安全内参10月8日消息，美国水务公司（American Water Works）昨天（7日）发布声明，表示其供水和废水设施未受到上周开始的网络攻击影响。 该公司昨天向美国证券交易委员会（SEC）提交了相关文件，向公众通报此事件。公司管理层在其网站上警告，由于为遏制此次攻击采取了措施，客户目前无法访问用于管理个人账户和支付水费的门户网站。 根据公司网站上的公告，目前公司的MyWater账户系统已瘫痪，所有客户预约的服务将被重新安排。此外，所有账单处理已暂停，直至另行通知。但是，系统恢复上线之前，不会产生逾期费用或停止服务。 公司的呼叫中心也已无法正常运作。 美国水务公司是美国最大的受监管水务公共事业公司，总部位于新泽西州，为14个州及18个军事设施的约1400万人提供饮用水、废水处理及其他相关服务。公司在其受监管的业务中报告，2023年净收入达9.71亿美元。 疑似勒索软件攻击，OT系统未受影响 在向SEC提交的文件和网站公告中，该公司表示他们于上周四（10月3日）发现了此次攻击。 公司已通知执法部门，并聘请网络安全专家协助“遏制和缓解这一事件的影响”。 声明指出，公司已采取并将继续采取措施保护其系统和数据，包括断开或停用部分系统。 对于公司是否正在应对勒索软件攻击或是否收到了勒索要求，美国水务公司未回应相关评论请求。 SEC文件中写道，公司“目前认为其供水或废水设施及运营未受到此次事件的负面影响”。但他们也指出，尚无法“预测此次事件的全部影响”。 在其网站上，美国水务公司表示，他们正通过断开和停用部分系统来保护客户数据并防止进一步的损害。 截至昨天下午，尚无任何勒索软件团伙或黑客组织宣称对这次针对美国水务公司的攻击负责。 美国水务系统网络威胁形势严峻 美国环境保护署（EPA）和其他联邦监管机构多次尝试加强供水和废水行业的网络安全防护措施。然而，去年相关监管努力因游说反对而被搁置。去年11月，伊朗的国家级黑客攻击了数十家水务公司，再次引发人们对该领域安全问题的关注。 EPA在今年5月的报告中指出，最近的检查显示超过70%的水系统未完全遵守《饮用水安全法》，其中一些“存在关键的网络安全漏洞，例如未更新默认密码、使用容易被攻破的单一登录方式”。 两周前，美国顶级网络安全机构发出警告，指出他们仍在应对“互联网可访问的操作技术（OT）和工业控制系统（ICS）设备持续受到的活跃攻击，目标包括供水和废水系统（WWS）领域的设备”。 在此警告发布前，堪萨斯州的一家水务公司由于网络攻击不得不转为手动操作。 参考资料：https://therecord.media/american-water-works-cyberattack-utility     转自安全内参，原文链接：https://www.secrss.com/articles/70967 封面来源于网络，如有侵权请联系删除

神秘的 Quad7 僵尸网络的运营者正在利用已知和未知的安全漏洞，入侵多个品牌的 SOHO 路由器和 VPN 设备，并积极发展。 根据法国网络安全公司 Sekoia 的最新报告，目标包括 TP-LINK、Zyxel、Asus、Axentra、D-Link 和 NETGEAR 的设备。 研究人员 Felix Aimé、Pierre-Antoine D. 和 Charles M. 表示：“Quad7 僵尸网络运营商似乎正在改进其工具集，引入新的后门并探索新的协议，目的是增强隐身性并逃避其操作中继盒 (ORB) 的跟踪能力。” Quad7，也称为 7777，于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录，强调了该活动集群将 TP-Link 路由器和大华数字视频录像机 (DVR) 诱捕到僵尸网络的模式。 该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名，据观察，该僵尸网络可以暴力破解 Microsoft 3665 和 Azure 实例。 VulnCheck 的 Jacob Baines 今年 1 月初指出：“僵尸网络似乎还感染了 MVPower、Zyxel NAS 和 GitLab 等其他系统，尽管感染量非常小。僵尸网络不仅在端口 7777 上启动服务，还在端口 11228 上启动 SOCKS5 服务器。” Sekoia 和 Team Cymru 在过去几个月的后续分析发现，该僵尸网络不仅攻 击了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器，而且还扩展到攻击开放了 TCP 端口 63256 和 63260 的华硕路由器。 最新调查结果显示，该僵尸网络由若干个集群组成—— xlogin（又名 7777 僵尸网络） – 由受感染的 TP-Link 路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 7777 和 11288 alogin（又名 63256 僵尸网络）——由受感染的华硕路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 63256 和 63260 rlogin – 由受感染的 Ruckus Wireless 设备组成的僵尸网络，这些设备打开了 TCP 端口 63210 axlogin – 一个能够攻击 Axentra NAS 设备的僵尸网络（目前尚未在野外检测到） zylogin – 由受感染的 Zyxel VPN 设备组成的僵尸网络，这些设备开放了 TCP 端口 3256 感染量排名前三的国家是保加利亚、美国和乌克兰。 进一步表明战术演变的是，攻击者现在使用一个名为 UPDTAE 的新后门，该后门建立基于 HTTP 的反向 shell，以在受感染的设备上建立远程控制并执行从命令和控制 (C2) 服务器发送的命令。 目前尚不清楚该僵尸网络的具体目的或幕后黑手。 “关于 7777 [僵尸网络]，我们只看到针对 Microsoft 365 帐户的暴力破解尝试。”Aimé 告诉该出版物。“对于其他僵尸网络，我们仍然不知道它们是如何使用的。” “我们发现攻击者试图通过在受感染的边缘设备上使用新的恶意软件来变得更加隐秘。此举的主要目的是防止追踪附属僵尸网络。” 技术报告：https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MxYNWKVCLZzkOCd4p7V9Jw 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，研究人员提出了一种噪声攻击（NoiseAttack） 的新型后门攻击方法，该攻击被称为是一种用于图像分类的后门攻击，针对流行的网络架构和数据集实现了很高的攻击成功率，并能绕过最先进的后门检测方法。 实验结果表明，该攻击能有效对抗最先进的防御系统，并在各种数据集和模型上实现较高的攻击成功率。它利用白高斯噪声（White Gaussian Noise）作为触发器，创建了一种针对特定样本的多目标后门攻击，可灵活控制目标标签。 与通常针对单一类别的现有方法不同，该攻击使用具有不同功率谱密度的白高斯噪声作为触发器，并采用独特的训练策略来执行攻击，因此只需最少的输入配置就能针对多个类别进行攻击。 不同数据集和模型的攻击性能 这种噪声攻击在研究中被称为是一种用于图像分类的新型后门攻击 ，利用白高斯噪声（WGN）的功率谱密度（PSD）作为训练过程中嵌入的触发器。这种攻击涉及在精心制作的噪声水平和相关目标标签构建的中毒数据集上训练一个后门模型，从而确保模型容易受到触发，导致所需的误分类。 NoiseAttack 后门训练准备的中毒数据集概览 这种攻击为创建具有多个目标标签的后门提供了一种通用方法，从而为试图破坏机器学习模型的攻击者提供了一种强大的工具。 该框架能有效规避最先进的防御措施，并在各种数据集和模型中实现较高的攻击成功率。 通过在输入图像中引入白高斯噪声，该攻击可以成功地将图像错误分类为目标标签，而不会明显影响模型在干净数据上的性能。这种攻击对 GradCam、Neural Cleanse 和 STRIP 等防御机制的较强鲁棒性表明，它有可能对深度神经网络的安全性构成重大威胁。 此外，该攻击执行多目标攻击的能力也证明了它的多功能性和对不同场景的适应性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410518.html 封面来源于网络，如有侵权请联系删除。

