每年负责 150 亿笔医疗保健交易的Change Healthcare公司估计，尽管支付了 2200 万美元的赎金，但在 2 月份的网络攻击中，三分之一的美国人（约 1.12 亿）的个人健康和身份信息被盗。 Change Healthcare尚未确定或联系数据遭到泄露的具体个人；与该公司签约的医疗服务提供商现在才看到其财务运营恢复正常。 圣玛丽山区医院、西部家庭健康中心、社区医院和科罗拉多州大章克申市退伍军人事务医疗中心均证实，他们与 Change 签订了合同，并受到系统中断的影响。 Family Health West 首席执行官兼总裁 Korrey Klein 医学博士表示：“坏人可能掌握的信息非常可怕。更糟糕的是，如果涉及到圣玛丽医院、社区和 Family Health West，任何在梅萨县接受过医疗服务的人都可能受到这种泄露的影响。” 根据美国医院协会 (AHA) 的数据，Change 是 UnitedHealth Group 的子公司，负责处理三分之一的患者记录。Klein 博士表示，Change 的医疗索赔流程通常包含患者的姓名、地址、出生日期、社会安全号码和雇主；如果索赔有共付额，它还可能包含患者的保险 ID 和金融机构信息。 除了获取敏感信息外，勒索软件还阻止医疗服务提供商使用 Change 软件接收付款和提交医疗索赔。提交医疗索赔对于服务提供商让保险公司报销患者费用至关重要。 袭击发生十二周后，梅萨县受影响的医院报告称，他们以电子方式提交索赔的能力已与大多数其他系统一起恢复。 损害控制 UnitedHealth Group （联合健康集团）首席执行官安德鲁·威蒂本月初在众议院小组委员会面前作证称，网络犯罪分子可能掌握约三分之一美国人的健康数据；该公司以比特币支付了 2200 万美元的赎金，但无法确定此次黑客攻击的 BlackCat 勒索软件组织是否会遵守协议。 联合健康集团于 4 月底发布声明，解释称由于数据复杂，数月内无法向特定个人提供援助。不过，联合健康集团已建立了呼叫中心和网站，提供信用监控和身份盗窃保护。 Klein 博士表示，鉴于情况的严重性，应该尽早通知患者，因此 Family Health West 承担了这项任务。 “尽管通知不是我们的责任，但我们会通知过去三年内接受过 Family Health West 医疗服务的任何人。”Klein 说道。“我们不知道他们是否收集了当前信息、过去信息，或者根本没有收集（任何）信息，但我们认为最好主动为患者提供信息。” 据社区医院通讯主管凯伦·马索夫 (Karen Martsolf) 称，在 2 月份网络攻击发生后不久，他们就向患者发送了一封有关该攻击的信件。 社区医院首席执行官兼总裁克里斯·托马斯表示：“虽然我们受到了社区医院外发生的这次网络攻击的影响，但我们将继续致力于保护我们的组织和患者免受这些外部威胁。” 美国退伍军人事务部部长丹尼斯·麦克多诺 (Denis McDonough) 在四月底的新闻发布会上表示，全国退伍军人事务部已向 1500 多万退伍军人发送了电子邮件，告知他们信息泄露的可能性，并提供了由变革医疗机构、联邦贸易委员会和退伍军人事务部本身提供的防欺诈资源和建议。 “几周以来，我们一直在敦促 Change 提供更多信息。”麦克多诺说。“如果我们确实得知退伍军人的个人信息已被泄露，我们将迅速采取行动，减轻影响，并为受影响的退伍军人提供全力支持。但要明确的是，我们不会等待确认后再与退伍军人沟通此事。” 深远的财务影响 根据联合健康集团最新的财务披露，此次网络攻击已造成约 8.7 亿美元的损失；联合健康集团首席财务官约翰·雷克斯估计，到今年年底，此次事件可能给公司造成 14 亿至 16 亿美元的损失。 这种勒索软件攻击还对全国许多医疗机构和服务提供商造成了显著的经济损失：AHA 在 3 月 9 日至 3 月 12 日期间对近 1,000 家医院进行了调查，发现 82% 的医院报告其现金流受到影响，其中近 60% 的受访者表示其每日收入受到超过 100 万美元的影响。 尽管医院没有受到直接攻击，但受影响的主要原因是勒索软件阻止提供商通过 Change 软件处理索赔。因此，提供商必须手动填写索赔单并将其发送给保险公司，克莱恩说这说起来容易做起来难。 “如果索赔是针对手术的，账单上可能会有 100 行信息。”Klein 说。“所有这些都必须手动输入到保险公司的网站上——每个病人、每次就诊。 “我们无法手动处理通常发出的大量索赔，因此索赔案件开始堆积，我们的现金开始减少。幸运的是，我们有足够的现金储备，所以我们知道我们最终会得到赔偿。这只是需要多长时间的问题。”     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/f51flEf2Cv4eIXbfO-p-7A 封面来源于网络，如有侵权请联系删除

