研究人员 发现了 巴勒斯坦军事组织哈马斯与历史悠久的阿拉伯语黑客组织之一之间可能存在合作的迹象。根据研究公司 Recorded Future 发布的一份报告，哈马斯可能已转向加沙以外的运营商和“第三方”，以保持与以色列战争期间运行的军事部门卡萨姆 (al-Qassam) 相关的新闻网站。 哈马斯对以色列发动首次重大袭击几天后，哈马斯成员和支持者使用的 Telegram 频道宣布推出一款与 Al-Qassam 相关的应用程序。该应用程序的发布是为了传播哈马斯的信息。 在加沙保持网站或应用程序运行很困难 – 以色列的空袭损坏了互联网基础设施并导致停电。该地区还经常受到出于政治动机的黑客的攻击，他们试图破坏其重要服务和网站。 哈马斯应该通过与那些能够帮助维持其运行的人共享其基础设施来解决这个问题。在以色列遭受重大攻击后，卡萨姆站点的运营商将其在不同的基础设施提供商之间转移。 通过分析该基础设施，研究人员发现了可疑的 Al-Qassam 网站重定向以及与该网站域和大约 90 个其他域相关的相同 Google Analytics 代码。 第一组域名使用了与黑客组织TAG-63类似的注册方法，也称为AridViper和APT-C-23。它是一个国家支持的网络间谍组织，以中东地区讲阿拉伯语的人为目标而闻名。据信该组织代表哈马斯行事。 第二组域名可能与伊朗有关。与伊朗相关的网页之一试图冒充世界反酷刑组织 (OMCT)。研究人员无法确认该网站是否被黑客用于网络钓鱼或社交工程。 伊朗与哈马斯保持着密切联系，伊朗的圣城军是一支专门从事非常规战争和军事情报的部队，是唯一经过验证的伊朗实体，以对哈马斯和其他巴勒斯坦威胁组织提供网络支持而闻名。 研究人员表示，尽管没有太多证据表明双方之间存在合作，但这份报告提供了有关这些团体如何互相帮助的见解。   转自安全客，原文链接：https://www.anquanke.com/post/id/290856 封面来源于网络，如有侵权请联系删除

黑客利用人工智能冒充非洲联盟委员会主席穆萨-法基（Moussa Faki）与多位欧洲领导人通话。 法基的发言人 Ebba Kalondo 在 X（前 Twitter）上发文称，网络不法分子假冒法基与一些欧洲国家首都城市领导人进行了深度伪造视频通话。 据肯尼亚新闻媒体《东非人》（The EastAfrican）报道，卡隆多还证实，疑似网络犯罪分子与多位欧洲领导人进行了通话。 该报道称，黑客在通话过程中使用了深度伪造的视频篡改技术来冒充主席。同时，非洲联盟（AU）在一份声明中说，有人使用伪造的电子邮件地址要求与外国领导人通话。 非盟表示 “对这些事件感到遗憾”，并重申其官方电子邮件地址以 Name@africa-union.org 开头，任何其他电子邮件都不是合法的非盟电子邮件地址。 非盟还表示，它只会通过驻埃塞俄比亚首都亚的斯亚贝巴（非盟总部所在地）的派驻使馆，使用被称为普通照会的公函要求与外国领导人通话。 非盟没有透露哪些欧洲国家政府受到了网络钓鱼的影响，也没有透露与假冒的法基通话的领导人姓名。 据《东非日报》（The EastAfrican）报道，冒名者的意图也不明确，但他们可能是想窃取数字身份以获取机密信息。 这并不是欧洲官员第一次成为 Deepfake 视频通话的目标。去年，包括柏林在内的几个欧洲大城市的市长都中了假冒基辅市长维塔利-克里琴科（Vitali Klitschko）的虚假视频电话的圈套。 在一年前的另一起案件中，几位欧洲议员说，他们上当受骗，与假冒的列昂尼德-沃尔科夫（Leonid Volkov）进行了视频通话，后者是被监禁的俄罗斯反对派领导人阿列克谢-纳瓦尔尼（Alexey Navalny）的助手。 Deepfake 视频诈骗和宣传活动在社交媒体上也层出不穷，上周，英国反对党领袖基尔-斯塔默（Keir Starmer）向工作人员骂脏话的 Deepfake 视频在英国疯传。 网络安全专家说，深度伪造可能很快就会构成最大的网络安全威胁，而人工智能促成的网络攻击可能在短短五年内就会成为常态。   转自Freebuf，原文链接：https://www.freebuf.com/news/381328.html 封面来源于网络，如有侵权请联系删除

