Hackernews 编译，转载请注明出处： 继Sandworm 和 APT28(俗称 Fancy Bear)之后，另一个由国家资助的俄罗斯黑客组织 APT29 正在利用WinRAR中的 CVE-2023-38831 漏洞进行网络攻击。 APT29 组织以不同的名称被追踪，包括：UNC3524/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke/SolarStorm，并以出售宝马汽车为诱饵瞄准大使馆。 CVE-2023-38831 安全漏洞影响 WinRAR 6.23 之前的版本，并允许制作 .rar 和 .zip 文件，这些文件可以在攻击者的后台代码中执行。 自4月以来，该漏洞已被攻击者作为零日漏洞利用，目标是加密货币和股票交易论坛。 在本周的一份报告中，乌克兰国家安全和国防委员会(NDSC)表示，APT29 一直在使用恶意 ZIP 存档，在后台运行脚本来显示 PDF 诱惑，并下载并执行有效载荷的 PowerShell 代码。 恶意档案名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”，目标是欧洲大陆的多个国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。 来自 APT29 的宝马汽车广告带有 WinRAR 漏洞 APT29 曾在 5 月份的一次活动中使用宝马汽车和网络钓鱼诱饵来攻击乌克兰的外交官，该活动通过 HTML 走私技术提供 ISO 有效载荷。 乌克兰NDSC表示，在这些攻击中，APT29 将旧的网络钓鱼策略与一种新颖的技术相结合，以实现与恶意服务器的通信。他们使用 Ngrok 免费静态域(Ngrok 于 8 月 16 日宣布的新功能)访问托管在其 Ngrok 实例上的命令和控制服务器。 在这种策略中，他们利用 Ngrok 提供的免费静态域名来利用 Ngrok 的服务，通常以“Ngrok -free.app”下的子域名的形式。通过使用这种方法，攻击者设法隐藏他们的活动并与受损系统通信，而不会有被检测到的风险。 自从网络安全公司 Group-IB 的研究人员报告称，WinRAR 中的 CVE-2023-38831 漏洞被利用为零日漏洞后，高级威胁参与者开始将其纳入攻击中。 ESET的安全研究人员发现，今年8月，俄罗斯APT28黑客组织利用该漏洞发起了鱼叉式网络钓鱼活动，以欧洲议会议程为诱饵，针对欧盟和乌克兰的政治实体发起了攻击。 俄罗斯黑客利用 WinRAR 漏洞攻击欧盟和乌克兰的政治实体 乌克兰 NDSC 表示，观察到的来自 APT29 的活动之所以突出，是因为它混合了新旧技术，例如使用 WinRAR 漏洞来传递有效载荷和 Ngrok 服务来隐藏与 C2 的通信。 这份来自乌克兰机构的报告提供了一组入侵指标，包括 PowerShell 脚本和电子邮件文件的文件名和相应的哈希值，以及域名和电子邮件地址。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

乌克兰政府网络安全研究人员发现，俄罗斯国家支持的黑客在最近的一次网络间谍活动中以大使馆和国际组织为目标。 这些攻击归因于臭名昭著的黑客组织 APT29，也称为 Cozy Bear 或 Blue Bravo。分析人士此前将其与俄罗斯对外情报局（SVR）联系起来，该机构负责收集其他国家的政治和经济情报。 乌克兰国家网络安全协调中心 (NCSCC)分析了今年 9 月发生的这次活动。该组织在之前的活动中使用了类似的工具和策略，特别是在四月份针对基辅大使馆的行动中。 NCSCC 表示，最近的行动“主要目标是渗透使馆实体”，其中包括阿塞拜疆、希腊、罗马尼亚和意大利的目标。