法国西海岸卢瓦尔河附近五个市的当地网络服务器遭到大规模网络攻击，导致政府雇员无法访问文件并无法执行其工作。 根据圣纳泽尔市网站上的一份声明，以下市镇的网络服务目前中断：圣纳泽尔、东厄、波尔尼歇、蒙图瓦布列塔尼和拉沙佩勒马莱。它们位于海港周围，总人口约10万。 当地官员警告称，恢复可能需要数月时间。他们每天都会召开有关这一情况的会议，强调该事件的重要性。法国网络安全机构ANSSI也正在提供一切可能的支持，以尽快消除攻击的后果。 据圣纳泽尔领导层称，袭击发生在4月9日晚。第二天早上，当地政府工作人员报到上班时，被要求不要打开电脑或用手机查看电子邮件。 目前，受影响的政府官员无法访问工作空间、文件或业务软件，因此无法完成工作。 圣纳泽尔市市长达维·萨姆森警告说：“这次攻击将产生严重后果。”市政当局的电子邮件和电话系统目前已停止服务。 该事件的性质尚未得到证实。目前尚不清楚攻击者是否能够窃取当地居民或政府雇员的数据。 据当地政府称，此次攻击于3月10日晚开始，是 在 3 月份法国多个政府组织遭受强大 DDoS 攻击之后发生的。然而专家们迅速采取措施，减少了对大多数服务的影响并完全恢复了对这些服务的访问。   转自安全客，原文链接：https://www.anquanke.com/post/id/295635 封面来源于网络，如有侵权请联系删除

Proofpoint警告称，TA547集团正在使用名为Rhadamanthys的信息窃取程序攻击数十家德国组织。 Proofpoint研究人员观察到一个被追踪为TA547的威胁行为者，通过发送Rhadamanthys恶意软件的电子邮件活动攻击德国组织。 TA547是一个受利益的威胁行为者，至少从2017年11月开始就一直活跃，它被观察到进行了多次活动，以交付各种Android和Windows恶意软件，包括DanaBot、Gootkit、Lumma stealer、NetSupport RAT、Ursnif和ZLoader。 该组织还作为初始访问代理(IAB)运营，并以不同的地理区域为目标。 研究人员指出，这是第一个使用此恶意软件家族的TA547集团。在过去的活动中，该组织使用了可能由ChatGPT、Gemini、CoPilot等大型语言模型(LLM)生成的PowerShell脚本。 TA547集团假冒德国零售公司Metro向受害者发送电子邮件，据称与发票有关。这些消息包含一个密码保护的ZIP文件，打开后包含一个链接文件。执行链接文件时，它会触发PowerShell运行远程PowerShell脚本。远程PowerShell脚本解码了存储在变量中的Base64编码的Rhadamanthys可执行文件，并将其作为程序集加载到内存中，然后执行它。专家们注意到，恶意代码直接在内存中执行，而没有将任何工件写入磁盘。“值得注意的是，当解混淆时，用于加载Rhadamanthys的第二个PowerShell脚本包含有趣的特征，这些特征在威胁行为者(或合法程序员)使用的代码中通常不常见。 具体来说，PowerShell脚本在脚本的每个组件上方都包含一个磅符号，后面跟着语法正确且超特定的注释。” Proofpoint发布的报告中写道。“这是LLM生成的编码内容的典型输出，表明TA547使用了某种类型的LLM启用工具来编写(或重写)PowerShell，或从其他使用过它的来源复制了脚本。” 这次活动表明威胁行为者的技术转变，利用压缩链接和以前未见过的Rhadamanthys窃取恶意软件。 专家们还发现了在恶意软件活动中使用LLM的企图。 报告总结道：“LLM可以帮助威胁行为者理解其他威胁行为者使用的更复杂的攻击链，使他们能够在理解功能后重新使用这些技术。就像LLM生成的社会工程诱饵一样，威胁行为者可能会将这些资源纳入整个活动中。” “然而，值得注意的是，虽然TA547将可疑的LLM生成的内容纳入整个攻击链，但它并没有改变恶意软件的功能或效力，也没有改变安全工具对它的防御方式。在这种情况下，潜在的LLM生成的代码是一个脚本，它有助于交付恶意软件的有效载荷，但没有观察到它改变了有效载荷本身。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/HJiuPyuiO6HSUSJRJbtp3Q 封面来源于网络，如有侵权请联系删除

位于俄克拉荷马州艾达的东中央大学最近在二月份遭遇了定向网络攻击。 虽然对 ECU 的网络攻击并未成功损害该大学的关键服务，但它确实成功渗透到了校园的各种计算机，对数据安全和完整性构成了威胁。 “2024年2月16日，东中央大学遭遇网络犯罪组织定向攻击。虽然犯罪分子未能成功摧毁 ECU 的关键服务，但他们成功地对各种校园计算机进行了攻击。”东中央大学网站上的通知中写道 对 ECU 的网络攻击：响应和缓解 在检测到入侵事件后，ECU 的 IT 部门迅速动员第三方网络安全响应团队来遏制和减轻攻击。各团队密切合作，启动了事件响应协议，以评估ECU网络攻击的程度、强化防御、进行取证分析并获得对园区网络和系统的可见性。 通知进一步写道：“两个团队立即开始通过事件响应协议来确定攻击范围、部署对策、收集取证数据并获得对校园网络/系统的可见性。” 与此同时，ECU 开始进行密码重置、关键服务评估以及实施事件响应策略，以遏制违规行为的影响。 为了让大学社区了解情况并解决个人关心的问题，ECU 开发了各种内部沟通渠道。直接向相关方发送电子邮件更新，为员工举办强制性论坛，并为学生组织可选的公共论坛，以提供更多信息并回答问题。 此外，还创建了包含常见问题 (FAQ) 的专用网页，提供有关 ECU 网络攻击的全面详细信息。为了协助查询，ECU 为寻求进一步澄清或表达疑虑的个人设立了指定的电子邮件地址和电话号码。 数据调查 对攻击期间数据泄露程度的调查仍在进行中。目前，没有证据表明任何信息被访问或获取。然而，ECU 最近发现网络犯罪团伙可能获取了一定数量的个人姓名和社会安全号码。 虽然没有确认未经授权的访问或数据被盗的情况，但大学在继续彻底调查此事的同时提供了此通知。 “本周，我们确定犯罪团伙可能获取了一些个人姓名和社会保障号码——虽然我们无法确认这些信息实际上已被获取，更不用说被盗取了，但我们在提供此通知的同时，我们还继续调查，”通知中写道。 高等教育机构面临的网络威胁 该事件凸显了网络犯罪分子越来越多地将高等教育机构作为目标。同样，温尼伯大学最近证实了上个月发生的一次网络入侵，显示现任和前任学生和员工的个人信息被盗。 3 约24 日发现的这一泄露事件迅速演变为重大数据泄露事件，令大学社区深感震惊。 随着教育机构面临网络威胁，加强网络安全措施和主动事件响应策略的需求变得越来越重要。大学必须保持警惕，不断调整其安全协议，并优先保护敏感数据，以保护学生、员工和利益相关者的隐私和信任。   转自安全客，原文链接：https://www.anquanke.com/post/id/295541 封面来源于网络，如有侵权请联系删除

法国西海岸卢瓦尔河附近的五个城市的共享计算机服务器遭到“大规模网络攻击”，导致工作人员无法访问文件或继续工作。 根据圣纳泽尔网站的一份声明，目前圣纳泽尔、布列塔尼蒙图瓦、东日、拉沙佩勒玛莱和波尔尼谢的服务已关闭。他们聚集在一个海港周围，总人口约为 10 万。 官员警告当地媒体，恢复可能需要数月时间。危机会议由圣纳泽尔市长主持，目前每天举行两次，分别在上午 11 点和下午 5 点。法国网络安全机构 ANSSI 正在对此提供支持。 根据圣纳泽尔的公告，袭击发生在周二晚上。受影响地方当局的官员无法访问其工作空间、文件或业务软件。当地媒体报道称，当工作人员周三早上到达时，他们被告知不要打开电脑，也不要使用手机检查收件箱。 市长大卫·萨姆尊警告说，这次袭击将产生“严重后果”。各市使用的电子邮件和电话系统目前已关闭。目前尚不清楚哪些服务因安全预防措施而被关闭，哪些服务因攻击而关闭。 该事件的性质尚未得到证实，也不清楚攻击者是否能够窃取居民的数据。地方当局表示：“现阶段，网络攻击的起源以及封锁的持续时间尚不清楚。” 此前，一月份法国布列塔尼小镇遭遇勒索软件攻击，导致所有社区服务暂时关闭。 据法国隐私监管机构称，1 月底，法国超过 3300 万人（约占总人口一半）的数据在一次网络攻击中遭到泄露。 消息来源：The Record，译者：Lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全内参4月11日消息，一家名为Ph1ns的黑客组织宣布，对菲律宾科技部（科学和技术部，DOST）的服务器进行了毁灭性攻击，这在菲律宾网络社区引发了热议。 该组织声称，已经获得对虚拟机管理器、网络附加存储（NAS）和路由器等关键基础设施的访问权限，甚至获取了域管理员权限，从而能够无限制地访问员工的计算机。雪上加霜的是，他们还夸耀称加密了域控制器，有效地封锁了授权用户的访问。 菲律宾信息和通信技术部（DICT）的消息人士透露，黑客删除了25TB数据，造成一片混乱。然而，这些入侵者不仅仅删除了数据。Ph1ns组织在受到威胁的服务器上留下了这样的信息：“这个网站被菲律宾人民夺取了！” 菲律宾信息和通信技术部基础设施管理、网络安全和技能提升副秘书长Jeffrey Ian C. Dy表示：“我们报警系统在夜间10点左右检测到了对科技部的攻击。我们认识到需要改进国家网络安全运营中心（NSOC）的自动响应机制。目前，我们正在与科技部合作，尽快恢复他们的服务，并提高我们的检测和事件响应能力。我们还已经通知了我们在国家调查局（NBI）和安全机构的联系人，告知对方一个本地组织声称对此次攻击负责。” 网络攻击伴随政治目的，企图掀起反抗活动 Ph1ns组织的留言涉及社会政治议题，批评政治家族及其寡头盟友的权力影响，声称这些人并不能代表大多数人的利益。黑客指责这些精英人物操纵政治格局，推动他们的议程，而普通的菲律宾家庭在缺乏足够支持的情况下只能挣扎求存。 黑客的留言明确反对“报答政客的恩惠”（Utang na Loob），呼吁结束对寡头的长期偏爱，并强烈反对任何可能将经济权力进一步集中在富人手中的宪法修正案。 Ph1ns组织在留言中以#opEDSA作为签名，显然是在向1986年历史性的人民力量革命致敬。Ph1ns组织邀请其他人加入他们的事业，利用网络武器反对他们眼中根深蒂固的腐败和不平等问题。这一行动呼吁不禁令人思考几个重要问题：当代社会中骇客主义起到什么作用？网络攻击作为反抗和活动主义工具的潜力如何？ Ph1ns组织还大胆地提供了一个电子邮件地址，ph1ns@proton.me，鼓励对他们的事业持同情态度的人们联系并加入这场数字圣战。 Ph1ns对菲律宾科技部服务器的渗透向大众发出警示，即使是看似非常安全的系统，在面对决心坚定的网络对手时也是脆弱的。这一事件还展现了政治动机的网络攻击的增长趋势，其中网络攻击被用作反抗和活动主义的工具，而不仅仅是出于间谍和财务利益。在菲律宾当局努力控制后果并加强网络安全措施的同时，关于骇客主义的伦理和有效性的争论仍在继续。   转自安全内参，原文链接：https://www.secrss.com/articles/65168 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞，该漏洞是2018 年曝出的严重处理器“幽灵”（Spectre）漏洞 v2 衍生版本，利用该漏洞可以从内存中读取敏感数据，主要影响英特尔处理器 + Linux 发行版组合设备。 阿姆斯特丹自由大学系统与网络安全小组（VUSec）的研究人员在一份新的研究报告中提到，该漏洞被称为 “本地分支历史注入漏洞”，被追踪为 CVE-2024-2201。此漏洞可以绕过现有的 Spectre v2/BHI 缓解措施，以 3.5 kB/sec 的速度泄漏任意内核内存。 现阶段很难有效修复 Spectre v2 漏洞，这和处理器现有的推测执行（Speculative execution）机制有关。 推测执行是一种性能优化技术，现代处理器会猜测下一步将执行哪些指令，并提前执行从而加快响应速度。 VUSec 于 2022 年 3 月首次披露了 BHI，并将其描述为一种可以绕过英特尔、AMD 和 Arm 现代处理器中 Spectre v2 保护的技术。虽然该攻击利用了扩展的伯克利数据包过滤器（eBPF），但英特尔为解决该问题提出了禁用 Linux 非特权 eBPF的建议。 英特尔公司表示，特权管理运行时可以配置为允许非特权用户在特权域中生成和执行代码–例如Linux的’非特权eBPF’，这大大增加了瞬时执行攻击的风险，即使存在针对模式内分支目标注入的防御措施。 可以对内核进行配置，在默认情况下拒绝访问非特权 eBPF，同时仍允许管理员在需要时在运行时启用它”。原生 BHI 通过证明 BHI 无需 eBPF 即可实现，从而抵消了这一反制措施。它可能会影响所有易受 BHI 影响的英特尔系统。 访问 CPU 资源的攻击者可以通过安装在机器上的恶意软件影响推测执行路径，从而提取与不同进程相关的敏感数据。 CERT 协调中心（CERT/CC）在一份公告中提到：禁用特权 eBPF 和启用（Fine）IBT 的现有缓解技术目前不足以阻止针对内核/管理程序的 BHI 攻击。未经认证的攻击者可以利用这个漏洞，通过投机性跳转到所选的小工具，从 CPU 泄漏特权内存。 Spectre v2 漏洞利用 经证实，该漏洞已经影响到了 Illumos、英特尔、红帽、SUSE Linux、Triton Data Center 和 Xen等多个系统。 据悉，该漏洞是 Spectre v1 的一个变种，能够通过利用推测执行和竞争条件的组合泄漏 CPU 架构的数据。 苏黎世联邦理工学院（ETH Zurich）的最新研究披露了一系列被称为 “Ahoi攻击 “的攻击，这些攻击可用于破坏基于硬件的可信执行环境（TEE）和破解机密虚拟机（CVM），如AMD安全加密虚拟化-安全嵌套分页（SEV-SNP）和英特尔信任域扩展（TDX）。 这些代号为 Heckler 和 WeSee 的攻击利用恶意中断破坏CVM的完整性，允许威胁者远程登录并获得高级访问权限，以及执行任意读、写和代码注入以禁用防火墙规则和打开root shell。 研究人员表示：Ahoi 攻击是攻击者通过利用管理程序向受害者的vCPU注入恶意中断，并诱使其执行中断处理程序而实现的。这些中断处理程序可以产生全局效应，比如改变应用程序中的寄存器状态等等，攻击者可以触发这些中断处理程序，从而成功入侵受害者的CVM。 目前，英特尔更新了针对 Spectre v2 的缓解建议，现在建议禁用非特权扩展伯克利数据包过滤器（eBPF）功能、启用增强型间接分支限制猜测（eIBRS）和启用监控模式执行保护（SMEP）。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397580.html 封面来源于网络，如有侵权请联系删除

巴黎圣日耳曼（PSG）作为法国顶级足球俱乐部之一，遭受了网络攻击。在即将举行的欧冠四分之一决赛前，俱乐部的票务系统成为攻击者的明确目标，引发了对数据安全和球迷信息安全的担忧。 4月3日，巴黎圣日耳曼队信息系统部门发现俱乐部票务系统遭到了异常访问尝试。网络安全团队立即响应，并在不到24小时内检测并修复了漏洞。为加强防御，俱乐部迅速实施了额外的安全措施。 Trustifi的高级威胁防护有效阻止了复杂攻击进入用户邮箱，阻止其他电子邮件安全解决方案错过的 99% 的网络钓鱼攻击。 PSG积极采取措施，于4月5日向CNIL通报了此次违规事件，并开始通知受影响的个人。据《巴黎人报》报道称，一家法国足球俱乐部的票务系统遭到了网络攻击。 忧虑中的安慰 在欧冠四分之一决赛即将到来之际，巴黎圣日耳曼票务系统遭受网络攻击，暴露了球迷和利益相关者的身份数据。 尽管没有证据显示攻击者已经获取或利用了数据，但泄露包括姓名、电子邮件和邮政地址、手机号码、出生日期、账户状态以及部分 IBAN。 俱乐部已采取行动，包括向监管机构通报事件并通知受影响的个人。他们向支持者保证已采取措施解决问题并防止类似事件再次发生，但这次攻击突显了即使是顶级俱乐部在数字基础设施中也面临的漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/295455 封面来源于网络，如有侵权请联系删除

近日，莫斯科网络安全公司 F.A.C.C.T. 的研究人员发现一个新的勒索软件团伙一直在利用黑客组织 Conti 泄露的源代码向俄罗斯企业发动恶意软件攻击。 该团伙被 F.A.C.C.T. 的研究人员称为 “Muliaka”，英文名称为 “Muddy Water”，其攻击留下的痕迹极少，但大概从 2023 年 12 月开始活跃。 根据 F.A.C.C.T. 的报告描述，”Muliaka” 在一月份通过加密一个未具名的俄罗斯企业的 Windows 系统和 VMware ESXi 虚拟基础设施来发起攻击。 为了远程访问受害者的 IT 基础架构，”Muliaka” 使用了该公司的虚拟专用网络 (VPN) 服务。另外，他们还将勒索软件伪装成公司计算机上安装的流行杀毒软件，以感染目标网络。 据分析，与最初的 Conti 恶意软件不同，Muliaka 开发的恶意软件（其名称来自该组织发送的一封钓鱼电子邮件）在开始文件加密之前会终止受害者计算机上的进程并停止某些系统服务。研究人员指出，Muliaka 的变种是 ” Conti 泄密事件后创建的其他恶意工具中最引人注目的变种之一”。 目前，研究人员无法确定该团伙的来源，也没有透露索要赎金的数额或目标公司是否支付了赎金。 F.A.C.C.T.表示，许多出于经济动机的黑客组织正在利用俄罗斯目前的地缘政治形势加大攻击力度，不受惩罚以及大量对企业网络安全漠不关心的潜在受害者是他们的主要攻击目标。   转自Freebuf，原文链接：https://www.freebuf.com/news/397388.html 封面来源于网络，如有侵权请联系删除

美国医疗服务提供商Group Health Cooperative（GHC-SCW ）透露，勒索软件团伙在1月份侵入其网络，窃取了包含超50万人的个人和医疗信息的文件。 此次被盗的信息包括： 患者姓名 地址 电话号码 电子邮件地址 出生或死亡日期 社会安全号码 会员人数 医疗保险及医疗补助号码 该卫生组织于2024年1月25日发现系统遭到未经授权访问，导致GHC-SCW多个系统瘫痪，攻击者试图加密系统但未成功。 GHC-SCW已向FBI报告了此次网络攻击，并聘请外部网络安全代理处理，确认黑客已复制了GHC-SCW的数据。 GHC-SCW表示已与FBI和CISA合作，并采取额外措施减轻事件可能造成的伤害。 医疗保健提供商已在其IT和网络系统中增强了安全措施，受攻击影响的人员将获得为期一年的监控服务。 BlackSuit 勒索软件声称认领 尽管该组织没有透露1月份泄露事件的威胁组织名称，但BlackSuit勒索软件团伙声称对3月份的攻击负责。 攻击者称：被盗文件还包括受影响患者的财务信息、员工数据、商业合同和电子邮件通信。 BlackSuit 泄露网站上的 GHC-SCW 条目 BlackSuit的暗网自去年5月首次被发现以来，已增加了数十名受害者，但人们对这一勒索软件背后的组织知之甚少。 今年6月，Royal勒索软件团伙（被认为是Conti组织的继承者）开始测试一种名为BlackSuit的新加密器，此前有传言称他们可能重新命名。 随后，Royal更名为BlackSuit，并采用了类似Conti2的更加集中的运营模式。 据FBI和CISA在11月的联合通报，自2022年9月以来，Royal勒索软件团伙已经侵入全球至少350个组织的网络，索要超2.75亿美元赎金。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

摩洛哥和西撒哈拉地区的人权活动人士成为新黑客组织的目标，攻击者利用网络钓鱼攻击诱骗受害者安装虚假 Android 应用程序，并为 Windows 用户提供凭据收集页面。 Cisco Talos 正在以Starry Addax 命名跟踪该活动集群，并将其描述为主要针对与阿拉伯撒哈拉国家 (SADR) 有关的活动分子。 技术报告全文：https://blog.talosintelligence.com/starry-addax/ Starry Addax 的基础设施 – ondroid[.]site 和 ondroid[.]store – 旨在针对 Android 和 Windows 用户，后者涉及伪装成流行社交媒体网站登录页面的虚假网站。 恶意应用程序的启动屏幕 Starry Addax 的基础设施 – ondroid[.]site 和 ondroid[.]store – 旨在针对 Android 和 Windows 用户，后者涉及伪装成流行社交媒体网站登录页面的虚假网站。 据信该黑客组织自 2024 年 1 月以来一直活跃，已知会向目标发送鱼叉式网络钓鱼电子邮件，敦促收件人安装撒哈拉新闻服务的移动应用程序或与该地区相关的诱饵。 根据发出请求的操作系统，目标要么会收到冒充 Sahara Press Service 的恶意 APK，要么会被重定向到社交媒体登录页面以获取其凭据。 这种名为 FlexStarling 的新型 Android 恶意软件用途广泛，能够提供额外的恶意软件组件并从受感染的设备中窃取敏感信息。 安装后，它会请求受害者授予其广泛的权限，允许恶意软件执行恶意操作，包括从基于 Firebase 的命令和控制 (C2) 获取要执行的命令。 Cisco Talos研究人员说：“像这样针对高价值个人的活动通常打算长时间潜伏在设备上。” “从恶意软件到操作基础设施的所有组件似乎都是针对这一特定活动定制的，这表明该活动非常注重隐藏活动。” 这一进展正值一种名为Oxycorat的新型商业 Android 远程访问木马 (RAT) 出现之际，该木马正在出售，具有多种信息收集功能。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ODcjJkoCdD4RaPiu8VQn9A 封面来源于网络，如有侵权请联系删除