欧洲跨国航空航天公司空中客车公司表示，正在调查一起网络安全事件，此前有报道称，一名黑客将该公司3200家供应商的信息发布到暗网上。 一名绰号“USDoD”的黑客周一发帖称，他们在泄露了一名土耳其航空公司员工的账户后，获得了对空客门户网站的访问权限。黑客声称掌握了数千家空客供应商的详细信息，包括姓名、地址、电话号码和电子邮件。  “USDoD”曝光了3,200家敏感空客供应商信息的同时声称洛克希德·马丁公司和雷神公司可能是下一个目标。考虑到所涉及的公司类型，此次泄密事件高度敏感。 威胁行为者通常不会透露他们的入侵技术，但在这次极其罕见的泄露中，“USDoD”透露，他们通过利用“土耳其航空公司的员工访问权限”获得了空客的数据。利用这些信息，研究人员成功追踪了上述员工的访问情况——一台于2023年8月感染了信息窃取恶意软件的土耳其计算机。从信息窃取者感染中获得的凭据已成为近年来主要的初始攻击媒介，为威胁行为者提供了进入公司的简单入口点，从而促进了数据泄露和勒索软件攻击。 在Hudson Rock的数据库中发现的受感染员工的凭据 来自受感染计算机的技术信息 空中客车公司发言人Philippe Gmerek证实，黑客入侵了一个“与空中客车客户相关的IT账户”。该账户用于从空客门户网站下载客户的专用商业文件。该公司正在调查该事件，安全团队也立即采取了补救和后续措施，以防止系统被破坏。 据《哈德逊岩报》报道，这名黑客似乎与2022年12月FBI InfraGard系统遭到破坏有关，他在没有提出任何要求的情况下公开发布了泄露的信息。关于攻击者的动机，目前知之甚少。但攻击者表示自己是相对较新的勒索软件组织“Ransomed”的成员。 “Ransomed”正在迅速获得关注，并自豪地在Twitter上声称在2023年9月期间针对大多数公司发起了勒索软件攻击。 取自 ransomwatch.telemetry.ltd 航空航天公司经常因其持有的敏感数据和技术而成为黑客攻击的目标。上周，美国联邦调查局、美国网络司令部和网络安全与基础设施安全局警告称，今年有多个民族国家的黑客利用漏洞瞄准了一家未具名的航空航天公司。 转自E安全，原文链接：https://mp.weixin.qq.com/s/LOp-pJWr_K-0FOX5QbiVow 封面来源于网络，如有侵权请联系删除

这次黑客攻击恰逢伊朗女子Mahsa Amini被警察拘留去世一周年纪念日，带有明显的借势迹象。 以伊朗为主要目标的黑客组织“黑色奖励”（Black Reward）在上周四宣布，针对数百万伊朗人使用的金融服务应用程序“780”发起网络攻击。 该组织在网上发布屏幕截图，图中写道：“打倒哈梅内伊！”“我们回到街头，因为革命仍在继续。为了女性、生命、自由。”消息末尾还加上了#MahsaAmini的标签，是指这位伊朗女子在2022年9月被警察拘留杀害一事。那次事件在当时引发了伊朗全国范围的抗议活动。 该组织在Telegram频道发布了一条消息，翻译如下：“众所周知，革命之火可能会平息，但它永远不会熄灭。黑色奖励组织属于人民，将一直与人民并肩行动，直到取得胜利。” 上述消息通过“780”应用程序推送。该应用程序支持在线购物、账单支付、银行余额查询等金融交易。程序开发商声称拥有超过600万用户。从上周四晚上到上周五，很多人在推特转发了这条消息，他们还通过视频分享消息，发表评论。 上周四晚上，讨论这次黑客攻击的推文。 该公司未回复置评请求。 2022年9月25日，“黑色奖励”在Telegram上首次亮相。当时，Mahsa Amini去世刚刚一周多。2022年10月，该组织发布了一份据称是伊朗政府与国际原子能机构的私人通信文件。伊朗政府将那次黑客攻击归咎于“来自特定国家的未经授权访问”，但没有具体指明是哪个国家。 当时，“黑色奖励”组织告诉外媒CyberScoop，它由伊朗人组成，表示“伊朗伊斯兰共和国说的一切都是谎言。我们支持妇女、生命和自由，与现政权作斗争。” “黑色奖励”组织的Telegram频道拥有超过87000名订阅者。2月28日，该频道发布了对隶属于伊斯兰革命卫队（IRGC）的法尔斯新闻社发动黑客攻击的第二部分。自那以后，该组织的Telegram频道一直处于休眠状态。 “黑色奖励”未回复置评请求。     转自安全内参，原文链接:https://www.secrss.com/articles/58585 封面来源于网络，如有侵权请联系删除

