HackerNews 编译，转载请注明出处： 美国国家安全顾问Jake Sullivan和环境保护局（EPA）局长Michael S. Regan发布警告称：黑客正在对全国水务部门的关键基础设施发动攻击。 在周二的联合信中，他们要求各州长支持确保供水系统免受网络攻击，并在遭受破坏时能够有效恢复。 美国环保署署长Michael S. Regan表示：“饮用水和废水处理系统是社区的生命线，但许多系统尚未采用重要的网络安全实践来阻止潜在的网络攻击。他指出，美国环保局和国家安全委员会对这些威胁非常重视，并将继续与各州环境、健康和国土安全领导合作，应对水系统网络攻击带来的普遍且具有挑战性的风险。” 国家安全委员会（NSC）和环境保护局（EPA）邀请各州长参加3月21日的线上会议，旨在加强政府与水系统之间的合作，并成立水部门网络安全工作组。该工作组将制定全国范围内可实施的行动和战略，以降低供水系统遭受网络攻击的风险。 国家安全顾问Jake Sullivan表示：“我们与政府合作，在国家关键基础设施中实施关键的网络安全标准，对网络威胁的风险和成本保持警惕。我们期待与EPA继续合作，增强美国供水和废水处理系统的网络安全。” 过去也曾遭受攻击 在采取行动之前，CISA、FBI和EPA在2月份分享了美国水务部门应实施的防御措施清单，以减少网络攻击风险并增强系统抵御恶意活动的能力。 CISA在9月份发布了免费的安全扫描程序，旨在帮助水务公司等关键基础设施发现安全漏洞并保护其系统免受破坏。 在过去十年中，美国供水和废水处理系统（WWS）部门的关键基础设施多次遭到破坏，导致Ghost、ZuCaNo和Makop勒索软件的部署。这些勒索软件攻击于2011年影响了南休斯顿的废水处理计划，2016年影响了一家自来水公司，2020年8月影响了南加州卡姆罗萨水区，2021年5月影响了宾夕法尼亚州的供水系统。 消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据最近的一份报告，与俄罗斯有关的网络犯罪分子使用的 Smokeloader 恶意软件仍然是乌克兰金融黑客的主要工具之一。 2023 年 5 月至 11 月期间，研究人员发现了 23 个 Smokeloader 活动，针对乌克兰的各种目标，包括金融机构和政府组织。 根据乌克兰主要国家网络机构 SSSCIP 与网络安全公司 Palo Alto Networks 合作发布的一份报告，黑客在 8 月和 10 月最为活跃，分别发起了 198 起和 174 起网络钓鱼事件。 乌克兰计算机应急响应小组 CERT-UA 追踪 Smokeloader 背后的组织 UAC-0006。该组织使用该恶意工具下载其他恶意软件，试图窃取乌克兰企业的资金。 据 CERT-UA 称，该恶意软件背后的组织试图从 2023 年 8 月至 9 月窃取数千万格里夫尼亚（1 美元=约 40 乌克兰格里夫尼亚）。 黑客主要通过网络钓鱼活动分发恶意软件，通常使用之前被泄露的电子邮件地址。研究人员表示，这种策略使他们能够“利用受信任的企业电子邮件帐户来提高欺骗目标陷入网络钓鱼企图的机会”。 一些电子邮件主题和文件名包含拼写错误或由乌克兰语和俄语单词混合组成。 在最近10 月份的活动中，黑客使用 Smokeloader 攻击国家、私人和金融机构，特别是会计部门。 黑客将 Smokeloader 隐藏在看似无害的财务文件之下。这些文件大多数都是合法的，并且是从之前受到威胁的组织中窃取的。 Smokeloader 使用各种规避策略来绕过安全措施而不被发现。最终获得系统访问权限后，它可以提取关键的设备信息，包括操作系统详细信息和位置数据。 研究人员表示，尽管乌克兰的 Smokeloader 攻击有所增加，但这种恶意软件“仍然是全球威胁，并且在针对其他国家的多个活动中继续出现”。 自 2011 年以来， 攻击者一直在地下论坛上为 Smokeloader 做广告。研究人员并未将这种恶意软件归因于特定的黑客组织，但他们认为与俄罗斯网络犯罪活动存在潜在联系。 多年来，Smokeloader 不断更新和发展，以跟上技术的步伐，以避免被安全供应商检测到。 自该恶意软件首次出现以来，各种组织已将其用于攻击全球不同的行业和组织。研究人员表示，这些活动包括最近在乌克兰发生的有针对性的网络攻击以及导致 Phobos 勒索软件感染的犯罪活动。 Phobos 是一种勒索软件即服务，允许网络犯罪分子通过网络钓鱼活动或暴力攻击获取登录凭据，其中攻击者尝试通过尝试不同的用户名和密码组合来访问目标帐户，直到找到正确的密码。 今年 2 月，黑客使用Phobos 变种攻击了为罗马尼亚医院提供服务的 IT 平台。此次攻击导致近 25 家医院的数据被加密，约 75 家医院的互联网被切断。   转自会杀毒的单发狗，原文链接：https://mp.weixin.qq.com/s/0KzKN433B9VLM_VOL-8p8Q 封面来源于网络，如有侵权请联系删除

俄罗斯对外情报局（SVR）声称，美国正密谋干预即将于本月举行的俄罗斯总统选举。据路透社报道，SVR 称，美国攻击网络攻击计划对俄罗斯投票系统，以扰乱运行并干扰计票过程。 据路透社报道，SVR 发表的一份声明称，“根据俄罗斯联邦对外情报局收到的信息，拜登政府正在为美国非政府组织设定一项任务，以实现减少投票率” 。“在美国领先IT专家的参与下，计划对远程电子投票系统进行网络攻击，这将使相当一部分俄罗斯选民无法投票、计票。” 莫斯科警告称，任何外国干预选举的行为都将被视为对俄罗斯的侵略行为。 俄罗斯政府同时否认对即将于11月举行的美国总统选举进行任何干预。 “我们从未干预过美国的选举。”克里姆林宫发言人德米特里·佩斯科夫(Dmitry Peskov)在给学生举办的关于俄罗斯刻板印象的讲座中说道，偶尔会用英语说。 “这一次，我们不打算干涉……我们不会向任何人发号施令，但我们也不希望别人对我们发号施令。”佩斯科夫说。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/prDGV5YuAqdQLXrjdYq-rQ 封面来源于网络，如有侵权请联系删除

美国司法部已起诉伊朗公民阿里雷扎·沙菲·纳萨布 。据调查人员称，该男子多年来领导了一次大规模网络行动，影响了数十万个账户，旨在渗透美国国防承包商和政府机构的计算机系统。 根据起诉书，纳萨布及其同伙在一家虚构的网络安全公司 Mahak Rayan Afraz 的掩护下开展业务。他们利用网络钓鱼电子邮件、社交工程和定制开发的恶意软件，在 2016 年至 2021 年 4 月期间破坏了美国目标。 纽约南区联邦检察官达米安·威廉姆斯 (Damian Williams) 表示：“Nasab 参与了一场网络行动，其中超过 20 万台设备（其中许多包含敏感国防信息）因网络钓鱼和其他黑客技术而遭到破坏。” 纳萨布及其组织的主要目标是与五角大楼有关的组织，但一路上还有其他受害者。其中：会计师事务所、纽约酒店，以及国务院、美国财政部和一个不知名的外国。 虽然起诉书没有透露黑客是否成功渗透了政府机构，但美国国务院和美国财政部近年来已经遭到黑客攻击。 据司法部称，该组织成员还诉诸社会工程学，冒充女性“以获取受害者的信任”。 Mahak Rayan Afraz 的活动此前曾引起网络安全专家的关注。2021 年，Facebook* 对伊朗黑客组织Tortoiseshell “采取了行动” ，赛门铁克称该组织与 Mahak Rayan Afraz 有联系。据 Facebook 称，Tortoiseshell 使用的一些恶意软件也是由 Nasab 的同事开发的。值得注意的是，美国当局还将这起窃贼与伊斯兰革命卫队联系在一起。 纳萨布被指控共谋实施计算机欺诈、电信欺诈和身份盗窃。在最坏的情况下，他将面临最高 47 年的监禁。 然而，逮捕伊朗公民纳萨布可能并不是一件容易的事。他目前在国际通缉名单上。美国国务院悬赏 1000 万美元，寻找有助于确定他下落的信息。 负责国家安全的助理总检察长马修·奥尔森表示：“此案展示了伊朗的有害网络环境，犯罪分子可以完全自由地攻击国外的计算机系统并威胁敏感信息和关键的美国基础设施。” “我们的国家安全网络犯罪部门致力于破坏这些跨境黑客计划并将责任人绳之以法。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293746 封面来源于网络，如有侵权请联系删除

近日，Proofpoint 的安全分析师发现一个专门从事商业电子邮件泄露（BEC）攻击的黑客团伙 TA4903 ，该组织一直在冒充美国政府机构，诱使受害者打开带有虚假投标流程链接的恶意文件。 Proofpoint 观察到的数据显示，威胁攻击者已经假冒了美国交通部、美国农业部 (USDA) 和美国小企业管理局 (SBA)等多个美国机构。 据信，黑客团伙 TA4903 至少从 2019 年起就开始活跃在互联上，2023 年年中到 2024 年期间又增加了活动频次。网络安全研究人员观察到 TA4903 使用的最新手段是在 PDF 文档附件上”附着“二维码。 虚假竞标电话 PDF 这些 PDF 使用统一风格，具有相同的元数据（包括指向尼日利亚血统的作者姓名），一旦受害者扫描二维码，就会立刻被重定向到仿冒美国政府机构的官方门户网站上。 冒充美国农业部的钓鱼网站 跟随钓鱼邮件中的”诱饵“，收件人可能会被”引诱“到 O365 登录页面，并要求其输入登录凭据。值得一提的是，TA4903 黑客团伙曾依靠 “EvilProxy “绕过多因素身份验证 (MFA) 保护，但 Proofpoint 表示近期没有观察到其使用反向代理。 Proofpoint 表示黑客团伙 TA4903 的攻击活动纯粹是出于经济动机，主要采用了以下策略： 未经授权访问企业网络或电子邮件账户； 在被入侵的账户中搜索与银行信息、支付或商家相关的关键字，寻找金融欺诈的机会； 进行 BEC 攻击，例如从被入侵的电子邮件账户向其他员工或合作伙伴发送欺诈性付款或发票请求。 安全研究人员在 2023 年年中几个案例中发现，威胁攻击者试图诱骗财务部门的员工更新付款详情（这些信息是从目标合作组织的受损电子邮件帐户或与之非常相似的地址发送的） 网络攻击主题信息 TA4903 黑客组织出道以来，以美国多个组织为攻击目标，发起了大量电子邮件攻击，严重影响其网络环境安全稳定。近期，安全研究人员注意到 TA4903 组织从欺骗美国政府实体转向冒充小型企业，但目前还不清楚这种转变是暂时的还是长期的。   转自Freebuf，原文链接：https://www.freebuf.com/news/393709.html 封面来源于网络，如有侵权请联系删除

美国财政部3月5日发布公告，将对一家总部位于希腊的商业间谍软件公司 Intellexa实施制裁，该公司被指利用间谍软件来针对美国政府官员、记者和政策专家。 财政部称， Intellexa 牵头开发了一套名为 Predator 的工具，使得商业间谍软件和监视技术在世界各地扩散，黑客、外国敌对分子和网络犯罪分子可以使用高度侵入性的 Predator 间谍软件来瞄准移动平台，包括 iOS 和 Android，并未经授权访问这些设备上的敏感信息。 据悉，参与开发 Predator 间谍软件的包括两名个人和五个实体，其中包括 Intellexa 创始人塔尔·迪利安 (Tal Dilian)，他是一名前以色列情报官员，并长期从事间谍软件特工工作。为 Intellexa 提供管理服务的企业离岸专家萨拉·哈穆（Sara Hamou）也受到了制裁。 哈穆在与 Intellexa 相关的多个实体中担任领导职务，这些实体均被纳入制裁范围，例如 Intellexa 位于希腊的软件开发公司 Intellexa SA；总部位于爱尔兰的 Intellexa Limited；Thalestris Limited 拥有 Predator 间谍软件的发行权。 