根据 Check Point 与 Hackread.com 共同发布的最新研究报告，Google 工作空间中广泛应用的日程管理工具 Google 日历已成为网络犯罪分子的新攻击目标。 Google 日历成工具：网络攻击者利用 Google 日历的功能模块，发送仿冒合法邀请函的网络钓鱼邮件。 高级攻击策略：攻击者采用 Google 表单和 Google 绘图等多元化工具，规避传统邮件安全防护机制，从而强化攻击的可信度。 影响范围广泛：在短短四周内，已检测到与该攻击活动关联的 4000 余封网络钓鱼邮件，涉及约 300 家品牌企业。 社会工程学手法：网络犯罪分子通过制造紧迫感、恐慌情绪以及冒充身份等手段，诱使受害者点击恶意链接并泄露敏感信息。 防范措施：部署高级邮箱安全监控系统、第三方应用程序使用审计机制以及行为分析技术，对于抵御此类不断演进的威胁具有重要意义。 Google 日历作为 Google 工作空间的重要组成部分，是一款面向全球超过 5 亿用户的日程安排与时间管理工具，支持 41 种语言。 据 CPR 的研究显示，攻击者正试图操控 Google 日历及其相关功能模块，例如 Google 绘图，通过发送伪装成合法邮件的链接，突破传统邮箱安全防线，实施网络钓鱼攻击。这些链接表面上看似指向 Google 表单或 Google 绘图，进一步提升了攻击的可信度。 恶意邮件与 Google 日历配置（来源：CPR） 攻击者最初利用 Google 日历内置的友好功能，提供链接至 Google 表单。在察觉到安全产品能够识别恶意日历邀请后，攻击者迅速调整策略，将攻击手段与 Google 绘图功能相结合。 Check Point 发文指出：网络犯罪分子正在篡改“发件人”头部信息，使邮件看起来像是由已知且合法的用户通过 Google 日历发送的。在短短四周内，网络安全研究人员已监测到 4000 多封此类钓鱼邮件，涉及约 300 家品牌企业。 攻击者利用用户对 Google 日历的信任和熟悉程度，诱使受害者点击恶意链接。他们会伪造看似合法的日历邀请，通常来自受害者熟悉的联系人或组织机构。这些初始邀请可能包含指向 Google 表单、Google 绘图或 ICS 文件附件的链接，后者看似是简单的信息请求或调查问卷，常以 CAPTCHA 或支持按钮的形式呈现。 一旦受害者点击链接，将被重定向至一个精心设计的恶意网站，该网站通过虚假身份验证流程窃取个人信息或公司数据。该网站可能模仿合法的登录页面、加密货币交易所或技术支持页面。攻击者的最终目的是诱骗受害者泄露敏感信息，如密码、信用卡详细信息或个人身份证号码。被盗取的信息可能被用于信用卡欺诈或未经授权的交易，给受害者带来重大风险。 值得注意的是，攻击者通常会叠加社会工程学策略来增强攻击的可信度。他们可能通过制造紧迫感、恐慌情绪或激发好奇心，诱使受害者点击恶意链接。此外，攻击者还可能冒充可信任的个人或组织，以获取受害者的信任。这无疑大大大提高了通过Google日历钓鱼的成功率，企业/组织应保持高度警惕，以应对日益复杂化的网络钓鱼攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/418157.html 封面来源于网络，如有侵权请联系删除

趋势科技公布了威胁组织 Earth Koshchei 开展的大规模流氓远程桌面协议 (RDP) 活动。Earth Koshchei 以间谍活动而闻名，他们利用鱼叉式网络钓鱼电子邮件和恶意 RDP 配置文件来入侵包括政府、军事组织和智囊团在内的高知名度目标。 据描述，该攻击方法涉及 “RDP 中继、恶意 RDP 服务器和恶意 RDP 配置文件”，利用红队技术达到恶意目的。报告称，这种方法使攻击者能够获得受害者机器的部分控制权，导致 “数据泄露和恶意软件安装”。 该活动在 2024 年 10 月 22 日达到顶峰，当时向包括外交和军事实体在内的各种目标发送了数百封鱼叉式网络钓鱼电子邮件。