日前，哥伦比亚特区选举委员会（DCBOE） 正在调查一起数据泄漏事件。一个名为 RansomedVC 的威胁行为者称通过系统漏洞入侵了选民系统并获取了大量选民信息。 DCBOE 是哥伦比亚特区政府内的一个自治机构，负责监督选举、管理选票访问和处理选民登记流程。 但据调查显示，攻击者是通过入侵华盛顿特区选举机构的托管服务提供商 DataNet 的网络服务器获取到的选民信息，而并非华盛顿特区选举委员会的服务器和内部系统。 10月5日，华盛顿特区选举委员会获悉了此次华盛顿特区选民记录的网络安全事件。该机构表示：虽然事件仍在调查中，但 DCBOE 的内部数据库和服务器并未受到损害。 在与 MS-ISAC 的计算机事件响应小组 (CIRT) 密切合作下，DCBOE 在确定其网站是漏洞源头后，立即关闭了网站，以维护页面控制局势。 DCBOE 网站维护信息 自发现该事件以来，选举委员会与数据安全专家、联邦调查局 (FBI) 和国土安全部 (DHS) 合作，对其内部系统进行了全面的安全评估。 此外，DCBOE 还对其数据库、服务器和 IT 网络进行了漏洞扫描，以确定具体存在哪些潜在安全问题。 被盗数据在暗网上出售 RansomedVC 声称，他们还表示已经成功入侵了哥伦比亚特区选举委员会，并获取了超过 60 万条美国选民信息，其中就包括哥伦比亚特区选民的记录。这些被窃取的信息目前正在威胁者的暗网泄漏网站上出售，但具体价格尚未公布。 为了证明其所盗数据的真实性，RansomedVC 提供了一条记录，其中包含其声称的华盛顿特区选民的个人信息。该数据集包括个人姓名、登记 ID、选民 ID、部分社会安全号码、驾照号码、出生日期、电话号码、电子邮件等。 RansomedVC DCBOE 数据泄露 华盛顿州选举当局在声明中指出，在哥伦比亚特区，一些选民登记数据，如选民姓名、地址、投票记录和党派归属，都是公开信息，除非根据哥伦比亚特区的法规和条例将其保密。 但是，选举当局不提供诸如选民联系信息和 SSN 等机密信息的访问权限。 RansomedVC 曾在上周四（10月5日）透露，被盗的选民记录将出售给一个买家。 RansomedVC 多次深陷争议之中 尽管 RansomedVC 威胁组织目前正在他们的泄漏网站上出售选民数据，但一位匿名人士曾在 10 月 3 日表示，DCBOE 被盗的数据库最初是由一位名为 pwncoder 的用户在 BreachForums 和 Sinister.ly 黑客论坛上出售的，但这些帖子后来被删除了。 据悉，这些数据是从一个被盗的 MSSQL 数据库中倾倒出来的，其中包含超过 60 万名华盛顿特区选民的信息。 pwncoder DCBOE 泄露 不仅如此，RansomedVC 近日还曾声称入侵了索尼系统并窃取了超过 260GB 的文件，其中有 2MB 的泄露档案作为证据。但有另一位自称 MajorNelson 的威胁行为者对此提出了质疑，并在BreachForums 上发布了 2.4GB 的文件档案，也表示是从索尼系统中窃取的。 虽然这些攻击者分享的数据的确看起来与索尼有关，但关于双方说法的真实性，目前仍无从考证。   转自Freebuf，原文链接：https://www.freebuf.com/news/379742.html 封面来源于网络，如有侵权请联系删除

美国非营利教育组织NSC（国家学生信息交换所）近日披露，其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。 NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。 美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信，披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限，并窃取了包含大量个人信息的文件。 根据通知信内容，被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录（例如入学记录、学位记录和课程级别数据）。 美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。（https://oag.ca.gov/system/files/Exhibit%20A_6.pdf） MOVEit漏洞“交叉泄露” 2023年5月下旬，Cl0p勒索软件组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 Emsisoft的安全专家Zach Simas透露：“许多MOVEit事件的上游/下游极其复杂，一些组织受到影响，因为他们的供应商的承包商使用了MOVEit，而承包商的分包商也使用了MOVEit。