近日，网络安全研究人员警告称，此前曾在针对以色列的网络攻击中观察到针对 Linux 系统的 Windows 版本擦除恶意软件。 该擦拭器被黑莓称为BiBi-Windows Wiper ，是BiBi-Linux Wiper的 Windows 版本，上个月以色列与哈马斯战争后，亲哈马斯的黑客组织开始使用 BiBi-Linux Wiper。 这家加拿大公司上周五表示：“Windows变体证实创建擦除器的威胁行为者正在继续构建恶意软件，并表明攻击范围已扩大到目标最终用户计算机和应用程序服务器。” 斯洛伐克网络安全公司正在追踪名为 BiBiGun 的雨刷器背后的攻击者，并指出 Windows 变体 (bibi.exe) 旨在用垃圾数据递归地覆盖 C:\Users 目录中的数据，并将 .BiBi 附加到文件名中。 BiBi-Windows Wiper 据说是在2023年10月21日，即战争爆发两周后编译的。目前尚不清楚其分发的确切方法。 除了损坏除 .exe、.dll 和 .sys 扩展名之外的所有文件外，擦除器还会从系统中删除卷影副本，从而有效防止受害者恢复其文件。 与其 Linux 变体的另一个显着相似之处是其多线程功能。 黑莓网络威胁情报高级总监 Dmitry Bestuzhev表示：“为了尽可能最快地采取破坏行动，该恶意软件运行12个线程和8个处理器内核。” 目前尚不清楚该擦除器是否已部署在现实世界的攻击中，如果是，目标是谁。 最早记录 BiBi-Linux Wiper 的 Security Joes表示，该恶意软件是“针对以色列公司的更大规模活动的一部分，旨在通过数据破坏来故意扰乱他们的日常运营”。 这家网络安全公司表示，它发现了自称 Karma 的黑客组织与另一名代号为Moses Staff（又名 Cobalt Sapling）的出于地缘政治动机的组织之间的战术重叠，该组织被怀疑源自伊朗。 安全乔斯说：“尽管到目前为止，该活动主要集中在以色列 IT 和政府部门，但一些参与团体，例如 Moses Staff，有同时针对不同业务部门和地理位置的组织的历史。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/G1XQv8MjJwUl_nkQhGhGmg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，安全研究人员追踪到 Imperial Kitten 黑客组织针对以色列运输、物流和技术公司发起新一轮网络攻击活动。 据悉，Imperial Kitten 又名 Tortoiseshell、TA456、Crimson Sandstorm 和 Yellow Liderc，疑似与伊朗武装部队分支伊斯兰革命卫队（IRGC）关联密切，至少自 2017 年以来持续活跃，多次对国防、技术、电信、海事、能源以及咨询和专业服务等多个领域的实体组织，发动网络攻击。 网络安全公司 CrowdStrike 的研究人员研究了近期的攻击活动，并根据基础设施与过去攻击活动的重叠情况、观察到的战术、技术和程序 (TTP)、IMAPLoader 恶意软件的使用情况以及网络钓鱼诱饵，进行了归因分析。 Imperial Kitten 攻击 近期，研究人员在发布的一份报告中指出，Imperial Kitten 在 10 月份发起了网络钓鱼攻击活动。在邮件中使用了 “招聘 “主题，并附带恶意 Microsoft Excel 附件。一旦受害目标打开文档，其中的恶意宏代码会提取两个批处理文件，通过修改注册表创建持久性，并运行 Python 有效载荷进行反向 shell 访问。 然后，网络攻击者就可以使用 PAExec 等工具在网络上横向移动，远程执行进程，并使用 NetScan 进行网络侦察。 此外，网络攻击这还使用 ProcDump 从系统内存中获取凭证。（指挥和控制（C2）服务器的通信是通过定制的恶意软件 IMAPLoader 和 StandardKeyboard 实现的，两者都依赖电子邮件来交换信息。）研究人员表示，StandardKeyboard 作为 Windows服务键盘服务在受损机器上持续存在，并执行从 C2 接收的base64 编码命令。 CrowdStrike 向 BleepingComputer 证实，2023 年 10 月，主要攻击目标是以色列境内的实体组织。 Imperial Kitten 此多次发起网络攻击活动 值得一提的是，此前的网络攻击活动中，Imperial Kitten 利用 JavaScript 代码入侵了多个以色列网站，非法“收集”访问者的信息（如浏览器数据和 IP 地址），对潜在目标进行剖析。 普华永道的威胁情报团队指出，这些活动发生在 2022 年至 2023 年之间，威胁攻击者的目标是海事、航运和物流行业，其中一些受害者收到了引入额外有效载荷的 IMAPLoader 恶意软件。Crowdstrike 还发现威胁攻击者直接入侵网络，利用公共漏洞代码，使用窃取的 VPN 凭据，执行 SQL 注入，或通过向目标组织发送钓鱼电子邮件。       