据称，来自巴基斯坦的黑客在为期六年针对印度政府、国防和技术部门相关公司的攻击活动中使用了基于 Android 的恶意软件。 据思科 Talos 研究人员称，该攻击活动仍在进行中，涉及使用名为 GravityRAT 的恶意软件，该恶意软件可让黑客窃取信息。在该研究机构周四发布的一份报告中，研究人员将该活动称为“Operation Celestial  Force（天体力量行动）”。 思科 Talos 表示，自 2019 年以来，它发现黑客不断为 GravityRAT 添加功能，使他们能够窃取设备数据，例如移动设备识别码、电话号码、网络操作、SIM 信息和设备位置。 “Operation Celestial  Force（天体力量行动）”的感染链 思科此前曾曝光巴基斯坦攻击者在 2018 年使用 GravityRAT 攻击印度目标。 该恶意软件还允许黑客阅读短信、窃取设备上的文件、阅读通话记录并删除所有联系人。 黑客通过恶意网站传播 GravityRAT，其中一些网站的注册时间最晚为 2024 年 1 月。这些网站声称提供合法的 Android 应用程序。 此次攻击背后的黑客属于一个被研究人员称为“Cosmic Leopard（宇宙豹）”的组织，该组织主要专注于间谍和监视活动。 思科 Talos 的研究人员表示：“这项行动至少在过去六年中一直活跃，Talos 观察到近年来威胁形势总体呈上升趋势，尤其是利用移动恶意软件针对高价值目标进行间谍活动，包括使用商业间谍软件。” 扩展和重叠 除了 GravityRAT 恶意软件之外，“Operation Celestial  Force（天体力量行动）”活动还使用了“不断扩展和演变的恶意软件套件”——思科 Talos 表示，这证明黑客“在针对印度目标方面取得了高度成功”。 此次扩展包括 HeavyLift 恶意软件家族——它允许黑客下载并安装其他恶意植入程序到受害者的设备上。 “此次活动主要利用两种感染媒介——鱼叉式网络钓鱼和社会工程。鱼叉式网络钓鱼包括向目标发送带有相关语言和包含 GravityRAT 等恶意软件的恶意文档的消息。”研究人员表示。 “另一种感染媒介在这次行动中越来越受欢迎，现在也是“Cosmic Leopard （宇宙豹）”行动的主要策略，即通过社交媒体渠道联系目标，与他们建立信任，最终向他们发送恶意链接，下载基于 Windows 或 Android 的 GravityRAT 或基于 Windows 的加载程序 HeavyLift。” “Cosmic Leopard （宇宙豹）”的活动与透明部落（另一个巴基斯坦黑客组织）的活动重叠。透明部落涉嫌参与多起针对印度教育部门、政府和军队以及阿富汗各地组织的活动。 透明部落过去曾利用针对 Android 的恶意软件攻击印度和巴基斯坦公民，这些恶意软件旨在记录电话、窃取照片等。思科 Talos 表示，没有足够的技术证据将这场持续六年的攻击活动与透明部落联系起来，这就是为什么他们将其标记为 “Cosmic Leopard （宇宙豹）”的原因。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/LnecCMZAGXF0IFyTdN4JgQ 封面来源于网络，如有侵权请联系删除

随着掌管数字生活入口的万亿美元俱乐部企业——苹果公司跳入人工智能（AI）赛道，AI技术民主化的大幕正式拉开，同时也将AI安全问题推向舆论的风口浪尖。根据瑞银本周一的智能手机调查报告，在中国以外的智能手机用户中，只有27%的人对提供生成式AI功能的设备感兴趣，价格和隐私才是用户最关心的问题。显然，用户最关心的不是AI带来的效率和体验，而是隐私和AI安全的新威胁。 AI面临的头号威胁：投毒攻击 近日，美国国家标准与技术研究院（NIST）发出警告称，随着人工智能技术的快速普及，越来越多的黑客将发起“投毒攻击”，AI应用的安全性将面临严峻考验。投毒攻击是针对人工智能（AI）系统的一种恶意行为，黑客通过操纵输入数据或直接修改模型来影响AI系统的输出。 过去，业界针对AI系统的“投毒攻击”并不重视，软件公司Splunk曾在《2024年安全状态报告》指出：“AI中毒仍然是一种可能性，但尚未普及。” 但是安全专家们警告CISO加强戒备，因为有迹象表明黑客正越来越多地瞄准AI系统，尤其是通过破坏数据或模型来进行投毒攻击，各种规模和类型的企业都可能成为攻击目标。 咨询公司Protiviti透露，该公司的一家客户企业近日遭遇了投毒攻击：黑客试图通过投喂恶意输入数据来操纵该公司AI系统的输出结果。 Protiviti指出：“所有企业，无论是内部开发的AI模型还是使用第三方AI工具，都面临投毒攻击风险。” 四种主要的投毒攻击 NIST在2024年1月的一份报告中强调了投毒攻击的危险性：“中毒攻击非常强大，可导致AI系统的可用性或完整性受到破坏。” NIST将投毒攻击划分为以下四大类型： 可用性投毒：无差别地影响整个机器学习模型，相当于针对AI系统的拒绝服务攻击。 目标投毒：黑客在少数目标样本上诱导机器学习模型产生错误的预测结果。 后门投毒：通过在训练时在一部分图像中添加小的触发补丁并更改其标签，可以影响图像分类器，以在实际使用时激活错误行为。 模型投毒：直接修改训练后的机器学习模型以注入恶意功能，使其在特定情况下表现异常。 NIST和安全专家指出，除了中毒攻击，AI系统还面临隐私泄露以及直接和间接提示注入等多种攻击。 NIST研究团队主管ApostolVassilev表示：“企业部署AI会引入全新的攻击面，我们已经看到了学术界和其他研究人员展示的漏洞利用。随着AI技术的普及，黑客攻击的价值也随之增加，这也是为什么我们会看到更严重的漏洞利用，我们已经看到相关案例的增加。” AI投毒攻击可来自内部或外部 安全专家表示，中毒攻击既可能由内部人员发起，也可能由外部黑客发起，这与传统的网络攻击类似。FTIConsulting管理董事DavidYoussef表示，国家级黑客可能是最大的风险之一，因为他们有能力和资源投资于这类攻击。 专家指出，黑客发起AI投毒攻击的动机与传统网络攻击类似，例如为了造成破坏或损失，以及获取机密数据或勒索金钱。 主要目标：AI厂商 虽然任何使用AI的企业和机构都可能成为受害者，但IEEE高级成员和Hyperproof的CISOKayneMcGladrey表示，黑客更有可能瞄准制造和训练AI系统的科技公司。最近的一个案例暴露了AI技术供应链上游的潜在巨大风险。科技公司JFrog的研究人员发现，约有100个恶意机器学习模型被上传到公开的AI模型库HuggingFace。 研究人员指出，这些恶意模型可能允许攻击者在加载模型时向用户机器注入恶意代码，可能会迅速破坏大量用户环境。 CISO应该怎么做？ 根据ISC2今年2月份的调查，很多CISO并未做好应对AI风险的准备。报告发现，超过1100名受访者中，75％表示中度至极度担心人工智能会被用于网络攻击或其他恶意活动，其中深度伪造、虚假信息和社会工程是网络专业人士最担心的三大问题。尽管人们对此高度担忧，但只有60%的人表示，他们有信心带领组织安全采用AI。此外，41%的人表示，他们在保护AI和ML技术方面几乎没有或根本没有专业知识。与此同时，只有27%的人表示，他们的组织制定了有关AI安全和道德使用的正式政策。 ISC2首席信息安全官JonFrance表示：“一般的CISO并不擅长AI开发，也没有将AI技能作为核心竞争力。” 安全专家建议，防御投毒攻击需要采用多层防御策略，包括强大的访问和身份管理程序、安全信息和事件管理（SIEM）系统以及异常检测工具。此外，还需要良好的数据治理实践以及对AI工具的监控和监督。 NIST在《对抗性机器学习》报告中也提供了详细的缓解策略和关于投毒攻击的详细信息。 最后，一些安全领导者强烈建议CISO在团队中增加接受过AI安全培训的专业人才（普通SOC团队无法评估训练数据集和AI模型），并与其他高管合作，识别和理解与AI工具相关的风险（包括中毒攻击），制定风险缓解策略。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/sFHZwhoflRVy6zw5M1Vhkw 封面来源于网络，如有侵权请联系删除

