“多个”美国联邦政府机构在一次全球网络攻击中受到打击，该攻击利用了广泛使用的软件的一个漏洞。美国网络安全和基础设施安全局”正在向几个联邦机构提供支持，这些机构经历了影响其MOVEit应用程序的入侵”，该机构负责网络安全的执行助理主任埃里克-戈尔茨坦在周四发表的一份声明中提到了受影响的软件。”我们正在紧急工作，以了解影响并确保及时补救”。   目前还不清楚负责入侵联邦机构的黑客是否是一个讲俄语的勒索软件集团，该集团在黑客活动中声称对许多其他受害者负有责任。 当CNN询问谁对联邦机构实施了黑客攻击以及有多少人受到影响时，CISA发言人不予置评。 但这一消息使两周前开始的大规模黑客行动的受害者人数不断增加，并袭击了美国主要大学和州政府。黑客的疯狂攻击给联邦官员带来了压力，他们承诺要遏制勒索软件攻击的祸害，这些攻击已经使美国各地的学校、医院和地方政府陷入困境。 巴尔的摩的约翰-霍普金斯大学和该大学著名的医疗系统在本周的一份声明中说，”敏感的个人和财务信息”，包括医疗账单记录可能在黑客攻击中被盗。 与此同时，佐治亚州的全州大学系统–包括有4万名学生的佐治亚大学以及其他十几所州立学院和大学–证实它正在调查黑客攻击的”范围和严重性”。 一个名为CLOP的讲俄语的黑客组织上周声称对一些黑客行为负有责任，这些黑客行为还影响了英国广播公司、英国航空公司、石油巨头壳牌公司以及明尼苏达州和伊利诺伊州的州政府等的雇员。 俄罗斯黑客是第一个利用该漏洞的，但专家说，其他团体现在可能有机会获得进行攻击所需的软件代码。 该勒索软件集团给受害者提供了在周三之前与他们联系支付赎金的机会，之后他们开始在暗网的勒索网站上列出更多黑客的所谓受害者。截至周四上午，该黑暗网站没有列出任何美国联邦机构。 这一事件表明，如果被熟练的犯罪分子利用，一个软件缺陷可以产生广泛的影响。 这些黑客–一个知名的团体，其青睐的恶意软件在2019年出现–在5月底开始利用一个被称为MOVEit的广泛使用的文件传输软件的一个新缺陷，似乎是针对尽可能多的暴露的组织。黑客的机会主义性质使广大组织容易受到敲诈。 拥有MOVEit软件的美国公司Progress也敦促受害者更新其软件包，并发布了安全建议。       转自 cnBeta，原文链接：https://www.toutiao.com/article/7244966147140092473/ 封面来源于网络，如有侵权请联系删除

近日，曼彻斯特大学声称遭遇了一次网络攻击，威胁者很可能从大学网络中窃取了机密数据。 曼彻斯特大学是一所公共研究机构，也是英国最大、最成功的教育和研究中心之一，拥有1万多名员工和超过4.5万名学生。 曼彻斯特大学在其网站上发表的一份声明中表示，他们于上周二（6月6日）发现了这一漏洞，并立即展开了调查。 该大学在其网站声明中写道：很遗憾地告诉大家，我们确实是此次网络事件的受害者。学校系统被未经授权的入侵者访问，数据很可能已被复制。目前内部专家和外部支持人员正对此事进行排查，并努力及时恢复系统。 学校方面表示，他们已经通知了所有相关部门，包括信息专员办公室、国家网络安全中心(NCSC)和国家犯罪局，有关安全和数据泄露的情况。目前首要任务就是解决这个问题，并尽快向受影响的人提供信息，校方正在集中手上所有可用的资源来尽快解决此事。 该校已经为这次“网络事件”建立了一个单独的FAQ页面，主要用于为学生和教职员工提供安全指导。 校方表示，学生和职工现在不需要重置网站的用户密码，但建议大家对潜在的网络钓鱼攻击保持高度警惕。至于谁将为此次攻击负责，以及是否有任何敏感研究或个人数据被盗等问题，大学仅表示调查仍在进行中，一旦获得更多信息，将立即通知公众。 此外，曼彻斯特大学表示，其安全事件与最近的MOVEit Transfer数据盗窃攻击或Zellis的相关数据泄露无关。 虽然该大学的声明没有提供有关攻击的任何进一步细节，但据BleepingComputer最新消息，此次攻击或是源于勒索软件。 转自 Freebuf，原文链接：https://www.freebuf.com/news/369178.html 封面来源于网络，如有侵权请联系删除