疑似国家级黑客入侵了纽交所母公司的VPN设备，试图窃取该设备上的用户账号信息，以进一步渗透内网；该公司评估事件影响极小，但SEC认为其作为市场关键主体，未能及时上报事件，以此处罚1000万美元。 安全内参5月23日消息，美国洲际交易所（ICE）因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞，遭美国证券交易委员会（SEC）指控，需支付1000万美元（约合人民币7245万元）罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司，在全球范围内拥有并经营多家金融交易所和结算所，包括纽约证券交易所。2023年，该公司雇佣了超过1.3万名员工，报告总收入为99.03亿美元。 美国《监管系统合规性和完整性》（Regulation SCI）法规要求，如公司发现入侵等安全事件，必须立即通知SEC，并在24小时内提供更新，除非他们确定事件对其业务或市场参与者的影响微乎其微。 SEC表示：“被告受Reg SCI监管，但却未能按要求通知SEC有关入侵事件。相反，委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。” “SEC在命令中指控，洲际交易所足足花了四天时间评估事件影响，得出内部结论，认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中，每一秒都很重要，四天过于漫长。” 洲际交易所于2021年4月15日发现了这一事件。此前，第三方通知洲际交易所，可能发生了与其VPN设备中未知漏洞有关的系统入侵。 疑为国家级黑客入侵 后续调查发现，一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码，用于远程访问洲际交易所的企业网络。 SEC的命令显示：“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码，试图窃取该设备处理的信息，包括员工姓名、密码和多因素认证代码。利用这些数据，威胁行为者或能访问内部企业网络。” 洲际交易所的安全团队发现证据表明，威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”，但是他们依然确定攻击者只访问了一台被入侵的VPN设备。 SEC表示，洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞，违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误，洲际交易所子公司未能正确评估入侵情况，并未履行Reg SCI规定的披露义务。 洲际交易所及其子公司同意接受SEC的命令，承认子公司违反了Regulation SCI的通知规定，且这些违规行为系洲际交易所所致。 对于SEC的调查结果，洲际交易所及其子公司既未承认也未否认，表示将按SEC禁止令的规定，不再违反Reg SCI法规，并支付1000万美元民事罚款。   转自安全内参，原文链接：https://www.secrss.com/articles/66426 封面来源于网络，如有侵权请联系删除

针对 VMware ESXi 基础架构的勒索软件攻击无论部署何种文件加密恶意软件，都遵循一种既定模式。 网络安全公司Sygnia在与《黑客新闻》共享的一份报告中提到：虚拟化平台是组织IT基础设施的核心组成部分，但它们往往存在固有的错误配置和漏洞，这使它们成为威胁行为者有利可图和高度有效的滥用目标。 这家以色列公司通过对LockBit、HelloKitty、BlackMatter、RedAlert (N13V)、Scattered Spider、Akira、Cactus、BlackCat和Cheerscrypt等各种勒索软件家族的事件响应工作发现，对虚拟化环境的攻击遵循类似的行动顺序。 这包括以下步骤： 通过网络钓鱼攻击、恶意文件下载和利用面向互联网资产的已知漏洞获取初始访问权限 利用暴力攻击或其他方法提升权限，获取 ESXi 主机或 vCenter 的凭证 验证他们对虚拟化基础架构的访问权限并部署勒索软件 删除或加密备份系统，或在某些情况下更改密码，使恢复工作复杂化 将数据渗出到外部位置，如 Mega.io、Dropbox 或他们自己的托管服务 启动勒索软件的执行以加密 ESXi 文件系统的”/vmfs/volumes “文件夹 将勒索软件传播到非虚拟化服务器和工作站，以扩大攻击范围 为降低此类威胁带来的风险，建议企业确保实施充分的监控和日志记录，创建强大的备份机制，执行强有力的身份验证措施，加固环境，并实施网络限制以防止横向移动。 