一个名为Cyber Av3ngers的黑客组织在社交媒体上声称，他们入侵了以色列的10个废水处理厂。受影响的城镇包括赫德拉、帕尔玛希姆、索莱克、阿什基隆、海法、霍拉津、克法尔哈鲁夫、塔贝里亚、埃拉特和但以理。该黑客组织有伊朗背景。 目前无法确认这些物体确实受到攻击，管理其中一些设施的IDE技术公司没有回答有关事件细节的问题。然而，黑客发布的视频中有一个软件菜单，显示了IDE技术的徽标。 目前无法确认这些物体确实受到攻击，管理其中一些设施的IDE技术公司没有回答有关事件细节的问题。然而，黑客发布的视频中有一个软件菜单，显示了IDE技术的徽标。   根据该组织的录像和声明，黑客关闭了自动控制台站、传感器和控制的工业系统，使操作员能够手动控制系统。在视频的一个帧中，屏幕上显示了系统酸度的信息，提示您希望“停止清洁”。 黑客还发布了一段视频，展示了通过命令行进行黑客攻击的过程，包括受攻击系统的IP地址。其中一些IP地址属于私人领域，与西门子（Siemens）关联，西门子管理屏幕截图上的软件。 该伊朗背景的黑客组织CyberAv3ngers于10月24日在Telegram上宣布，他们攻陷了以色列内坦亚市的一家污水处理厂。该组织在他们的Telegram频道和X账户上，均发布了部分屏幕截图，显示他们已经获得了工厂控制和监控系统的访问权限。他们还威胁要破坏污水处理厂，除非以色列政府停止支持“占领巴勒斯坦”。10月29日，该组织发布消息称将在接下来的24小时内对以色列关键基础设施发动更厉害的网络攻击。 Cyber Av3ngers此前曾表示，以色列的发电站遭到网络攻击。卡巴斯基实验室的分析显示，有关先前攻击的说法包含来自另一个黑客活动组织Moses Staff的重复使用的图像和数据，该组织与伊朗有联系，旨在通过“窃取和发布敏感数据”来伤害以色列公司。 SecureList指出，还有另一个名为“网络复仇者”的活跃黑客组织，自2020年以来一直在针对以色列的组织，主要是那些负责该国关键基础设施的组织。然而，该组织与Cyber Av3ngers之间没有记录在案的联系。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TIdm1g7AaeJEqA6C-29o4g 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。 在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。 亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。 研究人员注意到，该恶意软件是一个x64 ELF可执行文件，缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的，文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹，但是，当以root权限运行时，Wiper可能会破坏整个操作系统。 在执行过程中，它会产生大量输出，可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件，从而提高了速度和覆盖范围。它的操作包括覆盖文件，用包含“BiBi”的随机字符串重命名文件，以及排除某些文件类型的损坏。 恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到，它没有使用C2服务器，在这种情况下，BiBi-Linux的Wiper也被用来破坏数据。 在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的，但当它与中东政治等话题混合在一起时，具有重要意义，因为它是以色列总理 Benjamin Netanyahu 的常用昵称。 一旦执行，恶意软件产生大量输出，在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题，这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止，即使控制台处于关闭状态。 为了加速感染过程，该威胁利用多个线程，并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件，大大提高了总体攻击的范围和速度。       Hackernews 编译，转载请注明出处 消息来源：Securityaffairs，译者：Serene

据彭博社当地时间10月30日报道，今年早些时候，司法部和国防部约632,000名员工的电子邮件地址在一次黑客攻击中被访问，这使得包括航空公司、大学和其他美国机构在内的组织数量在很大程度上受到一系列数据泄露的影响。归咎于一个讲俄语的犯罪集团Clop。 此次事件披露之际，正值华盛顿主场举办第三届年度国际反勒索软件倡议峰会，一个由40个国家组成的联盟将签署一项承诺，拒绝支付网络犯罪组织所要求的赎金。白宫负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)30日在对记者发表讲话时暗示，这一举措是为了应对全球范围内创纪录的勒索软件风险，其中美国是约46%的此类事件的目标。 主要事实 根据彭博社获得的人事管理办公室（OPM）的一份报告，被访问的电子邮件地址、该机构管理的政府雇员调查的链接以及机构内部跟踪代码，黑客通过数据公司Westat使用的名为MOVEit的文件传输程序获得了访问权限，OPM使用该程序来管理员工调查。受影响的国防部员工包括空军、陆军、陆军工程兵团、国防部长办公室和联合参谋部的官员。OPM将这起发生在5月28日和5月29日的黑客事件定性为“重大事件”，尽管该机构认为受损的数据“通常敏感性较低”且非保密。 此前，美国卫生与公众服务部、农业部和总务管理局也受到了黑客攻击的影响。能源部还收到了赎金要求。司法部和国防部都没有立即回应《福布斯》的置评请求。 简要背景 今年早些时候，黑客针对多个政府机构使用的文件传输软件MOVEit的漏洞，发生了大规模数据泄露事件。私营公司和其他政府机构也受到数据泄露的影响，包括壳牌、英国广播公司、英国航空公司、约翰·霍普金斯大学、佐治亚大学和能源部。据Politico报道，大约有十几家美国机构与MOVEit签订了合同。这些违规行为被归咎于俄语勒索软件组织CLoP，该组织还对涉及MOVEit的其他黑客攻击负责。据美联社报道，该组织估计受害者有数百人。网络安全和基础设施安全局局长乔恩·伊斯特利 (Jon Easterly)在6月份表示，这些黑客行为不会“对我们的国家安全或国家网络构成系统性风险”。 据俄勒冈州交通部称，6月份因俄勒冈州交通部数据泄露而暴露个人信息的俄勒冈州居民的估计人数达到350万。这些信息包括社会安全号码、出生日期、实际地址以及驾驶执照上列出的其他信息。 据KonBriefing Research创始人兼董事总经理Bert Kondruss的统计，截止10月31日，MOVEit攻击的已知受害者数量：2371个组织，7080万个人。此次泄露事件再次凸显了保护敏感数据所面临的持续挑战，以及加强网络安全措施以保护组织及其宝贵信息的必要性。 猖狂的Clop勒索 Cl0p是目前最臭名昭著的黑客团伙之一，已成功瞄准知名公司并勒索了数百万美元的赎金。根据Coveware的最新报告，该团伙已从最新的MOVEit攻击中获利75至1亿美元。Coveware首席执行官Bill Siegel指出，只有少数Cl0p受害者通常会屈服于他们的要求。 因此，黑客正在使用不同的勒索策略。Siegel还指出，MOVEit攻击已被证明比GoAnywhere数据盗窃成功得多，后者可能破坏130名受害者，但也没有收到他们想要的赎金。 正如预期的那样，Cl0p勒索软件团伙创建的所有Clearweb勒索网站均已下线，这证明了这种方法的短暂性。安全研究人员强调，Cl0p的最新网站缺乏竞争对手ALPHV勒索软件团伙（又名BlackCat）所使用方法的复杂性，该团伙引入这种方法是为了对受害者施加更大的压力。 KnowBe4的安全意识倡导者Eric Kron告诉Hackread，Cl0p勒索软件组织因其利用MOVEit漏洞的攻击而不断成为头条新闻，并且已成为一个不关心数据加密的非传统团伙或服务中断。这就是为什么在许多情况下数据泄露的受害者仍然不知道，因为没有任何“明显的迹象”。 “虽然该组织承诺删除与政府、城市或警察部门有关的信息，但该组织似乎不太可信。虽然他们可能不会公开泄露这些信息，但其他寻求收集有关美国公民或政府机构情报的国家可能会对此非常感兴趣，如果愿意将信息出售给这些实体，可能会为他们提供收入来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291155 封面来源于网络，如有侵权请联系删除

一群亲乌克兰黑客声称本周入侵了俄罗斯国家银行卡支付系统并获取了其用户数据。 DumpForums 组织和乌克兰网络联盟的活动人士表示，他们破坏了政府运营的国家支付卡系统 (NSPK) 的网站，并称已经获得了对消费者支付网络 Mir（俄语中的“世界”）内部系统的访问权限。Mir 是 Visa 和 Mastercard 等品牌的本土替代品，由 NSPK 运营。 NSPK向俄罗斯媒体证实，其网站确实遭到黑客攻击。入侵者涂改了主页，并留下一条消息，称这个“新”版本的 NSPK 网站是为了交换用户的个人数据而创建的。 不过，该机构否认有任何数据被泄露。NSPK 发言人在向俄罗斯通讯社塔斯社发表评论时表示，该网站是由“第三方承包商”开发和维护的，因此，它不存储任何机密信息，也不与支付基础设施链接。 “不可能通过网站访问任何系统。该公司的服务器和数据中心无法访问互联网。”NSPK 发言人表示。 该机构没有对黑客声称他们还访问了 Mir 内部系统的说法发表评论，但表示这些攻击对金融交易和支付没有影响。 截至发稿时，该机构尚未回应置评请求。截至美国东部时间周二上午，其网站仍处于关闭状态。 为了回应 NSPK 的评论，DumpForums发布了一个文件夹的屏幕截图，据称该文件夹包含 30 GB 的 Mir 数据。 Mir 于 2014 年克里米亚加入俄罗斯后推出，旨在克服因多家俄罗斯银行受到制裁而导致的电子支付潜在中断问题。 由于担心西方制裁，该系统在俄罗斯以外并不受欢迎。只有不到十几个对俄罗斯友好的国家接受 Mir 支付卡，包括白俄罗斯、委内瑞拉和古巴。 随着俄乌冲突爆发，以及国际支付服务撤离俄罗斯，Mir支付在俄罗斯的份额有所增加，目前占比接近50%。 对俄罗斯银行的袭击 俄罗斯的金融机构是乌克兰黑客的热门目标，因为它们的目的是扰乱该国的经济，并使克里姆林宫更难为其在乌克兰的战争提供资金。 10 月初，乌克兰黑客与该国安全部门 SBU 合作，入侵了俄罗斯最大的私人银行 Alfa-Bank 和从数百万客户那里获取数据。 一个亲乌克兰组织还声称对俄罗斯 MTS 银行和俄罗斯最大国有银行 Sberbank 的网络攻击负责。 去年 11 月，乌克兰网络活动分子声称侵入了俄罗斯中央银行，窃取了数千份内部文件，详细介绍了该银行的运营、安全政策以及一些现任和前任员工的个人数据。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JX-r8Siqmd6_mQy4x6gRGA 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局的一位高级官员周三表示，在一系列不断升级的全球冲突中，美国政府机构和私营部门组织应对针对关键基础设施和关键部门的破坏性网络攻击“保持高度警惕”。 CISA 执行助理主任埃里克·戈尔茨坦 (Eric Goldstein) 表示，美国已经面临重大国际危机——俄罗斯乌克兰以及以色列与哈马斯之间的战争——这对政府机构、关键基础设施运营商和私营部门构成了“网络安全方面的巨大挑战”。 戈德斯坦在智库 R Street Institute 主办的一次活动中表示：“俄罗斯网络攻击者的能力仍然很强。” 围绕乌克兰战争的俄罗斯网络活动的未来轨迹存在“巨大的不确定性”。 戈尔茨坦补充道：“我们必须对如何看待俄罗斯未来针对美国及其盟友的网络活动的可能性保持高度警惕。” CISA 主任 Jen Easterly 在 8 月份的一篇博客文章中表示，在2022 年 2 月之前，乌克兰私营部门与国际网络安全合作伙伴进行了合作，这一努力在增强该国的网络弹性方面发挥了重要作用。 去年俄乌冲突爆发后，CISA 的旗舰公私部门倡议——联合网络防御合作组织开始记录有关俄罗斯威胁行为者的信息，这是防止和减少针对乌克兰和美国本土的破坏性网络活动的一部分。 戈尔茨坦表示，JCDC 拥有 150 多个跨领域的组织，最近几周一直围绕以色列和哈马斯之间的战争“进行持续的合作”。 戈尔茨坦表示，CISA 还一直与以色列国家网络管理局的合作伙伴“并肩”合作。从外部来看，这场冲突中的网络安全攻击似乎仅限于寻求关注的黑客行动拒绝服务事件。密切观察人士表示，在冲突最初几天爆发后，这些攻击的速度已经放缓（参见：以色列-哈马斯战争：寻求公众关注的黑客活动分子选边站队）。 戈尔茨坦表示，为了成功防止未来与新出现的国际冲突有关的网络事件，政府需要继续“推动对公私部门网络安全举措的投资”，同时与私营部门合作伙伴共享互惠的有价值信息。 他补充道：“我们能做的越多，以确保我们能够顺畅地共享、共享互惠价值，这将使我们能够领先于威胁并在伤害发生之前降低风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291015 封面来源于网络，如有侵权请联系删除

日本卡西欧 (Casio) 近期披露，有黑客侵入其 ClassPad 教育平台的服务器后，泄露了来自 149 个国家及地区的用户数据。 卡西欧于 10 月 11 日检测到开发环境中的 ClassPad 数据库发生故障。有证据表明，攻击者在一天后（即 10 月 12 日）便访问并获得了数据，包括用户姓名、电子邮件地址、居住国家、服务使用详细信息以及支付方式、许可证代码和订单详情等信息。卡西欧方面称，信用卡信息并未存储在受损的数据库中。 截至 10 月 18 日，攻击者获取了属于91921 条日本用户的个人信息记录、35049 条记录属于148个海外国家和地区用户的记录。 卡西欧认为，由于主管部门对系统操作失误以及运营管理不足，造成开发环境中的部分网络安全设置被禁用，进而导致攻击者能获得未经授权的访问。 10月16日，卡西欧向日本个人信息保护委员会报告了这一事件，并正在与执法机构合作，协助其进行违规调查。此外，卡西欧正在与外部网络安全和取证专家合作进行内部调查，以找出事件的根本原因，并针对违规行为制定对策。 今年8月初，一名称为 thrax的攻击者声称在 BreachForums 网络犯罪论坛泄露了超过 120 万条卡西欧用户记录，这些记录据称是从旧版远程桌面服务 (RDS) 服务器中窃取，所有数据均来自2011年7月之前。   转自Freebuf，原文链接：https://www.freebuf.com/news/381495.html 封面来源于网络，如有侵权请联系删除

