HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局在其 “已知被利用漏洞目录”中增加了六个漏洞，这些漏洞影响了苹果、Adobe、Apache、D-Link 和 Joomla 的产品。 已知被利用漏洞目录（简称 KEV）记录了在野攻击中被利用的安全问题，为全球组织在漏洞管理和处理优先级提供了重要参考。 CISA指出：“这些漏洞类型经常被黑客用作攻击手段，对联邦机构构成了重要威胁。” CISA 已经要求联邦机构在 1 月 29 日之前修补这六个正在被积极利用的漏洞，否则将停止使用这些存在漏洞的产品。 这次重点发现的六个漏洞如下： CVE-2023-27524：Apache Superset 2.0.1 版本及以下的不安全默认资源初始化问题，可能导致未经授权的访问。（评分：8.9 “高危”） CVE-2023-23752：Joomla! 4.0.0 至 4.2.7 版本中的不当访问检查可能导致未授权访问。（评分：5.3 “中危”） CVE-2023-41990：处理 iMessage 附件的字体文件中存在的远程代码执行漏洞，可能导致 iOS 16.2 及更早版本的 Apple iPhone 设备受到攻击。（评分：7.8 “高危”） CVE-2023-38203 和 CVE-2023-29300：Adobe ColdFusion 中的不受信任数据反序列化问题可能导致任意代码执行，无需用户交互。（评分：9.8 “关键危险”） CVE-2016-20017：D-Link DSL-2750B 1.05 版本之前的设备存在远程未认证命令注入漏洞，从 2016 年至 2022 年被活跃利用。（评分：9.8 “关键危险”） 其中一些列出的漏洞最近才被披露。 例如，CVE-2023-41990 早在 2019 年的 “三角测量行动” 中使用，一直到 2023 年 6 月 Kaspersky 的一些研究人员的设备受到感染时才被发现。 该漏洞是四个漏洞集合中的最后一个，黑客正在利用它来规避全球多个目标的安全防护措施，其中包括欧洲地区的 iPhone。 CVE-2023-38203 和 CVE-2023-29300 从 2023 年中期开始受到黑客利用，因为安全研究人员发现供应商的修复措施可以被绕过。 针对诸如 CVE-2023-27524 等漏洞，其 PoC 利用在去年 9 月已经公开，这可能加剧了黑客的利用活动。 建议所有组织和联邦机构检查其上述漏洞及 KEV 目录中的其他安全问题，并及时采取安全更新或其他必要的防护措施。   消息来源：bleepingcomputer，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

鉴于图像造假问题日益严重，尼康、索尼集团和佳能等主要相机制造商正在采取积极措施打击深度造假。他们正在努力在相机中实现数字签名，作为图像来源和完整性的证明。 据 Nikkei Assia 称，这些数字签名将包括有关日期、时间、地点和摄影师的信息，并且不会被篡改。这对于摄影记者和其他工作需要认证的专业人士来说尤其重要。尼康将在其无反光镜相机中提供此功能，索尼和佳能将在其专业无反光镜单反相机中包含此功能。 三个照片行业巨头已同意制定与基于网络的验证工具兼容的数字签名全球标准。该工具由全球新闻机构、科技公司和相机制造商联盟推出，任何人都可以免费验证图像的真实性。如果图像是使用人工智能创建或修改的，Verify 会将其标记为“无内容凭据”。 美国前总统唐纳德·特朗普和日本首相岸田文雄等名人的深度伪造品的激增凸显了此类技术的重要性。此外，中国清华大学的研究人员开发了一种新的生成式人工智能模型，每天能够生成约 70 万张图像。 其他科技公司也加入了反对篡改图像的斗争。谷歌发布了一种工具，可以在人工智能生成的图像中添加隐形数字水印，英特尔也开发了可以分析照片中肤色变化的技术，以帮助确定其真实性。日立正在研究防止在线身份欺诈的技术。 新的相机技术预计将于 2024 年推出。索尼将于 2024 年春季发布，佳能紧随其后。索尼也在考虑将此功能添加到视频中，佳能正在开发类似的视频技术。佳能还发布了一款图像管理应用程序，可以检测照片是否由人拍摄。 索尼计划向其他媒体推广该技术，并已于 10 月份与美联社进行了现场测试。佳能正在与汤森路透和斯塔林数据完整性实验室（斯坦福大学和南加州大学创建的研究所）合作开发这项技术。 相机制造商希望他们的技术能够帮助恢复人们对图像的信任和信心，这些图像塑造了我们对世界的看法。 转自安全客，原文链接：https://www.anquanke.com/post/id/292367 封面来源于网络，如有侵权请联系删除

