The Hacker News 网站披露，一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标，开展大规模网络攻击活动。 俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动，其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国，团伙成员除了使用定制的恶意软件感染受害者窃取数据，还通过可移动驱动器在系统中传播，并进行持续监视。 GoldenJackal 疑似与 APT 组织 Turla 有联系 尽管业内人士对 GoldenJackal 团伙知之甚少，但不少人都怀疑其已经活跃了至少四年时间，卡巴斯基指出目前尚无法确定其来源以及与知名黑客组织者的关系，但从其作案手法来看，带有强烈的间谍动机。更重要的是，GoldenJackal 团伙还一直试图保持低调，这样的举动符合具有国家背景黑客团体的所有特征。 研究人员在 GoldenJackal 和疑似俄罗斯背景的 APT 组织 Turla 之间已经观察到了一些战术上的重叠。在一个案例中，一台受害者的机器被 Turla 和 GoldenJackal 感染的时间仅仅相差两个月。目前，虽然不知道用于入侵目标计算机的确切初始路径尚不清楚，但迄今为止收集的证据表明攻击者使用了被黑客入侵的 Skype 安装程序和恶意 Microsoft Word 文档。 安装程序充当了传递名为 JackalControl 的基于.NET 的特洛伊木马的渠道。此外，有人观察到 Word 文件将Follina漏洞（CVE-2022-30190）武器化，以删除相同的恶意软件。 顾名思义，JackalControl 使攻击者能够远程征用机器，执行任意命令，以及从系统上传和下载到系统。 受害目标的地理位置分布 GoldenJackal 部署的其它一些恶意软件如下： JackalSteal： 一种植入物，用于寻找感兴趣的文件，包括位于可移动 USB 驱动器中的文件，并将它们传输到远程服务器。 JackalWorm：一种蠕虫病毒，被设计用来感染使用可移动 USB 驱动器的系统，并安装 JackalControl 木马。 JackalPerInfo：一种恶意软件，具有收集系统元数据、文件夹内容、已安装的应用程序和正在运行的进程，以及存储在网络浏览器数据库中凭证的功能。 JackalScreenWatcher ：一个根据预设时间间隔抓取屏幕截图并将其发送到攻击者控制的服务器的实用程序。 GoldenJackal 团伙另一个值得注意的是它依靠被黑的 WordPress 网站作为中转站，通过注入网站的流氓PHP 文件，将网络请求转发到实际的命令和控制（C2）服务器上。 最后，卡巴斯基研究员 Giampaolo Dedola 强调：GoldenJackal 团伙的工具包似乎还在持续开发中，变种的数量增加表明他们仍在追加“投资”，但该组织可能正试图通过限制受害者的数量来降低其知名度。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367393.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，上个月，出于经济动机的网络犯罪集团 FIN7 再次浮出水面，微软威胁研究人员将其与在受害者网络上部署 Clop 勒索软件有效载荷的攻击活动联系起来。 微软安全情报部门表示网络犯罪集团 FIN7（ELBRUS，Sangria Tempest）目前已经摆脱了不活跃状态。其实早在 2023 年 4 月，就有研究人员观察到了 FIN7 在某些攻击活动中部署了 Clop 勒索软件，这是自 2021 年底以来， FIN7 第一次参与的勒索软件活动。 在最近的攻击活动中，FIN7 组织利用基于 PowerShell 的 POWERTRASH 内存中恶意软件植入程序在受感染的设备上部署 Lizar 后期开发工具，这使得威胁攻击者能够在目标网络中”站稳脚跟“并横向移动，以使用 OpenSSH 和 Impacke t部署 Clop 勒索软件。 微软指出在 REvil 和 Maze 参与 BlackMatter 和 DarkSide 勒索软件即服务（Raas）业务之前（现已解散），FIN7 网络犯罪团伙曾与它们有过联系， Clop 勒索软件只是其用来攻击受害者的最新手段。 PaperCut 攻击中使用的 FIN7 工具 值得一提的是，BleepingComputer 表示其看到的一份微软私人威胁分析报告中显示 FIN7 组织还与针对 PaperCu t 打印服务器的 Clop、Bl00dy 和 LockBit 勒索软件的攻击有关。 