HackerNews 编译，转载请注明出处： 罗马尼亚国家水务管理机构于周日宣布遭受勒索软件攻击，导致约1000台计算机系统无法使用。 此次攻击影响了从工作站到服务器的各类设备，但国家网络安全局表示，包括大坝和防洪设施在内的水利技术基础设施等运营技术系统未受影响。 水务机构的基础设施仍在正常运行，但由于网络攻击影响了电子邮件服务器，员工被迫使用电话和无线电进行通信。 与传统勒索软件攻击从外部网络引入加密软件不同，罗马尼亚当局的初步技术评估显示，此次攻击者使用了合法的Windows工具BitLocker试图勒索该机构。 使用所谓的”LOLBins”——如现有的Windows工具——有助于攻击者在遍历和操控受害者网络时规避安全控制。 卡巴斯基实验室去年发布的研究指出，墨西哥、印度尼西亚和约旦的受害者——包括钢铁和疫苗制造公司以及政府实体——遭遇了一波此类勒索软件攻击。 去年，网络安全公司Bitdefender表示，ShrinkLocker恶意软件——一种将合法BitLocker工具用于攻击系统用户的脚本——正被”多个独立的威胁行为体用于针对老旧Windows系统的简单攻击”。 根据罗马尼亚网络安全机构的说法，攻击者已发出勒索信息，要求其在七天内取得联系。该机构强调，其自身的”政策和严格建议”是受害者不与网络勒索者进行接触或谈判。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队披露了一项”长达数年”的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。 此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。 亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。 亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示：”这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。” 已发现这些攻击在五年期间利用了以下漏洞和策略： 2021-2022年：利用WatchGuard Firebox和XTM漏洞（CVE-2022-26318），并针对配置不当的边缘网络设备。 2022-2023年：利用Atlassian Confluence漏洞（CVE-2021-26084 和 CVE-2023-22518），并持续针对配置不当的边缘网络设备。 2024年：利用Veeam漏洞（CVE-2023-27532），并持续针对配置不当的边缘网络设备。 2025年：持续针对配置不当的边缘网络设备。 根据亚马逊的说法，此次入侵活动主要针对企业路由器和路由基础设施、VPN集中器和远程访问网关、网络管理设备、协作和wiki平台以及基于云的项目管理系统。 考虑到威胁行为者有能力将自己战略性地部署在网络边缘以截取传输中的敏感信息，这些努力很可能是为了大规模窃取凭据。遥测数据还发现了一些被描述为针对亚马逊网络服务（AWS）基础设施上托管的配置不当客户网络边缘设备的协同攻击尝试。 “网络连接分析显示，由攻击者控制的IP地址与运行客户网络设备软件的受入侵EC2实例建立了持久连接，”摩西说。”分析揭示了与跨多个受影响实例的交互式访问和数据检索相一致的持久连接。” 此外，亚马逊表示观察到针对受害组织在线服务的凭据重放攻击，作为试图更深入渗透目标网络的一部分。尽管评估认为这些尝试并未成功，但它们进一步证实了上述假设，即对手正在从受入侵的客户网络基础设施中窃取凭据，用于后续攻击。 整个攻击过程如下： 入侵托管在AWS上的客户网络边缘设备。 利用本机数据包捕获功能。 从截获的流量中收集凭据。 针对受害组织的在线服务和基础设施重放凭据。 建立持久访问以进行横向移动。 凭据重放攻击的目标遍及北美、西欧和东欧以及中东的能源、技术/云服务和电信服务提供商。 “攻击目标显示了对能源行业供应链的持续关注，包括直接运营商和有权访问关键基础设施网络的第三方服务提供商，”摩西指出。 有趣的是，该入侵集群的基础设施（91.99.25[.]54）与Bitdefender追踪的另一个名为”Curly COMrades”的集群存在重叠，该集群被认为自2023年底以来一直与俄罗斯利益保持一致。这增加了两种集群可能代表GRU开展的更广泛行动中互补操作的可能性。 摩西说：”这种潜在的操作分工——一个集群专注于网络访问和初始入侵，另一个处理基于主机的持久化和逃避——符合GRU由专门子集群支持更广泛行动目标的运作模式。” 亚马逊表示已识别并通知了受影响的客户，同时阻止了针对其云服务的活跃威胁行为者操作。建议组织审计所有网络边缘设备是否有异常的数据包捕获工具，实施强身份验证，监控来自意外地理位置的认证尝试，并密切关注凭据重放攻击。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新研究发现，包括政府、电信和关键基础设施在内的多个敏感行业组织，存在将密码和凭证粘贴到 JSONFormatter、CodeBeautify 等在线代码格式化与验证工具的行为。 网络安全公司 watchTowr Labs 表示，其在这些网站上捕获了超过 8 万份文件的数据集，从中发现数千组用户名、密码、代码库认证密钥、Active Directory 凭证、数据库凭证、FTP 凭证、云环境密钥、LDAP 配置信息、服务台 API 密钥、会议室 API 密钥、SSH 会话记录以及各类个人信息。 该数据集包含 JSONFormatter 五年的历史内容和 CodeBeautify 一年的历史内容，总计超过 5GB 的增强型带注释 JSON 数据。 泄露影响范围 受此次泄露事件影响的组织遍及国家关键基础设施、政府、金融、保险、银行、科技、零售、航空航天、电信、医疗保健、教育、旅游等行业，具有讽刺意味的是，网络安全行业也在其中。 “这些工具极具 popularity，在‘JSON 美化’‘粘贴机密信息的最佳平台’（推测，未经证实）等搜索词条中常位居前列 —— 企业环境和个人项目中的各类组织、机构、开发人员及管理员均有使用，” 安全研究员杰克・诺特在分享给The Hacker News的报告中表示。 这两款工具均支持保存格式化后的 JSON 结构或代码，并生成半永久性的可共享链接 —— 任何获取该 URL 的用户均可访问其中数据。 更严重的是，这些网站不仅设有便捷的 “近期链接”（Recent Links）页面，列出所有近期保存的链接，其可共享链接还采用可预测的 URL 格式，使得攻击者能够通过简单爬虫轻松获取所有链接： https://jsonformatter.org/{此处为 ID} https://jsonformatter.org/{格式化类型}/{此处为 ID} https://codebeautify.org/{格式化类型}/{此处为 ID} 泄露信息包括 Jenkins 密钥、某网络安全公司泄露的敏感配置文件加密凭证、某银行的客户身份验证（KYC）信息、某大型金融交易所与 Splunk 相关联的 AWS 凭证，以及某银行的 Active Directory 凭证等。 安全风险 更糟糕的是，该公司透露，其在其中一款工具中上传了伪造的 AWS 访问密钥，结果发现该密钥保存 48 小时后便遭到攻击者的滥用尝试。这表明通过此类渠道泄露的敏感信息正被第三方爬取并用于攻击测试，构成严重安全风险。 “主要原因是已经有人在利用这些泄露信息了，而这种（粘贴机密到随机网站的）行为实在是太愚蠢了，” 诺特表示，“我们不需要更多人工智能驱动的智能代理平台；我们需要的是减少关键组织将凭证粘贴到随机网站的行为。” The Hacker New核实发现，JSONFormatter 与 CodeBeautify 目前已暂时禁用保存功能，声称正在 “优化该功能” 并实施 “增强型工作环境不适宜（NSFW）内容防护措施”。 watchTowr 指出，这些网站禁用保存功能很可能是对该研究的回应。“我们推测这一变更于 9 月实施，源于我们通知的多家受影响组织的沟通反馈，” 该公司补充道。