安全内参7月29日消息，美国白宫管理和预算办公室（OMB）上周五发布了《联邦风险和授权管理计划（FedRAMP）现代化》备忘录（M-24-15），以应对云市场变化和各机构对多样化任务交付的需求，推动联邦政府加速安全采用云服务。 关注快速缓解、自动化等能力 该备忘录旨在通过提高几大战略目标的关注度，从而改革云安全授权计划。例如，备忘录规定FedRAMP需实现“严格审查”功能，并要求云服务提供商（CSPs）快速缓解任何安全架构中的弱点，以保护联邦机构免受最“突出的威胁”。2023年秋天，管理与预算办公室开始听取针对该备忘录草案的公共意见。 备忘录特别强调，应建立自动化流程，用于输入、使用并重用安全评估和审查，以减少参与者的负担，并加快云解决方案的实施进度。 在接受FedScoop采访时，美国联邦政府副首席信息官Drew Myklegard和总务管理局云战略执行主任Eric Mill一致认为，通过该备忘录，两家机构可以集中精力确保各机构成功实现FedRAMP现代化。 Mill表示：“拥有一个明确的操作框架非常有益。”备忘录中的工作展示了“我们如何以更大的信心、更高的可信度……和更强的执行能力来落实FedRAMP现代化。我认为，这对备忘录的执行，以及美国政府和拜登当局落实FedRAMP主要任务来说，不啻于一个福音。” 配套政策应在半年内发布更新 在备忘录发布后，各机构将有180天的时间发布或更新符合备忘录要求的机构范围政策。该政策必须促进使用符合该计划的安全和其他基于风险的性能要求的云计算产品和服务，这些要求由美国管理与预算办公室、总务管理局和网络安全和基础设施安全局确定。 此外，为了保证程序授权的充分性，机构政策“不得假定特定路径或FedRAMP授权的赞助者是不可接受的”。 除了各机构之外，总务管理局需在180天内更新该计划的“持续监控流程和相关文档”，以体现备忘录的原则；一年内制定出FedRAMP组织计划，以鼓励各机构转向非政府特定的云基础设施；18个月内通过机器可读和自动化手段实现授权和持续监控；24个月内确保治理、风险和合规性以及系统清单工具能够使用开放安全控制评估语言（OSCAL）“摄取和生成”工件。 指南还指出，总务管理局“将探索在各种FedRAMP流程中使用适用的新兴技术”。 FedRAMP需在2025和2026财年第二季度向管理与预算办公室提交年度计划，并由总务管理局管理员批准。年度计划必须详细说明项目活动，例如人员配置计划和实施指南要求的预算信息。 备忘录将推动政府IT现代化转型 联邦首席信息官Clare Martorana在给FedScoop的声明中表示：“FedRAMP现代化是政府范围内数字化转型和IT现代化的催化剂。增强的计划将加速安全云的采用，使我们的技术投资与任务需求对齐，并释放资源用于创新，以更快、更高效地向公众提供数字服务。” 在之前的采访中，Myklegard表示，该备忘录将反映已在计划内生效的实践和改进，例如技术咨询小组。备忘录草案中已经概述过这些实施要求。按照Myklegard的说法，公众对这些要求的反馈“非常好”。 部分反馈要求实现自动化，例如采用OSCAL语言“用于数字授权和在云服务提供商与机构之间交换授权，从而提高处理速度”。OSCAL是由社区参与建立和管理、美国国家标准技术研究院推动的数据模型。 Mill承认，对该计划来说，自动化并不是新要求。各方多年来已经做了很多相关工作，出台了“各种备忘录”。《FedRAMP授权法案》也提出了应如何解决这一问题。 Mill说道：“要实现这一目标，需要多个参与者在一段时间内进行大量工作，并且专注于政府内部的技术领导能力。这就是我们正在实现的事情。”   转自安全内参，原文链接：https://www.secrss.com/articles/68590 封面来源于网络，如有侵权请联系删除