根据 WthSecure 的最新报告，边缘服务和基础设施设备中的漏洞正越来越多地被网络威胁者利用。 边缘服务是安装在网络边缘的软件，可以从互联网和内部网络访问，对黑客很有吸引力，因为它们是进入网络的完美初始接入点。 最近，针对易受攻击的边缘软件的攻击呈爆炸性增长，包括MOVEit、CitrixBleed、Cisco XE、Fortiguard的FortiOS、Ivanti ConnectSecure、Palo Alto的PAN-OS、Juniper的Junos和ConnectWise ScreenConnect等安全事件。 传统上，这些被利用的边缘服务安装在基础设施设备（也称为设备）上。这些设备由供应商提供，没有额外的安全工具，软件和硬件完全由供应商定义。最常见的基础设施设备包括防火墙、VPN 网关和电子邮件网关。 边缘安全漏洞持续增加 在报告的介绍中 WithSecure 提醒读者，最近的许多报告显示，大规模利用可能已经取代僵尸网络成为勒索软件事件的主要载体，而且由于大规模利用易受攻击软件引发的安全事件也在迅速增加。 基于这一假设，这家总部位于芬兰的公司想要确定边缘服务漏洞利用在这一趋势中发挥了多大程度的关键作用。 WithSecure 分析了边缘服务和基础设施漏洞不同于已知漏洞（KEV）目录中其他漏洞的一些趋势，KEV 是由美国网络安全和基础设施安全局（CISA）维护的已知被利用的关键漏洞列表。 该公司发现，在过去几个月中，KEV 列表中新增的边缘服务和基础设施漏洞比常规漏洞要多。 例如，与2023年相比，2024年每月加入KEV列表的常见漏洞和暴露（CVE）数量有所下降（-56%），但同期每月加入的边缘服务和基础设施CVE增加了22%。 在过去三年中，每月被利用漏洞的总体趋势并不一致，相比之下，每月被利用的边缘漏洞自 2022 年以来持续上升。 此外，添加到 CISA KEV 列表中的边缘服务和基础设施漏洞往往比其他类型的 CVE 影响更大，在过去两年的 KEV 数据中，这些特定 CVE 的严重性评分高出 11%。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403455.html 封面来源于网络，如有侵权请联系删除

Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序，通过使用 OpenAI 公开提供的人工智能模型，帮助其用户在 Gmail 服务上撰写电子邮件（用户向该服务提供原始数据和上下文，接收人工智能反馈的内容，以此撰写电子邮件）。然而，最近的一项研究发现，该服务存在一个高危安全漏洞。 据悉，安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报，追踪为 CVE-2024-5184（CVSS 得分为 6.5），是一个 “提示注入 “类型的漏洞，允许威胁攻击者操纵服务并盗取敏感信息，可能引发知识产权泄露、拒绝服务和大额经济损失。 CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服务时，可能会允许威胁攻击者注入第三方提示并操纵服务逻辑，导致泄露系统提示或执行不需要的命令。例如，威胁攻击者可以创建一个嵌入不需要的功能的提示，从而进行数据”挖掘“、使用被入侵的账户发送垃圾邮件或者为邮件列表创建误导性内容。 Synopsys 方面表示，网络安全研究人员在公布 CVE-2024-5184 安全漏洞详细信息之前联系了 EmailGPT 的开发人员，但目前尚未收到任何回复。鉴于当下还没有办法缓解该安全漏洞，Synopsys 建议有关用户应立即从浏览器中删除 EmailGPT。 SlashNext 电子邮件安全公司首席执行官 Patrick Harr 强调，必须对人工智能模型进行严格管理并实施额外的安全措施，以防止安全漏洞及其后续利用。此外，对于一些将人工智能整合到业务流程中的公司，更应该要求人工智能模型供应商提供真正的安全证明，避免安全事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403414.html 封面来源于网络，如有侵权请联系删除

