FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。 APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。 它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。 联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。” “此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。” 本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。 在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。 APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。 他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。 两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。 如何“恢复”被劫持的 Ubiquiti EdgeRouters FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器： 执行硬件出厂重置以清除恶意文件的文件系统 升级到最新固件版本 更改任何默认用户名和密码 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。 FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。 美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。 正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/99dkf6duob2ii3Lfl170Zw 封面来源于网络，如有侵权请联系删除

五眼联盟国家政府机构发出的最新警告称，随着组织机构转向基于云的基础设施，俄罗斯网络间谍组织正在适应并转向以云服务为目标。 美国、加拿大、英国、澳大利亚和新西兰的网络安全和执法机构发布联合警报，呼吁紧急关注与俄罗斯情报部门（SVR）相关的 APT29/Cozy Bear/Midnight Blizzard的最新策略、技术和程序 (TTP)。 据观察，俄官方背景的黑客组织并没有利用软件漏洞来攻击本地基础设施，而是发起暴力破解和密码喷射攻击来破坏服务帐户，以及针对前员工的休眠帐户来访问目标组织网络。 此外，还发现臭名昭著的 APT 组织使用令牌访问受害者帐户，并使用一种称为“MFA 轰炸”或“MFA 疲劳”的技术绕过多重身份验证 (MFA)。 初次访问后，攻击者通常会将自己的设备注册到受害者的网络，并部署复杂的攻击后工具。 此外，黑客还依靠住宅代理来隐藏其恶意活动，使流量看起来像是来自住宅宽带客户的 IP 地址。 为了降低泄露风险，建议组织实施 MFA（多因素认证），为每个帐户使用强而独特的密码，实施最小权限原则，创建金丝雀服务帐户并对其进行监控，确保会话的生命周期较短，将设备注册策略配置为仅允许授权设备，并使用应用程序事件和基于主机的日志来检测恶意行为。 “对于已经迁移到云基础设施的组织来说，针对 SVR 等参与者的第一道防线应该是防止 SVR 的 TTP 进行初始访问。缓解 SVR 的初始访问向量对于网络防御者来说尤其重要。”警报称。 英国国家网络安全中心（NCSC）此前评估称，“SVR 极有可能对未经授权访问 SolarWinds Orion 软件和随后的目标负责”，英国政府表示，这是“SVR 更广泛的网络入侵模式的一部分，SVR 此前曾试图获取接触欧洲各国政府和北约成员国。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Szh65tL8LzbArwySiQ-bEw 封面来源于网络，如有侵权请联系删除

