HackerNews

大约 9% 的经过测试的固件映像使用公开或在数据泄露中泄露的非生产加密密钥，导致许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。 该供应链攻击被称为“PKfail”，漏洞编号为CVE-2024-8105，是由测试安全启动主密钥（平台密钥“PK”）引起的，计算机供应商应该用自己安全生成的密钥替换该密钥。 尽管这些密钥被标记为“不信任”，但它们仍然被众多计算机制造商使用，包括宏碁、戴尔、富士通、技嘉、惠普、英特尔、联想、菲尼克斯和超微。 该问题是由 Binarly于 2024 年 7 月下旬发现的，它警告称，超过八百种消费者和企业设备型号上存在不受信任的测试密钥的使用，其中许多密钥已经在 GitHub 和其他地方泄露。 PKfail 可以让攻击者绕过安全启动保护并在易受攻击的系统上植入无法检测到的 UEFI 恶意软件，使用户无法防御，也无法发现入侵。 PKfail 影响和响应 作为研究的一部分，Binarly 发布了“PKfail 扫描仪”，供应商可以使用它来上传他们的固件映像以查看他们是否使用了测试密钥。 根据最新指标，自发布以来，扫描仪已在 10,095 个固件提交中发现 791 个易受攻击的固件提交。 Binarly 在新报告中指出：“根据我们的数据，我们在医疗设备、台式机、笔记本电脑、游戏机、企业服务器、ATM、POS 终端以及投票机等一些奇怪的地方发现了 PKfail 和非生产密钥。” 大多数存在漏洞的提交密钥来自 AMI (American Megatrends Inc.)，其次是 Insyde (61)、Phoenix (4)，以及 Supermicro 的一个提交。 对于 2011 年生成的 Insyde 密钥，Binarly 表示，固件映像提交显示它们仍在现代设备中使用。此前，人们认为它们只能在旧系统中找到。 社区还确认 PKfail 会影响 Hardkernel、Beelink 和 Minisforum 的专用设备，因此该漏洞的影响比最初预估的要广泛。 Binarly 评论称，尽管并非所有厂商都迅速发布了有关安全风险的公告，但厂商对 PKfail 的反应总体上是积极主动且迅速的。目前，戴尔、富士通、Supermicro、技嘉、英特尔和Phoenix均发布了有关 PKfail 的公告。 一些供应商已经发布补丁或固件更新来删除易受攻击的平台密钥或用可用于生产的加密材料替换它们，用户可以通过更新 BIOS 来获取这些补丁或固件更新。 如果您的设备不再受支持并且不太可能收到 PKfail 的安全更新，建议限制对它的物理访问并将其与网络中更关键的部分隔离。 技术报告：https://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞，这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。 其中一个漏洞被追踪为 CVE-2024-38812，是在 vCenter Server 中实施 DCERPC 协议时存在的堆溢出漏洞，CVSS 评分高达 9.8。根据 VMware 的公告，具有网络访问权限的攻击者对易受攻击的 vCenter Server可以通过发送特制网络数据包来触发此漏洞，从而导致远程代码执行。 另一个漏洞被追踪为CVE-2024-38813，属 vCenter Server 中的权限提升缺陷，CVSS 评分7.5，可能允许攻击者通过发送恶意网络数据包将权限升级到 root。 这两个漏洞都会影响 VMware vCenter Server 7.0 和 8.0 版本，以及 VMware Cloud Foundation 4.x 和 5.x 版本。 VMware 已发布修补程序来解决这些缺陷，并强烈建议客户尽快应用这些更新。对于 vCenter Server，用户应尽快升级到8.0 U3b 或 7.0 U3s 版本，Cloud Foundation 客户应应用 KB88287 中引用的异步修补程序。 该公司表示，到目前为止还没有发现任何对这些漏洞的野外利用。但是，鉴于 vCenter Server 在管理虚拟化环境方面的关键性质，这些缺陷可能成为攻击者的诱人目标。 据悉，这两个漏洞由参加中国2024“矩阵杯”网络安全大赛的TZL研究人员发现，并在事后向 VMware 进行了报告。 今年6月，VMware 曾修复了一个类似的 vCenter Server 远程代码执行漏洞 （CVE-2024-37079），该漏洞可通过特制数据包进行攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/411162.html 封面来源于网络，如有侵权请联系删除

2024年9月12日，金融服务巨头MasterCard（NYSE:MA）宣布计划花费26.5亿美元（约188.7亿人民币）收购Recorded Future，此交易将为其企业投资组合增加威胁情报和网络安全技术。 MasterCard将此次交易视为其网络安全服务的扩展，并表示这将增强用于保护其金融服务生态系统的洞察力和情报。 Recorded Future，总部位于马萨诸塞州，曾于2019年被私募股权公司Insight Partners以7.8亿美元收购。它被认为是全球最大的威胁情报公司，客户遍及75个国家，包括45个国家的政府。 Recorded Future首席执行官Chris Ahlberg表示，该公司将继续作为一个独立和开放的情报平台，作为MasterCard的一个独立子公司运营。 “我们将继续这一使命，”Ahlberg在X上写道。“公司不变，新老板，规模放大。Recorded Future将继续在全球范围内生成情报，利用最先进的AI方法将其转化为金矿，使我们的分析师和客户能够进行最精致的分析。” MasterCard与Recorded Future已经合作推出了一项AI支持的服务，当卡片可能被泄露时会提醒金融机构。自今年早些时候推出以来，MasterCard表示，该服务识别被泄露卡片的速度比去年同期翻了一番。 当收购完成时（预计在2025年第一季度），MasterCard预计将加大对人工智能的使用，以识别和防止其平台上的欺诈行为。 “MasterCard和Recorded Future都利用人工智能分析数十亿个数据点，以识别潜在威胁，帮助保护个人和企业。将这些团队、技术和专业知识结合在一起，将能够开发出更强大的实践，并推动网络安全和情报领域的更大协同，强化MasterCard品牌作为信任标志，”公司在一份声明中表示。 MasterCard多年来进行了多项以网络安全为重点的收购。2021年，它以未披露的金额收购了加密货币情报和区块链分析公司CipherTrace，此前在年初宣布以8.5亿美元收购了数字身份验证公司Ekata。 在2020年初，MasterCard收购了第三方风险管理公司RiskRecon，并在2019年收购了Ethoca，这是一家帮助商家和发卡机构识别和解决数字欺诈（如虚假退单）的公司。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/vNsQcfUoMobj9SW0aqHnEw 封面来源于网络，如有侵权请联系删除

