HackerNews

微软计划重新设计反恶意软件产品与 Windows 内核交互的方式，以直接应对 7 月份由 CrowdStrike 更新错误导致的全球 IT 中断。 微软表示，它正在对 Windows 进行改进，以允许端点安全解决方案在操作系统内核之外有效运行，目的是为了防止未来出现类似 CrowdStrike 的大规模中断。 微软响应了客户和供应商的呼吁，同时指出，这些新功能要想满足需求，还必须克服许多挑战。 内核模式之外的性能需求和防篡改保护是需要关注的问题之一。微软表示，它将考虑安全传感器要求和安全设计，并试图改进 Windows 的架构，以允许防病毒工具在较低权限的空间或环境中运行时安全地检查系统。 在微软与 EDR 供应商举行为期一天的峰会后，微软副总裁 David Weston 表示，对操作系统的调整是实现弹性和安全目标的长期措施的一部分。 “我们探索了微软计划在 Windows 中提供的新平台功能，以我们在 Windows 11 中所做的安全投资为基础。Windows 11 改进的安全态势和安全默认值使该平台能够为内核模式之外的解决方案提供商提供更多的安全功能。”Weston 在EDR 峰会后的一份说明中表示。 重新设计是为了避免重演CrowdStrike 软件更新事故，该事故导致Windows 系统瘫痪并造成全球数十亿美元的损失。 Weston 提到了 CrowdStrike 事件，强调 EDR 供应商在向大型 Windows 生态系统推出更新时采用微软所谓的安全部署实践 (SDP) 的紧迫性。 Weston 表示，SDP 的核心原则包括“向客户逐步、分阶段部署更新”、使用“具有多样化端点的有节制的推出”以及在必要时暂停或回滚更新的能力。 Weston 补充道：“我们讨论了微软和合作伙伴如何增加关键组件的测试，改进跨不同配置的联合兼容性测试，推动有关开发中和市场中产品健康状况的更好的信息共享，并通过更严格的协调和恢复程序提高事件响应的有效性。” Weston 在峰会上表示，微软与合作伙伴讨论了内核模式之外运行的性能需求和挑战、安全产品的防篡改保护问题、安全传感器要求以及未来平台的安全设计目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

近日，有攻击者使用一种新的 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。 Android TV是谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程导航提供了优化的用户界面，集成了谷歌助手，内置Chromecast，支持电视直播，并能安装应用程序。 该操作系统为包括 TCL、海信和 Vizio 电视在内的众多制造商提供智能电视功能。它还是英伟达 Shield 等独立电视流媒体设备的操作系统。 在 Dr.Web 的最新报告中，研究人员发现有 200 多个国家的 130 万台设备都感染了 Vo1 d 恶意软件，其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚检测到的数量最多。 受 Vo1d 感染电视盒的地理分布 在此次恶意软件活动中，被视为目标的安卓电视固件包括： 安卓 7.1.2；R4 版本/NHG47K 安卓 12.1；电视盒版本/NHG47K 安卓 10.1；KJ-SMART4KVIP Build/NHG47K 根据安装的 Vo1d 恶意软件版本，该活动将修改或替换操作系统文件，所有这些文件都是 Android TV 中常见的启动脚本。install-recovery.shdaemonsudebuggerd 修改后的 install-recovery.sh 文件 该恶意软件活动利用这些脚本实现持久性，并在启动时激活Vo1d恶意软件。 Vo1d恶意软件本身位于文件中，这些文件的名称就是以该恶意软件命名的。Dr.Web解释称，Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这两个组件协同工作。 Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重启其进程。此外，它还可以在C&C服务器的指令下下载并运行可执行文件。 Android.Vo1d.3 模块负责安装并启动加密并存储在其体内的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它监控指定的目录，并安装在其中找到的 APK 文件。 尽管 Dr.Web 尚不清楚 Android 电视流媒体设备是如何被入侵的，但研究人员认为，这些设备之所以成为攻击目标，是因为它们通常运行着带有漏洞的过时软件。 Dr.Web 认为，其中最有可能的感染途径或许是中间恶意软件的攻击，该软件利用操作系统漏洞来获取 root 权限。另一个可能的途径可能是使用内置 root 访问权限的非官方固件版本。 为了防止这种恶意软件的感染，建议 Android 电视用户检查并安装新固件更新。同时确保在它们通过暴露的服务被远程利用的情况下，将这些设备从互联网上移除。 此外，用户也应避免在 Android 电视上从第三方网站安装 APK 形式的 Android 应用程序，因为它们是恶意软件的常见来源。   转自Freebuf，原文链接：https://www.freebuf.com/news/410913.html 封面来源于网络，如有侵权请联系删除  

安全内参9月12日消息，乌克兰国家安全局（SBU）拘留了一名当地居民，怀疑他在关键基础设施附近安装了监控摄像头，涉嫌帮助俄罗斯情报部门监控这些地点。 乌克兰安全局在周一的声明中指出，哈尔科夫市的一名居民通过社交媒体应用Telegram与俄罗斯军事情报局（GRU）取得联系，被后者招募，承诺可以轻松获取金钱报酬。 乌公民涉嫌为俄在敏感地区安装摄像头 据报道，乌克兰执法部门在首都基辅逮捕了这名涉嫌为俄罗斯从事间谍活动的嫌疑人。他在基辅租用了几处高层公寓，这些公寓俯瞰着当地的能源设施。 乌克兰安全局透露，这名嫌疑人利用这些公寓，安装了配备远程访问软件的视频摄像头，疑似帮助俄罗斯实时监控乌克兰的关键基础设施。 俄罗斯可能通过这些摄像头记录下来的画面，评估近期对基辅地区空袭的效果，并确定乌克兰防空系统的具体位置。 乌克兰国家安全局还表示，该嫌疑人在基辅设立了这些“监控点”后，以探望父母为借口返回哈尔科夫，但其真实目的则是为了在一条战略铁路线上纵火焚烧一个继电器柜。 安全部门强调，他们全程监控了这名嫌疑人的行动，最终在他位于基辅的一处租赁公寓中将其拘捕。当时，嫌疑人正准备安装新的闭路电视（CCTV）摄像头，以记录对基辅的空袭情况。 在搜查过程中，执法人员没收了他的手机和摄像设备，内含其为俄罗斯从事“情报和破坏活动”的相关证据。 该嫌疑人目前已被拘留，乌克兰安全局表示，他将面临终身监禁的处罚，并可能被没收全部财产。 摄像头已成为广泛使用的间谍工具 闭路电视摄像头已成为俄罗斯和乌克兰广泛用于间谍活动的工具。这些设备通常被安装在关键基础设施附近，或用于定位军队、防空系统及军事装备的位置。 今年8月，俄罗斯当局警告生活在面临乌克兰进攻风险地区的居民，要求他们停止使用监控摄像头，担心这些设备可能会被用作情报收集的工具。 根据俄罗斯内务部（MVD）的一份声明，乌克兰军队正在远程连接未经保护的闭路电视摄像头，“监控从私人庭院到具有战略意义的道路和公路的一切。” 今年1月，乌克兰安全官员曾表示，他们拆除了两台被俄罗斯黑客入侵、用于监视基辅防空部队和关键基础设施的在线摄像头。 这些摄像头原本安装在基辅的住宅楼上，最初用于居民监控周边区域和停车场。但在黑客入侵后，俄罗斯情报部门据称获得了远程访问权限，改变了摄像头的监控角度，并将其连接至YouTube，直播了敏感画面。 这些影像极有可能帮助俄罗斯在对乌克兰发动的一次大规模导弹袭击中，引导无人机和导弹精准打击基辅。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

