大半年以来，多个俄罗斯网络单位已经将目标从战略性民用目标转向了士兵的电脑和手机终端，以便在乌克兰前线实现战术性军事目标；俄罗斯情报部门寻求最大限度地整合网络作战与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 安全内参7月26日消息，英国皇家联合军种国防研究所（RUSI）发表了文章《俄罗斯网络战重心转向乌克兰前线》，作者为谷歌云旗下曼迪安特公司网络谍报分析经理Dan Black。该文章认为，俄罗斯对乌克兰的网络作战方法发生了显著变化，攻击目标由民用关基设施转向军事目标，寻求最大限度地整合网络作战能力与常规作战能力。安全内参编译如下。 随着俄罗斯按计划展开主要的夏季攻势，莫斯科在乌克兰的网络作战方法发生了显著变化，而这些变化此前被长期低估。现在正是审视这些变化的最佳时机。 迄今为止，大多数西方分析都集中在俄罗斯发动的第一波次引人注目的网络攻势上，试图剖析攻击方法的优劣，并评估俄罗斯对乌克兰关键基础设施展开新一轮类似性质破坏性攻击的可能性。然而，这些分析的关注点有所偏差，导致西方对俄罗斯网络作战的理解局限于一个维度，认为俄罗斯试图通过广泛破坏计算机网络让乌克兰社会压力不断累积。实际上，这种“打击有价值目标”的策略自俄乌战争的第一年起就不再占主导地位。当时，俄罗斯期望通过短期战争取胜。 现实比想象的更为残酷。俄罗斯情报部门已经调整了他们在网络空间的态势，以应对长期战争的需求。越来越多的证据表明，从2023年乌克兰大反攻前的几个月开始，多个俄罗斯网络单位已经将目标从战略性的民用目标转向了士兵的计算机和移动端点，以便在乌克兰前线实现战术性军事目标。 这种作战重点的转变是全面的。长期以来，俄罗斯军事情报部门总参谋部情报总局（GRU）和国内安全部门联邦安全局（FSB）互相竞争、互不信任。如今，为了提高军事效能，两者统一了之前相互脱节的网络工作，并对一系列作战方法进行了系统性调整。 这只是一种优先级的相对转变，而非对俄罗斯更广泛战略的彻底改革。目前，部分作战活动模式表明俄罗斯仍对乌克兰关键基础设施目标感兴趣。由于这些目标在当下并不具备情报价值，这可能说明俄罗斯正在为未来的破坏行动做准备。然而，显而易见的是，莫斯科已经重新平衡其总体作战概念，将重点放在那些能够为常规部队提供更直接、更具象的战场优势的目标上。 这些调整不仅反映了俄罗斯对乌克兰的野心在缩减，也表明在过去两年冲突升级为消耗战后，俄罗斯改变了对基辅主要力量来源的总体判断。这些变化还表明，经过两年的高强度作战，俄罗斯情报部门已经调整了思维方式，最大限度地整合网络作战能力与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 俄罗斯的战术转变 我们基本可以断定，俄罗斯调整网络战重心，是为了满足对战术相关信号情报日益增长的需求。调整后的网络战工作将主要实现以下目标。 首要目标是渗透乌克兰前线士兵使用的设备。 由于基辅方面非常重视“数据驱动战斗”的理念，智能手机成为确定运动模式和定位乌克兰阵地的重要数据来源。乌军严重依赖免费加密消息应用（EMAs），例如用于安全通信的Signal，因此对这些设备的窃听成为GRU和FSB的首要任务。 对于莫斯科来说，想要大规模收集这些类型的信号并非易事。流行的加密消息应用所使用的密码协议已经经过了严格的公众审查，俄罗斯军情部门很难悄然破解这些协议。前线的手机也不太可能连接到移动网络，否则俄罗斯可以通过入侵电信基础设施或电子战手段可靠地收集地理位置和其他信号。为了填补这一关键的信号收集空白，俄罗斯情报部门必须吸取一些新的作战理念。 第一种方法较为常规，即通过恶意软件全面入侵设备。这些恶意软件通常伪装成乌克兰军队使用的应用程序。这种技术并不新鲜。早在2016年，GRU就篡改了一个乌克兰应用程序，用于定位炮兵单位。但是，随着基辅不断进行软件驱动的军事创新，伪装恶意软件为移动应用的成本大幅上升。为了传递恶意软件，这些行动通常依赖于高度定制的社交工程，重新利用合法的军事通信，并通过Signal和Telegram聊天与目标直接互动以建立关系。 另一种较新的方法则通过常见加密消息应用内置的设备链接功能来窃取消息。一家与俄罗斯军方相关的单位，专注于通过社交工程使乌克兰士兵将由俄罗斯情报控制的加密消息应用实例（包括Signal、Telegram和WhatsApp）链接到他们的账户。类似的FSB行动主要是利用已经链接到乌克兰士兵手机的系统。根据微软的报告，来自FSB主要信号情报单位第16中心的网络操作人员，对窃取包含Signal桌面版消息内的文件特别感兴趣。一旦获得这些文件，他们就可以访问目标的私人Signal对话和附件。 同样，为了获得类似的访问权限，GRU也在通过近距离访问利用俄军在战场上缴获的移动设备和其他系统。这表明，网络操作人员开始通过技术手段使俄军能够独立启动对乌克兰设备的情报收集。 例如，一项Mandiant研究揭示了GRU的特殊技术主要中心（GTsST），即通常所说的APT44或Sandworm，如何为俄罗斯地面部队提供专用基础设施和技术指令，使他们能够从前线俘获的设备中获取Telegram和Signal通信。乌克兰国家安全局（SBU）也同样报告了Sandworm利用俘获的设备作为突破口传送恶意软件“Infamous Chisel”，从而渗透军事网络并从连接的“星链”终端和乌克兰军队使用的专业应用套件中收取数据。 第二大目标是渗透乌克兰军队用于指挥控制、态势感知和其他操作需求的数字系统。 毫无疑问，像Delta和Kropyva这样的数字化战场管理系统一直是乌克兰军队信息和作战优势的关键所在。事实上，莫斯科也认为这些系统非常有效，甚至也在尝试为俄罗斯军队开发精确复制品。与试图伪装成这些应用的恶意软件以入侵端点的行动不同，实现上述目标需要欺骗士兵放弃他们的凭证，从而为俄罗斯军情部门提供秘密视角，混入基辅的通用作战图景。 除了通过专门行动获取乌克兰士兵使用的设备和系统的访问权限，俄罗斯还调整了网络部队的定位，帮助定位乌克兰的军事装备和阵地。SBU警告称，俄罗斯试图控制人口中心的被入侵网络摄像头，以定位乌克兰的防空设施和其他关键基础设施对象，并将目标数据输入其侦察-打击复合体。荷兰军事情报部门也同样警告公众，俄罗斯网络战的整体重心发生了转移，开始强调军事阵地和装备的定位和绘制行动，以便日后实际夺取这些设施。向乌克兰提供援助的国家应该充分考虑这种网络支持的监视活动带来的潜在风险。在欧洲各地不断升级的破坏活动强烈表明，洞悉西方军事供应链目前是俄罗斯情报部门在数据收集方面的优先事项。 值得注意的是，每一条新的作战理念都说明，俄罗斯网络部队与常规部队之间的双向关系不断加深。二者在战争初期的协调工作不断延伸，已经涵盖了战略和战术目标。此外，这些作战理念还说明，在特定行动中，俄罗斯网络部队很可能会向前线靠拢，尝试利用这些移动设备可能提供的短暂战术情报。展望未来，随着战争的继续，我们可以合理预期，二者之间更密切的合作关系将带来进一步的调整和更新的作战理念。 对乌克兰和北约的影响 上述分析对西方决策者的主要启示是，移动设备已经成为俄罗斯在乌克兰网络战中的关键重心。由于俄乌战争前线技术密度高、传感器密布，从士兵设备和连接它们的数字网络收集信号成为重中之重。随着新技术继续塑造战场形态、推动前线的战术创新，这类行动在战争的下一阶段可能会变得更加普遍。 我们需要认识到，俄乌战场的技术环境已经发生了根本性变化。早期关于政府和私营部门支持乌克兰网络防御能力的经验教训不再适用。敏感军事网络和移动设备变得更加模糊，虚拟事件也更加难以响应，准备好提供相应类型安全援助的防御伙伴也更少。尽管乌克兰在防御方面取得了令人印象深刻的成就，但俄罗斯对部队使用方式的调整要求我们重新关注如何才能最好地维持国际社会对乌克兰网络防御的支持。这一点尤其重要，因为其他新兴威胁正越来越多地消耗有限的情报资源和注意力。 同样重要的是，我们必须开始承认，这些间谍行动能够造成严重的次生后果。比如，2023年11月，乌克兰第128山地突击旅遭到致命打击，原因就是俄罗斯入侵了一名士兵的Signal账户。虽然主流观点日益怀疑网络行动能否对俄罗斯带来军事效益，但我们必须认真思考俄罗斯重新调整作战任务会带来哪些影响。鉴于消耗战已成为俄罗斯战略的关键要素，我们还应该思考上述调整对网络在传统军事行动中日益扩展角色意味着什么。 恶意链接设备即使在手机断开连接、被销毁或以其他方式不可用时仍然可以被窃听，这是因为Signal消息不需要通过收件人的手机即可路由到链接设备。因此，即使通信没有到达预期的乌克兰收件人，也能到达俄罗斯操作人员手中。正如一位乌克兰专家所说，如果“一名营级战斗小组的士兵被俘或死亡，他的手机落入敌手，俄罗斯人会在一个月内读取该小组的所有通信”。这些行动可能带来严重的长期影响。 我们还应准备好在乌克兰以外看到俄罗斯应用新的作战理念。如今，Signal和其他加密消息应用已成为敏感通信的标配。这些应用在西方军队、政治家、民间社会团体中得到广泛使用，而这些群体都是俄罗斯情报部门的常见目标。因此，俄罗斯很有可能将为战争开发的战术更广泛地用来获取其他紧急情报。例如，从乌克兰的伙伴那里收集外国政治情报，或者干扰西方即将举行的某场重要选举。历史告诉我们，俄罗斯的技战术很少只用于乌克兰。   转自安全内参，原文链接：https://www.secrss.com/articles/68534 封面来源于网络，如有侵权请联系删除

乌克兰对俄罗斯银行的自动取款机发动了大规模网络攻击，此次网络行动于7月23日开始。 《基辅邮报》报道嘲讽称：“这是克里姆林宫长期渴望的‘进口替代’政策的绝佳时机，即采用木制算盘、纸质储蓄账簿和洞穴壁画进行会计核算。俄罗斯已经承认，在线服务大面积中断是‘出于政治动机的黑客’攻击的结果。乌克兰情报部门告诉我们，攻击仍在继续，远未结束。” 一名乌克兰情报人员告诉《基辅邮报》，此次攻击“势头强劲”。此次黑客攻击是俄罗斯与乌克兰之间更广泛冲突中网络战的一部分。遭到黑客攻击的俄罗斯银行包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank。 许多银行客户在尝试使用 ATM 时，借记卡和信用卡立即被冻结。攻击包括冻结银行支付系统和移动应用程序、导致个人办公室中断以及无法支付公共交通费用。 乌克兰情报部门的一位消息人士向《基辅邮报》透露：“乌克兰国防部总情报局（HUR）的网络专家连续几天对俄罗斯银行业发动了前所未有的攻击。” 乌克兰发动的网络攻击还破坏了俄罗斯移动和互联网提供商 Beeline、MegaFon、Tele2 和 Rostelecom 的服务。黑客还针对流行的在线通讯工具和俄罗斯主要社交网络发动攻击。《基辅邮报》还称，民族国家黑客获得了主要银行数据库的访问权限。 “我们正在尽一切努力加速这一进程，让莫斯科人回到比特币、股票甚至美元对他们的生活没有影响的时代。毕竟，他们根本无法获得这些东西。”乌克兰国防部总情报局（HUR）的一位消息人士告诉基辅邮报。 俄罗斯银行遭受网络攻击的范围 网络攻击导致的业务中断致使多家俄罗斯名银行受到影响，其中包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank 等，客户在使用上述这些银行的自动取款机时均发现了借记卡和信用卡被阻止的情况。此次针对俄罗斯银行的网络攻击还影响了其银行的支付系统和移动应用程序，导致个人银行服务大面积中断，公共交通支付受阻。 一名乌克兰情报人员强调了针对俄罗斯银行的网络攻击的战略意义，指出其目的是破坏俄罗斯的银行业，而银行业在为俄罗斯的军事活动提供资金方面发挥着至关重要的作用。 除银行业外，网络攻击还波及俄罗斯移动和互联网供应商，包括 Beeline、MegaFon、Tele2 和 Rostelecom。在线聊天工具和主要的俄罗斯社交网络也成为攻击目标，这加剧了对数百万俄罗斯公民日常活动的破坏。据报道，乌克兰黑客还入侵了俄罗斯主要银行的数据库，进一步扩大了网络攻击的范围和效果。 此次事件产生的影响 据悉，此次网络攻击事件始于 7 月 23 日（上周二）上午，至今已取得以下成果： 冻结银行支付系统： 攻击导致银行支付系统和移动应用程序瘫痪，使金融交易陷入瘫痪 个人办公中断： 客户的个人银行服务严重中断 公共交通支付终端： 网络攻击禁止了公共交通支付，给日常通勤者带来了不便 移动和互联网供应商服务中断： Beeline、MegaFon、Tele2 和 Rostelecom 都面临服务中断，影响了通信和互联网访问 对在线聊天工具和社交网络的攻击： 流行的在线通信平台和社交网络受到攻击，扰乱了社交互动和信息流 数据库入侵： 乌克兰黑客已进入俄罗斯主要银行的数据库，有可能泄露敏感的金融信息。 这次网络攻击使俄罗斯当局不得不努力减轻损失，恢复受影响服务的正常运行。这次大范围的破坏引发了关于关键金融和通信基础设施在复杂的网络威胁面前的脆弱性的讨论。 此次以金融机构和通信网络为战略目标凸显了现代战争不断变化的性质，在现代战争中，网络能力可以在削弱对手的作战效能方面发挥关键作用。 结语 据乌克兰情报来源显示，此次攻击行动并未结束，后续很可能会产生更具有破坏性的事件。 目前，俄罗斯的银行和服务提供商正在努力从这一前所未有的网络攻击事件中恢复过来，而乌克兰的网络专家很可能将继续致力于破坏对手的金融和通信网络的稳定性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kukxYi6RIdOLYWcHLgT7nA 封面来源于网络，如有侵权请联系删除

