The Hacker News 网站披露，澳大利亚联邦警察（AFP）逮捕了一名来自悉尼的19岁青少年，该少年被指控试图利用上月底 Optus 泄露的数据信息，敲诈受害者。 从媒体披露的信息来看，该嫌疑人利用 Optus 泄露的数据信息，实施了短信勒索骗局，恐吓收件人向特定银行账户转账 2000 美元，否则个人信息可能会被滥用于欺诈活动。 据悉，嫌疑人利用的数据，来源于10200条记录组成的样本数据库（Optus 泄露的部分数据信息），该数据库是名为 ”optusdata “的攻击者，短暂地发布在了一个可访问的网络犯罪论坛上。 犯罪嫌疑人或面临长时间监禁 青少年被逮捕后，澳大利亚联邦调查局进一步表示，他们在犯罪嫌疑人家中查获了一部用于向约 93 名 Optus 客户发送短信的手机。犯罪嫌疑人被指控使用电信网络实施严重犯罪和非法处理身份信息，这两项指控最高可分别判处 10 年和 7 年的监禁。 值得注意的是，截止到犯罪嫌疑人落网，收到短信的受害者中还没有一人向该账户转入资金。此外，执法机构还发起了 “守护者行动”，以确定受影响的 10200 人的信息安全，并监控互联网论坛，以防止威胁者试图利用所发布的信息获取经济利益。 早些时候，Optus 证实信息泄漏事件影响了近 210 万名现有及以前的客户，主要泄露了客户的执照号码和医疗保险号码等个人信息。   转自 Freebuf，原文链接：https://www.freebuf.com/news/346232.html 封面来源于网络，如有侵权请联系删除

对于加密货币来说，这无疑是艰难的一年，在周四晚上超过5亿美元的加密货币代币从加密货币巨头Binance被盗之后更是让这一现状雪上加霜。该漏洞严重影响了Binance Bridge，这是一个跨链桥，允许代币在Binance加密货币交易所运营的两个相关区块链之间转移，并统称为BNB Chain。 根据知名智能合约分析师samczsun的说法，攻击者伪造交易，这允许他们从桥上提取200万个BNB代币，价值约为5.7亿美元。估计约8700万美元的资金被完全从BNB生态系统中移除；但剩余的资金无法立即转移，因为BNB Chain采取了强力措施，完全停止了区块链，这意味着在这之后没有任何交易可以被处理。 “在跨链桥上的一个漏洞，BSC Token Hub，导致出现了额外的BNB，”Binance CEO赵长鹏在攻击发生后不久发布的一条推文中说。”我们已经要求所有验证者暂时暂停BSC[Binance Smart Chain]。” BNB Chain账户的一条推文说，截至周五凌晨，区块链开始恢复运行。在一份”生态系统更新”中，BNB Chain团队为该漏洞道歉，并表示该项目将举行一系列链上治理投票，以决定是否冻结被黑客攻击的资金，以及是否应该为抓到肇事黑客提供赏金。 “从更广泛的角度来看，我们已经看到了一系列针对跨链桥梁漏洞的攻击，”该博文写道。”我们将公开分享事后调查的细节和所有关于如何实施更先进的安全措施以加固这些漏洞的教训。” 近年来，跨链桥已经成为超高价值黑客攻击的最常见地点，部分原因是它们在任何时候都储存着非常大的加密货币代币。虽然加密货币行业早期的特点是频繁攻击交易所，但安全性已大大改善，黑客需要突破许多安全层才能提取资金。有了加密货币的桥梁，在某些情况下，伪造一笔有效交易的能力足以让人拿走九位数的资金。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1324645.htm 封面来源于网络，如有侵权请联系删除

SentinelLabs 研究人员发现了一个从未被发现的黑客组织，被追踪为Metador，主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。 专家指出，黑客使用的攻击链旨在绕过本地安全解决方案，同时将恶意软件平台直接部署到内存中。攻击者高度了解操作安全性，他们能够管理每个受害者仔细分割的基础设施，并观察到在安全解决方案存在的情况下快速部署复杂的对策。 专家报告称，Metador 针对的一家电信公司已经被来自伊朗等国在内的近10个黑客组织入侵，其中包括Moshen Dragon和MuddyWater。 SentinelLabs 发现了两个 Windows 恶意软件平台，称为“metaMain”和“Mafalda”，以及存在额外 Linux 植入的证据。黑客使用 Windows 调试工具“cdb.exe”在内存中解密和加载这两个恶意软件。 Mafalda 是一个灵活的植入程序，最多支持 67 个命令，它被威胁参与者不断升级，并且威胁的新变种被高度混淆。   以下是 SentinelLabs 详细介绍的一些命令： 命令 55  – 将文件或目录从攻击者提供的源文件系统位置复制到攻击者提供的目标文件系统位置。 命令 60  – 读取 %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State 的内容，并将内容发送到 C2，名称前缀为 loot\ 命令 63  – 进行网络和系统配置侦察 命令 67  – 从驻留在受害者网络中的另一个植入程序中检索数据并将数据发送到 C2 研究人员表示，当启用 TCP KNOCK 通信方法时，metaMain 和 Mafalda 植入程序可以通过另一个内部称为“Cryshell”的植入程序与 C2 服务器建立间接连接。