Bleeping Computer 网站披露，疑似具有俄罗斯背景的黑客组织 APT29（又名 Nobelium，Cloaked Ursa）正在使用二手宝马汽车广告等非常规性”诱饵“，引诱西方驻乌克兰外交官点击带有恶意软件的链接。 过去两年，APT29 组织针对北约、欧盟和乌克兰等地的高价值目标，使用带有外交政策主题的网络钓鱼电子邮件或虚假网站，通过秘密后门感染目标受害者。Palo Alto Network Unit 42 团队在发布的一份报告中指出 APT29 组织“进化”了其网络钓鱼策略，目前已经开始使用对网络钓鱼电子邮件收件人更具吸引力的诱饵。 据悉，2023 年 4 月， 一名准备离开乌克兰的波兰外交官发布了合法汽车出售广告，网络威胁攻击者拦截和模仿了该广告，并在广告中嵌入了恶意软件，之后将其发送给在基辅工作的其他数十名外国外交官， APT29 发送的恶意传单（Unit 42 团队） 一旦收件人点击恶意文档中嵌入的“获取更高质量的照片”链接时，便会被重定向到一个 HTML 页面，该页面通过 HTML 传递恶意 ISO 文件有效载荷。  （HTML 走私是一种用于网络钓鱼活动的技术，使用 HTML5 和 JavaScript 将恶意有效载荷隐藏在 HTML 附件或网页的编码字符串中。） 当用户打开附件或点击链接时，浏览器会对这些字符串进行解码，这时候恶意代码会被混淆，并且只有在浏览器中呈现时才会被解码，网络攻击者使用该技术有助于规避安全软件。 据悉，ISO 文件主要包含九张 PNG 图像，但实际上是 LNK 文件，它们可触发下图所示的感染链。 Unit 42 团队观察到的感染链 当受害目标打开任何伪装成 PNG 图像的 LNK 文件时，就会启动一个合法的可执行文件，该文件使用 DLL侧载将 shellcode 注入内存中的当前进程。 ISO 档案中包含的伪造PNG文件（Unit 42 团队） Unit 42 团队指出此次网络攻击活动主要针对基辅 80 多个外国使团中至少有22个使团，其中主要包括美国、加拿大、土耳其、西班牙、荷兰、希腊、爱沙尼亚和丹麦的使团。目前，受害目标的感染率尚不清楚。 值得一提的是，大约 80% 收到恶意传单的电子邮件地址是公开在互联网上的，由此可以看出，APT29 黑客组织一定是通过破坏目标外交官账户和情报收集获得另外 20% 的电子邮件地址。 以乌克兰大使馆为目标（Unit 42 团队） APT29 组织最近发动的另一个网络钓鱼的例子是 2023 年初发送给土耳其外交部的一份 PDF，该 PDF 指导为 2 月袭击土耳其南部的地震提供人道主义援助。Unit 42 团队表示由于攻击利用了绝佳的时机，该恶意 PDF 文件很可能在外交部员工之间共享，并被转发给土耳其其他组织。 最后，Unit 42 团队指出随着俄罗斯和乌克兰双方冲突的持续以及北约内部不断变化的事态有可能改变地缘政治格局，预计俄罗斯网络间谍组织将继续甚至加强针对外交使团的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/371931.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关，这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。 Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链，该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会，TA453 就会移植其恶意软件，并试图启动一个名为 NokNok 的苹果风格的感染链。此外，研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。 关于 TA453 TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一个与伊朗伊斯兰革命卫队（IRGC）有关的网络威胁组织，至少自 2011 年以来一直活跃。 近期，网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 发现的某次网络攻击活动中，黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL。 值得一提的是，文件中有一个 LNK 滴管，它启动了一个多阶段的过程，最终部署 GorjolEcho，然后显示一个诱饵 PDF 文档，同时秘密等待来自远程服务器的下一阶段有效载荷。一旦意识到受害目标使用的是苹果电脑后，TA453 就会调整其整个操作方式，发送第二封电子邮件，邮件中包含一个 ZIP 档案，嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件，但实际上是一个 AppleScript，它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。 就 NokNok 而言，它能够获取多达四个模块，这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据，并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外，NokNok 还共享了一些源代码，这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。 TA453 攻击者还使用了一个虚假的文件共享网站，该网站可能会对访问者进行指纹识别，并作为追踪成功受害者的机制。 最后，研究人员表示 TA453 能够不断调整其恶意软件库，部署新的文件类型，并针对新的操作系统。     转自Freebuf，原文链接：https://www.freebuf.com/news/371343.html 封面来源于网络，如有侵权请联系删除

黑客组织 “匿名苏丹 “声称，它对美国视频游戏开发商和出版商Riot Games发起了分布式拒绝服务（DDoS）攻击。 据称匿名苏丹的目标是Riot Games的登录门户，该组织在Telegram帖子中宣布，这次攻击持续了30分钟至1小时。然而根据初步调查发现，Riot Games网站仍然活跃，没有受到影响。威胁情报部门也没有证实这一说法的真实性。 巧合的是，这次所谓的攻击发生在该公司宣布将放暑假的两天后。 如果得到证实，这将是Riot Games遭受到的第二次大规模网络攻击事件。 目前相关人员已经联系了Riot Games的媒体团队，以确认这一事件。但是尚未得到该公司的回应。 针对Riot Games的网络攻击： 深入了解过去 因开发多人竞技MOBA类游戏《英雄联盟》而闻名的Riot Games一直面临着反复出现的网络威胁。 今年1月，该公司承认受到了网络攻击，并在其推特账户上特别描述为 “社会工程攻击”。 在推特上的一系列帖子中，Riot Games向其广泛的用户群保证，在这次漏洞中没有玩家数据或个人信息被泄露。 但是，该公司承认其一些流行游戏的源代码被盗，此次的攻击的严重性不言而喻。 随后，攻击者要求1000万美元的高额赎金，威胁要透露被盗源代码。 Riot Games 果断拒绝了这个要求。并在当天公开表示：“今天，我们收到了一封赎金邮件。不用说，我们不会付钱”。 尽管 Riot Games 也承认网络攻击扰乱了他们的构建环境，并可能导致后续的一系列问题，但该公司确信没有玩家数据或个人信息被泄露。 匿名苏丹： 无休止的网络威胁 首先，我们要明确的是，匿名苏丹组织并不是网络威胁领域的一个新加入者。他们更像是一个成熟的组织。匿名苏丹因其针对西方实体的DDoS攻击而闻名，据传与Killnet等亲俄黑客组织也有关联。 在这次对Riot Games的DDoS攻击后，紧接着该组织声称对各种媒体公司的攻击负责。攻击的受害者包括法新社（AFP）、希伯来电台103 FM和第七频道等知名机构。 虽然，目前驱使“匿名苏丹”攻击Riot Games的动机仍然是个谜，这也侧面反映了这类黑客组织的不可预测性。 但是从其一系列的攻击来看，高知名度的公司极有可能成为他们优先针对的目标。 匿名苏丹和微软： 谁是真相 这是一个复杂的故事，匿名苏丹之前曾与另一个科技巨头微软有过一次“交锋”。 这个黑客组织声称成功入侵了该公司的服务器，并盗取了3000多万个客户账户的凭证。 然而，微软却提出了一个截然不同的说法。