王牌五金内部发生一起网络安全事件，导致包括网络、仓库、零售商、客服等诸多关键运营系统中断运行，在线订购等服务无法使用，顾客只能前往线下商店去购买。 有消息称：美国五金零售连锁巨头王牌五金（Ace Hardware）似乎成为了最新遭到网络攻击的机构。 该公司网站日前警告称，公司拥有的零售合作社目前无法处理在线订单。而首席执行官John Venhuizen也发布备忘录，说明问题十分严重。 Venhuizen发给王牌五金零售商一份备忘录中表示：“上周日早上，我们检测到一起影响我们大多数IT系统的网络安全事件。由于这一事件，我们许多关键运营系统，包括ACENET（网络）、仓库管理系统、零售商移动助手（ARMA）、热销产品目录、发票、奖励系统及客服中心的电话系统都已中断或暂停运行。” 王牌五金公司暂未回应外媒The Register提供更多信息的请求。根据社交媒体上的评论来看，内部情况不容乐观。有网友声称在这家市值数十亿美元的机构的仓库工作，他们表示已被打发回家。其他人则担心无法按时领到工资。 据The Register观察，王牌五金的最新情况更新表明，该公司10月31日不会送货，也无法接受来自零售商的订单。不过，商店应该保持营业。王牌五金指出，尚未发现有店内支付系统或信用卡处理系统受到影响。 换句话说，消费者已经无法通过王牌五金公司下订单或使用其他服务，但可以亲自前往王牌五金商店购买现货商品。 王牌五金尚未明确遭受的攻击类型，只表示正在努力恢复系统和运营，并已请数位数字取证专家提供协助。 首席执行官对零售商们补充道：“您的王牌五金团队正在一组技术取证专家的支持下，全力解决这一情况。没有什么比尽早恢复所有运营更重要。我们面临的动态快速变化，事件细节将迅速变化。” 有许多潜在漏洞可能已经被利用来攻击该机构的信息技术系统；上周，思杰系统有限公司用户被敦促修补一个关键的Netscaler漏洞。我们注意到，美高梅度假村承认，这家娱乐巨头因为去年9月的网络攻击可能损失了1亿美元。 王牌五金公司被誉为全球最大的由零售商拥有的硬件合作社，总部位于美国伊利诺伊州。该公司销售DIY所需各类工具和其他物品。据称公司在全球拥有5000多家独立门店。 该公司最近的收入有所下降，2023年第一季度报告为21亿美元，较去年同期下降了5.8%。 根据《新闻周刊》的“美国最值得信赖的公司”排行，王牌五金公司被评为美国第六值得信赖的零售商。   转自安全内参，原文链接：https://www.secrss.com/articles/60302 封面来源于网络，如有侵权请联系删除

权威政府和犯罪团伙正在争先恐后地利用人工智能增添其网络攻击的能力，这些攻击可能会打开守护我们最敏感机密和最重要基础设施的大门–这将增加医院、学校、城市和企业的危险，因为它们已经经常成为黑客欺诈性电子邮件的牺牲品，而黑客还会继续制造混乱。 随着技术的不断发展，人们越来越担心大型语言模型（LLM）（如 ChatGPT）被用于犯罪目的的可能性。人工智能将大大提高网络钓鱼邮件的成功率，这是黑客入侵人们的计算机、电子邮件账户和公司服务器的最具破坏性的有效技术。目前，90% 以上的网络攻击都是从网络钓鱼信息开始的，它们伪装成来自朋友、家人或商业伙伴的合法通信，诱骗人们在虚假登录页面上输入密码或下载恶意软件，从而窃取数据或监视他们。通过利用人工智能的文本生成和数据分析能力，黑客将能够发送更有说服力的网络钓鱼信息，诱骗更多受害者，造成难以计数的损失。 地下社区对 LLM 抱有极大的兴趣，恶意 LLM 产品也将随之出现。一个名为 last/laste 的未知开发者创建了自己的 ChatGPT LLM 聊天机器人，旨在帮助网络犯罪分子： WormGPT。WormGPT 诞生于 2021 年 3 月，直到 6 月，开发者才开始在一个流行的黑客论坛上出售该平台的访问权限。与 ChatGPT 等主流 LLM 不同，这个黑客聊天机器人没有任何限制，无法回答有关非法活动的问题。聊天机器人的创建平台是 2021 年推出的相对过时的开源大型 GPT-J 语言模型。聊天机器人接受了恶意软件开发相关材料的培训，这就是 WormGPT 的诞生过程。