Hackernews 编译，转载请注明出处： FBI 和 CISA 在一份联合报告中透露，自 2022 年 9 月以来，Royal 勒索软件团伙已经入侵了全球至少 350 个组织的网络。 在 3 月份发布的原始报告的更新中，这两家机构还指出，勒索软件行动与超过 2.75 亿美元的赎金要求有关。更新中包含了联邦调查局调查期间发现的额外信息。 报告中写道：“自 2022 年 9 月以来，Royal 已经在全球范围内锁定了 350 多名已知受害者，勒索软件的需求超过了 2.75 亿美元。” “Royal 在加密之前进行数据泄露和勒索，然后在没有支付赎金的情况下将受害者的数据发布到泄露网站。网络钓鱼邮件是 Royal 团伙最初访问的最成功的媒介之一。” 今年 3 月，FBI 和 CISA 首次共享了入侵指标和战术、技术和程序(TTPs)清单，以帮助防御者检测和阻止在其网络上部署皇家勒索软件有效载荷的企图。 美国卫生与公众服务部(HHS)安全团队于 2022 年 12 月透露，勒索软件是针对美国医疗机构的多起攻击的幕后黑手，随后发布了这份联合咨询。 从 Royal 到 BlackSuit? 最新的咨询报告还指出，Royal 可能会计划一个品牌重塑计划和/或衍生版本，BlackSuit 勒索软件将展示与 Royal 共享的几个编码特征。 BleepingComputer 在 6 月份报道称，Royal 勒索软件团伙一直在测试一种新的 BlackSuit 加密器，它与该组织常用的加密器有许多相似之处。 虽然人们认为，自 5 月份 BlackSuit 勒索软件行动浮出水面以来，Royal 勒索软件行动将会重塑，但实际上从未发生过。Royal 仍在积极利用 BlackSuit 对企业组织进行有限的攻击。 由于 BlackSuit 是一个独立的行动，Royal 可能计划成立一个专注于某些类型受害者的组织，因为一旦发现两个加密器之间的相似性，重新命名就不再有意义了。 “我相信我们很快就会看到更多类似 BlackSuit 的东西。但到目前为止，似乎新的载入程序和新的 Blacksuit 加密器都是失败的，”RedSense 的合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer。 与 Conti 网络犯罪团伙的联系 Royal 勒索软件是由技术高超黑客组成的一个私人组织，他们曾与臭名昭著的 Conti 网络犯罪团伙合作。 尽管在2022年1月首次被发现，但自同年9月以来，他们的恶意活动强度才有所增加。 虽然他们最初使用的是来自 ALPHV/BlackCat 等其他行动的勒索软件加密器，可能是为了避免引起注意，但该团伙后来转向部署自己的工具。 虽然他们的第一个加密器 Zeon 放弃了让人想起 Conti 生成的勒索信，但他们在2022年9月中旬进行了品牌重塑后改用了 Royal 加密器。最近，该恶意软件已经升级到在针对 VMware ESXi 虚拟机的攻击中加密 Linux 设备。 尽管他们通常通过可公开访问设备的安全漏洞渗透目标网络，但 Royal 运营商也以回调网络钓鱼攻击而闻名。 在这些攻击中，当目标拨打嵌入在电子邮件中的电话号码时，攻击者巧妙地伪装成订阅续订，利用社会工程策略诱骗受害者安装远程访问软件，授予他们访问目标网络的权限。 Royal 攻击者的手法包括对目标的企业系统进行加密，并要求每次攻击的赎金从25万美元到数千万美元不等。       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

Hackernews 编译，转载请注明出处： LockBit 勒索软件团伙公布了从波音公司窃取的数据，波音公司是为商用飞机和国防系统提供服务的最大航空航天公司之一。在泄露之前，LockBit 黑客表示，波音公司无视有关数据将被公开的警告，并威胁要公布约 4GB 的最新文件样本。 在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。 LockBit 网站上列出的大多数数据都是不同系统的备份，其中最近的时间戳是10月22日。 该勒索软件于10月27日在其网站上发布了波音公司的信息，并要求波音公司在11月2日的最后期限前与他们联系并进行谈判。 黑客当时表示，他们已经窃取了“大量敏感数据”，并准备公布这些数据。 波音在 LockBit 数据泄露网站的页面 波音公司从 LockBit 的受害者名单上消失了一段时间，但在11月7日再次被列入名单，当时黑客宣布他们的警告被忽视了。LockBit 勒索软件团伙决定表明他们有讨价还价的筹码，并威胁要公布“大约 4GB 的样本数据”。 黑客还威胁说，“如果我们看不到波音公司的积极合作”，他们将公布这些数据库。 LockBit 勒索软件威胁波音公司泄露被盗文件 11月10日，LockBit 在他们的网站上公布了他们从波音公司获得的所有数据。这些文件包括 IT 管理软件的配置备份，以及监控和审计工具的日志。 Citrix 设备的备份也被列出，这引发了人们对 LockBit 勒索软件使用最近披露的 Citrix Bleed 漏洞(CVE-2023-4966)的猜测，该漏洞的概念验证漏洞代码已于10月24日公布。 虽然波音公司证实了网络攻击，但该公司没有提供有关该事件的任何细节，也没有提供黑客是如何侵入其网络的。 LockBit 勒索软件已经活跃了四年多，在各个行业造成了数千名受害者。受害者包括大陆汽车巨头、英国皇家邮政、意大利国税局和奥克兰市。 美国政府 6 月表示，自 2020 年以来，该团伙对美国各组织进行了近1700次攻击，勒索了约 9100 万美元。 不仅如此，今年8月西班牙国家警察警告称，一场针对该国建筑公司的网络钓鱼活动，目的是用 LockBit 的 locker 恶意软件对系统进行加密。 而上周，LockBit 确认对中国工商银行美国子公司的勒索攻击负责 >>>中国工商银行美国子公司遭 LockBit 勒索软件攻击       Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

据The Hacker News消息，研究人员发现，一种新型恶意广告活动正伪装成 Windows 新闻门户网站，传播含有恶意软件的虚假CPU-Z 系统分析工具。 虽然众所周知，恶意广告活动会建立对应软件的山寨网站来冒充，但此次活动却是模仿了新闻门户网站(WindowsReport.com) ，其目标是针对在 Google 等搜索引擎上搜索 CPU-Z 的用户，通过呈现恶意广告，将这些用户重定向到虚假门户 。 通过谷歌搜索呈现的恶意广告引导用户至虚假Windows新闻门户 恶意网站上托管的已签名 MSI 安装程序包含一个恶意 PowerShell 脚本，即一个名为 FakeBat（又名 EugenLoader）的加载程序，充当在受感染主机上部署 RedLine Stealer 的管道。 这绝非谷歌流行软件的欺骗性广告第一次成为恶意软件的传播媒介。就在不久前，网络安全公司 eSentire 披露了一个被称之为Nitrogen 的恶意活动，该活动被认为是 BlackCat 勒索软件攻击的前奏。 加拿大网络安全公司记录的另外两项活动表明，近几个月来已出现利用将用户引导至可疑网站的偷渡式下载方法来传播NetWire RAT、DarkGate和DanaBot等各种恶意软件系列，表明攻击者正继续越来越多地依赖 NakedPages、Strox 和 DadSec 等 “中间对手”（AiTM）网络钓鱼工具包绕过多因素身份验证并劫持目标账户。、 此外，eSentire 还呼吁人们关注一种被称为 Wiki-Slack 攻击的新方法，这种用户定向攻击手法旨在通过篡改维基百科文章第一段末尾并在 Slack 上共享，将受害者引向攻击者控制的网站。具体来说，当维基百科 URL 在企业消息平台中以预览形式呈现时，利用 Slack 中 “错误处理第一段和第二段之间空白 “的缺陷自动生成链接。 实施这种攻击的一个关键前提在于维基百科文章中第二段的第一个词必须是顶级域（如 in、at、com 或 net），而且这两段应出现在文章的前 100 个字内。 有了这些条件，攻击者就可以将这种行为武器化，使 Slack 格式的共享页面预览结果指向一个恶意链接，一旦受害者点击该链接，就会落入攻击者设好的陷阱当中。   转自Freebuf，原文链接：https://www.freebuf.com/news/383497.html 封面来源于网络，如有侵权请联系删除

近日，五家加拿大医院透露遭受勒索软件的攻击，并被泄露了北岛数据。受影响的医院包括Bluewater Health、查塔姆-肯特健康联盟、伊利海岸医疗保健、迪厄格雷斯酒店和温莎地区医院。 据悉在10月，当地服务提供商TransForm共享服务组织遭到勒索软件攻击，医院受到影响。TransForm是一家非营利组织，为上述医院提供IT服务。该组织发现，威胁行为者破坏了一个托管员工数据的文件服务器，并与受影响的医院共享了一个驱动器。 TransForm宣布不打算支付赎金 该公司的声明中写道：“我们没有支付赎金，我们知道与网络事件有关的数据已经公布。” 该公司通知了执法部门，包括当地警察局、安大略省警察局、国际刑警组织和联邦调查局，以及包括安大略省信息和隐私专员在内的所有相关监管组织。 该事件的调查仍在进行中，尚未确定安全漏洞的范围。蓝水健康医院证实，威胁行为者窃取了一个包含560万患者就诊信息的数据库，而受影响的患者人数约为26.7万。 目前第二批第三批数据也已被公布，包括新冠疫苗记录。CISA、联邦调查局和卫生与公众服务部（HHS）警告称，戴信团队的网络犯罪集团正通过勒索软件行动积极瞄准美国企业，主要是医疗保健和公共卫生部门。 戴信团队是一个勒索软件和数据勒索集团，至少自2022年6月以来一直活跃。该组织专注于HPH部门的勒索软件业务，旨在部署勒索软件并过滤个人身份信息（PII）和患者健康信息（PHI），威胁称如果不支付赎金，将公布被盗数据。 戴信团队通过虚拟专用网络（VPN）服务器初步接触受害者。在一次成功的攻击中，攻击者很可能利用了该组织VPN服务器中未修补的漏洞。 在另一个方案中，在访问目标的VPN服务器后，Daixin参与者通过安全外壳（SSH）和远程桌面协议（RDP）进行横向移动。 联邦机构发布的警报包括妥协指标（IOC）和MITRE ATT&CK战术和技术。   转自E安全，原文链接：https://mp.weixin.qq.com/s/L7GZ3fRmSsZfvjIfw-uvtw 封面来源于网络，如有侵权请联系删除

亲巴勒斯坦黑客组织“所罗门士兵”宣布，它入侵了面粉厂有限公司生产工厂的基础设施，该公司是一家从事面粉及相关食品加工和销售的跨国公司。威胁者声称破坏了生产周期。 该组织在其 Telegram 频道上发布了一段视频，显示了用于控制该计划流程的系统的几张屏幕截图。 此类攻击可能会对公司和社区产生重大影响，因为目标是食品供应链的重要组成部分。 所罗门士兵组织继续以以色列组织为目标，最近他们声称对位于内盖夫沙漠的阿沙利姆发电站进行了成功的网络攻击。威胁行为者表示，他们已将该站与配电电路断开。 10月，黑客活动分子完全控制了内瓦蒂姆军区的50多台服务器、安全摄像头和智能城市管理系统。他们还声称窃取了 25TB 数据，并通过我们定制的 Crucio 勒索软件勒索了这些数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/291265 封面来源于网络，如有侵权请联系删除

一种名为 GootBot 的 GootLoader 恶意软件新变种已被发现，它能在被入侵系统上进行横向移动并逃避检测。 IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说：GootLoader 组织在其攻击链的后期阶段引入了自己定制的机器人，试图在使用 CobaltStrike 或 RDP 等现成的 C2 工具时逃避检测。 这种新变种是一种轻量级但有效的恶意软件，允许攻击者在整个网络中快速传播并部署更多的有效载荷。 顾名思义，GootLoader 是一种恶意软件，能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意软件。它与一个名为 Hive0127（又名 UNC2565）的威胁行为者有关。 GootBot 的使用表明了一种战术转变，即在 Gootloader 感染后作为有效载荷下载植入程序，而不是使用 CobaltStrike 等后开发框架。 GootBot 是一个经过混淆的 PowerShell 脚本，其目的是连接到被入侵的 WordPress 网站进行命令和控制，并接收进一步的命令。 使问题更加复杂的是，每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器，因此很难阻止恶意流量。 GootLoader 恶意软件 研究人员说：目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题，将受害者引向设计成合法论坛的受攻击网站，诱使他们下载带有病毒的文件、文档。 存档文件包含一个混淆的JavaScript文件，执行后会获取另一个JavaScript文件，该文件通过计划任务触发以实现持久性。 在第二阶段，JavaScript被设计为运行一个PowerShell脚本，用于收集系统信息并将其渗入远程服务器，而远程服务器则会响应一个无限循环运行的PowerShell脚本，并允许威胁行为者分发各种有效载荷。 其中包括 GootBot，它每 60 秒向其 C2 服务器发出信标，获取 PowerShell 任务以供执行，并以 HTTP POST 请求的形式将执行结果传回服务器。 GootBot 的其他一些功能包括侦察和在环境中进行横向移动，从而有效地扩大了攻击规模。 研究人员说：Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的风险，例如与GootLoader链接的勒索软件附属活动。   转自Freebuf，原文链接：https://www.freebuf.com/news/383180.html 封面来源于网络，如有侵权请联系删除

Akira勒索软件团伙声称他们攻击了斯坦福大学并窃取了430GB的数据。 斯坦福大学（Stanford University）是一所世界知名顶尖学府，据其官网公告，其在近日确认成为勒索软件攻击的目标。 前不久，Akira勒索软件团伙声称他们攻击了斯坦福大学并窃取了430GB的数据。Akira调侃，斯坦福大学之前“以其企业家精神而闻名”，但眼下很快就要因其430 GB内部数据泄露而闻名了。Akira声称拥有斯坦福大学的私人信息和机密文件，并威胁称如果斯坦福大学不支付一笔未指明的赎金，将会在网上泄露这些信息。 斯坦福大学的声明证实了遭到攻击一事，并表示此次攻击仅限于斯坦福大学公共安全部（SUDPS）：“根据我们迄今为止的调查，没有迹象表明此次事件影响了大学的其他部分，也没有影响到警方对紧急情况的响应。受影响的SUDPS系统已得到保护。” 据了解，SUDPS负责处理存储与学生、教职员工以及其他社区成员有关的人员、案件报告、风险评估和犯罪数据。目前尚不清楚有多少数据失窃或被勒索软件加密。 虽然Akira是今年3月才冒头的一个勒索软件团伙，但其已对美国多所大学和K-12学校进行多次攻击，安全专家认为其背后有经验丰富、技术娴熟的运营人员。分析Akira代码的专家表示，它在字符串混淆和文件加密方面与Conti非常相似。Conti是一个现已解散的勒索软件团伙，被指控对世界各国政府发起过多起高调攻击。 斯坦福大学此前在2021年也遭遇过一次网络安全攻击，当时Clop勒索软件团伙通过Accellion文件传输设备（FTA）软件的漏洞窃取并泄露了来自斯坦福医学院的个人信息。   转自看雪学苑，原文链接：https://www.secrss.com/articles/60428 封面来源于网络，如有侵权请联系删除

暴露于互联网的 Apache ActiveMQ 服务器也是 TellYouThePass 勒索软件攻击的目标，该攻击针对的是先前被用作零日漏洞的关键远程代码执行 (RCE) 漏洞。 该缺陷被追踪为CVE-2023-46604，是 ActiveMQ 可扩展开源消息代理中的一个最严重的错误，它使未经身份验证的攻击者能够在易受攻击的服务器上执行任意 shell 命令。 尽管 Apache 于 10 月 27 日发布了安全更新来修复该漏洞，但网络安全公司ArcticWolf和Huntress Labs发现，至少从 10 月 10 日起，威胁行为者已经利用该漏洞作为零日漏洞部署 SparkRAT 恶意软件已有两周多的时间。 根据威胁监控服务 ShadowServer 的数据，目前在线暴露的 Apache ActiveMQ 服务器超过 9,200 个，其中超过 4,770 个服务器容易受到 CVE-2023-46604 漏洞的攻击。 由于 Apache ActiveMQ 在企业环境中用作消息代理，因此应用安全更新应被视为时间敏感的。 建议管理员立即升级到 ActiveMQ 版本 5.15.16、5.16.7、5.17.6 和 5.18.3，修补所有易受攻击的系统。 未针对 CVE-2023-46604 (ShadowServer) 修补的服务器 成为勒索软件团伙的目标 Apache 修补了这一关键 ActiveMQ 漏洞一周后，Huntress Labs 和 Rapid7 均报告发现攻击者利用该漏洞在客户网络上部署 HelloKitty 勒索软件有效负载。 两家网络安全公司的安全研究人员观察到的攻击始于 10 月 27 日，即 Apache 发布安全补丁几天后。 Arctic Wolf Labs 在一天后发布的一份报告中透露，积极利用 CVE-2023-46604 缺陷的威胁行为者还利用它来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问。 安全研究人员还发现 HelloKitty 和 TellYouThePass 攻击之间的相似之处，这两个攻击活动共享“电子邮件地址、基础设施以及比特币钱包地址”。 北极狼研究人员警告说：“各种具有不同目标的黑客在野外利用 CVE-2023-46604 的证据表明，需要快速修复这一漏洞。” 自两年前Log4Shell 概念验证漏洞在线发布后， TellYouThePass 勒索软件的活动突然大幅增加。 随着 2021 年 12 月以 Golang 编译的恶意软件的形式回归，该勒索软件菌株还增加了跨平台目标功能，使得攻击 Linux 和 macOS 系统成为可能（macOS 样本尚未在野外发现）。   转自安全客，原文链接：https://www.anquanke.com/post/id/291248 封面来源于网络，如有侵权请联系删除

攻击者正在利用最近修补的严重 Atlassian Confluence 身份验证绕过漏洞，使用 Cerber 勒索软件加密受害者的文件。 Atlassian 将该漏洞描述为不正确的授权漏洞，并跟踪为 CVE-2023-22518，该漏洞的严重程度为 9.1/10，它影响所有版本的 Confluence Data Center 和 Confluence Server 软件。 Atlassian上周二发布了安全更新，警告管理员立即修补所有易受攻击的实例，因为该缺陷也可能被利用来擦除数据。 Atlassian 首席信息安全官 (CISO) Bala Sathiamurthy表示：“作为我们持续安全评估流程的一部分，我们发现 Confluence 数据中心和服务器客户如果被未经身份验证的攻击者利用，很容易遭受重大数据丢失。” “目前没有关于主动利用的报告；但是，客户必须立即采取行动来保护他们的实例。” 几天后，该公司发布了第二次警告，提醒客户，概念验证漏洞已经在网上可用，尽管没有证据表明该漏洞正在进行。 那些无法修补系统的人被敦促采取缓解措施，包括备份未修补的实例并阻止对未修补的服务器的互联网访问，直到它们得到保护。 还可以选择通过修改/<confluence-install-dir>/confluence/WEB-INF/web.xml来删除已知的攻击媒介，如公告中所述并重新启动易受攻击的实例。 根据威胁监控服务 ShadowServer 的数据，目前有超过 24,000 个 Confluence 实例暴露在网上，但无法得知有多少个实例容易受到 CVE-2023-22518 攻击。 暴露在互联网上的 Atlassian Confluence 实例 (Shadowserver) 在勒索软件攻击中被利用 Atlassian 于周五更新了他们的公告，警告威胁行为者在 PoC 漏洞发布后已经针对攻击中的缺陷进行了攻击。 该公司表示：“我们收到了一份关于活跃漏洞的客户报告。客户必须立即采取行动来保护他们的实例。如果您已经应用了补丁，则无需采取进一步的行动。” 周末，威胁情报公司 GreyNoise警告称，CVE-2023-22518从11 月 5 日星期日开始广泛利用。 网络安全公司 Rapid7 还观察到针对暴露在互联网上的 Atlassian Confluence 服务器的攻击，其中包括针对 CVE-2023-22518 身份验证绕过的漏洞以及先前被用作零日漏洞的旧版关键权限升级(CVE-2023-22515)。 该公司表示：“截至 2023 年 11 月 5 日，Rapid7 托管检测和响应 (MDR) 正在观察多个客户环境中 Atlassian Confluence 的利用情况，包括勒索软件部署。” “在多个攻击链中，Rapid7 观察到利用后命令执行来下载托管在 193.43.72[.]11 和/或 193.176.179[.]41 上的恶意有效负载，如果成功，将导致单系统 Cerber 勒索软件部署在被利用的 Confluence 服务器上。” CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 上个月发布了一份联合公告，敦促网络管理员立即保护 Atlassian Confluence 服务器免受主动利用的 CVE-2023-22515 权限升级漏洞的影响。根据微软的一份报告，至少从 9 月 14 日起就一直受到积极的利用。 两年前， Cerber 勒索软件（又名 CerberImposter）也被部署在针对 Atlassian Confluence 服务器的攻击中，利用远程代码执行漏洞 (CVE-2021-26084)，该漏洞之前被用来安装加密挖矿程序。   转自安全客，原文链接：https://www.anquanke.com/post/id/291246 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国制裁一名被指控为勒索软件关联公司洗钱虚拟货币的俄罗斯人。 上周五，美国财政部制裁了一名俄罗斯女子，她被指控代表该国精英和网络犯罪分子洗钱，其中包括Ryuk勒索软件的一个分支机构。 据外国资产控制办公室（OFAC）称，叶卡捷琳娜·日达诺娃曾帮助其他俄罗斯人逃避入侵乌克兰后对该国金融体系实施的制裁。OFAC说，有一次，一位不愿透露姓名的寡头找到日达诺娃，想把1亿美元转移到阿拉伯联合酋长国。 据称，2021年，她为Ryuk勒索软件子公司洗钱超过230万美元的“疑似受害者付款”。她通过加密货币交易所Garantex管理这些资金，该交易所本身在2022年被OFAC指定。 根据OFAC的说法，在被制裁之前，与暗网市场和犯罪分子有关的交易价值超过1亿美元。 “通过像日达诺娃这样的关键推手，俄罗斯精英、勒索软件组织和其他非法行为者试图逃避美国和国际制裁，特别是通过滥用虚拟货币，”美国财政部负责恐怖主义和金融情报的副部长Brian E. Nelson说。 Ryuk勒索软件自2018年出现以来，造成了多年的破坏。2020年，在Covid-19封锁期间，联邦执法机构警告说，医疗保健行业正受到Ryuk的攻击。一个月前，连锁医院Universal Health Services遭到了Ryuk的攻击，最终使该公司损失了6700万美元。 今年2月，一名俄罗斯男子在俄勒冈州联邦法院认罪，承认在三年内为Ryuk洗钱。他被指控与13名未透露姓名的同谋一起担任该组织的中间人。 对日达诺娃这样的人的制裁往往象征意义大于实际意义，因为参与非法活动的俄罗斯人不太可能在美国拥有财产或商业利益。       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene