谷歌暂时禁止 其地图和位智应用程序查看以色列和有争议的加沙地带的实时交通状况。 这是应以色列军队的要求，鉴于最近与巴勒斯坦的公开对抗而做出的。 谷歌发言人表示：“正如我们在之前的冲突中所做的那样，为了应对该地区不断变化的局势，出于对当地社区安全的担忧，我们暂时禁用了查看实时交通状况和交通信息的能力。 ” 据知情人士透露，做出这一决定是因为实时交通数据可以揭示以色列军队的动向。去年，谷歌已经针对另一场众所周知的冲突采取了类似的措施。 虽然实时交通显示被禁用，但使用导航系统的驾驶员仍会收到基于当前情况的预计到达时间，但带有路线彩色部分的交通可视化将不可用。 以色列科技网站GeekTime最先报道了这一进展，称苹果的地图应用程序也遵守了以色列军队的要求。苹果和以色列国防军的代表尚未对此事发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/290978 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处 近期，DoNot Team的黑客被发现使用了一种新型的基于.NET的后门，名为Firebird，其主要针对巴基斯坦和阿富汗的一些受害者。 网络安全公司卡巴斯基在其2023年第三季度APT趋势报告中披露了这一发现，称这些攻击链还配置了一个名为CSVtyrei的下载器（因其与Vtyrei相似而得名）。 这家俄罗斯公司表示：“示例中的一些代码似乎不起作用，其暗示着正在进行的开发工作。” Vtyrei（又名BREEZESUGAR）指的是先前被对手利用来传递名为RTY的恶意软件框架的第一阶段负载和下载器变种。 DoNot Team，也被称为APT-C-35、Origami Elephant和SECTOR02，疑似起源于印度，其攻击利用鱼叉式网络钓鱼电子邮件和恶意的 Android 应用程序来传播恶意软件。 卡巴斯基的最新评估是基于黑客 2023 年 4 月部署 Agent K11 和 RTY 框架的双重攻击序列的分析。 此外，网络安全公司Zscaler ThreatLabz披露了总部位于巴基斯坦的Transparent Tribe（又名APT36））攻击者使用更新的恶意软件库对印度政府部门开展了新的恶意活动，其中包括以前未记录的名为 ElizaRAT 的 Windows 木马。 安全研究员 Sudeep Singh上个月指出：“ElizaRAT以.NET二进制形式传递，并通过 Telegram 建立 C2 通信通道，使黑客能够完全控制目标端点。” Transparent Tribe自2013年以来一直活跃，利用凭证收集和恶意软件分发攻击，经常分发 Kavach 多因素身份验证等印度政府应用程序的木马安装程序，并将开源命令与控制 (C2) 框架（例如 Mythic）武器化。 这个黑客组织近期也也有了瞄准了Linux系统的迹象，Zscaler表示：他们发现了一小组桌面入口文件，这些文件为执行基于Python的ELF二进制文件铺平了道路，其中包括用于用于文件渗漏的GLOBSHELL以及从Mozilla Firefox浏览器中窃取会话数据的PYSHELLFOX。 Sudeep Singh表示：“印度政府部门广泛使用基于Linux的操作系统”，他补充说，瞄准Linux环境还可能是因为印度决定在跨政府和国防部门全面使用以Debian Linux为基础的操作系统Maya OS，以替代微软Windows操作系统。 除了DoNot Team和Transparent Tribe，还有来自亚太地区的另一个国家级行动者重点关注巴基斯坦地区。 代号神秘象（又名APT-K-47）的黑客组织被认为涉及一场利用一种名为ORPCBackdoor的新型后门的钓鱼攻击活动，该后门能够在受害者计算机上执行文件和命令，并从恶意服务器接收文件或命令。 知道创宇 404高级威胁情报团队曾在文章中表示，APT-K-47 与SideWinder、Patchwork、Confucius和Bitter等其他参与者的工具和目标有重叠，其中大多数被认为和印度有关联。   Hackernews 编译，转载请注明出处： 消息来源：thehackernews，译者：dengdeng；