CISA、FBI和美国网络司令部(USCYBERCOM)于本周四（9月7日）发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞攻击了美国一家航空组织。 此次攻击背后的威胁组织尚未公布，联合公告中也并未将攻击者与特定国家联系起来，但USCYBERCOM的新闻稿中将此次攻击活动和伊朗黑客联系了起来。 CISA方面声称，黑客组织至少从 1 月份开始就入侵了航空组织网络。他们此前入侵了一台运行 Zoho ManageEngine ServiceDesk Plus 和 Fortinet 防火墙的互联网外露服务器。 CISA、FBI和CNMF在公告中提到，有高级持续威胁（APT）行为者利用CVE-2022-47966漏洞非法访问了一个面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），并在其网络中建立了持久性。 该漏洞允许黑客在 ManageEngine 应用程序上远程执行代码。还有其他 APT 行为者利用 CVE-2022-42475 在组织的防火墙设备上建立存在。 正如这三个美国机构所警告的那样，这些威胁组织经常会搜索那些面向互联网却没有打补丁的设备。在渗入目标网络后，攻击者会在被黑的网络基础设施组件上保持持久性。这些网络设备很可能会被用作受害者网络内横向移动的基础或者恶意基础设施。 美国国家安全局建人们采取措施以确保基础设施的安全，这些措施包括但不限于保护所有系统免受所有已知漏洞的攻击、监控远程访问软件的未经授权使用，以及删除不必要（已禁用）的账户和组（尤其是特权账户）。 攻击和确保系统安全的警告 今年 1 月，CISA 下令联邦机构保护其系统免受 CVE-2022-47966 漏洞的攻击，几天后，网上发布了概念验证 (PoC) 漏洞利用代码，威胁方开始攻击未打补丁的 ManageEngine 实例，以打开反向外壳。 在 CISA 发出警告几个月后，朝鲜 Lazarus 黑客组织也开始利用 Zoho 漏洞，成功入侵了医疗机构和一家互联网骨干基础设施提供商。 联邦调查局和 CISA 就国家支持的组织利用 ManageEngine 漏洞攻击关键基础设施，包括金融服务和医疗保健发布了其他多条警报。 正如Fortinet在1月份披露的那样，CVE-2022-42475 FortiOS SSL-VPN漏洞在针对政府组织和相关目标的攻击中也被作为零日漏洞加以利用。 Fortinet 曾在去年11月28日修复了该漏洞，但并未公布该漏洞被利用的具体信息。不过Fortinet 自12 月中旬后已经开始敦促客户为其设备打上补丁，以确保设备安全。 转自Freebuf，原文链接:https://www.freebuf.com/news/377479.html 封面来源于网络，如有侵权请联系删除

攻击者利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。 黑客组织ShinyHunters最近表示，它已经访问了澳大利亚比萨饼店连锁店Pizza Hut 100多万客户的数据。攻击者表示，他们在1-2个月前利用AWS中的漏洞入侵系统，窃取了超过3000万行机密信息。 黑客发布的样本包含订单信息，包括姓名、地址、电话号码和客户的加密银行卡数据。专家核实了被盗数据的真实性。 ShinyHunters黑客要求30万美元删除被盗信息。该组织已经在公共领域发布了拒绝支付赎金的公司的数据。到目前为止，澳大利亚的Pizza Hut还没有公开评论这一事件，也没有回应攻击者的要求。该公司的官方网站和社交媒体上也没有任何关于黑客攻击的信息或通知客户。当地媒体向Pizza Hut管理层提出的数据盗窃问题也没有得到答复。 被盗的数据可能被用于从银行卡上窃取资金、钓鱼攻击和其他犯罪目的。这一事件威胁到澳大利亚数百万披萨连锁店客户的安全。 尽管这一事件规模巨大，但并未超越今年澳大利亚发生的另一个重大事件。黑客3月对澳大利亚Latitude集团的袭击实际上使该公司破产，但奇迹般地没有完全摧毁其业务，这在很大程度上归功于良好的管理和许多缓解措施。 这些事件暴露了大公司易受黑客攻击的脆弱性，并强调了确保公司内部数据以及客户、合作伙伴和员工的机密信息得到可靠保护的重要性。窃取数百万人的个人数据是一种严重的犯罪行为，会给企业带来重大的声誉和财务风险。     转自安全内参，原文链接:https://www.secrss.com/articles/58568 封面来源于网络，如有侵权请联系删除

