HackerNews

HackerNews 编译，转载请注明出处： 安全研究人员披露了一种名为“双击劫持”（DoubleClickjacking）的新型攻击技术，这是一种“基于时间的广泛漏洞类别”，通过利用双击操作实现点击劫持攻击，并可能导致账户接管，几乎影响所有主流网站。这一漏洞由安全研究员 Paulos Yibelo 命名。 “不同于传统的单击攻击，这种技术利用双击序列，”Yibelo 表示，“虽然看似只是微小的变化，却使得攻击者能够实施全新的用户界面操纵攻击，绕过所有已知的点击劫持防护措施，包括 X-Frame-Options 标头和 SameSite：Lax/Strict cookie。” 点击劫持（Clickjacking），又称用户界面重定向攻击，是一种诱导用户点击看似无害的网页元素（如按钮），从而触发恶意操作或窃取敏感数据的攻击手法。而双击劫持是这一技术的演进，通过双击操作中的时间间隙绕过防护，以更低的用户交互成本实现攻击目标。 具体的攻击步骤如下： 1. 用户访问由攻击者控制的站点，该站点会通过单击按钮或无交互直接打开一个新窗口（或标签页）。 2. 新窗口可能伪装为类似 CAPTCHA 验证的无害界面，提示用户完成双击操作。 3. 在双击过程中，攻击者利用 JavaScript 的 Window Location 对象将页面悄然重定向到恶意链接，例如批准恶意 OAuth 应用的授权。 4. 同时，顶层窗口自动关闭，用户在不知情的情况下完成授权，授予攻击者访问权限。 “目前，大多数网络应用和框架仅针对单次强制点击进行了防护，”Yibelo 指出，“而双击劫持通过引入时间间隙，使现有防御机制（如 X-Frame-Options、SameSite cookie 或 CSP）失效。” 网站所有者可以采用客户端防护策略，例如默认禁用关键按钮，只有在检测到鼠标手势或按键操作后才启用。据悉，Dropbox 等服务已采用类似的预防措施。 从长远来看，建议浏览器开发商引入类似 X-Frame-Options 的新标准，以应对双击劫持攻击。 “通过利用点击事件之间的时间差，攻击者可以在用户毫无察觉的情况下，将无害的界面元素替换为敏感内容，”Yibelo 补充道，“这一攻击手法是对已知漏洞类别的全新变种。” 此次披露的漏洞与 Yibelo 近一年前演示的另一种点击劫持变种——跨窗口伪造（Gesture-jacking）有异曲同工之妙。跨窗口伪造通过诱导用户在攻击者控制的网站上按住 Enter 键或空格键，触发恶意操作。 例如，在 Coinbase 和 Yahoo! 等网站中，如果受害者已登录账户，攻击者可以利用这一技术实现账户接管。这是因为这些网站允许攻击者创建权限范围广泛的 OAuth 应用，并对“允许/授权”按钮的 ID 值设置了静态或可预测的标识，从而使攻击者能够轻松获取受害者账户的访问权限。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据美国财政部周一发给国会议员的一封信，财政部表示，第三方软件提供商 BeyondTrust 于 12 月 8 日通知它，称一名黑客获得了安全密钥，允许攻击者远程访问员工工作站和存储在其上的机密文件。 BeyondTrust 是一家网络安全公司，专门从事特权访问管理 （PAM） 和安全远程访问解决方案。该公司的SaaS产品被政府机构、科技公司、零售和电子商务实体、医疗保健组织、能源和公用事业服务提供商以及银行业使用。 “根据现有指标，该事件被归咎于高级持续威胁 （APT） 行为者。”财政部负责管理的助理部长 Aditi Hardikar 在信中说。 财政部没有具体说明受影响的工作站数量或被黑客攻击的文档类型。它也没有说明黑客活动是何时发生的。 财政部补充说，受感染的服务已下线，目前没有证据表明攻击者能够继续访问财政部信息。根据财政部的政策，归因于 APT 的入侵被视为重大网络安全事件。 本月早些时候，有报告称 BeyondTrust 已被黑客入侵了远程支持 实例（https://www.bleepingcomputer.com/news/security/beyondtrust-says-hackers-breached-remote-support-saas-instances/）。威胁组织利用被盗的远程支持 SaaS API 密钥重置了本地应用程序帐户的密码，并获得了对系统的进一步特权访问。 在调查了这次攻击后，BeyondTrust 发现了两个0day漏洞，即 CVE-2024-12356 和 CVE-2024-12686，这些漏洞允许攻击者入侵并接管远程支持 SaaS 实例。 由于财政部是其中一个受感染实例的客户，因此威胁组织能够使用该平台访问客户计算机并远程窃取文档。在 BeyondTrust 检测到违规行为后，他们关闭了所有受损的实例并撤销了被盗的 API 密钥。 财政部表示，它正在与 FBI 和美国网络安全和基础设施安全局 （CISA） 合作解决入侵问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/XJHv5-cPQV1plDn78rGeXw 封面来源于网络，如有侵权请联系删除

10 月 10 日，攻击者通过第三方托管的登录门户访问并更改了员工福利账户，随后发现了这一未经授权的活动。 据该公司称，攻击者发起了一场欺诈性广告活动，将通用动力公司的员工引导到一个钓鱼网站，诱骗他们输入用户名和密码。 通用动力公司向缅因州总检察长办公室表示：“恶意攻击者随后能够访问向虚假第三方登录网站提供此信息的员工的账户。”该公司表示，共有 37 人受到影响。 被入侵的员工福利账户使攻击者可以访问姓名、出生日期、身份证号码、社会保障号码、银行账户信息和残疾状况等个人信息。 通用动力公司称，攻击者在某些情况下更改了被盗账户的银行账户信息。这些账户的所有者从 10 月 10 日开始收到通知。本周，该公司开始向其他受影响人员邮寄书面通知信。 “现有证据表明，涉案的未经授权访问是通过第三方进行身份验证的，而不是直接通过 GD 业务部门进行身份验证。目前，GD 尚未发现此次事件会给受影响的员工带来任何持续伤害或风险。”该公司向缅因州审计院表示。 在向缅因州检察长办公室提交的通知信副本中，通用动力公司告知受影响的个人，攻击者使用通过钓鱼网站获取的泄露凭证，通过员工自助服务门户访问了他们的 Fidelity NetBenefits 账户。 攻击者于 10 月 1 日开始访问员工账户，通用动力公司在发现攻击后立即暂停了对该服务的访问。该公司为受影响的个人提供两年的免费信用监控。 通用动力公司通知受影响的人员重置富达账户登录凭证，并且不要在该账户或您使用的任何其他账户中重复使用之前的凭证。 今年早些时候，美国金融服务公司富达 (Fidelity) 通知数万个人，他们的个人信息在两次数据泄露事件中遭到泄露。一次影响了28,000 名富达投资人寿保险公司客户，另一次影响了超过77,000 名富达投资客户。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ryUVDrdBnMOej-3kUssgFQ 封面来源于网络，如有侵权请联系删除

