Security Affairs 网站披露，葡萄牙武装部队总参谋部（EMGFA）遭到网络攻击，黑客窃取了大量北约机密文件，直到美国发现几百份文件在暗网上出售并通知葡萄牙相关机构，后者才意识到自身遭受了网络袭击。 葡萄牙武装部队总参谋部（葡萄牙语：Estado-Maior-General das Forças Armadas），是葡萄牙最高军事机构，主要负责葡萄牙武装部队的规划、指挥和控制。 美国先于葡萄牙发现信息泄漏事件 值得一提的是，北约机密信息遭泄露之所以被发现，是因为美国情报部门发现了由北约转交给葡萄牙的“几百份机密文件”在暗网上出售后，立即向美国驻里斯本大使馆发出警报，后者提醒了葡萄牙当局，之后葡萄牙才意识到自身遭受了网络攻击。 网络攻击事件披露后，新闻机构 Diario de Noticias 声称，有消息人士表示此次网络攻击持续时间长且无法检测到的网络攻击。目前，葡萄牙国家安全办公室（GNS）和国家网络安全中心已经成立了联合调查小组对该事件进行调查，以期快速确定数据泄露的严重程度。 从初步调查结果来看，暗网上出售的文件是从 EMGFA、秘密军事（CISMIL）和国防资源总局的系统中流出。此外，调查人员还发现，传输机密文件的安全规则已经遭到了破坏，攻击者能够轻松进入军事通信综合系统（SICOM）并接收和转发机密文件。 葡萄牙总理安东尼奥-科斯塔的发言人强调，北约盟国之间信息安全方面的信息交流在双边和多边层面是永久性的。每当一方怀疑信息系统网络安全遭到破坏时，就会对情况进行广泛分析，并实施旨在提高网络安全意识和正确处理信息的所有程序，以应对新型威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344183.html 封面来源于网络，如有侵权请联系删除

Holiday Inn 所有者洲际酒店集团 (IHG) 已确认该公司受到网络攻击。拥有全球最大连锁酒店的 IHG 在近日发布的声明中，承认正在调查一些技术系统的“未经授权的访问”。 这家总部位于英国的集团表示自周一以来，其“预订渠道和其他应用程序”已被中断。该集团旗下的 Holiday Inn、Crowne Plaza 和 Regent hotels 均使用这些系统。IHG 表示该公司正在努力尽快完全恢复所有系统， IHG 确认正在评估事件的性质、程度和影响，并已实施其应对计划，包括任命外部专家调查违规行为。IHG 也已经向监管机构报告了本次攻击。 在声明中，IHG 集团表示：“作为应对持续服务中断的一部分，我们将支持酒店业主和运营商。集团旗下酒店仍然能够运营并直接接受预订”。IHG 在声明中并未提及是否有消费者数据被窃。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313545.htm 封面来源于网络，如有侵权请联系删除

在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后，共同社最新消息称，东京地铁公司和大阪地铁公司的网站也于当地时间7日晚无法访问，“这似乎是日本遭受网络攻击的第二天”。 共同社报道截图 共同社称，黑客组织Killnet7日18时30分左右在即时通讯应用Telegram上写道，它已经向日本“反俄运动”宣战，还上传了一段视频；大约在当天19时过后不久，该组织再次发帖称将瘫痪东京的地铁网络。为此报道称，这些攻击可能正是由Killnet发起的。 报道还称，最近的一次中断似乎是由另一次DDoS攻击引起的，在此次攻击中，黑客在短时间内从多个来源发送大量数据，使网络不堪重负。 此前一天，日本广播协会（NHK）等日媒7日报道称，黑客组织KillNet6日下午在社交媒体上宣布，对日本政府网站实施网络攻击，并称该组织“走在与日本军国主义对抗的道路上”。随后，由日本数字厅管理的行政信息网站“e-Gov”等多个网站陷入不稳定状态。对于KillNet声称发起网络攻击，日本内阁官房长官松野博一7日表示，日本政府部门网站的网络“中断的原因，包括它(与Killnet)的联系，正在确认过程中”，此外，他还表示，这些网站已恢复正常运行，有关数据泄露问题暂无法证实。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313811.htm 封面来源于网络，如有侵权请联系删除

9月5日，据国家计算机病毒应急处理中心披露，西北工业大学遭网络攻击事件系美国国家安全局（NSA）所为。在针对该校的网络攻击中，NSA使用了40余种专属网络攻击武器，持续开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。 西北工业大学曾在6月22日发布声明，称遭受境外网络攻击，学校师生收到包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息。随后，西安警方对该事件立案侦查。 公开资料显示，西北工业大学坐落于陕西西安，隶属于工业和信息化部，是中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学，位列国家“双一流”、“985工程”、“211工程”。 国家计算机病毒应急处理中心从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，后文简称TAO）。 40余种攻击武器，数次攻击西北工业大学 TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成。本次调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。 在针对西北工业大学的攻击中，TAO的内部渗透攻击链路达1100余条，操作指令序列90余个，先后使用了54台跳板机和代理服务器，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。根据调查报告，此次攻击中使用的工具可分为四大类： 1、漏洞攻击突破类武器 TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。包括：“剃须刀”、“孤岛”、“酸狐狸”武器平台。 2、持久化控制类武器 TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。包括：“二次约会”、“NOPEN”、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”。 3、嗅探窃密类武器 TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。包括：“饮茶”、“敌后行动”系列武器。 4、隐蔽消痕类武器 TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。例如“吐司面包”。 提前布局，持续攻击 美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“阻击XXXX”（shotXXXX）。该行动由TAO负责人罗伯特•乔伊斯（Robert Edward Joyce）直接指挥，他目前在NSA担任网络安全主管。 调查报告显示，为掩护其攻击行动，TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序控制大批跳板机。 TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。 调查报告还发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。同时，TAO工作人员还匿名购买域名和通用的SSL证书，部署在中间人攻击平台“酸狐狸”，对西北工业大学等中国信息网络目标展开多轮持续性攻击和窃密行动。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/343770.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Baker&Taylor是全球最大的图书经销商之一，于8月23日遭到勒索软件攻击。该事件影响了公司的电话系统、办公室和服务中心。 8月24日，该公司宣布，此次攻击导致其关键业务系统中断，其技术人员正在努力恢复受影响的服务器。 Baker&Taylor在8月29日发布的最新消息中表示：“从上周勒索软件攻击中恢复过来的这段时间里，再次感谢您的耐心和合作。我们的团队一直在夜以继日地工作，以恢复正常运营。首要任务是修复系统并确保它们被清理干净。完成这项工作后，我们会逐步上线系统，并分阶段恢复运营。预计本周将继续中断，但我们会为各个系统和应用程序提供时间表。感谢您的理解。” 目前，该公司没有透露感染其系统的勒索软件家族的名称，也没有透露黑客是否窃取了其数据。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参8月30日消息，俄罗斯流媒体巨头START 在上周日表示，其客户的个人信息在一次网络攻击中被泄露。 该公司没有透露具体有多少用户受到此次事件的影响，但根据俄罗斯Telegram频道“Information Leaks”的信息（该频道率先公布了此次事件，并附上一张据称为泄露信息的截图），泄露数据库总计72 GB大小，包含4400万客户的数据（据后续分析，该数据内包含745万个唯一电子邮箱，这可能更接近受影响用户的真实数量）。 此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期，以及最后一次登录记录。 START共在超过174个国家销售电影和电视节目，此次事件也让其成为俄乌冲突爆发后，遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。 据称，这起数据泄露事件已经影响到全球观众，包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。 恶意黑客宣称，这些数据来自一个暴露在互联网上的MongoDB数据库，其中包含去年9月22日之前在START网站上注册用户的详细信息。 START公司表示，已经修复了漏洞并设置了数据库访问权限，事件声明中写道，“泄露的数据对恶意黑客而言意义不大，其中最重要的内容也只有用户的电子邮件和电话号码。” 据START介绍，该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密，该公司也未要求用户更改原有密码。 START公司数据科学主管Ilya Braslavskiy表示，只有少部分用户（不到2%）在网站注册时填写了真实姓名。他在Telegram上写道，“本人姓名并非必填字段，所以大多数用户没必要提交。” 目前尚不清楚此次攻击的幕后黑手和行为动机，也没有黑客团伙宣称对这起事件负责。 广电媒体成俄乌冲突期间攻击重点 今年7月初，来自乌克兰IT军的恶意黑客利用分布式拒绝服务（DDoS）攻击影响了约80家俄罗斯在线电影网站，泛滥的垃圾流量导致这些线上观影平台无法正常访问。 今年3月，匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi，并播放了俄乌战场上拍摄的真实画面。 俄乌战争期间，乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月，亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv，并把足球赛转播替换成了俄文宣传影像。 Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击，但并未受到重大影响。 转自 安全内参，原文链接：https://www.secrss.com/articles/46367 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和专有技术信息。 8月25日，在发送有关此次攻击的问题后，LastPass 发布了一份安全公告，确认黑客是通过访问公司开发人员的账户进行入侵，并对开发环境进行破坏。 在发布的安全报告中，LastPass表示目前没有任何证据表明客户数据或加密的密码库遭到破坏，但承认攻击者确实窃取了部分“源代码”和“LastPass 专有的技术信息”。 攻击事件发生后，LastPass对外称已经聘请了一家领先的网络安全和取证公司进行处理，尽可能部署遏制和缓解措施，降低该事件带来的影响。“虽然该事件的调查还在持续进行，但是我们已经有效遏制了此次攻击，实施了额外的强化安全措施，并且没有看到任何未经授权的活动的进一步证据。” LastPass向客户发送了电子邮件告知此次攻击事件，至于和此次攻击的详细过程，以及攻击者如何入侵开发者帐户，哪些源代码和专有技术信息被盗等相关信息，LastPass 并没有对外提供。 LastPass 安全咨询通过电子邮件发送给客户 资料显示，LastPass 是世界上最大的密码管理公司之一，对外宣称有超过3300万人和10万家企业正在使用其产品。 由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此不少用户对于此次攻击事件的衍生后果表示非常担忧，如果黑客获取了相应的权限，那么很有可能被允许访问用户存储的密码信息。 对此，LastPass表示公司将密码存储在“加密保险库”中，只能使用客户的主密码进行解密，在此次攻击中并未收到任何破坏。 但是该声明并未打消用户的全部疑虑，因为在2021年，LastPass曾遭受撞库攻击，并且攻击者可以确认用户的主密码。更糟糕的是，这些主密码被使用RedLine 密码窃取恶意软件的攻击者窃取。 换句话说，用户不可因为信任LastPass 而完全放松警惕，主密码也有可能在网络攻击中泄露，所以在LastPass 帐户上启用多因素身份验证是一件非常有必要的措施。此外，还需要保持良好的密码使用习惯，并定期进行更换，提高密码的安全性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343183.html 封面来源于网络，如有侵权请联系删除

据悉，黑山国家基础设施遭到大规模“前所未有的”网络攻击。袭击了黑山政府的数字基础设施，政府已及时采取措施减轻其影响。另外，黑山立即向北约其他成员国报告了这次袭击。 公共行政部长 Maras Dukaj 说：“出于安全原因，某些服务被暂时关闭，但属于公民和公司的账户及其数据的安全并未受到威胁。” 据部长称，袭击于周四晚上开始。美国驻黑山大使馆建议美国公民将在该国的行动和旅行限制在必需品范围内，并保持最新且易于获取的旅行证件，担心这次袭击可能会影响政府识别黑山居民身份和交通的基础设施。 美国驻首都波德戈里察大使馆的网站报道说：“正在进行持续不断的网络攻击，攻击可能包括对公用事业、交通（包括边境口岸和机场）和电信部门的破坏。” 美国国家安全局向运营关键基础设施的组织发出警告。 EPCG 董事会主席 Milutin Djukanovic 解释说，国有电力公司 EPCG 已将其操作改为人工操作，以防止任何可能的损坏。作为预防措施，该公司还选择暂时停用一些客户的服务。 政府认为，这次袭击是由一个民族国家行为者精心策划的。 路透社报道，即将卸任的总理德里坦·阿巴佐维奇在周五晚上召开了国家安全委员会会议，讨论这次袭击事件。并表示，上周他的政府倒台后，这是出于政治动机。 2017年6月，尽管俄罗斯政府强烈反对威胁要进行报复，但黑山正式加入北约联盟后，黑山成为与俄罗斯有关的黑客组织 APT28 的目标。 2017年2月，黑山在几个月内第二次遭受了针对政府和媒体网站的大规模长期网络攻击。安全公司 FireEye 的研究人员分析了这些攻击，他们观察到与臭名昭著的与俄罗斯有关的 APT 组织 APT28 （又名 Fancy Bear、  Pawn Storm、  Strontium、  Sofacy、  Sednit和 Tsar Team）相关的恶意软件和漏洞利用。 