前情回顾·网络武器库威胁动态绝密档案:俄罗斯网络战核心支撑机构及武器库曝光美国主战网络攻击武器曝光:世界重要信息基础设施已成美“情报站”俄乌冲突引发网络武器库泄露:Conti泄露数据全面分析安全内参6月8日消息,近期多家西方媒体曝光了俄罗斯网络战主要支撑机构“NTC Vulkan”公司及其开发的网络武器库,这批数据被命名为“Vulkan文件”。美国知名工控安全服务商Dragos对“Vulkan文件”进行分析,从中梳理出了针对关键基础设施工控系统的网络攻击工具,Amesit项目的子系统Amesit-B的相关情况。安全内参总结如下。Amesit-B系统介绍Amesit已被俄罗斯使用数年。
以下文章来源于微步在线研究响应中心 ,作者微步在线 微步在线研究响应中心 . 微步情报局最新威胁事件分析、漏洞分析、安全研究成果共享,探究网络攻击的真相 还记得前段时间专门针对证券、基金等大金融行业的“银狐”团伙吗?绕过技术高超的他们,不仅扩大了针对性攻击的行业,更是不断更新迭代其对抗手法,更快速的传播恶意代码……可被称之为今年最“卷”黑产团伙。微步OneSEC团队持续帮助多个机构快速应对银狐,本文分享的手法来源于近期发现的新样本,该样本已在多个机构内被捕获,还需要大家积极关注。
发布时间:
2023-06-08 11:09 |
阅读:19096 | 评论:0 |
标签:
入侵
“黑客”入侵网络通讯公司服务器,通过非法手段为他人提供手机充值服务,9天内疯狂操作一万余笔订单,并通过虚拟货币进行套现。近日,北京通州警方打掉一个非法控制计算机信息系统犯罪团伙,刑事拘留3人。4月12日,通州分局新华派出所接辖区某网络通讯公司报警,反映公司的服务器后台近期遭到“黑客”攻击,造成公司直接经济损失130余万元。经了解,该网络通讯公司自主构建了一个网络充值平台,并在相关部门取得了运营资质,提供手机账号话费充值服务。最近,公司技术部门发现一“黑客”通过非法入侵服务平台的方式,在短时间内先后给全国各地5000余个手机账号进行充值,每笔金额从100元至500元不等。
发布时间:
2023-06-05 11:05 |
阅读:34968 | 评论:0 |
标签:
入侵 黑客
俄罗斯安全公司卡巴斯基披露其数十名雇员遭遇网络攻击,该攻击利用 iOS 无点击漏洞在雇员的 iPhone 手机上植入恶意程序,收集麦克风录音、照片、地理位置等数据。卡巴斯基认为它不是攻击的主要目标。俄罗斯官员认为这次攻击是 NSA 发起的,有数千部外交人员的 iPhone 感染了恶意程序,尤其是位于北约、前苏联加盟国、以色列和中国等地的外交使团成员。俄罗斯联邦安全局认为苹果与 NSA 在这一行动中有合作。苹果代表否认了这一说法。卡巴斯基创始人 Eugene Kaspersky 称,攻击是通过带恶意附件的隐形 iMessage 执行的,利用操作系统漏洞在设备上部署和安装恶意程序。
据BleepingComputer 6月1日消息,俄罗斯网络安全公司卡巴斯基表示,网络上的一些 iPhone 被黑客利用 iOS 漏洞入侵,可通过 iMessage 零点击漏洞安装恶意软件。卡巴斯基的报告表示,攻击活动始于 2019 年,到目前仍在进行中,并将这一攻击命名为“三角行动”。由于无法从设备上分析 iOS,卡巴斯基使用移动验证工具包为受感染的 iPhone 创建文件系统备份,以恢复有关攻击过程和恶意软件功能的信息。虽然该恶意软件试图从设备上删除攻击痕迹,但它仍然会留下感染迹象,例如阻止安装 iOS 更新所修改的系统文件、异常的数据使用以及已弃用的注入库。
#威胁情报 8个 CoA矩阵简介我们收集到的每一条情报都应该具有价值和可操作性,可操作性可以是直接使用的(例如:封禁动作),也可以是用于恶意活动归因分析的。这些可操作性的防护手段有的是可以直接在当前组织拥有的设备和技术上直接实现的,而有些则不能。CoA矩阵(Course of Actions Matrix)提供了更为清晰的防护处置方案。发现检测阻止干扰削弱欺骗摧毁侦察武器化投递渗透安装远控达成目标CoA矩阵本质很简单,第一列给出了杀伤链的每个阶段,每一行对应了该杀伤链阶段可以采取的防护措施。
发布时间:
2023-05-29 19:57 |
阅读:63964 | 评论:0 |
标签:
入侵 情报 威胁情报 分析
据报道,斯堪的纳维亚航空公司今年第二次被亲俄罗斯的黑客组织 “匿名苏丹 “攻破,导致SAS网站和其航空公司的应用程序瘫痪数小时。
美国东部时间周三早上6:30左右,SAS的客户开始在Twitter上抱怨无法进入该航空公司的网站。
大约在同一时间,匿名苏丹黑客团伙将这条信息置顶在他们加密的Telegram频道。
随后,该组织提出3500美元的赎金来停止攻击。
该组织告诉SAS,他们有一个小时的时间与他们在Telegram上的匿名苏丹机器人进行谈判,否则他们可能会遭到一整天的连环攻击,以及泄露一些用户信息等。
梭子鱼通知客户:其一些电子邮件安全网关(ESG)设备被利用零日漏洞破坏。网络安全解决方案提供商梭子鱼警告客户,其一些邮件安全网关(ESG)设备最近被威胁行为者利用现已修补的零日漏洞破坏。该漏洞被跟踪为 CVE-2023-2868,位于电子邮件附件筛选模块中,该问题于 19 月 20 日发现,该公司于 21 月 <> 日和 <> 日发布了两个安全补丁,修复了该问题。梭子鱼于2023年2868月19日在我们的邮件安全网关设备(ESG)中发现了一个漏洞(https://nvd.nist.gov/vuln/detail/CVE-2023-20)。
发布时间:
2023-05-25 16:56 |
阅读:165585 | 评论:0 |
标签:
0day 漏洞 入侵 黑客 安全
据报道,斯堪的纳维亚航空公司今年第二次被亲俄罗斯的黑客组织 "匿名苏丹 "攻破,导致SAS网站和其航空公司的应用程序瘫痪数小时。美国东部时间周三早上6:30左右,SAS的客户开始在Twitter上抱怨无法进入该航空公司的网站。大约在同一时间,匿名苏丹黑客团伙将这条信息置顶在他们加密的Telegram频道。随后,该组织提出3500美元的赎金来停止攻击。该组织告诉SAS,他们有一个小时的时间与他们在Telegram上的匿名苏丹机器人进行谈判,否则他们可能会遭到一整天的连环攻击,以及泄露一些用户信息等。
#威胁情报 5个 概述终于进入到了第二部分,入侵分析是这个部分的重点。而开篇就是洛特希德公司的杀伤链。虽然杀伤链相比ATT&CK模型已经有些年头了,我们这里学习的重点并非是杀伤链本身,而是在杀伤链的每个阶段提取攻击组织的情报。便于我们追踪和分析。内容很长所以打算分成两篇发。什么是杀伤链杀伤链(kill chain)由洛特希德马丁公司员工Michael Cloppert、Eric Hutchins 和 Rohan Amin 在 2011 年的一份白皮书中提出。
发布时间:
2023-05-19 14:04 |
阅读:53367 | 评论:0 |
标签:
入侵 情报 威胁情报 分析
背景随着开源产品的越来越盛行,作为网络安全从业者,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了?
发布时间:
2023-05-19 01:46 |
阅读:67852 | 评论:0 |
标签:
入侵
点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自
发布时间:
2023-05-17 01:45 |
阅读:68778 | 评论:0 |
标签:
入侵 学习 汽车
近日,一个名为RA group的新勒索软件组织进入人们的视野,该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”,目前仍在迅速扩大其勒索活动的范围。
安全研究员Chetan Raghuprasad在与the Hacker News分享的一份报告中提到:到目前为止,该组织已经入侵了美国的三个组织和韩国的一个组织,涉及制造业、财富管理、保险提供商和制药等多个垂直行业。
RA勒索组织运营着一个信息泄露网站,他们向受害者进行双重勒索攻击,迫使他们支付赎金。
Raghuprasad解释称:RA集团使用的是定制赎金笔记,其中包括受害者的名字和下载泄露证据的唯一链接。
近日,一个名为RA group的新勒索软件组织进入人们的视野,该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”,目前仍在迅速扩大其勒索活动的范围。安全研究员Chetan Raghuprasad在与the Hacker News分享的一份报告中提到:到目前为止,该组织已经入侵了美国的三个组织和韩国的一个组织,涉及制造业、财富管理、保险提供商和制药等多个垂直行业。RA勒索组织运营着一个信息泄露网站,他们向受害者进行双重勒索攻击,迫使他们支付赎金。Raghuprasad解释称:RA集团使用的是定制赎金笔记,其中包括受害者的名字和下载泄露证据的唯一链接。
发布时间:
2023-05-16 11:56 |
阅读:91896 | 评论:0 |
标签:
入侵 勒索 美国 勒索组织 韩国
知情人士周五表示,美国交通部(USDOT)发生了一起数据泄露事件,暴露了23.7万名现任和前任联邦政府人员的个人信息。
该事件攻击了用于处理TRANServe交通福利的系统,这些福利津贴用于发放政府人员的一些通勤费用。目前尚不清楚这些个人信息是否被用于犯罪目的。
路透社了解到,USDOT周五在一封电子邮件中通知国会,其对数据泄露的初步调查“将违规行为隔绝在行政职能部门的某些系统,例如员工交通福利处理“。
