一项全球执法行动成功打击了27个用于发起分布式拒绝服务（DDoS）攻击的压力测试服务，并将它们作为一项名为PowerOFF的多年国际行动的一部分而下线。 这项由欧洲刑警组织协调、涉及15个国家的努力，拆除了几个启动器和压力测试网站，包括zdstresser.net、orbitalstress.net和starkstresser.net。这些服务通常利用安装在受感染设备上的僵尸网络恶意软件，代表付费客户对他们的目标发起攻击。 此外，与非法平台有关的三名管理员在法国和德国被捕，计划对超过300名用户进行操作活动。 欧洲刑警组织在一份声明中说：“这些被称为‘启动器’和‘压力测试’网站的平台，使网络犯罪分子和黑客活动分子能够用非法流量淹没目标，导致网站和其他基于网络的服务无法访问。”声明还指出：“发起此类攻击的动机各不相同，从经济破坏、财务收益到意识形态原因，如KillNet或Anonymous Sudan等黑客活动团体所展示的那样。” 荷兰警方在一份协调声明中表示，已启动对四名年龄在22至26岁之间的嫌疑人的诉讼，他们分别来自Rijen、Voorhout、Lelystad和Barneveld，涉嫌发动数百次DDoS攻击。 参与PowerOFF行动的国家包括澳大利亚、巴西、加拿大、芬兰、法国、德国、日本、拉脱维亚、荷兰、波兰、葡萄牙、瑞典、罗马尼亚、英国和美国。 这一发展是在德国执法当局宣布破坏一个名为dstat[.]cc的犯罪服务一个月后，该服务使其他威胁行为者能够发起分布式拒绝服务（DDoS）攻击。 本月早些时候，网络基础设施和安全公司Cloudflare表示，在美国由Cloudflare保护的购物和零售网站在黑色星期五/网络星期一购物季节期间，DDoS活动显著增加。 该公司还透露，2024年其系统缓解了全球6.5%的潜在恶意或客户定义原因的流量。在上述时间段内，受到攻击最多的行业是赌博/游戏行业，其次是金融、数字原生、社会和电信行业。 这些发现还跟随着一个“普遍存在”的配置错误漏洞的发现，该漏洞存在于实施基于CDN的Web应用防火墙（WAF）服务的企业环境中，这可能允许威胁行为者绕过针对网络资源设置的安全防护，发起DDoS攻击。这种技术被代号命名为Breaking WAF。 Zafran研究人员表示：“这种配置错误源于现代WAF提供商同时充当CDN（内容分发网络）提供商，旨在为Web应用程序提供网络可靠性和缓存。”这种双重功能是CDN/WAF提供商普遍存在的架构盲点的核心。 为了减轻攻击带来的风险，建议组织通过采用IP白名单、基于HTTP头的认证和相互认证的TLS（mTLS）来限制对其Web应用程序的访问。       转自安全客，原文链接：https://www.anquanke.com/post/id/302697 封面来源于网络，如有侵权请联系删除

美国网络安全战略专家、新锐网安公司SentinelOne首席安全顾问摩根·莱特（Morgan Wright）日前撰文称，特朗普第二任期政府已表态减少物理战争，网络战将是替代选择，预计针对美军进攻性网络行动的管控政策将进一步宽松，以实现美国的全球优势。以下为全文翻译，安全内参做了少量编辑。 美国网络司令部和国家安全局（NSA）前负责人保罗·仲宗根将军（Paul Nakasone）有一句名言，能最恰如其分地概括下届特朗普政府将面临的网络安全挑战。他曾说：“如果我们发现自己只在内部网络进行防御，我们已经失去了主动权和优势。” 网络空间威胁态势每天都在变化。虽然新的AI技术将在打击对手方面发挥重要作用，但一项更具进攻性的网络政策可能成为美国能够部署的最强大的武器。 特朗普政府即将于明年1月上台，人们不禁要问：在未来的几个月和几年中，我们是否会看到更多进攻性的网络行动？ 对此，摩根·莱特认为答案是肯定的。启动一场传统战争与派出一支网络战队截然不同。传统战争风险高代价大，而网络战则完全相反。 美军进攻性网络行动近年频次暴涨 按照惯例，美国在非战区或未明确敌对状态的情况下展开军事行动，需要得到总统批准。美国法典第10编（武装部队规则）是军事权力的基础。 然而，针对本·拉登的代号为“海神之矛行动”的任务则是根据美国法典第50编（间谍活动与秘密行动规则）进行的。这项由海豹突击队第六分队执行的情报导向行动，尽管取得了成功，但必须先经过总统批准。这是一个漫长且复杂的过程。 与之类似，针对伊朗核设施的代号为“奥林匹克行动”的知名网络破坏任务，在连续两届美国政府中都需要总统授权。这一过程同样繁琐。这些行动虽然本质上是网络作战，但目标均是固定的物理设施。 网络战争需要不同的政策和全新的思维方式。奥巴马政府期间出台总统政策指令（PDD-20）要求，进攻性和防御性网络行动必须经过白宫多次审批。这一规定导致行动速度大幅放缓，不是因为技术能力，而是政策约束。 2018年，特朗普第一任期内的政府开始转向新方法。《第13号国家安全总统备忘录》（NSPM-13）授予国防部长更大的权限，以开展进攻性网络行动。结果是短短几个月内，美国进行的网络空间行动数量超过了过去10年的总和。这一策略被称为“持续交战”。 据美媒C4isrnet 2018年的报告显示，这些更具进攻性的网络活动，帮助美国军方在应对对手方面更加高效。然而，进攻性军事网络行动的性质，决定了它们通常属于机密。美国的机密政策会产生一个问题，人们几乎从未听闻成功案例，失败案例却在国会监督框架下被广泛讨论。 网络威胁态势不断恶化将推动管控政策进一步宽松 美国持续面临来自俄罗斯、朝鲜和伊朗等敌对国家不断演变的众多威胁，以及代理人和跨国网络犯罪组织的持续攻击。值得注意的是，一些新的变化正在发生，而新的应对方法可能对未来的网络空间政策产生重大影响。 2021年5月，拜登总统因太阳风事件（国家支持的网络威胁行动）和Colonial管道事件（跨国网络犯罪组织攻击）发布了网络安全行政命令（EO 14028）。该命令不仅要求实施多因素认证、加密等基础网络安全工具，还对政府传统上采用的应对方法提出质疑，呼吁采用现代化解决方案。 另一起更近期的网络事件，由外国支持的“盐台风”针对美国电信行业的攻击。这引发了更多要求建立独立美国网络部队的讨论。虽然支持与反对的争论仍在继续，但在今年4月，美国的最大网络对手已经成立了专门的网络空间部队。 未能阻止外国实施激进网络间谍活动的代价越来越大。外国黑客持续窃取美国国防等领域的知识产权。朝鲜持续通过远程IT工作者骗局寻找新的方式获取流动资金，以资助其军事与核计划。伊朗也表示，将扩大铀浓缩规模，并积极开展低风险的网络攻击行动。 俄罗斯同样不容低估。即使在乌克兰战争期间，俄罗斯仍然对美国关键基础设施实施攻击。 美国前总统西奥多·罗斯福有一句名言：“说话温和，但手持大棒。”在网络空间，这根“大棒”并不是花哨的AI技术、军事硬件或最新的小工具，而是一项明确的政策，并辅以这些技术工具作为支撑。 真正的成功标准不是对敌人成功攻击的次数，而是敌人对美国的攻击完全不存在。 即将上任的特朗普政府已明确表示，他们更倾向于减少动能战争。如果这一目标真正实现，将更多是因为政策的调整，而非技术上的突破。可以预见，政策将更多地聚焦于第五领域（网络空间）的战争。     转自安全内参，原文链接：https://www.secrss.com/articles/73451 封面来源于网络，如有侵权请联系删除

上周末，俄罗斯多个地区的居民经历了互联网中断。当地政府试图将这些地区从全球网络中断开，以测试该国的“主权互联网”基础设施。 俄少数民族聚居区先行测试 根据美国非营利组织战争研究所（ISW）的报告显示，此次测试主要影响了俄罗斯少数民族聚居的地区，包括车臣、达吉斯坦和印古什。 互联网监测组织NetBlocks的数据显示，达吉斯坦的互联网中断持续了近24小时。 在此期间，用户无法访问许多国内外应用和网站，包括YouTube、谷歌、WhatsApp和Telegram等通讯应用，俄罗斯互联网巨头Yandex的一些服务也无法使用。据当地媒体报道，即使通过VPN也无法访问这些服务。 12月7日，位于北高加索地区的一家俄罗斯互联网服务提供商表示，其已经知晓用户关于互联网访问的投诉，但对此情况无能为力。 俄罗斯互联网和媒体监管机构Roskomnadzor表示，此次“主权互联网”测试的目标，是检验俄罗斯的基础设施在遭遇外部蓄意干扰时，是否能够“维持主要国外和国内服务的运行”。 据战争研究所分析，Roskomnadzor可能有意选择在穆斯林占多数且历史上存在不稳定的地区进行“主权互联网”测试。这是为了确保在不稳定局势下，可以迅速断开这些地区与某些服务（例如Telegram）的连接。此前，俄罗斯在巴什科尔托斯坦、达吉斯坦和萨哈等偏远地区发生抗议和社会动荡期间，也曾中断对流行通讯应用的访问。 俄罗斯Runet项目已推进多年 长期以来，俄罗斯一直试图打造一个独立于全球互联网的网络，通常被称为Runet，以确保符合俄罗斯法律的要求。Roskomnadzor此前已进行过Runet相关测试，但据专家称，这些测试并未取得成功，且持续时间短于预期。 然而，在俄罗斯与乌克兰战争期间，包括苹果、微软和谷歌在内的许多西方科技巨头暂停或限制其在俄罗斯的服务。因此，俄罗斯最近加快了与全球技术脱钩的步伐，并鼓励用户和企业转向俄罗斯的替代产品。 今年9月，《福布斯》俄语版报道，克里姆林宫近期投入约590亿卢布（约合6.48亿美元）以提升技术能力，目的是限制互联网流量并屏蔽西方平台。 上周末，俄罗斯互联网管理部门还宣布，可能会限制国内访问包括GoDaddy、AWS和HostGator在内的8家外国托管服务提供商，原因是这些公司未能遵守相关要求。 Roskomnadzor声称，这些外国提供商的服务器上托管的信息“并不总是能够避免未经授权的访问”，因此“危及用户数据的保密性和商业安全”。 俄罗斯数字权利组织Roskomsvoboda的专家表示，随着对整个托管服务提供商的封锁，俄罗斯正步入“网络审查的新阶段”。这可能导致大量移动应用程序和网站变得无法访问。     转自安全内参，原文链接：https://www.secrss.com/articles/73363 封面来源于网络，如有侵权请联系删除

Radiant Capital 表示，朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。 在 Mandiant 网络安全专家的协助下，对该事件进行了调查，并最终确定了攻击原因，他们表示，此次攻击是由朝鲜黑客组织 Citrine Sleet（又名“UNC4736”和“AppleJeus”）发起的。 Radiant 是一个去中心化金融 (DeFi) 平台，允许用户跨多个区块链网络存入、借入和管理加密货币。 该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性，并在社区驱动的系统下运行，使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。 2024 年 10 月 16 日，Radiant宣布其遭受入侵，事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的，该恶意软件针对三名值得信赖的开发人员，他们的设备受到攻击以执行未经授权的交易。 黑客似乎利用了常规的多重签名流程，以交易错误的名义收集有效签名，并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。 此次攻击绕过了硬件钱包安全和多层验证，交易在手动和模拟检查中看起来都很正常，表明攻击非常复杂。 矛头指向朝鲜黑客组织 在 Mandiant 的协助下对此次攻击进行内部调查后，Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。 攻击始于 2024 年 9 月 11 日，当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息，诱骗他们下载恶意 ZIP 文件。 该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载，它在受感染的设备上建立了后门。 攻击中使用的诱饵 PDF 文件，来源：Radiant Radiant 表示，此次攻击设计精良，执行完美，绕过了所有现有的安全措施。 Radiant 解释说：“这种欺骗行为进行得如此天衣无缝，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP，攻击者仍然能够入侵多个开发者设备。” “前端界面显示良性交易数据，而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见。” Mandiant 高度确信，此次攻击是由 UNC4736 发起的，该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。 鉴于其安全措施被成功绕过，Radiant强调需要更强大的设备级解决方案来增强交易安全性。 至于被盗资金，该平台表示正在与美国执法部门和zeroShadow合作，追回尽可能多的资金。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig 封面来源于网络，如有侵权请联系删除  

美国国会下属监督机构政府问责局（GAO）发布了一份新报告，指出一些联邦机构未能在法律规定的截止日期前，完成物联网网络安全相关要求。 根据2020年出台的《物联网网络安全改进法案》要求，美国国家标准技术研究院（NIST）和管理与预算办公室（OMB）需制定安全采购物联网设备的相关指南。这些设备通常是连接到建筑、车辆或其他基础设施的联网技术和设备。该法案还要求23个联邦民事机构实施物联网网络安全要求，并由OMB建立豁免流程。 图：《物联网网络安全改进法案》的要求 根据GAO的报告，有3个机构表示未能在9月30日前完成物联网设备的清点工作，6个机构未提供完成清点工作的具体时间框架。此外，小企业管理局声称未使用任何物联网设备，因此无需开展清点工作。 GAO指出：“在OMB和各机构确保满足这些要求之前，这些机构将无法有效评估风险，也无法制定适当的安全要求或采取其他缓解措施。” 美联邦物联网威胁态势严峻 GAO强调，联邦机构对物联网技术的应用目的广泛，包括控制设备或设施的访问权限，以及监控系统和设备。物联网技术的广泛使用进一步凸显了适当网络安全协议的重要性，尤其是在物联网面临显著网络威胁的情况下。 司法部在2022年的报告中提到，一个俄罗斯的僵尸网络瞄准了大量物联网及运营技术设备，包括路由器、流媒体设备、时钟以及工业控制系统。今年早些时候，美国网络安全与基础设施安全局、国家安全局及联邦调查局联合评估认为，一个外国支持的网络团体已入侵了多个通信、能源、交通运输和水务组织的IT网络。 GAO写道：“这些技术面临严峻的网络威胁，这可能对组织运营与资产、个人隐私、关键基础设施乃至国家安全造成不利影响。随着网络威胁的日益复杂化，加强物联网与运营技术产品和服务的网络安全管理变得愈发紧迫。这些威胁包括蓄意攻击、环境干扰以及设备故障，可能危及美国的国家和经济安全利益。” 应尽快完成清点工作，以便开展风险评估 截至目前，在23个联邦民事机构中，只有国务院、财政部和核管理委员会完成了物联网设备清点工作。10个机构表示计划在2024财年结束前完成清点，另有3个机构计划在2025财年达成清点要求。 GAO建议，OMB应核实各机构报告的物联网网络安全豁免情况。6个机构获得了部分物联网豁免，但后续沟通显示，其中5个机构表示这些豁免事项不应被报告。在这5个机构中，4个已纠正了其豁免事项，1个取消了豁免。 此外，GAO建议以下机构应指示其首席信息官按时完成物联网设备的清点工作：教育部、卫生与公众服务部（HHS）、退伍军人事务部、劳工部、人事管理局、环境保护署、总务管理局、社会保障管理局以及美国国家航空航天局。同时，GAO建议HHS部长指示其首席信息官确保授予的物联网豁免符合OMB的相关要求。     转自安全内参，原文链接：https://www.secrss.com/articles/73287 封面来源于网络，如有侵权请联系删除

英国国家犯罪局 (NCA) 宣布，一项名为“Destabilize”的联合执法行动摧毁了俄罗斯非法洗钱和现金运送网络以及与勒索软件、毒品和间谍活动有关的地下加密货币交易所。 NCA 领导的行动揭露了 Smart 集团和 TGR 集团这两个非法金融网络，这两个网络帮助俄罗斯精英规避国际制裁，并支持俄罗斯网络犯罪分子洗白非法利润。Smart 网络还被用来资助俄罗斯的间谍活动。 美国财政部外国资产控制办公室 (OFAC) 还制裁了与 TGR 集团有关的五名个人和四家实体。NCA 的国际合作伙伴还逮捕了第七名嫌疑人，是一名全球洗钱协助者。 NCA 表示：“NCA 协调的活动迄今已逮捕 84 人，其中许多人已服刑，并缴获了超过 2000 万英镑（3500 万美元）的现金和加密货币。” 复杂的犯罪网络在一个国家收集资金，然后在另一个国家提供等值资金，通常是通过将加密货币兑换成现金。这简化了西方犯罪集团产生的现金流动，并帮助寡头绕过制裁。 英国是这项活动的主要中心。数十亿美元的洗钱网络以一种此前不为当局或监管机构所知的方式运作，并隐藏在社区中。 调查人员发现全国各地大规模的货币兑换。街头现金交易之后，几乎立即出现了等值加密货币的转移。Smart 和 TGR 与俄罗斯金融业联系紧密，其全球影响力遍及 30 多个国家。 “我们首次能够找出俄罗斯精英、加密货币富豪网络犯罪分子和英国街头贩毒团伙之间的联系。将他们联系在一起的线索——Smart 和 TGR 的联合力量——直到现在才被发现。”NCA 运营总监 Rob Jones 表示。 “NCA及其合作伙伴已经从各个层面打击了这一犯罪活动。” Smart 集团由俄罗斯洗钱者 Ekaterina Zhdanova 领导。她指挥一家位于伦敦的现金快递公司，洗钱金额超过 1900 万美元。她还帮助勒索软件受害者以加密货币形式向 Ryuk 勒索软件集团支付超过 230 万美元疑似赎金，并与 TGR 成员合作转移了超过 200 万美元。 TGR 由乌克兰人乔治·罗西经营。该集团涉嫌隐瞒将受制裁的俄罗斯国有媒体组织今日俄罗斯（RT）的资金转移出境，以支持一家俄语媒体组织在英国的活动。 TGR 帮助将非法金融计划纳入全球金融体系，包括洗钱、未注册的现金和加密货币交易以及预付信用卡服务。其目的是掩盖资金来源。 NCA 表示：“Smart 和 TGR 的加密地址显示，他们经常接触 Garantex，这是一项加密货币交易服务，于 2022 年受到英国和美国的制裁。Garantex 与武器零部件交易有关。 ” OFAC 还制裁了拉脱维亚国民 Andrejs Bradens，他与多家 TGR 集团公司有联系，以及 Zhdanova 的两家关联公司：Khadzi-Murat Dalgatovich Magomedov 和 Nikita Vladimirovich Krasnov。 在其中一起案件中，NCA 和国际合作伙伴逮捕了一系列与谢缅·库克索夫及其同伙有关的信使，据信他们经营着一家地下加密货币交易所。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/2MEWWskREW-4GldVb0tRNg 封面来源于网络，如有侵权请联系删除

根据Black Lotus 实验室周三发布的研究，在一次非同寻常的数字间谍案中，俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统，从而进入南亚各地敏感的政府网络。 俄罗斯黑客组织被称为 Turla 或 Secret Blizzard，征用了 33 个由巴基斯坦黑客操作的C2服务器，这些黑客自己也曾入侵过阿富汗和印度政府的目标，有时还使用市售的 Hak5 渗透测试硬件设备。 据Black Lotus 称，俄罗斯黑客闯入了巴基斯坦 APT组织（被追踪为 Storm-0156）使用的C2服务器，并利用该访问权限启动自己的恶意软件并劫持敏感数据。 研究人员表示：“最近一次活动持续了两年，是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来，第四次有记录的 [Turla] 嵌入其他组织行动的案例。” 去年，Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。 Turla 是一种攻击性较强的俄罗斯 APT，其目标是世界各地的大使馆和政府办公室。据观察，它还控制了 Hak5 Cloud C2 节点，这是一个为合法渗透测试而设计的平台，但在这里被用于间谍活动。 在俄罗斯黑客组织控制其行动之前， Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构，包括其外交部。 2022 年底，Black Lotus 实验室的研究人员表示，俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置，Turla 部署了专有恶意软件（标记为 TwoDash 和 Statuezy），窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。 Turla 渗透 Storm-0156 和阿富汗政府网络 “通过这个渠道，他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证，以及从之前的行动中收集到的泄露数据。”研究人员指出。 Black Lotus 实验室表示，Storm-0156 历史上曾以印度和阿富汗政府网络为目标，并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。 Black Lotus 实验室表示，到 2024 年中期，Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件（Wasicot 和 CrimsonRAT）。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标，研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。 Black Lotus 实验室警告称： “该组织有一个显著特点：他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出，该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件，而无需使用（并可能暴露）他们自己的工具。 Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接 该公司补充道：“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下，他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限，或使用现有访问权限来扩大收集范围并将其代理部署到网络中。” Black Lotus 实验室表示，在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时，它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。 研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互，这些节点之前曾被用来攻击印度政府和军队。 值得注意的是，Black Lotus 实验室表示，尽管还有更多可用节点，但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着，虽然他们有能力访问所有节点，但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。” 2024 年 12 月 4 日，微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla（被追踪为 Secret Blizzard）自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。 Turla（Secret Blizzard） 和 Storm-0156 攻击链 微软解释说，这符合 Turla 既定的模式，此前它曾接管过伊朗（Hazel Sandstorm）、哈萨克斯坦（Storm-0473）和其他威胁组织的基础设施。微软的分析表明，这种“间谍对间谍”的方法是 FSB 的一种蓄意策略，目的是进行间谍活动，同时将其活动隐藏在其他黑客的行动背后。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/Iyhpu2urTa-lpYa4vI_FuQ 封面来源于网络，如有侵权请联系删除

虽然网络安全行业裁员降薪一片哀嚎，但是网络犯罪组织却“求贤若渴”。 根据Cato Networks发布的《2024年第三季度SASE威胁报告》，网络犯罪趋于“专业化”，开始积极招募渗透测试员来优化勒索软件性能。同时，未授权的人工智能（影子AI）的流行正威胁企业数据安全和合规性。 报告总结了2024年网络安全领域的四大新趋势，如下： 1 勒索软件“研发升级”：积极招募渗透测试员 Cato Networks的报告揭示，勒索软件团伙正在积极招募渗透测试员，以测试和提高其勒索软件的可靠性。通过模拟攻击，渗透测试员可以大大提高勒索软件在企业环境中部署的成功率。 “勒索软件是当今网络安全领域最普遍的威胁之一，几乎所有企业和消费者都可能受到影响，”Cato Networks首席安全策略师Etay Maor指出，“我们观察到这些团伙正在努力通过招募渗透测试员来优化他们的攻击手段，为未来的攻击做好准备。” 这一趋势反映出勒索软件正在走向“企业化”和“专业化”，试图通过技术手段提升攻击成功率，这对企业网络安全防御提出了更高的要求。 2 数据隐私的头号威胁：影子AI 所谓影子AI，是指未经IT部门或安全团队批准的AI工具和应用程序在企业内部的私自使用。这种行为通常绕过正式的审查流程，给企业的安全合规性带来隐患。 Cato Networks监控的数百种AI应用中，有10款被企业用户广泛采用（如Bodygram、Craiyon、Otter.ai、Writesonic等）存在数据泄漏风险。报告指出，这些应用最主要的风险在于数据隐私问题。员工通过影子AI工具处理敏感信息，可能无意间导致信息泄露。 “影子AI是2024年浮现的一大安全威胁，”Maor表示，“企业必须警惕未授权AI工具的使用，并教育员工避免无意中暴露敏感数据。” 3 打击隐蔽威胁的关键：TLS流量检视 传输层安全（TLS）流量的加密使得恶意活动更难被检测到，但许多企业由于担心影响正常业务，选择不启用TLS流量的检视或只对部分流量进行检查。据Cato Networks的研究，只有45%的企业启用了TLS检视，其中仅有3%的企业对所有TLS加密会话进行全面检测。 报告显示，在启用TLS检视的企业中，阻止的恶意流量比未启用TLS检视的企业高出52%。此外，企业在TLS流量中成功拦截了60%的已知漏洞利用行为（包括Log4j、SolarWinds和ConnectWise相关的CVE漏洞）。 4 网络犯罪分子的首选策略：品牌滥用 网络犯罪分子也在积极利用知名品牌的影响力实施网络攻击。通过域名抢注（Cybersquatting），他们冒用知名品牌的域名，进行网络钓鱼、传播恶意软件、托管盗版软件，甚至实施欺诈。 攻击者冒充知名品牌不仅能增强攻击的可信度，还能绕过许多传统的安全检测手段，给企业和消费者带来巨大风险。企业需要加强品牌保护策略，同时通过安全教育提高用户对域名和网络钓鱼攻击的警惕性。       转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/_pNLKfPKFQDvWFfUzYePPg 封面来源于网络，如有侵权请联系删除

网络安全市场中的AI价值正在经历前所未有的增长。根据Allied的一份市场研究报告，2022年市场价值为192亿美元，预计到 2032 年将达到惊人的1548 亿美元，复合年增长率（ CAGR ）为23.6%。 人工智能（AI）正在改变网络安全，使企业能够更有效地检测、应对和减轻威胁。网络安全中的人工智能结合了机器学习（ML）和深度学习等先进技术，以提供实时的威胁检测、数据保护和系统监控。人工智能处理和分析大量数据的能力使其能够快速识别可能潜在的安全漏洞。随着网络攻击的复杂性和频率继续上升，人工智能已成为各大企业的关键工具。 推动AI 在网安市场中增长的因素 在金融、医疗等领域，人工智能的能力延伸到了分析用户行为和交易数据，以识别欺诈活动。金融机构正在利用人工智能实时检测欺诈行为，为组织及其客户提供更好的保护。医疗行业也正在采用人工智能来保护患者数据，确保患者的隐私性。 几个因素正在推动人工智能在网络安全市场中的加速增长。 网络攻击的数量和复杂性的增加是最重要的驱动因素之一。网络罪犯越来越频繁破坏系统，针对包括银行、医疗和政府在内的各个部门组织，迫切需要更有效和先进的网络安全解决方案。网络安全中的AI可以减少响应安全事件所需的时间，提高安全团队的工作效率。 此外，对物联网IoT和云技术的日益依赖为网络犯罪分子利用漏洞创造了新的机会。物联网设备产生的数据量不断增加，以及正在向云基础架构转移，为网络安全解决方案带来了挑战和机遇。人工智能在保护这些新技术方面别有成效，为企业提供了跨多个平台保护数据的能力。 AI在网络安全领域的全球性影响 网络安全市场的人工智能分为各种安全类型，包括网络安全、端点安全、应用安全和云安全。以2022年为例，网络安全部门占据了市场主导地位，占全球收入的近40%。 由于企业优先保护其网络免受外部和内部威胁，预计这一细分市场将继续处于领先地位。机器学习是人工智能的一个关键组成部分，它通过不断分析数据来识别恶意软件和检测内部风险，特别是在加密通信中。与此同时，云安全部门预计将经历更高增长，2023年至2032年的复合年增长率为27.4%。由于对可扩展性和灵活性的需要，对基于云的运营的日益转变预计将推动这一需求。 全球网络安全领域的人工智能市场在多个地区都在增长， 北美在2022年的市场份额最大。美国尤其关注网络安全，政府倡议如网络安全和基础设施安全局（CISA）推动加强数字安全措施。金融和医疗行业是该地区增长的主要驱动力，人工智能技术越来越多地用于检测和预防网络威胁。欧洲也是 AI 网络安全市场的重要参与者，特别是由于其严格的数据隐私法规，如通用数据与法规（ GDPR ）。而德国、英国和法国这样的国家同样处于人工智能应用的领先地位，公共和私营部门都优先考虑先进的安全解决方案。欧盟的《网络安全法》进一步推动了对于人工智能网络安全解决方案的需求，特别是对于实时威胁检测的需求。 在预测期内，亚太地区预计将成为增长最快的地区。中国、日本和印度等国家网络攻击的激增促使对基于人工智能的安全解决方案的投资增加。此外，5G网络的快速扩张和数字转型推动了对于由人工智能驱动的网络安全工具的需求，大大保护了关键基础设施。 面临的市场挑战与未来展望 虽然人工智能在网络安全市场的增长前景强劲，但存在可能阻碍其扩张的挑战。一个显著的障碍是基于人工智能的网络安全解决方案的高实施成本。特别是中小型企业，可能会发现难以投资于此类技术。此外，还缺少能够部署和管理这些先进系统的网络安全专业人员。 尽管存在这些挑战，网安市场前景仍然乐观。 网络攻击频率增加、监管要求日益严格以及数字化转型的持续推动预计将推动对人工智能网络安全解决方案的需求。人工智能技术的创新，如自然语言处理（NLP）和深度学习的集成，可能会提高网络安全系统的效率，从而进一步加速市场增长。       转自Freebuf，原文链接：https://www.freebuf.com/news/416163.html 封面来源于网络，如有侵权请联系删除

近年来，与朝鲜黑客有关的网络犯罪活动不断升级，其独创的“IT就业计划”成为国际社会关注的焦点。 根据网络安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鲜黑客利用虚假身份和前线（空壳）公司，大规模渗透全球技术行业以获取资金，支持朝鲜的武器研发及核导弹项目。这种活动不仅涉及伪造身份获取工作，还通过复杂的技术攻击扩大其威胁范围。 朝鲜“IT就业计划”的全貌 朝鲜黑客组织通过全球范围的“笔记本农场”（由目标企业所在国家的公民运营的远程办公环境）计划，组织大量IT人员以个体身份或通过伪装的公司获取技术行业的远程办公就业机会。这些人员通过在线支付平台或第三国银行账户，将绝大部分收入返回朝鲜，为其核武器和导弹项目提供资金支持。其主要运作模式如下： 1.虚假前线公司：朝鲜黑客利用俄罗斯、东南亚等地的公司掩盖其身份，伪装成“外包开发”或“技术咨询”公司。 2.伪造网站：研究发现，这些前线公司的网站通常直接复制合法公司的内容和设计。 Independent Lab LLC仿制美国公司Kitrum Shenyang Tonywang Technology LTD仿制Urolime Tony WKJ LLC仿制印度的ArohaTech IT Services HopanaTech仿制ITechArt 这些前线公司通过知名域名注册商NameCheap注册，并冒充技术服务商获取合同。（这些虚假网站已在2024年10月被美国政府查封） 渗透美国企业的案例 打入KnowBe4 朝鲜黑客出海最知名的案例莫过于成功打入了知名美国网络安全公司KnowBe4。朝鲜黑客利用“笔记本农场”计划成功通过了KnowBe4的多轮面试。此类出海黑客不仅通过伪造的身份获取该公司的外包工作，还窃取了内部凭证以申请更多高价值职位。这也标志着朝鲜威胁组织的战略转变：从单纯的收入获取，逐步转向更具破坏性的内鬼威胁和恶意软件攻击。 Wagemole计划与Contagious Interview Unit 42的报告显示，朝鲜的一组活动集群（代号CL-STA-0237）结合钓鱼攻击和恶意视频会议应用程序传播BeaverTail恶意软件。这一行为表明，朝鲜威胁组织正在将伪装的IT工作者转变为更激进的攻击角色，其主要攻击方式如下： 攻击路径：通过冒充IT公司发送求职邮件，使用被感染的面试工具部署恶意软件。 混入企业：研究发现，该集群通过伪装成为一家美国中小型IT服务公司的员工，进而成功申请大型技术企业的职位，扩大其影响力。 朝鲜“黑客出海”攻击特点 Sentinal在报告中指出，朝鲜的这一战略不仅为其武器研发项目提供了稳定的资金来源，还对全球网络安全构成重大威胁。以下是朝鲜网络攻击行为的几大特点： 1高度组织化 伪造身份：通过制作虚假的护照和学历证明，伪装成受过高等教育的IT专业人士。 利用全球化漏洞：从中国到东南亚，这些黑客通过复杂的前线网络隐藏其实际来源。 2逐步扩展的攻击目标 初期目标：以低门槛的外包工作获取收入。 扩展目标：通过窃取内部凭证，参与数据窃取、恶意软件分发和供应链攻击。 3协同发展 跨国合作：利用他国公司掩护，规避国际制裁。 与其他威胁集群联动：如Contagious Interview集群，扩展了传统钓鱼攻击的深度。 如何防御“黑客出海”？ 鉴于黑客出海务工行为的复杂性和隐蔽性，企业需加强以下防御措施： 1严格的身份验证 在招聘流程中对候选人的背景和身份进行更严格的审查，验证其身份真实性。 引入先进的自动化工具以交叉检查简历信息的可信度。 2强化供应链安全 对所有外包合作伙伴进行风险评估，确保其合规性。 监控供应链中的异常行为，避免被恶意行为者利用。 3多层次威胁检测 实施先进的威胁情报系统，实时检测可疑的网络活动。 对内部凭证和访问权限进行定期审查，防止被滥用。 4提高员工意识 针对潜在钓鱼攻击和伪造身份行为，对员工开展培训。 定期更新安全策略，以应对不断变化的威胁。 总结：“黑客出海”不是朝鲜的专利 通过“笔记本农场”计划，朝鲜黑客组织将网络攻击与经济渗透相结合，展现出高度的适应性和创新性。从冒充IT工作者到恶意软件攻击，其目标从简单的资金获取扩大到企业供应链安全和国家基础设施。 最后，“黑客出海”的威胁绝不仅仅是朝鲜的“专利”，任何黑客组织都可能模仿朝鲜黑客渗透对手国家的重要企业和项目，企业和政府需要重视并加强对该威胁的防御措施。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6UuOfmnkt3mX6sgNJtr9RA 封面来源于网络，如有侵权请联系删除