在隐私保护为重要卖点的AI手机市场，苹果的“隐私云计算”和安卓的“混合AI”展开了隐私保护军备竞赛。 随着生成式AI技术逐渐融入手机核心功能，隐私问题变得愈加突出。苹果在6月10日的全球开发者大会上宣布推出“苹果智能”（Apple Intelligence），宣布与OpenAI合作将ChatGPT引入iPhone，标志着苹果在AI领域迈出了一大步，同时也引发了外界对苹果隐私保护的广泛关注。除了消费者外，苹果智能还面临着虎视眈眈的欧盟《数字市场法案》（DMA）。就在苹果全球开发者大会结束后不久，6月25日欧盟委员会通知苹果公司将对其展开调查，因为苹果公司（阻挠第三方应用商店的反市场竞争）行为违反了欧盟DMA法律，可能被处以全球总营业额10%的天价罚款。 苹果打造AI隐私新标准：隐私云计算 在全球开发者大会上，苹果的软件工程高级副总裁Craig Federighi表示，苹果的策略将成为AI隐私的新标准。苹果的“Private Cloud Compute (PCC)”系统将在自己的硬件服务器上运行，提供一种创新的隐私保护方式。“苹果通过PCC设计了一种新的端到端AI架构，扩展了用户iPhone的私人云环境，允许更好地控制数据。”Digital Barriers首席执行官Zak Doffman解释道。实际上，这意味着苹果可以掩盖AI请求的来源，防止包括苹果在内的任何人访问用户数据。Doffman表示，“理论上，这接近于云端AI的端到端加密。” Inrupt的安全架构主管Bruce Schneier称赞苹果为其AI打造了一个“令人印象深刻的隐私保护系统”。他指出，苹果的目标是确保AI的使用，即便在云端，也不低于手机自身的安全性。虽然这一系统仍存在一些不确定因素，但他认为苹果已经做得相当出色。 遗憾的是，虽然将隐私保护作为重要卖点，但“苹果智能”出师不利。上周五苹果公司宣布推迟在欧盟推出“苹果智能”和其他相关功能，原因是“《数字市场法案》带来的监管不确定性”。 安卓的“混合AI” 三星和谷歌的“混合AI”也采用本地和云端相结合的方法。GRC国际集团的AI主管Camden Woollven表示，这种方法旨在提供强大AI功能的同时，尽可能保护隐私。然而，这种混合AI处理方式仍存在风险，因为部分数据需要传输到云端服务器，可能更容易被截获或滥用。谷歌和其硬件合作伙伴则认为，隐私和安全是安卓AI方法的关注重点。三星电子的移动体验业务安全团队负责人Justin Choi解释说，其混合AI提供了数据控制和无与伦比的隐私保护。Choi表示混合AI在云端处理的服务器受严格的安全政策控制。谷歌的数据中心具备强大的安全措施，包括物理安全、访问控制和数据加密。谷歌产品信任副总裁Suzanne Frey表示，谷歌的AI功能依赖于其自身的云端模型，确保敏感信息不会被发送给第三方处理。 第三方风险 与安卓AI不同，“苹果智能”还面临第三方风险。事实上，苹果与OpenAI的合作一开始就引发了外界的广泛质疑，尤其是来自OpenAI联合创始人埃隆·马斯克的批评。马斯克在社交媒体X上称，苹果的ChatGPT驱动AI工具是“令人毛骨悚然的间谍软件”和“不可接受的安全漏洞”。他甚至威胁，如果苹果在操作系统层面整合OpenAI，其公司将禁止使用苹果设备。苹果反驳了马斯克的指控，称与OpenAI的合作不会影响iPhone的安全性，并强调了为用户隐私提供的保护措施，包括查询共享前需征得用户同意和IP地址的匿名处理。然而，安全专家仍对合作的隐私影响和“第三方风险”表示担忧。 AI手机的隐私保护竞赛 苹果和谷歌都在鼓励安全研究人员寻找其AI解决方案中的漏洞。但谷歌的方法更为封闭，其Secure AI Framework由旗下的网络安全公司Mandiant负责测试AI模型的防御能力。苹果则采用了相对开放的“可验证透明度”模式，为PCC的软件图像提供公开访问，让外部安全研究人员能够检查其软件功能并识别问题。随着苹果计划在即将推出的iOS 18更新中整合“苹果智能”和ChatGPT功能，隐私和安全问题将成为用户选择AI功能的重要考虑因素。正如专家Andy Pardoe所指出的，“苹果（宣称的）的隐私保护能力仍然是重视数据安全的用户的关注重点。” 选择苹果iOS还是安卓AI手机，最终取决于用户的信任。Pardoe建议用户评估操作系统在隐私特性、数据处理实践和透明度方面的整体权衡。目前从云端加密控制、安全测试开放度和透明度等方面来看，“苹果智能”在隐私保护方面的表现已经领先安卓。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jowNVqYE1YXhq3hUCWB72g 封面来源于网络，如有侵权请联系删除

Polyfill供应链攻击事件曝光已经过去一周，但仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站，其中不乏财富500强和政府网站。 2024年6月25日，Sansec安全研究团队披露了一起严重的网络安全事件：知名的Polyfill开源库的CDN分发站点polyfill.io（以及GitHub账户）自今年2月卖给了一家中国企业之后，开始嵌入恶意程序，以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站。Sansec估计，超过10万个网站受到了这次攻击的影响，包括很多知名上市公司。Polyfill函数库的功能是在旧版浏览器中补充或模拟现代浏览器所支持的功能，当旧版浏览器用户所访问的网站具备现代化浏览器所支持的新功能时，网站即可导入该函数库来实现相同的功能。 Sansec的报告发布两天后，业界纷纷采取措施缓解Polyfill.io的风险：域名注册商 Namecheap暂停了域名（Polyfill.io），此举有效地阻止了恶意代码在访客设备上运行。随后，Cloudflare等CDN服务商也开始自动将polyfill.io的链接替换为安全镜像站点的域名。谷歌则屏蔽了嵌入Polyfill.io域名的网站广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。Polyfill.io的原始创建者 Andrew Betts也敦促网站所有者立即删除指向该库的链接。 Sansec建议不再需要Polyfill函数库的网站应该立刻移除polyfill.io，或是改用由Fastly或Cloudflare所提供的Polyfill方案。 虽然业界集体行动暂时缓解了polyfill供应链攻击威胁，但是，据安全公司Censys的最新报告，截至本周二，仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关，包括： 华纳兄弟（www.warnerbros.com） Hulu（www.hulu.com） 梅赛德斯-奔驰（shop.mercedes-benz.com） 培生（digital-library-qa.pearson.com、digital-library-stg.pearson.com） ns-static-assets.s3.amazonaws.com amazonaws.com是仍链接到polyfill站点的网站中最常用的域名，这表明亚马逊S3静态网站托管的用户广泛使用polyfill恶意域名。 Censys还发现182个以.gov结尾的域名，可能属于政府实体。其中一个域名 feedthefuture[.]gov隶属于美国联邦政府。 上述调查结果再次证明了软件供应链攻击的巨大杀伤半径，同时也意味着危险并未真正解除，因为polyfill恶意网站域名一旦“复活”或者被跳转到其他恶意站点，这个定时炸弹随时有可能再次被引爆。 值得警惕的是，Censys扫描互联网还发现，有超过160万个网站链接到一个或多个由拥有polyfill.io的同一公司实体注册的域名。至少有一个网站bootcss[.]com在2023年6月被发现执行了与polyfill类似的恶意操作。该域名以及其他三个域名（bootcdn[.]net、staticfile[.]net和staticfile[.]org）还被发现泄露了用户用于访问Cloudflare提供的编程接口的身份验证密钥。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aqOw6LtpiCsDxAoAJbcaKg 封面来源于网络，如有侵权请联系删除

