以色列国家网络安全局发布警告称，可能会发生伪装成 F5 Networks BIG-IP 设备安全更新的网络钓鱼攻击。在攻击期间，黑客组织 Vipers 将通过邮件向 Windows 和 Linux 系统分发。 以色列国家网络管理局（INCD）担任CERT，负责保护国家免受网络威胁，并向组织和公民发布已知攻击的警报。 自十月以来，以色列一直受到亲巴勒斯坦和伊朗支持的黑客的广泛网络攻击，这些黑客一直在窃取和破坏以色列组织的数据。11月，人们发现了一种名为 BiBi Wiper 的新型擦除器，它同时瞄准 Linux 和 Windows 设备，并擦除目标设备上的数据。该程序的创建被归因于支持哈马斯的黑客活动分子。 INCD 警告称，存在一种新的网络钓鱼攻击，攻击者以 F5 BIG-IP 设备中零日漏洞的警告为诱饵，向目标发送电子邮件，声称这是安全更新。亲巴勒斯坦黑客组织 Handala 声称对此次袭击负责，并声称该组织成员已渗透到多个以色列网络。然而，专家无法证实该组织的说法。 网络钓鱼电子邮件警告人们在攻击中主动利用 F5 BIG-IP 漏洞，并敦促以色列组织下载并安装安全更新。对于 Windows 用户，电子邮件提供名为 F5UPDATER.exe 的文件，对于 Linux 用户，电子邮件提供名为 update.sh 的脚本。   Windows 上的 Viper 冒充 F5 安全更新 两个版本的 Viper 都试图通过显示公司徽标来模仿 F5 安全更新。单击“更新”按钮后，程序会将有关设备的数据发送到 Telegram 频道，并尝试擦除计算机上的所有数据。然而，根据 BleepingComputer 的说法，该程序运行时会出现错误，并且不会删除所有数据。 Linux 版本是一个脚本，首先下载数据清理所需的程序，例如 xfsprogs、wipe 和 parted。该程序首先删除系统上的所有用户，然后使用“wipe”命令删除其关联的目录。然后该程序尝试删除 Linux 设备上的所有系统文件和分区。完成后，计算机将重新启动以使分区更改生效。与 Windows 版本类似，Linux 版本也将设备信息和状态更新推送到 Telegram 频道。 毒蛇已成为以色列的一个严重问题，因为黑客活动分子经常使用它们进行破坏性攻击，旨在扰乱该国的运营和经济。与往常一样，最好的防御措施是仅从电子邮件下载来自受信任且经过验证的来源的文件。此外，安全更新只能直接从硬件制造商下载，而不是从第三方网站下载。 转自安全客，原文链接：https://www.anquanke.com/post/id/292097 封面来源于网络，如有侵权请联系删除

Sophos 专家拉响了警报 – 只需一台易受攻击的设备就可以破坏整个组织的数据。 Sophos 的安全专家发现了勒索软件分发团队活动的新趋势。 最近的数据表明，黑客大规模转向在企业网络上使用所谓的“远程加密”。这种方法允许攻击者仅使用一台受感染的设备作为入口点来加密网络上所有设备上的数据。 顾名思义，远程加密是指使用受感染的端点来加密同一网络上其他设备上的数据时发生的情况。通常，如果在组织中的所有计算机之间共享本地写入访问权限，这种方法就是可行的。 恶意软件仅部署在最容易受到攻击的设备上，并且绝对所有可公开访问的数据都在其上进行了加密。同时，网络上的所有其他计算机不会以任何方式对此过程做出反应，因为加密的文件不包含任何恶意代码。用户只有在无法再访问数据之后才会发现。 Sophos 威胁研究副总裁 Mark Loman 强调了这一威胁的严重性：“只需要网络上的一台不安全设备就可以加密其他设备上的数据。” 这种方法的明显优点是它使标准事件检测方法无能为力。 微软今年 10 月报告称，目前约 60% 的勒索软件攻击都包含远程数据加密技术。此外，超过 80% 的攻击是通过只能访问共享文件存储的非托管设备发生的。 