Aggregator

虽然网络安全行业裁员降薪一片哀嚎，但是网络犯罪组织却“求贤若渴”。 根据Cato Networks发布的《2024年第三季度SASE威胁报告》，网络犯罪趋于“专业化”，开始积极招募渗透测试员来优化勒索软件性能。同时，未授权的人工智能（影子AI）的流行正威胁企业数据安全和合规性。 报告总结了2024年网络安全领域的四大新趋势，如下： 1 勒索软件“研发升级”：积极招募渗透测试员 Cato Networks的报告揭示，勒索软件团伙正在积极招募渗透测试员，以测试和提高其勒索软件的可靠性。通过模拟攻击，渗透测试员可以大大提高勒索软件在企业环境中部署的成功率。 “勒索软件是当今网络安全领域最普遍的威胁之一，几乎所有企业和消费者都可能受到影响，”Cato Networks首席安全策略师Etay Maor指出，“我们观察到这些团伙正在努力通过招募渗透测试员来优化他们的攻击手段，为未来的攻击做好准备。” 这一趋势反映出勒索软件正在走向“企业化”和“专业化”，试图通过技术手段提升攻击成功率，这对企业网络安全防御提出了更高的要求。 2 数据隐私的头号威胁：影子AI 所谓影子AI，是指未经IT部门或安全团队批准的AI工具和应用程序在企业内部的私自使用。这种行为通常绕过正式的审查流程，给企业的安全合规性带来隐患。 Cato Networks监控的数百种AI应用中，有10款被企业用户广泛采用（如Bodygram、Craiyon、Otter.ai、Writesonic等）存在数据泄漏风险。报告指出，这些应用最主要的风险在于数据隐私问题。员工通过影子AI工具处理敏感信息，可能无意间导致信息泄露。 “影子AI是2024年浮现的一大安全威胁，”Maor表示，“企业必须警惕未授权AI工具的使用，并教育员工避免无意中暴露敏感数据。” 3 打击隐蔽威胁的关键：TLS流量检视 传输层安全（TLS）流量的加密使得恶意活动更难被检测到，但许多企业由于担心影响正常业务，选择不启用TLS流量的检视或只对部分流量进行检查。据Cato Networks的研究，只有45%的企业启用了TLS检视，其中仅有3%的企业对所有TLS加密会话进行全面检测。 报告显示，在启用TLS检视的企业中，阻止的恶意流量比未启用TLS检视的企业高出52%。此外，企业在TLS流量中成功拦截了60%的已知漏洞利用行为（包括Log4j、SolarWinds和ConnectWise相关的CVE漏洞）。 4 网络犯罪分子的首选策略：品牌滥用 网络犯罪分子也在积极利用知名品牌的影响力实施网络攻击。通过域名抢注（Cybersquatting），他们冒用知名品牌的域名，进行网络钓鱼、传播恶意软件、托管盗版软件，甚至实施欺诈。 攻击者冒充知名品牌不仅能增强攻击的可信度，还能绕过许多传统的安全检测手段，给企业和消费者带来巨大风险。企业需要加强品牌保护策略，同时通过安全教育提高用户对域名和网络钓鱼攻击的警惕性。       转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_pNLKfPKFQDvWFfUzYePPg 封面来源于网络，如有侵权请联系删除

