乌克兰安全局 SBU拘留了两名据称帮助俄罗斯情报部门传播亲克里姆林宫宣传和窃听乌克兰士兵手机的人员。 这两名嫌疑人运营所谓的机器人农场，使用特殊服务器和 SIM 卡来创建和管理虚假的社交媒体账户。 其中一个机器人农场位于西部城市日托米尔，位于一名身份不明的乌克兰女子的公寓内。根据乌克兰安全局的声明，她注册了 600 多个虚拟手机号码以及数量不详的虚假 Telegram 账户，然后在专门的俄罗斯犯罪网站上出售或出租这些号码以换取加密货币。 乌克兰安全局称，俄罗斯情报部门利用这些账户和电话号码向乌克兰军方发送钓鱼邮件，入侵其设备。这些邮件包含恶意文件，一旦打开，就会在目标手机上安装间谍软件，以收集机密数据。 乌克兰安全局称，俄罗斯还利用这些账户传播据称代表普通乌克兰公民的亲克里姆林宫言论。 另一名嫌疑人是来自乌克兰中东部城市第聂伯罗的一名 30 岁男子，他使用乌克兰移动运营商的 SIM 卡在各种社交网络和即时通讯应用上注册了近 15,000 个虚假账户。乌克兰安全局称，他随后在暗网论坛上将这些账户卖给了俄罗斯情报机构。 如果罪名成立，两名嫌疑人将面临最高三年监禁或罚款。调查仍在进行中。 俄罗斯此前曾利用机器人农场在战争期间进行宣传和制造恐慌。参与运营机器人农场的人通常会收到俄罗斯卢布的报酬，而卢布是乌克兰禁止使用的货币。 今年 4 月早些时候，乌克兰安全局在基辅逮捕了两名黑客，他们涉嫌通过冒充乌克兰政府官员的社交媒体账户传播俄罗斯宣传。同月，一名乌克兰男子因制作和传播俄罗斯宣传被判处15 年监禁。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/T9IibyYHilKsSVLQid3TrQ 封面来源于网络，如有侵权请联系删除

乌克兰网络警察称，他们已经发现了一名与臭名昭著的 Conti 和 LockBit 勒索软件团伙有关联的当地黑客。 警方称，这名 28 岁的基辅居民专门从事加密器的开发，加密器是一种用于加密恶意软件的恶意工具，使防病毒软件更难检测和分析。 根据警方周三发布的声明，该男子向与俄罗斯有关的 Conti 和 LockBit 勒索软件组织有关的黑客出售自己的服务，以获得加密货币奖励。 乌克兰警方没有说明嫌疑人目前是否被拘留。该机构的发言人告诉 Recorded Future News，“目前正在进行调查行动，包括分析被扣押设备中包含的信息，以收集更多证据并识别可能参与犯罪的其他人员。” 荷兰警方上周发表声明称，该嫌疑人于 4 月在“终局行动”中被捕，该行动是针对僵尸网络的最大规模国际执法行动之一。当局关闭或破坏了 100 台犯罪分子使用的服务器，并查获了 2,000 多个恶意域名。 声明称：“荷兰调查部门对乌克兰的逮捕行动感到非常高兴，并感谢乌克兰警方在战争时期为此找到的空间。” LockBit是过去四年来最猖獗的勒索软件之一。其恶意软件已经破坏了全球数千家企业，其中包括波音公司和英国皇家邮政。 今年 2 月，警方关闭了该勒索网站，但犯罪分子很可能在 5 月重新启用了该网站。FBI 官员最近表示，美国当局拥有 7,000 多个解密密钥，可以帮助 LockBit 受害者恢复数据。 Conti因攻击美国医疗保健组织而闻名。2022 年，美国悬赏高达 1000 万美元，以获取有关任何担任 Conti 领导职务的个人的身份和位置的信息。 乌克兰警方称，这名乌克兰黑客据称使用加密器伪装的恶意软件于 2021 年底感染了荷兰和比利时公司的计算机网络。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TrREozllofJF1mIAKQkfiQ 封面来源于网络，如有侵权请联系删除

6月初，由于病理学和诊断服务提供商 Synnovis 遭受勒索软件攻击，严重影响伦敦几家大型 NHS 医院的运营。攻击迫使受影响的医院取消部分医疗程序，部分患者被转至其他医院。英国国家医疗服务体系 (NHS) 发出紧急呼吁，倡议市民捐献O型血。 Synnovis 是欧洲最大的医疗检测和诊断提供商SYNLAB 的病理学合作伙伴。6月3日，Synnovis 在其网站上发布公告，承认遭遇勒索软件攻击。 “6 月3 日星期一，Synnovis遭受了勒索软件攻击。影响了 Synnovis 的所有 IT 系统，导致许多病理学服务中断。” Synnovis尚未发布新的更新，也没有提供有关攻击范围的任何信息。 执法部门怀疑俄罗斯麒麟（qilin）勒索软件团伙是此次袭击的幕后黑手。 伦敦 NHS 发表了关于 Synnovis 勒索软件攻击的声明，证实该事件对盖伊医院和圣托马斯医院、伦敦国王学院医院以及伦敦东南部初级保健服务产生重大影响。 “所有紧急和急救服务照常开放，大多数门诊服务继续正常运行。” NHS 网站公告说。“不幸的是，一些严重依赖病理学服务的手术和程序已被推迟，血液检测被优先用于最紧急的病例，这意味着一些患者的采血预约被取消。” NHS 确认勒索软件攻击已扰乱血液配型测试，因此受影响的医院正在为无法等待血液配型检测的患者使用 O 型血液，NHS 呼吁市民紧急捐献 O 型血。 “英国 top doctor 今天（6 月 10 日星期一）支持英国国家医疗服务体系血液及移植中心（NHSBT）的呼吁，要求 O 型血液捐献者紧急预约在英格兰 25 个城镇和市中心的 NHS 血液捐献中心进行捐献，以在伦敦网络攻击事件发生后增加 O 型血液的库存。 ”英国国家医疗服务体系血液及移植中心发布的公告中写道。 紧急呼吁公告中说：“影响病理学提供商的 IT 事件意味着受影响的医院目前无法以与往常相同的频率为患者配血。对于需要输血的手术和程序，医院需要使用 O 型血，因为这种血对所有患者来说都是安全的，而且血液的保质期为 35 天，因此需要不断补充库存。这意味着未来几周将需要比平时更多的此类血液单位，以支持一线工作人员的更广泛努力，确保为当地患者提供安全的服务。” 通常情况下，医院手术或紧急抢救病人时，会进行血型配型检测，通常只采用与患者相同的血型输血。 当医院无法提供血液配型检测时，只能被迫提供相对安全的O型血输血。为紧急手术输O型血是在战时或没有其他血源的情况下采取的紧急措施。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pra33_WMogscVxHx164fUw 封面来源于网络，如有侵权请联系删除

研究人员发现，一个名为“蓝宝石狼人”的黑客组织在过去三个月内利用紫水晶信息窃取程序攻击了 300 多家俄罗斯公司。 该组织的目标包括俄罗斯的教育、制造业、科技、国防和航空航天工程行业。目前尚不清楚该组织背后的组织者是谁，以及该组织是否受到政府支持或出于经济动机。 俄罗斯网络公司 BI.ZONE自 3 月以来一直在跟踪Sapphire Werewolf 的活动。研究人员称，该组织的 Amethyst 工具是开源 SapphireStealer 的一个分支。 一旦进入系统，Amethyst 可以收集 Telegram 配置文件、密码和 cookie 数据库、浏览器和热门网站历史记录、从浏览器保存的页面和配置以及 PowerShell 日志。 黑客通过伪装成官方命令的网络钓鱼电子邮件将恶意软件传送到受害者的设备，这些命令包括来自中央选举委员会甚至俄罗斯总统弗拉基米尔·普京的命令。 目前尚不清楚 Sapphire Werewolf 的活动效果如何，也不清楚他们如何使用所获得的数据。研究人员注意到，该组织的恶意软件已经进化。就在三个月前，窃取者还“没有任何机制可以在受感染的系统中实现持久性”，而且只收集了“一组有限的数据”。 由于西方公司在俄罗斯的知名度有限，有关俄罗斯境内网络攻击的报道很少，而且通常由当地网络公司独家发布。 本周早些时候，另一家俄罗斯公司 Positive Technologies（因向俄罗斯情报部门提供技术而受到美国制裁）发布了一份报告，报告称一个名为 HellHounds 的受国家支持的组织使用 Decoy Dog 恶意软件攻击俄罗斯电力公司、科技企业、政府机构、航天工业和电信提供商。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Wu5Y1-M1OhooFEQPX3nWMg 封面来源于网络，如有侵权请联系删除

据波兰数字部长克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 称，波兰将投入近 7.6 亿美元加强对俄罗斯持续网络攻击的防御。 在周一的新闻发布会上，加夫科夫斯基表示，波兰“处在针对俄罗斯的网络战前线”。他补充说，新的网络盾计划将花费政府 30 亿兹罗提（当地货币），旨在提高该国关键基础设施和政府服务的弹性。上周晚些时候，黑客在波兰国家通讯社 PAP 的新闻推送中发布了一篇关于军事动员的虚假文章，随后波兰政府宣布了这一消息。Gawkowski 表示，有迹象表明，俄罗斯支持的黑客对此次攻击负责。 他在本周的新闻发布会上表示：“如今，虚假信息已经成为各类团体制造紧张局势的关键因素之一，这些团体往往与俄罗斯或白俄罗斯联系在一起。” 俄罗斯驻华沙大使馆表示，对针对人民行动党的袭击毫不知情，并驳斥了有关莫斯科试图破坏波兰（北约成员国和前苏联集团国家）稳定的指控。 选举季 波兰最新事件发生之际，对波兰乃至整个欧洲来说都是一个关键时刻，欧盟正在为本周举行的议会选举做准备。波兰将于周日选举出 53 名欧洲议会议员。选举前，地方当局表示，他们高度警惕莫斯科试图干预选举的行为。据该国数字部称，选举前的网络攻击有所增加，这是莫斯科一系列“混合活动”的一部分。 加夫科夫斯基表示：“一个多月以来，我们观察到针对波兰的网络攻击次数显著增加。” 他补充道：“俄罗斯联邦有一个目标——破坏局势稳定，确保支持欧盟解体的势力能够受益。” Gawkowski 表示，自上周 PAP 遭受攻击以来，波兰的关键基础设施已遭受一系列攻击。5 月初，俄罗斯政府支持的黑客针对波兰政府机构发动间谍活动，此次活动被归咎为黑客组织APT28（又名 Fancy Bear）所为，该组织与俄罗斯军事情报机构 GRU 有关联。   转自E安全，原文链接：https://mp.weixin.qq.com/s/ApwPtjSVfCceeTRw1rhuRQ 封面来源于网络，如有侵权请联系删除

近日，有网络犯罪分子开始在 Telegram 上推广一种名为 “V3B ”的新型网络钓鱼工具包，该工具包针对爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利 54 家主要金融机构的客户。 该网络钓鱼工具包的价格在每月 130 美元至 450 美元之间，具体价格取决于购买的内容。该钓鱼包具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者实时聊天以及各种规避机制等功能。 据 Resecurity 研究人员称，其 Telegram 频道已经拥有超过 1250 名成员，这表明新的网络钓鱼即服务（PhaaS）平台正在网络犯罪领域迅速崛起。 在 Telegram 上推广钓鱼工具包 V3B 的特点 V3B 在自定义内容管理系统之上使用了大量混淆的 JavaScript 代码，以躲避反钓鱼网站和搜索引擎机器人的检测，并保护自己不受研究人员的攻击。 它包括芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面，以提高网络钓鱼攻击的有效性，使黑客能够开展多国活动。 该工具包可在移动和桌面平台上使用，可拦截银行账户凭证和信息以及信用卡详细信息。 此外，管理面板（uPanel）允许欺诈者通过聊天系统与受害者实时互动，通过发送自定义通知获取一次性密码（OTP）。 实现实时互动的即时聊天功能 此外，窃取的信息会通过 Telegram API 传回给网络犯罪分子。 在实时交互触发选项中，有一个 QR 码登录劫持功能，网络犯罪分子利用该功能可以为钓鱼页面生成一个 QR 码，让受害者误以为这是一个合法的可信服务。 V3B 工具包的另一个显著特点是支持 PhotoTAN 和 Smart ID，可绕过德国和瑞士银行广泛使用的高级身份验证技术。 Resecurity 解释说：银行用于客户身份验证的技术可能各不相同。但欺诈者已经开始实施对替代性 OTP/TAN 验证机制的支持，而不是仅仅依赖传统的基于短信的方法，这证明欺诈防范团队在打击私人和企业客户账户接管方面将面临严峻的挑战。 网络钓鱼工具包是网络犯罪的关键助推器，它能够辅助入门级黑客对银行客户发起破坏性极大的攻击。 根据最新消息，针对美国和加拿大银行的 LabHost 的原始开发者以及其他相关的 37 人均在执法行动中被捕。截止被抓捕前，LabHost 在全球共拥有 10000 名用户，并曾通过 40000 个域名发起网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402697.html 封面来源于网络，如有侵权请联系删除

OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 近日，因安全团队核心人员离职而深陷信任危机的OpenAI发布了最新的安全报告，宣称在过去三个月中挫败了五个利用ChatGPT操控舆论的黑客组织APT行动（舆论黑客）。 OpenAI将操控舆论的影响力活动（IO）定义为“试图以欺骗的方式操纵舆论或影响政治结果，而不揭露背后行为者的真实身份或意图”。 在报告中，OpenAI宣称成功识别并阻止了五起来自俄罗斯、伊朗和以色列等国的影响力行动，这些行动均利用了OpenAI的人工智能工具ChatGPT。 “舆论黑客”攻击成效不及预期 舆论操控和内容安全是人们最担忧的两大人工智能威胁，尤其是国家黑客组织利用ChatGPT-4o为代表的多模态大模型进行大规模的，跨平台、跨国界的意识形态渗透和社交媒体舆论操控。 据OpenAI报告，这些“舆论黑客”行动主要利用人工智能生成大量社交媒体帖子和评论等文本内容，同时还进行了一些辅助性的工作，例如通过调试代码来提高生产力。 但是，根据布鲁金斯突破量表(Brookings Breakout Scale)的评估，这些“舆论黑客”行动的评分均未超过2分，目前尚未取得显著成效。 布鲁金斯突破量表用1-6分来衡量影响力行动的影响范围，其中1分表示仅限于单个社区或平台，6分则意味着引发了政策干预或其他具体行动，例如暴力事件。2分意味着影响力行动跨越了单个平台中的多个社区，或者影响了多个平台中的单个社区。 五大舆论黑客攻击活动 报告指出，虽然“舆论黑客”来自全球各地，但本质上却非常相似，主要利用ChatGPT为多平台生成多语言版本的内容（账户、文章、评论、标签等），以下为报告调查的五大“舆论黑客”行动： “垃圾伪装(Spamouflage)”。该行动利用OpenAI的工具进行代码调试、社交媒体活动研究，并用多种语言在X平台、Medium和Blogspot发布内容。 俄罗斯的“语法错误(Bad Grammar)”。一个来自俄罗斯的新威胁组织，主要针对Telegram平台的东欧和美国用户。它也利用人工智能来调试用于运行Telegram机器人的代码，并用英语和俄语生成Telegram上的政治评论。 俄罗斯的“变形金刚(Doppelganger)”。这个俄罗斯组织利用人工智能在X平台和9GAG上用五种欧洲语言发布评论，生成标题，并将新闻文章翻译、编辑并转换成Facebook帖子。 伊朗的“国际虚拟媒体联盟(IUVM)”。利用人工智能为其网站生成和翻译文章、标题和网站标签。 以色列的“零点禅(Zero Zeno)”行动。由位于特拉维夫的政治营销和商业情报公司Stoic运营。Stoic利用OpenAI为Instagram、Facebook、X平台和其他网站生成文章和评论。Meta公司最近在其“对抗性威胁报告”中也点名了Stoic。报告显示，Meta删除了与Stoic关联的510个Facebook账户、32个Instagram账户、11个页面和1个群组。Stoic的各个Instagram账户只有大约2000个关注者，Facebook页面约有500个关注者，其Facebook群组的成员人数不足100人。 为了打击人工智能的滥用，OpenAI在一份更详细的报告中透露正在与传媒、社交网站和科技行业合作伙伴合作，并利用舆论黑客的威胁活动来设计更安全的用户平台。该公司还表示正在“投资于技术和团队，以识别和阻止恶意行为者，以及利用人工智能工具来帮助打击滥用行为。”报告并未进一步详细说明OpenAI采取了哪些具体措施来阻止和打击恶意行为者， 舆论黑客的四大攻击趋势 OpenAI在报告中透露，根据自身调查以及开源社区的工作，发现舆论黑客使用（类似ChatGPT的）大语言模型进行的隐蔽宣传活动呈现四大趋势： 内容生成：所有舆论黑客都利用OpenAI的服务生成大量文本（偶尔还包括图像），并且语言错误比仅靠人工操作者要少得多。 融合新旧：所有这些行动都不同程度地使用了人工智能，但没有一个行动只使用人工智能。相反，人工智能生成的内容只是他们发布的众多内容类型之一，其他类型包括更传统的形式，例如手动编写的文本或从互联网上复制的模因。 伪造参与度（人气）：OpenAI瓦解的一些活动利用ChatGPT在社交媒体上营造用户参与热度的假象。例如，用人工智能生成内容回复或评论自己的帖子。 提高效率：许多舆论黑客都尝试利用ChatGPT来提高效率，例如总结社交媒体帖子或调试代码。 舆论黑客的五大防御趋势 OpenAI在报告中指出，虽然关于人工智能的潜在应用的讨论的大多关注攻击侧，但是人工智能也为防御者提供了优势。例如人工智能技术大大提高了OpenAI的调查效率，以下为人工智能提高内容安全防御能力的五大趋势： 防御设计：OpenAI通过内容安全系统给攻击者制造麻烦，这也是OpenAI负责任地部署人工智能的方法。例如，OpenAI多次观察到ChatGPT拒绝生成舆论黑客要求的文本或图像。 人工智能增强调查：OpenAI基于此前使用GPT-4进行内容审核和网络防御的方法，又开发了新人工智能工具来提高（用户会话内容的）检测和分析效率。得益于新的工具，此次报告的调查耗时仅数天，而不是数周或数月。随着模型的改进，OpenAI将继续利用其功能来改进调查。 分发很重要：与传统的内容形式一样，人工智能生成的内容也必须进行分发才能到达受众。这些舆论操控行动在各种平台上发布内容，包括X、Telegram、Facebook、Medium、Blogspot和较小的论坛，但截至调查结束没有一个活动成功吸引大量受众。 行业共享的重要性：为了提高对舆论黑客行为的防御和反击能力，OpenAI与业界同行分享了详细的威胁指标。OpenAI自己的调查也受益于研究社区多年来的开源分析。 人为因素：人工智能可以改变人类操作者使用的工具包，但它不会改变操作者本身。OpenAI的调查表明，攻击者与前几代人一样容易犯人为错误。例如，（因为疏忽）将ChatGPT的拒绝消息发布在社交媒体和他们的网站上。虽然攻击工具在不断进化，但是黑客活动的运营和决策者的人性弱点和局限性并没有变。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aVzureY0NPIfZoJ3zfSXmA 封面来源于网络，如有侵权请联系删除

微软强调了保护暴露在互联网上的运营技术 (OT) 设备的必要性，自 2023 年底以来，针对此类环境发生了一系列网络攻击。 微软威胁情报团队的报告表示：“针对 OT 设备的反复攻击凸显了改善 OT 设备安全态势的迫切需要，并防止关键系统成为易受攻击的目标。” 该公司指出，对 OT 系统的网络攻击可能允许攻击者篡改工业过程中使用的关键参数，无论是通过可编程逻辑控制器 (PLC) 以编程方式还是使用人机界面 (HMI) 的图形控件，都会导致故障和系统中断。 微软进一步表示，OT 系统通常缺乏足够的安全机制，这使得它们很容易被攻击者利用并发起“相对容易执行”的攻击，而将 OT 设备直接连接到互联网所带来的额外风险则加剧了这一事实。 这不仅使得攻击者可以通过互联网扫描工具发现这些设备，而且还可以利用弱登录密码或具有已知漏洞的过时软件来获取初始访问权限。 上周，罗克韦尔自动化发布了一份咨询报告，敦促其客户断开所有不打算连接到互联网的工业控制系统 (ICS)，原因是“全球地缘政治紧张局势加剧了对抗性网络攻击活动”。 美国网络安全和基础设施安全局（CISA）也发布公告，警告亲俄黑客将目标对准北美和欧洲易受攻击的工业控制系统。 “具体来说，亲俄黑客分子操纵了 HMI，导致水泵和鼓风机设备超出了正常运行参数。”该机构表示。“在每起案件中，黑客分子都会将设定点调到最大，更改其他设置，关闭警报机制，并更改管理密码以锁定 WWS 操作员。” 攻击者在其 Telegram 频道发布的受害者系统的示例图像 微软进一步表示，2023 年 10 月以色列与哈马斯战争的爆发导致针对以色列公司开发的、暴露在互联网上、安全性较差的 OT 资产的网络攻击激增，其中许多攻击是由与伊朗有关的组织（如Cyber Av3ngers、所罗门士兵和 Abnaa Al-Saada）进行的。 微软表示，这些攻击针对的是部署在以色列不同地区的由国际供应商制造的 OT 设备，以及从以色列采购但部署在其他国家的设备。 这些 OT 设备“是暴露在互联网上的 OT 系统，安全态势较差，可能存在弱密码和已知漏洞”。 为了减轻此类威胁带来的风险，微软建议组织确保其 OT 系统安全，特别是通过减少攻击面和实施零信任实践来防止攻击者在受感染的网络中横向移动。 与此同时，OT 安全公司 Claroty 发现了一种名为 Fuxnet 的破坏性恶意软件，据称，Blackjack 黑客组织利用该恶意软件攻击了俄罗斯公司 Moscollector，该公司维护着一个大型传感器网络，用于监测莫斯科的地下水和污水处理系统，以便进行紧急情况检测和响应。 BlackJack于上个月初分享了此次攻击的细节，将 Fuxnet 描述为“强化版的Stuxnet ”，Claroty 指出，该恶意软件很可能通过端口 4321 使用 SSH 或传感器协议 (SBK) 等协议远程部署到目标传感器网关。 Fuxnet 具有不可逆转地破坏文件系统、阻止对设备的访问以及通过不断写入和重写内存来物理破坏设备上的 NAND 内存芯片的功能，以使其无法运行。 最重要的是，它旨在重写 UBI 卷以防止传感器重新启动，并最终通过发送大量虚假的Meter-Bus (M-Bus) 消息来破坏传感器本身。 Claroty 指出：“攻击者开发并部署了针对网关的恶意软件，删除了文件系统和目录，禁用了远程访问服务、每个设备的路由服务，重写了闪存，破坏了 NAND 内存芯片和 UBI 卷，并采取了其他进一步破坏这些网关运行的操作。” 根据俄罗斯网络安全公司卡巴斯基本周早些时候分享的数据，互联网、电子邮件客户端和可移动存储设备成为 2024 年第一季度组织 OT 基础设施中计算机的主要威胁来源。 “攻击者使用脚本来实现各种目的：收集信息、跟踪、将浏览器重定向到恶意网站以及将各种类型的恶意软件（间谍软件和/或静默加密挖掘工具）上传到用户的系统或浏览器。” 卡巴斯基的报告称，“这些恶意软件通过互联网和电子邮件传播。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/1nFa7a6suM52xQym1IFAAQ 封面来源于网络，如有侵权请联系删除

据称，在最近恢复运营的黑客论坛 BreachForums 上，一名为 ShinyHunters 的黑客以 50 万美元的价格出售 5.6 亿 Ticketmaster 票务公司客户的个人和财务信息。 这些被盗的数据库最初在俄罗斯黑客论坛 Exploit 上出售，据称该公司泄露数据大小为 1.3TB，其中包括客户的全部信息（即姓名、家庭住址、电子邮件地址和电话号码）、门票销售信息、订单和活动信息。 泄露的数据还包含客户信用卡信息，如散列信用卡号最后四位数字、信用卡的验证类型以及到期日期，其中金融交易时间跨度为 2012 年至 2024 年。 ShinyHunters 表示，的确有买家对这些数据感兴趣，他们认为其中一个买家可能就是 TicketMaster 公司。当被问及数据何时被窃以及如何被窃取时，该黑客表示他们 “对此什么都不能说”。 然而，据称网络安全组织 vx-underground 已与一些入侵 Ticketmaster 的黑客进行了交谈。黑客表示他们可以 “通过托管服务提供商 ”从该公司的 AWS 实例中窃取数据。  Ticketmaster 数据待售的声明截图 诉讼和以往的违规行为 上周，由 30 位总检察长组成的两党联盟和美国司法部决定起诉 Live Nation Entertainment 及其子公司 Ticketmaster，并指控其反垄断行为和垄断现场活动行业的行为违反了《谢尔曼反托拉斯法》。 据 Bloomberg 首次报道，本周已有客户对 Ticketmaster 及其母公司 Live Nation 提出集体诉讼，并指控其涉嫌数据泄露。诉讼对象包括受此次数据泄露事件影响的美国居民。 原告要求获得惩罚性赔偿、实际损失赔偿和律师费，并要求法院下达令 Ticketmaster 支付信用监控服务费用的命令，同时披露事件中暴露的客户数据。 四年前，Ticketmaster 被罚款 1000 万美元，主要原因是该公司利用一名前雇员的凭证非法访问竞争对手 CrowdSurge 的系统，同时收集商业情报，利用这些情报 “扼杀 ”竞争对手的业务。 2018 年，该公司还披露了一起数据泄露事件，攻击者从第三方供应商 Inbenta 的系统中窃取了 Ticketmaster 的登录信息、支付详情以及主要属于英国客户的个人信息（即姓名、地址、电子邮件地址和电话号码），约 5% 的客户群受到了影响。 作为 Live Nation Entertainment 的一部分，Ticketmaster 每年在 30 个国家处理超过 5 亿张门票，控制着美国票务行业近 80% 的份额。 BreachForums 的回归 2024年5月6日，据知道创宇暗网雷达监测显示， 暗网知名黑市论坛BreachForums 再次被 FBI 执法机构控制。该论坛 Telegram 群组也被 FBI 接管，并留下了举报联系方式。 2024年5月28日，数周前被FBI查封的黑客论坛BreachForums重新开放注册，由早期的管理员之一ShinyHunters掌控。 相关资讯链接： 又双叒被控制！著名暗网黑市 BreachForums 再次被美国 FBI 接管 被 FBI 查封仅数周的 BreachForums 重新上线   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

