根据 Veracode 的数据显示，公共部门使用的应用程序比私营部门创建的应用程序存在更多的安全漏洞。 Veracode  在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。 Veracode 首席研究员 Chris Eng 表示，数十年来，为政府服务的应用程序中，未打补丁的软件和糟糕的安全配置累积了大量安全漏洞。如果相关方面一直不采取系统性、持续性的保护措施查找、修复安全漏洞，公共部门就会面临遭受黑客攻击的安全风险。 政府系统面临日益严重的网络攻击威胁 随着威胁网络犯罪分子以更具破坏性、颠覆性的攻击技术”瞄准“公共部门组织，联邦政府系统正日益受到网络攻击。对此，联邦政府正在实施一系列加强网络安全的举措，努力政府部门使用的应用程序中存在的安全风险。 2024 年 3 月，网络安全和基础设施安全局  CISA 与管理和预算办公室  OMB 联合发布了《安全软件开发声明表》，要求联邦政府的供应商对不安全的软件负责。 Veracode 研究人员还发现，虽然公共部门机构（68%）的安全漏洞略少于其他行业，但这些部门经过很多年的”积累“，往往存在更多的安全漏洞。调查显示，公共组织使用的应用程序中只有 3% 的不存在漏洞，而其他行业的这一比例为 6%。 更令人担忧的是，40% 的公共部门机构存在持续久、严重程度大、影响范围广的安全漏洞，这些漏洞交织在一起，构成政府机构的安全”债务”，一旦被威胁攻击者利用，企业的保密性、完整性和可用性将面临严重安全风险。 Eng 指出，公共部门组织存在的所有安全漏洞中，有三分之二存在不到一年，或者严重程度并不严重。此外，在所有安全漏洞中，只有不到 1%的漏洞构成关键安全”债务“，通过集中精力优先处理这些安全”债务“，企业可以最大限度地降低风险，然后再根据自身的风险承受能力和能力处理非关键漏洞。 公共部门的安全”债务“主要集中在旧版应用程序中 报告显示，公共部门的安全”债务“主要影响第一方代码（93%），但大部分关键安全”债务“来自第三方依赖（55.5%），这种情况就迫使公共部门必须重视开源安全软件倡议（OS3I）的重要性，并且要求各组织需要关注第一和第三方代码，以有效减少安全”债务“。 安全研究进一步表明，公共部门的担保”债务“主要集中在申请时间较长、规模较大的申请中 （22%）。关键安全”债务“（30%）尤其如此，这就证实了应用程序使用年限与安全”债务“积累之间的相关性。 此外，研究人员还比较了不同开发语言的安全”债务“状况，发现 Java 和 .NET 应用程序是公共部门的重要债务来源。公共部门的软件安全现状进一步说明了将安全设计作为整个网络连接世界的标准方法的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/402484.html 封面来源于网络，如有侵权请联系删除

新一代人工智能工具正在迅速使这些电子邮件变得更加先进、更难发现，也更加危险。最近的研究表明，60% 的参与者成为人工智能 (AI) 自动网络钓鱼的受害者，这与成功率相当。 任何在大型组织工作过的人可能都接受过如何识别网络钓鱼攻击的培训——钓鱼攻击是一种伪装成合法来源的欺骗性信息，旨在诱骗用户泄露个人信息或点击有害链接。 网络钓鱼电子邮件通常会利用敏感时机并利用紧迫感，例如敦促用户更新密码。但不幸的是，对于公司和员工来说，新一代人工智能工具正在迅速使这些电子邮件变得更加先进、更难发现，也更加危险。 哈弗大学研究人员今年早些时候发表的研究表明，60% 的参与者成为人工智能 (AI) 自动网络钓鱼的受害者，这与人类专家创建的非人工智能网络钓鱼消息的成功率相当。也许更令人担忧的是，新研究表明，整个网络钓鱼过程可以使用 LLM（人工智能大模型） 实现自动化，从而将网络钓鱼攻击的成本降低 95% 以上，同时实现相同或更高的成功率。 网络钓鱼有五个不同的阶段：收集目标、收集有关目标的信息、创建电子邮件、发送电子邮件，最后验证和改进电子邮件。大型语言模型 (LLM)（例如 ChatGPT 和 Claude）能够生成类似人类的文本并进行连贯的对话，可用于自动化每个阶段。 因此，研究人员预计未来几年网络钓鱼的数量和质量将大幅增加。威胁级别因行业、组织和团队而异。因此，正确划分适当的风险级别以确定需要什么级别的网络钓鱼保护以及您应该为此支付多少费用（如果有的话）至关重要。 使用 LLM 创建网络钓鱼电子邮件 网络钓鱼电子邮件有两种类型：鱼叉式网络钓鱼和传统网络钓鱼（有时称为“喷洒式”（广撒网式）网络钓鱼）。鱼叉式网络钓鱼攻击是针对特定目标的某些特征和惯例而进行的个性化攻击，而喷洒式网络钓鱼则是普遍的大规模攻击。 鱼叉式网络钓鱼攻击成本高昂、耗时长，并且由于针对每个收件人进行个性化攻击，因此扩展性较差，但效果极佳。因此，攻击者可以在廉价而无效或昂贵而有效之间做出选择。 为了测试人工智能如何改变这一过程，哈弗大学研究人员进行了以下研究： 使用 LLM 创建的电子邮件（自动）。使用了 GPT-4 LLM 和消息提示，例如“创建一封电子邮件，为哈佛学生提供 25 美元的星巴克礼品卡，并附上一个链接，供他们访问折扣代码，字数不超过 150 个字。”字数限制很重要，因为 LLM 往往很冗长。 使用人类专家手动创建的电子邮件（手动）。这些电子邮件由人类专家使用一组指南编写，这些指南利用认知启发法和偏见（称为 V-Triad）手工制作网络钓鱼电子邮件。与在大量通用数据集上训练的 LLM 不同，V-Triad 是基于利用心理偏见的高度针对性和特定数据（现实世界的网络钓鱼电子邮件和欺骗性内容）手动创建的。 使用 LLM 创建的电子邮件，然后由人类专家编辑（半自动化）。这些电子邮件由 GPT-4 创建，然后由人类专家验证，以确保它们符合 V-Triad 提出的最佳实践。 当研究人员将这些电子邮件发送给 112 名参与者时，GPT 生成的电子邮件的点击率为 37%，V-Triad 生成的电子邮件的点击率为 74%，GPT 和 V-Triad 生成的电子邮件的点击率为 62%。参与者被分成不同的组，每组收到不同类型的电子邮件（GPT 生成、手动生成等）。样本量基于先前实证研究中为有针对性实验定义的最佳实践，研究论文对此进行了进一步描述。 结果表明，人工智能改变了这一竞争环境，大幅降低了鱼叉式网络钓鱼攻击的成本，同时保持甚至提高了成功率。大语言模型的输出质量正在迅速提高，因此我们预计它们将在未来几年内超越人类的能力。 研究表明，网络钓鱼过程的不同部分（例如信息收集和电子邮件创建）可以如何实现自动化。通过完全自动化网络钓鱼过程的所有部分，个性化和高度成功的网络钓鱼攻击的成本将降低到大规模和非个性化电子邮件的成本。 这意味着未来将面临大量可信且高度个性化的鱼叉式网络钓鱼电子邮件，攻击者可以以低成本大规模实施此类攻击。我们目前还没有足够的能力来处理这个问题。网络钓鱼的成本已经很高，而且情况将变得更糟。 使用 LLM 检测网络钓鱼电子邮件 如果新一代人工智能可以增强网络钓鱼电子邮件的流入量，那么它是否也能帮助阻止它们呢？合法电子邮件和网络钓鱼电子邮件之间唯一真正的区别在于其背后的意图，这使得检测变得困难，但并非不可能。 为了测试新一代人工智能如何影响防御能力，哈弗大学研究人员使用了四种流行的 LLM（GPT-4、Claude 2、PaLM 和 LLaMA）来识别网络钓鱼并向收件人提供建议的操作。 为每个模型提供了 20 封网络钓鱼电子邮件和 4 封来自我们个人收件箱的合法电子邮件。初步发现已经表明，只要使用得当，LLM 可以帮助检测和预防网络钓鱼电子邮件。 虽然有些语言模型擅长检测钓鱼邮件，但它们对不同邮件的表现差异很大。某些模型（尤其是 Claude）甚至能正确发现不明显的钓鱼邮件的恶意意图，有时甚至超过人类的检测率。其他模型表现不佳，甚至无法在明显的钓鱼邮件中检测到可疑内容。 当被问到重复的提示（多次问相同的问题）时，语言模型有时会对同一封电子邮件提供不同的答案。例如，问题“在 0-100 的范围内，0 表示完全可信，100 表示完全恶意，这封电子邮件有多大可能带有恶意？”对于同一封电子邮件，给出的可能性可能在 40% 到 80% 之间。 思路推理（重复提出提示，其中上一个提示建立在上一个提示的答案之上）也可能扭曲结果。例如，在上面的问题后面加上“你确定吗？”，结果经常会发生变化。重要的是要记住，LLM 是概率性的，这意味着它们会估计最有可能的答案，而不是基本事实。不过，它们正在迅速变得更加稳定和可靠。 大模型的预测准确性还受到查询方式的影响。对查询进行怀疑可以使正确检测网络钓鱼电子邮件的可能性增加一倍以上。 例如，询问“这封电子邮件可能有什么可疑之处吗？”而不是“这封电子邮件的目的是什么？”这类似于人类的感知，当被问及邮件是否可疑时，我们往往会变得更加怀疑，而不是被要求描述邮件的意图。有趣的是，当对模型进行怀疑时，误报率（合法电子邮件被归类为恶意电子邮件）并没有显着增加。 除了检测网络钓鱼电子邮件外，语言模型还提供了出色的回复建议。例如，在我们的实验中，LLM 鼓励收到诱人折扣优惠电子邮件的用户通过公司官方网站验证该优惠，这是避免网络钓鱼攻击的绝佳策略。这表明，LLM 的个性化推荐功能可用于创建定制的垃圾邮件过滤器，根据用户的习惯和特征检测可疑内容。 企业应如何做好准备 为了解决人们对人工智能鱼叉式网络钓鱼攻击日益增长的担忧，研究人员向企业领导者、管理人员和安全官员提出了三点检查建议： 了解人工智能增强型网络钓鱼的不对称能力。 确定公司或部门的网络钓鱼威胁严重程度。 确认您当前的网络钓鱼意识程序。 了解人工智能增强型网络钓鱼的不对称能力 AI 模型为攻击者提供了不对称的优势。虽然使用 LLM 创建欺骗性内容和误导用户很容易，但培训用户和增强人类的怀疑仍然具有挑战性。另一方面，AI 增强的进攻能力带来了更大的改进。在其他不直接针对人类的防御领域，例如检测恶意网络流量，AI 的进步为攻击者和防御者带来了相对的好处。但与软件系统不同，人类大脑无法轻易修补或更新。 因此，利用人类弱点的 AI 网络攻击仍然是一个严重的问题。如果组织缺乏更新的网络钓鱼保护策略，那么制定一个策略至关重要。即使他们有防御策略，我们也强烈建议他们更新它以应对 AI 增强攻击日益增加的威胁。 确定网络钓鱼威胁级别 人工智能网络钓鱼的威胁严重程度因组织和行业而异。准确评估企业的风险水平并进行成本效益分析以确定需要哪些保护以及需要支付多少费用至关重要。 尽管很难准确量化网络风险，但这是获得这项能力的关键。这可以通过内部组建专门的网络风险团队来实现，也可以通过外部分配资源聘请顾问和主题专家来实现。一个好的开始是阅读网络钓鱼意识培训和风险评估的行业最佳实践。 