Aggregator

We spoke to a dozen experts at the Center for Internet Security® (CIS®) about their cybersecurity predictions for 2025. Here's what they had to say.

价值超 30 亿元的数字货币被盗，这家交易所宣布关闭

Meta 内部将 GPT-4 用于辅助编程

metadata Allegedly Leaked the Data of LIXIL

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

miyako is Allegedly Selling Root Access to a Firewall of a Cannabis Mapping Platform in USA

每日安全动态推送(24/12/5)

黑客疑似通过社交工程或钓鱼攻击窃取了 solana-web3.js 开源库维护者的账号，在代码中加入了后门，窃取了价值 15.5 万美元的加密货币。solana-web3.js 被应用用于与 Solana 区块链交互。当应用整合了 solana-web3.js v1.95.6 和 v1.95.7 之后，后门会收集私钥和钱包地址。这些后门版本是在周二 3:20 pm UTC 到 8:25 pm UTC 的五小时内提供下载的。对黑客钱包地址的跟踪显示，共有 674.8 SOL 被盗，SOL 是 Solana 的货币单位，这些加密货币价值约 15.5 万美元。原开发商督促 Solana 应用开发者尽快升级到 v1.95.8。

Stoli集团在美国的子公司因8月份遭受的勒索软件攻击，以及俄罗斯当局没收其在俄剩余酿酒厂而不得不申请破产保护。 Stoli美国公司及其子公司肯塔基猫头鹰公司的总裁兼全球首席执行官克里斯·考德威尔在上周五提交的文件中指出，这一决定是在8月的网络攻击严重破坏了公司的IT系统，包括企业资源规划（ERP）平台之后作出的。 这场网络攻击迫使整个集团不得不依赖手动操作，严重影响了会计等关键业务流程，预计要到2025年初才能完全恢复正常。 考德威尔表示：“2024年8月，Stoli集团的IT基础设施在数据泄露和勒索软件攻击后遭受了严重破坏。” 他进一步解释说：“这次攻击导致Stoli集团内的所有公司都遭遇了重大的运营挑战，包括Stoli美国公司和KO，因为ERP系统被禁用，导致大多数内部流程（包括会计职能）被迫转为手动操作。” 此外，这一事件还阻止了Stoli美国子公司向贷款人提供财务报告，后者声称这两家公司拖欠了7800万美元的债务。 就在一个月前的2024年7月，Stoli集团在俄罗斯的最后两家价值1亿美元的酿酒厂也被没收，这一行动与Stoli集团及其创始人尤里·谢夫勒被俄罗斯政府标记为“极端分子”有关。这一标记与他们在乌克兰战争期间对乌克兰难民提供的人道主义援助和营销活动的支持有关。 Stoli集团还与俄罗斯国有企业FKP Sojuzplodoimport就Stolichnaya和Moskovskaya伏特加商标的权益进行了长达23年的法律斗争，这场斗争跨越了多个司法管辖区，包括美国。这场法律战始于2000年3月，当时普京总统发布了一项行政命令，旨在“恢复和保护国家在1990年代被私人公司购买的伏特加商标的权利”。 Stoli集团的创始人谢夫勒因对普京政权的批评和所谓的“捏造”指控，于2002年被迫逃离俄罗斯。在2010年代，俄罗斯的引渡请求被拒绝后，谢夫勒获得了瑞士的庇护和英国公民身份。     转自Freebuf，原文链接：https://www.freebuf.com/news/416924.html 封面来源于网络，如有侵权请联系删除

The TechBeat: No, You Don't Need a Highly Specialized Team to Build Your SaaS Application (12/5/2024)

Operation Destabilise: The U.K. National Crime Agency disrupted Russian money laundering networks tied to organized crime. The U.K. National Crime Agency (NCA) disrupted Russian money laundering networks linked to organized crime across the U.K., Middle East, Russia, and South America as part of an operation called “Operation Destabilise.” “An international NCA-led investigation – Operation Destabilise […]

A vulnerability has been found in Drupal up to 10.2.9 and classified as problematic. Affected by this vulnerability is an unknown functionality of the component File Handler. The manipulation leads to detection of error condition without action. This vulnerability is known as CVE-2024-11942. The attack can only be initiated within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as problematic, was found in Drupal up to 10.1.7/10.2.1. Affected is an unknown function. The manipulation leads to infinite loop. This vulnerability is traded as CVE-2024-11941. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A Threat Actor Claims to be Selling VPN Access to an Unidentified Indian Advertising and Marketing Company

Latrodectus is a versatile malware family that infiltrate systems, steal sensitive data, and evades detection. Learn more from Wazuh about Latrodectus malware and how to defend against it using the open-source XDR. [...]