俄罗斯外交部领事司 (MID) 可能使用的工具安装程序已被植入后门，可传播名为Konni RAT（又名UpDog）的远程访问木马。 调查结果来自德国网络安全公司 DCSO，该公司将此次活动与源自朝鲜针对俄罗斯的关联黑客联系起来。 Konni（又名 Opal Sleet、Osmium 或TA406）活动集群有针对俄罗斯实体部署 Konni RAT 的既定模式，至少自 2021 年 10 月以来，该组织还与针对 MID 的攻击有关。 2023 年 11 月，Fortinet FortiGuard 实验室披露了使用俄语 Microsoft Word 文档来传播能够从受感染的 Windows 主机获取敏感信息的恶意软件。 DCSO 表示，将 Konni RAT 打包在软件安装程序中是该组织此前于 2023 年 10 月采用的一种技术，当时发现该组织利用名为 Spravki BK 的后门俄罗斯纳税申报软件来分发该木马。 这家总部位于柏林的公司表示：“在这种情况下，后门安装程序似乎是针对名为‘Statistika KZU’（Cтатистика КЗУ）的工具。” “根据安装程序中捆绑的安装路径、文件元数据和用户手册，[…]该软件旨在供俄罗斯外交部 (MID) 内部使用，特别是用于转发年度报告文件从海外领事馆（КЗУ — консульские загранучреждения）通过安全通道发送至 MID 领事部。” 木马安装程序是一个 MSI 文件，启动后会启动感染序列，与命令和控制 (C2) 服务器建立联系，等待进一步指令。 该远程访问木马具有文件传输和命令执行功能，据信早在 2014 年就已投入使用，并且也被其他朝鲜威胁组织Kimsuky 和 ScarCruft（又名 APT37）所利用。 目前尚不清楚攻击者如何设法获取该安装程序，因为该安装程序无法公开获取。但有人怀疑，针对俄罗斯的间谍活动的悠久历史可能帮助他们确定了后续攻击的潜在工具。 尽管朝鲜针对俄罗斯的攻击并不新鲜，但这一事态发展是在两国地缘政治日益接近的情况下发生的。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/PeahlD7rct5V6sxqrR_gjg 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 乌克兰多家知名媒体遭受俄罗斯黑客攻击，并发布了与战争有关的虚假新闻。 受攻击的媒体包括《乌克兰真理报》、商业媒体网站Liga.net，以及新闻网站Apostrope和Telegraf。传播的虚假消息声称俄罗斯摧毁了乌克兰东部城市阿夫季夫卡的乌克兰特种部队。 乌克兰陆军参谋长奥列克桑德·西尔斯基 (Oleksandr Syrskyi) 表示，乌克兰军队已撤离该市。俄罗斯军方于二月初占领了阿夫季夫卡，但没有官方信息证实该市当地特种部队已被俄罗斯摧毁。 Liga.net目前已删除虚假报道，但该报道曾在一段时间内被持续传播。该组织已向读者发布道歉声明，并调查可能存在的安全漏洞，以防止未来类似事件发生。 同时，乌克兰最大的新闻网站Ukrainska Pravda报告称，周日晚间其X账户遭到黑客攻击，黑客利用该账户发布了关于Avdiivka的虚假内容。 乌克兰国家网络安全机构(SSSCIP)将此次攻击归咎于俄罗斯黑客，称此事件是俄罗斯针对乌克兰的“信息战”一部分，目前正在调查。 乌克兰媒体经常成为俄罗斯黑客的目标，针对媒体的攻击侧重于虚假信息的传播。乌克兰计算机紧急响应小组(CERT-UA)的负责人Yevheniia Nakonechna指出，俄罗斯黑客组织包括国家控制威胁行为者，例如Sandworm。 去年，乌克兰计算机紧急响应小组(CERT-UA)发现了数十起针对乌克兰媒体机构及其员工的网络攻击。该机构指出，这仅是所有案例中的一小部分，因为许多组织并未报告网络事件。 2022年2月及随后几个月内，俄罗斯针对乌克兰媒体的网络活动达到高峰。一些攻击结合了污损和破坏性手段，例如在6月份对乌克兰公共广播公司Suspilne的攻击中，黑客发布了虚假新闻并扰乱网站运行。 “敌人通过攻击媒体试图破坏乌克兰局势稳定，散布恐慌，推动不信任国家当局或军队，并获取重要信息，包括媒体工作者的个人数据。”SSSCIP称。   消息来源：therecord.media，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国家网络安全协调中心（NCSCC）警告军方成员，称俄罗斯支持的APT28组织发动了新的网络钓鱼攻击。 NCSCC 发布警告表示：“俄罗斯正在加大网络间谍活动力度，试图通过窃取军事人员的凭证来获取乌克兰的军事情报和指挥控制系统的访问权限。”该警告通过各社交媒体平台发布，并由乌克兰 IT Army 进一步传播。 NCSCC 同时说到：APT28 专门针对乌克兰国防军队的军事人员和单位，使用网络钓鱼电子邮件获取军事电子邮件账户的访问权限。 IT Army Telegram 帖子称：“APT28 以网络钓鱼方式攻击乌克兰军方，通过创建与 ukr[.]net 几乎相同但 URL 略有差异的网站，诱骗用户输入数据。” IT Army 发布的相关信息截图 政府国防机构称，他们于1月19日首次发现这一活动，主要是发现了几封在“ukr[.]net邮件服务”上的虚假HTML页面电子邮件。 并在X上发布的帖子称：当页面打开时，会显示一个用于输入ukr[.]net凭据的字段，声称是为了“确认访问”，凭据将被发送到该组织控制的服务器上。  X上发布帖子内容 此外，黑客还尝试通过发送一封声称帐户已被盗用的电子邮件，并提供一个重置账户密码的链接来欺骗用户。 NCSCC 说：“当点击 HTML 页面上的’更改密码’按钮时，将启动浏览器内的攻击，并嵌入一个带有虚假页面用于输入ukr[.]net凭据的特殊iframe。在上述两种情况下，凭据都会被泄露到命令和控制服务器，该组织试图提升特权并在系统中移动。” 在该事件中，攻击者控制的服务器 (hxxp://202.55.80[.]225:35770) 是 Ubiquiti Edge 路由器。” 该机构表示：“APT28 以前在网络钓鱼活动中使用过 compromise 的Ubiquiti Edge路由器来外传数据。” APT28 的相关信息 APT28（又称Fancy Bear、Sandworm Team）是俄罗斯的一个网络攻击组织，成立于2004年，隶属于俄罗斯总参谋部的主要情报局（GRU）第85主要特种服务中心（GTsSS）的军事单位26165，其与 APT29 存在差异。 根据Mitre Att&ck框架，APT28被认为在2016年针对美国民主党全国委员会和国会竞选委员会进行了攻击，试图干扰美国总统选举。 2018年，GRU 26165的五名成员因渗透到美国和世界反兴奋剂机构以及其他高价值目标而被联邦政府指控。 APT29（又名Cozy Bear、Nobelium），是另一组网络攻击组织，涉及近期对Microsoft、Hewlett Packard Enterprise等公司的攻击，以及2020年SolarWinds事件。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

乌克兰安全部门逮捕了一名黑客，该黑客涉嫌针对政府网站并向俄罗斯提供情报以对哈尔科夫市进行导弹袭击。 乌克兰安全局（SSU）透露，其网络部门已识别出该人的身份，并指控该人遵循俄罗斯情报部门 FSB 的指示。 黑客监视乌克兰军事网站 据称，该黑客监视并向俄罗斯提供有关乌克兰第二大城市哈尔科夫军事基础设施位置的信息。 其中包括乌克兰防空和炮兵阵地的潜在地点。SSU 表示，被拘留者通过通讯应用程序向 FSB 发送了带有此类目标坐标的电子地图屏幕截图。 SSU 的帖子称：“为了收集有关国防军的情报，该男子在该地区行走并秘密记录了乌克兰防御者的可能位置。” 该部门补充说，俄罗斯利用这些信息对该市的民用基础设施进行了两次导弹袭击，其中包括当地一家医院。 此外，SSU 表示，黑客正在按照 FSB 的指示准备对乌克兰政府网站进行一系列 DDoS 攻击。 俄罗斯招募乌克兰间谍 嫌疑人是一名 IT 专家，居住在哈尔科夫市。调查显示，他是 FSB 通过专门的 Telegram 渠道招募的。 SSU表示，它查获了三部手机、一台笔记本电脑和闪存驱动器，这些设备被用来对乌克兰进行破坏活动。 根据有关未经授权传播有关乌克兰武器和弹药供应、流动信息的立法，该人现已收到“嫌疑通知书”。 SSU 表示，嫌疑人已被拘留，最高可能面临 12 年监禁。 