近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者对此表示：这是一种新颖的攻击，因为攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。 在该漏洞披露后，苹果公司在 2024 年 7 月 29 日发布的 visionOS 1.3 中解决了这一问题。据苹果描述，该漏洞影响了一个名为 “Presence ”的组件。 该公司在一份安全公告中说：虚拟键盘的输入可能是从 Persona 中推断出来的，其主要通过 “在虚拟键盘激活时暂停 Persona ”来解决这个问题。 研究人员发现，黑客可以通过分析虚拟化身的眼球运动或 “凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容，极易导致用户的隐私泄露。 假设黑客可以分析通过视频通话、在线会议应用程序或直播平台共享的虚拟化身，并远程执行按键推断，那么他们就可以利用这一点提取用户键入的密码等敏感信息。 攻击主要是通过对 Persona 记录、眼球长宽比（EAR）和眼球注视估计进行训练的监督学习模型来完成的，以区分打字会话和其他 VR 相关活动（如观看电影或玩游戏）。虚拟键盘上的注视方向会被映射到特定的按键上，以便确定潜在的击键方式，同时还考虑到键盘在虚拟空间中的位置。 研究人员表示：通过远程捕捉和分析虚拟化身视频，攻击者可以重建用户键入的按键。目前，GAZEploit 是该领域首个已知利用泄露的注视信息远程执行按键推断的攻击方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/411003.html 封面来源于网络，如有侵权请联系删除

安全内参9月13日消息，一家美国医疗巨头将支付6500万美元（约合人民币4.6亿元），以了结其患者发起的集体诉讼。这些患者的数据被勒索软件犯罪分子窃取，泄露的数据中包括患者的裸露照片，且至少部分已被公开发布到网上。 利哈伊谷健康网络（Lehigh Valley Health Network，简称LVHN）是美国宾夕法尼亚州最大的初级医疗集团之一。该机构于2023年2月6日发现其IT系统遭受入侵，随后确认臭名昭著的ALPHV（又称BlackCat）团伙是这次攻击的幕后黑手。 勒索者共窃取了13.4万名患者和员工的相关数据，数据量达数GB。这些被窃取的数据包括姓名、地址、社会安全号码、州ID信息，以及医疗记录和手术照片。勒索者要求LVHN支付赎金，否则将这些信息泄露到网上。 起诉书揭示LVHN数据违规状况 根据随后对LVHN提起的诉讼，该医院长期以来拍摄癌症患者的裸照。在某些情况下，甚至未经患者知晓。 由于LVHN拒绝向BlackCat支付赎金，犯罪分子将部分资料发布到了网上，引发了客户的极大愤怒。 起诉书中指出：“虽然LVHN公开宣称他们勇敢地对抗了这些黑客，拒绝支付赎金，但实际上，他们忽视了真正的受害者。LVHN并未优先考虑患者的利益，而是将自身的经济利益置于首位。” 2023年2月20日，LVHN公开披露了这次攻击，并声称其影响范围有限。 3月4日，ALPHV团伙在其网站上发布了警告，威胁如果LVHN不支付赎金，他们将在线发布被盗的照片。LVHN拒绝了这一要求，犯罪分子遂将部分窃取的资料上传至其暗网门户，其中包括带有个人身份信息的照片。 法庭文件显示，一名未具名的原告于3月6日接到医院合规副总裁的电话，得知她的裸照已被上传到网上。随后，这位副总裁“笑呵呵”地提供了两年的信用监控服务。这位匿名原告表示，她并不知情医院在她接受乳腺癌治疗时拍摄了她的裸照，更不清楚这些照片被存储在医院的企业服务器上。 尽管LVHN已通知客户和员工有关隐私泄露的情况，但ALPHV团伙继续加大压力，3月10日再次泄露了132GB的数据，并威胁将每周继续泄露，直到赎金支付为止。 法庭文件未提及LVHN最终是否支付了赎金，LVHN及其法律团队也未回应记者的相关询问。 此次和解金额（按每人计算）或为医疗数据泄露案件最高 原告律师指出，医院未能履行其保护信息的责任，其行为还涉嫌违反了美国《健康保险可携性与责任法案》（HIPAA）。 尽管LVHN同意了和解条款，但他们否认有任何不当行为。 值得注意的是，LVHN在这一领域已有类似的经历。早在2022年7月，该医疗集团曾确认遭受过一次类似的勒索软件攻击，影响了75628名患者。LVHN似乎未能采取足够的预防措施，防止类似事件再次发生，而在医疗行业中，医院本就是勒索软件的主要目标之一。 2023年3月，原告们正式对LVHN提起集体诉讼，指控这家医疗机构未能妥善保护患者数据。 2024年9月11日，原告代理律师事务所Saltz Mongeluzzi Bendesky宣布，已与LVHN就此集体诉讼达成6500万美元的和解。这家律所指出，“如果按每位患者计算，和解金额是医疗数据泄露勒索软件案件中最高的”。 那些数据被公开发布到网上的患者被分为四个等级。如果和解获得批准，最低等级的患者将获得每人50美元的赔偿。而最高等级（那些裸照被泄露的患者）在扣除律师费后，将获得7万至8万美元不等的赔偿。 凡是收到LVHN通知信的个人都将被视为集体诉讼的一部分，并自动获得赔偿，无需采取任何额外行动。 这笔和解的最终批准听证会已定于2024年11月15日举行。   转自安全内参，原文链接：https://www.secrss.com/articles/70228 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对Linux环境的新恶意软件活动，目的是进行非法加密货币挖矿和传播僵尸网络恶意软件。云安全公司Aqua指出，这项活动特别针对甲骨文Weblogic服务器，旨在传播一种名为Hadooken的恶意软件。 该恶意软件利用的是Oracle Weblogic中的一个已知漏洞，即CVE-2020-14882。该漏洞允许攻击者获得对Weblogic服务器的未经授权访问，并执行任意代码。 安全研究员Assaf Moran表示，“当Hadooken行动被执行时，它会释放一种名为Tsunami的恶意软件，并部署一个加密货币挖矿程序来获取加密货币，如门罗币（XMR）。” 攻击链利用已知的安全漏洞和配置错误，例如弱密码，以获得初始立足点并在易受攻击的实例上执行任意代码。这是通过启动两个几乎相同的有效载荷来完成的，一个用Python编写，另一个是shell脚本，两者都负责从远程服务器（“89.185.85[.]102”或“185.174.136[.]204”）检索Hadooken恶意软件。 Morag进一步表示，“shell脚本版本试图遍历包含SSH数据（如用户凭据、主机信息和秘密）的各种目录，并利用这些信息攻击已知服务器。然后它在组织内或连接的环境中横向移动，以进一步传播Hadooken恶意软件。” Hadooken勒索软件内置了两个组件，一个加密货币挖矿程序和一个名为Tsunami（又称Kaiten）的分布式拒绝服务（DDoS）僵尸网络，后者有针对部署在Kubernetes集群中的Jenkins和Weblogic服务的攻击历史。 此外，该恶意软件还负责通过在主机上创建cron作业以不同频率定期运行加密货币挖矿程序来建立持久性。 Aqua指出，IP地址89.185.85[.]102在德国注册，隶属于托管公司Aeza International LTD（AS210644），Uptycs在2024年2月的先前报告将其与8220 Gang加密货币活动联系起来，该活动滥用Apache Log4j和Atlassian Confluence Server及数据中心中的漏洞。 第二个IP地址185.174.136[.]204虽然目前处于非活动状态，但也与Aeza Group Ltd.（AS216246）有关。正如Qurium和EU DisinfoLab在2024年7月强调的，Aeza是一家在莫斯科M9和法兰克福的两个数据中心都有业务的防弹托管服务提供商。 研究人员在报告中说：“Aeza的运作方式和快速增长可以通过招募与俄罗斯防弹托管服务提供商有关联的年轻开发者来解释，这些提供商为网络犯罪提供庇护。”   转自Freebuf，原文链接：https://www.freebuf.com/news/410985.html 封面来源于网络，如有侵权请联系删除