这些电子邮件诱骗收件人打开恶意 RDP 配置文件，将他们的机器连接到地球 Koshchei 的 193 个 RDP 中继站之一。 地球 Koshchei 在 2024 年 8 月至 10 月间注册了 200 多个域名，展示了精心策划的活动。这些域名通常模仿合法的服务或组织，如云提供商和政府实体。此外，该组织还使用 TOR、VPN 和住宅代理等匿名层来掩盖其行动，并使归因复杂化。 该基础设施包括 193 个代理服务器和 34 个流氓 RDP 后端服务器，它们是数据外泄和间谍活动的入口点。 地球 Koshchei 展示了重新利用合法红队工具的敏锐能力。通过采用 2022 年 Black Hills 信息安全博客中描述的技术，攻击者使用 PyRDP 等工具拦截和操纵 RDP 连接。这使他们能够浏览受害者的文件系统、渗出数据，甚至打着 “AWS 安全存储连接稳定性测试 ”等合法程序的幌子运行恶意应用程序。 趋势科技解释说：“PyRDP代理可确保窃取的任何数据或执行的任何命令都会被导回攻击者，而不会引起受害者的警觉。” 该组织的目标受害者多种多样，包括政府、军队、云提供商和学术研究人员。Earth Koshchei（又称 APT29 或 Midnight Blizzard）的典型战术、技术和程序（TTPs）以及受害者研究都支持将此次活动归咎于该组织。 报告指出：“Earth Koshchei 的特点是持续针对外交、军事、能源、电信和 IT 公司。据信，该组织与俄罗斯对外情报局（SVR）有关联。” 为抵御此类攻击，企业应该： 阻止出站 RDP 连接： 将 RDP 流量限制在受信任的服务器上。 检测恶意 RDP 文件： 使用能够识别恶意 RDP 配置文件的工具，如趋势科技的 Trojan.Win32.HUSTLECON.A 检测系统。 加强电子邮件安全： 实施过滤器，防止发送可疑附件，尤其是 RDP 配置文件。   转自安全客，原文链接：https://www.anquanke.com/post/id/302885 封面来源于网络，如有侵权请联系删除

E安全消息，如果正在进行的调查发现TP-Link路由器用于网络攻击并构成国家安全风险，美国政府考虑从明年开始禁止TP-Link路由器。据《华尔街日报》报道，美国司法部、商务部和国防部正在调查这个问题，商务部的一个办公室已经发出了传票。近年来，TP-Link在美国SOHO路由器（针对家庭和小型办公场所）市场份额已增长到大约65%。外媒报道这种增长是通过以低于制造成本的价格销售设备来实现的，这也是司法部正在调查的问题。目前超过300家美国互联网服务提供商将TP-Link设备作为家庭用户的默认互联网路由器。《华尔街日报》表示，TP-Link路由器也出现在包括国防部、美国国家航空航天局（NASA）和美国缉毒局（DEA）在内的多个政府机构的网络中。 TP-Link美国子公司的一位发言人告诉《华尔街日报》：“我们欢迎任何与美国政府合作的机会，以证明我们的安全实践完全符合行业安全标准，并展示我们对美国市场、美国消费者以及应对美国国家安全风险的承诺。” TP-Link路由器僵尸网络被用于密码喷射攻击微软10月份的一份报告，称被黑客入侵的SOHO路由器僵尸网络（被跟踪为Quad7、CovertNetwork-1658或xlogin，由中国威胁行为者操作）主要由TP-Link设备组成。随后美国展开了调查。“微软将受感染的小型办公室和家庭办公室（SOHO）路由器网络跟踪为 CovertNetwork-1658。TP-Link制造的SOHO路由器构成了该网络的大部分。“该公司表示。“微软评估，多个中国威胁行为者使用从CovertNetwork-1658密码喷射操作中获得的凭据来执行计算机网络利用（CNE）活动。” 12月16日，《纽约时报》报道称，拜登政府计划禁止中国电信在美国的最后活跃业务。 