由于第三方提供商遭受勒索软件攻击，医疗专业人员无法获得病理学服务，伦敦几家最大的医院取消了手术，并宣布进入重大事件紧急状态。 病理学和诊断服务提供商 Synnovis 遭受勒索软件攻击，严重影响伦敦几家大型医院的运营。此次攻击迫使受影响的医院取消部分医疗服务，在某些情况下，患者被转至其他医院。 根据社交媒体上发布的报道和内部电子邮件，此次攻击于周一被发现。 盖伊和圣托马斯 NHS 基金会信托的首席执行官伊恩·埃布斯写道：“我可以确认，我们的病理学合作伙伴 Synnovis 今天早些时候经历了一次重大 IT 事故，该事故仍在继续，意味着我们目前无法连接到 Synnovis IT 服务器。” 据信，英国最大的心脏和肺部专科中心皇家布朗普顿医院和哈里菲尔德医院也受到了影响。阿布斯写道，此次事件还影响了国王学院医院 NHS 基金会“以及整个伦敦东南部的初级保健，对我们服务的提供产生了重大影响，输血尤其受到影响。” 由于此次事件，一些预约已被取消，或患者被临时转至其他医疗机构。额外患者给其他医院带来的负担可能会导致资源进一步紧张，并宣布更多紧急事件。目前尚不清楚此次中断将持续多久。 伦敦 NHS 发表了关于 Synnovis 勒索软件攻击的声明，证实该事件对盖伊医院和圣托马斯医院、伦敦国王学院医院 NHS 基金会信托以及伦敦东南部初级保健服务的服务产生了重大影响。 目前，该公司尚未提供有关此次攻击的详细信息，例如感染其系统的恶意软件家族以及是否遭受数据泄露。 4月，SYNLAB集团意大利分公司Synlab Italia因遭受Blackbasta网络攻击而陷入停顿。该公司暂停了意大利采样点、医疗中心和实验室的所有活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2UiW_FwgnxmnVI9guwVDqw 封面来源于网络，如有侵权请联系删除

本周一（5月28日），Check Point 公司发布警告称，有黑客针对其远程访问VPN设备发起了持续攻击。 Check Point 公司方面表示，这些攻击者的目标，是使用不安全的纯密码验证的旧本地账户的安全网关。一般来说，这种验证应与证书验证一起使用，以防止出现漏洞攻击事件。 Remote Access是集成在所有Check Point网络防火墙中的，并可以配置成客户端到站点VPN，通过VPN客户端访问企业网络，也可以设置成SSL VPN门户，进行基于Web的访问。 近期已经发生了多起VPN解决方案遭到破坏的事件，涉及到多家网络安全供应商。 研究人员表示：鉴于这些事件，我们一直在监控未经授权访问 Check Point 客户 VPN 的尝试。截至 2024 年 5 月 24 日，我们发现了少量使用旧 VPN 本地账户的登录尝试，这些账户依赖于未推荐的仅密码验证方法。 最初我们发现了 3 次这样的尝试，后来当我们与我们组建的特别小组进一步分析时发现他们使用的攻击方式可能是相同的模式。 Check Point 发言人称：这些黑客在全球范围内的几次尝试让我们了解到了一种趋势，尤其是一种确保攻击不成功的非常直接的方法。 为了抵御这些持续不断的攻击，Check Point警告客户要及时检查Quantum Security Gateway和CloudGuard Network Security产品以及Mobile Access和Remote Access VPN软件上是否有此类易受攻击的账户。 同时，他们还建议客户将用户验证方法更改为更安全的选项（使用本支持文档中的说明），或从安全管理服务器数据库中删除易受攻击的本地账户。 该公司还发布了一个安全网关热修复程序，它将阻止所有本地账户使用密码进行身份验证。安装后，仅使用弱密码验证的本地账户将无法登录远程访问 VPN。 安装热修补程序后阻止了存在漏洞的本地帐户 思科 VPN 设备也成为严重攻击目标 Check Point是近几个月来第二家警告其VPN设备成为持续攻击目标的公司。 今年 4 月，思科也警告说，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭据暴力攻击非常普遍。 这种攻击最早始于今年 3 月 18 日左右，攻击源于 TOR 出口节点，并使用其他各种匿名工具和代理服务器来躲避拦截。 一个月前，思科发现了一波针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备的密码喷射攻击，这可能是该攻击行动的第一阶段侦察活动。 安全研究员 Aaron Martin 认为此类活动于此前的 “Brutus “恶意软件僵尸网络有所关联。据悉，该僵尸网络控制着云服务和住宅网络中至少 20000 个 IP 地址。 上个月，该公司还披露，UAT4356（又名 STORM-1849）黑客组织至少从 2023 年 11 月起就一直在利用思科自适应安全设备（ASA）和火力威胁防御（FTD）防火墙中的零日漏洞，用以入侵世界各地的政府网络，这种攻击活动被称为 ArcaneDoor 的网络间谍活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402032.html 封面来源于网络，如有侵权请联系删除

Bitdefender 安全研究人员披露了一个名为Unfading Sea Haze的先前未记录的威胁组织的详细信息，据信该组织自 2018 年以来一直活跃。 Bitdefender 在一份报告中表示，这次入侵专门针对东南亚地区。 攻击者多次重新获得对受感染系统的访问权限。这次攻击凸显了一个关键漏洞：凭证管理不佳以及对暴露设备和网络服务的修补措施不足。 研究人员表示，攻击者的行为特征与任何已知黑客团队都不重叠。此次攻击使用了Gh0st RAT 恶意软件的不同版本，这是一种已知的商品木马。 Bitdefender 表示：Unfading Sea Haze 采用的一项特定技术——通过名为 SharpJSHandler 的工具运行 JScript 代码——类似于‘ FunnySwitch ’后门中发现的一项功能。 据观察，Unfading Sea Haze 通过包含陷阱档案的鱼叉式网络钓鱼电子邮件获得对目标实体的访问权限。 这些存档文件附带 Windows 快捷方式 (LNK) 文件，启动后，会通过执行旨在从远程服务器检索下一阶段有效负载的命令来启动感染过程。此有效负载是一个名为 SerialPktdoor 的后门，旨在运行 PowerShell 脚本、枚举目录、下载/上传文件以及删除文件。 此外，该命令利用 Microsoft 构建引擎 ( MSBuild ) 以无文件方式执行位于远程位置的文件，从而不会在受害者主机上留下任何痕迹，并降低检测到的机会。 滥用 msbuild.exe 启动无文件攻击 攻击链的特点是使用计划任务作为建立持久性的一种方式，任务名称模拟合法的 Windows 文件，这些文件用于运行无害的可执行文件，该可执行文件容易受到DLL 侧面加载的影响，从而加载恶意 DLL。 Gh0st 变体部署的大致时间表 Bitdefender 表示：“除了使用计划任务外，攻击者还采用了另一种持久性技术：操纵本地管理员帐户。包括尝试启用已禁用的本地管理员帐户，然后重置其密码。” 据了解，至少自 2022 年 9 月以来，Unfading Sea Haze 就开始采用市售的远程监控和管理 (RMM) 工具（例如 ITarian RMM）来在受害者网络中站稳脚跟。 攻击者的复杂程度可以从其武器库中的各种自定义工具中看出，其中包括 Gh0st RAT 的变种，例如 SilentGh0st 及其进化后继者 InsidiousGh0st（有 C++、C# 和 Go 版本）、TranslucentGh0st、FluffyGh0st 和 EtherealGh0st，后三种是模块化的并采用基于插件的方法。 同时使用的是一种名为 Ps2dllLoader 的加载器，它可以绕过反恶意软件扫描接口 (AMSI)，并充当传递 SharpJSHandler 的管道，它通过监听 HTTP 请求并使用 Microsoft.JScript 库执行编码的 JavaScript 代码。 Bitdefender 表示，它发现了另外两种 SharpJSHandler，它们能够从 Dropbox 和 Microsoft OneDrive 等云存储服务中检索和运行有效负载，并将结果导出回同一位置。 Ps2dllLoader 还包含另一个代号为 Stubbedoor 的后门，该后门负责启动从命令和控制 (C2) 服务器接收到的加密 .NET 程序集。 攻击过程中部署的其他工具包括一个名为 xkeylog 的键盘记录器、一个网络浏览器数据窃取程序、一个用于监视便携式设备存在的工具，以及一个名为 DustyExfilTool 的自定义数据泄露程序，该程序于 2018 年 3 月至 2022 年 1 月期间投入使用。 自定义工具每十秒检查一次新插入的 USB 和 Windows 便携式设备 (WPD)，并向攻击者发送设备详细信息和特定文件。 这还不是全部。在 Unfading Sea Haze 使用的复杂恶意代理和工具库中，还有第三个后门，称为 SharpZulip，它利用 Zulip 消息服务 API 从名为“NDFUIBNFWDNSA”的流中获取要执行的命令。在 Zulip 中，流（现在称为频道）类似于 Discord 和 Slack 中的频道。 有证据表明，数据泄露是由攻击者手动执行的，目的是获取感兴趣的信息，包括来自 Telegram 和 Viber 等消息应用程序的数据，并将其打包为受密码保护的档案形式。 Zugec 指出：“这种定制工具和现成工具的结合，再加上手动数据提取，描绘了一幅有针对性的间谍活动的画面，重点是从受感染的系统中获取敏感信息。” “他们的定制恶意软件库，包括 Gh0st RAT 系列和 Ps2dllLoader，展示了对灵活性和规避技术的关注。观察到的向模块化、动态元素和内存执行的转变凸显了他们绕过传统安全措施的努力。” Unfading Sea Haze 利用无文件攻击、先进的规避方法和模块化恶意软件设计，展现了隐秘性、持久性和适应性。 为了阻止这些攻击，组织必须采用多方面的安全策略，包括补丁管理、MFA 采用、网络分段、流量监控以及部署最先进的检测和响应产品。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mFytHVCDELMGFCJHAt6I_g 封面来源于网络，如有侵权请联系删除

近日，伊朗国家黑客组织用数据擦除器对以色列40家重要组织实施了大规模的网络攻击活动。 双拳出击 根据Check Point Research的研究报告，伊朗情报和安全部（MOIS）麾下有两个高级黑客组织（APT），其中一个名为Scarred Manticore（疤面蝎狮，也称Storm-861），是伊朗最顶尖的间谍黑客组织，常年对中东及其他地区的高价值组织进行监视。该组织的攻击效率很高，获取了很多高价值目标的初始访问权限；另一个MOIS的高级黑客组织Void Manticore（也称Storm-842）也会利用Scarred Manticore获得的初始访问权限，开展自己的破坏性活动。 据报道，到目前为止，Void Manticore声称已成功攻击了超过40个以色列组织，并在阿尔巴尼亚也发起多次高调的攻击活动。 协同作战 这两个伊朗黑客组织之间的合作模式简单且高效，充分利用了各自的优势。 Check Point对Void Manticore的攻击和信息泄露进行分析后发现，其受害者与Scarred Manticore的受害者群体存在显著重叠，表明这两个组织之间存在合作，某些案例中还发现有明确的“交接”程序（下图）： 首先，Scarred Manticore进行间谍活动，通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露，通常持续超过一年。 当发生一些升级事件时，比如以色列哈马斯之间爆发冲突，攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动，这时就轮到Void Manticore开始施展拳脚。 Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴，主要使用简单且大部分公开可用的工具发动攻击，例如使用远程桌面协议(RDP)进行横向移动，并手动部署数据擦除器。 与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。 破坏行动 Void Manticore在以色列的行动使用“Karma”的代号。 以色列与哈马斯冲突爆发后不久，Karma就通过Telegram Channel介入冲突，并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站，发动反对以色列政府，特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物，因此使用蝴蝶图标作为其标志的一部分。 Karma的另一个任务是彻底的破坏（擦除数据）。该组织使用常见的公开工具（如用于横向移动的RDP和reGeorg Web shell），他们的目标是删除以色列组织的文件，有时甚至手动删除文件和共享驱动器。 Void Manticore还拥有一系列定制的数据擦除器，可以大致分为两类。一类是设计用于破坏特定文件或文件类型的，采用更有针对性的方法。另一类则针对分区表，即主机系统中负责映射磁盘中文件位置的部分。通过破坏分区表，磁盘上的数据虽然未被触动但无法访问。 自首次出现以来，Karma声称已成功针对40多个以色列组织，其中包括几个高价值目标。攻击方式包括擦除、窃取和发布受害者的数据。 防御策略 对于防御者来说，同时对抗两个分工协作的国家级APT黑客组织颇具挑战性。因为他们各自拥有不同的工具、基础设施、战术、技术和程序（TTPs）。Check point的报告指出：“这是一个新趋势，但还没有人对此进行深入思考。” 两个伊朗APT组织之间交接到破坏开始的时间窗口非常短，因此更简单有效的防御路径可能是专注于初始威胁（尽管它更复杂），因为间谍活动通常比破坏活动持续时间更长。当破坏性行为者获得网络访问权限时，几乎会立即进行操作。 报告指出，任何组织都可以采取简单的防御措施来阻止协同作战的APT组织中的一个。例如，Void Manticore的简单TTPs可以通过有效的端点安全措施来阻止。 即使是Scarred Manticore这种隐蔽的间谍活动也可以在源头上被阻断。在大多数情况下，Scarred Manticore通过利用CVE-2019-0604漏洞（一个严重但已有五年历史的微软Sharepoint漏洞）开始攻击。“这并不是一个零日漏洞，所以完全是可以预防的。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DxGeWcqEx1LdZgnlQV126g 封面来源于网络，如有侵权请联系删除

最近披露的致命性黑客攻击为包括特斯拉和百度在内的自动驾驶厂商敲响了警钟。 4月底特斯拉CEO马斯克来华推动FSD自动驾驶在中国的落地，特斯拉也顺利成为首个通过全部4项中国汽车数据安全合规要求的外资车企。 FSD本身的“进化“也非常顺利。特斯拉表示，2024年第一季度特斯拉FSD真实路况总里程已达12.5亿英里（约20亿公里），有望在5月底达到20亿英里，并在一年之内达到60亿英里总量（马斯克曾表示60亿英里是FSD系统实现质变的一个重要节点）。 黑客攻击可导致致命车祸 近日，对FSD安全性信心十足马斯克遭遇当头一棒，特斯拉自动驾驶系统FSD（以及类似的基于视觉传感器方案的自动驾驶技术，例如百度Apollo项目）正面临一个全新的威胁。 新加坡安全研究人员发现了一种新的攻击方法，可以利用自动驾驶汽车摄像头传感器的弱点来欺骗汽车，甚至人为制造致命车祸（例如在停车让行路口让汽车冲上主路）。避免该攻击可能需要厂商更换自动驾驶视觉方案中的硬件组件。 该方法代号GhostStripe（论文链接在文末），可以通过向道路交通标志投射特殊的光线图案来干扰自动驾驶汽车的摄像头，使其无法识别标志。研究人员表示，该方法对特斯拉和百度Apollo等使用CMOS摄像头的自动驾驶汽车特别有效。 攻击技术细节 GhostStripe属于针对机器学习技术的对抗性攻击，利用了CMOS摄像头卷帘快门的弱点。CMOS摄像头逐行捕捉图像，这意味着图像的不同部分可能由不同光照条件下的传感器像素拍摄。研究人员利用这一点，向交通标志投射快速闪烁的不同颜色光线。由于每个像素接收的光线颜色不同，因此最终图像将出现奇怪的条纹图案（下图）： 结果是相机捕捉到的交通标识图像布满了与预期不匹配的线条，导致这些图片被裁剪并发送到汽车自动驾驶软件中的分类器（通常基于深度神经网络）进行分析时，分类器不会将该图像识别为交通标志，因此车辆不会对其进行操作（从而可能酿成重大车祸）。 GhostStripe攻击有两种版本： GhostStripe1：无需物理访问汽车。采用跟踪系统来监控目标车辆的实时位置，并相应地动态调整LED闪烁，以确保标志无法被正确读取。 GhostStripe2：需要物理访问汽车，在摄像机的电源线上放置一个传感器来检测取景时刻并完善定时控制以实现近乎完美的攻击。 攻击成功率超过九成 研究团队在配备Leopard Imaging AR023ZWDR（百度Apollo硬件参考设计中使用的相机）的真实道路和汽车上测试了GhostStripe攻击，发现其对停止、限速和让行标志的有效率分别为94%（第一种攻击方法）和97%（第二种攻击方法）。 值得注意的是，强光环境会降低攻击的成功率，因为攻击光被环境光淹没了。研究团队表示，不法分子在计划实施此类攻击时需要仔细挑选时间和地点。 缓解措施 研究者表示，自动驾驶汽车制造商可以采取以下措施来缓解GhostStripe攻击： 使用全局快门摄像头而不是卷帘快门摄像头。 随机化摄像头曝光时间（随机线扫描）。 采用更多摄像头交叉验证。 在自动驾驶汽车的AI系统中加入对抗训练，使其能够识别和抵御GhostStripe攻击。 点评：合规并不代表安全 GhostStripe攻击突显了（全）自动驾驶汽车面临的安全威胁的复杂性和不确定性，这并不是马斯克的“60亿英里“自动驾驶里程能够一劳永逸解决的问题。自动驾驶技术也许能够超越平庸的司机，但同时也增加了复杂的数字攻击面。 GhostStripe可用于发起致命攻击，而这只是自动驾驶技术面临的黑客攻击的冰山一角。数据安全合规并不代表网络安全合规，网络安全合规并不代表“产品安全”，汽车行业需要与网络安全行业深度合作，通过全面、持续、深入的”渗透测试“和安全加固，才能打造出真正安全可靠的自动驾驶技术。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16341.html 封面来源于网络，如有侵权请联系删除

近日，国外很多媒体披露，数以千计的拉脱维亚人一早醒来，就”非自愿“地观看了俄罗斯莫斯科红场的胜利日阅兵式。据悉，疑似具有俄罗斯背景的黑客劫持了电视传输信号。 网络攻击事件发生后，拉脱维亚国家电子大众媒体委员会主席伊瓦尔斯-阿波林斯（Ivars Abolinš）表示，整个网络攻击期间，通信运营商波罗的海电信公司（Balticom）播出的电视频道受到了严重的影响，导致该公司暂时失去了对电视转播信号的控制权限。 经过安全研究人员调查发现，网络攻击活动期间，波罗的海电信公司所有转播电视节目都播放了 5 月 9 日在莫斯科克里姆林宫外举行的阅兵式，因此推测网络安全攻击事件的罪魁祸首很可能是俄罗斯方面的黑客。 值得一提的是，网络安全研究人员发现黑客没有在第一时间直接攻击了波罗的海电信公司，而是首先们袭击了一个内容交付合作伙伴（一个位于保加利亚的互动电视服务器），然后以此为跳板，袭击了波罗的海电信公司，之后转播了俄罗斯的阅兵节目。 拉脱维亚信息技术安全事件响应机构 Cert.lv 指出，网络研究人员可能不是直接针对拉脱维亚基础设施的网络攻击，而是针对俄罗斯”混合战争“中的一部分，这种挑衅行为今后很可能会持续发生，需要时刻保持警惕，做好严格防御措施。 乌克兰同样遭受了网络袭击 电视信号”侵占“活动的时间并未长时间持续，且只有只有约 5% 的波罗的海网站用户收看了莫斯科阅兵式的实况录像。目前，Cert.lv 正在与波罗的海电信公司合作调查这一网络安全事件，但尚不清楚黑客究竟是如何成功入侵了保加利亚服务器。 近期，黑客不仅仅入侵了拉脱维亚，还在 4 月 17 日，更改了乌克兰自由频道的节目，播放了俄罗斯艺术家的歌曲和宣传短片，这一时间持续了 20 分钟之久。 此外，乌克兰电视频道 StarLightMedia 和 Inter 的卫星广播也曾遭受过了多次袭扰，以至于必须关闭卫星信号。 俄罗斯莫斯科红场阅兵日当天，黑客入侵了包括乌克兰共和国的大学、中学和其他教育机构在内的100 多个乌克兰网站，发布了俄罗斯总统普京关于俄罗斯和乌克兰人民兄弟情谊的言论。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400597.html 封面来源于网络，如有侵权请联系删除

近日，波兰政府宣布，疑似与俄罗斯军事情报局（GRU）有关的黑客一直在“袭击”波兰政府机构。 CSIRT MON（波兰国防部长领导的计算机安全事件响应小组）和 CERT Polska（波兰计算机应急响应小组）近期发现很多资料，证实了疑似具有俄罗斯背景的黑客组织 APT28 在一次大规模网络钓鱼活动中，攻击了多个波兰政府机构。 黑客通过发布一些网络钓鱼邮件，试图诱使收件人点击显示为”获得更多有关一名神秘的乌克兰妇女向波兰和乌克兰高级当局 “出售 “二手内衣信息的链接。一旦点击链接，收件人就会被重定向到多个网站，然后进入一个下载 ZIP 压缩包的页面。 据悉，该压缩包包含了一个伪装成 JPG 图像文件的恶意可执行文件以及名为 DLL 和 .BAT 脚本的隐藏文件。 在受害目标打开伪装的可执行文件后，隐藏的脚本就会立刻自动运行，脚本会在 Microsoft Edge 浏览器中显示一张泳装女子的照片，分散受害者的注意力，同时”偷偷“下载 CMD 文件并将其扩展名更改为 JPG。 值得一提的是，此次网络攻击活动中使用的策略和基础工具与另一起网络攻击运动中使用的策略和基础工具非常相似，APT28 组织成员使用“以色列-哈马斯冲突”作为诱饵，给 13 个国家（包括联合国人权理事会成员）的官员“提供”带有 Headlace 恶意软件的后门设备。 APT28 黑客组织自 2000 年代中期浮出水面以来，组织发动了许多备受瞩目的网络攻击时间。2018 年，业内很多从业者将其与 GRU 的军事单位 26165 联系在一起。 据悉，APT28 组织不仅可能是 2016 年美国总统大选前入侵民主党全国委员会（DNC）和民主党国会竞选委员会（DCCC）的幕后黑手，也有可能是 2015 年入侵德国联邦议会（Deutscher Bundestag）的幕后真凶。 2018 年 7 月，美国当局曾指控 APT28 多名成员参与到 DNC 和 DCCC 网络攻击事件中，欧盟理事会在 2020 年 10 月因联邦议院网络攻击事件，宣布制裁 APT28 组织。 一周前，北约、欧盟以及一些国际合作伙伴正式谴责了针对包括德国和捷克在内的多个欧洲国家的长期 APT28 网络间谍活动。德国表示，APT28 组织入侵了社会民主党执行委员会成员的多个电子邮件账户。捷克外交部也透露，APT28 在 2023 年袭击了捷克境内的一些机构。 美国国务院曾发布声明，呼吁 APT28 组织背后的运营商立刻停止一恶意网络攻击活动，遵守国际承诺和义务，并一再强调，美国将与欧盟和北约盟国一道，继续采取更加严厉的措施，打击 APT28 组织的网络攻击活动，保护其公民的信息资产，追究黑客的责任。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400468.html 封面来源于网络，如有侵权请联系删除

研究人员发现了一起大规模泄露事件，涉及500多万萨尔瓦多公民的个人身份信息（PII）在暗网上的曝光。 生物安全部门发现，来自萨尔瓦多的500多万公民的个人身份信息（PII）在暗网上大规模泄露，影响了该国80%以上的人口。这名化名为“CiberienteligenciaSV”的威胁行为者向Breach Forums发布了144 GB的数据转储，并写道此次泄露包括5129518张高清照片，每张照片上都标有相应的萨尔瓦多文件识别号。研究人员评估称，这一漏洞的背后始作俑者似乎有意掩盖他们的参与，利用Guacamaya集团及其非官方代理人的背景幽灵，围绕导致数据泄露的真正黑客和攻击链而产生不确定性。 数据转储包括以下字段： ID 身份证明文件 姓名 出生日期 电话 电子邮件 地址 受害者照片 最终，这次数据泄露意义重大，因为它标志着网络犯罪史上第一次几乎整个国家的人口都受到生物特征数据泄露的影响。联邦贸易委员会去年发布的一份咨询意见指出，“生物识别信息是指描述或描述已识别或可识别人员身体的物理、生物或行为特征、特征或测量结果的数据。”除了萨尔瓦多大规模的个人信息识别记录外，黑客还获得了每个受害者的头像，这是一个关键的生物特征数据标记，尤其是在生成人工智能的黄金时代。 值得注意的是，这种生物特征和个人信息识别数据的大规模泄露使萨尔瓦多大部分人口面临身份盗窃和欺诈的重大风险。 有了现代深度伪造技术，黑客可以利用受害者头像和相关PII，在数字优先的金融、商家和政府门户网站的广阔领域上演更具说服力的欺诈。   转自e安全，原文链接：https://mp.weixin.qq.com/s/agh94Y2IlOA22YeOIjq63A 封面来源于网络，如有侵权请联系删除

MITRE 于 4 月 19 日透露，黑客已瞄准其网络实验、研究和虚拟化环境 (NERVE)，这是一个用于研究、开发、和原型设计。 黑客通过利用 Ivanti Connect Secure VPN 设备 0Day 漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）获得了初步访问权限。 网络间谍组织（Mandiant 追踪为 UNC5221）利用 0day 漏洞进行了数周有针对性的攻击，直到其存在被曝光，Ivanti 发布了缓解措施。受害者名单中包括网络安全机构 CISA，该机构表示该事件可能影响多达 10 万人。 MITRE 最初将这次袭击归咎于国家支持的 APT 组织，但没有透露更多细节。在后续帖子中，该组织澄清说，在事件调查期间观察到的威胁检测指标 (IoC) 与 Mandiant 归因于 UNC5221 的指标重叠。 MITRE 最初表示攻击发生在 1 月初，但现在透露，第一个入侵证据可以追溯到 2023 年 12 月 31 日。当时黑客利用 Ivanti 0day 漏洞首次访问 NERVE 网络。 2024 年 1 月 4 日，黑客开始对环境进行分析，与 VMware vCenter 和 ESXi 主机进行交互。 MITRE 表示：“随后，他们通过 RDP 成功登录 NERVE 内的多个帐户，利用劫持的凭据访问用户书签和文件共享，以深入了解网络架构。” 第二天，攻击者开始操纵虚拟机并建立对受感染基础设施的控制。 在接下来的几天里，攻击者部署了一些恶意负载，包括名为 BrickStorm 的 vCenter 后门和 MITRE 名为 BeeFlush 的先前未知的 Web shell。 1 月 11 日，即 Ivanti 0day 漏洞曝光的第二天，攻击者部署了另一个名为 WireFire 的 Web shell，并开始准备窃取数据。数据泄露发生在 1 月 19 日，涉及另一个名为 BushWalk 的 Web shell。 MITRE 在 4 月份才发现此次入侵。2 月中旬至 3 月中旬期间，黑客在 NERVE 环境中持续存在并尝试横向移动，但未能转向其他资源。 MITRE 黑客攻击中使用的 Ivanti 产品漏洞自其存在被公开以来已被广泛利用，被利用来危害数百台设备，包括政府、电信、国防和技术组织所拥有的设备。适当的补丁在一月下旬才发布。 关于 Mitre Mitre Corporation（简称为MITRE Corporation和MITRE）是一家美国非营利组织，它管理着联邦政府资助的研发中心(FFRDC)，为航空、国防、医疗保健、国土安全和网络安全等领域的各个美国政府机构提供支持。 MITRE 成立于 1958 年，是一个军事智囊团，是从麻省理工学院林肯实验室的雷达和计算机研究部门分离出来的。 MITRE ATT&CK 框架于 2015 年推出，被《计算机周刊》描述为“免费、全球可访问的服务，为组织提供全面且最新的网络安全威胁信息”，被 TechTarget 描述为“全球知识”威胁活动、技术和模型的基础”。该框架已被美国网络安全和基础设施安全局以及联邦调查局使用。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/lrIaHnrBqtCWrSaByapzjg 封面来源于网络，如有侵权请联系删除

北约和欧盟谴责与俄罗斯有关的威胁组织APT28（又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 本周，德国联邦政府以最强烈的措辞谴责 APT28 组织针对德国社会民主党执行委员会开展的长期间谍活动。 “联邦政府针对此次活动的国家归因程序得出的结论是，在相对较长的一段时间内，网络攻击者 APT28 利用了 Microsoft Outlook 中当时尚未识别的关键漏洞来危害众多电子邮件帐户。”德国联邦监管局发布的公告中说。 自 2022 年 4 月以来，APT28 利用 0day 漏洞 CVE-2023-23397 对欧洲实体进行攻击。这个与俄罗斯相关的 APT 组织还针对北约实体和乌克兰政府机构。 CVE-2023-23397漏洞是一个 Microsoft Outlook 欺骗漏洞，可导致身份验证绕过。 2023 年 12 月，Palo Alto Networks 的 Unit 42 研究人员报告称，APT28组织 在针对欧洲北约成员国的攻击中利用了 CVE-2023-23397 漏洞。 