据 GTA Focal 报道，《GTA 5》的源代码在圣诞节前夕遭泄露，该文件包大小约为 4GB，包含大量 RAGE 引擎文件、概念和参考图像，还有《GTA5》圣安地列斯的早期地图。游戏源代码链接被黑客分发到了Discord、某暗网网站和一个 Telegram 频道等多个渠道。 这次泄露事件距离 Lapsus$ 威胁行为者曾入侵 Rockstar 游戏公司并窃取公司数据已经过去了一年。 在 Telegram 上的《侠盗猎车手》泄密频道中，名为”Phil “的频道所有者发布了源代码的链接，并分享了其中一个文件夹的截图。 包含《GTA 5》源代码的文件夹截图，来源：Telegram Phil还向 Lapsus$ 黑客 Arion Kurtaj 致敬，他曾以 “teapotuberhacker “的名义泄露过《侠盗猎车手 6》的预发布视频。 2022 年，Rockstar Games 遭遇臭名昭著的 Lapsus$ 黑客组织攻击，他们入侵了该公司的 Slack 服务器和 Confluence 维基。 黑客当时声称窃取了《GTA 5》和《GTA 6》的源代码以及《GTA 6》的测试版，并在论坛和 Telegram 上分享了《GTA 5》源代码样本，以证明他们窃取了数据。 黑客2022年在Telegram上出售《GTA V》源代码，来源：BleepingComputer 安全研究组织 vx-underground 相关人员在 Discord 上与泄密者进行了交谈，后者表示源代码的泄露比预期的要早。他们称在 2023 年 8 月收到了源代码，此次泄露的动机是打击《GTA V》MOD 界的诈骗行为，据称很多人都被声称拥有《GTA V》源代码的人骗了。 虽然此次泄露的源代码看起来是合法的《GTA 5》源代码，但其真实性未得到验证。截止目前， Rockstar并未做出回应。 Lapsus$ 黑客擅长社工攻击&SIM 卡交换攻击 一直以来，Lapsus$ 黑客组织都十分擅长使用社交工程和 SIM 卡交换攻击来入侵企业网络。该组织曾对包括 Uber、微软、Rockstar Games、Okta、Nvidia、Mercado Libre、T-Mobile、育碧、沃达丰和三星等在内的知名企业发起过攻击。作为攻击的一部分，黑客还会以窃取到的源代码和客户数据来勒索这些公司支付赎金。 美国国土安全部（DHS）网络安全审查委员会对其战术进行了分析，并分享了预防此类攻击的建议。 虽然 Lapsus$ 组织在成员被捕后活动不再像之前那样频繁了，但据最新消息，其中个别成员最近开始在名为 Scattered Spider 的松散黑客组织中有些小动作。 Scattered Spider 组织采用的是与 Lapsus$ 类似的策略，主要通过利用社交工程、网络钓鱼、MFA 疲劳和 SIM 卡交换攻击来获取大型组织的初始网络访问权。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/387698.html 封面来源于网络，如有侵权请联系删除

近日，微软称伊朗网络间谍组织 APT33 正在利用 FalseFont 后门恶意软件攻击全球国防工业基地。 据观察，伊朗民族国家黑客 Peach Sandstorm 曾试图向国防工业基地（DIB）部门的组织员工发送名为 FalseFont 的开发后门。此类攻击针对的目标包括 10 万多家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。 该黑客组织又名 Peach Sandstorm\HOLMIUM \Refined Kitten，自 2013 年起就频繁活动。他们的攻击目标横跨美国、沙特阿拉伯和韩国的多个行业领域，还包括政府、国防、研究、金融和工程等垂直行业。 此次微软公布的 FalseFont 是该组织最新行动中部署的自定义后门，它为操作员提供了远程访问被入侵系统、执行文件和向其指挥控制（C2）服务器传输文件的功能。 微软方面表示，这个后门是在今年 11 月初初次被在野发现。 Redmond 表示：FalseFont 的相关威胁行动与微软在过去一年中观察到的 Peach Sandstorm 活动一致，这表明 Peach Sandstorm 的技术在持续精进。他建议各组织机构重置密码、撤销会话 cookie，并使用多因素身份验证（MFA）确保账户和 RDP 或 Windows 虚拟桌面端点的安全，从而减少 APT33 黑客的攻击面。 遭受攻击的国防承包商 今年 9 月，微软曾发布警告声明称自 2 月以来，黑客组织APT33针对全球数以千计的组织（包括国防部门）发起了大范围的密码喷射攻击。 据微软威胁情报团队称：2023 年 2 月至 7 月间，Peach Sandstorm 发起了一波密码喷射攻击，试图对数千个环境进行身份验证。 在2023年一整年，Peach Sandstorm 一直展现出对美国和其他国家的卫星、国防部门组织以及制药部门的兴趣。一旦发起攻击，黑客极易导致国防、卫星和制药领域的数据泄露。 微软威胁情报中心（MSTIC）的研究人员还发现了另一个与伊朗有关的黑客组织，名为DEV-0343。微软2012年10月的一份报告显示，该组织两年前也曾攻击过美国和以色列的国防科技公司。 转自Freebuf，原文链接：https://www.freebuf.com/news/387399.html 封面来源于网络，如有侵权请联系删除

据路透社报道，本周一发生的网络攻击造成了伊朗全国范围内的加油站业务中断，加油卡无法使用。 据伊朗国家电视台和以色列当地媒体报道，周一的网络攻击导致伊朗全国70%的加油站服务中断。这次网络攻击对首都德黑兰造成了重大影响，许多加油站被迫手动操作。 伊朗加油站协会发言人礼萨·纳瓦尔(Reza Navar)告诉法尔斯通讯社，燃料供应并不短缺，但呼吁司机尽量不要前往加油站。 亲以色列的黑客组织 “Predatory Sparrow”（波斯语为Gonjeshke Darande）声称对此次攻击负责，并且在其社交频道中晒出了伊朗加油站管理系统的截图： 黑客窃取的信息包括： 伊朗各加油站信息 支付系统信息 加油站服务器中的管理系统界面 伊朗式应急响应：免费为车主加油 伊朗石油部长贾瓦德·欧吉(Javad Owji)周一告诉伊朗国家电视台，至少30%的加油站（伊朗全国3800个加油站中的1650个）仍在运行，其余加油站正逐步解决中断问题。 伊朗国家电视台则报道称，伊朗各地加油站正在尝试手动（免费）加油，超过50%的加油站正在提供服务，并且正在进行让更多加油站重新上线的尝试。 截至发稿，据伊朗伊斯兰共和国通讯社（IRNA）报道，由于网络攻击导致加油站软件系统故障，加油卡无法使用，伊朗各地加油站正在提供线下免费加油服务。 与此同时，伊朗全国加油服务正在快速恢复中，其中呼罗珊省260个加油站90%已经恢复运营。加兹温省所有98个加油站周一上午一度全部关闭，但周一晚间已经有25%（22个站点）个加油站重新上线，未能上线的加油站以人工方式为车主免费加油。 以色列黑客多次重创伊朗关键基础设施 Predatory Sparrow 在电报频道发布声明中指出：“这次（针对伊朗加油站系统的）网络攻击是以受控方式进行的，以避免对紧急服务造成潜在损害。” 声明补充说，这次网络袭击是“为了回应伊斯兰共和国及其在该地区的代理人的侵略”。 据伊朗官方媒体报道，黑客组织 Predatory Sparrow 过去曾声称对伊朗加油站、铁路网络和钢铁厂发动了多次网络攻击。 2021年7月，伊朗铁路系统曾遭遇攻击，攻击者在国内各地车站的显示屏上，发布关于车次延误或取消的虚假信息。但此次攻击没有黑客组织宣布为之负责，以色列网络安全公司将攻击者归因为黑客组织“因陀罗”（Indra）。 2021年10月，网络攻击导致伊朗全国加油站系统大范围故障，车主无法使用电子加油卡。（插入加油机后显示“网络攻击64411”字样，该数字是伊朗最高领导人办公室座机号码，7月份铁路系统攻击中黑客发布的“客服号码”也使用了该号码） 2022年，Predatory Sparrow发布了一段伊朗钢铁厂发生内部爆炸的视频，据称是由黑客攻击造成。 