开发人员估计，访问 WormGPT 的费用为每月 60 欧元至 100 欧元，或每年 550 欧元。 专家认为，俄罗斯等威权国家正在研究人工智能的恶意用途，包括用于网络钓鱼。而在地下犯罪组织中，有才华的开发者已经在构建和出售定制人工智能平台的访问权限，如 WormGPT（可生成令人信服的网络钓鱼信息）和 FraudGPT（可创建虚假网站以支持网络钓鱼活动）。 网络公司 Trustwave 高级安全研究经理菲尔-海伊（Phil Hay）说：”我们完全可以预见，攻击者将越来越多地利用人工智能来创建他们的网络钓鱼活动。” 网络钓鱼领域这场迫在眉睫的革命–由同样的技术驱动–已经让用户眼花缭乱，因为这种技术能够在几秒钟内撰写论文并制作出假肖像–让一些网络安全专家感到震惊，他们担心即将出现的恶意信息会过于复杂，大多数人都无法识别。 联邦网络安全和基础设施安全局网络部门前负责人布赖恩-瓦尔（Bryan Ware）说：”如果人工智能像我们现在谈论的那样起飞，那么网络钓鱼的企图将变得越来越严重，越来越难以防范，也越来越难以发现。” 如果犯罪分子拥有自己的类似 ChatGPT 的工具，那么对网络安全、社交工程和整体数字安全的影响将是巨大的。这一前景凸显了我们在努力确保人工智能技术安全和负责任地开发人工智能技术时保持警惕的重要性，以降低潜在风险并防止滥用。   转自cnBeta，原文链接：https://www.toutiao.com/article/7296204950428844556/?log_from=597bea4fc1349_1698917745375 封面来源于网络，如有侵权请联系删除

美国国安部门国防安全局的内部文件显示，由于从NSA等机构获取信息耗费时间过长，该机构转而向私企Team Cymru购买网络流量数据（netflow），以便分析人员跟踪虚拟网络中的黑客活动。 数字媒体调查网站404 Media近日报道称，《信息自由法案》从美国国防安全局（DSS，现名“国防反情报和安全局”，DCSA）获取的内部文件显示，这家联邦反情报机构正从一家私营互联网公司手中购买数据，以便对黑客活动进行更快速、更便捷的追踪。 与私企打交道更快更方便 文件显示，DSS是从附属于Team Cymru公司的某个承包商手中获取所需数据的。Team Cymru是一家互联网安全公司，虽然在整体情报能力方面不如NSA等全球最强大的情报机构，但在数据获取和提供方面却也有上述联邦部门无法比拟的优势。 比如他们可以在未获同意的情况下，借助与互联网服务提供商（ISP）之间的关系对使用该ISP的个人或团队敏感数据进行收集。这些数据被称为“互联网流量日志”，可以显示用户在网络上的通信情况，还可以帮助分析人员借助虚拟专用网络对网络活动进行追踪。通常情况下，此类连接数据只有运营服务器的公司或个人，以及他们的互联网服务提供商才有权限获取。不过Team Cymru能侵入某个大多数人不可见但互联网运行又不可或缺的重要网络节点，对这些数据进行收集并把读取权限出售给其他私人企业甚至政府部门。 更重要的是，从Team Cymru公司购买数据要远比从政府部门手中申请数据更快速、更便捷。404 Media网站获取的文件抱怨，走流程向NSA等政府部门申请数据需要的时间要以“天”为单位计算，而向私营企业购买则“立即可取”。 其中一份文件指出，网络安全分析人员要花费大量时间对发生在联邦政府范围内的网络攻击进行IP地址和域名解析，有时需要向US-CERT（美国计算机应急响应小组）、NSA和其他各类“网络安全国家队”申请所需要的数据。但“这些部门并非查找机构，经常会让一个需要决定性回应的申请陷入长达数天的等待，”文件称。“等待时间越长，国家安全遭到破坏的可能性就越大。” 使用是否合法合规遭质疑 向政府部门和机构出售网络流量日志是互联网行业内的公开秘密。比如美国国税局、海军、陆军和网络司令部都曾是Team Cymru公司的客户。FBI和特勤局（Secret Service）也曾向Team Cymru的分公司Argonne Ridge Group进行过相关采购。