HackerNews

网络安全研究人员发现了一种名为 BlankBot 的新型 Android 银行木马，该木马针对土耳其用户，旨在窃取财务信息。 Intel 471在上周发表的一份分析报告中表示：“BlankBot具有一系列恶意功能，包括客户注入，键盘记录，屏幕录制，并通过WebSocket连接与控制服务器进行通信。” 据说 BlankBot 于 2024 年 7 月 24 日被发现，正在积极开发中，该恶意软件滥用 Android 的辅助功能服务权限来完全控制受感染的设备。 下面列出了一些包含 BlankBot 的恶意 APK 文件的名称： app-release.apk （com.abcdefg.w568b） app-release.apk （com.abcdef.w568b） 应用程序发布签名 （14）.apk （com.whatsapp.chma14） app.apk （com.whatsapp.chma14p） app.apk （com.whatsapp.w568bp） showcuu.apk （com.whatsapp.w568b） 与最近重新出现的 Mandrake Android 木马一样，BlankBot 实现了基于会话的软件包安装程序，以规避 Android 13 中引入的限制设置功能，阻止侧载应用程序直接请求危险权限。 “该机器人要求受害者允许安装来自第三方的应用程序，然后它检索存储在应用程序资产目录中的未加密安卓软件包（APK）文件，并继续软件包安装过程。”Intel 471 说。 该恶意软件具有多种功能，可执行屏幕录制、键盘记录，并根据从远程服务器接收到的特定命令注入覆盖层，以获取银行账户凭证、支付数据，甚至用于解锁设备的图案。 BlankBot 还能拦截短信、卸载任意应用程序并收集联系人列表和已安装应用程序等数据。它还能进一步利用可访问性服务 API，阻止用户访问设备设置或启动杀毒应用程序。 “BlankBot 是一种仍在开发中的新型 Android 银行木马，在不同应用程序中观察到的多种代码变体就是证明。”这家网络安全公司表示。“无论如何，一旦恶意软件感染了Android设备，它就可以执行恶意操作。” Google发言人告诉The Hacker News，该公司尚未在Google Play商店中找到任何包含该恶意软件的应用程序。 这家科技巨头表示：“Google Play Protect会自动保护Android用户免受此已知版本恶意软件的侵害，该功能在使用Google Play服务的安卓设备上默认开启。“Google Play Protect 会向用户发出警告并阻止包含此恶意软件的应用，即使这些应用的来源在 Play 以外。” Google概述了它正在采取的各种措施，以打击威胁行为者使用Stingrays等蜂窝站点模拟器将短信直接注入Android手机，这种欺诈技术被称为SMS Blaster欺诈。 “这种注入消息的方法完全绕过了运营商网络，从而绕过了所有复杂的基于网络的反垃圾邮件和反欺诈过滤器，”Google表示。“SMS Blasters 暴露了一个虚假的 LTE 或 5G 网络，该网络只执行单一功能：将用户的连接降级到传统的 2G 协议。” 缓解措施包括在调制解调器层面禁用 2G 的用户选项和关闭空密码，后者是虚假基站注入短信有效载荷的必要配置。 今年5月初，Google还表示，如果用户的蜂窝网络连接未加密，或者犯罪分子利用蜂窝站点模拟器窥探用户或向他们发送短信形式的欺诈信息，Google就会向用户发出警报。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员发现了 Microsoft 的 Windows Smart App Control 和 SmartScreen 中的设计弱点，这些弱点可能使威胁行为者能够在不发出任何警告的情况下获得目标环境的初始访问权限。 智能应用控制 （SAC） 是 Microsoft 在 Windows 11 中引入的一项云驱动的安全功能，用于阻止恶意、不受信任和可能不需要的应用在系统上运行。如果服务无法对应用进行预测，它会检查应用是否已签名或是否具有有效的签名，以便执行。 与 Windows 10 一起发布的 SmartScreen 是一种类似的安全功能，可确定网站或下载的应用程序是否具有潜在的恶意。它还利用基于声誉的方法进行 URL 和应用保护。 “Microsoft Defender SmartScreen 评估网站的 URL，以确定它们是否已知分发或托管不安全的内容，”Redmond 在其文档中指出。 “它还为应用程序提供声誉检查，检查下载的程序以及用于签署文件的数字签名。如果 URL、文件、应用或证书已建立信誉，则用户不会看到任何警告。如果没有声誉，则该项目将被标记为风险较高，并向用户发出警告。” 还值得一提的是，当启用 SAC 时，它会替换和禁用 Defender SmartScreen。 Elastic Security Labs 在与 The Hacker News 分享的一份报告中表示：“Smart App Control 和 SmartScreen 存在许多基本的设计弱点，这些弱点允许在没有安全警告和最少用户交互的情况下进行初始访问。 绕过这些保护的最简单方法之一是使用合法的扩展验证 （EV） 证书对应用程序进行签名，恶意行为者已经利用这种技术来分发恶意软件，正如最近在 HotPage 中所证明的那样。 下面列出了一些可用于检测规避的其他方法： Reputation Hijacking，涉及识别和重新利用具有良好声誉的应用程序以绕过系统（例如，JamPlus 或已知的 AutoHotkey 解释器） Reputation Seeding，涉及使用看似无害的攻击者控制的二进制文件来触发由于应用程序中的漏洞而导致的恶意行为，或者在经过一定时间后触发恶意行为。 Reputation Tampering，涉及更改合法二进制文件（例如计算器）的某些部分以注入 shellcode，而不会失去其整体声誉 LNK Stomping，涉及利用 Windows 快捷方式 （LNK） 文件处理方式中的错误来删除 Web 标记 （MotW） 标签并绕过 SAC 保护，因为 SAC 会阻止带有标签的文件。 “它涉及制作具有非标准目标路径或内部结构的LNK文件，”研究人员说。“当单击时，这些LNK文件被explorer.exe与规范格式修改。这种修改导致在执行安全检查之前删除 MotW 标签。” “基于声誉的保护系统是阻止恶意软件的重要保障，”该公司表示。“然而，像任何保护技术一样，它们也有一些弱点，也可以绕过。安全团队应仔细检查其检测堆栈中的下载内容，而不是仅依赖操作系统原生安全功能在此区域提供保护。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

自2021年起，俄罗斯用户已成为一种新型未被记录的安卓后门间谍软件“LianSpy”的攻击目标。 网络安全公司卡巴斯基在2024年3月发现了这款恶意软件，并指出其利用俄罗斯的云服务Yandex Cloud进行命令和控制（C2）通信，以避免设立专用基础设施并逃避检测。 安全研究员Dmitry Kalinin在周一发布的技术报告中表示：LianSpy能够捕获屏幕录像、窃取用户文件、收集通话记录和应用程序列表。 目前尚不清楚该间谍软件的传播方式，但卡巴斯基推测，它可能是通过未知的安全漏洞或是直接接触目标手机来部署的，这些带有恶意软件的应用程序看起来像是支付宝或安卓系统的一个服务。 LianSpy一旦被激活，会先检查自己是不是以系统应用身份在运行。如果是，它会利用管理员权限在后台操作。如果不是，它会请求一系列权限以访问联系人、通话记录、通知，甚至会在手机屏幕上绘制覆盖层。 它还会检查自己是否在调试环境中运行，以便设置一个在手机重启后也能保持的配置。然后从手机的启动器中隐藏图标，并触发屏幕截图、导出数据和更新配置等活动，以指定需要捕获的信息类型。 某些变种被发现能够收集俄罗斯流行的即时通讯应用的数据，并根据是否连接到Wi-Fi或移动网络来允许或禁止运行恶意软件。 Kalinin说：“为了更新间谍软件配置，LianSpy每隔30秒会在攻击者的Yandex Disk上搜索与正则表达式’^frame_.+.png$’匹配的文件，如果找到，文件将被下载到应用程序的内部数据目录中。” 并且，收集的数据以加密形式存储在SQL数据库中，指定记录类型和SHA-256哈希值，只有拥有相应私有RSA密钥的攻击者才能解密窃取的信息。 LianSpy的隐蔽性体现在它能够绕过谷歌在Android 12中引入的隐私指示器功能，该功能要求请求麦克风和相机权限的应用显示状态栏图标。LianSpy开发者通过修改Android安全设置参数，防止通知图标出现在状态栏。 它还利用NotificationListenerService隐藏后台服务的通知，处理并抑制状态栏通知。 LianSpy恶意软件的另一个复杂之处在于它使用了修改名称为”mu”的su二进制文件来获取root权限，这增加了它可能是通过一个以前未知的漏洞或对设备的物理访问来传播的可能性。 此外，LianSpy的C2通信是单向的，只接收命令，不发送任何回应。它使用Yandex Disk传输被盗数据和存储配置命令，从硬编码的Pastebin URL更新Yandex Disk的凭据，不同恶意软件变种的 Pastebin URL 各不相同，使用这种合法服务增加了混淆层，追踪LianSpy变得更加困难。 LianSpy是不断增长的间谍软件工具列表中的最新成员，通常利用零日漏洞攻击目标移动设备（无论是 Android 还是 iOS）。Kalinin表示：“除了收集通话记录和应用列表等标准间谍行为外，它还利用root权限进行隐蔽的屏幕录制，避开安全检查，其依赖重命名的su二进制文件，暗示了初次入侵后的二次感染。”   转自Freebuf，原文链接：https://www.freebuf.com/news/408008.html 封面来源于网络，如有侵权请联系删除

谷歌已修复 Android 设备中一个可能“受到有限、有针对性利用”的“高严重性”漏洞。 谷歌在周一的公告中表示，该漏洞编号为CVE-2024-36971，影响 Linux 内核——操作系统的核心组件，是软件和计算机物理硬件之间的桥梁。 谷歌表示，该漏洞允许黑客在受影响的设备上远程执行代码。该公司尚未提供有关具体攻击以及幕后威胁者的任何详细信息。 为了成功利用该漏洞，攻击者需要拥有系统级权限，即最高级别的访问权限。 谷歌 8 月份的补丁共修复了 47 个漏洞，包括 Arm、Imagination Technologies、联发科和高通组件中的漏洞。其中大多数漏洞被评为“高严重性”。 新的 Android 0day漏洞是由 Google 威胁分析小组的 Clement Lecigne 发现的。他之前主要报道间谍攻击中利用的0day漏洞。 今年早些时候，谷歌的研究人员警告称，0day漏洞已变得越来越普遍，因为国家黑客和网络犯罪分子已经找到了实施攻击的复杂方法。 谷歌在 3 月份的一份报告中表示，它观察到 2023 年有 97 个0day漏洞被利用，而 2022 年只有 62 个，增长了 50%。其中 48 个漏洞归因于间谍行为者，其余 49 个漏洞归因于以经济为目的的黑客。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/K-H7sGAjR_4u_iScnfRYOw 封面来源于网络，如有侵权请联系删除

黑客入侵了全球使用的数字教室管理平台 Mobile Guardian，并远程抹去了至少 13,000 名学生的 iPad 和 Chromebook 上的数据。 Mobile Guardian 是“Google for Education”合作伙伴，是针对 K-12 学校的跨平台（Android、Windows、iOS、ChromeOS、macOS）一对一解决方案，提供全套设备管理、家长监控和控制、安全网络过滤、课堂管理和通信等功能。 该平台宣布于 2024 年 8 月 4 日遭遇安全漏洞，一名黑客未经授权访问其平台，影响其北美、欧洲和新加坡实例。 Mobile Guardian 表示，由于此次入侵，一小部分 iOS 和 ChromeOS 设备被远程清除数据，但没有证据表明存在数据访问或泄露。 公告中写道：“此次事件导致一小部分设备从 Mobile Guardian 中取消注册，设备中的内容被远程清除。”并补充道，“没有证据表明犯罪者可以访问用户的数据。” 该服务目前已暂停，因此用户无法登录移动监护平台，学生也只能在其设备上进行受限访问。 该漏洞仍在调查中，但该公司目前就该事件发表的声明称，没有证据表明攻击者获取了用户数据。北美、欧洲和新加坡的实例均受到影响。 受影响设备的确切数量尚不清楚，但 Mobile Guardian 称其只占“一小部分”。受影响的客户之一新加坡教育部表示，26 所学校的 13,000 名学生的设备已被攻击者远程清除。 该事件给新加坡造成了严重混乱，学生无法访问存储在 iPad 和 Chromebook 上的应用程序和信息。 新加坡教育部表示，此次事件发生后，将从所有 iPad 和 Chromebook 中删除“Mobile Guardian”应用程序。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NsbOWU_rwqLtg5FwVM_pCw 封面来源于网络，如有侵权请联系删除

勒索软件攻击袭击了法国国家博物馆联盟网络，包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。该网络中的一些场馆正在举办夏季奥运会的比赛。 此次攻击于周日被发现，影响了法国约 40 家博物馆使用的数据系统。 巴黎当局周二表示，尽管发生了网络攻击事件，但奥运会赛事并未受到影响。 大皇宫举办击剑和跆拳道比赛，而同样属于 RMN 网络的凡尔赛宫则是马术运动和现代五项的场地。 巴黎检察院已指派打击网络犯罪大队下属部门开展调查，以确定攻击的规模和实施者。目前正在努力保护和恢复受影响的系统，初步调查尚未发现任何受感染系统数据泄露的迹象。 据报道，此次事件背后的未具名黑客组织已要求以加密货币支付赎金，并威胁称，如果不支付赎金，他们将在 48 小时内公布加密数据。 卢浮宫馆长马蒂亚斯·格罗利尔 (Matthias Grolier) 在 X 上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体Sud Ouest报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以防止攻击蔓延，导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营。 上周，即将辞职的法国总理加布里埃尔·阿塔尔表示，该国安全部门在奥运会前几天挫败了 68 起网络攻击，其中两起针对奥运场馆。 法国安全机构  ANSSI 表示，所报告的大多数攻击都是低强度的，例如分布式拒绝服务 (DDoS) 攻击，并且没有网络事件影响开幕式或比赛的首项赛事。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z3V8OSuAeGQy-qmp5voBTw 封面来源于网络，如有侵权请联系删除

日前，Gartner 发布了最新的安全运营成熟度曲线报告（Gartner Hype Cycle for Security Operations, 2024），报告将与安全运营相关的 23 项热点技术按照新技术通往成熟必经的过程进行划分，为技术萌芽期、期望膨胀期、泡沫破裂低谷期、稳步爬升复苏期、生产成熟期五个阶段。 此次报告出现了像对抗性暴露面验证，暴露面评估平台这些新的技术热点，也有过去被认为大热的技术比如 SOAR，在达到成熟大面积应用之前就已过时。 Gartner Hype Cycle for Security Operations, 2024： 面对不断变化的威胁态势，企业率先采用新兴技术可能获得巨大收益，另一方面也可能承担更大的风险，因此识别技术投入的优先级变得尤为重要。 Gartner 根据对企业产生的价值以及技术的目标市场覆盖度，对这些技术进行了应用优先级评估，从而帮助企业安全或信息负责人制定安全战略路线，在恰当时间做出更明智的投资决策。 Gartner Hype Cycle for Security Operations, 2024： 优先级矩阵 新出的这份报告，有几点关键洞察值得关注： TEM、CPS 安全、CAASM 进入期望膨胀期（Peak of Inflated Expectations），需谨慎 Gartner 认为全球企业对于攻击面的关注达到了顶峰，企业利用威胁暴露面管理（TEM）、网络资产攻击面管理（CAASM）、网络物理系统安全（CPS），以及渗透测试即服务（Penetration Testing as a Service）等不同的技术，来提升对于不断扩大的攻击面的可见性，或者验证网络的弹性。 但是，对于这些正处在期望膨胀期的安全技术，Gartner 的建议是企业内部需要提前考虑清楚自身的需求，再开始寻找供应商，或向安全厂商提具体的需求，不然最后很可能受到对当前技术过高的期待影响，而产生一些不切实际的期待。 MDR、NDR、TI 及 CO-MMS 市场价值显著，稳步爬升 对于托管检测和响应服务（MDR）、网络检测和响应（NDR）、威胁情报（Threat Intelligence）以及共管监控服务（Co-Managed Monitoring Services）这几项技术，早期的采用者已经克服了此前的各种障碍，2024年开始为企业带来显著的价值和收益，焕发了新的生机。 例如，像威胁情报技术对企业属于高收益，目标用户市场渗透率已达到20%-50%，当前已进入成熟主流阶段。对于处在该阶段的安全技术，Gartner建议重点进行评估及应用，弥补企业自身在威胁检测以及情报应用上成熟度的不足。 XDR、SOAR 等进入泡沫破裂低谷期（Trough of Disillusionment），需重新评估 2024 年，安全负责人需要对这几项技术进行重新评估，例如数字取证与事件响应（Digital Forensics and Incident Response)，应用过这些技术的大多数企业都出现过被过度承诺结果的情况。 再比如外部攻击面管理（External Attack Surface Management)，身份威胁检测和响应（Identity Threat Detection and Response），在实际应用的过程中，甲方企业对这些技术进行消费和运营业务输出时，准备不足。 对于安全编排自动化响应（SOAR）以扩展检测和响应 (XDR)，面临的问题主要是采用的这些技术跟不上持续变化的需求。 Gartner 建议，企业既需要重新评估这些技术，也需要提升对预算分配与规划的合理性。 EDR、SIEM 进入生产成熟期（Plateau of Productivity） 报告指出，终端检测与响应（EDR）、安全信息与事件管理（SIEM)两项技术目前均已达到成熟阶段，其中 EDR 对于企业而言收益高，且目标用户市场渗透率达到了 50%；而SIEM目前的目标用户市场渗透率达到 20%-50%。 Gartner 认为处于这个阶段的技术已得到广泛应用，而且技术价值和优势也得到了充分证明，建议安全风险部门负责人充分利用该阶段技术降低风险，并将其功能整合应用到更大范围的安全运用生态体系中。 尽管这份报告可以看作是全球安全运营技术的风向标，但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”，并不完全同频。 例如国内终端安全管理平台更多以杀软、桌管包装成 EDR，真正的 EDR 技术在国内尚处于起步阶段，只有少数厂商聚焦在高精准度的 EDR 能力上；国内安全服务市场，更多以 MSS 安全托管服务为主，MDR 发展相对较为早期，企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。   转自Freebuf，原文链接：https://www.freebuf.com/news/407888.html 封面来源于网络，如有侵权请联系删除

近日，达美航空的首席执行官Ed Bastian公开表示，由于CrowdStrike的技术故障，导致该航空公司遭受了高达5亿美元的损失，达美航空已经向CrowdStrike和微软发出了诉讼准备通知。 在7月19日CrowdStrike错误更新引发的全球IT系统崩溃中，美国主要航空公司包括达美航空、联合航空和美国航空都于上周五当日上午短暂停飞。 联合航空和美国航空在周末迅速恢复了运营，而达美航空却花费了比其他航空公司更长的时间恢复运营，其航班中断持续到了接下来的一周，累积取消了超过6000个航班，严重影响了业务正常运行。此外，由于运营混乱期间客户服务质量低下，达美航空还引来了美国运输部的调查。 据报道，达美航空已经聘请了知名律师David Boies，向CrowdStrike和微软发出了诉讼准备通知。Bastian在接受CNBC采访时强调，达美航空别无选择，只能寻求让CrowdStrike赔偿（5亿美元）损失。他指出，除了收入损失外，达美航空还承担了（因航班中断和延误导致的）数千万美元的赔偿和酒店费用。 然而，CrowdStrike坚决否认对此次事故负有全部责任，并指责达美航空试图“甩锅”。 在一封回应达美航空的公开信中，CrowdStrike表示，达美航空对事故的描述带有误导性。 CrowdStrike的律师Michael Carlinsky在上周日的一封信中表示，达美航空编造了一种“误导性的说法”，称CrowdStrike在这次事故中“严重疏忽”，导致达美航空在这次事故中损失了5亿美元。 根据GoUpSec此前的报道，CrowdStrike始终否认该事件是“安全事件”，同时否认自身存在严重过失。 虽然上周三CrowdStrike发布的初步事件调查报告（PIR）的结果显示其更新工具和测试流程存在严重漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。相反，CrowdStrike认为自己在事件响应中的表现堪称行业楷模，业务严重中断是达美航空自身问题。 CrowdStrike的律师指出，如果采取法律行动，达美航空将不得不解释为何其竞争对手能够更快地恢复运营。他还警告达美航空：“如果达美航空选择这条路，它就必须向公众、股东以及最终的陪审团解释，为什么CrowdStrike能够积极对其行为承担责任，而且是迅速、透明和建设性的，而达美航空却没有。” 面对达美航空的巨额索赔，CrowdStrike还强调，其合同责任上限在“数百万美元”范围内，而非达美航空所声称的5亿美元。 CrowdStrike进一步表示，在事件发生后，他们曾向达美航空提供现场支持，但被告知不需要。同时，CrowdStrike要求达美航空保留与此次事件以及过去五年内其他IT问题相关的所有文件和记录。 目前，达美航空仍在进行内部分析，以汲取此次事件的教训。有业内人士指出，达美航空的遭遇不仅暴露了关键信息基础设施和企业IT系统的脆弱性，也凸显了关键业务过于依赖技术合作伙伴的风险。 达美航空首席执行官Bastian也坦承，达美航空过于依赖微软和CrowdStrike，是该公司遭受如此严重损失的主要原因。他在上周致员工的信中写道，达美航空的IT、运营和客户服务团队正在对此次事件进行深入分析，以期从中吸取教训。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FAoPVv7LRhO8gbsisW1SMQ 封面来源于网络，如有侵权请联系删除

有报道称针对上周末被披露的Apache OFBiz 安全漏洞（CVE-2024-38856）的攻击企图日益增多，使用 Apache OFBiz 的组织被敦促修补一个严重漏洞。 Apache OFBiz 开发人员称，18.12.14 之前的版本都受到影响，18.12.15 包含一个修复程序。 开发人员在一份咨询报告中表示： “如果满足某些先决条件（例如，当屏幕定义没有明确检查用户的权限，因为它们依赖于其端点的配置时），未经身份验证的端点可能会允许执行屏幕的屏幕渲染代码。” 发现该漏洞的 SonicWall 威胁研究人员将其描述为一个严重问题，可能允许未经身份验证的远程代码执行。 SonicWall 解释称：“漏洞的根本原因在于身份验证机制存在缺陷。该缺陷允许未经身份验证的用户访问通常需要用户登录才能使用的功能，从而为远程代码执行铺平了道路。” SonicWall 尚未发现利用 CVE-2024-38856 的攻击。 然而，最近发现的另一个 Apache OFBiz 漏洞似乎已被恶意攻击者利用。该漏洞于 5 月被发现，编号为 CVE-2024-32113，是一个路径遍历错误，可能导致远程命令执行。 SANS 技术研究所的互联网风暴中心报告称，7 月底发现攻击尝试有所增加。 有证据表明攻击者正在试验该漏洞并可能将其添加到 Mirai 僵尸网络变种的攻击中。 Apache OFBiz 是一个用于创建企业资源规划 (ERP) 应用程序的免费框架。OFBiz被多家大型公司使用。大多数用户在美国，其次是印度和欧洲。 SANS 的 Johannes Ullrich 指出：“OFBiz 似乎远不如商业替代方案那么流行。然而，就像任何其他 ERP 系统一样，组织依靠它来存储敏感的业务数据，而这些 ERP 系统的安全性至关重要。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_RfZplteHa9jDl1FXXRqtA 封面来源于网络，如有侵权请联系删除

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。 参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的 。” 带有木马的更新和安装程序 在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。 根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。 当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。 此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。 在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。 其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

5 月 6 日美国知名电子制造服务公司Keytronic 披露了一次数据泄露事件，称一勒索软件团伙从其网络内窃取了信息，导致该公司的美国和墨西哥的业务暂停了两周。该公司还指出由于此次网络攻击，其已向外部网络安全专家支付了约 60 万美元，并且生产中断以及与恢复和补救工作相关的费用可能会对其第四季度财务业绩产生重大影响。 近期，Keytronic 透露，最近的勒索软件攻击造成的额外费用和收入损失总计超过 1700 万美元。 该公司在2024财年第四季度的初步财务报告中披露了与该事件相关的成本。 Keytronic 表示：“由于这一事件，公司产生了约 230 万美元的额外费用，并认为第四季度损失了约 1500 万美元的收入。”但该公司补充道，“这些订单大部分都是可以收回的，预计将在 2025 财年完成。本季度的 70 万美元的保险收益可以抵消部分额外费用。” 虽然Keytronic并未透露是哪一组织造成了有关数据泄露，但勒索软件组织Black Basta在泄密网站上公布了从该公司窃取超过 500 GB 的数据后，该事件就被披露了。 Black Basta 声称对 Keytronic 发起攻击，并窃取了超过 500 GB 的数据，包括财务文件、工程文件、人力资源信息和其他类型的公司数据。 Keytronic 专注于精密塑料成型、精密金属加工和装配服务，为计算机、电信、医疗、工业、汽车和航空航天领域制造精密零件。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，有研究人员发现了一次大规模的数据泄漏事件，共涉及到大约 900 家公司和组织，其中包括戴尔、Verizon、AT&T、能源部、康卡斯特和大通银行等。 今年 3 月 25 日，Cybernews 研究小组发现了一个可公开访问的网络目录，该目录属于马里兰州的 Simpli 公司（前身为 Charm City Concierge）。 该公司的应用程序允许租用办公空间的公司的员工查看位于同一栋大楼内的商店。它列出了可用的便利设施、工作场所福利和折扣，并使用户能够订购各种服务和产品。 这个开放的网络目录存储了 2024 年 1 月对公司网站和 Simpli 应用程序数据库的备份数据。据悉，此次泄露的应用程序的备份暴露了 10000 名员工的电子邮件地址和来自大约 900 家公司的哈希密码。 包含网站和数据库备份的网络目录被曝光 受影响的公司包括： Capital One 海军分析中心 美国律师协会 微策略 剑桥联营公司 戴尔 威瑞森 康卡斯特 西部交通 WeWork 信托银行 美国电话电报公司 国家残疾人委员会 能源部 大通银行 带备注的订单信息 由于大多数员工都使用公司电子邮件地址注册了 Simpli 服务，因此这构成了重大风险。威胁攻击者有可能通过使用凭据填充攻击，将目标锁定在员工可以访问的更敏感的公司系统上。 Cybernews 的信息安全研究员 Aras Nazarovas 说：虽然员工凭证是以相对安全的格式存储的，但密码仍有可能被破解，尤其是弱密码。如果员工在多个账户中使用相同的密码，被破解的密码就可以用来登录其他更敏感、与工作相关的终端。 建筑物及其租户清单 此次泄露的数据库还曝光了通过该应用程序发出的指令，其中一些指令包含可能涉及敏感业务信息的备注。这些笔记包括来自不同公司的个人之间的会议细节和会议目的。 在开放目录中发现的文件表明，这些信息可能是在该公司将其系统从 Drupal 7 迁移到 Drupal 9 时泄露的。目前 Simpli 公司暂未对此做出回应。 用户凭证 供应链攻击风险 此类泄密事件凸显了使用第三方服务的固有风险，这些服务可能会带来供应链攻击的风险。在这种网络攻击中，威胁者往往会寻找供应网络中的薄弱环节，而不是直接针对一家公司。 攻击者攻破一个供应商，就有可能影响到使用该供应商产品或服务的公司。从第三方供应商处提取的凭据对于已经瞄准一家公司的恶意行为者来说可能非常有用。 零售商 Target 就曾遭受过此类攻击。2013 年，恶意行为者入侵了 Target 的制冷、供暖和空调分包商 Fazio Mechanical，并将恶意软件传播到 Target 的大部分销售点设备。据报道，恶意软件当时共收集到了大约 4000 万张借记卡和信用卡的财务信息。 因此，提供第三方服务的公司和组织应该对网络安全问题格外保持警惕，因为这些公司极有可能会成为攻击者的目标。   转自Freebuf，原文链接：https://www.freebuf.com/news/407784.html 封面来源于网络，如有侵权请联系删除

网络安全公司eSentire 和 Proofpoint 发现，滥用 Clouflare 的 TryCloudflare 免费服务进行恶意软件传播的情况有所增加，涉及多个恶意软件系列。 该攻击方式需要使用 TryCloudflare 创建一个速率限制隧道，该隧道充当管道，通过 Cloudflare 的基础设施将流量从攻击者控制的服务器中继到本地机器。 据观察，利用这种技术的攻击链可传播一系列恶意软件，如 AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT 和 XWorm。 攻击的最初载体是一封包含 ZIP 压缩文件的网络钓鱼电子邮件，该压缩文件包含一个 URL 快捷方式文件，可将收件人引向一个的WebDAV 服务器上的 Windows 快捷方式文件，该服务器由 TryCloudflare 托管代理。快捷方式文件会执行下一阶段的批处理脚本，这些脚本负责检索和执行额外的 Python 有效载荷，同时显示托管在同一 WebDAV 服务器上的诱饵 PDF 文档。 eSentire 指出，这些脚本执行的操作包括启动诱饵 PDF、下载额外的恶意有效载荷以及更改文件属性以避免被检测。 据 Proofpoint 称，这些网络钓鱼邮件以英语、法语、西班牙语和德语编写，电子邮件数量从数百到数万不等，目标是世界各地的组织机构。 这些邮件主题涵盖了发票、文件请求、包裹递送和税收等。 虽然该活动被归因于一个相关活动集群，但并未与特定的攻击者或团体联系起来。据电子邮件安全厂商评估，该活动是出于经济动机。 去年，Sysdig首次记录了利用TryCloudflare进行恶意攻击的情况，一个被称为LABRAT的加密劫持和代理劫持活动通过GitLab中一个现已打补丁的关键漏洞，利用Cloudflare隧道渗透目标并掩盖其命令与控制（C2）服务器。 此外，由于使用WebDAV和服务器消息块（SMB）进行有效载荷的部署，企业必须将外部文件共享服务的访问权限限制在已知的、允许列表的服务器上。“使用Cloudflare隧道为攻击者提供了一种使用临时基础设施来扩展其攻击的方法，并为及时构建和关闭攻击提供了灵活性，”Proofpoint研究人员Joe Wise和Selena Larson表示。 临时 Cloudflare 实例允许攻击者以一种低成本的方法使用辅助脚本进行攻击，同时限制了检测和删除工作的风险。因为攻击者利用其服务来掩盖恶意行为并通过所谓的“依赖信任的服务”（LoTS） 来增强其运营安全性，Spamhaus 项目呼吁 Cloudflare 审查其反滥用政策。   转自Freebuf，原文链接：https://www.freebuf.com/news/407793.html 封面来源于网络，如有侵权请联系删除

近日，Palo Alto Networks的研究人员发现，一个被称为Fighting Ursa（也被称作APT28、Fancy Bear或Sofacy）的与俄罗斯有关联的威胁行为者，通过发布虚假的汽车销售广告来传播HeadLace后门恶意软件，主要针对外交官。 这场活动始于2024年3月，攻击者采用了多年来对外交官有效的网络钓鱼策略，利用能够吸引目标的敏感主题发起攻击，并依赖于公共和免费的服务来托管攻击的各个阶段。 2023年4月到12月期间，该APT分三个不同阶段部署 Headlace，分别使用网络钓鱼、被破坏的互联网服务和本地二进制文件。而这些凭据收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆的一个智库，通过在合法服务和被破坏的Ubiquiti路由器之间转发请求，绕过双因素认证和CAPTCHA挑战。 乌克兰国防部和欧洲铁路系统的相关网络被破坏后，攻击者能够收集情报以影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣也表明他们有意了解并影响地区政策。Insikt Group推测这次行动旨在影响地区和军事动态。 今年5月，Fighting Ursa利用合法服务Webhook.site通过托管恶意HTML页面启动了感染链，该页面在2024年3月14日提交给VirusTotal，其中包含用于确定访问者的计算机是否运行Windows的脚本。非Windows用户会被重定向到ImgBB上托管的诱饵图片。 HTML 还从 Base64 文本中创建了一个 ZIP 压缩包供下载，并利用 JavaScript 自动完成该过程。攻击者使用了一张奥迪Q7 Quattro SUV的图片作为诱饵，虚假宣传它是“外交用车出售”，其中包括虚假的联系方式以增加网络钓鱼计划的可信度。 ZIP归档包含三个文件：一个伪装成图像文件的合法Windows计算器可执行文件calc.exe（”IMG-387470302099.jpg.exe”），一个DLL文件（”WindowsCodecs.dll”），以及一个批处理文件（”zqtxmo.bat”）。 IMG-387470302099.jpg.exe文件用于加载WindowsCodecs.dll，这是HeadLace后门的一部分，可运行批处理脚本。该脚本执行了一个Base64编码的命令，从另一个webhook[.]site URL检索文件。 Palo Alto Networks的分析报告指出：“批处理文件将从第二个Webhook.site URL下载的内容保存在用户的下载目录中为IMG387470302099.jpg，然后将其移动到%programdata%目录，并更改文件扩展名从.jpg到.cmd。最后，批处理文件执行IMG387470302099.cmd，然后删除自身，以消除恶意活动的明显痕迹。” 专家认为，Fighting Ursa组织将继续在其攻击基础设施中使用合法的网络服务。 Recorded Future的一份最新报告也指出，该组织使用的基础设施一直在不断变化和发展。其他行业报告也展示了该组织在尝试投放HeadLace恶意软件时使用的各种诱饵。 为了防御此类攻击，建议限制对这些类似托管服务的访问，并仔细审查这些免费服务的使用，以识别可能的攻击载体。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407808.html 封面来源于网络，如有侵权请联系删除

近期，Infoblox和Eclypsium的网络安全研究人员，在域名系统（DNS）中发现了复杂的攻击媒介“Sitting Ducks”。Infoblox公司在报告中透露，自2018年以来，Sitting Ducks劫持超过35,000个域名，存在超过100万个易受攻击的目标域。这次攻击是在研究俄罗斯托管的404TDS（一个流量分配系统）基础设施时发现的，系俄罗斯网络犯罪分子参与其中。攻击者在伪装下执行恶意活动，包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。 “Sitting Ducks”攻击与其他控制域名的技术不同，因为它不需要注册商的访问权限，攻击者只需要利用所谓的”无效委托”（lame delegation）即可。 Sitting Ducks flow (Infoblox) 无效委托发生在注册的域名或子域名将权威DNS服务委托给不同于域名注册商的其他提供商时，如果权威名称服务器缺少域名信息并且无法解析查询，这种委托就被称为无效的。当恶意行为者注册了被分配的域名，获得指向该域名的所有域名的访问权限时，就会发生无效委托攻击。此外，攻击者通过利用DNS提供商的漏洞，扫描互联网上具有无效委托的域名，未经授权就声称拥有所有权。他们把劫持的域名创建恶意记录，将流量定向到恶意服务器，并将用户定向到攻击者的网站。根据Eclypsium博客文章所述，“Sitting Ducks”现象有多种变体。它能够利用域名所有者在域名服务器信息中的拼写错误，从而使得攻击者能够注册部分无效域名。Dangling DNS记录，由于配置被遗忘而包含无效信息，可以推广到其他类型的DNS记录。Dangling CNAME攻击将DNS响应重定向到失效的域名，从而允许恶意行为者注册失效的域名并获得血统。经过对十几个DNS提供商域名授权的分析，结果显示，参与者中最显著的是俄罗斯的网络犯罪分子。 利用这种攻击，每天有数百个域名被劫持，这些域名通常是通过所谓的“品牌保护注册商”注册的，或者是注册了外观相似的域名。 媒体呼吁，为了避免Sitting Ducks攻击，域名所有者应该使用独立于其域名注册商的权威DNS提供商。确保域名和子域将名称服务器委托给有效的服务提供商，并询问DNS提供商缓解措施以降低风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/QDInVB-9JghzoCeyLIEXSA 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一个以前未记录的 Windows 后门，它利用名为后台智能传输服务 ( BITS )的内置功能作为命令和控制 (C2) 机制。 Elastic Security Labs 于 2024 年 6 月 25 日发现了这一新发现的恶意软件，该恶意软件与针对南美某政府外交部的网络攻击有关。该活动集群被标记为 REF8747 。 安全研究人员 Seth Goodwin 和 Daniel Stepanic表示：“本文发布时，后门的最新版本具有 35 种处理程序功能，包括键盘记录和屏幕捕获功能。此外，BITSLOTH 还包含许多用于发现、枚举和命令行执行的不同功能。” 据评估，该工具自 2021 年 12 月开始开发，被攻击者用于数据收集目的，目前尚不清楚幕后黑手是谁。 攻击者使用了名为RingQ的开源工具。RingQ 用于加密恶意软件并防止被安全软件检测，然后解密并直接在内存中执行。 2024 年 6 月，安实验室安全情报中心 (ASEC)透露，存在漏洞的 Web 服务器被利用来投放 Web Shell，然后利用这些 Web Shell 通过 RingQ 投递其他有效载荷，包括加密货币挖矿机。 此次攻击还因使用 STOWAWAY 通过 HTTP 代理加密的 C2 流量和名为 iox 的端口转发实用程序而引人注目，后者此前曾被名为Bronze Starlight（又名 Emperor Dragonfly）的网络间谍组织在 Cheerscrypt 勒索软件攻击中利用。 BITSLOTH 采用 DLL 文件（“flengine.dll”）的形式，通过使用与 Image-Line 关联的合法可执行文件（称为FL Studio（“fl.exe”），使用 DLL 侧加载技术进行加载。 研究人员表示：“在最新版本中，开发人员添加了一个新的调度组件，以控制 BITSLOTH 在受害者环境中运行的具体时间。这是我们在其他现代恶意软件家族（如EAGERBEE ）中观察到的功能。” BITSLOTH 是一个功能齐全的后门，能够运行和执行命令、上传和下载文件、执行枚举和发现以及通过键盘记录和屏幕捕获收集敏感数据。 它还可以将通信模式设置为 HTTP 或 HTTPS、删除或重新配置持久性、终止任意进程、从机器上注销用户、重新启动或关闭系统，甚至从主机上更新或删除自身。该恶意软件的一个定义方面是它使用 BITS 作为 C2。 研究人员补充道：“这种媒介对对手来说很有吸引力，因为许多组织仍在努力监控 BITS 网络流量和检测异常的 BITS 作业。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/3LDb_jS9vDUZpy-EIu4NnQ 封面来源于网络，如有侵权请联系删除

以色列黑客宣布对伊朗持续的互联网中断负责。 该组织以 WeRedEvils 为名开展活动，至少自 2023 年 10 月以来就已存在，这可能是哈马斯袭击以色列的直接后果，从而引发了当前的加沙战争。 “接下来几分钟，我们将攻击伊朗的系统和互联网提供商。”WeRedEvils 昨天在 Telegram 上表示。“猛烈的打击即将到来。” 根据该组织自己的说法，这次攻击是成功的，他们声称已经成功侵入伊朗的计算机系统，窃取数据并导致互联网中断。该组织声称他们已将窃取的信息转交给以色列政府。 作为证据，WeRedEvils 指出，信息和通信技术部网站 ict.gov.ir 目前已瘫痪，伊朗各部委的大多数其他网站也同样瘫痪，并出现“响应时间过长”的错误。一些网站还出现 403 错误。 《The Register》仅找到两个可在美国访问的政府部门页面，一个是该国文化部，另一个是外交部。 目前还不清楚 WeRedEvils 究竟造成了多大的损失，或者它是否应对当前的中断负全部责任。 WeRedEvils 声称，去年 10 月，它曾袭击伊朗电网，导致电网瘫痪两小时。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qzJ9kecAyX8K93tdE7R9lg 封面来源于网络，如有侵权请联系删除

