据悉，蔡英文办公室网站和台湾政府运营的几个网站遭到分布式拒绝服务 (DDoS) 攻击。据美国全国广播公司新闻报道，共袭击了四个网站，分别是蔡英文办公室网站、台防部网站、外交部网站和台湾最大的机场台湾桃园国际机场网站。美国东部时间周二下午可以访问台防部网站和外交部的网站，但台湾桃园国际机场的网站仍然没有响应。 对网站的 DDoS 攻击 黑客指挥大量计算机同时访问网站，使网站不堪重负最终导致无法访问。DDoS 类型的攻击难以检测，但需要最少的技能或基础设施来进行攻击。专家说，这些类型的攻击不会造成任何永久性损害。 蔡英文的一位发言人在 Facebook 上表示，蔡英文办公室官网遭受境外分布式拒绝服务攻击(DDoS)，攻击流量为平日的200倍，导致官网一度无法显示。经处置后，已恢复正常运作。监控网站流量的公司 Kentik 的互联网分析主管 Doug Madory 表示，他可以在那些间歇性无法访问的网站上看到“DDoS 攻击的证据”。 当局表示，网站经抢修后已于20分钟内恢复正常运作，强调会持续加强监控，以维护信息通讯安全，以及各关键基础设施稳定运作。然而至晚上9时，有关网站再次无法登入，页面空白仅显示“NOT ALLOW”字眼。 “大到足以有效但不是破纪录，”马多里在一条短信中说。 网络安全公司 Mandiant 情报分析副总裁 John Hultquist 表示：“虽然这些黑客有时会进行 DDoS 攻击，但此类攻击通常也是黑客活动家的名片”。 目前仍不确定是谁发动了袭击。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Cto3gxLoau2g-cYniR2TMA 封面来源于网络，如有侵权请联系删除

【环球网报道】路透社援引据知情人士消息称，台湾地区领导人办公室网站2日受到海外网络攻击，一度出现故障。 该消息人士称，网站很快便恢复运作。台“总统府”晚间证实，傍晚官网一度遭受海外网络攻击，经处置于20分钟后恢复正常运作。 此消息传出时，国际舆论正在紧盯美国众议院议长佩洛西可能窜访台湾引发的争议。 根据飞行航班信息平台FlightRadar24显示，据信是美国众议院议长佩洛西此前搭乘的C-40C专机（呼号SPAR19）于北京时间8月2日15时50分左右从吉隆坡机场起飞，目的地未知。目前不清楚佩洛西是否在这架飞机上。 外交部发言人华春莹2日主持例行记者会。有外媒记者提问，如果佩洛西坚持访问台湾，中方会采取什么反制措施？你能否详细说明？华春莹表示，我可以告诉你的是，美方必将为其损害中国主权安全利益承担责任、付出代价。 转自 安全内参，原文链接：https://www.secrss.com/articles/45374 封面来源于网络，如有侵权请联系删除

ALPHV勒索软件团伙，又名BlackCat，宣布对欧洲天然气管道和电力网络运营商Creos卢森堡公司的网络攻击负责。Creos的所有者Encevo是欧盟五国的能源供应商，它在7月25日宣布，他们在7月22日和23日之间遭遇了网络攻击。虽然此次网络攻击导致Encevo和Creos的用户门户网站暂时性不可用，但所提供的服务并没有中断。 7月28日，Encevo公司发布了关于网络攻击的最新情况，其初步调查结果表明，网络入侵者从被访问的系统中窃取了 “一定数量的数据”。当时，Encevo无法估计影响的范围，该公司希望用户耐心能够等待调查结束，届时每个人都会收到一份个性化的关于此次事件的通知。Encevo表示，当有更多信息时，将在网络攻击的专门网页上公布，不过目前为止Encevo的相关媒体账户上没有发布进一步的更新，表明这一调查程序可能仍在进行中。 目前，Encevo建议所有用户重新设置他们的在线账户密码，如果这些密码也被用在了其他网站上的话，用户也应该改变他们在这些网站的密码，避免造成更多的损失。 BlackCat再次发动攻击 ALPHV/BlackCat勒索软件集团周六将Creos加入其勒索网站，威胁要公布18万个被盗文件，总大小为150GB，包括合同、协议、护照、账单和电子邮件。虽然没有宣布实现这一威胁的确切时间，但该勒索软件集团宣称要在周一的晚些时候进行披露。 ALPHV勒索软件在勒索网站上添加Creos ALPHV/BlackCat最近推出了一个新的勒索平台，他们让访问者可以搜索到被盗数据，目的是增加对受害者的压力，让他们支付赎金。