美国联邦调查局 (FBI) 和 美国网络安全和基础设施安全局（CISA ）表示，7 月份阿尔巴尼亚政府遭遇的网络破坏性攻击背后的威胁组织之一伊朗黑客在其系统内潜伏了大约长达14 个月之久。获得了对受害者网络的初始访问权限，其中包括勒索软件式文件加密器和磁盘擦除恶意软件。 此次攻击背后的恶意行为者，被 FBI 统称为一个名为“国土正义”的伊朗支持的威胁组织，于2022年7月，即最初的入侵事件发生 14 个月后，攻击了阿尔巴尼亚政府，摧毁了多个网站和服务。 本月，伊朗国家黑客针对阿尔巴尼亚政府发起了一系列新的网络攻击，使用的策略和方法与 7 月份的攻击类似。联合公告提供了有关 HomeLand Justice 在阿尔巴尼亚政府网络内的恶意活动的更多技术细节，包括使用受损的 Microsoft Exchange 帐户来查找和泄露凭据和大量数据。 阿尔巴尼亚因网络攻击 与伊朗断绝外交关系 7月袭击事件发生后，阿尔巴尼亚总理埃迪·拉马表示，伊朗大使馆的全体工作人员被要求在 24 小时内离开该国。这一决定是在阿尔巴尼亚将7月的袭击归咎于伊朗国家黑客之后做出的决定。 美国政府还指责伊朗在7月袭击了阿尔巴尼亚，并表示该国将对威胁北约盟国的安全负责。 国土正义组织于7月18日声称发动了袭击，并在7月下旬至8月中旬之间泄露了从阿尔巴尼亚政府网络窃取的信息。 这两个机构今天补充说：“这些可能是为了报复公开指责7月份的网络攻击并切断阿尔巴尼亚和伊朗之间的外交关系。” 早在2021年7月，美国总统拜登曾警告说，导致严重安全漏洞的网络攻击也可能导致“真正的枪战”。拜登发表上述言论的一个月前，北约在2021年 6月中旬发表声明称网络攻击在某些情况下可以等同于“武装攻击”。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/Z4k9–HTghHsvaO2b2sErw 封面来源于网络，如有侵权请联系删除

据洛杉矶联合学区（LAUSD）校长说，在劳动节周末用勒索软件袭击该学区的黑客现在已经发出了赎金要求。周二，校长Alberto Carvalho告诉《洛杉矶时报》，黑客已经提出了要求，但学区还没有回应，校方拒绝透露所要求的金额。 勒索企图的公开代表着勒索软件攻击的不可避免的升级，勒索软件攻击的目标是美国第二大学区，而且是就在学生暑假后开始返校的时候，随后还引发了黑客可能已经能够获得哪些敏感信息的问题。 虽然这次攻击对学校的一些电子邮件系统和其他应用程序造成了干扰，但其他关键系统，如MiSiS学生管理系统在不久之后被恢复并重新上线。但在周三举行的新闻发布会上校长表示，黑客很可能访问了MiSiS的数据，包括某些学生的信息。 “我们认为，被访问的一些数据可能有一些学生的名字，可能有一定程度的出勤数据，但应该不包含个人身份信息或非常敏感的健康信息或社会安全号码信息，”Carvalho告诉当地记者。 虽然这次勒索软件攻击的来源还没有正式查明，但有许多迹象表明，它是由一个被称为Vice Society的网络团伙实施的。在洛杉矶校区攻击事件曝光后不久，网络安全和基础设施安全局（CISA）发布了关于Vice Society勒索软件的警告，该软件专门针对美国的K-12机构，尽管洛杉矶校区没有被列为目标。在CISA发出网络安全警告后，Vice Society在与记者的沟通中把攻击归归咎于此。 CISA公布的细节将Vice Society描述为一个”入侵、渗出和勒索的黑客组织”，它使用双重勒索策略：锁定系统并威胁公开发布数据，除非支付赎金。CISA说，该组织在学年开始时变得更加活跃，因为此时勒索软件攻击对学校的潜在影响最大。 虽然最近的攻击是洛杉矶学校系统唯一一次被成功攻击，但它在过去至少遇到过一次险情。在劳动节袭击事件发生后，Hold Security的网络安全研究人员透露，他们之前在一个恶意软件僵尸网络中检测到与该学区有关的设备，但及时披露了发现，以防止进一步的攻击。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1319551.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 几个月前发现的影响Atlassian Confluence Server的现已修补的严重安全漏洞正在被积极利用，在未修补的安装上进行非法加密货币挖掘。 Trend Micro威胁研究员Sunil Bharti在一份报告中说：“如果不加以补救并成功利用，该漏洞可能会被用于多种恶意攻击，例如完全接管基础设施和部署信息窃取者、远程访问木马（RAT）和勒索软件。” 该漏洞被追踪为CVE-2022-26134（CVSS评分：9.8），于2022年6月由澳大利亚软件公司解决。 在网络安全公司观察到的一个感染链中，该漏洞被用来在受害者的机器上下载并运行一个shell脚本（“ro.sh”），进而获取第二个shell脚本（“ap.sh” ”）。 恶意代码旨在更新PATH变量以包含其他路径，例如“/tmp”，从远程服务器下载cURL实用程序（如果不存在），禁用iptables防火墙，滥用PwnKit漏洞（CVE-2021-4034）获得root权限，并最终部署hezb加密矿工。 与其他密码劫持攻击一样，shell脚本也会终止其他竞争对手的硬币矿工，禁用阿里巴巴和腾讯的云服务提供商代理，然后通过SSH进行横向移动。 这些发现反映了Lacework、微软、Sophos和Akamai之前在6月份披露的类似利用漏洞的企图。 Lacework的分析进一步表明，用于检索cURL软件的命令和控制 (C2) 服务器以及hezb矿工还分发了一个名为“ kik ”的基于Golang的ELF二进制文件，该文件使恶意软件能够杀死感兴趣的进程。 建议用户优先修补该漏洞，因为它可能被黑客用于其他恶意目的。 Bharti说：“攻击者可以利用注入自己的代码进行解释，并获得对目标Confluence域的访问权限，还可以进行攻击，从控制服务器进行后续恶意活动到破坏基础设施本身。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据韩国纽西斯通讯社21日报道，韩国军方当日称，韩国国防部下设的战争纪念馆近期遭到身份不明的黑客网络攻击，但没有因此泄露军方的军事资料。 位于韩国首尔龙山的战争纪念馆 资料图 图自韩媒 据报道，21日，韩国军方表示，韩国国防部下设的战争纪念馆本月初遭到黑客的网络攻击，导致网络瘫痪一周之久。韩国军方网络作战司令部在发现该情况后采取了相应应对措施，于本月14日恢复了网络系统。 报道称，韩国军方表示，本次黑客攻击导致战争纪念馆服务器相关数据和部分个人信息被盗。但因黑客攻击的是战争纪念馆外网，所以并没有因此泄露军方的军事资料。 据报道，目前黑客的身份尚未得到确认。 转自 安全内参，原文链接：https://www.secrss.com/articles/47185 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，数字资产交易公司 Wintermute 首席执行官 Evgeny Gaevoy 宣布 DeFi 相关业务遭到黑客攻击，损失了约 1.622 亿美元。 Wintermute 表示，接下来几天服务可能会中断，但 CeFi 及 OTC 业务不会受影响。此外，与 Wintermute签订 MM 协议的用户资产依旧安全，担心资金安全的用户可以直接提取自己的资金，公司当前还握有损失数额两倍的股权，依旧据有偿付能力。 值得一提的是，Gaevoy 表示愿意将这一安全事件视为 “白帽子 ”事件，这意味着他们愿意向成功利用该漏洞的攻击者支付赏金，而不会产生任何法律后果。 但是尚不清楚威胁攻击者是否有兴趣将被盗资金返还给 Wintermute。 据悉，黑客的钱包目前持有大约价值 4770 万美元的数字资产，其余的钱已经被转移到 Curve Finance 的 “3CRV ”流动资金池中。 黑客攻击是如何发生的？ Gaevoy 没有透露关于黑客如何设法窃取资金的具体细节，一些加密货币专家认为，攻击者可能利用了 Profanity 中的一个漏洞，Profanity 是以太坊的虚拟钱包地址生成器。 Profanity工具允许用户生成的地址不是完全随机的，而是包含一个以太坊虚拟地址生成工具，允许用户创建一个个性化的地址，包含一串预定义的数字和字母（A到F）。几年前，Profanity 项目作者因其存在的一些安全漏洞可以破解私钥，放弃了这个项目。更具体地说，据估计，有人可以用大约 1000 个 GPU 在 50 天内破解 7 个字符的虚荣地址私钥。 虽然如此多的 GPU 需要大量的投资，但是在最近的以太坊合并后，强大的挖矿场已经变得毫无作用，其中一些农场经营者可能会发现，破解 Profanity 地址将是恢复盈利的绝佳方式。 最近，安全分析师披露了 Profanity 漏洞，并声称攻击者可能已经利用其盗取了 330 万美元。因此呼吁在使用 Profanity 创建的钱包上持有资金的用户，应立即将资产转移到其它地方。 目前，Profanity 项目作者已经删除了所有的二进制文件，并将项目的 GitHub 存储库存档，以期降低未来有人使用不安全工具的风险。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/345135.html 封面来源于网络，如有侵权请联系删除

安全内参9月20日消息，印度尼西亚近期成立的数据保护工作组正在追捕一名黑客。此人据称涉嫌窃取了13亿注册手机用户与1.05亿选民数据，甚至掌握了总统通信日志。 公开兜售印尼海量公民数据，涉及总统与众多高官 这位化名Bjorka、声称居住在波兰华沙的黑客，过去几周来一直在黑客论坛BreachForums上兜售被盗数据，受害者包括印尼多家国有企业、手机运营商及大选委员会。 Bjorka还掌握一份机密文件日志，其中记录着印尼总统佐科·维多多（Joko Widodo）与国家情报局之间的往来信息。 这位黑客也拿到多位公众人物的个人数据，包括印尼海洋与投资统筹部长卢胡特·班查伊丹（Luhut Pandjaitan）及信息与通讯部长约翰尼·G·布拉特（Johnny G. Plate）。泄露的细节包括电话号码、身份证号以及疫苗接种编码。 在9月5日的新闻发布会上，一名信息部高级官员呼吁Bjorka停止泄露印尼民众的个人数据。但一天之后，此黑客在BreachForums的新帖中大放狂言，提醒政府“别再白日做梦了”。 Bjorka在9月10号的一条推文中表示，他的意图是展示“在糟糕的数据保护政策之下，黑客渗透、特别是针对政府部门的渗透，是多么易如反掌。” 在推特上，Bjorka还表示那些负责黑客调查的人员根本不知道该从何入手，同时对公众人物大加嘲弄，包括奉劝国有企业部长艾瑞克·托希尔（Erick Thohir）断了竞选总统的念想。 目前，Bjorka至少有三个推特账户已被冻结。 印尼高官回应称，没有任何关键系统被黑 印尼政治、法律和安全事务统筹部长马福德（Mahfud MD）在上周三呼吁公众保持冷静，称没有任何关键系统遭到黑客入侵，也未出现国家机密泄露事件。 他解释道，此次泄密“只涉及总统的一般通信数据，而且截至目前，对方还没有公开通信内容。” 他补充道，当局已经根据“全面的追踪工具”确定了Bjorka的身份及其所在位置。 据印尼当地知名杂志《Tempo》报道，就在上周三成立数据保护工作组后不久，警方就在东爪哇省茉莉芬县审讯了一名23岁的男子，他的姓名首字母为MAH。他的日常工作，是在当地集市上出售饮料。 警方尚未确认他是否就是Bjorka，专案组正对近期事件开展调查。 印尼网络安全形势严峻，曾出现更严重违规事件 尽管国内数字经济蓬勃发展，但自2019年以来，印尼先后遭遇多起针对政府机关和私营企业的大规模数据泄露事件。 去年5月，医疗保健与社会保障局数据库中超过2亿公民的社保详细信息（包括身份证和家庭卡）被泄露，事件严重性令人震惊。 有专家认为，这可以说是“最最顶格的”安全违规事件，同时批评印尼政府对以往的违规事态缺乏足够的反应。 数字取证专家Ruby Alamsyah在接受新加坡《海峡时报》采访时称，“Bjorka泄露的数据在质量和数量上其实都不及之前的事件。但在此人的行动之下，人们终于开始对个人数据泄露给予重视。” 他还指出，在BreachForums之前，Bjorka曾经在RedForum出售过来自其他国家的泄露数据。作为暗网内规模最大的被盗数据集散地之一，RedForum已经在今年4月被美国司法部关闭。 总部位于雅加达的Digital Forensic Indonesia公司CEO Ruby认为，工作组不应只关注新近发生的数据泄露事件，还应调查2019年以来的同类案件，至少要“从过往案例中吸取教训”、避免后续类似问题的再次发生。 IT安全专家Alfons Tanujaya也认为，“工作组最好能改进数据管理。过去几年来，相关机构一直在否认发生了数据泄露，根本没有加强数据保护，因此导致数据泄露时有发生。” “如果Bjorka被捕，但数据泄露仍在继续，那么未来三到六个月内一定会出现更多步Bjorka后尘的仿效者。” 政法安统筹部长马德福博士则表示，印尼议会预计将在一个月内通过《个人数据保护法案》。 Ruby和Alfons都认为，如果这项法案能顺利通过，那么政府机关和私营企业将被迫加强自身网安水平，否则任何数据泄露都会招致经济处罚、甚至刑事制裁。 Ruby总结道，“从逻辑上讲，罚款与制裁的潜在压力将引导各方做好充分准备，保证自己的网络安全比过去更好，同时尽可能避免出现数据泄露。一旦发生泄露，根据新的法律条款，公众也可以依法要求追究责任、索取赔偿。” 转自 安全内参，原文链接：https://www.secrss.com/articles/47128 封面来源于网络，如有侵权请联系删除

一群恶意行为者加强了他们的网络钓鱼活动，以欺骗大公司（尤其是能源、专业服务和建筑行业的公司）提交他们的 Microsoft Office 365 帐户凭据。根据网络钓鱼检测和响应解决方案公司 Cofense 的一份报告，这些恶意行为者改进了诱饵元素的流程和设计，现在将自己伪装成一些美国政府机构，例如交通部、商务部和劳工部。 Cofense 表示 威胁行为者正在开展一系列活动，以欺骗美国政府的多个部门。这些电子邮件声称要求对政府项目进行投标，但却将受害者引导至凭据网络钓鱼页面。相关证据表明这些活动早在 2019 年年中就已经投入运营，并于 2019 年 7 月首次在我们的 Flash Alert 中进行了报道。 这些活动精心设计的相关文件已出现在受安全电子邮件网关 (SEG) 保护的环境中，并且非常有说服力，也更有针对性。随着时间的推移，它们通过改进电子邮件内容、PDF 内容以及凭据网络钓鱼页面的外观和行为而不断发展。 Cofense 展示了一系列截图，比较了攻击者用于诱骗用户点击的前后材料。其中最先获得改进的是电子邮件和 PDF，现在用于诈骗的版本可谓是非常真实。 Cofense 补充道。 “早期的电子邮件只有简单的正文，没有徽标，语言相对简单。最近的电子邮件使用了徽标、签名块、一致的格式和更详细的说明。最近的电子邮件还包括访问 PDF 的链接，而不是直接附加它们”。 另一方面，为了防止受害者的怀疑，攻击者还对凭证钓鱼页面进行了更改，从登录过程到设计和主题。页面的 URL 也有意更改为更长的 URL（例如，transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com），因此目标只能在较小的浏览器中看到 .gov 部分视窗。此外，该活动现在具有验证码要求和其他说明，以使该过程更加可信。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1318403.htm 封面来源于网络，如有侵权请联系删除

据观察，与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商，以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉，APT 黑客组织在今年发起了多次攻击，包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始，Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT（远程访问木马）等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施，但它是逐步更新的，因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ，伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar，Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址，但在某些情况下，与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域，通常是通过从这些域发送的电子邮件，使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语，呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页，翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件，当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是，几个俄罗斯国家资助的黑客组织使用 