FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。 远程攻击者可利用Adobe ColdFusion 2021中的验证前RCE漏洞，获取受影响系統的控制权力。 Adobe 已发布安全补丁来解决这些漏洞，但攻击者仍在利用这些漏洞。 攻击活动涉及多个阶段，包括探测、反向外壳和部署恶意软件。 目前已发现四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 建议用户及时升级系统并部署保护机制，以挫败正在进行的攻击。 由于 Adobe ColdFusion 存在漏洞，Windows 和 macOS 平台的众多用户目前都面临风险。该软件套件是网络应用程序开发的热门选择，最近由于远程攻击者发现并利用了认证前远程代码执行（RCE）漏洞而受到攻击。这些漏洞使攻击者有能力夺取受影响系统的控制权，从而将危险系数提升到了严重级别。 这些攻击的核心目标是 Adobe ColdFusion 2021 中的 WDDX 反序列化过程。虽然Adobe迅速回应了安全更新（APSB23-40、APSB23-41和APSB23-47），但FortiGuard实验室仍观察到持续的攻击尝试。 从对攻击模式的分析，研究人员发现了威胁行为者执行的一个过程。他们使用 “interactsh “等工具发起探测活动，以测试漏洞利用的有效性。观察到这些活动涉及多个域，包括 mooo-ngcom、redteamtf 和 h4ck4funxyz。探测阶段让攻击者深入了解了潜在漏洞，并为更多的恶意行动的做好铺垫。 攻击活动的复杂性还体现在反向外壳的使用上。通过对有效载荷进行 Base64 编码，攻击者试图在未经授权的情况下访问受害者系统，从而实现远程控制。 值得注意的是，分析揭示了一种多管齐下的方法，包括部署各种恶意软件变种。攻击是从不同的 IP 地址发起的，这引起了人们对该活动影响范围之广的担忧。恶意软件有效载荷以 Base64 编码，在解码前隐藏了其真实性质。研究人员发现了四种不同的恶意软件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后门。 XMRig Miner 主要与 Monero 加密货币挖矿有关，被用来劫持系统处理能力。通过利用 6.20.0 版本，攻击者设法利用被入侵的系统获取经济利益。 Lucifer是一个混合型机器人，结合了加密劫持和分布式拒绝服务（DDoS）功能，是一个强大的实体。该恶意软件变种不仅展示了其挖矿能力，还展示了其在指挥和控制操作、通过漏洞传播以及复杂的 DDoS 攻击方面的能力。 与 “Lucifer “相连的 RudeMiner 携带着以前的 DDoS 攻击遗产。它在当前威胁环境中的参与表明了它的持久性和适应性，使其成为一个重大隐患。 BillGates/Setag 后门之前与 Confluence 服务器漏洞有关，在此背景下再次出现。表明它具有多方面的能力，包括系统劫持、C2 通信和多种攻击方法，其中包括基于 SYN、UDP、ICMP 和 HTTP 的攻击。 尽管有安全补丁可用，但攻击的持续不断，也突显了采取行动的紧迫性。我们强烈建议用户及时升级系统并部署保护机制，包括防病毒服务、IPS 签名、网络过滤和 IP 信誉跟踪，以遏制持续不断的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376962.html 封面来源于网络，如有侵权请联系删除

身份服务提供商Okta上周五（9月1日）警告称，有威胁行为者针对该公司进行了一次社会工程攻击获得了管理员权限。 该公司表示：最近几周，多家美国Okta客户报告了多个针对IT服务人员的社会工程攻击。这些威胁行为者会打电话给服务台人员，然后要求重置高权限用户注册的所有多因素身份验证（MFA）因子，从而开始滥用Okta超级管理员帐户的最高权限来冒充受感染组织内的用户。该公司表示，这些活动发生在2023年7月29日至8月19日之间。 虽然Okta没有透露威胁参与者的身份，但其使用的攻击战术符合名为“Muddled Libra”的活动集群的所有特征，据说它与“Scattered Spider”和“Scatter Swine”也有一定的关联。 这些攻击的核心是一个名为 0ktapus 的商业网络钓鱼工具包，它提供预制模板来创建更为逼真的虚假身份验证门户，并最终获取凭证和多因素身份验证（MFA）代码。它还通过Telegram整合了一个内置的命令与控制 (C2) 通道。 Palo Alto Networks 的第42部门曾在 2023 年 6 月告诉《The Hacker News》，有多个威胁行为体正在 “将其添加到自己的武器库中”，而且 “仅使用 0ktapus 钓鱼工具包并不一定能将威胁行为体归类为 “Muddled Libra”。 该公司还表示，它无法找到足够的关于目标定位、持续性或目的的数据，以确认该行为体与谷歌旗下的 Mandiant 追踪的一个未分类组织 UNC3944 之间的联系。据悉，该组织也采用类似的手法。 Trellix 研究员 Phelix Oluoch 在上个月发布的一份分析报告中指出：Scattered Spider 主要针对电信和业务流程外包（BPO）组织。然而，最近的活动表明这个组织已经开始瞄准其他行业，包括关键基础设施组织。 在最新的一组攻击中，威胁分子已经掌握了属于特权用户账户的密码，或者 “能够通过活动目录（AD）操纵委托身份验证流”，然后再致电目标公司的 IT 服务台，要求重置与账户相关的所有 MFA 因子。 超级管理员账户的访问权限随后被用来为其他账户分配更高的权限，重置现有管理员账户中的注册验证器，甚至在某些情况下从验证策略中移除第二要素要求。 Okta表示：据观察，威胁行为者已经配置了第二个身份提供程序，以作为’冒充的应用程序’，代表其他用户访问被入侵组织内的应用程序。”这第二个身份提供商也由攻击者控制，将在与目标的入站联盟关系（有时称为’Org2Org’）中充当’源’IdP”。 通过这个’源’IdP，威胁者操纵了第二个’源’身份提供商中目标用户的用户名参数，使其与被攻击的’目标’身份提供商中的真实用户相匹配。这就提供了以目标用户身份单点登录（SSO）目标身份提供商应用程序的能力。 该公司建议客户执行防网络钓鱼身份验证，加强服务台身份验证流程，启用新设备和可疑活动通知，并审查和限制超级管理员角色的使用，从而更好的应对此类攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/376952.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 自2023年6月下旬以来，一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户，远程控制设备并进行金融欺诈。 该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容，还可以通过各种技术远程控制受害者设备，使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。 MMRat的与众不同之处在于，它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议，可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。 根据网络钓鱼页面中使用的语言，该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。 MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点，目前尚不清楚受害者是如何被引导到这些链接的。 这款应用严重依赖Android辅助服务和MediaProjection API，而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。 紧接着，它会进一步设置持久性，以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令，并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。 MMRat具有收集广泛的设备数据和个人信息的能力，包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑，在进入下一阶段之前，攻击者会利用这些细节来进行某种形式的受害者侧写。 攻击结束后，MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后，可以有效地从设备中删除所有感染痕迹。 为了减轻这种强大的恶意软件带来的威胁，建议用户只从官方来源下载应用程序，仔细审查应用程序评论，并在使用前检查应用程序请求访问权限。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

上周晚些时候，动漫游戏《原神》的中国服务器曝出严重漏洞，允许黑客利用外挂从其他玩家的联机世界中删除游戏物品和要素。 同时，《原神》的许多玩家在论坛报告称在游戏内遭遇黑客（外挂）攻击，游戏难以正常进行，因为该外挂可通过四星游戏角色Kaveh删除在组团模式中取得游戏进度至关重要的元素，例如玩家需要与之交互的谜题或NPC（甚至包括Boss）。 还有玩家报告说，他们的探索点被外挂操纵逆转。 本周二，在沉默数日后，《原神》的开发商米哈游公司在推特（X）上发布声明称给大量玩家造成困扰的“Kaveh外挂攻击”已经基本得到控制，”少数帐户中的某些项目可能尚未恢复。这不会影响玩家的正常游戏体验。此问题将在未来的更新中完全解决，我们将通过游戏内邮件通知受影响的旅行者。受影响的帐户将通过游戏内消息单独收到通知。” 米哈游还在玩家社区就游戏内黑客事件做出了回应，声称已经封禁使用Kaveh外挂的账户，并警告将对责任者采取法律行动。 “目前，我们已确认该插件的开发者和用户正在社区或视频网站上发布内容，伪装成受害者，迷惑公众，煽动恐慌。”米哈游在推文中说道。 《原神》是一款广受欢迎的动漫风格开放世界探索游戏，支持包括Android、iOS、PS4和Windows在内的多个平台，拥有超过6000万活跃玩家。2022年10月，据GamesRadar报道，《原神》的开发商米哈游（海外公司名HoYoverse）曾遭遇大规模数据泄露，多名米哈游QA测试人员的数据泄露并被在网络上分享，泄露信息包括《原神》3.3到3.8版本的新角色、任务和事件的细节。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/VvW2yaehmkB1SDBQCIM-CA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，新版 DreamBus 僵尸网络恶意软件利用 RocketMQ 服务器中一个严重远程代码执行漏洞感染设备，漏洞被追踪为 CVE-2023-33246，主要影响 RocketMQ 5.1.0 及以上版本。 据悉，Juniper Threat Labs 安全研究人员发现利用 CVE-2023-33246 漏洞进行 DreamBus 攻击的安全事件，并报告称该攻击在 2023 年 6 月中旬开始激增。 攻击者利用未打补丁的服务器 Juniper Threat Labs 报告称 2023 年 6 月初，第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻击主要针对 RocketMQ 默认 10911 端口以及其他七个端口。 攻击数量时间表（Juniper Threat Labs） 研究人员发现网络攻击者使用 “interactsh “开源侦察工具确定互联网服务器上运行的软件版本，并推断出潜在的可利用漏洞。此外，研究人员还观察到威胁攻击者从 Tor 代理服务下载一个名为 “reketed “的恶意 bash 脚本（该混淆脚本是从 Tor 网站获取的 DreamBus 主模块（ELF 文件）的下载和安装程序，在执行后会被删除，以尽量减少被检测到的机会，可以躲过了 VirusTotal 上反病毒引擎的检测）。 从 Tor 获取有效载荷 DreamBus 主模块采用定制的 UPX 包装，因此能通过所有 VirusTotal AV 扫描而不被发现，该模块有几个 base64 编码的脚本，可执行包括下载恶意软件的附加模块等不同的功能。主模块对这些字符串进行解码以执行任务，例如向 C2 发送在线状态信号、下载 XMRig 开源 Monero 矿机、执行其他 bash 脚本或下载新的恶意软件版本。 XMRig 配置（Juniper Threat Labs） DreamBus 通过设置一个系统服务和一个 cron 作业（两者都设置为每小时执行一次）来确保其在受感染系统上保持持续活跃。 值得一提的是，该恶意软件还包含使用 ansible、knife、salt 和 pssh 等工具的横向传播机制，以及一个能够扫描外部和内部 IP 范围以发现漏洞的扫描仪模块。 DreamBus 的传播模块（Juniper Threat Labs） 研究人员透露，DreamBus 恶意网络活动的主要目标似乎是挖掘门罗币，不过其模块化特性允许网络攻击者随时在未来更新中轻松扩展其它功能。再考虑到 RocketMQ 服务器用于通信，网络攻击者理论上可以决定窃取被入侵设备管理的敏感对话数据，这样的话可能比在被劫持的资源上进行加密货币挖矿具有更大的货币化潜力。 据了解，早期版本的 DreamBus 恶意软件还针对 Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack，因此建议管理员对所有软件产品进行良好的补丁管理，以应对这一网络威胁。     转自Freebuf，原文链接:https://www.freebuf.com/news/376570.html 封面来源于网络，如有侵权请联系删除

全球最大的云计算和托管服务提供商之一Leaseweb通知用户，公司最近遭遇一起安全事件，导致一些“关键”系统被迫关闭，目前正在努力恢复。 这家荷兰云服务提供商在给客户发送电子邮件写道，上周二（8月22日）晚间，公司在调查客户门户网站停机问题时，发现了其基础设施某些部分出现“异常”活动的迹象。 为了减轻安全风险，Leaseweb关闭了一些受影响的系统，并表示其团队正在努力恢复此次事件中受影响的关键系统。公司表示：“8月22日晚间，我们的监控系统在云环境的特定区域内侦测到了异常活动。该问题影响了我们云基础设施的某些部位，导致少数云客户停机。” “为应对此事件，我们迅速采取果断措施，减少潜在风险。具体措施包括临时禁用影响客户门户的某些关键系统。我们团队正在努力恢复这些系统。预计客户门户将在未来几个小时内恢复正常。” 在遭受攻击后，Leaseweb聘请了数字取证和事件响应方面的网络安全公司来调查安全事件并遏制攻击。 这家托管服务提供商补充说：“为确保我们的服务安全可靠，我们已制定了强有力的遏制计划，并与备受尊敬的网络安全和取证公司密切合作。” “虽然调查仍在继续，但我们已成功遏制了这一事件，改进了安全措施，没有发现更多的未经授权活动。” Leaseweb是全球主要的云计算和网络服务提供商之一，公司创建于1997年，目前拥有超过20000名客户。客户群既包括中小型企业，也包括知名大企业。 Leaseweb拥有超过80000台服务器。该公司提供了任务关键型基础设施，并在欧洲、亚洲、澳大利亚和北美运营25个数据中心。 外媒BleepingComputer主动联系Leaseweb，该公司发言人暂时没有发表评论。     转自安全内参，原文链接:https://www.secrss.com/articles/58280 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据IT安全公司ReliaQuest的威胁研究人员研究，QakBot、SocGholish和Raspberry Robin这三种恶意软件加载程序在80%的攻击事件中造成了严重破坏。 恶意软件加载程序被用作交付和执行其他形式的恶意软件的载体，例如勒索软件、病毒、特洛伊木马或蠕虫。它们是攻击者在初始网络攻击阶段投放有效载荷（payloads）的最常见工具之一。 ReliaQuest的研究人员观察了消费者环境中最常见的变种，发现自今年年初以来，仅三个恶意软件加载程序就占了大部分事件的份额。 恶意软件加载器对网络安全团队来说很棘手，因为即使加载的恶意软件相同，对一个加载器的防御可能对另一个加载器不起作用。 “仅检测到恶意软件加载程序，并不意味着目标网络受到了损害。我们观察到的大多数情况下，恶意软件加载程序在杀伤链的早期都会被检测到并停止，但加载器引起的任何系统瘫痪威胁都不容忽视，尤其是三种最受欢迎的加载器。”研究人员写道。然而，我们对主要罪犯QakBot (QBot, QuackBot, Pinkslipbot)、SocGholish和Raspberry Robin真的了解吗? QakBot瞬息万变 QakBot与Black Basta勒索软件组织有关，最初是作为银行木马设计的，升级了新的功能后便成为了一种通用的恶意软件。 QakBot不仅用于对目标网络的初始访问，还提供远程访问有效载荷、窃取敏感数据，并帮助黑客进行横向移动和远程代码执行。 通常，QakBot是通过网络钓鱼电子邮件发送的。这些电子邮件为收件人提供量身定制的诱饵，如工作订单、紧急请求、发票、文件附件、超链接等。有效载荷以PDF、HTML或OneNote文件的形式下载。 研究人员解释说:“QakBot会使用WSF、JavaScript、Batch、HTA或LNK文件，通过此类文件在执行计划任务或注册表运行键从而建立持久性。” QakBot的经营者足智多谋，能够迅速做出反应或改变他们的部署策略。这种恶意软件是一种不断发展和持续的威胁，可以灵活的针对任何行业或地区。 通过SocGholish，一个用户得以影响整个系统 SocGholish，也被称为FakeUpdates，是一种伪装成合法的软件更新的程序。这个JavaScript恶意软件加载程序的目标是基于微软Windows环境的系统，并通过驱动式妥协(下载无需用户交互)交付。 ReliaQuest写道:“访问受感染网站的访问者被诱骗下载‘更新’，他们通常是通过过时浏览器的提示或其他针对Microsoft Teams和Adobe Flash的诱饵看到更新提示的。” SocGholish与总部位于俄罗斯、以经济驱动的网络犯罪集团“Evil Corp”有关。他们典型的主要目标是位于美国的住宿和食品服务商、零售贸易和法律服务行业。 该软件还与初始访问代理公司Exotic Lily有联系。Exotic Lily公司通过高度复杂的网络钓鱼活动获得初始访问权限，并将权限出售给勒索软件组织或其他攻击者。 SocGholish运营商会使用令人信服的社会工程策略，让人们放下戒备心。 “它庞大的恶意软件分发网络会运行在受感染的网站和社会工程上，”研究人员警告说:“仅仅四次用户点击就能在几天内影响整个领域或计算机系统网络。” Raspberry Robin是个多面手 树莓罗宾(Raspberry Robin)是一种非常难以捉摸的蠕虫加载程序，针对微软Windows环境，与各种能力很强的恶意组织(包括Evil Corp和Silence (Whisper Spider))有联系。 它的传播能力异常强大，恶意USB设备完成初始感染后，cmd.exe便会在受感染的USB上运行并执行LNK文件。LNK文件包含触发本地Windows进程的命令，例如msiexec.exe，以启动一个出站连接来下载Raspberry Robin DLL。 除了Cobalt Strike工具外，Raspberry Robin还被用于传递多种勒索软件和其他恶意软件变体，如“Cl0p”“LockBit”“TrueBot”和“Flawed Grace”。 2023年，Raspberry Robin运营商的目标是金融机构、电信、政府和制造组织。 研究人员解释说:“Raspberry Robin是黑客武器库中非常有用的补充，有助于开辟一个初始网络立足点，并提供多种形式的有效载荷。” 如何防御恶意软件加载程序? 有几个步骤可以帮助最小化来自恶意软件加载程序的威胁。以下是ReliaQuest的建议: 配置GPO(组策略对象)以将JS文件的默认执行引擎从Wscript更改为Notepad，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。 阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。 通过防火墙或代理配置，限制公司资产与互联网的任意连接，以最大限度地减少恶意软件和C2活动。 限制远程访问软件的使用（除非个人工作绝对需要）或者加强监控以发现误用。网络犯罪分子—尤其是IAB和勒索软件运营商——喜欢使用这种软件来获取和维持对网络的访问权限。 禁用ISO挂载。ISO是一种越来越可靠的绕过防病毒或端点检测工具的方式。 实现USB访问控制和 GPO，以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。 培训员工识别网络上使用的社会工程策略，并为他们提供适当的渠道来报告可疑的电子邮件或其他活动。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，波兰国内安全局（ABW）和国家警察已就针对波兰铁路网络的黑客攻击展开调查。据波兰新闻社报道，此次攻击对当地交通造成了较大影响。 特勤局副协调员Stanisław Zaryn表示：波兰当局正在调查一起未经授权使用铁路交通控制系统的事件。几个月来，俄罗斯联邦与白俄罗斯联合在一起企图破坏波兰国家的稳定。 事实上，自2014年俄乌之间爆发的数次黑客事件中，俄罗斯黑客就经常会使用一些复杂的黑客技术来破坏乌克兰网络，扰乱该国的卫星通信，甚至引发大面积停电。而在北约试图加强乌克兰防御俄罗斯之际，波兰的铁路系统一直是西方武器和其他援助流入乌克兰的主要来源。因此，这次袭击其实也是俄罗斯想要破坏支援行动的一环。 Zaryn说：俄罗斯联邦与白俄罗斯经常合作发起攻击，所以我们从现在起会重视所有向波兰铁路局发出的恶意信号。 黑客向目标列车发出 “无线电停止 “命令 据悉，威胁分子在周六（8月26日）发送了一个信号，触发了紧急状态，导致什切青市附近的列车停运。据媒体报道，这次袭击造成至少 20 辆列车停运，交通瘫痪长达数小时。据《连线》报道，破坏者通过无线电频率向目标列车发出 “无线电停止 “命令。由于波兰铁路系统使用的无线电系统缺乏加密或认证，因此很容易欺骗无线电停止命令。 网络安全专家 Lukasz Olejnik 表示：不管是谁，只要拥有 30 美元的现成无线电设备，就可以向波兰的列车以 150.100 兆赫兹的频率发送一连串三个声波，并触发列车的紧急停车功能。一旦无线电设备接收到连续发送的三个音调信息，机车就会停止。 Olejnik说：多年来，波兰的无线电和火车论坛以及YouTube上一直有人在介绍如何发送该命令。而无线电设备本身价格很低，频率、音调也都是已知的情况下，所以即使是青少年也能轻易做到。 不过致使火车瘫痪的无线电攻击有一个限制条件，就是破坏者必须距离目标火车相对较近——从数百英尺到数英里不等，具体取决于他们所使用的无线电设备的功率。 波兰国家运输机构已表示将在 2025 年之前全面升级波兰的铁路系统，但在此之前，它将继续使用相对不受保护的 VHF 150 MHz 系统。 波兰铁路局表示，这次攻击事件仅导致列车运行受阻，并未造成人员伤亡或财产损失。 黑客对此次波兰铁路系统的攻击并未使用任何勒索软件，甚至不需要渗透数字网络。但Olejnik警告称，这种攻击虽然很简单但绝不能低估，因为其可能会造成更加深远的影响。     转自Freebuf，原文链接:https://www.freebuf.com/news/376324.html 封面来源于网络，如有侵权请联系删除

KillNet黑客组织自豪地声称对乌克兰三大加油站网络的网站遭受的有针对性的网络攻击负责。据称其对200个加油站进行了网络攻击并导致了瘫痪。这些加油站网络攻击再次加剧了俄罗斯和乌克兰之间持续的数字冲突，令安全专家和当局保持高度警惕。这些加油站网络攻击背后的动机仍然笼罩在神秘之中，因为这一与俄罗斯有关的组织尚未透露其行动的明确意图。这一事件加剧了两国之间网络战格局的一系列在线冲突。 随着黑客的其他帖子浮出水面，尽管目标加油站的完整列表仍未披露，但黑客已经挑选出三名主要受害者来展示他们的能力并发送信息。 奇怪的是，这次袭击恰逢乌克兰独立日，具有象征意义。黑客在他们的暗网频道上发帖纪念这一时刻，该帖子宣称：“作为我们团队为纪念乌克兰独立日的礼物——坚持住！袭击乌克兰的 3 个大型加油站网络。” 加油站网络攻击中列出的三名受害者是SOCAR Energy Ukraine，WOG和Amic Energy。 SOCAR能源乌克兰是石油和天然气产品批发领域的突出力量。它拥有为乌克兰广袤地区各种规模的企业提供各种产品的能力。 WOG拥有由400多个加油站组成的网络，是乌克兰加油站景观的基石。在天然气和石油工业的推动下，这条链条已成为该国基础设施的重要组成部分。 Amic Energy来自奥地利，负责监督包括乌克兰在内的多个国家的470个移动和固定加油站以及20个电动汽车充电站的网络。该公司总部位于维也纳，业务遍及多个国家。 这些加油站网络攻击突显了企业和国家每天应对的网络威胁的危险格局。除了直接影响之外，KillNet黑客组织的行动也散布了数字不和，在网络空间留下了不确定性和脆弱性。     转自E安全，原文链接:https://mp.weixin.qq.com/s/p4I_1VqZL6EEtrz5jM1_BA 封面来源于网络，如有侵权请联系删除

最新研究表明，黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的Duke恶意软件的变种。根据荷兰网络安全公司EclecticIQ的一份报告，最近的一次攻击活动利用两个恶意PDF文件针对北约联盟政府的外交部。 其中一份PDF 提供了Duke的一种变体，该恶意软件与俄罗斯国家资助的APT29网络间谍活动（也称为Nobelium、Cozy Bear和The Dukes）有关。另一个文件可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知黑客。 研究人员表示，这些PDF伪装成德国大使馆的外交邀请，似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于APT29，但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。 恶意PDF中的电子邮件地址引用了真实的Web域bahamas.gov.bs。在7月中旬的一份报告中，网络安全公司Lab52注意到，黑客利用同一域名冒充挪威大使馆，通过邀请诱饵攻击外交实体。EclecticIQ研究人员“高度确信”冒充德国大使馆的PDF文件很可能是由同一威胁行为者制作的。 自俄乌战争爆发以来，莫斯科在欧洲的网络间谍活动不断升级。距离基辅最近的国家，如波兰、立陶宛和拉脱维亚，受到的影响最大。 APT29以利用合法的网络服务（如Microsoft OneDrive和Notion）进行恶意软件命令和控制（C2）而闻名。据EclecticIQ报道，在最近的这场战役中，攻击者使用了Zulip应用程序进行C2。 Zulip是一款开源聊天应用程序，使用亚马逊网络服务接收和发送聊天消息。黑客利用其API功能规避并将其活动隐藏在合法的网络流量后面。 APT29被认为是由俄罗斯对外情报局指挥的，该局从其他国家收集政治和经济信息。该黑客组织的主要目标是美国和欧洲的政府、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。在俄乌战争期间，APT29对乌克兰军方及其政党、外交机构、智库和非营利组织进行了网络攻击。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Nnjkes6JuGbS2aYDs-55kg 封面来源于网络，如有侵权请联系删除