谷歌近日宣布将放弃在 Chrome 浏览器中逐步淘汰第三方 cookie 的长期计划。在经历了多年的拖延和行业动荡之后，谷歌的这一戏剧性转变标志着广告商的重大胜利和隐私权倡导者的潜在挫折。 谷歌现在将为用户提供保留或拒绝这些数字跟踪信标的选择，而不是取消这些信标。虽然此举将这家科技巨头定位为消费者控制权的拥护者，但有人认为，这是谷歌为保持其广告主导地位而采取的策略。 谷歌表示：我们将在 Chrome 浏览器中引入一种新的体验，让人们在浏览网页时做出明智的选择，并能够随时调整这种选择，而不是废弃第三方 cookies。 隐私沙盒遭苹果抨击 为此，谷歌曾提出将隐私沙盒（Privacy Sandbox）作为Cookie 的替代方案，此前隐私沙盒的发展历程可谓一波三折，不仅历经了监管审查还有行业反弹，其应用程序接口（Topics API）能够对用户兴趣进行分类，同时不泄露个人数据，但却遭到了苹果公司的强烈批评，苹果公司称其为潜在的用户指纹识别和重新识别工具。 苹果 Webkit 团队本月早些时候表示：用户并不会被事先告知 Chrome 浏览器为他们标记了哪些话题，也不会被告知 Chrome 浏览器将哪些话题透露给了哪些人。这一切都是在后台默认情况下发生的。API的意图是帮助广告商根据每个用户的兴趣向他们投放广告，即使当前网站并不一定暗示他们有这些兴趣。 苹果方面还指出了其潜在的漏洞：这些漏洞可能会让数据经纪人积累大量有关用户上网行为的信息。数据经纪人已经能够读取你不断变化的兴趣，并将其存储在他们对你的永久档案中。现在想象一下，先进的机器学习和人工智能能根据各种兴趣信号组合推断出你的哪些信息。 当数据掮客和追踪者可以对大量人群进行比较和对比时，会出现什么样的模式呢？请记住，他们可以将 Topics API 的输出与他们所掌握的任何其他数据点结合起来，通过对所有数据的分析，为试图得出关于你的结论的算法提供依据。 第三方 Cookie 的决定受到隐私权倡导者的批评 此次谷歌决定保留 Cookie 的决定，是平衡隐私与定向广告经济引擎之间的巨大挑战。虽然谷歌声称会优先考虑用户的选择，但人们对该公司利用其市场力量塑造未来在线追踪的能力仍心存疑虑。 包括英国竞争与市场管理局（CMA）和信息专员办公室（ICO）在内的监管机构对谷歌的决定表示失望，并誓言要对该公司的新方法进行严格审查。 ICO 副专员 Stephen Bonner 表示：我们对谷歌改变计划，不再打算从 Chrome 浏览器中淘汰第三方 cookies 感到失望。从 2019 年谷歌沙盒项目启动之初，我们就认为屏蔽第三方 Cookie 对消费者来说是积极的一步。谷歌提出的新计划是一个重大变化，我们将在获得更多细节后对这一新的行动方案进行反思。 我们将一如既往地支持创建一个更加注重隐私保护的互联网。尽管谷歌做出了这样的决定，但我们仍将继续鼓励数字广告行业采用更私密的第三方 cookies 替代方案，而不是采用更不透明的跟踪形式。 我们将监督该行业如何应对，并在发现包括谷歌在内的所有公司存在系统性违规行为时考虑采取监管行动。 CMA 方面也持类似观点，CMA 现在将与 ICO 密切合作，正在仔细考虑谷歌对隐私沙盒采取的新方法。同时也欢迎大家就谷歌修订后的方法发表意见，包括对消费者和市场结果可能产生的影响。 目前，该行业正在努力应对这一影响深远的变革所带来的不确定性，迎接新时代的到来。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406826.html 封面来源于网络，如有侵权请联系删除

CrowdStrike错误更新导致全球范围Windows蓝屏事件已经发酵数日，该事件被业内人士看作是“历史上最大规模系统崩溃事件”，震惊了整个世界。这次事件并非是某个国家级黑客组织或大师级黑客的杰作，而是CrowdStrike更新文件的一个错误，导致包括机场、银行、政府甚至紧急服务在内的大量关键基础设施系统因蓝屏死机而瘫痪。以下是安全专业人士从这次事件中可以汲取的五点重要教训。 无需幸灾乐祸，警惕害群之马 Crowdstrike大规模系统崩溃事件是过去几天最热门的聊天话题之一，IT和安全专业人士们热衷转发表情包嘲讽该公司犯下的愚蠢错误，但请记住，下一个出现在热搜的可能就是你供职的公司。随着平台化和云化的深入，网络安全市场的市场集中度不断提高，任何一次失误都可能引发全球性的连锁反应。公有云的几次重大停机事故已经引发了全球性的“下云运动”，网络安全行业需要反思如何缓解过度集中化的风险，避免单个企业的失误对整个行业造成毁灭性的打击。 网络攻击还是意外？ CrowdStrike的官方声明否认该事件是“网络安全事件”或者“网络攻击”。但是网络安全的一个关键原则是可用性，从手段和结果来看，对于CIO和CISO来说，这次事件显然与一次大规模的网络攻击没有什么区别（无需支付赎金，但恢复工作仍然极为痛苦）。“一遭被蛇咬十年怕井绳”，此次事件后，相信大量CIO都会对EDR终端代理感到紧张。网络安全行业的其他企业可能会是该事件的最大受害者，网络安全企业与客户之间的基本信任已经被击碎。现在，CISO们需要为服务器和终端上运行的每个安全解决方案重新辩护。接下来的几周和几个月里，CISO们和安全供应商之间将会有很多艰难的对话。 立即对威胁模型进行评估 过去几天经常会看到这样的肤浅言论：“我们用的是Macbook，所以躲过了一劫”或“我们不用CrowdStrike，谢天谢地！”“我们是中资企业，所以不受影响，哈哈哈。”要知道，今天出事的是网络安全巨头CrowdStrike，明天可能就是其他更拉垮的草台班子。现代IT环境是由各种软件代理和厂商产品混合而成，单点故障几乎不可避免。评估这种情况时，我们需要扪心自问：如果我的所有Windows服务器和终端都瘫痪了会怎样？我们能转向基于云的服务吗？我们有其他可用的终端代理吗？可以肯定的是，网络犯罪分子已经看到了这次停机事件造成惊人损失，并在思考如何从中获利（最常见的操作是冒充修复工具或漏洞补丁的网络钓鱼攻击）。 检查你的补丁管理流程 永远不要在周末前或周末期间打补丁。在打补丁时，分阶段进行，而不是批量更新。可以想象，全球数百万IT支持人员会无法理解CrowdStrike这种头部企业居然会忽视这些最基本的流程。即使微软和Crowdstrike发布了修复程序和指南，但手动修复方式对于管理成千上万台服务器/终端的IT团队来说依然是一场噩梦。再加上大多数使用CrowdStrike的公司已经加密了他们的服务器（例如Bitlocker），这让恢复工作的痛苦指数进一步上升。更不用说，基于云的服务器不能简单地进入安全模式进行修复；你必须分离存储，修复它，然后重新连接。这将是对公司灾难恢复流程的巨大考验。幸运的是，已经有许多可用的自动化脚本发布，大大提高恢复流程的效率。如果你所在的（网络安全）公司经常发布补丁，现在是重新评估补丁管理实践的好时机！永远不要在周末打补丁，如果必须这样做，请采用分阶段的灰度更新方法，确保能随时回滚到安全状态。 重新审视你的软件供应链 软件供应链是网络安全最大的盲点之一，业界对开源代码或网络安全企业自身的产品安全往往重视不足。事实上，没有任何软件是100%从头开始制作的，大多是各种软件代码库和依赖关系的混合体。即使你无法剔除这些依赖关系，至少可以深入了解你所拥有的代码资产及其风险状况。要知道，与监控并掌管全球数亿设备的EDR/XDR软件市场相比，Crowdstrike事件只是冰山一角。此外，开源供应链攻击和AI大模型数据泄漏的规模和损失可能会超出你的想象，任何企业，无论是软件供应链的上游还是下游企业，都需要为此类风险做好预案和防御措施。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6DbH46fkk9Yc9s7dN64B9Q 封面来源于网络，如有侵权请联系删除

在网络安全领域，最讽刺的事莫过于一个以数据泄漏和交易为主要“业务”的黑客论坛，其自身用户数据遭到泄露。2022年成立的BreachForums v1黑客论坛的私密会员信息近日在网络上被曝光，为威胁行为者和研究人员提供了深入了解该论坛用户的机会。 规模最大的暗网数据集市 BreachForums是规模最大最知名的数据泄露平台这一，但该论坛并非单一实体，而是多个以数据收集者和威胁行为者社区为依托，进行数据交易、销售和泄露的论坛的统称。这些论坛的鼻祖是RaidForums，但在2022年被FBI查封后，名为Pompompurin的威胁行为者推出了BreachForums（亦称为Breached），以填补市场空缺。BreachForums迅速崛起后，其成员泄露了大量被盗数据，包括美国国会医疗保健提供商D.C. Health Link、RobinHood和通过暴露的API泄露的Twitter数据。然而，在D.C. Health Link数据泄露后不久，论坛所有者Conor Fitzpatrick，即Pompompurin，在2023年3月被FBI逮捕。此后，该论坛的多个版本被创建并被执法部门查封。最新版本由ShinyHunters（现已转交给新管理员）推出，至今仍在运营。 20多万论坛会员信息曝光 我们所称的BreachForums 1.0，即Fitzpatrick在2022年最初创建并最终在2024年被FBI查封的网站，其数据最近遭到泄漏。