近日，Twilio 称发现了一个不安全的 API 端点，允许威胁行为者非法验证数百万 Authy 多因素身份验证用户的电话号码，这可能导致他们收到短信钓鱼，同时还可能会遭遇 SIM 卡交换攻击。 Authy 是一款移动应用程序，可在启用了 MFA 的网站上生成多因素验证码。 6 月底，一个名为 ShinyHunters 的威胁行为者泄露了一个 CSV 文本文件，其中包含他们在 Authy 服务注册的 3300 万个电话号码。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据来源：BleepingComputer CSV 文件包含 33420546 行内容，每一行都包含账户 ID、电话号码、”over_the_top “列、账户状态和设备数量。 Twilio 表示，有威胁分子使用了一个未经验证的 API 端点编译了电话号码列表。目前，Twilio 检测到由于使用了未经身份验证的端点，威胁行为者能够识别与 Authy 账户相关的数据，包括电话号码。Twilio 现已采取措施保护该端点的安全，不再允许未经身份验证的请求。 目前还没有任何证据表明威胁行为者获取了 Twilio 的系统或其他敏感数据。不过作为预防措施，Twilio 要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序，以获取最新的安全更新，并敦促所有 Authy 用户保持警惕，提高对网络钓鱼和网络诈骗攻击的防范意识。 2022 年Twilio 曾披露过两起漏洞攻击事件，当时有威胁行为者入侵了其基础设施并访问 Authy 客户信息。 滥用不安全的 API 据悉，这些数据是通过不安全的 API 端点输入大量电话号码列表编制而成的。如果号码有效，端点就会返回在 Authy 注册的相关账户信息。 这种技术与此前威胁行为者滥用Twitter API 和 Facebook API 编译数千万用户配置文件的方式类似。 ShinyHunters 在帖子中称：虽然 Authy 只获取电话号码，但这对于那些想实施诈骗、SIM 卡交换攻击入侵账户的用户仍然有利。并暗示威胁行为者将电话号码列表与据称 Gemini 和 Nexo 数据泄露事件中泄露的电话号码进行比较。 如果发现匹配，威胁者可能会尝试执行 SIM 卡交换攻击或网络钓鱼攻击，入侵加密货币交易所账户并窃取所有资产。 Twilio 目前已经发布了新的安全更新，并建议用户升级到 Authy Android（v25.1.0）和 iOS App（v26.1.0），其中包括安全更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405195.html 封面来源于网络，如有侵权请联系删除

巴西数据保护机构国家数据保护局（ANPD）暂时禁止 Meta处理用户的个人数据以训练该公司的人工智能（AI）算法。 ANPD表示，发现“有证据表明，个人数据处理基于不充分的法律假设、缺乏透明度、数据主体的权利受到限制以及对儿童和青少年构成风险”。该决定是在该社交媒体巨头更新其条款之后做出的，该条款允许其使用 Facebook、Messenger 和 Instagram 的公开内容用于人工智能训练目的。 人权观察组织最近发布的一份报告发现，用于训练人工智能模型的最大图像文本数据集之一LAION-5B包含可识别巴西儿童照片的链接，这使他们面临恶意深度伪造的风险，从而可能遭受更多的剥削和伤害。 巴西拥有约 1.02 亿活跃用户，是最大的市场之一。ANPD 指出，Meta 更新违反了《通用个人数据保护法》（LGBD），并且“有可能对受影响数据主体的基本权利造成严重、不可挽回或难以修复的损害”。 Meta 有五个工作日的时间来遵守该命令，否则将面临每天 50,000 雷亚尔（约合 8,808 美元）的罚款。 该公司在与美联社分享的一份声明中表示，该政策“符合巴西的隐私法律法规”，而该裁决“对创新和人工智能开发竞争来说是倒退，并进一步推迟了人工智能给巴西人民带来的好处”。 这家社交媒体公司在欧盟也遭遇了类似的阻力，迫使其暂停在未获得用户明确同意的情况下使用该地区用户数据训练其人工智能模型的计划。 上周，Meta 全球事务总裁尼克·克莱格 (Nick Clegg)表示，欧盟“不再是创新和世界一流公司的沃土”，并补充说“生成式人工智能时代提供了改变这一现状的机会”。 Cloudflare 刚刚发布了一款新的“一键式”工具，可以防止人工智能机器人从其客户网站上抓取内容来训练大型语言模型 (LLM)。 该网络基础设施公司表示：“随着我们发现有新的犯罪机器人在广泛抓取网络数据以进行模型训练，该功能将随着时间的推移自动更新。”   转自e安全，原文链接：https://mp.weixin.qq.com/s/orei2ZX_rXN8CE95tkOraw 封面来源于网络，如有侵权请联系删除

