分类: 安全快讯

微软威胁和漏洞管理套件现添加对 Linux 平台的支持

微软的威胁和漏洞管理(TVM)套件允许企业改善设备的安全配置。它提供发现威胁的洞察力,自动对问题进行优先排序,并允许公司无缝补救漏洞。以前,这些功能只在Windows和macOS上提供,但微软现在也将支持扩展到了 Linux 平台。 目前微软 TVM 支持的 Linux 发行版本包括 RHEL、CentOS 和 Ubuntu。后续还将会增加对 Oracle Linux、SUSE 和 Debian 的支持。 TVM功能可以从微软端点防御系统直接管理。此外,它的API可以被调用,以获得对基础数据集的访问,包括漏洞评估和软件库存等。这也意味着安全合作伙伴可以利用这些 API 来获取这些数据,并建立自己的定制解决方案。 微软接着说:“随着混合劳动力成为新常态,组织继续面临新的安全挑战,微软威胁和漏洞管理能够更好地洞察组织风险和设备的整体安全态势。我们专注于广泛的平台支持和互操作性,致力于为客户提供他们所需的灵活性和覆盖面,以尽早发现漏洞和错误配置,并使补救措施变得简单”。 除了 TVM 登陆 Linux 平台之外,安全配置评估组件现在也在 macOS 和 Linux 的公开预览中。此前,它只在 Windows 和 Windows Server 设备上可用。你可以在这里找到更多关于它的信息。   (消息及封面来源:cnBeta)

研究人员发现庞大的 Facebook 机器人农场 发布了超过 20 万个误导性帖子

一群安全研究人员声称偶然发现了一个大规模机器人农场,旨在2020年总统选举期间和新冠疫情期间影响Facebook上的公众舆论。据英国网络安全公司Comparitech的Paul Bischoff称,该网络包括13775个独特的Facebook账户,每个账户每月发帖约15次,导致每周产出超过5万个帖子。 据介绍,这些账户似乎被用于政治操纵,其中一半的帖子与政治话题有关,另外17%与COVID-19疫情有关。每个账户都有一张个人照片和一个好友名单,研究人员认为该名单主要是由其他机器人组成的。所有人都加入了特定的Facebook群组,他们的帖子更有可能被合法的真人用户看到和讨论。 研究人员发现,”特朗普”是帖子中最常使用的关键词,其次是”拜登”。这些账户可以追溯到2020年10月,它们围绕着加州野火、白俄罗斯抗议活动和美国边境问题进行活跃发言。此外,2020年美国总统选举期间的具体事件也在这些帖子中。研究人员发现,这些假账户是用Selenium创建和管理的,Selenium是一个测试网络应用程序的框架,也可以用来模仿人类行为,可以避开大多数自动机器人检测软件的检测。 据Comparitech发言人称,当协助研究的独立网络安全专家Bob Diachenko试图将该团队的发现提请Facebook注意时,该平台并没有回应。Facebook的一名代表说,该公司将调查由Comparitech确定的账户样本,但拒绝提供任何其他信息。 自2016年俄罗斯干预大选行动以来,Facebook在公开识别和删除平台上所谓的不真实活动方面变得更加积极和主动。不真实的活动被定义为使用假账户,试图误导人们关于他们是谁以及他们在做什么。这些活动可以是政府赞助的,也可以是私人的。该公司声称,仅在上个月就删除了1565个可疑的Facebook账户,141个Instagram账户,724个页面和63个群组。 注册虚假Facebook账户的电子邮件地址对Comparitech的研究人员是可见的。研究人员没有说谁是机器人农场的幕后推手,也没有说谁控制了不安全的服务器,但是其中许多账户和ru域名相关,而且似乎来自俄罗斯。   (消息及封面来源:cnBeta)

网络安全研究人员用 AI 生成假文件 打造更具迷惑性的“金丝雀陷阱”

