中东在以色列和伊朗的复杂冲突中，见证了另一种形式的冲突：网络战。约旦发现自己处于这场战斗的最前沿，面临着各种黑客组织精心策划的一系列所谓网络攻击。 BlackMaskers 团队已成为一个突出的威胁，他们声称对约旦进行了网络攻击，且目标是约旦从证券交易所到私营企业的重要实体。 约旦支持以色列对抗伊朗的事件就是一个例证。BlackMaskers 团队宣布约旦是他们的首要目标。 他们对约旦网站的攻击以及随后的数据泄露引发了广泛担忧，加剧了国家基础设施和私营公司的脆弱性。 约旦当局正在处理网络攻击的报告，同时也因其支持以色列对抗伊朗的决定而面临公众批评。受影响的组织疑似包括约旦证券交易所和约旦自来水公司 Yarmook。 黑客组织威胁要泄露更多约旦公司有关的敏感信息时，约旦网络被攻击的严重性也凸显出来了。这一警告加上样本文件的发布，进一步扰乱了该国的局势。在混乱之中，网络攻击者仍然难以捉摸，他们利用约旦组织的漏洞来逃避检测。 据称，泄露的样本数据包含敏感文件和信息、约旦钢铁等公司的财务审计报告、据称对约旦协助以色列应对伊朗威胁的深入了解，以及其他来自约旦实体的文件。 约旦人表现出了针对政府的叛乱，这一叛乱的影响超出了约旦边界，与该地区更广泛的地缘政治格局相交叉。有关约旦协助以色列应对伊朗威胁的报道在国内引发了轩然大波和异议，当地公众感到自己被政府背叛了。 这些事件在社交媒体平台上引起强烈反响，加剧了大众的猜测和不满。背叛和与以色列勾结的指控充斥着网络言论，描绘了约旦人的不满情绪。 据报道，约旦政府因支持以色列反对伊朗袭击而引起公众的愤怒。许多约旦人感到政府的立场背叛了他们，这导致了大家对与以色列结盟的强烈抗议。 混乱之中约旦的漏洞再次暴露，一个陌生的黑客组织声称对多个组织同时进行了网络攻击。 此次未经证实的入侵突显了中东地区当前的局势：黑客、政府和当地公众正在选边站队，而战争正在扰乱普通公民的生活。   转自安全客，原文链接：https://www.anquanke.com/post/id/295789 封面来源于网络，如有侵权请联系删除

近日，黑客组织 FIN7 针对美国一家大型汽车制造商的 IT 部门的员工发送了鱼叉式钓鱼邮件，并利用 Anunak 后门感染了该系统。 据黑莓公司的研究人员称，该攻击发生在去年年底，依赖于二进制文件、脚本和库（LoLBas）。黑客重点攻击了那些具有高级权限的员工，并通过链接到冒充合法的高级 IP 扫描器工具的恶意 URL 引诱他们“上钩”。 黑莓公司根据使用独特 PowerShell 脚本的情况，确信这些攻击是 FIN7 所为，这些脚本使用了对方标志性的 “PowerTrash “混淆 shellcode 调用器，这种方式最早曾在 2022 年的一次攻击活动中出现过。 之前FIN7 的目的是暴露 Veeam 备份和 Microsoft Exchange 服务器，同时在该企业的网络中部署 Black Basta 和 Clop 勒索软件。 FIN7使用鱼叉式网络钓鱼电子邮件发起攻击 FIN7 向美国某大型汽车制造商 IT 部门的多位高权限员工发送了鱼叉式网络钓鱼电子邮件。邮件中包含 “advanced-ip-sccanner[.]com”链接，但事实上这其实是个虚假的 “advanced-ip-scanner.com “合法扫描仪项目。 研究人员发现，假冒网站会重定向到 “myipscanner[.]com”（现已下线）。访问者接下来会被带到一个提供恶意可执行文件（’WsTaskLoad.exe’）的 Dropbox 页面，该文件伪装成 Advanced IP Scanner 的合法安装程序。 该文件一旦被执行，就会触发一个涉及 DLL、WAV 文件和 shellcode 执行的多阶段进程，从而加载并解密一个名为 “dmxl.bin “的文件，其中包含 Anunak 后门有效载荷。 Anunak/Carbanak 是 FIN7 常用的恶意软件工具，其他常用的还有 Loadout、Griffon、PowerPlant 和 Diceloader。 同时，WsTaskLoad.exe 安装了 OpenSSH 以实现持久访问，并创建了一个计划任务。FIN7 以前也曾使用 OpenSSH 进行横向移动，但黑莓公司称在他们分析的活动中没有发现这种情况。 研究人员没有透露受害组织的名称，他们仅将其描述为 “一家位于美国的大型跨国汽车制造商”。FIN7 自 2013 年开始出现，但只是在过去几年才转向更大的目标，典型的最终有效载荷是勒索软件。在勒索软件的背景下，转而攻击更大的组织是合理的，因为它们可以支付更大的赎金。 黑莓公司表示，FIN7 的攻击未能扩散到最初感染的系统之外，而是进入了横向移动阶段。建议该企业适当给员工提供有关网络钓鱼的安全培训，降低安全风险。 同时，应在所有用户账户上实施多因素身份验证（MFA），即使攻击者成功窃取了访问凭证，也很难访问员工的账户。此外，使用强大、唯一的密码，保持所有软件更新，监控网络可疑行为，添加高级电子邮件过滤解决方案等基础防御措施也有助于防范各类攻击。 网络钓鱼数量激增且花样百出 Egress 的最新报告提到，在众多网络安全问题中，网络钓鱼攻击正大行其道。尤其是冒充攻击普遍存在，其中有 77% 会伪装成知名平台进行诈骗攻击，特别是 DocuSign 和 Microsoft 。社会工程策略愈演愈烈，占网络钓鱼攻击的 16.8%，而网络钓鱼电子邮件的长度自 2021 年以来增长了三倍，这可能归因于生成式 AI 的使用。 多渠道攻击利用了工作消息传递应用程序的流行，特别是Microsoft Teams和Slack。总的来说，这些应用程序占此类攻击第二步的一半。与上一季度相比，仅 Microsoft Teams 在 2024 年就大幅增长了 104.4%。 如今快速发展的人工智能也成为网络犯罪的有力工具，渗透到攻击的各个阶段。该报告预测，在视频和音频格式中使用深度伪造将激增，从而放大了网络攻击的复杂性。 尽管技术取得了进步，但安全电子邮件网关 （SEG） 仍然落后，到 2024 年初，逃避检测的攻击增加了 52.2%。这凸显了在面对不断变化的威胁时采取适应性网络安全措施的必要性。 据统计，千禧一代成为了网络犯罪分子的主要目标，37.5%的网络钓鱼电子邮件将他们视为了攻击目标。这种情况在金融、法律和医疗保健等领域尤为明显。同时，社工攻击策略也在不断变化，比如围绕情人节等事件的个性化定制攻击，这也进一步凸显了网络威胁的演变。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398441.html 封面来源于网络，如有侵权请联系删除

开发署迅速采取行动，启动了一系列紧急措施，旨在查明数据泄露的根源并减轻其影响。 联合国开发计划署（UNDP）在哥本哈根的办公地点遭遇了网络攻击，致人力资源和采购数据泄露，官方已发布通知证实此次事件。 UNDP在2024年3月的最后一周收到了一份威胁情报通知，黑客提出已入侵其系统，窃取了包括人力资源和采购信息在内的敏感数据，官方通知中对该事件进行了披露。 联合国开发计划署通知文件截图 采取措施 UNDP得知后立即行动，采取紧急措施，隔离受影响服务器，并努力确定数据泄露的源头、范围和受影响个人身份。 目前已与受影响人员保持透明沟通，确保他们能够保护个人信息。同时，已向联合国内部通报此次事件，重申了透明度和问责制的承诺。 官员表示：“UNDP正在全面评估网络攻击的性质和范围，并持续与受影响人员沟通，帮助他们保护个人信息。同时，也在努力联系其他利益相关者。” 事件潜在影响 作为联合国领导的国际发展机构，开发计划署在全球可持续发展议程的制定和实施中扮演着关键角色。该组织在170多个国家和地区开展活动，致力于消除贫困、减少不平等和促进包容性增长。 这次网络攻击对开发署的影响不仅局限于数字基础设施，还对其推动全球发展努力产生了重大影响。 泄露的人力资源和采购信息可能破坏关键业务的机密性和完整性，影响开发署向全球社区提供服务和支持的能力。此外，这可能损害人们对开发署保护信息能力的信任，危及其与政府、民间社会组织和其他利益相关者的合作关系。   消息来源：thecyberexpress，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

本月初，捷克交通部长马丁·库普卡警告说，俄罗斯已经进行了“数千次”破坏欧洲铁路的企图。 捷克共和国交通部长告诉英国《金融时报》，这些袭击的目的是破坏欧盟稳定并破坏关键基础设施。 库普卡证实，自俄乌冲突以来，与俄罗斯有关的黑客进行了“数千次削弱我们系统的尝试”。 库普卡说，国家支持的黑客还针对捷克国家铁路运营商捷克德拉希的信号系统和网络。 捷克网络防御能够检测并消除这些攻击；然而，部长强调，破坏铁路可能会导致严重事故。 “这绝对是一个难点。但是我真的非常满意，因为我们能够保护所有系统免受成功的攻击，”库普卡告诉英国《金融时报》。 捷克网络安全机构 NUKIB 警告网络攻击激增，特别是针对能源和交通部门的攻击。自 2022 年一项法律获得批准以来，攻击事件不断升级，该法律允许对涉嫌侵犯人权或网络犯罪的外国实体采取措施。 根据 2023 年 3 月发布的《 ENISA 威胁概况：交通部门》，欧洲网络安全机构 ENISA 也报告了这些攻击。 “铁路部门还遇到勒索软件和数据相关的威胁，主要针对乘客服务、票务系统和移动应用程序等 IT 系统，导致服务中断。黑客组织对铁路公司进行 DDoS 攻击的频率不断增加，这主要是由于俄乌冲突爆发。”报告指出。 捷克政府正计划修建连接柏林、布拉格和维也纳的高速铁路，并宣布优先选择欧洲运营商参与投标。 2023年8月，波兰内部安全局（ABW）和国家警察对该州铁路网络遭受黑客攻击展开调查。据波兰通讯社报道，此次袭击扰乱了交通。 特殊服务副协调员斯坦尼斯瓦夫·扎林 (Stanisław Zaryn) 告诉新闻社，波兰当局正在调查未经授权使用用于控制铁路交通的系统的情况。 斯坦尼斯瓦夫·扎林 (Stanislaw Zaryn) 告诉人民新闻社：“目前，我们不排除任何可能性。”  “我们知道几个月来有人试图破坏波兰国家的稳定，”他补充道。 “俄罗斯联邦与白俄罗斯共同进行了此类尝试。” 自俄乌冲突以来，波兰的铁路系统一直是西方国家支持乌克兰的重要过境基础设施。 扎林解释说，这些袭击是俄罗斯为破坏波兰稳定而进行的更广泛活动的一部分。   转自E安全，原文链接：https://mp.weixin.qq.com/s/3dQ67-y7ps4NL4do_EaNHQ 封面来源于网络，如有侵权请联系删除

据称，有黑客利用未打补丁的 Atlassian 服务器并部署 Cerber 勒索软件的 Linux 变体（也称为 C3RB3R）。 此次攻击利用了Atlassian Confluence 数据中心和服务器中的一个严重安全漏洞 CVE-2023-22518，未经身份验证的攻击者能够重置 Confluence 并创建管理员帐户。 有了这种访问权限，黑客冒着失去机密性、完整性和可用性的风险去控制系统。出于经济动机的网络犯罪团伙利用新创建的管理员帐户安装 Effluence Web shell 插件，从而能够执行任意命令。 Cado 的威胁情报工程师内特·比尔 (Nate Bill) 在周二发表的博客文章中谈论了此次事件。他指出，主要的 Cerber 有效负载在“confluence”用户下执行，且将其加密范围限制为该用户拥有的文件。 Rapid7 曾于2023 年 11 月标记过此漏洞。 该勒索软件的核心组件是用 C++ 编写的，它是很多同样用 C++ 编写的有害软件的载体。该附加软件是从攻击者控制的中央服务器中获取的。 一旦其任务完成，主要的勒索软件组件就会被系统删除。而其他两个被涉及到的组件中：一个检查勒索软件是否具有必要的权限，而另一个则对计算机上的文件进行加密，让它们在支付赎金之前无法访问。 尽管勒索信中有声称会有数据泄露，但并没有发生。 Bill 表示，在转向 Golang 和 Rust 等跨平台语言的过程中，纯 C++ 有效负载的主导地位是值得注意的。 这位安全研究人员强调了Cerber 的复杂性，但也指出了特别是在配置良好且具有备份的系统中，仅加密 Confluence 数据的局限性，从而降低了受害者付费的动力。 这些发展与针对 Windows 和 VMware ESXi 服务器的新勒索软件系列的出现处在同时期。此外，勒索软件攻击者正在使用泄露的 LockBit 勒索软件源代码定制变体，这也突显了员工需要准备强力的安全措施、具备强大的网络安全文化。   转自安全客，原文链接：https://www.anquanke.com/post/id/295752 封面来源于网络，如有侵权请联系删除

勒索软件团伙RansomHub发布了2月份在网络攻击中窃取的Change Healthcare相关数据，并声称还有更多信息可被曝光。 目前，勒索软件组织RansomHub在暗网上公开了Change Healthcare的部分数据，其中包括患者个人信息，涵盖账单文件、保险信息以及医疗记录等不同类型的文档。 RansomHub 威胁称，如果 Change Healthcare 不支付赎金，他们将把数据出售给出价最高者，这是他们首次公布从网络攻击中获取敏感数据的证据。 RansomHub 表示：“随着用户查看数据的频率增加，被查看的财务、医疗和个人信息的影响范围更大，而这可能比初次遭受攻击本身更为破坏性。” “距离支付赎金截止日期仅剩五天，这将对数据泄露公司造成难以预测的影响。” RansomHub 在暗网上发布的信息 今年2月，Change Healthcare遭受了疑似来自国家级网络攻击的袭击，导致其整个系统关闭。 许多药店报告称无法通过其系统处理进行保险索赔，社交媒体上充斥着各地用户抱怨无法获得药物的信息。该公司花费了约三周的时间来恢复药房和支付平台。 Change Healthcare主要提供健康信息技术服务，其中包括支付和计费平台管理，在数千家医疗机构和患者中广泛使用，是美国最大的健康技术公司之一。 然而，RansomHub成为第二个要求支付赎金以保护被盗患者数据的敲诈团伙，据称该公司曾支付了2200万美元的赎金给勒索团伙ALPHV。 根据《连线》的报道，ALPHV与其子公司之间的纠纷导致被盗数据陷入困境，ALPHV勒索集团在收到2200万美元赎金后消失，随后其子公司将超过4TB的被盗数据转交给了另一个勒索软件团伙，多方针对该勒索集团对Change Healthcare的敲诈行为进行了谴责。 目前，美国卫生与公众服务部（HHS）正在调查此次网络攻击，其目标为确定该行为是否违反了1996年的HIPAA法案，该法案要求医疗机构保护个人的健康信息。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

这位臭名昭著的黑客以“IntelBroker”为别名，声称已经攻破了位于迈阿密的地理空间情报公司 Space-Eyes 的网络基础设施。IntelBroker 在 Breach Forums 上发布的消息中吹嘘他的入侵速度很快，只需要“大约 10-15 分钟”即可访问敏感数据。 据 Space-Eyes 网站称，它专门服务于政府机构和组织，包括司法部、国土安全部、美国武装部队的各个部门以及国家地理空间情报局 (NGA) 等重要情报机构。如果所指控的违规行为属实，将对美国国家安全产生重大影响。 根据 IntelBroker 的说法，被盗数据包括“有关 Space-Eyes 在美国政府内部为国家安全提供的服务的高度机密文件”。这些数据的深度和特征极其敏感，包含有关美国国家安全的机密讨论、通信和简介，以及被拒绝进入美国或根据美国法律进行隔离的个人和船只。   转自安全客，原文链接：https://www.anquanke.com/post/id/295641 封面来源于网络，如有侵权请联系删除

芯片制造商 Nexperia声称其在2024年3月遭黑客攻击，导致数据被盗样本泄露。 Nexperia是中国闻泰科技的子公司，其在德国和英国均有半导体制造工厂。他们生产了1000亿个器件，包括晶体管、二极管、MOSFET和逻辑器件。 上周五，Nexperia披露了一起数据泄露事件，该事件导致IT系统关闭，而后对该事件展开调查以确定影响范围。 声明指出：“未经授权的第三方访问了Nexperia IT服务器。公司立即采取行动，将受影响系统与互联网断开连接，并采取了对应措施。目前调查正在进行中，公司已联系第三方专家以确定事件的性质和范围，并采取措施终止未经授权的访问。” Nexperia已向荷兰警方和数据保护机构报告了事件，并与FoxIT签约进行调查。 Dunghill Leak 声称对此次攻击负责 4月10日，”Dunghill Leak”声称入侵了Nexperia，窃取了1 TB的机密数据，并泄露了样本文件。 其还发布了电子元件、员工护照、保密协议和其他样本照片文件，但这些样本的真实性尚未得到Nexperia证实。 Nexperia 添加到 Dunghill Leak 勒索网站 Dunghill声称，如果不支付赎金，他们计划泄露以下数据： 371 GB设计和产品数据，包括QC、NDAs、商业秘密、技术规格、机密原理图和生产说明。 246 GB工程数据，包括内部研究和制造技术。 96 GB商业和营销数据，包括定价和营销分析。 41.5 GB公司数据，包括HR、员工个人详细信息、护照、保密协议等。 109 GB客户和用户数据，包括SpaceX、IBM、Apple和华为等品牌。 121.1 GB各种文件和杂项数据，包括电子邮件存储文件。 目前，BleepingComputer已联系Nexperia询问Dunghill声明真实性，目前尚未得到回复。据悉，Dunghill Leak网站与Dark Angels勒索软件团伙有密切，该团伙利用数据泄露网站迫使受攻击的组织支付赎金。 2023 年 9 月，Dark Angels 入侵了 楼宇自动化巨头江森自控 ，并加密了该公司的 VMWare 和 ESXi 虚拟机。 黑客在勒索信中警告称，如果不支付勒索费用，他们将在Dunghill Leak网站上发布被盗数据，目前暂未发布。 Dunghill Leak勒索网站列出了12个受害者，其中8个受害者的数据已全部或部分进行了公开，另外2个受害者被标记为“在暗网上出售”。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全供应商 Cisco Duo 警告，黑客闯入了一家用于发送 Duo MFA SMS 消息的身份不明的电话供应商，并窃取了可用于下游攻击的日志数据。 据思科数据隐私和事件响应团队的客户通知，此次泄露暴露了电话号码、电话运营商、元数据和其他可能导致网络钓鱼和社会工程攻击的日志。 思科警告道： “我们从[未透露姓名的电话提供商]了解到，黑客于 2024 年 4 月 1 日使用提供商员工的凭据获得了对该提供商内部系统的访问权限，该黑客通过网络钓鱼攻击非法获得了该凭据，并利用该访问权限下载一组与您的 Duo 帐户相关的 MFA 短信日志。” “更具体地说，黑客下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给您 Duo 帐户下的某些用户的 SMS 消息的消息日志。消息日志不包含任何消息内容，但包含电话号码，每条消息发送到的电话运营商、国家和州，以及其他元数据（例如消息的日期和时间、消息类型等）。” 据思科称，被入侵的电话提供商确认黑客没有下载或以其他方式访问任何消息的内容，也没有利用其访问权限向消息日志中包含的任何号码发送任何消息。 思科表示，拥有受影响 Duo 帐户的客户可以根据要求获得被盗消息日志的副本。 “由于黑客通过对提供商的社会工程攻击获得了对消息日志的访问权限，因此请立即通知电话号码在消息日志中受影响的用户此事件”，思科补充说：“我们要提醒他们保持警惕，并向相关事件响应团队或其他指定的此类事件联系人报告任何可疑的社会工程攻击。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295665 封面来源于网络，如有侵权请联系删除

在发生两起客户帐户遭到泄露的独立事件后，Roku现在强制要求其用户进行双因素身份验证(2FA)。 今年早些时候，大约有591,000名客户受到影响，第一起事件仅限于15,363个账户，这促使Roku密切关注客户账户活动，从而发现了另一起影响约576,000个账户的事件。 据报道，大约400名客户的账户被用来使用存储在账户中的财务凭据购买流媒体订阅和Roku硬件。 Roku表示，这些客户已获得了这些费用的报销，并且威胁行为者无法收集任何敏感的财务信息，比如完整的信用卡号码。根据发出的数据泄露通知信，社会安全号码、出生日期和其他信息也没有被访问。 Roku在其博客文章中表示，它认为这次攻击是使用撞库手段发生的，并表示除了要求所有用户执行2FA之外，还重置了受影响帐户的密码。 根据Roku的博客文章，“下次尝试在线登录Roku帐户时，验证链接将发送到与帐户关联的电子邮件地址，点击电子邮件中的链接才能访问该帐户。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295662 封面来源于网络，如有侵权请联系删除