安全内参7月24日消息，今年1月中旬，正值隆冬时节，乌克兰利沃夫市的部分居民被迫在没有集中供暖的情况下生活了两天。安全研究人员和乌克兰当局后来得出结论，原因是一家市政能源公司遭受了网络攻击。 美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。 新型恶意软件致使超600栋公寓停暖 Dragos的研究人员在报告中写道，他们在今年4月首次检测到这种恶意软件。当时，除了恶意软件样本外，Dragos没有更多关于FrostyGoop的信息，认为它仅用于测试。然而，后来乌克兰当局向Dragos发出预警称，有证据表明在1月22日晚间至1月23日，这种恶意软件被用于对利沃夫发起网络攻击。 在报告发布前的一次记者电话会议中，Dragos的研究人员Mark Graham（代号“喜鹊”）说道：“攻击导致超过600栋公寓楼在近48小时内失去了供暖。” 乌克兰国家安全委员会的一位发言人通过电子邮件告诉外媒TechCrunch，在攻击发生后，他们“参与制定了应对措施”。 发言人在电子邮件中写道：“因此，网络攻击的影响很快被消除，服务得以恢复。” 发言人证实攻击发生在2024年1月，影响了“利沃夫市超过600户家庭。”发言人还表示，黑客的目标是“LvivTeploEnergo的信息和通信基础设施”，这是一家大型暖气和热水供应商。 Dragos的研究人员Graham、Kyle O’Meara和Carolyn Ahlers在报告中写道：“事件的修复花了近两天时间。在此期间，民众不得不忍受低于零度的气温。” 工控恶意软件正成为重大威胁 这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。 FrostyGoop恶意软件旨在通过Modbus协议与工业控制设备（ICS）交互。Modbus是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。根据Dragos的说法，这意味着FrostyGoop可以用于攻击其他公司和设施。 Graham告诉记者：“目前，至少有4.6万个暴露在互联网上的ICS设备允许使用Modbus。” Dragos表示，FrostyGoop是该公司多年来遇到的第九个专门针对ICS的恶意软件。其中最著名的是Industroyer（也称为CrashOverride）。与俄罗斯政府有关的臭名昭著的黑客组织Sandworm先后利用Industroyer切断基辅的电力、断开乌克兰的电力变电站。 除了针对乌克兰的这些网络攻击，Dragos还发现名为Triton的恶意软件，它先后被部署在沙特一家石化工厂和另一座未知设施。另外，去年Mandiant公司还发现名为CosmicEnergy的恶意软件。 攻击者通过路由器进入网络，国产控制器遭劫持 Dragos的研究人员写道，他们认为控制FrostyGoop恶意软件的黑客首先通过利用暴露在互联网的MikroTik路由器的漏洞访问了目标市政能源公司的网络。研究人员表示，该路由器与其他服务器和控制器没有“充分隔离”。其中一款控制器的制造商是中国公司ENCO。 Graham在电话会议中表示，他们在立陶宛、乌克兰和罗马尼亚发现了处于暴露状态的ENCO控制器。他再次强调，虽然这次FrostyGoop用于利沃夫的定向攻击，但控制该恶意软件的黑客完全有可能会在其他地方发起攻击。 ENCO及其员工未立即回应TechCrunch的置评请求。 研究人员写道：“对手没有尝试破坏控制器。相反，对手让控制器报告不准确的测量结果，导致系统运行错误，无法向客户供暖。” 在调查期间，研究人员表示，他们得出结论认为黑客“可能在2023年4月”首次访问了目标网络，这差不多是他们部署恶意软件并切断供暖之前一年。报告称，在接下来的几个月中，黑客不断访问网络，并在2024年1月22日通过位于莫斯科的IP地址连接到网络。 Graham表示，尽管攻击者IP地址位于俄罗斯，Dragos并未指出哪一家已知黑客组织或政府应对此次网络攻击导致的服务中断负责，因为他们找不到与之前活动或工具的联系，也因为Dragos长期以来并不对网络攻击进行溯源。 不过，Graham指出，他和他的同事们认为这次破坏行动是通过互联网进行的——而不是向设施发射导弹——可能是为了破坏当地乌克兰人的士气。 Graham说：“我认为，这次攻击在很大程度上是一种心理攻击，通过网络手段进行。这种情况下，物理攻击可能并非最佳选项。” 最后，Dragos的首席技术官Phil Tonkin表示，虽然我们不能低估FrostyGoop带来的危害，但同样重要的是不要过分炒作它。他在与媒体的电话会议中说道：“我们必须认识到，这是一个被积极使用的工具。同样重要的是，我们不要认为这个工具能够立即摧毁一个国家的电网。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/pjZbGxwrxS-FvAffOMUM5Q 封面来源于网络，如有侵权请联系删除

