标签: 黑客攻击

猎人国际窃取美国最大航运公司的秘密文件

Austal USA会同意勒索者的条件吗? 美国国防部 ( DoD ) 和美国国土安全部 ( DHS ) 的造船商和承包商 Austal USA 已确认其是网络攻击的受害者,目前正在调查该事件。 Austal 总部位于澳大利亚,专注于高性能铝制船舶。其美国分公司 Austal USA 参与了多个大型项目。其中包括向美国海军交付独立级濒海战斗舰,该舰长127米,每艘造价3.6亿美元。此外,奥斯塔现有一份价值33亿美元的合同,为美国海岸警卫队建造11艘巡逻艇。 12月6日,敲诈勒索黑客组织Hunters International表示,它已渗透到Austal USA的系统,并在其网站上发布了一些信息作为入侵的证据。 在回应置评请求时,公司发言人证实了此次攻击: “我们最近发现我们系统的安全性受到了损害。我们能够迅速消除该事件的后果。 包括联邦调查局 (FBI) 和海军犯罪调查局 (NCIS) 在内的监管机构立即收到有关此问题的通知,并正在帮助我们确定攻击者访问的原因和信息量。 没有个人信息或任何绝密数据被盗。我们正在与当局密切合作,并将在获得新信息后继续向受该事件影响的所有相关方通报最新情况。 奥斯塔美国公司认识到事件的严重性以及我们作为国防部和国土安全部承包商所承担的特殊责任。我们的调查正在进行中,我们将努力彻底调查这一事件,以防止将来再次发生这种情况。” 猎人国际威胁将在未来几天公布更多从奥斯塔系统窃取的数据,包括合规声明、招聘信息、财务数据和证书。 奥斯塔美国公司没有透露黑客是否获得了工程图和有关美国海军独特技术的其他信息。 猎人国际是一个全新的敲诈勒索组织。一些专家认为,这是对最近停止运营的 Hive 团伙的“品牌重塑”。该理论基于对与 Hive 代码可疑相似的恶意软件代码的分析。 该组织否认所有指控,声称他们只是获得了勒索软件源代码。据攻击者称,加密并不是他们攻击的最终目标——主要目的是窃取数据并将其用作向受害者勒索赎金的手段。 该组织的泄密网站目前包含来自世界不同行业和地区的十几名受害者。   转自安全客,原文链接:https://www.anquanke.com/post/id/291741 封面来源于网络,如有侵权请联系删除

日产汽车位于澳大利亚和新西兰的系统遭黑客攻击:可能已发生用户数据泄露

日本汽车制造商日产正在调查针对其位于澳大利亚和新西兰的系统的网络攻击。由于此事件,客户的个人数据可能已被访问。 该公司已向日产大洋洲部门的客户发出潜在数据泄露的警告,并指出未来几天存在欺诈活动的风险。日产大洋洲是这家标志性日本汽车制造商的区域部门,负责澳大利亚和新西兰的分销、营销、销售和服务。 Nissan.com.au 和 Nissan.co.nz 网站的主页上 发布了一份公司声明 ,称日产公司和金融服务公司的澳大利亚和新西兰分公司的系统遭受了网络事件。 根据通知,该公司已聘请其全球事件响应团队来评估网络攻击的影响。日产正在与该团队和其他利益相关者合作,调查事件的范围,并确定客户的个人信息是否被访问。 由于客户数据被泄露的风险很大,日产警告称,针对账户持有人的潜在欺诈性攻击以及账户被盗的可能性。 虽然网站功能似乎没有受到影响,但日产确认正在努力恢复受影响的系统。该公司要求客户在此过程中保持耐心。 日产还澄清其经销商网络并未受到此次事件的影响,所有车辆和服务请求都将立即得到处理。 澳大利亚和新西兰的政府机构的使命是提高网络弹性,它们已获悉该事件,但截至发稿时尚未发表正式声明。   转自安全客,原文链接:https://www.anquanke.com/post/id/291709 封面来源于网络,如有侵权请联系删除