美国《联邦公报》上周发布有关“网络安全成熟度模型认证” CMMC 2.0的拟议规则，披露了国防部对承包商和其他组织实施五角大楼CMMC计划的最新成本预测。 根据该计划要求，处理联邦合同信息（FCI）和受控非机密信息（CUI）的国防承包商及分包商，必须根据信息类型和敏感程度，实施不同等级的网络安全标准，并评估自身合规满足情况 为了简化规则，CMMC 2.0具备三大特征：首先是采用分层模型，要求承包商根据信息敏感程度，按三个不同等级实施网络安全标准。其次是要求进行评估，允许国防部核验标准的实施情况。第三是以合同的形式落实，一旦CMMC规则生效，处理敏感信息的国防部承包商必须达到特定的CMMC等级才能取得合同。 一旦CMMC纳入《联邦法规第48编》，国防部将在招标书和随后的合同中指定所需的CMMC级别。新规则可能影响超过20万家国防工业公司。 五角大楼计划分阶段实施CMMC计划。第一步将在2026年10月1日或之后所有适用招标活动中纳入CMMC要求。当然，招标之前会视具体项目判断可否豁免。 承包商和分包商必须自我评估，判断是否达到规定的安全等级。评估也可以由第三方机构（称为C3PAO）或政府评估员实施。 评估规划、准备、实施和结果上报等活动将产生一定成本。 一级认证预计每年支出4000-6000美元 拟议规则表示，“估算公共成本时，国防部考虑了适用的非经常性工程成本、经常性工程成本、评估成本和每个CMMC等级所需的确认成本。” 规则指出，“对于CMMC 1级和2级，成本估算只考虑国防承包商、分包商或生态系统成员必须采取的评估、认证和确认活动，这些活动便于国防部核实相关基础安全要求是否得到落实。” “国防部没有考虑实施安全要求本身的成本。《联邦采购条例》（FAR）第52.204–21条款和《国防联邦采购条例补充》（DFARS）第252.204–7012条款规定的实施期限分别是2016年6月15日和2017年12月31日。因此，CMMC 1级和2级安全要求的实施成本应该已经发生，与本拟议规则无关。” 公司需每年进行一次1级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(2)条款规定，落实了保护联邦合同信息的所有基本要求。 五角大楼估计，小型实体进行1级自我评估和确认的成本将近6000美元，较大实体约为4000美元。 二级认证预计支出10-12.8万美元 承包商每三年需进行2级自我评估和确认，证明已根据《联邦法规第32编》第170.14(c)(3)条款规定，落实了保护受控非机密信息的所有安全要求。每三年由第三方机构进行2级认证评估，亦可验证承包商符合安全要求。 拟议规则指出，“如实施合同时，需在组织信息系统中处理、存储或传输受控非机密信息，则该（寻求认证的）组织必须实施CMMC 2级评估。” 对于小型实体，2级自我评估和相关确认估计成本超过3.7万美元，较大实体约为4.9万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。对于小型实体，2级认证评估成本将近10.5万美元，较大实体约为11.8万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 三级认证预计支出数百万美元 拟议规则表示，“进行CMMC 3级认证评估之前，用于CMMC 3级评估范围内的信息系统必须接受CMMC 2级最终认证评估。CMMC 3级认证评估由（国防合同管理局）国防工业基础网络安全评估中心（DIBCAC）负责实施，将核实（寻求认证的组织）是否按照《联邦法规第32编》第170.14(c)(4)条款规定，实施CMMC 3级安全要求。” 如执行合同时需处理、存储或传输受控非机密信息，公司信息系统必须每三年进行一次3级认证评估。 根据拟议规则，3级认证将要求“在先前规则之外，实施美国国家标准与技术研究院800–172号特别出版物（NIST SP 800-172）规定的安全要求。因此，此次成本评估包括了初步实施和维护NIST SP 800–172要求产生的非经常性工程成本和经常性工程成本。” 3级认证评估的总成本包括与2级认证评估相关的支出，以及实施、评估3级独有安全要求的支出。 对于小型组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为49万美元和270万美元。认证评估的预计成本超过1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 对于较大组织，满足3级保障措施需承担的经常性和非经常性工程成本分别为410万美元和211万美元。认证评估及相关确认的预计成本超过4.1万美元（包括每三年一次的评估和确认，以及两次额外的年度确认）。 拟议规则指出，3级标准预计只适用于“一小部分”国防承包商和分包商。 国防工业企业预计每年需增加40亿美元支出 在计算成本时，官员们力求考虑小公司和较大国防承包商之间的组织差异。比如，他们假定小公司的IT和网络安全基础设施和运行环境较为简单、规模较小。拟议规则称，小公司更有可能将IT和网络安全外包给外部服务提供商。 