Facebook的官方页面遭到黑客攻击，页面上出现一些奇怪的内容，包括要求释放巴基斯坦前总理伊姆兰·汗的帖子。 Facebook的官方页面显然在2023年10月6日遭到黑客攻击。 社交媒体用户看到脸书发布奇怪的消息感到震惊。 其中一条奇怪的信息是黑客要求释放巴基斯坦前总理伊姆兰·汗。 伊姆兰·汗于2023年8月初被捕。 无论是恶作剧还是页面被黑客入侵，都引发了人们对Facebook账户和页面安全的严重担忧。 黑客攻击社交媒体上的用户账户和页面并不是什么新鲜事。甚至包括政客和名人在内的知名人士也经历过页面泄露，骗子以他们的名义发布信息。 然而，2023年10月6日发生的这件罕见的事件，用户惊讶地看到Facebook官方页面上出现了奇怪的帖子。这些帖子真正奇怪的地方是，他们专注于批评印度板球控制委员会（BCCI）没有向巴基斯坦板球迷发放国际板球联合会世界杯比赛签证。 这场所谓恶作剧的亮点是一条要求释放巴基斯坦前总理伊姆兰·汗的帖子，以及另一条“释放祖克”的帖子。 晚上10点40分，Facebook官方页面上出现了这样的帖子：“不知道为什么我突然可以在Facebook发帖了。或者我完全错了，我没有以Facebook UK身份发帖？”随后又发布了另一篇文章，其中写道：“让我借此机会告诉大家，他们没有向想要亲自观看板球世界杯的人发放签证，从而彻底搞砸了这项赛事。” 以下是一位X用户分享的关于Facebook页面黑客攻击的多张截图： 据最先报道这一事件的《每日邮报》报道，在Facebook意识到这一问题并做出回应之前，已经出现了几篇帖子。该社交网络立即删除了所有帖子，并发布官方声明，通知用户该页面已被盗用。同时，该平台已对事件展开调查，并采取措施增强页面的安全性。 到晚上11点30分，Facebook的官方页面被禁用。然而，在那之前，成千上万的用户已经看到了这些帖子。  2014年2月，一名埃及黑客利用私人漏洞从马克·扎克伯格的账户中删除了他的Facebook时间线封面照片。这些事件也提醒了广大用户，没有任何平台或组织可以免受网络攻击。因此，用户必须更喜欢强密码，最好是2FA，并避免对不同的帐户使用相同的密码。   转自E安全，原文链接：https://mp.weixin.qq.com/s/yEsIAnPRtHE907WB3DKf0g 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，一个名为 SiegedSec 的网络攻击组织近期成功入侵了北约网络系统，并在网上散布盗取的大量非机密文件。 目前，北约正在就此事展开积极调查，其所属官员发表声明表示，北约内部已经组织了大量的网络专家协调处理此事，该官员同时指出虽然北约的任务、行动和军事部署没有受到此次网络安全事件的影响，但也已经采取额外的网络安全措施，以确保自身安全。 值得一提的是，从目前披露的信息来看，SiegedSec 威胁攻击组织似乎具有国家背景，去年就已经对美国组织，尤其是美国市政当局实施了多次大规模网络攻击行动。 本次攻击事件发生在 2023 年 9 月 30 日，该组织在其 Telegram 频道上宣布窃取了约 3000 份北大西洋公约组织文件（数据量超过 9 GB）。该组织还发布了一系列截图来显示黑客系统的访问权限，以此证明其成功实施网络攻击。 SiegedSec Telegram 频道 SiegedSec 黑客组织在Telegram 上嚣张的写着“ siegedsec 黑客再次成功袭击了北约，给你们“带来”了 3000 多个文件，总计超过 9GB 的未压缩数据！”。该组织还声称北约运行的几个门户网站都遭到黑客攻击，其中包括联合高级分布式学习、经验教训门户网站、后勤网络门户网站、利益共同体合作门户网站、投资司门户网站和标准化办公室等。 值得一提的是，早在今年 7 月，SiegedSec 就开始在其 Telegram 频道上宣称北约 “利益共同体合作门户网站 “有一批文件被盗。 SiegedSec Telegram 频道   转自Freebuf，原文链接：https://www.freebuf.com/news/379755.html 封面来源于网络，如有侵权请联系删除

研究人员声称，与之前的重大违规事件有关的臭名昭著的黑客组织已经泄露了从信用机构TransUnion窃取的数GB个人数据。一个专门收集恶意软件样本的网站 vx-underground 表示，一名绰号为“USDoD”的个人发布了一个3GB的数据库，其中包含58,505名个人的个人身份信息(PII)。 尽管没有关于这些人是客户还是员工的信息，但考虑到该公司的规模，至少部分所获取的PII似乎来自客户。 Vx-underground在X（以前称为Twitter）上的一篇帖子中表示：“该数据库似乎于2022年3月2日遭到泄露。这个泄露的数据库包含全球各地个人的信息，包括美洲（南北美洲）以及欧洲。” 所获取的PII包括名字和姓氏、TransUnion内部标识符、护照信息（包括出生地点和日期）、婚姻状况、年龄、雇主信息、信用评分和贷款信息。 对网络钓鱼攻击者来说，这是一个重要的宝库，可以用来对受害者进行后续欺诈攻击。 Emsisoft威胁分析师Brett Callow 在X上发表的另一篇文章显示，USDoD在BreachForums上发布了这些数据，上周他们曾在该网站上共享了从3200家空客供应商窃取的个人信息。 当时，USDoD声称与一个名为Ransomed的勒索软件组织合作。该组织已经暗示，航空航天行业的更多受害者可能很快就会被攻破，其中包括美国国防承包商洛克希德·马丁公司和雷神公司。Vx underground还声称，这一黑客组织已经向北约方面进攻。 Radiant Logic信息安全官Chad McDonald认为，如果TransUnion违规行为是合法的，那么它应该提醒组织采取积极措施防止违规行为。 他补充道：“企业很容易在身份数据方面遇到困难，无论是身份孤岛、重复还是异常——缺乏身份可见性和管理都可能导致对企业资源的访问不适当或过时。通过采取身份优先的安全方法，并将身份数据整合到一个单一的、经过强化的数据存储中，可以避免外部和内部的数据泄露。” 有趣的是，数据库泄露的日期似乎与去年TransUnion南非业务发生的勒索软件事件一致，当时黑客组织要求信用机构支付1500万美元赎金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/21a9ISmzORJ44PoPz6smeg 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，Cisco Talos分享的一份报告显示，中东的电信服务提供商最近沦为ShroudedSnooper网络威胁组织的目标，并被部署了名为 HTTPSnoop 的隐形后门。 HTTPSnoop 是一种简单而有效的后门程序，它采用新颖的技术与 Windows HTTP 内核驱动程序和设备连接，以监听对特定 HTTP(S) URL 的传入请求，并在受感染的端点上执行这些内容。此外，它还有一个代号为 PipeSnoop 的姊妹植入程序，可以接受来自命名管道的任意 shellcode并在受感染的端点上执行。 研究人员怀疑 ShroudedSnooper 利用面向互联网的服务器并部署 HTTPSnoop 来获得对目标环境的初始访问权限，这两种恶意软件菌株都会冒充 Palo Alto Networks 的 Cortex XDR 应用程序（“CyveraConsole.exe”）的组件以进行隐藏。 到目前为止，研究人员已检测到三个不同的 HTTPSnoop 样本。该恶意软件使用低级 Windows API 来侦听与预定义 URL 模式匹配的传入请求，然后提取 shellcode 在主机上执行。 