2024年巴黎奥运会是数智化程度最高的一届奥运会，同时也是安全风险最高的奥运会。 根据IDC最新发布的研究报告，巴黎奥运会可能是历史上网络安全风险最高的一届奥运会。网络犯罪、黑客活动和网络间谍活动正在不断升级，这使得这场全球最大的体育盛会成为网络攻击者的主要目标。 运动员都想在奥运会上一战成名，斩获金牌，黑客也是如此。“近年来，针对奥运会的网络犯罪和网络威胁急剧增加。这不仅是体育界的最大盛会，可能也是全球最大的“黑客靶场”。各类人群出于各种原因都会将奥运会作为攻击目标，”IDC欧洲安全服务研究经理Richard Thurston表示。 事实上，巴黎奥运会已经经历了一次网络安全事件。7月19日，CrowdStrike的错误更新导致全球大量企业的微软系统发生故障。巴黎奥运会组织者表示，该事件对奥运会运营也造成了轻微影响，仅限于一些制服和奖牌的交付。 根据网络基础设施提供商思科的数据，2021年东京夏季奥运会期间，新冠疫情导致了4.5亿次网络攻击。而思科预计，针对巴黎奥运会（7月26日至8月11日）和残奥会（8月28日至9月8日）的攻击次数将同比增加八倍。 IDC在奥运会前发布的一份研究报告中指出，“巴黎2024将成为历史上网络干扰最严重的一届奥运会”。IDC进一步将其称为“有史以来数字化分享最多的奥运会”，拥有“最复杂的威胁环境”和“攻击者最易执行攻击的高度便利性”。 这一便利性很大程度上归功于人工智能，因为巴黎奥运是生成是AI时代的首届奥运会。 据悉，生成式AI已被用于针对奥运会的复杂在线抹黑活动。2023年，俄罗斯虚假信息组织Storm-1679制作了一段由好莱坞明星汤姆·克鲁斯的深度伪造视频，名为“奥运陷落”（讽刺2013年的动作惊悚片“奥林匹斯陷落”），在巴黎奥运会前诋毁国际奥委会。 Intel 471的高级情报分析师Ashley Jess警告说，网络犯罪分子还在利用AI进行恶意广告和SEO投毒，以在奥运会前后开展攻击。她指出，有人分享了如何使用ChatGPT创建优化搜索引擎的网站，使恶意网站在搜索结果中排名靠前。这种AI战术还可能用于构建假冒奥运会售票网站，并将这些网站推送到在线搜索结果的顶部。为防止票务欺诈，巴黎奥运会组织者指定了唯一的合法售票网站tickets.paris2024.org。然而，截至6月，法国当局已经识别出338个欺诈性的奥运会售票网站。 除了AI增强的恶意广告和网络钓鱼，黑客主义和网络间谍也都将处于政治目标对奥运会发动进攻。乌克兰和加沙当前的地缘政治冲突可能使2024年夏季奥运会特别容易受到黑客主义攻击。 加拿大网络安全中心（CCCS）在5月发布的一份公告中警告了大型全球体育赛事中的网络间谍风险。该公告指出，由于乌克兰战争导致俄罗斯被禁止参加多个国际体育组织（包括IOC和国际足联），这可能促使俄罗斯支持报复性的网络间谍活动。俄罗斯黑客此前制造了最为严重的奥运网络安全事件，包括里约奥运会WADA美国运动员数据泄露以及平昌冬奥会官网和门票闸机被黑客攻击后瘫痪。   转自安全内参，原文链接：https://www.secrss.com/articles/68613 封面来源于网络，如有侵权请联系删除

安全内参7月30日消息，作为奥运会东道主，法国正在接待来自世界各地的运动员和游客。然而，法国关键基础设施在近几天内遭遇了两次袭击，使得奥运会期间的安保问题更加引人关注。 法国企业网络服务商Netalis示，长途光纤电缆在本周一凌晨遭遇了一次“重大破坏”行动。Netalis在推特发帖中表示，此次袭击发生在凌晨2:15左右，影响了多家运营商，需要“数小时内”才能解决该问题。 法国主要网络服务提供商Iliad的企业部门Free Pro也证实了此次袭击，并警告客户其网络会出现“显著减速”。 Iliad公司的发言人表示，网络减速影响了法国101个省中的6个。作为大部分奥运会赛事举办地的巴黎未受影响。 警方向法新社证实，受影响的地区包括罗讷河口省、奥德省、瓦兹省、埃罗省、默兹省和德龙省。 即将离任的法国数字事务初级部长Marina Ferrari表示：“昨晚，我们的电信运营商在多个省份遭到了破坏。我谴责这些懦弱和不负责任的行为。” 在线监测工具DownDetector显示，主要法国服务提供商的故障和中断问题有所增加。 上周五，法国铁路网络遭到大面积精心策划的纵火袭击。即将离任的内政部长Gérald Darmanin于本周一宣布，官方已确定可能与铁路袭击有关的个人“身份”，并补充说，破坏行为“类似于极左翼的操作手法”，但“问题在于这些人是被他人操纵还是代表自己行事。”   转自安全内参，原文链接：https://www.secrss.com/articles/68639 封面来源于网络，如有侵权请联系删除

关键的 API 安全漏洞（在跟踪和记录网络用户活动的 Hotjar 服务和广受欢迎的 Business Insider 全球新闻网站中发现的）利用现代身份验证标准复活了一个长期存在的漏洞，使数百万用户面临账户被接管的风险。 API 安全公司 Salt Security 的 Salt Labs 发现，通过将 OAuth 标准与这两个网站的跨站脚本 (XSS) 漏洞相结合，攻击者有可能暴露敏感数据，并冒充 100 多万个网站的合法用户开展恶意活动。 Hotjar 是一款通过记录用户活动来分析行为的工具，是对谷歌分析（Google Analytics）的补充，它为 100 多万个网站提供服务，其中包括 Adobe、微软、松下、哥伦比亚、RyanAir、迪卡侬、T-Mobile 和任天堂等知名品牌。 “由于 Hotjar 解决方案的性质，它收集的数据可能包括大量个人敏感数据，如姓名、电子邮件、地址、私人信息、银行详细信息，甚至在某些情况下还包括凭证。”Salt Labs 博客文章中关于这项研究的帖子说。 另外，在 Business Insider 网站上发现的另一个同样危险的漏洞也可被利用来执行跨站脚本 (XSS) 攻击，并接管该网站上的账户，而该网站在全球拥有数百万用户。 研究人员警告说，同样的漏洞组合可能在互联网大范围内潜伏，这使得更多的在线服务可能面临同样的问题。 现代身份验证标准 OAuth 是一个相对较新的标准，越来越多地被用于无缝跨网站认证，因为它是许多网站中“用 Facebook 登录”或“用 Google 登录”功能背后的引擎而被人熟知。该标准驱动着负责网站间身份验证切换的机制，允许网站间共享用户数据。但该标准在实施过程中被错误配置，从而创建了跨越多个站点的严重漏洞，影响众多网站。 XSS 作为最常被利用和最古老的网络漏洞之一，它允许攻击者将恶意代码注入合法的网页或应用程序中，以便在网站访问者的浏览器中执行脚本，用于数据盗窃等。 Salt Security 公司副总裁 Yaniv Balmas 表示，一个成功利用结合了这两种攻击手段的攻击者将获得与受害者相同的权限和功能。换句话说，潜在的风险将等同于普通系统用户实际能够进行的操作。 Salt Labs 于 3 月 20 日发现了 Business Insider 网站上的漏洞，并立即通知了该公司，该公司在 3 月 30 日修复了漏洞。而 Hotjar 的漏洞是在 4 月 17 日发现的，披露后两天就得到了缓解。 Salt 研究人员认为，允许攻击者利用 OAuth 和 XSS 组合的漏洞可能在其他网站上潜伏而未被发现，从而使数百万毫无戒心的用户面临潜在的账户被接管风险。 “我们坚信这是一个非常普遍的问题，而且很有可能许多其他在线服务也存在同样的问题。” Balmas 说。 Hotjar 攻击 鉴于 XSS 已经存在了很长时间，大多数网站都有针对利用这种漏洞攻击的内置保护措施。Salt 的研究人员利用 OAuth 在 Hotjar 和 Business Insider 网站的两个独立实例中避开了这些保护。 研究人员操纵了 Hotjar 的社交登录功能，该功能重定向到 Google，通过 OAuth 接收秘密令牌以完成 Hotjar 上的认证。该令牌是一个包含秘密代码的 URL，JavaScript 代码可以读取该 URL，从而创建了一个 XSS 漏洞。 “为了将 XSS 与这个新的社交登录功能结合起来并实现有效的利用，我们使用 JavaScript 代码在新窗口中启动一个新的 OAuth 登录流程，然后从该窗口读取令牌，” 帖子中说。“使用这种方法，JavaScript 代码会在 Google 打开一个新标签页，Google 会自动将用户重定向回 [Hotjar 网站]，并在 URL 中加入 OAuth 代码。” 代码会读取新标签页中的 URL 并从中提取 OAuth 凭证。一旦攻击者获得了受害者的代码，他们就可以在 Hotjar 中启动一个新的登录流程，用受害者的代码替换他们的代码，从而完全接管账户，因此可能暴露 Hotjar 收集的所有个人数据。 利用移动登录 研究人员还设法利用了Business Insider网站代码中集成的社交登录功能，特别是通过移动身份验证，该功能会打开一个新的 Web 浏览器对用户进行身份验证。用户在网络上完成身份验证后，会被重定向到一个端点，而其凭证将作为参数通过网络发送到移动站点。 这个端点仅创建用于支持使用移动应用程序进行身份验证，容易受到 XSS 攻击。因此，如果攻击者能够从 URL 中读取凭证，就可以实现账户接管。 “我们需要做的是编写 JavaScript 代码，启动登录流程，等待令牌在 URL 中可见，然后读取该 URL，”帖子中说。“如果受害者点击了该链接，他们的凭证将被传递给恶意域。” Balmas 强调，虽然在 Hotjar 和 Business Insider 网站上发现的具体漏洞已经得到缓解，但其他网站上也可能存在类似的潜在漏洞，这就意味着网站管理员在实施 OAuth 时需要十分小心，以免被用于类似的攻击场景。 他说：”在实施任何新技术时需要考虑很多问题，当然也包括安全问题。考虑到所有可能选项的可靠实施应该是安全的，不应该让攻击者有机会滥用这种攻击载体”。   转自Freebuf，原文链接：https://www.freebuf.com/news/407325.html 封面来源于网络，如有侵权请联系删除

威胁行为者正在利用Selenium Grid的配置错误来部署修改版的XMRig工具，用于挖掘Monero（门罗币）加密货币。 Selenium Grid是一个流行的开源Web应用测试框架，它允许开发者在多台机器和浏览器上自动化测试。它在云环境中使用，并且在Docker Hub上的下载量超过1亿次。 Selenium测试概述（来源：Wiz） 测试任务通过API交互从中央集线器分发到服务的各个节点上执行，这些节点具有不同的操作系统、浏览器和其他环境变化，以提供全面的测试结果。 云安全公司Wiz的研究人员发现，他们正在跟踪的恶意活动“SeleniumGreed”已经运行了一年多。这个活动利用了服务在默认配置中缺乏认证机制的弱点。 根据Wiz的研究，Selenium Grid默认情况下没有激活的身份验证机制。对于公开的服务，任何人都可以访问应用程序测试实例、下载文件和执行命令。 Selenium 在其文档中警告了互联网暴露实例的风险，建议那些需要远程访问的人通过设置防火墙来防止未经授权的访问。然而，这个警告不足以防止更大规模的错误配置。 Wiz提到，威胁行为者正在利用Selenium WebDriver API来更改目标实例中Chrome的默认二进制路径，使其指向Python解释器。然后，它们使用“add_argument”方法将base64编码的Python脚本作为参数传递。当WebDriver发起启动Chrome的请求时，它会使用提供的脚本执行Python解释器。 攻击中使用的漏洞利用脚本（来源：Wiz） Python脚本建立了一个反向shell，使攻击者几乎可以远程访问实例。接下来，攻击者依靠Selenium用户（seluser），可以在没有密码的情况下执行sudo命令，在被破坏的实例上放置自定义XMRig矿工，并将其设置为在后台运行。 为了逃避检测，攻击者经常使用受损的Selenium节点工作负载作为后续感染的中间命令和控制服务器（C2），以及作为采矿池代理。 Wiz公司使用FOFA搜索引擎对公开网络上暴露的网络资产进行了扫描，结果显示至少有30,000个Selenium实例目前可以通过公共网络访问到。 Wiz在报告中说：“任何缺乏适当身份验证和网络安全策略的Selenium Grid服务版本都容易受到远程命令执行的攻击。” “根据我们的数据，本博客中描述的威胁针对的是Selenium v3.141.59，但它也可能演变为利用更高版本，其他威胁行为者可能已经这样做了，”研究人员指出。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oygRvBpVcyd-nuYYRbR6aQ 封面来源于网络，如有侵权请联系删除