该公司强烈否认客户信息遭到泄露，这也为真相蒙上了一层阴影。 虽然微软否认其客户账户被入侵，但它确实承认了匿名苏丹造成的一些干扰。 该公司承认，匿名苏丹黑客组织是6月初的服务中断和断电的罪魁祸首。这些干扰影响了几个关键的微软服务，包括Azure、Outlook和OneDrive。 这其中最有争议的是，该黑客组织声称已经访问了一个包含3000多万个微软账户、电子邮件和密码的大型数据库。而微软否认了这件事。 最后，匿名苏丹以5万美元的价格出售这个数据库。他们邀请感兴趣的买家与他们的Telegram机器人沟通。     转自Freebuf，原文链接：https://www.freebuf.com/news/371264.html 封面来源于网络，如有侵权请联系删除

上周四，LockBit勒索软件团伙的附属机构之一“国家危害机构”(National Hazard Agency)在其泄密站点上分享了被盗的台积电文件目录列表的屏幕截图，并要求台积电在8月6日最后期限之前支付7000万美元（编者：本文发稿时，Lockbit已在泄漏站点公布了台积电被盗数据）。 “国家危害机构”宣称，台积电如果未能支付赎金将导致黑客组织公开泄露其信息，包括台积电IT网络的网络登录凭据。台积电(TSMC)发布公告将所遭受的LockBit勒索软件攻击归咎于第三方设备供应商的漏洞，导致攻击者能够获取台积电在其企业网络中使用的一些服务器的（编者：供应商默认）设置。根据台积电的公告，导致数据泄漏的第三方供应商是中国台湾系统集成商Kinmax Technology，但未透露泄露数据的性质。 台积电表示：“台积电最近意识到我们的一家IT硬件供应商遭遇了网络安全事件，导致与服务器初始设置和配置相关的信息泄露。” 台积电“甩锅”第三方 台积电声称，第三方供应商Kinmax是一家与惠普、微软、VMware、思科和Fortinet等领先技术公司合作的系统集成商，其自身的系统漏洞使其客户也面临威胁。不过，台积电表示，此次安全漏洞“并未直接影响台积电的业务运营，也没有泄露任何台积电的客户信息”。“事件发生后，台积电已立即按照该公司的安全协议和标准操作程序终止与该供应商的数据交换。”但是“国家危害机构”表示，准备发布一份所谓的台积电网络“入口点”清单以及相关的密码和登录信息。 Grip Security首席执行官兼联合创始人Lior Yaari表示：“此次泄露事件很好地说明了机器身份与员工身份同样重要。”“数据无处不在，任何人都可以从任何地方访问。能同时保护员工和机器身份的公司将比其它公司更安全。” Kinmax道歉并淡化事件影响 据悉，Kinmax已向其客户发函，通报其在6月29日内部测试环境中发现的网络入侵，攻击者未经授权访问了系统安装准备信息。Kinmax信中写道：“泄露的内容主要包括该公司向客户提供的系统安装准备的默认配置，目前尚未对客户造成任何损害，客户也没有被黑客攻击。”台积电和Kinmax均未公开证实LockBit宣称的获取了台积电关键数据的说法。双方均未透露是否愿意支付7000万美元的要求。 Kinmax泄露事件发生两周前，美国司法部宣布逮捕了20岁的俄罗斯公民Ruslan Magomedovich Astamirov（АСТАМИРОВ、Руслан Магомедовичь），原因是他涉嫌参与美国和其他地方的多起LockBit勒索软件攻击。一天前，LockBit网站宣称入侵了印度制药公司Granules India，并公布所窃取的大量文件。 截止本文发稿，Lockbit已经公开泄漏台积电数据。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aXhZUl5F_Pwp05StuMGnSA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 6月初，微软的一些服务遭遇严重中断，包括Outlook、OneDrive和云计算基础设施Azure。 一个名为Anonymous Sudan(又名Storm-1359)的组织宣称对破坏该公司服务的DDoS攻击负责。 该组织自2023年1月起便活跃于人们的视野中，并宣言“针对任何反对苏丹的国家”。然而，一些安全研究人员认为，Anonymous Sudan实际上是亲俄威胁组织Killnet的一个分支。 