Ivanti 周五证实，其云服务设备 (CSA) 解决方案中存在一个高危漏洞，目前正遭到攻击利用。 Ivanti 在 8 月份的公告更新中表示：“截至 9 月 10 日披露时，我们尚未发现有任何客户受到此漏洞的利用。至 9 月 13 日更新时，已确认少数客户受到此漏洞的利用。” “Ivanti 建议采用 ETH-0 作为内部网络的双宿主 CSA 配置，可显著降低漏洞利用风险。” Ivanti 建议管理员检查任何新的或修改的管理用户的配置设置和访问权限，以检测漏洞利用尝试。虽然并不总是一致的，但有些漏洞可能记录在本地系统的代理日志中。还建议检查来自 EDR 或其他安全软件的任何警报。 该安全漏洞 (CVE-2024-8190) 允许具有管理权限的经过远程身份验证的攻击者通过命令注入在运行 Ivanti CSA 4.6 的易受攻击的设备上进行远程代码执行。 Ivanti 建议客户从 CSA 4.6.x（已达到使用寿命终止状态）升级到 CSA 5.0（仍在支持中）。 “CSA 4.6 Patch 518 客户也可以更新到 Patch 519。但由于该产品已进入生命周期结束阶段，首选途径是升级到 CSA 5.0。已经使用 CSA 5.0 的客户无需采取任何进一步的行动，”该公司补充道。 Ivanti CSA 是一款安全产品，它充当网关，为外部用户提供对企业内部资源的安全访问。 CISA要求联邦机构须在 10 月 4 日前完成修补 周五，CISA 还将CVE-2024-8190 Ivanti CSA 漏洞添加到其已知被利用漏洞目录中。根据《约束性行动指令》(BOD) 22-01 的规定，联邦民事行政部门 (FCEB) 机构必须在 10 月 4 日之前的三周内保护易受攻击的设备。 CISA警告称：“这些类型的漏洞是恶意网络行为者频繁使用的攻击媒介，对联邦企业构成重大风险。” 本周二，Ivanti 修复了其端点管理软件 (EPM) 中一个最高严重性漏洞，该漏洞允许未经身份验证的攻击者在核心服务器上执行远程代码。 同一天，它还修补了 Ivanti EPM、工作区控制 (IWC)和云服务设备 (CSA)中的近二十几个其他高危和严重漏洞。 Ivanti表示，近几个月来，该公司已经提升了内部扫描和测试能力，同时还致力于改进其负责任的披露流程，以更快地解决潜在的安全问题。 Ivanti 表示：“这导致发现和披露数量激增，我们同意 CISA 的声明，即负责任地发现和披露 CVE 是‘健康代码分析和测试社区的标志’。” Ivanti 在全球拥有超过 7,000 个合作伙伴，超过 40,000 家公司使用其产品来管理他们的系统和 IT 资产。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

微软计划重新设计反恶意软件产品与 Windows 内核交互的方式，以直接应对 7 月份由 CrowdStrike 更新错误导致的全球 IT 中断。 微软表示，它正在对 Windows 进行改进，以允许端点安全解决方案在操作系统内核之外有效运行，目的是为了防止未来出现类似 CrowdStrike 的大规模中断。 微软响应了客户和供应商的呼吁，同时指出，这些新功能要想满足需求，还必须克服许多挑战。 内核模式之外的性能需求和防篡改保护是需要关注的问题之一。微软表示，它将考虑安全传感器要求和安全设计，并试图改进 Windows 的架构，以允许防病毒工具在较低权限的空间或环境中运行时安全地检查系统。 在微软与 EDR 供应商举行为期一天的峰会后，微软副总裁 David Weston 表示，对操作系统的调整是实现弹性和安全目标的长期措施的一部分。 “我们探索了微软计划在 Windows 中提供的新平台功能，以我们在 Windows 11 中所做的安全投资为基础。Windows 11 改进的安全态势和安全默认值使该平台能够为内核模式之外的解决方案提供商提供更多的安全功能。”Weston 在EDR 峰会后的一份说明中表示。 重新设计是为了避免重演CrowdStrike 软件更新事故，该事故导致Windows 系统瘫痪并造成全球数十亿美元的损失。 Weston 提到了 CrowdStrike 事件，强调 EDR 供应商在向大型 Windows 生态系统推出更新时采用微软所谓的安全部署实践 (SDP) 的紧迫性。 Weston 表示，SDP 的核心原则包括“向客户逐步、分阶段部署更新”、使用“具有多样化端点的有节制的推出”以及在必要时暂停或回滚更新的能力。 Weston 补充道：“我们讨论了微软和合作伙伴如何增加关键组件的测试，改进跨不同配置的联合兼容性测试，推动有关开发中和市场中产品健康状况的更好的信息共享，并通过更严格的协调和恢复程序提高事件响应的有效性。” Weston 在峰会上表示，微软与合作伙伴讨论了内核模式之外运行的性能需求和挑战、安全产品的防篡改保护问题、安全传感器要求以及未来平台的安全设计目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

近日，有攻击者使用一种新的 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。 Android TV是谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程导航提供了优化的用户界面，集成了谷歌助手，内置Chromecast，支持电视直播，并能安装应用程序。 该操作系统为包括 TCL、海信和 Vizio 电视在内的众多制造商提供智能电视功能。它还是英伟达 Shield 等独立电视流媒体设备的操作系统。 在 Dr.Web 的最新报告中，研究人员发现有 200 多个国家的 130 万台设备都感染了 Vo1 d 恶意软件，其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚检测到的数量最多。 受 Vo1d 感染电视盒的地理分布 在此次恶意软件活动中，被视为目标的安卓电视固件包括： 安卓 7.1.2；R4 版本/NHG47K 安卓 12.1；电视盒版本/NHG47K 安卓 10.1；KJ-SMART4KVIP Build/NHG47K 根据安装的 Vo1d 恶意软件版本，该活动将修改或替换操作系统文件，所有这些文件都是 Android TV 中常见的启动脚本。install-recovery.shdaemonsudebuggerd 修改后的 install-recovery.sh 文件 该恶意软件活动利用这些脚本实现持久性，并在启动时激活Vo1d恶意软件。 Vo1d恶意软件本身位于文件中，这些文件的名称就是以该恶意软件命名的。Dr.Web解释称，Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这两个组件协同工作。 Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重启其进程。此外，它还可以在C&C服务器的指令下下载并运行可执行文件。 Android.Vo1d.3 模块负责安装并启动加密并存储在其体内的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它监控指定的目录，并安装在其中找到的 APK 文件。 尽管 Dr.Web 尚不清楚 Android 电视流媒体设备是如何被入侵的，但研究人员认为，这些设备之所以成为攻击目标，是因为它们通常运行着带有漏洞的过时软件。 Dr.Web 认为，其中最有可能的感染途径或许是中间恶意软件的攻击，该软件利用操作系统漏洞来获取 root 权限。另一个可能的途径可能是使用内置 root 访问权限的非官方固件版本。 为了防止这种恶意软件的感染，建议 Android 电视用户检查并安装新固件更新。同时确保在它们通过暴露的服务被远程利用的情况下，将这些设备从互联网上移除。 此外，用户也应避免在 Android 电视上从第三方网站安装 APK 形式的 Android 应用程序，因为它们是恶意软件的常见来源。   转自Freebuf，原文链接：https://www.freebuf.com/news/410913.html 封面来源于网络，如有侵权请联系删除  

安全内参9月12日消息，乌克兰国家安全局（SBU）拘留了一名当地居民，怀疑他在关键基础设施附近安装了监控摄像头，涉嫌帮助俄罗斯情报部门监控这些地点。 乌克兰安全局在周一的声明中指出，哈尔科夫市的一名居民通过社交媒体应用Telegram与俄罗斯军事情报局（GRU）取得联系，被后者招募，承诺可以轻松获取金钱报酬。 乌公民涉嫌为俄在敏感地区安装摄像头 据报道，乌克兰执法部门在首都基辅逮捕了这名涉嫌为俄罗斯从事间谍活动的嫌疑人。他在基辅租用了几处高层公寓，这些公寓俯瞰着当地的能源设施。 乌克兰安全局透露，这名嫌疑人利用这些公寓，安装了配备远程访问软件的视频摄像头，疑似帮助俄罗斯实时监控乌克兰的关键基础设施。 俄罗斯可能通过这些摄像头记录下来的画面，评估近期对基辅地区空袭的效果，并确定乌克兰防空系统的具体位置。 乌克兰国家安全局还表示，该嫌疑人在基辅设立了这些“监控点”后，以探望父母为借口返回哈尔科夫，但其真实目的则是为了在一条战略铁路线上纵火焚烧一个继电器柜。 安全部门强调，他们全程监控了这名嫌疑人的行动，最终在他位于基辅的一处租赁公寓中将其拘捕。当时，嫌疑人正准备安装新的闭路电视（CCTV）摄像头，以记录对基辅的空袭情况。 在搜查过程中，执法人员没收了他的手机和摄像设备，内含其为俄罗斯从事“情报和破坏活动”的相关证据。 该嫌疑人目前已被拘留，乌克兰安全局表示，他将面临终身监禁的处罚，并可能被没收全部财产。 摄像头已成为广泛使用的间谍工具 闭路电视摄像头已成为俄罗斯和乌克兰广泛用于间谍活动的工具。这些设备通常被安装在关键基础设施附近，或用于定位军队、防空系统及军事装备的位置。 今年8月，俄罗斯当局警告生活在面临乌克兰进攻风险地区的居民，要求他们停止使用监控摄像头，担心这些设备可能会被用作情报收集的工具。 根据俄罗斯内务部（MVD）的一份声明，乌克兰军队正在远程连接未经保护的闭路电视摄像头，“监控从私人庭院到具有战略意义的道路和公路的一切。” 今年1月，乌克兰安全官员曾表示，他们拆除了两台被俄罗斯黑客入侵、用于监视基辅防空部队和关键基础设施的在线摄像头。 这些摄像头原本安装在基辅的住宅楼上，最初用于居民监控周边区域和停车场。但在黑客入侵后，俄罗斯情报部门据称获得了远程访问权限，改变了摄像头的监控角度，并将其连接至YouTube，直播了敏感画面。 这些影像极有可能帮助俄罗斯在对乌克兰发动的一次大规模导弹袭击中，引导无人机和导弹精准打击基辅。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

近日，全球知名网络安全公司Fortinet确认遭遇了一次大规模数据泄露事件，亚太地区客户受到影响。 据CyberDaily、CRN等多家报道，一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器，窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3存储桶的凭据，供其他黑客下载被盗文件。这一事件不仅再次引发了全球网络安全的关注，也为Fortinet的客户敲响了警钟。 Fortinet是仅次于Palo Alto和CrowdStrike的全球第三大网络安全公司，市值高达600亿美元。其产品包括防火墙、路由器和VPN设备等关键安全设备。此外，Fortinet还提供安全信息和事件管理（SIEM）、端点检测与响应（EDR/XDR）等解决方案。此次事件中，Fortinet证实部分客户数据被盗，黑客通过未经授权的方式访问了第三方云存储中的文件，但Fortinet并未透露具体有多少客户受到了影响。 据悉，黑客“Fortibitch”曾尝试通过勒索手段向Fortinet索取赎金，但该公司拒绝支付。目前，Fortinet已经采取措施通知受影响的客户，并正在进一步调查这一事件。然而，这次数据泄露不仅暴露了Fortinet自身的安全风险，也加剧了全球企业对于云存储和外部共享文件的安全担忧。 近年来，网络安全公司频繁发生数据泄露和安全事件，给自身和客户带来巨大安全风险。以下是近年来知名网络安全公司发生的几起重大安全事件： Fortinet数据泄露(2024年):Fortinet遭遇黑客攻击，导致440GB的客户数据被盗。 CrowdStrike错误更新事件(2024年7月):CrowdStrike因错误的Falcon更新导致8.5百万台设备崩溃，全球多个行业受到影响。 CrowdStrikeGitHub数据泄露(2023年):CrowdStrike旗下的Panopta在GitHub存储库中泄露了敏感数据。 FireEye（2020年）数据泄漏：FireEye遭到黑客攻击，其红队工具库被窃取，可能用于后续攻击。。 SolarWinds供应链攻击（2020年）：通过复杂的供应链攻击，黑客成功入侵SolarWinds，并影响了多家全球重要机构和企业。 Kaseya遭勒索软件攻击（2021年）：Kaseya遭遇勒索软件攻击，影响了全球超过1000家企业。 Accellion供应链攻击（2021年）：黑客利用Accellion的File Transfer Appliance (FTA)漏洞，从其全球客户窃取了大量敏感文件。 Panopta数据泄露（2023年）：Fortinet旗下的Panopta遭遇了数据泄露事件，黑客在俄罗斯的黑客论坛上泄露了被盗数据。 此类事件的频发，提醒广大企业在加强自身网络安全防护的同时，还需关注云存储和第三方平台的安全风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

GitLab 周三发布了安全更新，解决了 17 个安全漏洞，其中包括一个允许攻击者以任意用户身份运行管道作业的严重漏洞。 该漏洞编号为 CVE-2024-6678，CVSS 评分为 9.9（满分 10.0）。 该公司在警报中表示：“GitLab CE/EE 中发现一个问题，影响从 8.14 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本，该漏洞允许攻击者在某些情况下以任意用户身份触发管道。” 该漏洞以及其他 3 个高严重程度漏洞、11 个中严重程度漏洞和 2 个低严重程度漏洞已在 GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。 值得注意的是，CVE-2024-6678 是 GitLab 在过去一年中修补的第四个此类漏洞，此前的漏洞有CVE-2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。 虽然没有证据表明有人主动利用这些漏洞，但建议用户尽快应用补丁以减轻潜在威胁。 今年 5 月初，美国网络安全和基础设施安全局 (CISA)透露，一个严重的 GitLab 漏洞 (CVE-2023-7028，CVSS 评分：10.0) 已被广泛利用。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/peEcNP0wRwor6XoTq3AwOg 封面来源于网络，如有侵权请联系删除

根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除

近日，网络安全公司watchTowr创始人本杰明·哈里斯撰文透露他仅花了几分钟时间就成功生成伪造HTTPS证书、能够追踪电子邮件活动，甚至还可以在全球成千上万台服务器上执行任意代码。 仅花20美元即可控制全球海量服务器 哈里斯是在花费20美元购买过期域名dotmobiregistry.net时意外发现了这个惊天漏洞。 该域名曾是用于管理.mobi顶级域名的WHOIS服务器，然而，.mobi的域名管理员不知何时将服务器迁移到新网址whois.nic.mobi，却未通知任何人，全球大量服务器仍然引用旧域名。 哈里斯在购买并重新启用该域名后，惊讶地发现，短短数小时内，他的服务器就接收到来自超过7.6万个独立IP地址的查询请求。更令人震惊的是，在接下来的五天里，他的服务器收到了约250万次查询请求，来自全球的政府机构、域名注册商、安全工具提供商和证书颁发机构等。 WHOIS系统自互联网早期以来就一直在域名注册和管理中扮演着关键角色。然而，随着时间的推移，许多系统依旧信任旧的WHOIS服务器，未能及时更新其记录。这意味着，当哈里斯接管这个过期域名时，他不仅能够拦截对.mobi域名的所有查询，还能通过伪造的WHOIS信息操控证书颁发流程。例如，哈里斯尝试为“microsoft.mobi”生成证书请求，并顺利收到了证书颁发机构GlobalSign发来的验证邮件。 虽然出于道德原因，哈里斯并没有进一步生成伪造证书，但他指出，这一漏洞意味着攻击者完全可以利用伪造的HTTPS证书拦截网络流量或冒充目标服务器。这对于依赖HTTPS协议保护敏感数据的网站来说，无异于“游戏结束”。 WHOIS为何如此“危险”？ 自互联网治理初期（当时还被称为 ARPANET）以来，WHOIS就发挥着关键作用。1974年，增强研究中心的信息科学家Elizabeth Feinler成为NIC（网络信息中心项目的简称）的首席研究员。在Feinler的监督下，NIC开发了顶级域名系统和官方主机表，并发布了ARPANET目录，该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终，该目录演变为WHOIS系统，这是一个基于查询的服务器，提供所有互联网主机名及其注册实体的完整列表。 尽管WHOIS看起来已经过时，但它如今仍然是具有重大影响力的重要资源。起诉版权或诽谤的律师会使用它来确定域名或IP地址所有者。反垃圾邮件服务则依靠它来确定电子邮件服务器的真正所有者。此外，证书颁发机构依靠它来确定域名的官方管理电子邮件地址。 废弃WHOIS服务器域名一旦落入黑客，则会变成杀伤力巨大的流氓WHOIS服务器。其最危险的用途之一就是能够指定电子邮件地址证书颁发机构GlobalSign用来确定申请TLS证书的一方是否是该证书所适用域名的合法所有者。 与绝大多数竞争对手一样，GlobalSign使用自动化流程。例如，针对example.com的申请将提示证书颁发机构向该域名的权威WHOIS中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接，证书将自动获得批准。 除了伪造证书外，哈里斯还发现，许多政府机构、企业和反垃圾邮件服务在接收到来自.mobi域名的电子邮件时，依然会向他的伪造服务器发送查询请求。这意味着，他能够通过长期追踪这些查询，间接推测出相关通信的发件人和收件人，潜在地获取敏感信息。 此外，一些查询流氓WHOIS服务器的安全服务和WHOIS客户端本身存在漏洞，攻击者可以利用这些漏洞在查询设备上执行恶意代码。这使得本应受信任的WHOIS服务器变成了潜在的攻击源。 结论：信任是互联网最可怕的安全债 哈里斯的安全测试揭示了一个更深层次的问题：互联网的某些关键基础设施依赖于过时且脆弱的域名管理系统，容易被忽视或滥用。由于WHOIS服务器的命名和管理缺乏统一标准，许多第三方服务仍然错误地将过期的dotmobiregistry.net视为.mobi域名的官方服务器。 这类问题不仅限于WHOIS服务器。哈里斯指出，类似的漏洞也存在于S3存储桶等云基础设施中，当这些资源被废弃时，仍有可能被其他人重新注册并利用。 哈里斯的研究提醒我们，网络世界中的信任链条往往比我们想象的更加脆弱，而“过期信任”和“隐式信任”可能会带来无法预料的灾难性风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EGP-0nJamnCoJwbNnIwxGQ 封面来源于网络，如有侵权请联系删除

