TRUE Solicitors LLP 是一家总部位于英国，专门从事人身伤害索赔和就业法的著名律师事务所，现已成为臭名昭著的 BlackBasta 勒索软件组织的涉嫌网络攻击的受害者。该勒索软件组织宣布了对 TRUE Solicitors 的网络攻击，但没有提供有关违规程度或受损数据的详细信息。 TRUE Solicitors LLP 以其专业的律师团队而闻名，他们为寻求人身伤害赔偿和各种法律事务协助的客户提供高质量的法律代理。 针对 TRUE Solicitors 的网络攻击：未经证实 为了验证 BlackBasta 勒索软件组织的说法，Cyber Express 团队尝试访问 TRUE Solicitors LLP 的官方网站。然而，团队发现该网站完全正常运行，这给勒索软件组织声明的真实性带来了不确定性。在该公司发布正式声明之前，TRUE Solicitors 网络攻击背后的真相仍然难以捉摸。 这并不是 BlackBasta 勒索软件组织第一次成为头条新闻的主角。 2024 年，该组织将目标锁定为 Leonard’s Syrups，这是一家位于密歇根州的家族企业。暗网论坛上宣布的针对 Leonard’s Syrups 的网络攻击留下了许多悬而未决的问题，网络犯罪分子隐瞒了泄露、受损数据和其动机的关键细节。 在另一起事件中，新增了两名 BlackBasta 勒索软件组织的受害者：南方水务公司 (Southern Water) 和旭硝子玻璃公司 (Asahi Glass Co)。虽然有关攻击范围、受损数据和动机的详细信息尚未披露，但该勒索软件组织设定的暴露数据最后期限仍未知，这也凸显了情况的紧迫性。 TRUE Solicitors网络攻击的影响 如果 BlackBasta 勒索软件组织网络攻击的说法被证明属实，那么影响可能会很大。敏感法律信息和客户数据的泄露可能会对公司、其客户和合作伙伴产生深远的后果。 随着对TRUE Solicitors LLP 网络攻击的进一步调查，利益相关者正在等待该公司就此次违规行为及其影响发表正式声明。在此之前，该行业仍保持高度警惕，准备应对 BlackBasta 勒索软件组织下一次攻击的可能性。 只有时间才能证明这一说法是否属实，或者这一举动可能是网络犯罪分子试图再次散布恐惧和不确定性的氛围。 转自安全客，原文链接：https://www.anquanke.com/post/id/296027 封面来源于网络，如有侵权请联系删除

Hirsh Industries 是将金属归档、存储和组织产品的领先制造商和供应商，它已成为 RansomHouse 勒索软件组织的攻击目标。勒索软件组织的针对赫什工业公司的网络攻击引发了人们对敏感数据安全性以及对该公司运营情况的担忧。 Hirsh Industries, LLC 以其金属归档和存储解决方案而闻名，可满足个人和商业需求。该公司的收入为 1.621 亿美元，在行业中占有重要地位。 未经证实：赫什工业公司遭受网络攻击 尽管 RansomHouse 勒索软件组织已提出索赔，但尚未披露有关数据泄露程度或网络攻击背后动机的细节。访问官方网站后，该网站似乎功能齐全，没有发现任何不当行为的迹象。 RansomHouse 勒索软件组织对 Hirsh Industries 的攻击标志着他们的攻击名单中的又增添一个新成员。 RansomHouse 之前的攻击 2024 年 4 月，该组织以印度尼西亚区域开发银行Bank Pembangunan Daerah Banten Tbk 为目标。尽管该银行遭受网络攻击的全部范围尚未披露，但鉴于该银行主要针对微型企业和中小企业，其影响可能会很大。 同月早些时候，Lopesan Hotels 成为 RansomHouse 攻击的受害者，据称该组织获得了 650GB 的敏感数据，包括酒店收入和员工信息。 今年 2 月，韦伯国际大学和 GCA Nederland 成为 RansomHouse 组织的攻击目标，暗网门户网站上的受害者名单也随之增加。 RansomHouse 勒索软件组织对 Hirsh Industries 发起的攻击凸显了此类组织对全球组织构成了日益严重的威胁。尽管该说法的真实性尚未得到证实，但该事件为企业加强网络安全防御敲响了警钟。 赫什工业公司 (Hirsh Industries)是该行业的重要参与者，如果网络攻击被证实属实，其影响可能是深远的。敏感数据的泄露不仅会影响公司的运营，还会引起客户和合作伙伴的担忧。此外，潜在的财务损失和声誉损害可能是巨大的。 随着对赫什工业网络攻击的后续调查，利益相关者正在等待该公司就此次违规行为及其影响做出正式回应。 同时，此事件也敦促企业优先考虑加强网络安全措施，尽量降低成为勒索软件攻击受害者的风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/296030 封面来源于网络，如有侵权请联系删除

据称，总部位于美国的维生素和膳食补充剂生产商 Piping Rock 遭到入侵，攻击者访问了超过 210 万封电子邮件。 最近，某知名数据泄露论坛上出现了该公司数据的广告。罪魁祸首声称，210 万封被盗电子邮件中隐藏着近 100 万客户的个人详细信息。 攻击者据称已获得该公司 957,384 名客户的个人详细信息，包括： 电子邮件地址 名称 电话号码 家庭住址 购物信息 攻击者的帖子中写道，“管理层在谈判过程中突然停止与我们交涉”，这暗示了黑客一直在与公司讨论数据盗窃问题。 本月早些时候，同一攻击者发布了据称从加拿大折扣连锁店 Giant Tiger 窃取的数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/296014 封面来源于网络，如有侵权请联系删除

根据乌克兰计算机应急响应团队（CERT-UA）的报告，俄罗斯黑客组织 “沙虫 “（Sandworm）旨在破坏乌克兰约 20 家关键基础设施的运行。 该黑客组织也被称为 BlackEnergy、Seashell Blizzard、Voodoo Bear 和 APT44 ，据信与俄罗斯武装部队总参谋部主管部门（GRU）有关，主要针对各种目标进行网络间谍活动和破坏性攻击。 CERT-UA 的报告称，2024 年 3 月，APT44 破坏了乌克兰 10 个地区的能源、水务、供暖供应商的信息和通信系统。 在某些情况下，Sandworm 会通过操纵软件供应链或者利用软件提供商的权限来进入目标网络，也可能部署被篡改的软件或者利用软件漏洞，成功渗透到系统中。 另外，该组织还结合了之前用过的恶意软件和新的恶意工具（比如BIASBOAT和LOADGRIP）来获取系统访问权限，在网络中横向移动。 CERT-UA 专家已确认至少有三条 “供应链 “遭到破坏，这导致最初未经授权的访问。这种访问要么与安装含有后门和漏洞的软件有关，要么是由于供应商员工通常具备访问组织工控系统进行维护和技术支持的权限。 乌克兰机构指出，Sandworm 的入侵行为得以简化，部分原因是目标的网络安全实践较差（例如缺乏网络分段以及软件供应商防御措施不足）。 自 2024 年 3 月 7 日至 3 月 15 日，CERT-UA 进行了大规模的反网络攻击行动，包括通知受影响企业、清除恶意软件和加强安全措施。 对受影响实体的日志进行调查后发现，Sandworm 主要依靠以下恶意软件对乌克兰公共事业供应商进行攻击： QUEUESEED/IcyWell/Kapeka：这是一个针对 Windows 的 C++ 后门，用于收集基本系统信息并执行来自远程服务器的命令。它可以处理文件操作、命令执行和配置更新，并能自行删除。通信通过 HTTPS 进行安全传输，数据使用 RSA 和 AES 加密。它通过在 Windows 注册表中加密其配置并设置任务或注册表项以实现自动执行，从而在感染的系统上存储数据并保持持久性。 BIASBOAT（新）：最近出现的 QUEUESEED Linux 变种。它伪装成加密文件服务器，与 LOADGRIP 同时运行。 LOADGRIP（新）：也是用 C 语言开发的 QUEUESEED Linux 变种，用于使用 ptrace API 向进程注入有效负载。有效负载通常是加密的，解密密钥来自一个常量和一个特定机器 ID。 GOSSIPFLOW：在 Windows 上使用基于 Go 的恶意软件，利用 Yamux 多路复用器库建立隧道；它提供 SOCKS5 代理功能，帮助外泄数据并确保与命令和控制服务器的通信安全 CERT-UA 在调查期间发现的其他恶意工具来自开源空间，包括 Weevly webshell、Regeorg.Neo、Pitvotnacci 和 Chisel 隧道程序、LibProcessHider、JuicyPotatoNG 和 RottenPotatoNG。黑客组织利用这些工具来维持攻击持久性、隐藏恶意进程，并提升他们在被入侵系统上的权限。 乌克兰机构认为，这些攻击的目的是增强俄罗斯导弹对目标基础设施的打击效果。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398980.html 封面来源于网络，如有侵权请联系删除

欧洲刑警组织周四宣布，全球最大的网络钓鱼即服务平台之一已因长达一年的全球行动“严重中断”服务 。 本周，来自 19 个国家的执法部门搜查了全球 70 个地址，逮捕了 37 名与 LabHost 运营相关的嫌疑人。 据欧洲刑警组织称，之前在开放网络上提供的 LabHost 平台已被关闭，其基础设施也受到损害。调查人员还发现了至少 40,000 个与该平台相关的网络钓鱼域名，该平台在全球拥有约 10,000 名用户。 澳大利亚警方周四宣布，他们关闭了 207 台通过 LabHost 服务托管创建的钓鱼网站的服务器，该网站针对该国超过 94,000 人。五人因与该服务的运作有关而在澳大利亚被捕。 英国逮捕了四名与该网站运营相关的人员，据称其中包括原始开发者。警方证实，英国有近 70,000 名受害者在 LabHost 的欺诈网站之一输入了自己的详细信息。在全球范围内，该服务已获得预计 480,000 个卡号、64,000 个 PIN 码以及用于网站和其他在线服务的超过 100 万个密码。 截至周四，英国警方已联系该国多达 25,000 名受害者，告诉他们数据已被泄露。 在网络钓鱼即服务模型中，网络犯罪分子提供工具，着让技术水平较低的个人能够进行网络钓鱼攻击。 LabHost 已成为全球网络犯罪分子的重要工具。该平台每月平均订阅费为 249 美元，它提供网络钓鱼工具包、托管页面的基础设施、直接与受害者互动的交互功能以及活动概述服务。 根据订阅情况，犯罪分子还会收到一份目标列表，其中包括金融机构、邮政服务和电信服务提供商。 LabHost 还提供了超过 170 个虚假网站的菜单，提供令人信服的网络钓鱼页面供用户选择。 欧洲刑警组织表示，LabHost 最具破坏性的是其名为 LabRat 的集成活动管理工具。此功能使网络犯罪分子能够实时监控和控制攻击。 LabRat 旨在捕获双因素身份验证代码和凭据，这让犯罪分子能成功绕过安全措施。 欧洲刑警组织表示：“LabHost 等平台让不熟练的黑客更容易实施网络犯罪，从而显著扩大了黑客的攻击范围。” “然而，无论该服务模型将自己描绘得对用户多友好，对其恶意使用都构成了非法活动——处罚可能会很严厉。” 去年 8 月，国际警方关闭了一个名为 16shop 的网络钓鱼即服务平台，该平台有 7 万人使用。该服务的网络钓鱼工具包旨在窃取 Apple、PayPal、American Express、Amazon 和 Cash App 等流行服务用户的凭据和付款详细信息。它们的售价相对适中，从 60 美元到 150 美元不等，具体取决于目标品牌。   转自安全客，原文链接：https://www.anquanke.com/post/id/295784 封面来源于网络，如有侵权请联系删除

近日，塞尔维亚著名黑客 InterBroker（隶属于黑客组织 CyberNiggers）声称成功入侵了天眼（Space-Eyes）公司，并成功窃取大量美国国家安全机密数据。 天眼公司是一家地理空间情报服务商，专门服务于美国政府部门，包括司法部、国土安全部、美国武装部队的多个分支机构以及包括国家地理空间情报局在内的关键情报机构。 据称，这次攻击成功破坏了天眼公司位于迈阿密的数字基础设施，并可能泄露了包括美国司法部、国土安全部和美国武装部队的国家安全机密数据。 令人震惊的是，IntelBroker 在数据泄露论坛上发帖称，仅用时“10-15分钟”就从天眼公司的系统中窃取了敏感数据。 五眼情报联盟的眼中钉：IntelBroker 由于曾多次成功策划实施重大网络攻击，IntelBroker 已经成为黑客组织 CyberNiggers 的事实领导者。该黑客擅长识别和利用系统漏洞，并在暗网上售卖初始访问权限。 IntelBroker组织过去的著名网络攻击事件包括在2023年11月对通用电气的数据泄露攻击以及入侵 Wee 百货服务系统。 在对天眼系统的攻击中，IntelBroker 声称盗取了天眼公司为美国政府国家安全部门提供服务的极为机密的文件。 据 Hackeread 等媒体报道，被盗的数据包括多名政府官员的姓名、电话号码、公司名、职位描述、电邮地址、密码哈希值以及具体位置数据。 此前，IntelBroker 还曾泄露美国联邦承包商 AcuityInc. 的国家安全信息。 关于 CyberNiggers CyberNiggers 是黑客数据泄露论坛（Breach Forums）的明星黑客组织，该团队虽然人数不多，但成员均活跃于Breach Forums。 据悉，该团队目前正针对多个关键目标，并已经进入了五眼情报联盟的监视范围。 CyberNiggers 还涉嫌参与了针对 Colonial Pipeline 的网络攻击。组织成员 ComradBinski 曾提供过对Colonial Pipeline 数据的特权访问，涉及的数据包括账单细节、私人及公共密钥、密码、电子邮件、源代码、PDF 文件和数据库文件等。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16174.html 封面来源于网络，如有侵权请联系删除

这位臭名昭著的黑客以“IntelBroker”为别名，声称已经攻破了位于迈阿密的地理空间情报公司 Space-Eyes 的网络基础设施。IntelBroker 在 Breach Forums 上发布的消息中吹嘘他的入侵速度很快，只需要“大约 10-15 分钟”即可访问敏感数据。 据 Space-Eyes 网站称，它专门服务于政府机构和组织，包括司法部、国土安全部、美国武装部队的各个部门以及国家地理空间情报局 (NGA) 等重要情报机构。如果所指控的违规行为属实，将对美国国家安全产生重大影响。 根据 IntelBroker 的说法，被盗数据包括“有关 Space-Eyes 在美国政府内部为国家安全提供的服务的高度机密文件”。这些数据的深度和特征极其敏感，包含有关美国国家安全的机密讨论、通信和简介，以及被拒绝进入美国或根据美国法律进行隔离的个人和船只。   转自安全客，原文链接：https://www.anquanke.com/post/id/295641 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，在3月的一起针对德国数十家机构网络钓鱼活动中，研究人员发现，攻击者使用的 PowerShell 脚本很有可能由人工智能辅助创建。 网络安全公司 Proofpoint 的研究人员将这次攻击归因于一个至少从 2017 年起就开始活跃、被追踪为 TA547 的攻击者，又名 Scully Spider，擅长利用各类恶意软件针对Windows和安卓系统。而此次攻击活动中使用的是一种名为“Rhadamanthys”的模块化窃取程序，能够搜集剪贴板、浏览器、cookie中的数据。 研究人员称， TA547 在此次攻击活动中冒充德国麦德龙，以发票为诱饵，欺骗了德国各行各业的数十家组织。 这些邮件包括一个用密码 “MAR26 “保护的 ZIP 压缩包，其中包含一个恶意快捷方式文件（.LNK），访问该快捷方式文件会触发 PowerShell 运行远程脚本，并在内存中执行恶意代码。 在分析加载 Rhadamanthys 的 PowerShell 脚本时，研究人员注意到脚本中包含一个哈希符号 (#)，后面是每个组件的特定注释，这在由真人创建的代码中并不常见。 研究人员指出，这是由ChatGPT、Gemini 或 CoPilot 等生成式人工智能所生成代码的典型特征。虽然他们不能绝对确定 PowerShell 代码来自大型语言模型（LLM）解决方案，但研究人员表示，脚本内容表明 TA547 有可能使用了生成式人工智能来编写或改写 PowerShell 脚本。 Proofpoint 威胁研究主管丹尼尔·布莱克福德（Daniel Blackford）告诉BleepingComputer，虽然开发人员很擅长编写代码，但他们的注释通常是隐晦的，而且存在语法错误。而这些疑似由 LLM 生成的 PowerShell 脚本注释缜密，语法无懈可击，几乎每一行代码都有一些相关注释。 此外，根据使用 LLM 生成代码的实验结果，研究人员已几乎相信TA547所用的代码就是使用此类技术生成。BleepingComputer 使用 ChatGPT-4 创建了一个类似的 PowerShell 脚本，输出的代码看起来与 Proofpoint 看到的代码相似，包括变量名和注释，这进一步表明该脚本很可能是由人工智能生成。 自 OpenAI 于 2022 年底发布 ChatGPT 以来，出于经济动机的攻击者一直在利用人工智能来创建定制化或本地化的网络钓鱼电子邮件、运行网络扫描以识别主机或网络上的漏洞，以及构建高度可信的网络钓鱼页面。但由于大多数大型语言学习模型都试图限制可能被用于恶意软件或恶意行为的输出，网络犯罪分子开始推出专门用于恶意目的的人工智能平台。   转自FreeBuf，原文链接：https://www.freebuf.com/news/397597.html 封面来源于网络，如有侵权请联系删除

根据瑞士IT安全评估公司Pentagrid的报告，德国以及其他欧洲国家的宜必思快捷酒店存在一个自助登记亭漏洞，可能导致键盘代码被暴露，从而使得入住房间的安全受到影响。 该漏洞首次于2023年底被Pentagrid的黑客团队在德国一家宜必思快捷酒店的自助入住终端中发现，但他们认为这一漏洞可能存在于其他宜必思快捷酒店中。 宜必思快捷品牌隶属于法国酒店业巨头雅高集团。据该公司网站称，宜必思快捷酒店在 20 个国家/地区拥有 600 家酒店。 根据Accor的通知，他们已经向受影响的设备推出了补丁，并在一个月内通知了Pentagrid。 受影响的自助服务终端允许宜必思快捷酒店的顾客自助登记入驻。原本只需输入预订ID就能拿到房间号和密码，但Pentagrid发现，输入一串特殊符号后，系统会列出所有预订，并显示房间号和密码。这些密码在客人入住期间都有效，所以攻击者有可能利用这个漏洞进入客人的房间。 安全公司的研究人员认为，这个问题可能是因为供应商忘记了关闭一个功能或者测试过程中出现了问题，而不是特意设计的。他们在谷歌上搜索了宜必思快捷酒店登记入住亭的图片，找到了德国和法国等地的数十个酒店的照片。但目前还不清楚哪个公司生产的信息亭存在问题。 攻击者要利用这个漏洞，需要亲自到达目标终端，并且在夜间设置设备以允许自助服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/295295 封面来源于网络，如有侵权请联系删除

法国媒体报道称，多个政府部门已成为多次网络攻击的目标，总理办公室的消息人士表示，攻击强度“前所未有”。黑客组织“Anonymous Sudan(匿名苏丹)”声称对事件负责。 如此激烈，以至于总理办公室告诉国际新闻媒体法新社，“已经启动了一个危机小组来部署对策”，这有助于恢复大多数服务和国家网站。 法国总理工作人员告诉新闻媒体，法国网络安全机构（ANSSI）表示，“正在实施过滤措施，直到攻击结束”。 法国 BMF 电视台周一报道称，据其他政府消息来源称，连接 100 万公共部门代理和 14,000 个国家站点的国家部际网络 (RIE) 自周日以来已成为攻击目标。 与此同时，以分布式拒绝服务 (DDoS) 攻击而闻名的黑客组织 Anonymous Hundred 也声称参与了攻击活动。 黑客活动分子周一在他们的 Telegram 页面上发帖称，此次攻击是由“@InfraShutdown DDoS 基础设施”发起的。 “我们对法国数字事务部际理事会的基础设施进行了大规模网络攻击。”Anonymous Sudan（匿名苏丹）说。 该组织声称，目标“基础设施包括超过 17,000 个 IP 和设备以及超过 300 个域名，这些都已被强力摧毁。” “他们主办和组织了许多法国数字政府和组织部门，这意味着许多不同的数字政府部门都受到了影响，包括非常重要的网站及其各自的子域。由于核心数字政府端点受到打击，而且法国人非常了解细节，因此损害将是广泛的。”它说。 匿名苏丹，Telergam 上周，法国国防部长在 6 月欧盟议会选举和 7 月开始的 2024 年巴黎奥运会之前发布了针对网络攻击的警告。 此外，X 上的内部人士发布了有关此次攻击的信息，将其归因于法国总统埃马纽埃尔·马克龙威胁“向乌克兰部署法国军队，大规模网络攻击袭击了法国！”退休军官兼北约顾问 @CaptCoronado 表示。匿名苏丹过去因以北约及其成员国为目标而闻名。 “匿名苏丹”组织在 2023 年上半年对多个与北约相关的知名目标（包括以色列总理本杰明·内塔尼亚胡和神秘的摩萨德）多次发动分布式拒绝服务 (DDoS) 攻击，引起了轰动。 该组织通过多次单独的攻击无情地针对瑞典 SAS 航空公司。此后，该团伙与其他亲俄罗斯黑客组织KillNet和 UserSec 联手攻击北约，这三个组织同时发起 DDoS 攻击，使目标网站的流量不堪重负，基本导致其离线。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/R3N8LrlKujuRZsf3rkTOZA 封面来源于网络，如有侵权请联系删除