周五，微软宣布了遭遇了一次网络攻击。此次攻击据称是由 APT 组织 Midnight Blizzard 发起的，渗透了微软的多个电子邮件帐户，包括“负责网络安全、法律和其他职能的高级管理层和员工”的电子邮件帐户。 有趣的是，黑客的目标并不是客户数据或传统的公司信息。据微软称，这次攻击的目标是获取有关他们自己的信息——即找出微软对 Midnight Blizzard 组织的了解。 微软表示，黑客使用了“密码喷射攻击”技术，使他们能够访问一小部分公司电子邮件。该公司没有透露有多少账户被黑客入侵，也没有透露黑客可以获得哪些信息。 此次攻击并非由微软产品或服务中的漏洞引起。目前没有证据表明黑客已获得对客户环境、生产系统、源代码或人工智能系统的访问权限。微软承诺在需要采取任何行动时会通知客户。 针对这一事件，微软强调需要加快努力提高安全性。该公司表示，打算立即将当前的安全标准应用于微软系统和内部业务流程，即使这可能导致现有流程中断。 微软建议采取多种预防措施，包括使用防网络钓鱼的身份验证方法以及遵循 Microsoft Teams 的安全最佳实践。 公司强烈提醒用户警惕社会工程和凭证盗窃攻击，包括不要在未经请求的消息中输入 MFA 代码。   转自安全客，原文链接：https://www.anquanke.com/post/id/292779 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 堪萨斯州立大学（Kansas State University，简称 K-State）遭遇了一起网络安全事件，导致其部分网络和服务受到影响。 2023 年 1 月 16 日，K-State 大学宣布其某些网络系统出现故障，包括 VPN、K-State Today 邮件以及 Canvas 和 Mediasite 上的视频。 该大学立即对此事件展开调查。 “我们能够确认，这些中断是最近一次网络安全事件的结果，因此，我们希望您知道这些受影响的系统已经被下线，并将在调查继续的过程中保持下线。”大学在其网站上发布的消息中写道。“这还包括一些共享驱动器和打印机，以及大学的列表服务器。” 堪萨斯州立大学（Kansas State University，简称KSU、Kansas State或K-State）是一所位于堪萨斯州曼哈顿市的公立土地授予研究型大学。该大学被分类为“R1：博士大学 – 非常高的研究活动”。 堪萨斯州立大学的学术课程由九个学院管理，包括兽医学院和 Salina 的技术与航空学院。提供的研究生学位包括 65 个硕士学位项目和 45 个博士学位项目。 目前，堪萨斯州立大学拥有 20,000 名学生，并有超过 1,400 名学术教职工成员。 KSU 建议其工作人员和学生报告任何可疑活动。 2023 年 1 月 17 日，大学宣布电子邮件将于 1 月 18 日（星期四）以临时格式恢复。 2023 年 1 月 18 日，KSU Wireless 仍然不可用，大学建议在此期间使用 KSU Guest 进行无线连接。 截至目前，堪萨斯州立大学尚未提供有关安全漏洞的详细信息。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

安全研究人员发现了一种针对易受攻击的 Docker 服务的新型网络攻击活动。这些攻击标志着第一个有记录的利用 9hits 应用程序作为有效负载的恶意软件案例的诞生。 Cado 安全实验室发现，该活动将两个容器部署到易受攻击的 Docker 实例 —— 一个标准 XMRig 挖矿程序和 9hits 查看器应用程序。后者用于在 9hits 平台上为攻击者生成积分。 9hits 是一个被称为“独特的网络流量解决方案”的平台，允许会员购买积分以进行网站流量交换。在此活动中，通常用于访问网站以换取积分的 9hits 查看器应用程序被恶意软件利用，使攻击者受益。 攻击首先由攻击者控制的服务器通过互联网在易受攻击的 Docker 主机上部署容器。虽然 Cado 研究人员无法访问该传播程序，但他们推测攻击者可能通过 Shodan 等平台发现了蜜罐。该传播器使用 Docker API 启动两个容器，从 Dockerhub 获取现成的镜像用于 9hits 和 XMRig 软件。 仔细检查有效负载操作后发现，9hits 容器运行带有会话令牌的脚本，允许应用程序通过 9hits 服务器进行身份验证并为攻击者赚取积分。XMRig 容器利用链接到攻击者动态 DNS 域的私人矿池来挖掘加密货币。 对受感染主机的影响是资源耗尽，XMRig 矿工消耗可用的 CPU 资源，而 9hits 应用程序则利用大量带宽、内存和任何剩余的 CPU。这可能会阻碍受感染服务器上的合法工作负载，并可能导致更严重的违规行为。 Cado 安全研究员 Nate Bill 表示，这一发现凸显了攻击者从受感染主机中获利的策略不断演变。它还强调暴露的 Docker 主机作为入口点的持续漏洞。 “由于 Docker 允许用户运行任意代码，因此保持其安全至关重要，以避免您的系统被用于恶意目的，” 公告中写道。   转自安全客，原文链接：https://www.anquanke.com/post/id/292769 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 台湾最大的半导体制造商之一 Foxsemicon 遭 LockBit 勒索攻击，声称已获取了该公司 5 TB 的数据。 Foxsemicon公司遭到攻击，黑客声称已成功窃取5 TB的数据。威胁称如果公司不支付赎金，黑客将在暗网上公开这些数据。在本次Foxsemicon的攻击中，LockBit采用了非典型的策略，与其通常在勒索网站上公布受害者姓名的做法不同，此次主要是威胁公开数据。 台湾媒体周三报道称，Foxsemicon在向台湾证券交易所提交的声明中提及，在检测到此次攻击后，他们迅速恢复了公司的网站，并目前正在与安全专家合作，初步调查显示该事件“不会对公司的运营造成重大影响”。 然而，截至美国时间周三下午，该公司的网站仍无法访问，而谷歌搜索结果仍然显示黑客的信息，该公司的股价当天在台湾市场下跌了约3%。 Foxsemicon未透露黑客索要赎金的信息，也未确认客户或员工个人信息是否被泄露，母公司鸿海科技集团截至目前未回应子公司遭网络攻击的请求。   消息来源：therecord.media，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Anonymous Sudan（匿名苏丹）是一个亲俄罗斯的黑客活动组织，其出现与乌克兰战争开始以来其他亲俄罗斯网络行为者的崛起相一致。 Anonymous Sudan（匿名苏丹）在 Telegram 上声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。 Anonymous Sudan（匿名苏丹）由不同背景的成员组成，该组织声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。它是世界上最大的交换点之一。 伦敦互联网交换中心 (LINX) 是一个共同管理的互联网交换点 (IXP)，总部位于英国伦敦。它为英国及其他地区的网络运营商提供对等服务和公共政策代表。 该组织声称其网络攻击是对英国支持以色列以及对也门发动空袭的回应。Anonymous Sudan（匿名苏丹）组织还威胁称，将在未来几天发动大规模网络攻击，给英国带来重大挫折。 2023 年 1 月 12 日，该组织在其 Telegram 频道上发布了有关 LINX 攻击的信息，但这一说法尚未得到证实。 然而，根据 CyberKnow 的 OSINT 专家的一条推文，在该组织的声明中，LINX 的网站仍然在线，这引发了人们对这些声明的真实性或是否仅仅是猜测的疑问。 英国和美国对也门胡塞武装军事目标发动了空袭。英国使用 150 枚精确制导弹药袭击了 30 个胡塞武装军事基地，打死 5 名武装分子。英国首相里希·苏纳克批准了这一军事行动。 英国此举是对胡塞武装袭击红海国际海事船只的回应。据报道，美国官员从三艘驱逐舰和一艘潜艇发射了 80 多枚“战斧”巡航导弹。艾森豪威尔号航空母舰的 22 架飞机也参与了此次行动。 Anonymous Sudan（匿名苏丹）以针对反俄罗斯和反穆斯林团体/实体使用大规模 DDoS 攻击而闻名。