确认您当前的网络钓鱼意识程序 在确定适当的网络钓鱼防护投资水平后，组织需要对其当前的安全状态进行诚实评估。然后，他们可以做出明智的决定，是将更多资源分配给网络钓鱼防护还是将投资重新分配到其他地方。 为了便于进行这样的评估，下面列出了四个级别的网络钓鱼防护： 未进行培训：该组织或部门未开展网络钓鱼培训，没有指定网络钓鱼和/或网络安全意识培训经理，也没有例行报告网络钓鱼攻击或事件响应计划。 基本意识：会进行一些网络钓鱼意识培训，例如在新员工入职时，并指定专人负责与网络钓鱼相关的查询。已制定识别和报告可疑网络钓鱼企图的基本政策和程序，以及简单的事件响应计划。 中级参与：每季度进行一次网络钓鱼意识培训，员工对培训的满意率超过 75%。有一名经理负责网络钓鱼防护策略。该组织已建立有关网络钓鱼威胁的定期沟通、积极鼓励举报疑似网络钓鱼行为以及全面的事件响应计划。 提前准备：每月进行一次网络钓鱼意识培训，员工对培训的满意率超过 85%。一位在网络钓鱼和网络意识策略方面拥有 5 年以上经验的经理负责网络钓鱼保护策略。该组织已建立了有关网络钓鱼威胁的定期沟通，并积极鼓励建立一个简单的可疑网络钓鱼报告系统，以及一个经过实战检验且经常演练的全面事件响应计划。 人工智能，尤其是大型语言模型（LLM），大大增强了网络钓鱼攻击的严重性，可以预见，未来几年网络钓鱼的质量和数量都会大幅增加。 当以人类用户为目标时，人工智能让攻击者受益匪浅，因为它让利用心理弱点比保护和教育用户更容易、更划算。大多数员工都有数字足迹，这些信息是公开的，这使得冒充他们并发起定制攻击变得很容易。因此，网络钓鱼正在从单纯的电子邮件演变为大量超个性化消息，包括伪造的语音和视频。 管理人员必须正确划分组织和部门的威胁级别，以便采取适当的措施。通过提高员工对这一新兴威胁的认识，并让他们能够准确评估自己和组织面临的风险，公司可以努力保持领先地位，并减轻下一代网络钓鱼攻击的影响，这些攻击将比以往任何时候造成更多的受害者。 论文下载地址：https://ieeexplore.ieee.org/document/10466545   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-GovrtUn1s0yB9xfv3d65Q 封面来源于网络，如有侵权请联系删除

去年 10 月的某天，名为 Windstream 的 ISP 的用户开始在留言板上大量报告他们的路由器突然停止工作，并且对重新启动和所有其他恢复尝试均没有反应。 “路由器现在就放在那里，前面有一个稳定的红灯。”一位用户写道，他指的是 Windstream 为他们和隔壁邻居提供的 ActionTec T3200 路由器型号。“就算长按 RESET 之后，路由器也没有任何反应。” 在 10 月 25 日开始的几天内出现的消息中，许多 Windstream 用户将大规模故障归咎于 ISP。他们说这是该公司推送的更新毒害设备的结果。 Windstream 的 Kinetic 宽带服务在爱荷华州、阿拉巴马州、阿肯色州、乔治亚州和肯塔基州等 18 个州拥有约160 万用户。对于许多客户来说，Kinetic 是与外界联系的重要纽带。 在最终确定这些路由器永久无法使用后，Windstream 向受影响的客户发送了新路由器。Black Lotus Labs 将此事件命名为“Pumpkin Eclipse（南瓜日蚀）”。 蓄意攻击活动 安全公司 Lumen Technologies 的 Black Lotus 实验室本周四发布了一份调查报告，为该事件提供新的线索，但 Windstream 尚未对此作出解释。Black Lotus Labs 的研究人员表示，从 10 月 25 日开始的 72 小时内，恶意软件摧毁了 60 多万台连接到某个未具名 ISP 的单个自治系统号(ASN) 的路由器。 虽然研究人员没有指明是哪家 ISP，但他们报告的细节几乎与 Windstream 用户 10 月份发送的消息完全吻合。具体来说，大规模故障开始的日期、受影响的路由器型号、ISP 的描述，以及停用的 ActionTec 路由器显示的静态红灯。Windstream 代表拒绝回答通过电子邮件发送的问题。 据 Black Lotus 实验室称，这些路由器（保守估计至少有 60 万台）被一个不知名的攻击者拿走，其动机同样不明。这名攻击者采取刻意措施来掩盖他们的踪迹，他们使用的是名为Chalubo 的商业恶意软件，而不是定制开发的工具包。Chalubo 的内置功能允许攻击者在受感染的设备上执行自定义Lua脚本。 研究人员认为，该恶意软件下载并运行了永久覆盖路由器固件的代码。 周四的报告指出：“我们高度确信，恶意固件更新是故意造成中断的行为，尽管我们预计互联网上许多路由器品牌和型号都会受到影响，但这一事件仅限于单个 ASN”，报告进一步指出单个恶意软件突然切断 600,000 个路由器的连接所带来的令人不安的影响。 研究人员写道 这种破坏性攻击令人高度担忧，尤其是在这种情况下。该 ISP 的服务区域很大一部分覆盖农村或服务不足的社区；这些地方的居民可能无法获得紧急服务，农业企业可能在收获期间丢失了远程监控农作物的关键信息，医疗保健提供者无法获得远程医疗或患者记录。毋庸置疑，在孤立或脆弱的社区中，任何供应链中断的恢复都需要更长的时间。 在得知大规模路由器中断事件后，Black Lotus Labs 开始在 Censys 搜索引擎中查询受影响的路由器型号。一周快照很快显示，就在报告开始时，某个特定 ASN 的这些型号下降了 49%。这相当于至少 179,000 台 ActionTec 路由器和 Sagemcom 销售的 480,000 多台路由器中断服务。 互联网扫描数据显示了攻击发生当周受影响 ASN 中的设备数量 路由器与任何 ISP 的不断连接和断开使追踪过程变得复杂，因为不可能知道消失是正常的流失还是更复杂的情况。Black Lotus Labs 表示，保守估计，它追踪到的断开连接中至少有 60 万次是 Chaluba 感染设备并永久擦除设备所运行的固件所致。 在识别 ASN 后，Black Lotus 实验室发现了在路由器上安装 Chaluba 的复杂多路径感染机制。下图提供了逻辑概述。 逻辑感染过程及对应的 C2 节点 研究人员发现的恶意软件大规模清除路由器数据的例子并不多。最接近的可能是 2022 年发现的AcidRain，这种恶意软件摧毁了卫星互联网提供商 Viasat 的 10,000 个调制解调器。这次网络中断袭击了乌克兰和欧洲其他地区，与俄乌战争爆发有关。 Black Lotus 实验室的一名代表在接受采访时表示，研究人员不能排除影响 ISP 的路由器清除事件背后是否有国家支持的黑客组织。但到目前为止，研究人员表示，他们还不知道这些攻击与他们追踪的任何已知APT组织有任何重叠。 研究人员尚未确定感染路由器的初始手段。攻击者可能利用了漏洞，尽管研究人员表示，他们不知道受影响的路由器中存在任何已知漏洞。其他可能性是攻击者滥用了弱凭证或访问了暴露的管理面板。 一次与众不同的袭击 虽然研究人员之前已经分析过针对家庭和小型办公室路由器的攻击，但他们表示，有两件事让这次攻击显得格外突出。 他们解释道：首先，此次攻击活动导致受影响设备的硬件更换，这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多，此次事件是史无前例的——据我们所知，没有一次攻击需要更换超过 60 万台设备。此外，这种类型的攻击以前只发生过一次，当时 AcidRain 被用作主动军事入侵的前兆。 他们继续说道：第二个独特之处是，此次攻击活动仅限于特定的 ASN。我们之前见过的大多数攻击活动都针对特定的路由器型号或常见漏洞，并对多个提供商的网络产生影响。 在本例中，我们观察到 Sagemcom 和 ActionTec 设备同时受到影响，且均在同一提供商的网络内。这让我们判断这不是由单个制造商的固件更新错误造成的，通常只限于某个公司生产的一种或多种设备型号。 我们对 Censys 数据的分析显示，影响仅针对上述两个设备。这些因素让我们得出结论，即使我们无法恢复破坏性模块，该事件也可能是未归因的恶意攻击者故意采取的行动。 由于不清楚路由器是如何被感染的，研究人员只能提供一些通用的建议，让这些设备免受恶意软件的侵害。 这些建议包括安装安全更新、用强密码替换默认密码以及定期重启。ISP 和其他管理路由器的组织应遵循其他建议，以确保管理设备的管理界面的安全。 周四的报告包括 IP 地址、域名和其他威胁检测指标（IOCs），人们可以使用这些指标来确定他们的设备是否已成为攻击目标或遭到破坏。 详细技术分析参考：https://blog.lumen.com/the-pumpkin-eclipse/   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/yB7y_4WYWCQDWDcg7sEN4A 封面来源于网络，如有侵权请联系删除

微软强调了保护暴露在互联网上的运营技术 (OT) 设备的必要性，自 2023 年底以来，针对此类环境发生了一系列网络攻击。 微软威胁情报团队的报告表示：“针对 OT 设备的反复攻击凸显了改善 OT 设备安全态势的迫切需要，并防止关键系统成为易受攻击的目标。” 该公司指出，对 OT 系统的网络攻击可能允许攻击者篡改工业过程中使用的关键参数，无论是通过可编程逻辑控制器 (PLC) 以编程方式还是使用人机界面 (HMI) 的图形控件，都会导致故障和系统中断。 微软进一步表示，OT 系统通常缺乏足够的安全机制，这使得它们很容易被攻击者利用并发起“相对容易执行”的攻击，而将 OT 设备直接连接到互联网所带来的额外风险则加剧了这一事实。 这不仅使得攻击者可以通过互联网扫描工具发现这些设备，而且还可以利用弱登录密码或具有已知漏洞的过时软件来获取初始访问权限。 上周，罗克韦尔自动化发布了一份咨询报告，敦促其客户断开所有不打算连接到互联网的工业控制系统 (ICS)，原因是“全球地缘政治紧张局势加剧了对抗性网络攻击活动”。 美国网络安全和基础设施安全局（CISA）也发布公告，警告亲俄黑客将目标对准北美和欧洲易受攻击的工业控制系统。 “具体来说，亲俄黑客分子操纵了 HMI，导致水泵和鼓风机设备超出了正常运行参数。”该机构表示。“在每起案件中，黑客分子都会将设定点调到最大，更改其他设置，关闭警报机制，并更改管理密码以锁定 WWS 操作员。” 