一个新的人工智能系统会生成假文件来欺骗对手。在第二次世界大战期间,英国情报人员在一具尸体上植入假文件,以愚弄纳粹德国,使其准备进攻希腊。这一名为”碎肉”的行动获得了成功,并成功掩护盟军对西西里岛的实际入侵。 间谍活动中的 “金丝雀陷阱”技术传播了多个版本的假文件以掩盖秘密,它可以用来嗅出信息的泄露源,或者像二战中那样,制造分散注意力以误导敌方的情形,同时隐藏有价值的信息。 WE-FORGE是计算机科学系设计的一个新的数据保护系统,主要使用人工智能来建立金丝雀陷阱的概念。该系统自动创建虚假文件混淆目标,以保护知识产权,如药物设计和军事技术。 网络安全、技术和社会特聘教授、安全、技术和社会研究所所长V.S. Subrahmanian说:”该系统产生的文件与原始文件足够相似,因此对于目标来说是可信的,但又有足够的不同,因此本身又是错误的。” 网络安全专家已经使用金丝雀陷阱或“蜜罐”和外语翻译器来制造欺骗潜在攻击者的假象。WE-FORGE通过使用自然语言处理来自动生成多个既可信又不正确的假文件,从而改进了这些技术。该系统还插入了随机性元素,使对手无法轻易识别真实文件。WE-FORGE可用于创建任何技术设计文件的众多假版本。当对手入侵一个系统时,他们面临着一项艰巨的任务,即找出许多类似文件中的哪一个是真的。 “使用这种技术,我们迫使对手浪费时间和精力来识别正确的文件。即使他们这样做了,他们也可能没有信心他们是正确的,”Subrahmanian说。 创建假的技术文件的难度也不小。据该研究小组称,一项专利可以包括1000多个概念,有多达20种可能的替代物。WE-FORGE最终可能会考虑数百万种可能的概念,而这些概念可能需要在一份技术文件中被替换。 “恶意行为者现在正在窃取知识产权,并时常能够轻松逃脱,”Subrahmanian说。”这个系统提高了窃贼在窃取政府或行业机密时的成本”。 WE-FORGE算法的工作原理是计算文件中概念之间的相似性,然后分析每个词与文件的相关程度。然后,该系统将概念分为”仓”,并计算出每组的可行候选。”WE-FORGE也可以接受原始文件作者的输入,人类和机器的聪明才智的结合可以更多的增加知识产权窃贼的成本。” 作为研究的一部分,该团队伪造了一系列计算机科学和化学专利,并要求一个知识渊博的小组来决定哪些文件是真的。 根据发表在《ACM管理信息系统论文集》上的研究,WE-FORGE系统能够 “为每个任务持续生成高度可信的假文件”。 与其他工具不同,WE-FORGE擅长伪造技术信息,而不仅仅是隐瞒简单的信息,如密码。WE-FORGE改进了该系统的早期版本–即FORGE,消除了创建与特定技术相关的概念指南这一耗时的需要。WE-FORGE还确保了假文件之间有更大的多样性,并采用了改进的技术来选择要替换的概念和它们的替代物。   (消息及封面来源:cnBeta)

明年开始欧盟的微软客户将能够在当地存储他们的所有数据

微软宣布了一项名为 “微软云的欧盟数据边界”的新举措,通过这一做法,微软旨在使欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于该公司的所有核心云服务,即Microsoft 365、Dynamics 365和Azure,这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。 微软将继续与这些组织以及监管机构合作,确保在2022年底前完成实施这一变化的工程工作。 现在,微软大部分在线服务允许用户选择数据存储的地理位置,但在未来几个月,它将进一步加强这些服务,以减少欧盟以外的数据传输,然而,客户仍将有能力利用增强的服务,利用位于欧盟以外的资源。 微软强调,新的欧盟客户不需要等待,其使用到的云服务就已经遵循欧盟执行的准则,使客户能够遵守GDPR,即使没有这个额外的承诺,在欧盟边界内存储和处理数据时,微软也在Schrems II决定后实施了补充措施,以进一步支持数据传输的合规性,这些措施满足并超越了Schrems II决定的要求。与此同时,微软正在进行这些额外的投资,以便在2022年底前在欧盟处理和存储数据。这表明其对欧洲客户的持续承诺,并通过最大限度地减少欧盟边界以外的数据传输来简化后Schrems II的合规性。 欧盟标准合同条款(SCC)用于服务提供商(如微软)和他们的客户之间的协议,以确保任何离开欧洲经济区(EEA)的个人数据将按照欧盟数据保护法进行转移,并满足欧盟数据保护指令95/46/EC的要求。 微软将执行欧盟委员会修订的SCC,并继续为客户提供围绕微软服务范围内个人数据转移的具体保证。这确保了微软的客户可以通过微软云将数据从欧洲经济区自由转移到世界其他地区。如果客户对自家部署的SCC的适用性有具体疑问,应该咨询他们的法律顾问。 该公司已明确表示,它不会让美国政府或任何其他政府访问欧洲数据,并将把所有此类请求转给客户。在可能的情况下,它将把此事送进法庭,并通知客户,除非法律禁止它这样做。同样,如果任何客户数据的披露违反了GDPR,该公司将对受影响的客户进行经济赔偿。 尽管微软从其角度评估了实施这些变化所需的工程和技术努力,但公司表示,它将继续与客户和监管机构协商在特殊情况下可能需要的潜在调整。   (消息及封面来源:cnBeta)