全球知名的半导体公司 Arm 和 Nvidia 正在敦促客户修补其产品中一系列新的漏洞。总部位于英国的Arm周五警告称，其 Mali GPU 内核驱动程序（一种帮助操作系统与 Mali 图形处理器进行通信的软件）中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610，可能导致“不当的 GPU 内存处理操作”，从而引发崩溃、数据损坏或未经授权访问敏感信息等安全问题。 Arm 表示，它已经注意到有关该漏洞被广泛利用的报告，并已修复该漏洞。如果用户受到此问题的影响，该公司建议他们升级 Bifrost 和 Valhall GPU 内核驱动程序。 这并不是研究人员第一次发现 Arm 的 Mali GPU 内核驱动程序中存在问题。去年 10 月，该公司表示，一个被追踪为CVE-2023-4211的安全问题可能允许黑客访问使用 Mali GPU 的设备上存储的数据。 去年，GitHub 上一位名为 Man Yue Mo 的研究人员发现了Mali GPU 内核驱动程序中的一个安全漏洞，该漏洞可能使黑客能够控制 Google Pixel 6 的操作系统。该问题已于 2022 年 6 月修复。 美国 GPU 设计者和制造商 Nvidia 周四还披露了其 GPU 显示驱动程序和 vGPU 软件产品中 10 个新的高危和中危漏洞。 该公司表示，该漏洞编号为CVE-2024-0090，是在 Nvidia 的 Windows 和 Linux GPU 驱动程序中发现的，可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 Nvidia 的 Windows 版 GPU 显示驱动程序也包含一个漏洞 – CVE-2024-0089 – “可能会泄露来自以前的客户端或其他进程的信息”。 另一个漏洞 ( CVE-2024-0099 ) 是在 Nvidia 的虚拟 GPU (vGPU)（允许多个虚拟机共享单个物理 GPU 的软件）中发现的，它可能导致信息泄露、数据篡改、权限升级和拒绝服务。 Nvidia 并未透露这两个漏洞是否已被利用。该公司建议用户下载并安装软件更新，以保护其系统免受黑客攻击。   转自e安全，原文链接：https://mp.weixin.qq.com/s/-QkvoW5PfMEYrH6UF2n2jg 封面来源于网络，如有侵权请联系删除

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。 生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。 黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。 卡巴斯基的研究人员发现中国制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。如果使用这种易受攻击的设备，全球高安全性设施都将面临风险。 参考卡巴斯基官方链接，这些漏洞是在卡巴斯基安全评估专家对 ZKTeco 白标设备软件和硬件进行研究的过程中发现的。所有发现都在公开披露之前主动与制造商分享。 有问题的生物识别读取器广泛用于各个领域——从核电站或化工厂到办公室和医院。这些设备支持人脸识别和二维码身份验证，并能够存储数千个面部模板。然而，新发现的漏洞使它们面临各种攻击。卡巴斯基根据所需补丁对漏洞进行了分组，并将它们注册到特定的 CVE（通用漏洞和暴露）下。 利用 ZKTeco 终端进行攻击可能看起来像任何其他网络攻击，或者可能涉及相当有创意的物理攻击。 通过伪造的二维码进行物理绕过 CVE-2023-3938 漏洞允许网络犯罪分子执行一种称为 SQL 注入的网络攻击，该攻击涉及将恶意代码插入发送到终端数据库的字符串中。攻击者可以将特定数据注入用于访问限制区域的二维码中。因此，他们可以未经授权访问终端并物理访问限制区域。 当终端处理包含此类恶意二维码的请求时，数据库会错误地将其识别为来自最近授权的合法用户。如果假二维码包含过多的恶意数据，设备将重新启动，而不是授予访问权限。 卡巴斯基高级应用安全专家 Georgy Kiguradze 表示：“在用于向设备传输控制命令的二进制协议中发现大量 SQL 注入漏洞，这令人十分震惊。此外，在设备摄像头内嵌入的二维码读取器中也发现了类似的漏洞——人们通常不会想到会在这个位置发现此类漏洞，因为它通常与远程攻击有关。” “除了替换二维码，还有另一种有趣的物理攻击媒介。