therecord 网站消息，研究人员发现，联邦政府维护的已知被利用漏洞（KEV）目录对联邦政府内外的组织机构产生了实质性的影响。 网络安全和基础设施安全局（CISA）的 KEV 目录已经运行了近三年，早已迅速成为全球黑客积极利用的软件和硬件漏洞的首选存储库。对此，网络安全扫描公司Bitsight 的专家提出了一个问题：”与不在 KEV 目录中的漏洞相比，企业修复 KEV 的速度是否更快？“ 答案明确是「是」。根据 Bitsight 的研究人员对 100 多万个实体（包括公司、学校、地方政府等）进行漏洞扫描的数据显示，KEV 所列漏洞的修复时间中位数为 174 天，而非 KEV 所列漏洞的修复时间为 621 天。换句话说，修补目录中列出的漏洞所需的时间中位数是非 KEV 漏洞的 3.5 倍。 该公司证实，KEV 列表通过帮助公司和地方政府从大量漏洞中筛选出真正重要的漏洞产生了实际效果。2023 年，在 Bitsight 观察到的所有组织中，有 35% 的组织处理过 KEV ，其中绝大多数的组织有一个以上的 KEV。 漏洞修复时间 每个添加到 KEV 列表中的漏洞都附带一个截止日期，该日期根据漏洞的严重程度和被定位的紧急性而有所不同。这个截止日期正式适用于联邦机构，但对于美国政府之外的组织，它可以作为漏洞严重程度的一个指南。 Bitsight 发现，受 CISA 约束性指令监管的联邦民事机构比其他组织更有可能在截止日期前解决 KEV 漏洞，概率高出 63% 。而大约 40% 的组织（即那些不必遵守 CISA 规定的联邦政府以外的组织）能够在 CISA 的截止日期前解决漏洞。 报告指出，从 KEV 列表创建至今，给予漏洞修补的截止日期发生了巨大变化。该列表首次创建时，CISA 通常给联邦民事机构一周、两周或六个月的时间来修补漏洞。但到 2022 年春季，他们将截止日期调整为三周。直到最近几个月，又重新规定了一周的期限。 为什么会发生这种变化？早期的这些漏洞通常在添加到 KEV 目录时就已经存在了，考虑到这种情况，CISA 给组织时间解决问题似乎是合理的。 截止日期还可能受漏洞是否被勒索软件使用的影响：一周内需要解决的漏洞比其他漏洞更容易被用于勒索软件，因为这些漏洞非常紧急，如果黑客在组织机构系统上利用它们，可能会造成重大损失。 科技公司是最快解决漏洞的公司之一，部分原因是它们在 Bitsight 列出的暴露漏洞最多的行业中名列榜首。 在 Bitsight 追踪的行业中，教育机构和地方政府的情况最为糟糕，这两个行业受 KEV 列表漏洞影响较大，修复时间较慢。而保险公司、信用社和工程公司受 KEV 列表漏洞影响的程度相对较低，通常修复问题的速度也较快。 列表上的新漏洞 上周，CISA 在 KEV 列表中增加了两个漏洞。其中被命名为 CVE-2024-29988 的漏洞是微软在四月份发布的 “补丁星期二”（Patch Tuesday）中公布的，该漏洞会影响微软产品中包含的云端反钓鱼和反恶意软件组件 SmartScreen。 Immersive Labs 的首席网络安全工程师本·麦卡锡（Ben McCarthy）表示，SmartScreen 是一个大型弹出窗口，会警告用户有关运行未知文件的情况，它通常是网络钓鱼攻击的终端，用于吓唬用户，让他们不敢继续打开文件。 他补充说，该漏洞在使用文件下载作为获取初始访问权限的攻击技术的攻击者中很流行，因为他们想找到绕过 SmartScreen 等安全功能的方法。 CISA 指出，在攻击过程中，该漏洞可以与 CVE-2024-21412 链接。一位发现 CVE-2024-21412 和 CVE-2024-29988 漏洞的零日计划研究人员表示，通过直接手段（电子邮件和直接消息）进行的社会工程攻击需要某种用户交互，这是这类漏洞典型的利用途径。 CVE-2024-21412 被用作 DarkGate 活动的一部分，该活动利用假冒苹果 iTunes、Notion、英伟达（NVIDIA）等公司的虚假软件安装程序。Microsoft Defender SmartScreen 本应为终端用户提供额外保护，防止网络钓鱼和恶意网站，但由于这些漏洞绕过了安全功能，导致终端用户感染恶意软件。 上个月，《Bleeping Computer》报道称，一个出于经济动机的黑客组织利用该漏洞攻击了外汇交易论坛和股票交易 Telegram 频道。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399968.html 封面来源于网络，如有侵权请联系删除

