据The Hacker News消息，攻击面管理公司 Censys 的分析发现，有多达14.5万个工业控制系统 （ICS） 暴露于公开的互联网络中，涉及175 个国家和地区，仅美国就占总暴露量的三分之一以上。 这些暴露指标来自几种常用工控系统协议，包括Modbus、IEC 60870-5-104、CODESYS、OPC UA 等。 Censys发现，38% 的ICS暴露位于北美，35.4% 位于欧洲，22.9% 位于亚洲，1.7% 位于大洋洲，1.2% 位于南美洲，0.5% 位于非洲。其中，Modbus、S7 和 IEC 60870-5-104 在欧洲更广泛，而 Fox、BACnet、ATG 和 C-more 在北美更常见。这两个区域使用的一些工控系统服务包括 EIP、FINS 和 WDBRPC。 Censys 联合创始人兼首席科学家 Zakir Durumeric 在一份声明中表示，许多暴露的工控协议其历史可以追溯到上世纪70年代，但目前仍然是工业流程的基础，且没有像其他领域一样得到相应的安全改进。 Censys 也发现，用于监控和与工控系统交互的人机界面（HMI）也越来越多地通过互联网支持远程访问。 大部分暴露的人机界面位于美国，其次是德国、加拿大、法国、奥地利、意大利、英国、澳大利亚、西班牙和波兰。 有趣的是，大多数已识别的人机界面和 ICS 服务都位于移动或商业级互联网服务提供商 (ISP)，如 Verizon、Deutsche Telekom 、Magenta Telekom 和 Turkcell 等。人机界面通常包含公司徽标或工厂名称，这有助于识别所有者和行业，但工控协议很少提供相同的信息，因此几乎无法识别和通知暴露的所有者。 要解决这个问题，可能需要与托管这些服务的主要电信公司合作。 暴露的工控系统和 OT 网络为攻击者提供了广泛的攻击面，因此企业组织需要采取措施来识别并加以保护，包括更新默认凭证并监控网络是否存在恶意活动。 针对工控系统的网络攻击有所增加 专门针对工控系统的网络攻击相对较少，迄今为止仅发现了 9 种恶意软件。但自俄乌战争爆发以来，针对该系统的恶意软件攻击正有所增加。一些比较典型的僵尸网络恶意软件利用 OT 网络的默认凭证，不仅实施了分布式拒绝服务 （DDoS） 攻击，还擦除了其中的数据。 今年7月初，一家位于乌克兰的能源公司成为FrostyGoop恶意软件的目标，该恶意软件被发现利用 Modbus TCP 通信来破坏运营技术（OT）网络。FrostyGoop也称为 BUSTLEBERM，是一种用 Golang 编写的 Windows 命令行工具，可导致公开暴露的设备出现故障，并最终导致拒绝服务 （DoS）。 根据Censys 捕获的遥测数据，在 2024 年 9 月 2 日至 10 月 2 日的一个月内，就有 1088175 台 Modbus TCP 设备暴露在互联网中。 去年，美国宾夕法尼亚州阿利基帕市水务局也因为暴露的Unitronics可编程逻辑控制器（PLC）而被黑客组织攻击，导致相关系统下线并被迫改为手动操作。     转自Freebuf，原文链接：https://www.freebuf.com/news/415908.html 封面来源于网络，如有侵权请联系删除

美国政府问责局（GAO）19日发布报告指出，联邦机构可能需要重新审视其个人数据处理方式，以更好地保护公众的公民权利和自由。 报告指出，由于缺乏联邦层面的指导原则，联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系，无法系统性地保障公民权利和自由。 为了解决这一问题，政府问责局建议国会指定“一个适当的联邦机构”，为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时，该机构应被赋予“明确的权限，能够做出必要的技术和政策决策；或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官（CFO）法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况，以及它们为确保个人可识别信息的安全所采取的措施。 政府问责局的调查发现，在这24个CFO法案机构中，有16个已经制定了相关政策或程序，以保护公民权利和自由；而另有8个机构尚未采取类似措施。 在这些机构努力保护公众公民权利和自由的过程中，最常遇到的问题包括“新兴技术相关保护措施的复杂性”以及“缺乏具有公民权利、自由保障和新兴技术所需技能的合格人员”。 政府问责局在报告中写道：“此外，这24个机构中有8个认为，额外的政府层面的法律或指导方针能够提高在保护公民权利和自由方面的一致性。一家机构指出，这类指导方针可以帮助消除目前在数据和技术治理方面存在的零散现象。” 报告还指出，这些机构内部均设有办公室，负责“依据联邦法律处理公众公民权利保护相关问题”。这些工作主要集中在处理公民权利的违规行为及相关投诉上。其中，国防部、国土安全部、司法部和教育部等4个机构专门设立了负责管理机构范围内公民自由保护的办公室。而其余20个机构则大多采用“分散化的方法”，通过在数据收集、共享和使用过程中实施保护措施来维护公民自由。 对于政府问责局的这份报告，这些机构并未明确表示支持或反对。不过，住房和城市发展部、社会保障管理局以及美国国际开发署提供了书面反馈，另有10个机构向问责局提交了技术性意见。     转自安全内参，原文链接：https://www.secrss.com/articles/72574 封面来源于网络，如有侵权请联系删除

近日，印度竞争委员会已对社交媒体巨头 Meta 处以超过 2500 万美元的罚款，原因系该公司强迫 WhatsApp 用户同意与其他 Meta 平台全面共享数据。 该委员会指责WhatsApp 于2021 年 1 月更新的服务条款协议，该条款告知用户，他们的数据将与Meta的其他平台共享，以提升产品安全性、完整性并改善产品使用及广告推送体验。但用户面临的只有两种选择，要么接受，要么拒绝并无法使用应用。 对此，委员会表示，这一条款违反了印度2002年发布的“竞争法”当中的相关法规，是一种不公平竞争行为。此外，委员会还发现Meta 滥用其在消息应用和在线显示广告市场的主导地位，强迫 WhatsApp 现有用户同意其新的数据共享规则。 委员会最终裁定对Meta处以 21.314 亿卢比（约合2500万美元）的罚款，同时规定Meta在未来五年不得出于广告目的与其他 Meta 平台共享用户数据。出于其他目的收集数据，平台必须向用户详细说明此类数据共享的目的、与其他 Meta 平台共享的数据量，并将每种类型的数据与其相应的目的相关联。 委员会还明确表示，Meta必须让印度用户能够自由选择数据共享处理方式，有权拒绝并能随时修改相关选择。 Meta计划对这一裁决提起上述，称2021年1月的条款对用户来说完全是可选的。“2021 年的更新并没有改变人们个人信息隐私，而是作为当时用户的选择。此次更新是为了在 WhatsApp 上引入可选的业务功能，并进一步提高了我们如何收集和使用数据的透明度 ，”Meta表示。 对于涉及用户的不适当条款，Meta在欧盟已多次受罚。2021年，爱尔兰数据保护委员会对Meta处以 2.25 亿欧元的罚款，原因是该平台使用“强制同意”策略来处理用户数据，而没有为用户提供简单透明的方式选择是否要共享相关数据。 而就在刚过去不久的11月14日，欧盟委员会决定对Meta处以7.9772 亿欧元（约合 8.41 亿美元）的罚款，原因涉及在未事先获得用户是否同意的情况下，将在线分类广告服务 Facebook Marketplace 与个人社交网络Facebook集成。     转自Freebuf，原文链接：https://www.freebuf.com/news/415712.html 封面来源于网络，如有侵权请联系删除

