安全内参11月1日消息，欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件，导致上周举行的会议被迫暂停。 上周四（10月27日），斯洛伐克议会议长鲍里斯·科拉尔（Boris Kollár）在电视简报会中解释称，为了着手调查此次安全事件，原定的议会投票被迫取消。 科拉尔在简报会上透露，“我们发现了一起网络安全事件……有一个信号来自某个点，干扰了我们的系统和计算机，甚至为议员们服务的自助餐厅都受到了影响。” 斯洛伐克国家安全办公室（NSB）后续发表声明，确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节，也没有回应置评请求。 值得一提的是，官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”，并导致会议提前结束。但斯洛伐克国家安全局（NBU）发言人彼得·哈巴拉（Peter Habara）提醒说，这起（网络安全）事件可能不是网络攻击，只是普通的系统中断，网络攻击是一种“故意行为”。 据斯洛伐克共和国通讯社（TASR）发言人米凯拉·尤尔乔娃（Michaela Jurcová）介绍，“对这起网络安全事件的初步分析表明，网络通信确实出现了异常，结果导致所有组件功能均受到影响，包括接入网络基础设施的投票设备。” 该国执法机构目前正与国家安全局合作开展调查。 科拉尔称这起事件“非常严重”，并取消了11月8日之前的所有原定会议。他还指出，如果能早点解决问题，议会也可以考虑在下周重启会议。 斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃（Anna Zemanová）在采访中表示，把会议推迟到11月8日简直“荒谬”，并声称此次攻击可能是在故意拖延时间，避免执政党的几位政客在重要立法会议上缺席。 继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后，斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周，保加利亚政府网站也受攻击影响，官员们将事件归咎于某亲俄罗斯黑客团伙。 据路透社报道，波兰议会上周四同样遭遇了网络攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/48543 封面来源于网络，如有侵权请联系删除

以色列网络情报公司 KELA近期发布的报告显示，2022年Q3季度已观察到黑客以总计400万美元的价格出售全球576 家企业网络的访问权限。 初始访问代理 (IAB) 能让黑客获得企业网络访问权限，通常是通过窃取凭证、Webshell 或利用公开暴露在硬件中的漏洞来实现。随后，他们将这些访问权限出售给其他黑客，这些黑客用它来窃取有价值的数据、部署勒索软件或进行其他恶意活动。 报告反映出反映出黑客对企业初始访问权限的泄露销售活动虽然相对稳定，但与Q2仅66万美元的总价来看，Q3季度的价格在急剧上升。 Q3季度详情 在2022年Q3季度，KELA 的分析师观察到110 名黑客共发布了 576 家企业的初始访问权限，总价为 400万美元，而其中平均售价为 2800 美元，中位售价则达到创纪录的 1350 美元。 销售平均价格与中位价格 报告显示出排名前三的 IAB黑客手握大量权限，在 2022 年第三季度提供 40 到 100 个访问权限供出售。根据黑客论坛内的交流情况和售卖列表的变更，发现出售企业访问权限的平均时间仅为 1.6 天，而大多数是远程桌面协议(RDP)和 VPN 类型。 在国家分布上，本季度占比最多的国家是美国，占所有 IAB 的 30.4%。这一统计数据接近Q3季度针对美国公司的勒索软件攻击中 39.1% 的份额。 Q3季度最常针对的国家/地区 从目标行业来看，专业服务、制造业和科技领域分别以 13.4%、10.8% 和 9.4% 位居榜首。同样，勒索软件攻击具有相似的排名，说明二者之间存在密切关联。 Q3季度目标行业分部 由于IAB已成为勒索软件攻击链不可或缺的一部分，因此采取正确措施保护网络免受入侵至关重要，包括将远程访问服务器放置在 VPN 后面、限制对公开设备的访问、启用 MFA 以及进行网络钓鱼培训以防止企业凭证被盗。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348439.html 封面来源于网络，如有侵权请联系删除

