Cybersecurity information flow

本文从美国近年来发布的三个较为权威的网络安全防御性框架出发，对重要单位组织在进行网络安全防御技战术体系构建方面提出一些思考。

RSAC 2024创新沙盒解读：VulnCheck

TRUE Solicitors LLP 是一家总部位于英国，专门从事人身伤害索赔和就业法的著名律师事务所，现已成为臭名昭著的 BlackBasta 勒索软件组织的涉嫌网络攻击的受害者。该勒索软件组织宣布了对 TRUE Solicitors 的网络攻击，但没有提供有关违规程度或受损数据的详细信息。 TRUE Solicitors LLP 以其专业的律师团队而闻名，他们为寻求人身伤害赔偿和各种法律事务协助的客户提供高质量的法律代理。 针对 TRUE Solicitors 的网络攻击：未经证实 为了验证 BlackBasta 勒索软件组织的说法，Cyber Express 团队尝试访问 TRUE Solicitors LLP 的官方网站。然而，团队发现该网站完全正常运行，这给勒索软件组织声明的真实性带来了不确定性。在该公司发布正式声明之前，TRUE Solicitors 网络攻击背后的真相仍然难以捉摸。 这并不是 BlackBasta 勒索软件组织第一次成为头条新闻的主角。 2024 年，该组织将目标锁定为 Leonard’s Syrups，这是一家位于密歇根州的家族企业。暗网论坛上宣布的针对 Leonard’s Syrups 的网络攻击留下了许多悬而未决的问题，网络犯罪分子隐瞒了泄露、受损数据和其动机的关键细节。 在另一起事件中，新增了两名 BlackBasta 勒索软件组织的受害者：南方水务公司 (Southern Water) 和旭硝子玻璃公司 (Asahi Glass Co)。虽然有关攻击范围、受损数据和动机的详细信息尚未披露，但该勒索软件组织设定的暴露数据最后期限仍未知，这也凸显了情况的紧迫性。 TRUE Solicitors网络攻击的影响 如果 BlackBasta 勒索软件组织网络攻击的说法被证明属实，那么影响可能会很大。敏感法律信息和客户数据的泄露可能会对公司、其客户和合作伙伴产生深远的后果。 随着对TRUE Solicitors LLP 网络攻击的进一步调查，利益相关者正在等待该公司就此次违规行为及其影响发表正式声明。在此之前，该行业仍保持高度警惕，准备应对 BlackBasta 勒索软件组织下一次攻击的可能性。 只有时间才能证明这一说法是否属实，或者这一举动可能是网络犯罪分子试图再次散布恐惧和不确定性的氛围。 转自安全客，原文链接：https://www.anquanke.com/post/id/2

Hirsh Industries 是将金属归档、存储和组织产品的领先制造商和供应商，它已成为 RansomHouse 勒索软件组织的攻击目标。勒索软件组织的针对赫什工业公司的网络攻击引发了人们对敏感数据安全性以及对该公司运营情况的担忧。 Hirsh Industries, LLC 以其金属归档和存储解决方案而闻名，可满足个人和商业需求。该公司的收入为 1.621 亿美元，在行业中占有重要地位。 未经证实：赫什工业公司遭受网络攻击 尽管 RansomHouse 勒索软件组织已提出索赔，但尚未披露有关数据泄露程度或网络攻击背后动机的细节。访问官方网站后，该网站似乎功能齐全，没有发现任何不当行为的迹象。 RansomHouse 勒索软件组织对 Hirsh Industries 的攻击标志着他们的攻击名单中的又增添一个新成员。 RansomHouse 之前的攻击 2024 年 4 月，该组织以印度尼西亚区域开发银行Bank Pembangunan Daerah Banten Tbk 为目标。尽管该银行遭受网络攻击的全部范围尚未披露，但鉴于该银行主要针对微型企业和中小企业，其影响可能会很大。 同月早些时候，Lopesan Hotels 成为 RansomHouse 攻击的受害者，据称该组织获得了 650GB 的敏感数据，包括酒店收入和员工信息。 今年 2 月，韦伯国际大学和 GCA Nederland 成为 RansomHouse 组织的攻击目标，暗网门户网站上的受害者名单也随之增加。 RansomHouse 勒索软件组织对 Hirsh Industries 发起的攻击凸显了此类组织对全球组织构成了日益严重的威胁。尽管该说法的真实性尚未得到证实，但该事件为企业加强网络安全防御敲响了警钟。 赫什工业公司 (Hirsh Industries)是该行业的重要参与者，如果网络攻击被证实属实，其影响可能是深远的。敏感数据的泄露不仅会影响公司的运营，还会引起客户和合作伙伴的担忧。此外，潜在的财务损失和声誉损害可能是巨大的。 随着对赫什工业网络攻击的后续调查，利益相关者正在等待该公司就此次违规行为及其影响做出正式回应。 同时，此事件也敦促企业优先考虑加强网络安全措施，尽量降低成为勒索软件攻击受害者的风险。   转自安全客，原文链接：https://www.anquanke.com/post/id/296030 封面来源于网络，

据称，总部位于美国的维生素和膳食补充剂生产商 Piping Rock 遭到入侵，攻击者访问了超过 210 万封电子邮件。 最近，某知名数据泄露论坛上出现了该公司数据的广告。罪魁祸首声称，210 万封被盗电子邮件中隐藏着近 100 万客户的个人详细信息。 攻击者据称已获得该公司 957,384 名客户的个人详细信息，包括： 电子邮件地址 名称 电话号码 家庭住址 购物信息 攻击者的帖子中写道，“管理层在谈判过程中突然停止与我们交涉”，这暗示了黑客一直在与公司讨论数据盗窃问题。 本月早些时候，同一攻击者发布了据称从加拿大折扣连锁店 Giant Tiger 窃取的数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/296014 封面来源于网络，如有侵权请联系删除

据称，一名暗网用户泄露了一个数据库，其中包含与新加坡在线招聘平台 Glints 相关的员工记录。 2024 年 4 月 23 日报道的 Glints 数据泄露事件被添加到一个暗网论坛中，样本数据被泄露，敏感员工信息被特别突出。 根据 nuovo BreachForums 平台上分享的帖子，据称此次数据泄露包含大约 1,000  条 Glint 员工个人身份信息 (PII) 的记录。 了解 Glints 数据泄露索赔 暴露的数据包括敏感详细信息，例如姓名、员工 ID、职务、电子邮件地址、出生日期、实际地址、身份证号码，甚至银行账户信息。这些记录的样本是由黑客提供的，这增加了指控的分量。 这次 Glints 数据泄露的影响延伸到了 Glints Pte Ltd 和 Glints Singapore Pte Ltd 这两个与该招聘平台密切相关的实体。由于新加坡是这一事件的焦点，人们担心这些数据可能被滥用，尤其是在专业服务行业。 BreachForums 上 sedapmalam 发布的帖子明确列出了大量信息，这一全面数据转储凸显了涉嫌违规行为的严重性以及受影响者面临的潜在风险。 对违规和漏洞评估计划的响应 有趣的是，虽然 Glints 网站似乎可以运行，但没有迹象表明前端受到网络攻击。这表明黑客可能绕过了传统的安全措施，直接针对组织的数据库。 值得注意的是，Glints 有一个专门的服务页面，用于邀请安全研究人员识别其平台内的漏洞。虽然招聘公司的数据泄露和漏洞评估平台之间可能的联系尚未得到证实，但所谓的泄露引发了人们对被盗数据是否属于该计划的一部分或只是在暗网平台上重新发布的质疑。   转自安全客，原文链接：https://www.anquanke.com/post/id/295992 封面来源于网络，如有侵权请联系删除

瑞典唯一的酒类零售商 Systembolaget 警告称，勒索软件的攻击导致其主要饮料供应商之一瘫痪，饮料可能很快就会售空。 据当地媒体报道，瑞典饮料供应商 Skanlog 最近遭受朝鲜勒索软件攻击。这次攻击破坏了该公司的 IT 系统，这意味着三个大型饮料仓库无法将货物运送到 Systembolaget 的零售店。 Systembolaget 是一家国有连锁酒类商店，是瑞典唯一一家获准销售酒精含量超过 3.5% 的酒精饮料的商店。根据 Systembolaget 的声明，Skanlog 的供应中断影响了该零售商四分之一的销量。 虽然目前不存在饮料短缺，但总体情况将取决于 Skanlog 恢复运营的速度。与此同时，供应商无法透露何时恢复运送酒精，导致瑞典人需要提前备货。 Skanlog 首席执行官 Mona Zuko 表示，该公司成为了携带 Lockbit 3.0 勒索软件的朝鲜黑客的攻击目标。攻击者于 4 月 21 日晚对该公司的文件进行了加密。   转自安全客，原文链接：https://www.anquanke.com/post/id/295995 封面来源于网络，如有侵权请联系删除

Keonne Rodriguez 和 William Lonergan Hill 被美国司法部指控通过 Samourai（他们运营了近十年的加密货币混合服务）从各种犯罪企业洗钱超过 1 亿美元。 正如替代起诉书中详细描述的那样，犯罪分子还使用 Samourai 的 Whirlpool 加密货币混合器在 2015 年至 2024 年 2 月期间处理了超过 20 亿美元的非法资金。 除了加密货币混合服务外，Samourai 还提供了一项名为“Ricochet”的服务，该服务允许用户使用额外的和不必要的中间交易发送加密货币，以阻止执法和加密货币交易追踪来自犯罪活动的资金。 据称，这项洗钱活动为两位创始人从 Whirlpool 和 Ricochet 交易中赚取了约 450 万美元的费用。 “自 2019 年左右启动 Whirlpool 服务以及 2017 年左右启动 Ricochet 服务以来，超过 80,000 BTC（按每笔交易时的 BTC 兑美元汇率计算，价值超过 20 亿美元）已通过这两个渠道Samourai 运营的服务”，起诉书称。 Samourai 的 Wallet 移动应用程序下载量也超过 10 万次，允许用户存储他们控制的 BTC 地址的私钥，并在匿名金融交易中与其他 Samourai 用户交换资金。 冰岛执法部门已查封 Samourai 的域名（samourai[.]io 和 samouraiwallet[.]com）和网络服务器，Google Play 商店在收到查封令后删除了 Android 移动应用程序。 罗德里格斯今天早上被拘留，并将在接下来的几天内在宾夕法尼亚州西区的美国治安法官面前出庭。 希尔今天上午也在葡萄牙因美国刑事指控而被捕，美国政府计划要求将他引渡到美国，以便他可以接受审判。 他们均被指控犯有两项共谋罪：洗钱（最高刑期 20 年）和经营无证汇款业务（最高刑期 5 年）。 美国司法部表示：“被告在提供 Samourai 作为‘隐私’服务时，知道这是犯罪分子进行大规模洗钱和逃避制裁的避风港。” “Samourai 清洗了超过 1 亿美元的犯罪所得，这些犯罪所得除其他犯罪来源外，还包括丝绸之路和 Hydra 市场等非法暗网市场；各种电信欺诈和计算机欺诈计划，包括网络服务器入侵、鱼叉式网络钓鱼计划以及诈骗多个去中心化金融协议的计划和其他非法行为。”   转自E安全，原文链接：htt

科学家们正在研究人工智能对抗人工智能，以识别深度伪造视频。 人工智能生成的内容已经流行了一段时间，但视频生成最近又发展到了新的高度。自二月份发布以来，OpenAI 的 Sora 以其超现实的合成内容而令人惊叹，所有这些内容都是使用文本提示生成的。这就是它让人们相信其真实性的能力，生成内容现在引起了人们对错误信息传播的日益担忧。 德雷克塞尔工程学院的多媒体和信息安全实验室 (MISL) 十多年来一直致力于创造操纵图像的技术。 目前现有的方法对人工智能生成的视频无效。科学家们评估了 11 种可供公众使用的合成图像探测器。这些程序显示出很高的效率，在检测被篡改的图像方面至少有 90% 的准确率。然而，当负责识别公开可用的 AI 生成器生成的视频时，它们的性能下降了 20-30%。 德雷克塞尔工程学院副教授兼 MISL 主任马修·斯塔姆 (Matthew Stamm) 博士在一份报告中表示：“在没有一个好的系统来检测不良行为者制造的假货之前，这种视频技术就已经发布，这真是令人不安。” Stemm 认为，一旦该技术公开，恶意使用就不可避免。“这就是为什么我们正在努力通过开发新技术来从媒体特有的模式和特征中识别合成视频，以保持领先地位。”他补充道。 直到最近，图像处理还依赖于照片和视频编辑程序来改变像素、调整速度或操纵帧。然而，这些编辑留下了数字痕迹，MISL 的科学家已经使用他们的工具套件有效地识别了这些痕迹。 虽然文本到视频生成器不是由相机生成的，也不是由视觉软件编辑的，但它们在检测操纵方面提出了新的挑战。在 MISL 的最新研究中，科学家们决定使用 AI 对抗 AI 来确定生成式 AI 程序如何构建视频。他们成功地训练了一种称为约束神经网络的机器学习算法。 该网络能够在粒度级别上了解合成视频的外观，并将这些知识应用于使用 AI 视频生成器生成的一组新视频，例如Stable Video Diffusion, Video-Crafter, and Cog-Video，以及以前未知的程序。 该算法在识别合成视频和准确识别用于创建视频的程序方面的效率超过 93%。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/naGdbz_1Uj0JPUrc50mSUg 封面来源于网络，如有侵权请联系删除

知名智能门铃/摄像头厂商 Ring，不但未能阻止员工和黑客窥探用户，而且未经用户同意使用用户视频训练算法，其产品在乌克兰等地甚至被滥用成监控工具，最终因产品安全漏洞和用户隐私泄露而遭受重罚。 近日，美国联邦贸易委员会(FTC)将向智能家居安防厂商 Ring 的用户发放总计 560 万美元的退款，主要原因如下： Ring 用户的私人视频录像遭到亚马逊员工和承包商的未经授权访问 Ring 未经用户同意使用用户视频训练算法 因产品安全防护不足导致用户账户和设备被黑客入侵 该处罚是 2023 年 5 月 FTC 针对 Ring 提起诉讼后达成的和解协议的一部分。诉讼指控 Ring 未实施足够的安全措施来保护设备免遭未授权访问。 Ring 是亚马逊的一家子公司，以其智能家居安防产品而闻名全球，主打产品包括视频门铃、室内外安全摄像头、中央警报集线器、智能传感器、运动感应灯等。这些设备连接互联网，用户可以通过移动应用程序远程访问和控制。 FTC 在最初的起诉书中称，Ring 为了提高工作效率和开发速度，允许其员工无限制访问用户的Ring 设备。此外，Ring 还向高级客户支持人员授予了高级访问权限，其中包括数百名位于乌克兰和其他地方的第三方承包商，他们可以在没有限制的情况下操作设备，无法保护客户免遭滥用访问的侵害。 除了内部访问政策松懈之外，FTC 还指控Ring 直到 2019 年才实施基本的安全措施，例如多因素认证(MFA)。这使得用户账户更容易被劫持，攻击者可以通过凭证填充和暴力破解攻击来访问私人视频录像。 作为对用户损失的补偿，根据和解协议，FTC 将通过PayPal 向 11.7 万名 Ring 用户（由 Ring 提供名单）直接发放退款。 FTC 指出，所购买产品存在投诉中指控的隐私和安全问题的 Ring 用户都有资格获得退款。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16236.html 封面来源于网络，如有侵权请联系删除

近日，网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。 老牌恶意软件藏身U盘 PlugX 是有着十多年历史的老牌恶意软件（蠕虫病毒），最早可追溯到 2008 年，最初只被亚洲的黑客组织使用，主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后，PlugX 被改造成大众化的流行黑客工具，被全球网络犯罪分子广泛使用，其中一些黑客组织将其与数字签名软件结合，用于实施侧加载加密的攻击载荷。 PlugX 的最新变种增加了蠕虫组件，可通过 U 盘感染物理隔离系统。2023 年派拓网络公司（PaloAltoNetwork）的 Unit42 团队在响应 BlackBasta 勒索软件攻击时，在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播，并能将目标敏感文件隐藏在 U 盘中。 2023 年 3 月，Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种，并称其已经“传播了半个地球”。 全球 250万台主机中招，中美都是重灾区 六个月前，Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种（Sinkhole）的命令和控制(C2)服务器。 在 Seqoia 联系托管公司并请求控制 IP 后，研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ，并使用该 IP 获得了对服务器的 shell 访问权限。 分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，捕获来自受感染主机的 HTTP 请求并观察流量的变化。 C2 服务器的操作记录显示，每天有 9-10 万个主机发送请求，六个月内全球有近 250 万个独立 IP 连接到该服务器（下图）： 研究人员发现，PlugX 已传播到全球 170 个国家，但集中度较高，15 个国家占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。 研究人员强调，由于被废弃的 PlugXC2 服务器没有唯一标识符，这导致受感染主机的统计数字可能并不十分准确，因为： 许多受感染的工作站可以通过相同的 IP 地址连接 由于采用动态 IP 寻址，一个受感染系统可以连接多个 IP 地址 许多连接是通过 VPN 服务进行的，这可能使来源国家/地区的数据失真 两种杀毒方法 Sekoia 建

