近期，黑客组织“匿名苏丹”周末承诺与哈马斯团结一致，现在声称对以色列工业控制系统（ICS）发动了多次攻击，试图破坏关键基础设施。 据周二（10日）上午Telegram频道上的一篇帖子称，以色列全球导航卫星系统(GNSS)、楼宇自动化和控制网络(BACNet)以及Modbus工业控制系统是该黑客组织的最新目标。“以色列工业控制系统遭到了@xAnonymousSudan 的攻击！” 帖子读到。 匿名苏丹接着解释了拆除每个系统将如何影响以色列的基础设施。通过针对国家的GNSS，“全国各地的各种GPS系统将离线；这可能会影响工业系统、关键基础设施和其他机器，”黑客写道。报告称，随着BACNet系统的修改或关闭，能源激增、建筑物疏散和计算机关闭也是可能的。 最后，该团伙谈到了针对Modbus工业控制系统的攻击，这是一种SCADA通信协议，被关键基础设施系统（例如提供国家电力、水、石油和天然气的系统）所依赖。Cybernews本周早些时候的独家研究显示，数百个属于以色列和巴勒斯坦系统的工业控制系统目前暴露在网络上，使它们容易受到黑客的攻击。 伴随最新的声明，“匿名苏丹”发布了一个页面，其中充满了显然是目标的 IP 地址，《网络新闻》可以确认这些地址主要是托管在犹太国家境内网络上的以色列地址。 其帖子中还包含了另一张描述被攻击的 BACNet 服务器列表的图片，尽管 Cybernews 无法确认这些 IP 地址是否与以色列组织相关。 此外，匿名苏丹帖子中还标记了同为黑客活动团伙的SiegedSec ，尽管 SiegedSec 也在其自己的 Telegram 频道上（同样是周二）发布了关于攻击位于美国而非以色列的工业控制系统的信息。 匿名苏丹组织也以追求较软的目标而闻名，该组织周日声称对摧毁以色列主要新闻媒体《耶路撒冷邮报》负责。 周六，“匿名苏丹”组织声称袭击了以色列的移动全天候防空系统“铁穹”，并表示攻击了以色列的“警报”应用程序。   转自安全客，原文链接：https://www.anquanke.com/post/id/290709 封面来源于网络，如有侵权请联系删除

Facebook的官方页面遭到黑客攻击，页面上出现一些奇怪的内容，包括要求释放巴基斯坦前总理伊姆兰·汗的帖子。 Facebook的官方页面显然在2023年10月6日遭到黑客攻击。 社交媒体用户看到脸书发布奇怪的消息感到震惊。 其中一条奇怪的信息是黑客要求释放巴基斯坦前总理伊姆兰·汗。 伊姆兰·汗于2023年8月初被捕。 无论是恶作剧还是页面被黑客入侵，都引发了人们对Facebook账户和页面安全的严重担忧。 黑客攻击社交媒体上的用户账户和页面并不是什么新鲜事。甚至包括政客和名人在内的知名人士也经历过页面泄露，骗子以他们的名义发布信息。 然而，2023年10月6日发生的这件罕见的事件，用户惊讶地看到Facebook官方页面上出现了奇怪的帖子。这些帖子真正奇怪的地方是，他们专注于批评印度板球控制委员会（BCCI）没有向巴基斯坦板球迷发放国际板球联合会世界杯比赛签证。 这场所谓恶作剧的亮点是一条要求释放巴基斯坦前总理伊姆兰·汗的帖子，以及另一条“释放祖克”的帖子。 晚上10点40分，Facebook官方页面上出现了这样的帖子：“不知道为什么我突然可以在Facebook发帖了。或者我完全错了，我没有以Facebook UK身份发帖？”随后又发布了另一篇文章，其中写道：“让我借此机会告诉大家，他们没有向想要亲自观看板球世界杯的人发放签证，从而彻底搞砸了这项赛事。” 以下是一位X用户分享的关于Facebook页面黑客攻击的多张截图： 据最先报道这一事件的《每日邮报》报道，在Facebook意识到这一问题并做出回应之前，已经出现了几篇帖子。该社交网络立即删除了所有帖子，并发布官方声明，通知用户该页面已被盗用。同时，该平台已对事件展开调查，并采取措施增强页面的安全性。 到晚上11点30分，Facebook的官方页面被禁用。然而，在那之前，成千上万的用户已经看到了这些帖子。  2014年2月，一名埃及黑客利用私人漏洞从马克·扎克伯格的账户中删除了他的Facebook时间线封面照片。