Security Affairs 网站披露，德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令，该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。 据悉，网络攻击事件发生在 2017 年 4 月，Kozachek 在成功入侵北约智库的计算机系统后，安装了一个键盘记录器以监视该组织。 德国调查人员认为，Kozachek 是与俄罗斯有关的 APT 28 黑客组织（又名 Fancy Bear）的成员，该组织曾在 2015 年网络入侵了德国联邦议院。 据 Spiegel 称，联邦检察官已从联邦法院获得了对 Kozachek 的逮捕令。 APT 28 组织已成功袭击 1000 个目标 从德国调查人员发布的信息来看，2017 年春天，Kozachek 成功渗透了位于 Kalkar 的北约智库的 IT 系统。据 Tagesschau 网站透漏，Kozachek 在智库中安装了具有所谓 “键盘记录器 “功能的恶意软件，即记录每一次击键，还秘密创建和发送计算机屏幕的截图。 值得一提的是，网络攻击者至少入侵了两个系统，并获得了部分北约的内部信息，但目前尚不清楚此次网络攻击的危害程度。 调查人员认为，作为网络间谍活动的一部分，这个与俄罗斯有关的 APT 28 组织已经袭击了大约 1000 个目标，其中涉及使用了 “X-Agent “植入物。 德国调查人员掌握了该组织部分成员的电子邮件账户内容，这使调查人员能够访问各种私人文件和照片，其中据说包含了俄罗斯军事情报部门 GRU 的奖项和制服的照片。 目前，德国警方正在积极寻找 Kozachek 和另一名俄罗斯黑客 Dimitri Badin，据说后者曾发动了对德国联邦议院的黑客攻击。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336745.html 封面来源于网络，如有侵权请联系删除  

近期，勒索软件团伙瞄准了一个远程代码执行 (RCE) 漏洞，该漏洞影响会Atlassian Confluence服务器和数据中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134)，未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修复补丁的服务器。虽然该漏洞被暴露后Atlassian也及时做出响应，但因其概念验证漏洞也一并被泄露到了网上，这就导致很多黑客都可以利用该漏洞，目前多个僵尸网络和威胁参与者在野外积极利用它来部署加密恶意软件。 瑞士网络威胁情报公司Prodaft的研究人员发现AvosLocker勒索软件分支机构已经加入了这一行列。他们瞄准并入侵暴露在互联网上的未打补丁的Confluence服务器“以大规模系统地感染多个受害者。AvosLocker的命令和控制服务器的截图表明了威胁行为者已经对Confluence下手了。 在采访中，Prodaft 表示通过在各种网络上执行大规模扫描，AvosLocker 威胁参与者正搜索用于运行Atlassian Confluence系统的易受攻击的机器。且AvosLocker 已经成功感染了来自全球不同地区的多个企业，包括但不限于美国、欧洲和澳大利亚。 还被很多受害者表示，Cerber2021勒索软件(也称为CerberImposter)也在积极利用Confluence CVE-2022-26134漏洞。ID-Ransomware的创建者Michael Gillespie说，被识别为CerberImposter的提交文件包括加密的Confluence配置文件，这表明Confluence实例正在被加密。且CVE-2022-26134 POC漏洞的发布与Cerber勒索软件攻击成功次数的增加同时发生。 微软周五晚上还证实，他们已经看到Confluence服务器被利用来安装Cerber2021勒索软件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻击全球范围内的Confluence 服务器，该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。网络安全公司Volexity上周将CVE-2022-26134归为一个被积极利用的零日漏洞，CISA还命令联邦机构通过阻止其网络上Confluence服务器的所有互联网流量来缓解该漏洞。在漏洞信息发布一天后，Atlassian发布了安全更新并敦促其客户及时更新补丁以阻止持续的攻击发生。   转自 FreeBuf，原文链接：https://www.freebuf.com/articles/336011.html 封面来源于网络，如有侵权请联系删除

任天堂将今年早些时候对黑客加里鲍泽的宣判描述为一个 “独特的机会”，向所有玩家发出关于视频游戏盗版的信息。加里鲍泽是加拿大人，去年因其作为Xecuter团队的高级成员而对美国政府的网络犯罪指控认罪。 该组织出售规避版权保护的技术，使任天堂Switch和其他系统能够播放盗版游戏。当局估计，在近十年的时间里，盗版给任天堂带来了高达6500万美元的损失，甚至迫使该公司花费资源发布了更安全的Switch型号。 任天堂表示，是购买视频游戏支撑着任天堂和任天堂的生态系统，是游戏让人们微笑，正是由于这个原因，我们尽一切努力防止任天堂系统上的游戏被盗。任天堂因Xecuter团队的盗版行为而遭受的损失，并对那些作品也被盗版的小型非任天堂游戏制造商表示同情。 任天堂还对作弊行为进行了抱怨，它表示，Team Xecuter的黑客行为使作弊成为可能。作弊可能会吓跑诚实的玩家。在听证会上，美国地区法官罗伯特-拉斯尼克指出：“电视和电影将黑客美化为坚持到底的人，暗示大公司正在收获巨大的利润，小人物有这样的机会是好事。我们还能做什么来说服人们，这种黑客/盗版并不光荣？”任天堂律师回答表示：”对公众的进一步教育会有很大好处。 黑客加里鲍泽则对法官表示说，更长的监禁时间不会吓跑黑客，从盗版中可以赚到的钱太多了，以至于无足轻重。加里鲍泽被判处40个月的刑期，而加里鲍泽律师要求的刑期是19个月，他说黑客在等待审判时已经服了大部分的刑期。由于COVID-19和其他健康问题，其中近6个月是加里鲍泽独自在牢房中度过的，每天23小时。当天晚些时候，任天堂发布了一份新闻稿，感谢当局对加里鲍泽的起诉。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1278559.htm 封面来源于网络，如有侵权请联系删除

据Techspot报道，一个自称为“Obfuscated Dreams of Scheherazade”的黑客组织创建了一个机器人，在多个政府实体之间建立了一个电话会议，使每个实体认为是另一个实体打的电话。其目的是为了浪费政府的时间并占用电话线。自动垃圾电话在俄罗斯的工作时间内不停地进行着。 周三，该黑客组织建立了一个网站，任何人都可以发起并监听这些电话之一。该网站名为“ Waste Russian Time Today”。访问该网站的用户可以向下滚动到电话图标，在随机的俄罗斯机构之间开始通话，并在他们试图弄清谁在给谁打电话以及为什么打电话时倾听混乱的情况。 显然，了解俄语可能有助于理解所说的内容。不过，参与者可能会变得很激烈，因为官员们可能整天都在接听无意义的电话–愤怒和沮丧在任何语言中听起来都一样。无论是否有人使用该网站，机器人仍然在没有人类干预的情况下拨打电话，以确保它尽可能多地浪费机构的时间。 “如果你在打电话，你就不能投掷炸弹或协调士兵，”该组织说。“（不会说俄语？）封锁线路！你总能从声音中猜到些什么。杜马员工被激怒的程度越高越好。” 自周三上线以来，到目前为止，已经有5186个电话从该网站打出。目前，该组织利用数千名政府雇员的电话号码进行运作，包括普京的记者团、杜马雇员、军情局和俄罗斯联邦安全局（FSB）。这些号码包括从中级行政人员到高级政治家。但该组织想要更多。 “Obfuscated Dreams of Scheherazade”正在寻找增加其数据库的方法。黑客们将接受任何可能有更多电话号码的人的电子邮件。他们还鼓励那些愿意更多参与的人进行独立研究，以建立一个更广泛的收集。 从网站上发起呼叫的用户是完全匿名的，他们的声音无法被听到。Obfuscated Dreams of Scheherazade告诉《Wired》，让第三方用户“静音”可以确保他们不能向线路上的其他人透露任何身份信息。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271077.htm 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，因盗取大量服务器登录凭据，并在暗网出售， 28 岁的乌克兰人 Glib Oleksandr Ivanov-Tolpintsev 被判处 4 年监禁。 该男子于 2020 年 10 月在波兰被捕，被指控犯有共谋罪，贩卖未经授权的访问设备，以及贩卖计算机密码，次年 2 月初表示认罪，于 2021 年 9 月被引渡到美国。 据悉， Ivanov-Tolpintsev 控制了一个僵尸网络，通过暴力攻击破解计算机登录凭证，每周至少能够收集到 2000 台服务器的登录凭证。 2017 年至 2019 年期间，该男子在一个不知名的暗网市场上频繁出售被盗登录凭据，截止到落网，一共销售了超过 70 万台被破坏的服务器，共获得了 82648 美元的回报。 何为暗网市场? 根据法律文件的解释，暗网市场指从事非法网络信息交易的暗网网站，非法出售位于世界各地的服务器的登录凭证（用户名和密码）和其他非法数据信息。 一旦成功购买非法登陆凭证，网络犯罪分子就会利用这些服务器从事包括勒索软件攻击和税务欺诈在内的一系列非法活动。 美国司法部发布的新闻稿中表示：对于乌克兰公民的网络犯罪事件，经过调查分析发现，暗网市场上总共有 70 多万台被破坏的服务器出售，其中至少有 15 万台在美国，至少有 8000 台在佛罗里达。 此次事件的受害者涉及领域广泛，政府机构、医院、紧急服务、呼叫中心、大都会交通当局、律师事务所、养老基金和大学等都受到一定程度的影响。   转自 Freebuf，原文链接：https://www.freebuf.com/news/333377.html 封面来源于网络，如有侵权请联系删除

近日，一个名为“Killnet”的亲俄黑客团伙对多个意大利机构网站发动了攻击，其中包括参议院、国家卫生研究院，国家汽车协会，即国家驾驶员协会。国防部的网站也无法访问，但官员们却表示，无法访问是“由于该网站正在进行一项计划已久的维护活动”。此后，意大利当局证实，这些攻击并未造成数据泄露或其他损害。 “Killnet”团伙自俄乌战争以来就宣布支持俄罗斯，并对包括罗马尼亚政府机构和美国布拉德利机场在内的西方国家发动过袭击。值得一提的是，在本次攻击浪潮席卷意大利的时候，总理马里奥·德拉吉（Mario Draghi）正在华盛顿进行国事访问。 意大利警方已对袭击事件开展调查，而国家计算机安全事件响应小组（CSIRT）证实了这些网站遭到DDoS攻击。CSIRT警告称，黑客发起的是慢速POST DDoS攻击，这种攻击非比寻常，因此很难被发现。 Killnet在其Telegram频道上发布了一条消息，提示了进一步攻击的可能： “亲爱的意大利和西班牙媒体。 Killnet实际上并没有像攻击罗马尼亚那样攻击你们的国家。如果这种情况发生，那么1945年 4月29日，也就是你们投降的那一天，将会很快重演。我们的军队在你们国家进行军事网络演习，以提高他们的技能。一切都与你们的行为如此相似——意大利人和西班牙人正在学习如何在乌克兰杀人，而我们的军地正在学习如何杀死你们的服务器！你应该明白这只是训练，所以请不要大喊救命。我们已经对有关袭击参议院的新闻感到厌倦，我向你保证，我们的网络军队将很快在你们的领土上完成训练，我们将继续进攻。这会非常突然且迅速地发生。” 被攻击的网站名单被分享在亲俄黑客组织“The Legion”的Telegram频道上，该组织主要攻击西方组织和政府，包括北约国家和乌克兰。此外，“The Legion”还对今年在意大利都灵举行的欧洲歌唱大赛发动过攻击。 目前，还不清楚“The Legion”和“Killnet”两个团伙之前的确切关系。 其实，自俄罗斯入侵乌克兰开始以来，考虑到两国之间的网络争端可能会蔓延，意大利网络安全机构ACN已将警戒级别提高。 除了上述的机构网站之外，意大利的基础设施也在最近频繁遭受重大网络攻击，包括医院和意大利国有铁路公司（Ferrovie dello Stato Italiane）。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/333230.html 封面来源于网络，如有侵权请联系删除

近日，五眼情报联盟成员对管理服务提供商（MSPs）及其客户发出了警告，提醒他们可能正越来越多地成为供应链攻击的目标。对此，来自五眼国家的多个网络安全和执法机构（包括NCSC-UK、ACSC、CCCS、NCSC-NZ、CISA、NSA和FBI）共享了对MSPs的安全指南，以保护网络和敏感数据免受日益增长的网络威胁。 “英国、澳大利亚、加拿大、新西兰和美国的网络安全当局预计，各种恶意网络攻击者，包括由国家支持的APT组织，将加大对MSPs的攻击力度，以利用供应商与客户的网络信任关系”，五眼联盟的联合公告中这样写道，“成功入侵 MSPs的攻击者可能会针对整个MSPs的客户群发起后续攻击，例如勒索软件和网络间谍攻击。” 其实，在过去几年中，五眼联盟的网络安全主管部门一直不定期地向MSPs及其客户提供一般指导建议，只是如今除了指导建议更进一步提出了具体措施。 MSPs及其客户可采取的关键的战术行动可概括为如下3点: 识别和禁用不再使用的帐户。 对访问客户环境的MSP帐户强制执行MFA（失灵警报信号），并对无法解释的身份验证失败进行监视。 保证MSP客户合同透明地确认信息和通信技术（ICT）安全角色和职责所有权。 美国网络安全与基础设施网络安全局（CISA）主任Jen Easterly在接受采访时表示:“我们知道，易受攻击的MSPs会显著增加其支持的企业和组织的下游风险。因此，确保MSPs的安全对我们的集体网络防御至关重要，CISA以及我们的跨机构和国际合作伙伴正致力于加强其安全性并提高我们全球供应链的弹性。” 值得一提的是，在一年前，英国政府就防范软件供应链攻击和加强全国IT管理服务提供商网络安全防御的议题公开征求过建议。而就在不久前，美国总统拜登也发布了一项行政命令，以实现美国防御网络攻击的现代化。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/332915.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，俄罗斯胜利日期间，境内部分电视台遭受网络攻击，黑客成功获取权限后，发布反战信息。 据 BBC 报道，这次协同网络攻击影响了包括第一频道、Rossiya-1、MTS、Rostelecom 和 NTV-Plus  等在内俄罗斯的主要媒体。 胜利日期间，在俄罗斯总统普京发表讲话时，黑客组织破坏了俄罗斯在线电视时间表页面，发布反战信息。除此之外，还试图通过智能电视访问电视节目表，向俄罗斯公民展示指责克里姆林宫的宣传信息。 黑客在入侵俄罗斯电视节目表页面后，将每个节目的名称更改为 “你们的手上沾满了成千上万乌克兰人和他们数百名被害儿童的血，电视节目和当局都在撒谎，反对战争”。 匿名者黑客组织第一时间公开了此次网络攻击的消息，但目前尚不清楚哪个组织攻击了俄罗斯媒体。 值得一提的是，此次网络攻击还导致俄罗斯视频流媒体平台 RuTube 下线，部分亲乌克兰黑客认为该平台是俄罗斯宣传的重要组成部分。 遭受攻击后，媒体平台 RuTube 表示，攻击者没有访问其内部档案，正在努力恢复平台。另一方面，网上黑客组织声称，Rutube 的代码已经从平台上完全删除，并计划尽快泄露。 转自 Freebuf，原文链接：https://www.freebuf.com/news/332781.html 封面来源于网络，如有侵权请联系删除

一个黑客组织利用Conti恶意软件集团泄露的勒索软件源代码创建了他们自己的勒索软件，然后用于对俄罗斯组织进行网络攻击。虽然经常听到勒索软件攻击公司并加密数据，但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。这种缺乏攻击的情况是由于俄罗斯黑客普遍认为，如果他们不影响俄罗斯的利益，那么该国的执法部门将对攻击其他国家的行为视而不见。 然而，现在情况发生了变化，一个被称为NB65的黑客组织现在专门以俄罗斯组织为目标进行勒索软件攻击。 过去一个月，一个名为NB65的黑客组织一直在入侵俄罗斯实体，窃取他们的数据，并将其泄露到网上，并警告说这些攻击是由于俄罗斯入侵乌克兰。 据称被该黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor，俄罗斯航天局，以及国有的俄罗斯电视和广播公司VGTRK。 对VGTRK的攻击尤其重要，它导致了据称786.2GB的数据被盗，其中包括90万封电子邮件和4000个文件，这些数据被公布在DDoS Secrets网站上。 最近，NB65黑客转向了一种新的战术–自3月底以来以俄罗斯组织为目标进行勒索软件攻击。 更有趣的是，该黑客组织使用泄露的Conti勒索软件操作的源代码创建了他们定制版本的勒索软件，这些来自俄罗斯的网络安全威胁行为始作俑者通常禁止其成员攻击俄罗斯的实体。 