一名未知黑客组织涉嫌参与一场大规模诈骗活动，该活动利用电子邮件安全供应商 Proofpoint 防御系统中的电子邮件路由配置错误漏洞，发送数百万条冒充百思买、IBM、耐克、华特迪士尼等多家知名公司的邮件。 滥用 Proofpoint 基础设施，以客户名义完美伪造电子邮件 Guardio Labs 研究员 Nati Tal在一份报告中表示：“这些电子邮件通过安全验证的SPF 和 DKIM 签名从官方 Proofpoint 电子邮件中继中发出，从而绕过了主要的安全保护措施 —— 所有这些都是为了欺骗收件人并窃取资金和信用卡详细信息。” Guardio Labs将此次活动命名为EchoSpoofing。据信该活动始于 2024 年 1 月，攻击者利用该漏洞平均每天发送多达 300 万封电子邮件，当 Proofpoint 开始采取对策时，这一数字在 6 月初达到 1400 万封的峰值。 Guardio Labs 研究员称：“这个域名最独特和最强大的部分是欺骗方法——几乎没有机会意识到这不是由这些公司发送的真正电子邮件。” 带有经过身份验证的发件人和恶意内容的伪造 Disney.com 电子邮件示例 “EchoSpoofing 非常强大。奇怪的是，它被用于这种大规模网络钓鱼，而不是精品鱼叉式网络钓鱼活动——攻击者可以迅速窃取任何真实公司团队成员的身份并向其他同事发送电子邮件——最终通过高质量的社会工程，获取内部数据或凭证，甚至危及整个公司。” 该技术涉及攻击者从虚拟专用服务器 (VPS) 上的 SMTP 服务器发送消息，值得注意的是，它符合SPF 和 DKIM 等身份验证和安全措施，它们分别是发件人策略框架和域名密钥识别邮件的缩写，是指旨在防止攻击者模仿合法域的身份验证方法。 这一切都归结为这样一个事实：这些邮件是从 Microsoft 365 租户路由的，然后通过 Proofpoint 企业客户的电子邮件基础设施进行中继，以到达 Yahoo!、Gmail 和 GMX 等免费电子邮件提供商的用户。 这就是 Guardio 所说的 Proofpoint 服务器（“pphosted.com”）中“超级宽容的错误配置缺陷”造成的结果，它实际上允许垃圾邮件发送者利用电子邮件基础设施来发送邮件。 转发中继配置允许伪造的标头流经 Exchange 服务器 Proofpoint在一份报告中表示：“根本原因是 Proofpoint 服务器上可修改的电子邮件路由配置功能，允许中继组织从 Microsoft 365 租户发出的出站消息，但没有指定允许哪些 M365 租户。” “任何提供此电子邮件路由配置功能的电子邮件基础设施都可能被垃圾邮件发送者滥用。” 换句话说，攻击者可以利用该漏洞设置恶意 Microsoft 365 租户，并将伪造的电子邮件消息发送到 Proofpoint 中继服务器，然后这些电子邮件会被“回送”，成为冒充客户域的真实数字信件。 而这又通过将 Exchange Server 的外发电子邮件连接器直接配置到与客户关联的易受攻击的“pphosted.com”端点来实现。此外，破解版的合法电子邮件传递软件PowerMTA也用于发送邮件。 Proofpoint 表示：“垃圾邮件发送者使用来自多家提供商的一系列轮流租用的虚拟专用服务器 (VPS)，使用许多不同的 IP 地址从其 SMTP 服务器一次性快速发送数千条邮件，发送到 Microsoft 365，然后中继到 Proofpoint 托管的客户服务器。” “Microsoft 365 接受了这些欺骗性消息，并将其发送到这些客户的电子邮件基础设施进行中继。当客户域在通过匹配客户的电子邮件基础设施中继时被欺骗时，DKIM 签名也会在邮件通过 Proofpoint 基础设施传输时应用，从而使垃圾邮件更容易被传递。” 