HackerNews 编译，转载请注明出处： 乌克兰多家知名媒体遭受俄罗斯黑客攻击，并发布了与战争有关的虚假新闻。 受攻击的媒体包括《乌克兰真理报》、商业媒体网站Liga.net，以及新闻网站Apostrope和Telegraf。传播的虚假消息声称俄罗斯摧毁了乌克兰东部城市阿夫季夫卡的乌克兰特种部队。 乌克兰陆军参谋长奥列克桑德·西尔斯基 (Oleksandr Syrskyi) 表示，乌克兰军队已撤离该市。俄罗斯军方于二月初占领了阿夫季夫卡，但没有官方信息证实该市当地特种部队已被俄罗斯摧毁。 Liga.net目前已删除虚假报道，但该报道曾在一段时间内被持续传播。该组织已向读者发布道歉声明，并调查可能存在的安全漏洞，以防止未来类似事件发生。 同时，乌克兰最大的新闻网站Ukrainska Pravda报告称，周日晚间其X账户遭到黑客攻击，黑客利用该账户发布了关于Avdiivka的虚假内容。 乌克兰国家网络安全机构(SSSCIP)将此次攻击归咎于俄罗斯黑客，称此事件是俄罗斯针对乌克兰的“信息战”一部分，目前正在调查。 乌克兰媒体经常成为俄罗斯黑客的目标，针对媒体的攻击侧重于虚假信息的传播。乌克兰计算机紧急响应小组(CERT-UA)的负责人Yevheniia Nakonechna指出，俄罗斯黑客组织包括国家控制威胁行为者，例如Sandworm。 去年，乌克兰计算机紧急响应小组(CERT-UA)发现了数十起针对乌克兰媒体机构及其员工的网络攻击。该机构指出，这仅是所有案例中的一小部分，因为许多组织并未报告网络事件。 2022年2月及随后几个月内，俄罗斯针对乌克兰媒体的网络活动达到高峰。一些攻击结合了污损和破坏性手段，例如在6月份对乌克兰公共广播公司Suspilne的攻击中，黑客发布了虚假新闻并扰乱网站运行。 “敌人通过攻击媒体试图破坏乌克兰局势稳定，散布恐慌，推动不信任国家当局或军队，并获取重要信息，包括媒体工作者的个人数据。”SSSCIP称。   消息来源：therecord.media，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，与白俄罗斯和俄罗斯利益一致的威胁行为者与一场新的网络间谍活动有关，该活动可能利用Roundcube网络邮件服务器中的跨站点脚本（XSS）漏洞，以80多个组织为目标。 据Recorded Future称，这些实体主要位于格鲁吉亚、波兰和乌克兰，该公司将入侵事件归因于一个名为Winter Vivern的威胁行为者，也被称为TA473和UAC0114。这家网络安全公司正在追踪这家名为“威胁活动组70”（TAG-70）的黑客组织。 Winter Vivern利用Roundcube和软件中的安全漏洞的行为此前曾在2023年10月被ESET强调，加入了APT28、APT29和Sandworm等其他与俄罗斯有关的威胁行为者团体，这些团体以电子邮件软件为目标。 该对手至少自2020年12月以来一直活跃，还与去年Zimbra Collaboration电子邮件软件中一个现已修补的漏洞被滥用，于2023年7月渗透到摩尔多瓦和突尼斯的组织有关。 Recorded Future发现的这场运动从2023年10月初开始，一直持续到本月中旬，目的是收集有关欧洲政治和军事活动的情报。这些攻击与2023年3月发现的针对乌兹别克斯坦政府邮件服务器的TAG-70活动重叠。 该公司表示：“TAG70在攻击方法上表现出了高度的先进性。威胁行为者利用社会工程技术，利用Roundcube网络邮件服务器中的跨站点脚本漏洞，绕过政府和军事组织的防御，获得对目标邮件服务器的未经授权的访问。” 攻击链涉及利用Roundcube缺陷向命令和控制（C2）服务器提供JavaScript有效载荷，这些有效载荷旨在过滤用户凭据。 Recorded Future表示，TAG-70瞄准伊朗驻俄罗斯和荷兰大使馆以及格鲁吉亚驻瑞典大使馆的证据。 报告称：“伊朗驻俄罗斯和荷兰大使馆的袭击表明，评估伊朗的外交活动，特别是在乌克兰对俄罗斯的支持方面，有着更广泛的地缘政治利益。同样，针对格鲁吉亚政府实体的间谍活动反映了格鲁吉亚对加入欧盟和北约的愿望的关注。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/eIv3gX9vH-GAqQDTDD97Ug 封面来源于网络，如有侵权请联系删除