近日，美国军方证实美国陆军特种部队（又名绿色贝雷帽）在5月举行的“快速反应24”军事演习中首次展示了在前线阵地使用攻击性网络安全工具的能力。 大型军演惊现Wi-Fi“爆破”技术 在瑞典Skillingaryd地区举行的“快速响应24”是北约近年来规模最大的一场军事演习（超过1.7万名美国军人和2.3万名多国军人参加），期间美军特种作战小队首次与颠覆性网络安全技术进行了深度融合训练。 在此次演习中，美军特种作战小队成功使用远程访问设备（RAD）扫描了目标建筑，以识别运行其安全系统的Wi-Fi网络。 特战小队随后破解了WiFi密码，随后对内部网络进行了详细分析，团队在网络中四处移动，关闭闭路电视摄像头，打开安全门，并禁用其他安全系统。 与此同时，另一支特种作战小队则进行了物理渗透行动。通过高空跳伞，并徒步七英里，他们顺利接近目标建筑。由于前一支小队的网络干扰，他们能够轻松进入大楼，并安放信号干扰设备，以清除行动痕迹，随后迅速撤离。 “我们现在可以通过信号设备接入目标的WiFi网络，监控目标的位置和活动。”一位特种部队成员解释道。“这（RAD）是一种非常实用的工具，它为我们提供了额外的信息视角，让我们能够更清晰地掌握目标情况。” 特战部队的新战场：网络空间 1991年，美国陆军退役上校约翰·柯林斯首次提出了特种作战部队（SOF）的五大核心原则，这些原则不仅明确了特种部队士兵应具备的素质，还为他们如何在战场上取得胜利指明了方向。其中最重要的一条原则便是：“人员比装备更重要”。然而，尽管自1991年以来特种作战部队的能力已经发生了显著变化，人员依然是核心，但推动特种作战演进的关键力量，却是硬件和技术的不断进步。随着科技的迅猛发展，特种部队士兵的综合作战能力得到了极大提升。他们不仅擅长海陆空作战，如今还掌握了一个全新技能——网络空间（攻击技术）。 美国特战部队在演习中反复训练和掌握攻击性网络安全工具使用技巧，正印证了特种作战部队的第二条核心原则——“质量比数量更重要”。 “在实际作战中，这种技术让我们能够获取以前难以获得的重要情报，”INFIL小队的指挥官表示：“如果我们有明确的作战目标，现在可以通过这种隐秘手段获取关键信息，只要我们执行得当，对方将无法察觉。” 特种作战部队第三条核心原则强调，特种作战部队无法通过大规模生产实现。这些网络入侵技术并非特种部队独有，但将其与高空跳伞、隐秘渗透等特种技能结合，则使得特种作战具备了独一无二的能力。 “我们不仅能实时掌控行动全局，还能与其他小队紧密配合，做到精确执行。”网络小队的一位成员说道。 特种作战部队的第四条核心原则指出，精英部队不是草台班子，无法在紧急时刻临时组建。这也是为什么“快速响应演习”如此重要，它为部队成员提供了在陌生环境中预先磨练技能、验证知识的机会。 特种作战部队第五条核心原则强调，特种部队的成功离不开其他部队的支持。虽然网络入侵和干扰技术并非全新概念，但其不断演进，保持对新技术的了解和掌握至关重要。 “这项能力是我们必须不断训练和更新的，因为它发展得非常快。”网络小队成员说道，“我五年前学习这项技术时，设备和技术与现在相比已经是天壤之别，这领域进步得太快了，几乎像是进入了一个全新的世界。” 尽管网络攻击技术在不断变化，美军特种作战部队的五大核心原则依然不可动摇。网络安全新技能与既有实践相辅相成，推动整个特种作战体系的持续演进。通过在“快速响应24”演习中与瑞典等美国盟友及合作伙伴的协作，美军特种作战部队不仅加强了互操作性，还确保能够迅速应对新兴威胁，并在必要时阻止攻击，维持战略优势。 这一切都表明，特种作战的未来，不仅在于强大的硬件支持，更在于通过反复训练和团队协作，不断提升综合作战能力。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/dXVboVsXQ1w2x68hrjf8cw 封面来源于网络，如有侵权请联系删除。

在与机场安全系统相关的应用程序中存在一个有争议的漏洞被披露后，网络安全机构 CISA 做出了回应。 8 月底，研究人员 Ian Carroll 和 Sam Curry 披露了 SQL 注入漏洞的细节，据称该漏洞可能允许攻击者绕过某些机场安全系统。 该安全漏洞是在 FlyCASS 中发现的，FlyCASS 是为参与驾驶舱进入安全系统 (CASS) 和已知机组人员 (KCM) 计划的航空公司提供的第三方服务。 KCM 是一个程序，运输安全管理局 (TSA) 的安全官员用来核实机组人员的身份和就业状况，从而使飞行员和空乘人员能够绕过安全检查。 CASS 允许航空公司登机口工作人员快速确定飞行员是否有权使用飞机驾驶舱折叠座椅，这是驾驶舱中的额外座位，可供上下班或旅行的飞行员使用。 FlyCASS 是一款基于 Web 的 CASS 和 KCM 应用程序，适用于小型航空公司。 卡罗尔和库里发现FlyCASS 中存在 SQL 注入漏洞，该漏洞使他们能够获得参与航空公司账户的管理员访问权限。 据研究人员称，通过这种访问，他们能够管理与目标航空公司相关的飞行员和乘务员名单。他们在数据库中添加了一名新“员工”来验证他们的发现。 “令人惊讶的是，航空公司无需进一步检查或认证即可添加新员工。作为航空公司的管理员，我们可以将任何人添加为 KCM 和 CASS 的授权用户。”研究人员解释道，“任何具备 SQL 注入基本知识的人都可以登录该网站，并将任何人添加到 KCM 和 CASS，这样他们既可以跳过安全检查，又可以进入商用客机的驾驶舱。” 研究人员表示，他们在 FlyCASS 应用程序中发现了“几个更严重的问题”，但在发现 SQL 注入漏洞后立即启动了披露流程。 这些问题于 2024 年 4 月报告给了 FAA、ARINC（KCM 系统的运营商）和 CISA。根据他们的报告，KCM 和 CASS 系统中的 FlyCASS 服务被禁用，并且发现的问题得到了修补。 然而，研究人员对披露过程感到不满，声称 CISA 承认了这个问题，但后来停止了回应。此外，研究人员声称 TSA“就该漏洞发表了危险的错误声明，否认了我们发现的东西”。 美国运输安全局在接受《SecurityWeek》采访时表示，FlyCASS 漏洞不可能像研究人员所说的那样轻易被利用来绕过机场安全检查。 该公司强调，这不是 TSA 系统中的漏洞，受影响的应用程序未连接到任何政府系统，并表示不会对运输安全造成影响。 “今年 4 月，TSA 获悉一份报告称，第三方数据库中存在一个漏洞，其中包含航空公司机组人员信息，通过测试该漏洞，一个未经核实的姓名被添加到数据库的机组人员名单中。政府数据或系统没有受到损害，这些活动也没有对交通安全造成影响。”TSA 发言人在电子邮件声明中表示。 TSA 并不完全依赖这个数据库来验证机组人员的身份。TSA 已制定程序来验证机组人员的身份，只有经过验证的机组人员才允许进入机场的安全区域。TSA 与利益相关者合作，以减轻任何已发现的网络漏洞。 当该消息曝光时，CISA 并未针对这些漏洞发表任何声明。 该机构现已回应了SecurityWeek 的评论请求，但其声明并未对 FlyCASS 缺陷的潜在影响提供太多澄清。 “CISA 意识到 FlyCASS 系统中使用的软件存在漏洞。我们正在与研究人员、政府机构和供应商合作，以了解系统中的漏洞以及适当的缓解措施。”CISA 发言人表示，并补充道，“我们正在监测任何被利用的迹象，但迄今为止尚未发现任何漏洞。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/LZib6CKr144EYLWOHmziWQ 封面来源于网络，如有侵权请联系删除。

本用于红队演练的MacroPack框架，如今正被恶意攻击者滥用，利用其强大的反检测功能来投放恶意负载（包括Havoc、Brute Ratel和PhantomCore等）。据思科Talos安全研究人员分析，MacroPack正被多个国家的威胁者用于发动攻击，涉及来自美国、俄罗斯、中国、巴基斯坦等国家的大量恶意文档。 MacroPack：从安全工具到网络威胁 MacroPack最初由法国开发者Emeric Nasi设计，旨在为红队提供演练和模拟对手行为的工具。其功能包括绕过反恶意软件检测、反逆向技术、代码混淆以及将恶意脚本嵌入文档的能力。 然而，这一框架现已成为攻击者的利器，通过文档加载恶意代码。 思科Talos报告指出，他们在野外捕获了大量使用MacroPack生成的恶意文档。这些文档具有明显的特征，比如基于Markov链的函数和变量重命名、删除注释与多余的空格字符等，旨在降低静态分析检测的成功率。此外，MacroPack Pro版本会在文档中添加特定的VBA子程序，这是攻击者使用该工具的“指纹”。 全球四大攻击集群 思科Talos团队根据地理位置和攻击模式，归纳出滥用MacroPack的四大攻击集群（源头）： 中国：来自中国和巴基斯坦IP地址的恶意文档（2024年5月至7月）指示用户启用宏功能，并传送Havoc和Brute Ratel负载。这些负载与位于中国河南的C2服务器（AS4837）通信。 巴基斯坦：具有巴基斯坦军方主题的文档，上传自巴基斯坦，伪装成巴基斯坦空军的公告或就业确认文档，部署了Brute Ratel恶意软件。攻击者通过DNS over HTTPS和Amazon CloudFront通信，其中一份文档还嵌入了用于Adobe Experience Cloud追踪的Base64编码数据。 俄罗斯：2024年7月，从俄罗斯IP地址上传的一份空白Excel工作簿部署了名为PhantomCore的Golang后门，用于间谍活动。文档包含多阶段VBA代码，试图从远程URL下载后门程序。 美国：2023年3月上传的一份文件伪装为加密的NMLS续签表单，使用了Markov链生成的函数名以逃避检测。文档包含的多阶段VBA代码，在尝试下载未知负载前会检查沙箱环境。 总结：红队工具黑化新趋势 MacroPack的滥用标志着一种新趋势，黑客正越来越多地利用原本用于安全演练的工具发起攻击。尽管MacroPack本身并非恶意软件，但其强大的混淆和反检测能力使其成为网络犯罪分子的利器，未来可能会出现更多此类工具被滥用的案例。 此外，MacroPack框架的滥用表明，黑客正在不断升级他们的工具库，结合先进的反检测技术和社交工程攻击。这一趋势需要全球安全团队加强对文档恶意软件的检测和防御，特别是在处理宏功能和复杂混淆代码的文档时保持高度警惕。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/i8admdYWgZuVD4bU–weeA 封面来源于网络，如有侵权请联系删除。

美国及其盟友已将发动全球关键基础设施攻击的幕后黑手确定为俄罗斯黑客组织（被追踪为Cadet Blizzard和Ember Bear），其幕后黑手是俄罗斯武装部队总参谋部第 29155 部队（又称 GRU）。 在今天发布的联合咨询报告中，俄罗斯 GRU 军事情报黑客被描述为 GRU 第 161 专科训练中心的“初级现役 GRU 军官”，由经验丰富的29155部队领导层协调，他们因于 2022 年 1 月在乌克兰部署 WhisperGate 数据擦除恶意软件而闻名。 该组织自 2020 年以来一直在策划针对整个欧洲的破坏和暗杀行动以及针对北约成员国以及北美、欧洲、拉丁美洲和中亚国家关键基础设施部门的网络攻击，并从 2022 年初开始转而破坏对乌克兰的援助努力。 今年 4 月，《内部人》与《60 分钟》和《明镜周刊》联合发表了 一项调查报告，报告将 GRU 的 29155 部队与哈瓦那综合症事件联系起来。 “自 2020 年以来，29155 部队扩大了他们的间谍技术，包括攻击性网络行动。29155 部队网络行动者的目标似乎包括为间谍目的收集信息、因窃取和泄露敏感信息造成的声誉损害、以及因销毁数据造成的系统性破坏。”今天发布的联合咨询报告称，“这些人似乎通过进行网络行动和入侵获得了网络经验并提高了他们的技术技能。此外，FBI 评估称，29155 部队的网络参与者依赖非 GRU 参与者，包括已知的网络犯罪分子和推动者来开展他们的行动。” 美国联邦调查局称，它检测到了超过 14,000 次针对至少 26 个北约成员国和几个欧盟 (EU) 国家的域名扫描实例。与俄罗斯 29155 部队有关的黑客破坏了网站并使用公共域名泄露被盗数据。 美国国务院宣布通过“正义奖励”计划悬赏高达 1000 万美元，奖励提供有关弗拉基米尔·博罗夫科夫、丹尼斯·伊戈列维奇·丹尼先科、尤里·丹尼索夫、德米特里·尤里耶维奇·戈洛舒博夫和尼古拉·亚历山德罗维奇·柯察金的信息，这五名俄罗斯军事情报官员据信是 GRU 29155 部队的成员。 美国国务院表示：“这些人是俄罗斯总参谋部情报总局（GRU）第 29155 部队的成员，该部队针对美国关键基础设施，特别是能源、政府和航空航天领域进行了恶意网络活动。这些 29155 部队 GRU 军官负责袭击乌克兰和数十个西方盟国的关键基础设施。” 五名 GRU 军官和平民阿明·蒂莫维奇（Amin Timovich，因 WhisperGate 攻击于 6 月被起诉）今天还因参与俄罗斯 2022 年 2 月入侵之前针对乌克兰和 26 个北约成员国的网络攻击而被指控。 美国政府敦促关键基础设施组织立即采取行动，包括优先进行系统更新和修补已知漏洞，以防御这些与 GRU 相关的网络攻击。 其他建议包括网络分段以遏制恶意活动，并对所有外部服务（特别是网络邮件、虚拟专用网络（VPN）和有权访问关键系统的帐户）实施防网络钓鱼的多因素身份验证（MFA）。 2022 年 2 月，在使用WhisperGate 擦除恶意软件、HermeticWiper 恶意软件和勒索软件诱饵对乌克兰进行攻击后，CISA 和 FBI 警告称，破坏性的恶意软件网络攻击可能会蔓延到其他国家的目标。 本周三，美国政府查封了与俄罗斯有关的 Doppelgänger 影响力行动使用的 32 个网络域名，这些域名用于针对美国公众传播虚假信息和亲俄宣传。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8cdbsI4EQexbQD7ulMkpjg 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，一款最初被设计为红队演练之用的工具MacroPack近来正被攻击者滥用并部署恶意负载 Havoc、Brute Ratel 和 PhatomCore ，所发现的恶意文档已涉及多个国家和地区。 MacroPack 是由法国开发人员 Emeric Nasi （dba BallisKit） 创建的专注于红队演习演练和对手模拟的专有工具，提供反恶意软件绕过、反逆技术、使用代码混淆构建各种文档有效负载、嵌入无法检测的 VB 脚本等多项高级功能。 Cisco Talos 的安全研究人员研究了来自美国、俄罗斯和巴基斯坦等国家和地区在 VirusTotal 上提交的恶意文档，这些文件的诱饵、复杂程度和感染载体各不相同，表明 MacroPack 正被多个攻击者滥用，已成为一种潜在的威胁趋势。 这些被捕获的野外样本都有在 MacroPack 上创建的痕迹，包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符（这些字符可将静态分析检测率降到最低）以及字符串编码。 当受害者打开这些恶意Office 文档时会触发第一级 VBA 代码，该代码会加载恶意 DLL，并连接到攻击者的命令和控制 (C2) 服务器。 攻击链 Cisco Talos 的报告了一些与MacroPack 滥用相关的重要恶意活动集群： 美国：2023 年 3 月上传的一份文件伪装成加密的 NMLS 更新表格，并使用马尔可夫链生成的函数名来逃避检测。 该文档包含多级 VBA 代码，在尝试通过 mshta.exe 下载未知有效载荷之前会检查沙盒环境。 装成加密的 NMLS 更新表格 俄罗斯：2024 年 7 月，一个俄罗斯 IP 上传的空白 Excel 工作簿提供了 PhantomCore，这是一个基于 Golang 的用于间谍活动的后门 。 该文件运行多级 VBA 代码，试图从远程 URL 下载后门。 巴基斯坦：从巴基斯坦各地上传了以巴基斯坦军事为主题的文件。 其中一份文件伪装成巴基斯坦空军的通知，另一份伪装成就业确认书，部署了 Brute Ratel 獾。 这些文件通过 HTTPS DNS 和亚马逊 CloudFront 进行通信，其中一个文档嵌入了 base64 编码的 blob 以用于 Adobe Experience Cloud 跟踪。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410268.html 封面来源于网络，如有侵权请联系删除。

