谷歌旗下的网络威胁情报巨头 Mandiant 分享了其官方 X 账户被劫持事件的调查结果，此前该公司发生了一波与加密货币相关的 X 账户遭遇黑客攻击的事件。 2024 年 1 月 3 日，Google Cloud 子公司 Mandiant 的 X（以前的 Twitter）账户被攻击者接管，之后开始向其 123,5000 名关注者发送指向加密货币 Drainer 钓鱼页面的链接。 该公司第二天恢复了其帐户，并在社交媒体上发布了以下帖子：“正如您可能注意到的那样，昨天，Mandiant 失去了对这个启用了 2FA 的 X 帐户的控制。目前，除了受影响的 X 帐户之外，没有任何迹象表明存在恶意活动，该帐户已回到我们的控制之下。一旦得出结论，我们将分享我们的调查结果。” 1 月 11 日，该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的，并且仅限于该公司的主 X 帐户 @Mandiant。 调查发现“没有证据表明任何 Mandiant 或 Google Cloud 系统上存在恶意活动或受到损害，从而导致该帐户受到损害。” Mandiant 指责：都是 X 的错 Mandiant 在其沟通中指出，其账户的双因素身份验证 (2FA) 配置错误，该公司将部分责任归咎于 X。 “通常情况下，2FA 会缓解这种情况，但由于一些团队的过渡以及 X 2FA 政策的变化，我们没有得到充分的保护。我们已经对流程进行了更改，以确保这种情况不会再次发生。”该公司在社交媒体上发帖称。 尽管网络安全提供商没有具体说明它指的是哪些 X 更改，但 2FA 最近成为 X Premium 订阅者的专有功能。 以前，所有用户都可以启用 2FA 以提高安全性，但现在，只有那些支付订阅服务费用的用户才能访问此功能的元素。 具体来说，2023 年 2 月，非 Twitter Blue 用户禁用了 2FA 的短信/短信方法，身份验证应用程序和安全密钥方法仍然可用。 这一决定在用户群中引发了相当大的争议，因为 2FA 被认为是一项重要的安全措施，限制其可用性引发了对潜在漏洞的担忧。 @Mandiant 帐户的 X 上没有黄金复选标记，这可能意味着该公司尚未订阅社交媒体的高级计划。 事件背后的黑客组织 Mandiant 已使用 CLINKSINK 加密钱包 Drainer 识别出与 Drainer-as-a-service (DaaS) 组相关的 35 个 ID，CLINKSINK 是一种利用智能合约漏洞或用户错误窃取资金的恶意软件。 CLINKSINK 用户专门针对 Solana (SOL) 钱包。 这些数字诈骗者使用被劫持的 X 和 Discord 帐户来共享以加密货币为主题的网络钓鱼页面，这些页面冒充 Phantom、DappRadar 和 BONK，并带有虚假代币主题。 以 $PHNTM 空投为主题的网络钓鱼页面示例 他们利用这些被盗用的帐户，以免费代币的承诺来引诱受害者，部署伪装成流行加密平台令人信服的网络钓鱼页面。 他们并没有让自己的目标变得更加富有，而是直接将资金转移到自己的腰包中，其中 20% 归自己所有，其余的则留给了幕后人物。 Mandiant 估计，这一邪恶计划已对毫无戒心的加密货币爱好者造成了至少 90 万美元的损失。 自 2023 年 12 月以来，这 35 个附属 ID 一直在使用 CLINKSINK 在不同的活动中窃取 Solana 用户的资金和代币。 一波与加密货币相关的 X 账户劫持事件 包括Netgear、Hyundai 和 Certik 在内的几家公司的 X 社交媒体帐户最近也被攻击者劫持并用于加密货币诈骗。 1 月 10日，美国证券交易委员会的 X 账户@SECGov 遭到入侵，并发布了有关批准比特币交易所交易基金（ETF）在证券交易所上市的虚假公告，导致比特币价格短暂飙升。 X 的安全团队后来表示，此次接管是由于在 SIM 卡交换攻击中与 @SECGov 帐户相关的电话号码被劫持所致。X 还指出，SEC 的帐户在遭到黑客攻击时并未启用双因素身份验证 (2FA)。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Pbz3fzy0thTm-xo8F6-sSA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 近日，LockBit勒索软件组织声称对 2023 年 11 月发生在 Capital Health 医院的网络攻击事件负责。 CAPITAL HEALTH医院网络在遭受攻击后经历了IT 系统中断。事件发生后，医院立即通报法务部门，并聘请了第三方数字取证和信息技术专家提供支持。与此同时，医院采取了额外的安全措施以保护其基础设施功能。 Capital Health区域医疗中心是Capital Health系统的成员，位于新泽西州特伦顿。该中心是一个区域性学术医疗中心，同时也是州指定的创伤中心，专门负责治疗相关病例。 目前，LockBit勒索软件组织已将Capital Health列入其Tor数据泄露网站的受害者名单，被盗的医疗机密数据总量超过 7 TB ，价值 25 万美元。截止发稿时，暂未找到相关信息。 同时，LockBit澄清其攻击仅限于医院数据的盗窃，不会对患者护理产生中断影响。 日前，LockBit勒索软件组织仍在持续对卫生保健组织进行攻击。最近，Katholische Hospitalvereinigung Ostwestfalen（KHO）宣布，其三家医院（Bielefeld、Rheda-Wiedenbrück和Herford）在LockBit勒索软件攻击后经历了服务中断，这一安全事件可能对当地居民产生严重影响。   Hackernews 编译，转载请注明出处 消息来源：securityaffairs，译者：dengdeng

WordPress 的 AI Engine 插件中发现了一个严重漏洞，特别影响其拥有超过 50,000 个活跃安装的免费版本。 该插件因其多样化的人工智能相关功能而受到广泛认可，允许用户创建聊天机器人、管理内容并利用各种人工智能工具，如翻译、搜索引擎优化等。 根据 Patchstack 今天发布的公告，所涉及的安全缺陷是 files.php 模块中插件的 rest_upload 函数中未经身份验证的任意文件上传漏洞。 该漏洞允许任何未经身份验证的用户上传任意文件，包括潜在的恶意 PHP 文件，这可能导致在受影响的系统上远程执行代码。 值得注意的是，相关REST API端点的permission_callback参数设置为__return_true，允许任何未经身份验证的用户触发易受攻击的函数。代码中缺乏正确的文件类型和扩展名验证，允许上传任意文件，从而构成重大安全风险。 了解有关 WordPress 安全性的更多信息：备份迁移 WordPress 插件缺陷影响 90,000 个站点 为了缓解此漏洞，该插件的开发团队在 1.9.99 版本中引入了补丁。该补丁对自定义 REST API 端点实施权限检查，并使用 wp_check_filetype_and_ext 函数合并文件类型和扩展名检查。 鉴于这些发现，强烈建议用户将其 AI Engine 插件更新到至少 1.9.99 版本，以确保他们的系统免受潜在的利用。已分配标识符 CVE-2023-51409 来跟踪该问题。 Patchstack 公告中写道：“始终检查插件或主题代码中 $_FILES 参数的每个进程。 ” “在上传文件之前，请务必检查文件名和扩展名。另外，请特别注意自定义 REST API 端点的权限检查。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292502 封面来源于网络，如有侵权请联系删除

据报道，有消息人士向乌克兰媒体透露，与乌克兰安全局 (SBU) 有联系的 Blackjack 网络组织本周发起了一次网络攻击，他们声称能够“摧毁”莫斯科互联网服务提供商 M9 Telecom 的服务器。 该 ISP 的网站于 1 月 9 日上线。 不愿透露姓名的消息人士告诉乌克兰国营媒体 Ukrinform，这次网络行动是为了报复俄罗斯支持的12 月 12 日对 Kyivstar移动电话运营商的入侵，该事件导致乌克兰各地的通信中断。消息人士补充说，M9 Telecom 网络攻击只是“为 Kyivstar 进行更严厉的报复”的“热身”。 Blackjack 网络组织同样声称对 12 月底莫斯科 Rosvodokanal 自来水公司的入侵事件负责，该组织声称在 SBU 的帮助下成功完成了这次事件。 本月早些时候，SBU 网络负责人 Illia Vitiuk 警告称，俄罗斯对现代私营公司 Kyivstar 的入侵向西方国家发出信号：没有什么是俄罗斯网络威胁无法触及的。   转自安全客，原文链接：https://www.anquanke.com/post/id/292524 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，威胁攻击者成功“占领”了美国证券交易委员会的 X 账户，并发布一条关于批准比特币 ETF 在证券交易所上市的虚假公告。 帖子原文：今天，美国证券交易委员会批准比特币 ETF 在注册的国家证券交易所上市，获批的比特币 ETF 将接受持续的监督和合规措施，以确保持续保护投资者。 有意思的是，冒牌推文下还放了一张美国证券交易委员会（SEC）主席加里-根斯勒（Gary Gensler）的照片。 美国证券交易委员会（SEC）账户被黑客伪造的 ETF 批准书 这一消息迅速传播开来，许多加密货币平台和主流新闻网站都报道了这一事件，比特币价格也出现了短暂飙升。然而，很快就有消息传出美国证券交易委员会 X 账户被黑客攻击了，并借此发布这一假消息，比特币价格随之回落。 不久后，美国证券交易委员会主席根斯勒发推表示，@SECGov twitter 账户被威胁攻击者入侵了，这些犯罪分子发布了一条未经授权的推文，美国证券交易委员会目前并未批准比特币 ETF 在证券交易所上市。 美国证券交易委员会发言人向媒体进一步证实，比特币 ETF 的未经授权的推文不是由美国证券交易委员会或其工作人员发布的。随着事件发酵，美国证券交易委员会方面再次发布声明称，已经可以确认有不明人士未经授权访问了 @SECGov x.com 账户并在该账户上进行了非法活动，目前该未经授权的访问已被终止，美国证券交易委员会将与执法部门合作调查帐户被黑一事。 X 账户屡屡被黑 过去一个月里，X 平台或许已经被一大波账户遭遇袭击的事件压得喘不过气来，许多机构组织被黑客攻击，传播加密货币骗局和钱包放水链接。近期，Netgear 和 Hyundai MEA X 账户被黑客攻击，目的是推广虚假加密货币网站，从连接到 Web3 网站的钱包中盗取加密货币。 Web3 安全公司 CertiK 近期也遭到黑客攻击，这些犯罪分子借机推广一个钱包“放水”程序，网络安全公司 Mandiant 也遭到劫持，尽管该公司已经启用了双因素身份验证。除账户劫持外，威胁攻击者还利用 X 的广告平台制作了无穷无尽的恶意广告，推销加密货币骗局。   转自Freebuf，原文链接：https://www.freebuf.com/news/389312.html 封面来源于网络，如有侵权请联系删除

近日，美国、欧盟和拉美（LATAM）地区的微软 SQL（MS SQL）服务器安全状况不佳，因而被土耳其黑客盯上，成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。 Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的一份技术报告中提到：威胁活动一般会以以下两种方式结束：要么是出售被入侵主机的访问权，要么是最终交付勒索软件有效载荷。 Securonix 网络安全公司将此次土耳其黑客发起的攻击行动命名为 “RE#TURGENCE”。此次行动与 2023 年 9 月曝光的名为 DB#JAMMER 的活动如出一辙。都是先对服务器的初始访问需要进行暴力破解攻击，然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令，以便从远程服务器检索 PowerShell 脚本打好基础，然后由该脚本负责获取经过混淆的 Cobalt Strike beacon 有效载荷。最后，黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序，以访问机器并下载其他工具，如 Mimikatz 以获取凭据，以及高级端口扫描器以进行侦查。 横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的，它可以在远程 Windows 主机上执行程序。 该攻击链最终以部署 Mimic 勒索软件而达到高潮，DB#JAMMER 活动中也使用了该勒索软件的变种。 Kolesnikov告诉《黑客新闻》：”这两个活动中使用的指标和恶意TTP完全不同，因此很有可能是两个不同的活动。也就是说，虽然最初的渗透方法类似，但 DB#JAMMER 更复杂一些，使用了隧道技术。相比之下RE#TURGENCE 更有针对性，倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具，试图混入正常活动中。 Securonix表示，它发现了威胁行为者的操作安全（OPSEC）失误，由于AnyDesk的剪贴板共享功能已启用，因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse，该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。 研究人员提醒说：一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下，攻击者可以直接从主网络外部强行进入服务器。   转自Freebuf，原文链接：https://www.freebuf.com/news/389295.html 封面来源于网络，如有侵权请联系删除

OT 网络安全公司 Nozomi Networks 表示，在汽车行业广泛使用的博世力士乐螺母扳手中发现的漏洞可能会被寻求直接经济利益的黑客或试图对目标工业组织造成破坏的攻击者利用。 Nozomi 研究人员在博世力士乐的 NXA015S-36V-B 产品中发现了安全漏洞，该产品是一款无线手持式气动扭矩扳手（也称为螺母扳手），专为安全关键的拧紧操作而设计。 该机器有一个内置显示器，为操作员提供实时数据，它还可以通过嵌入式 Wi-Fi 模块连接到无线网络，使其能够将数据传输到服务器，并允许用户远程重新编程。 Nozomi 研究人员发现了二十多个漏洞，其中大部分存在于 NEXO-OS 操作系统的管理应用程序中，还有一些与 SCADA、PLC 和其他系统集成而设计的通信协议有关。 利用这些漏洞可能会让未经身份验证的攻击者完全控制螺母扳手。该网络安全公司进行的实验室测试展示了攻击者如何发起勒索软件攻击，其中包括使设备无法操作并在其内置屏幕上显示勒索消息。更糟糕的是，这种攻击可以自动攻击公司的所有螺母操作员，从而导致生产线中断。 在该公司在实验室模拟的另一个攻击场景中，攻击者改变了拧紧程序配置，特别是扭矩值。这可能会导致螺栓松动，从而导致安全风险，或者制造出有缺陷的产品，从而导致财务或声誉损失。 “在关键应用中，应用到机械紧固件的最终扭矩水平经过计算和设计，以确保满足设备的整体设计和操作性能。”Nozomi 解释道。“例如，电气配电盘中使用的螺栓、螺母和固定装置必须适当拧紧，以确保高压母线等载流部件之间的连接保持低电阻。连接松动会导致工作温度升高，随着时间的推移，可能会引起火灾。” 另一方面，过度拧紧会给螺栓和螺母带来过大的压力，这可能会导致机械故障，可能导致过多的保修索赔和企业声誉受损。 总共 25 个 CVE 分配给这些缺陷，其中 11 个具有“高严重性”评级。 未经身份验证的攻击者如果能够向目标设备发送网络数据包，就可以利用 root 权限实现远程代码执行，从而彻底破坏系统。虽然利用某些缺陷需要身份验证，但可以通过将它们与其他漏洞（例如硬编码凭据）链接来实现此要求。 虽然这些漏洞是在 NXA015S-36V-B 产品中发现的，但其他力士乐 Nexo 螺母扳手也受到影响，包括多个 NXA、NXP 和 NXV 系列设备。 Bosch Rexroth 已获悉这些漏洞，Nozomi 表示该公司计划在 2024 年 1 月底之前修复这些漏洞。该供应商已发布了自己的安全公告。 为了防止恶意利用，该网络安全公司尚未公开任何技术信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

美国一家抵押贷款机构 loanDepot 遭遇以一场严重的勒索软件攻击，黑客加密了该机构的很多内部数据。 loanDepot  客户在尝试登录支付门户网站支付贷款时遇到了问题，随即向 loanDepot 公司方面反应。不久后，loanDepot 有关负责人站出来回应，表示公司经历了一场网络安全事故，目前已经在网络安全专家协助下，将某些网络系统下线，努力尽快恢复正常业务运营，并积极采取安全措施将勒索软件安全事件的影响降至最低。同时，公司也在第一时间通知了相关监管机构和执法部门。 loanDepot 证实遭遇勒索软件攻击 意识到公司遭遇了勒索软件攻击不久，loanDepot 便通过社交媒体通知其客户，公司会继续处理定期自动付款，但在客户的付款历史记录中可能会延迟显示。用户使用服务门户网站进行新的支付会受到严重影响，建议受影响的客户向呼叫中心寻求帮助。 loanDepot 方面还指出，公司正在努力调查勒索软件攻击事件，已经能够确认有未经授权的第三方威胁攻击者”访问“了某些公司系统并加密了大量数据，后续将继续评估勒索软件攻击事件的影响，以及该事件是否会对公司造成重大影响。 在提交给美国证券交易委员会的 8-K 文件中，loanDepot 透露黑客加密了被入侵设备上的大量文件，迫使 loanDepot 关闭了部分系统，以阻止黑客访问其网络上的其他设备。更糟糕的是，目前尚不清楚是哪个勒索软件组织在幕后操纵了此次勒索软件攻击活动。 从 loanDepot 公司对勒索软件攻击事件的回应来看，仅仅提到黑客入侵其内部网络系统并加密了大量文件，但根据以往案例来看，勒索软件团伙通常也会窃取受害公司的内部数据和客户数据，迫使受害者支付赎金。 鉴于 loanDepot 公司持有敏感的客户数据（如财务和银行账户信息等），受勒索软件攻击事件影响的用户应警惕潜在的网络钓鱼攻击和身份盗用。 金融机构屡屡成为勒索软件攻击目标 早在 2023 年 5 月，loanDepot 就曾披露过一起 2022 年 8 月遭遇的网络攻击事件，最终导致大量客户数据信息被盗取。此外，按揭贷款巨头库珀先生也于 2023 年 11 月遭受了网络攻击，导致 1470 万客户的个人数据泄露。 同样，美国产权保险公司目标之一 First American Financial Corporation 也在圣诞节前被迫关闭了部分网络系统，以控制网络攻击的影响。 转自FreeBuf，原文链接：https://www.freebuf.com/news/389190.html 封面来源于网络，如有侵权请联系删除

近日，美国知名安全公司 Ultra Intelligence & Communications 遭遇Black Cat黑客攻击，导致瑞士空军文件被泄露到了暗网上。 Ultra Intelligence & Communications（简称ULTRA），是一家全球领先的技术公司，总部位于英国。该公司提供先进的情报、通信和安全技术解决方案，服务的客户包括国防部、联邦调查局、缉毒局、北约、美国电话电报公司、瑞士联邦国防部和国防承包商 RUAG 等。 攻击事件发生后，瑞士联邦国防部证实瑞士空军受到了此次攻击的影响，瑞士当局随即对该事件展开了调查。 据 SwissInfo 网站报道，Black Cat 从 ULTRA 公司窃取了约 30 G 敏感文件。泄露的文件中包括瑞士国防部与美国公司之间的一份合同，金额近 500 万美元（428 万瑞士法郎）。根据这份文件和其他泄露文件可的内容显示，瑞士国防部购买了空军加密通信技术。同时，在泄露的文件中，还有电子邮件和付款收据，展示了交易的时间。 不过，联邦国防部证实，武装部队的运行系统并没有受到此次事件的影响。 BlackCat勒索软件（又名AlphaVM、AlphaV或ALPHV）于2021年11月中旬首次被Malwarehuntertam研究人员披露，是第一个基于RUST语言编写的专业勒索软件系列，并因其高度定制化和个性化的攻击而迅速泛滥。 该软件不仅能够在各种企业环境进行攻击，还在短期内成功执行了多次引人注目的攻击，受害者包括汽车消费电子巨头 Voxx Electronics、美国法院、知名手表品牌Seiko等等。 据美国联邦调查局（FBI）调查显示，截至去年 9 月，ALPHV/BlackCat 勒索软件团伙已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金，其中近 75% 受害者来自美国，其余约 250 个散布全球各地。 转自FreeBuf，原文链接：https://www.freebuf.com/news/389186.html 封面来源于网络，如有侵权请联系删除

美国国家标准与技术研究院 (NIST) 近日发布了有关对抗性机器学习 (AML) 攻击和缓解措施指南， 呼吁人们再度关注近年来人工智能 (AI) 系统部署增加所带来的隐私和安全挑战，并表示目前没有万无一失的方法对这类系统进行保护。 NIST指出，这些安全和隐私挑战包括恶意操纵训练数据、恶意利用模型漏洞对人工智能系统的性能造成不利影响，甚至是恶意操纵、修改或仅仅是与模型交互，就可以外泄关乎个人、企业甚至是模型本身专有的敏感数据。 伴随着OpenAI ChatGPT 和 Google Bard 等生成式人工智能系统的出现，人工智能系统正快速融入在线服务，但支持这些技术的模型在机器学习操作的各个阶段都面临着许多威胁。NIST ，重点关注了四种主要类型的攻击：逃避、中毒、隐私和滥用。 规避攻击：目的是在模型部署后产生对抗性输出 中毒攻击：通过引入损坏的数据，针对算法的训练阶段进行攻击 隐私攻击：目的是通过提出规避现有防护措施的问题，收集有关系统或其训练数据的敏感信息 滥用攻击：目的是破坏合法的信息来源，如包含错误信息的网页，以重新利用系统的预期用途 在规避攻击中，NIST 以对自动驾驶车辆的攻击作为示例，例如创建令人困惑的车道标记导致汽车偏离道路。 在中毒攻击中，黑客试图在人工智能训练期间引入损坏的数据。例如，通过将大量此类语言实例植入对话记录中，让聊天机器人使用不恰当的语言，以使人工智能相信这是常见的用语。 在隐私攻击中，黑客试图通过询问聊天机器人大量问题，并使用给出的答案对模型进行逆向工程，进而发现弱点来获取有关人工智能或其训练数据中存在的敏感数据。 在滥用攻击中，黑客将不正确的信息插入到源中，例如网页或在线文档，让人工智能吸收这些信息。与前面提到的中毒攻击不同，滥用攻击试图从合法但受损的来源向人工智能提供不正确的信息，以重新调整人工智能系统的预期用途。 NIST表示，上述攻击并不需要完全掌握人工智能系统某些方面的知识就可以轻松实现，希望AI业界能拿出更好的防御措施来应对这些风险。 转自FreeBuf，原文链接：https://www.freebuf.com/news/389195.html 封面来源于网络，如有侵权请联系删除