美国网络安全和基础设施安全局 (CISA) 与 17 个美国和国际合作伙伴合作，周一发布了更新的“设计安全”原则联合指南。该文件为技术提供商提供了扩展的原则和指南，以提高其在世界各地使用的产品的安全性，同时还提供了对基本原则和指南的更多见解，并得到了另外八个国际网络安全机构的认可。 更新后的指南“改变网络安全风险的平衡：设计安全软件的原则和方法”敦促软件制造商采取必要的紧急措施来交付设计安全的产品，并修改其设计和开发计划，以仅允许设计安全将产品运送给客户。 与 CISA、联邦调查局 (FBI)、国家安全局 (NSA) 以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的网络安全机构 (CERT NZ、NCSC-NZ) 一起，谁共同密封了最初的版本。更新后的指南得益于与捷克共和国、以色列、新加坡、韩国、挪威、OAS/CICTE CSIRTAmericas Network 和日本（JPCERT/CC 和 NISC）网络安全机构的见解和合作。 该文件以多家全球安全机构 2023 年 4 月发布的版本为基础，包含从大量个人、公司和非营利组织收到的反馈。它扩展了三个原则，即“掌控客户安全成果”、“拥抱彻底的透明度和问责制”以及“高层领导”。 该更新重点介绍了软件制造商如何向其客户和公众展示这些原则。软件制造商必须能够在安全性的基础上进行竞争。该联合指南为软件制造商提供了工具来展示其对设计安全的承诺，并为客户提供了评估其进展的方法，从而创建了设计安全的需求信号。 更新后的文件概述道：“反馈中最常见的要求是提供有关这三个原则的更多详细信息，因为它们适用于软件制造商及其客户。” “在本文件中，我们扩展了原始报告，并涉及其他主题，例如制造商和客户规模、客户成熟度以及原则的范围。” 该文件称：“软件无处不在，没有任何一份报告能够充分涵盖整个软件系统、软件产品的开发、客户部署和维护以及与其他系统的集成。” “对于以下未明确映射到特定环境的指导，我们期待听到社区的声音，本文中描述的实践如何带来特定的安全改进。本报告也适用于人工智能 (AI) 软件系统和模型的制造商。虽然它们可能与传统形式的软件不同，但基本的安全实践仍然适用于人工智能系统和模型。” 它补充说，一些设计安全实践可能需要修改，以考虑人工智能特定的考虑因素，但三个总体设计安全原则适用于所有人工智能系统。 这些机构表示，他们认识到转变软件开发生命周期 (SDLC) 以符合这些设计安全原则并不是一项简单的任务，可能需要时间。“此外，规模较小的软件制造商可能很难实施其中许多建议。我们认为，软件行业需要广泛提供使产品更安全的工具和程序。随着越来越多的人和组织将注意力集中在软件安全性的改进上，我们相信存在创新的空间，可以缩小大小软件制造商之间的 差距，从而使所有客户受益。”他们补充道。 此外，对原始设计安全报告的更新“是我们与众多相互关联的利益相关者社区建立合作伙伴关系的承诺的一部分，这些社区支撑着我们的技术生态系统。这是该生态系统许多部分反馈的结果，我们将继续倾听并从各个角度学习。尽管未来面临许多挑战，但随着我们更多地了解已经采用设计安全理念并常常取得成功的人员和组织，我们感到非常乐观。” 更新后的指导文件呼吁制造商做出艰难的权衡和投资，包括那些对客户“不可见”的投资（例如，迁移到消除广泛漏洞的编程语言）。“他们应该优先考虑保护客户的功能、机制和工具实施，而不是那些看似有吸引力但扩大了攻击面的产品功能。没有单一的解决方案可以消除恶意网络行为者利用技术漏洞的持续威胁，并且“设计安全”的产品将继续遭受漏洞的困扰；然而，大量漏洞是由相对较小的根本原因造成的。” 此外，制造商应制定书面路线图，使其现有的产品组合与更安全的设计实践保持一致，确保仅在特殊情况下发生偏差。