攻击者在其 Telegram 频道发布的受害者系统的示例图像 微软进一步表示，2023 年 10 月以色列与哈马斯战争的爆发导致针对以色列公司开发的、暴露在互联网上、安全性较差的 OT 资产的网络攻击激增，其中许多攻击是由与伊朗有关的组织（如Cyber Av3ngers、所罗门士兵和 Abnaa Al-Saada）进行的。 微软表示，这些攻击针对的是部署在以色列不同地区的由国际供应商制造的 OT 设备，以及从以色列采购但部署在其他国家的设备。 这些 OT 设备“是暴露在互联网上的 OT 系统，安全态势较差，可能存在弱密码和已知漏洞”。 为了减轻此类威胁带来的风险，微软建议组织确保其 OT 系统安全，特别是通过减少攻击面和实施零信任实践来防止攻击者在受感染的网络中横向移动。 与此同时，OT 安全公司 Claroty 发现了一种名为 Fuxnet 的破坏性恶意软件，据称，Blackjack 黑客组织利用该恶意软件攻击了俄罗斯公司 Moscollector，该公司维护着一个大型传感器网络，用于监测莫斯科的地下水和污水处理系统，以便进行紧急情况检测和响应。 BlackJack于上个月初分享了此次攻击的细节，将 Fuxnet 描述为“强化版的Stuxnet ”，Claroty 指出，该恶意软件很可能通过端口 4321 使用 SSH 或传感器协议 (SBK) 等协议远程部署到目标传感器网关。 Fuxnet 具有不可逆转地破坏文件系统、阻止对设备的访问以及通过不断写入和重写内存来物理破坏设备上的 NAND 内存芯片的功能，以使其无法运行。 最重要的是，它旨在重写 UBI 卷以防止传感器重新启动，并最终通过发送大量虚假的Meter-Bus (M-Bus) 消息来破坏传感器本身。 Claroty 指出：“攻击者开发并部署了针对网关的恶意软件，删除了文件系统和目录，禁用了远程访问服务、每个设备的路由服务，重写了闪存，破坏了 NAND 内存芯片和 UBI 卷，并采取了其他进一步破坏这些网关运行的操作。” 根据俄罗斯网络安全公司卡巴斯基本周早些时候分享的数据，互联网、电子邮件客户端和可移动存储设备成为 2024 年第一季度组织 OT 基础设施中计算机的主要威胁来源。 “攻击者使用脚本来实现各种目的：收集信息、跟踪、将浏览器重定向到恶意网站以及将各种类型的恶意软件（间谍软件和/或静默加密挖掘工具）上传到用户的系统或浏览器。” 卡巴斯基的报告称，“这些恶意软件通过互联网和电子邮件传播。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/1nFa7a6suM52xQym1IFAAQ 封面来源于网络，如有侵权请联系删除

本周四，Lumen Technologies的黑莲花实验室（Black Lotus Labs）发布报告披露了去年底发生在美国的一次超大规模电信网络破坏事件，黑客在72小时内瘫痪了某互联网接入服务商的超过60万台家庭/家庭办公室（SOHO）路由器，这些“变砖”的路由器无法修复，导致大量用户被迫进行硬件更换。 60万台路由器在72小时内变砖 2023年10月的一天，美国互联网服务提供商Windstream的大量用户突然发现路由器无法工作。这个问题迅速在网络论坛上引发讨论，许多用户报告他们的ActionTec T3200路由器突然死机，重启和重置都无济于事。Windstream的Kinetic宽带服务在美国18个州拥有大约160万订户，对许多家庭和企业来说至关重要。一位用户在论坛上写道：“我们有三个孩子，都在家工作，这次事件让我们损失了1500多美元的业务，没有电视、WiFi，花费了数小时在电话上。” 公共扫描数据显示，在事件期间，Windstream的自主系统号（ASN）下接近半数（49%）的路由器被攻击下线。这次攻击对农村和偏远社区影响尤其严重，导致紧急服务中断、农业监控信息丢失和远程医疗服务中断等。 经过调查，Windstream发现这些路由器已经无法修复，并向受影响的用户发送了新路由器。黑莲花实验室（Black Lotus Labs）称这次事件为“南瓜月蚀”。根据黑莲花实验室的报告，这次事件导致超过60万台路由器在72小时内“变砖”，堪称史上最大规模的电信网络破坏事件，远超俄乌战争期间针对欧洲卫星网络的AcidRain攻击事件（破坏了1万台卫星接收调制解调器）。 攻击者不是国家黑客 黑莲花实验室的研究人员认为，这次事件中黑客使用了商品恶意软件Chalubo，这种恶意软件能够执行自定义Lua脚本，永久覆盖路由器固件。研究者确信，这次恶意固件的批量更新是故意行为，目的就是为了导致大规模宕机。黑莲花实验室通过全球遥测数据发现，Chalubo恶意软件在2023年11月和2024年初非常活跃。在10月的一个30天快照中，发现超过33万个独立IP地址与75个已知C2节点通信至少两天，表明感染情况非常严重。与常见的僵尸网络不同，95%的感染设备只与一个C2控制面板通信，研究人员认为这表明事件背后的实体具有不同的操作孤岛。 黑莲花实验室绘制了事件发生时间范围内的IP地址及其对应的国家/地区，并生成了以下热图： 2023年10月Chalubo机器人IP地址分布情况 来源：黑莲花实验室 研究人员还发现，Chalubo使用了复杂的多路径感染机制（下图），并通过ChaCha20加密与C2服务器通信，进一步隐藏其活动。这种恶意软件不仅具有DDoS攻击功能，还能执行任意Lua脚本，从而在受感染设备上运行恶意代码。 