为加固互联网路由安全的薄弱环节，美国国家网络安全办公室（ONCD）近日发布了一个提升互联网路由安全的路线图，主要针对边界网关协议（BGP）相关漏洞进行改进。BGP作为全球互联网的基础协议，负责全球超过7万个独立网络间的流量管理，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。 推动RPKI成为全球标准 ONCD路线图中提出了广泛采用资源公钥基础设施（RPKI）的建议。RPKI是由IETF制定的标准框架，能够通过防止路由劫持、路由泄漏和IP资源劫持等手段来提升安全性。通过实施RPKI，互联网服务提供商（ISP）和运营自己的路由网络的企业可以确保BGP公告和路由更新的合法性和安全性，避免数据传输中断或被恶意篡改。国家网络安全办公室呼吁所有网络类型的运营商，包括ISP、企业网络和拥有自己IP资源的组织，尽快采用RPKI标准。特别是对于关键基础设施的运营商、州和地方政府，以及依赖互联网进行“高价值”任务的组织，BGP的安全尤为重要。 白宫国家网络安全主任Harry Coker Jr.在发布报告时表示：“互联网安全事关重大，联邦政府将率先推动BGP安全措施的快速普及。” 除了发布报告，ONCD还设立了公私合作的利益相关者工作组，并共同主持了互联网路由安全工作组。该工作组将制定框架，帮助网络运营商评估风险，优先处理关键的IP地址资源和路由源。 BGP漏洞的安全风险 BGP作为全球互联网的基础协议，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。然而，ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。互联网基础设施提供商Cloudflare指出，全球只有约一半的网络采用了RPKI。过去几年，曾发生过多起重大BGP安全事件，例如： 2021年4月：全球性BGP泄漏事件。这次BGP路由泄漏导致全球数千个网络受到影响。事件的起因是一个错误的BGP路由配置，导致原本不应该被广告的路由被传播到全球，影响了多个国家的互联网连接(。 2022年8月：加密货币服务Celer Bridge的BGP劫持。黑客通过伪造的BGP公告成功劫持了Celer Bridge的加密货币交易，重定向资金到攻击者的账户。此次事件通过更改AltDB数据库的内容欺骗了传输提供商，使攻击者得以冒充亚马逊网络服务（AWS）来进行劫持。 2008年：YouTube被封锁事件。巴基斯坦电信公司（PTCL）通过BGP劫持全球范围内的YouTube流量，试图在国内封锁该服务。虽然该举动本应仅影响巴基斯坦境内的访问，但错误的路由公告传播到了全球，导致YouTube在全世界范围内下线。 这些事件凸显了BGP的脆弱性，无论是有意的攻击还是无意的配置错误，都会导致全球互联网服务中断和安全隐患。 专家们认为，全球互联网路由依赖信任而非安全是不可持续的。 Team8风投集团的首席技术官Eidan Siniver指出：“企业经常在全球站点之间传输敏感数据，而被劫持的路由将带来重大安全风险。网络运营商应当广泛采用RPKI等框架，优先考虑安全而非信任，建立可靠的标准。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/E1rEsgB3GJkByIb5fARVKw 封面来源于网络，如有侵权请联系删除。

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。