该校校长称本周前三天将关闭学校进行网络安全清洁，近三周内学校网络、邮箱和其他系统都无法使用，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信（任何）邮件和链接等。 安全内参9月11日消息，英国伦敦南部一所高中日前遭遇勒索软件攻击，导致本周前半段停课，约1300名学生的学业受到影响。 9月5日，查尔斯·达尔文学校的学生被迫离校。次日，校长Aston Smith向家长发布了一封信，告知学生们之前了解到的IT问题“比预想的更为严重”，实际上是一次勒索软件攻击。 信中确认，由于“所有员工的设备已被移走进行清理”，学校将在“下周一、周二和周三暂停授课”。教师们需要时间重新准备课程，而学校的高级管理层则需要建立新的系统，以确保学校正常运作。 信中还提到：“作为预防措施，所有学生的微软Office 365账号已被禁用。如果您收到来自陌生邮箱的邮件，请保持警惕。在恢复过程中，我们绝不会发送任何附件或链接。” 信中补充道，根据接下来几周的情况更新，学校可能需要采取进一步措施，并警告称“所有由学校保存的信息都有可能已被访问”。 目前，学校正与一家网络安全公司合作进行取证调查。然而，校长警告说，在调查结束之前，他无法提供有关数据泄露的更多细节。 校长表示：“令人遗憾的是，尽管我们已经实施了最新的安全措施，这类网络攻击仍然变得越来越普遍。我们目前的情况与英国国家医疗服务体系（NHS）、伦敦交通局、英国国家铁路，以及其他学校和公共部门机构经历的情况类似。” 英国教育业遭勒索攻击日渐增多 此次攻击恰逢英国新学年刚开始，也是继去年一系列针对教育机构的勒索软件攻击后的又一起事件。 近年来，针对英国教育和儿童保育部门的勒索软件攻击达到了前所未有的高峰。2023年，向信息专员办公室（ICO）报告的相关事件多达126起，创下了历史最高纪录。在2024年第一季度，ICO再次收到了27起攻击报告，比去年同期的报告数量增长了一倍以上。 包括英国最大公立寄宿学校怀蒙德汉姆学院（Wymondham College）和西萨塞克斯郡的坦布里奇豪斯学校（Tanbridge House School）在内，多所学校均遭到了网络勒索者的攻击。这些犯罪分子威胁称，如果受害者不支付赎金，他们将公开被窃取的数据。 此前，LockBit勒索软件组织曾试图勒索一所特殊教育需求学校。更有甚者，犯罪分子还公开了吉尔福德郡学校的敏感文件，这些文件似乎包含教师记录的关于高危学生的内部报告。 英国官方称学校应对勒索攻击能力逐步加强 英国教育部发言人曾在谈及影响学校的攻击时表示，教育部正在密切监控网络安全事件，但目前没有证据显示攻击数量有所增加。至于最新的事件，教育部未作进一步回应。 英国政府网络安全主管机构国家网络安全中心（NCSC）早在2020年9月就首次向学校发出了勒索软件攻击的警报，警告称“越来越多的勒索软件攻击正影响英国的教育机构，包括学校、学院和大学。” 自那以后，随着更多勒索软件攻击的发生，NCSC已多次更新其警报页面。 在上个月发布的一项调查报告中，NCSC最近一次提及攻击数量增加。调查显示，尽管勒索软件攻击数量有所增加，但学校应对这些事件的准备工作也在逐步加强。这些准备工作不仅包括保护IT网络，还包括如何快速从事件中恢复。 勒索软件已成为全球教育业公害 Vice Society这一网络犯罪组织是近年来针对英国及全球教育机构发起的一系列勒索软件攻击的幕后黑手。该组织通过窃取敏感数据并威胁公开来勒索受害者支付赎金。 去年，Hive勒索软件组织曾在一次攻击后，向英国两所学校勒索50万英镑（约合60.8万美元）。今年1月，美国和德国的执法机构宣布，他们已“黑掉”了这一黑客组织，并摧毁了Hive团伙使用的基础设施。 此前，BBC新闻曾报道，该团伙公开了从英国14所学校窃取的高度机密数据。在一些情况下，学校并未告知学生和教职工，他们的个人数据已被发布在泄露网站上。 勒索软件攻击在美国的教育机构中也屡见不鲜。最近，美国洛杉矶联合学区以及艾奥瓦州和马萨诸塞州的教育系统也遭遇了类似的攻击。今年早些时候，黑客还入侵了美国首都华盛顿附近的一个学区，导致近10万人的个人信息被泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/70139 封面来源于网络，如有侵权请联系删除

近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。 针对 Python 开发人员的虚假编码测试 恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员，试图诱导开发人员下载恶意软件。 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。 ReversingLabs 的研究人员发现，攻击者会使用 GitHub 存储库和开源容器来托管其恶意代码。这些代码通常会伪装成编码技能测试或密码管理器应用程序，代码附带的 README 文件包含诱骗受害者执行恶意软件的说明。这些文件往往使用 “Python_Skill_Assessment.zip ”或 “Python_Skill_Test.zip ”等名称。 他们发现，恶意软件包含在经过修改的 pyperclip 和 pyrebase 模块文件中，这些文件也经过 Base64 编码，以隐藏下载程序代码。这些代码与 VMConnect 活动早期迭代中观察到的代码相同，后者向 C2 服务器发出 HTTP POST 请求以执行 Python 命令。 在一次事件中，研究人员成功识别出一名受到攻击者欺骗的开发人员。攻击者伪装成Capital One的招聘人员，然后通过LinkedIn个人资料和开发人员取得联系，并向他提供了一个GitHub的链接作为一项题目。当被要求推送更改时，假冒的招聘人员指示他分享截图，以证明任务已经完成。 安全研究人员随后访问的 .git 文件夹中的日志目录中包含一个 HEAD 文件，该文件显示了克隆该仓库并实施所需功能的开发人员的全名和电子邮件地址。 研究人员立即与该开发人员取得了联系，并确认他于今年 1 月感染了恶意软件，而该开发人员并不知道自己在此过程中执行了恶意代码。 虽然此事件已经追溯到了几个月前，但研究人员认为，目前有足够的证据和活动线索表明该活动仍在继续。7 月 13 日，他们又发现了一个新发布的 GitHub 存储库，与之前事件中使用的存储库相吻合，但使用的是不同的账户名。 通过进一步调查，研究人员发现这个“尘封”的GitHub 账户在他们与受害者建立联系的同一天又活跃了起来，并认为威胁行为者可能仍保留着对受感染开发人员通信的访问权限。研究人员还认为，被联系的开发人员可能与恶意活动有关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/410804.html 封面来源于网络，如有侵权请联系删除

神秘的 Quad7 僵尸网络的运营者正在利用已知和未知的安全漏洞，入侵多个品牌的 SOHO 路由器和 VPN 设备，并积极发展。 根据法国网络安全公司 Sekoia 的最新报告，目标包括 TP-LINK、Zyxel、Asus、Axentra、D-Link 和 NETGEAR 的设备。 研究人员 Felix Aimé、Pierre-Antoine D. 和 Charles M. 表示：“Quad7 僵尸网络运营商似乎正在改进其工具集，引入新的后门并探索新的协议，目的是增强隐身性并逃避其操作中继盒 (ORB) 的跟踪能力。” Quad7，也称为 7777，于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录，强调了该活动集群将 TP-Link 路由器和大华数字视频录像机 (DVR) 诱捕到僵尸网络的模式。 该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名，据观察，该僵尸网络可以暴力破解 Microsoft 3665 和 Azure 实例。 VulnCheck 的 Jacob Baines 今年 1 月初指出：“僵尸网络似乎还感染了 MVPower、Zyxel NAS 和 GitLab 等其他系统，尽管感染量非常小。僵尸网络不仅在端口 7777 上启动服务，还在端口 11228 上启动 SOCKS5 服务器。” Sekoia 和 Team Cymru 在过去几个月的后续分析发现，该僵尸网络不仅攻 击了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器，而且还扩展到攻击开放了 TCP 端口 63256 和 63260 的华硕路由器。 最新调查结果显示，该僵尸网络由若干个集群组成—— xlogin（又名 7777 僵尸网络） – 由受感染的 TP-Link 路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 7777 和 11288 alogin（又名 63256 僵尸网络）——由受感染的华硕路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 63256 和 63260 rlogin – 由受感染的 Ruckus Wireless 设备组成的僵尸网络，这些设备打开了 TCP 端口 63210 axlogin – 一个能够攻击 Axentra NAS 设备的僵尸网络（目前尚未在野外检测到） zylogin – 由受感染的 Zyxel VPN 设备组成的僵尸网络，这些设备开放了 TCP 端口 3256 感染量排名前三的国家是保加利亚、美国和乌克兰。 进一步表明战术演变的是，攻击者现在使用一个名为 UPDTAE 的新后门，该后门建立基于 HTTP 的反向 shell，以在受感染的设备上建立远程控制并执行从命令和控制 (C2) 服务器发送的命令。 目前尚不清楚该僵尸网络的具体目的或幕后黑手。 “关于 7777 [僵尸网络]，我们只看到针对 Microsoft 365 帐户的暴力破解尝试。”Aimé 告诉该出版物。“对于其他僵尸网络，我们仍然不知道它们是如何使用的。” “我们发现攻击者试图通过在受感染的边缘设备上使用新的恶意软件来变得更加隐秘。此举的主要目的是防止追踪附属僵尸网络。” 技术报告：https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MxYNWKVCLZzkOCd4p7V9Jw 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一组新的恶意 Python 包，它们以编码评估为幌子针对软件开发人员。 ReversingLabs 研究员 Karlo Zanki表示：“新的样本被追踪到 GitHub 项目，该项目与之前的针对性攻击有关，这些攻击使用虚假的求职面试来引诱开发人员。” 该活动被认为是正在进行的被命名为 VMConnect 的黑客活动的一部分，该活动于 2023 年 8 月首次曝光。有迹象表明，这是朝鲜支持的 Lazarus Group 所为。 朝鲜黑客组织广泛使用求职面试作为感染媒介，他们要么在 LinkedIn 等网站上接触毫无戒心的开发人员，要么诱骗他们下载恶意软件包作为所谓的技能测试的一部分。 这些软件包已直接发布在 npm 和 PyPI 等公共存储库上，或托管在其控制下的 GitHub 存储库上。 ReversingLabs 表示，它发现了嵌入在合法 PyPI 库（如pyperclip和pyrebase ）的修改版本中的恶意代码。 Zanki 表示：“恶意代码存在于 __init__.py 文件及其对应的编译后的 Python 文件（PYC）中，这些文件位于各个模块的 __pycache__ 目录内。” 它以 Base64 编码字符串的形式实现，掩盖了下载器功能，该功能与命令和控制 (C2) 服务器建立联系，以执行作为响应收到的命令。 在软件供应链公司发现的一个编码任务实例中，攻击者试图通过要求求职者在五分钟内构建以 ZIP 文件形式共享的 Python 项目并在接下来的 15 分钟内查找并修复编码缺陷来创造一种虚假的紧迫感。 这使得“攻击者更有可能在未执行任何类型的安全甚至源代码审查的情况下执行该软件包”，Zanki 表示，并补充道，“这确保了此次活动背后的恶意行为者能够在开发人员的系统上执行嵌入的恶意软件。” 上述一些测试声称是针对 Capital One 和 Rookery Capital Limited 等金融机构进行的技术面试，突显攻击者如何冒充该行业的合法公司来完成操作。 目前尚不清楚这些活动的范围有多广，谷歌旗下的 Mandiant 最近也强调，他们会使用 LinkedIn 来搜寻和联系潜在目标。 该公司表示：“在初步聊天对话后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码挑战的 COVERTCATCH 恶意软件，该恶意软件会下载通过启动代理和启动守护程序持续存在的第二阶段恶意软件来危害用户的 macOS 系统。” 网络安全公司 Genians透露，代号为Konni的朝鲜黑客组织正在加强对俄罗斯和韩国的攻击，通过使用鱼叉式网络钓鱼诱饵来部署 AsyncRAT，并且与代号为CLOUD#REVERSER（又名 puNK-002）的行动有重叠。 其中一些攻击还涉及传播一种名为CURKON的新恶意软件，这是一种 Windows 快捷方式 (LNK) 文件，可用作Lilith RAT的 AutoIt 版本的下载器。 根据 S2W 的说法，该活动已链接到跟踪为 puNK-003 的子集群。 技术报告：https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/G_KWKOfvr-fR6ru0Hmwh1A 封面来源于网络，如有侵权请联系删除

乌克兰安全局（SBU）拘留了一名当地公民，他涉嫌在关键基础设施附近安装监控摄像头，据称允许俄罗斯情报部门监视这些地点。 乌克兰安全局周一在一份声明中表示，据报道，这名嫌疑人居住在乌克兰东北部城市哈尔科夫，俄罗斯军事情报局 (GRU) 通过社交消息应用程序 Telegram 招募了他，并承诺给他“轻松”的钱。 乌克兰执法部门在基辅逮捕了这名涉嫌俄罗斯间谍的人，他在基辅租了几套可以俯瞰当地能源设施的高层建筑中的公寓。 据乌克兰安全局称，嫌疑人利用这些公寓安装了带有远程访问软件的摄像头，据称可以让俄罗斯人实时监控关键基础设施。 俄罗斯可能利用这些录像来评估其最近对基辅地区空袭的影响，并确定乌克兰防空系统的位置。 乌克兰安全局称，嫌疑人在基辅设立这些“观察站”后，以探望父母为幌子返回哈尔科夫，但实际上是为了纵火焚烧战略铁路线上的继电器柜。 安全部门表示，他们记录了他的一举一动，并最终将他拘留在基辅的一间出租公寓中。被捕时，嫌疑人正在安装一台新的闭路电视 (CCTV) 摄像机，以记录对该市的空袭。 在搜查过程中，执法人员缴获了他的手机和摄像机，其中包含俄罗斯“情报和颠覆活动”的证据。 嫌疑人目前已被拘留。乌克兰安全局表示，他将面临终身监禁和没收财产。 流行的间谍工具 俄罗斯和乌克兰都广泛使用监控摄像头进行间谍活动。它们通常安装在关键基础设施附近，或用于识别部队、防空系统或军事装备的位置。 今年8月，俄罗斯当局警告乌克兰攻击风险地区的居民停止使用监控摄像头，担心它们可能被用于情报收集。 根据俄罗斯内务部（MVD）的声明，乌克兰军队正在远程连接不受保护的闭路电视摄像机，“监视从私人庭院到具有战略意义的道路和高速公路的一切”。 今年 1 月，乌克兰安全官员称，他们关闭了两台在线监控摄像头，据称这些摄像头遭到俄罗斯黑客攻击，用于监视基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的居民楼上，最初供居民监控周边地区和停车场。据称，俄罗斯情报部门在入侵这些摄像头后，获得了远程访问权限，改变了摄像头的视角，并将其连接到 YouTube 以播放敏感视频。 这些画面可能帮助俄罗斯在对乌克兰进行大规模导弹袭击期间向基辅发射无人机和导弹。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/sRU6TCWNfy9m0WwFKG25AA 封面来源于网络，如有侵权请联系删除

多年以来，硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线，然而最新研究发现，这些被认为牢不可破的“安全硬件”，实际上暗藏严重漏洞。 近日，来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文，披露英飞凌（Infineon）安全微控制器中存在一个重大侧信道漏洞。该漏洞影响了广泛应用于电子护照、加密货币硬件钱包、智能汽车和FIDO硬件认证设备（如YubiKey 5系列）的加密库。 由于漏洞波及范围广大，影响深远，这一发现立刻引发了安全行业的广泛关注。 “最流行硬件密钥”YubiKey被破解 YubiKey 5系列硬件密钥产品是当下最流行的FIDO硬件令牌，内置了英飞凌的SLE78安全微控制器，以确保设备的高安全性。然而，研究人员发现，该微控制器在ECDSA实现中存在一个关键漏洞，可被攻击者利用并克隆密钥。 FIDO硬件令牌是一种用于网络服务身份验证的强认证工具，广泛应用于政府、企业和个人的敏感数据保护中。这些令牌通常嵌入安全元素（Secure Element），依赖椭圆曲线数字签名算法（ECDSA）作为其核心的加密原语。 该漏洞涉及一种非恒定时间的模逆运算，导致加密操作产生可预测的电磁辐射。研究人员通过分析电磁信号，发现攻击者可以利用这些泄露的信息推断出ECDSA私钥。具体而言，攻击者通过在受害设备附近部署特定的物理设备并进行几分钟的电磁侧信道采集，即可获得足够的信息来推导密钥。 研究的突破点是利用Feitian A22设备上的JavaCard开放平台进行逆向工程。该设备基于与YubiKey 5系列相同的Infineon SLE78微控制器，研究人员通过此平台发现了ECDSA实现中的侧信道漏洞，并成功设计了一种可行的攻击方法。最终，他们在YubiKey 5Ci设备上成功验证了该攻击。 产品漏洞顺利通过了80次顶级安全认证 该漏洞不仅影响YubiKey 5系列设备，还扩展至其他采用Infineon加密库的设备，如Optiga Trust M和Optiga TPM等安全微控制器。这些微控制器被广泛应用于各种复杂的安全系统，包括电子护照、智能家居、智能汽车等。尽管研究人员尚未确认该漏洞是否适用于所有这些系统，但潜在风险不容忽视。 根据论文，受影响的设备多达80款，且在过去14年中通过了多个最高级别的安全认证（如Common Criteria CC认证）。这一漏洞的长期未被发现，反映出即使是经过严格审查的加密系统，也可能存在未察觉的严重安全漏洞。 更糟糕的是，该漏洞还摧毁了人们对安全认证的信心，因为该漏洞在英飞凌顶级安全芯片中存在了14年之久，期间存在漏洞的芯片和加密库在2010年至2024年期间顺利通过了大约80次AVA VAN 4级（用于TPM）或AVA VAN 5级（用于其他芯片）的CC认证评估，（以及近30次证书维护）。 漏洞严重，但不紧急 尽管Yubikey等硬件密钥曝出高危漏洞，但对于普通用户来说，未必需要紧急停用或者更换密钥。研究人员强调，利用这一漏洞的前提条件相对苛刻。首先，攻击者需要物理访问目标设备，其次，还需要昂贵的设备、定制软件以及高度专业的技术能力（编者：克隆YubiKey密钥还需要需要掌握受害者的用户名和密码，以及对其YubiKey的物理访问权）。因此，在现实中，该漏洞被大规模利用的风险较低。研究人员指出，对于普通用户而言，继续使用FIDO硬件令牌仍是抵御网络钓鱼攻击的最安全手段。虽然存在漏洞，但相比不使用硬件认证，使用受影响的FIDO令牌依然提供了更高的安全性。 未来应对措施 针对这一漏洞，研究人员提出了若干应对方案，包括加强物理防护、通过电磁干扰阻断侧信道、使用法拉第笼屏蔽设备外部的电磁辐射等。这些措施虽然有效，但在实际部署中可能带来较高的成本和复杂性。 此外，研究人员呼吁安全系统制造商尽快修复这一漏洞，尤其是那些依赖ECDSA加密的设备。未来的硬件设计中，应更加关注侧信道攻击的防御能力，并确保加密操作的时间一致性。 也有安全专家建议关注开源硬件密钥方案，例如Soma、Solokey、Nitrokey、Onlykeys等，虽然这些硬件密钥也都存在漏洞（有些甚至无法修复）。 截止本文发稿，有报道称，yubikey已经在密钥固件中用自己的ECC上游库替换了Infineon密码库。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/iVxB7faNkGuRwP7nHwJ9fg 封面来源于网络，如有侵权请联系删除