据BleepingComputer当地时间11月11日报道，自上周末以来，加拿大食品零售巨头Sobeys旗下的杂货店和药房一直出现IT系统问题。Sobeys是加拿大两家全国性的杂货零售商之一，拥有134,000名员工，为所有十个省的1,500家商店网络提供服务，旗下有多个零售品牌，包括 Sobeys、Safeway、IGA、Foodland、FreshCo、Thrifty Foods和Lawtons Drugs。 在周一（11月7日）发布的新闻稿中，Sobeys的母公司Empire透露，虽然其杂货店仍在营业，但该公司范围内的IT问题影响了一些服务。 该零售商透露：“公司的杂货店仍然开放为客户提供服务，目前没有出现重大中断。但是，一些店内服务间歇性或延迟运行。” “此外，公司的某些药房在开具处方方面遇到了技术困难。然而，公司仍致力于为其所有药房患者提供连续性护理。” 该公司还补充说，它正在努力解决影响其IT系统的问题，以减少商店中断。 在Sobeys官方网站上发布的另一份声明中，其中包含有关零售商商店服务的“重要信息”，Sobeys补充说，所有商店仍在营业，“没有经历重大中断”。 然而，根据员工报告，所有计算机都被锁定在受影响的Sobeys商店中，销售点(POS)和支付处理系统仍然在线并正常工作，因为它们被设置为在单独的网络上工作。 在BleepingComputer本周早些时候联系后，Sobeys尚未回复评论请求。 BleepingComputer周日（11月6日）联系了Sobeys，要求发表评论，但尚未收到回复。 Black Basta勒索软件攻击导致的IT问题 尽管该公司尚未披露将此次持续中断与网络攻击联系起来的任何信息，但当地媒体报道称，来自魁北克和阿尔伯塔省的加拿大省级隐私监管机构已确认收到该零售商的“机密事件”通知。 正如魁北克监管机构告诉加通社的那样，此类警报仅在个人信息被泄露的事件发生后才会发送。 此外，根据BleepingComputer看到的赎金记录和谈判聊天记录，攻击者部署了Black Basta勒索软件有效载荷来加密Sobeys网络上的系统。 多个消息来源告诉BleepingComputer，袭击发生在周五（11月4日）晚些时候/周六（11月5日）早上。 Sobeys员工在网上分享的照片还显示，店内电脑显示了一张Black Basta赎金票据。 Sobeys 赎金票据（Redflagdeals，Reddit） Black Basta勒索软件于2022年4月中旬首次在攻击中被发现，该行动在未来几个月内迅速加大了对全球公司的攻击力度。 尽管该团伙对受害者的赎金要求可能不同，但BleepingComputer知道至少有一起事件，受害者收到了超过200万美元的解密器要求，以避免被盗数据在网上泄露。 到2022年6月，人们已经看到Black Basta在之前被Qbot(QuakBot) 操作员破坏的系统上部署了有效载荷。 尽管关于这个勒索软件团伙的细节很少，但这可能不是一个新的行动，而是一个品牌重塑，因为他们的谈判风格和快速破坏新受害者的能力。 一些研究人员认为Black Basta与Conti勒索软件有关，但BleepingComputer目前还无法证实这一点。 在此之前，加拿大肉类生产巨头Maple Leaf Foods（也称枫叶食品）在上周日（11月6号）证实，经历了一起网络安全事件，导致系统与运营中断。Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商，共拥有21处制造工厂、雇佣14000名员工，并承包超700处库房。2021年，该公司总销售额达33亿美元。 2021 年，肉类供应商JBS和总部位于阿尔伯塔省的JBS Canada发起了更大规模的网络安全攻击，导致该公司支付了1100万美元的比特币赎金。 而近年来有关食品生产、零售行业网络勒索事件已屡见不鲜。比如美国乳制品巨头遭勒索攻击：工厂瘫痪数天，食品供应链被扰乱；全球最大肉类加工企业遭遇网络攻击停产；FBI发布行业重要预警，勒索软件多次中断食品/农业供应链，等等。 转自 安全内参，原文链接：https://www.secrss.com/articles/48904 封面来源于网络，如有侵权请联系删除