此外，官员们预计参与2级评估的组织将咨询外部服务提供商，寻求实施支持，帮助他们为评估做好准备或参与第三方机构的评估。 根据预测，为实施CMMC 2.0，未来20年，承包商和其他非政府实体的年化成本将约为40亿美元。对于政府，年化成本将约为1000万美元。 五角大楼正在征求公众对拟议规则的反馈，截止日期为2024年2月26日。 CMMC的实施成本和程序要求一直是国防承包商和贸易协会重点关注的问题。 上周二，美国航空工业协会总裁兼首席执行官Eric Fanning发布声明，表示,“长期以来，繁重的监管一直是一大障碍。对于为国防工业基础做出贡献的中小型企业而言，尤为如此。就国防公司而言，必须获得合适的工具和标准，既能保护我们国家敏感非机密材料的安全，又能不阻碍公司为国防工业基础做出贡献。我们期待审查拟议规则并提供全面反馈，确保国防部制定的最终规则能够充分考虑到国防工业基础的复杂程度。” 转自安全内参，原文链接：https://www.secrss.com/articles/62444 封面来源于网络，如有侵权请联系删除

加密货币世界主要存在于数字领域，面临着众多不断变化的网络威胁，这些威胁所带来的风险，给个人和企业组织造成了重大损失。 本文将研究2023年年加密货币领域的一些关键网络安全趋势，这些趋势预计将持续到 2024 年，并影响更多受害者。 1. 黑客攻击和漏洞利用 加密货币交易所和各种去中心化金融（DeFi）平台在2023年都经历了多次黑客攻击和利用，例如Mixin Network在 9 月份因黑客攻击遭受了近 2 亿美元的损失，Euler Finance 在 3 月份也遭遇了漏洞攻击，导致损失 1.97 亿美元。 截至2023年 11 月，区块链情报公司 TRM Labs 总共记录了 160 起黑客攻击事件，这一数字与 2022 年相当。然而，尽管事件数量相似，黑客仅窃取了 17 亿美元的比特币 (BTC) 和其他加密资产，还不到 2022 年被盗金额的一半。研究人员将损失的减少归因于行业安全措施的改进、执法力度的加大以及行业协调的加强。 2022 年与 2023 年损失对比 数据还表明，今年被盗总额的近 60% 可归因于基础设施攻击，犯罪分子通过攻击获取服务器、网络或软件的访问权限。其他方式包括通过代码漏洞、协议攻击等方式对智能合约（自执行程序）进行攻击。 2023年所记录到的攻击类型比例 与此同时，2023年有一起黑客攻击事件引人注目：KyberSwap 去中心化交易所的黑客开始要求转移对该平台的控制权，以换取价值约 5000 万美元的加密资产的归还。该事件到目前仍未得到解决。 由于黑客可能会继续瞄准加密货币交易所（尤其是集中式交易所），因此建议仅在这些平台上保留交易所需的加密资产额度，同时通过更安全的选项（例如硬件钱包）来保障更大额的加密资产。 2. 诈骗 加密货币诈骗构成了一个广泛的类别，涵盖各种子类别，例如退出诈骗、投资欺诈、欺骗性智能合约等。此外，一个骗局可能涉及多种骗局，例如投资骗局和爱情骗局的结合。随着2023年比特币和加密货币市场的显着上升趋势，预计诈骗活动将会增加。 但事实证明，至少2023年上半年这些犯罪分子的 “利润 “并不高。根据区块链分析公司 Chainalysis 的数据，截至 6 月，加密货币诈骗者在 2023 年获得的收益比 2022 年减少了近 33 亿美元，全年总收益略高于 10 亿美元。这一下降归因于以VidiLook为代表的两大投资骗局的销声匿迹。 与此同时，有着朝鲜背景的 Lazarus 等特定黑客组织对加密货币诈骗也并不陌生。据估计，该组织在6年内窃取了价值 30 亿美元的加密资产，目前涉嫌在 Telegram 上发起网络钓鱼活动，重点针对加密行业。加密安全专家慢雾声称，该组织成员目前冒充信誉良好的投资机构，欺骗加密项目向犯罪分子发送资金。这种特殊的骗局属于网络钓鱼骗局的范畴，将在下面单独进一步讨论。 3. 网络钓鱼 网络钓鱼采用欺骗手段（例如冒充和创建虚假网站）来获取受害者的资金。最近在2023年12月份发生的一起重大事件震惊了整个DeFi和Web3（新一代互联网）行业。大型硬件钱包制造商 Ledger 的一名前员工遭到网络钓鱼攻击，攻击者可以将恶意代码注入 Ledger 的软件中。该软件用于控制第三方应用程序对硬件钱包上的加密资产的访问，目前价值约 60 万美元的加密资产被盗。此消息曝光后，建议所有去中心化应用程序（dapp）的用户停止交互，直至另行通知。 与此同时，Chainalysis 还对另一种类型的犯罪发出了警告–批准钓鱼诈骗。在这种情况下，骗子会诱骗用户签署恶意区块链交易，批准骗子的地址使用受害者钱包中的特定代币。据研究人员估计，一些受害者在这些骗局中损失了数千万。 因此，这种新出现的网络钓鱼诈骗是一个重要提醒，不仅要在签署任何交易之前仔细检查与您在互联网上互动的个人或网站身份，还要在启动交易之前验证地址。 4. 