DSS在文件中为自己向私人企业购买数据的行为进行了辩解，称是为了“通常情况下，外国情报实体往往会对他们的（网络黑客）行为进行深度隐藏”，向私营互联网企业采购数据的目的，是为了“获得对外国情报实体（网络）恶意活动进行追踪的能力”。 据悉，DSS的数据采购被归类为“商业行为”，在采购清单中列支的名目，是“向网络威胁情报公司Team Cymru购买技术”，数年中所花费的金额已高达几百万美元。专家认为，DSS的花费在某种程度上是“物有所值”，因为其购买的互联网流量日志等数据对网络安全分析人员来说是一款得心应手的工具，可以对黑客发起网络攻击的源头进行追踪。 虽然DSS和专家的解释向外界说明了反情报机构使用互联网流量日志的合法性，但部分互联网人士仍然担心DSS可能会非法使用从私营公司采购的数据，或超出宣称的使用范围（指追踪黑客）。这不是没有先例的。早前参议员罗恩·怀登就曾收到一封举报信，称海军罪案调查处（NCIS）向Team Cymru公司非法采购和使用网络数据。 他们的担心是出于两个方面的原因。一方面是Team Cymru公司获取数据的手段并不完全合法，因为这些数据是在大多数人并不知情的情况下收集并出售的，而且有些数据（比如位置信息）的收集并未得到应有的授权。另一方面是DSS使用这些数据时可能超出了追踪黑客的范围。DSS曾表示，该部门希望获得的数据服务，可以帮助自己锁定“谋划攻击、内部威胁、洗钱、破坏系统或尝试利用网络漏洞”的人群。这些目标显然超出了追踪黑客活动的范围，不由得不引起外界对反情报部门可能会滥用权力的焦虑。 与Team Cymru合作更节约成本 在被披露的文件中，DSS也阐述了不向Team Cymru公司的替代方案，即在全球范围内布设传感器，自己收集所需要的数据。 “我们也曾考虑过另外的数据获取方案，即在全球范围内设置可覆盖整个互联网的流量监视和收集传感器，”文件称。“但其设计、采购、部署、运行和支持是一个大工程，耗费的资金量将（比采购Team Cymru数据）更巨大。” 所以DSS最终决定不再做重复工作，因为Team Cymru公司已经拥有了一整套可供利用的全球网络传感器。“（Team Cymru公司）收集的网络数据来自全球范围内超过550个收集点位。这些收集点位遍布欧洲、中东、南北美洲、非洲和亚洲，每天都能产生至少1000亿条更新数据。”     转自安全内参，原文链接：https://www.secrss.com/articles/60167 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 加拿大首席信息官认定微信和卡巴斯基应用程序对隐私和安全构成了不可接受的风险。 加拿大以隐私和安全风险为由，禁止政府智能手机和其他移动设备使用中国流行的即时通讯应用微信和俄罗斯平台卡巴斯基。 一份声明称，这些应用程序将立即从政府发行的设备中删除，用户今后也将被禁止下载。 负责加拿大联邦公共服务的财政委员会主席 Anita Anand 表示，加拿大首席信息官认为，这些应用程序“对隐私和安全构成了不可接受的风险”。 她补充说，没有发现任何违规行为，但这些平台在移动设备上的数据收集方法“提供了对设备上内容相当大的访问权限”。 Anand 总结说：“移除和屏蔽微信和卡巴斯基应用程序的决定，是为了确保加拿大政府的网络和数据安全，符合我们的国际合作伙伴的做法。” 在此之前，渥太华在2月份也禁止了政府设备上的 TikTok。 去年，乔·拜登总统撤销了前任唐纳德·特朗普以国家安全为由试图禁止TikTok和微信进入美国市场的行政命令后，甲骨文被委托存储美国用户所有的TikTok数据。 渥太华和北京之间的关系，在今年早些时候创下了新低。渥太华指责北京干预加拿大选举，并试图恐吓议员，导致今年5月一名中国外交官被驱逐出境。上周，加拿大政府警告称，一场与中国有关的“Spamouflage”虚假信息运动利用网络帖子和深度伪造的视频，试图贬低和抹黑包括总理 Justin Trudeau 在内的加拿大议员。 一项针对外国干涉指控的公开调查于9月启动，中国外交部驳斥了这些指控，称渥太华“混淆黑白，误导公众舆论”，并敦促加方尊重事实和真相，停止散布涉华谎言。     Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