这两种恶意软件都通过端口敲门和握手过程向 Cryshell 进行身份验证。 “Mafalda 向 Cryshell 进行身份验证 Mafalda 向 Cryshell 进行身份验证 Mafalda 还支持使用另一个植入程序从 Linux 机器检索数据，该植入程序将数据作为名称前缀为 loot_linux 的数据包的一部分发送到 C2。尽管这个未命名的 Linux 植入程序和 Cryshell 可能是相同的，但 Mafalda 通过不同的端口敲门和握手程序对 Linux 植入程序进行身份验证。” 阅读研究人员发表的分析。 对 C2 基础设施的分析表明，Metador 对每个受害网络使用单个外部 IP 地址，用于通过 HTTP（metaMain、Mafalda）或原始 TCP（Mafalda）进行命令和控制。在所有已确认的入侵中，C2 服务器都托管在荷兰托管服务提供商 LITESERVER 上。 “除了 HTTP，外部 Mafalda C2 服务器还支持通过端口 29029 的原始 TCP 连接。我们还观察到 Metador 的一些基础设施在一个不寻常的端口上托管了一个 SSH 服务器。虽然 SSH 通常用于远程访问 *nix 系统，但我们很难相信成熟的威胁行为者会以这种方式暴露他们的基础设施。相反，它们很可能被用来通过 Mafalda 的内部 portfwd 命令传输流量。” 继续分析。 谁是 Metador 的幕后黑手？ 目前，专家们无法将该活动归因于已知的 APT 组织，但研究人员认为，其背后可能与“高端承包商安排”有关。“遇到 Metador 是一个令人生畏的提醒，不同类别的威胁行为者继续在阴影中活动而不受惩罚。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/0-yUSpdTT0MdtiG03FcuPA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据Mandiant称，至少有三个支持俄罗斯利益的黑客组织可能与国家支持的网络黑客合作。 谷歌旗下的威胁情报和事件响应公司表示：“据称，黑客活动Telegram频道‘XakNet Team’、‘Infoccentr’和‘CyberArmyofRussia_Reborn’的发布者正在与俄罗斯主要情报局（GRU）资助的网络黑客协调其业务。” Mandiant的评估基于以下证据：从乌克兰组织窃取的数据泄漏发生在被追踪为APT28（又名Fancy Bear、Sofacy或Strontium）的俄罗斯民族国家组织实施的恶意雨刷事件的24小时内。 为此，来自这些组织的16次数据泄露中，有4次与APT28发起的磁盘擦除恶意软件攻击同时发生，该恶意软件使用了一种名为CaddyWiper的病毒。 APT28从2009年开始活跃，与俄罗斯军事情报局、总参谋部主要情报局（GRU）有关联，并在2016年因在美国总统选举前违反民主党全国委员会（DNC）而引起公众关注。 虽然所谓的黑客组织已经针对乌克兰进行了分布式拒绝服务（DDoS）攻击和网站破坏，但有迹象表明，这些虚假角色是信息操作和破坏性网络活动的幌子。 也就是说，这种关系的确切性质以及与俄罗斯国家的关联程度仍然未知，尽管它表明，要么是GRU官员本人直接参与，要么是通过运营Telegram频道的管理员参与。 XakNet泄露了APT28用于入侵乌克兰网络的“独特”技术工件，以及CyberArmyofRussia_Reborn的数据发布之前是APT28入侵操作的事实，从而证实了这一推理。 这家网络安全公司指出，它还发现了XakNet团队和Infoccentr以及亲俄罗斯组织KillNet之间的某种程度的协调。 Mandiant说：“乌克兰战争也为了解俄罗斯网络计划的整体性、协调性和有效性提供了新的机会，包括黑客对社交媒体平台的使用情况。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

以色列国防承包商埃尔比特系统公司的美国分公司表示，其网络在6月初遭到黑客攻击，员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说，有369名员工受到数据泄露的影响，其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。 在通知中，这家位于得克萨斯州的公司几乎没有分享任何细节，只是说“有人试图干扰美国埃尔比特公司的网络运营”，而且其调查正在进行。 埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府，也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。 总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头，为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。 埃尔比特公司在监控软件市场也有涉猎。