ClickBalance一个云数据库暴露在公网，导致7.69亿条记录泄露，其中包括API密钥和电子邮件地址等信息。 安全内参7月25日消息，根据安全研究员Jeremiah Fowler的最新发现，ERP软件提供商ClickBalance拥有的一个包含7.69亿条记录的云数据库未设置任何密码或安全认证，恶意威胁行为者可以轻而易举地访问这些数据。 ClickBalance是墨西哥最大的企业资源规划（ERP）技术提供商之一，提供可以从任何设备访问的ERP工具。ERP工具负责管理和自动化各部门的业务流程，涵盖财务、人力资源、供应链、制造和销售等部门。 Fowler向WebsitePlanet报告了这一问题。该报告指出，该数据库包含了潜在的敏感信息，如访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址。 泄露记录的截图（来源：Jeremiah Fowler） API和密钥的暴露非常令人担忧，因为网络犯罪分子可能利用这些数据未经授权地访问关键系统和敏感数据，进而引发数据盗窃、账号接管、未经授权的交易和服务中断。 电子邮件地址的暴露也带来了潜在的风险。相关风险不仅限于垃圾邮件，因为91%的网络攻击始于钓鱼邮件。犯罪分子可以创建欺骗性电子邮件以窃取个人信息、财务数据和登录凭证。网络犯罪分子获取业务相关的电子邮件地址之后，可能发动有针对性的钓鱼攻击。 目前尚不清楚数据库暴露了多长时间，也不清楚是否有其他人访问过。不过，Fowler指出，对于管理着大量客户、员工和终端用户数据的科技公司来说，数据保护是一大难题。为此，他们设计了企业资源规划（ERP）、客户关系管理（CRM）和持续诊断与缓解（CDM）系统，方便跟踪和管理这些数据。然而，数据泄露可能暴露敏感信息，带来长期的运营和战略风险。 好消息是，Fowler发送了负责任的披露通知，几小时后该数据库限制了公共访问。尽管如此，为了防范这些风险，组织应更改密码并启用双因素认证（2FA）。 同样重要的是，要警惕未经请求的电子邮件和可疑的信息请求。通过访问控制和安全存储实践保护密钥、令牌和其他管理凭证也至关重要。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/K9_67EAtndaO55v90kA5aA 封面来源于网络，如有侵权请联系删除

法国警方与欧洲刑警组织推出大规模U盘消毒方案，可自动清除法国境内设备感染的PlugX僵尸木马。 近日，法国国家宪兵队数字犯罪打击中心（C3N）在法国网络安全公司Sekoia的协助下，与欧洲刑警组织联合推出了一款“消毒方案”，该方案能自动从受感染设备中删除PlugX僵尸网络木马。 “孤儿”僵尸网络在欧洲阴魂不散 据悉，此次行动是在Sekoia公司去年4月接管了一个广泛分布的PlugX变种病毒的命令与控制（C2）服务器后进行的。PlugX是一款被多个黑客组织长期部署的僵尸网络远程访问木马，其新变种会根据恶意活动的操作需求进行修改和发布。 Sekoia曾报告称，一个通过U盘传播的PlugX变种的僵尸网络在原始操作者放弃后继续独立传播，感染了近250万台设备。Sekoia接管了被遗弃的C2服务器，该服务器在六个月内从170个国家接收了250万次独立连接，每天有高达10万次来自感染主机的ping请求。 自毁式消杀方案 为了防止恶意行为者重新控制僵尸网络并恢复感染，Sekoia提出了一种清理机制，向感染设备推送自定义的PlugX插件，发出自毁命令将其删除。此外，研究人员还提出了一种扫描U盘并清除恶意软件的方法。然而，这种方法也存在风险，自动清理U盘可能会导致U盘损坏或数据无法访问。 由于这种“自毁式消杀”方案具有侵入性，并可能导致法律问题，研究人员不敢擅自行动，而是选择与执法部门共享解决方案。Sekoia在4月份的报告中解释说：“鉴于进行大规模消毒活动可能带来的潜在法律挑战，我们决定将是否在各自国家开展大规模消毒工作的决定权留给各国的国家计算机紧急响应小组（CERTs）、执法机构（LEAs）和网络安全当局自行决定。” 法国赶在奥运前展开“消杀”行动 根据C3N的说法，欧洲刑警组织从Sekoia那里获得了消毒方案，并正在与合作伙伴国家共享，以便从各自国家的设备中移除恶意软件。 随着2024年巴黎奥运会的临近，法国当局都处于高度警戒状态，因此在法国发现的3000个系统中存在PlugX的风险被认为是不可接受的。目前除法国外，马耳他、葡萄牙、克罗地亚、斯洛伐克和奥地利等国的执法机构也正从受感染系统中移除PlugX有效载荷。 消毒行动于2024年7月18日开始，预计将持续数月，可能在2024年底结束。法国信息系统安全局（ANSSI）将逐一通知法国受害者清理过程及潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/5PL9D8RSl3Yt8zrCCqb0lA 封面来源于网络，如有侵权请联系删除

在巴黎奥运会前夕，卡巴斯基专家检查了巴黎近 25,000 个可免费访问的 Wi-Fi 网络。该分析发现，25% 的网络加密程度较弱或根本没有加密，导致用户的个人和银行数据容易被盗。只有 6% 的网络使用较新的安全协议 WPA3。 预计将有数千名游客参加巴黎奥运会，这是自取消健康限制以来首次亲自举办的奥运会。作为活动的一部分，卡巴斯基 GReAT（全球研究与分析团队）的研究人员绘制并评估了可供游客使用的公共 Wi-Fi 网络的安全性。 研究人员分析了最受欢迎的旅游景点和奥运场馆*附近发出的 47,891 个 Wi-Fi 信号，从中识别出 24,891 个独特的 Wi-Fi 接入点。这些网络中有四分之一（25%）在网络安全方面存在许多弱点，特别是加密级别太弱，使用户数据面临拦截、解密甚至黑客攻击的风险。 此外，近20%的网络配置了WPS协议，这是一种过时且易被攻击的算法，尤其使这些网络面临WPS攻击，可能导致数据丢失。在所分析的网络中，只有 6% 使用最新的安全协议 WPA3。 “运动员并不是唯一为奥运会做准备的人：网络犯罪分子还准备在酒店、球迷区甚至测试现场设置虚假接入点，迎接今年夏天预计将抵达巴黎的数百万人。 或危害合法网络以拦截和传输数据。配置不良的开放式 Wi-Fi 网络特别受网络犯罪分子欢迎，因为它们使他们更容易窃取密码、信用卡凭证和其他敏感数据。”卡巴斯基 GReAT META 研究中心负责人 Amin Hasbini 评论道。 使用虚拟专用网络 (VPN) 为公共 Wi-Fi 网络的用户提供了额外的安全屏障。 VPN 对互联网连接进行加密，在设备和互联网之间创建安全隧道。这种加密可以防止网络犯罪分子拦截数据，即使在不安全的网络上也是如此。通过隐藏 IP 地址并对所有传输的数据进行加密，VPN 可确保在使用公共 Wi-Fi 时个人和财务信息仍然受到保护。 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5pcJxbTE-ahI1ZAijPHjig 封面来源于网络，如有侵权请联系删除

美国网络安全公司 KnowBe4 表示，其最近聘请的一名首席软件工程师原来是朝鲜黑客，他试图在其设备上安装信息窃取软件。 该公司及时发现并阻止了恶意行为，因此没有发生数据泄露。这起案件凸显了朝鲜黑客冒充 IT 人员的持续威胁，这是FBI 自 2023 年以来多次警告的事情 。 朝鲜拥有一支组织严密的IT 工作者大军，他们隐瞒自己的真实身份，可能受雇于数百家美国公司。 朝鲜黑客利用AI骗过背景调查 在雇用这名“员工”之前，KnowBe4 进行了背景调查，核实了所提供的推荐信，并进行了四次视频面试，以确保他们是真实的人，并且他的脸与简历上的相符。 但后来确定，该人提交了一名被盗的美国人的身份，以逃避初步检查，并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。 KnowBe4 是一家专门从事安全意识培训和网络钓鱼模拟的公司，2024 年 7 月 15 日，其 EDR 产品报告有人试图从刚刚发送给新员工的 Mac 工作站加载恶意软件，因此怀疑出现了问题。 KnowBe4 的一位发言人表示，该恶意软件是一个针对存储在网络浏览器数据的信息窃取程序，而这名恶意员工很可能希望提取在委托给他之前留在计算机上的信息。 攻击者可能为了查找 IT 部门初始配置过程中先前浏览器会话遗留的凭据，或者提取先前发给其他员工的未完成或未正确擦除的笔记本电脑中遗留的信息。 当该公司 IT 人员质问该活动时，这名“员工”最初辩解，但很快就停止了所有通信。 当这些警报到达 KnowBe4 的 SOC 团队时，他们联系了用户，询问异常活动和可能的原因。XXXX回复 SOC 说，他正在按照路由器指南上的步骤排除速度问题，这可能造成了损害。 攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 获取更多详细信息，包括给他打电话。XXXX 表示他无法接听电话，后来没有回应。 KnowBe4 首席执行官 Stu Sjouwerman 在一篇帖子中解释说，该计划涉及诱骗雇主将工作站发送到“IT 电脑农场”，该农场位于诈骗者在其申请表上申报的家庭住址附近。 然后，他们在夜间使用 VPN 连接到该设备，这样看起来就像他们在美国时间工作一样，并正常执行分配给他们的任务。 为了降低这种风险，KnowBe4 建议公司为新员工维护一个与最关键的网络部分隔离的沙盒。 该公司还表示，要确保新员工的外部设备不会被远程使用，并将送货地址不一致视为危险信号。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NqYAPiPcdk4OsVgAG_LkLQ 封面来源于网络，如有侵权请联系删除