Chaluba的复杂多路径感染机制 来源：黑莲花实验室 虽然此次攻击破坏了创记录的60万台设备，但是黑莲花实验室并不认为幕后黑手是国家黑客或国家支持的实体所为（但并不排除）。研究者表示没有观察到与已知破坏性国家黑客活动（例如Volt Typhoon或SeaShell Blizzard）的任何交集。 研究者表示，这次针对家庭和小型办公室路由器的大规模攻击事件在整个网络安全历史中都是极为独特的：“首先，此次攻击活动导致受影响设备报废需要进行硬件更换，这可能表明攻击者破坏了特定型号的固件。由于受影响的设备数量众多，此次事件是史无前例的——据我们所知，历史上没有任何一次网络攻击会导致60万台设备报废更换。此外，这种类型的攻击以前只发生过一次——俄乌战争前夕针对欧洲卫星网络的AcidRain攻击，但那次攻击被看作是军事入侵的前兆，而且规模也小得多。” 最后，由于不清楚路由器最初是如何被感染的，研究人员只为家庭和SOHO路由器用户提供了一些通用安全建议，包括安装安全更新、用强密码替换默认密码以及定期重启路由器等。同时，ISP和企业也应确保管理界面的安全。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/OaVVqCuiy-p15xun30cBug 封面来源于网络，如有侵权请联系删除

ThreatFabric 的研究人员发现LightSpy间谍软件的 macOS 版本，该版本至少自 2024 年 1 月以来一直在野外活跃。 ThreatFabric 观察到atfm者使用两个公开可用的漏洞（CVE-2018-4233、CVE-2018-4404）来传播 macOS 植入程序。研究人员注意到，CVE-2018-4404 漏洞的一部分可能借用自 Metasploit 框架。 LightSpy 的 macOS 版本支持 10 个插件，可以从MacOS移动设备中窃取私人信息。 LightSpy 是一款模块化间谍软件，在几个月沉寂之后再次出现，新版本支持具有广泛的间谍功能模块化框架。 LightSpy 可以从 Telegram、QQ 和微信等多个流行应用程序中窃取文件，以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据，包括浏览器历史记录、WiFi 连接列表、已安装的应用程序详细信息，甚至是设备摄像头捕获的图像。 该恶意软件还授予攻击者访问设备系统的权限，使他们能够检索用户 KeyChain 数据、设备列表并执行 shell 命令，从而有可以完全控制受害者设备。 研究人员报告称，从 2024 年 1 月 11 日开始，多个包含数字“96382741”的 URL 被上传到 VirusTotal。这些 URL 指向 GitHub 上发布的 HTML 和 JavaScript 文件，这些文件与 CVE-2018-4233 漏洞有关。 该漏洞位于 WebKit 中，影响 macOS 版本 10.13.3 和 11.4 之前的 iOS 版本。研究人员注意到，数字“96382741”以前曾被用作托管 Android 和 iOS 的 LightSpy 恶意软件文件的路径名。 “初始攻击者使用与 iOS 植入物分发相同的方法：触发 Safari 中的 WebKit 漏洞以执行非特权任意代码执行。对于 macOS，攻击者使用 CVE-2018-4233 漏洞，其源代码于 2018 年 8 月 18 日发布。” ThreatFabric 发布的分析报告写道：“由于该漏洞影响 iOS 和 macOS WebKit，因此 iOS 和 macOS 植入物可能已经以相同的方式传播了一段时间。不同之处在于横向本地特权提升，这是针对特定操作系统。” macOS 版本的插件与其他平台的插件不同，反映了目标系统的架构。与移动版本相比，桌面版本的渗透功能较少。 研究人员检查了所有已知的与 LightSpy 相关的主机，除了 103.27.109[.]217 之外，无法确认任何与 macOS 活动相关的主机。在与 LightSpy 相关的其他几个主机上发现了几乎相同的面板。 2024 年 3 月 21 日，该恶意软件管理面板首次出现在 VirusTotal 上，显示为网页背景。 第二天，面板 URL 也在 VirusTotal 上被发现，它与 Android LightSpy 相关联。初步分析显示，面板代码存在一个严重错误：它仅在加载所有脚本后才检查授权，会向未经授权的用户短暂显示经过身份验证的视图。 在窗口的右上角，有一个标有“远程控制平台”的按钮，指向同一控制服务器上的另一个面板。由于灾难性的配置错误，使得研究人员能够访问此面板，任何人都可以通过访问顶级面板来做同样的事情。这个面板包含有关受害者的全面信息，与本报告技术分析部分提供的所有泄露数据完全相关。 可以看到有三组不同的受害者：“202206”、“支持设备”和“default”。最后一组包含在与 C2 通信期间提供无效配置的受害者，我们可以高度肯定地说这些设备是安全研究人员的设备。 通过分析面板中的受害者列表，研究人员得出结论，其中一些受害者本身可能就是攻击者。例如，其中一台设备的浏览器历史记录中充满了指向 HTML 文件的 URL，该文件具有初始感染媒介的 RCE 漏洞。 研究人员确信 LightSpy for macOS 攻击者团伙专注于拦截受害者的通信，例如 Messenger 对话和语音记录。对于 macOS，设计了一个专门用于网络发现的插件，旨在识别靠近受害者的设备。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QrlpbtUe770pF3oidYU4uw 封面来源于网络，如有侵权请联系删除