针对迪士尼 Proofpoint 电子邮件中继服务器的侧信道攻击 人们怀疑，EchoSpoofing 是垃圾邮件运营商故意选择的，作为一种获取非法收入以及避免长期暴露风险的方式，因为通过这种运作方式直接针对公司可能会大大增加被发现的机会，从而有效地危及整个计划。 目前尚不清楚谁是该活动的幕后黑手。Proofpoint 表示，该活动与任何已知的黑客组织均无重叠。 该公司在一份声明中表示：“今年 3 月，Proofpoint 研究人员发现，垃圾邮件活动通过少数 Proofpoint 客户的电子邮件基础设施进行，通过 Microsoft 365 租户发送垃圾邮件。”“所有分析都表明，这一活动是由一名垃圾邮件参与者进行的，我们并未将其活动归咎于任何已知实体。” “EchoSpoofing” 操作活动——每天大约发送的欺骗电子邮件数量 “自发现此垃圾邮件活动以来，我们一直在努力提供纠正说明，包括为客户实施简化的管理界面，以指定允许哪些 M365 租户中继，所有其他 M365 租户默认被拒绝。” Proofpoint 强调，这些活动并未导致任何客户数据泄露，也未造成任何数据丢失。该公司进一步指出，已直接联系部分客户，要求他们更改设置，以阻止出站中继垃圾邮件活动的有效性。 “当我们开始阻止垃圾邮件发送者的活动时，垃圾邮件发送者加快了测试速度，并迅速转向其他客户。”该公司指出。“我们建立了一个持续的流程，每天识别受影响的客户，重新确定优先顺序以修复配置。” 为了减少垃圾邮件，它敦促 VPS 提供商限制其用户从其基础设施上托管的 SMTP 服务器发送大量邮件的能力。它还呼吁电子邮件服务提供商限制免费试用和新创建的未经验证租户发送批量出站电子邮件的能力，并阻止攻击者发送伪造过的他们没有所有权的域名的邮件。 Tal 表示：“对于 CISO 来说，主要要点是要格外注意其组织的云态势，特别是在使用第三方服务时，这些服务将成为公司网络和通信方法的支柱。特别是在电子邮件领域，始终保持反馈循环和自我控制，即使您完全信任您的电子邮件提供商。” “至于其他提供此类骨干服务的公司，就像 Proofpoint 一样，他们必须保持警惕，积极主动地首先考虑所有可能出现的威胁。不仅是直接影响客户的威胁，还有更广泛的公众。 “这对我们所有人的安全都至关重要，而创建和运营互联网骨干的公司，即使是私营公司，也对此负有最高责任。就像有人说的那样，虽然语境完全不同，但在这里却如此贴切：‘能力越大，责任越大。’”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MtgX4BJEdwt1fenbD581Fg 封面来源于网络，如有侵权请联系删除

VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周，微软威胁情报团队表示，勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。 根据微软威胁情报团队的最新警告，该漏洞编号为 CVE-2024-37085，CVSS 严重性评分为 6.8，已被多个已知勒索软件组织滥用，在企业网络上部署数据勒索恶意软件。 VMware 上周发布补丁和解决方法时并未提及野外攻击，同时警告黑客可能利用该漏洞获取对 ESXi 主机未经授权的访问和控制。 VMware 表示：“VMware ESXi 包含身份验证绕过漏洞。VMware 已评估此问题的严重性，将其评为中等严重性范围。”“具有足够 Active Directory (AD) 权限的攻击者可以通过在从 AD 中删除配置的 AD 组（默认情况下为“ESXi 管理员”）后重新创建该组，获得对之前配置为使用 AD 进行用户管理的 ESXi 主机的完全访问权限。” 该公司推出了针对 ESXi 8.0 和 VMware Cloud Foundation 5.x 的补丁，但没有计划推出针对 ESXi 7.0 和 VMware Cloud Foundation 4.x 的补丁。 