专家们强调，在过去 20 个月中，APT黑客针对了 14 个国家的至少 30 个机构，这些机构可能对俄罗斯政府及其军队具有战略情报意义。 2023 年 3 月，Microsoft 发布了调查利用已修补的 Outlook 漏洞（跟踪为CVE-2023-23397 ）的攻击指南 。 在微软威胁情报于 2023 年底发现的攻击中，攻击者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。 据Unit 42称，APT28于2022年3月开始利用上述漏洞。 “在此期间，Fighting Ursa 至少进行了两次利用此漏洞进行的活动，并且这些活动已被公开。第一次发生在 2022 年 3 月至 12 月期间，第二次发生在 2023 年 3 月。”Unit 42发布的分析报告这样描述。 “Unit 42 研究人员发现了第三个最近活跃的活动，其中 Fighting Ursa 也利用了此漏洞。该组织在 2023 年 9 月至 10 月期间开展了最近一次活动，目标是七个国家的至少 9 个组织。” 研究人员指出，在第二次和第三次活动中，攻击者继续使用众所周知的 Outlook 漏洞。这意味着这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。 目标清单很长，包括： 除乌克兰外，所有目标欧洲国家均为北约组织 (NATO) 成员 至少一支北约快速反应部队 以下部门内与关键基础设施相关的组织：能源、运输、电信、信息技术、军工基地 微软威胁情报还警告称，与俄罗斯有关的网络间谍组织 APT28 正在积极利用 CVE-2023-23397  Outlook 漏洞劫持 Microsoft Exchange 帐户并窃取敏感信息。 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国机构，包括政府实体、企业、大学、研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。政府专家指出，在某些情况下，该组织并没有在受感染的系统中部署任何后门。 ANSSI 观察到 APT28 在针对法国组织的攻击中至少使用了三种攻击技术： 零日漏洞； 攻击路由器和个人电子邮件帐户； 使用开源工具和在线服务。 ANSSI 调查确认 APT28 利用了 Outlook 0day 漏洞 CVE-2023-23397。 据其他合作伙伴称，在此期间，还利用了其他漏洞，例如影响 Microsoft Windows 支持诊断工具的漏洞（MSDT、 CVE-2022-30190，也称为 Follina）以及针对 Roundcube 应用程序的漏洞（CVE- 2020-12641、CVE-2020-35730、CVE-2021-44026）。 根据德国政府最近发布的公告，APT28活动针对的是德国、其他欧洲国家和乌克兰的政府当局、物流公司、军火、航空航天工业、IT服务、基金会和协会。该组织还对 2015 年德国联邦议院的网络攻击负责。这些行为违反了国际网络规范，需要特别关注，特别是在许多国家的选举年期间。 捷克外交部也谴责APT28组织的长期网络间谍活动。该部的声明还证实，从 2023 年起，捷克机构已成为与俄罗斯相关的 APT28 的目标，该组织利用 Microsoft Outlook 0day漏洞。 “根据情报部门的信息，自 2023 年起，一些捷克机构成为利用 Microsoft Outlook 中先前未知漏洞进行网络攻击的目标。这些攻击的操作模式和重点与攻击者 APT28 的个人资料相符。” 北约、 欧盟理事会以及美国和英国政府也发表了类似声明。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM）至少自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。该组织还参与了针对2016 年总统选举的一系列攻击 。该组织隶属于俄罗斯总参谋部主要情报局 (GRU) 。 大多数 APT28 的活动都利用了鱼叉式网络钓鱼和基于恶意软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BQuLzaxvmlzuPUUsa6xe8Q 封面来源于网络，如有侵权请联系删除