2024 年 1 月 3 日，SSU报告称，俄罗斯情报机构入侵了在线监控摄像头，以在导弹袭击之前监视基辅的防空活动和关键基础设施。 美国判处俄罗斯网络犯罪分子 在美国，一名俄罗斯黑客最近因开发和部署 Trickbot 恶意软件而被判处五年零四个月监禁。 40 岁的俄罗斯公民弗拉基米尔·杜纳耶夫 (Vladimir Dunaev)于 2023 年 12 月承认了这些指控。 Trickbot 是模块化恶意软件，旨在窃取凭据、安装后门等，在为 Ryuk 和 Conti 等勒索软件组织提供初始访问权限方面发挥着重要作用。 它被用来攻击美国各地的医院、学校和企业，造成数千万美元的损失。 司法部 (DoJ) 代理助理总检察长 Nicole M. Argentieri 在评论这一判决时表示：“这一判决表明，司法部有能力将网络犯罪分子关进监狱，无论他们身在何处。 “我们将与世界各地的合作伙伴合作，继续将网络犯罪分子绳之以法。” 2023 年 9 月，美国和英国联合制裁了11 名被指控与 Trickbot 恶意软件有关的俄罗斯人。   转自安全客，原文链接：https://www.anquanke.com/post/id/292952 封面来源于网络，如有侵权请联系删除

Hackread网站消息，乌克兰国防部主要情报总局（HUR）的网络安全专家宣称对俄罗斯IPL咨询公司发起了一次成功的网络攻击，摧毁了该公司所有的IT基础设施，导致全国通信中断。 乌克兰HUR在Facebook上的发布公告表示，IPL咨询是俄罗斯所有提供信息系统实施服务的企业中最先进企业的之一，服务对象包括汽车、航空、重型机械和国防行业的机构。乌克兰HUR报告称，HUR的专家针对该公司数十个服务器和数据库发起攻击。 在Facebook上的乌克兰国防部情报总局 黑客入侵了IPL咨询公司的内部网络，删除了超过60TB的数据，破坏了数十台服务器和数据库。目前，该公司损失金额尚不明确。根据乌克兰国防部情报总局的说法，鉴于持续的制裁压力，众多在国防领域运营的俄罗斯公司遭到影响，损失尤为严重。 自俄乌冲突以来，网络攻击已成为俄乌战争中的常见手段。2023年12月12日，亲俄黑客“Solntsepek”对电信公司Kyivstar发起攻击导致通信中断。最近，乌克兰的网络专家在数字战线上也表现得相当激进。 在一次独立攻击中，乌克兰黑客组织“Blackjack”侵入了俄罗斯主要军事建设总局特别项目部，下载了1.2TB的数据，其中包括超过500个军事地点的技术文件。该组织还向乌克兰武装部队传递了关于俄罗斯设施的关键情报，并暂时中断了特别项目部的运营。1月19日，乌克兰国防部情报总局在Telegram频道上确认该消息属实。 1月24日，一次针对位于哈巴罗夫斯克的俄罗斯远东太空水文气象研究中心“Planeta”的网络攻击导致该气象研究中心280台服务器被摧毁，并且丢失了2PB（200万GB）、至少价值1000万美元的数据。Planeta负责接收和处理军事卫星数据，这次攻击被认为是由BO Team组织中的志愿爱国者发起的。 根据乌克兰国防部情报总局的说法，黑客还设法破坏了包括俄罗斯紧急情况部、国防部和俄罗斯航天集团等多个机构的气象和卫星数据。乌克兰国防部情报总局指出，价值超过35万美元的超级计算机无法修复，并且由于西方对俄罗斯的制裁，俄罗斯无法获取这款软件。 此外，黑客组织还干扰了空调、加湿系统和紧急电源供应规则，导致位于北极的一个俄罗斯站点失联，这影响了对国防至关重要的战略企业，以及支持俄罗斯占领军的行动。 在本次摧毁俄罗斯服务器事件之前，乌克兰国防部情报总局曾收集了价值15亿美元、总量为100吉字节的机密情报数据，这些数据属于俄罗斯军工复合体中运营的“特殊技术中心”有限责任公司。   转自Freebuf，原文链接：https://www.freebuf.com/news/390863.html 封面来源于网络，如有侵权请联系删除

