近日，美国财政部外国资产控制办公室 (OFAC) 宣布对四个实体和一个个人实施制裁，因为他们参与非法 IT 员工计划和网络攻击，为朝鲜的武器开发计划提供资金。 OFAC 在周二发布的一份新闻稿中表示，朝鲜的非法创收战略在很大程度上依赖于由数千名 IT 工作者组成的庞大“军队”，他们隐藏自己的身份以便被海外公司雇用。 为了确保在目标公司就业，这些人采用各种欺骗手段，包括使用被盗身份、假角色以及伪造或伪造文件。 虽然位于中国和俄罗斯，但他们将产生的收入汇集到通过这些努力赚取的资金，以推动平壤政权的武器计划。 每年，一些以欺诈手段雇用的朝鲜 IT 员工可以赚取超过 300,000 美元的薪水，同时故意隐瞒他们的真实身份、行踪和国籍。 美国国务卿安东尼·J·布林肯 (Antony J. Blinken) 表示：“朝鲜开展恶意网络活动，并在国外部署信息技术 (IT) 人员，他们以欺诈手段获得就业机会，以创造收入来支持政权。” 他补充说：“朝鲜广泛的非法网络和 IT 工作者行动通过资助朝鲜政权及其危险活动，包括其非法的大规模杀伤性武器 (WMD) 和弹道导弹计划，威胁国际安全。” 周三因参与网络攻击和非法 IT 工作创收计划而受到制裁的朝鲜民主主义人民共和国 (DPRK) 实体名单包括： 平壤自动化大学 负责培训“恶意网络行为者”，其中许多人为侦察总局 (RGB)（负责协调该国网络攻击的朝鲜主要情报局）工作； RGB 的技术侦察局和第 110 研究中心网络部门 参与恶意工具的开发，协调与臭名昭著的拉撒路集团等朝鲜威胁行为者有关的部门，以及针对美国和韩国组织的网络攻击； 金庸信息技术合作公司 与朝鲜人民武装部有联系，协调在俄罗斯和老挝开展业务的 IT 工作者，为该国政权创收； 朝鲜国民金相万 涉及向金庸海外IT工作者代表团家属支付工资。 一年前，OFAC还制裁了朝鲜 Lazarus Group 黑客使用的 Tornado Cash 和 Blender.io加密货币混合器，以清洗价值 6.2 亿美元的以太坊中的大部分，这是在黑客攻击 Axie Infinity 的 Ronin 网桥之后发生的已知最大的加密货币抢劫案2022年4月。 朝鲜黑客组织 Lazarus、Bluenoroff 和 Andariel 也于2019年9月受到制裁，原因是该组织将在网络攻击中窃取的金融资产输送给该国政府。 根据联合国专家小组最近发布的一份机密报告，朝鲜威胁行为者去年参与了创纪录的加密货币盗窃活动。 据估计，他们在 2022 年窃取了 6.3 亿美元至超过 10 亿美元，超过了往年的数字，并有效地使平壤在 2021 年从网络盗窃中获得的非法收益翻了一番。 财政部负责恐怖主义和金融情报的副部长布赖恩·尼尔森说：“本次行动继续凸显了朝鲜广泛的非法网络和 IT 工作者行动，这些行动为该政权的非法大规模杀伤性武器和弹道导弹计划提供资金。” 他表示，美国和合作伙伴继续致力于打击朝鲜的非法创收活动，并继续努力打击从世界各地的金融机构、虚拟货币交易所、公司和个人那里窃取资金的犯罪活动。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/kWcjCOtHM1l_UfT4db6ufw 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标，开展大规模网络攻击活动。 俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动，其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国，团伙成员除了使用定制的恶意软件感染受害者窃取数据，还通过可移动驱动器在系统中传播，并进行持续监视。 GoldenJackal 疑似与 APT 组织 Turla 有联系 尽管业内人士对 GoldenJackal 团伙知之甚少，但不少人都怀疑其已经活跃了至少四年时间，卡巴斯基指出目前尚无法确定其来源以及与知名黑客组织者的关系，但从其作案手法来看，带有强烈的间谍动机。更重要的是，GoldenJackal 团伙还一直试图保持低调，这样的举动符合具有国家背景黑客团体的所有特征。 研究人员在 GoldenJackal 和疑似俄罗斯背景的 APT 组织 Turla 之间已经观察到了一些战术上的重叠。在一个案例中，一台受害者的机器被 Turla 和 GoldenJackal 感染的时间仅仅相差两个月。目前，虽然不知道用于入侵目标计算机的确切初始路径尚不清楚，但迄今为止收集的证据表明攻击者使用了被黑客入侵的 Skype 安装程序和恶意 Microsoft Word 文档。 安装程序充当了传递名为 JackalControl 的基于.NET 的特洛伊木马的渠道。此外，有人观察到 Word 文件将Follina漏洞（CVE-2022-30190）武器化，以删除相同的恶意软件。 顾名思义，JackalControl 使攻击者能够远程征用机器，执行任意命令，以及从系统上传和下载到系统。 受害目标的地理位置分布 GoldenJackal 部署的其它一些恶意软件如下： JackalSteal： 一种植入物，用于寻找感兴趣的文件，包括位于可移动 USB 驱动器中的文件，并将它们传输到远程服务器。 JackalWorm：一种蠕虫病毒，被设计用来感染使用可移动 USB 驱动器的系统，并安装 JackalControl 木马。 JackalPerInfo：一种恶意软件，具有收集系统元数据、文件夹内容、已安装的应用程序和正在运行的进程，以及存储在网络浏览器数据库中凭证的功能。 JackalScreenWatcher ：一个根据预设时间间隔抓取屏幕截图并将其发送到攻击者控制的服务器的实用程序。 GoldenJackal 团伙另一个值得注意的是它依靠被黑的 WordPress 网站作为中转站，通过注入网站的流氓PHP 文件，将网络请求转发到实际的命令和控制（C2）服务器上。 最后，卡巴斯基研究员 Giampaolo Dedola 强调：GoldenJackal 团伙的工具包似乎还在持续开发中，变种的数量增加表明他们仍在追加“投资”，但该组织可能正试图通过限制受害者的数量来降低其知名度。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367393.html 封面来源于网络，如有侵权请联系删除

谷歌宣布了一项新的漏洞赏金计划，名为Mobile VRP（漏洞奖励计划），该计划涵盖其移动应用程序，用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用（谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面）才在新赏金计划的范围内。 谷歌将奖励任意代码执行漏洞和可能导致敏感数据被盗的漏洞。同时也在发掘以下漏洞： 导致任意文件写入的路径遍历/压缩路径遍历漏洞 导致启动非出口应用组件的意图重定向 因不安全使用待定意图而导致的漏洞 孤立权限 下面的表格报告了该公司对不同类别的漏洞和根据这些漏洞与用户交互程度所提供的奖励： 白帽可以赚取高达30000美元，因为一级应用程序的漏洞可以在没有用户交互的情况下被远程利用，以实现任意代码执行。 谷歌在公告中指出，当调查一个漏洞时，请只针对你自己的账户，千万不要试图访问其他人的数据，也不要参与任何会对谷歌造成破坏或损害的活动。 有兴趣参加移动VRP的挖洞人员应通过谷歌的报告页面提交发现。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367384.html 封面来源于网络，如有侵权请联系删除

德国军工巨头莱茵金属（Rheinmetall）近日证实遭受了BlackBasta勒索软件攻击，影响了其民用业务。 莱茵金属的制造业务覆盖汽车、军用车辆、武器、防空系统、发动机和各种钢铁产品，拥有超过2.5万名员工，年收入超过70亿美元。 2023年5月20日星期六，BlackBasta在其勒索网站上发布了从莱茵金属窃取的数据样本。 公布的数据样本包括保密协议、技术原理图、护照扫描件和采购订单。 莱茵金属公司的发言人证实了这次攻击，并澄清说它只会影响其民用部门： “莱茵金属公司正在继续努力缓解勒索软件组织Black Basta的攻击。2023年4月14日我们检测到了该攻击，影响了集团的民用业务。” 莱茵金属宣称由于集团内部实施严格分离的IT基础设施，其军事业务不受攻击的影响。 此外，该公司表示已通知有关执法当局，并向科隆检察官办公室提出刑事诉讼。 莱茵金属公司在向乌克兰提供军事援助方面发挥着重要作用，最近通过启动一项新的战略合作计划，升级了与乌克兰一家国有储罐制造商的关系。 勒索软件组织BlackBasta于2022年4月开始活跃，最近多次成功入侵知名企业。 2023年5月7日，BlackBasta宣布对领先的电气化和自动化技术提供商ABB发动了攻击。 2023年4月，BlackBasta入侵了加拿大目录出版商黄页集团，在此过程中窃取了敏感文档和数据。 2023年3月22日，BlackBasta成功渗透到英国外包巨头Capita的企业网络，后者是英国政府和军队多个部门的签约供应商。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/wr27ffTyHte4s6q3DCXK1g 封面来源于网络，如有侵权请联系删除

世界水果巨头都乐（Dole）公司在日前发布的第一季度财报中披露，今年2月的勒索软件攻击事件，造成了1050万美元（约合人民币7400万元）的直接成本，其中约480万美元用于保证持续运营。 这次攻击对都乐公司的业务影响整体较为有限，主要受影响了公司新鲜蔬菜和智利市场的业务。都乐公司CEO Rory Byrne在上周四的财报电话会议上表示，此次攻击给其新鲜蔬菜业务造成了约570万美元的成本。 Byrne说，“尽管问题本身相当复杂并造成了高昂成本，但公司员工在保障都乐系统恢复协议按预期起效上付出的努力很值得赞赏。” 根据向美国证券交易委员会提交的6-K文件来看，此次攻击影响到都乐传统业务约半数服务器和四分之一的用户计算机。 恶意黑客还窃取了一部分公司数据，包括某些员工信息。都乐公司管理层在文件中提到，没有证据表明员工数据已遭公开。 都乐食品于2021年同爱尔兰Total Produce公司合并，成立全球最大农产品公司都乐公共有限公司，合并后的总部位于都柏林。 都乐表示，自攻击发生以来，所有受到影响的服务器和最终用户计算机均已得到恢复或和还原。该公司还表示，已经聘请第三方网络安全专家协助调查攻击并开展补救，并一直在与执法部门进行合作。 Byrne今年3月曾警告称，都乐公司预计无法完全抵消攻击成本，并指出在北美市场获取足够的网络安全保险费用过于高昂，令人望而却步。     转自 安全内参，原文链接：https://www.secrss.com/articles/54935 封面来源于网络，如有侵权请联系删除

美国大型技术提供商ScanSource宣布遭受勒索软件攻击，其部分系统、业务运营和客户门户均受到影响。 ScanSource是一家美国上市的IT与电信分销商，并提供POS与支付、安全、AIDC（自动识别与数据捕捉）等特定解决方案。该公司旗下还拥有云服务商与教育平台Intelisys、云分销商与托管服务商intY等品牌。ScanSource在2022财年营收为35.3亿美元。 从5月15日左右开始，外媒BleepingComputer收到ScanSource客户反馈，称发现无法正常访问SanSource的客户门户与官方网站，担心其遭受到网络攻击。 图：安全内参发现ScanSource官网已变成一个单页面的静态网页，网络事件公告置顶在首屏 5月16日，ScanSource证实公司确实在前天遭受了勒索软件攻击，并导致部分系统受到影响。 该公司已经开始实施事件响应计划，包括上报执法部门、寻求取证和网络安全专业人士的帮助。 相关专家正协助开展调查并实施处置策略，希望尽量减轻事件造成的运营中断。 此番网络攻击引发巨大影响。ScanSource公司警告称，未来一段时间内，面向客户的服务将存在延迟，预计将影响北美和巴西地区的业务。 公司新闻稿称，“我们正努力让受影响的系统重新上线，同时减轻事件对业务造成的影响。” “ScanSource对由此可能给北美及巴西地区的客户和供应商造成的任何不便或业务延误表示遗憾，并感谢他们的耐心等待。” 作为一家科技企业，ScanSource是在纳斯达克上市的财富1000强企业之一。可能是受到网络攻击事件披露的影响，公司股价在披露当天下跌了1.42%。 截至消息发布时，尚不清楚此次攻击来自哪个勒索软件团伙，也不确定是否涉及数据失窃。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367169.html 封面来源于网络，如有侵权请联系删除

Facebook的母公司Meta因将该地区用户的个人数据转移到美国，被欧盟数据保护监管机构处以破纪录的13亿美元罚款。 在欧洲数据保护委员会（EDPB）发布的一项具有约束力的政策中，Meta公司被勒令使其数据转移符合GDPR的规定，并在六个月内删除非法存储和处理的数据。 此外，给Meta五个月的时间调整，禁止今后向美国转移Facebook用户的数据。 EDPB主席Andrea Jelinek在一份声明中说：EDPB发现Meta IE的侵权行为非常严重，因为它涉及系统性、重复性和连续性的转移。 Facebook在欧洲有数百万用户，因此转移的个人数据量是巨大的。此次破纪录的罚款也是向其他组织发出的一个强烈信号，即对用户数据的侵权行为会带来严重的后果。 欧洲数据保护当局一再强调，美国缺乏与GDPR对等的隐私保护措施，这让美国情报部门可以通过数据转移获取属于欧洲人的数据。 NOYB的创始人Schrems说，最简单的解决方法是美国出台类似GDPR的隐私保护措施。大西洋两岸都有一个共识，即我们需要有正当理由和司法保护的监控。 为了实现对欧洲用户数据的基本保护，接下来将会对美国云计算供应商进行审查了。任何其他大型美国云计算供应商，如亚马逊、谷歌或微软，都可能根据欧盟法律受到类似决定的打击。 Schrems进一步补充说：”Meta公司计划通过新的协议进行数据处理，但这很可能只是一个临时性的修复”。”在我看来，新协议被欧盟法院通过的概率很低。除非美国的监控法律得到完善，否则美公司很可能必须将欧盟的数据保留在欧盟”。 Schrems还指责爱尔兰数据保护委员会(DPC)一直试图阻止案件的进展，并试图保护Meta公司不被罚款和不得不删除已经转移的数据。但这两项均被EDPB驳回。 Meta公司回应说，他们打算对裁决提出上诉，称罚款是 “不合理且不必要的”，美国政府的数据访问准则与欧洲的隐私权之间存在着 “根本的法律冲突”。 Meta公司的Nick Clegg和Jennifer Newstead说：如果没有跨境传输数据的能力，互联网有可能被分割成国家和地区的孤岛，限制了全球经济，使不同国家的公民无法获得我们已经开始依赖的许多共享服务。 去年，该公司曾表示表示，如果被勒令暂停向美国传输数据，它可能不得不停止在欧盟提供 “我们最重要的一些产品和服务”。据《华尔街日报》报道，一项新的跨大西洋数据传输协议有望在今年晚些时候敲定，以取代隐私保护。 这笔罚款是建立欧盟GDPR隐私法有史以来最大的一笔罚款，超过了2021年7月对亚马逊类似隐私侵犯行为的7.46亿欧元（约为8.866亿美元）的罚款。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367289.html 封面来源于网络，如有侵权请联系删除

近日，一张由AI生成的假照片在推特上疯传，照片上显示的是华盛顿五角大楼发生剧烈爆炸的画面。这个事件暴露出了马斯克的Twitter Blue付费认证的真正问题。 周一上午晚些时候，这张假照片在社交信息平台上一经发布后不久就在网上疯传，直到美国政府官员出面，证实并谴责该照片只是个骗局才得以平息。 俄罗斯国家媒体和一个虚假的彭博新闻账户的个人资料名称旁边出现了蓝色对勾认证标记，此事备受争议。 美国东部时间上午10点左右，一张五角大楼草坪上熊熊燃烧的照片开始被大量转发，并快速传播，该照片的标题为“华盛顿特区五角大楼附近发生大爆炸的初步报告”。 据《福布斯》报道，美国国防部发言人已经声明这张照片是个“错误信息”。 到美国东部时间上午10点27分，阿灵顿消防和急救中心也在推特上谴责这是张假照片。该部门的推特账号发布内容称：@PFPAOfficial和ACFD注意到网上流传的有关五角大楼附近发生爆炸的社交媒体报道，但在五角大楼保留区或附近并未发生任何爆炸事件，对公众不会造成直接的危险或危害。 OSINT专家在几分钟内就对图像进行了全面检查，并指出了差异，证明图像确实是由AI生成的假图像。 Bellingcat的数字调查员Nick Walters表示，想伪造这样一个事件非常困难，甚至可以说根本不可能。这通过观察图像中的建筑物的正面，以及围栏融入人群屏障的方式就能轻松判断真伪。 Nick Walters称，对于这样一个重大的新闻报道，没有其他第一手目击者的照片或视频发布在网上就没那么可信。 此外，Nick Walters还在推特上写道：人口稠密地区发生的大多数极端物理事件(爆炸、恐怖袭击、大规模打斗)都会产生可识别的数字涟漪。 虚假的人工智能图像虽然对创作者和观众来说很有趣，但自去年11月ChatGPT发布以来，这一直是治理实体和人工智能专家关注的最大问题之一。 本月早些时候，一名男子因利用深度技术在网上传播虚假新闻而在中国被捕，面临最高10年的监禁。这名男子被指控使用ChatGPT制作了一个虚假的人工智能新闻视频，该视频描述了一场致命的火车相撞事故，然后将其发布在多个社交媒体网站上。 专家表示，随着人工智能模型近年来不断发展，社交媒体上的虚假信息非常令人担忧，尤其是在2024年美国总统大选周期刚刚开始的情况下。 《赫芬顿邮报》的高级编辑Andy Campbell提到了去年秋天，推特首席执行官马斯克接管该公司时，他与推特用户就其Twitter Blue认证展开的斗争。 以前是某家社交媒体公司能够证明某个组织或个人的合法性后，其账户才会被授予推特的蓝勾认证，但现在是只要有人愿意每月支付8美元，都可免费授予该标记。 3月份，这个问题的争议情况达到了顶峰，很多曾经认证过的名人和记者拒绝为曾经免费的服务付费，并表示可以将这个认证过的蓝色标记从他们的账户中移除掉。 Andy Campbell称，这个蓝色标记付费验证系统危险就在于，如果某个账户在推特上发布了一张AI生成的关于五角大楼爆炸的假新闻照片，但有了认证，乍一看该账户像是一个合法的彭博新闻推送。 那个虚假的彭博新闻账户已经被推特停用，但目前仍不知道这张伪造的五角大楼图片是从哪里来的。虽然，这次的虚假五角大楼爆炸新闻的病毒式传播很短暂，但这个谣言仍然导致周一纽约证券交易所出现了大跌的情况。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367258.html 封面来源于网络，如有侵权请联系删除

2023年3月启动的美国国家网络安全战略改变了政府对抗网络威胁的愿景，并鼓励美国与盟国开展国际合作。 Global Transatlantic Ltd 首席执行官兼跨大西洋网络安全业务网络 (TCBN) 联合创始人安迪·威廉姆斯(Andy Williams)在2023年5月18日于伦敦举行的CRESTCon Europe期间概述了该计划的主要内容。 他提到，为实现这一愿景，美国政府承认有必要在网络空间分配角色、责任和资源的方式上做出两项根本性转变： 将网络安全的负担从个人、小型企业和地方政府转移到专门打击网络事件的组织身上 重新调整激励措施以支持对网络安全的长期投资 他说，考虑到这两个新目标，美国政府也意识到它需要参与国际倡议。 Andy Williams 在 CRESTCon Europe 期间演讲 威廉姆斯透漏到：“这是在战略文件中，第一次真正有意与盟友在国际上加强合作。” 反勒索软件倡议 最好的例子是反勒索软件倡议(CRI)，这是一项于2022年11月在36个国家发起的跨国执法行动，其中包括五眼联盟（美国、英国、加拿大、澳大利亚、新西兰）和27个欧盟成员国，以及巴西、尼日利亚、南非、韩国、新加坡和阿拉伯联合酋长国。 CRI 成员已经就多项举措达成一致，包括： 1、国际反勒索软件特别工作组 (ICRTF) 将由澳大利亚领导 2、一些其他工作组，包括一个专门打击金融网络犯罪的工作组，将由英国和新加坡领导 3、包含技术、策略和程序 (TTP) 以及网络威胁形势趋势的共享调查工具包 4、联合咨询 5、帮助各国利用公私伙伴关系打击勒索软件的能力建设工具 6、每两年一次的反勒索软件演习 威廉姆斯说：“我发现，看到澳大利亚和新加坡等国家在美国支持的倡议中领导特别工作组特别有趣。在过去，美国或英国可能要对此负责。” 取缔 Hive 勒索软件组 TCBN 的联合创始人认为，从美国的角度来看，决定参与这样一个国际倡议的部分原因是新人被任命为政府网络安全社区的高级领导人。 威廉姆斯补充道：“乔·拜登暗示，他的政府将在其2021年5月关于改善国家网络安全的行政命令中发起更广泛的举措，例如 CRI，尽管没有具体提及这些举措是什么。” “虽然这些举措当时还没有完全正式化，但CRI的推出无疑在2023年1月美国执法部门打击 Hive 勒索软件组织的行动中发挥了作用。”威廉姆斯声称。 其他倡议，例如美国国家标准与技术研究院 (NIST) 向全球所有申请人开放的后量子竞赛或数字安全设计 (DSbD)，这是一项获得美国和英国资助的公私合作倡议, 表明美国政府在网络空间方面正越来越多地尝试超越国界。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/TsjTs3cZRp0Y-2tsitvztw 封面来源于网络，如有侵权请联系删除

据BleepingComputer 5月19日消息，因黑客本月在暗网免费暴露了7000万客户个人信息，全球眼镜行业龙头企业——意大利的Luxottica正式承认，这是某合作伙伴遭遇的数据泄露事件所致。 据悉，意大利网络安全公司 D3Lab 首席研究员 Andrea Draghetti 率先发现了黑客在论坛上公开的数据，根据他于5月12日发布的推特披露，该数据大小为140GB，包含3.05亿条记录、7440万个电子邮件地址，数据最晚截止时间为 2021 年 3 月 16 日。 BleepingComputer就此联系Luxottica，对方确认泄露的数据源自一起安全事件，其中包含客户完整的姓名、电子邮件、电话号码、地址和出生日期。同时Luxottica表示，事后已立刻向美国联邦调查局和意大利警方作了报告，联邦调查局已经逮捕了发布数据的暗网的所有者，并关闭了网站，其他情况仍在调查中。 当被问及是什么时候开始意识到数据泄露时，Luxottica 的一位发言人回答：“我们是在 2022 年 11 月从暗网上的帖子中了解到这起事件的。” 2022年11月，黑客就曾在现已被关闭的黑客论坛Breached出售这些数据，据称包含美国和加拿大地区的3 亿条 Luxottica 客户个人信息记录。而如今，这些数据被黑客以免费公开的形式再度得到泄露。 Luxottica 是世界上最大的眼镜公司，拥有雷朋、奥克利、香奈儿、普拉达、范思哲、杜嘉班纳、巴宝莉、乔治阿玛尼、迈克尔科尔斯等众多知名品牌，并在美国经营一家视力保险公司 Eyemed。2020年8月，Luxottica 就曾遭遇数据泄露，涉及829454 名 EyeMed 和 Lenscrafters 患者的个人信息。仅仅一个月后，Luxottica 再次遭受勒索软件攻击，导致该公司在意大利和中国的业务中断。     转自 Freebuf，原文链接：https://www.freebuf.com/news/367169.html 封面来源于网络，如有侵权请联系删除