Conti的源代码是在他们在攻击乌克兰的问题上与俄罗斯站在一起之后泄露的，一位安全研究员泄露了17万条内部聊天信息和他们行动的源代码。 BleepingComputer首先通过威胁分析师Tom Malka了解到NB65的攻击，但我们找不到勒索软件的样本，而且该黑客组织也不愿意分享它。 然而，这种情况在昨天发生了变化，NB65修改过的Conti勒索软件可执行文件的样本被上传到VirusTotal，让我们得以一窥它的运作方式。 几乎所有的杀毒软件供应商都将VirusTotal上的这个样本检测为Conti，Intezer Analyze还确定它使用的代码与通常的Conti勒索软件样本有66%相同。 BleepingComputer给NB65的勒索软件做了一个测试，当加密文件时，它会在被加密文件的名称后加上.NB65的扩展名。 该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的勒索信文本，威胁者将网络攻击归咎于总统弗拉基米尔·普京入侵乌克兰。 “我们正在密切关注。 你们的总统不应该犯下战争罪。”NB65勒索软件显示的说明中写道。 NB65黑客组织的一名代表表示，他们的加密器是基于第一个Conti源代码的泄漏，但因为改变了算法，所以现有的解密器将无法工作。 “它被修改后，所有版本的Conti解密器都无法工作。每次部署都会根据我们为每个目标改变的几个变量产生一个随机的密钥。如果不与我们联系，真的没有办法解密。” 目前，NB65还没有收到他们的受害者的任何通信，并告诉我们他们不期待任何通信。 至于NB65攻击俄罗斯组织的原因： “在布查屠杀事件后之后，我们选择了针对某些公司，这些公司可能看上去是服务于民用市场的，但仍然会对俄罗斯的正常运作能力产生影响。 俄罗斯民众对普京的战争罪行的支持是压倒性的。 从一开始我们就明确表示。 我们在支持乌克兰。 我们将兑现我们的承诺。 当俄罗斯停止在乌克兰的所有敌对行动并结束这场荒谬的战争时，NB65将停止攻击俄罗斯互联网上的资产和公司。” “我们将不会攻击俄罗斯以外的任何目标。 像Conti和Sandworm这样的组织，以及其他俄罗斯APT多年来一直通过勒索软件、供应链攻击（Solarwinds或国防承包商）来打击西方。我们认为现在是他们自己处理这个问题的时候了。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1256653.htm 封面来源于网络，如有侵权请联系删除

美国参议院议员开始注意到关于黑客伪造”紧急数据请求”以获取苹果等科技公司数据的报道，其中一位开始调查隐私问题。3月29日，一份报告显示，黑客正在利用其所俘获的政府和警察电子邮件账户，使他们能够假装成执法官员。通过使用电子邮件账户和连接服务，黑客能够在某些情况下向科技公司索取数据。 具体来说，黑客们滥用了”紧急数据请求”（EDRs），声称存在迫在眉睫的伤害或死亡威胁而要求提供数据。EDRs可以向执法部门紧急提供数据，而不需要法院的搜查令或传票。 然而，由于不可能迅速验证EDR的合法性，黑客们看到了这种技术的成功。 在最初的报告和彭博社3月30日的后续确认中，确认苹果公司遵守了一些要求，这个问题已经引起了立法者的注意。 参议员Ron Wyden在周四给KrebsOnSecurity的一份声明中说，这个问题是”对美国人的安全和国家安全的一个巨大威胁”。威登还对一些EDR”可能来自被破坏的外国执法机构，然后被用来针对脆弱的个人”的前景表示担忧。 威登说，他正在要求科技公司和联邦机构提供信息，以了解更多关于这个问题的情况。参议员说：”没有人希望科技公司在某人的安全受到威胁时拒绝合法的紧急请求，但目前的系统有明显的弱点，需要加以解决。” 这并不是Wyden第一次研究法庭命令时的认证问题。2021年7月，Wyden和其他参议员提出了《法院命令数字认证法案》，该法案要求向各州和部落法院提供一笔资金，以帮助他们采用数字签名技术，从而有可能减少伪造的法院命令。 由于目前的EDR是通过被破坏的合法电子邮件账户发送的，没有真正的方法来确认身份，因此，执法部门采用类似的数字签名系统来达到类似的效果现在看是有必要的。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1254137.htm 封面来源于网络，如有侵权请联系删除