转自Freebuf，原文链接：https://www.freebuf.com/news/383615.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。 在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。 亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。 研究人员注意到，该恶意软件是一个x64 ELF可执行文件，缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的，文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹，但是，当以root权限运行时，Wiper可能会破坏整个操作系统。 在执行过程中，它会产生大量输出，可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件，从而提高了速度和覆盖范围。它的操作包括覆盖文件，用包含“BiBi”的随机字符串重命名文件，以及排除某些文件类型的损坏。 恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到，它没有使用C2服务器，在这种情况下，BiBi-Linux的Wiper也被用来破坏数据。 在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的，但当它与中东政治等话题混合在一起时，具有重要意义，因为它是以色列总理 Benjamin Netanyahu 的常用昵称。 一旦执行，恶意软件产生大量输出，在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题，这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止，即使控制台处于关闭状态。 为了加速感染过程，该威胁利用多个线程，并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件，大大提高了总体攻击的范围和速度。       Hackernews 编译，转载请注明出处 消息来源：Securityaffairs，译者：Serene

一种名为 BiBi-Linux 的新型恶意软件擦除器正在用于销毁针对以色列公司 Linux 系统的攻击中的数据。 Security Joes 的事件响应团队在调查以色列组织网络的入侵事件时发现了恶意负载。据 VirusTotal 称，目前，只有两家安全供应商的恶意软件扫描引擎将 BiBi-Linux检测为恶意软件。 该恶意软件通过不发送勒索信息或为受害者提供联系攻击者协商解密器付款的方式来揭示其真实本质，即使它伪造了文件加密， 安全乔斯表示：“这种新威胁不会与远程命令与控制 (C2) 服务器建立通信以进行数据泄露，也不会采用可逆加密算法，也不会留下勒索字条作为强迫受害者付款的手段。” “相反，它通过用无用的数据覆盖文件来进行文件损坏，从而损坏数据和操作系统。” 在受害者系统上发现的有效负载（名为 bibi-linux.out 的 x64 ELF 可执行文件）允许攻击者通过命令行参数选择要加密的文件夹。 如果攻击者不提供目标路径，当以 root 权限运行时，它可以完全擦除受感染设备的操作系统，因为它会尝试删除整个“/”根目录。 BiBi-Linux擦拭器加密文件(BleepingComputer) BiBi-Linux 使用多线程和队列系统来提高速度和效率。它将覆盖文件内容以销毁它们，使用赎金名称和由“BiBi”字符串组成的扩展名（Bibi 是以色列总理本杰明·内塔尼亚胡的昵称）后跟一个数字来重命名它们。 正如 BleepingComputer 所见，附加到扩展名的数字是文件已被擦除的轮数。Security Joes 发现的擦除器样本也没有混淆、打包或其他保护措施，这使得恶意软件分析师的工作变得更加容易。这表明威胁行为者并不关心他们的工具被捕获和剖析，而是专注于最大化他们的攻击影响。 自 2022 年 2 月俄乌问题爆发以来，俄罗斯威胁组织还广泛使用破坏性恶意软件来攻击乌克兰组织的系统。 用于针对乌克兰的擦除器恶意软件列表包括DoubleZero、HermeticWiper、IsaacWiper、WhisperKill、WhisperGate、CaddyWiper和AcidRain 等。 例如，俄罗斯 Sandworm 军事黑客一月份在该国国家通讯社 (Ukrinform) 的网络上部署了五种不同的数据擦除恶意软件。     转自安全客，原文链接：https://www.anquanke.com/post/id/291122 封面来源于网络，如有侵权请联系删除