有研究人员披露，黑客目前正积极利用 WordPress 的 WP Automatic 插件中的一个严重漏洞来创建具有管理权限的用户账户，并植入后门以实现长期访问。 WP Automatic 现已被安装在 30000 多个网站上，让管理员自动从各种在线资源导入内容（如文本、图片、视频），并在 WordPress 网站上发布。该漏洞被认定为 CVE-2024-27956，严重程度为 9.9/10。 3 月 13 日，PatchStack 漏洞缓解服务的研究人员公开披露了这一漏洞，并将其描述为一个 SQL 注入漏洞，存在于插件的用户验证机制中，攻击者可以绕过该机制来执行恶意 SQL 查询。 通过发送特制请求，攻击者还可以将任意 SQL 代码注入站点的数据库并获得提升的权限。可能影响到 3.9.2.0 之前的 WP Automatic 版本。 已观察到超过 550 万次攻击尝试 自 PatchStack 披露该安全问题以来，Automattic 的 WPScan 已观察到超过 550 万次试图利用该漏洞的攻击，其中大部分攻击记录于 3 月 31 日。 WPScan 报告称，在获得目标网站的管理员访问权限后，攻击者会创建后门并混淆代码，使其更难被发现。 WPScan 的一份报告中指出：一旦 WordPress 网站被入侵，攻击者就会通过创建后门和混淆代码来确保其访问的持久性。为了防止其他黑客利用同样的问题入侵网站并避免被发现，黑客还会将有漏洞的文件重命名为 “csv.php”。黑客一旦成功控制了网站，通常会安装额外的插件，允许上传文件和编辑代码。 WPScan 提供了一套入侵指标，可以帮助管理员确定网站是否被黑客入侵。管理员可以通过查找是否存在以 “xtw ”开头的管理员账户以及名为 web.php 和 index.php 的文件（这两个文件是在最近的攻击活动中植入的后门）来检查黑客接管网站的迹象。 为降低被入侵的风险，研究人员建议 WordPress 网站管理员将 WP Automatic 插件更新到 3.92.1 或更高版本。 为了应对这种威胁，研究人员敦促网站所有者立即采取行动保护他们的 WordPress 网站。并提出了几种主要的缓解措施，包括： 插件更新： 确保 WP-Automatic 插件已更新到最新版本。 用户帐户审查：定期审查和审核 WordPress 中的用户帐户，删除任何未经授权或可疑的管理员用户。 

bof-launcher是一款针对Beacon对象文件（BOF）的安全测试工具，可以轻松在C/C++/Zig应用程序中执行Beacon对象文...

绍了针对邮件轰炸攻击的解决方案以及Kaspersky Secure Mail Gateway的特性

介绍了libksieve库中的一个漏洞，该漏洞导致密码以明文形式被发送到服务器日志中

2024年第一季度，Cisco Talos Incident Response（Talos IR）观察到业务电子邮件compromise（BEC）是最主要的威胁，占近一半的威胁。制造业是本季度最受攻击的行业。BEC和勒索软件是制造业面临的主要威胁。

介绍了攻击者利用规避技术来规避检测和延长对受损系统的停留时间，同时讨论了云基础设施受到攻击的情况，以及加固安全防护的趋势和策略。同时提到了2023年受到攻击的组织中超过一半是从外部来源得知事件的，其中以勒索软件相关入侵最为常见。因此，强调了对安全事件的迅速响应的紧迫性。

分析了CoralRaider威胁行动的策略、技术和程序(TTPs)，以及利用FoDHelper.exe等安全逃避技术的使用。

利用Cisco防火墙中的两个零日漏洞进行攻击

关于Cactus勒索软件组利用Qlik Sense服务器进行初始访问的漏洞披露和分析。

文章披露了一种从拦截到的AI聊天机器人消息提取信息的攻击手法

文章分享了一次游戏sign绕过，仅供参考学习。

这一次，我要做网安超级白帽，把属于我的全都拿回来！

日前，安全研究人员发现了一种新的安卓银行木马&ampamp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp...

通过本次成功接管，Sekoia得以分析网络流量、绘制感染分布图、预防对客户的恶意利用，并制定出有效的清除计划。

文章分享了一次游戏sign绕过，仅供参考学习。

JNDI注入测试工具（A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc）

The original sources of MS-DOS 1.25, 2.0, and 4.0 for reference purposes

在全球广泛传播的“教父”（Godfather）系列银行木马已经衍生出超1000个变种样本，针对上百个移动端银行应用程序。

为降低被入侵的风险，研究人员建议 WordPress 网站管理员将 WP Automatic 插件更新到 3.92.1 或更高版本。