The Hacker News 网站披露，Ubiquiti 前员工 Nickolas Sharp 承认在该公司工作期间冒充匿名黑客勒索价值近 200 万美元的加密货币，最终被判处六年监禁。 2021 年 12 月，执法机构逮捕了尼克拉斯·夏普（Nickolas Sharp），罪名是他作为高级开发人员利用内幕信息窃取机密数据，并发送匿名电子邮件，要求网络技术提供商 Ubiquiti 支付 50 比特币（当时约200万美元）以换取被窃取的信息。 值得一提的是，Ubiquiti 在收到勒索邮件后，并没有选择支付赎金，而是立刻上报给执法部门，执法部门在追踪到夏普使用其 PayPal 账户购买 Surfshark 账户的 VPN 连接后，最终认定夏普是黑客。 案件回顾 2021 年 1 月，网络设备制造商 Ubiquiti 突然宣布其在 2020 年 12 月遭受了网络攻击，发生数据泄露，并通知其所有客户需要重置密码并在其帐户上启用 2FA。 从美国司法部的披露案件信息来看，Ubiquiti 前雇员夏普冒充匿名黑客，从雇主那里下载了数 GB 的机密数据要求 Ubiquity 支付 50 比特币（当时 190 万美元）以了解被利用的漏洞并删除被盗数据。 更令人愤怒的是，夏普还修改了会话文件名，试图贼赃给其他同事。在 Ubiquiti 公司拒绝付款后，夏普联系了媒体，冒充举报人散布有关 Ubiquity 如何处理安全事件的错误信息。 夏普捏造的安全漏洞导致 Ubiquiti 的股价在 2021 年 3 月下滑了约 20%，导致其市值损失超过 40 亿美元。 最终，除了六年刑期外，夏普还被判处三年监管释放，并被责令支付 1590487 美元的赔偿金，以及没收与勒索罪行有关的个人财产。     转自 Freebuf，原文链接：https://www.freebuf.com/news/366467.html 封面来源于网络，如有侵权请联系删除

3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后，西部数据已将其商店下线，并向客户发送了数据泄露通知。 上周五下午，该公司通过电子邮件发送了数据泄露通知，称其数据库遭到攻击，存储在内的客户数据被盗。 西部数据表示：根据调查，我们最近了解到，在2023年3月26日左右，一个未经授权的组织获取了西部数据数据库的副本，其中包含在线商店客户的有限个人信息。这些个人信息涉及到客户姓名、帐单和送货地址、电子邮件地址和电话号码。作为一项安全措施，相关数据库以加密的形式存储了哈希密码（已加盐）和部分信用卡号码。 西部数据公司的数据泄露通知 西部数据一方面在继续调查此事件，同时也已将其商店做了下线处理。其商店现在仅显示一条信息，写着：我们很快就会回来，我们现在无法处理订单。 用户访问权限预计将于2023年5月15日恢复。同时，西部数据还告知那些受影响的客户需警惕鱼叉式网络钓鱼攻击，有一些威胁行为者可能冒充公司，利用被盗数据从客户那里收集更多的个人信息。 西部数据遭遇网络攻击 3月26日，西部数据公司遭遇网络攻击，发现其网络遭到黑客攻击，公司数据被盗，随后发布了数据泄露通知。作为对这次攻击的回应，该公司关闭了两周云服务功能，并同时关闭了移动、桌面和网络应用功能。 据TechCrunch报道，一个“未命名”的黑客组织此前入侵了西部数据公司，并声称窃取了10tb的数据。虽然威胁行为者表示他们并隶属于ALPHV勒索软件的麾下，但他们利用他们的数据泄露网站勒索西部数据，并将他们与勒索团伙联系起来。 在4月28日发布的一份报告中，攻击者通过发布被盗电子邮件、文件和应用程序的截图嘲弄了西部数据。这些截图显示，即使他们的行为已经被该公司发现，但他们仍然可以访问公司的网络。 黑客们还声称窃取了一个包含客户信息的SAP Backoffice数据库，并分享了一张疑似客户发票的截图。这之后威胁者没有发布进一步的数据，这也表明他们目前仍在敲诈西部数据，希望借此机会得到一大笔赎金。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/365811.html 封面来源于网络，如有侵权请联系删除

据观察，朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，现在称为“ReconShark”。 Sentinel Labs 报告称，威胁行为者扩大了目标范围，现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。 2023年3月，韩国和德国当局警告说，Kimsuky（也称为 Thallium 和 Velvet Chollima）开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。 此前，在 2022 年 8 月，卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动，该活动使用多阶段目标验证方案，确保只有有效目标才会感染恶意负载。 钓鱼攻击 在Microsoft默认禁用下载的Office文档的宏后，大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型，例如ISO文件和最近的OneNote文档。 Sentinel Labs 的高级威胁研究员Tom Hegel说：“攻击者可能希望轻松战胜过时版本的Office，或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”   Kimsuky 攻击中使用的恶意文档(Sentinel Labs) Microsoft在默认情况下对下载的 Office 文档禁用宏后，大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击，例如ISO文件，以及最近的OneNote文档。 Sentinel Labs 的高级威胁研究员 Tom Hegel 说：“攻击者可能希望轻松战胜过时版本的 Office，或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。” 侦察鲨鱼 ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变，APT43也部署了该恶意软件，APT43是一个针对美国组织的重叠朝鲜网络间谍组织。 ReconShark 滥用 WMI 收集有关受感染系统的信息，如正在运行的进程、电池数据等。 它还检查机器上是否运行安全软件，Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。 检查安全工具进程（Sentinel Labs） 侦察数据的泄露是直接的，恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器，而不在本地存储任何内容。 “ReconShark泄露有价值信息的能力，例如已部署的检测机制和硬件信息，表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分，该行动可实现后续精确攻击，可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。 ReconShark 的另一个功能是从 C2 获取额外的有效载荷，这可以让 Kimsuky 在受感染的系统上更好地立足。 Sentinel Labs 报告中写道，“除了窃取信息外，ReconShark 还以多阶段方式部署更多有效载荷，这些有效载荷以脚本（VBS、HTA 和 Windows Batch）、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。” 有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK)，以便在用户启动这些应用程序之一时执行恶意软件。 ReconShark 编辑快捷方式文件(Sentinel Labs) 另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本，以便在用户启动 Microsoft Word 时加载恶意代码。 加载恶意 Office 模板(Sentinel Labs) 这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中，保持持久性，并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。 Kimsuky的复杂程度和变形策略要求提高警惕，并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/06SDfqaEBb-iuok473eoKQ 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员将展示他们如何在被称为世界上第一个道德卫星黑客演习的演示中夺取对欧洲航天局 (ESA) 卫星的控制权。 