拉高出货（Pump & dump schemes）和跑路（rug pulls）骗局 加密货币的参与者还应警惕操纵和欺骗手段，包括拉高出货（Pump & dump schemes）计划和跑路（rug pulls）。前者是指通过误导性声明操纵代币价格，从而出售过高估值的基金，让毫无戒心的投资者蒙受损失。虽然2023年的数据尚未公布，但 Chainalysis 估计，2022年推出的代币中有 24% 在第一周出现了价格下跌，这表明存在潜在的拉高出货活动。 而跑路策略，是在从投资者那里收取资金后，犯罪团队带着所有资金消失。Hacken 估计，2023年第三季度加密货币领域的损失中有 65% 是由跑路造成。研究人员记录了 78 起事件，使投资者损失近 5000 万美元。检查加密货币项目是否经过了独立的第三方审核（这可能表明潜在风险）可以帮助防止成为骗局的受害者。据 Hacken 称，在检查的 78 起跑路事件中，只有 12 起报告称经过了第三方审核，且审核后的评分很低。 5. 勒索软件 虽然2023年上半年诈骗活动有所减少，但与加密货币相关的勒索软件活动却有所增加。根据 Chainaanalysis的数据，勒索软件成为2023年唯一增长的与加密货币相关的犯罪类型。截至 6 月，犯罪分子勒索了至少 4.49 亿美元，比 2022 年同期增加了 64%，其大幅增长归因于攻击者瞄准了更大型的组织，以博得更高额的赎金。此外，还发生了一些更成功的小规模勒索软件攻击事件。 2023年不同勒索软件的赎金规模 随着年关将至，犯罪分子更加力求利益最大化。Immunefi 的数据显示，仅2023年 11 月份，BTC 和加密市场因黑客和欺诈造成的损失约为 3.4 亿美元，较 10 月份增加了 15.4 倍。 随着人们对网络安全威胁的认识不断增强，BTC 和加密货币用户以及相关组织有望在 2024 年能更好地保持警惕，时刻维护自身安全。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388541.html 封面来源于网络，如有侵权请联系删除

乌克兰安全部门表示，他们拆除了两台据称被俄罗斯黑客入侵了的网络摄像头，这两台摄像头用于监视乌克兰首都基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的住宅楼上，最初被居民用来监视周围区域和停车场。据称，在被黑客攻击后，俄罗斯情报机构远程访问了这些摄像头，改变了它们的视角，并将其连接到YouTube，以传输敏感画面。 根据乌克兰国家安全局（SBU）的说法，这些录像很可能在上周俄罗斯对乌克兰进行的大规模军事行动中辅助指引无人机和导弹攻击基辅。在行动中，俄罗斯发射了近100枚导弹和多架无人机，主要瞄准基辅和乌克兰第二大城市哈尔科夫。 自从俄罗斯于2022年2月和乌克兰开战以来，SBU表示已经封锁了约10,000台数字安全摄像头，以防止俄罗斯筹备对乌克兰的军事行动。 根据 Radio Free Europe 的调查，俄罗斯情报机构可能一直在获取数千台配备有俄罗斯软件程序 Trassir 的乌克兰监控摄像头的视频画面。这个监控系统可以捕捉人和车辆的移动，并能够识别人脸和车牌。 这些摄像头的录像将直接传送到莫斯科的服务器，并可能被俄罗斯的安全部门获取。乌克兰在战争开始后才逐渐禁用俄罗斯软件。 在线录像，包括照片和视频，可能是乌克兰和俄罗斯情报机构的重要信息来源。 乌克兰法律规定，禁止公民分享被俄罗斯导弹攻击的住宅建筑或关键基础设施的照片或视频，因为这有助于俄罗斯“修正”目标。触犯该法律的人将有可能被判处12年的监禁。 乌克兰国家安全局呼吁街头监控摄像头的所有者将其设备下线，并报告在 YouTube 上发现的任何这类摄像头的数据流。 消息来源：The Record，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

谷歌（Google）近期同意就一项价值 50 亿美元的隐私权诉讼达成和解，和解条款目前尚未披露，预计正式和解协议将在 2024 年 2 月 24 日前提交法院批准。 该诉讼指控谷歌追踪用户在“隐形浏览模式”下的数据信息。（这些用户自认为其是在私密状态下浏览网页）。 2020 年，Boies Schiller Flexner 律师事务所发起集体诉讼，指控 IT 巨头谷歌欺骗用户，即使用户选择了 “隐身 “浏览模式，谷歌还是利用其广告技术和其他方法收集用户网站访问和活动的详细信息。 对此，英国广播公司（BBC）发表文章评论称，美国地区法官伊冯娜-冈萨雷斯-罗杰斯（Yvonne Gonzalez Rogers）当地时间周四在加利福尼亚州搁置了原定的案件审理。值得一提的是，罗杰斯曾在今年早些时候驳回了谷歌要求驳回此案的申请。 集体诉讼还指出，谷歌不能继续未经授权地收集几乎每位美国电脑或手机用户的秘密数据。谷歌的做法是“故意”欺骗用户，侵犯他们的隐私，“数百万人”可能因此受到影响。 最后，据英国广播公司（BBC）报道，和解条款尚未公开，原告律师要求为每名被谷歌追踪的用户索取至少 5000 美元的赔偿，这意味着，原告提出的索偿金额至少达到 50 亿美元。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388438.html 封面来源于网络，如有侵权请联系删除

俄罗斯总统普京的竞选总部新闻秘书亚历山大·苏沃罗夫29日向记者透露，普京的竞选网站刚投入使用就遭到多起境外分布式拒绝服务攻击（DDoS攻击），但该网站目前工作正常。 普京15日在会见俄国家杜马（议会下院）各党团领袖和杜马高层时表示，俄罗斯总统竞选活动一切都必须依法进行，必须取缔任何来自外部的干涉。 普京称：“竞选活动即将开始，有必要明确几项原则性立场。首先，一切都应该在竞争基础上进行，并完全遵守俄罗斯联邦的法律。” 普京指出，肇事者将被追究干预选举的责任。 他还说：“根据俄罗斯联邦法律，任何对俄罗斯内政的干涉都将受到严惩。” 转自安全内参，原文链接：https://www.secrss.com/articles/62356 封面来源于网络，如有侵权请联系删除

  2023年对网络安全领域来说是充满发展和变化的一年。黑客攻击、勒索软件肆虐，大型企业和个人隐私备受威胁。 LockBit、BlackCat等勒索软件家族频频现身，不仅对全球知名企业实施攻击，也直接威胁到个人隐私安全。从全球范围内的网络冲突到个人数据泄露，网络安全风险日益凸显。 考虑到当前全球经济形势的不确定性，预计在未来一年中，黑客攻击和勒索事件可能会更加猖獗，这将为网络安全带治理来更加严峻的挑战。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2023年备受关注的网络安全热点事件，排名不分先后。   01 LockBit 勒索软件家族席卷全球，对各个行业发起攻击 LockBit 勒索软件家族，一种高度活跃和危险的恶意软件，其于 2019 年 9 月被首次发现，该组织通常通过利用网络安全漏洞、分布式拒绝服务攻击（DDoS）和双重勒索策略等技术手段，对目标组织发起攻击。它们会加密受害者的数据并要求赎金，否则就威胁公开或销毁数据。 2023 年，该组织发起了多次攻击活动，对在全球范围内的各种组织构成了严重的威胁。 其中 5 月，LockBit 3.0 勒索软件集团在其数据泄露网站上将富勒顿印度公司列为受害者，称其窃取了 600GB 的 “个人和合法公司的贷款协议”。 7 月，一个名为 Bassterlord 的 Lockbit 关联公司通过 Twitter 宣布了对台积电的黑客攻击，分享了与该公司相关信息的截图作为证据，并对其索要 7000 万美元赎金。 11 月，中国工商银行美国子公司在遭受攻击后疑似已支付赎金。而同样是面对勒索，在波音公司拒绝支付赎金后，LockBit 勒索软件泄露了超过 43GB 的文件。月中，正利用 Citrix Bleed 已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件，1 万台服务器遭暴露。 11 月底，LockBit 勒索软件组织在其暗网门户上发布了印度国家航空航天实验室 8 份据称被盗的文件，其中包括机密信件、员工护照和内部文件。 事件详情： https://hackernews.cc/archives/43893 https://hackernews.cc/archives/44372 https://hackernews.cc/archives/46929 https://hackernews.cc/archives/46897 https://hackernews.cc/archives/46959 https://hackernews.cc/archives/4742 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞: 盘点 2023 年造成实际破坏的十大漏洞   02 BlackCat 勒索软件袭击全球千名受害者，狂“薅”超 3 亿美元赎金 BlackCat 勒索软件家族，也被称为 ALPHV， 于 2021 年 11 月被首次观察到，是最早用 Rust 编程语言编写的勒索软件之一。BlackCat 常用的手段之一是双重敲诈，除了加密受害者的数据并要求赎金外，它还威胁要公开或销售被盗数据，以迫使受害者支付。 2023 年，BlackCat 已针对多家企业、机构等发起了多次勒索行动。 其中6 月，BlackCat 勒索软件声称从 Reddit 窃取了 80GB 的数据，并提出了450 万美元的赎金需求。 10 月，美高梅度假村透露，因遭受网络攻击影响，损失高达 1 亿美元，美高梅酒店和赌场的网络系统陷入瘫痪。 