HackerNews 编译，转载请注明出处： St Vincent’s Health Australia 是澳大利亚最大的非营利性医疗保健提供商。该医疗系统遭受了一次网络攻击，导致数据泄露。 St Vincent’s Health Australia 已向当地当局报告了此次事件，并正在与澳大利亚政府合作，以减轻这一安全事件的影响。 医疗服务提供商聘请了外部安全专家来调查此次入侵并确定攻击的范围。 “2023 年 12 月 19 日星期二，St Vincent’s Health Australia 开始应对一起网络安全事件。12 月 21 日星期四晚些时候， St Vincent’s 发现了证据，表明网络犯罪分子从我们的网络中取走了一些数据”，该组织发布的声明中写道。 “St Vincent’s 正在努力确定哪些数据被移除，这一事件的调查仍在进行中。” 声明中没有提供关于攻击的详细信息，也没有将此次事件归因于勒索软件攻击。 该组织指出，这一事件迄今为止并未影响 St Vincent’s 向其患者提供服务的能力。 声明进一步指出：“到目前为止，我们向患者、居民、政府及更广泛的社区所提供的关键服务能力并未受到影响。” 目前还没有任何行为者对这一安全漏洞事件承担责任。 在过去几年中，包括 Medibank、Energy One、Crown Resorts、Latitude Financial、 Nissan Australia、DP World Australia、EnergyAustralia 和 Optus 在内的多个著名澳大利亚企业都是网络攻击的受害者。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

The Record 网站披露，美国最大的产权保险公司富达国民金融（Fidelity National Financial（”FNF”））子公司向所在州监管机构报告了一起数据泄露事件，并指出有 1316938 人的数据信息被入侵其母公司的威胁攻击者盗取。 2023 年 11 月 19 日，为用户提供抵押贷款服务或履行贷款次级服务职能的 LoanCare 意识到其母公司 FNF 信息技术网络中，某些系统遭到未经授权的访问，随后便组织网络安全专家进行详细调查，最终发现了大量用户的姓名、地址、社会保险号和贷款号可能已被未经授权的第三方盗走。（2009 年， Fidelity National Financial 以 1630 万美元的价格成功收购了 LoanCare） 收到数据泄漏安全事件通知后，FNF 聘请了第三方网络安全专家开始着手调查此事，并将攻击事件同步报告给执法部门和政府机构。此外，该公司一直强调能够确认事件已经得到控制，但为了防止黑客将盗取的数据外流，受影响的用户可获得 Kroll 公司提供的为期两年的身份保护服务。 Fidelity National Financial 拥有数十家地区性产权公司，例如纽约国家产权公司、芝加哥产权公司、阿拉莫产权公司和联邦土地产权公司。值得一提的是，数据泄漏发生后，AlphV/Blackcat 勒索软件团伙声称 Fidelity National Financial 被攻击一事导致上个月全美数百人购房受阻，攻击发生后的数天内，房地产中介、购房者等都因房屋销售无法完成而陷入困境。 数据泄漏事件发生后，联邦调查局和其他执法机构在一次执法行动中查获了AlphV/Blackcat 勒索软件团伙的泄密网站，并访问控制了 AlphV/Blackcat 勒索软件团伙暗网网站基础设施中 900 多个公钥/私钥对。 网络安全和基础设施安全局（CISA）称，截至 2023 年 9 月，AlphV/Blackcat 勒索软件团伙附属机构 “已经入侵了 1000 多个实体组织，其中近 75% 在美国境内，约 250 个在美国境外，索要赎金超过 5 亿美元，收到的赎金近 3 亿美元”。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/387873.html 封面来源于网络，如有侵权请联系删除

被称为Cloud Atlas 的黑客组织与一系列针对俄罗斯企业的鱼叉式网络钓鱼攻击有关。 根据独立网络安全公司 FACCT 的一份报告，Cloud Atlas 黑客组织的攻击目标包括一家俄罗斯农工企业和一家国有研究公司。 Cloud Atlas 是一个来源不明的网络间谍组织，至少从 2014 年开始活跃。该黑客组织也被称为 Clean Ursa、Inception、Oxygen 和 Red October，主要针对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚。 2022 年 12 月，Check Point 和 Positive Technologies 详细介绍了多阶段攻击序列，黑客组织利用一系列攻击链部署 PowerShell 后门（称为 PowerShower），以及部署与攻击者控制的服务器进行通信的 DLL 有效负载。 初始攻击是一条带有诱饵文档的网络钓鱼消息，该文档利用 CVE-2017-11882（Microsoft Office 公式编辑器中存在六年的内存损坏缺陷）来启动恶意负载执行， Cloud Atlas 采用这一技术最早可追溯到 2018 年 10 月。 卡巴斯基在 2019 年 8 月指出：“ 攻击者的大规模鱼叉式网络钓鱼活动继续使用其简单但有效的方法来破坏其目标。”“与许多其他入侵集不同，Cloud Atlas 在最近的攻击活动期间没有选择使用开源植入程序。” FACCT 描述的最新杀伤链与 Positive Technologies 描述的杀伤链类似，通过 RTF 模板注入成功利用 CVE-2017-11882 ，为负责下载和运行混淆的 HTA 文件的 shellcode 铺平了道路。这些邮件来自流行的俄罗斯电子邮件服务 Yandex Mail 和 VK 的 Mail.ru。 恶意 HTML 应用程序随后启动 Visual Basic 脚本 (VBS) 文件，这些文件最终负责从远程服务器检索并执行未知的 VBS 代码。 Positive Technologies 去年谈到该组织时表示：“Cloud Atlas 组织多年来一直活跃，仔细考虑了其攻击的各个方面。” 该组织的工具包多年来没有改变——他们试图通过使用一次性有效负载请求并验证它们来向研究人员隐藏恶意软件。该组织通过使用合法的云存储和记录良好的软件功能来避免网络和文件攻击检测工具，尤其是在 Microsoft Office 中。 该公司表示，至少有 20 个位于俄罗斯的组织已受到 Decoy Dog（Pupy RAT 的修改版本）的攻击，并将其归因于一种称为 Hellhounds 的高级持续威胁组织。 这种积极维护的恶意软件除了允许对手远程控制受感染的主机外，还附带一个脚本，旨在将遥测数据传输到 Mastodon 上Mindly.Social 实例上名为“Lamir Hasabat”（@lahat ）的帐户。 安全研究人员斯坦尼斯拉夫·皮佐夫（Stanislav Pyzhov）和亚历山大·格里戈里安（Aleksandr Grigorian）表示：“在关于 Decoy Dog 第一个版本的材料发布后，恶意软件作者付出了很大的努力来阻碍其在流量和文件系统中的检测和分析。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/jNwmkpq5p7xCsaNYTXjFAQ? 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室最近的一项研究发现，自 2022 年 6 月以来，攻击者一直在积极利用Windows CLFS 驱动程序中的一系列漏洞，作为复杂黑客攻击的一部分。总共在五个不同的 CLFS 驱动程序中发现了漏洞，包括 CVE-2022-24521 、 CVE-2022-37969 、 CVE-2023-23376 和 CVE-2023-28252 。 CLFS 自 Windows Server 2003 R2 和 Windows Vista 开始使用，是一种在操作系统内核级别运行的复杂日志机制。该系统的关键要素是基本日志文件（BLF），其中包含大量元数据。 在研究过程中，卡巴斯基实验室专家发现了 BLF 文件格式的严重缺陷。它们由内核内存结构组成，包括内存指针，这增加了漏洞的风险。自2018年以来，已有30多个类似的CLFS漏洞被修复，证实这是一个真正的安全威胁。 对 BLF 格式的详细研究表明，此类文件由存储在块中的记录组成。这些块具有复杂的结构，包括标头和偏移数组。 尽管 CLFS 已针对最佳性能进行了优化，但其复杂性和遗留代码是导致漏洞的因素。块内偏移错误可能会导致严重后果，包括攻击者的权限升级。 该研究强调了仔细设计和维护安全系统的重要性，尤其是关键操作系统组件。关于 CLFS 安全性的问题需要进一步关注，并且可能需要彻底重新思考数据保护方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/292135 封面来源于网络，如有侵权请联系删除

美国第二大保险公司 First American 面临严重的网络攻击 。对此，为了尽量减少此次事件的后果，部分公司系统被禁用，该公司的官方网站也暂时关闭。 First American 成立于 1889 年，专门为房地产行业提供金融和经纪服务。该公司年收入达 76 亿美元，拥有超过 21,000 名员工和数十万客户，是保险市场的重要参与者。 最近的一次是 11 月 28 日，First American 因 2019 年 5 月黑客攻击引发的网络安全违规行为支付了 100 万美元的罚款。据纽约州金融服务部称，该公司积累了大量客户的个人和财务数据，但没有为他们提供适当水平的保护，使其成为网络犯罪分子的有吸引力的目标。 到目前为止，还没有已知的黑客组织声称对 First American 的攻击负责。该公司的官方代表也没有发表评论。 除了First American之外，另一家保险公司富达国民金融公司最近也遭受了类似的网络攻击。 该公司上个月 报告的这一事件 还导致系统暂时中断。 Fidelity National Financial 表示，网络攻击已于 11 月 26 日得到遏制，目前仍在努力恢复正常业务运营。在攻击过程中，获得了某些凭证，但细节和可能的后果尚未披露。   转自安全客，原文链接：https://www.anquanke.com/post/id/292135 封面来源于网络，如有侵权请联系删除

法国著名视频游戏开发商和发行商育碧公司证实遭受网络攻击，导致其游戏、系统和服务的运行暂时中断。 据VX-Underground消息，12月20日，该公司遭到一名身份不明的黑客攻击。该黑客获得了育碧内部系统的访问权限，持续时间约为48小时。黑客试图提取约 900 GB 的数据，但在此之前就失去了访问权限。该公司开始调查这一事件，并为所有员工重置密码作为预防措施。 育碧表示，在安全研究小组 VX-Underground 分享了看似公司内部服务的屏幕截图后，他们正在调查一起可疑的数据安全事件。 作为此次所谓黑客攻击的一部分，攻击者声称已获得对 Ubisoft SharePoint 服务器、Microsoft Teams、Confluence 和 MongoDB Atlas 面板的访问权限，并分享了他对其中一些服务的访问权限的屏幕截图。 MongoDB Atlas 最近报告称其系统遭到黑客攻击，但根据他们的披露，这起事件似乎无关。 攻击者告诉 vx-underground，他们试图窃取《彩虹 6：围攻》用户数据，但在他们这样做之前就被发现并被拒绝访问。 2020 年初，育碧遭到 Egregor 勒索软件团伙的黑客攻击，该团伙公布了育碧《看门狗》游戏的部分源代码。2022 年，该公司遭受了第二次黑客攻击，导致其游戏、系统和服务中断。   转自安全客，原文链接：https://www.anquanke.com/post/id/292131 封面来源于网络，如有侵权请联系删除

近日，Mint Mobile 披露了一起新的数据泄露事件，此次泄露的数据包括其客户个人信息、以及可用于 SIM 卡交换攻击的数据等。 Mint 是一家移动虚拟网络运营商 (MVNO)，专为用户提供经济型预付费移动计划，此前 T-Mobile 曾提议以 13 亿美元收购该公司。 上周五（12 月 22 日），该公司向全体客户发送了一封题为 “关于您账户的重要信息 “的电子邮件，称他们遭遇了一起安全事件，黑客获取了客户信息。 该公司表示，他们已经解决了漏洞问题，并正在与第三方网络安全专家合作调查，以确保系统安全。 此次泄露的客户数据包括： 姓名 电话号码 电子邮件地址 SIM 卡序列号和 IMEI 号（类似于序列号的设备标识符） 所购服务计划的简要说明 该公司表示，他们不存储信用卡号码，因此这些号码不会被泄露。同时，该公司还表示，他们使用 “强大的加密技术 “保护密码，因此用户密码不会泄露。 该公司并未在声明中明确说明攻击者是否访问了哈希密码。但此次攻击事件所暴露的数据仍然令人担忧，因为这些信息已经足以让威胁者实施 SIM 卡交换攻击（即攻击者将一个人的号码移植到自己的设备上）。一旦获得该号码，他们就可以通过重置密码和接收 OTP 码来试图访问用户的在线账户，从而进行多因素身份验证。 黑客们通常会使用这种技术入侵加密货币交易所的账户，从而窃取在线钱包中存储的所有资产。 不过，Mint 表示，客户无需采取任何行动，如有任何疑问，可拨打客户支持电话 949- 704-1162。 Mint Reddit 版主证实，这个号码是专门为处理有关数据泄露的问题而设立的。如果你在 2023 年 12 月 22 日收到来自 no-reply@account.mintmobile.com 的电子邮件通知，那么它是来自 Mint 的，不是骗局。 虽然该公司没有披露他们如何被入侵的细节，但 FalconFeeds 威胁情报服务在 2023 年 7 月报告说，有威胁行为者曾试图在一个黑客论坛上出售从Mint Mobile 和 Ultra Mobile 窃取的数据。 黑客出售 Mint Mobile 和 Ultra Mobile 数据 Mint Mobile 曾在 2021 年也遭遇过一次数据泄露事件，当时一名未经授权的人员访问了用户的账户信息，并将电话号码移植到了另一家运营商。 2023 年 1 月， T-Mobile 的 3700 万个账户遭遇大规模数据泄露。2023 年 5 月，他们又遭遇了一次数据泄露，但这次规模要小得多，只影响了 836 个客户的数据。 关于此次事件是否暴露了哈希密码的问题，Mint Mobile公司目前尚未回应。   转自Freebuf，原文链接：https://www.freebuf.com/news/387591.html 封面来源于网络，如有侵权请联系删除

变色龙安卓银行木马最近重出江湖并发布了最新的版本，它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能，以窃取设备的 PIN 码。但不得不说，确实可以实现窃取 Android 手机PIN码。 它通过使用 HTML 页面的技巧来获取访问辅助服务的权限，并采用一种干扰生物识别操作的方法，来窃取 PIN 码并随意解锁设备。今年四月份发现的变色龙早期版本冒充澳大利亚政府机构、银行以及 CoinSpot 加密货币交易所，对被感染的设备进行键盘记录、覆盖注入、窃取 Cookie 和短信。 ThreatFabric 的研究人员一直在跟踪这款恶意软件，他们报告称，目前该恶意软件通过伪装成 Google Chrome 的 Zombinder 服务进行分发。Zombinder 将恶意软件“粘贴”到合法的安卓应用程序上，这样受害者就可以享受他们原本意图安装的应用程序的全部功能，从而降低了他们怀疑后台运行危险代码的可能性。 该平台声称其恶意软件捆绑包在运行时无法被检测到，可以绕过 Google Protect 的警报，并规避在被感染设备上运行的任何杀毒产品。 伪装成Google Chrome的携带变色龙恶意软件的APK文件（ThreatFabric） 新版变色龙特性 最新变色龙变体的首个新特性是能够在运行 Android 13 及更高版本的设备上显示 HTML 页面，提示受害者授予应用程序使用辅助服务的权限。 Android 13及更高版本受到一项名为“受限设置”的安全特性的保护，该特性可以阻止危险权限的批准，如辅助功能权限，恶意软件可以利用该权限窃取屏幕内容、授予自身额外权限和执行导航手势。 当变色龙检测到设备运行的是Android 13或14时，它会加载一个HTML页面，指导用户手动过程以启用应用的辅助功能，从而绕过系统的保护。 变色龙的HTML页面提示（ThreatFabric） 第二个值得注意的新特性是能够通过使用辅助服务强制设备回退到 PIN 码或密码认证，从而中断设备上的生物识别操作，如指纹解锁和面部解锁。该恶意软件会捕获受害者输入的任何 PIN 码和密码以解锁他们的设备，并且稍后可以随意使用这些凭据来解锁设备，以便在不被发现的情况下执行恶意活动。 Java代码片段干扰Android上的生物识别服务（ThreatFabric） ThreatFabric 报告称，变色龙通过 AlarmManager API 增加了任务调度功能，以管理活动周期并定义活动类型。根据辅助功能是否启用，恶意软件会适应性地发起覆盖攻击或执行应用使用数据收集，以决定注入的最佳时机。 ThreatFabric 警告说：“这些增强功能提升了新变色龙变种的复杂性和适应性，使其成为不断变化的移动银行木马威胁环境中更为强大的威胁。” 为了防范变色龙威胁，应该避免从非官方渠道下载 APK（Android 安装包），因为这是 Zombinder 服务的主要分发方式。此外，请确保 Play Protect 始终处于启用状态，并定期运行扫描，以确保设备没有恶意软件和广告软件。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387465.html 封面来源于网络，如有侵权请联系删除

有消息称，Lapsus$ 网络犯罪和勒索团伙成员 Arion Kurtaj 被英国法官判处在 “安全医院 “无限期服刑。据悉，Arion Kurtaj 现年18岁，患有自闭症，是 Lapsus$ 团伙主要成员之一，曾参与泄露视频游戏《GTA 6》的数据信息。 Kurtaj 被判处在 “安全医院 “无限期服刑 从英国广播公司（BBC）报道来看，Kurtaj 被英国法官判处在 “安全医院 “无限期服刑。法官表示鉴于 Kurtaj 依然具有发动网络犯罪的能力以及实施网络犯罪的欲望，对公众而言他仍然是一个 “高风险 “人物。因此，除非医生证明他不再构成安全威胁，否则其将会一直待在安全医院。除了参与网络犯罪活动之外，法院还获悉 Kurtaj 在被拘留期间曾实施行动，导致“数十起受伤或财产损失报告”。 值得一提的是，在为期六周的数据泄露事件审判期间，另一名17岁的 Lapsus$ 成员（因法律原因未透露姓名）在伦敦南华克刑事法庭被判有罪（判处18个月的 “青年改造令”，接受严格监管，并 “禁止在网上使用 VPN”）。法官表示该未成年人与 Kurtaj 和其他团伙成员一同合作，成功侵入了科技巨头英伟达（NVIDIA）和电信公司（包括英国电信/EE），并试图勒索受害者 400 万美元的赎金。（未支付）。 Lapsus$ 黑客团伙 根据目前披露的信息来看，尽管 Lapsus$ 网络犯罪团伙大都由青少年组成，但如果低估了该组织的能力或该团伙对组织网络基础设施构成的威胁，那就太天真了。 Lapsus$ 网络犯罪团伙此前曾对多起备受瞩目的网络攻击事件负责，其中包括对 Okta、Uber 和金融科技巨头 Revolut 的攻击，以及对微软内部 Azure 服务器的攻击，据称该团伙通过这次攻击泄露了 37 GB 被盗的必应、Cortana 和其他微软项目的源代码。 更糟糕的是，不同于其他“温和”的勒索软件组织，Lapsus$ 组织成功窃取受害者的专有数据后，如果勒索要求得不到满足，就会立刻公布这些数据。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387441.html 封面来源于网络，如有侵权请联系删除

vpnMentor 报告称，属于房地产财富网络的一个不受保护的数据库在一段未知的时间内可以通过互联网进行访问。 Real Estate Wealth Network 成立于1993年，总部位于纽约，是一个在线房地产教育平台，为订阅者提供课程、培训材料和社区的访问权限。 网络安全研究员 Jeremiah Fowler 发现，未受保护的数据库大小为1.16 TB，包含超过15亿条记录。 “数据按照以下内容组织在各种文件夹中：房产历史、积极卖家、破产、离婚、税收留置权、止赎、房主协会（HOA）留置权、继承、法院判决、讣告（死亡）、空置房产等，”研究人员说。 在这些文件夹中，研究人员发现了有关业主、投资者和卖家的详细信息，以及2023年4月至10月期间的日志记录，其中包含用户的姓名、地址、电话号码、电子邮件地址、设备信息和文件详细信息已访问。 福勒说，暴露的信息涉及数百万人，包括名人和政客，例如“凯莉·詹纳、布莱克·谢尔顿、布兰妮·斯皮尔斯、弗洛伊德·梅威瑟、戴夫·查佩尔、埃隆·马斯克及合伙人有限责任公司、多莉·帕顿、马克·沃尔伯格、南希·佩洛西” ， 和别的”。 “我能够看到他们的街道地址、购买价格和日期、抵押贷款公司、抵押贷款金额、税号、所欠、已付或到期税款以及其他信息，”福勒说。 研究人员向房地产财富网络报告了这一发现，该网络立即阻止公众访问该数据库，并在几天后确认了所有权。 福勒指出，他无法确定该数据库在互联网上暴露了多长时间以及谁可能访问了该数据库，并指出只有内部法证审计才能揭示该信息是否可能已被访问或下载。 研究人员指出，虽然美国的财产税记录被认为是半公开的，但公众通常无法完全获取所有权信息。 “在搜索数据库时，我找到了我自己的财产、我的姓名、地址、购买日期和其他详细信息。然后，我检查了当地县税务和收入办公室，看看这些数据是否公开，结果发现我当地县没有在线提供这些信息，”研究人员指出。 福勒指出，这些数据的暴露会给名人和政客的个人隐私、安全和保障带来潜在风险，但也可能导致信息滥用以及财产和抵押贷款欺诈。 “目前尚不清楚这些数据被公开暴露了多长时间，甚至是否有其他人可能访问过这些数据。我并不是说房地产财富网络数据库中的个人面临迫在眉睫的风险，我只是提供一个假设的例子，说明利用暴露的所有权记录和税务信息如何发生房地产或其他形式的欺诈，”研究人员指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292106 封面来源于网络，如有侵权请联系删除