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新披露信息显示，自去年年初至今，英国饮用水供应商已遭遇五轮网络攻击，这些攻击全部直接针对供水机构本身，创下了同期记录。这一情况直接印证了英国情报部门的警告 —— 恶意网络行为体对该国关键基础设施的威胁正持续升级。 现行规则漏洞明显 英国饮用水监察局（DWI）公布的数据显示，2024 年 1 月 1 日至 2025 年 10 月 20 日期间，共收到供应商提交的 15 份事件报告，其中 5 起涉及网络安全事件，且影响的是 “《网络与信息系统安全规则》指令管辖范围外系统”，其余 10 起未非网络类运营问题。 问题根源在于现行《网络与信息系统安全规则》的 “高门槛”：仅当网络攻击实际导致供水等基本服务中断时，供应商才必须依法上报。这意味着像 “伏特台风” 这类只潜伏渗透、不直接断供的攻击，企业即便遭遇也无需披露，潜在风险可能被长期掩盖。 改革方案待推进 面对监管滞后，英国政府计划通过拖延已久的《网络安全与韧性法案》解决问题，核心是降低事件上报门槛，让更多潜在风险纳入监管视野。 该法案预计今年提交议会，政府发言人表示：“当前网络威胁复杂且持续，代价高昂，法案将强化防御体系，守住公众依赖的基础服务，保障日常生活正常运行。” 网络安全公司 Sophos 的威胁研究副总裁唐・史密斯表示：“关键基础设施运营商每天都要面对黑客攻击，在现有合规体制下，安全事件仍难避免。这些超范围报告的分享非常有助于我们理解攻击特征。” 全球水务安全亮红灯 当前，针对水务公司IT办公系统的勒索攻击时有发生。 2023年12月，爱尔兰西海岸就曾因一个亲伊朗黑客组织无差别攻击使用以色列产设备的设施，导致当地居民断水数日。 美国、加拿大的水务安全问题也值得警惕：美国拜登政府时期曾想推进水务系统安全升级，但因水务行业团体联合共和党议员反对而搁置；加拿大则在上周通报，黑客在多起工业控制系统攻击中，篡改了某地方水务机构的供水压力参数，直接威胁供水稳定。 针对水务系统防护，英国国家网络安全中心（NCSC）给出具体建议：关键基础设施运营商要严格隔离 “业务 IT 系统”和 “运营 OT 系统”，避免黑客攻破 IT 系统后直接影响供水操作。今年 8 月，该机构还发布新版《网络评估框架》，帮企业提升抗风险能力。 唐・史密斯进一步提醒：“对基础设施来说，相比定向攻击，常规攻击仍是关键基础设施面临的主要威胁。我们更应该关注基础防护，而非过度投资于监测冷门系统。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。 近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。 其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。 另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。 加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。” 为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。 根据加拿大网络安全机构的建议，相关主体应采取以下行动： 对所有可联网的工业控制系统设备进行全面盘点，并评估其联网必要性； 尽可能采用替代方案避免设备直接暴露在互联网中，例如使用带有双重认证（2FA）的虚拟专用网络（VPN）； 若上述方案不可行，应考虑采用强化监控服务，包括定期渗透测试与漏洞管理； 定期对员工开展培训，提升其在网络安全事件中的应对能力； 市政部门及相关机构应与服务提供商紧密合作，确保托管服务的安全部署，并遵循供应商建议与指导方针，保障设备及服务安全。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 TwoNet 的亲俄黑客组织在不到一年的时间里，从发起分布式拒绝服务（DDoS）攻击转向瞄准关键基础设施。 