据Bleeping Computer消息，数字安全巨头Entrust已经承认，自己遭受了网络攻击，攻击者破坏了其内部网络，并窃取了一定规模的数据。 Entrust 是一家专注于在线信任和身份管理的安全公司，为企业用户和政府部分提供广泛的服务，包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露，很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。 而Entrust用户不仅有大量的企业，还有美国很多政府机构，其中包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等，这无疑是一个巨大的威胁。 黑客6月入侵Entrust的网络 有安全专家称，Entrust早在6月18日就已经被黑客攻击和破坏，同时对方趁机窃取了公司的机密数据。7月6日，安全研究人员Dominic Alvieri证实了这一攻击事件，他在推特上分享了Entrust公司发给客户的安全通知的屏幕截图。 Entrust 首席执行官在安全通知中写到，“不得不通知您，在6月18日我们发现了一起未经授权访问公司内部运营系统的行为。从这一刻起，公司正在努力地将此次攻击行为带来的影响降至最低。” “我们仍在调查这一攻击事件，迄今为止我们没有发现任何迹象表明该问题已经影响了我们产品和服务的运营或安全。在我们继续调查这个问题的过程中，如果我们了解到我们认为会影响我们为您的组织提供的产品和服务的安全性的信息，我们将直接与您联系。” 可以确定的是，攻击者确实从Entrust的内部系统中窃取了一部分数据，但是尚不清楚这部分数据是来自公司、客户还是供应商，亦或三者皆有之。目前，Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。该公司称“迄今为止我们没有发现任何迹象表明该问题已影响我们产品和服务的运行或安全，这些产品和服务在与我们的内部系统分开的气隙环境中运行并且完全可以运行”。 发送给Entrust客户的安全事件通知 谁为这起攻击负责？ 目前，尚未有勒索组织声称对此次攻击事件负责，在Entrust发给客户的安全通知，以及该公司对外的声明中，都没有分享此次攻击的详细信息，因此谁策划实施了这起攻击暂时还不清楚。 但 Bleeping Computer认为，某个著名的勒索组织可能是这起攻击的幕后黑手。虽然尚不清楚设备在攻击期间是否被加密，但勒索软件团伙通常会在启动加密器之前窃取数据以用于双重勒索计划。 根据 AdvIntel 首席执行官 Vitali Kremez的说法，勒索软件操作购买了受损的 Entrust 凭据并使用它们来破坏其内部网络。 Kremez 进一步表示：“勒索攻击者依靠网络访问卖家的受信任网络来获得对 Entrust 环境的初始访问权限，这导致随后通过已知的勒索软件团体进行加密和泄露暴露。” 目前，勒索组织已经提出了赎金要求，具体金额未知。如果Entrust不按要求支付赎金，勒索组织将会公布他们窃取的数据，而Entrust也可以借此了解攻击背后的勒索软件操作。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340008.html 封面来源于网络，如有侵权请联系删除

安全内参7月21日消息，德国建材巨头可耐福集团（Knauf Group）宣布已成网络攻击目标。其业务运营被攻击扰乱，迫使全球IT团队关闭了所有IT系统以隔离事件影响。 此次网络攻击发生在6月29日晚间。截至本文发布时，可耐福仍在开展取证调查、事件响应及补救工作。 可耐福在网站主页上发布的简短公告写道，“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转，所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟，我们深表歉意。” 根据外媒看到的邮件警告，作为攻击响应的一部分，可耐福的电子邮件系统已经关闭，目前业务通信主要依靠手机和Microsoft Teams。 可耐福是一家总部位于德国的跨国建筑材料生产商，在全球墙板市场上拥有约81%的份额。 可耐福在全球多个国家拥有150处生产基地，也是美国可耐福绝热材料公司及USG公司的所有者。 值得注意的是，可耐福绝热材料公司也在网站上发布了关于网络攻击的通知，可见其同样受到了影响。 