据俄罗斯新闻媒体报道，应俄罗斯国家通信监管机构 Roskomnadzor 的要求，苹果公司于 2024 年 7 月 4 日从其 App Store 中移除了俄罗斯的一些虚拟专用网络 (VPN) 应用程序。 据MediaZona报道，这包括 25 家 VPN 服务提供商的移动应用程序，包括 ProtonVPN、Red Shield VPN、NordVPN 和 Le VPN 。值得注意的是，NordVPN此前已于 2019 年 3 月关闭了其所有俄罗斯服务器。 Red Shield VPN 在一份声明中表示： “苹果的行为是出于保留俄罗斯市场收入的动机，这不仅是鲁莽的，也是对公民社会的犯罪。” Le VPN 在类似的通知中表示，此次删除行动是根据 2006 年 7 月 27 日第 149-FZ 号联邦法律“关于信息、信息技术和信息保护”第 15.1 条第 7 款进行的，并且其应用程序在收到监管机构的正式通知之前就已被删除。 为此，VPN服务已被列入俄罗斯禁止公开分发的互联网资源“统一登记册”。 俄罗斯联邦通信监管局表示：“此次事件标志着该局在管控俄罗斯境内互联网接入和内容方面迈出了重要一步。” 为了应对大规模打击，Le VPN 此后推出了一项名为 Le VPN Give 的替代服务，声称“允许您使用第三方开源软件和混淆的 VPN 连接连接到我们的秘密服务器”。 此举是克里姆林宫自 2022 年 2 月俄乌冲突爆发以来宣布的一系列审查举措的一部分，这些举措已导致多家媒体以及 Facebook、Instagram 和 X 等社交媒体应用程序被封锁。   转自e安全，原文链接：https://mp.weixin.qq.com/s/DwPNAWVLFdzkkdLKW03wxA 封面来源于网络，如有侵权请联系删除

根据俄罗斯安全供应商卡巴斯基的最新报告，一种新的高级持续性威胁组织(APT) 被发现针对俄罗斯政府实体进行网络间谍活动。 卡巴斯基表示，这个被称为CloudSorcerer的APT组织使用 Dropbox、Microsoft Graph 和 Yandex Cloud 窃取数据，同时依赖公共云服务作为命令和控制 (C&C) 基础设施。 根据该公司的文档，APT 会在受感染的机器上手动执行 CloudSorcerer 恶意软件。根据其运行的进程，恶意软件可以充当后门、启动 C&C 通信模块或尝试将 shellcode 注入 explorer.exe、msiexec.exe 或 mspaint.exe。 后门模块收集受害者计算机的各种信息，包括机器名称、用户名、Windows 信息和系统正常运行时间。这些数据被存储在专门创建的结构中，并写入连接到通信模块的命名管道。 卡巴斯基表示：“值得注意的是，所有数据交换都是使用具有不同目的的明确定义的结构来组织的，例如后门命令结构和信息收集结构。” 根据通过相同命名管道接收的命令，恶意软件可以收集其他信息，执行 shell 命令，篡改文件并将 shellcode 注入进程。 接收到特定命令 ID 后即可使用其他功能，例如创建进程、清除 DNS 缓存、篡改 Windows 任务、服务、广告注册表、创建/删除用户、断开网络资源、篡改文件以及收集网络信息。 我们发现 C&C 通信模块正在启动与包含三个公共项目分支的 GitHub 页面或俄罗斯云端照片托管服务器 my.mail[.]ru 的初始连接。两个页面均包含相同的编码字符串。 据卡巴斯基介绍，C＆C 模块“通过读取数据、接收编码命令、使用字符代码表对其进行解码以及通过命名管道将其发送到后门模块来与云服务进行交互”。 卡巴斯基表示，利用公共云基础设施进行 C＆C 是 CloudWizard APT（去年披露的另一个高级威胁组织）的作案手法，但 CloudSorcerer 的活动似乎有所不同。 卡巴斯基研究人员补充道：“将 CloudSorcerer 归因于同一攻击者的可能性很低，因为恶意软件的代码和整体功能都不同。因此，我们目前假设 CloudSorcerer 是一个采用了与公共云服务交互技术的新攻击者。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dDSWoj9bV8Dv_izl42NV4A 封面来源于网络，如有侵权请联系删除

