近日，Change Healthcare网络攻击引发的经济影响愈发明显。专家指出，包括医院和药店网络在内的一些大型企业，正承受着每天高达1亿美元的运营中断损失。 网络安全公司First Health Advisory的高管Toby Gouker表示，这些损失并不完全等同于资金流失，用“延期收款”来描述更为准确。对于许多主要的医疗保健系统而言，这些资金是日常运营不可或缺的经济支撑。 该公司一直在督促受影响的客户将重点放在财务和业务持续性问题上，而不是仅仅关注典型的事件响应问题，即Change Healthcare是如何以及为什么被侵入的。 实际上，这是一个现金流的问题。Gouker强调，受影响的大型企业可能最终会追回这些资金，但是由于此次攻击事件，他们目前无法收到款项。这就导致企业无法支付必要的运营费用，包括医生薪资、清洁工雇佣费、场地租金等。 本周一，Change Healthcare向公众公布了目前的态势，Change Healthcare的事件已经扰乱了全国各地医疗机构处理保险理赔的能力，药店业务受到的影响尤为明显。医疗行业代表认为，联合健康集团（UnitedHealth Group）的Optum部门——即Change Healthcare的母公司，提供的支持措施并不足以帮助医疗服务提供者获得应有的服务报销。 佛罗里达医院协会的首席执行官表示，延期收款可能会给该州带来超过10亿美元的损失。据Gouker所述，First Health Advisory的客户和其他参与行业讨论的医疗系统每天都在遭受高达1亿美元的收入损失。 面对这样的重大冲击，如果现金储备不足以支持企业运转，问题就会变得复杂化。 庆幸的是，参议院多数党领袖查尔斯·舒默（Charles Schumer，纽约州民主党）已经要求联邦医疗保险和医疗补助服务中心（CMS）介入本次事件并提供支持。这种支持类似于CMS在COVID-19大流行期间打乱了医院主要收入来源——非紧急手术时所提供的帮助。 本周二，卫生及公共服务部宣布，CMS确实将提供更多信息，帮助医疗服务提供者收到这种“预付款项”。 这些令人瞩目的金额有助于从宏观上理解这场危机的严重性，但Gouker注意到，Change Healthcare的事件正在各个层面引发混乱，这对小型机构来说也是个大问题。   转自Freebuf，原文链接：https://www.freebuf.com/news/393428.html 封面来源于网络，如有侵权请联系删除

近日，美国国家安全局发布了新的零信任指南，旨在帮助企业通过零信任框架原则来抵御外部网络攻击。零信任安全架构要求对网络资源的访问进行严格控制，无论是在物理边界内外，以最大限度地减少漏洞的影响。 一般情况下，传统的 IT 安全模式会以默认可信的模式来运行，但零信任一般直接会默认假定威胁已经存在，不允许任何人在网络内自由行动。零信任的成熟度是通过解决威胁行为者在攻击中可以利用的各种组件或支柱逐步实现的。 零信任架构的七大支柱 昨天（3月5日），美国国家安全局发布了网络和环境组件的零信任指南，其中包括所有硬件和软件资产、非人实体以及相互通信协议。 零信任模式通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中的每一项，企业都必须达到特定的成熟度，才能继续按照零信任原则进行建设。 “网络和环境支柱通过定义网络访问、控制网络和数据流、划分应用程序和工作负载以及使用端到端加密，将关键资源与未经授权的访问隔离开来”–国家安全局 数据流映射首先要确定数据存储和处理的位置和方式。当企业对数据流有了全面的清点和可视性，并能减少所有当前的、新的或异常的路径时，就达到了高级成熟度。 通过宏观划分，企业可以为每个部门的用户创建网络区域，从而限制网络上的横向移动。比如，除非有明确要求，否则会计人员不需要访问人力资源专用网段，因此威胁行为者可利用的攻击面有限。 通过微分段，网络管理被分解成更小的组成部分，并实施严格的访问策略来限制横向数据流。 美国国家安全局解释说，”微分段涉及将用户、应用程序或工作流程隔离到单个网段中，以进一步减少攻击面，并限制发生入侵时的影响”。 通过软件定义网络（SDN）组件，可以对微分段进行更细粒度的控制，从而提供可定制的安全监控和警报。SDN 允许从集中控制中心控制数据包路由，提供更好的网络可见性，并允许对所有网段执行策略。 对于零信任架构中网络和环境支柱的四个组成部分，美国国家安全局描述了四个成熟度等级，从准备阶段到高级阶段，在高级阶段实施广泛的控制和管理系统，以实现最佳的可见性和监控，并确保网络的增长。 设计和构建零信任环境是一项复杂的任务，需要系统地经历各个成熟阶段。如果方法得当，企业架构就能抵御、识别和应对试图利用弱点的威胁。 美国国家安全局于 2021 年 2 月发布了第一份零信任框架指南《拥抱零信任安全模型》，该指南介绍了该模型及其背后原则的优势。 2023 年 4 月，该机构发布了达到零信任框架中用户组件成熟度的指南《在整个用户支柱中推进零信任成熟度》。   转自Freebuf，原文链接：https://www.freebuf.com/news/393427.html 封面来源于网络，如有侵权请联系删除

inforisktoday网站消息，德国警方表示，在历时2年的调查后，他们逮捕了该国最大的网络犯罪地下市场之一的幕后操纵者，并查封了其网站域名。 上周，杜塞尔多夫的执法部门宣布，他们已经成功关闭了Crimemarket论坛的网络域名。据悉，该论坛涉及销售网络犯罪工具、毒品和武器，用户可以通过暗网或普通互联网进行访问。在网站被查封时，注册用户达18万人。 在这次行动中，执法部门逮捕了三名涉嫌管理该平台的人员，其中包括一名23岁的德国莱茵-克雷斯诺伊斯镇居民，据称他是该交易市场的主要管理员。 2020年，德国执法部门开始调查该团伙，从嫌疑人手中没收了60万欧元现金，同时缴获了众多手机、计算机设备以及数据存储装置。 德国当局表示，他们正在对拦截的数据进行分析，以获取有关该平台用户的更多信息。 逮捕并解散Crimemarket是国际执法部门连续打击网络犯罪的最新行动，这一措施紧随英国和美国网络安全机构联合行动，打击LockBit勒索软件的网络犯罪几周之后。 在去年12月，德国警方还解散了Kingdom Market——一个网络黑市，专门贩卖毒品、恶意软件和提供其他非法服务的交易市场。   转自Freebuf，原文链接：https://www.freebuf.com/news/393368.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Group-IB 调查结果显示，2023 年 1 月至 10 月期间，超过 225000 个含有泄露的 OpenAI ChatGPT 凭证的日志在地下市场上售出。 这些凭证在与 LummaC2、Raccoon 和 RedLine 等恶意软件相关的信息窃取者日志中被发现。 该公司在《2023-2024 年高科技犯罪趋势》报告中表示：“受感染设备的数量在夏初和夏末略有下降，但在 8 月至 9 月期间大幅增长。” 2023 年 6 月至 10 月期间，超过 130,000 个能够访问 OpenAI ChatGPT 的主机遭到渗透，比前 5 个月增加了 36%。三大窃取者家族细分如下： LummaC2 – 70,484 台主机 Raccoon – 22,468 个主机 RedLine – 15,970 台主机 Group-IB 表示：“ChatGPT 凭证数量的急剧增加是因为感染信息窃取程序的主机数量总体增加，这些数据随后在市场或 UCL 中出售。” 微软和 OpenAI透露，来自俄罗斯、朝鲜和伊朗的民族国家行为体正在尝试利用人工智能 (AI) 和大型语言模型 (LLM)来补充其正在进行的网络攻击行动。 Group-IB 指出，LLMs 可以被对手用来创造新的间谍手段，通过诈骗和网络钓鱼攻击，该技术还可以加快侦察速度，促进黑客工具包的执行，并进行诈骗机器人呼叫。 过去，威胁行为者主要专注于企业计算机和跨网络移动的访问系统，现在他们也关注能够访问公共人工智能系统的设备。 这让他们能够获取包含员工和系统通信历史记录的日志，从而搜索机密信息（用于间谍目的）、内部基础设施的详细信息、身份验证数据（用于进行更具破坏性的攻击）以及应用程序源代码。 威胁行为者可以利用恶意软件轻松获取有效账户凭据，IBM X-Force表示：“信息窃取者的增加以及滥用有效账户凭据来获取初始访问权限，加剧了防御者的身份和访问管理挑战。 企业凭证数据可以通过凭证重用、浏览器凭证存储或直接从个人设备访问企业账户从受感染的设备中窃取。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit 勒索软件组织扩大影响范围，受害者包括美国的STOCK Development、比利时的Smulders、美国的United Notions Inc.、德国的STARK Power GmbH、德国的SCHÜTT & GRUNDEI、德国的Röhr + Stolberg GmbH、美国的航空航天公司和德国埃索集团。LockBit勒索软件团伙尚未披露网络攻击背后的动机、数据泄露的程度以及数据泄露的方法等细节。 LockBit 勒索软件组织的索赔尚不明确 尽管目标公司的官方网站正常运行且没有发现不法行为迹象，但这引发了对LockBit网络攻击的怀疑。考虑到LockBit的历史记录，现阶段驳回指控还为时过早。 网站信息截图 最近，LockBit勒索软件组织声称在其数据泄露页面上列出了12名新受害者，并参与了有关夺取其网站的讨论。 夺取其网站的相关报道是打击网络犯罪的重要里程碑，司法部与国际执法机构合作扰乱了LockBit的运营。 此次协调行动涉及英国国家犯罪局网络部门、联邦调查局（FBI）和其他合作伙伴。通过控制LockBit的基础设施，包括面向公众的网站和服务器，执法部门有效地削弱了该组织进行进一步攻击并威胁发布被盗数据来勒索受害者的能力。 此外，执法当局还获得了解密密钥，使受害者能够重新访问其加密数据。 LockBit 的回应：挑衅性消息 为了回应此次删除，LockBit管理员发布了一条长消息，探讨他们最近的活动和动机。该消息带有挑衅性的语气，试图抹黑执法机构。 尽管LockBit的运营受到了干扰，但最近的声明表明，该勒索软件组织已经以增强的技术和功能重新出现。 LockBit往期报道： LockBit 勒索软件卷土重来，在警方破坏后恢复了服务器 美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 LockBit 团队称对 12 月芝加哥社区医院遭受的网络攻击负责 消息来源：thecyberexpress，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国司法部周五公布了对一名伊朗国民的起诉，指控他参与了一场旨在损害美国政府和私人实体的多年网络活动。 据说有十几个实体成为袭击目标，其中包括美国财政部和国务院、支持美国国防部项目的国防承包商，以及一家总部位于纽约的会计师事务所和一家酒店公司。 39岁的Alireza Shafie Nasab自称是一家名为Mahak Rayan Afraz的公司的网络安全专家，同时至少在2016年左右至2021年4月左右参与了一场针对美国的持续运动。 美国南方检察官达米安·威廉姆斯表示：“正如所称，Alireza Shafie Nasab参与了一场网络活动，使用鱼叉式网络钓鱼和其他黑客技术感染了20多万台受害者设备，其中许多设备包含敏感或机密的国防信息。” 在一个例子中，威胁行为者侵入了一个属于未具名国防承包商的管理员电子邮件帐户，随后利用该帐户创建流氓帐户，并向另一个国防承包商和一家咨询公司的员工发送鱼叉式网络钓鱼电子邮件。 除了鱼叉式网络钓鱼攻击之外，共谋者还伪装成其他人，通常是女性，以获得受害者的信任，并将恶意软件部署到受害者的计算机上。 Nasab在为幌子的公司工作期间，据信负责使用窃取的真实身份来注册服务器和电子邮件帐户，从而获得活动中使用的基础设施。 他被指控犯有一项共谋计算机欺诈罪、一项共谋电信欺诈罪、另一项电信欺诈罪和一项严重身份盗窃罪。如果所有罪名成立，Nasab可能面临最高47年的监禁。 虽然Nasab仍然在逃，但美国国务院宣布悬赏高达1000万美元，以获取有关Nasab身份或位置的信息。 Mahak Rayan Afraz (MRA)于2021年7月首次被Meta曝光，该公司是一家总部位于德黑兰的公司，与负责捍卫伊朗革命政权的伊朗武装部队伊斯兰革命卫队(IRGC)有联系。 该活动集群与Tortoiseshell也有重叠，此前曾被认为与精心设计的社会工程活动有关，包括在Facebook上假扮成健美操教练，试图用恶意软件感染某航空航天国防承包商员工的机器。 这一事态发展之际，德国执法部门宣布取缔Crimemarket，这是一个德语非法交易平台，拥有超过18万用户，专门从事毒品、武器、洗钱和其他犯罪服务的销售。 与此次行动有关的六人已被逮捕，其中包括一名23岁的主要嫌疑人，当局还缴获了手机、IT设备、一公斤大麻、摇头丸和60万欧元现金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/9ZdztcoTJjEQATMVXa8yPQ 封面来源于网络，如有侵权请联系删除

一个名为 SPIKEDWINE 的未知黑客组织正在针对印度外交使团所在的多个欧洲国家的大使发动攻击。为了实现他们的目标，攻击者使用了新的恶意后门 – WINELOADER。 根据Zscaler ThreatLabz的报告，黑客组织通过向外交使团员工发送PDF文件进行攻击，文件声称是印度大使发出的邀请函，邀请他们参加定于2024年2月2日举行的品酒会。 其中一份此类 PDF 文档于 2024 年 1 月 30 日从拉脱维亚上传到 VirusTotal资源，可能与SPIKEDWINE黑客组织攻击有关。然而，有迹象表明该活动可能最早始于2023年7月6日。另外，来自同一国家的其他类似PDF文档的发现也支持了这一推断。 安全研究人员Sudeep Singh和Roy Tay指出：“此次攻击规模较小，且在恶意软件及其命令和控制基础设施中采用了先进的方法、技术和程序”。 该PDF文件包含伪装成调查问卷的恶意链接，要求收件人填写表格以参加活动。点击链接会下载一个带有模糊JavaScript代码的HTML应用程序（”wine.hta”）。该应用程序旨在接收加密ZIP存档，其中包含来自同一域的WINELOADER恶意软件。 WINELOADER的核心功能包括从命令和控制服务器下载附加元素的模块，并将第三方DLL嵌入其中，以减少请求之间的时间间隔。 这些网络攻击的显著特征之一是使用被黑客入侵的网站作为命令和控制服务器，并托管恶意软件。据推测，命令和控制服务器仅在特定时间并使用特殊协议接受来自恶意软件的请求，从而使得攻击更加隐蔽且更难以检测。 正如研究人员指出的那样，黑客付出了巨大的努力来掩盖他们的踪迹，尤其是避免了可能引起内存分析系统和自动URL扫描注意的活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/293599 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）局长克里斯托弗·雷2月29日表示，由于人工智能和其他技术的进步，美国预计今年的选举将面临复杂多变的威胁。 雷特意强调人工智能，认为“无论是复杂程度高低的外国黑客都更容易利用它来对选举产生恶意影响”。 他指出，美国政府正不断担忧那些难以察觉且能塑造公众舆论的攻击，且这种行为正在加剧。但目前美国并未拿出外国政府直接影响选举结果的成功案例，雷建议FBI在今年分享有关其发现的威胁信息，他声称”作为情报专业人员，我们必须以具体的、基于证据的方式强调威胁，以便我们有效地武装我们的合作伙伴——特别是公众，抵御他们可能面临的各种外国影响行动。“ 2016年，美国指控俄罗斯特工试图通过窃取和泄露民主党电子邮件，以及利用隐蔽而强大的社交媒体活动在美国选民中煽动不和来提高共和党人唐纳德·特朗普的选举机会；2020年，美国又指俄罗斯总统弗拉基米尔·普京授权采取影响力行动来诋毁民主党人乔·拜登，并在当年的选举中帮助特朗普。 美国也指出伊朗曾试图利用国家选举网站的漏洞来损害特朗普的连任机会。 情报官员表示，尽管存在这些威胁，但最终没有证据表明任何外国政府改变了选票或以其他方式扰乱了投票过程。 但在某些情况下，以人工智能为代表的新兴技术确实让美国感到紧张。例如，一名政治顾问最近证实，他已付钱给新奥尔良街头魔术师，让他制作一个模仿拜登声音的机器人电话，尽管该顾问表示，他试图对人工智能潜在的恶意用途发出警钟，不会影响上个月新罕布什尔州初选的结果。   转自Freebuf，原文链接：https://www.freebuf.com/news/393194.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，阿根廷安全部队人员名单超 20 万数据遭泄露。出售名单时附有阿根廷安全部队人员（联邦警察、机场警察、宪兵和海军部）的数据。 知道创宇暗网雷达截图 黑客发布的相关文件信息截图 目前从样本信息截图来看，泄露的信息主要包括：用户 Id 名称、层次属性、依赖关系等，售价约 0.75 ETH。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

近日，一个名为“SubdoMailing”的大规模广告欺诈活动正在使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，每天发送量高达500万封电子邮件，用于诈骗和恶意广告盈利。 域名遭到劫持的企业中不乏知名品牌，例如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等。 从这些知名品牌的域名和子域名发送的恶意电子邮件可以绕过垃圾邮件过滤器。此外，不法分子还利用SPF和DKIM电子邮件策略来欺骗安全电子邮件网关，将这些电子邮件识别为合法邮件。 通过检测电子邮件元数据中的异常模式，Guardio Labs的研究人员Nati Tal和Oleg Zaytsev最终发现了这个大规模的子域劫持操作，并报告称该活动自2022年以来一直在进行。 对MSN域名错误授权垃圾邮件的案例研究显示，攻击者为使电子邮件看上去合法并逃检测和过滤，使用了多种攻击方法：包括滥用SPF（发件人策略框架）检查、DKIM（域名密钥识别邮件）和DMARC（域名基于消息认证、报告和一致性）协议。 SubdoMailing劫持域名发送垃圾邮件的组合策略 对信誉良好的企业的域名和子域名，SubdoMailing活动主要通过CNAME攻击和SPF记录利用这两种方法来实施域名劫持。 在CNAME攻击中，攻击者会扫描知名品牌的子域名，其中CNAME记录指向不再注册的外部域名。然后，他们通过NameCheap服务自行注册这些域名。 利用CNAME攻击劫持域名 在第二种方法——利用SPF记录的域名劫持攻击中，SPF记录的include选项用于从外部域名导入允许的电子邮件发件人，攻击者首先查看目标域名SPF记录中“include:”选项所指向的外部域名中是否存在注册过期的域名。 然后攻击者会注册SPF记录中失效的外部域名，更改其SPF记录以授权自己的恶意电子邮件服务器（使用被劫持的域名作为邮件地址）。这使得攻击者的电子邮件看起来合法地来自信誉良好的域名。 利用SPF记录劫持域名 Guardio Labs将此次大规模域名劫持活动归咎于一个代号“ResurrecAds”的威胁行为者，该行为者会系统性地扫描网络中可能被劫持的域名，并有针对性的购买域名。 威胁行为者不断更新这个由被劫持域名、SMTP服务器和IP地址组成的庞大网络，以维持垃圾邮件活动的规模和复杂性。Guardio Labs表示，SubdoMailing使用了近2.2万个独立IP，其中1000个似乎来自家庭网络。 SubdoMailing的运营规模与分布 目前，SubdoMailing大规模垃圾邮件活动通过全球分布的SMTP服务器进行运作，这些服务器通过由8000个域名和1.3万个子域名组成的庞大网络每日发送超过500万封欺诈电子邮件。 为了方便企业自查域名是否被劫持，Guardio Labs开发了一个SubdoMailing检查网站。   转自GoUpSec，原文链接：https://www.secrss.com/articles/64023 封面来源于网络，如有侵权请联系删除