Cybersecurity information flow

干净的信息流推送工具,偏向安全圈的点点滴滴,为安全研究人员每日发现优质内容.

了解更多 »

全部节点
时间 节点
2024年5月24日 16:33 hackernews.cc
疑似国家级黑客入侵了纽交所母公司的VPN设备,试图窃取该设备上的用户账号信息,以进一步渗透内网;该公司评估事件影响极小,但SEC认为其作为市场关键主体,未能及时上报事件,以此处罚1000万美元。 安全内参5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞,遭美国证券交易委员会(SEC)指控,需支付1000万美元(约合人民币7245万元)罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司,在全球范围内拥有并经营多家金融交易所和结算所,包括纽约证券交易所。2023年,该公司雇佣了超过1.3万名员工,报告总收入为99.03亿美元。 美国《监管系统合规性和完整性》(Regulation SCI)法规要求,如公司发现入侵等安全事件,必须立即通知SEC,并在24小时内提供更新,除非他们确定事件对其业务或市场参与者的影响微乎其微。 SEC表示:“被告受Reg SCI监管,但却未能按要求通知SEC有关入侵事件。相反,委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。” “SEC在命令中指控,洲际交易所足足花了四天时间评估事件影响,得出内部结论,认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中,每一秒都很重要,四天过于漫长。” 洲际交易所于2021年4月15日发现了这一事件。此前,第三方通知洲际交易所,可能发生了与其VPN设备中未知漏洞有关的系统入侵。 疑为国家级黑客入侵 后续调查发现,一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码,用于远程访问洲际交易所的企业网络。 SEC的命令显示:“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码,试图窃取该设备处理的信息,包括员工姓名、密码和多因素认证代码。利用这些数据,威胁行为者或能访问内部企业网络。” 洲际交易所的安全团队发现证据表明,威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”,但是他们依然确定攻击者只访问了一台被入侵的VPN设备。 SEC表示,洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞,违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误,洲际交易所子公司未能正确评估入侵情况,并未履行Reg SCI规定的披露义务。 洲际交易所及其子公司同意接受SEC的命令,承认子公司违反了Regulatio
2024年5月24日 16:33 hackernews.cc
针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件,都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到:虚拟化平台是组织IT基础设施的核心组成部分,但它们往往存在固有的错误配置和漏洞,这使它们成为威胁行为者有利可图和高度有效的滥用目标。 这家以色列公司通过对LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各种勒索软件家族的事件响应工作发现,对虚拟化环境的攻击遵循类似的行动顺序。 这包括以下步骤: 通过网络钓鱼攻击、恶意文件下载和利用面向互联网资产的已知漏洞获取初始访问权限 利用暴力攻击或其他方法提升权限,获取 ESXi 主机或 vCenter 的凭证 验证他们对虚拟化基础架构的访问权限并部署勒索软件 删除或加密备份系统,或在某些情况下更改密码,使恢复工作复杂化 将数据渗出到外部位置,如 Mega.io、Dropbox 或他们自己的托管服务 启动勒索软件的执行以加密 ESXi 文件系统的”/vmfs/volumes “文件夹 将勒索软件传播到非虚拟化服务器和工作站,以扩大攻击范围 为降低此类威胁带来的风险,建议企业确保实施充分的监控和日志记录,创建强大的备份机制,执行强有力的身份验证措施,加固环境,并实施网络限制以防止横向移动。 网络安全公司 Rapid7 警告称,自 2024 年 3 月初以来,该公司一直在利用常用搜索引擎上的恶意广告,通过错别字域名分发 WinSCP 和 PuTTY 的木马安装程序,并最终安装勒索软件。 这些伪装安装程序充当了投放 Sliver 后期漏洞工具包的渠道,该工具包随后被用于投放更多有效载荷,包括用于部署勒索软件的 Cobalt Strike Beacon。 该活动与之前的 BlackCat 勒索软件攻击在战术上有共同之处,后者使用恶意广告作为初始访问载体,是交付氮气恶意软件的重复性活动的一部分。 安全研究员Tyler McGraw说:该活动一定程度上影响了 IT 团队的成员,他们最有可能在寻找合法版本的同时下载木马文件。 勒索软件攻击 恶意软件一旦被成功执行可能会为威胁行为者提供更多便利,让其通过模糊后续管理操作的意图来阻碍分析。 此次攻击也是继Beas
2024年5月24日 16:33 hackernews.cc
近日,安全研究人员揭露了一系列利用亚马逊 S3、谷歌云存储、Backblaze B2 和 IBM 云对象存储等云存储服务的犯罪活动。这些活动由未具名的威胁行为者发起,目的是将用户重定向到恶意网站,利用短信窃取他们的信息。 根据 Enea 今天发表的一篇技术文章,攻击者有两个主要目标。 威胁行为者要确保诈骗短信能在不被网络防火墙检测到的情况下发送到手机上。 威胁行为者试图让终端用户相信他们收到的短信或链接是可信的。 威胁行为者利用云存储平台托管带有嵌入式垃圾邮件 URL 的静态网站,使其信息看起来合法,并避开常见的安全措施。 云存储服务允许企业存储和管理文件,并通过在存储桶中存储网站资产来托管静态网站,威胁行为者利用这一功能,将垃圾邮件 URL 嵌入存储在这些平台上的静态网站中。 他们通过短信分发链接到这些云存储网站的 URL,由于知名云域被认为是合法的,这些 URL 通常可以绕过防火墙限制。用户一旦点击这些链接,就会在不知情的情况下被重定向到恶意网站。 例如,谷歌云存储域名 “storage.googleapis.com” 就被攻击者用来创建链接到垃圾网站的 URL。托管在谷歌云存储桶中的静态网页采用了 HTML 元刷新技术,可立即将用户重定向到诈骗网站。威胁行为者利用这种方法诱骗用户访问欺诈网站,这些网站通常会模仿礼品卡促销等合法优惠活动,以窃取用户的个人信息和财务信息。 Enea 还观察到亚马逊网络服务(AWS)和 IBM 云等其他云存储服务也采用了类似的策略,即通过短信中的 URL 进入托管垃圾邮件的静态网站。 为防范此类威胁,Enea 建议监控流量行为、检查 URL 并警惕包含链接的意外消息。   转自Freebuf,原文链接:https://www.freebuf.com/news/401751.html 封面来源于网络,如有侵权请联系删除
2024年5月24日 16:13 hackernews.cc
GitLab 修补了一个高严重性漏洞,未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。 该安全漏洞(跟踪为CVE-2024-4835)是 VS 代码编辑器(Web IDE)中的一个 XSS 弱点,它允许攻击者使用恶意制作的页面窃取受限信息。 虽然他们可以在不需要身份验证的攻击中利用此漏洞,但仍然需要用户交互,从而增加了攻击的复杂性。 GitLab发布 GitLab 社区版(CE)和企业版(EE)的 17.0.1、16.11.3 和 16.10.6 版本以修复漏洞。GitLab官方建议所有 GitLab 用户立即升级到其中一个版本。 周三,该公司还修复了其他六个中等严重程度的安全漏洞,包括通过 Kubernetes 代理服务器的跨站点请求伪造 (CSRF) (CVE-2023-7045) 和一个可能让攻击者破坏 GitLab Web 资源加载的拒绝服务漏洞 (CVE-2024-2874)。 安全公告链接:https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/ 旧账户劫持漏洞被积极利用 GitLab 是一个受黑客欢迎的攻击目标,它以托管各种类型的敏感数据而闻名,包括 API 密钥和专有代码。 如果攻击者在 CI/CD(持续集成/持续部署)环境中插入恶意代码,危及组织的存储库,那么被劫持的 GitLab 帐户可能会产生重大影响,包括供应链攻击。 正如 CISA 本月早些时候警告的那样,攻击者目前正在积极利用 GitLab 在一月份修补的另一个零点击账户劫持漏洞。安全漏洞编号为 CVE-2023-7028,允许未经身份验证的攻击者通过密码重置来接管 GitLab 帐户。 尽管 Shadowserver在 1 月份发现了超过 5,300 个易受攻击的 GitLab 实例在线暴露,目前仍有一半未修复,可访问的还2,084 个。 CISA于 5 月 1 日将 CVE-2023-7028 添加到其已知被利用漏洞目录中,要求美国联邦机构在 5 月 22 日之前的三周内保护其系统。     转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/Iy51an0r5EXNuAHzvmXgQQ 封面来源于网络,如有侵权请联系删除