此外，微软看到它追踪的 FIN11 金融犯罪集团 Lace Tempest 采用了新的工具，包括该公司与 FIN7 相连的 inv.ps1 PowerShell 脚本，该脚本被用来部署 FIN7 的 Lizar 后期开发工具包，因此推测两个威胁集团的运营商很可能最近开始合作或共享了攻击工具。 FIN7活跃多年 2013 年以来，金融网络犯罪组织 FIN7 就一直针对欧洲和美国餐馆、赌博和酒店等不同领域的实体组织，开展网络攻击活动。美国联邦调查局曾警本国企业， FIN7 协调的 USB 驱动器攻击的目标是美国国防工业，包裹中含有恶意的 USB 设备，旨在部署勒索软件。 此外，FIN7 背后运营商还在类似的攻击中冒充百思买，通过美国邮政向酒店、餐馆和零售企业发送恶意闪存驱动器，这些包裹还捆绑了泰迪熊，欺骗目标降低警惕。 随着 FIN7 组织持续活跃，陆续有成员被捕。2021 年 4 月，FIN7 成员 Fedir Hladyr（一名高级经理）被判处 10 年监禁；2021 年 6 月，FIN7 成员 Andrii Kolpakov，被判处 7 年监禁；2022 年 4 月，FIN7 成员 Denys Iarmak 因网络入侵和信用卡盗窃被判处 5 年监禁。尽管多年来一些 FIN7 成员持续被逮捕，但该黑客组织仍然活跃，并在不断壮大。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367177.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于巴基斯坦和中国境内的实体组织。 APT 组织 SideWinder 至少从 2012 年起就开始活跃，其攻击链主要利用鱼叉式网络钓鱼作为入侵机制，在受害目标的网络环境中“站稳脚跟”，从其以往的攻击目标来看， 受攻击最频繁的国家包括巴基斯坦、中国、斯里兰卡、阿富汗、孟加拉国、缅甸、菲律宾、卡塔尔和新加坡等。 SideWinder 频频攻击中国和巴基斯坦的实体组织 网络安全公司 Group IB 和 Bridewell 在与 TheHackerNews 分享的一份联合报告中指出，SideWinder 团伙在攻击过程中利用由 55 个域名和 IP 地址组成的虚假网络。研究人员 Nikita Rostovtsev、Joshua Penny和Yashraj Solaki 进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。 2023 年 2 月初，Group-IB 揭示了 SideWinder 在 2021 年 6 月至 11 月期间可能针对亚洲各地的 61 个政府、军队、执法部门和其它组织的证据。 近期，研究人员观察到 SideWinder 在针对巴基斯坦政府组织的规避攻击中，使用了一种名为基于服务器的多态性技术。 新发现的域名模仿了巴基斯坦、中国和印度的政府组织，其特点是在 WHOIS 记录中使用相同的值和类似的注册信息。 在这些域名中，有些是以政府为主题的诱饵文件，这些文件中大部分于 2023 年 3 月从巴基斯坦上传到VirusTotal。其中一个是据称来自巴基斯坦海军战争学院（PNWC）的 Word 文件，最近几个月被 QiAnXin 和 BlackBerry 分析过。 值得一提的是，研究人员还发现了一个 Windows 快捷方式（LNK）文件，该文件于 2022 年 11 月下旬从北京上传到 VirusTotal。就 LNK 文件而言，它被设计成运行一个从远程服务器上检索到的 HTML 应用程序（HTA）文件，该服务器欺骗了清华大学的电子邮件系统（mailtsinghua.sinacn[.]co）。另一个大约在同一时间从加德满都上传到 VirusTotal 的 LNK 文件，从伪装成尼泊尔政府网站的域（mailv.mofs gov[.]org）中获取了 HTA 文件。 研究人员在对 SideWinder 进一步调查后，发现了一个恶意的 Android APK 文件（226617），该文件于2023 年 3 月从斯里兰卡上传到 VirusTotal。 这个流氓安卓应用程序冒充“Ludo Game”，并提示用户授予其访问联系人、位置、电话日志、短信和日历的权限，有效地发挥了间谍软件的功能，获取用户的敏感信息。Group-IB 表示，流氓安卓应用程序还与其在 2022 年 6 月披露的假冒安全 VPN 应用程序有相似之处，后者是通过一个名为 AntiBot 的流量指示系统（TDS）向巴基斯坦的受害目标分发。 总的来说，这些域名表明 SideWinder 已经将目光投向了巴基斯坦和中国的金融、政府和执法机构，以及专门从事电子商务和大众传媒的公司。 最后，研究人员强调像许多其它 APT 组织一样，SideWinder 依靠有针对性的鱼叉式网络钓鱼作为初始载体。因此对于实体组织来说，部署能够引爆恶意内容的商业电子邮件保护解决方案至关重要。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366828.html 封面来源于网络，如有侵权请联系删除