编写组织承认，掌握客户的安全结果并确保这种级别的客户安全可能会增加开发成本。 然而，在开发“创新”技术产品和维护现有产品的同时投资安全设计实践可以大大改善客户的安全状况并降低妥协的可能性。安全设计原则可以增强客户的安全状况和开发人员的品牌声誉，并从长远来看降低制造商的维护和修补成本。 CISA 主任 Jen Easterly 在一份媒体声明中表示：“我对美国和国际之间广泛、富有洞察力和一致的合作伙伴关系感到非常自豪，这些合作伙伴关系具有共同的未来愿景，即技术产品通过设计实现安全。” “由于数百名合作伙伴的反馈，我们修订了本指南，更加关注公司如何展示其对设计原则安全的承诺。” Easterly 补充道，为了实现国家网络安全战略重新平衡网络空间责任的目标，“客户需要能够向供应商提出更多要求，而这份联合指南为他们提供了实现这一目标的工具。” “我们感谢与 CISA 和其他国际合作伙伴就这一联合成果进行的合作。在欧盟内部，《网络弹性法案》旨在加强产品安全和消费者安全。”捷克共和国国家网络和信息安全局局长 Lukáš Kintr 表示。“在全球互联和技术驱动的世界中，我们对“设计安全”方法的集体认可旨在增强我们的弹性，并保护各大洲的公民和关键基础设施。” “‘安全设计’是利益相关者之间网络安全责任范式的改变。INCD 希望看到责任从最终用户转移到制造商和服务提供商。在现代世界，网络安全是一项基本商品，就像水、能源和环境保护一样；因此，它在设计和默认情况下应该是安全的。”INCD 总干事 Gaby Portnoy 表示。“INCD 很荣幸能够参与 CISA 发布该产品，我们认为这是向所有客户提供安全、弹性技术的关键一步。INCD 将鼓励以色列市场的制造商采用这一指南。” “设计和默认的安全性是保护渗透到我们日常生活的技术的基本原则。新加坡网络安全局网络安全专员兼首席执行官 David Koh 表示：“技术制造商应该从一开始就有意识地确保网络安全成为产品开发的一个关键方面，这样他们的产品对于所有用户来说本质上都是安全的。” 。“安全不应该是一个‘可选的额外’。CSA 很荣幸能够与 CISA 和其他合作伙伴机构合作开发安全设计指南。CSA 强烈鼓励采用它。” “由软件漏洞引起的网络攻击不断增加，鉴于其巨大影响，对这些漏洞的安全管理至关重要。在韩国，存在特定攻击团体在广泛使用的解决方案中存在多个漏洞的实际案例，这些漏洞被利用进行攻击。”KISA 副总裁兼 KrCERT/CC 负责人 Choi Kwang Hee 表示。“回顾本指南让我们深入了解了国际附属机构的观点。为了保证国产软件产品的安全发展，我们还计划推出韩文版本。” “设计安全的产品和服务构成了我们共同网络弹性的基石。这一概念通过纳入零信任和软件供应链风险管理等元素，提高了我们指导和咨询的质量。”挪威国家网络安全中心主任 Martin Albert-Hoff 说道。“NCSC NO 很荣幸能够与 CISA 和其他伙伴机构合作，这种合作有助于在当今不可预测的全球形势下增强网络弹性。” “网络安全领域的成功成果只能通过协作的方式取得。因此，我们很高兴利用 OAS/CICTE CSIRTAmericas 网络积累的经验为本指南做出贡献，该网络汇集了来自美洲 21 个国家的政府计算机安全事件响应小组 (CSIRT)，并促进他们之间有价值的信息的交流。”美洲国家组织美洲反恐怖主义委员会执行秘书艾莉森·奥古斯特·特雷佩尔说。“根据网络的经验，本指南认识到技术制造商和 CSIRT 需要从被动思维转变为持续衡量和改进风险缓解服务的模式。” 特雷佩尔补充说，该指南是美洲国家组织过去 20 年来一直在开展并将继续开展的工作的明确范例，旨在支持成员国加强网络安全能力，建设更加安全、有弹性和开放的网络空间对全部。 “‘设计安全’的概念已被纳入日本的网络安全战略（以下简称日本战略）。