Forrester近日发布《2024年网络安全威胁预测报告》指出，人工智能正重塑网络安全格局，武器化大语言模型正成为首选攻击工具，安全团队在应对武器化人工智能攻击方面将面临日益严峻的挑战。此外，Forrester还预测2024年网络安全行业将面临诸多新兴威胁，热点包括深度伪造、APT组织和网络犯罪团伙兜售的“勒索软件即服务”、FraudGPT恶意大模型、物联网攻击服务，以及无痕攻击（无法被网络安全系统检测到的定制化恶意软件攻击）。 根据CrowdStrike最新发布的《2024年全球威胁报告》显示，无痕攻击在所有攻击事件中的占比从2022年的71%上升到2023年的75%。 数据泄露平均成本高达218万美元 2024年企业网络安全态势空前严峻。Forrester最近针对安全和风险管理专业人士的调查发现，近八成(78%)的受访者表示其组织的敏感数据在过去12个月中至少被泄露或入侵过一次。报告指出：“一次成功的网络攻击会成为未来攻击的信号弹。” 对比2022年和2023年的安全调查数据，过去12个月内经历过6到10次攻击的受访者比例增加了13%。48%的受访者曾遭遇过损失超过100万美元的网络攻击或数据泄露事件。其中大多数数据泄露事件的修复成本在200万至500万美元之间(27%)，还有3%的事件的修复成本超过1000万美元。 数据泄露的平均预估成本为218万美元。接受采访的每3位安全和风险管理专业人士中就有1位遭受过总损失额在200万至1000万美元以上的数据泄露事件。——Forrester Forrester评选的2024年五大安全威胁 利用虚假信息操纵舆论、日益增长的深度造假风险、生成式人工智能数据泄露、人工智能软件供应链漏洞以及太空安全是Forrester今年警告的五大安全威胁。下面将逐一进行概述。 1 大选年的叙事（舆论）操控攻击 舆论操控攻击通过操纵信息、破坏其可信度来抹黑或扭曲叙事的真实含义。Forrester的报告写道：“新技术使传播复杂的虚假信息和错误信息变得更加轻松快捷。2024年将有64个国家举行选举，因此旨在塑造舆论和影响行为的叙事操控攻击将尤为盛行。”Forrester指出，俄罗斯国家攻击者就曾利用舆论操控攻击试图在美国和墨西哥边境争论问题上挑动政治分歧。美国情报界最近发布的《2024年年度威胁评估》详细解释了国家攻击者如何利用舆论操控攻击和其他技术扰乱外交政策和选举。 2 深度伪造引发身份安全危机 深度造假是快速增长的威胁之一，其背后的推动力包括易于获取的廉价计算能力、生成式人工智能算法（包括生成对抗网络(GAN)和自动编码器）以及用于转换人物图像（例如换脸）的移动应用程序激增。其目标是创建具有高度音视频可信度的逼真人物形象。深度伪造通常用于创建用于欺诈、实施勒索软件攻击、窃取数据和知识产权(IP)的合成身份。Forrester指出，一些深度伪造案例被用于操纵股价、损害企业声誉和品牌、降低员工和客户体验以及放大错误信息。识别和阻止深度伪造威胁需要能够检测音频和图像篡改的算法。 Forrester建议IT和安全团队研究如何使用身份验证器应用程序来控制媒体源，并通过额外的验证和保护层封装面部和语音生物识别技术，包括行为生物识别、设备ID指纹识别/信誉、机器人管理和检测、数字技术欺诈管理和无密码身份验证。 3 生成式人工智能数据泄露 对于许多CISO来说，防御生成式人工智能泄露敏感数据的重点是提示工程、提示注入和重复提示攻击。