这些事件也提醒了广大用户，没有任何平台或组织可以免受网络攻击。因此，用户必须更喜欢强密码，最好是2FA，并避免对不同的帐户使用相同的密码。   转自E安全，原文链接：https://mp.weixin.qq.com/s/yEsIAnPRtHE907WB3DKf0g 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，一个名为 SiegedSec 的网络攻击组织近期成功入侵了北约网络系统，并在网上散布盗取的大量非机密文件。 目前，北约正在就此事展开积极调查，其所属官员发表声明表示，北约内部已经组织了大量的网络专家协调处理此事，该官员同时指出虽然北约的任务、行动和军事部署没有受到此次网络安全事件的影响，但也已经采取额外的网络安全措施，以确保自身安全。 值得一提的是，从目前披露的信息来看，SiegedSec 威胁攻击组织似乎具有国家背景，去年就已经对美国组织，尤其是美国市政当局实施了多次大规模网络攻击行动。 本次攻击事件发生在 2023 年 9 月 30 日，该组织在其 Telegram 频道上宣布窃取了约 3000 份北大西洋公约组织文件（数据量超过 9 GB）。该组织还发布了一系列截图来显示黑客系统的访问权限，以此证明其成功实施网络攻击。 SiegedSec Telegram 频道 SiegedSec 黑客组织在Telegram 上嚣张的写着“ siegedsec 黑客再次成功袭击了北约，给你们“带来”了 3000 多个文件，总计超过 9GB 的未压缩数据！”。该组织还声称北约运行的几个门户网站都遭到黑客攻击，其中包括联合高级分布式学习、经验教训门户网站、后勤网络门户网站、利益共同体合作门户网站、投资司门户网站和标准化办公室等。 值得一提的是，早在今年 7 月，SiegedSec 就开始在其 Telegram 频道上宣称北约 “利益共同体合作门户网站 “有一批文件被盗。 SiegedSec Telegram 频道   转自Freebuf，原文链接：https://www.freebuf.com/news/379755.html 封面来源于网络，如有侵权请联系删除

Pcmag 网站披露，一名黑客利用人工智能深度伪造了一名员工声音，成功入侵 IT 公司 Retool，致使 27  名云客户被卷入网络安全事件当中。 黑客一开始向 Retool 多名员工发送钓鱼短信，声称自己是 Retool IT 团队工作人员并表示能够解决员工无法获得医疗保险的薪资问题。收到钓鱼短信后，大多数 Retool 员工没有进行回应，但有一名员工是个例外，从而引发了此次网络攻击事件。 根据 Retool 分享的消息来看，这名毫无戒心的员工点击了短信中一个 URL，该 URL 将其转到一个虚假的互联网门户网站，在登录包括多因素身份验证表格的门户后，网络攻击者使用人工智能驱动的深度伪造技术扮成了一名 Retool 员工真实声音给员工打了电话，这个”声音“的主人很熟悉办公室的平面图、同事和公司的内部流程。 值得一提的是，整个对话过程中，虽然受害员工多次对电话表示了怀疑，但不幸的是，最后还是向攻击者提供了一个额外的多因素身份验证（MFA）代码。 可以看出，网络攻击者在打电话给受害员工之前，可能已经在一定程度上渗透到了 Retool 中。一旦放弃多因素代码，网络攻击者就会将自己的设备添加到该员工的账户中，并转向访问其 GSuite 账户。 Retool 表示，由于谷歌 Authenticator 应用程序最近引入了云同步功能，该功能虽然便于用户在手机丢失或被盗时可以访问多因素验证码，但 Retool 指出如果用户谷歌账户被泄露，那么其 MFA 代码也会被泄露”。 Retool进一步指出，进入谷歌账户就能立即访问该账户中的所有 MFA 令牌，这是网络攻击者能够进入内部系统的主要原因。社会工程学是一种非常真实可信的网络攻击媒介，任何组织和个人都会成为其攻击目标，如果实体组织规模足够大，就会有员工在不知情的情况下点击链接并被钓鱼。 最后，虽然目前 Retool 已经禁止了网络攻击者的访问权限，但为了警告其它公司免受类似攻击，还是决定公布这起安全事件。   转自Freebuf，原文链接：https://www.freebuf.com/news/378413.html 封面来源于网络，如有侵权请联系删除

最新研究显示，作为间谍活动的一部分，与伊朗政府有联系的黑客瞄准了卫星、国防和制药行业的数千个组织。此次攻击背后的黑客组织被微软追踪为Peach Sandstorm，这一组织成功入侵了一些目标组织并窃取了他们的数据。微软没有透露哪些国家是目标。 最近与伊朗有关的袭击主要集中在以色列、美国、巴西和阿拉伯联合酋长国。微软表示，在2月至7月进行的新活动中，Peach Sandstorm使用公开可用和自定义工具的组合来破坏其目标并收集“支持伊朗国家利益”的情报。 为了闯入受害者的帐户，Peach Sandstorm使用了一种称为“口令喷射”的技术，他们尝试使用单个口令或常用口令列表来获得对目标设备的未经授权的访问。虽然听起来很简单，但这种技术可以让攻击者增加成功的机会，并降低触发自动帐户锁定的风险。Peach Sandstorm（之前被追踪为Holmium）在之前的攻击中也使用了口令喷射，其中包括针对航空航天、国防、化学品和采矿等行业。 当该组织设法攻击目标时，其攻击就会变得更加复杂。例如，微软注意到黑客们使用该公司的AzureHound和Roadtools工具从受害者的系统中收集信息，访问目标云环境中的数据，并将感兴趣的特定数据传输到单个数据库。 黑客组织在一个受损的设备上安装了Azure Arc客户端，并将其链接到他们自己的Azure订阅，使他们能够控制黑客云基础设施中的目标设备。他们还试图利用众所周知的漏洞，例如用于IT服务管理的Zoho ManageEngine中的漏洞，以及团队协作工具Confluence。另外，还使用了商业远程监控和管理工具AnyDesk来保持对目标的访问。 研究人员还发现了一种新的后门工具，疑似伊朗黑客使用该工具攻击巴西、以色列和阿联酋的目标。据网络安全公司ESET称，这个名为“弹道山猫”或“魅力小猫”的黑客组织在2021年3月至2022年6月期间部署了该工具，目标是至少34名受害者，其中大部分在以色列。 微软最近的一份报告称，伊朗国家支持的黑客越来越多地利用影响力行动来扩大传统网络攻击的影响，并在以色列和美国推动德黑兰的政治议程。 随着Peach Sandstorm越来越多地开发和使用新功能，相关组织必须开发相应的防御措施，以加强其攻击面并提高这些攻击的成本。   转自E安全，原文链接：https://mp.weixin.qq.com/s/bkcjRAUV1VtfFqXlh2tg_A 封面来源于网络，如有侵权请联系删除

9月7日，美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击，黑客入侵了其数据库，据悉该数据库存储了众多客户的驾照号码和社会安全号码。为避免这些客户数据在网上泄露，该公司近日表示已经支付了赎金。 周四（9月14日），凯撒公司向美国证券交易委员会提交了一份8-K表，其中写道：我们仍在调查未经授权的行为者获取的文件中，究竟包含了多少敏感信息。 凯撒方面表示，迄今为止并没有证据表明任何会员密码/PIN、银行账户信息或支付卡信息（PCI）被未经授权的行为者获取。 但据《华尔街日报》的报道称，该公司为了防止被盗数据在网上泄露，已经支付了大约 1500 万美元的赎金，这是最初黑客索要的3000万美元赎金的一半。 不过，凯撒方面还明确表示，目前仍然存在黑客出售或泄露客户被盗信息的可能性，凯撒方面无法提供任何保证。但他们已对此采取措施确保未经授权的行为者删除被盗数据。凯撒方面正在对网络进行监控，没有发现任何证据表明这些数据被进一步共享、公布或以其他方式滥用。 虽然凯撒没有将这次攻击与特定的网络犯罪团伙或威胁行为者联系起来，但彭博社周三（9月14日）发表的一篇报道称，这次攻击是由一个名为 “Scattered Spider “的黑客组织实施的。该威胁组织被追踪为 UNC3944 和 0ktapus，最早自2022年5月起就开始有所行动。它结合使用社交工程、多因素身份验证（MFA）疲劳和短信凭证钓鱼攻击来窃取用户凭证并入侵目标网络。 数据泄露仅影响忠诚计划会员 据 Caesars 称，未加入 Caesars 忠诚度计划的客户不会受到数据泄露的影响。公司将在未来几周内通知所有受影响的个人。 该公司在一份单独的数据泄露通知中提供了更多细节，并表示已向执法部门报告了这一事件。 这次攻击没有影响其面向客户的运营，包括在线/移动博彩应用程序和实体物业，因为它们的运营没有中断。 凯撒是近期受到网络攻击影响的第二家连锁赌场，周一（9月11日），美高梅国际酒店集团称该公司的网站、预订系统和赌场服务（即 ATM、老虎机和信用卡刷卡机）遭遇网络攻击，IT 系统被迫下线。 2020 年，美高梅国际酒店集团还披露了 2019 年的一次网络攻击事件，该事件导致其云服务遭到破坏，黑客窃取了超过 1000 万条客户记录。   转自Freebuf，原文链接：https://www.freebuf.com/news/378174.html 封面来源于网络，如有侵权请联系删除

Akamai近日透露，已经挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。 根据Akamai的公告，该攻击发生在9月5日，洪水般的流量攻击了“美国最大、最有影响力的金融机构之一，虽然攻击只持续了不到两分钟，但由于犯罪分子使用ACK、PUSH、RESET和SYN洪水攻击向量，攻击流量达到了每秒633.7GB。” 攻击者的主要目标是该银行的网页登陆页面，试图扰乱其网上银行业务，但“没有造成附带损害或服务质量下降”。 Akamai声称，这次攻击是迄今为止针对美国金融公司的最大规模攻击。（2023年2月，Cloudflare声称阻止了有记录以来最大规模的单一DDoS事件，峰值每秒超过7100万个请求。） Akamai的研究人员指出，近年来试图破坏银行网站和业务的DDoS攻击流量正在增加。 从历史上看，科技公司、游戏公司、媒体/娱乐和互联网/电信提供商是DDoS攻击的主要目标，只有10%到15%的DDoS攻击针对银行客户。然而，自2021年以来，针对金融机构的DDoS攻击数量明显激增。“事实上，在过去的四个季度中，超过30%的DDoS攻击都是针对金融服务公司的。”Akamai研究人员透露。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/wBRA9V1_QLk9w1iKKy7fNQ 封面来源于网络，如有侵权请联系删除

由于持续受到DDoS攻击，德国联邦金融监管局网站已中断访问超4天。 德国联邦金融监管局（BaFin）宣布，自上周五以来，其网站持续受到分布式拒绝服务（DDoS）攻击影响。 BaFin是德国金融监管机构，隶属于财政部，负责监管2700家银行、800家金融机构和700家保险服务提供商。 这家监管机构因在德国境内外扮演的执法角色而闻名。近年来，BaFin因各种违法行为对德意志银行和美国银行分别处以1000万美元和500万美元罚款。 根据4日发布的通告，BaFin已采取了一切适当的安全预防举措和防御措施，保证运营活动免受黑客攻击。 其中一项应对措施是让BaFin的公共网站“bafin.de”下线。与此同时，BaFin保证其完成重要任务所必需的所有其他系统可以正常运行，不会受到任何限制。 一些用户依然可以间歇性访问BaFin网站，但是该网站大多数时间并不可用。 BaFin公共网站不仅托管了消费者和法规信息、措施、警告，还提供了文件发布空间，专门发布与该机构调查活动和研究成果相关的重要文件。 此外，该网站还托管了注册公司和公开招标的数据库、职位空缺信息，以及违规行为匿名举报平台。自上周五以来，所有这些内容都无法访问。 BaFin表示，其信息技术团队正在积极努力，力争完全恢复公众对网站的访问权限，但无法估计具体页面何时能够恢复。 目前尚不清楚是谁对这家德国金融管理机构发动了DDoS攻击。攻击者有可能是亲俄黑客，动机是德国对乌克兰提供了财政和军事装备援助等支持。     转自安全内参，原文链接:https://www.secrss.com/articles/58551 封面来源于网络，如有侵权请联系删除

因发生勒索软件事件，美国宾州钱伯斯堡学区宣布连续三天取消所有课程，直到周五才正常开放。 新学年刚开始不到一周，美国宾夕法尼亚州钱伯斯堡学区宣布发生“临时网络故障”，连续三天（8月28-30日）取消所有课程。 该学区发表在线声明，表示“正在与第三方司法鉴定专家密切合作，调查故障来源，确认故障对系统的影响，并尽快恢复系统的全部功能。” 网络安全专家Angel Kern表示，服务中断最可能的原因是勒索软件攻击。Kern在宾夕法尼亚州立大学和南卡罗来纳州低地技术学院教导网络安全。他虽然没有和钱伯斯堡学区的司法鉴定专家合作，却也很关注这一事件。 Kern说：“勒索软件特别恶劣。如果你无法访问系统，就无法教学。（勒索软件导致）你不能访问系统进行教学。所以，（学校关闭）并不令人意外。” 上周四，钱伯斯堡学区确认，技术故障与“勒索软件事件”有关。 学区还宣布，所有学校将于上周五（9月1日）按常规时间开放。学区将上周四的课程表整体向后推迟两小时，要求学生在上周剩余时间里，将平板电脑设备留在家中，禁止访客和志愿者进入学校建筑。学区表示，预期技术限制还将持续，学生将无法访问互联网。 学区工作人员在学区网站上发布消息，表示：“我们将继续调查，与我们的专业领域专家以及执法部门一起确定这一事件的全部性质和范围。” 勒索软件威胁态势严峻 根据威胁情报公司Recorded Future的数据，迄今为止，今年美国已有至少120个学区遭受了勒索软件攻击。许多学校在系统中存储敏感数据，包括学生社保号码和医疗记录。 Angel Kern表示：“防范勒索软件真的很困难。只要某一个员工点击电子邮件中的链接——特别是管理级别的员工——你就失去了对所有系统的控制。你要么得支付比特币，要么得从备份中恢复数据。只要黑客掌控了服务器，他们就一定能访问存储的数据。” 上周二晚上，忧心忡忡的家长在钱伯斯堡学区董事会会议上要求学区给出解释。在会议的公共评论环节，一名家长说：“我只是想知道，为什么学区不说出实际发生了什么。我有朋友在学区工作，他们说系统被黑了。” 根据钱伯斯堡学区有关计算机存储个人信息遭泄漏的官方政策，除非有“合理的原因”，学区不得“延迟”通知受影响的学生和家长。 虽然勒索软件攻击可能导致敏感信息泄露，但是家长不用过度恐慌。Angel Kern说：“现在遍地都是黑客和勒索软件攻击，你的数据可能早已经外泄了。” 考虑到这一点，Angel Kern建议所有人，无论是否受到影响，都定期检查银行和信用卡账户，并和美国三家主要信用报告机构联系，冻结自己的信贷数据。     转自安全内参，原文链接:https://www.secrss.com/articles/58481 封面来源于网络，如有侵权请联系删除

本周一，Security Joes安全研究人员报告称发现黑客正在利用两个已公开的MinIO对象存储系统漏洞入侵云平台和企业网络执行任意代码，窃取私密信息甚至接管服务器，且不会被传统的基于签名的安全检测机制发现！ MinIO是一种开源高性能（非本机）对象存储系统服务，提供与Amazon S3的兼容性，并能够存储大小高达50TB的非结构化数据、日志、备份和容器映像。 由于MinIO的高性能和多功能（特别是对于大规模AI/ML和数据湖应用程序），使其对初创公司和大型企业都颇具吸引力，是当下流行的、经济高效的非本机对象存储系统平台。 Security Joes事件响应人员发现，黑客攻击中利用的两个漏洞（统称Evil MinIO漏洞）分别是CVE-2023-28432（CVSS评分7.5）和CVE-2023-28434（CVSS评分8.8），这两个高严重性漏洞影响2023-03-20发布的T20-16-18Z之前的所有MinIO版本。 虽然这两个漏洞已由供应商于2023年3月3日披露并修复，但其漏洞利用代码已被发布到Github。 Security Joes警告称，（通过Shodan搜索）公共互联网上暴露了52125个MinIO实例，其中约62%都运行着存在攻击漏洞的软件版本。中国是Evil MinIO漏洞的重灾区，有多达29243个实例暴露（包括8343个阿里云实例和4198个腾讯云实例）： 安全专家呼吁全球云系统管理员迅速采取行动，尽快部署可用的安全更新，以保护其资产免受MinIO漏洞攻击者的侵害。 “Evil MinIO”攻击 在一次事件响应过程中，Security Joes分析师发现攻击者试图安装代码中添加了远程访问后门的MinIO恶意版本（名为Evil MinIO），该版本可在GitHub上找到。 攻击者将CVE-2023-28432信息泄露和CVE-2023-28434漏洞关联起来，用MinIO恶意版本替换原来MinIO软件。 此次攻击事件中，攻击者首先使用社会工程手段欺骗DevOPS工程师将MinIO降级到受漏洞影响的早期版本。然后，黑客利用CVE-2023-28432远程访问服务器的环境变量，包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD变量。（这个漏洞利用了MinIO依赖环境变量来配置管理员凭据。换句话说，攻击者通过一个请求就可以检索易受攻击实例的管理员账号） 这些管理账号允许黑客使用MinIO客户端访问MinIO管理控制台。使用此客户端，攻击者将软件更新URL修改为他们控制的URL，以推送恶意更新（MinIO的恶意版本）。 接下来，攻击者还会通过漏洞利用链使用CVE-2023-28434漏洞将合法的.go源代码文件替换为被篡改的文件。 恶意（更新）的MinIO与合法版本的功能相同，但添加了后门代码，允许通过以下URL（图1）远程执行命令（图2）到受感染的服务器： 图1 图2：远程执行命令的函数 在Security Joes监测到的事件中，分析人员看到攻击者使用此后门运行Bash命令并下载Python脚本（下图）。 图3：在被入侵端点中检测到的活动 被入侵端点扮演内置后门的角色，使未经授权的个人能够在运行应用程序的主机上执行命令。” “值得注意的是，攻击者所执行的命令继承了启动应用程序的用户的系统权限。在本次网络攻击事件中，DevOps工程师由于安全实践不足，使用root权限启动了应用程序。”研究人员补充道。 Security Joes报告称，尽管该工具一个月前就已发布，但Virus Total扫描平台上的引擎并未检测到Evil MinIO中的后门。 图4：MinIO恶意版本（EvilMinIO）中的后门功能 后继攻击阶段活动 成功入侵对象存储系统后，攻击者会与命令和控制(C2)服务器建立通信通道，从该服务器获取后继攻击阶段所需的额外有效负载。 这些有效负载在Linux系统中通过“curl”或“wget”下载，在Windows系统中通过“winhttpjs.bat”或“bitsadmin”下载，包含以下内容： 系统分析脚本：收集系统信息，例如用户详细信息、内存、cronjobs和磁盘使用情况。 网络侦察脚本：识别可访问的网络接口、主机和端口。 Windows帐户创建脚本：在受感染的系统上创建名为“support”或“servicemanager”的用户帐户。 PING扫描脚本：使用asyncio Python模块识别受感染网络中的可访问资产。 类似China Chopper的webshell：一种单行webshell，与China Chopper具有相似之处。 Security Joes还在报告中公布了MinIO漏洞的入侵指标和Yara规则（链接在文末）。 总结：非本机对象存储是一把双刃剑 虽然非本机对象存储解决方案提供了灵活性、可扩展性和不受供应商锁定等引人注目的优势，但它们也带来了一系列安全挑战。当此类解决方案从不太可靠的来源获取或集成到复杂的多云环境中时，这些风险就会放大。因此，努力践行安全最佳实践对于积极采用此类技术的企业来说尤为重要。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/lV0ZjSCRiNA5qaDZ6JcSPQ 封面来源于网络，如有侵权请联系删除