NCSCC 表示，另一个受害者是希腊主要互联网提供商 Otenet。 研究人员表示，外交账户，尤其是与阿塞拜疆和意大利外交部相关的账户，受到的影响最大。一个可能的原因是俄罗斯情报部门试图收集有关阿塞拜疆战略活动的信息，特别是导致阿塞拜疆入侵纳戈尔诺-卡拉巴赫地区的信息。 APT29 的攻击活动总共针对 200 多个电子邮件地址，但尚不清楚有多少次攻击成功。 战术和技术 APT29 利用了Windows 文件归档工具 WinRAR 中最近发现的漏洞。该漏洞被识别为 CVE-2023-3883，在 2023 年初被国家背景的黑客组织利用，然后才得到修补。该工具的未修补版本仍然容易受到攻击。 NCSCC 表示，该漏洞仍然“构成重大威胁”，因为它允许攻击者通过利用特制的 ZIP 存档来执行任意代码。 在最近的活动中，Cozy Bear 向受害者发送了包含 PDF 文档链接和利用该漏洞的恶意 ZIP 文件的网络钓鱼电子邮件，可能会授予攻击者访问受感染系统的权限。 为了说服目标打开恶意文件，黑客创建了电子邮件，声称拥有有关外交宝马汽车销售的信息。今年春天，该组织在袭击基辅大使馆时也使用了同样的诱饵。 研究人员表示，在这次活动中，攻击者引入了一种与恶意服务器通信的新技术。特别是，他们使用了一种名为 Ngrok 的合法工具，该工具允许用户将其本地服务器公开到互联网。 Ngrok 通常在 Web 开发和测试过程中用于为本地 Web 服务器提供临时公共 URL，但网络犯罪分子部署它是为了混淆他们的活动并与受感染的系统进行通信，同时逃避检测。 NCSCC 表示，通过以这种方式利用 Ngrok 的功能，攻击者可以使网络安全分析进一步复杂化，并保持在雷达之下，从而使防御和归因更具挑战性。 Cozy Bear 之前的攻击 乌克兰战争期间，APT29对乌克兰军队及其政党、外交机构、智库和非营利组织进行了网络攻击。 例如，四月份，该组织针对北约国家、欧盟以及“在较小程度上”非洲的外交部和外交实体发起了一场间谍活动。 黑客的策略与 9 月份的攻击活动中使用的策略类似。特别是，他们向特定人员发送冒充欧洲国家大使馆的网络钓鱼电子邮件，通常在邮件正文或附件 PDF 中包含恶意链接，邀请目标外交官访问大使的日历。 APT29 因战前几起备受瞩目的事件而受到指责，其中包括2020 年SolarWinds供应链攻击，该攻击影响了全球数千个组织，并导致了一系列数据泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/XHHuyhAtNyoJWFQQHHKFTA 封面来源于网络，如有侵权请联系删除

俄罗斯金融组织 Sberbank 在一份新闻稿中表示，两周前，该银行面临近代历史上最强大的分布式拒绝服务 (DDoS) 攻击。 俄罗斯联邦储蓄银行是一家国有银行和金融服务公司，也是俄罗斯最大的机构，持有该国约三分之一的资产。 俄罗斯入侵乌克兰后，该银行面临国际封锁和制裁，并多次成为西方黑客活动分子的目标。 俄罗斯媒体Interfax 报道称，这次攻击达到了每秒 100 万个请求 (RPS)，该组织表示，这一数字大约是俄罗斯联邦储蓄银行迄今为止遭遇的最强大 DDoS 攻击规模的四倍。 “我们注意到这些是一些新黑客。我们不知道他们的指纹。也就是说，市场上出现了一些新的、非常合格的犯罪分子，他们开始系统性地攻击俄罗斯最大的资源，”俄罗斯联邦储蓄银行负责人（机器翻译）表示。 虽然 100 万 RPS 显然意义重大，但它无法与破纪录的 DDoS 攻击相比，后者使用新的“HTTP/2 快速重置”技术 产生的影响比 Sbersbank 所经历的影响大一百倍。 