美国证券交易委员会（SEC）已经结束了对 Progress 软件公司处理 MOVEit Transfer 的0day漏洞被广泛利用、导致 9500 多万人数据泄露事件的调查。 Progress Software 在提交给美国证券交易委员会的最新 FORM 8-K 文件中表示，美国证券交易委员会执法部将不建议对这起安全事件采取任何执法行动。 美国证券交易委员会周四晚间提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” “如前所述，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞有关的各种文件和信息。” 美国证券交易委员会（SEC）正在对 Progress Software 公司在应对通过 MOVEit Transfer 软件存在的0day漏洞引发的大规模数据盗窃攻击过程中所采取的措施进行调查。 据BleepingComputer首次报道，在 2023 年烈士纪念日假期期间，Clop 勒索软件团伙利用0day漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的Emsisoft称，超过 2,770 家公司和 9500 万人的数据通过0day漏洞被窃取。 由于攻击影响广泛，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金，攻击对象包括政府机构、金融公司、医疗保健机构、航空公司和教育机构。 尽管美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然面临马萨诸塞州联邦法院的数百起集体诉讼 。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一种名为“CMoon”的新型自我传播蠕虫自 2024 年 7 月初以来通过一家受到感染的天然气供应公司网站在俄罗斯传播，该蠕虫能够窃取账户凭证和其他数据。 据发现该活动的卡巴斯基研究人员称，CMoon 可以执行多种功能，包括加载额外的有效载荷、截取屏幕截图以及发起分布式拒绝服务 (DDoS) 攻击。 从攻击者使用的分发渠道来看，他们的目标范围集中在高价值目标而不是随机的互联网用户，这表明他们的行动非常复杂。 感染链始于用户点击一家为俄罗斯城市提供天然气供应的公司网站上的监管文件（docx、.xlsx、.rtf 和 .pdf）链接时。 攻击者将文档链接替换为恶意可执行文件的链接，这些恶意可执行文件也托管在网站上，并作为自解压档案传递给受害者，其中包含原始文档和 CMoon 负载（以原始链接命名）。 卡巴斯基报告称：“我们还没有发现这种恶意软件的其他传播媒介，因此我们认为此次攻击仅针对特定网站的访问者。” 在该天然气公司收到此入侵通知后，恶意文件和链接于 2024 年 7 月 25 日从其网站上删除。 由于 CMoon 的自我传播机制，感染仍在继续自主进行。 CMoon 是一种 .NET 蠕虫，它会将自身复制到一个新创建的文件夹中，该文件夹以其在受感染设备上检测到的防病毒软件命名；如果未检测到 AV，则复制到一个类似于系统文件夹的文件夹中。 该蠕虫在 Windows 启动目录上创建快捷方式，以确保它在系统启动时运行，从而确保重新启动之间的持久性。 为了避免在手动用户检查时引起怀疑，它将文件的创建和修改日期更改为 2013 年 5 月 22 日。 该蠕虫会监视新连接的 USB 驱动器，当任何 USB 驱动器连接到受感染的机器时，它会用其可执行文件的快捷方式替换除“LNK”和“EXE”之外的所有文件。 CMoon 还会查找 USB 驱动器上存储的有趣文件，并将它们临时存储在隐藏目录（“.intelligence”和“.usb”）中，然后将它们泄露到攻击者的服务器。 CMoon 具有标准的信息窃取功能，目标是加密货币钱包、存储在网络浏览器、通讯应用程序、FTP 和 SSH 客户端中的数据以及 USB 或用户文件夹中包含文本字符串“秘密”、“服务”或“密码”的文档文件。 一个有趣且有些不寻常的功能是针对可能包含帐户凭据的文件，例如.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn 和 .log 文件。 该恶意软件还可以下载并执行其他有效负载、捕获受感染设备的屏幕截图并对指定目标发起 DDoS 攻击。 被盗文件和系统信息被打包并发送到外部服务器，在那里进行解密（RC4）并使用 MD5 哈希验证其完整性。 卡巴斯基表示，在其当前可见范围之外还有更多网站分发 CMoon，蠕虫病毒能够自主传播意味着它可能会进入非预期系统并为机会性攻击创造条件。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/H1YEJmnkrLXOjPOhVHZcmg 封面来源于网络，如有侵权请联系删除

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。 参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的 。” 带有木马的更新和安装程序 在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。 根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。 当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。 此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。 在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。 其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

5 月 6 日美国知名电子制造服务公司Keytronic 披露了一次数据泄露事件，称一勒索软件团伙从其网络内窃取了信息，导致该公司的美国和墨西哥的业务暂停了两周。该公司还指出由于此次网络攻击，其已向外部网络安全专家支付了约 60 万美元，并且生产中断以及与恢复和补救工作相关的费用可能会对其第四季度财务业绩产生重大影响。 近期，Keytronic 透露，最近的勒索软件攻击造成的额外费用和收入损失总计超过 1700 万美元。 该公司在2024财年第四季度的初步财务报告中披露了与该事件相关的成本。 Keytronic 表示：“由于这一事件，公司产生了约 230 万美元的额外费用，并认为第四季度损失了约 1500 万美元的收入。”但该公司补充道，“这些订单大部分都是可以收回的，预计将在 2025 财年完成。本季度的 70 万美元的保险收益可以抵消部分额外费用。” 虽然Keytronic并未透露是哪一组织造成了有关数据泄露，但勒索软件组织Black Basta在泄密网站上公布了从该公司窃取超过 500 GB 的数据后，该事件就被披露了。 Black Basta 声称对 Keytronic 发起攻击，并窃取了超过 500 GB 的数据，包括财务文件、工程文件、人力资源信息和其他类型的公司数据。 Keytronic 专注于精密塑料成型、精密金属加工和装配服务，为计算机、电信、医疗、工业、汽车和航空航天领域制造精密零件。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，有研究人员发现了一次大规模的数据泄漏事件，共涉及到大约 900 家公司和组织，其中包括戴尔、Verizon、AT&T、能源部、康卡斯特和大通银行等。 今年 3 月 25 日，Cybernews 研究小组发现了一个可公开访问的网络目录，该目录属于马里兰州的 Simpli 公司（前身为 Charm City Concierge）。 该公司的应用程序允许租用办公空间的公司的员工查看位于同一栋大楼内的商店。它列出了可用的便利设施、工作场所福利和折扣，并使用户能够订购各种服务和产品。 这个开放的网络目录存储了 2024 年 1 月对公司网站和 Simpli 应用程序数据库的备份数据。据悉，此次泄露的应用程序的备份暴露了 10000 名员工的电子邮件地址和来自大约 900 家公司的哈希密码。 包含网站和数据库备份的网络目录被曝光 受影响的公司包括： Capital One 海军分析中心 美国律师协会 微策略 剑桥联营公司 戴尔 威瑞森 康卡斯特 西部交通 WeWork 信托银行 美国电话电报公司 国家残疾人委员会 能源部 大通银行 带备注的订单信息 由于大多数员工都使用公司电子邮件地址注册了 Simpli 服务，因此这构成了重大风险。威胁攻击者有可能通过使用凭据填充攻击，将目标锁定在员工可以访问的更敏感的公司系统上。 Cybernews 的信息安全研究员 Aras Nazarovas 说：虽然员工凭证是以相对安全的格式存储的，但密码仍有可能被破解，尤其是弱密码。如果员工在多个账户中使用相同的密码，被破解的密码就可以用来登录其他更敏感、与工作相关的终端。 建筑物及其租户清单 此次泄露的数据库还曝光了通过该应用程序发出的指令，其中一些指令包含可能涉及敏感业务信息的备注。这些笔记包括来自不同公司的个人之间的会议细节和会议目的。 在开放目录中发现的文件表明，这些信息可能是在该公司将其系统从 Drupal 7 迁移到 Drupal 9 时泄露的。目前 Simpli 公司暂未对此做出回应。 用户凭证 供应链攻击风险 此类泄密事件凸显了使用第三方服务的固有风险，这些服务可能会带来供应链攻击的风险。在这种网络攻击中，威胁者往往会寻找供应网络中的薄弱环节，而不是直接针对一家公司。 攻击者攻破一个供应商，就有可能影响到使用该供应商产品或服务的公司。从第三方供应商处提取的凭据对于已经瞄准一家公司的恶意行为者来说可能非常有用。 零售商 Target 就曾遭受过此类攻击。2013 年，恶意行为者入侵了 Target 的制冷、供暖和空调分包商 Fazio Mechanical，并将恶意软件传播到 Target 的大部分销售点设备。据报道，恶意软件当时共收集到了大约 4000 万张借记卡和信用卡的财务信息。 因此，提供第三方服务的公司和组织应该对网络安全问题格外保持警惕，因为这些公司极有可能会成为攻击者的目标。   转自Freebuf，原文链接：https://www.freebuf.com/news/407784.html 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

以National Public Data（国家公共数据）名义运营的 Jerico Pictures Inc. 在 4 月份的一次数据泄露事件中泄露了近 30 亿人的个人信息。近期受害者提起了集体诉讼。 据彭博社报道，“4 月 8 日，某黑客在暗网论坛上宣布出售名为“National Public Data（国家公共数据）”的数据库，涉及29亿个人的个人数据，包括姓名、住址、亲属信息以及其他个人信息等。黑客报价为350万美元。” 专家指出，此次数据泄露可能是有史以来最大的一次。 “National Public Data”（国家公共数据）通过从非公开来源抓取个人身份信息，收集了数十亿个人的数据。然而，原告及集体诉讼成员并未有意向被告提供其个人身份信息。 “本集体诉讼源于一起数据泄露事件，根据信息进行判断，该事件发生于 2024 年 4 月左右，涉及被告 NPD（即“泄露数据”的公司），这是一家背景调查公司，允许其客户搜索数十亿条记录并立即获得结果。”周四在美国佛罗里达州南区地方法院提交的诉状中写道 。 “原告向被告提起诉讼，指控被告未能充分保护和维护其在正常业务操作中收集和管理的个人身份信息。该信息包括但不限于原告及其他成员的全名、居住地址、社会安全号码、其他亲属的信息（包括一些已故近20年的人员），以及其他个人信息。 VX-underground 的研究人员审查了该档案（未压缩，大小为 277.1GB），确认数据真实准确。专家们注意到，该数据库不包含使用数据退出服务的个人的信息。没有使用数据退出服务且居住在美国的人能立即被找到。该档案还包含已故个人的数据。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。 趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性，并结合了各种流行的威胁策略，包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器，它的目标是敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。 研究人员指出，此次攻击的关键之处在于滥用付费的 Facebook 促销活动，攻击者利用这些促销活动引诱用户参与，并最终发送恶意软件。 趋势科技威胁研究员 Jaromir Horejsi 提到：一旦攻击者获得了页面控制权，他就能发布广告推广 AI 照片编辑器，并引导受害者下载伪装成照片编辑器的端点管理实用程序。 攻击者利用当前大家对人工智能技术和相关工具的关注，使用这些工具作为恶意活动的诱饵，其中包括网络钓鱼诈骗、深度伪造和自动攻击。 到目前为止，与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载，在 macOS 上产生了 1200 次下载。不过，macOS 版本重定向到的是苹果网站，而不是攻击者控制的网站，这表明攻击者只针对 Windows 用户发起攻击。 网络钓鱼导致页面被劫持 此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息，以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的，因为用户名基本是随机生成的。 信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送。有时，攻击者甚至滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。 如果页面操作员点击这些链接，就会出现一个要求他们向 Meta 开发人员的 “业务支持中心 “核实信息的页面。点击屏幕上的 “在此验证您的信息 “链接，就会进入一个虚假的账户保护页面，在随后的几个步骤中，该页面会要求用户提供登录和接管账户所需的信息，如电话号码、电子邮件地址、生日和密码等。 在目标用户提供这些信息后，攻击者会窃取其个人资料，并开始创建和发布人工智能照片编辑器的恶意广告，广告链接到一个使用合法工具（如 Evoto）名称的虚假域名。 Horejsi 写道：假冒的照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者，让他们以为自己正在下载照片编辑器。 然而，上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制，最终控制受害者的机器下载最终的有效载荷–Lumma 窃取程序。 研究人员建议用户应定期更新并使用强大的密码 研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证，以增加一层额外的保护，防止未经授权的访问，并在所有账户上定期更新和使用强大、唯一的密码。 企业还应定期开展教育和提高认识活动，让员工了解在访问企业网络时社交媒体上潜伏的危险，以及如何识别与网络钓鱼攻击相关的可疑信息和链接。 最后，企业和个人用户都应监控其账户是否有任何异常行为，如意外登录尝试或账户信息变更，组织应采用某种检测和响应机制。   转自Freebuf，原文链接：https://www.freebuf.com/news/407579.html 封面来源于网络，如有侵权请联系删除

全球最大白银生产商之一、黄金、铜和锌的重要生产商Fresnillo PLC近日披露，该公司遭遇了一次网络攻击，导致部分IT系统和数据被非法访问。 Fresnillo在周二的一份公告中表示，公司成为了一起网络安全事件的受害者，这次事件导致未经授权的人员访问了公司的部分IT系统和数据。在发现攻击后，Fresnillo立即启动了应急响应措施以控制数据泄露，并与外部取证专家合作，正在调查和评估此次事件的影响。 Fresnillo强调，此次网络攻击并未影响其生产运营，预计也不会对财务或物质层面产生影响。Fresnillo表示：“所有业务部门的活动正常进行，未经历或预见到任何重大运营或财务影响。我们将持续评估该情况直至完全解决。” Fresnillo在墨西哥运营着八个矿山（Fresnillo、Saucito、Juanicipio、Ciénega、Herradura、Soledad-Dipolos1、Noche Buena和San Julián），拥有四个高级勘探项目（Orisyvo、Rodeo、Guanajuato和Tajitos），以及一些长期勘探项目。该公司在伦敦证券交易所（FRES）和墨西哥证券交易所（FRES）上市，并在墨西哥、秘鲁和智利拥有采矿特许权和勘探项目。 值得注意的是，上个月澳大利亚矿业公司Northern Minerals也披露了一起数据泄漏事件，BianLian勒索软件团伙在暗网上发布了从该公司网络中窃取的数据（包括企业、运营和财务信息）。加拿大铜山矿业公司（CMMC）也曾在2022年12月遭遇勒索软件攻击后被迫关闭其一个矿厂的系统，以遏制和评估影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/NbJ2qOkoLZwRCbijI2_3VA 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称阿根廷公民信息遭到泄露。数据泄露量为500万行，售价为350美元。 知道创宇暗网雷达监测截图 黑客声称此次泄露的数据为阿根廷公民的个人信息，主要包含姓名、身份证号码、电话号码、邮箱、出生日期（大约 40%的行有此数据）等。 黑客于暗网发布的帖子截图 据悉，在2021年阿根廷全国人口身份证信息就曾遭黑客盗取对外兜售，对公民个人信息安全和国家安全造成了恶劣影响。 相关资讯链接： 阿根廷全国人口身份证信息遭黑客盗取并正在对外兜售 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达