英国军事和情报网站的绝密安全信息已被与俄罗斯有关的黑客在网上泄露，攻击者发布了数千页的数据，这些数据可以帮助犯罪分子进入HMNB克莱德核潜艇基地、波顿当化学武器实验室和GCHQ监听站。其潜在后果简直是灾难性的。此外，该漏洞暴露了与高安全性监狱和对国家网络防御至关重要的军事设施有关的关键数据。 所有这一切都随着黑客瞄准Zaun的数据库而展开，Zaun是一家以为高风险站点制造安全围栏而闻名的公司。被盗数据随后被存放在暗网上，只能通过专用软件访问。 令人不安的军火库 也许从这次违规中出现的最令人不安的启示是被盗数据的数量和严重性。有关位于苏格兰西海岸的HMNB Clyde核潜艇基地的信息现已暴露给潜在的对手。这些数据落入坏人之手的后果简直是噩梦。波顿唐化学武器实验室是一个致力于研究化学和生物威胁的设施，泄露的数据如果被利用，可能会成为难以想象的破坏事件。 此外，该漏洞暴露了GCHQ监听站的内部运作，这是负责监控通信和收集重要情报的情报机构中的重要齿轮。任何对其安全的攻击都会影响到国家抵御外部威胁的能力。 除了这些备受瞩目的目标外，黑客还获得了有关高安全性监狱的信息，放大了此违规行为带来的风险。掌握监狱安全措施的知识可以用来策划越狱或策划对这些设施的攻击。此外，该国网络防御不可或缺的军事站点也遭到破坏。这对国家抵御网络攻击的能力构成了直接威胁，可能为关键基础设施的灾难性破坏打开大门。 紧急警钟 此次泄露事件引发了人们对英国最敏感网站的脆弱性以及网络犯罪分子所构成的迫在眉睫的威胁的严重质疑，这些犯罪分子甚至有能力渗透到最坚固的安全系统。下议院国防特别委员会成员、工党议员凯文·琼斯发出严厉警告：“这可能对我们一些最敏感站点的安全造成非常大的损害。政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都值得高度关注。” 这一违规行为的影响是深远的，动摇了英国国家安全基础设施的基础。这场灾难的中心是Zaun，尽管它负责保护美国一些最关键的网站，但该公司的计算机系统被黑客利用，暴露了英国国家安全盔甲上的一个缺口。     转自E安全，原文链接:https://mp.weixin.qq.com/s/LFBZo6U4xtVTqo-Y-0fhFw 封面来源于网络，如有侵权请联系删除

以 “Mom’s Meals “为名开展业务的美国公司 PurFoods 遭到勒索软件攻击，超 120 万客户和员工的个人数据信息被盗。 Mom’s Meals 是美国一家医疗送餐服务公司，主要为自费客户或通过医疗补助计划（Medicaid）和《美国老年人法案》（Older Americans Act）计划获得政府援助的人提供餐饮服务。 该公司发布警告称于 2023 年 2 月 22 日在其网络上发现了可疑网络活动，当时内部系统中的某些文件已被勒索软件加密，发现可疑网络行为后，公司立即在第三方专家的帮助下展开了调查。 最终，经过调查人员确定公司内部系统于 2023 年 1 月 16 日至 2023 年 2 月 22 日期间经历了一次大规模网络攻击，威胁攻击者对内部网络中的某些文件进行了加密。2023 年 3 月初，网络攻击带来的负面影响开始显现，一位匿名的 Mom’s Meals 员工向爱荷华州的一家新闻媒体透露，由于 “网络问题”，已经一周没有上班，也没有工资。 PurFoods 调查显示 Mom’s Meals 公司于 2023 年 1 月 16 日开始遭到入侵，安全研究人员在其内部网络上发现常用的数据窃取工具，2023 年 7 月 10 日，深入调查结束后，研究人员确认黑客获取了以下数据信息： 出生日期 驾驶执照 州身份证号码 金融账户信息 支付卡信息 医疗记录编号 医疗保险和医疗补助识别码 健康信息 治疗信息 诊断代码 膳食类别和费用 医疗保险信息 病人 ID 号 社会安全号（>1% 的被暴露者） 根据 PurFoods 向缅因州总检察长办公室提交的数据泄露文件显示，此次网络安全事件共影响 1237681 人，涉及到曾收到 Mom’s Meals 套餐的个人、在职/离职员工以及独立承包商，PurFoods 承诺这些人将通过 Kroll 公司免费获得 12 个月的信用监控和身份保护服务。 最后，PurFoods 强调暴露给网络犯罪分子的数据具有高度敏感性，威胁行为者可以利用其进行精心设计的诈骗、网络钓鱼和社交工程攻击。因此，强烈建议 Mom’s Meals 客户对所有收到的电子邮件、SMS 短信，电话等通信保持高度警惕。     转自Freebuf，原文链接:https://www.freebuf.com/news/376441.html 封面来源于网络，如有侵权请联系删除

两个与朝鲜有联系的APT集团破坏了俄罗斯主要导弹工程公司NPO Mashinostroyeniya的基础设施。NPO Mashinostroyenia是俄罗斯领先的导弹和军用航天器制造商。这家俄罗斯公司于2014年7月受到美国财政部的制裁，原因是它支持俄罗斯政府试图破坏乌克兰东部的稳定及其对克里米亚的持续占领。 研究人员发现了两起与朝鲜有关的妥协事件，即黑客破坏了敏感的内部IT基础设施，包括一个特定的电子邮件服务器。攻击者还使用了名为OpenCarrot的Windows后门。 网络安全公司SentinelOne将邮件服务器的黑客攻击归因于ScarCruft APT集团，同时将OpenCarrot后门与Lazarus集团联系起来。然而，目前尚不清楚这两个组织是否作为联合网络间谍活动的一部分入侵了这家俄罗斯公司。 网络间谍瞄准了该公司，试图窃取俄罗斯军方目前正在使用和开发的敏感导弹技术的高度机密知识产权。 研究人员在对疑似朝鲜APT的活动进行日常监测时发现了黑客行为。他们发现了一个泄露的电子邮件集，其中包含一个与朝鲜团体有关的植入物和从俄罗斯组织窃取的信息。 根据泄露的电子邮件，这家俄罗斯公司于2022年5月发现了入侵事件。2022年5月中旬，大约在俄罗斯否决联合国决议对朝鲜发射可能携带核武器的洲际弹道导弹实施新制裁的一周前，受害者组织在内部标记了入侵行为。NPO Mashinostroyeniya的内部电子邮件显示，IT工作人员交换了讨论，强调了具体流程之间存在的可疑沟通以及未知的外部基础设施。同一天，NPO Mashinostroyeniya的工作人员还发现了不同内部系统中存在的可疑DLL文件。 最初的攻击向量尚不清楚，但研究人员推测受害者的目标是旨在传递RokRAT后门的鱼叉式网络钓鱼消息。 SentinelOne在报告中总结道：“我们高度自信地将此次入侵归因于与朝鲜独立相关的黑客。这起事件有力地说明了朝鲜为秘密推进其导弹开发目标而采取的积极措施，朝鲜网络黑客的汇合是一个影响深远的威胁，需要进行全面的全球监测。”     转自E安全，原文链接:https://mp.weixin.qq.com/s/giPkH5LK6BfjnwB063J6FA 封面来源于网络，如有侵权请联系删除

近期黑客挟持企业的facebook帐号的攻击行动，有不少是通过脸书广告，打着提供生成式AI机器人应用程序的名义，散布窃资软件来进行，但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手，并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域上，从而回避系统的侦测，并骗取受害组织的脸书帐号。 云平台的系统管理工具有可能遭到滥用，因此成为黑客的“木马程序”, 研究人员揭露利用AWS EC2系统管理工具System Manager的攻击手法，攻击者有可能透过这项工具管理其他组织的AWS EC2实体。 已被用于攻击Citrix NetScaler系统存在的零时差漏洞CVE-2023-3519，有研究人员揭露初步调查结果，他们找到640台服务器已被部署了后门，并强调这可能仅是受害范围的冰山一角。 Guardio揭露CRM平台Salesforce的漏洞PhishForce，黑客借此漏洞绕过该CRM平台的寄件人验证措施，并滥用脸书内嵌应用程序平台，来大规模发送钓鱼邮件。 研究人员指出，黑客滥用了Email-to-Case的功能，该功能主要是让组织能将客户寄入的电子信件转换为Salesfoce系统传递的处理工单，但黑客将其用来设置新的工作流程，进而控制Salesforce产生的电子邮件信箱，并产生 salesforce.com 域的内部信箱，且将其设置为组织全局的电子邮件信箱，然后用于发送钓鱼邮件， 而能绕过Salesforce的验证措施，以及组织设置的邮件安全系统。 在其中一起攻击行动里，黑客假借Meta的名义，声称收信人的脸书帐号出现异常，一旦依照指示点选信中链接，就会被带往架设在脸书内嵌应用程序平台（apps.facebook.com）的钓鱼网页。 对此，Salesforce获报后着手修补漏洞，Meta移除钓鱼网页，并着手调查黑客如何滥用该脸书内嵌应用程序平台。     转自E安全，原文链接:https://mp.weixin.qq.com/s/e66rx1ptF_oAJ2Iw8ng8Qw 封面来源于网络，如有侵权请联系删除