最大的密码汇编包含近百亿个唯一密码，在一个流行的黑客论坛上被泄露。Cybernews 研究团队认为，此次泄露对倾向于重复使用密码的用户构成了严重威胁。 Cybernews 研究人员发现了似乎是最大的密码汇编，其中包含惊人的 9,948,575,739 个独特的明文密码。包含数据的文件名为 rockyou2024.txt，由论坛用户 ObamaCare 于 7 月 4 日发布。 虽然该用户于 2024 年 5 月下旬注册，但他们之前曾共享过 Simmons & Simmons 律师事务所的员工数据库、在线赌场 AskGamblers 的线索以及伯灵顿县罗文学院的学生申请。 Cybernews 研究人员将 RockYou2024 泄露事件中的密码与 Cybernews 泄露密码检查器的数据进行了交叉对照，结果显示这些密码来自新旧数据泄露的混合。 研究人员表示：“从本质上讲，RockYou2024 泄露的是世界各地个人使用的真实密码汇编，大大增加了凭证填充攻击（就是中国网民熟悉的撞库攻击）的风险。” 凭证填充攻击可能会对用户和企业造成严重损害。例如，最近针对Santander、Ticketmaster、Advance Auto Parts、QuoteWizard等公司的一波攻击就是受害者云服务提供商 Snowflake 遭受凭证填充攻击的直接结果。 该团队解释说：“攻击者可以利用 RockYou2024 密码汇编进行暴力攻击，泄露的数据集中包含各种个人用户使用的在线帐户密码。” 并非第一次 RockYou2024 密码汇编并非从天而降。三年前，Cybernews 发表了一篇关于RockYou2021密码汇编的文章，当时最大的密码汇编包含 84 亿个纯文本密码。 根据该团队对 RockYou2024 的分析，攻击者通过在互联网上搜索数据泄露来开发数据集，从 2021 年到 2024 年又增加了 15 亿个密码，使数据集增加了 15%。 RockYou2021 汇编是 2009 年数据泄露事件的扩展，其中包含数千万个社交媒体账户的用户密码。然而，自那以后，汇编数量呈指数级增长。最有可能的是，最新的 RockYou 版本包含了 20 多年来从 4,000 多个数据库收集的信息。 Cybernews 团队认为，攻击者可以利用多达 100 亿的 RockYou2024 汇编来攻击任何未受暴力破解攻击保护的系统。这包括从在线和离线服务到接入互联网的一切工业硬件。 “此外，结合黑客论坛和市场上其他泄露的数据库（例如包含用户电子邮件地址和其他凭证），RockYou2024 可能导致一系列数据泄露、金融欺诈和身份盗窃。”该团队表示。 如何防范 RockYou2024？ 显然，并没有灵丹妙药来保护已暴露密码的用户，但受影响的个人和组织可以采取缓解策略。安全研究人员建议： 1.使用随机密码管理器来随机生成复杂密码，比如Chrome浏览器自带的密码管理工具，可以随机生成密码，并可以对弱密码、已泄露密码进行检测； 2.使用多重验证工具进行身份验证，微软、谷歌均提供了Authenticator验证工具，建议网民通过苹果、安卓应用商店下载安装。 3.中国主流互联网服务均支持社交媒体工具（微信、支付宝、抖音等）扫码验证或手机短信验证，部分与金融服务相关的关键业务必须通过刷脸验证或人工验证。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/G4kMwOvDP1vbE4fT_mJ0CQ 封面来源于网络，如有侵权请联系删除

