HackerNews

Mandiant 称，被追踪为 UNC2970 的朝鲜黑客组织一直使用以工作为主题的诱饵，试图向在关键基础设施部门工作的个人传播新的恶意软件。 Mandiant 首次详细描述UNC2970 的活动及其与朝鲜的联系是在 2023 年 3 月，当时有人发现该网络间谍组织试图向安全研究人员发送恶意软件。 该组织至少自 2022 年 6 月就已存在，最初被发现以招聘工作为主题的电子邮件为目标，针对美国和欧洲的媒体和技术组织。 Mandiant 在周三发布的一篇博客文章中报告称，在美国、英国、荷兰、塞浦路斯、德国、瑞典、新加坡、香港和澳大利亚均发现了 UNC2970 目标。 Mandiant 公司称，近期的攻击主要针对美国航空航天和能源行业的个人。黑客继续利用以工作为主题的信息向受害者发送恶意软件。 UNC2970 一直通过电子邮件和 WhatsApp 与潜在受害者接触，自称是大型公司的招聘人员。 受害者会收到一个受密码保护的存档文件，其中似乎包含一份带有职位描述的 PDF 文档。然而，该 PDF 已加密，只能使用 Sumatra PDF 免费开源文档查看器的木马版本打开，该查看器也随文档一起提供。 Mandiant 指出，此次攻击并未利用任何 Sumatra PDF 漏洞，应用程序也未受到攻击。黑客只是修改了应用程序的开源代码，使其在执行时运行 Mandiant 追踪的 BurnBook 植入程序。 BurnBook 反过来部署了一个被跟踪为 TearPage 的加载程序，该加载程序部署了一个名为 MistPen 的新后门。这是一个轻量级后门，旨在在受感染的系统上下载和执行 PE 文件。 至于用作诱饵的职位描述，朝鲜网络间谍获取了真实的招聘信息文本，并对其进行了修改，以使其更符合受害者的个人资料。 Mandiant 表示：“所选职位描述针对的是高级/经理级员工。这表明攻击者旨在获取通常仅限于高级员工的敏感和机密信息。” Mandiant 尚未透露被冒充的公司的名称，但一份虚假职位描述的截图显示，BAE Systems 的招聘启事被用来针对航空航天业。另一份虚假职位描述是一家未具名的跨国能源公司。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a8mYTcU6TLvUfLiOD_UkWg 封面来源于网络，如有侵权请联系删除  

真主党成员为了规避以色列对电话的追踪和监控，近几个月改用寻呼机进行通讯；多方消息显示，可能是某批次寻呼机被以色列截获篡改，植入炸药后真主党未发现继续分发使用；纽约时报称，这些寻呼机在昨天下午同时收到一条看似来自真主党领导层的消息，发出振动/蜂鸣声几秒后发生爆炸，尚不确定引爆指令是这条消息还是其他信号。 安全内参9月18日消息，黎巴嫩周二（17日）发生了一场疑似前所未有的袭击事件，真主党成员及其他人士使用的大量电子寻呼机突然神秘爆炸，导致全境约3000人受伤，其中至少9人死亡。 黎巴嫩国家新闻社将此事件形容为“一起前所未有的安全事故”，并指出爆炸发生在该国首都贝鲁特南部真主党控制的郊区及其他多个地区。 黎巴嫩代理卫生部长菲拉斯·阿比亚德（Firass Abiad）表示，超过2750人受伤，其中180人伤势危重。阿比亚德说，大多数伤者的伤情集中在脸部、手部和腹部，都是寻呼机通常放置的部位。 真主党指责以色列发起了此次袭击，大量寻呼机同时爆炸 真主党指责以色列发动了此次袭击。这一激进组织在周二的一份声明中表示：“我们完全指责以色列敌人对此次犯罪行径负责。” 以色列官员和军方对周二发生的寻呼机爆炸事件未作任何评论。以色列过去曾展示其具备发动复杂远程袭击的能力。 真主党表示，下午3点30分左右，其成员、工作人员和行动人员使用的寻呼机发生了爆炸。声明中还提到，死者中包括一名儿童和该组织的两名成员。伊朗驻黎巴嫩大使馆证实，伊朗大使也在此次袭击中受伤。 真主党在声明中表示：“真主党的专业部门目前正在展开大规模的安全和科学调查，以查明导致这些爆炸同时发生的原因。” 这起离奇且前所未有的袭击发生的数小时前，以色列曾暗示其正在考虑升级与真主党之间的军事对抗。真主党是伊朗支持的黎巴嫩什叶派激进组织，同时也是黎巴嫩最具影响力的政党之一。 猜测某批寻呼机被以色列截获篡改，植入炸药后远程引爆 自去年10月以来，真主党与以色列一直处于相互攻击的局面。为了规避以色列对电话的追踪和监控，真主党成员在过去几个月里改用寻呼机进行通讯。 路透社报道称，被毁坏的寻呼机照片显示，其格式和背面的贴纸与中国台湾企业金阿波罗公司生产的AP924型号寻呼机一致，该机型采用的是可拆卸锂电池。 爆炸的具体原因尚未确定。 总部位于贝鲁特的互联网监督组织SMEX的技术专家推测，可能有一批寻呼机被截获，并被植入了少量炸药，这些炸药可以通过定时器或预设信号引爆。 一位接受卡塔尔半岛电视台采访的安全专家表示，这些寻呼机似乎被植入了大约一盎司的炸药。据称，这些寻呼机是由真主党进口的约5000台设备中的一部分。 另一种可能性是，以色列可能研发出了一种技术，能够让寻呼机的电池过热。专家指出，现代寻呼机使用的是锂离子电池，这类电池在过热的情况下可能起火并爆炸。 欧盟高级政治风险分析师伊莱贾·马格尼尔接受美联社采访称，他曾与真主党成员交谈过，他们检查过未爆炸的寻呼机，引发爆炸的原因似乎是将一条错误消息发送目标寻呼机，引发寻呼机振动，迫使用户点击按钮来停止振动。这种远程操作在引爆炸药的同时，确保了爆炸发生时用户在场。 爆炸事件造成严重人身伤害，当地医院被挤满 数百名伤者被送往位于贝鲁特市中心的美国大学医院，其中一位身穿绿色衬衫、满身是血的壮汉穆罕默德·萨尔哈布（Mohammad Salhab）正在等待他朋友的消息。 萨尔哈布说：“他当时手里拿着寻呼机，医生不得不为他截肢，无法保住他的手。” 此次袭击的消息在有真主党官员和行动人员活动的社区引发了恐慌，人们纷纷打电话通知家人，要求他们断开路由器及其他可能易受攻击的设备。 爆炸发生时，途经贝鲁特南部郊区的目击者看到一名血迹斑斑的男子躺在地上，周围聚集了不少人。 社交媒体上发布的图片声称是此次袭击的画面，其中一张照片显示，一名购物者站在水果市场的摊位附近时，他的袋子突然爆炸。另一张照片则显示一名男子在店内手持寻呼机，正要放在桌子上时发生了爆炸，将他震飞。 《洛杉矶时报》尚未能独立验证这些视频或照片的真实性。 数十辆救护车在贝鲁特拥堵的街道上穿梭，运送伤者，而黎巴嫩南部的医院已经被大量伤员挤满。 与此同时，黎巴嫩卫生部要求所有医院进入紧急状态，并呼吁全国医务人员立即返回医院工作。 以色列尚未回应，但声称挫败了一起真主党远程暗杀计划 周一晚间，以色列总理本雅明·内塔尼亚胡表示，政府在与加沙地带哈马斯激进分子的战争中的目标，现在将包括确保北部以色列居民能够安全返回家园。 自2023年10月8日以来，约6万名北部以色列居民因真主党为声援哈马斯向以色列发射火箭弹而被迫流离失所。 分析人士指出，尽管以色列尚未承认对此次寻呼机爆炸负责，但事件加剧了全面战争爆发的风险。 特拉维夫国家安全研究所高级研究员奥尔娜·米兹拉希（Orna Mizrahi）表示：“与之前相比，现在我们距离全面战争的可能性更近了。” 同样在周二，以色列国内情报机构辛贝特宣布，成功挫败了真主党试图使用远程设备暗杀一名前以色列高级安全官员的计划。辛贝特表示，此次袭击计划原本将在未来几天内实施。 包括参谋长赫尔齐·哈莱维（Herzi Halevi）中将在内，以色列高级指挥官周二晚上召开会议，讨论“在所有战线上做好攻击和防御的准备”。以色列军方在一份简短声明中提到此次会议，但未提及寻呼机爆炸事件。 联合国称，周二的事态发展“极为令人担忧”，特别是在以色列和真主党持续敌对的动荡背景下。联合国秘书长安东尼奥·古特雷斯的发言人斯特凡·杜加里克（Stephane Dujarric）表示，联合国“再怎么强调黎巴嫩及该地区局势升级的风险也不为过。”   转自安全内参 ，原文链接：https://www.secrss.com/articles/70336 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件组织公布了其据称从摩托车制造商川崎欧洲汽车公司 (KME) 窃取的 487 GB 数据。 川崎欧洲汽车公司上周披露了这一事件，并告知客户该公司正在从 9 月初未成功的网络攻击中恢复。 该公司表示，作为预防措施，服务器被暂时隔离，并启动清理过程以检查所有数据并处理任何潜在的感染。 KME 表示：“KME IT 部门、其分支机构的 IT 员工以及外部网络安全顾问花了一周时间隔离和检查所有服务器并恢复其互连。” 该公司表示，已成功恢复 90% 以上的服务器功能，并恢复“经销商、业务管理部门以及物流公司等第三方供应商”的正常业务。 虽然这家摩托车制造商并未透露其遭遇了何种类型的网络攻击，但在官方发布事件通知时，RansomHub 勒索软件团伙已将川崎添加到其基于 Tor 的泄密网站中。 该组织声称从 KME 窃取了 487 Gb 的数据，并威胁说，除非支付赎金，否则将公开发布据称被盗的信息。 周末，由于勒索未遂，RansomHub 兑现了威胁，并公布了相关数据。 KME 是日本制造商川崎重工的一个部门，销售摩托车、多功能车、动力运动行业产品、零件、配件和装备。 美国政府在上个月底的联合公告中表示，RansomHub 勒索软件团伙自 2024 年 2 月起活跃，截至 8 月底已造成210 多名受害者。然而，该组织基于 Tor 的网站上并未列出所有受害者。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7IiTk13ruzyA44wEyNM3cg 封面来源于网络，如有侵权请联系删除  

