英国政府确认，一名黑客最近成功入侵国防部的网络，获取了武装部队支付网络的部分数据。这次被攻击的系统包含现役和预备役军人及一些最近退伍军人的个人数据。 国防部长格兰特·沙普斯在下议院的声明中表示，国防部最近几天才察觉此次入侵。得知入侵后，国防部立即隔离系统并停止所有支付操作。好在此次事件并没有对工资、费用支付和退伍军人养老金产生重大影响。沙普斯指出，4月份所有的工资都已支付。 国防部长澄清说，黑客的目标是由承包商管理的外部系统，该系统与国防部的核心网络完全分离，与主要军事人力资源系统没有联系。受影响的主机主要包含姓名和银行账户的详细信息，有时也包括地址。预计大约有270,000份工资记录被泄露。 目前尚未查明黑客入侵的具体方式。但沙普斯指出，一些迹象表明承包商存在潜在失误，这也为未经授权的访问提供了机会。 目前尚无迹象表明黑客窃取了任何数据，但以防万一，受影响的服务人员已通过指挥链被告知了风险。同时受到影响的退伍军人将会收到有关事件和泄露数据的信函通知。 沙普斯强调，这次攻击是黑客发动的，同时表示在目前阶段，“其他国家的介入”也是一种可能性。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据 Google 旗下的 Mandiant 安全团队报道，伊朗网络间谍组织 APT42 在最近针对非政府组织、政府和政府间组织的攻击中一直使用两个新的后门。 APT42 也被追踪为 Calanque 和 UNC788，至少自 2015 年以来一直活跃，据信它代表伊斯兰革命卫队 (IRGC) 运作，该组织是伊朗情报机构的一部分。 据观察，该组织以西方和中东国家的学术界、活动人士、法律服务机构、媒体组织和非政府组织为目标，通常依靠社会工程计划，冒充记者和活动组织者来获取受害者的信任。 APT42 使用从受害者那里获取的凭据来访问云环境并窃取感兴趣的数据，并依靠开源工具和内置功能来避免检测。 通过深入研究该组织的活动，Mandian 发现了三个基础设施集群，这些基础设施用于针对政府部门、记者、非政府组织和活动人士的广泛凭证收集活动。 第一个集群伪装成媒体组织和非政府组织，自 2021 年以来一直活跃，其目标是记者、地缘政治实体和研究人员，其虚假新闻文章的链接被重定向到 Google 登录网络钓鱼页面。 第二个集群自 2019 年以来一直活跃，冒充合法服务，以研究人员、记者、非政府组织和活动人士为目标，提供活动邀请或托管在云基础设施上的合法文档，要求用户提供登录凭据。 第三个集群自 2022 年以来一直活跃，冒充非政府组织、Bitly URL 缩短服务和“Mailer Daemon”，目标是与美国和以色列的学术、国防和外交问题相关的实体，并提供邀请函和合法文件的链接。 此外，在 2022 年和 2023 年，APT42 在获取受害者凭据并通过推送通知绕过多重身份验证 (MFA) 后，从美国和英国的法律服务实体和非政府组织的 Microsoft 365 环境中窃取了感兴趣的文档。 在最近的攻击中，网络间谍组织部署了 Nicecurl 和 Tamecat 定制后门，针对与伊朗和中东问题相关的非政府组织、政府或政府间组织进行攻击。 Nicecurl 用 VBScript 编写，可以在受感染的计算机上放置其他模块，包括一个用于数据收集的模块和另一个用于执行任意命令的模块。2024 年 1 月和 2 月，APT42 冒充中东研究所和美国智库传播后门。 Tamecat 是一种能够执行 PowerShell 和 C# 内容的 PowerShell 工具，通过带有恶意宏的文档进行分发。 “尽管以色列与哈马斯的战争导致其他与伊朗有联系的行为体通过进行破坏性、破坏性和黑客泄露活动来适应，但 APT42 仍然相对专注于情报收集和针对类似的受害者。除了在受感染的设备上部署定制植入程序之外，APT42 还被观察到进行广泛的云操作。”Mandiant 指出。 该网络安全公司还指出，APT42 的一些活动与臭名昭著的伊朗黑客组织Charming Kitten的活动重叠，该组织也被追踪为 Mint Sandstorm、Phosphorus、 TA453、ITG18 和 Yellow Garuda。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/SMTPjISIpdBnctK3uglzuA 封面来源于网络，如有侵权请联系删除

如今，越来越多黑客开始利用微软图形应用程序接口（Graph API）逃避安全检测。博通公司旗下的赛门铁克威胁猎人团队在一份报告中提到，这样做是为了方便与托管在微软云服务上的命令与控制（C&C）基础设施进行通信。 自 2022 年 1 月以来，已观察到多个与国家结盟的黑客组织使用微软图形 API 进行 C&C。其中包括被追踪为 APT28、REF2924、Red Stinger、Flea、APT29 和 OilRig  等黑客组织。 在微软图形应用程序接口（Graph API）被更广泛地采用之前，第一个已知的微软图形应用程序接口滥用实例可追溯到 2021 年 6 月。当时一个被称为 Harvester 的组织使用了一个名为 Graphon 的定制植入程序，该植入程序利用 API 与微软基础架构进行通信。 赛门铁克称最近检测到了针对乌克兰一个未具名组织使用了相同的技术，其中涉及部署一个以前未记录的名为 BirdyClient（又名OneDriveBirdyClient）的恶意软件。 这是一个名称为 “vxdiff.dll “的 DLL 文件，与一个名为 Apoint 的应用程序（”apoint.exe”）的合法 DLL 文件相同，其目的是连接到 Microsoft Graph API，并将 OneDrive 用作 C&C 服务器，从中上传和下载文件。 目前尚不清楚 DLL 文件的确切传播方式，也不知道是否涉及 DLL 侧载，具体威胁方以及最终目的是什么目前也是未知。 赛门铁克表示：攻击者与 C&C 服务器的通信通常会引起目标组织的警惕。Graph API 之所以受到攻击者的青睐，可能是因为他们认为这种通信方式不太会引起怀疑。 除了看起来不显眼之外，它还是攻击者廉价而安全的基础设施来源，因为OneDrive 等服务的基本账户是免费的。Permiso 揭示了拥有特权访问权限的攻击者如何利用云管理命令在虚拟机上执行命令。 这家云安全公司表示：大多数情况下，黑客会利用信任关系，通过入侵第三方外部供应商或承包商，在连接的虚拟机或混合环境中执行命令，而这些外部供应商或承包商拥有管理内部云环境的权限。 通过入侵这些外部实体，黑客可以获得高级访问权限，从而在虚拟机或混合环境中执行命令。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399970.html 封面来源于网络，如有侵权请联系删除

近日，威胁攻击者成功窃取并泄露了伦敦证券交易所集团（LSEG）旗下的 World-Check 数据库。据悉，该数据库中存储着超过500万条关于政治公众人物（PEP）、罪犯、风险组织以及其他机构的数据记录信息。 伦敦证券交易所集团 (LSEG) 是全球领先的金融市场基础设施提供商，为遍布 170 多个国家/地区的 40000 多名客户提供金融数据、分析、新闻和指数产品。 威胁攻击者成功获取了对 World-Check 数据库的访问权限后，立即将其中的数据上传至一个知名的数据泄露论坛（该论坛经常处理、交易被盗数据）。随后，一个自称名为 GhostR 的威胁攻击者高调宣称，早在 2024 年 3 月份，经过团队成员“精密合作”，很快就攻破受害者的网络防御系统，轻松获取包含 520 万条记录的数据库。 随着 World-Check 数据库被盗事件持续发酵，引起很多业内媒体、相关机构的关注，其中 Cybernews 研究小组对威胁攻击者“泄露”的数据样本，进行了详细研究，最后确定被盗信息似乎是“合法”的。泄露的数据库中包含来自不同国家的政治人士、法官、外交官、恐怖分子嫌疑人、洗钱者、毒品大王、网站、企业等人物的详细信息。 根据 GhostR 提供的泄露数据样本，World-Check 原始数据信息包括社会安全号码、银行账号、加密货币账户、护照、全名、个人类别（例如有组织犯罪成员或政治人物），信息甚至详细到具体职务、出生日期和工作地点、其他已知的别名、性别。 