国际零售巨头皇家阿霍德德尔海兹集团（Ahold Delhaize）日前确认，旗下Food Lion、Stop & Shop等多个美国超市品牌的系统中断，是因为持续的“网络安全问题”所引发。公司表示，他们已关闭了一些系统，这对部分药房及电商业务造成了影响。 这家总部位于荷兰的跨国企业，在欧洲以阿尔伯特·海恩（Albert Heijn）和德尔海兹（Delhaize）等品牌闻名，在美国市场则拥有Stop & Shop、Hannaford、Giant和Food Lion等品牌，公司官网显示这些品牌在美国市场拥有超过2000家门店。 图：该公司官网显示美国市场的品牌数据 该公司在上周五（8日）发布的声明中指出：“在问题首次被发现时，我们的安全团队立即在外部网络安全专家的协助下展开了调查。同时，我们也已通知执法部门。” “皇家阿霍德德尔海兹集团美国分公司旗下的所有品牌店铺仍正常营业，继续为客户提供服务。我们将持续采取措施，以进一步保护我们的系统。客户、员工和合作伙伴的安全始终是我们的首要任务。” “我们对于此次事件可能给客户和合作伙伴带来的不便深感抱歉。” 员工顾客在社交媒体上反馈吐槽 据悉，美国零售店面临的问题已经持续了一周。由于网络安全调查通常需要较长时间，案件的具体细节仍在收集中。但是，受影响店铺的员工们已在社交媒体上分享了他们的经历。 Stop & Shop的部分顾客最近反映，他们所在的超市药房因IT问题暂时无法补充药品。为应对这一问题，药品被转移至附近的沃尔格林药房，但由于商店的电话线路也出现了问题，处理过程受到了影响。 不过，地方新闻报道称，药房的IT问题目前已经得到解决，现在可以正常补充处方药。 一位自称负责向商店运送物资的人员表示，发票上的价格与实际成本不符。 不同商店受到影响的程度有所差异。截至11月9日，部分商店的服务已经恢复正常，而另一些商店仍然没有互联网连接，只能依靠员工的个人热点来维持运营。 Food Lion的Reddit社区尤其活跃，用户们讨论了员工在店铺内遇到的类似问题。 关于交货延迟或缺失的报告频繁出现，且部分到货物资供应不足。截至11月10日，也出现了与Stop & Shop类似的发票与实际价格不匹配现象。同时，电话线路依然无法使用。 有些用户反映，Food Lion To Go和Instacart的订单无法处理，后者的恢复时间也一再推迟。此外，部分支付服务也受到了限制。 据称，在某些地点，一线员工被经理告知不要与同事讨论此问题，目的是防止信息在社交媒体上扩散。然而，也有员工表示，他们的店铺并没有受到这样的限制。 一名员工还表达了对财务数据可能被影响的担忧。该员工声称，在事件发生几天后，他的借记卡被用于多次欺诈性消费，但目前尚不清楚这两件事是否有关联。 官方缺乏进一步的信息更新 外媒The Register就此问题询问了皇家阿霍德德尔海兹集团，是否有任何数据在此次攻击中遭到泄露，但并未收到回复。 本文发布时，Hannaford的网站仍处于宕机状态，显示消息：“抱歉！我们的服务器出现了技术问题。我们正在尽快恢复服务。” The Register尝试从英国访问其他美国品牌的网站（Giant、Food Lion和Stop & Shop），但即便使用VPN，也无法绕过其网络保护层，访问被阻止。 在美国，这四大零售品牌共拥有约2000家店铺，均可能受到此次网络安全事件的影响。 其中，Food Lion拥有超过1000家门店，员工人数超过8.2万人，每周服务超过1000万名顾客。如果问题持续影响这些店铺，潜在影响规模将非常巨大。       转自安全内参，原文链接：https://www.secrss.com/articles/72373 封面来源于网络，如有侵权请联系删除

图片来源：安全客 趋势科技研究公司的一份最新报告指出，巴西出现了一种鱼叉式网络钓鱼活动，该活动结合使用了混淆 JavaScript 和 Astaroth 恶意软件，以各行各业的公司为目标。该活动背后的威胁行动者被追踪为 “Water Makara”，他们采用了复杂的技术来逃避检测，对该地区的制造企业、零售企业和政府机构构成了严重威胁。 该活动以伪装成官方税务通知或合规文件的网络钓鱼电子邮件开始，这种策略旨在引诱毫无戒心的用户。报告称，“这些电子邮件的附件通常伪装成个人所得税文件”，而这些附件中包含有害的 ZIP 文件。钓鱼邮件的主题行是 “Aviso de Irregularidade”（违规通知），诱骗收件人打开包含恶意 LNK 文件的 ZIP 文件。这些 LNK 文件被执行后，会通过 mshta.exe 工具运行嵌入的 JavaScript 命令，而 mshta.exe 工具是一个通常用于执行 HTML 应用程序的合法程序。 最终有效载荷为 Astaroth 恶意软件的鱼叉式网络钓鱼电子邮件示例 | 图片： 趋势科技研究 趋势科技研究人员解释说：“除了 LNK 文件外，ZIP 文件还包含另一个文件，其中有类似的混淆 JavaScript 命令，”这些命令在执行过程中会被解码，并连接到命令与控制（C&C）服务器以获取进一步的指令。 该活动的核心是 Astaroth，这是一种臭名昭著的银行木马，可窃取包括凭证和财务数据在内的敏感信息。一旦恶意软件站稳脚跟，它就会造成长期破坏，不仅包括数据盗窃，还包括监管罚款、业务中断和失去消费者信任。 报告说：“虽然 Astaroth 看起来像是一个古老的银行木马，但它的再次出现和持续演化使其成为一个持久的威胁。” Water Makara 采用了先进的混淆技术，使检测变得困难。研究人员发现，编码后的 JavaScript 命令会指向恶意 URL，如 patrimoniosoberano[.]world。这些 URL 采用了域名生成算法 (DGA)，这是网络犯罪分子用来创建大量域名从而逃避检测的一种策略。 巴西的制造业、零售业和政府部门是这一活动的主要目标。报告指出：“鱼叉式网络钓鱼活动主要针对巴西的公司，其中受影响最大的是制造公司、零售公司和政府机构。” 报告总结道：“Water Makara 的鱼叉式网络钓鱼活动依赖于不知情的用户点击恶意文件，这凸显了人类意识的关键作用。” 随着巴西继续面临来自复杂网络行为者的日益严重的威胁，防御这些极具针对性的鱼叉式网络钓鱼活动需要采取多层次的方法，将技术防御与强大的用户教育相结合。     转自安全客，原文链接：https://www.anquanke.com/post/id/300950 封面来源于网络，如有侵权请联系删除

在中东紧张局势升级之际，继以色列对伊朗 10 月 1 日的导弹袭击作出回应后，伊朗的政府部门和核设施也遭到了网络攻击。 在中东紧张局势升级之际，伊朗周六遭遇重大网络攻击，政府部门和核设施受到干扰。以色列承诺对伊朗10月1日的导弹袭击作出回应，而在加沙和黎巴嫩的地区冲突加剧之际，伊朗也遭到了大规模网络攻击。 伊朗网络空间最高委员会前秘书 Abolhassan Firouzabadi 告诉当地媒体，伊朗遭受了网络攻击。Firouzabadi 还补充说，威胁者从目标基础设施中窃取了敏感信息。 伊朗国际报援引伊朗网络空间最高委员会前秘书菲鲁扎巴迪的话说：“伊朗政府的几乎所有三个部门（司法部门、立法部门和行政部门）都遭到了严重的网络攻击，其信息被窃取。我们的核设施也是网络攻击的目标，燃料配送网络、市政网络、运输网络、港口和类似部门也是攻击的目标。”他补充说：“这些只是全国各地受到攻击的众多领域中的一部分。” 伊朗民航组织禁止在航班上使用传呼机和对讲机，因为在黎巴嫩发生了涉及这些设备的破坏袭击，造成 39 名真主党成员死亡。 伊朗民航组织发言人说：“伊朗民航已禁止在所有航班上携带寻呼机和对讲机。这一决定是在经历黎巴嫩真主党武装组织成员，遭受破坏性袭击的三周之后做出的，当时传呼机和对讲机发生爆炸，造成至少 39 人死亡。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300836 封面来源于网络，如有侵权请联系删除

9 月，美国州际和国际点对点支付与汇款公司速汇金证实，由于受到网络攻击，其服务目前无法使用。 9 月 22 日，该公司通知其客户，它正在经历一次网络中断，影响到其几个系统的连接。 该公司关闭了部分系统以控制攻击，这表明它是勒索软件攻击的受害者。 这次攻击影响了个人和在线汇款服务。该公司对安全漏洞展开了调查，并通知了执法部门。 速汇金现在证实，网络攻击暴露了客户数据，包括联系信息（如电话号码、电子邮件和邮政地址）、政府 ID、社会安全号和交易详情。 速汇金公布的数据泄露通知中写道：“受影响的信息包括某些受影响的消费者姓名、联系方式（如电话号码、电子邮件和邮寄地址）、出生日期、数量有限的社会安全号、政府颁发的身份证明文件副本（如驾照）、其他身份证明文件（如水电费账单）、银行账号、速汇金加值奖励号码、交易信息（如交易日期和金额），以及数量有限的消费者的刑事调查信息（如欺诈）。受影响信息的类型因受影响的个人而异。” 在外部网络安全专家的帮助下，该公司正在努力控制和修复此次攻击。该公司已经向执法部门通报了此次安全漏洞事件。 TechCrunch 报道称，速汇金表示其调查还处于 “早期阶段”，正在努力确定安全漏洞的程度。目前还不清楚有多少消费者受到了此次事件的影响。 目前，系统已经重新上线，公司也已恢复正常业务运营。 速汇金国际于 2023 年 6 月 1 日被私募股权公司 Madison Dearborn Partners 以每股 11.00 美元的价格收购，成为一家私有公司。到 2023 年初，该公司 50%的交易已实现数字化。该公司在 200 多个国家开展业务，为全球 1.5 亿客户提供服务，是汇款行业的重要参与者。 速汇金拥有大量敏感的客户数据，因此是网络犯罪分子的首要目标。     转自安全客，原文链接：https://www.anquanke.com/post/id/300713 封面来源于网络，如有侵权请联系删除

安全内参10月8日消息，美国水务公司（American Water Works）昨天（7日）发布声明，表示其供水和废水设施未受到上周开始的网络攻击影响。 该公司昨天向美国证券交易委员会（SEC）提交了相关文件，向公众通报此事件。公司管理层在其网站上警告，由于为遏制此次攻击采取了措施，客户目前无法访问用于管理个人账户和支付水费的门户网站。 根据公司网站上的公告，目前公司的MyWater账户系统已瘫痪，所有客户预约的服务将被重新安排。此外，所有账单处理已暂停，直至另行通知。但是，系统恢复上线之前，不会产生逾期费用或停止服务。 公司的呼叫中心也已无法正常运作。 美国水务公司是美国最大的受监管水务公共事业公司，总部位于新泽西州，为14个州及18个军事设施的约1400万人提供饮用水、废水处理及其他相关服务。公司在其受监管的业务中报告，2023年净收入达9.71亿美元。 疑似勒索软件攻击，OT系统未受影响 在向SEC提交的文件和网站公告中，该公司表示他们于上周四（10月3日）发现了此次攻击。 公司已通知执法部门，并聘请网络安全专家协助“遏制和缓解这一事件的影响”。 声明指出，公司已采取并将继续采取措施保护其系统和数据，包括断开或停用部分系统。 对于公司是否正在应对勒索软件攻击或是否收到了勒索要求，美国水务公司未回应相关评论请求。 SEC文件中写道，公司“目前认为其供水或废水设施及运营未受到此次事件的负面影响”。但他们也指出，尚无法“预测此次事件的全部影响”。 在其网站上，美国水务公司表示，他们正通过断开和停用部分系统来保护客户数据并防止进一步的损害。 截至昨天下午，尚无任何勒索软件团伙或黑客组织宣称对这次针对美国水务公司的攻击负责。 美国水务系统网络威胁形势严峻 美国环境保护署（EPA）和其他联邦监管机构多次尝试加强供水和废水行业的网络安全防护措施。然而，去年相关监管努力因游说反对而被搁置。去年11月，伊朗的国家级黑客攻击了数十家水务公司，再次引发人们对该领域安全问题的关注。 EPA在今年5月的报告中指出，最近的检查显示超过70%的水系统未完全遵守《饮用水安全法》，其中一些“存在关键的网络安全漏洞，例如未更新默认密码、使用容易被攻破的单一登录方式”。 两周前，美国顶级网络安全机构发出警告，指出他们仍在应对“互联网可访问的操作技术（OT）和工业控制系统（ICS）设备持续受到的活跃攻击，目标包括供水和废水系统（WWS）领域的设备”。 在此警告发布前，堪萨斯州的一家水务公司由于网络攻击不得不转为手动操作。 参考资料：https://therecord.media/american-water-works-cyberattack-utility     转自安全内参，原文链接：https://www.secrss.com/articles/70967 封面来源于网络，如有侵权请联系删除

美国汇款巨头速汇金（MoneyGram）日前确认，自9月20日（上周五）以来，该公司一直在处理系统故障和客户因服务缺失的投诉，是因为遭受了网络攻击。 尽管外界早有猜测认为速汇金遭遇了网络攻击，但直到9月23日早晨，该公司才正式证实，一次网络安全事件是这次系统故障的根本原因。 公告中指出：“速汇金近期发现了一个影响我们部分系统的网络安全问题。我们在发现问题后，立即展开调查，并采取了保护措施应对此次事件，其中包括主动下线部分系统，这对网络连接产生了影响。” 速汇金是一家美国的点对点支付与汇款公司，业务覆盖全球200个国家，拥有35万个实体网点。客户可以通过速汇金庞大的实体网络，或通过其移动应用和网站进行数字汇款。 作为仅次于西联（Western Union）的全球第二大汇款公司，速汇金每年为数千万用户处理超过1.2亿笔交易。 收汇款服务因网络攻击中断约5天 问题的最早迹象出现在9月20日，部分用户报告称无法通过速汇金服务收款或访问资金，同时公司的网站也无法正常访问。 速汇金官网目前仍处于中断状态 在客户无法转账或访问资金后，速汇金于9月21日表示，正在经历一次“网络故障”，该故障影响了系统的连接。 速汇金在X平台（即原推特）发布消息称，公司正遭遇一次“网络故障”，系统连接受到影响，但并未提供进一步的详细信息。 直到9月23日，速汇金才最终确认，网络安全事件是此次故障的原因，并向客户保证，公司正在与外部专家和执法机构紧密合作，积极应对此次事件。 速汇金在解释中表示：“我们深知此事件对我们的客户和合作伙伴的重要性与紧迫性。我们正全力恢复系统上线，并努力使业务回归正常运作。” 9月25日下午，公司在X平台上称，许多代理合作伙伴的汇款和收款服务已经恢复，待处理的交易正在陆续完成，公司将继续恢复剩余的其他服务，包括官方网站。 虽然速汇金尚未透露此次攻击的具体类型，但长时间的系统中断与连接故障，可能表明此次攻击涉及勒索软件。 鉴于速汇金拥有庞大的用户群体，潜在的数据泄露可能对许多人产生深远影响。     转自安全内参，原文链接：https://www.secrss.com/articles/70634 封面来源于网络，如有侵权请联系删除

俄罗斯反恶意软件公司 Doctor Web（Dr.Web 网络安全产品的开发商）周二表示，该公司最近遭遇了一次网络攻击。 该安全公司在其网站上发布的英文声明中表示，其检测到 9 月 14 日针对其资源的针对性攻击。 该公司表示：“对我们基础设施的破坏企图被及时阻止，受 Dr.Web 保护的用户系统没有受到影响。” 此次事件促使该公司切断了其网络中的所有资源，以检查是否存在被入侵的迹象。其 Dr.Web 病毒数据库也已暂时中止。 一篇用俄语写的帖子透露，该公司在发现入侵事件后一直密切关注攻击者的动向。在同一篇帖子中，该公司表示病毒数据库已恢复在线。 Doctor Web 尚未透露此次攻击背后的任何信息。网络安全公司可能成为任何类型的攻击者的目标，包括国家支持的团体、黑客活动分子和以营利为目的的网络犯罪分子。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TZdVxQeDNUn3fwIe6KH5wA 封面来源于网络，如有侵权请联系删除

CISA 已命令美国联邦机构确保其系统安全，防范最近修补的 Windows MSHTML 欺骗零日漏洞，该漏洞遭 Void Banshee APT 黑客组织利用。 该漏洞 ( CVE-2024-43461 ) 于9月的补丁日披露，微软最初将其归类为未被攻击利用。然而，微软于周五更新了公告，确认该漏洞在修复之前曾被攻击利用。 微软透露，攻击者在 2024 年 7 月之前利用了 CVE-2024-43461，作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。 “我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序，从而打破了这一攻击链。”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新，以全面保护自己。” 报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus告诉 BleepingComputer，Void Banshee 黑客在0day攻击中利用该漏洞安装了窃取信息恶意软件。 该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件，在未修补的 Windows 系统上执行任意代码。 ZDI 公告解释道：“特定漏洞存在于 Internet Explorer 在文件下载后提示用户的方式中。精心设计的文件名可能导致隐藏真实文件扩展名，从而误导用户认为该文件类型无害。攻击者可以利用此漏洞在当前用户的上下文中执行代码。” 他们利用 CVE-2024-43461 漏洞传播伪装成 PDF 文档的恶意 HTA 文件。为了隐藏 .hta 扩展名，他们使用了 26 个编码的盲文空白字符 (%E2%A0%80)。 伪装成 PDF 文档的 HTA 文件 正如 Check Point Research 和 Trend Micro 7 月份所披露的那样，这些攻击中部署的Atlantida 信息窃取恶意软件可以帮助从受感染的设备中窃取密码、身份验证 cookie 和加密货币钱包。 Void Banshee 是一个 APT 黑客组织，由趋势科技首次发现，其以北美、欧洲和东南亚的组织为目标，窃取经济利益和数据而闻名。 CISA命令联邦机构在10月7日前修复 CISA 已将MSHTML 欺骗漏洞添加到其已知被利用漏洞目录中，将其标记为主动利用漏洞，并命令联邦机构在 10 月 7 日之前修复漏洞以保护易受攻击的系统。 CISA表示：“这些漏洞是恶意攻击者频繁利用的媒介，对联邦机构构成重大风险。” 尽管 CISA 的 KEV 目录主要侧重于向联邦机构发出应尽快修补的安全漏洞警报，但也建议全球私人组织优先缓解此漏洞以阻止正在进行的攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞，这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。 其中一个漏洞被追踪为 CVE-2024-38812，是在 vCenter Server 中实施 DCERPC 协议时存在的堆溢出漏洞，CVSS 评分高达 9.8。根据 VMware 的公告，具有网络访问权限的攻击者对易受攻击的 vCenter Server可以通过发送特制网络数据包来触发此漏洞，从而导致远程代码执行。 另一个漏洞被追踪为CVE-2024-38813，属 vCenter Server 中的权限提升缺陷，CVSS 评分7.5，可能允许攻击者通过发送恶意网络数据包将权限升级到 root。 这两个漏洞都会影响 VMware vCenter Server 7.0 和 8.0 版本，以及 VMware Cloud Foundation 4.x 和 5.x 版本。 VMware 已发布修补程序来解决这些缺陷，并强烈建议客户尽快应用这些更新。对于 vCenter Server，用户应尽快升级到8.0 U3b 或 7.0 U3s 版本，Cloud Foundation 客户应应用 KB88287 中引用的异步修补程序。 该公司表示，到目前为止还没有发现任何对这些漏洞的野外利用。但是，鉴于 vCenter Server 在管理虚拟化环境方面的关键性质，这些缺陷可能成为攻击者的诱人目标。 据悉，这两个漏洞由参加中国2024“矩阵杯”网络安全大赛的TZL研究人员发现，并在事后向 VMware 进行了报告。 今年6月，VMware 曾修复了一个类似的 vCenter Server 远程代码执行漏洞 （CVE-2024-37079），该漏洞可通过特制数据包进行攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/411162.html 封面来源于网络，如有侵权请联系删除

Ivanti 周五证实，其云服务设备 (CSA) 解决方案中存在一个高危漏洞，目前正遭到攻击利用。 Ivanti 在 8 月份的公告更新中表示：“截至 9 月 10 日披露时，我们尚未发现有任何客户受到此漏洞的利用。至 9 月 13 日更新时，已确认少数客户受到此漏洞的利用。” “Ivanti 建议采用 ETH-0 作为内部网络的双宿主 CSA 配置，可显著降低漏洞利用风险。” Ivanti 建议管理员检查任何新的或修改的管理用户的配置设置和访问权限，以检测漏洞利用尝试。虽然并不总是一致的，但有些漏洞可能记录在本地系统的代理日志中。还建议检查来自 EDR 或其他安全软件的任何警报。 该安全漏洞 (CVE-2024-8190) 允许具有管理权限的经过远程身份验证的攻击者通过命令注入在运行 Ivanti CSA 4.6 的易受攻击的设备上进行远程代码执行。 Ivanti 建议客户从 CSA 4.6.x（已达到使用寿命终止状态）升级到 CSA 5.0（仍在支持中）。 “CSA 4.6 Patch 518 客户也可以更新到 Patch 519。但由于该产品已进入生命周期结束阶段，首选途径是升级到 CSA 5.0。已经使用 CSA 5.0 的客户无需采取任何进一步的行动，”该公司补充道。 Ivanti CSA 是一款安全产品，它充当网关，为外部用户提供对企业内部资源的安全访问。 CISA要求联邦机构须在 10 月 4 日前完成修补 周五，CISA 还将CVE-2024-8190 Ivanti CSA 漏洞添加到其已知被利用漏洞目录中。根据《约束性行动指令》(BOD) 22-01 的规定，联邦民事行政部门 (FCEB) 机构必须在 10 月 4 日之前的三周内保护易受攻击的设备。 CISA警告称：“这些类型的漏洞是恶意网络行为者频繁使用的攻击媒介，对联邦企业构成重大风险。” 本周二，Ivanti 修复了其端点管理软件 (EPM) 中一个最高严重性漏洞，该漏洞允许未经身份验证的攻击者在核心服务器上执行远程代码。 同一天，它还修补了 Ivanti EPM、工作区控制 (IWC)和云服务设备 (CSA)中的近二十几个其他高危和严重漏洞。 Ivanti表示，近几个月来，该公司已经提升了内部扫描和测试能力，同时还致力于改进其负责任的披露流程，以更快地解决潜在的安全问题。 Ivanti 表示：“这导致发现和披露数量激增，我们同意 CISA 的声明，即负责任地发现和披露 CVE 是‘健康代码分析和测试社区的标志’。” Ivanti 在全球拥有超过 7,000 个合作伙伴，超过 40,000 家公司使用其产品来管理他们的系统和 IT 资产。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除