随着越来越多的企业引入基于生成人工智能的应用程序，数据泄露风险正不断累积。鉴于微软Copilot、Salesforce Einstein GPT、Anthropic的Claude或Perplexity等大语言模型工具带来的生产力提升，CISO并不愿意完全禁止使用这些工具。Forrester指出，目前已经涌现出一些用于内容分析和过滤的新技术，包括PrivateAI、Prompt Security、ProtectAI和数据泄露防护(DLP)供应商，这些供应商正试图重新定位或转向提供此领域的安全控制。此外，思科、CradlePoint的Ericom生成人工智能数据泄露防护、Menlo Security、Nightfall A.I、Wiz和Zscaler是市场上提供此类安全方案的代表性厂商。 其中，CradlePoint的独特之处在于它依赖于无客户端方法，该方法在Ericom云平台内的虚拟浏览器中执行用户与生成人工智能网站的交互。CradlePoint表示，这种方法能够在其云平台中部署数据丢失防护和访问策略控制。通过将所有流量路由到专有云平台，可以防止将个人身份信息(PII)或其他敏感数据提交到ChatGPT等生成式人工智能网站。 4 人工智能软件供应链攻击 在人工智能软件供应链的源代码中嵌入恶意可执行程序是一种特别难以防范的威胁。攻击软件供应链并制造混乱是勒索软件攻击者偏爱的策略。国家黑客攻击者、网络犯罪集团和高级持续威胁(APT)组织也经常攻击软件供应链，因为它们从来都是软件公司或企业防御最薄弱的环节。值得注意的是，在短短一年内，91%的企业成为软件供应链事件的受害者，这凸显了对持续集成/持续部署(CI/CD)管道采取更好保护措施的必要性。 GitHub和Hugging Face是最受欢迎的开源模型和框架之一。在人工智能软件供应链入侵尝试中，攻击者还会寻找利用供应链和框架的机会。Forrester援引了OpenAI的ChatGPT被泄露的事件，该事件是由于恶意行为者利用了Redis开源库中的漏洞造成的。大语言模型只是高度复杂的AI生态系统的一小部分。 5 太空成为安全战略高点 间谍卫星和先进技术是各国攻击武器库的核心组成部分。美国外交关系委员会发现，2022年78%的国家网络攻击的目的是间谍活动，到2023年这一比例上升到82%。卫星正成为越来越需要保护的关键威胁面。2023年4月，网络空间日光委员会敦促白宫将太空设施纳入关键基础设施范畴，此前俄罗斯在入侵乌克兰期间攻击了Viasat的卫星网络。2023年晚些时候，德国研究人员披露了卫星技术中发现的巨大漏洞。鉴于不断变化的地缘政治格局，卫星供应链正受到更严格的审查。 构建更具网络弹性的卫星离不开强大的安全网络为卫星供应链（包括地面和航天器）提供保护。截至2022年底，共有6718颗活跃卫星环绕地球运行，预计到2030年还将发射5.8万颗卫星。美国国防情报局在其2022年《太空安全挑战》报告中写道：“太空正变得越来越军事化。一些国家已经开发、测试和部署了各种卫星和反太空武器。中国和俄罗斯正在开发新的太空系统以提高其军事能力并减少对美国太空系统的依赖。”   转自会GoUpSec，原文链接：https://mp.weixin.qq.com/s/fLC-BdeFZ90YmsPrqc9DCg 封面来源于网络，如有侵权请联系删除

白俄罗斯黑客组织“网络游击队”Cyber-Partisans 声称已渗透到该国主要克格勃安全机构的网络。黑客访问了超过 8,600 名员工的人事档案。 周五，白俄罗斯克格勃网站显示一个空白页面，显示“正在开发中”的信息。 Cyber-Partisans 组织在其 Telegram 频道上发布了一系列文件作为黑客攻击的证据，包括网站管理员列表、底层数据库和服务器日志。   白俄罗斯克格勃官方网站已经2个多月无法运行。这一切都是因为网络游击队于 2023 年秋季到达那里并输出了所有可用信息。 “唉，我们发出了一点噪音，不得不关闭该网站。我们将发布管理员列表作为证据。请参阅下面的单独帖子中的站点数据库和服务器日志。”阅读该小组在 Telegram 上发布的消息。 网络游击队协调员尤利安娜·沙梅塔维茨告诉美联社，对克格勃的袭击是对该机构负责人伊万·特尔特尔的“回应”，后者指责该组织准备袭击白俄罗斯的关键基础设施，包括一座核电站。 沙梅塔维茨说：“克格勃正在实施该国历史上最大规模的政治镇压，必须对此负责。” “我们致力于拯救白俄罗斯人的生命，而不是像镇压的白俄罗斯特种部队那样摧毁他们。” Shametavets 证实，网络游击队窃取了 8,600 多名克格勃员工的个人档案。 Cyber-Partisans 还推出了 Telegram 聊天机器人，允许公民通过上传照片来揭露克格勃特工的身份。 白俄罗斯网络游击队是一个自 2020 年以来一直活跃的黑客组织。网络游击队是在有争议的 2020 年选举和随后镇压抗议活动后成立的，其目标是白俄罗斯政府机构。 过去四年来，网络游击队组织对白俄罗斯官方媒体进行了多次攻击。2022年，他们多次针对白俄罗斯铁路，夺取了其交通信号灯和控制系统的控制权，这一行动扰乱了俄罗斯军事装备经白俄罗斯进入乌克兰的运输。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Os96hZnBVyaJxnGGa_rZ7A 封面来源于网络，如有侵权请联系删除

工业巨头霍尼韦尔发布了关于 USB 传播的恶意软件对工业组织构成威胁的第六份年度报告，警告其复杂性有所增加。 该报告基于该公司的全球分析、研究和防御 (GARD) 团队使用安全产品收集的数据进行的分析，该产品旨在检测和阻止客户工业环境中使用的 USB 驱动器上的恶意软件。 与前两年相比，过去一年的一些数据基本没有变化。在霍尼韦尔产品在 USB 驱动器上检测到的所有恶意软件中，31% 是已知针对工业系统或公司的攻击活动的一部分或与其相关。 与过去几年类似，超过一半的恶意软件旨在通过 USB 驱动器进行攻击或传播，这可以帮助恶意软件跨越隔离网络。此外，大约一半的恶意软件能够连接到远程 C&C 服务器。 同样与过去两年类似的是，80% 检测到的恶意软件能够对运营技术 (OT) 流程造成干扰，包括失去视野、失去控制或系统中断。这包括勒索软件、擦除器和专门设计用于操纵或破坏控制的恶意软件，例如Industroyer2和Black Energy。 霍尼韦尔在报告中表示：“这些指标共同支持了这样一种信念，即 USB 传播的恶意软件被故意利用作为针对工业目标的协调攻击活动的一部分，包括可能导致视野和/或控制丧失的功能。” 与往年相比，霍尼韦尔已开始监控更多指标。这揭示了向离地生活 (LotL) 策略的转变，以增加攻击者不被发现的机会。 霍尼韦尔表示：“新证据表明，对手正在追求 LotL 策略，将更复杂的检测规避和持久性技术与利用目标系统固有功能的执行技术相结合。” 大约 20% 的 USB 恶意软件是基于内容的，滥用现有的文档和脚本功能，而不是利用新的漏洞。 在被阻止的所有恶意软件中，超过 13% 专门利用了常见文档（如 Word 文档、电子表格、脚本等）的固有功能。另外 2% 的恶意软件专门针对常见文档格式中的已知漏洞，另外 5% 专门针对用于修改和创建这些文件类型的应用程序。 该公司还发现针对 Linux 和其他平台的恶意软件有所增加，其中包括专门为工业设施设计的恶意软件。 另一个令人担忧的趋势与恶意软件频率有关。霍尼韦尔表示，与去年相比，被阻止的恶意软件数量相对于扫描文件总数增加了约 33%，同比增长了 700%。 霍尼韦尔警告称：“连续第六年，试图进入工业/OT 环境的已知威胁的复杂程度、频率和潜在运营风险持续增加。” “USB 传播的恶意软件显然被用作针对工业目标的更大规模网络攻击活动的一部分。对 ATT&CK 技术的分析以及与主要网络物理攻击活动相关的恶意软件（例如 Stuxnet、Black Energy、Triton、Industroyer 和 Industroyer 2）的分析支持了这一迹象。” 霍尼韦尔国际（Honeywell International），是美国一家以电子消费品生产、工程技术服务和航空航天系统为主的跨国公司，总部位于北卡罗来纳州夏洛特。名列《财富》杂志100强公司，拥有约110,000名雇员，其中约44,000名在美国。 完整的2024 年霍尼韦尔 USB 威胁报告下载：https://www.securityweek.com/wp-content/uploads/2024/04/2024_Honeywell_Gard_USB_Threat_Report_Research_Paper.pdf   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/PLEBGh2rwNjL2FOS_EMntg 封面来源于网络，如有侵权请联系删除

Netacea 公司发布预警，93% 的企业网络安全负责人预计每天都会面临人工智能驱动的网络攻击，网络犯罪分子正在利用人工智能技术，策划更复杂、更智能化、更具威胁的网络攻击活动，智能化工具正迅速成为网络犯罪分子的惯用技俩。 人工智能技术自成熟以来就被网络犯罪分子盯上了，作为一种强大技术手段，威胁攻击者可以利用其构造出更复杂的网络攻击策略，从而规避受害者的网络防御检测机制，窃密敏感数据信息。 人工智能技术成为威胁攻击者的新“助力” 研究人员针对英国、美国等国的企业网络安全负责人，进行了一项有关“人工智能技术应用于网络攻击”的研究调查。结果显示，大多数安全负责人预计每天都会发生由人工智能驱动的网络攻击活动，甚至 65% 的受访者预计攻击性人工智能将成为网络犯罪分子最常用的手段，用于大多数网络攻击中。 此外，安全负责人还着重强调了进攻性人工智能的重要性。 由于时间紧迫，并且背负着保护其组织免受已知网络安全威胁以及潜在安全威胁，安全负责人必须确保企业董事会成员能够意识到进攻性人工智能可能带来的威胁。 在众多受访者中，有 11% 的安全负责人认为爬虫攻击是其业务面临的最大网络威胁，仅次于勒索软件、网络钓鱼和恶意软件（ Netacea 研究发现，对于大型企业来说，机器人攻击可能会导致其损失了 4.3% 的经营收入，这一数字相当于遭受了 50 次勒索软件要支付的赎金）。 人工智能技术改变了网络防御态势以及攻击方法 人工智能技术在被用作构造更具智能化的网络攻击工具的同时，也被用于网络防御。Netacea 调查的所有受访者都以某种方式将人工智能纳入了他们的安全堆栈，所有受访者都表示人工智能改善了他们的安全态势，其中 27% 的受访者表示这种改善非常显著。 人工智能技术在企业网络防御中具有很重要的作用，61% 的安全负责人认为人工智能大大降低了他们的运营开销。 调查表明，人工智能技术只能“赋能”防御高影响、低频率的攻击，例如 DDoS（62%），对于僵尸攻击（33%）起到作用相对较小，这种情况表明，虽然人工智能是一种值得欢迎的网络威胁防御手段，但它尚未得到普遍应用，也未被用于抵御最具破坏性的攻击。 有 90% 的受访者对其 Web 应用防火墙、DDoS 防护和 API 安全的人工智能防御能力充满信心，但只有 60% 的受访者对其僵尸管理工具持同样的看法。 最后，Netacea的 CTO Andy Still 强调，人工智能技术的强大能力和易于获取的特性使其成为攻击和防御的双刃剑，虽然目前许多安全负责人已经意识到了人工智能技术可能带来的潜在安全威胁，但对于这些威胁的来源仍有认识上的差距。   转自Freebuf，原文链接：https://www.freebuf.com/news/399865.html 封面来源于网络，如有侵权请联系删除

infosecurity网站消息，近日，一项研究分析揭示了针对美国邮政服务（USPS）的网络钓鱼和网络诈骗攻击的严重程度，尤其是在节假日期间。 这项研究由Akamai安全研究人员利用匿名全球DNS查询日志进行，揭示了一个令人震惊的趋势。模仿USPS网站的非法域名吸引的流量几乎与合法域名相当，有时甚至更高，尤其是在感恩节和圣诞节等购物高峰期。 研究人员通过识别与确认的欺诈性JavaScript文件和类似欺诈消息的HTML模式相关联的恶意域名，开始了这项研究。通过过滤标准，包含“USPS”字符串的域名被分离出来，形成了反映恶意意图的数据集。值得注意的是，这项研究非常注意避免误报，以确保分析的准确性。 研究发现了大量欺骗性域名，它们采用了组合蹲守等技术，利用USPS等熟悉的品牌名称唤起受害者的信任。其中，”usps-post[.]world “和 “uspspost[.]me “是最热门的恶意域名，每个域名的点击量都超过了10万次，凸显了这些攻击活动的有效性。 对顶级域名（TLDs）的分析显示，威胁行为者在常见选择中有共同之处，其中“.com”和“.top”域名在这一领域占主导地位。有趣的是，“.com” TLD顶级域名具有全球合法性，而“.top”则成为一个备受安全研究人员关注的恶意活动的流行替代品。 在IP地址方面，出现了不同的模式。在 IP 地址方面，出现了明显的模式。一些IP托管的域名数量少，但流量大；而另一些IP托管的域名数量多，但单个流量小。这种多样性表明，网络犯罪分子采用了不同的策略来逃避检测。 对合法USPS流量和恶意域名进行比较后发现，两者的查询次数惊人地相似，尤其是在节假日期间，这表明消费者面临着巨大的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/399846.html 封面来源于网络，如有侵权请联系删除

近日，谷歌称其在过去一年时间里从应用商店中封禁了 33.3 万个不良账户，原因是这些账户试图分发恶意软件或屡次违反政策。同时，谷歌还拒绝了近 20万个提交到 Play Store的应用程序，以解决访问位置或短信等敏感数据的问题。 谷歌的Steve Kafka、Khawaja ShamsMohet Saxena 表示：2023年谷歌共阻止了228万个违反政策的应用程序在Google Play上发布。这主要得益于谷歌全新改进的安全功能、政策更新以及先进的机器学习和应用程序审查流程。 谷歌的这项执法工作以所谓的 SAFE 原则为基础，SAFE 原则包括：保护用户、倡导开发者保护、促进负责任的创新、加强平台防御。 最近推出的审查和安全措施加强了对恶意提交内容的识别和对 Google Play 上已有风险内容的删除，这些措施包括： 更严格的开发者注册和身份验证流程 为 Android VPN 应用程序引入独立的安全审查和徽章 增加实时扫描功能，阻止恶意软件执行 固件加固，使 SoC 级缺陷更难被利用 扩展 SDK 索引（现已覆盖 600 万个应用程序），帮助开发人员为其项目选择安全的 SDK 除了封禁了近 230 万个应用和暂停 33.3 万个违规发布商之外，谷歌还拒绝了 20 万个无正当理由请求访问短信内容和后台位置数据等风险权限的应用提交请求。 此外，谷歌还表示加强了开发者入职和审查流程，开始要求他们提供更多身份信息，并在设置 Play 控制台开发者账户时完成验证流程。这能够使其更好地了解开发者社区，并根除不良行为者利用该系统传播恶意应用程序的行为。 近年来，谷歌正在积极采取一系列措施以确保安卓生态系统的安全。 去年 11 月，谷歌将其于 2019 年 11 月发起的应用程序防御联盟转移到 Linux 基金会旗下，Meta 和微软也加入成为创始指导成员。 大约在同一时间，谷歌在代码层面推出了实时扫描功能，以应对新型安卓恶意软件，并在 Play Store 的数据安全版块为经过移动应用安全评估（MASA）审核的 VPN 应用提供了 “独立安全审查 ”徽章。 在面向用户的方面，谷歌也采取了措施，从 Play Store 下架了约 150 万个不针对最新 API 的应用程序。 此外，Google 还与 31 家 SDK 提供商合作，确保仅从安装了这些 SDK 的应用的设备中收集和共享最少量的敏感信息。 谷歌表示，这一举措直接影响了 Google Play 上可用的 79万应用程序，这意味着可能有数千万甚至更多用户。 就在上个月，研究人员在 Google Play 上发现了 17 个“免费”VPN 应用程序，这些应用程序使用恶意货币化 SDK，劫持 Android 设备充当不知情的住宅代理，可能用于网络犯罪和购物机器人。 谷歌建议 Android 用户仅从 Google Play 采购他们的应用程序，并避免从未经审查的第三方商店下载的 APK 应用程序安装软件。 同时，广大用户也应定期检查设备上的 Play 保护机制是否处于活动状态，定期检查后台电源和数据消耗以识别可疑进程，并移除授予应用核心功能不需要的权限。   转自Freebuf，原文链接：https://www.freebuf.com/news/399838.html 封面来源于网络，如有侵权请联系删除

美国会计公司 BerryDunn 遭第三方数据泄露，超过 100 万人的个人信息受影响。 2023年9月14日，BerryDunn收到通知，称其供应商之一的缅因州网络维护和监控公司Reliable Networks，有可能影响其网络的可疑活动。BerryDunn声称已立即执行其件响应协议，并聘请网络安全专家协助确定事件的性质以及是否有任何数据受到损害。 据调查，此次涉及泄露的数据包括： 姓名 地址 驾驶执照号码 非驾驶员身份证 调查显示，威胁行为者访问了Reliable的网络，并复制了存储在其系统上的数据。BerryDunn的内部调查于2024年4月2日结束，距该公司收到入侵通知近一年。 该会计师事务所已“采取措施保护 HAPG 数据，如停用 Reliable 控制下的所有 BerryDunn 系统，并将所有 HAPG 数据迁移到内部 BerryDunn 系统的安全，这些系统作为我们网络安全计划的一部分受到持续监控。” BerryDunn 通过Zero Fox公司IDX提供身份盗窃保护服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/296095 封面来源于网络，如有侵权请联系删除

网络安全公司Securonix近日发现了一个名为“Dev Popper”的新型网络攻击活动，该活动针对软件开发人员，利用虚假的面试流程诱使受害者安装恶意软件，进而窃取受害者供职企业的机密信息。 攻击者会伪装成企业招聘人员，通过邮件或社交媒体联系目标开发者，提供虚假的软件开发职位。在面试过程中，攻击者会要求受害者下载并运行声称来自GitHub的“标准编码任务”，以此让整个过程看起来合法合规。 然而，该代码实际上是一个恶意压缩文件，其中包含一个恶意NPM软件包。这个软件包内嵌了一个名为“imageDetails.js”的混淆JavaScript文件，该文件会通过Node.js进程执行“curl”命令，从外部服务器下载另一个恶意存档“p.zi”。 “p.zi”存档中包含下一个阶段的攻击载荷，也就是一个混淆的Python脚本，充当远程访问木马(RAT)。 一旦RAT在受害者的系统上激活，它就会收集并发送基本系统信息到攻击者的控制服务器，这些信息包括操作系统类型、主机名和网络数据。 Securonix报告称，此RAT具备以下功能： 长期驻留，供攻击者持续控制受害者系统。 执行文件系统命令，以搜索并窃取特定文件或数据。 远程执行命令，用于实施额外的漏洞利用或部署恶意软件。 直接从“文档”和“下载”等重要文件夹窃取数据，通过FTP传输到攻击者服务器。 记录剪贴板内容和按键记录，以监控用户活动并可能窃取凭证。 虽然目前尚无法确定“DevPopper”攻击的幕后黑手，但利用虚假工作机会作为诱饵传播恶意软件的做法仍然屡见不鲜。软件开发人员在求职过程中应该保持警惕，不要轻易下载或运行来历不明的代码，以免遭受网络攻击。 值得注意的是，攻击者正是利用了软件开发人员（包括网络安全专业人士）的职业操守及其对招聘流程的信任。求职者担心拒绝面试官的要求会影响求职机会，因此更容易落入陷阱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/EqwMS6e489XDpCEY_FEd6A 封面来源于网络，如有侵权请联系删除

作为后量子时代的标志性产品，谷歌首个抗量子加密浏览器Chrome 124的发布意外引发了网络安全业界的骚乱。 该Chrome版本默认启用全新的抗量子安全传输层安全(TLS)密钥封装机制X25519Kyber768，用于保护用户免受即将到来的量子破解威胁。然而，这项新技术却由于兼容性问题导致TLS连接中断，很多用户无法正常连接访问网站、服务器和多家安全厂商的防火墙。 “先存储，后解密”攻击 早在去年8月，谷歌就开始测试代号“Kyber768”的抗量子密钥协商算法，并计划将其整合至最新的Chrome版本中。理论上，Kyber768可以保护基于TLS 1.3和QUIC连接的Chrome流量，使其免遭未来量子计算机的破解。经过数月的兼容性和性能影响测试，我们决定在Chrome 124桌面版本中启用混合式抗量子TLS密钥交换，”谷歌Chrome安全团队解释道：“这项技术可以保护用户流量免受‘先存储，后解密’（黑客大量收集囤积加密的网络流量数据，等未来量子计算机成熟后进行解密）攻击的威胁。” “先存储，后解密”攻击是数据安全面临的一个巨大潜在威胁。为了防范此类攻击，许多企业已经开始在其网络架构中加入抗量子加密技术。苹果、Signal和谷歌等科技巨头均已率先采用了抗量子算法。 大量防火墙、服务器、网络设备产生兼容问题 然而，根据系统管理员们的反馈，自上周Google Chrome 124和微软Edge 124桌面版推出以来，一些网络应用、防火墙和服务器产品在执行Client Hello TLS握手时会断开连接。 “该问题似乎影响了服务器处理客户端问候消息中的额外数据的能力，”一位管理员表示：“同样的问题也出现在了新版Edge浏览器上，似乎与派拓网络（Palo Alto Networks）防火墙产品的的SSL解密功能存在冲突。” 据报道，该兼容性问题的影响面非常大，多个供应商（例如Fortinet、SonicWall、Palo Alto Networks、AWS）的安全设备、防火墙、网络中间件和各种网络设备都遭遇了类似的兼容性问题。 值得注意的是，这些错误并非源于Google Chrome本身的漏洞，而是由于部分网站服务器和网络设备未能正确实现传输层安全(TLS)协议，无法处理用于抗量子加密的更大ClientHello消息。 这些不支持X25519Kyber768算法的网络设备，不会尝试降级至经典加密方案，而是直接拒绝使用Kyber768算法建立的连接。 TLS连接中断问题的解决方法 一个名为tldr.fail的网站专门分享了有关抗量子ClientHello消息如何导致服务器连接错误的信息，并为开发者提供了修复漏洞的指南。 网站管理员也可以通过在Chrome浏览器中启用“chrome://flags/#enable-tls13-kyber”标记来手动测试服务器的兼容性。启用后，管理员可以尝试连接到自己的服务器，并查看是否会产生“ERR_CONNECTION_RESET”错误。 受影响的Google Chrome用户可以访问“chrome://flags/#enable-tls13-kyber”并禁用混合式Kyber支持来暂时规避该问题。 系统管理员还可以通过以下方式进行修复：在“软件>策略>Google>Chrome”路径下禁用“PostQuantumKeyAgreementEnabled”企业策略；或者联系网络设备供应商，获取适用于其服务器或中间件的更新补丁，以使其兼容抗量子加密标准。 微软也发布了相关信息，指导用户如何通过Edge浏览器组策略控制此功能。 需要注意的是，从长远来看，TLS协议终究需要采用抗量子安全密码。谷歌未来也将移除Chrome企业策略中禁用混合式Kyber支持的选项。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/gAIVGiENWMgkqyUJQefHRg 封面来源于网络，如有侵权请联系删除