美国四机构联合报告指出，自2024年2月问世以来，RansomHub勒索软件已经入侵至少210个目标，涉及美国多个关键基础设施领域。 8月29日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、多州信息共享和分析中心（MS-ISAC）以及卫生与公众服务部（HHS）共同发布了一份咨询报告，指出RansomHub对受害者进行”双重勒索攻击”。 报告指出：“自2024年2月成立以来，ansomHub通过加密和泄露数据的方式对至少210个目标进行了攻击。” 这些目标来自多个关键基础设施领域，包括水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信行业。 联邦机构表示，RansomHub（前身为Cyclops和Knight）已经将自己确立为一种高效且成功的服务模式。（它最近吸引了来自LockBit和ALPHV等其他知名勒索软件变体的附属成员）。 E安全了解到，Check Point发布的2024年6月《全球威胁指数》报告，揭示了勒索软件即服务 (RaaS) 领域发生的变化，RansomHub跃居榜首，取代LockBit3成为最猖獗的勒索软件团伙。这种新型的勒索软件即服务（RaaS）运作模式，勒索者获取赎金以保证不泄露被盗文件，若谈判失败就将文件出售给出价最高的人。这个勒索组织主要通过数据盗窃进行敲诈，而不是加密受害者的文件。此外他们也被认为可能是Knight勒索软件源代码的潜在买家。 自今年年初以来，RansomHub组织公开承认对以下几家美国机构的网络入侵行为负责：美国非营利性信用合作社Patelco、Rite Aid连锁药店、佳士得拍卖行和美国电信提供商Frontier Communications 。Frontier Communications后来向超过750,000名客户发出警告，他们的个人信息被泄露。 四家机构在报告中给出了建议：网络防御者应该修补已经被利用的漏洞，并对 webmail、VPN和链接到关键系统的账户使用强密码和多因素身份验证（MFA）。此外，还建议将软件更新并执行漏洞评估作为安全协议的标准部分。这四个机构还提供RansomHub感染指标（IOC），以及2024年8月FBI发现的其关联方的策略、技术和程序（TTP）信息。 “不鼓励支付赎金，因为支付赎金并不能保证受害者文件被恢复。”联邦机构补充说。“此外，付款还可能使攻击者变本加厉组织实施犯罪行为。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/YG2muhIvnrX6VQW0jsA7aw 封面来源于网络，如有侵权请联系删除

Progress Software 的企业网络监控和管理解决方案 WhatsUp Gold 中存在的严重漏洞可能会使系统遭受全面攻击。 WhatsUp Gold 提供对设备、应用程序、服务器和流量的可视性，允许组织监控其云和本地基础设施，使其成为企业环境的关键组成部分。 本周，Censys 表示，它发现互联网上存在超过 1,200 个 WhatsUp Gold 实例可访问，并警告称其中许多实例可能受到最近披露的严重级别漏洞的影响，针对该漏洞的概念验证 (PoC) 代码已发布。 该漏洞编号为CVE-2024-4885（CVSS 评分为 9.8），可能允许远程、未经身份验证的攻击者在受影响的 WhatsUp Gold 实例上执行任意代码。 据 4 月份发现并报告此漏洞的Summoning Team 称，CVE-2024-4885 存在的原因是 WhatsUp Gold 对 GetFileWithoutZip 方法的实现没有正确验证用户输入。 该远程代码执行 (RCE) 漏洞已于 5 月份随着 WhatsUp Gold 版本 23.1.3 的发布而得到解决，此外还解决了其他三个严重漏洞和多个高严重性错误。 在 6 月份的一份公告中，Progress Software 警告称 WhatsUp Gold 23.1.2 之前的版本存在漏洞，并敦促客户尽快升级到修补版本。 Progress 警告称：“这些漏洞可能会让客户遭受攻击。