Linux 系统上广泛使用的 Ghostscript 文档转换工具包中存在一个远程代码执行漏洞，目前正在遭受攻击。 Ghostscript 预装在许多 Linux 发行版上，并被各种文档转换软件使用，包括 ImageMagick、LibreOffice、GIMP、Inkscape、Scribus 和 CUPS 打印系统。 此格式字符串漏洞的编号为CVE-2024-29510，影响所有 Ghostscript 10.03.0 及更早版本。它使攻击者能够逃离 -dSAFER 沙盒（默认启用），因为未修补的 Ghostscript 版本无法在激活沙盒后阻止对 uniprint 设备参数字符串的更改。 这种安全绕过尤其危险，因为它允许他们使用沙箱通常会阻止的 Ghostscript Postscript 解释器执行高风险操作，例如命令执行和文件 I/O。 发现并报告此安全漏洞的 Codean Labs 安全研究人员警告称：“此漏洞对提供文档转换和预览功能的 Web 应用程序和其他服务有重大影响，因为这些服务通常在后台使用 Ghostscript。” “我们建议开发者验证自己的解决方案是否（间接）使用了 Ghostscript，如果是，请将其更新到最新版本。” Codean Labs 还分享了这个 Postscript 文件，可以通过以下命令运行它来帮助防御者检测他们的系统是否容易受到 CVE-2023-36664 攻击： ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps 该漏洞在攻击中被积极利用 虽然 Ghostscript 开发团队在 5 月份修补了该安全漏洞，但两个月后 Codean Labs 发布了一份包含技术细节和概念验证漏洞代码的报告。 攻击者已经在野利用 CVE-2024-29510 Ghostscript 漏洞，使用伪装成 JPG（图像）文件的 EPS（PostScript）文件获取对易受攻击的系统的 shell 访问权限。 开发人员 Bill Mill警告称：“如果您的生产系统中的任何地方都有 ghostscript，那么您可能容易受到远程 shell 执行攻击，应该立刻升级或将其从生产系统中删除。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/G0KqS5T212viFg9nD6qAbA 封面来源于网络，如有侵权请联系删除

苹果的 Wi-Fi 定位系统 (WPS) 可用于绘制和跟踪全球的 Wi-Fi 接入点 (AP)。但在Black Hat 2024 的一次演讲中，马里兰大学研究员 Erik Rye 将演示如何在几天内绘制数亿个 AP，甚至不需要苹果设备或任何类型的权限。 苹果如何暴露全球 AP 您是否曾经想过，您的手机如何知道它在世界上的位置？ 当然，全球定位系统 (GPS) 是它使用的工具之一，但它并不完美。当设备与天空失去清晰的联系时，它的效率就会降低，而且它会消耗大量电量，这对于如此持久的任务来说并不理想。 这就是 Wi-Fi 定位系统的用武之地。如果用 Wi-Fi 接入点 (AP) 替代卫星，WPS 的工作原理有点像 GPS。 首先，运行 Apple 或 Google 操作系统的设备会定期报告其位置（通过 GPS 或手机信号塔三角测量）以及来自附近网络的相对信号强度（用其基本服务集标识符或 BSSID 标记），从而提供一些距离指示。通过这种众包，这些公司开发了有关全球 AP 位置的庞大数据库。 正如 Rye 所解释的那样，“您可能不拥有任何 Apple 设备，但尽管如此，您的 Wi-Fi 接入点仍将进入此系统，这仅仅是因为拥有 Apple 设备的人会路过您的家、给您送包裹或住在您隔壁。” 然后，单个设备可以通过扫描附近的 Wi-Fi 网络并向公司服务器报告来确定其位置。在 Apple 的案例中，WPS 服务器将返回这些 Wi-Fi 网络的位置，设备可以将其与观察到的信号强度进行比较以确定其相对位置。那么，问题是什么呢？ Apple 的 WPS API 是开放且免费的。它是为 Apple 设备设计的，但任何人都可以从非 Apple 设备查询它，而无需任何类型的身份验证或 API 密钥。使用用 Go 编写并在 Linux 上运行的程序，Rye 暴力猜测了大量 BSSID 号码，直到他最终找到一个真正的 BSSID，为此，WPS API 端点向他赠送了一组靠近它的其他 BSSID。 “一旦开始获得命中，你就可以进行所谓的‘滚雪球抽样’，然后将其反馈回去，并不断反复抽样。”他解释道。