一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击，将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%，让研究人员能够提升权限或逃离容器。 该发现来自奥地利格拉茨技术大学的一组研究人员，他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2（最新版本）进行攻击，显示出很高的通用性。 此外，此次攻击可与所有现代内核防御措施（如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR)）配合使用。 研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。同时，发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。 SLUBStick 详细信息 Linux 内核高效且安全地管理内存的一种方法是，为不同类型的数据结构分配和取消分配内存块（称为“slab”）。 此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构，这称为跨缓存攻击。然而，这些攻击大约有 40% 的时间是有效的，并且通常迟早会导致系统崩溃。 SLUBStick 利用堆漏洞（例如双重释放、用户释放后或越界写入）来操纵内存分配过程。 研究人员实验中成功利用的 CVE，来源：stefangast.eu 接下来，它使用定时侧通道来确定内存块分配/释放的确切时刻，从而允许攻击者预测和控制内存重用。 使用这些时间信息可将跨更改利用的成功率提高到 99%，从而使 SLUBStick 非常实用。 测量成功率，来源：stefangast.eu 将堆漏洞转换为任意内存读写原语分为三个步骤： 释放特定的内存块并等待内核重新使用它们。 以可控的方式重新分配这些块，确保它们能够重新用于页表等关键数据结构。 一旦回收，攻击者就会覆盖页表条目，获得读取和写入任何内存位置的能力。 篡改数据，来源：stefangast.eu 想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库中找到它们。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PpXosWa7BfbqqcxYzcLwhA 封面来源于网络，如有侵权请联系删除

一个名为 StormBamboo 的黑客组织入侵了一家未公开的互联网服务提供商 (ISP)，并使用恶意软件毒害软件自动更新。 该网络间谍组织也被称为 Evasive Panda、Daggerfly 和 StormCloud，自 2012 年以来一直活跃。 Volexity 威胁研究人员透露，网络间谍团伙利用不安全的 HTTP 软件更新机制（未验证数字签名）在受害者的 Windows 和 macOS 设备上部署恶意软件负载。 网络安全公司 Volexity在周五发布的一份报告中解释道：“当这些应用程序检索更新时，它们不会安装预期的更新，而是会安装恶意软件，包括但不限于 MACMA 和 POCOSTICK（又名 MGBot）。” 为了实现这一目标，攻击者拦截并修改了受害者的 DNS 请求，并用恶意 IP 地址对其进行毒害。这样，无需用户交互，恶意软件便会从 StormBamboo 的命令和控制服务器传送到目标系统。 例如，他们利用 5KPlayer 请求更新 youtube-dl 依赖项，以推送托管在其 C2 服务器上的后门安装程序。 在入侵目标系统后，攻击者安装了恶意 Google Chrome 扩展程序 (ReloadText)，这使得他们能够收集和窃取浏览器 cookie 和邮件数据。 StormBamboo 攻击流程（Volexity） 研究人员补充道：“Volexity 观察到StormBamboo 针对多家软件供应商。”“Volexity 通知了 ISP 并与其合作，后者调查了其网络上提供流量路由服务的各种关键设备。随着 ISP 重新启动并使网络的各个组件脱机，DNS 投毒立即停止。” 2023 年 4 月，ESET 发布了一篇博客文章，介绍了 Volexity 自 2018 年以来一直跟踪的恶意软件家族 POCOSTICK。 ESET 没有直接证据，但提出最有可能的感染源是中间人 (AiTM)。Volexity 研究团队在真实案例中证实这种情况，并证明攻击者能够控制目标 ISP 的 DNS 基础设施，从而修改受害组织网络中的 DNS 响应。 Volexity的威胁情报研究人员得出结论： StormBamboo 是一名技术高超、攻击性极强的威胁实施者，他通过入侵第三方（在本例中为 ISP）来攻击目标。攻击者在各种活动中使用的恶意软件表明，他们投入了大量精力，不仅积极支持 macOS 和 Windows 的有效负载，还支持网络设备。 研究人员证实了 ESET 对 POCOSTICK 恶意软件感染媒介的假设。攻击者可以拦截 DNS 请求并用恶意 IP 地址对其进行毒害，然后使用此技术滥用使用 HTTP 而非 HTTPS 的自动更新机制。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LoFBeztuZfEM_mM6zPnnCg 封面来源于网络，如有侵权请联系删除

以National Public Data（国家公共数据）名义运营的 Jerico Pictures Inc. 在 4 月份的一次数据泄露事件中泄露了近 30 亿人的个人信息。近期受害者提起了集体诉讼。 据彭博社报道，“4 月 8 日，某黑客在暗网论坛上宣布出售名为“National Public Data（国家公共数据）”的数据库，涉及29亿个人的个人数据，包括姓名、住址、亲属信息以及其他个人信息等。黑客报价为350万美元。” 专家指出，此次数据泄露可能是有史以来最大的一次。 “National Public Data”（国家公共数据）通过从非公开来源抓取个人身份信息，收集了数十亿个人的数据。然而，原告及集体诉讼成员并未有意向被告提供其个人身份信息。 “本集体诉讼源于一起数据泄露事件，根据信息进行判断，该事件发生于 2024 年 4 月左右，涉及被告 NPD（即“泄露数据”的公司），这是一家背景调查公司，允许其客户搜索数十亿条记录并立即获得结果。”周四在美国佛罗里达州南区地方法院提交的诉状中写道 。 “原告向被告提起诉讼，指控被告未能充分保护和维护其在正常业务操作中收集和管理的个人身份信息。该信息包括但不限于原告及其他成员的全名、居住地址、社会安全号码、其他亲属的信息（包括一些已故近20年的人员），以及其他个人信息。 VX-underground 的研究人员审查了该档案（未压缩，大小为 277.1GB），确认数据真实准确。专家们注意到，该数据库不包含使用数据退出服务的个人的信息。没有使用数据退出服务且居住在美国的人能立即被找到。该档案还包含已故个人的数据。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文