国际电子产品制造商Lacroix日前遭受网络攻击，致使其全球超三分之一的工厂暂时关闭。该公司称目前事件已经得到控制，但受到影响的生产工厂可能继续关停一周。 该公司表示，其本地基础设施已遭黑客加密，目前正在对事件开展调查。 Lacroix主要为工业客户生产智能电子产品，上一财年报告的收入为7.08亿欧元，其中绝大部分（5.22亿欧元）来自电子产品部门。公司总部位于法国西部卢瓦尔河地区的博普雷欧，在欧洲、北非和美国拥有4000多名员工。 Lacroix被迫关停三处工厂 Lacroix公司披露在上周末遭遇到网络攻击，旗下8个制造工厂中有3个受到了影响。 受影响的3个工厂包括位于博普雷欧的法国制造中心，位于威利希市的德国工厂以及位于Zibra的突尼斯工厂。这3个工厂占公司总产量的19%，在目前的事件调查期间已全部关闭。根据初步计划，各处工厂将于5月22日重新开放。 在关闭期间，Lacroix公司将实施备份，并通过分析检验是否存在数据泄露。 目前尚不清楚该公司是否收到勒索要求或已经支付了赎金，但从其中涉及数据加密和泄露来看，此次事件很有可能属于勒索软件攻击。 该公司希望尽快恢复工厂生产，并在一份声明中表示“尽管目前公布确切恢复时间还为时过早，但Lacroix已经定下了在5月22日星期一重新开放的目标。” 勒索软件攻击对制造业设施造成的功能性破坏，往往会给受害企业带来巨大的成本损失。 2019年，挪威铝业公司Norsk Hydro就曾遭受Locker Goga勒索软件攻击，多处工厂被迫暂时关闭。该公司拒绝支付赎金，并最终因此损失达数千万美元。     转自 安全内参，原文链接：https://www.secrss.com/articles/54729 封面来源于网络，如有侵权请联系删除

知情人士周五表示，美国交通部（USDOT）发生了一起数据泄露事件，暴露了23.7万名现任和前任联邦政府人员的个人信息。 该事件攻击了用于处理TRANServe交通福利的系统，这些福利津贴用于发放政府人员的一些通勤费用。目前尚不清楚这些个人信息是否被用于犯罪目的。 路透社了解到，USDOT周五在一封电子邮件中通知国会，其对数据泄露的初步调查“将违规行为隔绝在行政职能部门的某些系统，例如员工交通福利处理“。 USDOT在给路透社的一份声明中表示，此次违规行为并未影响任何运输安全系统。但还尚不清楚这次事件的幕后黑手。 该部门正在调查这起违规事件，并冻结了对过境福利系统的访问，直到该系统得到保护和恢复。 联邦雇员公共交通通勤费用的最高福利津贴为每月280美元。此次事件影响了114000名现任员工和123000名前员工。 当然，联邦工作人员和机构过去也一直是黑客攻击的目标。 美国人事管理办公室（OPM）在2014年和2015年发生两起数据安全事件泄露了2200多万人的敏感数据，其中包括420万现任联邦人员，以及560万人的指纹数据。 还有，据路透社2021年报道，涉嫌潜入美国联邦机构的俄罗斯黑客侵入了司法部的非机密网络，并阅读了财政部、商务部和国土安全部的电子邮件，9个联邦机构遭到破坏。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366467.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，西班牙国家警察局逮捕了 40 名 Trinitarians 网络犯罪团伙的成员。据悉，这群人中包括两名通过网络钓鱼等技术手段实施银行诈骗的黑客，以及 15 名犯有银行诈骗、伪造文件、身份盗窃和洗钱等多项罪行的犯罪分子。 对于此次抓捕行动，西班牙政府方面表示 Trinitarians 犯罪组织利用黑客工具实施计算机诈骗，据信总共诈骗了30 多万受害者，造成了 70 多万欧元的损失。 犯罪分子通过发送短信实施诈骗 根据西班牙警方透露的消息，为发动网络攻击活动，网络攻击者通过短信发送虚假链接，一旦用户点击进去，便立刻被重定向到伪装成合法金融机构的网络钓鱼页面。这时候，网络攻击者就会窃取用户的凭据，滥用其申请贷款的权限，并将卡链接到其控制的加密货币钱包上。 值得一提的是，网络攻击者还会在发送的短信中“诱导”用户进入紧张的情绪中（一直以解决银行账户所谓的安全问题为由，催促受害者点击附带链接），从而增加诈骗成功的概率。 