物理安全公司ADT近日披露了一起数据泄露事件，确认黑客非法获取并泄露了超过30000名客户的信息。 “ADT Inc.（以下简称“ADT”或“公司”）最近经历了一起网络安全事件，未经授权的黑客非法访问了包含 ADT 客户订单信息的数据库。”提交给 SEC 的 8-K 表格写道。“公司发现这一事件后迅速采取措施，终止了未经授权的访问，并与顶级网络安全专家合作进行调查。尽管如此，黑客仍窃取了包括电子邮件地址、电话号码和邮政地址在内的有限客户信息。” 黑客声称此次数据泄露涉及超过 30812 条记录，其中包括 30400 封电子邮件。泄露的数据还包括客户的电子邮件、完整地址、用户ID及购买产品等信息。 ADT 的调查表明，客户的家庭安全系统并未受到损害，且没有证据显示财务信息（如信用卡或银行信息）被窃取。公司认为此次事件仅影响了一小部分客户，并已通知相关客户。ADT预计此次事件不会对其运营或财务状况产生重大影响，目前调查仍在继续。 “根据目前的调查结果，公司认为此次事件未对客户的家庭安全系统造成损害。此外，公司没有理由相信攻击者获取了其他个人敏感信息，如信用卡数据或银行信息。”8-K表格进一步说明：“公司正在继续对该网络安全事件进行调查，并已通知可能受影响的客户，这些客户仅占公司整体用户群的一小部分。” ADT 是一家警报和物理安全系统提供商，在美国 150 多个地区拥有 13000 多名专业人员。该公司拥有超过 600 万客户，在遭受网络攻击后披露了这一数据泄露事件。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

去中心化金融生态系统再次遭受了重大的安全漏洞。区块链基础设施协议Nexera遭遇一个重大漏洞，导致价值约180万美元的数字资产被盗。 加密安全公司Cyvers在8月7日详细描述了这次攻击。攻击者通过一个复杂的策略，控制了Nexera的代理合同（proxy contract）。 在去中心化金融（DeFi）协议中，代理合同通常是一个关键的控制点，它允许用户通过智能合约与DeFi平台进行交互。 攻击者利用控制的代理合同，执行了“withdraw admin”（撤回管理员）功能，窃取了平台的全部NXRA币（3250万NXRA币）。 “我们的系统检测到一笔涉及您的代理合同的可疑交易。Cyvers在X（Twitter）上的一篇文章中解释说：“一个地址拥有了你的代理合约并对其进行了升级。不久之后，该地址使用了撤回管理功能来转移所有的$NXRA币。” 事件发生后，Nexera迅速做出反应，暂停了NXRA币合约，并停止了去中心化交易所的交易。Kucoin和MEXC交易所已经暂停交易活动。 尽管采取的措施对于防止进一步的损失至关重要，但平台在重建信任和追回被盗资金方面面临着巨大的挑战。 此前Ronin Network案例中，一个被认为是”白帽黑客”（即那些发现并报告安全漏洞的黑客，通常不会利用这些漏洞进行恶意行为）的人盗取了价值980万美元的以太币，但很快就归还了这些资金。 与Ronin Network情况不同，Nexera事件表现出了明显的恶意意图。 盗窃发生后，黑客立即启动了一个流程来清洗被盗的NXRA币。通过将被盗资金转换为以太坊（ETH）并可能利用加密货币混合器，掩盖被盗资金的来源，使当局和网络安全公司追踪和恢复资产变得更具挑战性。 这次攻击在加密货币社区中引起了巨大的震动。 在攻击之后，NXRA币的价值暴跌了40%。区块链侦探ZachXBT已经将攻击者与一系列先前的私钥泄露事件联系起来，涉及SpaceCatch、Concentric Finance、OKX DEX、Serenity Shield和Reach等事件。 攻击者目前持有大量的3250万NXRA币，这些代币的价值大约为123万美元，以及价值55.5万美元的USDT稳定币（USDT是一种与美元价值挂钩的稳定币，通常用于加密货币交易和存储价值）。   转自E安全，原文链接：https://mp.weixin.qq.com/s/mPRWBSYPfew2UOVfwMZyEw 封面来源于网络，如有侵权请联系删除

美国国务院周三宣布，将悬赏高达 1000 万美元，征集几名被控入侵工业控制系统 (ICS) 的伊朗公民的个人信息。 通缉名单包括：哈米德·霍马云法尔 (Hamid Homayunfal)、哈米德·礼萨·拉什加里安 (Hamid Reza Lashgarian)、马赫迪·拉什加里安 (Mahdi Lashgarian)、米拉德·曼苏里 (Milad Mansuri)、穆罕默德·巴盖尔·希林卡 (Mohammad Bagher Shirinkar) 和礼萨·穆罕默德·阿明·萨贝里安 (Reza Mohammad Amin Saberian)，他们与伊朗伊斯兰革命卫队 (IRGC)，特别是网络电子指挥部有联系。 