美国最高网络监管机构CISA敦促联邦机构移除或升级一款不再更新且已被用于攻击的 Ivanti 设备。 该科技公司周五更新了一份公告，警告称，由于 CVE-2024-8190 的利用，“有限数量的客户”遭到入侵。 该漏洞于周二公布，影响了 Ivanti 的云服务设备 (CSA) – 一种通过互联网提供安全通信并作为托管设备和中央控制台连接的中心点的工具。 网络安全和基础设施安全局 (CISA)也在周五证实了这一漏洞的存在，利用该漏洞，黑客可以“访问运行 CSA 的设备”。 该咨询指出，CSA 4.6 已终止使用并且“不再接收针对操作系统或第三方库的补丁”。 “此外，随着生命周期结束，这是 Ivanti 将为该版本反向移植的最后一个修复。客户必须升级到 Ivanti CSA 5.0 才能继续获得支持。”他们说。“CSA 5.0 是唯一受支持的版本，不包含此漏洞。已经运行 Ivanti CSA 5.0 的客户无需采取任何其他措施。” CISA命令所有联邦民事机构在 10 月 4 日之前停止使用 CSA 4.6 或升级到 5.0。 Ivanti 表示，用户可以通过查看是否有修改或新增的管理用户来判断自己是否受到该漏洞的影响。他们还敦促客户检查安全警报，看是否涉及某些安全工具。 这个问题出现的前一天，Ivanti 的另一个漏洞引起了防御者的警惕。今年 4 月，美国和欧洲政府机构的系统遭到一系列引人注目的国家攻击，这些攻击利用 Ivanti 产品中的漏洞，攻破了这些政府机构的系统。此后，该公司承诺进行安全整改。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hkZSlnEcUiBloKEieu8PLg 封面来源于网络，如有侵权请联系删除