近日，以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区无法访问，攻击者声称黑掉了该集团的网络系统。 位于海法湾的BAZAN集团（前身为OilRefineriesLtd.）每年创造逾135亿美元的收入，并雇佣超过1800人。该公司声称拥有每年约980万吨的原油炼油能力。 上周末，BAZAN集团的网站bazan.co.il和eng.bazan.co.il遭遇DDoS攻击无法访问（上图），出现HTTP502错误，或服务器拒绝访问（403错误）。该炼油厂的网站在全球范围内大部分地区都无法访问，但在以色列境内仍可访问，这可能是BAZAN为抵御网络攻击实施的地理封锁。 伊朗黑客活动组织”CyberAvengers”宣称在周末攻击了BAZAN的网络，并在周六晚间泄露了BAZAN的SCADA系统的屏幕截图，这些系统用于监控和操作工业控制系统，其中包括“火炬气回收装置”、“胺再生”系统、石化“分流器部分”的图表和PLC代码。 BAZAN的发言人则否认了工控系统资料泄露，并称之为“完全捏造”。 此外，CyberAvengers声称他们通过利用CheckPoint防火墙的漏洞攻破了这家石化巨头，BleepingComputer也通过公开记录确认了黑客攻击的防火墙设备IP地址确实属于BAZAN，但CheckPoint的发言人矢口否认，指责黑客的声称“不属实”。 CyberAvengers还宣称在2020年攻击超过150个工业服务器瘫痪了28个以色列铁路车站，并对2021年海法湾石化厂管道故障引发的火灾负责。 最后，虽然BAZAN否认此次黑客攻击对其业务系统和资产造成任何损失，但这一事件再次凸显了关键基础设施的网络安全问题的紧迫性，同时也突显了攻击者在全球范围内发动网络战争的潜在威胁。尽管目前有关攻击的真实性仍存在争议，但这一事件也反映了网络攻击和信息战的复杂性和多维度特性。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ldebxSHkeiLSEmWuCv7kkg 封面来源于网络，如有侵权请联系删除

安全内参7月25日消息，挪威政府警告称，黑客利用第三方软件的零日漏洞发动网络攻击，12个部委使用的信息通信技术平台受到影响。 据悉，除总理办公室、国防部、司法与公共安全部、外交部之外，挪威其他所有部委均使用该平台。 挪威政府安全和服务组织（DSS）在发现网络攻击后通知了国家安全局（NSM），并协同警方进行调查。挪威数据保护局也已收到有关网络攻击的通报，表明黑客可能已经访问和/或窃取了信息通信技术系统中的敏感数据，导致数据泄露事件。 尽管受到攻击的平台在政府的日常运作中扮演着关键角色，但最近的网络攻击不会导致工作活动陷入停滞。 DSS发布公告解释道：“需要强调的是政府仍将正常运作。DSS已经采取了多项安全措施来保护受影响信息通信技术平台上的信息。DSS还成立了危机小组，并正与国家安全局和其他安全专家一起调查和处理此事件。” DSS总干事Erik Hope表示，黑客利用政府使用的某应用程序中的零日漏洞入侵了信息通信技术平台。 漏洞目前已经得到修复，DSS还实施了额外的安全措施，例如限制部委员工通过移动设备远程访问DSS的信息通信技术平台，尤其是邮件服务，但他们仍然可以正常使用工作设备。 然而，DSS并未提供关于受攻击软件的任何详细信息。因此，目前尚不清楚本次漏洞是否会引发新一轮网络攻击，对其他国家的组织造成影响。 Erik Hope评论说，目前将攻击归因于特定的黑客还为时过早，也无法估计攻击的范围。挪威政府需要等待警方调查找到这些问题的答案。     转自安全内参，原文链接:https://www.secrss.com/articles/57059 封面来源于网络，如有侵权请联系删除