据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称2024年黎巴嫩卫生部数据遭到泄露，该威胁行为者声称拥有55GB的内部数据文件，并将该数据定价为5000美元。 知道创宇暗网雷达监测截图 该威胁行为者声称拥有55GB的内部数据文件，特别提到了SQL文件。根据论坛帖子中包含的样本数据显示，所谓的机密信息似乎是医疗记录和个人身份信息。泄露数据包括：姓名、家庭成员姓名、性别、出生日期、婚姻状况、地址信息等。 黑客于暗网发布的帖子截图 黎巴嫩卫生部是负责管理和监督黎巴嫩公共卫生事务的政府机构，也是政府主管医疗服务部门的最高机构。 黎巴嫩卫生医疗服务系统以私营医院、诊所、药房为主体（90%），国家医疗单位为补充。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

近日，Cybernews 研究小组发现有黑客恶意克隆了 Z-Library网站 ，并有近 1000 万用户因访问了该网页而导致数据遭遇泄露。 Z-Library 是一个著名的盗版书籍和学术论文在线平台，这1000 万人都以为自己访问的是该网站。但不知道自己访问的其实是虚假平台，骗子借此收集了他们的个人信息、密码、加密地址，以及付款信息。更糟糕的是，他们泄露了用户的所有信息，病将用户暴露给其他网络犯罪分子和当局。 迄今为止，最大的数字盗版事件发生在 2007 年，当时有黑客攻击了海盗湾，泄露了 150 万用户的电子邮件和密码。 此次泄露的数据均为真实用户填写 据悉，此次泄露的数据库备份属于 Z-lib，它是 Z-Library 的恶意克隆，在谷歌搜索结果中名列前茅。 威胁者意外泄露了 976万用户的用户名、电子邮件地址、密码、比特币和 Monero 钱包地址、国家代码、图书请求、时间戳、评论、发票等信息。 研究人员验证了数据的有效性，并确认注册用户收到了恶意链接垃圾邮件。 研究人员得出结论，这些数据是真实的，是用户自己填写的。许多人并不MaryIsHereToReadDirtyBooks 那么机智，他们提供了自己的真实姓名和其他敏感的个人信息。 这次泄密事件令人极为不安，因为它使数百万个加密货币钱包失去了匿名性，并将相关交易与试图访问盗版内容的个人联系起来。Cybernews 的研究人员说：这不仅损害了隐私，也损害了财务和人身安全。 以盗版者为目标的骗子 研究人员发现，数据库备份曝光的网站 “Z-lib[.]is ”是一个类似于电子图书数据库 Z-Library 的钓鱼网站。该网站不允许用户免费非法下载书籍，而是收集登录凭证并要求付款。 Z-lib 网站是在 2022 年 11 月 Z-library 原始域名被执法部门查封几天后创建的。创始人 Anton Napolsky 和 Valeriia Ermakova 在阿根廷被捕。 骗子们假装继续网站的活动，Z-lib 所有者的身份不明。假冒网站的运营者冒充 Z-Library 项目，并声称自己是唯一 “合法 ”的 Z-Library 网站。 这次泄漏事件中被入侵账户的数量之多几乎是前所未有的。这种恶意活动运行时间如此之长、如此成功、吸引如此多的受害者，实属罕见。研究人员说：目前已确认的 1000 万个账户很可能超过了 Z-Library 原始网站被关闭前的账户数量。 根据 SimilarWeb 的数据，其中一个Z-Lib 域名的月访问量为 1070 万，另一个域名的月访问量为 760 万。这些域名不应与最初的 Z-library 服务相混淆，尽管有许多法律挑战、域名查封和封锁尝试，Z-lib 仍然在线。 研究人员解释说：我们发现有一台网络服务器启用了目录列表功能。这意味着任何用户都可以看到服务器上存储的所有文件和目录列表。在其他托管文件中，还有一个数据库备份，其中存储了数百万用户的个人信息。 数据库备份生成于 2024 年 6 月 20 日。它包含用户数据和其他用于操作的信息，如收到的《数字千年版权法案》（DMCA）移除请求和访问网站资源的付款。 