Passkey（通行密钥）是一种流行的无密码技术，多用于验证用户对云托管应用程序的访问。尽管Passkey被寄予厚望，号称密码终结者，但却容易受到中间对手（AitM）攻击。根据eSentire的一项研究，如果Passkey未能正确实施，例如提供不太安全的备份身份验证方法，容易遭受AitM攻击，攻击者通过修改向用户显示的提示来绕过身份验证流程。 大多数Passkey实现可被绕过 “在Passkey仅用作第一因素身份验证方法时，其备份身份验证容易受到AitM攻击，”eSentire威胁响应部门（TRU）的首席安全研究员Joe Stewart在博客文章中指出：“由于AitM可以通过修改登录页面中的HTML、CSS和图像或JavaScript来操纵呈现给用户的视图，当它被代理到最终用户时，他攻击者可以控制身份验证流程并删除对密钥身份验证的所有引用。” 这一发现意味着，在无密码密钥身份验证之后被认为更安全的帐户（例如银行、电子商务、社交媒体、云帐户和软件开发平台等在线平台上的帐户）仍然可以被入侵。 Stewart在博客中发布了POC并指出，开源AitM软件（如Evilginx）可用于欺骗GitHub，Microsoft和Google等流行IT服务的用户。 在Evilginx中，可以通过一些编辑（编辑显示文本）来部署特定的Phishlet，即通过从真实登录页面捕获身份验证令牌和会话cookie来启用AitM攻击的脚本，以诱骗用户进行密钥身份验证。 “我们使用了标准的GitHub网络钓鱼进行测试，”Stewart说道：“当目标用户访问诱饵URL时，除了URL栏中的主机名之外，他们看到的钓鱼页面与普通的GitHub登录页面一样，因为它就是真实的GitHub登录页面，只是通过Evilginx代理。” 然而，通过稍微修改网络钓鱼配置，攻击者可以删除“使用Passkey登录”的文本，Stewart补充说，这意味着攻击者可以很容易地诱骗用户选择基于密码的备份身份验证。 该研究指出，对于使用Passkey作为第一因素和第二因素身份验证方法的情况，都可实施此类攻击。除非用户安全意识极强，能够记得界面中（应该有）Passkey选项，否则很可能会直接输入用户名和密码，这些用户名和密码将与身份验证令牌/cookie一起被发送给攻击者，后者可以使用这些令牌/cookie来保持对帐户的持续访问。 根据Stewart的说法，passkeys.directory上列出的大多数Passkey实现都容易受到此类身份验证方法编辑攻击。 最安全的备份身份验证方法 该研究进一步强调，几乎所有的Passkey备份身份验证方法都容易受到AitM攻击，包括密码、安全问题、向受信任设备推送通知、社交受信任联系人恢复、短信代码、电子邮件、电话、KYC/文件验证或预定义电子邮件或短信号码上的魔术链接。其中，只有社交可信联系人恢复、KYC验证和魔术链接等选项才能通过繁琐的设置来阻止AitM。 研究者指出，第二密钥或FIDO2硬件密钥是最安全的方法。“显然，拥有多个密钥才是最安全的方法，最好是至少有一个密钥是由PIN安全存储和保护的硬件密钥，”Stewart指出：“Passkey的采用仍处于早期阶段，在密钥/安全密钥丢失或AitM身份验证流程被操纵的情况下，魔术链接可能是目前恢复用户帐户最安全的方法。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Pcoh2uAb8nVIj4ephuQiyg 封面来源于网络，如有侵权请联系删除

近日，微软在 Rockwell PanelView Plus 设备中发现并披露了两个重大漏洞，未经身份认证的攻击者可远程利用这些漏洞执行远程代码和发起拒绝服务（DoS）攻击。 微软的调查结果揭露了在广泛使用这些人机界面（HMI）图形终端的工业领域存在的严重安全漏洞，凸显了在工业自动化系统中采取强有力的安全措施以防止潜在破坏的迫切需要。 RA PanelView Plus 设备漏洞细节 远程代码执行 (RCE) 漏洞被识别为 CVE-2023-2071，CVSS 评分为 9.8，涉及对设备中两个自定义类的利用。攻击者可滥用这些类上传并执行恶意 DLL，从而有效获得设备的远程控制权。 DoS 漏洞被识别为 CVE-2023-29464，CVSS 评分为 8.2，利用相同的自定义类发送设备无法处理的伪造缓冲区，导致系统崩溃。 漏洞发现和披露 PanelView Plus 设备在工业自动化领域发挥着至关重要的作用，因此发现的漏洞尤其令人担忧。攻击者利用这些漏洞可以远程执行代码，可能导致运行中断，给受影响的组织造成重大经济损失。 漏洞发现 Microsoft Defender for IoT 研究团队的主要职责之一是确保对操作技术 (OT) 和物联网 (IoT) 协议进行全面分析。 在调查过程中，该团队观察到两个通过通用工业协议 (CIP) 通信的设备之间存在合法的数据包捕获。