2015年，埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门，并将其分拆为一个名为Cyberbit的子公司。两年后，互联网监督机构Citizen Lab的研究人员发现，由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说，这些间谍软件冒充假的浏览器插件，旨在从受害者的电脑中提取私人用户数据，包括电子邮件、密码和屏幕截图。 Citizen Lab说，埃塞俄比亚政府可能下令进行监视。 埃尔比特公司在2020年出售了其在Cyberbit的股份，在美国私募股权公司Charlesbank Capital Partners投资7000万美元后，成为少数股东。 Cyberbit是设在以色列的几个已知的间谍软件制造商之一，包括NSO集团、Cytrox和Candiru。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1321033.htm 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，“匿名者”黑客组织声称已成功入侵俄罗斯国防部网站并泄露了 305925 人的数据信息。据悉，这些人中可能包含部分俄罗斯新动员起来赴乌克兰作战的士兵。 “匿名者”黑客组织通过 ProtonDrive 分享了一个大小 90MB 的TXT 文件，文件中包含 30 多万人的姓名、出生日期、区域和地区等详细信息。值得注意的是，目前还无法核实所公布档案的确切来源。 匿名者一直支持乌克兰 近日，俄罗斯总统普京发表了全国讲话，宣布军事动员 30 万名预备役军人，以加强在乌克兰的特别军事行动。如果“匿名者”所说的网络攻击消息属实，可能会使俄预备役人员受到社工攻击，并存在被乌克兰方面“联系”的可能性。 俄乌冲发生后，“匿名者”黑客组织立即宣布对俄罗斯政府进行“网络战争”，至今已发起多次对俄罗斯的网络攻击活动。 3 月份，匿名者组织声称攻破了负责监督通信、信息技术和大众媒体的俄罗斯联邦机构数据库，并泄露了超过 36 万份文件。同月，该组织还入侵了俄罗斯流媒体服务和电视新闻频道，播放了乌克兰战争画面。 网络战已经成为俄乌战争中重要组成部分，网络也逐渐成为双方角力的战场。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/345581.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： GitHub警告说，正在进行的网络钓鱼活动针对其用户，通过冒充CircleCI DevOps平台来窃取凭据和双重身份验证（2FA）代码。 该公司于9月16日获悉针对其用户的攻击，并指出网络钓鱼活动已经影响了除GitHub以外的许多受害组织。 网络钓鱼消息声称用户的CircleCI会话已过期，并试图诱骗收件人使用GitHub凭据登录。 “单击该链接会将用户带到一个类似GitHub登录页面的钓鱼网站，但会窃取输入的任何凭据。对于启用了基于TOTP的双因素身份验证（2FA）的用户，钓鱼网站还会将任何TOTP代码实时转发给黑客和GitHub，从而允许黑客侵入受基于TOTP的2FA保护的帐户。受硬件安全密钥保护的帐户不易受到这种攻击。”微软旗下公司发布的公告表示。 收件人被重定向到假冒GitHub登录页面的网络钓鱼页面，该页面旨在实时窃取用户输入的凭据和2FA代码。 该公司指出，受硬件安全密钥保护的账户不易受到这种攻击。 攻击者使用的策略包括快速创建GitHub个人访问令牌（PAT）、授权OAuth应用程序或向帐户添加SSH密钥，以便在用户更改密码时保持对帐户的访问。 在其他情况下，攻击者会立即下载受感染用户可以访问的私有存储库内容，包括组织帐户和其他合作者拥有的内容。 攻击者使用VPN或代理提供商，通过受感染的用户帐户下载私有存储库数据。 如果被盗帐户具有组织管理权限，则攻击者可能会创建新的GitHub用户帐户并将其添加到组织中以建立持久性。 以下是此次活动中使用的已知网络钓鱼域名列表: circle-ci[.]com emails-circleci[.]com circle-cl[.]com email-circleci[.]com “在进行分析时，我们为受影响的用户重置了密码，并删除了黑客添加的凭据，我们还通知了所有已知受影响的用户和组织。如果您没有收到我们的电子邮件通知，那么我们没有证据表明您的帐户和/或组织被黑客访问。我们暂停了所有已识别的黑客帐户，将继续监控恶意活动，并根据需要通知新的受害者用户和组织。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在发现攻击者利用新的关键零日漏洞攻击其客户网络后，安全软件公司Sophos发布了其防火墙产品的补丁更新。 该漏洞跟踪为CVE-2022-3236（CVSS 评分：9.8），影响Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本，并涉及用户门户和Webadmin组件中的代码注入漏洞，该漏洞可能导致远程代码执行。 该公司表示，它已经发现该漏洞被用于针对一小部分特定组织，主要是在南亚地区，并直接通知了这些实体。 