网络安全公司 Rapid7 警告称，自 2024 年 3 月初以来，该公司一直在利用常用搜索引擎上的恶意广告，通过错别字域名分发 WinSCP 和 PuTTY 的木马安装程序，并最终安装勒索软件。 这些伪装安装程序充当了投放 Sliver 后期漏洞工具包的渠道，该工具包随后被用于投放更多有效载荷，包括用于部署勒索软件的 Cobalt Strike Beacon。 该活动与之前的 BlackCat 勒索软件攻击在战术上有共同之处，后者使用恶意广告作为初始访问载体，是交付氮气恶意软件的重复性活动的一部分。 安全研究员Tyler McGraw说：该活动一定程度上影响了 IT 团队的成员，他们最有可能在寻找合法版本的同时下载木马文件。 勒索软件攻击 恶意软件一旦被成功执行可能会为威胁行为者提供更多便利，让其通过模糊后续管理操作的意图来阻碍分析。 此次攻击也是继Beast、MorLock、Synapse和Trinity等新勒索软件家族出现后的又一次最新事件披露，其中MorLock家族广泛针对俄罗斯公司，并在不先外泄文件的情况下对文件进行加密。 Group-IB在俄罗斯的分支机构F.A.C.C.T.表示：为了恢复数据访问，MorLock攻击者要求支付相当高的赎金，赎金数额可达数千万或数亿卢布。 根据 NCC 集团共享的数据，2024 年 4 月全球勒索软件攻击比上月下降了 15%，从 421 起降至 356 起。 值得注意的是，2024 年 4 月也标志着 LockBit 结束了长达 8 个月的受害者最多的威胁行为体统治，这也说明了其在今年早些时候执法部门大举打击后的艰难生存状况。 然而，令人惊讶的是，LockBit 3.0 并不是本月最突出的威胁组织，其观察到的攻击次数还不到 3 月份的一半。反倒Play 成为了最活跃的威胁组织，紧随其后的是 Hunters。 除了勒索软件领域的动荡之外，网络犯罪分子还在宣传隐藏的虚拟网络计算（hVNC）和远程访问服务，如 Pandora 和 TMChecker，这些服务可被用于数据外渗、部署额外的恶意软件和促进勒索软件攻击。 Resecurity表示：多个初始访问代理（IAB）和勒索软件操作员使用 TMChecker 来检查可用的受损数据，以确定是否存在企业VPN和电子邮件账户的有效凭证。 因此，TMChecker 的同时崛起意义重大，因为它大大降低了那些希望获得高影响力企业访问权限的威胁行为者的进入成本门槛，这些访问权限既可以用于初次利用，也可以在二级市场上出售给其他对手。   转自Freebuf，原文链接：https://www.freebuf.com/news/401744.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员揭露了一系列利用亚马逊 S3、谷歌云存储、Backblaze B2 和 IBM 云对象存储等云存储服务的犯罪活动。这些活动由未具名的威胁行为者发起，目的是将用户重定向到恶意网站，利用短信窃取他们的信息。 根据 Enea 今天发表的一篇技术文章，攻击者有两个主要目标。 威胁行为者要确保诈骗短信能在不被网络防火墙检测到的情况下发送到手机上。 威胁行为者试图让终端用户相信他们收到的短信或链接是可信的。 威胁行为者利用云存储平台托管带有嵌入式垃圾邮件 URL 的静态网站，使其信息看起来合法，并避开常见的安全措施。 云存储服务允许企业存储和管理文件，并通过在存储桶中存储网站资产来托管静态网站，威胁行为者利用这一功能，将垃圾邮件 URL 嵌入存储在这些平台上的静态网站中。 他们通过短信分发链接到这些云存储网站的 URL，由于知名云域被认为是合法的，这些 URL 通常可以绕过防火墙限制。用户一旦点击这些链接，就会在不知情的情况下被重定向到恶意网站。 例如，谷歌云存储域名 “storage.googleapis.com” 就被攻击者用来创建链接到垃圾网站的 URL。托管在谷歌云存储桶中的静态网页采用了 HTML 元刷新技术，可立即将用户重定向到诈骗网站。威胁行为者利用这种方法诱骗用户访问欺诈网站，这些网站通常会模仿礼品卡促销等合法优惠活动，以窃取用户的个人信息和财务信息。 Enea 还观察到亚马逊网络服务（AWS）和 IBM 云等其他云存储服务也采用了类似的策略，即通过短信中的 URL 进入托管垃圾邮件的静态网站。 为防范此类威胁，Enea 建议监控流量行为、检查 URL 并警惕包含链接的意外消息。   转自Freebuf，原文链接：https://www.freebuf.com/news/401751.html 封面来源于网络，如有侵权请联系删除