最近，该威胁行为者声称攻击了一家水处理厂，但事实证明这是一个由威胁研究人员专门设置的高仿真蜜罐系统，用于观察攻击者的行动。这场对诱饵设施的入侵发生在 9 月，揭示了威胁行为者从初始访问到实施破坏性行动仅用了约 26 小时。 为企业 IT 和工业网络提供 cybersecurity 解决方案的 Forescout 公司研究人员，在监控 TwoNet 在虚假水处理厂的活动时发现，黑客于上午 8:22 尝试使用默认凭证并获得了初始访问权限。在第一天，该黑客组织试图枚举系统上的数据库；在使用了适用于该系统的正确 SQL 查询后，他们在第二次尝试中取得了成功。 攻击者随后创建了一个名为 Barlati 的新用户账户，并利用一个编号为 CVE-2021-26829 的旧版存储型跨站脚本（XSS）漏洞宣布了他们的入侵。 他们利用这一安全问题在人机界面（HMI）上触发了一个弹出警报，显示信息为 “被 Barlati 黑客入侵”。 然而，他们还采取了更具破坏性的行动，以干扰流程并禁用日志和警报。Forescout 的研究人员表示，TwoNet 并未意识到自己入侵的是一个诱饵系统，他们通过从数据源列表中移除连接的可编程逻辑控制器（PLC）来禁用实时更新，并在人机界面中更改了 PLC 的设定值。“攻击者没有尝试权限提升或利用底层主机，而是完全专注于人机界面的 Web 应用层”。 第二天上午 11:19，Forescout 研究人员记录了入侵者的最后一次登录。 虽然 TwoNet 最初只是另一个亲俄黑客组织，专注于对支持乌克兰的实体发起 DDoS 攻击，但该团伙似乎正在从事各种网络活动。 Forescout 在攻击者的 Telegram 频道上发现，TwoNet 试图瞄准 “敌国” 关键基础设施组织的人机界面（HMI）或监控与数据采集（SCADA）系统界面。 该团伙还公布了情报和警务人员的个人详细信息，提供各种网络犯罪服务的商业报价，如勒索软件即服务（RaaS）、黑客雇佣，或提供对波兰 SCADA 系统的初始访问权限。 “这种模式与其他从 ‘ 传统 ‘ 的 DDoS 攻击 / 网站篡改转向操作技术（OT）/ 工业控制系统（ICS）操作的组织相似，”Forescout 研究人员表示。 为降低被入侵的风险，Forescout 建议关键基础设施领域的组织确保系统具有强大的身份验证，且不暴露在公共网络上。 对生产网络进行适当分段，结合基于 IP 的访问控制列表用于管理员界面访问，即使攻击者入侵了企业网络，也能将其阻挡在外。 Forescout 还建议使用协议感知检测，以对利用尝试和人机界面中的更改发出警报。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

澳大利亚网络和基础设施安全中心（CISC）日前发布《关键基础设施资产类别定义指南》，适用于所有相关的基础设施行业。指南简化了关键基础设施责任主体和直接利益相关方的义务，有助于提高运营弹性、降低复杂性。 作为类别定义文件，指南对关键基础设施资产分类提供了指导意见。关键基础设施资产的定义可参见2018年《关键基础设施安全法案》（SOCI法案），或者《SOCI定义规则》（LIN 21/039）。指南要求资产所有者和经营者参考《SOCI法案》和《SOCI定义规则》，确定他们的资产具体符合哪一项关键基础设施资产的定义。 指南涵盖了10大类别，共计22个关键基础设施行业。其中通信业（含广播、域名系统、电信）；金融业（含银行、金融市场基础设施、保险和养老金）；能源业（含电力、能源市场运营商、天然气和液体燃料）；以及运输业（含航空、货运基础设施、货运服务、港口和公共交通）四大类涵盖了16个行业。其他六类关键行业则分别对应6个行业，具体包括数据存储或处理、水和污水行业、国防工业、医疗保健业、高等教育和研究、食品杂货业。 以电力行业为例，指南对资产定义提供了如下指导意见： 首先，拥有资产的实体需要判断，资产是否为关键电力资产。其次，实体需要判断，资产是否位于澳大利亚。再次，实体需要判断，资产所有者是否并非联邦政府或联邦机构（国有企业除外）。 如果前两个问题的答案都是“是”，接下来需要判断，资产是否符合以下任何定义。指南提供了两种判断标准。 