Talos 研究人员表示，HTTPSnoop 使用的 HTTP URL 以及与内置 Windows Web 服务器的绑定表明，它很可能设计用于在互联网公开的 Web 和 EWS 服务器上工作。但顾名思义，PipeSnoop 可以通过 Windows IPC 管道进行读取和写入，以实现其输入/输出 (I/O) 功能。这表明该植入程序可能旨在在受感染的企业内进一步发挥作用，而不是像 HTTPSnoop 这样面向公众的服务器，并且可能旨在针对一些高价值目标。 近年来，针对电信行业（尤其是中东地区）的攻击已成为一种趋势。2021 年 1 月，ClearSky发现了一系列由黎巴嫩 Cedar 策划，针对美国、英国和中东亚洲电信运营商的攻击。同年 12 月，博通旗下的赛门铁克揭露了可能是伊朗威胁组织MuddyWater（又名 Seedworm）针对中东和亚洲电信运营商发起的间谍活动。   转自Freebuf，原文链接：https://www.freebuf.com/news/378621.html 封面来源于网络，如有侵权请联系删除

Pcmag 网站披露，一名黑客利用人工智能深度伪造了一名员工声音，成功入侵 IT 公司 Retool，致使 27  名云客户被卷入网络安全事件当中。 黑客一开始向 Retool 多名员工发送钓鱼短信，声称自己是 Retool IT 团队工作人员并表示能够解决员工无法获得医疗保险的薪资问题。收到钓鱼短信后，大多数 Retool 员工没有进行回应，但有一名员工是个例外，从而引发了此次网络攻击事件。 根据 Retool 分享的消息来看，这名毫无戒心的员工点击了短信中一个 URL，该 URL 将其转到一个虚假的互联网门户网站，在登录包括多因素身份验证表格的门户后，网络攻击者使用人工智能驱动的深度伪造技术扮成了一名 Retool 员工真实声音给员工打了电话，这个”声音“的主人很熟悉办公室的平面图、同事和公司的内部流程。 值得一提的是，整个对话过程中，虽然受害员工多次对电话表示了怀疑，但不幸的是，最后还是向攻击者提供了一个额外的多因素身份验证（MFA）代码。 可以看出，网络攻击者在打电话给受害员工之前，可能已经在一定程度上渗透到了 Retool 中。一旦放弃多因素代码，网络攻击者就会将自己的设备添加到该员工的账户中，并转向访问其 GSuite 账户。 Retool 表示，由于谷歌 Authenticator 应用程序最近引入了云同步功能，该功能虽然便于用户在手机丢失或被盗时可以访问多因素验证码，但 Retool 指出如果用户谷歌账户被泄露，那么其 MFA 代码也会被泄露”。 Retool进一步指出，进入谷歌账户就能立即访问该账户中的所有 MFA 令牌，这是网络攻击者能够进入内部系统的主要原因。社会工程学是一种非常真实可信的网络攻击媒介，任何组织和个人都会成为其攻击目标，如果实体组织规模足够大，就会有员工在不知情的情况下点击链接并被钓鱼。 最后，虽然目前 Retool 已经禁止了网络攻击者的访问权限，但为了警告其它公司免受类似攻击，还是决定公布这起安全事件。   转自Freebuf，原文链接：https://www.freebuf.com/news/378413.html 封面来源于网络，如有侵权请联系删除

9月7日，美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击，黑客入侵了其数据库，据悉该数据库存储了众多客户的驾照号码和社会安全号码。为避免这些客户数据在网上泄露，该公司近日表示已经支付了赎金。 周四（9月14日），凯撒公司向美国证券交易委员会提交了一份8-K表，其中写道：我们仍在调查未经授权的行为者获取的文件中，究竟包含了多少敏感信息。 凯撒方面表示，迄今为止并没有证据表明任何会员密码/PIN、银行账户信息或支付卡信息（PCI）被未经授权的行为者获取。 但据《华尔街日报》的报道称，该公司为了防止被盗数据在网上泄露，已经支付了大约 1500 万美元的赎金，这是最初黑客索要的3000万美元赎金的一半。 不过，凯撒方面还明确表示，目前仍然存在黑客出售或泄露客户被盗信息的可能性，凯撒方面无法提供任何保证。但他们已对此采取措施确保未经授权的行为者删除被盗数据。凯撒方面正在对网络进行监控，没有发现任何证据表明这些数据被进一步共享、公布或以其他方式滥用。 虽然凯撒没有将这次攻击与特定的网络犯罪团伙或威胁行为者联系起来，但彭博社周三（9月14日）发表的一篇报道称，这次攻击是由一个名为 “Scattered Spider “的黑客组织实施的。该威胁组织被追踪为 UNC3944 和 0ktapus，最早自2022年5月起就开始有所行动。它结合使用社交工程、多因素身份验证（MFA）疲劳和短信凭证钓鱼攻击来窃取用户凭证并入侵目标网络。 数据泄露仅影响忠诚计划会员 据 Caesars 称，未加入 Caesars 忠诚度计划的客户不会受到数据泄露的影响。公司将在未来几周内通知所有受影响的个人。 该公司在一份单独的数据泄露通知中提供了更多细节，并表示已向执法部门报告了这一事件。 这次攻击没有影响其面向客户的运营，包括在线/移动博彩应用程序和实体物业，因为它们的运营没有中断。 凯撒是近期受到网络攻击影响的第二家连锁赌场，周一（9月11日），美高梅国际酒店集团称该公司的网站、预订系统和赌场服务（即 ATM、老虎机和信用卡刷卡机）遭遇网络攻击，IT 系统被迫下线。 2020 年，美高梅国际酒店集团还披露了 2019 年的一次网络攻击事件，该事件导致其云服务遭到破坏，黑客窃取了超过 1000 万条客户记录。   转自Freebuf，原文链接：https://www.freebuf.com/news/378174.html 封面来源于网络，如有侵权请联系删除

欧洲跨国航空航天公司空中客车公司表示，正在调查一起网络安全事件，此前有报道称，一名黑客将该公司3200家供应商的信息发布到暗网上。 一名绰号“USDoD”的黑客周一发帖称，他们在泄露了一名土耳其航空公司员工的账户后，获得了对空客门户网站的访问权限。黑客声称掌握了数千家空客供应商的详细信息，包括姓名、地址、电话号码和电子邮件。  “USDoD”曝光了3,200家敏感空客供应商信息的同时声称洛克希德·马丁公司和雷神公司可能是下一个目标。考虑到所涉及的公司类型，此次泄密事件高度敏感。 威胁行为者通常不会透露他们的入侵技术，但在这次极其罕见的泄露中，“USDoD”透露，他们通过利用“土耳其航空公司的员工访问权限”获得了空客的数据。利用这些信息，研究人员成功追踪了上述员工的访问情况——一台于2023年8月感染了信息窃取恶意软件的土耳其计算机。从信息窃取者感染中获得的凭据已成为近年来主要的初始攻击媒介，为威胁行为者提供了进入公司的简单入口点，从而促进了数据泄露和勒索软件攻击。 在Hudson Rock的数据库中发现的受感染员工的凭据 来自受感染计算机的技术信息 空中客车公司发言人Philippe Gmerek证实，黑客入侵了一个“与空中客车客户相关的IT账户”。该账户用于从空客门户网站下载客户的专用商业文件。该公司正在调查该事件，安全团队也立即采取了补救和后续措施，以防止系统被破坏。 据《哈德逊岩报》报道，这名黑客似乎与2022年12月FBI InfraGard系统遭到破坏有关，他在没有提出任何要求的情况下公开发布了泄露的信息。关于攻击者的动机，目前知之甚少。但攻击者表示自己是相对较新的勒索软件组织“Ransomed”的成员。 “Ransomed”正在迅速获得关注，并自豪地在Twitter上声称在2023年9月期间针对大多数公司发起了勒索软件攻击。 取自 ransomwatch.telemetry.ltd 航空航天公司经常因其持有的敏感数据和技术而成为黑客攻击的目标。上周，美国联邦调查局、美国网络司令部和网络安全与基础设施安全局警告称，今年有多个民族国家的黑客利用漏洞瞄准了一家未具名的航空航天公司。 转自E安全，原文链接：https://mp.weixin.qq.com/s/LOp-pJWr_K-0FOX5QbiVow 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某黑客组织通过一个伪造和受损的 Facebook 账户网络，发送数百万条 Messenger 钓鱼信息，利用密码窃取恶意软件攻击 Facebook 企业账户。 据悉，网络攻击者通过诱骗目标用户下载一个 RAR/ZIP 压缩包，压缩包中包含一个基于 Python 的可规避窃取程序下载器，该窃取程序能够抓取受害目标浏览器中存储的 cookie 和密码。根据  Guardio 实验室一份新报告显示，大约每七十个目标账户中就有一个账户最终被成功入侵，从而导致巨大经济损失。 Facebook Messenger 网络钓鱼 首先，黑客向 Facebook 企业账户发送 Messenger 钓鱼信息，假装侵犯版权或要求其提供更多产品信息。 Messenger 上的钓鱼信息（Guardio Labs） 此外，压缩包中还包含一个批处理文件，如果受害目标执行该文件，就会从 GitHub 存储库中获取一个恶意软件下载器，以逃避拦截列表并尽量减少明显的痕迹。 除有效载荷（project.py）外，批脚本还获取信息窃取恶意软件所需的独立 Python 环境，并通过设置窃取程序二进制文件在系统启动时执行来增加持久性。（project.py  文件有五层混淆，因此是使得使反病毒引擎难以捕获该威胁） 有效载荷的部分代码（Guardio Labs） 该恶意软件会将受害者网络浏览器上存储的所有 cookie 和登录数据收集到一个名为 “Document.zip “的 ZIP 压缩包中，然后通过 Telegram 或 Discord 僵尸 API 将窃取的数据信息发送给网络攻击者。 随后，网络攻击者会清除受害者设备上的所有 Cookie 以注销其账户，这样做的话攻击者就有足够的时间通过更改密码来劫持新入侵的账户。（鉴于社交媒体公司可能需要一段时间才能回复有关账户被劫持的电子邮件，这就给威胁攻击者利用被黑账户进行欺诈活动，预留了一部分时间。） 完整的攻击链（Guardio Labs） 活动规模 目前，尽管攻击链并不“新奇”，但 Guardio 实验室观察到此次网络攻击的活动规模着实令人震惊，研究人员报告称每周大约有 10 万条网络钓鱼信息，其中大部分发送到了北美、欧洲、澳大利亚、日本和东南亚的 Facebook 用户上。 受害者热图（Guardio Labs） Guardio Labs 表示此次网络攻击活动规模庞大，Facebook 所有企业账户中约有 7% 已成为了攻击目标，其中 0.4% 下载了恶意存档。再加上感染该恶意软件后，用户仍需执行批处理文件，因此被劫持账户的数量尚不清楚，但可能数量相当可观。 攻击活动或与越南黑客有关 值得一提的是，鉴于恶意软件中有某些字符串，并使用“Coc-Coc”网络浏览器（该浏览器在越南非常流行），Guardio 将本次网络攻击活动归因于越南黑客,。 Guardio 进一步解释道，消息”Thu Spam lầ第 n 个 ứ 它被发送到 Telegram 机器人程序，并附上执行时间的计数器，从越南语翻译为“收集 X 时间的垃圾邮件”。 越南威胁攻击组织今年以脸书为目标开展了多次大规模活动，主要通过 Telegram 或暗网市场转售被盗账户来获利。其中在 2023 年 5 月Facebook 曾宣布其阻止了一场源自越南的网络攻击活动，该活动部署了一种名为“NodeStealer”的新型信息窃取恶意软件。2023 年 4 月，Guardio Labs 也曾披露一名越南威胁攻击者滥用 Facebook 广告服务，用窃取信息恶意软件感染了大约 50 万用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/377769.html 封面来源于网络，如有侵权请联系删除

美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。 根据发布的联合警报显示，国家高级威胁行为者利用CVE-2022-47966未经授权访问面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），建立持久性，并在网络中横向移动。 CVE-2022-47966指的是一个关键的远程代码执行缺陷，该缺陷使未经身份验证的攻击者能够完全接管易受影响的实例。在成功利用这一漏洞之后，黑客获得了对web服务器的根级别访问权限，并采取措施下载其他恶意软件、收集管理用户凭据，并在网络中横向移动。 这些发现是基于CISA于2023年2月至4月在一家未具名的航空部门机构进行的事件响应调查。有证据表明，恶意活动早在2023年1月18日就开始了。并且美国网络司令部暗示伊朗民族国家工作者参与了袭击。 正如这三个美国机构所警告的那样，这些威胁组织经常扫描面向互联网的设备上未修补的漏洞，以查找关键且易于利用的安全漏洞。 据称，该黑客组织还利用Fortinet FortiOS SSL-VPN中的严重漏洞CVE-2022-42475来访问防火墙。Fortinet还警告说，在攻击期间，额外的恶意有效负载被下载到受感染的设备上，这些有效负载无法检索进行分析。 Fortinet于2022年11月28日悄然修复了该漏洞，但没有发布该漏洞已被广泛利用的信息，随后，12月中旬，客户首次被敦促修补其设备以抵御持续的攻击。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ZVLSpOEg4Un3DgPbu8snBw 封面来源于网络，如有侵权请联系删除

这次黑客攻击恰逢伊朗女子Mahsa Amini被警察拘留去世一周年纪念日，带有明显的借势迹象。 以伊朗为主要目标的黑客组织“黑色奖励”（Black Reward）在上周四宣布，针对数百万伊朗人使用的金融服务应用程序“780”发起网络攻击。 该组织在网上发布屏幕截图，图中写道：“打倒哈梅内伊！”“我们回到街头，因为革命仍在继续。为了女性、生命、自由。”消息末尾还加上了#MahsaAmini的标签，是指这位伊朗女子在2022年9月被警察拘留杀害一事。那次事件在当时引发了伊朗全国范围的抗议活动。 该组织在Telegram频道发布了一条消息，翻译如下：“众所周知，革命之火可能会平息，但它永远不会熄灭。黑色奖励组织属于人民，将一直与人民并肩行动，直到取得胜利。” 上述消息通过“780”应用程序推送。该应用程序支持在线购物、账单支付、银行余额查询等金融交易。程序开发商声称拥有超过600万用户。从上周四晚上到上周五，很多人在推特转发了这条消息，他们还通过视频分享消息，发表评论。 上周四晚上，讨论这次黑客攻击的推文。 该公司未回复置评请求。 2022年9月25日，“黑色奖励”在Telegram上首次亮相。当时，Mahsa Amini去世刚刚一周多。2022年10月，该组织发布了一份据称是伊朗政府与国际原子能机构的私人通信文件。伊朗政府将那次黑客攻击归咎于“来自特定国家的未经授权访问”，但没有具体指明是哪个国家。 当时，“黑色奖励”组织告诉外媒CyberScoop，它由伊朗人组成，表示“伊朗伊斯兰共和国说的一切都是谎言。我们支持妇女、生命和自由，与现政权作斗争。” “黑色奖励”组织的Telegram频道拥有超过87000名订阅者。2月28日，该频道发布了对隶属于伊斯兰革命卫队（IRGC）的法尔斯新闻社发动黑客攻击的第二部分。自那以后，该组织的Telegram频道一直处于休眠状态。 “黑色奖励”未回复置评请求。     转自安全内参，原文链接:https://www.secrss.com/articles/58585 封面来源于网络，如有侵权请联系删除