研究人员解释说：一个简单的错误配置暴露了数百万用户的电子邮件、用户名和密码，以及他们的比特币和门罗币加密钱包地址。 密码是使用中等复杂度的算法散列的，特别是 bcrypt 算法，成本系数为 10，相当于 1024 次迭代。因此，网络犯罪分子需要先破解密码，然后才能尝试访问其他账户。 用户注册后收到带有恶意链接的垃圾邮件 Cybernews 研究团队联系到了一位在泄密事件中被曝光的 Z-lib 用户，并验证了与其账户相关的泄密数据。 Cybernews 的研究人员还发现了其他多个附有加密钱包地址的账户，并确认这些钱包存在于比特币和莫奈罗区块链上。 研究人员表示：这个人在这个虚假页面上创建了一个账户，可以在泄露的数据库中识别出他们的信息。在他们的允许下，我们能够扫描收件箱中的电子邮件，并确认 Z-library 山寨机正在发送带有恶意链接的垃圾邮件。 用户应该怎么做？ Z-Lib 用户应该意识到，暴露的数据可能会被当局、网络安全研究人员、网络犯罪分子以及任何可能从中获益的人使用。这些数据还没有广泛传播，但采取行动保护其他账户至关重要。执法部门和版权持有者可能会利用泄露的数据对网站用户采取法律行动。 Cybernews 研究人员建议采取以下措施： 确保恶意网站上使用的任何密码不被其他账户重复使用 在电子邮件客户端或服务器中阻止任何恶意 Z-lib 电子邮件地址和域。 在电子邮件客户端中阻止任何恶意电子邮件或将其标记为垃圾邮件。 停止使用与 Z-library 账户绑定的加密钱包，并创建新的钱包。请记住，向另一个钱包转账也是可追踪的。 停止使用在您所在辖区被视为非法的服务。 如果用户受到垃圾邮件的影响，请改用有严格安全措施的电子邮件提供商。 大多数比特币和 Monero 用户并不了解这些加密货币的复杂性，也不知道如何正确匿名交易。网络犯罪分子可能会利用这一漏洞来跟踪交易，并发起网络钓鱼活动，目的是窃取加密货币，甚至敲诈你。如果遇到此类情况，请立即保护您的剩余资产，确保您的钱包受到保护。 这次泄露还可能有助于执法部门对加密货币钱包进行去匿名化处理，追踪可疑交易，并对犯罪分子采取法律行动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406949.html 封面来源于网络，如有侵权请联系删除

被称为“Stargazer Goblin”的攻击者利用 GitHub 上的 3,000 多个虚假账户创建了一种恶意软件分发服务 (DaaS)，用于推送窃取信息的恶意软件。 该恶意软件传播服务名为 Stargazers Ghost Network，它利用 GitHub 存储库以及受感染的 WordPress 网站来分发包含恶意软件的受密码保护的压缩档案。 在大多数情况下，恶意软件都是信息窃取程序，例如 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer。 GitHub 存储库推送受密码保护的包含恶意软件的档案，来源：Check Point 由于 GitHub 是一个知名的、值得信赖的服务，人们对它的怀疑较少，并且更有可能点击他们在GitHub存储库中找到的链接。 Check Point Research发现了这一行动，并表示这是首次记录到在 GitHub 上运行如此有组织、大规模的计划。 Check Point Research 的报告解释道：“Stargazers Ghost Network 发起的活动以及通过该服务分发的恶意软件非常成功。” “在短时间内，数千名受害者在没有怀疑任何恶意意图的情况下安装了看似合法的存储库中的软件。以受害者为导向的网络钓鱼模板允许威胁组织使用特定的个人资料和在线账户感染受害者，从而使感染更有价值。” GitHub 幽灵账户传播恶意软件 DaaS 行动的创建者 Stargazer Goblin 自 2023 年 6 月以来一直在暗网上积极推广这个恶意软件分发服务。Check Point 表示有证据表明它自 2022 年 8 月以来一直活跃。 威胁行为者在暗网上的广告，来源：Check Point Stargazer Goblin 建立了一个系统，他们使用3000个虚假的“幽灵”账户创建了数百个存储库。这些账户会为恶意存储库加注星标、分叉和订阅，以增加其表面合法性，并使其更有可能出现在 GitHub 的热门部分。 参与该计划的幽灵 GitHub 账户，来源：Check Point 这些存储库使用针对加密货币、游戏和社交媒体等特定兴趣的项目名称和标签。 针对不同社交媒体平台用户的网络钓鱼模板，来源：Check Point “幽灵”账户被赋予了不同的角色。一组账户提供钓鱼模板，另一组提供钓鱼图片，第三组提供恶意软件，这让该方案具有一定程度的运营弹性。 “为恶意软件提供服务的第三个账户更容易被检测到。当这种情况发生时，GitHub 会禁止整个帐户、存储库和相关版本。”研究员Antonis Terefos解释道。 “为了应对此类行为，Stargazer Goblin 会更新第一个帐户的网络钓鱼存储库，其中包含指向新恶意版本的链接。当恶意软件服务帐户被禁止时，这可使网络继续运行，并将损失降至最低。” Stargazers 角色概述资料，来源：Check Point Check Point 发现一个 YouTube 视频，其中的软件教程链接与“Stargazers Ghost Network”GitHub 存储库中的操作员相同。 研究人员指出，它可能是用于将流量引导至网络钓鱼存储库或恶意软件分发站点的多个渠道示例之一。 就该行动的规模及其产生的利润而言，Check Point 估计，自该服务推出以来，这名攻击者已经赚取了超过 10 万美元。 通过 Stargazers Ghost Network 的行动分发的恶意软件，包括 RedLine、Lumma Stealer、Rhadamanthys、RisePro 和 Atlantida Stealer 等。 在 Check Point 报告中展示的一个示例攻击链中，GitHub 存储库将访问者重定向到受感染的 WordPress 网站，访问者从那里下载包含带有 VBScript 的 HTA 文件的 ZIP 存档。 Atlantida Stealer 攻击链，来源：Check Point VBScript 触发两个连续的 PowerShell 脚本的执行，最终导致 Atlantida Stealer 的部署。 尽管 GitHub 已对许多恶意和本质上虚假的存储库采取了行动，自 2024 年 5 月以来已删除了 1,500 多个存储库，但 Check Point 表示，目前仍有超过 200 个存储库活跃并继续传播恶意软件。 GitHub 上每日新增的 Stargazer 存储库，来源：Check Point 建议通过广告、Google 搜索结果、YouTube 视频、Telegram 或社交媒体访问 GitHub 存储库的用户在下载文件和点击 URL 时要格外小心。 受密码保护的档案尤其如此，防病毒软件无法扫描这些档案。对于这些类型的文件，建议您在虚拟机上提取它们，并使用防病毒软件扫描提取的内容以检查是否存在恶意软件。 如果没有虚拟机，您也可以使用VirusTotal，它会提示输入受保护存档的密码，以便扫描其内容。但是，VirusTotal 只能扫描包含单个文件的受保护存档。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MA_O_b2GnrBgt_hfezoM2g 封面来源于网络，如有侵权请联系删除

7月19日，CrowdStrike的故障更新造成了大规模业务中断。威胁行为者正在使用数据清除工具和远程访问工具并假冒CrowdStrike。研究人员和政府机构发现，由于企业正在寻求帮助来修复受影响的Windows主机，近期利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道建立沟通 7月21日，CrowdStrike表示，公司“正在积极协助客户”解决更新错误带来的影响。公司提醒客户，确保他们是通过官方渠道与合法代表沟通，因为“对手和不良行为者可能会试图利用此类事件。” “我鼓励每个人保持警惕，并确保你与官方CrowdStrike代表接触。