8 月下旬，亚马逊检测到一次峰值为 1.55 亿 RPS 的DDoS 攻击。Cloudflare 缓解了 2.01 亿次 RPS，而 Google 则应对了峰值为每秒 3.98 亿次请求的 DDoS 攻击。 之前的攻击 2022 年 5 月，俄罗斯联邦储蓄银行宣布，它遭受了前所未有的黑客攻击，其中包括针对其在线客户服务的大规模 DDoS 攻击。 该银行表示，它成功击退了由 27,000 个受感染设备组成的僵尸网络发起的每秒 450GB的 DDoS 攻击 。 俄罗斯金融系统最近遭受的打击涉及 Mir 卡运营商国家支付卡系统 (NSPK)，该系统的网站于 2023 年 10 月 30 日变得不可用，后来被篡改，发布了有关影响客户的数据泄露的消息。 NSPK告诉媒体，攻击者不可能窃取任何敏感的客户数据，因为该网站不存储此类信息，并向他们保证网络攻击没有影响支付系统。 TheRecord 随后报道称，来自“DumpForums”组织和乌克兰网络联盟的黑客活动分子承认对此次攻击负责，并声称窃取了 31 GB 的数据。 转自安全客，原文链接：https://www.anquanke.com/post/id/291297 封面来源于网络，如有侵权请联系删除

属于乌克兰IT军组织的黑客在俄罗斯军队占领的一些领土上，暂时瘫痪了互联网服务。 在入侵克里米亚和乌克兰东部后，乌克兰的电信基础设施被俄罗斯士兵破坏。 黑客对“Miranda-media”、“Krimtelekom”和“MirTelekom”三家俄罗斯互联网服务提供商进行了DDoS攻击。IT军正在邀请支持者安装他们的软件，共同作战。 乌克兰IT军组织在其Telegram频道上发布道： 我们瞄准互联网和电信供应商，以破坏敌人的通信。今天，我们的情报部门策划了一场”thousand proxies”袭击，瘫痪了“Miranda-media”、“Krimtelekom”和“MirTelekom”，这不仅影响到克里米亚，还影响到赫尔松、扎波罗热、顿涅茨克和卢甘斯克地区被占领的部分地区。我们的网络军队又一次在前线破坏了敌人的军事通讯。 Miranda-media网络服务商周五宣布，它正面临大规模的DDoS攻击，公告中提到： “自2023年10月27日上午9点05分以来，数字服务运营商Miranda-Media一直在记录来自乌克兰黑客组织前所未有的DDoS攻击。因此，Miranda-Media、Krymtelecom和MirTelecom的服务暂时无法使用。公司的所有技术和IT服务都处于高度戒备状态。正在采取一切必要措施恢复网络的功能。” 俄罗斯的互联网服务商设法在周五结束时减轻了攻击，周五晚上恢复了部分服务。 电信基础设施和互联网服务是关键基础设施，是俄罗斯和乌克兰黑客的目标。 乌克兰计算机应急响应小组(CERT-UA)报告称，与俄罗斯有关的APT组织“沙虫”(UAC-0165)在2023年5月至9月期间入侵了乌克兰的11家电信服务商。根据公开消息来源，黑客攻击了至少11家乌克兰电信服务商的信息通信系统，导致其服务中断。     Hackernews 编译，转载请注明出处 消息来源：SecurityAffairs，译者：Serene

俄罗斯政府和工业部门机构已成为 卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件，在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。 这次攻击从 2023 年 6 月开始，一直持续到 8 月中旬。攻击者模仿监管机构的官方信息发送信件，其中包含 PDF 格式的虚假文档和恶意存档。如果受害者打开存档，[NSIS].nsi 脚本就会在他们的设备上启动，该脚本会在隐藏窗口中安装后门。同时，下载恶意软件的网站名称模仿了官方部门的网站。 启动后，恶意软件会检查互联网访问并尝试连接到合法的网络资源（外国媒体）。然后，它会检查受感染设备是否有可以检测其存在的软件和工具，例如沙箱或虚拟环境。如果至少有一个，后门就会停止活动。当所有检查都通过后，恶意软件会连接到攻击者的服务器并加载模块，使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档（例如 doc、.docx、.pdf、. xls、.xlsx）。所有数据均传输至控制服务器。 8月中旬，攻击者更新了他们的后门，添加了一个用于从浏览器窃取密码的新模块，并增加了对环境的检查次数。感染链保持不变。其中的差异在于，攻击者通过访问合法的网络资源取消了对互联网访问的检查：现在恶意程序立即连接到控制服务器。该恶意软件还添加了一个模块，允许其从浏览器窃取密码。此外，对环境中是否存在可检测恶意活动的工具的检查次数也有所增加。   转自安全客，原文链接：https://www.anquanke.com/post/id/290980 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处：   美国国家安全局（NSA）一名前雇员已经承认对他的指控，他曾试图向俄罗斯传输机密国防信息。 31岁的 Jareh Sebastian Dalke 在2022年6月6日至2022年7月1日期间担任美国国家安全局信息系统安全设计师，在此期间他获得了访问敏感文件的绝密许可。 美国司法部（DoJ）在本周一的新闻稿中表示：“Dalke 承认，在2022年8月至9月期间，为了展示他的‘合法访问和分享意愿’，他使用加密电子邮件帐户向他认为的俄罗斯特工传输了三份机密文件的摘录。” 实际上，所谓的特工是美国联邦调查局（FBI）的一名在线秘密雇员。 Dalke 还被指控要求以8.5万美元的价格交换他所持有的信息，他声称这些信息对俄罗斯很有价值，并承诺将来分享更多的文件。 泄密文件传输发生在科罗拉多州丹佛市的联合车站，通过一台笔记本电脑进行，其中包括五个文件，其中四个包含了绝密国防信息。其中一些摘录涉及到国家安全局更新一个未指明的加密程序的计划，以及涉及敏感的美国国防能力和俄罗斯进攻能力的威胁评估。 而第五个文件是一封信，Dalke 在信中写道：“我的朋友们！我很高兴终于向你们提供这些信息……我期待着我们的友情和共同利益。如果有需要的文件，请告诉我，我返回办公室后会尽力而为。” 2022年9月28日，在泄密文件传输后不久，Dalke 被当局逮捕。 现在，Dalke 已经认罪，等待在2024年4月26日接受判决，他可能面临最高终身监禁的刑罚。     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene

乌克兰情报部门网络部门负责人伊利亚·维蒂克讨论了乌克兰此前一直保密的事情，特别是与美军联合开展的联合追捕行动对乌克兰的帮助，在俄乌战争一开始就阻碍了俄罗斯的网络攻击。 乌克兰与美国网络司令部的合作始于俄罗斯网络攻击前几周。俄罗斯军事情报部门对这些袭击负有责任，维蒂克表示俄罗斯认为乌克兰的基础设施将会崩溃，但事态并没有按照莫斯科计划的方式发展。因为乌克兰花了数年时间强化其系统以抵御攻击，而且来自美国和乌克兰的一个网络运营商团队已经秘密删除了数十个攻击乌克兰关键网络的俄罗斯软件。 从某种意义上说，乌克兰十年来一直在为与莫斯科的网络战做准备。早在开始之前，俄罗斯国家支持的黑客就瞄准了乌克兰的电网，一直在调查乌克兰的网络。乌克兰也因此在网络战中受到打击，开始建立欧洲最复杂的网络之一。 