微软已确认，上月发布的 Windows Server 安全更新可能会导致本地安全机构子系统服务（LSASS）进程崩溃，从而重新启动域控制器。 LSASS 是 Windows 的一项用于处理安全策略、用户登录、访问令牌创建和密码更改等任务的服务。 受影响的 Windows 版本和错误安全更新列表包括 Windows Server 2022（KB5036909）、Windows Server 2019（KB5036896）、Windows Server 2016（KB5036899）、Windows Server 2012 R2（KB5036960）、Windows Server 2012（KB5036969）、Windows Server 2008 R2（KB5036967）和 Windows Server 2008（KB5036932）。 微软解释：“在极少数情况下，运行域控制器（DC）角色的 Windows 服务器可能会因为本地安全机构子系统服务（LSASS）崩溃而重新启动。”这一情况已添加到 Windows 版本运行状况仪表板的最新更新中。 为解决由于 LSASS 内存泄漏而导致的其他 Windows Server 崩溃问题，微软发布了紧急带外（OOB）更新，这是在安装了 2024 年 3 月的 Windows Server 安全更新后出现的。 此前，微软已在 2022 年 12 月和 2022 年 3 月解决了其他 LSASS 崩溃问题，这些问题曾被认为是域控制器重新启动的原因。 NTLM 认证失败和 VPN 的问题 微软此前已经确认，2024年4月的Windows安全更新还会导致NTLM认证失败和受影响域控制器的负载增加。 此外，Windows平台跨客户端和服务器的用户也受到VPN连接失败的影响。 微软尚未告知该影响的具体原因，目前仍在努力修复中。建议中小型和大型企业客户通过“Support for Business”联系微软，家庭用户可使用Windows “Get Help”应用获得帮助。 在微软发布修复程序之前，目前没有官方解决方案。但是，您仍然可以通过卸载安全问题更新来暂时解决这些已知问题。 微软表示：“将LCU包名称作为参数的情况下使用DISM/Remove-Package命令行选项，这样就可以在安装组合的SSU和LCU包之后移除LCU。可以使用DISM /online /get-packages 命令查找包名称。” 值得注意的是，Redmond在周二补丁更新中也囊括了安全修复；因此，为了解决域控制器、NTLM和VPN的问题而移除2024年4月的更新同时也会清除所有安全漏洞的修复程序。   消息来源：bleeping computer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

MITRE 于 4 月 19 日透露，黑客已瞄准其网络实验、研究和虚拟化环境 (NERVE)，这是一个用于研究、开发、和原型设计。 黑客通过利用 Ivanti Connect Secure VPN 设备 0Day 漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）获得了初步访问权限。 网络间谍组织（Mandiant 追踪为 UNC5221）利用 0day 漏洞进行了数周有针对性的攻击，直到其存在被曝光，Ivanti 发布了缓解措施。受害者名单中包括网络安全机构 CISA，该机构表示该事件可能影响多达 10 万人。 MITRE 最初将这次袭击归咎于国家支持的 APT 组织，但没有透露更多细节。在后续帖子中，该组织澄清说，在事件调查期间观察到的威胁检测指标 (IoC) 与 Mandiant 归因于 UNC5221 的指标重叠。 MITRE 最初表示攻击发生在 1 月初，但现在透露，第一个入侵证据可以追溯到 2023 年 12 月 31 日。当时黑客利用 Ivanti 0day 漏洞首次访问 NERVE 网络。 2024 年 1 月 4 日，黑客开始对环境进行分析，与 VMware vCenter 和 ESXi 主机进行交互。 MITRE 表示：“随后，他们通过 RDP 成功登录 NERVE 内的多个帐户，利用劫持的凭据访问用户书签和文件共享，以深入了解网络架构。” 第二天，攻击者开始操纵虚拟机并建立对受感染基础设施的控制。 在接下来的几天里，攻击者部署了一些恶意负载，包括名为 BrickStorm 的 vCenter 后门和 MITRE 名为 BeeFlush 的先前未知的 Web shell。 1 月 11 日，即 Ivanti 0day 漏洞曝光的第二天，攻击者部署了另一个名为 WireFire 的 Web shell，并开始准备窃取数据。数据泄露发生在 1 月 19 日，涉及另一个名为 BushWalk 的 Web shell。 MITRE 在 4 月份才发现此次入侵。