据《每日邮报》10月30日报道，英国前首相利兹·特拉斯（Liz Truss）的私人手机在夏季竞选时被俄罗斯间谍入侵。消息人士称，手机受到严重破坏，如今它被放置在政府部门的保险箱中。为了应对黑客攻击，特拉斯上任不久后更换了手机号码。 《每日邮报》称网络间谍已经获得了特拉斯与主要国际合作伙伴的机密交流信息、和英国保守党政治家夸西·科沃滕（Kwasi Kwarteng）的私人对话、对约翰逊的批评等，这些信息可能被用来勒索特拉斯。 专家还认为，被窃信息包括特拉斯与国际外交部长就乌克兰冲突进行的对话，可能与武器运输有关。 在特拉斯担任外交大臣并竞选保守党党魁期间，网络间谍入侵了特拉斯的手机。时任英国首相的鲍里斯·约翰逊（Boris Johnson）和内阁秘书西蒙·凯斯（Simon Case）决定对这次黑客攻击保密。 “如果外交大臣的手机可以如此轻易地被网络间谍入侵，这对情报部门来说不是一件好事。”《每日邮报》表示。这一事件引起了英国政府内部的担忧，议员们担心信息被窃取并泄露后造成的后果。 政府发言人试图淡化这一事件，解释称政府有强有力的措施来保护其基础设施免受网络威胁。“我们不评论个人的安全意识和措施。政府拥有强大的系统来防范网络威胁。我们为部长们定期提供安全简报和个人数据保护建议。”发言人补充。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348338.html 封面来源于网络，如有侵权请联系删除

安全内参10月28日消息，《纽约邮报》昨天证实，公司遭遇了黑客攻击，其网站和推特账户被攻击者利用，发布了一系列针对美国政客的攻击性内容。 周四上午，《纽约邮报》删除了自家网站和推特账户发布的多条令人不安的推文，并随后声明称，“〈纽约邮报〉遭到黑客攻击，相关原因目前正在调查当中。” 这些攻击性的头条新闻和推文打击面极广，涉及纽约州多位政客以及拜登总统的儿子亨特·拜登。 内部员工未授权搞事 据《纽约时报》报道，《纽约邮报》事后调查发现，当天早上在其网站和推特发布的一系列“未经授权”的粗俗及种族主义的推文和头条新闻系一位内部员工所为。 推特上的帖子有提到纽约州州长Kathy Hochul，并把关于她的言论错误扣到了下届选举中的竞争对手、众议员Lee Zeldin头上。帖子里还提及了纽约市长Eric Adams和拜登总统的儿子亨特·拜登。 该员工使用邮报的内部发布系统重新发表了一篇关于众议员Alexandria Ocasio-Cortez的社论，只是将署名改为保守派评论员Ben Shapiro，并把标题换成了《为了美国，我们必须干掉Alexandria Ocasio-Cortez》。 《纽约邮报》发言人在邮件中解释道，“调查表明，此次未授权行为出自一名员工之手，我们正在采取适当行动。” 州长Hochul女士的竞争活动发言人Jen Goodman要求《纽约邮报》对事件详情做出解释。 Goodman在声明中指责，“长久以来，〈纽约邮报〉一直在其头版和社交账户上发布丑陋且极具毒害性的言论，但这次的内容比以往更恶心、更粗鄙。” 多家美国大媒体近期遭黑 近期还发生过类似的安全事件。一个月前，有恶意黑客入侵了美国商业杂志《Fast Company》的内容管理系统（CMS）。 在黑客利用苹果新闻平台向读者的移动设备推送种族主义言论之后，Fast Company被迫将网站关闭了约两个星期。 事后，Breached黑客社区的成员Thrax声称对此负责，并透露了黑客攻击的情况，以及如何通过WordPress实例入侵目标网站的CMS。 《纽约邮报》的母公司、美国媒体和出版业巨头新闻集团今年2月曾经披露，其“持续”受到网络攻击的侵扰。 这轮攻击于今年1月被发现。根据报道，恶意黑客已经能够访问新闻集团员工（包括部分记者）的电子邮件和文档。 新闻集团旗下的资产包括《纽约邮报》、《福克斯新闻》、《华尔街日报》以及News UK British报社。 外媒就《纽约邮报》被黑一事联系新闻集团，对方发言人表示无法回应置评请求。 转自 安全内参，原文链接：https://www.secrss.com/articles/48443 封面来源于网络，如有侵权请联系删除