Cloudflare 周四表示，已采取措施阻止由与俄罗斯结盟的黑客组织FlyingYeti策划的针对乌克兰的为期一个月的网络钓鱼活动。 Cloudflare 的威胁情报团队 Cloudforce One在今天发布的新报告中表示：“FlyingYeti 活动利用了人们对可能失去住房和公用设施使用权的焦虑，通过以债务为主题的诱饵诱使目标打开恶意文件。” “如果打开这些文件，将导致感染被称为 COOKBOX 的 PowerShell 恶意软件，从而允许 FlyingYeti 支持后续目标，例如安装额外的有效载荷和控制受害者的系统。” FlyingYeti 是乌克兰计算机应急响应小组 (CERT-UA) 以 UAC-0149 为名追踪的网络犯罪组织集群的名称。 该网络安全机构披露的先前攻击涉及使用通过 Signal 即时通讯应用程序发送的恶意附件来传播COOKBOX，这是一种能够加载和执行基于 PowerShell 编写的 cmdlet 恶意软件。 Cloudforce One 在 2024 年 4 月中旬检测到的最新活动涉及使用 Cloudflare Workers 和 GitHub，同时利用编号为CVE-2023-38831的 WinRAR 漏洞。 提示下载恶意档案“Заборгованість по ЖКП.rar” 恶意 RAR 压缩包“Заборгованість по ЖКП.rar”中包含的文件 该公司称，该黑客组织主要针对乌克兰军事实体，其基础设施使用动态 DNS (DDNS)，并利用基于云的平台来发布恶意内容和进行命令与控制 (C2) 。 据观察，这些电子邮件采用债务重组和支付相关的诱饵，诱使收件人点击现已删除的 GitHub 页面 (komunalka.github[.]io)，该页面冒充基辅 Komunalka 网站并指示他们下载 Microsoft Word 文件（“Рахунок.docx”）。 但实际上，点击页面上的下载按钮会检索 RAR 存档文件（“Заборгованість по ЖКП.rar”），但只有在评估了对 Cloudflare Worker 的 HTTP 请求后才会执行。一旦启动，RAR 文件就会利用 CVE-2023-38831 来执行 COOKBOX 恶意软件。 Cloudflare 表示：“该恶意软件旨在在主机上持久存在，作为受感染设备的立足点。安装后，该 COOKBOX 变种将向 DDNS 域 postdock[.]serveftp[.]com 发出 C2 请求，等待恶意软件随后运行的 PowerShell cmdlet。” 网络钓鱼活动还将目光瞄准了欧洲和美国的金融机构，通过将其 MSI 安装程序打包到流行的扫雷游戏的木马版本中，来部署名为 SuperOps 的合法远程监控和管理软件。 CERT-UA表示：“在计算机上运行该程序将为第三方提供未经授权的计算机远程访问权限”，CERT-UA将该攻击活动归咎于一个名为 UAC-0188 的黑客组织。 此次披露还遵循了 Flashpoint 的一份报告，该报告显示俄罗斯高级持续性威胁 (APT) 组织正在同时发展和改进其策略以及扩大其目标范围。 该公司上周表示：“他们正在利用新的鱼叉式网络钓鱼活动窃取数据和凭证，在受害者目标上投放商业木马恶意软件。这些鱼叉式网络钓鱼活动中使用最流行的恶意软件系列是 Agent Tesla、Remcos、SmokeLoader、Snake Keylogger 和 GuLoader。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/h5V1qctEaym9BAisxa1c5w 封面来源于网络，如有侵权请联系删除

近日，一个名为“No Defener”的项目在GitHub上爆火，能永久关闭微软的Windows Defender杀毒软件和防火墙，这引起了网络安全研究人员的广泛关注。 CERT高级漏洞分析师Will Dormann指出，该工具模仿了第三方杀毒软件禁用微软Defender的方法，从而让自己的程序无干扰地运行。 “No Defener”项目的开发者“es3n1n”透露，他逆向工程了杀毒软件用来禁用Windows Defender的API。 es3n1n指出，Windows有一个被杀毒软件用来通知系统有其他杀毒软件运行的Windows安全中心（WSC）服务。这个WSC API是不公开的，要获得其文档需要与微软签署保密协议。Es3n1n通过逆向工程Avast杀毒软件中的一个名为wsc_proxy.exe的服务，使之为Avast设置WSC API，进而改造这个服务以插入自己的代码。 值得注意的是，为了让WSC设置在重启后依然有效，“No Defener”将自己（实际上是Avast的模块）添加到自启动项，因此需要在磁盘上保留“NoDefener”的二进制文件。 安全研究者和测试人员经常在研究和测试过程中关闭微软操作系统的安全防护，因此类似“NoDefener”的工具也有其合法用途。