法国国防巨头泰雷兹（ Thales） 的专家周二宣布，他们将与 ESA 团队的成员一起，在巴黎的 CYSAT 会议上对攻击情景进行深入解释。 此次演习计划在一系列高度机密的美国情报文件公布之前进行。其中一份警告称，其他国家也正在发展类似的能力，以控制其评估为敌对卫星的卫星。 该文件称：“攻击者会模仿操作员的信号，可能使他们能够夺取对卫星的控制权，使其无法有效支持通信、武器或情报、监视和侦察系统。” 这次演示性黑客攻击是专门为 CYSAT 会议组织的，目的是举例说明现实世界中的网络攻击可能对太空民用系统造成的后果。 它针对的是 ESA 的OPS-SAT，这是一颗鞋盒大小的纳米卫星，于 2019 年 12 月发射，其中包含“一台比目前任何 ESA 航天器都强大十倍的实验计算机”。 OPS-SAT 的重点是解决实时测试任务控制系统所涉及的风险。Thales 表示，欧空局在整个演习过程中保留了对卫星系统的访问权限，以便之后可以恢复正常运行。 副总裁 Pierre-Yves Jolivet 说：“这次史无前例的演习是一个机会，可以提高人们对潜在缺陷和漏洞的认识……并提高卫星和太空计划的网络弹性，包括地面部分和轨道系统。” 尽管 Thales 演示的全部性质尚不清楚，但该公司表示其团队能够在看似传统的网络攻击中劫持用于操作演示卫星的多个系统。 该公司表示，其道德黑客利用卫星的“标准访问权限来控制其应用程序环境，然后利用漏洞并将恶意代码引入卫星系统。 Thales 说，“这使得有可能破坏发送回地球的数据，特别是通过修改卫星相机捕获的图像，并实现其他目标，例如在卫星图像中掩盖选定的地理区域，同时隐藏他们的活动以避免被欧空局发现。” 此次演示之际，空间网络安全总体上受到了专家的更多关注。美国政府支持的一个小组最近敦促拜登政府将太空指定为关键基础设施部门。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/kfE7-_hlEGvrIcJDjEFA0Q 封面来源于网络，如有侵权请联系删除

研究人员警告说，如果劫持者开始使用人工智能辅助的热成像技术来确定输入后不久的密码，目前基于密码的安全保护设施情况可能会恶化。格拉斯哥大学的研究人员公布了一种方法，通过对用户手指的热信号进行成像，来猜测键盘和手机屏幕上最近输入的密码，精确度很高。 该技术的成功率因时间、材料和密码长度的不同而不同，但可能会使最近设备盗窃案的上升趋势恶化。 盗窃者们最近开始通过观察用户在公共场合输入密码来偷窃和闯入他们的手机和其他设备。用受害者的密码登录是克服苹果和Google等公司煞费苦心实施的所有安全措施的直接方法，一旦有人偷窃并登录他们的设备，受害者就无能为力。 然而，一次成功的身份盗窃需要犯罪者记住他们看到的密码，或者在受害者输入密码时进行录音。研究人员的新方法可以给盗贼一个更广阔的窗口，让他们在有人输入密码后分辨出密码。 如果一个人在输入密码后一分钟内用热像仪拍下屏幕或键盘的照片，人工智能就能可靠地猜出按键的顺序。这个被称为ThermoScure的系统，根据不同的条件，至少有62%的成功率。 时间是关键，ThermoSecure在分析输入密码后20秒内拍摄的照片时，成功率为86%。30秒时成功率下降到76%，一分钟后下降到62%。 较长的密码在一定程度上降低了系统的有效性。ThermoSecure可以猜出一个16个字符的密码，在有人输入密码后20秒内拍摄的图片中，有67%的时间可以猜出。12个字符的密码的猜测率上升到82%，8个字符的密码为93%，6个字符的密码为100%。这些结果使任何非字母数字的iPhone密码成为该系统的主要目标，因为该设备的简单密码最多为六个数字。 对于键盘来说，打字方式和材料等其他因素也会影响ThermoSecure的准确性。通过30秒的热特征图像，系统可以猜出80%的触摸式打字员的密码，92%的情况下可以猜出猎取式用户的密码。同时，由PBT塑料制成的按键将成功率降低到14%，而ABS塑料只能将其降低到50%左右，背光键盘也更安全，因为它们会产生更多热量，隐藏热指纹。 身份盗窃者已经可以轻松而廉价地获得热敏相机。虽然将它们与人工智能驱动的猜测结合起来的方法还没有出现，但这项研究似乎证明了这一理论，使用户有更多理由制定强有力的安全措施。他们应该避免在别人看得见的地方输入密码，并尽可能使用其他认证方法，如生物识别技术。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7225708353542947339/ 封面来源于网络，如有侵权请联系删除

APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织，据美国和英国政府称，黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中，美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞，目的是针对欧洲组织和美国政府机构。 咨询报告说，黑客还入侵了”大约250名乌克兰受害者”，这些机构没有透露姓名。APT28也被称为Fancy Bear，以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。 根据联合公告，黑客利用了思科在2017年修补的一个可远程利用的漏洞，部署了一个被称为”美洲豹牙”的定制恶意软件，该软件旨在感染未打补丁的路由器。 为了安装该恶意软件，威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。 SNMP，即简单网络管理协议，允许网络管理员远程访问和配置路由器，以代替用户名或密码，但也可能被滥用来获取敏感的网络信息。一旦安装，该恶意软件就会从路由器中渗出信息，并提供对设备的隐秘后门访问。 思科Talos的威胁情报总监Matt Olney在一篇博文中说，这次活动是”一个更广泛的趋势，即复杂的对手将网络基础设施作为目标，以推进间谍活动的目标或为未来的破坏性活动做准备”的一个例子。 “思科对网络基础设施的高精尖攻击率的增加深感担忧–我们已经观察到了，并且看到了由各种情报组织发布的许多报告所证实的情况–表明国家支持的行为者正在瞄准全球的路由器和防火墙，”奥尔尼补充说，除了俄罗斯之外，还有其他国家支持的黑客被发现在一些活动中攻击网络设备，例如利用Fortinet设备的一个零日漏洞，对政府组织进行了一系列攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7223790451927548420/ 封面来源于网络，如有侵权请联系删除

你被人欺负了，第一反应可能是还手，那在网络世界中，被攻击的受害者能够采取同样的反制措施吗？ 答案是否定的。目前绝大多数国家尚未制定相关法律，来支持企业或组织对黑客发起反击。“禁止任何人在未获得授权的情况下侵入别人的电脑”几乎是所有国家法律的共识，这意味着，反击黑客就如同黑客入侵一样，同样是违法行为。换句话说，你可以关门，但不能去开别人家的门，不论门后面是否藏着犯罪组织。 听起来是不是很玄幻？现实生活中，只要手续合法，警察可以选择破门而入抓捕犯罪分子，但是网络空间却万万不行。“顺着网线去抓你”实现的难点在于合法性，而非技术性。 或许正因为攻防处于不对称的地位，导致全球网络攻击愈演愈烈。仅2022年一年，全球网络攻击数量就增长了38%，造成大量业务损失，其中包括财务和声誉损失。勒索攻击更是如此。 深信服发布《2022年勒索软件态势分析报告》指出，随着RaaS(勒索软件即服务)模式的日渐成熟，勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中，并且攻击成功的概率越来越高,数据能够通过分析解密还原的情况越来越少。攻击者不再单纯加密数据，更多的勒索攻击开始窃取受害者敏感数据，挂到自己的“官网”上进行双重勒索，获得更大的收益。 随着近年来网络攻击越发猖獗，反击黑客合法化的呼声日益强烈。近期，深受网络攻击困扰的澳大利亚宣布将通过政府层面的举措，对以该国组织为攻击目标的黑客进行反击，引发了行业担忧，这一做法究竟是能真正打击并震慑黑客，还是给网络空间带来更多风险和混乱？ 向黑客宣战 2022年11月12日，澳大利亚总理安东尼·阿尔巴内斯宣布了澳大利亚联邦警察和澳大利亚信号局的联合倡议，该倡议提出要“调查、瞄准和破坏网络犯罪集团，并优先针对勒索软件威胁团体”。 澳大利亚政府之所以做出如此决定，很大程度上与针对该国的两次重大网络攻击事件有关。2022年9月，澳大利亚电信巨头Optus因为勒索攻击暴露了近1000万用户的敏感数据，并被勒索100万美元赎金；而仅仅一个月后，又有黑客攻击了澳大利亚健康保险公司Medibank，其所有390万用户的数据都遭到了泄露。据统计，两起事件受影响的人数超过了澳大利亚总人口的三分之一，造成了严重的社会影响，尤其是在Medibank拒绝支付要求的1000万美元赎金后，黑客泄露了包括堕胎记录在内的医疗记录，引发了社会的强烈愤怒和担忧。 如此看来，对黑客进行反击是在一定程度上顺应澳大利亚国内民意的行为，政府将优先考虑那些对国家利益构成重大威胁对黑客组织。根据英国《卫报》援引澳大利亚内政和网络安全部长克莱尔·奥尼尔的表述，她将日复一日、坚定不移地追捕那些发起攻击事件的“人渣”，国家会派最聪明、最顽强的人去入侵黑客。 澳大利亚内政和网络安全部长克莱尔·奥尼尔 伴随着澳方的强硬态度，一系列新举措正随之而来，但目前还不清楚政府到底会在多大程度上超越常规措施来发起反制，特别是来自其管辖范围之外的网络威胁。Bugcrow创始人兼首席技术官凯西·埃利斯表示，尽管网络犯罪集团经常处于“有罪不罚”的地步，但也很容易受到执法行动的干扰，并认为积极主动出击是可行的，就像Cont和REvil等勒索软件组织被执法部门打击取缔一样，而澳大利亚的做法就是旨在采取更加严厉的措施。 反黑客为何要谨慎行事？ 正如本文开头所述，真正的反黑客行为在一些国家很难付诸实施，因为没有法律为这种反击提供支持。比如美国立法者曾经试图几次通过相关法案，为反击网络攻击者的组织提供一些法律支持，但都以失败告终。 毕竟，如果说两人打架，一人还手，被还击的对象铁定就是目标清晰的另一个人，但网络攻击不同。“一般来说，真正确定攻击的来源非常困难，”Rapid首席研究员埃里克加林金说道。这意味着网络攻击者可以利用多个肉机作为跳板进行分布式攻击。换句话说，攻击者善于利用受害者来攻击其它受害者，而当受害者进行反击时，实际上是在针对另外未知的无辜人员。虽然国际间已有捣毁如Conti 和 REvil在内的勒索软件组织的成功案例，但这类专项行动往往需要专业团队付出数月的调查及分析，在高度精确锁定目标后才开展行动。如果这类权力得到下放，默许民间团体采取草率或更激进措施反制，其滥用导致的后果将可想而知。 这其中还涉及到双方究竟谁才是第一个出手的人。一个比较典型的例子是2017年美国《主动网络防御确定性法案》（ACDC），该法案中的某项条款称“只要是以‘主动防御’的情形对另一实体进行黑客攻击，就可以免于承担法律责任。”也就是说，在ACDC法案下，公司和个人将能够使用“主动防御”来识别、破坏甚至销毁他们被盗的数据。该法案一经提出就遭到共和党、科技界乃至立法界诸多人士的反对，比如 “主动防御”很难用某种特定或清晰的情况进行解释，即如何确定到底谁采取了第一个攻击行动，因而存在被滥用的风险。比如闯入某嫌疑人电脑，确认系统中是否存有被盗的账户密码，这些密码能用来进行未授权的访问。如果这类行为被证实为误判，轻则容易构成涉嫌侵犯隐私、危害他人信息安全，如果是由国家授权的针对他国的行为，则会引发国际事件。 美国共和党众议员汤姆·格雷夫斯极力反对 ACDC 法案 而在2021年，另一项名为《网络攻击响应选项研究法》的法案要求美国国土安全部评估并修订现行的《计算机滥用法》，为反击黑客的攻击者谋取适当规则和好处，但这项法案也在争议中付之东流。 安全防御大趋势——从“守”到“攻” 毫无疑问，近来澳大利亚网络安全战略正处在不断变革的过程之中， 2022年4月，澳大利亚宣布要制定一项为未来10年“铺路”的数据安全框架，计划累计投资超90亿澳元进一步建设国家网络安全。虽然到目前为止澳大利亚接连遭受了多次重大网络攻击，但在总体框架下，从“守”到“攻”的趋势越发明显。 战略升级：强化攻击本色 2022 年 8 月 31 日，澳大利亚国防部正式发布该国第一份专门的国防网络安全战略——《国防网络安全战略》（2022），概述了未来10年加强网络安全能力的计划措施。该战略被认为是自《2016 年国防战略白皮书》《2020 年国防战略更新》以来的进一步升级，对网络安全地重视程度正逐渐加强。在2016年版战略中，对网络安全还仅仅是当做一种对国防安全的新型威胁，而在2022年版战略中，已经将网络安全置于完成国防使命所需的必要条件的高度，并视为未来冲突的可能前兆和关键因素，是澳大利亚成功或失败的决定性因素。 在网络进攻能力建设方面，2016年版战略主要强调情报、监视、侦察等防御体系建设，而2022年版战略开始加强对进攻性网络能力的建设，以提高威慑力，推动国防转型。战略提出，将支持塑造威慑和应对的能力，通过制定标准和加强工业伙伴关系来塑造网络安全环境，通过提高对手活动的可见性来提高威慑能力，通过加强网络安全态势监测和限制对手网络活动来强化应对能力。 全面改革：力图实现所谓2030愿景 据美国广播公司今年2月的报道，澳大利亚将全面改革前政府制定的 17 亿美元网络安全计划，这项改革源自2022年12月8日宣布制定的2023-2030年澳大利亚网络安全战略，致力于在2030年让澳大利亚成为网络最安全的国家。