我们的博客和技术支持将继续提供最新更新的官方渠道。”——CrowdStrike CEO乔治·库尔茨（George Kurtz） 英国国家网络安全中心（NCSC）也发出警告，指出他们观察到网络钓鱼邮件的数量有所增加。自动化恶意软件分析平台AnyRun注意到“模仿CrowdStrike的尝试有所增加，这可能会导致网络钓鱼。” 恶意软件伪装成修复和更新 7月20日，网络安全研究人员g0njxa首次报告首次报告了一起针对BBVA银行客户的恶意软件攻击活动。这次攻击活动假冒CrowdStrike修复更新来诱骗用户下载，而实际安装一个名为Remcos的远程访问木马（Remote Access Trojan，简称RAT）。这个假冒的修补程序是通过一个钓鱼网站portalintranetgrupobbva[.] com，它伪装成西班牙对外银行的内联网门户。 恶意软件加载器伪装CrowdStrike公司的hotfix AnyRun也在推特上发布了类似的活动信息。攻击者通过一个伪装的热修复程序分发了HijackLoader恶意软件，该恶意软件随后在受感染的系统上释放了Remcos远程访问工具，使得攻击者能够远程控制受影响的计算机。 恶意附件推送数据擦除器 在另一个警告中，AnyRun表示攻击者正在分发一个数据擦拭器，声称产品提供CrowdStrike的更新。AnyRun提示，“它通过删除零字节的文件来破坏系统，然后通过Telegram报告。”另外，一个叫Handala的黑客组织称他们在给以色列公司的电子邮件中冒充CrowdStrike分发数据擦拭器。 该组织通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike，让客户创建新工具来使Windows系统重新在线。执行假CrowdStrike更新后，数据擦除器将被提取到%Temp%下的文件夹中，并启动从而销毁存储在设备上的数据。   转自e安全，原文链接：https://mp.weixin.qq.com/s/f6XiCwv8XLcHV3r8SZqYSg 封面来源于网络，如有侵权请联系删除

因CDK公司遭遇勒索软件攻击，导致全美上万家汽车经销商业务系统瘫痪十余天；据知情人士透露，CDK通过专业勒索响应公司支付赎金后，约一周时间恢复系统上线；此次事件展示了勒索软件团伙的新洞察：造成影响越坏越能收到赎金。 安全内参7月16日消息，CDK Global是一家为全美汽车经销商提供服务的知名软件公司，上个月因遭受勒索软件攻击而陷入困境。多位知情人士透露，CDK似乎向黑客支付了2500万美元（约合人民币1.81亿元）赎金。 CDK拒绝讨论此事。由于某些加密货币服务具有相对匿名性，很难准确确认谁支付了加密货币。不过，从支撑加密货币支付的区块链数据中，我们能窥见一些内幕。加密货币允许在传统银行系统之外进行数字资产交换，但这些交易记录可在区块链上访问。 TRM Labs的全球调查负责人Chris Janczewski对外媒CNN表示，6月21日，大约387个比特币（当时相当于约2500万美元），被发送到BlackSuit勒索软件相关黑客控制的加密货币账号。 支付完成一周后，CDK表示将汽车经销商重新上线到其软件平台。 Janczewski没有确定谁支付了款项，但另有三位密切跟踪此事件的消息人士证实，确实有大约2500万美元的支付给了BlackSuit的关联者，而CDK很可能是这笔款项的支付方。这些消息人士因为调查的敏感性要求匿名。 其中一位消息人士说，支付赎金的加密货币账号与一家帮助受害者应对勒索攻击的公司有关，但拒绝透露该公司的身份。 CDK发言人Lisa Finney没有回应CNN关于赎金支付的多次评论请求，CDK首席执行官Brian MacDonald也没有回应寻求评论的邮件和LinkedIn信息。 6月中旬袭击CDK的勒索软件攻击扰乱了数千家汽车经销商。这些经销商使用CDK软件管理从排班到销售和订单等一切事务。CDK在给记者的声明中称此次攻击为“网络事件”。但据外媒CBS报道，CDK在发给客户的通知中将此次攻击描述为“网络勒索事件”。 7月初，CDK表示，使用其软件的近15000家北美汽车经销商，“几乎全部”都已重新在其核心管理系统上线。 美国企业频频因勒索攻击支付赎金 美国联邦官员通常不鼓励向网络犯罪分子支付赎金，因为这可能助长未来的攻击。但一些公司觉得他们别无选择，为了恢复敏感的客户数据或使其系统重新上线，只能支付赎金。 对去年出现的新勒索软件犯罪团伙BlackSuit来说，这笔赎金是一笔意外之财。他们声称攻击了很多教育和建筑等行业的目标。美国卫生与公共服务部表示，BlackSuit的恶意软件与此前其他讲俄语的犯罪团伙使用的恶意软件类似。 威胁情报公司Analyst1的首席安全策略师Jon DiMaggio专门研究勒索软件团伙，他说：“自2019年以来，该团伙的领导层一直在以其他勒索软件的名义进行勒索行动。” DiMaggio告诉CNN：“这些年来，我见过很多类似案例。犯罪团伙要么被执法机构关闭，要么决定终止运作，换一个新名字重新开始攻击和勒索各家组织。”他还说，BlackSuit的大多数受害者都在美国。 另一家加密货币追踪公司Chainalysis在2月份发布报告指出，尽管美国政府努力切断网络犯罪分子的资金流，去年网络犯罪分子从全球受害组织中勒索了创纪录的11亿美元赎金。 虽然2500万美元的赎金支付规模庞大，但在利润丰厚的勒索软件行业并不罕见。美国卫生保健巨头联合健康集团的子公司在2月份遭受了一起勒索软件攻击，使全美的药房瘫痪。该集团被迫向另一家犯罪团伙支付了2200万美元的赎金。 但是，网络安全公司Coveware的数据显示，2023年第四季度的平均赎金支付金额明显降低，仅有568705美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68159 封面来源于网络，如有侵权请联系删除

威胁攻击者正在大量部署一种名为 “Rafel RAT “的开源恶意软件，攻击”过时“安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示，共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。 据悉，Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。 Rafel RAT 恶意软件目标品牌和型号非常广泛，包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。 Check Point 分析大量网络攻击活动后发现，受害者运行的安卓版本已达到生命周期终点（EoL），其中 87.5% 运行安卓 11 及以上版本，只有 12.5% 的受感染设备运行 Android 12 或 13。鉴于很多”过时“版本不再接受安全更新，因此容易受到已知/已发布漏洞的攻击。 Rafel RAT 勒索软件 恶意软件传播途径多种多样，威胁攻击者通常会滥用 Instagram、WhatsApp、电子商务平台或杀毒应用程序等知名品牌，诱骗人们下载恶意 APK。 捆绑 Rafel RAT 安装程序的虚假应用程序（来源：Check Point） 安装过程中，Rafel RAT 恶意软件会请求访问风险权限，包括免于电池优化，允许在后台运行。值得一提的是，Rafel RAT 恶意软件支持的命令因变种而异，但一般包括以下命令： 勒索软件： 启动设备上的文件加密进程； wipe： 删除指定路径下的所有文件； 锁定屏幕： 锁定设备屏幕，使设备无法使用； sms_oku： 向命令与控制 (C2) 服务器泄漏所有短信（和 2FA 代码）； location_tracker： 向 C2 服务器泄露实时设备位置。 Rafel RAT 恶意软件的行动由中央面板控制，威胁攻击者可在此访问设备和状态信息，并决定下一步攻击步骤。 Rafel RAT 面板上受感染设备概览（来源：Check Point ） 最常发布的命令（来源：Check Point ） Rafel RAT 中的勒索软件模块旨在通过控制受害者的设备，并使用预定义的 AES 密钥加密他们的文件来执行勒索计划。 Rafel RAT 的加密方法（来源：Check Point ） 一旦获得了受害者设备的管理权限，Rafel RAT 勒索软件就能轻松控制设备的关键功能，例如更改锁屏密码和在屏幕上添加自定义信息（通常是赎金说明）。如果用户试图撤销管理权限，勒索软件就会立刻做出反应，更改密码并立即锁定屏幕。 针对权限撤销企图的反应机制（来源：Check Point ） Check Point 的研究人员检测到了几起涉及 Rafel RAT 勒索软件攻击活动，其中包括一次来自伊朗的攻击，该攻击在运行加密模块之前使用了 Rafel RAT 的其他功能进行侦查。之后，威胁攻击者很快就清除了通话记录，更改壁纸以显示自定义信息，锁定屏幕，激活设备振动，并发送包含赎金说明的短信，敦促受害者在 Telegram 联系威胁攻击者。 最后，安全专家强调想要抵御 Rafel RAT 恶意软件攻击，请避免从可疑来源下载 APK，不要点击电子邮件或短信中嵌入的 URL，并在启动应用程序前使用 Play Protect 扫描。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404243.html 封面来源于网络，如有侵权请联系删除

黑客经常滥用武器化的 Word 文档，因为它们可能包含宏，这些宏包含或利用 Word 文件内部的缺陷，在目标受害者打开时运行破坏性代码。 攻击者可以利用此工具向目标系统传递有效负载或通过简单地向目标发送带有 Word 文件来对目标系统进行未经授权的访问，大多数情况下可以逃避安全系统。 Cyble 的网络安全研究人员发现，黑客一直在积极使用武器化的 Word 文档进行二维码网络钓鱼攻击。 二维码钓鱼攻击 QR 码网络钓鱼攻击最近激增，利用该技术的普遍性和用户的熟悉度将用户重定向到窃取凭证的网站。 2024 年，此类攻击与 2023 年底相比增加了 22%，其中 89.3% 旨在窃取凭证。 攻击者在电子邮件、文档和公共场所嵌入恶意二维码，利用它们来掩盖攻击目的。 最近的一次活动使用 Microsoft Word 文档冒充中国政府机构，其中包含未被发现的二维码，提示用户进行身份验证以获取虚假补贴，目的是收集财务数据，就像 Fortinet 记录的 2023 年 1 月事件一样。 恶意二维码会将受害者重定向到由 DGA 生成的域，该域中托管着一个冒充中国人力资源部的钓鱼网站。 Cyble报告称，该域名解析为 IP 20.2.161.134，其托管与大规模网络钓鱼活动相关的其他几个子域名（.tiozl.cn 和 .zcyyl.com）。 SSH 主机密钥指纹将此 IP 与香港 AS8075 中的其他 17 个 IP 联系起来，这些 IP 带有类似的钓鱼 URL。登录页面显示虚假的劳动力补贴诱饵，然后从受害者那里获取输入的个人信息，例如姓名和国民身份证。 最后，钓鱼网站会提示受害者输入银行卡号、电话号码和余额进行虚假验证，从而获取受害者的姓名和身份证件，进行未经授权的交易。 该加载屏幕之后会提示输入用于进行国内信用卡支付的提款密码。 攻击者利用卡的完整详细信息进行未经授权的交易，这些密码可能会导致财务损失。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k4dn1rZaUfeq6hdSAosINQ 封面来源于网络，如有侵权请联系删除

在最近的一次数据泄露事件中，领先的蓝牙定位跟踪设备供应商之一 Tile 的数百万用户的个人信息可能被暴露，并引发了赎金要求。 据 404 Media 报道，黑客利用窃取的一名前 Tile 公司员工的凭证进入了公司内部工具，并访问了多个 Tile 系统，以窃取敏感数据。 这些数据包括用于转移 Tile 追踪器所有权、创建管理员账户和发送用户通知的工具，如黑客提供的截图所示。 黑客在数据泄露事件中可以访问的内容 2024 年 6 月 11 日，Tile 的母公司、专注于定位数据的 Life360 表示，检测到有人未经授权访问其客户支持平台。根据该公司的新闻稿，Tile 成为了 “犯罪勒索企图 “的目标，一名身份不明的行为者告知他们拥有 Tile 的客户信息。 公司立即展开调查，发现有人未经授权访问了 Tile 客户支持平台，但没有访问 Tile 服务平台。该公司向用户保证，没有财务数据、密码或位置信息被泄露，因为该平台从未存储过这些数据。但用户的敏感数据可能会被暴露，包括姓名、实际地址、电子邮件地址、电话号码和 Tile 设备识别码。 Life360 首席执行官 Chris Hulls 表示：”我们认为，此次事件仅限于上述特定的 Tile 客户支持数据，并不具有更大的普遍性。”他重申了该公司保护客户信息的承诺，并采取措施保护其系统免受恶意行为者的侵害。 值得注意的是，该新闻稿不适用于美国以外的用户，截图如下： 该公司已经向执法部门报告了这一事件和勒索企图。然而，此次事件凸显了用户位置追踪公司的脆弱性，以及它们是如何成为黑客攻击目标的。 由于电子邮件地址被曝光，Tile 用户应谨防网络钓鱼，对要求提供个人信息或登录凭据的电子邮件保持警惕，并监控与 Tile 帐户相关的电子邮件和银行帐户上的可疑活动。 专家评论 总部位于新泽西州弗莱明顿的身份和访问安全提供商 Pathlock 首席执行官 Piyush Pandey 就数据泄露事件发表了评论，指出其中涉及多种因素，包括前员工或心怀不满的员工实施的潜在威胁以及缺乏安全认证。 “在这种情况下，访问权限似乎是使用 Tile 前员工的管理凭证授予的，这表明身份安全的一个关键要素——在身份生命周期的加入、移动和离开整个过程中，能够主动了解用户的访问和权限。” 此外，多因素身份验证也可能导致仅凭用户名和密码就能访问的情况不复存在。Piyush 补充说：这一漏洞还表明，除了保护主要业务线应用程序外，确保服务账户访问的安全性也至关重要。 Critical Start 网络威胁研究高级经理 Callie Guenther 强调了数据泄露事件后的重大威胁情报影响，包括有针对性的勒索、供应链漏洞、数据敏感性、事件响应等。Callie 建议采取以下措施保护管理员账户： 多因素身份验证（MFA）： 要求所有管理员账户使用多因素身份验证（MFA），以增加额外的安全层。 强密码策略： 强制使用强大、唯一的密码，并定期更改密码。 最小特权原则： 只向需要的用户授予管理权限，尽量减少拥有高级访问权限的用户数量。 定期审计和监控： 持续监控和审计管理员账户活动，及时发现和应对可疑行为。 安全意识培训： 教育员工识别网络钓鱼企图，以及保护凭证的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/403699.html 封面来源于网络，如有侵权请联系删除

据称，来自巴基斯坦的黑客在为期六年针对印度政府、国防和技术部门相关公司的攻击活动中使用了基于 Android 的恶意软件。 据思科 Talos 研究人员称，该攻击活动仍在进行中，涉及使用名为 GravityRAT 的恶意软件，该恶意软件可让黑客窃取信息。在该研究机构周四发布的一份报告中，研究人员将该活动称为“Operation Celestial  Force（天体力量行动）”。 思科 Talos 表示，自 2019 年以来，它发现黑客不断为 GravityRAT 添加功能，使他们能够窃取设备数据，例如移动设备识别码、电话号码、网络操作、SIM 信息和设备位置。 “Operation Celestial  Force（天体力量行动）”的感染链 思科此前曾曝光巴基斯坦攻击者在 2018 年使用 GravityRAT 攻击印度目标。 该恶意软件还允许黑客阅读短信、窃取设备上的文件、阅读通话记录并删除所有联系人。 黑客通过恶意网站传播 GravityRAT，其中一些网站的注册时间最晚为 2024 年 1 月。这些网站声称提供合法的 Android 应用程序。 此次攻击背后的黑客属于一个被研究人员称为“Cosmic Leopard（宇宙豹）”的组织，该组织主要专注于间谍和监视活动。 思科 Talos 的研究人员表示：“这项行动至少在过去六年中一直活跃，Talos 观察到近年来威胁形势总体呈上升趋势，尤其是利用移动恶意软件针对高价值目标进行间谍活动，包括使用商业间谍软件。” 扩展和重叠 除了 GravityRAT 恶意软件之外，“Operation Celestial  Force（天体力量行动）”活动还使用了“不断扩展和演变的恶意软件套件”——思科 Talos 表示，这证明黑客“在针对印度目标方面取得了高度成功”。 此次扩展包括 HeavyLift 恶意软件家族——它允许黑客下载并安装其他恶意植入程序到受害者的设备上。 “此次活动主要利用两种感染媒介——鱼叉式网络钓鱼和社会工程。鱼叉式网络钓鱼包括向目标发送带有相关语言和包含 GravityRAT 等恶意软件的恶意文档的消息。”研究人员表示。 “另一种感染媒介在这次行动中越来越受欢迎，现在也是“Cosmic Leopard （宇宙豹）”行动的主要策略，即通过社交媒体渠道联系目标，与他们建立信任，最终向他们发送恶意链接，下载基于 Windows 或 Android 的 GravityRAT 或基于 Windows 的加载程序 HeavyLift。” “Cosmic Leopard （宇宙豹）”的活动与透明部落（另一个巴基斯坦黑客组织）的活动重叠。透明部落涉嫌参与多起针对印度教育部门、政府和军队以及阿富汗各地组织的活动。 透明部落过去曾利用针对 Android 的恶意软件攻击印度和巴基斯坦公民，这些恶意软件旨在记录电话、窃取照片等。思科 Talos 表示，没有足够的技术证据将这场持续六年的攻击活动与透明部落联系起来，这就是为什么他们将其标记为 “Cosmic Leopard （宇宙豹）”的原因。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LnecCMZAGXF0IFyTdN4JgQ 封面来源于网络，如有侵权请联系删除

本周三（6月5日），智利网络安全公司 CronUp 的安全研究员Germán Fernández发现有黑客攻击了 GitHub 存储库，并删除了其中的部分信息。 据悉，此次攻击行动中，黑客利用了 Telegram 上的 Gitloker 账号冒充网络事件分析师，这一行为很可能是利用窃取的凭据入侵目标的 GitHub 账户而实现的。 随后，他们声称要窃取受害者的数据，并创建一个可以帮助恢复已删除数据的备份。他们重新命名了存储库，并添加了一个 README.me 文件，指示受害者在 Telegram 上联系他们。黑客在赎金声明中写道：“希望你收到这条信息时一切安好，这份紧急通知是告知您的数据已泄露，我们已经对数据做了备份。” 当 BleepingComputer 今天早些时候联系 GitHub 询问有关 Gitloker 勒索活动的更多细节时，发言人没有立即发表评论。 数十个 GitHub 仓库已受到影响 在之前针对 GitHub 用户的攻击事件发生后，该公司建议用户立即更改密码，以确保账户安全，防止未经授权的访问。这样可以防止恶意行为，如添加新的 SSH 密钥、授权新应用程序或修改团队成员等等。 同时，该公司建议，为防止攻击者入侵你的 GitHub 账户并侦测可疑活动，应该注意： 启用双因素身份验证 为安全无密码登录添加密钥 审查并撤销对 SSH 密钥、部署密钥和授权集成的未授权访问 验证与账户关联的所有电子邮件地址 查看账户安全日志，跟踪版本库变更 管理版本库上的网络钩子 检查并撤销任何新的部署密钥 定期查看每个版本库的最近提交和协作者 事实上，GitHub 卷入“安全风波”已经不是新鲜事。 4月底，GitHub 曾曝出高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 今年3月底，黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。 Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402963.html 封面来源于网络，如有侵权请联系删除