2 月中旬至 3 月中旬期间，黑客在 NERVE 环境中持续存在并尝试横向移动，但未能转向其他资源。 MITRE 黑客攻击中使用的 Ivanti 产品漏洞自其存在被公开以来已被广泛利用，被利用来危害数百台设备，包括政府、电信、国防和技术组织所拥有的设备。适当的补丁在一月下旬才发布。 关于 Mitre Mitre Corporation（简称为MITRE Corporation和MITRE）是一家美国非营利组织，它管理着联邦政府资助的研发中心(FFRDC)，为航空、国防、医疗保健、国土安全和网络安全等领域的各个美国政府机构提供支持。 MITRE 成立于 1958 年，是一个军事智囊团，是从麻省理工学院林肯实验室的雷达和计算机研究部门分离出来的。 MITRE ATT&CK 框架于 2015 年推出，被《计算机周刊》描述为“免费、全球可访问的服务，为组织提供全面且最新的网络安全威胁信息”，被 TechTarget 描述为“全球知识”威胁活动、技术和模型的基础”。该框架已被美国网络安全和基础设施安全局以及联邦调查局使用。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/lrIaHnrBqtCWrSaByapzjg 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测，美国大陆航空航天技术公司475GB数据遭泄露。据了解，本次泄露的数据包括：个人机密数据、客户文件、大量技术文档、客户数据库、预算、工资单、税收、身份证、财务信息等。 知道创宇暗网雷达截图 信息截图 美国大陆航空航天技术™ (Continental Aerospace Technologies™) 是通用航空领域的全球领导者。 美国大陆航空航天技术公司官网截图 他们是唯一一家提供全系列汽油和 Jet-A 发动机以及航空电子设备服务的公司。美国大陆航空航天技术公司成立于 1905 年，总部位于美国阿拉巴马州。 Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

近日，Bitwarden对来自美国、英国、澳大利亚、法国、德国和日本的2400位用户进行调查，以研究当前用户的密码使用习惯。 调查结果显示，全球有超过25%的受访者在11-20个以上的账户中重复使用密码，36%承认在他们的账号密码中使用个人信息，这些信息在社交媒体（60%）平台和在线论坛（30%）上是公开可访问的。 由此可见，即便是到了2024年，用户在账户中使用弱密码/不安全的密码依旧十分普遍。2023网络安全成熟度报告的数据显示，身份管理最常见的风险点top1就是弱密码，占有率高达32%。弱密码策略与弱身份验证机制的组合让黑客入侵更加便捷，或者说这样的攻击并不需要黑客技术，攻击者只需要登录即可。而当访问权限“允许访问包含敏感信息”时，黑客可以毫不费力气地访问敏感数据。 2022年最弱密码排行榜公布，第一名是password，也就是密码的英文拼写，而去年的第一名是123456，密码的英文拼写仅排在第五位。 这也意味着在培养用户网络安全意识方面还需持续加强。尽管60%的用户声称他们有信心识别网络钓鱼攻击，68%的用户觉得他们准备好识别并缓解由AI增强的网络攻击，但许多受访者仍然采用风险较高的密码管理方法。 这可能也解释了，为什么个人安全漏洞持续存在。全球19%的用户承认由于他们的密码习惯，经历过安全漏洞或数据丢失，23%的用户确认密码在过去被盗用或受到损害。但即便如此，很多人依旧使用不安全的密码方式，其网络安全认知与实际做法互相矛盾。有趣的是，调查显示美国的发生率更高，有23%的美国受访者承认遭遇过安全漏洞，26%确认他们的密码被盗用或受到损害。 另外一个调查结果也非常有意思。大多数受访者承认依靠记忆（53%）和笔和纸（34%）来管理他们工作场所的账户；将近一半（48%）的人透露他们有时或非常频繁地在工作平台或账户之间重用密码。 全球用户仍然坚持使用弱密码或基于个人信息的密码（39%），不安全地存储工作密码（35%），不使用双因素认证（2FA）（33%），以及不安全地共享密码（32%）。 尽管存在密码安全挑战，但越来越多的用户开始使用密码管理器，也更加注重隐私与数据安全。工作中使用密码管理器的积极影响在受访者的个人生活中也很明显，52%的人承认在家中的安全意识增强，密码重用的频率降低（41%）。 此外，采用双因素认证（2FA）的趋势在上升，80%的全球受访者使用它保护大多数个人账户或某些重要账户，66%的人在大多数工作账户或仅限重要账户上使用它。 全球范围内，人们对其作为第二安全层的重要性有很好的认识，有57%的受访者使用2FA来增强他们的安全姿态，原因是网络钓鱼攻击的增加。针对员工账号密码的网络攻击日益频繁也未被忽视。65%的受访者已经进行了一些改进或增加了防护措施以增强安全姿态。 