曹县官方背景的黑客组织 BlueNoroff 正在利用影响 macOS 的恶意软件瞄准金融机构。 安全公司 Jamf 的研究人员在一份新报告中表示，一个名为BlueNoroff 的高级持续威胁组织正在针对加密货币交易所、风险投资公司和银行发起出于经济动机的攻击。 美国财政部认为BlueNoroff APT 黑客是 Lazarus 的一个子组织，Lazarus 是研究人员和政府追踪的最臭名昭著的曹县政府黑客。 Jamf 威胁实验室的研究人员将最新的活动与他们之前称为“Rustbucket”的活动进行了结合，涉及可以利用 Mac 设备的恶意软件。 研究人员表示：“大多数恶意软件都非常复杂，而这种恶意软件似乎有点懒惰，功能很少。” “从代码角度来看，该恶意软件与我们所知的其他恶意软件并不直接相似。话虽这么说，因为它很简单，所以没有什么可挑剔的。代码中包含的域以及它能够接收和执行来自该域的命令是主要的危险信号。” 研究人员在发现尚未提交到 VirusTotal（恶意软件存储库）的恶意软件后对此产生了兴趣。日本和美国在 9 月和 10 月开始调查该恶意软件。 他们发现了其他引起他们兴趣的线索，包括与一个似乎与加密货币公司相关的域进行通信的事实。Jamf 威胁实验室表示，BlueNoroff 通常“创建一个看起来属于合法加密公司的域名，以便融入网络活动。” 在本例中，该组织正在与 swissborg[.]blog 域名进行通信，该域名是 5 月31 日注册的加密货币交易所 swissborg.com/blog 的山寨品。 “这里看到的活动与我们在 Jamf 威胁实验室追踪的 Rustbucket 活动中从 BlueNoroff 看到的活动非常一致，在该活动中，攻击者接触到目标，声称有兴趣与他们合作，或者在伪装下为他们提供一些有益的东西。”他们说。 目前尚不清楚黑客是如何获得初始访问权限的，但他们怀疑恶意软件是通过社会工程攻击传播的。然后，它会在攻击的后期使用，并提供有关 macOS 设备等的信息。 Menlo Security 的网络安全专家 Ngoc Bui 指出，该组织此前曾使用冒充招聘人员的网络钓鱼电子邮件，通过后门恶意软件感染目标，这些恶意软件可以窃取数据并远程控制受感染的系统。 “Jamf 威胁实验室发现的新恶意软件菌株意义重大，因为它表明 BlueNoroff 正在继续开发新的复杂恶意软件。Bui 表示，该恶意软件在上传时未被 VirusTotal 检测到，这一事实表明 BlueNoroff 正在采取措施逃避检测。他补充说，这种病毒很危险，因为它被伪装成合法软件。 2019 年，美国财政部对该组织实施了制裁，并表示 BlueNoroff“由曹县政府成立，旨在非法赚取收入，以应对全球制裁力度加大。” 美国财政部表示：“Bluenoroff 代表曹县政权以网络抢劫的形式对外国金融机构进行恶意网络活动，以赚取收入，部分用于其不断发展的核武器和弹道导弹计划。” “网络安全公司早在 2014 年就首次注意到这个组织，当时曹县的网络活动除了获取军事信息、破坏网络稳定或恐吓对手之外，还开始关注经济利益。” 美国财政部表示，到 2018 年，该组织已试图从目标窃取超过 11 亿美元，并对孟加拉国、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾、土耳其、智利和越南的银行进行了攻击。 其中最引人注目的攻击之一包括从孟加拉国中央银行纽约联邦储备银行账户中盗窃 8000 万美元。 俄罗斯安全公司卡巴斯基表示，BlueNoroff 与俄罗斯、波兰、斯洛文尼亚、乌克兰、捷克共和国、中国、印度、美国、香港、新加坡、阿联酋和越南的加密货币公司遭受的多起黑客攻击有关。 该组织被指控在 2021 年从 bZx DeFi 平台窃取了 5500 万美元，东北亚某国黑客组织被指控从全球受害者那里窃取了相当于数十亿美元的资金。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ZVANxN1unmO9YTfzZ4-bAw 封面来源于网络，如有侵权请联系删除

一个名为Cyber Av3ngers的黑客组织在社交媒体上声称，他们入侵了以色列的10个废水处理厂。受影响的城镇包括赫德拉、帕尔玛希姆、索莱克、阿什基隆、海法、霍拉津、克法尔哈鲁夫、塔贝里亚、埃拉特和但以理。该黑客组织有伊朗背景。 目前无法确认这些物体确实受到攻击，管理其中一些设施的IDE技术公司没有回答有关事件细节的问题。然而，黑客发布的视频中有一个软件菜单，显示了IDE技术的徽标。 目前无法确认这些物体确实受到攻击，管理其中一些设施的IDE技术公司没有回答有关事件细节的问题。然而，黑客发布的视频中有一个软件菜单，显示了IDE技术的徽标。   根据该组织的录像和声明，黑客关闭了自动控制台站、传感器和控制的工业系统，使操作员能够手动控制系统。在视频的一个帧中，屏幕上显示了系统酸度的信息，提示您希望“停止清洁”。 黑客还发布了一段视频，展示了通过命令行进行黑客攻击的过程，包括受攻击系统的IP地址。其中一些IP地址属于私人领域，与西门子（Siemens）关联，西门子管理屏幕截图上的软件。 该伊朗背景的黑客组织CyberAv3ngers于10月24日在Telegram上宣布，他们攻陷了以色列内坦亚市的一家污水处理厂。该组织在他们的Telegram频道和X账户上，均发布了部分屏幕截图，显示他们已经获得了工厂控制和监控系统的访问权限。他们还威胁要破坏污水处理厂，除非以色列政府停止支持“占领巴勒斯坦”。10月29日，该组织发布消息称将在接下来的24小时内对以色列关键基础设施发动更厉害的网络攻击。 Cyber Av3ngers此前曾表示，以色列的发电站遭到网络攻击。卡巴斯基实验室的分析显示，有关先前攻击的说法包含来自另一个黑客活动组织Moses Staff的重复使用的图像和数据，该组织与伊朗有联系，旨在通过“窃取和发布敏感数据”来伤害以色列公司。 SecureList指出，还有另一个名为“网络复仇者”的活跃黑客组织，自2020年以来一直在针对以色列的组织，主要是那些负责该国关键基础设施的组织。然而，该组织与Cyber Av3ngers之间没有记录在案的联系。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TIdm1g7AaeJEqA6C-29o4g 封面来源于网络，如有侵权请联系删除

本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候，一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播，该公司限制了70多个城市的基础设施访问，主要是在德国西部的北莱茵-威斯特法伦州。 该公司在一个临时网站上发布的声明中表示，此次袭击使当地政府服务“受到严重限制”，因为事件发生后，其主网站无法访问。 该地区几乎所有的市政厅都受到了黑客攻击的影响。 袭击发生当天，德国城市锡根的行政部门取消了与公民的预约，因为其大部分IT系统都被关闭了。截至周二，政府的大部分在线服务仍然无法使用。Wermelskirchen和Burscheid市政府的网站也在周三关闭。Wermelskirchen的一位女发言人告诉德国媒体：“由于中断，我们无法访问通过Südwestfalen IT运行的所有应用程序。”。这影响了该市的财政、居民、墓地和登记处。  政府在公开讨论此次袭击的影响时表示，尽管在线系统已经关闭，但他们仍在为公民提供面对面的服务。政府的内部和外部沟通，包括电子邮件和电话服务，大多是无效的。德国警方和网络安全机构正在调查此次黑客攻击，并努力恢复城市管理部门的服务。 Burscheid的一位发言人说：“但我们不能告诉我们的客户任何具体的事情，这给人们带来了很大的压力。” 德国网络安全专家表示，攻击的时间特别敏感，因为地方政府通常在月底进行金融交易。专家表示，此次袭击可能会阻碍工资、社会援助和护理基金转账等支付。 德国联邦信息安全办公室（BSI）表示，它知道这起全事件，并正在与受影响的服务提供商联系。然而，由于调查仍在进行中，它无法对进一步的细节发表评论。 参与调查的德国检察官告诉当地媒体，他们目前正在努力确定损失的程度，哪些服务受到影响，以及谁应对袭击负责。他们预计将进行“复杂而漫长的调查”。 转自E安全，原文链接：https://mp.weixin.qq.com/s/GB3s2e4eVwHqVguP6a01Vw 封面来源于网络，如有侵权请联系删除

据彭博社当地时间10月30日报道，今年早些时候，司法部和国防部约632,000名员工的电子邮件地址在一次黑客攻击中被访问，这使得包括航空公司、大学和其他美国机构在内的组织数量在很大程度上受到一系列数据泄露的影响。归咎于一个讲俄语的犯罪集团Clop。 此次事件披露之际，正值华盛顿主场举办第三届年度国际反勒索软件倡议峰会，一个由40个国家组成的联盟将签署一项承诺，拒绝支付网络犯罪组织所要求的赎金。白宫负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)30日在对记者发表讲话时暗示，这一举措是为了应对全球范围内创纪录的勒索软件风险，其中美国是约46%的此类事件的目标。 主要事实 根据彭博社获得的人事管理办公室（OPM）的一份报告，被访问的电子邮件地址、该机构管理的政府雇员调查的链接以及机构内部跟踪代码，黑客通过数据公司Westat使用的名为MOVEit的文件传输程序获得了访问权限，OPM使用该程序来管理员工调查。受影响的国防部员工包括空军、陆军、陆军工程兵团、国防部长办公室和联合参谋部的官员。OPM将这起发生在5月28日和5月29日的黑客事件定性为“重大事件”，尽管该机构认为受损的数据“通常敏感性较低”且非保密。 此前，美国卫生与公众服务部、农业部和总务管理局也受到了黑客攻击的影响。能源部还收到了赎金要求。司法部和国防部都没有立即回应《福布斯》的置评请求。 简要背景 今年早些时候，黑客针对多个政府机构使用的文件传输软件MOVEit的漏洞，发生了大规模数据泄露事件。私营公司和其他政府机构也受到数据泄露的影响，包括壳牌、英国广播公司、英国航空公司、约翰·霍普金斯大学、佐治亚大学和能源部。据Politico报道，大约有十几家美国机构与MOVEit签订了合同。这些违规行为被归咎于俄语勒索软件组织CLoP，该组织还对涉及MOVEit的其他黑客攻击负责。据美联社报道，该组织估计受害者有数百人。网络安全和基础设施安全局局长乔恩·伊斯特利 (Jon Easterly)在6月份表示，这些黑客行为不会“对我们的国家安全或国家网络构成系统性风险”。 据俄勒冈州交通部称，6月份因俄勒冈州交通部数据泄露而暴露个人信息的俄勒冈州居民的估计人数达到350万。这些信息包括社会安全号码、出生日期、实际地址以及驾驶执照上列出的其他信息。 据KonBriefing Research创始人兼董事总经理Bert Kondruss的统计，截止10月31日，MOVEit攻击的已知受害者数量：2371个组织，7080万个人。此次泄露事件再次凸显了保护敏感数据所面临的持续挑战，以及加强网络安全措施以保护组织及其宝贵信息的必要性。 猖狂的Clop勒索 Cl0p是目前最臭名昭著的黑客团伙之一，已成功瞄准知名公司并勒索了数百万美元的赎金。根据Coveware的最新报告，该团伙已从最新的MOVEit攻击中获利75至1亿美元。Coveware首席执行官Bill Siegel指出，只有少数Cl0p受害者通常会屈服于他们的要求。 因此，黑客正在使用不同的勒索策略。Siegel还指出，MOVEit攻击已被证明比GoAnywhere数据盗窃成功得多，后者可能破坏130名受害者，但也没有收到他们想要的赎金。 正如预期的那样，Cl0p勒索软件团伙创建的所有Clearweb勒索网站均已下线，这证明了这种方法的短暂性。安全研究人员强调，Cl0p的最新网站缺乏竞争对手ALPHV勒索软件团伙（又名BlackCat）所使用方法的复杂性，该团伙引入这种方法是为了对受害者施加更大的压力。 KnowBe4的安全意识倡导者Eric Kron告诉Hackread，Cl0p勒索软件组织因其利用MOVEit漏洞的攻击而不断成为头条新闻，并且已成为一个不关心数据加密的非传统团伙或服务中断。这就是为什么在许多情况下数据泄露的受害者仍然不知道，因为没有任何“明显的迹象”。 “虽然该组织承诺删除与政府、城市或警察部门有关的信息，但该组织似乎不太可信。虽然他们可能不会公开泄露这些信息，但其他寻求收集有关美国公民或政府机构情报的国家可能会对此非常感兴趣，如果愿意将信息出售给这些实体，可能会为他们提供收入来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291155 封面来源于网络，如有侵权请联系删除

一群亲乌克兰黑客声称本周入侵了俄罗斯国家银行卡支付系统并获取了其用户数据。 DumpForums 组织和乌克兰网络联盟的活动人士表示，他们破坏了政府运营的国家支付卡系统 (NSPK) 的网站，并称已经获得了对消费者支付网络 Mir（俄语中的“世界”）内部系统的访问权限。Mir 是 Visa 和 Mastercard 等品牌的本土替代品，由 NSPK 运营。 NSPK向俄罗斯媒体证实，其网站确实遭到黑客攻击。入侵者涂改了主页，并留下一条消息，称这个“新”版本的 NSPK 网站是为了交换用户的个人数据而创建的。 不过，该机构否认有任何数据被泄露。NSPK 发言人在向俄罗斯通讯社塔斯社发表评论时表示，该网站是由“第三方承包商”开发和维护的，因此，它不存储任何机密信息，也不与支付基础设施链接。 “不可能通过网站访问任何系统。该公司的服务器和数据中心无法访问互联网。”NSPK 发言人表示。 该机构没有对黑客声称他们还访问了 Mir 内部系统的说法发表评论，但表示这些攻击对金融交易和支付没有影响。 截至发稿时，该机构尚未回应置评请求。截至美国东部时间周二上午，其网站仍处于关闭状态。 为了回应 NSPK 的评论，DumpForums发布了一个文件夹的屏幕截图，据称该文件夹包含 30 GB 的 Mir 数据。 Mir 于 2014 年克里米亚加入俄罗斯后推出，旨在克服因多家俄罗斯银行受到制裁而导致的电子支付潜在中断问题。 由于担心西方制裁，该系统在俄罗斯以外并不受欢迎。只有不到十几个对俄罗斯友好的国家接受 Mir 支付卡，包括白俄罗斯、委内瑞拉和古巴。 随着俄乌冲突爆发，以及国际支付服务撤离俄罗斯，Mir支付在俄罗斯的份额有所增加，目前占比接近50%。 对俄罗斯银行的袭击 俄罗斯的金融机构是乌克兰黑客的热门目标，因为它们的目的是扰乱该国的经济，并使克里姆林宫更难为其在乌克兰的战争提供资金。 10 月初，乌克兰黑客与该国安全部门 SBU 合作，入侵了俄罗斯最大的私人银行 Alfa-Bank 和从数百万客户那里获取数据。 一个亲乌克兰组织还声称对俄罗斯 MTS 银行和俄罗斯最大国有银行 Sberbank 的网络攻击负责。 去年 11 月，乌克兰网络活动分子声称侵入了俄罗斯中央银行，窃取了数千份内部文件，详细介绍了该银行的运营、安全政策以及一些现任和前任员工的个人数据。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JX-r8Siqmd6_mQy4x6gRGA 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局的一位高级官员周三表示，在一系列不断升级的全球冲突中，美国政府机构和私营部门组织应对针对关键基础设施和关键部门的破坏性网络攻击“保持高度警惕”。 CISA 执行助理主任埃里克·戈尔茨坦 (Eric Goldstein) 表示，美国已经面临重大国际危机——俄罗斯乌克兰以及以色列与哈马斯之间的战争——这对政府机构、关键基础设施运营商和私营部门构成了“网络安全方面的巨大挑战”。 戈德斯坦在智库 R Street Institute 主办的一次活动中表示：“俄罗斯网络攻击者的能力仍然很强。” 围绕乌克兰战争的俄罗斯网络活动的未来轨迹存在“巨大的不确定性”。 戈尔茨坦补充道：“我们必须对如何看待俄罗斯未来针对美国及其盟友的网络活动的可能性保持高度警惕。” CISA 主任 Jen Easterly 在 8 月份的一篇博客文章中表示，在2022 年 2 月之前，乌克兰私营部门与国际网络安全合作伙伴进行了合作，这一努力在增强该国的网络弹性方面发挥了重要作用。 去年俄乌冲突爆发后，CISA 的旗舰公私部门倡议——联合网络防御合作组织开始记录有关俄罗斯威胁行为者的信息，这是防止和减少针对乌克兰和美国本土的破坏性网络活动的一部分。 戈尔茨坦表示，JCDC 拥有 150 多个跨领域的组织，最近几周一直围绕以色列和哈马斯之间的战争“进行持续的合作”。 戈尔茨坦表示，CISA 还一直与以色列国家网络管理局的合作伙伴“并肩”合作。从外部来看，这场冲突中的网络安全攻击似乎仅限于寻求关注的黑客行动拒绝服务事件。密切观察人士表示，在冲突最初几天爆发后，这些攻击的速度已经放缓（参见：以色列-哈马斯战争：寻求公众关注的黑客活动分子选边站队）。 戈尔茨坦表示，为了成功防止未来与新出现的国际冲突有关的网络事件，政府需要继续“推动对公私部门网络安全举措的投资”，同时与私营部门合作伙伴共享互惠的有价值信息。 他补充道：“我们能做的越多，以确保我们能够顺畅地共享、共享互惠价值，这将使我们能够领先于威胁并在伤害发生之前降低风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291015 封面来源于网络，如有侵权请联系删除

最新研究表明，据信总部位于哈萨克斯坦的黑客正在针对独立国家联合体的其他成员开展广泛的间谍活动。 思科的 Talos 小组花了数月时间跟踪 YoroTrooper，这是一个于 2022 年 6 月首次出现的专注于间谍活动的黑客组织。研究人员表示，该组织的目标、使用哈萨克斯坦货币以及流利的哈萨克语和俄语是导致他们相信黑客的部分原因。总部设在哈萨克斯坦。 YoroTrooper 似乎采取了防御行动来保护哈萨克斯坦国有电子邮件服务，并且只攻击过哈萨克斯坦政府的反腐败机构。 思科 Talos 威胁研究员 Asheer Malhotra 告诉 Recorded Future News，该组织积极试图掩盖其行动，使攻击看起来像是来自阿塞拜疆，试图“生成虚假标记并误导归因”。 “就他们的作案手法而言，他们的战术和工具并不是很复杂，但是，由于他们的侵略性尝试，过去两年来，YoroTrooper 仍然在独联体国家的目标上取得了巨大的成功。以他们的受害者为目标。此外，尽管 Cisco Talos 在今年早些时候首次披露了 YoroTrooper 的活动细节，但威胁行为者并没有表现出放缓的迹象。”Malhotra 说。 Cisco Talos追踪了涉及阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦、乌兹别克斯坦的机构和官员的攻击，这些攻击使用 VPN 服务使其看起来像是来自阿塞拜疆的黑客攻击。 2023 年 5 月至 2023 年 8 月期间，黑客入侵了多个国有网站和属于政府官员的账户。 大多数攻击都是从网络钓鱼电子邮件开始，并部署定制的恶意软件，使该组织能够窃取数据和凭据。 受到 YoroTrooper 袭击的国家 研究人员发现，黑客在尝试调试工具时使用俄语，同时还访问了许多用哈萨克语编写的网站。六月，黑客开始在他们的代码中使用乌兹别克语，这是哈萨克斯坦广泛使用的另一种语言。 黑客使用加密货币来支付域名和服务器等运营基础设施的费用，同时还在谷歌上检查“哈萨克斯坦坚戈（KZT）、哈萨克斯坦官方货币和比特币（BTC）之间的货币兑换率”。 该组织还对哈萨克斯坦国有电子邮件服务 mail[.]kz 进行安全扫描，并监控该平台是否存在潜在的安全漏洞。虽然大部分活动都是通过阿塞拜疆进行的，但思科 Talos 发现的证据表明，黑客不会说阿塞拜疆语言——他们定期访问翻译网站并检查从阿塞拜疆语到俄语的翻译。 思科 Talos 指出，自2023 年 3 月发布有关 YoroTrooper 的报告（详细介绍了该组织对欧盟医疗机构、世界知识产权组织和几个独联体国家的攻击）以来，他们已经大大扩展了自己的工具和策略。 该组织使用新的定制植入程序，并放弃了之前使用的其他恶意软件菌株。 研究人员表示：“YoroTrooper 针对这些国家的政府实体可能表明运营商是出于哈萨克斯坦国家利益的动机或在哈萨克斯坦政府的指导下工作。” 该组织使用漏洞扫描程序和来自 Shodan 等搜索引擎的开源数据来查找目标基础设施中的漏洞。今年夏天，他们使用这些工具入侵了塔吉克和吉尔吉斯斯坦的三个国有网站，并在其上托管了恶意软件负载，截至 2023 年 9 月，一些恶意软件仍在托管。 妥协的对象包括塔吉克斯坦商会、该国毒品管制局和吉尔吉斯斯坦国有煤炭企业的网站。吉尔吉斯斯坦交通和道路部的一名官员以及乌兹别克斯坦能源部的其他政府工作人员也成为攻击目标。 思科 Talos 还发现该组织根据 3 月份关于黑客活动的报告调整了策略，这些活动使他们能够窃取凭据、浏览器历史记录、系统信息和屏幕截图。 马尔霍特拉表示，虽然独联体国家相互攻击的情况并不常见，但网络安全研究人员发现该地区的网络攻击最近有所增加。 “考虑到独联体国家靠近欧洲、中亚、俄罗斯和中国，独联体国家似乎很自然地发展由网络空间行动驱动的情报能力，以支持其政治、经济和军事进步，”马尔霍特拉解释道。   转自安全客，原文链接：https://www.anquanke.com/post/id/291007 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处：   费城政府表示，黑客入侵城市电子邮件系统至少3个月，这使得黑客能够广泛访问存储在电子邮件账户中的健康信息。 市政府没有回应有多少人受影响，但在周五发布的一份通知中表示，一名黑客在5月26日至7月28日期间访问了一些市政府的电子邮件账户。 该市于5月24日意识到其电子邮件中的可疑活动，8月22日，该市发现一些被入侵的电子邮件账户中有受保护的健康信息，但随后直到10月才通知该市居民。 “市政府正在进行全面审查，受影响的信息类型因人而异。然而，受影响的信息类型可能包括：人口统计信息，如姓名、地址、出生日期、社会安全号码和其他联系信息；医疗信息，如诊断和其他治疗相关信息；以及有限的财务信息，比如索赔信息。”他们解释说。 “得知此事后，我们立即采取措施进一步加强系统和电子邮件的安全。作为我们对信息安全承诺的一部分，我们还在审查现有的政策和程序，实施额外的管理和技术保障措施，并提供额外的安全培训。” 市政府官员向其他监管机构以及美国卫生部报告了这一问题，但该部门尚未将这一事件列入公开的违规事件清单。 该市表示，仍在与一家网络安全公司合作调查这起事件。这是该市继2020年发生两起违规事件后最新的数据泄露事件。之前的其中一起事件涉及该市行为健康和智力残疾服务部承包商的违规行为，导致超过10.8万人的敏感信息泄露。 该市向另外4.9万名居民通报了网络钓鱼攻击，黑客可以访问该市的电子邮件收件箱。 而今年早些时候，《费城问询报》和费城交响乐团都遭遇了网络攻击。     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

至少自 10 月 11 日起，俄罗斯 Winter Vivern 黑客组织就一直在利用 Roundcube Webmail 0day漏洞攻击欧洲政府实体和智库。 Roundcube 开发团队发布了安全更新，修复了ESET 研究人员于 10 月 16 日报告的存储跨站脚本 (XSS) 漏洞 ( CVE-2023-5631 )。 安全补丁是在ESET检测到俄罗斯黑客组织野外使用0day漏洞攻击五天后推出的。根据 ESET 的调查结果，网络间谍组织（也称为 TA473）使用包含精心制作的 SVG 文档的 HTML 电子邮件来远程注入任意 JavaScript 代码。 他们的网络钓鱼邮件冒充 Outlook 团队，试图诱骗潜在受害者打开恶意电子邮件，自动触发利用 Roundcube 电子邮件服务器漏洞的第一阶段有效负载。攻击中投放的最终 JavaScript 有效负载帮助攻击者从受害者的网络邮件服务器窃取电子邮件。 ESET 表示：“通过发送特制的电子邮件消息，攻击者能够在 Roundcube 用户的浏览器窗口上下文中加载任意 JavaScript 代码。除了在网络浏览器中查看消息之外，不需要任何手动干预。” “最终的 JavaScript 负载 [..] 能够列出当前 Roundcube 帐户中的文件夹和电子邮件，并将电子邮件泄露到 C&C 服务器。” Roundcube 网络钓鱼电子邮件示例 (ESET) Winter Vivern黑客组织于 2021 年 4 月首次被发现，因其蓄意针对全球各地的政府实体（包括印度、意大利、立陶宛、乌克兰和梵蒂冈等国家）而引起关注。 SentinelLabs 研究人员表示，该组织的目标与白俄罗斯和俄罗斯政府的利益密切相关。 至少自 2022 年以来，Winter Vivern 一直积极瞄准政府组织拥有的 Zimbra 和 Roundcube 电子邮件服务器。 根据 ESET 遥测数据，这些攻击包括在 2023 年 8 月至 9 月期间利用 Roundcube XSS 漏洞 (CVE-2020-35730)。 值得注意的是，俄罗斯 APT28 军事情报黑客也利用同一漏洞针对属于乌克兰政府的 Roundcube 电子邮件服务器。 俄罗斯网络间谍还在针对北约国家的攻击中利用 Zimbra CVE-2022-27926 XSS 漏洞窃取属于北约官员、政府和军事人员的电子邮件。 ESET 表示：“Winter Vivern 通过利用 Roundcube 中的0day漏洞加强了其行动。此前，它曾利用 Roundcube 和 Zimbra 中的已知漏洞，这些漏洞的概念验证代码已经可以公开获得。” 该组织对欧洲各国政府构成威胁，因为它持续存在，经常进行网络钓鱼活动，而且大量面向互联网的应用程序尽管已知存在漏洞，但并未定期更新。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxMqkdvERrAVSZ3oj7v5eQ 封面来源于网络，如有侵权请联系删除

日本卡西欧 (Casio) 近期披露，有黑客侵入其 ClassPad 教育平台的服务器后，泄露了来自 149 个国家及地区的用户数据。 卡西欧于 10 月 11 日检测到开发环境中的 ClassPad 数据库发生故障。有证据表明，攻击者在一天后（即 10 月 12 日）便访问并获得了数据，包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息。卡西欧方面称，信用卡信息并未存储在受损的数据库中。 截至 10 月 18 日，攻击者获取了属于91921 条日本用户的个人信息记录、35049 条记录属于148个海外国家和地区用户的记录。 卡西欧认为，由于主管部门对系统操作失误以及运营管理不足，造成开发环境中的部分网络安全设置被禁用，进而导致攻击者能获得未经授权的访问。 10月16日，卡西欧向日本个人信息保护委员会报告了这一事件，并正在与执法机构合作，协助其进行违规调查。此外，卡西欧正在与外部网络安全和取证专家合作进行内部调查，以找出事件的根本原因，并针对违规行为制定对策。 今年8月初，一名称为 thrax的攻击者声称在 BreachForums 网络犯罪论坛泄露了超过 120 万条卡西欧用户记录，这些记录据称是从旧版远程桌面服务 (RDS) 服务器中窃取，所有数据均来自2011年7月之前。   转自Freebuf，原文链接：https://www.freebuf.com/news/381495.html 封面来源于网络，如有侵权请联系删除