知名威胁行为者Emo上周泄露了BreachForums 1.0的212,414名成员的个人信息。据Emo称，这些数据直接来自Fitzpatrick，他据称在2023年6月试图以4000美元的价格出售这些数据，当时他正在保释中。Emo表示，这些数据最终被三名威胁行为者购买。Fitzpatrick在2024年1月因违反其审前释放条件（包括使用未受监控的计算机和VPN）再次被捕。目前尚不清楚这是否与他试图出售BreachForums数据有关。 2023年7月，一个名为’breached_db_person’的人士试图在黑客论坛上以10万至15万美元的价格出售论坛数据库。卖家还与Troy Hunt分享了出售的数据，Hunt透露，这些数据包括Emo泄露的数据和其他数据库记录。Hunt随后将这些信息添加到了Have I Been Pwned数据泄露通知服务中。 Emo告诉BleepingComputer，这些数据来自2022年11月的BreachForums数据库备份，是上传到Fitzpatrick的MEGA账户中的最后一个备份。 泄露的数据包含论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及最后一次访问网站的IP地址。BleepingComputer分析了数据库，并确认它包含了许多在原始BreachForums上有账户的研究人员的准确信息。 泄露数据可用于追踪不法分子 这些泄露数据似乎是手动导出的，不是MyBB论坛数据库格式，而是用制表符分隔值导出。尽管数据库很可能在论坛被查封后已经落入执法部门手中，但这些数据对于安全研究人员创建威胁行为者画像仍然有用。利用泄露的电子邮件地址和IP地址，研究人员和执法部门可以将BreachForums成员与其他网站、他们的地理位置以及可能的真实姓名联系起来。同样，2023年5月，RaidForums论坛47.8万名成员数据的数据库也被泄露到网上。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/nrLyxlOxW_XJcjtIu4bk7g 封面来源于网络，如有侵权请联系删除

7月19日，CrowdStrike的故障更新造成了大规模业务中断。威胁行为者正在使用数据清除工具和远程访问工具并假冒CrowdStrike。研究人员和政府机构发现，由于企业正在寻求帮助来修复受影响的Windows主机，近期利用这种情况的网络钓鱼电子邮件有所增加。 官方渠道建立沟通 7月21日，CrowdStrike表示，公司“正在积极协助客户”解决更新错误带来的影响。公司提醒客户，确保他们是通过官方渠道与合法代表沟通，因为“对手和不良行为者可能会试图利用此类事件。” “我鼓励每个人保持警惕，并确保你与官方CrowdStrike代表接触。我们的博客和技术支持将继续提供最新更新的官方渠道。”——CrowdStrike CEO乔治·库尔茨（George Kurtz） 英国国家网络安全中心（NCSC）也发出警告，指出他们观察到网络钓鱼邮件的数量有所增加。自动化恶意软件分析平台AnyRun注意到“模仿CrowdStrike的尝试有所增加，这可能会导致网络钓鱼。” 恶意软件伪装成修复和更新 7月20日，网络安全研究人员g0njxa首次报告首次报告了一起针对BBVA银行客户的恶意软件攻击活动。这次攻击活动假冒CrowdStrike修复更新来诱骗用户下载，而实际安装一个名为Remcos的远程访问木马（Remote Access Trojan，简称RAT）。这个假冒的修补程序是通过一个钓鱼网站portalintranetgrupobbva[.] com，它伪装成西班牙对外银行的内联网门户。 恶意软件加载器伪装CrowdStrike公司的hotfix AnyRun也在推特上发布了类似的活动信息。攻击者通过一个伪装的热修复程序分发了HijackLoader恶意软件，该恶意软件随后在受感染的系统上释放了Remcos远程访问工具，使得攻击者能够远程控制受影响的计算机。 恶意附件推送数据擦除器 在另一个警告中，AnyRun表示攻击者正在分发一个数据擦拭器，声称产品提供CrowdStrike的更新。AnyRun提示，“它通过删除零字节的文件来破坏系统，然后通过Telegram报告。”另外，一个叫Handala的黑客组织称他们在给以色列公司的电子邮件中冒充CrowdStrike分发数据擦拭器。 该组织通过从域名“crowdstrike.com.vc”发送电子邮件来冒充CrowdStrike，让客户创建新工具来使Windows系统重新在线。执行假CrowdStrike更新后，数据擦除器将被提取到%Temp%下的文件夹中，并启动从而销毁存储在设备上的数据。   转自e安全，原文链接：https://mp.weixin.qq.com/s/f6XiCwv8XLcHV3r8SZqYSg 封面来源于网络，如有侵权请联系删除

