俄罗斯自来水公司遭到黑客攻击，以报复 Kyivstar 遭受袭击。 莫斯科的 Rosvodokanal 水管理公司遭到与乌克兰结盟的 Blackjack 组织洗劫，有报道称该公司的 IT 基础设施被“摧毁”。 据报道，在与乌克兰结盟的“Blackjack”组织发起网络攻击后，总部位于莫斯科的自来水公用事业和管理公司 Rosvodokanal 的运营已停止。 据《乌克兰真理报》报道，黑客在乌克兰安全局网络专家的帮助下“摧毁”了罗斯沃多卡纳尔的 IT 基础设施。执法部门消息人士告诉媒体，网络攻击者删除了超过 50TB 的数据，其中包括内部文档管理、公司电子邮件、备份，甚至网络安全保护。 报告补充说，乌克兰安全部门目前正在审查从自来水公司泄露的 1.5TB 数据。 据报道，针对 Rosvodokanal 的网络攻击是为了报复 12 月 12 日对乌克兰最大的移动电信服务提供商 Kyivstar 发起的破坏性网络攻击。此次攻击导致乌克兰各地的通信中断，是自俄罗斯入侵乌克兰以来对该国关键基础设施造成的最具破坏性的攻击。 12 月 20 日的报道称，Rosvodokanal 公用设施仍无法运行。 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

ESO Solutions 是一家为应急响应人员和医疗机构提供数据和软件的提供商，已开始向 270 万名受黑客攻击影响的个人发出通知。 此次泄露事件于 9 月 28 日发生，迫使 ESO 暂时关闭系统，以遏制事件的影响。尽管黑客访问并加密了内部系统，但 ESO 表示已使用备份恢复了这些系统。 在今天早些时候发布的事件通知中，该公司表示未经授权的第三方可能已经获取了个人数据，他们正在积极配合联邦执法调查。包括姓名、地址和健康详细信息在内的患者信息遭到泄露，社会安全号码等敏感信息也可能被泄露。 “事实上，HIPAA 合规性确实包括允许医疗保健提供商将 ePHI 存储在 SaaS 应用程序和云中，” Centripetal 的安全工程师 Colin Little 评论道。 “我看到的所有针对医疗保健提供商的指南都指出，SaaS 应用程序供应商在做出选择时需要经过彻底审查。虽然有很多因素使得选择 SaaS 应用程序具有吸引力，例如可扩展性和经济因素，但显然需要对该策略进行更彻底的风险评估。” 虽然负责的黑客团伙仍不清楚，但 ESO 的声明表明，该公司可能已付费以确保删除受影响的数据。Infosecurity 已联系该公司核实这些说法。 不管怎样，该公司于 12 月 19 日通知缅因州总检察长办公室，称有 270 万人受到影响，并从 12 月 12 日开始寄出信件。超过 9500 名 Tallahassee Memorial HealthCare 患者受到影响。 ESO 与 Ascension Providence 和 Manatee Memorial Hospital 等医疗保健提供者合作，正在向患者通报此次泄露事件。其他受影响的机构包括密西西比浸信会医疗中心、Merit Health Biloxi、Merit Health River Oaks 和各种医疗机构。 Comparitech 的消费者隐私倡导者 Paul Bischoff 评论道：“受影响的患者应立即采取措施保护自己免遭身份盗窃和健康福利欺诈。” “ESO 尚未说明受影响的患者是否会获得免费的信用监控，但我预计至少其中一些人会获得免费的信用监控。检查您的信用报告，利用免费信用监控，并密切关注您的医疗账单是否存在可疑活动。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

ESET 已修补 CVE-2023-5594，这是一个高危漏洞，可能导致浏览器信任不应信任的网站。 ESET 已为其多个端点和服务器安全产品发布了补丁，以解决一个高危漏洞，该漏洞可能被利用导致 Web 浏览器信任不应信任的网站。 该漏洞编号为 CVE-2023-5594，影响了 ESET 产品中的 SSL/TLS 协议扫描功能。它可能导致浏览器信任使用过时且不安全的算法签名的证书的网站。 “安全流量扫描功能中的漏洞是由于服务器证书链验证不当造成的，”ESET 在其通报中解释道。 它补充说，“使用 MD5 或 SHA1 算法签名的中间证书被认为是可信的，因此启用了 ESET 安全流量扫描功能的系统上的浏览器可能会信任使用此类证书保护的网站。” 受影响的 ESET 产品列表包括 NOD32 Antivirus、Internet Security、Smart Security Premium、Security Ultimate、Endpoint Antivirus、Endpoint Security、Server Security、Mail Security、Security for Microsoft SharePoint Server 和 File Security for Microsoft Azure。 自 11 月 21 日起，补丁已通过自动产品更新推出 – 无需用户交互即可安装修复程序。 一位希望保持匿名的个人向 ESET 报告了该漏洞。该网络安全公司表示，尚未发现任何利用此漏洞的黑客。 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

黑客正在利用已存在 6 年的微软 Office 远程代码执行（RCE）漏洞，通过恶意 Excel 附件在电子邮件中传播间谍软件。 该漏洞虽然披露于2017年，但最早的恶意利用可追溯至2014年，黑客的最终目标是通过加载Agent Tesla这一种远程访问木马（RAT）和高级键盘记录器，将最终窃取的数据发送到由黑客控制的Telegram机器人。 尽管已有10年的历史，Agent Tesla 仍然是黑客使用的常见武器，利用它能实现包括剪贴板记录、屏幕键盘记录、屏幕捕获以及从不同的Web浏览器提取存储的密码等功能。 攻击方式 黑客利用社会工程学原理，发送含有恶意 Excel 附件的电子邮件，并在邮件主题中使用 “订单 “和 “发票 “等字眼，要求收件人立即回复，从而增加了紧迫感。 研究人员发现，一旦用户上钩，攻击方法就会变得非常规。使用易受攻击版本的电子表格应用程序打开恶意 Excel 附件，就会启动与黑客意目标的通信，该黑客意目标会推送附加文件，其中第一个文件是一个严重混淆的 VBS 文件，使用的变量名长达 100 个字符，以增加分析和解混淆的复杂性。 接着，该文件依次开始下载恶意 JPG 文件，之后 VBS 文件执行 PowerShell 可执行文件，该可执行文件会从图片文件中检索 Base64 编码的 DLL，并从解码后的 DLL 中加载恶意程序。 恶意通信和附加文件下载 PowerShell 加载后，还有另一种新颖的策略——执行 RegAsm.exe 文件，该文件的主要功能通常与注册表读写操作相关，目的是在真实操作的幌子下进行恶意活动。在此，DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。 一旦部署成功，间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据，并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。 目前这种攻击方式的独特之处在于，它将长期存在的漏洞与新的复杂规避策略结合在一起，展示了黑客在感染方法方面较强的适应性。 为此，Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出：“组织必须及时了解不断变化的网络威胁，以保护其数字环境。 转自Freebuf，原文链接：https://www.freebuf.com/news/387416.html 封面来源于网络，如有侵权请联系删除

印度 IT 公司 HCL Technologies 向当地监管机构通报了 12 月 20 日发生的网络攻击。该公司在向印度国家证券交易所提交的文件中通知其一个云项目已被勒索软件渗透。 公司秘书 Manish Anand 表示，整个 HCLTech 网络没有受到影响，网络安全和数据保护是公司的首要任务。 目前正在相关利益相关者的参与下对该事件进行详细调查，以确定根本原因和必要的纠正措施。 总部位于诺伊达的 HCL Technologies 是全球最大的科技公司之一，在 52 个国家拥有超过 22.5 万名员工，2023 财年收入达 130 亿美元。网络攻击发生后，该公司股价下跌 3.24%。 印度大型企业今年已经面临勒索软件攻击。因此，今年 3 月，印度最大的药品制造商太阳制药公司证实遭受了一次攻击，公司数据和员工个人信息被盗。 2022 年 10 月，塔塔电力报告了一次网络攻击，影响了其价值数十亿美元的能源业务。当时，塔塔并未将此事件称为勒索软件攻击，但表示需要恢复系统并隔离受影响的网络，以保护业务的其他部分。 4 月，印度计算机应急响应小组 (CERT-In) 表示，2022 年该国组织遭受勒索软件攻击的报告增加了 53%。值得注意的是，受影响最大的是信息技术和金融部门以及制造业。勒索软件越来越多地针对关键基础设施组织，破坏关键服务以获取压力和赎金。 转自安全客，原文链接：https://www.anquanke.com/post/id/292101 封面来源于网络，如有侵权请联系删除

以色列国家网络安全局发布警告称，可能会发生伪装成 F5 Networks BIG-IP 设备安全更新的网络钓鱼攻击。在攻击期间，黑客组织 Vipers 将通过邮件向 Windows 和 Linux 系统分发。 以色列国家网络管理局（INCD）担任CERT，负责保护国家免受网络威胁，并向组织和公民发布已知攻击的警报。 自十月以来，以色列一直受到亲巴勒斯坦和伊朗支持的黑客的广泛网络攻击，这些黑客一直在窃取和破坏以色列组织的数据。11月，人们发现了一种名为 BiBi Wiper 的新型擦除器，它同时瞄准 Linux 和 Windows 设备，并擦除目标设备上的数据。该程序的创建被归因于支持哈马斯的黑客活动分子。 INCD 警告称，存在一种新的网络钓鱼攻击，攻击者以 F5 BIG-IP 设备中零日漏洞的警告为诱饵，向目标发送电子邮件，声称这是安全更新。亲巴勒斯坦黑客组织 Handala 声称对此次袭击负责，并声称该组织成员已渗透到多个以色列网络。然而，专家无法证实该组织的说法。 网络钓鱼电子邮件警告人们在攻击中主动利用 F5 BIG-IP 漏洞，并敦促以色列组织下载并安装安全更新。对于 Windows 用户，电子邮件提供名为 F5UPDATER.exe 的文件，对于 Linux 用户，电子邮件提供名为 update.sh 的脚本。   Windows 上的 Viper 冒充 F5 安全更新 两个版本的 Viper 都试图通过显示公司徽标来模仿 F5 安全更新。单击“更新”按钮后，程序会将有关设备的数据发送到 Telegram 频道，并尝试擦除计算机上的所有数据。然而，根据 BleepingComputer 的说法，该程序运行时会出现错误，并且不会删除所有数据。 Linux 版本是一个脚本，首先下载数据清理所需的程序，例如 xfsprogs、wipe 和 parted。该程序首先删除系统上的所有用户，然后使用“wipe”命令删除其关联的目录。然后该程序尝试删除 Linux 设备上的所有系统文件和分区。完成后，计算机将重新启动以使分区更改生效。与 Windows 版本类似，Linux 版本也将设备信息和状态更新推送到 Telegram 频道。 毒蛇已成为以色列的一个严重问题，因为黑客活动分子经常使用它们进行破坏性攻击，旨在扰乱该国的运营和经济。与往常一样，最好的防御措施是仅从电子邮件下载来自受信任且经过验证的来源的文件。此外，安全更新只能直接从硬件制造商下载，而不是从第三方网站下载。 转自安全客，原文链接：https://www.anquanke.com/post/id/292097 封面来源于网络，如有侵权请联系删除

Sophos 专家拉响了警报 – 只需一台易受攻击的设备就可以破坏整个组织的数据。 Sophos 的安全专家发现了勒索软件分发团队活动的新趋势。 最近的数据表明，黑客大规模转向在企业网络上使用所谓的“远程加密”。这种方法允许攻击者仅使用一台受感染的设备作为入口点来加密网络上所有设备上的数据。 顾名思义，远程加密是指使用受感染的端点来加密同一网络上其他设备上的数据时发生的情况。通常，如果在组织中的所有计算机之间共享本地写入访问权限，这种方法就是可行的。 恶意软件仅部署在最容易受到攻击的设备上，并且绝对所有可公开访问的数据都在其上进行了加密。同时，网络上的所有其他计算机不会以任何方式对此过程做出反应，因为加密的文件不包含任何恶意代码。用户只有在无法再访问数据之后才会发现。 Sophos 威胁研究副总裁 Mark Loman 强调了这一威胁的严重性：“只需要网络上的一台不安全设备就可以加密其他设备上的数据。” 这种方法的明显优点是它使标准事件检测方法无能为力。 微软今年 10 月报告称，目前约 60% 的勒索软件攻击都包含远程数据加密技术。此外，超过 80% 的攻击是通过只能访问共享文件存储的非托管设备发生的。 使用远程加密的著名勒索软件系列包括 Akira、ALPHV/BlackCat、BlackMatter、LockBit 和 Royal。这种方法已经使用了很长时间：早在2013年，CryptoLocker就以这种方式攻击了网络资源。然而，近几个月此类攻击急剧增加。 Sophos 专家在 报告中还强调了勒索团体与媒体之间的复杂关系。犯罪分子利用媒体不仅是为了吸引注意力，还通过驳斥他们认为不准确的报道来控制叙事。 他们还在数据泄露网站上发布常见问题和新闻稿，包括运营商的直接引用和对记者错误的更正。朗朗上口的名称和吸引人的图形的使用展示了网络犯罪的演变和专业化。 例如，RansomHouse 组织甚至在正式发布之前就向记者提供了有关其 PR Telegram 频道遭受攻击的所有最新信息。像 Conti 和 Pysa 这样的组织以使用组织层次结构而闻名，其中包括高层管理人员、系统管理员、开发人员、招聘人员、人力资源和法律部门。一些团体甚至正在寻找英语编辑和演讲者，以提供有关网络犯罪论坛攻击的有效报道。 “媒体参与为勒索软件团体提供了战术和战略优势。这使他们能够向受害者施加压力并塑造叙事，提高他们的名气并神话自己，”Sophos 指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292087 封面来源于网络，如有侵权请联系删除

黑客组织 Rhysida 已在网上发布了超过 130 万份文件，其中包含从索尼旗下工作室 Insomniac Games 窃取的信息。该公司的系统上周遭到入侵。 正如攻击者声称的那样，他们设法获得了“独家、独特且令人印象深刻的数据”。总容量为 1.67 TB 的文件包含财务文件、员工（包括高层管理人员）的个人数据以及开发材料 – 屏幕截图、概念图、预算计划。 泄露的信息包括基于漫威宇宙的游戏的秘密材料：《蜘蛛侠 3》、《毒液》和《X 战警》。Insomniac 与漫威签订的到 2035 年开发 X 战警游戏的合同价值 6.21 亿美元。 黑客将窃取的数据放在影子拍卖中，索要 50 个比特币（约合 200 万美元）。然而，索尼无视这些要求，显然没有支付赎金。 Insomniac Games 成立于 1994 年。其作品还包括《瑞奇与叮当》、《小龙斯派罗》和《抵抗组织》等热门系列作品。索尼于 2019 年以 2.29 亿美元收购了该工作室。 索尼公司本身及其部门已不止一次遭受黑客攻击。6 月，Cl0p 黑客通过侵入 MOVEit Transfer 服务窃取了她的数据。2011 年，黑客组织 Anonymous 对 PlayStation 网络进行了大规模 DDoS 攻击，导致 7700 万玩家无法访问自己的帐户。 Rhysida 是一个鲜为人知的组织，自 2022 年 5 月以来一直活跃。它攻击世界各地的各种公司，包括医疗机构、大学和政府机构。最大的攻击针对智利政府、美国 Prospect Medical Holdings 连锁医院以及华盛顿州和马里兰州的教育机构。 分析师估计，这一年里，Rhysida 使用勒索软件攻击了 70 多个组织。 Rhysida 还根据勒索软件即服务 (RaaS) 计划运营，向其他犯罪分子提供服务和工具。 对 Insomniac Games 的攻击是近年来视频游戏行业最大的事件之一。专家敦促开发商加强网络安全措施，防止信息泄露和经济损失。 转自安全客，原文链接：https://www.anquanke.com/post/id/292055 封面来源于网络，如有侵权请联系删除

Sophos 发现了 针对世界各地酒店员工的全球网络钓鱼活动。黑客伪装成心怀不满的客人发送恶意电子邮件。其目标是窃取密码以访问机密酒店数据。 黑客以在住宿期间遇到问题的客户名义发送邮件。这些投诉可以是各种各样的——从怀疑中毒到指责对残疾人不关心。 黑客精心编造假故事，以博取员工的同情和信任。例如，据称有人在房间里留下了装有已故亲戚照片的相机，并发现了一些信件。 一旦酒店代表回复此类消息并要求提供更多详细信息，黑客就会回复一封新信。它包含确认其投诉的文件链接 – 合同、支票、医疗报告等。 事实上，这些链接会指向 Google Drive、Mega 或 Dropbox 等云存储服务。恶意软件隐藏在存档文件中。信中还指出了访问这些档案的密码。 Sophos 研究人员指出，黑客使用先进的社会工程方法，并且非常擅长操纵受害者、推断他们的情绪。 此前曾针对美国税务公司使用过类似的攻击模式。当时，黑客还会在提交声明的截止日期之前发送网络钓鱼电子邮件。 Sophos 专家敦促酒店员工保持警惕，不要打开来自不熟悉来源的可疑文件。应该小心任何非标准请求，尤其是包含链接或附件的请求。 黑客可以窃取机密的客户数据，包括付款详细信息，给酒店业主带来经济损失，因为大量资金将用于赔偿以及（如有必要）修复受损系统。 此外，访问员工信件将使黑客能够跟踪他们的计划和行动。他们可以利用以这种方式获得的信息进行进一步的攻击，例如针对特定员工的有针对性的网络钓鱼。 最常受影响的酒店位于美国、英国、德国、意大利和西班牙。然而，网络钓鱼电子邮件以不同的语言发送到世界各地。 为了保护自己，专家建议公司定期对员工进行网络卫生和威胁识别方面的培训。 转自安全客，原文链接：https://www.anquanke.com/post/id/292057 封面来源于网络，如有侵权请联系删除

ReversingLabs 的网络安全专家 Carlo Zanchi 发现了许多黑客最近利用的一个新趋势。该趋势的本质是恶意利用 GitHub 平台传播恶意软件。 Zanchi 在报告中指出，此前，恶意软件作者经常在 Dropbox、Google Drive、OneDrive 和 Discord 等平台上托管其恶意软件副本。但最近，越来越多地使用 GitHub 作为恶意软件的直接宿主。 黑客始终首选公共服务来托管和操作恶意软件。它们的使用使得恶意基础设施难以禁用，因为没有人会仅仅为了阻止某些危险僵尸网络的工作而完全阻止 Google Drive。 公共服务还允许黑客将恶意网络流量与受感染网络上的合法通信混合在一起，从而使及时检测和响应威胁变得更加困难。 因此，GitHub 上 Gist 代码片段存储服务的滥用表明了这一趋势的演变。对于黑客来说，还有什么比将其恶意代码存储在这样的小型存储库中并根据需要将其安全地传送到受感染的主机更方便的了。 ReversingLabs 已识别出 PyPI 平台上的多个软件包 – “httprequesthub”、“pyhttpproxifier”、“libsock”、“libproxy”和“libsocks5” – 这些软件包伪装成用于处理代理网络的库，但包含一个 Base64 编码的 URL ，导致一个秘密 Gist 托管在一次性 GitHub 帐户中，没有公共项目。 研究人员还发现了黑客积极使用的另一种利用 GitHub 的方法。这里已经涉及到版本控制系统的功能了。其中，黑客在单击“Git commit”按钮时依赖具有更改历史记录的消息，通过恶意软件从中提取命令，然后在受感染的系统上执行它们。 关键点是，恶意软件放置在已经受感染的计算机上，扫描特定存储库的提交历史记录以查找特定消息。这些提交消息包含隐藏命令，然后由软件提取并在受害者的计算机上执行。 Zanchi 强调，使用 GitHub 作为 C2 基础设施本身并不新鲜，但滥用 Gists 和 Git commit 等功能是黑客近年来越来越多使用的创新方法。 使用 GitHub 等流行且值得信赖的平台作为网络犯罪的基础设施是一个非常令人震惊的趋势，这表明了黑客的聪明才智。 尽管服务本身安全可靠，但黑客不断寻找各种漏洞引入恶意代码和 C2 命令。这对公司和用户来说都是一个行动信号——他们需要提高警惕并使用现代手段来防御威胁。 转自安全客，原文链接：https://www.anquanke.com/post/id/292062 封面来源于网络，如有侵权请联系删除