如果心怀恶意的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印出来，并用它来欺骗设备的摄像头，从而获得对安全区域的访问权限。当然，这种方法有一定的局限性。它需要打印的照片，并且必须关闭温度检测。然而，它仍然构成了重大的潜在威胁。”卡巴斯基高级应用安全专家 Georgy Kiguradze 说。 生物特征数据盗窃、后门部署和其他风险 CVE-2023-3940 是软件组件中的漏洞，允许任意文件读取。利用这些漏洞，潜在攻击者可以访问系统上的任何文件并提取文件。这包括敏感的生物识别用户数据和密码哈希，以进一步窃取公司凭证。 CVE-2023-3942 提供了另一种从生物识别设备数据库中检索敏感用户和系统信息的方法——通过 SQL 注入攻击。 攻击者不仅可以访问和窃取，还可以通过利用 CVE-2023-3941 远程更改生物识别读取器的数据库。这组漏洞源于对多个系统组件的用户输入验证不当。利用它，攻击者可以上传自己的数据（例如照片），从而将未经授权的个人添加到数据库中。这可能使他们能够偷偷绕过旋转门或门。此漏洞的另一个关键特性使犯罪者能够替换可执行文件，从而可能创建后门。 成功利用另外两组新漏洞（CVE-2023-3939 和 CVE-2023-3943）可执行设备上的任意命令或代码，从而授予攻击者以最高权限完全控制权。这允许攻击者操纵设备，利用它来对其他网络节点发起攻击，并将攻击范围扩大到更广泛的公司基础设施。 “发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”Georgy Kiguradze 详细阐述道。 确保生物识别系统的安全 生物识别技术通常被认为比典型的身份验证机制更进一步——对于最敏感的设备和最严重的环境来说，这种额外的詹姆斯邦德级别的安全性是必不可少的。 例如，ZKTeco 终端部署在全球各地的核电站、化工厂、医院等场所。它们保护服务器机房、行政套房和敏感设备。上述漏洞可能不适合以经济为目的的网络犯罪分子，但对于意图窃取数据甚至操纵安全关键流程的内部人员或高级国家威胁行为者来说却非常有用。 这些系统部署的环境非常关键，因此各组织必须竭尽全力确保其完整性。而这项工作不仅仅是修补新发现的漏洞。 Kiguradze 建议：“首先，将生物识别读取器隔离在单独的网络段上，以限制潜在的攻击媒介。然后，实施强大的管理员密码并替换所有默认凭据。一般来说，建议对设备的安全设置进行彻底审核并更改所有默认配置，因为它们通常更容易在网络攻击中被利用。” 不确定生物识别技术的组织可以专注于尽可能减少生物识别技术的使用，或确保它们不是唯一的保护措施。关键在于确保这些额外的保护措施对用户不可见。 出路 安全团队面临的根本问题是：如果数据最终以相同的方式存储和保护，生物识别技术是否比其他形式的身份验证更安全？ 嗯，是的，大多数情况下，专家都是这么说的。 iProov 创始人兼首席执行官安德鲁·巴德 (Andrew Bud) 表示：“我想澄清一个常见的误解，即生物特征识别就像密码一样，因此，如果被盗或被破解，它就会变得毫无价值。这是一个根本性的概念错误，因为生物特征识别（如面部）并不是秘密。” 他解释道：“密码很好用，因为它是秘密的。但在现代社会，脸部并不是秘密。只要在 LinkedIn 或 Facebook 上看一眼，就能抓取到人们的脸部信息。脸部或任何其他生物特征之所以如此有价值，并不是因为它是机密的，而是因为它是独一无二的。” 实际上，泄露的照片、指纹或生物识别扫描仪的虹膜扫描结果并非世界末日。 人们可能会本能地害怕黑客会持有他们的照片，但真实照片的复制品不应该欺骗当今最先进的识别技术。例如，ZKTeco 终端具有温度检测机制，可以验证身份，防止入侵者使用打印的照片等欺骗面部识别终端。 巴德说，“当你检查一个人的脸时，你可以在场景中引入一些不可预测的东西，这会导致脸部做出与深度伪造或复制品相比独特的反应。” 他补充道：“我们的做法是利用用户设备的屏幕闪现出一系列不可预测的独特色彩，照亮用户的脸部，然后将脸部的视频传输回我们的服务器。光线在人脸上反射的方式，以及反射与环境光相互作用的方式……这是一个非常非常奇特、不寻常且不可预测的挑战，极难伪造。” 他解释说，如果面部识别机制能够抵御复制，“原则上，你就不必依赖收集数据的设备的安全性。事实上，我们从一开始就假设该设备完全不可信。” 不幸的是，有一个警告。与面部、眼睛和指纹等身体特征不同，“检测深度伪造的声音非常困难，甚至不可能， ”巴德说。“声纹中的信息太少了，很难发现假冒信号”——因此，生物识别技术的高级版本才是出路。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ntst01VxfhEeP2J5SKeBrQ 封面来源于网络，如有侵权请联系删除