去年 1 月，俄罗斯黑客尝试了让乌克兰人受冻的方法：一种恶意软件样本，让黑客直接进入乌克兰供暖设施，在严寒的冬季切断数百栋建筑的暖气和热水。 工业网络安全公司 Dragos 周二披露了新发现的与俄罗斯有关的恶意软件样本，分析报告认为该恶意软件在 1 月底针对乌克兰利沃夫的一家供暖设施发动的网络攻击中被使用，导致 600 栋建筑的服务中断约 48 小时。 在这次攻击中，恶意软件修改了温度读数，欺骗控制系统冷却流经建筑物管道的热水，这是黑客直接破坏供暖设施的首例确认案例。 Dragos 的恶意软件报告指出，攻击发生时利沃夫正经历典型的一月寒流，接近该地区一年中最冷的时节。Dragos 分析师 Kyle O’Meara 说：“有人在隆冬时节关掉你的暖气，这真是太糟糕了。” Dragos 将该恶意软件称为 FrostyGoop，它是迄今为止在野外发现的不到 10 个攻击工业系统的代码样本之一，这些代码旨在直接与工业控制系统软件交互，以产生物理效果。 也是迄今为止发现的第一个试图通过 Modbus 发送命令来实现这些效果的恶意软件，Modbus 是一种常用且相对不安全的协议，用于与工业设备进行通信。 Dragos 于 4 月首次发现了 FrostyGoop 恶意软件，当时该恶意软件以多种形式上传到在线恶意软件扫描服务（最有可能是 Google 旗下的扫描服务和恶意软件存储库 VirusTotal，尽管 Dragos 拒绝确认是哪项服务）——可能是恶意软件的创建者上传的，目的是测试它是否被防病毒系统检测到。 Dragos 表示，通过与乌克兰网络安全情况中心（乌克兰安全局网络安全和情报机构的一部分）合作，他们了解到该恶意软件曾被用于从 1 月 22 日开始针对乌克兰西部最大城市利沃夫的一家供暖设施的网络攻击。 Dragos 拒绝透露受害公用事业公司的名称，事实上，该公司表示，由于该公司是从乌克兰政府那里得知这一攻击目标的，因此尚未独立确认这家公用事业公司的名称。 Dragos 对此次攻击的描述与Lvivteploenergo 公用事业公司大约在同一时间发生的供暖中断的报道非常吻合，据当地媒体报道，此次中断导致近 10 万人无法供暖和使用热水。 利沃夫市长 Andriy Sadovyi 当时在Telegram 消息服务上发帖称此次事件为“故障” ，但补充说，“怀疑公司工作系统受到外部干扰，目前正在核实这一信息。” 1 月 23 日，Lvivteploenergo 的一份声明更明确地将此次供暖中断描述为“黑客攻击的结果”。 Lvivteploenergo 和乌克兰安全局均未回应《连线》的置评请求。乌克兰网络安全机构国家特别通信和信息保护局拒绝置评。 Dragos 在对供热设施攻击的分析中表示，FrostyGoop 恶意软件被用来攻击 ENCO 控制设备（立陶宛公司 Axis Industries 销售的支持 Modbus 的工业监控工具），并改变其温度输出以关闭热水流量。 Dragos 表示，黑客实际上在攻击发生前几个月（2023 年 4 月）就利用易受攻击的 MikroTik 路由器作为入口点获得了网络访问权限。然后，他们在网络中建立了自己的 VPN 连接，并重新连接到莫斯科的 IP 地址。 尽管与俄罗斯有关，但 Dragos 表示，它尚未将供热设施入侵事件与其追踪的任何已知黑客组织联系起来。Dragos 特别指出，它尚未将黑客攻击与 Kamacite 或 Electrum 等常见嫌疑组织联系起来，这是 Dragos 内部对一些团体的称呼，这些团体被更广泛地统称为Sandworm，是俄罗斯军事情报机构 GRU 的一个单位。 Dragos 发现，虽然黑客利用对供热设施网络的入侵发送了 FrostyGoop 的 Modbus 命令，这些命令针对 ENCO 设备并破坏了该设施的服务，但该恶意软件似乎托管在黑客自己的计算机上，而不是受害者的网络上。 这意味着，仅靠简单的防病毒软件，而不是网络监控和分段来保护易受攻击的 Modbus 设备，可能无法阻止该工具在未来的使用，Dragos 分析师 Mark “Magpie” Graham 警告说：“它可以远程与设备交互，这意味着它不一定需要部署到目标环境中。”Graham 说。“你可能永远不会在环境中看到它，只能看到它的效果。” 虽然利沃夫供暖设施中的 ENCO 设备是网络内部攻击的目标，但 Dragos 还警告称，它发现的早期版本的 FrostyGoop 被配置成针对可通过开放互联网公开访问的 ENCO 设备。 Dragos 表示，在自己的扫描中，它发现了至少 40 台类似的 ENCO 设备，它们同样存在在线漏洞。该公司警告称，ENCO 控制器主要部署在东欧，包括乌克兰、罗马尼亚和立陶宛。大约有 46,000 台暴露在互联网上的 ICS 设备通过此协议进行通信。 Dragos 表示：“FrostyGoop 能够通过 Modbus TCP 与 ICS 设备进行通信，这威胁到了多个行业的关键基础设施。鉴于 Modbus 协议在工业环境中的普遍性，这种恶意软件可能会通过与传统和现代系统进行交互，对所有工业领域造成破坏。” “我们认为 FrostyGoop 能够与大量此类设备进行交互，我们正在进行研究，以验证哪些设备确实存在漏洞。”Graham 说。 虽然 Dragos 尚未正式将利沃夫袭击事件与俄罗斯政府联系起来，分析师 Graham 本人并不回避将这次袭击描述为俄罗斯对该国发动的战争的一部分——这场战争自 2022 年以来就用炸弹残酷地摧毁了乌克兰的关键基础设施，而网络攻击早在 2014 年就开始了。 Graham 认为，在乌克兰冬季以网络攻击瞄准供暖基础设施实际上可能表明乌克兰人击落俄罗斯导弹的能力不断增强，将俄罗斯推回到黑客破坏的轨道，尤其是在乌克兰西部。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/JuwKahvFvIBM4kcB5TgrLA 封面来源于网络，如有侵权请联系删除

虽然无法切换红灯绿灯，但通过篡改信号时长，依然可以制造出交通堵塞事故；研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 安全内参7月22日消息，一名安全研究人员表示，他发现了一个交通信号控制器的漏洞。恶意黑客或能利用该漏洞改变交通信号灯，制造交通堵塞。 网络安全公司Red Threat的研究员Andrew Lemon近日发表了两篇博客文章，详细介绍了他在调查交通信号控制器安全性时发现的研究结果。 Lemon研究的一种设备型号是Intelight X-1。他表示，在该设备上发现了一个漏洞，允许任何人完全控制交通信号灯。根据Lemon的说法，这是一个非常简单的基础性漏洞：设备暴露在互联网上的网页界面，且没有认证机制。 Lemon告诉外媒TechCrunch：“我简直不敢相信。如此明显的问题居然会被忽略，令我感到震惊。” Lemon说，他试着验证是否可以触发，类似电影《偷天换日》中所展示的场景——黑客将所有十字路口的灯都切换为绿灯。不过，一种名为故障管理单元的设备令这种情况无法成真。 Lemon表示：“我们仍然可以更改信号灯的时间设置。例如，可以将一个方向的切换时间设置为三分钟，另一个方向设置为三秒钟。在物理世界中，这大抵是一种拒绝服务攻击，因此可以堵塞交通。” 目前尚不清楚有多少易受攻击的Intelight设备可以从互联网访问。Lemon表示，他带领的团队发现了大约30个暴露的设备。 研究员称制造商拒绝修漏洞并警告他们 Lemon说，他联系了Intelight的制造公司Q-Free，报告了这个漏洞。但根据Lemon的说法，Q-Free没有回应并与他合作修复这个漏洞，反而给他发了一封法律信件。他在博客文章中发布了该信件的副本。 信件副本中写道：“我们只接受与目前在售的Q-Free产品相关的漏洞报告。我们没有足够的资源来处理对过时产品的分析。”该信件似乎由Q-Free的总法律顾问Steven D. Tibbets签署。 信件副本中还说，Lemon分析的设备并不在售，而且他和Red Threat研究该设备的方式可能违反了美国反黑客法《计算机欺诈和滥用法》。公司没有具体说明Lemon的研究可能如何违反法律。信中要求Lemon和Red Threat承诺不公布漏洞的详细信息，因为这可能危害国家安全。 信中写道：“我们还敦促Red Threat考虑发布对使用Q-Free设备的关键基础设施安全性的影响。与您所述的改善网络安全的目标相反，漏洞的发布可能会鼓励对基础设施的攻击，并给Red Threat带来相关责任。” Lemon表示，他对这封信感到惊讶，并说“真的感觉他们只是想通过法律威胁和其他手段让我保持沉默。” 制造商称产品早已停产，客户应限制公网访问 Q-Free的发言人Trisha Tunilla告诉TechCrunch：“需要指出的是，涉事控制器早在近十年前就停产了。” Tunilla在一封电子邮件中写道：“根据我们的记录，无法确认这些控制器是否都已更新。然而，如果这些旧控制器仍在使用，强烈建议客户立即联系我们，以便我们提供指导和解决方案。” 关于Q-Free总法律顾问发出的信件，Tunilla表示：“这是我们法律部门处理此类询问的标准程序。” Lemon表示，通过研究，他还发现了一些由Econolite制造的交通控制器设备暴露在互联网上，并运行一种可能存在漏洞的协议。 该协议称为NTCIP，是交通信号控制器的行业标准。Lemon表示，对于那些暴露在互联网上的设备，黑客无需登录即可更改系统中的数值。这些数值可以控制灯光闪烁的时间，或者设置十字路口所有灯光同时闪烁。 Lemon说，他没有联系Econolite，因为NTCIP问题已被先前知晓。 Econolite工程副总裁Sunny Chakravarty在接受TechCrunch采访时证实了这一点。Chakravarty告诉TechCrunch，Lemon测试的Econolite设备已“报废多年，所有用户应将这些旧控制器更换为合适的新型产品。” Chakravarty表示：“Econolite强烈建议客户遵循网络安全和访问控制的最佳实践，限制所有关键设备在开放的公共互联网上的访问。如果设备未暴露在开放的互联网，作者的行为是不可能实现的。”   转自安全内参，原文链接：https://www.secrss.com/articles/68350 封面来源于网络，如有侵权请联系删除

近日，网络安全公司趋势科技的分析师发现了Play勒索软件的最新Linux版本变种，专门用于加密 VMware ESXi 虚拟机。 研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。这表明，该勒索组织可能正在扩大其在 Linux 平台上的攻击范围，从而扩大受害者总数，使得他们的赎金谈判更加成功。 由于 ESXi 虚拟机的资源处理效率更高，在企业转而使用 ESXi 虚拟机进行数据存储和托管关键应用程序后，大多数勒索软件组织都将重点转向了 ESXi 虚拟机。 所以一旦企业的 ESXi 虚拟机被破坏将导致重大业务运营中断，而加密文件和备份则会大大减少受害者恢复受影响数据的选择。 Play 勒索软件 Linux 攻击流程，图源：趋势科技 在调查 Play 勒索软件样本时，趋势科技还发现该勒索软件团伙使用了由名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。 成功启动后，Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机，然后开始加密文件（如虚拟机磁盘、配置和元数据文件），并在每个文件末尾添加 .PLAY 扩展名。 趋势科技称，要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密，加密程序将执行以下代码： /bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done" 研究人员在分析时发现，该变种专门针对 VMFS（虚拟机文件系统）设计，VMFS 是 VMware 的 vSphere 服务器虚拟化套件使用的文件系统。 它还会在虚拟机的根目录中投放一张赎金条，该赎金条将显示在 ESXi 客户端的登录门户和虚拟机重启后的控制台中。 Play 勒索软件 Linux 控制台赎金说明，图源：趋势科技 2022 年 6 月，Play 勒索软件首次浮出水面，首批受害者开始在 BleepingComputer 论坛上寻求帮助。 该勒索软件的操作者以从被入侵设备中窃取敏感文件而闻名，他们在双重勒索攻击中使用这些文件，迫使受害者支付赎金，并威胁将被盗数据泄露到网上。 Play 勒索软件的受害者包括云计算公司 Rackspace、加利福尼亚州奥克兰市、汽车零售巨头阿诺德-克拉克、比利时安特卫普市和达拉斯县。 去年12 月，美国联邦调查局在与 CISA 和澳大利亚网络安全中心（ACSC）的联合公告中警告说，截至 2023 年 10 月，该勒索软件团伙已入侵了全球约 300 家组织。 这三个政府机构建议防御者尽可能启用多因素身份验证，保持离线备份，实施恢复计划，并保持所有软件处于最新版本。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406727.html 封面来源于网络，如有侵权请联系删除