2021年针对伊朗的一次重大网络攻击也扰乱了其燃油销售，导致全国各地汽油价格紊乱，得到大量补贴的加油站排起长队。伊朗曾表示，以色列和美国可能是这些袭击的幕后黑手。 中东关键基础设施面临重大安全风险 随着以色列哈马斯冲突的持续发酵，数百个亲哈马斯和亲以色列黑客组织正在频繁发起网络攻击，中东关键基础设施面临重大网络安全风险。 以色列网络部门周一表示，伊朗黑客组织大约三周前对以色列北部一家医院发起的一次未遂网络攻击。据称，虽然攻击被挫败，但黑客检索了“医院信息系统中存储的一些敏感信息”。 与此同时，大量支持哈马斯的黑客组织正积极使用数据擦除器摧毁以色列公司的基础设施。 2023年11月，Check Point 研究人员观察到一个与哈马斯相关的 APT 组织正在使用 SysJoker 针对以色列实体的后门。Security Joes 事件响应团队发现了一种新的 Linux Wiper 恶意软件，他们将其跟踪为 BiBi-Linux Wiper。 研究人员警告说，在当前的网络安全态势下，中东的关键基础设施面临重大攻击风险，随时可能会导致服务中断。 转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ZwrRKz6hej6G0u30E7k3lw?from=industrynews&version=4.1.15.6007&platform=win 封面来源于网络，如有侵权请联系删除

2022年7月，Shakeeb Ahmed 利用一家加密货币交易所的智能合约中的一个漏洞进行了攻击，通过操纵智能合约引入虚假定价数据，产生了价值约900万美元的夸大费用。在提取了这些费用之后，Shakeeb Ahmed 跟该加密货币交易所交涉，表示如果交易所同意不将此次攻击上报执法部门，他就只会拿走150万美元，其余被盗资金悉数归还。 在第一次黑客攻击后不久，大约在2022年7月28日，Shakeeb Ahmed 又利用Nirvana Finance加密货币交易所的漏洞对其进行了闪电贷。Nirvana Finance 买卖其加密货币代币ANA的设计是，当用户购买大量ANA时，ANA的价格会上涨，当用户出售大量ANA时，ANA的价格会下降。 当时Shakeeb Ahmed用大约1000万美元从Nirvana Finance购买了大量ANA，但他是利用在Nirvana智能合约中发现的漏洞以初始低价购买，而不是根据他的购买量 Nirvana Finance 设计的更高价格。当ANA的价格更新以同步反映他的大宗购买时，Shakeeb Ahmed 又以这个新的高价将他购买的ANA重新出售给 Nirvana Finance，从而使他获得了大约360万美元的差价利润。 在进行上述两次入侵时，Shakeeb Ahmed是一家国际科技公司的高级安全工程师，他的简历上写着他精通智能合约的逆向工程和区块链审计，如今看来确实精通，这些技能被他熟练运用于执行这些黑客攻击之中。 在犯案后，Shakeeb Ahmed 通过各种手段试图掩盖自己的痕迹，例如将盗窃资产兑换成—门罗币（一种旨在为用户提供增强隐私和匿名性的加密货币，使交易难以追踪）。由于担心被抓，他还考虑离开美国。警方发现他在网上搜索有关他的黑客攻击的信息，以及与他逃离美国、避免引渡和保住被盗加密货币的能力有关的网站。例如，他搜索了诸如“能用加密货币跨境吗”、“如何阻止联邦政府扣押资产”、“购买公民身份”等。 在本案中，Shakeeb Ahmed在美国地方法官面前承认犯有计算机欺诈罪（最高可判处五年监禁），并同意没收其超过1230万美元的资产。 转自看雪学苑，原文链接：https://mp.weixin.qq.com/s/YfbT1MiHswmriMtIw9xWJg 封面来源于网络，如有侵权请联系删除

