近期，连接到互联网的Anycubic 3D 打印机遭到黑客攻击。黑客在设备中添加了一个名为“hackedmachinereadme.gcode”的文件，该文件通常包含 3D 打印指令，并附有一条消息，表明打印机由于安全漏洞而容易受到攻击。 据黑客称，该漏洞允许潜在攻击者通过 Anycubic 服务的 MQTT API 控制 3D 打印机（重新启动、更改设置、注入恶意脚本）。该消息还呼吁该公司将打印机软件开源，并指出其缺点。 受影响设备收到的文本文件指出：“您的设备存在严重漏洞，对您的安全构成重大威胁。建议立即采取行动，防止可能的风险。” 黑客建议收到此警告的用户断开打印机与互联网的连接，直到该公司修复安全问题。 在出现黑客攻击报告后，Anycubic 应用程序停止工作，显示“网络不可用”错误，可能是因为该公司决定安全起见并禁用了网络功能。 Anycubic于2015年在中国深圳成立，被认为是市场上最受欢迎的3D打印机品牌之一，在120多个国家销售了超过300万台打印机。   转自安全客，原文链接：https://www.anquanke.com/post/id/293586 封面来源于网络，如有侵权请联系删除

上周，Change Healthcare遭受网络攻击，影响了美国各地药房的药品和保险流程，给医护人员带来了巨大困难。此次攻击可能导致重大财务损失。 由于计费中断，马里兰州心理治疗师雷亚·迪士尼考虑放弃个人办公室，医疗机构面临着医生和药房的更大负担——现在他们必须寻找其他方式来提交保险申请。 上周受到攻击的是 Change Healthcare，它是医疗保健巨头 UnitedHealth 的子公司，为全国数千家药店处理保险处方。信息安全公司Health First Advisory指出，一些医疗机构因故障每天损失超过1亿美元。 Elevance Health已停止与Change Healthcare的网络连接，但客户的护理和药物机会保持不变。Change Healthcare正在研究替代索赔方法。 美国医院协会报告了保险索赔处理中持续存在的问题。联邦调查局和卫生部对此表示担忧，初步调查结果显示黑客使用了ALPHV/BlackCat勒索软件程序。 此次攻击导致医疗机构和保险公司之间传输数据的系统出现故障，部分药店药品流通受阻。   转自安全客，原文链接：https://www.anquanke.com/post/id/293575 封面来源于网络，如有侵权请联系删除

有消息称，一名俄罗斯公民被指控，对本地发电厂进行网络攻击，导致大范围停电。 据塔斯社报道，一名49岁的俄罗斯公民即将面临审判。他被控实施网络攻击，导致沃洛格达地区38个村庄陷入黑暗。 这次攻击发生在一年前，该男子面临最长达八年的监禁。 俄罗斯联邦安全局沃洛格达地区部门的新闻处向塔斯社表示：“我们已经完成对黑客切断沃洛格达地区38个定居点电力供应一事的刑事调查。俄罗斯联邦安全局沃洛格达地区总局确定，这位1975年出生的本地居民，在2023年2月非法访问了电网的技术控制系统，并切断了沃洛格达地区舍克斯纳区、乌斯秋日纳区和巴巴耶沃区共38个定居点的电力供应。” 塔斯社报道，俄罗斯当局已经根据当地刑法第274.1条第4部分对此事件立案。 当地政府已经完成调查，并将证据送交法院做最终裁决。 俄罗斯联邦安全局向塔斯社表示，该嫌疑人目前有义务留在指定地点。 目前尚不清楚被告是否隶属于黑客组织，亦不清楚这次攻击是否系因俄乌战争对对俄罗斯政府发起的网络激进主义行为。   转自安全内参，原文链接：https://www.secrss.com/articles/63967 封面来源于网络，如有侵权请联系删除

研究人员表示，过去一年来，来自世界各地的至少14个国家支持的黑客组织瞄准了俄罗斯以及部分原苏联成员国，如阿塞拜疆、白俄罗斯、吉尔吉斯斯坦和哈萨克斯坦，并进行了破坏或间谍活动。 俄罗斯网络安全公司F.A.C.C.T.的报告指出，其中一些APT组织可能与乌克兰有联系，后者正在与俄罗斯交战；另一些则代表自己的国家利益行事，包括朝鲜等国。F.A.C.C.T.此前是知名网络安全公司Group-IB的子公司，于去年4月独立，Group-IB在去年退出了俄罗斯市场。 F.A.C.C.T.称，这份报告为关于俄罗斯等部分原苏联国家，面临的“网络威胁战略和战术提供了最全面的数据来源”。由于俄乌战争爆发，西方安全公司选择退出俄罗斯市场，这导致它们对这些地区的了解程度有限。 研究发现，在间谍活动方面，那些表面上是伙伴或盟友的国家正在利用网络空间相互监视。 F.A.C.C.T.的报告是用俄语编写的，只有在预定义的国家列表中的用户才能下载，这些国家包括亚美尼亚、格鲁吉亚和乌克兰。 国家级网络威胁 报告显示，2023年俄罗斯面临的出于政治动机的攻击，较前一年增加了116%。研究人员发现，至少有28次针对俄罗斯机构的重大攻击活动，是由外国国家控制的黑客组织发动。 对于这些黑客组织来说，最有利可图的目标是俄罗斯政府和军事机构、工业企业、能源公司和电信提供商。F.A.C.C.T.表示，这些攻击通常是为了完成间谍活动。 一些国家支持的黑客组织，比如跟踪代号XDSpy、Cloud Atlas等组织，过去经常攻击俄罗斯。还有一些组织，比如跟踪代号Tomiris的俄语组织，刚刚开始扩展其在该地区的攻击能力。 过去一年里，针对俄罗斯的主要网络攻击有三角测量行动，俄罗斯将其归咎于美国情报机构；与朝鲜相关的APT37组织对俄罗斯国防企业发起的攻击，导致数据泄露；以及跟踪代号为Hellhounds的新组织发起的间谍活动，针对的是俄罗斯航天、物流、能源和国有企业。 该地区的其他俄语国家也成为了国家级黑客的受害者。例如，与亚洲某国有关的SugarGh0st组织瞄准了乌兹别克斯坦外交部，而Cloud Atlas和Sticky Werewolf组织则针对白俄罗斯政府机构发动了攻击。 要弄清楚国家控制的黑客组织究竟听命于哪个国家并非易事。例如，最活跃的威胁行为者之一XDSpy至少从2011年以来一直在运作，主要针对俄罗斯的关键基础设施，然而世界各地的研究人员都无法确定其代表哪个国家的利益。 激进黑客攻击 对俄罗斯企业的另一种有政治动机的威胁，是志愿者发起的网络攻击，此类攻击者更为人熟知的称呼是激进黑客。 F.A.C.C.T.研究人员表示，从发动DDoS攻击的数量来看，乌克兰IT部队仍然是该地区最活跃激进的黑客组织。过去一年中，该组织引入了新工具，并可能与其他当地激进黑客组织合流。 去年早些时候，与乌克兰IT部队有关的分支团队启动了一项名为Activeness的在线服务，旨在在社交网络上推广某些叙事。研究人员表示，此前乌克兰网络部队已经发动过类似行动，但“可能收效甚微”。 另一个名为“白俄罗斯网络游击队”的激进黑客组织，去年针对白俄罗斯和俄罗斯发动了至少六次攻击。其中至少有两次使用了未知的加密病毒，其他几次则是破坏活动，旨在篡改网站界面或泄露机密数据。 研究人员还发现了追求金融和政治利益的组织。其中一个是犯罪集团Comet Twelve。Comet团队要求受害者支付赎金，否则将拒绝解密并分发被盗数据。而Twelve团队不提出赎金要求，直接破坏受害者的网络。这两个团队使用相同的基础设施、战术和攻击工具。 F.A.C.C.T.将Twelve与Muppets和BlackJack等黑客组织联系在一起。今年1月初，BlackJack声称对莫斯科互联网供应商的攻击负责，据信此次攻击系该组织与乌克兰安全部门SBU合作进行。 研究人员说：“在严峻的地缘政治冲突中，激进黑客活动和亲政府黑客组织的活动在近几年不会减少。他们的优先目标将是间谍活动、窃取知识产权、获取公司数据库的访问权限。” 总体而言，去年黑客和激进黑客在暗网上新发布了246个俄罗斯公司数据库。根据报告，网络犯罪分子不会立即发布泄露的数据，而是利用数据对商业和公共领域的主要参与者发动新的攻击。 根据F.A.C.C.T.的预测，今年俄罗斯会受到来自世界各地“敌对”国家和“中立”国家的持续攻击。研究人员表示，攻击还会由内部人员发动，比如已经离开俄罗斯的公司前员工。   转自安全内参，原文链接：https://www.secrss.com/articles/64064 封面来源于网络，如有侵权请联系删除