据观察，被称为 Kimsuky 的朝鲜间谍活动参与者使用三种不同的 Android 恶意软件来针对韩国某些用户。这是根据韩国网络安全公司 S2W 的调查结果，该公司将恶意软件家族命名为 FastFire、FastViewer 和 FastSpy。 研究人员 Lee Sebin 和 Shin Yeongjae指出，FastFire 恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装成‘Hancom Office Viewer’，而FastSpy是基于AndroSpy的远程访问工具。Kimsuky，也被称为 Black Banshee、Thallium 和 Velvet Chollima。据悉被朝鲜以一项全球情报收集任务，不成比例地针对韩国、日本和美国的个人和组织。 去年8月，卡巴斯基发现了一个名为GoldDragon的未曾记录的感染链，以部署一个 Windows 后门，该后门能够从受害者那里窃取信息，例如文件列表、用户击键和存储的 Web 浏览器登录凭据。 Android 版本的AppleSeed植入程序也知道这种高级持续性威胁可以执行任意操作并从受感染的设备中泄露信息。 FastFire、FastViewer 和 FastSpy 是其不断发展的 Android 恶意软件库的最新成员，旨在接收来自 Firebase 的命令并下载其他有效负载。 “FastViewer 是一个重新打包的 APK，通过将攻击者插入的任意恶意代码添加到普通的 Hancom Office Viewer 应用程序中，”研究人员说，并补充说恶意软件还会下载 FastSpy 作为下一阶段。 有问题的流氓应用程序如下 ： com.viewer.fastsecure（Google 보안 插件） com.tf.thinkdroid.secviewer (FastViewer) FastViewer 和 FastSpy 都滥用 Android 的可访问性 API 权限来实现其间谍行为，后者自动用户点击以类似于MaliBot的方式授予自己广泛的权限。 FastSpy 启动后，使攻击者能够控制目标设备、拦截电话和短信、跟踪用户的位置、获取文档、捕获击键并记录来自手机摄像头、麦克风和扬声器的信息。 2022 年 5 月曾被用于一次活动中，该活动被确定为由该组织精心策划，以分发伪装成朝鲜相关新闻的恶意软件发布。 研究人员表示：“Kimsuky 集团不断进行攻击，以窃取目标针对移动设备的信息。此外，正在通过定制开源 RAT 的 Androspy 进行各种尝试来绕过检测。” 由于 Kimsuky 集团的移动攻击策略越来越先进，因此有必要小心针对 Android 设备的复杂攻击。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Inucu2jqhqUMSonwqC9n0A 封面来源于网络，如有侵权请联系删除

伊朗原子能机构周日声称，由国家支持的黑客破坏了其子公司网络并自由进入电子邮件系统。目的是在Mahsa Amini死亡的抗议活动中引起 “注意”。伊朗政府尚未将此次攻击归因于某个特定的人。 9月16日，22岁的阿米尼因涉嫌违反该国严格的女性着装规定而被捕，她的死亡引发了长达数周的示威活动，使伊斯兰共和国陷入困境。 这个自称 “黑色奖赏 “的黑客组织在Telegram上宣布了对原子能组织的黑客攻击，并分享了布什尔工厂的合同、施工计划和设备细节的文件，作为入侵的证据。据称，该组织周六在社交媒体上发布的材料包括一个来自据称是伊朗的一个核基地的短片，以及包含协议、地图和工资单的文件。 Black Reward声称已经侵入伊朗政府，并渗出了与他们的核计划有关的敏感数据。10月21日，他们给了伊朗政府24小时的时间来释放在最近的抗议活动中被捕的政治犯，否则他们将公布这些文件。 Black Reward说他们的要求没有得到满足。在接下来的几个小时里，他们将公布伊朗原子能组织的大量数据。该组织宣布泄露了50千兆字节的敏感文件，目前仍不清楚这个巨大的数据库是否还包含机密信息。 “伊朗的民用核部门说，黑客入侵了一家在南部港口城市布什尔运营该国唯一核电站的公司所使用的电子邮件系统，但没有详细说明。美联社报道：”伊朗此前曾指责美国和以色列的网络攻击损害了该国的基础设施。 伊朗原子能组织说：”这些出于无奈的非法努力旨在吸引公众的注意，创造媒体氛围和心理行动。” 此前，伊朗于2015年与世界大国达成了一项具有里程碑意义的协议。该协议正式称为《联合全面行动计划》（JCPOA），给予伊朗制裁豁免，以换取对其核计划的限制。 2018年，当时任总统唐纳德-特朗普单方面退出该协议时，该协议遭到破坏，但自2021年4月以来，一直在进行断断续续的谈判，以努力恢复该协议。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/0MgZSr36-WNuu0WL20Vnmg 封面来源于网络，如有侵权请联系删除