据网络安全公司Barracuda近期的一项研究报告，一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件，到目前为止这些攻击已针对至少数百家公司。 这些攻击主要利用了电子邮件安全网关中的URL保护功能，该功能能够检查链接是否指向已知的网络钓鱼或恶意软件网站，并根据结果阻止对该链接的访问或将请求重定向到最终目的地，以此来保护用户免受钓鱼或恶意软件威胁。 从2024 年 5 月中旬开始，Barracuda观察到网络钓鱼攻击利用三种不同的 URL 保护服务来掩盖他们的网络钓鱼链接，且提供这些保护服务的都是信誉良好的合法品牌。 目前还不清楚这些攻击者是如何生成指向其虚假网站的重写 URL， 不过，研究人员推测，他们很可能入侵了企业内部使用这些服务的电子邮件账户，向这些被入侵的账户发送电子邮件（或从这些账户发出电子邮件），以强制重写URL。 随后，只需从生成的电子邮件信息中获取重写的URL，并重复使用来制作新的网络钓鱼电子邮件即可。 在目标域被标记为恶意域之前，这些 URL 将在多个用户的点击中无限期地发挥作用。 一些使用这种技术的钓鱼电子邮件可以伪装成微软的密码修改提醒或 DocuSign 的文档签名请求。 伪装成微软账户密码修改的钓鱼邮件 URL保护功能在实施过程中存在一些争议，最大的一项缺陷是该功能的黑名单制度，难以有效快速更新最新生成的网络钓鱼网站。因为攻击者已经擅长使用便宜的域名生成大量钓鱼URL，当某一个链接被标记为网络钓鱼网站时，可能已经产生了数百名受害者。 另一个缺陷在于该功能会破坏加密电子邮件签名，因为安全电子邮件网关会通过更改链接来修改原始电子邮件。 例如，微软为 Office 365 用户提供了名为 “安全链接 “的功能，在 Outlook 和 Teams 等应用程序中，收到的电子邮件和信息中的链接会被重写为 na01.safelinks.protection.outlook.com/?url=[original_URL]，这一方式过去曾受到安全公司的批评，因为它实际上没有执行动态扫描，且很容易被基于 IP 的流量重定向绕过，或者被使用来自合法和可信域的开放重定向 URL 绕过。 目前，传统的电子邮件安全工具可能很难检测到这些攻击，最有效的防御是通过多层级安全的方法，全面检测和阻止异常或意外活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406740.html 封面来源于网络，如有侵权请联系删除

ESET Research在一个地下论坛上发现了一个针对Android Telegram的零日漏洞广告。 ESET将该漏洞命名为“EvilVideo”，并将其报告给Telegram，Telegram于7月11日更新了该应用程序。 EvilVideo允许攻击者发送恶意的有效载荷，这些载荷以视频文件的形式出现在Android的旧Telegram应用程序中。 该漏洞仅影响Android Telegram 10.14.4及更早版本。 近日， ESET研究人员发现了一个针对Android Telegram的零日漏洞，该漏洞名为“EvilVideo”，从今年6月开始在一个地下论坛出售，价格不详。利用该漏洞，攻击者可以通过Telegram频道、群组和聊天共享恶意的Android有效载荷，并使其看起来像是多媒体文件。 “我们在一个地下论坛上发现了出售该漏洞的广告。在帖子中，卖家展示了在公共Telegram频道中测试该漏洞的截图和视频。我们识别出了有问题的频道，漏洞仍然可用，因此我们可以获得有效载荷并自己进行测试，”ESET研究员Lukáš Štefanko解释说。 发布在地下论坛的帖子 ESET Research对该漏洞的分析显示，它影响Telegram 10.14.4及更早版本。原因可能是特定的有效载荷是使用Telegram API制作的，因为它允许开发人员以编程方式将特制的多媒体文件上传到Telegram聊天或频道。该漏洞似乎依赖于攻击者能够创建一个有效载荷，将Android应用显示为多媒体预览，而不是二进制附件。一旦在聊天中分享，恶意有效载荷看起来就像是一个30秒的视频。 漏洞利用的例子 默认情况下，通过Telegram接收的媒体文件设置为自动下载。这意味着启用此选项的用户一旦打开共享的对话，就会自动下载恶意负载。虽然默认的自动下载选项可以手动禁用，但在这种情况下，仍然可以通过点击共享视频的下载按钮下载有效载荷。 如果用户试图播放“视频”，会触发真正的Telegram弹出错误信息：“应用程序无法播放此视频，是否尝试使用外部播放器？”这是在合法的Android Telegram应用程序源代码中发现的原始Telegram警告，而不是由恶意负载设计和推送的。 警告无法播放“视频” 用户可以选择取消或尝试打开文件。但如果用户选择“打开”，他们还需要允许Telegram应用程序安装Android应用程序包（APK）。在安装之前，Telegram会要求用户启用未知应用程序的安装。因此，用户需要执行一系列操作才能激活恶意载荷，但伪装的文件和Telegram的错误分类仍然引起了明显的安全担忧。 Telegram要求用户允许安装未知的应用程序 在2024年6月26日发现EvilVideo漏洞后，ESET按照协调的披露政策向Telegram报告了该漏洞，但当时没有收到任何回应。7月4日，ESET再次报告了这个漏洞，当天，Telegram联系了ESET，确认其团队正在调查EvilVideo。随后，Telegam修复了这个问题，于7月11日发布了10.14.5版本。该漏洞影响到10.14.4之前的所有版本的Android Telegram，已在10.14.5版本中更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406751.html 封面来源于网络，如有侵权请联系删除

随着全球隐私法规的日益严格，跨国企业在网络安全战略上正面临前所未有的挑战。Gartner最新报告指出，隐私法规的实施可能导致全球IT架构的解体，并预测到2027年，至少25%的跨国企业将因数据主权战略而增加业务单位的交付成本，增幅超过一倍。 地缘政治风险与隐私法规驱动的数据本地化 在欧盟的《通用数据保护条例》(GDPR)、中国的《个人信息保护法》以及巴西的《通用数据保护法》等法规的推动下，跨国企业在全球范围内的IT和安全架构正变得日益复杂。这不仅考验了企业的组织结构和运营模式，也对网络安全战略提出了新的要求。 Gartner研究总监陈延全指出：“跨国企业正在采取多种应用和数据本地化战略，以降低合规风险，并在高度监管的市场中建立竞争优势。然而，随着本地化程度的加深，企业的全球IT架构和安全运营也变得日趋复杂。” 图1：隐私驱动的应用和数据本地化 跨国企业网络安全面临的三大挑战 Gartner指出，跨国企业网络安全面临三大挑战，企业安全和风险管理（SRM）领导者必须与法律和合规领域的专家合作，对网络安全计划进行调整，以更好地支持目标市场的业务运营。三大挑战具体如下： 地理分布式应用和数据托管增加数据访问管理的复杂性 随着合规风险和数据本地化要求的持续增加，跨国企业正在转变其应用和数据架构，从传统的中心化和单例设计模式转向组装式架构。这一转变不仅扩大了企业的攻击面，也增加了数据在不同地区分散化带来的风险。要求数据本地化存储的地区拥有较大规模业务的跨国企业，正在对其企业资源规划（ERP）、客户关系管理（CRM）以及数据和分析平台等中心化应用进行解耦。此举扩大了企业的攻击面。数据在不同地区的分散化，增加了攻击者借助物理或远程手段访问数据的风险。 2022年Gartner首席信息官（CIO）和技术高管调研显示，7%的受访者已就打造组装式企业展开了投资，另有61%的受访者预计将在2024年底之前采取这一行动。 多样化的合规要求将推动跨国企业协调安全标准 数据和应用的本地化实施，需要企业在应用开发和部署过程中，对不同司法管辖区的安全标准进行协调。这要求安全和风险管理（SRM）领导者采取系统化方法，整合各类安全标准，创建统一且适应性强的安全框架。实施数据和应用本地化，通常涉及复制应用和数据存储库，或者从相应国家/地区采购应用。针对特定地区的需求对应用进行调整和优化，为企业提供了一个机会，可以将安全要求嵌入应用的开发过程，而不是等开发完成后再行添加。对于存在解耦需求的应用，鉴于不同司法管辖区采用的安全标准可能并不相同，企业必须在应用开发和部署过程中，对不同的安全标准和要求进行协调。 图2：系统化协调和整合安全标准的方法 数据隔离和数据传输管理挑战 应用和数据的本地化导致了数据的碎片化，引发数据隔离和互操作性的挑战。SRM领导者需要采取综合性方法，全面考虑技术和非技术因素，以支持信息在不同地区间的顺畅流动。 陈延全表示：“数据隔离可能会降低信息的保真度、影响业务连续性并阻碍创新。” 此外，云服务和API的使用，增加了跨国企业数据传输管理出现缺口的风险。跨国企业可以通过实施API网关等安全控制措施来降低此类风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qs3pECspXNqkAOxpNUXP0g 封面来源于网络，如有侵权请联系删除