被网络犯罪分子盗取的卡一般都被用来购买数字资产，随后被套现，用以资助 Trinitarians 日常运营，例如支付法律费用、向监狱成员汇款，以及购买毒品和武器等。一些非法所得也会转移到外国银行账户，集团成员用这些钱在多米尼加共和国购买房产。 此卡，西班牙国家警察局指出 Trinitarians 组织还有一个内部网络体系，用来从银行转账中收款，并通过自动取款机提取。 西班牙当局表示，通过侦察和分析线索，警方在马德里、塞维利亚和瓜达拉哈拉省进行了 13 次房屋搜查，最终查收 Trinitarians 组织大量的计算机设备、挂锁、5000 欧元现金、开锁工具包和其它包含该团伙组织结构信息的文件。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366284.html 封面来源于网络，如有侵权请联系删除

韩国国家警察厅 (KNPA) 警告说，朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络，以窃取敏感的医疗信息和个人详细信息。该事件发生在 2021年5月至 6 月之间，警方在过去两年中进行了分析调查，以确定肇事者。 根据执法机构的新闻稿，根据以下信息将此次攻击归因于朝鲜黑客： 在攻击中观察到的入侵技术 与朝鲜威胁行为者独立关联的 IP 地址 网站注册详情 特定语言和朝鲜语词汇的使用   韩国当地媒体将这次袭击与 Kimsuky 黑客组织联系起来，但警方的报告并未明确提及具体的威胁组织。 攻击者使用韩国等国的七台服务器对医院内部网络发起攻击。 警方表示，该事件导致831,000人的数据泄露，其中大多数是患者。此外，受影响的人中有17,000人是现任和前任医院员工。 KNPA 新闻警告说，朝鲜黑客可能会试图渗透各个行业的信息和通信网络。它强调需要加强安全措施和程序，例如实施安全补丁、管理系统访问和加密敏感数据。 KNPA警告说：“我们计划调动我们所有的安全能力，积极应对国家政府支持的有组织网络攻击，并通过信息共享和与相关机构的合作来防止进一步的损害，从而坚定地保护韩国的网络安全。 ”   毛伊岛和安达利尔 据悉，朝鲜黑客此前与医院网络入侵有关，旨在窃取敏感数据并向医疗机构勒索赎金。 美国政府曾强调了 Maui 勒索软件威胁本身，警告医疗保健部门他们需要加强对朝鲜行动的防御。 发出此警告后不久，卡巴斯基的安全研究人员将 Maui 勒索软件操作与名为“Andariel”（又名“Stonefly”）的特定活动集群联系起来，该活动被认为是 Lazarus 的一个子组。 自2021年4月以来， Lazarus以使用勒索软件攻击韩国实体而闻名 。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/TfanyqS4SwwPFipd6AtHpg 封面来源于网络，如有侵权请联系删除

LockBit 3.0勒索软件集团周一泄露了从印度贷款机构Fullerton India窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 Fullerton 印度公司4月24日表示，他们遭受了恶意软件的攻击，作为预防措施，被迫暂时脱机运营。该公司表示，目前已经恢复了客户服务，并与全球网络安全专家合作，使其安全环境更具弹性。 随后，LockBit 3.0 勒索软件集团很快在其数据泄漏网站上将富勒顿印度公司列为受害者，称其窃取了600GB的 “个人和合法公司的贷款协议”。 LockBit 3.0 勒索软件集团给出了4月29日的最后期限，要求其支付赎金否则将公布被盗数据。随后该组织还让该公司选择支付1000美元，将最后期限延长24小时。 Fullerton 印度公司在印度各地设有699个分支机构，为大约210万客户提供上门信贷服务。该公司在2022年管理着价值超过25亿美元的资产，雇用了13000多名员工。 著名的网络犯罪研究人员Ritesh Bhatia与信息安全媒体集团分享了关于LockBit集团在暗网上发布与Fullerton印度公司相关文件的证据。他说，数据泄漏是由于Fullerton印度公司拒绝勒索软件集团的要求，导致该集团启动了三重勒索手段，迫使该公司付款。 双重勒索是指勒索软件攻击者加密受害者的数据并将其渗出，以对受害者施加额外的压力，而三重勒索是指黑客联系受害者的客户、商业伙伴、供应商和客户，将漏洞公之于众，迫使受害者到谈判桌上来。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366094.html 封面来源于网络，如有侵权请联系删除

3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后，西部数据已将其商店下线，并向客户发送了数据泄露通知。 上周五下午，该公司通过电子邮件发送了数据泄露通知，称其数据库遭到攻击，存储在内的客户数据被盗。 西部数据表示：根据调查，我们最近了解到，在2023年3月26日左右，一个未经授权的组织获取了西部数据数据库的副本，其中包含在线商店客户的有限个人信息。这些个人信息涉及到客户姓名、帐单和送货地址、电子邮件地址和电话号码。作为一项安全措施，相关数据库以加密的形式存储了哈希密码（已加盐）和部分信用卡号码。 西部数据公司的数据泄露通知 西部数据一方面在继续调查此事件，同时也已将其商店做了下线处理。其商店现在仅显示一条信息，写着：我们很快就会回来，我们现在无法处理订单。 用户访问权限预计将于2023年5月15日恢复。同时，西部数据还告知那些受影响的客户需警惕鱼叉式网络钓鱼攻击，有一些威胁行为者可能冒充公司，利用被盗数据从客户那里收集更多的个人信息。 西部数据遭遇网络攻击 3月26日，西部数据公司遭遇网络攻击，发现其网络遭到黑客攻击，公司数据被盗，随后发布了数据泄露通知。作为对这次攻击的回应，该公司关闭了两周云服务功能，并同时关闭了移动、桌面和网络应用功能。 据TechCrunch报道，一个“未命名”的黑客组织此前入侵了西部数据公司，并声称窃取了10tb的数据。虽然威胁行为者表示他们并隶属于ALPHV勒索软件的麾下，但他们利用他们的数据泄露网站勒索西部数据，并将他们与勒索团伙联系起来。 在4月28日发布的一份报告中，攻击者通过发布被盗电子邮件、文件和应用程序的截图嘲弄了西部数据。这些截图显示，即使他们的行为已经被该公司发现，但他们仍然可以访问公司的网络。 黑客们还声称窃取了一个包含客户信息的SAP Backoffice数据库，并分享了一张疑似客户发票的截图。这之后威胁者没有发布进一步的数据，这也表明他们目前仍在敲诈西部数据，希望借此机会得到一大笔赎金。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/365811.html 封面来源于网络，如有侵权请联系删除

据了解，俄罗斯“沙虫”黑客组织与对乌克兰国家网络的攻击有关。在该网络攻击中，WinRAR 被用来破坏政府设备上的数据。 在一份新的通报中，乌克兰政府计算机应急响应小组 (CERT-UA) 表示，俄罗斯黑客使用未受多因素身份验证保护的受损 VPN 帐户访问乌克兰国家网络中的关键系统。 一旦获得网络访问权，他们就会使用脚本来使用 WinRAR 归档程序擦除 Windows 和 Linux 机器上的文件。 在 Windows 上，Sandworm 使用的 BAT 脚本是“RoarBat”，它会在磁盘和特定目录中搜索文件类型，例如 doc、docx、rtf、txt、xls、xlsx、ppt、pptx、vsd、vsdx、pdf、png、jpeg、 jpg、zip、rar、7z、mp4、sql、php、vbk、vib、vrb、p7s、sys、dll、exe、bin 和 dat，并使用 WinRAR 程序将它们归档。 RoarBat 在所有驱动器上搜索指定的文件类型 (CERT-UA) 但是，当执行 WinRAR 时，攻击者会使用“-df”命令行选项，该选项会在文件存档时自动删除它们。当档案本身被删除，实际上删除了设备上的数据。 CERT-UA 表示 RoarBAT 是通过使用组策略创建并集中分发到 Windows 域上的设备的计划任务运行的。 定时任务集运行BAT脚本 （CERT-UA） 在 Linux 系统上，攻击者使用 Bash 脚本代替，该脚本使用“dd”实用程序用零字节覆盖目标文件类型，擦除其内容。由于这种数据替换，即使不是完全不可能，也不太可能使用 dd 工具恢复“清空”的文件。 由于“dd”命令和 WinRAR 都是合法程序，威胁行为者可能使用它们来绕过安全软件的检测。 CERT-UA 表示，该事件类似于 2023 年 1 月袭击乌克兰国家新闻机构“Ukrinform”的另一场破坏性攻击，同样归因于 Sandworm。 “恶意计划的实施方法、访问主体的 IP 地址以及使用 RoarBat 修改版本的事实证明与 Ukrinform 网络攻击的相似性，有关信息已在 Telegram 频道中发布” Cyber ArmyofRussia_Reborn 写道。 CERT-UA 建议该国所有关键组织减少攻击面、修补漏洞、禁用不需要的服务、限制对管理界面的访问并监控其网络流量和日志。 在这样的情况下，允许访问公司网络的 VPN 帐户应该受到多重身份验证的保护。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/vdHnHLQASjIs_tBMTYPwSw 封面来源于网络，如有侵权请联系删除