近日，一个名为 “AeroBlade “的全新网络间谍黑客组织“浮出水面”。 BlackBerry公司发现该黑客组织以美国航空航天领域的组织为目标，陆续发起了两次攻击：第一次是在2022年9月的一次测试浪潮，第二次是今年7月发起的一次更高级别的攻击。 攻击利用了鱼叉式网络钓鱼和武器化文件实现对企业网络的初始访问，并投放能够列出文件和窃取数据的反向外壳有效载荷。 BlackBerry公司评估后认为，该黑客组织的攻击目标是商业网络间谍活动，旨在收集有价值的信息，可信度为中高。 攻击活动详情 AeroBlade 的首次攻击发生在 2022 年 9 月，它使用带有文档 (docx) 附件的钓鱼电子邮件，利用远程模板注入下载第二阶段的 DOTM 文件。 第二阶段执行恶意宏，在目标系统上创建反向shell，并连接到攻击者的命令和控制（C2）服务器。 向受害者展示的诱饵文件 BlackBerry方面表示，一旦受害者通过手动点击 “启用内容 “引诱信息打开并执行该文件，[redacted].dotm 文件就会谨慎地向系统投放一个新文件并打开它。用户新下载的文件是可读的，这就能够让受害者相信最初通过电子邮件收到的文件是合法的。 AeroBlade的攻击链 反向外壳有效载荷是一个严重混淆的 DLL 文件，它会列出被入侵计算机上的所有目录，以帮助操作员计划下一步的数据盗窃行动。 DLL 文件具有反分析机制，包括沙箱检测、自定义字符串编码、通过死代码和控制流混淆提供反汇编保护，以及通过 API 散列掩盖 Windows 功能滥用。 该有效荷载还通过Windows任务调度程序在系统上建立持久性，添加一个名为“WinUpdate2”的任务，因此在被破坏设备上的立足点在系统重新启动后仍然存在。 早期的DLL有效载荷样本遗漏了2023样本中看到的大多数规避机制，以及列出目录和窃取数据的能力。 这表明黑客在继续改进其工具，以实施更复杂的攻击，而 2022 年的尝试则更侧重于测试入侵和感染链。 在这两次攻击中，最终有效载荷都是连接到相同 C2 IP 地址的反向shell，黑客在网络钓鱼阶段使用了相同的引诱文件。 BlackBerry公司无法确定 AeroBlade 的来源或攻击的确切目的。 但据研究人员推测，其目的是窃取数据进行出售，将其提供给国际航空航天竞争对手，或利用这些信息对受害者进行敲诈勒索。   转自Freebuf，原文链接：https://www.freebuf.com/news/385667.html 封面来源于网络，如有侵权请联系删除

九月份，曾引起广泛关注的MGM网络袭击背后的犯罪团伙再度浮出水面，此次他们发起的勒索软件攻击复杂度更高。在此次事件中，仅仅一小时，攻击者便从第三方服务环境侵入并转移到了目标组织的内部网络。 ReliaQuest在11月22日发表的报告中指出，Scattered Spider——ALPHV/Black Cat勒索软件的下属机构——此次行动彰显了其作为大型企业中的强敌之实力。这一团伙灵活地利用云服务供应商的资源针对企业展开攻击。 该报告揭露，该团伙此次的作案策略与之前攻陷MGM网络的手段相似：他们利用盗取员工的Okta单点登录代理凭证进入了第三方云环境，并借此侵入企业的内部网络。 报告中提到：“调查初期并不清楚首次入侵是如何发生的，然而几周后，客户反馈称入侵是由于社会工程学攻击，攻击者重置了相关用户的凭证。”报告继续指出：“这类社会工程学策略与Scattered Spider历来的作案手段、技术及程序（TTPs）极为吻合，这些手段旨在窃取目标账户的有效凭证。” 具体来说，攻击者采用了一种名为社会工程学多因素认证（MFA）疲劳攻击的手段，短短两分钟内连续尝试四次MFA挑战。在最后一次尝试中成功突破，来自佛罗里达州IP地址99.25.84[.]9的“新设备登录”被捕捉到，攻击者利用此地址重置了合法Okta用户的凭证，进而进入云服务供应商的系统。 接着，攻击者迅速转向企业的本地环境，在这里他们通过IT管理员的Okta凭证成功登录Citrix Workspace，并再次面对MFA的挑战。