欧洲零售连锁店Pepco在其官方新闻稿中透露，该公司被复杂的网络钓鱼攻击骗取了大量资金。Pepco Group 的匈牙利分公司拥有 Poundland、 Dealz 及欧洲多个国家的 Pepco 等品牌，该分公司已成为网络犯罪分子的受害者，总经济损失约为 1500 万欧元。目前尚不清楚这笔钱是否会被追回，该公司正在积极与执法部门和银行合作，试图找到并冻结被盗资金。 Pepco强调，网络攻击并未影响普通客户、供应商或员工的个人数据。此外，该公司还向客户和业务合作伙伴保证了公司的财务实力，并表示可以获得超过 4 亿欧元的现金和债务流动性。 新闻稿还宣布对所有系统和流程进行全面审核，以加强未来的业务安全。 尽管该公司没有透露此次攻击的技术细节，但 Pepco 有可能是商业电子邮件泄露 ( BEC ) 攻击的受害者，该攻击涉及商业电子邮件的欺诈性使用。 转自安全客，原文链接：https://www.anquanke.com/post/id/293618 封面来源于网络，如有侵权请联系删除

近日，乌克兰国防部情报总局（GUR）声称入侵了俄罗斯国防部（Minoborony）的内部服务器，并成功窃取大量敏感文件。 乌克兰某政府网站上发布了一份新闻稿，将此次网络攻击事件定性为 GUR 网络专家实施的“特别行动”。GUR 表示，通过本次网络入侵行动，乌方获取了包含俄罗斯特工详细信息在内的大量敏感文件。主要包括如下内容： 俄罗斯国防部用于保护和加密数据的软件； 俄罗斯国防部的一系列特勤文件，包括命令、报告、指令和各种其他文件，在国防部 2000 多个结构单位中分发； 允许建立 Minoborony 系统及其链接的完整结构的信息； 属于俄罗斯国防部副部长蒂穆尔·瓦迪莫维奇·伊万诺夫的文件； 此外，GUR 还发布了四张显示数据库查询结果、日志文件和概述官方程序/指南的文件的截图，作为其成功发动网络入侵的证据。 乌克兰网军多次攻击俄罗斯政府部门 2023 年 11 月，乌克兰国防部下属情报部门团队成员成功侵入了俄罗斯联邦航空运输署（Rosaviatsia），揭露了所谓的俄罗斯航空业“崩溃”事件。据悉，Rosaviatsia 主要职责是监督俄罗斯民航业，负责记录飞行或紧急事件。 从乌克兰方面发布的公告来看，乌国防部下属情报部的工作人员侵入了俄罗斯 Rosaviatsia  机构，窃取了大量文件，可以确定俄罗斯航空部门因为西方国家对备件和软件更新的制裁，导致无法正常修理飞机而遭受损失。 值得注意的是，此次网络攻击事件是首次有国家公开承认的国家级黑客攻击行为，乌克兰政府将其描述为 “网络空间的复杂特殊行动”。乌克兰方面在本次网络攻击相关的公告中表示，通过黑客攻击和渗透敌方（俄罗斯）信息系统，获得了大量的数据，其中主要包括俄罗斯联邦国家航空安全局一年半多以来的报告清单。 一个月后，乌克兰政府军事情报部门又宣称成功入侵了俄罗斯联邦税务局（FNS），并清除了该机构的数据库和备份副本。 从后续乌克兰方面透露的信息来看，本次网络入侵行动由乌克兰国防情报局的网络军事部门策划实施，入侵了俄罗斯联邦税务局的中央服务器以及乌克兰被占领土上的 2300 个地区服务器，导致所有受损的 FTS 服务器都感染了恶意软件，俄罗斯税收系统中重要的配置文件被完全删除，主数据库及其备份文件被清除，一家为 FNS 提供数据中心服务的俄罗斯 IT 公司也遭到疯狂的网络攻击。 乌克兰情报总局（GUR）指出，此次网络攻击活动造成了严重影响，导致莫斯科中央办公室与 2300 个领土部门之间的通信中断，这些部门也在此次攻击中遭到重创，与税收相关的数据大量丢失，俄罗斯各地与税收数据相关的互联网流量落入乌克兰军事情报人员之手。 尽管俄罗斯正在努力尝试恢复 FNS（联邦税务局）服务，但目前仍未成功，GUR 方面估计俄罗斯税务系统瘫痪将持续至少一个月，完全恢复几乎不可能。GUR 还指出此次网络攻击的成功进行意味着俄罗斯主要国家机构之一的基础设施和大量相关税收数据将在很长一段时间内遭到彻底破坏。   转自Freebuf，原文链接：https://www.freebuf.com/news/393297.html 封面来源于网络，如有侵权请联系删除

研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件，以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。 来自佐治亚理工学院的研究人员发表了一篇论文，详细介绍了这个 ICS 安全项目。 对于传统 PLC，攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测，但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署，也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。 就现代 PLC 而言，许多都包含 Web 服务器，并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。 虽然这些现代 PLC 可以为组织提供许多好处，但佐治亚理工学院的研究人员警告说，它们也可以显着扩大 ICS 的攻击面。 为了证明这些风险，研究人员开发了所谓的基于网络的 PLC 恶意软件，该恶意软件驻留在控制器的内存中，但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API，导致工业流程中断或机械损坏。 这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成，但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。 为了实现持久性，这种新型 PLC 恶意软件利用服务工作线程，允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外，文件从服务器删除后，它们将继续运行长达 24 小时。使用这种方法，恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。 一旦部署完毕，恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能，其中一些 API 非常强大。例如，它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置，甚至用于实时数据泄露。 研究人员表示，即使目标 PLC 位于隔离网络中，恶意软件也可以具有命令和控制 (C&C) 连接。 一旦攻击者执行了所需的任务，它就可以通过让恶意软件自我毁灭来掩盖其踪迹，用良性有效负载覆盖恶意有效负载，注销所有服务，甚至可能对设备进行出厂重置。 研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作，该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时，利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏，同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。 去年，SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。 IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。 “Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏，设施的运行能力下降了 30%。”研究人员在论文中表示。 他们补充道：“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC，并通过受感染的工程工作站部署这些恶意软件 […]。然而，IronSpider 使用基于网络的恶意软件，并通过恶意网站部署该恶意软件，而无需损害任何外围系统。” 虽然该攻击针对的是 Wago 产品，但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下，攻击需要 FTP 密码、不安全协议或内部人员。 专家们创建了一个与供应商无关的框架，可用于构建和分析基于 Web 的 PLC 恶意软件。 “该框架使用广泛适用的策略来探索每个阶段，这些策略可用于大多数现代 PLC 模型，并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5Wd2kuz43q9KfF57OqmG3Q 封面来源于网络，如有侵权请联系删除

网络安全公司Enea近日发布的一份报告指出，随着以人工智能驱动的的语音钓鱼(vishing)和短信钓鱼(smishing)攻击激增，自2022年11月OpenAI发布ChatGPT以来，网络钓鱼(phishing)攻击整体增加了惊人的1265%。 移动欺诈损失惨重，安全性成企业采购电信服务关键依据 报告显示，61%的企业因移动欺诈遭受了重大损失，其中短信钓鱼和语音钓鱼是最普遍且造成损失最多的攻击手段。 51%的企业期望电信运营商保护他们免受语音和移动消息欺诈，他们认为电信运营商在欺诈防护中扮演的角色比云提供商、托管IT提供商、系统集成商或软件供应商更重要，85%的企业表示安全性是他们在电信服务采购决策中的重要考量因素。 但另一方面，多达61%的企业表示移动欺诈带来的损失居高不下，超过四分之三的企业表示没有投资短信垃圾邮件或语音诈骗/欺诈保护。 电信运营商安全态势不容乐观 尽管大多数企业表示安全性是他们在电信采购决策中的重要考量因素，但只有59%的受访电信运营商表示部署了消息防火墙，51%表示他们实施了信令防火墙。 只有46%的受访电信运营商采用了某种威胁情报服务，这意味着大多数电信运营商无法（及时）识别新的安全威胁。 人工智能时代，网络安全是电信运营商的核心竞争力 报告强调，重视安全的电信运营商通常具备更强的安全能力、更好的资金支持和更高的安全优先级，其安全漏洞未被发现或未得到缓解的可能性只有追随者的一半不到(12%vs25%)。此外，网络安全能力领先的电信运营商更可能将网络安全视为创造收入的机会(31%vs19%)。 Enea公司网络安全部门高级副总裁兼主管John Hughes评论道：“随着人工智能技术变得更容易被网络犯罪分子利用，移动欺诈急剧上升，尤其是在像ChatGPT这样的先进技术出现之后，加强网络安全措施已经成为关键需求。调查显示，企业对电信运营商安全能力的期望值与其实际情况存在较大差距。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/59i32ksNuRRlUvki30mmOg 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）局长克里斯托弗·雷2月29日表示，由于人工智能和其他技术的进步，美国预计今年的选举将面临复杂多变的威胁。 雷特意强调人工智能，认为“无论是复杂程度高低的外国黑客都更容易利用它来对选举产生恶意影响”。 他指出，美国政府正不断担忧那些难以察觉且能塑造公众舆论的攻击，且这种行为正在加剧。但目前美国并未拿出外国政府直接影响选举结果的成功案例，雷建议FBI在今年分享有关其发现的威胁信息，他声称”作为情报专业人员，我们必须以具体的、基于证据的方式强调威胁，以便我们有效地武装我们的合作伙伴——特别是公众，抵御他们可能面临的各种外国影响行动。“ 2016年，美国指控俄罗斯特工试图通过窃取和泄露民主党电子邮件，以及利用隐蔽而强大的社交媒体活动在美国选民中煽动不和来提高共和党人唐纳德·特朗普的选举机会；2020年，美国又指俄罗斯总统弗拉基米尔·普京授权采取影响力行动来诋毁民主党人乔·拜登，并在当年的选举中帮助特朗普。 美国也指出伊朗曾试图利用国家选举网站的漏洞来损害特朗普的连任机会。 情报官员表示，尽管存在这些威胁，但最终没有证据表明任何外国政府改变了选票或以其他方式扰乱了投票过程。 但在某些情况下，以人工智能为代表的新兴技术确实让美国感到紧张。例如，一名政治顾问最近证实，他已付钱给新奥尔良街头魔术师，让他制作一个模仿拜登声音的机器人电话，尽管该顾问表示，他试图对人工智能潜在的恶意用途发出警钟，不会影响上个月新罕布什尔州初选的结果。   转自Freebuf，原文链接：https://www.freebuf.com/news/393194.html 封面来源于网络，如有侵权请联系删除

据 IT 之家报道，网络安全公司 Apiiro 报告称，GitHub 遭受了大规模攻击，可能影响成千上万的人。这种攻击涉及克隆安全且干净的存储库，添加恶意的、模糊的代码后重新上传。 在 Apiiror 最近的一份报告中，安全研究和数据科学团队发现了一次大规模的攻击。Apiiro 将其称为“恶意存储库混淆”，并估计有超过 10 万个 GitHub 存储库受到影响，甚至可能有数百万个。 报告称：“在 GitHub 等类似平台上轻松自动生成账户和存储库，使用舒适的 API 和易于绕过的软速率限制，再加上隐藏的大量存储库，使其成为秘密感染软件供应链的完美目标。” GitHub 存储库是 GitHub 用户可以上传代码的地方，有一些非常受欢迎的存储库，经常被很多人搜索和下载。在水坑攻击（Watering Hole Attack）中，攻击者下载流行的存储库，添加恶意代码后重新上传到 GitHub。一旦攻击者重新上传了恶意存储库，他们就会使用自动化技术对存储库进行数千次 fork 分叉。然后，他们通过社交媒体、Discord 和其他方式向目标受众传播假版本的存储库。 报告还称：“GitHub 已收到通知，大部分恶意代码库已被删除，但该活动仍在继续，试图注入恶意代码的攻击正变得越来越普遍。” 从报告中获悉，该攻击于 2023 年 5 月开始，呈指数级增长。这种攻击似乎面临一种“打地鼠”的情况，GitHub 必须在代码上传后尝试检测代码，但可能为时已晚。随着这些攻击的继续，越来越多的用户可能会被感染。   转自Freebuf，原文链接：https://www.freebuf.com/news/393211.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员已发现至少 11 个国家/地区可能被称为 Predator （掠夺者）的商业间谍软件运营商使用的新基础设施。 通过分析可能用于传播间谍软件的域名，Recorded Future 的 Insikt Group 分析师发现了安哥拉、亚美尼亚、博茨瓦纳、埃及、印度尼西亚、哈萨克斯坦、蒙古、阿曼、菲律宾、沙特阿拉伯和特立尼达和多巴哥的潜在 Predator 客户。 在 Recorded Future 进行分析之前，尚未发现博茨瓦纳和菲律宾境内的 Predator 客户。 Predator 是由以色列间谍软件联盟Intellexa开发的复杂间谍软件。它至少从 2019 年就开始部署，感染了 Android 和 iPhone 设备。一个由记者、活动家和网络专家组成的联盟此前在一个名为“掠夺者文件”的项目中检查了间谍软件。 Predator 可以访问设备的麦克风、摄像头以及所有存储或传输的数据，包括联系人、消息、照片和视频。它具有高度侵入性，并且在目标设备上留下的痕迹非常有限，这使得调查具有挑战性。 Insikt Group 尚未确定最新 Predator 活动的具体受害者或目标。 研究人员表示：“由于 Predator 间谍软件通常通过漏洞利用传递到单个受害者设备，因此在不直接访问这些设备的情况下识别目标是一项挑战。” 从欺骗开始 在最新的分析中，Insikt Group 确定了一个新的多级 Predator 交付网络，包括交付服务器、上游服务器和很可能与 Predator 客户相关的基础设施。 交付服务器可能用于设备利用和初始访问。这些服务器通常托管一个域，欺骗目标可能感兴趣的特定实体的网站。其中一些域名冒充合法的新闻媒体、天气预报网站或特定公司，例如房地产企业。 例如，域名 krisha-kz.com 和 kollesa.com 似乎是在欺骗哈萨克斯坦的一家房地产公司和一家汽车销售平台。该国利用NSO Group、FinFisher和RCS Lab等网络间谍软件供应商来针对活动人士和政客的历史进一步表明，该国很可能是 Predator 的客户。 研究人员表示，Insikt Group 发现的域名中有一半以上与哈萨克斯坦有关，这表明间谍软件活动的水平可能会有所提高。 研究人员发现的 Predator 网络的其他部分包括交付服务器上游的虚拟专用服务器。它们可能用于匿名流量并降低将交付服务器与特定 Predator 客户关联的可能性。 报告称，匿名网络掩盖了运营商的位置和身份，使得攻击的归属变得更加困难。 这些上游服务器与静态国内互联网服务提供商地址进行通信，这些地址可能与 Predator 客户相关。 研究人员表示：“根据我们的调查结果，以及历史上这些国家/地区的组织几乎全部都是 Predator 客户的事实，这些组织很可能会继续使用 Predator 间谍软件。” 不仅仅是执法 Predator 和 Pegasus 等间谍软件技术作为用于反恐和执法的工具进行销售。然而，它们不断被滥用来针对公民社会，包括记者、政治家和活动家。 例如，去年 9 月，一名埃及反对派政客的手机成为了“Predator”攻击的目标，数字取证组织“公民实验室”的研究人员认为，该活动是在埃及政府知情的情况下进行的。 其他 Predator 受害者包括希腊记者Thanasis Koukasis、前 Meta 员工Artemis Seaford和欧洲议会议员Nikos Androulakis。 Predator 的客户通常针对那些被认为具有重要情报价值的知名人士。据 Insikt Group 称，这是因为部署成本很高，每次感染都要付费。 研究人员表示：“在严重犯罪和反恐之外，国内使用 Predator 等雇佣兵间谍软件会给最终目标、其雇主以及开展此类活动的实体带来隐私、法律或人身安全风险。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/lo3n6FrZ6uPyT-iVsN0RGQ 封面来源于网络，如有侵权请联系删除

近期，连接到互联网的Anycubic 3D 打印机遭到黑客攻击。黑客在设备中添加了一个名为“hackedmachinereadme.gcode”的文件，该文件通常包含 3D 打印指令，并附有一条消息，表明打印机由于安全漏洞而容易受到攻击。 据黑客称，该漏洞允许潜在攻击者通过 Anycubic 服务的 MQTT API 控制 3D 打印机（重新启动、更改设置、注入恶意脚本）。该消息还呼吁该公司将打印机软件开源，并指出其缺点。 受影响设备收到的文本文件指出：“您的设备存在严重漏洞，对您的安全构成重大威胁。建议立即采取行动，防止可能的风险。” 黑客建议收到此警告的用户断开打印机与互联网的连接，直到该公司修复安全问题。 在出现黑客攻击报告后，Anycubic 应用程序停止工作，显示“网络不可用”错误，可能是因为该公司决定安全起见并禁用了网络功能。 Anycubic于2015年在中国深圳成立，被认为是市场上最受欢迎的3D打印机品牌之一，在120多个国家销售了超过300万台打印机。   转自安全客，原文链接：https://www.anquanke.com/post/id/293586 封面来源于网络，如有侵权请联系删除

上周，Change Healthcare遭受网络攻击，影响了美国各地药房的药品和保险流程，给医护人员带来了巨大困难。此次攻击可能导致重大财务损失。 由于计费中断，马里兰州心理治疗师雷亚·迪士尼考虑放弃个人办公室，医疗机构面临着医生和药房的更大负担——现在他们必须寻找其他方式来提交保险申请。 上周受到攻击的是 Change Healthcare，它是医疗保健巨头 UnitedHealth 的子公司，为全国数千家药店处理保险处方。信息安全公司Health First Advisory指出，一些医疗机构因故障每天损失超过1亿美元。 Elevance Health已停止与Change Healthcare的网络连接，但客户的护理和药物机会保持不变。Change Healthcare正在研究替代索赔方法。 美国医院协会报告了保险索赔处理中持续存在的问题。联邦调查局和卫生部对此表示担忧，初步调查结果显示黑客使用了ALPHV/BlackCat勒索软件程序。 此次攻击导致医疗机构和保险公司之间传输数据的系统出现故障，部分药店药品流通受阻。   转自安全客，原文链接：https://www.anquanke.com/post/id/293575 封面来源于网络，如有侵权请联系删除

有消息称，一名俄罗斯公民被指控，对本地发电厂进行网络攻击，导致大范围停电。 据塔斯社报道，一名49岁的俄罗斯公民即将面临审判。他被控实施网络攻击，导致沃洛格达地区38个村庄陷入黑暗。 这次攻击发生在一年前，该男子面临最长达八年的监禁。 俄罗斯联邦安全局沃洛格达地区部门的新闻处向塔斯社表示：“我们已经完成对黑客切断沃洛格达地区38个定居点电力供应一事的刑事调查。俄罗斯联邦安全局沃洛格达地区总局确定，这位1975年出生的本地居民，在2023年2月非法访问了电网的技术控制系统，并切断了沃洛格达地区舍克斯纳区、乌斯秋日纳区和巴巴耶沃区共38个定居点的电力供应。” 塔斯社报道，俄罗斯当局已经根据当地刑法第274.1条第4部分对此事件立案。 当地政府已经完成调查，并将证据送交法院做最终裁决。 俄罗斯联邦安全局向塔斯社表示，该嫌疑人目前有义务留在指定地点。 目前尚不清楚被告是否隶属于黑客组织，亦不清楚这次攻击是否系因俄乌战争对对俄罗斯政府发起的网络激进主义行为。   转自安全内参，原文链接：https://www.secrss.com/articles/63967 封面来源于网络，如有侵权请联系删除