2024年5月24日 16:13 hackernews.cc
黑客组织“Sharp Panda”正在开展网络间谍活动,其目标已扩大到非洲和加勒比地区。 Check Point 在一份报告中表示:“此次攻击活动采用 Cobalt Strike Beacon 作为有效载荷,启用 C2 通信和命令执行等后门功能,同时最大限度地减少其自定义工具的暴露。”“这种精妙的方法表明他们对目标有更深入的了解。” 以色列网络安全公司正在以新名称“Sharp Dragon”跟踪这一活动,称对手在瞄准目标时十分谨慎,同时正在扩大侦察力度。 该活动于 2021 年 6 月首次曝光,当时被发现针对东南亚,在 Windows 系统上部署了一个名为 VictoryDLL 的后门。 Sharp Dragon随后发起的攻击将目光瞄准了东南亚备受瞩目的实体,以传播Soul 模块化恶意软件框架,然后该框架用于从攻击者控制的服务器接收其他组件,以促进信息收集。 有证据表明,Soul 后门自 2017 年 10 月以来一直在酝酿中,采用了Gh0st RAT 和其他公开的黑客工具。 另一组攻击发生在 2023 年 6 月,目标是 G20 国家的高级政府官员。 Sharp Panda 行动的关键是利用 1day 安全漏洞(例如 CVE-2023-0669)渗透基础设施,以便以后用作命令和控制 (C2) 服务器。另一个值得注意的方面是使用合法的模拟框架 Cobalt Strike 而不是自定义后门。 更重要的是,最新一系列针对非洲和加勒比地区的攻击表明其原有目标有所扩大,其作案手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件,感染这两个地区的新目标。 这些消息带有恶意附件,利用 Royal Road 富文本格式 (RTF) 武器化来投放名为 5.t 的下载程序,该下载程序负责进行侦察并启动 Cobalt Strike Beacon,从而允许攻击者收集有关目标环境的信息。 诱饵文档 Check Point 补充道,使用 Cobalt Strike 作为后门不仅可以最大限度地减少自定义工具的暴露,而且还表明了“改进的目标评估方法”。 自 2023 年 5 月以来 Sharp Dragon 的感染链 有迹象表明攻击者正在不断改进其策略,最近的攻击序列已被观察到使用伪装成文档的可执行文件来启动感染,而不是依靠利用远程模板的 Word 文档下载被 Royal Road 武器化的 RTF 文件。   转自会杀毒
2024年5月23日 17:53 hackernews.cc
威尔士橄榄球管理机构威尔士橄榄球联盟(WRU)泄露了含近7万名成员个人信息的数据集。 橄榄球和网络安全至少有一个共同点——防御不力会导致失败。Cybernews研究团队的最新发现表明,该组织泄露了成千上万名成员的信息,WRU应该弥补其网络安全漏洞。 根据团队的报告,WRU公开了一个亚马逊网络服务(AWS)简单存储服务(S3)桶。该暴露的实例包含1419个文本文件,涉及69,317名WRU成员的详细信息。 WRU会员资格赋予成员优先购票权、独家内容和其他会员专属权益。同时,WRU是威尔士的橄榄球管理机构。尽管威尔士是英国的一部分,但在橄榄球和足球等其他体育比赛中作为独立实体参赛。 泄露数据的样本截图 WRU成员被泄露的数据 研究人员称,泄露的实例包含数万名WRU成员的大量数据,包括: 姓名 出生日期 家庭住址 电话号码 电子邮件地址 会员购买日期 会员付款方式 购买的会员类型 对于受影响的个人来说,这些被泄露的个人信息具有严重的信息安全影响。研究团队指出,黑客可以利用这些数据进行社会工程攻击。 “通过利用这些数据,攻击者可以使用操纵策略,诱使毫无戒心的人透露更多敏感信息或者采取危及其安全的行动,”我们的研究人员表示。 此外,泄露的电子邮件地址和电话号码为鱼叉式网络钓鱼或其他针对性社会工程攻击提供了大量基础。黑客可以利用泄露的详细信息,伪造合法来源的欺诈通讯,包括电子邮件、消息或电话。 “由于这种骗局看起来很真实,受害者可能会在不经意间上当,包括下载感染的附件、点击危险链接或泄露登录信息,”研究团队表示。 另一种滥用泄露信息的手段是网络安全专家所称的“人肉搜索”(doxxing),即曝光家庭住址。黑客可能会利用泄露的详细信息进行盗窃、入室抢劫或实体入侵。 减轻泄露影响的方法 为了减轻AWS S3桶中数据被泄露的危险,研究人员建议对访问日志进行回顾性监控,并评估是否有未经授权的用户访问该桶。 管理员还应利用AWS的服务器端加密工具,如KMS或AWS S3管理的密钥,对敏感数据进行加密,并修改桶的访问设置。 WRU并非第一个泄露用户数据的体育管理机构。今年早些时候,研究人员发现澳大利亚的足球管理机构——澳大利亚足球协会(Football Australia)泄露了秘密密钥,这可能导致127个数据桶被访问,其中包括购票者的个人数据和球员的合同及文件。 体育相关组织是网络犯罪分子的理想目标。例如,法国足球管理机构——法国足球
2024年5月23日 16:33 hackernews.cc
Bitdefender 安全研究人员披露了一个名为Unfading Sea Haze的先前未记录的威胁组织的详细信息,据信该组织自 2018 年以来一直活跃。 Bitdefender 在一份报告中表示,这次入侵专门针对东南亚地区。 攻击者多次重新获得对受感染系统的访问权限。这次攻击凸显了一个关键漏洞:凭证管理不佳以及对暴露设备和网络服务的修补措施不足。 研究人员表示,攻击者的行为特征与任何已知黑客团队都不重叠。此次攻击使用了Gh0st RAT 恶意软件的不同版本,这是一种已知的商品木马。 Bitdefender 表示:Unfading Sea Haze 采用的一项特定技术——通过名为 SharpJSHandler 的工具运行 JScript 代码——类似于‘ FunnySwitch ’后门中发现的一项功能。 据观察,Unfading Sea Haze 通过包含陷阱档案的鱼叉式网络钓鱼电子邮件获得对目标实体的访问权限。 这些存档文件附带 Windows 快捷方式 (LNK) 文件,启动后,会通过执行旨在从远程服务器检索下一阶段有效负载的命令来启动感染过程。此有效负载是一个名为 SerialPktdoor 的后门,旨在运行 PowerShell 脚本、枚举目录、下载/上传文件以及删除文件。 此外,该命令利用 Microsoft 构建引擎 ( MSBuild ) 以无文件方式执行位于远程位置的文件,从而不会在受害者主机上留下任何痕迹,并降低检测到的机会。 滥用 msbuild.exe 启动无文件攻击 攻击链的特点是使用计划任务作为建立持久性的一种方式,任务名称模拟合法的 Windows 文件,这些文件用于运行无害的可执行文件,该可执行文件容易受到DLL 侧面加载的影响,从而加载恶意 DLL。 Gh0st 变体部署的大致时间表 Bitdefender 表示:“除了使用计划任务外,攻击者还采用了另一种持久性技术:操纵本地管理员帐户。包括尝试启用已禁用的本地管理员帐户,然后重置其密码。” 据了解,至少自 2022 年 9 月以来,Unfading Sea Haze 就开始采用市售的远程监控和管理 (RMM) 工具(例如 ITarian RMM)来在受害者网络中站稳脚跟。 攻击者的复杂程度可以从其武器库中的各种自定义工具中看出,其中包括 Gh0st RAT 的变种,例如 SilentGh0st 及其进化后继者 Insidiou
2024年5月23日 16:13 hackernews.cc
