多个勒索软件团伙用来关闭端点检测和响应 (EDR) 解决方案的恶意 PoorTry 内核模式 Windows 驱动程序已演变为 EDR 擦除器，它会删除对安全解决方案运行至关重要的文件，并使恢复变得更加困难。 趋势科技自 2023 年 5 月起就已警告过 Poortry 驱动程序添加了此功能，Sophos 现已确认在野外看到了 EDR 擦除攻击。 PoorTry 从 EDR 停用器演变为 EDR 擦除器，代表了勒索软件参与者在策略上非常激进的转变，他们现在优先考虑更具破坏性的设置阶段，以确保在加密阶段获得更好的结果。 PoorTry，也称为“BurntCigar”，于 2021 年开发，作为内核模式驱动程序，用于禁用 EDR 和其他安全软件。 该工具包被 BlackCat、Cuba 和 LockBit 等多个勒索软件团伙使用，最初引起人们关注是因为其开发人员找到了通过 Microsoft 的认证签名流程对其恶意驱动程序进行签名的方法。其他网络犯罪团伙（如 Scattered Spider）也被发现使用该工具实施以凭证盗窃和 SIM 卡交换攻击为重点的入侵活动。 在 2022 年和 2023 年期间，Poortry不断发展，优化其代码并使用 VMProtect、Themida 和 ASMGuard 等混淆工具来打包驱动程序及其加载器（Stonestop）以进行逃避检测。 擦除器的进化 Sophos 的最新报告基于2024 年 7 月的 RansomHub 攻击，该攻击利用 Poortry 删除关键的可执行文件 (EXE)、动态链接库 (DLL) 和安全软件的其他重要组件。 这确保了 EDR 软件无法被防御者恢复或重新启动，从而使系统在攻击的后续加密阶段完全不受保护。 该过程从 PoorTry 的用户模式组件开始，识别安全软件的安装目录和这些目录中的关键文件。 然后，它向内核模式组件发送请求，系统地终止与安全相关的进程，然后删除其关键文件。 这些文件的路径被硬编码到 PoorTry 上，而用户模式组件支持按文件名或类型删除，从而赋予它一定的操作灵活性，以覆盖更广泛的 EDR 产品。 按文件类型删除功能 该恶意软件可以进行微调，仅删除对 EDR 操作至关重要的文件，从而避免在攻击危险的初始阶段产生不必要的告警从而引发关注。 Sophos 还指出，最新的 Poortry 变种采用签名时间戳操作来绕过 Windows 上的安全检查，并使用来自其他软件（如 Tonec Inc. 的 Internet Download Manager）的元数据。 驱动程序属性 攻击者采用了一种被称为“证书轮盘”的策略，他们部署使用不同证书签名的相同有效载荷的多个变体，以增加至少一个成功执行的机会。 用于签署 Poortry 驱动程序的各种证书 尽管人们努力追踪 PoorTry 的演变并阻止其生效，但该工具的开发人员已经表现出了适应新防御措施的非凡能力。 EDR 擦除功能使该工具在应对攻击方面比防御者更具优势，但也可能为在加密前阶段检测攻击提供新的机会。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aHdlIjodAAYxsQCg6HNDPQ 封面来源于网络，如有侵权请联系删除

伊朗黑客组织APT33利用新型Tickler恶意软件对美国和阿联酋的政府、国防、卫星、石油和天然气部门组织的网络进行后门攻击。 根据微软安全研究人员撰写的报告，代表伊朗利益的威胁组织（也被追踪为 Peach Sandstorm 和 Refined Kitten）在 2024 年 4 月至 7 月期间使用了这种新恶意软件作为情报收集活动的一部分。 在这些攻击过程中，攻击者利用 Microsoft Azure 基础设施进行命令和控制 (C2)，使用欺诈性的、攻击者控制。 APT33 在 2024 年 4 月至 5 月期间成功发动密码喷洒攻击，入侵了国防、航天、教育和政府部门的目标组织。在这些攻击中，他们试图使用少量常用密码访问许多帐户，以避免触发帐户锁定。 “尽管密码喷洒活动在各个行业中都持续出现，但微软观察到 Peach Sandstorm 专门利用教育行业中被盗用的用户账户来获取运营基础设施。在这些情况下，攻击者访问了现有的 Azure 订阅或使用被盗用账户创建订阅来托管其基础设施。”微软表示。 黑客控制的 Azure 基础设施被用于后续针对政府、国防和航天领域的行动。 APT33 Tickler 攻击流程 微软补充道：“在过去的一年里，Peach Sandstorm 使用定制工具成功入侵了多家组织，主要是上述领域的组织。” 伊朗黑客组织还在 2023 年 11 月使用了这种策略，攻击了全球国防承包商的网络并部署了 FalseFont 后门。 今年 9 月，微软警告称，APT33 活动已再次出现，自 2023 年 2 月以来，该活动针对全球数千个组织发起了大规模密码喷洒攻击，针对国防、卫星和制药领域。 微软宣布，从 10 月 15 日开始，所有 Azure 登录尝试都必须进行多重身份验证 (MFA)，以保护 Azure 帐户免遭网络钓鱼和劫持。 该公司此前发现，MFA 可使 99.99% 启用 MFA 的账户抵御黑客攻击，并将入侵风险降低 98.56%，即使攻击者试图使用之前被入侵的凭据入侵账户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/uczzZDeRMymYI9BBmqqYog 封面来源于网络，如有侵权请联系删除

Meta Platforms 周五成为继微软、谷歌和 OpenAI之后最新一家曝光伊朗APT组织活动的公司，据称该组织利用一组 WhatsApp 账户试图针对以色列、巴勒斯坦、伊朗、英国和美国的个人。 Meta 在公开的新闻稿件中说，该攻击群源自伊朗，“似乎主要针对政治和外交官员以及其他公众人物，其中包括一些与拜登总统和前总统特朗普政府有关的人士” 。 该社交媒体巨头将其归咎于一个被追踪为 APT42 的黑客组织，该组织也被称为 Charming Kitten、Damselfly、Mint Sandstorm（以前称为 Phosphorus）、TA453 和 Yellow Garuda。据评估，该组织与伊朗伊斯兰革命卫队 (IRGC) 有关联。 该组织以使用复杂的社会工程诱饵而闻名，他们利用恶意软件对目标进行鱼叉式网络钓鱼并窃取其凭据。本周早些时候，Proofpoint透露，该组织瞄准了一位著名的犹太人物，并用名为 AnvilEcho 的恶意软件感染他们的机器。 Meta 称，这一“小群” WhatsApp 账户伪装成 AOL、谷歌、雅虎和微软的技术支持，但据信这些努力并未成功，这些账户现已被封禁。 “我们没有看到他们的账户被盗的证据。”Facebook、Instagram 和 WhatsApp 的母公司表示。“我们鼓励向我们举报的人采取措施，确保他们的在线账户在互联网上是安全的。” 目前，美国政府正式指责伊朗试图通过扩大宣传和收集政治情报来破坏美国大选、煽动美国公众的分裂观点并削弱人们对选举过程的信心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/acoqh4IZs3InRqM9BLvhyg 封面来源于网络，如有侵权请联系删除

安全内参8月23日消息，美国半导体制造公司微芯科技（Microchip Technology）披露，“未经授权的第三方破坏了公司对某些服务器的使用以及部分业务操作。” 微芯科技于周二向美国证券交易委员会（SEC）提交文件披露称，8月17日，该公司“检测到可能涉及其信息技术系统的可疑活动。”公司随后展开调查。8月19日，调查结果确认存在未经授权的访问。该公司采取了隔离相关系统、关闭其他系统等多项措施，并聘请了外部网络安全顾问来确定问题范围。 “由于该事件，公司某些制造设施的运营低于正常水平，公司目前履行订单的能力受到影响。”文件中还承诺，微芯科技正在尽快努力修复问题。 文件没有提及事件原因、对芯片制造商造成的破坏程度，或是否涉及勒索软件。但是，文件提到对受影响的系统进行隔离。这表明未经授权的第三方活动有蔓延到公司IT系统其他部分的潜在风险。 任何芯片制造商的生产能力下降的消息都不容乐观。微芯科技的此次事件尤为令人担忧，因为在2024年1月，拜登政府向该公司拨款1.62亿美元，用于扩大其制造旗舰微控制器的工厂。美国政府称这笔资金将推动美国汽车、国防和航空航天工业的发展。这种表述反映出微芯科技是极其重要的军方供应商。 微芯科技的产品被设计用于关键任务，常用于汽车、飞机、导弹等高速移动的设备，或在恶劣的偏远地区运行的设备。例如，美国航空航天局（NASA）将在其下一代高性能航天计算机（HPSC）中使用微芯科技芯片。 该公司还提供铸造服务。如果此次事件影响了铸造过程，将会对硅材料供应造成严重打击。 针对芯片制造商的网络攻击并不罕见。仅在今年，台积电（TSMC）、安世半导体（Nexperia）和超威半导体公司（AMD）就发生了类似事件。过去此类攻击也屡见不鲜，比如英伟达（Nvidia）在2022年就遭遇了勒索软件事件。 转自安全内参，原文链接：https://mp.weixin.qq.com/s/06ql1QkrlZNR7frnTWgVsw 封面来源于网络，如有侵权请联系删除

Halliburton于周三确认其系统正遭受网络攻击。报告显示，该攻击已迫使公司实施了全面的网络隔离措施，要求员工断开所有与内部网络的连接。 该公司发言人表示：“我们已意识到部分公司系统受到影响，目前正在进行原因分析和潜在影响评估。”发言人补充道：“公司已启动既定应对措施，IT团队正在与外部安全专家协作，积极处理和缓解此次安全事件。” X 用户@MzBlckSheep发文称，“从休斯顿的一位朋友那里得知，Halliburton 目前正遭受大规模的基于云的网络安全攻击”，这是社交媒体上关于这一事件的较早评论之一。 用户 @MzBlckSheep 还写道：“他们让每个人都断开与内部网络的连接，这正是将所有数据托付给云计算所带来的问题。” 此外，一位知情人士向路透社证实，Halliburton已要求部分员工暂时断开与内部网络的连接。此次攻击似乎已影响到公司位于休斯顿北带园区的业务运营以及一些全球网络连接。 截至周三，尚无任何网络犯罪组织声明对Halliburton遭受的袭击负责。 根据公司网站的信息，Halliburton是全球第二大油田服务公司，总部设在美国德克萨斯州休斯顿和迪拜，业务覆盖70个国家，拥有超过40000名国际员工。 针对能源部门的袭击 安全专家指出，针对能源部门的网络攻击构成了对关键基础设施构成了严重威胁，过去类似攻击曾造成重大后果。 2021 年，美国燃料供应商 Colonial Pipeline 遭遇了 DarkSide 勒索软件团伙的攻击，导致其网络系统关闭了近一周。Colonial Pipeline 的首席执行官承认，公司向该组织支付了440万美元的赎金。 这一臭名昭著的攻击发生在新冠疫情结束之际，对燃料供应链造成了严重冲击，导致价格飙升、燃料短缺，并引发了美国东南部各地加油站的恐慌性囤积。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

27岁的俄罗斯公民格奥尔基·卡夫扎拉泽（Georgy Kavzharadze）因在Slilpp上出售超过30万个账户的登录凭证，被判处40个月的监禁。Slilpp是最大的在线被盗账户登录凭证市场，2021年6月该市场被查封。 判处40个月监禁 近期外媒报道，美国司法部表示，Kavzharadze（也称为TeRorPP，Torqovec和PlutuSS）在非法市场上出售了大量财务信息和其他个人身份信息（PII）。在2016年至2021年期间，他在Slilpp市场上列出了超过626100个被盗登录凭据出售，并成功售出了超过297300个。他的活动与超过120万美元的欺诈交易有关。 司法部称，“2021年5月27日，Kavzharadze在Slilpp上的账户列出了 240,495个待售登录凭据，这些凭据允许买家使用这些信息从受害者的在线支付和银行账户中窃取资金。这些凭证包括访问纽约、加利福尼亚州、内华达州和佐治亚州的银行账户。Kavzharadze只接受比特币作为凭证的支付方式。” 根据法庭文件，联邦调查局（FBI）分析师发现Kavzharadze与一个比特币账户中超过20万美元的Slilpp利润有关。该账户收取了被盗登录信息、个人和财务信息的付款。 2021年8月19日，美国司法部指控Kavzharadze共谋实施银行和电汇欺诈、银行欺诈、访问设备欺诈和严重身份盗窃。 他被引渡到美国，并于2022年5月在美国地方法院出庭。将近两年后，即2024年2月16日，Kavzharadze承认自己是一名Slilpp供应商，并共谋实施银行和电汇欺诈。 最大暗网市场Slilpp 美国司法部于2021年6月10日宣布关闭Slilpp，此行动由美国、德国、荷兰和罗马尼亚的执法机构联合行动，行动中没收了用于托管Slilpp基础设施的服务器。自2012年以来，Slilpp已经活跃了近十年，并被网络犯罪分子用来买卖银行、在线支付、手机、零售商和其他在线账户的被盗登录凭据。 据悉，在Slilpp被关闭查封域名之前，Slilpp的供应商列出有超过8000万个被盗登录凭据，这些待售凭据归属于1400多家公司的用户，其中许多是全球知名组织。 从那时起，全球的执法机构都开始集中力量打击那些帮助犯罪分子获取敏感信息的活动。这些敏感信息是从网络攻击的受害者那里被窃取的。 例如，今年早些时候，执法部门逮捕了23岁的林瑞祥（Rui-Siang Lin），他被怀疑是Incognito暗网毒品市场的所有者和经营者。这个市场销售了价值超过1亿美元的毒品。如果林瑞祥被判定有罪，他可能会面临强制性的最低刑罚，即终身监禁。去年，当局还查封了Genesis被盗凭证市场，并在代号为Spector的执法行动后逮捕了288名暗网毒品供应商和买家。 今年6月，FBI逮捕了BreachForums黑客论坛的所有者康纳·布莱恩·菲茨帕特里克（Connor Brian Fitzpatrick，又名Pompompurin）。 去年12月，一项国际警察行动逮捕了3500名网络犯罪分子，并缴获了超过3亿美元。德国警方查获了王国市场（Kingdom Market），这是一个销售网络犯罪工具、毒品和假政府身份证的暗网市场。   转自E安全，原文链接：https://mp.weixin.qq.com/s/1bb8UZRrnjAkouYFxizyag 封面来源于网络，如有侵权请联系删除

上周，唐纳德·特朗普的总统竞选团队公开宣布，他们成为伊朗黑客的攻击目标。最初，这则消息似乎表明，这个中东国家特别关注这位在其看来对其政权采取最强硬态度的候选人。 后来，情况变得更加明显，伊朗也将民主党纳入了其网络行动的视线。谷歌网络安全分析师已经证实，针对这两个竞选团队的攻击行动是为伊朗服务的同一群黑客。 谷歌威胁分析小组周三发布了一份关于 APT42 的新报告，报告称该组织试图破坏民主党和共和党的总统竞选活动以及以色列的军事、政府和外交组织。 2024 年 2 月至 7 月下旬期间，APT42 重点攻击以色列和美国 5 月和 6 月，据信为伊朗革命卫队 (IRGC) 服务的 APT42 黑客组织针对了与特朗普和乔·拜登有关的大约十几个人，包括现任和前任政府官员以及与这两个政治竞选活动有关的个人。谷歌称，APT42 继续针对共和党和民主党竞选官员。 “在收集信息方面，他们攻击的是各个方面。”谷歌旗下网络安全公司 Mandiant 的威胁情报主管John Hultquist表示，该公司与谷歌的威胁分析小组密切合作。 Hultquist指出，鉴于 APT42 在 2020 年也曾针对拜登和特朗普的竞选活动，同时针对美国两党竞选机构的网络间谍活动并不令人意外。 他说，APT42 的目标并不一定表明它偏爱某一位候选人，而是因为两位候选人——特朗普和现任副总统卡马拉·哈里斯——对伊朗政府都具有重要意义。“他们对两位候选人都感兴趣，因为他们是规划美国中东政策未来的人。”Hultquist说。 然而，只有一个竞选团队的敏感文件似乎不仅被伊朗黑客成功攻破，还被泄露给媒体。《政治报》、《华盛顿邮报》和《纽约时报》都表示，他们收到了据称从特朗普竞选团队窃取的文件，其中一些文件来自一位名叫“罗伯特”的消息人士。 这些文件是否确实被 APT42 窃取尚待证实。微软上周指出，APT42（其称之为 Mint Sandstorm）于 6 月利用另一位“前高级顾问”被黑客入侵的电子邮件账户，攻击了“总统竞选活动的一名高级官员”。谷歌在其新报告中还指出，APT42“成功获取了一位知名政治顾问的个人 Gmail 账户。” 虽然两家公司均未证实哪些人或哪些群体可能遭伊朗组织成功攻击，但特朗普顾问罗杰·斯通透露，微软和美国联邦调查局先后警告他，他的微软和 Gmail 账户均遭黑客入侵。 谷歌表示，它已经阻止了“大量”试图登录这两个竞选团队官员账户的攻击，并向受影响的个人发出了警告，并与执法部门合作调查这些入侵企图。据《华盛顿邮报》报道，美国联邦调查局于 6 月启动了对网络钓鱼攻击的调查。 Mandiant 公司的 Hultquist 表示， APT42 长期以来一直是中东地区最活跃的伊朗黑客组织之一，或者说是最活跃的。但 Hultquist 指出，该组织过去“仅限于间谍活动”。 攻击者利用其对受害者网络的访问权，在过去的案件中远远超出了间谍活动的范围，发动破坏性网络攻击，或在所谓的“影响行动”中入侵和泄露电子邮件，特朗普竞选活动可能就是如此。 “这提醒我们，任何为间谍活动而获得的访问权都可以用于其他目的。”Hultquist 说。 在其报告中，谷歌列出了 APT42 的典型网络钓鱼操作，包括将受害者引导至虚假的 Google Meet 页面，试图诱骗他们输入用户名和密码，诱骗他们进入 Telegram、WhatsApp 或 Signal 等消息平台上的对话，然后黑客向受害者发送旨在拦截其凭据的网络钓鱼工具包，以及双因素身份验证代码或帐户恢复代码。 APT42 于 2024 年 4 月发起网络钓鱼活动 除了总统竞选活动之外，谷歌表示，APT42 还积极利用网络钓鱼网站攻击以色列组织，这些网站冒充以色列和与以色列有关的组织，例如华盛顿近东政策研究所、布鲁金斯学会、犹太机构和阿拉丁计划。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8BInj1e3uW1vCvOFa9aSQw 封面来源于网络，如有侵权请联系删除

根据一份新报告，2024 年上半年，勒索软件攻击的受害者被勒索了超过 4.59 亿美元，凸显日益严重的危机，这场危机已经影响了从大公司到地方政府和医院的所有组织。 区块链研究公司 Chainalysis 追踪了向勒索软件攻击者控制的钱包进行的加密货币支付，发现从这些犯罪分子那里赚取的金额增加了 1000 万美元，而去年的数字为 4.491 亿美元。 研究人员表示，支付的速度使世界“坚定地走上了有记录以来最糟糕的一年”。其他几项统计数据表明，勒索软件问题只会越来越严重。除了创纪录的支付赎金7500万美元外——其他区块链分析师也证实了这一点——支付的中位数也有所增长。 对于最具威胁性的群体——今年收到最高金额超过 100 万美元的群体——赎金中位数从 2023 年第一周的 198,939 美元增加到 2024 年 6 月中旬的 150 万美元。 研究人员说：“这种模式可能表明，勒索软件新变种针对大型企业和关键基础设施提供商，由于这些目标的雄厚财力和系统重要性，这些企业和关键基础设施提供商更有可能支付巨额赎金。” 这些数字与包括 Sophos 在内的其他网络安全公司追踪的数据相符，该公司最近释放的一份报告显示，2024 年支付赎金的 49 个州和地方政府的勒索中位数为 220 万美元。 跟踪支付还显示，勒索软件攻击变得越来越频繁，今年记录的攻击至少增加了 10%。 但是，尽管攻击频率和支付规模有所增加，但支付赎金的受害者数量似乎减少了。 研究人员表示，与去年相比，“勒索软件支付事件”的数量下降了27%，这表明更多的受害者可能准备得更充分，并选择自己从攻击中恢复过来。 事件响应公司Kiva Consulting的总法律顾问安德鲁·戴维斯（Andrew Davis）表示，他们受雇协助的攻击事件中有65%在没有支付赎金的情况下得到解决。 戴维斯补充说，取缔 ALPHV/BlackCat 和 LockBit 勒索软件组织的执法行动已经分裂了网络犯罪格局，迫使附属公司迁移到效果较差的其他勒索软件团伙。 “无论是这些知名攻击者行动的前附属机构，还是勒索行业新贵，大量新的勒索软件组织都加入了这场争夺战，展示了新的方法和技术来实施他们的攻击，扩大他们的初始访问手段和横向移动方法。”他说。 虽然政府官员最近几周质疑勒索软件基础设施拆除质疑有效性，但一些研究人员表示，这些数据说明了这些操作的重要性。执法部门的联合行动“对于遏制勒索软件犯罪至关重要”。 2023 年支付了创纪录的 10亿美元的赎金，部分来自几起备受瞩目的攻击，包括 Clop 利用流行的文件传输工具和 ALPHV/BlackCat 对凯撒酒店物业的攻击。 Chainalysis 通常会每年修改赎金支付数字，因为他们发现犯罪分子使用的加密钱包更多。 加密货币盗窃 勒索软件并不是 Chainalysis 警告的唯一网络安全威胁——研究人员表示，加密货币抢劫案也在增加。2024 年上半年，网络犯罪分子从此类攻击中净赚了近 16 亿美元，高于 2023 年同期的 8.57 亿美元。 对加密货币平台的攻击数量基本保持稳定，但与去年相比，黑客在每次攻击中都窃取了更多的钱。与去年上半年的590万美元相比，今年盗窃案的平均价值增长到1060万美元。 Chainalysis将这在很大程度上归因于加密货币（尤其是比特币）的价值增加，与去年相比，去年市场在几个主要平台关闭后崩溃。 今年最大的攻击是针对DMM，被盗3.05亿美元被盗。 根据 Chainalysis 的说法，提供去中心化金融 （DeFi） 服务的公司提高了安全性，将大多数黑客拒之门外，迫使他们“回归本源，并在四年后再次瞄准中心化交易所，这些交易所通常不交易比特币”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/vdOE6L3MFUbO9EqENqtV2g 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，全球最大的ERP供应商SAP在本月修复了一批重要漏洞，其中包含一个关键的身份验证绕过漏洞，该漏洞可能允许攻击者完全破坏系统。 漏洞被跟踪为 CVE-2024-41730，CVSS v3.1 评分高达9.8，影响 SAP BusinessObjects Business Intelligence Platform 430 和 440版本 。根据漏洞描述，如果在企业身份验证上启用了单点登录，则未经授权的用户可以使用REST端点获取登录令牌。攻击者可以此完全破坏系统，从而对机密性、完整性和可用性产生重大影响。 另一个评分达9.1的漏洞被追踪为CVE-2024-29415，与 Node.js 的“IP”包中的一个缺陷有关，该包会检查 IP 地址是公共还是私有。当使用八进制表示时，会错误地将“127.0.0.1”识别为公有且全局可路由的地址。该漏洞影响版本低于4.11.130 的 SAP Build Apps。 其他一些评分在7.4至8.2的漏洞也同样不容忽视，包括： CVE-2024-42374– SAP BEx Web Java 运行时导出 Web 服务中的 XML 注入问题。影响 BI-BASE-E 7.5、BI-BASE-B 7.5、BI-IBC 7.5、BI-BASE-S 7.5 和 BIWEBAPP 7.5版本。 CVE-2023-30533– 与 SAP S/4 HANA 中的原型污染相关的漏洞，特别是在“管理供应保护”模块中，影响低于 0.19.3 的 SheetJS CE 库版本。 CVE-2024-34688– SAP NetWeaver AS Java 中的拒绝服务 （DOS） 漏洞，特别影响 Meta Model Repository 组件的MMR_SERVER 7.5版本 。 CVE-2024-33003– 与 SAP Commerce Cloud 中的信息泄露问题相关的漏洞，影响 HY_COM 1808、1811、1905、2005、2105、2011、2205 和 COM_CLOUD 2211版本。 由于SAP是全球最大的ERP供应商，布斯全球2000强榜单中有90%的企业使用了相关产品，因此黑客一直在利用SAP的漏洞，试图攻击这些高价值的企业网络。在2020年6月至2021年3月间，攻击者就利用未及时打补丁的SAP 系统，至少进行了300起公司网络渗透行为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

韩国执政党国民力量党声称，朝鲜黑客窃取了该国主战坦克 K2 坦克以及“白头山”号和“金刚山”号间谍机的重要信息。 人民进步党对朝鲜可能利用泄露的信息来规避军方监视、在战场上取得优势表示担忧，因此呼吁紧急采取更有力的措施以维护国家安全。 K2“黑豹”坦克是韩国的一款主战坦克，由国防开发局设计，现代罗特姆公司制造。自2008年推出以来，每辆售价850万美元，目前韩国已有260辆服役，另有150辆在计划中。 白头山和金刚山号间谍飞机是韩国在过去20年中用于边境监视的主要装备，用于监控朝鲜的军事活动（IMINT）和捕获无线通信（SIGINT）。 据当地媒体周五报道，K2坦克数据泄露是由于一名制造商的工程师跳槽至竞争公司，并将设计蓝图、开发报告和关于坦克过压系统的详细信息带走。新雇主意图将这项技术出口到中东，因此泄漏已超出韩国范围。 关于白头山和金刚山号间谍飞机，《东亚报》报道指出，一家韩国国防承包商遭到朝鲜黑客攻击，该承包商负责编写包括两架间谍飞机在内的军事装备操作和维护手册。黑客窃取了飞机的重要技术数据，包括技术细节、最近的技术升级、操作能力和维护信息。 韩国担心，侦察机技术的泄漏将使敌人能够开发更隐蔽的无人机和有效的监视规避措施。 人民进步党呼吁国内各政党团结一致，尽快商定并实施新的措施，以加强国家对抗网络间谍活动的能力。声明中指出：“随着朝鲜网络攻击的日益广泛和大胆，制定《网络安全基本法》以防止黑客攻击和技术盗窃已成为必要。为了保护国家利益，我们必须迅速修订刑法，将间谍法的适用范围扩大到‘外国’。” 2024年4月，韩国国家警察厅发出紧急警告，提醒国防工业公司警惕朝鲜威胁组织（如Lazarus、Andariel和Kimsuky）的攻击升级。警方特别行动发现，自2022年底以来，朝鲜特工已侵入多家公司，进行广泛的情报收集。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juyuHyvmTte-vDWN-7-ntQ 封面来源于网络，如有侵权请联系删除