次月，美国医疗保健公司 Henry Schein  报告称再次遭受 BlackCat 网络攻击，公司的应用程序和电子商务平台再次被关闭，35TB 数据被窃。 12 月， BlackCat 将台湾中国石化添加到其Tor泄露网站的受害者名单中，泄露数据41.9GB。美国联邦调查局（FBI）宣称，截至 2023 年 9 月，BlackCat 勒索软件团伙就已成功袭击全球 1000 多名受害者，狂“薅”了超过 3 亿美元的赎金。 事件详情： https://hackernews.cc/archives/44204 https://hackernews.cc/archives/45957 https://hackernews.cc/archives/47309 https://hackernews.cc/archives/47360   03 俄乌网络空间攻击战火力全开 2023年，俄乌网络战全面升级，双方的网络攻击火力全开。网络攻击、信息战和网络钓鱼活动成为战争的关键组成部分，对乌克兰及俄罗斯的基础设施、政府机构和民众产生了深远影响。 其中，2 月，俄乌冲突一周年纪念日当天，亲乌黑客组织 CH01 至少入侵了 32 个俄罗斯网站，以示对战争的抗议。 4月，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 6月，Cyber.Anarchy.Squad 的乌克兰黑客声称发动了一次攻击，导致俄罗斯电信提供商 Infotel JSC 瘫痪。 8月，乌克兰独立日遭俄罗斯黑客组织袭击，致200 多家加油站深夜瘫痪。 9月，乌克兰黑客声称已侵入俄罗斯公司 Sirena-Travel 的数据库，超 41 亿条乘客信息被窃取（包括航班号码、路线、票价、机票价格等）。 11月，乌克兰情报机构成功入侵俄罗斯航空局，窃取的情报显示，俄民航几近崩溃。 12月，乌克兰军事情报部门入侵了俄罗斯联邦税务局，还中断了俄罗斯联邦税务局中央办公室与 2300 个地区办公室之间的通信。 事件详情： https://hackernews.cc/archives/43353 https://hackernews.cc/archives/43745 https://hackernews.cc/archives/44141 https://hackernews.cc/archives/45336 https://hackernews.cc/archives/45838 https://hackernews.cc/archives/47292   04 巴以冲突进入白热化阶段 与俄乌冲突类似，巴以冲突中也伴随了针对双方关键信息基础设施的网络攻击行为。这场战争不仅在物理世界中展开，也深入到了网络空间，涉及网络攻击、信息战、社交工程和AI技术的使用，甚至国家级网络部队和非国家级黑客组织开始“选边站”，更加体现了该事件的复杂程度。 2 月，巴勒斯坦黑客喊话以色列化学公司，并威胁雇员生命。 10月，哈马斯与以色列爆发武装冲突、多国黑客组织进入网络战场参加战斗。该月底，以色列空军基地的计算机系统遭到破坏，一种名为 BiBi-Linux 的新型恶意软件擦除器来销毁针对以色列公司 Linux 系统的攻击中的数据，亲哈马斯的黑客组织使用 Wiper 来摧毁以色列公司的基础设施。 11月，伊朗黑客组织 Imperial Kitten 对以色列运输、物流和技术公司发起新一轮网络攻击。并入侵了以色列航空公司，在网上泄露了该公司的内部机密文件。 事件详情： https://hackernews.cc/archives/43160 https://hackernews.cc/archives/46027 https://hackernews.cc/archives/46472 https://hackernews.cc/archives/46643 https://hackernews.cc/archives/46908 https://hackernews.cc/archives/47002   05 Twitter 2 亿用户数据遭泄露，后回复并非通过系统漏洞流出 1月初，一个包含超过 2 亿 Twitter 用户数据的文件在黑客论坛上发布，数据包括电子邮件地址、姓名、网名、关注人数和账户创建日期，价格约为 2 美元。 一周后，Twitter 回复称没有证据表明泄露的用户数据是利用系统漏洞进行获取，安全研究人员认为这些数据很可能是在网上公开的数据集。 事件详情： https://hackernews.cc/archives/43005 https://hackernews.cc/archives/43080   06 黑客论坛上“在售”宏碁 160 GB 敏感数据 3 月，中国台湾电脑巨头宏碁证实，在黑客成功入侵一台存有维修技术人员私人文件的服务器后，公司 160 GB 敏感数据遭泄露。化名为“Kernelware”的黑客声称对此次重大数据泄露事件负责。 从黑客说法来看，被盗数据主要包含宏碁公司的技术手册、软件工具、后台基础设施细节、手机、平板电脑和笔记本电脑的产品型号文档、BIOS 图像、ROM 文件、ISO 文件和替换数字产品密钥（RDPK）等。为证实数据的真实性，黑客还分享了宏碁 V206HQL 显示器技术原理图、文件、BIOS 定义和机密文件的截图。 事件详情： https://hackernews.cc/archives/43434   07 超过 10 万个 ChatGPT 账户被恶意软件窃取 6月， Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。 许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 事件详情： https://hackernews.cc/archives/44221   08 卡巴斯基曝光史上最复杂苹果系列 APT 攻击——三角测量行动 6 月，卡巴斯基披露了一起 APT 攻击——“三角测量行动”， iOS 已成为利用 iMessage 平台的零点击漏洞武器化，使攻击者可秘密从受感染设备中窃取敏感信息。 10 月，卡巴斯基再次披露其主要同时利用了 4 个 0 day 漏洞以及 1 个PAC bypass 的 1day 漏洞。这些漏洞链接在一起，形成零点击攻击，允许黑客提升权限并执行远程代码。 在该次攻击中，关键的攻击组件是一个名为 TriangleDB 的后门，该程序由至少四个模块组成，功能包括录制麦克风、提取 iCloud 钥匙串、从各种应用程序所使用的 SQLite 数据库中窃取数据，以及估算受害者的位置。 此外，在 12 月，卡巴斯基还进一步披露了该攻击软件攻击的技术细节。这些漏洞不仅影响 iPhone，还波及到了 Mac、iPod、iPad、Apple TV 和 Apple Watch 等设备。 事件详情： https://hackernews.cc/archives/44125 https://hackernews.cc/archives/46431 https://hackernews.cc/archives/48616 我们在年度漏洞盘点中，也提到了该事件中所涉及的漏洞： 盘点 2023 年造成实际破坏的十大漏洞   09 超 2000 家美国公司凭据遭到泄露！特斯拉、FBI、五角大楼无一幸免 8 月，美国国家安全委员会(NSC)泄露了近 1 万名会员的电子邮件和密码，包括政府机关和大企业在内的 2000 多家企业被曝光，NASA、特斯拉、FBI、五角大楼无一幸免。 该漏洞不仅对 NSC 系统构成了风险，而且对使用 NSC 服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如 VPN 门户、人力资源管理平台或公司电子邮件。此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。 事件详情： https://hackernews.cc/archives/45421   10 美国金融机构遭遇史上最大规模 DDoS 攻击 9 月，Akamai 近日透露，已经挫败了针对一家美国银行的大规模 DDoS 攻击，攻击峰值高达每秒 5510 万个数据包，攻击流量达到了每秒 633.7GB。这也是 Akamai 挫败的第三大规模的 DDoS 攻击。 事件详情： https://hackernews.cc/archives/45681   11 勒索组织 Cl0p 利用 MOVEit 发起漏洞攻击 9 月，勒索组织 Cl0p 利用 MOVEit 漏洞攻击的组织数量已超过 2000 个，受影响的人数超过 6000 万。 在今年 5 月，该组织还利用流行的 MOVEit 文件传输解决方案中的 SQL 注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。 事件详情： https://hackernews.cc/archives/45873   12 中国台湾大江生医集团 236.3GB 数据于暗网泄露 11月，据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。 此次暗网雷达监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。 事件详情： https://hackernews.cc/archives/47123   13 8 亿印度人遭遇大规模数据泄露 11 月，据美国一家安全公司称，超过 8 亿印度人的高度敏感个人信息正在网上以 8 万美元的价格出售。 网上提供的个人数据包括 Aadhaar 生物识别身份证和护照信息，以及姓名、电话号码和地址。据有关媒体报道，今年 10 月初，该公司在暗网上发现了数百万份属于印度居民的个人信息记录。 