近日，全球知名网络安全公司Fortinet确认遭遇了一次大规模数据泄露事件，亚太地区客户受到影响。 据CyberDaily、CRN等多家报道，一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器，窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3存储桶的凭据，供其他黑客下载被盗文件。这一事件不仅再次引发了全球网络安全的关注，也为Fortinet的客户敲响了警钟。 Fortinet是仅次于Palo Alto和CrowdStrike的全球第三大网络安全公司，市值高达600亿美元。其产品包括防火墙、路由器和VPN设备等关键安全设备。此外，Fortinet还提供安全信息和事件管理（SIEM）、端点检测与响应（EDR/XDR）等解决方案。此次事件中，Fortinet证实部分客户数据被盗，黑客通过未经授权的方式访问了第三方云存储中的文件，但Fortinet并未透露具体有多少客户受到了影响。 据悉，黑客“Fortibitch”曾尝试通过勒索手段向Fortinet索取赎金，但该公司拒绝支付。目前，Fortinet已经采取措施通知受影响的客户，并正在进一步调查这一事件。然而，这次数据泄露不仅暴露了Fortinet自身的安全风险，也加剧了全球企业对于云存储和外部共享文件的安全担忧。 近年来，网络安全公司频繁发生数据泄露和安全事件，给自身和客户带来巨大安全风险。以下是近年来知名网络安全公司发生的几起重大安全事件： Fortinet数据泄露(2024年):Fortinet遭遇黑客攻击，导致440GB的客户数据被盗。 CrowdStrike错误更新事件(2024年7月):CrowdStrike因错误的Falcon更新导致8.5百万台设备崩溃，全球多个行业受到影响。 CrowdStrikeGitHub数据泄露(2023年):CrowdStrike旗下的Panopta在GitHub存储库中泄露了敏感数据。 FireEye（2020年）数据泄漏：FireEye遭到黑客攻击，其红队工具库被窃取，可能用于后续攻击。。 SolarWinds供应链攻击（2020年）：通过复杂的供应链攻击，黑客成功入侵SolarWinds，并影响了多家全球重要机构和企业。 Kaseya遭勒索软件攻击（2021年）：Kaseya遭遇勒索软件攻击，影响了全球超过1000家企业。 Accellion供应链攻击（2021年）：黑客利用Accellion的File Transfer Appliance (FTA)漏洞，从其全球客户窃取了大量敏感文件。 Panopta数据泄露（2023年）：Fortinet旗下的Panopta遭遇了数据泄露事件，黑客在俄罗斯的黑客论坛上泄露了被盗数据。 此类事件的频发，提醒广大企业在加强自身网络安全防护的同时，还需关注云存储和第三方平台的安全风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

GitLab 周三发布了安全更新，解决了 17 个安全漏洞，其中包括一个允许攻击者以任意用户身份运行管道作业的严重漏洞。 该漏洞编号为 CVE-2024-6678，CVSS 评分为 9.9（满分 10.0）。 该公司在警报中表示：“GitLab CE/EE 中发现一个问题，影响从 8.14 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本，该漏洞允许攻击者在某些情况下以任意用户身份触发管道。” 该漏洞以及其他 3 个高严重程度漏洞、11 个中严重程度漏洞和 2 个低严重程度漏洞已在 GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。 值得注意的是，CVE-2024-6678 是 GitLab 在过去一年中修补的第四个此类漏洞，此前的漏洞有CVE-2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。 虽然没有证据表明有人主动利用这些漏洞，但建议用户尽快应用补丁以减轻潜在威胁。 今年 5 月初，美国网络安全和基础设施安全局 (CISA)透露，一个严重的 GitLab 漏洞 (CVE-2023-7028，CVSS 评分：10.0) 已被广泛利用。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/peEcNP0wRwor6XoTq3AwOg 封面来源于网络，如有侵权请联系删除