GitLab 修补了一个高严重性漏洞，未经身份验证的攻击者可以利用该漏洞通过跨站点脚本 (XSS) 攻击接管用户帐户。 该安全漏洞（跟踪为CVE-2024-4835）是 VS 代码编辑器（Web IDE）中的一个 XSS 弱点，它允许攻击者使用恶意制作的页面窃取受限信息。 虽然他们可以在不需要身份验证的攻击中利用此漏洞，但仍然需要用户交互，从而增加了攻击的复杂性。 GitLab发布 GitLab 社区版（CE）和企业版（EE）的 17.0.1、16.11.3 和 16.10.6 版本以修复漏洞。GitLab官方建议所有 GitLab 用户立即升级到其中一个版本。 周三，该公司还修复了其他六个中等严重程度的安全漏洞，包括通过 Kubernetes 代理服务器的跨站点请求伪造 (CSRF) (CVE-2023-7045) 和一个可能让攻击者破坏 GitLab Web 资源加载的拒绝服务漏洞 (CVE-2024-2874)。 安全公告链接：https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/ 旧账户劫持漏洞被积极利用 GitLab 是一个受黑客欢迎的攻击目标，它以托管各种类型的敏感数据而闻名，包括 API 密钥和专有代码。 如果攻击者在 CI/CD（持续集成/持续部署）环境中插入恶意代码，危及组织的存储库，那么被劫持的 GitLab 帐户可能会产生重大影响，包括供应链攻击。 正如 CISA 本月早些时候警告的那样，攻击者目前正在积极利用 GitLab 在一月份修补的另一个零点击账户劫持漏洞。安全漏洞编号为 CVE-2023-7028，允许未经身份验证的攻击者通过密码重置来接管 GitLab 帐户。 尽管 Shadowserver在 1 月份发现了超过 5,300 个易受攻击的 GitLab 实例在线暴露，目前仍有一半未修复，可访问的还2,084 个。 CISA于 5 月 1 日将 CVE-2023-7028 添加到其已知被利用漏洞目录中，要求美国联邦机构在 5 月 22 日之前的三周内保护其系统。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Iy51an0r5EXNuAHzvmXgQQ 封面来源于网络，如有侵权请联系删除

黑客组织“Sharp Panda”正在开展网络间谍活动，其目标已扩大到非洲和加勒比地区。 Check Point 在一份报告中表示：“此次攻击活动采用 Cobalt Strike Beacon 作为有效载荷，启用 C2 通信和命令执行等后门功能，同时最大限度地减少其自定义工具的暴露。”“这种精妙的方法表明他们对目标有更深入的了解。” 以色列网络安全公司正在以新名称“Sharp Dragon”跟踪这一活动，称对手在瞄准目标时十分谨慎，同时正在扩大侦察力度。 该活动于 2021 年 6 月首次曝光，当时被发现针对东南亚，在 Windows 系统上部署了一个名为 VictoryDLL 的后门。 Sharp Dragon随后发起的攻击将目光瞄准了东南亚备受瞩目的实体，以传播Soul 模块化恶意软件框架，然后该框架用于从攻击者控制的服务器接收其他组件，以促进信息收集。 有证据表明，Soul 后门自 2017 年 10 月以来一直在酝酿中，采用了Gh0st RAT 和其他公开的黑客工具。 另一组攻击发生在 2023 年 6 月，目标是 G20 国家的高级政府官员。 Sharp Panda 行动的关键是利用 1day 安全漏洞（例如 CVE-2023-0669）渗透基础设施，以便以后用作命令和控制 (C2) 服务器。另一个值得注意的方面是使用合法的模拟框架 Cobalt Strike 而不是自定义后门。 更重要的是，最新一系列针对非洲和加勒比地区的攻击表明其原有目标有所扩大，其作案手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件，感染这两个地区的新目标。 这些消息带有恶意附件，利用 Royal Road 富文本格式 (RTF) 武器化来投放名为 5.t 的下载程序，该下载程序负责进行侦察并启动 Cobalt Strike Beacon，从而允许攻击者收集有关目标环境的信息。 诱饵文档 Check Point 补充道，使用 Cobalt Strike 作为后门不仅可以最大限度地减少自定义工具的暴露，而且还表明了“改进的目标评估方法”。 自 2023 年 5 月以来 Sharp Dragon 的感染链 有迹象表明攻击者正在不断改进其策略，最近的攻击序列已被观察到使用伪装成文档的可执行文件来启动感染，而不是依靠利用远程模板的 Word 文档下载被 Royal Road 武器化的 RTF 文件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/YUOD4mrQpV2QGUwDaoSEKQ 封面来源于网络，如有侵权请联系删除