虽然BlackCat继续对数据勒索的形式做出了创新，但他们似乎并没有从过去的错误中吸取教训，继续以高知名度的公司为目标，这很可能使他们成为国际执法机构的重大目标。 BlackCat被认为是DarkSide行动的改头换面，DarkSide在对Colonial Pipeline的勒索软件攻击大肆宣传后，迫于国际执法部门的压力选择了关闭。在关闭DarkSide后，他们改名为BlackMatter，以逃避执法部门，但国际执法部门仍然在持续追踪，因此该团伙再次选择关闭。 自2021年11月，攻击者以BlackCat/ALPHV的名义重新启动以来，攻击者倾向于避开美国的大目标，而以欧洲实体为目标，如奥地利州、意大利时装连锁店和瑞士机场服务提供商。然而，他们似乎没有从错误中吸取教训，继续攻击重要的基础设施，如2月份的德国汽油供应公司Oiltanking和现在的Creos卢森堡。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340820.html 封面来源于网络，如有侵权请联系删除

7月28日消息，微软安全和威胁情报团队称发现一家奥地利公司销售间谍软件DSIRF，该软件是基于未知的Windows漏洞开发。当前的受害者包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司。 DSIRF声称帮助跨国公司进行风险分析和收集商业情报。微软威胁情报中心（MSTIC）分析发现，间谍软件DSIRF利用Windows的零日特权升级漏洞和Adobe Reader远程代码漏洞执行攻击。微软表示，DSIRF利用的漏洞目前在更新补丁中已经修补。在内部，微软以代号KNOTWEED对DSIRF进行追踪，并表示该公司还与SubZero恶意软件的开发和销售有关。 MSTIC发现DSIRF与恶意软件之间有多种联系，包括恶意软件使用的命令和控制基础设施直接链接到DSIRF、一个与DSIRF相关的GitHub账户被用于一次攻击、发给DSIRF的代码签名证书被用于签署一个漏洞。 攻击中出现的CVE-2022-22047漏洞能从沙盒中逃脱。微软解释，该漏洞链开始时，从沙盒中的Adobe Reader渲染器进程写入一个恶意DLL到磁盘。然后，CVE-2022-22047漏洞被用来瞄准一个系统进程，通过提供一个应用程序清单，其中有一个未记录的属性，指定恶意DLL的路径。当系统进程下一次生成时，恶意激活上下文中的属性被使用，恶意DLL从给定的路径加载，从而执行系统级代码。 调查人员已经确定了DSIRF控制下的一系列IP地址，该基础设施主要由Digital Ocean和Choopa托管，至少从2020年2月开始就积极为恶意软件提供服务，并持续到现在。 微软建议保持最新的补丁和恶意软件检测，并注意破坏后的行动，如凭证转储和启用明文凭证。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340560.html 封面来源于网络，如有侵权请联系删除

工控网络安全行业者Dragos在7月14日揭露，有人透过社群网站宣传或发布广告，声称提供包括15家企业在内的PLC或HMI的密码破解器，据研究人员进一步分析，指出这类工具是利用漏洞获取密码，同时还暗藏恶意程序。 据悉，可针对15家企业的工业控制系统（ICS）密码破解的软件，这些密码破解软件并不安全，一旦使用，将被偷偷植入Sality恶意程式。根据该公司研究人员的说明，他们是进行例行性漏洞评估时发现，并指出这种针对工业控制系统工程师与操作人员攻击方式，规模不大却容易被忽视，且这种手法仍持续在网络传播，他们认为背后可能有个生态系。 在Dragos本次揭露的讯息中，多达15家企业的工控设备的部分系列产品被破解，其中有多家全球大厂，例如：Automation Direct、欧姆龙（Omron）、西门子（Siemens）、三菱（Mitsubishi）、松下（Panasonic）、富士电子（Fuji Electric）、LG、Vigor、Pro-Face、Allen Bradley、Weintek、ABB、台湾厂商台达自动化。 Dragos也公开一张广告截图，说明实际状况，其中可看到有人在Facebook设立“PLC Password Unlock”粉丝专栏，发布这类宣传讯息。