第一，该电网、电力系统或电力系统连接器是否向超过10万个客户输电配电。如果本条答案为“是”，资产应定义为能源业的关键电力资产。 第二，该发电站是否对州/领地电网或电力系统安全与可靠性起到至关重要的影响。这又细分为两种情况：（1）州/领地内的发电机装机容量超过30兆瓦并接入电力批发市场；（2）发电机所有者或运营者需履约向州/领地提供系统重启辅助服务。所谓“系统重启辅助服务”是指，在没有外部电源的情况下，启动发电机并网，并向电网或电力系统提供电能，实现输电配电。如果本条答案为“是”，资产应定义为能源业的关键电力资产。 确定资产属于能源业之后，接下来需要判断，实体是否是关键电力资产的报告实体。实体必须选出对其与关键电力资产关系描述最准确的选项。指南提供了三个选项。 第一个选项称“我是持有许可证，批准或授权操作关键电力资产并提供需交付服务的实体。”如果勾选此项，实体是关键电力资产的责任实体。 第二选项称“本人与合作伙伴一起持有不少于10%的关键电力资产权益（含共同权益）”；第三选项称“本人持有关键电力资产的权益，足以直接或间接控制该资产。”如果勾选第二或第三项，实体是关键电力资产的直接权益人。 如果任何一项都不符合，实体不是关键电力资产的报告实体。 今年2月，澳大利亚政府基于《2015年关键基础设施弹性战略》发布了《2023年关键基础设施弹性战略》。该战略提供了一个全国性框架，指导澳大利亚加强关键基础设施的安全性和弹性。在该文件框架内，业界、州/领地政府和联邦政府需要共同努力，提升关键基础设施的安全性和弹性，积极预测、预防、备战、应对各类隐患，并做好相关恢复工作。 4月，澳大利亚政府发布了一份讨论文件，征求航空和海事利益相关者对战略改革议程和新监管模式的意见。根据建议，文件重点确定了的五个高影响领域，计划尽快加以落实。这些领域分别是：删除安全计划中的解决方案、提供结果和基于风险的安全管理方法、内政部与筛选供应商的监管关系、筛选和未筛选的航空服务、通过行业参与和教育改进绩效与合规。   转自 安全内参，原文链接：https://mp.weixin.qq.com/s/FStq6h-4qUPirlgbz5HLog 封面来源于网络，如有侵权请联系删除

为了保护关键基础设施，拜登政府正在修改一份十年前的总统令。官员和专家表示，面对不断变化的网络世界，这条2013年发布的总统令亟需修改。美国政府或将采取新的措施，进一步保护银行、能源、农业等领域关键目标免受潜在的网络攻击。 本周三，美国网络安全与基础设施安全局（CISA）局长Jen Easterly在“Hack the Capitol”会议上说：“如何管理这些保护措施已经发生了变化，而且将会继续发生变化。Colonial管道等事件让我们更好地认识到保护关键基础设施的重要性。”Colonial管道公司是美国东海岸主要燃料供应商，曾在2021年遭到勒索软件攻击。她说：“我们仍然非常容易受到来自对手的严重威胁，” 从过去到现在 去年11月，拜登政府首次向国会发出信号，计划修改2013年21号总统令“关键基础设施安全与弹性”（简称PPD-21）。PPD-21已经实施了超过两届总统任期，取代了小布什政府时期的另一条总统令。旧总统令详细规定了16个关键基础设施行业分别由哪些机构负责保护，这些机构被称为行业风险管理机构。 PPD-21在保留了布什政府备忘录大体结构的基础上，进行了一些修改，比如要求更新国家基础设施保护计划，以详细说明应采取哪些具体措施加强关键基础设施防御。 值得注意的是，奥巴马政府发布PPD-21时，CISA尚未成立。2021财年国防政策法案要求CISA承担一些行业风险管理机构的责任，而拜登政府表示将进一步厘清CISA的角色。 拜登总统在去年11月的备忘录中写道：“更新的政策将加强公私合作伙伴关系，并将明确指导行政部门和机构如何确定系统性、重要性关键基础设施。它还将澄清行业风险管理机构和CISA的角色、责任和服务，从而协调全国范围内的力量，有效防范关键基础设施风险。” CISA、国家网络总监办公室和国家安全委员会等机构正在共同修改PPD-21。Easterly表示：“我们正在研究，如何评估各个行业，决定是否某些行业值得保留，确定是否要增加太空行业或其他行业。” 一旦联邦政府认定某个行业为关键基础设施行业，联邦主管机构将更关注该行业的网络安全，并加强与该行业的协调合作。 代理国家网络总监Kemba Walden最近会见了太空产业官员，讨论是否应将太空行业认定为关键基础设施行业。一些人认为，太空公司已经属于一个或多个现有关键基础设施行业的范畴。 Easterly还表示，CISA已经完成了《国家基础设施保护计划》的初步修订，待PPD-21修改完成后就可以定稿。 改进幅度未知 然而，美国国会成立的网络空间日光浴委员会（CSC）及其继任组织CSC 2.0的执行主任Mark Montgomery表示，政府无需等待PPD-21，应该尽早发布更新的《国家基础设施保护计划》。 他在“Hack the Capitol”会议上说，现有计划下的具体行业计划“都是垃圾”。大部分计划像是复制粘贴的产物，只是改了具体行业的名称。并且也没有任何一个计划提到CISA，因为CISA是根据一项国会法案在2018年11月才设立。 Mark Montgomery认为，PPD-21和《国家基础设施保护计划》都需要更加频繁地进行更新。“十多年都不更新，就不配叫新兴技术文件。”他担心文件更新可能无法很快完成。虽然政府已表示将于九月完成 PPD-21 的修订，问题是“哪个九月？” 值得注意的是，太空和云计算都不在关键基础设施行业的名单上。Mark Montgomery还指出了其他重大缺陷，比如负责特定行业的机构和对应关键基础设施行业之间的威胁信息共享不到位，对某些非常小众行业的风险管理机构的拨款是否合理，等等。他还提出了许多其他批评，这为拜登政府在 PPD-21 的修订上设定了很高的门槛。       转自 安全内参，原文链接：https://mp.weixin.qq.com/s/x6-cRbKCbM9xBXc5Wfrk_Q 封面来源于网络，如有侵权请联系删除

Lazarus 是针对3CX 的级联供应链攻击背后的多产朝鲜黑客组织，它还利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。 据悉，赛门铁克的威胁猎人团队提供的新发现证实了早先的怀疑，即 X_TRADER 应用程序危害影响的组织比 3CX 多。博通旗下赛门铁克的安全响应主管 Eric Chien 在一份声明中告诉黑客新闻，这些攻击发生在 2022 年 9 月至 2022 年 11 月之间。 Chien 说：“目前这些感染的影响尚不清楚——需要进行更多调查，并且正在进行中。”他补充说，“这个故事可能还有更多内容，甚至可能还有其他被木马化的软件包。” 事态发展之际，Mandiant透露，上个月 3CX 桌面应用程序软件遭到入侵，是由于 2022 年另一起针对 X_TRADER 的软件供应链泄露事件导致的，一名员工将其下载到他们的个人电脑上。 目前尚不清楚朝鲜网络攻击者 UNC4736 如何篡改由一家名为 Trading Technologies 的公司开发的交易软件 X_TRADER。虽然该服务于 2020 年 4 月停止，但直到去年仍可在公司网站上下载。 Mandiant 的调查显示，注入到损坏的 X_TRADER 应用程序中的后门（称为 VEILEDSIGNAL）允许对手获得对员工计算机的访问权限并窃取他们的凭据，然后使用这些凭据来破坏 3CX 的网络，横向移动并破坏 Windows 和macOS 构建环境以插入恶意代码。 这场规模庞大的相互关联的攻击似乎与以往与朝鲜结盟的团体和活动有很大重叠，这些团体和活动历来以加密货币公司为目标，并进行了出于经济动机的攻击。 谷歌云子公司以“中等信心”评估该活动与 AppleJeus 有关，AppleJeus 是一项针对加密公司进行金融盗窃的持续活动。网络安全公司 CrowdStrike 此前将此次攻击归因于一个名为Labyrinth Chollima的 Lazarus 集群。 2022年2月，Google 的威胁分析小组 (TAG)曾将同一敌对集体与 Trading Technologies 网站的入侵联系起来，以提供利用 Chrome 网络浏览器中当时的零日漏洞的漏洞利用工具包。 ESET 在分析不同的 Lazarus Group 活动时，披露了一种名为 SimplexTea 的新的基于 Linux 的恶意软件，它共享被识别为 UNC4736 使用的相同网络基础设施，进一步扩展了现有证据表明 3CX 黑客攻击是由朝鲜威胁策划的演员。 ESET 恶意软件研究员 Marc-Etienne M 表示：“[Mandiant] 发现第二次供应链攻击导致 3CX 遭到破坏，这表明 Lazarus 可能会越来越多地转向这种技术，以获得对目标网络的初始访问权限。” .Léveillé 告诉黑客新闻。 X_TRADER 应用程序的妥协进一步暗示了攻击者的经济动机。Lazarus（也称为 HIDDEN COBRA）是一个总称，由位于朝鲜的几个子团体组成，这些子团体代表隐士王国从事间谍活动和网络犯罪活动，并逃避国际制裁。 赛门铁克对感染链的分解证实了 VEILEDSIGNAL 模块化后门的部署，该后门还包含一个可以注入 Chrome、Firefox 或 Edge 网络浏览器的进程注入模块。该模块本身包含一个动态链接库 (DLL)，可连接到 Trading Technologies 的网站以进行命令和控制 (C2)。 赛门铁克总结说：“发现 3CX 被另一个更早的供应链攻击所破坏，这使得更多的组织很可能会受到这次活动的影响，现在发现这种活动的范围比最初认为的要广泛得多。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/WpJpB4rt4liYqbW0tBaWDQ 封面来源于网络，如有侵权请联系删除  

根据颇具影响力的网络空间日光浴室委员会的一项研究，美国应正式将太空列为关键基础设施部门，并采取措施保护卫星和其他太空系统免受网络攻击。 报告指出，“将太空系统指定为美国的关键基础设施部门将缩小目前的差距，并向国内外发出信号，表明太空安全和弹性是重中之重。太空达到了指定的门槛，因为它越来越多地卷入美国的军事和经济。” 由于没有任何一个联邦实体负责保护空间系统（如地面站和卫星）免受黑客攻击，白宫应将空间指定为第 17 个关键基础设施部门，并将 NASA 作为其“部门风险管理机构”提供监督和小组争论。当前的关键基础设施部门包括水坝、运输系统、化学部门和通信。 根据该研究的执行摘要，美国太空系统的主要部分仍然没有被指定为关键基础设施，也没有得到这样的指定所需要的关注或资源，今天的大多数太空系统都是在太空是冲突避难所的前提下开发的，但情况已不再如此。 网络空间日光浴室委员会由国会于 2019 年创建，由两党立法者小组领导。它于 2021 年底停用，但作为非营利组织继续发布报告和建议。 最近的一系列事态发展可能会为委员会在国会山提出的新建议提供动力。 在莫斯科无端入侵乌克兰之初，俄罗斯黑客将目标对准了卫星公司Viasat，以中断通信。 国土安全部还建议政策制定者考虑为太空和生物经济创建新的关键基础设施部门。国家安全委员会目前正在敲定重写总统指令 PPD-21，该指令决定哪些部门获得关键基础设施标签。 该报告指出，“有必要减轻源于太空地理和技术特殊性的独特网络安全挑战，通过国会拨款进行大量投资将势在必行，因为没有资源的政策只是空谈。” 为此，委员会建议国会每年向 NASA 提供 1500 万美元的初始投资，以及 25 名全职员工，以承担其新的风险管理职责。然而，该小组告诫不要授予该机构任何新的监管权力，而是建议国会研究服务处梳理现有法规并提出立法构想。 它还敦促航天部门建立一个协调委员会，以帮助促进工业界与联邦政府之间的信息共享。 报告还指出，“来自俄罗斯和其他国家的威胁正在增加。这些国家都将美国和合作伙伴的太空系统置于他们的十字准线之下，正如他们对反卫星 (ASAT) 能力的测试所证明的那样。美国需要一种更加协调一致的方法来进行空间系统基础设施的风险管理和公私合作。”       转自 E安全，原文链接：https://mp.weixin.qq.com/s/E8PEHH78mZYLG78Yk2XXxw 封面来源于网络，如有侵权请联系删除