根据微软的最新发现，以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的零日漏洞实施过其他攻击。 此次的漏洞被追踪为 CVE-2023-47246，涉及一个路径遍历漏洞，可能导致黑客在内部安装中执行恶意代码。不过SysAid 已在 23.3.36 版软件中修补了这个漏洞。 微软方面表示：Lace Tempest 黑客组织在利用了该漏洞后，会通过 SysAid 软件发出命令，从而为 Gracewire 恶意软件提供恶意软件加载器。然后通过人为操作的恶意活动，比如横向移动、数据窃取和勒索软件部署等等达到进一步的攻击目的。 据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中。而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外，还用于发送 PowerShell 脚本，这个脚本主要是为了执行加载器，再反过来加载 Gracewire。同时，攻击者还部署了第二个 PowerShell 脚本，用于在部署恶意有效载荷后清除利用证据。 而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike，这是一个合法的后剥削框架。 所以为了更大程度的降低勒索软件攻击的伤害，使用 SysAid 的企业最好尽快安装补丁。同时要注意在打补丁之前扫描环境，看看是否有被利用的迹象。   转自Freebuf，原文链接：https://www.freebuf.com/news/383432.html 封面来源于网络，如有侵权请联系删除

Predator AI ChatGPT 集成给云服务带来风险。 该恶意工具专门针对云服务而设计，并集成了人工智能 (AI) 技术，特别是在 Python 脚本中实现的 ChatGPT 驱动类。 GPTj 类的包含添加了一个类似聊天的文本处理界面，以便与该工具的功能进行交互。这种集成旨在减少对 OpenAI API 的依赖，同时简化 Predator AI 的功能。 Predator AI 拥有超过 11,000 行代码，使用基于 Tkinter 的图形用户界面 (GUI)。它包含处理不同功能的各种类，包括 Web 应用程序安全扫描和与云服务的集成。 该工具主要通过与黑客社区相关的 Telegram 渠道分发。其核心功能是促进对常用技术的 Web 应用程序攻击，包括 WordPress 等内容管理系统和 AWS SES 等云电子邮件服务。 值得注意的是，Predator AI 与AlienFox和 Legion 云垃圾邮件工具集等其他工具集有相似之处，因为它们将公开可用的代码重新用于恶意目的。 根据SentinelLabs 周二发布的公告，该工具正在积极维护并接收更新，最近添加了 Twilio 帐户检查器。开发人员强调，该工具用于教育目的，并阻止非法使用。 SentinelLabs 澄清说：“虽然 Predator AI 可能有一定的功能，但这种集成并不会大幅提高攻击者的能力。” “该功能尚未在活跃黑客组织的 Telegram 频道上宣传，并且可能存在许多边缘情况，导致其不稳定且可能昂贵。” 可以通过维护最新的系统、限制互联网访问和使用云安全态势管理工具来减轻此类工具带来的风险。 SentinelLabs 还建议实施专门的日志记录和检测机制来识别云服务提供商 (CSP) 资源中的异常活动，包括快速添加新用户帐户和立即删除现有帐户。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zhpEAmg28EQWZbC5itWpTg 封面来源于网络，如有侵权请联系删除

据观察，与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传播各种远程访问木马，例如 AllaKore RAT、Ares RAT 和 DRat。 企业安全公司 SEQRITE 将该活动描述为多平台攻击，这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。 SideCopy 至少从 2019 年开始活跃，以攻击印度和阿富汗实体而闻名。它被怀疑是透明部落（又名 APT36）演员的一个子团体。 SEQRITE 研究员 Sathwik Ram Prakki在周一的一份报告中表示：“SideCopy 和 APT36 共享基础设施和代码，以积极瞄准印度。” 今年 5 月初，该组织与一次网络钓鱼活动有关，该活动利用与印度国防研究与发展组织 (DRDO) 相关的诱饵来传播信息窃取恶意软件。 此后，SideCopy 还参与了一系列针对印度国防部门的网络钓鱼攻击，这些攻击通过 ZIP 存档附件传播 Action RAT 和支持 18 种不同命令的基于 .NET 的新特洛伊木马。 SEQRITE 检测到的新网络钓鱼活动涉及两个不同的攻击链，每个攻击链都针对 Linux 和 Windows 操作系统。 前者围绕基于 Golang 的 ELF 二进制文件，为 Linux 版本的Ares RAT铺平了道路，该版本能够枚举文件、截屏以及文件下载和上传等。 另一方面，第二个活动需要利用WinRAR 归档工具中的安全漏洞CVE-2023-38831来触发恶意代码的执行，从而导致部署 AllaKore RAT、Ares RAT 和两个新的 RAT。称为 DRat 和 Key RAT 的木马。 Ram Prakki 表示：“[AllaKore RAT] 具有窃取系统信息、键盘记录、截取屏幕截图、上传和下载文件以及远程访问受害计算机以发送命令并将窃取的数据上传到 C2 的功能。” DRat 能够解析来自 C2 服务器的多达 13 个命令，以收集系统数据、下载和执行其他有效负载以及执行其他文件操作。 针对 Linux 的攻击并非巧合，其动机很可能是印度政府和国防部门决定用名为 Maya OS 的 Linux 版本取代 Microsoft Windows。 Ram Prakki 表示：“SideCopy 通过零日漏洞扩展其武器库，持续利用各种远程访问木马来针对印度国防组织。” “APT36 正在不断扩展其 Linux 武器库，据观察，APT36 与 SideCopy 共享其 Linux stagers，以部署名为 Ares 的开源 Python RAT。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291279 封面来源于网络，如有侵权请联系删除

一种名为 GootBot 的 GootLoader 恶意软件新变种已被发现，它能在被入侵系统上进行横向移动并逃避检测。 IBM X-Force 研究人员 Golo Mühr 和 Ole Villadsen 说：GootLoader 组织在其攻击链的后期阶段引入了自己定制的机器人，试图在使用 CobaltStrike 或 RDP 等现成的 C2 工具时逃避检测。 这种新变种是一种轻量级但有效的恶意软件，允许攻击者在整个网络中快速传播并部署更多的有效载荷。 顾名思义，GootLoader 是一种恶意软件，能够利用搜索引擎优化 (SEO) 中毒策略引诱潜在受害者下载下一阶段的恶意软件。它与一个名为 Hive0127（又名 UNC2565）的威胁行为者有关。 GootBot 的使用表明了一种战术转变，即在 Gootloader 感染后作为有效载荷下载植入程序，而不是使用 CobaltStrike 等后开发框架。 GootBot 是一个经过混淆的 PowerShell 脚本，其目的是连接到被入侵的 WordPress 网站进行命令和控制，并接收进一步的命令。 使问题更加复杂的是，每个存入的 GootBot 样本都使用了一个唯一的硬编码 C2 服务器，因此很难阻止恶意流量。 GootLoader 恶意软件 研究人员说：目前观察到的活动利用病毒化的搜索合同、法律表格或其他商业相关文件等主题，将受害者引向设计成合法论坛的受攻击网站，诱使他们下载带有病毒的文件、文档。 存档文件包含一个混淆的JavaScript文件，执行后会获取另一个JavaScript文件，该文件通过计划任务触发以实现持久性。 在第二阶段，JavaScript被设计为运行一个PowerShell脚本，用于收集系统信息并将其渗入远程服务器，而远程服务器则会响应一个无限循环运行的PowerShell脚本，并允许威胁行为者分发各种有效载荷。 其中包括 GootBot，它每 60 秒向其 C2 服务器发出信标，获取 PowerShell 任务以供执行，并以 HTTP POST 请求的形式将执行结果传回服务器。 GootBot 的其他一些功能包括侦察和在环境中进行横向移动，从而有效地扩大了攻击规模。 研究人员说：Gootbot 变体的发现让我们看到了攻击者为躲避检测和隐蔽操作而做的努力。TTPs和工具的这种转变增加了成功开发后阶段的风险，例如与GootLoader链接的勒索软件附属活动。   转自Freebuf，原文链接：https://www.freebuf.com/news/383180.html 封面来源于网络，如有侵权请联系删除

曹县官方背景的黑客组织 BlueNoroff 正在利用影响 macOS 的恶意软件瞄准金融机构。 安全公司 Jamf 的研究人员在一份新报告中表示，一个名为BlueNoroff 的高级持续威胁组织正在针对加密货币交易所、风险投资公司和银行发起出于经济动机的攻击。 美国财政部认为BlueNoroff APT 黑客是 Lazarus 的一个子组织，Lazarus 是研究人员和政府追踪的最臭名昭著的曹县政府黑客。 Jamf 威胁实验室的研究人员将最新的活动与他们之前称为“Rustbucket”的活动进行了结合，涉及可以利用 Mac 设备的恶意软件。 研究人员表示：“大多数恶意软件都非常复杂，而这种恶意软件似乎有点懒惰，功能很少。” “从代码角度来看，该恶意软件与我们所知的其他恶意软件并不直接相似。话虽这么说，因为它很简单，所以没有什么可挑剔的。代码中包含的域以及它能够接收和执行来自该域的命令是主要的危险信号。” 研究人员在发现尚未提交到 VirusTotal（恶意软件存储库）的恶意软件后对此产生了兴趣。日本和美国在 9 月和 10 月开始调查该恶意软件。 他们发现了其他引起他们兴趣的线索，包括与一个似乎与加密货币公司相关的域进行通信的事实。Jamf 威胁实验室表示，BlueNoroff 通常“创建一个看起来属于合法加密公司的域名，以便融入网络活动。” 在本例中，该组织正在与 swissborg[.]blog 域名进行通信，该域名是 5 月31 日注册的加密货币交易所 swissborg.com/blog 的山寨品。 “这里看到的活动与我们在 Jamf 威胁实验室追踪的 Rustbucket 活动中从 BlueNoroff 看到的活动非常一致，在该活动中，攻击者接触到目标，声称有兴趣与他们合作，或者在伪装下为他们提供一些有益的东西。”他们说。 目前尚不清楚黑客是如何获得初始访问权限的，但他们怀疑恶意软件是通过社会工程攻击传播的。然后，它会在攻击的后期使用，并提供有关 macOS 设备等的信息。 Menlo Security 的网络安全专家 Ngoc Bui 指出，该组织此前曾使用冒充招聘人员的网络钓鱼电子邮件，通过后门恶意软件感染目标，这些恶意软件可以窃取数据并远程控制受感染的系统。 “Jamf 威胁实验室发现的新恶意软件菌株意义重大，因为它表明 BlueNoroff 正在继续开发新的复杂恶意软件。Bui 表示，该恶意软件在上传时未被 VirusTotal 检测到，这一事实表明 BlueNoroff 正在采取措施逃避检测。他补充说，这种病毒很危险，因为它被伪装成合法软件。 2019 年，美国财政部对该组织实施了制裁，并表示 BlueNoroff“由曹县政府成立，旨在非法赚取收入，以应对全球制裁力度加大。” 美国财政部表示：“Bluenoroff 代表曹县政权以网络抢劫的形式对外国金融机构进行恶意网络活动，以赚取收入，部分用于其不断发展的核武器和弹道导弹计划。” “网络安全公司早在 2014 年就首次注意到这个组织，当时曹县的网络活动除了获取军事信息、破坏网络稳定或恐吓对手之外，还开始关注经济利益。” 美国财政部表示，到 2018 年，该组织已试图从目标窃取超过 11 亿美元，并对孟加拉国、印度、墨西哥、巴基斯坦、菲律宾、韩国、台湾、土耳其、智利和越南的银行进行了攻击。 其中最引人注目的攻击之一包括从孟加拉国中央银行纽约联邦储备银行账户中盗窃 8000 万美元。 俄罗斯安全公司卡巴斯基表示，BlueNoroff 与俄罗斯、波兰、斯洛文尼亚、乌克兰、捷克共和国、中国、印度、美国、香港、新加坡、阿联酋和越南的加密货币公司遭受的多起黑客攻击有关。 该组织被指控在 2021 年从 bZx DeFi 平台窃取了 5500 万美元，东北亚某国黑客组织被指控从全球受害者那里窃取了相当于数十亿美元的资金。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ZVANxN1unmO9YTfzZ4-bAw 封面来源于网络，如有侵权请联系删除

名为“Socks5Systemz”的代理僵尸网络已通过“PrivateLoader”和“Amadey”恶意软件加载程序感染全球计算机，目前已统计有 10,000 台受感染设备。该恶意软件会感染计算机，并将其转变为恶意、非法或匿名流量的流量转发代理。它将这项服务出售给每天支付 1 至 140 美元加密货币的订阅者。 BitSight的一份报告详细介绍了 Socks5Systemz，该报告称代理僵尸网络至少自2016年以来就已存在，但直到最近才相对低调。 Socks5Systemz Socks5Systemz 僵尸程序由 PrivateLoader 和 Amadey 恶意软件分发，这些恶意软件通常通过网络钓鱼、漏洞利用工具包、恶意广告、从 P2P 网络下载的木马可执行文件等进行传播。 BitSight 看到的样本名为“previewer.exe”，其任务是将代理机器人注入到主机内存中，并通过名为“ContentDWSvc”的 Windows 服务为其建立持久性。 代理机器人有效负载是一个 300 KB 32 位 DLL。它使用域生成算法 (DGA) 系统与其命令和控制 (C2) 服务器连接，并发送有关受感染计算机的分析信息。 作为响应，C2 可以发送以下命令之一来执行： 空闲：不执行任何操作 connect：连接到反向连接服务器 connect：断开与反向连接服务器的连接 updips：更新授权发送流量的 IP 地址列表 upduris：尚未实施 connect 命令至关重要，它指示机器人通过端口 1074/TCP 建立反向连接服务器连接。 一旦连接到威胁行为者的基础设施，受感染的设备现在可以用作代理服务器并出售给其他威胁行为者。 连接到反向连接服务器时，它使用确定 IP 地址、代理密码、阻止端口列表等的字段。这些字段参数确保只有白名单中的机器人并具有必要的登录凭据才能与控制服务器交互，从而阻止未经授权的尝试。 法经营影响 BitSight 映射了主要位于法国和整个欧洲（荷兰、瑞典、保加利亚）的 53 个代理机器人、反向连接、DNS 和地址获取服务器的广泛控制基础设施。 自 10 月初以来，分析师通过端口 1074/TCP 记录了 10,000 次与已识别的反向连接服务器的不同通信尝试，表明受害者数量相同。 地理分布稀疏且随机，覆盖全球，但印度、美国、巴西、哥伦比亚、南非、阿根廷和尼日利亚感染人数最多。 Socks5Systemz 代理服务的访问权限分为两个订阅级别，即“标准”和“VIP”，客户通过匿名（无 KYC）支付网关“Cryptomus”进行支付。 订阅者必须声明代理流量的来源 IP 地址，才能将其添加到机器人的白名单中。 标准订阅者仅限于单个线程和代理类型，而 VIP 用户可以使用 100-5000 个线程并将代理类型设置为 SOCKS4、SOCKS5 或 HTTP。 下面列出了每项服务的价格： 住宅代理僵尸网络是一项 利润丰厚的业务 ，对互联网安全和未经授权的带宽劫持具有重大影响。 这些服务通常用于购物机器人并绕过地理限制，因此非常受欢迎。 8 月，AT&T 分析师透露了一个由超过 400,000 个节点组成的广泛代理网络，其中不知情的 Windows 和 macOS 用户充当出口节点，引导其他人的互联网流量。   转自E安全，原文链接：https://mp.weixin.qq.com/s/287AfbK4FvsjzqqTSjUqFw 封面来源于网络，如有侵权请联系删除

据网络安全公司 Palo Alto Networks 报道，自 2023 年 1 月以来，一名伊朗高级持续威胁 (APT) 攻击者一直使用擦除器针对以色列的高等教育和技术组织。 这些入侵发生在 10 月份，被归咎于一个伊朗民族国家黑客组织，该组织被命名为 Agonizing Serpens（痛苦巨蛇） ，其他名称有 Agrius、BlackShadow 和 Pink Sandstorm（以前称为 Americium）。 该组织一直在发动间谍活动和破坏性攻击，主要针对以色列和阿联酋实体，去年也被发现针对南非的一家钻石工业公司。 Palo Alto Networks Unit 42在与一份新报告（https://unit42.paloaltonetworks.com/agonizing-serpens-targets-israeli-tech-higher-ed-sectors）中表示：“这些攻击的特点是试图窃取敏感数据，例如个人身份信息 (PII) 和知识产权。” “一旦攻击者窃取了信息，他们就会部署各种擦除器，旨在掩盖攻击者的踪迹并使受感染的端点无法使用。” 其中包括三种不同的新的擦除器，如 MultiLayer、PartialWasher 和 BFG Agonizer，以及用于从称为 Sqlextractor 的数据库服务器提取信息的定制工具。 Agonizing Serpens 组织至少自 2020 年 12 月起就活跃，与针对以色列实体的擦除器攻击有关。今年 5 月初，Check Point 详细介绍了黑客组织在针对该国的攻击中使用名为Moneybird 的勒索软件的情况。 最新的一组攻击需要将易受攻击的面向互联网的 Web 服务器武器化，作为部署 Web shell 的初始访问路由，并对受害者网络进行侦察，并窃取具有管理权限的用户的凭据。 横向移动阶段之后是使用 Sqlextractor、WinSCP 和 PuTTY 等公共和自定义工具的组合进行数据泄露，最后交付擦除器恶意软件。 MultiLayer是一种.NET恶意软件，它会枚举文件以进行删除或使用随机数据损坏它们，以阻止恢复工作并通过擦除引导扇区使系统无法使用。 PartialWasher是一种基于C++ 的恶意软件，用于扫描驱动器并擦除指定文件夹及其子文件夹。 BFG Agonizer是一种严重依赖于名为CRYLINE-v5.0 的开源项目的恶意软件。 与 Agrius 的链接源于与Apostle、IPsec Helper和Fantasy等其他恶意软件家族的多个代码重叠，这些恶意软件家族已被确定为该组织之前使用过的。 Unit 42 研究人员表示：“Agonizing Serpens APT 组织最近升级了他们的能力，他们正在投入巨大的努力和资源，试图绕过 EDR 和其他安全措施。” 他们一直在使用不同的已知概念验证 (PoC) 和渗透测试工具以及自定义工具。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/KquLImwCrxx5k6l9zGKfdQ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，拥有美国航空公司 1.5 万名飞行员的大工会——美国飞行员协会（Allied Pilots Association，APA）近期披露其系统遭到勒索软件攻击。（APA 工会成立于 1963 年，是目前世界上最大的独立飞行员工会） Emsisoft 完全威胁分析师 Brett Callow 在一份声明中表指出， APA 在10 月 30 日遭遇了一次勒索软件事件，某些系统被网络攻击者非法加密了。发现该事件后，内部立即采取应对措施，后续在外部网络安全专家的支持下，将不间断地恢复系统。 APA 也表示，其 IT 团队和外部网络安全专家正在努力从备份中恢复受勒索软件攻击影响的系统，初步的重点工作是在未来数小时，至多数天内恢复面向试点的产品和工具。 此外，工会已经开启了一项由第三方网络安全专家领导的调查，以评估勒索事件的全面性及其对被入侵系统中存储的数据的影响。值得注意的是，APA 尚未透露飞行员的个人信息是否在网络攻击中泄露，也未透露受影响的确切人数。 美国航空业频遭网络攻击 近两年美国航空业频遭网络攻击，大量员工数据、旅客信息遭到泄露。今年 4 月，管理多家航空公司飞行员申请和招聘门户网站的第三方供应商 Pilot Credentials 遭到黑客攻击。两个月后，美国航空公司的飞行员才被告知其个人数据信息遭到数据泄露。 美国航空公司在向受影响个人发送的数据泄露通知中表示，网络攻击者获取了 5745 名飞行员和申请者的敏感信息，这些信息主要包括姓名、社会安全号、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号码等详细内容。 2021 年 3 月，美国航空公司披露了一起数据泄露事件，网络攻击者入侵了多家航空公司使用的、由全球航空信息技术巨头 SITA 运营的乘客服务系统 (PSS)。2022 年 9 月，美国航空公司披露了另外一起数据泄露事件，在 2022 年 7 月的一次网络钓鱼攻击中，数个员工电子邮件账户被泄露，超过 1708 名客户和员工受到影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/382883.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员发现，网络犯罪分子正在利用Facebook广告传播恶意软件，并劫持用户的社交媒体账户。 在恶意广告活动中，黑客利用合法工具进行在线广告分发，并在广告中插入受感染的链接。据Bitdefender的网络安全研究人员称，为了吸引用户点击，该恶意活动利用了年轻女性的淫秽图片。 研究人员报告说，该活动旨在向受害者的设备发送一个新版本的NodeStealer恶意软件。广告中的一些照片似乎是经过编辑或AI生成的。 NodeStealer是一种相对较新的信息窃取工具，它允许黑客窃取受害者的浏览器cookie并接管Facebook账户。 在之前的一次活动中，研究人员观察到黑客使用NodeStealer接管Facebook的商业账户，并从加密货币钱包中窃取资金。Facebook母公司Meta的研究人员表示，他们在1月份首次发现了这种恶意软件。 在Bitdefender描述最近的行动中，网络罪犯使用了至少10个受损的企业账户来运行和管理广告，将恶意软件分发给Facebook的普通用户——主要是来自欧洲、非洲和加勒比地区的40岁及以上的男性。 每次点击广告都会立即将恶意可执行文件下载到受害者的设备上。研究人员估计，在短短10天内，就有近10万用户下载了该恶意软件。 目前还不清楚是哪个黑客组织发起了这次攻击。第一次NodeStealer攻击被认为是来自越南的攻击者，他们通过Facebook Messenger攻击企业用户。 研究人员表示，在最新的攻击活动中发现的NodeStealer变体略有更新。它有一些新功能，允许黑客访问其他平台，如Gmail和Outlook，并下载额外的恶意负载。 研究人员说，一旦网络犯罪分子利用NodeStealer的基本功能获得了用户浏览器cookie的访问权限，他们就可以接管Facebook账户并访问敏感信息。 然后，黑客可以更改密码并激活帐户上的额外安全措施，以完全拒绝合法所有者的访问，从而允许网络犯罪分子实施欺诈。 研究人员表示：“无论是窃取金钱还是通过劫持账户诈骗新的受害者，这种类型的恶意攻击都能让网络罪犯通过Meta的安全防御而不被发现。”     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

波音公司已向媒体证实，由于 LockBit 勒索团伙先前声称发生的“网络事件”，部分运营受到了影响。这家公司及其LOGO从 LockBit 的官方受害者数据泄露页面上神秘消失。 周三晚间，波音发言人对《网络新闻》表示：“我们意识到网络事件影响了我们的零部件和分销业务。” 周四凌晨，至少有一个与该业务相关的网站显示了一条消息，称该网站“因技术问题而停机”。目前尚不清楚此次中断是否与网络攻击有关。其他部分和配送站点似乎运行正常。 该发言人明确表示，网络问题“不影响飞行安全”。 “波音公司是一家市值 600 亿美元的公司，与其子公司一起在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、载人航天以及发射系统和服务。” Lockbit勒索软件组织在其泄密网站上发布的消息称。 “我们正在积极调查这一事件，并与执法和监管机构协调，我们正在通知我们的客户和供应商。”波音发言人总结道。 这起所谓的“网络事件”是由 LockBit 勒索软件组织于 10 月 27 日在其暗网泄密网站上声称攻击了波音公司。 这家在全球拥有近 15 万名员工的航空航天巨头公司被要求在六天内与 LockBit 取得联系，该团伙表示逾期不支付赎金将公布在网络攻击中窃取的所有数据。 LockBit 勒索软件组织没有透露可能拥有多少数据，也没有透露这些数据是否与国防相关，但确实声称拥有“数量巨大”。 LockBit 还表示，它故意不提供其网站上的数据泄漏样本（勒索软件骗子通常会这样做），“以保护”波音公司的机密。 10 月 30 日至 31 日期间，波音公司被从 LockBit 的泄露页面中删除，导致业界猜测这家美国商用喷气客机制造商和军事国防承包商已与该组织进行谈判。 双方均未透露可能的赎金要求和/或向波音公司索要赎金或向 LockBit 支付了多少金额（如果有）。 My1Login 首席执行官迈克·纽曼 (Mike Newman) 表示：“作为面临后果的全球最大的飞机制造商之一……看看波音公司如何应对将非常有趣。” 根据恶意软件存储库 vx-underground ， Lockbit 只给波音公司六天的时间来联系网络犯罪分子，而受害者通常有十天的时间来联系网络犯罪分子。 Newman说：“这次攻击的时机非常有趣，特别是考虑到美国政府刚刚与数十个联盟国家共同承诺永远不会与勒索软件犯罪分子做交易。” “攻击的细节仍在浮出水面，但它确实凸显出没有组织能够免受勒索软件的侵害。因此，防守是关键目标。”他说。 Newman补充说：“这意味着要让系统保持最新状态，打上漏洞补丁，并使用工具来保护员工免受网络钓鱼的侵害，网络钓鱼是勒索软件犯罪分子的头号攻击媒介。” 研究人员指出，攻击者表示，他们使用0Day漏洞攻击了波音公司，但该团伙没有提供有关所谓攻击的其他细节。 Closed Door Security 首席执行官 William Wright 表示：“我们再次看到黑客团伙在公司意识到之前就宣布了网络攻击。” Wright 解释说，尽管这次攻击可能是“通过 0day 漏洞执行的，但具体是哪个漏洞仍有待观察”。 “我们也不知道其他犯罪团伙是否也在积极利用它。波音公司越早对攻击进行取证就越好，防御者需要了解哪个漏洞被利用，以便他们可以采取措施保护他们的系统。”Wright说。 LockBit 勒索软件团伙于 2019 年末首次被安全内部人士记录。此后，该团伙在许多受害组织名单中名列前茅。 据称，该组织已对美国和亚洲、欧洲和非洲等世界各地的受害者实施了 1,400 多次攻击。 该团伙的规避勒索软件变种 LockBit 3.0 与另外两个与俄罗斯有关的勒索软件有相似之处；据美国司法部称，BlackMatter 和 BlackCat (ALPHV/BlackCat)。该组织通过以比特币收取的实际赎金从受害者身上赚取了数千万美元。 去年 8 月的安全研究报告表明，该组织可能存在管理问题，导致 LockBit 的犯罪活动崩溃。疑似犯罪运营合作破裂导致 LockBit 过度依赖空洞的勒索威胁，以取代对受害者采取实际行动。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/wlK0Jz4q8bwVLQCNACVzXA 封面来源于网络，如有侵权请联系删除