Lockbit勒索软件团伙声称对航空航天制造商和国防承包商波音公司进行了黑客攻击，并威胁要泄露被盗的数据。波音公司是世界上最大的航空航天制造商和国防承包商之一。2022年，波音公司的销售额为666.1亿美元，Lockbit勒索软件组织27日将波音公司添加到其Tor泄露网站的受害者名单中。 该团伙声称从该公司窃取了大量敏感数据，并威胁如果波音不在截止日期（2023 年11月2日13:25:39 UTC）内联系他们，他们将公布这些数据。目前，该组织尚未发布任何样本。Lockbit声称，“如果波音公司不在最后期限内联系，大量敏感数据将被泄露并准备公布！目前我们不会发送清单或样品，但在截止日期之后我们不会这样保留。”有资料显示，Lockbit是全球最臭名昭著的黑客组织之一，他们经常部署难以破解的勒索软件来锁定受害者的一些重要文件，然后要求支付一定金额的赎金才能进行解锁操作。在近期，许多黑客团伙的手段简单化：他们只是简单地窃取一些文件，并要求支付不公开发布文件所需的费用。 该组织在其泄漏网站上发布的消息中写道：“波音公司，这家600亿美元的公司，及其子公司，在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、人类太空飞行以及发射系统和服务。” 波音近日公布了不及市场预期的第三季度业绩，Q3营收为181亿美元，同比增长13.4%，但是较市场预期低2亿美元。波音自去年以来一直在努力加快交付速度，以加速从安全和疫情引发的双重危机中复苏，但尽管市场对喷气式飞机的需求旺盛，但由于整个行业的供应和劳动力短缺，该公司已连续两年面临交付中断。数据显示，该公司积压订单总额为4690亿美元，其中包括5100多架商用飞机。 目前，波音的赎金要求尚未披露，但网络安全分析师Dominic Alvieri认为赎金可能非常高。如果LockBit为波音公司使用他的新收入模式，这将是创纪录的约18亿美元赎金请求。10月中旬，Lockbit勒索软件团伙声称入侵了技术服务巨头 CDW。LockBit勒索软件团伙索要8000万美元的赎金，但该组织声称该公司只提供了100万美元。   转自E安全，原文链接：https://mp.weixin.qq.com/s/bieaXA0gzsrKHFW_zQCPgw 封面来源于网络，如有侵权请联系删除

知名网络安全公司HackerOne近日宣布，自2012年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。 HackerOne提供了一个漏洞赏金平台，将企业与白帽的安全专业知识、资产发现、持续评估和流程增强相结合，以发现和弥补数字攻击面中的漏洞。这些白帽可凭借发现的漏洞和弱点换取奖励。 根据HackerOne发布的《2023 年黑客力量安全报告》，有30名优秀的白帽每人获得了超 100 万美元的奖励，而其中最厉害的白帽奖励超过了400万美元。 该公司强调，在高额奖励支付承诺的推动下，加密货币和区块链实体继续受到白帽的广泛关注。今年，加密货币公司支付的最大赏金为10.05万美元。 今年该平台上漏洞平均奖金为 500 美元，有10%的漏洞奖金超过了 3000 美元。对于高危和高严重性缺陷，所有行业的平均奖金额为 3700 美元，有10%的奖金超过了1.2万美元。 参与 HackerOne 计划的白帽中有61%表示会利用生成式人工智能工具，以更便捷地编写报告、代码并减少语言障碍。 但同时，AI本身也开始成为挖掘的对象，55% 的白帽表示预计 AI 工具将成为未来几年的重要目标。 道德黑客重点关注的领域 (图源：HackerOne) 此外，公司也调研了白帽提交漏洞的动机，以及会有哪些原因导致他们不再使用HackerOne。无疑，能够获得赏金奖励是最大动机，占比73%，而响应时间慢成为最主要的负面因素，占比60%。   转自freebuf，原文链接：https://www.freebuf.com/news/382199.html 封面来源于网络，如有侵权请联系删除

微软发布了一个以英语为母语的威胁行为者的详细资料，该威胁行为者具有先进的社会工程能力，被追踪为 Octo Tempest，该威胁行为者的目标是进行数据勒索和勒索软件攻击的公司。 自 2022 年初以来，Octo Tempest 的攻击稳步发展，将攻击目标扩大到提供有线电信、电子邮件和技术服务的组织，并与 ALPHV/BlackCat 勒索软件组织合作。 从帐户盗窃到勒索软件 最初观察到威胁行为者出售 SIM 卡交换并窃取拥有加密货币资产的知名人士的账户。 黑客通常通过高级社会工程获得初始访问权限，该社会工程以具有足够权限的技术管理员（例如支持和服务台人员）的帐户为目标，以进一步实施攻击。 他们对公司进行研究，以确定可以模仿的目标，达到模仿电话中个人的语音模式的程度。 通过这样做，他们诱骗技术管理员执行密码重置并重置多重身份验证 (MFA) 方法。 初始访问的其他方法包括： 诱骗目标安装远程监控和管理软件 通过网络钓鱼网站窃取登录信息 从其他网络犯罪分子那里购买凭证或会话令牌 短信网络钓鱼员工带有可捕获凭据的虚假登录门户的链接 SIM 卡交换或呼叫转移 直接暴力威胁 一旦获得足够的访问权限，Octo Tempest 黑客就会通过枚举主机和服务并收集允许滥用合法通道进行入侵的信息来开始攻击的侦察阶段。 “用户、组和设备信息的初始批量导出之后，紧随其后的是在虚拟桌面基础架构或企业托管资源中枚举可供用户配置文件随时使用的数据和资源”- Microsoft 然后，Octo Tempest 继续探索基础设施，枚举跨云环境、代码存储库、服务器和备份管理系统的访问和资源。 为了提升权限，威胁行为者再次求助于社会工程、SIM 交换或呼叫转接，并启动目标帐户的自助密码重置。 在此步骤中，黑客通过使用受损帐户并表现出对公司程序的了解来与受害者建立信任。如果他们拥有经理帐户，他们会自行批准增加权限的请求。 只要他们有访问权限，Octo Tempest 就会继续寻找其他凭证来扩大他们的影响力。他们使用 Jercretz 和 TruffleHog 等工具来自动搜索代码存储库中的明文密钥、机密和密码。 为了隐藏自己的踪迹，黑客还针对安全人员的帐户，这使他们能够禁用安全产品和功能。 “利用受感染的帐户，威胁行为者利用 EDR 和设备管理技术来允许恶意工具、部署 RMM 软件、删除或损害安全产品、窃取敏感文件的数据（例如带有凭据的文件、信号消息数据库等），并部署恶意负载”——微软 据微软称，Octo Tempest 试图通过抑制更改警报并修改邮箱规则来删除可能引起受害者怀疑存在违规行为的电子邮件来隐藏其在网络上的存在。 研究人员提供了 Octo Tempest 在攻击中使用的以下附加工具和技术： 开源工具：  ScreenConnect、  FleetDeck、  AnyDesk、  RustDesk、  Splashtop、  Pulseway、  TightVNC、LummaC2、Level.io、Mesh、  TacticalRMM、  Tailscale、  Ngrok、  WsTunnel、  Rsocx和 Socat 部署 Azure 虚拟机以通过 RMM 安装实现远程访问或通过 Azure 串行控制台修改现有资源 向现有用户添加 MFA 方法 使用隧道工具 Twingate，该工具利用 Azure 容器实例作为专用连接器（不暴露公共网络） 黑客还使用一种独特的技术将窃取的数据转移到他们的服务器，其中涉及 Azure 数据工厂和自动化管道，以融入典型的大数据操作。 为了导出 SharePoint 文档库并更快地传输文件，攻击者经常注册合法的 Microsoft 365 备份解决方案，例如 Veeam、AFI Backup 和 CommVault。 微软指出，由于使用了社会工程、靠地生活技术和多样化的工具，在环境中检测或追捕这种威胁行为者并不是一件容易的事。 不过，研究人员提供了一组通用指南，可以帮助检测恶意活动，首先是监视和审查与身份相关的进程、Azure 环境和端点。 Octo Tempest 出于经济动机，通过窃取加密货币、窃取数据勒索或加密系统并索要赎金来实现其目标。   转自安全客，原文链接：https://www.anquanke.com/post/id/291047 封面来源于网络，如有侵权请联系删除

继美国国家网络主任办公室(ONCD)7月采取行动，呼吁提供信息以协调各司法管辖区的网络安全标准和法规后，世界经济论坛(WEF)周三（25日）发布了一份白皮书，列出了世界经济论坛系统的回应网络弹性：电力(SCRE)社区。 它的重点是解决网络安全要求中的冲突、确定优先部门和地区、评估国际对话、审查正在进行的全球举措以及探索监管互惠。 去年9月，WEF SCRE社区“已将全球监管互操作性确定为其重点关注领域之一，并成立了全球监管工作组，以促进电力行业全球网络监管的互操作性”，该机构在其最新文件中指出。“该工作组应对复杂、行业和部门不可知、分散、不一致、有时甚至相互冲突的法规的挑战。 这些孤立的法规缺乏并阻碍了互操作性，导致成本增加和效率低下，因为有限的资源被转移到解决合规性挑战，而不是直接解决部门和组织的网络安全状况。”白皮书补充说，工作组正在努力在其成员之间建立共同的社区立场，以帮助监管机构和充当监管机构的政府机构更好地了解该行业的需求。 SCRE社区欢迎并支持ONCD的监管协调工作。其对ONCD的建议包括： 继续ONCD不断努力提高全球监管互操作性、提高安全性和降低成本； 采用基于风险的方法，将安全性置于合规性之上； 从政策和监管流程的最初阶段就让私人、公共和民间社会利益相关者参与进来。 它还利用国际标准化组织（ISO）和国际电工委员会（IEC）等非政府机构制定的现有国际技术标准，并参与有关网络安全的国际对话和国际倡议。   转自安全客，原文链接：https://www.anquanke.com/post/id/291039 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 学术研究人员披露了一种新的类似Spectre的侧信道攻击的细节，该攻击利用Safari从Mac、iPhone和iPad中窃取敏感信息。 这种名为iLeakage的新方法，被描述为一种不定时的推测性执行攻击，它可以诱使Safari呈现任意网页，并从该页面获取信息。 攻击者需要引诱目标Safari用户访问恶意网站，然后该网站会自动打开他们想要窃取信息的网站。这是可能的，因为渲染过程同时处理iLeakage攻击网站和目标网站。 iLeakage是由密歇根大学、佐治亚理工学院和波鸿鲁尔大学的研究人员发现的，他们本周发表了一篇论文，详细介绍了他们的发现。 专家们展示了这种攻击如何用来获取密码和其他敏感信息。他们发布了视频演示，展示了iLeakage攻击如何被用来窃取由密码管理器自动填充的Instagram凭据、Gmail收件箱中的电子邮件主题行以及用户的YouTube观看历史。 研究人员在2022年9月向苹果公司报告了这一发现，但这家科技巨头迄今为止只为macOS上的Safari提供了缓解措施，而且它不是默认启用的，同时还不稳定。 苹果表示，研究人员开发的概念验证推进了该公司对这类威胁的理解。苹果计划在下一个预定的软件发布中进一步解决这个问题。 一方面，没有证据表明iLeakage在野外被利用，这种攻击并不容易进行。研究人员称，实现攻击需要对基于浏览器的侧信道攻击和Safari的实现有深入的了解。 另一方面，专家们指出，这种攻击难以检测，因为它在Safari中运行，不会在系统日志文件中留下任何痕迹。 在macOS上，iLeakage只影响Safari，因为其他浏览器如Edge、Firefox和Chrome使用不同的JavaScript引擎，然而，在iOS上，这种攻击也可以在其他浏览器中使用，因为Chrome、Edge和Firefox基本上是在Safari之上的封装。 研究人员指出，“iLeakage攻击方法表明Spectre攻击仍然是相关的，并且可以被利用，即使在Spectre攻击被发现以来已经进行了近6年的努力去缓解”。     Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