乌克兰国防情报局（GUR）表示，亲乌克兰黑客入侵了俄罗斯科学研究中心。名为“BO Team”的黑客组织攻击了国家空间水文气象研究中心（又名“Planeta”），摧毁了俄罗斯科学研究中心的数据库和宝贵设备。 根据其网站， Planeta 是一家俄罗斯国有企业，负责接收和处理来自 11 颗国内和 23 颗外国地球观测卫星的数据，这些数据随后被其他俄罗斯国家实体使用。 乌克兰情报部门声称，黑客攻击了该组织的东部分支机构，该分支机构被描述为“三个分支机构中最大的一个”，该机构尚未回应置评请求以确认此次攻击。 黑客声称已经摧毁了 280 台服务器和 2PB 的信息，包括天气和卫星数据以及“独特的研究”。 黑客声称：“每台价值 35 万美元的超级计算机已瘫痪，无法完全恢复。” 据 GUR 称，丢失的数据可能会让俄罗斯损失至少 1000 万美元。然而，这一说法和攻击本身都无法独立验证。 据称，网络攻击还导致车站的空调和加湿系统以及应急电源的调节瘫痪。黑客还声称切断了俄罗斯北极站的互联网，该站执行“军队的重要任务”。 GUR 表示：“数十家从事国防工作并在支持俄罗斯占领军方面发挥关键作用的俄罗斯战略公司将在很长一段时间内得不到至关重要的信息和服务。” 乌克兰对俄罗斯的网络攻击 乌克兰情报机构没有提及是否参与了卫星袭击事件，如果没有，也不清楚为何公开报道此事。 这是继确认乌克兰 IT 军对向国有企业提供互联网服务的俄罗斯电信公司 Akado 发动攻击后，本周发布的第二份此类报告。 来自 乌克兰网军的黑客表示，这是他们第三次针对 Akado 的系统进行分布式拒绝服务 (DDoS) 攻击。 去年 12 月，乌克兰军事间谍表示，他们用恶意软件感染了俄罗斯国家税务局的数千台服务器，并摧毁了其数据库和备份。根据 GUR 的声明，这次袭击导致该机构的基础设施“完全遭到破坏”。 去年 11 月，该机构称它是针对俄罗斯政府民航局（也称为 Rosaviatsia）的“一次成功的网络行动”的幕后黑手。这是乌克兰政府首次承担针对俄罗斯目标的网络行动的责任。 这些公开承认的一个问题是，它们没有提供具体证据来证明该行动确实发生过，而且受攻击的公司从未对此类说法做出回应，或者干脆否认攻击。目前没有公开证据表明民航局受到黑客干扰。 克里姆林宫并没有完全忽视这些袭击。 例如，在乌克兰安全部门声称与黑客合作入侵俄罗斯最大私人银行阿尔法银行后，该银行否认了此次攻击，并表示泄露的数据是假的。 但一名俄罗斯安全研究人员后来发现，他的一些熟人数据泄露，并且他能够证实泄露的数据包括真实的阿尔法银行卡号、联系信息和出生日期。 本周早些时候，俄罗斯国有通讯社报道称，俄罗斯互联网监管机构 Roskomnadzor 目前正在调查阿尔法银行可能发生的数据泄露事件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GMa5-o6OodNh5V4q1XSMEw 封面来源于网络，如有侵权请联系删除

惠普企业 (HPE) 今天披露，疑似俄罗斯黑客组织 Midnight Blizzard 获得了该公司 Microsoft Office 365 电子邮件环境的访问权限，以窃取其网络安全团队和其他部门的数据。 惠普企业，中文名慧与科技公司（Hewlett Packard Enterprise，缩写为 HPE），跨国资讯科技公司，总部位于美国德克萨斯州斯普林。前身为惠普公司的企业级产品部门，2015年11月由惠普公司中拆分成立。主要业务是为大型企业与中小型企业，针对云端及服务器等设备，为企业用户提供电脑硬件制造与软件服务。 Midnight Blizzard，又名 Cozy Bear、APT29 和 Nobelium，是俄罗斯官方背景的黑客组织，据信隶属于俄罗斯对外情报局 (SVR)。该组织与多次攻击有关，包括臭名昭著的 2020 SolarWinds 供应链攻击。 在一份新的 8-K SEC 文件中，HPE 表示，他们于 12 月 12 日收到通知，俄罗斯黑客涉嫌于 2023 年 5 月入侵了他们基于云的电子邮件环境。 “根据我们的调查，我们现在认为，攻击者从 2023 年 5 月开始，从属于我们网络安全、上市、业务部门和其他职能部门个人的一小部分 HPE 邮箱中访问和窃取了数据。” HPE 表示，他们仍在调查此次泄露事件，但相信这与 2023 年 5 月发生的一次泄露事件有关，当时攻击者获得了对公司 SharePoint 服务器的访问权限并窃取了文件。 该公司继续与外部网络安全专家和执法部门合作调查该事件。 为了回应有关此次泄露的进一步问题，HPE分享了以下声明： “2023 年 12 月 12 日，HPE接到通知，一个可疑的黑客组织未经授权访问了该公司的 Office 365 电子邮件环境。