研究人员 发现了 巴勒斯坦军事组织哈马斯与历史悠久的阿拉伯语黑客组织之一之间可能存在合作的迹象。根据研究公司 Recorded Future 发布的一份报告，哈马斯可能已转向加沙以外的运营商和“第三方”，以保持与以色列战争期间运行的军事部门卡萨姆 (al-Qassam) 相关的新闻网站。 哈马斯对以色列发动首次重大袭击几天后，哈马斯成员和支持者使用的 Telegram 频道宣布推出一款与 Al-Qassam 相关的应用程序。该应用程序的发布是为了传播哈马斯的信息。 在加沙保持网站或应用程序运行很困难 – 以色列的空袭损坏了互联网基础设施并导致停电。该地区还经常受到出于政治动机的黑客的攻击，他们试图破坏其重要服务和网站。 哈马斯应该通过与那些能够帮助维持其运行的人共享其基础设施来解决这个问题。在以色列遭受重大攻击后，卡萨姆站点的运营商将其在不同的基础设施提供商之间转移。 通过分析该基础设施，研究人员发现了可疑的 Al-Qassam 网站重定向以及与该网站域和大约 90 个其他域相关的相同 Google Analytics 代码。 第一组域名使用了与黑客组织TAG-63类似的注册方法，也称为AridViper和APT-C-23。它是一个国家支持的网络间谍组织，以中东地区讲阿拉伯语的人为目标而闻名。据信该组织代表哈马斯行事。 第二组域名可能与伊朗有关。与伊朗相关的网页之一试图冒充世界反酷刑组织 (OMCT)。研究人员无法确认该网站是否被黑客用于网络钓鱼或社交工程。 伊朗与哈马斯保持着密切联系，伊朗的圣城军是一支专门从事非常规战争和军事情报的部队，是唯一经过验证的伊朗实体，以对哈马斯和其他巴勒斯坦威胁组织提供网络支持而闻名。 研究人员表示，尽管没有太多证据表明双方之间存在合作，但这份报告提供了有关这些团体如何互相帮助的见解。   转自安全客，原文链接：https://www.anquanke.com/post/id/290856 封面来源于网络，如有侵权请联系删除

黑客利用人工智能冒充非洲联盟委员会主席穆萨-法基（Moussa Faki）与多位欧洲领导人通话。 法基的发言人 Ebba Kalondo 在 X（前 Twitter）上发文称，网络不法分子假冒法基与一些欧洲国家首都城市领导人进行了深度伪造视频通话。 据肯尼亚新闻媒体《东非人》（The EastAfrican）报道，卡隆多还证实，疑似网络犯罪分子与多位欧洲领导人进行了通话。 该报道称，黑客在通话过程中使用了深度伪造的视频篡改技术来冒充主席。同时，非洲联盟（AU）在一份声明中说，有人使用伪造的电子邮件地址要求与外国领导人通话。 非盟表示 “对这些事件感到遗憾”，并重申其官方电子邮件地址以 Name@africa-union.org 开头，任何其他电子邮件都不是合法的非盟电子邮件地址。 非盟还表示，它只会通过驻埃塞俄比亚首都亚的斯亚贝巴（非盟总部所在地）的派驻使馆，使用被称为普通照会的公函要求与外国领导人通话。 非盟没有透露哪些欧洲国家政府受到了网络钓鱼的影响，也没有透露与假冒的法基通话的领导人姓名。 据《东非日报》（The EastAfrican）报道，冒名者的意图也不明确，但他们可能是想窃取数字身份以获取机密信息。 这并不是欧洲官员第一次成为 Deepfake 视频通话的目标。去年，包括柏林在内的几个欧洲大城市的市长都中了假冒基辅市长维塔利-克里琴科（Vitali Klitschko）的虚假视频电话的圈套。 在一年前的另一起案件中，几位欧洲议员说，他们上当受骗，与假冒的列昂尼德-沃尔科夫（Leonid Volkov）进行了视频通话，后者是被监禁的俄罗斯反对派领导人阿列克谢-纳瓦尔尼（Alexey Navalny）的助手。 Deepfake 视频诈骗和宣传活动在社交媒体上也层出不穷，上周，英国反对党领袖基尔-斯塔默（Keir Starmer）向工作人员骂脏话的 Deepfake 视频在英国疯传。 网络安全专家说，深度伪造可能很快就会构成最大的网络安全威胁，而人工智能促成的网络攻击可能在短短五年内就会成为常态。   转自Freebuf，原文链接：https://www.freebuf.com/news/381328.html 封面来源于网络，如有侵权请联系删除

在过去的一周里，堪萨斯州的司法系统勒索软件攻击而陷入困境。对州法院日常运作至关重要的多个系统受到了影响，包括堪萨斯州法院用于律师提交案件文件的电子归档系统、电子支付系统（包括信用卡交易和电子支票），以及地区和上诉法院用于案件处理的案件管理系统。堪萨斯州最高法院已经转向使用纸质记录来支持工作。 针对这种情况，该州最高法院发布了一项行政命令，确认上诉法院和大多数地区法院的书记官办公室已关闭。尽管问题仍在继续，但法院仍在运作。然而，办事员目前无法接受电子申报或付款，所有提交都是以纸质或传真形式提交的。纸质文件也可提供专人递送或邮寄服务。堪萨斯州最高法院周四表示：“由于法院因电子钓鱼而无法进入，根据适用的规则和法规，某些申请的截止日期可能会延长。” 法院将接受纸质文件和传真文件。如果需要付款，则不能接受传真文件。法院也不能接受电子付款，无论是通过信用卡、电子支票还是其他电子方式。 目前正在调查事件发生时发生了什么，它是如何发生的，以及攻击者获得的访问级别。最高法院决定暂停以电子方式提交文件，以便专家有时间分析事件。州长办公室没有回答为解决这个问题提供了哪些资源，但最近宣布了300万美元的赠款。从联邦政府获得的资金用于更新州法院使用的数字系统。 堪萨斯州司法部门因上周的事件中断了用户对以下在线系统的访问： 堪萨斯州法院电子归档，接受电子归档文件。 堪萨斯州保护令门户网站，接受电子存档文件。 堪萨斯地区法院公共访问门户网站，允许搜索地区法院案件信息。 上诉案件查询系统，允许搜索上诉法院的案件信息。 堪萨斯州律师注册，允许通过姓名或编号搜索律师。 堪萨斯州在线婚姻许可证申请。个人仍然可以申请，但申请不会通过电子归档系统发送到地区法院进行处理。 在司法行政办公室运作的中央支付中心将无法代表地区法院处理付款。 堪萨斯州电子法院案件管理系统，地区法院使用该系统处理案件。 司法行政办公室正在与多名专家合作调查这起安全事件，分析违规行为的性质、原因和程度。只有在调查完成后，才能提供受影响系统何时恢复在线的时间表。首席大法官Marla Luckert表示：“网站上的其他信息将指导法院用户在我们的信息系统离线时进行操作，我们继续为用户提供服务，但在我们的系统恢复之前，我们将使用不同的方法。” 上周一，ALPHV勒索软件团伙声称两周前发生了一起袭击事件，影响了佛罗里达州西北部的第一司法巡回州法院。佛罗里达州法院当局表示，所有设施继续运营，没有中断，尚未确认ALPHV网络犯罪行动提出的勒索软件攻击主张。 转自E安全，原文链接：https://mp.weixin.qq.com/s/-VhOHibHK8H16ktkaku7AA 封面来源于网络，如有侵权请联系删除

一个名为“Predatory Sparrow”的黑客组织在过去一周重新出现。 上周，该组织以当前的加沙冲突为由，发布了该组织一年多以来的 第一条推文，称：“你认为这很可怕吗？我们回来了。我们希望你关注加沙事件” Predatory Sparrow 是一种已知的威胁，研究人员认为这是一种相对复杂的以色列黑客行动。它在伊朗有破坏性袭击的历史，旨在让伊朗政府难堪。 据Cyberscoop报道，2021 年 10 月，伊朗 与国家燃油泵网络相连的支付系统遭到攻击，而 2022 年 6 月，钢铁设施遭到多次攻击，显然是为了回应未具体说明的“侵略”行为。由伊斯兰共和国。 谷歌云 Mandiant Intelligence 首席分析师约翰·胡尔特奎斯特 (John Hultquist)在上周的新闻发布会上表示，该组织在伊朗境内发动一系列袭击后，及时重新出现，使其“肯定值得关注”。   转自安全客，原文链接：https://www.anquanke.com/post/id/290806 封面来源于网络，如有侵权请联系删除