认证请求被转发到攻击者新注册、掌控下的设备，使其得以步入工作区，并在客户的基础设施中展开更多恶意行为。 这些行动包括劫持Citrix会话和提升权限，攻击者创建了一个具有高权限的虚假安全架构师用户，从而在Azure、SharePoint以及其他关键系统中畅行无阻，研究人员如是表示。 Scattered Spider通过一系列行为——包括对员工进行社会工程学操控、跨租户的身份即服务（IDaaS）冒充、文件遍历、滥用企业特定应用程序以及部署持久性工具——实现了对目标网络广泛的加密和数据泄露。 Scattered Spider成了不容小觑的对手 这一次的事件突显了Scattered Spider团伙之规模与实力，他们在极短的时间内就能在不同行业和地域的被侵环境中，展现其利用资源的复杂手段。此外，研究人员警告，其他网络威胁参与者可能会效仿他们的策略，发起类似的侵袭。 报告强调：“Scattered Spider以惊人的策略性和精准度兵分多路，针对特定应用程序发起攻击，充分利用对内部IT系统的了解快速横向移动。”“随着其他网络威胁行为者技巧日益精进，借鉴成功典型，他们很可能利用类似的TTPs发起攻击。” 事实上，若以MGM的遭遇为案例，Scattered Spider的攻击潜力巨大，足以对企业网络安全构成灾难性影响，应受到相应的高度重视。此团伙曾令全球逾30家酒店和赌场的系统在超过10天时间中瘫痪，这不仅导致了除支付1500万美元的赎金外，还造成数千万美元的经济损失。 尽管执法部门如FBI对这一威胁组织已有充分认知，并且已搜集了海量数据，但迄今为止尚未能有效遏制其行动——在安全界，这仍是一大争议话题。 企业如何防范重大网络威胁 ReliaQuest建议企业应采取一系列措施以防范这一机敏的威胁团伙，因企业自身的防御技巧至关重要。 其中一种方法就是实行“最小权限原则”，尤其是在Okta超级管理员凭证被滥用的情况下，研究人员如此提议。企业应严格限制超级管理员的角色，以防止可能引发设置变更之类的行为，如注册外部身份提供者或取消强认证要求。 报告建议：“承担该角色的用户应采用对MFA绕过攻击具有明显抵抗力的认证方式。”对于超级管理员账户的新登陆情形或MFA认证因素注册，应伴有通知相应人员。同样的建议也适用于内部IT文档的访问——许多组织在这方面并没有适当的访问限制措施。 鉴于Scattered Spider多次利用社会工程学策略操纵员工进行初始侵入云服务，研究人员还建议应严格执行验证最终用户身份的相关政策，尤其对于涉及凭证重置或MFA操作的手续。包含实施挑战-响应流程或在任何操作之前确保用户身份的确认。 综上所述，针对像Scattered Spider这样的组织，企业防御者应将增强安全议程、定期评估和随时对新兴威胁保持警惕作为优先事项，研究人员这样总结。   转自Freebuf，原文链接：https://www.freebuf.com/news/384821.html 封面来源于网络，如有侵权请联系删除

因供应商遭网络攻击，斯特兰蒂斯集团汽车生产受影响。 有消息称：全球知名车企斯特兰蒂斯集团（Stellantis）周一（13日）表示，由于一家汽车供应商受到网络攻击，集团运营被干扰，克莱斯勒、道奇、吉普和公羊等车型的生产受到影响。 这次网络攻击主要影响中国供应商Yanfeng International Automotive Technology Co. Ltd.（延锋国际汽车技术有限公司）。周一晚间，该公司官网无法访问。 延锋汽车的北美总部位于密歇根州诺维。公司生产多种即时零部件，包括座椅、内饰、电子设备和其他组件。 被问及这次网络攻击时，斯特兰蒂斯发言人Anne Marie Fortunate发表声明，“由于一家外部供应商出现问题，斯特兰蒂斯集团位于北美的部分装配厂生产受到干扰。我们正在监控情况并与供应商合作，减轻事件对我们运营的进一步影响。” 她拒绝具体说明哪些生产或地点受到了影响。 对许多企业、政府和其他组织来说，网络安全越来越成为一个值得关切的问题。最近，密歇根大学面临两起诉讼，被控坐视黑客在秋季学期开始时窃取多达23万人的个人信息。 斯特兰蒂斯集团一直在努力从生产内燃机汽车向生产电动汽车转型。为了扩大全球电动车销售业务，该集团最近投资了中国汽车制造商零跑汽车。这家传统车企投资15亿欧元，成为零跑汽车股东。   转自安全内参，原文链接：https://www.secrss.com/articles/60792 封面来源于网络，如有侵权请联系删除

Okta近两年来屡次成为网络攻击焦点，不仅旗下产品被利用成为攻击客户的初始点，还因为自身网络被黑导致客户遭入侵，该公司已成为行业内的典型反例。 安全内参10月25日消息，自Okta上周五（10月20日）披露其支持系统遭黑客攻击以来，公司市值已经减少超过20亿美元。 这一备受瞩目的事件是一系列与Okta或其产品相关安全事件的最新一起。这些事件影响广泛，包括近期多个国际赌场遭到侵入。 Okta上周五披露，一个不明身份的黑客组织能够通过支持系统访问客户文件。该公司股价应声下跌，跌幅超过11%。该公司只披露了一组技术检测指标，没有提供更多细节。本周一开盘后，该公司股价继续下跌，收盘时跌幅达8.1%。 Okta公司的品牌知名度不高，但在国际大型企业的网络安全系统中扮演了重要角色。Okta是一家身份管理公司，拥有超过18000名客户。这些客户使用Okta产品为具体公司使用多个不同平台提供单一登录点。例如，Zoom使用Okta实现“无缝”访问，通过单一登录可以访问公司的Google Workspace、ServiceNow、VMware和Workday等平台。 Okta表示，已经在上周五的公告中与所有受影响的客户进行了沟通。其中至少一家客户表示，数周前就已经提醒Okta可能发生了入侵。 身份管理公司BeyondTrust在上周五发帖表示，他们已经在10月2日向Okta的安全团队报告了BeyondTrust使用的Okta系统中存在可疑活动。尽管BeyondTrust表示担忧“Okta支持系统内很可能已被入侵，而且我们或许不是唯一受影响的客户”，但是Okta一开始并未承认这起事件是一次入侵。 云安全公司Cloudflare、密码管理软件1Password也发表声明，表示发现了与内部Okta系统相关的恶意活动。 Okta承认支持系统入侵后近三天的股价下跌情况 身份供应商成为攻击焦点 Okta曾经多次成为其他备受关注的事件的焦点。 今年早些时候，赌场巨头凯撒娱乐和美高梅都受到黑客攻击。消息人士表示，凯撒娱乐被迫向黑客组织支付数百万美元的赎金。美高梅在SEC文件中承认，不得不关闭对公司利润产生实质性影响的关键系统。 这些事件造成的直接和间接损失总额超过1亿美元。这两起攻击都以复杂的社交工程方式瞄准了美高梅和凯撒娱乐的Okta系统。Okta一名高管对路透社表示，在同一时期，黑客组织还针对其他三家公司进行了攻击。 Okta自身此前也曾多次遭受网络攻击 2022年3月，一家自称Lapsus$的黑客组织曾试图入侵多个Okta系统。根据美国网络安全与基础设施安全局的报告，Lapsus$还曾参与对优步、《侠盗猎车手》制造商Rockstar Games的黑客攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/60015 封面来源于网络，如有侵权请联系删除

2023年5月至9月期间，被追踪为“Sandworm”的俄罗斯国家支持的黑客组织在乌克兰入侵了11家电信服务提供商。这是基于乌克兰计算机应急小组（CERT-UA）的一份新报告，该报告引用了“公共资源”和从一些被破坏的供应商那里检索到的信息。 该机构表示，俄罗斯黑客“干扰”了该国11家电信公司的通信系统，导致服务中断和潜在的数据泄露。 Sandworm是一个非常活跃的间谍威胁组织，与俄罗斯武装部队有联系。它在整个2023年都将注意力集中在乌克兰，攻击中使用了网络钓鱼诱饵、安卓恶意软件和数据擦除器。 瞄准电信公司 攻击开始于Sandworm使用“masscan”工具对电信公司的网络进行侦察，对目标的网络进行扫描。 