供应链管理公司 Blue Yonder 警告称，勒索软件攻击对其服务造成了严重破坏，并影响了英国的杂货店连锁店。 Blue Yonder（前身为 JDA Software）是松下的子公司，年收入超过 10 亿美元，全球拥有 6,000 名员工。 该公司为零售商、制造商和物流供应商提供人工智能驱动的供应链解决方案，包括需求预测、库存优化和运输管理。 其 3,000 名客户中包括 DHL、雷诺、拜耳、莫里森、雀巢、3M、特易购、星巴克、Ace Hardware、宝洁、桑斯伯里和 7-Eleven 等知名组织。 勒索软件攻击破坏供应链 周五，该公司警告称，由于前一天（11 月 21 日）发生的勒索软件事件，其托管服务托管环境正在遭遇中断。 公告中写道：“2024 年 11 月 21 日，Blue Yonder 的托管服务托管环境出现中断，经确定是勒索软件事件导致的。” “自从得知这一事件以来，Blue Yonder 团队一直在与外部网络安全公司密切合作，以在恢复过程中取得进展。我们已经实施了多项防御和取证。” lue Yonder 声称在其公共云环境中未检测到任何可疑活动，并且仍在处理多种恢复策略。 托管服务环境是指 Blue Yonder 代表其客户运营的基础设施和系统，通常包括 SaaS 平台和用于供应链运营的云托管解决方案。 正如预期的那样，这直接影响到了客户，英国连锁杂货店 Morrisons 的一位发言人向媒体证实，他们已经恢复了较慢的备份流程。 Sainsbury 告诉 CNN，他们已经制定了应急计划来克服这一中断。 周六的更新通知客户，受影响的服务仍在继续恢复，但目前还不能透露全面恢复的具体时间表。 周日发布的另一条更新消息重申了同样的观点，敦促客户在未来几天内关注 Blue Yonder 网站上的客户更新页面。 截至发稿时，该公司尚未发布有关情况的最新消息，因此推测托管服务环境仍然受到影响。 尚未看到任何勒索软件团伙宣布对 Blue Yonder 攻击事件负责。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/wfhGm_pYJ1EjyddcmPJAiA 封面来源于网络，如有侵权请联系删除

Coffee store giant Starbucks was among other organizations affected by a ransomware attack this month on cloud managed service provider Blue Yonder, a Panasonic subsidiary that has more than 3,000 customers. Two UK grocery chains also were impacted.

The post Supply Chain Ransomware Attack Hits Starbucks, UK Grocers appeared first on Security Boulevard.

臭名昭著的朝鲜网络间谍组织 “拉扎罗斯集团”（Lazarus Group）的武器库中又多了一项隐蔽技术：在基于 Unix 的系统（如 macOS 和 Linux）中滥用 xattr（即扩展文件属性）。根据安全研究员 Tonmoy Jitu 的分析，这种被称为 RustyAttr 的方法利用 macOS 元数据隐藏恶意有效载荷，躲避传统检测工具和杀毒软件的攻击。 xattr 命令通常用于存储 Finder 标记或隔离标志等元数据，它还可以在不改变文件可见内容的情况下将二进制数据嵌入文件。虽然对合法目的有用，但它也为攻击者提供了隐藏恶意脚本的途径。正如 Jitu 解释的那样： “xattr 与 Windows 备用数据流（ADS）非常相似，它提供了一种在不改变文件可见内容的情况下将元数据嵌入文件的机制。” 据报道，由 Lazarus Group 开发的 RustyAttr 木马利用这种元数据在被入侵系统中持续存在。由于嵌入了扩展属性，它的恶意有效载荷可以绕过 macOS Gatekeeper 等传统文件扫描工具。Jitu 的分析强调了该木马的能力： “RustyAttr木马能够绕过文件系统的传统监控工具，直接从扩展属性中获取并执行恶意脚本。” Jitu 对恶意文件 DD Form Questionnaire.zip 的调查揭示了 RustyAttr 的感染链。该木马隐藏在与应用程序文件（如 .app 捆绑程序）链接的元数据中。一个突出的发现是测试属性，它包含一个恶意 shell 命令，用于下载和执行其他有效载荷。 该过程包括： 在元数据中嵌入命令： 恶意 shell 命令存储在 com.example.hidden_data 等属性中。 执行隐藏有效载荷： 这些命令会下载诱饵文件（如 PDF），并通过 AppleScript 执行 shell 脚本。该命令将 PDF 文件下载到特定位置……然后从 URL 获取 shell 脚本并通过 AppleScript 执行。 通过泄漏的证书持久化： 该木马最初使用泄露的证书签名，可绕过安全检查，直到证书被吊销。 与 RustyAttr 相关联的恶意基础架构进一步将其与 Lazarus Group 联系起来。Jitu 指出 “恶意 curl 命令中使用的域被标记为恶意域……与已知威胁行为者基础设施相关的 IP 地址相连。” 此外，该组织还采用了社会工程学策略，将 RustyAttr 伪装成合法的 PDF 文件或系统实用程序，诱骗用户执行。 尽管功能强大，但 RustyAttr 的技术仍未列入 MITRE ATT&CK Framework，这让防御者对这种微妙的攻击毫无准备。吉图强调了其中的风险： “通过将关键数据和有效载荷隐藏在文件元数据中，RustyAttr 可以躲避检测……允许攻击者长时间保持对被入侵系统的控制。”       转自安全客，原文链接：https://www.anquanke.com/post/id/302179 封面来源于网络，如有侵权请联系删除

Python 软件包索引（PyPI）软件仓库的管理员已经隔离了 “aiocpa ”软件包，因为该软件包在新的更新中包含了通过 Telegram 外泄私钥的恶意代码。 该软件包被描述为同步和异步 Crypto Pay API 客户端。该软件包最初于 2024 年 9 月发布，迄今已被下载 12100 次。 将 Python 库隔离后，客户端就无法继续安装，其维护者也无法对其进行修改。 网络安全机构Phylum上周分享了软件供应链攻击的细节，该机构称，软件包的作者在PyPI上发布了恶意更新，同时在GitHub的库中保持清洁，试图逃避检测。 目前还不清楚最初的开发者是恶意更新的幕后黑手，还是他们的证书被其他威胁行为者泄露。 恶意活动的迹象首次出现在 0.1.13 版本的库中，其中包括对 Python 脚本 “sync.py ”的修改，该脚本的目的是在安装软件包后立即解码并运行一段混淆代码。 Phylum说：“这个特殊的blob被递归编码并压缩了50次，”Phylum补充说，它被用来使用Telegram机器人捕获并传输受害者的Crypto Pay API令牌。 值得注意的是，Crypto Pay 被宣传为基于 Crypto Bot（@CryptoBot）的支付系统，允许用户接受加密货币支付，并使用 API 向用户转账。 这一事件意义重大，尤其是因为它凸显了在下载软件包之前扫描其源代码的重要性，而不仅仅是检查其相关的软件仓库。 “正如这里所证明的那样，攻击者可以在向生态系统分发恶意软件包的同时，故意维护干净的源代码库，”该公司表示，并补充说，“这次攻击提醒我们，软件包之前的安全记录并不能保证其持续的安全性。” 软件包 aiocpa 已正式从 PyPI 软件源中删除。     转自安全客，原文链接：https://www.anquanke.com/post/id/302189 封面来源于网络，如有侵权请联系删除

Researchers have discovered vulnerabilities in the update process of Palo Alto Networks (CVE-2024-5921) and SonicWall (CVE-2024-29014) corporate VPN clients that could be exploited to remotely execute code on users’ devices. CVE-2024-5921 CVE-2024-5921 affects various versions of Palo Alto’s GlobalProtect App on Windows, macOS and Linux, and stems from insufficient certification validation. It enables attackers to connect the GlobalProtect app to arbitrary servers, the company confirmed, and noted that this may result in attackers installing malicious … More →

The post Researchers reveal exploitable flaws in corporate VPN clients appeared first on Help Net Security.