根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除

近日，网络安全公司watchTowr创始人本杰明·哈里斯撰文透露他仅花了几分钟时间就成功生成伪造HTTPS证书、能够追踪电子邮件活动，甚至还可以在全球成千上万台服务器上执行任意代码。 仅花20美元即可控制全球海量服务器 哈里斯是在花费20美元购买过期域名dotmobiregistry.net时意外发现了这个惊天漏洞。 该域名曾是用于管理.mobi顶级域名的WHOIS服务器，然而，.mobi的域名管理员不知何时将服务器迁移到新网址whois.nic.mobi，却未通知任何人，全球大量服务器仍然引用旧域名。 哈里斯在购买并重新启用该域名后，惊讶地发现，短短数小时内，他的服务器就接收到来自超过7.6万个独立IP地址的查询请求。更令人震惊的是，在接下来的五天里，他的服务器收到了约250万次查询请求，来自全球的政府机构、域名注册商、安全工具提供商和证书颁发机构等。 WHOIS系统自互联网早期以来就一直在域名注册和管理中扮演着关键角色。然而，随着时间的推移，许多系统依旧信任旧的WHOIS服务器，未能及时更新其记录。这意味着，当哈里斯接管这个过期域名时，他不仅能够拦截对.mobi域名的所有查询，还能通过伪造的WHOIS信息操控证书颁发流程。例如，哈里斯尝试为“microsoft.mobi”生成证书请求，并顺利收到了证书颁发机构GlobalSign发来的验证邮件。 虽然出于道德原因，哈里斯并没有进一步生成伪造证书，但他指出，这一漏洞意味着攻击者完全可以利用伪造的HTTPS证书拦截网络流量或冒充目标服务器。这对于依赖HTTPS协议保护敏感数据的网站来说，无异于“游戏结束”。 WHOIS为何如此“危险”？ 自互联网治理初期（当时还被称为 ARPANET）以来，WHOIS就发挥着关键作用。1974年，增强研究中心的信息科学家Elizabeth Feinler成为NIC（网络信息中心项目的简称）的首席研究员。在Feinler的监督下，NIC开发了顶级域名系统和官方主机表，并发布了ARPANET目录，该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终，该目录演变为WHOIS系统，这是一个基于查询的服务器，提供所有互联网主机名及其注册实体的完整列表。 尽管WHOIS看起来已经过时，但它如今仍然是具有重大影响力的重要资源。起诉版权或诽谤的律师会使用它来确定域名或IP地址所有者。反垃圾邮件服务则依靠它来确定电子邮件服务器的真正所有者。此外，证书颁发机构依靠它来确定域名的官方管理电子邮件地址。 废弃WHOIS服务器域名一旦落入黑客，则会变成杀伤力巨大的流氓WHOIS服务器。其最危险的用途之一就是能够指定电子邮件地址证书颁发机构GlobalSign用来确定申请TLS证书的一方是否是该证书所适用域名的合法所有者。 与绝大多数竞争对手一样，GlobalSign使用自动化流程。例如，针对example.com的申请将提示证书颁发机构向该域名的权威WHOIS中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接，证书将自动获得批准。 除了伪造证书外，哈里斯还发现，许多政府机构、企业和反垃圾邮件服务在接收到来自.mobi域名的电子邮件时，依然会向他的伪造服务器发送查询请求。这意味着，他能够通过长期追踪这些查询，间接推测出相关通信的发件人和收件人，潜在地获取敏感信息。 此外，一些查询流氓WHOIS服务器的安全服务和WHOIS客户端本身存在漏洞，攻击者可以利用这些漏洞在查询设备上执行恶意代码。这使得本应受信任的WHOIS服务器变成了潜在的攻击源。 结论：信任是互联网最可怕的安全债 哈里斯的安全测试揭示了一个更深层次的问题：互联网的某些关键基础设施依赖于过时且脆弱的域名管理系统，容易被忽视或滥用。由于WHOIS服务器的命名和管理缺乏统一标准，许多第三方服务仍然错误地将过期的dotmobiregistry.net视为.mobi域名的官方服务器。 这类问题不仅限于WHOIS服务器。哈里斯指出，类似的漏洞也存在于S3存储桶等云基础设施中，当这些资源被废弃时，仍有可能被其他人重新注册并利用。 哈里斯的研究提醒我们，网络世界中的信任链条往往比我们想象的更加脆弱，而“过期信任”和“隐式信任”可能会带来无法预料的灾难性风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EGP-0nJamnCoJwbNnIwxGQ 封面来源于网络，如有侵权请联系删除

该校校长称本周前三天将关闭学校进行网络安全清洁，近三周内学校网络、邮箱和其他系统都无法使用，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信（任何）邮件和链接等。 安全内参9月11日消息，英国伦敦南部一所高中日前遭遇勒索软件攻击，导致本周前半段停课，约1300名学生的学业受到影响。 9月5日，查尔斯·达尔文学校的学生被迫离校。次日，校长Aston Smith向家长发布了一封信，告知学生们之前了解到的IT问题“比预想的更为严重”，实际上是一次勒索软件攻击。 信中确认，由于“所有员工的设备已被移走进行清理”，学校将在“下周一、周二和周三暂停授课”。教师们需要时间重新准备课程，而学校的高级管理层则需要建立新的系统，以确保学校正常运作。 信中还提到：“作为预防措施，所有学生的微软Office 365账号已被禁用。如果您收到来自陌生邮箱的邮件，请保持警惕。在恢复过程中，我们绝不会发送任何附件或链接。” 信中补充道，根据接下来几周的情况更新，学校可能需要采取进一步措施，并警告称“所有由学校保存的信息都有可能已被访问”。 目前，学校正与一家网络安全公司合作进行取证调查。然而，校长警告说，在调查结束之前，他无法提供有关数据泄露的更多细节。 校长表示：“令人遗憾的是，尽管我们已经实施了最新的安全措施，这类网络攻击仍然变得越来越普遍。我们目前的情况与英国国家医疗服务体系（NHS）、伦敦交通局、英国国家铁路，以及其他学校和公共部门机构经历的情况类似。” 英国教育业遭勒索攻击日渐增多 此次攻击恰逢英国新学年刚开始，也是继去年一系列针对教育机构的勒索软件攻击后的又一起事件。 近年来，针对英国教育和儿童保育部门的勒索软件攻击达到了前所未有的高峰。2023年，向信息专员办公室（ICO）报告的相关事件多达126起，创下了历史最高纪录。在2024年第一季度，ICO再次收到了27起攻击报告，比去年同期的报告数量增长了一倍以上。 包括英国最大公立寄宿学校怀蒙德汉姆学院（Wymondham College）和西萨塞克斯郡的坦布里奇豪斯学校（Tanbridge House School）在内，多所学校均遭到了网络勒索者的攻击。这些犯罪分子威胁称，如果受害者不支付赎金，他们将公开被窃取的数据。 此前，LockBit勒索软件组织曾试图勒索一所特殊教育需求学校。更有甚者，犯罪分子还公开了吉尔福德郡学校的敏感文件，这些文件似乎包含教师记录的关于高危学生的内部报告。 英国官方称学校应对勒索攻击能力逐步加强 英国教育部发言人曾在谈及影响学校的攻击时表示，教育部正在密切监控网络安全事件，但目前没有证据显示攻击数量有所增加。至于最新的事件，教育部未作进一步回应。 英国政府网络安全主管机构国家网络安全中心（NCSC）早在2020年9月就首次向学校发出了勒索软件攻击的警报，警告称“越来越多的勒索软件攻击正影响英国的教育机构，包括学校、学院和大学。” 自那以后，随着更多勒索软件攻击的发生，NCSC已多次更新其警报页面。 在上个月发布的一项调查报告中，NCSC最近一次提及攻击数量增加。调查显示，尽管勒索软件攻击数量有所增加，但学校应对这些事件的准备工作也在逐步加强。这些准备工作不仅包括保护IT网络，还包括如何快速从事件中恢复。 勒索软件已成为全球教育业公害 Vice Society这一网络犯罪组织是近年来针对英国及全球教育机构发起的一系列勒索软件攻击的幕后黑手。该组织通过窃取敏感数据并威胁公开来勒索受害者支付赎金。 去年，Hive勒索软件组织曾在一次攻击后，向英国两所学校勒索50万英镑（约合60.8万美元）。今年1月，美国和德国的执法机构宣布，他们已“黑掉”了这一黑客组织，并摧毁了Hive团伙使用的基础设施。 此前，BBC新闻曾报道，该团伙公开了从英国14所学校窃取的高度机密数据。在一些情况下，学校并未告知学生和教职工，他们的个人数据已被发布在泄露网站上。 勒索软件攻击在美国的教育机构中也屡见不鲜。最近，美国洛杉矶联合学区以及艾奥瓦州和马萨诸塞州的教育系统也遭遇了类似的攻击。今年早些时候，黑客还入侵了美国首都华盛顿附近的一个学区，导致近10万人的个人信息被泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/70139 封面来源于网络，如有侵权请联系删除