攻击者依赖于虚拟专用服务器(VPS)以及租用的云基础设施、开放代理和DDoS工具进行攻击。 最初，微软并没有提供攻击的细节，但后来在一份题为“微软对第7层分布式拒绝服务(DDoS)攻击的响应”的报告中证实，他们受到了DDoS攻击。 “从2023年6月初开始，微软就发现了一些服务流量的激增，以及部分服务的可用性暂时受到影响，于是立刻展开了调查。随即，微软便跟踪正在进行的DDoS活动，并将其追踪为Storm-1359。“该公司发布的报告写道。 微软指出，他们没有发现任何证据表明客户数据被访问或泄露。 相反地，Anonymous Sudan声明已经窃取了3000万客户账户的信任证书。 该组织于2023年7月2日在其Telegram频道上发布的消息中写道：”我们宣布，我们已经成功入侵了微软，并进入了一个包含3000多万微软账户、电子邮件和密码的大型数据库。完整数据库交易的价格为50000美元。”   Anonymous Sudan分享了被盗数据的样本，并以5万美元的价格出售该数据库的完整版。 目前，微软尚未对所谓的”数据泄露“发表公开评论。BleepingComputer要求该公司公开否认任何数据泄露。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，美国多个州的官员正在调查一个涉嫌出于“政治动机”的黑客组织的指控，该组织声称与地方政府相关的网站遭到破坏有关。 SiegedSec 组织在 Telegram 上声称五个国营网站遭受了网络攻击： 内布拉斯加州最高法院内联网 南达科他州委员会 德克萨斯州 BHEC 个人信息 宾夕法尼亚州提供商自助服务 南卡罗来纳州刑事司法信息服务 (CJIS) 该组织还分享了被破坏网站的照片以及据称被盗的数据。帖子中没有说明袭击动机，但在之前对德克萨斯州、肯塔基州和阿肯色州政府机构的袭击中，该组织明确提到了引发袭击的政治问题。 内布拉斯加州司法部门的州法院管理员科里·斯蒂尔 (Corey Steel) 表示，法院和缓刑管理办公室 (AOCP) 于上周三获悉其内网系统遭到攻击。 “AOCP 立即开始审查内联网日志，以确定攻击的性质和范围。在调查过程中，声称发起攻击的组织发现并发布了我们内联网网站的屏幕截图，”斯蒂尔说。 “内布拉斯加州司法部门内网与其他州的政府实体一起成为攻击目标。与法庭案件或个人身份信息相关的敏感数据没有受到泄露。” 斯蒂尔补充说，他们仍在调查这一事件，以“评估违规程度、识别漏洞并加强”他们的安全态势。他说，针对这次袭击，我们正在实施保障措施和加强措施。 南达科他州信息和电信局代表 Dan Hoblick 表示，南达科他州委员会和委员会遭受的攻击并未泄露任何敏感信息。 该网站是一个集中门户，任何人都可以获取有关特定行业委员会或委员会的信息，例如南达科他州技术专业委员会、南达科他州银行委员会、南达科他州房地产委员会等。 德克萨斯州发生的这起事件是本周 SiegedSec 攻击者袭击沃斯堡政府后发生的第二起事件，主要针对德克萨斯州行为健康执行委员会。该组织执行董事 Darrel Spinks 表示，在收到 Recorded Future News 有关该事件的询问后，他向 IT 员工和德克萨斯州信息资源部 (DIR) 通报了该事件。 “根据 IT 工作人员和 DIR 提供的信息和回复，德克萨斯州行为健康执行委员会 (BHEC) 并未遭到黑客攻击”他声称，但拒绝回答其他几个问题。 宾夕法尼亚州的提供者自助服务网站位于宾夕法尼亚州人类服务部内，是一个为该州儿童保育行业的个人和公司提供的平台。宾夕法尼亚州行政办公室和州长办公室的几名官员拒绝就影响该网站的攻击发表评论。 南卡罗来纳州总检察长办公室表示，它并不控制南卡罗来纳州刑事司法信息服务 (CJIS) 网站，该网站已被 SiegedSec 列出。南卡罗来纳州执法部门是一个刑事司法信息存储库，涉及“收集、处理、存储和传播犯罪数据以及犯罪识别和记录信息”。 SiegedSec 表示，它从德克萨斯州、宾夕法尼亚州、内布拉斯加州和南卡罗来纳州的网站窃取了数据。对南达科他州和宾夕法尼亚州的攻击还涉及网站篡改。数据泄露研究员 Nick Ascoli 几个月来一直在跟踪 SiegedSec，并表示他们的组织刚刚结束了针对哥伦比亚政府的名为 #OpColombia 的激进进攻活动。 “迄今为止，SiegedSecs 的任务涉及泄露被盗数据并破坏目标资源。在此次活动之前，其最引人注目的目标是俄罗斯的各种商业和政府组织（Sieged 声称已将其关闭），以及针对南美政府、软件公司和医疗保健提供商的各种小型活动，”他说。 由于 SiegedSec 行动的黑客行为性质，他们在这些攻击背后没有经济动机，也不会向受害者索要金钱。     转自E安全，原文链接：https://mp.weixin.qq.com/s/8FJ-IV67gED2QsV2twEELg 封面来源于网络，如有侵权请联系删除

有黑客组织声称攻击并瘫痪了俄罗斯重要卫星网络服务Dozor，窃取近700份文件并公之于众，声称为瓦格纳集团“鸣不平”。互联网观测公司Kentik发现，Dozor的互联网连接至少发生了数小时中断。 安全内参6月30日消息，28日（周三）晚间，身份不明的黑客组织在Telegram发布消息，声称已针对卫星电信提供商Dozor发起攻击。Dozor主要为俄罗斯电力线路、油田、俄军和联邦安全局（FSB）等提供服务。 黑客组织发布的第一条消息大意如下：“为俄罗斯电力线路、油田、国防部军事单位、联邦安全局、养老金基金、北方商船队、比利比诺核电站等众多项目提供卫星服务的Dozor公司（Amtel集团）已被瘫痪。部分卫星终端设备发生故障，交换机重启，服务器信息被销毁。” 攻击者声称站队瓦格纳集团 黑客组织还声称，已经篡改了四个俄罗斯网站，用于发布支持瓦格纳集团的信息。上周末，瓦格纳集团发动了一场未遂兵变，震惊全球。事后，领导人普里戈任去往白俄罗斯。普里戈任曾创建并资助号称“巨魔农场”的互联网研究所。2016年美国总统大选和2018年美国中期选举期间，俄罗斯发动大规模干预行动。互联网研究所深度参与，遭到了美国政府制裁。 遭篡改网站上发布了带瓦格纳标志的内容，包括有关“起义”的信息和结果。消息大意如下：“我们同意和平收场，因为我们达到了主要目的——我们展示了自己的实力，证明我们的行动得到社会全面支持……然而，我们看到的是什么？俄军领导层没有撤职，（针对我们的）刑事立案没有撤销……你把我们赶出了NOW地区，赶出了俄罗斯，但你无法把我们从网络中赶走……我们对黑客攻击负责。这只是个开始，更多行动还在路上。” 该黑客组织还发布了一条链接，指向一个包含674份文件（包括PDF、图像和文档）的压缩文件。周四早上，黑客组织又公布了三份文件，疑似揭露俄联邦安全局与Dozor的关联，以及Dozor员工用来验证交流对象是否为俄联邦安全局代表的密码。今年，这套密码每隔两个月更新一次。 已观测到Dozor网络中断 周四，互联网观测公司Kentik的分析主管Doug Madory表示，Dozor的互联网连接在美国东部时间周三晚上10点左右中断，并且持续无法访问。Dozor使用的一条路由被切换到位于莫斯科的母公司Amtel-Svyaz。 截至目前，外媒CyberScoop未能联系上Amtel-Svyaz和瓦格纳集团对此事进行评价。 如果确认属实，这将是俄罗斯卫星网络又一次遭受黑客攻击。去年，亲乌克兰黑客声称，他们侵入了俄罗斯的低地球轨道卫星通信网络Gonets，删除了对其正常运行至关重要的数据库。与此同时，“匿名者”（Anonymous）关联黑客组织NB65称，他们通过攻击俄罗斯航天局扰乱了俄罗斯车辆监控系统。 自称为乌克兰网络联盟新闻秘书的Sean Townsend在他的Telegram频道上指出，此次攻击类似俄罗斯在2022年2月24日晚间对维亚萨特（Viasat）卫星的网络攻击。维亚萨特官员表示，当时，俄罗斯通过入侵、利用客户终端管理系统发动网络攻击。这一事件影响了乌克兰军方通信，以及欧洲数以万计的终端，显示了依赖商业卫星通信的危险性。 Sean Townsend称：“假设你乘坐俄罗斯天然气工业股份公司的天然气运输船，在冰天雪地中航行，想找到卫星调制解调器和交换机的固件并不容易。”他还说，Dozor可能需要数天到数周才能恢复连接。 俄罗斯智库PIR中心的网络政策专家和顾问Oleg Shakirov发推文称：“瓦格纳参与（此次攻击事件）可能性很低”，表示事件看起来像是“乌克兰制造的假旗行动”。Shakirov还表示：“整个黑客攻击和泄漏事件看起来非常真实，但这不是瓦格纳的作风。他们现在没有动机，也没有发动这种攻击的前科。”     转自安全内参，原文链接：https://www.secrss.com/articles/56162 封面来源于网络，如有侵权请联系删除