在2016年10月的选举期间，又一次大规模袭击袭击了该国的机构 ，外界猜测俄罗斯政府 参与其中。 当时，黑客针对黑山发起了鱼叉式网络钓鱼攻击，恶意信息使用了与北约秘书会议有关的武器化文件，以及欧洲军队对黑山的访问。 黑客提供了 GAMEFISH 后门 （又名 Sednit、Seduploader、JHUHUGIT 和 Sofacy），这是一种仅由 APT28 组织在过去的攻击中使用的恶意软件。 2020 年 1 月，北约军事委员会 (MC) 主席斯图尔特·皮奇元帅爵士宣布了北约应对俄罗斯混合攻击的努力。“混合战”是指运用政治战，将常规战、非常规战和网络战与假新闻、外交、法律和外国选举干预等其他影响手段相结合的军事战略。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Oq8Y7zB5n7ZjQLjYobcXnQ 封面来源于网络，如有侵权请联系删除

据Bleeping Computer8月24日消息，一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，其中包括受多因素身份验证 （MFA） 保护的帐户。 Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。 在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。 在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。 发送给目标高管的网络钓鱼邮件 攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。 攻击者将手机添加为新的 MFA 设备 由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。 在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。 然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342973.html 封面来源于网络，如有侵权请联系删除

安全内参8月25日消息，作为服务全球多家大型航空公司的技术提供商，Accelya表示，近期刚刚遭遇勒索软件攻击，部分系统已经受到影响。 Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。 勒索软件公开发布窃取数据 8月23日，该公司披露，其聘请解决此事的两家安全厂商发现，Accelya内部数据已经被发布至专门的勒索泄密网站。 上周四（8月18日），AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。 Accelya公司一位发言人称，他们聘请的专家设法“隔离”了勒索软件，阻断其在系统内进一步传播。 这位发言人表示，“我们的取证调查人员证实，受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统，横向移动到我们客户的环境当中。” 他们还补充称，Accelya公司正在审查上周AlphV泄露网站上发布的数据，并将向受到信息泄露影响的客户发布通报。 Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台，与9个国家共250多家航空企业保持着合作关系。 2022年，航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月，印度香料航空（SpiceJet）和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。 AlphV/BlackCat勒索软件是谁？ AlphV/BlackCat是当前最活跃的勒索软件团伙之一，上个月刚刚对路易斯安那州亚历山大市政府发动攻击，今年春季还先后攻击了多所大学。 同样是在上个月，该团伙又先后攻击了卢森堡两家能源公司，以及日本电子游戏巨头万代南梦宫。 根据几位专家的介绍，AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”，而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小，最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。 该团伙的一位代表在今年2月接受了美媒The Record的采访，声称大多数主要勒索软件团伙间都有着某种形式的关联。 说起AlphV跟BlackMatter及DarkSide之间的关系，这位代表表示，“可以这么说，我们借用了他们的优势，同时回避了他们的劣势。” FBI在4月的警报中提到，截至今年3月，执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。 转自 安全内参，原文链接：https://www.secrss.com/articles/46226 封面来源于网络，如有侵权请联系删除