微软提醒组织机构警惕泛滥成灾的礼品卡骗局

随着互联网的普及和不断发展,躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来,我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道,且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁,都使用了欺骗性的电子邮件作为攻击媒介,以诱使受害人在设备上安装恶意软件。 今天,软件巨头微软再次发布了面向组织机构的反诈宣传文案,并且强调了已经泛滥成灾的礼品卡骗局。 文中指出,攻击者正在利用企业电子邮件泄露(BEC)。作为一种网络钓鱼技术,其旨在访问企业信息或窃取金钱。 在本例中,攻击者利用了域名抢注,来诱骗受信任误以为发件人是老朋友,且涵盖了房地产、消费品、农业等各个领域。 在一个典型案例中,行政助理收到了一封伪装成其老板的电子邮件,称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作,因而交代行政人员立即采购一批礼品卡,并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后,最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单,但微软还是指出了 BEC 攻击的不同寻常之处。有些时候,攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后,冒名者通常会立即访问特定的站点,以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中,大部分都是在攻击发生数日前抢注的,意味着背后的组织协调性可能也极高。 微软补充道:我们注意到这些域名并未启用隐私保护,更谈不上欧盟《通用数据保护条例》(GDPR)的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址(首选 Gmail 等免费邮件服务),且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样,微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击,它还能够鉴别用户和域名、以及增强员工之间的辨识度等。     (消息及封面来源:cnBeta)

研究员发现一个专门盗取用户信息的虚假 DirectX12 下载网站

据外媒报道,恶意软件的所有者似乎找到了一种新方法来欺骗用户安装他们的软件,并且不幸的是,Google还在其中帮了忙。日前,安全研究员Oliver Hough发现黑客创建了一个伪造的DirectX 12下载网站,它看起来完全拥有安全证书、隐私政策、免责声明、DMCA政策等让人们相信它是真的内容,但它却会推送恶意软件扫描用户的电脑以获取私人信息。 这些信息包括桌面截图、个人电脑详细信息、缓存,重要的是还可能包含用户拥有的任何加密货币钱包。据悉,恶意软件会搜索Ledger Live和Waves.Exchange、Coinomi、Electrum、Electron Cash、BTCP Electrum、Jaxx、Exodus、MultiBit HD、Aomtic和Monero。 这些信息随后被会保存在一个临时目录中并上传到黑客的网络上。 据悉,黑客们一直在使用被他们攻击的网站然后将其链接到他们的虚假网页,这显然能帮助提高该网页在Google上的搜索排名,而这会诱骗更多的用户点击他们的虚假下载链接。 因此,越来越重要的是,用户在搜索要下载的软件时要更加警惕,如在Google中输入Spotify下载,那么在下载前一定要仔细检查页面的凭证和URL,而不是假定页面第一个跳出的链接就是合法的。 外媒指出,理想情况下,用户应该坚持使用内置在个人电脑中的官方应用商店。   (消息及封面来源:cnBeta)

ESET 发出警告:假冒微软商店和 Spotify 网站正在助推恶意软件活动

Bleeping Computer 报道称,近期通过假冒微软商店、Spotify 和在线文档转换等网站的恶意软件活动有大幅增长的趋势。ESET 威胁检测实验室负责人 Jiri Kropac 在接受采访时称:这些站点旨在向受害者分发恶意软件,以窃取保存在 Web 浏览器中的信用卡和密码等隐私信息。ESET 已经留意到了相关情况、并且正在对此展开持续监测,同时在 Twitter 上发出了相关警告。 Jiri Kropac 指出,此类攻击多通过恶意广告的形式传播,以将之伪装成看似合法的应用程序。比如在某个案例中,攻击者就伪造了微软的国际象棋 App 下载页面。 但当用户点击广告时,其实会被带到精心编造的页面,然后欺骗受害者下载货不对板的“xChess 3”游戏。   该程序会自动从亚马逊 AWS 服务器下载名为“xChess_v.709.zip”的压缩包,但本质上是重新封包的“Ficker”(或 FickerStealer)恶意软件。 作为一款被 ESET 定义为 [VirusTotal] 的恶意软件,其目标是窃取用户的机密信息(详见 Bleeping Computer 分享的 Any.Run 演示)。   本轮恶意软件攻击的第二个冤大头是 Spofity,该恶意软件会将自己伪装成流媒体音乐播放器(或在线文档转换器)。 在用户误点击了所谓“登录页面”的广告之后,它会自动下载包含 Ficker 的 .zip 恶意软件压缩包。 若用户粗心地选择了解压、并启动了可执行文件,Ficker 恶意软件就会被唤醒、并开始窃取存储在计算机上的相关数据。   据悉,Ficker 是一款信息窃取木马,最初于今年 1 月在俄语黑客论坛上公布,当时开发者开始向其它威胁参与者叫卖该恶意软件。 由原贴描述可知,恶意软件开发者详细介绍了 Ficker 的相关功能,并允许他人进行长短期的租赁(短则一周、多则半年)。 通过该恶意软件,攻击者可在 Web 浏览器、桌面消息传递服务(Pidgin / Steam / Discord)和 FTP 客户端中窃取保存的凭据。 此外恶意软件开发者西环城 Ficker 能够窃取 15 款以上加密货币的钱包,以及受害者计算机上运动的活动应用程序截图和相关文档。 最后,收集到的相关信息会被编译成一个 .zip 压缩文件并回传,以便攻击者能够提出数据并用于其它恶意活动。 综上所述,考虑到 Ficker 恶意软件的广泛功能,ESET 建议受害者们应立即更改其线上服务的密码、检查防火墙以揪出可疑的端口转发规则、并对计算机进行彻底的反病毒扫描,以检查系统中是否存在其它恶意软件。   (消息及封面来源:cnBeta)

为 FBI 解锁圣贝纳迪诺枪手 iPhone 的公司被曝出:Azimuth Security

就连苹果公司也查不出FBI在哪家公司的协助下解锁了圣贝纳迪诺枪手的一部iPhone,但一份新的报告声称知道做这项工作的秘密公司,它的名字叫Azimuth Security。尽管2016年有很多人猜测FBI雇佣了业内知名的Cellebrite来解锁枪手的iPhone 5C,但直到现在,真正的公司才被点名。 这是一家名为Azimuth Security的澳大利亚国防承包商,现在是L3Harris Technologies的一部分。 据《华盛顿邮报》报道,Azimuth是一家 “羞于对外公开”的公司,但据悉它曾参与为美国、加拿大和英国政府生产黑客工具。苹果公司一直在起诉Azimuth公司,因为它向政府机构出售iPhone虚拟机,并试图解锁客户想要解锁的设备。 尽管如此,苹果并没有认定是Azimuth帮助了FBI。其最终解锁的圣贝纳迪诺iPhone成为苹果与FBI之间备受瞩目的纠纷中心。 苹果CEO蒂姆·库克后来表示,他曾希望将这场纠纷诉诸法庭,但争论的结果是木已成舟:设备成功解锁。 现在有消息称,两名Azimuth黑客向FBI透露了一系列的iOS漏洞,或者说是利用,这些漏洞组合在一起就可以解锁iPhone。据报道,Azimuth公司获得了90万美元的解锁报酬,不过执法部门并没有从手机中找到任何对知晓案情有帮助的情报。   (消息及封面来源:cnBeta)  

数十名欧盟官员被卷入 Facebook 数据泄露事件

欧盟司法专员Didier Reynders、卢森堡首相Xavier Bettel和数十名欧盟官员都被卷入了Facebook的数据泄露事件,该事件被发布到公共论坛上并广泛流传。 他们的数据是周六被发现的5.33亿条记录的一部分,包括电话号码、Facebook ID、全名和出生日期,并在网上论坛上免费流传。POLITICO看到的比利时和卢森堡受害者的数据集还包含数十名欧盟官员的电话号码,包括欧盟委员会内阁成员、欧盟外交官和工作人员。POLITICO在周二核实了几位官员详细资料的真实性。 当POLITICO联系到Xavier Bettel时,他说他知道自己的详细资料出现在网上。德国首席联邦隐私监管机构乌尔里希-凯尔伯(Ulrich Kelber)也在推特上表示,他收到的诈骗信息是泄密事件的后果。欧盟委员会没有立即回应评论请求。欧盟的网络应急响应小组(CERT-EU)正在调查此次泄密事件可能对欧盟机构及其工作造成的影响。 黑客滥用数据的一种常见方式是一种被称为 “smishing “的技术,涉及到网络罪犯或黑客试图引诱受害者点击链接或回应短信中的请求。在过去的12个月里,每季度的Smishing消息已经增加了300%,消费者信任移动消息,他们比电子邮件中的链接更有可能阅读和访问移动消息文本中的链接。 如果政治家或公众人物的手机号码被广泛使用,这可能会使这些人容易受到SIM交换攻击等直接威胁、。SIM交换是一种技术,黑客说服电信运营商将一个电话号码换成新的SIM卡,这样他们就能获得用户的短信,而用户却不能。黑客可以通过提示应用发送短信登录,获得银行账户、电子邮件和社交媒体账户的权限。 专家建议,为了防止被黑客攻击,使用额外的安全措施是关键,特别是如果你是潜在的高调目标,比如媒体人或政治家,使用移动认证器应用程序进行双因素认证,并使用独特的长密码。欧盟自己的网络安全专家也呼吁同事检查自己是否是攻击的受害者。欧盟网络安全局(ENISA)发言人表示,该机构建议官员们在HaveIBeenPwned等网站上检查自己是否是受害者。 该发言人表示,万一信息泄露,要注意可疑的短信以及移动设备上突然失去运营商服务,这将表明黑客试图进入其他在线账户。泄露的Facebook数据是由网络犯罪情报公司Hudson Rock的Alon Gal在周末发现的。监管机构正在调查Facebook遭遇数据泄露时是否违反了隐私规则。             (消息及封面来源:cnBeta)

Android 恶意软件冒充 Netflix 劫持 WhatsApp 会话

安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种,该软件通过承诺免费订阅Netflix来吸引受害者。周三,Check Point Research(CPR)表示,这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。 这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用,似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里,商店关门,酒吧关闭,允许外出的次数有限,我们转而使用流媒体服务来打发时间。到2020年底,Netflix的付费用户数突破了2亿大关。很可能是由于COVID-19的刺激,恶意软件运营商决定抓住这一趋势。”FlixOnline “欺诈性应用承诺全球 “无限娱乐”,并因大流行而免费订阅两个月的高级Netflix。 然而,一旦下载,该恶意软件就会 “监听 “WhatsApp的对话,并自动回复带有恶意内容的信息。安装后,该应用会要求获得覆盖权限,这是盗窃服务凭证的常见行为,它还要求忽略电池优化,它可以阻止设备自动关闭软件以节省电力。此外,FlixOnline还要求获得通知权限,使恶意软件能够访问与WhatsApp通信相关的通知。 WhatsApp消息的自动回复包括以下内容,发送给受害者的联系人,”在世界任何地方60天获得2个月的Netflix高级免费服务。”,并且附带一条恶意链接。据研究人员介绍,该恶意软件可以通过恶意链接进一步传播,窃取WhatsApp的对话数据,并在安卓设备上安装后,有能力通过消息服务传播虚假信息或有害内容。 此次活动中使用的恶意链接会将受害者发送到一个虚假的Netflix网站,试图获取用户的信用卡信息和证书。然而,由于该消息是从命令和控制(C2)服务器获取的,其他恶意活动可能会链接到不同的钓鱼网站或恶意软件有效载荷。 在被发现之前,FlixOnline约造成500名受害者,时间大约为两个月,而且该恶意软件很可能会再次出现。CPR将其发现告知谷歌,目前该应用已从Play Store中删除。WhatsApp也被告知该活动,但由于没有可利用的漏洞或问题,恶意软件使用通过消息应用程序传播,因此不需要采取行动。           (消息及封面来源:cnBeta)