虽然我们尚未发现已知漏洞的证据，但您的系统可能会受到攻击，包括未经授权访问根帐户。” 8 月中旬，该软件制造商宣布对 WhatsUp Gold 进行另一个安全更新，即版本 24.0.0，该更新解决了另外两个严重程度的错误，并再次敦促客户升级其安装。 不过升级过程可能并不简单。虽然客户可以将 WhatsUp Gold 20.0.2 及以上版本升级到 24.0.0，但之前的版本需要先升级到 20.0.2，这需要联系 Progress 客服获取安装文件。 WhatsUp Gold 有多个组件，Progress 建议将其安装在专用的、物理隔离的服务器上——该公司还建议使用强账户密码、仅将管理账户委托给受信任的用户，并应用安全最佳实践。 升级到新版本需要管理员登录 Progress 的客户门户，验证他们的许可证，下载最新的软件版本，安装它，然后重新启动服务器。 每次发布新的 WhatsUp Gold 版本时，手动执行升级的需求可能会阻止一些管理员执行该过程，并且 Censys 观察到的至少一些暴露在互联网上的实例很可能尚未针对 CVE-2024-4885 进行修补。 虽然没有关于此漏洞被主动利用的报告，但 PoC 代码的公开可用性以及之前 WhatsUp Gold 版本中存在的其他几个严重缺陷应该说服管理员尽快升级到最新版本。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/6ycSSjSNDTDc2SlXGZr4pw 封面来源于网络，如有侵权请联系删除

安全研究人员发现了一种新型恶意软件活动，它利用 Google Sheets（电子表格） 作为命令和控制 (C2) 机制。 Proofpoint 从 2024 年 8 月 5 日开始检测到这一活动，它冒充了欧洲、亚洲和美国政府的税务机关，目的是通过一种名为 Voldemort 的定制工具瞄准全球 70 多个组织，该工具可以收集信息并传递额外的有效载荷。 目标行业包括保险、航空航天、交通、学术、金融、技术、工业、医疗保健、汽车、酒店、能源、政府、媒体、制造、电信和社会福利组织。 此次疑似网络间谍活动尚未被归咎于特定黑客组织，攻击活动发送了多达 20,000 封电子邮件。 这些电子邮件声称来自美国、英国、法国、德国、意大利、印度和日本的税务机关，提醒收件人有关其税务申报的变化，并敦促他们点击将用户重定向到中间登录页面的 Google AMP Cache URL。 诱饵电子邮件 该页面的作用是检查User-Agent 字符串以确定操作系统是否为 Windows，如果是，则利用search-ms:URI 协议处理程序显示 Windows 快捷方式 (LNK) 文件，该文件使用 Adobe Acrobat Reader 伪装成 PDF 文件，试图诱骗受害者启动它。 Proofpoint 研究人员 Tommy Madjar、Pim Trouerbach 和 Selena Larson 表示：“如果执行 LNK，它将调用 PowerShell 从同一隧道上的第三个 WebDAV 共享（\library\）运行 Python.exe，并将同一主机上的第四个共享（\resource\）上的 Python 脚本作为参数传递。这会导致 Python 运行脚本而不将任何文件下载到计算机，而是直接从 WebDAV 共享加载依赖项。” 该 Python 脚本旨在收集系统信息并以 Base64 编码字符串的形式将数据发送到攻击者控制的域，然后向用户显示诱饵 PDF 并从 OpenDrive 下载受密码保护的 ZIP 文件。 诱饵PDF 该 ZIP 存档包含两个文件，一个合法的可执行文件“CiscoCollabHost.exe”，容易受到 DLL 侧载攻击，另一个是恶意 DLL“CiscoSparkLauncher.dll”（即 Voldemort）文件，该文件容易受到侧载攻击。 Voldemort 是一个用 C 语言编写的自定义后门，具有信息收集和加载下一阶段有效负载的功能，该恶意软件利用 Google Sheets 进行 C2、数据泄露以及执行来自操作员的命令。 