Security Affairs 网站披露，俄乌冲突一周年纪念日当天，亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站，以示对战争的抗议，这一消息通过匿名者黑客组织的社交媒体迅速传播。 匿名者组织发布的信息 成功入侵俄罗斯网站后，CH01 黑客组织上传了一段视频，显示克里姆林宫在被入侵网站上“燃烧”。值得一提的是，目前尚不清楚该组织采取那些方式攻破了俄罗斯网站。 此外，CH01 组织在其推特上写道，“神谕说一切邪恶都会消失，一切美好都会永远存在，我们是 CH01黑客组织，代表所有自由世界。 CH01 加入了匿名者的号召，向俄罗斯开战 俄乌战争开始不久后，匿名者组织号召黑客世界对抗俄罗斯，黑客组织 CH01 理所应当的响应号召。此后，在其推特上表示将与整个文明世界团结一致，为恢复正义、光明和善良，持续努力。 在俄乌冲突一周年纪念之际，CH01 组织选择向俄罗斯宣战，其推特上写道，今天凌晨 4 点整，因俄罗斯轰炸基辅，决定对俄罗斯实施一场网络战争，已经成功攻破了几十个俄罗斯网站的防御系统，并获得了所有数据。 “反俄群体”表示将继续与俄罗斯作斗争 本周，匿名者在其社交媒体上发布了一条重磅信息，重申其保护乌克兰免受犯罪入侵方面的承诺。 2023 年 2 月 23 日，匿名者组织入侵了包括 Yumor FM、Relax FM、Comedy Radio、Humor FM 和 Avatoradio 在内的几个俄罗斯电台。       转自 Freebuf，原文链接：https://www.freebuf.com/articles/358755.html 封面来源于网络，如有侵权请联系删除

专家们正在调查德国几个机场的故障，此前一些媒体将这些故障归咎于可能的黑客活动。 周四，德国几个机场的网站无法访问，专家展开调查，推测可能是针对关键基础设施的大规模网络攻击。 ADV机场协会首席执行官证实，这些网站遭到了DDoS攻击。她补充说：“机场的其他系统没有受到影响。” Beisel在一份声明中说:“机场再次成为大规模DDoS攻击的受害者。根据我们目前掌握的信息，其他系统没有受到影响。” 这起网络攻击事件发生的前一天，德国国家航空公司汉莎航空(Lufthansa)在法兰克福机场的一次IT故障导致数千名乘客取消和延误航班。 机场管理人员证实，这些问题很可能是由恶意流量引起的。“我们仍在排除故障，”多特蒙德机场的一位女发言人说，并补充说，故障不太可能是由于常规过载造成的。DW网站报道。“有理由怀疑这可能是黑客攻击，”她补充说。 这次攻击封锁了以下机场的网站: ·   汉诺威机场 ·   多特蒙德机场 ·   纽伦堡机场 ·   卡尔斯鲁厄/巴登巴登机场 ·   杜塞尔多夫 ·   Erfurt-Weimar 1月初，亲俄组织Killnet对德国机场、行政机构和银行的网站发起了DDoS攻击。这些攻击是黑客活动分子对德国政府决定向乌克兰派遣豹2坦克的回应。 德国总理奥拉夫·肖尔茨(Olaf Scholz)在周三的内阁会议上宣布了派遣14辆坦克的决定，并允许其他国家也派遣他们的坦克(直到现在还受到出口法规的限制)。 2月16日，该组织在其Telegram频道上呼吁对德国机场采取行动。 10月，亲俄罗斯的黑客组织“KillNet”声称对针对美国几个主要机场网站的大规模分布式拒绝服务(DDoS)攻击负责。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/pHrM92l9tDwJxVQ4MPUlSg 封面来源于网络，如有侵权请联系删除