乌克兰方面认为他们制定了计划，制定了网络安全战略，但没有做的一件事是建立一支专门的网络部队。一群网络战士不仅对攻击做出反应，而且努力防止攻击，比如美国网络通信国家任务部队。 美国网络国家任务部队在世界各地部署了处于不同阶段的各种狩猎队。通常，头条新闻中的网络行动往往是攻击性的：一个团队关闭了东欧的一个巨魔农场，或者入侵了叙利亚恐怖组织的服务器。 组建一个专业网络部队通常需要几个月的时间。需要大使馆参与进来，律师参与进来，确定可以搜索哪些网络，如何搜索它们，以及团队将如何合作。但俄乌战争的情况下，美国第一波网络安全运营商很快出现在基辅。 在合作中，美方和乌方声称他们在乌克兰的关键网络中发现了90个恶意软件样本。这个数字令人震惊，说明俄罗斯制造了90个攻击代码来破坏乌克兰的基础设施。对于乌克兰方面来说这就像是发现了90种来自俄罗斯未知的炸弹，他们可以研究、拆除并防止它们爆炸。   转自E安全，原文链接：https://mp.weixin.qq.com/s/PUoj_fHDcOVijtOHk_Fv6g 封面来源于网络，如有侵权请联系删除

英国军事和情报网站的绝密安全信息已被与俄罗斯有关的黑客在网上泄露，攻击者发布了数千页的数据，这些数据可以帮助犯罪分子进入HMNB克莱德核潜艇基地、波顿当化学武器实验室和GCHQ监听站。其潜在后果简直是灾难性的。此外，该漏洞暴露了与高安全性监狱和对国家网络防御至关重要的军事设施有关的关键数据。 所有这一切都随着黑客瞄准Zaun的数据库而展开，Zaun是一家以为高风险站点制造安全围栏而闻名的公司。被盗数据随后被存放在暗网上，只能通过专用软件访问。 令人不安的军火库 也许从这次违规中出现的最令人不安的启示是被盗数据的数量和严重性。有关位于苏格兰西海岸的HMNB Clyde核潜艇基地的信息现已暴露给潜在的对手。这些数据落入坏人之手的后果简直是噩梦。波顿唐化学武器实验室是一个致力于研究化学和生物威胁的设施，泄露的数据如果被利用，可能会成为难以想象的破坏事件。 此外，该漏洞暴露了GCHQ监听站的内部运作，这是负责监控通信和收集重要情报的情报机构中的重要齿轮。任何对其安全的攻击都会影响到国家抵御外部威胁的能力。 除了这些备受瞩目的目标外，黑客还获得了有关高安全性监狱的信息，放大了此违规行为带来的风险。掌握监狱安全措施的知识可以用来策划越狱或策划对这些设施的攻击。此外，该国网络防御不可或缺的军事站点也遭到破坏。这对国家抵御网络攻击的能力构成了直接威胁，可能为关键基础设施的灾难性破坏打开大门。 紧急警钟 此次泄露事件引发了人们对英国最敏感网站的脆弱性以及网络犯罪分子所构成的迫在眉睫的威胁的严重质疑，这些犯罪分子甚至有能力渗透到最坚固的安全系统。下议院国防特别委员会成员、工党议员凯文·琼斯发出严厉警告：“这可能对我们一些最敏感站点的安全造成非常大的损害。政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都值得高度关注。” 这一违规行为的影响是深远的，动摇了英国国家安全基础设施的基础。这场灾难的中心是Zaun，尽管它负责保护美国一些最关键的网站，但该公司的计算机系统被黑客利用，暴露了英国国家安全盔甲上的一个缺口。     转自E安全，原文链接:https://mp.weixin.qq.com/s/LFBZo6U4xtVTqo-Y-0fhFw 封面来源于网络，如有侵权请联系删除

KillNet黑客组织自豪地声称对乌克兰三大加油站网络的网站遭受的有针对性的网络攻击负责。据称其对200个加油站进行了网络攻击并导致了瘫痪。这些加油站网络攻击再次加剧了俄罗斯和乌克兰之间持续的数字冲突，令安全专家和当局保持高度警惕。这些加油站网络攻击背后的动机仍然笼罩在神秘之中，因为这一与俄罗斯有关的组织尚未透露其行动的明确意图。这一事件加剧了两国之间网络战格局的一系列在线冲突。 随着黑客的其他帖子浮出水面，尽管目标加油站的完整列表仍未披露，但黑客已经挑选出三名主要受害者来展示他们的能力并发送信息。 奇怪的是，这次袭击恰逢乌克兰独立日，具有象征意义。黑客在他们的暗网频道上发帖纪念这一时刻，该帖子宣称：“作为我们团队为纪念乌克兰独立日的礼物——坚持住！袭击乌克兰的 3 个大型加油站网络。” 加油站网络攻击中列出的三名受害者是SOCAR Energy Ukraine，WOG和Amic Energy。 SOCAR能源乌克兰是石油和天然气产品批发领域的突出力量。它拥有为乌克兰广袤地区各种规模的企业提供各种产品的能力。 WOG拥有由400多个加油站组成的网络，是乌克兰加油站景观的基石。在天然气和石油工业的推动下，这条链条已成为该国基础设施的重要组成部分。 Amic Energy来自奥地利，负责监督包括乌克兰在内的多个国家的470个移动和固定加油站以及20个电动汽车充电站的网络。该公司总部位于维也纳，业务遍及多个国家。 这些加油站网络攻击突显了企业和国家每天应对的网络威胁的危险格局。除了直接影响之外，KillNet黑客组织的行动也散布了数字不和，在网络空间留下了不确定性和脆弱性。     转自E安全，原文链接:https://mp.weixin.qq.com/s/p4I_1VqZL6EEtrz5jM1_BA 封面来源于网络，如有侵权请联系删除

两个与朝鲜有联系的APT集团破坏了俄罗斯主要导弹工程公司NPO Mashinostroyeniya的基础设施。NPO Mashinostroyenia是俄罗斯领先的导弹和军用航天器制造商。这家俄罗斯公司于2014年7月受到美国财政部的制裁，原因是它支持俄罗斯政府试图破坏乌克兰东部的稳定及其对克里米亚的持续占领。 研究人员发现了两起与朝鲜有关的妥协事件，即黑客破坏了敏感的内部IT基础设施，包括一个特定的电子邮件服务器。攻击者还使用了名为OpenCarrot的Windows后门。 网络安全公司SentinelOne将邮件服务器的黑客攻击归因于ScarCruft APT集团，同时将OpenCarrot后门与Lazarus集团联系起来。然而，目前尚不清楚这两个组织是否作为联合网络间谍活动的一部分入侵了这家俄罗斯公司。 网络间谍瞄准了该公司，试图窃取俄罗斯军方目前正在使用和开发的敏感导弹技术的高度机密知识产权。 研究人员在对疑似朝鲜APT的活动进行日常监测时发现了黑客行为。他们发现了一个泄露的电子邮件集，其中包含一个与朝鲜团体有关的植入物和从俄罗斯组织窃取的信息。 根据泄露的电子邮件，这家俄罗斯公司于2022年5月发现了入侵事件。2022年5月中旬，大约在俄罗斯否决联合国决议对朝鲜发射可能携带核武器的洲际弹道导弹实施新制裁的一周前，受害者组织在内部标记了入侵行为。NPO Mashinostroyeniya的内部电子邮件显示，IT工作人员交换了讨论，强调了具体流程之间存在的可疑沟通以及未知的外部基础设施。同一天，NPO Mashinostroyeniya的工作人员还发现了不同内部系统中存在的可疑DLL文件。 最初的攻击向量尚不清楚，但研究人员推测受害者的目标是旨在传递RokRAT后门的鱼叉式网络钓鱼消息。 SentinelOne在报告中总结道：“我们高度自信地将此次入侵归因于与朝鲜独立相关的黑客。这起事件有力地说明了朝鲜为秘密推进其导弹开发目标而采取的积极措施，朝鲜网络黑客的汇合是一个影响深远的威胁，需要进行全面的全球监测。”     转自E安全，原文链接:https://mp.weixin.qq.com/s/giPkH5LK6BfjnwB063J6FA 封面来源于网络，如有侵权请联系删除