间谍软件已在该设施的网络中隐藏了 8 年。 英国塞拉菲尔德核设施的IT系统遭到黑客攻击。 《卫报》的一项调查 发现，该工厂的高级员工经常隐瞒有关袭击的信息。目前尚不清楚这些系统何时首次遭到破坏，但第一次违规行为是在 2015 年发现的。在塞拉菲尔德网络中发现了休眠的恶意软件，该恶意软件至今仍可用于间谍活动。 黑客可能已经获得了该设施中最敏感的材料。由于塞拉菲尔德未能及时向监管机构发出警报，丢失的数据和持续存在的系统风险的全部范围仍然未知。 调查还发现该设施长期存在网络安全缺陷。2013年，发现对Sellafield服务器的外部访问，引起了严重关注。据消息人士透露，塞拉菲尔德不符合高网络安全标准，目前正受到更严格的监管审查。 塞拉菲尔德是世界上最危险的核设施之一，占地6平方米。位于坎布里亚郡海岸数千公里处，拥有地球上最大的钚储量，以及武器计划和数十年核能生产产生的大量核废料堆。 该设施由武装警察把守，并存放着发生外国袭击或灾难时的应急计划文件。核监管办公室 (ONR) 证实塞拉菲尔德不符合网络安全标准，但拒绝就数据泄露或掩盖指控发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291692 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。 23andMe 正在通知受影响的客户，并通过要求用户重置密码和设置双重身份验证方法来加强账户安全。 该公司表示，10月初，他们发现数据窃贼已经进入了由从其他网站回收的登录信息保护的账户。这位发言人表示：“没有任何迹象表明我们的系统出现了漏洞或数据安全事件，也没有迹象表明 23andMe 是这些攻击中使用的账户凭证的来源。” 据 23andMe 称，在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 23andMe 公司成立于2006年，总部位于加州山景城，谷歌的总部也在这里。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

近日，一个名为 “AeroBlade “的全新网络间谍黑客组织“浮出水面”。 BlackBerry公司发现该黑客组织以美国航空航天领域的组织为目标，陆续发起了两次攻击：第一次是在2022年9月的一次测试浪潮，第二次是今年7月发起的一次更高级别的攻击。 攻击利用了鱼叉式网络钓鱼和武器化文件实现对企业网络的初始访问，并投放能够列出文件和窃取数据的反向外壳有效载荷。 BlackBerry公司评估后认为，该黑客组织的攻击目标是商业网络间谍活动，旨在收集有价值的信息，可信度为中高。 攻击活动详情 AeroBlade 的首次攻击发生在 2022 年 9 月，它使用带有文档 (docx) 附件的钓鱼电子邮件，利用远程模板注入下载第二阶段的 DOTM 文件。 第二阶段执行恶意宏，在目标系统上创建反向shell，并连接到攻击者的命令和控制（C2）服务器。 向受害者展示的诱饵文件 BlackBerry方面表示，一旦受害者通过手动点击 “启用内容 “引诱信息打开并执行该文件，[redacted].dotm 文件就会谨慎地向系统投放一个新文件并打开它。用户新下载的文件是可读的，这就能够让受害者相信最初通过电子邮件收到的文件是合法的。 AeroBlade的攻击链 反向外壳有效载荷是一个严重混淆的 DLL 文件，它会列出被入侵计算机上的所有目录，以帮助操作员计划下一步的数据盗窃行动。 DLL 文件具有反分析机制，包括沙箱检测、自定义字符串编码、通过死代码和控制流混淆提供反汇编保护，以及通过 API 散列掩盖 Windows 功能滥用。 该有效荷载还通过Windows任务调度程序在系统上建立持久性，添加一个名为“WinUpdate2”的任务，因此在被破坏设备上的立足点在系统重新启动后仍然存在。 早期的DLL有效载荷样本遗漏了2023样本中看到的大多数规避机制，以及列出目录和窃取数据的能力。 这表明黑客在继续改进其工具，以实施更复杂的攻击，而 2022 年的尝试则更侧重于测试入侵和感染链。 在这两次攻击中，最终有效载荷都是连接到相同 C2 IP 地址的反向shell，黑客在网络钓鱼阶段使用了相同的引诱文件。 BlackBerry公司无法确定 AeroBlade 的来源或攻击的确切目的。 但据研究人员推测，其目的是窃取数据进行出售，将其提供给国际航空航天竞争对手，或利用这些信息对受害者进行敲诈勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/385667.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Rhysida 勒索软件组织声称入侵了伦敦爱德华七世国王医院，并将其添加到其Tor 泄露网站的受害者名单中。 爱德华七世国王医院是一家私立医院，位于伦敦市中心马里波恩区的博蒙特街。它是一家领先的急性和专科医疗保健提供商，专注于肌肉骨骼健康、泌尿科、女性健康和消化系统健康。