质量扫描脚本示例 Sandworm寻找开放端口和未受保护的RDP或SSH接口，可以利用这些接口破坏网络。此外，攻击者使用“ffuf”、“gowitness”等工具来查找Web服务中的潜在漏洞，这些漏洞可用于获取访问权限。未受多因素身份验证保护的受损VPN帐户也被用来获得网络访问权限。为了让他们的入侵更加隐蔽，Sandworm使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵过的乌克兰互联网区域内的服务器来进行他们的恶意活动，使其看起来不那么可疑。CERT-UA报告称，在被破坏的ISP系统中发现了两个后门，即“Poemgate”和“Poseidon”。 Poemgate捕获试图在受损端点中进行身份验证的管理员的凭据，为攻击者提供访问其他帐户的权限，这些帐户可以用于横向移动或更深层次的网络渗透。Poseidon是一个Linux后门，乌克兰机构称其“包含全套远程计算机控制工具”。Poseidon的持久性是通过修改Cron以添加流氓作业来实现的。 Cron 二进制修改以增加 Poseidon 的持久性 Sandworm使用Whitecat工具删除攻击痕迹并删除访问日志。在攻击的最后阶段，黑客部署了会导致服务中断的脚本，尤其是关注Mikrotik设备，并擦除备份，使恢复更具挑战性。 损害 Mikrotik 设备的脚本 CERT-UA建议乌克兰所有服务提供商遵循指南中的建议，使网络入侵者更难入侵其系统。 转自E安全，原文链接：https://mp.weixin.qq.com/s/9nZXGfc4aiWQ0AFm9ENiuw 封面来源于网络，如有侵权请联系删除

美国非营利教育组织NSC（国家学生信息交换所）近日披露，其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。 NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。 美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信，披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限，并窃取了包含大量个人信息的文件。 根据通知信内容，被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录（例如入学记录、学位记录和课程级别数据）。 美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。（https://oag.ca.gov/system/files/Exhibit%20A_6.pdf） MOVEit漏洞“交叉泄露” 2023年5月下旬，Cl0p勒索软件组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 Emsisoft的安全专家Zach Simas透露：“许多MOVEit事件的上游/下游极其复杂，一些组织受到影响，因为他们的供应商的承包商使用了MOVEit，而承包商的分包商也使用了MOVEit。此外，一些组织的数据泄露涉及多个使用MOVEit的供应商。” “在教育领域尤其如此，一些机构受到涉及国家学生信息交换所、美国教师保险和年金协会-大学退休股票基金的事件的影响（该基金受到供应商PBI事件的影响）以及第三方健康保险提供商和其他金融服务提供商。” 2023年6月下旬，NSC曾向受影响学校通报了MOVEit数据泄露事件，但由于调查仍在进行中，因此没有提供太多细节。 据Databreaches.net的Doe透露，NSC的名字已从Cl0p的泄露网站中删除，这通常表明受害者已支付赎金。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA 封面来源于网络，如有侵权请联系删除