尽管只有45%的全球调查受访者采用了通行证，但超过一半（52%）的人认为他们对其安全优势有很好的了解，这标志着向无密码的更大转变即将到来。尽管采用率在增长，但对隐私和安全的担忧仍然存在。 用户同样担心数据滥用（31%）、监控不确定性（31%）、未经授权的访问（31%），同时还有29%的人对安全存储表示怀疑。透明的沟通和强有力的安全保证对于解决这些问题、提升用户信心和推动通行证更广泛接受至关重要。 如果组织采用通行证，62%的受访者认为他们对公司安全韧性的信任会增加，如果工作场所实施通行证，66%的人会更倾向于个人使用通行证。51%的受访者预见通行证和密码将共存，而只有17%的人预期通行证将使密码过时。不管个人对通行证未来的看法如何，几乎一半（44%）的人认为行业需要加强努力，向公众教育通行证技术的好处。   转自Freebuf，原文链接：https://www.freebuf.com/news/399631.html 封面来源于网络，如有侵权请联系删除

近日，Coro 公司表示，中小型企业（SMEs）的 IT 人员被安全堆栈中多个工具的复杂性和安全需求压得“喘不过气”，导致其可能错过很多关键严重安全事件告警信息，从而削弱了公司的安全态势。 一些研究机构采访了来自美国多个行业的 500 名网络安全管理人员（规模一般在 200 ——2000 名员工的公司），结果显示，很多中小型企业和中型企业正面临着越来越多、越来越复杂的网络攻击威胁。更糟糕的是，很多公司缺乏足够的网络安全防御资源和专业知识。 中小企业 IT 人员不堪重负 中小企业的网络安全工作通常由公司的 IT 人员负责，但他们可能正在面临着来自网络安全计划复杂性和责任压力的挑战（包括管理复杂的安全系统和网络架构、持续监控和更新安全策略，以及应对日益复杂的安全威胁等）。 调查结果显示，73% 的中小企业安全专业人员曾错过、忽视或未能对重要的安全警报采取行动，受访者指出，人手不足和时间不够充裕是最主要的两个原因。 此外，受访者反馈他们日常工作中在监控安全平台、管理和更新端点设备和代理、漏洞管理或打补丁，以及安装、配置和集成新的安全工具上花费了大量时间，其中 52% 的受访者声称最耗时的任务是监控安全平台，其次是漏洞修补。 中小型企业同时使用过多的网络安全工具 调查发现，中小型企业同时使用了过多的网络安全工具。受访者表示，在其安全堆栈中平均使用 11.55 种工具，每天平均花费 4 小时 43 分钟管理其网络安全工具。 值得一提的是，受访者还提到一个新的网络安全工具上线到内部系统需要花费很多资源和时间，一个新的网络安全工具需要 4.22 个月才能投入使用（安装、配置、培训员工以及与现有安全堆栈集成都需要大量时间）。 安全专业人员所面临的复杂工作量，以及对本已有限的资源提出的过高要求，促使中小企业和中型整合其网络安全工具，其中 85% 的受访者表示，希望在未来 12 个月内整合其工具，尽快改善企业内部的安全态势。 Coro 公司首席执行官 Guy Moskowitz 指出，中小企业正在不断的被企业安全工具产生的成千上万个警报所”淹没“，但是这些警报又与企业安全工具不相适应，因此导致许多企业被困在网络安全的“炼狱”中。 最后，Moskowitz 强调，由于人员有限，中小型企业在安全管理的复杂性面前举步维艰，既要面对预算限制、资源有限的问题，又要满足更好的安全覆盖面的需求，这简直是不可能完成的任务。因此，中小企业想要摆脱网络安全困境的最有效方法是采用单一平台，期待能够通过一个简单的控制面板和一个端点代理，减少安全人员的工作量。   转自Freebuf，原文链接：https://www.freebuf.com/news/399601.html 封面来源于网络，如有侵权请联系删除

由于近来网络诈骗较为猖獗，一些国家民众尤其是老年人难以具备充足的辨别能力，成为了网络诈骗分析的重点“集火”对象。对此，日本警方推出了一种假冒的”诈骗支付卡“，以提醒老年人不要上当受骗。 据BleepingComputer的消息，这种卡片表面标有“病毒特洛伊木马清除支付卡”和“未付账单滞纳金支付卡”，目前已由日本福井县越前警察局制作并投放在了当地34家便利店。 对此，这些便利店员工已被告知这类卡片的用意，当有顾客购买卡片时，会提醒他们已成为网络诈骗的目标。由于这项计划对便利店员工出台了激励机制，使得执法部门能够更加有效地识别受害者并对骗局展开更深入的调查。 卡片样式 由于各种形式的网络欺诈，福井县在2023年遭受了约750万美元的经济损失。2024 年 1 月就接到了 14 起关于投资诈骗的投诉，估计损失为70万美元。 当地媒体 Fukuishimbun 报道称，自 2023 年 11 月下旬以来，这一计划已经帮助了至少两名老年受害者，他们被诈骗分子谎称电脑中了病毒，要付费清理系统。 由于这些卡片上的特定信息，受害者很可能会认为它们是预付卡。曾帮助过上述其中一位老人的便利店员工田中弥生（Yayoi Tanaka）表示，这些假卡可以更容易地向他们解释自己正落入诈骗者的圈套。   转自Freebuf，原文链接：https://www.freebuf.com/news/399593.html 封面来源于网络，如有侵权请联系删除

