美国电信运营商（AT&T）警告道，该公司发生了大规模数据泄露事件，黑客从公司 Snowflake 账户的在线数据库中窃取了约 1.09 亿用户（几乎是其所有移动用户）的通话记录。 在周五上午向美国证券交易委员会（SEC）提交的8-K表格中，AT&T报告称其被盗数据包括几乎所有AT&T移动客户和移动虚拟网络运营商（MVNO）客户在2022年5月1日至2022年10月31日以及2023年1月2日期间的通话和短信记录。AT&T进一步表示，AT&T 表示这些数据是在 2024 年 4 月 14 日至 4 月 25 日期间从 Snowflake 账户中窃取的。 被盗数据包括： AT&T 有线客户和其他运营商客户的电话号码 与 AT&T 或 MVNO 无线号码交互的电话号码 交互次数（如通话或短信数量） 一天或一个月的总通话时长 对于部分记录，一个或多个基站识别码 虽然暴露的记录不包含通话或短信内容、客户姓名或任何其他个人信息（如社会安全号或出生日期）等敏感信息，但一些不法分子可以将通信元数据与公开信息进行关联，并在许多情况下轻松推导出客户身份。 AT&T 表示，在得知发生数据泄露后，该公司与网络安全专家积极合作，并及时通知了执法部门。美国司法部于 2024 年 5 月 9 日和 2024 年 6 月 5 日两次批准 AT&T 延迟向公众通报，原因是公开信息可能会危及国家安全和公共安全。 联邦调查局表示：“FBI 优先向遭受网络攻击的受害者提供援助，并鼓励各组织在攻击事件发生前与当地 FBI 外地办事处建立关系，并在发生数据泄露时尽早与 FBI 联系。” AT&T 正与执法部门合作逮捕涉案人员，据称至少已有一人被捕。与此同时，该公司已采取额外的网络安全措施，用于防止以后出现任何未经授权的访问，并承诺将迅速通知受此次事件影响的现有客户和老客户。 AT&T 用户可以通过常见问题页面上提供的链接，查看自己的电话号码数据是否被泄露，并下载与被盗号码相关的数据。 ESET 首席安全布道师 Tony Anscombe 建议道：“如果你突然收到一条声称是你经常打电话或发短信的联系人发来的信息，并且信息上附有’这是我的新号码’的说明时，强烈建议在与对方互动之前，先拨打对方的电话或发送电子邮件，以此确认新号码是否属实。目前此次泄露数据可能已与其他泄露数据相联，这种组合数据集让网络犯罪分子能够对个人进行剖析，从而进行鱼叉式网络钓鱼和潜在的身份盗窃。” 截至目前，没有任何证据表明 AT&T 被访问的数据已被公开，公司称该事件与其今年早些时候影响 5100 万用户的 2021 数据泄露事件无关。 AT&T 是如何被入侵的？ AT&T 称，客户数据是 “从第三方云平台上的工作区非法下载的”。虽然该公司没有具体指出该平台的名称，但多个消息来源将该事件与最近发生的一系列 Snowflake 平台数据窃取事件联系起来，攻击者入侵了数百个 Snowflake实例。 今年6月，Mandiant报告称，一个被追踪为UNC5537的经济动机黑客，利用通过感染非Snowflake所有系统的信息窃取恶意软件窃取的客户凭据，成功入侵了数百个Snowflake实例。 此后，Snowflake 为工作区管理员推出了强制性多因素身份验证（MFA）执行选项，用以保护账户不被轻易接管，从而防止数据泄露事件影响至数百万人。   消息来源：bleepingcomputer、securityweek，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一个名为 NullBulge 的自称黑客行动主义组织旨在“保护艺术家的权利并确保他们的作品获得公平的报酬”，该组织声称已入侵迪士尼并窃取该公司 1.1 TiB（1.2 TB）的内部 Slack 数据。这些声明于 2024 年 7 月 12 日发布在臭名昭著的网络犯罪和黑客论坛Breach Forums。 此次数据泄露事件尚未得到证实，据称其中包含该公司开发团队使用的 Slack 通信的完整副本，包括在 Slack 工作区内交换的消息、文件和其他数据。 黑客进一步声称，该转储包含“近 10,000 个频道、所有可能的消息和文件、未发布的项目、原始图像、代码、登录信息、内部 API/网页链接等！” NullBulge 在 Breach Forums 上 (截图：Hackread.com) NullBulge 还利用 X（以前的 Twitter）宣布了此次黑客攻击，并表示：“迪士尼的整个开发 Slack 都被泄露了。