在即将过去的2024年，亚太地区的网络犯罪分子越来越多地利用人工智能（AI）发起复杂的攻击活动，例如 AI 生成的钓鱼邮件、自适应恶意软件和深度伪造。 Check Point 软件技术公司亚太区安全架构师和布道师 Clement Lee 表示，这些攻击削弱了对关键通信的信任，并加剧了社会紧张局势。 他例举了一些具体案列：在印度，深度伪造助长了广泛的不实信息传播；在印度尼西亚，一段经过篡改的深度伪造视频旨在煽动反华情绪；在中国香港，一名财务员工因深度伪造冒充公司高管而被骗转账 2500 万美元。 对于即将到来的2025年，Palo Alto Networks 亚太及日本区总裁 Simon Green 认为亚太地区将迎来“AI 驱动的网络威胁”。他指出，深度伪造音频和视频攻击可能是这一趋势中最明显的表现形式。 随着亚太地区越来越多的企业组织在实施 AI 项目，预计会更多地寻求更好保护其数据的方法。 AvePoint 澳大利亚和新西兰副总裁兼董事总经理 Max McNamara 表示，客户正在询问如何在保持强大安全性的同时，从数据中获得更多价值，尤其是在他们希望从 Microsoft Copilot 等生成式 AI 产品中获益时。这始于拥有安全且可访问的数据，确保能够在不影响安全态势的情况下扩展解决方案，并严格遵守日益复杂的监管标准。 另外，亚太地区量子计算项目的增加可能会推动“先收集，后解密”攻击的上升。此类攻击涉及对手收集并存储当前加密的数据，目的是在未来量子计算机足够强大时解密这些数据。这些攻击对需要长期保持安全的敏感信息构成了重大威胁。 根据《财富商业洞察》（Fortune Business Insights）的数据，亚太地区是全球增长最快的量子计算市场，包括 IBM 、微软、谷歌、阿里巴巴、百度、 JSR 和D-Wave 在内的多家公司目前正在参与该地区的大型量子软件和硬件项目。例如，阿里巴巴与中国科学院合作部署了新型量子计算云平台。亚太地区的一些量子项目正在国家层面进行，例如印度由美国资助的国家量子技术与应用任务和新加坡的量子工程项目。 Lee 表示，量子计算的出现可能会使当前的加密标准过时，导致敏感数据暴露并危及关键基础设施。随着组织为未来的解密威胁做准备，抗量子密码学将获得更多关注。 Green 指出，亚太地区的组织应预期到来自包括国家支持的黑客在内的‘先收集，后解密’攻击。这些攻击将对政府和企业、民用和军事通信、关键基础设施以及开发量子项目的组织构成威胁。 Qualys EMEA 和亚太区首席技术安全官兼解决方案架构副总裁 Richard Sorosina 认为，亚太地区威胁环境的快速演变和日益复杂化可能会加速该地区许多组织安全能力的整合。他预计，组织将越来越多地采用统一的安全平台方法，以提供对组织风险的集中视图，并在发现风险时提供修复机制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418742.html 封面来源于网络，如有侵权请联系删除

GitHub 安全实验室的安东尼奥-莫拉莱斯（Antonio Morales）最近发布了一份报告，公布了 GStreamer 中的 29 个漏洞，GStreamer 是一个开源多媒体框架，广泛应用于 Ubuntu、Fedora 和 openSUSE 等 Linux 发行版。GStreamer 支持广泛的多媒体功能，包括音频和视频解码、字幕解析和媒体流。它与 Nautilus、GNOME Videos 和 Rhythmbox 等关键应用程序的集成使其成为许多系统的重要组件，也成为网络攻击者的诱人目标。 莫拉莱斯在报告中解释说：“GStreamer 是一个大型库，包括 300 多个不同的子模块。在这项研究中，我决定只关注 Ubuntu 发行版默认包含的’Base’和’Good’插件。”这些插件支持 MP4、MKV、OGG 和 AVI 等流行编解码器，因此特别容易被利用。 在已发现的 29 个漏洞中，大多数是在 MP4 和 MKV 格式中发现的。以下是一些最值得注意的漏洞： CVE-2024-47537：isomp4/qtdemux.c.中的越界（OOB）写入。 CVE-2024-47538: vorbis_handle_identification_packet 中的堆栈缓冲区溢出。 CVE-2024-47607： gst_opus_dec_parse_header 中的堆栈缓冲区溢出。 CVE-2024-47615: gst_parse_vorbis_setup_packet 中的 OOB 写入。 CVE-2024-47539：convert_to_s334_1a 中的 OOB 写入。 这些漏洞包括 OOB 写入、堆栈缓冲区溢出和空指针取消引用，所有这些漏洞都可能允许攻击者执行任意代码、导致系统崩溃或外泄敏感信息。 GStreamer 在桌面环境和多媒体应用程序中的广泛使用凸显了这些漏洞的严重性。莫拉莱斯称：“该库中的关键漏洞可以打开许多攻击载体。例如，恶意制作的媒体文件可以利用这些漏洞入侵用户系统。” 为了发现这些漏洞，莫拉莱斯采用了一种新颖的模糊方法。由于大型媒体文件的大小和复杂性，传统的覆盖引导模糊器在处理大型媒体文件时往往会遇到困难。莫拉莱斯选择了一种定制方法： 他说：“我从头开始创建了一个输入语料生成器，”他介绍说，该技术生成了 400 多万个测试文件，专门用于发现 MP4 和 MKV 解析器中的罕见执行路径。 我们敦促开发人员和用户尽快更新到最新的 GStreamer 补丁版本。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303158 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 一名使用@NSA_Employee39昵称的X平台用户声称，在开源文件归档软件7-Zip中发现了一个零日漏洞。该账号已通过X平台验证。 该用户宣布，本周将“连续曝光零日漏洞”，首个目标便是7-Zip软件中的任意代码执行漏洞。 攻击者可通过诱骗受害者打开精心制作的.7z归档文件，利用此漏洞在受害者系统上执行恶意代码。 用户已在Pastebin上发布了针对此零日漏洞的利用代码。Pastebin上的描述称：“此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。通过调整偏移量和有效载荷，利用代码操控内部缓冲区指针以执行shellcode，从而实现任意代码执行。当受害者使用7-Zip的易受攻击版本（当前版本）打开或解压归档文件时，利用代码将被触发，执行有效载荷以启动calc.exe（可自行更改）。” 然而，多位专家对此声明提出质疑，称该利用代码无效，所谓的零日漏洞并不存在。 7-Zip的作者伊戈尔·帕夫洛夫（Igor Pavlov）表示，该漏洞为伪造。他解释说，LZMA解码器中不存在RC_NORM函数。 帕夫洛夫写道：“普遍结论是，Twitter上这段伪造的利用代码是由LLM（AI）生成的。” “伪造代码中的注释包含以下声明： 此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。” 但LZMA解码器中不存在RC_NORM函数。相反，7-Zip在LZMA编码器和PPMD解码器中包含了RC_NORM宏。因此，LZMA解码代码不会调用RC_NORM。利用代码注释中关于RC_NORM的陈述是不真实的。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从思科开发中心（DevHub）窃取数据并对外泄露，思科已确认这些数据属实，并指出它们源自近期披露的一起安全事件。 这名自称为IntelBroker的黑客于10月14日宣布，他与他人侵入了思科系统，获取了源代码、证书、凭证、机密文件、加密密钥等多种信息。 思科调查后发现，其系统并未被侵入，这些数据实际上是从一个面向公众的DevHub环境中获取的，该环境作为资源中心，为客户提供源代码、脚本等内容。 尽管DevHub中的大部分数据已公开，但思科承认，黑客获取的部分文件本不应公开。 随后，IntelBroker确认数据来自DevHub，并开始泄露文件。他最初声称获取了800GB的文件，但随后又称从DevHub环境中获取了4.5TB的数据。12月中旬，他公布了约3GB的数据，并在圣诞节当天又泄露了一批文件，总量超过4GB。 泄露的数据包括与思科产品相关的源代码、脚本、数字证书和配置文件。 思科在第二次数据泄露后表示，已对数据进行了分析，发现它们“与2024年10月14日已知的数据集一致”。 思科解释道：“如之前更新所述，我们确信系统没有受到攻击，并且在泄露的内容中任何可能被攻击者用来访问我们的生产或企业环境的信息。” 思科最初表示，没有证据表明敏感个人信息或财务数据遭到破坏，但已从事件报告中删除了这一声明。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周晚些时候，Palo Alto Networks通知客户，其已修复一个零日漏洞，该漏洞曾被用于对其防火墙发动拒绝服务（DoS）攻击。 该安全漏洞编号为CVE-2024-3393，影响了运行于Palo Alto Networks防火墙上的PAN-OS软件的DNS安全功能。漏洞允许未经身份验证的攻击者通过数据平面发送特制数据包，导致防火墙重启。 Palo Alto Networks警告称：“多次尝试触发此条件将导致防火墙进入维护模式。” 该公司还指出，其“已意识到当防火墙拦截触发此问题的恶意DNS数据包时，客户会遭遇拒绝服务（DoS）”。 尽管存在此情况且CVE-2024-3393被评为“高危”，但Palo Alto Networks仅将此漏洞的紧急程度定为“中等”，并指出仅当PAN-OS软件启用DNS安全日志记录，并应用DNS安全许可证或高级DNS安全许可证时，才会受到影响——两个条件需同时满足，漏洞利用才可能实现。 PAN-OS 10.1.14-h8、10.2.10-h12、11.1.5和11.2.3版本已修复此漏洞。而PAN-OS 11.0版本已于11月17日停止支持，因此不会收到修复补丁。同时，该公司还提供了临时解决方案和缓解措施。 Palo Alto Networks对爱沙尼亚CERT-EE提供的取证和分析协助表示感谢。但关于该漏洞的发现方式以及利用该漏洞的攻击情况，目前尚未有更多信息。 威胁组织利用Palo Alto防火墙漏洞发动攻击的情况并不罕见。在安全公司追踪的“月球窥探”行动中，恶意行为者曾利用两个PAN-OS零日漏洞攻破了大量防火墙。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国卫生与公共服务部（HHS）民权办公室（OCR）提议对医疗机构实施新网络安全规定，以保护患者数据免受网络攻击。 该提案旨在修订1996年《健康保险流通与问责法案》（HIPAA），作为加强关键基础设施网络安全广泛行动的一环，OCR指出。 新规将通过升级HIPAA安全标准，强化电子保护健康信息（ePHI）的安全防护，以“更有效地应对医疗行业日益严峻的网络安全挑战。” 据此，提案要求医疗机构审查技术资产清单和网络图，识别电子信息系统潜在漏洞，并建立72小时内恢复特定电子信息系统及数据的流程。 其他关键条款包括：每年至少实施一次合规审计，确保静态及传输中的ePHI加密，强制采用多因素认证，部署反恶意软件保护，并清理电子信息系统中的冗余软件。 《拟议规则通知》（NPRM）还要求医疗实体实施网络分段，建立备份与恢复技术控制，至少每六个月进行一次漏洞扫描，及每年至少一次渗透测试。 此举措出台之际，医疗行业正频繁遭受勒索软件攻击，不仅造成经济损失，还因破坏诊断设备和患者医疗记录系统访问，危及患者生命。 微软2024年10月指出，医疗组织因存储高度敏感数据而成为勒索软件攻击目标，但更大风险在于可能承担的巨额财务赔偿。 勒索软件事件还导致周边医疗设施不堪重负，因急需治疗的患者涌入而无法及时响应。 据网络安全公司Sophos数据，2024年67%的医疗机构遭遇勒索软件攻击，较2021年的34%显著上升，主要归因于漏洞利用、凭证泄露及恶意邮件。 其中，53%的机构在数据被加密后支付了赎金以恢复访问，赎金中位数达150万美元。 同时，勒索软件攻击后的恢复时间也在延长，仅22%的受害者在一周内完全恢复，远低于2022年的54%。 Sophos首席技术官John Shier表示：“医疗信息的高度敏感性和对即时访问的需求，使医疗行业始终成为网络犯罪分子的攻击目标。遗憾的是，许多医疗组织准备不足，恢复时间不断延长。” 上月，世界卫生组织（WHO）将针对医院和医疗系统的勒索软件攻击视为“生死攸关”，呼吁国际社会共同应对这一网络安全威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全厂商Elastic Security最近观察到一个新的攻击入侵活动，目标直指讲中文的地区，跟踪命名为REF3864。这些有组织的活动通过伪装成合法软件，如网络浏览器或社交媒体信息服务，来瞄准受害者。背后的攻击组织在跨多个平台（包括Linux、Windows和Android）传播恶意软件方面表现出了一定的多样性。在调查分析过程中，研究人员发现了一个独特的Windows感染链，并命名了一个自定义加载器为SADBRIDGE。该加载器部署了一个基于Golang重新编码的QUASAR恶意软件，称之为GOSAR。这也是研究人员首次观察到QUASAR被用Golang编程语言重写。 假Telegram登陆页面 关键发现： 研究人员发现的这次正在进行的攻击活动，目标是讲中文语言的使用者，恶意安装程序伪装成Telegram和Opera网络浏览器等合法软件。 攻击感染链采用注入和DLL侧加载技术，使用自定义加载器（SADBRIDGE）。 攻击者通过SADBRIDGE部署了一种新发现的、用Golang编写的QUASAR后门变种（GOSAR）。 GOSAR是一个正在积极开发中的多功能后门程序，其功能还不完整，但是随着时间的推移观察到了功能改进的迭代版本。 REF3864攻击活动： 在2023年11月，研究人员在对上传到VirusTotal的几个不同样本进行深度分析时，观察到了一个独特的攻击感染链。这些不同的样本被托管在伪装成Telegram或Opera GX浏览器等合法软件的登录页面上。 在调查分析过程中，研究人员还发现了多个涉及类似技术的感染链： 木马化的MSI安装程序，检测率低。 使用合法软件伪装，捆绑恶意DLL。 部署自定义SADBRIDGE加载器。 最终阶段GOSAR加载。 导致 GOSAR 感染的 SADBRIDGE 执行链 研究人员认为，这些攻击活动之所以能够避开安全检测，是因为它们采用了多层次的抽象技术。攻击过程开始于受害者被诱导打开一个包含MSI安装程序的ZIP文件，该文件实际上是一个恶意存档。随后，攻击者利用合法的Windows调试应用程序在后台加载一个被恶意修改的DLL文件。这个DLL文件接着启动一个新的合法程序，并在其中侧加载另一个恶意DLL，最终通过一系列注入技术将GOSAR后门程序植入到受害者的内存中。攻击者还精心伪装其C2基础设施，使其看起来像是可信的服务或软件，以符合受害者对软件安装程序的预期，从而降低被发现的风险。另外，攻击者特别关注列举国内的反病毒检测产品，如360tray.exe，以及中文的防火墙规则名称和描述，这表明攻击目标是中文用户群体。 自2017年以来，QUASAR恶意软件已被用于多次网络攻击活动，GOSAR作为QUASAR的扩展，增加了额外的信息收集功能、多操作系统支持，并改进了对国内反病毒产品和恶意软件分类器的规避能力。然而，由于缺乏具体的诱饵网站和针对目标的行动信息，目前尚无法确定攻击者的确切动机。 攻击过程技术分析： SADBRIDGE恶意软件加载器被打包为MSI可执行文件进行分发，并使用DLL侧加载和各种注入技术来执行恶意负载。SADBRIDGE滥用像x64dbg.exe和MonitoringHost.exe这样的合法应用程序来加载恶意DLL，如x64bridge.dll和HealthServiceRuntime.dll，从而导致后续阶段和shellcodes的执行。 SADBRIDGE通过创建服务和修改注册表来实现持久性。它利用UAC绕过技术（滥用COM接口）静默地将权限提升到管理员级别。此外，SADBRIDGE还通过Windows任务计划程序实现权限提升绕过，以系统级权限执行其主要有效载荷，涉及的工具有ICMLuaUtil。 SADBRIDGE配置使用简单的减法对配置字符串的每个字节进行加密。加密的阶段都附加了0x1.log扩展名，并在运行时使用XOR和LZNT1解压缩算法进行解密。 SADBRIDGE采用PoolParty、APC队列和令牌操作技术来进行进程注入。为避免沙盒分析，它使用长API调用。另一种防御逃避技术涉及API修补，以禁用Windows安全机制，如反恶意软件扫描接口（AMSI）和Windows事件跟踪（ETW）。 GOSAR恶意软件介绍 GOSAR是一个针对Windows和Linux系统的多功能远程访问木马。这个后门包括获取系统信息、截取屏幕、执行命令、键盘记录等功能。GOSAR后门保留了QUASAR的核心功能和行为，同时结合了一些修改，使其与原始版本有所不同。通过使用Go这样的现代语言重写恶意软件，可以降低检测率，因为许多防病毒解决方案和恶意软件分类器难以在这些新的编程结构下识别恶意字符串/特征。值得注意的是，这个变种支持多个平台，包括Linux系统的ELF二进制文件和Windows的传统PE文件。这种跨平台能力与Go的适应性一致，使其比原始的基于.NET的QUASAR实现更加的多功能。   转自安全内参，原文链接：https://www.secrss.com/articles/74099 封面来源于网络，如有侵权请联系删除

安全内参12月27日消息，一场被认为由俄罗斯黑客发起的大规模网络攻击，导致乌克兰多个国家登记册下线，公民无法获取与其数字记录相关的基本服务。 根据乌克兰司法部的消息，此次网络攻击中断了出生、婚姻及死亡等登记服务。该部门负责管理乌克兰约60个国家数据库。 目前，这些记录正通过纸质方式临时处理。一旦恢复对国家登记册的访问，所有数据将重新转移至电子数据库。 尽管服务受限，司法部表示，上周仍有超过1400对乌克兰夫妇完成了婚姻登记。 众多民众基本服务全面中断 所有涉及房地产的交易，包括买卖协议、租赁合同、赠与协议和抵押合同，也因这次事件全面暂停。此类交易需依赖国家登记册中的公民个人数据，以及法人和财产权信息。 乌克兰负责欧洲和欧亚一体化事务的副总理Olga Stefanishyna透露，恢复这些登记册的访问预计需要约2周时间。 作为应对措施，乌克兰政府已将现有的军事征召延期自动延长1个月，无需数字续签。根据现行法律，特定类别的乌克兰公民可通过依赖国家登记册数据的“Reserve+”军事应用申请延期。 据当地媒体报道，此次攻击还影响了乌克兰股票交易所的交易、官员和法官的任命，以及一些依赖登记册信息的法院案件审理。 目前尚不清楚此次网络攻击对登记册及基本服务中断造成的经济损失规模。 乌克兰司法部于12月23日宣布，已启动恢复工作，并保证所有数据都会被恢复，因为政府掌握了完整的备份。 “精心策划”的攻击 亲俄黑客组织 XakNet 声称对此次攻击负责，并表示已删除存储在波兰服务器上的主数据库及备份副本。 此前2023年12月，乌克兰国防情报局声称入侵了俄罗斯联邦税务局，并抹去了该机构2300多个数据库。 乌克兰政府官员对攻击细节披露有限，且因“问题的敏感性”拒绝向媒体发表评论。 乌克兰议会网络安全分委员会主席Oleksandr Fedienko表示，黑客可能通过网络钓鱼邮件或贿赂一名拥有登记册访问权限的员工进入系统。目前参与调查的乌克兰网络安全机构尚未公开评论攻击者的具体入侵手段。 乌克兰国家安全局上周指出，他们怀疑此次攻击幕后黑手是与俄罗斯军事情报局（GRU）相关的黑客。与 GRU 疑似相关的威胁组织之一是“沙虫”（Sandworm）。该组织曾对乌克兰发动重大网络攻击，包括2023年针对乌克兰最大电信运营商基辅之星（Kyivstar）的袭击。 Fedienko指出，此次针对国家登记册的攻击是“精心策划”的，只有通过“严密而系统化的组织”才能实现。 乌克兰国家安全局网络安全部门代理负责人Volodymyr Karastelov表示，黑客可能花费数月时间筹备此次针对国家登记册的攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/74077 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 作为供应链管理领域的巨头，Blue Yonder在上个月遭遇勒索软件攻击，引发了零售行业的广泛关注。近日，圣诞节前夕，一家勒索软件团伙声称从Blue Yonder及数十家公司窃取了数据，并威胁采取进一步行动。这些数据被盗据称与文件共享软件供应商Cleo的零日漏洞有关。 据悉，该团伙通过Cleo软件的漏洞入侵了包括Blue Yonder在内的多家公司，并对Blue Yonder发出多次威胁。然而，Blue Yonder方面表示，没有理由相信这些指控与上月的网络攻击有关。11月的攻击曾导致Starbucks、BIC及多家大型超市品牌的业务受到干扰。 Blue Yonder的一位发言人向媒体确认，公司确实使用Cleo进行部分文件传输，并已对相关漏洞进行补丁修复。目前，Blue Yonder正在评估此事可能对公司造成的潜在影响，并将在掌握更多信息后通知客户。发言人强调：“我们没有理由认为Cleo漏洞与我们在11月经历的网络安全事件有关。” 关于两起事件之间的关联性以及是否收到赎金要求，Blue Yonder拒绝进一步置评。据悉，一家新兴的勒索软件组织Termite宣称对11月的攻击负责。这次攻击严重影响了Starbucks的后台排班管理流程，以及其他客户系统，包括英国主要超市品牌和美国的制造商BIC，其生产活动一度受到干扰。尽管客户系统几乎已经全部恢复，但Termite团伙声称窃取了680 GB的数据，包括电子邮件、保险文件和公司机密信息。 Blue Yonder于2021年被松下以约85亿美元收购，目前为全球76个国家的超过3000家大型企业提供履约、交付和退货管理系统。 在Blue Yonder遭遇11月攻击两周后，文件传输软件供应商Cleo警告客户，其三款热门产品存在漏洞，被黑客利用。Clop勒索软件团伙随后宣称对该漏洞的利用负责，并将Cleo列为其受害者名单上的又一家文件传输软件公司。 Clop公开声称通过Cleo软件窃取了66家机构的信息，其中Blue Yonder是唯一一家被完全点名的公司，其余受害组织仅显示部分名称。Clop利用Cleo漏洞的行动是继其针对MOVEit、GoAnywhere和Accellion的全球数据窃取活动之后的最新攻击。这些攻击的核心策略并非破坏组织的设备或系统，而是专注于窃取文件传输软件中的数据，并通过勒索赎金变现。 Clop的近期行动影响范围广泛，特别是针对MOVEit的攻击波及了美国多个联邦部门、地方政府以及多家财富500强企业。据网络安全公司Emsisoft估计，MOVEit漏洞的攻击影响了2773家机构，导致约9600万人的信息被曝光和盗取。通过MOVEit行动，Clop从赎金中获利预计在7500万到1亿美元之间。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，大众汽车集团旗下的软件子公司Cariad遭遇了一起数据泄露事件，起因于公司内部两款IT应用的配置错误，导致约80万辆电动车的敏感数据被意外暴露。这些数据中包含了车主的姓名以及车辆的精确位置信息，这些信息被储存在未受充分保护的亚马逊云存储服务中长达数月时间，任何掌握基本技术知识的人都有可能追踪车主行踪或窃取个人私密信息。 涉及的车辆品牌包括大众、Seat、奥迪和斯柯达，部分车辆的定位信息精确到了厘米级别。 对此，Cariad的一位发言人指出，这次数据泄露的根源在于公司内部两款IT应用程序的配置失误。幸运的是，欧洲知名的道德黑客组织Chaos Computer Club（CCC）通过一名举报人在11月26日发现了这一安全隐患。经过测试验证后，CCC迅速向Cariad及大众集团通报了情况，并提供了详尽的技术分析报告。 据Cariad透露，此次数据泄露事件仅波及那些已注册在线服务并与互联网相连的车辆。研究人员发现，约有46万辆车的地理位置信息被泄露，其中部分数据的精度高达10厘米。更令人震惊的是，泄露的数据中还包含了30多辆汉堡警方巡逻车及疑似情报部门人员所用车辆的信息。 尽管泄露规模庞大，但Cariad强调指出，CCC的黑客团队为了获取这些数据，不得不绕过多重安全机制，并投入大量时间和技术资源。此外，为保护用户隐私，车辆数据在存储前已经过伪匿名化处理，黑客需要跨越多个数据集进行复杂关联分析，才能锁定具体用户身份。 然而，《明镜周刊》的一支由IT专家和记者组成的团队，利用免费软件成功追踪到了两名德国政客——Nadja Weippert和德国联邦议员Markus Grübel——的车辆位置信息。他们发现了Cariad内部应用的一个内存转储副本，其中包含了访问亚马逊云存储的密钥，而这些存储实例中保存了从大众集团车辆收集的数据。 在CCC报告当日，Cariad的安全团队立即采取行动，关闭了数据访问权限，并获得了CCC的积极评价，认为其技术团队反应迅速、全面且富有责任感。Cariad的调查结果显示，除CCC外，没有发现其他第三方访问或滥用泄露数据的迹象。同时，CCC仅能访问车辆数据，而无法对车辆进行任何控制操作。 Cariad强调，大众集团品牌客户有权自主决定是否同意处理其个人数据，并可以随时停用该功能。尽管如此，Cariad表示，收集这些数据是为了向客户提供、优化和扩展数字化服务。例如，匿名化的充电行为数据有助于改进未来的电池技术和充电软件。同时，所有数据均以保护客户身份和行踪安全的方式存储在云端。 Cariad声明称，大众集团在合法框架及现有合同关系的基础上收集、存储、传输和使用个人数据，并严格遵循正当利益原则或客户的明确同意。此外，公司还采取了严密的数据保护措施，包括数据点的分离存储、访问权限的严格限制、伪匿名化及匿名化处理，以及根据声明的目的进行数据聚合和处理。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，恶意软件僵尸网络“Ficora”与“Capsaicin”正利用已停产或运行过时固件版本的D-Link路由器发起攻击。这些目标涵盖了多款常见的D-Link型号，例如DIR-645、DIR-806、GO-RT-AC750以及DIR-845L。 在初始攻击阶段，攻击者利用了几个已知的漏洞，包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备沦陷，攻击者会通过D-Link管理界面（HNAP）的GetDeviceSettings操作执行恶意命令。 这两个僵尸网络不仅具备数据窃取能力，还能执行shell脚本。它们的主要用途是进行分布式拒绝服务（DDoS）攻击。 关于Ficora僵尸网络 Ficora是Mirai的一个变种，专门设计用于利用D-Link设备的漏洞。 根据Fortinet的遥测数据，Ficora的攻击活动在10月和11月出现了两次显著的峰值。该僵尸网络的感染范围广泛，但特别关注日本和美国。一旦感染，Ficora会通过名为“multi”的shell脚本下载并执行有效载荷，利用wget、curl、ftpget和tftp等多种方法。 此外，Ficora内置了暴力破解功能，并包含硬编码的凭证，使其能够感染其他基于Linux的设备，且支持多种硬件架构。 在DDoS攻击方面，Ficora具备UDP泛洪、TCP泛洪和DNS放大功能，从而增强了其攻击效果。 关于Capsaicin僵尸网络 Capsaicin是Kaiten僵尸网络的一个变种，据推测由Keksec组织开发，该组织因“EnemyBot”等针对Linux设备的恶意软件而闻名。 Capsaicin的攻击活动主要集中在10月21日至22日，目标多为东亚国家。在感染过程中，Capsaicin使用名为“bins.sh”的下载器脚本获取以“yakuza”为前缀的二进制文件，这些文件支持arm、mips、sparc和x86等多种架构。 此外，该恶意软件还会主动查找并禁用同一主机上运行的其他僵尸网络有效载荷。 除了与Ficora类似的DDoS功能外，Capsaicin还能收集主机信息并将其传输到指挥与控制（C2）服务器进行追踪。 为了防御这些僵尸网络恶意软件的攻击，建议采取以下措施： 确保路由器和物联网设备运行最新的固件版本，以修复已知的漏洞。 如果设备已停产且不再接收安全更新，建议更换为新型号的设备。 更改默认的管理员凭证为独特且强大的密码，以增加攻击者的破解难度。 关闭不必要的远程访问接口，以降低被攻击的风险。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁组织Cloud Atlas在其2024年的网络攻击活动中使用了一种此前未被记录的恶意软件VBCloud，针对“数十名用户”实施攻击。 据卡巴斯基研究员Oleg Kupreev本周发布的分析报告显示，受害者通常通过钓鱼邮件感染，该邮件包含一个利用公式编辑器漏洞（CVE-2018-0802）的恶意文档，用于下载并执行恶意代码。 超过80%的攻击目标位于俄罗斯，其余少数受害者分布在白俄罗斯、加拿大、摩尔多瓦、以色列、吉尔吉斯斯坦、土耳其和越南。 Cloud Atlas（又称Clean Ursa、Inception、Oxygen和Red October）是自2014年活跃至今的一个匿名威胁活动集群。2022年12月，该组织被发现针对俄罗斯、白俄罗斯和德涅斯特河沿岸实施网络攻击，使用了一种名为PowerShower的基于PowerShell的后门程序。 一年后，俄罗斯网络安全公司F.A.C.C.T.披露，该国的多个实体遭遇鱼叉式钓鱼攻击，攻击利用了一个旧版Microsoft Office公式编辑器漏洞（CVE-2017-11882），植入了一个Visual Basic脚本（VBS）负载，负责下载下一阶段的未知VBS恶意软件。 卡巴斯基的最新报告表明，这些组件属于被称为VBShower的恶意工具集，它用于下载并安装PowerShower和VBCloud。 攻击链始于一封钓鱼邮件，其中包含一个诱导打开的Microsoft Office文档。一旦打开，该文档会从远程服务器下载一个恶意RTF模板，并利用CVE-2018-0802漏洞下载并运行一个托管在相同服务器上的HTML应用程序（HTA）文件。 Kupreev指出：“漏洞通过RTF模板下载HTA文件并运行，利用NTFS替代数据流（ADS）功能在%APPDATA%\Roaming\Microsoft\Windows\路径下提取并创建多个文件。这些文件组成了VBShower后门程序。” 这些文件包括一个启动器，负责在内存中提取并运行后门模块；另一个VBS脚本充当清理工具，用于删除”\Local\Microsoft\Windows\Temporary Internet Files\Content.Word”文件夹内的所有文件内容，以及自身和启动器中的内容，从而掩盖恶意活动的痕迹。 VBShower后门用于从命令与控制（C2）服务器获取更多VBS负载，其功能包括重启系统、收集文件夹中的文件信息、运行进程的名称、计划任务的列表，并安装PowerShower和VBCloud。 