Black Basta宣布对事件负责 虽然可耐福并未在公告中说明此次遭遇的具体攻击类型，但从事件持续时间、影响和IT系统的恢复难度来看，这恐怕是一起勒索软件攻击。 事实上，名为Black Basta的勒索软件团伙已经在其网站上发布公告，于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。 图：Black Basta勒索门户将可耐福列为攻击受害者 该勒索软件团伙还公布了一批数据，据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。 图：Black Basta泄露了20%的被盗文件 记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。 既然没有公布所有失窃文件，看起来恶意团伙仍希望能通过谈判获取赎金。 Black Basta团伙的崛起之路 Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击，并迅速凭借针对高调受害者的双重勒索行为闯下名号。 根据早期展现出的知识能力和谈判风格来看，不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。 到2022年6月，Black Basta开始与Qbot（QuakBot）合作传播其勒索软件，同时开始投放Cobalt Strike并协助在受害者网络内横向移动。 另外，这群恶意黑客还专门为自己的勒索软件制作了Linux版本，用于入侵运行在Linux服务器上的VMware ESXi虚拟机。 转自 安全内参，原文链接：https://www.secrss.com/articles/44952 封面来源于网络，如有侵权请联系删除

在袭击德国、台湾、韩国、日本、美国和英国之后，Roaming Mantis将转向法国，并针对法国Android和iOS用户发起攻击，这次攻击可能会危及数万台设备。Roaming Mantis被认为是一个出于经济动机的威胁行为者，早在2月时，就曾针对欧洲用户发起过攻击。在最近观察到的一次网络攻击活动中，该攻击者被发现使用SMS通信来引诱用户在其 Android 设备上下载恶意软件，如果用户使用 iOS，他们将被重定向到 Apple 凭据的网络钓鱼页面。 在近期发布的一份报告中，网络安全公司SEKOIA的研究人员表示，Roaming Mantis现在正在Android设备上投放XLoader (MoqHao) 有效荷载，这是一种强大的恶意软件，可以计算远程访问、信息窃取和短信垃圾邮件等功能。正在进行的Roaming Mantis活动以法国用户为目标，他们向潜在受害者发送短信，并引诱用户点击链接。用户会收到一条短信，告知他们已经收到了一个包裹，他们需要检查并安排送货。 如果用户位于法国并且使用iOS设备，他们将被定向到窃取Apple凭据的网络钓鱼页面。Android用户则被指向一个提供移动应用程序安装文件的站点（Android Package Kit – APK）。但对于法国以外的用户，Roaming Mantis的服务器显示404 错误并且攻击停止。 在攻击中，APK执行并模仿Chrome安装，并请求风险权限，例如短信拦截、拨打电话、读写存储、处理系统警报、获取帐户列表等。命令和控制 (C2) 配置是从硬编码的Imgur配置文件目标中检索的，这些攻击以base64编码以逃避检测。 SEKOIA证实，到目前为止，有超过90000个唯一的IP地址从C2主服务器请求XLoader。 截至目前，其表示在Roaming Mantis 网络钓鱼页面上提交Apple iCloud凭据的iOS用户数量未知，有可能比预期的更高。 网络钓鱼页面 SEKOIA的分析师报告称，自去年4月Cymru团队的最后一次分析以来，Roaming Mantis的基础设施并没有太大变化，这些服务器在TCP/443、TCP/5985、TCP/10081 和 TCP/47001上仍然有开放端口，而4月份看到他们仍在使用相同的证书，他们在SMS消息中使用的域名要么是在Godaddy注册的，要么使用动态DNS服务，例如duckdns.org，而入侵集合使用了一百多个子域名，每个IP地址都有几十个FQDN解析。有趣的是，Roaming Mantis的短信钓鱼(SMS phishing)活动依赖独立于XLoader使用的C2服务器，分析人员可以识别出其中9个托管在EHOSTIDC和VELIANET系统上的活动。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339517.html 封面来源于网络，如有侵权请联系删除

