澳大利亚和新西兰领先的汽车经销商 Eagers Automotive 宣布，由于最近的网络攻击，证券交易所暂停交易。该公司经营着300多家丰田、宝马、日产、奔驰、奥迪、福特、大众、本田等知名品牌的零售店，并拥有多家专门从事二手车销售的分公司。 Eagers Automotive 拥有 8,500 多名员工，2023 年上半年营收为 48.2 亿澳元（32.5 亿美元）。 12月28日，该公司宣布需要暂停所有交易操作，以防止信息泄露。该公司在随后的声明中表示，其在澳大利亚和新西兰的多个系统遭到网络攻击。 Eagers Automotive 表示，信息系统中断正在影响澳大利亚和新西兰的一些工作场所。当地媒体报道称，“网络攻击的全面规模尚无法确定。” 外部专家已介入并展开紧急调查。Eagers Automotive已将该事件通知澳大利亚网络安全中心和新西兰国家网络安全中心。 该公司的规模和业务性质引起了人们对潜在数据泄露的担忧，该数据泄露会影响多个客户并可能泄露敏感的财务信息。尽管该公司对给客户带来的不便表示遗憾，并强调保护客户和员工数据的重要性，但该公司并未声明如何解决可能的数据泄露问题。 截至撰写本文时，尚无主要黑客组织声称对针对 Eagers Automotive 的攻击负责。 今年早些时候，澳大利亚主要公司包括迪拜环球港务集团 (DP World)、必胜客澳大利亚 (Pizza Hut Australia)、Dymocks Booksellers、悉尼大学 (University of Sydney)、HWL Ebsworth、Latitude Financial、维多利亚消防救援队 (Fire Rescue Victoria) 和昆士兰科技大学 (Queensland University of Technology) 等澳大利亚的主要公司遭受了其他一些网络攻击。 转自安全客，原文链接：https://www.anquanke.com/post/id/292308 封面来源于网络，如有侵权请联系删除

近日，有多个窃取信息的恶意软件团伙正在滥用一个未记录的名为 “MultiLogin “的谷歌 OAuth 端点恢复过期的身份验证 cookie 。通过这种方式黑客可以获取到用户账户信息，即使账户密码已被重置仍能成功登陆。 会话 cookie 是一种特殊类型的浏览器 cookie，其中包含身份验证信息，允许用户在不输入凭据的情况下自动登录网站和服务。这类 cookie 的储存时间有限，因此如果账户被盗，黑客无法一直使用它们登录账户。 但在2023年11月下旬，Lumma和 Rhadamanthys 黑客曾声称可以恢复在攻击中被盗的过期谷歌身份验证cookie，即使用户已经注销、重置密码或会话过期，这些 cookie 仍可让网络犯罪分子在未经授权的情况下访问谷歌账户。 利用谷歌 OAuth 端点 CloudSEK  研究人员上周五（12月29日）发布的一份报告进一步揭示了这个零日漏洞的工作原理，并阐述了该漏洞的被大规模利用的严重后果。 2023 年 10 月 20 日，一个名为 PRISMA 的黑客首次披露了该漏洞，他在 Telegram 上发布消息称发现了一种恢复过期 Google 身份验证 cookie 的方法。 在对该漏洞进行逆向工程后，CloudSEK 发现它使用了一个名为 “MultiLogin “的未注明谷歌 OAuth 端点，该端点通过接受账户 ID 和 auth-login 标记向量来同步不同 Google 服务之间的帐户。 此请求用于在多个 Google 网站（例如 YouTube）的 Google 身份验证 cookie 中设置浏览器中的 Chrome 帐户。 这个请求是 Gaia Auth API 的一部分，只要 cookie 中的帐户与浏览器中的帐户不一致就会触发。 CloudSEK 表示，滥用该终端的信息窃取恶意软件会提取登录到谷歌账户的 Chrome 配置文件的 tokens 和账户 ID。这些被盗信息包含两个关键数据：service (GAIA ID) 和 encrypted_token。 加密令牌使用存储在 Chrome 浏览器 “Local State” 文件中的加密密钥进行解密。同样的加密密钥也用于解密浏览器中保存的密码。 通过利用窃取的 token，GAIA 与多重登录端点配对，威胁行为者可以重新生成过期的 Google Service cookies，并访问被盗账户。 使用令牌：GAIA对从文本文件中读取以生成对MultiLogin的请求 CloudSek 研究员 Pavan Karthick 表示，他们对该漏洞进行了逆向工程，并能够使用它来重新生成过期的 Google 身份验证 cookie，如下所示： 重置密码后，cookie再生成功 Karthick 解释称，如果用户重置其 Google 密码，身份验证 cookie 只能重新生成一次。否则，它可以多次重新生成，从而登陆账户。 恶意软件开发者急于添加漏洞 Lumma stealer 于 11 月 14 日首次利用了该漏洞，其开发人员采用了黑盒技术，如用私钥加密 token:GAIA 对，以向竞争对手隐藏这一机制，并防止该功能被复制。 Radamanthys 是第一个在 11 月 17 日效仿的人；此后还有 12 月 1 日的 Stealc、12 月 11 日的 Medusa、12 月 12 日的 RisePro 和 12 月 26 日的 Whitesnake。因此，目前至少有 6 个黑客声称能够使用此 API 端点重新生成 Google cookie。 Lumma 还发布了该漏洞的更新版本：转而使用 SOCKS 代理来逃避 Google 的滥用检测措施，并在恶意软件和 MultiLogin 端点之间实现加密通信；以对抗谷歌的修复措施。 由于Google尚未证实 MultiLogin 端点被滥用，因此目前该漏洞的利用状况及其修复措施仍不清楚。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388434.html 封面来源于网络，如有侵权请联系删除

仙人掌勒索软件团伙声称已经黑入了瑞典最大的连锁超市 Coop ，并威胁要公开超过2万个条目的个人信息。 据了解，Coop 在瑞典大约有800家商店，这些商店分属于29个消费者协会，拥有350万个会员，Coop 所有在业务中创造的盈余都会给会员分成，或者再投资于业务中，循环往复，以此获得更多收益。 在2021年7月，Coop 首次披露因受到针对Kaseya的供应链勒索软件攻击影响，关闭了大约500家商店。尽管Coop并没有使用Kaseya软件，但由于Coop支付系统的供应商 Visma 受到影响， Coop 也受到了牵连。 自2023年3月以来，仙人掌勒索软件团伙一直保持活跃状态，但由于黑客使用的是双重敲诈模式，该组织的数据泄露网站暂时还没有被发现。 攻击手段 Kroll的研究人员报告称，该勒索软件团伙使用加密技术来保护勒索软件的二进制文件，做法非常“聪明”。 仙人掌勒索软件使用SoftPerfect网络扫描器（netscan）以及PowerShell命令在网络上查找其他目标并列举端点；结合开源PSnmap工具的修改版查看Windows事件查看器中的成功登录记录来识别用户账户；紧接着依靠多个合法工具（例如Splashtop、AnyDesk、SuperOps RMM）来实现远程访问，并在攻击后期使用Cobalt Strike和代理工具Chisel。 一旦恶意软件在某台机器上提升了权限，黑客会使用批处理脚本卸载该机器上安装的流行杀毒软件，以此掩盖他们的“踪迹”。 他们使用的是Rclone工具进行数据窃取，并使用了一个名为 TotalExec 的 PowerShell 脚本，这个脚本过去曾被 BlackBasta 勒索软件操作者用于自动化部署加密过程。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388440.html 封面来源于网络，如有侵权请联系删除

INC RANSOM 勒索软件组织声称对入侵施乐公司的行为负责，并威胁要公布被盗的数据。 INC RANSOM 组织将施乐公司添加到其 Tor 泄露站点的受害者名单中。 施乐公司在全球范围内提供文档管理解决方案。该公司的文档技术部门提供桌面单色和彩色打印机、多功能打印机、复印机、数字印刷机和轻型生产设备；以及用于图形通信市场和大型企业的生产打印和出版系统。   勒索软件组织发布了八份文件的图像，包括电子邮件和发票，作为黑客攻击的证据。 目前尚不清楚INC RANSOM 组织从该公司窃取了多少数据。 INC RANSOM 自 2023 年以来一直很活跃，声称对迄今为止针对40 多个组织的攻击行为负责。 消息来源：securityaffairs，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

SecurityScorecard 的网络安全专家发现了 一种名为 Menorah 的计算机病毒新变种，其目标是中东的组织。今年 10 月， 趋势科技首次 发现并分析了 它。 Menorah 病毒渗透到公司的计算机系统并在那里牢牢扎根。该恶意软件允许攻击者完全控制网络上受感染设备的信息。 据信，伊朗黑客组织 OilRig（也称为 APT34）负责 Menorah 的开发和分发。该组织经常以中东的组织为目标。 Menorah 的功能之一是它会在受感染计算机的系统中创建一个所谓的“互斥体”，这保证了该设备上只会运行一份病毒副本。这增加了系统中恶意软件的保密性并减慢了其检测速度。 此外，Menorah 收集公司网络上的计算机和用户的名称，从中计算特殊标识符，并将其发送给攻击者。 分析人士指出，该病毒的功能使黑客能够完全访问受攻击公司员工的机密文件、信件和个人数据。 专家建议该地区信息安全组织的管理人员和普通专家提高警惕，并采取额外措施保护企业系统免受网络攻击。 转自安全客，原文链接：https://www.anquanke.com/post/id/292272 封面来源于网络，如有侵权请联系删除

俄克拉荷马州 Integris Health 的患者收到勒索电子邮件，称他们的数据在医疗保健网络的网络攻击中被盗，如果他们不支付赎金，这些数据将被出售给其他网络犯罪分子。 Integris Health 是美国俄克拉荷马州最大的非营利医疗保健网络，在全州各地设有医院、诊所和紧急护理中心。 Integris Health 证实，该公司在 11 月份的“某些系统”遭到黑客攻击，导致患者数据被盗。 在得知可疑活动后，INTEGRIS Health 立即采取措施保护系统安全，并开始调查网络攻击的性质和范围。 在 12 月 24 日发送给患者的电子邮件中，黑客声称他们在对 Integris Health 的网络攻击中窃取了超过 200 万患者的个人数据。 据称，被盗数据包括社会安全号码、出生日期、地址、电话号码、保险信息和雇主信息。 Integris Health 患者报告称，这些电子邮件包含有效的个人信息，证实患者数据在攻击中被盗。 “我们已经联系了 Integris Health，但他们拒绝解决这个问题，”发给患者的电子邮件称。“在我们于 2024 年 1 月 5 日将整个数据库出售给数据经纪人之前，您有机会从我们的数据库中删除您的个人数据。” 这些电子邮件包含一个 Tor 网站 的链接，该网站列出了约 4,674,000 人的被盗数据，包括他们的姓名、社会安全号码、出生日期和医院就诊信息。 数据被盗的暗网网站 该网站包含 2023 年 10月 19 日至 12 月 24 日期间添加的数据。该网站要求访问者支付 50 美元才能删除数据记录，或支付 3 美元才能查看数据。 Integris Health 知道发送给患者的电子邮件，并已更新其安全通知 ，警告收件人不要回复、联系发件人或点击电子邮件中的链接。 虽然尚不清楚 Integris Health 攻击的幕后黑手是谁，但在Hunters International 勒索软件组织侵入 Fred Hutchinson 癌症中心的系统后，类似的电子邮件也发送给了该医院的患者。 发送给 Fred Hutch 患者的电子邮件还允许他们访问暗网网站并通过支付 50 美元删除他们的数据。这表明同一勒索软件组织很可能是对 Integris Health 的攻击的幕后黑手。 转自安全客，原文链接：https://www.anquanke.com/post/id/292198 封面来源于网络，如有侵权请联系删除

12月26日，阿尔巴尼亚议会宣布遭遇大规模网络攻击。黑客试图从政府信息系统获取机密数据，导致系统运行暂时中断。声明指出，目前没有信息表明攻击者能够获取任何有价值的信息并将其用于任何目的。专家们正在对事件进行彻底调查，并努力恢复基础设施。 当地媒体报道称，该国最大的移动运营商之一和国家航空公司周一遭受了类似的网络攻击，但该信息尚未得到独立证实。据推测，此次攻击的组织者是总部位于伊朗的黑客组织“国土正义”。 让我们回想一下，2022年7月，阿尔巴尼亚就已经面临过类似事件，该国当局将此事归咎于伊朗情报部门。这次袭击发生之际，阿尔巴尼亚向反对派组织“人民圣战者”成员提供庇护，这被视为伊朗的报复。此后，两国彻底断交。 伊朗外交部否认参与对阿尔巴尼亚的袭击。德黑兰将这些事件归咎于圣战者组织本身，称伊朗经常受到反对派的攻击。 六月，阿尔巴尼亚当局突袭了圣战者营地，没收了他们所说的用于非法政治活动的计算机设备。圣战者组织流亡阿尔巴尼亚，无权参与政治。 美国、北约和欧盟均表示支持阿尔巴尼亚在此问题上与伊朗对抗。 转自安全客，原文链接：https://www.anquanke.com/post/id/292207 封面来源于网络，如有侵权请联系删除

近日，热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。 开发者 Michael Mayhem 表示：被入侵的软件包是原游戏的预包装独立修改版，并非通过 Steam Workshop 安装的修改版。 最开始是其中一台设备被恶意软件非法入侵，当时正在运行的安全软件没能阻止它，甚至都没有做出标记。但这并不是一个盗取密码的恶意软件，因为 2FA 并没有触发或阻止它，而且被入侵的账户都在不同的电子邮件地址下（这些地址本身都没有被盗）。 此外，黑客还入侵了《Downfall》开发者之一的 Steam 和 Discord 账户，从而控制了该 MOD 的 Steam 账户。Michael Mayhem称此次事件更像是一种令牌劫持，黑客们专门劫持 Steam 并利用它上传，但目前这还只是猜测。 Mayhem 在周三（12月27日）发表的一份声明中告知用户称：此次安全漏洞允许恶意上传替换已打包的《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》，并且该游戏向您弹出了 Unity 库安装程序，那么您的设备可能会出现安全风险。 该恶意软件会从设备中的网络浏览器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息。 同时，它还会查找文件名中包含 “密码 “的文件，并查找其他凭证，包括本地 Windows 登录和 Telegram等账户信息。 Epsilon恶意软件收集凭证(Any.run) Mayhem 建议Downfall用户立即更改所有重要密码，尤其是未受2FA（双因素验证）保护的账户密码。 有用户报告称：该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中，或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。 Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标，以测试新游戏漏洞为幌子，诱骗他们安装恶意软件以换取报酬。 在安装游戏后，恶意软件还会在后台运行，窃取用户的密码、信用卡信息和身份验证 cookie。窃取的信息要么被威胁者用来入侵更多账户，要么在暗网市场上出售。 根据 VirusTotal 数据，这次攻击背后的黑客的目标不只是Steam，还可能瞄准了其他游戏和游戏开发商。 包含相同信息窃取恶意软件的其他文件（VirusTotal） Steam加强安全防护 自 8 月底开始，越来越多的Steamworks 账户被黑客用来上传恶意游戏版本，使玩家感染恶意软件，因此今年 10 月，Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查。 作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码，这样 Steam 才能在继续之前给你发短信确认代码，任何需要添加新用户的 Steamworks 帐户都需如此。这一项规定已经于今年10月24日起正式生效。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388252.html 封面来源于网络，如有侵权请联系删除

停车应用程序开发商 EasyPark 在其网站上发布一则公告，称其在 2023 年 12 月 10 日遭遇一起数据泄露安全事件。 EasyPark 是一家瑞典公司，其开发的移动网络应用程序可用来定位停车位、预订管理器和查找电动汽车充电点，该公司在 20 个国家和 4000 多个城市运营数字停车服务，覆盖欧洲、美国、澳大利亚、新西兰和英国的大部分地区。 EasyPark 应用程序（欧洲版）在 Google Play 上的下载量已经超过了 1000 万次，其他应用程序 RingGo（英国版）和 ParkMobile（美国版）的安装量也分别为 500 万次。目前，网络攻击事件可能会对其数百万用户造成怎样的影响尚不清楚。 值得一提的是，ParkMobile 2021 年就披露过一起大规模数据泄露事件，2100 万客户的数据信息被盗。随后，一个黑客论坛上免费发布了被盗数据。 此次网络攻击事件发生后，EasyPark 公司发言人拒绝提供有关此次事件的详细信息以及有多少客户受到了影响，但他们承认有一部分欧洲用户可能会受到影响。（表明网络攻击事件主要涉及 EasyPark 应用程序的用户） EasyPark 公司在公告中指出，根据用户向平台提供的信息，部分用户的下列信息遭到泄露： 姓名； 电话号码； 实际地址； 电子邮件地址； 信用卡/借记卡或 IBAN 的某些数字。 安全专家表示，泄露的信息能够帮助网络犯罪分子对被暴露的 EasyPark 用户发起有效的网络钓鱼攻击，该公司也在数据泄露通知中明确警告了这一点。 目前，EasyPark 应用程序的服务系统依然能够正常访问，其安全团队正在实施额外的安全和隐私保护措施，以确保事件的负面影响得到有效控制。瑞典、英国和瑞士的数据保护机构也已收到有关此次事件的通知。对于受影响的用户来说，鉴于网络安全事件的性质仍未披露，最好重置自己的账户密码以保障账号的安全。 目前没有勒索软件组织宣称对 EasyPark 遭到的网络攻击负责。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388309.html 封面来源于网络，如有侵权请联系删除

俄亥俄州彩票公司在圣诞节前夕遭到严重勒索软件攻击，一些内部应用程序受到严重影响，导致其被迫关闭了一些关键的内部网络系统。目前，彩票机构正在积极调查此次事件，努力恢复所有受影响服务。 俄亥俄州彩票机构在周三发布的新闻稿中表示，目前尚无法提供移动兑奖和 599 美元以上的奖金兑奖服务，KENO、Lucky One 和 EZPLAY 渐进式大奖的中奖号码也无法在其网站或移动应用程序上查询，但用户可以在任何俄亥俄州彩票零售商处查询自己的中奖信息。 此外，该彩票机构还强调，在安全事件调查和系统服务恢复期间，用户可以通过俄亥俄州彩票网站和手机应用程序查询普通中奖号码，并且能够在任何俄亥俄州彩票零售商处兑取最高 599 美元的奖金。但 600 美元以上的奖金必须将彩票邮寄到俄亥俄州彩票中心办公室或使用数字索赔表进行兑换。 部分公告内容：2023 年 12 月 24 日，俄亥俄州彩票机构遭遇网络安全事件，部分内部应用程序受到严重影响。事件发生后，机构立即组织安全专家着手解决安全问题。同时，俄亥俄州内部也在积极调查网络攻击事件，由此对用户造成不便，深表歉意，并正在尽快恢复所有服务。 新型勒索软件团伙声称对网络攻击事件负责 虽然俄亥俄州彩票机构没有把安全事件与任何已知黑客或黑客组织联系起来，但新型勒索软件团伙 DragonForce 高调宣称对此次网络攻击负责，该团伙表示成功加密了受害者设备并窃取大量数据，其中主要包括社会安全号码和出生日期。 DragonForce 勒索软件谈判聊天 DragonForce 勒索软件团伙在其数据泄露网站上新增了一条信息，显示被盗文件包含俄亥俄州彩票客户和员工的信息，（超过 3000000个条目、名、姓、邮件、地址、中奖金额、员工和彩民的 SSN 和 出生日期记录）解压后的泄露文件约为 600 多千兆字节。 目前，业内对 DragonForce 勒索团伙的了解并不多。可以肯定的是虽然该组织是新成立的“公司”，但他们的策略、谈判风格和数据泄露网站表明其是一个经验丰富的勒索团伙。可以预见，随着执法部门对勒索软件行动进行持续打击，如果发现该组织是由其它勒索软件团伙“改头换面”而来，也不足为奇。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387976.html 封面来源于网络，如有侵权请联系删除