据Security affairs等网站消息，澳大利亚零售巨头Woolworths 批露了近期旗下子公司MyDeal一起影响 220 万用户的数据泄露事件，攻击者已在黑客论坛上发帖出售被盗数据。 根据批露的信息，攻击者使用泄露的用户凭证访问了公司客户关系管理 (CRM) 系统，查看并导出了220万条用户信息。这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息，部分还涉及用户的出生日期。但MyDeal 声明没有泄露任何支付信息、政府 ID 或帐户密码。 MyDeal 已开始向受影响的用户发送数据泄露通知，并表示未收到通知的用户不受影响。 攻击者开始出售 MyDeal 数据 10月16日，黑客已开始在一个黑客论坛上以 600 美元的价格出售被盗数据，声称该数据目前包含 100 万个条目，其他数据还在逐步解析中。在随后发布的样本中，攻击者展示了 其中286 名MyDeal 用户所泄露的个人信息。 黑客论坛上出售的 MyDeal 数据 由于一些黑客已经习惯购买被盗数据用于其他网络犯罪活动，因此安全人员表示所有 MyDeal 用户需要警惕可能存在的有针对性的网络钓鱼攻击。 据悉，Woolworths在上个月刚完成了对MyDeal 80%的股份收购，使其成为旗下的一家子公司。至于Woolworths是否也会在此次数据泄露事件中受到牵连，该公司表示他们的系统位于完全不同的平台上，不受此次事件的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347119.html 封面来源于网络，如有侵权请联系删除

本周早些时候，The Register 报道了今夏了一起无人机袭击事件。然而受害的私人投资公司却对此保持沉默，仅同意根据保密协议与安全人员展开探讨。据说当时网络管理员发现公司的 Confluence 页面在局域网内表现出了奇怪的行为，而 Confluence 则是 Atlassian 开发的基于 Web 的远程写作软件。 报道称，安保人员在大楼顶层发现了两架无人机 —— 其一是经过改装的 DJI Matrice 600，其二是经过改装的 DJI Phantom —— 前者炸机但仍在运行，而后者实现了安全着陆。 后续调查发现，Matrice 600 无人机被加装了渗透套件，包含一台树莓派、GPD 迷你笔记本电脑、4G 调制解调器、Wi-Fi 设备、以及几块电池。 此外 Phantom 无人机则打包了 Hak5 开发的一套名为 Wi-Fi Pineapple 的网络渗透测试设备。 与该公司 IT 团队沟通的安全研究员 Greg Linares 表示，攻击者在数日前使用 Phantom 无人机 + Wi-Fi 渗透装置拦截了员工的凭据。 接着攻击者将窃取的信息编码到了 Matrice 无人机携带的穿透设备中，利用员工 MAC 地址和访问凭据、从屋顶侵入了公司的 Cnnfluence 页面。 可知其浏览了 Confluence 日志，试图窃取更多登录信息、以连接到公司内网的其它设备。庆幸的是，攻击者仅取得了有限的进展。 当管理员注意到受感染员工设备的 MAC 地址在本地和数英里外的远程地点登录时，立即意识到公司网络遭受了攻击。 在对 Wi-Fi 信号实施隔离后，安全团队带着福禄克测试仪追踪并定位了屋顶上的渗透设备。 Greg Linares 表示，这是他在近两年里看到的第三次基于无人机的网络攻击。 不过大家也无需惊慌，毕竟新案例得逞的前提，是受害企业启用了一套未妥善部署安全措施的临时网络。 而且就算是这套本就脆弱的网络，攻击者也蛰伏了数周时间来实施‘内部侦查’。 综上所述，该威胁行为者距离目标地点的物理距离肯定不太远，手头有足够预算、且知悉受害企业的物理安全限制。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327417.htm 封面来源于网络，如有侵权请联系删除