在过去的一周里，堪萨斯州的司法系统勒索软件攻击而陷入困境。对州法院日常运作至关重要的多个系统受到了影响，包括堪萨斯州法院用于律师提交案件文件的电子归档系统、电子支付系统（包括信用卡交易和电子支票），以及地区和上诉法院用于案件处理的案件管理系统。堪萨斯州最高法院已经转向使用纸质记录来支持工作。 针对这种情况，该州最高法院发布了一项行政命令，确认上诉法院和大多数地区法院的书记官办公室已关闭。尽管问题仍在继续，但法院仍在运作。然而，办事员目前无法接受电子申报或付款，所有提交都是以纸质或传真形式提交的。纸质文件也可提供专人递送或邮寄服务。堪萨斯州最高法院周四表示：“由于法院因电子钓鱼而无法进入，根据适用的规则和法规，某些申请的截止日期可能会延长。” 法院将接受纸质文件和传真文件。如果需要付款，则不能接受传真文件。法院也不能接受电子付款，无论是通过信用卡、电子支票还是其他电子方式。 目前正在调查事件发生时发生了什么，它是如何发生的，以及攻击者获得的访问级别。最高法院决定暂停以电子方式提交文件，以便专家有时间分析事件。州长办公室没有回答为解决这个问题提供了哪些资源，但最近宣布了300万美元的赠款。从联邦政府获得的资金用于更新州法院使用的数字系统。 堪萨斯州司法部门因上周的事件中断了用户对以下在线系统的访问： 堪萨斯州法院电子归档，接受电子归档文件。 堪萨斯州保护令门户网站，接受电子存档文件。 堪萨斯地区法院公共访问门户网站，允许搜索地区法院案件信息。 上诉案件查询系统，允许搜索上诉法院的案件信息。 堪萨斯州律师注册，允许通过姓名或编号搜索律师。 堪萨斯州在线婚姻许可证申请。个人仍然可以申请，但申请不会通过电子归档系统发送到地区法院进行处理。 在司法行政办公室运作的中央支付中心将无法代表地区法院处理付款。 堪萨斯州电子法院案件管理系统，地区法院使用该系统处理案件。 司法行政办公室正在与多名专家合作调查这起安全事件，分析违规行为的性质、原因和程度。只有在调查完成后，才能提供受影响系统何时恢复在线的时间表。首席大法官Marla Luckert表示：“网站上的其他信息将指导法院用户在我们的信息系统离线时进行操作，我们继续为用户提供服务，但在我们的系统恢复之前，我们将使用不同的方法。” 上周一，ALPHV勒索软件团伙声称两周前发生了一起袭击事件，影响了佛罗里达州西北部的第一司法巡回州法院。佛罗里达州法院当局表示，所有设施继续运营，没有中断，尚未确认ALPHV网络犯罪行动提出的勒索软件攻击主张。 转自E安全，原文链接：https://mp.weixin.qq.com/s/-VhOHibHK8H16ktkaku7AA 封面来源于网络，如有侵权请联系删除

台湾网络设备制造商 D-Link 证实了一起数据泄露事件，该事件与从其网络中窃取的信息有关，并于本月早些时候在 BreachForums 上出售。 攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码，以及数百万个包含客户和员工个人信息的条目，其中包括该公司首席执行官的详细信息。 据称，被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了 45 条被盗记录的样本，时间戳在 2012 年至 2013 年之间，这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。 “我攻破了台湾D-Link的内部网络，我拥有300万行客户信息，以及从系统中提取的D-View源代码，”攻击者说。 “这确实包括台湾许多政府官员以及公司首席执行官和员工的信息。” 自 10 月 1 日起，这些数据就可以在黑客论坛上购买，威胁行为者索要 500 美元来购买被盗的客户信息和所谓的 D-View 源代码。 与攻击者声称窃取数百万用户数据的说法相反，D-Link 表示，受感染的系统包含大约 700 条记录，其中包含至少 7 年的账户信息。 “然而，根据调查，它只包含大约 700 条过时且零散的记录，这些记录至少已经闲置了七年，”D-Link表示。 “这些记录源自于 2015 年到期的产品注册系统。此外，大部分数据由低敏感度和半公开信息组成。” D-Link 还怀疑黑客故意篡改最近的登录时间戳，以制造最近数据被盗的假象。此外，该公司表示，大多数现有客户不太可能受到此事件的影响。   转自安全客，原文链接：https://www.anquanke.com/post/id/290829 封面来源于网络，如有侵权请联系删除

2023年5月至9月期间，被追踪为“Sandworm”的俄罗斯国家支持的黑客组织在乌克兰入侵了11家电信服务提供商。这是基于乌克兰计算机应急小组（CERT-UA）的一份新报告，该报告引用了“公共资源”和从一些被破坏的供应商那里检索到的信息。 该机构表示，俄罗斯黑客“干扰”了该国11家电信公司的通信系统，导致服务中断和潜在的数据泄露。 Sandworm是一个非常活跃的间谍威胁组织，与俄罗斯武装部队有联系。它在整个2023年都将注意力集中在乌克兰，攻击中使用了网络钓鱼诱饵、安卓恶意软件和数据擦除器。 瞄准电信公司 攻击开始于Sandworm使用“masscan”工具对电信公司的网络进行侦察，对目标的网络进行扫描。 质量扫描脚本示例 Sandworm寻找开放端口和未受保护的RDP或SSH接口，可以利用这些接口破坏网络。此外，攻击者使用“ffuf”、“gowitness”等工具来查找Web服务中的潜在漏洞，这些漏洞可用于获取访问权限。未受多因素身份验证保护的受损VPN帐户也被用来获得网络访问权限。为了让他们的入侵更加隐蔽，Sandworm使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵过的乌克兰互联网区域内的服务器来进行他们的恶意活动，使其看起来不那么可疑。CERT-UA报告称，在被破坏的ISP系统中发现了两个后门，即“Poemgate”和“Poseidon”。 Poemgate捕获试图在受损端点中进行身份验证的管理员的凭据，为攻击者提供访问其他帐户的权限，这些帐户可以用于横向移动或更深层次的网络渗透。Poseidon是一个Linux后门，乌克兰机构称其“包含全套远程计算机控制工具”。Poseidon的持久性是通过修改Cron以添加流氓作业来实现的。 Cron 二进制修改以增加 Poseidon 的持久性 Sandworm使用Whitecat工具删除攻击痕迹并删除访问日志。在攻击的最后阶段，黑客部署了会导致服务中断的脚本，尤其是关注Mikrotik设备，并擦除备份，使恢复更具挑战性。 损害 Mikrotik 设备的脚本 CERT-UA建议乌克兰所有服务提供商遵循指南中的建议，使网络入侵者更难入侵其系统。 转自E安全，原文链接：https://mp.weixin.qq.com/s/9nZXGfc4aiWQ0AFm9ENiuw 封面来源于网络，如有侵权请联系删除

一个名为“Predatory Sparrow”的黑客组织在过去一周重新出现。 上周，该组织以当前的加沙冲突为由，发布了该组织一年多以来的 第一条推文，称：“你认为这很可怕吗？我们回来了。我们希望你关注加沙事件” Predatory Sparrow 是一种已知的威胁，研究人员认为这是一种相对复杂的以色列黑客行动。它在伊朗有破坏性袭击的历史，旨在让伊朗政府难堪。 据Cyberscoop报道，2021 年 10 月，伊朗 与国家燃油泵网络相连的支付系统遭到攻击，而 2022 年 6 月，钢铁设施遭到多次攻击，显然是为了回应未具体说明的“侵略”行为。由伊斯兰共和国。 谷歌云 Mandiant Intelligence 首席分析师约翰·胡尔特奎斯特 (John Hultquist)在上周的新闻发布会上表示，该组织在伊朗境内发动一系列袭击后，及时重新出现，使其“肯定值得关注”。   转自安全客，原文链接：https://www.anquanke.com/post/id/290806 封面来源于网络，如有侵权请联系删除

近期，黑客组织“匿名苏丹”周末承诺与哈马斯团结一致，现在声称对以色列工业控制系统（ICS）发动了多次攻击，试图破坏关键基础设施。 据周二（10日）上午Telegram频道上的一篇帖子称，以色列全球导航卫星系统(GNSS)、楼宇自动化和控制网络(BACNet)以及Modbus工业控制系统是该黑客组织的最新目标。“以色列工业控制系统遭到了@xAnonymousSudan 的攻击！” 帖子读到。 匿名苏丹接着解释了拆除每个系统将如何影响以色列的基础设施。通过针对国家的GNSS，“全国各地的各种GPS系统将离线；这可能会影响工业系统、关键基础设施和其他机器，”黑客写道。报告称，随着BACNet系统的修改或关闭，能源激增、建筑物疏散和计算机关闭也是可能的。 最后，该团伙谈到了针对Modbus工业控制系统的攻击，这是一种SCADA通信协议，被关键基础设施系统（例如提供国家电力、水、石油和天然气的系统）所依赖。Cybernews本周早些时候的独家研究显示，数百个属于以色列和巴勒斯坦系统的工业控制系统目前暴露在网络上，使它们容易受到黑客的攻击。 伴随最新的声明，“匿名苏丹”发布了一个页面，其中充满了显然是目标的 IP 地址，《网络新闻》可以确认这些地址主要是托管在犹太国家境内网络上的以色列地址。 其帖子中还包含了另一张描述被攻击的 BACNet 服务器列表的图片，尽管 Cybernews 无法确认这些 IP 地址是否与以色列组织相关。 此外，匿名苏丹帖子中还标记了同为黑客活动团伙的SiegedSec ，尽管 SiegedSec 也在其自己的 Telegram 频道上（同样是周二）发布了关于攻击位于美国而非以色列的工业控制系统的信息。 匿名苏丹组织也以追求较软的目标而闻名，该组织周日声称对摧毁以色列主要新闻媒体《耶路撒冷邮报》负责。 周六，“匿名苏丹”组织声称袭击了以色列的移动全天候防空系统“铁穹”，并表示攻击了以色列的“警报”应用程序。   转自安全客，原文链接：https://www.anquanke.com/post/id/290709 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。 2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。 美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。 一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。 威胁攻击者正在“积极”利用漏洞 X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。 此后，X-Force 在发布的报告中表示附加到合法 “index.html “文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 “登录 “元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。 值得一提的是，攻击链从威胁攻击者向”/gwtest/formssso? event=start&target=”发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 “ns.conf “文件的内容。 然后，攻击者在 “index.html “中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。 附加到 “index.html “的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 “Log_On “按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。 X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。 分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。   转自Freebuf，原文链接：https://www.freebuf.com/news/380066.html 封面来源于网络，如有侵权请联系删除

近日，Akamai安全情报小组的研究人员发现黑客“创造性“地篡改电商网站的404页面来窃取用户的信用卡信息。（研究人员还发现另外一种攻击手法：将代码隐藏在HTML图像标签的“onerror”属性和图像二进制文件中，使其显示为Meta Pixel代码片段。） Akamai表示，此类Magecart盗卡活动主要针对使用Magento和WooCommerce的电商网站，一些食品和零售行业的知名品牌受到影响。 Akamai在报告中指出：“Magecart攻击者利用默认的404错误页面来隐藏和加载恶意卡窃取代码，这在之前的活动中从未见过。这种隐藏技术具有高度创新性，我们在之前的Magecart活动中从未见过。“ 研究者发现，伪装成元像素代码片段或者隐藏在受感染结账页面上的浏览器加载程序会向名为“icons”的相对路径发起获取请求，但由于网站上不存在该路径，因此该请求会导致“404NotFound”错误页面。 该加载程序包含一个正则表达式匹配，用于在404页面返回的HTML中搜索特定字符串，研究人员对该字符串解码发现了一个隐藏在所有404页面中的JavaScript浏览器（下图）： 研究者指出，篡改404页面的方法有助于逃避网络流量监控工具的检测，因为该请求看起来像是良性的图像获取事件。然而，解码Base64字符串会泄露个人和信用卡信息。 篡改404页面的案例也凸显了信用卡盗窃攻击不断变化的策略和攻击手段，网站管理员越来越难以在受感染的网站上找到恶意代码并对其进行清理。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/hAZAiteXN87cfLZc16JGSg 封面来源于网络，如有侵权请联系删除

周六，激进组织哈马斯对以色列发动突然的陆海空袭击，促使以色列对其宣战并进行报复，而在对以色列发起攻击的同时，数个黑客活动组织针对以色列网站发起了大量恶意流量。以色列报纸《耶路撒冷邮报》周一报道称，自周六上午以来，其网站“由于一系列针对我们的网络攻击”而关闭。截至撰写本文时，该报网站仍处于关闭状态。 由于自昨天上午以来针对我们发起的一系列网络攻击，《耶路撒冷邮报》目前正处于停机状态。 我们正在积极应对这一情况，并将很快回来，继续作为您有关剑行动的首要信息来源….. – 耶路撒冷邮报 (@Jerusalem_Post) 2023 年 10 月 9 日 据报道，美国国家安全局网络安全主管罗布·乔伊斯 (Rob Joyce) 在周一的一次会议上表示，存在拒绝服务 (DDoS) 攻击和网站篡改事件，但并未将网络攻击归咎于特定组织。乔伊斯表示：“但我们还没有看到真正的国家恶意行为者。” 黑客组织在武装冲突期间发起网络攻击是很常见的，类似于乌克兰发生的情况。 这些黑客通常不隶属于任何政府，而是一个由出于政治动机的黑客组成的分散组织。 他们的活动可以破坏网站和服务，但与民族国家黑客组织的活动相比要有限得多。 研究人员和美国国家安全局等政府机构表示，到目前为止，他们在哈马斯与以色列的冲突中只看到了黑客活动。 美国国家安全局和以色列驻纽约总领事馆没有立即回应置评请求。 乔伊斯的言论似乎证实了安全研究员 Will Thomas 的调查结果，他表示，截至周一已经看到 60 多个网站因 DDoS 攻击而被关闭，并且超过 5 个网站被破坏。 “围绕这场冲突的黑客行动让我感到惊讶的是，参与其中的国际组织数量之多，例如据称来自孟加拉国、巴基斯坦和摩洛哥的组织也都针对以色列以支持巴勒斯坦。 我们还看到长期参与攻击的威胁行为者返回，并使用#OpIsrael 标签传播多年，”托马斯在一次在线聊天中说道。 托马斯是 Equinix 威胁分析中心的网络威胁情报研究员，他在 X（前身为 Twitter）上写道，亲巴勒斯坦的黑客活动分子将政府网站、民事服务、新闻网站、金融机构以及电信和能源公司作为目标。 追踪黑客行动主义和以色列/哈马斯战争来自： 目前 Telegram 上分享的黑客攻击类型： – DDoSing *.il 网站 – 共享 *.il 站点的凭据 – 劫持API发送移动推送消息 – 泄露被盗文件 （自 23 年 10 月 7 日起） — Will (@BushidoToken) 2023 年 10 月 8 日 托马斯表示，黑客活动组织并不是唯一活跃在冲突中的组织。 他说：“我看到了一些网络犯罪服务运营商的帖子，例如 DDoS-for-Hire 或初始访问经纪人，向那些想要针对以色列或巴勒斯坦的人提供服务。” 初始访问经纪人是破坏网站和网络的团体，并向其他黑客提供访问权限以换取付款。 独立研究员兼顾问卢卡斯·奥莱尼克 (Lukasz Olejnik) 表示，此类网络攻击可能对武装冲突产生有限的影响。 “此类黑客活动团体进行任何可衡量的网络活动的实际能力有限。 影响将非常低，考虑到正在发生的一切，影响将是有限的，甚至没有。 换句话说，这是一种干扰（或信息影响）。”奥莱尼克说。 以色列与哈马斯战争中的网络攻击发生不到一周前，红十字国际委员会发布了一份规则清单，称这些规则应规范军事冲突中黑客活动分子的活动。 其中之一是这些团体不应袭击平民目标。 红十字国际委员会宣布这一消息后，黑客活动分子破坏了俄罗斯红十字会的网站。 周六，与哈马斯有联系的巴勒斯坦武装分子从以色列境内的巴勒斯坦小飞地加沙发动了突然袭击。 哈马斯武装分子推平路障，渗透以色列边境城镇，造成 700 多人死亡。 据美联社报道，为了应对这被认为是 50 年来最严重的袭击事件，以色列政府正式宣战，并通过轰炸加沙进行报复。 自2007年以来，加沙一直被埃及和以色列封锁，阻止部分商品进口并隔离该地区。   转自cnBeta，原文链接：https://www.toutiao.com/article/7288051236945936951/?log_from=831dac05d748_1696906230954 封面来源于网络，如有侵权请联系删除