最新研究表明，据信总部位于哈萨克斯坦的黑客正在针对独立国家联合体的其他成员开展广泛的间谍活动。 思科的 Talos 小组花了数月时间跟踪 YoroTrooper，这是一个于 2022 年 6 月首次出现的专注于间谍活动的黑客组织。研究人员表示，该组织的目标、使用哈萨克斯坦货币以及流利的哈萨克语和俄语是导致他们相信黑客的部分原因。总部设在哈萨克斯坦。 YoroTrooper 似乎采取了防御行动来保护哈萨克斯坦国有电子邮件服务，并且只攻击过哈萨克斯坦政府的反腐败机构。 思科 Talos 威胁研究员 Asheer Malhotra 告诉 Recorded Future News，该组织积极试图掩盖其行动，使攻击看起来像是来自阿塞拜疆，试图“生成虚假标记并误导归因”。 “就他们的作案手法而言，他们的战术和工具并不是很复杂，但是，由于他们的侵略性尝试，过去两年来，YoroTrooper 仍然在独联体国家的目标上取得了巨大的成功。以他们的受害者为目标。此外，尽管 Cisco Talos 在今年早些时候首次披露了 YoroTrooper 的活动细节，但威胁行为者并没有表现出放缓的迹象。”Malhotra 说。 Cisco Talos追踪了涉及阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦、乌兹别克斯坦的机构和官员的攻击，这些攻击使用 VPN 服务使其看起来像是来自阿塞拜疆的黑客攻击。 2023 年 5 月至 2023 年 8 月期间，黑客入侵了多个国有网站和属于政府官员的账户。 大多数攻击都是从网络钓鱼电子邮件开始，并部署定制的恶意软件，使该组织能够窃取数据和凭据。 受到 YoroTrooper 袭击的国家 研究人员发现，黑客在尝试调试工具时使用俄语，同时还访问了许多用哈萨克语编写的网站。六月，黑客开始在他们的代码中使用乌兹别克语，这是哈萨克斯坦广泛使用的另一种语言。 黑客使用加密货币来支付域名和服务器等运营基础设施的费用，同时还在谷歌上检查“哈萨克斯坦坚戈（KZT）、哈萨克斯坦官方货币和比特币（BTC）之间的货币兑换率”。 该组织还对哈萨克斯坦国有电子邮件服务 mail[.]kz 进行安全扫描，并监控该平台是否存在潜在的安全漏洞。虽然大部分活动都是通过阿塞拜疆进行的，但思科 Talos 发现的证据表明，黑客不会说阿塞拜疆语言——他们定期访问翻译网站并检查从阿塞拜疆语到俄语的翻译。 思科 Talos 指出，自2023 年 3 月发布有关 YoroTrooper 的报告（详细介绍了该组织对欧盟医疗机构、世界知识产权组织和几个独联体国家的攻击）以来，他们已经大大扩展了自己的工具和策略。 该组织使用新的定制植入程序，并放弃了之前使用的其他恶意软件菌株。 研究人员表示：“YoroTrooper 针对这些国家的政府实体可能表明运营商是出于哈萨克斯坦国家利益的动机或在哈萨克斯坦政府的指导下工作。” 该组织使用漏洞扫描程序和来自 Shodan 等搜索引擎的开源数据来查找目标基础设施中的漏洞。今年夏天，他们使用这些工具入侵了塔吉克和吉尔吉斯斯坦的三个国有网站，并在其上托管了恶意软件负载，截至 2023 年 9 月，一些恶意软件仍在托管。 妥协的对象包括塔吉克斯坦商会、该国毒品管制局和吉尔吉斯斯坦国有煤炭企业的网站。吉尔吉斯斯坦交通和道路部的一名官员以及乌兹别克斯坦能源部的其他政府工作人员也成为攻击目标。 思科 Talos 还发现该组织根据 3 月份关于黑客活动的报告调整了策略，这些活动使他们能够窃取凭据、浏览器历史记录、系统信息和屏幕截图。 马尔霍特拉表示，虽然独联体国家相互攻击的情况并不常见，但网络安全研究人员发现该地区的网络攻击最近有所增加。 “考虑到独联体国家靠近欧洲、中亚、俄罗斯和中国，独联体国家似乎很自然地发展由网络空间行动驱动的情报能力，以支持其政治、经济和军事进步，”马尔霍特拉解释道。   转自安全客，原文链接：https://www.anquanke.com/post/id/291007 封面来源于网络，如有侵权请联系删除