近日，LockBit勒索软件团伙声称已入侵台湾半导体制造公司（TSMC），并获得7000万美元赎金。据悉，台积电是全球第一家专业积体电路制造服务（晶圆代工foundry）企业。 上周三，一个名为Bassterlord的Lockbit关联公司通过Twitter宣布了对台积电的黑客攻击，并分享了与该公司相关信息的截图，作为攻击的证据。 该勒索软件集团声称已经从该公司窃取了大量敏感信息，并威胁说在拒绝付款的情况下将公布这些信息。该组织还计划公布可以让威胁者进入该公司基础设施的信息。 “在拒绝付款的情况下，还将公布进入网络的点以及密码和登录公司。”Lockbit运营商在其泄漏网站上发布的公告这样写道。 该组织最初给了台积电7天时间来支付赎金，但后来它将最后期限推迟到8月6日。台积电否认它被Lockbit攻破，而是证实该组织攻破了该公司的一个IT硬件供应商Kinmax Technology。 官方声明如下：“台积电经过审查，本次网络安全事件并未影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电在事件发生之后，立即根据公司的安全协议和标准操作程序，终止与该供应商的数据交换。”同时勒索集团LockBit宣称对本次安全事件负责，官方在其网站上列出了相关数据，并索要7000万美元（当前约5.08亿元人民币）赎金。 LockBit表示，如果台积电不付款，它还将发布密码和登录信息。LockBit表示相关数据是从Kinmax Technology窃取的，该公司为台积电提供网络，云计算，存储和数据库管理等IT服务。经审查，这一事件没有影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电指出，在情况得到解决之前，它不会与被黑的供应商合作。 “事件发生后，台积电已经根据公司的安全协议和标准操作程序，立即终止了与这家相关供应商的数据交换。台湾的Kinmax Technology还为其他知名公司提供服务，包括思科、思杰、HPE、微软和Nvidia。 Kinmax在6月29日发现了安全漏洞，它还补充说，该事件影响了一个测试环境。 Kinmax解释说”泄露的内容主要包括本公司作为默认配置提供给客户的系统安装准备，我们要向受影响的客户表示诚挚的歉意，因为泄露的信息中含有他们的名字，可能给他们带来一些不便。公司已经彻底调查了这一事件，并实施了强化的安全措施，以防止将来发生此类事件。” 早在2018年8月，一个恶意软件感染了几个台湾半导体制造有限公司（TSMC）工厂的系统，这些工厂是苹果生产其设备的工厂。该公司证实，其系统感染了臭名昭著的WannaCry勒索软件的一个变体，该软件在2017年5月的几个小时内袭击了150个国家的20万台电脑。     转自E安全，原文链接：https://mp.weixin.qq.com/s/tFYKM2Fi1RgFUfzGF1k5qQ 封面来源于网络，如有侵权请联系删除

据BleepingComputer 6月28日消息，8Base 勒索软件团伙正在针对世界各地的企业组织进行双重勒索攻击，自 6 月初以来，新增受害者正源源不断地增加。 该勒索软件团伙于 2022 年 3 月首次出现，最开始时相对低调，较少发生明显的攻击行为。但到了6 月，攻击活动开始激增，到目前为止，8Base 已在其暗网勒索网站上列出了 35 名受害者，有时甚至会同时公布多达 6 名受害者。 自 2022 年 3 月以来的基本活动趋势 8Base于今年5月推出了据泄露网站，且自称是“诚实而简单”的渗透测试人员，主要目标是针对那些忽视员工和客户数据的隐私和重要性的公司。 在 VMware Carbon Black 团队的一份新报告中，针对最近 8Base 的攻击策略表明，这很可能与一个成熟的勒索软件组织（可能是 RansomHouse）存在关联。RansomHouse从不直接进行攻击，而是单纯进行数据泄露。 