Rhysida 勒索团伙出售英国王室医疗数据

Hackernews 编译,转载请注明出处: Rhysida 勒索软件组织声称入侵了伦敦爱德华七世国王医院,并将其添加到其Tor 泄露网站的受害者名单中。 爱德华七世国王医院是一家私立医院,位于伦敦市中心马里波恩区的博蒙特街。它是一家领先的急性和专科医疗保健提供商,专注于肌肉骨骼健康、泌尿科、女性健康和消化系统健康。该医院有着悠久的历史,可以追溯到1899年,当时由威尔士亲王(后来的爱德华七世国王)创建,为工人阶级提供高质量的医疗服务。 该组织声称窃取了包括王室在内的大量患者和员工的数据,并公布了被盗文件的图片作为黑客攻击的证据,泄露的图像包括医疗报告、登记表、X光片、医疗处方、医疗报告等等。 “独特的文件呈现在您的眼前! 来自王室的数据! 大量的病人和员工数据。 一次性出售!!” 泄露网站上的公告写道 该勒索软件组织声称窃取了大量“敏感数据”,并以10比特币的价格拍卖。像往常一样,Rhysida 计划将被盗数据出售给一个单一的买家。该团伙将在公告发布后的7天内公布相关数据。 最近,Rhysida勒索软件团伙还将大英图书馆和中国能源工程公司添加到其 Tor 泄露网站的受害者名单中。 Rhysida 勒索软件组织自2023年5月以来一直活跃。根据该团伙的 Tor 泄露网站,至少有 62 家公司是这次行动的受害者,他们袭击了多个行业的组织,包括教育、医疗、制造、信息技术和政府部门。 上周,FBI 和 CISA 发布了一份联合网络安全咨询,对 Rhysida 勒索软件攻击发出警告。该咨询是正在进行的#StopRansomware 工作的一部分,宣传有关与勒索软件组织相关的战术、技术和程序(TTPs)以及妥协指标(ioc)的信息。 有开源报告详细描述了 Vice Society (DEV-0832)活动与观察到的部署 Rhysida 勒索软件的黑客之间的相似之处。这份联合报告写道:“开源报告已经证实了观察到的 Rhysida 组织以勒索软件即服务(RaaS)的方式运作的实例,其中勒索软件工具和基础设施以利润分享模式出租,支付的赎金会在该组织和附属机构之间分配。” Rhysida 黑客利用面向外部的远程服务(例如 VPN、RDP)来获得对目标网络的初始访问并保持持久性。该组织依靠被破坏的凭据对内部 VPN 接入点进行身份验证。根据该报告,黑客利用微软 Netlogon 远程协议中的 Zerologon (CVE-2020-1472)进行网络钓鱼尝试。该组织依靠现有的技术,如本地(内置于操作系统中)网络管理工具来执行恶意操作。     Hackernews 编译,转载请注明出处 消息来源:securityaffairs,译者:Serene

GE 疑遭黑客攻击,大量军事机密泄漏

据Cyberexpress报道,GE(通用电气)近日疑遭黑客攻击,包含大量敏感军事机密信息数据被黑客在论坛中出售。 GE是一家美国跨国公司,业务涉及电力、可再生能源和航空航天行业,同时也是美国国防部的重要承包商。 本月早些时候,一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。 在没能出售所谓的访问权限后,该黑客再次发帖称,他们开始出售GE的网络访问权限和被盗数据。 “我之前列出了GE网络的访问权限,但是,没有真正的买家真正回复我或跟进。我现在在这里单独出售整个东西,包括访问权限(SSH、SVN等),”IntelBroker在黑客论坛发帖称: “数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。” 作为泄露的证据,黑客还公布了GE被盗数据的屏幕截图,数据样本包括GE Aviations的一个SQL数据库(包含有关军事项目的信息)、军事文件、航空系统技术描述和指南以及维护报告等数据。 在一份声明中,GE发言人表示:“我们注意到不良行为者对GE发生数据泄漏的声明,并正在调查该事件。我们将采取适当措施来帮助保护我们系统的完整性。” 虽然此次泄露事件尚未得到证实,但值得注意的是,IntelBroker是一位“专干大案”,且成功率极高的黑客。 今年3月,IntelBroker攻破了DC Health Link,并声称出售了包含数千人个人信息的被盗数据库。DCHealthLink是华盛顿特区的一个医疗保健市场,许多白宫和众议院工作人员及其家人都使用该市场。 此次泄露事件引起了媒体的广泛报道,并召开了国会听证会,以更多地了解和调查泄露事件是如何发生的。 在听证会上,哥伦比亚特区健康福利交换管理局执行董事米拉·科夫曼(Mila Kofman)解释说,这些数据是通过配置错误的服务器暴露的。   转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/2Q78pH8u8gLolTFvhJTK0Q 封面来源于网络,如有侵权请联系删除