事件详情： https://hackernews.cc/archives/46590   14 GE 疑遭黑客攻击，大量军事机密泄露 11月，GE（通用电气）疑遭黑客攻击，黑客还公布了 GE 被盗数据的屏幕截图，数据样本包括 GE Aviations 的一个 SQL 数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。 事件详情： https://hackernews.cc/archives/47286   15 基因检测公司 690 万名会员信息遭泄露 12 月，基因检测公司 23andMe 证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 事件详情： https://hackernews.cc/archives/47586     作者：知道创宇404实验室 （数据来源 https://hackernews.cc/，转载请注明出处。）

美国国家航空航天局（NASA）近日发布了首版太空安全最佳实践指南，旨在加强公共部门和私营部门太空活动的网络安全。 在太空任务与技术日益联系紧密的背景下，NASA发布的指南将成为一个重要里程碑，该指南旨在为各类规模的任务、项目或计划提供安全指导，体现了该机构致力于维护太空任务的长期性和弹性作出的努力，这份指南将作为NASA提升安全性和可靠性的参考。 太空安全最佳实践指南提供了安全实施任务的指导性原则和控制措施，适用于航天器和地面段。指南采用美国国家标准与技术研究院NIST SP 800-53文件中“安全控制”的定义，并充当 NIST 术语与NASA飞行项目术语之间的翻译桥梁。 该指南的原则易于实施，注重采用基于风险的方法，以减少可能妨碍任务成功的薄弱环节。这些原则的确立成为了任务关键实施步骤的起点。基础安全原则和相关控制措施是通过反复讨论确定的，旨在应对当今网络攻击者试图破坏任务所使用的战术、技术和程序（TTPs）。该指南将作为一个初始起点，以减少任何试图拒绝、降级、干扰、欺骗或破坏用于完成 NASA 成功任务的信息和技术的行为。 该指南适用于各种规模、范围和性质（国际、公司、大学）所有等级的任务、项目和计划，NASA鼓励任务、项目和计划将其作为太空安全原则的基准。虽然该指南只是一份指导性文件，但其中的原则和控制措施将会被评估，或纳入NASA的主要机构标准和要求之中。各项任务、项目和计划需要向企业保护计划（EPP）和首席信息官办公室（OCIO）提供关于指南效用和实施情况的反馈意见。 NASA企业保护副首席顾问 Misty Finical 表示：“NASA 认识到保护我们的太空任务免受潜在威胁和漏洞的重要性。这份指南代表了众人努力的成果，旨在确立一套原则，使我们能够识别并减轻风险，确保我们的任务在地球轨道及太空取得持续成功。” 包括信息系统和运营技术（OT）在内，太空系统的集成度和互联度不断提升。NASA 等组织在太空工作、通信和数据收集方面拥有前所未有的新机遇。但是，新的复杂系统也可能存在漏洞。 通过这份新指南，NASA 旨在提供应对这些新挑战和实施安全措施的最佳方法。NASA 表示将收集太空社区的反馈意见，并将其纳入指南未来版本。 转自安全内参，原文链接：https://www.secrss.com/articles/62220 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，12 月 27 日，Ultra Intelligence & Communications 公司 30GB 数据遭到泄露，数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。数据来源于勒索组织 BlackCat，数据可下载。 据悉，美国联邦调查局（FBI ）在本月攻入了 BlackCat  勒索软件的服务器，以监控该组织的日常活动并获得解密密钥，同时扣押了 BlackCat 勒索软件数据泄露网站的域名，并添加了一条横幅。然而，几个小时后，BlackCat 勒索软件就“解封”了数据泄露网站。 Ultra Intelligence & Communications（简称ULTRA），是一家全球领先的技术公司，总部位于英国。该公司提供先进的情报、通信和安全技术解决方案，服务于政府、军事和商业客户。是一家与美国政府合作的承包商，由美国政府相关或在美国政府工作的机密人员赞助。 ULTRA 的高层管理人员拒绝支付恢复被盗数据的费用，导致所有与 ULTRA 及其附属公司有关的被盗数据都在这个数据泄露博客中公开。 每个与美国政府合作的承包商都应该被警告这一事件，如果他们不希望美国联邦机密被公开，就应该避免与 ULTRA 有任何进一步的业务往来。这一事件可能促使美国政府重新审视与这些承包商及其分包商的关系。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达