Morphisec 的研究人员观察到一个被称为 Sticky Werewolf 的黑客，其目标是俄罗斯和白俄罗斯的实体。 Sticky Werewolf 是一个黑客，于 2023 年 4 月首次被发现，最初针对俄罗斯和白俄罗斯的公共组织。该组织已将业务扩展到各个领域，包括一家制药公司和一家专门从事微生物学和疫苗开发的俄罗斯研究机构。 在最新的活动中，Sticky Werewolf 针对航空业发送了据称来自 AO OKB Kristall 第一副总经理的电子邮件，AO OKB Kristall 是一家总部位于莫斯科的公司，从事飞机和航天器的生产和维护。此前，该组织使用带有恶意文件链接的网络钓鱼电子邮件。在最新的活动中，黑客使用了包含指向存储在 WebDAV 服务器上的有效负载的 LNK 文件的存档文件。 在执行托管在 WebDAV 服务器上的二进制文件后，会启动一个经过混淆的 Windows 批处理脚本。该脚本运行 AutoIt 脚本，最终注入最终有效载荷。 “在之前的活动中，感染链始于包含从 gofile.io 等平台下载恶意文件的链接的网络钓鱼电子邮件。然而，在他们最新的活动中，感染方法已经发生了变化。” Morphisec 发布的分析报告写道。“最初的电子邮件包含一个存档附件；当收件人提取存档时，他们会找到 LNK 和诱饵文件。这些 LNK 文件指向托管在 WebDAV 服务器上的可执行文件。一旦执行，就会启动一个批处理脚本，然后启动一个 AutoIt 脚本，最终注入最终的有效负载。” 该档案包括一个诱饵 PDF 文件和两个伪装成 DOCX 文档的 LNK 文件，分别名为 Повестка совещания.docx.lnk（会议议程）和 Список рассылки.docx.lnk（邮件列表）。 黑客使用了据称由 AO OKB Kristall 第一副总经理兼执行董事发送的网络钓鱼消息。收件人是来自航空航天和国防部门的个人，他们被邀请参加有关未来合作的视频会议。这些消息使用包含恶意负载的受密码保护的存档。 黑客使用的有效载荷包括商品 RAT 或窃取程序。最近，Sticky Werewolf 被发现在其活动中使用了Rhadamanthys Stealer和 Ozone RAT。在之前的攻击中，该组织还部署了 MetaStealer、DarkTrack 和NetWire。 “这些恶意软件可进行广泛的间谍活动和数据泄露。虽然没有确凿证据表明 Sticky Werewolf 的国籍，但地缘政治背景表明它可能与亲乌克兰的网络间谍组织或黑客活动分子有联系，尽管这种归属仍不确定。”该报告总结道，其中还包括入侵指标 (IoC)。   转自e安全，原文链接：https://mp.weixin.qq.com/s/HaP15jspRaYYZpleJTFXoA 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 6 月补丁日，微软修复了 51 个安全漏洞，其中包括 18 个远程代码执行漏洞和一个公开披露的0day漏洞。 各个漏洞类别的数量如下： 25 个特权提升漏洞 18 个远程代码执行漏洞 3 个信息泄露漏洞 5 个拒绝服务漏洞 总共 51 个漏洞并不包括 6 月 3 日修复的 7 个 Microsoft Edge 漏洞。 本月补丁日只修复了一个严重漏洞，即 Microsoft 消息队列 (MSMQ) 中的远程代码执行漏洞。 该漏洞编号为CVE-2024-30080，CVSS 严重性评分为 9.8/10，攻击者可以通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来利用该漏洞。 微软安全响应团队在一份公告中警告称：“这可能导致服务器端远程代码执行。” 