日本卡西欧 (Casio) 近期披露，有黑客侵入其 ClassPad 教育平台的服务器后，泄露了来自 149 个国家及地区的用户数据。 卡西欧于 10 月 11 日检测到开发环境中的 ClassPad 数据库发生故障。有证据表明，攻击者在一天后（即 10 月 12 日）便访问并获得了数据，包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息。卡西欧方面称，信用卡信息并未存储在受损的数据库中。 截至 10 月 18 日，攻击者获取了属于91921 条日本用户的个人信息记录、35049 条记录属于148个海外国家和地区用户的记录。 卡西欧认为，由于主管部门对系统操作失误以及运营管理不足，造成开发环境中的部分网络安全设置被禁用，进而导致攻击者能获得未经授权的访问。 10月16日，卡西欧向日本个人信息保护委员会报告了这一事件，并正在与执法机构合作，协助其进行违规调查。此外，卡西欧正在与外部网络安全和取证专家合作进行内部调查，以找出事件的根本原因，并针对违规行为制定对策。 今年8月初，一名称为 thrax的攻击者声称在 BreachForums 网络犯罪论坛泄露了超过 120 万条卡西欧用户记录，这些记录据称是从旧版远程桌面服务 (RDS) 服务器中窃取，所有数据均来自2011年7月之前。   转自Freebuf，原文链接：https://www.freebuf.com/news/381495.html 封面来源于网络，如有侵权请联系删除

国际刑事法院在五周前提供了有关网络攻击的更多信息，称这是一次出于间谍目的的有针对性的行动。 该政府间组织  在检测到其信息系统存在异常活动几天后，于 9 月 19 日披露了此次泄露事件。 作为一个国际法庭，国际刑事法院（ICC）设在荷兰海牙，其职责是调查犯有国际社会关注罪行的个人并追究其责任。 间谍活动 在周五的一份声明中，国际刑事法院分享了有关网络攻击后采取的行动的新细节以及对该事件的法证分析的一些初步结果。 “迄今为止现有的证据表明这是一次以间谍活动为目的的有针对性的复杂攻击。因此，这次袭击可以被解释为严重企图破坏法院的任务”—— 国际刑事法院，国际刑事法院在一份声明中表示，目前的证据不足以认定这起袭击事件，并补充说荷兰执法部门目前正在进行刑事调查。 目前尚不清楚此次攻击的影响，目前还没有证据表明委托给法院的数据受到损害。一旦出现此类证据，法院将立即通过直接消息联系受影响的各方。 加快防御改进 国际商会 ICC 表示，它已经采取“一切必要措施来解决对个人、组织和国家数据的任何损害”，并将继续这样做。 国际刑事法院正在加强其风险管理框架，并为网络攻击的潜在影响做好准备，例如受害者和证人面临的安全风险。提高数字安全的步伐也加快了。 最近的网络攻击发生在“法院面临更广泛和更高的安全担忧之际”，每天都有持续不断的企图破坏国际刑事法院系统的行为，并对包括法院法官和检察官在内的几名民选官员提起刑事诉讼。   转自安全客，原文链接：https://www.anquanke.com/post/id/290854 封面来源于网络，如有侵权请联系删除

一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司。 10月17日，日本最大通信网络运营商NTT WEST两家子公司宣布，一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司，其中包括用户姓名、地址、电话号码以及信用卡信息等。两家子公司表示，目前尚无法确认信息泄露造成的损害，警方正对此展开调查。 据悉，2022年4月，一位使用NTT WEST子公司系统的用户指出存在信息泄露情况的可能性，于是两家子公司开展了内部调查，但未能掌握相关证据。直到今年7月，警方以违反《反不正当竞争法》为依据对上述前临时工进行调查，才曝光了信息泄露一事。 根据NTT WEST一子公司披露的案情，信息泄露事件发生在2013年7月至今年1月前后，持续时间长达十年之久。前临时工利用职务之便，滥用系统管理员的账户权限长期访问存储用户信息的服务器，非法下载大量用户信息。其后，该前临时工还将窃取的部分信息交给其他公司。 2017年至2018年间，NTT WEST一子公司曾被委托开展一个项目，即鼓励年龄在43至59岁之间，已加入国民健康保险且三年未接受特定健康检查的公民参与体检。在此次事件中，通过该项目收集的个人信息几乎全部被泄露。另外，日本西南部福冈县政府就此事表示，2015年至2019年间，约14万名纳税人的信息可能已被泄露。 值得一提的是，两家子公司表示，到目前为止，尚无法确认此次信息泄露造成的任何损害，也暂无证据证实前临时工是否与其他公司有金钱往来。为避免此类事件再发生，子公司更改了公司系统操作规范，要求多个管理员检查维护计算机的下载功能，新安装一个能对存在安全风险的行为进行快速检测的系统。 “对于给用户带来的极大担忧和不便，我们深表歉意。”NTT WEST子公司相关负责人表示。 南都记者梳理发现，这是近半年来NTT又一次深陷信息泄露丑闻，且“罪魁祸首”都是前外包临时工。7月，NTT Docomo证实其承包商NTT Nexia的一名前临时员工非法窃取了该公司约596万条用户个人信息，包括用户姓名、地址、电话号码、出生日期、电子邮箱等，该前员工后被警方拘留。   转自隐私护卫队，原文链接：https://mp.weixin.qq.com/s/jbOVSNM2el8arYoKiRc3hQ 封面来源于网络，如有侵权请联系删除

黑客利用人工智能冒充非洲联盟委员会主席穆萨-法基（Moussa Faki）与多位欧洲领导人通话。 法基的发言人 Ebba Kalondo 在 X（前 Twitter）上发文称，网络不法分子假冒法基与一些欧洲国家首都城市领导人进行了深度伪造视频通话。 据肯尼亚新闻媒体《东非人》（The EastAfrican）报道，卡隆多还证实，疑似网络犯罪分子与多位欧洲领导人进行了通话。 该报道称，黑客在通话过程中使用了深度伪造的视频篡改技术来冒充主席。同时，非洲联盟（AU）在一份声明中说，有人使用伪造的电子邮件地址要求与外国领导人通话。 非盟表示 “对这些事件感到遗憾”，并重申其官方电子邮件地址以 Name@africa-union.org 开头，任何其他电子邮件都不是合法的非盟电子邮件地址。 非盟还表示，它只会通过驻埃塞俄比亚首都亚的斯亚贝巴（非盟总部所在地）的派驻使馆，使用被称为普通照会的公函要求与外国领导人通话。 非盟没有透露哪些欧洲国家政府受到了网络钓鱼的影响，也没有透露与假冒的法基通话的领导人姓名。 据《东非日报》（The EastAfrican）报道，冒名者的意图也不明确，但他们可能是想窃取数字身份以获取机密信息。 这并不是欧洲官员第一次成为 Deepfake 视频通话的目标。去年，包括柏林在内的几个欧洲大城市的市长都中了假冒基辅市长维塔利-克里琴科（Vitali Klitschko）的虚假视频电话的圈套。 在一年前的另一起案件中，几位欧洲议员说，他们上当受骗，与假冒的列昂尼德-沃尔科夫（Leonid Volkov）进行了视频通话，后者是被监禁的俄罗斯反对派领导人阿列克谢-纳瓦尔尼（Alexey Navalny）的助手。 Deepfake 视频诈骗和宣传活动在社交媒体上也层出不穷，上周，英国反对党领袖基尔-斯塔默（Keir Starmer）向工作人员骂脏话的 Deepfake 视频在英国疯传。 网络安全专家说，深度伪造可能很快就会构成最大的网络安全威胁，而人工智能促成的网络攻击可能在短短五年内就会成为常态。   转自Freebuf，原文链接：https://www.freebuf.com/news/381328.html 封面来源于网络，如有侵权请联系删除

BlackCat/ALPHV 勒索软件最近开始使用一种名为 “Munchkin “的新工具，该工具可利用虚拟机在网络设备上隐秘地部署加密程序。 同时，此工具还可以让 BlackCat 实现远程系统运行、加密远程服务器消息块 (SMB) 或通用互联网文件 (CIFS) 网络共享。 在 BlackCat 已经非常广泛和先进的武器库中引入 Munchkin，对网络犯罪分子来说极具具吸引力。 攻击脚本隐藏在 VirtualBox 中 Palo Alto Networks Unit 42发现，BlackCat 的新 Munchkin 工具是一个定制的 Alpine OS Linux 发行版，以iSO 文件的形式提供。 威胁行为者入侵设备后，会安装 VirtualBox 并使用 Munchkin ISO 创建一个新的虚拟机。而该 Munchkin 虚拟机包含一套脚本和实用程序，允许威胁者转储密码、在网络上横向传播、构建 BlackCat “Sphynx “加密器有效载荷并在网络计算机上执行程序。 启动后，它会将根密码更改为只有攻击者知道的密码，并利用 “tmux “实用程序执行名为 “controller “的基于 Rust 的恶意软件二进制文件，开始加载攻击中使用的脚本。 下面列出了这些脚本： 映像文件系统的结构 “控制器”使用捆绑的配置文件，而这些文件提供访问令牌、受害者凭据和身份验证秘密，以及配置指令、文件夹和文件块列表、要运行的任务和要加密的目标主机。 此配置用于在/payloads/目录下生成自定义BlackCat加密器可执行文件，然后将其推送到远程设备以加密文件或加密SMB和CIFS网络共享。 Munchkin攻击图 Unit 42在恶意软件的代码中发现了一条BlackCat作者发给其合作伙伴的消息，特别强调了聊天访问令牌泄露的风险。由于配置缺乏加密系统，因此该作者警告他们不要将iSO留在目标系统上。 影响勒索软件受害者和网络犯罪分子的一个常见问题是，样本通常会通过恶意软件分析网站泄露。而通过分析勒索软件样本，研究人员就能够可以完全地访问勒索软件团伙与受害者之间的协商聊天内容。 为了防止这种情况，附属程序在启动时会在运行时提供 Tor 协商网站访问令牌。这样的话即使受害者可以访问攻击中使用的样本，也不可能访问受害者的协商聊天内容。 基于此，威胁者警告附属机构必须删除 Munchkin 虚拟机和 ISO，以防止这些访问令牌泄漏。同时，开发人员还提供了使用 “控制器 “监控攻击进度和启动任务的说明和技巧。 恶意软件中包含的说明 有了Munchkin 后，BlackCat 勒索软件的附属程序能够更轻松的执行各类任务，比如绕过保护受害者设备的安全解决方案。这是因为虚拟机提供了一层与操作系统的隔离层，能够使安全软件的检测和分析更具挑战性。 Alpine OS 的选择确保了较小的数字足迹，而且该工具的自动操作减少了其他无用的干预需求。 Munchkin 采用的模块化设计，拥有多种 Python 脚本，其不仅拥有独特的配置还可以根据需求交换有效载荷的能力，能够让工具易于调整以适应特定目标或活动。 BlackCat 仍在演变 BlackCat 出现于 2021 年底，是一款基于 Rust 的复杂勒索软件，同时也是 BlackMatter 和 Darkside 的后继者。 BlackCat 定期推出高级功能，如高度可配置的间歇加密、数据泄漏 API、Impacket 和 Remcom 嵌入、支持自定义凭据的加密器、签名内核驱动程序以及数据渗透工具的升级，至今为止的发展轨迹都很顺利。 2023 年，BlackCat 已针对多家企业、机构等发起了多次勒索行动，比如佛罗里达巡回法院、米高梅度假村、Motel One、精工、雅诗兰黛、HWL Ebsworth、西部数据和 Constellation Software。   转自Freebuf，原文链接：https://www.freebuf.com/news/381315.html 封面来源于网络，如有侵权请联系删除

在黑客滥用合法基础设施达到邪恶目的的最新演变中，新的调查结果表明，民族国家黑客组织已经加入了利用社交平台针对关键基础设施的竞争。 近年来，Discord 已成为一个利润丰厚的目标，它成为利用其内容交付网络 (CDN)托管恶意软件的沃土，并允许信息窃取者从应用程序中窃取敏感数据，并通过网络钩子促进数据泄露。 Trellix 研究人员 Ernesto Fernández Provecho 和 David Pastor Sanz在周一的一份报告中表示：“Discord 的使用很大程度上仅限于任何人都可以从互联网上购买或下载的信息窃取程序和抓取程序。” 但这种情况可能正在改变，因为这家网络安全公司表示，它发现了针对乌克兰关键基础设施的工件的证据。目前没有证据表明它与已知的威胁组织有关。 研究人员指出：“利用 Discord 功能的 APT 恶意软件活动的潜在出现给威胁环境带来了新的复杂性。” 该样本是一个 Microsoft OneNote 文件，通过冒充非营利组织 dobro.ua 的电子邮件进行分发。 该文件一旦打开，就会包含对乌克兰士兵的引用，这些士兵会通过点击一个诱杀按钮来诱骗接受者捐款，从而导致执行 Visual Basic 脚本 (VBS)，该脚本旨在提取并运行 PowerShell 脚本，以便下载另一个 PowerShell来自 GitHub 存储库的脚本。 就其本身而言，在最后阶段，PowerShell 利用 Discord Webhook 来窃取系统元数据。 研究人员表示：“最终有效载荷的唯一目标是获取有关系统的信息，这表明该活动仍处于早期阶段，这也符合使用 Discord 作为[命令和控制]。” “但是，需要强调的是，攻击者将来可以通过修改 GitHub 存储库中存储的文件，向受感染的系统发送更复杂的恶意软件。” Trellix 的分析进一步显示，SmokeLoader、PrivateLoader 和 GuLoader 等加载程序是最流行的恶意软件家族之一，它们利用 Discord 的 CDN 下载下一阶段的有效负载，包括 RedLine、Vidar、Agent Tesla 和 Umbral 等窃取程序。 最重要的是，使用 Discord Webhook 观察到的一些常见恶意软件家族包括 Mercurial Grabber、Stealerium、Typhon Stealer 和 Venom RAT。 研究人员表示：“滥用 Discord 的 CDN 作为额外恶意软件有效负载的分发机制，展示了网络犯罪分子利用协作应用程序获取利益的适应性。” “APT 以其复杂和有针对性的攻击而闻名，通过渗透广泛使用的通信平台（如 Discord），它们可以有效地在网络中建立长期立足点，使关键基础设施和敏感数据面临风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290833 封面来源于网络，如有侵权请联系删除

台湾网络设备制造商 D-Link 证实了一起数据泄露事件，该事件与从其网络中窃取的信息有关，并于本月早些时候在 BreachForums 上出售。 攻击者声称窃取了 D-Link 的 D-View 网络管理软件的源代码，以及数百万个包含客户和员工个人信息的条目，其中包括该公司首席执行官的详细信息。 据称，被盗数据包括姓名、电子邮件、地址、电话号码、帐户注册日期和用户的上次登录日期。威胁行为者提供了 45 条被盗记录的样本，时间戳在 2012 年至 2013 年之间，这促使该线程中的另一位参与者评论说这些数据看起来非常陈旧。 “我攻破了台湾D-Link的内部网络，我拥有300万行客户信息，以及从系统中提取的D-View源代码，”攻击者说。 “这确实包括台湾许多政府官员以及公司首席执行官和员工的信息。” 自 10 月 1 日起，这些数据就可以在黑客论坛上购买，威胁行为者索要 500 美元来购买被盗的客户信息和所谓的 D-View 源代码。 与攻击者声称窃取数百万用户数据的说法相反，D-Link 表示，受感染的系统包含大约 700 条记录，其中包含至少 7 年的账户信息。 “然而，根据调查，它只包含大约 700 条过时且零散的记录，这些记录至少已经闲置了七年，”D-Link表示。 “这些记录源自于 2015 年到期的产品注册系统。此外，大部分数据由低敏感度和半公开信息组成。” D-Link 还怀疑黑客故意篡改最近的登录时间戳，以制造最近数据被盗的假象。此外，该公司表示，大多数现有客户不太可能受到此事件的影响。   转自安全客，原文链接：https://www.anquanke.com/post/id/290829 封面来源于网络，如有侵权请联系删除

近日，知名勒索软件团伙Lockbit声称入侵了技术服务巨头 CDW，并因赎金谈判破裂泄露了部分数据。 CDW是是全球最大的经销商企业之一，专为商业、政府和教育提供技术解决方案和服务。Lockbit在入侵CDW后索要8000万美元赎金，但该组织声称该对方只支付了 100 万美元。 Lockbit在接受The Register采访时表示，一家价值 200 亿美元的纳斯达克上市企业仅支付100万美元赎金，对他们来说具有侮辱性，并称如果对方不继续支付足额赎金，将在倒计时期限结束后公布所窃取的数据，且不再进行任何谈判。 网络安全公司Emsisoft的威胁分析师布雷特·卡洛 (Brett Callow ) 称，8000万美元的赎金至少在公开的赎金要求中排名第三。 随着10月12日的最后期限已过，Lockbit在其泄露网站上发布了 2 篇包含 CDWG 数据的帖子，从安全和商业角度来看，泄露数据涉及员工徽章、审计、佣金支付数据和其他帐户相关信息。 CDW 透露，已经检测到与 Sirius Federal 服务器相关的可疑活动，并在外部网络安全专家的帮助下迅速启动了调查。该公司指出，其系统仍然全面运行。 对于声称已经泄露的数据，CDW表示将作为正在进行的调查的一部分，对这些数据进行审查，并将采取适当的应对行动，包括酌情直接通知任何受影响的人。   转自Freebuf，原文链接：https://www.freebuf.com/news/380865.html 封面来源于网络，如有侵权请联系删除

The cyber express 网站消息，某论坛用户爆料知名体育用品零售商迪卡侬一起数据泄露事件，大约 8000 名员工个人信息在此前迪卡侬数据泄露事件中被曝光，这些信息目前已在暗网上“共享”。 据悉，消息源于 vpnMentor 最近发表的一篇博客，一名攻击者“共享”了此前迪卡侬发生的数据泄露事件中的数据，该事件影响了迪卡侬的全球员工和客户。论坛用户上传了一个据称与迪卡侬有关的 61MB 数据库，根据帖子内容，该数据库据称包含约 8000 名迪卡侬员工的个人身份信息 (PII)。 值得一提的是，迪卡侬之前发生的数据泄露事件中暴露的数据包含一系列敏感信息，例如全名、用户名、电话号码、电子邮件地址、居住国家和城市的详细信息、身份验证令牌甚至照片。 咨询公司 Bluenove同时被曝发生数据泄露 数据泄露还包括来自技术和咨询公司 Bluenove 的信息，the cyber express 与 Bluenove 联系后，该公司迅速做出回应，确认暗网论坛上流传的数据库副本真实存在。 对暗网论坛上发布的数据库进行进一步分析检查后，网络安全研究人员发现这些窃取的信息似乎与研究小组在 2021 年发现并报告的迪卡侬员工数据泄漏事件相吻合，vpnMentor 因其数据储存相关政策，不能再拥有最初迪卡侬数据泄漏事件的数据样本，但根据之前的报告，网络攻击者共享样本中包含的信息与团队两年前发现的数据信息基本一致。 为收集更多有关迪卡侬数据泄露的信息，the cyber express 联系了迪卡侬和 Bluenove。然而，截至本文发布前，两家公司均未发表官方声明或做出回应。因此，从现有掌握的数据来看，有关迪卡侬员工数据泄露和 Bluenove 网络攻击的说法仍未得到完全证实。   转自Freebuf，原文链接：https://www.freebuf.com/news/380889.html 封面来源于网络，如有侵权请联系删除

据外媒报道，疑似亲俄罗斯黑客组织利用了 WinRAR 归档实用程序中最近披露的安全漏洞，作为网络钓鱼活动的一部分，旨在从受感染的系统中获取凭据。 Cluster25在上周发布的一份报告中表示：“这次攻击涉及使用恶意存档文件，这些文件利用了最近发现的影响 WinRAR 压缩软件 6.23 版本之前版本的漏洞，该漏洞被追踪为 CVE-2023-38831。” 该存档包含一个诱杀 PDF 文件，单击该文件会导致执行 Windows 批处理脚本，该脚本启动 PowerShell 命令以打开反向 shell，使攻击者可以远程访问目标主机。 还部署了一个 PowerShell 脚本，该脚本可从 Google Chrome 和 Microsoft Edge 浏览器窃取数据，包括登录凭据。捕获的信息通过合法的 Web 服务 webhook[.] 站点泄露。 CVE-2023-38831 是指WinRAR 中的一个高严重性缺陷，该缺陷允许攻击者在尝试查看 ZIP 存档中的良性文件时执行任意代码。Group-IB 于 2023 年 8 月的调查结果披露，自 2023 年 4 月以来，该漏洞已被武器化为零日漏洞，用于针对交易者的攻击。 这一进展发生之际，谷歌旗下的 Mandiant绘制了俄罗斯民族国家攻击者 APT29针对外交实体的“快速发展”网络钓鱼活动的图表，其攻击节奏加快，并在 2023 年上半年重点关注乌克兰。 该公司表示，APT29 工具和间谍技术的重大变化“可能是为了支持增加的操作频率和范围并阻碍取证分析”，并且它“在不同的操作中同时使用了各种感染链”。 一些显着的变化包括使用受损的 WordPress 网站来托管第一阶段的有效负载以及额外的混淆和反分析组件。 AT29 也与以云为中心的利用有关，它是去年年初战争爆发后针对乌克兰发起的众多源自俄罗斯的活动集群之一。 2023 年 7 月，乌克兰计算机紧急响应小组 (CERT-UA)指控Turla 参与了部署 Capibar 恶意软件和 Kazuar 后门的攻击，对乌克兰防御资产进行间谍攻击。 趋势科技在最近的一份报告中披露：“Turla 组织是一个顽固的对手，有着悠久的活动历史。他们的起源、战术和目标都表明他们的行动资金充足，操作人员技术精湛。” “Turla 多年来不断开发其工具和技术，并且可能会继续完善它们。” 乌克兰网络安全机构在上个月的一份报告中还透露，克里姆林宫支持的威胁行为者以国内执法实体为目标，收集有关乌克兰对俄罗斯士兵犯下的战争罪进行调查的信息。 “2023年，最活跃的群体是UAC-0010（Gamaredon /FSB）、UAC-0056（GRU）、UAC-0028（APT28 /GRU）、UAC-0082（Sandworm / GRU）、UAC-0144/UAC-0024 / UAC-0003 (Turla)、UAC-0029 (APT29/SVR)、UAC-0109 ( Zarya )、UAC-0100、UAC-0106 ( XakNet )、[和] UAC-0107 ( CyberArmyofRussia )，”乌克兰特殊通信和信息保护（SSSCIP）表示。 CERT-UA 在 2023 年上半年记录了 27 起“严重”网络事件，而 2022 年下半年为 144 起，2022 年上半年为 319 起。总的来说，影响运营的破坏性网络攻击从 518 起下降到 267 起。   转自安全客，原文链接：https://www.anquanke.com/post/id/290800 封面来源于网络，如有侵权请联系删除