Dota 2的玩家注意了，你使用的游戏模式很可能被黑客盯上了。 2月13日消息，未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式，这些模式可能已经被利用来建立对玩家系统的后门访问。 威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003（CVSS 评分8.8），谷歌在2021年10月已修复该漏洞。 “由于V8在Dota中没有沙盒化，这个漏洞本身就可以对Dota玩家进行远程代码执行，”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。 目前，游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。游戏模式本质上是一种自定义功能，既可以扩展现有游戏，也可以以一种偏离标准规则的方式提供全新玩法。 虽然向Steam商店发布自定义游戏模式需要经过Valve的审查，但威胁行为者还是成功地绕过了审查。 这些游戏模式已经被下架，它们是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。据称，该威胁行为者还发布了名为“Brawl in Petah Tiqwa ”的第五种游戏模式，没有包含任何恶意代码。 “test addon plz ignore”中嵌入了一个针对V8缺陷的漏洞，该漏洞可以被用来执行自定义的shellcode。 另外三个采取了更隐蔽的方法，其恶意代码被设计成与远程服务器联系以获取JavaScript有效载荷，这也可能是对CVE-2021-38003的利用，因为该服务器已不能访问。 Avast表示，目前还不知道开发者创建这些游戏模式背后的最终目的是什么。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/game/357530.html 封面来源于网络，如有侵权请联系删除

“阿里的正义”（Edalat-e Ali）黑客团伙声称，对入侵伊朗国家电视台及广播电台的现场直播负责。这次攻击中断并篡改了伊朗总统易卜拉欣·莱希在革命日仪式上的演讲画面。 2月11日，伊朗总统易卜拉欣·莱希在德黑兰的阿扎迪广场发表演讲，与聚集在这里的大批民众庆祝国家成立44周年。本是政府展示群众基础的大好时机，但此次活动却遭到黑客团伙“阿里的正义”的破坏。 黑客干扰了国家电视台的正常播报，转而放送“哈梅内伊去死”的口号，并敦促民众从政府银行中取出资金。此外，他们还鼓励公民参加定于2023年2月16日举行的反政府抗议活动。 图：“阿里的正义”中断了伊朗国家电视台的直播节目 驻德国的伊朗记者Bamdad Esmaili已经在自己的推特账户上证实了此次网络攻击。另一方面，阿里的正义团伙也在其Telegram频道上公布了攻击活动。根据外媒Hackread看到的一份声明，该团伙宣称对入侵广播和电视直播负责。 “我们阿里的正义组织已入侵伊朗伊斯兰共和国的广播与电视播报。首先，阿里的正义要向伊朗这个热爱自由的国家表示哀悼，既悼念这新的十年、也哀悼刽子手哈梅内伊对这个国家的不洁玷污。” “阿里的正义”组织 “阿里的正义”是谁？ 值得注意的是，阿里的正义是一个知名的黑客团伙，过去几年来一直在与伊朗政府作对。他们近期曾发动一系列黑客攻击，包括在2022年10月导致伊朗国营电视台发生直播中断。 2021年8月，该团伙还曾入侵了德黑兰北部一处监狱设施的计算机系统和安保摄像头，导致内部恶劣关押条件与严重侵犯人权行为的录像泄露。 伊朗、抗议、黑客与黑客行动主义者 自2022年9月以来，伊朗一直饱受网络攻击侵扰。当时，有匿名黑客发起了OpIran行动，支持伊朗民众因22岁库德族女孩玛莎·艾米妮(Mahsa Amini)之死发起的抗议。 艾米妮因未按规定佩戴头巾而遭到“指导巡逻队”，即德黑兰道德警察的逮捕，并在拘留期间死亡。 艾米妮之死引发了抗议者与政府当局间的冲突，对抗导致部分民众被捕和死亡。阿里的正义发动的这次最新攻击，也是为了支持伊朗方面的抗议者。 但伊朗政府坚持要对付抗议者，同时世界各地的黑客行动主义者也已经把矛头指向伊朗的关键基础设施。     转自 安全内参，原文链接：https://www.secrss.com/articles/51825 封面来源于网络，如有侵权请联系删除  

匿名者组织上周发布了 128 GB 的文件，据称这些文件是从俄罗斯互联网服务提供商 Convex 窃取的。庞大的数据宝库由 Anonymous 附属集团 Caxxii 的附属机构租用。被盗文件包含情报部门 FSB 进行的天罗地网监视活动的证据。 据称，这种监视活动被归类为未经授权的窃听、间谍活动和对平民的无证监视，这些都是违反该国法律的。 2015 年，在Zakharov 诉俄罗斯一案中，欧洲人权法院警告称，管辖该国调查活动系统监控系统的法律并未提供充分有效的保障，防止任意和滥用任何秘密监控系统，敦促克里姆林宫规避法定授权要求。 2016 年 Yarovaya 法的通过允许当局在不需要法院命令的情况下获取通信信息。 什么数据被转储了？ 据悉，公民的互联网和电话使用情况，以及尚未公开的绿色原子监视计划的独家细节，匿名者组织声称，是由俄罗斯联邦安全局运营。该数据还包含数千名俄罗斯公民的记录，他们是该计划针对的俄罗斯公司的客户。 根据匿名者组织的说法，Green Atom 数据提供了俄罗斯政府滥用其法律结构的程度的证据，因为 Convex 几乎捕获了全部数据。Anonymous 还指出，他们有更多关于 FSB 情报收集活动的未公开信息。 什么是绿色原子监督计划？ 匿名者组织表示数据是从 Convex 窃取的，这导致该公司一直在运行一个名为 Green Atom 的项目，该项目涉及安装和维护监控设备以监控俄罗斯公民和私营公司的在线活动。 通过绿色原子计划，政府可以执行广泛的监视活动，使用 Convex 的设备来监视他们的进出流量。 在发布本文时，数据可在 DDoSecrets 的官方网站上获得。 匿名 – 俄罗斯和乌克兰冲突 随着对俄罗斯网络的匿名网络攻击，乌克兰与俄罗斯的冲突达到了一个新的水平。致力于打击审查制度和腐败的国际黑客组织匿名者迄今已声称对针对俄罗斯政府和私营部门的多起网络和社会工程攻击负责。 该集体的一些攻击包括入侵 Yandex 出租车应用程序(1)、支付处理器 Qiwi (2)、文化部(3)、国营广播公司(4)、俄罗斯中央银行(5)、不安全的打印机(6)、安全摄像头(7)、媒体审查机构 Roskomnadzor (8)、90% 的俄罗斯错误配置数据库(9)、电视传输(10)、电动汽车充电站(11)等等。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/4P0l8Nci5xXG204qrK23RA 封面来源于网络，如有侵权请联系删除  

外媒黑客新闻报道称，恶意黑客正在利用向日葵（Sunlogin）软件的已知漏洞来部署Silver C2框架，以实施后续入侵活动。 这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心（ASEC）发布。该中心发现，中国远程桌面控制软件向日葵的安全漏洞已遭到利用，攻击者正借此部署各种恶意载荷。 研究人员表示，“恶意黑客不仅使用了Silver后门，还使用了BYOVD（自带易受攻击驱动程序）来破坏安全产品并安装反向shell。” 攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞（CNVD-2022-03672 和 CNVD-2022-10270）打开局面，然后借此传播Silver或其他恶意软件，例如Gh0st RAT和XMRig加密货币采矿程序。 在相关案例中，恶意黑客据称利用向日葵漏洞安装了PowerShell脚本，该脚本又利用BYOVD技术使得系统中已安装的安全软件失效，最后使用Powercat投放了反向shell。 BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名，可获得更高权限并终止反病毒进程。 值得注意的是，趋势科技此前曾经披露过，有攻击者利用原神冲击（Genshin Impact）游戏的反作弊驱动程序（包括mhyprot2.sys）部署勒索软件。 研究人员指出，“目前还不确定，这次是否出自同一批恶意黑客之手，但几个小时之后，日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。” 从调查结果来看，这批黑客打算利用由Go语言编写的合法渗透测试工具Silver，替代以往的Cobalt Strike和Metasploit。 研究人员总结道，“Silver提供必要的分步功能，例如账户信息窃取、内部网络横移以及企业内网越界，跟Cobalt Strike非常相似。”     转自 安全内参，原文链接：https://www.secrss.com/articles/51691 封面来源于网络，如有侵权请联系删除

近日，Julius “Zeekill” Kivimäki因攻击一家心理治疗中心并勒索病人而被捕。然而这只是他数千起网络犯罪行为中的一件。 据报道，2020年10月，该黑客闯入位于赫尔辛基的私人心理治疗中心Vastaamo，窃取了与治疗有关的敏感数据和超过22000名患者的财务信息。 由于该医疗中心拒绝支付六位数的赎金，个别病人收到威胁，勒索支付500欧元的赎金，否则他们的私人信息将被曝光。 最终犯罪者将一个包含所有被盗Vastaamo患者记录的大型压缩文件上传到了暗网上。不小心的是在这个大型压缩文件内包含了一份犯罪者的家庭文件夹副本，这也使网警锁定了Kivimäki。 自2022年10月以来该嫌疑人一直否认所有指控并躲避芬兰当局。在逮捕令发出后，他仍在一条推特上继续否认自己参与过任何形式的犯罪活动。 目前Julius “Zeekill” Kivimäki 因被控勒索和敲诈罪被法国当局逮捕。这次逮捕是长期的国际合作和两国警方共享信息的结果。目前对于犯罪嫌疑人何时引渡还不确定，引渡程序的时间取决于诸多因素，因此在目前阶段，何时将嫌疑人带到芬兰会是一个挑战。 曾因超过50000起网络犯罪被定罪 Kivimäki是一个名为Lizard Squad的网络犯罪集团的成员。该组织在2014年底最为活跃，曾参与对PlayStation和Xbox在线游戏服务的DDoS攻击，还曾对一架载有索尼在线娱乐公司总裁约翰-斯梅德利的飞机发出炸弹威胁。 Kivimäki还是个少年时，就参与了一系列高调的网络攻击，并在2013年因50000多起网络犯罪被定罪。 然而，这位17岁的少年没有入狱，仅仅获得到了两年的缓刑。然而这样宽松的判决也引起了网络犯罪领域专家的批评。假设我是另一个黑客组织，看到有人因为超过50000次黑客攻击而仅仅被判处缓刑，这样只能助长网络犯罪的风气。   转自 Freebuf，原文链接：https://www.freebuf.com/news/356806.html 封面来源于网络，如有侵权请联系删除

网络犯罪是一项蓬勃发展的业务。因此，像任何其他繁荣的市场一样，勒索软件集团或在线诈骗行动背后的主谋也需要工人。而且他们不仅仅是在寻找其他犯罪黑客。开发人员、管理员和设计师的需求量也很大。 正如网络安全市场正在争夺最好的人才一样，网络犯罪分子也在提供高薪和福利以吸引最优秀的人才。一些广告吹嘘熟练黑客的年薪高达120万美元。 根据网络安全公司卡巴斯基的新分析，开发人员似乎是网络犯罪生态系统中最抢手的。该公司的研究人员审查了2020年1月至2022年6月期间155个暗网论坛上发布的大约20万条与就业有关的信息。帖子的数量在2022年3月达到顶峰，可能是因为COVID-19相关的防疫措施影响和多个国家的收入减少。尽管如此，分析发现，招聘帖子–包括寻求就业和列出工作–每季度都超过了1万个。 其他需求职位包括攻击专家、反向工程师、测试人员、分析师、管理员和设计师。研究人员说，即使是最复杂的黑客团队仍然需要帮助。 并非所有的招聘信息都是从事非法工作的角色–事实上，一家”知名的俄罗斯银行”寻求招聘开发人员，而其他银行则寻求开发合法的IT学习课程的候选人–但即使是犯罪工作也有典型就业广告的那种平凡的感觉。研究人员说，测试任务很常见，包括加密文件、躲避反病毒检测以及总体上专业和在线的步骤。 描述候选人测试过程的清单。成功进入第四步的候选人将被雇用做全职工作，每周获得800至1500美元的报酬（图像来源于卡巴斯基）。 清单的其他常规部分对于普通的技术求职者来说是普通人很熟悉的，比如激励措施–“每一次成功的任务，你都会得到加薪和即时奖金”，例如推荐入职可以有额外奖金甚至是带薪休假。合适的候选人可以获得高薪，根据角色的不同，一般黑产雇员工资中位数在1300至4000美元之间。 一些安排似乎更加非正式：”想要长期合作，黑掉一些中国网站并为我转储数据库，让我们在xmpp上交谈。”一条信息写道，指的是一个广泛的互联网信息平台。 分析发现，一些寻求工作的人似乎只是需要钱，但对其他人来说，原因可能更难确定。无论哪种情况，寻求这种工作的人可能并不完全了解他们所涉及的对象。研究人员写道：”人们去暗网找工作可能有几个原因。许多人被对轻松赚钱和巨大经济利益的期望所吸引。大多数时候，这只是一种幻觉，实际上工资很少明显高于可以合法获得的工资。然而，由于对他们的工资不满意，合法经济中相当大比例的雇员辞去工作，在暗网市场上找到类似的工作。市场上的变化、裁员和减薪，也常常促使他们在网络犯罪网站上寻找工作。”     转自 cnBeta，原文链接：https://www.toutiao.com/article/7194671259689419323/ 封面来源于网络，如有侵权请联系删除

威胁行为者针对在“被占领土地上”运营的以色列化学公司发起了大规模黑客攻击活动。一个名为 Electronic Quds Force 的组织正在威胁公司的工程师和工人，并邀请他们辞职。 这次攻击是对以色列政府及其针对巴勒斯坦人的政策的报复，黑客指责特拉维夫的暴力行为。 电子圣城军发出信息：“我们对在化工厂工作的科学家的建议是辞掉他们的工作，寻找一份新工作，并在我们不在的地方找到避难所。我们确认你在化工厂的工作对你的生命构成威胁；下次对巴勒斯坦人实施暴力行为时，我们会毫不犹豫地用化学制品熔化你们的身体。” 消息很明确，黑客声称能够干扰化学公司运营的工厂的运营，可能导致人员伤亡。 这段时期的紧张局势非常严重，巴勒斯坦卫生部表示，1 月是“自 2015 年以来西岸最血腥的一个月。迄今为止，已有 35 名烈士被以色列占领军和定居者杀害，其中包括 8 名儿童，一位妇人。 这些消息与据称属于网络攻击目标之一的化学公司的工业控制系统 (ICS) 图像一起发布在该组织的 Telegram 频道上。 据联合国称，上周以色列军队在巴勒斯坦村庄开展的行动数量有所增加，根据过去 16 年的数据，2022 年是巴勒斯坦人死亡人数最多的一年。 双方的网络攻击都在增加，2022 年 9 月，亲巴勒斯坦黑客组织 GhostSec 声称已经破坏了以色列组织使用的 55 个 Berghof 可编程逻辑控制器 (PLC)，作为自由巴勒斯坦运动的一部分。 GhostSec 还发布了一段视频，展示了成功登录到 PLC 的管理面板以及 HMI 屏幕的屏幕截图，其中显示了攻击的某些阶段，包括 PLC 的块。 该组织还分享了其他截图，声称已经获得了另一个控制面板的访问权限，该面板可用于修改水中的氯含量和 pH 值。2022 年 8 月，黑客组织 ALtahrea Team 攻陷雅法、海法、阿卡和埃拉特港口网站。 据悉，该组织还在针对数百个以色列网站，包括 Sderot 市政府的网站。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/CNReUbjnwnPsW4aOvyAzyA 封面来源于网络，如有侵权请联系删除

一个名为 InTheBox 的攻击组织正在俄罗斯网络犯罪论坛上发布 1894 个网络注入（网络钓鱼窗口的覆盖）的清单，用于从银行、加密货币交易所和电子商务应用程序中窃取凭据和敏感数据。 这些覆盖层与各种 Android 银行恶意软件兼容，并模仿由数十个国家/地区主要组织运行的应用程序。 InTheBox 商店为各种银行恶意软件提供范围广泛的 Web 注入，包括 Alien、Ermac、Octopus、MetaDroid、Cerberus 和 Hydra。数百次注入的打包价格从近 4000 美元到 6500 美元不等。单个 Web 注入的价格已从每个 50 美元降至 30 美元。 自 2020 年 2 月以来，InTheBox 一直是经过验证的 Android 移动应用程序网络注入供应商。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分（例如：恶意软件的开发），并将攻击范围扩大到其他地区。 网络注入如何工作？ InTheBox 的网络注入通常以压缩包的形式出现，其中包括一个 PNG 格式的应用程序图标和一个 HTML 文件。该 HTML 文件包含 JavaScript 代码，负责使用伪装成移动应用程序输入表单的恶意覆盖界面收集敏感信息。 CRIL 研究人员表示，注入过程从一个覆盖界面开始，该界面要求受感染的用户输入他们的手机银行详细信息，例如用户 ID、密码和手机号码。 输入这些凭据后会加载一个覆盖界面，诱使用户透露他们的信用卡号、有效期和 CVV 信息，然而合法的应用程序根本不需要输入这些。 如何保持安全？ 研究人员建议遵循以下网络安全最佳实践，以防止攻击者访问他们的个人和财务信息。 仅从官方应用商店等可信来源下载和安装软件。 仅下载获得许可的防病毒软件并始终保持更新。 谨慎打开手机上未知来源的消息或电子邮件收到的任何链接。 在您的 Android 设备上启用 Google Play Protect 以保持保护。 授予任何应用程序权限时请谨慎行事。 让您的设备、操作系统和应用程序保持最新。 密切注意最新软件更新中提供的安全功能，并警惕任何要求输入额外信息（如支付卡详细信息）的提示。 如果您怀疑您的设备可能已被感染，请尝试恢复出厂设置或删除可疑应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356329.html 封面来源于网络，如有侵权请联系删除