HackerNews

美国及其盟友已将发动全球关键基础设施攻击的幕后黑手确定为俄罗斯黑客组织（被追踪为Cadet Blizzard和Ember Bear），其幕后黑手是俄罗斯武装部队总参谋部第 29155 部队（又称 GRU）。 在今天发布的联合咨询报告中，俄罗斯 GRU 军事情报黑客被描述为 GRU 第 161 专科训练中心的“初级现役 GRU 军官”，由经验丰富的29155部队领导层协调，他们因于 2022 年 1 月在乌克兰部署 WhisperGate 数据擦除恶意软件而闻名。 该组织自 2020 年以来一直在策划针对整个欧洲的破坏和暗杀行动以及针对北约成员国以及北美、欧洲、拉丁美洲和中亚国家关键基础设施部门的网络攻击，并从 2022 年初开始转而破坏对乌克兰的援助努力。 今年 4 月，《内部人》与《60 分钟》和《明镜周刊》联合发表了 一项调查报告，报告将 GRU 的 29155 部队与哈瓦那综合症事件联系起来。 “自 2020 年以来，29155 部队扩大了他们的间谍技术，包括攻击性网络行动。29155 部队网络行动者的目标似乎包括为间谍目的收集信息、因窃取和泄露敏感信息造成的声誉损害、以及因销毁数据造成的系统性破坏。”今天发布的联合咨询报告称，“这些人似乎通过进行网络行动和入侵获得了网络经验并提高了他们的技术技能。此外，FBI 评估称，29155 部队的网络参与者依赖非 GRU 参与者，包括已知的网络犯罪分子和推动者来开展他们的行动。” 美国联邦调查局称，它检测到了超过 14,000 次针对至少 26 个北约成员国和几个欧盟 (EU) 国家的域名扫描实例。与俄罗斯 29155 部队有关的黑客破坏了网站并使用公共域名泄露被盗数据。 美国国务院宣布通过“正义奖励”计划悬赏高达 1000 万美元，奖励提供有关弗拉基米尔·博罗夫科夫、丹尼斯·伊戈列维奇·丹尼先科、尤里·丹尼索夫、德米特里·尤里耶维奇·戈洛舒博夫和尼古拉·亚历山德罗维奇·柯察金的信息，这五名俄罗斯军事情报官员据信是 GRU 29155 部队的成员。 美国国务院表示：“这些人是俄罗斯总参谋部情报总局（GRU）第 29155 部队的成员，该部队针对美国关键基础设施，特别是能源、政府和航空航天领域进行了恶意网络活动。这些 29155 部队 GRU 军官负责袭击乌克兰和数十个西方盟国的关键基础设施。” 五名 GRU 军官和平民阿明·蒂莫维奇（Amin Timovich，因 WhisperGate 攻击于 6 月被起诉）今天还因参与俄罗斯 2022 年 2 月入侵之前针对乌克兰和 26 个北约成员国的网络攻击而被指控。 美国政府敦促关键基础设施组织立即采取行动，包括优先进行系统更新和修补已知漏洞，以防御这些与 GRU 相关的网络攻击。 其他建议包括网络分段以遏制恶意活动，并对所有外部服务（特别是网络邮件、虚拟专用网络（VPN）和有权访问关键系统的帐户）实施防网络钓鱼的多因素身份验证（MFA）。 2022 年 2 月，在使用WhisperGate 擦除恶意软件、HermeticWiper 恶意软件和勒索软件诱饵对乌克兰进行攻击后，CISA 和 FBI 警告称，破坏性的恶意软件网络攻击可能会蔓延到其他国家的目标。 本周三，美国政府查封了与俄罗斯有关的 Doppelgänger 影响力行动使用的 32 个网络域名，这些域名用于针对美国公众传播虚假信息和亲俄宣传。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8cdbsI4EQexbQD7ulMkpjg 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，一款最初被设计为红队演练之用的工具MacroPack近来正被攻击者滥用并部署恶意负载 Havoc、Brute Ratel 和 PhatomCore ，所发现的恶意文档已涉及多个国家和地区。 MacroPack 是由法国开发人员 Emeric Nasi （dba BallisKit） 创建的专注于红队演习演练和对手模拟的专有工具，提供反恶意软件绕过、反逆技术、使用代码混淆构建各种文档有效负载、嵌入无法检测的 VB 脚本等多项高级功能。 Cisco Talos 的安全研究人员研究了来自美国、俄罗斯和巴基斯坦等国家和地区在 VirusTotal 上提交的恶意文档，这些文件的诱饵、复杂程度和感染载体各不相同，表明 MacroPack 正被多个攻击者滥用，已成为一种潜在的威胁趋势。 这些被捕获的野外样本都有在 MacroPack 上创建的痕迹，包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符（这些字符可将静态分析检测率降到最低）以及字符串编码。 当受害者打开这些恶意Office 文档时会触发第一级 VBA 代码，该代码会加载恶意 DLL，并连接到攻击者的命令和控制 (C2) 服务器。 攻击链 Cisco Talos 的报告了一些与MacroPack 滥用相关的重要恶意活动集群： 美国：2023 年 3 月上传的一份文件伪装成加密的 NMLS 更新表格，并使用马尔可夫链生成的函数名来逃避检测。 该文档包含多级 VBA 代码，在尝试通过 mshta.exe 下载未知有效载荷之前会检查沙盒环境。 装成加密的 NMLS 更新表格 俄罗斯：2024 年 7 月，一个俄罗斯 IP 上传的空白 Excel 工作簿提供了 PhantomCore，这是一个基于 Golang 的用于间谍活动的后门 。 该文件运行多级 VBA 代码，试图从远程 URL 下载后门。 巴基斯坦：从巴基斯坦各地上传了以巴基斯坦军事为主题的文件。 其中一份文件伪装成巴基斯坦空军的通知，另一份伪装成就业确认书，部署了 Brute Ratel 獾。 这些文件通过 HTTPS DNS 和亚马逊 CloudFront 进行通信，其中一个文档嵌入了 base64 编码的 blob 以用于 Adobe Experience Cloud 跟踪。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410268.html 封面来源于网络，如有侵权请联系删除。