微软近年来安全事件频发，为何仍然牢牢把持美国政府安全服务的“铁饭碗”？为什么美国参议员斥责微软是美国国家安全的严重威胁？为什么政府要避免被一股独大的科技企业锁定？ Wired 最新报道指出：无论从营收、市场份额、还是技术和产品的领导力来看，微软都是当之无愧的网络安全龙头企业，也是美国政府高度依赖的科技企业。与此同时，微软已经成为网络安全行业的“公敌”，同时被看作是美国国家关键基础设施的最大单一故障点。 安全创收“成瘾” 微软因向其客户收取“高级安全服务”（例如更好的威胁监控、防病毒、日志存储和用户访问管理）的额外费用而引发了网络安全行业的声讨。2023年1月，微软声称其安全部门的年收入已超过200亿美元。 “微软已经将网络安全当成了摇钱树，”安全公司SentinelOne的研究副总裁 Juan Andrés Guerrero-Saade 评价道。他的同事 Alex Stamos 最近写道：利字当头的微软已经严重扭曲了其安全产品设计决策。 “微软威胁论”2021年初被引爆，当时美国国会和新上任的拜登政府开始调查俄罗斯黑客的 SolarWinds 远程访问工具（RAT）攻击活动。 在通过 SolarWinds 软件入侵政府网络后，俄罗斯特工欺骗了微软的云平台，获得了广泛的访问权限，窃取了大量机密信息。令人震惊的是，如此严重的数据泄露的原因并非黑客的技术有多么高超，而是因为大多数美国政府机构没有付费购买微软的“高级服务”，因而没有必要的网络活动日志来检测入侵。 事件曝光后，议员们对微软向政府收取基本安全功能的额外费用感到愤怒，白宫官员在接下来的两年半时间里私下敦促微软为所有客户提供免费日志数据。微软终于在2023年7同意免费提供该服务（在曝出又一次重大黑客事件八天之后，该事件是由付费获取日志数据的机构发现的）。 当被问及微软的网络安全生意经与“安全为先”的社会责任是否存在冲突时，Faehl 说：“我们不同意这种说法。”此外，微软在安全漏洞的修复上未能迅速和充分地采取行动，也招来众多安全专家的批评。 一位著名的网络政策专家表示，微软并未“调整其安全投资水平和思维模式以适应威胁”。网络安全审查委员会（CSRB）也猛烈抨击微软未能防止公司历史上最严重的黑客事件之一。CSRB 在报告指出，微软的“安全文化不足，需要彻底改革”。 最大的单点失败 微软在网络安全领域的主导地位引起广泛担忧，因为微软成了最大的单一故障点。美国政府高度依赖单一科技公司，意味着黑客可以轻松通过攻击一家公司的产品来破坏大量关键基础设施和服务。一些专家指出，分散的安全投资更安全，没有什么比电子邮件更能证明美国政府对微软高度依赖的风险。一位曾在微软竞争对手工作的美国前网络安全官员预测，一场使微软电子邮件平台瘫痪的攻击将大大降低政府的运营能力。 关于微软“一股独大”的警告可以追溯到20年前，但现在才开始引起政策制定者的更多关注。 “美国政府对微软的依赖对美国国家安全构成严重威胁，”美国参议员罗恩·怀登指出：“表面上是因为微软的疏忽导致美国政府系统多次被外国黑客实施严重攻击，实际上，问题的本质是美国政府被困在了微软的产品中。”上周一，怀登宣布了一项草案立法，将为联邦政府设定四年期限，停止购买微软 Office 等办公协作技术，批评者称这些技术无法很好地与第三方竞争服务集成。 专家表示，减少政府对单一供应商的依赖不仅会使政府受益，还能把攻击风险分散到更多公司身上，减轻微软保护如此庞大系统组合的压力。微软自身的巨大目标使其成为网络犯罪分子和政府黑客的热门目标，这也是它漏洞频发的部分原因。 政府不敢批评的企业 Wired 指出，微软并不仅仅依靠其市场主导地位来抵制政府监管。自上世纪90年代与政府的反垄断斗争以来，微软制定了复杂的公共政策战略，既包括真诚呼吁保护网络空间，又无处不在地参与政策制定和立法。“在这些问题上，微软是科技行业中最老练的一家公司，” 安德鲁·格罗托( Andrew Grotto)说，他曾是白宫高级网络官员，现在领导着斯坦福大学地缘政治、技术和治理项目，并为微软的一些竞争对手提供咨询。“他们25年前就吸取了这个教训，并一直将其付诸实践。” 微软的威胁情报团队几乎比任何其他公司和大多数政府都更了解恶意网络活动，他们定期发布有关网络威胁的研究，并与执法部门合作开展捣毁黑客基础设施的行动。微软还帮助资助像网络和平研究所 (CyberPeace Institute) 这样的组织，倡导更安全的互联网，并帮助非政府组织抵御黑客攻击。微软还将自己定位为政策制定者的战略合作伙伴，向迫切希望解决网络安全问题但不知道从何入手的政策制定者提供建议，有时还会向立法者提供立法草案参考文本。 专家们表示，凭借其市场主导地位和政治敏锐度，微软确保政府官员几乎从未公开批评它。 “由于美国政府完全依赖微软，因此对微软的批评往往欲言又止。” 民主防务基金会网络和技术创新中心的高级主任马克·蒙哥马利(Mark Montgomery)说道。 甚至在外国黑客闯入没有支付微软高级安全功能费用的美国政府机构的电子邮件系统之后，白宫国家安全委员会和美国网络安全和基础设施安全局(CISA)都拒绝批评微软。CISA的一位高级官员承认，微软的商业模式 “没有产生我们寻求的那种安全结果”，但他拒绝直接责备微软，而是坚持谈论与该公司富有成效的对话。 结论：政府应该避免被一股独大的企业“锁定” 微软的安全问题凸显了政府对单一科技供应商过度依赖产生的系统性风险。尽管微软一再承诺改进其安全措施，但它似乎不愿意进行伤筋动骨的根本性改变。这使得美国政府和其他依赖微软产品的组织容易受到攻击。破解技术供应商“锁定”风险需要采取多种措施。政府应该减少对微软的依赖，转向更分散的采购方法。微软也需要对其安全文化进行重大改革，并投资于更强大的安全措施。   转自E安全，原文链接：https://mp.weixin.qq.com/s/CUt1atf2SGElHi1kNt4etQ 封面来源于网络，如有侵权请联系删除

芯片制造商 Nexperia声称其在2024年3月遭黑客攻击，导致数据被盗样本泄露。 Nexperia是中国闻泰科技的子公司，其在德国和英国均有半导体制造工厂。他们生产了1000亿个器件，包括晶体管、二极管、MOSFET和逻辑器件。 上周五，Nexperia披露了一起数据泄露事件，该事件导致IT系统关闭，而后对该事件展开调查以确定影响范围。 声明指出：“未经授权的第三方访问了Nexperia IT服务器。公司立即采取行动，将受影响系统与互联网断开连接，并采取了对应措施。目前调查正在进行中，公司已联系第三方专家以确定事件的性质和范围，并采取措施终止未经授权的访问。” Nexperia已向荷兰警方和数据保护机构报告了事件，并与FoxIT签约进行调查。 Dunghill Leak 声称对此次攻击负责 4月10日，”Dunghill Leak”声称入侵了Nexperia，窃取了1 TB的机密数据，并泄露了样本文件。 其还发布了电子元件、员工护照、保密协议和其他样本照片文件，但这些样本的真实性尚未得到Nexperia证实。 Nexperia 添加到 Dunghill Leak 勒索网站 Dunghill声称，如果不支付赎金，他们计划泄露以下数据： 371 GB设计和产品数据，包括QC、NDAs、商业秘密、技术规格、机密原理图和生产说明。 246 GB工程数据，包括内部研究和制造技术。 96 GB商业和营销数据，包括定价和营销分析。 41.5 GB公司数据，包括HR、员工个人详细信息、护照、保密协议等。 109 GB客户和用户数据，包括SpaceX、IBM、Apple和华为等品牌。 121.1 GB各种文件和杂项数据，包括电子邮件存储文件。 目前，BleepingComputer已联系Nexperia询问Dunghill声明真实性，目前尚未得到回复。据悉，Dunghill Leak网站与Dark Angels勒索软件团伙有密切，该团伙利用数据泄露网站迫使受攻击的组织支付赎金。 2023 年 9 月，Dark Angels 入侵了 楼宇自动化巨头江森自控 ，并加密了该公司的 VMWare 和 ESXi 虚拟机。 黑客在勒索信中警告称，如果不支付勒索费用，他们将在Dunghill Leak网站上发布被盗数据，目前暂未发布。 Dunghill Leak勒索网站列出了12个受害者，其中8个受害者的数据已全部或部分进行了公开，另外2个受害者被标记为“在暗网上出售”。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在把枪口瞄准TikTok之后，美国政府又开始努力封杀另一家公司。这次是俄罗斯网络安全公司卡巴斯基，一些人认为该公司是国际安全领域的主要参与者，另一些人则因其与俄罗斯官方的密切联系而闻名。 4 月 9 日，美国有线电视新闻网 (CNN) 报道称，出于国家安全考虑，拜登政府正在采取“不寻常的举措”，发布一项命令，禁止美国公司和公民使用卡巴斯基实验室开发的软件。该禁令预计将于四月通过新的商务部当局实施。 Techopedia 采访了国家安全和人权律师伊琳娜·祖克曼(Irina Tsukerman )，了解卡巴斯基的历史、禁令的重要性以及其中的利害关系。 卡巴斯基与俄罗斯 FSB 的关联 禁止卡巴斯基在美国运营的举措并不新鲜。2017年，美国禁止所有联邦机构使用卡巴斯基产品。2022 年 3 月，俄乌冲突爆发一天后，路透社报道称，美国政府私下警告美国公司，莫斯科可能会操纵俄罗斯网络安全公司卡巴斯基设计的软件造成伤害。 在美国和俄罗斯之间紧张局势加剧以及网络战和间谍活动升级的情况下，Tsukerman解释了卡巴斯基的作用。 “随着美俄关系恶化，俄罗斯被视为更大的威胁，网络战的作用呈指数级扩大，卡巴斯基等安全机构的作用[据称]被国家用来从事间谍活动。” 为什么美国要在全国范围内禁止卡巴斯基 虽然美国联邦机构已经被禁止使用卡巴斯基实验室软件，但禁止该国公民和公司这样做是许多人称之为历史性和前所未有的举措。 接近 CNN 的消息人士称，美国政府多年来一直相信俄罗斯政府可以强迫该公司交出数据或使用其防病毒软件来试图对美国人进行黑客攻击或监视——卡巴斯基实验室否认了这一指控。 Tsukerman表示，这一行动将禁止美国的私营公司参与卡巴斯基产品和服务，另一方面，也将禁止该公司向美国出口特定的产品和服务。 “值得注意的是，这还不是对卡巴斯基所有业务的全面禁止，尽管担心其产品和服务被滥用，但卡巴斯基尚未被添加到制裁黑名单中。” “正在考虑的一些风险包括对美国关键基础设施的潜在损害。”Tsukerman说。 “尤其是，焦点似乎是卡巴斯基的反病毒软件。” 虽然卡巴斯基尚未进入美国政府制裁黑名单，但在2017年和2022年，美国政府已对其运营采取了行动。 2022年3月25日，美国联邦通信委员会（FCC）将卡巴斯基与中国电信和中国移动一起列入黑名单。 Tsukerman解释了这一新行动与其他行动的不同之处。“最近的举动（可能）是在美国商务部确定可能的威胁之后采取的。” Tsukerman补充说，卡巴斯基实验室不仅是美国的问题，而且是更广泛的问题。 正如彭博社2017 年报道的那样，卡巴斯基与 FSB 合作的指控已经持续了好几年。这些指控在俄乌冲突爆发后重新浮出水面，现在势头更加强劲。 英国国家网络安全中心 (NCSC) 强调了使用俄罗斯网络安全和技术产品的威胁和风险，特别是卡巴斯基反病毒软件 (AV)。 NCSC 表示：“我们解释了风险，并建议政府国家安全部门确保他们不使用俄罗斯产品，例如卡巴斯基反病毒软件 (AV)。” 卡巴斯基的起源和早期历史 据《福布斯》报道，卡巴斯基“之父”是尤金·卡巴斯基，他毕业于克格勃资助的教育机构。尤金在 20 世纪 90 年代初对网络安全“产生了兴趣”，1997 年，尤金·卡巴斯基创立了卡巴斯基实验室并领导了公司的反病毒研究。 Tsukerman谈到了尤金·卡巴斯基，并质疑他与俄罗斯情报机构的联系。 “尤金·卡巴斯基之前在俄罗斯军方的工作经历以及他在克格勃资助的技术学院（密码学）接受的教育导致了他被俄罗斯雇佣来揭露美国网络武器的指控，尽管他否认了这一点。 “美国情报部门普遍认为，任何曾在俄罗斯军事或安全机构工作过的人，即使在转入私营部门后，仍会受到审查或隶属于这些机构。” 到 2016 年，尤金作为一名年轻工程师创立的公司已成为欧洲最大的网络安全软件供应商。如今，据信该公司拥有超过 4 亿个人客户和 24 万家企业客户公司。 “随着时间的推移，俄罗斯国家对私营部门的渗透显着增加。”Tsukerman说。 Tsukerman声称，卡巴斯基实验室在 2012 年改变了方向，当时“高层管理人员离职或被解雇，他们的工作通常由与俄罗斯军方或情报部门关系密切的人来填补”。 彭博社2015 年报道称，“其中一些人利用来自 4 亿客户中部分客户的数据，积极协助克格勃的继任者 FSB 进行刑事调查”。 卡巴斯基针对美国情报部门 2017年，美国政府禁止联邦机构使用卡巴斯基产品后，有指控称，为俄罗斯政府工作的黑客使用卡巴斯基反病毒软件从属于美国国家安全局承包商的家用电脑窃取机密材料。 Tsukerman谈到了这些指控，《华尔街日报》于 2017 年 10 月 5 日在题为“俄罗斯黑客窃取美国国家安全局有关美国网络防御的数据”的报告中首次报道了这些指控。 “根据该报告，该事件发生于 2015 年，直到 2016 年初才被发现。据报道，被盗材料包括“有关美国国家安全局如何渗透外国计算机网络、其用于此类间谍活动的计算机代码以及如何保护美国境内网络的详细信息”。 2017年10月10日，《纽约时报》报道称，这些黑客行为是由以色列情报人员发现的，他们自己侵入了卡巴斯基的网络，并实时记录了用户计算机上关键字的查询方式。 卡巴斯基在一篇博客文章中强烈否认了这些指控。 弹弓行动：卡巴斯基揭露美国针对伊斯兰国和基地组织的情报行动 2018年，前情报官员协会（AFIO）转发了Cyberscoop的一篇文章，声称卡巴斯基揭露了一场由美国主导的网络间谍活动。 现任和前任美国情报官员对媒体表示，此次行动是针对伊斯兰国和基地组织成员的，代表了美国联合特种作战司令部（JSOC）下属的一项军事计划，该司令部是特种作战司令部（SOCOM）的一个组成部分。）。 ”卡巴斯基曝光的技术报告，关于所谓的Slingshot 事件，并没有提及这些行动背后的参与者的名字。“ Tsukuerm 谈到了这起事件时说。 卡巴斯基公开披露了“弹弓”行动，该行动通过被破坏的路由器破坏了非洲和中东多个国家的数千台设备，其中包括阿富汗、伊拉克 、肯尼亚、苏丹、索马里、土耳其和也门。”Tsukuerm 说。 “卡巴斯基的问题不仅在于工具，还在于其运营背后的政治和情报议程。” 卡巴斯基与国家安全局的游戏再次上演 美国国家安全局和卡巴斯基之间的“情报博弈”仍在继续上演。 2015 年 2 月 17 日，路透社报道卡巴斯基曝光了 NSA 网络间谍计划，该计划将间谍软件隐藏在西部数据、希捷、东芝和其他顶级制造商生产的硬盘中。虽然卡巴斯基没有公开提及该活动背后的机构，但他们表示，该机构与美国国家安全局领导的网络武器“震网”密切相关。 卡巴斯基在报告中表示，它发现 30 个国家的个人电脑感染了一种或多种间谍程序，其中伊朗感染最多，其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。卡巴斯基表示，这些目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体和伊斯兰活动人士。 “这一爆料只是卡巴斯基无情揭露的一系列揭露西方间谍活动的独家新闻之一。”Tsukuerm 说。 爱德华·斯诺登-卡巴斯基链接？ 2015 年 6 月， The Intercept发布了爱德华·斯诺登的新文件后，国际媒体报道称，美国国家安全局和英国政府通信总部 (GCHQ) 一直在使用黑客技术瞄准卡巴斯基。 Tsukuerm 表示，这些文件为斯诺登最初的泄密事件增添了一个有趣的进展。 “他们透露，美国国家安全局与政府通讯总部一起针对卡巴斯基，显然卡巴斯基一直在与美国和英国安全机构进行某种情报游戏，尽管卡巴斯基声称自己是一家私营公司”。 ZDNet等科技媒体随后报道称，根据这些新泄露的文件，美国国家安全局和英国政府通讯总部“据报道自 2008 年以来一直在对卡巴斯基实验室和其他反病毒安全公司进行逆向工程。 “国家安全局和政府通信总部显然对卡巴斯基的一些软件进行了逆向工程。”Tsukuerm 说。 “这些事件证实了反病毒软件可以用作间谍软件工具的概念，并在间谍软件生产者和情报机构之间更复杂的行动和对峙中重新出现。” 当爱德华·斯诺登逃往香港和后来的俄罗斯时，许多人认为他不仅仅是一名举报人，事实上，他在逃离美国之前曾被外国情报机构招募。虽然没有具体证据证明这些指控，但情报界的一些人仍然有他们的发言权。 在中央情报局工作了 32 年的资深人士杰克·迪瓦恩 (Jack Devine) 2014 年告诉Politico，斯诺登是他在俄罗斯招募的“那种人”。 “俄罗斯人在寻找机密信息来源方面也毫不懈怠。他们也在寻找斯诺登一家。你不必回溯太远就能看到他们以独特的方式成功招募美国间谍。” 反恶意软件卡巴斯基技术的工作原理 与任何其他防病毒或反恶意软件一样，卡巴斯基安全解决方案会拦截对文件的每次访问，并扫描其中是否存在已知的恶意软件和病毒。Tsukuerm 解释了这项技术如何对国家安全构成威胁。 “该组件在操作系统启动时启动，持续保留在计算机的 RAM 中，并扫描在计算机和所有连接的驱动器上打开、保存或启动的所有文件。”Tskurman 说。 “但是，由于扫描可以访问计算机系统上最敏感的数据，因此它可以轻松收集私人数据，就像用于检测已知威胁一样。” 美国政府多次声称此类技术构成威胁，因为如果 FSB 要求提供这些数据，像卡巴斯基这样的俄罗斯公司将不得不遵守并共享客户数据。 此外，专家表示，通过定期软件更新，可以自动安装恶意负载、恶意软件、间谍软件和后门。 Tsukuerm 解释说，正如本报告中已经提到的，卡巴斯基还暴露了 NSA 的全球业务并对 NSA 工具进行了逆向工程。 “（卡巴斯基）反病毒软件并不是唯一已知的威胁。事实证明，卡巴斯基泄露美国情报运作和各种工具的逆向工程同样令人担忧。” 美国会继续禁止外国数字业务吗？ 针对卡巴斯基的行动——尽管采取了与TikTok 禁令（现已通过国会）不同的道路——似乎标志着美国控制国家数字空间的历史性新行动。 Techopedia 询问Tsukuerm ，美国政府的这一趋势是否会继续下去，以及在不久的将来是否会禁止更多组织。 “在有关据称针对美国官员的报道以及强烈的游说禁止这些软件之后，美国打击了几家以色列和与以色列有联系的商业间谍软件公司，例如NSOGroup、Cundiru和Intellexa Consortium 。”Tsukuerm 说。 “从大局来看，美国政府甚至会很容易干预私人网络安全领域，这取决于利害攸关的内容以及这些信息的呈现方式。” “毫无疑问，美国政府可能会在不久的将来继续进行干预。”Tsukuerm 补充道。 “在当前不断升级的气候下，对俄罗斯、某国和伊朗等彻底敌对国家的可疑公司的审查可能会稍微加快，但正如记录所示，可能与美国商业间谍软件行业竞争的友好公司仍然更多在当前框架下，与与敌对外国情报机构有联系的公司相比，这些公司更有可能成为彻底禁止的目标。” 底线 美国政府针对卡巴斯基产品采取的行动源于对该公司与俄罗斯情报机构的关系及其软件构成的潜在国家安全风险的长期担忧。 该创始人的克格勃背景和据称与俄罗斯联邦安全局的联系引发了对该公司中立性的怀疑。 此外，这家总部位于莫斯科的公司也曾饱受争议。卡巴斯基对美国情报活动的曝光以及其自身涉嫌参与网络间谍活动进一步削弱了信任。 这不是一个孤立的事件——它反映了美国更广泛的政策转变，政府对外国数字业务，尤其是那些被视为威胁的业务采取了更积极的立场。 卡巴斯基并不是第一家面临美国禁令的大公司，也可能不会是最后一家，特别是在与俄罗斯和其他国家的紧张关系持续升级的情况下。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Sfp3HSiULiVN0NKvpmoBmQ 封面来源于网络，如有侵权请联系删除

Volexity 安全研究人员警告说，疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。 Palo Alto Networks于周五披露了该漏洞，警告称其已意识到有限的野外利用情况，并承诺在未来两天内提供补丁。 该安全缺陷被追踪为CVE-2024-3400（CVSS 评分为 10/10），被描述为命令注入问题，允许未经身份验证的攻击者以 root 权限在受影响的防火墙上执行任意代码。 据供应商称，所有运行 PAN-OS 版本 10.2、11.0 和 11.1 且启用了 GlobalProtect 网关和设备遥测的设备都容易受到攻击。其他 PAN-OS 版本、云防火墙、Panorama 设备和 Prisma Access 不受影响。 “Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用，因为我们非常有信心地评估，迄今为止我们分析的已知利用仅限于单个攻击者。”该公司在博客文章中表示。 Volexity 将CVE-2024-3400 漏洞归因于一个有国家背景的黑客，追踪编号为“UTA0218”，攻击者似乎能力很强，“有一个明确的剧本，说明如何进一步实现其目标”。 “Volexity 评估认为，根据开发和利用此类性质的漏洞所需的资源、攻击者针对的受害者类型以及安装 Python 后门和所显示的功能，UTA0218 很可能是国家支持的黑客组织，意图进一步访问受害者网络。”该网络安全公司指出。 该公司目前无法将该活动与先前已知的黑客组织联系起来。 目前尚不清楚这种利用的范围有多广泛，但 Volexity 表示，“有证据表明，潜在的侦察活动涉及更广泛的利用，旨在识别易受攻击的系统”。 该网络安全公司表示，自 3 月 26 日以来，UTA0218 已成功利用0day漏洞攻击多个组织。在两个实例中，攻击者还注入了一个名为 Upstyle 的基于 Python 的后门，并用它来执行其他命令。 “成功利用设备后，UTA0218 从他们控制的远程服务器下载了额外的工具，以便于访问受害者的内部网络。他们迅速在受害者的网络中横向移动，提取敏感凭证和其他文件，以便在入侵期间和之后可能进行访问。”Volexity 解释道。 攻击链 研究人员发现攻击在防火墙上创建了一个 cron 作业，以持续从远程服务器获取文件并执行其内容。我们看到攻击者手动管理命令与控制 (C&C) 服务器的访问控制列表，以确保只能从与其通信的设备进行访问。 还观察到 UTA0218 部署了用 Python 编写的反向 shell 和开源 SSH 反向 shell，下载 GOST（GO Simple Tunnel）等反向代理工具，并从受感染的防火墙中窃取配置数据。 在一次攻击中，攻击者使用帕洛阿尔托网络防火墙的高特权服务帐户通过 SMB 和 WinRM 横向移动。随后，UTA0218 窃取了 Active Directory 数据库、关键数据、Windows 事件日志、登录信息、cookie 和浏览器数据，并能够解密存储的凭据。 “没有观察到 UTA0218 在受害者网络内的系统上部署恶意软件或其他持久性方法。被盗的数据确实使攻击者能够有效地破坏所有域帐户的凭据。此外，攻击者获得了访问权限，并可能使用从浏览器数据中获取的有效凭据或 cookie 来访问特定的用户工作站。”Volexity 解释道。 CVE-2024-3400 的补丁预计将于 4 月 14 日发布。与此同时，建议组织在其防火墙上禁用设备遥测，并应用 Palo Alto Networks 在其公告中详细介绍的其他缓解建议。 建议认为自己因该0day漏洞而受到损害的组织收集日志、创建技术支持文件并保留取证工件。他们还应该寻找潜在的横向移动，并应考虑防火墙上的所有敏感数据受到损害。 Palo Alto Networks 和 Volexity 警告称，UTA0218 和其他攻击者对 CVE-2024-3400 的利用可能会在未来几天内激增，这主要是由于补丁尚未推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxtN-VsXRmSLKEZ_avFeLA 封面来源于网络，如有侵权请联系删除