微软表示，系统需要启用 Windows 消息队列服务才能利用此漏洞，并敦促客户检查机器上是否有名为消息队列的服务正在运行，并且 TCP 端口 1801 正在监听。 安全专家还呼吁关注CVE-2024-30078，这是一个 Windows WiFi 驱动程序远程代码执行漏洞，CVSS 严重性评分为 8.8/10。 微软警告称：“要利用此漏洞，攻击者必须靠近目标系统才能发送和接收无线电传输。未经身份验证的攻击者可以向使用 Wi-Fi 网络适配器的相邻系统发送恶意网络数据包，从而实现远程代码执行。” 一个公开披露的0day漏洞 本月的补丁日修复了一个公开披露的0day漏洞，是之前披露的DNS 协议中的“Keytrap”攻击，微软已在今天的更新中对其进行了修复。 CVE-2023-50868 – MITRE：CVE-2023-50868 NSEC3 最接近的封闭证明会耗尽 CPU。 “ CVE-2023-50868 涉及 DNSSEC 验证中的一个漏洞，攻击者可以利用解析器上的过多资源来利用旨在实现 DNS 完整性的标准 DNSSEC 协议，从而导致合法用户拒绝服务。MITRE 代表他们创建了这个 CVE。”微软的公告中写道。 该漏洞于二月份被披露，并已在许多 DNS 实现中得到修补，包括 BIND、PowerDNS、Unbound、Knot Resolver 和 Dnsmasq。 本月修复的其他漏洞包括多个 Microsoft Office 远程代码执行漏洞，其中包括可从预览窗格利用的 Microsoft Outlook RCE。 微软还修复了七个 Windows 内核权限提升漏洞，这些漏洞可能允许本地攻击者获得系统权限。 其他公司的最新 2024 年 6 月发布更新或公告的其他供应商包括： 苹果在visionOS 1.2版本中修复了 21 个安全漏洞。 ARM 修复了Mali GPU 内核驱动程序中一个被积极利用的BUG。 思科发布了其 Cisco Finesse 和 Webex 的安全更新。 Cox 修复了影响数百万调制解调器的 API 身份验证绕过漏洞。 F5 发布了针对两个高严重性 BIG-IP Next Central Manager API 漏洞的安全更新。 PHP 修复了一个严重的 RCE 漏洞，该漏洞目前在勒索软件攻击中被积极利用。 VMware 修复了 Pwn2Own 2024 上利用的三个零日漏洞。 Zyxel 针对停产 NAS 设备发布紧急 RCE 补丁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/aoN31EZKhX32P5olgs90RQ 封面来源于网络，如有侵权请联系删除

苹果公司周一将 Vision Pro 虚拟现实头盔的操作系统 visionOS 更新到 1.2 版本，该版本修复了多个漏洞，其中包括可能是该产品特有的第一个安全漏洞，编号为 CVE-2024-27812。 visionOS 1.2 此次更新修复了近二十多个漏洞。其中绝大多数漏洞都存在于 visionOS 与其他苹果产品（如 iOS、macOS 和 tvOS）共享的组件中。这些漏洞可能导致任意代码执行、信息泄露、权限升级和拒绝服务（DoS）。 其中，最突出的漏洞是 CVE-2024-27812。这似乎是 Vision Pro 耳机特有的唯一一个 CVE，因为除 visionOS 外，其他苹果产品的公告中都没有列出这个 CVE。 据苹果公司称，CVE-2024-27812 与特制网页内容的处理有关，利用该漏洞会导致 DoS 攻击。苹果公司在公告中说：该问题已通过改进文件处理协议得到解决。 Ryan Pickren 是苹果公司的网络安全研究员，在获得苹果公司批准之前，Pickren 未透露该漏洞的任何细节。但他表示，这和以往 Vision Pro 漏洞有着明显区别，这是Vision Pro 所特有的漏洞，并认为 “这将有可能导致有史以来真正意义上的空间计算黑客攻击”。 空间计算(spatial computing)技术可以参照现实的物理世界构建一个数字孪生世界，将现实的物理世界与数字的虚拟世界连接在一起。使我们能够进入并且操控 3D 空间，并用更多的信息和经验来增强现实世界。 