HPE立即启动了网络响应协议，开始调查、补救事件并根除该活动。通过这项调查仍在进行中，我们确定这个黑客组织从 2023 年 5 月开始访问并窃取了属于我们网络安全、上市、业务部门和其他职能部门个人的一小部分 HPE 邮箱中的数据。我们相信这个黑客组织是Midnight Blizzard（午夜暴雪），也被称为Cozy Bear（舒适熊）。 访问的数据仅限于用户邮箱中包含的信息。我们将继续调查并将根据需要发出适当的通知。出于高度谨慎以及遵守新监管披露准则精神的愿望，我们已向美国证券交易委员会提交了 8-K 表格，以通知该机构和投资者有关此事件的信息。该事件对我们的业务没有产生任何运营影响，迄今为止，我们尚未确定这一事件可能会产生重大的财务影响。” 虽然 HPE 没有提供任何进一步的细节，微软最近披露俄罗斯黑客在长达一个月的黑客行动中窃取了微软公司电子邮件的报告。 Microsoft 公司部分员工电子邮件被接管的问题是由测试租户帐户配置错误引起的，这些被入侵的帐户允许攻击者暴力破解帐户密码并登录其系统。 利用此访问权限，Midnight Blizzard 获得了对企业电子邮件帐户的访问权限，以窃取 Microsoft 高级领导团队以及网络安全和法律部门员工的数据。 HPE告诉BleepingComputer，他们不知道其事件是否与微软有关。 HPE公司此前曾于 2018 年遭到入侵 ，当时某国黑客入侵了该公司和 IBM 的网络，然后利用该访问权限侵入了客户的设备。 最近，在 2021 年，HPE 披露其 Aruba Central 网络监控平台的数据存储库遭到破坏，使攻击者能够访问有关受监控设备及其位置的数据。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Soc2tuPueuIzEBBsfWEKYQ 封面来源于网络，如有侵权请联系删除

COLDRIVER 针对非政府组织、前情报和军事官员以及北约政府中的知名人士等目标，以往该组织主要通过网络钓鱼活动窃取凭据。 谷歌周四警告（https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/）称，以网络钓鱼攻击闻名的俄罗斯 APT 组织 ColdRiver 也一直在开发定制恶意软件。 谷歌安全团队共享了失陷检测指标 (IoC) 和 YARA 规则，以帮助防御者检测和分析威胁。 ColdRiver 还受到 Star Blizzard、Callisto Group、BlueCharlie、TA446 和 Dancing Salome 等其他公司的关注。该组织与俄罗斯联邦安全局的一个部门有联系，以开展网络间谍活动和影响力活动而闻名。 APT 组织通常针对美国、英国和其他北约国家的学术界、国防、政府、非政府组织和智库部门的组织。 美国和英国政府最近就 ColdRiver 的活动向各组织发出警告，并宣布对两名涉嫌成员实施制裁。 ColdRiver 的许多攻击都涉及旨在窃取凭据的鱼叉式网络钓鱼。谷歌的安全研究人员最近发现似乎是由该组织开发和使用的定制恶意软件。 该恶意软件名为 Spica，被描述为用 Rust 编写的后门，它使用基于 Websocket 的 JSON 进行命令和控制 (C&C)。Spica 可用于执行任意 shell 命令、窃取 Web 浏览器 cookie、上传和下载文件、获取文件系统内容以及窃取文档。 该恶意软件是通过向目标发送看似加密的良性 PDF 来传播的。当受害者通知发件人 PDF 已加密时，他们会收到一个据称可用于解密文档的可执行文件，这个可执行文件会部署恶意软件。 诱饵文档 Spica 于 2023 年 9 月被 Google 发现，但 ColdRiver 可能至少从 2022 年 11 月起就开始使用它。该公司的研究人员只能获得该恶意软件的单个样本，他们认为该样本可能在 8 月份就被使用过。 谷歌研究人员表示：“我们认为 SPICA 后门可能有多个版本，每个版本都有不同的嵌入诱饵文档，以匹配发送给目标的诱饵文档。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Yk0WmhcN5MhUvZNjTUEtuw? 封面来源于网络，如有侵权请联系删除