1.1 TiB 的文件和聊天消息。我们下载并打包了所有我们能拿到的东西。想看看门后发生了什么吗？快去拿吧。” NullBulge 黑客是谁？ NullBulge 黑客的起源尚不清楚。但是，其官方网站声称该组织旨在保护艺术家的权利并确保他们的作品获得公平的报酬。有传言称，NullBulge 可能与 LockBit 勒索软件团伙有联系，因为他们似乎正在使用 LockBit 泄露的构建器。 NullBulge 在 Twitter 上的推文（截图：Hackread.com） 近年来，迪士尼公司在向艺术家和作家支付公平份额方面面临批评和法律问题。尼尔·盖曼等知名人物强调，迪士尼已停止向一些作家和艺术家支付包括迪士尼旗下作品的小说和图画小说在内的作品版税。这一问题影响了《星球大战》和《异形》等热门系列的多名创作者。 当作家艾伦·迪恩·福斯特公开表示迪士尼收购《星球大战》和《异形》小说的系列特许经营权后，他并没有收到这些小说的版税时，这个问题就成为了人们关注的焦点。 尽管达成了一些备受瞩目的和解，但许多作家和艺术家仍在努力获得应得的报酬。美国科幻与奇幻作家协会 (SFWA) 等组织一直在积极为这些创作者争取权益，并成立了特别工作组向迪士尼施压，要求其履行财务义务。 Hackread.com 已联系迪士尼征求意见。与此同时，在线恶意软件存储库 VX-Underground 在推特上表示，如果证实属实，那么此次黑客攻击可能是信息窃取恶意软件所为。 尽管如此，这起所谓的数据泄露事件只是一系列影响美国公司的事件之一。 2024 年 7 月 12 日，AT&T 宣布黑客窃取了“几乎所有”客户的通话记录和短信日志，影响了超过 1.1 亿美国人。 与此同时，Ticketmaster 数据泄露事件继续给 Live Nation 带来麻烦，黑客泄露了1000 万个与顶级名人演唱会相关的票务条形码。黑客要求支付 800 万美元赎金，以阻止未来再次泄露。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Xa9sLpvrP3-3p8WW6-Awag 封面来源于网络，如有侵权请联系删除

2 月份使用 SSH-Snake 渗透测试工具发起攻击的“CrystalRay”黑客组织大幅增加了攻击规模，使用扩充的武器库袭击了数千名受害者。 SSH-Snake由澳大利亚安全研究员 Joshua Rogers 开发，用于获取 SSH 密钥并将其用于自动网络穿越。2月份，超过 100 个组织使用该工具窃取了凭证， SSH-Snake成为新闻头条。 SSH-Snake 是一种自我复制和自我传播的无文件工具，其目的是用于黑客攻击，其行为方式类似于蠕虫。Rogers 在二月份告诉《安全周刊》，该工具利用了安全架构漏洞，自动化了人类已经可以做的事情。 在首次报告 SSH-Snake 被恶意使用五个月后，Sysdig 表示，初始攻击背后的黑客组织（目前被追踪为CrystalRay）已扩展其工具集，进行大规模扫描、利用多个漏洞以及使用开源软件（OSS）安全工具部署后门。 该公司表示，黑客专注于窃取凭证，然后将其出售以牟利，部署加密矿工，并在受感染的环境中建立持久性。 除了 SSH-Snake 之外，还观察到 CrystalRay 使用 OSS 工具，例如 ASN（启用网络数据调查和侦察）、Zmap（用于端口扫描以识别易受攻击的服务）、Httpx（多用途 HTTP 探测工具）和 Nuclei（漏洞扫描器）。 攻击者试图发现 Activemq、Confluence、Metabase、Weblogic、Solr、Openfire、Rocketmq 和 Laravel 等服务，并利用CVE-2022-44877、CVE-2021-3129和CVE-2019-18394等漏洞。 在某些情况下，CrystalRay 黑客会使用 Nuclei 来识别扫描端口上的潜在蜜罐，并确保它们不会被检测到。 据云安全服务商 Sysdig 称，黑客还使用基于 Golang 的 pdtm 项目来管理和维护他们的开源工具，并依靠 SSH-Snake 进行横向移动。在某些情况下，攻击者还会尝试转移到其他平台，包括服务提供商。 攻击者将部署使用开源、跨平台、对手模拟/红队框架 Silver 生成的有效载荷以实现持久性，并使用开源工具 Platypus 来管理受害者。 云安全服务商 Sysdig 补充道：“CrystalRay 能够发现并提取易受攻击的系统中存在的凭证，然后在黑市上以数千美元的价格出售。