Vision Pro 作为虚拟现实代表产品，自发布日起就屡屡曝出存在严重的安全漏洞。 此前麻省理工学院（MIT）一名博士生Joseph Ravichandran分享了苹果公司 visionOS 软件的一个内核漏洞，此时Vision Pro 头戴式耳机刚刚发布一天。该漏洞针对的是设备的操作系统，有可能被用来创建恶意软件、提供未经授权的访问或越狱，从而使任何人都可以使用耳机。 Ravichandran在 X上发布帖子指出，这是世界上第一个针对 Vision Pro 的内核漏洞。为此苹果公司修改了用户指南，并指出对 vision OS 进行未经授权的修改会绕过安全功能，并可能导致许多问题，如安全漏洞、不稳定性以及被黑客入侵的 Apple Vision Pro 的电池寿命缩短。 苹果公司强烈警告用户不要安装任何修改 visionOS 的软件，且由于未经授权修改 visionOS 违反了 visionOS 软件许可协议，因此可能会导致 Apple Vision Pro拒绝提供服务。苹果警告说，黑客攻击耳机可能导致iCloud、FaceTime和Apple Pay等服务中断，而使用推送通知的第三方应用程序也可能受到影响。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403303.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现，Netgear WNR614 N300 路由器存在六七个严重程度不一的安全漏洞。 Netgear WNR614 N300 路由器目前已经达到生命周期结束 （EoL），不再受 Netgear 支持，但由于其可靠性、易用性和极佳性能，仍然有许多用户。 RedFox Security 公司的研究人员在 Netgear WNR614 N300 路由器上发现了六个安全漏洞，涉及身份验证绕过漏洞、弱密码策略漏洞、以及会引发纯文本存储密码和 Wi-Fi 保护设置 (WPS) PIN 暴露的安全漏洞。 首先是被追踪为 CVE-2024-36787 的安全漏洞，允许黑客绕过身份验证，并通过未知媒介访问受害者网络系统的管理界面。不仅如此，该安全漏洞还允许未经授权访问路由器的设置，对网络安全和敏感用户数据构成严重安全威胁。 人员发现，Netgear WNR614 N300 路由器存在六七个严重程度不一的安全漏洞。 破损的访问控制 安全漏洞 CVE-2024-36788 ，源于路由器对 Cookie 的 HTTPOnly 标志设置不当。威胁攻击者可利用该安全漏洞拦截和访问路由器与连接到路由器设备之间的敏感通信。 安全漏洞 CVE-2024-36789，允许威胁攻击者创建不符合适当安全标准的密码，甚至接受单字符作为管理员帐户的密码，可能导致未经授权的访问、网络操纵和潜在的数据暴露。 安全漏洞 CVE-2024-36790，路由器以纯文本方式存储凭证，这使得威胁攻击者很容易就可以获得未经授权的访问、操纵路由器并暴露敏感数据。 明文数据曝光 安全漏洞 CVE-2024-36792，黑客可以利用该漏洞访问路由器的 PIN 码，使得路由器存在未经授权的安全风险（非法访问和非法操纵）。 WPS PIN 码暴露 安全漏洞 CVE-2024-36795，允许黑客访问路由器固件中嵌入的 URL 和目录，增加了未经授权访问和控制网络的安全风险。 值得一提的是，鉴于 Netgear WNR614 N300 路由器已达到 EoL，Netgear 预计不会针对这些安全漏洞发布安全更新。如果暂时无法更换设备，安全研究人员强烈建议用户采用以下有助于其防止网络攻击的缓解措施： 1、关闭远程管理功能，降低未经授权访问的风险； 2、使用复杂的长密码并定期更改； 3、将路由器与网络中的关键系统分开，以限制任何潜在漏洞的影响； 4、确保路由器使用 HTTPS，并使用强制执行 HTTPS 的浏览器设置，以确保所有通信安全并防止拦截； 5、关闭 WPS，防止攻击者利用此功能获得未经授权的访问； 6、切换到 WPA3，以增强安全性； 7、限制对路由器管理界面的访问。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403304.html 封面来源于网络，如有侵权请联系删除