The hacker news 网站披露，安全研究人员发现一个名为 AtlasCross 的网络攻击组织利用红十字会主题的网络钓鱼诱饵，传播两个名为 DangerAds 和 AtlasAgent 的新型后门程序。 NSFOCUS 安全实验室表示此次网络钓鱼攻击活动是网络攻击者对特定目标实施定向攻击的一部分，也是其实现域内渗透的主要手段，并指出发动此次活动的攻击者具有较高的技术水平和谨慎的攻击态度。 本次网络钓鱼攻击活动的攻击链始于一个带有宏的微软文档，该文档自称是关于美国红十字会的献血驱动程序，一旦受害目标点击启动后，便会运行恶意宏设置持久性，将系统元数据外泄到一个远程服务器（data.vectorse[.]com）。（该服务器是美国一家结构和工程公司合法网站的子域） 启动程序还会提取一个代号为 DangerAds 的  KB4495667.pkg ，该文件充当加载程序以启动外壳代码，部署一个C++恶意软件 AtlasAgent。据悉该恶意软件能够收集系统信息、外壳代码操作和运行命令以获得反向外壳，并将代码注入指定进程中的线程。 值得一提的是，网络攻击者在 AtlasAgent 和 DangerAds 上都加入了规避功能，最大程度上降低了被安全工具发现的可能性。 NSFOCUS 指出 AtlasCross 组织涉嫌利用已知的安全漏洞入侵公共网络主机，并将其变成命令和控制（C2）服务器，安全人员在美国发现了 12 台被入侵的服务器。 至于 AtlasCross 及其支持者的真实身份目前仍是一个谜。不过，可以判断这些网络攻击者采用的攻击流程非常强大和成熟。 最后，NSFOCUS 公司强调在现阶段 AtlasCross 的活动范围相对有限，主要集中在对网络域内的特定主机进行有针对性的攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/379537.html 封面来源于网络，如有侵权请联系删除

安全研究员认为，苹果和谷歌最近披露旗下产品零日漏洞缺乏关键信息，可能隐藏了一个上游开源库libwebp的漏洞，将使下游的数百万应用面临“巨大的盲点”，处于攻击危险之中。 有消息称：苹果和谷歌最近披露了自身产品中被积极利用的关键零日漏洞，但是他们披露信息并不完整，造成了“巨大的盲点”，导致全球范围内其他开发者提供的大量应用程序未能得到修补。 两周前，苹果报告称，威胁行为者正在积极利用iOS中的一个关键漏洞，以便安装世界上已知的最先进的恶意软件之一“飞马”（Pegasus）间谍软件。这些攻击使用了零点击的漏洞利用方法，也就是说攻击者不需要与目标进行任何交互，只要接收到iPhone上的来电或短信，就足以被“飞马”感染。 “巨大的盲点” 苹果表示，这个漏洞（编号为CVE-2023-41064）源于ImageIO中的缓冲区溢出漏洞。ImageIO是一个苹果专有软件框架，允许应用程序读取、写入大多数图像文件格式，其中包括WebP格式。苹果将这个零日漏洞的发现，归功于加拿大研究机构公民实验室（Citizen Lab）。 四天后，谷歌报告称， Chrome浏览器中存在一个关键漏洞。该公司表示，这个漏洞源自WebP格式处理组件的堆缓冲区溢出。谷歌进一步警告说，该漏洞已经出现在野利用。谷歌表示，这个漏洞编号是CVE-2023-4863，由苹果安全工程与架构团队和公民实验室报告。 由于上述两个漏洞有诸多相似之处，很多研究人员迅速推测，二者源自同一个基础漏洞。上周四，安全公司Rezillion的研究人员发布一份证据，他们认为这份证据说明，二者源自相同漏洞的“概率极高”，漏洞源头很可能是在libwebp代码库。Libwebp常被应用程序、操作系统和其他代码库用于处理WebP图像。 研究人员称，苹果、谷歌和公民实验室并没有相互协调、准确报告漏洞的共同来源。相反，三方选择使用单独的CVE漏洞编号。研究人员得出结论，漏洞将在“数百万不同的应用程序”中继续存在，直到这些程序也打上了libwebp补丁。他们表示，这样一来，那些开发者用来追踪其产品中已知漏洞的自动化系统将很难检测到正在积极利用的关键漏洞。 Rezillion研究人员Ofri Ouzan和Yotam Perkal写道：“由于该漏洞的影响范围包括带漏洞依赖项的软件产品，只有这些软件产品的漏洞扫描器才能识别出漏洞。那些盲目依赖漏洞扫描结果的组织将面对一个巨大的盲点。” 此外，谷歌将CVE-2023-4863范围限制在Chrome而非libwebp中，因而受到批评。谷歌官方将漏洞描述为Google Chrome中WebP的堆缓冲区溢出。 谷歌代表在一封电子邮件中写道：“许多平台以不同的方式实现WebP。我们没有关于漏洞如何影响其他产品的任何详细信息。我们的重点是尽快向Chromium社区和受影响的Chromium用户提供补丁。对于软件产品来说，最好的做法是跟踪依赖的上游库，从而获取安全补丁和安全改进。” 谷歌代表指出，披露信息和官方CVE页面中提到了WebP图像格式，却没有解释为什么官方CVE和谷歌的披露信息既没有提到广泛使用的libwebp库，也没有表明其他软件也可能存在漏洞。 关于CVE-2023-4863和CVE-2023-41064是否源自同一个漏洞，谷歌代表没有回答。本文发布之前，公民实验室和苹果没有回复记者通过电子邮件提出的问题。 哪些对象会受到影响 尚不清楚有多少使用了libwebp的应用程序、框架、代码库和其他软件包还没有打补丁。 微软在Edge浏览器中修复了CVE-2023-4863，但该公司在上周四的一封电子邮件中表示其他受影响的产品和软件包尚未打补丁。微软代表说，受影响产品的更新“已经准备发布”，但没有提供预计发布时间。 已知尚未打补丁的微软产品包括广泛使用的协作平台Teams，以及开发工具Visual Studio Code。这两个产品都使用了受CVE-2023-4863影响的Electron框架。还有很多其他应用程序也使用Electron。根据维基百科上编制的列表，它们包括： 1Password，balenaEtcher，Basecamp 3，Beaker（网络浏览器），Bitwarden，CrashPlan，Cryptocat（已停用），Discord，Eclipse Theia，FreeTube，GitHub Desktop，GitKraken，Joplin，Keybase，Lbry，Light Table，Logitech Options +，LosslessCut，Mattermost，Microsoft Teams，MongoDB Compass，Mullvad，Notion，Obsidian，QQ（macOS版）。Quasar Framework，Shift，Signal，Skype，Slack，Symphony Chat，Tabby，Termius，TIDAL，Twitch。Visual Studio Code。WebTorrent。Wire。Yammer… 主流浏览器、Linux操作系统以及大量开源软件均包含libwebp库。受影响的软件包数量太多，无法穷举。   转自安全内参，原文链接：https://www.secrss.com/articles/59234 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，RansomedVC 勒索组织声称成功入侵了索尼并将该公司添加到其 Tor 泄密网站上。目前，索尼已宣布正在调查数据泄露事件。 网络安全事件发生后，勒索软件组织公布了一些文件以作为成功入侵的证据，但目前尚不清楚威胁攻击者是否入侵了该公司的所有系统，但从 RansomedV 发布在其泄露网站上的信息来看，该组织已经成功入侵了索尼的所有系统。 RansomedVC 向 Bleeping Computer 透漏，其已经从索尼网络中窃取了 260 GB 的数据，并试图以 250 万美元的价格出售窃取的数据。就目前来看索尼并不想支付赎金，RansomedVC  组织表示虽然不会在索尼网络上部署任何勒索软件，但会出售被盗数据。 有意思的是，在 RansomedVC 声称对索尼进行黑客攻击的同时，另一个网名为 “MajorNelson “的威胁攻击者也声称对此次攻击事件负责，并表示 RansomVC 在撒谎。不仅如此，MajorNelson 还发布帖嘲讽记者相信 RansomedVC 勒索软件的谎言，太容易受骗了，应该为此感到羞耻。（MajorNelson 在 BreachForums 上发表 RansomedVCs 是骗子，他们只是想骗取你的钱财，追逐影响力，享受泄密吧。） 除了反驳 RansomedVC ，MajorNelson 还”曝出“了一个 2.4 GB 大小的压缩包，其中包含 “大量内部系统的凭证”，以及与下列系统相关的数据：SonarQube、创作者云、索尼的证书、用于生成许可证的设备模拟器、qasop 安全、事件响应策略等等。   转自Freebuf，原文链接：https://www.freebuf.com/news/379448.html 封面来源于网络，如有侵权请联系删除

根据Emsisoft本周发布的最新统计，勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个，受影响的人数超过6000万。该数据与IT市场研究公司KonBriefingResearch9月26日最新公布的数据（2040家受害组织）基本一致： Emsisoft的研究人员表示，受害组织绝大多数位于美国。受影响最严重的行业是金融、专业服务与教育，分别占数据泄露事件的13.8%和51.1%。” 本周最引人注目的MOVEit数据泄露事件是美国教育非营利组织国家学生信息交换所也受到了攻击，近900所美国院校的学生信息遭到泄露。 2023年5月下旬，Cl0p勒索组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 过去几个月，MOVEit漏洞的受害者清单（链接在文末）持续快速增长，而勒索组织Cl0p也放弃使用勒索软件，转而只获取敏感数据，并威胁公司除非缴纳赎金，否则将其数据泄露到网上。 值得注意的是，这是勒索组织Cl0p三年内第三次利用web应用程序中的零日漏洞进行勒索。三次的目标都是知名软件公司的“安全产品”。CI0p的“大获成功”势必将吸引其他黑客组织的效仿，这进一步加剧了应用安全和软件供应链安全面临的严峻威胁态势。 MOVEit漏洞受害者清单：https://konbriefing.com/en-topics/cyber-attacks-moveit-victim-list.html   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/OJzI0RG19D-Li8NnePantw 封面来源于网络，如有侵权请联系删除

Progressive Leasing是一家价值数十亿美元的公司，允许人们租赁消费品，上周宣布了一次网络攻击，敏感信息在这次网络攻击中被盗。该公司表示，尚未发现这次攻击对其服务的运营造成“重大”影响，但事件的具体情况仍在调查当中。 一位公司发言人表示：“Progressive Leasing最近发生了一次网络安全事件，影响了Progressive Leasing的某些系统。在发现该事件后，我们立即聘请了优秀的第三方网络安全专家，并展开了调查。我们的团队正在与网络安全专家和执法部门一起努力调查和应对这一事件……对事件的调查，包括所涉及数据的识别等，仍在进行中。” 这家总部位于盐湖城的公司与百思买、三星、Cricket、Lowe’s、Zales、Overstock、戴尔等主要零售商建立了数十家合作伙伴关系。它们是运营中最大的先租后买公司之一，隶属于一家更大的公司——PROG Holdings——提供“先买后付”的服务。 该公司向美国证券交易委员会的监管机构报告了此次网络攻击，称所涉及的相关数据包含大量个人身份信息，包括Progressive Leasing客户和其他个人的社会安全号码。 Progressive Leasing将根据适用法律向事件中涉及身份信息的个人以及监管机构发出通知，并且继续承担应对、补救和调查此事的重大费用。该事件的全部费用和相关影响，包括公司的网络安全保险将在多大程度上抵消这些费用，尚未确定。 该公司首席财务官补充说，他们预计此次攻击不会因运营有限而带来财务后果，这与清洁巨头Clorox不同，后者上周向美国证券交易委员会报告称，在网络攻击后面临生产问题。 网络安全专家Dominic Alvieri表示，AlphV/Black Cat勒索软件团伙声称对攻击事件负责，已将该公司添加到其泄密网站，并声称窃取了超过 4000万客户的个人信息。上周，该勒索软件团伙对米高梅度假村的袭击登上了国际头条新闻，这一事件仍在拉斯维加斯造成广泛影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UxlSKaaHAMLYD6UaYlY41g 封面来源于网络，如有侵权请联系删除

近日，法国高科技工业集团Exail泄露了一个可公开访问的环境（.env）文件，其中包含数据库凭据，攻击者可能因此访问了它的数据库。但该问题现已得到修复。 Exail Technologies 是一家高科技制造商，成立于2022年，由 ECA 集团和 iXblue 公司合并而成，专门从事机器人、海事、导航、航空航天和光子技术领域的业务，其客户包括美国海岸警卫队等，因此成为攻击者的重点目标。 Exail泄露了哪些数据 据该小组称，Exail 暴露的 .env 文件包含数据库凭据。如果数据库向公众开放，任何人都可随意访问，那么攻击者就可以利用这些凭据访问公司的数据， 环境文件是计算机程序的指令集。因此，将该文件开放给任何人都可能暴露关键数据，并为威胁行为者提供一系列攻击选择。 研究人员解释说：一旦进入数据库，攻击者就可以查看、修改或删除敏感数据，并执行未经授权的操作。 网络服务器版本和操作系统也受到威胁 据该小组称，Exail 的网络服务器版本和操作系统（OS）也受到了威胁，操作系统版本是指具有特定功能、配置、软件包和其他规格的独特系统版本。 这类数据暴露会带来诸多安全隐患，不同的操作系统有特定的漏洞集，如未修补的安全漏洞、默认配置和已知弱点。如果恶意行为者知晓网络服务器上运行的操作系统类型和版本，他们就可以瞄准与操作系统相关的特定漏洞进行攻击。 此外，带有已知操作系统的暴露网络服务器可能成为自动扫描工具、恶意软件和僵尸网络的攻击目标。一旦攻击者了解操作系统的流程，他们就可以集中精力寻找和利用与该操作系统相关的漏洞来访问服务器或破坏其安全性。 攻击者还可以利用操作系统的特定弱点，对暴露的网络服务器发起DDoS攻击，进而中断服务器的正常运行。   转自Freebuf，原文链接：https://www.freebuf.com/news/379239.html 封面来源于网络，如有侵权请联系删除

美国非营利教育组织NSC（国家学生信息交换所）近日披露，其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。 NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。 美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信，披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限，并窃取了包含大量个人信息的文件。 根据通知信内容，被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录（例如入学记录、学位记录和课程级别数据）。 美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。（https://oag.ca.gov/system/files/Exhibit%20A_6.pdf） MOVEit漏洞“交叉泄露” 2023年5月下旬，Cl0p勒索软件组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 Emsisoft的安全专家Zach Simas透露：“许多MOVEit事件的上游/下游极其复杂，一些组织受到影响，因为他们的供应商的承包商使用了MOVEit，而承包商的分包商也使用了MOVEit。此外，一些组织的数据泄露涉及多个使用MOVEit的供应商。” “在教育领域尤其如此，一些机构受到涉及国家学生信息交换所、美国教师保险和年金协会-大学退休股票基金的事件的影响（该基金受到供应商PBI事件的影响）以及第三方健康保险提供商和其他金融服务提供商。” 2023年6月下旬，NSC曾向受影响学校通报了MOVEit数据泄露事件，但由于调查仍在进行中，因此没有提供太多细节。 据Databreaches.net的Doe透露，NSC的名字已从Cl0p的泄露网站中删除，这通常表明受害者已支付赎金。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA 封面来源于网络，如有侵权请联系删除

信息系统被入侵，单位主体也担责。前段时间，天津公安南开分局网络安全保卫支队接到线索：辖区内某单位的重要信息系统数据遭到恶意篡改，严重危害网络安全！ 南开分局网络安全保卫支队立即启动“一案双查”，就该单位网络安全风险隐患问题进行调查，查处其网络运营者未履行网络安全保护义务一案。 案件详情 南开分局网络安全保卫支队通过现场查看该单位制度类文件，并经过比对、分析发现，该单位运营使用的信息系统存在多重问题： 一是防范网络侵入技术措施不完善，物理网络环境内部存在监测漏洞； 二是监测、记录网络运行状态的网络日志不足6个月； 三是对于安全缺陷、漏洞等风险，该单位未立即采取补救措施亦未向有关部门报告，信息系统持续“带病”运营，给了不法分子可乘之机。 依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，南开分局对该单位及相关主管人员分别予以罚款伍万元和贰万元的行政处罚。 网警提示 在复杂多样的网络世界中，网络运营者不但要具备防范网络安全隐患的危机意识，不断提升自身防护水平，更要履行好网络安全保护义务，有效落实主体责任。 只有将网络安全管理制度落实到位，将技术防范措施部署完善，才能保障单位自身稳定运营和社会有序发展。   转自公安部网安局，原文链接：https://mp.weixin.qq.com/s/teT0DKSTEZKM65TTf0P6qw 封面来源于网络，如有侵权请联系删除

有消息称：美国德克萨斯州达拉斯市表示，今年5月该市因Royal勒索软件攻击被迫关闭所有IT系统，此次攻击始于一个被盗帐户。 在上周发布的《达拉斯市勒索软件事件：2023年5月事件的补救措施和解决方案》事件溯源分析总结报告中，达拉斯市对这起事件进行了完整回顾。 4月初，Royal团伙使用被盗的域服务帐户获得该市网络的访问权限，并在4月7日至5月4日期间持续访被破解系统。市政府和外部网络安全专家通过分析系统日志数据得出结论，在此期间，攻击者成功收集并外泄了1.169 TB文件。 Royal团伙还在达拉斯市政府系统上部署了Cobalt Strike命令与控制信标（C2 Beacon），为部署勒索软件做准备。5月3日凌晨2点，Royal团伙开始部署勒索软件，使用合法的微软管理工具对服务器进行加密。 检测到攻击后，达拉斯市启用缓解措施，将高优先级的服务器脱机以阻止Royal团伙的攻击行动。与此同时，该市在内外部网络安全专家团队的帮助下开始服务恢复工作。 所有服务器的恢复过程持续了5周多。5月9日，财务服务器重新投用。6月13日，最后一台受到攻击影响的服务器“废物管理服务器”恢复正常。 达拉斯市表示：“本市向德克萨斯州总检察长报告，由于此次攻击，26212名德州居民和共计30253名个人的私人信息或被曝光。” “总检察长网站显示，Royal团伙曝露了个人信息，如姓名、地址、社会保障信息、健康信息、健康保险信息等内容。” 到目前为止，达拉斯市议会已经为勒索软件攻击的恢复工作划拨850万美元预算，最终费用将在事后公布。 达拉斯是美国第四大都会区、第九大城市，总人口约260万。 打印机自动打印出勒索通知 最初，当地媒体报道，达拉斯市疑似遭到勒索软件攻击，于5月3日星期一早上关闭了警察通信和信息技术系统。 达拉斯市在5月3日发表的一份声明中解释说，“周三早上，本市安全监控工具通知了我们的安全运营中心（SOC），我们的环境中可能遭受了勒索软件攻击。随后，本市确认一些服务器已经受到勒索软件攻击，达拉斯警察局网站等多个功能区域受到影响。” “市政府团队与供应商一起积极工作，努力隔离勒索软件，防止其进一步传播，并从被感染服务器中删除勒索软件，让当前受到影响的所有服务恢复正常。根据本市事件响应计划，市长和市议会收到了事件通知。” 达拉斯市的网络打印机在事件当天早上开始打印勒索通知。BleepingComputer获得了一张通知图片，得以确认Royal勒索软件团伙是这次攻击的幕后黑手。 通过市政府网络打印机“推送”的勒索通知 Royal勒索软件团伙被认为是Conti犯罪团伙的一个分支，在Conti停止运营后崭露头角，其团伙于2022年1月出山。为了避免引起注意，他们最早使用其他勒索软件团伙的加密工具，比如ALPHV/BlackCat。不久之后，他们一整年都在用自己的加密工具Zeon发动攻击。 在2022年底，这个勒索软件团伙重新包装，选用了“Royal”这个名字，逐渐成为针对企业最活跃的勒索软件团伙之一。Royal团伙惯于利用公开可访问设备中的安全漏洞侵入目标网络。他们也经常采用回电联络型钓鱼攻击获得企业网络的初始访问权限。 攻击目标会收到一封电子邮件，其中嵌入了伪装成订阅续订的电话号码。只要目标呼叫电话号码，攻击者就会使用社交工程学手段欺骗受害者安装远程访问软件，向威胁行为者提供其网络的访问权限。   转自安全内参，原文链接：https://www.secrss.com/articles/59207 封面来源于网络，如有侵权请联系删除

乌克兰黑客声称已侵入俄罗斯公司Sirena-Travel的数据库。该数据库包含数亿次航空旅行的信息以及乘客保险以及其他个人数据。有关此次黑客攻击的消息发布在黑客社区KibOrg的电报频道上。他们声称Muppets是这次黑客攻击的幕后黑手。  黑客表示，这两个数据库包含了35亿条乘客的电话号码记录和6.646亿条个人信息记录（包括航班号码、路线、票价、机票价格等），共41.646亿条乘客数据被窃取，这些数据涵盖2007年至2023年期间。 网络上出现了黑客发布的两个数据库“探针”。例如，在其中发现了奥地利外交部前负责人、俄罗斯石油公司前董事会成员卡琳·克奈斯尔的航班数据，她于2023年夏天移居俄罗斯。有关其移动的数据与她9月10日从圣彼得堡飞往符拉迪沃斯托克经济论坛的公开报道一致。阿列克谢·纳瓦尔尼团队的乔治·阿尔布罗夫写道，通过检查与弗拉基米尔·普京关系密切的阿琳娜·卡巴耶娃最近从明斯克飞往莫斯科的航班数据，验证了该数据库的真实性。 黑客组织的一位消息人士指出，KibOrg并不打算公开整个数据库。目前正在考虑两种选择：创建一个机器人来汇总数据库数据以获取金钱；或者将数据库转移给乌克兰武装部队。同时黑客也愿意与调查记者分享信息。 Serena Travel是俄罗斯最大的航空公司，提供机票预订和销售、文化娱乐场所、保险单登记等服务。公司运营国内首个经认可的航空分销系统（ADS）“Sirena Travel”，该系统是根据IATA（国际航空运输协会（IATA））的建议开发的，为代理机构提供预订和销售机票的接口，并为航空公司提供管理和控制座位资源的工具。   转自E安全，原文链接：https://mp.weixin.qq.com/s/80wApqMaq_ID_4dtLWBv0Q 封面来源于网络，如有侵权请联系删除