在将大多数公共部门服务转移到在线门户网站仅几个月后，阿尔巴尼亚政府由于网络攻击而被迫关闭其网站。阿尔巴尼亚国家信息社会局在一份与当地新闻机构共享的声明中说，由于 “来自阿尔巴尼亚境外的同步和复杂的网络犯罪攻击”，它“被迫暂时关闭在线公共服务和其他政府网站的访问”。 该国政府官员没有回应关于攻击源头的评论请求。今年5月，阿尔巴尼亚政府关闭了许多现场行政办公室，将公共服务转移到一个旨在提高效率和减少腐败的在线门户网站。一些新闻机构指出，一些政府服务仍在运作，包括该国的报税门户网站，它在不同的服务器上运作。 “为了抵御这些前所未有的危险打击，我们被迫关闭政府系统，直到敌人的攻击被解除，”该机构说。 声明还补充说，该国政府正在与微软、网络安全咨询公司Jones International Group 和几家阿尔巴尼亚安全公司合作，“以防止这次网络攻击破坏或损害阿尔巴尼亚的信息系统”。 追踪世界各地互联网中断的NetBlocks表示，实时网络数据显示，服务在当地时间周六晚上9点左右首次被切断。 NetBlocks主任Alp Toker解释说：“指标倾向于支持总理办公室的声明，该声明将此描述为保护AKSHI免受目标威胁的防御措施，而不是我们在分布式拒绝服务攻击(DDoS)中可能看到的那种直接影响。” 据悉，包括议会、总理办公室以及企业和公民使用的电子政务网关在内的一些政府服务都托管在政府网络上。 截至当地时间周一下午，所有政府网站仍然无法访问。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294053.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 根据乌克兰国家特殊通信和信息保护局（SSSCIP）的一份新报告，今年第二季度，针对乌克兰的网络攻击的频率和数量激增。 该网络机构报告称，自俄罗斯入侵以来，网络攻击一直在增加，但在2022年第二季度有所上升，乌克兰国家漏洞检测和网络事件/网络攻击系统处理了190亿次事件。已登记和处理的网络事件从40件增加到64件。 恶意软件分布中的恶意黑客群体活动也“显著增加”，与今年第一季度相比，“恶意代码”类别的事件数量增加了38%。 与第一季度相比，源自俄罗斯IP地址的关键事件数量减少了8.5倍。据SSSCIP称，这要归功于电子通信网络和互联网接入服务实施的保护措施，这些措施阻止了俄罗斯联邦使用的IP地址。 目前，数量最多的事件来自美国的源IP地址，但这并不意味着攻击来自该地区：IP地址不是一种可靠的归属形式，因为它们可以被欺骗。 SSSCIP表示，事实上，“绝大多数”已登记的网络事件都与俄罗斯联邦政府资助的黑客组织有关，包括隶属于俄罗斯联邦调查局的Sandworm和Gamaredon。在2022年第二季度，主要目标是乌克兰大众媒体、政府和地方当局。 随着战争的继续，Thornton-Trump预测俄罗斯的网络攻击可能会进一步加剧。俄罗斯将利用一切手段取得胜利，网络攻击是其政治和军事行动的重要组成部分。 攻击的节奏可能会随着战斗的起伏增加或是减少，但我们会看到漏洞的武器化，尤其是安卓、微软和网络浏览器等，它们会被利用以试图使攻击更有效地针对乌克兰的防御。   消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据报道，目前，美国政府支持使用工具保护互联网安全性，防止量子计算机破解传统加密密钥。 据了解，在量子计算时代开始前，互联网就已进入到后量子纪元，许多人担心未来量子计算机能否破解现代生活所依赖的密钥，这些密钥对于人们的生活至关重要，包括：智能手机银行应用程序，以及在线支付等所有密钥系统。目前，美国国家标准与技术研究所（NIST）正式认可能抵御量子计算机攻击的四种加密算法技术。 其中包括一种名为CRYSTALS-Kyber的加密算法（用于确保在线数据安全性），以及三种用于身份验证的数字签名算法（CRYSTALS -Dilithium 、FALCON 和 SPHINCS+ ），所有这些都依赖于反复验证的数学技术，其中包括一种名为“结构化晶格”的技术。 