Lazarus 是针对3CX 的级联供应链攻击背后的多产朝鲜黑客组织，它还利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。 据悉，赛门铁克的威胁猎人团队提供的新发现证实了早先的怀疑，即 X_TRADER 应用程序危害影响的组织比 3CX 多。博通旗下赛门铁克的安全响应主管 Eric Chien 在一份声明中告诉黑客新闻，这些攻击发生在 2022 年 9 月至 2022 年 11 月之间。 Chien 说：“目前这些感染的影响尚不清楚——需要进行更多调查，并且正在进行中。”他补充说，“这个故事可能还有更多内容，甚至可能还有其他被木马化的软件包。” 事态发展之际，Mandiant透露，上个月 3CX 桌面应用程序软件遭到入侵，是由于 2022 年另一起针对 X_TRADER 的软件供应链泄露事件导致的，一名员工将其下载到他们的个人电脑上。 目前尚不清楚朝鲜网络攻击者 UNC4736 如何篡改由一家名为 Trading Technologies 的公司开发的交易软件 X_TRADER。虽然该服务于 2020 年 4 月停止，但直到去年仍可在公司网站上下载。 Mandiant 的调查显示，注入到损坏的 X_TRADER 应用程序中的后门（称为 VEILEDSIGNAL）允许对手获得对员工计算机的访问权限并窃取他们的凭据，然后使用这些凭据来破坏 3CX 的网络，横向移动并破坏 Windows 和macOS 构建环境以插入恶意代码。 这场规模庞大的相互关联的攻击似乎与以往与朝鲜结盟的团体和活动有很大重叠，这些团体和活动历来以加密货币公司为目标，并进行了出于经济动机的攻击。 谷歌云子公司以“中等信心”评估该活动与 AppleJeus 有关，AppleJeus 是一项针对加密公司进行金融盗窃的持续活动。网络安全公司 CrowdStrike 此前将此次攻击归因于一个名为Labyrinth Chollima的 Lazarus 集群。 2022年2月，Google 的威胁分析小组 (TAG)曾将同一敌对集体与 Trading Technologies 网站的入侵联系起来，以提供利用 Chrome 网络浏览器中当时的零日漏洞的漏洞利用工具包。 ESET 在分析不同的 Lazarus Group 活动时，披露了一种名为 SimplexTea 的新的基于 Linux 的恶意软件，它共享被识别为 UNC4736 使用的相同网络基础设施，进一步扩展了现有证据表明 3CX 黑客攻击是由朝鲜威胁策划的演员。 ESET 恶意软件研究员 Marc-Etienne M 表示：“[Mandiant] 发现第二次供应链攻击导致 3CX 遭到破坏，这表明 Lazarus 可能会越来越多地转向这种技术，以获得对目标网络的初始访问权限。” .Léveillé 告诉黑客新闻。 X_TRADER 应用程序的妥协进一步暗示了攻击者的经济动机。Lazarus（也称为 HIDDEN COBRA）是一个总称，由位于朝鲜的几个子团体组成，这些子团体代表隐士王国从事间谍活动和网络犯罪活动，并逃避国际制裁。 赛门铁克对感染链的分解证实了 VEILEDSIGNAL 模块化后门的部署，该后门还包含一个可以注入 Chrome、Firefox 或 Edge 网络浏览器的进程注入模块。该模块本身包含一个动态链接库 (DLL)，可连接到 Trading Technologies 的网站以进行命令和控制 (C2)。 赛门铁克总结说：“发现 3CX 被另一个更早的供应链攻击所破坏，这使得更多的组织很可能会受到这次活动的影响，现在发现这种活动的范围比最初认为的要广泛得多。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/WpJpB4rt4liYqbW0tBaWDQ 封面来源于网络，如有侵权请联系删除  