2022年1月，美国联邦通信委员会（FCC）以“重大国家安全关切”为由撤销了中国电信美洲的许可证。 2022年11月，FCC禁止销售五家中国公司（即华为技术、中兴通讯、海能达通信、杭州海康威视数字技术、大华科技）制造的通信设备，原因是“对国家安全构成不可接受的风险”。 2020年6月，FCC正式将华为和中兴通讯列为对美国通信网络完整性构成国家安全威胁的实体。   转自E安全，原文链接：https://mp.weixin.qq.com/s/smrntN8VGSmp_t03JXaibA 封面来源于网络，如有侵权请联系删除

卡巴斯基研究人员将多起针对性攻击与一个名为“The Mask”的网络间谍组织联系起来。该 APT 组织于 2019 年和 2022 年针对拉丁美洲的一个组织发起攻击。 威胁组织访问了 MDaemon 电子邮件服务器并使用其 WorldClient 网络邮件组件在受感染的组织内保持持久性。 WorldClient 组件的身份验证面板 卡巴斯基发布的分析报告称：“攻击者使用的持久性方法基于 WorldClient，允许加载处理从客户端到电子邮件服务器的自定义 HTTP 请求的扩展程序。” “这些扩展程序可以通过 C:\MDaemon\WorldClient\WorldClient.ini 文件进行配置” “The Mask”APT组织（又名“Careto” [西班牙语，意为“丑陋的脸”或“面具”]）是一个备受瞩目的受国家支持的黑客组织，其目标一直是政府机构、外交机构、大使馆、外交办公室和能源公司。 卡巴斯基于 2014 年首次发现该 APT 组织，但专家认为该网络间谍活动已持续了五年多。当时，卡巴斯基称这是他们迄今为止见过的最复杂的 APT 行动。 Mask APT 自 2007 年起就已活跃，它展示了使用复杂植入物的能力，通常通过0day漏洞进行传播。 专家们尚未确定该 APT 组织的来源，但他们还注意到该组织讲西班牙语，并且针对全球 30 多个国家。 在最近的攻击中，The Mask 使用恶意扩展进行侦察、文件系统交互和有效载荷执行。 2024 年初，攻击者利用 hmpalert.sys 驱动程序和 Google Updater 部署了一个名为 FakeHMP 的新植入程序，可实现文件检索、键盘记录、屏幕截图和其他有效载荷。他们还部署了麦克风录音机和文件窃取程序。 在调查 2022 年的攻击时，研究人员注意到受害组织在 2019 年也遭受过使用“Careto2”和“Goreto”框架的攻击。攻击者使用加载器、安装程序和辅助注册表文件部署了 Careto2，然后通过 COM 劫持保持持久性。该框架从虚拟文件系统加载插件，插件名称被哈希化为 DJB2 值。 “距离我们上次看到 Careto 网络攻击已经过去了 10 年，但该攻击者仍然像以前一样强大。这是因为 Careto 能够发明非凡的感染技术，例如通过 MDaemon 电子邮件服务器持久化或通过 HitmanPro Alert 驱动程序植入加载，以及开发复杂的多组件恶意软件。” 报告总结道。“虽然我们无法估计社区需要多长时间才能发现该攻击者的下一次攻击，但我们相信他们的下一次活动将与之前的一样复杂。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7C4Xm3xCiGziXGXwr4SUGg 封面来源于网络，如有侵权请联系删除

E安全消息，黑客组织TIDRONE以针对台湾国防和无人机行业而闻名，现已将业务扩展到韩国，利用企业资源规划（ERP）软件部署CLNTEND后门恶意软件。AhnLab安全情报中心 (ASEC) 近期揭露了TIDRONE策划的一系列针对韩国公司的网络攻击。TIDRONE最初于2024年9月由Trend Micro发现，与一个讲中文的威胁组织有关。他们的活动以台湾组织为目标，现在扩展到韩国，尤其是小型ERP解决方案。ASEC表示：“自2024年7月以来，该集团也一直在利用韩国ERP软件……可能由小公司开发并分发给少数韩国公司。使用ERP软件作为攻击媒介突显了该组织对供应链的战略目标，特别是那些分发范围有限且在安全性方面缺乏透明度的软件。这些攻击涉及DLL side-loading，这是一种众所周知的技术，允许恶意软件以合法程序为幌子执行。分发过程遵循两个主要模式： 1. 定制化ERP利用：小规模ERP开发商为每个客户提供量身定制的软件，给攻击者提供了插入恶意软件的机会。ASEC观察到这些ERP的恶意版本“大约4MB大小”，而合法版本“大约20MB”。 2. Dropper安装：攻击者分发包含安装程序（droppers）的ERP软件版本，这些安装程序会同时安装ERP软件和CLNTEND恶意软件。 恶意加载器经常滥用合法的可执行文件，例如： winword.exe（Microsoft Word） VsGraphicsDesktopEngine.exe rc.exe 该恶意软件会丢弃wwlib.dll和vsgraphicsproxystub.dll等文件，从而启用旁加载来解密和执行内存中的CLNTEND有效负载。 CLNTEND被描述为远程访问木马（RAT），能够与命令和控制（C2）服务器进行复杂的通信。 ASEC解释说：“与CXCLNT不同，CLNTEND以支持各种通信协议而闻名，例如TCP（原始套接字、Web套接字）、TLS、HTTP、HTTPS和SMB。” 恶意软件的加密数据文件（例如wctE5ED.tmp）使用FlsCallback等高级混淆技术进行解密，这进一步使研究人员的分析复杂化。 该恶意软件使用硬编码路径进行执行和持久化。一些观察到的路径包括： C:\AMD\Chipset_SoftWare\VsGraphicsDesktopEnginese.exe C:\NVIDIA\DisplayDriver\rc.exe C:\ProgramData\Microsoft OneDrive\setup\nir.exe 这凸显了TIDRONE的一贯策略，即将恶意组件混合到可识别的目录中以逃避检测。 TIDRONE组织通过ERP利用针对韩国公司，展示了供应链攻击日益增长的复杂性。利用被企业信任但开发时安全监管有限的ERP软件，确保了该组织对脆弱系统的更广泛访问。 ASEC总结道：“最近识别出的攻击案例涉及利用ERP，这些ERP被怀疑是由一个小开发公司创建的。” 建议依赖ERP系统的组织（尤其是来自较小供应商的组织）仔细检查其软件供应链，实施更严格的监控机制，并定期更新其端点防御措施，以降低此类高级威胁带来的风险。   转自E安全，原文链接：https://mp.weixin.qq.com/s/oT4Ajv8SO4ShPfJv6GDdKQ 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，当地时间12月17日，爱尔兰数据保护委员会（DPC）以Facebook涉嫌泄露2900万用户个人数据，违反了《通用数据保护条例（GDPR）》相关规定为由，对其母公司 Meta 处以 2.51亿欧元（约2.64亿美元）罚款。 该事件被指由未经授权的第三方对用户访问令牌的利用，导致敏感用户数据如姓名、电子邮件地址、电话号码和地理位置等被暴露，还对儿童造成了影响。尽管 Facebook  发现后立即采取了纠正措施，但该事件仍然违反了几条 GDPR 条款： 第 33 条第 3款：不完整的泄露通知细节——罚款 800 万欧元 第 33 条第 5款：对泄露事实/补救措施的记录不足——罚款 300 万欧元 第 25 条第 1款：未将数据保护嵌入系统设计中——罚款 1.3 亿欧元 第 25 条第 2款：未将数据处理限制在必要范围内——罚款 1.1 亿欧元 DPC副委员 Graham Doyle表示，此处罚突显了在设计和开发周期中未能融入数据保护要求将会给个人带来非常严重的风险和伤害，包括对个人的基本权利和自由构成风险。 