Channel: 猎豹扛封VPN 翻墙 飞机场 梯子/安全 稳定 招代理
谷歌威胁分析小组曝光Conti勒索软件攻击链的上游组织 代号Exotic Lily
Google 表示,Exotic Lily 于 2021 年 9 月首次被发现,至今仍处于活跃状态。在其活动高峰期间,每日有向多达 650 个组织发送超过 5000 封网络钓鱼电子邮件。
谷歌威胁分析小组(TAG)刚刚观察到了一个出于经济动机、而充当黑客中间人的威胁行为者,可知其“客户”包括了 Conti 勒索软件团伙。Google 将该组织称作“Exotic Lily”,它会充当初始访问代理,寻找易受攻击的组织、并将其网络访问权挂牌转售给出价最高的攻击者。
通过将对受害者网络的初始访问给“外包”掉,类似 Conti 这样的勒索软件团伙,便可更加专注于攻击和执行。
起初,Exotic Lily 会通过钓鱼邮件,假扮合法组织及其员工(甚至创建了配套的社交媒体资料 / AI 生成的人脸图像),以引诱经验不足的受害者上钩。
大多数情况下,假冒域名会模仿得非常相似,但顶级域的“尾巴”还是相当容易露馅的(比如 .us、.co 或 .biz)。
通过对其“工作时段”进行分析,Google 认为幕后黑手可能生活在中东欧地区,然后假借商业提案等借口发送钓鱼邮件。
为了躲避电子邮件服务商的安全筛查,Exotic Lily 还会将“有效负载”上传到公共文件托管服务平台(比如 WeTransfer 或 OneDrive 网盘)。
研究人员 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“这种程度的人机交互,对那些专注于大规模运营的网络犯罪组织来说,是相当不同于寻常的”。
这些恶意负载最初采用了文档的形式,但其中包含了对微软 MSHTML 浏览器引擎的零日漏洞利用(CVE-2021-40444),以转向包含隐藏恶意负载的 BazarLoader ISO 磁盘映像。
这一转变证实了 Exotic Lily 与被追踪的 Wizard Spider(又名 UNC1878)的俄罗斯网络犯罪组织之间的联系,据说后者与臭名昭著的 Ryuk 勒索软件攻击事件有关。
Google 表示,Exotic Lily 于 2021 年 9 月首次被发现,至今仍处于活跃状态。在其活动高峰期间,每日有向多达 650 个组织发送超过 5000 封网络钓鱼电子邮件。
谷歌威胁分析小组(TAG)刚刚观察到了一个出于经济动机、而充当黑客中间人的威胁行为者,可知其“客户”包括了 Conti 勒索软件团伙。Google 将该组织称作“Exotic Lily”,它会充当初始访问代理,寻找易受攻击的组织、并将其网络访问权挂牌转售给出价最高的攻击者。
通过将对受害者网络的初始访问给“外包”掉,类似 Conti 这样的勒索软件团伙,便可更加专注于攻击和执行。
起初,Exotic Lily 会通过钓鱼邮件,假扮合法组织及其员工(甚至创建了配套的社交媒体资料 / AI 生成的人脸图像),以引诱经验不足的受害者上钩。
大多数情况下,假冒域名会模仿得非常相似,但顶级域的“尾巴”还是相当容易露馅的(比如 .us、.co 或 .biz)。
通过对其“工作时段”进行分析,Google 认为幕后黑手可能生活在中东欧地区,然后假借商业提案等借口发送钓鱼邮件。
为了躲避电子邮件服务商的安全筛查,Exotic Lily 还会将“有效负载”上传到公共文件托管服务平台(比如 WeTransfer 或 OneDrive 网盘)。
研究人员 Vlad Stolyarov 和 Benoit Sevens 在一篇博文中指出:“这种程度的人机交互,对那些专注于大规模运营的网络犯罪组织来说,是相当不同于寻常的”。
这些恶意负载最初采用了文档的形式,但其中包含了对微软 MSHTML 浏览器引擎的零日漏洞利用(CVE-2021-40444),以转向包含隐藏恶意负载的 BazarLoader ISO 磁盘映像。
这一转变证实了 Exotic Lily 与被追踪的 Wizard Spider(又名 UNC1878)的俄罗斯网络犯罪组织之间的联系,据说后者与臭名昭著的 Ryuk 勒索软件攻击事件有关。
俄罗斯管道巨头Transneft遭攻击 79GB数据泄露
此次泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。
俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。
本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接,这些电子邮件来自 Transneft 的研发部门 Omega 公司。
Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被阻止接受来自美国市场的投资。
它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统,具有讽刺意味的是,这些系统主要用于泄漏检测。
泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。
不寻常的是,根据分布式拒绝秘密组织随同电子邮件上传的一份说明,消息来源将泄漏的数据献给希拉里·克林顿。在 2 月份接受 MSNBC 采访时,克林顿采取了非常规的措施,鼓励 Anonymous 对俄罗斯发动网络攻击。克林顿说:“热爱自由的人,了解我们的生活方式取决于支持那些也相信自由的人,可以参与对俄罗斯街头的人进行网络支持”。
此次泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。
俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。
本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接,这些电子邮件来自 Transneft 的研发部门 Omega 公司。
Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被阻止接受来自美国市场的投资。
它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统,具有讽刺意味的是,这些系统主要用于泄漏检测。
泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。
不寻常的是,根据分布式拒绝秘密组织随同电子邮件上传的一份说明,消息来源将泄漏的数据献给希拉里·克林顿。在 2 月份接受 MSNBC 采访时,克林顿采取了非常规的措施,鼓励 Anonymous 对俄罗斯发动网络攻击。克林顿说:“热爱自由的人,了解我们的生活方式取决于支持那些也相信自由的人,可以参与对俄罗斯街头的人进行网络支持”。
黑客使用新的 Rootkit 攻击银行网络以从 ATM 机中窃取资金
观察到一个出于经济动机的威胁行为者部署了一个以前未知的以 Oracle Solaris 系统为目标的 rootkit,其目标是破坏自动柜员机 (ATM) 交换网络,并使用欺诈性卡在不同的银行进行未经授权的现金提取。
威胁情报和事件响应公司 Mandiant 正在跟踪名为 UNC2891 的集群,该组织的一些策略、技术和程序与另一个名为UNC1945的集群共享重叠。
Mandiant 研究人员在本周发布的一份新报告中表示,攻击者发起的入侵涉及“高度的 OPSEC,并利用公共和私人恶意软件、实用程序和脚本来删除证据并阻碍响应工作” 。
更令人担忧的是,在某些情况下,攻击跨越数年,在此期间,攻击者通过利用名为 CAKETAP 的 rootkit 仍未被发现,该 rootkit 旨在隐藏网络连接、进程和文件。
Mandiant 能够从其中一台受害的 ATM 交换机服务器中恢复内存取证数据,并指出内核 rootkit 的一种变体具有特殊功能,使其能够拦截卡和 PIN 验证消息并使用被盗数据执行欺诈性现金从 ATM 终端取款。
还使用了两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归因于 UNC1945,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问以及 shell 执行和文件传输。
“根据该组织对基于 Unix 和 Linux 的系统的熟悉程度,UNC2891 经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被调查人员忽略,例如 systemd (SYSTEMD)、名称服务缓存守护进程 (NCSD) ,以及 Linux at daemon (ATD),”研究人员指出。”
观察到一个出于经济动机的威胁行为者部署了一个以前未知的以 Oracle Solaris 系统为目标的 rootkit,其目标是破坏自动柜员机 (ATM) 交换网络,并使用欺诈性卡在不同的银行进行未经授权的现金提取。
威胁情报和事件响应公司 Mandiant 正在跟踪名为 UNC2891 的集群,该组织的一些策略、技术和程序与另一个名为UNC1945的集群共享重叠。
Mandiant 研究人员在本周发布的一份新报告中表示,攻击者发起的入侵涉及“高度的 OPSEC,并利用公共和私人恶意软件、实用程序和脚本来删除证据并阻碍响应工作” 。
更令人担忧的是,在某些情况下,攻击跨越数年,在此期间,攻击者通过利用名为 CAKETAP 的 rootkit 仍未被发现,该 rootkit 旨在隐藏网络连接、进程和文件。
Mandiant 能够从其中一台受害的 ATM 交换机服务器中恢复内存取证数据,并指出内核 rootkit 的一种变体具有特殊功能,使其能够拦截卡和 PIN 验证消息并使用被盗数据执行欺诈性现金从 ATM 终端取款。
还使用了两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归因于 UNC1945,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问以及 shell 执行和文件传输。
“根据该组织对基于 Unix 和 Linux 的系统的熟悉程度,UNC2891 经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被调查人员忽略,例如 systemd (SYSTEMD)、名称服务缓存守护进程 (NCSD) ,以及 Linux at daemon (ATD),”研究人员指出。”
专家发现 BlackMatter 的一些附属公司正在传播 BlackCat 勒索软件
对两次勒索软件攻击的分析发现,BlackCat 和 BlackMatter 之间的策略、技术和程序 (TTP) 存在重叠,这表明这两个组织之间存在密切联系。
虽然勒索软件组织通常会重新命名其运营以响应对其攻击的可见性增加,但 BlackCat(又名 Alphv)标志着一个新的前沿,因为网络犯罪卡特尔是由其他勒索软件即服务(RaaS ) 操作。
BlackCat 于 2021 年 11 月首次出现,并在过去几个月中针对全球多个组织。它被称为与 BlackMatter 相似,BlackMatter是一个源自DarkSide的短命勒索软件家族,因 2021 年 5 月对Colonial Pipeline的高调攻击而声名狼藉。
在上个月接受 Recorded Future 的 The Record 采访时,BlackCat 的一位代表驳斥了有关这是 BlackMatter 品牌重塑的猜测,同时指出它由与其他 RaaS 团体相关的附属公司组成。“在某种程度上,我们都与 gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit 等有联系,因为我们是广告(又名附属公司),”未具名的代表被引述正如所说。“我们借鉴了他们的优势,消除了他们的劣势。”
“BlackCat 似乎是垂直业务扩张的一个案例,”思科 Talos 研究人员 Tiago Pereira 和 Caitlin Huey 说。“从本质上讲,这是一种控制上游供应链的方式,通过使对他们的业务(RaaS 运营商)至关重要的服务更适合他们的需求并增加另一个收入来源来实现。”
此外,这家网络安全公司表示,它观察到 2021 年 9 月的 BlackMatter 攻击与 2021 年 12 月的 BlackCat 攻击之间存在许多共性,包括使用的工具和文件名以及用于保持对目标网络。
这种对同一命令和控制地址的重叠使用增加了使用 BlackMatter 的附属公司可能是 BlackCat 的早期采用者之一的可能性,两次攻击都需要 15 天以上才能达到加密阶段。
对两次勒索软件攻击的分析发现,BlackCat 和 BlackMatter 之间的策略、技术和程序 (TTP) 存在重叠,这表明这两个组织之间存在密切联系。
虽然勒索软件组织通常会重新命名其运营以响应对其攻击的可见性增加,但 BlackCat(又名 Alphv)标志着一个新的前沿,因为网络犯罪卡特尔是由其他勒索软件即服务(RaaS ) 操作。
BlackCat 于 2021 年 11 月首次出现,并在过去几个月中针对全球多个组织。它被称为与 BlackMatter 相似,BlackMatter是一个源自DarkSide的短命勒索软件家族,因 2021 年 5 月对Colonial Pipeline的高调攻击而声名狼藉。
在上个月接受 Recorded Future 的 The Record 采访时,BlackCat 的一位代表驳斥了有关这是 BlackMatter 品牌重塑的猜测,同时指出它由与其他 RaaS 团体相关的附属公司组成。“在某种程度上,我们都与 gandrevil [GandCrab / REvil]、blackside [BlackMatter / DarkSide]、mazegreggor [Maze / Egregor]、lockbit 等有联系,因为我们是广告(又名附属公司),”未具名的代表被引述正如所说。“我们借鉴了他们的优势,消除了他们的劣势。”
“BlackCat 似乎是垂直业务扩张的一个案例,”思科 Talos 研究人员 Tiago Pereira 和 Caitlin Huey 说。“从本质上讲,这是一种控制上游供应链的方式,通过使对他们的业务(RaaS 运营商)至关重要的服务更适合他们的需求并增加另一个收入来源来实现。”
此外,这家网络安全公司表示,它观察到 2021 年 9 月的 BlackMatter 攻击与 2021 年 12 月的 BlackCat 攻击之间存在许多共性,包括使用的工具和文件名以及用于保持对目标网络。
这种对同一命令和控制地址的重叠使用增加了使用 BlackMatter 的附属公司可能是 BlackCat 的早期采用者之一的可能性,两次攻击都需要 15 天以上才能达到加密阶段。
谷歌发现与 Conti Ransomware Gang 合作的“初始访问代理”
谷歌的威胁分析小组 (TAG) 揭开了一个新的初始访问代理的面纱,称该代理与一个因其 Conti 和 Diavol 勒索软件操作而臭名昭著的俄罗斯网络犯罪团伙密切相关。
被称为 Exotic Lily,已观察到出于经济动机的威胁参与者利用 Microsoft Windows MSHTML 平台 ( CVE-2021-40444 ) 中现已修补的关键漏洞作为广泛的网络钓鱼活动的一部分,该活动涉及发送不少于 5,000 封以商业提案为主题的电子邮件每天针对全球 650 个目标组织。
TAG 研究人员 Vlad Stolyarov 和 Vlad Stolyarov说: “初始访问经纪人是安全界的机会主义锁匠,这是一份全职工作。 ” “这些团体专门破坏目标,以便为出价最高的恶意行为者打开大门或窗户。”
Exotic Lily 于 2021 年 9 月首次被发现,据说参与了数据泄露和部署人为操作的 Conti 和Diavol勒索软件毒株,这两种毒株都与俄罗斯网络犯罪集团 Wizard Spider 有重叠,后者也以运营着称TrickBot、BazarBackdoor和Anchor。
“是的,这是一种可能性,特别是考虑到这比传统的垃圾邮件活动更复杂和更有针对性,但我们目前还不确定,”当被问及 Exotic Lily 是否可以成为另一个扩展时,Google TAG 告诉黑客新闻巫师蜘蛛组的。
“在Conti 泄密事件中,Conti 成员提到‘垃圾邮件发送者’是他们通过外包合作的人(例如,提供定制的‘加密’恶意软件样本等)。然而,大多数‘垃圾邮件发送者’似乎并不在聊天中出现(或积极交流),从而得出他们作为独立实体运作的结论。”
威胁参与者的社会工程诱饵从欺骗性电子邮件帐户发送,特别针对 IT、网络安全和医疗保健部门,尽管在 2021 年 11 月之后,攻击变得更加不分青红皂白,针对各种组织和行业。
除了使用虚构的公司和身份作为与目标实体建立信任的手段外,Exotic Lily 还利用 WeTransfer、TransferNow 和 OneDrive 等合法文件共享服务来提供BazarBackdoor 有效负载,以逃避检测机制。
谷歌的威胁分析小组 (TAG) 揭开了一个新的初始访问代理的面纱,称该代理与一个因其 Conti 和 Diavol 勒索软件操作而臭名昭著的俄罗斯网络犯罪团伙密切相关。
被称为 Exotic Lily,已观察到出于经济动机的威胁参与者利用 Microsoft Windows MSHTML 平台 ( CVE-2021-40444 ) 中现已修补的关键漏洞作为广泛的网络钓鱼活动的一部分,该活动涉及发送不少于 5,000 封以商业提案为主题的电子邮件每天针对全球 650 个目标组织。
TAG 研究人员 Vlad Stolyarov 和 Vlad Stolyarov说: “初始访问经纪人是安全界的机会主义锁匠,这是一份全职工作。 ” “这些团体专门破坏目标,以便为出价最高的恶意行为者打开大门或窗户。”
Exotic Lily 于 2021 年 9 月首次被发现,据说参与了数据泄露和部署人为操作的 Conti 和Diavol勒索软件毒株,这两种毒株都与俄罗斯网络犯罪集团 Wizard Spider 有重叠,后者也以运营着称TrickBot、BazarBackdoor和Anchor。
“是的,这是一种可能性,特别是考虑到这比传统的垃圾邮件活动更复杂和更有针对性,但我们目前还不确定,”当被问及 Exotic Lily 是否可以成为另一个扩展时,Google TAG 告诉黑客新闻巫师蜘蛛组的。
“在Conti 泄密事件中,Conti 成员提到‘垃圾邮件发送者’是他们通过外包合作的人(例如,提供定制的‘加密’恶意软件样本等)。然而,大多数‘垃圾邮件发送者’似乎并不在聊天中出现(或积极交流),从而得出他们作为独立实体运作的结论。”
威胁参与者的社会工程诱饵从欺骗性电子邮件帐户发送,特别针对 IT、网络安全和医疗保健部门,尽管在 2021 年 11 月之后,攻击变得更加不分青红皂白,针对各种组织和行业。
除了使用虚构的公司和身份作为与目标实体建立信任的手段外,Exotic Lily 还利用 WeTransfer、TransferNow 和 OneDrive 等合法文件共享服务来提供BazarBackdoor 有效负载,以逃避检测机制。
无处不在的“杀猪盘”骗局—诈骗团伙“Crypto Rom”继续对iPhone 和 Android 用户发起攻击
CryptoRom活动自 2021 年初以来就一直出于活跃状态。研究人员将这种攻击行为称为杀猪盘,这是一种组织严密的联合诈骗行动,杀猪盘是一种网络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字。不同于其他骗局的“短平快”,杀猪盘最大的特点就是放长线“养猪”,养得越久,杀得越狠。虽然该攻击最初专注于亚洲受害者,但在 2021 年 10 月,该恶意组织开始了全球范围内的攻击。
这种攻击仍然非常活跃,并继续影响着世界各地的受害者,在某些情况下,受害者可能会在一次攻击中失去毕生的积蓄。本文我们将重点介绍那些额外的虚假移动应用程序和网站,恶意软件运营商使用的社会工程技术以及另一种滥用 Apple iOS 软件传播以绕过 App Store 安全检查的行为。
此前,研究人员发现 CryptoRom 针对 iOS 设备的欺骗性应用程序利用了 Apple 的“超级签名”应用程序传播方案(一种使用开发者帐户的有限临时传播方法)并滥用了 Apple 的企业应用程序部署方案。研究人员现在也看到 Apple TestFlight 被 CryptoRom 作者滥用。
TestFlight用于测试应用的“beta”版本,然后将其提交到App store进行发行。苹果支持通过两种方式使用TestFlight应用分发:一种是100名用户通过电子邮件邀请发送的小型内部应用测试,另一种是支持1万名用户的大型公开beta测试。更小的基于电子邮件的分发方式不需要App Store的安全审查,而由公共网页链接共享的TestFlight应用需要App Store对代码构建进行初步审查。
不幸的是,就像我们在苹果支持的其他应用分发方案中看到的那样,“TestFlight Signature”可以作为托管服务,用于替代iOS应用部署,这使得恶意软件开发者很容易滥用它。这些第三方服务被CryptoRom开发者滥用。
TF Signature 比其他方案使用起来更便宜,因为你只需要一个带有已编译应用程序的 IPA 文件。传播由其他人处理,当恶意软件被注意到和标记时,恶意软件开发人员可以继续下一个服务并重新开始。
CryptoRom活动自 2021 年初以来就一直出于活跃状态。研究人员将这种攻击行为称为杀猪盘,这是一种组织严密的联合诈骗行动,杀猪盘是一种网络交友诱导股票投资、赌博等类型的诈骗方式,“杀猪盘”则是“从业者们”自己起的名字。不同于其他骗局的“短平快”,杀猪盘最大的特点就是放长线“养猪”,养得越久,杀得越狠。虽然该攻击最初专注于亚洲受害者,但在 2021 年 10 月,该恶意组织开始了全球范围内的攻击。
这种攻击仍然非常活跃,并继续影响着世界各地的受害者,在某些情况下,受害者可能会在一次攻击中失去毕生的积蓄。本文我们将重点介绍那些额外的虚假移动应用程序和网站,恶意软件运营商使用的社会工程技术以及另一种滥用 Apple iOS 软件传播以绕过 App Store 安全检查的行为。
此前,研究人员发现 CryptoRom 针对 iOS 设备的欺骗性应用程序利用了 Apple 的“超级签名”应用程序传播方案(一种使用开发者帐户的有限临时传播方法)并滥用了 Apple 的企业应用程序部署方案。研究人员现在也看到 Apple TestFlight 被 CryptoRom 作者滥用。
TestFlight用于测试应用的“beta”版本,然后将其提交到App store进行发行。苹果支持通过两种方式使用TestFlight应用分发:一种是100名用户通过电子邮件邀请发送的小型内部应用测试,另一种是支持1万名用户的大型公开beta测试。更小的基于电子邮件的分发方式不需要App Store的安全审查,而由公共网页链接共享的TestFlight应用需要App Store对代码构建进行初步审查。
不幸的是,就像我们在苹果支持的其他应用分发方案中看到的那样,“TestFlight Signature”可以作为托管服务,用于替代iOS应用部署,这使得恶意软件开发者很容易滥用它。这些第三方服务被CryptoRom开发者滥用。
TF Signature 比其他方案使用起来更便宜,因为你只需要一个带有已编译应用程序的 IPA 文件。传播由其他人处理,当恶意软件被注意到和标记时,恶意软件开发人员可以继续下一个服务并重新开始。
DarkHotel APT瞄准澳门永利酒店盗取客人数据
一份新报告称,DarkHotel 网络钓鱼活动侵入了豪华酒店网络,包括澳门永利皇宫和路环度假村。
一个高级持续威胁 (APT) 组织一直针对中国澳门的豪华酒店开展鱼叉式网络钓鱼活动,旨在破坏其网络并窃取入住度假村的知名宾客的敏感数据,包括路环度假村和永利皇宫.
Trellix 的一份威胁研究报告“谨慎”地指出,韩国DarkHotel APT 组织是攻击背后的罪魁祸首。
研究人员表示,鱼叉式网络钓鱼活动于 11 月底开始,载有恶意 Excel 宏的电子邮件被发送给可以访问酒店网络的酒店管理人员,包括人力资源和办公室经理。
在一次攻击波中,网络钓鱼电子邮件于 12 月 7 日被发送到 17 家不同的酒店,并伪装成来自澳门旅游局的邮件,以收集有关酒店住宿人员的信息。这些电子邮件要求收件人打开一个标有“乘客查询”的附加 Excel 文件。
“请打开带有启用内容的附件,并说明这些人是否住在酒店?” 根据 Trellix 的威胁研究人员的说法,恶意电子邮件被读取。通讯是由“旅游局视察部”签署的。
Trellix 能够以“中等”程度的信心将攻击归咎于 DarkHotel,因为之前附加到该组的命令和控制服务器 (C2) 的 IP 地址;以酒店为目标,DarkHotel 已经臭名昭著;报告称,在 C2 设置中发现的模式与已知的 DarkHotel 活动相匹配。
“但是,我们已将我们的信心水平降低至中等,因为特定 IP 地址即使在公开暴露后仍保持活跃相当长的一段时间,并且同一 IP 地址是与此特定威胁无关的其他恶意内容的来源,”Trellix团队说。“这两个观察结果使我们在归因时更加谨慎。”
一份新报告称,DarkHotel 网络钓鱼活动侵入了豪华酒店网络,包括澳门永利皇宫和路环度假村。
一个高级持续威胁 (APT) 组织一直针对中国澳门的豪华酒店开展鱼叉式网络钓鱼活动,旨在破坏其网络并窃取入住度假村的知名宾客的敏感数据,包括路环度假村和永利皇宫.
Trellix 的一份威胁研究报告“谨慎”地指出,韩国DarkHotel APT 组织是攻击背后的罪魁祸首。
研究人员表示,鱼叉式网络钓鱼活动于 11 月底开始,载有恶意 Excel 宏的电子邮件被发送给可以访问酒店网络的酒店管理人员,包括人力资源和办公室经理。
在一次攻击波中,网络钓鱼电子邮件于 12 月 7 日被发送到 17 家不同的酒店,并伪装成来自澳门旅游局的邮件,以收集有关酒店住宿人员的信息。这些电子邮件要求收件人打开一个标有“乘客查询”的附加 Excel 文件。
“请打开带有启用内容的附件,并说明这些人是否住在酒店?” 根据 Trellix 的威胁研究人员的说法,恶意电子邮件被读取。通讯是由“旅游局视察部”签署的。
Trellix 能够以“中等”程度的信心将攻击归咎于 DarkHotel,因为之前附加到该组的命令和控制服务器 (C2) 的 IP 地址;以酒店为目标,DarkHotel 已经臭名昭著;报告称,在 C2 设置中发现的模式与已知的 DarkHotel 活动相匹配。
“但是,我们已将我们的信心水平降低至中等,因为特定 IP 地址即使在公开暴露后仍保持活跃相当长的一段时间,并且同一 IP 地址是与此特定威胁无关的其他恶意内容的来源,”Trellix团队说。“这两个观察结果使我们在归因时更加谨慎。”
冒充俄罗斯 DDoS 工具的恶意软件咬了亲乌克兰的黑客
下载用于网络攻击俄罗斯的工具时要小心:它可能是一头披着羊皮的信息窃取狼,它会窃取你的加密货币信息。
寻找网络麻烦俄罗斯,乌克兰的同情者?小心——研究人员警告说,恶意软件正在四处传播,伪装成亲乌克兰的网络工具,它会转过身来咬你。
在周三的威胁公告中,思科 Talos 描述了它观察到的一场活动,其中威胁参与者在 Telegram 上提供所谓的分布式拒绝服务 (DDoS) 工具,据称这是为了打击俄罗斯网站。
据研究人员称,事实上,该文件实际上是 Phoenix 信息窃取者,它在获取凭据和加密货币信息。
Phoenix是一个键盘记录器,于 2019 年夏天出现,并在几个月内变成了一个成熟的信息窃取器,具有强大的反检测和反分析模块。
Infostealer 伪装成 Telegram 上的俄罗斯攻击工具。资料来源:思科 Talos。
“我们很高兴提醒您我们用来攻击俄罗斯网站的软件!” 消息发出了声音,等待跳到毫无戒心的用户身上,以便让他们从钱包和 MetaMask(一种通常与不可替代代币 [NFT] 相关的加密货币钱包软件)中存储的加密货币流血。
下载用于网络攻击俄罗斯的工具时要小心:它可能是一头披着羊皮的信息窃取狼,它会窃取你的加密货币信息。
寻找网络麻烦俄罗斯,乌克兰的同情者?小心——研究人员警告说,恶意软件正在四处传播,伪装成亲乌克兰的网络工具,它会转过身来咬你。
在周三的威胁公告中,思科 Talos 描述了它观察到的一场活动,其中威胁参与者在 Telegram 上提供所谓的分布式拒绝服务 (DDoS) 工具,据称这是为了打击俄罗斯网站。
据研究人员称,事实上,该文件实际上是 Phoenix 信息窃取者,它在获取凭据和加密货币信息。
Phoenix是一个键盘记录器,于 2019 年夏天出现,并在几个月内变成了一个成熟的信息窃取器,具有强大的反检测和反分析模块。
Infostealer 伪装成 Telegram 上的俄罗斯攻击工具。资料来源:思科 Talos。
“我们很高兴提醒您我们用来攻击俄罗斯网站的软件!” 消息发出了声音,等待跳到毫无戒心的用户身上,以便让他们从钱包和 MetaMask(一种通常与不可替代代币 [NFT] 相关的加密货币钱包软件)中存储的加密货币流血。
俄罗斯可能会使用勒索软件支付来避免制裁造成的经济损失
FinCEN 警告金融机构注意不寻常的加密货币支付或俄罗斯可能用来缓解与乌克兰相关的制裁造成的财务损失的非法交易。
美国联邦当局警告称,俄罗斯可能会加大对美国的勒索软件攻击,以减轻其因制裁而遭受的经济损失。由于入侵乌克兰,对国家和弗拉基米尔普京政府实施了这些制裁。
金融犯罪执法网络 (FinCEN) 周三发布了 FinCEN 警报(PDF),建议所有金融机构保持警惕,以防可能试图规避与当前冲突相关的广泛制裁和其他美国施加的限制。可以做到这一点的一种方法是通过在俄罗斯国家支持的行为者进行网络攻击后收集的勒索软件付款来转移加密货币资金。
FinCEN 代理主任 Him Das在一份新闻声明中表示:“面对俄罗斯日益增长的经济压力,美国金融机构必须警惕俄罗斯潜在的制裁规避行为,包括国家行为者和寡头的规避行为,这一点至关重要。”
自俄罗斯上个月入侵乌克兰以来,美国财政部外国资产控制办公室 (OFAC) 对俄罗斯采取的金融行动不计其数。它们包括:
制裁在俄罗斯联邦从事金融业务的人,包括普京和俄罗斯外交部长谢尔盖·拉夫罗夫
禁止某些俄罗斯金融机构的代理或应付账户和付款处理和封锁
与某些俄罗斯实体的新债务和股权相关的禁令
禁止涉及某些俄罗斯政府实体的交易,包括俄罗斯联邦中央银行。
FinCEN 现在正在敦促金融机构——包括那些对加密货币或可兑换虚拟货币 (CVC) 流动有可见性的机构,例如 CVC 交换器和管理员——迅速识别和报告与潜在制裁规避相关的可疑活动,并在适当的情况下进行调查。
Das 指出,到目前为止,FinCEN 还没有看到使用加密货币等方法广泛逃避制裁。但是,“及时报告可疑活动”可以确保这种情况仍然存在,以支持美国支持乌克兰的努力和兴趣。
FinCEN 警告金融机构注意不寻常的加密货币支付或俄罗斯可能用来缓解与乌克兰相关的制裁造成的财务损失的非法交易。
美国联邦当局警告称,俄罗斯可能会加大对美国的勒索软件攻击,以减轻其因制裁而遭受的经济损失。由于入侵乌克兰,对国家和弗拉基米尔普京政府实施了这些制裁。
金融犯罪执法网络 (FinCEN) 周三发布了 FinCEN 警报(PDF),建议所有金融机构保持警惕,以防可能试图规避与当前冲突相关的广泛制裁和其他美国施加的限制。可以做到这一点的一种方法是通过在俄罗斯国家支持的行为者进行网络攻击后收集的勒索软件付款来转移加密货币资金。
FinCEN 代理主任 Him Das在一份新闻声明中表示:“面对俄罗斯日益增长的经济压力,美国金融机构必须警惕俄罗斯潜在的制裁规避行为,包括国家行为者和寡头的规避行为,这一点至关重要。”
自俄罗斯上个月入侵乌克兰以来,美国财政部外国资产控制办公室 (OFAC) 对俄罗斯采取的金融行动不计其数。它们包括:
制裁在俄罗斯联邦从事金融业务的人,包括普京和俄罗斯外交部长谢尔盖·拉夫罗夫
禁止某些俄罗斯金融机构的代理或应付账户和付款处理和封锁
与某些俄罗斯实体的新债务和股权相关的禁令
禁止涉及某些俄罗斯政府实体的交易,包括俄罗斯联邦中央银行。
FinCEN 现在正在敦促金融机构——包括那些对加密货币或可兑换虚拟货币 (CVC) 流动有可见性的机构,例如 CVC 交换器和管理员——迅速识别和报告与潜在制裁规避相关的可疑活动,并在适当的情况下进行调查。
Das 指出,到目前为止,FinCEN 还没有看到使用加密货币等方法广泛逃避制裁。但是,“及时报告可疑活动”可以确保这种情况仍然存在,以支持美国支持乌克兰的努力和兴趣。
僵尸网络Emotet卷土重来,已感染179个国家的13万台设备
据Securityaffairs等网站消息,Emotet自去年11月复出以来发展迅猛,已经感染了约13万台主机,遍布179个国家。
曾经臭名昭著的僵尸网络Emotet在2021年初被全球执法部门重拳出击后消失了一段时间,如今,它已卷土重来,而且势头凶猛。据Securityaffairs等网站消息,Emotet自去年11月复出以来发展迅猛,已经感染了约13万台主机,遍布179个国家。
Emotet 于 2014 年被首次发现,最初是作为一种银行木马病毒进行传播,但随着发展逐渐囊括了越来越多的恶意程序,如Trickbot 和 QBot,以及勒索软件Conti、ProLock、Ryuk和 Egregor等,构建成了一个庞大的僵尸网络。2021 年 11 月,来自多家网络安全公司(Cryptolaemus、GData和 Advanced Intel)的研究人员报告称,攻击者正利用TrickBot 恶意软件在受感染设备上投放 Emote 加载程序,专家们跟踪了旨在利用TrickBot的基础设施重建Emotet僵尸网络的活动。
研究人员指出,新的 Emotet具有了一些新功能:
除了规避检测和分析,还能对网络流量进行加密,以及将进程列表分离到自己的模块中;
采用椭圆曲线加密 (ECC) 方案,代了用于网络流量保护和验证的 RSA加密;
新版本只有在与C2建立连接后才会部署进程列表模块;
添加了更多信息收集功能,以更好地进行系统分析,而以前,Emotet 只会发回正在运行的进程列表。
但与之前的版本相似,Emotet 的大部分C2基础设施位于美国和德国,其次是法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度;在机器人(Bot)方面,则重点分布在日本、印度、印度尼西亚、泰国、南非、墨西哥、美国、中国、巴西和意大利。分析人士认为,排名靠前的国家是由于这些地区拥有较多过时且易受攻击的Windows设备。
去年年初,由荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰组成的执法部门曾开展行动,破坏了Emotet相关基础设施。由此看来,这次行动并不彻底,导致Emotet在沉寂大半年后死灰复燃。
据Securityaffairs等网站消息,Emotet自去年11月复出以来发展迅猛,已经感染了约13万台主机,遍布179个国家。
曾经臭名昭著的僵尸网络Emotet在2021年初被全球执法部门重拳出击后消失了一段时间,如今,它已卷土重来,而且势头凶猛。据Securityaffairs等网站消息,Emotet自去年11月复出以来发展迅猛,已经感染了约13万台主机,遍布179个国家。
Emotet 于 2014 年被首次发现,最初是作为一种银行木马病毒进行传播,但随着发展逐渐囊括了越来越多的恶意程序,如Trickbot 和 QBot,以及勒索软件Conti、ProLock、Ryuk和 Egregor等,构建成了一个庞大的僵尸网络。2021 年 11 月,来自多家网络安全公司(Cryptolaemus、GData和 Advanced Intel)的研究人员报告称,攻击者正利用TrickBot 恶意软件在受感染设备上投放 Emote 加载程序,专家们跟踪了旨在利用TrickBot的基础设施重建Emotet僵尸网络的活动。
研究人员指出,新的 Emotet具有了一些新功能:
除了规避检测和分析,还能对网络流量进行加密,以及将进程列表分离到自己的模块中;
采用椭圆曲线加密 (ECC) 方案,代了用于网络流量保护和验证的 RSA加密;
新版本只有在与C2建立连接后才会部署进程列表模块;
添加了更多信息收集功能,以更好地进行系统分析,而以前,Emotet 只会发回正在运行的进程列表。
但与之前的版本相似,Emotet 的大部分C2基础设施位于美国和德国,其次是法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度;在机器人(Bot)方面,则重点分布在日本、印度、印度尼西亚、泰国、南非、墨西哥、美国、中国、巴西和意大利。分析人士认为,排名靠前的国家是由于这些地区拥有较多过时且易受攻击的Windows设备。
去年年初,由荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰组成的执法部门曾开展行动,破坏了Emotet相关基础设施。由此看来,这次行动并不彻底,导致Emotet在沉寂大半年后死灰复燃。
黑客使用受污染的DDoS工具瞄准乌克兰的IT军队
威胁参与者正在使用 一种模仿Liberator的窃取信息恶意软件,这种工具是亲乌克兰黑客用于攻击俄宣传网站的常用工具。
近期,思科Talos研究人员发现了针对乌克兰IT军队的恶意软件活动,威胁参与者正在使用一种模仿Liberator的窃取信息恶意软件,而这种叫Liberator的工具是亲乌克兰的黑客用于攻击俄罗斯宣传网站的常用工具。
在俄罗斯入侵乌克兰后,乌克兰数字化转型部长米哈伊洛·费多罗夫就呼吁对俄罗斯采取行动,他试图建立一支由志愿者组成的IT军队对俄罗斯发动大规模攻势,届时也将有专门的电报频道用以协调由这支IT军队发动的网络攻击。
在思科发布的报告中,一些投机取巧的网络犯罪分子正试图通过提供恶意软件来利用那些支持乌克兰的人,而这些恶意软件表面上是针对俄罗斯机构的攻击性网络工具,可一旦下载后,这些文件会感染不知情用户,而不是你以为的那种能对俄罗斯产生威胁的工具。思科表示:“我们观察到一个案例,威胁行为者在Telegram上提供分布式拒绝服务(DDoS)工具,说是能用于攻击俄罗斯网站,但下载的文件实际上是一个窃取信息的恶意程序。”
起初的Liberator工具是由一个名为disBalancer的组织开发的,主要是为了用于对俄罗斯宣传网站发起攻击,而现在受污染的Liberator工具正在Telegram上做广告。该工具的开发是为了让非技术人员能够轻松地对从服务器获取的俄罗斯网站列表发起攻击。
这次行动使用伪装成Disbalancer.exe工具的投放器,该工具受Windows可执行文件的 ASProtect 打包程序保护。一旦恶意软件被投放到受害者的系统上,它就会执行反调试检查,然后它会按照进程注入步骤将Phoenix信息窃取程序加载到内存中。
从思科的报告中显示,如果研究人员试图调试恶意软件的执行,它会显示出一个普通的错误。该恶意软件在执行反调试检查后,将启动包含.NET框架的Regsvcs.exe程序。在这种情况下, regsvcs.exe就已经不是一个二进制文件,它不但被注入了恶意代码,更包括了Phoenix信息窃取程序。这种伪装的工具将会借助这支IT军队之手获取很多数据,包括 Web 浏览器数据、VPN 工具、Discord、Steam 和加密货币钱包。收集的数据被发送到端口6666上的远程IP地址 (95[.]142[.]46[.]35)。
威胁参与者正在使用 一种模仿Liberator的窃取信息恶意软件,这种工具是亲乌克兰黑客用于攻击俄宣传网站的常用工具。
近期,思科Talos研究人员发现了针对乌克兰IT军队的恶意软件活动,威胁参与者正在使用一种模仿Liberator的窃取信息恶意软件,而这种叫Liberator的工具是亲乌克兰的黑客用于攻击俄罗斯宣传网站的常用工具。
在俄罗斯入侵乌克兰后,乌克兰数字化转型部长米哈伊洛·费多罗夫就呼吁对俄罗斯采取行动,他试图建立一支由志愿者组成的IT军队对俄罗斯发动大规模攻势,届时也将有专门的电报频道用以协调由这支IT军队发动的网络攻击。
在思科发布的报告中,一些投机取巧的网络犯罪分子正试图通过提供恶意软件来利用那些支持乌克兰的人,而这些恶意软件表面上是针对俄罗斯机构的攻击性网络工具,可一旦下载后,这些文件会感染不知情用户,而不是你以为的那种能对俄罗斯产生威胁的工具。思科表示:“我们观察到一个案例,威胁行为者在Telegram上提供分布式拒绝服务(DDoS)工具,说是能用于攻击俄罗斯网站,但下载的文件实际上是一个窃取信息的恶意程序。”
起初的Liberator工具是由一个名为disBalancer的组织开发的,主要是为了用于对俄罗斯宣传网站发起攻击,而现在受污染的Liberator工具正在Telegram上做广告。该工具的开发是为了让非技术人员能够轻松地对从服务器获取的俄罗斯网站列表发起攻击。
这次行动使用伪装成Disbalancer.exe工具的投放器,该工具受Windows可执行文件的 ASProtect 打包程序保护。一旦恶意软件被投放到受害者的系统上,它就会执行反调试检查,然后它会按照进程注入步骤将Phoenix信息窃取程序加载到内存中。
从思科的报告中显示,如果研究人员试图调试恶意软件的执行,它会显示出一个普通的错误。该恶意软件在执行反调试检查后,将启动包含.NET框架的Regsvcs.exe程序。在这种情况下, regsvcs.exe就已经不是一个二进制文件,它不但被注入了恶意代码,更包括了Phoenix信息窃取程序。这种伪装的工具将会借助这支IT军队之手获取很多数据,包括 Web 浏览器数据、VPN 工具、Discord、Steam 和加密货币钱包。收集的数据被发送到端口6666上的远程IP地址 (95[.]142[.]46[.]35)。
CPU又曝大bug,涉及英特尔、AMD、ARM
安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行。
2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。
时隔几年,CPU又再次曝出一个大bug,有意思的是,英特尔、AMD、ARM一个也没拉下,全部都受到影响。
据外媒报道,安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行,可允许攻击者泄露敏感信息。
随后,英特尔、AMD和ARM发布公告了相关事件公告,并附上了缓解措施和更新建议,以此解决出现的CPU问题。
所谓“推测执行”,是指通过预测程序流来调整指令的执行,并分析程序的数据流来选择指令执行的最佳顺序。2018年,安全研究人员发现了一种从主动计算中获取信息的方法,并将漏洞命名为Meltdown 和 Spectre。
而后,CPU厂商纷纷发布了基于软件的缓解措施,将间接分支与推测执行隔离开来,并通过硬件修复进一步解决此类问题,例如英特尔的eIBRS和Arm的CSV2等。如今,CPU安全事件再次爆发,值得厂商们提高警惕。
近日,VUSec安全研究人员发布了技术报告,披露了一个新的Spectre类投机执行漏洞,详细介绍了一种新的攻击方法,即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。
报告强调,虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目,但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录,以迫使操作系统内核错误预测可能泄漏敏感数据。
为了进一步证明漏洞可用性,安全研究人员还发布了概念证明(PoC)测试,展示了任意内核内存泄漏,成功披露了易受攻击的系统的哈希密码。
安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行。
2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。
时隔几年,CPU又再次曝出一个大bug,有意思的是,英特尔、AMD、ARM一个也没拉下,全部都受到影响。
据外媒报道,安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行,可允许攻击者泄露敏感信息。
随后,英特尔、AMD和ARM发布公告了相关事件公告,并附上了缓解措施和更新建议,以此解决出现的CPU问题。
所谓“推测执行”,是指通过预测程序流来调整指令的执行,并分析程序的数据流来选择指令执行的最佳顺序。2018年,安全研究人员发现了一种从主动计算中获取信息的方法,并将漏洞命名为Meltdown 和 Spectre。
而后,CPU厂商纷纷发布了基于软件的缓解措施,将间接分支与推测执行隔离开来,并通过硬件修复进一步解决此类问题,例如英特尔的eIBRS和Arm的CSV2等。如今,CPU安全事件再次爆发,值得厂商们提高警惕。
近日,VUSec安全研究人员发布了技术报告,披露了一个新的Spectre类投机执行漏洞,详细介绍了一种新的攻击方法,即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。
报告强调,虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目,但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录,以迫使操作系统内核错误预测可能泄漏敏感数据。
为了进一步证明漏洞可用性,安全研究人员还发布了概念证明(PoC)测试,展示了任意内核内存泄漏,成功披露了易受攻击的系统的哈希密码。
从6000万到6亿 迄今为止最大的八起加密货币攻击事件
巨大的利益令众多的网络犯罪者蜂拥而至,以下是迄今为止最大的八起加密货币攻击事件。
据去年11月的统计,加密货币类的数字资产价值已达3万亿美元,自2016年以来增长了210倍。巨大的利益令众多的网络犯罪者蜂拥而至,以下是迄今为止最大的八起加密货币攻击事件:
1. Poly Network(2021年,6.11亿美元)
2. Coincheck(2018年,5.47亿美元)
3. Mt.Gox(2014年,4.8亿美元)
4. KuCoin(2020年,2.85亿美元)
5. BitGrail(2018年,1.7亿美元)
6. Bitfinex(2016年,7200万美元)
7. NiceHash(2017年,6400万美元)
8. Zaif(2018年,6000万美元)
巨大的利益令众多的网络犯罪者蜂拥而至,以下是迄今为止最大的八起加密货币攻击事件。
据去年11月的统计,加密货币类的数字资产价值已达3万亿美元,自2016年以来增长了210倍。巨大的利益令众多的网络犯罪者蜂拥而至,以下是迄今为止最大的八起加密货币攻击事件:
1. Poly Network(2021年,6.11亿美元)
2. Coincheck(2018年,5.47亿美元)
3. Mt.Gox(2014年,4.8亿美元)
4. KuCoin(2020年,2.85亿美元)
5. BitGrail(2018年,1.7亿美元)
6. Bitfinex(2016年,7200万美元)
7. NiceHash(2017年,6400万美元)
8. Zaif(2018年,6000万美元)
俄乌乱局卷入全球黑客,铁路、卫星、水厂都成了攻击对象!这对元宇宙安全有何启示?
对于攻击者来说,物联网设备将是数百亿个新目标和新“肉鸡”,可以造成更大的破坏力。因此今天这篇文章我们来看看这场攻防战如何步步升级,暴露了哪些安全漏洞,以及它对物联网安全,乃至元宇宙安全的启示。
俄罗斯与乌克兰之间冲突的加剧,随之而来的是全球黑客行动的“复兴”。这次战争同时在线上线下展开,并且线下与线上高度融合、相互塑造,可以说是元宇宙时代第一场国际争端。
短短1个月之内,网络战事逐步升级,从乌克兰国防部召集民间黑客作战,到勒索组织声援俄罗斯政府,再到美国总统欲断网、断电、断补给…各方利益团体纷纷卷入,交战方已远远不止俄罗斯与乌克兰。
这是全球步入数字化阶段之后,首次爆发的,由多个国家级黑客力量入局,以国家为打击目标,破坏核心关键基础设施的全球性信息安全战。而且这场信息安全战有从IT领域蔓延到OT、IoT领域的趋势。
万物互联是全球网络未来发展的重要方向,物联网的部署量也将远超其他任何网络系统。对于攻击者来说,这些物联网设备将是数百亿个新目标和新“肉鸡”,可以造成更大的破坏力。因此今天这篇文章我们来看看这场攻防战如何步步升级,暴露了哪些安全漏洞,以及它对物联网安全,乃至元宇宙安全的启示。
各方利益团体的黑客组织以分布式拒绝服务DDoS攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等多种“网络武力”,向政府网站、互联网连接、国防军事系统、卫星、铁路、电力、能源、医疗等领域的目标发起破坏袭击,步步威胁关系国计民生的关键基础设施。
1月14日,70多个乌克兰的政府网站遭到APT组织攻击,乌克兰外交部、国防部、国家紧急事务局、内阁和外交部等多个网站被迫下线。
在开战的前三天,针对乌克兰政府及军事部门的网络攻击数量激增了196%,而针对俄罗斯组织的网络攻击数量增加了4%,俄罗斯语及乌克兰语的网络钓鱼电子邮件增加了7倍。
对于攻击者来说,物联网设备将是数百亿个新目标和新“肉鸡”,可以造成更大的破坏力。因此今天这篇文章我们来看看这场攻防战如何步步升级,暴露了哪些安全漏洞,以及它对物联网安全,乃至元宇宙安全的启示。
俄罗斯与乌克兰之间冲突的加剧,随之而来的是全球黑客行动的“复兴”。这次战争同时在线上线下展开,并且线下与线上高度融合、相互塑造,可以说是元宇宙时代第一场国际争端。
短短1个月之内,网络战事逐步升级,从乌克兰国防部召集民间黑客作战,到勒索组织声援俄罗斯政府,再到美国总统欲断网、断电、断补给…各方利益团体纷纷卷入,交战方已远远不止俄罗斯与乌克兰。
这是全球步入数字化阶段之后,首次爆发的,由多个国家级黑客力量入局,以国家为打击目标,破坏核心关键基础设施的全球性信息安全战。而且这场信息安全战有从IT领域蔓延到OT、IoT领域的趋势。
万物互联是全球网络未来发展的重要方向,物联网的部署量也将远超其他任何网络系统。对于攻击者来说,这些物联网设备将是数百亿个新目标和新“肉鸡”,可以造成更大的破坏力。因此今天这篇文章我们来看看这场攻防战如何步步升级,暴露了哪些安全漏洞,以及它对物联网安全,乃至元宇宙安全的启示。
各方利益团体的黑客组织以分布式拒绝服务DDoS攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等多种“网络武力”,向政府网站、互联网连接、国防军事系统、卫星、铁路、电力、能源、医疗等领域的目标发起破坏袭击,步步威胁关系国计民生的关键基础设施。
1月14日,70多个乌克兰的政府网站遭到APT组织攻击,乌克兰外交部、国防部、国家紧急事务局、内阁和外交部等多个网站被迫下线。
在开战的前三天,针对乌克兰政府及军事部门的网络攻击数量激增了196%,而针对俄罗斯组织的网络攻击数量增加了4%,俄罗斯语及乌克兰语的网络钓鱼电子邮件增加了7倍。
VS Code 新 Bug:疯狂创造垃圾文件+自动修改用户文件
近日, 用户 na-an 发现:使用微软的 VSCode 编辑器打开文件夹时,目录中会自动生成许多带有无效代码的空文件。该用户随即在 VSCode GitHub 仓库中发布了相关 Issue,随机引发了热烈讨论,很多用户表示自己也饱受该 Bug 的困扰。
近日, 用户 na-an 发现:使用微软的 VSCode 编辑器打开文件夹时,目录中会自动生成许多带有无效代码的空文件。该用户随即在 VSCode GitHub 仓库中发布了相关 Issue,随机引发了热烈讨论,很多用户表示自己也饱受该 Bug 的困扰。
有些文件名称很短,有些名称很长,这些文件的名称不是有效的 unicode ,比如图中的 \312\316\361 是八进制。随机创建的文件似乎来自正在运行的进程内存转储,包含一些通常出现在可执行文件中的字符串,看起来像指针出现了堆栈损坏或越界问题。
最可怕的是,除了疯狂创造空文件外,VSCode 还会随机修改用户文件,比如用户 daantimmer 的所有头文件的内容都被清了,通通变成 0 KB(希望有备份🙏)
该 Bug 的影响范围不限于当前的工作区文件夹,它甚至能清空一些系统文件/文件夹:
该 Bug 在 Windows 和 Linux 等不同系统中都出现过,但受害者有一个非常有趣的共同点:他们都写 C++ 代码,并使用 VSCode 的 C++ 扩展。有人尝试把所有扩展禁用所有扩展后,问题就消失了;如果将 C++ 扩展切换到稳定版本(1.8.4),问题也会消失。
如此一来就破案了( issues 9041),原来 Bug 的源头是 VSCode C++ 扩展 1.9.4 预发行版本,该版本并不稳定,出现了上述的文件系统 Bug。但如果用户勾选了 VSCode 自动更新功能,则会自动更新到预发行的 C++ 扩展 1.9.4 版本。
然而,C++ 扩展的开发者也不知道 1.9.4 版本具体到底是哪里出现了问题,该内存损坏问题似乎跟 C++ 扩展早已存在,但无法解决的几个文件损坏 Bug: #4573 和 #5061 有关。目前的推测是 1.9.4 版本意外使用了未初始化的内存,由于修改了不遵循现代 C++ 编码指南的外部第三方子系统,可能会阻止或检测到未初始化指针的使用,指针问题导致出现了一些文件系统的问题。
近日, 用户 na-an 发现:使用微软的 VSCode 编辑器打开文件夹时,目录中会自动生成许多带有无效代码的空文件。该用户随即在 VSCode GitHub 仓库中发布了相关 Issue,随机引发了热烈讨论,很多用户表示自己也饱受该 Bug 的困扰。
近日, 用户 na-an 发现:使用微软的 VSCode 编辑器打开文件夹时,目录中会自动生成许多带有无效代码的空文件。该用户随即在 VSCode GitHub 仓库中发布了相关 Issue,随机引发了热烈讨论,很多用户表示自己也饱受该 Bug 的困扰。
有些文件名称很短,有些名称很长,这些文件的名称不是有效的 unicode ,比如图中的 \312\316\361 是八进制。随机创建的文件似乎来自正在运行的进程内存转储,包含一些通常出现在可执行文件中的字符串,看起来像指针出现了堆栈损坏或越界问题。
最可怕的是,除了疯狂创造空文件外,VSCode 还会随机修改用户文件,比如用户 daantimmer 的所有头文件的内容都被清了,通通变成 0 KB(希望有备份🙏)
该 Bug 的影响范围不限于当前的工作区文件夹,它甚至能清空一些系统文件/文件夹:
该 Bug 在 Windows 和 Linux 等不同系统中都出现过,但受害者有一个非常有趣的共同点:他们都写 C++ 代码,并使用 VSCode 的 C++ 扩展。有人尝试把所有扩展禁用所有扩展后,问题就消失了;如果将 C++ 扩展切换到稳定版本(1.8.4),问题也会消失。
如此一来就破案了( issues 9041),原来 Bug 的源头是 VSCode C++ 扩展 1.9.4 预发行版本,该版本并不稳定,出现了上述的文件系统 Bug。但如果用户勾选了 VSCode 自动更新功能,则会自动更新到预发行的 C++ 扩展 1.9.4 版本。
然而,C++ 扩展的开发者也不知道 1.9.4 版本具体到底是哪里出现了问题,该内存损坏问题似乎跟 C++ 扩展早已存在,但无法解决的几个文件损坏 Bug: #4573 和 #5061 有关。目前的推测是 1.9.4 版本意外使用了未初始化的内存,由于修改了不遵循现代 C++ 编码指南的外部第三方子系统,可能会阻止或检测到未初始化指针的使用,指针问题导致出现了一些文件系统的问题。
网络犯罪分子使用人工智能创建恶意软件攻击软件中的沙盒
黑客如今已经开发出具有复杂人工智能算法的恶意软件来控制沙盒。这是网络安全技术领域面临的最新威胁。
人们是否知道全球有42%的企业在2020年遭遇网络攻击?随着网络犯罪分子使用人工智能技术更有效地进行网络攻击,这一数字将会上升。
人工智能技术无疑带来了一些巨大的进步,也改变了网络安全的状态。网络安全专业人士正在利用人工智能技术来打击黑客。人工智能驱动的解决方案包括用于入侵检测和预防的智能防火墙、新的恶意软件预防工具,以及用于识别可能的网络钓鱼攻击的风险评分算法。
不幸的是,并不只有网络安全专业人员可以使用人工智能技术,黑客和恶意软件创建者也在以更可怕的方式使用人工智能。
人工智能驱动的恶意软件是2022年沙盒面临的最大威胁
沙盒如今已广泛用于软件开发工作流程中,可以在可能安全的环境中运行测试。如今,它们也可以嵌入到大多数网络安全解决方案中,例如端点检测和响应(EDR)、入侵防御系统(IPS)以及独立的解决方案。
但是,沙盒也是网络攻击者的常见入口点。在沙盒运行多年的过程中,网络攻击者发现可以采用人工智能算法来注入恶意软件,这些恶意软件在沙盒环境中难以检测,甚至可以将权限提升到受感染网络的更高级别。
更令人担忧的是,逃避沙盒的技术随着机器学习的进步不断发展,对全球范围内的企业构成越来越大的威胁。
黑客如今已经开发出具有复杂人工智能算法的恶意软件来控制沙盒。这是网络安全技术领域面临的最新威胁。
人们是否知道全球有42%的企业在2020年遭遇网络攻击?随着网络犯罪分子使用人工智能技术更有效地进行网络攻击,这一数字将会上升。
人工智能技术无疑带来了一些巨大的进步,也改变了网络安全的状态。网络安全专业人士正在利用人工智能技术来打击黑客。人工智能驱动的解决方案包括用于入侵检测和预防的智能防火墙、新的恶意软件预防工具,以及用于识别可能的网络钓鱼攻击的风险评分算法。
不幸的是,并不只有网络安全专业人员可以使用人工智能技术,黑客和恶意软件创建者也在以更可怕的方式使用人工智能。
人工智能驱动的恶意软件是2022年沙盒面临的最大威胁
沙盒如今已广泛用于软件开发工作流程中,可以在可能安全的环境中运行测试。如今,它们也可以嵌入到大多数网络安全解决方案中,例如端点检测和响应(EDR)、入侵防御系统(IPS)以及独立的解决方案。
但是,沙盒也是网络攻击者的常见入口点。在沙盒运行多年的过程中,网络攻击者发现可以采用人工智能算法来注入恶意软件,这些恶意软件在沙盒环境中难以检测,甚至可以将权限提升到受感染网络的更高级别。
更令人担忧的是,逃避沙盒的技术随着机器学习的进步不断发展,对全球范围内的企业构成越来越大的威胁。
数百个 GoDaddy 托管的网站,短时间内被部署了后门
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。
据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。
2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。
糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何
此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。
无论如何,如果用户的网站托管在GoDaddy的WordPress管理平台上,请务必尽快扫描wp-config.php文件,查找潜在的后门注入。
值得注意的是,2021 年 11 月,GoDaddy 披露一起数据泄露事件,影响范围涵盖 120 万客户和多个WordPress 管理服务经销商,包含上文提到的六个。
Bleeping Computer 已经联系了 GoDaddy,期望获取更多关于攻击活动的信息,但没有收到回复。
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。
据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。
2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。
网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。
此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。
糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何
此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。
无论如何,如果用户的网站托管在GoDaddy的WordPress管理平台上,请务必尽快扫描wp-config.php文件,查找潜在的后门注入。
值得注意的是,2021 年 11 月,GoDaddy 披露一起数据泄露事件,影响范围涵盖 120 万客户和多个WordPress 管理服务经销商,包含上文提到的六个。
Bleeping Computer 已经联系了 GoDaddy,期望获取更多关于攻击活动的信息,但没有收到回复。
联邦调查局警告称国家黑客正利用MFA漏洞进行横向移动
在被盗账户的帮助下,攻击者们能够在没有MFA执行的情况下横向移动,访问云存储和电子邮件账户,并窃取数据。
近日,美国联邦调查局(FBI)表示,俄罗斯政府支持的黑客组织正积极利用错误配置的默认多因素认证(MFA)协议,将自己的设备注册到机构组织的Duo MFA后,从而进入一些非政府组织的云端。
为了攻破网络,他们会以一个未注册且未激活的账号暴力破解密码攻击中泄露的证书。通常,他们使用的账户是机构组织的活动目录中尚未禁用的。
“由于Duo的默认配置允许休眠账户重新注册新设备,所以攻击者能够为账户注册新设备,完成认证要求,并获得访问受害者网络的权限”, 联邦机构解释道,“由于长期不活动,受害者帐户已从Duo注销,但在活动目录中未被禁用。”
攻击的下一步是在修改域控制器文件后,通过将所有Duo MFA接入重定向到本地主机而不是Duo服务器来禁用MFA服务。这就使得他们能够以非管理员用户身份验证到非政府组织的虚拟专用网络(VPN),通过远程桌面协议(RDP)连接到Windows域控制器,并获得其他域帐户的凭证。
在这些被盗账户的帮助下,攻击者们能够在没有MFA执行的情况下横向移动,访问云存储和电子邮件账户,并窃取数据。
对此,FBI和CISA今天在一份联合网络安全咨询中给组织机构提供了以下缓解措施:
执行MFA并检查配置策略,以防止“失败打开”和重新注册场景。
确保跨Active Directory和MFA系统统一禁用不活跃帐户。
给所有系统打补丁,优先为已知被利用的漏洞打补丁。
另外,FBI和CISA在联合报告中也分享了关于战术、技术和程序(TTPs)、妥协指标(ioc)和防止这种恶意活动的额外建议信息。
其实,此前就有联合报告向美国政府发出警告,称俄罗斯国家黑客在近期会攻击支持陆军、空军、海军、太空部队、国防部和情报项目的美国国防承包商。包括APT29、APT28和沙虫团队(Sandworm Team)在内的俄罗斯黑客组织一直对美国关键基础设施部门的组织虎视眈眈。
在被盗账户的帮助下,攻击者们能够在没有MFA执行的情况下横向移动,访问云存储和电子邮件账户,并窃取数据。
近日,美国联邦调查局(FBI)表示,俄罗斯政府支持的黑客组织正积极利用错误配置的默认多因素认证(MFA)协议,将自己的设备注册到机构组织的Duo MFA后,从而进入一些非政府组织的云端。
为了攻破网络,他们会以一个未注册且未激活的账号暴力破解密码攻击中泄露的证书。通常,他们使用的账户是机构组织的活动目录中尚未禁用的。
“由于Duo的默认配置允许休眠账户重新注册新设备,所以攻击者能够为账户注册新设备,完成认证要求,并获得访问受害者网络的权限”, 联邦机构解释道,“由于长期不活动,受害者帐户已从Duo注销,但在活动目录中未被禁用。”
攻击的下一步是在修改域控制器文件后,通过将所有Duo MFA接入重定向到本地主机而不是Duo服务器来禁用MFA服务。这就使得他们能够以非管理员用户身份验证到非政府组织的虚拟专用网络(VPN),通过远程桌面协议(RDP)连接到Windows域控制器,并获得其他域帐户的凭证。
在这些被盗账户的帮助下,攻击者们能够在没有MFA执行的情况下横向移动,访问云存储和电子邮件账户,并窃取数据。