值得一提的是，LSEG 在发送给 Cybernews 的声明中透露，World-Check 数据库泄露事件不涉及公司的其它任何网络系统， LSEG 的系统中没有出现安全漏洞。经过内部人员调查发现，World-Check 数据库事件涉及一个客户的数据集，其中包括一份 World-Check 数据文件的副本。威胁攻击者从客户的网络系统中非法获取入侵并泄露了 World-Check 数据库。 LSEG World-Check 数据库允许用户点击 “了解你的客户 “，查看各类信息，以便能够遵守相关法规，避免与涉及金融犯罪、恐怖主义或其他非法活动的个人或实体建立合作关系。 最后， LSEG 相关负责人强调，目前正在设法与客户取得联系，以确保的数据得到保护，并确保通知任何有关当局。   转自Freebuf，原文链接：https://www.freebuf.com/news/399706.html 封面来源于网络，如有侵权请联系删除

据称 RansomHouse 组织将 Lopesan Hotels 添加到其勒索网站的受害者名单中，声称他们获得了 650GB 有关酒店收入（3.824 亿美元）的数据以及有关 408 名员工的详细信息。 该组织声称已于 2024 年 3 月 22 日对数据进行加密，同时表示该公司对于在互联网上泄露了机密数据不感兴趣。 Lopesan 酒店集团是一家家族企业集团，于 1972 年作为承担公共建筑项目的集团开始活动。后来该连锁酒店扩大规模成为一家跨国公司，总部位于大加那利岛。 RansomHouse Group 分享了洛普森酒店网络攻击的详细信息 该黑客组织声称，除网络攻击外，该连锁酒店仍未能解决网络攻击问题。他们表示：“我们确信洛普森酒店集团对机密数据泄露或出售给第三方不感兴趣，但我们强烈建议您尽早解决这种情况。” 此外，RansomHouse 还分享了一个不需要任何密码的便可下载数据的链接，网站上所有用户都可以使用这些数据。 RansomHouse 集团以高价值目标为目标而闻名 据称该勒索软件团伙的行动始于2021 年底的勒索软件即服务操作，他们对大型企业和高价值目标的网络进行主动攻击。 RansomHouse 最初是针对意大利的，但后来他们开始针对美国和西班牙等国家。 该组织主要针对工业和科技领域，并于 2022 年 5 月建立了受害者勒索页面。 用 RansomHouse 代表的话说，该组织声称不加密数据，“只是敲诈勒索”。他们称自己是一支“正义的力量”，旨在“揭露”安全实践不佳的公司。据观察，该组织只接受比特币付款。 与一些较大的当代勒索软件组织相比，该组织的行动往往更小、更复杂。众所周知，他们在著名的地下市场招募成员，并利用基于 Tor 的聊天室进行赎金谈判。 由于该组织倾向于仅进行勒索攻击，因此他们的技术往往更隐蔽、更快，也由于不发生加密过程，避免了典型的勒索软件检测触发。 RansomHouse Group 对大规模数据泄露负责 RansomHouse 小组最近开发了一种名为“MrAgent”的新工具，该工具针对的是通常用于存储有价值数据的 VMware ESXi 虚拟机管理程序。去年，该组织将几个大型组织作为目标。 他们的活动包括从半导体巨头 AMD 窃取 450 GB 数据、扰乱西班牙巴塞罗那医院诊所医疗服务的攻击以及对非洲最大连锁超市 Shoprite 的攻击等。 尽管 RansomHouse 组织声称自己是一股积极力量，但其活动的复杂性和攻击规模提醒我们需要提高警惕并采取积极主动的防御策略，以防范类似的违规行为。   转自安全客，原文链接：https://www.anquanke.com/post/id/295795 封面来源于网络，如有侵权请联系删除

法国高品质内衣公司 Le Slip Français 宣布发生数据泄露事件，部分客户数据被盗。 该公司在其网站上表示：“4 月 15 日，在我们遭受恶意网络攻击后，我们意识到客户的一些个人数据不幸被黑客窃取了。” Le Slip Français 是一家法国在线零售商，销售高品质内衣、泳装和配饰，其产品 100% 源自法国。 该公司保证有关客户帐户密码或支付卡数据的信息不会受到该事件的影响。 该公司表示：“此次攻击已得到控制，我们正在密切监视情况以防发生任何潜在的欺诈行为，必要时会通知我们的用户。” 该公司向法国数据保护局 CNIL 和其他司法部门报告了这一事件。 运营数据泄露搜索网站 Have I Been Pwned 的安全顾问特洛伊·亨特 (Troy Hunt) 在 X 上指出，五天前泄露的数据出现在一个流行黑客论坛上。这些数据是由一个名为 shopifyGUY 的黑客发布的，他也是上周 Giant Tiger Canada 泄密事件的罪魁祸首。 该黑客声称，泄露的数据包括 696,144 条客户详细信息，例如电子邮件地址、姓名、电话号码、实际地址、购买情况以及总共 1,506,395 封电子邮件。 Hunt 认为黑客的别名暗示了 Shopify 密钥的泄露。 Hunt 在 X 上发帖称：“我被告知这些漏洞出现的 JSON 格式都与此一致，显而易见这是所有漏洞的共同向量。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295808 封面来源于网络，如有侵权请联系删除

游戏开发公司Asantee Games因未能设置密码而泄露了超过1400万玩家的数据。 Asantee Games 是一家成立于 2012 年的小型游戏开发工作室。该公司的旗舰项目是 Magic Rampage 游戏，于 2013 年 12 月发布，在 Android 和 iOS 平台上的下载量超过 1000 万次。 Cybernews 研究表明，这家巴西公司的数据泄露是由于面向文档的数据库平台 MongoDB 的配置错误造成的，这造成该公司的数据无密码且可公开访问。 泄露的数据包括： 玩家的用户名 玩家的电子邮件 玩家的设备数据 球员统计 具有加密密码的管理员凭据 由于此类数据可能被用于各种攻击媒介，此次泄露会给用户带来风险。暴露的用户名和电子邮件可能会被恶意行为者利用来进行身份盗窃、实施欺诈或创建虚假身份。 受影响的用户还可能成为网络钓鱼攻击的目标。攻击者发送欺骗性电子邮件，冒充合法实体来诱骗用户泄露敏感信息或安装恶意软件。   转自安全客，原文链接：https://www.anquanke.com/post/id/295724 封面来源于网络，如有侵权请联系删除

乌克兰黑客声称攻破了俄罗斯无人机开发商Albatross，泄露了100GB 数据，包括内部文档、技术数据和各类无人机图纸。 一个自称为“网络抵抗”的组织表示，它与国际志愿者社区 InformNapalm 分享了这些文件，该社区根据数据泄露进行调查。 InformNapalm 周一发布了一份分析 Albatross 数据的报告。黑客表示，并非所有获得的数据都包含在报告中，其中一些信息无法披露，因为乌克兰军方“已经使用了几个月”。 “我们只会与那些能够有效使用这些信息的人分享这些信息，”网络抵抗组织在其 Telegram 频道上写道。 Recorded Future News 无法立即证实这一说法或验证泄露数据的真实性。目前尚不清楚黑客的所在地，但他们用乌克兰语公开交流。 8 月初，该组织与 InformNapalm 合作，根据一名涉嫌参与洗钱和逃避制裁计划的俄罗斯高级政客泄露的电子邮件进行调查。 Albatross泄露 InformNapalm 在其分析中表示，俄罗斯无人机开发商 Albatross 泄露的文件证实了之前关于该公司参与开发伊朗设计的 Shahed 无人机的调查结果，俄罗斯在正在进行的战争期间对乌克兰部署了这些无人机。 去年，英国《金融时报》报道称，俄罗斯秘密与伊朗合作，将其农业无人机开发商Albatross转变为军用无人机制造商。该公司去年12月遭到美国制裁。 InformNapalm 还声称，网络抵抗泄露事件揭示了有关 Albatross 行动的最新细节，例如参与组装俄罗斯制造的伊朗无人机的人员身份，以及对俄罗斯经济特区阿拉布加（据称是伊朗的枢纽）运作的深入了解。 InformNapalm 调查包含涉嫌与 Albatross 行动有关的泄露文件、地图和照片的屏幕截图。 这并不是亲乌克兰黑客第一次声称入侵俄罗斯无人机制造商。 