1
与俄罗斯有关的威胁行为者 可能是
(资料图片仅供参考)
德克萨斯州液化天然气厂爆炸的幕后黑手
德克萨斯州一家液化天然气厂在6 月 8 日发生爆炸。爆炸发生在德克萨斯州金塔纳岛的自由港液化天然气(Freeport LNG)液化厂和出口码头。此次事故将对自由港液化天然气的运营产生持久的影响。
华盛顿时报国家安全作家Rogan证实,德克萨斯州的液化天然气设施爆炸与 XENOTIME等APT组织进行的黑客活动一致。随后Rogan补充说,该公司确实拥有运营技术/工业控制系统网络检测系统。不过Freeport LNG却否认了将网络攻击视为事件发生的根本原因。“除非Freeport LNG适当部署了OT/ICS网络检测系统并完成了取证调查,否则不能排除网络攻击,”罗根反驳说。另外两位与罗根交谈的消息人士称,在俄罗斯发动对乌克兰的入侵期间,俄罗斯GRU军事情报部门的一个网络部门对Freeport LNG进行了目标侦察行动。
2
4 亿 Twitter 用户的数据出售
一个威胁行为者声称他们已经获得了400,000,000名Twitter用户的数据并试图出售这些数据。卖家声称该数据库是私人的,他提供了1,000个帐户的样本作为索赔证明,其中包括 Donald Trump JR、Brian Krebs 等知名用户的私人信息。
卖家是名为 Ryushi 的数据泄露论坛的成员,声称数据是通过漏洞抓取的,其中包括名人、政客、公司、普通用户的电子邮件和电话号码,以及大量 OG 和特殊用户名。卖家还邀请 Twitter 和 Elon Musk 购买数据以避免 GDPR 诉讼。
3
匿名者组织入侵俄罗斯国防部
在匿名者组织呼吁对俄罗斯非法入侵乌克兰后采取行动几个小时后,其成员关闭了俄罗斯宣传站 RT News 的网站,当天的新闻是对俄罗斯国防部服务器的攻击。克里姆林宫 ( Kremlin.ru ) 的网站也无法访问,但尚不清楚这是匿名攻击的结果,还是政府已将其下线以防止破坏性攻击。
据悉,俄罗斯政府的门户网站和其他相关网站运行速度非常慢。匿名者指出,它不是针对俄罗斯公民,而是针对他们的政府。该组织还泄露了来自白俄罗斯武器制造商 Tetraedr 的大约 200GB 电子邮件。该公司为弗拉基米尔普京入侵乌克兰提供后勤支持。
4
匿名者组织破坏白俄罗斯铁路的内部网络
匿名组织宣布白俄罗斯铁路内部网络遭到破坏,该组织声称已阻止所有服务并将停用这些服务,直到俄罗斯军队离开白俄罗斯领土。袭击的目的是为了扰乱占领军的部署,给乌克兰人更多的时间来击退袭击。
这次袭击迫使白俄罗斯铁路切换到手动控制模式,对导致列车运行速度放缓的运营产生了重大影响。这些袭击并没有将民众置于危险之中,而是旨在干扰一个在入侵乌克兰的同时向俄罗斯提供支持的国家的交通。在撰写本文时,无法访问网站 pass.rw.by、portal.rw.by、rw.by。
据悉,该组织还从白俄罗斯武器制造商 Tetraedr 窃取了大约 200GB 的电子邮件。该公司在俄乌冲突期间为弗拉基米尔普京提供后勤支持。
5
黑客用几秒钟攻破了俄罗斯重要的部门
短短几秒钟内,一名黑客远程访问了属于俄罗斯地区卫生部的一台计算机,利用草率的网络安全实践暴露了其整个网络。希望保持匿名的Spielerkid89无意伤害该组织并保持了其系统的完好无损。然而,他的实验是一个完美的例子,说明糟糕的网络卫生如何使组织容易受到网络攻击。
据悉,Spielerkid89 连接到属于俄罗斯鄂木斯克地区卫生部的计算机。要远程访问部门员工的桌面,黑客不需要任何密码或身份验证——他可以通过开放的 VNC 端口访问该计算机上的所有文件和信息。
6
匿名者组织从俄罗斯中央银行窃取了28GB 数据
匿名者组织宣布附属组织 Black Rabbit World 泄露了从俄罗斯中央银行窃取的 28 GB 数据多达35,000 份文件,并宣布在48小时内泄漏被盗文件。
匿名者组织声称,被盗文件包括俄罗斯的经济机密。对一个国家中央银行的攻击可能对其国内政治产生重大影响。中央银行制定国家的经济政策,管理国家的货币,维持价格稳定,并监督当地银行。
7
专家调查WhatsApp数据泄露
5亿用户记录待售
11 月 16 日,威胁行为者在知名黑客社区论坛上发布了一则广告,声称他们正在出售一个包含2022年4.87亿WhatsApp用户手机号码的数据库。据称该数据集包含来自84个国家/地区的WhatsApp用户数据。威胁行为者声称其中包含超过 3200 万条美国用户记录。
另一大块电话号码属于埃及(4500 万)、意大利(3500 万)、沙特阿拉伯(2900 万)、法国(2000 万)和土耳其(2000 万)的公民。据悉,待售数据集还包含近 1000 万俄罗斯公民和超过 1100 万英国公民的电话号码。
8
Claroty专家设计了一种绕过多家供应商的
Web应用程序防火墙 (WAF) 的技术
该技术是在对 Cambium Networks 的无线设备管理平台进行不相关研究时发现的。
研究人员发现了一个 Cambium SQL 注入漏洞,他们用它来窃取用户的会话、SSH 密钥、密码哈希、令牌和验证码。专家指出,他们能够利用本地版本的 SQL 注入漏洞,而针对云版本的黑客攻击尝试被亚马逊网络服务 (AWS) WAF 阻止。专家们研究了如何绕过 AWS WAF。将 JSON 语法附加到 SQL 注入负载可以绕过 WAF,因为它无法解析它。
Claroty 研究人员使用 JSON 运算符“@<”将 WAF 置于循环中并提供恶意 SQLi 负载。
研究人员证实,旁路攻击技术也适用于其他供应商的防火墙,包括 Cloudflare、F5、Imperva 和 Palo Alto Networks。
9
与俄罗斯有关联的 Sandworm
持续对乌克兰发动攻击
Sandworm(又名BlackEnergy和TeleBots)自 2000 年以来一直活跃,在俄罗斯 GRU 特殊技术主要中心 (GTsST) 的74455 单元的控制下运行。该组织还是 NotPetya 勒索软件的作者,该软件 于 2017 年 6 月袭击了全球数百家公司,造成数十亿美元的损失。
4 月,Sandworm使用新变种的Industroyer ICS 恶意软件 (INDUSTROYER2) 和新版本的 CaddyWiper 擦拭器,将乌克兰的能源设施作为目标 。
10
“埃及泄密事件”
黑客行为者正在泄露财务数据
Resecurity 是一家总部位于加利福尼亚的网络安全公司,为全球财富 500 强企业提供保护,它注意到一群新的黑客行动主义者以埃及的金融机构为目标。不良行为者在“EG Leaks”(也称为“Egypt Leaks”)运动下,开始在暗网上泄露属于埃及主要银行客户的大量受损支付数据。首次提及此活动是在 Telegram 频道中检测到的,该频道旨在泄露包含 12,229 张信用卡的 Excel 文件。
泄露的数据包括对属于埃及主要银行潜在客户的 PII 的引用——包括埃及国家银行、埃及汇丰银行、亚历山大银行、Banque Misr、Alexbank、埃及农业信贷银行和其他多家银行。