美国CISA、FBI和网络司令部发布的一份联合报告显示，国家支持的黑客组织利用Fortinet FortiOS SSL-VPN和Zoho ManageEngine ServiceDesk Plus关键漏洞攻击了美国一家航空机构。此次网络攻击事件背后的黑客组织尚未被命名，虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿暗示攻击与伊朗民族国家工作者有关。 根据发布的联合警报显示，国家高级威胁行为者利用CVE-2022-47966未经授权访问面向公众的应用程序（Zoho ManageEngine ServiceDesk Plus），建立持久性，并在网络中横向移动。 CVE-2022-47966指的是一个关键的远程代码执行缺陷，该缺陷使未经身份验证的攻击者能够完全接管易受影响的实例。在成功利用这一漏洞之后，黑客获得了对web服务器的根级别访问权限，并采取措施下载其他恶意软件、收集管理用户凭据，并在网络中横向移动。 这些发现是基于CISA于2023年2月至4月在一家未具名的航空部门机构进行的事件响应调查。有证据表明，恶意活动早在2023年1月18日就开始了。并且美国网络司令部暗示伊朗民族国家工作者参与了袭击。 正如这三个美国机构所警告的那样，这些威胁组织经常扫描面向互联网的设备上未修补的漏洞，以查找关键且易于利用的安全漏洞。 据称，该黑客组织还利用Fortinet FortiOS SSL-VPN中的严重漏洞CVE-2022-42475来访问防火墙。Fortinet还警告说，在攻击期间，额外的恶意有效负载被下载到受感染的设备上，这些有效负载无法检索进行分析。 Fortinet于2022年11月28日悄然修复了该漏洞，但没有发布该漏洞已被广泛利用的信息，随后，12月中旬，客户首次被敦促修补其设备以抵御持续的攻击。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ZVLSpOEg4Un3DgPbu8snBw 封面来源于网络，如有侵权请联系删除

这次黑客攻击恰逢伊朗女子Mahsa Amini被警察拘留去世一周年纪念日，带有明显的借势迹象。 以伊朗为主要目标的黑客组织“黑色奖励”（Black Reward）在上周四宣布，针对数百万伊朗人使用的金融服务应用程序“780”发起网络攻击。 该组织在网上发布屏幕截图，图中写道：“打倒哈梅内伊！”“我们回到街头，因为革命仍在继续。为了女性、生命、自由。”消息末尾还加上了#MahsaAmini的标签，是指这位伊朗女子在2022年9月被警察拘留杀害一事。那次事件在当时引发了伊朗全国范围的抗议活动。 该组织在Telegram频道发布了一条消息，翻译如下：“众所周知，革命之火可能会平息，但它永远不会熄灭。黑色奖励组织属于人民，将一直与人民并肩行动，直到取得胜利。” 上述消息通过“780”应用程序推送。该应用程序支持在线购物、账单支付、银行余额查询等金融交易。程序开发商声称拥有超过600万用户。从上周四晚上到上周五，很多人在推特转发了这条消息，他们还通过视频分享消息，发表评论。 上周四晚上，讨论这次黑客攻击的推文。 该公司未回复置评请求。 2022年9月25日，“黑色奖励”在Telegram上首次亮相。当时，Mahsa Amini去世刚刚一周多。2022年10月，该组织发布了一份据称是伊朗政府与国际原子能机构的私人通信文件。伊朗政府将那次黑客攻击归咎于“来自特定国家的未经授权访问”，但没有具体指明是哪个国家。 当时，“黑色奖励”组织告诉外媒CyberScoop，它由伊朗人组成，表示“伊朗伊斯兰共和国说的一切都是谎言。我们支持妇女、生命和自由，与现政权作斗争。” “黑色奖励”组织的Telegram频道拥有超过87000名订阅者。2月28日，该频道发布了对隶属于伊斯兰革命卫队（IRGC）的法尔斯新闻社发动黑客攻击的第二部分。自那以后，该组织的Telegram频道一直处于休眠状态。 “黑色奖励”未回复置评请求。     转自安全内参，原文链接:https://www.secrss.com/articles/58585 封面来源于网络，如有侵权请联系删除