AnyDesk已采取补救措施，包括吊销安全相关证书、更新受影响系统，并呼吁用户更新至最新版本软件。 本周六凌晨远程桌面软件AnyDesk发布安全公告，确认其公司服务器遭到网络攻击，攻击者窃取了部分源代码和代码签名密钥。根据Shodan搜索结果，美国和中国的AnyDesk端点最多，全球受影响的AnyDesk远程桌面分布如下（7070端口）： AnyDesk是一款流行的远程桌面解决方案，常用于企业IT管理和远程文件访问。此次攻击事件引发了众多安全焦虑，尤其是该软件（与TeamViewer类似）在勒索软件和APT等黑客群体中颇受欢迎，常被用于恶意持久化访问。 AnyDesk公司在声明中表示，他们在发现服务器系统异常后第一时间启动了安全响应计划，并与网络安全公司CrowdStrike合作进行调查。目前尚不清楚攻击者是否窃取了用户数据，但BleepingComputer证实了源代码和代码签名证书的泄露。 值得庆幸的是，此次攻击并非勒索软件感染，也没有证据表明用户终端设备受到影响。AnyDesk已采取补救措施，包括吊销安全相关证书、更新受影响系统，并呼吁用户更新至最新版本软件。 AnyDesk在声明中宣称： “我们的系统设计为不存储可被用来连接最终用户设备的私钥、安全令牌或密码。作为预防措施，我们将撤销门户网站my.anydesk.com的所有密码，并且如果在其他地方使用相同的凭据，我们建议用户更改密码。“ 缓解措施 以下为AnyDesk用户需注意的安全要点： 立即更新至最新版本AnyDesk，新版本使用新的代码签名证书，旧版本证书即将被吊销。 重设AnyDesk账户密码，即使官方表示密码未被窃取，出于谨慎考虑仍建议更改密码。 若AnyDesk密码与其他网站通用，务必在其他平台也进行密码更改。 启用双因素认证（2FA）为账户添加额外的安全保护。 保持警惕，避免点击可疑链接或打开未知文件。 安全研究人员FlorianRoth发布了一个YARA规则检测受损的AnyDesk签名证书二进制文件：https://github.com/Neo23x0/signature-base/blob/master/yara/gen_anydesk_compromised_cert_feb23.yar 截至发稿，根据参与事件调查的网络安全研究人员哈蒙德发布的更新：1.新的AnyDesk代码签名证书是最新版本。2客户数据不受影响，AnyDesk应用程序正常，没有更新或代码被篡改。 AnyDesk是2024年继微软、惠普之后第三家曝出严重安全事件的知名IT企业，且性质极为严重。该事件提醒我们网络安全工作的重要性、艰巨性和复杂性，即便是知名IT企业（产品）也会成为攻击目标，并快速波及全球供应链上的大量企业。   转自Goupsec，原文链接：https://mp.weixin.qq.com/s/2ujyofKMnUlIXNmxF7oGoQ 封面来源于网络，如有侵权请联系删除

五角大楼证实，与执法部门合作调查指控黑客组织ALPHV（又名BlackCat）窃取了涉及美国武装部队的敏感数据文件。该组织威胁将公布从弗吉尼亚州IT公司Technica窃取的300GB数据。 Technica 尚未回应置评请求，但黑客表示，该公司的黑客攻击使他们能够获取与国防反情报和安全局相关的信息，该局已经进行了各种安全许可检查。 五角大楼发言人苏·高夫表示，目前正在与执法部门协调，但拒绝就具体安全事件发表评论。 与此同时，为了支持他们的说法，ALPHV 发布了被盗文件的屏幕截图，其中包含数十人的姓名、社会安全号码、安全许可和就业地点，以及与各个政府机构和私人承包商的发票和合同。该组织威胁称，除非 Technica 联系他们，否则将出售或公开这些数据。 ALPHV 采用RaaS模型运行，自成立以来已发起了一千多次网络攻击。美国司法部将该组织描述为世界第二大勒索团伙（ LockBit 排名第一 ）。 ALPHV 最引人注目的攻击是去年 9 月针对米高梅度假村和凯撒娱乐公司的勒索行为 。尽管 FBI 声称已于 12 月封锁了该组织的网络基础设施，但 ALPHV 表示已恢复对其资源的访问，并取消了针对美国政府和军事企业的攻击限制。   转自安全客，原文链接：https://www.anquanke.com/post/id/293090 封面来源于网络，如有侵权请联系删除

UNC4990 小组已经证明，即使过时的技术仍然非常有效。 UNC4990小组最近在意大利活跃，利用受感染的USB设备进行网络攻击，涉及医疗保健、运输、建筑和物流等多个行业。攻击方式包括通过USB传播恶意软件，使用GitHub、Vimeo和Ars Technica等网站来托管额外的有效负载，并且采用PowerShell从这些站点下载和解密恶意文件。UNC4990的最终目标尚不清楚，但已确定其中一个案例涉及加密货币挖矿，表明可能存在财务动机。 此外，Fortgale和Yoroi的研究人员也记录了类似的恶意活动。感染过程始于受害者启动恶意LNK文件，导致执行远程服务器加载EMPTYSPACE的PowerShell脚本。EMPTYSPACE具有四种风格，分别用Golang、.NET、Node.js和Python编写，用于下载下一阶段的恶意软件，包括QUIETBOARD后门。 QUIETBOARD是一个功能广泛的Python后门，可以执行任意命令、更改加密货币钱包地址和收集系统信息，还可以传播到可移动存储设备并截取屏幕截图。尽管攻击者使用流行网站来托管恶意软件，但这些网站的内容对普通用户并不构成直接威胁。 分析EMPTYSPACE和QUIETBOARD表明，攻击者采用模块化方法开发工具，表现出实验性和适应性。这些事件证明，即使是旧的妥协方法（如分发受感染的USB驱动器）仍然有效，并且内置安全系统通常无法识别它们。这些攻击强调了不断改进网络防御的重要性，只有综合考虑技术、流程和人为因素，才能确保适当的安全级别。   转自安全客，原文链接：https://www.anquanke.com/post/id/293056 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息， Cloudflare 透露其内部 Atlassian 服务器遭到一名疑似 “民族国家攻击者 “的网络入侵，威胁攻击者访问了 Confluence 维基、Jira 错误数据库和 Bitbucket 源代码管理系统。 11 月 14 日，威胁攻击者非法访问了 Cloudflare 自托管 Atlassian 服务器，然后又进入了 Cloudflare 公司的 Jira 系统。Cloudflare 首席执行官 Matthew Prince、首席技术官 John Graham-Cumming 和首席信息安全官 Grant Bourzikas 表示，11 月 22 日，威胁攻击者使用 Jira 的 ScriptRunner 对其 Atlassian 服务器建立起了持久访问，获得了对源代码管理系统（使用 Atlassian Bitbucket）的访问权限。威胁攻击者甚至尝试访问一个控制台服务器。（该服务器可以访问 Cloudflare 尚未投入生产的巴西圣保罗数据中心） 从后续披露的调查结果来看，为访问 Cloudflare 系统，威胁攻击者使用一个访问令牌和三个服务帐户凭据。据悉，这些凭据是某次 Okta 遭受网络攻击活动中流出的，Cloudflare 并未对凭据进行轮换更新。（Okta 入侵期间泄露了数千个凭据）。 11 月 23 日，Cloudflare 的安全研究人员检测到网络恶意活动，11 月 24 日上午切断了威胁攻击者的访问权限，三天后，Cloudflare 组织了大量网络安全专家开始调查该事件。处理该事件时，Cloudflare 的工作人员轮换了所有生产凭证（超过 5000 个唯一凭证），对测试和暂存系统进行了物理分割，对 4893 个系统进行了取证分流，重新映像和重启了包括所有 Atlassian 服务器（Jira、Confluence 和 Bitbucket）和攻击者访问的机器在内的全球网络上的所有系统。 2024 年1 月，Confluence 公司发布声明称，其员工目前仍在进行软件加固、凭证更新和漏洞管理，并指出此次网络攻击事件未影响 Cloudflare 的客户数据或系统，其服务、全球网络系统或配置也未受到影响。 Prince、Graham-Cumming 和 Bourzikas 表示，鉴于威胁者使用窃取的凭证入侵了 Cloudflare 的 Atlassian 服务器，并访问了一些文档和少量源代码，尽管知道此次事件对公司运营的影响极为有限，但还是非常重视此次事件。 值得一提的是， Cloudflare 方面认为威胁攻击者分析 Cloudflare 的维基页面、漏洞数据库问题和源代码库，似乎在寻找有关 Cloudflare 全球网络的架构、安全和管理的信息，毫无疑问，这些威胁攻击者的目标是获得更深的立足点。 Cloudflare 认为此次攻击活动由一个“民族国家攻击者 “实施，其目的是获得对 Cloudflare 全球网络的持久和广泛访问。 Cloudflare 遭受多次网络攻击 2023 年 10 月 18 日，Cloudflare 的 Okta 实例使用从 Okta 支持系统窃取的身份验证令牌被攻破，威胁攻击者成功入侵了 Okta 客户支持系统，并获取了属于包括 1Password、BeyondTrust 和 Cloudflare 等在内的 134 家客户的文件信息。 2023 年 10 月事件发生后， Cloudflare 公司表示，其安全事件响应小组已经做出快速反应，最大限度地减少了对 Cloudflare 系统和数据的影响，没有 Cloudflare 客户信息或系统受到影响。2022 年 8 月，威胁攻击者还曾试图使用在一次网络钓鱼攻击中窃取的员工凭证入侵 Cloudflare 系统，好在最终因无法访问受害者公司发放的符合 FIDO2 标准的安全密钥而失败。   转自Freebuf，原文链接：https://www.freebuf.com/news/391275.html 封面来源于网络，如有侵权请联系删除

HHS 获悉，近 400 万 Concentra Health Services 患者受到 PJ&A 数据泄露的影响。 针对医疗转录公司 Perry Johnson & Associates (PJ&A) 的攻击后来成为 2023 年美国卫生部门最大的数据泄露事件。 总部位于内华达州的 PJ&A 为全国各地的医疗机构提供转录服务，这意味着它存储了数百万美国人的敏感数据。 该公司于去年 3 月 27 日至 5 月 2 日期间遭到黑客入侵，身份不明的网络犯罪分子于 4 月 7 日至 4 月 9 日期间从其系统中窃取了个人数据。PJ&A 随后披露，该漏洞影响了超过 895 万人。 该公司的一些客户分别报告了其对患者的影响，PJ&A 持有这些患者的数据。其中包括总部位于芝加哥的库克县卫生局 (CCH)，该公司表示，由于此次数据泄露事件，该公司的服务受到影响，120 万名患者受到影响，该公司已停止使用该公司的服务。 纽约最大的医疗保健提供商 Northwell Health 最初表示，其 390 万名患者受到影响，但在随后的声明中没有提及具体数字。 本月早些时候，P&J 的另一家客户 Concentra Health Services 通知美国卫生与公众服务部(HHS)，此次数据泄露事件影响了 3,998,162 名患者。 Concentra 是一家职业健康保健服务提供商，在全国运营着 540 个医疗中心，并在雇主所在地设有 150 个现场诊所。 该公司在其网站上的一份通知中表示，受 PJ&A 数据泄露事件影响的患者应“通过审查其账户对账单、信用报告以及对异常活动的福利表格的解释，保持警惕，防止身份盗用事件，并发现错误。” HCA Healthcare 数据泄露事件成为 2023 年行业最严重的数据泄露事件 7 月，田纳西州 HCA Healthcare 遭受网络攻击，导致超过1100 万份患者记录被盗，被认为是 2023 年最广泛的卫生部门数据泄露事件。Concentra 最近的 HHS 通知使受 PJ&A 数据泄露事件影响的患者总数超过 1400 万。 PJ&A 此前表示，虽然黑客窃取的详细信息因患者而异，但被泄露的信息可能包括患者的姓名、出生日期、地址、病历号码、医院账号、入院治疗时的诊断结果以及住院日期和住院日期。他们接受治疗的次数。 其他可能泄露的数据包括社会安全号码、保险详细信息以及医疗转录文件中的临床信息，例如测试结果、药物、治疗设施和医疗保健提供者的名称。 根据向 HHS 提交的报告，本月将量化的另一起重大卫生部门数据泄露事件是对科技公司 HealthEC 的攻击。该漏洞发生在去年 7 月，根据本月 HHS 提交的文件，影响了与 18 家医疗服务提供者签约的患者的450 万条记录。   转自安全客，原文链接：https://www.anquanke.com/post/id/293041 封面来源于网络，如有侵权请联系删除

土耳其黑客攻击了以色列一家受欢迎的连锁电影院的系统，以传播威胁信息。 1 月 23 日，土耳其裔黑客控制了特拉维夫 Lev 连锁影院的广告屏幕显示，该连锁影院是该国访问量最大的电影院之一。该消息包含 10 月 7 日哈马斯袭击以色列的希伯来语文本和镜头。在文本中，网络犯罪分子承诺他们将限制以色列访问互联网和银行服务。 电影院广告屏幕上的黑客消息 为了发布该消息，黑客侵入了负责更新广告屏幕保护程序和预告片的外部系统。目前，这些消息已被删除，警方正在调查事件的具体情况， MeshSec 组织宣布参与此次网络攻击。 自加沙冲突爆发以来，巴勒斯坦和以色列支持者的黑客行动主义有所加剧。攻击目标通常包括政府和媒体站点以及关键基础设施系统。因此，以色列最大的移动运营商 Pelephone 的工作最近受到黑客活动分子的干扰，加沙仍然完全缺乏互联网。 该 事件严重限制了大多数居民的沟通能力。   转自安全客，原文链接：https://www.anquanke.com/post/id/292973 封面来源于网络，如有侵权请联系删除

乌克兰安全部门逮捕了一名黑客，该黑客涉嫌针对政府网站并向俄罗斯提供情报以对哈尔科夫市进行导弹袭击。 乌克兰安全局（SSU）透露，其网络部门已识别出该人的身份，并指控该人遵循俄罗斯情报部门 FSB 的指示。 黑客监视乌克兰军事网站 据称，该黑客监视并向俄罗斯提供有关乌克兰第二大城市哈尔科夫军事基础设施位置的信息。 其中包括乌克兰防空和炮兵阵地的潜在地点。SSU 表示，被拘留者通过通讯应用程序向 FSB 发送了带有此类目标坐标的电子地图屏幕截图。 SSU 的帖子称：“为了收集有关国防军的情报，该男子在该地区行走并秘密记录了乌克兰防御者的可能位置。” 该部门补充说，俄罗斯利用这些信息对该市的民用基础设施进行了两次导弹袭击，其中包括当地一家医院。 此外，SSU 表示，黑客正在按照 FSB 的指示准备对乌克兰政府网站进行一系列 DDoS 攻击。 俄罗斯招募乌克兰间谍 嫌疑人是一名 IT 专家，居住在哈尔科夫市。调查显示，他是 FSB 通过专门的 Telegram 渠道招募的。 SSU表示，它查获了三部手机、一台笔记本电脑和闪存驱动器，这些设备被用来对乌克兰进行破坏活动。 根据有关未经授权传播有关乌克兰武器和弹药供应、流动信息的立法，该人现已收到“嫌疑通知书”。 SSU 表示，嫌疑人已被拘留，最高可能面临 12 年监禁。 2024 年 1 月 3 日，SSU报告称，俄罗斯情报机构入侵了在线监控摄像头，以在导弹袭击之前监视基辅的防空活动和关键基础设施。 美国判处俄罗斯网络犯罪分子 在美国，一名俄罗斯黑客最近因开发和部署 Trickbot 恶意软件而被判处五年零四个月监禁。 40 岁的俄罗斯公民弗拉基米尔·杜纳耶夫 (Vladimir Dunaev)于 2023 年 12 月承认了这些指控。 Trickbot 是模块化恶意软件，旨在窃取凭据、安装后门等，在为 Ryuk 和 Conti 等勒索软件组织提供初始访问权限方面发挥着重要作用。 它被用来攻击美国各地的医院、学校和企业，造成数千万美元的损失。 司法部 (DoJ) 代理助理总检察长 Nicole M. Argentieri 在评论这一判决时表示：“这一判决表明，司法部有能力将网络犯罪分子关进监狱，无论他们身在何处。 “我们将与世界各地的合作伙伴合作，继续将网络犯罪分子绳之以法。” 2023 年 9 月，美国和英国联合制裁了11 名被指控与 Trickbot 恶意软件有关的俄罗斯人。   转自安全客，原文链接：https://www.anquanke.com/post/id/292952 封面来源于网络，如有侵权请联系删除

以色列最大移动运营商 Pelephone 的工作受到黑客活动分子的干扰，加沙仍然完全缺乏互联网。据 监控全球互联网的非营利组织 NetBlocks 称，Pelephone 网络于 1 月 23 日发生中断。“匿名苏丹”组织声称对其 Telegram 频道的袭击负责。 Pelephone 是以色列领先且历史最悠久的电信公司之一，拥有约 200 万用户。NetBlocks 援引用户报告，证实了 Pelephone 网络中断。 NetBlocks 发布有关 Pelephone 网络关闭的帖子 匿名苏丹组织声称对以色列最大的移动运营商和电信公司之一的基础设施造成了“毁灭性打击”。 匿名苏丹关于 Pelephone 袭击事件的帖子 匿名苏丹还表示，愿意为 Pelephone 网络整体健康造成的任何损害承担责任。 “附带损害将相当大，因为它托管着许多关键系统，包括 SCADA 和其他基于基础设施的端点，以及依赖 Pelephone 基础设施的公司，”匿名苏丹指出。 该组织发誓要继续对以色列发动袭击。与此同时，加沙仍然几乎完全无法接入互联网。据 NetBlocks 报道，自 1 月 22 日以来，加沙一直处于电信中断状态。该事件可能会严重限制大多数居民的沟通能力。   转自安全客，原文链接：https://www.anquanke.com/post/id/292904 封面来源于网络，如有侵权请联系删除