根据类似的关键字，我们实际到脸书上，也找到数个宣传同样工具的粉丝专栏，而且这些内容至今都还能找到。 谁会去购买这样有争议的工具？ Dragos通过一个情境来说明。当年轻工程师需要在Automation Direct系统上，修改老同事编写的DirectLogic 06 PLC梯形逻辑时，在执行PLC程式设计软体DirectSOFT，出现弹出密码提示的步骤，年轻工程师并不知道密码，也无法联系到已退休、可能恰巧现在出海度假的老同事，于是上网寻找答案时，并发现破解软体的广告，而打算采用，尽管其他具有网络安全意识的同事警告，别将这种非必要风险引入公司OT环境，年轻工程师却认为，这是时间急迫的工作任务，最终仍购买该PLC密码破解软体，并在环境中执行，就有可能遇险。 设备存在漏洞使破解工具有效，同时会在工控设备暗中植入Sality恶意程式。经过Dragos研究员的调查，他们针对能解密Automation Direct系统的软件进行分析，发现此工具利用密码检索漏洞，确实能恢复密码，同时也暗藏名为Sality的恶意程式，这是一个点对点僵尸网路，具有加密货币挖掘的能力。 发现的这个产品漏洞，将导致PLC密码被破解，该漏洞编号为CVE-2022-2003，目前也已经修补。具体而言，这个漏洞可让攻击者利用向CPU序列连接埠发送特制序列资讯的方式，导致PLC回应明文形式的PLC密码，这将让攻击者可进行存取并执行未经授权的更改。而且，Dragos研究人员发现可以透过乙太网路重新复制这个漏洞利用，这大幅增加了该漏洞的严重性。 在厂商修补漏洞修补之后，CISA在6月16日发布一份工业控制系统（ICS）公告，说明CVE-2022-2003是CVSSv3评分7.7分的漏洞，受影响的是AutomationDirect业者的DirectLOGIC具序列通讯版本的产品，呼吁用户尽速升级到2.72以后的新版韧体。 至于针对其他厂家的破密工具，虽然Dragos并没有一一进行测试，但他们在初步动态分析几个样本后，也表明这些破密工具都包含了恶意程式。另一方面也意味着，这些厂家的PLC与HMI设备，可能存在类似的漏洞需要留意与修补。 研究人员呼吁工控环境的管理者，在需要重新取得PLC或HMI的密码时，应该寻求开发厂商协助，而非透过来路不明的软件。 根据Dragos公开的密码破解器宣传截图，有人在脸书开设“PLC Password Unlock”粉丝专栏，宣传可提供多种PLC与HMI密码破解器，并留下联络方式吸引用户洽谈。 实际使用类似的关键字，发现脸书有不少这类粉丝专页，宣称可提供PLC、HMI密码解密器，上图就是一例，有人宣传可破解台达自动化DVP系列的工具，但实际是恶意陷阱之一。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/bUXYXsEVUaDyixkpwOuYWQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 西班牙警方逮捕了两名涉嫌在2021年3月至6月期间攻击该国放射性警报网络的黑客。 RAR系统是一个由γ辐射检测传感器组成的网状系统，部署在全国各地，用于检测异常辐射水平，并采取保护措施，防止对环境和人口造成损害。传感器通过电话连接到DGPCE总部的控制中心，该控制中心收集测量数据并向传感器发送必要的命令。 嫌疑人是一家负责RAR系统维护公司的前员工，因此，他们对该系统有技术知识。 这两名嫌疑人可以访问民防和紧急情况总局（DGPGE）的网络，并且能够断开传感器与系统的连接，即使是在核电站环境中也降低了传感器的探测能力。 国家警察网络攻击小组在DGPGE的帮助下确定，一旦攻击者获得网络访问权限，就试图删除控制中心中的RAR管理Web应用程序。嫌疑人瞄准了现有800个传感器中的300多个。 与此同时，这两人对传感器发起了单独攻击，在遍布西班牙的800个传感器中摧毁了300个，基本上切断了他们与控制中心的联系，并破坏了数据交换。 在西班牙当局发现安全漏洞后，针对RAR的网络攻击于2021年6月停止。 “在调查过程中发现，这两名被拘留者通过DGPCE签约的一家公司负责RAR系统的维护计划，他们对此有深入的了解，更容易实施攻击，并帮助他们努力掩盖其作者身份，大大增加了调查的难度。”Policia National发布的公告表明。 警方没有提供此次攻击事件的更多细节，目前尚不清楚攻击动机。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期活动极为频繁的Lockbit勒索软件团伙近日又攻击了两处地方政府的设备，分别是加拿大的圣玛丽镇和意大利的税务机构。 圣玛丽斯当地政府相关的说明中解释道，攻击发生在上周三，攻击者锁定了一台内部服务器并加密了其中的数据，在得知这一事件后，工作人员立即采取了措施，以确保任何敏感信息的安全，包括锁定该镇的IT系统和限制对电子邮件的访问。该镇还通知了其法律顾问、斯特拉特福警察局和加拿大网络安全中心，调查此次攻击的来源，并全力消弭此次攻击的影响。当地的关键服务，包括消防、警察、交通和水/污水处理系统并没有受到该攻击事件的影响，但目前还不清楚是否有敏感数据在攻击中被盗。 不过意大利的被害情况却不容乐观，据报道，意大利的税收机构遭到Lockbit勒索软件的攻击导致78GB的数据被盗。黑客的攻击目标是意大利当地税收机构，所以这些数据理论上有非常高的可能性是包含高度敏感的个人和财务信息。 据当地的安莎通讯社报道，税务局已经要求意大利的有关机构调查报告，据相关消息透露，攻击者要求当地税务局在5天内缴纳赎金，否则将有被盗文件内容被公开。 针对这两起公共部门攻击事件，Adarma公司的威胁顾问Mike Varley认为，公共部门的组织往往更容易成为攻击的目标，因为黑客认为他们更有可能付钱。Mike Varley补充说：“寻求提高其整体勒索软件弹性的组织应该主动问自己，我们在哪里最容易受到外部威胁？’我们在保护什么？以及这些资产放在哪里？安全团队需要积极寻找控制方面的差距，并通过调整现有的控制措施、技术收购、进行额外的监测等多种方式来弥补这些差距。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340268.html 封面来源于网络，如有侵权请联系删除

根据一份新报告，自新冠疫情开始以来，世界上最繁忙的港口之一的网络攻击异常增加。洛杉矶港执行董事吉恩·塞罗卡（Gene Seroka）周末告诉 BBC 世界服务台，该设施每月遭到大约 4000 万次攻击。 “我们的情报显示威胁来自俄罗斯和欧洲部分地区。我们必须领先于那些想要伤害国际商业的人，并对潜在的网络事件采取一切预防措施，尤其是那些可能威胁或扰乱货物流动的事件。”洛杉矶港执行董事吉恩·塞罗卡（Gene Seroka）说。 据悉，勒索软件、恶意软件、鱼叉式网络钓鱼和凭据收集攻击显然是针对该设施的威胁，该设施是西半球最繁忙的港口。尽管从敲诈勒索和数据盗窃中牟取暴利也将成为驱动因素。 如果管理不当，此类威胁可能会使新冠疫情时期的供应链混乱更加严重。Seroka 声称，港口的堵塞要到明年才能完全清除，尽管等待卸货超过两天的集装箱船数量显然已从 1 月的 109 艘下降到今天的 20 艘。 “过去两年证明了港口对我们国家的关键基础设施、供应链和经济的重要作用。让系统尽可能安全至关重要，”Seroka 说。 挑战如此严峻，以至于港口与 FBI 合作开发了世界上第一个网络弹性中心之一。它提供了一个集中位置来接收、分析威胁情报，并与航运公司等港口利益相关者共享威胁情报。 由于港口对全球贸易的战略重要性，港口已成为网络犯罪分子的热门目标，尤其是那些希望破坏行动和敲诈组织的人。 此前，去年12月下旬，美国海岸警卫队警告说，勒索软件攻击了一个未命名的设施，导致运营中断30多个小时。然后在今年二月份，欧洲一些最大港口的石油码头被勒索软件入侵。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/jCpeIKn8UAk0CIo4y9FVzA 封面来源于网络，如有侵权请联系删除