随着全球隐私法规的日益严格，跨国企业在网络安全战略上正面临前所未有的挑战。Gartner最新报告指出，隐私法规的实施可能导致全球IT架构的解体，并预测到2027年，至少25%的跨国企业将因数据主权战略而增加业务单位的交付成本，增幅超过一倍。 地缘政治风险与隐私法规驱动的数据本地化 在欧盟的《通用数据保护条例》(GDPR)、中国的《个人信息保护法》以及巴西的《通用数据保护法》等法规的推动下，跨国企业在全球范围内的IT和安全架构正变得日益复杂。这不仅考验了企业的组织结构和运营模式，也对网络安全战略提出了新的要求。 Gartner研究总监陈延全指出：“跨国企业正在采取多种应用和数据本地化战略，以降低合规风险，并在高度监管的市场中建立竞争优势。然而，随着本地化程度的加深，企业的全球IT架构和安全运营也变得日趋复杂。” 图1：隐私驱动的应用和数据本地化 跨国企业网络安全面临的三大挑战 Gartner指出，跨国企业网络安全面临三大挑战，企业安全和风险管理（SRM）领导者必须与法律和合规领域的专家合作，对网络安全计划进行调整，以更好地支持目标市场的业务运营。三大挑战具体如下： 地理分布式应用和数据托管增加数据访问管理的复杂性 随着合规风险和数据本地化要求的持续增加，跨国企业正在转变其应用和数据架构，从传统的中心化和单例设计模式转向组装式架构。这一转变不仅扩大了企业的攻击面，也增加了数据在不同地区分散化带来的风险。要求数据本地化存储的地区拥有较大规模业务的跨国企业，正在对其企业资源规划（ERP）、客户关系管理（CRM）以及数据和分析平台等中心化应用进行解耦。此举扩大了企业的攻击面。数据在不同地区的分散化，增加了攻击者借助物理或远程手段访问数据的风险。 2022年Gartner首席信息官（CIO）和技术高管调研显示，7%的受访者已就打造组装式企业展开了投资，另有61%的受访者预计将在2024年底之前采取这一行动。 多样化的合规要求将推动跨国企业协调安全标准 数据和应用的本地化实施，需要企业在应用开发和部署过程中，对不同司法管辖区的安全标准进行协调。这要求安全和风险管理（SRM）领导者采取系统化方法，整合各类安全标准，创建统一且适应性强的安全框架。实施数据和应用本地化，通常涉及复制应用和数据存储库，或者从相应国家/地区采购应用。针对特定地区的需求对应用进行调整和优化，为企业提供了一个机会，可以将安全要求嵌入应用的开发过程，而不是等开发完成后再行添加。对于存在解耦需求的应用，鉴于不同司法管辖区采用的安全标准可能并不相同，企业必须在应用开发和部署过程中，对不同的安全标准和要求进行协调。 图2：系统化协调和整合安全标准的方法 数据隔离和数据传输管理挑战 应用和数据的本地化导致了数据的碎片化，引发数据隔离和互操作性的挑战。SRM领导者需要采取综合性方法，全面考虑技术和非技术因素，以支持信息在不同地区间的顺畅流动。 陈延全表示：“数据隔离可能会降低信息的保真度、影响业务连续性并阻碍创新。” 此外，云服务和API的使用，增加了跨国企业数据传输管理出现缺口的风险。跨国企业可以通过实施API网关等安全控制措施来降低此类风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qs3pECspXNqkAOxpNUXP0g 封面来源于网络，如有侵权请联系删除

网络安全公司 CrowdStrike 因向 Windows 设备推送有缺陷的更新而导致全球 IT 中断，面临压力。目前，该公司警告称，攻击者正在利用这一情况，以提供修补程序为幌子，向其拉丁美洲客户分发 Remcos RAT。 攻击链涉及分发名为“ crowdstrike-hotfix.zip ”的 ZIP 存档文件，其中包含一个名为Hijack Loader（又名 DOILoader 或 IDAT Loader）的恶意软件加载器，然后启动 Remcos RAT 负载。 具体来说，该存档文件还包括一个文本文件（“instrucciones.txt”），其中包含西班牙语说明，敦促目标运行可执行文件（“setup.exe”）来从问题中恢复。 该公司表示：“值得注意的是，ZIP 档案中的西班牙语文件名和说明表明，此次活动很可能针对拉丁美洲 (LATAM) 的 CrowdStrike 客户”，并将此次活动归咎于一个疑似电子犯罪组织。 周五，CrowdStrike 承认，在 UTC 时间 7 月 19 日 04:09 推送到其适用于 Windows 设备的 Falcon 平台的常规传感器配置更新触发了逻辑错误，导致了蓝屏死机 (BSoD)，令众多系统无法运行，并使企业陷入混乱。该事件影响了运行 Falcon 传感器的客户。 攻击者迅速利用此次事件造成的混乱，建立冒充 CrowdStrike 的域名抢注网站，并向受此问题影响的公司宣传服务，以换取加密货币支付。 建议受影响的客户“确保通过官方渠道与 CrowdStrike 代表沟通，并遵守 CrowdStrike 支持团队提供的技术指导”。 微软表示，此次数字危机导致全球 850 万台 Windows 设备瘫痪，这占所有 Windows 设备的不到 1%。 此次事件再次凸显了依赖单一供应链的风险，标志着历史上最具破坏性的网络事件的影响力和规模首次被正式公开。Mac 和 Linux 设备未受到此次中断的影响。 微软表示：“这一事件表明了我们广泛的生态系统的相互关联性——全球云提供商、软件平台、安全供应商和其他软件供应商以及客户。”“这也提醒我们，对于整个技术生态系统中的所有人来说，使用现有机制优先考虑安全部署和灾难恢复是多么重要。” 英国国家网络安全中心 (NCSC) 警告称，旨在利用此次中断的网络钓鱼信息有所增加。 自动恶意软件分析平台 AnyRun 注意到“冒充 CrowdStrike 的尝试有所增加，这可能会导致网络钓鱼” AnyRun 发现，恶意攻击已开始利用 CrowdStrike 事件来传播 HijackLoader，该程序会在受感染的系统上投放 Remcos 远程访问工具。 为了诱骗受害者安装恶意软件，攻击者将 HijackLoader 负载伪装在 WinRAR 压缩文件中，承诺提供来自 CrowdStrike 的修补程序。 恶意软件加载程序伪装成 CrowdStrike 的修补程序 AnyRun 在另一条警告中宣布，攻击者还以提供 CrowdStrike 更新为幌子分发数据擦除器：“它通过用零字节覆盖文件来破坏系统，然后通过 #Telegram 报告此事。” 虚假的 CrowdStrike 更新会擦除文件 在另一个例子中，AnyRun 指出，网络犯罪分子冒充 CrowdStrike 更新或错误修复传播其他类型的恶意软件。 一个恶意可执行文件通过包含 CrowdStrike 官方更新部分内容的 PDF 文件中的链接传播。该 URL 指向一个名为update.zip的存档，其中包含恶意可执行文件 CrowdStrike.exe。 受害企业还要面临的另一种安全威胁 因为目前几乎所有灾难恢复方案需要受害者手动操作，即删除引发蓝屏的 CrowdStrike 驱动程序。 当完成该步骤后， CrowdStrike 软件处于短暂的防守空白期，用户也可能卸载该软件（比如马斯克一怒之下要求在公司的网络中完全抛弃CrowdStrike 软件）。有研究人员认为，完成此次大规模蓝屏事件的修复工作可能需要耗时数周。这为网络犯罪组织进行新的攻击活动提供了可趁之机。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/b-8jtkq-KG_7PNvZswybqA 封面来源于网络，如有侵权请联系删除

近期，印度加密货币交易所WazirX被黑客入侵，价值超过2.349亿美元的资金被盗。为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。 1 WazirX遭入侵 7月18日，印度加密货币交易所WazirX被黑客入侵。安全平台Cyvers从其多重签名钱包中发现了多笔可疑交易。Cyvers报告称，黑客已将价值超过2.349亿美元的资金转移到新地址。 为了保证剩余资产的安全，目前平台关闭了所有提款。WazirX表示，团队正在积极调查这一事件。尽管此前他们采取了措施来保护客户的资产，但攻击者似乎在盗窃发生之前就已经破坏了他们的安全防护措施。 2 研究人员发声 据悉，在WazirX公开消息前，7月17日晚上多家区块链安全公司例如Elliptic、Arkham和BlockSec等均表示，他们注意到有价值数百万美元的加密货币被非法转移出了WazirX这个平台。 根据Elliptic公司的说法，攻击者已经利用多种去中心化服务将一些代币换成了以太币。Elliptic公司通过审查区块链数据和其他信息，将这次事件归咎于与朝鲜有关联的黑客。 一位知名的加密货币黑客研究人员指出，最近的一次攻击具有“Lazarus Group攻击的潜在特征”。“Lazarus Group”是一个著名的朝鲜黑客组织，他们以擅长进行引人注目的加密货币平台盗窃而知名。 3 安全漏洞引关注 外媒表示，当下网络犯罪分子持续利用加密货币平台中的安全漏洞来进行大规模的盗窃行为。 不久前一个流行的加密货币平台被盗取了大约800万美元。上个月，日本加密货币交易所DMM Bitcoin被盗，损失了价值超过3亿美元的比特币。加密货币平台仍需进一步加强安全措施来保护用户资产。   转自E安全，原文链接：https://www.secrss.com/articles/68248 封面来源于网络，如有侵权请联系删除