数百万Facebook Messenger帐户将试用个人和群组聊天的端到端加密标准。 日前Meta公司宣布，数百万Facebook Messenger帐户将试用个人和群组聊天的端到端加密标准。Meta公司表示，其正努力在年底前确定最终默认加密标准，而这种默认加密将“增强我们已经提供的安全性，并让人们更加相信他们的个人信息将保持私密。” 自 2019 年以来，Meta 的工程师、密码学家、设计师和政策专家团队一直在应对为 Messenger 和 Instagram DM额外加密的挑战，其目标是增强他们已经提供的安全性，并让人们更加相信其个人信息将保持私密。在这一过程中，他们发现，Meta公司将服务过渡到 E2EE 是一个非常复杂和具有挑战性的工程难题，而他们自己将不得不从头开始重写几乎整个消息传递和调用代码库。Meta 在回答有关加密的重要政策问题方面做了很多工作，例如如何继续为人们提供安全可靠的体验。但是，到目前为止，他们还没有解释所涉及的“所有工程挑战”，其中包括以下几个方面： 1.更改服务器的角色 像许多消息服务一样，Messenger和Instagram DM最初设计为通过服务器运行。Meta 的服务器充当消息发送方和接收方之间的网关，也称之为客户端。服务器处理两个人之间的消息内容，充当中央事实来源，并确保正在交流的客户看到相同的内容，无论是文本，表情符号还是视频。但是，使用 E2EE，不能依靠服务器来处理和验证消息内容；需要重新设计整个系统，使其在 Meta 服务器看不到消息内容的情况下运行。 由于需要避免使用服务器来处理消息内容，Meta必须重新考虑如何在新的基础架构上进行扩展。这意味着使用E2EE升级数万亿次活跃对话，而不会破坏人们对沟通速度或传递信息可靠性的期望。Meta还必须为人们开发新的方法来管理他们的消息历史记录，例如设置 PIN。为了使用这种 PIN 方法维护 E2EE，工程师们还构建了硬件安全模块 （HSM） 的新基础架构。 2.Messenger和WhatsApp中吸取的教训 这不是Meta第一次做这样的事情。几年前，工程师用所谓的 Lightspeed 代码更新了 Messenger ，使其更快、更轻。然而，构建E2EE要困难得多。不仅需要过渡到新的服务器架构，还需要重写代码库，以便在多个不同的设备上工作。此外，Meta还从 WhatsApp 工程团队那里学习如何在 E2EE 环境中大规模、高速地传递消息的经验教训；其中一个宝贵教训是，它需要可扩展且可靠，并且尽可能简单和轻量级。简化消息传递服务的复杂性可以创造更好的结果，特别是对于连接性较低的人。 3.重新构建要素 在开发 E2EE 时，工程师们不得不以这种以客户端为中心的方式重建 100 多个功能。Messenger 是最丰富的聊天体验之一。人们想要加密，但他们也希望获得他们在 Messenger 上所期望的同样的乐趣和表达自己的能力。 重建Messenger的一个例子是分享外部链接，如Youtube视频。人们希望看到丰富的预览，因此他们在点击朋友分享的链接之前就知道了。在旧模型中，服务器会从Youtube上检索该信息，显示视频的图像作为预览。这就是为什么有时需要一秒钟才能加载的原因。但是，在E2EE聊天中，手机上的应用程序将转到Youtube。它将提供丰富的预览，当点击发送时，其应用会加密整个包并将其发送给收件人。 4.保持对话 构建E2EE需要同时保持Messenger上的对话。必须重建所有功能和体验——从发送消息到贴纸等最具表现力的功能。所有这些都是为了确保Messenger按照人们期望的方式工作，但现在有了E2EE提供的额外隐私和安全性。随着Meta继续扩大测试规模，其准备推出升级的服务，人们需要更新到最新版本才能访问默认的 E2EE。随着人们将他们的应用程序更新到最新版本的 Messenger，Meta将能够使用额外的隐私和 E2EE 安全性来升级这些对话。     转自安全内参，原文链接:https://www.secrss.com/articles/58328 封面来源于网络，如有侵权请联系删除

苹果公司昨天（8月31日）正式宣布开始接受2024 年iPhone安全研究设备计划的申请，iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。 SRD设备是专门向安全研究人员提供的iPhone14Pro，该设备具有专为安全研究而设计的特殊硬件和软件，以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞，苹果方面都会考虑给予一定的安全漏洞赏金。 研究人员在拿到为期12个月（可续借）的SRD后，可以使用它进行以下操作： 安装和启动自定义内核缓存 使用任何权限运行任意代码，包括以平台和 root 身份在沙盒外运行 设置 NVRAM 变量 为 iOS 17 中新增的安全页面表监控器（SPTM）和可信执行监控器（TXM）安装和启动自定义固件 苹果方面补充称，通过 “安全研究设备计划 “提供的 iPhone 只能由授权人员使用，且不得离开安全研究机构的场所。 设备申请截止至10月31日 从即日起至10月31日，苹果邀请安全研究人员申请 2024 年 iPhone 安全研究设备计划 (SRDP)。与苹果安全团队通力合作，帮助保护用户，找出漏洞即可获得苹果安全赏金奖励。 每年苹果都会通过申请程序挑选出数量有限的安全研究人员获得 SRD，该程序主要基于他们在安全研究方面的记录，包括在 iPhone 以外的平台上的研究记录。 苹果还允许大学申请访问 2024 年 iPhone 安全研究设备计划，将其用作计算机科学课程的教学辅助工具。 所有提交的申请将在今年年底前接受全面评估，并计划在 2024 年初公布中选的参与者名单。 你可以在苹果安全研究设备计划页面上找到更多有关该计划资格的信息，并提交安全研究设备申请。 苹果安全研究计划（SRDP）最早于2019 年启动 苹果安全研究计划（SRDP）于 2019 年上线，研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示，研究人员帮助他们实施了“新颖的修补措施”，以保护 iOS 设备。 在过去的六个月里，计划参与者获得了 37 个 CVE 信用点，为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。 参与 SRDP 的研究人员有资格获得苹果安全奖金。苹果公司已经奖励了来自 SRDP 研究人员的 100 多份报告，并表示“多个奖项”达到了 50 万美元，中位数奖金接近 1.8 万美元。     转自Freebuf，原文链接:https://www.freebuf.com/news/376697.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码，包括政府机关和大企业在内的2000多家企业被曝光。 美国国家安全委员会(NSC)是一家提供工作场所和驾驶安全培训的非营利组织。NSC的数字平台为不同企业、机构和教育机构的近55,000名成员提供在线资源。 然而，该组织网站在长达5个月的时间里都暴露在网络攻击的危险中。Cybernews研究小组发现，公开访问网络目录暴露了数千个凭据。 在泄露的一长串证书清单中，大约有2000家公司和政府机构的员工信息，包括: 化石燃料巨头:壳牌、英国石油、埃克森（Exxon,）、雪佛龙(Chevron) 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD 航空公司:波音公司、美国联邦航空管理局(FAA) 制药公司:辉瑞、礼来 汽车制造商:福特、丰田、大众、通用、劳斯莱斯、特斯拉 政府机构:司法部(DoJ)、美国海军、联邦调查局、五角大楼、NASA、职业安全与健康管理局(OSHA) 互联网服务提供商:Verizon、Cingular、Vodafone、 ATT、Sprint、 Comcast 其他:亚马逊、Home Depot、Honeywell、可口可乐、UPS 这些公司可能在该平台上拥有账户，以获取培训材料或参加国家安全委员会组织的活动。 该漏洞不仅对NSC系统构成了风险，而且对使用NSC服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如VPN门户、人力资源管理平台或公司电子邮件。 此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。Cybernews联系了NSC，并迅速解决了这个问题。 曝光的网页文件夹|来源:Cybernews 对网络目录的公共访问 该漏洞于3月7日被发现。Cybernews研究小组发现了NSC网站的子域名，该域名可能用于开发目的。它向公众公开了其网络目录列表，使攻击者能够访问对网络服务器运行至关重要的大多数文件。在可访问的文件中，研究人员还发现了存储用户电子邮件和散列密码的数据库备份。这些数据被公开访问了5个月，因为IoT搜索引擎在2023年1月31日首次对泄漏进行了索引。 总的来说，备份存储了大约9500个唯一帐户及其凭证，涉及到各个行业的近2000个不同的公司电子邮件域。 泄露的包含用户凭证的表|来源:Cybernews 一个对公众开放的开发环境显示出其开发实践有多糟糕。这样的环境应该与生产环境的域分开托管，并且必须避免托管实际的用户数据，更不应该是公开访问的。 用户表架构|来源:Cybernews 由于大量电子邮件被泄露，平台用户遇到垃圾邮件和网络钓鱼邮件的情况可能会激增。建议用户从外部验证电子邮件中包含的信息，并谨慎点击链接或打开附件。 可破译的密码 被暴露的密码使用SHA-512算法进行杂凑—该算法被认为对密码散列是安全的，另外还使用了一种额外的安全措施—salts。但是，salts与密码散列存储在一起，并且仅使用base64进行编码。这使得潜在的攻击者很容易检索到salts的明文版本，从而简化了密码破解过程。 破解数据库中发现的单个密码可能需要长达6小时的时间，这取决于密码的强度以及攻击者使用的先前泄露的密码或单词组合列表状况。 这并不意味着泄露的数据库中的每个密码都可以被破解，然而其中很大一部分可以被黑客获取。研究表明，80%的成功破解此类密码的概率是相对常见的。 出于这个原因，我们建议拥有NSC帐户的用户在nsc.org网站和使用相同密码的任何其他帐户上更改其密码。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Qakbot是迄今为止规模最大、运行时间最长的僵尸网络之一。8月29日，FBI牵头的一次名为“猎鸭行动”的大规模跨国执法行动成功捣毁了Qakbot的基础设施网络，但也有业界人士担忧FBI的做法带来了“窃听风险”。 最大规模的僵尸网络清除行动 Qakbot僵尸网络是网络犯罪分子中非常流行的网络犯罪工具，用于实施勒索软件、金融欺诈和其他活动。多年来，Qakbot一直充当各种勒索软件团伙及其附属组织的初始感染载体，包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex以及最近的BlackBasta。 Qakbot主要通过包含恶意附件或链接的钓鱼邮件感染受害者计算机。用户下载或单击钓鱼邮件发送的恶意附件或链接后，其计算机将被恶意软件控制成为Qakbot僵尸网络的一部分，Qakbot僵尸网络会向他们的计算机投送其他恶意软件（包括勒索软件）。多年以来，大多数Qakbot受害者都不知道自己的计算机已被Qakbot感染。 据路透社报道，受访安全研究人员表示Qakbot源自俄罗斯，并攻击过从德国到阿根廷等世界各地的组织。自2008年问世以来，Qakbot恶意软件已被大量用于勒索软件攻击和其他网络犯罪，给全球各地的个人、企业、医疗提供商和政府机构造成了数亿美元的损失。 据保守估计，Qakbot僵尸网络（也称为Qbot和Pinkslipbot）与全球至少40起针对公司、医疗提供商和政府机构的勒索软件攻击联系起来，造成了数亿美元的损失。 根据FBI和美国司法部的联合公告，“猎鸭”行动在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国同步进行，是美国主导的对僵尸网络基础设施的史上最大规模的执法行动之一。 “猎鸭行动”扣押了Qakbot网络犯罪组织价值近900万美元的加密货币。根据FBI发布的证据，仅在2021年10月至2023年4月期间，Qakbot管理员就收取了受害者支付的约5800万美元赎金。 虽然大型僵尸网络遭受执法机构的沉重打击后经常“复活”（例如EMonet），但FBI局长克里斯托弗·雷(ChristopherWray)言之凿凿地表示：“FBI消灭了这个影响深远的犯罪供应链，已将其彻底斩断。” 70万台僵尸网络计算机的流量被导向FBI控制的服务器 在启动全球执法行动之前，FBI设法渗透了Qakbot僵尸网络基础设施的一部分（其中包括Qakbort管理员使用的一台计算机），并获得了对Qakbot基础设施的访问权限，发现Qakbot在全球范围已经感染了超过70万台受感染的计算机，其中超过20万台位于美国（50万台分布在全球各地）。 在Qakbot管理员使用的一台（感染Qakbot的）计算机上，FBI找到了许多与Qakbot僵尸网络操作相关的文件，包括Qakbot管理员和同谋之间的聊天内容，以及虚拟货币钱包的信息。 为了彻底捣毁Qakbot的大规模僵尸网络，FBI将Qakbot流量重定向到FBI控制的服务器，并获取了在全球受感染设备上部署卸载程序所需的访问权限。FBI报告称其服务器指示受感染的计算机下载卸载程序文件，进而删除Qakbot恶意软件，并可阻止设备安装任何其他恶意软件。FBI声称此举是为了彻底清除感染并防止部署其他恶意负载。 虽然FBI声称在部署Qakbot卸载工具时通过从受害者计算机收集的IP地址和路由信息通知了受害者，但没有用户在卸载程序从系统中删除恶意软件时收到通知。用户也可以通过在HaveIBeenPwned或荷兰国家警察网站（https://politie.nl/checkyourhack）上提交电子邮件地址来检查是否受到感染。 FBI承诺，自己在主动从受感染的私人系统中删除恶意软件的过程中不会查看或收集任何个人信息。 美国司法部也在本周二的新闻稿中再次强调：“此次执法行动的范围仅限于Qakbot在受害者计算机上安装的信息。它（该行动）没有扩展到修复已安装在受害者计算机上的其他恶意软件，也没有涉及访问或修改受感染计算机所有者和用户的信息。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/AOm2zUCecPK_hWhpwNSZjw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 周二，谷歌公布了一系列新的人工智能技术和合作关系，其中包括名为“Gemini（双子座）”的新旗舰人工智能模型、定制的人工智能芯片、用于识别人工智能艺术品的隐形水印，以及用于工作的其他大型商业驱动的AI工具。 谷歌在周二于旧金山举行的Next会议上宣布了这一消息，此举似乎是为了与OpanAI周一宣布的ChatGPT-4企业平台竞争。 这一系列公告是谷歌最近展示其人工智能计划的一部分，从去年开始，微软就推出了一项雄心勃勃的人工智能战略，让谷歌措手不及。 谷歌表示，其新版本可以将业务和人工智能整合到一个平台上。Genesis将成为GPT-4的直接竞争对手，其计算能力是GPT-4的五倍。 这款大型语言模型是在谷歌的TPUv5芯片上训练的，能够与16384个芯片同时操作。 这家Alphabet旗下的公司计划在2023年12月向公众发布 Gemini模型。 超过100个AI模型 谷歌宣布自己AI基础设施的新版本提高了性能并增加了功能。 该新工具包括“工作区中的Duet AI”，它将帮助客户在其应用程序中使用Docs写作、在Gmail中起草电子邮件，以及在幻灯片中生成自定义视觉效果等。 “我们已经发布，并将继续增强和扩展这个插件，以响应客户的强劲需求。这些工具已经接受了100多万用户的测试。”谷歌表示道。 为了支持企业云服务，谷歌在其集合中增加了20个人工智能模型，使总数达到100个。 AI基础设施包括让谷歌云客户访问Meta平台的人工智能模型LLaMa 2，以及初创公司Anthropic的Claude 2。 谷歌将以每月30美元的价格向企业客户提供其新的人工智能驱动工具。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 去年LockBit 3.0勒索软件构建器的泄漏导致威胁行为者滥用该工具来生成新的变体。 俄罗斯网络安全公司卡巴斯基(Kaspersky)表示，它检测到一次部署了一类LockBit版本的勒索软件的入侵，但索要赎金的程序明显与之前不同。 安全研究人员Eduardo Ovalle和Francesco Figurelli说:“该事件背后的攻击者决定使用不同的勒索信。信的标题与一个从前不为人知的组织有关，名为‘NATIONAL HAZARD AGENCY’。” 新版本的勒索信直接指定了获得解密密钥需要支付的金额，并将通信定向到Tox服务和电子邮件。这与LockBit组织的行为不同，后者没有提到金额，而是使用自己的通信和协商平台。 NATIONAL HAZARD AGENCY并不是唯一使用泄露的LockBit 3.0构建器的网络犯罪团伙。已知利用它的其他组织包括Bl00dy和Buhti。 卡巴斯基指出，它在遥测中共检测到396个不同的LockBit样本，其中312个工件是使用泄露的构建器创建的。多达77个样本在勒索信中没有提到“LockBit”。 研究人员说:“许多检测到的参数与构建器的默认配置相对应，只有一些包含微小的变化。这表明，这些样本可能是出于紧急需求而开发的，也可能是由懒惰的人开发的。” 这一披露是在Netenrich深入研究一种名为ADHUBLLKA的勒索软件毒株之际发布的。该病毒自2019年以来多次更名(BIT、LOLKEK、OBZ、U2K和TZW)，同时针对个人和小企业，以换取每位受害者800至1600美元的小额赔偿。 尽管每次迭代都会对加密方案、赎金笔记和通信方法进行轻微修改，但仔细检查就会发现，由于源代码和基础架构的相似性，它们都与ADHUBLLKA有关。 安全研究员Rakesh Krishnan说:“当一个勒索软件在野外应用成功时，网络犯罪分子通常会使用相同的勒索软件样本—稍微调整一下他们的代码库—来试验其他项目。” “例如，他们可能会更改加密方案、赎金笔记或指挥与控制(C2)通信通道，然后将自己重新命名为‘新的’勒索软件。” 勒索软件仍然是一个积极发展的生态系统，见证了黑客策略的频繁变化。恶意软件越来越多地关注Linux环境，使用Trigona, Monti和Akira等家族。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

根据Perception Point和Osterman Research的最新调查，越来越多的网络犯罪分子在网络钓鱼和BEC（商业电子邮件泄露）等电子邮件攻击中使用了（生成式）人工智能技术，九成受访企业表示已经遭受过人工智能增强的电子邮件攻击。与此同时，越来越多的电子邮件安全解决方案也开始使用人工智能技术来应对此类攻击。 调查显示，91.1%的受访企业表示他们已经遇到过人工智能增强的电子邮件攻击，84.3%的企业预计人工智能将继续被用来绕过现有的邮件安全系统。因此，基于人工智能技术的电子邮件安全防护比以往任何时候都更加重要。 人工智能已经成为电子邮件安全的“刚需” 调查显示，近80%的受访企业认为电子邮件安全是网络安全的三大优先事项之一。但随着时间的推移，传统电子邮件安全方法已被证明效果较差。96.9%的受访者实施了人工智能电子邮件安全方案，因为传统的邮件安全防御措施无法有效应对紧急威胁。 在过去12个月中，认为人工智能技术对于电子邮件防御“极其重要”的受访者比例增加了4倍多。几乎所有受访企业都认为人工智能技术将在电子邮件防御体系中发挥中等或极其重要的作用。 人工智能电子邮件安全的三大趋势如下： 人工智能增强的网络安全技术不仅仅适用于电子邮件：购买人工智能增强邮件安全方案的企业还希望人工智能技术能更好地保护其他通信和协作应用程序，例微软的Teams、SharePoint、OneDrive，以及Zoom、Slack、Salesforce等应用。 没有响应和缓解功能的人工智能检测是误导性的：通过人工智能检测电子邮件中威胁的能力是至关重要的第一步，但不是全部。企业需要培训网络安全专业人员和SOC团队，以充分利用人工智能技术对已识别的安全事件做出快速有效的响应。 企业正在利用新的人工智能工具加强防御：随着电子邮件威胁环境的变化，企业正在实施新的防御。九成受访企业已经在云电子邮件提供商提供的解决方案之外实施了人工智能电子邮件安全解决方案。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/vY4GOZeAjlJtmNNOAht9EQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国政府和国防承包商Belcan将其超级管理员证书向公众开放，一个失误就可能导致严重的供应链攻击。 Belcan是一家政府、国防和航空航天网络承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道，该公司在2022年的收入为9.5亿美元，是40多个美国联邦机构信赖的战略合作伙伴。 5月15日，Cybernews研究小组发现了一个开放的Kibana实例，其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺，但攻击者可能会利用开放的测试结果的漏洞，以及用bcrypt散列的管理凭据。 在开放的Kibana实例中泄露的Belcan数据包含以下内容: 管理员电子邮件 管理员密码(使用bcrypt散列，成本设置为12) 管理员用户名 管理角色(他们被分配到什么组织) 内部网络地址 内部基础设施主机名和IP地址 内部基础设施漏洞和采取的补救/不补救措施。 Bcrypt是一种安全的散列算法，它增加了一层防范攻击者的安全防护。但是，哈希仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。 在这种情况下，攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱，容易受到词汇攻击，则可能在几天内被破解。 攻击者还可以查看该公司修复已发现漏洞的进度。数据显示，并不是所有漏洞都得到了解决。 Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭证，从而使针对组织的潜在攻击变得更加容易和快速。” 最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。 Cybernews向Belcan通报了发现的漏洞，在漏洞发布之前，该公司已经实施了安全措施来解决这个问题。截稿前，Belcan没有发表任何额外的声明。 整个供应链都面临风险 Belcan的泄密给更广泛的组织带来了重大风险。 攻击者可以绕过身份验证机制，访问开放的凭据和其他信息，从而极大地促进组织的破坏。 然后，黑客可以访问敏感的客户信息，包括航空航天、国防公司和政府机构信息。 “这种攻击通常是APT组织在情报收集行动中实施的，目的是窃取专有信息，以使他们能够复制先进产品的设计和程序、获取经济利益等。”研究人员写道。 这些信息对于攻击者来说特别有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至可以破坏政府机构。 Belcan最敏感的客户位于美国，因此，一次成功的攻击将特别关系到美国公民的安全。 泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常具有访问敏感信息的特权，攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。 数据显示，泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。“应该不惜一切代价保护对这些工具的访问。”研究人员警告道。 他们还注意到，泄露数据的条目表明，该公司发现了一些漏洞，但没有修补。 一个成功的供应链攻击的突出案例是发生在2020年的SolarWinds攻击。在这次事件中，俄罗斯政府支持的攻击者渗透到公司的软件开发环境中，并在软件更新中植入恶意代码。这些被攻击的更新随后被发送给数千名客户，其中包括政府机构和大公司。 其他臭名昭著的攻击包括NotPetya、Asus Live Update和Kaseya VSA供应链勒索软件攻击。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文