近日,伊朗国家黑客组织用数据擦除器对以色列40家重要组织实施了大规模的网络攻击活动。 双拳出击 根据Check Point Research的研究报告,伊朗情报和安全部(MOIS)麾下有两个高级黑客组织(APT),其中一个名为Scarred Manticore(疤面蝎狮,也称Storm-861),是伊朗最顶尖的间谍黑客组织,常年对中东及其他地区的高价值组织进行监视。该组织的攻击效率很高,获取了很多高价值目标的初始访问权限;另一个MOIS的高级黑客组织Void Manticore(也称Storm-842)也会利用Scarred Manticore获得的初始访问权限,开展自己的破坏性活动。 据报道,到目前为止,Void Manticore声称已成功攻击了超过40个以色列组织,并在阿尔巴尼亚也发起多次高调的攻击活动。 协同作战 这两个伊朗黑客组织之间的合作模式简单且高效,充分利用了各自的优势。 Check Point对Void Manticore的攻击和信息泄露进行分析后发现,其受害者与Scarred Manticore的受害者群体存在显著重叠,表明这两个组织之间存在合作,某些案例中还发现有明确的“交接”程序(下图): 首先,Scarred Manticore进行间谍活动,通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露,通常持续超过一年。 当发生一些升级事件时,比如以色列哈马斯之间爆发冲突,攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动,这时就轮到Void Manticore开始施展拳脚。 Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴,主要使用简单且大部分公开可用的工具发动攻击,例如使用远程桌面协议(RDP)进行横向移动,并手动部署数据擦除器。 与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。 破坏行动 Void Manticore在以色列的行动使用“Karma”的代号。 以色列与哈马斯冲突爆发后不久,Karma就通过Telegram Channel介入冲突,并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站,发动反对以色列政府,特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物,因此使用蝴蝶图标作为其标志的一部分。 Karma的另一个任务是彻底的破
2024年5月23日 15:53 hackernews.cc
当电脑有了像素级“记忆”,知道你看过的一切,做过的一切,不再有“阅后即焚”,可能意味着一场地狱级的隐私灾难。 近日,作为新发布的人工智能电脑“Copilot+PC”的最大亮点,微软在Build大会上发布了一个名为“回忆”(Recall)的新AI功能,可记住用户在电脑上的所见所为并智能检索回溯,引发了全球用户的广泛关注甚至恐慌。 尽管微软声称“回忆功能”记录的数据经过加密并存储在本地,但该功能仍然引起了大量用户对隐私问题的担忧。特斯拉创始人马斯克更是在X上发推文怒斥Windows的回忆功能堪比《黑镜》中的恐怖技术,必须关闭。 全程录屏的“回忆功能” 与常见的基于时间线和数据历史版本的回滚和恢复不同,“记忆功能”提供一种类似录屏的“视觉记忆”,允许Windows 11用户搜索和检索他们在PC上的所有历史活动(包括你的所有操作和屏幕历史截图)。 根据微软官网介绍,“回忆功能”利用了Copilot+PC人工智能电脑的高级处理能力,每隔几秒钟对用户的活动屏幕进行一次截图。这些截图被加密后存储在用户PC的硬盘上,用户可以通过搜索或时间线滚动来定位和查看这些内容。 “回忆功能”有些类似Windows 10中的时间线功能(该功能已在2021年停止),但“回忆功能”增加了持续截图(类似录屏)的功能。这方面,“回忆功能”与Mac第三方应用Rewind有许多相似之处,Rewind同样记录用户活动以供稍后回放。 除了视觉记忆外,“回忆功能”一个重要卖点是可以帮助用户快速找到特定时间段内的历史信息,提供相应的上下文,还支持通过AI功能对会议记录和观看过的视频进行转录和翻译。 更为“恐怖”的是,借助微软的人工智能助手,用户只需要通过语言描述(提示),就可以找到在屏幕中出现过的,用户自己都没注意的信息(例如滚动电商网站列表页一闪而过的某款棕色手提包,直播视频中某个人物的特写)。通常,如果一个页面或会话窗口被关闭,且用户没有收藏或者截图的话,这类信息很难被定位和回溯。 目前阶段,用户使用Windows的“回忆功能”有一定硬件配置要求。用户需购买搭载高通Snapdragon X Elite芯片并配备神经处理单元(NPU)的Copilot+PC,最低配置为256GB硬盘空间和50GB可用空间。 默认情况下,256GB设备的“记忆功能”需要分配的存储空间为25GB,可存储约三个月的截图。用户可以在PC设置中调整存储分配,当分配的存储空间满时,旧的截图
2024年5月23日 15:53 hackernews.cc
近日,数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山,黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头,为开发人员和管理人员提供产品,该公司拥有 10000 多名员工,2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683( CVSS 得分为 8.3),经过仔细分析得出,黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示,鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务,以帮助其团队协同工作和共享信息。这样的话,黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统,并盗取受害者大量数据信息。 更为糟糕的是,CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码,而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是,虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据,平均赎金要求为 530 万美元,因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后,便立刻针对两个受影响的服务发布了修复程序。然而,其安全团队还是发现数十万个易受攻击的实例暴露在互联网上,不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出,共有多达 224962 个数据中心和服务器实例暴露在互联网上,威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中,一旦有了“立足点”,就可以轻松获得对系统的完全控制,随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外, Atlassian 暴露的实例还危及到很多普通用户。研究人员认为,黑客可以窃取受害者登录凭证,从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此,研究人员强调,RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体,可以获得进入目标系统的初始入口,帮助勒索软件团伙开展攻击活动,( Cyber news 勒索软件监控工具 Ransomlooker 
2024年5月23日 15:53 hackernews.cc
近日微软宣布将于 2024 年下半年开始弃用 VBScript,可能会先把该功能列为按需功能,后面会逐步删除。 按需功能(FOD)是可选的 Windows 功能,如 .NET Framework (.NetFx3) 、Hyper-V、Windows Subsystem for Linux,默认情况下不安装,但可根据自身需要添加。 微软项目经理 Naveen Shankar表示:多年来,技术不断进步,出现了 JavaScript 和 PowerShell 等功能更强大、用途更广泛的脚本语言。这些语言提供了更广泛的功能,也更适合现代网络开发和自动化任务。 因此,在2024年下半年发布的新操作系统中,VBScript 将以按需提供功能(FOD)的形式提供。随着微软向更高效的 PowerShell 体验过渡,该功能将从未来的 Windows 操作系统版本中完全“退役”。 微软的停用计划包括三个阶段: 第一阶段将从 2024 年下半年开始,在 Windows 11 24H2 中默认启用 VBScript 作为可选功能; 第二阶段将于 2027 年左右开始,VBScript 仍将作为按需功能提供,但将不再预装; 作为淘汰过程第三阶段的一部分,VBScript 将在未来的 Windows 版本中退役和淘汰。 因此,所有 VBScript 动态链接库(.dll 文件)都将被删除,使用 VBScript 的项目也将停止运行。 VBScript 过时时间表 该公司在 10 月份首次透露,在作为系统组件提供了 30 年之后,它将在 Windows 中关闭 VBScript(又称 Visual Basic Script 或 Microsoft Visual Basic Scripting Edition)。 这种编程语言通常捆绑在 Internet Explorer 中(部分 Windows 10 版本将于 2023 年 2 月禁用),同时有助于使用 Windows Script 自动执行任务和控制应用程序。 微软在 Windows 10 的 Internet Explorer 11 中默认禁用了 VBScript,并在 2019 年 7 月的 “补丁星期二 “累积更新中禁用。 不过这只是微软移除黑客用作攻击载体的 Windows 和 Office 功能战略的一部分,最终目的主要还是为了让用户免于感染恶意软件。 
2024年5月22日 17:42 hackernews.cc
5月21日,LockBit 勒索软件团伙声称他们是四月份针对加拿大药房连锁店伦敦药房网络攻击的幕后黑手,并威胁将在谈判失败后公开被盗数据。 伦敦药房在加拿大阿尔伯塔省、萨斯喀彻温省、曼尼托巴省和不列颠哥伦比亚省的80多家门店中拥有超过9000名员工,主要提供医疗保健和药房服务。 4月28日的一次网络攻击迫使伦敦药房关闭了在加拿大西部的所有零售店。该公司表示,没有发现客户或员工数据受到影响的证据。 “如果我们的调查表明有任何一个人的信息被泄露,我们会根据隐私法通知受影响的人和相关隐私专员,”该药房连锁店表示。 5月9日,伦敦药房的总裁兼首席运营官(COO)Clint Mahlman再次确认,受雇进行取证调查的第三方网络安全专家未发现“含健康数据和LDExtras数据的客户数据库”被泄露的证据。 虽然伦敦药房已经重新开放了此前关闭的门店,但公司网站仍然无法访问,且显示错误信息:“服务器遇到内部错误,无法完成请求。” 昨天早些时候,LockBit 勒索软件组织将伦敦药房添加到其勒索门户网站,声称对4月份的网络攻击负责,并威胁要公开据称从该公司系统中窃取的数据。 伦敦药房被列入 LockBit 勒索网站 该勒索软件团伙尚未提供任何证据来证明从伦敦药房的服务器中窃取了文件,只声称与伦敦药房关于支付2500万美元赎金的谈判失败。 尽管伦敦药房并未确认 LockBit 的说法,但在它与 BleepingComputer 分享的一份声明中表示,伦敦药房知道该勒索软件团伙声称窃取了“可能包含员工信息的公司总部文件”——如上图所示,LockBit 仅提到“被盗数据”。 伦敦药房补充道,他们不会也无法支付 LockBit 要求的赎金,但承认该团伙“可能会在暗网上泄露窃取的伦敦药房公司文件,其中一些文件可能包含员工信息”。 “在目前的调查阶段,我们无法提供可能受影响员的工个人信息性质或受影响程度的具体信息。我们的审查正在进行中,但由于这次网络事件造成了系统损坏,我们预计这项审查将需要一些时间,”伦敦药房表示。 “出于极度谨慎的考虑,我们已主动通知所有现任员工。无论最终是否发现他们的数据被泄露,我们都提供了24个月的免费信用监控和身份盗用保护服务。” LockBit勒索软件的兴起与衰落 该勒索软件即服务(RaaS)运营于2019年9月以ABCD的身份首次出现,后来改名为LockBit。 自从它出现以来,LockBit声称对全球许多政府和知
2024年5月22日 14:52 hackernews.cc
近日,在产品接连曝出多个严重漏洞后,工业自动化巨头罗克韦尔(Rockwell Automation)向其全球客户发出紧急通知,要求他们立即采取行动切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接,原因是全球地缘政治局势紧张,(针对罗克韦尔设备的)网络攻击活动日益猖獗。 罗克韦尔表示,网络安全人员绝不应将此类工控系统设备配置为允许来自本地网络以外的系统远程连接。通过断开互联网连接,企业可以大幅减少自身遭受攻击的风险面,确保黑客组织Akteure(德语,意为行动者,此处指网络攻击者)无法直接访问尚未修复安全漏洞的罗克韦尔工控系统,从而阻止攻击者获取目标内部网络的访问权限。 罗克韦尔在通知中指出:“断开网络连接作为积极防御措施,可以缩小攻击面,并能立即降低来自外部威胁Akteure的未授权恶意网络活动风险。” 罗克韦尔还提醒客户采取必要的缓解措施,以保护其设备免受以下影响Rockwell ICS设备的安全漏洞的攻击(其中包括五月份最新披露的多个严重漏洞): 美国网络安全和基础设施安全局(CISA)也在今天发布了警报,重点强调了罗克韦尔关于减少ICS设备遭受网络攻击的新指南。 本月初,包括美国国家安全局、联邦调查局、CISA以及加拿大和英国的网络安全机构在内的一些美国联邦机构警告称,亲俄黑客组织可能会通过入侵不安全的OT系统来扰乱关键基础设施运营。 其中一个名为“俄罗斯网络军团”的组织,被Mandiant公司关联到沙虫组织(Sandworm),后者据称是俄罗斯联邦对外情报局(GRU)的一个黑客组织,也是俄罗斯的对外军事情报机构。   转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/_klILoB3Kk2Hl0FV-pzkkA 封面来源于网络,如有侵权请联系删除
2024年5月22日 14:52 hackernews.cc
Recorded Future 的新发现显示, SolarMarker信息窃取恶意软件背后的APT组织已建立多层基础设施,使执法部门的打击行动变得更加复杂。 该公司在上周发布的一份报告中表示:“SolarMarker 运营的核心是其分层基础设施,它至少由两个集群组成:一个主要集群用于主动运营,另一个集群可能用于测试新战略或针对特定地区或行业。” “这种分离增强了恶意软件适应和响应对策的能力,使其特别难以根除。” SolarMarker 的别名有 Deimos、Jupyter Infostealer、Polazert 和 Yellow Cockatoo,是一种复杂的APT威胁,自 2020 年 9 月出现以来一直在不断发展。它能够从多个网络浏览器和加密货币钱包窃取数据,例如以及目标 VPN 和 RDP 配置。 根据自 2023 年 9 月以来收集的数据,首要目标包括教育、政府、医疗保健、酒店和中小企业等垂直行业。其中包括著名大学、政府部门、全球连锁酒店和医疗保健提供商,大多数受害者位于美国。 多年来,SolarMarker 恶意软件作者一直致力于通过增加有效负载大小、使用有效的Authenticode 证书、新颖的Windows 注册表更改以及直接从内存而不是磁盘运行(无文件攻击)它的能力来使其更加隐蔽。 感染途径通常涉及在虚假下载器网站上托管 SolarMarker,该网站宣传流行软件,受害者可能会无意中或由于搜索引擎优化 (SEO) 中毒或通过恶意电子邮件中的链接访问这些软件。 初始植入程序采用可执行文件 (EXE) 和 Microsoft 软件安装程序 (MSI) 文件的形式,启动后会导致部署基于 .NET 的后门,该后门负责下载其他有效负载以促进信息盗窃。 替代序列利用假冒安装程序删除合法应用程序(或诱饵文件),同时启动 PowerShell 加载程序以在内存中传递和执行 SolarMarker 后门。 过去一年中的 SolarMarker 攻击还涉及交付基于 Delphi 的 hVNC 后门(称为SolarPhantom),该后门允许在受害者不知情的情况下远程控制受害者机器。 网络安全公司 eSentire在 2024 年 2 月指出:“在最近的案例中,SolarMarker 背后的APT组织交替使用 Inno Setup 和 PS2EXE 工具来生成有效负载。” 就在两个月前,该恶意软件的新 PyIns
2024年5月22日 14:52 hackernews.cc
Atlas 是美国大陆 49 个州最大的全国燃料分销商之一,每年销售超过 10 亿加仑。 据研究员 Dominic Alvieri 报道, Blackbasta 勒索组织将该公司添加到其 Tor 泄露网站的受害者名单中。 该团伙声称从 ATLAS 窃取了 730GB 的数据,包括:会计、人力资源、财务、行政、部门数据以及用户和员工数据。 该团伙发布了一系列文件作为黑客攻击的证据,包括人们的身份证、数据表、工资支付请求者以及从受害者系统中窃取的文件夹的图片。 该石油公司尚未披露这起涉嫌事件。 Black Basta 自 2022 年 4 月以来一直活跃,与其他勒索软件操作一样,它实施了双重勒索攻击模型。 2022 年 11 月,Sentinel Labs 研究人员报告称 ,他们发现了 Black Basta 勒索软件团伙与出于经济动机的黑客组织 FIN7 之间的联系的证据。 2022 年 11 月,Cybereason Global SOC (GSOC) 团队的专家观察到Qakbot感染激增,  这是持续的激进 Qakbot 恶意软件活动的一部分,该活动导致  美国出现Black Basta 勒索软件感染。 攻击链从 QBot 感染开始,操作员使用后利用工具 Cobalt Strike 接管机器并最终部署 Black Basta 勒索软件。攻击始于包含恶意 URL 链接的垃圾邮件/网络钓鱼电子邮件。 研究人员注意到,一旦获得网络访问权限,攻击者就会行动极快。在 Cybereason 观察到的一些案例中,攻击者在不到两小时内就获得了域管理员权限,并在不到 12 小时内开始部署勒索软件。   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/_xQCSTQQxxy7vZr061CHUQ 封面来源于网络,如有侵权请联系删除
2024年5月22日 14:52 hackernews.cc
近日,安全研究人员披露了GitHub企业服务器(GHES)的关键漏洞(CVE-2024-4985,cvss得分:10.0),该漏洞允许未经授权的攻击者,在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本,并在3.9.15、3.10.12、3.11.10和3.12.4版本中得到修复。 目前GitHub已经推出了修复措施,没有发现该漏洞已经被大规模利用,用户可将GHES更新到已修补的版本(3.9.15、3.10.12、3.11.10、3.12.4或更高版本)。如果无法立即更新,考虑暂时禁用SAML认证或加密断言功能作为临时缓解措施。 GHES是一个自托管的软件开发平台,允许组织使用Git版本控制存储和构建软件,并自动化部署流程。 该漏洞利用了GHES处理加密的SAML声明的方式中的一个缺陷。攻击者可以创建一个包含正确用户信息的假SAML声明。当GHES处理一个假的SAML声明时,它将无法正确验证其签名,从而允许攻击者访问GHES实例。 成功利用这个漏洞可能允许未经授权的攻击者获得对GHES实例的完全管理控制权,使他们能够访问所有数据并在系统上执行任何操作。 GitHub进一步指出,默认情况下不启用加密断言,而且此漏洞不影响那些不使用SAML单一登录(SSO)或使用SAML SSO认证但没有加密断言的实例。加密断言允许网站管理员通过在认证过程中对SAML身份提供者(IdP)发送的消息进行加密,来提高GHES实例的安全性。 附PoC <Assertion ID="1234567890" IssueInstant="2024-05-21T06:40:00Z" Subject="CN=John Doe,OU=Users,O=Acme Corporation,C=US">   <Audience>https://your-ghes-instance.com</Audience>   <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:assertion:method:bearer">     <SubjectConfirmationData>       <NameID Type="urn:oasis:names:tc:SAML:2.0:nam
2024年5月22日 14:52 hackernews.cc
5月21日—22日,第二届人工智能安全峰会正在韩国首尔举行,会议就人工智能的安全性保障、促进创新和包容性未来引领方案等展开讨论。而在此之前,《科学》杂志于5月20日发表了一篇专家论文,呼吁世界各国领导人采取紧急行动应对风险,包括建立监督机构和具有法律约束力的法规。 该论文由25位来自美国、中国、欧盟、英国等主要人工智能大国专家联合攥写。专家们表示,世界各国政府应该建立一个触发系统,如果人工智能进展过快,就会自动执行严格的要求,如果发展较慢,则会采取相对宽松的要求。 就目前而言,专家们认为对人工智能安全的研究“严重缺乏”,估计只有1-3%的人工智能出版物与安全有关,如果不采取适当的保障措施,人工智能的影响可能是灾难性的。“为了推进不良目的,人工智能系统可以获得人类的信任、获取资源并影响决策者。为了避免人类干预,它们可能会在全球服务器网络中复制自己的算法,”论文写道。 大规模的网络犯罪、社会操纵和其他危害可能会迅速升级,而在公开冲突中,人工智能系统可能会自主部署各种武器,包括生物武器。 论文指出,人工智能系统获得此类技术只会延续现有的军事活动自动化趋势。在公司、政府和军队进一步推动 “效率 “的过程中,影响力也可能被随意交给人工智能。 对此,专家们警告说:”人工智能的无节制发展很有可能最终导致生命和生物圈的大规模丧失,以及人类的边缘化或灭绝。” 本次首尔会议将延续去年在英国布莱切利公园举行的首届人工智能安全峰会的主题。会议旨在达成新的监管协议,但专家们表示,进展还不够快。 论文作者之一、牛津大学计算机科学系博士简·布劳纳指出,太空飞行、核武器和互联网等技术在短短几年内就从科幻变成了现实。人工智能也不例外。 “我们现在必须为那些看似科幻的风险做好准备,比如人工智能系统入侵重要网络和基础设施、人工智能大规模政治操纵、人工智能机器人士兵和完全自主的杀手无人机,甚至人工智能能够超越我们并躲避试图关闭它所采取的举措,“布劳纳说道。   转自FreeBuf,原文链接:https://www.freebuf.com/news/401573.html 封面来源于网络,如有侵权请联系删除
2024年5月22日 14:52 hackernews.cc
therecord网站消息,据最新研究显示,DHS(美国国土安全局)在过去四年中采集了超过 150 万移民的 DNA 数据,并将其储存在一个用于刑事调查的数据库中。 Georgetown Law Center on Privacy & Technology(乔治城隐私与技术法律中心)发现,自特朗普政府强制要求收集所有被拘留移民 DNA 的规定于 2020 年生效以来,该机构收集的 DNA 样本数量已从规定修改前 15 年内收集的 3 万份样本总数激增了 50 倍。 研究人员表示,即使移民被拘留的时间非常短暂,国土安全部也会从他们身上提取DNA。 乔治城报告的作者呼吁拜登政府推翻特朗普的规定,并删除政府目前掌握的大量移民数据,这些移民没有犯罪,却被迫提供基因信息。 报告合著者之一 Emerald Tse 表示,许多被采集 DNA 的移民并不了解他们的 DNA 正被用于填充一个名为 “CODIS”(DNA 联合索引系统)的犯罪数据库。CODIS 数据库可供国际执法部门以及地方、州和联邦层面的国内犯罪调查人员使用。 虽然国土安全局有内部指导方针,要求其工作人员告知移民他们的 DNA 将被提取,但许多移民表示他们并没有被告知。 “我们采访的许多人都没有看到书面通知,也没有被口头告知他们的 DNA 被提取,他们表示非常困惑和害怕,有些人认为他们接受口腔拭子检查是为了检测疾病。“Tse 说。 政府无限期地储存 DNA 样本,乔治城大学的研究人员认为这很危险,因为技术发展如此之快,而限制政府使用这些样本的法律又非常缺乏。 Tse 表示,被提取 DNA 的移民可能会在没有正当理由的情况下被拘留,从而引发严重的宪法问题。政府不需要向中立的法官证明任何事情,他们仅凭一个 CBP(美国海关和边境保护局)或 ICE(移民和海关执法局)特工的决定就可以拘留某人。 目前,国土安全局没有对置评请求做出回应。 Tse 介绍,DNA 采集计划不仅针对试图进入美国的人,也针对在几乎任何环境下被拘留的移民,又或是被迫交出 DNA 样本的移民(包括驾车通过边境检查站或在机场通过海关时被拦下盘问的人)。这涉及到很多不同的情况,人们被移民执法部门拦下,但这仍然构成拘留。 Tse 表示,国土安全局并未报告数据显示其收集 DNA 的对象的种族、民族和国籍,但她断言,由于被 CBP 和 ICE 拘留的大多数人是跨越美国与墨西哥边境的,因此不难推断该计划对
2024年5月21日 16:22 hackernews.cc
总部位于加利福尼亚的成像传感器制造商OmniVision在去年遭遇Cactus勒索软件攻击后,发布警告称公司存在数据泄露风险。 OmniVision是中国韦尔半导体的子公司,主要设计并开发智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等设备的成像传感器。2023年该公司拥有2200名员工,年收入达到14亿美元。 周五,OmniVision向加利福尼亚州当局报告了一起安全漏洞事件,据称该公司系统于2023年9月4日至9月30日期间被勒索软件加密。 “2023年9月30日,OVT发现一起安全事件,该制造商系统被未经授权的第三方加密。针对该事件,我们在第三方网络安全专家的协助下迅速展开全面调查,同时通知了执法部门。经过深入调查确定,未经授权方在2023年9月4日至9月30日期间从公司系统中获取了一些个人信息。”通知中写道。 OmniVision表示,其内部调查于2024年4月3日结束,调查结果显示攻击者窃取了公司的个人信息。 被盗数据在通知样本中已被屏蔽,同时被泄露的人员数量仍不明确。 然而,Cactus勒索软件团伙在2023年10月17日发布了一则公告,声称对OmniVision发动了攻击,并泄露了以下数据样本: 护照扫描件 保密协议 合同 机密文件 黑客最终免费提供此次攻击中持有的所有数据,该数据以ZIP档案的形式下载。 OmniVision被列入Cactus博客的截图 截至目前,OmniVision已从Cactus勒索软件分站(在暗网上)上移除。 Cactus是约一年前出现的勒索软件团伙,其目标是利用VPN设备的漏洞获取对企业网络的访问权限,同时采用特殊的加密方式来规避检测。 该团体曾攻击过一些大型公司,比如冷藏和物流巨头Americold以及能源和自动化制造企业Schneider Electric。 作为对此次数据泄露的回应,OmniVision积极采取措施来加强环境安全,同时能够更加快速地检测到可疑活动。他们还向通知接收者提供了为期24个月的信用监控和身份盗用恢复服务。 我们建议受影响的人注册OmniVision提供的服务,同时保持警惕,拒绝未经任何邀请和可疑的通信,定期审核信用报告和账户对账单,并将异常活动报告给所属金融机构。   消息来源:bleepingcomputer,译者:lune;   本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 Hacke
2024年5月21日 14:12 hackernews.cc
近日,微软威胁情报团队表示,一个名为 Storm-1811 的黑客正在滥用客户端管理工具 “快速助手”(Quick Assist),针对用户展开社交工程攻击。 Quick Assist 是微软公司推出的一款合法应用程序,允许用户通过远程连接与他人共享自己的 Windows 或 macOS 设备,主要用于排除系统中的技术问题,默认安装在运行 Windows 11 的设备上。 2024 年 5 月 15 日,微软威胁情报团队在发布的一份报告中指出,Storm-1811 是一个以部署 Black Basta 勒索软件而闻名的有经济动机的网络犯罪团伙。 黑客冒充安检人员 研究人员经过详细分析得出了黑客的攻击链,首先通过网络钓鱼实施社会工程学攻击,诱骗毫无戒心的受害者安装远程监控和管理(RMM)工具,然后发送 QakBot、Cobalt Strike,最终发送 Black Basta 勒索软件。 整个过程中,黑客滥用微软’快速助手’功能来实施社会工程学攻击。例如,伪装成受信任的联系人,例如微软技术支持或目标用户所在公司的 IT 专业人员,以获得对潜在攻击目标设备的初始访问权限。 黑客一开始会想方设法掌握一批受害者的数据信息,此后便向受害者邮箱发送大量垃圾邮件,完成一系列操作后,拨打受害者电话冒充安全公司声称“能够提供协助”,诱骗用户使用系统内置的远程管理软件与其展开通信,以便更进一步侵入用户设备。 为了使网络攻击更有说服力,黑客还会发起链接列表攻击(一种电子邮件轰炸攻击)这时候,受害目标电子邮件地址会注册各种合法的电子邮件订阅服务,导致其收件箱充斥着订阅的内容。然后,黑客伪装成公司的 IT 支持团队,给受害目标用户打电话,声称可以帮助他们解决垃圾邮件问题,并说服他们通过 “快速协助”(Quick Assist)授权访问他们的设备。 一旦用户允许访问和控制,黑客就会运行脚本化的 cURL 命令,下载一系列批处理文件或 ZIP 文件,用于发送恶意有效载荷,在受害者整个网络中部署 Black Basta 勒索软件。微软方面表示,公司的完全团队正在密切关注滥用 “快速助手 “的情况,并正在努力在软件中加入警告信息,以通知用户可能存在的技术支持诈骗,防止诈骗可能会为勒索软件的传播提供便利。 网络安全公司 Rapid7 指出,”快速助手“滥
2024年5月21日 14:12 hackernews.cc
近日,据美国检方发布的一份起诉书,检察官指控麻省理工学院毕业的两兄弟被指控利用以太坊区块链的一个漏洞,进行了一场“闪电般的抢劫行动”,他们在12秒内窃取了2500万美元(折合人民币约1.8亿元)。 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施了此次攻击,并通过成立空壳公司来隐藏他们获得的非法利润。 两人都曾就读于麻省理工学院,Anton于今年2月毕业,获得计算机科学和数学学士学位,James于2021年毕业,获得航空航天硕士学位。纽约南区联邦检察官达米安·威廉姆斯在一份声明中表示:“这对兄弟曾在世界上最负盛名的大学之一学习计算机科学和数学,他们被控利用自己的专业技能和教育来篡改和操纵全球数百万以太坊用户所依赖的协议。” 美国检方表示,这对兄弟开发了一种名为验证器的东西,旨在帮助在以太坊网络上下单交易,并通过促进套利和其他有利可图的交易来帮助机器人赚钱。检方称,他们两人同时安装了自己的验证器,以欺骗操作机器人的交易员。他们获得了待处理交易的访问权限,并改变了电子货币的流动,以窃取加密货币。 当局表示,他们于2023年4月实施了精心策划的抢劫,在短短12秒内从交易员那里窃取了2500万美元,欺诈性地获得了待处理交易的访问权限,并改变了加密货币的走势。这对兄弟随后通过一个交易网络转移了加密货币,试图隐藏资金来源。检察官表示,在实施抢劫后,兄弟俩拒绝了归还资金的请求,而是采取措施清洗和隐藏被盗的加密货币。 起诉书指控他们共谋实施电信诈骗和共谋洗钱。Anton在波士顿被捕,James在纽约被捕。检察官指出,这是此类“新颖”的欺诈形式首次受到刑事指控。如果罪名成立,他们每人将面临20年以上的监禁。   转自FreeBuf,原文链接:https://www.freebuf.com/news/401266.html 封面来源于网络,如有侵权请联系删除
2024年5月21日 14:12 hackernews.cc
据Info risk today消息,英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞,该漏洞在 CVSS 的评分为满分10分,黑客可以在运行受影响版本的系统上执行任意代码。 Neural Compressor 软件可帮助公司减少人工智能模型所需的内存量,同时降低缓存丢失率和使用神经网络的计算成本,帮助系统实现更高的推理性能。公司使用开源 Python 库在不同类型的硬件设备上部署人工智能应用,包括那些计算能力有限的设备(如移动设备)。 英特尔没有说明有多少公司使用该软件,也没有说明受影响的用户数量,称该漏洞只影响使用 2.5.0 之前版本的用户。 在英特尔上周发布的 41 份安全公告中,该漏洞被追踪为 CVE-2024-22476,源于输入验证不当或未对用户输入进行消毒,黑客无需任何特殊权限或用户交互即可远程利用该漏洞,对数据的保密性、完整性和可用性构成很大影响。 除此以外,还有另一个漏洞被追踪为 CVE-2024-21792,严重程度为中等,是一个检查时间、使用时间漏洞,可能会让黑客获取未经授权的信息。黑客需要通过本地验证访问存在漏洞的系统才能利用该漏洞。 英特尔表示,一个外部安全实体提交了该漏洞报告,但没有说明个人或公司的身份。目前,英特尔已经发布了针对上述两个 Neural Compressor 漏洞的修复程序。 去年,研究人员在大型语言模型中发现了几十个漏洞,这些漏洞可能导致操纵实时对话、自我传播零点击漏洞以及利用幻觉传播恶意软件。 使用这种软件作为核心组件来构建和支持人工智能产品的公司可能会增加漏洞的影响,英特尔就是一个例子。一个月前,来自 Wiz 的研究人员在流行的人工智能应用开发商 HuggingFace 上发现了现已缓解的漏洞,允许攻击者篡改其注册表上的模型,甚至向其中添加恶意模型。   转自FreeBuf,原文链接:https://www.freebuf.com/news/401448.html 封面来源于网络,如有侵权请联系删除
2024年5月21日 11:32 hackernews.cc
据网络安全公司 Tenable 称,Fluent Bit 是多家大公司使用的流行日志记录实用程序,受到一个严重漏洞的影响,该漏洞可能导致拒绝服务 (DoS) 攻击、信息泄露,甚至可能导致远程代码执行 (RCE)。 Fluent Bit 是一个开源数据收集器和处理器,能够处理来自各种来源的大量日志数据。该工具的下载量已达数十亿次,目前每日部署量超过 1000 万次。 其开发人员表示,微软、谷歌云和 AWS 等主要云公司以及思科、LinkedIn、VMware、Splunk、英特尔、Arm 和 Adobe 等科技巨头都在使用它。 Tenable 研究人员在 Fluent Bit 的内置 HTTP 服务器中发现了他们所说的严重内存损坏漏洞(CVSS 评分为 9.8)。该问题已被命名为Linguistic Lumberjack,官方编号为 CVE-2024-4323。 该网络安全公司已确认,有权访问 Fluent Bit 监控 API(旨在查询和监控内部服务信息)的用户或服务可以发起 DoS 攻击或获取潜在的敏感信息。 也有可能利用 CVE-2024-4323 进行 RCE,但 Tenable 指出,利用取决于多种因素,例如操作系统和主机架构。 Tenable 解释说:“虽然已知此类堆缓冲区溢出是可利用的,但创建可靠的漏洞利用不仅很困难,而且非常耗时。” 该公司周一公开了技术信息和可用于 DoS 攻击的概念验证 (PoC) 代码。 Tenable于 4 月下旬向 Fluent Bit 开发人员报告了其调查结果,虽然已经开发了补丁,但尚未包含在正式版本中。该安全公司表示,它还于 5 月 15 日向微软、AWS 和谷歌云报告了调查结果。 在自己的基础设施和环境中部署 Fluent Bit 的用户可以采取缓解措施,包括限制对该工具 API 的访问以及禁用受影响的端点(如果不使用)。   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/714brgIVzP-UVkp79v12jQ 封面来源于网络,如有侵权请联系删除
2024年5月21日 11:12 hackernews.cc
攻击者声称,美国国防部发生一起重大数据泄露事件,泄露了包含数百万美国人犯罪记录的庞大数据库。 数据库详细信息:据称遭到破坏的数据库包含惊人的 7000 万行数据 格式:CSV 文件大小:压缩时约为 3 GB,未压缩时扩展至 22 GB 涵盖年份:数据跨度为 2020 年至 2024 年 归因:此次违规行为归咎于名为 SXUL 的实体 数据库字段:包括ID、姓氏、名字、出生地、年龄、身高、体重、头发、眼睛、种族、肤色、犯罪日期及描述、定罪时间地点、逮捕日期、案件号等   转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/UjY-9yWz09IQATyfUbUMsA 封面来源于网络,如有侵权请联系删除
2024年5月20日 18:52 hackernews.cc
安全内参5月20日消息,美国证券交易委员会(SEC)拟要求一些金融机构在发现安全漏洞后30天内披露相关信息。5月15日,SEC通过修正案,对管理消费者个人信息处理工作的《S-P条例》进行了修改。修正案要求,机构在发现未经授权的网络访问或客户数据使用后,必须“尽快在不超过30天”内通知受影响个人。新规将对美国证券市场的经纪交易商(包括融资门户)、投资公司、注册投资顾问和转账代理人具有约束力。 SEC主席Gary Gensler说:“在过去的24年里,数据泄露的性质、规模和影响已经发生了巨大变化。本次修正案对2000年出台的《S-P条例》进行了关键更新,有助于保护客户的金融数据隐私。基本理念是,只要相关公司出现了漏洞,就必须发出通知。这对投资者有利。” 新规详细内容 通知必须详细说明事件、受损信息以及受影响者应如何保护自己。不过修正案中有一项条款留下了回旋余地,只要相关机构能够证明,个人信息的使用没有导致,或者不太可能导致“重大伤害或不便”,就不必发出通知。 修正案将要求相关机构“制定、实施和维护书面的政策和程序”,这些政策和程序必须“设计合理,可以检测、响应未经授权的访问或未经授权的客户信息使用,并可以完成相应恢复工作”。修正案还包括以下内容: 扩展和协调保障措施和处置规则,以涵盖相关机构收集的自身客户的非公开个人信息,以及从其他金融机构收到的关于其他金融机构客户的非公开个人信息。 除融资门户外的相关机构必须制作并维护书面记录,用于记录保障规则和处置规则的要求的落实情况。 将《S-P条例》的年度隐私通知交付条款调整为符合《修复美国地面运输法案》(FAST)添加的例外条款。这些条款规定,如果满足某些条件,相关机构无需发布年度隐私通知。 扩展保障规则和处置规则的覆盖范围,囊括在委员会或其他适当监管机构注册的转账代理人。 修正案还扩大了涵盖的非公开个人信息的范围。除了公司本身收集的信息,新规还将涵盖公司从其他金融机构收到的个人信息。 针对新规的疑虑 SEC专员Hester M. Peirce表示,担心修正案可能过于严苛。她写道:“今天对《S-P条例》的更新将帮助相关机构适当提高客户信息保护的优先级。客户在其信息被泄露时将得到及时通知,以便他们采取措施保护自己,比如更改密码或密切关注信用评分。我对两方面持保留意见:规则覆盖范围可能过于广泛,也可能导致无意义的消费者通知泛滥。” 自2000年启用以来,《S-P条例》并没有进行
2024年5月20日 18:52 hackernews.cc
近日,接上级网信部门通报,南昌某集团有限公司所属IP疑似被黑客远程控制,频繁与境外通联,向境外传输大量数据。 经过立案调查、现场勘验、远程勘验(采样技术分析)、笔录问询等工作,查明:1.该公司未履行数据安全保护义务,未采取相应的技术措施和其他必要措施保障数据安全,所属的服务器遭境外黑客攻击并植入可获取服务器文件管理权限和命令执行权限的木马程序,大量数据疑似泄露或被窃取,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;2.该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。 2024年5月15日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对南昌某集团有限公司处以警告、罚款10万元,对直接负责的主管人员处以罚款2万元的行政处罚。 涉案公司表示,已充分认识到问题的严重性及造成的不良影响,诚恳接受处罚,今后将严格落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法规要求,切实履行好网络安全和数据安全保护义务。 下一步,南昌市网信办将持续依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。 转自安全内参,原文链接:https://mp.weixin.qq.com/s/2OmOBQDXcyGgMrCJgxGEsg 封面来源于网络,如有侵权请联系删除
2024年5月20日 18:52 hackernews.cc