根据公开的讨论文件，政府为应对数据泄露时面临的网络安全挑战，致力于与业界合作，建立一个全国一致的网络安全框架。政府还宣布将任命一名国家网络安全协调员“确保以中央协调的方式”处理政府的网络安全责任。 讨论还涉及是否需要进一步修改《2018年关键基础设施安全法》（SOCI法案），根据该法，政府拥有“最后介入”的权力，可以应对与关键基础设施领域、关键基础设施资产相关的严重网络安全事件。但奥尼尔认为这些权力目前过于有限且定义非常狭窄，并没有实际的协助作用。在接受美国广播公司采访时，奥尼尔甚至表示“（现在）这条法律根本没用，当它真正用于网络事件时，它根本不值得被印在纸上”。可以预见，改革将提升政府在面对安全事件时的干预能力，尤其是在重大网络事件发生后进行的事后审查和后果管理方面。在Optus和Medibank两起重大数据泄露事件发生后，政府就开始考虑禁止向受害企业向攻击者支付赎金，如果违规支付赎金将被视为违法行为。 角色转换：在合作中谋求独立 澳大利亚在网络威胁防御体系方面一贯重度依赖美英等国，从最早的五眼联盟到2022年由拜登政府提出的印太战略都参与其中。但澳大利亚已经开始试图提升应对网络安全风险的独立性与自主性。比如2022年版战略中曾提到“国防部如何应对网络威胁并确保其能力免受对手的攻击，需要整个国防系统的一致和协调努力，从澳大利亚国防军（ADF）和澳大利亚公共服务人员（APS）到国防的行业合作伙伴和供应链。这个系统的每个部分都在确保网络安全方面发挥作用。需要整合国防供应链和加强国防供应链上的自主性，来确保国防网络安全。” 在国际合作型事务中，澳大利亚也正谋求从参与者角色转向自主领导型角色的转变。2023年1月27日，由澳大利亚担当首任主席国，包括美国、英国、法国、德国等36个成员国在内的的国际反勒索软件工作组正式开始运作，旨在破坏、打击和防御日益增加的勒索软件威胁。 随着网络威胁对澳大利亚造成的持续创伤，这个地广人稀的南半球大国正试图对黑客亮出自己的铁腕姿态，至于有多铁，是否会使国际网络环境变得更为复杂严峻，还有待观察它在反击之路上如何走出下一步。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/363092.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，西班牙警方逮捕了 一名19 岁黑客 JoséLuis Huertas（又名“Alcaseca”、“Mango”、“chimichuri”）。据悉， Huertas 创建了名为 Udyat 的搜索引擎，专门出售大量被盗敏感信息，被“誉为”西班牙最危险的黑客。 早在 2022 年 11 月，西班牙警方开始调查 JoséLuis Huertas，通过不断的努力，终于在 Huertas 的家中获了大量现金、文件和电脑，掌握充分证据后，立刻逮捕了这位年轻的黑客。在警方描述下，Huertas 对国家安全构成严重威胁。 值得一提是，之所以启动对 JoséLuis Huertas 的调查，原因是西班牙国家司法委员会（CGPJ）的计算机网络遭到了严重破坏，此次网络攻击中，黑客窃取了 575000 名纳税人的敏感数据（包括个人身份信息、账号、银行号码），并创建了一个数据库，以期将这些信息出售给其他网络犯罪分子。 Huertas 还被指控冒充 Gestevisión Telecinco/Mediaset España 首席执行官 Paolo Vasile，并盗取 Vasile窃取了 30 万欧元。此外，警方还指控 Huertas 攻击高级国家机构和洗钱。 更讽刺的是，Huertas 每次成功发起网络攻击后都会变得更加大胆，以至于在某次 YouTube 上采访中，他声称可以访问大约 90% 西班牙公民的个人信息。 根据西班牙当地媒体报道的信息来看，虽然 Huertas 使用的加密货币已经通过混合服务“清洗”，但警方在国家加密中心专家的帮助下，通过持续追踪“Udyat ”服务器托管服务的资金线索，最终追踪到了 Huertas。 目前，警方鉴于Huertas 有逃跑、销毁证据并继续犯下类似罪行的巨大风险，将会一直拘留他到审判日当天。法官何塞·路易斯·卡拉马（JoséLuis Calama）进一步表示，嫌疑人拥有大量加密货币，可以居住在世界任何地方，因此他决定继续拘留嫌疑人。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362702.html 封面来源于网络，如有侵权请联系删除

西部数据（Western Digital）于当地时间4月3日公开声称，公司系统网络遭到了入侵，某未经授权的访问者获得了对多个系统的访问权限。 这家全球知名、总部位于美国加利福尼亚州的计算机驱动器制造商和数据存储服务提供商在一份新闻稿中表示，网络入侵是在上周日，也就是3 月 26 日被发现。事发后，公司实施了事件响应工作，并在专家团队的协助下开始进行调查。目前调查处于早期阶段，但根据现已掌握的迹象，公司认为入侵者已经访问了部分数据，可能会对其业务运营造成进一步破坏。 为了保护系统数据，西部数据采取了额外的安全措施，部分服务不得不中断。自3月26日以来，多个包括My Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS5、SanDisk ibi、SanDisk Ixpand等产品在内的用户一直在报告他们无法访问自己的云存储服务系统，在登陆时会弹出“服务暂时不可用”的提示。 Delinea 首席安全科学家兼咨询 CISO 约瑟夫·卡森表示，该事件提醒我们，当攻击者成功获得对受害者网络的未授权访问、尤其是该公司是一家为众多客户提供服务的云存储公司时会造成的后果。由于许多消费者和企业无法远程访问关键数据，因此这一安全事件的影响可能会显著升级。 根据 My Cloud 服务状态页面，当前的服务中断已经是该公司近几年来持续时间最长、范围最广的一次，而上一次该公司出现较为重大的安全事件是在2021年，其My Book Live 系列产品被曝存在两个严重漏洞，能允许外部攻击者远程擦除NAS 机箱内的硬盘数据。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362529.html 封面来源于网络，如有侵权请联系删除  

近日，多个威胁行为者，包括一个民族国家组织，利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。   该披露来自网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。 “利用此漏洞允许恶意行为者在联邦文职行政部门(FCEB)机构的Microsoft Internet 信息服务(IIS) Web 服务器上成功执行远程代码。”这些机构表示。 从2022年11月到2023年1月初，确定了与数字入侵相关的妥协指标(IoC)。 跟踪为CVE-2019-18935（CVSS分数：9.8），该问题与影响ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有关，如果不打补丁，可能会导致远程代码执行。 在此值得注意的是，CVE-2019-18935之前曾在2020年和2021年被各种威胁参与者滥用的一些最常利用的漏洞中占有一席之地。 CVE-2019-18935与CVE-2017-11317一起，也被追踪为Praying Mantis（又名TG2021）的威胁行为者武器化，以渗透到美国的公共和私人组织网络。 上个月，CISA还将CVE-2017-11357——另一个影响 Telerik UI 的远程代码执行错误——添加到已知被利用漏洞(KEV)目录中，引用了积极利用的证据。 在2022年8月记录的针对FCEB机构的入侵中，据说威胁行为者利用CVE-2019-18935 通过 w3wp.exe 进程上传和执行伪装成 PNG 图像的恶意动态链接库(DLL)文件。 DLL工件旨在收集系统信息、加载额外的库、枚举文件和进程，并将数据泄露回远程服务器。 早在2021年8月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的，需要使用上述规避技术来规避检测。 这些DLL文件投放并执行反向（远程）shell实用程序，用于与命令和控制域进行未加密的通信，以投放额外的有效负载，包括用于持久后门访问的ASPX web shell。 Web shell配备了“枚举驱动器；发送、接收和删除文件；以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面，并允许用户上传或将文件下载到任何目录。” 为应对此类攻击，建议组织将其 Telerik UI ASP.NET AJAX 实例升级到最新版本，实施网络分段，并对具有特权访问权限的帐户强制实施抗网络钓鱼的多因素身份验证。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/qU9A5AM7gtCW-aPRF1pqVg 封面来源于网络，如有侵权请联系删除