此外，一些组织的数据泄露涉及多个使用MOVEit的供应商。” “在教育领域尤其如此，一些机构受到涉及国家学生信息交换所、美国教师保险和年金协会-大学退休股票基金的事件的影响（该基金受到供应商PBI事件的影响）以及第三方健康保险提供商和其他金融服务提供商。” 2023年6月下旬，NSC曾向受影响学校通报了MOVEit数据泄露事件，但由于调查仍在进行中，因此没有提供太多细节。 据Databreaches.net的Doe透露，NSC的名字已从Cl0p的泄露网站中删除，这通常表明受害者已支付赎金。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA 封面来源于网络，如有侵权请联系删除

信息系统被入侵，单位主体也担责。前段时间，天津公安南开分局网络安全保卫支队接到线索：辖区内某单位的重要信息系统数据遭到恶意篡改，严重危害网络安全！ 南开分局网络安全保卫支队立即启动“一案双查”，就该单位网络安全风险隐患问题进行调查，查处其网络运营者未履行网络安全保护义务一案。 案件详情 南开分局网络安全保卫支队通过现场查看该单位制度类文件，并经过比对、分析发现，该单位运营使用的信息系统存在多重问题： 一是防范网络侵入技术措施不完善，物理网络环境内部存在监测漏洞； 二是监测、记录网络运行状态的网络日志不足6个月； 三是对于安全缺陷、漏洞等风险，该单位未立即采取补救措施亦未向有关部门报告，信息系统持续“带病”运营，给了不法分子可乘之机。 依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，南开分局对该单位及相关主管人员分别予以罚款伍万元和贰万元的行政处罚。 网警提示 在复杂多样的网络世界中，网络运营者不但要具备防范网络安全隐患的危机意识，不断提升自身防护水平，更要履行好网络安全保护义务，有效落实主体责任。 只有将网络安全管理制度落实到位，将技术防范措施部署完善，才能保障单位自身稳定运营和社会有序发展。   转自公安部网安局，原文链接：https://mp.weixin.qq.com/s/teT0DKSTEZKM65TTf0P6qw 封面来源于网络，如有侵权请联系删除

Cybernews 研究团队发现，法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。 Exail于 2022 年由 ECA Group 和 iXblue 合并后成立，专注于机器人、海事、导航、航空航天和光子技术，其客户包括美国海岸警卫队。由于这些特性，Exail成为攻击者特别感兴趣的目标。 研究团队发现，托管在 exail.com 网站上可公开访问的 .env 文件已暴露在互联网上，导致任何人都可以对其进行访问。环境文件充当计算机程序的一组指令，因此，文件的完全开放可能会暴露关键数据，一旦攻击者访问，便可以查看、修改或删除敏感数据并执行未经授权的操作，并为攻击者者提供一系列攻击选项。 研究团队还发现，Exail 的网络服务器版本和特定操作系统也受到了威胁。如果攻击者知道网络服务器上运行的操作系统及其版本，就可以针对性地利用与操作系统相关的特定漏洞。 而具有已知特定操作系统暴露的 Web 服务器可能成为自动扫描工具、恶意软件和僵尸网络的目标。一旦攻击者了解了操作系统的特性，就可以集中精力寻找和利用与该操作系统相关的漏洞。他们可以采用扫描、证明或使用已知漏洞等技术来访问服务器或损害其安全性。 此外，攻击者还可以利用操作系统特定的弱点对暴露的 Web 服务器发起拒绝服务 (DoS) 攻击，从而中断服务器的运行。 Cybernews研究团队向Exail进行反馈后，对方已经修复了该问题，但并未透露有关问题更加详细的信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/378873.html 封面来源于网络，如有侵权请联系删除