为加固互联网路由安全的薄弱环节，美国国家网络安全办公室（ONCD）近日发布了一个提升互联网路由安全的路线图，主要针对边界网关协议（BGP）相关漏洞进行改进。BGP作为全球互联网的基础协议，负责全球超过7万个独立网络间的流量管理，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。 推动RPKI成为全球标准 ONCD路线图中提出了广泛采用资源公钥基础设施（RPKI）的建议。RPKI是由IETF制定的标准框架，能够通过防止路由劫持、路由泄漏和IP资源劫持等手段来提升安全性。通过实施RPKI，互联网服务提供商（ISP）和运营自己的路由网络的企业可以确保BGP公告和路由更新的合法性和安全性，避免数据传输中断或被恶意篡改。国家网络安全办公室呼吁所有网络类型的运营商，包括ISP、企业网络和拥有自己IP资源的组织，尽快采用RPKI标准。特别是对于关键基础设施的运营商、州和地方政府，以及依赖互联网进行“高价值”任务的组织，BGP的安全尤为重要。 白宫国家网络安全主任Harry Coker Jr.在发布报告时表示：“互联网安全事关重大，联邦政府将率先推动BGP安全措施的快速普及。” 除了发布报告，ONCD还设立了公私合作的利益相关者工作组，并共同主持了互联网路由安全工作组。该工作组将制定框架，帮助网络运营商评估风险，优先处理关键的IP地址资源和路由源。 BGP漏洞的安全风险 BGP作为全球互联网的基础协议，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。然而，ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。互联网基础设施提供商Cloudflare指出，全球只有约一半的网络采用了RPKI。过去几年，曾发生过多起重大BGP安全事件，例如： 2021年4月：全球性BGP泄漏事件。这次BGP路由泄漏导致全球数千个网络受到影响。事件的起因是一个错误的BGP路由配置，导致原本不应该被广告的路由被传播到全球，影响了多个国家的互联网连接(。 2022年8月：加密货币服务Celer Bridge的BGP劫持。黑客通过伪造的BGP公告成功劫持了Celer Bridge的加密货币交易，重定向资金到攻击者的账户。此次事件通过更改AltDB数据库的内容欺骗了传输提供商，使攻击者得以冒充亚马逊网络服务（AWS）来进行劫持。 2008年：YouTube被封锁事件。巴基斯坦电信公司（PTCL）通过BGP劫持全球范围内的YouTube流量，试图在国内封锁该服务。虽然该举动本应仅影响巴基斯坦境内的访问，但错误的路由公告传播到了全球，导致YouTube在全世界范围内下线。 这些事件凸显了BGP的脆弱性，无论是有意的攻击还是无意的配置错误，都会导致全球互联网服务中断和安全隐患。 专家们认为，全球互联网路由依赖信任而非安全是不可持续的。 Team8风投集团的首席技术官Eidan Siniver指出：“企业经常在全球站点之间传输敏感数据，而被劫持的路由将带来重大安全风险。网络运营商应当广泛采用RPKI等框架，优先考虑安全而非信任，建立可靠的标准。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/E1rEsgB3GJkByIb5fARVKw 封面来源于网络，如有侵权请联系删除。

日前，黑客HikkI-Chan在Breach论坛泄露了俄罗斯最大社交网站VK超过3.9亿用户个人数据。Hackread研究人员对黑客HikkI-Chan行径进行了梳理。。 HikkI-Chan虽然在Breach Forums上HikkI-Chan是一个相对较新的用户，但他们的首次攻击可以追溯到2024年3月15日。2024年3月15日，某暗网数据交易平台有人宣称正在售卖一份美国国防部（US DoD）数据。卖家于3月15日前后两次上传了共计399,373条数据。其中第一份数据包含姓名，电话，城市、职位、参加过的战争等字段，第二份数据包含姓名、电话、邮箱、地址等字段。卖家称两份数据的来源均是美国国防部官方网站。 黑客HikkI-Chan声称对两起网络攻击事件负责：一是针对以色列警方的攻击，二是针对以色列公共交通公司Kavim的攻击。 在VK数据泄露事件发生之前，黑客还在出售包含超过8000万土耳其人的个人信息和个人身份信息（PII）的土耳其公民数据。这8000万人的数据几乎涵盖了土耳其的全部人口。 黑客HikkI-Chan还涉嫌进行了两次显著的网络攻击事件。其一，黑客攻击了佛罗里达州金融监管办公室，导致8,639,326条记录在上周被泄露。还有一次，针对FBI文件的高度敏感的数据泄露事件，黑客将这次行动称为“Priser行动”。 HikkI-chan在Breach论坛上 黑客HikkI-Chan还声称他参与了一个秘密行动“Operation Pride”，这个行动成功侵入了政府的网络系统，并从中窃取了重要信息。但目前没有公开的资料可以证实这个行动的存在。此外，HikkI-Chan分享了有关该行动的信息，声称泄露的文件包括“打击恐怖主义数据、白宫邮件列表、FBI顶级员工（姓名、角色、位置）、联邦工作列表、FBI员工的图像等等”。   转自E安全，原文链接：https://mp.weixin.qq.com/s/3uBFoA7sS7H7PXeNfMcyGw 封面来源于网络，如有侵权请联系删除。

东南亚地区遭勒索攻击频率显著增多 根据趋势科技的遥测数据，东南亚的公司和政府机构，尤其是泰国、日本、韩国、新加坡和印度尼西亚，遭遇了显著增加的攻击频率，这一增速已超过欧洲国家。例如，今年6月，一个名为Brain Cipher的团伙对印度尼西亚的160多家政府机构发动了勒索软件攻击。随着该地区经济的发展，类似的重大事件可能会进一步增加。 趋势科技威胁研究高级经理Ryan Flores表示，亚洲的许多公司和组织在急于实现基础设施数字化的过程中，往往以牺牲安全为代价。 他说：“该地区正在积极推进多项数字化计划，政府也在支持和鼓励在线服务与支付的普及。由于这些基础设施和服务的快速推进，安全往往被降级为次要任务，主要目标是尽快将服务或平台推向市场。” 亚太地区的公司和组织已遭受严重的网络攻击，这也印证了威胁团体已将目光聚焦于该地区。今年3月，越南一家主要的经纪公司遭遇了勒索软件攻击，关键数据被加密，被迫关闭证券交易长达8天。同月，日本官员指责朝鲜黑客在Python包索引（PyPI）服务中植入了恶意代码，该代码可以在受害者的计算机上安装勒索软件。 虽然超过四分之三的勒索软件攻击仍然针对北美和欧洲的组织，但其他地区，特别是亚洲受到成功网络攻击的比例已经迅速上升。根据网络安全咨询服务公司Comparitech的数据，2023年，亚洲公开报道的勒索软件攻击数量增长了85%。 其他威胁追踪者也证实了这一趋势。根据终端安全公司Sophos发布的《2024年勒索软件状况》报告，印度和新加坡都位列受攻击最多的六个国家之中。 亚太地区成为勒索软件的温床 勒索软件团伙正在瞄准亚太地区最关键且最脆弱的工业部门。根据Comparitech从公开报告中整理的数据，针对制造业的攻击显著增加。2023年，已确认的针对制造业的勒索软件事件有21起，其次是政府部门的16起和医疗保健部门的11起。 造成这一局面的主要原因之一是，许多国家没有实施数据泄露通知法，这导致大量泄露事件未被报告，也使得亚洲对网络安全的关注度不足。Comparitech的数据研究负责人Rebecca Moody指出，加密货币在许多亚洲国家的流行也使得公司更容易支付赎金。 她说：“在许多情况下，确认发生攻击的唯一方式是系统中断或网站瘫痪……如果设法让系统在无人察觉的情况下重新上线……那么这些攻击就可以轻松掩盖过去。” 勒索软件与网络犯罪欺诈在亚太地区十分猖獗。朝鲜团伙利用勒索软件、加密劫持攻击等手段，从全球经济中榨取资金，并进行间谍活动。一些亚洲国家的犯罪集团在柬埔寨、老挝和缅甸运营大型欺诈中心——这些实际上是强迫劳动营地——进行大规模、批量化的网恋骗局和“杀猪盘”诈骗，每年非法获利数百亿美元。 低成本，高回报 归根结底，勒索软件攻击的增加可能与犯罪团伙专注于某类受害者无关，而更多地与潜在受害者的增加有关。这是因为公司在进行数字化转型时，未能同步更新安全措施。趋势科技的Flores表示，该地区的网络安全生态系统相对不成熟，再加上地区紧张局势日益加剧，这更可能是攻击增加的原因，而非犯罪团伙专注于某类受害者。 他说：“勒索软件团伙和一般的网络犯罪分子都是机会主义者，所以我认为他们不会真正专注于某个地区。他们关注的是如何以最小的成本获取最大的回报。因此，如果有脆弱、开放或配置错误的基础设施，无论位于亚洲、欧洲还是非洲，都将成为他们的攻击目标。” 亚太地区各国政府已经开始更新法规以提高安全性。今年5月，新加坡更新了《网络安全法》，以应对关键基础设施部门对使用云服务的第三方的依赖，而马来西亚在4月通过了一项法律，要求网络安全服务提供商必须获得许可才能在该国开展业务，尽管法律细节尚未敲定。 NCC集团全球战略威胁情报负责人Matt Hull表示，亚太地区的公司应重点做好基础防护工作，实施基本的防御措施。 他说：“各组织必须优先进行定期的补丁管理，以关闭已知漏洞，实施强密码策略，以防止轻易被利用，并实施多因素认证（MFA），在密码之外增加额外的安全层。此外，建立强大的检测和监控系统，以便迅速识别和应对潜在威胁，也是至关重要的。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/qUkATZpIayAqggqTs8qV9A 封面来源于网络，如有侵权请联系删除。

针对 Windows 内核中一个关键的0day特权提升漏洞的概念验证 (PoC) 代码已公开发布。该漏洞编号为CVE-2024-38106 ，是Microsoft 在 2024 年 8 月补丁日更新中修补的几个0day漏洞之一。 CVE-2024-38106 是 Windows 内核中的一个竞争条件漏洞，可能允许本地攻击者获得系统权限。该问题的 CVSS 评分为 7.0，微软的可利用性评估将其标记为“更有可能被利用”。 一位匿名研究人员向微软报告了该漏洞，其细节一直保密，直到周末在 GitHub 上公开发布了 PoC 漏洞利用程序。 PoC 演示了如何触发竞争条件来破坏内核内存并以提升的权限实现任意代码执行。 PixiePoint Security 研究人员对微软 CVE-2024-38106 补丁进行了分析，揭示了根本原因。此漏洞是由于对函数VslpEnterIumSecureMode()中的调用进行了不正确的锁定而造成的。 微软的修复通过使用VslpLockPagesForTransfer()和实现了正确的锁定VslpUnlockPagesForTransfer()来防止竞争条件。 由于 PoC 漏洞已公开可用，因此组织必须尽快应用安全更新。 唯一完整的缓解措施是安装包含CVE-2024-38106修复程序的安全更新。微软在 2024 年 8 月补丁更新中解决了该漏洞，并敦促所有客户立即应用补丁。 Windows 11 和 Windows Server 2022 以及一些仍受支持的旧版 Windows 均受到影响。目前尚无关于野外主动利用漏洞的报告，但公开的 PoC 大大增加了这种变化的可能性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/u0aj6_e80WIqdRpZr1gCcw 封面来源于网络，如有侵权请联系删除。

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。

美国联邦调查局警告称，朝鲜黑客正积极瞄准加密货币行业，并利用复杂的社会工程学来实现其目标。 FBI 的咨询报告显示，这些攻击的目的是部署恶意软件并窃取去中心化金融 (DeFi)、加密货币和类似实体的虚拟资产。 美国联邦调查局表示：“朝鲜的社会工程计划复杂而精巧，受害者往往掌握着复杂的技术。鉴于这种恶意活动的规模和持续性，即使是那些精通网络安全实践的人也可能受到攻击。” 据该机构称，朝鲜黑客组织正在针对与 DeFi 或加密货币相关业务有关的潜在受害者进行广泛的研究，然后以个性化的虚假场景为目标，通常涉及新的就业或企业投资。 攻击者还会与目标受害者进行长时间的对话，以建立信任，然后在“看似自然且不会引起警报的情况下”传播恶意软件。 此外，攻击者经常冒充各种个人，包括受害者可能认识的联系人，使用逼真的图像，例如从社交媒体帐户窃取的照片，以及时间敏感事件的虚假图像。 与加密行业相关的个人应该注意在设备上运行代码或应用程序的请求、进行涉及非标准代码包的测试或练习的请求、提供就业机会或投资机会、将对话转移到其他消息平台的请求以及包含链接或附件的未经请求的联系人。 建议组织开发验证联系人身份的方法，不要共享有关加密货币钱包的信息，避免参加就业前测试或在公司拥有的设备上运行代码，实施多因素身份验证，使用封闭平台进行业务沟通，并限制对敏感网络文档和代码存储库的访问。 谷歌旗下的安全部门 Mandiant 在一份新报告中指出， 社会工程学只是朝鲜黑客在针对加密货币组织的攻击中所采用的技术之一。 攻击者还被发现依赖供应链攻击来部署恶意软件，然后转向其他资源。 Mandiant 公司解释道，他们还可能以智能合约（通过重入攻击或闪电贷攻击）和去中心化自治组织（通过治理攻击）为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7j3_IDJTzia4vVbdHx2UtQ 封面来源于网络，如有侵权请联系删除。

蒙大拿州计划生育协会证实其网络系统近期遭到入侵，近100GB敏感数据被泄露，RansomHub 勒索软件组织近期宣布对此次攻击负责。 勒索软件组织RansomHub 声称其从蒙大拿州计划生育协会窃取了近 100 GB 的敏感数据，包括多个被盗文件的样本，这些样本包含 2024 年以来的财务预算记录、工资信息、米苏拉县拘留所正在进行的法庭案件的文件以及责任保险证明。 RansomHub 暗泄密网站 蒙大拿州计划生育协会首席执行官兼总裁玛莎·富勒在声明中证实，该组织上个月曾遭到入侵。 “2024 年 8 月 28 日，蒙大拿州计划生育协会 (PPMT) 发现了一起影响 IT 系统的网络安全事件，”富勒说。“在事件发生期间，IT 人员立即实施了该组织的事件响应协议，其中包括将部分网络离线。” 富勒强调称“调查仍在进行中”，并且计划生育协会已知悉 RansomHub 的声明。 与往常一样，网络犯罪集团给了计划生育协会七天时间来协商赎金要求，否则将计划在暗网上泄露这 93 GB 的被盗文件，并将其出售给最高出价者。 RansomHub 暗泄密网站 “我们非常重视此事，已向联邦执法部门报告了此事，并将全力支持他们的调查，”富勒总结道。  RansomHub 是一个新兴的勒索软件组织，自二月份以来该勒索软件的受害者数量一直在增加。 作为一个非营利性妇女生殖健康组织，蒙大拿州计划生育协会在西北部的蒙大拿州已运营逾 50 年，设有五个健康中心，并提供虚拟远程医疗服务。根据其网站，组织每年为“数千名患者”提供服务，包括 LGBTQIA2S+ 社区，总部位于比林斯大都会区。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。 Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。 受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下： NWA 系列： NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本。 WAC 系列： WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本。 WAX 系列： WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。 WBE 系列： WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本。 Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。 更多 Zyxel 修复 Zyxel 还针对 APT 和 USG FLEX 防火墙中的多个高严重性缺陷发布了安全更新。摘要如下： CVE-2024-6343：CGI 程序中的缓冲区溢出可能导致通过身份验证的管理员发送伪造的 HTTP 请求，从而导致 DoS。 CVE-2024-7203：验证后命令注入允许通过伪造的 CLI 命令执行操作系统命令。 CVE-2024-42057：在 IPSec VPN 中的指令注入，允許未認證的攻擊者在「使用者為本-PSK」模式下，利用偽造的長使用者名稱執行作業系統指令。 CVE-2024-42058：取消引用空指针可通过未认证攻击者发送的伪造数据包导致 DoS。 CVE-2024-42059：身份验证后命令注入允许身份验证的管理员通过 FTP 上传伪造的压缩语言文件执行操作系统命令。 CVE-2024-42060： 認證後指令注入漏洞，令已認證的管理員可透過上載精心製作的內部使用者協議檔案，執行作業系統指令。 CVE-2024-42061：dynamic_script.cgi “中的反射 XSS 允许攻击者诱骗用户访问伪造的 URL，从而可能泄漏基于浏览器的信息。 上述漏洞中 CVE-2024-42057 值得特别关注 ，它是 IPSec VPN 功能中的命令注入漏洞，无需验证即可被远程利用。 利用漏洞所需的特定配置要求会降低其严重性，包括在基于用户的 PSK 身份验证模式下配置设备，以及用户的用户用户名长度超过 28 个字符。 有关其他受影响的防火墙更多详细信息，可具体查看 Zyxel 公告。   转自Freebuf，原文链接：https://www.freebuf.com/news/410154.html 封面来源于网络，如有侵权请联系删除。

据Cyber News消息，荷兰数据保护局 （Dutch DPA）  已向美国人工智能公司Clearview AI 开出 3050 万欧元（3370 万美元）巨额罚款，并对其服务下达了使用禁令。 Clearview AI 是一家总部位于美国纽约的面部识别公司，为执法部门、政府机构和其他组织提供面部识别服务，能够根据视觉输入查找特定人员的身份。 当局认为，该公司建立了一个非法数据库，其中包含300亿张面部照片，包括许多荷兰人的照片。因此，Clearview AI会自动从互联网上抓取这些照片，然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不不知道这一点，也未对这一行为进行授权。 荷兰数据保护局主席亚历德-沃尔夫森（Aleid Wolfsen） 称，Clearview AI 为欧盟以外的实体提供服务，而人脸识别等侵入性技术的使用应受到明确监管。例如警方必须在严格的条件下、在荷兰 DPA 和其他监管机构的监督下自行管理软件和数据库。 当局也向 Clearview AI的客户发出警告，由于该公司违反了法律，使用其服务也会成为非法行为，若继续使用将面临被罚款的风险。 根据荷兰数据保护局解释的法律规则，Clearview AI 根本就不应该建立包含照片、唯一生物识别代码和其他相关信息的数据库，与指纹一样，这些都是生物识别数据，收集和使用这些数据是被禁止的行为。虽然这项禁令有一些法定的例外情况，但 Clearview 不符合依赖这些例外情况。 沃尔夫森表示，Clearview AI 拒绝配合披露其 “非法 “数据库中包括哪些类型的个人数据，这样一家公司不能继续侵犯欧洲人的权利，也不能逍遥法外。 我们现在要调查是否可以追究公司管理层的个人责任，并对他们的违规行为处以罚款。 如果董事会知道有人违反了 GDPR，他们就有权阻止这种行为，否则，如果有意识地接受了这些违法行为，那么董事会就将承担相应责任。 多年来，Clearview AI已在欧洲面临了多次违法纠纷，法国、奥地利、意大利、希腊和英国的监管机构指控该公司使用“自动数据爬虫”。2022 年 10 月，法国对 Clearview 处以 2000 万欧元的罚款。2023年11月，Clearview AI 赢得了针对英国隐私监管机构的诉讼，并推翻了对该公司的另一项巨额罚款。   转自Freebuf，原文链接：https://www.freebuf.com/news/410169.html 封面来源于网络，如有侵权请联系删除。

Cisco Talos 研究人员在适用于 macOS 的 Microsoft 应用程序中发现了八个漏洞。这些漏洞可能允许攻击者将恶意库注入 Microsoft 的应用程序并获取访问权限。这可以访问麦克风、摄像头和屏幕录制等敏感资源，从而可能导致数据泄露或权限提升。 Cisco Talos 发现 Microsoft macOS 应用程序中存在漏洞，攻击者可以利用这些漏洞在用户不知情的情况下发送电子邮件、录制音频、拍照或录制视频。 尽管存在这些风险，但 Microsoft 认为这些问题风险较低，并拒绝修复它们，并表示某些应用程序需要允许未签名的库才能支持插件。Talos 提供了这些漏洞的列表以及相应的 Talos ID 和 CVE。 macOS 上的透明度、同意和控制 (TCC) 框架要求应用程序在访问联系人、照片或位置等敏感资源之前获得用户的明确同意。 TCC 与授权配合使用，授权是应用程序支持特定功能所需的能力。虽然开发人员可以使用多种授权，但最强大的授权仅供 Apple 自己的应用程序和系统二进制文件使用。 当应用程序请求访问资源时，会触发权限弹出窗口以征求用户批准。 研究人员专注于通过注入恶意库来滥用其他应用程序的权限或授权，从而利用 macOS 应用程序。一种名为 Dylib Hijacking 的技术允许将代码插入正在运行的应用程序中。 尽管 macOS 功能（如强化运行时）旨在防止此类攻击，但如果成功，注入的库可以利用授予原始应用程序的所有权限，有效地代表其行事。 用户授予的权限记录在TCC数据库中。专家指出，TCC 模型并非万无一失。如果具有提升权限的受信任应用程序受到攻击，则可能会被操纵以滥用其权限，从而在用户不知情的情况下执行未经授权的操作（例如屏幕录制）。 研究人员注意到，微软的几款 macOS 应用程序使用了强化运行时，以增强安全性。然而，它们也依赖于有风险的com.apple.security.cs.disable-library-validation授权。 强化运行时可防止库注入，使用沙盒可保护数据，但攻击者可以使用恶意软件，利用其授权和权限来破坏特定应用程序。 当应用程序从可操纵的位置加载库时，就会出现这种风险，允许攻击者注入库并运行任意代码，利用应用程序的权限。并非所有沙盒应用程序都同样脆弱；特定的授权或漏洞会增加易受攻击性。 分析重点关注两组 Microsoft 应用，第一组“Microsoft Office 应用”包括 Microsoft Word、Outlook、Excel、OneNote 和 PowerPoint，这些应用具有共同的漏洞。 第二组“Microsoft Teams 应用”包括主 Microsoft Teams 应用及其辅助应用：WebView.app 和 com.microsoft.teams2.modulehost.app。由于辅助应用和特定功能，该组存在明显的漏洞。专家们证明了这些应用存在漏洞，并描述了这些问题的潜在影响。 macOS 上存在漏洞的 Microsoft 应用程序允许攻击者利用应用程序的所有授权并重复使用权限，而无需任何用户提示。 Microsoft 使用该com.apple.security.cs.disable-library-validation授权来支持“插件”，而根据 Apple 的说法，该授权应该只允许加载第三方签名的插件。 Microsoft 的 macOS 应用程序主要使用基于 Web 的“Office 插件”，这引发了人们对此授权必要性的担忧。 研究人员警告说，通过禁用库验证，Microsoft 可能会绕过 macOS 强化的运行时安全性，使用户面临不必要的风险。 “我们以微软的应用程序为例。这些应用程序都启用了强化运行时，并获得了授权 com.apple.security.cs.disable-library-validation 。微软认为这些问题风险较低。”报告总结道。 在报告的八个应用程序中，以下四个应用程序已由微软更新： Microsoft     Teams（工作或学校）主应用程序 Microsoft     Teams（工作或学校）WebView.app Microsoft     Teams（工作或学校）com.microsoft.teams2.modulehost.app，现已重命名为 Microsoft Teams     ModuleHost.app 微软 OneNote 其余四个应用程序仍然容易受到攻击： 微软 Excel 微软 Outlook 微软 PowerPoint 微软 Word 存在漏洞的应用程序为攻击者敞开了大门，使他们能够利用应用程序的所有权限，并且在没有任何用户提示的情况下重复使用已授予应用程序的所有权限，实际上充当攻击者的权限代理。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/yBxtKhnYt3FuOru6Kxoo_w 封面来源于网络，如有侵权请联系删除

据报道，俄罗斯最大的社交媒体和网络服务 VK（VKontakte）近日发生了大规模数据泄露，影响了3.9亿用户。 一位名为 Hikki-Chan 的威胁行为者声称，俄罗斯最大的社交媒体和网络服务VK 在 2024 年 9 月遭遇了大规模数据泄露。泄露的数据仅需少量BreachForums 论坛积分就可以直接获取。 根据Similarweb的数据，VK每月吸引约11亿访客，全球访问量排名第23位。该平台的主要用户为俄罗斯人，占总流量的89%。 该威胁行为者声称：“此次泄密事件暴露了数亿用户的个人信息，包括身份证号码、姓名、性别、个人资料图片、国家和城市。” 泄露的 7z 档案包含 3.904 亿条记录，解压缩后占用 27.6GB 的存储空间。 VK于2006年上线，2021 年 12 月，VK 被俄罗斯国有企业接管。在俄罗斯军事入侵乌克兰和国际制裁之后，VK 应用程序从 Apple App Store 中移除，但仍可在 Google Play 商店中使用。 Hackread.com 是第一个发现该泄露信息，并报道了数据是通过第三方获取的，而非直接从VK入侵。 VK 用户数据并非首次在网上传播。 第一次发生在 2016 年 6 月，当时黑客窃取了 1.71 亿个 VK 账户，并试图以约 580 美元的价格出售包括纯文本密码在内的数据。 第二次是在2022 年，VK 遭遇了超过 126GB 的大规模数据泄露，其中包含 3200 万条记录，包括照片链接、全名以及其他抓取和 API 查询中获得的数据。安全研究员 Bob Diachenko表示，甚至已关闭或受保护的 VK 账户也遭到泄露。 根据安全公司 Cyfirma 的报告，威胁行为者 Hikki-Chan 于 2024 年初首次出现，此前曾攻击过多家以色列公司和政府机构，包括以色列警察局、国防部以及福利和社会事务部。 消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

德国空中交通管制机构确认遭受网络攻击 负责国家空中交通管制的德国国有公司德国航空安全公司 (Deutsche Flugsicherung) 已确认遭受网络攻击。 此次攻击的性质尚不清楚。一名新闻官周一告诉 Recorded Future News，此次事件影响了公司的管理 IT 基础设施。 该发言人表示：“是否可以访问、以及可以访问哪些数据仍在调查中”，并补充说该国安全部门已获悉此事。 他们强调，德国的飞行安全“有充分的保障”，空中交通管制作业未受到影响。 德国联邦信息安全局（BSI）正在处理该事件。 据巴伐利亚广播公司报道，该事件怀疑是由俄罗斯军事情报机构 GRU 旗下的威胁行为者 APT28 引发的。 BSI 的一位发言人表示，该机构正在为受影响的人提供支持，并正在与其他部门密切对话。他们拒绝就事件的更多细节发表评论。 英国伦敦交通局披露正在发生的“网络安全事件” 伦敦交通局 (TfL) 是该市的交通管理部门，目前正在调查一起正在进行的网络攻击，但尚未影响其服务。 该机构表示，目前没有证据表明客户信息在该事件中遭到泄露。 伦敦交通局的客户信息团队早些时候通过电子邮件和今天在网上发布的声明中警告客户：“我们目前正在处理一起正在发生的网络安全事件。目前，没有证据表明任何客户数据遭到泄露，并且这对交通局的服务也没有影响。” 伦敦交通局还向相关政府机构（包括国家犯罪局和国家网络安全中心）报告了此次攻击，并与他们密切合作，以应对并控制事件的影响。 该机构补充道：“我们的系统和客户数据的安全对我们来说非常重要，我们已立即采取行动，防止任何人进一步访问我们的系统。” 伦敦交通局首席技术官沙希·维尔马 (Shashi Verma) 在给 BBC 的一份声明中表示：“我们已经对内部系统采取了一系列措施，以应对正在发生的网络安全事件。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7x05ZPJhFlbWEHmI2RxHcA 封面来源于网络，如有侵权请联系删除

一个名为Head Mare 的黑客组织涉嫌发动网络攻击，攻击对象主要是俄罗斯和白俄罗斯目标。 卡巴斯基在周一对该组织的策略和工具的分析中表示：“Head Mare 使用更为先进的方法来获取初始访问权限。例如，攻击者利用了 WinRAR 中相对较新的CVE-2023-38831漏洞，该漏洞允许攻击者通过特制的存档在系统上执行任意代码。这种方法使该组织能够更有效地传递和伪装恶意负载。” Head Mare 自 2023 年起活跃，是一年前开始的俄乌冲突背景下攻击俄罗斯组织的黑客组织之一。 它还在 X 上存在，并在那里泄露受害者的敏感信息和内部文件。该组织的攻击目标包括政府、交通、能源、制造业和环境部门。 与其他可能以对两国公司造成“最大程度损害”为目标的黑客活动分子不同，Head Mare 还使用 LockBit （Windows版本）和 Babuk （Linux版本）加密受害者的设备，并索要解密赎金。 其工具包还包括PhantomDL 和 PhantomCore，前者是一个基于 Go 的后门，能够提供额外的有效载荷并将感兴趣的文件上传到命令和控制 (C2) 服务器。 PhantomCore（又名 PhantomRAT）是 PhantomDL 的前身，是一种具有类似功能的远程访问木马，允许从 C2 服务器下载文件、将文件从受感染主机上传到 C2 服务器，以及在 cmd.exe 命令行解释器中执行命令。 “攻击者创建名为 MicrosoftUpdateCore 和 MicrosoftUpdateCoree 的计划任务和注册表值，将其活动伪装成与微软软件相关的任务。”卡巴斯基表示，“我们还发现该组织使用的某些 LockBit 样本具有以下名称：OneDrive.exe [和] VLC.exe。这些样本位于 C:\ProgramData 目录中，伪装成合法的 OneDrive 和 VLC 应用程序。” 我们发现，这两种文件都是通过网络钓鱼活动以具有双扩展名的商业文档的形式进行分发的（例如，решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe 或 тз на разработку.pdf.exe）。 其攻击武器库的另一个关键组成部分是Sliver，这是一个开源 C2 框架，以及各种公开可用的工具的集合，例如 rsockstun、ngrok 和 Mimikatz，用于促进发现、横向移动和凭证收集。 入侵最终会根据目标环境部署 LockBit 或 Babuk，然后留下一封勒索信，要求用户付款以换取解密器来解锁文件。 这家俄罗斯网络安全供应商表示：“Head Mare 组织所使用的策略、方法、程序和工具与俄乌冲突背景下针对俄罗斯和白俄罗斯目标进行攻击的其他组织类似。该组织的特点是使用 PhantomDL 和 PhantomCore 等定制恶意软件，以及利用相对较新的漏洞 CVE-2023-38831，在网络钓鱼活动中渗透到受害者的基础设施中。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_8z5DsDXY8XnKHJfxf7fCw 封面来源于网络，如有侵权请联系删除

商业服务巨头 CBIZ 近日披露了一起数据泄露事件，攻击者通过利用公司某网页中的安全漏洞，于2024年6月2日至6月21日期间窃取了客户数据。2024年6月24日，网络安全专家参与协助调查，公司确认了这一入侵事件并识别了数据泄露情况。 CBIZ发布通知称： “2024 年 6 月 24 日，公司获悉未经授权的攻击者可能从某些数据库中提取了信息。 ” 调查显示，攻击者通过利用与公司网页相关的漏洞，在2024年6月2日至6月21日期间获取了部分数据库中的信息。 在此次事件中攻击者窃取了近 36,000 人的个人信息，其中包括： 姓名 联系方式 社会安全号码 出生或死亡日期 退休人员健康信息 福利计划信息 CBIZ是一家管理咨询公司，提供财务、福利及保险服务，是美国最大的专业服务公司之一。公司在全国拥有120个办事处，员工总数达6,700人。2023年，公司收入达到15.9亿美元。 受此次事件影响的CBIZ客户已于2024年8月28日开始收到通知。 尽管目前没有证据表明被盗数据已被滥用，CBIZ仍在披露指南中建议客户注册为期两年的信用监控和身份盗窃保护服务，以降低潜在风险。此外，建议受影响的客户考虑冻结信用记录及在其信用报告中添加欺诈警报。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，安全研究人员在航空运输安全系统中发现一个严重漏洞，可允许未经授权人员（例如恐怖分子）绕过机场安检，获得进入飞机驾驶舱的权限。 安全研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）在FlyCASS系统中发现了这一漏洞。FlyCASS是一个由第三方提供的web服务，一些航空公司使用它来管理和操作已知机组成员（KCM）计划和驾驶舱访问安全系统（CASS）。 KCM是美国运输安全管理局（TSA）的一项计划，允许飞行员和空乘人员通过机场安全处的一条特殊通道绕过安检。而CASS则为授权飞行员在搭乘飞机时使用驾驶舱的跳座提供进入飞机驾驶舱的身份验证。 KCM系统由ARINC（柯林斯宇航的子公司）运营，通过在线平台验证航空公司员工的身份。 KCM的流程相当简单，机组人员只需出示（扫描）KCM条形码或输入员工编号，通过TSA的终端笔记本电脑与航空公司的数据库进行交叉核对，验证通过的人员无需安检即可快速进入无菌区。 CASS系统类似KCM，用于验证飞行员是否有资格在通勤或旅行时进入驾驶舱内使用“跳座”（驾驶舱内供其无执飞任务机组人员搭乘航班的临时座位）。 CASS的主要功能是通过访问航空公司员工数据库来验证搭乘航班的飞行员的身份和就业状态，从而确保只有授权机组人员才能够进入驾驶舱并使用跳座。这一系统在“9·11”事件后变得尤为重要，因为它可以有效减少未经授权的人员进入驾驶舱的风险。 研究人员发现，FlyCASS的登录系统存在SQL注入漏洞，攻击者可以利用该漏洞插入恶意SQL语句进行数据库查询，并以航空公司——如航空运输国际（Air Transport International）的管理员身份登录，篡改系统中的员工数据。 令研究人员惊讶的是，在FlyCASS系统中添加航空公司飞行员和乘务员名单无需进一步检查认证，可以将任何人添加为KCM和CASS的授权用户。 研究人员成功添加一个名为“Test TestOnly”的虚构员工账户，并赋予其KCM和CASS的访问权限，实现了“绕过安检并进入商用飞机驾驶舱”（上图）。 “任何具备基本SQL注入知识的人都可以登录该网站，并将任意人员添加到KCM和CASS系统中，从而跳过安检并进入商用飞机的驾驶舱。”卡罗尔说道。 意识到问题的严重性后，研究人员立即展开了漏洞披露流程，并于2024年4月23日联系了美国国土安全部（DHS）。研究人员决定不直接联系FlyCASS网站，因为它似乎由一个人运营，研究人员担心直接披露会引起对方的恐慌。 国土安全部在接到通知后，也认识到这一漏洞的严重性，并确认FlyCASS已于2024年5月7日从KCM/CASS系统中断开。不久之后，FlyCASS上的漏洞被修复。 然而，在进一步协调安全披露的过程中，研究人员遇到了阻力，国土安全部停止回复他们的电子邮件。 此外，TSA的新闻办公室也向研究人员发送了一份声明，否认该漏洞对系统的影响，声称系统的审查过程会阻止未经授权的访问。然而，在研究人员通知TSA之后，TSA悄悄删除了其网站上与其声明相矛盾的信息。 “在我们通知TSA后，他们删除了网站上提到的手动输入员工ID的内容，但并未回应我们的更正。我们已确认TSA的界面仍然允许手动输入员工ID。”卡罗尔说道。 卡罗尔还表示，这一漏洞可能导致更严重的安全漏洞，例如攻击者可以篡改现有的KCM成员档案（例如用户照片和姓名），冒名顶替现有成员从而绕过对新成员的审查过程。 在研究人员发布报告后，另一位名为阿莱桑德罗·奥尔蒂斯的研究人员发现，FlyCASS似乎在2024年2月曾遭受过MedusaLocker勒索软件攻击，Joe Sandbox的分析显示该系统中存在被加密文件和勒索信。 此次曝光的可绕过机场安检的严重漏洞再次提醒我们，即便是用于关键安全保障的系统也可能存在严重安全隐患，需要持续监控和及时修补。 漏洞披露时间线： 2024年4月23日：首次向ARINC和FAA披露 2024年4月24日：随后通过CISA向DHS披露 2024年4月25日：国土安全部CISO确认他们正在制定解决方案 2024年5月7日：国土安全部CISO确认FlyCASS已与KCM/CASS断开连接 2024年5月17日：向国土安全部CISO跟进有关TSA声明的情况（无回复） 2024年6月4日：向国土安全部CISO跟进有关TSA声明的情况（无回复）   转自GoUpSec，原文链接：https://www.goupsec.com/news/17386.html 封面来源于网络，如有侵权请联系删除