制裁将有效冻结所有美国资产，并阻止任何美国人与上述个人或其关联实体开展业务。财政部表示，任何与受制裁实体和个人进行交易的金融机构或美国公民都可能面临制裁或执法行动。 美国财政部负责恐怖主义和金融情报的副部长布莱恩·纳尔逊在一份声明中表示：“今天的行动在阻止商业监控工具的滥用方面迈出了切实的一步，商业监控工具日益给美国和我们的公民带来安全风险。”   转自Freebuf，原文链接：https://www.freebuf.com/news/393432.html 封面来源于网络，如有侵权请联系删除

近日，美国国家安全局发布了新的零信任指南，旨在帮助企业通过零信任框架原则来抵御外部网络攻击。零信任安全架构要求对网络资源的访问进行严格控制，无论是在物理边界内外，以最大限度地减少漏洞的影响。 一般情况下，传统的 IT 安全模式会以默认可信的模式来运行，但零信任一般直接会默认假定威胁已经存在，不允许任何人在网络内自由行动。零信任的成熟度是通过解决威胁行为者在攻击中可以利用的各种组件或支柱逐步实现的。 零信任架构的七大支柱 昨天（3月5日），美国国家安全局发布了网络和环境组件的零信任指南，其中包括所有硬件和软件资产、非人实体以及相互通信协议。 零信任模式通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中的每一项，企业都必须达到特定的成熟度，才能继续按照零信任原则进行建设。 “网络和环境支柱通过定义网络访问、控制网络和数据流、划分应用程序和工作负载以及使用端到端加密，将关键资源与未经授权的访问隔离开来”–国家安全局 数据流映射首先要确定数据存储和处理的位置和方式。当企业对数据流有了全面的清点和可视性，并能减少所有当前的、新的或异常的路径时，就达到了高级成熟度。 通过宏观划分，企业可以为每个部门的用户创建网络区域，从而限制网络上的横向移动。比如，除非有明确要求，否则会计人员不需要访问人力资源专用网段，因此威胁行为者可利用的攻击面有限。 通过微分段，网络管理被分解成更小的组成部分，并实施严格的访问策略来限制横向数据流。 美国国家安全局解释说，”微分段涉及将用户、应用程序或工作流程隔离到单个网段中，以进一步减少攻击面，并限制发生入侵时的影响”。 通过软件定义网络（SDN）组件，可以对微分段进行更细粒度的控制，从而提供可定制的安全监控和警报。SDN 允许从集中控制中心控制数据包路由，提供更好的网络可见性，并允许对所有网段执行策略。 对于零信任架构中网络和环境支柱的四个组成部分，美国国家安全局描述了四个成熟度等级，从准备阶段到高级阶段，在高级阶段实施广泛的控制和管理系统，以实现最佳的可见性和监控，并确保网络的增长。 设计和构建零信任环境是一项复杂的任务，需要系统地经历各个成熟阶段。如果方法得当，企业架构就能抵御、识别和应对试图利用弱点的威胁。 美国国家安全局于 2021 年 2 月发布了第一份零信任框架指南《拥抱零信任安全模型》，该指南介绍了该模型及其背后原则的优势。 2023 年 4 月，该机构发布了达到零信任框架中用户组件成熟度的指南《在整个用户支柱中推进零信任成熟度》。   转自Freebuf，原文链接：https://www.freebuf.com/news/393427.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Rhysida勒索软件团伙声称对本月初芝加哥卢里儿童医院遭受的网络攻击负责。 本月初，芝加哥卢里儿童医院遭数据泄露，电子邮件、电话、MyChart访问以及本地互联网均受到影响。超声波和CT扫描结果无法获得，患者服务优先系统被取消，医生被迫改用笔和纸开处方。 近期，Rhysida勒索软件团伙已将Lurie Children’s医院列入其暗网上的勒索门户网站，声称从该医院窃取了600 GB的数据。Rhysida 勒索软件提出以 60 BTC的价格向单个买家出售被盗数据。 