9月21日，美国当局发布了一份新的网络安全公告，介绍了Snatch勒索软件即服务（RaaS）组织使用的最新战术、技术和程序（TTPs）。 网络安全和基础设施安全局（CISA）和联邦调查局解释说，虽然Snatch于2018年首次出现，但自2021年以来一直在学习借鉴其他勒索软件的技术，现已发展“壮大”。 该勒索软件采用了经典的双重勒索“玩法”，如果受害者不付钱，就会将其详细信息发布到泄密网站上。 据观察，Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据，试图进一步利用受害者支付赎金，以避免他们的数据被发布在 Snatch 的勒索博客上。 该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问，俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接，从而获得持久性。 此外，公告中还提到，附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现，有时会在受害者网络内花费长达三个月的时间。 他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。 该报告解释说，Snatch攻击者使用一种定制的勒索软件变体，可以将设备重新启动到安全模式，使勒索软件能够绕过反病毒或端点保护的检测，然后在很少有服务运行时对文件进行加密。 受害组织来自多个关键基础设施领域，包括国防工业基地（DIB）、食品和农业以及科技领域。 CardinalOps 首席执行官 Michael Mumcuoglu 表示，在过去的 12 至 18 个月时间里，Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责，其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。 Optiv 公司的网络业务负责人Nick Hyatt提到，近几个月来，该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间，该公司跟踪了Snatch在所有垂直领域发动的70次攻击，这些攻击绝大多数集中在北美地区。   转自Freebuf，原文链接：https://www.freebuf.com/news/378862.html 封面来源于网络，如有侵权请联系删除

2023年上半年，美国企业的网络保险索赔频率增长了12%，索赔严重程度增长了42%，平均损失金额超过11.5万美元。 根据保险公司Coalition发布的《2023上半年网络安全保险索赔报告》，2023年上半年，由于勒索软件、资金转账欺诈(FTF)和商业电子邮件泄露(BEC)攻击，美国企业网络安全保险索赔的频率和严重程度双双飙升。 报告发现，收入超过1亿美元的企业的索赔案件数量增幅最大(20%)，攻击造成的损失也更大，与2022年下半年相比，索赔严重程度增加了72%。 网络安全保险市场正变得越来越复杂。随着攻击频率和严重程度的增加，与安全防御覆盖范围相关的需求和条件也发生了变化。保单也变得更加多样化、复杂、昂贵且更难获得资格，这给CISO和企业投资网络保险带来了新的挑战和考量因素。 上个月，网络安全公司Delinea的研究显示，美国企业和机构获得网络安全保险所需的时间和精力正在显著增加，需要花六个月或更长时间的企业数量逐年增加，这突显了保险公司和投保企业之间存在巨大分歧，后者正在争先恐后地购买负担得起的全面保险，同时还有许多企业积极投资网络安全解决方案，以满足网络安全保险政策的要求。 勒索软件、转账欺诈和BEC影响索赔频率 根据Coalition的报告，2023年上半年，企业总体索赔频率增加了12%，索赔严重程度增加了42%，平均损失金额超过11.5万美元。转账欺诈(31%)、BEC(26%)和勒索软件(19%)攻击是关键驱动因素。 Coalition表示，勒索软件攻击索赔频率在2023年上半年增加了27%，其中造成这一峰值的最大因素是5月份的频率显著增加。与此同时，勒索软件的索赔严重程度也创下历史新高，平均损失金额超过36.5万美元，六个月内飙升了61%，一年内增长了117%。赎金要求也有所增加，2023年上半年的平均赎金金额为162万美元，比前六个月增长47%，比去年增长74%。有趣的是，今年上半年有36%的Coalition保单持有人选择支付赎金。 对网络安全索赔影响仅次于勒索软件的是转账欺诈。2023年上半年，转账欺诈的索赔频率增加了15%，严重程度增加了39%，平均损失超过29.7万美元。报告指出，攻击策略的日益复杂是转账欺诈索赔活动呈上升趋势的一个重要因素。“攻击者在入侵电子邮件帐户后驻留的时间越长，识别和报告异常活动的难度就越大，而且攻击者似乎更愿意等待合适的时机来拦截或重定向大额付款。” 最后，与勒索软件和转账欺诈相比，BEC索赔频率在2023年上半年下降了15%，严重程度下降了7%，平均损失为2.1万美元，是近年来的最低金额。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/3OSVybEsWdtJvHzX7ShTwg 封面来源于网络，如有侵权请联系删除

近日，中国国家计算机病毒应急处理中心通报，在处置西北工业大学遭受网络攻击时，成功提取了名为“二次约会”的间谍软件样本。该软件为美国国家安全局开发的网络“间谍”武器，在遍布全球多国的上千台网络设备中潜藏隐秘运行。 美国在网络安全领域劣迹斑斑。国家安全机关破获的系列美国间谍情报机关网络攻击窃密案件中，“黑客帝国”维护“网络霸权”的卑劣伎俩浮出水面。 招数一：建立网攻武器库 美国情报部门凭借其强大的网络攻击武器库，对包括中国在内的全球多国实施监控、窃密和网络攻击，可谓无所不用其极。特别是美国国家安全局，通过其下属的特定入侵行动办公室（TAO）以及先进的武器库，多次对我国进行体系化、平台化攻击，试图窃取我国重要数据资源。 2009年，特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。2022年9月，又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击，控制了数以万计的网络设备，窃取大量高价值数据。 美国情报部门能够发动大规模网络攻击，自然离不开多样化网络攻击武器作为后盾。2022年以来，我国网络安全机构已披露多款美情报部门网络攻击武器，如“电幕行动（Bvp47）”“量子(Quantum)”“酸狐狸（FOXACID）”“蜂巢（Hive）”等。美国情报部门利用这些规模化的武器装备对中国、俄罗斯等全球45个国家和地区开展长达十余年的网络攻击、网络间谍行动，网络攻击目标涵盖电信、科研、经济、能源和军事等核心重要领域。 招数二：强制相关科技企业开后门配合 美国一边大肆对全球各国开展网络攻击窃密，一边花样百出炮制各种版本的“安全报告”，将中国抹黑为“网络威胁主体”，渲染炒作所谓“中国网络窃密”问题，把“颠倒黑白”演绎得炉火纯青。 众所周知，美国长期凭借技术优势对世界各国包括盟友进行大规模窃听窃密，开展网络窃密活动，早已经是公开的秘密。自2013年“棱镜门”事件曝光以来，我国相关网络安全机构多次在针对中国的网络攻击事件中发现美国的身影。近年来，美国加紧推进“前出狩猎”行动，其行动目标明确，俄罗斯、伊朗、中国和朝鲜是其主要目标。美国网络司令部正成为一支远征部队，打着“前出狩猎”、主动防御的幌子，对他国进行网络攻击和窃密。 但与此同时，美国却极力把自己塑造成“网络攻击受害者”，打着“维护网络安全”的旗号，鼓动、胁迫他国加入所谓“清洁网络”计划，企图在国际网络市场上清除中国企业。事实上，“清洁网络”是假，打压对手、维护霸权才是真。对此，我国官方多次敦促美方应深刻反省，停止针对全球的网络攻击窃密行径，停止以各种虚假信息混淆视听。 当前，网络空间日益成为维护国家安全的新战场。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众的利益也难以得到保障。让我们携起手来，强化安全防范意识，提升安全防范能力，共同维护好网络安全。 转自国家安全部，原文链接：https://mp.weixin.qq.com/s/FNOb9IAnMe7-wiDTA6HlxQ 封面来源于网络，如有侵权请联系删除

9月7日，美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击，黑客入侵了其数据库，据悉该数据库存储了众多客户的驾照号码和社会安全号码。为避免这些客户数据在网上泄露，该公司近日表示已经支付了赎金。 周四（9月14日），凯撒公司向美国证券交易委员会提交了一份8-K表，其中写道：我们仍在调查未经授权的行为者获取的文件中，究竟包含了多少敏感信息。 凯撒方面表示，迄今为止并没有证据表明任何会员密码/PIN、银行账户信息或支付卡信息（PCI）被未经授权的行为者获取。 但据《华尔街日报》的报道称，该公司为了防止被盗数据在网上泄露，已经支付了大约 1500 万美元的赎金，这是最初黑客索要的3000万美元赎金的一半。 不过，凯撒方面还明确表示，目前仍然存在黑客出售或泄露客户被盗信息的可能性，凯撒方面无法提供任何保证。但他们已对此采取措施确保未经授权的行为者删除被盗数据。凯撒方面正在对网络进行监控，没有发现任何证据表明这些数据被进一步共享、公布或以其他方式滥用。 虽然凯撒没有将这次攻击与特定的网络犯罪团伙或威胁行为者联系起来，但彭博社周三（9月14日）发表的一篇报道称，这次攻击是由一个名为 “Scattered Spider “的黑客组织实施的。