日本国家网络安全事件准备和战略中心 (NISC) 总干事铃木敦夫 (Atsuo Suzuki) 表示：“这项更新后的指南明确了“设计安全”的概念，并与日本的战略保持一致。” “我们对这份更新后的指导方针的密封感到高兴，这有助于实施基于日本战略的具体措施。” 该指南旨在进一步促进投资和文化转变的进展，以显着改善客户安全；扩大有关关键优先事项、投资和决策的国际对话；并创造一个技术设计安全可靠且具有弹性的未来。认识到许多私营部门合作伙伴为推进安全设计做出了宝贵贡献，并为本次更新提供了意见，编写机构正在积极寻求有关新版本联合指南的更多反馈。 编写组织建议组织要求其供应软件制造商对其产品的安全结果负责。作为其中的一部分，编写组织建议管理人员优先考虑购买设计安全和默认安全产品的重要性。 更新后的文件认识到安全应该是此类关系的关键要素，组织应努力在关系的正式（例如合同或供应商协议）和非正式层面上强调设计安全和默认安全实践的重要性。组织应该期望其技术供应商就其内部控制状况以及采用设计安全和默认安全实践的路线图提供透明度。 除了将默认安全作为组织内的优先事项之外，IT 领导者还应该与行业同行合作，了解哪些产品和服务最能体现这些设计原则。这些领导者应该协调他们的请求，以帮助制造商优先考虑他们即将推出的安全计划。 指南指出，通过共同努力，客户可以帮助向制造商提供有意义的意见，并激励他们优先考虑安全性。“在利用云系统时，组织应确保他们了解与技术供应商的共同责任模型。也就是说，组织应该明确供应商的安全责任，而不仅仅是客户的责任。组织应该优先考虑那些在安全状况、内部控制以及履行共享责任模型下义务的能力方面保持透明的云提供商。” 上周，美国 CISA、FBI、NSA 和美国财政部发布了针对运营技术 (OT) 供应商和关键基础设施的高级领导和运营人员的新指南。该情况说明书将有助于更好地管理 OT 产品中使用开源软件 (OSS) 带来的风险，并提高利用可用资源的弹性。   转自安全客，原文链接：https://www.anquanke.com/post/id/290821 封面来源于网络，如有侵权请联系删除

The cyber express 网站消息，某论坛用户爆料知名体育用品零售商迪卡侬一起数据泄露事件，大约 8000 名员工个人信息在此前迪卡侬数据泄露事件中被曝光，这些信息目前已在暗网上“共享”。 据悉，消息源于 vpnMentor 最近发表的一篇博客，一名攻击者“共享”了此前迪卡侬发生的数据泄露事件中的数据，该事件影响了迪卡侬的全球员工和客户。论坛用户上传了一个据称与迪卡侬有关的 61MB 数据库，根据帖子内容，该数据库据称包含约 8000 名迪卡侬员工的个人身份信息 (PII)。 值得一提的是，迪卡侬之前发生的数据泄露事件中暴露的数据包含一系列敏感信息，例如全名、用户名、电话号码、电子邮件地址、居住国家和城市的详细信息、身份验证令牌甚至照片。 咨询公司 Bluenove同时被曝发生数据泄露 数据泄露还包括来自技术和咨询公司 Bluenove 的信息，the cyber express 与 Bluenove 联系后，该公司迅速做出回应，确认暗网论坛上流传的数据库副本真实存在。 对暗网论坛上发布的数据库进行进一步分析检查后，网络安全研究人员发现这些窃取的信息似乎与研究小组在 2021 年发现并报告的迪卡侬员工数据泄漏事件相吻合，vpnMentor 因其数据储存相关政策，不能再拥有最初迪卡侬数据泄漏事件的数据样本，但根据之前的报告，网络攻击者共享样本中包含的信息与团队两年前发现的数据信息基本一致。 为收集更多有关迪卡侬数据泄露的信息，the cyber express 联系了迪卡侬和 Bluenove。然而，截至本文发布前，两家公司均未发表官方声明或做出回应。因此，从现有掌握的数据来看，有关迪卡侬员工数据泄露和 Bluenove 网络攻击的说法仍未得到完全证实。   转自Freebuf，原文链接：https://www.freebuf.com/news/380889.html 封面来源于网络，如有侵权请联系删除