Bitdefender 安全研究人员披露了一个名为Unfading Sea Haze的先前未记录的威胁组织的详细信息，据信该组织自 2018 年以来一直活跃。 Bitdefender 在一份报告中表示，这次入侵专门针对东南亚地区。 攻击者多次重新获得对受感染系统的访问权限。这次攻击凸显了一个关键漏洞：凭证管理不佳以及对暴露设备和网络服务的修补措施不足。 研究人员表示，攻击者的行为特征与任何已知黑客团队都不重叠。此次攻击使用了Gh0st RAT 恶意软件的不同版本，这是一种已知的商品木马。 Bitdefender 表示：Unfading Sea Haze 采用的一项特定技术——通过名为 SharpJSHandler 的工具运行 JScript 代码——类似于‘ FunnySwitch ’后门中发现的一项功能。 据观察，Unfading Sea Haze 通过包含陷阱档案的鱼叉式网络钓鱼电子邮件获得对目标实体的访问权限。 这些存档文件附带 Windows 快捷方式 (LNK) 文件，启动后，会通过执行旨在从远程服务器检索下一阶段有效负载的命令来启动感染过程。此有效负载是一个名为 SerialPktdoor 的后门，旨在运行 PowerShell 脚本、枚举目录、下载/上传文件以及删除文件。 此外，该命令利用 Microsoft 构建引擎 ( MSBuild ) 以无文件方式执行位于远程位置的文件，从而不会在受害者主机上留下任何痕迹，并降低检测到的机会。 滥用 msbuild.exe 启动无文件攻击 攻击链的特点是使用计划任务作为建立持久性的一种方式，任务名称模拟合法的 Windows 文件，这些文件用于运行无害的可执行文件，该可执行文件容易受到DLL 侧面加载的影响，从而加载恶意 DLL。 Gh0st 变体部署的大致时间表 Bitdefender 表示：“除了使用计划任务外，攻击者还采用了另一种持久性技术：操纵本地管理员帐户。包括尝试启用已禁用的本地管理员帐户，然后重置其密码。” 据了解，至少自 2022 年 9 月以来，Unfading Sea Haze 就开始采用市售的远程监控和管理 (RMM) 工具（例如 ITarian RMM）来在受害者网络中站稳脚跟。 攻击者的复杂程度可以从其武器库中的各种自定义工具中看出，其中包括 Gh0st RAT 的变种，例如 SilentGh0st 及其进化后继者 InsidiousGh0st（有 C++、C# 和 Go 版本）、TranslucentGh0st、FluffyGh0st 和 EtherealGh0st，后三种是模块化的并采用基于插件的方法。 同时使用的是一种名为 Ps2dllLoader 的加载器，它可以绕过反恶意软件扫描接口 (AMSI)，并充当传递 SharpJSHandler 的管道，它通过监听 HTTP 请求并使用 Microsoft.JScript 库执行编码的 JavaScript 代码。 Bitdefender 表示，它发现了另外两种 SharpJSHandler，它们能够从 Dropbox 和 Microsoft OneDrive 等云存储服务中检索和运行有效负载，并将结果导出回同一位置。 Ps2dllLoader 还包含另一个代号为 Stubbedoor 的后门，该后门负责启动从命令和控制 (C2) 服务器接收到的加密 .NET 程序集。 攻击过程中部署的其他工具包括一个名为 xkeylog 的键盘记录器、一个网络浏览器数据窃取程序、一个用于监视便携式设备存在的工具，以及一个名为 DustyExfilTool 的自定义数据泄露程序，该程序于 2018 年 3 月至 2022 年 1 月期间投入使用。 自定义工具每十秒检查一次新插入的 USB 和 Windows 便携式设备 (WPD)，并向攻击者发送设备详细信息和特定文件。 这还不是全部。在 Unfading Sea Haze 使用的复杂恶意代理和工具库中，还有第三个后门，称为 SharpZulip，它利用 Zulip 消息服务 API 从名为“NDFUIBNFWDNSA”的流中获取要执行的命令。在 Zulip 中，流（现在称为频道）类似于 Discord 和 Slack 中的频道。 有证据表明，数据泄露是由攻击者手动执行的，目的是获取感兴趣的信息，包括来自 Telegram 和 Viber 等消息应用程序的数据，并将其打包为受密码保护的档案形式。 Zugec 指出：“这种定制工具和现成工具的结合，再加上手动数据提取，描绘了一幅有针对性的间谍活动的画面，重点是从受感染的系统中获取敏感信息。” “他们的定制恶意软件库，包括 Gh0st RAT 系列和 Ps2dllLoader，展示了对灵活性和规避技术的关注。观察到的向模块化、动态元素和内存执行的转变凸显了他们绕过传统安全措施的努力。” Unfading Sea Haze 利用无文件攻击、先进的规避方法和模块化恶意软件设计，展现了隐秘性、持久性和适应性。 为了阻止这些攻击，组织必须采用多方面的安全策略，包括补丁管理、MFA 采用、网络分段、流量监控以及部署最先进的检测和响应产品。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mFytHVCDELMGFCJHAt6I_g 封面来源于网络，如有侵权请联系删除

近日，伊朗国家黑客组织用数据擦除器对以色列40家重要组织实施了大规模的网络攻击活动。 双拳出击 根据Check Point Research的研究报告，伊朗情报和安全部（MOIS）麾下有两个高级黑客组织（APT），其中一个名为Scarred Manticore（疤面蝎狮，也称Storm-861），是伊朗最顶尖的间谍黑客组织，常年对中东及其他地区的高价值组织进行监视。该组织的攻击效率很高，获取了很多高价值目标的初始访问权限；另一个MOIS的高级黑客组织Void Manticore（也称Storm-842）也会利用Scarred Manticore获得的初始访问权限，开展自己的破坏性活动。 据报道，到目前为止，Void Manticore声称已成功攻击了超过40个以色列组织，并在阿尔巴尼亚也发起多次高调的攻击活动。 协同作战 这两个伊朗黑客组织之间的合作模式简单且高效，充分利用了各自的优势。 Check Point对Void Manticore的攻击和信息泄露进行分析后发现，其受害者与Scarred Manticore的受害者群体存在显著重叠，表明这两个组织之间存在合作，某些案例中还发现有明确的“交接”程序（下图）： 首先，Scarred Manticore进行间谍活动，通过其复杂的无文件Liontail恶意软件框架静悄悄地执行电子邮件数据泄露，通常持续超过一年。 当发生一些升级事件时，比如以色列哈马斯之间爆发冲突，攻击策略的重点从网络间谍活动转向舆论影响和设施破坏行动，这时就轮到Void Manticore开始施展拳脚。 Void Manticore采用的技术、策略和程序(TTP)相对简单粗暴，主要使用简单且大部分公开可用的工具发动攻击，例如使用远程桌面协议(RDP)进行横向移动，并手动部署数据擦除器。 与更为老练的Scarred Manticore的合作有助于Void Manticore接触高价值目标。 破坏行动 Void Manticore在以色列的行动使用“Karma”的代号。 以色列与哈马斯冲突爆发后不久，Karma就通过Telegram Channel介入冲突，并于2023年11月推出一个主题为反犹太复国主义的犹太黑客网站，发动反对以色列政府，特别是本杰明·内塔尼亚胡的舆论攻势。Karma声称自己是政府军事行动引发的“蝴蝶效应”的产物，因此使用蝴蝶图标作为其标志的一部分。 Karma的另一个任务是彻底的破坏（擦除数据）。该组织使用常见的公开工具（如用于横向移动的RDP和reGeorg Web shell），他们的目标是删除以色列组织的文件，有时甚至手动删除文件和共享驱动器。 Void Manticore还拥有一系列定制的数据擦除器，可以大致分为两类。一类是设计用于破坏特定文件或文件类型的，采用更有针对性的方法。另一类则针对分区表，即主机系统中负责映射磁盘中文件位置的部分。通过破坏分区表，磁盘上的数据虽然未被触动但无法访问。 自首次出现以来，Karma声称已成功针对40多个以色列组织，其中包括几个高价值目标。攻击方式包括擦除、窃取和发布受害者的数据。 防御策略 对于防御者来说，同时对抗两个分工协作的国家级APT黑客组织颇具挑战性。因为他们各自拥有不同的工具、基础设施、战术、技术和程序（TTPs）。Check point的报告指出：“这是一个新趋势，但还没有人对此进行深入思考。” 