Fortinet的研究人员发现了一种新的名为Bandook的远程访问变种木马（RAT），近日，黑客利用该木马对Windows用户发起了网络钓鱼攻击。 该木马最早可追溯到2007年，至今一直在不断发展，不同黑客已经利用该木马进行了多次攻击活动。 Bandook变种木马通过附件为PDF文件的电子邮件进行传播，该PDF文件包含一个用于下载受密码保护的.7z文件的缩短URL。当从PDF文件中提取恶意软件后，注入器会在资源表中解密载荷并将有效载荷注入到msinfo32.exe中，而有效载荷的行为是由注入前创建的注册表键值决定的。 Fortinet发布的分析报告显示，“一旦注入成功，载荷就会初始化注册表键名、标志、API等的字符串。在此之后，载荷使用被注入的msinfo32.exe的进程标识符（PID）来查找注册表键，然后解码并解析键值，以执行控制码指定的任务。” Bandook木马的有效载荷支持139种动作，其中大部分在之前的变种中已经使用过了，最近的变种又增加了用于C2通信的附加命令，这意味着Bandook木马还在持续改进。 Bandook的常见行为包括文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用dll中的函数、控制受害者的计算机、终止进程以及卸载恶意软件等。 报告指出，这个恶意软件包含大量用于C2通信的命令，但其有效载荷执行的任务数量少于命令的数量。这是因为多个命令被用来执行单一动作时，有些命令用于调用其他模块中的函数，还有些命令仅用于对服务器进行响应。 报告表示，Bandook在这次攻击中没有观察到整个系统，FortiGuard将继续监控恶意软件的变种，并提供相应的防护措施。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389211.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，2024年1月9日，台湾虎航 85.8 万数据泄露，泄露的数据包含客户数据和航班预定数据，样本可下载。 泄露数据的详细类型包括： 客户数据: id，账户，密码，国籍，姓名，性别，生日，电子邮件，护照号码，护照过期日期，重置密码代码，创建时间 预定数据: id，创建者，创建日期，更新者，预订Id，预订参考号，电子邮件地址，乘客数量，产品类别，已创建的代理名称   数据被泄露的截图 台湾虎航是一家廉价航空公司 (LCC)，总部位于桃园国际机场。 它是中华航空集团与廉价航空控股有限公司的合资企业。 Hackernews在12月27日曾报道，中华航空航空公司的2400万条数据被公开贩卖。 2022年7月22日，台湾虎航在其官网发表公告称，公司遭受了一次网络攻击事件，所幸未造成重大运营影响。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

环境 (env.) 文件充当计算机程序的一组指令，使其成为任何系统的关键组件。让这些文件向任何人开放会暴露关键数据，并为黑客提供各种攻击选项。 文件暴露了黑客可用于在该部门系统内进行横向移动的信息，可能升级为从帐户接管到勒索软件攻击的任何行为。 MIM 是沙特王国负责工业和矿产资源运营的政府机构。它成立于 2019 年，旨在实现沙特阿拉伯经济的多元化，摆脱石油和天然气的束缚。 据团队称，这是第一次 env。该文件被物联网搜索引擎索引的时间是 2022 年 3 月，这意味着该数据至少暴露了 15 个月。该文件已被关闭，公众无法再访问。 “网络犯罪分子可能会利用泄露的凭据来获得对政府系统的初始访问权限并发起勒索软件攻击。他们可能会尝试加密关键的政府数据，要求支付赎金才能发布数据，或威胁公开泄露敏感信息。”研究人员表示。 哪些敏感数据被泄露？ 泄露事件暴露了多种类型的数据库凭据、邮件凭据和数据加密密钥。例如，研究人员发现了暴露的 SMTP（简单邮件传输协议）凭据。 “通过访问政府 SMTP 凭据，黑客可以冒充政府官员或员工进行社会工程攻击。他们可能试图欺骗受害者披露更多敏感信息、实施欺诈或获取其他系统或资源的访问权限。”研究人员表示。 泄露文件还包含 Laravel APP_Key。APP_Key 是用于加密的配置设置，例如保护会话数据和 cookie。暴露的 APP_Key 将使黑客能够解密敏感信息，从而危及数据的机密性。 该团队还发现了 MySQL 和 Redis 数据库的凭据。组织使用 MySQL 数据库来存储、管理和检索数据。同时，Redis 用于在应用程序中的实时分析和传递消息。 据该团队称，这两个数据库仅在本地网络上可用，这意味着如果黑客已经在 MIM 系统中建立了立足点，他们就可以利用暴露的凭据。 拥有政府的数据库凭据可能会泄露敏感的政府信息、机密文件、个人身份信息 (PII) 或其他机密记录。 此类信息泄露的影响是深远而广泛的，因为黑客可以执行帐户接管攻击。泄露的凭据使黑客能够未经授权访问政府电子邮件帐户和数据库系统，从而可能被用来劫持通信、操纵数据、发送恶意电子邮件或进一步访问其他系统或资源。 泄露的数据库凭据确实会带来数据泄露和泄露的风险，因为泄露的凭据允许黑客访问政府系统。 “这可能包括公民的个人身份信息 (PII)、机密信息、财务记录或其他敏感的政府数据。被盗数据可用于身份盗窃、勒索或在黑市上出售。”研究人员表示。 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/83FQj9hKk8iCpi8NGepL0w 封面来源于网络，如有侵权请联系删除

澳大利亚维多利亚州法院系统遭受了勒索软件攻击。一位独立安全专家认为，此次攻击由俄罗斯黑客策划。 维多利亚州法院服务局（CSV）发言人表示，黑客侵入了法院系统的音视频存档区域。这意味着高度敏感案件的证人证词等听证录音可能已被访问或窃取。 CSV正在努力通知出庭记录遭黑客访问的人，并计划设立一个联系中心，向自认为受到攻击的人提供服务。 相关录音覆盖了2023年11月1日至12月21日期间的听证会，也可能包括11月之前的部分听证会。 此次攻击于2023年12月21日被发现。当时，圣诞节假期将至，员工发现他们的计算机被锁定，屏幕上出现一条消息，写着“你被黑了！”（YOU HAVE BEEN PWND）。 根据消息提示，法庭工作人员查看了一个文本文件。黑客在文件中威胁要公布从法院系统窃取的文件，并要求工作人员访问暗网的一个地址，获取如何恢复文件的说明。 黑客访问了近两个月的县级法院录音 周二（1月2日）上午，CSV发布最新消息，表示县级法院案件受到的影响最为严重。黑客可能在线访问了去年11月1日至12月21日期间所有刑事和民事听证会的录音，其中有至少两起案件涉及童年性虐待问题。 维多利亚州最高法院也受到重创，去年11月的录音可能都被黑客访问，涉及上诉法院、刑事庭、实践法庭以及两个地区性听证会。 去年11月或12月开始的儿童法庭听证会录音没有受到影响。但是，去年10月的一次听证会录音或已在线曝光。 一些治安法庭的预审听证会录音受到影响，但维多利亚州民事及行政法庭（VCAT）的听证会录音未受波及。 代理州长Ben Carroll表示，法院运营并未受到影响。他说，“据我了解，这次攻击基本上已经被限制，所有法院案件、听证、证据和程序都得到了彻底的保护。我们非常有信心将查明事件真相。” 专家称攻击可能是俄罗斯黑客所为 独立网络安全专家Robert Potter在查验攻击证据之后，认为基本可以确定法院系统遭受了网络钓鱼攻击，攻击者是俄罗斯黑客，使用了“麒麟”（Qilin）商业勒索软件。 他说，“这是一种双重勒索手段。黑客把数据拿走，然后加密。如果你不付钱，他们就会泄露数据，你也永远无法访问数据。” CSV发言人表示，“我们立即采取了行动，隔离并停用受影响网络，并制定计划，确保法院持续运营。因此，一月的听证会将继续进行。维护法院用户的安全是我们的优先事项。目前，我们的工作重点是确保系统安全。” 本周，澳大利亚广播公司报道，知名酸奶品牌养乐多的澳大利亚公司遭受了一次重大网络攻击，公司记录和护照等敏感员工文件被发布在暗网上。 电信巨头澳都斯和医疗保险公司Medibank等其他大型公司和机构也遭受了大规模攻击。圣文森特健康网络在圣诞节前也成为了攻击目标。 知名网络安全专家Troy Hunt表示，“澳大利亚是一头肥羊，因为我们属于第一世界，是拥有大量财富的现代国家。不可避免的是，我们有安全漏洞，会招致攻击。公司无法独自解决问题，警方也无力提供帮助。” 转自安全内参，原文链接：https://www.secrss.com/articles/62480 封面来源于网络，如有侵权请联系删除

KELA 发现黑客仅仅以 500 美元出售 Zeppelin 勒索软件工具源代码及其破解版。截止目前，尚未验证该黑客提供的软件是否合法，但据卖方截图显示，该软件包是真实存在。 购买了该软件包的人可以利用该软件启动一个新的RaaS操作，或基于Zeppelin开发新加密软件。  黑客论坛上的帖子宣传Zeppelin源代码售价500美元 RET（Zeppelin源代码和构建工具销售者）声明其非软件原作者，仅破解了构建工具。 该产品将专卖给一个买家，在交易完成前将暂停销售。 构建工具的截图 2022年11月，Zeppelin RaaS停止运营后，执法机关和安全研究人员披露了 Zeppelin加密系统的漏洞，成功开发了解密工具以援助自2020年起的受害者。 但截止目前，此次事件版本中的漏洞暂未被修复。 Zeppelin 勒索软件 Zeppelin 是基于 Delph i编程语言开发的 Vega/VegaLocker 恶意软件家族的分支，该家族在2019年至2022年间较为活跃。该软件曾用于实施双重勒索攻击，有时要求的赎金高达 100 万美元。 2021年，经过重大更新后，原版 Zeppelin 勒索软件的最高售价达 2,300 美元。其 RaaS（勒索软件即服务）模式下，附属方获得 70% 的赎金分成，剩余30% 归开发者所有。 2022年夏，FBI曽警告Zeppelin勒索软件黑客已采用新策略，实施多轮加密。 消息来源：bleepingcomputer，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

负责管理该国放射性废物的英国公司放射性废物管理公司 ( RWM ) 面临着通过社交网络 LinkedIn 发起的网络攻击。尽管这次袭击没有成功，但引起了核工业界的担忧，引发了对关键核基础设施安全的质疑。 据《卫报》报道 ，此次网络攻击是通过商业通信社交网络 LinkedIn 组织的。然而，没有报道这是否是网络钓鱼消息或试图诱骗员工安装恶意软件。 LinkedIn 经常被用于针对某些公司员工的网络钓鱼攻击。去年，ESET 研究人员报告了Lazarus 组织的黑客精心策划的网络间谍活动。当时，恶意活动针对的是一家西班牙航空航天公司的员工。 RWM 正在领导一个耗资 500 亿英镑的项目，建设一个地质处置库来处置放射性废物。作为创建核废料服务 (NWS) 的一部分，RWM 联合了三个核组织，它们富有成效的合作将有助于在尽可能短的时间内实施该项目。 NWS 发言人表示：“NWS 与许多其他英国公司一样，注意到 LinkedIn 被用来识别我们公司内部的员工。借助我们的多层保护系统，可以检测到并阻止入侵尝试。” 专家警告称，LinkedIn 等社交平台正日益成为黑客的首选平台。他们提供各种渗透途径，包括创建虚假帐户、网络钓鱼电子邮件和彻底的凭据盗窃。 FBI 特工 Sean Regan 此前强调了诈骗者利用 LinkedIn 招募用户参与恶意加密货币投资计划的“重大威胁”。 LinkedIn 本身也在采取措施提醒用户注意潜在的诈骗，并提供资源来提高在线安全。然而，通过这一渠道可能达成的妥协对于不同国家的许多关键行业仍然具有重要意义。 NWS 认识到需要不断改进网络安全措施，强调应急响应计划必须满足不断变化的业务需求。 转自安全客，原文链接：https://www.anquanke.com/post/id/292364 封面来源于网络，如有侵权请联系删除

上周五（12月29日），一位名为 Olusegun Samson Adejorin 的尼日利亚黑客因对马里兰州和纽约州的两个慈善组织实施诈骗行为在加纳被捕，并面临与商业电子邮件泄密 (BEC) 攻击有关的指控。 根据美国联邦大陪审团的八项指控，Adejorin 面临的指控包括电信欺诈、严重身份盗窃和未经授权访问受保护的计算机，这些行为与针对马里兰州两家慈善组织的攻击有关，该攻击导致美国一家慈善组织损失超过 750 万美元。 Adejorin窃取数百万美元，将面临最高20年刑期 美国司法部（DoJ）在本周发布的一份公告中提到，Adejorin 的诈骗计划最早始于 2020 年 6 月至 8 月期间，他不仅冒充员工还非法访问了员工的电子邮件账户。 Adejorin 冒充某慈善机构员工，要求为其提供投资服务的另一家慈善机构中提取大笔资金，而为了顺利完成超过 10000 美元的取款流程，Adejorin 使用从该员工账户中窃取的凭证，从需要批准交易的员工账户中发送了电子邮件。 此外，美国司法部还补充称：作为该计划的一部分，Adejorin 还涉嫌购买了一种用于窃取电子邮件登录凭证的凭证收集工具。他注册了欺诈性域名，然后将欺诈性电子邮件藏在了员工的邮箱中一个不显眼的位置。 通过这种方式，Adejorin 成功诱骗慈善机构人员将 750 万美元转入其银行账户中，转账的慈善组织在整个过程中并未察觉到异常，以为是将这些款项存入了该员工的合法银行账户中。 根据法律规定，Adejorin 因电信诈骗罪将面临最高 20 年的刑期，因未经授权访问受保护计算机罪将面临 5 年的刑期，因严重身份盗窃罪将面临 2 年的强制刑期。 美国司法部的公告还指出，恶意注册和使用域名的刑期可延长 7 年。 近年来，商业邮件欺诈 (Business Email Compromise, BEC)攻击在流行性和创新性方面都得到了发展。BEC 欺诈各不相同，但它们一般都有一个共同点，就是瞄准那些拥有金融控制权的工作人员（无论其是在大型或小型组织中），然后对其实施有针对性的鱼叉式网络钓鱼攻击。 BEC 攻击也称为 CEO 欺诈，严重的会造成重大经济损失。去年夏天，美国联邦调查局的一份报告指出，商业电子邮件泄露已造成数十亿美元的损失。 面对此类攻击，可采取的合理防御措施包括：实施多因素身份验证，以减少未经授权访问账户的可能性；使用电子邮件过滤来检测和阻止网络钓鱼企图；建立一个验证程序，以支持电汇请求，并使用第二通信渠道。比如，当收到可疑的消息，通知你更改银行账户信息时，可以与合作伙伴取得联系进行确认，这样能避免很多不必要的损失。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388636.html 封面来源于网络，如有侵权请联系删除

美国医疗保健技术公司 HealthEC LLC 遭遇一次严重网络安全事件，约 450 万客户的敏感信息被泄露，这一数字占据了其注册会员的一半以上。 HealthEC 提供的人口健康管理 (PHM) 平台，医疗机构可利用该平台进行数据整合、分析、护理协调、患者参与、合规性和报告。 HealthEC LLC 公司表示，其部分系统遭到未经授权的非法访问，导致部分客户的敏感数据信息泄露。 经网络安全专家调查发现，黑客可能从被入侵系统中窃取了客户姓名、地址、出生日期、社会保险号、纳税人识别号、医疗记录编号、医疗信息（诊断、诊断代码、精神/身体状况、处方信息以及医疗服务提供者的名称和地点）、医疗保险信息（受益人编号、用户编号、医疗补助/医疗保险标识）、账单和索赔信息（患者账号、患者识别码和治疗费用信息）等敏感信息。 数据泄露事件发生后，HealthEC 没有立刻说明有多少客户受到安全事件的影响，在向缅因州总检察长办公室提交的一份材料中，仅提到了一个名为 MD Valuecare 的客户，受影响人数为 112005 人。 随着调查深入，美国卫生与公众服务部漏洞门户网站上近期才发布了最新情况，预计受数据泄露事件影响的总人数为 4452782 人。从缅因州发布的安全通告来看，HealthEC LLC 公司于 10 月 24 日首次发现了可疑活动。 此外，缅因州相关部门表示，有 17 家医疗服务提供商和州一级的医疗系统受到了 HealthEC 技术解决方案提供商遭受的网络攻击的影响。通知中列出的一些主要机构包括 Corewell Health、HonorHealth、Beaumont ACO、田纳西州 – TennCare 部门、普林斯顿大学医疗中心医生组织和纽约综合护理联盟。 最后，HealthEC LLC 公司建议，客户应及时向保险公司、医疗服务提供商和/或金融机构等相关方报告可疑活动。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388638.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，2024年1月2日，德国能源署 Dena 被勒索数据遭全量公开。 据报道，德国能源署Dena成为国际 LockBit 勒索软件组织的新受害者，黑客组织在暗网平台上披露了针对 Dena 的网络攻击。在该帖子中，黑客披露了数据泄露事件并将受影响的实体添加到他们不断增长的受害者名单中。据悉，黑客声称已对该机构的网站发起攻击，Dena于 11 月 14 日证实了这次网络攻击，袭击发生后不久，能源署基本上无法正常办公，无法通过电话或电子邮件联系。11月23日，Dena发布了一份新声明，称可以再次通过电子邮件和电话联系到该机构，但不能排除其业务联系人处理的数据因网络攻击而受到损害的可能性，敏感信息（如银行帐号）也可能遭到泄露。该黑客组织发出了威胁性的最后通牒，截止日期为2023年12月26日。 此次勒索事件时间轴如下： 2023年12月6日，Dena被 BlackCat/ALPHV公告勒索； 2023年12月12日，Dena被 LockBit 公告勒索，此期间 BlackCat/ALPHV 疑似关停； 2023年12月27日，Dena勒索公告被 LockBit下架； 2023年12月29日，Dena被LockBit重新公告勒索； 2024年1月2日，Dena被LockBit公开全量数据； 德国能源署Dena被公开的数据截图 德国能源署Dena 德国能源署Dena 成立于2000年，是一个由政府和行业联盟支持的公共机构，旨在促进全球清洁能源转型，并协助实现可持续能源的供应、使用和存储。该组织与企业、政治家、科研人员和民间社会团体合作，推动创新解决方案的开发和实施来达到减少碳排放和气候变化等可持续目标。 勒索组织 BlackCat/ALPHV 和 LockBit 的关系 在此次勒索事件中，Dena 先后出现在了BlackCat/ALPHV 和 LockBit 的勒索公告中。 2023年12月6日，Dena被 BlackCat/ALPHV公告勒索。 2023年12月7日，多方消息称，因为警方的执法行动，位于 Tor 的 blackcat 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称，该网站已被执法部门关闭。在此期间。包括数据泄露和谈判站点在内的所有基础设施都处于离线状态。2023年12月11日，该数据泄露网站恢复，但所有数据都被删除了。 紧接着，2023年12月12日，Dena 被 LockBit 公告勒索。 正如FalconFeeds在推特上写得：“LockBit 勒索组织将德国能源署 Dena 添加到他们的受害者名单中，该机构之前是 BlackCat/ALPHV 勒索软件组织的受害者。” 现在还不能确定 LockBit 和 BlackCat/ALPHV 的组织人员有多少是相同的，但据报道，LockBit 运营经理 LockBitSupp 已经开始从 BlackCat/ALPHV 中招募分支机构。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

乌克兰安全部门表示，他们拆除了两台据称被俄罗斯黑客入侵了的网络摄像头，这两台摄像头用于监视乌克兰首都基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的住宅楼上，最初被居民用来监视周围区域和停车场。据称，在被黑客攻击后，俄罗斯情报机构远程访问了这些摄像头，改变了它们的视角，并将其连接到YouTube，以传输敏感画面。 根据乌克兰国家安全局（SBU）的说法，这些录像很可能在上周俄罗斯对乌克兰进行的大规模军事行动中辅助指引无人机和导弹攻击基辅。在行动中，俄罗斯发射了近100枚导弹和多架无人机，主要瞄准基辅和乌克兰第二大城市哈尔科夫。 自从俄罗斯于2022年2月和乌克兰开战以来，SBU表示已经封锁了约10,000台数字安全摄像头，以防止俄罗斯筹备对乌克兰的军事行动。 根据 Radio Free Europe 的调查，俄罗斯情报机构可能一直在获取数千台配备有俄罗斯软件程序 Trassir 的乌克兰监控摄像头的视频画面。这个监控系统可以捕捉人和车辆的移动，并能够识别人脸和车牌。 这些摄像头的录像将直接传送到莫斯科的服务器，并可能被俄罗斯的安全部门获取。乌克兰在战争开始后才逐渐禁用俄罗斯软件。 在线录像，包括照片和视频，可能是乌克兰和俄罗斯情报机构的重要信息来源。 乌克兰法律规定，禁止公民分享被俄罗斯导弹攻击的住宅建筑或关键基础设施的照片或视频，因为这有助于俄罗斯“修正”目标。触犯该法律的人将有可能被判处12年的监禁。 乌克兰国家安全局呼吁街头监控摄像头的所有者将其设备下线，并报告在 YouTube 上发现的任何这类摄像头的数据流。 消息来源：The Record，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文