Mandiant安全研究人员表示，正在进行的针对中东航空航天和国防工业的网络间谍活动似乎与伊朗有关，该活动使用独特的恶意软件进行攻击。 谷歌云网络安全部门Mandiant 发布报告表示，此次行动的目标是以色列和阿拉伯联合酋长国（阿联酋）的实体，也可能是土耳其、印度和阿尔巴尼亚。 该活动早在 2022 年 6 月就开始了，似乎与 Mandiant 追踪的一个名为 UNC1549 的伊朗组织有关，该组织与另一个标记为 Tortoiseshell 的黑客行动重叠。 该组织的打击名单包括以色列航运公司以及美国航空航天和国防公司，有报道称其与伊朗伊斯兰革命卫队（IRGC）有关。本月早些时候，美国制裁了伊斯兰革命卫队的一名袭击供水设施的成员。 研究人员表示，鉴于人们对国防相关实体的关注，以及最近因以色列与哈马斯战争而与伊朗关系紧张，伊朗革命卫队的潜在联系“值得注意”。伊朗公开支持加沙的哈马斯武装分子。 Mandiant 观察到 UNC1549“部署了多种规避技术来掩盖他们的活动，最突出的是广泛使用 Microsoft Azure 云基础设施以及社会工程计划来传播两个独特的后门：MINIBIKE 和 MINIBUS。” MINIBIKE 恶意软件首次发现于 2022 年 6 月，最后一次出现于 2023 年 10 月。Mandiant 表示，它能够“窃取和上传文件、执行命令等”，并且使用 Azure 云基础设施。 与此同时，MINIBUS 是一个“定制后门，提供更灵活的代码执行接口和增强的侦察功能”，研究人员表示。他们第一次发现它是在 2023 年 8 月，最近也是在 1 月份才看到它。 这两种恶意软件涵盖了常见的网络间谍活动清单，包括收集登录凭据以进行进一步的间谍活动，或运行其他恶意代码为更多活动扫清道路。 研究人员还发现了一个定制的“隧道”，他们将其标记为 LIGHTRAIL。隧道本质上是通过将互联网流量包装在其他流量中来隐藏恶意活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/SXYNI1V50vrvU05FK3oF3A 封面来源于网络，如有侵权请联系删除

FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。 APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。 它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。 联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。” “此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。” 本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。 在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。 APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。 他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。 两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。 如何“恢复”被劫持的 Ubiquiti EdgeRouters FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器： 执行硬件出厂重置以清除恶意文件的文件系统 升级到最新固件版本 更改任何默认用户名和密码 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。 FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。 美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。 正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/99dkf6duob2ii3Lfl170Zw 封面来源于网络，如有侵权请联系删除

近期，网络安全研究人员发现，名为 “UAC-0184 “的黑客组织利用隐写图像文件传播 Remcos 远程访问木马（RAT），受害者是一个在芬兰境内运营的乌克兰实体组织。 2023 年末，UAC-0184 威胁组织被趋势科技的研究人员首次观察到 ，主要针对乌克兰武装部队发起网络攻击。 2024 年 1 月初，Morphisec 分析师发现芬兰境内运营的一家乌克兰企业成为了该组织的受害者，这就表明该组织已将目标扩展到乌克兰境外与其战略目标有关联的组织了。 出于保密需求，Morphisec 暂时不能提供有关受害者的详细信息和其它具体攻击细节。 利用图片加载恶意软件 “隐写术”是一种有据可查但很少见的网络攻击策略，威胁攻击者通过将恶意代码编码到图像的像素数据中，从而躲避基于签名规则的解决方案的检测。 通常情况下，图像像素中的小块有效载荷不会导致图像外观出现很明显的改变，但在 Morphisec 观察分析的案例中，图像看起来有明显失真了，这种失真现象很难被直观察觉，只有在人工检查仔细情况下才会有所发现，一旦没有人工检查，就可以轻松躲避自动安全产品的检测。 包含嵌入代码的恶意 PNG 图像 Morphisec 观察到的网络攻击链始于一封精心制作的网络钓鱼电子邮件，该电子邮件来自乌克兰第三突击分队或以色列国防军，上当的受害者一旦打开快捷方式文件附件后，就会立刻触发感染链，启动一个可执行文件（DockerSystem_Gzv3.exe），进而激活一个名为’IDAT’的模块化恶意软件加载器。 IDAT 采用了动态加载 Windows API 函数、HTTP 连接测试、进程阻止列表和系统调用等复杂的技术，来逃避安全检测。为了保持网络攻击的隐蔽性，API 调用不会以明文形式写入代码中，是在运行时使用作为攻击链一部分的解密密钥进行解析。 此外，IDAT 还采用了代码注入和执行模块等独特技术，使其与传统的加载程序不同。IDAT 提取嵌入恶意PNG 图像文件中的编码有效载荷，然后在内存中对其进行解密和执行，最后解密和执行 Remcos RAT。（这是一种商品恶意软件，黑客将其用作被入侵系统的后门，允许隐秘地窃取数据和监控受害者的活动） 最后，Morphisec 强调，IDAT 还能够提供 Danabot、SystemBC 和 RedLine Stealer 等恶意软件，但目前还不清楚这些恶意软件是否出现在了受害者的内部系统中。   转自Freebuf，原文链接：https://www.freebuf.com/news/392677.html 封面来源于网络，如有侵权请联系删除

多家媒体披露，Python 软件包索引（PyPI）资源库中一个“休眠已久”的软件包在两年后突然再次更新了，研究人员发现，威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。 软件供应链安全公司 Phylum 表示，2022 年 4 月，一个为 django-log-tracker 的软件包首次发布出现在 PyPI 上。两年后，网络研究人员重新检测到该库出现异常更新。 研究人员指出，Django-log-tracker 自上线以来已经被其它用户下载了 3866 次，但链接的 GitHub 存储库自 2022 年 4 月 10 日以来没有更新过一次，本次恶意更新表明该库开发者的 PyPI 账户很可能已经被威胁攻击者入侵了。 值得一提的是，恶意版本（1.0.4）在发布当日被下载 107 次。目前，django-log-tracker 软件包已无法从 PyPI 下载。 研究人员在分析后发现，威胁攻击者的恶意更改简单明了，包括从远程服务器（“45.88.180[.] 54”）获取一个名为“Updater_1.4.4_x64.exe”的可执行文件，然后使用 Python os.startfile（）函数启动它。二进制的执行文件嵌入了 Nova Sentinel 窃取恶意软件。（Sekoia 在 2023 年 11 月首次记录到其以虚假 Electron 应用程序的形式，在提供视频游戏下载的虚假网站上疯狂传播） 此外，威胁攻击者在恶意更新中还几乎删除了 django-log-tracker 软件包的大部分原始内容，只留下了 __init__.py 和 example.py 文件。 最后，Phylum 安全研究人员强调，此次 PyPI 软件包传播恶意软件案例有趣之处在于，攻击向量似乎是通过一个受损的 PyPI 账户进行了一次供应链攻击，如果该软件包这是一个非常“流行”的包，那么任何将此包列为依赖项的项目，如果在其依赖项文件中没有指定版本或指定灵活版本，都会获取此包的最新恶意版本。   转自Freebuf，原文链接：https://www.freebuf.com/news/392568.html 封面来源于网络，如有侵权请联系删除

德国德国能源行业开发商 PSI Software SE 已确认受到勒索软件攻击，该攻击影响了其内部基础设施。 该公司在全球开展业务，拥有 2,000 多名员工。它专门为大型能源供应商开发软件解决方案，还提供一系列用于管理和维护交钥匙能源基础设施、投资组合管理和能源分配的解决方案。 2月15日，PSI Software 在其网站主页上宣布遭受网络攻击。由于此次攻击，该公司不得不关闭包括电子邮件在内的多个 IT 系统，以降低数据丢失的风险。 在随后的更新中，PSI Software 确认此次中断是由网络犯罪分子使用勒索软件造成的。到目前为止，该公司还无法确定攻击者的具体渗透方法。 “2 月 15 日晚，我们的网络检测到异常活动。出于安全原因，所有外部连接和系统立即被禁用。”PSI Software 表示。 目前没有证据表明攻击者获得了客户端系统的访问权限，但调查仍在进行中。 该公司没有提供有关客户端系统目前是否以任何形式运行的信息。所有 PSI Software 客户的运营也可能无限期暂停。当局已获悉该事件，联邦信息安全办公室的专家正在积极帮助该公司最大程度地减少该事件的后果。所有系统的功能将在不影响安全的情况下尽快恢复。   转自安全客，原文链接：https://www.anquanke.com/post/id/293369 封面来源于网络，如有侵权请联系删除

近期有安全研究人员警告称，黑客滥用谷歌云运行服务传播大量银行木马，如Astaroth、Mekotio和Ousaban。 谷歌云运行服务无需管理基础设施或进行扩展，允许用户部署前端和后端服务、网站或应用程序，处理工作负载。 思科Talos研究人员观察到，从2023年9月开始，滥用谷歌服务传播恶意软件的情况大量增加，当时就曾有巴西黑客发起了使用MSI安装文件部署恶意软件有效载荷的活动。 研究人员的报告中指出，谷歌云运行服务近来对网络犯罪分子很有吸引力，因为它成本效益高，而且能够绕过标准的安全拦截和过滤器。 链接到谷歌云运行服务的大量钓鱼电子邮件 攻击链 这些攻击往往是通过发送给潜在受害者的网络钓鱼电子邮件开始，这些电子邮件被伪造成发票、财务报表或当地政府和税务机构信息的合法通信。 研究人员称，由于攻击目标是拉丁美洲国家，因此活动中的大多数电子邮件都使用西班牙语，但也有使用意大利语的情况。 活动中使用的钓鱼电子邮件样本（思科） 这些电子邮件带有重定向到谷歌云运行服务托管的恶意网络服务的链接。 在某些情况下，有效载荷通过 MSI 文件传送。在其他示例中，服务会发出 302 重定向到谷歌云存储位置，该位置存储了包含恶意 MSI 文件的 ZIP 压缩包。 恶意软件分发链（思科） 当受害者执行恶意 MSI 文件时，系统会下载并执行新的组件和有效载荷。 在观察到的案例中，第二阶段的有效载荷传输是通过滥用合法的 Windows 工具 “BITSAdmin “完成的。 最后，恶意软件通过在启动文件夹中添加 LNK 文件（’sysupdates.setup<random_string>.lnk’），配置为执行 PowerShell 命令来执行感染脚本（’AutoIT’），从而在受害者的系统上建立持久性，以便在重启后继续运行。 阿斯塔罗斯的执行链（思科） 黑客利用谷歌云运行服务传播三大银行木马 此次黑客利用谷歌云运行服务传播的三个银行木马分别是： Astaroth/Guildma、Mekotio 和 Ousaban。这些木马都能够隐蔽地渗透系统、建立持久性并外泄敏感的金融数据，这些数据均可用于接管银行账户。 Astaroth 具有先进的规避技术。该恶意软件最初主要针对巴西受害者，但现在的目标是拉丁美洲 15 个国家的 300 多家金融机构。最近，该恶意软件开始利用键盘记录、屏幕捕获和剪贴板监控，Astaroth 不仅能窃取敏感数据，还能拦截和操纵互联网流量以获取银行凭证。 Ousaban与Astaroth或系同个恶意软件家族 除了Astaroth外，Mekotio 也已活跃数年，它以窃取银行凭证、个人信息和进行欺诈性交易而闻名。它还可以操纵网络浏览器，将用户重定向到钓鱼网站。其以往的攻击活动主要集中在拉丁美洲地区。 另外一个Ousaban 银行木马能够进行键盘记录、截图，并利用伪造（即克隆）的银行门户网站对银行凭证进行网络钓鱼。 Cisco Talos指出，Ousaban是在Astaroth感染链的后期阶段发布的，这表明这两个恶意软件家族的操作者之间可能存在合作，或者是这两个恶意软件家族可能是由同一个威胁行为者同时管理的。   转自Freebuf，原文链接：https://www.freebuf.com/news/392271.html 封面来源于网络，如有侵权请联系删除