网络安全咨询公司 CynergisTek 的首席执行官 Caleb Barlow 表示：“我们从未见过如此大规模的攻击事件，实际上它已经对人产生了危害，甚至已经导致某些人死亡。这些攻击已经越过了整个安全业内对此类攻击的安全线”。 在过去几年中，针对医院的大规模网络攻击都是偶然的。通常情况下，是某款勒索软件在传播过程中恰好进入医院。2017年春天，英国国家卫生服务（NHS）就发生了这样的事情，当时WannaCry网络攻击袭击了全球的组织。但最近的两次攻击是故意对医院进行的。在COVID-19大流行期间，它们是一个吸引人的目标，因为它们是如此重要。 计算机安全专家、英国萨里大学教授 Alan Woodward 表示，之所以医院成为目标，还因为有些人支付了赎金来让他们的系统解锁。Woodward 表示：“已经有不少高调的案例，因为有医院已经支付赎款了。而如果你问任何执法机构，他们会说，请不要付钱。这只会继续成为黑客攻击的靶子”。 一些网络犯罪组织承诺在COVID-19大流行期间不针对医院，但今年下半年对医疗机构的攻击增加了一倍。Barlow 说，大多数医疗机构对网络攻击毫无准备，而这场大流行可能会让情况变得更糟。       （消息及封面来源：cnBeta）

卡普空在11月4日发布官方公告，称该公司服务器11月2日遭到第三方未授权访问。随后自称为“RAGNAR LOCKER”的黑客组织发布了犯罪声明，表示获取了卡普空超过1TB容量的隐私敏感数据，要求卡普空在日本时间11日上午8点之前与之联系，并达成交易（以比特币形式支付1100万美元）。 而据日媒的最新报道，因为卡普空在11日并未与“RAGNAR LOCKER”进行交易，“RAGNAR LOCKER”已经在“暗网”上公开了卡普空内部信息的一部分（日媒报道为67000MB字节的数据）。目前日本大阪警方已经介入了这起事件，正在进行情报收集工作。 日媒报道称这一次公开的数据主要是公司的销售业绩与薪酬记录，此外还有相关人员的护照及公司内部邮箱等内容。“RAGNAR LOCKER”还发表了“卡普空没有做出正确决定”等声明，他们表示此次公开的数据只是一部分，并威胁“如果想避免数据泄露和巨额诉讼费用等损失，就进行交易”。 卡普空方面在接受采访时解释说:“目前事件还在调查中，还没有确认顾客信息的泄露。关于未授权访问，正在与府警商讨。”       （消息及封面来源：cnBeta）

联邦调查局发出安全警报：黑客正在滥用配置错误的SonarQube应用程序访问并窃取美国政府机构和企业的源代码存储库。 联邦调查局表示，黑客最早从2020年4月开始进行网络攻击活动， 于本周在网站上公开。该警报特别提醒基于Web的应用程序SonarQube的所有者：供应商已将其集成到软件构建链中，测试源代码并发现安全漏洞，然后再将代码和应用程序推广到生产环境中。SonarQube应用程序安装在Web服务器上，并连接到源代码托管系统，例如BitBucket、GitHub或GitLab帐户、Azure DevOps系统。 联邦调查局表示：未使用默认管理员凭据（admin / admin）以其默认配置（在端口9000上）运行系统的单位不受保护。 黑客滥用了错误配置来访问SonarQube，转到连接的源代码存储库，进而访问和窃取专有应用程序的数据。   “ 2020年8月，未知黑客通过公共生命周期存储库工具从两个组织窃取了内部数据。被盗数据来自使用了受影响组织网络上运行的默认端口设置和管理员凭据的SonarQube。” “该网络攻击活动与2020年7月的一次数据泄漏事件相似，一个已知黑客通过安全性较差的SonarQube窃取并发布了被攻击企业的专有源代码。”   2018年5月以来，安全研究人员就警告将SonarQube应用程序在线暴露给默认凭据存在高度安全隐患。 鲍勃·迪亚琴科（Bob Diachenko）表示：当时在线可用的所有3000个SonarQube实例中，大约30％至40％没有启用密码或身份验证机制。 瑞士安全研究人员Till Kottmann也提出了相同问题。Kottmann在公共门户网站上收集了数十家科技公司的源代码，其中许多来自SonarQube应用程序。Kottmann告诉ZDNet： “大多数人似乎都不会更改相关设置，但SonarQube的安装指南有详细解释。” FBI发布了保护SonarQube服务器的相关措施：首先是更改应用程序的默认配置和凭据；然后使用防火墙防止未经授权的用户访问该应用程序。       消息及封面来源：ZDNet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

援引多家印媒报道，印度最大杂货电商 BigBasket 近期遭受黑客网络攻击，导致大约 2000 万用户的个人数据被泄漏。这些泄漏的信息包括用户的电子邮件地址、密码哈希值、联系方式（移动和手机）、地址、生日、住址和登录 IP 地址等等，这些信息在暗网上以 300 万卢比（约 26.8 万人民币）的价格出售。 安全公司 Cybel 在10月30日发现安全泄露事件之后已经告知了 BigBasket。并且该电子商务平台已向位于班加罗尔（Bangaluru）的网络犯罪小组（Cyber Crime Cell）投诉。该公司正在评估“索赔的违反程度和真实性”。 Cyble 表示：“在我们常规的暗网监控过程中，我们的研究团队发现 BigBasket 的数据库以超过 40000 美元的价格在暗网上出售。这些泄漏的信息包括数据库部分；表名称为‘member_member’。该 SQL 文件的大小约为 15GB，其中包含近 2000 万用户数据”。 虽然该公司在 BigBasket 的客户泄露的详细信息中提到了“密码”，但应注意，该公司使用 OTP 或通过 SMS 发送的一次性密码，每次用户登录其帐户时，该密码都会不断更改。 BigBasket 在一份声明中表示：“BigBasket获悉了潜在的数据泄露事件，并正在与网络安全专家协商并评估解决方案，以评估破坏行为的范围和真实性。我们还向班加罗尔的网络犯罪小组备案，并打算大力追究其罪魁祸首”。     （消息来源：cnBeta；封面来自于网络）

在对2020年9月Ryuk黑客网络攻击事件的调查中，我们发现Ryuk黑客使用了获得初始访问权限的新方法：一个名为Buer的恶意软件删除程序。10月，该网络攻击事件演变成更大规模的垃圾邮件活动，并携带Buer及其他类型的恶意软件。 Buer于2019年8月首次推出，它是一种恶意软件服务产品，可用于交付客户所需的软件包，对目标Windows PC进行攻击，并允许恶意活动建立数据阵地。Buer曾与银行木马攻击等恶意软件有所联系，而现在，它显然已经被勒索软件运营商所接受。在许多方面，Buer可以替代Emotet和Trickbot的Bazar装载系统（都使用类似的行为进行部署）。 … 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1393/       消息来源：Sophos，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

这是一场针对航空航天和国防部门的网络间谍活动，目的是在受害者的机器上安装数据收集植入程序，以进行监视和数据过滤。 他们攻击的目标是澳大利亚、以色列、俄罗斯的互联网服务提供商（ISPs）以及俄罗斯和印度的国防承包商的IP地址。这些攻击涉及一个之前未被发现的间谍软件工具Torisma，它在暗中监视并利用受害者。 McAfee研究人员在代号为“Operation North Star”的追踪下，今年7月的初步调查结果显示，有人利用社交媒体网站、鱼叉式网络钓鱼以及带有虚假招聘信息的攻击性文件，诱骗国防部门的员工，并侵入他们的组织网络。 这些攻击被归因于之前与“Hidden Cobra”有关的基础设施和TTPs(技术、战术和程序)。“Hidden Cobra”是美国政府用来描述所有朝鲜政府支持的黑客组织的总称。 攻击者对美国国防和航天承包商进行恶意攻击，利用其核武库中的攻击者来支持和资助其核武器计划。 虽然初步分析表明，植入程序的目的是收集受害者的基本信息，以评估其价值，但对“Operation North Star”的最新调查显示出“一定程度的技术创新”——旨在隐藏在受损系统中。 该活动不仅使用了美国著名国防承包商网站上的合法招聘内容，诱使目标受害者打开恶意的鱼叉式钓鱼电子邮件附件，攻击者还利用美国和意大利的正版网站——拍卖行、印刷公司，以及一家IT培训公司（负责命令与控制（C2）能力）。 McAfee的研究人员Christiaan Beek和Ryan Sherstibitoff表示：“使用这些域来执行C2操作可能会使他们绕过一些组织的安全措施，因为大多数组织不会阻止可信网站。” 此外，嵌入Word文档中的第一阶段的植入程序将继续评估受害者系统数据（日期、IP地址、用户代理等），方法是通过与预定的目标IP地址列表进行交叉检查，以安装第二个名为Torisma的植入程序，同时将检测和发现的风险降到最低。 除了主动监视添加到系统中的新驱动器以及远程桌面连接之外，此监视植入程序还用于执行自定义shellcode。 研究人员说：“这项活动很有趣，因为攻击者有一个特定的目标清单，在决定发送第二个植入程序（32位或64位）进行深入监测之前，这个清单已经过验证。” “攻击者监视由C2发送的植入程序的进度，并将其写入日志文件中，从而了解哪些受害者已被成功渗入并可以进行进一步监控。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯网络犯罪分子因参与一个造成至少1亿美元经济损失的僵尸网络计划而被判入狱8年。 据悉，犯罪分子Aleksandr Brovko是“数个精英在线论坛的活跃成员，这些论坛旨在为讲俄语的网络犯罪分子收集和交换其犯罪工具和服务。”Brovko编写了能够解析来自僵尸网络来源的数据脚本，搜索了数据转储以盗取个人身份信息（PII）和帐户凭据。 美国司法部声称：“Brovko攻击了超过200,000台未经授权的个人识别信息或金融帐户访问设备。” 2007年到2019年，Brovko持续参与该网络攻击计划，并被美国高级地方法院TS Ellis III判处八年徒刑。     消息来源：zdnet；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

日本知名的游戏公司CAPCOM今天上午发布官方公告，称该公司服务器11月2日遭到第三方未授权访问。这次外部未授权的方位主要集中在公司的邮件及文件服务器，目前尚未发现用户资料和信息被盗取的证据。据悉，CAPCOM内部的邮件和文件服务器在11月2日凌晨被未授权的第三方访问，事件发生后CAPCOM立刻停止了集团内部部分网络。 CAPCOM在公告中表示目前还没有任何迹象表明用户信息遭到破坏，而且这次网络攻击也没有影响CAPCOM旗下游戏的网络功能。接下来CAPCOM将联合警方及相关部门进行调查并逐步恢复网络等系统功能。 和以往黑客的大规模攻击不同，这一次针对CAPCOM内部服务器的黑客行动显然是冲着内部资料来的，也许未来不远的一段时间里就会不断有CAPCOM相关游戏的泄露情报出现吧。       （消息及封面来源：cnBeta）

简而言之。在线零售商是想窃取客户数据的黑客的高价值目标，而最近的一次违规事件可能证明对犯罪者来说特别有利可图，这次受害者是JM Bullion，一家贵金属销售。Bleeping Computer报道，这家在线零售商销售金、银、铜、铂金和钯金产品，如硬币和金条。它的网站在2月份被入侵，当时黑客插入了恶意的JavaScript代码，将提交的支付信息发送到犯罪分子操作的远程服务器。 2020年7月6日，JM Bullion被提醒其网站上有可疑活动。JM Bullion立即开始调查，在第三方安全专家的协助下，评估事件的性质和范围。通过调查，确定在2020年2月18日至2020年7月17日期间，网站上存在恶意代码，该代码有能力在有限的场景下获取客户在购买时输入的信息。” JM Bullion已经通知执法部门有关此次违规事件，并建议任何在2月18日至7月17日期间从网站上购买物品的客户监控他们的银行对账单是否有可疑活动。这类被称为MageCart的攻击，最近一段时间越来越流行。去年的一份报告显示，包括Newegg、Quest Diagnostics和英国航空公司在内的1.7万多家网站的支付屏幕上可能被注入了信用卡取款器。去年10月发生在时尚巨头梅西百货的违规事件是MageCart攻击。 这很容易理解为什么黑客会针对一个拥有如此富裕客户的网站。JM Bullion列出了许多达到数万美元的商品。目前黑客设法窃取了多少钱仍不清楚。     （消息来源：cnBeta；封面来自网络）

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统（CMS）。KashmirBlack活动于2019年11月开始，其目标是WordPress，Joomla！，PrestaShop，Magneto，Drupal，Vbulletin，OsCommerence，OpenCart和Yeager等流行的CMS平台。 Imperva的研究人员表示：“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载，并且使用复杂的方法来伪装自身，使其不被发现并保护自身运行。” 这家网络安全公司对僵尸网络进行了为期六个月的调查，结果显示，该复杂操作由一台命令控制（C2）服务器和60多个代理服务器管理，这些服务器与僵尸网络进行通信以发送新目标，从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。 KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘，并将网站的合法流量重定向到垃圾邮件页面。但是，它也被用来进行defacement攻击。 无论出于何种动机，他们利用PHPUnit RCE漏洞（CVE-2017-9841）用与C2服务器通信的下一阶段恶意有效载荷感染客户。 Imperva的研究人员表示，根据它在一次此类defacement中发现的攻击特征，他们认为僵尸网络是一个名叫Exect1337的黑客的作品，该黑客是印度尼西亚黑客团队PhantomGhost的成员。 KashmirBlack的基础架构很复杂，包括两个单独的存储库，一个用于托管漏洞利用程序和有效负载，另一个用于存储恶意脚本以与C2服务器通信。 僵尸程序本身要么被指定为“传播僵尸程序”（与C2通信以接收感染新受害者的命令的受害者服务器），要么被指定为“待定僵尸程序”（其在僵尸网络中的用途尚待确定）。 尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序，但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。 但是，随着僵尸网络规模的扩大，越来越多的僵尸网络开始从存储库中获取有效负载，他们的基础架构已进行了调整，使其通过添加负载平衡器实体来变得更具可伸缩性，该实体返回新设置的冗余存储库之一的地址。 KashmirBlack的最新版本也许是最阴险的。上个月，研究人员发现僵尸网络使用Dropbox替代了其C2基础架构，滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。 Imperva说：“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。” “这是伪装僵尸网络流量，确保C＆C操作安全的又一步，而且最重要的是，我们很难将僵尸网络追溯到操作背后的黑客。”     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。