欧盟网络安全局（ENISA）表示，黑客国家队攻击了支持乌克兰的42个国家的128个政府机构。 一年来，持续不断的俄乌冲突造成激进黑客活动愈演愈烈，支持乌克兰的42个国家共有128个政府机构遭到了黑客国家队的攻击。 此外，第10版ENISA威胁态势报告透露，可能是为了收集情报，一些黑客组织在冲突伊始就攻击了乌克兰和俄罗斯实体。今年的报告题为《动荡地缘政治动摇2022年网络安全威胁形势》。报告指出，总体上，地缘政治情况继续对网络安全产生重大影响。 黑客国家对使用零日漏洞和DDoS攻击 今年的报告列举了黑客国家队经常采用的几种攻击类型。其中包括零日漏洞和严重漏洞利用、运营技术（OT）网络攻击、使用数据清除器摧毁和中断政府机构与关键基础设施实体的网络，以及供应链攻击。 社会工程、虚假信息和数据威胁亦在黑客国家队常用攻击手法之列。 东南亚地区、日本和澳大利亚等国的实体也遭遇了黑客国家队的攻击。由于亚洲特定国家和地区间的局势持续升温，黑客国家队还盯上了与台湾地区建立更紧密关系的一些国家（包括欧盟成员国）。 ENISA指出：“我们将会看到越来越多的国家和地区部署网络能力来收集情报，尤其是在紧张局势或冲突加剧的时候。” 同时，各国政府一直在公开宣称和指认网络攻击是对手组织发起的，并对其采取法律行动。 ENISA指出：“在我们看来，随着网络行动成为各国政府的重点之一，我们肯定会看到各国政府加强对网络行动的公开溯源，抓紧破坏对手的基础设施，以及为‘点名羞辱’对手而起诉所谓的攻击者。” 勒索软件依然位列网络攻击类型榜首 今年，勒索软件仍旧是最主要的网络犯罪攻击类型。调研时间段内，每月被盗数据超过10TB，而网络钓鱼是此类攻击最常见的初始切入点。报告还指出，受影响机构中60%可能支付了攻击者要求的赎金。 第二大最常用攻击形式是DDoS。阿卡迈的一家欧洲客户（使用其Prolexic平台）在2022年7月遭遇的DDoS攻击堪称史上最大，持续14个小时的攻击中，峰值一度达到853.7Gbps和659.6Mpps（兆数据包每秒）。 尽管所有领域都沦为了网络攻击的受害者，但公共管理和政府实体受到的影响最大，占了网络攻击受害者的24%。数字服务提供商和普通百姓次之，分别占网络攻击受害者的13%和12%。仅这前三甲就构成了今年所有攻击的50%。 转自 安全内参，原文链接：https://www.secrss.com/articles/48781 封面来源于网络，如有侵权请联系删除

安全内参11月7日消息，由于受到网络攻击影响，欧盟国家丹麦在上周六（11月5日）出现多列火车停运。该事件再次证明，针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。 据丹麦广播公司DR报道，上周六早上，丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复。 从现象来看，这似乎是针对DSB运营技术（OT）系统实施恶意攻击的事件。但实际恰恰相反，遭受攻击的是丹麦公司Supeo，该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。 Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。DSB方面的一名代表告诉路透社，这是一起“经济犯罪”。 在发现黑客攻击之后，Supeo决定关闭其服务器，导致列车司机们使用的一款软件无法正常工作，最终引发了列车运营中断。 Supeo公司提供了一款移动应用，可供火车司机访问运行的各项关键运营信息，例如限速指标和铁路运行信息。据媒体报道，Supeo关闭服务器的决定令该应用停止工作，司机们只能被迫停车。 攻击铁路部门的恶意黑客并不少见，最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明，现代火车系统确易受到黑客攻击影响，但近期攻击活动针对的主要是铁路网站、票务及其他IT系统，没有直接针对控制系统。 美国运输安全管理局（TSA）最近发布一项新指令，希望改善铁路运营中的网络安全水平。 转自 安全内参，原文链接：https://www.secrss.com/articles/48733 封面来源于网络，如有侵权请联系删除

安全内参11月4日消息，美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实，由于发生网络安全事件，导致部分航班被迫中断。 11月2日（本周三），Jeppesen公司网站上出现了红色提示条幅，警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。 波音公司一位发言人透露，这是一起网络安全事件，Jeppesen方面正在努力恢复服务。 该发言人表示，“我们的子公司Jeppesen遭遇到网络事件，已经有部分航班规划产品和服务受到影响。部分航班规划被中断，但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通，并努力在最短时间内全面恢复服务。” 尽管航班中断的严重程度还不明确，但此次事件至少已经影响到当前及后续空中任务通知（NOTAM）的接收和处理。NOTAM是指向航空当局提交的通知，用于提醒飞行员注意航线上的潜在危险。 图：Flynas发布公告称将调整部分航班，安全内参截图 伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告，称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整，太阳之翼还称北美多家航司受影响。 图：加拿大太阳之翼航空发布公告，安全内参截图 旅游博客Live And Let’s Fly的博主Matthew Klint称，有消息人士透露，此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”，暂时无法证实事件与勒索软件有关。 航空业网络威胁形势日趋严峻 当前，航空业已经成为网络攻击乃至勒索软件攻击的高频目标。 今年5月，印度香料航空（SpiceJet）公司报告称遭受勒索软件攻击，导致众多乘客因航班停飞在滞留在机场。今年8月，为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击，幕后黑手为BlackCat团伙。去年8月，曼谷航空公司称有黑客对其发动勒索软件攻击，事后还通过入侵窃取了乘客信息。 据报道，波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击，好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称，“漏洞只影响到几台设备。我们部署了软件补丁，所以包括777喷气式飞机在内的所有项目均未发生中断。” 今年8月，美国运输安全管理局（TSA）出台规定，强制要求各航空公司在24小时内向网络安全与基础设施安全局（CISA）上报一切网络安全事件。 转自 安全内参，原文链接：https://www.secrss.com/articles/48677 封面来源于网络，如有侵权请联系删除

世界上最先进的射电望远镜之一在一次网络攻击后处于离线状态，目前还不清楚何时能再次开始科学运作。位于智利的阿塔卡马大型毫米/亚毫米阵列（Alma）天文台在10月29日受到了网络攻击，天文台在周三的一条Twitter上说。这次攻击阻碍了天文台的计算机系统，使天文台的公共网站和射电望远镜的天线都处于离线状态。 “鉴于这一事件的性质，现在还不可能估计恢复正常活动的日期，”该天文台在推文中补充说。 根据该天文台的公告，这次攻击并没有损坏阿尔玛的66个无线电天线，这些天线排列在智利北部的沙漠中。Alma是一个干涉仪，一个由多个较小的望远镜阵列组成的望远镜，在一起工作时就像一个更大的仪器。据该天文台称，Alma收集到的科学数据目前也是安全的。 Alma是欧洲南方天文台、美国国家科学基金会的国家射电天文台和日本国家天文台的合作项目。 自2013年开始全职科学运作以来，Alma已经揭示了从星尘中形成的行星，观察到附近恒星上剧烈的太阳耀斑，并对被称为伽马射线暴的强大宇宙辐射爆炸提供了新的见解。Alma也是事件地平线望远镜项目的一部分，该项目在2019年首次拍摄了黑洞的直接图像。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161691205825200674/ 封面来源于网络，如有侵权请联系删除

安全内参11月3日消息，有恶意黑客侵入并操纵某家未公开名字的媒体公司基础设施，在美国数百家报纸的网站上部署了SocGholish JavaScript恶意软件框架（又名FakeUpdates）。 美国安全厂商Proofpoint威胁研究与检测副总裁Sherrod DeGrippo向媒体证实，“被黑的是一家主要向新闻机构提供视频和广告内容的媒体公司，一直服务于美国多个市场上的不同企业。” 这次供应链攻击背后的恶意团伙被Proofpion命名为TA569，他们将恶意软件注入各新闻媒体网站加载的正常JavaScript文件中。 该恶意JavaScript文件随后会安装SocGholish，后者会在网站上显示虚假更新警告，再利用伪装成浏览器更新但实为恶意软件有效载荷的文件（例如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip等）感染网站访问者。 Proofpoint公司威胁洞察团队在推文中透露，“我们观察到，一家为众多主要新闻机构提供服务的媒体公司发生了间歇性恶意注入。这家媒体一直通过JavaScript为各合作伙伴提供内容。” “原来的正常JavaScript代码文件遭到篡改，恶意黑客借此部署了SocGholish。” 图：恶意JavaScript文件混淆内容 据Proofpoint安全研究人员介绍，该恶意软件已被安装在250多家美国新闻媒体网站之上，其中包括不少重量级新闻机构。 虽然尚不清楚受影响新闻机构的确切数量，但Proofpoint表示包括国家新闻机构在内，已经有纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体因此受害。 DeGrippo还提到，“TA569此前就曾利用媒体公司资产传播过SocGholish。这种恶意软件可能引发后续感染，包括潜在的勒索软件攻击。” “必须密切监视这种情况。Proofpoint已经观察到，TA569曾在目标资产被修复的几天之后，再次将其感染。” 与勒索软件攻击有关 Proofpoint之前还曾观察到，有SocGholish恶意活动利用虚假更新和网站重新定向来感染用户，并在有效载荷中添加勒索软件。 Evil Corp网络犯罪团伙也曾在一起类似的攻击中使用过SocGholish，当时他们通过数十个被感染的美国报纸网站发送虚假软件更新警报，借此蒙蔽了30多家美国主要私营企业中的员工。 一旦成功感染目标计算机，这群恶意黑客就会将这些设备作为入侵企业网络的跳板，尝试部署该团伙的WastedLocker勒索软件。 根据赛门铁克发布的报告，他们成功阻止了Evil Corp针对多家私营企业实施网络加密锁定的尝试。当时的事件共影响到30家美国企业，其中8家为财富500强公司。 SocGholish最近还曾配合Raspberry Robin恶意软件感染后门网络，微软将此事定性为Evil Corp团伙实施勒索攻击之前的准备行为。 转自 安全内参，原文链接：https://www.secrss.com/articles/48640 封面来源于网络，如有侵权请联系删除

安全内参10月31日消息，德国铜生产商Aurubis（中文名为奥鲁比斯）宣布遭受网络攻击，被迫关闭IT系统以防止影响蔓延。 Aurubis是欧洲最大、世界第二的铜生产商，在全球拥有6900名员工，年产阴极铜100万吨。 Aurubis已经在官网上发布公告，称虽然各地IT系统已经关闭，但正常生产并未受到影响。 公告中指出，“冶炼厂的生产和环保设施正在运行，进出货物也已转入人工维护。” 目前，该公司仍在评估网络攻击引发的影响，并与政府当局密切合作以加快调查进度。 Aurubis的当务之急是将产量保持在正常水平，保证原材料供应和制成品的平稳交付。 为此，该公司已经将部分操作转为手动模式，希望能在计算机辅助自动化功能重新上线之前，尽量保持冶炼厂货物的正常进出。 Aurubis公司指出，暂时无法估算需要多长时间才能让全体系统恢复正常运行。 在全面复原之前，该公司计划建立过渡性解决方案，为自身及客户提供暂时沟通渠道。目前，联络Aurubis的唯一途径只剩下电话呼叫。 尽管种种迹象表明这似乎是一起勒索软件攻击，但Aurubis方面并未提供关于攻击细节的任何说明。 值得注意的是，Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。 外媒已经联系该公司，希望了解关于此次事件的更多消息，并将第一时间带回置评回复。 最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月，当时LockerGoga团伙实施攻击，迫使铝业巨头Norsk Hydro关闭了自家IT系统。 转自 安全内参，原文链接：https://www.secrss.com/articles/48497 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国际批发零售巨头麦德龙（METRO）本周遭受网络攻击，导致IT基础设施中断。Metro在全球拥有681家门店，员工人数超过95000人，其中大部分在德国，2020年的销售额达到248亿欧元。 该公司在官方声明中证实了网络攻击，并在外部专家的帮助下调查了这起事件： “METRO/MAKRO目前正经历部分IT基础设施中断，因为多项技术服务。麦德龙的IT团队与外部专家一起，立即展开了彻底调查，以确定服务中断的原因。最新的分析结果证实，对麦德龙系统的网络攻击是IT基础设施中断的原因。 这家批发巨头通知了相关部门，并警告客户，服务中断可能会导致延迟。 为了应对服务中断，商店的团队建立了离线系统来处理付款。 该公司没有提供攻击的技术细节，但Metro面临的问题表明，它是勒索软件攻击的受害者。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

在与俄罗斯开战近8个月后，乌克兰尚未遭受严重的网络攻击，这要归功于该国的网络防御系统，但专家说，随着战争的拖延和俄罗斯变得更加绝望，重大攻击仍可能发生。 本周在华盛顿举行的Mandiant公司的mWise网络安全会议上，乌克兰-俄罗斯冲突以及它如何影响整个世界的安全是一个主要讨论话题。 威胁情报专家在周三的小组讨论中说，尽管乌克兰已经受到刮刀式恶意软件以及其他类型的破坏性网络攻击的袭击，但到目前为止，这些攻击的水平相当低。 Mandiant公司的情报分析主管John Hultquist说，观察家们没有像预期的那样看到对乌克兰以外目标的重大攻击。他补充说，这些类型的攻击是否会在接下来展开，还有待观察。 “但我认为战争是不断变化的，”Hultquist在小组讨论中说，并补充说俄罗斯正在”加倍努力”，由于他们的网络行动背后的人是间谍，有很多东西是专家看不到的。 与此同时，乌克兰的保卫者继续做着”出色的工作”。Hultquist说：”我可以肯定的是，由于良好的防御，许多行动都失败了，这是个好消息。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1329723.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员分享了有关Azure服务结构资源管理器 （SFX） 中现已修补的安全漏洞的详细信息，该漏洞可能使攻击者获得群集上的管理员权限。 该漏洞被跟踪为CVE-2022-35829，CVSS评分6.2，微软上周在周二补丁更新中解决了该漏洞。 Orca Security于2022年8月11日发现并向科技巨头报告了该漏洞，称其为FabriXss（发音为“fabrics”）。它会影响Azure结构资源管理器8.1.316及更早版本。 微软将SFX描述为用于检查和管理Azure服务结构群集的开源工具，Azure服务结构群集是一个分布式系统平台，用于构建和部署基于微服务的云应用程序。 该漏洞的根源在于，具有通过SFX客户端“创建撰写应用程序”权限的用户可以利用这些权限创建恶意应用程序，并滥用“应用程序名称”字段中存储的跨站点脚本 （XSS） 漏洞来传递有效负载。 利用此漏洞，攻击者可以在应用程序创建步骤中发送特制输入，最终导致其执行。 Orca Security研究人员Lidor Ben Shitrit和Roee Sagi说：“这包括执行群集节点重置，删除所有自定义设置，如密码和安全配置，允许攻击者创建新密码并获得完全的管理员权限。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文