近日,研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉,这是该木马在 2024 年 3 月份之后,又一次在全球范围内发动攻击。 IBM X-Force 表示,大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务(MaaS)模式,针对遍布中美洲和南美洲,非洲,欧洲和印太地区的 60 多个国家 1500 多家银行,发动网络攻击行动。 值得一提的是,自出道以来,Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区,也曾在这些地区发动了多次网络攻击活动,获得很多坏“名声”,但自从巴西当局试图关闭其基础设施后,该组织便开始了战略转变,谋求大规模自主扩张。 同时,Grandoreiro  恶意软件自身也进行了重大改进。 安全研究人员 Golo Mühr 和 Melissa Frydrych 指出, 在对 Grandoreiro  恶意软件进行详细分析后,发现其对字符串解密和域生成算法(DGA)进行了重大更新,并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。 在进行网络攻击时,钓鱼邮件会指示收件人点击链接查看发票或付款(具体取决于诱惑的性质和邮件中假冒的政府实体),一旦点击了链接,用户会被重定向到一个 PDF 图标图像,最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。 自定义加载程序被人为地膨胀到 100 MB 以上,以绕过反恶意软件扫描软件。此外,它还负责确保受感染的主机不在沙盒环境中,将基本受害者数据收集到命令和控制 (C2) 服务器,以及下载和执行主要银行木马。 值得注意的是,该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统,以及位于美国且未安装杀毒软件的 Windows 7 机器。 特洛伊木马组件通过 Windows 注册表建立持久性开始执行,然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令,Grandoreiro 支持各种命令,允许威胁攻击者远程征用系统,执行文件操作并启用特殊模式,包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。 研究人员强调,为了与本地 Outlook 客户端进行交互,Grandoreiro 使用 Outlook 安全管理器工具,通过使用本地 Out
2024年5月20日 11:32 hackernews.cc
有消息称安全研究人员披露了十多个影响通用电气(GE)医疗旗下Vivid系列超声产品的安全漏洞。恶意攻击者可以利用这些漏洞篡改患者数据,甚至在某些情况下安装勒索软件。 OT安全厂商Nozomi Networks发布技术报告称:“这些漏洞可以造成多方面影响,包括在超声设备上植入勒索软件、访问和篡改存储在易受攻击设备上的患者数据等。” 这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop网页应用程序。该应用程序暴露在设备的本地主机接口上,允许用户执行管理操作。 另一个受影响的软件程序叫做EchoPAC,安装在医生的Windows工作站上,帮助他们访问多维度的超声、血管和腹部影像。 物理接触后可造成高危害 要成功利用这些漏洞,攻击者首先需要进入医院环境并与设备进行物理交互,之后他们才能利用这些漏洞获得管理员权限,执行任意代码。 在假设的攻击场景中,恶意攻击者可以通过植入勒索软件锁定Vivid T9系统,甚至窃取或篡改患者数据。 最严重的漏洞是CVE-2024-27107(CVSS评分:9.6),涉及使用硬编码凭证。研究人员发现的其他缺陷包括命令注入(CVE-2024-1628)、以不必要的权限执行(CVE-2024-27110、CVE-2020-6977)、路径遍历(CVE-2024-1630、CVE-2024-1629)以及保护机制失效(CVE-2020-6977)。 Nozomi Networks设计的漏洞利用链,通过CVE-2020-6977获取设备的本地访问权限,然后利用CVE-2024-1628实现代码执行。 Nozomi Networks表示:“为了加快攻击速度,攻击者还可以利用暴露的USB端口,插入一只恶意U盘,通过模拟键盘和鼠标,以比人类更快的速度自动执行所有必要步骤。” 或者,攻击者可以使用通过其他手段(如网络钓鱼或数据泄漏)获取的被盗VPN凭证,访问医院的内部网络,扫描易受攻击的EchoPAC设备,然后利用CVE-2024-27107获取对患者数据库的不受限制的访问,彻底破坏其机密性、完整性和可用性。 GE医疗发布了一系列公告,表示“现有的缓解措施和控制措施”将这些漏洞带来的风险降到了可接受的水平。 公告指出:“具有物理访问权限的恶意攻击者可能会使设备无法使用,但是这种情况不太可能发生。而且设备的预期用户会看到明确的被攻击迹象。该漏洞只能被具有直接物理访问权限
2024年5月20日 11:32 hackernews.cc
勒索软件团伙通过 Google 搜索引擎广告来传播 Putty 和 WinSCP 的虚假下载网站,针对Windows系统管理员。 WinSCP 和 Putty 是流行的 Windows 实用程序,其中 WinSCP 是 SFTP 客户端和 FTP 客户端,Putty 是 SSH 客户端。 系统管理员通常在 Windows 网络上拥有更高的权限,这使得他们成为想要通过网络快速传播、窃取数据以及访问网络域控制器以部署勒索软件。 Rapid7 最近的一份报告称,搜索引擎活动在搜索 “下载 WinSCP” 或 “下载 Putty”时会显示假冒 Putty 和 WinSCP 网站的广告。 这些广告使用了易混淆的相似域名,例如 puutty.org、puutty[.]org、wnscp[.]net 和 vvinscp[.]net。 这些网站包含下载链接,单击这些链接后,这些链接会引导受害者从攻击者的服务器下载 ZIP 存档。 假冒 Putty 下载网站推送木马安装程序 下载的 ZIP 存档包含一个 Setup.exe 可执行文件(它是 Windows 版 Python 的重命名且合法的可执行文件 ( pythonw.exe ))和一个恶意 python311.dll 文件。 当 pythonw.exe 可执行文件启动时,它将尝试启动合法的 python311.dll 文件。攻击者使用 DLL 旁加载加载的恶意版本替换了该 DLL。 当用户运行Setup.exe时,认为它正在安装PuTTY或WinSCP,它会加载恶意DLL,该DLL会提取并执行加密的Python脚本。 该脚本最终将安装 Sliver 后利用工具包,这是一种用于初始访问公司网络的流行工具。 Rapid7 表示,攻击者使用 Sliver 远程投放更多有效负载,包括 Cobalt Strike 信标。黑客利用此访问权限窃取数据并尝试部署勒索软件加密器。 攻击链 虽然 Rapid7 分享了有关勒索软件的有限细节,但研究人员表示,该活动与Malwarebytes 和趋势科技发现的活动类似 ,后者部署了现已关闭的 BlackCat/ALPHV 勒索软件。 Rapid7 的 Tyler McGraw 解释说:“在最近的一次事件中,Rapid7 观察到攻击者试图使用备份实用程序 Restic 窃取数据,然后部署勒索软件,但这一尝试最终在执行过程中被阻止。” “Rapid7 观
2024年5月20日 11:12 hackernews.cc
赛门铁克研究人员观察到与朝鲜有关的APT组织Kimsuky使用名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个新版本,Kimsuky 在最近的一次活动中通过特洛伊木马软件安装包传播该后门。 Kimsuky 网络间谍组织 (又名 Springtail、ARCHIPELAGO、Black Banshee、  Thallium、Velvet Chollima、  APT43)于 2013 年首次被卡巴斯基研究人员发现。该 APT 组织主要针对韩国的智库和组织,其他受害者分布在美国、欧洲和俄罗斯。 Gomir 和 GoBear 共享很大一部分代码。 韩国安全公司 S2W 的研究人员于 2024 年 2 月首次发现了该活动,观察到攻击者使用特洛伊木马软件安装包传播名为 Troll Stealer 的新恶意软件系列。 Troll Stealer 支持多种窃取功能,它允许操作员收集文件、屏幕截图、浏览器数据和系统信息。 恶意代码是用 Go 编写的,研究人员注意到 Troll Stealer 包含与早期 Kimsuky 恶意软件大量代码重叠的内容。 Troll Stealer 还可以复制受感染计算机上的 GPKI(政府公钥基础设施)文件夹。 GPKI 是韩国政府人员和国家组织的公钥基础设施架构,这表明政府机构是国家资助的黑客的攻击目标之一。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN(由 SGA Solutions 开发的软件)的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件(例如,浏览器插件、安全软件、身份验证软件等)。WIZVERA VeraPort 用于对下载进行数字签名和验证。 该恶意软件分布在 TrustPKI 和 NX_PRNMAN(由 SGA Solutions 开发的软件)的安装包中。受害者从特定网站重定向的页面下载了软件包。 赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。 WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件(例如,浏览器插件、安全软件、身份验证