出售的凭证涉及多种服务，包括云服务提供商和 SaaS 电子邮件提供商。” 此外，攻击者还会从受害者的机器中窃取各种感兴趣的文件，并部署加密矿工以进一步将未经授权的访问货币化。 CrystalRay 黑客组织的行动证明了攻击者仅使用开源和渗透测试工具就能轻松维护和控制对受害者网络的访问。 因此，实施检测和预防措施以抵御攻击者的持久性是必要的。避免绝大多数此类自动攻击的第一步是通过漏洞、身份和机密管理来减少攻击面。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/HdPTAc2oRuSiTYOck7Ptbw 封面来源于网络，如有侵权请联系删除

近日，据Bleepingcomputer报道，代号Sp1d3rHunters的黑客宣称泄露了美国歌手泰勒斯威夫特（Taylor swift）“Eras Tour”演唱会的16.6万张门票的条形码数据，并索要200万美元赎金，否则将泄露更多门票数据。美国歌手泰勒斯威夫特号称“行走的GDP”，与英伟达并称“美国经济两大支柱”，因其演唱会近年来席卷全球，堪称吸金龙卷风。这也让很多犯罪分子眼红，纷纷对其粉丝下手，实施各种诈骗。此次巡演门票数据大规模泄露，不禁让人担心更大规模的门票诈骗事件。据英国劳埃德银行统计，2023年7月以来，至少有3000人可能被诱骗购买了假的斯威夫特演唱会门票，总计损失超过100万英镑。 “雪花事件”的余震 泰勒斯威夫特的演唱会门票泄露与此前票务巨头Ticketmaster的数据泄露事件有关。今年5月，知名黑客组织ShinyHunters以50万美元的价格出售5.6亿Ticketmaster客户数据。Ticketmaster随后确认了数据泄露，表示这些数据来自他们在Snowflake（雪花公司）的云端账户。Snowflake是一家基于云的数据仓库公司，为企业提供云存储数据库、用于数据处理和分析。4月，黑客开始使用通过信息窃取恶意软件盗取的凭证，下载了至少全球165个大型企业和机构的Snowflake数据库。随后，这些黑客开始向受害公司勒索，要求支付赎金以防止数据被泄露。确认从Snowflake账户中泄露数据的公司包括Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage和桑坦德银行等知名组织。 巡演门票只是冰山一角 黑客Sp1d3rHunters之前名为Sp1d3r，是从Snowflake账户盗取数据并公开勒索上百家知名企业的幕后黑手。 在黑客论坛上泄露的近17万泰勒斯威夫特巡演门票数据 来源：bleepingcomputer 根据威胁情报服务HackManac上发布的帖子，Sp1d3rHunters泄露的16.6万张泰勒·斯威夫特Eras巡演门票条码数据用于多个演唱会日期的入场，包括即将在迈阿密、新奥尔良和印第安纳波利斯举行的演唱会。帖子中还包含了一小部分所谓的条码数据样本，这些数据包含用于生成可扫描条码的值、座位信息、门票面值等信息。威胁行为者还分享了如何将这些数据转换为可扫描条码的细节。 Sp1d3rHunters要求Ticketmaster支付200万美元赎金，否则将泄露更多用户和门票数据。 “支付200万美元，否则我们将泄露你们的6.8亿用户信息和另外3000万个活动条码，包括更多的泰勒·斯威夫特活动、P!nk、Sting、体育赛事F1方程式赛车、MLB、NFL等数千个活动，”Sp1d3rHunters在帖子中写道。 安全研究人员发现，虽然新泄露的门票条码数据并不包含在5月泄露的初始Ticketmaster数据样本中，但一些新泄露的数据可以在旧的泄露数据中找到，包括门票的哈希值、信用卡和销售订单等信息。 这些攻击背后的组织是ShinyHunters，多年来他们对许多数据泄露事件负责，包括在2020年泄露了18家公司3.86亿用户记录、影响7000万客户的AT&T数据泄露事件，以及最近泄露的3300万个使用Authy多因素认证应用的电话号码。 Ticketmaster的回应 美国东部时间2024年7月5日下午3:44，Ticketmaster在回复bleepingcomputer的公告中指出，其防伪技术每隔几秒钟就会刷新（轮换）门票条码数据，因此被盗的门票（条码）无法使用。 “Ticketmaster的SafeTix技术通过每几秒自动刷新一个新的唯一条码来保护门票，确保它们不会被盗或复制，”Ticketmaster指出：“这是我们实施的众多防欺诈保护措施之一，以确保门票的安全。” Ticketmaster还表示没有与黑客进行任何赎金谈判，并否认ShinyHunters所说的愿意支付100万美元赎金以删除数据的说法。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TxaoXkGgFvhws_rjkrjLDw 封面来源于网络，如有侵权请联系删除

