据报道，攻击者向卡尔维亚市政府索要 1000 万欧元赎金，该市市长称绝对不会支付，此前西班牙加入了《反勒索软件倡议》。 1 月 17 日，西班牙马略卡岛卡尔维亚市议会宣布，该市于上周六遭受勒索软件攻击，市政服务受到影响。 卡尔维亚坐落于马略卡岛，历史悠久，拥有 5 万人口。卡尔维亚是该岛的旅游热点，年接待游客约 160 万人次。 市政在线服务瘫痪，议会成立危机委员会 上周末，卡尔维亚市各大系统遭受网络攻击，市议会被迫成立危机委员会，负责评估攻击造成的损害，并制定影响缓解计划。 卡尔维亚市发布声明，“上周六凌晨，本市遭受了一次勒索软件网络攻击，攻击者试图勒索市议会。市议会正在努力尽快恢复正常。” 该市市长 Juan Antonio Amengual 表示，一组 IT 专家正在进行取证分析，以估计未经授权访问的程度、恢复受影响的系统和服务。 由于 IT 故障，市政府将指控、申请等所有行政服务的受理截止日期，推迟到 2024 年 1 月 31 日。 如市民急需提交注册文件，仍可以通过西班牙国家综合行政门户网站办理业务。 与此同时，市政府已向警方网络犯罪部门通报这一事件、提交初步取证分析信息，并提出了必要的投诉。 声明末尾，市政府对给市民带来的不便致歉，提醒市民服务热点仍在运营。 声明还表示：“市议会对这种情况可能造成的不便深感遗憾，再次保证将坚定不移地以最有序、快速、高效的方式解决当前情况。” “至少，电话沟通和当面沟通都保持正常。” 攻击者索要 1000 万欧元赎金遭拒 截至本文撰写之时，主要勒索软件团体均未宣布对卡尔维亚市攻击事件负责，因此肇事者身份仍然未知。 不过，当地一家媒体获悉，网络犯罪分子设定了 1000 万欧元的赎金，约合 1100 万美元。 市长告诉当地媒体，市政府在任何情况下都不会支付赎金。 勒索软件对包括小城镇在内的各种规模的实体构成重大风险，这是当今数字领域的一大隐忧。 勒索软件攻击可能使关键的市政服务陷入混乱，严重干扰日常运营和公共服务。如果在旅游旺季发生此类攻击，后果将不堪设想。   转自安全内参，原文链接：https://www.secrss.com/articles/62902 封面来源于网络，如有侵权请联系删除

被称为 ChatGPT 开发商的 OpenAI 近日在达沃斯世界经济论坛上宣布为美国军方开发网络安全技术，并加大对美国选举安全的工作力度。 该公告是在公司政策发生变化之后发布的，该政策此前禁止生成式人工智能模型用于军事目的和创建恶意软件。这些限制现已从 OpenAI 的文件中消失，但该公司强调其技术仍不应用于暴力、破坏或通信间谍活动。 OpenAI 全球事务副总裁 Anna Makanju 在论坛接受采访时提到了与五角大楼在开发开源网络安全软件方面的合作，这次合作必将在该公司的关键产品上留下深远影响。 尽管取消了对 ChatGPT 军事和政治应用的限制，Makanju 确认仍继续禁止使用模型进行武器开发。与此同时，OpenAI 首席执行官 Sam Altman 宣布了一系列措施，以防止生成式 AI 工具被用于传播与选举有关的虚假信息。 值得注意的是，此类声明是在 OpenAI 最大投资者微软做出类似努力的背景下做出的。11 月，雷德蒙德官员宣布了一项保护美国和其他国家选举的五步战略。 根据世界经济论坛的《2024 年全球风险》报告显示，“错误信息和虚假信息”是短期内主要的全球风险。同时，有 56% 的高管认为，生成式人工智能将在未来两年内使攻击者比 IT 防御者更具优势。 然而，我们有理由相信，网络安全领域的共同努力将有助于改善这一状况。那些致力于开发先进人工智能技术的公司已经采取了具体措施，以最大程度地减少潜在的风险。通过全体利益相关者的积极响应，新的发展将显著强化对网络威胁和错误信息传播的保护。   转自安全客，原文链接：https://www.anquanke.com/post/id/292715 封面来源于网络，如有侵权请联系删除

Citrix 强烈建议用户立即修补连接互联网的 Netscaler ADC 和 Netscaler Gateway 设备，以防止与两个新的主动利用的零日漏洞相关的攻击。 这些安全漏洞分别标记为 CVE-2023-6548 和 CVE-2023-6549 ，它们影响 Netscaler 管理界面，并使运行旧版软件的实例容易受到远程代码执行攻击和拒绝服务攻击。 要执行代码，攻击者需要访问低权限帐户以及可访问管理界面的 NSIP、CLIP 或 SNIP。设备必须配置为网关（虚拟 VPN 服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器，否则容易受到拒绝服务攻击。 据该公司称，只有 Netscaler 客户管理的设备才会受到这些漏洞的影响。Citrix 云服务和 Citrix 本身管理的自适应身份验证不受影响。 受这些漏洞影响的 NetScaler 产品版本列表包括： NetScaler ADC 和 NetScaler Gateway 从 14.1 到 14.1-12.35 NetScaler ADC 和 NetScaler Gateway 从 13.1 到 13.1-51.15 NetScaler ADC 和 NetScaler Gateway 从 13.0 到 13.0-92.21 NetScaler ADC 13.1-FIPS 高达 13.1-37.176 NetScaler ADC 12.1-FIPS 高达 12.1-55.302 NetScaler ADC 12.1-NDcPP 至 12.1-55.302 根据威胁监控平台 Shadowserver 的数据，现在大约有 1,500 个 Netscaler 管理界面可以通过互联网访问。 在最近的安全公告中，Citrix 敦促管理员立即更新其 NetScaler 设备以防止潜在的攻击。 该公司警告说，已经观察到在没有适当更新的设备上利用这些漏洞的情况，因此建议 NetScaler ADC 和 NetScaler Gateway 客户尽快安装适当的更新版本。 还建议那些仍在使用已停产的 NetScaler ADC 和 NetScaler Gateway 软件版本 12.1 的用户升级到仍受支持的版本。 无法立即安装最新安全更新的管理员应阻止受影响实例的网络流量，并确保无法从 Internet 访问它们。Citrix 还建议将设备管理界面的网络流量与正常网络流量在物理或逻辑上分开。 另外，公司建议原则上不要将管理界面暴露在互联网上。通过限制此类访问权限，可以显著降低利用此问题的风险。 另一个关键的 Netscaler 漏洞于 10 月份进行了修补，编号为 CVE-2023-4966 （后称为 Citrix Bleed），自 8 月份以来也被各种威胁团体利用，以危害世界各地的政府组织和大型科技公司的网络，例如波音。 医疗保健网络安全协调中心 ( HC3 ) 还发布了全行业警报，敦促医疗保健组织确保其 NetScaler ADC 和 NetScaler Gateway 实例免受不断增加的勒索软件攻击的威胁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292728 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室专家分享了他们分析 iOS 设备的经验，该设备感染了以色列公司 NSO Group 的 Pegasus 恶意软件。已发现恶意软件在系统日志文件 Shutdown.log 中留下痕迹。开发的方法不仅可以帮助检测 Pegasus，还可以帮助检测其他恶意软件，例如 QuaDream 的 Reign 和 Cytrox 的 Predator ，它们在文件系统中使用类似的路径。 Shutdown.log 是 iOS 设备每次重新启动时创建的文本日志文件。它记录有关重新启动时正在运行的进程的信息、它们的标识符和文件系统中的路径。如果某些进程干扰正常重新启动，也会在日志文件中注明。卡巴斯基实验室专家注意到，恶意软件通常从“/private/var/db/”或“/private/var/tmp/”文件夹启动，这些路径可以在 Shutdown.log 中看到。 摘自 Shutdown.log 文件 为了获取日志文件，您需要生成一个 sysdiag 存档，其中包含各种系统日志和数据库。这可以在 iOS 设置中的“设置”>“隐私和安全”>“分析和改进”下完成。sysdiag 存档的大小约为 200-400 MB，可以传输到分析计算机。解压存档后，Shutdown.log 文件位于“\system_logs.logarchive\Extra”文件夹中。 卡巴斯基实验室创建了多个 Python3 脚本来帮助提取和分析 Shutdown.log 文件。使用这些脚本，您可以检测日志文件中的异常情况 – 运行恶意进程、重新启动延迟或文件系统中的异常路径。脚本还可以将日志文件转换为 CSV 格式、解码时间戳并生成分析摘要。 检测 Pegasus 恶意软件实例 专家强调，分析 Shutdown.log 文件并不是检测 iOS 设备上所有恶意软件的通用方法，这种方法取决于用户重新启动设备的频率。他们还在继续跨不同平台更详细地研究日志文件，并希望从其条目中创建更多启发式方法。 卡巴斯基实验室鼓励那些拥有有趣样本、可协助研究的用户通过 intelreports@kaspersky.com 联系该公司。研究人员声称 Shutdown.log 文件不包含任何个人信息，因此可以安全地提交进行分析。 请注意，GrapheneOS 开发团队之前曾提到过通过重新启动智能手机来对抗恶意软件，该团队为 Android 创建了同名操作系统，重点关注隐私和安全。专家建议在 Android 中引入自动重启功能，这将使固件漏洞的利用变得更加复杂。   转自安全客，原文链接：https://www.anquanke.com/post/id/292709 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 台湾最大的半导体制造商之一 Foxsemicon 遭 LockBit 勒索攻击，声称已获取了该公司 5 TB 的数据。 Foxsemicon公司遭到攻击，黑客声称已成功窃取5 TB的数据。威胁称如果公司不支付赎金，黑客将在暗网上公开这些数据。在本次Foxsemicon的攻击中，LockBit采用了非典型的策略，与其通常在勒索网站上公布受害者姓名的做法不同，此次主要是威胁公开数据。 台湾媒体周三报道称，Foxsemicon在向台湾证券交易所提交的声明中提及，在检测到此次攻击后，他们迅速恢复了公司的网站，并目前正在与安全专家合作，初步调查显示该事件“不会对公司的运营造成重大影响”。 然而，截至美国时间周三下午，该公司的网站仍无法访问，而谷歌搜索结果仍然显示黑客的信息，该公司的股价当天在台湾市场下跌了约3%。 Foxsemicon未透露黑客索要赎金的信息，也未确认客户或员工个人信息是否被泄露，母公司鸿海科技集团截至目前未回应子公司遭网络攻击的请求。   消息来源：therecord.media，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

AhnLab Security 警告称，通过网络数据存储进行的攻击日益增多。 韩国发现了一种传播名为Remcos 的远程访问木马 ( RAT ) 的新方法。根据安全智库AhnLab（ASEC）最新的研究数据，攻击者通过伪装成成人游戏的方式，在流行的网络存储服务如 WebHard 中传播恶意软件。 WebHard 是韩国广泛使用的在线存储系统，允许用户上传、下载和共享文件。此前，其他恶意软件也通过类似的服务进行分发，包括 njRAT、UDP RAT 以及用于 DDoS 攻击的各种僵尸网络。 在新的恶意活动中，用户下载据称包含成人游戏的文件，这些游戏实际上运行恶意 Visual Basic 脚本。这些脚本激活一个名为“ffmpeg.exe”的中间二进制文件，该二进制文件反过来从攻击者的服务器下载 Remcos RAT。 Remcos RAT 由德国 Breaking Security 公司于 2016 年开发，最初作为合法的 Windows 远程管理工具，但后来转变为攻击者手中的强大武器。该程序允许对受感染系统进行未经授权的控制和监视，从而使攻击者能够窃取机密数据。 正如 Cyfirma 在 2023 年 8 月发布的分析中指出的那样，Remcos RAT 具有多种功能：记录击键、录制音频、截取屏幕截图以及威胁用户隐私等。该恶意软件能够禁用用户帐户控制 ( UAC ) 并在系统上永久存在，这进一步加大了其对系统的恶意影响。 为了防范此类威胁，建议用户在从未经验证的来源下载文件时要特别小心，尤其是在访问以成人娱乐或游戏应用程序形式呈现的内容时。 网络安全专家强调使用可靠的防病毒程序，并定期更新软件。   转自安全客，原文链接：https://www.anquanke.com/post/id/292685 封面来源于网络，如有侵权请联系删除

Infosecurity 网站消息，近日，卡巴斯基全球研究与分析团队（GReAT）发布了一种新的轻量级方法，用于检测复杂的 iOS 间谍软件，包括臭名昭著的 Pegasus、Reign 和 Predator 等软件。 研究人员重点分析了之前被忽视的取证工件”Shutdown.log”，发现该工件存储在iOS设备的 sysdiagnose 归档中，并记录了每个重启会话的信息。 他们还发现，在系统重新启动的过程中，可以明显观察到与 Pegasus 相关的异常现象，一些与 Pegasus 相关的”粘滞”进程阻碍了系统重新启动，这些发现已经得到了网络安全社区的证实。 而对 Shutdown.log 中 Pegasus 感染的进一步分析揭示了一个常见的感染路径，即”/private/var/db/”，它与 Reign 和 Predator 引起的感染中所见的路径相似。研究人员指出，该日志可用于识别与这些恶意软件组织相关的感染。 卡巴斯基 GReAT 首席安全研究员 Maher Yamout 解释道：“我们通过该日志中的感染指示器，并使用移动验证工具包（MVT）对其他 iOS 证据进行处理，确认了感染情况。因此，该日志将成为综合调查 iOS 恶意软件感染的重要组成部分。” Maher Yamout 进一步表示：“鉴于这种行为与我们分析的其他 Pegasus 感染一致，我们相信该日志可以作为可靠的取证工件，支持感染分析。” 为了增强用户在对抗 iOS 间谍软件方面的能力，卡巴斯基专家还开发了一个自检实用工具，并在 GitHub 上分享了该工具。这个 Python3 脚本适用于 macOS、Windows 和 Linux 用户，方便用户提取、分析和解析 Shutdown.log 工件。 综上所述，考虑到 iOS 间谍软件日益复杂化的情况，卡巴斯基建议采取以下几项措施以减少潜在攻击的威胁。 每天重新启动设备打断潜在的感染，使用苹果的锁定模式并禁用 iMessage 和 FaceTime 功能。 及时更新iOS安装最新的版本补丁，谨慎点击链接，并定期检查备份和系统诊断存档。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389882.html 封面来源于网络，如有侵权请联系删除

国际网络安全公司Group-IB 报告了现已解散的 Inferno Drainer 组织的活动，该组织在 2022 年至 2023 年间创建了超过 16000 个欺诈域名。 攻击者采用高质量的网络钓鱼页面，诱使用户将他们的加密货币钱包连接到欺诈者的基础设施。此攻击利用虚假的Web3协议，欺骗受害者授权交易。 Inferno Drainer 在 2022 年 11 月至 2023 年 11 月期间活跃，通过欺诈手段影响了超过 137,000 名受害者，非法获得逾 8700 万美元。此恶意软件包是通过 Drainer 即服务 ( DaaS ) 模型提供的各种类似产品中的一部分，并收取附属公司收入 20% 的版税。 Inferno Drainer的用户可以将恶意软件上传至他们的网络钓鱼网站，或者利用开发人员创建和托管此类网站，有时只获得被盗资产的30%。 通过对500个恶意域的分析发现，基于JavaScript的恶意软件最初是托管在GitHub上，然后直接集成到网站中。这些网站随后通过Discord、X *等平台传播，向受害者提供免费代币（称为“空投”），并连接到他们的钱包。之后，当交易获得批准时，资产就会被窃取。 最近，诈骗者正在利用这些免费代币引诱信息安全公司Mandiant的订阅者。该公司的个人资料在1月初遭到黑客攻击，并被攻击者用于谋取私利。 预计黑客官方账户的尝试将增加，因为声称来自权威人士的消息可能会激发信心，引诱受害者点击链接，从而将他们的积蓄交给攻击者。 在攻击中，诈骗者使用“seapport.js”、“coinbase.js”和“wallet-connect.js”等脚本名称来伪装成流行的 Web3 协议Seaport、Coinbase和WalletConnect，以进行未经授权的交易。 Group-IB 分析师指出，Inferno Drainer 网络钓鱼网站的一个典型特征是无法使用热键或右键单击打开网站的源代码。这表明犯罪分子试图向受害者隐藏他们的脚本和非法活动。 Group-IB 还表明，Inferno Drainer 的成功可能会引发新的 Drainer 的创建，并增加带有模仿 Web3 协议的欺诈性脚本的网站数量。 专家还强调，尽管 Inferno Drainer 活动已经停止，但这种恶意操作的影响给加密货币所有者带来了严重风险，因为此类攻击方法只会不断改进。   转自安全客，原文链接：https://www.anquanke.com/post/id/292687 封面来源于网络，如有侵权请联系删除

自2023年2月在暗网上首次推出专门的数据泄露网站以来，美杜莎勒索软件家族逐渐加大其网络攻击的力度。相关研究人员称，该组织采用了多重勒索策略，为受害者提供了不同价格的多种选择，如延长时间、数据删除或下载所有数据等。 美杜莎勒索软件家族在2022年底“萌芽”，并在2023年开始“崭露头角”，以对高科技、教育、制造、医疗保健和零售等行业的广泛攻击而出名。据估计，2023年有多达74个组织（主要位于美国、英国、法国、意大利、西班牙和印度）受到勒索软件的影响。 该组织精心策划的勒索软件攻击始于利用面向互联网的资产或具有已知未修补漏洞的应用程序以及劫持合法帐户，通常使用初始访问代理来获得目标网络的立足点。 在网络安全公司观察到的一个例子中，Microsoft Exchange Server被利用来上传Web Shell，然后将其用作安装和执行ConnectWise远程监控和管理软件的管道。 其中一个值得注意的方面是依赖陆上生活（LotL）技术来与合法活动和回避检测相结合。同时还观察到使用一对内核驱动程序来终止安全产品的硬编码列表。 初始访问阶段之后是发现和侦察受感染的网络，最终启动勒索软件以列举和加密所有文件，但扩展名为 .dll、.exe、.lnk 和 .medusa（加密文件的扩展名）的文件除外。 对于每个被感染的受害者，美杜莎的泄密网站都会显示有关组织的信息、要求的赎金、被盗数据公开发布前的剩余时间以及浏览量，以向公司施加压力。 威胁行为者还为受害者提供了不同的选择，所有选择都涉及某种形式的勒索，以删除或下载被盗数据并寻求延长时间以防止数据被释放。 随着勒索软件的商品化和专业化发展，威胁行为者越来越肆无忌惮地发起攻击。他们不仅通过诉诸人身暴力威胁甚至通过专门的公关渠道来公开点名和羞辱组织。据报道，美杜莎不仅有一个专门的媒体团队来处理他们的品牌推广工作，而且还利用一个名为“信息支持”的公共Telegram频道共享受感染组织的文件。 研究人员称，美杜莎勒索软件的出现及其在2023年恶劣行径标志着勒索软件领域的重大发展。他们的操作展示了复杂的攻击手段，利用了系统漏洞和初始访问代理，同时巧妙地避免了通过离地技术进行检测。   转自E安全，原文链接：https://mp.weixin.qq.com/s/EeDUVsImC4EOb-GZ-BoBEA? 封面来源于网络，如有侵权请联系删除

GrapheneOS 团队开发了一个专注于隐私和安全的 Android 操作系统版本，并提出在 Android 中引入自动重启功能。这一功能将使得利用固件漏洞变得更加困难。 该团队最近报告了影响 Google Pixel 和三星 Galaxy 智能手机的 Android 漏洞。当设备处于非活动状态时，该漏洞可用于窃取数据并监视用户。 当设备关闭或打开后未解锁时，设备被视为“静止”。在这种状态下，隐私保护非常高，并且设备的功能受到限制，因为加密密钥尚未被可供安装的应用程序使用。 重新启动后的首次解锁会将许多加密密钥移至缓存中，从而允许应用程序正确运行并使设备从休眠状态唤醒。GrapheneOS 团队指出，使用设备后锁定屏幕并不会使其恢复到静止状态，因为仍然存在一些安全异常。 重新启动设备会结束所有可被利用的临时状态、进程或操作，并需要进行 PIN、密码或生物识别验证等身份验证操作，从而恢复所有安全机制。 GrapheneOS 开发人员没有透露有关他们发现的可利用固件漏洞的详细信息，但他们提出了一个在大多数情况下有效的通用解决方案：GrapheneOS 操作系统中已经存在的自动重启功能。 该功能的目的是通过比用户更频繁地重置所有设备安全系统来最大程度地减少攻击者的机会。GrapheneOS 自动重启系统每 18 小时重置一次设备。 GrapheneOS 发言人解释说，虽然 GrapheneOS 由于硬件限制无法直接修复固件错误，但新功能提供了重启时固件内存擦除功能，并提供了管理 API 改进，可以更安全地擦除设备中的数据。 GrapheneOS 还指出，许多人认为智能手机上的飞行模式可以降低受到攻击的风险，但实际上通常仍然允许通过 Wi-Fi、蓝牙、NFC 和 USB 以太网进行数据交换。根据攻击向量的不同，飞行模式可能不是有效的防御措施。 开发人员还涉及与设备加密和安全系统相关的 PIN 和密码安全主题，因为此类身份验证方法被用作加密设备数据的密钥。使用短 PIN 码和密码来防止隐藏的暴力破解非常重要，这不仅可以解锁屏幕，还可以解锁设备芯片上的受保护区域。 作为 Android 漏洞奖励计划 (VRP) 的一部分，GrapheneOS 团队向 Google 报告了发现的漏洞。该公司正在审查和确定后续步骤。 经常重新启动 Android 或 iOS 设备已被认为是解决过热、内存或通话信号障碍等问题的有效方法。从安全角度来看，此操作可以防止攻击者恢复数据或对不具备有效恢复机制的移动设备造成其他威胁。 因此，GrapheneOS 在 Android 中引入自动重启功能的提议，是基于对该过程作为提高设备安全性手段的重要性的理解。重启不仅有助于解决常见的技术问题，而且还是对抗数据安全和用户隐私潜在威胁的关键要素。   转自安全客，原文链接：https://www.anquanke.com/post/id/292653 封面来源于网络，如有侵权请联系删除