威胁组织利用过时的 Avast Anti-Rootkit 驱动程序来逃避检测、禁用安全工具并破坏目标系统。 Trellix 研究人员发现了一个恶意软件活动，该活动滥用易受攻击的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys) 来获取对目标系统的更深入访问权限、禁用安全解决方案并获得系统控制权。 这种策略会破坏受信任的内核模式驱动程序，将其转变为终止保护进程和破坏受感染系统的工具。 威胁组织针对多种安全产品，包括 Avast、ESET、McAfee、Microsoft Defender、SentinelOne、Sophos 和 Trend Micro。 Trellix 发布的报告指出：“恶意软件 (kill-floor.exe) 的感染链始于释放合法的 Avast Anti-Rootkit 驱动程序 (aswArPot.sys)。 恶意软件将合法的内核驱动程序作为‘ntfs.bin’释放到‘ C:\Users\Default\AppData\Local\Microsoft\Windows ’目录中。” “一旦合法的内核驱动程序被删除，恶意软件就会使用服务控制 (sc.exe) 创建服务“aswArPot.sys”，该服务会注册驱动程序以执行进一步的操作。安装并运行驱动程序后，恶意软件将获得内核级系统访问权限，从而能够终止关键安全进程并控制系统。” Avast Anti-Rootkit 驱动程序 aswArPot.sys 在内核级别运行，允许恶意软件获得对操作系统的不受限制的访问权限。 该恶意软件包含与各个供应商的产品相关的 142 个硬编码安全进程名称列表。 安全专家建议组织实施 BYOVD （自带易受攻击的驱动程序）保护，以保护系统免受使用易受攻击的驱动程序的攻击。 这些攻击利用合法但有缺陷的驱动程序来获得内核级访问权限，从而绕过安全性。部署专家规则以根据其独特签名或哈希值检测和阻止此类驱动程序至关重要。       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/eWCIXhbkY91DxibBwbauXQ 封面来源于网络，如有侵权请联系删除

昨天（11月25日），微软的多项核心服务（包括 365、Exchange Online、Teams 和 Outlook）再次遭遇全球性的大规模中断，用户随后在社交媒体上报告了一系列问题，如无法发送邮件、网站崩溃及出现错误页面。在事故发生的6小时内，Downdetector已经收到了数千份报告，受影响的用户表示他们还遇到了连接其他服务的问题，包括OneDrive、Purview、Copilot以及Outlook Web和Desktop。 微软承认确实存在该问题，并在 X 平台发布声明称，正在回滚相关变更并调查其他可能的缓解措施。微软同时指出，部分用户在访问 Exchange Online 和 Microsoft Teams 日历功能时遇到障碍，并已在状态页面上列出受影响的服务和使用场景。 这不禁让很多用户再次回忆起“微软全球蓝屏”事件，虽然此次服务中断事件影响远小于“蓝屏事件”，但涉及的服务依然对用户的日常工作和通信产生重大干扰。微软表示，将继续努力解决问题，并确保服务尽快恢复正常。 微软表示，“虽然我们继续努力缓解问题，但已经在更多信息部分添加了受影响的服务和场景的综合列表。” 在管理中心的事件报告中，微软确认该中断阻止客户通过网页版Outlook、Outlook桌面客户端、具象状态传输（REST）和Exchange ActiveSync（EAS）访问Exchange Online。该公司还表示，一些客户可能在Microsoft Fabric、Microsoft Bookings和Microsoft Defender for Office 365中执行操作时遇到问题。 虽然Remond只分享了中断是由“最近的更改”引起的，但微软在故障11个小时后，选择在受影响的基础设施上部署了修复程序，重新启动了受影响的系统。 微软称，“我们已经开始部署修复程序，目前正在受影响的环境中推进。在此过程中，我们开始对一部分处于不健康状态的机器进行手动重启。我们正在监控修复程序的进展，该修复程序已部署到大约60%的受影响环境中。我们正在继续对剩余受影响的机器进行手动重启。” 截止到25日12点33分（ EST ），根据微软的说法，部署的修复程序尚未导致完全的服务恢复。“修复程序已部署90%，根据遥测数据，服务可用性正在恢复。完成修复的预计时间尚不清楚。正在进行目标服务器重启，以解决路由服务问题，优先考虑当前处于工作时间或开始工作日的客户。 ” 18点25分（ EST ），微软分享了此次事件的更多信息，称事故是由“一个导致通过服务器路由的重试请求数量激增的更改引起的，影响了服务可用性。我们的团队正在积极执行后续行动，并将根据需要启动额外的工作流，以完全解决问题。感谢您的耐心，我们将努力恢复全部功能。 ”     转自Freebuf，原文链接：https://www.freebuf.com/news/416161.html 封面来源于网络，如有侵权请联系删除

Discover key highlights from Tanya Janca's talk at The Elephant in AppSec Conference on shifting security to be present throughout the entire Software Development Lifecycle.

The post The Elephant in AppSec Talks Highlight: Shifting Left Doesn’t Mean Anything Anymore appeared first on Security Boulevard.

3 min readThis step-by-step resource helps you deploy workloads, configure policies, and explore Aembit’s approach to securing non-human identities.

The post Secure Workload Access in Minutes with Aembit’s New QuickStart Guide appeared first on Aembit.

The post Secure Workload Access in Minutes with Aembit’s New QuickStart Guide appeared first on Security Boulevard.

网络安全市场中的AI价值正在经历前所未有的增长。根据Allied的一份市场研究报告，2022年市场价值为192亿美元，预计到 2032 年将达到惊人的1548 亿美元，复合年增长率（ CAGR ）为23.6%。 人工智能（AI）正在改变网络安全，使企业能够更有效地检测、应对和减轻威胁。网络安全中的人工智能结合了机器学习（ML）和深度学习等先进技术，以提供实时的威胁检测、数据保护和系统监控。人工智能处理和分析大量数据的能力使其能够快速识别可能潜在的安全漏洞。随着网络攻击的复杂性和频率继续上升，人工智能已成为各大企业的关键工具。 推动AI 在网安市场中增长的因素 在金融、医疗等领域，人工智能的能力延伸到了分析用户行为和交易数据，以识别欺诈活动。金融机构正在利用人工智能实时检测欺诈行为，为组织及其客户提供更好的保护。医疗行业也正在采用人工智能来保护患者数据，确保患者的隐私性。 几个因素正在推动人工智能在网络安全市场中的加速增长。 网络攻击的数量和复杂性的增加是最重要的驱动因素之一。网络罪犯越来越频繁破坏系统，针对包括银行、医疗和政府在内的各个部门组织，迫切需要更有效和先进的网络安全解决方案。网络安全中的AI可以减少响应安全事件所需的时间，提高安全团队的工作效率。 此外，对物联网IoT和云技术的日益依赖为网络犯罪分子利用漏洞创造了新的机会。物联网设备产生的数据量不断增加，以及正在向云基础架构转移，为网络安全解决方案带来了挑战和机遇。人工智能在保护这些新技术方面别有成效，为企业提供了跨多个平台保护数据的能力。 AI在网络安全领域的全球性影响 网络安全市场的人工智能分为各种安全类型，包括网络安全、端点安全、应用安全和云安全。以2022年为例，网络安全部门占据了市场主导地位，占全球收入的近40%。 由于企业优先保护其网络免受外部和内部威胁，预计这一细分市场将继续处于领先地位。机器学习是人工智能的一个关键组成部分，它通过不断分析数据来识别恶意软件和检测内部风险，特别是在加密通信中。与此同时，云安全部门预计将经历更高增长，2023年至2032年的复合年增长率为27.4%。由于对可扩展性和灵活性的需要，对基于云的运营的日益转变预计将推动这一需求。 全球网络安全领域的人工智能市场在多个地区都在增长， 北美在2022年的市场份额最大。美国尤其关注网络安全，政府倡议如网络安全和基础设施安全局（CISA）推动加强数字安全措施。金融和医疗行业是该地区增长的主要驱动力，人工智能技术越来越多地用于检测和预防网络威胁。欧洲也是 AI 网络安全市场的重要参与者，特别是由于其严格的数据隐私法规，如通用数据与法规（ GDPR ）。而德国、英国和法国这样的国家同样处于人工智能应用的领先地位，公共和私营部门都优先考虑先进的安全解决方案。欧盟的《网络安全法》进一步推动了对于人工智能网络安全解决方案的需求，特别是对于实时威胁检测的需求。 在预测期内，亚太地区预计将成为增长最快的地区。中国、日本和印度等国家网络攻击的激增促使对基于人工智能的安全解决方案的投资增加。此外，5G网络的快速扩张和数字转型推动了对于由人工智能驱动的网络安全工具的需求，大大保护了关键基础设施。 面临的市场挑战与未来展望 虽然人工智能在网络安全市场的增长前景强劲，但存在可能阻碍其扩张的挑战。一个显著的障碍是基于人工智能的网络安全解决方案的高实施成本。特别是中小型企业，可能会发现难以投资于此类技术。此外，还缺少能够部署和管理这些先进系统的网络安全专业人员。 尽管存在这些挑战，网安市场前景仍然乐观。 网络攻击频率增加、监管要求日益严格以及数字化转型的持续推动预计将推动对人工智能网络安全解决方案的需求。人工智能技术的创新，如自然语言处理（NLP）和深度学习的集成，可能会提高网络安全系统的效率，从而进一步加速市场增长。       转自Freebuf，原文链接：https://www.freebuf.com/news/416163.html 封面来源于网络，如有侵权请联系删除

A vulnerability has been found in Zabbix up to 5.0.42/6.0.32/6.4.17/7.0.2 and classified as critical. This vulnerability affects unknown code. The manipulation leads to access to critical private variable via public method. This vulnerability was named CVE-2024-36463. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

数据显示，从 2010 年至 2021 年，全球新增艾滋病病毒感染人数下降近 22%，艾滋病相关死亡人数下降近 40%。这项研究由美国华盛顿大学卫生统计评估研究所开展，针对全球 204 个国家和地区进行调研。研究发现，2010 年至 2021 年间，全球新增艾滋病病毒感染人数由 211 万下降至 165 万，下降 21.9%。艾滋病相关死亡人数由 119 万减少至 71.8 万，下降 39.7%。研究显示，撒哈拉以南非洲地区和南亚地区是艾滋病发病率和死亡率降幅最大的地区。2010 年至 2021 年，撒哈拉以南非洲地区艾滋病发病率下降 35%，死亡率下降 43.2%；南亚地区艾滋病发病率下降 35.4%，死亡率下降 61.6%。与此同时，中欧、东欧和中亚地区艾滋病毒未受抑制人数增加了 116.1%，从 31 万增至 68 万。研究估计，到 2039 年艾滋病毒感染者人数将达到峰值的 4440 万人，之后开始逐步下降，2050 年减少到 4340 万人。北非和中东地区的艾滋病毒感染率预计将会上升，两个地区只有 67% 的感染者知道其感染状况。

The "MITRE Engenuity ATT&CK Evaluations: Enterprise" stand out as an essential resource for cybersecurity decision makers. Learn more from Cynet on what to expect in the upcoming 2024 MITRE ATT&CK Evaluation results. [...]

Authorities across 19 African countries have arrested 1,006 suspects and dismantled 134,089 malicious infrastructures and networks thanks to a joint operation by INTERPOL and AFRIPOL against cybercrime. Results of the operation (Source: INTERPOL) Operation Serengeti Operation Serengeti (2 September – 31 October) targeted criminals behind ransomware, business email compromise (BEC), digital extortion, and online scams – all identified as prominent threats in the 2024 Africa Cyber Threat Assessment Report. Over 35,000 victims were identified during … More →

The post Authorities disrupt major cybercrime operation, 1000+ suspects arrested appeared first on Help Net Security.

Wirral University Teaching Hospital has cancelled outpatient appointments as it responds to a cybersecurity incident