对此,FBI和CISA今天在一份联合网络安全咨询中给组织机构提供了以下缓解措施:
执行MFA并检查配置策略,以防止“失败打开”和重新注册场景。
确保跨Active Directory和MFA系统统一禁用不活跃帐户。
给所有系统打补丁,优先为已知被利用的漏洞打补丁。
另外,FBI和CISA在联合报告中也分享了关于战术、技术和程序(TTPs)、妥协指标(ioc)和防止这种恶意活动的额外建议信息。
其实,此前就有联合报告向美国政府发出警告,称俄罗斯国家黑客在近期会攻击支持陆军、空军、海军、太空部队、国防部和情报项目的美国国防承包商。包括APT29、APT28和沙虫团队(Sandworm Team)在内的俄罗斯黑客组织一直对美国关键基础设施部门的组织虎视眈眈。
Akamai数据:中国春节期间恶意僵尸网络攻击增加15%
中国春节期间的恶意网络爬虫攻击增加15%,日本元旦期间的恶意网络爬虫攻击激增150%
2022 年 3 月 16日——负责支持和保护数字化体验且深受全球企业信赖的解决方案提供商阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)(NASDAQ:AKAM)于近日发布最新数据,报告称亚洲在节日期间遭受大量恶意网络爬虫攻击。该数据显示,中国在2022年2月春节期间遭受的网络攻击增加了15%,这表明网络犯罪分子正想方设法在流量高峰时段攻击客户。
中国在2021年11月“双十一”电商节期间遭受了三倍于平时的网络爬虫攻击,这种情况在之后的春节再现。虽然在攻击流量在“双十一”后逐渐下降,但一直到年底仍然处于相对高位,之后随着春节期间零售流量的增加而再次达到高峰。
今年,恰逢 2022 年北京冬奥会开幕,这也对线上销售起到了拉动作用。不仅有超过 100 万的购物者涌向电子商务平台天猫的奥林匹克官方旗舰店,而且冬季运动装备的线上销售也同比增加了 180%(滑雪)和 300%(冰具),同时在 2022年 1 月 31 日至 2 月 4 日期间,Fliggy 上的“冰雪”旅行预订量也增加了 30%。这进一步提升了在线销售量,令攻击者虎视眈眈。
虽然恶意攻击者“全年无休”,但节日期间的高流量能够为他们提供最佳掩护。此外,客户喜欢在节日用最新的信用卡信息和证书更新他们的网购资料,更是令攻击者垂涎欲滴。
攻击者会随流量的增加而增加他们的攻击量,包括抓取数据、榨干客户账户、破坏网站功能和通过对数据加密来索取赎金,给企业带来巨大的损失。
虽然欧洲、中东和非洲以及美国在年末假期也会出现类似的流量激增,但由于中国和日本是全球人口最多的几个地区之一,因此这里的零售商和电商平台流量之巨大使该地区更加容易成为网络攻击者的目标。
在2021年末至2022年初节日期间,Akamai研究人员监测并分析了整个亚太地区的潜在恶意网络爬虫攻击数据。Akamai全年追踪良性和恶意网络爬虫在网络流量中所占的比例,研究网络爬虫的活动规律,为安全团队提供可加入到他们防御措施中的可执行数据。
中国春节期间的恶意网络爬虫攻击增加15%,日本元旦期间的恶意网络爬虫攻击激增150%
2022 年 3 月 16日——负责支持和保护数字化体验且深受全球企业信赖的解决方案提供商阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)(NASDAQ:AKAM)于近日发布最新数据,报告称亚洲在节日期间遭受大量恶意网络爬虫攻击。该数据显示,中国在2022年2月春节期间遭受的网络攻击增加了15%,这表明网络犯罪分子正想方设法在流量高峰时段攻击客户。
中国在2021年11月“双十一”电商节期间遭受了三倍于平时的网络爬虫攻击,这种情况在之后的春节再现。虽然在攻击流量在“双十一”后逐渐下降,但一直到年底仍然处于相对高位,之后随着春节期间零售流量的增加而再次达到高峰。
今年,恰逢 2022 年北京冬奥会开幕,这也对线上销售起到了拉动作用。不仅有超过 100 万的购物者涌向电子商务平台天猫的奥林匹克官方旗舰店,而且冬季运动装备的线上销售也同比增加了 180%(滑雪)和 300%(冰具),同时在 2022年 1 月 31 日至 2 月 4 日期间,Fliggy 上的“冰雪”旅行预订量也增加了 30%。这进一步提升了在线销售量,令攻击者虎视眈眈。
虽然恶意攻击者“全年无休”,但节日期间的高流量能够为他们提供最佳掩护。此外,客户喜欢在节日用最新的信用卡信息和证书更新他们的网购资料,更是令攻击者垂涎欲滴。
攻击者会随流量的增加而增加他们的攻击量,包括抓取数据、榨干客户账户、破坏网站功能和通过对数据加密来索取赎金,给企业带来巨大的损失。
虽然欧洲、中东和非洲以及美国在年末假期也会出现类似的流量激增,但由于中国和日本是全球人口最多的几个地区之一,因此这里的零售商和电商平台流量之巨大使该地区更加容易成为网络攻击者的目标。
在2021年末至2022年初节日期间,Akamai研究人员监测并分析了整个亚太地区的潜在恶意网络爬虫攻击数据。Akamai全年追踪良性和恶意网络爬虫在网络流量中所占的比例,研究网络爬虫的活动规律,为安全团队提供可加入到他们防御措施中的可执行数据。
黑客入侵俄罗斯能源巨头位于德国的子公司,窃取了20TB数据
这起攻击事件进一步表明,俄乌两国冲突,让许多关键基础设施成为了网络攻击者的优先级目标。
据Security affairs网站消息,一个匿名的黑客团伙声称已经入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司Rosneft Deutschland GmbH,并从中窃取了 20 TB 的数据。
此次攻击事件得到了德国联邦信息安全办公室 (BSI) 的证实,该公司在上周六晚上报告了一起 IT 安全事件。BSI表示将对相关调查予以支持,并向石油行业的其他利益相关者发出了安全警告。
据报道,尽管该公司的系统受到了影响,但公司的业务或供应状况暂未受到影响。Rosneft Deutschland GmbH是第三大矿物油加工公司,在过去三年中,该公司负责向德国进口约四分之一的原油。
就在BSI正式对外公开宣布攻击事件的前一天,一个自称Anonymous的黑客团体表示对这起攻击事件负责,并称攻击的起因源于俄罗斯对乌克兰的入侵,以及对该公司的运作、德国前总理格哈德·施罗德与普京的关系感到不满。他们认为,施罗德是俄罗斯石油公司在俄罗斯的董事会主席,自90年代以来一直是普京的密友。由于俄罗斯石油公司在海外的子公司没有受到制裁的影响,因此黑客决定对它下手。
这起攻击事件进一步表明,俄乌两国冲突,让许多关键基础设施成为了网络攻击者的优先级目标。安全和分析公司Gurucul Solutions Pvt Ltd AG认为,所有相关机构组织都应保持警惕,并继续投资于网络安全解决方案,以阻止攻击者者破坏运营设施、窃取敏感数据或进行勒索活动。
这起攻击事件进一步表明,俄乌两国冲突,让许多关键基础设施成为了网络攻击者的优先级目标。
据Security affairs网站消息,一个匿名的黑客团伙声称已经入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司Rosneft Deutschland GmbH,并从中窃取了 20 TB 的数据。
此次攻击事件得到了德国联邦信息安全办公室 (BSI) 的证实,该公司在上周六晚上报告了一起 IT 安全事件。BSI表示将对相关调查予以支持,并向石油行业的其他利益相关者发出了安全警告。
据报道,尽管该公司的系统受到了影响,但公司的业务或供应状况暂未受到影响。Rosneft Deutschland GmbH是第三大矿物油加工公司,在过去三年中,该公司负责向德国进口约四分之一的原油。
就在BSI正式对外公开宣布攻击事件的前一天,一个自称Anonymous的黑客团体表示对这起攻击事件负责,并称攻击的起因源于俄罗斯对乌克兰的入侵,以及对该公司的运作、德国前总理格哈德·施罗德与普京的关系感到不满。他们认为,施罗德是俄罗斯石油公司在俄罗斯的董事会主席,自90年代以来一直是普京的密友。由于俄罗斯石油公司在海外的子公司没有受到制裁的影响,因此黑客决定对它下手。
这起攻击事件进一步表明,俄乌两国冲突,让许多关键基础设施成为了网络攻击者的优先级目标。安全和分析公司Gurucul Solutions Pvt Ltd AG认为,所有相关机构组织都应保持警惕,并继续投资于网络安全解决方案,以阻止攻击者者破坏运营设施、窃取敏感数据或进行勒索活动。
HTML Embed Code: