分析人士周四表示，一个伊朗国家支持的黑客组织最近渗透了一家以色列学术管理软件公司，并利用窃取的访问权限恐吓其他以色列组织。 据调查该事件的以色列公司 OP Innovate 发布报告称，此次行动的总体目标似乎是黑客行动，而不一定是经济利益。 OP Innovate 表示，去年 11 月，攻击者入侵了Rashim Software，然后似乎使用在该事件中获得的凭据“渗透到该公司的多个客户，包括众多学术机构”。 Rashim 客户 Rashim 公司是以色列知名企业，为大学和学院提供广泛的软件解决方案。他们的主要产品之一是名为 Michlol 的学生 CRM，该产品被全国各地的学术机构广泛使用。 自 2023 年 10 月伊朗加沙战争爆发以来，以色列网络安全公司一直在密切监视伊朗国家支持的黑客。伊朗是巴勒斯坦组织哈马斯的支持者。 鉴于其一些图形设计选择，OP Innovate 将该团体称为“Lord Nemesis（复仇女神）”。 “从他们的引人注目的网站（其中有一个看起来险恶的黑魔王）到他们的作案手法（包括悄悄渗透网络、窃取数据并逐渐将他们的发现发布到全球网络），该组织的行动经过深思熟虑，旨在最大程度地对受害者施加心理影响。”OP Innovate 说。 OP Innovate 表示，Lord Nemesis 与之前被其他网络安全公司追踪为 Nemesis Kitten 的组织有重叠。这是伊朗支持的几个黑客组织之一，包括Cobalt Mirage、APT35和Charming Kitten。美国政府在宣布2022 年针对与伊朗伊斯兰革命卫队有关的行动实施制裁和采取法律行动时引用了这些内容。 OP Innovate 的报告没有具体说明攻击者最初是如何入侵 Rashim Software 的。但 OP Innovate 表示，入侵者能够绕过 Rashim 通过 Office365 电子邮件向他们提供的多因素身份验证，从而扩展到 Rashim 的客户。 直到 3 月 4 日，黑客仍在向受害者进行恐吓。 OP Innovate 表示：“Nemesis 在网上帖子中准确描述了这次攻击，这对于黑客活动组织来说是一个不寻常的举动。” “这表明他们的直接参与和公开归因的愿望，使这一事件与网络犯罪分子通常实施的出于经济动机的攻击区分开来。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/QA6wvqATxH_UIRjSrlTDCQ 封面来源于网络，如有侵权请联系删除

Bleepingcomputer网站消息，数千个Ivanti Connect Secure和Policy Secure终端仍然易受到一个多月前首次披露的多个安全漏洞的影响。目前，这些漏洞已由供应商逐步修复。 影响终端的漏洞包括CVE-2024-22024、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893和CVE-2024-21888。它们的严重程度从高到关键不等，涉及的问题包括身份验证绕过、服务器端请求伪造、任意命令执行和命令注入问题。在这些漏洞被威胁行为者大规模利用之前，已有报告称一些漏洞被国家支持的威胁行为者所利用。 上周，CVE-2024-22024漏洞首次披露，该漏洞是Ivanti Connect Secure、Policy Secure和ZTA网关的SAML组件中的一个XXE漏洞，它允许威胁行为者在未授权的情况下访问受限资源。 目前，尚未确认有活跃的利用漏洞情况，供应商建议如果没有补丁可用，那么立即应用现有的安全更新或缓解措施至关重要。 Akamai发布的报告中提到，已经针对这一特定漏洞发起扫描，2024年2月11日有24万个请求和80个IP尝试发送有效载荷。 威胁监测服务公司Shadowserver报告称，其互联网扫描显示有3900多个Ivanti终端易受到CVE-2024-22024漏洞攻击，其中大多数（1262个）终端位于美国。该公司观察到大约有1000个Ivanti终端仍然易受CVE-2024-21887漏洞的攻击，它允许经过认证的管理员通过发送特制的请求在易受攻击的设备上执行任意命令。 2024年1月10日，该漏洞与CVE-2023-46805作为零日漏洞被首次披露，后者是一个认证绕过问题。 Macnica的安全研究员Yutaka Sejiyama向BleepingComputer分享了他的Shodan扫描结果，报告显示截至2024年2月15日00:15 UTC，共有13636台Ivanti服务器还未应用针对CVE-2024-21893、CVE-2024-21888、CVE-2023-46805和CVE-2024-21887的补丁。2024年1月31日，Ivanti针对这4个漏洞发布了安全更新版本。 根据研究员的说法，共有24239台Ivanti服务器暴露在互联网上，这意味着超过一半的服务器依然没有打补丁。 关于CVE-2024-22024，该漏洞在2024年2月8日被披露并得到修复，Sejiyama的研究显示，截至2月15日，全球有77.3%的服务器已经打上了补丁，但仍有5496台服务器暴露于这个危险的未授权访问漏洞之下。 不幸的是，影响Ivanti产品的这些漏洞在短时间内被连续披露，管理员几乎没有时间准备并应用这些补丁。这不仅增加了修复工作的复杂性，还提高了Ivanti系统因长时间处于脆弱状态而面临的风险，为威胁行为者提供了大量潜在受害者的清单。   转自Freebuf，原文链接：https://www.freebuf.com/news/391893.html 封面来源于网络，如有侵权请联系删除

Linux基金会今天宣布成立后量子密码学联盟（PQCA），这是一个旨在推进和驱动后量子密码技术采用的倡议。 PQCA由Linux基金会、AWS、思科、IBM、IntellectEU、Nvidia、QuSecure、SandboxAQ以及滑铁卢大学共同创立，将专注于解决量子计算带来的安全挑战。由于量子计算飞速发展，可以预见未来将成为攻击者快速破解安全密钥的杀手锏。一旦量子计算被利用，现有的密码体系将遭遇毁灭性打击，因此在后量子时代保障数据和通信的安全变得至关重要，PQCA致力于解决这一问题。 PQCA联盟将参与开发标准化的后量子算法，旨在帮助寻找支持与商业国家安全算法套件2.0对齐的库和包的组织和开源项目。为了促进后量子密码技术的采用，PQCA将参与各种技术项目，包括开发软件以评估、原型设计和部署后量子算法。 PQCA的创始成员长期以来一直活跃在后量子密码学的标准化工作中，共同撰写了NIST后量子密码学标准化项目选定的首批四种算法，PQCA的工作正是基于这一基础。 PQCA的启动项目包括2014年在滑铁卢大学成立的Open Quantum Safe项目，以及新的PQ Code Package项目，后者旨在开发高保证、生产就绪的后量子密码学标准的软件实现。这两个项目都列在了PQCA的GitHub页面上。 思科公司总监Jon Felten指出：“量子计算提供了解决以前无法解决问题的潜力，同时也威胁到我们认为理所当然的许多数字保护措施。密码学是保护数据、用户、设备和服务的基础。转换到后量子密码学是数字时代最大和最复杂的技术迁移之一。” PQCA的成立大约是在IBM发布了一份路线图一年后，该路线图旨在帮助联邦机构和企业迁移到后量子计算。同样在去年，英国和美国政府机构发布了指南，以帮助组织进行过渡。   转自Freebuf，原文链接：https://www.freebuf.com/news/391747.html 封面来源于网络，如有侵权请联系删除

2023 年，ReversingLabs 在三个主要开源软件平台（npm、PyPI 和 RubyGems）中发现了近 11,200 个独特的恶意软件包。 软件供应链滥用 这些调查结果表明，恶意软件包数量较 2020 年增加了 1,300%，较 2022 年增加了 28%，当时检测到的恶意软件包略高于 8,700 个。 “多年来，我们密切监控软件供应链暴露和攻击的增加。这份新报告反映了恶意软件在开源和商业平台上的扩散。” ReversingLabs 首席执行官Mario Vuksan说道。“仅依赖遗留应用程序安全性的企业将继续成为受害者。事实上，我们预计软件开发流程将持续面临重大风险，风险和升级流程将成为监管机构的重点关注点。” mlicious npm 包显著下降 PyPI 平台上的威胁每年增加 400%，2023 年前三个季度发现了 7,000 多个恶意 PyPI 软件包实例。其中绝大多数被归类为“信息窃取者”。主要包管理器（npm、PyPI 和 RubyGems）中存在超过 40,000 个泄露或暴露开发秘密的实例。 与 2022 年全年发现的恶意 npm 软件包相比，2023 年前三个季度的恶意 npm 软件包实例减少了 43%。 过去 12 个月里，软件供应链攻击也降低了复杂性并提高了可访问性。ReversingLabs 编制的数据显示，供应链攻击的进入门槛在去年稳步降低，一切都表明这种情况将在 2024 年继续下去。 软件供应链攻击不再只是民族国家行为者的领域，越来越多地由低技能的网络犯罪分子实施，使用开源软件包支持商品网络钓鱼活动就证明了这一点，这些网络钓鱼活动提供统包式自动化攻击，用于促进盗窃受害者数据。威胁行为者已经认识到如何滥用软件供应链中的薄弱环节来支持有针对性和不加区别的活动。 暴露的身份验证凭证仍然是首要挑战 登录凭证、API 令牌和加密密钥等数字身份验证凭证的暴露是恶意行为者的重要目标，也是 2023 年的一项重大挑战。通过定期扫描 npm、PyPI、RubyGems 等平台， ReversingLabs 发现，身份泄露继续困扰着流行的应用程序和托管平台，例如 Slack、AWS、Google、微软的 GitHub 存储库和 Azure 云。 在这四个开源平台上检测到的 40,000 多个身份验证凭证中，Npm 占 77%，即 31,000 个。在 npm 上检测到的身份验证凭证中，56% 用于访问 Google 服务，而 9% 则用于访问亚马逊的 AWS 云服务。 该研究在 PyPI 上发现了类似的模式，占 2023 年观察到的泄露身份验证凭证的 18%。在这些情况下，用于访问 Google 服务的令牌仅占检测到的身份验证凭证的 24% 以上。与 AWS 相关的身份验证凭证约占 PyPI 上发现的身份验证凭证总数的 14%。 软件供应链攻击预计将激增 ReversingLabs 研究表明，2023 年软件供应链风险的变化格局将继续改变 2024 年的网络安全格局。即使恶意供应链参与者的方法和偏好不断变化，针对开源和商业第三方代码的威胁和攻击也将继续增长。 预计网络犯罪分子和黑客都会倾向于最有可能成功的平台和技术。在备受瞩目的攻击之后，软件生产商和最终用户组织应该会看到持续的高标准披露要求以及来自联邦政府的更有针对性的指导，包括在保护软件供应链时使用 SBOM。 “由于缺乏足够的可见性，软件生产商及其客户无法发现开发管道中代码篡改和滥用的迹象或隐藏在编译的软件工件中的威胁。到 2024 年，如果组织不解决威胁，我们预计软件供应链攻击将会升级。”Vuksan 补充道。 “企业必须从对软件完整性的盲目信任转向能够验证软件并确保其不存在重大风险的经过验证的工具和流程。这包括扫描他们构建或购买的任何软件中的原始代码和编译的二进制文件的能力，以查找可能表明恶意软件和篡改实例的行为和无法解释的更改。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292865 封面来源于网络，如有侵权请联系删除

进入 2024 年，Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。 Gcore发现，过去三年，DDoS 峰值攻击流量每年的增幅都超过了100%，2021年DDoS攻击峰值流量为300Gbps，2022 年增至650 Gbps，2023 年 Q1-Q2 季度再次增至800 Gbps，2023 年Q3-Q4季度增至1600 Gbps (1.6 Tbps)。 2021-2023年度DDoS峰值攻击流量趋势（Gcore） 值得注意的是，2023 年下半年的跳跃意味着网络安全行业正在以新单位 Terabit（TB） 来衡量 DDoS 攻击。这说明 DDoS 攻击的潜在损害正在显着且持续升级，Gcore预计这一趋势将在 2024 年持续下去。 主要结果概览 攻击持续时间 研究报告发现，DDoS攻击时长从三分钟到九小时不等，平均约为一小时。通常，短时间的攻击更难检测，这是由于数据稀缺，无法进行适当的流量分析，而且由于更难识别，因此也更难缓解。更长时间的攻击需要更多的资源来对抗，需要强大的缓解响应，否则存在服务器长时间不可用的风险。 Gcore记录的最长DDoS攻击持续了9个小时（Gcore） 主要攻击类型 在主要攻击类型中，UDP flood继续占据主导地位，占 DDoS 攻击的 62%。TCP flood和 ICMP 攻击也仍然很流行，分别占总数的 16% 和 12%。所有其他 DDoS 攻击类型，包括 SYN、SYN+ACK Flood 和 RST Flood，合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法，但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。 2023 年下半年主要攻击类型占比（Gcore） 主要攻击源分布 攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。Gcore 在 2023 年下半年发现了多个攻击来源，其中美国位居第一，占 24%。印度尼西亚（17%）、荷兰（12%）、泰国（10%）、哥伦比亚（8%）、俄罗斯（8%）、乌克兰（5%）、墨西哥（3%）、德国（2%）和巴西（2%）位列前十，这说明全球面临着广泛的威胁。 攻击源地理位置占比（Gcore） DDoS 攻击源的地理分布为制定有针对性的防御策略和制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用 IP 欺骗等技术以及分布式僵尸网络的参与，确定攻击者的位置具有一定难度。 目标行业 游戏行业仍然是受影响最严重的行业，遭受了 46% 的攻击。银行和博彩服务在内的金融行业位居第二，占 22%。电信（18%）、基础设施服务行业（7%）和计算机软件公司（3%）也成为重点目标。 受影响行业占比分布（Gcore） 这些行业分布与Gcore的上一份报告大致相同，攻击者对游戏和金融领域特别感兴趣，这些行业一般具有较好的经济收益和用户基础，同时凸显了在受打击最严重的行业中需要有针对性的网络安全策略的必要性。 分析及结论 2023 年下半年的数据显示了 DDoS 攻击令人担忧的趋势。尤其是峰值攻击增加到了令人震惊的 1.6 Tbps，这标志着组织必须做好准备应对不断高升的威胁水位。相比之下，即使是“不起眼的”300 Gbps 攻击也能够禁用未受保护的服务器。结合攻击源的地理分布，DDoS 威胁是一个严重的全球性问题，需要国际合作和情报共享，以有效减轻潜在的破坏性攻击。 攻击持续时间的范围表明攻击者变得更具战略性，针对特定的目标和目标调整他们的方法。例如在游戏领域，攻击的威力和持续时间相对较低，但更为频繁，会对特定服务器造成反复破坏，目的是破坏玩家体验，迫使他们切换到竞争对手的服务器。对于经济影响更为直接的金融和电信行业来说，攻击的数量往往较多，且长度变化很大。 游戏、金融行业、电信和基础设施服务行业的持续攻击反映了攻击者的战略选择，因为攻击导致的业务中断都会对其经济和运营产生重大影响。 Gcore的报告及时提醒人们要积极应对不断变化的网络威胁。跨部门的组织必须投资全面且适应性强的网络安全措施，以确保其能力领先于 DDoS 威胁，同时还能够敏锐地了解网络攻击者不断变化的模式和策略。   转自Freebuf，原文链接：https://www.freebuf.com/news/390469.html 封面来源于网络，如有侵权请联系删除

安全公司 Trellix 发现了 一种新型、复杂的基于 Java 的信息盗窃工具，该工具使用 Discord 机器人从受感染的主机窃取敏感数据。 该恶意软件名为 NS-STEALER，通过 ZIP 存档分发，伪装成破解软件。ZIP 文件包含一个恶意 Windows 快捷方式文件（“Loader GAYve”），充当部署恶意 JAR 文件的管道。该文件首先创建一个名为“NS-<11-digit_random_number>”的文件夹来存储收集的数据。 存档内容 在创建的文件夹中，恶意软件随后存储从 20 多个网络浏览器中窃取的屏幕截图、cookie、凭据和自动填充数据、系统信息、已安装程序列表、Discord 令牌、Steam 和 Telegram 会话数据。然后，收集到的信息会传输到机器人的 Discord 频道。 感染链 研究人员指出，恶意软件利用复杂的功能来收集敏感信息，并且通过使用支持身份验证的 X509Certificate 功能，在J ava 运行时快速从受害者系统中窃取信息。使用 Discord 机器人通道作为事件监听器来接收过滤后的数据在活动中也很有效。   转自安全客，原文链接：https://www.anquanke.com/post/id/292819 封面来源于网络，如有侵权请联系删除

周五，微软宣布了遭遇了一次网络攻击。此次攻击据称是由 APT 组织 Midnight Blizzard 发起的，渗透了微软的多个电子邮件帐户，包括“负责网络安全、法律和其他职能的高级管理层和员工”的电子邮件帐户。 有趣的是，黑客的目标并不是客户数据或传统的公司信息。据微软称，这次攻击的目标是获取有关他们自己的信息——即找出微软对 Midnight Blizzard 组织的了解。 微软表示，黑客使用了“密码喷射攻击”技术，使他们能够访问一小部分公司电子邮件。该公司没有透露有多少账户被黑客入侵，也没有透露黑客可以获得哪些信息。 此次攻击并非由微软产品或服务中的漏洞引起。目前没有证据表明黑客已获得对客户环境、生产系统、源代码或人工智能系统的访问权限。微软承诺在需要采取任何行动时会通知客户。 针对这一事件，微软强调需要加快努力提高安全性。该公司表示，打算立即将当前的安全标准应用于微软系统和内部业务流程，即使这可能导致现有流程中断。 微软建议采取多种预防措施，包括使用防网络钓鱼的身份验证方法以及遵循 Microsoft Teams 的安全最佳实践。 公司强烈提醒用户警惕社会工程和凭证盗窃攻击，包括不要在未经请求的消息中输入 MFA 代码。   转自安全客，原文链接：https://www.anquanke.com/post/id/292779 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 堪萨斯州立大学（Kansas State University，简称 K-State）遭遇了一起网络安全事件，导致其部分网络和服务受到影响。 2023 年 1 月 16 日，K-State 大学宣布其某些网络系统出现故障，包括 VPN、K-State Today 邮件以及 Canvas 和 Mediasite 上的视频。 该大学立即对此事件展开调查。 “我们能够确认，这些中断是最近一次网络安全事件的结果，因此，我们希望您知道这些受影响的系统已经被下线，并将在调查继续的过程中保持下线。”大学在其网站上发布的消息中写道。“这还包括一些共享驱动器和打印机，以及大学的列表服务器。” 堪萨斯州立大学（Kansas State University，简称KSU、Kansas State或K-State）是一所位于堪萨斯州曼哈顿市的公立土地授予研究型大学。该大学被分类为“R1：博士大学 – 非常高的研究活动”。 堪萨斯州立大学的学术课程由九个学院管理，包括兽医学院和 Salina 的技术与航空学院。提供的研究生学位包括 65 个硕士学位项目和 45 个博士学位项目。 目前，堪萨斯州立大学拥有 20,000 名学生，并有超过 1,400 名学术教职工成员。 KSU 建议其工作人员和学生报告任何可疑活动。 2023 年 1 月 17 日，大学宣布电子邮件将于 1 月 18 日（星期四）以临时格式恢复。 2023 年 1 月 18 日，KSU Wireless 仍然不可用，大学建议在此期间使用 KSU Guest 进行无线连接。 截至目前，堪萨斯州立大学尚未提供有关安全漏洞的详细信息。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。 美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。 TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。 据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 noreplyeicher@ttibi.co.in 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。 研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。 “noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。 在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。 此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。 Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。 据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。   消息来源：securityweek，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Rapid SCADA 开源工业自动化平台受到多个漏洞的影响，这些漏洞可能允许黑客访问敏感的工业系统，但这些漏洞仍未修补。 美国网络安全机构 CISA 上周发布了一份公告，向工业组织通报 Claroty 研究人员在 Rapid SCADA 中发现的 7 个漏洞。 Rapid SCADA 被宣传为开发监控和控制系统的理想选择，特别是工业自动化和 IIoT 系统、能源核算系统和过程控制系统。 该产品受到 7 种类型的漏洞影响，根据 CISA 的通报，这些漏洞可用于读取敏感文件、远程执行任意代码、通过网络钓鱼攻击访问敏感系统、提升权限、获取管理员密码以及访问与应用程序内部代码相关的敏感数据。 其中一个漏洞被归类为“严重”，另外两个漏洞被归类为“高严重性”，尽管开发人员已于 2023 年 7 月上旬收到通知，但截至目前尚未发布相应的补丁。 CISA 和 Claroty 表示，他们试图与 Rapid SCADA 的开发人员联系，但未能成功。该开发商还未回应《SecurityWeek》的置评请求。 Claroty 的漏洞研究员 Noam Moshe 告诉《SecurityWeek》，由于其免费和开源的特性，Rapid SCADA 已在现代运营技术（OT）生态系统的许多不同领域得到广泛应用，对于中小型公司来说是一个不错的选择。 Moshe 指出，未经身份验证的黑客可以利用其中一些漏洞进行远程代码执行，并且有几十个可直接从互联网访问的 Rapid SCADA 实例，使组织容易受到攻击。 研究人员解释说：“我们发现的漏洞使黑客能够快速在 SCADA 服务器上实现远程代码执行，这意味着黑客可以完全控制这些服务器。” “成功利用漏洞后，黑客可以修改Rapid SCADA 服务器控制的服务行为，并在受害者网络内进行横向移动等操作。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292767 封面来源于网络，如有侵权请联系删除