有消息称：美国最大的产权保险公司富达国民金融（Fidelity National Financial）遭黑客攻击，导致原定交易无法进行。经纪人和购房者被迫匆忙寻找解决方案。 11月21日，富达国民金融向美国证券交易委员会（SEC）提交报告，表示正在阻止访问部分系统。这些系统与下列项目相关：“公司提供的产权相关服务，包括房地产保险服务、第三方资金托管服务；抵押交易服务；向房地产和抵押行业提供的技术。” 富达国民金融总部位于美国佛罗里达州杰克逊维尔，是富达国民产权公司、芝加哥产权公司、联邦土地产权公司、阿拉莫产权公司和纽约国民产权公司的母公司。 该公司表示已展开调查，聘请外部网络安全专家，并通知执法部门。 SEC报告称：“根据我们目前的调查结果，富达国民金融已确定未经授权的第三方访问了公司部分系统并获取了某些凭据。我们正在努力解决这一事件，并尽快安全地恢复正常运营。” 据TechCrunch报道，一名了解这一事件的当事人表示，听说富达国民金融“决定关闭他们的网络、系统，甚至他们的电子邮件系统……目的是清理他们在杰克逊维尔的服务器，防止出现任何问题。”这名人士声称在一家与富达金融服务有业务往来的公司工作。 另一位知情人士表示，他们听闻富达国民金融“已经全面封锁”。他声称在一家使用富达国民金融服务的公司从事IT工作。 富达国民金融尚未回应媒体要求提供额外消息的请求。 计划本周买房的购房者不得不等待 与此同时，计划通过富达国民金融在本周完成购房交易的买家们获悉，用于完成交易的系统直到周日才能恢复正常。 Crypton地产公司老板、旧金山经纪人Kate Fomina表示，她有客户原本计划周三完成交易。她说，“交易资金托管方是芝加哥产权公司。他们给我打电话，告诉我出现了安全漏洞，被迫关闭整个系统，全国范围内都是如此。至少到周日之前，结算系统都将处于停止状态。他们无法发起任何转账，也无法提交材料存档。” Fomina表示，对于已准备完成交易的购房者，“银行已经发放贷款。所以，我的买家正在为一套尚未拥有的房屋支付抵押贷款。” 经过与托管人员沟通，对方向她保证将为她的客户解决问题。Fomina表示，“对方告诉我，如果再等一周还无法完成交易，托管公司将承担我买家必须支付的所有抵押贷款。”为了避免出现这种情况，“他们可能会走线下按老办法处理。我不确定，但是我们必须想出办法。” 好在Fomina的买家们并不打算立即搬入新家。Fomina说，“很幸运，老办法可以起作用。”但是，其他计划在感恩节当周进行交易购房者面临的情况更为棘手。Fomina问道，“那些急着完成同类财产交换（类似房屋置换），或者急需套现买东西的人怎么办呢？交易日期非常关键。”   转自安全内参，原文链接：https://www.secrss.com/articles/61049 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 亲俄黑客组织Killnet本周受到越来越严格的审查，此前一家新闻网站似乎披露了该组织领导人的身份。 他在网上被称为基尔米尔克(Killmilk)，在俄乌战争期间，他因代表一群出于政治动机的黑客而出名。据俄媒体 Gazeta.ru 周二发布的一篇报道，他实际上是一名30岁的俄罗斯公民，名叫尼古拉·塞拉菲莫夫(Nikolai Serafimov)。 根据 Gazeta.ru 从其他黑客活动人士和执法机构的消息来源获得的数据，塞拉菲莫夫已婚，拥有保时捷和宝马汽车，之前曾因分销毒品而被定罪。 截至周三，Killmilk 和 Killnet 都没有对这则新闻报道发表公开评论。 Gazeta.ru 没有解释是什么引发了报道，基尔米尔克一度要求 Gazeta.ru 披露是谁泄露了这些信息，但该新闻网站表示拒绝。据 Gazeta.ru 报道，这名黑客随后终止了通信并删除了聊天记录。 Killnet 声称对针对西方国家医疗机构以及美国和欧洲政府机构网站的DDoS攻击负责。 网络安全公司 Radware 的网络威胁情报主管帕斯卡尔·吉宁斯(Pascal Geenens)表示，新闻报道中描述的此人的形象——“具有说服能力和良好的社会工程技能，能够围绕自己建立一个品牌，攻击能力技术含量较低”——与他对基尔米尔克的看法一致，他说：“基尔米尔克的身份暴露后，他将无法继续经营下去。” 在周二的新闻发布之前，Killnet 的行动最近似乎就处于一个十字路口。研究人员说，在去年发起了几次活动后，该组织在过去几个月的活动有所减少，这可能是内部分裂的信号。 反 Killmilk 联盟 据Gazeta.ru报道，十多名黑客和黑客激进分子公开反对Killnet及其领导人。据研究人员称，尽管把自己定位为一个有影响力的爱国英雄，但基尔米尔克原来是一个普通的黑客，在同行中名声不佳。 研究人员说，基尔米尔克经常把其他黑客组织的行动归功于自己，或者对从未发生过的网络攻击撒谎。