USDOT在给路透社的一份声明中表示,此次违规行为并未影响任何运输安全系统。但还尚不清楚这次事件的幕后黑手。
知情人士周五表示,美国交通部(USDOT)发生了一起数据泄露事件,暴露了23.7万名现任和前任联邦政府人员的个人信息。该事件攻击了用于处理TRANServe交通福利的系统,这些福利津贴用于发放政府人员的一些通勤费用。目前尚不清楚这些个人信息是否被用于犯罪目的。路透社了解到,USDOT周五在一封电子邮件中通知国会,其对数据泄露的初步调查“将违规行为隔绝在行政职能部门的某些系统,例如员工交通福利处理“。USDOT在给路透社的一份声明中表示,此次违规行为并未影响任何运输安全系统。但还尚不清楚这次事件的幕后黑手。该部门正在调查这起违规事件,并冻结了对过境福利系统的访问,直到该系统得到保护和恢复。
发布时间:
2023-05-15 14:50 |
阅读:68688 | 评论:0 |
标签:
入侵 泄露 美国
韩国国家警察厅 (KNPA) 警告说,朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络,以窃取敏感的医疗信息和个人详细信息。该事件发生在 2021年5月至 6 月之间,警方在过去两年中进行了分析调查,以确定肇事者。 根据执法机构的新闻稿,根据以下信息将此次攻击归因于朝鲜黑客:在攻击中观察到的入侵技术与朝鲜威胁行为者独立关联的 IP 地址网站注册详情特定语言和朝鲜语词汇的使用 韩国当地媒体将这次袭击与 Kimsuky 黑客组织联系起来,但警方的报告并未明确提及具体的威胁组织。
韩国国家警察厅 (KNPA) 警告说,朝鲜黑客入侵了该国最大的医院之一首尔国立大学医院 (SNUH) 的网络,以窃取敏感的医疗信息和个人详细信息。该事件发生在 2021年5月至 6 月之间,警方在过去两年中进行了分析调查,以确定肇事者。
根据执法机构的新闻稿,根据以下信息将此次攻击归因于朝鲜黑客:
在攻击中观察到的入侵技术
与朝鲜威胁行为者独立关联的 IP 地址
网站注册详情
特定语言和朝鲜语词汇的使用
韩国当地媒体将这次袭击与 Kimsuky 黑客组织联系起来,但警方的报告并未明确提及具体的威胁组织。
攻击者使用韩国等国的七台服务器对医院内部网络发起攻击。
在不久前结束的RSAC 2023大会上,谷歌云Mandiant首席执行官Kevin Mandia回顾了当前网络安全发展态势和挑战,他在主题演讲中表示:尽管企业组织每年留给网络安全的预算投入一直在增加,但数据泄露的威胁却越来越泛滥,在此背景下,企业组织需要转变防护思路,化被动为主动。企业组织除了部署传统的防范措施和安全工具外,还应该采取一些创新的措施来加强防御,去识别那些传统安全产品无力阻止的入侵或恶意活动。为此,Mandia给企业提出了7个改变的建议,而“建立先进的蜜罐防护体系”正是其中之一。蜜罐是一种诱饵系统,用来引诱攻击者,将他们对实际目标的攻击诱骗转移到特定的分析区域。
发布时间:
2023-05-11 19:49 |
阅读:71093 | 评论:0 |
标签:
入侵
28日,国家计算机病毒应急处理中心披露美国国家安全局(NSA)所属的又一款网络攻击武器“酸狐狸”漏洞攻击武器平台(以下简称“酸狐狸平台”),重点攻击目标指向中国和俄罗斯,该平台默认使用的标配程序“验证器”木马后门,在我国上百个重要信息系统中被发现,其中包括多家科研机构。其植入时间远远早于“酸狐狸平台”被公开曝光的时间,说明至少上百个国内重要信息系统遭受攻击。“酸狐狸平台”设置专用服务器 ,中国成为重点攻击目标根据介绍,“酸狐狸平台”是NSA特定入侵行动办公室(TAO)对他国开展网络间谍行动的重要阵地基础设施,现已成为计算机网络入侵行动队(CNE)的主力装备。
发布时间:
2023-05-11 14:04 |
阅读:100091 | 评论:0 |
标签:
入侵 攻击
3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后,西部数据已将其商店下线,并向客户发送了数据泄露通知。
上周五下午,该公司通过电子邮件发送了数据泄露通知,称其数据库遭到攻击,存储在内的客户数据被盗。
西部数据表示:根据调查,我们最近了解到,在2023年3月26日左右,一个未经授权的组织获取了西部数据数据库的副本,其中包含在线商店客户的有限个人信息。这些个人信息涉及到客户姓名、帐单和送货地址、电子邮件地址和电话号码。作为一项安全措施,相关数据库以加密的形式存储了哈希密码(已加盐)和部分信用卡号码。
3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后,西部数据已将其商店下线,并向客户发送了数据泄露通知。上周五下午,该公司通过电子邮件发送了数据泄露通知,称其数据库遭到攻击,存储在内的客户数据被盗。西部数据表示:根据调查,我们最近了解到,在2023年3月26日左右,一个未经授权的组织获取了西部数据数据库的副本,其中包含在线商店客户的有限个人信息。这些个人信息涉及到客户姓名、帐单和送货地址、电子邮件地址和电话号码。作为一项安全措施,相关数据库以加密的形式存储了哈希密码(已加盐)和部分信用卡号码。
发布时间:
2023-05-08 14:51 |
阅读:57832 | 评论:0 |
标签:
入侵 黑客
医院的专家号,尤其是知名专家号,就是一种“稀缺资源”,按正常流程,患者需提前1至7天在门诊窗口或者网络服务平台预约挂号,但这些通过正常流程的患者却难以挂上专家号,主要原因就是“号贩子”先把专家号给“囤起来”了。医院专家号难挂,而这已成为“普遍现象”。案例一 “网络号贩子” 用抢号软件获利200多万元被捕近日,重庆大渡口警方通报,经过缜密侦查,在“净网行动”中成功打掉一个“网络号贩子”团伙,抓获全部犯罪嫌疑人2名。2023年2月,大渡口警方接到群众报警,称有人利用抢号软件抢部分医院的“专家号”,导致群众看病就诊不便。
发布时间:
2023-04-23 19:54 |
阅读:287521 | 评论:0 |
标签:
入侵 网络
近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。
近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。
入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。
这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。
韩国的数十家公司在去年遭到黑客的攻击,黑客获取了这些公司的操作权限及超过200台电脑的控制权。韩国警察厅国家搜查本部在本月18日公布了对这些网络攻击的调查结果,确认是朝鲜的黑客组织“拉撒路集团”所为。 朝鲜拉撒路集团涉嫌入侵顶级加密货币项目。 据《韩联社》的报道,拉撒路集团在过去一年的时间里入侵了一家韩国知名网络安全公司,并借此发动了网络攻击。 该黑客组织利用水坑式攻击,入侵了八家韩国媒体和207台电脑,并准备利用这些被感染的电脑发动更广泛的攻击。幸运的是,这些公司及时察觉入侵并报警,没有造成过大损失。 根据美国财政部的资料,拉撒路集团约始于2007 年,隶属于北韩人民军总参谋部。
发布时间:
2023-04-20 11:05 |
阅读:102479 | 评论:0 |
标签:
入侵 黑客 朝鲜 朝鲜黑客 韩国
多伦多大学公民实验室和微软发表研究报告,披露了以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone。该公司使用 Reign 的名字销售间谍软件,类似另一家以色列间谍软件公司 NSO Group 的 Pegasus,QuaDream 也利用了零点击漏洞。研究人员发现攻击者利用零点击漏洞在 iOS 14.4 和 14.4.2 等版本上部署了 QuaDream 的间谍软件。该漏洞被称为 ENDOFDAYS,通过向受害者发送看不见的 iCloud 日历邀请利用。
事情的起因是,在进程中发现了一个NSecRTS.exe的进程,怎么也杀不掉,并且pid一直在变换,网上搜了一下,发现了几个几年前的文章《彻底解决NSEC病毒?
发布时间:
2023-04-11 20:03 |
阅读:137746 | 评论:0 |
标签:
入侵 分析
点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电
发布时间:
2023-04-10 14:03 |
阅读:100290 | 评论:0 |
标签:
入侵 态势 网络
比特币 ATM 制造商 General Bytes 透露,黑客利用其软件中的零日漏洞从热钱包中窃取了加密货币。攻击者能够通过终端用于上传视频的主服务接口远程上传他自己的 Java 程序,并使用 batm 用户权限运行它。 根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,攻击者扫描了 Digital Ocean 云托管 IP 地址空间,并确定在端口 7741 上运行 CAS 服务,包括 General Bytes Cloud 服务和其他在 Digital Ocean 上运行其服务器的 General Bytes ATM 运营商。
发布时间:
2023-04-10 11:04 |
阅读:177572 | 评论:0 |
标签:
漏洞 入侵 黑客 比特币