近日，Microsoft SQL （MS-SQL） 服务器遭到攻击，因其安全性较差，入侵者进入服务器后直接安装了 Trigona 勒索软件，并加密了所有文件。 入侵者是利用了那些极易被猜到的帐户凭据为突破点，暴力攻击了MS-SQL 服务器，并安装了名为CLR Shell的恶意软件，这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。 这种恶意软件专门用于收集系统信息，还可以直接更改那些被入侵的帐户配置。此外，该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem，不过想完成这个操作需要启动勒索软件。AhnLab表示，CLR Shell是一种CLR汇编恶意软件，该软件在接收入侵者的命令后可直接执行恶意入侵行为，运行模式有点类似于web服务器的webshell。 然后入侵者会在下一阶段安装一个恶意软件dropper，用作svcservice.exe服务，继而就能启动Trigona勒索软件，作为svchost.exe。此外，他们还会配置勒索软件二进制文件。在每次系统重新启动时，通过Windows自动运行密钥自动启动，以确保系统在重新启动后仍处于被加密的状态。 在拿到赎金前，这个恶意软件会禁用系统针对Windows卷影副本进行恢复、删除的相关操作，所以要想恢复系统必须要有解密密钥。 Trigona勒索信，图源：BleepingComputer 2022年10月，MalwareHunterTeam首次发现了该恶意软件。在赎金方面，Trigona勒索软件仅接受门罗币加密货币。 Trigona会加密受害者设备上的所有文件，除了特定文件夹中的文件，包括Windows和Program files目录。该软件通过添加“._locked”为扩展名，以重命名加密文件，并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前，该团伙还声称已经窃取到了一些敏感文件，并且表示这些文件将被放到暗网上。 该软件还会创建名为“how_to_decrypt”的赎金笔记。每个文件夹中都包含一些入侵系统的信息，比如Trigona Tor协商网站的访问链接，以及包含登录协商网站所需的授权密钥。 Trigona样本提交（ID勒索软件） 自今年年初以来，Trigona勒索软件团伙已经发起了多次攻击事件。据统计，仅向ID勒索软件平台发起的攻击事件至少有190起。   转自 Freebuf，原文链接：https://www.freebuf.com/news/364194.html 封面来源于网络，如有侵权请联系删除

德国药物研发巨头Evotec遭受网络攻击，目前正努力恢复被迫离线的IT系统。 Evotec公司拥有4200多名员工，2021年通过开发治疗阿尔茨海默症、亨廷顿舞蹈症等疾病的药物实现了近7亿美元收入。该公司还与百时美施贵宝、拜耳、赛诺菲等其他多家制药巨头建立了长期药物发现合作关系。 内部系统已中断多天 这起网络攻击发生在上周四（4月6日），导致Evotec公司断开了与互联网的连接，旨在“保护[其系统]免遭数据损坏或入侵。” 该公司在上周五表示，“目前正在检查IT系统并审查影响范围，将尽最大努力对数据完整性开展调查。” 在本周一的消息更新中，该公司表示已经安排网络安全专家等对系统进行取证检查。Evotec还就此次攻击事件联系了德国执法机构。 Evotec内部系统仍未重新上线，但表示“全球设施的业务连续性已经得到保障”。 该公司解释称，“已经对数据完整性进行了最大程度的检查，但相关系统将继续保持离线状态，直到取证检查完成且安全计划落实到位为止。” “将实施解决方案以确保各合作伙伴能够使用所有服务，但可能仍存在一定的延迟或响应缓慢。” Evotec公司还敦促各合作伙伴组织和供应商，在其邮件系统重建过程中暂时联络其指定的一个电子邮件地址。 制药业网络攻击日益增长 目前没有黑客团伙宣称对此次攻击负责。最近几个月来，已经有多家制药企业受到网络攻击影响。 两周前，全球第四大特种仿制药公司Sun Pharmaceuticals提交给孟买证券交易所的文件中表示，他们正努力遏制并清除勒索软件攻击，而且已经聘请一家网络安全公司协助应对此次事件。 Black Cat/AlphV勒索软件团伙声称对此次攻击负责，该团伙曾在今年1月向医院技术巨头NextGen Healthcare和美国其他几家医院发动攻击。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/8kPq1gu4EHqAC4W19R-tMA 封面来源于网络，如有侵权请联系删除

美国网络司令部申请8940万美元(约合人民币6.14亿元)预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数字。 JCAP项目将使美国防部的网络作战人员能够在友方（friendly）防火墙之外与他们的目标进行连接。自2020年以来，JCAP一直由陆军负责运营，网络司令部担任执行机构。此前，JCAP在预算文件中被列为机密级，几乎不公布关于计划的任何细节或资金数额信息。到目前为止，有关该项目的公开信息只有国安服务提供商ManTech在2020年获得一份价值2.65亿美元的合同，负责为JCAP计划提供为期三年半的支持服务。 此次预算金额是在网络司令部的2024财年研发预算中列出。以往，各军种只负责为网络司令部提供资金和人员。但在2022财年国防授权法案中，国会增强了网络司令部的预算权限，允许其根据网络任务部队的维持需求直接控制和管理各类资源的规划、编排、预算及执行。 美国各大军种过去都有自己的网络支持平台。但网络司令部正在主动将这些能力纳入其联合网络作战架构，希望以该架构指导所有军种的联合网络任务部队的采办优先事项。出于这个目的，网络司令部必须将各军种的不同系统整合起来。 JCAP将作为联合网络火力平台，各大军种的系统预计将在2024年全部迁移到该平台。 鉴于这项计划的敏感性，此前几乎没有公布任何信息。美国政府问责局（GAO）将其描述为“供网络作战人员通过使用一套综合工具套件实现战斗力投送的通用访问平台。” JCAP采用敏捷软件方法，每两个月举行一次论坛，评估差距、威胁、要求和新兴技术，以期在更短周期内注入能力，以超越克服威胁。去年JCAP已经交付了首个最小可行功能版本。 美国网络司令部在预算申请中指出，“JCAP可提供一个受保护、被托管、已编排的环境与通用网络火力平台，支持网络司令部协调和执行对已获批网络目标的网络行动。这种能力使网络任务部队有能力在处理检测和归因工作的同时执行作战行动。JCAP计划利用现有服务访问平台项目，目标是通过组合、增强和发展现有项目基准，打造出‘同类最佳’JCAP。” 2024财年申请的8940万美元预算，将用于改进能力并增强网络任务部队的行动与支持任务准备水平。此外，预算还将用于联合网络作战架构及其他要素的进一步整合。 网络司令部将JCAP项目列入了研发预算的“健壮基础设施与访问”部分。计划内容还包括另一项工作，名为“其他网络作战基础设施”，目前仍属于高度机密。除了在2024财年内为其申请8070万美元预算之外，文件中没有提供任何相关细节。二者相加，令整个计划内容的预算申请总额达到1.701亿美元。 在采购方面，网络司令部为“健壮基础设施与访问（JCAP）”申请了5050万美元。不过文件提到，这笔资金将用于为联合任务作战中心（网络作战的指挥、控制与执行中心）内各系统提供服务台、技术支持、许可证及技术更新。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jKWORCQ0Bc05kgJ3HSt-eA 封面来源于网络，如有侵权请联系删除

你被人欺负了，第一反应可能是还手，那在网络世界中，被攻击的受害者能够采取同样的反制措施吗？ 答案是否定的。目前绝大多数国家尚未制定相关法律，来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识，这意味着，反击黑客就如同黑客入侵一样，同样是违法行为。换句话说，你可以关门，但不能去开别人家的门，不论门后面是否藏着犯罪组织。 听起来是不是很玄幻？现实生活中，只要手续合法，警察可以选择破门而入抓捕犯罪分子，但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性，而非技术性。 或许正因为攻防处于不对称的地位，导致全球网络攻击愈演愈烈。仅2022年一年，全球网络攻击数量就增长了38%，造成大量业务损失，其中包括财务和声誉损失。勒索攻击更是如此。 深信服发布《2022年勒索软件态势分析报告》指出，随着RaaS(勒索软件即服务)模式的日渐成熟，勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中，并且攻击成功的概率越来越高,数据能够通过分析解密还原的情况越来越少。攻击者不再单纯加密数据，更多的勒索攻击开始窃取受害者敏感数据，挂到自己的“官网”上进行双重勒索，获得更大的收益。 随着近年来网络攻击越发猖獗，反击黑客合法化的呼声日益强烈。近期，深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措，对以该国组织为攻击目标的黑客进行反击，引发了行业担忧，这一做法究竟是能真正打击并震慑黑客，还是给网络空间带来更多风险和混乱？ 向黑客宣战 2022年11月12日，澳大利亚总理安东尼·阿尔巴内斯宣布了澳大利亚联邦警察和澳大利亚信号局的联合倡议，该倡议提出要“调查、瞄准和破坏网络犯罪集团，并优先针对勒索软件威胁团体”。 澳大利亚政府之所以做出如此决定，很大程度上与针对该国的两次重大网络攻击事件有关。2022年9月，澳大利亚电信巨头Optus因为勒索攻击暴露了近1000万用户的敏感数据，并被勒索100万美元赎金；而仅仅一个月后，又有黑客攻击了澳大利亚健康保险公司Medibank，其所有390万用户的数据都遭到了泄露。据统计，两起事件受影响的人数超过了澳大利亚总人口的三分之一，造成了严重的社会影响，尤其是在Medibank拒绝支付要求的1000万美元赎金后，黑客泄露了包括堕胎记录在内的医疗记录，引发了社会的强烈愤怒和担忧。 如此看来，对黑客进行反击是在一定程度上顺应澳大利亚国内民意的行为，政府将优先考虑那些对国家利益构成重大威胁对黑客组织。根据英国《卫报》援引澳大利亚内政和网络安全部长克莱尔·奥尼尔的表述，她将日复一日、坚定不移地追捕那些发起攻击事件的“人渣”，国家会派最聪明、最顽强的人去入侵黑客。 澳大利亚内政和网络安全部长克莱尔·奥尼尔 伴随着澳方的强硬态度，一系列新举措正随之而来，但目前还不清楚政府到底会在多大程度上超越常规措施来发起反制，特别是来自其管辖范围之外的网络威胁。Bugcrow创始人兼首席技术官凯西·埃利斯表示，尽管网络犯罪集团经常处于“有罪不罚”的地步，但也很容易受到执法行动的干扰，并认为积极主动出击是可行的，就像Cont和REvil等勒索软件组织被执法部门打击取缔一样，而澳大利亚的做法就是旨在采取更加严厉的措施。 反黑客为何要谨慎行事？ 正如本文开头所述，真正的反黑客行为在一些国家很难付诸实施，因为没有法律为这种反击提供支持。比如美国立法者曾经试图几次通过相关法案，为反击网络攻击者的组织提供一些法律支持，但都以失败告终。 毕竟，如果说两人打架，一人还手，被还击的对象铁定就是目标清晰的另一个人，但网络攻击不同。“一般来说，真正确定攻击的来源非常困难，”Rapid首席研究员埃里克加林金说道。这意味着网络攻击者可以利用多个肉机作为跳板进行分布式攻击。换句话说，攻击者善于利用受害者来攻击其它受害者，而当受害者进行反击时，实际上是在针对另外未知的无辜人员。虽然国际间已有捣毁如Conti 和 REvil在内的勒索软件组织的成功案例，但这类专项行动往往需要专业团队付出数月的调查及分析，在高度精确锁定目标后才开展行动。如果这类权力得到下放，默许民间团体采取草率或更激进措施反制，其滥用导致的后果将可想而知。 这其中还涉及到双方究竟谁才是第一个出手的人。一个比较典型的例子是2017年美国《主动网络防御确定性法案》（ACDC），该法案中的某项条款称“只要是以‘主动防御’的情形对另一实体进行黑客攻击，就可以免于承担法律责任。”也就是说，在ACDC法案下，公司和个人将能够使用“主动防御”来识别、破坏甚至销毁他们被盗的数据。该法案一经提出就遭到共和党、科技界乃至立法界诸多人士的反对，比如 “主动防御”很难用某种特定或清晰的情况进行解释，即如何确定到底谁采取了第一个攻击行动，因而存在被滥用的风险。比如闯入某嫌疑人电脑，确认系统中是否存有被盗的账户密码，这些密码能用来进行未授权的访问。如果这类行为被证实为误判，轻则容易构成涉嫌侵犯隐私、危害他人信息安全，如果是由国家授权的针对他国的行为，则会引发国际事件。 美国共和党众议员汤姆·格雷夫斯极力反对 ACDC 法案 而在2021年，另一项名为《网络攻击响应选项研究法》的法案要求美国国土安全部评估并修订现行的《计算机滥用法》，为反击黑客的攻击者谋取适当规则和好处，但这项法案也在争议中付之东流。 安全防御大趋势——从“守”到“攻” 毫无疑问，近来澳大利亚网络安全战略正处在不断变革的过程之中， 2022年4月，澳大利亚宣布要制定一项为未来10年“铺路”的数据安全框架，计划累计投资超90亿澳元进一步建设国家网络安全。虽然到目前为止澳大利亚接连遭受了多次重大网络攻击，但在总体框架下，从“守”到“攻”的趋势越发明显。 战略升级：强化攻击本色 2022 年 8 月 31 日，澳大利亚国防部正式发布该国第一份专门的国防网络安全战略——《国防网络安全战略》（2022），概述了未来10年加强网络安全能力的计划措施。该战略被认为是自《2016 年国防战略白皮书》《2020 年国防战略更新》以来的进一步升级，对网络安全地重视程度正逐渐加强。在2016年版战略中，对网络安全还仅仅是当做一种对国防安全的新型威胁，而在2022年版战略中，已经将网络安全置于完成国防使命所需的必要条件的高度，并视为未来冲突的可能前兆和关键因素，是澳大利亚成功或失败的决定性因素。 在网络进攻能力建设方面，2016年版战略主要强调情报、监视、侦察等防御体系建设，而2022年版战略开始加强对进攻性网络能力的建设，以提高威慑力，推动国防转型。战略提出，将支持塑造威慑和应对的能力，通过制定标准和加强工业伙伴关系来塑造网络安全环境，通过提高对手活动的可见性来提高威慑能力，通过加强网络安全态势监测和限制对手网络活动来强化应对能力。 全面改革：力图实现所谓2030愿景 据美国广播公司今年2月的报道，澳大利亚将全面改革前政府制定的 17 亿美元网络安全计划，这项改革源自2022年12月8日宣布制定的2023-2030年澳大利亚网络安全战略，致力于在2030年让澳大利亚成为网络最安全的国家。根据公开的讨论文件，政府为应对数据泄露时面临的网络安全挑战，致力于与业界合作，建立一个全国一致的网络安全框架。政府还宣布将任命一名国家网络安全协调员“确保以中央协调的方式”处理政府的网络安全责任。 讨论还涉及是否需要进一步修改《2018年关键基础设施安全法》（SOCI法案），根据该法，政府拥有“最后介入”的权力，可以应对与关键基础设施领域、关键基础设施资产相关的严重网络安全事件。但奥尼尔认为这些权力目前过于有限且定义非常狭窄，并没有实际的协助作用。在接受美国广播公司采访时，奥尼尔甚至表示“（现在）这条法律根本没用，当它真正用于网络事件时，它根本不值得被印在纸上”。可以预见，改革将提升政府在面对安全事件时的干预能力，尤其是在重大网络事件发生后进行的事后审查和后果管理方面。在Optus和Medibank两起重大数据泄露事件发生后，政府就开始考虑禁止向受害企业向攻击者支付赎金，如果违规支付赎金将被视为违法行为。 角色转换：在合作中谋求独立 澳大利亚在网络威胁防御体系方面一贯重度依赖美英等国，从最早的五眼联盟到2022年由拜登政府提出的印太战略都参与其中。但澳大利亚已经开始试图提升应对网络安全风险的独立性与自主性。比如2022年版战略中曾提到“国防部如何应对网络威胁并确保其能力免受对手的攻击，需要整个国防系统的一致和协调努力，从澳大利亚国防军（ADF）和澳大利亚公共服务人员（APS）到国防的行业合作伙伴和供应链。这个系统的每个部分都在确保网络安全方面发挥作用。需要整合国防供应链和加强国防供应链上的自主性，来确保国防网络安全。” 在国际合作型事务中，澳大利亚也正谋求从参与者角色转向自主领导型角色的转变。2023年1月27日，由澳大利亚担当首任主席国，包括美国、英国、法国、德国等36个成员国在内的的国际反勒索软件工作组正式开始运作，旨在破坏、打击和防御日益增加的勒索软件威胁。 随着网络威胁对澳大利亚造成的持续创伤，这个地广人稀的南半球大国正试图对黑客亮出自己的铁腕姿态，至于有多铁，是否会使国际网络环境变得更为复杂严峻，还有待观察它在反击之路上如何走出下一步。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/363092.html 封面来源于网络，如有侵权请联系删除

3月10日，美国硅谷银行（Silicon Valley Bank，SVB）宣布倒闭，为全球金融体系带来冲击，影响不少新创公司，同时也带来了各种安全问题。 SVB的崩溃非常严重，许多初创公司现在面临财务不稳定甚至可能裁员的情况。因此，这些受影响的公司寻求替代融资方式来维持业务运营。 然而，这种对金融稳定的追求使他们成为威胁行为者的主要目标，这些威胁行为者利用当前形势进行各种恶意活动。 系统网路安全协会（SANS Institute）旗下的Internet Storm Center发出警告，他们发现黑客在美国硅谷银行宣布倒闭后，大肆注册与SVB有关的网域名称，很有可能将其用于攻击行动。 Cyble Research & Intelligence Labs (CRIL)也观察到相关攻击行动。其中一起假借SVB的名义，声称要回馈稳定币USDC（USD Coin）给用户，然而使用者若是依照指示透过加密货币钱包App扫描骇客提供的QR Code，他们的加密货币就有可能遭到洗劫一空。 CRIL已经确定了几个在SVB倒闭后出现的可疑网站。 一些网站在2023年3月10日SVB倒闭之后出现，这引发了对潜在威胁的担忧。这些网站似乎是由希望利用当前形势谋取私利的助教开发的。 3月13日，美国财政部、美联储和 FDIC 发布了一份联合声明，以保护所有储户的资金并确保他们可以使用他们的钱。尽管对受影响的存款人来说是一种解脱，但威胁行为者已经开始使用此公告来发起他们的恶意活动。 利用 SVB 崩溃危机进行的加密欺诈就是这种趋势的典型例子。在监控网络钓鱼活动的同时，CRIL已经检测到几种加密网络钓鱼计划，这些计划利用围绕SVB崩溃的当前情况来欺骗毫无戒心的受害者。 这些钓鱼网站，如svb-usdc.com和svb-usdc.net，已经建立了一个虚假的 USDC 奖励计划，声称“硅谷银行正在积极分发 USDC 作为 SVB USDC 回报计划的一部分给符合条件的 USDC持有人。” 如果用户单击“点击此处领取”按钮以在钓鱼网站上接收承诺的 USDC，则会显示一个二维码。受害者被指示使用任何加密货币钱包扫描此二维码，例如 Trust、Metamask 或 Exodus。但是，扫码会导致用户钱包账户被盗。 此外，Circle 表示，USDC 仍可按 1 换 1 的比例用美元兑换。在此公告发布后不久，CRIL 注意到几个钓鱼网站冒充 Circle 并宣传 1 USDC 换 1 美元的交易。 一个网址为hxxps://circle-reserves.com 的网站，它模拟了 Circle。该欺骗性网站向符合条件的持有者提供 USDC 空投代币，要求用户通过扫描二维码领取代币。但是，扫描代码会导致用户的钱包被盗用。 它经常利用正在进行的场景和事件发起大规模感染活动，用户可能会因恐惧、虚假的紧迫感和缺乏关注而上当受骗。 CRIL 发现的钓鱼网站旨在针对受SVB崩溃影响的组织，通过向受害者提供免费的 USDC 来窃取受害者账户中的加密货币。因此，受影响的组织必须保持警惕并采取积极措施来保护其敏感数据免受潜在的网络威胁。 列出了一些基本的网络安全最佳实践，这些最佳实践创建了针对攻击者的第一线控制，建议遵循以下最佳实践： 避免从未知网站下载文件。 在连接的设备（包括 PC、笔记本电脑和移动设备）上使用知名的防病毒和互联网安全软件包。 不要在未先验证其真实性的情况下打开不受信任的链接和电子邮件附件。 教育员工保护自己免受网络钓鱼/不受信任的 URL 等威胁。 监控网络级别的信标，以阻止恶意软件或 TA 的数据泄露。 在员工系统上启用数据丢失防护 (DLP) 解决方案。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/X3YyakS9uw79J-Ojz3lyrg 封面来源于网络，如有侵权请联系删除

近日，医疗设备制造商ZOLL表示，1月份的一次网络攻击暴露了超过100万人的敏感信息。 在提供给缅因州总检察长的文件中，ZOLL表示事件始于1月28日，当时他们在其内部网络上“检测到异常活动”。该公司补充到，信息是在2月2日被访问的，对该事件的调查正在进行中。 “可能已披露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者，“我们咨询了第三方网络安全专家，以协助我们对事件做出响应和补救，并根据法律要求通知了执法部门以及联邦和州监管机构。” ZOLL为受害者提供为期两年的 Experian 身份盗窃保护服务。Databreaches.net是第一个报告这些通知的人。该公司于周五开始发送违规通知函。 ZOLL总部位于马萨诸塞州，在加利福尼亚州、科罗拉多州、明尼苏达州、新泽西州、宾夕法尼亚州、罗德岛州和威斯康星州开发产品，产品销往140多个国家/地区。 其主要生产一系列设备，包括除颤和监测工具，以及用于循环和心肺复苏反馈、数据管理、治疗温度管理和通气的设备。这些产品通常销往诊所、医院、紧急医疗服务、军队和消防站。 此前，ZOLL曾在2018年、2019年两次宣布数据泄露。 2018年，ZOLL声称供应商负责在服务器迁移过程中暴露电子邮件服务器，服务器被暴露了七周，在此期间黑客访问了它并查看了数据。该漏洞影响了近300,000人，并泄露了医疗信息和社会安全号码，最终导致他们在一年后起诉IT供应商梭子鱼网络。 2019年，ZOLL由第三方存档的电子邮件在供应商的服务器迁移过程中暴露。该公司发布了一份详细说明数据曝光的新闻稿，暴露的信息包括患者姓名、地址、出生日期和部分医疗信息，一些患者的身份证信息也被暴露。发现泄露事件后，ZOLL立即启动了内部审查，277,319名患者受到此事件影响。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/sw56mj-DyehQtiiKIuBgrg 封面来源于网络，如有侵权请联系删除

根据国外科技媒体 BornCity 报道，空中客车公司（AirBus）的物流服务提供商（LTS）近日遭到网络攻击，导致该公司位于德国诺登哈姆的工厂生产中断。 消息称黑客通过攻击空客的物流服务提供商（LTS），发起勒索软件攻击。由于该 LTS 网络已经瘫痪，导致空客工厂的飞机部件被迫停产。 消息称黑客要求 1500 万欧元（IT之家备注：当前约 1.11 亿元人民币）的赎金，目前空客方面并未就本次安全事件做出后续应对。 转自 IT之家，原文链接：https://www.ithome.com/0/678/672.htm 封面来源于网络，如有侵权请联系删除

当地时间2月28日消息，美国软件公司Beeline的数据库被攻击者发布在黑客论坛上，数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。 该数据库大约1.5GB，据称是攻击者从Beeline的Jira帐户中窃取的。Jira是由Atlassian开发的问题跟踪软件，用于bug跟踪和项目管理活动。与此同时，Beeline运营着一项软件即服务（SaaS）业务，专注于寻找和管理劳动力。 攻击者在黑客论坛上的发帖 攻击者声称该数据库包含Beeline的客户数据，例如名字、姓氏、Beeline用户名、职位以及其他数据。黑客论坛的帖子表明，这些数据窃取于2月25日。 记者通过邮件联系Beeline，但截至文章发表前暂未收到回复。 Cybernews研究人员调查了论坛上发布的样本数据，推测泄露的数据包括合法的公司数据。攻击者在论坛帖子中的一些屏幕截图的文件类型是用俄语编写的，这表明攻击者的操作系统默认语言可能是俄语。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/database/359008.html 封面来源于网络，如有侵权请联系删除

美国电视巨头和卫星广播供应商Dish Network在过去24小时内神秘断网，其网站和应用程序停止运作。 大范围的中断影响了Dish.com、Dish Anywhere应用程序以及该公司拥有的几个网站和网络。同时该公司的呼叫中心电话也无法接通。 此外，客户在通过他们的Dish凭证登录MTV和Starz等电视频道应用程序时面临认证问题。Dish Network的远程员工已经也被禁止访问其工作系统。 Dish网络的网站、电话、应用程序离线 包括Dish.com、DishWireless.com和Dish Anywhere在内的Dish Network网站和应用程序正面临长时间的中断，客户无法进入他们的账户或在线播放电视。 Dish.com网站脱机 另外，用户表示Dish Anywhere的安卓应用也遇到了连接问题。 Dish Anywhere应用程序无法连接 客户还报告说，在试图支付他们的账单或致电客户服务中心时遇到了问题。 2023年2月23日该公司的推特账户称，一个内部系统问题正在影响我们的一些客户服务业务。我们对造成的不便感到抱歉。目前正在积极的回复中。谢谢你的耐心等待。 The Verge发表的一份报告还显示了一封发给Dish Network员工的内部邮件，管理层通知他们正在发生的 “VPN问题”。 Dish Network发给员工的电子邮件 员工们被告知，他们将无法连接到他们的VPN，无法进行远程办公。 这是一次网络攻击 一位与Dish Network员工接触的消息人士告诉记者，网络 “受到了攻击”，员工在桌面上看到了 “空白图标”，这通常是在勒索软件感染加密受害者的文件后发生的。 另一名员工说，他们收到了经理的邮件信息，该事件 “是由外部不良行为者造成的，是一个已知的威胁组织”，公司还不清楚他们是如何获得访问权限的。 这封邮件还提到，公司正在与一个外部供应商合作，以解决这个问题。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358788.html 封面来源于网络，如有侵权请联系删除