攻击者可能获取了超过45,000名关键美国核设施员工及其家属的敏感信息。 美国主要安全实验室爱达荷国家实验室（INL）已向可能受11月20日网络攻击影响的个人发出了数据泄露通知信。据该实验室称，攻击者入侵了一个存储有“INL员工、前员工、以及他们家属”信息的离岸数据中心。 通知信中再次强调，实验室的内部网络系统及其员工和客户使用的数据库均未在最近的网络安全事件中受损。然而，这次针对美国关键核设施的网络攻击已引起联邦调查局和国土安全部的关注并展开调查。INL进一步确认，由于此次安全事件，大量员工的敏感个人身份信息（Personal Identifiable Information, PII）已遭泄露，包括但不限于姓名、社会安全号码、薪资和银行账户信息。 实验室还补充说到，部分用户只有姓名和出生日期被泄露。泄露的工资数据部分主要涵盖截至2023年6月1日之前的员工、前员工和退休人员的工资信息。 INL向缅因州总检察长提交的信息显示，有45,047人在这次网络攻击中受到了影响。实验室表示将为所有受影响的人提供免费的身份保护服务。 据Cybernews报道，出于政治原因行动的攻击者 SiegedSec 声称对此次数据泄露负责。同一攻击者组还曾针对以色列航空公司 Israir 和北约的 COI 合作门户进行攻击，该门户被用于在北约成员国和31个国家之间共享非机密信息。 消息来源: Cybernews，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在Rhysida勒索软件团伙公开的截图中，能够看到一些机密的内部电子邮件、护照和身份证的复印件，以及游戏素材或游戏画面的图像。 据外媒报道，《漫威蜘蛛侠》系列开发商Insomniac Games最近遭到一个名为Rhysida的黑客组织攻击，该勒索软件团伙声称他们窃取到了即将推出的《金刚狼》游戏的详细信息以及一些前任和现任员工的数据。 Insomniac Games是一家总部位于加利福尼亚伯班克的美国视频游戏开发商，该公司在2019年被索尼互动娱乐以2.29亿美元收购后成为PlayStation Studios旗下的一个游戏工作室。其代表作有《漫威蜘蛛侠》《拉切特与克兰克》《抵抗》《小龙斯派罗》等系列作品。 在Rhysida勒索软件团伙公开的截图中，能够看到一些机密的内部电子邮件、护照和身份证的复印件，以及游戏素材或游戏画面的图像。 Rhysida在暗网博客上的帖子中写道，距离这些“独家、独特、令人印象深刻的”数据开拍仅剩一周，他们强调只会卖给一个人，拍卖时出价高者将是唯一的所有者，起拍价为50比特币（价值约200万美元）。——勒索软件团伙通常都会像这样通过设置一个拍卖期限来迫使受害者支付赎金。 据了解，Rhysida是才冒头不久的一个网络犯罪组织，于今年5月首次被发现。美国网络安全基础设施与安全局（CISA）将其描述为一个以教育、医疗、制造、信息技术和政府部门作为攻击目标的威胁行为者。 Rhysida在今年6月曾成功攻击并泄露智利政府的数据，后又于8月攻击美国医疗集团Prospect Medical Group，引起轰动。根据Cybernews的勒索软件监控工具Ransomlooker，该团伙在过去12个月内已经攻击了近50个组织。   转自看雪学苑，原文链接：https://mp.weixin.qq.com/s/TfvsNRD-fCvBP3jm8r5cAw 封面来源于网络，如有侵权请联系删除

黑客组织APT28利用与以色列和哈马斯冲突相关的蜜罐分发定制的HeadLace后门来获取情报信息。这 是由监视该组织活动的 IBM X-Force 专家报告的。 新的攻击活动针对至少 12 个国家，包括匈牙利、土耳其、澳大利亚、波兰、比利时、德国、阿塞拜疆、沙特阿拉伯、哈萨克斯坦、意大利、拉脱维亚和罗马尼亚。在袭击过程中，袭击者使用虚假文件，主要针对影响人道主义援助分配的欧洲组织。诱饵包括与联合国、以色列银行、美国国会公共政策研究所、欧洲议会和智库有关的文件。 一些攻击使用 RAR 存档，利用 WinRAR中的CVE-2023-38831 (CVSS: 7.8) 漏洞来分发 HeadLace 后门。当用户尝试查看存档中的安全文件时，该错误允许网络犯罪分子执行任意代码。如果受害者安装了存在漏洞的 WinRAR 应用程序并打开了存档，则当Headlace dropper在后台运行时，就会显示诱饵文档。 在其他情况下，感染会使用 DLL 劫持方法，该方法将易受 DLL 劫持的合法 Microsoft Calc.exe 二进制文件传递到目标设备。当受害者单击 Calc.exe 时，就会下载恶意 DLL 并将其与 Calc 一起打包在恶意存档中。此时 DLL 启动 Headlace。为了诱骗受害者运行可执行文件，Calc.exe 被重命名并在扩展名前包含空格，这可能会阻止用户检测 .EXE 扩展名。 另一个 Headlace 选项伪装成 Windows 更新。当执行脚本时，在其恶意组件被传递和执行后，Headlace 会立即定期显示虚假的更新状态消息。 值得注意的是，在建立对系统的控制后，APT28 使用额外的方法来拦截帐户数据NTLM或SMB哈希值，并试图通过 TOR 渗透网络。 X-Force 充满信心地表示，该组织将继续攻击外交和学术中心，以获取有关新政治决策的信息。APT28 可以通过利用公开的 CVE 和商用基础设施来适应网络威胁能力的变化。   转自安全客，原文链接：https://www.anquanke.com/post/id/291890 封面来源于网络，如有侵权请联系删除

据网络安全公司Abnormal Security近日发布的一份报告称：发起BazaCall钓鱼攻击的威胁组织正在尝试通过利用Google表单实施新一轮攻击。 BazaCall（又称BazarCall）最早被发现于2020年，攻击者通过发送假冒的电子邮件订阅通知给目标用户，敦促他们如有异议立刻联系服务台取消计划，否则可能面临50至500美元的收费。 在Abnormal Security最新检测到的攻击变种中，威胁组织使用了Google Forms创建的表单用作传递所谓订阅详情的渠道。 值得注意的是，该表单启用了回执功能，会通过电子邮件向表单回应者发送回应副本，以便攻击者可以发送邀请让其自己完成表单并接收回应。 安全研究员Mike Britton表示：由于攻击者启用了回执选项，目标收件人将收到已完成表单的副本，类似Norton Antivirus软件的付款确认。 使用Google Forms的巧妙之处还在于回应是从地址“forms-receipts-noreply@google[.]com”发送的，这是一个受信任的域名，因此有更高的绕过安全电子邮件网关的机会。Cisco Talos上个月曾披露过一起类似的Google Forms钓鱼活动。 Britton解释称：谷歌表单经常使用动态生成的 URL。这些 URL 不断变化的特性可以躲避利用静态分析和基于签名的检测的传统安全措施，这些措施依赖于已知的模式来识别威胁。 黑客利用More eggs后门瞄准招聘人员 Proofpoint 在披露这一信息的同时，还揭露了一个新的网络钓鱼活动，该活动以招聘人员为目标，直接发送电子邮件，最终导致一个名为 More eggs 的 JavaScript 后门。 这家企业安全公司将这一攻击浪潮归咎于一个 “技术娴熟、有经济动机的威胁行为者”，它追踪到的TA4557有滥用合法信息服务和通过电子邮件提供虚假工作机会的记录，并最终提供了More_eggs后门。 Proofpoint 说：在使用新的电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会收到一个回复链接到行为者控制的网站的 URL。 另外，还观察到该行为者回复了一个 PDF 或 Word 附件，其中包含访问虚假简历网站的说明。 More eggs以恶意软件即服务（malware-as-a-service）的形式提供，诸如Cobalt Group（又名Cobalt Gang）、Evilnum和FIN6其他著名的网络犯罪团伙也在使用它。     转自Freebuf，原文链接：https://www.freebuf.com/news/386558.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 乌克兰最大的服务提供商Kyivstar在一次重大网络攻击后陷入瘫痪。 Kyivstar移动网络基于固定和移动技术的广泛范围，包括乌克兰的4G（LTE），为将近2600万移动客户和超过100万宽带固定互联网客户提供通信服务和数据传输。 12月12日早上，该公司宣布遭受了一次网络攻击，所有移动通信和互联网接入暂时中断。 Kyivstar通知了执法机构和当地政府，包括乌克兰安全局（SSU）。乌克兰安全局宣布，根据乌克兰刑法的八项条款，已对这次网络攻击开展了刑事诉讼。 该公司补充说，其订户的个人数据没有受到泄露。 公司首席执行官Oleksandr Komarov表示，这次攻击是“持续冲突的结果”，他还解释说，IT基础设施已被“部分破坏”。 “战争也在网络空间发生。不幸的是，我们因这场战争而受到打击”，Komarov在全国电视广播中说。 Komarov解释道，包含客户数据的两个数据库已受损并且目前被锁定。 乌克兰SBU情报机构告诉路透社，他们正在调查，事故的可能性之一是由俄罗斯安全机构发起的网络攻击。路透社报道称，俄罗斯外交部尚未对置评请求作出回应。 这次攻击很可能是一次战争行为，目的是攻击和破坏乌克兰关键基础设施。这次攻击不是出于财务动机，攻击者也没有使用任何假旗行动来掩盖攻击的性质。 一位乌克兰网络防御内部的消息人士告诉路透社，俄罗斯被怀疑是攻击的来源。 该消息人士说：“这绝对是国家黑客，没有赎金，全是破坏，所以这不是出于财务动机的攻击。” 由于Kyivstar服务的中断，乌克兰内政部长Ihor Klymenko说，乌克兰人可以在最近的警察或消防部门联系家人或紧急服务。 紧急电话101、102和112仍在运行。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国防部主要情报局的黑客宣布，他们已经入侵了俄罗斯联邦税务局千台服务器，并清除了数据库和备份。 军事情报部门表示，这次黑客攻击是在俄罗斯境内成功开展特别行动的结果。 乌克兰国防部主情报局发布的声明中写道：“在这次特别行动中，军事情报部门成功入侵了俄罗斯联邦税务局的一个关键且防护良好的中央服务器，以及俄罗斯境内和暂时被占领的克里米亚地区的2300多个区域服务器。” 声明称，“由于这次网络攻击，所有服务器都感染了恶意软件。与此同时，为俄罗斯联邦安全局服务的俄罗斯IT公司Office.ed-it.ru也以同样的方式遭到了攻击。” 声明还称，乌克兰军事情报部门还能够捕获整个俄罗斯的税务数据的互联网流量。这次网络攻击还中断了俄罗斯联邦税务局中央办公室与2300个地区办公室之间的通信。 俄罗斯机构的专家连续四天试图恢复服务但未成功。乌克兰情报部门认为，俄罗斯联邦税务局将至少一个月无法正常运作，税务系统完全恢复是不可能的。 声明最后总结道：“乌克兰国防部的这次网络攻击是对克里姆林宫政权的又一严重打击，该政权暂时失去了对税收和费用的控制。” 11月底，乌克兰情报部门宣布他们已经黑客攻击了俄罗斯联邦航空运输局”Rosaviatsia”，这次攻击是一次复杂的特别网络行动的结果。Rosaviatsia是负责俄罗斯民用航空监管和管理的政府机构，其主要职责是确保国内航空运输的安全、安保和效率。 这些国家支持的黑客声称他们窃取了包含俄罗斯航空业危机证据的敏感文件。 今天，乌克兰最大的服务提供商Kyivstar遭到了一次网络攻击，其服务被瘫痪。这次攻击与持续的冲突有关。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站消息，一个安装了超过9万次的 WordPress 插件中存在一个严重的安全漏洞，威胁攻击者能够利用该漏洞获得远程代码执行权限，从而完全控制有漏洞的网站。（该插件名为”Backup Migration”，可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上） 安全漏洞被追踪为 CVE-2023-6553，严重性评分为9.8/10，由一个名为 Nex Team 的漏洞“猎人”团队发现。该团队发现漏洞后依据最近推出的漏洞悬赏计划，立刻向 WordPress 安全公司 Wordfence 报告了漏洞问题。 据悉，CVE-2023-6553安全漏洞主要影响 Backup Migration 1.3.6及以下的所有插件版本，允许未经认证的威胁攻击者通过/include/backup-heart.PHP 文件注入 PHP 代码获得远程代码执行权限，从而接管目标网站。 接收到漏洞通知后，Wordfence 方面表示威胁攻击者能够控制传递给 include 的值，然后利用这些值来实现远程代码执行。这使得未经身份验证的威胁攻击者可以在服务器上轻松执行代码。通过提交特制的请求，威胁攻击者还可以利用 CVE-2023-6553安全漏洞来“包含”任意的恶意 PHP 代码，并在 WordPress 实例的安全上下文中的底层服务器上执行任意命令。 威胁攻击者尝试在备份迁移插件使用的/includes/backup-heart.php 文件中的第118行的 BMI_INCLUDES 目录（通过将 BMI_ROOT_DIR 与 includes 字符串合并定义）中加入 bypasser.php。但是，BMI_ROOT_DIR 是通过第62行的 content-dir HTTP 标头定义的，因此 BMI_ROOT_DIR 依旧受到用户控制。 备份迁移漏洞代码（Wordfence） 接到通知后，数小时内就发布了安全补丁 12月6日，接到安全漏洞通知后，Wordfence 立刻向 BackupBliss（备份迁移插件背后的开发团队）报告了这一重大安全漏洞，开发人员在数小时后发布了补丁。 坏消息是，尽管备份迁移 1.3.8 插件版本的补丁在漏洞报告发布当天就发布了，但据 WordPress.org org 下载统计显示，近5万个使用漏洞版本的 WordPress 网站在近一周后还是需要进行安全防护。鉴于此，安全研究人员强烈督促管理员尽快安装安全更新，以保护其网站免受潜在 CVE-2023-6553安全漏洞的网络攻击。 最近一段时间，WordPress 爆出了多起安全事件，WordPress 管理员还成为了网络钓鱼活动的目标，威胁攻击者试图利用 CVE-2023-45124虚构漏洞的虚假 WordPress 安全公告作为诱饵，诱骗其管理员安装恶意插件。上周，WordPress  还修复了一个面向属性编程（POP）链漏洞，该漏洞允许未经授权的威胁攻击者在某些条件下（与多站点安装中的某些插件相结合时）获得任意 PHP 代码执行。   转自FreeBuf.COM，原文链接https://www.freebuf.com/news/386335.html 封面来源于网络，如有侵权请联系删除

苹果专家解释了为什么一年内没有人成功破解 iPhone。 去年，苹果为记者和活动人士等高危用户推出了新的保护措施。锁定模式旨在限制 iPhone、iPad、Mac和 Apple Watch 设备上的某些功能，以最大程度地降低网络攻击的风险。 发布一年后，苹果代表表示，他们尚未发现任何成功入侵锁定模式设备的案例。苹果的一位高级工程师在 接受 TechCrunch 记者的电话采访时发表了上述评论。谈话的条件是记者不能直接说出或引用该员工的名字。 某些 Apple 应用程序和服务在锁定模式下的工作方式有所不同。例如，大多数附件和链接预览在 iMessage 中被阻止，来自未知联系人的 FaceTime 视频通话被过滤，并且位置信息从拍摄的照片中被删除。它还会阻止某些字体在网站上加载。 这些更改可能会使您的 iPhone 更难使用。例如，某些网站的界面可能变得不可读，或者网站导航可能变得更加困难。但是，用户可以将某些应用程序或网站排除在阻止模式之外，而无需完全关闭它。优点是删除某些功能会使利用某些漏洞并成功侵入用户设备变得更加困难。 4月，研究人员发现了首例已知的封锁案例，阻止使用 NSO 集团的 Pegasus 间谍软件侵入人权活动人士的设备。公民实验室检测到了利用零日漏洞的网络攻击，苹果确认阻止模式阻止了此次攻击。 根据公民实验室的说法，锁定模式似乎可以防止甚至通知零点击攻击的目标，这一事实表明它是一种强大的防御手段，值得乐观。 9月，Citizen Lab 和 Apple 报告称，封锁挫败了另一次针对前埃及议会议员 Ahmed Eltantawi 的攻击，该攻击使用了另一家政府监控技术提供商 Cytrox 的 Predator 间谍软件。 锁定模式只是补充其他安全功能，以及旨在防止设备被黑客攻击的详细工作。这项工作大部分是在幕后完成的。该公司透露了确保设备安全的一些细节。部分工作目前正在巴黎进行。作为巴黎工作的一部分，苹果工程师正在努力破解制造的智能手机。他们使用激光和微调传感器等多种技术，试图找到安全漏洞并在设备上市之前修复它们。 我们还注意到，Jamf 威胁实验室已警告 iPhone 用户面临新的威胁，攻击者可以通过视觉方式欺骗用户，让用户相信他们的 iPhone 处于锁定模式，而实际上并非如此，从而实施隐蔽攻击。   转自安全客，原文链接https://www.anquanke.com/post/id/291832 封面来源于网络，如有侵权请联系删除

在Black Hat Europe大会的演讲中，来自海得拉巴国际信息技术学院（IIIT）的研究人员表示，他们发现，即使没有JavaScript注入，大多数安卓密码管理器也容易受到AutoSpill的攻击。如果启用了JavaScript注入，所有安卓上的密码管理器都会对AutoSpill攻击敞开大门。但在分析之后发现，AutoSpill攻击具备较为严苛的实施条件。 AutoSpill攻击原理 众所周知，安卓应用程序经常使用WebView控件来渲染网页内容，比如应用内的登录页面，而不是将用户重定向到主浏览器，因为后者在小屏幕设备上会是一种更加繁琐的体验。 而安卓上的密码管理器则是利用平台的WebView框架，在应用加载如苹果、脸书、微软或谷歌等服务的登录页面时，自动输入用户的账户凭证。 研究人员表示，即使没有JavaScript注入，也有可能利用这一过程中的弱点来截获调用应用中自动填充的凭证。如果启用了JavaScript注入，研究人员说，所有安卓上的密码管理器都会对AutoSpill攻击敞开大门。 具体来说，AutoSpill攻击源于安卓未能强制执行，或明确定义对自动填充数据进行安全处理的责任，这可能导致数据泄露或被宿主应用捕获。 在Black Hat Europe大会演讲现场，安全研究人员分享了一个攻击场景：一个恶意应用提供的登录表单可能会在不留下任何泄露迹象的情况下捕获用户的密码。 影响与修复 安全研究人员针对安卓10、11和12版本上的一系列密码管理器进行了AutoSpill网络攻击测试，发现1Password 7.9.4、LastPass 5.11.0.9519、Enpass 6.8.2.666、Keeper 16.4.3.1048以及Keepass2Android 1.09c-r0等主流密码管理器，由于使用了安卓的自动填充框架，十分容易遭受攻击。 Google Smart Lock 13.30.8.26和DashLane 6.2221.3采取了不同的技术手段来进行自动填充过程，因此得以幸免。除非攻击者使用了JavaScript注入，否则它们不会向宿主应用泄露敏感数据。 研究人员将他们的发现通报给受影响的软件供应商和安卓的安全团队，并分享了解决问题的建议。 许多人已经习惯了使用自动填充功能来快速输入他们的密码。通过安装在用户设备上的恶意应用程序，黑客可以让用户在无意中自动填充他们的密码信息。 针对AutoSpill攻击，1Password发言人表示，在1Password保护用户最重要的数据是我们的首要任务。目前1Password已经确定了AutoSpill的修复方案，并且目前正在处理中。更新后，原生字段用于仅意图用于安卓WebView的凭证，以此提高防护能力。 主流密码管理器LastPass发言人表示，在2022年已经通过漏洞赏金计划合作伙伴Bugcrowd，就该问题进行了分析，经过综合评定为一个低风险的漏洞。核心原因是，想要发起AutoSpill攻击，那么必须要在设备上安装恶意软件/应用，这也就意味着目标设备已经完全被破坏，或能够在目标设备上执行代码。 Keeper Security的首席技术官兼联合创始人Craig Lurey表示，已收到相关漏洞报告演示，分析之后发现，安全研究人员首先安装了一个恶意应用程序，才能顺利发起AutoSpill攻击。Keeper在保护用户不会自动将凭证填充到未经用户明确授权的不受信任应用程序或网站上方面，已经有了安全防护措施。在安卓平台上，当尝试将凭证自动填充到安卓应用程序或网站时，Keeper会提示用户。在填充任何信息之前，用户被要求确认应用程序与Keeper密码记录的关联。 谷歌发言人表示，WebView被安卓开发者以多种方式使用，包括在他们的应用中托管自己服务的登录页面，这个问题与密码管理器在与WebView交互时如何利用自动填充APIs有关。 建议第三方密码管理器对密码输入的位置保持敏感，并且建议所有密码管理器实施WebView的最佳实践。 例如，当在安卓上使用谷歌密码管理器进行自动填充时，如果用户正在为谷歌认为可能不属于托管应用拥有的域名输入密码，用户会收到警告，并且密码只会填写在适当的字段中。谷歌通过WebView实现了服务器端的登录保护。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/386254.html 封面来源于网络，如有侵权请联系删除

Akamai 警告说，许多网络都面临着遭受攻击的风险，这些攻击可能会欺骗 DNS 记录并窃取 Active Directory 中的秘密，而 Microsoft 没有计划解决这一缺陷。 Akamai 的安全研究人员 发现Microsoft Active Directory 系统中存在严重威胁。针对这些系统的攻击可能允许攻击者欺骗 DNS 记录、破坏 Active Directory 并窃取其中存储的机密。 这些攻击对于运行标准 Microsoft 动态主机配置协议 ( DHCP ) 配置的服务器尤其危险。值得注意的是，它们不需要用户凭据。 Akamai 向 Microsoft 报告了该问题，但据消息人士称，后者没有计划修复此缺陷。微软尚未就此事回应记者的询问。 虽然没有服务器受到此类攻击的报告，但 Akamai 专家警告说，鉴于 Akamai 监控的数千个网络中有 40% 使用易受攻击的 Microsoft DHCP 配置，因此许多组织可能容易受到攻击。 此外，Akamai 还为系统管理员提供了一个工具来帮助检测易受攻击的配置。 Akamai 研究人员（包括 Ori David） 透露 ，黑客能够从 DHCP 服务器提取信息、识别有风险的 DNS 记录、更改它们，从而破坏 Active Directory 域。这些结论是基于之前对类似漏洞的研究。 问题是通过 DHCP 更新 DNS 记录不需要客户端身份验证。这使得攻击者无需任何凭据即可使用 DHCP 服务器向 DNS 服务器进行身份验证。 除了创建不存在的 DNS 记录之外，攻击者还可以覆盖现有数据，包括 ADI 区域中的 DNS 记录，尤其是在域控制器上安装了 DHCP 服务器的情况下。据 Akamai 称，他们监控的57%的网络都会出现这种情况。 专家敦促组织禁用 DHCP DNS 动态更新功能并避免使用 DNSUpdateProxy 组，以最大程度地降低风险。   转自安全客，原文链接https://www.anquanke.com/post/id/291776 封面来源于网络，如有侵权请联系删除