对此，Meta向BleepingComputer表示，这一处罚与2018 年的数据泄露事件有关，已在确定问题后立即采取了补救措施，并主动通知了受影响的用户以及爱尔兰数据保护委员会。 近期Meta已在各地背负了多项罚款。11月4日，韩国个人信息保护委员会以违反《个人信息保护法》为由，对Meta 处以216 亿多韩元（至少1500万美元）罚款；同月，印度竞争委员会以Meta强迫 WhatsApp 用户同意与旗下其他 平台全面共享数据为由，对其开出2500 万美元罚单。 就在最近，Meta同意支付5000万澳元（约3160万美元）以了结因剑桥分析公司丑闻而进行的旷日持久的法律诉讼，该公司曾被曝未经许可保留了数百万Facebook澳大利亚用户的个人数据，并将其用于 This is Your Digital Life 应用程序，这些数据可能被滥用于政治分析。   转自Freebuf，原文链接：https://www.freebuf.com/news/417970.html 封面来源于网络，如有侵权请联系删除

Ivanti 解决了其云服务设备（CSA）解决方案中的一个关键身份验证绕过漏洞。 Ivanti 解决了影响其云服务设备（CSA）解决方案的一个关键身份验证绕过漏洞，该漏洞被追踪为 CVE-2024-11639（CVSS 评分 10）。 远程未认证的攻击者可以利用该漏洞获得管理员访问权限。 这个漏洞是由 CrowdStrike 高级研究团队发现的，影响 5.0.2 及之前版本。 “在 Ivanti CSA 5.0.3 之前的版本的管理员网络控制台中存在一个身份验证绕过问题，允许远程未认证的攻击者获得管理员访问权限。”公司发布的公告中写道。 该公司还修复了一个关键的 SQL 注入漏洞，该漏洞被追踪为 CVE-2024-11772（CVSS 评分 9.1），影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 公司解决的第三个问题是另一个关键的 SQL 注入漏洞，被追踪为 CVE-2024-11773（CVSS 评分 9.1），同样影响 Ivanti CSA 5.0.3 之前版本的管理员网络控制台。具有管理员权限的远程认证攻击者也可以利用该漏洞执行任意 SQL 语句。 Ivanti 发布了 CSA 5.0.3 版本来解决上述问题，并指出公司不知道有在野利用这些漏洞的攻击。 “在我们公开披露之前，没有客户被这些漏洞所利用的消息。这些漏洞是通过我们的负责任披露计划被披露的。”公告总结道，“目前，没有已知的公开利用这些漏洞的情况，也无法提供妥协指标。” 早在 10 月初，这家软件公司就警告了其云服务设备（CSA）中的三个新的安全漏洞（CVE-2024-9379、CVE-2024-9380 和 CVE-2024-9381），这些漏洞正在野外攻击中被积极利用。 以下是这三个漏洞的描述： CVE-2024-9379（CVSS 评分 6.5）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的 SQL 注入。具有管理员权限的远程认证攻击者可以利用该漏洞执行任意 SQL 语句。 CVE-2024-9380（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前版本的管理员网络控制台中的操作系统命令注入漏洞。具有管理员权限的远程认证攻击者可以利用该漏洞实现远程代码执行。 CVE-2024-9381（CVSS 评分 7.2）—— Ivanti CSA 5.0.2 之前的版本中的路径遍历问题。具有管理员权限的远程认证攻击者可以利用该漏洞绕过限制。 威胁行为者将这些三个漏洞与 CSA 零日漏洞 CVE-2024-8963（CVSS 评分 9.4）链接起来，该漏洞在 9 月被软件公司解决。 威胁行为者可以利用这些漏洞在易受攻击的 CSA 网关上执行 SQL 注入攻击、通过命令注入执行任意代码，并利用路径遍历弱点绕过安全限制。 “我们了解到有限的客户运行 CSA 4.6 补丁 518 及之前的版本，当 CVE-2024-9379、CVE-2024-9380 或 CVE-2024-9381 与 CVE-2024-8963 链接时，这些客户遭到了利用。”Ivanti 发布的公告中写道，“我们没有证据表明其他漏洞在野外被利用。这些漏洞不影响 Ivanti 的任何其他产品或解决方案。”     转自安全客，原文链接：https://www.anquanke.com/post/id/302694 封面来源于网络，如有侵权请联系删除

一种新近开发的技术，利用了Windows的一个辅助功能框架——UI Automation（UIA），来执行多种恶意活动，同时巧妙地避开了端点检测和响应（EDR）解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报告中指出：“要利用这项技术，必须说服用户运行一个利用UI Automation的程序。”这可能导致隐蔽的命令执行，进而窃取敏感数据、将浏览器重定向至网络钓鱼网站等。 更糟糕的是，本地攻击者可能会利用这一安全漏洞执行命令，从Slack和WhatsApp等消息应用中读取或发送消息。此外，这种技术还可能被用来通过网络操控用户界面元素。 UI Automation最初随Windows XP和Microsoft .NET Framework一同推出，旨在提供对各种用户界面（UI）元素的程序化访问，并帮助用户通过辅助技术产品（如屏幕阅读器）来操作这些元素，它也可用于自动化测试场景。 微软在一份支持文件中提到：“辅助技术应用通常需要访问受保护的系统UI元素，或者可能以更高权限运行的其他进程。因此，辅助技术应用必须获得系统的信任，并以特殊权限运行。” “要访问更高权限级别的进程，辅助技术应用必须在应用的清单文件中设置UIAccess标志，并由具有管理员权限的用户启动。” 与其他应用中的元素进行UI交互，是通过组件对象模型（COM）作为进程间通信（IPC）机制来实现的。这使得创建UIA对象成为可能，通过设置事件处理程序，在检测到特定UI变化时触发，从而与焦点应用进行交互。 Akamai的研究发现，这种方法也可能被滥用，允许恶意行为者读取或发送消息、窃取在网站（如支付信息）中输入的数据，并在浏览器中当前显示的网页刷新或更改时执行命令，将受害者重定向至恶意网站。 Peled指出：“除了我们可以在屏幕上与之交互的UI元素外，还有更多的元素被预先加载并存储在缓存中。我们也可以与这些元素交互，比如阅读屏幕上未显示的消息，甚至在屏幕上不显示的情况下设置文本框并发送消息。” 需要指出的是，这些恶意场景都是UI Automation的预期功能，类似于Android的辅助服务API已经成为恶意软件从受感染设备中提取信息的常用手段。 Peled补充说：“这归根结底是应用程序的预期用途：这些权限级别必须存在才能使用它。这就是为什么UIA能够绕过Defender——应用程序没有发现任何异常。如果某功能被视为特性而非缺陷，机器的逻辑就会遵循这一特性。” Deep Instinct披露，分布式COM（DCOM）远程协议允许软件组件通过网络通信，可能被利用来远程编写自定义有效载荷，创建嵌入式后门。 安全研究员Eliran Nissan表示：“这种攻击允许在目标机器上编写自定义DLL，将它们加载到服务中，并使用任意参数执行它们的功能。”这种后门式攻击滥用了IMsiServer COM接口。 Nissan说：“到目前为止，DCOM横向移动攻击的研究主要集中在基于IDispatch的COM对象上，因为它们可以被脚本化。”新的“DCOM上传和执行”方法“远程将自定义有效载荷写入受害者的[全局程序集缓存]，从服务上下文执行它们，并与它们通信，有效地充当嵌入式后门。这里的研究证明，许多意想不到的DCOM对象可能被用于横向移动，应该对齐适当的防御措施。”     转自Freebuf，原文链接：https://www.freebuf.com/news/417529.html 封面来源于网络，如有侵权请联系删除

一项全球执法行动成功打击了27个用于发起分布式拒绝服务（DDoS）攻击的压力测试服务，并将它们作为一项名为PowerOFF的多年国际行动的一部分而下线。 这项由欧洲刑警组织协调、涉及15个国家的努力，拆除了几个启动器和压力测试网站，包括zdstresser.net、orbitalstress.net和starkstresser.net。这些服务通常利用安装在受感染设备上的僵尸网络恶意软件，代表付费客户对他们的目标发起攻击。 此外，与非法平台有关的三名管理员在法国和德国被捕，计划对超过300名用户进行操作活动。 欧洲刑警组织在一份声明中说：“这些被称为‘启动器’和‘压力测试’网站的平台，使网络犯罪分子和黑客活动分子能够用非法流量淹没目标，导致网站和其他基于网络的服务无法访问。”声明还指出：“发起此类攻击的动机各不相同，从经济破坏、财务收益到意识形态原因，如KillNet或Anonymous Sudan等黑客活动团体所展示的那样。” 荷兰警方在一份协调声明中表示，已启动对四名年龄在22至26岁之间的嫌疑人的诉讼，他们分别来自Rijen、Voorhout、Lelystad和Barneveld，涉嫌发动数百次DDoS攻击。 参与PowerOFF行动的国家包括澳大利亚、巴西、加拿大、芬兰、法国、德国、日本、拉脱维亚、荷兰、波兰、葡萄牙、瑞典、罗马尼亚、英国和美国。 这一发展是在德国执法当局宣布破坏一个名为dstat[.]cc的犯罪服务一个月后，该服务使其他威胁行为者能够发起分布式拒绝服务（DDoS）攻击。 本月早些时候，网络基础设施和安全公司Cloudflare表示，在美国由Cloudflare保护的购物和零售网站在黑色星期五/网络星期一购物季节期间，DDoS活动显著增加。 该公司还透露，2024年其系统缓解了全球6.5%的潜在恶意或客户定义原因的流量。在上述时间段内，受到攻击最多的行业是赌博/游戏行业，其次是金融、数字原生、社会和电信行业。 这些发现还跟随着一个“普遍存在”的配置错误漏洞的发现，该漏洞存在于实施基于CDN的Web应用防火墙（WAF）服务的企业环境中，这可能允许威胁行为者绕过针对网络资源设置的安全防护，发起DDoS攻击。这种技术被代号命名为Breaking WAF。 Zafran研究人员表示：“这种配置错误源于现代WAF提供商同时充当CDN（内容分发网络）提供商，旨在为Web应用程序提供网络可靠性和缓存。”这种双重功能是CDN/WAF提供商普遍存在的架构盲点的核心。 为了减轻攻击带来的风险，建议组织通过采用IP白名单、基于HTTP头的认证和相互认证的TLS（mTLS）来限制对其Web应用程序的访问。       转自安全客，原文链接：https://www.anquanke.com/post/id/302697 封面来源于网络，如有侵权请联系删除

美国网络安全战略专家、新锐网安公司SentinelOne首席安全顾问摩根·莱特（Morgan Wright）日前撰文称，特朗普第二任期政府已表态减少物理战争，网络战将是替代选择，预计针对美军进攻性网络行动的管控政策将进一步宽松，以实现美国的全球优势。以下为全文翻译，安全内参做了少量编辑。 美国网络司令部和国家安全局（NSA）前负责人保罗·仲宗根将军（Paul Nakasone）有一句名言，能最恰如其分地概括下届特朗普政府将面临的网络安全挑战。他曾说：“如果我们发现自己只在内部网络进行防御，我们已经失去了主动权和优势。” 网络空间威胁态势每天都在变化。虽然新的AI技术将在打击对手方面发挥重要作用，但一项更具进攻性的网络政策可能成为美国能够部署的最强大的武器。 特朗普政府即将于明年1月上台，人们不禁要问：在未来的几个月和几年中，我们是否会看到更多进攻性的网络行动？ 对此，摩根·莱特认为答案是肯定的。启动一场传统战争与派出一支网络战队截然不同。传统战争风险高代价大，而网络战则完全相反。 美军进攻性网络行动近年频次暴涨 按照惯例，美国在非战区或未明确敌对状态的情况下展开军事行动，需要得到总统批准。美国法典第10编（武装部队规则）是军事权力的基础。 然而，针对本·拉登的代号为“海神之矛行动”的任务则是根据美国法典第50编（间谍活动与秘密行动规则）进行的。这项由海豹突击队第六分队执行的情报导向行动，尽管取得了成功，但必须先经过总统批准。这是一个漫长且复杂的过程。 与之类似，针对伊朗核设施的代号为“奥林匹克行动”的知名网络破坏任务，在连续两届美国政府中都需要总统授权。这一过程同样繁琐。这些行动虽然本质上是网络作战，但目标均是固定的物理设施。 网络战争需要不同的政策和全新的思维方式。奥巴马政府期间出台总统政策指令（PDD-20）要求，进攻性和防御性网络行动必须经过白宫多次审批。这一规定导致行动速度大幅放缓，不是因为技术能力，而是政策约束。 2018年，特朗普第一任期内的政府开始转向新方法。《第13号国家安全总统备忘录》（NSPM-13）授予国防部长更大的权限，以开展进攻性网络行动。结果是短短几个月内，美国进行的网络空间行动数量超过了过去10年的总和。这一策略被称为“持续交战”。 据美媒C4isrnet 2018年的报告显示，这些更具进攻性的网络活动，帮助美国军方在应对对手方面更加高效。然而，进攻性军事网络行动的性质，决定了它们通常属于机密。美国的机密政策会产生一个问题，人们几乎从未听闻成功案例，失败案例却在国会监督框架下被广泛讨论。 网络威胁态势不断恶化将推动管控政策进一步宽松 美国持续面临来自俄罗斯、朝鲜和伊朗等敌对国家不断演变的众多威胁，以及代理人和跨国网络犯罪组织的持续攻击。值得注意的是，一些新的变化正在发生，而新的应对方法可能对未来的网络空间政策产生重大影响。 2021年5月，拜登总统因太阳风事件（国家支持的网络威胁行动）和Colonial管道事件（跨国网络犯罪组织攻击）发布了网络安全行政命令（EO 14028）。该命令不仅要求实施多因素认证、加密等基础网络安全工具，还对政府传统上采用的应对方法提出质疑，呼吁采用现代化解决方案。 另一起更近期的网络事件，由外国支持的“盐台风”针对美国电信行业的攻击。这引发了更多要求建立独立美国网络部队的讨论。虽然支持与反对的争论仍在继续，但在今年4月，美国的最大网络对手已经成立了专门的网络空间部队。 未能阻止外国实施激进网络间谍活动的代价越来越大。外国黑客持续窃取美国国防等领域的知识产权。朝鲜持续通过远程IT工作者骗局寻找新的方式获取流动资金，以资助其军事与核计划。伊朗也表示，将扩大铀浓缩规模，并积极开展低风险的网络攻击行动。 俄罗斯同样不容低估。即使在乌克兰战争期间，俄罗斯仍然对美国关键基础设施实施攻击。 美国前总统西奥多·罗斯福有一句名言：“说话温和，但手持大棒。”在网络空间，这根“大棒”并不是花哨的AI技术、军事硬件或最新的小工具，而是一项明确的政策，并辅以这些技术工具作为支撑。 真正的成功标准不是对敌人成功攻击的次数，而是敌人对美国的攻击完全不存在。 即将上任的特朗普政府已明确表示，他们更倾向于减少动能战争。如果这一目标真正实现，将更多是因为政策的调整，而非技术上的突破。可以预见，政策将更多地聚焦于第五领域（网络空间）的战争。     转自安全内参，原文链接：https://www.secrss.com/articles/73451 封面来源于网络，如有侵权请联系删除