非特权攻击者可以通过利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞，在默认配置下获得多个主要 Linux 发行版的 root 权限。 该安全漏洞编号为CVE-2023-6246，是在 glibc 的 __vsyslog_internal() 函数中发现的，广泛使用的 syslog 和 vsyslog 函数调用该函数将消息写入系统消息记录器，详细技术报告为。 该漏洞是由于2022 年 8 月在 glibc 2.37 中意外引入的基于堆的缓冲区溢出漏洞造成的，后来在解决跟踪为 CVE-2022-39046 的不太严重的漏洞时回退到 glibc 2.36。 Qualys 安全研究人员表示：“缓冲区溢出问题构成了重大威胁，因为它可能允许本地权限升级，使非特权用户能够通过对使用这些日志记录功能的应用程序进行精心设计的输入来获得完全的 root 访问权限。尽管该漏洞需要特定的条件才能被利用（例如异常长的 argv[0] 或 openlog() ident 参数），但由于受影响库被广泛使用，其影响是巨大的。” 影响 Debian、Ubuntu和 Fedora 系统 在测试他们的发现时，Qualys 确认 Debian 12 和 13、Ubuntu 23.04 和 23.10 以及 Fedora 37 到 39 都容易受到 CVE-2023-6246 漏洞的攻击，允许任何非特权用户在默认安装时将权限升级到完全 root 访问权限。 尽管他们的测试仅限于少数发行版，但研究人员补充说“其他发行版也可能存在相同风险。” 在分析 glibc 的其他潜在安全问题时，研究人员还发现了另外三个漏洞，其中两个较难利用，位于 __vsyslog_internal() 函数（CVE-2023-6779 和 CVE-2023-6780）中，第三个漏洞（ glibc 的 qsort() 函数中的内存损坏问题仍在等待 CVEID）。 Qualys 威胁研究部门的产品经理 Saeed Abbasi表示：“这些缺陷凸显了软件开发中严格安全措施的迫切需要，特别是对于在许多系统和应用程序中广泛使用的核心库。” Qualys 团队发现的其他 Linux root 提权漏洞 在过去的几年，Qualys 的研究人员发现了其他几个 Linux 安全漏洞，这些漏洞可以让攻击者完全控制未修补的 Linux 系统，即使在默认配置下也是如此。 他们发现的漏洞包括 glibc 的 ld.so 动态加载器（ Looney Tunables ）中的一个漏洞、Polkit 的 pkexec 组件（称为 PwnKit）中的一个漏洞、内核文件系统层（称为 Sequoia）中的另一个缺陷以及 Sudo Unix 程序（又名Baron Samedit）中的一个缺陷。 Looney Tunables 缺陷 ( CVE-2023-4911 ) 披露几天后，概念验证 (PoC) 漏洞在网上发布，攻击者在一个月后 Kinsing 恶意软件利用该漏洞窃取云服务提供商 (CSP) 凭据进行攻击活动。 Kinsing 恶意软件团伙以在受感染的云系统（包括 Kubernetes、Docker API、Redis 和 Jenkins 服务器）上部署加密货币挖掘恶意软件而闻名。 CISA 随后命令美国联邦机构确保其 Linux 系统免受 CVE-2023-4911 攻击，并将其添加到被积极利用的漏洞目录中，并将其标记为“对联邦企业构成重大风险”。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9VvXViEw9ol4KfkH3O9t1A 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 乌克兰国家网络安全协调中心（NCSCC）警告军方成员，称俄罗斯支持的APT28组织发动了新的网络钓鱼攻击。 NCSCC 发布警告表示：“俄罗斯正在加大网络间谍活动力度，试图通过窃取军事人员的凭证来获取乌克兰的军事情报和指挥控制系统的访问权限。”该警告通过各社交媒体平台发布，并由乌克兰 IT Army 进一步传播。 NCSCC 同时说到：APT28 专门针对乌克兰国防军队的军事人员和单位，使用网络钓鱼电子邮件获取军事电子邮件账户的访问权限。 IT Army Telegram 帖子称：“APT28 以网络钓鱼方式攻击乌克兰军方，通过创建与 ukr[.]net 几乎相同但 URL 略有差异的网站，诱骗用户输入数据。” IT Army 发布的相关信息截图 政府国防机构称，他们于1月19日首次发现这一活动，主要是发现了几封在“ukr[.]net邮件服务”上的虚假HTML页面电子邮件。 并在X上发布的帖子称：当页面打开时，会显示一个用于输入ukr[.]net凭据的字段，声称是为了“确认访问”，凭据将被发送到该组织控制的服务器上。  X上发布帖子内容 此外，黑客还尝试通过发送一封声称帐户已被盗用的电子邮件，并提供一个重置账户密码的链接来欺骗用户。 NCSCC 说：“当点击 HTML 页面上的’更改密码’按钮时，将启动浏览器内的攻击，并嵌入一个带有虚假页面用于输入ukr[.]net凭据的特殊iframe。在上述两种情况下，凭据都会被泄露到命令和控制服务器，该组织试图提升特权并在系统中移动。” 在该事件中，攻击者控制的服务器 (hxxp://202.55.80[.]225:35770) 是 Ubiquiti Edge 路由器。” 该机构表示：“APT28 以前在网络钓鱼活动中使用过 compromise 的Ubiquiti Edge路由器来外传数据。” APT28 的相关信息 APT28（又称Fancy Bear、Sandworm Team）是俄罗斯的一个网络攻击组织，成立于2004年，隶属于俄罗斯总参谋部的主要情报局（GRU）第85主要特种服务中心（GTsSS）的军事单位26165，其与 APT29 存在差异。 根据Mitre Att&ck框架，APT28被认为在2016年针对美国民主党全国委员会和国会竞选委员会进行了攻击，试图干扰美国总统选举。 2018年，GRU 26165的五名成员因渗透到美国和世界反兴奋剂机构以及其他高价值目标而被联邦政府指控。 APT29（又名Cozy Bear、Nobelium），是另一组网络攻击组织，涉及近期对Microsoft、Hewlett Packard Enterprise等公司的攻击，以及2020年SolarWinds事件。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

土耳其黑客攻击了以色列一家受欢迎的连锁电影院的系统，以传播威胁信息。 1 月 23 日，土耳其裔黑客控制了特拉维夫 Lev 连锁影院的广告屏幕显示，该连锁影院是该国访问量最大的电影院之一。该消息包含 10 月 7 日哈马斯袭击以色列的希伯来语文本和镜头。在文本中，网络犯罪分子承诺他们将限制以色列访问互联网和银行服务。 电影院广告屏幕上的黑客消息 为了发布该消息，黑客侵入了负责更新广告屏幕保护程序和预告片的外部系统。目前，这些消息已被删除，警方正在调查事件的具体情况， MeshSec 组织宣布参与此次网络攻击。 自加沙冲突爆发以来，巴勒斯坦和以色列支持者的黑客行动主义有所加剧。攻击目标通常包括政府和媒体站点以及关键基础设施系统。因此，以色列最大的移动运营商 Pelephone 的工作最近受到黑客活动分子的干扰，加沙仍然完全缺乏互联网。 该 事件严重限制了大多数居民的沟通能力。   转自安全客，原文链接：https://www.anquanke.com/post/id/292973 封面来源于网络，如有侵权请联系删除

位于美国密苏里州堪萨斯城的主要公共交通运营商堪萨斯 城地区交通管理局（KCATA ）遭受了重大网络攻击 。 KCATA 在密苏里州和堪萨斯州的七个县运营地铁和 78 条公交线路。截至2022年，公司总客运量超过1050万人次。袭击发生第二天，KCATA 发表声明，宣布在外部专家的参与下启动调查，并通知了包括联邦调查局在内的相关当局。 该公司表示，网络攻击并未影响交通服务，包括公交路线和辅助交通服务。然而，这导致了区域呼叫中心的工作中断。 黑客组织美杜莎很快声称对此次袭击负责。她威胁称，除非 KCATA 支付 200 万美元的赎金，否则她将公布所有被盗数据。此外，黑客还提供每天额外延期支付 10 万美元的机会。 到目前为止，KCATA 尚未透露有关此次攻击的任何细节，其中包括所使用的勒索软件系列或数据泄露的确认。然而，Medusa 在其Tor网站上发布了据称从 KCATA 窃取的数据样本，作为黑客攻击的证据。     转自安全客，原文链接：https://www.anquanke.com/post/id/292967 封面来源于网络，如有侵权请联系删除

全球知名化妆品和沐浴产品制造商Lush遭遇网络攻击，黑客组织 Akira 声称对此次攻击负责，称其窃取了 110 GB 数据，包括护照扫描件以及与会计、财务、税务、项目和客户相关的公司文件。 据称，在招聘过程中收集的数据表明，黑客能够访问包含人员信息的系统。目前没有证据表明该公司的客户数据已被泄露。 Akira 网站上的 Lush 黑客声明 该公司于 1 月 11 日首次承认正在处理“网络安全事件”。两周后，即 1 月 25 日，Lush 发现自己出现在 Akira 勒索软件组织的数据泄露网站上。目前，该组织尚未公布数据，但威胁称，如果不支付赎金，就会公布数据。 Lush代表证实了“公司部分IT系统”遭到攻击，宣布在外部安全专家的参与下启动全面调查，并通知有关当局。非官方的 Lush Reddit 社区还报道称，员工被要求将笔记本电脑送到总办公室进行“清洁”。目前尚不清楚有关解决该问题的更多详细信息。 Akira 是 一个新的 勒索软件组织，至少自 2023 年 3 月以来一直活跃。 Akira 组织的一个显着特征是确定赎金金额的方式是单独的。黑客总是会仔细分析一家公司的规模和盈利能力，甚至愿意根据情况做出一些“折扣”。   转自安全客，原文链接：https://www.anquanke.com/post/id/292965 封面来源于网络，如有侵权请联系删除

据知情人士透露，全球能源管理和工业自动化巨头施耐德电气遭受 Cactus 勒索软件攻击，导致公司数据被盗。 BleepingComputer 获悉，勒索软件攻击于本月初的 1 月 17 日袭击了施耐德电气公司的可持续发展业务部门。 这次攻击扰乱了施耐德电气的部分资源顾问云平台，该平台至今仍处于中断状态。 据报道， Cactus 勒索软件团伙在网络攻击期间窃取了该公司数 TB 的公司数据，威胁该公司，如果不支付赎金，就会泄露被盗的数据。 虽然尚不清楚被盗的数据类型，但可持续发展业务部门为企业组织提供咨询服务，就可再生能源解决方案提供建议，并帮助他们满足全球公司复杂的气候监管要求。 施耐德电气资源顾问平台上的停止服务的消息 施耐德电气可持续发展业务部门的客户包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛。 被盗数据可能包含有关客户用电、工业控制和自动化系统以及环境和能源法规合规性的敏感信息。 目前尚不清楚施耐德电气是否会支付赎金，但如果不支付赎金，我们很可能会看到勒索软件团伙泄露被盗数据，就像他们在之前的攻击之后所做的那样。 施耐德电气在一份声明中证实，其可持续发展业务部门遭受了网络攻击，并且数据被攻击者访问。不过，该公司表示，此次攻击仅限于该部门，并未影响公司其他部门。 施耐德电器称： 从恢复的角度来看，可持续发展业务正在执行补救措施，以确保业务平台恢复到安全的环境。团队目前正在测试受影响系统的操作能力，预计将在接下来的两个工作日内恢复访问。 从遏制的角度来看，由于可持续发展业务是一个自治实体，运营其隔离的网络基础设施，施耐德电气集团内其他实体没有受到影响。 从影响评估的角度来看，正在进行的调查表明数据已被访问。随着更多信息的出现，施耐德电气可持续发展业务部门将继续与受影响的客户直接对话，并继续提供相关信息和帮助。 从取证分析的角度来看，领先的网络安全公司和施耐德电气全球事件响应团队将继续对该事件进行详细分析，并与相关当局合作，根据结果采取进一步行动。 施耐德电气是一家法国跨国公司，生产能源和自动化产品，公司经营领域从大型商店中的家用电气元件到企业级工业控制和楼宇自动化产品。 2023 年前 9 个月的收入为 285 亿美元，在全球拥有超过 15 万名员工，此前曾成为 Clop 勒索软件团伙大规模 MOVEit 数据盗窃攻击的目标，攻击影响了 2,700 多家公司。 关于Cactus 勒索软件团伙 Cactus 勒索软件于 2023 年 3 月启动，此后攻击了许多公司，他们声称这些公司在网络攻击中遭到破坏。 与所有勒索软件操作一样，Cactus 勒索软件团伙将通过购买凭据、与恶意软件分发者合作、网络钓鱼攻击或利用漏洞来破坏企业网络。 一旦攻击者获得网络访问权限，他们就会悄悄传播到其他系统，同时窃取服务器上的公司数据。 在窃取数据并获得网络管理权限后，勒索软件团伙会对文件进行加密并留下勒索信息。 来自不同攻击的 Cactus 勒索信示例 勒索软件通常进行双重勒索攻击，即他们要求赎金以获得文件解密器并承诺销毁且不泄露被盗数据。 对于那些不支付赎金的公司，勒索软件团伙将在数据泄露网站上公开受害企业的数据。目前，Cactus 数据泄露网站上列出的 80 多家公司的数据已被泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ePV0HBKeUPKrtxTSk_YWcQ 封面来源于网络，如有侵权请联系删除

研究人员警告称，年收入超过 1 亿美元的墨西哥公司面临定期网络攻击的风险。 据BlackBerry 专家称，犯罪分子正在使用 AllaKore RAT 恶意软件窃取银行凭证和独特的身份验证信息。 以经济利益为目的的攻击已经持续了两年多，而且没有减弱的迹象。研究人员注意到攻击者对大公司的持续兴趣。 有证据表明 AllaKore RAT 通过鱼叉式网络钓鱼和路过式攻击进行分发，其中恶意代码会自动发送给受感染网站的访问者。 AllaKore RAT 是一款开源远程访问软件，此前曾被用于印度的间谍攻击。尽管很简单，但该恶意软件具有键盘记录、屏幕捕获、下载/上传文件，甚至远程控制受害者设备的功能。 攻击的目标受众不限于任何行业，两年来的黑客活动已经影响了零售、农业、公共部门、制造业、运输、商业服务、资本货物和银行部门的公司。 黑莓报告还提到，这种恶意活动可能与 FIN13 组织有联系，其动机是经济利益， Mandiant 研究人员在 2021 年底（即当前活动开始前后） 描述了这一点。   转自安全客，原文链接：https://www.anquanke.com/post/id/292941 封面来源于网络，如有侵权请联系删除

乌克兰安全部门逮捕了一名黑客，该黑客涉嫌针对政府网站并向俄罗斯提供情报以对哈尔科夫市进行导弹袭击。 乌克兰安全局（SSU）透露，其网络部门已识别出该人的身份，并指控该人遵循俄罗斯情报部门 FSB 的指示。 黑客监视乌克兰军事网站 据称，该黑客监视并向俄罗斯提供有关乌克兰第二大城市哈尔科夫军事基础设施位置的信息。 其中包括乌克兰防空和炮兵阵地的潜在地点。SSU 表示，被拘留者通过通讯应用程序向 FSB 发送了带有此类目标坐标的电子地图屏幕截图。 SSU 的帖子称：“为了收集有关国防军的情报，该男子在该地区行走并秘密记录了乌克兰防御者的可能位置。” 该部门补充说，俄罗斯利用这些信息对该市的民用基础设施进行了两次导弹袭击，其中包括当地一家医院。 此外，SSU 表示，黑客正在按照 FSB 的指示准备对乌克兰政府网站进行一系列 DDoS 攻击。 俄罗斯招募乌克兰间谍 嫌疑人是一名 IT 专家，居住在哈尔科夫市。调查显示，他是 FSB 通过专门的 Telegram 渠道招募的。 SSU表示，它查获了三部手机、一台笔记本电脑和闪存驱动器，这些设备被用来对乌克兰进行破坏活动。 根据有关未经授权传播有关乌克兰武器和弹药供应、流动信息的立法，该人现已收到“嫌疑通知书”。 SSU 表示，嫌疑人已被拘留，最高可能面临 12 年监禁。 2024 年 1 月 3 日，SSU报告称，俄罗斯情报机构入侵了在线监控摄像头，以在导弹袭击之前监视基辅的防空活动和关键基础设施。 美国判处俄罗斯网络犯罪分子 在美国，一名俄罗斯黑客最近因开发和部署 Trickbot 恶意软件而被判处五年零四个月监禁。 40 岁的俄罗斯公民弗拉基米尔·杜纳耶夫 (Vladimir Dunaev)于 2023 年 12 月承认了这些指控。 Trickbot 是模块化恶意软件，旨在窃取凭据、安装后门等，在为 Ryuk 和 Conti 等勒索软件组织提供初始访问权限方面发挥着重要作用。 它被用来攻击美国各地的医院、学校和企业，造成数千万美元的损失。 司法部 (DoJ) 代理助理总检察长 Nicole M. Argentieri 在评论这一判决时表示：“这一判决表明，司法部有能力将网络犯罪分子关进监狱，无论他们身在何处。 “我们将与世界各地的合作伙伴合作，继续将网络犯罪分子绳之以法。” 2023 年 9 月，美国和英国联合制裁了11 名被指控与 Trickbot 恶意软件有关的俄罗斯人。   转自安全客，原文链接：https://www.anquanke.com/post/id/292952 封面来源于网络，如有侵权请联系删除

数字全球世界地图及勒索软件攻击技术研究发展分析发现了一种名为“FAUST”的 Phobos 勒索软件新变种，该变种令人担忧，因为它可以在网络环境中保持持久性，并创建多个线程以实现高效执行。 FortiGuard Labs 研究人员在 1 月 25 日的博客文章中表示，他们通过发现一份 Office 文档发现了这一点，该文档包含旨在传播 FAUST 勒索软件的 Visual Basic (VBA) 脚本。 研究人员表示，攻击者使用 Gitea 服务存储多个以 Base64 编码的文件，每个文件都携带恶意二进制文件。FortiGuard Labs 表示，当这些文件被注入系统内存时，它们会发起文件加密攻击。 FortiGuard 实验室研究人员表示，Phobos 勒索软件家族于 2019 年出现，此后参与了多次网络攻击。Phobos 勒索软件通常会附加带有唯一扩展名的加密文件，并要求以加密货币支付赎金以获得解密密钥。研究人员表示，他们已经捕获并报告了 Phobos 系列的多个勒索软件变体，包括 EKING 和 8Base。 StrikeReady 首席产品官 Anurga Gurtu 表示，Fortinet 对 Phobos 勒索软件 FAUST 变体的研究表明，它是一种复杂的威胁，特别是因为它的无文件攻击方法和持续嵌入网络的能力。 “虽然建议用户不要点击可疑链接是一种基本防御措施，但显然还需要采取更强有力的措施，”古尔图说。“企业应考虑先进的网络安全策略，包括定期软件更新、员工网络安全培训以及采用全面的安全系统来检测和减轻此类威胁。” Bambenek Consulting 总裁 John Bambenek 补充说，宏仍然是恶意软件传播的危险部分，因为 VBA 提供了许多公司用于日常应用程序的功能。 “应对这种威胁的最安全方法是完全禁用 Office 中的 VBA，”Bambenek 解释道。“但是，如果这不是一个选择，组织至少可以使用 Windows 防御攻击面减少来禁用 VBA 中的‘高风险’功能，例如阻止 Office 应用程序创建子进程或创建可执行内容。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292954 封面来源于网络，如有侵权请联系删除

本周四，几家乌克兰国有关键基础设施公司报告称其系统遭到网络攻击。 受害者包括乌克兰最大的国有石油天然气公司Naftogaz。根据其声明，黑客攻击了一个数据中心。截至撰写本文时，Naftogaz 网站和呼叫中心尚未恢复运行。 乌克兰网络安全机构称，它正在调查这一事件，但没有提供更多细节。Naftogaz 发言人在评论中表示，该公司的专家目前正在努力解决该事件，稍后将针对此次攻击发表评论。 Naftogaz 在乌克兰拥有 10 万名员工，为超过 1200 万乌克兰家庭供应天然气。该企业在能源行业拥有 60 家子公司。 乌克兰国家邮政服务提供商Ukrposhta周四也报告了一次网络攻击。该公司首席执行官 Igor Smelyansky 表示，黑客连夜攻击了 Ukrposhta 合作伙伴的信息基础设施，导致邮政运营商的服务中断。 该公司已经恢复了支付处理服务、对用户个人账户的访问以及应用程序编程接口（API）。“包裹递送可能会出现小幅延误，但我们会尽一切努力将其最小化。”斯梅尔扬斯基说。 今天报告网络攻击的第三个乌克兰实体是负责运输安全的机构DSBT。对其数据中心的攻击扰乱了网站运营和名为“Shlyah”的系统，司机使用该系统穿越乌克兰边境或将货物运送到国外。该公司表示正在努力解决该事件，并将很快恢复服务。 乌克兰国家铁路Ukrzaliznytsia也表示，其部分服务遭到黑客攻击。该公司表示，由于这一事件，基辅的乘客无法在线购买电动动车组车票，但没有提供更多细节。 目前尚不清楚这些攻击是否有关联以及幕后黑手是谁。周四，一个名为“the National Cyber Army（国家网络军）”的俄罗斯网络志愿者组织声称对 DSBT 系统的攻击负责，但没有提及其他服务。 上周，乌克兰在线银行 Monobank报告称，其系统遭到有史以来最大规模的分布式拒绝服务 (DDoS) 攻击，对 Monobank 的攻击持续了三天。12 月初，乌克兰最大的电信运营商 Kyivstar 成为俄罗斯国家支持的黑客策划的大规模网络攻击的受害者。这次攻击导致数百万 Kyivstar 用户数天没有移动信号和互联网。” 乌克兰安全局（SBU）网络安全部门负责人伊利亚·维提克（Illia Vitiuk）表示，此次攻击的目的是造成“灾难性”破坏、造成心理打击并收集情报。 乌克兰安全部门拘留俄罗斯“网络军”成员 乌克兰安全部门 SBU表示，已拘留了亲俄黑客组织“俄罗斯网络军”的一名疑似成员。 SBU 表示，嫌疑人是乌克兰东北部城市哈尔科夫市的一名技术专家，是俄罗斯情报部门通过通讯应用 Telegram 上的黑客渠道招募的。乌克兰执法部门搜查了他的公寓，没收了三部手机、一台笔记本电脑和含有涉嫌犯罪证据的闪存驱动器。 该黑客涉嫌对乌克兰国家网站发起分布式拒绝服务（DDoS）攻击。该组织自称是一个黑客行动团体，类似于乌克兰 IT 军，但 SBU 声称它受到俄罗斯情报部门的控制。 除了DDoS攻击之外，黑客还涉嫌向俄罗斯军方泄露乌克兰军队、火炮和防空系统等战略信息。 据 SBU 称，他秘密记录了乌克兰军队的潜在位置，然后将带有潜在目标坐标的在线地图屏幕截图发送给俄罗斯情报部门。 据报道，这一信息帮助俄罗斯对乌克兰民用基础设施（包括当地一家医院）发动了两次导弹袭击。如果罪名成立，嫌疑人可能面临最高 12 年的监禁。 据称俄罗斯招募乌克兰公民来监视军队或帮助瞄准当地基础设施，这种情况在战争期间很常见。通常，嫌疑人会拍摄乌克兰军队或武器的潜在位置的照片或视频，然后通过 Telegram 将其发送到俄罗斯。 例如，10月初，SBU拘留了一名乌克兰男子，他在自己所在城市的街道上安装了摄像头，以收集有关乌克兰装备和军事人员的动向和数量的情报。据报道，他将此信息发送给了俄罗斯情报部门。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/WWfVjBJRmZgQnhVtVnI8Vw 封面来源于网络，如有侵权请联系删除