Sophos建议用户采取措施确保用户门户和Webadmin不会暴露于WAN。或者，用户可以更新到最新版本。 v19.5 GA v19.0 MR2 (19.0.2) v19.0 GA, MR1, and MR1-1 v18.5 MR5 (18.5.5) v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4 v18.0 MR3, MR4, MR5, and MR6 v17.5 MR12, MR13, MR14, MR15, MR16, and MR17 v17.0 MR10 运行旧版本Sophos Firewall的用户需要升级才能获得最新的保护和相关补丁。 这一进展标志着Sophos防火墙漏洞在一年内第二次受到主动攻击。今年3月初，另一个漏洞 ( CVE-2022-1040 ) 被用于针对南亚地区的组织。 然后在2022年6月，网络安全公司Volexity分享了攻击活动的更多细节，将入侵行为归因于一种称为DriftingCloud的中国高级持续威胁（APT）。 Sophos防火墙设备以前也曾遭到攻击，部署了所谓的Asnarök 特洛伊木马，企图窃取敏感信息。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国联邦调查局 (FBI) 和 美国网络安全和基础设施安全局（CISA ）表示，7 月份阿尔巴尼亚政府遭遇的网络破坏性攻击背后的威胁组织之一伊朗黑客在其系统内潜伏了大约长达14 个月之久。获得了对受害者网络的初始访问权限，其中包括勒索软件式文件加密器和磁盘擦除恶意软件。 此次攻击背后的恶意行为者，被 FBI 统称为一个名为“国土正义”的伊朗支持的威胁组织，于2022年7月，即最初的入侵事件发生 14 个月后，攻击了阿尔巴尼亚政府，摧毁了多个网站和服务。 本月，伊朗国家黑客针对阿尔巴尼亚政府发起了一系列新的网络攻击，使用的策略和方法与 7 月份的攻击类似。联合公告提供了有关 HomeLand Justice 在阿尔巴尼亚政府网络内的恶意活动的更多技术细节，包括使用受损的 Microsoft Exchange 帐户来查找和泄露凭据和大量数据。 阿尔巴尼亚因网络攻击 与伊朗断绝外交关系 7月袭击事件发生后，阿尔巴尼亚总理埃迪·拉马表示，伊朗大使馆的全体工作人员被要求在 24 小时内离开该国。这一决定是在阿尔巴尼亚将7月的袭击归咎于伊朗国家黑客之后做出的决定。 美国政府还指责伊朗在7月袭击了阿尔巴尼亚，并表示该国将对威胁北约盟国的安全负责。 国土正义组织于7月18日声称发动了袭击，并在7月下旬至8月中旬之间泄露了从阿尔巴尼亚政府网络窃取的信息。 这两个机构今天补充说：“这些可能是为了报复公开指责7月份的网络攻击并切断阿尔巴尼亚和伊朗之间的外交关系。” 早在2021年7月，美国总统拜登曾警告说，导致严重安全漏洞的网络攻击也可能导致“真正的枪战”。拜登发表上述言论的一个月前，北约在2021年 6月中旬发表声明称网络攻击在某些情况下可以等同于“武装攻击”。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Z4k9–HTghHsvaO2b2sErw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 几个月前发现的影响Atlassian Confluence Server的现已修补的严重安全漏洞正在被积极利用，在未修补的安装上进行非法加密货币挖掘。 Trend Micro威胁研究员Sunil Bharti在一份报告中说：“如果不加以补救并成功利用，该漏洞可能会被用于多种恶意攻击，例如完全接管基础设施和部署信息窃取者、远程访问木马（RAT）和勒索软件。” 该漏洞被追踪为CVE-2022-26134（CVSS评分：9.8），于2022年6月由澳大利亚软件公司解决。 在网络安全公司观察到的一个感染链中，该漏洞被用来在受害者的机器上下载并运行一个shell脚本（“ro.sh”），进而获取第二个shell脚本（“ap.sh” ”）。 恶意代码旨在更新PATH变量以包含其他路径，例如“/tmp”，从远程服务器下载cURL实用程序（如果不存在），禁用iptables防火墙，滥用PwnKit漏洞（CVE-2021-4034）获得root权限，并最终部署hezb加密矿工。 与其他密码劫持攻击一样，shell脚本也会终止其他竞争对手的硬币矿工，禁用阿里巴巴和腾讯的云服务提供商代理，然后通过SSH进行横向移动。 这些发现反映了Lacework、微软、Sophos和Akamai之前在6月份披露的类似利用漏洞的企图。 Lacework的分析进一步表明，用于检索cURL软件的命令和控制 (C2) 服务器以及hezb矿工还分发了一个名为“ kik ”的基于Golang的ELF二进制文件，该文件使恶意软件能够杀死感兴趣的进程。 建议用户优先修补该漏洞，因为它可能被黑客用于其他恶意目的。 Bharti说：“攻击者可以利用注入自己的代码进行解释，并获得对目标Confluence域的访问权限，还可以进行攻击，从控制服务器进行后续恶意活动到破坏基础设施本身。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文