该威胁组织被追踪为 UNC3944 和 0ktapus，最早自2022年5月起就开始有所行动。它结合使用社交工程、多因素身份验证（MFA）疲劳和短信凭证钓鱼攻击来窃取用户凭证并入侵目标网络。 数据泄露仅影响忠诚计划会员 据 Caesars 称，未加入 Caesars 忠诚度计划的客户不会受到数据泄露的影响。公司将在未来几周内通知所有受影响的个人。 该公司在一份单独的数据泄露通知中提供了更多细节，并表示已向执法部门报告了这一事件。 这次攻击没有影响其面向客户的运营，包括在线/移动博彩应用程序和实体物业，因为它们的运营没有中断。 凯撒是近期受到网络攻击影响的第二家连锁赌场，周一（9月11日），美高梅国际酒店集团称该公司的网站、预订系统和赌场服务（即 ATM、老虎机和信用卡刷卡机）遭遇网络攻击，IT 系统被迫下线。 2020 年，美高梅国际酒店集团还披露了 2019 年的一次网络攻击事件，该事件导致其云服务遭到破坏，黑客窃取了超过 1000 万条客户记录。   转自Freebuf，原文链接：https://www.freebuf.com/news/378174.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。 MetaStealer是一种基于Go语言编写的恶意软件，能够逃避 Apple 内置防病毒技术，主要目标针对商业用户。网络安全公司SentinelOne在 VirusTotal 上发现了一个恶意软件样本，其中有一条评论称利用MetaStealer的攻击者正在冒充企业客户来传播恶意软件。 根据SentinelOne的报告， MetaStealer 能够伪装成Adobe软件，如如“AdobeOfficialBriefDescription.dmg”和“Adobe Photoshop 2023（带 AI）installer.dmg”。在进行安装时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为 PDF 文件，以诱骗受害者点击打开。 该恶意软件的应用程序包包含最基本的内容，即 Info.plist 文件、带有图标图像的 Resources 文件夹以及带有恶意 Mach-O 可执行文件的 macOS 文件夹。SentinelOne 检查的样本均未经过签名，尽管某些版本具有 Apple 开发者 ID。 MetaStealer 试图窃取被入侵系统钥匙串所保存的各类账号密码以及系统中保存的文件，并通过 3000 端口上的 TCP 外渗。 目前，MetaStealer 仅在 Intel x86_64 架构上运行，意味着它无法危害在 Apple Silicon 处理器（M1、M2）上运行的 macOS 系统，除非受害者使用 Rosetta 运行恶意软件。 然而，MetaStealer 可能会发布一个新版本，增加对 Apple Silicon 的本机支持。因此，MetaStealer是一个需要警惕的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378037.html 封面来源于网络，如有侵权请联系删除

Akamai近日透露，已经挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。 根据Akamai的公告，该攻击发生在9月5日，洪水般的流量攻击了“美国最大、最有影响力的金融机构之一，虽然攻击只持续了不到两分钟，但由于犯罪分子使用ACK、PUSH、RESET和SYN洪水攻击向量，攻击流量达到了每秒633.7GB。” 攻击者的主要目标是该银行的网页登陆页面，试图扰乱其网上银行业务，但“没有造成附带损害或服务质量下降”。 Akamai声称，这次攻击是迄今为止针对美国金融公司的最大规模攻击。（2023年2月，Cloudflare声称阻止了有记录以来最大规模的单一DDoS事件，峰值每秒超过7100万个请求。） Akamai的研究人员指出，近年来试图破坏银行网站和业务的DDoS攻击流量正在增加。 从历史上看，科技公司、游戏公司、媒体/娱乐和互联网/电信提供商是DDoS攻击的主要目标，只有10%到15%的DDoS攻击针对银行客户。然而，自2021年以来，针对金融机构的DDoS攻击数量明显激增。“事实上，在过去的四个季度中，超过30%的DDoS攻击都是针对金融服务公司的。”Akamai研究人员透露。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/wBRA9V1_QLk9w1iKKy7fNQ 封面来源于网络，如有侵权请联系删除