两个伊朗APT组织之间交接到破坏开始的时间窗口非常短，因此更简单有效的防御路径可能是专注于初始威胁（尽管它更复杂），因为间谍活动通常比破坏活动持续时间更长。当破坏性行为者获得网络访问权限时，几乎会立即进行操作。 报告指出，任何组织都可以采取简单的防御措施来阻止协同作战的APT组织中的一个。例如，Void Manticore的简单TTPs可以通过有效的端点安全措施来阻止。 即使是Scarred Manticore这种隐蔽的间谍活动也可以在源头上被阻断。在大多数情况下，Scarred Manticore通过利用CVE-2019-0604漏洞（一个严重但已有五年历史的微软Sharepoint漏洞）开始攻击。“这并不是一个零日漏洞，所以完全是可以预防的。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DxGeWcqEx1LdZgnlQV126g 封面来源于网络，如有侵权请联系删除

当电脑有了像素级“记忆”，知道你看过的一切，做过的一切，不再有“阅后即焚”，可能意味着一场地狱级的隐私灾难。 近日，作为新发布的人工智能电脑“Copilot+PC”的最大亮点，微软在Build大会上发布了一个名为“回忆”（Recall）的新AI功能，可记住用户在电脑上的所见所为并智能检索回溯，引发了全球用户的广泛关注甚至恐慌。 尽管微软声称“回忆功能”记录的数据经过加密并存储在本地，但该功能仍然引起了大量用户对隐私问题的担忧。特斯拉创始人马斯克更是在X上发推文怒斥Windows的回忆功能堪比《黑镜》中的恐怖技术，必须关闭。 全程录屏的“回忆功能” 与常见的基于时间线和数据历史版本的回滚和恢复不同，“记忆功能”提供一种类似录屏的“视觉记忆”，允许Windows 11用户搜索和检索他们在PC上的所有历史活动（包括你的所有操作和屏幕历史截图）。 根据微软官网介绍，“回忆功能”利用了Copilot+PC人工智能电脑的高级处理能力，每隔几秒钟对用户的活动屏幕进行一次截图。这些截图被加密后存储在用户PC的硬盘上，用户可以通过搜索或时间线滚动来定位和查看这些内容。 “回忆功能”有些类似Windows 10中的时间线功能（该功能已在2021年停止），但“回忆功能”增加了持续截图（类似录屏）的功能。这方面，“回忆功能”与Mac第三方应用Rewind有许多相似之处，Rewind同样记录用户活动以供稍后回放。 除了视觉记忆外，“回忆功能”一个重要卖点是可以帮助用户快速找到特定时间段内的历史信息，提供相应的上下文，还支持通过AI功能对会议记录和观看过的视频进行转录和翻译。 更为“恐怖”的是，借助微软的人工智能助手，用户只需要通过语言描述（提示），就可以找到在屏幕中出现过的，用户自己都没注意的信息（例如滚动电商网站列表页一闪而过的某款棕色手提包，直播视频中某个人物的特写）。通常，如果一个页面或会话窗口被关闭，且用户没有收藏或者截图的话，这类信息很难被定位和回溯。 目前阶段，用户使用Windows的“回忆功能”有一定硬件配置要求。用户需购买搭载高通Snapdragon X Elite芯片并配备神经处理单元（NPU）的Copilot+PC，最低配置为256GB硬盘空间和50GB可用空间。 默认情况下，256GB设备的“记忆功能”需要分配的存储空间为25GB，可存储约三个月的截图。用户可以在PC设置中调整存储分配，当分配的存储空间满时，旧的截图将被删除。 微软表示，Recall目前处于预览阶段，正在收集用户反馈，开发更多企业客户管理和控制“回忆数据”的功能，并改进用户体验。 隐私与信息安全的一场灾难？ 表面上，“回忆功能”为用户提供了方便的回溯工具，但深入了解后，人们对其可能带来的隐私问题（以及信息安全和版权保护问题）提出了质疑。因为“记忆功能”如同为PC提供了“全程录屏记忆”，用户可以通过本地大语言模型查询在PC上所做的一切，看到的一切。 通过时间线滚动，用户可以找到（任何）应用程序、网站或文档的（截屏）内容，并基于识别的内容建议相应的操作，例如用户可以轻松返回到Outlook中的特定邮件界面或聊天软件中的聊天记录。 一些安全专家认为，这可能意味着严重的隐私和数据安全隐患。任何拥有你Windows账户访问权限的人都可以利用“回忆功能”查看你最近在PC上所做的一切，这不仅涉及隐私问题，还可能威胁到记者或情报人员的生命安全。 尽管存在隐私问题，微软坚称“回忆功能”依赖于设备上的个人语义索引，所有数据都存储在本地设备上，不会发送到微软服务器。 微软的Yusuf Mehdi在一份声明中表示：“Recall截图仅与特定用户档案相关联，不会与其他用户共享，也不会供微软查看或用于广告定位。截图仅对登录设备的用户本人可见。你的截图是你的，它们保存在你的PC上。