HackerNews

据新报告称，疑似俄罗斯黑客在新的间谍活动中将乌克兰军事和国防企业作为目标。 乌克兰军方计算机应急响应小组 (MIL.CERT-UA) 追踪到该活动背后的威胁组织为 UAC-0185，攻击者发送了网络钓鱼电子邮件，伪装成上周在基辅举行的合法国防会议的邀请。 该组织也称为 UNC4221，自 2022 年以来一直活跃，主要通过 Signal、Telegram 和 WhatsApp 等消息应用程序以及 Delta、Teneta 和 Kropyva 等当地军事系统窃取凭证，主要针对乌克兰军事人员。 据 MIL.CERT-UA 称，除了入侵账户之外，攻击者还选择性地发动网络攻击，以未经授权的远程访问乌克兰国防工业综合体和国防部队员工的计算机。 乌克兰尚未将该组织归咎于某个特定国家，但研究人员此前曾将UNC4221 与俄罗斯联系起来。该组织的策略和目标与莫斯科支持的黑客常用的策略和目标一致。 该组织使用知名工具来感染受害者的设备，包括 MeshAgent 和 UltraVNC（一种用于远程管理计算机系统的开源软件）。 8 月初，被追踪为 UAC-0198 的威胁组织使用基于 MeshAgent 的后门恶意软件感染了 100 多台乌克兰国家计算机。 根据网络安全公司 MalwareBytes 的分析，MeshAgent 可以通过多种方式入侵系统，最常见的方式是利用包含恶意宏的电子邮件活动。黑客还可以滥用UltraVNC 软件来控制目标系统并安装后门。 乌克兰军方和国防企业是黑客的常见目标，通常与俄罗斯有联系。7 月初，被追踪为 UAC-0180 的威胁组织试图使用伪装成无人机采购合同的恶意电子邮件访问乌克兰国防公司的系统。 在 6 月份的一次活动中，一个名为 Vermin 的组织使用 Spectr 恶意软件攻击了乌克兰武装部队，以窃取其设备中的敏感信息。 此前，CERT-UA 还警告称，乌克兰军事人员和国防服务可能遭受使用 DarkCrystal 恶意软件的网络攻击，这种恶意软件可能允许攻击者远程访问受害者的设备。 技术报告：https://cert.gov.ua/article/6281632     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ELFo_NAc7u8IJvOlJgVSLg 封面来源于网络，如有侵权请联系删除

上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 俄少数民族聚居区先行测试 根据美国非营利组织战争研究所（ISW）的报告显示，此次测试主要影响了俄罗斯少数民族聚居的地区，包括车臣、达吉斯坦和印古什。 互联网监测组织NetBlocks的数据显示，达吉斯坦的互联网中断持续了近24小时。 在此期间，用户无法访问许多国内外应用和网站，包括YouTube、谷歌、WhatsApp和Telegram等通讯应用，俄罗斯互联网巨头Yandex的一些服务也无法使用。据当地媒体报道，即使通过VPN也无法访问这些服务。 12月7日，位于北高加索地区的一家俄罗斯互联网服务提供商表示，其已经知晓用户关于互联网访问的投诉，但对此情况无能为力。 俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次“主权互联网”测试的目标，是检验俄罗斯的基础设施在遭遇外部蓄意干扰时，是否能够“维持主要国外和国内服务的运行”。 据战争研究所分析，Roskomnadzor可能有意选择在穆斯林占多数且历史上存在不稳定的地区进行“主权互联网”测试。这是为了确保在不稳定局势下，可以迅速断开这些地区与某些服务（例如Telegram）的连接。此前，俄罗斯在巴什科尔托斯坦、达吉斯坦和萨哈等偏远地区发生抗议和社会动荡期间，也曾中断对流行通讯应用的访问。 俄罗斯Runet项目已推进多年 长期以来，俄罗斯一直试图打造一个独立于全球互联网的网络，通常被称为Runet，以确保符合俄罗斯法律的要求。Roskomnadzor此前已进行过Runet相关测试，但据专家称，这些测试并未取得成功，且持续时间短于预期。 然而，在俄罗斯与乌克兰战争期间，包括苹果、微软和谷歌在内的许多西方科技巨头暂停或限制其在俄罗斯的服务。因此，俄罗斯最近加快了与全球技术脱钩的步伐，并鼓励用户和企业转向俄罗斯的替代产品。 今年9月，《福布斯》俄语版报道，克里姆林宫近期投入约590亿卢布（约合6.48亿美元）以提升技术能力，目的是限制互联网流量并屏蔽西方平台。 上周末，俄罗斯互联网管理部门还宣布，可能会限制国内访问包括GoDaddy、AWS和HostGator在内的8家外国托管服务提供商，原因是这些公司未能遵守相关要求。 Roskomnadzor声称，这些外国提供商的服务器上托管的信息“并不总是能够避免未经授权的访问”，因此“危及用户数据的保密性和商业安全”。 俄罗斯数字权利组织Roskomsvoboda的专家表示，随着对整个托管服务提供商的封锁，俄罗斯正步入“网络审查的新阶段”。这可能导致大量移动应用程序和网站变得无法访问。     转自安全内参，原文链接：https://www.secrss.com/articles/73363 封面来源于网络，如有侵权请联系删除

本文揭示了 DeepSeek 人工智能聊天机器人中的一个现已修补的安全漏洞的详细信息，如果成功利用，黑客可通过输入注入攻击方式控制受害者的账户。 安全研究人员 Johann Rehberger，他记录了许多针对各种人工智能工具的注入攻击，发现在 DeepSeek 聊天中提供”Print the xss cheat sheet in a bullet list. just payloads”的输入触发了 JavaScript 代码的执行，作为生成的响应的一部分——这是典型的跨站脚本（XSS）攻击。 XSS 攻击可能会产生严重后果，因为它们导致在受害者的网络浏览器上执行未经授权的代码。攻击者可以利用这些漏洞劫持用户的会话并访问与 chat.deepseek[.]com 域关联的 cookie 和其他数据，从而导致账户被接管。 “经过一些实验，我发现采取控制用户会话所需的全部是 chat.deepseek.com 域存储的 userToken，” Rehberger 表示，他补充道，可以使用特殊设计的提示来触发 XSS 并通过注入攻击访问被攻击用户的 compromised user’s userToken 。 提示包含了一系列的指令和一个 Base64 编码的字符串，DeepSeek 聊天机器人将其解码后执行 XSS 载荷，用于提取受害者的会话令牌，最终允许攻击者冒充用户。 与此同时，Rehberger 还展示了 Anthropic 的Claude Computer Use 可以通过提示注入来滥用，Claude Computer Use 可以使开发人员通过光标移动、按键点击和键入文本来控制计算机。通过提示注入，攻击者可以滥用 Computer Use 来下载 Sliver 命令与控制（C2）框架，执行该框架，并与攻击者控制的远程服务器建立联系，从而自主运行恶意命令。 此外，还发现可以利用大型语言模型（LLM）的 ANSI 转义码输出来通过提示注入劫持系统终端。这种攻击主要针对 LLM 集成的命令行界面（CLI）工具，被命名为 Terminal DiLLMa 。 “十年前的功能为 GenAI 应用提供了意想不到的攻击面，” Rehberger 说。”对于开发者和应用设计者来说，考虑将 LLM 输出插入的上下文是很重要的，因为输出是不可信的，可能包含任意数据。” 这还不是全部，威斯康辛大学麦迪逊分校和圣路易斯华盛顿大学的学者进行的新研究揭示了 OpenAI 的ChatGPT 在给出的附加标记格式的外部图像链接渲染的问题，这些链接可能涉及淫秽和暴力内容，以一个普通的善意目标为借口。 此外，还发现通过提示注入，可以间接调用 ChatGPT 插件，而无需用户确认，甚至可以绕过 OpenAI 设定的限制，以防止渲染来自危险链接的内容，将用户的聊天记录泄露到由攻击者控制的服务器上。     转自Freebuf，原文链接：https://www.freebuf.com/news/417305.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 （WAF） 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞，该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF 提供商，包括 Akamai、Cloudflare、Fastly 和 Imperva，并极有可能导致拒绝服务（DoS）攻击、勒索软件攻击，甚至是全面的应用程序入侵。 研究人员发现，漏洞导致的错误配置影响了涉及财富1000强公司相关的14多万个域。其中，3.6万个后端服务器有 8000 个域名与之相连，这些对潜在的攻击者开放，容易受到 DDoS 攻击。 根据分析，有近 40% 的 “财富 100 强 “企业和 20%  “财富 1000 强 “企业都受到了影响，这凸显了错误配置的普遍性。 一些全球知名企业，包括摩根大通、Visa、英特尔、伯克希尔·哈撒韦和联合健康等，都被发现受到了影响。比如，例如，研究团队的发现迅速披露了直接影响摩根大通主网站 chase.com 的问题；对伯克希尔·哈撒韦子公司 BHHC 拥有的一个网域进行的 20 秒钟拒绝服务攻击试验，展示了该漏洞的严重性。 根据 Zafran 的技术分析，缺陷在于现今 WAF 提供商的双重功能，它们也作为内容交付网络 (CDN) 运行，以增强网络可靠性和缓存。当后端服务器不能正确检查流量时，这种架构设计就会出现漏洞，让攻击者绕过 WAF 保护，直接攻击后端基础设施。比如，攻击者可以通过将外部域映射到后端 IP 地址来利用这一漏洞。 这一发现凸显了 WAF/CDN 解决方案在设计和实施过程中存在的系统性缺陷。 有效的 WAF 通常是面向公众的网络应用程序的主要或唯一防御层，因此这种错误配置尤其令人担忧。 最近的趋势表明，攻击者越来越多地瞄准配置不佳的网络应用程序。  此外，针对暴露在外的网络应用程序的云勒索软件攻击也越来越常见。 此类攻击造成的经济损失通常十分惊人，例如，一次持续一小时的 DDoS 攻击会给金融组织造成大约 180 万美元的损失，而类似的宕机时间给大型披萨连锁店造成的损失可能高达 190 万美元。 缓解措施 为了防范与这种 WAF 错误配置相关的风险，Zafran 概述了几种缓解策略： IP 白名单（源 IP 访问控制列表）： 只允许 CDN 提供商的 IP 地址访问后端服务器。 这种方法虽然简单，但并非万无一失； 自定义标头中的预共享密钥： 使用带有预共享密钥的自定义 HTTP 标头来验证流量。 虽然短期内有效，但这需要定期轮换密钥； 双向TLS（mTLS）：采用客户端认证来验证服务器和 CDN。 这是最安全的方法，但需要专门的工具，可能并非所有常用的负载均衡器都支持这些工具。 Zafran 从 2024 年 8 月 23 日开始启动了为期 90 天的协调披露流程，以通知受影响的公司。该团队向 Visa、英特尔、摩根大通、伯克希尔·哈撒韦公司的 BHHC 和联合健康报告了该漏洞。值得注意的是，摩根大通和联合健康已经解决了这个问题，防止了潜在的漏洞利用。     转自Freebuf，原文链接：https://www.freebuf.com/news/417317.html 封面来源于网络，如有侵权请联系删除

Termite 勒索软件团伙正式宣称对软件即服务（SaaS）提供商 Blue Yonder 的11 月攻击负责。Blue Yonder（前身为 JDA Software，作为 Panasonic 子公司运营）是总部位于亚利桑那州的供应链软件供应商，为零售商、制造商和物流供应商提供全球服务。 该公司拥有超过 3000 名客户，包括微软、雷诺、拜耳、乐购、联想、 DHL 、3M 、Ace Hardware 、宝洁、嘉士伯、多尔、沃尔格林、西部数据和 7-Eleven 等其他知名公司。 BleepingComputer 此前曾听说 Termite 是对 Blue Yonder 进行攻击的幕后黑手，但尚无独立证实。此事件导致该公司软件的客户遭遇故障浪潮，包括美国咖啡连锁店星巴克、英国莫里森和英国 Sainsbury’s 超市链，原因是 Blue Yonder 托管环境的服务受到干扰。 星巴克表示，在勒索软件攻击影响跨越 10000 家门店的员工工作安排跟踪软件后，他们不得不手动支付咖啡师的工资。法国钢笔制造商 BIC 也因出货延迟而受到影响，而莫里森透露这一事件对其新鲜食品的仓库管理系统有所影响。 根据该公司官方的安全事件追踪页面上于周末新增的更新，Blue Yonder 已经重新上线一些受影响的客户，并正在与外部网络安全专家合作，帮助其他客户恢复正常的业务运营。 一周前，Blue Yonder 表示，其团队正在“日以继夜地努力应对此事件，并继续取得进展”。虽然该公司尚未透露有多少客户受到影响，攻击者是否从其受损系统中窃取了任何数据，但 Termitr 勒索软件团伙现在声称对此次攻击负责，并称他们窃取了 680GB 的文件。 “我们的团队获得了 680GB 的数据，如数据库转储、用于未来攻击的电子邮件列表（超过 16000 个）、文档（超过 200000 份）、报告和保险文件”，威胁行为者在其泄漏网站上声称。 Termitr 是一个新兴的勒索软件行动，根据威胁情报公司 Cyjax 的说法，该行动于 10 月中旬出现，并在其暗网门户上列出了来自世界各行各业的七个受害者，包括 Blue Yonder 在内。 与其他勒索软件团伙一样，这个网络犯罪团伙从事数据窃取、勒索和加密攻击。根据趋势科技的说法，他们正在使用在 2021 年9 月泄漏的 Babuk 加密程序的一个版本，将在受害者的加密系统上放置一个名为“How To Restore Your Files.txt”的赎金提示。 趋势科技还表示，由于存在代码执行缺陷，Termitr 的勒索软件加密程序仍然处于未完善状态，可能会过早终止。 Blue Yonder 的一位发言人表示，该公司正在调查勒索软件窃取数据的指控。“遭受勒索软件攻击后，Blue Yonder 与外部网络安全公司合作，加强了防御和取证协议。我们已经通知了受运营干扰影响的客户，并在整个恢复过程中与他们合作。” “我们知道有一家未经授权的第三方声称从我们的系统中获取了某些信息。我们正在与外部网络安全专家共同努力解决这些指控。调查仍在进行中。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417312.html 封面来源于网络，如有侵权请联系删除

领先的心脏外科医疗设备制造商 Artivion 披露了 11 月 21 日的勒索软件攻击，该攻击扰乱了其部分业务并迫使其关闭部分系统。 该公司总部位于亚特兰大，在全球拥有 1,250 多名员工，在 100 多个国家设有销售代表。该公司还在佐治亚州亚特兰大、德克萨斯州奥斯汀和德国黑欣根设有制造工厂。 该公司在周一向美国证券交易委员会 (SEC) 提交的 8-K 文件中透露：“Artivion 的应对措施包括关闭某些系统、启动调查以及聘请外部顾问（包括法律、网络安全和取证专业人士）来评估、控制和补救事件。” 虽然 Artivion 在其提交给美国证券交易委员会的文件中没有直接提到勒索软件，但它披露攻击者加密了其部分系统并从受感染的系统中窃取了数据。 该公司表示：“此次事件涉及文件的获取和加密。公司正在努力尽快安全地恢复系统，并评估任何通知义务。” 该公司补充说，公司运营、订单处理和运输中断问题已基本得到解决，保险将承担与事件响应相关的费用。然而，Artivion 认为，它将产生保险未涵盖的额外费用。 尽管尚无勒索软件组织声称对此次攻击负责，但如果威胁组织的赎金要求在未来几天或几周内得不到满足，这种情况就有可能发生。 最近几周，美国医疗保健行业的其他组织也遭遇了勒索软件攻击，BianLian 网络犯罪团伙声称波士顿儿童健康医生 (BCHP) 遭受了网络攻击，并威胁称如果不支付赎金，他们就会泄露被盗文件。勒索软件攻击还迫使 UMC 医疗系统在 9 月份转移了部分患者。 本月初，安娜雅克医院证实，去年圣诞节遭受的勒索软件攻击泄露了超过 310,000 名患者的敏感健康数据。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JICJ216PuzgFOfw9BSpclw 封面来源于网络，如有侵权请联系删除

Radiant Capital 表示，朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。 在 Mandiant 网络安全专家的协助下，对该事件进行了调查，并最终确定了攻击原因，他们表示，此次攻击是由朝鲜黑客组织 Citrine Sleet（又名“UNC4736”和“AppleJeus”）发起的。 Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。 该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性，并在社区驱动的系统下运行，使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。 2024 年 10 月 16 日，Radiant宣布其遭受入侵，事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。 黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。 此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。 矛头指向朝鲜黑客组织 在 Mandiant 的协助下对此次攻击进行内部调查后，Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。 攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。 该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，它在受感染的设备上建立了后门。 攻击中使用的诱饵 PDF 文件，来源：Radiant Radiant 表示，此次攻击设计精良，执行完美，绕过了所有现有的安全措施。 Radiant 解释说：“这种欺骗行为进行得如此天衣无缝，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP，攻击者仍然能够入侵多个开发者设备。” “前端界面显示良性交易数据，而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见。” Mandiant 高度确信，此次攻击是由 UNC4736 发起的，该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。 鉴于其安全措施被成功绕过，Radiant强调需要更强大的设备级解决方案来增强交易安全性。 至于被盗资金，该平台表示正在与美国执法部门和zeroShadow合作，追回尽可能多的资金。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig 封面来源于网络，如有侵权请联系删除  

上周黑客声称入侵了德勤英国分公司。德勤否认数据泄露，称与德勤网络之外的单个客户系统有关，德勤系统没有受到影响。 12月4日，勒索软件组织Brain Cipher宣称已入侵全球四大会计师事务所之一的德勤英国公司（Deloitte UK），并窃取了超过1TB的敏感数据，威胁要在本周早些时候公布其窃取的数据。 尽管有这些指控，德勤的一位发言人告诉媒体Infosecurity，其调查显示这些指控与德勤网络之外的单个客户的系统有关。“德勤系统没有受到影响，”发言人说。 Brain Cipher称给该公司10天的时间至12月15日，以回应威胁。 在其声明中，勒索软件团伙表示，“大公司并不总是能很好地完成工作。”帖子还表示，它将揭示德勤如何“没有遵守信息安全的‘基本点’”。 根据报告，Brain Cipher从事多管齐下的敲诈行为，托管了一个基于TOR的数据泄露网站。该威胁行为者的载荷基于LockBit 3.0。 2024年6月，Brain Cipher声称入侵印尼临时国家数据中心（PDNS），并破坏了该国的服务。团伙最初要求PDNS支付800万美元的赎金，但后来免费发布了解密器。 为什么伪造网络攻击索赔 尽管德勤已经与这次攻击划清界限，但这并不意味着处于勒索软件索赔目标组织不受影响。 “不影响目标组织系统并不意味着没有影响。”KnowBe4的首席安全意识倡导者Javvad Malik告诉Infosecurity。“仅仅暗示数据泄露就可能损害声誉，影响股价，或引发昂贵且不必要的反应。因此，即使是空洞的威胁，也和在拥挤的剧院里喊‘着火’一样具有同样的分量。” 德勤是一家私有公司，只有合伙人才能拥有公司的股权。关于为什么此类组织可能会捏造声明，Secureworks Counter Threat Unit威胁情报总监Rafe Pilling表示，网络犯罪分子这样做的原因有很多。 “众所周知，犯罪分子和国家支持的威胁行为者都会获取数据——可能来自知名品牌的客户或供应商——然后将其宣传为该大品牌的泄露，而不是分享数据的真正来源。”他说。 “这让他们有了更高的知名度，看起来更像是一个威胁。这种策略可能特别吸引那些希望在竞争激烈的犯罪环境中树立声誉的小型网络犯罪集团。” Malik对此表示赞同，并补充说：“这可能是为了提高犯罪团伙的声誉，试图获得恶名，灌输恐惧，甚至可能引诱受害者采取不明智的行动，比如为他们不需要的解密密钥付费。”       转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员近日发现一种新的诈骗活动，利用虚假的商务视频会议应用程序来针对 Web3 技术公司的工作人员，并传播一种名为Realst 的信息窃取程序。 为了增强迷惑性和合法性，攻击者利用AI设立了虚假公司。Cado Security 的研究员表示，该公司主动联系目标建立视频通话，提示用户从网站上下载会议应用程序，也就是Realst信息窃取程序。 这一恶意活动被安全公司命名为 Meeten，因为攻击者使用的虚假网站名称分别为 Clusee、Cuesee、Meeten、Meetone 和 Meetio 等。 在实施过程中，攻击者通过 Telegram平台以寻找投资机会为幌子接近目标，诱导对方加入一个可疑平台上托管的视频通话。最终访问该站点的受害者将被提示下载 Windows 或 macOS版本的客户端，在macOS 上安装并启动后，会提示”当前版本的应用程序与 macOS 版本不完全兼容”，要求受害者输入系统密码才能正常使用该应用程序。 含有恶意软件的视频会议软件客户端下载页面 该技术已被 Atomic macOS Stealer、Cuckoo、MacStealer、Banshee Stealer 和 Cthulhu Stealer 等多个 macOS 窃取程序家族采用。 攻击的最终目的是窃取各种敏感数据，包括加密货币钱包中的数据，并将其导出到远程服务器。 该恶意软件还可以窃取 Telegram 凭证、银行信息、iCloud Keychain 数据以及 Google Chrome、Microsoft Edge、Opera、Brave、Arc、Cốc Cốc 和 Vivaldi 浏览器的 cookies。 而Windows 版应用程序 Nullsoft Scriptable Installer System (NSIS) 文件的签名很可能是从 Brys Software Ltd. 窃取的合法签名。 安装程序中嵌入了一个 Electron 应用程序，该应用程序被配置为从攻击者控制的域中检索窃取器可执行文件（一个基于 Rust 的二进制文件）。 这已经不是第一次有人利用假冒会议软件传播恶意软件了。 今年 3 月初，Jamf 威胁实验室披露，它检测到一个名为 meethub[.]gg 的假冒网站传播与 Realst 有关的窃取恶意软件。6月，Recorded Future 详细描述了一场名为 markopolo 的活动，该活动针对加密货币用户使用假冒的虚拟会议软件，通过 Rhadamanthys、Steelc 和 Atomic 等盗号软件来窃取用户的资产。 此外，研究人员也称，攻击者正越来越多地使用AI为其活动生成内容，以此快速创建逼真的网站，从而增加其骗局的合法性，并使可疑网站更难被发现。     转自Freebuf，原文链接：https://www.freebuf.com/news/417193.html 封面来源于网络，如有侵权请联系删除

美国国会下属监督机构政府问责局（GAO）发布了一份新报告，指出一些联邦机构未能在法律规定的截止日期前，完成物联网网络安全相关要求。 根据2020年出台的《物联网网络安全改进法案》要求，美国国家标准技术研究院（NIST）和管理与预算办公室（OMB）需制定安全采购物联网设备的相关指南。这些设备通常是连接到建筑、车辆或其他基础设施的联网技术和设备。该法案还要求23个联邦民事机构实施物联网网络安全要求，并由OMB建立豁免流程。 图：《物联网网络安全改进法案》的要求 根据GAO的报告，有3个机构表示未能在9月30日前完成物联网设备的清点工作，6个机构未提供完成清点工作的具体时间框架。此外，小企业管理局声称未使用任何物联网设备，因此无需开展清点工作。 GAO指出：“在OMB和各机构确保满足这些要求之前，这些机构将无法有效评估风险，也无法制定适当的安全要求或采取其他缓解措施。” 美联邦物联网威胁态势严峻 GAO强调，联邦机构对物联网技术的应用目的广泛，包括控制设备或设施的访问权限，以及监控系统和设备。物联网技术的广泛使用进一步凸显了适当网络安全协议的重要性，尤其是在物联网面临显著网络威胁的情况下。 司法部在2022年的报告中提到，一个俄罗斯的僵尸网络瞄准了大量物联网及运营技术设备，包括路由器、流媒体设备、时钟以及工业控制系统。今年早些时候，美国网络安全与基础设施安全局、国家安全局及联邦调查局联合评估认为，一个外国支持的网络团体已入侵了多个通信、能源、交通运输和水务组织的IT网络。 GAO写道：“这些技术面临严峻的网络威胁，这可能对组织运营与资产、个人隐私、关键基础设施乃至国家安全造成不利影响。随着网络威胁的日益复杂化，加强物联网与运营技术产品和服务的网络安全管理变得愈发紧迫。这些威胁包括蓄意攻击、环境干扰以及设备故障，可能危及美国的国家和经济安全利益。” 应尽快完成清点工作，以便开展风险评估 截至目前，在23个联邦民事机构中，只有国务院、财政部和核管理委员会完成了物联网设备清点工作。10个机构表示计划在2024财年结束前完成清点，另有3个机构计划在2025财年达成清点要求。 GAO建议，OMB应核实各机构报告的物联网网络安全豁免情况。6个机构获得了部分物联网豁免，但后续沟通显示，其中5个机构表示这些豁免事项不应被报告。在这5个机构中，4个已纠正了其豁免事项，1个取消了豁免。 此外，GAO建议以下机构应指示其首席信息官按时完成物联网设备的清点工作：教育部、卫生与公众服务部（HHS）、退伍军人事务部、劳工部、人事管理局、环境保护署、总务管理局、社会保障管理局以及美国国家航空航天局。同时，GAO建议HHS部长指示其首席信息官确保授予的物联网豁免符合OMB的相关要求。     转自安全内参，原文链接：https://www.secrss.com/articles/73287 封面来源于网络，如有侵权请联系删除

罗马尼亚的选举系统遭受了超过 85,000 次攻击，在总统选举前，俄罗斯黑客论坛上发布了泄露的凭证。 罗马尼亚情报局透露，该国选举系统遭受了超过 85000 次网络攻击。 威胁者获取了与选举相关网站的凭证，然后在总统选举前几天将其泄露在俄罗斯网络犯罪论坛上。 “情报部门还称，罗马尼亚官方选举网站的访问数据被公布在俄罗斯网络犯罪平台上。”路透社称：“这些访问数据可能是通过针对合法用户或利用合法培训服务器获取的。”路透社称，“该机构补充说，它已经发现了超过 85,000 次旨在利用系统漏洞的网络攻击。” 莫斯科否认对罗马尼亚选举系统发动过任何攻击。 罗马尼亚情报部门在一份解密文件中报告说：“攻击仍在继续，包括在选举日和选举后的当晚。攻击活动的运作模式和规模使我们得出结论，攻击者拥有攻击国家特有的大量资源。” 罗马尼亚安全部门的解密文件显示，亲俄总统候选人卡林-乔治斯库（Calin Georgescu）通过协调账户和付费广告在 TikTok 上进行了 “积极 ”的宣传。 在 11 月 24 日罗马尼亚总统大选前，卡林-杰奥尔杰斯库（Calin Georgescu）的民调起初仅为个位数，但后来却一举获胜，这引起了人们的怀疑。 2024 年 12 月 6 日，罗马尼亚宪法法院援引《宪法》第 146（f）条，出于对公平性和合法性的担忧，一致宣布整个总统选举过程无效。该废止令既影响了第 756/2024 号政府决定确定的选举日期，也影响了第 1061/2024 号政府决定批准的实施日程。法院下令全面重启选举进程，要求政府确定新的选举日期和相应的行动计划。该裁决是最终裁决，具有约束力，并将在《政府公报》上公布。 罗马尼亚情报机构还警告说，该国的选举系统仍然很脆弱，威胁者可能会再次入侵这些系统。 Bleeping Computer 透露，威胁分子从超过 33 个国家实施了 SQL 注入和 XSS 攻击。另一份报告揭露了一场影响活动，100 多名拥有 800 多万粉丝的罗马尼亚 TikTok 影响者被收买为亲俄候选人卡林-乔治斯库（Calin Georgescu）做宣传，每 2 万名粉丝可获得 100 多美元。 罗马尼亚对外情报局（SIE）认为，俄罗斯瞄准罗马尼亚是其影响东欧民主选举的广泛努力的一部分。由于支持北约和乌克兰，莫斯科将罗马尼亚视为 “敌国”。这些影响行动包括宣传、虚假信息和支持欧元怀疑论议程，旨在塑造对俄罗斯有利的公众舆论。虽然没有明确证实俄罗斯在罗马尼亚最近的袭击和活动中扮演了直接角色，但分析强调了俄罗斯在其他地方干预选举的历史。     转自安全客，原文链接：https://www.anquanke.com/post/id/302538 封面来源于网络，如有侵权请联系删除

Cyble 暗网研究人员记录了一个与俄罗斯有关的新威胁组织，该组织一直在破坏关键基础设施环境并篡改系统控制。 Z-Pentest 组织成立仅两个月，但已声称对至少 10 起运营技术 (OT) 系统进行了黑客攻击，其中包括最近未经证实的事件，威胁组织声称破坏了美国油井系统。 Cyble博客文章还研究了俄罗斯老牌威胁组织“人民网络军”（也称为“俄罗斯重生网络军”）的活动，该组织除了声称今年还至少八次入侵了美国水利系统。 这些黑客组织经常以支持乌克兰作为对美国和其他国家发动网络攻击的理由，其中包括加拿大、澳大利亚、法国、韩国、台湾、意大利、罗马尼亚、德国和波兰。 这两个俄罗斯组织都喜欢制造戏剧效果。例如，俄罗斯网络军发布了 8 月底和 9 月德克萨斯州和特拉华州供水系统遭破坏后，其成员篡改操作控制的屏幕录像（以下为德克萨斯州视频截图）。 德克萨斯州斯坦顿供水系统遭黑客攻击 今年 1 月，人民网络军发动攻击，导致德克萨斯州阿伯纳西和穆尔舒的蓄水箱溢出，成为头条新闻。 即使在通常不安全的关键基础设施领域中，供水和污水处理系统也被认为特别脆弱。 Z-Pentest 可能是新出现的威胁组织，10 月份才首次亮相，但在这个塞尔维亚威胁组织运作的两个月内，它已经声称至少 10 次破坏，并且在每次事件中都发布了成员篡改系统设置的视频。 根据 Cyble 的报告，在过去一周内，Z-Pentest 的活动不断升级，包括“破坏油井现场的关键系统，包括负责抽水、石油气燃烧和石油收集的系统”。 一段时长 6 分钟的屏幕录像详细记录了该设施控制系统的视图，显示“据称在攻击活动期间访问和更改了油箱设定点、蒸汽回收指标和操作仪表板”。 目前还不清楚该石油设施位于何处，但该组织提出的另外两处美国石油设施主张似乎与已知的地点和公司相符。 黑客能够对关键基础设施造成多大的破坏？ 虽然黑客似乎能够访问敏感环境，但 Cyble 指出，目前尚不清楚他们能造成多大的破坏。研究人员表示，可编程逻辑控制器 (PLC)“通常包含可以防止破坏性行为发生的安全功能，但威胁组织可以访问此类环境这一事实仍然令人担忧”。 Cyble 还指出，近几个月来针对能源行业的威胁活动普遍增加。初始网络访问权限和零日漏洞在暗网市场上出售。Cyble 还指出，“在发生更大规模的入侵和攻击之前，暗网上就有能源网络访问凭证出售，这表明监控凭证泄露可能是防止日后发生更大规模入侵的重要防御措施。” Cyble 表示，“应该认真对待 Z-Pentest，因为该组织已展现出渗透这些环境、访问和修改操作控制面板的明显能力。” 研究人员还针对运营技术和关键基础设施环境提出了安全建议，指出它们通常无法承受停机，并且通常拥有无法修补的报废设备。 技术报告：https://cyble.com/blog/russian-hacktivists-target-energy-and-water-infrastructure/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/O1b9dZPahwn4ivsZz7ug9A 封面来源于网络，如有侵权请联系删除

Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。 DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。 DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。 它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。 “DroidBot是一种高级的Android远程访问木马（RAT）……具有通常与间谍软件相关的特性，能够拦截用户交互和窃取凭证。”Cleafy报告指出。 该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。 Cleafy强调，“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合，突显了DroidBot的复杂性和适应性。” 与传统的恶意软件活动不同，DroidBot作为恶意软件即服务（MaaS）运营，允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符，一个Telegram频道宣传DroidBot的功能，每月3000美元的费用。 宣传新Android机器人的论坛帖子 来源：Cleafy “DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说，并强调了这种方法提供的可扩展性和覆盖范围。 DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括： 键盘记录：捕获敏感输入，例如登录凭据。 覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。 类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。 远程控制：使攻击者能够模拟用户交互并操纵设备。 值得注意的是，DroidBot将MQTT用于其命令和控制（C2）基础设施，这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。 Cleafy的分析表明，DroidBot仍在积极开发中，具有占位符函数和不同级别的样本混淆。 调试字符串和恶意软件配置等证据表明，其开发人员是土耳其语使用者，针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。 DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。 正如Cleafy警告的那样，“真正的担忧点在于这种新的分发和合作模式，这将把攻击面的监控提升到一个全新的水平。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除  

趋势科技在一篇分析报告中表示： “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备，使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应用程序中的多个已知漏洞，要求用户定期更新软件以防止攻击。” Earth Minotaur 攻击的目标分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、尼泊尔、荷兰、挪威、俄罗斯、西班牙、瑞士、土耳其和美国。 MOONSHINE于 2019 年 9 月首次曝光，公民实验室将其使用归咎于其追踪的名为POISON CARP 的运营商，该运营商与威胁组织Earth Empusa 和 Evil Eye有重叠。 这是一种基于 Android 的漏洞利用工具包，已知利用各种 Chrome 浏览器漏洞来部署有效载荷，从而窃取受感染设备的敏感数据。 具体来说，包含针对各种应用程序的代码，例如 Google Chrome、Naver 以及嵌入应用内浏览器的即时通讯应用程序（例如 LINE、QQ、微信和 Zalo）。 根据趋势科技的说法，Earth Minotaur 与 Earth Empusa 没有直接联系。威胁组织使用升级版的 MOONSHINE 渗透受害者设备，随后用 DarkNimbus 感染它们。 新变种增加了漏洞库CVE-2020-6418，这是 V8 JavaScript 引擎中的类型混淆漏洞，在有报道称该漏洞已被用作0day漏洞武器后，谷歌于 2020 年 2 月对其进行了修补。 Earth Minotaur的攻击链 研究人员表示：“Earth Minotaur 通过即时通讯应用发送精心设计的消息，诱使受害者点击嵌入的恶意链接。他们在聊天中伪装成不同的角色，以提高社交工程攻击的成功率。” 这些虚假链接指向至少 55 个 MOONSHINE 漏洞工具包服务器之一，这些服务器负责在目标设备上安装 DarkNimbus 后门。 为了巧妙欺骗，这些 URL 伪装成看似无害的链接。 趋势科技表示：“当受害者点击攻击链接并被重定向到漏洞攻击包服务器时，它会根据嵌入的设置做出反应。攻击结束后，服务器会将受害者重定向到伪装的合法链接，以防止受害者注意到任何异常活动。” MOONSHINE 漏洞利用工具包的验证流程 当基于 Chromium 的浏览器不易受到 MOONSHINE 支持的任何漏洞攻击时，该工具包服务器被配置为返回一个钓鱼页面，警告用户应用内浏览器（名为XWalk的 Android WebView 的定制版本）已过期，需要点击提供的下载链接进行更新。 这会导致浏览器引擎降级攻击，从而允许威胁组织利用未修补的安全漏洞来利用 MOONSHINE 框架。 成功的攻击会导致 XWalk 的木马版本植入 Android 设备并取代应用程序中的合法版本，最终为 DarkNimbus 的执行铺平道路。 该后门据信自 2018 年以来就已开发并积极更新，它使用 XMPP 协议与攻击者控制的服务器进行通信，并支持详尽的命令列表来获取有价值的信息，包括设备元数据、屏幕截图、浏览器书签、电话通话记录、联系人、短信、地理位置、文件、剪贴板内容和已安装应用程序的列表。 它还能够执行 shell 命令、录制电话、拍照，并滥用 Android 的辅助服务权限来收集来自 DingTalk、MOMO、QQ、Skype、TalkBox、Voxer、微信和 WhatsApp 的消息。 最后但同样重要的是，它可以从受感染的手机上自行卸载。 MOONSHINE 漏洞攻击包所针对的漏洞和浏览器版本 趋势科技表示，它还检测到了 Windows 版本的 DarkNimbus，该版本可能是在 2019 年 7 月至 10 月期间制作的，但直到一年多后的 2020 年 12 月才开始使用。 它缺少 Android 版本的许多功能，但包含各种命令来收集系统信息、已安装应用程序的列表、击键、剪贴板数据、已保存的凭据和来自网络浏览器的历史记录，以及读取和上传文件内容。 尽管目前尚不清楚Earth Minotaur的具体起源，但观察到的感染链的多样性，加上功能强大的恶意软件工具，表明这是一个复杂的威胁。 趋势科技推测： “MOONSHINE 是一个仍在开发中的工具包，并已与多个威胁行为者共享，包括 Earth Minotaur、POISON CARP、UNC5221等。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/CpvqeklX_SUGfSDV2pbWlw 封面来源于网络，如有侵权请联系删除

英国国家犯罪局 (NCA) 宣布，一项名为“Destabilize”的联合执法行动摧毁了俄罗斯非法洗钱和现金运送网络以及与勒索软件、毒品和间谍活动有关的地下加密货币交易所。 NCA 领导的行动揭露了 Smart 集团和 TGR 集团这两个非法金融网络，这两个网络帮助俄罗斯精英规避国际制裁，并支持俄罗斯网络犯罪分子洗白非法利润。Smart 网络还被用来资助俄罗斯的间谍活动。 美国财政部外国资产控制办公室 (OFAC) 还制裁了与 TGR 集团有关的五名个人和四家实体。NCA 的国际合作伙伴还逮捕了第七名嫌疑人，是一名全球洗钱协助者。 NCA 表示：“NCA 协调的活动迄今已逮捕 84 人，其中许多人已服刑，并缴获了超过 2000 万英镑（3500 万美元）的现金和加密货币。” 复杂的犯罪网络在一个国家收集资金，然后在另一个国家提供等值资金，通常是通过将加密货币兑换成现金。这简化了西方犯罪集团产生的现金流动，并帮助寡头绕过制裁。 英国是这项活动的主要中心。数十亿美元的洗钱网络以一种此前不为当局或监管机构所知的方式运作，并隐藏在社区中。 调查人员发现全国各地大规模的货币兑换。街头现金交易之后，几乎立即出现了等值加密货币的转移。Smart 和 TGR 与俄罗斯金融业联系紧密，其全球影响力遍及 30 多个国家。 “我们首次能够找出俄罗斯精英、加密货币富豪网络犯罪分子和英国街头贩毒团伙之间的联系。将他们联系在一起的线索——Smart 和 TGR 的联合力量——直到现在才被发现。”NCA 运营总监 Rob Jones 表示。 “NCA及其合作伙伴已经从各个层面打击了这一犯罪活动。” Smart 集团由俄罗斯洗钱者 Ekaterina Zhdanova 领导。她指挥一家位于伦敦的现金快递公司，洗钱金额超过 1900 万美元。她还帮助勒索软件受害者以加密货币形式向 Ryuk 勒索软件集团支付超过 230 万美元疑似赎金，并与 TGR 成员合作转移了超过 200 万美元。 TGR 由乌克兰人乔治·罗西经营。该集团涉嫌隐瞒将受制裁的俄罗斯国有媒体组织今日俄罗斯（RT）的资金转移出境，以支持一家俄语媒体组织在英国的活动。 TGR 帮助将非法金融计划纳入全球金融体系，包括洗钱、未注册的现金和加密货币交易以及预付信用卡服务。其目的是掩盖资金来源。 NCA 表示：“Smart 和 TGR 的加密地址显示，他们经常接触 Garantex，这是一项加密货币交易服务，于 2022 年受到英国和美国的制裁。Garantex 与武器零部件交易有关。 ” OFAC 还制裁了拉脱维亚国民 Andrejs Bradens，他与多家 TGR 集团公司有联系，以及 Zhdanova 的两家关联公司：Khadzi-Murat Dalgatovich Magomedov 和 Nikita Vladimirovich Krasnov。 在其中一起案件中，NCA 和国际合作伙伴逮捕了一系列与谢缅·库克索夫及其同伙有关的信使，据信他们经营着一家地下加密货币交易所。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/2MEWWskREW-4GldVb0tRNg 封面来源于网络，如有侵权请联系删除

备份、恢复和数据管理解决方案的著名提供商 Veeam Software 发布了一个安全更新，以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞有可能使经过验证的攻击者执行恶意代码，未经授权访问敏感信息，并破坏连接系统的完整性。 其中最严重的漏洞 CVE-2024-40717 的 CVSS v3.1 得分为 8.8，表示严重程度较高。该漏洞可使攻击者以提升的权限执行任意代码，从而可能导致整个系统被入侵。此更新解决的其他漏洞包括： CVE-2024-42451： 允許存取以人類可讀格式儲存的憑證。 CVE-2024-42452：允許以提升的權限遠端上載檔案至連接的 ESXi 主機。 CVE-2024-42453: 允許控制和修改連接的虛擬基礎結構主機。 CVE-2024-42455: 助長不安全的反序列化，可能導致檔案刪除。 CVE-2024-42456： 授予访问特权方法和控制关键服务的权限。 CVE-2024-42457：通过远程管理界面暴露已保存的凭证。 CVE-2024-45204： 利用凭证处理权限不足，可能导致 NTLM 哈希值泄漏。 另一个漏洞 CVE-2024-45207 影响 Microsoft Windows 的 Veeam Agent。当未受信任用户可写的目录被添加到 PATH 环境变量时，利用该漏洞可实现 DLL 注入。虽然默认的 Windows PATH 不包括此类目录，但在错误配置的环境中，风险仍然很大。 Veeam 已在 Veeam Backup & Replication 12.3（构建 12.3.0.310）和 Veeam Agent for Microsoft Windows 6.3（构建 6.3.0.177）中修复了这些漏洞，并敦促所有用户立即升级到该版本。作为临时缓解措施，Veeam 建议从备份服务器上的 “用户和角色 ”设置中删除任何不受信任或不必要的用户。 强烈建议依赖 Veeam Backup & Replication 的组织立即采取行动，保护其关键数据和基础设施。     转自安全客，原文链接：https://www.anquanke.com/post/id/302459 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，臭名昭著的勒索软件组织 Brain Cipher 近日声称入侵了世界四大会计师事务所之一德勤，并从中窃取了1TB的压缩数据。 Brain Cipher是一家成立于 2024 年 6 月的新型勒索软件组织，因对全球组织的网络攻击而迅速”走红“。在针对印度尼西亚的攻击中，该组织曾让200多个政府机构的服务中断。 根据Brain Cipher 发出的声明，这次攻击暴露了德勤英国公司网络安全基础设施中的关键漏洞。他们计划发布有关此次数据窃取的详细信息，包括德勤涉嫌违反安全协议的证据、德勤与客户的合同协议、有关公司监控系统和安全工具的详细信息以及一些数据样例。 Brain Cipher 要求对方在 2024 年 12 月 15 日前做出回应。据悉，该组织已邀请德勤英国公司的企业代表以电子邮件的形式进行私下谈判，预示着存在支付赎金的可能。 根据 SentinelOne 的说法，Brain Cipher 针对多个关键行业和政府组织，并从事多管齐下的勒索。该组织在基于 TOR 的数据泄露网站上发布受害者，其恶意负载基于 LockBit 3.0的修改版本，网络钓鱼和鱼叉式网络钓鱼是该组织的主要初始访问媒介。 目前德勤英国公司尚未对这一事件进行官方回应，如果攻击事件属实，尤其是正如Brain Cipher 在声明中称”大公司并不总是能很好地完成他们的工作“（指未能尽到网络安全职责），其后果不仅将泄露机密商业信息、客户数据和财务记录，同时将对公司的专业声誉和客户关系带来巨大的负面影响。     转自Freebuf，原文链接：https://www.freebuf.com/news/417056.html 封面来源于网络，如有侵权请联系删除  

据BleepingComputer消息，一种名为“DroidBot”的新型安卓系统银行恶意软件试图窃取77 家加密货币交易所和银行应用程序的凭证，涉及英国、意大利、法国、西班牙、葡萄牙等多个国家。 据发现恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 （MaaS） 平台运行，每月的使用价格为3000美元。 尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其一个僵尸网络的分析显示，英国、意大利、法国、土耳其和德国发生了 776 起感染活动，表明其存在显著活跃的迹象，且该恶意软件似乎仍在积极开发中。目前，一些比较典型的凭证窃取对象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。 DroidBot 的开发人员可能是土耳其人，为威胁组织提供进行攻击所需的所有工具，包括恶意软件构建器、命令和控制 （C2） 服务器以及中央管理面板，可以从目标那里控制其操作、检索被盗数据和发出命令。通过对一个C2 基础设施的分析，已有17个威胁组织在使用该恶意软件。 DroidBot 的后台面板 有效负载构建器允许威胁组织自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址，此外还可以访问详细的文档、获得恶意软件创建者的支持，并访问定期发布更新的 Telegram 频道。 总而言之，DroidBot MaaS 操作使没有经验或技能较低的网络犯罪分子的进入门槛相当低。 模仿热门应用 DroidBot 通常伪装成 Google Chrome、Google Play 商店或“Android Security”，以诱骗用户安装恶意应用程序，主要功能包括： 键盘记录 – 捕获受害者输入的每次击键。 叠加 – 在合法的银行应用程序界面上显示虚假登录页面。 SMS interception （SMS 拦截）– 劫持传入的 SMS 消息，尤其是那些包含用于银行登录的一次性密码 （OTP） 的消息。 虚拟网络计算– VNC 模块使威胁组织能够远程查看和控制受感染的设备、执行命令以及使屏幕变暗以隐藏恶意活动。 要实现上述恶意功能，一个关键要素也在于DroidBot能够滥用 Android 的辅助功能服务来监控用户操作，并代表恶意软件模拟滑动和点击。因此，如果用户安装的应用程序请求非必要且敏感的权限，应该提高警惕并拒绝相关请求。 此外，建议安卓用户仅从官方应用商店下载程序，在安装时仔细检查权限请求，并确保 Play Protect 在其设备上处于活动状态。       转自Freebuf，原文链接：https://www.freebuf.com/news/417038.html 封面来源于网络，如有侵权请联系删除

日本计算机紧急响应小组（CERT）警告称 ，黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令，甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞，但目前暂无完整的修复补丁，预计将在2024年12月18日发布，因此在此之前用户将面临比较严重的风险。 上述三个零日漏洞在2024年11月13日被发现，包括信息泄露、远程任意操作系统命令执行和导致防火墙禁用的漏洞。 具体如下： CVE-2024-45841：敏感资源上的不当权限配置，导致低权限用户可以访问关键文件。 CVE-2024-47133：认证的管理员用户可以在设备上注入并执行任意操作系统命令，利用配置管理中的输入验证不充分漏洞。 CVE-2024-52464：固件中的未记录特性或后门可导致远程攻击者在无需认证的情况下，关闭设备防火墙并修改设置。 受影响的设备：这些漏洞影响UD-LT1和UD-LT1/EX设备，前者是为多功能连接解决方案设计的混合LTE路由器，而后者是工业级版本。 最新可用的固件版本v2.1.9仅解决了CVE-2024-52564漏洞，I-O Data表示其他两个漏洞的修复将在计划于2024年12月18日发布的v2.2.0版本中提供。比较糟糕的消息是，已经有客户因为这些漏洞而遭到黑客攻击。 I-O Data安全公告指出，“已收到使用混合LTE路由器UD-LT1和UD-LT1/EX的客户的咨询，这些客户报告了来自外部来源的潜在未经授权访问。” 在安全更新发布之前，I-O Data 建议用户实施以下缓解措施： 禁用所有互联网连接方式的远程管理功能，包括WAN端口、调制解调器和VPN设置。 仅限VPN连接的网络访问，以防止未经授权的外部访问。 将默认的“访客”用户的密码更改为超过10个字符的更复杂的密码。 定期监控和验证设备设置，以尽早检测未经授权的更改，并在检测到泄露时将设备重置为出厂默认设置并重新配置。 不过国内的企业用户不需要太过担心，因为I-O DATA UD-LT1和UD-LT1/EX LTE路由器主要在日本市场销售，旨在支持NTT Docomo和KDDI等多个运营商，并兼容该国的主要MVNO SIM卡。     转自Freebuf，原文链接：https://www.freebuf.com/news/417010.html 封面来源于网络，如有侵权请联系删除

美国网络安全巨头派拓网络（Palo Alto Networks）近日在加州圣克拉拉总部举办了“点燃巡回”（Ignite on Tour）系列活动，公司创始人兼首席技术官Nir Zuk发表了对2025年网络安全行业发展趋势的预测洞见。 在网络安全领域，Nir Zuk以直言不讳著称，拥有众多追随者。他曾大胆地称端点检测与响应（EDR）为“过时技术”，并评论某主要竞争对手为“收购失败的集中营”。 面对复杂的网络安全形势，组织必须解决其安全运营中心（SOC）效率低下的问题，同时为应对新兴威胁做好准备。Zuk认为，2025年将是行业转型的关键节点。他提出了通过现代化战略和先进技术重塑安全运营的愿景，并分享了对未来网络安全趋势的几点重要预测。 度量并缩短检测与响应时间 Zuk预测，安全行业的一项重大转变将是广泛采用平均检测时间（MTTD）和平均响应时间（MTTR）等指标，作为衡量安全绩效的核心标准。目前，大多数组织尚未建立针对这些指标的测量流程，导致表现令人堪忧。许多情况下，检测往往需要数周时间，响应则需要数天。这种低效使得网络犯罪分子有充足时间利用漏洞，窃取敏感数据、破坏运营并发动后续攻击。 Zuk表示：“对手已经高度自动化，他们可以轻松尝试数千种方法渗透你的基础设施，只要成功一次即可。一旦你错失任何环节，他们就会完成入侵，局势就会突然失控。2025年，组织必须开始认真衡量MTTD和MTTR。” 这一预测引人深思。长期以来，网络安全行业缺乏有效性评估的明确指标，而指标对于资源的合理分配至关重要。尽管企业在网络安全上的投入屡创新高，但漏洞发生的速度依然在加快。如果缺乏清晰的指标，企业很难决定资源投向。因此，Zuk的观点具有重要意义，企业应优先追踪MTTD和MTTR。 如果这些指标能够成为衡量网络安全成效的行业标准，SOC将更有针对性地减少导致检测和响应延迟的低效环节。此外，组织需要投资于工具、流程和策略，以提升这些指标。 AI驱动SOC架构兴起 Zuk的第二个预测是，SOC架构将迎来全面革新，缩短MTTD和MTTR至理想的几分钟内。传统的网络安全运营模式依赖人类分析师，使用多种工具检测并响应威胁，已经无法满足需求。未来的SOC将主要依靠AI处理常规检测和响应，而人类则专注于解决更复杂的案例。 为实现这一转型，企业需要逐步淘汰传统工具，如SIEM、EDR和SOAR。这一过程不会一蹴而就，2025年也难以实现完全基于AI的SOC，但许多组织将采用这些技术来逐步实现现代化的安全运营。 Zuk指出：“我们需要彻底改变SOC的架构，从以分析师为核心、技术辅助分析师的模式，转变为以机器学习或AI驱动、人类辅助的架构。” 业界有观点认为，SIEM技术已经走到了尽头。虽然其“整合告警并提供统一管理面板”的理念合理，但现实情况却是，SIEM输出过多数据且误报率高，难以真正满足需求。相比之下，企业应关注人工智能驱动的安全工具，以自动完成繁重任务，使安全团队将精力集中于解决问题。 数据整合：迈向统一数据湖 Zuk的第三个预测是，组织将更多地采用统一数据湖，作为网络安全运营的基础。如今，数据分散在多个系统中，导致效率低下且成本高昂。而统一的数据湖可以从网络、端点、云服务和应用程序等所有基础设施中收集信息，为AI驱动的SOC提供全面、准确的数据集。 这一趋势不仅会改变SOC，还将影响DNS安全、物联网安全及云安全等其他网络安全领域。与多个独立的数据存储系统相比，管理统一数据湖不仅更高效，也更具成本优势。通过在单一实例中完成数据的收集、处理和分析，组织能够显著减少冗余并降低能耗。 Zuk解释道：“正是因为这些原因，网络安全和许多需要大量数据支持的功能将逐步迁移至统一的数据湖，首先从SOC和云安全开始，随后扩展至更多的网络安全应用。” 统一数据湖的兴起对AI在网络安全中的成功至关重要。数据科学领域有一句话：“好数据带来好见解。”分散的数据只会带来片面的见解。如果企业使用几十个安全供应商，每家都有各自的数据集，AI的效能将大打折扣。因此，平台化是一条正确的道路，统一数据湖不仅能增强AI能力，还能提高网络安全水平。 为量子计算威胁做好准备 作为补充预测，Zuk还谈到量子计算机的威胁。他指出，尽管量子计算在2025年尚不足以对现有加密技术构成直接威胁，但组织必须考虑长期风险。网络犯罪分子可能会在今天录制加密数据，并在未来利用量子技术解密。这强调了部署抗量子加密策略的重要性。 Zuk建议：“如果你的组织对此有所关注，现在是时候计算何时部署抗量子加密技术了。这种加密方法能够抵御已知的加密攻击。你需要思考何时是最佳部署时机，以确保未来的数据安全。” 抗量子加密的部署时间表因组织情况而异。处理高敏感数据的企业可能需要立即行动，而其他企业可以选择在量子计算威胁更明确时再采取措施。 目前，抗量子算法的实际有效性尚存一定不确定性。尽管这些算法旨在应对量子攻击，但它们是否能抵御未来的新型解密方法仍需验证。组织应根据技术发展动态及时调整加密策略。 派拓网络的这些预测是否会成为现实，仍需时间验证。然而，笔者与众多安全专业人士的交流中不难发现，网络安全领域必须不断演进和现代化。正如笔者多次提到的，尽管企业在安全工具上的投资屡创新高，但安全能力依然滞后。维持现状无法解决问题，每个组织都应致力于建立以安全平台为核心、AI驱动的SOC，并以明确的指标指导团队行动。     转自安全内参，原文链接：https://www.secrss.com/articles/73139 封面来源于网络，如有侵权请联系删除