Proofpoint 称该活动与高级持续性威胁 (APT) 有关，但由于使用了电子犯罪领域流行的技术，因此带有“网络犯罪色彩”。 “攻击者滥用文件架构 URI 来访问外部文件共享资源以进行恶意软件分阶段，特别是 WebDAV 和服务器消息块 (SMB)。这是通过使用架构‘file://’并指向托管恶意内容的远程服务器来实现的。”研究人员说。 这种方法在充当初始访问代理（IAB）的恶意软件家族中越来越 流行，例如Latrodectus、DarkGate和XWorm。 此外，Proofpoint 表示它能够读取 Google Sheet 的内容，总共识别出六名受害者，其中一名被认为是沙盒或“已知研究人员”。 此次攻击活动被认为不同寻常，这增加了攻击者在锁定一小部分目标之前撒下大网的可能性。攻击者的技术水平可能各不相同，他们也有可能计划感染多个组织。 研究人员表示：“虽然该活动的许多特征与网络犯罪威胁活动相符，但我们认为这很可能是为了支持尚未知晓的最终目标而进行的间谍活动。这种巧妙而复杂的能力与非常基本的技术和功能的混合，使得评估攻击者的能力水平和高度自信地确定该活动的最终目标变得十分困难。” 这一进展是在 Netskope 威胁实验室发现了 Latrodectus 的更新版本（1.4 版）之后取得的，该更新版本配备了一个新的 C2 端点，并增加了两个新的后门命令，允许它从指定服务器下载 shellcode 并从远程位置检索任意文件。 安全研究员 Leandro Fróes表示：“Latrodectus 的进化速度非常快，为其有效载荷添加了新功能。了解其有效载荷的更新可以让防御者保持自动管道的正确设置，并利用这些信息进一步寻找新的变种。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rsoYdXoY-r3x7lsqVi6szg 封面来源于网络，如有侵权请联系删除

Securonix 威胁研究团队发现了一项针对中文用户的秘密攻击活动，该活动可能通过钓鱼电子邮件发送 Cobalt Strike 负载。攻击者设法横向移动，建立持久性并在系统内潜伏超过两周而不被发现。 该秘密活动代号为SLOW#TEMPEST，并未归属于任何已知黑客组织，它从恶意 ZIP 文件开始，解压后会激活感染链，从而在受感染系统上部署后利用工具包。 ZIP 存档中包含一个 Windows 快捷方式 (LNK) 文件，该文件伪装成 Microsoft Word 文件“违规远程控制软件人员名单.docx.lnk”，大致翻译为“违反远程控制软件法规的人员列表” 。 研究人员指出：“从诱饵文件中使用的语言来看，特定的中国相关商业或政府部门很可能成为目标，因为他们都会雇用遵守‘远程控制软件规定’的人员。” LNK 文件充当启动合法 Microsoft 二进制文件（“LicensingUI.exe”）的管道，该二进制文件使用DLL 侧载来执行恶意 DLL（“dui70.dll”）。 这两个文件都是 ZIP 存档的一部分，位于名为“\其他信息\.__MACOS__\._MACOS__\__MACOSX\_MACOS_”的目录中。此次攻击标志着首次报告通过 LicensingUI.exe 进行 DLL 侧载的情况。 该 DLL 文件是 Cobalt Strike 植入程序，允许持续、隐秘地访问受感染的主机，同时与远程服务器（“123.207.74[.]22”）建立联系。 据称，远程访问使攻击者能够进行一系列实际活动，包括部署额外的有效载荷进行侦察和建立代理连接。 感染链还因设置计划任务而引人注目，该任务定期执行名为“lld.exe”的恶意可执行文件，该可执行文件可以直接在内存中运行任意 shellcode，从而在磁盘上留下最少的痕迹。 攻击链 研究人员表示：“攻击者通过手动提升内置 Guest 用户帐户的权限，进一步使自己能够隐藏在受感染的系统中。Guest账户通常被禁用且权限极低，但通过将其添加到关键管理组并为其分配新密码，它就变成了一个强大的接入点。这个后门使他们能够在最少的检测下保持对系统的访问，因为 Guest 账户通常不像其他用户账户那样受到密切监控。” 随后，黑客使用远程桌面协议 ( RDP ) 和通过 Mimikatz 密码提取工具获取的凭据在网络中横向移动，然后从每台机器建立到其命令和控制 (C2) 服务器的远程连接。 后利用阶段的另一个特点是执行几个枚举命令并使用 BloodHound 工具进行活动目录 (AD) 侦察，然后以 ZIP 存档的形式泄露其结果。 所有 C2 服务器均在中国托管，这一事实进一步证实了该活动与中国的联系。此外，与该活动相关的大多数工件都来自中国。 “尽管没有确凿的证据将这次攻击与任何已知的 APT 组织联系起来，但它很可能是由经验丰富的黑客组织策划的，这些攻击者有使用 Cobalt Strike 等高级开发框架和各种其他后开发工具的经验。”研究人员总结道，“此次活动的复杂性在其对初始攻击、持久性、权限提升和网络横向移动的系统性方法中显而易见。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p_7IlpzQiyTpVmmoxHsnkQ 封面来源于网络，如有侵权请联系删除

微软最近发现朝鲜黑客利用最近修补的 Google Chrome 0day漏洞 (CVE-2024-7971)，在利用 Windows 内核漏洞获取系统权限后部署 FudModule 根工具包。 此漏洞允许攻击者在受感染的设备上执行恶意代码，朝鲜黑客组织Citrine Sleet 使用虚假加密货币网站等高级策略进行攻击。 微软周五发布了一份报告，披露上周发现朝鲜黑客组织 Citrine Sleet 利用了 Chromium 浏览器中的0day漏洞。 这份由微软威胁情报和微软安全响应中心 (MSRC) 发布的报告将该漏洞标识为 CVE-2024-7971，这是 Chromium 使用的 V8 Javascript 和 Webassembly 引擎中的一个类型混淆缺陷。 此0day漏洞允许在浏览器的隔离渲染器进程中执行远程代码执行 (RCE)，从而使攻击者能够在目标系统上运行有害代码。 微软表示：我们正在进行的分析和观察到的基础设施使我们有中等信心将此活动归因于 Citrine Sleet。 Citrine Sleet 以专注于加密货币领域而闻名，其目标是获取经济利益。进一步分析表明，Citrine Sleet 可能与另一个朝鲜威胁组织 Diamond Sleet 共享工具和基础设施，特别是通过使用 Fudmodule rootkit 恶意软件。 报告指出，Citrine Sleet 也被称为 Applejeus 和 Hidden Cobra，Citrine Sleet 的目标是金融机构，重点关注加密货币组织和相关个人，此前曾与朝鲜侦察总局 121 局有联系。 该组织采用先进的技术，包括建立虚假的加密货币网站并发送恶意的工作机会或加密货币钱包来欺骗受害者。 其他网络安全供应商将该朝鲜威胁组织追踪为 AppleJeus、Labyrinth Chollima 和 UNC4736。朝鲜黑客还利用伪装成合法加密货币交易平台的恶意网站，向潜在受害者发送虚假求职申请、武器化的加密货币钱包或交易应用程序。 Chromium 是一个开源网络浏览器项目，是 Google Chrome 的基础，其中包含额外的专有功能和服务。由于 Chrome 是基于 Chromium 的代码库构建的，因此 Chromium 中的漏洞通常也会影响 Chrome。 当目标连接到域名 voyagorclub[.]space 时，会利用0day漏洞，导致下载恶意软件并逃离 Windows 安全沙箱。尽管微软在 8 月 13 日修补了该漏洞，但与 Citrine Sleet 的活动没有直接联系，这表明该漏洞可能是由不同的团体同时发现的，或者通过共享情报发现的。 微软建议：0day漏洞不仅需要保持系统更新，还需要提供跨网络攻击链统一可见性的安全解决方案，以检测和阻止入侵后的攻击者工具和攻击后的恶意活动。 谷歌上周修补了 CVE-2024-7971 0day漏洞，称其为 Chrome V8 JavaScript 引擎中的类型混淆漏洞。此漏洞使攻击者能够在重定向到攻击者控制的网站 voyagorclub[.]space 的目标的沙盒 Chromium 渲染器进程中获得远程代码执行。 逃离沙盒后，他们使用受感染的 Web 浏览器下载了针对Windows 内核中CVE-2024-38106漏洞（微软已于本月补丁日修复）的 Windows 沙盒逃离漏洞，这使他们获得了 SYSTEM 权限。 攻击者还下载并加载了 FudModule 根工具包到内存中，用于内核篡改和直接内核对象操作 (DKOM)，并允许他们绕过内核安全机制。 自2022 年 10 月发现以来，该 rootkit 也被另一个朝鲜黑客组织 Diamond Sleet 使用，Citrine Sleet 与其共享其他恶意工具和攻击基础设施。 韩国联合通讯社 3 月份援引联合国安理会的一项研究称，与朝鲜有关的黑客在 2017 年至 2023 年期间窃取了价值 30 亿美元的加密货币，该研究将朝鲜称为“世界最大的网络窃贼”。 联合国研究报告援引“某个成员国”提供的信息称，朝鲜“50%的外汇收入”来自网络攻击，而这些收入“被用来资助其武器计划”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/rA1u6rs5vGkyy5JyhoOYdg 封面来源于网络，如有侵权请联系删除

北京时间今天凌晨，在CrowdStrike2025财年第二季度的财报电话会上，董事长兼CEO，也是联合创始人的George Kurtz开场就用大量篇幅介绍了7月19日因监测规则升级事故而导致大量Windows主机蓝屏事件的情况。针对这一事件，CRWD采取了四项改进措施： 增强规则更新的透明性和可控性：此前用户只能控制版本更新，现在他们也可以配置规则更新了，用户通过新的细化控制功能可以选择何时何地部署新的规则内容。 加强规则的质量控制：8月初，CRWD正式推出了新的规则验证器和规则解释器。此前的安全事件与这两个组件未能正常工作有关。现在，这两个组件已经被重构，以防止错误内容的发布。 外部审查和验证：CRWD聘请了两家独立的第三方软件安全公司来审查Falcon终端传感器的代码和质量控制流程。该项工作将持续进行，旨在短期、中期和长期内提升安全性和弹性。 调整规则发布流程：与传感器版本的发布流程一致，新的规则发布流程包括样本测试、内部实验室测试等分阶段测试，最终部署将分批次进行，并遵循客户的策略设置。 其中，第一项和第四项改进措施在8月6日发布的事故审查初步报告中已有披露，这些措施有望大幅减少未来类似事故的影响范围和破坏程度。与之相反的是，7月19日的规则更新在短短78分钟内就被推送到了超过850万台Windows主机上，极大的扩大了此次事故的影响范围。 第二项和第三项改进措施旨在降低未来发生类似事故的可能性。第二项措施的重点是重构规则解释器，并引入更强的规则检测能力，以避免执行有问题的新规则。至于第三项措施，我感到有些意外，但它显示了CrowdStrike对提高透明度的承诺。 尽管发生了719事件，CrowdStrike在2025财年第二季度的表现依然非常亮眼。季度末年经常性收入ARR同比增长32%，达到38.6亿美元，经营利润率为24%，”Rule of 40″指标高达60。 表面上看，CRWD似乎没有受到719事件的影响，但这主要是因为其第二财季结束于7月底，事件的影响尚未完全显现。在财报电话会上，CFO给出的下季度收入指引是9.79到9.85亿美元，仅比本季度的9.64亿美元略高。而第一季度CrowdStrike的收入为8.72亿美元。粗略估算，719事件对第三季度收入的影响可能接近1亿美元，拉低收入近10个百分点。 在股价方面，719事件发生后，CRWD的股价从343.05美元下跌至8月2日的最低点217.89美元，下滑了36.5%，目前股价刚恢复到260美元左右。尽管George Kurtz表现出极大的信心，但显然CrowdStrike要完全走出此次事件的阴影仍需时日。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409805.html 封面来源于网络，如有侵权请联系删除

近日，GuidePoint Research和Intelligence Team（GRIT）发现了一个针对英语使用者的持续钓鱼活动，该活动已经针对美国超过130家公司和组织。 研究人员指出，自2024年6月26日以来，这个威胁行为者注册了与目标组织使用的VPN提供商相似的域名。威胁行为者通常会打电话给员工个人，假装来自服务台或IT团队，并声称他们正在解决VPN登录问题。如果这种社工攻击尝试成功，威胁行为者会发送一个短信链接给用户，该链接指向假冒公司VPN的假网站。 该威胁行为者还为每个目标组织设置了自定义的VPN登录页面。与此活动相关的域名如下： – ciscoweblink.com – ciscolinkweb.com – ciscolinkacc.com – ciscoacclink.com – linkciscoweb.com – fortivpnlink.com – vpnpaloalto.com – linkwebcisco.com 这些页面与每个组织的合法页面非常相似，包括可用的 VPN 组。但是，在某些情况下，威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中，这可能是作为社会工程攻击中的一种策略。 通过这些虚假登录页面，威胁行为者能够收集用户的用户名、密码和令牌，即使存在多因素认证（MFA）也是如此。 如果 MFA 使用推送通知，则威胁行为者会指示用户在社交工程调用期间批准推送通知。在最后一步中，用户被重定向到目标组织的合法 VPN 地址，并可能被要求再次登录，从而加强问题已解决的错觉。 一旦威胁行为者获得对网络的VPN访问权限，他们立即开始扫描网络，以识别横向移动、持久性和进一步权限提升的目标。 GRIT写道：这种钓鱼活动中使用的社会工程类型特别难以检测，因为它通常发生在传统安全工具的可见性之外，例如通过直接拨打用户的手机号和使用短信/文本消息。 除非用户报告收到这些类型的电话或消息，否则安全团队甚至可能察觉不到。威胁行为者还可以通过这种方法针对多个用户，直到他们成功地找到一个容易受到这种攻击的用户。 为了避免安全风险，用户应对过去30天内来自VPN分配IP地址的可疑活动日志进行详细排查。如果发现任何成功的入侵迹象要立即与安全团队沟通，并立刻采取相应措施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409821.html 封面来源于网络，如有侵权请联系删除

安全内参8月29日消息，最近几天，由于俄罗斯导弹和无人机袭击全国关键基础设施，数百万乌克兰人经历了互联网中断。 根据互联网监控服务NetBlocks的数据，截至27日（星期二），乌克兰的全国互联网连接率维持在正常水平的71%左右。 图：乌克兰各地区的互联网连接率（2024年8月23日至26日） 遭俄罗斯大规模空袭后，乌克兰还引入了紧急停电措施。在包括基辅在内的一些城市，电力乃至自来水供应中断了近12小时。 26日，俄罗斯向乌克兰发射了127枚导弹和109架无人机，这是自三年前战争爆发以来规模最大、成本最高的攻击之一。据《福布斯》估计，这次袭击花费了俄罗斯高达13亿美元。 27日，俄罗斯向乌克兰目标发射了10枚导弹和81架无人机，主要针对关键基础设施，包括水电站、能源设施和地下天然气储存库。 由于乌克兰大范围停电，移动运营商的基础设施只能依靠基站的电池和发电机工作。当基站因流量过载时，部分用户的移动连接可能会受到影响。 俄乌网络物理协同攻击越发普遍 俄罗斯一直在不断尝试摧毁乌克兰的能源和互联网基础设施。今年1月初，数十枚俄罗斯导弹袭击基辅，“显著”干扰了该市的互联网连接。2022年10月，俄罗斯导弹破坏了部分电信基础设施和能源设施，乌克兰全国的通信服务也曾遭遇中断。 俄罗斯用户也会在互联网接入和其他数字服务方面遇到问题，这经常是乌克兰发动物理和网络攻击所致。 本周一，NetBlocks报告称，在目前被俄罗斯控制的克里米亚地区，塞瓦斯托波尔市的互联网连接崩溃。同时有报道称，克里米亚发生大规模停电。该地区的俄罗斯领导层声称，事故起因是克里米亚能源分配网络紧急关闭，但也可能与乌克兰对克里米亚的袭击有关。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/4LFK6hEqSAE9wry3H6k76w 封面来源于网络，如有侵权请联系删除

近日，Telegram创始人兼CEO帕维尔·杜罗夫被法国警方逮捕的新闻登上了各大科技媒体热搜和头条，虽然杜罗夫在缴纳500万美元的保释金后于本周三获释，但被调查期间禁止离开法国，并需每周两次向法国警方报到。 过去数日，主流新闻媒体关于杜罗夫被捕原因的报道存在严重误导，诸如“首个因为内容审核问题被捕的大型社交媒体首席执行官”等标题不仅淡化了事件的严重性，也偏离了事件的主题——加密。 本周四巴黎检察官劳雷·贝库奥(Laure Beccuau)发布的一份声明详细列出了对杜罗夫的指控，除了“共谋非法交易、贩毒、诈骗、洗钱、持有和传播儿童性虐待材料、不配合执法部门调查（以及未在指控中列出的对伊斯兰国使用Telegram招募志愿者的担忧）”之外，检方还特别列出了三项与加密有直接关系的指控，包括： 未经认证声明而提供旨在确保机密性的加密服务 未经事先声明而提供并非仅用于确保身份验证或完整性监控的密码工具 未经事先声明而进口用于确保身份验证或完整性监控的密码工具 显然，法国警方选择逮捕杜罗夫而不是Facebook、Instagram或者Signal的首席执行官，绝不仅仅是内容审核问题，而是与Telegram多年来鼓吹自己”不是第一，而是唯一”的加密通讯软件有着密不可分的关系。 约翰霍普金斯大学密码学教授马修格林撰文指出，杜罗夫和Telegram多年来关于其安全性和“端到端加密”的虚假宣传，不仅给自己，也给用户挖了个大坑。 尽管Telegram在加密方面有所宣传，但它的实际加密效果远未达到行业标准。对于那些真正需要高度隐私保护的用户而言，Telegram的安全性值得商榷。未来，如何平衡社交媒体平台的功能与用户隐私保护之间的关系，仍将是一个值得关注的议题。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/b0S24AhymLub5qh-l-mMqw 封面来源于网络，如有侵权请联系删除

Hackread报道，近期Cisco Talos（思科威胁情报团队）发现，BlackByte勒索软件正在对全球企业发起新一轮攻击。BlackByte组织利用VMware ESXi虚拟机监控程序中最近被修补的漏洞，通过VPN访问发动攻击。 思科建议各组织实施多因素认证（MFA）并加强安全措施以降低风险。 被利用的漏洞为CVE-2024-37085，它允许攻击者绕过身份验证并控制易受攻击的系统。除了这个漏洞之外，还观察到BlackByte组织使用受害者授权的远程访问机制，例如VPN。这种策略使得BlackByte在可见性较低的情况下运营，并逃避安全监控系统。 另一个令人担忧的事态发展是该组织使用被盗的Active Directory凭据来传播其勒索软件。这意味着他们可以更快、更有效地在网络内传播感染，从而增加潜在的损害。 思科团队研在8月28日星期三研究结果发布前，与Hackread分享了他们的发现。研究人员认为，BlackByte实际活动比公共数据泄露网站上显示的更活跃。网站只显示了他们成功发起攻击的一小部分，可能掩盖了他们行动的真实范围。 BlackByte针对的5个最主要目标行业：制造业；运输/仓储；专业人士、科学和技术服务；信息技术；公共行政。 研究人员建议各个组织优先考虑修补系统，包括VMware ESXi虚拟机管理程序，为所有远程访问和云连接实施多因素身份验证（MFA），应审核VPN配置，并限制对关键网段的访问。 限制或禁用NTLM的使用，并选择更安全的身份验证方法也非常重要。部署可靠的端点检测和响应（EDR）解决方案可以大大提高安全性。 此外，全面的安全策略应包括主动威胁情报和事件响应能力，以有效保护系统免受BlackByte和类似攻击等威胁。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Ep_KcP3AmAOSGjzs3IZU3w 封面来源于网络，如有侵权请联系删除