一名18岁的威斯康星州男子被指控入侵一个幻想体育和博彩网站，并从使用该网站的个人账户持有人那里窃取数十万美元。据联邦调查局称，更重要的是，该嫌疑人吹嘘自己有多喜欢这样做。 联邦调查局说，这名来自威斯康星州麦迪逊的男子乔斯夫-加里森不仅入侵了数千个个人账户，还出售了这些账户的访问权限，包括教学如何提取账户内的资金。 联邦调查局说，此次用于实施攻击的黑客方法为 “凭证填充”，也就是常说的“撞库攻击”。 撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址。 据FBI透露，整个行动大约始于2022年11月下旬，当时加里森及其同伙对一个体育博彩网站发起了撞库攻击，能够入侵博彩网站上的大约6万个账户。 随后，黑客会尝试向帐户添加新的付款方式。如果该支付方式得到验证，黑客就可以提取该账户中的所有资金。 联邦调查局说，该团伙能够使用这种方法从大约1600个受害者账户中窃取大约60万美元。 博彩网站在注意到大量的登录尝试后迅速报警，FBI在经过调查后于今年2月搜查了嫌犯的住所。 在搜查过程中，联邦调查局发现了700多个单独的 “配置文件”，用于针对网站的撞库攻击与几十个不同的企业网站有关。 此外，执法部门还在加里森的电脑上发现了超过4000万个用户名和密码对。 同时在嫌疑人的手机中，也发现了他与其他同谋者就如何入侵网站和受害者账户并从中获利和盗窃进行了交谈。 最后，18岁的加里森被指控犯有六项刑事罪，包括密谋实施计算机入侵，未经授权访问受保护的计算机，组织电信欺诈，以及严重的身份盗窃，最高将面临50年的监禁。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367955.html 封面来源于网络，如有侵权请联系删除

近日，伊朗黑客组织Tortoiseshell盯上了以色列航运、物流和金融服务公司，至少有8家公司的相关网站遭遇了水坑攻击。 网络安全公司ClearSky称，此次攻击是由一个名叫Tortoiseshell的伊朗威胁组织发起的，该组织也被称为Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。 ClearSky在周二发布的一份技术报告中提到：这些受到感染的网站是通过脚本收集初步用户信息，大多数受影响的网站已经被清除了恶意代码。 据悉，该黑客组织从2018年7月已经开始频繁活动，早期的攻击目标是沙特阿拉伯的IT提供商。他们还为美国退伍军人建立了虚假的招聘网站，以诱使他们下载远程访问木马。 这种攻击方法也被称为战略网站攻击，其工作原理是感染已知的一群用户或特定行业内的用户经常访问的网站，从而传播恶意软件。 2022年8月，一个名为UNC3890的新兴伊朗组织在一家合法的以色列航运公司的登录页面上设置了一个“水坑”，将登录用户的初步数据传输到攻击者控制的域。 根据ClearSky的最新入侵记录显示，注入网站的恶意JavaScript也以类似的方式运行，收集有关系统的信息并将其发送到远程服务器。 此外，JavaScript代码还会进一步确认用户的语言偏好，ClearSky说这有利于攻击者使用用户日常使用的语言来设置对应的攻击策略，更有效的达成目的。 除此之外，这些攻击还利用了一个名为jquery-stack的域，可实现在线指挥与控制(C2)，通过模拟合法的jQuery JavaScript框架来避开雷达。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367502.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标，开展大规模网络攻击活动。 俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动，其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国，团伙成员除了使用定制的恶意软件感染受害者窃取数据，还通过可移动驱动器在系统中传播，并进行持续监视。 GoldenJackal 疑似与 APT 组织 Turla 有联系 尽管业内人士对 GoldenJackal 团伙知之甚少，但不少人都怀疑其已经活跃了至少四年时间，卡巴斯基指出目前尚无法确定其来源以及与知名黑客组织者的关系，但从其作案手法来看，带有强烈的间谍动机。更重要的是，GoldenJackal 团伙还一直试图保持低调，这样的举动符合具有国家背景黑客团体的所有特征。 研究人员在 GoldenJackal 和疑似俄罗斯背景的 APT 组织 Turla 之间已经观察到了一些战术上的重叠。在一个案例中，一台受害者的机器被 Turla 和 GoldenJackal 感染的时间仅仅相差两个月。目前，虽然不知道用于入侵目标计算机的确切初始路径尚不清楚，但迄今为止收集的证据表明攻击者使用了被黑客入侵的 Skype 安装程序和恶意 Microsoft Word 文档。 安装程序充当了传递名为 JackalControl 的基于.NET 的特洛伊木马的渠道。此外，有人观察到 Word 文件将Follina漏洞（CVE-2022-30190）武器化，以删除相同的恶意软件。 顾名思义，JackalControl 使攻击者能够远程征用机器，执行任意命令，以及从系统上传和下载到系统。 受害目标的地理位置分布 GoldenJackal 部署的其它一些恶意软件如下： JackalSteal： 一种植入物，用于寻找感兴趣的文件，包括位于可移动 USB 驱动器中的文件，并将它们传输到远程服务器。 JackalWorm：一种蠕虫病毒，被设计用来感染使用可移动 USB 驱动器的系统，并安装 JackalControl 木马。 JackalPerInfo：一种恶意软件，具有收集系统元数据、文件夹内容、已安装的应用程序和正在运行的进程，以及存储在网络浏览器数据库中凭证的功能。 JackalScreenWatcher ：一个根据预设时间间隔抓取屏幕截图并将其发送到攻击者控制的服务器的实用程序。 GoldenJackal 团伙另一个值得注意的是它依靠被黑的 WordPress 网站作为中转站，通过注入网站的流氓PHP 文件，将网络请求转发到实际的命令和控制（C2）服务器上。 最后，卡巴斯基研究员 Giampaolo Dedola 强调：GoldenJackal 团伙的工具包似乎还在持续开发中，变种的数量增加表明他们仍在追加“投资”，但该组织可能正试图通过限制受害者的数量来降低其知名度。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367393.html 封面来源于网络，如有侵权请联系删除

英国工业陶瓷公司维苏威（Vesuvius）今年2月曾披露，正在处理一起网络事件。该公司日前表示，公司因该事件损失了350万英镑（约合人民币3057万元）。 维苏威未披露此次事件的性质。在5月18日（周四）向英国监管新闻服务（注：类似于我国的上市公司公告）提交的声明中，公司表示尽管受到网络事件影响，但其业绩表现仍然超过了市场预期。 维苏威曾在2月6日的声明中表示，“目前正在处理网络事件，公司的系统在事件中遭到未授权访问。”“在意识到网络上存在未授权活动之后，我们立即采取了必要措施以调查并应对此次事件，包括关闭受到影响的系统。我们正与领先的网络安全专家合作，支持我们的调查并确定问题的严重程度，包括事件对生产和合同履行造成的影响。” 维苏威集团拥有上万名员工，2021年收入超过16亿英镑（约合人民币139亿元），是在伦敦证券交易所上市的350家最有价值企业之一。其股价周四上涨至超4.18英镑，较2月6日首次披露网络事件时的4.05英镑增长了3%。 英国工业材料行业屡遭网络攻击 维苏威是今年第二家宣布遭遇网络事件的英国工业陶瓷制造商。 今年1月，摩根先进材料集团也向伦敦证券交易所提交了网络安全事件通报。 摩根先进材料集团在全球拥有近7800名员工，年收入达到9.5亿英镑（约合人民币83亿元）。在披露称网络攻击可能令公司损失达1200万英镑后，其股价应声下跌超5%。 摩根集团同样没有确认攻击的性质，但从描述上看很多迹象与勒索软件相似。       转自 安全内参，原文链接：https://www.secrss.com/articles/54837 封面来源于网络，如有侵权请联系删除

国际电子产品制造商Lacroix日前遭受网络攻击，致使其全球超三分之一的工厂暂时关闭。该公司称目前事件已经得到控制，但受到影响的生产工厂可能继续关停一周。 该公司表示，其本地基础设施已遭黑客加密，目前正在对事件开展调查。 Lacroix主要为工业客户生产智能电子产品，上一财年报告的收入为7.08亿欧元，其中绝大部分（5.22亿欧元）来自电子产品部门。公司总部位于法国西部卢瓦尔河地区的博普雷欧，在欧洲、北非和美国拥有4000多名员工。 Lacroix被迫关停三处工厂 Lacroix公司披露在上周末遭遇到网络攻击，旗下8个制造工厂中有3个受到了影响。 受影响的3个工厂包括位于博普雷欧的法国制造中心，位于威利希市的德国工厂以及位于Zibra的突尼斯工厂。这3个工厂占公司总产量的19%，在目前的事件调查期间已全部关闭。根据初步计划，各处工厂将于5月22日重新开放。 在关闭期间，Lacroix公司将实施备份，并通过分析检验是否存在数据泄露。 目前尚不清楚该公司是否收到勒索要求或已经支付了赎金，但从其中涉及数据加密和泄露来看，此次事件很有可能属于勒索软件攻击。 该公司希望尽快恢复工厂生产，并在一份声明中表示“尽管目前公布确切恢复时间还为时过早，但Lacroix已经定下了在5月22日星期一重新开放的目标。” 勒索软件攻击对制造业设施造成的功能性破坏，往往会给受害企业带来巨大的成本损失。 2019年，挪威铝业公司Norsk Hydro就曾遭受Locker Goga勒索软件攻击，多处工厂被迫暂时关闭。该公司拒绝支付赎金，并最终因此损失达数千万美元。     转自 安全内参，原文链接：https://www.secrss.com/articles/54729 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，网络安全公司 Dragos 近期遭遇了勒索软件攻击，一个网络犯罪团伙试图突破 Dragos 的防御系统，渗透到其内部网络，以期对设备进行加密。 Dragos 发言人表示虽然网络攻击者可以“访问” SharePoint 云服务和合同管理系统，但并证据表明攻击者破坏了内部网络系统和网络安全平台。 网络攻击者通过 Dragos 员工账户侵入系统 值得一提的是，网络攻击者入侵 Dragos 网络系统充满了戏剧性，他们利用了一名 Dragos 销售员工个人信息，完成员工入职过程中的初始流程。（该名员工入职前泄露了包括电子邮件在内的个人信息）。 成功入侵到 Dragos 的 SharePoint 云平台后，攻击者获得访问销售部门新员工可以使用的资源的权限，还下载了“通用数据”，并访问了 25 份通常只对客户可用的情报报告。好消息是，由于基于角色的访问控制（RBAC）规则，威胁攻击者不能访问包括消息传递、IT 服务台、财务、征求建议书（RFP）、员工识别和营销系统等其它 Dragos 系统。 勒索软件攻击事件时间线（Dragos） 网络攻击者在眼看迟迟不能攻破 Dragos 的内部网络后，随及向 Dragos 高管发送了一封勒索电子邮件。5小时后，Dragos 相关人员看到了 勒索消息，五分钟后，立刻禁用了被破坏的安全帐户，撤销所有活动会话。 Dragos 在声明中指出安全研究人员调查了公司安全信息和事件管理（SIEM）中的警报，阻止被攻击的账户，之后迅速聘请了第三方监测、检测和响应（MDR）供应商来管理事件响应工作，相信公司的分层安全控制阻止了威胁攻击者的行动。 Dragos 担心部分数据可能被公开 Dragos 发言人强调虽然外部事件响应公司和 Dragos 分析师认为勒索事件得到了最大程度的控制，但公司选择不支付勒索费用，事情发生也从未试图联系网络攻击者，因此有数据被盗和被公开的可能性。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366207.html 封面来源于网络，如有侵权请联系删除

据Cyber News 5月5日消息，有网络攻击者泄露了著名硬件厂商微星科技的固件映像签名密钥，这些密钥是区分合法和恶意更新的关键组件。 研究人员已经确定了泄露的固件映像签名密钥和英特尔用于 MSI 产品的 BootGuard。据固件供应链安全平台 Binarly 首席执行官 Alex Matrosov 称，泄露的固件密钥影响了 57 款 微星产品，而泄露的 BootGuard 密钥影响了该公司 166 款产品。 固件镜像签名密钥是硬件安全基础设施的重要组成部分。这些密钥提供了安全信任，即固件是真实的并且没有被除软件开发人员或设备制造商之外的任何人篡改。同样，Intel Boot Guard 是一种处理器保护措施，可防止计算机运行非系统制造商发布的固件映像。 密钥的泄露会给用户带来重大风险，攻击者可以访问密钥，将受恶意软件感染的固件映像或固件更新推送为合法的更新。由于固件通常在操作系统启动之前启动，因此恶意代码可能会躲过防病毒或其他安全措施的监视。攻击者还可以使用密钥修改固件，严重影响设备的可靠性。 根据 Binarly 的说法，被曝光的设备包括多款微星的 Stealth、Creator、Crosshair、Prestige、Pulse、Modern、Raider、Sword、Summit、Vector 和 Katana 系列笔记本电脑。Github上已挂出受影响产品的完整列表。 今年早些时候，Money Message 勒索软件曾窃取了微星包括源代码在内的近1.5TB重要数据，并要求为此支付400万美元的赎金，但微星拒绝支付赎金。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365686.html 封面来源于网络，如有侵权请联系删除

Americold是一家美国冷藏与物流行业的知名企业，自上周二（4月25日）晚间遭遇网络入侵以来，该公司一直受到IT中断问题困扰。 该公司表示已经控制住此次攻击，目前正在调查这起影响到客户及员工的安全事件。 图：Reddit上有网友询问相关情况 据外媒BleepingComputer看到的一份上周发送给客户的备忘录，该公司预计其系统至少要一周以上时间才能重新上线。 Americold表示，“公司正继续评估上周二晚间至上周三早上发生的入侵。我们控制住了入侵活动并关闭了内部网络，以确保其他区域及客户不受风险影响。目前，我们正在继续探索如何重建受到影响的系统。” “就当前的情况看，我们预计本周内有望实现系统恢复。随着持续了解数据的恢复水平，我们将不断调整预期的重启时间表并发布相应更新。” 出站入站配送受阻 Americold已经要求客户取消本周内的所有“入站”配送，并重新安排除即将到期的关键配送以外的所有出站配送时间。 Americold公司指出，“与此同时，我们提醒您取消本周内的一切出站配送。由于大量操作转为手动，我们的出站配送能力仍将非常有限，因此请您推迟一切非关键出站计划，并稍后与站点可靠性工程师重新安排。” “关键出站配送，包括了可能即将到期的货品。” “我们诚挚感谢贵公司的理解，也将继续努力解决这个问题，控制对网内客户的影响。” Americold公司尚未就此事发表官方声明，也没有在发送给客户的备忘录中提供任何攻击细节。 目前，Americold正专注重建受影响系统并评估哪些数据有望恢复。由此看来，这似乎是一起勒索软件攻击。 外媒BleepingComputer联系到Americold公司一位发言人，但对方没有立即回应置评请求。 2020年也曾遭遇入侵 2020年11月，Americold公司曾遭遇另一起网络攻击，受到影响的运营系统包括电话、电子邮件、库存管理和订单履行等。 当时曾有多位知情人士向BleepingComputer透露，那起事件属于勒索软件攻击。 该公司一直没有明确证实这一论断，攻击背后的勒索软件团伙也仍身份未知。 Americold公司在全球拥有近1.7万名员工，经营的245个控温仓库遍布北美、欧洲、亚太地区及南美各地。     转自 安全内参，原文链接：https://www.secrss.com/articles/54334 封面来源于网络，如有侵权请联系删除