网络安全公司 ESET 敦促 Windows 10 用户升级到 Windows 11 或 Linux，以避免出现“安全灾难”，因为这款已有 10 年历史的操作系统将于 2025 年 10 月停止支持。 ESET 安全专家 Thorsten Urbanski 解释道：“现在距离 2025 年的安全灾难只有五分钟的差距了。” “强烈建议所有用户不要等到 10 月，而是立即切换到 Windows 11，或者如果他们的设备无法更新到最新的 Windows 操作系统，则选择其他操作系统。否则，用户将面临相当大的安全风险，并容易受到危险的网络攻击和数据丢失。” 2025 年 10 月 14 日，除非用户购买扩展安全更新，否则 Windows 10 将不再获得操作系统的免费安全更新。意味着 Windows 10 用户将面临任何新发现的漏洞风险，这可能会导致严重漏洞利用和恶意软件传播。 据 ESET 称，德国约有 3200 万台计算机运行 Windows 10，约占家庭所有设备的 65%。相比之下，只有 33% 的德国设备运行 Windows 11，即约 1650 万台设备。 StatCounter 支持这些数据，截至 2024 年 12 月，全球几乎 63% 的 Windows 用户都在使用 Windows 10，而使用 Windows 11 用户约 34%。 Steam硬件和软件调查为 Windows 11 游戏玩家描绘了一幅更好的图景，截至 2024 年底，54.96% 的游戏玩家使用 Windows 11，而只有 42.39% 的游戏玩家使用 Windows 10。 游戏玩家往往站在硬件的最前沿，经常升级他们的组件和设备，以便以良好的性能玩最新的游戏。 企业和其他消费者往往落后，因为他们的旧电脑仍然运行良好，而且还没有真正的升级需要。 这次 Windows 版本过渡比用户从 Windows 7 迁移时的情况更糟，因为在 Windows 7 终止支持之前，几乎 70% 的用户都在使用 Windows 10。 “现在的情况比 2020 年初结束对 Windows 7 的支持时更加危险。” Urbanski 解释道：“ 2019 年底，只有大约 20％ 的用户仍在使用 Windows 7，超过 70％ 的用户已经在使用新版 Windows 10。当前的情况极其危险。网络犯罪分子非常了解这些数字，只是在等待支持结束的那一天。” 许多 Windows 10 用户一直犹豫是否升级到 Windows 11，因为新操作系统缺少流行功能、性能问题以及 TPM（可信平台模块）TPM 硬件要求，这阻碍了某些旧设备升级。 问题变得更加严重的是，许多旧设备运行 Windows 10 和 Windows 11 都没有问题，但由于缺少 TPM 而无法使用。 微软表示，Windows 11 TPM 要求是“不可协商的”，因为它支持许多安全功能，例如操作系统如何存储加密密钥和保护凭据，并与安全启动和 Windows Hello for Business 集成。 对于无法将设备升级到 Windows 10 的用户，微软向企业和消费者提供了扩展安全更新 (ESU)。不过，这些更新并不便宜。 希望获得延长安全更新的企业可以享受三年的优惠，第一年收费 61 美元，第二年收费 122 美元，第三年收费 244 美元。三年内 Windows 10 设备上的 ESU 总价为 427 美元。 微软还为消费者提供为期一年的 ESU 计划，每台设备售价 30 美元。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FH_aPEmcpKM8-AEhZFaTGw 封面来源于网络，如有侵权请联系删除

随着2024年的落幕，全球网络安全领域经历了一系列深刻变化和挑战。这一年，我们见证了网络攻击的规模和复杂性达到了前所未有的水平，从勒索软件的全球肆虐到数据泄露事件的惊人规模，网络安全事件的频发不仅考验了各国的安全防御能力，也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显，一方面，它被用作增强网络防御的利器，另一方面，它也成为网络犯罪分子的新武器。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2024年备受关注的网络安全热点事件，排名不分先后。它们不仅定义了这一年的网络安全态势，也预示着未来的趋势和挑战。 1、Ivanti的零日漏洞被大规模利用 2024年1月，Ivanti公司披露了两个影响其Ivanti Connect Secure VPN（前称Pulse Secure）和Ivanti Policy Secure设备的零日漏洞。这两个漏洞允许攻击者绕过身份验证并执行命令注入，进而可能导致未授权的远程代码执行（RCE）和内部网络的横向移动。 CVE-2023-46805：这是一个认证绕过漏洞，攻击者可以通过路径遍历来绕过访问控制检查。 CVE-2024-21887：这是一个命令注入漏洞，允许具有管理员权限的认证用户发送特殊构造的请求并在设备上执行任意命令。 攻击者，被称为UNC5221或UTA0178，利用这些漏洞在野外进行攻击。他们使用多个自定义恶意软件家族，在某些情况下，通过在设备内对合法文件进行木马化来植入恶意代码。这些漏洞的影响非常广泛，因为Ivanti Connect Secure作为SSL-VPN解决方案，对于潜在攻击者来说是一个极具吸引力的目标，它们寻求进入企业内部网络的入口点。如果被破坏，可能会给恶意行为者提供进入敏感组织系统和数据存储库的立足点。因此，了解和加强围绕Ivanti Connect Secure的安全措施对于保护潜在网络威胁和入侵至关重要。 在漏洞被披露后，美国网络安全和基础设施安全局（CISA）发布了紧急指令，要求所有联邦机构在2024年2月2日之前断开受影响的Ivanti产品与网络的连接，并在已经受到威胁的情况下执行额外的取证分析和清理步骤。Ivanti也发布了补丁，以解决所有受影响产品的安全问题。 这次事件显示了攻击者对新发现漏洞的迅速利用能力，增加了各行业面临的安全风险，特别是对于那些依赖于VPN解决方案来保护网络访问的组织。这也强调了及时应用安全补丁和维护强大的网络安全措施的重要性。 相关阅读： https://hackernews.cc/archives/49790 2、超大规模数据泄露事件曝光 2024年1月，网络安全领域遭遇了一次前所未有的挑战，研究人员揭露了一起涉及260亿条记录的超大规模数据泄露事件。这次泄露的数据不仅数量惊人，而且来源多样，包括了多家国际知名企业和机构，如Twitter、Adobe、LinkedIn等。泄露的数据种类繁多，涵盖了大量个人身份信息、账户凭证、电子邮件地址和电话号码等敏感信息，对全球网络安全构成了严重威胁。 这一事件由网络安全专家Bob Diachenko及其团队发现。初步调查显示，泄露的数据来源复杂多样，既有多个先前已泄露的数据库和历史数据，也包括通过非法渠道收集的信息。泄露数据的存储方式和数量表明，这些数据可能由网络犯罪分子或数据经纪人收集，并与跨境数据交换及恶意组织的合作有着密切联系。这一事件不仅暴露了个人隐私和敏感信息的安全风险，也凸显了全球数据保护和网络安全管理的紧迫性和重要性。 相关阅读： https://hackernews.cc/archives/49414 3、勒索团伙LockBit遭执法机构重锤 2024年2月，一个名为“克洛诺斯行动”（Operation Cronos）的联合执法行动在全球范围内对臭名昭著的勒索软件组织LockBit发起了毁灭性的打击。这次行动由11个国家的执法机构共同参与，包括美国、法国、英国等，取得了显著的成果。 在这次行动中，两名LockBit的运营者在波兰和乌克兰被捕，执法部门扣押了超过200个可能包含受害者支付的勒索金的加密钱包。此外，执法部门从查获的LockBit服务器中获取了超过1,000个解密密钥，并基于这些密钥开发了一个免费的解密工具，供受害者恢复加密文件。LockBit的服务器和基础设施被查获，其数据泄露站点也被接管，用于发布解密工具和悬赏通知。 法国和美国司法当局针对其他LockBit威胁行为者发出了三份国际逮捕令和五项起诉书。此次全球行动由英国国家犯罪局(NCA)领导，并在欧洲由欧洲刑警组织和欧洲司法局协调。欧洲刑警组织表示，为期数月的行动最终成功捣毁了LockBit组织犯罪活动所依赖的主要平台和其他关键基础设施。 这次行动的成功不仅展示了国际合作在打击网络犯罪方面的力量，也为全球网络安全领域树立了一个重要的里程碑。通过这次行动，执法机构不仅重创了LockBit的基础设施，还获取了大量情报，包括与其合作过的组织信息以及利用LockBit服务危害全球网络安全的信息。这些成果对于预防未来的网络犯罪活动和保护全球网络安全具有重要意义。 相关阅读： https://hackernews.cc/archives/50030 https://hackernews.cc/archives/50057 4、联合健康集团子公司Change Healthcare遭到勒索软件攻击 2024年2月，美国医疗支付服务提供商Change Healthcare遭受了一起严重的勒索软件攻击事件，导致约1亿人的个人信息受到影响。这次攻击由臭名昭著的勒索软件组织ALPHV/BlackCat声称负责。攻击者通过从缺乏多因素认证的Citrix门户获取的被盗凭证访问了Change Healthcare的系统，并在网络中潜伏了大约九天，未被发现，随后部署了勒索软件。 此次攻击干扰了超过100个Change Healthcare应用程序，包括牙科、药房、医疗记录、临床服务、注册、收入和付款等多个应用程序服务中断，影响了全国范围内的计费、保险索赔处理、处方药交付等关键功能。由于系统被加密，许多医院和药房无法正常处理索赔和接收付款，导致医疗服务中断。此外，攻击还导致了大量敏感数据被盗，包括个人身份信息、医疗记录、账单记录和保险数据等。 与此次攻击相关的总成本预计超过24.5亿美元，包括赎金支付、恢复工作和法律责任。据报道，Change Healthcare支付了2200万美元的赎金，尽管这一支付并未阻止另一个名为RansomHub的组织进行进一步的敲诈。这次攻击不仅对Change Healthcare造成了巨大的经济损失，也对美国医疗保健系统的正常运作造成了严重影响。 相关阅读： https://hackernews.cc/archives/50120 https://hackernews.cc/archives/51728 https://hackernews.cc/archives/56184 5、Snowflake被黑导致165家企业数据泄露 Snowflake数据泄露事件是2024年春季发生的一系列针对使用Snowflake云存储服务的组织的大规模数据泄露。根据谷歌Mandiant的报告，至少有165家组织受到了影响，包括Ticketmaster、Advance Auto Parts、Santander等知名企业。这些泄露事件并非由于Snowflake自身的环境问题，而是由于客户凭证被泄露，且许多受影响账户没有启用多因素身份验证（MFA）。 攻击者，被Mandiant归因于UNC5537，是一个以经济动机为驱动的威胁行为者，涉嫌从Snowflake客户环境中窃取大量记录。他们通过窃取的客户凭证入侵Snowflake客户实例，并在网络犯罪论坛上发布出售受害者数据的广告，试图敲诈受害者。UNC5537主要位于北美，另有一名成员在土耳其。 这次事件不仅对Snowflake造成了财务损失和声誉损害，还引发了多起针对Snowflake及其他受影响公司如AT&T、Santander Bank、Ticketmaster、Lending Tree和Advanced Auto Parts的集体诉讼。此外，受影响组织的员工数据，如用户名、密码和独特的网络地址也受到了影响。泄露的数据包括个人身份信息，如姓名、地址、信用卡信息和用户名。 Snowflake在识别出导致泄露的原因后，通知了其客户，并建议他们实施MFA以防止未经授权访问其数据库。这一事件强调了多因素身份验证在强大网络安全策略中的重要性。如果所有第三方承包商都实施了MFA，黑客就不会获得访问Snowflake系统的机会。 相关阅读： https://hackernews.cc/archives/53057 6、戴尔公司数据安全事件 2024年5月，戴尔科技集团（Dell Technologies）遭受了一起重大的数据泄露事件，影响了约4900万用户。一名自称为Menelik的黑客在网络犯罪论坛上声称拥有包含4900万条戴尔客户记录的数据库，并试图出售这些数据。这些记录涉及自2017年至2024年间购买戴尔产品的客户。 泄露的数据包括客户的姓名、实际家庭住址、选购的戴尔产品和订单详情以及服务标签、商品描述、订购日期和相关的保修信息等。戴尔公司强调，被盗信息中不包含任何财务或付款信息、电子邮件地址或电话号码。数百万客户面临潜在的身份盗窃和钓鱼攻击风险。此次泄露还削弱了客户对戴尔保护客户数据能力的信任。戴尔因泄露事件面临巨大的财务损失，包括调查、补救、法律费用和潜在的监管罚款。公司股价在披露后也出现了下跌。 戴尔数据泄露事件强调了组织必须持续投资于强大的网络安全措施以保护敏感数据免受不断演变的威胁，实施主动监控系统以实时检测和响应潜在泄露，以及在危机期间与客户和利益相关者进行开放和诚实的沟通对于维护信任和最小化损害至关重要。 相关阅读： https://hackernews.cc/archives/52293 7、《纽约时报》重大数据泄露事故 2024年6月，《纽约时报》揭露了一起严重的数据泄露事件，其严重性在于泄露的数据规模和敏感性。一名匿名黑客在4chan论坛上公开了大约270GB的数据，这些数据包含了约360万个文件。泄露的数据不仅包括《纽约时报》网站和移动应用程序的源代码，还涵盖了内部工具的敏感信息，这些信息对于保护新闻机构的网络安全至关重要。 这次数据泄露事件对《纽约时报》来说是一个重大打击，因为它不仅暴露了其技术基础设施的脆弱性，还可能危及到其记者和员工的安全。源代码的泄露可能会导致未来的网络攻击更加针对性和有效，因为攻击者可以利用这些信息来发现和利用系统的安全漏洞。 此外，这一事件也凸显了即使是全球知名的新闻机构也可能成为网络犯罪的目标，这进一步强调了加强网络安全措施的重要性，以及对内部数据进行更好的保护和管理的必要性。《纽约时报》和其他组织必须从这次事件中吸取教训，加强其网络安全防御，以防止未来发生类似的数据泄露。 相关阅读： https://hackernews.cc/archives/53066 8、微软蓝屏故障横扫全球 2024年7月，全球范围内发生了一起严重的IT系统故障事件，主角是美国网络安全企业CrowdStrike的一次错误更新。这次更新导致全球超过850万台Windows设备出现“蓝屏”死机现象，影响范围极广，包括航空公司、铁路运输、金融机构、广播电台、医疗机构、支付系统等关键基础设施。具体来说，CrowdStrike Falcon Sensor的一个关键更新导致了Windows系统出现大面积BSOD（蓝屏死机）错误，这不仅影响了个人用户，还对企业运营造成了严重影响。 此次事件中，包括美国航空、达美航空和联合航空在内的主要航空公司报告了严重的中断，航班停飞，值机系统无法运行，许多乘客被困或面临严重延误。此外，全球有4.1万个航班被推迟，逾4600个航班被取消，经济损失以十亿美元计算。CrowdStrike的美股盘前跌超13%，微软跌2%，CrowdStrike市值一夜蒸发近百亿美元，创2022年以来最差单日表现。 中国企业在这次蓝屏风波中相对“独善其身”，背后原因是众多关系国计民生的行业普遍使用国产终端安全防护软件，国产网络安全防护产品以更加可靠、稳定和智能的本土特色广泛服务于广大政企客户。这次事件不仅给全球IT基础设施的韧性与安全性带来了深刻检验，也凸显了全球对少数供应商软件依赖所构成的严重风险，一旦出现问题，后果可能比不运作的后果更严重。 相关阅读： https://hackernews.cc/archives/54253 9、AT&T客户敏感信息泄露 2024年7月，美国电信巨头AT&T遭遇了一起重大的数据泄露事件，影响了约1.09亿名客户的敏感信息。这次泄露的数据主要托管在Snowflake云服务公司，包括了客户手机和固定电话的号码、通话和短信记录，以及通话时的位置信息。值得注意的是，虽然泄露的数据不包括通话或短信的内容、社会保障号码、出生日期或其他个人身份信息，但这些元数据仍然可能被用来追踪用户的行为和联系。 AT&T在4月19日得知了这次数据泄露事件，并发现其与3月的一起安全事件无关。被盗的数据涉及2022年5月1日至2022年10月31日六个月期间的记录，以及2023年1月2日以来少数客户的记录。这次泄露事件被追溯到Snowflake平台上的AT&T工作区，并未影响AT&T的网络。目前，尚不清楚AT&T出于何种原因将客户数据存储在Snowflake中。 面对这一严峻的形势，AT&T迅速启动了内部及外部调查，并与执法部门紧密合作。目前至少有一名涉案人员被捕。同时，公司正在采取措施关闭非法接入点，以努力遏制数据泄露的进一步扩散。此次事件再次将美国电信行业的客户数据保护问题推向风口浪尖，引发了公众对个人信息安全的深切忧虑。 相关阅读： https://hackernews.cc/archives/53763 https://hackernews.cc/archives/53815 10、黎巴嫩传呼机、对讲机两轮爆炸 2024年9月，黎巴嫩经历了一场前所未有的安全危机，一系列与对讲机和传呼机相关的爆炸事件震惊了全球。这些爆炸主要针对黎巴嫩真主党成员，造成了数十人死亡和数千人受伤。爆炸事件分为两个阶段：第一阶段为寻呼机爆炸，第二阶段为对讲机爆炸。在寻呼机爆炸发生后的24小时内，对讲机也发生了爆炸，许多爆炸发生在因寻呼机爆炸事件而聚集的人群中，包括葬礼和医院。 据报道，以色列情报机构摩萨德涉嫌在黎巴嫩真主党订购的寻呼机内安放了爆炸物，这些寻呼机的电路板经过特殊设计，难以被检测到异常。当这些寻呼机接收到特定代码时，就会被引爆。这种将日常通讯工具转变为致命武器的行为，不仅展示了技术“双刃剑”的特性，也暴露了全球供应链安全的重大漏洞。 这一事件引起了国际社会的广泛关注和强烈反响。各国政府对遇难者表示哀悼，并对黎巴嫩政府表示支持，同时呼吁彻查事件真相，严惩幕后黑手。联合国等国际组织也表达了对地区紧张局势加剧的担忧，并呼吁各方保持克制，共同维护中东地区的和平与稳定。黎巴嫩传呼机、对讲机两轮爆炸事件不仅是一次针对特定组织的攻击，更是对全球供应链安全和平民生活安全的一次警示。 相关阅读： https://hackernews.cc/archives/55523 https://hackernews.cc/archives/55544 11、美国国家公共数据公司（NPD）敏感信息泄露事件 美国国家公共数据公司（NPD）遭遇的敏感信息泄露事件是2024年最严重的数据安全事件之一。NPD是一家背景调查公司，主要从非公开来源收集个人身份信息（PII）。今年4月，NPD遭受了网络攻击，导致29亿条个人记录被泄露，这被认为是历史上第二大数据泄露事件。泄露的信息包括社会安全号码、姓名和地址等敏感数据。黑客USDoD在地下论坛上出售这些数据，声称拥有与29亿人相关的个人数据。 这次泄露的数据量巨大，涵盖了2019年至2024年间的信息，总计达到277.1GB。这些数据的泄露不仅对个人隐私构成了严重威胁，也可能被用于身份盗窃和金融欺诈等犯罪活动。由于无法产生足够的收入来解决潜在的负债及相关费用，加之医疗机构等客户禁止有背景问题的企业提供服务，NPD最终由其母公司Jerico Pictures于10月2日向佛罗里达州南区法院申请破产。 NPD的数据安全管理漏洞暴露了其在保护敏感信息方面的不足，包括未及时修补的软件缺陷和不严密的访问控制机制。这一事件凸显了处理个人敏感数据的组织在全球范围内面临的数据安全挑战，以及加强数据保护措施的紧迫性。 相关阅读： https://hackernews.cc/archives/55839 12、网络安全迎来 AI 新挑战 2024年，随着人工智能领域的不断进步，AI和深伪技术被黑客利用发起更大规模、更复杂且难以检测的攻击，黑客进行身份伪造、欺诈活动等行为变得更加容易和高效。比如通过深伪技术生成的虚假视频或音频可以欺骗用户，使其相信是真实可信的信息来源，从而实施诈骗。此外，AI算法还可以自动分析大量数据，寻找目标人群的弱点，并定制个性化的钓鱼邮件或社交媒体消息，提高攻击的精准度和成功率。这种新型的诈骗方式不仅对个人用户构成威胁，也给企业和政府机构带来了巨大的安全挑战。例如，2024年3月，在一起针对德国数十家机构网络钓鱼活动中，研究人员发现攻击者使用的 PowerShell 脚本很有可能由AI辅助创建。 AI的崛起无疑为网络安全领域带来了前所未有的挑战，仿佛打开了潘多拉的魔盒。在不远的未来，我们预期将会见证更多借助于AI技术进行的攻击事件，这些攻击将更加复杂、难以预测和防御。同时，这也迫切要求防御领域采取积极的改进措施，以应对这一新兴威胁。 相关阅读： https://hackernews.cc/archives/51536 https://hackernews.cc/archives/55750 https://hackernews.cc/archives/56188       数据来源 https://hackernews.cc/，转载请注明出处

HackerNews 编译，转载请注明出处： 美国卫生与公共服务部（HHS）民权办公室（OCR）提议对医疗机构实施新网络安全规定，以保护患者数据免受网络攻击。 该提案旨在修订1996年《健康保险流通与问责法案》（HIPAA），作为加强关键基础设施网络安全广泛行动的一环，OCR指出。 新规将通过升级HIPAA安全标准，强化电子保护健康信息（ePHI）的安全防护，以“更有效地应对医疗行业日益严峻的网络安全挑战。” 据此，提案要求医疗机构审查技术资产清单和网络图，识别电子信息系统潜在漏洞，并建立72小时内恢复特定电子信息系统及数据的流程。 其他关键条款包括：每年至少实施一次合规审计，确保静态及传输中的ePHI加密，强制采用多因素认证，部署反恶意软件保护，并清理电子信息系统中的冗余软件。 《拟议规则通知》（NPRM）还要求医疗实体实施网络分段，建立备份与恢复技术控制，至少每六个月进行一次漏洞扫描，及每年至少一次渗透测试。 此举措出台之际，医疗行业正频繁遭受勒索软件攻击，不仅造成经济损失，还因破坏诊断设备和患者医疗记录系统访问，危及患者生命。 微软2024年10月指出，医疗组织因存储高度敏感数据而成为勒索软件攻击目标，但更大风险在于可能承担的巨额财务赔偿。 勒索软件事件还导致周边医疗设施不堪重负，因急需治疗的患者涌入而无法及时响应。 据网络安全公司Sophos数据，2024年67%的医疗机构遭遇勒索软件攻击，较2021年的34%显著上升，主要归因于漏洞利用、凭证泄露及恶意邮件。 其中，53%的机构在数据被加密后支付了赎金以恢复访问，赎金中位数达150万美元。 同时，勒索软件攻击后的恢复时间也在延长，仅22%的受害者在一周内完全恢复，远低于2022年的54%。 Sophos首席技术官John Shier表示：“医疗信息的高度敏感性和对即时访问的需求，使医疗行业始终成为网络犯罪分子的攻击目标。遗憾的是，许多医疗组织准备不足，恢复时间不断延长。” 上月，世界卫生组织（WHO）将针对医院和医疗系统的勒索软件攻击视为“生死攸关”，呼吁国际社会共同应对这一网络安全威胁。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据Fortinet FortiGuard 实验室的最新发现，网络安全研究人员标记了两个恶意软件包，这两个恶意软件包已上传到 Python 软件包索引 (PyPI) 存储库，并具备从受感染主机窃取敏感信息的功能。 这两个名为zebo和cometlogger 的软件包在被下架之前分别吸引了 118 次和 164 次下载。根据 ClickPy 的统计数据，这些下载大部分来自美国、中国、俄罗斯和印度。 安全研究员 Jenna Wang 表示，Zebo 是“恶意软件的典型例子，具有用于监视、数据泄露和未经授权的控制的功能”，并补充说 cometlogger“还显示出恶意行为的迹象，包括动态文件操纵、webhook 注入、窃取信息和反 [虚拟机] 检查”。 这两个软件包中的第一个 zebo 使用混淆技术（例如十六进制编码字符串）来隐藏通过 HTTP 请求与之通信的命令和控制 (C2) 服务器的 URL。 它还包含大量用于收集数据的功能，包括利用 pynput 库捕获击键和利用 ImageGrab 每小时定期抓取屏幕截图并将其保存到本地文件夹，然后使用从 C2 服务器检索的 API 密钥将其上传到免费图像托管服务 ImgBB。 除了窃取敏感数据外，该恶意软件还通过创建批处理脚本在机器上设置持久性，该脚本启动 Python 代码并将其添加到 Windows 启动文件夹，以便在每次重新启动时自动执行。 另一方面，Cometlogger 功能丰富，可以窃取各种信息，包括来自 Discord、Steam、Instagram、X、TikTok、Reddit、Twitch、Spotify 和 Roblox 等应用程序的 cookie、密码、令牌和帐户相关数据。 它还能够收集系统元数据、网络和 Wi-Fi 信息、正在运行的进程列表以及剪贴板内容。此外，它还包含检查以避免在虚拟化环境中运行，并终止与 Web 浏览器相关的进程以确保不受限制的文件访问。 Jenna Wang 说：“通过异步执行任务，该脚本可以最大限度地提高效率，在短时间内窃取大量数据。” “虽然某些功能可能是合法工具的一部分，但缺乏透明度和可疑功能使其执行起来不安全。在运行代码之前务必仔细检查，并避免与来自未经验证来源的脚本进行交互。”       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FOgDVffQIhU4SBJe3cVOZA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Sophos发布了热修复程序，修复了其防火墙产品中的三个安全漏洞，这些漏洞可能被利用来实现远程代码执行，并在特定条件下允许特权系统访问。 其中两个漏洞的严重性被评为“关键”，但截至目前，没有证据表明这些漏洞已被大规模地利用以进行攻击。以下是漏洞的详细信息： CVE-2024-12727 (CVSS评分：9.8)：在电子邮件保护功能中存在一个未经身份验证的SQL注入漏洞，攻击者如果启用了特定配置的Secure PDF eXchange（SPX），并且防火墙运行在高可用（HA）模式下，可能导致远程代码执行。 CVE-2024-12728 (CVSS评分：9.8)：在高可用（HA）集群初始化过程中，由于建议的非随机SSH登录密码短语，存在一个弱口令漏洞，即使在HA建立过程完成后，该密码仍然有效，从而暴露了特权访问帐户（如果SSH已启用）。 CVE-2024-12729(CVSS评分：8.8)：在用户门户中存在一个身份验证后代码注入漏洞，允许经过身份验证的用户获得远程代码执行权限。 该安全厂商表示，CVE-2024-12727 影响大约0.05%的设备，而 CVE-2024-12728 影响约0.5%的设备。这三种漏洞都影响Sophos Firewall 21.0 GA（21.0.0）及更早版本，修复版本如下： CVE-2024-12727 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2） CVE-2024-12728 – v20 MR3、v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2） CVE-2024-12729 – v21 MR1及更新版本（修复v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3） 为了确保热修复程序已应用，用户被建议执行以下步骤： CVE-2024-12727 – 从Sophos防火墙控制台启动设备管理>高级Shell，运行命令“cat /conf/nest_hotfix_status”（如果值为320或更高，则表示已应用热修复程序） CVE-2024-12728 和CVE-2024-12729  – 从Sophos防火墙控制台启动设备控制台，运行命令“system diagnostic show version-info”（如果值为HF120424.1或更高，则表示已应用热修复程序） 作为临时解决方法，直到应用补丁，Sophos建议客户将SSH访问限制为仅通过物理隔离的专用HA链路，和/或重新配置HA，使用足够长且随机的自定义密码短语。 用户还可以采取的另一个安全措施是禁用WAN上的SSH访问，并确保用户门户和Web管理界面不暴露在WAN上。 这一安全修复发生在约一周前美国政府对中国公民关天峰提出指控之后，该指控称关天峰利用零日安全漏洞（CVE-2020-12271，CVSS评分高达9.8）侵入了全球大约81,000台Sophos防火墙。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一项全球执法行动成功打击了27个用于发起分布式拒绝服务（DDoS）攻击的压力测试服务，并将它们作为一项名为PowerOFF的多年国际行动的一部分而下线。 这项由欧洲刑警组织协调、涉及15个国家的努力，拆除了几个启动器和压力测试网站，包括zdstresser.net、orbitalstress.net和starkstresser.net。这些服务通常利用安装在受感染设备上的僵尸网络恶意软件，代表付费客户对他们的目标发起攻击。 此外，与非法平台有关的三名管理员在法国和德国被捕，计划对超过300名用户进行操作活动。 欧洲刑警组织在一份声明中说：“这些被称为‘启动器’和‘压力测试’网站的平台，使网络犯罪分子和黑客活动分子能够用非法流量淹没目标，导致网站和其他基于网络的服务无法访问。”声明还指出：“发起此类攻击的动机各不相同，从经济破坏、财务收益到意识形态原因，如KillNet或Anonymous Sudan等黑客活动团体所展示的那样。” 荷兰警方在一份协调声明中表示，已启动对四名年龄在22至26岁之间的嫌疑人的诉讼，他们分别来自Rijen、Voorhout、Lelystad和Barneveld，涉嫌发动数百次DDoS攻击。 参与PowerOFF行动的国家包括澳大利亚、巴西、加拿大、芬兰、法国、德国、日本、拉脱维亚、荷兰、波兰、葡萄牙、瑞典、罗马尼亚、英国和美国。 这一发展是在德国执法当局宣布破坏一个名为dstat[.]cc的犯罪服务一个月后，该服务使其他威胁行为者能够发起分布式拒绝服务（DDoS）攻击。 本月早些时候，网络基础设施和安全公司Cloudflare表示，在美国由Cloudflare保护的购物和零售网站在黑色星期五/网络星期一购物季节期间，DDoS活动显著增加。 该公司还透露，2024年其系统缓解了全球6.5%的潜在恶意或客户定义原因的流量。在上述时间段内，受到攻击最多的行业是赌博/游戏行业，其次是金融、数字原生、社会和电信行业。 这些发现还跟随着一个“普遍存在”的配置错误漏洞的发现，该漏洞存在于实施基于CDN的Web应用防火墙（WAF）服务的企业环境中，这可能允许威胁行为者绕过针对网络资源设置的安全防护，发起DDoS攻击。这种技术被代号命名为Breaking WAF。 Zafran研究人员表示：“这种配置错误源于现代WAF提供商同时充当CDN（内容分发网络）提供商，旨在为Web应用程序提供网络可靠性和缓存。”这种双重功能是CDN/WAF提供商普遍存在的架构盲点的核心。 为了减轻攻击带来的风险，建议组织通过采用IP白名单、基于HTTP头的认证和相互认证的TLS（mTLS）来限制对其Web应用程序的访问。       转自安全客，原文链接：https://www.anquanke.com/post/id/302697 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，数千台托管Prometheus监控和告警工具包的服务器面临信息泄露以及拒绝服务（DoS）和远程代码执行（RCE）攻击的风险。 “Prometheus服务器或导出器常常缺乏适当的身份验证，允许攻击者轻松收集敏感信息，如凭证和API密钥，”Aqua安全研究人员Yakir Kadkoda和Assaf Morag在一份新报告中对The Hacker News表示。 这家云安全公司还表示，用于确定堆内存使用、CPU使用等的“/debug/pprof”端点的暴露，可能成为DoS攻击的向量，使服务器无法操作。 据估计，多达296,000个Prometheus Node Exporter实例和40,300个Prometheus服务器可以通过互联网公开访问，这使得它们成为一个巨大的攻击面，可能危及数据和服务。 通过互联网暴露的Prometheus服务器泄露敏感信息，如凭证、密码、认证令牌和API密钥，这一点之前已被JFrog在2021年和Sysdig在2022年记录。 “未经认证的Prometheus服务器允许直接查询内部数据，可能暴露攻击者可以利用的秘密，以在各种组织中获得初步立足点，”研究人员说。 此外，发现“/metrics”端点不仅可以揭示内部API端点，还可以揭示子域、Docker注册表和镜像的数据——这些都是攻击者进行侦察并寻求在网络内扩大影响力的宝贵信息。 这还不是全部。对手可以向“/debug/pprof/heap”等端点发送多个同时请求，以触发CPU和内存密集型的堆剖析任务，这些任务可以压垮服务器并导致它们崩溃。 Aqua进一步指出了供应链威胁，涉及使用repojacking技术利用与已删除或重命名的GitHub仓库相关联的名称，并引入恶意第三方导出器。 具体来说，它发现Prometheus官方文档中列出的八个导出器容易受到RepoJacking攻击，从而允许攻击者重新创建具有相同名称的导出器，并托管一个恶意版本。截至2024年9月，这些问题已由Prometheus安全团队解决。 “用户如果按照文档操作，可能会无意中克隆并部署这个恶意导出器，导致他们的系统上执行远程代码，”研究人员说。 建议组织使用适当的身份验证方法保护Prometheus服务器和导出器，限制公开暴露，监控“/debug/pprof”端点是否有任何异常活动的迹象，并采取措施避免RepoJacking攻击。     消息来源：TheHackerNews；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

2024 年 12 月 10 日，微软披露了Windows 远程桌面服务中的一个严重漏洞，能够让攻击者在受影响的系统上执行远程代码，从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115，CVSS 评分为 8.1，由昆仑实验室的研究员 k0shl发现。漏洞影响Windows Server 的多个版本，包括Windows Server 2016、Windows Server 2019、Windows Server 2022和Windows Server 2025。 漏洞源于两个关键缺陷： CWE-591：在锁定不当的内存中存储敏感数据 CWE-416：释放后使用 攻击者可通过连接到具有远程桌面网关角色的系统并触发竞争条件来利用此漏洞。 这会产生 “free-after-free”  情况，从而执行任意代码。 值得注意的是，这种攻击不需要用户交互或权限，但其高度复杂性使得没有高级技术技能的攻击者不太可能成功利用该漏洞。 目前所有受影响的版本都已作为微软 2024 年 12 月 “星期二补丁”更新的一部分，打上了相应的安全补丁。虽然漏洞利用代码的成熟度目前尚未得到证实，也没有证据表明存在主动利用或公开披露的情况，但其潜在影响仍然很大。 成功利用后，攻击者可通过远程代码执行完全控制目标系统。 此漏洞反映了与远程桌面协议 （RDP） 等远程访问技术相关存在的持续性风险。 虽然目前还没有主动利用漏洞的报告，但这一漏洞的严重性凸显了立即采取行动保护系统免受潜在攻击的必要性，包括将 RDP 访问限制在受信任的网络、启用网络级身份验证（NLA）和监控可疑活动。     转自Freebuf，原文链接：https://www.freebuf.com/news/417532.html 封面来源于网络，如有侵权请联系删除

美国国会下属监督机构政府问责局（GAO）发布了一份新报告，指出一些联邦机构未能在法律规定的截止日期前，完成物联网网络安全相关要求。 根据2020年出台的《物联网网络安全改进法案》要求，美国国家标准技术研究院（NIST）和管理与预算办公室（OMB）需制定安全采购物联网设备的相关指南。这些设备通常是连接到建筑、车辆或其他基础设施的联网技术和设备。该法案还要求23个联邦民事机构实施物联网网络安全要求，并由OMB建立豁免流程。 图：《物联网网络安全改进法案》的要求 根据GAO的报告，有3个机构表示未能在9月30日前完成物联网设备的清点工作，6个机构未提供完成清点工作的具体时间框架。此外，小企业管理局声称未使用任何物联网设备，因此无需开展清点工作。 GAO指出：“在OMB和各机构确保满足这些要求之前，这些机构将无法有效评估风险，也无法制定适当的安全要求或采取其他缓解措施。” 美联邦物联网威胁态势严峻 GAO强调，联邦机构对物联网技术的应用目的广泛，包括控制设备或设施的访问权限，以及监控系统和设备。物联网技术的广泛使用进一步凸显了适当网络安全协议的重要性，尤其是在物联网面临显著网络威胁的情况下。 司法部在2022年的报告中提到，一个俄罗斯的僵尸网络瞄准了大量物联网及运营技术设备，包括路由器、流媒体设备、时钟以及工业控制系统。今年早些时候，美国网络安全与基础设施安全局、国家安全局及联邦调查局联合评估认为，一个外国支持的网络团体已入侵了多个通信、能源、交通运输和水务组织的IT网络。 GAO写道：“这些技术面临严峻的网络威胁，这可能对组织运营与资产、个人隐私、关键基础设施乃至国家安全造成不利影响。随着网络威胁的日益复杂化，加强物联网与运营技术产品和服务的网络安全管理变得愈发紧迫。这些威胁包括蓄意攻击、环境干扰以及设备故障，可能危及美国的国家和经济安全利益。” 应尽快完成清点工作，以便开展风险评估 截至目前，在23个联邦民事机构中，只有国务院、财政部和核管理委员会完成了物联网设备清点工作。10个机构表示计划在2024财年结束前完成清点，另有3个机构计划在2025财年达成清点要求。 GAO建议，OMB应核实各机构报告的物联网网络安全豁免情况。6个机构获得了部分物联网豁免，但后续沟通显示，其中5个机构表示这些豁免事项不应被报告。在这5个机构中，4个已纠正了其豁免事项，1个取消了豁免。 此外，GAO建议以下机构应指示其首席信息官按时完成物联网设备的清点工作：教育部、卫生与公众服务部（HHS）、退伍军人事务部、劳工部、人事管理局、环境保护署、总务管理局、社会保障管理局以及美国国家航空航天局。同时，GAO建议HHS部长指示其首席信息官确保授予的物联网豁免符合OMB的相关要求。     转自安全内参，原文链接：https://www.secrss.com/articles/73287 封面来源于网络，如有侵权请联系删除

Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。 DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。 DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。 它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。 “DroidBot是一种高级的Android远程访问木马（RAT）……具有通常与间谍软件相关的特性，能够拦截用户交互和窃取凭证。”Cleafy报告指出。 该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。 Cleafy强调，“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合，突显了DroidBot的复杂性和适应性。” 与传统的恶意软件活动不同，DroidBot作为恶意软件即服务（MaaS）运营，允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符，一个Telegram频道宣传DroidBot的功能，每月3000美元的费用。 宣传新Android机器人的论坛帖子 来源：Cleafy “DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说，并强调了这种方法提供的可扩展性和覆盖范围。 DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括： 键盘记录：捕获敏感输入，例如登录凭据。 覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。 类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。 远程控制：使攻击者能够模拟用户交互并操纵设备。 值得注意的是，DroidBot将MQTT用于其命令和控制（C2）基础设施，这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。 Cleafy的分析表明，DroidBot仍在积极开发中，具有占位符函数和不同级别的样本混淆。 调试字符串和恶意软件配置等证据表明，其开发人员是土耳其语使用者，针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。 DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。 正如Cleafy警告的那样，“真正的担忧点在于这种新的分发和合作模式，这将把攻击面的监控提升到一个全新的水平。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除