德国空中交通管制中心（DFS）遭受黑客攻击。不过，据巴伐利亚广播公司 BR24报道，空中交通管制并未受到干扰。目前尚在调查是否有数据被访问以及是哪些数据。德国交通部、德国信息安全监管机构BSI和联邦宪法保护办公室均已证实此事。 据BR24当地时间9月2日凌晨1：48的报道，德国空中交通管制中心（DFS）遭受黑客攻击。DFS位于美因河畔法兰克福附近的朗根，已对此进行了确认。据发言人表示，“行政IT基础设施，即DFS GmbH的办公室通信”受到了影响。 此前一名空中交通管制发言人向德新社证实，DFS上周发现了此次攻击。受影响的系统是内部办公室通信，这对于组织内部的信息交换至关重要。 飞行安全未受影响 DFS表示，飞行安全得到了充分保障，他们正在努力将影响降到最低。空中交通没有受到影响，运行正常。据空中交通管制中心称，袭击发生在上周。目前尚不清楚是否有数据被访问。 外交部发言人表示，安全部门已经获悉此事。 负责的联邦交通部没有提供关于该事件的进一步信息，而是转交给了外交部。 联邦宪法保护办公室（BfV）证实了这一事件：“我们已经意识到这次攻击并正在处理它，”一位发言人说。 然而，截至目前，还无法提供进一步的信息，甚至无法提供可能的肇事者的信息。 在回应BR24的请求时，联邦信息安全办公室（BSI）表示已获悉DFS发生了IT安全事件，并参与了事件处理。BSI支持受影响的部门，并与其他当局保持密切联系。BSI还强调，飞行安全得到了充分保障，空中交通管制作业任何时候都不会受到限制。BSI发言人表示：“BSI目前未对事件的进一步细节发表评论。” 网络攻击被归因于俄罗斯情报部门 媒体报道，尤其是巴伐利亚广播公司的报道，暗示臭名昭著的黑客组织“APT 28”可能是此次攻击的幕后黑手。根据BR24的信息，“APT 28”组织参与了这次攻击。根据联邦宪法保护办公室（BfV）的说法，这种活动自2004年以来一直在全球范围内活跃，主要涉及网络间谍活动。“它是世界上最活跃、最危险的网络参与者之一。” BfV将“APT 28”归咎于俄罗斯军事情报部门GRU。早在今年5月，联邦政府就强烈谴责了APT 28组织对SPD以及国防、IT和航空公司的网络攻击。这些攻击还针对物流、军备、航空航天、IT服务以及基金会和协会领域的德国公司。 怀疑APT28 此次攻击的幕后黑手并非毫无根据。近年来，该组织在欧洲和北美发动了大量网络攻击，通常带有政治目的。与俄罗斯情报机构GRU的联系表明，此类攻击可能不仅具有犯罪动机，还可能具有地缘政治动机。 对未来的影响 DFS遭受的攻击可能会对德国的网络安全政策产生深远影响。联邦政府过去已经采取措施提高关键基础设施的安全性。这些措施包括加强安全法规和建立新的机构来防御网络攻击。然而，最近的事件可能会给政客们带来更大的压力，迫使他们采取更果断的措施，以防止未来再次发生此类攻击。 预计DFS和其他受影响机构将进一步加强其IT安全措施。这可能包括增加对网络安全的投资、培训员工和实施更先进的防御技术。与国际合作伙伴在网络安全领域的合作也将变得越来越重要，以便能够有效抵御全球威胁。 德国空中交通管制中心遭受网络攻击事件表明，即使是中央集权机构也有可能面临此类威胁。与俄罗斯军事情报部门有联系的APT28组织涉嫌参与其中，凸显了网络攻击的地缘政治层面。在数字攻击日益普遍的世界中，政府和公司必须加大力度保护其IT系统，以确保国家安全和经济稳定。   转自安全内参，原文链接：https://www.secrss.com/articles/69772 封面来源于网络，如有侵权请联系删除

日前，美国俄亥俄州哥伦布市当局对一名网络安全研究员提起了诉讼，指控他非法下载该市在网络攻击中被窃取的数据并与媒体分享。 今年7月，哥伦布市曾遭到 Rhysida 勒索软件组织的攻击，导致公共机构的电子邮件和其他资源的系统中断，虽然该市最早表示没有数据被加密，但 Rhysida 声称窃取了 6.5 TB 的数据，其中 45%（约26万个、 3.1 TB大小的文件）已在8月8日该市拒绝支付赎金后发布。 事后，哥伦布市市长安德鲁·金瑟 （Andrew Ginther） 表示，泄露的数据没有任何价值，而且攻击没有效果，但一位名叫康纳·古德沃尔夫 （Connor Goodwolf） 的网络研究员指责市长并未透露实情，并将部分泄密内容与媒体进行了共享。 8月12日，市长称被窃的数据因为“加密或损坏”而无法使用，公众无需担心，但古德沃尔夫与媒体分享的样本证明泄露的数据并未加密，其中包含警察和罪犯的社会安全号码、家庭暴力案件中的姓名以及其他居民的个人信息。 当局随即对古德沃尔夫提起诉讼，称共享被盗数据是非法行为，而且指责他在暗网以非正常手段与黑客“互动”后才获得这些数据。 诉讼还指称，古德沃尔夫据称计划创建一个网站供人们查看他们的数据是否被泄露，这干扰了警方的调查。 该诉讼旨在对古德沃尔夫发出临时限制令，包括禁止他进一步访问、下载或共享数据，并保留到目前为止下载的所有数据，同时要求他支付超过2.5万美元的处罚金。 据市检察官扎克·克莱因 （Zach Klein） 称，古德沃尔夫仍然被允许就该事件发表评论，该诉讼不是为了压制言论自由，而是防止数据的进一步传播。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410067.html 封面来源于网络，如有侵权请联系删除

近日，澳大利亚网络安全中心（ACSC）就信息窃取恶意软件不断升级的威胁发出警告。警告中提到：这种恶意软件会从受害者的设备中窃取敏感数据，包括登录凭证、财务信息和个人文件等。 越来越多的网络犯罪分子正利用这种信息窃取程序对企业网络进行未经授权的访问，导致企业遭遇勒索软件攻击、数据泄露和经济损失等严重后果。这些数据一旦外流，就会成为暗网市场上的高价商品，网络犯罪分子会将其拍卖给出价最高者。这些被窃取的凭证往往成为更严重攻击的入口，如勒索软件、商业电子邮件泄露和知识产权盗窃。 信息窃取者的能力 信息窃取攻击的生命周期通常分为四个阶段： 1.收购： 网络犯罪分子通过各种渠道获取信息窃取者，包括恶意软件即服务 （MaaS） 平台，这降低了技术不太熟练的犯罪分子的进入门槛。 2.分配： 一旦获得权限，恶意软件就会通过网络钓鱼电子邮件、恶意广告、破解软件和其他欺骗性方法进行分发，通常以用于工作和休闲的个人设备为目标，这种做法在远程工作环境中尤为常见。 3.数据收集： 成功感染后，恶意软件会从受害者的设备中收集敏感信息，重点关注存储在 Web 浏览器中的凭据、身份验证 cookie 和其他关键数据。 4.货币： 最终，被盗数据会统一在暗网市场上出售，通常由初始访问代理购买。这些经纪人专门进入公司网络并将该访问权限转售给其他网络犯罪分子，然后这些网络犯罪分子执行更具破坏性的攻击。 美国可持续发展协会 ACSC 建议企业应采取积极主动的网络安全措施以降低信息窃取者带来的风险的重要性，具体包括： 实施多因素身份验证 (MFA)：在所有关键服务中实施多因素身份验证（MFA），特别是针对特权用户账户。 安全意识培训：定期教育员工有关网络钓鱼、恶意下载的危险以及安全密码管理的重要性。 设备管理：确保所有访问企业网络的设备（包括个人设备）都遵守严格的安全策略。 网络监控：持续监控异常活动，尤其是远程连接和特权账户。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410057.html 封面来源于网络，如有侵权请联系删除