CISA 已命令美国联邦机构确保其系统安全，防范最近修补的 Windows MSHTML 欺骗零日漏洞，该漏洞遭 Void Banshee APT 黑客组织利用。 该漏洞 ( CVE-2024-43461 ) 于9月的补丁日披露，微软最初将其归类为未被攻击利用。然而，微软于周五更新了公告，确认该漏洞在修复之前曾被攻击利用。 微软透露，攻击者在 2024 年 7 月之前利用了 CVE-2024-43461，作为与另一个 MSHTML 欺骗漏洞 CVE-2024-38112 的漏洞链的一部分。 “我们在 2024 年 7 月的安全更新中发布了针对 CVE-2024-38112 的修复程序，从而打破了这一攻击链。”它表示。“客户应该同时安装 2024 年 7 月和 2024 年 9 月的安全更新，以全面保护自己。” 报告此安全漏洞的趋势科技零日计划 (ZDI) 威胁研究员 Peter Girnus告诉 BleepingComputer，Void Banshee 黑客在0day攻击中利用该漏洞安装了窃取信息恶意软件。 该漏洞使远程攻击者能够通过诱骗目标访问恶意制作的网页或打开恶意文件，在未修补的 Windows 系统上执行任意代码。 ZDI 公告解释道：“特定漏洞存在于 Internet Explorer 在文件下载后提示用户的方式中。精心设计的文件名可能导致隐藏真实文件扩展名，从而误导用户认为该文件类型无害。攻击者可以利用此漏洞在当前用户的上下文中执行代码。” 他们利用 CVE-2024-43461 漏洞传播伪装成 PDF 文档的恶意 HTA 文件。为了隐藏 .hta 扩展名，他们使用了 26 个编码的盲文空白字符 (%E2%A0%80)。 伪装成 PDF 文档的 HTA 文件 正如 Check Point Research 和 Trend Micro 7 月份所披露的那样，这些攻击中部署的Atlantida 信息窃取恶意软件可以帮助从受感染的设备中窃取密码、身份验证 cookie 和加密货币钱包。 Void Banshee 是一个 APT 黑客组织，由趋势科技首次发现，其以北美、欧洲和东南亚的组织为目标，窃取经济利益和数据而闻名。 CISA命令联邦机构在10月7日前修复 CISA 已将MSHTML 欺骗漏洞添加到其已知被利用漏洞目录中，将其标记为主动利用漏洞，并命令联邦机构在 10 月 7 日之前修复漏洞以保护易受攻击的系统。 CISA表示：“这些漏洞是恶意攻击者频繁利用的媒介，对联邦机构构成重大风险。” 尽管 CISA 的 KEV 目录主要侧重于向联邦机构发出应尽快修补的安全漏洞警报，但也建议全球私人组织优先缓解此漏洞以阻止正在进行的攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

大约 9% 的经过测试的固件映像使用公开或在数据泄露中泄露的非生产加密密钥，导致许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。 该供应链攻击被称为“PKfail”，漏洞编号为CVE-2024-8105，是由测试安全启动主密钥（平台密钥“PK”）引起的，计算机供应商应该用自己安全生成的密钥替换该密钥。 尽管这些密钥被标记为“不信任”，但它们仍然被众多计算机制造商使用，包括宏碁、戴尔、富士通、技嘉、惠普、英特尔、联想、菲尼克斯和超微。 该问题是由 Binarly于 2024 年 7 月下旬发现的，它警告称，超过八百种消费者和企业设备型号上存在不受信任的测试密钥的使用，其中许多密钥已经在 GitHub 和其他地方泄露。 PKfail 可以让攻击者绕过安全启动保护并在易受攻击的系统上植入无法检测到的 UEFI 恶意软件，使用户无法防御，也无法发现入侵。 PKfail 影响和响应 作为研究的一部分，Binarly 发布了“PKfail 扫描仪”，供应商可以使用它来上传他们的固件映像以查看他们是否使用了测试密钥。 根据最新指标，自发布以来，扫描仪已在 10,095 个固件提交中发现 791 个易受攻击的固件提交。 Binarly 在新报告中指出：“根据我们的数据，我们在医疗设备、台式机、笔记本电脑、游戏机、企业服务器、ATM、POS 终端以及投票机等一些奇怪的地方发现了 PKfail 和非生产密钥。” 大多数存在漏洞的提交密钥来自 AMI (American Megatrends Inc.)，其次是 Insyde (61)、Phoenix (4)，以及 Supermicro 的一个提交。 对于 2011 年生成的 Insyde 密钥，Binarly 表示，固件映像提交显示它们仍在现代设备中使用。此前，人们认为它们只能在旧系统中找到。 社区还确认 PKfail 会影响 Hardkernel、Beelink 和 Minisforum 的专用设备，因此该漏洞的影响比最初预估的要广泛。 Binarly 评论称，尽管并非所有厂商都迅速发布了有关安全风险的公告，但厂商对 PKfail 的反应总体上是积极主动且迅速的。目前，戴尔、富士通、Supermicro、技嘉、英特尔和Phoenix均发布了有关 PKfail 的公告。 一些供应商已经发布补丁或固件更新来删除易受攻击的平台密钥或用可用于生产的加密材料替换它们，用户可以通过更新 BIOS 来获取这些补丁或固件更新。 如果您的设备不再受支持并且不太可能收到 PKfail 的安全更新，建议限制对它的物理访问并将其与网络中更关键的部分隔离。 技术报告：https://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞，这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。 其中一个漏洞被追踪为 CVE-2024-38812，是在 vCenter Server 中实施 DCERPC 协议时存在的堆溢出漏洞，CVSS 评分高达 9.8。根据 VMware 的公告，具有网络访问权限的攻击者对易受攻击的 vCenter Server可以通过发送特制网络数据包来触发此漏洞，从而导致远程代码执行。 另一个漏洞被追踪为CVE-2024-38813，属 vCenter Server 中的权限提升缺陷，CVSS 评分7.5，可能允许攻击者通过发送恶意网络数据包将权限升级到 root。 这两个漏洞都会影响 VMware vCenter Server 7.0 和 8.0 版本，以及 VMware Cloud Foundation 4.x 和 5.x 版本。 VMware 已发布修补程序来解决这些缺陷，并强烈建议客户尽快应用这些更新。对于 vCenter Server，用户应尽快升级到8.0 U3b 或 7.0 U3s 版本，Cloud Foundation 客户应应用 KB88287 中引用的异步修补程序。 该公司表示，到目前为止还没有发现任何对这些漏洞的野外利用。但是，鉴于 vCenter Server 在管理虚拟化环境方面的关键性质，这些缺陷可能成为攻击者的诱人目标。 据悉，这两个漏洞由参加中国2024“矩阵杯”网络安全大赛的TZL研究人员发现，并在事后向 VMware 进行了报告。 今年6月，VMware 曾修复了一个类似的 vCenter Server 远程代码执行漏洞 （CVE-2024-37079），该漏洞可通过特制数据包进行攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/411162.html 封面来源于网络，如有侵权请联系删除

2024年9月12日，金融服务巨头MasterCard（NYSE:MA）宣布计划花费26.5亿美元（约188.7亿人民币）收购Recorded Future，此交易将为其企业投资组合增加威胁情报和网络安全技术。 MasterCard将此次交易视为其网络安全服务的扩展，并表示这将增强用于保护其金融服务生态系统的洞察力和情报。 Recorded Future，总部位于马萨诸塞州，曾于2019年被私募股权公司Insight Partners以7.8亿美元收购。它被认为是全球最大的威胁情报公司，客户遍及75个国家，包括45个国家的政府。 Recorded Future首席执行官Chris Ahlberg表示，该公司将继续作为一个独立和开放的情报平台，作为MasterCard的一个独立子公司运营。 “我们将继续这一使命，”Ahlberg在X上写道。“公司不变，新老板，规模放大。Recorded Future将继续在全球范围内生成情报，利用最先进的AI方法将其转化为金矿，使我们的分析师和客户能够进行最精致的分析。” MasterCard与Recorded Future已经合作推出了一项AI支持的服务，当卡片可能被泄露时会提醒金融机构。自今年早些时候推出以来，MasterCard表示，该服务识别被泄露卡片的速度比去年同期翻了一番。 当收购完成时（预计在2025年第一季度），MasterCard预计将加大对人工智能的使用，以识别和防止其平台上的欺诈行为。 “MasterCard和Recorded Future都利用人工智能分析数十亿个数据点，以识别潜在威胁，帮助保护个人和企业。将这些团队、技术和专业知识结合在一起，将能够开发出更强大的实践，并推动网络安全和情报领域的更大协同，强化MasterCard品牌作为信任标志，”公司在一份声明中表示。 MasterCard多年来进行了多项以网络安全为重点的收购。2021年，它以未披露的金额收购了加密货币情报和区块链分析公司CipherTrace，此前在年初宣布以8.5亿美元收购了数字身份验证公司Ekata。 在2020年初，MasterCard收购了第三方风险管理公司RiskRecon，并在2019年收购了Ethoca，这是一家帮助商家和发卡机构识别和解决数字欺诈（如虚假退单）的公司。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/vNsQcfUoMobj9SW0aqHnEw 封面来源于网络，如有侵权请联系删除

近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者对此表示：这是一种新颖的攻击，因为攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。 在该漏洞披露后，苹果公司在 2024 年 7 月 29 日发布的 visionOS 1.3 中解决了这一问题。据苹果描述，该漏洞影响了一个名为 “Presence ”的组件。 该公司在一份安全公告中说：虚拟键盘的输入可能是从 Persona 中推断出来的，其主要通过 “在虚拟键盘激活时暂停 Persona ”来解决这个问题。 研究人员发现，黑客可以通过分析虚拟化身的眼球运动或 “凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容，极易导致用户的隐私泄露。 假设黑客可以分析通过视频通话、在线会议应用程序或直播平台共享的虚拟化身，并远程执行按键推断，那么他们就可以利用这一点提取用户键入的密码等敏感信息。 攻击主要是通过对 Persona 记录、眼球长宽比（EAR）和眼球注视估计进行训练的监督学习模型来完成的，以区分打字会话和其他 VR 相关活动（如观看电影或玩游戏）。虚拟键盘上的注视方向会被映射到特定的按键上，以便确定潜在的击键方式，同时还考虑到键盘在虚拟空间中的位置。 研究人员表示：通过远程捕捉和分析虚拟化身视频，攻击者可以重建用户键入的按键。目前，GAZEploit 是该领域首个已知利用泄露的注视信息远程执行按键推断的攻击方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/411003.html 封面来源于网络，如有侵权请联系删除

安全内参9月13日消息，一家美国医疗巨头将支付6500万美元（约合人民币4.6亿元），以了结其患者发起的集体诉讼。这些患者的数据被勒索软件犯罪分子窃取，泄露的数据中包括患者的裸露照片，且至少部分已被公开发布到网上。 利哈伊谷健康网络（Lehigh Valley Health Network，简称LVHN）是美国宾夕法尼亚州最大的初级医疗集团之一。该机构于2023年2月6日发现其IT系统遭受入侵，随后确认臭名昭著的ALPHV（又称BlackCat）团伙是这次攻击的幕后黑手。 勒索者共窃取了13.4万名患者和员工的相关数据，数据量达数GB。这些被窃取的数据包括姓名、地址、社会安全号码、州ID信息，以及医疗记录和手术照片。勒索者要求LVHN支付赎金，否则将这些信息泄露到网上。 起诉书揭示LVHN数据违规状况 根据随后对LVHN提起的诉讼，该医院长期以来拍摄癌症患者的裸照。在某些情况下，甚至未经患者知晓。 由于LVHN拒绝向BlackCat支付赎金，犯罪分子将部分资料发布到了网上，引发了客户的极大愤怒。 起诉书中指出：“虽然LVHN公开宣称他们勇敢地对抗了这些黑客，拒绝支付赎金，但实际上，他们忽视了真正的受害者。LVHN并未优先考虑患者的利益，而是将自身的经济利益置于首位。” 2023年2月20日，LVHN公开披露了这次攻击，并声称其影响范围有限。 3月4日，ALPHV团伙在其网站上发布了警告，威胁如果LVHN不支付赎金，他们将在线发布被盗的照片。LVHN拒绝了这一要求，犯罪分子遂将部分窃取的资料上传至其暗网门户，其中包括带有个人身份信息的照片。 法庭文件显示，一名未具名的原告于3月6日接到医院合规副总裁的电话，得知她的裸照已被上传到网上。随后，这位副总裁“笑呵呵”地提供了两年的信用监控服务。这位匿名原告表示，她并不知情医院在她接受乳腺癌治疗时拍摄了她的裸照，更不清楚这些照片被存储在医院的企业服务器上。 尽管LVHN已通知客户和员工有关隐私泄露的情况，但ALPHV团伙继续加大压力，3月10日再次泄露了132GB的数据，并威胁将每周继续泄露，直到赎金支付为止。 法庭文件未提及LVHN最终是否支付了赎金，LVHN及其法律团队也未回应记者的相关询问。 此次和解金额（按每人计算）或为医疗数据泄露案件最高 原告律师指出，医院未能履行其保护信息的责任，其行为还涉嫌违反了美国《健康保险可携性与责任法案》（HIPAA）。 尽管LVHN同意了和解条款，但他们否认有任何不当行为。 值得注意的是，LVHN在这一领域已有类似的经历。早在2022年7月，该医疗集团曾确认遭受过一次类似的勒索软件攻击，影响了75628名患者。LVHN似乎未能采取足够的预防措施，防止类似事件再次发生，而在医疗行业中，医院本就是勒索软件的主要目标之一。 2023年3月，原告们正式对LVHN提起集体诉讼，指控这家医疗机构未能妥善保护患者数据。 2024年9月11日，原告代理律师事务所Saltz Mongeluzzi Bendesky宣布，已与LVHN就此集体诉讼达成6500万美元的和解。这家律所指出，“如果按每位患者计算，和解金额是医疗数据泄露勒索软件案件中最高的”。 那些数据被公开发布到网上的患者被分为四个等级。如果和解获得批准，最低等级的患者将获得每人50美元的赔偿。而最高等级（那些裸照被泄露的患者）在扣除律师费后，将获得7万至8万美元不等的赔偿。 凡是收到LVHN通知信的个人都将被视为集体诉讼的一部分，并自动获得赔偿，无需采取任何额外行动。 这笔和解的最终批准听证会已定于2024年11月15日举行。   转自安全内参，原文链接：https://www.secrss.com/articles/70228 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对Linux环境的新恶意软件活动，目的是进行非法加密货币挖矿和传播僵尸网络恶意软件。云安全公司Aqua指出，这项活动特别针对甲骨文Weblogic服务器，旨在传播一种名为Hadooken的恶意软件。 该恶意软件利用的是Oracle Weblogic中的一个已知漏洞，即CVE-2020-14882。该漏洞允许攻击者获得对Weblogic服务器的未经授权访问，并执行任意代码。 安全研究员Assaf Moran表示，“当Hadooken行动被执行时，它会释放一种名为Tsunami的恶意软件，并部署一个加密货币挖矿程序来获取加密货币，如门罗币（XMR）。” 攻击链利用已知的安全漏洞和配置错误，例如弱密码，以获得初始立足点并在易受攻击的实例上执行任意代码。这是通过启动两个几乎相同的有效载荷来完成的，一个用Python编写，另一个是shell脚本，两者都负责从远程服务器（“89.185.85[.]102”或“185.174.136[.]204”）检索Hadooken恶意软件。 Morag进一步表示，“shell脚本版本试图遍历包含SSH数据（如用户凭据、主机信息和秘密）的各种目录，并利用这些信息攻击已知服务器。然后它在组织内或连接的环境中横向移动，以进一步传播Hadooken恶意软件。” Hadooken勒索软件内置了两个组件，一个加密货币挖矿程序和一个名为Tsunami（又称Kaiten）的分布式拒绝服务（DDoS）僵尸网络，后者有针对部署在Kubernetes集群中的Jenkins和Weblogic服务的攻击历史。 此外，该恶意软件还负责通过在主机上创建cron作业以不同频率定期运行加密货币挖矿程序来建立持久性。 Aqua指出，IP地址89.185.85[.]102在德国注册，隶属于托管公司Aeza International LTD（AS210644），Uptycs在2024年2月的先前报告将其与8220 Gang加密货币活动联系起来，该活动滥用Apache Log4j和Atlassian Confluence Server及数据中心中的漏洞。 第二个IP地址185.174.136[.]204虽然目前处于非活动状态，但也与Aeza Group Ltd.（AS216246）有关。正如Qurium和EU DisinfoLab在2024年7月强调的，Aeza是一家在莫斯科M9和法兰克福的两个数据中心都有业务的防弹托管服务提供商。 研究人员在报告中说：“Aeza的运作方式和快速增长可以通过招募与俄罗斯防弹托管服务提供商有关联的年轻开发者来解释，这些提供商为网络犯罪提供庇护。”   转自Freebuf，原文链接：https://www.freebuf.com/news/410985.html 封面来源于网络，如有侵权请联系删除