Securonix 威胁研究 (STR) 团队的研究人员发现了一个新的攻击活动，被跟踪为 STIFF#BIZON，针对多个国家的高价值组织，包括捷克共和国和波兰。研究人员将此活动归因于与朝鲜有关的APT37组织，即 Ricochet Chollima。 攻击者使用了Konni RAT（远程访问木马），该木马于 2017 年由 Cisco Talos 研究人员首次发现，自 2014 年以来一直未被发现，同时被用于高度针对性的攻击。RAT由于不断进化而能够避免检测，它能够在目标系统上执行任意代码并窃取数据。 Konni RAT 被归咎于与朝鲜有关的威胁行为者，被追踪为APT37。攻击链从试图诱骗受害者打开恶意附件的网络钓鱼邮件开始。 此活动中使用的附件是一个包含 Word 文档 (missile.docx) 和 Windows 快捷方式文件 (_weapons.doc.lnk.lnk) 的档案。 一旦打开 LNK 文件，感染链就会启动。 “代码执行首先将一小段代码嵌入到快捷方式文件中，当用户双击它时，该快捷方式文件将与预期的二进制文件一起运行和执行。” 阅读专家发表的分析。“此代码运行并执行附加到 missile.docx 文件末尾的 Base64 编码文本。” Base64 有效负载与联系 C2 以下载和执行“weapons.doc”和“wp.vbs”文件的 PowerShell 脚本一起执行。 Weapons.doc 是一个诱饵文件，而 wp.vbs 在后台静默运行，并在名为“Office Update”的主机上创建一个计划任务，该任务执行以 Base64 编码的 PowerShell 脚本。 此时，C2 通信再次建立，允许攻击者访问系统。 一旦 Konni RAT 被加载到受感染的系统上，威胁参与者就可以使用特定模块实现以下功能： Capture.net.exe – 使用 Win32 GDI API 捕获屏幕截图并将 gzip 压缩的结果上传到 C2 服务器。 chkey.net.exe – 提取存储在本地状态文件中的状态密钥，使用 DPAPI 加密。状态密钥允许攻击者解密 cookie 数据库解密，这在绕过 MFA 时很有用。 pull.net.exe – 从受害者的网络浏览器中提取保存的凭据。 shell.net.exe – 建立一个可以每 10 秒运行一次命令的远程交互式 shell。 为了进一步保持持久性，威胁参与者使用 Konni 恶意软件的修改版本，他们能够下载一个 .cab 文件，其中包含与恶意软件相关的多个文件（bat、dll、dat、ini、dll）。 专家们还讨论了在俄罗斯境内的 APT28 组织可能伪装成 APT37 的假旗行动的可能性。 “此外，在这次攻击和我们之前从 FancyBear/APT28 [3]中看到的历史数据之间，IP 地址、托管服务提供商和主机名之间似乎存在直接关联。最后，这个特殊案例的有趣之处在于，它使用了 Konni 恶意软件以及与 APT28 的相似之处。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/4inyisUnYXp2wHEpiKKgdA 封面来源于网络，如有侵权请联系删除

本周台湾又一起网络安全重大事件，7月22日兴柜航运业台湾虎航在宣布遭受黑客网络攻击，但表示未造成营运重大影响，强调已于官方网站公布“反诈骗声明”，是否发生敏感资料外泄与客户资料外泄尚未透露。据悉台湾一周内发生了两起网络安全重大事件。 值得关注的是，由于7月18日（周一）上柜生技医疗业者永昕才发生网络安全事件，相隔不到五天，兴柜航运公司台湾虎航也遭到网络攻击，更加引发关注。但需要留意的是，在这次台湾虎航的公告中提醒民众当心诈骗。 台湾虎航在指出公司遭受骇客网络攻击时，网络部门已全面启动相关防御机制。事件原因已与外部网络安全公司技术专家协同处理，并通报政府执法单位与网络安全单位。 对于这起事件带来的影响，该航空公司指出，目前评估对公司运营无重大影响，此外该公司已于其官方网站张贴“反诈骗声明”，共同防御网路诈骗，并将持续强化网路与资讯管控以确保资料安全。 虽然台湾虎航在这份公告中，没有特别说明是如何发现这次黑客攻击事件，不过从公布的“反诈骗声明”来看，意味着可能已经发生客户资料外泄情况，虽然公告中并未直接明确说明。 在台湾虎航官方网站上，根据7月22日更新的反诈骗声明公告内容，提醒顾客慎防新型网络诈骗，并列出4大重要须知，包括当心假冒虎航名义的解除分期ATM诈骗，更换会员密码、妥善保管个人资料，以及不明的电子邮件或短信请勿点击。 值得关注的是，在台湾虎航官网上的反诈骗声明特别指出，该公司不会主动要求民众操作ATM与完成任何设定。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/6O162Vfkpf5tp0S1Oj-R-w 封面来源于网络，如有侵权请联系删除