一个涉及注册表值“ProductCode”路径的可疑远程注册表查询引起了对潜在漏洞的担忧。 协议深度分析 CIP是一种为工业自动化应用设计的面向对象协议。信息针对的是由类 ID 和对象实例 ID 标识的特定对象。该协议包括一个服务代码，表示要在对象上执行的操作。 微软的分析显示，观察到的通信涉及特定供应商的服务 ID 和类 ID 值，这促使对 HMI 固件进行进一步调查。 固件分析和利用方法 PanelView Plus HMI 在 Windows 10 IoT（或 Windows CE 上的旧版本）操作系统上运行。微软团队从固件中提取了相关 DLL 和可执行文件，以了解设备如何处理 CIP 请求。 他们发现，某些 DLL 管理着负责读取和写入注册表键值的自定义 CIP 类，这一发现导致确定了两个可被利用来远程执行代码的自定义类。 第一个自定义类接受 DLL 路径、函数名称和参数，加载 DLL 并执行指定函数。尽管验证功能将函数名称限制为预定义值，但微软还是找到了利用该类的方法。第二个自定义类允许在设备上读写文件，但验证不那么严格，为上传恶意 DLL 提供了途径。 微软通过编译与 Windows 10 IoT 兼容的恶意 DLL 演示了一种利用方法。他们使用第二个自定义类来上传 DLL，并将其放置在特定文件夹中。然后，使用第一个自定义类执行名为 remotehelper.dll 的 DLL，使攻击者能够远程控制设备。这一概念验证证实了漏洞的严重性和被利用的可能性。 漏洞披露 微软安全漏洞研究（MSVR）团队在分析发现这些漏洞后，于 2023 年 5 月和 7 月通过协调漏洞披露（CVD）与 Rockwell Automation 分享了他们的发现。 Rockwell Automation  迅速做出响应，于 2023 年 9 月和 10 月发布了公告及安全补丁。 缓解和保护措施 为降低与这些漏洞相关的风险，微软建议采取以下措施： 应用补丁： 确保受影响的设备已更新最新的安全补丁。具体来说，安装补丁 PN1645 和 PN1652 以解决已识别的漏洞。 网络隔离： 断开 PLC、路由器和 PC 等关键设备与互联网的连接，并确保正确的网络分段。 访问控制： 限制只有授权组件才能访问 CIP 设备。 利用工具： 使用 GitHub 上提供的 Microsoft 工具对 Rockwell Rslogix 设备进行扫描和取证调查，以确定受影响的设备并确保其相应的安全。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405173.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，一起来自多国执法机构组成的联合行动成功关闭了 593 台运行未经授权版本的 Cobalt Strike 的流氓服务器，这些服务启经常被网络犯罪分子滥用。 这项为期一周的行动于 2024 年 6 月 24 日开始，代号为“墨菲斯行动”，由英国国家犯罪局（NCA）牵头，由欧洲刑警组织协调。参与的机构包括联邦调查局、澳大利亚联邦警察和加拿大皇家骑警，针对 27 个国家和地区的 129 家互联网服务提供商的 690 个恶意 Cobalt Strike 软件实例。 行动结束时，通过向互联网服务提供商发送服务器下线和滥用通知，提醒他们注意网络上的恶意软件，其中 593 个实例已被清除。该行动还利用恶意软件信息共享平台共享实时威胁情报，帮助识别了近 120 万个危害指标。 Cobalt Strike是一种合法的网络安全工具，专为渗透测试和红队行动而设计，能帮助安全专业人员模拟网络攻击，以识别和缓解网络中的漏洞。然而，强大的功能使其成为网络犯罪分子的最爱，利用它们进行真实攻击，包括勒索软件和数据盗窃。 被这次行动关闭的服务器预计将极大地破坏依赖 “Cobalt Strike “进行攻击的网络犯罪行动。不过专家提醒，这可能只是暂时的。 取缔Cobalt Strike 非法行为是一项多方面的工作，涉及实时威胁情报共享、网络扫描、主动探测、与互联网服务提供商合作以及国际协调。但网络犯罪分子通常具有较快的应变与适应能力，往往在服务器被攻陷后不久就会建立新的基础设施。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405155.html 封面来源于网络，如有侵权请联系删除

2023 年 10 月，为提高基于内核的虚拟机（KVM）管理程序的安全性，谷歌推出一项新的漏洞奖励计划（VRP）——kvmCTF。 据悉，KVM 是一个开源管理程序，目前已有超过 17 年的发展历史，是消费者和企业环境中的一个重要组件，为安卓和谷歌云平台提供动力。作为 KVM 的积极和重要贡献者，谷歌开发了 kvmCTF 作为一个协作平台，帮助识别和修复安全漏洞。 与谷歌针对 Linux 内核安全漏洞的 kernelCTF 漏洞奖励计划一样，kvmCTF 的重点是基于内核的虚拟机（KVM）管理程序中的虚拟机可触及安全漏洞，参加该计划的安全研究人员将获得一个可控的实验室环境，以便其展示其捕获可利用安全漏洞的标志。 值得注意的是，与其他漏洞奖励计划不同，kvmCTF 仅仅专注于零日安全漏洞，不会奖励针对已知漏洞的漏洞利用。kvmCTF 的奖励级别如下： 完全虚拟机逃逸：25 万美元； 任意内存写入：100000 美元； 任意内存读取：50000 美元； 相对内存写入：50000 美元； 拒绝服务：20000 美元； 相对内存读取：10000 美元。 谷歌软件工程师 Marios Pomonis 表示，参赛者可以预约访问客户虚拟机的时间段，并尝试执行客户对主机攻击，但是其攻击的目的必须是利用主机内核 KVM 子系统中的零日漏洞。如果攻击成功，“攻击者”将获得一个标志，以证明其成功利用了安全漏洞。kvmCTF 计划会根据攻击的严重程度决定奖励金额的大小。（注意：只有在上游补丁发布后，谷歌才会收到已发现零日漏洞的详细信息，以确保与开源社区同步共享信息） 最后，谷歌方面强调，在开始参与 kvmCTF 计划前，参与者必须查看、了解清楚 kvmCTF 的各项规则，其中包括有关预订时间段、连接到客户虚拟机、获取标志、将各种 KASAN 违规行为映射到奖励层级的信息，以及报告漏洞的详细说明。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405089.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对以色列各实体的攻击活动，该攻击使用了 Donut 和 Sliver 等公开可用的框架。 HarfangLab 在上周的一份报告中表示，此次攻击活动被认为具有高度针对性，“利用针对特定目标的基础设施和定制的 WordPress 网站作为有效载荷传送机制，但影响到不相关垂直领域的各种实体，并依赖于知名的开源恶意软件”。 这家法国公司正在以 Supposed Grasshopper 为名跟踪该活动。它指的是攻击者控制的服务器（“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”），第一阶段下载程序会连接到该服务器。 这个用 Nim 编写的下载器很初级，其任务是从暂存服务器下载第二阶段恶意软件。它通过虚拟硬盘 (VHD) 文件进行传输，该文件被怀疑是通过自定义 WordPress 网站传播的，属于驱动下载计划的一部分。 从服务器检索的第二阶段有效载荷是Donut ，一个 shellcode 生成框架，它作为部署名为Sliver的开源Cobalt Strike替代品的管道。 研究人员表示：“运营商还付出了巨大努力，获取专用基础设施并部署真实的 WordPress 网站来投递有效载荷。总的来说，这次活动感觉像是一支小团队的杰作。” 该活动的最终目标目前尚不清楚，但 HarfangLab 推测它也可能与合法的渗透测试操作有关，这种可能性引发了一系列有关透明度和冒充以色列政府机构的必要性的问题。此次披露之际，SonicWall Capture Labs 威胁研究团队详细介绍了一条感染链，该链使用设有陷阱的 Excel 电子表格作为起点，投放一种名为 Orcinius 的木马。 该公司表示：“这是一个多阶段木马，它使用 Dropbox 和 Google Docs 下载第二阶段的有效载荷并保持更新。它包含一个模糊的 VBA 宏，可以挂接到 Windows 中以监视正在运行的窗口和击键，并使用注册表项创建持久性。”   转自e安全，原文链接：https://mp.weixin.qq.com/s/VcX4C1TZ2vGijCMIWP-TbQ 封面来源于网络，如有侵权请联系删除