近日，美国司法部宣布，涉嫌担任勒索软件组织Phobos软件管理员的俄罗斯男子Evgenii Ptitsyn已被从韩国引渡至美国。他被控利用该勒索软件组织策划和实施了涉及全球逾千名受害者的网络攻击，勒索金额超过1600万美元。 这次引渡行动得到了多个国家的协助，包括韩国、日本和欧洲国家的执法机构。美国司法部副部长丽莎·摩纳哥对此表示：“通过全球执法机构的合作，我们向世界证明，无论网络犯罪分子身在何处，都无法逃避正义。” Ptitsyn目前面临13项指控，包括电信欺诈、电信欺诈共谋、计算机欺诈与滥用共谋，以及与黑客和勒索相关的四项敲诈勒索罪和四项故意损害受保护计算机的罪名。 首创“薄利多销”模式的勒索软件组织 Phobos勒索软件首次被发现于2017年末，其名称来源于希腊神话中的恐惧之神。该勒索软件的运行机制与其他勒索软件家族相似：加密受害者的文件，随后要求支付赎金以换取解密密钥。然而，与一些动辄要求数百万美元的高级勒索软件不同，Phobos的赎金金额相对较小，通常在数千美元至数万美元之间。这种“薄利多销”的商业模式使其对中小型组织尤为具有威胁性。 Phobos的受害者覆盖全球，包括医院、学校、地方政府和企业等关键部门。该勒索软件的攻击通常通过以下方式展开： 远程桌面协议（RDP）漏洞利用：攻击者通过扫描互联网中的RDP端口，利用弱密码或未修复的漏洞获得初始访问权限。 钓鱼攻击：通过精心设计的电子邮件欺骗用户点击恶意链接或附件。 内部人员协助：利用企业内部的安全漏洞或合作人员进行渗透。 一旦攻击成功，Phobos会加密受害者的文件并在每个受感染的目录中放置赎金通知，通常包含攻击者的联系信息和支付比特币的说明。 Ptitsyn被捕对Phobos的影响 Ptitsyn以“derxan”和“zimmermanx”等网名活动，据信是Phobos组织的重要管理员之一。他不仅负责开发和维护Phobos，还向其他犯罪分子提供技术支持和指导。其活动范围广泛，直接参与了多起针对政府和企业的勒索攻击。 根据美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）的警告，Phobos自2020年以来，频繁针对美国的州和地方政府服务发动攻击，对社会基础设施构成了严重威胁。 近年来，Phobos活动频率有所下降。根据网络威胁情报公司Recorded Future的数据显示，与Phobos相关的攻击在最近几个月大幅减少，同时另一个使用Phobos变种的勒索软件组织8Base上个月完全停止了活动。这种变化可能与Ptitsyn的落网直接相关。 然而，网络安全专家警告，不排除Phobos组织在调整策略，或以新身份重返网络犯罪的可能性。勒索软件生态系统的复杂性使得犯罪分子可以迅速更换品牌或加入其他组织，继续其非法活动。 国际合作对抗勒索软件 此次引渡俄罗斯勒索软件组织管理员的行动凸显了国际合作在打击跨国网络犯罪中的重要性。近年来，美国及其盟国通过共享情报和联合执法成功抓捕了多个勒索软件组织的核心成员。例如： 2021年，REvil勒索软件组织的一名主要成员在波兰被捕。 2023年，Hive勒索软件组织的服务器被国际联合行动摧毁。 这表明，全球执法机构正在以更加协同的方式应对勒索软件这一日益增长的威胁，国际合作与技术创新才是打击跨国网络犯罪的关键。       转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

网络安全公司 ClearSky 警告称，Windows 中一个新修补的day漏洞可通过用户最少的交互（例如删除文件或右键单击文件）被利用。 该0day漏洞编号为 CVE-2024-43451，是一个中等严重程度的漏洞，会影响 MSHTM 引擎，该引擎继续由 Internet Explorer 模式下的 Edge 和其他应用程序通过 WebBrowser 控件使用，从而使它们暴露于困扰该组件的任何安全缺陷。 成功利用 CVE-2024-43451 允许威胁组织窃取受害者的 NTLMv2 哈希，然后通过执行传递哈希攻击使用它来作为目标用户进行身份验证。 微软在 11 月 12 日的安全公告（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451）中指出：“用户与恶意文件进行最小程度的交互，例如选择（单击）、检查（右键单击）或执行除打开或执行之外的操作，都可能触发此漏洞。” ClearSky 发现了该漏洞并于 2024 年 6 月向微软报告，据该公司称，一些看似无害的操作可能会触发隐藏在 URL 文件中的漏洞，包括删除文件和将文件拖放到另一个文件夹。 ClearSky 观察到 CVE-2024-43451 被疑似俄罗斯黑客在针对乌克兰实体的攻击中利用。 受害者会收到来自受感染的乌克兰政府服务器的钓鱼电子邮件，提示他们更新学历证书。这些电子邮件将受害者引导至从政府官方网站下载的恶意 ZIP 文件。 该档案包含两个文件——一个 PDF 文档和一个 URL 文件——针对两个已知漏洞，即 CVE-2023-320462 和 CVE-2023-360251。该 URL 指向外部服务器以获取两个可执行文件，也旨在利用新披露的0day漏洞。 ClearSky 在一份技术报告中解释道：“当用户通过右键单击、删除或移动 URL 文件与它交互时，漏洞就会被触发。此操作会与攻击者的服务器建立连接并下载更多恶意文件，包括 SparkRAT 恶意软件。” 攻击链 该网络安全公司表示，在 Windows 10 和 Windows 11 上，URL 文件在执行任何这些操作时都会立即与外部服务器建立通信。在 Windows 7、8 和 8.1 上，该漏洞仅在多次尝试后才会触发。 ClearSky 表示，这表明“新发现的漏洞在 Windows 10/11 操作系统上更容易被利用”。 乌克兰计算机应急响应小组 (CERT-UA) 称，CVE-2024-43451 已被追踪为 UAC-0194 的威胁组织利用为0day漏洞，该威胁组织疑似来自俄罗斯。据 ClearSky 称，攻击者使用了与其他团体常见的工具包和技术。 技术报告：https://www.clearskysec.com/wp-content/uploads/2024/11/Zero-day-cve-2024-4351-report.pdf       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tPJInKAx4HZxpk8o98_lTg 封面来源于网络，如有侵权请联系删除  

据The Hack News消息，与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。 Check Point 在一份分析中表示，该活动与一个名为 WIRTE 的组织有关，该组织最近至少进行了两波针对以色列的破坏性攻击。 WIRTE 是中东高级持续威胁 （APT） 的绰号，首先由西班牙网络安全公司 S2 Grupo 发现。该组织至少自 2018 年 8 月以来就一直活跃，主要针对该地区的广泛实体发动攻击，活动范围包括巴勒斯坦、约旦、伊拉克、沙特阿拉伯和埃及。 Check Point表示，该组织的活动在整个加沙战争期间一直存在，一方面，它的持续活动加强了与哈马斯的联系，另一方面又使这项活动的地理归属变得特别复杂。 WIRTE 在 2024 年的活动被发现利用中东的地缘政治紧张局势和战乱来制作恶意RAR文档，从而部署 Havoc 后期开发框架。 在 2024 年 9 月之前观察到的替代链利用类似的 RAR 文档部署 IronWind 下载器。这两种感染序列利用向受害者传播带有欺骗性的 PDF 文档，使用合法的可执行文件来侧载带有恶意软件的 DLL。 在 2024 年 10 月观察到针对医院和市政当局等多个以色列组织的网络钓鱼活动中，钓鱼电子邮件甚至显示从网络安全公司 ESET 在以色列的合作商发出，其中包含新创建的SameCoin Wiper 版本，该版本也曾在今年早些时候针对以色列的攻击中部署。 除了用随机字节覆盖文件外，最新版本的 SameCoin 擦除器还会修改受害者系统的背景，以显示带有哈马斯军事分支 Al-Qassam Brigades 名称的图像。SameCoin 是一种以安全更新为幌子分发的定制擦除器，于 2024 年 2 月被发现，被哈马斯附属的攻击者用来破坏 Windows 和 Android 设备。 据 HarfangLab 称，Windows 加载程序样本（“INCD-SecurityUpdate-FEB24.exe”）的时间戳被更改为 2023 年 10 月 7 日，即哈马斯对以色列发动突然攻势的日期。而初始访问媒介据信是一封冒充以色列国家网络局 （INCD） 的电子邮件。 “尽管中东冲突持续，但该组织坚持开展多项活动，展示了一个多功能工具包，其中包括用于间谍和破坏活动的擦除器、后门和网络钓鱼页面，”Check Point 在报告中总结道。       转自Freebuf，原文链接：https://www.freebuf.com/news/415238.html 封面来源于网络，如有侵权请联系删除

11月12日，五眼联盟（美国、英国、澳大利亚、加拿大和新西兰）网络安全机构报告称，黑客越来越多地利用零日漏洞访问目标网络。 与过去相比，当前的安全威胁或关注点可能已经发生了变化。2022年和2021年发布的类似警告称，恶意网络行为者更频繁地利用旧软件漏洞，现在可能更关注新披露的漏洞。 在联合咨询报告中，机构列出了2023年最常被利用的15个漏洞，其中CVE-2023-3519（影响Citrix网络产品NetScalers的问题）被最广泛地使用。 NetScalers漏洞被修补时的报告称，攻击者利用漏洞，以自动化的方式破坏了数千个设备，放置了webshells以获得持续访问权限。 其他被广泛利用的漏洞包括影响思科路由器的关键漏洞，影响Fortinet VPN设备的漏洞，以及一个影响MOVEit文件传输工具的漏洞，该漏洞被Clop勒索软件团伙广泛利用。 报告指出，自美国网络安全和基础设施安全局（CISA）及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。 尽管咨询报告只涵盖了去年的情况，但根据英国国家网络安全中心（NCSC）的说法，零日漏洞利用的趋势已经延续到2024年，标志着“与2022年相比发生了转变，当时列表只有不到一半作为零日漏洞被利用。” NCSC首席技术官Ollie Whitehouse警告说：“常规化的零日漏洞初始利用代表了新常态，恶意行为者寻求渗透网络，这应该引起最终用户组织和供应商的关注，。” “为了降低被入侵的风险，所有组织都必须通过及时应用补丁，并在技术市场上使用安全设计产品来保持领先地位。”Whitehouse说。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sZGhRNMcdMxRXisqxWnlFg 封面来源于网络，如有侵权请联系删除

日本游戏开发商Game Freak，即《精灵宝可梦》系列游戏的幕后公司，遭遇了漏洞攻击，导致2606名员工及合作伙伴的数据外泄。 10月初，宝可梦泄漏事件的信息首次出现在“4chan”论坛上，现以“TeraLeak”的名义在社交媒体和在线论坛上流传。事件的命名效仿了2020年的“GigaLeak”任天堂泄露事件。 Centro LEAKS（对宝可梦泄漏信息进行监测的社媒账户）称：“TeraLeak包含数千兆字节的信息。” 据悉，泄露的信息中包括多条有关电子游戏的内幕消息，比如任天堂Switch 2的疑似代号、宝可梦HeartGold和SoulSilvethe等现有游戏的源代码、下一代《口袋妖怪》游戏的数据以及一款尚未公布的游戏名称。 Game Freak确认漏洞 10月10日，游戏公司证实，它在8月的确经历了一起安全事件，在此期间，第三方未经授权访问了其系统，导致了2606名前、现任员工信息的泄露。 Game Freak表示：“我们已经检查并重建了服务器，将进一步加强安全措施，防止泄露的再次发生。另外，我们正在单独联系受到影响的员工，并专设事件热线，处理有关此事的查询。” 至于宝可梦或任天堂相关的数据是否被曝光，该公司并未说明，也未披露泄露信息的准确性。 即将推出的宝可梦游戏《宝可梦传奇：Z-A》目前正在开发中，计划于2025年发布。     消息来源：Infosecurity-Magazine，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在中东紧张局势升级之际，继以色列对伊朗 10 月 1 日的导弹袭击作出回应后，伊朗的政府部门和核设施也遭到了网络攻击。 在中东紧张局势升级之际，伊朗周六遭遇重大网络攻击，政府部门和核设施受到干扰。以色列承诺对伊朗10月1日的导弹袭击作出回应，而在加沙和黎巴嫩的地区冲突加剧之际，伊朗也遭到了大规模网络攻击。 伊朗网络空间最高委员会前秘书 Abolhassan Firouzabadi 告诉当地媒体，伊朗遭受了网络攻击。Firouzabadi 还补充说，威胁者从目标基础设施中窃取了敏感信息。 伊朗国际报援引伊朗网络空间最高委员会前秘书菲鲁扎巴迪的话说：“伊朗政府的几乎所有三个部门（司法部门、立法部门和行政部门）都遭到了严重的网络攻击，其信息被窃取。我们的核设施也是网络攻击的目标，燃料配送网络、市政网络、运输网络、港口和类似部门也是攻击的目标。”他补充说：“这些只是全国各地受到攻击的众多领域中的一部分。” 伊朗民航组织禁止在航班上使用传呼机和对讲机，因为在黎巴嫩发生了涉及这些设备的破坏袭击，造成 39 名真主党成员死亡。 伊朗民航组织发言人说：“伊朗民航已禁止在所有航班上携带寻呼机和对讲机。这一决定是在经历黎巴嫩真主党武装组织成员，遭受破坏性袭击的三周之后做出的，当时传呼机和对讲机发生爆炸，造成至少 39 人死亡。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300836 封面来源于网络，如有侵权请联系删除

微软在即将推出的 Windows Server 版本中淘汰了老旧的点对点隧道协议 (PPTP) 和二层隧道协议 (L2TP)，从而在增强 VPN 安全性方面迈出了重要一步。虽然这些协议长期以来一直是 Windows VPN 的组成部分，但微软鼓励用户过渡到更现代、更安全的替代协议： 安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2)。 微软在最近的一份声明中指出：“随着技术的发展，我们的安全协议也必须与时俱进。作为我们提供最高级别安全和性能的持续承诺的一部分，我们将在未来的 Windows Server 版本中淘汰 PPTP 和 L2TP 协议。” 值得注意的是，弃用并不意味着立即删除。 微软澄清说：“被弃用的功能将继续工作并得到全面支持，直到它们被正式移除。我们相信您已经将产品生命周期纳入了您的管理策略。即便如此，弃用通知也可以跨越几个月或几年的时间，以帮助您进行必要的过渡。” 此举并不令人意外，因为 PPTP 和 L2TP 存在安全漏洞已有时日。随着威胁环境的不断变化，这些协议已不再被认为足够强大，能够满足现代安全标准。 微软提倡采用 SSTP 和 IKEv2，理由是它们具有卓越的安全性、性能和可靠性。SSTP 利用 SSL/TLS 加密技术提供安全的通信通道，并能无缝穿越防火墙。IKEv2 拥有强大的加密算法、稳健的身份验证和更高的性能，因此特别适合移动用户。 虽然未来的 Windows Server 版本仍允许使用 PPTP 和 L2TP 进行 VPN 输出连接，但将不再支持基于这些协议的输入连接。这一变化旨在引导用户使用更安全的 VPN 配置。 为了促进平稳过渡，微软提供了有关如何安装和配置 SSTP/IKEv2 以实现 VPN 服务器功能的详细说明。 这一停用标志着 Windows Server VPN 功能的重大转变，它优先考虑安全性并鼓励采用现代协议。通过过渡到 SSTP 和 IKEv2，企业可以确保其网络通信在面对不断变化的网络威胁时保持安全、高效和可靠。     转自安全客，原文链接：https://www.anquanke.com/post/id/300842 封面来源于网络，如有侵权请联系删除