本周四，Lumen Technologies的黑莲花实验室（Black Lotus Labs）发布报告披露了去年底发生在美国的一次超大规模电信网络破坏事件，黑客在72小时内瘫痪了某互联网接入服务商的超过60万台家庭/家庭办公室（SOHO）路由器，这些“变砖”的路由器无法修复，导致大量用户被迫进行硬件更换。 60万台路由器在72小时内变砖 2023年10月的一天，美国互联网服务提供商Windstream的大量用户突然发现路由器无法工作。这个问题迅速在网络论坛上引发讨论，许多用户报告他们的ActionTec T3200路由器突然死机，重启和重置都无济于事。Windstream的Kinetic宽带服务在美国18个州拥有大约160万订户，对许多家庭和企业来说至关重要。一位用户在论坛上写道：“我们有三个孩子，都在家工作，这次事件让我们损失了1500多美元的业务，没有电视、WiFi，花费了数小时在电话上。” 公共扫描数据显示，在事件期间，Windstream的自主系统号（ASN）下接近半数（49%）的路由器被攻击下线。这次攻击对农村和偏远社区影响尤其严重，导致紧急服务中断、农业监控信息丢失和远程医疗服务中断等。 经过调查，Windstream发现这些路由器已经无法修复，并向受影响的用户发送了新路由器。黑莲花实验室（Black Lotus Labs）称这次事件为“南瓜月蚀”。根据黑莲花实验室的报告，这次事件导致超过60万台路由器在72小时内“变砖”，堪称史上最大规模的电信网络破坏事件，远超俄乌战争期间针对欧洲卫星网络的AcidRain攻击事件（破坏了1万台卫星接收调制解调器）。 攻击者不是国家黑客 黑莲花实验室的研究人员认为，这次事件中黑客使用了商品恶意软件Chalubo，这种恶意软件能够执行自定义Lua脚本，永久覆盖路由器固件。研究者确信，这次恶意固件的批量更新是故意行为，目的就是为了导致大规模宕机。黑莲花实验室通过全球遥测数据发现，Chalubo恶意软件在2023年11月和2024年初非常活跃。在10月的一个30天快照中，发现超过33万个独立IP地址与75个已知C2节点通信至少两天，表明感染情况非常严重。与常见的僵尸网络不同，95%的感染设备只与一个C2控制面板通信，研究人员认为这表明事件背后的实体具有不同的操作孤岛。 黑莲花实验室绘制了事件发生时间范围内的IP地址及其对应的国家/地区，并生成了以下热图： 2023年10月Chalubo机器人IP地址分布情况 来源：黑莲花实验室 研究人员还发现，Chalubo使用了复杂的多路径感染机制（下图），并通过ChaCha20加密与C2服务器通信，进一步隐藏其活动。这种恶意软件不仅具有DDoS攻击功能，还能执行任意Lua脚本，从而在受感染设备上运行恶意代码。 Chaluba的复杂多路径感染机制 来源：黑莲花实验室 虽然此次攻击破坏了创记录的60万台设备，但是黑莲花实验室并不认为幕后黑手是国家黑客或国家支持的实体所为（但并不排除）。研究者表示没有观察到与已知破坏性国家黑客活动（例如Volt Typhoon或SeaShell Blizzard）的任何交集。 研究者表示，这次针对家庭和小型办公室路由器的大规模攻击事件在整个网络安全历史中都是极为独特的：“首先，此次攻击活动导致受影响设备报废需要进行硬件更换，这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多，此次事件是史无前例的——据我们所知，历史上没有任何一次网络攻击会导致60万台设备报废更换。此外，这种类型的攻击以前只发生过一次——俄乌战争前夕针对欧洲卫星网络的AcidRain攻击，但那次攻击被看作是军事入侵的前兆，而且规模也小得多。” 最后，由于不清楚路由器最初是如何被感染的，研究人员只为家庭和SOHO路由器用户提供了一些通用安全建议，包括安装安全更新、用强密码替换默认密码以及定期重启路由器等。同时，ISP和企业也应确保管理界面的安全。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/OaVVqCuiy-p15xun30cBug 封面来源于网络，如有侵权请联系删除