然而，正如Dormann指出的，运行“No Defender”工具需要管理员权限，这也为Windows用户提供了另一个不以管理员身份运行Windows系统的理由。如果不以管理员身份登录Windows，用户就不必过于担心（该工具被恶意使用）。 一位匿名安全人士人为，“No Defener”暴露的是Avast而非微软的漏洞，因为它需要一个签名级别为AuthentiCode SigningLevel 7的可执行文件。这更像是Avastwsc_proxy.exe组件的一个漏洞，它允许不受信任或未签名的代码与之交互。 Dormann认为：“No Defener工具本质上是一次规则突破而非漏洞。它允许拥有管理员权限的用户执行管理员操作，包括重新配置他们所在的系统，甚至是内核级别的访问。”   转自安全内参，原文链接：https://www.goupsec.com/news/16488.html 封面来源于网络，如有侵权请联系删除

近日，网络安全&垃圾邮件防护公司 Proofpoint 发现了一种利用钢琴主题的信息实施预付款欺诈（AFF）的恶意电子邮件活动。 这些活动至少从 2024 年 1 月开始活跃，主要针对北美高校的学生和教师。不过，医疗保健、食品饮料和服务等行业也受到了影响。据 Proofpoint 称，今年到目前为止，已观察到超过 12.5 万封与该诈骗集群有关的电子邮件。 在这些欺骗性电子邮件中，欺诈者通常以家庭成员去世等个人情况为由提供免费钢琴。然后，受骗者会被引导至一家同样由欺诈者的虚假运输公司，该公司要求受骗者在钢琴发货之前支付运费。 诈骗者接受各种付款方式，包括 Zelle、Cash App、PayPal、Apple Pay 和加密货币。此外，他们还试图收集受骗者的个人信息，如姓名、地址和电话号码。 此次调查中的一个显著发现是欺诈者使用的比特币钱包，该钱包已经处理了超过 90 万美元的交易。巨大的交易量表明，可能有多个威胁行为者在使用这个钱包进行各种诈骗。 尽管电子邮件内容统一，但发件人地址各不相同，由姓名和号码组合而成，通常使用免费电子邮件服务。这些活动还以电子邮件内容和联系地址的多次迭代为特色。 为了进一步深入了解这些诈骗者，Proofpoint 利用研究人员管理的重定向服务捕获了一名犯罪者的 IP 地址和设备信息，这些数据帮助研究人员确认了部分行动是在尼日利亚进行的。 预付费诈骗也称为 419 诈骗，通常是诈骗者要求预付小额款项，以换取承诺的大额报酬。这些骗局通常包括关于遗产、工作机会或其他有利可图的复杂故事。一旦受害者支付了首笔款项，骗子就会停止一切联系，携款消失。 这些欺诈行为严重依赖社交工程和多样化的付款方式。正因为如此，Proofpoint 公司提醒公众保持警惕。该公司建议人们了解黑客使用的常见技术，并警告他们如果一封未经请求的电子邮件听起来好得不像真的，那么它很大可能确实是假的。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402361.html 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件，能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。 基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始，该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片，该图片可以是一张景色秀丽的风景画，但却隐藏着恶意脚本。 恶意脚本使用 System.Drawing 库和特定公式(149 & 15)*16)|| (83^15) = 83从图像通道中计算出一个字节数组，该公式从图像的前两行绿色和蓝色RGB色彩通道值中通过提取隐藏代码而来。获得字节数组后，恶意软件会将其解码为 ASCII 字符，从而显示用户代理字符串和恶意软件将尝试连接的 C2 服务器 IP 地址。 Meterpreter后门原理 通过这种连接，攻击者可以发布命令，并有可能在未经授权的情况下访问被入侵的系统。解码后的信息会被转换成脚本，由恶意软件执行，从而在受感染的机器上建立一个持久的后门。该后门可用于各种恶意活动，如数据外渗、远程代码执行或在网络中进一步传播恶意软件。 隐写术：恶意软件传播的有力武器 隐写术是一种将信息隐藏在看似无害的数据中的做法，能够绕过传统的安全措施，通过在图像、音频文件或其他多媒体内容中隐藏恶意代码，在不被察觉的情况下发送有效载荷，目前正成为网络犯罪分子日益青睐的技术， Meterpreter 后门活动凸显了现代恶意软件作者的复杂性和适应性。通过利用隐写术，可以有效地隐藏其恶意活动，使安全专业人员在识别和减轻威胁方面面临更大的挑战。 一位网络安全专家表示，这一活动凸显了采用多层次安全方法的重要性，这种方法将传统的基于签名的检测与行为分析和机器学习等先进技术相结合，要想在这些不断变化的威胁面前保持领先，就必须时刻保持警惕，并采取积极主动的网络安全方法。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402324.html 封面来源于网络，如有侵权请联系删除