软件存储库 VX-Underground 在推特上表示，如果证实属实，那么此次黑客攻击可能是信息窃取恶意软件所为。 尽管如此，这起所谓的数据泄露事件只是一系列影响美国公司的事件之一。 2024 年 7 月 12 日，AT&T 宣布黑客窃取了“几乎所有”客户的通话记录和短信日志，影响了超过 1.1 亿美国人。 与此同时，Ticketmaster 数据泄露事件继续给 Live Nation 带来麻烦，黑客泄露了1000 万个与顶级名人演唱会相关的票务条形码。黑客要求支付 800 万美元赎金，以阻止未来再次泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Xa9sLpvrP3-3p8WW6-Awag 封面来源于网络，如有侵权请联系删除

臭名昭著的IntelBroker黑客曾涉嫌入侵大型公司和政府实体，此次他声称入侵了苹果公司并窃取了三种内部工具的源代码。 根据Breach Forums上的一篇帖子，IntelBroker 声称于 2024 年 6 月访问了 Apple 的系统，并获取了以下工具的源代码： AppleConnect-SSO AppleMacro插件 Apple-HWE-Confluence-Advanced 黑客没有提供关于此次入侵事件或窃取代码的具体用途的更多细节。不过，值得一提的是，此次所谓的入侵事件不会对苹果客户或客户信息造成任何影响。 Intel Broker 在 Breach Forums 上发布的帖子截图 虽然关于 AppleMacroPlugin 和 Apple-HWE-Confluence-Advanced 工具的信息并不多，但 AppleConnect-SSO 是 Apple 开发的内部单点登录 (SSO) 和身份验证系统。它允许员工安全地访问 Apple 网络内的各种应用程序。该系统与 Apple 的目录服务数据库集成，有助于安全访问内部资源。 在 iOS 设备上，它包含基于手势的登录选项，可替代传统密码，在保持安全性的同时增强易用性。AppleConnect 通过 iOS 和 macOS 上的应用程序使用，可以涉及各种验证方法，包括两步验证和 YubiKey 等硬件令牌。 IntelBroker 黑客组织的过往记录 就在此次最新指控发布前几个小时，IntelBroker宣布入侵美国知名半导体公司AMD，称窃取了AMD员工和产品信息并将其出售。 IntelBroker 的过往记录令人十分担忧，其先前声称的攻击行动针对范围广泛的实体，其中包括： 欧洲警察组织 亚洲科技（Tech in Asia） 太空之眼（Space-Eyes） 家得宝 Facebook 市场 美国承包商 Acuity Inc. 人力资源巨头 Robert Half 洛杉矶国际机场 汇丰银行和巴克莱银行 虽然该组织的来源和成员尚不清楚，但据美国政府称，IntelBroker 被指控为 T-Mobile 数据泄露事件的幕后黑手。 该黑客组织的动机和相关背景仍不清楚，但上述涉嫌入侵的频率和严重程度凸显了老练的网络犯罪分子所构成的越来越大的威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/tZpqB2oyTE4NVntShcl8iQ 封面来源于网络，如有侵权请联系删除