Aggregator

Robert Boyce on Accenture's Strategy for Assessing the Behavior of Ransomware Gangs
Accenture Global Cyber Resilience Lead Robert Boyce outlines why organizations must assess the stability of ransomware groups before deciding how to respond to extortion threats. He outlines how trustworthiness of ransomware gangs can affect the likelihood of receiving decryption keys after payment.

据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

美国达拉斯地区法官 Ada Brown 阻止了 FTC 的竞业禁止协议禁令，理由是 FTC 无权实施如此广泛的监管规定，也没有充分理由实施全面禁令。竞业禁止协议禁止员工加入竞争的企业或创办自己的企业。FTC 今年早些时候以 3 票对 2 票的微弱多数禁止了几乎所有职业的竞业禁止协议。这一决定遭到了代表企业主的美国商会的反对，商会主席兼 CEO Suzanne Clark 声称这是非法的权力扩张，会让美国工人，企业以及经济处于竞争劣势。Ada Brown 是前共和党总统特朗普任命的，FTC 表示它在考虑上诉。

快来看看有没有你pick的月饼口味！

Ответственность за взлом возложена на известную киберпреступную группировку.

UK political donation sites are highly vulnerable to bot attacks and fraud, risking donor information and campaign funds.

The post Security Alert: U.K. Political Donation Sites at Risk appeared first on Security Boulevard.

近日，美国知名建筑设计公司 CannonDesign（佳能公司）向其 13000 多名客户发送了数据泄露通知，告知他们黑客在2023年初的一次攻击中侵入并窃取了公司的网络数据。 公司在通知中说明，安全事件发生在2023年1月19日至25日期间，涉及未经授权的网络访问和数据泄露。尽管公司于2023年1月25日发现了入侵行为，但调查工作直到2024年5月3日才完成，整个过程持续了超过三个月。 调查结果显示，攻击者可能获取了包括姓名、地址、社会安全号码（SSN）和驾驶执照号码在内的个人信息。为了降低个人数据泄露的风险，公司将为受影响的个人提供Experian提供的24个月信用监控服务，但该措施显著滞后。 Cannon Design 没有明确指出攻击者的身份，但其发言人向 BleepingComputer 证实，此次披露的信息与 2023 年初发生的 Avos Locker 勒索软件攻击有关。 该公司还表示，尽管数据已在多个网站上公布，但目前尚未发现任何滥用被盗信息的行为。 Avos Locker勒索软件攻击 2023 年 2 月 2 日，Avos Locker 勒索软件团伙宣布对 CannonDesign 进行了攻击，声称掌握了 5.7 TB 的被盗数据，包括公司和客户文件。 Avos Locker的原始声明 在勒索未果后，数据被转交给了 Dunghill Leaks，该组织于 2023 年 9 月 26 日发布了被盗的 2TB 数据，内容包括数据库转储、项目示意图、招聘文件、客户详细信息、营销材料、IT 和基础设施细节以及质量保证报告。 被盗数据随后出现在 Dunghill Leaks 网站上 Dunghill Leaks 是由 Dark Angels 勒索软件组织于 2023 年 4 月推出的数据泄露网站，用于向受害者施压，迫使他们支付赎金。 2024 年 2 月，同一数据集在暗网中的黑客论坛上发布，包括 ClubHydra，而数据集的一部分在 2024 年 7 月通过 torrent 在 Breached Forums 上分享的。 黑客在 clearnet 黑客论坛上免费分享的部分数据 BleepingComputer 已联系 CannonDesign，确认此次披露的数据泄露与已在网上流传一年多的同一数据集有关，但尚未得到任何回复。 CannonDesign 是一家总部位于美国的著名建筑、工程和咨询公司，是全球最具创新力的建筑公司之一，以其在学术建筑、医院和体育场馆等领域的卓越项目而闻名，参与的重要项目包括明尼苏达大学健康诊所和外科中心、马里兰大学多功能体育场等。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

В чем разница между AppSec и DevSecOps, сколько стоит безопасная разработка и как согласовать бюджет на внедрение новых процессов — рассказывает Светлана Газизова.

软件介绍 EdrawMind(万兴亿图脑图)是一款多平台协作思维导图软件和头脑风暴工具，提供丰富的布局、样式、主题及配色方案，集成拥有数万幅原创思维导图作品的思维导图社区，涵盖教育、职场、自我提...

通过研究此款app，我学到了不少东西，无论是双向客户端验证还是so层解密等等，都让我受益匪浅，怎么说呢，逆向的道路永无止境，只有不断学习；支持正版，此内容仅供交流学习，不提供任何破解成品；感谢大家支持，一起交流学习

A flaw in millions of RFID cards manufactured by Shanghai Fudan Microelectronics allows these contactless cards to be cloned instantly. Researchers from security firm Quarkslab discovered a backdoor in millions of RFID cards manufactured by the Chinese chip manufacturer Shanghai Fudan Microelectronics. The experts announced the discovery of a hardware backdoor and successfully cracked its […]

Атака на Parcl едва не привела к блокчейн-катастрофе.

Cybersecurity researchers at Sonar have recently uncovered Roundcube flaws pertaining to Webmail software. Threat actors can exploit these Webmail software security flaws to execute malicious JavaScript code and steal emails and passwords. In this article, we dive into details of the potential exploits and uncover the vulnerabilities involved. Let’s begin! Roundcube Flaws: Initial Discovery And […]

The post Alert: Roundcube Flaws Put User Emails And Passwords At Risk appeared first on TuxCare.

The post Alert: Roundcube Flaws Put User Emails And Passwords At Risk appeared first on Security Boulevard.

A vulnerability classified as critical was found in Linux Kernel up to 4.19.269/5.4.228/5.10.163/5.15.88/6.1.6. Affected by this vulnerability is an unknown functionality of the component virtio. The manipulation leads to use after free. This vulnerability is known as CVE-2022-48899. The attack needs to be initiated within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Linux Kernel up to 6.1.6. Affected is the function gem_context_register of the component drm. The manipulation leads to use after free. This vulnerability is traded as CVE-2023-52913. The attack needs to be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.1.6. It has been rated as problematic. This issue affects some unknown processing of the component io_uring. The manipulation leads to denial of service. The identification of this vulnerability is CVE-2023-52914. The attack can only be initiated within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.1.6. It has been declared as critical. This vulnerability affects the function pn533_usb_send_frame of the file mm/kasan/shadow.c. The manipulation leads to use after free. This vulnerability was named CVE-2023-52907. The attack can only be done within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 5.4.228/5.10.163/5.15.88/6.1.6. It has been classified as problematic. This affects the function nla_get_range_unsigned in the library lib/nlattr.c. The manipulation leads to insufficient verification of data authenticity. This vulnerability is uniquely identified as CVE-2023-52906. The attack needs to be approached within the local network. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Linux Kernel and classified as critical. Affected by this issue is the function snd_usb_pcm_has_fixed_rate of the component ALSA. The manipulation leads to null pointer dereference. This vulnerability is handled as CVE-2023-52904. Access to the local network is required for this attack to succeed. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Linux Kernel up to 5.10.164/5.15.88/6.1.6 and classified as critical. Affected by this vulnerability is the function __io_cqring_overflow_flush of the file io_uring/io_uring.c. The manipulation leads to Privilege Escalation. This vulnerability is known as CVE-2023-52903. Access to the local network is required for this attack. There is no exploit available. It is recommended to upgrade the affected component.