该医院有着悠久的历史，可以追溯到1899年，当时由威尔士亲王(后来的爱德华七世国王)创建，为工人阶级提供高质量的医疗服务。 该组织声称窃取了包括王室在内的大量患者和员工的数据，并公布了被盗文件的图片作为黑客攻击的证据，泄露的图像包括医疗报告、登记表、X光片、医疗处方、医疗报告等等。 “独特的文件呈现在您的眼前! 来自王室的数据! 大量的病人和员工数据。 一次性出售!!” 泄露网站上的公告写道 该勒索软件组织声称窃取了大量“敏感数据”，并以10比特币的价格拍卖。像往常一样，Rhysida 计划将被盗数据出售给一个单一的买家。该团伙将在公告发布后的7天内公布相关数据。 最近，Rhysida勒索软件团伙还将大英图书馆和中国能源工程公司添加到其 Tor 泄露网站的受害者名单中。 Rhysida 勒索软件组织自2023年5月以来一直活跃。根据该团伙的 Tor 泄露网站，至少有 62 家公司是这次行动的受害者，他们袭击了多个行业的组织，包括教育、医疗、制造、信息技术和政府部门。 上周，FBI 和 CISA 发布了一份联合网络安全咨询，对 Rhysida 勒索软件攻击发出警告。该咨询是正在进行的#StopRansomware 工作的一部分，宣传有关与勒索软件组织相关的战术、技术和程序(TTPs)以及妥协指标(ioc)的信息。 有开源报告详细描述了 Vice Society (DEV-0832)活动与观察到的部署 Rhysida 勒索软件的黑客之间的相似之处。这份联合报告写道：“开源报告已经证实了观察到的 Rhysida 组织以勒索软件即服务(RaaS)的方式运作的实例，其中勒索软件工具和基础设施以利润分享模式出租，支付的赎金会在该组织和附属机构之间分配。” Rhysida 黑客利用面向外部的远程服务(例如 VPN、RDP)来获得对目标网络的初始访问并保持持久性。该组织依靠被破坏的凭据对内部 VPN 接入点进行身份验证。根据该报告，黑客利用微软 Netlogon 远程协议中的 Zerologon (CVE-2020-1472)进行网络钓鱼尝试。该组织依靠现有的技术，如本地(内置于操作系统中)网络管理工具来执行恶意操作。     Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：Serene

Bleeping Computer 网站消息，洛杉矶地区法院判处 25 岁的 Amir Hossein Golshan 八年监禁，并勒令其支付 120 万美元赔偿金。据悉，Golshan 罪名涉及 SIM 卡交换、商家欺诈、支持欺诈、账户黑客攻击和加密货币盗窃。 023 年 7 月 19 日，Golshan 承认曾劫持一位知名社交媒体影响者的 Instagram 账户，还供认出在 2019 年 4 月至 2023 年 2 月期间，实施了一系列诈骗活动。 美国司法部在公告中表示，至少从 2019 年 4 月到 2023 年 2 月开始，Golshan 精心策划、实施了多起在线欺诈活动，通过各种在线骗局和未经授权的非法访问，入侵了多个受害者的数字账户，共诈骗数百名受害者。 此外，公告还披露 Golshan 使用的手段包括社交媒体账户接管、Zelle支付欺诈和冒充苹果支持，几年来，Golshan 的诈骗活动总共给数百名受害者造成了约 74 万美元的损失。 Golshan 通过虚拟 VPN 隐藏身份 从披露的案件详情来看，Golshan 进行欺诈活动时多次试图通过使用 VPN（虚拟专用网络）工具和多个账户名来隐藏自己的身份。随着时间推移，Golshan 逐渐“磨练”了自身“技艺”，成功策划多起越来越复杂的网络犯罪。 Golshan 曾通过社会工程学，成功说服了包括 T-Mobile 在内的运营商将合法用户的手机号码转移到他自己的 SIM 卡上，这使得他可以轻松绕过基于短信的双因素身份验证（2FA），从而劫持受害者的社交媒体账户。 以 2021 年 12 月发生的一起备受瞩目的案件中为例，Golshan 从一位被其劫持的好友的账户联系上了一位洛杉矶模特，并通过 SIM 卡交换劫持了她的 Instagram 账户。 接下来，Golshan 滥用了对该账户的访问权限，给模特的许多朋友发信息，要求他们向其控制的 Zelle 和 PayPal 账户汇款。不仅如此，Golshan还以删除模特的社交媒体账户为要挟，敲诈其 2000 美元。 其他案件中，Golshan 通过宣传 Instagram 验证服务，诱骗受害者向其支付 300 至 500 美元不等的费用，以换取账户上的验证徽章。据估计，通过上述骗局，Golshan 从大约 500 名受害者身上“赚取”了 8.2 万美元。 此后，2022 年 8 月，这名“多产”的骗子 Golshan 冒充苹果公司支持人员，在未经授权的情况下访问苹果 iCloud 账户。Golshan 欺骗受害者，让这些人相信他能够加强账户安全，诱骗受害者“分享出”六位数的安全码，以此轻松绕过现有的保护措施。 