微软报告称，Storm-0506、Storm-1175 和 Octo Tempest 等知名网络犯罪集团已经利用此 VMware ESXi 漏洞部署勒索软件。 微软表示：“过去三年中，针对并影响 ESXi 虚拟机管理程序的微软事件响应 (Microsoft IR) 活动的数量增加了一倍以上。” 在一个记录在案的案例中，微软表示北美一家工程公司受到了 Black Basta 勒索软件部署的影响，其中包括使用 CVE-2024-37085 漏洞来获取组织内 ESXi 虚拟机管理程序的提升权限。 该公司警告称：“微软发现威胁行为者在域中创建了‘ESX Admins’组并向其中添加了一个新用户帐户……此攻击导致 ESXi 文件系统被加密，并导致 ESXi 管理程序上托管的虚拟机失去功能。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/g_dRPBhX0HQeAPYRH-Dz-g 封面来源于网络，如有侵权请联系删除

周日，亲乌克兰黑客声称入侵了俄罗斯电视台并播放反战信息，将俄罗斯对乌克兰的袭击与 911恐怖袭击相提并论。 亲乌克兰黑客组织“hdr0”的成员在 Telegram 上表示，俄罗斯多个频道（包括 Channel One Russia、Russia-24 和 Russia-1）均受到黑客攻击。该组织并未透露他们如何实施攻击以及有多少人看到了该消息。 这并不是黑客第一次针对俄罗斯电视台。今年 5 月，黑客将俄罗斯电视台播出的胜利日游行（纪念二战中战胜纳粹德国）替换为反战信息。 周末遭到黑客入侵的广播节目播放了俄罗斯袭击乌克兰城市的镜头，以及对乌克兰总统泽连斯基和其他世界领导人的采访摘录，他们谴责俄罗斯在乌克兰实施暴力行为。 上周，该组织声称入侵了克里米亚的一家俄罗斯电视台，播放了泽连斯基的公开讲话。他们还呼吁当地民众采取行动，以防乌克兰军方控制该地区。 8 月份，位于克里米亚的俄罗斯电视台也遭遇过类似的攻击：黑客播放了泽连斯基的讲话，后面跟着一句话：“克里米亚是乌克兰的土地”。 亲克里姆林宫的黑客也在采取类似的策略。 7 月，乌克兰最大的广播公司之一旗下的两个广播电台遭到黑客攻击，传播泽连斯基住院且病情危急的虚假信息。6 月，黑客攻击了乌克兰流媒体服务 Oll.tv，将乌克兰和威尔士之间的足球比赛转播替换为俄罗斯的宣传内容。2 月，乌克兰国家公共广播公司遭受了分布式拒绝服务攻击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/B71KHT8PfiDgZocmi3B-0A 封面来源于网络，如有侵权请联系删除

网络钓鱼攻击仍然是最普遍的网络威胁之一，并经常成为更大规模供应链攻击活动的前兆。最近，Check Point的威胁情报部门发布了 2024 年第二季度网络犯罪分子最常冒充品牌的排名，该排名揭示了哪些公司最常被攻击者用来欺骗用户并窃取个人或支付信息。 2024 年第二季度显示，微软仍然是被冒充最多的品牌，占所有网络钓鱼尝试的一半以上，占 57%。苹果以10%位列第二位，高于今年第一季度的第四位。LinkedIn以7%保持了第三的位置。此外，阿迪达斯、WhatsApp 和 Instagram 自 2022 年以来首次重新出现在前 10 名中。 科技行业仍然是网络钓鱼攻击中最常被欺骗的行业，其次是社交网络和银行业。微软、谷歌和亚马逊等科技公司经常存储敏感数据，包括个人和财务信息，并提供对其他帐户的访问权限，这使它们成为网络犯罪分子的诱人目标。 2024 年第 2 季度冒充网络钓鱼攻击的 10 大品牌： 微软（57%） 苹果 （10%） LinkedIn （7%） 谷歌 （6%） 脸书 （1.8%） 亚马逊 （1.6%） DHL （0.9%） 阿迪达斯 （0.8%） WhatsApp的 （0.8%） Instagram的 （0.7%） 在第二季度，Check Point观察到几起模仿阿迪达斯品牌网站的网络钓鱼活动。例如adidasyeezys[.]CZ 和 Adidasyeezys[.]。这些欺诈性网站在视觉上复制了原始的阿迪达斯官方页面。 近几个月来，利用 Instagram进行在线诈骗的活动迅速增加，导致其排名进入前10。一个例子包括 instagram-nine-flame[.] 上的网络钓鱼页面，通稿模仿 Instagram 登录界面，诱导用户输入账户登录凭证。另一个例子是 instagram-verify-account[.]tk，以要求用户验证其 Instagram 帐户为幌子，敦促用户输入个人信息。 如今，网络钓鱼攻击正持续构成重大安全威胁，用户必须提高警惕，避免个人敏感数据落入网络犯罪分子设下的陷阱。   转自Freebuf，原文链接：https://www.freebuf.com/news/407192.html 封面来源于网络，如有侵权请联系删除

近日，乌克兰和俄罗斯之间的网络战大幅升级，乌克兰网络特工针对俄罗斯顶级银行的自动取款机服务发起了大规模网络攻击。此次攻击始于 7 月 23 日上午，严重扰乱了俄罗斯各地的银行业务，导致客户无法提取现金和使用其他金融服务。 7 月 27 日（星期六），网络攻击持续的第五天，俄罗斯几家主要银行的自动取款机服务均已无法使用。客户在尝试使用自动取款机时发现他们的借记卡和信用卡已经被冻结，切断了他们的资金通道。 乌克兰情报部门的一位消息人士在给《基辅邮报》的书面评论中证实了这些细节，称这次攻击 “势头正猛”，是俄罗斯和乌克兰持续冲突中更广泛的网络行动的一部分。 俄罗斯银行遭受网络攻击的范围 网络攻击导致的业务中断致使多家俄罗斯名银行受到影响，其中包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank 等，客户在使用上述这些银行的自动取款机时均发现了借记卡和信用卡被阻止的情况。此次针对俄罗斯银行的网络攻击还影响了其银行的支付系统和移动应用程序，导致个人银行服务大面积中断，公共交通支付受阻。 一名乌克兰情报人员强调了针对俄罗斯银行的网络攻击的战略意义，指出其目的是破坏俄罗斯的银行业，而银行业在为俄罗斯的军事活动提供资金方面发挥着至关重要的作用。 除银行业外，网络攻击还波及俄罗斯移动和互联网供应商，包括 Beeline、MegaFon、Tele2 和 Rostelecom。在线聊天工具和主要的俄罗斯社交网络也成为攻击目标，这加剧了对数百万俄罗斯公民日常活动的破坏。据报道，乌克兰黑客还入侵了俄罗斯主要银行的数据库，进一步扩大了网络攻击的范围和效果。 此次事件产生的影响 据悉，此次网络攻击事件始于 7 月 23 日（上周二）上午，至今已取得以下成果： 冻结银行支付系统： 攻击导致银行支付系统和移动应用程序瘫痪，使金融交易陷入瘫痪 个人办公中断： 客户的个人银行服务严重中断 公共交通支付终端： 网络攻击禁止了公共交通支付，给日常通勤者带来了不便 移动和互联网供应商服务中断： Beeline、MegaFon、Tele2 和 Rostelecom 都面临服务中断，影响了通信和互联网访问 对在线聊天工具和社交网络的攻击： 流行的在线通信平台和社交网络受到攻击，扰乱了社交互动和信息流 数据库入侵： 乌克兰黑客已进入俄罗斯主要银行的数据库，有可能泄露敏感的金融信息。 这次网络攻击使俄罗斯当局不得不努力减轻损失，恢复受影响服务的正常运行。这次大范围的破坏引发了关于关键金融和通信基础设施在复杂的网络威胁面前的脆弱性的讨论。 此次以金融机构和通信网络为战略目标凸显了现代战争不断变化的性质，在现代战争中，网络能力可以在削弱对手的作战效能方面发挥关键作用。 结语 据乌克兰情报来源显示，此次攻击行动并未结束，后续很可能会产生更具有破坏性的事件。 目前，俄罗斯的银行和服务提供商正在努力从这一前所未有的网络攻击事件中恢复过来，而乌克兰的网络专家很可能将继续致力于破坏对手的金融和通信网络的稳定性。   转自Freebuf，原文链接：https://www.freebuf.com/news/407179.html 封面来源于网络，如有侵权请联系删除