最近，他们几乎每周都会发起攻击，目标是航空公司、政府、银行、大型企业、机场和电信公司。 2023 年 11 月，该组织还声称对ChatGPT 进行 DDoS 攻击并造成服务中断负责。他们此前曾于2023 年 6 月参与对微软办公套件的网络攻击，包括 Outlook 和 OneDrive 等流行应用程序及其 Azure 云计算平台。 自成立以来，Anonymous Sudan（匿名苏丹）组织一直活跃在 Telegram 上，对潜在的攻击发出警告并实时更新。其主要目标包括以色列总理本杰明·内塔尼亚胡的网站、摩萨德，还与Killnet合作。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/GTXxeRHmQfJtvE6Iwg9xLg? 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Bishop Fox 的研究人员发现超过 178,000 个 SonicWall 下一代防火墙 (NGFW) 被公开利用。 SonicWall 下一代防火墙 (NGFW) 6 和 7 系列设备存在两个未经身份验证的拒绝服务漏洞（分别为 CVE-2022-22274 和 CVE-2023-0656），可能会导致远程代码执行。尽管 CVE-2023-0656 的PoC已公开发布，但截至目前，供应商尚未收到这些漏洞在野攻击利用的报告。 研究人员利用 BinaryEdge源数据扫描了管理界面暴露于互联网的 SonicWall 防火墙，发现其中76%容易受到1-2个安全问题的潜在影响。 这两个漏洞在本质上相同，都是由于重用了易受攻击的代码模式，但可以在不同的 HTTP URI 路径上进行利用。 研究人员还研发了一个测试脚本，用于在不引起设备崩溃的情况下评估设备是否容易受到攻击。这表明，可能存在大规模攻击对系统造成严重影响的风险。 在默认配置下，SonicOS 在崩溃后会自动重新启动。然而，如果在短时间内发生了3次崩溃，系统将进入维护模式，需要管理员进行操作才能恢复正常功能。   根据ZoomEye网络空间搜索引擎的测绘数据，目前有超过200万个 SonicWall 防火墙暴露在网络上，其中美国占比超过 50%。 研究人员建议易受攻击设备的管理员将 Web 管理界面限制在内部网络，并确保及时升级设备固件至最新版本。 报告还指出：“攻击者目前可以轻松利用漏洞进行拒绝服务攻击，但正如 SonicWall 在其建议中所述，存在潜在可能性使攻击者能够远程执行代码。虽然设计出可执行任意命令的漏洞是可能的，但要克服一些挑战，包括 PIE、ASLR 和stack canaries，需要进一步的研究。” 报告总结道：“对于攻击者而言，更大的挑战在于攻击前确定目标使用的具体固件和硬件版本，因为攻击需要根据这些参数进行个性化定制，由于目前尚无已知技术可以对SonicWall防火墙进行远程指纹识别，因此我们估计攻击者利用RCE的可能性仍然较低。 消息来源：securityaffairs，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Balada Injector 恶意软件对数千个使用 Popup Builder 插件的 WordPress 网站进行了攻击。 Doctor Web 专家于去年 1 月首次记录该恶意活动，该活动由一系列攻击组成，这些攻击利用 WordPress 插件中的安全缺陷引入后门，旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。 Sucuri 的最新调查发现， 截至 2023 年 12 月，在 7,100 多个站点上检测到 Balada Injector 活动。这次，黑暗黑客利用WordPress Popup Builder 插件中的漏洞进行攻击。该漏洞的标识符为 CVE-2023-6000 ， CVSS 评分为 8.8。它在插件版本 4.2.3 中被正式修复，而 Popup Builder 发布时的最新版本是 4.2.6。 WPScan 的研究员 Mark Monpas 表示：“成功利用此漏洞可能允许攻击者执行站点管理员有权访问的任何操作，包括安装任意插件和创建具有管理权限的新用户。” 该恶意活动的目标是将恶意 JavaScript 文件集成到易受攻击的网站中，以夺取控制权并安装额外的有效负载。如上所述，受感染的网站随后被攻击者用来促进恶意重定向和网络钓鱼攻击。 这次网络事件再次提醒 WordPress 网站所有者定期将他们使用的插件更新到最新版本。Popup Builder 等过时版本插件中的漏洞可能会导致网站感染并用于犯罪。定期更新是保护您的网站及其访问者免受此类攻击的简单而有效的方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/292651 封面来源于网络，如有侵权请联系删除

Security Affairs 网站消息，苹果近期发布了 Magic Keyboard 固件更新版本 2.0.6，解决了蓝牙键盘注入漏洞问题（漏洞被追踪为 CVE-2024-0230）。据悉，该安全漏洞是一个会话管理问题，由 kySafe 公司研究员 Marc Newlin 发现并上报，黑客能够利用漏洞获取键盘物理访问权限，窃取其蓝牙配对密钥并监控蓝牙通信。 苹果公司在公告中指出，威胁攻击者一旦成功对配件进行物理访问，就有可能提取其蓝牙配对密钥并监控蓝牙流量。此外，威胁攻击者还可以利用未经验证的蓝牙连接到受影响的设备并注入恶意程序，从而实现安装应用程序、执行任意命令、转发消息等操作。 未打补丁的设备在以下情况下容易受到网络攻击： 只要启用蓝牙，安卓设备就会受到攻击； Linux/BlueZ 要求蓝牙可被发现/连接； iOS 和 macOS 在启用蓝牙且 Magic Keyboard 已与手机或电脑配对的情况下存在漏洞。 Magic Keyboard 固件更新 2.0.6 适用于 Magic Keyboard、Magic Keyboard (2021)、带数字键盘的 Magic Keyboard、带 Touch ID 的 Magic Keyboard 以及带 Touch ID 和数字键盘的 Magic Keyboard 等版本。 最后，研究人员指出锁定模式并不能阻止黑客利用 CVE-2024-0230 安全漏洞，目前也尚不清楚漏洞是否已被在野攻击被利用。 过去一年，苹果曝出多个高危漏洞 2023 年 2 月份，苹果公司发布安全更新，解决旧款 iPhone 和 iPad 中的零日漏洞  CVE-2023-23529。据悉，该漏洞是一个 WebKit 类型的混淆问题。 CVE-2023-23529 安全漏洞危害极大，一旦被威胁攻击者成功利用，可能会引起操作系统崩溃，威胁攻击者甚至可以在诱骗受害者打开恶意网页后，在目标 iPhone 和 iPad 上执行任意代码（该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。 2023 年上半年 ，研究人员还在 WebKit 浏览器引擎中发现了三个零日漏洞，分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373。 威胁攻击者可以利用上述三个漏洞，侵入用户设备访问用户敏感信息，甚至可以诱使受害者目标加载恶意制作的网页（网络内容），在受损设备上执行任意代码。 接收到漏洞反馈后，苹果公司通过改进边界检查、输入验证和内存管理苹果在 5 月 1 日发布的 iOS 16.4.1 和 macOS 13.3.1设备的快速安全响应（RSR）补丁解决 CVE-2023-28204 和 CVE-2023-32373 这两个漏洞问题。   转自Freebuf，原文链接：https://www.freebuf.com/news/389665.html 封面来源于网络，如有侵权请联系删除

据The Record网站消息，1月11日，勒索软件组织美杜莎（Medusa）在其暗网受害名单网站上列出了 Water for People——一家专为贫困地区提供清洁饮用水的非盈利组织。 美杜莎向该组织索要30万美元赎金，否则将公布被盗信息。Water for People 的一位发言人表示：“被盗的数据均早于2021年，财务系统未受损害，也没有影响任何业务运营。我们正在与顶级事件响应公司以及我们的保险公司合作，并与我们的安全团队一起强化我们的系统，以防止未来再发生类似事件。” “虽然最近来自美杜莎勒索软件的网络攻击并未影响我们的工作，但它确实反映出，即使是像我们这样的非营利组织也成为了攻击目标。我们尝试进行善意谈判，但没有结果。”该发言人补充道。 Water for People目前在9个不同的国家开展业务，包括拉美地区的危地马拉和洪都拉斯、非洲的莫桑比克和亚洲的印度，目标是在未来八年内改善超过 2 亿人的用水状况。此次勒索攻击发生前，该组织获得了亚马逊创始人杰夫·贝佐斯（Jeff Bezos）的亿万富翁前妻麦肯齐·斯科特 (MacKenzie Scott) 1500 万美元资助。 根据 Unit 42 的最新分析，这已不是美杜莎第一次攻击与供水相关的组织，去年，一家为近50万人提供饮用水的意大利公司就曾遭到该组织的袭击。 勒索软件组织正越发“不分青红皂白” 尽管非营利和非政府组织部门的许多组织缺乏财务保障，其中大部分依赖捐款才能运营，但近来它们也未能幸免于勒索软件组织的攻击。 Unit 42 的研究数据表明，非营利部门与媒体、娱乐和农业行业一样经常受到美杜莎的攻击。英国数据保护监管机构的安全事件趋势数据显示，自 2020 年以来，英国慈善志愿部门已报告了 100 多起勒索软件事件。就在去年 9 月，国际救助儿童会也遭到了攻击。 Unit 42 分析指出，美杜莎不分青红皂白地发起攻击，凸显了此类勒索软件组织已经构成了一种相当普遍的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/articles/network/371593.html 封面来源于网络，如有侵权请联系删除

经为期两年的调查，荷兰《人民报》发现一名荷兰工程师曾是荷兰情报与安全总局特工，他在利用臭名昭著的 Stuxnet 恶意软件破坏伊朗核计划的秘密行动中发挥了关键作用。据报道，该特工的恶劣行径导致将近一千个核离心机自爆，对伊朗的核工业发展带来了重大挫折，使伊朗的核工业进展被延迟一年多。 Stuxnet 是一种复杂的恶意软件，旨在破坏与核离心机相关的工业控制系统，造成广泛的损害。据信，该恶意软件是美国中央情报局和以色列摩萨德联合发起的。它感染了数十万台设备，并使众多机器陷入网络中断。 报道称，埃里克·范·萨本（Erik van Sabben）于2005年被聘用。这位工程师随后在迪拜的运输公司TTS工作，但后来跳槽到阿拉伯 Al-Jaber 集团，然后又回到了TTS。在运输公司，他处于将西方专业设备运往伊朗的“关键位置”。 范·萨本冒充伊朗工程师，成功潜入伊朗核计划的关键点——纳坦兹核设施。他通过水泵将Stuxnet恶意软件引入该设施。恶意软件隐藏在泵内，使其能够传播并危害工业控制系统。 范·萨本于2009年1月离开伊朗后不久在一场摩托车事故中丧生。报道指出，目前尚不清楚范·萨本本人是否知道他带到纳坦兹的设备感染了恶意软件。 该报道概述了这次秘密行动之前的多年准备工作。据报道，在2006年，时任美国中央情报局局长迈克尔‧海登（Michael Hayden）亲自前往荷兰军事情报和安全局，向荷方人员强调需要将一些“水泵”运进伊朗纳坦兹核设施，称这些“水泵”将导致核离心机自爆。据当时在场的荷方人员描述，海登描述这些“水泵”花了10余亿美元研发。 网络安全行业的知名成员、卡巴斯基研究团队前主任Costin Raiu和WithSecure首席研究官Mikko Hypponen对这一数额表示怀疑。   《人民报》报道称，荷兰情报部门虽然知道自己参与破坏伊朗核武的计划，但是除了美方的“水泵”说法，对于美国和以色列具体如何利用自己的情报人员破坏纳坦兹核设施并不知情。目前尚未知范·萨本是通过水泵还是另通过USB将病毒传入伊朗纳坦兹核设施，《人民报》采访的不同情报机构人员给出了不同的说法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/hA1ZeaEQfGDA8tZkDNti5A 封面来源于网络，如有侵权请联系删除