HTML 走私，最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT，这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是，俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”，从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时，但它仍然提供强大的功能，如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外，Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件，如下图 11所示。APT29 最初使用此例程是用于二进制数组，这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国视频游戏发行商Rockstar Games周一透露，它是“网络入侵”的受害者，未经授权的一方可以非法下载侠盗猎车手6的早期片段。 该公司在社交媒体上发布的通知表示：“目前，我们预计不会对我们的直播游戏服务造成任何干扰，也不会对我们正在进行的项目开发产生任何长期影响。” 该公司表示，第三方访问了“我们系统的机密信息”，但目前尚不清楚它是否涉及游戏画面之外的任何其他数据。 这些数据包括约90个游戏视频片段，是由一个化名为“teapotuberhacker”的用户周末在GTAForums上泄露的，暗示该方也是最近Uber违规事件的负责人。 这位名叫Tea Pot的Uber黑客据信是一名18岁的少年。目前尚无其他信息。 teapotuberhacker在论坛中说道：“这些视频是从Slack下载的，这也可能意味着，黑客采用了相同的技术——多因素身份验证（MFA）轰炸，来绕过额外的帐户安全层。 黑客的最终目标似乎是与公司“谈判达成协议”。“如果Rockstar/Take2不付钱给我，我会泄露更多。”泄密者在4chan上发布的消息中说道。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文  

据Bleeping Computer网站消息，星巴克位于新加坡的业务遭到了数据泄露事件，涉及21.9万名顾客的个人身份信息。 该事件最早于9月10日被曝出，当时一名网络攻击者提出要在一个流行的黑客论坛上出售包含21.9万名星巴克顾客敏感信息的数据库。该论坛的所有者“pompompurin”对此表示支持，称提供的样本已证实了数据的可靠性。 9月16日，星巴克新加坡公司已向受影响的顾客发送邮件，告知在一起网络攻击事件中，黑客可能泄露了他们的姓名、性别、出生日期、手机号码、电子邮件地址、住宅地址等个人敏感信息，但信用卡数据不受影响，因为星巴克不会存储此类信息。 星巴克的一位受影响客户收到的邮件 此外，星巴克也向当地媒体证实了数据泄露事件，但表示受影响的仅涉及使用星巴克移动应用程序下单，或使用在线商店从该连锁店在新加坡经营的 125 家商店之一购买商品的客户。 尽管帐户密码、会员奖励及积分不受影响，但星巴克仍敦促当地顾客重置密码并警惕任何可疑的通信。 截至9月16日，攻击者声称已有买家以3500美元的价格获取了一份被盗数据信息，并表示愿意向感兴趣的买家提供至少四份数据。值得注意的是，攻击者最初以 25000 美元的价格提供了对受损管理面板的访问权限，使入侵者能够伪造促销代码、更改会员等级等。但由于某些原因攻击者后来失去了对管理面板的访问权限，因此报价也被撤回。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344836.html 封面来源于网络，如有侵权请联系删除