谷歌暂时禁止 其地图和位智应用程序查看以色列和有争议的加沙地带的实时交通状况。 这是应以色列军队的要求，鉴于最近与巴勒斯坦的公开对抗而做出的。 谷歌发言人表示：“正如我们在之前的冲突中所做的那样，为了应对该地区不断变化的局势，出于对当地社区安全的担忧，我们暂时禁用了查看实时交通状况和交通信息的能力。 ” 据知情人士透露，做出这一决定是因为实时交通数据可以揭示以色列军队的动向。去年，谷歌已经针对另一场众所周知的冲突采取了类似的措施。 虽然实时交通显示被禁用，但使用导航系统的驾驶员仍会收到基于当前情况的预计到达时间，但带有路线彩色部分的交通可视化将不可用。 以色列科技网站GeekTime最先报道了这一进展，称苹果的地图应用程序也遵守了以色列军队的要求。苹果和以色列国防军的代表尚未对此事发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/290978 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 在以色列与哈马斯的致命战争中，成千上万的平民丧生，而骗子正利用这次战争事件冒充合法慈善机构来募捐资金。在X（即Twitter）、Telegram和Instagram的一些帖子上，骗子列出了可疑的加密货币钱包地址，引诱受害者将资金发送给他们。 研究人员还发现了500多封声称自己是慈善机构的“筹款”电子邮件。 以色列与哈马斯战争中，加密骗局浮出水面 X、Telegram和Instagram等社交平台上出现了一批账户，吸引人们捐款以支持中东危机中的受害者。然而，这些账户主要列出加密钱包地址，来源可疑，未经官方慈善机构认可，很可能是骗局。 与之前报道的加密捐款诈骗类似，在俄乌战争期间和土耳其地震后，这些账户通过发布伤兵、妇女和儿童受伤的血腥图片来刺激读者的情感。X上一个名为“加沙救援援助”的账户，使用aidgaza.xyz域名，并且在Telegram和Instagram上也存在： 加沙救援援助Twitter账户 与该账户相关的aidgaza.xyz域名于10月15日注册，并没有得到任何知名慈善组织的认可，这与页面页脚上列出的“伊斯兰救济倡议”的说法相反。然而，该网站的副本已从伊斯兰救济组织的官方网站上删除。值得注意的是，除了一些与以色列与哈马斯战争的“新闻稿”和受害者受伤的照片之外，该网站没有提供任何相关的电话和地址信息。 “援助加沙”网站和社交媒体账户声称提供人道援助 该账户的运营者在其网站和社交媒体账户上列出了他们的以太坊、比特币和USDT地址，用于收集捐款。 BTC：16gbXTmvxtrzieoh2vX3io7FhXK4WJryX2 ETH：0x5E8b0df880A9f9F6e4D4090a84b3c1A02fF311b4 USDT：TK4A9dfwqbJhzz4NeGJZBo9nVMJztxnT27 “援助加沙”支持页面列出了比特币、以太坊、USDT钱包地址 幸运的是，目前还没有人向这些地址发送捐款。我们还观察到Instagram账户@gazareliefaid 已经无法使用，可能是被Meta (Instagram的母公司)封号了。 一些社交媒体帖子显示，有第三方表示他们捐赠了资金，而募捐者确认已经收到了资金，但钱包历史显示并非如此。这很可能是该账户采用的策略，以增加其诈骗可信度。 另一方面，声称支持以色列和以色列受害者的可疑账户也在传播。例如，X上有一个“为以色列捐款”的账户。关联的加密钱包地址(0x4aC1Ea2e36fE3ab844E408DF30Ce45C8B985d8cd)再次显示零交易，与X账户相关的一些数据使人们对其真实性产生怀疑。必须注意的是，这里显示的示例账户都没有经过真实性验证，因此用户遇到类似情况时应谨慎处理。 虚假筹款电子邮件冒充慈善机构 网络安全公司卡巴斯基（Kaspersky）研究人员报告称，他们发现了500多封诈骗电子邮件，以及专门设计的诈骗网站。 这些诈骗电子邮件和网站使用的情感语言和图片，再次成为诱导用户访问诈骗网站的策略。网站支持便捷的资金转移，并接受各种加密货币：比特币、以太坊、泰达币和莱特币。 另外，我们追溯到一个egypthelp.online域名，网站标题为“帮助巴勒斯坦社会”。截止发文时，该网站无法访问。 虚假’egypthelp.online’网站寻求加密货币捐款 可疑的’帮助巴勒斯坦社会’网站 利用这些钱包地址，卡巴斯基专家发现了其他诈骗网站，声称要为冲突地区的各种其他团体筹集援助。 “在这些电子邮件中，骗子试图创建多个文本变体以逃避垃圾邮件过滤器，”卡巴斯基的研究人员表示，“例如，他们使用各种呼吁捐款的短语，如‘我们呼吁您的同情和仁慈’或‘我们呼吁您的同情和慷慨’，并用同义词替换词语，如‘帮助’替换为‘支持’、‘援助’等。此外，他们更改链接和发件人地址。” 卡巴斯基的研究人员警告称，只要修改设计并针对特定人群，这类诈骗网站就能迅速增加。 如何安全捐赠？ 为了避免受骗，在捐款前应仔细审查网页。虚假网站通常缺乏有关慈善组织和受益者的基本信息、合法性文件或关于资金使用的透明度。 美国联邦贸易委员会（FTC）的高级律师拉里萨·邦戈（Larissa Bungo）分享了一些可防止受骗的建议。其中之一是研究寻求捐款的组织： “研究组织——特别是如果捐款请求来自社交媒体。搜索名称加‘投诉’、‘评论’、‘评级’或‘欺诈’，并通过查看Better Business Bureau（BBB）的智慧捐赠联盟、慈善组织导航器、慈善组织监察或Candid等组织对慈善机构进行检查。如果信息来自朋友，请问他们是否自己了解这个组织。查明捐赠的每一美元有多少直接用于慈善机构的受益人。” 美国国内税收局（IRS）发出了类似的警告，提醒人们“不要屈服于压力”。 英国政府发布了如何安全捐赠的指南，包括列出了联合国巴勒斯坦难民和工程局（UNRWA）和英国红十字会等合法慈善机构的名单。这些慈善组织的合法性可以通过访问政府的慈善注册处来验证。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

近日，以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区无法访问，攻击者声称黑掉了该集团的网络系统。 位于海法湾的BAZAN集团（前身为OilRefineriesLtd.）每年创造逾135亿美元的收入，并雇佣超过1800人。该公司声称拥有每年约980万吨的原油炼油能力。 上周末，BAZAN集团的网站bazan.co.il和eng.bazan.co.il遭遇DDoS攻击无法访问（上图），出现HTTP502错误，或服务器拒绝访问（403错误）。该炼油厂的网站在全球范围内大部分地区都无法访问，但在以色列境内仍可访问，这可能是BAZAN为抵御网络攻击实施的地理封锁。 伊朗黑客活动组织”CyberAvengers”宣称在周末攻击了BAZAN的网络，并在周六晚间泄露了BAZAN的SCADA系统的屏幕截图，这些系统用于监控和操作工业控制系统，其中包括“火炬气回收装置”、“胺再生”系统、石化“分流器部分”的图表和PLC代码。 BAZAN的发言人则否认了工控系统资料泄露，并称之为“完全捏造”。 此外，CyberAvengers声称他们通过利用CheckPoint防火墙的漏洞攻破了这家石化巨头，BleepingComputer也通过公开记录确认了黑客攻击的防火墙设备IP地址确实属于BAZAN，但CheckPoint的发言人矢口否认，指责黑客的声称“不属实”。 CyberAvengers还宣称在2020年攻击超过150个工业服务器瘫痪了28个以色列铁路车站，并对2021年海法湾石化厂管道故障引发的火灾负责。 最后，虽然BAZAN否认此次黑客攻击对其业务系统和资产造成任何损失，但这一事件再次凸显了关键基础设施的网络安全问题的紧迫性，同时也突显了攻击者在全球范围内发动网络战争的潜在威胁。尽管目前有关攻击的真实性仍存在争议，但这一事件也反映了网络攻击和信息战的复杂性和多维度特性。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ldebxSHkeiLSEmWuCv7kkg 封面来源于网络，如有侵权请联系删除

以色列最大的炼油厂运营商BAZAN Group的网站遭遇黑客入侵，全球大范围宕机。 BAZAN集团总部位于海法湾，前身为石油精炼厂有限公司，每年原油炼化规模约980万吨，年收入超135亿美元，员工超过1800人。 BAZAN网站被切断网络 上周末，BAZAN Group旗下网站BAZAN .co.il和eng.bazan.co.il无法进入，登入页面显示“请求超时”、“被公司的服务器拒绝”等字样。 BleepingComputer证实，BAZAN Group全球各地的炼油厂网站均已无法访问。 但经BleepingComputer测试，该集团网站可以从以色列境内访问，这可能是由于BAZAN已经实施了地理封锁的举措的原因。 Bazan Group网站显示“访问被拒绝”错误信息 (BleepingComputer) 伊朗黑客组织声称对此次攻击负责 伊朗黑客组织Cyber Avengers又名“CyberAv3ngers”在Telegram中称，他们在周末入侵了BAZAN的网络。 周六（7月29日）晚上，该组织还泄露了BAZAN SCADA系统的截图，SCADA系统是用于监控和操作工业控制系统的软件应用程序。 如BleepingComputer所示，这些图表包括“火炬气回收装置”、“胺再生”系统、石化“分离器段”和PLC代码。 在给BleepingComputer的一份声明中，BAZAN的一位发言人驳斥了泄露的材料“完全是捏造的”。他表示：最近网上流传着一份针对BAZAN进行网络攻击的虚假出版物，请注意其提供的资料和图像完全是捏造的，与BAZAN及其资产毫无关联。虽然我们的图片网站在DDoS攻击期间短暂中断，但没有观察到公司服务器或资产受到损害。 BAZAN发言人还称，BAZAN的网络安全措施是警惕的，目前集团正在与以色列国家网络管理局和其他合作伙伴密切合作，监控任何可疑活动，以确保行动的安全和完整性。 黑客组织进一步暗示，它通过一个针对该公司Check Point防火墙的漏洞入侵了这家石化巨头。 威胁参与者使用的所谓检查点防火墙漏洞 据称属于防火墙设备的IP地址(194.xxx.xxx.xxx)确实分配给Oil refinery Ltd.