全球最大加密货币交易平台币安（Binance）10月7日上午传出跨链桥BSC Token Hub遭到黑客入侵，估计损失价值1亿美元的加密货币，已与社群合作冻结了当中的700万美元。 据悉，该漏洞是通过复杂的伪造低级证明到一个共同的库。据Binance首席执行官赵长鹏称，跨链桥上的漏洞 “导致了额外的BNB”，促使Binance智能链（BSC）暂时中止。并估计有价值1亿美元的加密货币资产受到影响，约占上次所销毁币安币的四分之一。 “BNB是’Build and Build’的缩写（以前叫Binance Coin），是为BNB Chain上的交易提供’燃料’的区块链气体代币。”Binance在今年2月初指出。据悉，目前没有用户资金受到影响，因为BSC代币中心桥的漏洞使未知的威胁行为者攻击者能够以未经授权的方式铸造新的BNB代币。在这期间，币安不仅暂停Beacon Chain与Smart Chain之间的跨链交易，也针对BSC释出修补程式，列出多个禁止交易的黑名单地址。 区块链安全公司SlowMist表示，虽然黑客涉及在两笔交易中提取200万个BNB，但链的暂停防止了近4.3亿美元的加密货币被盗。 这是今年一系列针对跨链桥的重大事件中的最新事件。跨链桥促进了资产在区块链之间的转移，此前有Axie Infinity、Harmony Horizon Bridge和Nomad Bridge。 区块链分析公司Chainalysis在8月估计，价值20亿美元的加密货币在13次跨链桥攻击中被盗，占2022年被盗资金总额的69%。 这一发展也是在网络安全公司Bitdefender披露了一个加密劫持活动的细节，该活动利用微软OneDrive中已知的DLL侧向加载漏洞，建立持久性并部署加密货币矿工软件。 在一个相关的发展中，趋势科技透露，一个被称为Water Labbu的恶意行为者针对其他犯罪分子经营的45个基于加密货币的欺诈网站，将受害者的资金转移到他们控制的钱包。以一种寄生的方式，威胁行为者损害了其他骗子的网站，冒充分散的应用程序（DApp），并将恶意的JavaScript代码注入其中。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/I-ZgIkCn-lM8gv9pwCGOKQ 封面来源于网络，如有侵权请联系删除

10月6日，视频游戏发行商 2K 向用户发送电子邮件称，其个人信息已在 9 月 19 日的攻击事件中被盗并在网上出售。 9月20日，2K证实其帮助台平台被黑客入侵， 并被通过嵌入式链接向用户推送含有Redline Stealer 恶意软件的虚假支持票。随后，2K关闭了其支持门户网站以调查违规行为，并建议收到电子邮件并单击链接的用户重置浏览器存储的密码，检查其帐户是否存在可疑活动。 带有 RedLine 恶意软件下载链接的虚假 2K 支持票 但显然，这没能阻止数据泄露的发生。在邮件中，2K告诉用户，发现未经授权的第三方访问并复制了用户注册时提供的姓名、电子邮件地址、帮助台识别号、玩家代号和控制台详细信息，但表示没有迹象表明涉及用户资金的账户及密码泄露。 2K还告诉用户，目前没有发现攻击者能够窃取帐户凭证的证据，并建议用户重置密码以确保帐户安全。 在黑客论坛上，2K的游戏支持数据库已被挂出进行销售，包括用户 id、用户名、电子邮件、真实姓名等信息，总计达到400万条。 在黑客论坛上正进行出售的 2K 用户数据 在此次攻击事件中，攻击者所运用的Redline Stealer恶意软件可以在感染受害者系统后收集大量数据，包括保存的浏览器密码、信用卡、VPN 凭证、cookie、即时消息、加密货币钱包等。因此，2K强烈建议用户重置所有密码，尤其是那些已经中过招点击过恶意链接的用户。   转自 Freebuf，原文链接：https://www.freebuf.com/news/346294.html 封面来源于网络，如有侵权请联系删除