俄罗斯对外情报局（SVR）声称，美国正密谋干预即将于本月举行的俄罗斯总统选举。据路透社报道，SVR 称，美国攻击网络攻击计划对俄罗斯投票系统，以扰乱运行并干扰计票过程。 据路透社报道，SVR 发表的一份声明称，“根据俄罗斯联邦对外情报局收到的信息，拜登政府正在为美国非政府组织设定一项任务，以实现减少投票率” 。“在美国领先IT专家的参与下，计划对远程电子投票系统进行网络攻击，这将使相当一部分俄罗斯选民无法投票、计票。” 莫斯科警告称，任何外国干预选举的行为都将被视为对俄罗斯的侵略行为。 俄罗斯政府同时否认对即将于11月举行的美国总统选举进行任何干预。 “我们从未干预过美国的选举。”克里姆林宫发言人德米特里·佩斯科夫(Dmitry Peskov)在给学生举办的关于俄罗斯刻板印象的讲座中说道，偶尔会用英语说。 “这一次，我们不打算干涉……我们不会向任何人发号施令，但我们也不希望别人对我们发号施令。”佩斯科夫说。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/prDGV5YuAqdQLXrjdYq-rQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 据宏碁菲律宾公司证实，其员工出勤数据管理的第三方供应商遭到黑客攻击，并在黑客论坛上泄露了相关数据。 宏碁是一家台湾计算机硬件和电子产品制造商，以其在性能、质量和价格方面取得良好平衡的笔记本电脑而闻名。 今年初，一个名为“ph1ns”的威胁行为者在黑客论坛上发布了一个链接，可以免费下载包含 Acer 员工数据的被盗数据库。 黑客发布帖子截图 攻击者告诉BleepingComputer，这次攻击并未涉及勒索软件或加密，仅仅是一次纯粹的数据盗窃事件。其进一步向BleepingComputer确认，他们并没有试图对公司进行勒索。然而，提供的证据表明，在失去访问权限之前，已经在被入侵的服务器上擦除了数据。 目前宏碁发言人证实被盗数据确实属于公司，但并非直接从公司系统获取。 该公司发言人表示：“确认一家外部供应商遭受了网络攻击，导致部分员工数据泄露。公司与供应商、网络安全专家和执法部门合作，发现没有客户数据受到影响，也没有证据表明公司系统遭受破坏。” 随后针对该事件在X上发布了声明。 宏碁声明全文 该电脑制造商已通知菲律宾国家隐私委员会（NPC）和网络犯罪调查和协调中心（CICC），并已对该事件展开调查。 往期安全事件回顾 近年来，宏碁发生了多起安全事件。2023年2月，黑客入侵了公司服务器，泄露了技术手册、软件工具、BIOS映像和替换数字产品密钥（RDPK）等数据。 2021年10月，宏碁承认其位于印度的售后服务遭到破坏，数百万条包含客户数据的记录被盗。同年3月，宏碁遭受了REvil勒索软件攻击，该攻击要求支付5000万美元赎金。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

臭名昭著的黑客组织 Earth Kapre（也称为 RedCurl 和 Red Wolf）一直利用武器化的ISO 和 IMG 文件瞄准全球各地的组织。 Earth Kapre 的业务遍及俄罗斯、德国、乌克兰、英国、斯洛文尼亚、加拿大、澳大利亚和美国。该组织通过包含 .iso 和 .img 文件形式的恶意附件的网络钓鱼电子邮件发起攻击。一旦收件人打开这些文件，恶意软件就会在系统中建立立足点，为数据盗窃和间谍活动创造条件。 恶意附件 执行后，这些附件会触发创建持久性计划任务，确保恶意软件在受感染的系统中保持活动状态。 此技术有助于未经授权收集敏感数据并将其传输到攻击者操作的命令和控制 (C&C) 服务器。 多重耐药调查 趋势科技托管扩展检测和响应 (MDR)和事件响应 (IR) 团队对涉及大量计算机被 Earth Kapre 下载程序感染的事件进行了彻底调查。观察到该恶意软件与其 C&C 服务器建立连接，暗示存在潜在的数据盗窃情况。 调查发现，使用Powershell.exe 和curl.exe 等合法工具来下载更多恶意负载，展示了 Earth Kapre 复杂的规避技术。Earth Kapre通过融入网络并逃避检测，利用程序兼容性助手 (pcalua.exe) 执行恶意命令行。 这种方法使该组织能够在雷达下运作，利用与合法系统工具相关的信任来开展其邪恶活动。 数据盗窃场景 调查揭露了Earth Kapre精心策划的复杂数据盗窃场景。 该小组使用Python 脚本建立出站通信并执行远程命令，表明使用 Impacket 库进行 Windows 网络协议交互。 Trend Vision One™ 执行配置文件显示使用“curl.exe”下载的 Earth Kapre 加载程序。 Earth Kapre 黑客组织的最新活动凸显了复杂的网络间谍活动所构成的持续而活跃的威胁。 Earth Kapre雷攻击链 通过利用带有武器化 ISO 和 IMG 文件的网络钓鱼电子邮件，该组织已证明其有能力渗透全球范围内的各种组织。使用合法工具进行恶意目的进一步凸显了该组织在逃避检测和实现其目标方面的独创性。   转自安全客，原文链接：https://www.anquanke.com/post/id/293818 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Ultimate Member 插件中的高危 XSS 漏洞允许攻击者将脚本注入 WordPress 网站。 WordPress 安全公司 Defiant 的 Wordfence 团队发出警告称，Ultimate Member 插件中存在一个高危漏洞，可被利用将恶意脚本注入 WordPress 网站。 该漏洞编号为 CVE-2024-2123，被描述为跨站脚本（XSS）问题，利用了多个参数存储，允许攻击者将恶意脚本注入WordPress网站页面，并在加载这些页面时执行。 Wordfence解释称，该漏洞的根本原因在于Ultimate Member插件在输入清理和输出转义方面存在不足。具体而言，该插件的成员目录列表功能的实现不安全，未经身份验证的攻击者能够利用这一缺陷注入Web脚本。 由于“用户显示名称在插件模板文件中未经过转义显示”，并且用于编译用户数据的函数也不使用转义函数，因此攻击者可以在注册过程中提供恶意脚本作为用户名。 Wordfence 指出，通常情况下，CVE-2024-2123 等 XSS 漏洞可被利用注入代码来创建新的管理帐户、将访问者重定向到恶意网站或注入后门。 “由于该漏洞允许未经身份验证的攻击者在易受攻击的网站上利用，攻击者成功利用该漏洞后，可能获取运行易受攻击版本的插件的网站的管理用户访问权限， ”Wordfence 指出。 Wordfence指出，该安全漏洞于2月28日通过其漏洞赏金计划提交。插件的开发人员于3月2日获悉漏洞，并于3月6日发布了补丁。 此安全漏洞影响Ultimate Member 2.8.3及更早版本。建议用户尽快更新至Ultimate Member 2.8.4版本以修复该漏洞。 Ultimate Member是一个用于WordPress的用户配置文件和会员插件，拥有超过200,000个活跃安装。 根据WordPress的统计数据，在过去7天内，该插件被下载了约100,000次，这表明其一半用户仍然容易受到 CVE-2024-2123 的攻击。 消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

该漏洞影响全球超过 100 万辆特斯拉 Model 3 车辆。 安全研究人员Talal Haj Bakri和Tommy Misk展示了如何利用网络钓鱼攻击来危害特斯拉车主的帐户，解锁汽车并启动发动机。这次攻击与特斯拉应用程序的最新版本4.30.6和汽车固件版本11.1 2024.2.7有关。 研究人员已向特斯拉报告了他们发现的漏洞，并指出将汽车与新手机连接的程序存在安全性问题。然而，制造商认为这个错误微不足道。 为了演示攻击，他们使用了Flipper Zero小工具，但也可以使用其他设备（计算机、Raspberry Pi或 Android 智能手机）进行攻击。 攻击首先在特斯拉充电站部署了一个名为“Tesla Guest”的虚假WiFi网络。这个SSID通常可以在特斯拉服务中心找到，并且为车主所熟知。连接到虚假网络后，受害者会看到一个钓鱼特斯拉帐户登录页面，其中输入的凭据会立即发送给攻击者。 网络钓鱼过程   攻击者在获取了特斯拉车主的凭据后，请求一次性密码以绕过双因素身份验证 (2FA) 并获得对特斯拉应用程序的访问权限，从而能够实时跟踪车辆的位置。 一旦攻击者获得了特斯拉帐户的访问权限，他们可以添加新的电话钥匙，而这需要靠近汽车。电话钥匙通过特斯拉移动应用程序和车主的智能手机工作，提供通过安全蓝牙连接自动锁定和解锁车辆的功能。 值得注意的是，一旦添加了新的电话钥匙，特斯拉车主在应用程序中不会收到任何通知，汽车的触摸屏上也不会显示任何警告。使用新的电话钥匙，攻击者可以解锁车辆并激活其所有系统，使其能够像车主一样开车离开。 这种攻击在特斯拉 Model 3 上成功进行。研究人员建议在添加新的电话钥匙时，需要物理特斯拉钥匙卡（RFID 卡）来增加额外的身份验证层，以提高安全性。 特斯拉汽车还使用钥匙卡，这是一种薄的RFID卡，必须放置在中控台上的RFID读取器中才能启动汽车。尽管它们更安全，但如果电话钥匙不可用或电池电量不足，特斯拉将它们视为备用选项。 对于这一漏洞，特斯拉表示，相关系统行为是设计使然，特斯拉Model 3用户手册并未表明需要RFID卡才能添加Phone Key。特斯拉没有回应置评请求，也没有计划发布软件更新来防止此类攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/293736 封面来源于网络，如有侵权请联系删除

比利时著名品牌Duvel Moortgat 啤酒遭受勒索软件攻击，导致其工厂啤酒生产关闭。 其公司代表告诉记者：IDS 系统于 3 月 5 日晚检测到了这次攻击。生产目前暂停，恢复时间尚未确定。尽管生产受影响，但公司表示仓库有足够的库存，不会影响产品分销。 Reddit 上的啤酒迷幽默地 回应了这一事件 ，称其为“国家灾难”，并询问是否有“战略储备”。然而，一些人对如果生产需要很长时间才能恢复的话某些 Duvel 啤酒的价格可能上涨表示担忧和愤怒。 Reddit上的啤酒爱好者以幽默态度称其为“国家灾难”，并担心某些Duvel啤酒价格可能上涨。尚无勒索软件组织宣称对攻击负责，也不清楚是否只影响了比利时Breendock工厂或其他生产设施。攻击对机密数据影响尚不明确，但主要影响是生产运营中断。   转自安全客，原文链接：https://www.anquanke.com/post/id/293701 封面来源于网络，如有侵权请联系删除

纽约医疗保健提供商Northeast Orthopaedics and Sports Medicine遭受网络攻击，危及超过177,000人的数据，其中许多是患者。 该公司在全州设有9个中心，于11月22日首次发现计算机系统遭到入侵，并在12月29日确认了对网络数据的未经授权访问。医疗机构于2月9日在网站上发布了声明，公告称可能泄露的数据包括患者姓名、社会安全号码、驾驶执照信息、付款信息、出生日期、病历信息、健康保险信息以及治疗和诊断信息。 3月5日向缅因州总检察长办公室发送的进一步通知指出，事件影响了177,276人，但尚不清楚其中是否全部为患者，可能还包括工作人员和第三方机构。 缅因州对受影响居民的网络攻击实施了严格的报告要求，尽管此次事件仅影响了42人。 Northeast Orthopedics已联系这些人，并提供免费的信用监控和身份保护服务，包括高达100万美元的身份盗窃保险。 截至目前，尚未发现被盗数据被滥用的证据。该机构已聘请网络安全公司重新保护网络，并采取额外预防措施，同时审查其数据保护政策。他们建议个人通过审查信用报告和账户报表，并保持警惕，以发现可能的身份盗窃和欺诈活动。   转自安全客，原文链接：https://www.anquanke.com/post/id/293681 封面来源于网络，如有侵权请联系删除

微软旗下的LinkedIn在周三出现数千名用户瘫痪，而一天前，Meta的Facebook和Instagram导致数十万用户账户被锁定数小时。 根据DownDetector.com数据，服务中断始于美国东部时间下午3:30左右，高峰时期有近50,000名用户受影响。 根据DownDetector显示，截至美国东部时间下午5:00，有65%的LinkedIn用户报告了该网站的问题，32%的用户报告了应用程序存在问题。 互联网自由监督组织Netblocks报告称，LinkedIn在多个国家遇到中断，但与任何国家级互联网中断或过滤无关。LinkedIn用户开始在社交媒体上使用热门标签#linkedindown来查找或回答相关信息。  “@LinkedIn 似乎已关闭，无法在移动设备或浏览器上加载……还有其他人吗？” 一位用户在 X 上发帖。 周一早上，Meta的社交网络平台套件全球超过60万用户推出，包括美国、欧洲和印度。Facebook和Instagram用户无法访问他们的账户，一些人被告知密码不正确。其他Meta拥有的服务Threads和Messenger也受到影响。 Meta向用户道歉，发言人安迪·斯通表示，中断是由技术问题造成的。然而，周二，该公司新闻办公室向Cybernews暗示，问题可能是黑客企图造成的。   “我们正在努力。早些时候曾发生过安全漏洞。请访问我们的状态页面以获取更新。”Meta 在询问长达数小时的中断时回复 Cybernews。 此外，以向目标发起分布式拒绝服务 (DDoS) 攻击而闻名的三个不同的黑客组织在事后将网络中断归咎于天网、哥斯拉和匿名苏丹。 截至美国东部时间下午 5:30，LinkedIn 服务已恢复。尽管微软和 LinkedIn 都承认了短暂的中断，但都没有对其背后的原因发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/293664 封面来源于网络，如有侵权请联系删除

趋势科技发现了来自RA World（RA Group）勒索软件组织的新一轮活动。该组织自2023年4月开始进行恶意活动，并在此期间成功攻击了美国、德国、印度和台湾等国家的多个组织，主要集中在医疗保健和金融领域。 研究人员透露，最新一波 RA World 攻击针对的是拉丁美洲的多家医疗机构。这些攻击分几个阶段进行。 初始访问：首先是黑客通过域控制器渗透计算机系统。编辑组策略 (GPO) 允许攻击者在受害者的系统上设置自己的规则。 第 1 阶段（Stage1.exe）：一旦成功渗透系统，病毒会利用“Stage1.exe”文件进行网络评估，包括检查域控制器并准备复制病毒的下一步行动。 第 2 阶段（Stage2.exe）：在此阶段，病毒开始自我复制到网络上其他计算机，并启动准备加密文件的过程。“Stage2.exe”负责在目标网络内传播恶意代码，为发起主要攻击打下基础。 第 3 阶段（Stage3.exe）：这是病毒激活的最终阶段，涉及对受感染计算机上的文件进行加密，并要求支付赎金以恢复文件。该阶段采用复杂的加密技术，使用户和系统无法访问这些文件。 RA World多阶段攻击方案   此外，该恶意软件能够在特殊安全模式下重新启动系统，以规避防病毒软件的检测。它还会在攻击执行后清除其痕迹，使研究人员更难分析。 为了最大限度地降低成为RA World攻击受害者的风险，建议采用最佳安全实践：限制管理权限、及时更新所使用的软件、定期进行数据备份、在与电子邮件和网站交互时保持小心谨慎，并对公司员工进行网络安全基础知识培训。   转自安全客，原文链接：https://www.anquanke.com/post/id/293631 封面来源于网络，如有侵权请联系删除

近日，Change Healthcare网络攻击引发的经济影响愈发明显。专家指出，包括医院和药店网络在内的一些大型企业，正承受着每天高达1亿美元的运营中断损失。 网络安全公司First Health Advisory的高管Toby Gouker表示，这些损失并不完全等同于资金流失，用“延期收款”来描述更为准确。对于许多主要的医疗保健系统而言，这些资金是日常运营不可或缺的经济支撑。 该公司一直在督促受影响的客户将重点放在财务和业务持续性问题上，而不是仅仅关注典型的事件响应问题，即Change Healthcare是如何以及为什么被侵入的。 实际上，这是一个现金流的问题。Gouker强调，受影响的大型企业可能最终会追回这些资金，但是由于此次攻击事件，他们目前无法收到款项。这就导致企业无法支付必要的运营费用，包括医生薪资、清洁工雇佣费、场地租金等。 本周一，Change Healthcare向公众公布了目前的态势，Change Healthcare的事件已经扰乱了全国各地医疗机构处理保险理赔的能力，药店业务受到的影响尤为明显。医疗行业代表认为，联合健康集团（UnitedHealth Group）的Optum部门——即Change Healthcare的母公司，提供的支持措施并不足以帮助医疗服务提供者获得应有的服务报销。 佛罗里达医院协会的首席执行官表示，延期收款可能会给该州带来超过10亿美元的损失。据Gouker所述，First Health Advisory的客户和其他参与行业讨论的医疗系统每天都在遭受高达1亿美元的收入损失。 面对这样的重大冲击，如果现金储备不足以支持企业运转，问题就会变得复杂化。 庆幸的是，参议院多数党领袖查尔斯·舒默（Charles Schumer，纽约州民主党）已经要求联邦医疗保险和医疗补助服务中心（CMS）介入本次事件并提供支持。这种支持类似于CMS在COVID-19大流行期间打乱了医院主要收入来源——非紧急手术时所提供的帮助。 本周二，卫生及公共服务部宣布，CMS确实将提供更多信息，帮助医疗服务提供者收到这种“预付款项”。 这些令人瞩目的金额有助于从宏观上理解这场危机的严重性，但Gouker注意到，Change Healthcare的事件正在各个层面引发混乱，这对小型机构来说也是个大问题。   转自Freebuf，原文链接：https://www.freebuf.com/news/393428.html 封面来源于网络，如有侵权请联系删除