MOVEit 黑客攻击波及 2600 多家企业

根据新西兰网络安全公司Emsisoft的最新报告,今年5月以来,文件传输服务MOVEit遭黑客攻击后波及了约2620家企业用户和7720万人。俄罗斯勒索软件团伙Cl0p于6月6日声称对此次攻击负责。 攻击背景及影响 美国组织受到的冲击最大,受影响组织中有78.1%来自美国。加拿大受影响比例为14%,德国占1.4%,英国占0.8%。Emsisoft的调查结果基于公开披露信息,包括SEC文件、州级泄露通知以及Clop网站的数据。 行业统计结果显示,受影响组织主要集中在教育领域,占比高达40.6%,其次是卫生(19.2%)和金融与专业服务(12.1%)。 这次网络攻击波及范围之广极为罕见,甚至杀毒软件巨头Gen Digital(诺顿和Avast的母公司)也发生大规模数据泄漏,Avast泄漏了约300万个人用户数据。 MOVEit黑客攻击还影响了多家知名企业及政府机构,如Maximus、路易斯安那州机动车管理局、Alogent、科罗拉多州医疗保健政策与融资部、Welltok、美国能源部、壳牌石油、英国航空、缅因州政府、Genworth和俄勒冈州交通部等。 MOVEit的开发商Progress Software公司于5月31日发布了一个高危漏洞补丁(针对CVE-2023-34362),随后在6月9日和6月15日分别发布了第二个(CVE-2023-35036)和第三个补丁(CVE-2023-35708)。 数据泄漏成本创下历史新高 MOVEit事件已成为年度最重大的安全事件,凸显了企业数据安全面临的严峻挑战。 该事件还导致MOVEit平台的所有者Progress Software Corporation公司目前正面临美国证券交易委员会的调查。此外,它还面临消费者权益律师事务所Hagens Berman提起的集体诉讼,许多受影响的组织和个人正在寻求赔偿。 根据最近IBM的报告,全球各地的网络攻击与数据泄露的频率和强度逐年上升,企业保护数据的难度越来越大。2023年数据泄露平均成本达到历史最高的445万美元,比2022年增长了2.3%,每条泄露记录的平均成本为165美元。以此推算,MOVEit事件的成本高达127.8亿美元。 MOVEit事件的另一个启示是,企业不仅要努力保护内部安全,还要关注供应链安全,因为受MOVEit事件影响的多个组织并非MOVEit的直接用户。   转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/mXR9jsq6YDecgmf-O7-8gQ 封面来源于网络,如有侵权请联系删除

微软报告 Lazarus 黑客使用供应链攻击战术针对台湾知名多媒体软件开发商讯连科技

微软表示,朝鲜背景的黑客组织入侵了中国台湾多媒体软件公司讯连科技,并对其一个安装程序进行木马化,以在针对全球潜在受害者的供应链攻击中推送恶意软件。 讯连科技自 1996 年以来一直致力于生产多媒体播放和编辑软件,该公司表示其应用程序已在全球销售了 4 亿份。大名鼎鼎的PowerDVD,就是迅连科技的产品。 根据 Microsoft 威胁情报,疑似与更改的讯连科技安装程序文件相关的活动早在 2023 年 10 月 20 日就已浮出水面。 该木马安装程序托管在讯连科技拥有的合法更新基础设施上,迄今为止已在全球 100 多台设备上检测到,包括日本、台湾、加拿大和美国。 在调查此攻击时观察到的第二阶段有效负载与同一组攻击者之前破坏的基础设施进行交互。 该公司表示:“Diamond Sleet 使用了向 CyberLink Corp. 颁发的合法代码签名证书来签署恶意可执行文件。” “该证书已添加到 Microsoft不允许信任的证书列表中,以保护客户免受未来恶意使用该证书的影响。” 使用合法证书签名的木马 Cyberlink 安装程序 微软将木马软件和相关有效负载跟踪为 LambLoad(恶意软件下载器和加载器)。 LambLoad 的目标系统不受 FireEye、CrowdStrike 或 Tanium 安全软件保护。如果不满足这些条件,恶意可执行文件将继续运行,而不执行捆绑的恶意代码。 但是,如果满足条件,恶意软件将与三个命令与控制 (C2) 服务器之一连接,以使用静态用户代理“Microsoft Internet Explorer”检索隐藏在伪装成 PNG 文件的文件中的第二阶段有效负载。 微软表示:“PNG 文件在假的外部 PNG 标头中包含嵌入的有效负载,该有效负载在内存中被提取、解密和启动。” 这是 Lazarus 黑客组织使用的常见攻击方法,他们以木马化合法加密货币软件来窃取加密资产而闻名。 尽管 Microsoft 尚未检测到 LambLoad 恶意软件漏洞后的键盘操作活动,但 Lazarus 黑客却以以下方式而闻名: 从受损系统中窃取敏感数据 渗透软件构建环境 向下游发展以利用更多受害者 建立对受害者环境的持久访问 在检测到供应链攻击后,Microsoft 通知了 CyberLink,并通知了受攻击影响的微软客户。 微软还向 GitHub 报告了这次攻击,GitHub 根据其可接受的使用政策删除了第二阶段的有效负载。 Lazarus Group 是有朝鲜官方背景的知名黑客组织,至少自 2009 年以来已经运营了十多年。Lazarus 以全球范围内的组织为目标而闻名,迄今为止的行动包括对金融机构、媒体和政府机构的攻击。 他们的活动还涉及针对安全研究人员、在开源加密货币平台中嵌入恶意代码、执行大规模加密货币抢劫以及利用虚假工作面试来传播恶意软件。 该组织被认为是许多备受瞩目的网络攻击的幕后黑手,包括 2014 年索尼影业黑客攻击、2017 年WannaCry 勒索软件攻击以及 2022 年有史以来最大规模的加密黑客攻击。   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/LFOi5SRhuf2cop_3c2KeZQ 封面来源于网络,如有侵权请联系删除

制造业巨头日本航空电子公司服务器遭入侵

Hackernews 编译,转载请注明出处: 制造业巨头日本航空电子公司(Japan Aviation Electronics)证实,其系统正面临网络攻击,迫使该公司关闭其网站。 本周一晚,这家电子产品和航空航天产品制造商用一条静态消息取代了其网站,称其部分服务器上周四被黑客入侵。 该公司表示:“我们目前正在调查受影响情况,并恢复运营,但一些系统已经暂停,收发电子邮件出现了一些延迟。”该公司的收入超过10亿美元。 “到目前为止,没有确认信息泄露。对于给客户和其他相关方造成的不便,我们深表歉意。一旦我们通过进一步调查发现任何新情况,我们将立即通知您。” 该公司的网站只有一个页面,发表了相关声明: 日本航空电子公司网站截图 本周一,日本航空电子公司被添加到 AlphV/Black Cat 勒索软件团伙的泄露站点中,但该公司尚未证实是否正在应对勒索软件攻击。 最近几个月发生了一系列针对日本大型公司的攻击事件。 制表商精工、卡西欧、拉链巨头YKK、制药公司卫材和日本最大的贸易港今年都遭遇了网络攻击或勒索软件事件。苏黎世和Aflac保险公司的数百万日本客户在1月份的一次数据泄露事件中受到影响。       Hackernews 编译,转载请注明出处 消息来源:TheRecord,译者:Serene

黑客肆虐,70 多座城市陷入黑暗!德国政府被勒索软件狂攻

本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候,一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播,该公司限制了70多个城市的基础设施访问,主要是在德国西部的北莱茵-威斯特法伦州。 该公司在一个临时网站上发布的声明中表示,此次袭击使当地政府服务“受到严重限制”,因为事件发生后,其主网站无法访问。 该地区几乎所有的市政厅都受到了黑客攻击的影响。 袭击发生当天,德国城市锡根的行政部门取消了与公民的预约,因为其大部分IT系统都被关闭了。截至周二,政府的大部分在线服务仍然无法使用。Wermelskirchen和Burscheid市政府的网站也在周三关闭。Wermelskirchen的一位女发言人告诉德国媒体:“由于中断,我们无法访问通过Südwestfalen IT运行的所有应用程序。”。这影响了该市的财政、居民、墓地和登记处。  政府在公开讨论此次袭击的影响时表示,尽管在线系统已经关闭,但他们仍在为公民提供面对面的服务。政府的内部和外部沟通,包括电子邮件和电话服务,大多是无效的。德国警方和网络安全机构正在调查此次黑客攻击,并努力恢复城市管理部门的服务。 Burscheid的一位发言人说:“但我们不能告诉我们的客户任何具体的事情,这给人们带来了很大的压力。” 德国网络安全专家表示,攻击的时间特别敏感,因为地方政府通常在月底进行金融交易。专家表示,此次袭击可能会阻碍工资、社会援助和护理基金转账等支付。 德国联邦信息安全办公室(BSI)表示,它知道这起全事件,并正在与受影响的服务提供商联系。然而,由于调查仍在进行中,它无法对进一步的细节发表评论。 参与调查的德国检察官告诉当地媒体,他们目前正在努力确定损失的程度,哪些服务受到影响,以及谁应对袭击负责。他们预计将进行“复杂而漫长的调查”。 转自E安全,原文链接:https://mp.weixin.qq.com/s/GB3s2e4eVwHqVguP6a01Vw 封面来源于网络,如有侵权请联系删除

思科称哈萨克斯坦黑客瞄准中亚政府网站

最新研究表明,据信总部位于哈萨克斯坦的黑客正在针对独立国家联合体的其他成员开展广泛的间谍活动。 思科的 Talos 小组花了数月时间跟踪 YoroTrooper,这是一个于 2022 年 6 月首次出现的专注于间谍活动的黑客组织。研究人员表示,该组织的目标、使用哈萨克斯坦货币以及流利的哈萨克语和俄语是导致他们相信黑客的部分原因。总部设在哈萨克斯坦。 YoroTrooper 似乎采取了防御行动来保护哈萨克斯坦国有电子邮件服务,并且只攻击过哈萨克斯坦政府的反腐败机构。 思科 Talos 威胁研究员 Asheer Malhotra 告诉 Recorded Future News,该组织积极试图掩盖其行动,使攻击看起来像是来自阿塞拜疆,试图“生成虚假标记并误导归因”。 “就他们的作案手法而言,他们的战术和工具并不是很复杂,但是,由于他们的侵略性尝试,过去两年来,YoroTrooper 仍然在独联体国家的目标上取得了巨大的成功。以他们的受害者为目标。此外,尽管 Cisco Talos 在今年早些时候首次披露了 YoroTrooper 的活动细节,但威胁行为者并没有表现出放缓的迹象。”Malhotra 说。 Cisco Talos追踪了涉及阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦、乌兹别克斯坦的机构和官员的攻击,这些攻击使用 VPN 服务使其看起来像是来自阿塞拜疆的黑客攻击。 2023 年 5 月至 2023 年 8 月期间,黑客入侵了多个国有网站和属于政府官员的账户。 大多数攻击都是从网络钓鱼电子邮件开始,并部署定制的恶意软件,使该组织能够窃取数据和凭据。 受到 YoroTrooper 袭击的国家 研究人员发现,黑客在尝试调试工具时使用俄语,同时还访问了许多用哈萨克语编写的网站。六月,黑客开始在他们的代码中使用乌兹别克语,这是哈萨克斯坦广泛使用的另一种语言。 黑客使用加密货币来支付域名和服务器等运营基础设施的费用,同时还在谷歌上检查“哈萨克斯坦坚戈(KZT)、哈萨克斯坦官方货币和比特币(BTC)之间的货币兑换率”。 该组织还对哈萨克斯坦国有电子邮件服务 mail[.]kz 进行安全扫描,并监控该平台是否存在潜在的安全漏洞。虽然大部分活动都是通过阿塞拜疆进行的,但思科 Talos 发现的证据表明,黑客不会说阿塞拜疆语言——他们定期访问翻译网站并检查从阿塞拜疆语到俄语的翻译。 思科 Talos 指出,自2023 年 3 月发布有关 YoroTrooper 的报告(详细介绍了该组织对欧盟医疗机构、世界知识产权组织和几个独联体国家的攻击)以来,他们已经大大扩展了自己的工具和策略。 该组织使用新的定制植入程序,并放弃了之前使用的其他恶意软件菌株。 研究人员表示:“YoroTrooper 针对这些国家的政府实体可能表明运营商是出于哈萨克斯坦国家利益的动机或在哈萨克斯坦政府的指导下工作。” 该组织使用漏洞扫描程序和来自 Shodan 等搜索引擎的开源数据来查找目标基础设施中的漏洞。今年夏天,他们使用这些工具入侵了塔吉克和吉尔吉斯斯坦的三个国有网站,并在其上托管了恶意软件负载,截至 2023 年 9 月,一些恶意软件仍在托管。 妥协的对象包括塔吉克斯坦商会、该国毒品管制局和吉尔吉斯斯坦国有煤炭企业的网站。吉尔吉斯斯坦交通和道路部的一名官员以及乌兹别克斯坦能源部的其他政府工作人员也成为攻击目标。 思科 Talos 还发现该组织根据 3 月份关于黑客活动的报告调整了策略,这些活动使他们能够窃取凭据、浏览器历史记录、系统信息和屏幕截图。 马尔霍特拉表示,虽然独联体国家相互攻击的情况并不常见,但网络安全研究人员发现该地区的网络攻击最近有所增加。 “考虑到独联体国家靠近欧洲、中亚、俄罗斯和中国,独联体国家似乎很自然地发展由网络空间行动驱动的情报能力,以支持其政治、经济和军事进步,”马尔霍特拉解释道。   转自安全客,原文链接:https://www.anquanke.com/post/id/291007 封面来源于网络,如有侵权请联系删除

黑客入侵市政府电子邮件账户至少 3 个月

Hackernews 编译,转载请注明出处:   费城政府表示,黑客入侵城市电子邮件系统至少3个月,这使得黑客能够广泛访问存储在电子邮件账户中的健康信息。 市政府没有回应有多少人受影响,但在周五发布的一份通知中表示,一名黑客在5月26日至7月28日期间访问了一些市政府的电子邮件账户。 该市于5月24日意识到其电子邮件中的可疑活动,8月22日,该市发现一些被入侵的电子邮件账户中有受保护的健康信息,但随后直到10月才通知该市居民。 “市政府正在进行全面审查,受影响的信息类型因人而异。然而,受影响的信息类型可能包括:人口统计信息,如姓名、地址、出生日期、社会安全号码和其他联系信息;医疗信息,如诊断和其他治疗相关信息;以及有限的财务信息,比如索赔信息。”他们解释说。 “得知此事后,我们立即采取措施进一步加强系统和电子邮件的安全。作为我们对信息安全承诺的一部分,我们还在审查现有的政策和程序,实施额外的管理和技术保障措施,并提供额外的安全培训。” 市政府官员向其他监管机构以及美国卫生部报告了这一问题,但该部门尚未将这一事件列入公开的违规事件清单。 该市表示,仍在与一家网络安全公司合作调查这起事件。这是该市继2020年发生两起违规事件后最新的数据泄露事件。之前的其中一起事件涉及该市行为健康和智力残疾服务部承包商的违规行为,导致超过10.8万人的敏感信息泄露。 该市向另外4.9万名居民通报了网络钓鱼攻击,黑客可以访问该市的电子邮件收件箱。 而今年早些时候,《费城问询报》和费城交响乐团都遭遇了网络攻击。     Hackernews 编译,转载请注明出处 消息来源:TheRecord,译者:Serene