VMware 怀疑 8Base 是 RansomHouse 的一个分支，因为这两个组织使用了相同的勒索字条，并且在各自的泄露站点中看到了非常相似的语言和内容，甚至连常见问题解答页面似乎都是复制粘贴。然而，没有足够的证据来确定 8Base 是否是由 RansomHouse 成员产生的，或者只是单纯的复刻，这在勒索软件行为中并不罕见。 在加密文件时，勒索软件会在攻击中附加 .8base 扩展名，并使用“admlogs25[.]xyz”域进行有效负载托管。该域与 SystemBC相关，SystemBC 是多个勒索软件组织用于 C2 混淆的代理恶意软件。 调查结果表明，8Base 进行加密勒索攻击已至少一年，直到最近推出数据泄露网站后才声名鹊起。由于8Base 最近才开始受到分析师的关注，因此其技术本质的许多方面仍然未知。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370632.html 封面来源于网络，如有侵权请联系删除

16日，俄罗斯三大黑客组织联合宣布：将在48小时对欧洲银行发动沉重打击！ 俄罗斯三大黑客组织集体行动，这一次主要任务是瘫痪SWIFT 的工作，对欧洲银行系统进行大规模网络攻击，目标包括：欧洲、美国和美国联邦储备委员会的银行。 48小时之内，三大黑客组织计划对欧洲银行系统进行大规模的计算机攻击。 值得注意的是，这些计算机黑客组织，在高效和破坏性的计算机攻击方面有着长期的记录。 美国网络安全技术公司曾经发表了一篇报道，里面有个世界各国黑客的“突破时间”排名，其中俄罗斯黑客以18分49秒成功拿下第一，稳坐世界黑客头把交椅，远远领先于第二名朝鲜的2小时20分14秒。 毫不夸张地说，全世界的黑客只有两种，一个是俄罗斯黑客，还是一个是其他国家黑客。 声称将是历史上最强大的网络攻击 俄黑客组织声称这将是“历史上最强大的网络攻击，在接下来的48小时内摧毁欧洲银行。这场毁灭性的网络攻击将切断向乌克兰提供军事援助的资金流动。” 其中有些黑客组织已为大众熟知，“Killnet”（杀网/杀戮网络）的黑客行动主义者，与“Revil”（邪恶）的代表（长期以来被认为已被击败）以及“Anonymous”（匿名者）的成员表示，他们联合起来实现这一目标。 绰号为“Killmilk”的“杀网”领导者证实，袭击的准备工作已经在进行中，预计将在接下来的48小时内开始。 “没有钱，没问题。杀网对欧洲金融基础设施非常熟悉。”该组织的代表威胁说。 “Anonymous”（匿名者）的一名成员还指出，欧洲金融机构将见证“世界近代历史上最强烈的网络攻击”。他敦促他们为即将到来的打击做好准备，并表示当打击发生时，“再修复任何东西都为时已晚”。 “许多欧洲银行将成为目标，我们将毫不留情地打击。”匿名者的代表总结道。 “杀网”发布的关于摧毁欧洲银行系统的视频截图 据媒体报道，Killnet 最近是几个北约网站、FBI 数据库和汉莎航空 IT 中断事件的幕后黑手。 除了对银行的直接攻击外，黑客还可能将目标对准SWIFT系统，该系统是大多数国际银行交易的基础，然而，部分专家怀疑这样的攻击是否会成功。 据报道，网安专家叶夫根尼·戈尔博夫表示，由于银行系统涉及多层保护，宣布的大规模攻击不太可能成功。 戈尔博夫表示：“要对欧洲的银行系统进行网络攻击，您必须先破解它，一切都由多个数据中心控制，对其中一个的攻击不会解决任何问题，即使他们将其关闭一天或一周，银行系统也不会崩溃并且会继续运作，一些银行可能会受到攻击，但不太可能导致灾难性后果。” 这次全球网络攻击利用了“几个美国联邦政府机构”广泛使用的软件中的一个缺陷。美国联邦政府(15日)多个机构遭到的网络攻击，具体程度尚未清楚。而另一起针对西方金融系统的攻击，则由一个组织在那里行动，据说是与俄罗斯有关联的黑客。 美国网络安全和基础设施安全局(CISA)在给CNN的一份声明中证实了这些攻击。CISA网络安全执行助理主任 Eric Goldstein：“CISA正在为经历过入侵的几个联邦机构提供支援。我们正在紧急工作以了解影响并确保及时补救。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/4r02PPYLt7-EyCG9G_O77Q 封面来源于网络，如有侵权请联系删除