Rhysida 可供购买 600GB 敏感数据 截止日期设定为7天，之后数据将以较低价格出售给多个威胁行为者，或在Rhysida的平台上免费泄露。 卢里儿童医院受到影响 根据Lurie Children’s于2024年2月22日发布的最新状态更新，恢复IT系统的工作正在进行中，服务中断仍然影响一些运营部门。   由于支付系统受到影响，停电持续时将导致支付医疗费用支付延迟，医院目前已暂停收取预约缺席费用。 Rhysida勒索软件团伙最近的一个错误暴露了加密器中的一个漏洞，可以用来解密文件而无需支付赎金。 然而，考虑到卢里儿童医院长期受到的破坏，执法部门可能无法及时利用解密器对最近的攻击产生影响。此外，如果Rhysida声称的数据泄露被证实，意味着大量儿童的敏感医疗信息已被不可逆转地泄露给网络犯罪分子。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

专门从事自行搬迁租赁车辆和设备的美国公司 U-Haul 报告称，攻击者已使用窃取的凭据渗透了其信息系统。由于 12 月 5 日发生的事件，来自美国和加拿大的约 6.7 万名客户的记录遭到泄露。 U-Haul 发言人证实了这一安全漏洞，但拒绝提供进一步评论。与外部网络安全公司联合进行的一项调查显示，黑客访问了 U-Haul 经销商和团队成员系统，通过该系统监控预订和客户记录。 泄露的数据包括客户的姓名、出生日期和驾驶执照号码。U-Haul 代表澄清，因为客户记录系统与公司的支付系统没有任何连接，客户的财务信息并未被盗。为了应对这一事件，该公司加强了安全措施，包括更改受感染帐户的密码，并向受影响的客户提供为期一年的免费Experian IdentityWorks服务订阅。 U-Haul 已从一家小型家族企业发展成为一家租赁各种尺寸卡车、拖车、存储系统和其他移动设备的大型网络。该公司在美国和加拿大拥有广泛的代表处和租赁地点网络，可以为广泛的客户提供服务。 数据泄露发生在使用合法凭据的攻击急剧增加之际。根据 IBM Security X-Force 最近的一份报告 ，2023 年此类事件与上一年相比增加了 71%。数据泄露的帐户占 IT 巨头事件响应团队遇到的所有事件的 30%。 反过来， CrowdStrike 的类似报告也表明与身份证件相关的威胁有所增加。除了使用窃取的凭据之外，攻击者还瞄准 API 密钥、会话 cookie 和令牌、一次性密码以及 Kerberos 票证。   转自安全客，原文链接：https://www.anquanke.com/post/id/293453 封面来源于网络，如有侵权请联系删除

一位化名IntelBroker、曾入侵通用电气、 惠普企业和 DC Health Link 的黑客 声称，这次他成功入侵了洛杉矶国际机场（LAX）的数据库，窃取了私人飞机所有者的机密数据。 黑客表示，此次黑客攻击是在本月进行的，并未影响普通乘客的数据。大约 250 万条记录因该事件而被泄露，包括全名、注册会计师号码、电子邮件地址、公司名称、飞机型号和飞机机尾识别号。 黑客攻击的信息由黑客 IntelBroker 本人在网络犯罪论坛BreachForums上发布， 该论坛自去年 3 月 清算后由 ShinyHunters 组织恢复。 IntelBroker 从 2 月 23 日起在 BreachForums 上发帖 IntelBroker表示，该数据库是通过利用机场使用的CRM系统中的漏洞获得的。还需要注意的是，在发布的帖子中，此次黑客攻击被归咎于化名“kwillsy”的黑客，尽管 IntelBroker 随后表示后者与此次事件无关，IntelBroker 及其团队个人承担全部责任。 该事件是 2024 年初以来发生的众多数据泄露事件之一，影响了企业和政府部门。   转自安全客，原文链接：https://www.anquanke.com/post/id/293451 封面来源于网络，如有侵权请联系删除