2 月初，名为白俄罗斯网络游击队 (Belarusian Cyber Partisans)的黑客组织表示，他们获得了另一家俄罗斯无人机开发商 Orlan 的内部信件、员工数据以及军事训练场地的位置。黑客声称他们将这些数据交给了乌克兰情报部门，但乌克兰情报部门拒绝对此发表评论。 乌克兰网络安全官员此前承认，他们在网络攻击期间获得的情报有助于武装部队的地面行动。有时他们认为是当地黑客窃取了这些数据。 关于网络抵抗组织的运作方式及其与政府的联系，人们知之甚少。该组织自称为“黑客行动团队”，并声称自 2014 年以来一直与 InformNapalm 以及乌克兰安全部队合作。该组织经常在其拥有 10,000 名粉丝的 Telegram 频道上发布针对其黑客行为的调查结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/295650 封面来源于网络，如有侵权请联系删除

网络安全供应商 Cisco Duo 警告，黑客闯入了一家用于发送 Duo MFA SMS 消息的身份不明的电话供应商，并窃取了可用于下游攻击的日志数据。 据思科数据隐私和事件响应团队的客户通知，此次泄露暴露了电话号码、电话运营商、元数据和其他可能导致网络钓鱼和社会工程攻击的日志。 思科警告道： “我们从[未透露姓名的电话提供商]了解到，黑客于 2024 年 4 月 1 日使用提供商员工的凭据获得了对该提供商内部系统的访问权限，该黑客通过网络钓鱼攻击非法获得了该凭据，并利用该访问权限下载一组与您的 Duo 帐户相关的 MFA 短信日志。” “更具体地说，黑客下载了 2024 年 3 月 1 日至 2024 年 3 月 31 日期间发送给您 Duo 帐户下的某些用户的 SMS 消息的消息日志。消息日志不包含任何消息内容，但包含电话号码，每条消息发送到的电话运营商、国家和州，以及其他元数据（例如消息的日期和时间、消息类型等）。” 据思科称，被入侵的电话提供商确认黑客没有下载或以其他方式访问任何消息的内容，也没有利用其访问权限向消息日志中包含的任何号码发送任何消息。 思科表示，拥有受影响 Duo 帐户的客户可以根据要求获得被盗消息日志的副本。 “由于黑客通过对提供商的社会工程攻击获得了对消息日志的访问权限，因此请立即通知电话号码在消息日志中受影响的用户此事件”，思科补充说：“我们要提醒他们保持警惕，并向相关事件响应团队或其他指定的此类事件联系人报告任何可疑的社会工程攻击。”   转自安全客，原文链接：https://www.anquanke.com/post/id/295665 封面来源于网络，如有侵权请联系删除

隶属于乌克兰情报部门的黑客组织 Blackjack 声称已经关闭了莫斯科的污水网络系统。 黑客声称，Moskollector（一家为莫斯科污水网络运营通信系统的公司）遭受大规模网络攻击后，所有 87,000 个传感器和控制装置均被禁用，包括机场、地铁和天然气管道。 这让公用事业公司无法响应事故和紧急事件。 其他损害包括删除了所有服务器、邮件、30TB 数据（包括备份驱动器和大多数工作站）、所有路由器恢复出厂设置、所有钥匙卡失效、SIM 卡禁用等。 黑客甚至声称使用恶意软件 Fuxnet 永久损坏了一些物理设备，他们将其描述为“类固醇震网（Stuxnet on steroids）”。他们通过 NAND/SSD 耗尽以及在固件中引入错误的 CRC（循环冗余校验 – 错误检测代码）来降低传感设备的性能。 “大约 1,700 个传感器路由器被毁。中央指挥调度器和数据库已被摧毁。 87,000 个传感器都处于离线状态。”黑客说道，并分享了他们的大量活动截图。 有一段时间，该公司所属的网页 moscollector.ru 和社交媒体账户也遭到污损。 正如liga.net首先报道的那样，恢复系统功能可能需要两周到一个月的时间。 在撰写本文时，Moskollector 的网站已启动运行。损害的真实程度尚且未知。 几天前，同一乌克兰黑客摧毁了俄罗斯军事、能源和电信行业使用的数据中心。   转自安全客，原文链接：https://www.anquanke.com/post/id/295566 封面来源于网络，如有侵权请联系删除