据信，这些人是名为 Cyber Av3ngers 的黑客组织的幕后黑手，该组织于 2023 年秋季针对宾夕法尼亚州阿利奎帕市水务局的 Unitronics Vision 可编程逻辑控制器 (PLC) 发起攻击。还针对美国其他水务公司的 ICS发起攻击。 目标 PLC 暴露在互联网上，仅受弱默认密码的保护。 CyberAv3ngers 自称是一个黑客组织，但美国认为这是伊朗政府用来进行恶意网络活动的身份。 此前，美国政府宣布悬赏1000 万美元缉拿“网络复仇者”组织成员。悬赏 1000 万美元，征集有关Alphv/BlackCat 勒索软件运营商及其附属机构以及朝鲜黑客组织 APT45成员的信息。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5XwhSGjDOHLjBn_Mkp8TeQ 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）已经结束了对 Progress 软件公司处理 MOVEit Transfer 的0day漏洞被广泛利用、导致 9500 多万人数据泄露事件的调查。 Progress Software 在提交给美国证券交易委员会的最新 FORM 8-K 文件中表示，美国证券交易委员会执法部将不建议对这起安全事件采取任何执法行动。 美国证券交易委员会周四晚间提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” “如前所述，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞有关的各种文件和信息。” 美国证券交易委员会（SEC）正在对 Progress Software 公司在应对通过 MOVEit Transfer 软件存在的0day漏洞引发的大规模数据盗窃攻击过程中所采取的措施进行调查。 据BleepingComputer首次报道，在 2023 年烈士纪念日假期期间，Clop 勒索软件团伙利用0day漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的Emsisoft称，超过 2,770 家公司和 9500 万人的数据通过0day漏洞被窃取。 由于攻击影响广泛，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金，攻击对象包括政府机构、金融公司、医疗保健机构、航空公司和教育机构。 尽管美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然面临马萨诸塞州联邦法院的数百起集体诉讼 。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在拉斯维加斯举行的黑帽大会（BLACK HAT USA 2024）上，来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞细节。 RISC-V是一种开源指令集架构 (ISA)，旨在为各种类型的应用开发定制处理器，包括嵌入式系统、微控制器、数据中心和高性能计算机。 CISPA 研究人员发现中国芯片公司 T-Head （阿里巴巴旗下的平头哥半导体）生产的玄铁 C910 CPU 中存在漏洞。据专家介绍，玄铁 C910 是速度最快的 RISC-V CPU 之一。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存，从而可能使他们获得对目标设备的完全和不受限制的访问权限。 虽然 GhostWrite 漏洞特定于玄铁 C910 CPU，但已确认多种类型的系统受到影响，包括云服务器中的 PC、笔记本电脑、容器和虚拟机。 研究人员列出的易受攻击的设备列表包括 Scaleway Elastic Metal RV 裸机云实例；Sipeed Lichee Pi 4A、Milk-V Meles 和 BeagleV-Ahead 单板计算机 (SBC)；以及一些 Lichee 计算集群、笔记本电脑和游戏机。 “要利用此漏洞，攻击者需要在易受攻击的 CPU 上执行非特权代码。这对多用户和云系统构成威胁，或者在执行不受信任的代码时，甚至在容器或虚拟机中也是如此。”研究人员解释道。 为了展示他们的研究结果，研究人员展示了攻击者如何利用 GhostWrite 获取 root 权限或从内存中获取管理员密码。 与之前披露的许多CPU 攻击不同，GhostWrite 不是侧信道攻击，也不是瞬时执行攻击，而是一个架构错误。 研究人员向 T-Head 报告了他们的发现，但目前尚不清楚该供应商是否采取了任何行动。SecurityWeek在本文发表前几天联系了 T-Head 的母公司阿里巴巴征求意见，但尚未得到回复。 云计算和网络托管公司 Scaleway 也已收到通知，研究人员表示该公司正在向客户提供缓解措施。 值得注意的是，该漏洞是一个硬件错误，无法通过软件更新或补丁修复。禁用 CPU 中的矢量扩展可以减轻攻击，但也会影响性能。 研究人员告诉SecurityWeek，尚未为 GhostWrite 漏洞分配 CVE 标识符。 虽然没有迹象表明该漏洞已被利用，但 CISPA 研究人员指出，目前还没有特定的工具或方法来检测攻击。 研究人员发表的论文中提供了更多技术信息。他们还发布了一个名为 RISCVuzz 的开源框架，用于发现 GhostWrite 和其他 RISC-V CPU 漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aO8kr865bmh1VSlC4fIPPQ 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）和美国网络安全和基础设施安全局（CISA）发布的联合公告证实“Royal 勒索软件已更名为 BlackSuit，自两年多前出现以来，已向受害者索要超过 5 亿美元的赎金。” BlackSuit 团被认为是臭名昭著的 Conti 网络犯罪集团的直接继承者，于 2022 年 1 月以 Quantum 勒索软件的形式开始活动，自 2022 年 9 月以来一直活跃。 最初为了避免引起不必要的注意，Quantum使用了其他组织的加密器（如 ALPHV/BlackCat），但不久之后他们就部署了自己的Zeon 加密器，并于 2022 年 9 月更名为 Royal。 2023 年 6 月，在袭击德克萨斯州达拉斯市后，Royal 勒索软件行动开始测试一种名为 BlackSuit 的新加密器。从那时起，他们一直以 BlackSuit 的名义运作，Royal 勒索软件攻击已完全停止。 “BlackSuit 勒索软件是之前被确认为 Royal 勒索软件的演变，在编码上有许多相似之处，并且表现出了更强大的功能。该勒索软件的使用时间约为 2022 年 9 月至 2023 年 6 月。”FBI和CISA在周三对原始公告的更新中证实，“赎金要求通常在 100 万美元到 1000 万美元之间，要求以比特币支付。BlackSuit 总共索要 5 亿多美元的赎金，最大的个人赎金为 6000 万美元。” 2023 年 3 月以及随后的 2023 年 11 月的咨询更新中，这两个机构分享了攻击指标以及一系列策略、技术和程序 (TTP)，以帮助防御者阻止该团伙在其网络上部署勒索软件。 FBI 和 CISA 还指出，自 2022 年 9 月以来，BlackSuit 对 350 多个组织发起了攻击，并索要了至少 2.75 亿美元的赎金。 美国卫生与公众服务部 (HHS) 安全团队于 2022 年 12 月披露该勒索软件主要针对美国各地的医疗保健行业，组织了多起攻击事件，随后FBI 和 CISA联合发布相关公告。 最近，多个消息来源告诉 BleepingComputer，BlackSuit 勒索软件是大规模 CDK Global IT 中断的幕后黑手，此次中断扰乱了北美超过 15,000 家汽车经销店的运营，迫使CDK 关闭其 IT 系统和数据中心以控制事件，汽车经销商也不得不改用纸笔，导致买家无法购买汽车或接受已购车辆的服务。 参考链接：CDK Global 遭遇攻击导致系统中断，影响数千家美国汽车经销商   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

勒索软件攻击袭击了法国国家博物馆联盟网络，包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。该网络中的一些场馆正在举办夏季奥运会的比赛。 此次攻击于周日被发现，影响了法国约 40 家博物馆使用的数据系统。 巴黎当局周二表示，尽管发生了网络攻击事件，但奥运会赛事并未受到影响。 大皇宫举办击剑和跆拳道比赛，而同样属于 RMN 网络的凡尔赛宫则是马术运动和现代五项的场地。 巴黎检察院已指派打击网络犯罪大队下属部门开展调查，以确定攻击的规模和实施者。目前正在努力保护和恢复受影响的系统，初步调查尚未发现任何受感染系统数据泄露的迹象。 据报道，此次事件背后的未具名黑客组织已要求以加密货币支付赎金，并威胁称，如果不支付赎金，他们将在 48 小时内公布加密数据。 卢浮宫馆长马蒂亚斯·格罗利尔 (Matthias Grolier) 在 X 上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体Sud Ouest报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以防止攻击蔓延，导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营。 上周，即将辞职的法国总理加布里埃尔·阿塔尔表示，该国安全部门在奥运会前几天挫败了 68 起网络攻击，其中两起针对奥运场馆。 法国安全机构  ANSSI 表示，所报告的大多数攻击都是低强度的，例如分布式拒绝服务 (DDoS) 攻击，并且没有网络事件影响开幕式或比赛的首项赛事。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z3V8OSuAeGQy-qmp5voBTw 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员发现了一种之前从未见过的间谍软件，这种被称为 LianSpy 的恶意软件至少自 2021 年以来就一直活跃，但由于其“复杂的规避技术”，直到今年春天才被发现和分析。该软件针对俄罗斯的 Android 用户，并且可能会部署到其他地区。 卡巴斯基称，他们在俄罗斯发现了 10 个间谍软件目标，但拒绝透露受害者是谁。研究人员表示，这不是大规模间谍活动，而是间谍软件操作员感染了特定目标。 该工具的开发者和购买者目前仍不得而知。卡巴斯基称，攻击者只使用公共服务（例如俄罗斯 Yandex Disk 云服务）而不是私人基础设施来窃取被盗数据和存储配置命令，因此很难“确定哪个黑客组织是这些攻击的幕后黑手”。 研究人员在周一发布的报告中表示：“LianSpy 背后的黑客采用了多种规避策略，例如利用俄罗斯云服务 Yandex Disk 进行 C2 通信。他们避免使用专用基础设施，并使用许多其他功能来防止间谍软件被发现。其中一些功能表明 LianSpy 很可能是通过未知漏洞或直接物理访问目标手机来部署的。” LianSpy 的功能 LianSpy 会伪装成系统应用程序或金融服务，例如支付宝数字支付应用程序。 如果间谍软件作为系统应用程序运行，它会自动获得进一步利用所需的权限；否则，它会请求屏幕覆盖、通知、后台活动、联系人和通话记录的权限。 一旦激活，该间谍软件会将其图标隐藏在主屏幕上，并使用管理员权限在后台运行。该间谍软件通过拦截通话记录、向攻击者的服务器发送已安装应用程序列表以及记录智能手机屏幕（主要是在 Messenger 活动期间）来悄无声息地秘密监视用户活动。 卡巴斯基表示，LianSpy 是一种后利用恶意软件，这意味着攻击者要么利用 Android 设备中未知的漏洞，要么通过获取受害者智能手机的物理访问权限来修改固件。 目前尚不清楚黑客如何使用他们获得的数据，但他们确保将这些数据安全地存储在他们的服务器上。为此，他们使用了一种加密方案，只有攻击者才能解密被盗信息。 由于用于过滤通知的关键短语部分为俄语，并且 LianSpy 的一些默认配置包括俄罗斯流行的消息应用程序的软件包名称，因此研究人员将这款间谍软件引向了俄罗斯。然而，“这款间谍软件采用的非常规方法也可能适用于其他地区。” 去年 6 月，卡巴斯基发现了另一起间谍活动，名为“三角测量行动”，该活动利用了 Apple 设备中的两个漏洞。该活动自 2019 年以来一直活跃，通过发送带有恶意附件的 iMessage 来攻击目标。 俄罗斯政府将“三角测量行动”行动归咎于美国，声称美国入侵了“数千部苹果手机”，以监视俄罗斯外交官。苹果否认了这些说法，卡巴斯基也没有将“三角测量行动”归咎于任何政府或已知的黑客组织。 卡巴斯基首席执行官尤金·卡巴斯基将之前的攻击活动描述为“一次极其复杂、专业针对性的网络攻击”，影响了“公司高层和中层管理人员等数十名员工的 iPhone”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/au1SPmbe1WU7_rfWxWzTmA 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现了一次大规模的数据泄漏事件，共涉及到大约 900 家公司和组织，其中包括戴尔、Verizon、AT&T、能源部、康卡斯特和大通银行等。 今年 3 月 25 日，Cybernews 研究小组发现了一个可公开访问的网络目录，该目录属于马里兰州的 Simpli 公司（前身为 Charm City Concierge）。 该公司的应用程序允许租用办公空间的公司的员工查看位于同一栋大楼内的商店。它列出了可用的便利设施、工作场所福利和折扣，并使用户能够订购各种服务和产品。 这个开放的网络目录存储了 2024 年 1 月对公司网站和 Simpli 应用程序数据库的备份数据。据悉，此次泄露的应用程序的备份暴露了 10000 名员工的电子邮件地址和来自大约 900 家公司的哈希密码。 包含网站和数据库备份的网络目录被曝光 受影响的公司包括： Capital One 海军分析中心 美国律师协会 微策略 剑桥联营公司 戴尔 威瑞森 康卡斯特 西部交通 WeWork 信托银行 美国电话电报公司 国家残疾人委员会 能源部 大通银行 带备注的订单信息 由于大多数员工都使用公司电子邮件地址注册了 Simpli 服务，因此这构成了重大风险。威胁攻击者有可能通过使用凭据填充攻击，将目标锁定在员工可以访问的更敏感的公司系统上。 Cybernews 的信息安全研究员 Aras Nazarovas 说：虽然员工凭证是以相对安全的格式存储的，但密码仍有可能被破解，尤其是弱密码。如果员工在多个账户中使用相同的密码，被破解的密码就可以用来登录其他更敏感、与工作相关的终端。 建筑物及其租户清单 此次泄露的数据库还曝光了通过该应用程序发出的指令，其中一些指令包含可能涉及敏感业务信息的备注。这些笔记包括来自不同公司的个人之间的会议细节和会议目的。 在开放目录中发现的文件表明，这些信息可能是在该公司将其系统从 Drupal 7 迁移到 Drupal 9 时泄露的。目前 Simpli 公司暂未对此做出回应。 用户凭证 供应链攻击风险 此类泄密事件凸显了使用第三方服务的固有风险，这些服务可能会带来供应链攻击的风险。在这种网络攻击中，威胁者往往会寻找供应网络中的薄弱环节，而不是直接针对一家公司。 攻击者攻破一个供应商，就有可能影响到使用该供应商产品或服务的公司。从第三方供应商处提取的凭据对于已经瞄准一家公司的恶意行为者来说可能非常有用。 零售商 Target 就曾遭受过此类攻击。2013 年，恶意行为者入侵了 Target 的制冷、供暖和空调分包商 Fazio Mechanical，并将恶意软件传播到 Target 的大部分销售点设备。据报道，恶意软件当时共收集到了大约 4000 万张借记卡和信用卡的财务信息。 因此，提供第三方服务的公司和组织应该对网络安全问题格外保持警惕，因为这些公司极有可能会成为攻击者的目标。   转自Freebuf，原文链接：https://www.freebuf.com/news/407784.html 封面来源于网络，如有侵权请联系删除

网络安全公司eSentire 和 Proofpoint 发现，滥用 Clouflare 的 TryCloudflare 免费服务进行恶意软件传播的情况有所增加，涉及多个恶意软件系列。 该攻击方式需要使用 TryCloudflare 创建一个速率限制隧道，该隧道充当管道，通过 Cloudflare 的基础设施将流量从攻击者控制的服务器中继到本地机器。 据观察，利用这种技术的攻击链可传播一系列恶意软件，如 AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT 和 XWorm。 攻击的最初载体是一封包含 ZIP 压缩文件的网络钓鱼电子邮件，该压缩文件包含一个 URL 快捷方式文件，可将收件人引向一个的WebDAV 服务器上的 Windows 快捷方式文件，该服务器由 TryCloudflare 托管代理。快捷方式文件会执行下一阶段的批处理脚本，这些脚本负责检索和执行额外的 Python 有效载荷，同时显示托管在同一 WebDAV 服务器上的诱饵 PDF 文档。 eSentire 指出，这些脚本执行的操作包括启动诱饵 PDF、下载额外的恶意有效载荷以及更改文件属性以避免被检测。 据 Proofpoint 称，这些网络钓鱼邮件以英语、法语、西班牙语和德语编写，电子邮件数量从数百到数万不等，目标是世界各地的组织机构。 这些邮件主题涵盖了发票、文件请求、包裹递送和税收等。 虽然该活动被归因于一个相关活动集群，但并未与特定的攻击者或团体联系起来。据电子邮件安全厂商评估，该活动是出于经济动机。 去年，Sysdig首次记录了利用TryCloudflare进行恶意攻击的情况，一个被称为LABRAT的加密劫持和代理劫持活动通过GitLab中一个现已打补丁的关键漏洞，利用Cloudflare隧道渗透目标并掩盖其命令与控制（C2）服务器。 此外，由于使用WebDAV和服务器消息块（SMB）进行有效载荷的部署，企业必须将外部文件共享服务的访问权限限制在已知的、允许列表的服务器上。“使用Cloudflare隧道为攻击者提供了一种使用临时基础设施来扩展其攻击的方法，并为及时构建和关闭攻击提供了灵活性，”Proofpoint研究人员Joe Wise和Selena Larson表示。 临时 Cloudflare 实例允许攻击者以一种低成本的方法使用辅助脚本进行攻击，同时限制了检测和删除工作的风险。因为攻击者利用其服务来掩盖恶意行为并通过所谓的“依赖信任的服务”（LoTS） 来增强其运营安全性，Spamhaus 项目呼吁 Cloudflare 审查其反滥用政策。   转自Freebuf，原文链接：https://www.freebuf.com/news/407793.html 封面来源于网络，如有侵权请联系删除