使用远程加密的著名勒索软件系列包括 Akira、ALPHV/BlackCat、BlackMatter、LockBit 和 Royal。这种方法已经使用了很长时间：早在2013年，CryptoLocker就以这种方式攻击了网络资源。然而，近几个月此类攻击急剧增加。 Sophos 专家在 报告中还强调了勒索团体与媒体之间的复杂关系。犯罪分子利用媒体不仅是为了吸引注意力，还通过驳斥他们认为不准确的报道来控制叙事。 他们还在数据泄露网站上发布常见问题和新闻稿，包括运营商的直接引用和对记者错误的更正。朗朗上口的名称和吸引人的图形的使用展示了网络犯罪的演变和专业化。 例如，RansomHouse 组织甚至在正式发布之前就向记者提供了有关其 PR Telegram 频道遭受攻击的所有最新信息。像 Conti 和 Pysa 这样的组织以使用组织层次结构而闻名，其中包括高层管理人员、系统管理员、开发人员、招聘人员、人力资源和法律部门。一些团体甚至正在寻找英语编辑和演讲者，以提供有关网络犯罪论坛攻击的有效报道。 “媒体参与为勒索软件团体提供了战术和战略优势。这使他们能够向受害者施加压力并塑造叙事，提高他们的名气并神话自己，”Sophos 指出。 转自安全客，原文链接：https://www.anquanke.com/post/id/292087 封面来源于网络，如有侵权请联系删除

黑客组织 Rhysida 已在网上发布了超过 130 万份文件，其中包含从索尼旗下工作室 Insomniac Games 窃取的信息。该公司的系统上周遭到入侵。 正如攻击者声称的那样，他们设法获得了“独家、独特且令人印象深刻的数据”。总容量为 1.67 TB 的文件包含财务文件、员工（包括高层管理人员）的个人数据以及开发材料 – 屏幕截图、概念图、预算计划。 泄露的信息包括基于漫威宇宙的游戏的秘密材料：《蜘蛛侠 3》、《毒液》和《X 战警》。Insomniac 与漫威签订的到 2035 年开发 X 战警游戏的合同价值 6.21 亿美元。 黑客将窃取的数据放在影子拍卖中，索要 50 个比特币（约合 200 万美元）。然而，索尼无视这些要求，显然没有支付赎金。 Insomniac Games 成立于 1994 年。其作品还包括《瑞奇与叮当》、《小龙斯派罗》和《抵抗组织》等热门系列作品。索尼于 2019 年以 2.29 亿美元收购了该工作室。 索尼公司本身及其部门已不止一次遭受黑客攻击。6 月，Cl0p 黑客通过侵入 MOVEit Transfer 服务窃取了她的数据。2011 年，黑客组织 Anonymous 对 PlayStation 网络进行了大规模 DDoS 攻击，导致 7700 万玩家无法访问自己的帐户。 Rhysida 是一个鲜为人知的组织，自 2022 年 5 月以来一直活跃。它攻击世界各地的各种公司，包括医疗机构、大学和政府机构。最大的攻击针对智利政府、美国 Prospect Medical Holdings 连锁医院以及华盛顿州和马里兰州的教育机构。 分析师估计，这一年里，Rhysida 使用勒索软件攻击了 70 多个组织。 Rhysida 还根据勒索软件即服务 (RaaS) 计划运营，向其他犯罪分子提供服务和工具。 对 Insomniac Games 的攻击是近年来视频游戏行业最大的事件之一。专家敦促开发商加强网络安全措施，防止信息泄露和经济损失。 转自安全客，原文链接：https://www.anquanke.com/post/id/292055 封面来源于网络，如有侵权请联系删除

ReversingLabs 的网络安全专家 Carlo Zanchi 发现了许多黑客最近利用的一个新趋势。该趋势的本质是恶意利用 GitHub 平台传播恶意软件。 Zanchi 在报告中指出，此前，恶意软件作者经常在 Dropbox、Google Drive、OneDrive 和 Discord 等平台上托管其恶意软件副本。但最近，越来越多地使用 GitHub 作为恶意软件的直接宿主。 黑客始终首选公共服务来托管和操作恶意软件。它们的使用使得恶意基础设施难以禁用，因为没有人会仅仅为了阻止某些危险僵尸网络的工作而完全阻止 Google Drive。 公共服务还允许黑客将恶意网络流量与受感染网络上的合法通信混合在一起，从而使及时检测和响应威胁变得更加困难。 因此，GitHub 上 Gist 代码片段存储服务的滥用表明了这一趋势的演变。对于黑客来说，还有什么比将其恶意代码存储在这样的小型存储库中并根据需要将其安全地传送到受感染的主机更方便的了。 ReversingLabs 已识别出 PyPI 平台上的多个软件包 – “httprequesthub”、“pyhttpproxifier”、“libsock”、“libproxy”和“libsocks5” – 这些软件包伪装成用于处理代理网络的库，但包含一个 Base64 编码的 URL ，导致一个秘密 Gist 托管在一次性 GitHub 帐户中，没有公共项目。 研究人员还发现了黑客积极使用的另一种利用 GitHub 的方法。这里已经涉及到版本控制系统的功能了。其中，黑客在单击“Git commit”按钮时依赖具有更改历史记录的消息，通过恶意软件从中提取命令，然后在受感染的系统上执行它们。 关键点是，恶意软件放置在已经受感染的计算机上，扫描特定存储库的提交历史记录以查找特定消息。这些提交消息包含隐藏命令，然后由软件提取并在受害者的计算机上执行。 Zanchi 强调，使用 GitHub 作为 C2 基础设施本身并不新鲜，但滥用 Gists 和 Git commit 等功能是黑客近年来越来越多使用的创新方法。 使用 GitHub 等流行且值得信赖的平台作为网络犯罪的基础设施是一个非常令人震惊的趋势，这表明了黑客的聪明才智。 尽管服务本身安全可靠，但黑客不断寻找各种漏洞引入恶意代码和 C2 命令。这对公司和用户来说都是一个行动信号——他们需要提高警惕并使用现代手段来防御威胁。 转自安全客，原文链接：https://www.anquanke.com/post/id/292062 封面来源于网络，如有侵权请联系删除

据澳大利亚和美国发布的最新联合网络安全咨询报告，截至2023年10月，Play 勒索软件背后的黑客影响了大约 300 个实体。 当局表示：“使用Play勒索软件的黑客采用双重勒索模式，在窃取数据后加密系统，影响了北美、南美、欧洲和澳大利亚的广泛业务和关键的基础设施组织。” Play，又称为 Balloonfly 和 PlayCrypt，于 2022 年出现，利用 Microsoft Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）以及 Fortinet 设备（CVE-2018-13379 和 CVE-2020-12812）中的安全漏洞，侵入企业并部署文件加密恶意软件。 值得注意的是，根据 Corvus 的数据，勒索软件攻击越来越多地利用漏洞作为初始感染途径，而不是使用钓鱼邮件。这种方式从 2022 年下半年几乎为零，到 2023 年上半年增加到近三分之一。 网络安全公司Adlumin在上个月发布的一份报告中指出，他们“提供服务”给其他黑客，这个服务形成了“勒索软件即服务（RaaS）”运营的完整转变。 该组织策划的勒索软件攻击使用 AdFind 等公共和定制工具，运行 Active Directory 查询，使用Grixba 列举网络信息，通过GMER、IOBit 和 PowerTool 禁用防病毒软件，以及使用 Grixba 收集有关备份软件和远程管理工具在机器上安装情况的信息。 观察发现，这些黑客还进行了横向移动、数据外泄和加密步骤，依赖 Cobalt Strike、SystemBC 和 Mimikatz 进行攻击后利用。 “Play ransomware group 采用双重勒索模式，在外泄数据后加密系统，” 这些机构表示。“勒索信息中并不包括初始赎金要求或付款说明，而是指示受害者通过电子邮件联系威胁行为者。” 据 Malwarebytes 汇编的统计数据显示，Play 仅在 2023 年 11 月就已经攻击了近 40 个受害者，但明显少于于其同行 LockBit 和 BlackCat（又称 ALPHV 和 Noberus）。 此警报发布数天后，美国政府机构发布了有关 Karakurt 组的更新公告。该组以纯粹的勒索方式著称，避开了基于加密的攻击方式，而是在获得对网络的初始访问权限后，通过购买被盗的登录凭证、入侵经纪人（又称初始访问经纪人）、钓鱼和已知的安全漏洞等方式进行攻击。 政府表示：“Karakurt 的受害者并未报告受损机器或文件的加密情况；相反，Karakurt 的行为者声称窃取了数据，并威胁将其拍卖或公开发布，除非他们收到所要求的赎金。” 这些进展出现的同时，有人猜测 BlackCat 勒索软件可能成为执法行动的目标，因为其暗网泄露门户网站离线了五天。然而，网络犯罪集体将这次停机归咎于硬件故障。 此外，另一个新兴的名为 NoEscape 的勒索软件组织据称已经了退出这次网络攻击，有效地“窃取了赎金支付并关闭了该组织的网络面板和数据泄漏站点”，促使像 LockBit 这样的其他团伙招募他们以前的联盟成员。 勒索软件格局不断演变和转变，不管是否由于执法部门的外部压力，这都并不令人意外。这进一步证实了 BianLian、White Rabbit 和 Mario 勒索软件团伙在针对上市金融服务公司的联合勒索活动中的合作。 “这些合作式的勒索活动并不常见，但可能因暗网中的初始访问经纪人（IABs）与多个团体合作而变得更加普遍，” Resecurity 在上周发布的报告中指出。”导致更多合作的另一个因素可能是执法介入，这造成了网络犯罪分散的局面。这些黑客的被转移者可能更愿意与竞争对手合作。” 消息来源: The Hacker News，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Hackernews 编译，转载请注明出处： VF 集团(纽约证券交易所代码：VFC)是全球最大的服装、鞋类和配饰公司之一，拥有一系列全球知名品牌，总部位于科罗拉多州丹佛市。该公司目前在提交给美国证交会的一份文件中表示受到了勒索软件攻击，黑客窃取了敏感的公司和个人数据。 这家拥有 The North Face、Vans、Timberland、Smartwool 和 Dickies 等品牌的大公司表示，其全球各地的零售店仍在营业，但警告称，它正在经历“某些运营中断”。黑客扰乱了公司的业务运营，包括其履行电子商务订单的能力，并劫持了公司的数据，包括个人数据。 该公司没有提供有关被盗数据的更多细节，也没有提供第三方客户数据是否被泄露。 VF 公司表示：“我们正在努力使 IT 系统受影响的部分重新上线，并为某些离线业务实施变通措施，目的是减少对其为零售和品牌电子商务消费者以及批发客户提供服务能力的干扰。” 消费者仍然可以在全球大多数品牌电商网站上下订单，但该公司履行订单的能力目前受到影响。 这家的公司指出，事件的全部范围、性质和影响尚不清楚，并警告说，“在恢复工作完成之前，很可能会继续对业务运营产生重大影响。” VF 公司是世界上最大的服装、鞋类和配饰公司之一，产品销往100多个国家。该公司的收入超过 116 亿美元，在全球拥有约 3.5 万名员工，拥有 1,265 家零售店。截至发稿时，该公司股价已下跌近 9%。 该事件发生的同一天，美国证交会新的网络事件披露要求开始生效，要求企业在发现事件产生重大影响后的 4 个工作日内披露任何“重大违规行为”。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

非洲南部国家莱索托遭受网络攻击，导致内部部分系统被迫关闭，国家支付服务持续中断服务，当地银行无法相互交易。 有消息称，上周非洲南部国家莱索托的中央银行遭受网络攻击，导致严重故障。 莱索托央行发表多份声明，确认最近的事件影响了多个系统。莱索托位处内陆山区，被南非环抱，这个国家人口为200余万。 该行在上周二（12月12日）表示，“莱索托中央银行通知公众，12月11日，央行系统发生一起网络安全事件。央行已对此展开调查，并正在全天候工作以恢复系统功能。” “央行向公众保证，尚未遭受任何财务或其他损失。但是，为防止攻击者进一步渗透，央行已暂停部分系统。因此，在系统恢复正常的过程中，某些支付可能遇到延迟。” 上周三，央行与莱索托银行协会联合发布了另一份声明，称国家支付系统持续停机，“导致所有本地银行无法完成本国银行间交易”。 莱索托银行协会和央行表示，技术团队正在努力解决问题，但官员们“已同意采取业务连续性流程和措施作为替代方式，临时支持所有银行之间支付和交易”。但是，声明没有具体说明这些替代方案的内容。 当地新闻媒体报道称，由于莱索托货币洛蒂与南非兰特挂钩，人们担心此次事件可能会影响汇率。 南非网络威胁态势不容乐观 今年以来，南非曾发生过两起引人关注的重大网络安全事件。6月，国有企业南部非洲开发银行证实遭遇勒索软件攻击。 9月，南非国防部在遭到另一家勒索软件团伙攻击。由于当时约翰内斯堡正在举行金砖国家峰会，会议本就有很多争议性话题，这次攻击险些酿成国际事件。 勒索团伙泄露了南非总统的个人电话号码和电子邮件，还部分披露了从南非国防系统中窃取的1.6TB数据。南非政府最初否认这次攻击，后来承认确实发生了入侵事件。 移动安全公司 Zimperium 上周发布的一份报告称，过去一年里，有29大类恶意软件被用于攻击61个国家的1800个银行应用程序。与之相比，研究人员观察到，2022年有10大类常见恶意软件被用于攻击600个银行应用程序。 转自安全内参，原文链接：https://www.secrss.com/articles/61879 封面来源于网络，如有侵权请联系删除

感恩节前后，美国弗吉尼亚州中部交通系统受网络攻击导致网络中断，暂时影响了某些应用程序和部分服务。大里士满交通公司作为交通系统的主要服务提供者，为数百万里士满、切斯特菲尔德和亨里科县居民提供公共汽车和专业交通服务。在网络中断后，该公司的IT人员迅速发现并恢复了计算机网络，并已聘请第三方计算机专家对事件的性质和范围进行调查。 该公司的一位发言人表示，目前所有服务都在按计划运行，不会对乘客造成额外的干扰。但该发言人拒绝回答有关这是否是勒索软件攻击或数据是否在事件中被盗的进一步问题。 大里士满交通公司主要服务于里士满市和邻近的切斯特菲尔德县，去年每个工作日为约31200名乘客提供服务，产生了870多万次的乘车记录。 据周四发布的消息，Play勒索软件团伙声称是此次攻击的发起者，并在他们的网站上发布了消息。该组织要求大里士满交通公司在12月13日之前支付一笔赎金，赎金的具体数额未公开。 2023年，勒索软件团伙似乎重点集中于对市政服务进行攻击，奥克兰市、达拉斯县和马萨诸塞州洛厄尔市都受到过毁灭性的网络攻击。 在过去两年中，随着服务和系统的不断自动化，美国多个公共交通系统遭到了网络攻击。 今年10月份，圣路易斯地区为残疾人提供的Metro Call-A-Ride服务遭到了勒索软件攻击。而在3月份，华盛顿州的公共交通系统同样成为了臭名昭著的勒索软件团伙攻击的目标。另外，在1月份，旧金山湾区捷运也经历了一次勒索软件攻击，这是近年来该公司遭受的第二次攻击。 在2022年的阵亡将士纪念日周末，马萨诸塞州科德角的交通局也遭受了勒索软件攻击，恢复工作花费了数周时间。 还有其他类似的受害者，包括2021年的硅谷地区圣克拉拉谷交通管理局和2020年的宾夕法尼亚州东南部费城地区交通管理局。 加拿大多伦多交通委员会也在2021年11月报告了一起攻击事件。在过去五年中，温哥华、蒙特利尔、萨克拉门托、沃思堡、费城和安娜堡的交通系统都遭受了勒索软件攻击。 此外，世界上最大的交通系统之一的纽约市大都会交通管理局也遭到了黑客攻击。虽然这次攻击不涉及勒索软件，也没有造成任何损害，但市政府官员在一份报告中发出了警报，因为攻击者可能已经进入关键系统并可能在网络内部留下了后门。   转自安全内参，原文链接https://www.secrss.com/articles/61644 封面来源于网络，如有侵权请联系删除

Austal USA会同意勒索者的条件吗？ 美国国防部 ( DoD ) 和美国国土安全部 ( DHS ) 的造船商和承包商 Austal USA 已确认其是网络攻击的受害者，目前正在调查该事件。 Austal 总部位于澳大利亚，专注于高性能铝制船舶。其美国分公司 Austal USA 参与了多个大型项目。其中包括向美国海军交付独立级濒海战斗舰，该舰长127米，每艘造价3.6亿美元。此外，奥斯塔现有一份价值33亿美元的合同，为美国海岸警卫队建造11艘巡逻艇。 12月6日，敲诈勒索黑客组织Hunters International表示，它已渗透到Austal USA的系统，并在其网站上发布了一些信息作为入侵的证据。 在回应置评请求时，公司发言人证实了此次攻击： “我们最近发现我们系统的安全性受到了损害。我们能够迅速消除该事件的后果。 包括联邦调查局 (FBI) 和海军犯罪调查局 (NCIS) 在内的监管机构立即收到有关此问题的通知，并正在帮助我们确定攻击者访问的原因和信息量。 没有个人信息或任何绝密数据被盗。我们正在与当局密切合作，并将在获得新信息后继续向受该事件影响的所有相关方通报最新情况。 奥斯塔美国公司认识到事件的严重性以及我们作为国防部和国土安全部承包商所承担的特殊责任。我们的调查正在进行中，我们将努力彻底调查这一事件，以防止将来再次发生这种情况。” 猎人国际威胁将在未来几天公布更多从奥斯塔系统窃取的数据，包括合规声明、招聘信息、财务数据和证书。 奥斯塔美国公司没有透露黑客是否获得了工程图和有关美国海军独特技术的其他信息。 猎人国际是一个全新的敲诈勒索组织。一些专家认为，这是对最近停止运营的 Hive 团伙的“品牌重塑”。该理论基于对与 Hive 代码可疑相似的恶意软件代码的分析。 该组织否认所有指控，声称他们只是获得了勒索软件源代码。据攻击者称，加密并不是他们攻击的最终目标——主要目的是窃取数据并将其用作向受害者勒索赎金的手段。 该组织的泄密网站目前包含来自世界不同行业和地区的十几名受害者。   转自安全客，原文链接：https://www.anquanke.com/post/id/291741 封面来源于网络，如有侵权请联系删除

日本汽车制造商日产正在调查针对其位于澳大利亚和新西兰的系统的网络攻击。由于此事件，客户的个人数据可能已被访问。 该公司已向日产大洋洲部门的客户发出潜在数据泄露的警告，并指出未来几天存在欺诈活动的风险。日产大洋洲是这家标志性日本汽车制造商的区域部门，负责澳大利亚和新西兰的分销、营销、销售和服务。 Nissan.com.au 和 Nissan.co.nz 网站的主页上 发布了一份公司声明 ，称日产公司和金融服务公司的澳大利亚和新西兰分公司的系统遭受了网络事件。 根据通知，该公司已聘请其全球事件响应团队来评估网络攻击的影响。日产正在与该团队和其他利益相关者合作，调查事件的范围，并确定客户的个人信息是否被访问。 由于客户数据被泄露的风险很大，日产警告称，针对账户持有人的潜在欺诈性攻击以及账户被盗的可能性。 虽然网站功能似乎没有受到影响，但日产确认正在努力恢复受影响的系统。该公司要求客户在此过程中保持耐心。 日产还澄清其经销商网络并未受到此次事件的影响，所有车辆和服务请求都将立即得到处理。 澳大利亚和新西兰的政府机构的使命是提高网络弹性，它们已获悉该事件，但截至发稿时尚未发表正式声明。   转自安全客，原文链接：https://www.anquanke.com/post/id/291709 封面来源于网络，如有侵权请联系删除