你可以删除单个截图，调整和删除设置中的时间范围，或随时从任务栏系统托盘图标暂停该功能。”。 微软表示，用户可以暂停、停止或删除AI捕获的内容，还可以排除特定的应用程序或网站。“回忆功能”不会对Microsoft Edge中的InPrivate浏览会话或受DRM保护的内容进行截图。 尽管微软声明这些数据不会被传输到他们的服务器，但仍有安全专家担心这些包含高度敏感隐私数据的记录在本地如何确保安全。以及一旦威胁行为者获得设备的本地访问权限，是否能够访问这些数据并将其发送到远程计算机进行离线分析，进而获取敏感数据？ 最后，安全专家建议用户在选择微软Windows的“记忆功能”时权衡便利性与隐私风险。尽管“记忆功能”为用户提供了强大的“过目不忘”的回溯功能，但其潜在的巨大隐私风险也不容忽视。对于高度重视隐私的用户，特别是涉及敏感信息的工作者，需谨慎评估这一功能的使用。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16404.html 封面来源于网络，如有侵权请联系删除

近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头，为开发人员和管理人员提供产品，该公司拥有 10000 多名员工，2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示，鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务，以帮助其团队协同工作和共享信息。这样的话，黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统，并盗取受害者大量数据信息。 更为糟糕的是，CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码，而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是，虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据，平均赎金要求为 530 万美元，因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后，便立刻针对两个受影响的服务发布了修复程序。然而，其安全团队还是发现数十万个易受攻击的实例暴露在互联网上，不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出，共有多达 224962 个数据中心和服务器实例暴露在互联网上，威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中，一旦有了“立足点”，就可以轻松获得对系统的完全控制，随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外， Atlassian 暴露的实例还危及到很多普通用户。研究人员认为，黑客可以窃取受害者登录凭证，从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此，研究人员强调，RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体，可以获得进入目标系统的初始入口，帮助勒索软件团伙开展攻击活动，（ Cyber news 勒索软件监控工具 Ransomlooker 的数据显示，勒索攻击事件平均赎金为 530 万美元）因此尽快修复任何具有 RCE 功能的安全漏洞非常重要。 以著名勒索软件 Cl0p 为例， 该组织曾经利用 Progress 软件公司 MOVEit Transfer 软件中一个零日漏洞（现已修复），入侵了受害者的内部系统，非法访问、盗取大量敏感数据，数千家机构和数千万人受到影响，造成数千万美元的损失。 最后，安全研究人员深入分析后发现，Atlassian Confluence Data Center 和 Confluence Server 出现安全漏洞后，仍旧有五个国家/地区托管了一半易受攻击的实例。其中，美国拥有最多的可能易受攻击的实例，为53195个，另有22007个易受攻击的实例被追踪到日本。 与此同时，南非、法国和德国各自托管了超过 11000 个暴露的未打补丁的 Confluence 服务。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401663.html 封面来源于网络，如有侵权请联系删除