近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。 针对 Python 开发人员的虚假编码测试 恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员，试图诱导开发人员下载恶意软件。 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。 ReversingLabs 的研究人员发现，攻击者会使用 GitHub 存储库和开源容器来托管其恶意代码。这些代码通常会伪装成编码技能测试或密码管理器应用程序，代码附带的 README 文件包含诱骗受害者执行恶意软件的说明。这些文件往往使用 “Python_Skill_Assessment.zip ”或 “Python_Skill_Test.zip ”等名称。 他们发现，恶意软件包含在经过修改的 pyperclip 和 pyrebase 模块文件中，这些文件也经过 Base64 编码，以隐藏下载程序代码。这些代码与 VMConnect 活动早期迭代中观察到的代码相同，后者向 C2 服务器发出 HTTP POST 请求以执行 Python 命令。 在一次事件中，研究人员成功识别出一名受到攻击者欺骗的开发人员。攻击者伪装成Capital One的招聘人员，然后通过LinkedIn个人资料和开发人员取得联系，并向他提供了一个GitHub的链接作为一项题目。当被要求推送更改时，假冒的招聘人员指示他分享截图，以证明任务已经完成。 安全研究人员随后访问的 .git 文件夹中的日志目录中包含一个 HEAD 文件，该文件显示了克隆该仓库并实施所需功能的开发人员的全名和电子邮件地址。 研究人员立即与该开发人员取得了联系，并确认他于今年 1 月感染了恶意软件，而该开发人员并不知道自己在此过程中执行了恶意代码。 虽然此事件已经追溯到了几个月前，但研究人员认为，目前有足够的证据和活动线索表明该活动仍在继续。7 月 13 日，他们又发现了一个新发布的 GitHub 存储库，与之前事件中使用的存储库相吻合，但使用的是不同的账户名。 通过进一步调查，研究人员发现这个“尘封”的GitHub 账户在他们与受害者建立联系的同一天又活跃了起来，并认为威胁行为者可能仍保留着对受感染开发人员通信的访问权限。研究人员还认为，被联系的开发人员可能与恶意活动有关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/410804.html 封面来源于网络，如有侵权请联系删除

神秘的 Quad7 僵尸网络的运营者正在利用已知和未知的安全漏洞，入侵多个品牌的 SOHO 路由器和 VPN 设备，并积极发展。 根据法国网络安全公司 Sekoia 的最新报告，目标包括 TP-LINK、Zyxel、Asus、Axentra、D-Link 和 NETGEAR 的设备。 研究人员 Felix Aimé、Pierre-Antoine D. 和 Charles M. 表示：“Quad7 僵尸网络运营商似乎正在改进其工具集，引入新的后门并探索新的协议，目的是增强隐身性并逃避其操作中继盒 (ORB) 的跟踪能力。” Quad7，也称为 7777，于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录，强调了该活动集群将 TP-Link 路由器和大华数字视频录像机 (DVR) 诱捕到僵尸网络的模式。 该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名，据观察，该僵尸网络可以暴力破解 Microsoft 3665 和 Azure 实例。 VulnCheck 的 Jacob Baines 今年 1 月初指出：“僵尸网络似乎还感染了 MVPower、Zyxel NAS 和 GitLab 等其他系统，尽管感染量非常小。僵尸网络不仅在端口 7777 上启动服务，还在端口 11228 上启动 SOCKS5 服务器。” Sekoia 和 Team Cymru 在过去几个月的后续分析发现，该僵尸网络不仅攻 击了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器，而且还扩展到攻击开放了 TCP 端口 63256 和 63260 的华硕路由器。 最新调查结果显示，该僵尸网络由若干个集群组成—— xlogin（又名 7777 僵尸网络） – 由受感染的 TP-Link 路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 7777 和 11288 alogin（又名 63256 僵尸网络）——由受感染的华硕路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 63256 和 63260 rlogin – 由受感染的 Ruckus Wireless 设备组成的僵尸网络，这些设备打开了 TCP 端口 63210 axlogin – 一个能够攻击 Axentra NAS 设备的僵尸网络（目前尚未在野外检测到） zylogin – 由受感染的 Zyxel VPN 设备组成的僵尸网络，这些设备开放了 TCP 端口 3256 感染量排名前三的国家是保加利亚、美国和乌克兰。 进一步表明战术演变的是，攻击者现在使用一个名为 UPDTAE 的新后门，该后门建立基于 HTTP 的反向 shell，以在受感染的设备上建立远程控制并执行从命令和控制 (C2) 服务器发送的命令。 目前尚不清楚该僵尸网络的具体目的或幕后黑手。 “关于 7777 [僵尸网络]，我们只看到针对 Microsoft 365 帐户的暴力破解尝试。”Aimé 告诉该出版物。“对于其他僵尸网络，我们仍然不知道它们是如何使用的。” “我们发现攻击者试图通过在受感染的边缘设备上使用新的恶意软件来变得更加隐秘。此举的主要目的是防止追踪附属僵尸网络。” 技术报告：https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MxYNWKVCLZzkOCd4p7V9Jw 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一组新的恶意 Python 包，它们以编码评估为幌子针对软件开发人员。 ReversingLabs 研究员 Karlo Zanki表示：“新的样本被追踪到 GitHub 项目，该项目与之前的针对性攻击有关，这些攻击使用虚假的求职面试来引诱开发人员。” 该活动被认为是正在进行的被命名为 VMConnect 的黑客活动的一部分，该活动于 2023 年 8 月首次曝光。有迹象表明，这是朝鲜支持的 Lazarus Group 所为。 朝鲜黑客组织广泛使用求职面试作为感染媒介，他们要么在 LinkedIn 等网站上接触毫无戒心的开发人员，要么诱骗他们下载恶意软件包作为所谓的技能测试的一部分。 这些软件包已直接发布在 npm 和 PyPI 等公共存储库上，或托管在其控制下的 GitHub 存储库上。 ReversingLabs 表示，它发现了嵌入在合法 PyPI 库（如pyperclip和pyrebase ）的修改版本中的恶意代码。 Zanki 表示：“恶意代码存在于 __init__.py 文件及其对应的编译后的 Python 文件（PYC）中，这些文件位于各个模块的 __pycache__ 目录内。” 它以 Base64 编码字符串的形式实现，掩盖了下载器功能，该功能与命令和控制 (C2) 服务器建立联系，以执行作为响应收到的命令。 在软件供应链公司发现的一个编码任务实例中，攻击者试图通过要求求职者在五分钟内构建以 ZIP 文件形式共享的 Python 项目并在接下来的 15 分钟内查找并修复编码缺陷来创造一种虚假的紧迫感。 这使得“攻击者更有可能在未执行任何类型的安全甚至源代码审查的情况下执行该软件包”，Zanki 表示，并补充道，“这确保了此次活动背后的恶意行为者能够在开发人员的系统上执行嵌入的恶意软件。” 上述一些测试声称是针对 Capital One 和 Rookery Capital Limited 等金融机构进行的技术面试，突显攻击者如何冒充该行业的合法公司来完成操作。 目前尚不清楚这些活动的范围有多广，谷歌旗下的 Mandiant 最近也强调，他们会使用 LinkedIn 来搜寻和联系潜在目标。 该公司表示：“在初步聊天对话后，攻击者发送了一个 ZIP 文件，其中包含伪装成 Python 编码挑战的 COVERTCATCH 恶意软件，该恶意软件会下载通过启动代理和启动守护程序持续存在的第二阶段恶意软件来危害用户的 macOS 系统。” 网络安全公司 Genians透露，代号为Konni的朝鲜黑客组织正在加强对俄罗斯和韩国的攻击，通过使用鱼叉式网络钓鱼诱饵来部署 AsyncRAT，并且与代号为CLOUD#REVERSER（又名 puNK-002）的行动有重叠。 其中一些攻击还涉及传播一种名为CURKON的新恶意软件，这是一种 Windows 快捷方式 (LNK) 文件，可用作Lilith RAT的 AutoIt 版本的下载器。 根据 S2W 的说法，该活动已链接到跟踪为 puNK-003 的子集群。 技术报告：https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/G_KWKOfvr-fR6ru0Hmwh1A 封面来源于网络，如有侵权请联系删除

乌克兰安全局（SBU）拘留了一名当地公民，他涉嫌在关键基础设施附近安装监控摄像头，据称允许俄罗斯情报部门监视这些地点。 乌克兰安全局周一在一份声明中表示，据报道，这名嫌疑人居住在乌克兰东北部城市哈尔科夫，俄罗斯军事情报局 (GRU) 通过社交消息应用程序 Telegram 招募了他，并承诺给他“轻松”的钱。 乌克兰执法部门在基辅逮捕了这名涉嫌俄罗斯间谍的人，他在基辅租了几套可以俯瞰当地能源设施的高层建筑中的公寓。 据乌克兰安全局称，嫌疑人利用这些公寓安装了带有远程访问软件的摄像头，据称可以让俄罗斯人实时监控关键基础设施。 俄罗斯可能利用这些录像来评估其最近对基辅地区空袭的影响，并确定乌克兰防空系统的位置。 乌克兰安全局称，嫌疑人在基辅设立这些“观察站”后，以探望父母为幌子返回哈尔科夫，但实际上是为了纵火焚烧战略铁路线上的继电器柜。 安全部门表示，他们记录了他的一举一动，并最终将他拘留在基辅的一间出租公寓中。被捕时，嫌疑人正在安装一台新的闭路电视 (CCTV) 摄像机，以记录对该市的空袭。 在搜查过程中，执法人员缴获了他的手机和摄像机，其中包含俄罗斯“情报和颠覆活动”的证据。 嫌疑人目前已被拘留。乌克兰安全局表示，他将面临终身监禁和没收财产。 流行的间谍工具 俄罗斯和乌克兰都广泛使用监控摄像头进行间谍活动。它们通常安装在关键基础设施附近，或用于识别部队、防空系统或军事装备的位置。 今年8月，俄罗斯当局警告乌克兰攻击风险地区的居民停止使用监控摄像头，担心它们可能被用于情报收集。 根据俄罗斯内务部（MVD）的声明，乌克兰军队正在远程连接不受保护的闭路电视摄像机，“监视从私人庭院到具有战略意义的道路和高速公路的一切”。 今年 1 月，乌克兰安全官员称，他们关闭了两台在线监控摄像头，据称这些摄像头遭到俄罗斯黑客攻击，用于监视基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的居民楼上，最初供居民监控周边地区和停车场。据称，俄罗斯情报部门在入侵这些摄像头后，获得了远程访问权限，改变了摄像头的视角，并将其连接到 YouTube 以播放敏感视频。 这些画面可能帮助俄罗斯在对乌克兰进行大规模导弹袭击期间向基辅发射无人机和导弹。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/sRU6TCWNfy9m0WwFKG25AA 封面来源于网络，如有侵权请联系删除

多年以来，硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线，然而最新研究发现，这些被认为牢不可破的“安全硬件”，实际上暗藏严重漏洞。 近日，来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文，披露英飞凌（Infineon）安全微控制器中存在一个重大侧信道漏洞。该漏洞影响了广泛应用于电子护照、加密货币硬件钱包、智能汽车和FIDO硬件认证设备（如YubiKey 5系列）的加密库。 由于漏洞波及范围广大，影响深远，这一发现立刻引发了安全行业的广泛关注。 “最流行硬件密钥”YubiKey被破解 YubiKey 5系列硬件密钥产品是当下最流行的FIDO硬件令牌，内置了英飞凌的SLE78安全微控制器，以确保设备的高安全性。然而，研究人员发现，该微控制器在ECDSA实现中存在一个关键漏洞，可被攻击者利用并克隆密钥。 FIDO硬件令牌是一种用于网络服务身份验证的强认证工具，广泛应用于政府、企业和个人的敏感数据保护中。这些令牌通常嵌入安全元素（Secure Element），依赖椭圆曲线数字签名算法（ECDSA）作为其核心的加密原语。 该漏洞涉及一种非恒定时间的模逆运算，导致加密操作产生可预测的电磁辐射。研究人员通过分析电磁信号，发现攻击者可以利用这些泄露的信息推断出ECDSA私钥。具体而言，攻击者通过在受害设备附近部署特定的物理设备并进行几分钟的电磁侧信道采集，即可获得足够的信息来推导密钥。 研究的突破点是利用Feitian A22设备上的JavaCard开放平台进行逆向工程。该设备基于与YubiKey 5系列相同的Infineon SLE78微控制器，研究人员通过此平台发现了ECDSA实现中的侧信道漏洞，并成功设计了一种可行的攻击方法。最终，他们在YubiKey 5Ci设备上成功验证了该攻击。 产品漏洞顺利通过了80次顶级安全认证 该漏洞不仅影响YubiKey 5系列设备，还扩展至其他采用Infineon加密库的设备，如Optiga Trust M和Optiga TPM等安全微控制器。这些微控制器被广泛应用于各种复杂的安全系统，包括电子护照、智能家居、智能汽车等。尽管研究人员尚未确认该漏洞是否适用于所有这些系统，但潜在风险不容忽视。 根据论文，受影响的设备多达80款，且在过去14年中通过了多个最高级别的安全认证（如Common Criteria CC认证）。这一漏洞的长期未被发现，反映出即使是经过严格审查的加密系统，也可能存在未察觉的严重安全漏洞。 更糟糕的是，该漏洞还摧毁了人们对安全认证的信心，因为该漏洞在英飞凌顶级安全芯片中存在了14年之久，期间存在漏洞的芯片和加密库在2010年至2024年期间顺利通过了大约80次AVA VAN 4级（用于TPM）或AVA VAN 5级（用于其他芯片）的CC认证评估，（以及近30次证书维护）。 漏洞严重，但不紧急 尽管Yubikey等硬件密钥曝出高危漏洞，但对于普通用户来说，未必需要紧急停用或者更换密钥。研究人员强调，利用这一漏洞的前提条件相对苛刻。首先，攻击者需要物理访问目标设备，其次，还需要昂贵的设备、定制软件以及高度专业的技术能力（编者：克隆YubiKey密钥还需要需要掌握受害者的用户名和密码，以及对其YubiKey的物理访问权）。因此，在现实中，该漏洞被大规模利用的风险较低。研究人员指出，对于普通用户而言，继续使用FIDO硬件令牌仍是抵御网络钓鱼攻击的最安全手段。虽然存在漏洞，但相比不使用硬件认证，使用受影响的FIDO令牌依然提供了更高的安全性。 未来应对措施 针对这一漏洞，研究人员提出了若干应对方案，包括加强物理防护、通过电磁干扰阻断侧信道、使用法拉第笼屏蔽设备外部的电磁辐射等。这些措施虽然有效，但在实际部署中可能带来较高的成本和复杂性。 此外，研究人员呼吁安全系统制造商尽快修复这一漏洞，尤其是那些依赖ECDSA加密的设备。未来的硬件设计中，应更加关注侧信道攻击的防御能力，并确保加密操作的时间一致性。 也有安全专家建议关注开源硬件密钥方案，例如Soma、Solokey、Nitrokey、Onlykeys等，虽然这些硬件密钥也都存在漏洞（有些甚至无法修复）。 截止本文发稿，有报道称，yubikey已经在密钥固件中用自己的ECC上游库替换了Infineon密码库。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/iVxB7faNkGuRwP7nHwJ9fg 封面来源于网络，如有侵权请联系删除

安全内参9月10日消息，美国西雅图高线（Highline）公立学区的技术系统遭到网络攻击，导致学区内所有学校在周一和周二暂时关闭。 学区在上周日（8日）通过其官网发布声明称：“我们已检测到技术系统中存在未经授权的活动，并立即采取行动隔离了关键系统。我们正与第三方以及州和联邦合作伙伴密切配合，力争安全完成系统的恢复与测试工作。” 所有体育活动、学校活动、会议以及疫苗接种点均已暂停，但学区的中央办公室仍然开放。这次关闭还推迟了周一的幼儿园开学，高线学区的幼儿园为全日制。 根据学区官网的通知，部分学区员工仍需到校，负责引导那些未得知学区停课消息的家庭。周一，只有少数学生到校。 高线学区负责为西雅图南部社区的35所学校提供服务，涵盖17290名学生。 学校运转高度依赖IT系统，后期将补课弥补学时损失 学区发言人Tove Tupper在上周日下午表示，处理此问题的学区专家尚未发现员工或家庭的个人信息遭到泄露。学区在上周日并未解释黑客的动机或目标，Tupper仅表示，学区“发现技术系统中存在未经授权的活动”。 Tupper指出，学校的计算机和通信系统对于维持课堂运作至关重要。她举例说，校车调度通过在线系统进行。“我们无法在没有这些系统的情况下正常运作，尤其是在学年初阶段。这时，年幼的学生们正乘坐校车，且仍在适应日常流程。”她补充道，出勤记录也依赖在线系统。 上周日下午，学区通过短信、自动电话和电子邮件向家长和员工发出了通知。 高线学区2024-25学年日历中已用红色标出了补课日，以应对教学时间的损失。第一个补课日定在阵亡将士纪念日后的星期二，若有必要，官员们可能会将原本四天的长周末缩短为三天。 教育机构网络威胁态势愈发严峻 这是Tupper在高线学区工作11年来，首次看到整个学区因计算机网络安全问题关闭。 随着越来越多的学校系统依赖互联网和技术开展工作，网络攻击的频率也在上升。根据网络安全公司Emsisoft的报告，2021年曾发生62起针对学校系统的攻击事件，而到2023年，这一数字已超过100起。在某些情况下，黑客会要求赎金或威胁公开个人信息。 此次针对高线公立学校的攻击，仅是近年来影响北美及全球公立学区和学生的一系列网络攻击中的最新一起。 今年6月，一名身份不明的攻击者入侵了数字课堂管理平台Mobile Guardian，并远程清除了北美、欧洲和新加坡至少13000台学生iPad和Chromebook上的数据。 加拿大最大的学校董事会、北美第四大董事会——多伦多地区学校董事会（TDSB）也在6月警告称，其软件测试环境遭到了勒索软件攻击的影响。   转自安全内参，原文链接：https://www.secrss.com/articles/70092 封面来源于网络，如有侵权请联系删除

近日，有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766，影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补，并警告称其只影响防火墙的管理访问界面。 然而，SonicWall上周五（9月6日）透露，该安全漏洞还影响了防火墙的SSLVPN功能，且已被黑客用以网络攻击。该公司提醒客户尽快为受影响的产品打上补丁，但没有透露有关野外利用的详细信息。 Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有所关联，他们试图以SonicWall设备为目标，获得对目标网络的初始访问权。 Arctic Wolf高级威胁情报研究员Stefan Hostetler表示：在每个实例中，被攻击的账户都是设备本身的本地账户，而不是与微软活动目录等集中式身份验证解决方案集成在一起。此外，所有被入侵账户的 MFA 都被禁用，受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 影响的版本。 同时，网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织，但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。 Arctic Wolf 和 Rapid7 复制了 SonicWall 的警告，并敦促管理员尽快升级到最新的 SonicOS 固件版本。 联邦机构被勒令在 9 月 30 日前打补丁 本周一（9月9日），CISA将此关键访问控制漏洞添加到其已知漏洞目录中，并命令联邦机构在 9 月 30 日之前的三周内，按照约束性操作指令 (BOD) 22-01 的规定，确保其网络中存在漏洞的 SonicWall 防火墙的安全。 SonicWall 缓解建议将防火墙管理和 SSLVPN 访问限制为可信来源，并尽可能禁止互联网访问。管理员还应为所有使用 TOTP 或基于电子邮件的一次性密码 (OTP) 的 SSLVPN 用户启用多因素身份验证 (MFA)。 在网络间谍和勒索软件攻击中，攻击者经常以 SonicWall 设备和设备为目标。例如，包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/410635.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞，该漏洞能允许攻击者多次查看用户发送的“阅后即焚”（View once）内容。 WhatsApp的“阅后即焚”于3年前推出，允许用户发送只能浏览一次的照片、视频和语音消息，且接收者无法转发、分享、复制或截取消息。 但这其中有一个Bug，Zengo X 研究团队发现，“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息，包括桌面端，即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同，但包含一个指向 WhatsApp 网络服务器（”blob store”）托管的加密数据 URL 以及解密密钥。 研究人员称，这些消息在下载后不会立即从 WhatsApp 的服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。 此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，攻击者仅需将“true”改为“false”，就可绕过此隐私功能 ，下载、转发和共享这些“阅后即焚 ”消息。 Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息。 目前Meta已表示对漏洞进行了修复，但这背后所反映出的更深层次问题也引发了人们的忧虑，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“，其本质上仍然漏洞百出。   转自Freebuf，原文链接：https://www.freebuf.com/news/410675.html 封面来源于网络，如有侵权请联系删除

微软周二对 Windows Update 中一个严重漏洞的利用发出警报，警告攻击者正在回滚其操作系统某些版本的安全修复程序。 该 Windows 漏洞被标记为CVE-2024-43491，且已被积极利用，其等级为严重，CVSS 严重性评分为 9.8/10。 微软没有提供任何有关公开利用的信息，也没有发布 IOC（入侵指标）或其他数据来帮助防御者寻找感染迹象。该公司表示，该问题是匿名报告的。 根据微软关于该漏洞的文档，表明这是一种系统降级回滚攻击，类似于今年黑帽大会上讨论的 “Windows Downdate”问题。 微软安全公告称： 微软已经意识到服务堆栈中存在一个漏洞，该漏洞可撤销 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。 这个漏洞会导致可选组件（例如 Active Directory 轻量级目录服务、XPS 查看器、Internet Explorer 11、LPD 打印服务、IIS 和 Windows Media Player）回滚到其原始 RTM 版本。 这会导致任何先前已修复的 CVE 被重新引入，然后可被利用。 微软 2024 年 9 月补丁日，提供了包含 79 个漏洞的安全更新，其中包括4个被主动利用的漏洞和一个公开披露的0day漏洞。 本次补丁日修复了7个严重级别漏洞，这些漏洞要么是远程代码执行，要么是权限提升漏洞。 按漏洞性质分类如下： 30 个特权提升漏洞 4 个安全功能绕过漏洞 23 个远程代码执行漏洞 11 个信息泄露漏洞 8 个拒绝服务漏洞 3 个欺骗漏洞 今天的更新中被积极利用的四个0day漏洞是： 1.CVE-2024-38014 – Windows Installer 特权提升漏洞 该漏洞允许攻击者获取 Windows 系统的 SYSTEM 权限。微软尚未透露该漏洞如何遭到攻击的详细信息。该漏洞是由 SEC Consult Vulnerability Lab 的 Michael Baer 发现的。 2. CVE-2024-38217 – Windows Mark of the Web 安全功能绕过漏洞 Elastic Security 的 Joe Desimone上个月公开披露了这一漏洞，据信自 2018 年以来就一直被积极利用。 在报告中，Desimone 概述了一种名为 LNK stomping 的技术，该技术允许使用非标准目标路径或内部结构特制的 LNK 文件打开该文件，同时绕过智能应用程序控制和 Web 标记安全警告。 微软的建议解释说：“攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示）的完整性和可用性受到一定程度的损失。” 一旦被利用，它就会导致 LNK 文件中的命令在没有警告的情况下被执行。 3. CVE-2024-38226 – Microsoft Publisher 安全功能绕过漏洞 Microsoft Publisher 的一个漏洞，该漏洞可以绕过针对下载文档中嵌入宏的安全保护。 微软的建议解释道：“成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的 Office 宏策略。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。 4. CVE-2024-43491 – Microsoft Windows 更新远程代码执行漏洞 微软修复了一个允许远程代码执行的服务堆栈缺陷。 微软在公告中解释道：“微软已经意识到服务堆栈中存在一个漏洞，并且已经撤销了对影响 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/np5hNqHweHgj2A8yR60WKQ 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

一种被称为PIXHELL 的新型侧信道攻击可被滥用，通过突破“audio gap”来攻击隔离网内的计算机，并利用屏幕像素产生的噪音窃取敏感信息。 以色列古里安大学软件与信息系统工程系攻击性网络研究实验室负责人Mordechai Guri 博士在新发表的论文中表示：“隔离和音频隔离计算机中的恶意软件会生成精心设计的像素模式，从而产生频率范围为 0 – 22 kHz 的噪音。” “恶意代码利用线圈和电容器产生的声音来控制屏幕发出的频率，声音信号可以编码和传输敏感信息。” 这次攻击引人注目之处在于它不需要受感染计算机上的任何专门的音频硬件、扬声器或内置扬声器，而是依靠 LCD 屏幕来产生声音信号。 物理隔离是一项重要的安全措施，旨在通过物理方式将关键任务环境与外部网络（即互联网）隔离，保护关键任务环境免受潜在的安全威胁。这通常通过断开网线、禁用无线接口和禁用 USB 连接来实现。 尽管如此，这种防御措施可能会被内部人员或硬件或软件供应链的破坏所绕过。另一种情况可能是，一名毫无戒心的员工插入受感染的 USB 驱动器，以部署能够触发隐蔽数据泄露通道的恶意软件。 Guri 博士说：“网络钓鱼、恶意内部人员或其他社会工程技术可能会被用来诱骗有权访问隔离系统的个人采取危害安全的行为，例如点击恶意链接或下载受感染的文件。” “攻击者还可能利用软件供应链攻击，针对软件应用程序依赖项或第三方库。通过破坏这些依赖项，他们可以引入在开发和测试期间可能不被注意的漏洞或恶意代码。” 与最近演示的RAMBO 攻击一样，PIXHELL 利用部署在受感染主机上的恶意软件创建声学通道，以泄露隔离网络系统中的信息。 这是因为液晶屏的内部元件和电源中含有电感器和电容器，当电流通过线圈时，它们会以可听见的频率振动，从而产生高音调的噪声，这种现象称为线圈呜呜声。 具体而言，功耗变化会引起电容器的机械振动或压电效应，从而产生可听见的噪声。影响功耗模式的一个关键方面是点亮的像素数量及其在屏幕上的分布，因为白色像素比暗像素需要更多的电量来显示。 “此外，当交流电 (AC) 经过屏幕电容器时，它们会以特定频率振动。”Guri 博士说。“声波是由 LCD 屏幕的内部电气部分产生的。其特性受屏幕上投影的实际位图、图案和像素强度的影响。” “通过精心控制屏幕上显示的像素图案，我们的技术可以从液晶屏产生特定频率的特定声波。” 因此，攻击者可以利用该技术以声音信号的形式窃取数据，然后对其进行调制并传输到附近的 Windows 或 Android 设备，随后这些设备可以解调数据包并提取信息。 值得注意的是，发出的声信号的功率和质量取决于具体的屏幕结构、其内部电源、线圈和电容器位置等因素。 另一件需要强调的重要事情是，PIXHELL 攻击默认对于查看 LCD 屏幕的用户是可见的，因为它涉及显示由交替的黑白行组成的位图图案。 “为了保持隐蔽性，攻击者可能会使用在用户不在场时进行传输的策略。”Guri 博士说。“例如，在非工作时间对隐蔽通道进行所谓的‘夜间攻击’，以降低被发现和暴露的风险。” 然而，通过在传输之前将像素颜色降低到非常低的值（即使用 RGB 级别 (1,1,1)、(3,3,3)、(7,7,7) 和 (15,15,15)），可以将这种攻击转变为工作时间内的隐秘攻击，从而给用户留下屏幕是黑色的印象。 但这样做的副作用是“显著”降低声音产生水平。而且这种方法也并非万无一失，因为如果用户“仔细”看屏幕，他们仍然可以发现异常模式。 这并不是第一次在实验装置中突破音频间隙限制。Guri博士之前进行的研究曾利用计算机风扇 (Fansmitter)、硬盘驱动器 (Disklysis)、CD/DVD 驱动器 (CD-LEAK)、电源装置 (POWER-SUPPLaY) 和喷墨打印机 (Inklysis) 产生的声音。 作为对策，建议使用声学干扰器来中和传输，监控音频频谱中是否存在异常或不常见的信号，限制授权人员的物理访问，禁止使用智能手机，并使用外部摄像头检测异常的调制屏幕图案。 论文访问链接：https://arxiv.org/abs/2409.04930   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RkVW26gzTo2eYEk-EeKeEg 封面来源于网络，如有侵权请联系删除

美国人工智能医疗公司Confidant Health的服务器配置错误，泄露了5.3TB的敏感心理健康记录，其中包括个人信息、评估和医疗信息，对患者构成严重的隐私风险。事件源于vpnMentor的资深网络安全研究员Jeremiah Fowler发现的一个未受密码保护且配置错误的服务器，其中包含来自Confidant Health的机密记录。9月6日，Jeremiah Fowler通过博客文章披露了这一发现。Confidant Health是一家位于德克萨斯州的人工智能平台，为康涅狄格州、佛罗里达州、新罕布什尔州、德克萨斯州和弗吉尼亚州的居民提供心理健康和成瘾治疗服务。 Confidant Health提供一系列服务，包括酒精康复、在线丁丙诺啡诊所、成瘾前治疗、行为改变计划、康复教练、阿片类药物戒断管理和药物辅助治疗，并且拥有一个下载量超过10,000次的远程医疗成瘾康复应用程序。 此次事件中的数据库包含超过126,276个文件（约5.3TB）和170万条日志记录，暴露了以下敏感信息： 个人身份信息 (PII)：姓名、地址、联系方式、驾驶执照和保险信息。 心理健康评估：对患者的心理健康状况、家族史和创伤经历进行详细评估。 医疗记录：处方药清单、诊断测试结果、健康保险详情、医疗补助卡、医疗记录、治疗记录、列出处方药的护理信以及医疗记录请求或豁免。 音频和视频记录：它还包括会议的音频和视频记录和文本记录，讨论深入的个人家庭话题，包括孩子、父母、伴侣和冲突。 Fowler在9月6日发布消息之前与Hackread.com分享的一份报告中解释道，这些文件披露了心理治疗的入院记录和社会心理评估，详细说明了心理健康、药物滥用、家庭问题、精神病史、创伤史、医疗状况和其他诊断。 Confidant Health已承认数据泄露并限制访问。目前尚不清楚数据库是由 Confidant Health直接管理还是由第三方管理。暴露的持续时间和对配置错误的服务器的潜在访问仍不得而知。 “数据库中的文档并非全部被公开，部分文件受到限制，无法公开查看。然而，即使这些受限制文件中的数据无法查看，也存在恶意行为者知道其他患者数据的文件路径和存储位置的潜在风险，”Fowler指出。 类似因配置失当造成的数据库暴露或数据泄露屡见不鲜。2024年8月2日Jeremiah Fowler发现了13个配置错误的数据库，其中包含多达460万份文件，包括选民记录、选票和各种选举相关名单。暴露的数据似乎来自美国伊利诺伊州的一个县，无需任何密码或安全认证即可公开访问。他怀疑其他县可能无意中泄露了类似的数据，于是他替换了数据库格式中的县名，发现了总共13个可公开访问的数据库，以及另外15个不可公开访问的数据库。 网上咨询和治疗数据被网络犯罪分子滥用已有先例。2021年，《连线》杂志报道称，一家名为Vastaamo的心理健康初创公司提供易于使用的技术服务，并运营着芬兰最大的私人心理健康服务提供商网络。黑客入侵并下载了他们的整个客户数据库。接下来，犯罪分子联系了Vastaamo的首席执行官，要求支付40比特币（2020年为50万美元）作为赎金，否则他们每天将泄露100份患者记录。可见，健康数据本身对犯罪分子来说非常有价值，但如果再加上患者对其敏感的个人心理健康数据或药物滥用可能被曝光的担忧，则可能会增加勒索成功的风险。这些信息落入坏人之手，可能会产生深远而毁灭性的后果。 美国的医疗相关信息受 HIPAA（健康保险流通与责任法案）监管。该法案为敏感患者健康信息的保密性、安全性和保护制定了严格的标准。敏感患者数据的泄露会严重威胁其隐私，并可能导致各种负面后果，包括身份盗窃、医疗身份盗窃、敲诈勒索和勒索。犯罪分子可能会利用这些信息开设欺诈账户、提交虚假保险索赔、威胁患者泄露其心理健康信息并利用他们的弱点。 此次事件凸显了远程医疗行业中强有力的数据安全措施的重要性。关键措施可能包括加密、访问控制、定期安全审计、员工数据安全最佳实践培训以及全面的事件响应计划。随着远程医疗服务越来越受欢迎，提供商必须优先考虑患者的隐私和数据安全。   转自安全内参，原文链接：https://www.secrss.com/articles/69952 封面来源于网络，如有侵权请联系删除。