NIST数学家达斯汀·穆迪（Dustin Moody）说：“我们预计这些加密算法将在世界各地获得广泛应用。”量子计算机利用量子现象处理信息，例如：叠加算法，这是将原子大小的物体在同一时间以多种状态组合存在的能力，目前量子计算机还处于初级阶段，一旦该技术发展完善，其执行某些任务的速度将比普通计算机快许多倍，尤其是量子计算机擅长破解当今最广泛使用的加密系统密钥。 为了应对潜在的隐私危机，密码学专家一直在开发能够防御量子计算机攻击的算法，2016年，NIST呼吁全球各地的计算机科学家提交此类“后量子算法”的最佳方案，该进程现已达到一个“重大里程碑”，首批4项推荐加密算法方案于7月5日公布。 穆迪说：“我们提出标准化算法方案已有5年时间，最初全国各地共征集到82个算法方案，经过NIST和全球加密学界的大量评估分析，现已宣布第一个后量子加密算法，并对其进行了标准化设计。” Cloudflare Research公司研究工程师巴斯•韦斯特班（Bas Westerbaan）称，NIST选择的算法接受了比互联网时代发展前20年最常用密码系统更多的审核，目前该研究所开始制定如何实现算法的精准规范，预计在获得密码学界的信息反馈后，将于2024年发布其官方标准。 与此同时，一个名为“互联网工程任务组（IETF）”的国际组织将讨论如何将该算法应用到实际操作中，美国加州火狐浏览器研究团队首席技术官艾瑞克·瑞思考勒（Eric Rescorla）说：“我希望在2023年前看到后量子密钥交换的测试部署，但实现全面部署可能需要更长的时间，安全执行加密算法非常困难，我们在执行经典算法方面有很多经验，但在后量子算法的经验非常少，因此，为了更好地保护用户安全性，算法实施者需要花时间进行完善，这一点非常重要。” 一旦测试阶段完成，技术供应商将在定期软件更新中部署算法，而普通用户甚至不会意识到他们的设备已进入后量子时代。 转自 新浪科技，原文链接：https://finance.sina.com.cn/tech/2022-07-12/doc-imizirav2969120.shtml 封面来源于网络，如有侵权请联系删除

近期，德克萨斯州一家液化天然气厂爆炸，经调查，事件起因可能是由网络攻击引起的，而俄罗斯威胁行为者或将是事件幕后黑手。爆炸发生在德克萨斯州昆塔纳岛的自由港液化天然气(Freeport LNG)液化厂，此次事故将对自由港液化天然气的运营产生持久的影响。 经初步调查表明，该事件是由于LNG输送管道的一段超压和破裂，导致液化天然气快速闪蒸和天然气蒸汽云释放和点燃。目前尚不清楚为什么该企业的安全机制不能阻止爆炸发生，不过据专家推测网络攻击可能已经关闭了天然气设施的工业安全控制。专家表示像TRITON这样的ICS恶意软件，类似俄罗斯相关的APT组织XENOTIME是具有关闭工业安全控制、并对工业设施造成巨大破坏的能力。 据美国军事新闻网站报道，今年3月24日，美国司法部对四名涉嫌在2012年至2018年期间代表俄罗斯政府在网络攻击中使用TRITON恶意软件的俄罗斯国民提出指控。同一天，联邦调查局发布了一项咨询警告，称TRITON恶意软件工具仍然会对世界各地的工业系统构成重大威胁。华盛顿时报国家安全作家Rogan证实，德克萨斯州的液化天然气设施爆炸与 XENOTIME等APT组织进行的黑客活动一致。随后Rogan补充说，该公司确实拥有运营技术/工业控制系统网络检测系统。不过Freeport LNG却否认了将网络攻击视为事件发生的根本原因。“除非Freeport LNG适当部署了OT/ICS网络检测系统并完成了取证调查，否则不能排除网络攻击，”罗根反驳说。 另外两位与罗根交谈的消息人士称，在俄罗斯发动对乌克兰的入侵期间，俄罗斯GRU军事情报部门的一个网络部门对Freeport LNG进行了目标侦察行动。   转自 Freebuf，原文链接：https://www.freebuf.com/news/337361.html 封面来源于网络，如有侵权请联系删除