， BleepingComputer可以通过公开记录确认。但IP地址在BleepingComputer的测试访问时提示了“Forbidden”错误消息。 Check Point发言人强调“这些说法都不是真的”，并在给BleepingComputer的电子邮件中重申了炼油厂的调查结果。邮件中澄清说道：过去没有任何漏洞导致这样的攻击。 此前，Cyber Avengers还称对2021年海法湾石油化工厂因管道故障引起的火灾负责。2020年，该组织还声称攻击了以色列28个火车站，目标是150多台工业服务器。不过这些声明的真实性暂时无法核实。       转自Freebuf，原文链接：https://www.freebuf.com/news/373441.html 封面来源于网络，如有侵权请联系删除

近日，伊朗黑客组织Tortoiseshell盯上了以色列航运、物流和金融服务公司，至少有8家公司的相关网站遭遇了水坑攻击。 网络安全公司ClearSky称，此次攻击是由一个名叫Tortoiseshell的伊朗威胁组织发起的，该组织也被称为Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。 ClearSky在周二发布的一份技术报告中提到：这些受到感染的网站是通过脚本收集初步用户信息，大多数受影响的网站已经被清除了恶意代码。 据悉，该黑客组织从2018年7月已经开始频繁活动，早期的攻击目标是沙特阿拉伯的IT提供商。他们还为美国退伍军人建立了虚假的招聘网站，以诱使他们下载远程访问木马。 这种攻击方法也被称为战略网站攻击，其工作原理是感染已知的一群用户或特定行业内的用户经常访问的网站，从而传播恶意软件。 2022年8月，一个名为UNC3890的新兴伊朗组织在一家合法的以色列航运公司的登录页面上设置了一个“水坑”，将登录用户的初步数据传输到攻击者控制的域。 根据ClearSky的最新入侵记录显示，注入网站的恶意JavaScript也以类似的方式运行，收集有关系统的信息并将其发送到远程服务器。 此外，JavaScript代码还会进一步确认用户的语言偏好，ClearSky说这有利于攻击者使用用户日常使用的语言来设置对应的攻击策略，更有效的达成目的。 除此之外，这些攻击还利用了一个名为jquery-stack的域，可实现在线指挥与控制(C2)，通过模拟合法的jQuery JavaScript框架来避开雷达。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367502.html 封面来源于网络，如有侵权请联系删除

以色列时报报道称，以色列国家安全机构一年前就已发现，有伊朗黑客团伙控制了以色列数十台安保摄像头，但并未采取任何阻止措施。直到上周一晚间有报道称，该黑客团伙发布了来自以色列各地的多段视频，包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。 此次播报为前期预告，完整调查报道在次日（12月20日）正式播出。以色列公共广播公司Kan称，尽管以色列官员早已发现黑客团伙Moses Staff的活动，但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。 该团伙在其Telegram频道上公布了多地视频画面，包括以色列海法拉斐尔国防承包工厂周边镜头，以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。 该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面，该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。 根据Kan广播公司的介绍，黑客团伙在很长一段时间内能够随意控制摄像机，包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。 安全官员在接受Kan采访时表示，Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。 Kan广播公司提到，完整报道将探讨黑客在监视以色列高级官员方面做出的尝试，同时会揭露Moses Staff背后的推动力量。 Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责，此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。 Moses Staff去年还曾表示其窃取到关于士兵的敏感信息，具体内容似乎来自LinkedIn上的公开资料；此外，该团伙还通过商业网站获得了以色列航拍图像。 还有另一条未经证实的消息，该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。   转自 安全内参，原文链接：https://www.secrss.com/articles/50405 封面来源于网络，如有侵权请联系删除