从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。 全球大规模系统崩溃的灾难性事件尚未完全平息，CrowdStrike近日再爆大雷。 知名黑客USDoD近日宣称窃取了CrowdStrike全部攻击指标（IoC）数据，共约2.5亿条，并在Breach Forums上发布了其中10万条IoC数据作为样本，该事件立即引发了安全业界广泛关注。 研究者发现，这些IoC指标样本含详细的威胁情报信息，其中包括Mispadu恶意软件和SAMBASPIDER威胁行为者的关键细节。 具体泄漏了哪些信息？ USDoD，曾因入侵FBI的InfraGard安全平台而闻名，宣称此次在Breach Forums上发布的只是他掌握的CrowdStrike IoC数据的冰山一角。首批泄漏数据为一个大小为53MB的CSV文件，包含了10.3万行IoC指标信息。Hackread研究团队分析泄漏样本后发现，其中包含与Mispadu恶意软件相关的多个IoC指标的详细信息。这些指标包括多种哈希值（如MD5、SHA-1和SHA-256），用于识别特定的恶意文件。所有数据均与SAMBASPIDER威胁行为者相关，涉及网络攻击的“投放”和“安装”阶段，具体如下： 哈希和恶意软件信息：CSV文件包含各种哈希类型，例如MD5、SHA-1和SHA-256，用于识别与Mispadu恶意软件相关的特定恶意文件。 威胁行为者：泄露的样本数据中的所有条目似乎都与威胁行为者SAMBASPIDER有关。 杀伤链阶段：数据突出显示了网络杀伤链的“交付”和“安装”阶段，提供了对恶意软件在目标系统上交付和安装的阶段的深入了解。 置信度级别：每个条目都标有高置信度级别，表明威胁情报的可靠性。 威胁类型：威胁分为多种类型，包括银行威胁、犯罪威胁和模块化威胁，突显了Mispadu 恶意软件的多面性。 MITRE ATT＆CK技术：泄漏的IoC指标映射到几种MITRE ATT＆CK技术，例如： 执行/用户执行 发现/系统检查 凭证访问/输入捕获 凭证访问/凭证转储 命令与控制/数据混淆 防御规避/混淆的文件或信息 研究者发现，每个IoC指标都标记为高置信度，表明这些威胁情报的可靠性。威胁类型包括银行、犯罪和模块化等多种类别，展示了Mispadu恶意软件的多面性。 针对USDoD的泄漏声明，CrowdStrike采取了谨慎的回应态度，并未完全否认黑客的说法。该公司分析了部分泄漏数据样本，根据其中“LastActive”日期大致判断数据泄漏可能发生在2024年7月。CrowdStrike认为，USDoD有夸大其词的历史，建议公众对其声明保持怀疑态度。 IoC指标泄漏的五大危害 此次大规模IoC数据泄漏可能对CrowdStrike的用户造成严重而深远的不利影响。GoUpSec分析师FunnyG表示，IoC指标信息可能被攻击者利用以规避检测，改进攻击工具和方法，暴露客户安全防御弱点等，具体如下： 1 攻击者规避检测 泄漏的IoC数据包含了CrowdStrike用于检测恶意活动的具体指标，如恶意文件的哈希值、恶意IP地址等。这些数据一旦被攻击者获取，他们可以修改或规避这些已知的特征，以逃避安全检测。例如，攻击者可以改变恶意软件的哈希值或使用不同的IP地址，从而避开安全系统的侦测和拦截。 2 增加客户的安全风险 客户依赖于CrowdStrike提供的威胁情报来保护其网络安全。泄漏的IoC数据可能包含尚未公开的威胁信息，这些信息对保护客户系统至关重要。如果这些数据被广泛传播，攻击者可能更容易找到和利用客户系统的漏洞，导致潜在的安全事件增加。对于使用这些威胁情报保护网络的企业，可能需要重新评估其安全策略并更新防御措施。 3 信息误用和安全情报滥用 IoC指标数据通常包含与恶意软件和威胁行为者相关的详细信息，这些信息对于安全研究人员和企业至关重要。然而，一旦这些数据泄漏，恶意行为者也可以使用这些信息来研究和改进其攻击手段。特别是涉及Mispadu恶意软件和SAMBASPIDER威胁行为者的详细情报，可能帮助攻击者更好地理解安全系统的检测机制，从而进一步精细化其攻击策略。 4 信任危机和声誉损害 此次泄漏事件可能导致客户对CrowdStrike的信任危机。客户依赖于CrowdStrike提供安全保护，而此次事件显示了其在数据安全管理方面的不足。长远来看，这可能影响客户对CrowdStrike服务的信任度，进而影响公司的市场声誉和客户保留率。 5 法律和合规风险 如果泄漏的IoC数据中包含敏感的客户信息或违反了数据保护法规，CrowdStrike可能面临法律和合规风险。公司可能需要面对监管调查和潜在的法律诉讼，这不仅会导致财务损失，还可能影响公司在行业中的地位。  CrowdStrike经历了公司历史上最黑暗的七 值得注意的是，这些泄漏的IoC指标对于（其他厂商的）网络安全研究人员和专家也可以利用这些数据，加强对抗Mispadu恶意软件和SAMBASPIDER的安全机制。 CrowdStrike的黑色七月 月。IoC指标大规模泄漏之际，CrowdStrike正忙于响应不久前导致全球系统崩溃的灾难性事件。后者不仅导致大量Windows设备崩溃，还引发了假冒补丁的恶意软件传播，进一步感染了更多设备。这一连串的安全问题，无疑给CrowdStrike带来了巨大压力。 从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。因为IoC指标的泄漏不仅增加了CrowdStrike客户面临的直接安全威胁，还可能导致更广泛的安全情报滥用、信任危机以及法律和合规风险。 当前，CrowdStrike尚未对最新的泄漏事件发布新的声明，业界正在密切关注此事件的发展及其对网络安全领域的潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6D8YauVU3_8JEzEsUvCX2A 封面来源于网络，如有侵权请联系删除

近日，CrowdStrike最新报告显示约3%的设备错过“抢救时机”，至今未能从此前的CrowdStrike软件更新引发的全球性系统崩溃事件中恢复。 尽管大部分受影响的系统已经恢复正常运行，但CrowdStrike大规模系统崩溃事件给全球经济和网络安全行业带来的损失和深远影响远超业界预期。此次事件不仅导致了全球范围内的业务中断，还对企业的运营和经济造成了深远影响。本文将从以下五个方面详细评估这次事件的影响及其后续发展。 3%的系统设备至今回天乏术，损失高达54亿美元 在此次由CrowdStrike软件更新引发的全球性系统崩溃事件中，微软统计显示约有850万台Windows设备受到影响。虽然CrowdStrike首席执行官George Kurtz表示，97%的受影响设备已经恢复正常，但仍有约25万台系统设备（约3%）至今未能恢复。从事件响应周期和成本来看，这些设备可能已经错过了最佳“抢救时机”，失去了恢复的可能或价值。 此次蓝屏事件对全球经济和各行业造成了巨大的显性和隐性损失。根据Parametrix Insurance的估计，此次事件给财富500强公司带来的损失约为54亿美元。这一损失不仅包括因系统崩溃导致的直接经济损失，还包括航班取消、紧急响应系统瘫痪等引发的连锁反应。 最危险的黑客：CrowdStrike Crowdstrike首席执行官在X上矢口否认CrowdStrike更新导致全球大规模系统崩溃是安全事件，结果遭到大批安全专业人士在跟帖中群起围攻，称该事件比任何网络攻击都更可怕。此次事件暴露了网络安全公司自身也是一种安全威胁。在微软蓝屏事件之前，美国政府刚刚封杀了卡巴斯基，“罪名”是对美国国家安全构成威胁，但颇具讽刺意味的是，Crowdstrike导致的微软蓝屏事件，其杀伤力和爆炸半径远超任何一次网络攻击，同时也表明美国政府认为卡巴斯基对国家安全构成威胁，绝非危言耸听。 CrowdStrike作为全球知名的网络安全公司，其产品在众多企业和政府机构中得到广泛应用。然而，正是这种高度的市场集中，使得任何一次失误都可能引发全球性的连锁反应。 微软可能改变内核访问政策 当安全软件在内核模式而非用户模式下运行时，可以完全访问系统的硬件和软件，使其加强大和灵活，但这也意味着像CrowdStrike的错误更新可能会导致更多问题。CrowdStrike的Falcon传感器软件由于运行在内核模式下，对系统硬件和软件具有完全访问权限，这使得其更新问题带来的影响尤为严重。相比之下，macOS最近版本已经弃用第三方内核扩展，避免了类似问题。微软过去曾尝试限制第三方安全公司访问Windows内核，但遭遇了欧盟委员会的强烈反对。 微软副总裁约翰·凯布尔(John Cable)在一篇博文中表示，微软已经“聘请了超过5000名支持工程师，每周7天、每天24小时不间断工作”，以帮助清理CrowdStrike更新所造成的混乱，并暗示Windows的更改可能会有所帮助，前提是不违反监管机构的规定。 CISO对网络安全巨头失去信任 此次事件不仅暴露了系统的技术漏洞，也引发了首席信息安全官（CISO）对网络安全供应商的信任危机。许多CISO表示，此次事件后，他们对现有单一网络安全解决方案/平台的可靠性产生了严重怀疑。这种信任危机可能促使企业重新评估其网络安全策略，并更加谨慎地选择合作伙伴。事件发生后，一些CISO甚至公开表示，他们将考虑减少对单一供应商的依赖，转而采用多重防御策略，分散采购安全工具，以降低未来类似事件对企业运营的影响。 CrowdStrike的救赎——一张“假”打车券 CrowdStrike在事件响应和恢复过程中犯下了诸多错误。首席执行官George Kurtz一开始否认这是网络安全事件，矢口否认自己有任何“不负责任的行为，试图用外交辞令淡化事件，引发了公众的不满。CrowdStrike居然将责任归咎于“意外/失误”而非“错误/缺陷”，这种低劣的诡辩，导致CrowdStrike的“品设”彻底塌方。 CrowdStrike令人吃惊的不仅仅是“无出其左”的公关能力，营销部门的表现同样“炸裂”。事件发生后，CrowdStrike向部分损失惨重的客户和合作伙伴提供的补偿居然是价值10美元的UberEats促销码，而且，据一位CrowdStrike销售代表透露，该优惠码一度被Uber判定为欺诈行为而无法使用。最终，CrowdStrike的一系列技术和非技术性的应对措施，不仅未能有效缓解事件带来的负面影响，反而进一步损害了自身和整个网络安全行业的声誉。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ytVC-IeOYpDou1o2LmfCrg 封面来源于网络，如有侵权请联系删除

近日，乌克兰和俄罗斯之间的网络战大幅升级，乌克兰网络特工针对俄罗斯顶级银行的自动取款机服务发起了大规模网络攻击。此次攻击始于 7 月 23 日上午，严重扰乱了俄罗斯各地的银行业务，导致客户无法提取现金和使用其他金融服务。 7 月 27 日（星期六），网络攻击持续的第五天，俄罗斯几家主要银行的自动取款机服务均已无法使用。客户在尝试使用自动取款机时发现他们的借记卡和信用卡已经被冻结，切断了他们的资金通道。 乌克兰情报部门的一位消息人士在给《基辅邮报》的书面评论中证实了这些细节，称这次攻击 “势头正猛”，是俄罗斯和乌克兰持续冲突中更广泛的网络行动的一部分。 俄罗斯银行遭受网络攻击的范围 网络攻击导致的业务中断致使多家俄罗斯名银行受到影响，其中包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank 等，客户在使用上述这些银行的自动取款机时均发现了借记卡和信用卡被阻止的情况。此次针对俄罗斯银行的网络攻击还影响了其银行的支付系统和移动应用程序，导致个人银行服务大面积中断，公共交通支付受阻。 一名乌克兰情报人员强调了针对俄罗斯银行的网络攻击的战略意义，指出其目的是破坏俄罗斯的银行业，而银行业在为俄罗斯的军事活动提供资金方面发挥着至关重要的作用。 除银行业外，网络攻击还波及俄罗斯移动和互联网供应商，包括 Beeline、MegaFon、Tele2 和 Rostelecom。在线聊天工具和主要的俄罗斯社交网络也成为攻击目标，这加剧了对数百万俄罗斯公民日常活动的破坏。据报道，乌克兰黑客还入侵了俄罗斯主要银行的数据库，进一步扩大了网络攻击的范围和效果。 此次事件产生的影响 据悉，此次网络攻击事件始于 7 月 23 日（上周二）上午，至今已取得以下成果： 冻结银行支付系统： 攻击导致银行支付系统和移动应用程序瘫痪，使金融交易陷入瘫痪 个人办公中断： 客户的个人银行服务严重中断 公共交通支付终端： 网络攻击禁止了公共交通支付，给日常通勤者带来了不便 移动和互联网供应商服务中断： Beeline、MegaFon、Tele2 和 Rostelecom 都面临服务中断，影响了通信和互联网访问 对在线聊天工具和社交网络的攻击： 流行的在线通信平台和社交网络受到攻击，扰乱了社交互动和信息流 数据库入侵： 乌克兰黑客已进入俄罗斯主要银行的数据库，有可能泄露敏感的金融信息。 这次网络攻击使俄罗斯当局不得不努力减轻损失，恢复受影响服务的正常运行。这次大范围的破坏引发了关于关键金融和通信基础设施在复杂的网络威胁面前的脆弱性的讨论。 此次以金融机构和通信网络为战略目标凸显了现代战争不断变化的性质，在现代战争中，网络能力可以在削弱对手的作战效能方面发挥关键作用。 结语 据乌克兰情报来源显示，此次攻击行动并未结束，后续很可能会产生更具有破坏性的事件。 目前，俄罗斯的银行和服务提供商正在努力从这一前所未有的网络攻击事件中恢复过来，而乌克兰的网络专家很可能将继续致力于破坏对手的金融和通信网络的稳定性。   转自Freebuf，原文链接：https://www.freebuf.com/news/407179.html 封面来源于网络，如有侵权请联系删除

大半年以来，多个俄罗斯网络单位已经将目标从战略性民用目标转向了士兵的电脑和手机终端，以便在乌克兰前线实现战术性军事目标；俄罗斯情报部门寻求最大限度地整合网络作战与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 安全内参7月26日消息，英国皇家联合军种国防研究所（RUSI）发表了文章《俄罗斯网络战重心转向乌克兰前线》，作者为谷歌云旗下曼迪安特公司网络谍报分析经理Dan Black。该文章认为，俄罗斯对乌克兰的网络作战方法发生了显著变化，攻击目标由民用关基设施转向军事目标，寻求最大限度地整合网络作战能力与常规作战能力。安全内参编译如下。 随着俄罗斯按计划展开主要的夏季攻势，莫斯科在乌克兰的网络作战方法发生了显著变化，而这些变化此前被长期低估。现在正是审视这些变化的最佳时机。 迄今为止，大多数西方分析都集中在俄罗斯发动的第一波次引人注目的网络攻势上，试图剖析攻击方法的优劣，并评估俄罗斯对乌克兰关键基础设施展开新一轮类似性质破坏性攻击的可能性。然而，这些分析的关注点有所偏差，导致西方对俄罗斯网络作战的理解局限于一个维度，认为俄罗斯试图通过广泛破坏计算机网络让乌克兰社会压力不断累积。实际上，这种“打击有价值目标”的策略自俄乌战争的第一年起就不再占主导地位。当时，俄罗斯期望通过短期战争取胜。 现实比想象的更为残酷。俄罗斯情报部门已经调整了他们在网络空间的态势，以应对长期战争的需求。越来越多的证据表明，从2023年乌克兰大反攻前的几个月开始，多个俄罗斯网络单位已经将目标从战略性的民用目标转向了士兵的计算机和移动端点，以便在乌克兰前线实现战术性军事目标。 这种作战重点的转变是全面的。长期以来，俄罗斯军事情报部门总参谋部情报总局（GRU）和国内安全部门联邦安全局（FSB）互相竞争、互不信任。如今，为了提高军事效能，两者统一了之前相互脱节的网络工作，并对一系列作战方法进行了系统性调整。 这只是一种优先级的相对转变，而非对俄罗斯更广泛战略的彻底改革。目前，部分作战活动模式表明俄罗斯仍对乌克兰关键基础设施目标感兴趣。由于这些目标在当下并不具备情报价值，这可能说明俄罗斯正在为未来的破坏行动做准备。然而，显而易见的是，莫斯科已经重新平衡其总体作战概念，将重点放在那些能够为常规部队提供更直接、更具象的战场优势的目标上。 这些调整不仅反映了俄罗斯对乌克兰的野心在缩减，也表明在过去两年冲突升级为消耗战后，俄罗斯改变了对基辅主要力量来源的总体判断。这些变化还表明，经过两年的高强度作战，俄罗斯情报部门已经调整了思维方式，最大限度地整合网络作战能力与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 俄罗斯的战术转变 我们基本可以断定，俄罗斯调整网络战重心，是为了满足对战术相关信号情报日益增长的需求。调整后的网络战工作将主要实现以下目标。 首要目标是渗透乌克兰前线士兵使用的设备。 由于基辅方面非常重视“数据驱动战斗”的理念，智能手机成为确定运动模式和定位乌克兰阵地的重要数据来源。乌军严重依赖免费加密消息应用（EMAs），例如用于安全通信的Signal，因此对这些设备的窃听成为GRU和FSB的首要任务。 对于莫斯科来说，想要大规模收集这些类型的信号并非易事。流行的加密消息应用所使用的密码协议已经经过了严格的公众审查，俄罗斯军情部门很难悄然破解这些协议。前线的手机也不太可能连接到移动网络，否则俄罗斯可以通过入侵电信基础设施或电子战手段可靠地收集地理位置和其他信号。为了填补这一关键的信号收集空白，俄罗斯情报部门必须吸取一些新的作战理念。 第一种方法较为常规，即通过恶意软件全面入侵设备。这些恶意软件通常伪装成乌克兰军队使用的应用程序。这种技术并不新鲜。早在2016年，GRU就篡改了一个乌克兰应用程序，用于定位炮兵单位。但是，随着基辅不断进行软件驱动的军事创新，伪装恶意软件为移动应用的成本大幅上升。为了传递恶意软件，这些行动通常依赖于高度定制的社交工程，重新利用合法的军事通信，并通过Signal和Telegram聊天与目标直接互动以建立关系。 另一种较新的方法则通过常见加密消息应用内置的设备链接功能来窃取消息。一家与俄罗斯军方相关的单位，专注于通过社交工程使乌克兰士兵将由俄罗斯情报控制的加密消息应用实例（包括Signal、Telegram和WhatsApp）链接到他们的账户。类似的FSB行动主要是利用已经链接到乌克兰士兵手机的系统。根据微软的报告，来自FSB主要信号情报单位第16中心的网络操作人员，对窃取包含Signal桌面版消息内的文件特别感兴趣。一旦获得这些文件，他们就可以访问目标的私人Signal对话和附件。 同样，为了获得类似的访问权限，GRU也在通过近距离访问利用俄军在战场上缴获的移动设备和其他系统。这表明，网络操作人员开始通过技术手段使俄军能够独立启动对乌克兰设备的情报收集。 例如，一项Mandiant研究揭示了GRU的特殊技术主要中心（GTsST），即通常所说的APT44或Sandworm，如何为俄罗斯地面部队提供专用基础设施和技术指令，使他们能够从前线俘获的设备中获取Telegram和Signal通信。乌克兰国家安全局（SBU）也同样报告了Sandworm利用俘获的设备作为突破口传送恶意软件“Infamous Chisel”，从而渗透军事网络并从连接的“星链”终端和乌克兰军队使用的专业应用套件中收取数据。 第二大目标是渗透乌克兰军队用于指挥控制、态势感知和其他操作需求的数字系统。 毫无疑问，像Delta和Kropyva这样的数字化战场管理系统一直是乌克兰军队信息和作战优势的关键所在。事实上，莫斯科也认为这些系统非常有效，甚至也在尝试为俄罗斯军队开发精确复制品。与试图伪装成这些应用的恶意软件以入侵端点的行动不同，实现上述目标需要欺骗士兵放弃他们的凭证，从而为俄罗斯军情部门提供秘密视角，混入基辅的通用作战图景。 除了通过专门行动获取乌克兰士兵使用的设备和系统的访问权限，俄罗斯还调整了网络部队的定位，帮助定位乌克兰的军事装备和阵地。SBU警告称，俄罗斯试图控制人口中心的被入侵网络摄像头，以定位乌克兰的防空设施和其他关键基础设施对象，并将目标数据输入其侦察-打击复合体。荷兰军事情报部门也同样警告公众，俄罗斯网络战的整体重心发生了转移，开始强调军事阵地和装备的定位和绘制行动，以便日后实际夺取这些设施。向乌克兰提供援助的国家应该充分考虑这种网络支持的监视活动带来的潜在风险。在欧洲各地不断升级的破坏活动强烈表明，洞悉西方军事供应链目前是俄罗斯情报部门在数据收集方面的优先事项。 值得注意的是，每一条新的作战理念都说明，俄罗斯网络部队与常规部队之间的双向关系不断加深。二者在战争初期的协调工作不断延伸，已经涵盖了战略和战术目标。此外，这些作战理念还说明，在特定行动中，俄罗斯网络部队很可能会向前线靠拢，尝试利用这些移动设备可能提供的短暂战术情报。展望未来，随着战争的继续，我们可以合理预期，二者之间更密切的合作关系将带来进一步的调整和更新的作战理念。 对乌克兰和北约的影响 上述分析对西方决策者的主要启示是，移动设备已经成为俄罗斯在乌克兰网络战中的关键重心。由于俄乌战争前线技术密度高、传感器密布，从士兵设备和连接它们的数字网络收集信号成为重中之重。随着新技术继续塑造战场形态、推动前线的战术创新，这类行动在战争的下一阶段可能会变得更加普遍。 我们需要认识到，俄乌战场的技术环境已经发生了根本性变化。早期关于政府和私营部门支持乌克兰网络防御能力的经验教训不再适用。敏感军事网络和移动设备变得更加模糊，虚拟事件也更加难以响应，准备好提供相应类型安全援助的防御伙伴也更少。尽管乌克兰在防御方面取得了令人印象深刻的成就，但俄罗斯对部队使用方式的调整要求我们重新关注如何才能最好地维持国际社会对乌克兰网络防御的支持。这一点尤其重要，因为其他新兴威胁正越来越多地消耗有限的情报资源和注意力。 同样重要的是，我们必须开始承认，这些间谍行动能够造成严重的次生后果。比如，2023年11月，乌克兰第128山地突击旅遭到致命打击，原因就是俄罗斯入侵了一名士兵的Signal账户。虽然主流观点日益怀疑网络行动能否对俄罗斯带来军事效益，但我们必须认真思考俄罗斯重新调整作战任务会带来哪些影响。鉴于消耗战已成为俄罗斯战略的关键要素，我们还应该思考上述调整对网络在传统军事行动中日益扩展角色意味着什么。 恶意链接设备即使在手机断开连接、被销毁或以其他方式不可用时仍然可以被窃听，这是因为Signal消息不需要通过收件人的手机即可路由到链接设备。因此，即使通信没有到达预期的乌克兰收件人，也能到达俄罗斯操作人员手中。正如一位乌克兰专家所说，如果“一名营级战斗小组的士兵被俘或死亡，他的手机落入敌手，俄罗斯人会在一个月内读取该小组的所有通信”。这些行动可能带来严重的长期影响。 我们还应准备好在乌克兰以外看到俄罗斯应用新的作战理念。如今，Signal和其他加密消息应用已成为敏感通信的标配。这些应用在西方军队、政治家、民间社会团体中得到广泛使用，而这些群体都是俄罗斯情报部门的常见目标。因此，俄罗斯很有可能将为战争开发的战术更广泛地用来获取其他紧急情报。例如，从乌克兰的伙伴那里收集外国政治情报，或者干扰西方即将举行的某场重要选举。历史告诉我们，俄罗斯的技战术很少只用于乌克兰。   转自安全内参，原文链接：https://www.secrss.com/articles/68534 封面来源于网络，如有侵权请联系删除

乌克兰对俄罗斯银行的自动取款机发动了大规模网络攻击，此次网络行动于7月23日开始。 《基辅邮报》报道嘲讽称：“这是克里姆林宫长期渴望的‘进口替代’政策的绝佳时机，即采用木制算盘、纸质储蓄账簿和洞穴壁画进行会计核算。俄罗斯已经承认，在线服务大面积中断是‘出于政治动机的黑客’攻击的结果。乌克兰情报部门告诉我们，攻击仍在继续，远未结束。” 一名乌克兰情报人员告诉《基辅邮报》，此次攻击“势头强劲”。此次黑客攻击是俄罗斯与乌克兰之间更广泛冲突中网络战的一部分。遭到黑客攻击的俄罗斯银行包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank。 许多银行客户在尝试使用 ATM 时，借记卡和信用卡立即被冻结。攻击包括冻结银行支付系统和移动应用程序、导致个人办公室中断以及无法支付公共交通费用。 乌克兰情报部门的一位消息人士向《基辅邮报》透露：“乌克兰国防部总情报局（HUR）的网络专家连续几天对俄罗斯银行业发动了前所未有的攻击。” 乌克兰发动的网络攻击还破坏了俄罗斯移动和互联网提供商 Beeline、MegaFon、Tele2 和 Rostelecom 的服务。黑客还针对流行的在线通讯工具和俄罗斯主要社交网络发动攻击。《基辅邮报》还称，民族国家黑客获得了主要银行数据库的访问权限。 “我们正在尽一切努力加速这一进程，让莫斯科人回到比特币、股票甚至美元对他们的生活没有影响的时代。毕竟，他们根本无法获得这些东西。”乌克兰国防部总情报局（HUR）的一位消息人士告诉基辅邮报。 俄罗斯银行遭受网络攻击的范围 网络攻击导致的业务中断致使多家俄罗斯名银行受到影响，其中包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank 等，客户在使用上述这些银行的自动取款机时均发现了借记卡和信用卡被阻止的情况。此次针对俄罗斯银行的网络攻击还影响了其银行的支付系统和移动应用程序，导致个人银行服务大面积中断，公共交通支付受阻。 一名乌克兰情报人员强调了针对俄罗斯银行的网络攻击的战略意义，指出其目的是破坏俄罗斯的银行业，而银行业在为俄罗斯的军事活动提供资金方面发挥着至关重要的作用。 除银行业外，网络攻击还波及俄罗斯移动和互联网供应商，包括 Beeline、MegaFon、Tele2 和 Rostelecom。在线聊天工具和主要的俄罗斯社交网络也成为攻击目标，这加剧了对数百万俄罗斯公民日常活动的破坏。据报道，乌克兰黑客还入侵了俄罗斯主要银行的数据库，进一步扩大了网络攻击的范围和效果。 此次事件产生的影响 据悉，此次网络攻击事件始于 7 月 23 日（上周二）上午，至今已取得以下成果： 冻结银行支付系统： 攻击导致银行支付系统和移动应用程序瘫痪，使金融交易陷入瘫痪 个人办公中断： 客户的个人银行服务严重中断 公共交通支付终端： 网络攻击禁止了公共交通支付，给日常通勤者带来了不便 移动和互联网供应商服务中断： Beeline、MegaFon、Tele2 和 Rostelecom 都面临服务中断，影响了通信和互联网访问 对在线聊天工具和社交网络的攻击： 流行的在线通信平台和社交网络受到攻击，扰乱了社交互动和信息流 数据库入侵： 乌克兰黑客已进入俄罗斯主要银行的数据库，有可能泄露敏感的金融信息。 这次网络攻击使俄罗斯当局不得不努力减轻损失，恢复受影响服务的正常运行。这次大范围的破坏引发了关于关键金融和通信基础设施在复杂的网络威胁面前的脆弱性的讨论。 此次以金融机构和通信网络为战略目标凸显了现代战争不断变化的性质，在现代战争中，网络能力可以在削弱对手的作战效能方面发挥关键作用。 结语 据乌克兰情报来源显示，此次攻击行动并未结束，后续很可能会产生更具有破坏性的事件。 目前，俄罗斯的银行和服务提供商正在努力从这一前所未有的网络攻击事件中恢复过来，而乌克兰的网络专家很可能将继续致力于破坏对手的金融和通信网络的稳定性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kukxYi6RIdOLYWcHLgT7nA 封面来源于网络，如有侵权请联系删除

安全内参7月24日消息，今年1月中旬，正值隆冬时节，乌克兰利沃夫市的部分居民被迫在没有集中供暖的情况下生活了两天。安全研究人员和乌克兰当局后来得出结论，原因是一家市政能源公司遭受了网络攻击。 美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。 新型恶意软件致使超600栋公寓停暖 Dragos的研究人员在报告中写道，他们在今年4月首次检测到这种恶意软件。当时，除了恶意软件样本外，Dragos没有更多关于FrostyGoop的信息，认为它仅用于测试。然而，后来乌克兰当局向Dragos发出预警称，有证据表明在1月22日晚间至1月23日，这种恶意软件被用于对利沃夫发起网络攻击。 在报告发布前的一次记者电话会议中，Dragos的研究人员Mark Graham（代号“喜鹊”）说道：“攻击导致超过600栋公寓楼在近48小时内失去了供暖。” 乌克兰国家安全委员会的一位发言人通过电子邮件告诉外媒TechCrunch，在攻击发生后，他们“参与制定了应对措施”。 发言人在电子邮件中写道：“因此，网络攻击的影响很快被消除，服务得以恢复。” 发言人证实攻击发生在2024年1月，影响了“利沃夫市超过600户家庭。”发言人还表示，黑客的目标是“LvivTeploEnergo的信息和通信基础设施”，这是一家大型暖气和热水供应商。 Dragos的研究人员Graham、Kyle O’Meara和Carolyn Ahlers在报告中写道：“事件的修复花了近两天时间。在此期间，民众不得不忍受低于零度的气温。” 工控恶意软件正成为重大威胁 这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。 FrostyGoop恶意软件旨在通过Modbus协议与工业控制设备（ICS）交互。Modbus是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。根据Dragos的说法，这意味着FrostyGoop可以用于攻击其他公司和设施。 Graham告诉记者：“目前，至少有4.6万个暴露在互联网上的ICS设备允许使用Modbus。” Dragos表示，FrostyGoop是该公司多年来遇到的第九个专门针对ICS的恶意软件。其中最著名的是Industroyer（也称为CrashOverride）。与俄罗斯政府有关的臭名昭著的黑客组织Sandworm先后利用Industroyer切断基辅的电力、断开乌克兰的电力变电站。 除了针对乌克兰的这些网络攻击，Dragos还发现名为Triton的恶意软件，它先后被部署在沙特一家石化工厂和另一座未知设施。另外，去年Mandiant公司还发现名为CosmicEnergy的恶意软件。 攻击者通过路由器进入网络，国产控制器遭劫持 Dragos的研究人员写道，他们认为控制FrostyGoop恶意软件的黑客首先通过利用暴露在互联网的MikroTik路由器的漏洞访问了目标市政能源公司的网络。研究人员表示，该路由器与其他服务器和控制器没有“充分隔离”。其中一款控制器的制造商是中国公司ENCO。 Graham在电话会议中表示，他们在立陶宛、乌克兰和罗马尼亚发现了处于暴露状态的ENCO控制器。他再次强调，虽然这次FrostyGoop用于利沃夫的定向攻击，但控制该恶意软件的黑客完全有可能会在其他地方发起攻击。 ENCO及其员工未立即回应TechCrunch的置评请求。 研究人员写道：“对手没有尝试破坏控制器。相反，对手让控制器报告不准确的测量结果，导致系统运行错误，无法向客户供暖。” 在调查期间，研究人员表示，他们得出结论认为黑客“可能在2023年4月”首次访问了目标网络，这差不多是他们部署恶意软件并切断供暖之前一年。报告称，在接下来的几个月中，黑客不断访问网络，并在2024年1月22日通过位于莫斯科的IP地址连接到网络。 Graham表示，尽管攻击者IP地址位于俄罗斯，Dragos并未指出哪一家已知黑客组织或政府应对此次网络攻击导致的服务中断负责，因为他们找不到与之前活动或工具的联系，也因为Dragos长期以来并不对网络攻击进行溯源。 不过，Graham指出，他和他的同事们认为这次破坏行动是通过互联网进行的——而不是向设施发射导弹——可能是为了破坏当地乌克兰人的士气。 Graham说：“我认为，这次攻击在很大程度上是一种心理攻击，通过网络手段进行。这种情况下，物理攻击可能并非最佳选项。” 最后，Dragos的首席技术官Phil Tonkin表示，虽然我们不能低估FrostyGoop带来的危害，但同样重要的是不要过分炒作它。他在与媒体的电话会议中说道：“我们必须认识到，这是一个被积极使用的工具。同样重要的是，我们不要认为这个工具能够立即摧毁一个国家的电网。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/pjZbGxwrxS-FvAffOMUM5Q 封面来源于网络，如有侵权请联系删除

LangChain是一个流行的开源生成式人工智能框架，其官网介绍，有超过一百万名开发者使用LangChain框架来开发大型语言模型（LLM）应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日，来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。 这些漏洞被识别为CVE-2023-46229和CVE-2023-44467，它们有可能允许攻击者执行任意代码和访问敏感数据。鉴于有一百多万名开发者依赖LangChain，这一发现给众多AI驱动的应用程序带来了重大安全风险。 CVE-2023-46229：服务器端请求伪造（SSRF） 在LangChain 0.0.317之前的版本中，存在一个通过精心设计的站点地图实现的SSRF漏洞。利用该漏洞，攻击者可以从内网获取敏感信息，并可能绕过访问控制。Palo Alto Networks在2023年10月13日发现了这一问题，并立即通知了LangChain团队。该漏洞已在版本0.0.317中通过拉取请求langchain#11925得到修复。 CVE-2023-44467：LangChain实验中的严重提示注入 CVE-2023-44467是一个严重提示注入漏洞，影响0.0.306之前的LangChain实验版本。LangChain实验是一个专为研究和试验而设计的Python库，包含可能被恶意提示利用的集成。这个漏洞影响了PALChain功能，这是一个通过程序辅助语言模型（PAL）增强语言模型生成代码解决方案的能力的功能。 该漏洞允许攻击者利用PALChain的处理能力进行提示注入，使他们能够执行有害的命令或代码。这种利用可能导致未经授权的访问或操纵，带来重大的安全风险。Palo Alto Networks在2023年9月1日识别出这一问题，并及时通知了LangChain开发团队，后者在第二天在LangChain实验PyPI页面上发布了警告。 随着对大型语言模型（LLM）应用需求的增加，LangChain的受欢迎程度在最近几个月急剧上升。其丰富的预构建组件和集成库使其成为开发者的首选工具。然而，这种广泛的应用也意味着这些漏洞的潜在影响被放大。 Palo Alto Networks的研究人员强烈建议使用LangChain的开发者和组织将LangChain更新到最新的修补版本，以确保应用安全。   转自Freebuf，原文链接：https://www.freebuf.com/news/407063.html 封面来源于网络，如有侵权请联系删除

联邦检察官周四宣布，一名涉嫌为朝鲜军事情报机构实施网络犯罪的男子因密谋入侵美国医疗机构、美国国家航空航天局、军事基地和其他国际实体而被起诉。 Rim Jong Hyok被堪萨斯州堪萨斯城大陪审团起诉。他被指控利用洗钱者套现非法收益，然后用这些钱购买计算机服务器，并资助针对全球国防、技术和政府实体的更多网络攻击。 官员们表示，美国医院和其他医疗机构遭受的黑客攻击扰乱了患者的治疗。他被指控攻击了美国 11 个州的 17 个实体，其中包括 NASA 和军事基地以及韩国国防和能源公司。 起诉书称，黑客入侵 NASA 计算机系统长达三个月，窃取了超过 17 GB 的非机密数据。当局称，他们还入侵了密歇根州和加利福尼亚州等地国防公司的计算机系统，以及德克萨斯州的兰道夫空军基地和佐治亚州的罗宾斯空军基地。 根据法庭记录，网上法庭记录没有列出 Hyok 的律师，Hyok 曾居住在朝鲜，并在朝鲜军事情报机构平壤和新义州的办公室工作。 司法部官员称，2021 年 5 月，黑客加密了堪萨斯州一家医院的文件和服务器，但他们没有透露这家医院的具体名称。该医院支付了约 10 万美元的比特币以恢复其数据，并向联邦调查局报警。科罗拉多州一家医疗保健提供商在受到同样的 Maui 勒索软件变种的影响后也支付了费用。 联邦调查局的一位高级官员告诉记者，联邦调查局已经查获了该黑客组织使用的在线账户以及勒索软件攻击所得的 60 多万美元，这些资金已经或将返还给受害者。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nUaFNDHXR_X5rsdh2sbR2A 封面来源于网络，如有侵权请联系删除

近日，Cybernews 研究小组发现有黑客恶意克隆了 Z-Library网站 ，并有近 1000 万用户因访问了该网页而导致数据遭遇泄露。 Z-Library 是一个著名的盗版书籍和学术论文在线平台，这1000 万人都以为自己访问的是该网站。但不知道自己访问的其实是虚假平台，骗子借此收集了他们的个人信息、密码、加密地址，以及付款信息。更糟糕的是，他们泄露了用户的所有信息，病将用户暴露给其他网络犯罪分子和当局。 迄今为止，最大的数字盗版事件发生在 2007 年，当时有黑客攻击了海盗湾，泄露了 150 万用户的电子邮件和密码。 此次泄露的数据均为真实用户填写 据悉，此次泄露的数据库备份属于 Z-lib，它是 Z-Library 的恶意克隆，在谷歌搜索结果中名列前茅。 威胁者意外泄露了 976万用户的用户名、电子邮件地址、密码、比特币和 Monero 钱包地址、国家代码、图书请求、时间戳、评论、发票等信息。 研究人员验证了数据的有效性，并确认注册用户收到了恶意链接垃圾邮件。 研究人员得出结论，这些数据是真实的，是用户自己填写的。许多人并不MaryIsHereToReadDirtyBooks 那么机智，他们提供了自己的真实姓名和其他敏感的个人信息。 这次泄密事件令人极为不安，因为它使数百万个加密货币钱包失去了匿名性，并将相关交易与试图访问盗版内容的个人联系起来。Cybernews 的研究人员说：这不仅损害了隐私，也损害了财务和人身安全。 以盗版者为目标的骗子 研究人员发现，数据库备份曝光的网站 “Z-lib[.]is ”是一个类似于电子图书数据库 Z-Library 的钓鱼网站。该网站不允许用户免费非法下载书籍，而是收集登录凭证并要求付款。 Z-lib 网站是在 2022 年 11 月 Z-library 原始域名被执法部门查封几天后创建的。创始人 Anton Napolsky 和 Valeriia Ermakova 在阿根廷被捕。 骗子们假装继续网站的活动，Z-lib 所有者的身份不明。假冒网站的运营者冒充 Z-Library 项目，并声称自己是唯一 “合法 ”的 Z-Library 网站。 这次泄漏事件中被入侵账户的数量之多几乎是前所未有的。这种恶意活动运行时间如此之长、如此成功、吸引如此多的受害者，实属罕见。研究人员说：目前已确认的 1000 万个账户很可能超过了 Z-Library 原始网站被关闭前的账户数量。 根据 SimilarWeb 的数据，其中一个Z-Lib 域名的月访问量为 1070 万，另一个域名的月访问量为 760 万。这些域名不应与最初的 Z-library 服务相混淆，尽管有许多法律挑战、域名查封和封锁尝试，Z-lib 仍然在线。 研究人员解释说：我们发现有一台网络服务器启用了目录列表功能。这意味着任何用户都可以看到服务器上存储的所有文件和目录列表。在其他托管文件中，还有一个数据库备份，其中存储了数百万用户的个人信息。 数据库备份生成于 2024 年 6 月 20 日。它包含用户数据和其他用于操作的信息，如收到的《数字千年版权法案》（DMCA）移除请求和访问网站资源的付款。 研究人员解释说：一个简单的错误配置暴露了数百万用户的电子邮件、用户名和密码，以及他们的比特币和门罗币加密钱包地址。 密码是使用中等复杂度的算法散列的，特别是 bcrypt 算法，成本系数为 10，相当于 1024 次迭代。因此，网络犯罪分子需要先破解密码，然后才能尝试访问其他账户。 用户注册后收到带有恶意链接的垃圾邮件 Cybernews 研究团队联系到了一位在泄密事件中被曝光的 Z-lib 用户，并验证了与其账户相关的泄密数据。 Cybernews 的研究人员还发现了其他多个附有加密钱包地址的账户，并确认这些钱包存在于比特币和莫奈罗区块链上。 研究人员表示：这个人在这个虚假页面上创建了一个账户，可以在泄露的数据库中识别出他们的信息。在他们的允许下，我们能够扫描收件箱中的电子邮件，并确认 Z-library 山寨机正在发送带有恶意链接的垃圾邮件。 用户应该怎么做？ Z-Lib 用户应该意识到，暴露的数据可能会被当局、网络安全研究人员、网络犯罪分子以及任何可能从中获益的人使用。这些数据还没有广泛传播，但采取行动保护其他账户至关重要。执法部门和版权持有者可能会利用泄露的数据对网站用户采取法律行动。 Cybernews 研究人员建议采取以下措施： 确保恶意网站上使用的任何密码不被其他账户重复使用 在电子邮件客户端或服务器中阻止任何恶意 Z-lib 电子邮件地址和域。 在电子邮件客户端中阻止任何恶意电子邮件或将其标记为垃圾邮件。 停止使用与 Z-library 账户绑定的加密钱包，并创建新的钱包。请记住，向另一个钱包转账也是可追踪的。 停止使用在您所在辖区被视为非法的服务。 如果用户受到垃圾邮件的影响，请改用有严格安全措施的电子邮件提供商。 大多数比特币和 Monero 用户并不了解这些加密货币的复杂性，也不知道如何正确匿名交易。网络犯罪分子可能会利用这一漏洞来跟踪交易，并发起网络钓鱼活动，目的是窃取加密货币，甚至敲诈你。如果遇到此类情况，请立即保护您的剩余资产，确保您的钱包受到保护。 这次泄露还可能有助于执法部门对加密货币钱包进行去匿名化处理，追踪可疑交易，并对犯罪分子采取法律行动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406949.html 封面来源于网络，如有侵权请联系删除

名为 Patchwork 的威胁行为涉嫌参与了针对不丹相关实体的网络攻击，该攻击旨在传播 Brute Ratel C4 框架和一个名为 PGoShell 的升级版后门。 知道创宇 404 实验室在上周发布的一份分析报告中表示，这一进展标志着首次观察到对手使用红队软件。 该活动集群也被称为 APT-C-09、Dropping Elephant、Operation Hangover、Viceroy Tiger 和 Zinc Emerson，可能是一个受国家支持的印度黑客组织。 根据中国网络安全公司奇安信共享的数据，该黑客组织以针对中国和巴基斯坦实施鱼叉式网络钓鱼和灌水攻击而闻名，据悉至少从 2009 年起就开始活跃。 去年7月，知道创宇404实验室披露了针对中国大学和研究机构的间谍活动细节。该活动利用了代号为EyeShell的基于.NET的植入程序，从攻击者控制的服务器上获取并执行命令，运行附加有效载荷，并截取屏幕截图。 今年二月，研究人员发现该黑客组织利用浪漫主题诱饵对巴基斯坦和印度的受害者实施诱骗，并通过名为VajraSpy的远程访问木马程序入侵其安卓设备。 最新观察显示，攻击链起点是一个Windows快捷方式（LNK）文件，该文件旨在从一个冒充联合国气候变化框架公约支持的适应基金的远程域下载一个诱饵PDF文档，同时隐秘地部署从不同域（“beijingtv[.]org”）获取的Brute Ratel C4和PGoShell。 知道创宇404实验室表示“PGoShell 是用 Go 编程语言开发的。总体而言，它提供了一套丰富的功能，包括远程shell功能、屏幕捕获以及下载和执行有效载荷。” 几个月前，APT-K-47 （另一个与 SideWinder、Patchwork、Confucius 和 Bitter 在战术上有重叠的黑客组织）发起了涉及使用 ORPCBackdoor 以及 WalkerShell、DemoTrySpy 和 NixBackdoor 等之前未记录的恶意软件来收集数据和执行 shellcode 的攻击。 知道创宇 404 实验室表示，这些攻击事件中部署了一个名为 Nimbo-C2 的开源命令与控制（C2）框架而引人注目，该框架 “支持多种远程控制功能”。   转自thehackernews，原文链接：https://thehackernews.com/2024/07/patchwork-hackers-target-bhutan-with.html 封面来源于网络，如有侵权请联系删除