银行假日周末期间,英国零售行业受到过去两周一系列网络攻击的持续干扰,Marks and Spencer ( M&S ) 与 Co-op 的货架上出现了缺货现象。
这些攻击始于复活节周末,已被 DragonForce 赎金软件即服务 ( RaaS ) 业务的代表宣称负责。最初这些攻击与 Scattered Spider 及 The Com 两个重叠的英语黑客团体联系在一起,这两个团体充当了 DragonForce 的附属机构。
在周末的进一步更新中,Co-op 首席执行官 Shirine Khoury-Haq 通过电子邮件告知客户,发动攻击的网络犯罪团伙“极为先进”,而为应对攻击的严重性,必须继续暂停多项服务。
Khoury-Haq 重申,此次攻击已影响到客户数据。“这对我们的同事和成员来说显然是极其令人不安的,我对此深感歉意。我们认识到数据保护的重要性,并且非常认真地履行对您和监管机构的责任,尤其作为一家会员拥有的组织。”她表示。
受影响的 Co-op 会员数据似乎包括姓名、出生日期与联系信息,但不包含密码、财务详情,也没有涉及会员的购物习惯或与组织的其他互动信息。
声称对全部三起攻击负责的 DragonForce 白标赎金软件即服务集团,曾先前与 BBC 分享过约 10,000 名 Co-op 会员数据的样本,并向记者透露其他英国零售商已被列入黑名单。
与此同时,M&S 内部人士在接受 Sky News 采访时透露,在混乱局势中,IT 员工被迫在办公室过夜。员工们描述,由于缺乏对这种情景的规划,M&S 内部陷入了一片混乱,并表示可能需要相当长的时间才能恢复正常状态。
国家网络安全中心 ( NCSC ) 的 Jonathan Ellison 与国家韧性主管兼首席技术官 Ollie Whitehouse 表示:“NCSC 正在与受到近期事件影响的组织合作,以了解攻击的性质并尽量减少损害,同时向更广泛的行业和经济提供建议。”
他们补充说:“虽然我们已有一些初步了解,但目前还不能确定这些攻击是否相互关联,是由单一行为者策划的联合行动,还是彼此之间毫无关联。我们正与受害者和执法部门的同事合作以厘清这一点。”
“我们也正通过 NCSC 运营的行业信任小组,与相关企业及更广泛的行业分享已掌握的信息,并鼓励各公司互通经验、分享应对措施,”Ellison 与 Whitehouse 补充道。
What is DragonForce?
SentinelOne 高级威胁研究员 Jim Walter 表示,DragonForce 最初作为一个总部位于马来西亚、支持巴勒斯坦事业的黑客行动网络出现,但自 2023 年夏季以来,该组织已转型为融合政治黑客主义与赎金软件勒索的混合模式。
该组织已将目标锁定在以色列、印度、沙特阿拉伯和英国的多个政府机构,以及与特定政治事业相关联的商业企业和组织。
这股针对英国企业的攻击浪潮凸显出,持续需要强有力的网络安全措施与政策,以及完善的事故响应程序。 – Jim Walter, SentinelOne
Walter 表示,虽然部分攻击环节被归因于某个附属机构,但在这方面缺乏有力的技术证据,尽管其行为与操作特征与 Scattered Spider 及 The Com 的攻击明显相符。
Walter 在博客文章中写道:“尽管 DragonForce 一直模糊黑客主义与经济动机之间的界限,其近期的目标显示,该组织正日益受到经济回报的驱动。”
“虽然 DragonForce 的大规模卡特尔模式并非首创,但其眼下的成功以及竞争对手行动的近期衰落表明,它将对缺乏资源的赎金软件行为者以及那些拥有充足资源、希望在竞争日趋激烈的领域中立足的团体愈发具有吸引力。”
“近几周针对英国企业的攻击浪潮再次凸显出,必须坚持实施强有力的网络安全措施与政策,以及建立完善的事故响应程序。”
DragonForce 或其附属机构通常通过结合目标性钓鱼邮件和利用已知漏洞的方式,进入受害者环境。他们偏爱利用一些‘顽强常客’,例如 Log4j 以及备受瞩目的 Ivanti 漏洞。
此外,他们还会利用被盗取的凭证——这可能就是 M&S 事件的作案方式,或者针对远程桌面协议 ( RDP ) 服务及虚拟专用网络 ( VPN ) 进行凭证堆叠攻击的原因。
通常,他们借助 Cobalt Strike 等工具执行攻击活动,并使用 mimikatz、Advanced IP Scanner 及 PingCastle 等远程管理工具,进行横向移动、建立持久性和提升权限。这些都是赎金软件团伙的典型行为。
最初完全基于泄露的 LockBit 3.0/Black locker 构建的赎金软件负载,最近已演进为一种定制品牌的赎金软件,其代码基础更多借鉴了 Conti。其加密特点稍显不同——采用 AES 作为主要文件加密方式,并使用 RSA 来保护密钥——而源自 Conti 的样本则使用 ChaCha8 算法进行加密。
附属机构可以利用多种工具构建新的负载并管理攻击活动,为 Linux、VMware ESXi 和 Windows 等平台提供针对性变体。这些负载的行为也能进行高度定制,使附属机构可以指定例如希望添加的扩展、不同的命令行脚本,以及文件加密的允许/拒绝名单,甚至可以根据需要设置延迟执行。
在数据外泄方面,有多种途径可供选择,附属机构还可以在赎金软件控制面板内建立协作团队,从而更加高效地协同工作、沟通与与受害者协调。
Walter 解释称,最近 DragonForce 推出了一项新的白标服务,允许附属机构支付额外费用后,将赎金软件贴上自家品牌,从而扩展为一种更为活跃的卡特尔型服务。
好文章,需要你的鼓励
来自耶路撒冷希伯来大学的研究团队开发了WHISTRESS,一种创新的无需对齐的句子重音检测方法,能够识别说话者在语音中强调的关键词语。研究者基于Whisper模型增加了重音检测组件,并创建了TINYSTRESS-15K合成数据集用于训练。实验表明,WHISTRESS在多个基准测试中表现优异,甚至展示了强大的零样本泛化能力。这项技术使语音识别系统不仅能理解"说了什么",还能捕捉"如何说"的细微差别,为人机交互带来更自然的体验。
这项研究提出了"力量提示"方法,使视频生成模型能够响应物理力控制信号。研究团队来自布朗大学和谷歌DeepMind,他们通过设计两种力提示——局部点力和全局风力,让模型生成符合物理规律的视频。惊人的是,尽管仅使用约15,000个合成训练样本,模型展现出卓越的泛化能力,能够处理不同材质、几何形状和环境下的力学交互。研究还发现模型具有初步的质量理解能力,相同力量对不同质量物体产生不同影响。这一突破为交互式视频生成和直观世界模型提供了新方向。
北京交通大学与西蒙弗雷泽大学联合研发的混合神经-MPM方法实现了实时交互式流体模拟。该方法巧妙结合神经物理学与传统数值求解器,在低时空分辨率下运行神经网络并设置保障机制自动切换到MPM,显著降低计算延迟同时保持高保真度。团队还设计了基于扩散模型的控制器,支持用户通过简单草图直观控制流体行为,为游戏、VR和设计领域提供了实用解决方案。
这项研究介绍了EgoZero,一种创新的机器人学习系统,能够仅通过Project Aria智能眼镜捕获的人类示范数据,训练出零样本迁移的机器人操作策略。研究团队提出了一种形态无关的状态-动作表示方法,使用点集来统一人类和机器人数据,并开发了从原始视觉输入中提取准确3D表示的技术。在没有任何机器人训练数据的情况下,EgoZero在7种真实世界操作任务上实现了70%的成功率,展示了强大的泛化能力,为解决机器人学习中的数据瓶颈问题提供了新思路。