据俄罗斯黑客活动人士称，他还欠别人钱，欺骗自己的客户，很少兑现自己的承诺。 起初，这种古怪行为帮助基尔米尔克吸引了俄罗斯的支持者。基尔米尔克的前同事告诉 Gazeta.ru，他是“一个优秀的品牌创造者——他知道如何创造信息产品并销售它们。”然而，一些俄罗斯黑客声称他的行为“对整个俄罗斯黑客主义社区有害”。 “很多人都受够了基尔米尔克。在幕后，相当一部分亲俄组织反对他，”亲俄组织NET-WORKER 的一名黑客活动人士告诉 Gazeta.ru。 很长一段时间以来，俄罗斯黑客都不敢与基尔米尔克对抗，因为他以泄露对手的真实姓名而闻名。例如，他对“Anonymous Russia”组织的头目进行了人肉搜索——一名18岁的白俄罗斯公民，绰号“Raty”，在今年早些时候于白俄罗斯被捕。 研究人员说，如果 Killmilk 的身份被正式暴露，Killnet 可能很快就需要一个新的领导人。在这种情况下，地下黑客组织有时会消失，成员会在其他地方重新出现。 吉宁斯说道:“Killnet 与 Killmilk 的理念和声音有着紧密的联系。“这可能意味着一个时代和最具影响力的亲俄黑客组织的终结。但是，每当出现空白时，这个空白很快就会被另一个人或组织填补。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

根据新西兰网络安全公司Emsisoft的最新报告，今年5月以来，文件传输服务MOVEit遭黑客攻击后波及了约2620家企业用户和7720万人。俄罗斯勒索软件团伙Cl0p于6月6日声称对此次攻击负责。 攻击背景及影响 美国组织受到的冲击最大，受影响组织中有78.1%来自美国。加拿大受影响比例为14%，德国占1.4%，英国占0.8%。Emsisoft的调查结果基于公开披露信息，包括SEC文件、州级泄露通知以及Clop网站的数据。 行业统计结果显示，受影响组织主要集中在教育领域，占比高达40.6%，其次是卫生（19.2%）和金融与专业服务（12.1%）。 这次网络攻击波及范围之广极为罕见，甚至杀毒软件巨头Gen Digital（诺顿和Avast的母公司）也发生大规模数据泄漏，Avast泄漏了约300万个人用户数据。 MOVEit黑客攻击还影响了多家知名企业及政府机构，如Maximus、路易斯安那州机动车管理局、Alogent、科罗拉多州医疗保健政策与融资部、Welltok、美国能源部、壳牌石油、英国航空、缅因州政府、Genworth和俄勒冈州交通部等。 MOVEit的开发商Progress Software公司于5月31日发布了一个高危漏洞补丁（针对CVE-2023-34362），随后在6月9日和6月15日分别发布了第二个（CVE-2023-35036）和第三个补丁（CVE-2023-35708）。 数据泄漏成本创下历史新高 MOVEit事件已成为年度最重大的安全事件，凸显了企业数据安全面临的严峻挑战。 该事件还导致MOVEit平台的所有者Progress Software Corporation公司目前正面临美国证券交易委员会的调查。此外，它还面临消费者权益律师事务所Hagens Berman提起的集体诉讼，许多受影响的组织和个人正在寻求赔偿。 根据最近IBM的报告，全球各地的网络攻击与数据泄露的频率和强度逐年上升，企业保护数据的难度越来越大。2023年数据泄露平均成本达到历史最高的445万美元，比2022年增长了2.3%，每条泄露记录的平均成本为165美元。以此推算，MOVEit事件的成本高达127.8亿美元。 MOVEit事件的另一个启示是，企业不仅要努力保护内部安全，还要关注供应链安全，因为受MOVEit事件影响的多个组织并非MOVEit的直接用户。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/mXR9jsq6YDecgmf-O7-8gQ 封面来源于网络，如有侵权请联系删除

微软表示，朝鲜背景的黑客组织入侵了中国台湾多媒体软件公司讯连科技，并对其一个安装程序进行木马化，以在针对全球潜在受害者的供应链攻击中推送恶意软件。 讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件，该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD，就是迅连科技的产品。 根据 Microsoft 威胁情报，疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。 该木马安装程序托管在讯连科技拥有的合法更新基础设施上，迄今为止已在全球 100 多台设备上检测到，包括日本、台湾、加拿大和美国。 在调查此攻击时观察到的第二阶段有效负载与同一组攻击者之前破坏的基础设施进行交互。 该公司表示：“Diamond Sleet 使用了向 CyberLink Corp. 颁发的合法代码签名证书来签署恶意可执行文件。” “该证书已添加到 Microsoft不允许信任的证书列表中，以保护客户免受未来恶意使用该证书的影响。” 使用合法证书签名的木马 Cyberlink 安装程序 微软将木马软件和相关有效负载跟踪为 LambLoad（恶意软件下载器和加载器）。 LambLoad 的目标系统不受 FireEye、CrowdStrike 或 Tanium 安全软件保护。如果不满足这些条件，恶意可执行文件将继续运行，而不执行捆绑的恶意代码。 但是，如果满足条件，恶意软件将与三个命令与控制 (C2) 服务器之一连接，以使用静态用户代理“Microsoft Internet Explorer”检索隐藏在伪装成 PNG 文件的文件中的第二阶段有效负载。 微软表示：“PNG 文件在假的外部 PNG 标头中包含嵌入的有效负载，该有效负载在内存中被提取、解密和启动。” 这是 Lazarus 黑客组织使用的常见攻击方法，他们以木马化合法加密货币软件来窃取加密资产而闻名。 尽管 Microsoft 尚未检测到 LambLoad 恶意软件漏洞后的键盘操作活动，但 Lazarus 黑客却以以下方式而闻名： 从受损系统中窃取敏感数据 渗透软件构建环境 向下游发展以利用更多受害者 建立对受害者环境的持久访问 在检测到供应链攻击后，Microsoft 通知了 CyberLink，并通知了受攻击影响的微软客户。 微软还向 GitHub 报告了这次攻击，GitHub 根据其可接受的使用政策删除了第二阶段的有效负载。 Lazarus Group 是有朝鲜官方背景的知名黑客组织，至少自 2009 年以来已经运营了十多年。Lazarus 以全球范围内的组织为目标而闻名，迄今为止的行动包括对金融机构、媒体和政府机构的攻击。 他们的活动还涉及针对安全研究人员、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫以及利用虚假工作面试来传播恶意软件。 该组织被认为是许多备受瞩目的网络攻击的幕后黑手，包括 2014 年索尼影业黑客攻击、2017 年WannaCry 勒索软件攻击以及 2022 年有史以来最大规模的加密黑客攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LFOi5SRhuf2cop_3c2KeZQ 封面来源于网络，如有侵权请联系删除

一名以色列黑客因参与大规模鱼叉式网络钓鱼活动而在美国被判处 80 个月监禁。 Aviram Azari（52 岁）因参与针对美国和世界各地公司和个人的大规模鱼叉式网络钓鱼活动而因计算机入侵、电信欺诈和严重身份盗窃而被判处 80 个月监禁。该男子于 2019 年 9 月从国外前往美国时被捕。 阿扎里在以色列的家中精心策划了国际雇佣黑客鱼叉式网络钓鱼活动。据司法部称，这名以色列男子获得了超过 480 万美元的犯罪收益 阿扎里在以色列创立了一家名为 Aviram Hawk 或 Aviram Netz 的“情报公司”。该公司帮助其客户管理“项目”，这些项目被官方描述为情报收集工作，但实际上是专门针对某些受害者群体的黑客活动。 “大约从 2014 年 11 月到 2019 年 9 月，AZARI 开展了大规模的鱼叉式网络钓鱼活动，针对美国和全球各地的个人和公司。” 阅读司法部发布的新闻稿。“AZARI 向不同的黑客组织（包括位于印度的一个特定组织）付费，向各个项目的受害者发送鱼叉式网络钓鱼电子邮件。黑客组织向 AZARI 通报了他们的进展情况，包括向他发送了跟踪他们针对特定受害者的黑客活动的列表。黑客还发送了 AZARI 报告，告知他们何时成功访问受害者账户并窃取信息。” 美国司法部透露，AZARI 的黑客项目之一针对的是参与气候变化倡导的个人和组织。该男子及其同伙从受害者的在线帐户中窃取了文件并将其泄露给媒体，从而发表了与纽约州和马萨诸塞州总检察长对埃克森美孚公司有关气候变化的知识进行调查以及埃克森美孚公司在气候变化方面可能做出的错误陈述有关的文章。它了解气候变化的风险，目标实体还包括对冲基金和记者。 调查人员获得了针对 Azari 目标的 100 次成功攻击的证据，但专家认为，被黑客攻击的实体数量可能高出 100 倍。 该男子还被判处额外三年监管释放，并没收他通过该计划赚取的 484 万美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/291436 封面来源于网络，如有侵权请联系删除

据观察，与俄罗斯有关的网络间谍组织 APT29 在最近的攻击中利用了 WinRAR 中的 CVE-2023-38831 漏洞。 乌克兰国家安全与国防委员会 (NDSC) 报告称，APT29（又名 SVR 组织、  Cozy Bear、  Nobelium、  Midnight Blizzard和 The Dukes）在最近的攻击中一直在利用WinRAR 中的CVE-2023-38831漏洞。 APT29和 APT28 网络间谍组织参与了 民主党全国委员会黑客攻击以及针对2016年美国总统选举 的攻击浪潮 。 据观察，与俄罗斯相关的 APT 组织使用了特制的 ZIP 存档，该存档在后台运行脚本以显示 PDF 诱饵，同时下载 PowerShell 代码以获取并执行有效负载。 APT 组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。 威胁行为者使用了一份诱饵文件（“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中包含可供出售给外交实体的宝马汽车的图像。武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。 “在这次特定攻击的背景下，会执行一个脚本，生成一个以待售宝马汽车为主题的 PDF 文件。同时，在后台，从下一阶段有效负载服务器下载并执行 PowerShell 脚本。” 阅读NDSC 发布的报告。“值得注意的是，攻击者引入了一种与恶意服务器通信的新技术，使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。” 在这个攻击方案中，Ngrok 被用来托管他们的下一代 PowerShell 有效负载并建立隐蔽的通信通道。 威胁行为者使用该工具来混淆与受感染系统的通信并逃避检测。 “这次活动特别值得注意的是新旧技术的结合。APT29继续采用宝马汽车待售的诱惑主题，这种策略在过去就已经出现过。然而，CVE-2023-38831 WinRAR 漏洞的部署是一种新颖的方法，揭示了它们对不断变化的威胁形势的适应性。此外，他们使用 Ngrok 服务建立秘密通信强调了他们保持隐蔽的决心。” NDSC 得出结论，还发布了这些攻击的危害指标 (IoC)。 今年 4 月，谷歌观察到与俄罗斯相关的 FROZENBARENTS  APT（又名 SANDWORM）冒充乌克兰无人机培训学校来运送 Rhadamanthys 信息窃取者。 威胁行为者使用诱饵主题作为加入学校的邀请，该电子邮件包含指向匿名文件共享服务 fex[.]net 的链接。文件共享服务被用来提供良性诱饵 PDF 文档，其中包含无人机操作员培训课程和特制的 ZIP 存档（“Навчальна-програма-Оператори.zip”（培训计划操作员）），该文档利用了缺陷 CVE-2023-38831 。 9 月，CERT-UA 观察到 FROZENLAKE 组织利用 WinRAR 缺陷在针对能源基础设施的攻击中部署恶意软件。 Google TAG 专家还观察到与俄罗斯有关的 ATP28 组织利用该漏洞攻击乌克兰用户。国家资助的黑客利用恶意 PowerShell 脚本 (IRONJAW) 窃取浏览器登录数据和本地状态目录。     转自安全客，原文链接：https://www.anquanke.com/post/id/291429 封面来源于网络，如有侵权请联系删除

LockBit领导层对组织支付的低利率表示担忧，当受害者支付时，附属机构收取的赎金金额被认为太低。 为了应对LockBit组织内部日益增长的挫败感，其领导者彻底改变了与勒索软件受害者谈判的方式。LockBit领导层对组织支付的低利率表示担忧，当受害者支付时，附属机构收取的赎金金额被认为太低。谈判的不一致也是高层之间争论的焦点。LockBit内部认为，经验不足的附属机构无法从受害者那里获得预期的最低付款，并且过于频繁地提供未经批准的折扣。在十月份规则变更生效之前，几乎没有任何成文的规则或谈判指南。附属机构完全自行其是，而不一致的谈判导致拒绝支付赎金的受害者人数增加。这主要是因为该组织经验不足的附属机构提供的折扣与赎金金额相比太大。此外，跟踪该组织谈判的事件响应人员正在记录这些数据并将其用于对付他们。 据称新近达成共识的指南，是为了保证Lockbit及其附属机构的利益。LockBit为附属公司提供了需要遵循的指南，以及有关可以提供的最大折扣以及相对于初始赎金金额的谈判可以低到什么程度的规则。 Lockbit高层认为，当谈判者认为与更有经验的附属公司合作时可以获得更大的折扣时，因为之前的攻击表明他们可以提供这些折扣，这些谈判者就会停止谈判并拒绝付款。他们觉得自己做了一笔糟糕的交易，而犯罪分子最终却没有得到报酬。 LockBit表示，在某些情况下，他们发现附属机构提供高达90%的折扣，只是为了获得赎金，而不顾赎金的多少。这样做的得利影响表现为，一些更有经验的勒索犯罪分子同样在收取赎金，这显得他们提供的折扣不那么诱人，可以说是扰乱了勒索市场。Lockbit是勒索生态中的创新者，他们把赎金收取的权利下放到了附属机构。 根据安全商店Analyst1收集的情报，LockBit在9月份发布了一项调查，为附属公司提供了对潜在规则变更进行投票的机会，并指出了该组织的挫败感。 它为附属公司提供了六种选择： （1）让一切保持原样。附属公司一如既往地制定自己的规则，没有任何限制。 （2）根据公司的年收入确定最低赎金要求，例如赎金比例为年收入的3%，就禁止超过50%的折扣。因此，如果该公司的收入为1亿美元，则最初的赎金请求应从300万美元起步，最终支付不少于150万美元。 （3）不要对所需的最低金额施加任何限制，因为这取决于对受害者造成的损害。但是，最大折扣不应超过50%。例如，如果初始赎金设置为100万美元，则附属机构不能接受任何低于50万美元的付款。 （4）如果您能找到网络保险，则禁止支付低于受害者保险金额的任何款项。 （5）如果您能找到网络保险，则禁止支付低于受害者保险金额50%的款项。 （6）您想到的其他建议。 随后，LockBit确定了两项规则，这些规则将指导从10月1日开始的所有未来谈判。 第一个是赎金金额，以及附属机构应如何根据受害者的年收入比例设定起步金额。 收入不超过1亿美元的 -赎金应在3%到10%之间（编者注：要求赎金的最高金额为300万-1000万美元之间） 收入1-10亿美元之间的-赎金应在0.5%至5%之间（编者注：要求赎金的最高金额为500万-5000万美元之间） 收入超过10亿美元 –赎金应在0.1%至3%之间（编者注：以收入100亿为例，要求赎金的最高金额为1000万-3亿美元之间） LockBit表示，虽然赎金金额最终仍由附属机构自行决定，并且“无论金额多少看起来都是公平的”，但在教科书勒索软件部署场景中应遵循上述指导。 例如，如果附属公司未能销毁受害者的备份，他们可能会调整赎金。 第二条规则涉及附属公司提供的折扣。虽然赎金金额仍然可以由附属机构自行决定，但他们现在提供折扣的许可要少得多，硬性最高限额为50%。 LockBit在与Analyst1分享的发给关联公司的消息中表示：“从2023年10月1日起，在与受攻击公司的沟通过程中，严格禁止给予超过最初请求金额50%的折扣。” “对于那些性格钢铁般的人来说，知道如何确定公司大概率支付的赎金金额并且几乎从不做出大折扣的人，请牢记这条规则，并根据最大允许的大小调整赎金金额折扣。赎金金额仍由您自行决定，金额为您认为公平的金额。” “请严格遵守规则，并尽可能遵守建议。” Analyst1引用了LockBit和The Register之前的对话作为这些新政策正在实施的例子。 当经销商巨头CDW和LockBit之间的谈判于10月初破裂时，Windows勒索软件组织的发言人告诉我们，根据其计算，CDW的年收入为200亿美元，而其支付报价太低了。 LockBit发言人当时表示：“计时器一到，你就可以看到所有信息，谈判就结束了，不再进行。” “我们拒绝了这个荒谬的金额。” 根据LockBit的新赎金指南，估值为200亿美元时，所需的赎金将设定在2000万至60亿美元之间。 LockBit在其泄密博客上发帖称，CDW仅向其提供110万美元作为赎金，以回应其提出的8000万美元赎金 — —这一提议似乎被视为具有冒犯性。 勒索软件组织与其潜在受害者之间持续不断的斗争凸显了密切监控这一不断变化的形势的新发展的必要性。在勒索软件攻击的多个阶段中，对于受害者和攻击者来说，谈判都是至关重要的事件。然而，差异体现在结果上。当谈判失败时，攻击者遭受的后果相对较小，例如损失时间和资源。然而，这些事件的受害者面临着更重大的损失，并面临着巨大的财务和声誉损失。 在谈判中，受害者是唯一的决策者。虽然进入谈判并支付赎金通常被认为是最不利的选择，但在某些情况下，受害者可能会考虑这种选择，以挽救企业免受更严重的损害。公司和参与者都意识到了这种动态。参与者识别他们可以利用的漏洞并战略性地利用它们。 LockBit有着对知名实体进行多次攻击的历史，其内部结构和集团内部谈判规则的最新发展引入了另一层复杂性。了解这种转变对于仔细评估缓解勒索软件攻击（如果发生）的方法至关重要。 “此分析的关键要点是认识到每个LockBit案例本质上都是独一无二的，这主要是由于内部组织结构。最显着的因素之一是，对违规行为本身负责的关联公司也是谈判背后的关联公司。这意味着什么？每次谈判者处理一个新案件时，他们可能会与不同的人打交道。 “人为因素，包括心理细微差别和不同的经验水平，显着影响谈判过程。因此，受影响的实体必须有效地适应和驾驭这些变量，以提高在缓解LockBit攻击的复杂环境中成功解决问题的机会。”     转自网空闲话plus，原文链接：https://mp.weixin.qq.com/s/1JJDJMC6yRo766tAIa1DSg 封面来源于网络，如有侵权请联系删除

据安全公司SentinelOne的调查分析，一个由印度雇佣的黑客组织十多年来一直以美国、中国、缅甸、巴基斯坦、科威特等国家为目标，进行广泛的间谍、监视和破坏行动。 根据分析，该组织名为Appin Software Security（又名 Appin Security Group，以下简称Appin），最初是一家提供攻击性安全培训计划的教育初创公司，但至少从 2009 年起就开展秘密黑客行动。SentinelOne 安全人员汤姆·黑格尔 (Tom Hegel)在近期发布的综合分析中表示：“该组织针对高价值个人、政府组织和其他涉及特定法律纠纷的企业进行了黑客行动。” 该调查结果基于路透社获得的非公开数据，路透社指责 Appin 策划针对政治领导人、国际高管、体育人物的数据盗窃。作为回应，该公司否认了其与雇佣黑客业务的联系。 Appin 被指提供的一个核心服务是名为“MyCommando”（又名 GoldenEye 或 Commando）的工具，该工具允许客户登录查看和下载活动特定数据和状态更新、安全通信，并提供从开源研究到社会工程再到特洛伊木马活动的多种任务选项。 在早期活动中，Appin被指参与了针对中国和巴基斯坦的攻击，2013 年， Appin 还被确定为macOS 间谍软件 KitM 的幕后黑手。此外，SentinelOne 表示还发现了针对印度国内目标的实例，其目的是窃取印度和美国锡克教徒的电子邮件帐户。 黑格尔指出，在一次不相关的活动中，该组织还使用域名 speedaccelator[.]com 作为 FTP 服务器，托管在其恶意网络钓鱼电子邮件中使用的恶意软件，其中一个恶意软件后来被用于ModifiedElephant APT以针对印度国内的目标。 除了利用来自第三方的大型基础设施进行数据泄露、命令与控制 (C2)、网络钓鱼和设置诱饵站点外，据说这个神秘的组织还依赖 Vervata、Vupen 和 Core Security 等私营供应商提供的间谍软件和漏洞利用服务。 在另一个值得注意的策略中，Appin 被发现利用位于美国加利福尼亚州的自由职业者平台 Elance（现名 Upwork），从外部软件开发商那里购买恶意软件，同时还利用内部员工开发定制的黑客工具集。 黑格表示：“研究结果体现了该组织具有非凡的韧性，在代表不同客户成功实施攻击方面有着良好记录。”   转自Freebuf，原文链接：https://www.freebuf.com/news/384405.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 继Sandworm 和 APT28(俗称 Fancy Bear)之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。 APT29 组织以不同的名称被追踪，包括：UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm，并以出售宝马汽车为诱饵瞄准大使馆。 CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作 .rar 和 .zip 文件，这些文件可以在攻击者的后台代码中执行。 自4月以来，该漏洞已被攻击者作为零日漏洞利用，目标是加密货币和股票交易论坛。 在本周的一份报告中，乌克兰国家安全和国防委员会(NDSC)表示，APT29 一直在使用恶意 ZIP 存档，在后台运行脚本来显示 PDF 诱惑，并下载并执行有效载荷的 PowerShell 代码。 恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，目标是欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。 来自 APT29 的宝马汽车广告带有 WinRAR 漏洞 APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官，该活动通过 HTML 走私技术提供 ISO 有效载荷。 乌克兰NDSC表示，在这些攻击中，APT29 将旧的网络钓鱼策略与一种新颖的技术相结合，以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。 在这种策略中，他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务，通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法，攻击者设法隐藏他们的活动并与受损系统通信，而不会有被检测到的风险。 自从网络安全公司 Group-IB 的研究人员报告称，WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后，高级威胁参与者开始将其纳入攻击中。 ESET的安全研究人员发现，今年8月，俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体发起了攻击。 俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体 乌克兰 NDSC 表示，观察到的来自 APT29 的活动之所以突出，是因为它混合了新旧技术，例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。 这份来自乌克兰机构的报告提供了一组入侵指标，包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值，以及域名和电子邮件地址。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： 谷歌的研究人员发现，黑客利用 Zimbra 电子邮件产品的一个漏洞，攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。 谷歌的威胁分析团队在 6 月份首次发现了这个漏洞，编号为 CVE-2023-37580。从 6 月开始，四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration，这是一个许多组织用来托管电子邮件的电子邮件服务器。 该漏洞是一个跨站点脚本(XSS)漏洞，允许黑客向受害者网站注入恶意脚本。 黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序，并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。 谷歌表示，针对希腊政府机构的攻击发生在 6 月 29 日，而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。 在官方补丁发布之前，谷歌观察到有三个威胁组织利用了这个漏洞，其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。 “在官方补丁发布后，我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的，这强调了组织尽快应用修复程序的重要性。” 对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮，黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。 第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为，该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月，该组织被发现利用了一个零日漏洞，影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中，电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。 第三次攻击是针对越南的一个政府组织，黑客试图通过网络钓鱼获取用户凭证。谷歌表示：“在这种情况下，利用 url 指向一个脚本，该脚本显示了一个钓鱼页面，要求用户的 webmail 凭证，并将窃取的凭证发布到一个托管在官方政府域名上的 url 上，攻击者可能会破坏这个域名。” 第四次攻击是针对巴基斯坦的一个政府组织，黑客试图窃取Zimbra认证令牌。 谷歌表示，这些黑客攻击是攻击者如何监控开源存储库的例子，这些存储库发布了漏洞修复程序，但尚未向用户发布。 研究人员补充说，这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后，第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。 他们表示：“邮件服务器中经常出现的跨站攻击漏洞也表明，需要对这些应用程序进行进一步的代码审计，尤其是针对跨站攻击漏洞。” “我们敦促用户和组织迅速应用补丁，并保持软件的最新状态，以获得全面的保护。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene