勒索软件攻击袭击了法国国家博物馆联盟网络，包括巴黎大皇宫和其他博物馆。此次攻击影响了法国各地约 40 家博物馆。该网络中的一些场馆正在举办夏季奥运会的比赛。 此次攻击于周日被发现，影响了法国约 40 家博物馆使用的数据系统。 巴黎当局周二表示，尽管发生了网络攻击事件，但奥运会赛事并未受到影响。 大皇宫举办击剑和跆拳道比赛，而同样属于 RMN 网络的凡尔赛宫则是马术运动和现代五项的场地。 巴黎检察院已指派打击网络犯罪大队下属部门开展调查，以确定攻击的规模和实施者。目前正在努力保护和恢复受影响的系统，初步调查尚未发现任何受感染系统数据泄露的迹象。 据报道，此次事件背后的未具名黑客组织已要求以加密货币支付赎金，并威胁称，如果不支付赎金，他们将在 48 小时内公布加密数据。 卢浮宫馆长马蒂亚斯·格罗利尔 (Matthias Grolier) 在 X 上反驳了有关此次袭击影响到其他博物馆的说法，包括著名的卢浮宫，该博物馆在当前的旅游繁荣时期尤为重要。 据法国媒体Sud Ouest报道，此次攻击导致巴黎大皇宫博物馆关闭系统，以防止攻击蔓延，导致法国多家博物馆的书店和精品店停业。不过，当局已制定解决方案，让这些书店和精品店能够自主运营。 大皇宫博物馆方面表示，此次网络攻击没有对其管理的博物馆造成其他影响，博物馆仍在正常运营。 上周，即将辞职的法国总理加布里埃尔·阿塔尔表示，该国安全部门在奥运会前几天挫败了 68 起网络攻击，其中两起针对奥运场馆。 法国安全机构  ANSSI 表示，所报告的大多数攻击都是低强度的，例如分布式拒绝服务 (DDoS) 攻击，并且没有网络事件影响开幕式或比赛的首项赛事。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Z3V8OSuAeGQy-qmp5voBTw 封面来源于网络，如有侵权请联系删除

日前，Gartner 发布了最新的安全运营成熟度曲线报告（Gartner Hype Cycle for Security Operations, 2024），报告将与安全运营相关的 23 项热点技术按照新技术通往成熟必经的过程进行划分，为技术萌芽期、期望膨胀期、泡沫破裂低谷期、稳步爬升复苏期、生产成熟期五个阶段。 此次报告出现了像对抗性暴露面验证，暴露面评估平台这些新的技术热点，也有过去被认为大热的技术比如 SOAR，在达到成熟大面积应用之前就已过时。 Gartner Hype Cycle for Security Operations, 2024： 面对不断变化的威胁态势，企业率先采用新兴技术可能获得巨大收益，另一方面也可能承担更大的风险，因此识别技术投入的优先级变得尤为重要。 Gartner 根据对企业产生的价值以及技术的目标市场覆盖度，对这些技术进行了应用优先级评估，从而帮助企业安全或信息负责人制定安全战略路线，在恰当时间做出更明智的投资决策。 Gartner Hype Cycle for Security Operations, 2024： 优先级矩阵 新出的这份报告，有几点关键洞察值得关注： TEM、CPS 安全、CAASM 进入期望膨胀期（Peak of Inflated Expectations），需谨慎 Gartner 认为全球企业对于攻击面的关注达到了顶峰，企业利用威胁暴露面管理（TEM）、网络资产攻击面管理（CAASM）、网络物理系统安全（CPS），以及渗透测试即服务（Penetration Testing as a Service）等不同的技术，来提升对于不断扩大的攻击面的可见性，或者验证网络的弹性。 但是，对于这些正处在期望膨胀期的安全技术，Gartner 的建议是企业内部需要提前考虑清楚自身的需求，再开始寻找供应商，或向安全厂商提具体的需求，不然最后很可能受到对当前技术过高的期待影响，而产生一些不切实际的期待。 MDR、NDR、TI 及 CO-MMS 市场价值显著，稳步爬升 对于托管检测和响应服务（MDR）、网络检测和响应（NDR）、威胁情报（Threat Intelligence）以及共管监控服务（Co-Managed Monitoring Services）这几项技术，早期的采用者已经克服了此前的各种障碍，2024年开始为企业带来显著的价值和收益，焕发了新的生机。 例如，像威胁情报技术对企业属于高收益，目标用户市场渗透率已达到20%-50%，当前已进入成熟主流阶段。对于处在该阶段的安全技术，Gartner建议重点进行评估及应用，弥补企业自身在威胁检测以及情报应用上成熟度的不足。 XDR、SOAR 等进入泡沫破裂低谷期（Trough of Disillusionment），需重新评估 2024 年，安全负责人需要对这几项技术进行重新评估，例如数字取证与事件响应（Digital Forensics and Incident Response)，应用过这些技术的大多数企业都出现过被过度承诺结果的情况。 再比如外部攻击面管理（External Attack Surface Management)，身份威胁检测和响应（Identity Threat Detection and Response），在实际应用的过程中，甲方企业对这些技术进行消费和运营业务输出时，准备不足。 对于安全编排自动化响应（SOAR）以扩展检测和响应 (XDR)，面临的问题主要是采用的这些技术跟不上持续变化的需求。 Gartner 建议，企业既需要重新评估这些技术，也需要提升对预算分配与规划的合理性。 EDR、SIEM 进入生产成熟期（Plateau of Productivity） 报告指出，终端检测与响应（EDR）、安全信息与事件管理（SIEM)两项技术目前均已达到成熟阶段，其中 EDR 对于企业而言收益高，且目标用户市场渗透率达到了 50%；而SIEM目前的目标用户市场渗透率达到 20%-50%。 Gartner 认为处于这个阶段的技术已得到广泛应用，而且技术价值和优势也得到了充分证明，建议安全风险部门负责人充分利用该阶段技术降低风险，并将其功能整合应用到更大范围的安全运用生态体系中。 尽管这份报告可以看作是全球安全运营技术的风向标，但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”，并不完全同频。 例如国内终端安全管理平台更多以杀软、桌管包装成 EDR，真正的 EDR 技术在国内尚处于起步阶段，只有少数厂商聚焦在高精准度的 EDR 能力上；国内安全服务市场，更多以 MSS 安全托管服务为主，MDR 发展相对较为早期，企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。   转自Freebuf，原文链接：https://www.freebuf.com/news/407888.html 封面来源于网络，如有侵权请联系删除

近日，达美航空的首席执行官Ed Bastian公开表示，由于CrowdStrike的技术故障，导致该航空公司遭受了高达5亿美元的损失，达美航空已经向CrowdStrike和微软发出了诉讼准备通知。 在7月19日CrowdStrike错误更新引发的全球IT系统崩溃中，美国主要航空公司包括达美航空、联合航空和美国航空都于上周五当日上午短暂停飞。 联合航空和美国航空在周末迅速恢复了运营，而达美航空却花费了比其他航空公司更长的时间恢复运营，其航班中断持续到了接下来的一周，累积取消了超过6000个航班，严重影响了业务正常运行。此外，由于运营混乱期间客户服务质量低下，达美航空还引来了美国运输部的调查。 据报道，达美航空已经聘请了知名律师David Boies，向CrowdStrike和微软发出了诉讼准备通知。Bastian在接受CNBC采访时强调，达美航空别无选择，只能寻求让CrowdStrike赔偿（5亿美元）损失。他指出，除了收入损失外，达美航空还承担了（因航班中断和延误导致的）数千万美元的赔偿和酒店费用。 然而，CrowdStrike坚决否认对此次事故负有全部责任，并指责达美航空试图“甩锅”。 在一封回应达美航空的公开信中，CrowdStrike表示，达美航空对事故的描述带有误导性。 CrowdStrike的律师Michael Carlinsky在上周日的一封信中表示，达美航空编造了一种“误导性的说法”，称CrowdStrike在这次事故中“严重疏忽”，导致达美航空在这次事故中损失了5亿美元。 根据GoUpSec此前的报道，CrowdStrike始终否认该事件是“安全事件”，同时否认自身存在严重过失。 虽然上周三CrowdStrike发布的初步事件调查报告（PIR）的结果显示其更新工具和测试流程存在严重漏洞，但CrowdStrike否认自己在该事件中存在“不负责任”的行为。相反，CrowdStrike认为自己在事件响应中的表现堪称行业楷模，业务严重中断是达美航空自身问题。 CrowdStrike的律师指出，如果采取法律行动，达美航空将不得不解释为何其竞争对手能够更快地恢复运营。他还警告达美航空：“如果达美航空选择这条路，它就必须向公众、股东以及最终的陪审团解释，为什么CrowdStrike能够积极对其行为承担责任，而且是迅速、透明和建设性的，而达美航空却没有。” 面对达美航空的巨额索赔，CrowdStrike还强调，其合同责任上限在“数百万美元”范围内，而非达美航空所声称的5亿美元。 CrowdStrike进一步表示，在事件发生后，他们曾向达美航空提供现场支持，但被告知不需要。同时，CrowdStrike要求达美航空保留与此次事件以及过去五年内其他IT问题相关的所有文件和记录。 目前，达美航空仍在进行内部分析，以汲取此次事件的教训。有业内人士指出，达美航空的遭遇不仅暴露了关键信息基础设施和企业IT系统的脆弱性，也凸显了关键业务过于依赖技术合作伙伴的风险。 达美航空首席执行官Bastian也坦承，达美航空过于依赖微软和CrowdStrike，是该公司遭受如此严重损失的主要原因。他在上周致员工的信中写道，达美航空的IT、运营和客户服务团队正在对此次事件进行深入分析，以期从中吸取教训。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FAoPVv7LRhO8gbsisW1SMQ 封面来源于网络，如有侵权请联系删除

有报道称针对上周末被披露的Apache OFBiz 安全漏洞（CVE-2024-38856）的攻击企图日益增多，使用 Apache OFBiz 的组织被敦促修补一个严重漏洞。 Apache OFBiz 开发人员称，18.12.14 之前的版本都受到影响，18.12.15 包含一个修复程序。 开发人员在一份咨询报告中表示： “如果满足某些先决条件（例如，当屏幕定义没有明确检查用户的权限，因为它们依赖于其端点的配置时），未经身份验证的端点可能会允许执行屏幕的屏幕渲染代码。” 发现该漏洞的 SonicWall 威胁研究人员将其描述为一个严重问题，可能允许未经身份验证的远程代码执行。 SonicWall 解释称：“漏洞的根本原因在于身份验证机制存在缺陷。该缺陷允许未经身份验证的用户访问通常需要用户登录才能使用的功能，从而为远程代码执行铺平了道路。” SonicWall 尚未发现利用 CVE-2024-38856 的攻击。 然而，最近发现的另一个 Apache OFBiz 漏洞似乎已被恶意攻击者利用。该漏洞于 5 月被发现，编号为 CVE-2024-32113，是一个路径遍历错误，可能导致远程命令执行。 SANS 技术研究所的互联网风暴中心报告称，7 月底发现攻击尝试有所增加。 有证据表明攻击者正在试验该漏洞并可能将其添加到 Mirai 僵尸网络变种的攻击中。 Apache OFBiz 是一个用于创建企业资源规划 (ERP) 应用程序的免费框架。OFBiz被多家大型公司使用。大多数用户在美国，其次是印度和欧洲。 SANS 的 Johannes Ullrich 指出：“OFBiz 似乎远不如商业替代方案那么流行。然而，就像任何其他 ERP 系统一样，组织依靠它来存储敏感的业务数据，而这些 ERP 系统的安全性至关重要。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_RfZplteHa9jDl1FXXRqtA 封面来源于网络，如有侵权请联系删除

韩国国家网络安全中心 (NCSC) 警告称，朝鲜黑客劫持 VPN 软件更新中的漏洞来部署恶意软件并入侵网络。该通报认为黑客试图窃取韩国的商业机密。 参与此项活动的两个威胁组织是 Kimsuky (APT43) 和 Andariel (APT45)，它们是受国家支持的黑客组织，之前与臭名昭著的 Lazarus Group 有联系。 NCSC警告称：“研究人员将这些黑客活动归咎于朝鲜侦察总局下属的 Kimsuky 和 Andariel 黑客组织，并指出这两个组织为了特定的政策目标同时瞄准同一领域，这是史无前例的 。” 带有木马的更新和安装程序 在该公告中重点介绍的第一起案件中，日期为 2024 年 1 月，Kimsuky 入侵了韩国建筑行业组织的网站，向访问者传播恶意软件。 根据ASEC 2 月份的报告，当员工试图登录该组织的网站时，他们会被提示安装名为“NX_PRNMAN”或“TrustPKI”的必需安全软件。这些木马安装程序经过韩国国防公司“D2Innovation”的有效证书数字签名，从而有效绕过了防病毒检查。 当安装木马软件时，恶意软件还会被部署来捕获屏幕截图、窃取存储在浏览器中的数据（凭证、cookie、书签、历史记录）以及窃取 GPKI 证书、SSH 密钥、便签和 FileZilla 数据。 此次活动感染了韩国建筑公司、公共机构和地方政府的系统。 Kimsuky供应链攻击概述，资料来源：NCSC 第二起案件发生在 2024 年 4 月，当时 NCSC 表示 Andariel 黑客利用国内 VPN 软件通信协议中的漏洞推送安装 DoraRAT 恶意软件的虚假软件更新。 NCSC 公告解释道：“2024 年 4 月，Andariel 黑客组织利用国内安全软件（VPN 和服务器安全）的漏洞，用恶意软件替换冒充更新文件，向建筑和机械公司分发名为“DoraRAT”的远程控制恶意软件。” NCSC 表示，该漏洞允许黑客向用户电脑发送欺骗数据包，用户电脑会将其错误地识别为合法的服务器更新，从而安装恶意版本。 DoraRAT 是一种轻量级远程访问木马 (RAT)，其功能最少，因此可以更加隐秘地运行。 在特定攻击中观察到的变体被配置为窃取大型文件，例如机械和设备设计文档，并将其泄露到攻击者的命令和控制服务器。 Andariel 供应链攻击概述资料，来源：NCSC NCSC 表示，可能受到黑客攻击的网站运营商应请求韩国互联网和安全局 (KISA) 进行安全检查。建议实施严格的软件分发审批政策，并在最终分发阶段要求管理员身份验证。 其他一般建议包括及时更新软件和操作系统、持续进行员工安全培训以及监控政府网络安全警告，以快速识别和阻止新出现的威胁。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OG17F9CBP2g6871B6HbW8Q 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员发现了一种之前从未见过的间谍软件，这种被称为 LianSpy 的恶意软件至少自 2021 年以来就一直活跃，但由于其“复杂的规避技术”，直到今年春天才被发现和分析。该软件针对俄罗斯的 Android 用户，并且可能会部署到其他地区。 卡巴斯基称，他们在俄罗斯发现了 10 个间谍软件目标，但拒绝透露受害者是谁。研究人员表示，这不是大规模间谍活动，而是间谍软件操作员感染了特定目标。 该工具的开发者和购买者目前仍不得而知。卡巴斯基称，攻击者只使用公共服务（例如俄罗斯 Yandex Disk 云服务）而不是私人基础设施来窃取被盗数据和存储配置命令，因此很难“确定哪个黑客组织是这些攻击的幕后黑手”。 研究人员在周一发布的报告中表示：“LianSpy 背后的黑客采用了多种规避策略，例如利用俄罗斯云服务 Yandex Disk 进行 C2 通信。他们避免使用专用基础设施，并使用许多其他功能来防止间谍软件被发现。其中一些功能表明 LianSpy 很可能是通过未知漏洞或直接物理访问目标手机来部署的。” LianSpy 的功能 LianSpy 会伪装成系统应用程序或金融服务，例如支付宝数字支付应用程序。 如果间谍软件作为系统应用程序运行，它会自动获得进一步利用所需的权限；否则，它会请求屏幕覆盖、通知、后台活动、联系人和通话记录的权限。 一旦激活，该间谍软件会将其图标隐藏在主屏幕上，并使用管理员权限在后台运行。该间谍软件通过拦截通话记录、向攻击者的服务器发送已安装应用程序列表以及记录智能手机屏幕（主要是在 Messenger 活动期间）来悄无声息地秘密监视用户活动。 卡巴斯基表示，LianSpy 是一种后利用恶意软件，这意味着攻击者要么利用 Android 设备中未知的漏洞，要么通过获取受害者智能手机的物理访问权限来修改固件。 目前尚不清楚黑客如何使用他们获得的数据，但他们确保将这些数据安全地存储在他们的服务器上。为此，他们使用了一种加密方案，只有攻击者才能解密被盗信息。 