“在不到一周的时间内，我们能够积累大约 5 亿个唯一的 BSSID。” 苹果 WPS 的一个特殊功能让这一过程变得更加高效。在响应位置查询时，它会主动返回最多 400 个结果，而不仅仅是几个附近的网络。 有什么风险？ “我们基本上可以创建一张地球的 Wi-Fi 地图，其中包括一些最偏远的地方：南极洲、大西洋中部的小岛等等。”Rye 说。 他的研究成果包括：一张为饱受战争蹂躏的乌克兰提供互联网接入的 Starlink AP 地图，以及一幅加沙地带互联网接入不断变化的图景，这些都可能是有价值的军事情报。 更有针对性的隐私攻击可能涉及在个人搬家或使用移动 AP（例如，在房车中）旅行时跟踪他们。 “这很有趣——每个人都有自己想要了解的案例研究。”赖伊说。“有人问过我们关于火人节的问题，这个问题很容易回答，因为火人节位于偏僻的地方。所以如果你的接入点出现在那里，我们就知道你来参加火人节了。” 什么可以做（什么不可以做） 细心的读者可能会问：如果苹果和谷歌都有 WPS，为什么我们只挑选一个呢？ 这两个系统都使用庞大的全球 BSSID 数据库来三角测量设备位置。但是，当 Android 设备查询 Google 的 WPS API 时，Google 的服务器会进行三角测量并回复结果，而不是回复一长串 BSSID。因此，所有额外数据都不会被暴露。 Google 还需要一个 API 密钥，它用它来对查询收取费用（最多每两次请求收取一分钱）。对于普通用户来说，这笔小费用微不足道，但对于需要猜测大量 BSSID 才能找到真实 BSSID 的攻击者来说，这笔费用是高得离谱的，就像 Rye 在测试中所做的那样。 这只是苹果、接入点制造商甚至立法者可以改善接入点安全性的众多方法中的两种。与此同时，个人也可以采取一些预防措施。 “如果你是一个技术娴熟的用户——运行OpenWrt 或类似程序——你可以手动随机化你的 BSSID。但这超出了大多数人的能力范围。”Rye 说。 特别处于危险中的个人可以完全避免使用旅行 AP，并在每次搬家时采用新的 AP。Rye 补充道：“Apple 已实施了选择退出功能。如果您在网络名称末尾添加‘_nomap’，Apple 表示这将阻止您的 Wi-Fi 接入点进入他们的系统。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/teziza2UEcX8a0U9G-7_KQ 封面来源于网络，如有侵权请联系删除

近日，据Bleepingcomputer报道，代号Sp1d3rHunters的黑客宣称泄露了美国歌手泰勒斯威夫特（Taylor swift）“Eras Tour”演唱会的16.6万张门票的条形码数据，并索要200万美元赎金，否则将泄露更多门票数据。美国歌手泰勒斯威夫特号称“行走的GDP”，与英伟达并称“美国经济两大支柱”，因其演唱会近年来席卷全球，堪称吸金龙卷风。这也让很多犯罪分子眼红，纷纷对其粉丝下手，实施各种诈骗。此次巡演门票数据大规模泄露，不禁让人担心更大规模的门票诈骗事件。据英国劳埃德银行统计，2023年7月以来，至少有3000人可能被诱骗购买了假的斯威夫特演唱会门票，总计损失超过100万英镑。 “雪花事件”的余震 泰勒斯威夫特的演唱会门票泄露与此前票务巨头Ticketmaster的数据泄露事件有关。今年5月，知名黑客组织ShinyHunters以50万美元的价格出售5.6亿Ticketmaster客户数据。Ticketmaster随后确认了数据泄露，表示这些数据来自他们在Snowflake（雪花公司）的云端账户。Snowflake是一家基于云的数据仓库公司，为企业提供云存储数据库、用于数据处理和分析。4月，黑客开始使用通过信息窃取恶意软件盗取的凭证，下载了至少全球165个大型企业和机构的Snowflake数据库。随后，这些黑客开始向受害公司勒索，要求支付赎金以防止数据被泄露。确认从Snowflake账户中泄露数据的公司包括Neiman Marcus、洛杉矶联合学区、Advance Auto Parts、Pure Storage和桑坦德银行等知名组织。 巡演门票只是冰山一角 黑客Sp1d3rHunters之前名为Sp1d3r，是从Snowflake账户盗取数据并公开勒索上百家知名企业的幕后黑手。 在黑客论坛上泄露的近17万泰勒斯威夫特巡演门票数据 来源：bleepingcomputer 根据威胁情报服务HackManac上发布的帖子，Sp1d3rHunters泄露的16.6万张泰勒·斯威夫特Eras巡演门票条码数据用于多个演唱会日期的入场，包括即将在迈阿密、新奥尔良和印第安纳波利斯举行的演唱会。帖子中还包含了一小部分所谓的条码数据样本，这些数据包含用于生成可扫描条码的值、座位信息、门票面值等信息。威胁行为者还分享了如何将这些数据转换为可扫描条码的细节。 Sp1d3rHunters要求Ticketmaster支付200万美元赎金，否则将泄露更多用户和门票数据。 “支付200万美元，否则我们将泄露你们的6.8亿用户信息和另外3000万个活动条码，包括更多的泰勒·斯威夫特活动、P!nk、Sting、体育赛事F1方程式赛车、MLB、NFL等数千个活动，”Sp1d3rHunters在帖子中写道。 安全研究人员发现，虽然新泄露的门票条码数据并不包含在5月泄露的初始Ticketmaster数据样本中，但一些新泄露的数据可以在旧的泄露数据中找到，包括门票的哈希值、信用卡和销售订单等信息。 这些攻击背后的组织是ShinyHunters，多年来他们对许多数据泄露事件负责，包括在2020年泄露了18家公司3.86亿用户记录、影响7000万客户的AT&T数据泄露事件，以及最近泄露的3300万个使用Authy多因素认证应用的电话号码。 Ticketmaster的回应 美国东部时间2024年7月5日下午3:44，Ticketmaster在回复bleepingcomputer的公告中指出，其防伪技术每隔几秒钟就会刷新（轮换）门票条码数据，因此被盗的门票（条码）无法使用。 “Ticketmaster的SafeTix技术通过每几秒自动刷新一个新的唯一条码来保护门票，确保它们不会被盗或复制，”Ticketmaster指出：“这是我们实施的众多防欺诈保护措施之一，以确保门票的安全。” Ticketmaster还表示没有与黑客进行任何赎金谈判，并否认ShinyHunters所说的愿意支付100万美元赎金以删除数据的说法。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TxaoXkGgFvhws_rjkrjLDw 封面来源于网络，如有侵权请联系删除

《纽约时报》于 2024 年 7 月 4 日报道称，OpenAI 在 2023 年初遭受了未公开的入侵。 《纽约时报》指出，攻击者并未访问 AI 所在的系统，但窃取了员工论坛的讨论内容。OpenAI 并未公开披露该事件，也未通知 FBI，因为它声称，客户和合作伙伴的信息均未遭窃取，此次入侵事件并未被视为对国家安全的威胁。该公司认定，此次攻击是由一名与任何外国政府均无任何已知关联的人员所为。 尽管如此，该事件还是引发了员工内部对 OpenAI 解决安全问题的严肃程度的讨论。 《纽约时报》写道：“此次泄密事件发生后，专注于确保未来人工智能技术不会造成严重损害的 OpenAI 技术项目经理 Leopold Aschenbrenner 向 OpenAI 董事会发送了一份备忘录，称该公司没有采取足够措施阻止外国政府和其他外国对手窃取其机密。” 今年早些时候，他被解雇了，表面上是因为泄露信息（但更可能是因为备忘录）。阿申布伦纳对官方泄密事件的说法略有不同。 在与 Dwarkesh Patel 的播客（2024 年 6 月 4 日）中，他说：“OpenAI 向员工声称我因泄密而被解雇。我和其他人敦促他们说出泄密的内容。以下是他们的完整回应：去年某个时候，我写了一份头脑风暴文件，内容涉及未来在 AGI 道路上所需的准备、安全和保障措施。我与三位外部研究人员分享了这份文件，征求反馈。这就是泄密事件……在我分享它之前，我审查了它是否有任何敏感内容。内部版本提到了未来的集群，我在外部副本中删去了它。” 显然，OpenAI 并不是一艘快乐的船，人们对它如何运作、应该如何运作以及应该去哪里有很多不同的看法。人们的担忧并不是 OpenGPT（即通用人工智能），而是 AGI（通用人工智能）的未来。 前者最终会转化所学知识（通常来自互联网），而后者则具有原始推理能力。 Gen-AI 并不被视为对国家安全的威胁，尽管它可能会增加当前网络攻击的规模和复杂性。 AGI 则不同。它将能够在网络、动能战场和情报领域制造新的威胁——OpenAI、DeepMind、Anthropic 和其他领先的 AI 公司和技术都在争先恐后地抢占市场。人们对 2023 年 OpenAI 漏洞的担忧在于，它可能表明缺乏安全准备，这可能会在未来真正危及国家安全。 “很多戏剧性事件都源于 OpenAI 真的相信他们正在开发 AGI。这不仅仅是一个营销口号。” Aschenbrenner 补充道，“让人们感到困惑的是，人们一方面相信 AGI，另一方面却不认真对待其他一些影响，这两者之间存在认知失调。这项技术将非常强大，无论是好是坏。这牵涉到国家安全问题。你们在保护机密不被窃取吗？美国控制着核心的 AGI 基础设施，还是中东独裁者控制着它？” 随着我们越来越接近开发 AGI，网络威胁将从犯罪分子转向精英国家攻击者——我们一次又一次地看到，我们的安全不足以抵御他们。 在 OpenAI 发生一次相对不严重的入侵事件后（我们必须假设情况没有公司告诉员工的那么糟糕），Aschenbrenner提出了对安全的普遍和真正的担忧——似乎正是因为这个原因，他被解雇了。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uVRAQPVVVBsH8Ltl3xVc3g 封面来源于网络，如有侵权请联系删除

最新数据显示，自麒麟勒索软件攻击病理学服务提供商 Synnovis 以来的四周内，伦敦一些最大的医院已取消了约 1,500 例医疗程序。但也许没有一个人受到的影响比 Johanna Groothuizen 更严重。 汉娜（Hanna）在最后一刻接受了保留皮肤的乳房切除术和紧急乳房重建手术，现在手术被改为简单的乳房切除术。 这位 36 岁的伦敦国王学院研究文化经理、前健康科学研究员于 2023 年底被诊断出患有 HER2 阳性乳腺癌。这是一种恶性程度高、扩散速度快且更容易复发的癌症，需要紧急治疗。 汉娜在确诊后不久就开始了化疗，直到她能够接受希望成为第一次也是唯一一次切除肿瘤的重大手术。 从那时到手术（原定于 6 月 7 日进行，即勒索软件攻击发生四天后）期间，她被反复告知，计划中的手术是保留皮肤的乳房切除术，这样外科医生就可以在手术后立即对她的右侧乳房进行美容重建。 然而，这场磨难最终如何结束，则是另一个完全不同的故事。医生给汉娜不到 24 小时的时间，让她做出艰难的决定：是接受简单的乳房切除术，还是推迟这项改变人生的手术，直到 Synnovis 的系统恢复正常。 这个决定是在周五手术前的周四下午强加给她的。此前，她被迫追着医务人员询问手术是否能进行。 汉娜在麒麟勒索软件攻击后的第二天被告知，尽管发生了这一切，但伦敦圣托马斯医院的工作人员仍然计划按照之前商定的程序进行保留皮肤的乳房切除术。 之后医生建议取消手术，医院认为手术的重建部分风险太大，因为 Synnovis 检测服务系统无法支持输血，直到其系统恢复在线。 勒索软件攻击对医院来说并不容易。情况非常严峻，攻击发生一周后，血液储备就已不足，医院不得不紧急呼吁捐献 O 型血。 然而对于汉娜来说，这意味着她必须做出难以想象的艰难选择，是接受她想要的手术，还是接受最有生存机会的手术。 医院给了汉娜一个非常短暂的选择时间，她向朋友和其他乳腺癌幸存者征求建议。她得到的普遍意见是，她应该做简单的乳房切除术，以避免不必要的健康风险。 在此次事件影响到她的护理之前，汉娜就已经了解网络安全以及 2017 年针对 NHS 的 WannaCry 等攻击，但麒麟勒索软件攻击让她对这一主题有了更深入的了解。 汉娜表示，回顾此次袭击事件，她认为这引发了人们对英国公共部门基础设施恢复能力的质疑。 英国国家网络安全战略（2022-2030）的核心目标之一是到 2025 年显著增强政府关键职能（包括提供基本公共服务）抵御网络攻击的能力。然而，近几个月发生的大量事件表明，这一目标还远未实现。 最近对 Synnovis 的攻击再次提醒我们，当关键任务组织遭到入侵时会发生什么，但在过去 12 个月中，英国已经目睹了各种造成严重破坏的其他攻击。 在撰写本文时，距离麒麟勒索软件攻击 Synnovis 已有近五周时间。Synnovis 是Synlab、盖伊和圣托马斯 NHS 基金会信托以及伦敦国王学院医院 NHS 基金会信托之间的病理学服务合作伙伴。 上周（6 月 24 日至 30 日）的数据显示，与 Synlab 合作的两家 NHS 基金会共有 1,517 次急性门诊预约和 136 次择期手术被推迟。自袭击发生以来的当月（6 月 3 日至 30 日），急诊预约被推迟的次数总计为 4,913 次，择期手术被推迟的次数总计为 1,391 次。 NHS 伦敦医疗总监 Chris Streather 博士表示，服务正在恢复到接近正常的状态，并承认上周的工业行动给受影响医院的工作人员带来了额外的困难。病理学服务目前的运行能力仅为勒索软件攻击前的 54%。 盖伊和圣托马斯 NHS 基金会的一位发言人告诉The Register：“我们对我们的病理学提供商 Synnovis 遭受的犯罪网络攻击对 Johanna 的护理造成的影响深感抱歉，我们对这可能造成的任何困扰表示歉意。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-cBuF24FxhLscZTAlN8I5A 封面来源于网络，如有侵权请联系删除

近日，网络安全公司 Censys 发现超过 38 万台主机仍在引用 polyfill.io 恶意域。 在接到多起恶意活动报告后，polyfill.io 域名被暂停。Polyfill.io 域曾用于托管 JavaScript 代码，为不支持某些网络标准的旧版浏览器添加现代功能。 根据报告，该域名被用于将嵌入 polyfill.io 代码的网站的访问者重定向到博彩和成人网站。专家估计，超过 10 万个网站受到影响。 截至 2024 年 7 月 2 日，Censys 检测到 384773 台主机在其 HTTP 响应中包含对 “https://cdn.polyfill[.]io “或 “https://cdn.polyfill[.]com “的引用。其中约 237700 台主机主要集中在德国的 Hetzner 网络 (AS24940)。Hetzner 是一种流行的虚拟主机服务，许多网站开发人员都会利用它。 这些主机包括与 Hulu、梅赛德斯-奔驰（Mercedes-Benz）和 WarnerBros 等主要平台相关的网站。专家敦促网站所有者从其代码库中删除对 polyfill.io 及其相关域的任何引用，以防万一。 另外，Censys 还注意到，有 182 台受影响的主机是使用 polyfill.io 脚本的政府网站（”.gov”）。专家们强调，这次供应链攻击产生了广泛的影响。 对此，Cloudflare 和 Fastly 为用户创建了替代的安全 polyfill 端点以减轻威胁，同时防止网站被攻破。Censys 观察到 216504 台主机引用了其中一个替代 polyfill 端点： “polyfill-fastly.io “或 “cdnjs.cloudflare.com/polyfill”，较 6 月 28 日观察到的 80312 台主机有所增加。 Censys 还在一个论坛上发现了一名开发者发布的帖子，该帖子警告说，cdn.bootcss.com 上有一个与 polyfill.io 类似的恶意 JavaScript 文件，会根据地理位置对用户进行重定向。专家们发现有 160 万台面向公众的主机引用了这些域名，其中 bootcss.com 涉及恶意活动。 报告总结道，他们在 Censys Search 中挖掘任何引用其他可疑域名的暴露主机时，观察到总共有 1637160 个面向公众的主机链接到了其中一个域。”到目前为止，这个域名（bootcss.com）是唯一一个显示出潜在恶意迹象的域名，其他相关端点的性质尚不清楚。不过，考虑到对 polyfill.io 攻击负责的同一恶意行为者将来可能利用这些其他域名进行类似活动的可能性，也并非完全不合理。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405435.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，一家未具名的韩国企业资源规划（ERP）供应商服务器被发现遭到入侵，从而传播了一个名为Xctdoor的基于Go的后门程序。 AhnLab安全情报中心（ASEC）于2024年5月发现了这一攻击，指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式，利用ERP解决方案传播HotCroissant等恶意软件。 在ASEC最近分析的事件中，攻击者通过可执行文件被篡改，使用regsvr32.exe进程从特定路径执行一个DLL文件，该文件能够窃取系统信息，包括击键、屏幕截图和剪贴板内容，并执行攻击者发出的命令。 ASEC 表示，Xctdoor 使用 HTTP 协议与命令与控制服务器通信，而数据包加密则采用MT19937算法和 Base64 算法。 攻击中还使用了一个名为 XcLoader 的恶意软件，这是一个注入器恶意软件，负责将 Xctdoor 注入合法进程（如 “explorer.exe”）。 ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门，该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件，文件包含一个混淆的JavaScript或dropper，通过regsvr32.exe执行DLL文件，执行时会创建并运行HappyDoor和一个诱饵文件。 HappyDoor可通过Http与远程服务器通信，便于窃取信息、下载/上传文件，以及更新和终止自身活动。 安全研究员伊丹-塔拉布（Idan Tarab）表示，这也是继Konni网络间谍组织（又名Opal Sleet、Osmium或TA406）之后又一起针对韩国策划的 “大规模 “恶意软件传播活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405396.html 封面来源于网络，如有侵权请联系删除

南非国家卫生实验室服务局（NHLS）是由政府运营的医疗检测实验室网络，该机构在从勒索软件攻击中恢复的过程中继续奋战，勒索软件攻击破坏了系统并删除了备份。 6 月 22 日，勒索软件曾针对 NHLS 信息基础设施中的特定薄弱环节发动攻击，有效阻断了实验室信息系统与其他医疗数据库之间的通信，导致各公共卫生机构的实验室检测工作出现延误。 该机构在此前发表的一份声明中提到，所有实验室 “目前已完全正常运转，正在接收和处理临床样本”，但全国各地的医生已无法通过在线门户网站获取检测结果。 市场情报公司 IDC 中东和非洲部 IT 安全与软件高级研究分析师 Yotasha Thaver 称，由于 5 月份爆发了天花疫情，南非医疗系统的压力正经历前所未有的难关。 Yotasha Thaver 表示，事实上在此之前，公立医院和诊所就已经不堪重负，人手不足。此次遭遇勒索软件攻击格外糟糕，这使得实验室的检测工作将面临更大的压力。可能导致公共卫生机构实验室检测的处理时间有所延迟。 根据网络安全公司 Group-IB 的数据显示，针对医疗行业的勒索软件攻击已在全球范围内兴起，仅一年时间就翻了一番多。据统计，2023 年有 358 家机构遭受攻击。Group-IB 中东和非洲威胁情报主管 Ivan Pisarev 表示，2023 年非洲勒索软件攻击年增长率为 62%。 他说：勒索软件是目前最普遍的威胁之一，也肯定是所有组织和国家面临的最大威胁之一，只有极少数例外。 勒索软件攻击可能间接导致死亡率增加 如今，网络犯罪分子格外关注医疗机构，经常将其作为攻击目标，这无疑给全国的病人护理带来了巨大风险。 根据美国网络安全和基础设施安全局（CISA）进行的冠状病毒大流行后分析，勒索软件会导致运行中断，从而增加受影响医疗系统的压力，并可能导致原本可以康复的患者死亡。 论文指出：受影响系统的医院有可能在攻击发生后的很长一段时间内出现应激反应。这支持了对网络攻击对医院能力下降的长期影响的评估，意味着以超额死亡人数衡量的健康结果恶化。 2023 年针对医疗机构的勒索软件攻击呈上升趋势 来源：美国国家情报总监办公室 美国国家情报总监办公室 IDC 的 Thaver 说，由于南非的医疗保健系统已经不堪重负，该国可能会受到更大的影响。攻击导致病人和医生获得检测结果所需的时间增加，这可能会导致感染病例进一步增加。由于南非是一个贫困率很高的发展中国家，很多人买不起医疗保险，只能依靠公共卫生服务。 勒索软件在南非被列为五大威胁之一 泛非管理服务提供商 Liquid C2 负责网络安全的常务董事 Ignus De Villiers 说，攻击者通常利用的漏洞包括未打补丁的系统、被盗的凭证和网络钓鱼攻击，因此需要多层次的防御方法。 在当今日益数字化的环境中，企业必须做好准备，确保制定有效且经过测试的事件响应计划，并得到第三方专家的协助。攻击有时有针对性，有时没有针对性，但它们广泛传播，对大、中、小型企业同样具有破坏性，而且对网络犯罪分子来说，它们总是具有金钱价值。 Thaver 称，勒索软件在南非被列为五大威胁之一，政府应尽早介入，并通过要求严格合规和明确定义网络安全路线图来帮助公司、教育机构和小型机构。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405387.html 封面来源于网络，如有侵权请联系删除