Hackernews 编译，转载请注明出处： 乌克兰国防部情报总局（HUR MO）警告称，俄罗斯正计划升级针对乌克兰和西方国家关键基础设施的网络攻击。 据乌克兰军事情报局称，这些攻击旨在破坏关键基础设施的运营，包括电网和能源行业的设施。 Facebook上发布的报告中写道：“克里姆林宫正计划对乌克兰企业的关键基础设施和其盟国的关键基础设施机构进行大规模网络攻击。攻击将针对能源部门的企业。2015年和2016年对乌克兰能源系统的网络攻击经验将被用于开展行动。” 报告还指出，网络攻击的目的是干扰乌克兰军队的能力，支持俄罗斯军队的军事进攻。 克里姆林宫还计划对乌克兰盟友（如波兰和波罗的海国家）的关键基础设施进行更强大的DDoS攻击。 HUR MO发布的警报称：“敌人将试图增加导弹攻击对电力供应设施的影响，主要是在乌克兰东部和南部地区。占领军司令部确信，这将减缓乌克兰国防军的进攻行动。” 美国总统拜登在2021年7月警告说，网络攻击导致严重的安全漏洞可能引发“真正的枪战”。一个月后北约发布声明，称网络攻击可以与“武装攻击”（在某些情况下）相提并论。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

以色列国防承包商埃尔比特系统公司的美国分公司表示，其网络在6月初遭到黑客攻击，员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说，有369名员工受到数据泄露的影响，其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。 在通知中，这家位于得克萨斯州的公司几乎没有分享任何细节，只是说“有人试图干扰美国埃尔比特公司的网络运营”，而且其调查正在进行。 埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府，也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。 总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头，为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。 埃尔比特公司在监控软件市场也有涉猎。2015年，埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门，并将其分拆为一个名为Cyberbit的子公司。两年后，互联网监督机构Citizen Lab的研究人员发现，由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说，这些间谍软件冒充假的浏览器插件，旨在从受害者的电脑中提取私人用户数据，包括电子邮件、密码和屏幕截图。 Citizen Lab说，埃塞俄比亚政府可能下令进行监视。 埃尔比特公司在2020年出售了其在Cyberbit的股份，在美国私募股权公司Charlesbank Capital Partners投资7000万美元后，成为少数股东。 Cyberbit是设在以色列的几个已知的间谍软件制造商之一，包括NSO集团、Cytrox和Candiru。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1321033.htm 封面来源于网络，如有侵权请联系删除

Optus透露，它受到了一次网络攻击，导致当前和以前客户的信息被非法获取，包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中，这家新加坡电信的澳大利亚子公司解释说，它已立即制止了侵犯行为，并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。 它还通知了警方和主要监管机构。 可能泄露的信息包括电话号码等个人详细信息，而部分客户的地址和身份证件号码也被泄露。 该运营商表示，支付细节和账户密码并未泄露，其移动和互联网服务仍正常运行。 Optus首席执行官凯利·拜耳·罗斯马林（Kelly Bayer Rosmarin）表示，该公司受到此次攻击的“重创”，并立即采取行动阻止和展开调查。 “虽然不是每个人都可能受到影响，我们的调查也尚未完成，但我们希望所有客户尽快了解发生的事情，以便提高警惕。” 受到影响的客户据称多达900万。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1319551.htm 封面来源于网络，如有侵权请联系删除

据韩国纽西斯通讯社21日报道，韩国军方当日称，韩国国防部下设的战争纪念馆近期遭到身份不明的黑客网络攻击，但没有因此泄露军方的军事资料。 位于韩国首尔龙山的战争纪念馆 资料图 图自韩媒 据报道，21日，韩国军方表示，韩国国防部下设的战争纪念馆本月初遭到黑客的网络攻击，导致网络瘫痪一周之久。韩国军方网络作战司令部在发现该情况后采取了相应应对措施，于本月14日恢复了网络系统。 报道称，韩国军方表示，本次黑客攻击导致战争纪念馆服务器相关数据和部分个人信息被盗。但因黑客攻击的是战争纪念馆外网，所以并没有因此泄露军方的军事资料。 据报道，目前黑客的身份尚未得到确认。 转自 安全内参，原文链接：https://www.secrss.com/articles/47185 封面来源于网络，如有侵权请联系删除

安全内参9月21日消息，欧洲国家波黑（全称为波斯尼亚和黑塞哥维那）的检察官正调查一场影响范围极大的网络攻击，据称已经影响到该国议会的正常运行。 最近两周来，波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员，对方称已被告知禁止访问自己的电子邮箱和官方文件，甚至最好干脆别使用电脑。 波黑检察官办公室一位发言人表示，他们几天前就已接到此案。 发言人Boris Grubešić表示，“当日值班的检察官向执法机构官员发出了必要指示，希望澄清案件具体情况，同时对IT网络与各级机构给予网络安全保护。” “此案正在调查当中，我们目前无法透露其他任何消息。” 议会已失去工作能力，议员批评安全人员不关心安全 波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne，目前立法机构已经失去了工作能力，而且此次攻击开始于9月8日-9日左右。 虽然检察官并未透露具体攻击类型，但有消息人士向Nezavisne证实，这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称，攻击发生后，该国议会的主服务器旋即关闭。 一位议会发言人告诉新闻媒体，“用户无法访问服务器，电子邮件和官方网站目前也都处于关闭状态。” 还有多位议员提到，他们收到了不要使用电脑的通知，理由是担心勒索软件会传播到他们的个人设备上。 Miletić对政府网络安全专家的工作持批评态度，强调在此次攻击之前，“根本没人关心安全问题”。 “他们本来有充足的时间采购必要的技术手段，为服务器施加额外保护。他们应该知道，网络安全领域就是需要投资，没有设备就没有安全可言。这些技术手段确实价格不菲，但我们必须要买起来、用起来。不只是议会，其他处理并存储各类数据的机构也应该从中吸取教训。” 另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧，还提到她自己的设备上甚至保存着2004年时的文件。 政治动荡更容易引发网络攻击，今年已有多起案例 随着塞族共和国分裂行为的逐步升级，波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实，则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。 现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击，哥新任总统称这是企图“在过渡时期威胁该国稳定”。 三周之前，就在黑山政府因不信任投票而被实际免职的同时，也有勒索软件攻击趁虚而入。 近年来，全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周，位于首都的阿根廷议会遭遇一起勒索软件攻击，事件破坏了该机构的内部操作系统和WiFi网络。 转自 安全内参，原文链接：https://www.secrss.com/articles/47176 封面来源于网络，如有侵权请联系删除

有黑客告诉BBC，他们对假日酒店(Holiday Inn)的所有者洲际酒店集团(IHG)进行了一次破坏性的网络攻击，目的则是“为了好玩”。他们自称来自越南，一开始他们尝试了勒索软件攻击，然后在被挫败后删除了大量的数据。 资料图 他们通过一个容易找到的弱密码Qwerty1234进入这家FTSE 100指数公司的数据库。 一位专家称，该案件突出了犯罪黑客的报复性一面。 总部位于英国的IHG在全球经营着6000家酒店，包括假日酒店、皇冠假日酒店和丽晶酒店等品牌。 上周一，客户报告了预订和入住方面的广泛问题。 IHG在事件发生后24小时内对社交媒体上的投诉作出回应，称公司正在进行系统维护。 然后在周二下午，它告诉投资者，它被黑客攻击了。 它在提交给伦敦证券交易所的一份正式通知中说道：“自昨天以来，预订渠道和其他应用程序已被严重破坏。” 自称TeaPea的黑客团伙在加密信息应用Telegram上跟BBC取得了联系，他们提供了截图以作为他们实施黑客攻击的证据。 IHG已经确认这些图片是真实的。据悉，这些图片显示了黑客获得对该公司内部Outlook电子邮件、Microsoft Teams聊天和服务器目录的访问。 “我们的攻击原本计划是一个勒索软件，但公司的IT团队在我们有机会部署它之前一直在隔离服务器，所以我们想来点有趣的，”其中一名黑客说道，“我们做了一个雨刷攻击(wiper attack)。” 雨刷攻击是一种网络攻击形式，其会不可逆地破坏数据、文件和文档。 网络安全专家、Forescout公司安全副总裁Rik Ferguson指出，这一事件是一个警示故事，因为尽管该公司的IT团队最初找到了抵御他们的方法，但黑客仍能找到造成破坏的方法。 “黑客们改变策略似乎是出于报复性的挫折感。他们赚不到钱，所以他们大打出手，这绝对暴露了一个事实，即我们在这里谈论的不是‘专业’网络犯罪分子，”Ferguson说道。 IHG表示，面向客户的系统正在恢复正常，但服务仍可能存在断断续续的情况。 黑客们对他们给公司及其客户造成的干扰没有表现出任何悔意。 “我们并不感到内疚，真的。我们更希望在越南有一份合法的工作，但工资是每月平均300美元。我相信我们的黑客攻击不会对公司造成很大的伤害，”他们说道。 黑客们说没有客户数据被盗，但他们确实有一些公司数据–包括电子邮件记录。 TeaPea称，他们通过诱骗一名员工通过诱杀的电子邮件附件下载了一个恶意软件进入了IHG的内部IT网络。另外，他们还必须绕过作为双因素认证系统的一部分而发送到工人设备的额外安全提示信息。 犯罪分子称，在找到公司内部密码库的登录信息后，他们进入了IHG计算机系统的最敏感部分。 “保险库的用户名和密码向所有员工开放，因此20万名员工可以看到，”他们告诉BBC，“密码非常弱。” 令人惊讶的是，这个密码是Qwerty1234，而它经常会出现在全球最常用的密码名单上。 Ferguson在看到截图后说道：“敏感数据应该只提供给需要访问该数据以完成其工作的员工，而且他们应该拥有使用该数据所需的最低级别的访问权限。即使是高度复杂的密码，如果它被暴露，也和简单的密码一样不安全。” IHG的一位女发言人对密码库细节不安全的说法提出异议，她指出，攻击者必须避开“多层安全”，不过她不愿透露有关额外安全的细节。此外，她还补充道：“IHG采用了深入防御的信息安全策略，进而可以利用许多现代安全解决方案。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317511.htm 封面来源于网络，如有侵权请联系删除

当地时间9月8日，英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世，享年96岁。2015年，她成为历史上在位时间最长的英国君主，打破了她的曾曾祖母维多利亚女王创下的纪录。 各国政府纷纷对此表示哀悼，女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日，英国伦敦深夜举行女王伊丽莎白二世葬礼彩排，并将于19日为女王举行隆重的国葬仪式。 假借悼念之名，行网络攻击之实 就在大家哀悼女王之际，Proofpoint安全研究人员却发现，毫无底线的攻击者假借悼念之名，行网络攻击之实，以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势，其目的是从受害者那里窃取 Microsoft 帐户和密码。 攻击者实施网络钓鱼攻击的具体做法是，向用户发送一封带有恶意链接的电子邮件，内容如下图所示： 邮件以 Microsoft团队的名义发出，大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品，以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息，包括单词、邮件、相片等。如果用户也想参与悼念活动，点击链接登录微软账户即可。 很明显，这是一个虚假恶意的钓鱼链接，重定向的域名并没有让用户提交悼念文本，而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证（MFA）等私密信息。一旦这些敏感的信息被攻击者获取，势必会对用户带来严重的影响，甚至是以用户之名进行二次网络钓鱼攻击。 EvilProxy一键反向代理 值得注意的是，在此次网络钓鱼攻击中，安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入，以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容，FreeBuf在 （EvilProxy文章） 进行了说明。 事实上，安全研究人员并非首次观察到此类攻击方式，在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化，那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。 EvilProxy首次出现在安全人员的视野是在2022年5月上旬，当时其背后的攻击组织发布了一段演示视频，详细介绍了该工具是如何提供高级网络钓鱼攻击服务，并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。 其原理较为简单，攻击将受害者引导至网络钓鱼页面，使用反向代理获取用户期望的所有合法内容，包括登录页面——当流量通过代理时，它会进行嗅探。通过这种方式，攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作，从而实现访问目标账户。 EvilProxy服务承诺窃取用户名、密码和会话cookie，费用为150美元（10天）、250美元（20 天）或400美元（30天）。而针对Google帐户攻击的使用费用更高，为 250/450/600 美元。Resecurity还在社交平台上演示了，EvilProxy是如何针对Google帐户发起网络钓鱼攻击。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/344662.html 封面来源于网络，如有侵权请联系删除

据乌克兰数字转型部消息，乌克兰IT军队在8月29日至9月11日的两周内，攻击了2400多个俄罗斯网站，其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。 当地时间9月12日，乌克兰数字转型部在Telegram宣布，其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪，涉及金融业、实体企业、媒体等组织。 俄罗斯联邦最大和最重要的银行：俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪，导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示，“更严重的是，俄罗斯士兵领不到工资，亲属领不到赔偿。” 受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示，“我们注意到，一些宣传人员已经在考虑停战，但现在已经太迟了。” 此外，乌克兰IT团队还在9月1日（苏联解体国家的知识日），通过克里米亚主要电视频道，向学生传达总统泽连斯基的问候。 据乌克兰媒体Ukrinform报道，9月11日俄罗斯对乌克兰展开大规模袭击，哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据，共有40个的变电站停电，4名电力工程师遇难。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344375.html 封面来源于网络，如有侵权请联系删除

Cisco Talos发现Lazarus 集团在今年的一波攻击，主要锁定VMware Horizon环境中含有Log4Shell漏洞的能源业者。Lazarus 此前曾被美国网络安全和基础设施安全局 (CISA)归咎于朝鲜政府。 在于Java纪录框架Apache Log4j中的Log4Shell漏洞（CVE-2021-44228），持续成为黑客入侵组织的起始点，朝鲜黑客集团Lazarus 从今年2月到7月间，锁定了VMware Horizon中修补该漏洞的美国、加拿大与日本的能源供应商并展开攻击，并在这些组织的系统内植入其它恶意程序。 据悉，思科曾评估这些攻击是由朝鲜国家支持的威胁组织 Lazarus Group 发起的。在Cisco Talos调查中，确定了威胁参与者使用的三种不同的 RAT，包括由 Lazarus 独家开发和分发的 VSingle 和 YamaBot。日本 CERT (JPCERT/CC) 最近发布了报告（VSingle、YamaBot），详细描述了它们并将这些活动归因于 Lazarus 威胁参与者。 2021年11月被公布的Log4Shell为一任意程序执行漏洞，其CVSS风险等级高达10，大约有20个Apache专案受到Log4Shell漏洞的影响，而因为采用Log4j或相关专案而受到波及的商业服务则不计其数，安永会计师事务所（Ernest & Young）曾估计93%的云端环境都存在风险，而VMware的虚拟桌面及程序管理平台VMware Horizon也是众多受害者之一。 Cisco Talos指出，Lazarus把VMware产品中的Log4Shell漏洞当作进入企业网络的初步通道，继之再部署该集团所开发的恶意程序，以常驻于受害网络上，目的是为了窃取这些组织的机密资讯与智慧财产，以进行间谍活动或是支持朝鲜政府的目标。由于VMware Horizon是以管理权限执行，使得黑客完全不必担心权限问题，并在进入受害网络之后，关闭系统的防毒软件。 在这波攻击被锁定的加拿大、美国与日本能源供应商的攻击活动中，Lazarus集团使用了3种客制化恶意程序，其中的两款是已知的VSingle与YamaBot，以及新的MagicRAT。 VSingle早在去年3月就被公开，它是个HTTP机器人，能与远端的C&C伺服器通讯，以自远端执行任意程序，或是下载与执行外挂程序；YamaBot则是个以Golang撰写的恶意程序，原本锁定Linux平台，但亦有支援Windows的版本，两个版本皆允许黑客自远端执行命令，至于新发现的MagicRAT使用与VSingle及YamaBot不同的C&C伺服器，功能亦是用来维系黑客对系统的存取能力。 网络安全专家建议，在部署涉及Log4Shell的软件漏洞时，最好先确定现有的漏洞尚未被黑客开采，再进行软件更新，否则也许早就遭客黑渗透而不自知。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/GuqwiHVZMa_dVt4Q8GiLTQ 封面来源于网络，如有侵权请联系删除

在过去的五个月里，谷歌一直在追踪一个名为 UAC-0098 的出于经济动机的威胁行为者，该行为者一直在针对乌克兰和欧洲的多个实体进行多次恶意活动。 该组织的活动与俄罗斯政府支持的攻击者的活动密切相关，谷歌的威胁分析小组 (TAG) 认为，至少 UAC-0098 的一些成员是 Conti 勒索软件团伙的前成员。 UAC-0098 因在攻击中使用IcedID 银行木马而广为人知，导致部署人为操作的勒索软件，充当 Quantum 和 Conti 等勒索软件组的访问代理。最近，威胁行为者的目标主要是乌克兰政府，该国的各种组织以及欧洲和一些非营利组织。 4月下旬，UAC-0098 发起了一场电子邮件网络钓鱼活动，以传递 AnchorMail，这是由 Conti 集团开发的 Anchor 后门的变体，之前安装为TrickBot模块。 谷歌表示，这些攻击似乎具有经济和政治动机，而且之所以引人注目，是因为 LackeyBuilder 和批处理脚本被用于动态构建 AnchorMail 。 从4月中旬到6月中旬，该组织使用 IcedID 和Cobalt Strike等恶意软件发起了针对乌克兰酒店业组织的电子邮件活动。 在5月的一次活动中，攻击者冒充乌克兰国家网络警察发送网络钓鱼电子邮件，而在另一次活动中，他们使用了印度一家酒店的被盗账户。同一个电子邮件帐户也被用于针对意大利的人道主义非政府组织，同样使用 IcedID。 同样在5月，UAC-0098冒充Elon Musk 和 StarLink 的代表发送网络钓鱼电子邮件。其中一些电子邮件针对政府、零售和技术部门的各种乌克兰组织。 5月下旬，攻击者以网络钓鱼电子邮件为目标，攻击乌克兰新闻学院 (AUP)，该电子邮件链接到 Dropbox 上的恶意文档，该文档将获取 Cobalt Strike dll。酒店业的组织也成为这些电子邮件的目标。 6月，UAC-0098 被发现利用 CVE-2022-30190，这是一个Windows 漏洞，也称为 Follina。谷歌表示，它通过 10,000 多封冒充乌克兰国家税务局的电子邮件破坏了垃圾邮件活动，这些电子邮件获取了 Cobalt Strike 信标。 谷歌指出：“UAC-0098 活动是东欧经济动机和政府支持的团体之间界限模糊的代表性例子，说明了威胁行为者改变目标以符合地区地缘政治利益的趋势。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/TN7Zuem8f3iHM_oi9EGnJw 封面来源于网络，如有侵权请联系删除