Aggregator

A vulnerability, which was classified as problematic, has been found in Mozilla Firefox, Firefox ESR and Thunderbird. Affected by this issue is some unknown functionality of the component Cursor Handler. The manipulation leads to improper restriction of rendered ui layers. This vulnerability is handled as CVE-2021-43546. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox, Firefox ESR and Thunderbird. It has been classified as critical. This affects an unknown part of the component Protocol Handler. The manipulation leads to escaping of output. This vulnerability is uniquely identified as CVE-2021-43541. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox, Firefox ESR and Thunderbird. It has been declared as problematic. This vulnerability affects unknown code of the component XMLHttpRequest Handler. The manipulation leads to information exposure through error message. This vulnerability was named CVE-2021-43542. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox, Firefox ESR and Thunderbird. It has been rated as critical. This issue affects some unknown processing of the component CSP Handler. The manipulation leads to sandbox issue. The identification of this vulnerability is CVE-2021-43543. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

HashiCorp 发布了一份安全公告，披露了其 Vault 秘密管理平台中的一个漏洞，该漏洞可能允许攻击者将权限升级到高度敏感的根策略。 图片来源：安全客 该漏洞被追踪为 CVE-2024-9180，CVSSv3 得分为 7.2，源于 “Vault 内存实体缓存中条目处理不当”。公告解释说，拥有 “根命名空间身份端点写权限 ”的恶意行为者可以通过 Vault 节点上的身份 API 端点操作其缓存的实体记录，并有可能将其权限升级到该节点上的 Vault 根策略。 从本质上讲，这意味着攻击者可以利用这个漏洞获得对 Vault 实例的完全控制权，从而可能泄露敏感数据并中断关键操作。 幸运的是，这个漏洞的影响是有限的。HashiCorp 澄清说：“被操纵的实体记录不会在整个集群中传播，也不会持久化到存储后端，而且会在服务器重启时被清除。” 此外，该漏洞只影响根命名空间中的实体，不会影响标准命名空间或管理命名空间中的实体。由于 HCP Vault Dedicated 依赖于管理命名空间，因此也不会受到影响。 不过，HashiCorp 敦促所有 Vault 用户 评估与此问题相关的风险，并考虑升级 到已打补丁的版本。 以下版本提供了补救措施： Vault 社区版 1.18.0 Vault 企业版：1.18.0、1.17.7、1.16.11、1.15.16 作为升级的替代方案，HashiCorp 建议实施 Sentinel EGP 策略或修改默认策略，以限制对身份终端的访问。此外，监控 Vault 审计日志，查找 “identity_policy ”数组中包含 “root ”的条目，有助于发现潜在的利用企图。     转自安全客，原文链接：https://www.anquanke.com/post/id/300825 封面来源于网络，如有侵权请联系删除

18 individuals and entities have been charged with widespread fraud and manipulation within the cryptocurrency markets. The charges, unsealed in Boston, target leaders of four cryptocurrency companies, four financial services firms known as “market makers,” and various employees. This case marks a significant step in addressing fraudulent activities in the rapidly evolving digital currency landscape. […]

The post 18 Individuals Charged for Widespread Manipulation Cryptocurrency Markets appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

Хакеры уже собирают данные для будущего взлома. Возможно ли им помешать?

自2022年底ChatGPT上线迄今不过两年，从日常工作到多媒体内容输出，各类人工智能（AI）应用已经成为很多行业不可或缺的工作“助手”。正当人们对身边的智能助手感到习以为常时，AI却以更加震撼的方式刷新人类对它的认知。在刚刚过去的10月8日与10月9日，2024诺贝尔奖物理学与化学两个重要奖项都被人工智能（AI）的相关成果及科学家取得。与此同时，特斯拉发布的Robotaxi 以及机器人Optimus都让人们对未来AI的应用场景充满期待。

或许，未来AI能否在诺贝尔其他奖项继续大放异彩我们不得而知，但AI已经渗透到人们生活的各个方面已是不争的事实。因此，随着数字威胁日趋严峻，在AI的主场—IT领域对人工智能技术在全行业、尤其是安全方面的应用需求变得十分迫切。根据 Check Point Research 的报告，在 2024 年 1 月至 8 月期间，全球公用事业部门（包括关键基础设施）每机构平均每周遭受的网络攻击次数高达 1514 次——与去年相比增加 37%，在所有行业中排名第五，进一步凸显了采取 AI 安全防护的必要性。这项先进技术正在革新关键基础设施的网络安全防护实践，为应对日益复杂的攻击提供了前所未有的防御能力。借助 AI 实时处理大量数据流的能力，企业现在能够极其快速、准确地检测异常情况和潜在威胁。

在机器学习算法的加持下，这些系统不断发展，可以始终领先网络犯罪分子一步。对于电网、供水系统和交通网络运营商来说，基于 AI 的解决方案可提供强大的保护，防止可能会造成破坏性影响的中断事件。通过自动执行日常安全任务，AI 能够让人类专家专注于应对复杂的挑战，从而提高整体威胁响应能力。虽然 AI 可能被用于发起攻击，而且需要持续的系统更新，但是将 AI 融入关键基础设施防护的优势远远超过了这些潜在弊端。随着世界变得日益互联，AI 将在保护我们社会的数字骨干网方面发挥关键作用。

AI 在网络安全防护中的应用现状和生成式 AI 的兴起

关键基础设施领域基于 AI 的威胁检测

AI 正在重塑关键基础设施领域的威胁检测，例如化学、关键制造、能源、交通、医疗保健、供水和污水处理系统。机器学习算法能够处理来自复杂网络的海量数据，以识别异常模式和潜在的安全漏洞。AI 系统能够检测到传统方法不易察觉到的入侵指标，支持快速做出响应，从而防止威胁破坏基本服务或泄露敏感数据。

 

加强安全防护自动化和编排

在关键基础设施中，集成式 AI 可增强安全防护自动化和编排，从而简化对网络威胁的响应。智能系统能够自主调查警报、关联不同来源的数据并触发响应措施。得益于这一自动化，人工安全防护团队可将更多精力用于战略规划和复杂的威胁分析，从而确保关键基础设施灵活抵御网络攻击。

 

生成式 AI：网络安全防护的双刃剑

对于生成式 AI 在关键基础设施防护中的应用，机遇和挑战并存。就防御而言，它有助于代码分析、漏洞发现和威胁情报整合。然而，攻击者也可以利用生成式 AI 发起复杂的网络钓鱼攻击、开发新的恶意软件变体或发现新的攻击向量。鉴于这一双重性质，关键部门必须采取积极主动的网络安全防护方法。

 

融合式网络 AI：整体防御策略

为了有效应对 AI 威胁，关键基础设施组织正在采用一种“融合式网络 AI”方法。该策略需要将 AI 功能集成到整个安全堆栈中，从而提高预测和缓解威胁的能力。借助 AI 原生架构，组织可构建强大的防御系统，保护重要系统和数据免受日益复杂的网络攻击。

AI 正如何应用于关键基础设施

通过提高效率、可靠性和可持续发展能力，AI 正在重塑关键基础设施，能源行业便是其中的典型。在智能电网中，AI 通过预测能源需求模式、优化能源分配和集成可再生能源发挥着至关重要的作用。这些功能有助于实现高效的能源分配，减少浪费，并确保稳定可靠的电力供应，即便是在太阳能和风能等间歇性能源的管理中也是如此。

AI 在预测性维护方面也起着关键作用，能够利用算法来预测潜在设备故障。这种积极主动的方法可通过延长关键基础设施组件的使用寿命，最大限度地减少停机时间并降低维护成本。此外，AI 还可通过实时监控和分析能耗，提高建筑物和工业流程的能效。AI 系统可根据使用模式实时调整供暖、制冷和照明，从而优化能源使用、降低成本并减少碳排放。

AI 在关键基础设施中的应用现状：聚焦交通运输行业

AI 正在交通运输行业掀起一场效率、安全和可持续发展的技术革命。

· 自动驾驶汽车：作为自动驾驶汽车的核心，AI 可帮助车辆导航、解读传感器数据并做出实时决策。机器学习算法可处理来自摄像头、激光雷达和雷达的输入数据，以检测障碍物、识别交通信号并预测行人和其他车辆的活动。

· 交通管理：AI 系统通过分析来自摄像头、传感器和 GPS 设备的数据，优化市区的交通流量。这些系统能够预测交通拥堵情况，调整交通信号灯的变换时间，并推荐替代路线，以减少路程时间和排放。目前有几个正在开发中的项目将应急车辆与信号系统相结合，以确保应急车辆畅通无阻。

· 预测性维护：在铁路和公路等交通基础设施中，基于 AI 的预测性维护利用来自物联网传感器的数据预测设备故障，防患于未然。这既能减少停机时间和维护成本，又能提高安全性。

· 公共交通优化：AI 可根据实时数据优化路线和时间表，从而改善公共交通。它有助于管理车队营运、预测乘客需求和提高整体服务效率。

· 安全监控：基于 AI 的监控系统可监控机场和火车站等交通枢纽的安全威胁，利用面部识别和行为分析来识别可疑活动，保障乘客安全。

· 供应链与物流：在物流业，AI 通过预测需求、管理库存和规划高效的配送路线来优化供应链运营，从而节省成本并提高服务水平。

· 智能基础设施：AI 还推动了智能基础设施的发展，例如智能交通系统和智能电网，通过与交通网络相结合，提高了连通性和效率。

AI 在医疗保健基础设施中的应用现状：聚焦网络安全防护

由于患者数据的敏感性，医疗保健行业日益成为网络威胁的目标。AI 可增强该行业的网络安全防护。

· 威胁检测和预防：AI 系统分析网络流量和用户行为，以实时识别异常情况并拦截恶意软件、勒索软件和网络钓鱼攻击等威胁。

· 数据保护：AI 可加强数据加密和访问控制，识别未经授权的访问并执行安全协议来保护患者数据。

事件响应：AI 可自动执行事件响应流程，快速识别和处理安全漏洞，并根据严重程度划分威胁的优先级。

· 漏洞管理：AI 可识别和修补医疗保健系统中的漏洞，预测易受攻击之处并推荐更新。

· 欺诈检测：AI 通过识别异常模式和差异来检测欺诈活动。

AI 在关键基础设施中的应用现状：教育行业

通过增强学习体验、优化管理流程和提供个性化教育，AI 正在重塑教育行业。

· 个性化学习：AI 通过分析学生的学习模式、调整难度和提供实时反馈，根据学生的个人需求量身定制教育内容，例如 Coursera 和可汗学院等平台。

· 智能辅导系统：AI 助教提供个性化课外辅导，为学生解疑答惑和提供指导，例如 MATHia 和 IBM 的 Watson Tutor 等工具。

· 自动评分：基于 Gradescope 等系统提供的详细反馈，AI 可自动为测试和论文评分，这能够帮助教育工作者节省时间，并确保评估的一致性。

· 预测性分析：AI 可预测学生的表现并识别遇到困难的学生，从而及时进行干预和提供支持，并预测注册趋势和资源需求。

· 提升无障碍服务能力：AI 通过语音识别和文本转语音等工具提高了无障碍服务能力，增强了教学场景对残障学生的包容性。

· 虚拟现实和增强现实：基于 AI 的虚拟现实和增强现实技术可打造沉浸式互动学习体验，助力学生探索医学和工程学等领域的复杂课题。

· 研究与数据分析：AI 可分析大型数据集，提供教学方法和学习成果方面的有益洞察，从而帮助制定教育策略和政策。

综上所述，在关键基础设施中采用 AI 技术的重要性与日剧增。Check Point建议企业用户可通过集成 AI 增强安全措施，提高运营韧性。AI 系统不仅能快速识别和响应威胁，降低中断风险，而且还能优化资源管理，预测维护需求，从而提高运营效率。要想在日新月异的技术环境中保持领先地位，关键基础设施部门应重视 AI 技术的采用。这不仅有助于提升关键资产的安全保护，又能确保长期可持续发展能力和可靠性。

Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufaleInformativa privacy e

新闻速览 •MITRE推出EMB3D威胁检测新模型，强化嵌入式设备安全性 •诺基亚安全威胁调查：全球电信业正在 […]

随着企业数字化转型的不断深入，终端安全领域正面临着前所未有的挑战。终端设备的多样化、泛终端环境的复杂性，以及安 […]

一、组织概述 （一）组织背景 Hunters International勒索组织最早于2023年10月进入大众视野，以RaaS（勒索软件即服务）模式运作。自发布以来，该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业，影响范围覆盖全球各个地区。 从起源上，Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名，这也是它能在短时间内成功实施多起勒索攻击的重要原因。 Hunters International声称其源码来自于Hive Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限，并部署如Cobalt Strike、SharpRhino等远控工具，最终传播勒索软件，加密和窃取数据。此外，该组织重视保密性，严格管控信息，保证其行动的隐蔽性。近期，Hunters International勒索组织日渐猖獗，使其在网络犯罪领域迅速崭露头角，强势威胁全球网络安全。 Hunters International数据泄露站点 作为典型的双重勒索组织，Hunters International对外宣称其主要目的是数据泄露，以此施压受害者，要求他们支付赎金，上图展示了该组织的数据泄露站点。 （二）攻击活动统计 根据公开数据统计，2024年初至今，Hunters International组织已成功发起163次勒索攻击。从下图可知，该组织近期攻击活动较为频繁。 各月攻击次数(注：统计日期截止2024/09/13) 从受害者国家分布来看，Hunters International组织的主要目标是美国，其中欧洲、亚洲一些国家也遭遇数次攻击，其中，中国占比3%左右。 受害者国家分布 从受害者所在行业分布来看，该组织针对的行业没有明显的倾向性，其中，以制造业和信息技术行业为主，占比分别为30.6%和9.8%。 受害者行业分布 二、样本分析 今年8月，国外研究机构披露，Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼，从而入侵企业内网，最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为，本文针对该事件涉及的样本进行详细分析。 （一）SharpRhino远控木马 Hunters International组织投递远控木马SharpRhino的完整流程如下图所示： SharpRhino远控木马通过捆绑合法工具ipscan进行传播，母体样本ipscan为NSIS安装程序，解压后包含如下文件： 当双击ipscan安装程序，7za.exe程序被触发，调用7za.dll对UpdateFull.7z解压，解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下，如下图： 其中，LogUpdate.bat和WindowsUpdate.bat两者功能相似，Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件，指向了LogUpdate.bat脚本文件。 LogUpdate.bat为批处理脚本，用来启动PowerShell脚本文件Wiaphoh7um.t。 Wiaphoh7um.t为PowerShell脚本文件，该脚本主要有两个功能： 解密出经过高度混淆的SharpRhino木马的C#源代码； 将SharpRhino源码编译加载到内存，将C2、加密密钥、延时时间传递给函数HPlu()并执行； SharpRhino为最终的远控木马，具体信息如下表： SharpRhino运行之后，首先会生成随机16个字节的ClientID ，并收集系统信息。 然后通过http与服务器进行连接，并发送上线数据包。数据包为json格式，分为三个字段“UUID”，“ID”，“Data”。首次向服务器发送数据时“UUID”的值为null，“ID”为 ClientID，“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器： cdn-server-2.wesoc40288.workers.dev。 捕获到的上线包数据流量如下： 发送数据包之后，客户端接收服务器的响应，解析出相应指令并执行：服务器返回指令共有三种情况： delay：延迟一定时间后再次向服务器发送http请求 exit：直接退出程序 PowerShell：执行任意PowerShell命令 为了更详细的分析控制端与客户端的通信行为，我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例，构造的控制端向客户端发送指令的流量如下图： 下图展示了数据包被解密后，客户端成功打开了计算器。 （二）Hunters International勒索软件 该勒索软件需要提供“-c 用户名:密码”才能执行，该用户名和密码用于受害者登录泄露网站查看信息，最后保存在勒索信中提供给受害者。 勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息，执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开，加密后的文件通常被加上“.locked”后缀。对比早期的版本（2024.03），近期的版本（2024.07）在加密过程信息输出和勒索信内容方面进行了更新。 新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。 勒索信方面，文件名和内容都进行了更新，早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。 该勒索软件执行后首先检查解析命令行参数，如果没有提供参数，当前执行立即终止。现整理部分参数如下： 参数项 描述 -c 指定用户名密码，格式为“user:password”，必选参数 -t/-threads/–threads 加密线程数量，默认为10 -R/-no-remote/–no-remote 不加密远程共享文件 -k/-kill/–kill 要杀死的进程 -s/-skip/–skip 跳过不加密的文件 -E/-no-erase/–no-erase 不擦除磁盘空间 -X/-no-extension/–no-extension 不给加密后文件添加后缀 -w/-wait/–wait 等待一段时间后加密 该勒索软件中使用的字符串都被单独移位+异或加密保存，使用时移位+异或解密后拼接恢复。 解析完命令行参数后，程序会创建一个线程池来进行后续的多线程的文件加密操作，在加密文件前，该程序会执行以下命令来删除卷影以阻止备份和恢复 exe delete shadows /all /quiet exe shadowcopy delete exe delete systemstatebackup exe delete catalog-quiet exe /set {default} recoveryenabled No exe /set {default} bootstatuspolicy ignoreallfailures exe delete systemstatebackup -keepVersion:3 停止包含以下列表中名称的服务和进程，防止文件被占用无法加密。 agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon 枚举网络中存在的主机： 遍历本地磁盘驱动器类型，以区分本地和网络共享磁盘。 然后开始分别扫描本地文件，和网络共享文件，添加到不同的待加密文件列表中使用不同的线程分开加密。 文件加密过程中，该程序会跳过以下的文件名、文件目录名及文件后缀。 跳过的文件名： READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db 跳过的文件目录名： Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs 跳过的文件后缀名： 386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx 该勒索软件使用 AES 算法来加密文件内容，加密密钥由BCryptGenRandom()函数生成的随机数组成，加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密，该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。 加密过程完成后，该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件，并不断写入 16384字节的随机数据，直到磁盘上没有可用空间，最后再删除该文件，以此来覆盖硬盘数据，防止从硬盘中恢复文件。 三、ATT&CK 下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。 四、新华三防护方案 新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前，新华三威胁情报特征库已支持相关IOC检测，病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。 五、IOC angryip[.]org angryipsca[.]com cdn-server-1[.]xiren77418[.]workers[.]dev cdn-server-2[.]wesoc40288[.]workers[.]dev ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264 c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af 24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355 1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47     转自FreeBuf，原文链接：https://www.freebuf.com/news/412262.html 封面来源于网络，如有侵权请联系删除

Executive SummaryResearchers at the Spark Research Lab (University of Texas at Austin)1, under the

In this video we demonstrate Sandfly's new file and directory stealth rootkit de-cloaking feature on

A vulnerability classified as critical has been found in Mozilla Thunderbird up to 91.3.x. This affects an unknown part of the component Composition Area Handler. The manipulation leads to code injection. This vulnerability is uniquely identified as CVE-2021-43528. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Thunderbird. It has been declared as critical. This vulnerability affects unknown code. The manipulation leads to memory corruption. This vulnerability was named CVE-2021-4129. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 5.3.6. It has been classified as critical. This affects the function rtl_p2p_noa_ie of the file drivers/net/wireless/realtek/rtlwifi/ps.c. The manipulation leads to buffer overflow. This vulnerability is uniquely identified as CVE-2019-17666. Access to the local network is required for this attack to succeed. There is no exploit available.

A vulnerability has been found in Linux Kernel up to 5.0.10 and classified as critical. Affected by this vulnerability is the function tcp_ack_update_rtt of the file net/ipv4/sysctl_net_ipv4.c. The manipulation leads to integer overflow. This vulnerability is known as CVE-2019-18805. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Mozilla Firefox. It has been classified as critical. This affects an unknown part. The manipulation leads to memory corruption. This vulnerability is uniquely identified as CVE-2021-4129. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.