《纽约时报》于 2024 年 7 月 4 日报道称，OpenAI 在 2023 年初遭受了未公开的入侵。 《纽约时报》指出，攻击者并未访问 AI 所在的系统，但窃取了员工论坛的讨论内容。OpenAI 并未公开披露该事件，也未通知 FBI，因为它声称，客户和合作伙伴的信息均未遭窃取，此次入侵事件并未被视为对国家安全的威胁。该公司认定，此次攻击是由一名与任何外国政府均无任何已知关联的人员所为。 尽管如此，该事件还是引发了员工内部对 OpenAI 解决安全问题的严肃程度的讨论。 《纽约时报》写道：“此次泄密事件发生后，专注于确保未来人工智能技术不会造成严重损害的 OpenAI 技术项目经理 Leopold Aschenbrenner 向 OpenAI 董事会发送了一份备忘录，称该公司没有采取足够措施阻止外国政府和其他外国对手窃取其机密。” 今年早些时候，他被解雇了，表面上是因为泄露信息（但更可能是因为备忘录）。阿申布伦纳对官方泄密事件的说法略有不同。 在与 Dwarkesh Patel 的播客（2024 年 6 月 4 日）中，他说：“OpenAI 向员工声称我因泄密而被解雇。我和其他人敦促他们说出泄密的内容。以下是他们的完整回应：去年某个时候，我写了一份头脑风暴文件，内容涉及未来在 AGI 道路上所需的准备、安全和保障措施。我与三位外部研究人员分享了这份文件，征求反馈。这就是泄密事件……在我分享它之前，我审查了它是否有任何敏感内容。内部版本提到了未来的集群，我在外部副本中删去了它。” 显然，OpenAI 并不是一艘快乐的船，人们对它如何运作、应该如何运作以及应该去哪里有很多不同的看法。人们的担忧并不是 OpenGPT（即通用人工智能），而是 AGI（通用人工智能）的未来。 前者最终会转化所学知识（通常来自互联网），而后者则具有原始推理能力。 Gen-AI 并不被视为对国家安全的威胁，尽管它可能会增加当前网络攻击的规模和复杂性。 AGI 则不同。它将能够在网络、动能战场和情报领域制造新的威胁——OpenAI、DeepMind、Anthropic 和其他领先的 AI 公司和技术都在争先恐后地抢占市场。人们对 2023 年 OpenAI 漏洞的担忧在于，它可能表明缺乏安全准备，这可能会在未来真正危及国家安全。 “很多戏剧性事件都源于 OpenAI 真的相信他们正在开发 AGI。这不仅仅是一个营销口号。” Aschenbrenner 补充道，“让人们感到困惑的是，人们一方面相信 AGI，另一方面却不认真对待其他一些影响，这两者之间存在认知失调。这项技术将非常强大，无论是好是坏。这牵涉到国家安全问题。你们在保护机密不被窃取吗？美国控制着核心的 AGI 基础设施，还是中东独裁者控制着它？” 随着我们越来越接近开发 AGI，网络威胁将从犯罪分子转向精英国家攻击者——我们一次又一次地看到，我们的安全不足以抵御他们。 在 OpenAI 发生一次相对不严重的入侵事件后（我们必须假设情况没有公司告诉员工的那么糟糕），Aschenbrenner提出了对安全的普遍和真正的担忧——似乎正是因为这个原因，他被解雇了。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uVRAQPVVVBsH8Ltl3xVc3g 封面来源于网络，如有侵权请联系删除

近日，网络安全公司 Censys 发现超过 38 万台主机仍在引用 polyfill.io 恶意域。 在接到多起恶意活动报告后，polyfill.io 域名被暂停。Polyfill.io 域曾用于托管 JavaScript 代码，为不支持某些网络标准的旧版浏览器添加现代功能。 根据报告，该域名被用于将嵌入 polyfill.io 代码的网站的访问者重定向到博彩和成人网站。专家估计，超过 10 万个网站受到影响。 截至 2024 年 7 月 2 日，Censys 检测到 384773 台主机在其 HTTP 响应中包含对 “https://cdn.polyfill[.]io “或 “https://cdn.polyfill[.]com “的引用。其中约 237700 台主机主要集中在德国的 Hetzner 网络 (AS24940)。Hetzner 是一种流行的虚拟主机服务，许多网站开发人员都会利用它。 这些主机包括与 Hulu、梅赛德斯-奔驰（Mercedes-Benz）和 WarnerBros 等主要平台相关的网站。专家敦促网站所有者从其代码库中删除对 polyfill.io 及其相关域的任何引用，以防万一。 另外，Censys 还注意到，有 182 台受影响的主机是使用 polyfill.io 脚本的政府网站（”.gov”）。专家们强调，这次供应链攻击产生了广泛的影响。 对此，Cloudflare 和 Fastly 为用户创建了替代的安全 polyfill 端点以减轻威胁，同时防止网站被攻破。Censys 观察到 216504 台主机引用了其中一个替代 polyfill 端点： “polyfill-fastly.io “或 “cdnjs.cloudflare.com/polyfill”，较 6 月 28 日观察到的 80312 台主机有所增加。 Censys 还在一个论坛上发现了一名开发者发布的帖子，该帖子警告说，cdn.bootcss.com 上有一个与 polyfill.io 类似的恶意 JavaScript 文件，会根据地理位置对用户进行重定向。专家们发现有 160 万台面向公众的主机引用了这些域名，其中 bootcss.com 涉及恶意活动。 报告总结道，他们在 Censys Search 中挖掘任何引用其他可疑域名的暴露主机时，观察到总共有 1637160 个面向公众的主机链接到了其中一个域。”到目前为止，这个域名（bootcss.com）是唯一一个显示出潜在恶意迹象的域名，其他相关端点的性质尚不清楚。不过，考虑到对 polyfill.io 攻击负责的同一恶意行为者将来可能利用这些其他域名进行类似活动的可能性，也并非完全不合理。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405435.html 封面来源于网络，如有侵权请联系删除

全球金融服务公司 Prudential Financial 透露道，在今年 2 月的数据泄露事件中，有超过 250 万人的个人信息遭到泄露。 根据向美国证券交易委员会提交的 8-K 表可知，该公司于 2 月 5 日发现了此次泄露事件，也就是攻击者（疑似网络犯罪团伙）入侵其系统并访问管理及用户数据、员工及承包商账户的第二天。 今年 3 月，公司在向缅因州总检察长办公室提交的文件中透露，目前已给 36000 多人发送泄露通知，并告知他们的个人信息（包括姓名、驾驶执照号码和非驾驶员身份证号码）在此次入侵事件中被盗。 “通过调查，我们了解到未经授权的第三方于 2024 年 2 月 4 日访问了我们的网络，并从我们的系统中删除了一小部分个人信息，”Prudential 说道。“目前已与领先的网络安全专家合作，确认未经授权的第三方已无法访问公司系统。” 上周，该公司更新了 2 月份数据泄露事件的最新信息，据称目前该事件已影响了 2556210 人。 ALPHV 声称对此次攻击负责 虽然 Prudential Financial 尚未透露数据泄露事件背后黑客的信息，但 ALPHV/Blackcat 勒索软件团伙于 2 月 13 日宣称对此次攻击负责。 在从 Change Healthcare 数据泄露事件的幕后黑手 Notchy 处窃取2200万美元赎金后，ALPHV 关闭了其业务并退出了骗局。 美国联邦调查局将该勒索软件团伙与全球范围内前四个月发生的 60 多起泄露事件联系起来，并称 ALPHV 在 2023 年 9 月之前从 1000 多名受害者身上至少攫取了 3 亿美元。 Prudential Financial 是美国第二大人寿保险公司，在全球拥有 4 万名员工，2023 年的营业收入超过 500 亿美元。 2023 年 5 月，Clop 网络犯罪团伙入侵了处理数据的第三方供应商 Pension Benefit Information (PBI) 的 MOVEit Transfer 文件共享平台，又有 32 万名 Prudential Financial 客户的个人信息（包括姓名、地址、出生日期、电话号码和社会安全号）被曝光。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