Ivanti 周五证实，其云服务设备 (CSA) 解决方案中存在一个高危漏洞，目前正遭到攻击利用。 Ivanti 在 8 月份的公告更新中表示：“截至 9 月 10 日披露时，我们尚未发现有任何客户受到此漏洞的利用。至 9 月 13 日更新时，已确认少数客户受到此漏洞的利用。” “Ivanti 建议采用 ETH-0 作为内部网络的双宿主 CSA 配置，可显著降低漏洞利用风险。” Ivanti 建议管理员检查任何新的或修改的管理用户的配置设置和访问权限，以检测漏洞利用尝试。虽然并不总是一致的，但有些漏洞可能记录在本地系统的代理日志中。还建议检查来自 EDR 或其他安全软件的任何警报。 该安全漏洞 (CVE-2024-8190) 允许具有管理权限的经过远程身份验证的攻击者通过命令注入在运行 Ivanti CSA 4.6 的易受攻击的设备上进行远程代码执行。 Ivanti 建议客户从 CSA 4.6.x（已达到使用寿命终止状态）升级到 CSA 5.0（仍在支持中）。 “CSA 4.6 Patch 518 客户也可以更新到 Patch 519。但由于该产品已进入生命周期结束阶段，首选途径是升级到 CSA 5.0。已经使用 CSA 5.0 的客户无需采取任何进一步的行动，”该公司补充道。 Ivanti CSA 是一款安全产品，它充当网关，为外部用户提供对企业内部资源的安全访问。 CISA要求联邦机构须在 10 月 4 日前完成修补 周五，CISA 还将CVE-2024-8190 Ivanti CSA 漏洞添加到其已知被利用漏洞目录中。根据《约束性行动指令》(BOD) 22-01 的规定，联邦民事行政部门 (FCEB) 机构必须在 10 月 4 日之前的三周内保护易受攻击的设备。 CISA警告称：“这些类型的漏洞是恶意网络行为者频繁使用的攻击媒介，对联邦企业构成重大风险。” 本周二，Ivanti 修复了其端点管理软件 (EPM) 中一个最高严重性漏洞，该漏洞允许未经身份验证的攻击者在核心服务器上执行远程代码。 同一天，它还修补了 Ivanti EPM、工作区控制 (IWC)和云服务设备 (CSA)中的近二十几个其他高危和严重漏洞。 Ivanti表示，近几个月来，该公司已经提升了内部扫描和测试能力，同时还致力于改进其负责任的披露流程，以更快地解决潜在的安全问题。 Ivanti 表示：“这导致发现和披露数量激增，我们同意 CISA 的声明，即负责任地发现和披露 CVE 是‘健康代码分析和测试社区的标志’。” Ivanti 在全球拥有超过 7,000 个合作伙伴，超过 40,000 家公司使用其产品来管理他们的系统和 IT 资产。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

微软计划重新设计反恶意软件产品与 Windows 内核交互的方式，以直接应对 7 月份由 CrowdStrike 更新错误导致的全球 IT 中断。 微软表示，它正在对 Windows 进行改进，以允许端点安全解决方案在操作系统内核之外有效运行，目的是为了防止未来出现类似 CrowdStrike 的大规模中断。 微软响应了客户和供应商的呼吁，同时指出，这些新功能要想满足需求，还必须克服许多挑战。 内核模式之外的性能需求和防篡改保护是需要关注的问题之一。微软表示，它将考虑安全传感器要求和安全设计，并试图改进 Windows 的架构，以允许防病毒工具在较低权限的空间或环境中运行时安全地检查系统。 在微软与 EDR 供应商举行为期一天的峰会后，微软副总裁 David Weston 表示，对操作系统的调整是实现弹性和安全目标的长期措施的一部分。 “我们探索了微软计划在 Windows 中提供的新平台功能，以我们在 Windows 11 中所做的安全投资为基础。Windows 11 改进的安全态势和安全默认值使该平台能够为内核模式之外的解决方案提供商提供更多的安全功能。”Weston 在EDR 峰会后的一份说明中表示。 重新设计是为了避免重演CrowdStrike 软件更新事故，该事故导致Windows 系统瘫痪并造成全球数十亿美元的损失。 Weston 提到了 CrowdStrike 事件，强调 EDR 供应商在向大型 Windows 生态系统推出更新时采用微软所谓的安全部署实践 (SDP) 的紧迫性。 Weston 表示，SDP 的核心原则包括“向客户逐步、分阶段部署更新”、使用“具有多样化端点的有节制的推出”以及在必要时暂停或回滚更新的能力。 Weston 补充道：“我们讨论了微软和合作伙伴如何增加关键组件的测试，改进跨不同配置的联合兼容性测试，推动有关开发中和市场中产品健康状况的更好的信息共享，并通过更严格的协调和恢复程序提高事件响应的有效性。” Weston 在峰会上表示，微软与合作伙伴讨论了内核模式之外运行的性能需求和挑战、安全产品的防篡改保护问题、安全传感器要求以及未来平台的安全设计目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

近日，有攻击者使用一种新的 Vo1d 后门恶意软件感染了 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。 Android TV是谷歌针对智能电视和流媒体设备推出的操作系统，为电视和远程导航提供了优化的用户界面，集成了谷歌助手，内置Chromecast，支持电视直播，并能安装应用程序。 该操作系统为包括 TCL、海信和 Vizio 电视在内的众多制造商提供智能电视功能。它还是英伟达 Shield 等独立电视流媒体设备的操作系统。 在 Dr.Web 的最新报告中，研究人员发现有 200 多个国家的 130 万台设备都感染了 Vo1 d 恶意软件，其中在巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚检测到的数量最多。 受 Vo1d 感染电视盒的地理分布 在此次恶意软件活动中，被视为目标的安卓电视固件包括： 安卓 7.1.2；R4 版本/NHG47K 安卓 12.1；电视盒版本/NHG47K 安卓 10.1；KJ-SMART4KVIP Build/NHG47K 根据安装的 Vo1d 恶意软件版本，该活动将修改或替换操作系统文件，所有这些文件都是 Android TV 中常见的启动脚本。install-recovery.shdaemonsudebuggerd 修改后的 install-recovery.sh 文件 该恶意软件活动利用这些脚本实现持久性，并在启动时激活Vo1d恶意软件。 Vo1d恶意软件本身位于文件中，这些文件的名称就是以该恶意软件命名的。Dr.Web解释称，Android.Vo1d的主要功能隐藏在其vo1d（Android.Vo1d.1）和wd（Android.Vo1d.3）组件中，这两个组件协同工作。 Android.Vo1d.1模块负责启动Android.Vo1d.3并控制其活动，必要时重启其进程。此外，它还可以在C&C服务器的指令下下载并运行可执行文件。 Android.Vo1d.3 模块负责安装并启动加密并存储在其体内的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它监控指定的目录，并安装在其中找到的 APK 文件。 尽管 Dr.Web 尚不清楚 Android 电视流媒体设备是如何被入侵的，但研究人员认为，这些设备之所以成为攻击目标，是因为它们通常运行着带有漏洞的过时软件。 Dr.Web 认为，其中最有可能的感染途径或许是中间恶意软件的攻击，该软件利用操作系统漏洞来获取 root 权限。另一个可能的途径可能是使用内置 root 访问权限的非官方固件版本。 为了防止这种恶意软件的感染，建议 Android 电视用户检查并安装新固件更新。同时确保在它们通过暴露的服务被远程利用的情况下，将这些设备从互联网上移除。 此外，用户也应避免在 Android 电视上从第三方网站安装 APK 形式的 Android 应用程序，因为它们是恶意软件的常见来源。   转自Freebuf，原文链接：https://www.freebuf.com/news/410913.html 封面来源于网络，如有侵权请联系删除  

安全内参9月12日消息，乌克兰国家安全局（SBU）拘留了一名当地居民，怀疑他在关键基础设施附近安装了监控摄像头，涉嫌帮助俄罗斯情报部门监控这些地点。 乌克兰安全局在周一的声明中指出，哈尔科夫市的一名居民通过社交媒体应用Telegram与俄罗斯军事情报局（GRU）取得联系，被后者招募，承诺可以轻松获取金钱报酬。 乌公民涉嫌为俄在敏感地区安装摄像头 据报道，乌克兰执法部门在首都基辅逮捕了这名涉嫌为俄罗斯从事间谍活动的嫌疑人。他在基辅租用了几处高层公寓，这些公寓俯瞰着当地的能源设施。 乌克兰安全局透露，这名嫌疑人利用这些公寓，安装了配备远程访问软件的视频摄像头，疑似帮助俄罗斯实时监控乌克兰的关键基础设施。 俄罗斯可能通过这些摄像头记录下来的画面，评估近期对基辅地区空袭的效果，并确定乌克兰防空系统的具体位置。 乌克兰国家安全局还表示，该嫌疑人在基辅设立了这些“监控点”后，以探望父母为借口返回哈尔科夫，但其真实目的则是为了在一条战略铁路线上纵火焚烧一个继电器柜。 安全部门强调，他们全程监控了这名嫌疑人的行动，最终在他位于基辅的一处租赁公寓中将其拘捕。当时，嫌疑人正准备安装新的闭路电视（CCTV）摄像头，以记录对基辅的空袭情况。 在搜查过程中，执法人员没收了他的手机和摄像设备，内含其为俄罗斯从事“情报和破坏活动”的相关证据。 该嫌疑人目前已被拘留，乌克兰安全局表示，他将面临终身监禁的处罚，并可能被没收全部财产。 摄像头已成为广泛使用的间谍工具 闭路电视摄像头已成为俄罗斯和乌克兰广泛用于间谍活动的工具。这些设备通常被安装在关键基础设施附近，或用于定位军队、防空系统及军事装备的位置。 今年8月，俄罗斯当局警告生活在面临乌克兰进攻风险地区的居民，要求他们停止使用监控摄像头，担心这些设备可能会被用作情报收集的工具。 根据俄罗斯内务部（MVD）的一份声明，乌克兰军队正在远程连接未经保护的闭路电视摄像头，“监控从私人庭院到具有战略意义的道路和公路的一切。” 今年1月，乌克兰安全官员曾表示，他们拆除了两台被俄罗斯黑客入侵、用于监视基辅防空部队和关键基础设施的在线摄像头。 这些摄像头原本安装在基辅的住宅楼上，最初用于居民监控周边区域和停车场。但在黑客入侵后，俄罗斯情报部门据称获得了远程访问权限，改变了摄像头的监控角度，并将其连接至YouTube，直播了敏感画面。 这些影像极有可能帮助俄罗斯在对乌克兰发动的一次大规模导弹袭击中，引导无人机和导弹精准打击基辅。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

近日，全球知名网络安全公司Fortinet确认遭遇了一次大规模数据泄露事件，亚太地区客户受到影响。 据CyberDaily、CRN等多家报道，一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器，窃取了440GB的数据。这名黑客随后在黑客论坛上公布了存储这些数据的S3存储桶的凭据，供其他黑客下载被盗文件。这一事件不仅再次引发了全球网络安全的关注，也为Fortinet的客户敲响了警钟。 Fortinet是仅次于Palo Alto和CrowdStrike的全球第三大网络安全公司，市值高达600亿美元。其产品包括防火墙、路由器和VPN设备等关键安全设备。此外，Fortinet还提供安全信息和事件管理（SIEM）、端点检测与响应（EDR/XDR）等解决方案。此次事件中，Fortinet证实部分客户数据被盗，黑客通过未经授权的方式访问了第三方云存储中的文件，但Fortinet并未透露具体有多少客户受到了影响。 据悉，黑客“Fortibitch”曾尝试通过勒索手段向Fortinet索取赎金，但该公司拒绝支付。目前，Fortinet已经采取措施通知受影响的客户，并正在进一步调查这一事件。然而，这次数据泄露不仅暴露了Fortinet自身的安全风险，也加剧了全球企业对于云存储和外部共享文件的安全担忧。 近年来，网络安全公司频繁发生数据泄露和安全事件，给自身和客户带来巨大安全风险。以下是近年来知名网络安全公司发生的几起重大安全事件： Fortinet数据泄露(2024年):Fortinet遭遇黑客攻击，导致440GB的客户数据被盗。 CrowdStrike错误更新事件(2024年7月):CrowdStrike因错误的Falcon更新导致8.5百万台设备崩溃，全球多个行业受到影响。 CrowdStrikeGitHub数据泄露(2023年):CrowdStrike旗下的Panopta在GitHub存储库中泄露了敏感数据。 FireEye（2020年）数据泄漏：FireEye遭到黑客攻击，其红队工具库被窃取，可能用于后续攻击。。 SolarWinds供应链攻击（2020年）：通过复杂的供应链攻击，黑客成功入侵SolarWinds，并影响了多家全球重要机构和企业。 Kaseya遭勒索软件攻击（2021年）：Kaseya遭遇勒索软件攻击，影响了全球超过1000家企业。 Accellion供应链攻击（2021年）：黑客利用Accellion的File Transfer Appliance (FTA)漏洞，从其全球客户窃取了大量敏感文件。 Panopta数据泄露（2023年）：Fortinet旗下的Panopta遭遇了数据泄露事件，黑客在俄罗斯的黑客论坛上泄露了被盗数据。 此类事件的频发，提醒广大企业在加强自身网络安全防护的同时，还需关注云存储和第三方平台的安全风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gWrlJcV8hL3jBZlrBJ-G0g 封面来源于网络，如有侵权请联系删除

GitLab 周三发布了安全更新，解决了 17 个安全漏洞，其中包括一个允许攻击者以任意用户身份运行管道作业的严重漏洞。 该漏洞编号为 CVE-2024-6678，CVSS 评分为 9.9（满分 10.0）。 该公司在警报中表示：“GitLab CE/EE 中发现一个问题，影响从 8.14 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本，该漏洞允许攻击者在某些情况下以任意用户身份触发管道。” 该漏洞以及其他 3 个高严重程度漏洞、11 个中严重程度漏洞和 2 个低严重程度漏洞已在 GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。 值得注意的是，CVE-2024-6678 是 GitLab 在过去一年中修补的第四个此类漏洞，此前的漏洞有CVE-2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。 虽然没有证据表明有人主动利用这些漏洞，但建议用户尽快应用补丁以减轻潜在威胁。 今年 5 月初，美国网络安全和基础设施安全局 (CISA)透露，一个严重的 GitLab 漏洞 (CVE-2023-7028，CVSS 评分：10.0) 已被广泛利用。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/peEcNP0wRwor6XoTq3AwOg 封面来源于网络，如有侵权请联系删除

根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除

近日，网络安全公司watchTowr创始人本杰明·哈里斯撰文透露他仅花了几分钟时间就成功生成伪造HTTPS证书、能够追踪电子邮件活动，甚至还可以在全球成千上万台服务器上执行任意代码。 仅花20美元即可控制全球海量服务器 哈里斯是在花费20美元购买过期域名dotmobiregistry.net时意外发现了这个惊天漏洞。 该域名曾是用于管理.mobi顶级域名的WHOIS服务器，然而，.mobi的域名管理员不知何时将服务器迁移到新网址whois.nic.mobi，却未通知任何人，全球大量服务器仍然引用旧域名。 哈里斯在购买并重新启用该域名后，惊讶地发现，短短数小时内，他的服务器就接收到来自超过7.6万个独立IP地址的查询请求。更令人震惊的是，在接下来的五天里，他的服务器收到了约250万次查询请求，来自全球的政府机构、域名注册商、安全工具提供商和证书颁发机构等。 WHOIS系统自互联网早期以来就一直在域名注册和管理中扮演着关键角色。然而，随着时间的推移，许多系统依旧信任旧的WHOIS服务器，未能及时更新其记录。这意味着，当哈里斯接管这个过期域名时，他不仅能够拦截对.mobi域名的所有查询，还能通过伪造的WHOIS信息操控证书颁发流程。例如，哈里斯尝试为“microsoft.mobi”生成证书请求，并顺利收到了证书颁发机构GlobalSign发来的验证邮件。 虽然出于道德原因，哈里斯并没有进一步生成伪造证书，但他指出，这一漏洞意味着攻击者完全可以利用伪造的HTTPS证书拦截网络流量或冒充目标服务器。这对于依赖HTTPS协议保护敏感数据的网站来说，无异于“游戏结束”。 WHOIS为何如此“危险”？ 自互联网治理初期（当时还被称为 ARPANET）以来，WHOIS就发挥着关键作用。1974年，增强研究中心的信息科学家Elizabeth Feinler成为NIC（网络信息中心项目的简称）的首席研究员。在Feinler的监督下，NIC开发了顶级域名系统和官方主机表，并发布了ARPANET目录，该目录充当了所有网络用户的电话号码和电子邮件地址的目录。最终，该目录演变为WHOIS系统，这是一个基于查询的服务器，提供所有互联网主机名及其注册实体的完整列表。 尽管WHOIS看起来已经过时，但它如今仍然是具有重大影响力的重要资源。起诉版权或诽谤的律师会使用它来确定域名或IP地址所有者。反垃圾邮件服务则依靠它来确定电子邮件服务器的真正所有者。此外，证书颁发机构依靠它来确定域名的官方管理电子邮件地址。 废弃WHOIS服务器域名一旦落入黑客，则会变成杀伤力巨大的流氓WHOIS服务器。其最危险的用途之一就是能够指定电子邮件地址证书颁发机构GlobalSign用来确定申请TLS证书的一方是否是该证书所适用域名的合法所有者。 与绝大多数竞争对手一样，GlobalSign使用自动化流程。例如，针对example.com的申请将提示证书颁发机构向该域名的权威WHOIS中列出的管理电子邮件地址发送电子邮件。如果另一端的一方点击链接，证书将自动获得批准。 除了伪造证书外，哈里斯还发现，许多政府机构、企业和反垃圾邮件服务在接收到来自.mobi域名的电子邮件时，依然会向他的伪造服务器发送查询请求。这意味着，他能够通过长期追踪这些查询，间接推测出相关通信的发件人和收件人，潜在地获取敏感信息。 此外，一些查询流氓WHOIS服务器的安全服务和WHOIS客户端本身存在漏洞，攻击者可以利用这些漏洞在查询设备上执行恶意代码。这使得本应受信任的WHOIS服务器变成了潜在的攻击源。 结论：信任是互联网最可怕的安全债 哈里斯的安全测试揭示了一个更深层次的问题：互联网的某些关键基础设施依赖于过时且脆弱的域名管理系统，容易被忽视或滥用。由于WHOIS服务器的命名和管理缺乏统一标准，许多第三方服务仍然错误地将过期的dotmobiregistry.net视为.mobi域名的官方服务器。 这类问题不仅限于WHOIS服务器。哈里斯指出，类似的漏洞也存在于S3存储桶等云基础设施中，当这些资源被废弃时，仍有可能被其他人重新注册并利用。 哈里斯的研究提醒我们，网络世界中的信任链条往往比我们想象的更加脆弱，而“过期信任”和“隐式信任”可能会带来无法预料的灾难性风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EGP-0nJamnCoJwbNnIwxGQ 封面来源于网络，如有侵权请联系删除

该校校长称本周前三天将关闭学校进行网络安全清洁，近三周内学校网络、邮箱和其他系统都无法使用，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信（任何）邮件和链接等。 安全内参9月11日消息，英国伦敦南部一所高中日前遭遇勒索软件攻击，导致本周前半段停课，约1300名学生的学业受到影响。 9月5日，查尔斯·达尔文学校的学生被迫离校。次日，校长Aston Smith向家长发布了一封信，告知学生们之前了解到的IT问题“比预想的更为严重”，实际上是一次勒索软件攻击。 信中确认，由于“所有员工的设备已被移走进行清理”，学校将在“下周一、周二和周三暂停授课”。教师们需要时间重新准备课程，而学校的高级管理层则需要建立新的系统，以确保学校正常运作。 信中还提到：“作为预防措施，所有学生的微软Office 365账号已被禁用。如果您收到来自陌生邮箱的邮件，请保持警惕。在恢复过程中，我们绝不会发送任何附件或链接。” 信中补充道，根据接下来几周的情况更新，学校可能需要采取进一步措施，并警告称“所有由学校保存的信息都有可能已被访问”。 目前，学校正与一家网络安全公司合作进行取证调查。然而，校长警告说，在调查结束之前，他无法提供有关数据泄露的更多细节。 校长表示：“令人遗憾的是，尽管我们已经实施了最新的安全措施，这类网络攻击仍然变得越来越普遍。我们目前的情况与英国国家医疗服务体系（NHS）、伦敦交通局、英国国家铁路，以及其他学校和公共部门机构经历的情况类似。” 英国教育业遭勒索攻击日渐增多 此次攻击恰逢英国新学年刚开始，也是继去年一系列针对教育机构的勒索软件攻击后的又一起事件。 近年来，针对英国教育和儿童保育部门的勒索软件攻击达到了前所未有的高峰。2023年，向信息专员办公室（ICO）报告的相关事件多达126起，创下了历史最高纪录。在2024年第一季度，ICO再次收到了27起攻击报告，比去年同期的报告数量增长了一倍以上。 包括英国最大公立寄宿学校怀蒙德汉姆学院（Wymondham College）和西萨塞克斯郡的坦布里奇豪斯学校（Tanbridge House School）在内，多所学校均遭到了网络勒索者的攻击。这些犯罪分子威胁称，如果受害者不支付赎金，他们将公开被窃取的数据。 此前，LockBit勒索软件组织曾试图勒索一所特殊教育需求学校。更有甚者，犯罪分子还公开了吉尔福德郡学校的敏感文件，这些文件似乎包含教师记录的关于高危学生的内部报告。 英国官方称学校应对勒索攻击能力逐步加强 英国教育部发言人曾在谈及影响学校的攻击时表示，教育部正在密切监控网络安全事件，但目前没有证据显示攻击数量有所增加。至于最新的事件，教育部未作进一步回应。 英国政府网络安全主管机构国家网络安全中心（NCSC）早在2020年9月就首次向学校发出了勒索软件攻击的警报，警告称“越来越多的勒索软件攻击正影响英国的教育机构，包括学校、学院和大学。” 自那以后，随着更多勒索软件攻击的发生，NCSC已多次更新其警报页面。 在上个月发布的一项调查报告中，NCSC最近一次提及攻击数量增加。调查显示，尽管勒索软件攻击数量有所增加，但学校应对这些事件的准备工作也在逐步加强。这些准备工作不仅包括保护IT网络，还包括如何快速从事件中恢复。 勒索软件已成为全球教育业公害 Vice Society这一网络犯罪组织是近年来针对英国及全球教育机构发起的一系列勒索软件攻击的幕后黑手。该组织通过窃取敏感数据并威胁公开来勒索受害者支付赎金。 去年，Hive勒索软件组织曾在一次攻击后，向英国两所学校勒索50万英镑（约合60.8万美元）。今年1月，美国和德国的执法机构宣布，他们已“黑掉”了这一黑客组织，并摧毁了Hive团伙使用的基础设施。 此前，BBC新闻曾报道，该团伙公开了从英国14所学校窃取的高度机密数据。在一些情况下，学校并未告知学生和教职工，他们的个人数据已被发布在泄露网站上。 勒索软件攻击在美国的教育机构中也屡见不鲜。最近，美国洛杉矶联合学区以及艾奥瓦州和马萨诸塞州的教育系统也遭遇了类似的攻击。今年早些时候，黑客还入侵了美国首都华盛顿附近的一个学区，导致近10万人的个人信息被泄露。   转自安全内参，原文链接：https://www.secrss.com/articles/70139 封面来源于网络，如有侵权请联系删除