PowerShower的功能与VBShower相似，但主要区别在于它从C2服务器下载并执行下一阶段的PowerShell脚本，同时也可作为ZIP档案文件的下载工具。 卡巴斯基观察到多达七种PowerShell负载，每种负载执行以下特定任务： 通过Active Directory服务接口（ADSI）获取远程计算机上的本地组及其成员列表 对用户账户进行字典攻击 解压由PowerShower下载的ZIP档案，并执行其中的PowerShell脚本以实施Kerberoasting攻击（获取Active Directory账户凭据的后期利用技术） 获取管理员组列表 获取域控制器列表 收集ProgramData文件夹中的文件信息 获取本地计算机的账户策略和密码策略设置 VBCloud的功能类似于VBShower，但通过公共云存储服务进行C2通信。它由一个计划任务触发，在受害者用户每次登录系统时激活。 该恶意软件能够收集磁盘信息（驱动器号、类型、介质类型、大小和可用空间）、系统元数据以及特定文件（如DOC、DOCX、XLS、XLSX、PDF、TXT、RTF和RAR）和与Telegram消息应用相关的文件。 Kupreev总结道：“PowerShower用于探测本地网络并协助进一步渗透，而VBCloud则负责收集系统信息和窃取文件。整个感染链包括多个阶段，其最终目标是从受害者设备中窃取数据。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： VulnCheck最新发现，针对四信（Four-Faith）部分路由器的高危漏洞CVE-2024-12856（CVSS评分7.2）已被实际利用于攻击中。该漏洞为操作系统命令注入漏洞，影响F3x24和F3x36两款路由器型号。 尽管漏洞严重性相对较低，需远程攻击者成功认证后才可触发，但若路由器默认凭据未更改，则可能导致未经授权的命令执行。 VulnCheck报告指出，不明攻击者利用默认凭据触发CVE-2024-12856漏洞，通过反向Shell实现远程持久访问。攻击源自IP地址178.215.238[.]91，该地址此前曾用于攻击四信路由器的另一漏洞CVE-2019-12168，最近一次攻击活动发生在2024年12月19日。 VulnCheck研究员Jacob Baines指出，通过HTTP协议的/apply.cgi端点可对F3x24和F3x36路由器发起攻击。在修改系统时间时，adj_time_year参数存在命令注入漏洞。Censys数据显示，目前超过15000台四信路由器直接暴露于互联网，且攻击可能始于2024年11月初。 截至目前，尚未有关于此漏洞补丁可用性的具体信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，一场针对Chrome浏览器扩展的新型攻击活动曝光，至少有16款扩展被攻破，导致超过60万用户的敏感数据和凭据泄露。 此次攻击通过钓鱼手段，瞄准了Chrome Web Store上的扩展发布者，利用他们的访问权限，在合法扩展中植入恶意代码，以窃取用户的Cookie和访问令牌。 首个确认受影响的公司是网络安全企业Cyberhaven。12月27日，Cyberhaven透露其浏览器扩展遭到威胁行为者的攻击，恶意代码被注入，与位于cyberhavenext[.]pro的外部指挥控制（C&C）服务器通信，下载额外配置文件并窃取用户数据。 LayerX Security公司CEO Or Eshed指出，浏览器扩展是网络安全中的薄弱环节。尽管通常认为扩展无害，但它们往往拥有广泛权限，能访问用户的敏感信息，如Cookie、访问令牌和身份信息。 许多组织对其终端安装的扩展及潜在风险缺乏了解。随着Cyberhaven漏洞事件的曝光，与同一C&C服务器通信的其他受攻击扩展也被迅速识别。 Nudge Security公司首席技术官Jamie Blasco进一步发现了指向C&C服务器同一IP地址的其他域名。 目前，疑似被攻破的扩展包括但不限于： AI Assistant – ChatGPT和Gemini for Chrome Bard AI Chat Extension GPT 4 Summary with OpenAI Search Copilot AI Assistant for Chrome TinaMind AI Assistant Wayin AI VPNCity Internxt VPN Vindoz Flex Video Recorder VidHelper Video Downloader Bookmark Favicon Changer Castorus Uvoice Reader Mode Parrot Talks Primus 这些扩展的受感染情况表明，Cyberhaven并非唯一目标，此次攻击是一次针对合法浏览器扩展的大规模活动。 分析显示，被攻破的Cyberhaven扩展中的恶意代码主要针对Facebook账户的身份数据和访问令牌，特别是商业账户。 Cyberhaven表示，恶意版本扩展在上线约24小时后已被移除，部分其他受影响扩展也已从Chrome Web Store更新或下架。 然而，LayerX的Or Eshed警告，即使扩展从商店下架，只要受感染版本仍在用户设备上运行，攻击者仍可访问并窃取数据。 安全研究人员正继续寻找更多受影响的扩展，但此次攻击活动的复杂性和规模已给许多组织敲响了保护浏览器扩展安全的警钟。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

OilRig（又称 APT34 或 Helix Kitten）以针对中东地区关键部门的网络间谍活动而闻名，它利用漏洞和先进技术实现其地缘政治目标，行动精准。 Picus Labs 在其最新报告中深入探讨了这一伊朗国家支持的行为体的行动。报告重点介绍了 OilRig 的演变过程、历史活动及其使用的先进战术。 OilRig 于 2016 年出现在网络威胁领域，但也有证据表明其早期活动。该组织最初通过鱼叉式网络钓鱼活动和部署 Helminth 后门以沙特阿拉伯的组织为目标，并很快显示出长期存在和隐蔽的能力。报告指出：“OilRig 通过战略性地使用 Helminth 后门而崭露头角，这是一种先进的恶意软件工具，能够隐蔽、持续地访问目标系统。” 多年来，OilRig 已将其触角伸向整个中东地区，以政府实体、能源部门和技术提供商为目标。其工具也在不断演变，从早期的 Helminth 恶意软件到 QUADAGENT 和 ISMAgent 等更复杂的有效载荷。这些后门加上 Invoke-Obfuscation 等开源混淆工具，反映了该组织的适应能力和技术专长。 报告概述了 OilRig 如何将零日漏洞和最近披露的漏洞纳入其武器库，包括利用 CVE-2024-30088 漏洞。这个 Windows 内核漏洞允许 OilRig 获得系统级访问权限，使其能够部署定制的 STEALHOOK 后门，进行长时间监控和数据外渗。 OilRig 还针对供应链，利用技术提供商内被入侵的账户发起更广泛的攻击。2018 年的 QUADAGENT 活动就体现了这一策略，它利用基于 PowerShell 的恶意软件渗透政府和企业网络，而且往往不被发现。 Picus Labs 通过 MITRE ATT&CK 框架详细概述了 OilRig 的战术、技术和程序（TTPs）。其中包括： 初始访问： OilRig 擅长鱼叉式网络钓鱼活动，通常伪装成 LinkedIn 等平台上的可信联系人来获取凭证。 执行： 该组织依靠 PowerShell 和其他脚本工具在被入侵环境中隐蔽执行命令。 持久性： 定时任务和混淆有效载荷可确保持续访问，即使在部分修复工作完成后也是如此。 防御规避： 高级混淆技术（包括 base64 编码和调用混淆）允许 OilRig 绕过检测系统。 凭证访问： Mimikatz 和 LaZagne 等工具可从密码存储和内存转储中提取明文凭证。 渗透： OilRig 采用 FTP 和 DNS 隧道等替代协议提取敏感数据，同时避开监控系统。 Picus Labs 的报告全面概述了 OilRig 的 TTP，并将其映射到 MITRE ATT&CK 框架。这一详细分析为寻求抵御这一持续性威胁的组织提供了宝贵的见解。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303035 封面来源于网络，如有侵权请联系删除

根据 Lookout 最近发布的一份报告，随着网络犯罪团伙转变策略，在攻击的早期阶段将移动设备作为攻击目标，移动威胁继续以惊人的速度增长。 该报告重点分析了以企业为重点的凭证窃取和网络钓鱼尝试的季度环比增长 17%、恶意应用程序检测的季度环比增长 32%，以及 iOS 设备比 Android 设备更容易受到网络钓鱼攻击的趋势。 与中国和俄罗斯 APT 有关的新型移动监控工具 在一系列新发现的威胁中，研究人员披露了由中国和俄罗斯的高级持续威胁（APT）组织（包括 Gamaredon 等）开发的一系列移动监控软件工具。 在企业移动设备上检测到的恶意应用程序超过 106,000 个，从特洛伊木马恶意软件到复杂的间谍软件，种类繁多。 在全球范围内，移动网络钓鱼和恶意网页内容已成为商业电子邮件泄露 (BEC)、MFA 绕过攻击、高管假冒和漏洞利用的代名词。这些攻击通常成本低、回报高，因此已成为现代杀伤链的首选初始步骤。 这种威胁矢量的最新演变是使用高管假冒攻击，这种攻击利用个人的资历和低级员工与生俱来的乐于助人的愿望来提高成功率。攻击者通过制造高度紧急的情况，并利用高管和员工之间的不熟悉，说服员工共享敏感数据、访问钓鱼网页或给他们汇款。 iOS 比 Android 更受企业欢迎，因此 Lookout 观察到，在 2024 年第三季度的网络钓鱼攻击中，威胁行为者针对 iOS 的攻击频率（18.4%）高于 Android（11.4%）。最常见的设备配置错误包括过时的操作系统、过时的安卓安全补丁级（ASPL）、无设备锁和无加密。 攻击者瞄准移动设备入侵企业云系统 最重要的移动恶意软件系列仍然主要倾向于安卓监控软件。 Lookout 用户遇到的最常见的十大移动浏览器漏洞都会影响基于 Chromium 的浏览器。攻击者特别瞄准这些漏洞，希望用户尚未更新到已打补丁的版本。 除浏览器漏洞外，最常见的五个移动应用程序漏洞涉及社交媒体、消息和身份验证应用程序以及应用程序商店。 随着高级恶意软件的商品化、民族国家移动恶意软件能力的发展以及对以移动为重点的社交工程的严重依赖，当今的企业必须将高级移动威胁防御作为其安全战略的一部分。威胁行为者越来越多地以移动设备为目标，窃取凭证并渗透到企业云中，这种途径被称为 “现代杀伤链”。 “随着网络威胁的不断发展，我们看到越来越多的攻击以移动设备为目标，将其作为进入存放敏感数据的企业云应用程序的门户。”Lookout端点副总裁David Richardson表示：“这一趋势凸显了对先进MTD解决方案的迫切需求，这些解决方案不仅能保护设备，还能保护它们所连接的敏感数据和系统。” 《Lookout移动威胁态势报告》的数据来源于Lookout安全云的人工智能驱动移动数据集，该数据集包含超过2.2亿台设备、3.6亿个应用程序和数十亿个网页项目。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303050 封面来源于网络，如有侵权请联系删除

2024 年 12 月 23 日，匹兹堡区域交通运输公司 (PRT) 宣布正在积极应对于 12 月 19 日星期四首次发现的勒索软件攻击。 匹兹堡地区交通运输公司 (PRT) 是一家为美国宾夕法尼亚州匹兹堡大都会区提供服务的公共交通机构。 该公司运营各种交通服务，包括公交车、轻轨（“T”）和斜坡服务，为该地区的通勤者和居民提供交通选择。PRT 旨在提供安全、实惠且可靠的交通解决方案，以满足当地居民的需求。 勒索软件攻击导致匹兹堡当地交通服务严重中断。 该机构已通知执法部门，并在网络安全专家的协助下调查该安全漏洞。 周四早上铁路服务暂时中断，但公交服务已恢复正常运营。 “发现事件后，PRT 立即展开调查，启动了网络事件响应小组，通知了执法部门，并聘请了全国公认的第三方网络安全和数据取证专家。这些团队正在努力确定是否有任何信息遭到泄露。”该机构在其网站上发表的声明中写道。 “尽管周四早上铁路服务暂时中断，但公共交通服务目前仍正常运行。不过，其他一些乘客服务仍受到负面影响，包括 PRT 的客户服务中心，该中心暂时无法接受或处理老年人和儿童的 ConnectCard。” 目前尚不清楚威胁组织是否在侵入该机构系统后窃取了数据。 该机构没有提供有关此次网络攻击的更多细节，例如事件背后的勒索软件团伙。目前尚无勒索软件组织声称对此次网络攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/gXGcpLR6Hk7Ydt-Gzw_bvQ 封面来源于网络，如有侵权请联系删除