由于用于过滤通知的关键短语部分为俄语，并且 LianSpy 的一些默认配置包括俄罗斯流行的消息应用程序的软件包名称，因此研究人员将这款间谍软件引向了俄罗斯。然而，“这款间谍软件采用的非常规方法也可能适用于其他地区。” 去年 6 月，卡巴斯基发现了另一起间谍活动，名为“三角测量行动”，该活动利用了 Apple 设备中的两个漏洞。该活动自 2019 年以来一直活跃，通过发送带有恶意附件的 iMessage 来攻击目标。 俄罗斯政府将“三角测量行动”行动归咎于美国，声称美国入侵了“数千部苹果手机”，以监视俄罗斯外交官。苹果否认了这些说法，卡巴斯基也没有将“三角测量行动”归咎于任何政府或已知的黑客组织。 卡巴斯基首席执行官尤金·卡巴斯基将之前的攻击活动描述为“一次极其复杂、专业针对性的网络攻击”，影响了“公司高层和中层管理人员等数十名员工的 iPhone”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/au1SPmbe1WU7_rfWxWzTmA 封面来源于网络，如有侵权请联系删除

近日，有研究人员发现了一次大规模的数据泄漏事件，共涉及到大约 900 家公司和组织，其中包括戴尔、Verizon、AT&T、能源部、康卡斯特和大通银行等。 今年 3 月 25 日，Cybernews 研究小组发现了一个可公开访问的网络目录，该目录属于马里兰州的 Simpli 公司（前身为 Charm City Concierge）。 该公司的应用程序允许租用办公空间的公司的员工查看位于同一栋大楼内的商店。它列出了可用的便利设施、工作场所福利和折扣，并使用户能够订购各种服务和产品。 这个开放的网络目录存储了 2024 年 1 月对公司网站和 Simpli 应用程序数据库的备份数据。据悉，此次泄露的应用程序的备份暴露了 10000 名员工的电子邮件地址和来自大约 900 家公司的哈希密码。 包含网站和数据库备份的网络目录被曝光 受影响的公司包括： Capital One 海军分析中心 美国律师协会 微策略 剑桥联营公司 戴尔 威瑞森 康卡斯特 西部交通 WeWork 信托银行 美国电话电报公司 国家残疾人委员会 能源部 大通银行 带备注的订单信息 由于大多数员工都使用公司电子邮件地址注册了 Simpli 服务，因此这构成了重大风险。威胁攻击者有可能通过使用凭据填充攻击，将目标锁定在员工可以访问的更敏感的公司系统上。 Cybernews 的信息安全研究员 Aras Nazarovas 说：虽然员工凭证是以相对安全的格式存储的，但密码仍有可能被破解，尤其是弱密码。如果员工在多个账户中使用相同的密码，被破解的密码就可以用来登录其他更敏感、与工作相关的终端。 建筑物及其租户清单 此次泄露的数据库还曝光了通过该应用程序发出的指令，其中一些指令包含可能涉及敏感业务信息的备注。这些笔记包括来自不同公司的个人之间的会议细节和会议目的。 在开放目录中发现的文件表明，这些信息可能是在该公司将其系统从 Drupal 7 迁移到 Drupal 9 时泄露的。目前 Simpli 公司暂未对此做出回应。 用户凭证 供应链攻击风险 此类泄密事件凸显了使用第三方服务的固有风险，这些服务可能会带来供应链攻击的风险。在这种网络攻击中，威胁者往往会寻找供应网络中的薄弱环节，而不是直接针对一家公司。 攻击者攻破一个供应商，就有可能影响到使用该供应商产品或服务的公司。从第三方供应商处提取的凭据对于已经瞄准一家公司的恶意行为者来说可能非常有用。 零售商 Target 就曾遭受过此类攻击。2013 年，恶意行为者入侵了 Target 的制冷、供暖和空调分包商 Fazio Mechanical，并将恶意软件传播到 Target 的大部分销售点设备。据报道，恶意软件当时共收集到了大约 4000 万张借记卡和信用卡的财务信息。 因此，提供第三方服务的公司和组织应该对网络安全问题格外保持警惕，因为这些公司极有可能会成为攻击者的目标。   转自Freebuf，原文链接：https://www.freebuf.com/news/407784.html 封面来源于网络，如有侵权请联系删除

网络安全公司eSentire 和 Proofpoint 发现，滥用 Clouflare 的 TryCloudflare 免费服务进行恶意软件传播的情况有所增加，涉及多个恶意软件系列。 该攻击方式需要使用 TryCloudflare 创建一个速率限制隧道，该隧道充当管道，通过 Cloudflare 的基础设施将流量从攻击者控制的服务器中继到本地机器。 据观察，利用这种技术的攻击链可传播一系列恶意软件，如 AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT 和 XWorm。 攻击的最初载体是一封包含 ZIP 压缩文件的网络钓鱼电子邮件，该压缩文件包含一个 URL 快捷方式文件，可将收件人引向一个的WebDAV 服务器上的 Windows 快捷方式文件，该服务器由 TryCloudflare 托管代理。快捷方式文件会执行下一阶段的批处理脚本，这些脚本负责检索和执行额外的 Python 有效载荷，同时显示托管在同一 WebDAV 服务器上的诱饵 PDF 文档。 eSentire 指出，这些脚本执行的操作包括启动诱饵 PDF、下载额外的恶意有效载荷以及更改文件属性以避免被检测。 据 Proofpoint 称，这些网络钓鱼邮件以英语、法语、西班牙语和德语编写，电子邮件数量从数百到数万不等，目标是世界各地的组织机构。 这些邮件主题涵盖了发票、文件请求、包裹递送和税收等。 虽然该活动被归因于一个相关活动集群，但并未与特定的攻击者或团体联系起来。据电子邮件安全厂商评估，该活动是出于经济动机。 去年，Sysdig首次记录了利用TryCloudflare进行恶意攻击的情况，一个被称为LABRAT的加密劫持和代理劫持活动通过GitLab中一个现已打补丁的关键漏洞，利用Cloudflare隧道渗透目标并掩盖其命令与控制（C2）服务器。 此外，由于使用WebDAV和服务器消息块（SMB）进行有效载荷的部署，企业必须将外部文件共享服务的访问权限限制在已知的、允许列表的服务器上。“使用Cloudflare隧道为攻击者提供了一种使用临时基础设施来扩展其攻击的方法，并为及时构建和关闭攻击提供了灵活性，”Proofpoint研究人员Joe Wise和Selena Larson表示。 临时 Cloudflare 实例允许攻击者以一种低成本的方法使用辅助脚本进行攻击，同时限制了检测和删除工作的风险。因为攻击者利用其服务来掩盖恶意行为并通过所谓的“依赖信任的服务”（LoTS） 来增强其运营安全性，Spamhaus 项目呼吁 Cloudflare 审查其反滥用政策。   转自Freebuf，原文链接：https://www.freebuf.com/news/407793.html 封面来源于网络，如有侵权请联系删除

近日，Palo Alto Networks的研究人员发现，一个被称为Fighting Ursa（也被称作APT28、Fancy Bear或Sofacy）的与俄罗斯有关联的威胁行为者，通过发布虚假的汽车销售广告来传播HeadLace后门恶意软件，主要针对外交官。 这场活动始于2024年3月，攻击者采用了多年来对外交官有效的网络钓鱼策略，利用能够吸引目标的敏感主题发起攻击，并依赖于公共和免费的服务来托管攻击的各个阶段。 2023年4月到12月期间，该APT分三个不同阶段部署 Headlace，分别使用网络钓鱼、被破坏的互联网服务和本地二进制文件。而这些凭据收集页面旨在针对乌克兰国防部、欧洲交通基础设施和阿塞拜疆的一个智库，通过在合法服务和被破坏的Ubiquiti路由器之间转发请求，绕过双因素认证和CAPTCHA挑战。 乌克兰国防部和欧洲铁路系统的相关网络被破坏后，攻击者能够收集情报以影响战场战术和更广泛的军事战略。此外，他们对阿塞拜疆经济和社会发展中心的兴趣也表明他们有意了解并影响地区政策。Insikt Group推测这次行动旨在影响地区和军事动态。 今年5月，Fighting Ursa利用合法服务Webhook.site通过托管恶意HTML页面启动了感染链，该页面在2024年3月14日提交给VirusTotal，其中包含用于确定访问者的计算机是否运行Windows的脚本。非Windows用户会被重定向到ImgBB上托管的诱饵图片。 HTML 还从 Base64 文本中创建了一个 ZIP 压缩包供下载，并利用 JavaScript 自动完成该过程。攻击者使用了一张奥迪Q7 Quattro SUV的图片作为诱饵，虚假宣传它是“外交用车出售”，其中包括虚假的联系方式以增加网络钓鱼计划的可信度。 ZIP归档包含三个文件：一个伪装成图像文件的合法Windows计算器可执行文件calc.exe（”IMG-387470302099.jpg.exe”），一个DLL文件（”WindowsCodecs.dll”），以及一个批处理文件（”zqtxmo.bat”）。 IMG-387470302099.jpg.exe文件用于加载WindowsCodecs.dll，这是HeadLace后门的一部分，可运行批处理脚本。该脚本执行了一个Base64编码的命令，从另一个webhook[.]site URL检索文件。 Palo Alto Networks的分析报告指出：“批处理文件将从第二个Webhook.site URL下载的内容保存在用户的下载目录中为IMG387470302099.jpg，然后将其移动到%programdata%目录，并更改文件扩展名从.jpg到.cmd。最后，批处理文件执行IMG387470302099.cmd，然后删除自身，以消除恶意活动的明显痕迹。” 专家认为，Fighting Ursa组织将继续在其攻击基础设施中使用合法的网络服务。 Recorded Future的一份最新报告也指出，该组织使用的基础设施一直在不断变化和发展。其他行业报告也展示了该组织在尝试投放HeadLace恶意软件时使用的各种诱饵。 为了防御此类攻击，建议限制对这些类似托管服务的访问，并仔细审查这些免费服务的使用，以识别可能的攻击载体。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407808.html 封面来源于网络，如有侵权请联系删除

近期，Infoblox和Eclypsium的网络安全研究人员，在域名系统（DNS）中发现了复杂的攻击媒介“Sitting Ducks”。Infoblox公司在报告中透露，自2018年以来，Sitting Ducks劫持超过35,000个域名，存在超过100万个易受攻击的目标域。这次攻击是在研究俄罗斯托管的404TDS（一个流量分配系统）基础设施时发现的，系俄罗斯网络犯罪分子参与其中。攻击者在伪装下执行恶意活动，包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。 “Sitting Ducks”攻击与其他控制域名的技术不同，因为它不需要注册商的访问权限，攻击者只需要利用所谓的”无效委托”（lame delegation）即可。 Sitting Ducks flow (Infoblox) 无效委托发生在注册的域名或子域名将权威DNS服务委托给不同于域名注册商的其他提供商时，如果权威名称服务器缺少域名信息并且无法解析查询，这种委托就被称为无效的。当恶意行为者注册了被分配的域名，获得指向该域名的所有域名的访问权限时，就会发生无效委托攻击。此外，攻击者通过利用DNS提供商的漏洞，扫描互联网上具有无效委托的域名，未经授权就声称拥有所有权。他们把劫持的域名创建恶意记录，将流量定向到恶意服务器，并将用户定向到攻击者的网站。根据Eclypsium博客文章所述，“Sitting Ducks”现象有多种变体。它能够利用域名所有者在域名服务器信息中的拼写错误，从而使得攻击者能够注册部分无效域名。Dangling DNS记录，由于配置被遗忘而包含无效信息，可以推广到其他类型的DNS记录。Dangling CNAME攻击将DNS响应重定向到失效的域名，从而允许恶意行为者注册失效的域名并获得血统。经过对十几个DNS提供商域名授权的分析，结果显示，参与者中最显著的是俄罗斯的网络犯罪分子。 利用这种攻击，每天有数百个域名被劫持，这些域名通常是通过所谓的“品牌保护注册商”注册的，或者是注册了外观相似的域名。 媒体呼吁，为了避免Sitting Ducks攻击，域名所有者应该使用独立于其域名注册商的权威DNS提供商。确保域名和子域将名称服务器委托给有效的服务提供商，并询问DNS提供商缓解措施以降低风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/QDInVB-9JghzoCeyLIEXSA 封面来源于网络，如有侵权请联系删除