英国电子公司 Volex 遭受网络攻击，确认未造成 “重大财务影响”。 在英国另类投资市场（AIM）上市的英国电力和数据传输产品制造商 Volex PLC 是网络攻击的最新受害者。此次安全事件的概要如下： 英国一家重要的电力和数据传输产品制造商 Volex PLC 遭受了一次安全漏洞。 该公司声称，没有证据表明该事件造成了 “重大财务影响”。 攻击者在未经授权的情况下访问了该公司的部分 IT 系统和数据。 Volex 声称，该公司迅速采取了应对措施以减轻攻击，并实施了一项事件响应计划。 该计划的部分内容是确保其所有网站继续运行，全球生产系统不受影响。 该公司已咨询网络安全专家以调查此次事件。 该事件是由于未知威胁行为者未经授权访问该公司位于多个全球站点的部分IT系统和数据而导致的。 不过，Volex声称攻击者无法访问财务数据，该事件没有造成重大财务影响。尽管如此，正如总部位于伦敦的City AM出版物所指出的那样，该公司的股价周一上午仍下跌了4%左右。 已有131年历史的Volex聘请了未透露姓名的第三方网络安全专家顾问来调查攻击造成的根本原因和损害程度。该公司在其网络事件通知中表示，Volex的多个全球站点成为此次数据泄露的目标。 Volex解释说，它立即做出回应并采取行动以保持其网站的运行。该公司实施了一项事件响应计划，以便将全球生产水平受到的干扰降至最低，并确保与供应商和客户的贸易不间断。 然而，在UTC时间13:25:26 检查时，Volex网站已离线，显示Cloudflare页面。尽管如此，在撰写本文时，该网站已恢复并可供访问者使用。 “在意识到这一事件后，该集团颁布了既定的IT安全协议，并立即采取措施阻止未经授权的访问其系统和数据。专家、第三方顾问已参与调查事件的性质和程度，并实施事件响应计划。” 值得注意的是，该公司足迹遍布24个国家，拥有27个生产基地。欧洲、北美和亚洲是其主要交易市场。   转自Freebuf，原文链接：https://www.freebuf.com/news/380109.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，IBM X-Force 研究人员发现威胁攻击者正在利用 Citrix NetScaler 网关存在的CVE-2023-3519 漏洞（CVSS评分：9.8），开展大规模的凭证收集活动。 2023 年 7 月底，Citrix 警告客户 NetScaler 应用交付控制器（ADC）和网关中存在的 CVE-2023-3519 漏洞正在被恶意利用。据悉，该漏洞是一个代码注入漏洞，可导致未经验证的远程代码执行。 美国网络安全和基础设施安全局（CISA）也曾针对 CVE-2023-3519 发出过警示。CISA 透露威胁攻击者正在利用该漏洞在易受攻击的系统上投放 Web 外壳，其目标可能是部署在关键基础设施组织网络中的 NetScaler ADC 设备。 一个月后，非营利组织 Shadowserver Foundation 安全研究人员指出数百台 Citrix Netscaler ADC 和网关服务器已被网络攻击者破坏。 威胁攻击者正在“积极”利用漏洞 X-Force 在为一个客户端进行事件响应活动时发现上述网络攻击活动。客户端报告称在 NetScaler 安装时身份验证缓慢，攻击者利用该漏洞将恶意 Javascript 注入设备“index.html”登录页。 此后，X-Force 在发布的报告中表示附加到合法 “index.html “文件的脚本会加载一个额外远程 JavaScript 文件，该文件会将一个函数附加到 VPN 身份验证页面中的 “登录 “元素，该函数则会收集用户名和密码信息，并在身份验证期间将其发送到远程服务器。 值得一提的是，攻击链从威胁攻击者向”/gwtest/formssso? event=start&target=”发送网络请求时便已经开始了，触发 CVE-2023-3519 漏洞后，在 /netscaler/ns_gui/vpn 写入一个简单的 PHP web shell，一旦受害目标设备部署了 PHP web shell，攻击者就会检索设备上 “ns.conf “文件的内容。 然后，攻击者在 “index.html “中添加自定义 HTML 代码，该代码引用了托管在攻击者控制的基础架构上的远程 JavaScript 文件。 附加到 “index.html “的 JavaScript 代码检索并执行后，会将一个自定义函数附加到身份验证页面上的 “Log_On “按钮，恶意代码随及就能够收集身份验证表单中的数据（包括凭据），并通过 HTTP POST 方法将其发送到远程主机。 X-Force 安全研究人员发现本次网络攻击活动中还使用了多个域名，这些域名分别于 8 月 5 日、6 日和 14 日注册，并利用 Cloudflare 掩盖了域名的托管地。在安全研究人员确定威胁攻击者使用的 C2 基础设施后，确定了近 600 个唯一的受害者 IP 地址，这些地址托管着修改过的 NetScaler Gateway 登录页面。 分析显示，大多数受害者分布在美国和欧洲地区，虽然目前研究人员无法将这一活动与任何已知威胁组织联系起来，但已经提取到了入侵指标（IoCs）。   转自Freebuf，原文链接：https://www.freebuf.com/news/380066.html 封面来源于网络，如有侵权请联系删除

近日，Akamai安全情报小组的研究人员发现黑客“创造性“地篡改电商网站的404页面来窃取用户的信用卡信息。（研究人员还发现另外一种攻击手法：将代码隐藏在HTML图像标签的“onerror”属性和图像二进制文件中，使其显示为Meta Pixel代码片段。） Akamai表示，此类Magecart盗卡活动主要针对使用Magento和WooCommerce的电商网站，一些食品和零售行业的知名品牌受到影响。 Akamai在报告中指出：“Magecart攻击者利用默认的404错误页面来隐藏和加载恶意卡窃取代码，这在之前的活动中从未见过。这种隐藏技术具有高度创新性，我们在之前的Magecart活动中从未见过。“ 研究者发现，伪装成元像素代码片段或者隐藏在受感染结账页面上的浏览器加载程序会向名为“icons”的相对路径发起获取请求，但由于网站上不存在该路径，因此该请求会导致“404NotFound”错误页面。 该加载程序包含一个正则表达式匹配，用于在404页面返回的HTML中搜索特定字符串，研究人员对该字符串解码发现了一个隐藏在所有404页面中的JavaScript浏览器（下图）： 研究者指出，篡改404页面的方法有助于逃避网络流量监控工具的检测，因为该请求看起来像是良性的图像获取事件。然而，解码Base64字符串会泄露个人和信用卡信息。 篡改404页面的案例也凸显了信用卡盗窃攻击不断变化的策略和攻击手段，网站管理员越来越难以在受感染的网站上找到恶意代码并对其进行清理。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/hAZAiteXN87cfLZc16JGSg 封面来源于网络，如有侵权请联系删除

莱卡移动在9月30日遭到网络攻击，导致部分个人信息被访问，近20个国家地区的服务中断，客户无法拨打电话、充值等。 有消息称：英国移动虚拟运营商巨头莱卡移动（Lyca Mobile）确认遭遇网络攻击，导致数百万用户的服务中断。 莱卡移动自称是全球最大的移动虚拟运营商，基于英国网络运营商EE的基础设施开展业务，业务覆盖23个国家/地区，拥有超过1600万客户。 莱卡移动日前发布声明，确认安全事件导致客户无法通过其网站、应用程序或商店完成充值，一些国内、国际通话也受到干扰。 根据莱卡移动的简短声明，除美国、澳大利亚、乌克兰和突尼斯外，上述问题影响了该公司其他所有市场。莱卡移动称，攻击者至少访问了系统中保存的部分个人信息，正在“紧急调查”是否还有个人信息在此期间遭到泄漏。 莱卡移动在声明中说：“我们有信心所有记录都已完全加密。我们将与专业合作伙伴一起核实情况，并随时向客户提供更新。” 莱卡移动发言人Cara Whitehouse在接受采访时，拒绝就网络攻击的性质发表评论，但表示公司“重点是将我们所有的运营服务恢复正常运行。” 莱卡移动未透露具体与哪家第三方事件响应者合作调查事件，也未回答其使用何种加密方式的问题。 莱卡移动补充说，已经在所有地区市场恢复移动电信服务，但表示某些运营服务尚未彻底恢复。 英国信息专员办公室发言人Adele Burns表示，该数据保护监管机构尚未收到莱卡移动的数据泄露报告。一般情况下，公司必须在发现数据泄露后72小时内通知信息专员办公室。 莱卡移动官网声明网页含有“noindex”代码。这条代码告知搜索引擎忽略该网页，导致受影响的客户难以通过搜索引擎找到这条声明。莱卡移动承认这一情况，但没有解释为什么要在官网隐藏这条声明。 在报道这次网络攻击时，TechCrunch发现另外一起与莱卡移动有关的潜在安全事件——莱卡移动的内容管理系统可公开访问。系统包括各种新闻发布稿，其中就有莱卡移动关于前述网络攻击的声明。本文发布之前，TechCrunch已将这一潜在事件告知莱卡移动。 莱卡移动发言人Whitehouse表示，该系统是“供应商和合作伙伴使用的测试环境”。莱卡移动已将受影响的内容管理系统下线。   转自安全内参，原文链接：https://www.secrss.com/articles/59491 封面来源于网络，如有侵权请联系删除

Facebook的官方页面遭到黑客攻击，页面上出现一些奇怪的内容，包括要求释放巴基斯坦前总理伊姆兰·汗的帖子。 Facebook的官方页面显然在2023年10月6日遭到黑客攻击。 社交媒体用户看到脸书发布奇怪的消息感到震惊。 其中一条奇怪的信息是黑客要求释放巴基斯坦前总理伊姆兰·汗。 伊姆兰·汗于2023年8月初被捕。 无论是恶作剧还是页面被黑客入侵，都引发了人们对Facebook账户和页面安全的严重担忧。 黑客攻击社交媒体上的用户账户和页面并不是什么新鲜事。甚至包括政客和名人在内的知名人士也经历过页面泄露，骗子以他们的名义发布信息。 然而，2023年10月6日发生的这件罕见的事件，用户惊讶地看到Facebook官方页面上出现了奇怪的帖子。这些帖子真正奇怪的地方是，他们专注于批评印度板球控制委员会（BCCI）没有向巴基斯坦板球迷发放国际板球联合会世界杯比赛签证。 这场所谓恶作剧的亮点是一条要求释放巴基斯坦前总理伊姆兰·汗的帖子，以及另一条“释放祖克”的帖子。 晚上10点40分，Facebook官方页面上出现了这样的帖子：“不知道为什么我突然可以在Facebook发帖了。或者我完全错了，我没有以Facebook UK身份发帖？”随后又发布了另一篇文章，其中写道：“让我借此机会告诉大家，他们没有向想要亲自观看板球世界杯的人发放签证，从而彻底搞砸了这项赛事。” 以下是一位X用户分享的关于Facebook页面黑客攻击的多张截图： 据最先报道这一事件的《每日邮报》报道，在Facebook意识到这一问题并做出回应之前，已经出现了几篇帖子。该社交网络立即删除了所有帖子，并发布官方声明，通知用户该页面已被盗用。同时，该平台已对事件展开调查，并采取措施增强页面的安全性。 到晚上11点30分，Facebook的官方页面被禁用。然而，在那之前，成千上万的用户已经看到了这些帖子。  2014年2月，一名埃及黑客利用私人漏洞从马克·扎克伯格的账户中删除了他的Facebook时间线封面照片。这些事件也提醒了广大用户，没有任何平台或组织可以免受网络攻击。因此，用户必须更喜欢强密码，最好是2FA，并避免对不同的帐户使用相同的密码。   转自E安全，原文链接：https://mp.weixin.qq.com/s/yEsIAnPRtHE907WB3DKf0g 封面来源于网络，如有侵权请联系删除

美国联邦贸易委员会（FTC）10月6日发布调查数据，显示自 2021 年以来，美国人因社交媒体诈骗损失了至少 27 亿美元。 FTC 高级数据研究员艾玛·弗莱彻 (Emma Fletcher)表示，由于绝大多数欺诈行为都没有被举报，实际数字可能要高出许多倍。一项研究表明，只有 4.8% 的诈骗受害者向政府机构提出投诉。 2023年上半年美国社交媒体诈骗常见类型及损失占比 在此次公布的调查中，显示在2023年上半年，社交媒体上最常报告的诈骗行为与在线购物有关，有44%涉及与在线买卖有关的欺诈行为，其中 Facebook 和 Instagram 是高发平台。 虽然网上购物诈骗的报告数量最多，但造成损失最多的是利用社交媒体进行虚假投资诈骗，有超过一半的损失流向了投资诈骗者。 此外，交友诈骗是社交媒体上损失第二大的诈骗类型，大多通过 Facebook、Instagram 或 Snapchat发起陌生好友申请，在博得受害人的好感后对其实施诈骗。 在调查到的受害者年龄分布上，绝大多数为30岁以下的年轻人，其中20 至 29 岁人群占比38%，18至19岁人群占比47%，与社交媒体使用的代际差异一致。 FTC为此建议美国用户谨慎行事，保护自己免受社交媒体诈骗，鼓励面临风险的个人限制其社交媒体帖子和联系方式，如果有人（即使自称是亲朋好友）通过社交媒体索要钱财，请直接通过电话进行联系。   转自Freebuf，原文链接：https://www.freebuf.com/news/379947.html 封面来源于网络，如有侵权请联系删除

2023 年 8 月，美国联邦调查局宣布，在名为“猎鸭行动”的国际执法活动中，成功拆除 Qakbot 僵尸网络（Qakbot 也称 QBot、QuackBot 和 Pinkslipbot，自 2008 年以来一直非常活跃）。然而 Security A ffairs 网站近日披露，QakBot 恶意软件背后运营商仍然在活跃，他们发动一场网络钓鱼活动，主要提供勒索软件和 Remcos RAT。 据悉， “猎鸭行动”由美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国等国执法机构一同参与。 QakBot 生命力强劲，死灰复燃 “猎鸭行动”并没有完全解决 Qakbot 恶意软件 ，Cisco Talos 研究人员发现其背后运营商仍然很活跃。据研究人员透露，Qakbot 恶意软件背后运营商自 2023 年 8 月初以来一直在开展活动，旨在传播 Ransom Knight 勒索软件和 Remcos RAT。 值得一提的是，该网络攻击活动在联邦调查局于 8 月底关闭 Qakbot 基础设施之前就已经开始了，目前仍在进行中。网络安全专家通过将此次攻击中使用的 LNK 文件中的元数据与此前 Qakbot 活动中的机器联系起来，追踪到了新网络攻击活动。Talos 表示这一活动可能与 Qakbot 附属组织有关，并推测背后运营商仍在运营。 网络安全专家推测联邦调查局发起的联合执法行动可能没有影响 Qakbot 垃圾邮件发送基础设施，其影响仅限于 C2 基础设施的一部分。 Talos 在发布的分析报告中表示，Talos 于 2023 年 8 月确定了在上述同一台机器上创建的新 LNK 文件，但观察到文件的有效载荷在命令行中指向一个网络共享，该网络共享提供了 Ransom Knight 勒索软件的一个变种。 Talos 还观察到一些文件名是用意大利语书写的，这表明该活动的目标是意大利用户，这些信息使用 Zip 压缩包，其中包含 LNK 文件和一个 XLL 文件（XLL 是 Excel 加载项的扩展名），XLL 文件是攻击者和Ransom Knight 在感染后用来访问机器的 Remcos 后门。 Talos 在分析报告中声称其内部研究人员并不认为 Qakbot 威胁攻击者是赎金软件即服务幕后黑手，他们只是该服务的客户。上述提到的新网络攻击活动从 2023 年 8 月初就开始了，并且在被攻破后也没有停止，因此认为 FBI 的行动并没有影响 Qakbot 的钓鱼电子邮件发送基础设施，而只是影响了其指挥和控制服务器。 此外，分析报告中还指出虽然安全研究人员还没有观察到威胁攻击者在 Qakbot 基础设施被拆除后分发恶意软件，但鉴于其运营商仍然活跃，可能还会选择重建 Qakbot 基础设施，以完全恢复拆除前的状态。   转自Freebuf，原文链接：https://www.freebuf.com/news/379942.html 封面来源于网络，如有侵权请联系删除

近日，亚马逊网络服务公司（AWS）表示，到2024年年中起，将要求所有特权账户使用多因素身份验证（MFA），以提高默认安全性并降低账户被劫持的风险。 首席安全官Steve Schmidt表示，任何以 AWS 组织管理账户根用户登录 AWS 管理控制台的客户届时都必须使用 MFA 才能继续。 同时，他还补充到，必须启用 MFA 的客户将通过多种渠道获知即将发生的变更，包括登录控制台时的提示。他们将在2024年把这一计划扩展到更多场景，如独立账户（AWS 组织中的组织外账户）。这个新功能将使MFA大规模采用和管理变得更加便捷。 此举是继 AWS 此前努力提高 MFA 使用率之后的又一举措。该公司早在2021年秋季就开始向美国的账户所有者提供免费的安全密钥，一年后，企业可以在AWS中为每个账户根用户或每个IAM用户注册最多8个MFA设备。 Schmidt表示，他们建议每个人都采用MFA，同时他们还鼓励客户考虑选择防网络钓鱼的 MFA 形式，如安全密钥。 虽然全面启用 MFA 要求的计划安排是在2024年，但AWS方面强烈建议广大客户从现在开始，就为环境中的所有用户类型启用 MFA。 网络钓鱼攻击可能给员工带来一定的安全风险，而MFA就是降低风险的关键一步。IBM X-Force 上个月的一项研究显示，在 2022 年 6 月至 2023 年 6 月期间，云入侵的首要初始访问载体是威胁行为者使用有效凭证。 而在安全厂商调查的真实云事件中，近36%的事件都发生了这种情况，这些凭证要么是在攻击过程中被发现的，要么是在攻击账户之前被盗取的。   转自Freebuf，原文链接：https://www.freebuf.com/news/379937.html 封面来源于网络，如有侵权请联系删除

23andMe 发布博客称，黑客利用回收的登录名进入账户后，其基因测试和分析平台用户的数据在暗网论坛上流传。BleepingComputer周四写道，一名黑客泄露了他们所说的阿什肯纳兹犹太人的”一百万行数据”，然后说他们会以每个账户1至10美元的价格出售被盗的23andMe数据。这些数据包括用户的姓名、个人照片、基因祖先结果、出生日期和地理位置。 该公司在一份声明中向 BleepingComputer 证实，这些数据是真实的。在声明中，23andMe 的总编辑斯科特-哈德利（Scott Hadly）写道：”此次调查的初步结果表明，这些访问尝试中使用的登录凭证可能是由威胁行为者从涉及其他在线平台的用户回收登录凭证事件中泄露的数据中收集的。他补充说，没有迹象表明”我们的系统出现了安全事故”。BleepingComputer报道称，其他用户的数据是通过23andMe自己的一项名为”DNA亲属”的选择性功能被窃取的。 23andMe 的博文提供了密码重置和多因素验证设置说明的链接。该公司还提供了一个隐私和安全检查页面的链接，并表示需要帮助的用户可以向其支持团队发送电子邮件。 据 PCMag 周三报道，多达 700 万个账户可能被出售，PCMag 援引了暗网信息提供商的一篇帖子，该帖子分享了另一篇现已删除的黑客论坛帖子的截图。这大约是 23andMe 平台用户总数的一半。根据 ArsTechnica 的报道，黑客声称 23andMe 的首席执行官在两个月前就知道数据泄露的事情，但并没有披露这一事件。 与此同时，23andMe 发布了一条来自支持账户的消息：   转自cnBeta，原文链接：https://www.toutiao.com/article/7287291218084807203/?log_from=c0c4b88eb0a67_1696753569060 封面来源于网络，如有侵权请联系删除

日前，哥伦比亚特区选举委员会（DCBOE） 正在调查一起数据泄漏事件。一个名为 RansomedVC 的威胁行为者称通过系统漏洞入侵了选民系统并获取了大量选民信息。 DCBOE 是哥伦比亚特区政府内的一个自治机构，负责监督选举、管理选票访问和处理选民登记流程。 但据调查显示，攻击者是通过入侵华盛顿特区选举机构的托管服务提供商 DataNet 的网络服务器获取到的选民信息，而并非华盛顿特区选举委员会的服务器和内部系统。 10月5日，华盛顿特区选举委员会获悉了此次华盛顿特区选民记录的网络安全事件。该机构表示：虽然事件仍在调查中，但 DCBOE 的内部数据库和服务器并未受到损害。 在与 MS-ISAC 的计算机事件响应小组 (CIRT) 密切合作下，DCBOE 在确定其网站是漏洞源头后，立即关闭了网站，以维护页面控制局势。 DCBOE 网站维护信息 自发现该事件以来，选举委员会与数据安全专家、联邦调查局 (FBI) 和国土安全部 (DHS) 合作，对其内部系统进行了全面的安全评估。 此外，DCBOE 还对其数据库、服务器和 IT 网络进行了漏洞扫描，以确定具体存在哪些潜在安全问题。 被盗数据在暗网上出售 RansomedVC 声称，他们还表示已经成功入侵了哥伦比亚特区选举委员会，并获取了超过 60 万条美国选民信息，其中就包括哥伦比亚特区选民的记录。这些被窃取的信息目前正在威胁者的暗网泄漏网站上出售，但具体价格尚未公布。 为了证明其所盗数据的真实性，RansomedVC 提供了一条记录，其中包含其声称的华盛顿特区选民的个人信息。该数据集包括个人姓名、登记 ID、选民 ID、部分社会安全号码、驾照号码、出生日期、电话号码、电子邮件等。 RansomedVC DCBOE 数据泄露 华盛顿州选举当局在声明中指出，在哥伦比亚特区，一些选民登记数据，如选民姓名、地址、投票记录和党派归属，都是公开信息，除非根据哥伦比亚特区的法规和条例将其保密。 但是，选举当局不提供诸如选民联系信息和 SSN 等机密信息的访问权限。 RansomedVC 曾在上周四（10月5日）透露，被盗的选民记录将出售给一个买家。 RansomedVC 多次深陷争议之中 尽管 RansomedVC 威胁组织目前正在他们的泄漏网站上出售选民数据，但一位匿名人士曾在 10 月 3 日表示，DCBOE 被盗的数据库最初是由一位名为 pwncoder 的用户在 BreachForums 和 Sinister.ly 黑客论坛上出售的，但这些帖子后来被删除了。 据悉，这些数据是从一个被盗的 MSSQL 数据库中倾倒出来的，其中包含超过 60 万名华盛顿特区选民的信息。 pwncoder DCBOE 泄露 不仅如此，RansomedVC 近日还曾声称入侵了索尼系统并窃取了超过 260GB 的文件，其中有 2MB 的泄露档案作为证据。但有另一位自称 MajorNelson 的威胁行为者对此提出了质疑，并在BreachForums 上发布了 2.4GB 的文件档案，也表示是从索尼系统中窃取的。 虽然这些攻击者分享的数据的确看起来与索尼有关，但关于双方说法的真实性，目前仍无从考证。   转自Freebuf，原文链接：https://www.freebuf.com/news/379742.html 封面来源于网络，如有侵权请联系删除