通过访问受害者的 iCloud 存储，Golshan 轻松窃取了大量的数字资产，其中主要包括价值 31.9 万美元的 NFT 和价值 7 万美元的加密货币。随后，Golshan 在 NFT 市场上以 13 万美元的价格转售了这些资产。 网络安全专家指出，想要抵御 SIM 卡交换攻击，用户需要激活运营商的号码移植安全功能，使用物理安全密钥或验证器应用程序取代短信验证，并尽量减少在网上共享一些敏感信息。 目前，美国联邦通信委员会（FCC）通过了保护消费者免受 SIM 卡交换攻击的新规定，此举可能会使使欺诈性号码转移变得相对困难。   转自Freebuf，原文链接：https://www.freebuf.com/news/385302.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 本月初，全球领先的自行车零部件制造商之一 Shimano 遭受勒索软件攻击，涉及 4.5TB 的敏感公司数据。 据《自行车新闻》报道，攻击者 LockBit 是一个网络犯罪组织，他们使用恶意软件来破坏公司的敏感数据、勒索金钱，以换取不公开发布这些数据。 网络安全公司 Flashpoint 称其为世界上“最活跃”的勒索软件组织，在所有已知的勒索软件攻击中，有27.93%是由该组织发起的。 本月早些时候，LockBit 组织威胁要公布 Shimano 公司的 4.5TB 机密数据，除非他们支付一笔数额不详的赎金。泄露的数据包括机密员工详细信息、财务文件、客户数据库和其他机密公司文件。 黑客将赎金的最后期限定为2023年11月5日，逾期未支付赎金，LockBit 网站上的通知就变为了“所有可用数据(已)公布”。但是没有相应的下载链接来访问这些数据。直到上周，Escape Collective 更新了他们的报告，Shimano 可能正在进行谈判。 但至少部分数据确实已经公布，Escape Collective 报告说，公开的是多个文件夹以及子文件夹，文件包含英文、中文和印尼语，涵盖了 Shimano 渔具和自行车部门不同机密性的广泛信息。目前还不清楚赎金是多少。 很明显，Shimano 公司没有支付赎金，因此泄露了敏感信息。但这并不意味着结束。在 Shimano 收到的勒索信中，黑客指出，“如果你不支付赎金，我们将来会再次攻击你的公司。”     Hackernews 编译，转载请注明出处 消息来源：bicycling.com，译者：Serene

据知道创宇暗网雷达监测，近日勒索软件组织 BlackCat(ALPHV)将台湾中国石化（https://www.cpdc.com.tw）添加到其Tor泄露网站的受害者名单中，从公布的数据来看，本次泄露的数据大小为41.9GB，数据上传时间是2023年11月27日。 BlackCat (ALPHV)勒索网站官网 台湾中国石油化学工业开发股份有限公司（中石化、CPDC）成立于1969年。原系台湾行政院经济部所属国营事业，1991年股票于台湾证券交易所挂牌上市，1994年，正式转为民营企业，为威京集团事业体之一。 台湾中国石化开发总公司及其子公司在台湾和国际上生产和销售石化中间体及相关工程塑料、合成树脂、化学纤维和其他衍生产品。 关于BlackCat (ALPHV)组织 BlackCat 勒索组织（又名AlphaVM、AlphaV 或ALPHV）于2021 年11月中旬首次被 Malwarehuntertam 研究人员披露，是第一个基于 RUST 语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场，是勒索即服务(RaaS) 的运营商之一。 根据目前的分析，BlackCat 采用勒索软件即服务 (RaaS) 商业模式，在已知的网络犯罪论坛中招揽生意，允许合作的黑客组织使用勒索软件并自留 80-90% 的赎金。BlackCat 采取了更激进的方式来对受害者进行勒索，在一个多月的时间里，在他们的泄密网站上已经有十几个受害者的信息被泄露。 迄今为止，该组织的最大受害者都是美国的组织，但 BlackCat 及其合作组织也攻击了欧洲、菲律宾和其他地方的目标。受害者包括以下行业的组织：建筑和工程、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和制药。 BlackCat 在数据泄露站点（暗网）上公布的台湾中国石化部分样例数据截图如下： 黑客公布的部分样例数据截图 从勒索组织发布的截图上来看，此次泄露的数据包含了其内部通讯录、银行账户、收入支出等财务状况和高管交接资料等。     Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

据Cyberexpress报道，GE（通用电气）近日疑遭黑客攻击，包含大量敏感军事机密信息数据被黑客在论坛中出售。 GE是一家美国跨国公司，业务涉及电力、可再生能源和航空航天行业，同时也是美国国防部的重要承包商。 本月早些时候，一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。 在没能出售所谓的访问权限后，该黑客再次发帖称，他们开始出售GE的网络访问权限和被盗数据。 “我之前列出了GE网络的访问权限，但是，没有真正的买家真正回复我或跟进。我现在在这里单独出售整个东西，包括访问权限（SSH、SVN等），”IntelBroker在黑客论坛发帖称： “数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。” 作为泄露的证据，黑客还公布了GE被盗数据的屏幕截图，数据样本包括GE Aviations的一个SQL数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。 在一份声明中，GE发言人表示：“我们注意到不良行为者对GE发生数据泄漏的声明，并正在调查该事件。我们将采取适当措施来帮助保护我们系统的完整性。” 虽然此次泄露事件尚未得到证实，但值得注意的是，IntelBroker是一位“专干大案”，且成功率极高的黑客。 今年3月，IntelBroker攻破了DC Health Link，并声称出售了包含数千人个人信息的被盗数据库。DCHealthLink是华盛顿特区的一个医疗保健市场，许多白宫和众议院工作人员及其家人都使用该市场。 此次泄露事件引起了媒体的广泛报道，并召开了国会听证会，以更多地了解和调查泄露事件是如何发生的。 在听证会上，哥伦比亚特区健康福利交换管理局执行董事米拉·科夫曼(Mila Kofman)解释说，这些数据是通过配置错误的服务器暴露的。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/2Q78pH8u8gLolTFvhJTK0Q 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个被追踪为 Diamond Sleet 的朝鲜政府支持的黑客，正在分发一款由中国台湾多媒体软件开发商 CyberLink 开发的合法应用程序的木马版本，通过供应链攻击来瞄准下游客户。 微软威胁情报团队在周三的一份分析报告中表示：“这个恶意文件是一个合法的 CyberLink 应用程序安装程序，已被修改为包含下载、解密和加载第二阶段有效载荷的恶意代码。” 这家科技巨头表示，病毒文件托管在该公司拥有的更新基础设施上，同时还包括限制执行时间窗口和绕过安全产品检测的检查。 据估计，此次攻击活动影响了日本、中国台湾、加拿大和美国的100多台设备。早在10月20日，就发现了与修改后的 CyberLink 安装文件相关的可疑活动。 与朝鲜的联系源于这样一个事实，即第二级有效载荷与之前被黑客入侵的 C2 服务器建立了连接。 微软进一步表示，他们已经观察到攻击者利用木马化的开源和专有软件来攻击信息技术、国防和媒体部门的组织。 Diamond Sleet与被称为“TEMP.Hermit”和“Labyrinth Chollima”的集群相吻合，这是一个来自朝鲜的伞状组织，也被称为“Lazarus集团”。至少从2013年就开始活跃。 “他们从那时起的行动代表了平壤收集战略情报以造福朝鲜利益的努力，”谷歌旗下的Mandiant上个月指出。“这个黑客的目标是全世界的政府、国防、电信和金融机构。” 有趣的是，微软表示，在发布代号为 LambLoad 的被篡改的安装程序后，它没有在目标环境中检测到任何操作键盘的活动。 武器化的下载和加载器首先检查目标系统中是否存在来自 CrowdStrike、FireEye 和 Tanium 的安全软件，如果不存在，则从伪装成 PNG 文件的远程服务器获取另一个有效载荷。 微软表示：“PNG 文件包含一个嵌入的有效载荷，在一个假的外部PNG标头中进行切断、解密，并在内存中启动。”在执行时，恶意软件进一步尝试联系合法但受损的域，以检索额外的有效载荷。 此前一天，Palo Alto Networks Unit 42团队披露了由朝鲜黑客设计的两项活动，这些活动旨在传播恶意软件，作为虚构工作面试的一部分，并在美国和世界其他地区的组织获得未经授权的就业机会。 上个月，微软还暗示 Diamond Sleet 利用 JetBrains TeamCity的一个关键安全漏洞(CVE-2023-42793)，伺机破坏易受攻击的服务器，并部署一个名为 ForestTiger 的后门。 朝鲜黑客组织(3CX、MagicLine4NX、JumpCloud和CyberLink)发起的软件供应链攻击激增，也促使韩国和英国发布了一份新的咨询报告，警告称此类攻击的复杂性和频率越来越高，敦促各组织采取安全措施，以减少被攻击的可能性。 这些机构表示：“我们观察到，这些行为者利用第三方软件中的零日漏洞，通过供应链进入特定目标或任意组织。这些供应链攻击极大地帮助朝鲜实现创收、间谍活动和窃取先进技术。”     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene