五角大楼证实，与执法部门合作调查指控黑客组织ALPHV（又名BlackCat）窃取了涉及美国武装部队的敏感数据文件。该组织威胁将公布从弗吉尼亚州IT公司Technica窃取的300GB数据。 Technica 尚未回应置评请求，但黑客表示，该公司的黑客攻击使他们能够获取与国防反情报和安全局相关的信息，该局已经进行了各种安全许可检查。 五角大楼发言人苏·高夫表示，目前正在与执法部门协调，但拒绝就具体安全事件发表评论。 与此同时，为了支持他们的说法，ALPHV 发布了被盗文件的屏幕截图，其中包含数十人的姓名、社会安全号码、安全许可和就业地点，以及与各个政府机构和私人承包商的发票和合同。该组织威胁称，除非 Technica 联系他们，否则将出售或公开这些数据。 ALPHV 采用RaaS模型运行，自成立以来已发起了一千多次网络攻击。美国司法部将该组织描述为世界第二大勒索团伙（ LockBit 排名第一 ）。 ALPHV 最引人注目的攻击是去年 9 月针对米高梅度假村和凯撒娱乐公司的勒索行为 。尽管 FBI 声称已于 12 月封锁了该组织的网络基础设施，但 ALPHV 表示已恢复对其资源的访问，并取消了针对美国政府和军事企业的攻击限制。   转自安全客，原文链接：https://www.anquanke.com/post/id/293090 封面来源于网络，如有侵权请联系删除

Darkreading网站消息，为应对全球范围内网络钓鱼、银行恶意软件和勒索软件攻击的激增，一项打击行动在非洲和中东地区展开，成功摧毁了多个指挥与控制（C2）服务器。 这项行动名为“Synergia”行动，由国际刑警组织、当地执法机构（涉及60个执法机构，包括来自中东和非洲MEA地区的17个机构）、以及外部网络安全公司（包括Group-IB、卡巴斯基、ShadowServer、Team Cymru和趋势科技）合作开展。该行动从去年九月持续到十一月，全球共有31人被逮捕，并另外确认了70名嫌疑人。其中，在非洲南苏丹和津巴布韦摧毁的服务器数量最多，并成功逮捕4人。 国际刑警组织表示，此次行动科威特执法机构与互联网服务提供商（ISP）进行密切合作，目的是为了识别受害者，进行现场调查，并提供技术指导以减轻行动带来的影响。 除了中东和非洲（MEA）地区，国际刑警组织报告的其他情况如下： 在欧洲，大部分的指挥控制（C2）服务器被关闭，共有26人被逮捕； 香港和新加坡警方分别关闭了153台和86台服务器； 玻利维亚动员了多个公共机构来识别恶意软件及其导致的安全漏洞。 “Synergia”行动还在全球50多个国家识别出了恶意基础设施和资源，这些基础设施和资源分布在世界各地的200多个网络托管服务提供商中。到目前为止，已有70%的指挥和控制（C2）服务器被关闭，其余的仍在调查中。 国际刑警组织网络犯罪局副局长贝尔纳多·皮洛特在一份声明中表示：“这次行动的成果是多个国家和合作伙伴共同努力的结果，它显示了我们维护数字空间安全的坚定承诺。通过瓦解网络钓鱼、银行恶意软件和勒索软件攻击背后的基础设施，我们离保护我们的数字生态系统，为所有人提供一个更安全的在线环境又近了一步。”   转自Freebuf，原文链接：https://www.freebuf.com/news/391382.html 封面来源于网络，如有侵权请联系删除

近日，高乐氏公司称去年 9 月的一次网络攻击迄今已造成该公司 4900 万美元的损失。高乐氏作为一家美国消费和专业清洁产品制造商，拥有 8700 名员工，2023 年收入近 75 亿美元。 去年8 月 11 日，高乐氏遭遇了一次网络攻击，该攻击导致公司运营受到严重破坏，导致生产下降和消费品供应减少。 本周四（2月1日），高乐氏在提交给美国证券交易委员会的一份财报中披露，截至 2023 年底，该公司因网络攻击导致的损失已达 4900 万美元。 高乐氏在季报中写道，所产生的费用主要与第三方咨询服务有关，包括信息技术恢复和取证专家以及调查和修复攻击所产生的其他专业服务，以及由此导致的公司业务运营中断所产生的增量运营成本。 该公司表示，他们正在努力让公司从网络攻击中恢复如初，并且预计未来与网络攻击相关的成本将会减少。 高乐氏董事长兼首席执行官Linda Rendle在一份 8-K 文件中表示：公司第二季度的业绩反映出高乐氏的网络攻击恢复计划执行的很得力。高乐氏正在提前重建零售商的库存，以便公司能尽快恢复商品销售和分销等工作。虽然要想恢复如初还有更多的工作要做，但不管面对多少挑战，公司都会尽最大努力去做，以推动顶线增长并重建利润率。 除了高乐氏以外，江森自控国际公司也在本周证实，其在去年 9 月遭遇的勒索软件攻击事件导致公司损失 2700 万美元，并且造成了公司数据泄露。 攻击与 Scattered Spider 有关 根据彭博社的报道，虽然高乐氏公司并未提供有关其攻击的更多细节，但据信这次攻击是由名为 Scattered Spider 的黑客组织实施的。 Scattered Spider 是一个由威胁行为者组成的民间组织，该组织中有不少人专门从事社会工程攻击，入侵公司网络。 同时，Scattered Spider 也是 BlackCat/ALPHV 勒索软件团伙的附属组织，但 BlackCat/ALPHV一般情况下只与母语为俄语的黑客合作，而Scattered Spider 中的大部分成员的母语为英语。 Scattered Spider 此前曾参与过多次网络攻击，包括米高梅、凯撒、DoorDash 和 Reddit 等。   转自Freebuf，原文链接：https://www.freebuf.com/news/391364.html 封面来源于网络，如有侵权请联系删除

UNC4990 小组已经证明，即使过时的技术仍然非常有效。 UNC4990小组最近在意大利活跃，利用受感染的USB设备进行网络攻击，涉及医疗保健、运输、建筑和物流等多个行业。攻击方式包括通过USB传播恶意软件，使用GitHub、Vimeo和Ars Technica等网站来托管额外的有效负载，并且采用PowerShell从这些站点下载和解密恶意文件。UNC4990的最终目标尚不清楚，但已确定其中一个案例涉及加密货币挖矿，表明可能存在财务动机。 此外，Fortgale和Yoroi的研究人员也记录了类似的恶意活动。感染过程始于受害者启动恶意LNK文件，导致执行远程服务器加载EMPTYSPACE的PowerShell脚本。EMPTYSPACE具有四种风格，分别用Golang、.NET、Node.js和Python编写，用于下载下一阶段的恶意软件，包括QUIETBOARD后门。 QUIETBOARD是一个功能广泛的Python后门，可以执行任意命令、更改加密货币钱包地址和收集系统信息，还可以传播到可移动存储设备并截取屏幕截图。尽管攻击者使用流行网站来托管恶意软件，但这些网站的内容对普通用户并不构成直接威胁。 分析EMPTYSPACE和QUIETBOARD表明，攻击者采用模块化方法开发工具，表现出实验性和适应性。这些事件证明，即使是旧的妥协方法（如分发受感染的USB驱动器）仍然有效，并且内置安全系统通常无法识别它们。这些攻击强调了不断改进网络防御的重要性，只有综合考虑技术、流程和人为因素，才能确保适当的安全级别。   转自安全客，原文链接：https://www.anquanke.com/post/id/293056 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息， Cloudflare 透露其内部 Atlassian 服务器遭到一名疑似 “民族国家攻击者 “的网络入侵，威胁攻击者访问了 Confluence 维基、Jira 错误数据库和 Bitbucket 源代码管理系统。 11 月 14 日，威胁攻击者非法访问了 Cloudflare 自托管 Atlassian 服务器，然后又进入了 Cloudflare 公司的 Jira 系统。Cloudflare 首席执行官 Matthew Prince、首席技术官 John Graham-Cumming 和首席信息安全官 Grant Bourzikas 表示，11 月 22 日，威胁攻击者使用 Jira 的 ScriptRunner 对其 Atlassian 服务器建立起了持久访问，获得了对源代码管理系统（使用 Atlassian Bitbucket）的访问权限。威胁攻击者甚至尝试访问一个控制台服务器。（该服务器可以访问 Cloudflare 尚未投入生产的巴西圣保罗数据中心） 从后续披露的调查结果来看，为访问 Cloudflare 系统，威胁攻击者使用一个访问令牌和三个服务帐户凭据。据悉，这些凭据是某次 Okta 遭受网络攻击活动中流出的，Cloudflare 并未对凭据进行轮换更新。（Okta 入侵期间泄露了数千个凭据）。 11 月 23 日，Cloudflare 的安全研究人员检测到网络恶意活动，11 月 24 日上午切断了威胁攻击者的访问权限，三天后，Cloudflare 组织了大量网络安全专家开始调查该事件。处理该事件时，Cloudflare 的工作人员轮换了所有生产凭证（超过 5000 个唯一凭证），对测试和暂存系统进行了物理分割，对 4893 个系统进行了取证分流，重新映像和重启了包括所有 Atlassian 服务器（Jira、Confluence 和 Bitbucket）和攻击者访问的机器在内的全球网络上的所有系统。 2024 年1 月，Confluence 公司发布声明称，其员工目前仍在进行软件加固、凭证更新和漏洞管理，并指出此次网络攻击事件未影响 Cloudflare 的客户数据或系统，其服务、全球网络系统或配置也未受到影响。 Prince、Graham-Cumming 和 Bourzikas 表示，鉴于威胁者使用窃取的凭证入侵了 Cloudflare 的 Atlassian 服务器，并访问了一些文档和少量源代码，尽管知道此次事件对公司运营的影响极为有限，但还是非常重视此次事件。 值得一提的是， Cloudflare 方面认为威胁攻击者分析 Cloudflare 的维基页面、漏洞数据库问题和源代码库，似乎在寻找有关 Cloudflare 全球网络的架构、安全和管理的信息，毫无疑问，这些威胁攻击者的目标是获得更深的立足点。 Cloudflare 认为此次攻击活动由一个“民族国家攻击者 “实施，其目的是获得对 Cloudflare 全球网络的持久和广泛访问。 Cloudflare 遭受多次网络攻击 2023 年 10 月 18 日，Cloudflare 的 Okta 实例使用从 Okta 支持系统窃取的身份验证令牌被攻破，威胁攻击者成功入侵了 Okta 客户支持系统，并获取了属于包括 1Password、BeyondTrust 和 Cloudflare 等在内的 134 家客户的文件信息。 2023 年 10 月事件发生后， Cloudflare 公司表示，其安全事件响应小组已经做出快速反应，最大限度地减少了对 Cloudflare 系统和数据的影响，没有 Cloudflare 客户信息或系统受到影响。2022 年 8 月，威胁攻击者还曾试图使用在一次网络钓鱼攻击中窃取的员工凭证入侵 Cloudflare 系统，好在最终因无法访问受害者公司发放的符合 FIDO2 标准的安全密钥而失败。   转自Freebuf，原文链接：https://www.freebuf.com/news/391275.html 封面来源于网络，如有侵权请联系删除

多年来，渗透测试公司Pen Test Partners的网络安全研究人员致力于测试各种电子飞行包（EFB）、物联网和车载应用程序的安全性。基于深入研究，他们发现了空客Flysmart+管理套件中的一个重要漏洞，并在漏洞披露后的19个月内进行了修复。 Flysmart+ 是空客旗下的IT服务公司NAVBLUE专为飞行员电子飞行包（EFB）设计的应用程序套件，用于同步和安装航空公司数据到其他应用中。而电子飞行包主要用于存储关键的飞行数据和信息，用途尤其重要。 2024年2月1日，Pen Test Partners发表的研究表示，该套件中的一个iOS应用程序故意禁用了应用传输安全（ATS）功能。这一问题容易使应用程序受到Wi-Fi拦截攻击，从而干扰发动机性能计算，导致机尾撞击或跑道偏离事故发生，并且现行的标准操作流程可能无法有效检测出任何篡改行为。 之前，Flysmart+应用程序由于缺乏ATS（应用传输安全）保护而被禁用。ATS保护的目的是防止未加密的通信，因为缺乏该功能，不安全的通信就会发生，Flysmart+允许攻击者拦截并解密传输中的敏感信息。在info.plist文件中，一个设置项允许应用程序加载任何域的不安全的HTTP内容。 航空公司通常为中转停留的飞行员安排同一家酒店，使得攻击者可以通过定向的Wi-Fi网络修改飞机的性能数据。Pen Test Partners利用这一机会访问了NAVBLUE服务器上的数据，包括含有飞机信息和起飞性能数据（PERF）的SQLite数据库，以及具有特定表名的数据。 研究员从NAVBLUE服务器下载的数据 需要注意的是，数据库表对于飞机性能至关重要，包括最小设备清单（MEL）和标准仪表离场程序（SID）。比如吉姆利滑翔机燃油耗尽事件中对MEL和SID的误解。另外，像美国加仑、英制加仑、升、千克和磅单位之间的混淆也可能造成安全问题。 渗透测试合作伙伴安东尼奥·卡西迪表示：“我们已经与波音、汉莎航空和空客合作就安全漏洞进行了披露，并且成功修复这一漏洞，对我们而言，这是航空安全性和保障性的一大进步。” 2022年6月28日，研究人员向空客提交了漏洞报告，空客在次日确认了这一漏洞。直至2022年7月25日，该公司复现了这一漏洞，并承诺将在2022年底之前在Flysmart+新版本中修复此漏洞。 2023年2月22日，空中客车VDP（漏洞披露计划）团队确认已在Flysmart+的最新版本中修复了该漏洞，并于2023年5月26日向客户通报了缓解措施。这些研究成果在2023年于拉斯维加斯举行的DEF CON 31安全会议以及在都柏林的航空村和航空信息共享与分析中心（Aviation ISAC）上进行了展示。   转自Freebuf，原文链接：https://www.freebuf.com/news/391264.html 封面来源于网络，如有侵权请联系删除

Pawn Storm 是一种高级持续威胁 (APT) 攻击者，也称为 APT28，至少自 2004 年以来一直在全球范围内使用一系列技术来瞄准高价值实体。 尽管依赖看似过时的方法，例如已有十年之久的网络钓鱼活动，该组织仍然继续危害数千个电子邮件帐户。 根据趋势科技研究人员 Feike Hacquebord 和 Fernando Merces 今天发布的一份报告，该组织最近参与了 Net-NTLMv2 哈希中继攻击，试图暴力侵入全球政府、国防和军事网络。 据报道，2022 年 4 月至 2023 年 11 月期间，Pawn Storm 专注于发起 NTLMv2 哈希中继攻击，目标是处理外交、能源、国防、交通和其他各个部门的政府部门。 该集团活跃于欧洲、北美、南美、亚洲、非洲和中东。它通过修改受害者邮箱中的文件夹权限来实现持久性，从而实现横向移动。 Pawn Storm近年来加强了运营安全，并逐渐改变策略。自 2019 年以来，针对邮件服务器和企业 VPN 服务的暴力凭证攻击很常见。 近年来，该组织还采用了匿名层，例如 VPN 服务、Tor、受损的 EdgeOS 路由器以及 URL 缩短器等免费服务。匿名层的使用扩展到从通过 Tor 或 VPN 出口节点访问受损电子邮件帐户发送鱼叉式网络钓鱼电子邮件。 2023 年 3 月修补的严重漏洞 CVE-2023-23397允许 Pawn Storm 对 Outlook 用户进行哈希中继攻击。该组织利用此缺陷发送恶意日历邀请，触发 Net-NTLMv2 哈希中继攻击。 该活动一直持续到 2023 年 8 月，并采用了更复杂的方法，包括在 Mockbin 上托管的脚本以及重定向到免费 Web 托管域上的 PHP 脚本的 URL。 Pawn Storm 的多样化包括利用 WinRAR 漏洞CVE-2023-38831进行哈希中继攻击。2023 年底，利用 webhook[.] 站点 URL 和 VPN IP 地址，针对欧洲政府的凭证网络钓鱼活动。 Pawn Storm 的凭证网络钓鱼网站 2022 年 10 月，Pawn Storm 使用了一个没有命令和控制 (C2) 服务器的信息窃取者。这种粗暴但有效的方法是将窃取的文件上传到免费文件共享服务，并使用短网址进行访问。 Pawn Storm 于 2022 年 10 月发送的鱼叉式网络钓鱼电子邮件，其中包含一个恶意附件，该附件安装了一个没有 C&C 服务器的简单信息窃取程序。 在趋势科技的报告中，Hacquebord 和 Merces 警告说，尽管 Pawn Storm 已经有二十年的历史，但它仍然具有侵略性，采用大声和侵略性的策略以及先进和隐秘的方法。 趋势科技敦促网络防御者利用报告中提供的失陷检测指标来增强其安全性，抵御 Pawn Storm 的持续威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/AZ-ROqGt6G3Zc0Ys0k96Rw 封面来源于网络，如有侵权请联系删除

据AT&T Cybersecurity 的研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。 据统计，攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求，攻击者会诱骗他们下载一个使用双扩展名的文件，文件名为 “Navigating Future Changes October 2023.pdf.msi”，这是 DarkGate 常用的伎俩。 安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器，Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。 由于在默认情况下，微软允许外部 Microsoft Teams 用户向其他用户发送消息，这才给了这种类型的网络钓鱼攻击可乘之机。 AT&T Cybersecurity 网络安全工程师Peter Boyle认为：除非日常的必要业务需使用，否则他建议大多数公司禁用 Microsoft Teams 中的外部访问，因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样，很可能不是那种典型的电子邮件钓鱼诈骗形式。 网络钓鱼群聊 Microsoft Teams 拥有数量庞大的 2.8 亿用户，是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点，通过 Microsoft Teams 推送恶意软件。 去年也出现过类似的活动，恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。 Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络，还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输，攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷， APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门，它利用这种方式攻击了全球数十个组织，包括政府机构。 DarkGate 恶意软件攻击激增 自去年 8 月 Qakbot 僵尸网络被捣毁后，网络犯罪分子更多地转向 DarkGate 恶意软件加载器，将其作为初始访问企业网络的首选。 而就在 Qakbot 僵尸网络被攻陷之前，有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称，它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。 在开发者发布消息后，就出现了越来越多的 DarkGate 攻击事件，网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/391138.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 消息，江森自控国际公司 (Johnson Controls International) 确认，2023 年 9 月的一次勒索软件攻击给该公司造成了至少2700 万美元的损失，并导致了数据泄露。 作为一家开发和制造工业控制系统、安全设备、空调和消防安全设备的跨国企业集团，江森自控在其亚洲的办事处在遭受Dark Angels 勒索软件组织的攻击后，迫使该公司关闭了大部分 IT 基础设施，从而影响了面向客户的系统。 该组织声称从江森自控窃取了超过 27 TB 的机密数据，并索要 5100 万美元的赎金以删除数据并提供文件解密器。 江森自控承认服务中断，后来将原因归因于“网络安全事件”，但没有提供有关攻击类型或导致数据泄露的可能性的详细信息。而在1月30日向美国证券交易委员会 (SEC) 提交的季度报告中，江森自控证实，他们在 2023 年 9 月 23 日遭受的网络攻击实际上是勒索软件攻击，并导致数据数据泄露。 此外，报告中表示，截至 2023 年 12 月 31 日止，由攻击带来的响应和修复网络攻击相关的费用达 到了2700万美元，其中不包含保险赔偿。 江森自控预计，随着公司继续确定哪些数据被盗，并与外部网络安全取证和补救专家合作，这一损失在未来几个月内将会上升。 根据迄今为止的信息，江森自控相信未经授权的活动已被完全遏制，并且其数字产品和服务（包括 OpenBlue 和 Metasys）均已恢复正常。   转自Freebuf，原文链接：https://www.freebuf.com/news/391141.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近日，LockBit勒索软件团伙宣布对芝加哥社区医院发起网络攻击。该医院在发布的声明中承认了这一事件，指出该攻击于去年12月18日被首次发现。 这是该组织在今年1月份第二次针对医院的攻击，去年11月，发起的攻击导致新泽西州和宾夕法尼亚州多家医院不得不取消预约并在没有患者档案的情况下进行运营。 LockBit勒索软件团伙在本周二晚上将医院列入其泄密网站，并要求支付近90万美元的赎金，给予两天时间作出回应，截止目前LockBit 官网信相关信息已经下架。 受攻击的芝加哥社区医院表示：“已经采取行动确保患者护理不受影响。尽管已确认了包含患者信息的文件被黑客复制，但没有迹象表明电子病历（EMR）数据库或整个财务系统受到损害，目前尚不清楚受影响的具体信息类型”。 该医院目前已向联邦调查局、美国卫生与公众服务部以及其他监管机构报告了此次事件。医院承诺会尽快向可能受影响的患者直接邮寄通知信，提供免费的信用监控和身份保护服务。据报道，该医院在2021年和2022年接诊了超过34万名患者。 与此同时，该团伙因涉嫌拒绝向附属机构支付费用而面临内部骚乱。尽管该组织过去声称制定了禁止攻击医院的规定，但LockBit成员仍然继续对医疗机构发起攻击。在2022年圣诞节期间，该团伙曾对加拿大最大的儿科健康中心多伦多病童医院发起袭击，引起公愤。此后，他们继续袭击美国和国外多家医院和医疗机构。   消息来源：therecord，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文