库特奈医疗中心 (Kootenai Health) 披露了一起数据泄露事件，464000 名患者的个人信息被 3AM 勒索软件窃取和泄露，泄露的数据包括姓名、出生日期、社会安全号码 (SSN)、医疗和病情信息、医疗诊断以及健康保险信息等。 Kootenai提交给缅因州司法部长办公室的通知写道：“2024 年 3 月 2 日，Kootenai卫生局发现异常活动，导致某些 IT 系统访问中断。” 经调查，网络犯罪分子于 2024 年 2 月 22 日就未经授权访问了 Kootenai 的系统，这一行为使得犯罪分子有十天时间能够窃取敏感数据。 2024 年 8 月 1 日，Kootenai结束了对所有泄露数据的检查，确认泄露的数据包括：姓名、出生日期、社会安全号码 (SSN)、驾驶执照、政府身份证号码、医疗记录编号、医疗和病情信息、医疗诊断以及健康保险信息。 Kootenai Health 表示，未发现被盗信息遭到滥用的情况，但是建议受影响人员注册 12-24 个月的身份保护服务。 患者还可以访问医院在库特奈健康网站上发布的公告，以获取更多信息和支持链接。 Kootenai Health 是爱达荷州的一家非营利性医疗保健机构，运营着该地区最大的医院，提供急救、外科手术、癌症治疗、心脏护理和骨科等广泛的医疗服务。 3AM 勒索软件泄露数据 3AM 勒索软件团伙已声称对此次攻击负责，并在其暗网门户上泄露了被盗数据，网页显示还未支付赎金。 被盗数据包括一个 22GB 的档案，任何网络犯罪分子都可以免费下载并用于进一步的攻击。 Kootenai Health 数据在 3AM 勒索门户网站上泄露 3AM 是一种基于 Rust 开发的勒索软件毒株，首次报告于 2023 年 9 月。它主要作为备选工具，用于当其他更成熟的锁定工具失效时进行部署，因此其部署范围相对较为有限。 今年 1 月，Intrisec 分析师报告称，发现3AM、Conti 和 Royal 勒索软件团伙之间存在明显联系，暗示这三者之间可能存在某种关联。   BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国国务院周三宣布，将悬赏高达 1000 万美元，征集几名被控入侵工业控制系统 (ICS) 的伊朗公民的个人信息。 通缉名单包括：哈米德·霍马云法尔 (Hamid Homayunfal)、哈米德·礼萨·拉什加里安 (Hamid Reza Lashgarian)、马赫迪·拉什加里安 (Mahdi Lashgarian)、米拉德·曼苏里 (Milad Mansuri)、穆罕默德·巴盖尔·希林卡 (Mohammad Bagher Shirinkar) 和礼萨·穆罕默德·阿明·萨贝里安 (Reza Mohammad Amin Saberian)，他们与伊朗伊斯兰革命卫队 (IRGC)，特别是网络电子指挥部有联系。 据信，这些人是名为 Cyber Av3ngers 的黑客组织的幕后黑手，该组织于 2023 年秋季针对宾夕法尼亚州阿利奎帕市水务局的 Unitronics Vision 可编程逻辑控制器 (PLC) 发起攻击。还针对美国其他水务公司的 ICS发起攻击。 目标 PLC 暴露在互联网上，仅受弱默认密码的保护。 CyberAv3ngers 自称是一个黑客组织，但美国认为这是伊朗政府用来进行恶意网络活动的身份。 此前，美国政府宣布悬赏1000 万美元缉拿“网络复仇者”组织成员。悬赏 1000 万美元，征集有关Alphv/BlackCat 勒索软件运营商及其附属机构以及朝鲜黑客组织 APT45成员的信息。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5XwhSGjDOHLjBn_Mkp8TeQ 封面来源于网络，如有侵权请联系删除

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

5 月 6 日美国知名电子制造服务公司Keytronic 披露了一次数据泄露事件，称一勒索软件团伙从其网络内窃取了信息，导致该公司的美国和墨西哥的业务暂停了两周。该公司还指出由于此次网络攻击，其已向外部网络安全专家支付了约 60 万美元，并且生产中断以及与恢复和补救工作相关的费用可能会对其第四季度财务业绩产生重大影响。 近期，Keytronic 透露，最近的勒索软件攻击造成的额外费用和收入损失总计超过 1700 万美元。 该公司在2024财年第四季度的初步财务报告中披露了与该事件相关的成本。 Keytronic 表示：“由于这一事件，公司产生了约 230 万美元的额外费用，并认为第四季度损失了约 1500 万美元的收入。”但该公司补充道，“这些订单大部分都是可以收回的，预计将在 2025 财年完成。本季度的 70 万美元的保险收益可以抵消部分额外费用。” 虽然Keytronic并未透露是哪一组织造成了有关数据泄露，但勒索软件组织Black Basta在泄密网站上公布了从该公司窃取超过 500 GB 的数据后，该事件就被披露了。 Black Basta 声称对 Keytronic 发起攻击，并窃取了超过 500 GB 的数据，包括财务文件、工程文件、人力资源信息和其他类型的公司数据。 Keytronic 专注于精密塑料成型、精密金属加工和装配服务，为计算机、电信、医疗、工业、汽车和航空航天领域制造精密零件。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，Palo Alto Networks的研究人员发现，一个被称为Fighting Ursa（也被称作APT28、Fancy Bear或Sofacy）的与俄罗斯有关联的威胁行为者，通过发布虚假的汽车销售广告来传播HeadLace后门恶意软件，主要针对外交官。 这场活动始于2024年3月，攻击者采用了多年来对外交官有效的网络钓鱼策略，利用能够吸引目标的敏感主题发起攻击，并依赖于公共和免费的服务来托管攻击的各个阶段。 2023年4月到12月期间，该APT分三个不同阶段部署 Headlace，分别使用网络钓鱼、被破坏的互联网服务和本地二进制文件。而这些凭据收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆的一个智库，通过在合法服务和被破坏的Ubiquiti路由器之间转发请求，绕过双因素认证和CAPTCHA挑战。 乌克兰国防部和欧洲铁路系统的相关网络被破坏后，攻击者能够收集情报以影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣也表明他们有意了解并影响地区政策。Insikt Group推测这次行动旨在影响地区和军事动态。 今年5月，Fighting Ursa利用合法服务Webhook.site通过托管恶意HTML页面启动了感染链，该页面在2024年3月14日提交给VirusTotal，其中包含用于确定访问者的计算机是否运行Windows的脚本。非Windows用户会被重定向到ImgBB上托管的诱饵图片。 HTML 还从 Base64 文本中创建了一个 ZIP 压缩包供下载，并利用 JavaScript 自动完成该过程。攻击者使用了一张奥迪Q7 Quattro SUV的图片作为诱饵，虚假宣传它是“外交用车出售”，其中包括虚假的联系方式以增加网络钓鱼计划的可信度。 ZIP归档包含三个文件：一个伪装成图像文件的合法Windows计算器可执行文件calc.exe（”IMG-387470302099.jpg.exe”），一个DLL文件（”WindowsCodecs.dll”），以及一个批处理文件（”zqtxmo.bat”）。 IMG-387470302099.jpg.exe文件用于加载WindowsCodecs.dll，这是HeadLace后门的一部分，可运行批处理脚本。该脚本执行了一个Base64编码的命令，从另一个webhook[.]site URL检索文件。 Palo Alto Networks的分析报告指出：“批处理文件将从第二个Webhook.site URL下载的内容保存在用户的下载目录中为IMG387470302099.jpg，然后将其移动到%programdata%目录，并更改文件扩展名从.jpg到.cmd。最后，批处理文件执行IMG387470302099.cmd，然后删除自身，以消除恶意活动的明显痕迹。” 专家认为，Fighting Ursa组织将继续在其攻击基础设施中使用合法的网络服务。 Recorded Future的一份最新报告也指出，该组织使用的基础设施一直在不断变化和发展。其他行业报告也展示了该组织在尝试投放HeadLace恶意软件时使用的各种诱饵。 为了防御此类攻击，建议限制对这些类似托管服务的访问，并仔细审查这些免费服务的使用，以识别可能的攻击载体。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407808.html 封面来源于网络，如有侵权请联系删除

以色列黑客宣布对伊朗持续的互联网中断负责。 该组织以 WeRedEvils 为名开展活动，至少自 2023 年 10 月以来就已存在，这可能是哈马斯袭击以色列的直接后果，从而引发了当前的加沙战争。 “接下来几分钟，我们将攻击伊朗的系统和互联网提供商。”WeRedEvils 昨天在 Telegram 上表示。“猛烈的打击即将到来。” 根据该组织自己的说法，这次攻击是成功的，他们声称已经成功侵入伊朗的计算机系统，窃取数据并导致互联网中断。该组织声称他们已将窃取的信息转交给以色列政府。 作为证据，WeRedEvils 指出，信息和通信技术部网站 ict.gov.ir 目前已瘫痪，伊朗各部委的大多数其他网站也同样瘫痪，并出现“响应时间过长”的错误。一些网站还出现 403 错误。 《The Register》仅找到两个可在美国访问的政府部门页面，一个是该国文化部，另一个是外交部。 目前还不清楚 WeRedEvils 究竟造成了多大的损失，或者它是否应对当前的中断负全部责任。 WeRedEvils 声称，去年 10 月，它曾袭击伊朗电网，导致电网瘫痪两小时。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qzJ9kecAyX8K93tdE7R9lg 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

近日，有攻击者劫持了 Facebook 上的网页，诱骗用户下载一个合法的人工智能（AI）照片编辑器，但实际上他们真正下载的却是一个专门用以盗取用户的凭据信息窃取程序。 趋势科技的研究人员发现的这一恶意广告活动利用了人工智能的流行性，并结合了各种流行的威胁策略，包括网络钓鱼、社交工程和以恶意方式使用合法工具。最终的有效载荷是 Lumma 窃取器，它的目标是敏感信息，包括用户凭据、系统详细信息、浏览器数据和扩展。 研究人员指出，此次攻击的关键之处在于滥用付费的 Facebook 促销活动，攻击者利用这些促销活动引诱用户参与，并最终发送恶意软件。 趋势科技威胁研究员 Jaromir Horejsi 提到：一旦攻击者获得了页面控制权，他就能发布广告推广 AI 照片编辑器，并引导受害者下载伪装成照片编辑器的端点管理实用程序。 攻击者利用当前大家对人工智能技术和相关工具的关注，使用这些工具作为恶意活动的诱饵，其中包括网络钓鱼诈骗、深度伪造和自动攻击。 到目前为止，与该活动相关的恶意软件包在 Windows 上产生了约 16000 次下载，在 macOS 上产生了 1200 次下载。不过，macOS 版本重定向到的是苹果网站，而不是攻击者控制的网站，这表明攻击者只针对 Windows 用户发起攻击。 网络钓鱼导致页面被劫持 此次钓鱼活动中的攻击始于潜在受害者看到广告之前。因为攻击者首先会向目标社交媒体页面的所有者发送网络钓鱼信息，以获得页面控制权供自己恶意使用。发送者账户的个人资料基本都是空的，因为用户名基本是随机生成的。 信息中的钓鱼链接通常以直接链接或个性化链接页面的形式发送。有时，攻击者甚至滥用 Facebook 的开放重定向 URL，使这些链接看起来更合法。 如果页面操作员点击这些链接，就会出现一个要求他们向 Meta 开发人员的 “业务支持中心 “核实信息的页面。点击屏幕上的 “在此验证您的信息 “链接，就会进入一个虚假的账户保护页面，在随后的几个步骤中，该页面会要求用户提供登录和接管账户所需的信息，如电话号码、电子邮件地址、生日和密码等。 在目标用户提供这些信息后，攻击者会窃取其个人资料，并开始创建和发布人工智能照片编辑器的恶意广告，广告链接到一个使用合法工具（如 Evoto）名称的虚假域名。 Horejsi 写道：假冒的照片编辑器网页看起来与原始网页非常相似，这有助于欺骗受害者，让他们以为自己正在下载照片编辑器。 然而，上钩的用户实际下载的是免费的 ITarian 端点管理软件。攻击者利用一系列后端进程控制，最终控制受害者的机器下载最终的有效载荷–Lumma 窃取程序。 研究人员建议用户应定期更新并使用强大的密码 研究人员建议社交媒体用户应在其所有账户上启用多因素身份验证，以增加一层额外的保护，防止未经授权的访问，并在所有账户上定期更新和使用强大、唯一的密码。 企业还应定期开展教育和提高认识活动，让员工了解在访问企业网络时社交媒体上潜伏的危险，以及如何识别与网络钓鱼攻击相关的可疑信息和链接。 最后，企业和个人用户都应监控其账户是否有任何异常行为，如意外登录尝试或账户信息变更，组织应采用某种检测和响应机制。   转自Freebuf，原文链接：https://www.freebuf.com/news/407579.html 封面来源于网络，如有侵权请联系删除

据BlackBerry威胁情报团队报道，一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。 该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger，自 2012 年以来一直活跃，主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 在过去的一年中，该组织不断更新其基础设施，并在新的袭击中采用新的战术和技术，重点针对巴基斯坦、埃及和斯里兰卡实体，同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。 此次攻击延续了 SideWinder 对间谍和情报收集的关注，使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档，并依靠 DLL 侧载来植入恶意软件。 这些攻击中使用的恶意文件经过精心定制，看上去好像来自目标已知的组织，例如地中海的亚历山大港和红海港务局。 诱饵文档1 滥用埃及（合法）红海港务局标志的诱饵文档2 针对斯里兰卡使用僧伽罗语书写的诱饵文档3 “在我们的研究中，我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的；它们的主要目的是分散受害者的注意力，使他们无法意识到自己受到了攻击。”BlackBerry 指出。 SideWinder 使用旨在唤起强烈情绪（如恐惧和焦虑）的标题来引诱目标立即打开文档，从而分散他们对后台发生的恶意活动的注意力。 这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199)，其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档，就会访问该 URL 以获取下一阶段。 下一步，富文本格式 (RTF) 文件会获取一份文档，该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。 Shellcode 执行一系列检查以确定它是否在虚拟环境中运行，然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。 BlackBerry 的分析显示，攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C＆C) 服务器，同时继续依赖已知的 Sidewinder 域命名结构。 BlackBerry 指出：“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而，根据 SideWinder 先前的活动，我们认为此次活动的目标是间谍活动和情报收集。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg 封面来源于网络，如有侵权请联系删除

周日，亲乌克兰黑客声称入侵了俄罗斯电视台并播放反战信息，将俄罗斯对乌克兰的袭击与 911恐怖袭击相提并论。 亲乌克兰黑客组织“hdr0”的成员在 Telegram 上表示，俄罗斯多个频道（包括 Channel One Russia、Russia-24 和 Russia-1）均受到黑客攻击。该组织并未透露他们如何实施攻击以及有多少人看到了该消息。 这并不是黑客第一次针对俄罗斯电视台。今年 5 月，黑客将俄罗斯电视台播出的胜利日游行（纪念二战中战胜纳粹德国）替换为反战信息。 周末遭到黑客入侵的广播节目播放了俄罗斯袭击乌克兰城市的镜头，以及对乌克兰总统泽连斯基和其他世界领导人的采访摘录，他们谴责俄罗斯在乌克兰实施暴力行为。 上周，该组织声称入侵了克里米亚的一家俄罗斯电视台，播放了泽连斯基的公开讲话。他们还呼吁当地民众采取行动，以防乌克兰军方控制该地区。 8 月份，位于克里米亚的俄罗斯电视台也遭遇过类似的攻击：黑客播放了泽连斯基的讲话，后面跟着一句话：“克里米亚是乌克兰的土地”。 亲克里姆林宫的黑客也在采取类似的策略。 7 月，乌克兰最大的广播公司之一旗下的两个广播电台遭到黑客攻击，传播泽连斯基住院且病情危急的虚假信息。6 月，黑客攻击了乌克兰流媒体服务 Oll.tv，将乌克兰和威尔士之间的足球比赛转播替换为俄罗斯的宣传内容。2 月，乌克兰国家公共广播公司遭受了分布式拒绝服务攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/B71KHT8PfiDgZocmi3B-0A 封面来源于网络，如有侵权请联系删除