微软警告称，与俄罗斯有关的网络间谍组织Midnight Blizzard(午夜暴雪)继续以微软用户为目标窃取其他电子邮件。 继微软公司基础设施遭到入侵后，该公司正在确定更多遭午夜暴雪黑客攻击的客户。 今年 1 月，微软警告称，其部分公司电子邮件账户遭到与俄罗斯有关的网络间谍组织“午夜暴雪”的攻击。该公司已通知执法部门和相关监管机构。 微软还宣布，2023 年 11 月下旬袭击该公司的与俄罗斯有关的 APT组织“午夜暴雪”已将目标对准全球组织，作为大规模网络间谍活动的一部分。 现在，微软的事件响应团队正在联系客户管理员，提供一个安全门户，让他们可以查看被与俄罗斯有关的 Midnight Blizzard APT 组织窃取的电子邮件。 以下是“需要采取行动 – Microsoft 电子邮件数据共享请求”消息的文本： “此通知与APT组织 Midnight Blizzard 之前对 Microsoft 的攻击有关，正如我们在 8-K 文件和 Microsoft 博客中所披露的那样。” “您之所以收到此通知，是因为 Microsoft 和贵组织中的帐户之间交换了电子邮件，而攻击者 Midnight Blizzard 在对 Microsoft 进行网络攻击时访问了这些电子邮件。” “作为我们对透明度的承诺的一部分，我们正在积极分享这些电子邮件。我们定制了一个安全系统，使贵组织中获准的成员能够查看 Microsoft 和贵公司之间泄露的电子邮件。” “为了授予对上述电子邮件的访问权限，您需要确定贵组织内可以提名审阅者的授权个人。如有需要，请联系贵组织中有权提名审阅者查看这些电子邮件的适当方。” 此电子邮件底部有一个链接，它将带您进入一个安全表单，将被要求提供以下信息： 贵组织的 TenantID，如果您不知道或不确定您的 TenantID，请按照此处概述的步骤 位于此电子邮件底部的访问代码 贵组织内可以提名审阅者的个人的电子邮件地址，这些审阅者将被授予访问一组泄露电子邮件的权限。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/del5d-jI4kEfUxQ_rM6OmQ 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky 涉嫌使用新的恶意 Google Chrome 扩展程序，该扩展程序旨在窃取敏感信息，作为正在进行的情报收集工作的一部分。 Zscaler ThreatLabz于 2024 年 3 月初观察到了该活动，并将该扩展程序命名为 TRANSLATEXT，突出显示其收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图的能力。 据称，此次攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。 Kimsuky 是朝鲜一个臭名昭著的黑客组织，据了解，该组织至少自 2012 年以来一直活跃，策划针对韩国实体的网络间谍活动和出于经济动机的攻击。 Kimsuky 是 Lazarus 集群的组织之一，也是侦察总局 (RGB) 的一部分，也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima。 最近几周，该组织利用Microsoft Office 中已知的安全漏洞 (CVE-2017-11882) 来分发键盘记录器，并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵，目的是投放具有数据收集和二次有效载荷执行功能的间谍工具。 网络安全公司 CyberArmor表示：“这个后门似乎之前没有公开记录过，它允许攻击者执行基本的侦察并投放额外的有效载荷来接管或远程控制机器。”该公司将这次活动命名为 Niki。 虽然已知该组织利用鱼叉式网络钓鱼和社会工程攻击来激活感染链，但目前尚不清楚与新发现的活动相关的初始访问的具体模式。 攻击的起点是一个据称涉及韩国军事历史的 ZIP 档案，其中包含两个文件：一个 Hangul 文字处理器文档和一个可执行文件。 感染链示例 启动可执行文件会导致从攻击者控制的服务器检索 PowerShell 脚本，进而将有关受感染受害者的信息导出到 GitHub 存储库，并通过 Windows 快捷方式 (LNK) 文件下载其他 PowerShell 代码。 Zscaler 表示，它发现了一个于 2024 年 2 月 13 日创建的GitHub 帐户，该帐户短暂地以“GoogleTranslate.crx”的名义托管了 TRANSLATEXT 扩展程序，尽管目前尚不清楚其交付方式。 安全研究员 Seongsu Park 表示：“这些文件于 2024 年 3 月 7 日出现在GitHub存储库中，并于第二天删除，这意味着 Kimsuky 打算尽量减少暴露，并在短时间内使用该恶意软件来针对特定个人。” TRANSLATEXT 伪装成 Google 翻译，它整合了 JavaScript 代码以绕过 Google、Kakao 和 Naver 等服务的安全措施；窃取电子邮件地址、凭证和 cookie；捕获浏览器截图；并窃取被盗数据。 它还可以从 Blogger Blogspot URL 获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有 cookie 等。 Kimsuky TRANSLATEXT架构 Park 说：“Kimsuky 集团的主要目标之一是监视学术人员和政府人员，以收集有价值的情报。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mpOHUGObQ2mdolrKIb6yWQ 封面来源于网络，如有侵权请联系删除

在德国举办的欧洲足联锦标赛（欧洲杯2024）吸引了超过2000万球迷的关注，全球范围内也有数千万球迷观赛。然而，这场盛事不仅吸引了观众的注意，还引来了网络犯罪分子的关注，他们利用球迷的观赛热情和警惕性下降发动多种攻击，获取不义之财。 网络安全公司Cyberint的一份最新报告显示，针对欧洲杯的网络攻击激增。其暗网监控发现犯罪分子正积极分享有关欧洲足联、（假）球票、免费/廉价流媒体服务以及被盗客户凭证的销售等信息。 账户劫持与欺诈 据hackread报道，犯罪分子正在利用被盗的欧洲足联客户凭证进行欺诈活动，例如账户劫持和购票。他们还可以窃取敏感的个人信息，冒充账户所有者，并获取资金或支付卡的访问权。 自2024年以来，Cyberint已检测到超过1.5万份暴露的欧洲足联客户凭证，在暗网市场上发现了超过2000份欧洲足联客户凭证的销售信息。这些凭证通常通过凭证窃取恶意软件泄露，该恶意软件会感染受害者的机器并将用户输入日志发送给命令控制服务器运营商。 由于欧洲足联已将比赛的流媒体转播权出售给媒体网络，这为网络犯罪分子提供了创建非法内容网站的机会，后者承诺免费直播和实时比分，以此来吸引没有有线电视或流媒体订阅的球迷。点击这些恶意网站上的链接可能会导致数据泄露或病毒感染。这些网站还可能会勒索受害者的计算机和网络，或者控制系统进行欺诈或间谍活动。访问该网站还可能遭遇“路过式下载”恶意软件攻击。 假冒官方APP泛滥 研究人员指出，冒充欧洲足联官方应用程序的移动应用程序在第三方应用商店中泛滥，并且经常包含恶意代码。这些第三方应用商店监管较少，任何人都可以上传未经授权的应用程序而无需监督。 犯罪分子大量上传冒用欧足联品牌和logo的恶意应用程序，给球迷、欧足联客户和志愿者带来数据泄露风险。 第三方售票网站诈骗 由于欧洲杯2024年的球迷越来越多地依赖第三方售票网站，这也为诈骗者提供了可乘之机。一些卖家利用球迷的热情兜售虚假或不存在的球票，他们通过社交媒体联系球迷或创建精巧的钓鱼网站来模仿合法的票务销售商。 另一个欺诈手段是票务抽奖，提供球迷赢得免费球票的机会。犯罪分子可以利用提供的详细信息将受害者作为诈骗目标，或将信息出售给最高出价者。 上图展示了网络罪犯出售欧洲足联客户账户以及模仿欧足联官方应用的恶意应用程序（来源：Cyberint） 欧足联官网存在安全漏洞 最后，研究人员发现欧洲足联的官网也存在安全漏洞。 研究人员指出：“欧洲足联官方网站uefa.com存在配置错误。此类漏洞会带来切实的风险，可能成为犯罪分子发起攻击的入口。” 安全建议： Cyberint建议球迷对未经请求的通信保持谨慎，核实网站的真实性，并使用安全的支付方式。为了避免票务欺诈，球迷应仅从授权来源购买球票，使用安全的支付平台（例如PayPal），优先选择信用卡支付，并避免直接银行或电汇转账。   转自goupsec，原文链接：https://www.goupsec.com/news/16748.html 封面来源于网络，如有侵权请联系删除