据悉，一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司，试图用恶意软件窃取密码感染其系统，包括德国汽车制造商和汽车经销商，通过克隆该领域各个组织的合法网站，注册了多个相似的域，以便在攻击过程中使用。 这些网站用于发送用德语编写的网络钓鱼电子邮件，并托管下载到目标系统的恶意软件有效负载。 此活动中使用的各种相似域 网络安全解决方案供应商Check Point的研究人员发现了这一活动，并发布了相关的技术报告。报告显示，该网络钓鱼活动于2021年7月左右开始，目前仍在进行中。 瞄准德国汽车行业 感染链始于发送给特定目标的电子邮件，其中包含能够绕过互联网安全控制的ISO映像文件。 例如，下图的网络钓鱼电子邮件假装包含汽车转账收据，发送给目标经销商。 Check Point发现的恶意电子邮件之一 其中还包含一个HTA文件，该文件中有通过HTML走私运行的JavaScript或VBScript代码。 通用感染链 从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客，所有级别的黑客都能使用这种常用技术。 当受害者看到从HTA文件打开的诱饵文档时，恶意代码就会在后台运行，以获取并启动恶意软件有效负载。 诱饵文件 我们发现了这些脚本的多个版本，有些会触发PowerShell代码，有些是纯文本版本。它们都会下载并执行各种MaaS（恶意软件即服务）信息窃取程序。 ——Check Point 此活动中使用的MaaS信息窃取程序各不相同，包括Raccoon Stealer、AZORult 和 BitRAT，这三个程序都可以在网络犯罪市场和暗网论坛上购买到。 HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具，使得威胁行为者无需诱骗接收者启用宏，并且能够提高有效负载丢弃率。 恶意修改Windows注册表 幕后主使和攻击目标 Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击，但是报告中没有提到具体的公司名称。 信息窃取有效载荷被托管在伊朗人注册的网站（“bornagroup[.]ir”）上，而同样的电子邮件被用于钓鱼网站的子域名，例如“groupschumecher[.]com”。 威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接，支持该活动的网站被托管在伊朗的ISP上。 威胁行为者的基础设施 这场活动很有可能是伊朗的威胁行为者策划的，但Check Point没有足够的证据来证明。该活动很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC（商业电子邮件泄露）。 威胁行为者发送给目标的电子邮件留有足够的通信空间，使得与受害者建立融洽的关系并获得其信任成为可能，这使得关于BEC的假设更具有可信度。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/t9JsB3Ak5ihEVlgKWcq1rA 封面来源于网络，如有侵权请联系删除

在 ESET 和微软研究人员的帮助下，乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中，它们发现了 Industroyer 的新变种，它是一个臭名昭著的恶意软件，在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。 乌克兰政府计算机应急小组（CERT-UA）表示，该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击，包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。 CERT-UA 解释说：“受害组织遭受了两波攻击。最初的妥协发生在 2022 年 2 月之前。变电站的断电和公司基础设施的退役被安排在2022年4月8日星期五晚上进行。同时，到目前为止，恶意计划的实施已经被阻止了”。 ESET在关于这一情况的解释中说，它还看到攻击者使用了其他几个破坏性的恶意软件家族，包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。 ESET说，它不确定攻击者是如何入侵最初的受害者的，也不确定他们如何设法从IT网络转移到工业控制系统（ICS）网络。但CERT-UA说，攻击者能够”通过创建SSH隧道链”在不同网段之间横向移动。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257667.htm 封面来源于网络，如有侵权请联系删除