美国联邦调查局（FBI）和国家反情报与安全中心（NCSC）发布联合公告，强调尽管乌克兰冲突后军事上遭遇重大挫折，但俄罗斯情报部门仍然对美国构成重大威胁。俄罗斯情报部门及其同伙持续关注通过间谍活动、影响力行动和网络活动瞄准美国，同时努力削弱美国及其盟国对乌克兰的支持。 “他们的目标包括美国政府、商业和私营部门，以获取有关美国计划和意图、军事和技术进步的宝贵信息。他们还针对美国公众在我们的社会中散播异议。” 公报称，近几个月来，美国政府对几名俄罗斯情报人员及其同伙实施了针对美国的活动的制裁，欧洲各国当局也逮捕并指控了一些涉嫌在本国从事俄罗斯间谍活动的人。“即便如此，联邦调查局局长克里斯托弗·雷 (Christopher Wray) 在 2023 年 9 月的公开讲话中警告说，在美国开展活动的俄罗斯情报官员的数量‘仍然太多’。” 关于间谍活动，FBI-NCSC 公告指出，俄罗斯情报部门招募消息来源和特工来收集影响俄罗斯利益的经济、政治、安全和技术发展信息。 “俄罗斯继续瞄准广泛的行业，以获得信息并采购感兴趣的材料。这些目标部门包括政府实体、学术机构和智库、非政府组织和活动团体、国际组织、媒体实体和高科技公司，”公告指出。“通过现有的专业渠道或网络，RIS 还寻找同情俄罗斯事业的个人作为组织内的收藏家。RIS 通过面对面会议和在线联系方式进行接触，通常打着看似无害的专业或个人外展的幌子，接触那些拥有感兴趣行业内部知识的个人，他们希望将其用作消息来源，”它补充道。 公告指出，在网络行动领域，俄罗斯情报部门将重点瞄准政府和私营部门的计算机网络以及特定的利益相关者，其目的是窃取信息、监控目标并为潜在的破坏性行为奠定基础。或对关键基础设施造成破坏性的网络攻击。它补充说：“他们利用已知和未知的软件漏洞，通常利用安全性薄弱的弱点，包括修补速度慢、配置差、密码弱以及缺乏双因素身份验证。” 俄罗斯的恶意影响力仍在继续，并将秘密情报行动与俄罗斯政府机构、国家资助媒体、第三方中介机构和社交媒体人物的公开行动相结合，在美国公众中播下和加剧分歧，破坏民主进程。 FBI-NCSC 公告。俄罗斯试图利用不知情的美国人和其他人传播信息，通过转发、分享、点赞或讨论未经证实或误导性的叙述，以及传播被盗、泄露或捏造的信息，扩大原始信息的影响范围，从而影响公众。 该公告指出，俄罗斯情报部门的持续重点是针对美国公共、私营部门、学术界和其他机构。意图通过失去美国政府敏感信息、专有科学研究和新技术来阻碍美国政策目标的实现，削弱美国的战略优势；并通过知识产权盗窃给个人和美国公司造成经济损失。它还削弱了公众对美国机构的信任；加剧社会分歧，削弱美国在国内和国际上的地位；并加强对俄罗斯首选政策立场的支持。 FBI-NCSC 文件概述了一系列措施，帮助各组织提高认识并加强针对俄罗斯情报部门活动的准备。其中包括通过实施报告机制进行员工培训来保持内部威胁意识；并酌情对员工、学生和研究网络进行适当的审查。该公告还建议加强该组织的网络态势；遵循身份和访问管理、保护控制和漏洞管理的最佳实践。 该文件还建议核实主动提供的专业外展服务，并评估外展来源的来源和专业网络。它还建议评估在线、新闻媒体以及大众或社交媒体中遇到的信息来源和叙述；从多个来源寻找信息；并比较多个媒体平台的信息。 在最近一次有关国土防御未来的论坛上，美国北方司令部司令、空军上将格伦·D·范赫克强调了国家安全面临的深刻挑战。他强调，国家在面对这些多方面挑战时表现出韧性的能力对于国防部（DOD）有效遏制威胁和维护全球稳定至关重要。他在表达形势的严重性时指出，当前的威胁形势是他在长达三年的服役生涯中遇到的最复杂的威胁。   转自安全客，原文链接：https://www.anquanke.com/post/id/290794 封面来源于网络，如有侵权请联系删除

微软本周早些时候宣布，未来将在 Windows 11 中取消 NTLM 身份验证协议。NTLM（新技术 LAN 管理器的缩写）是一系列用于验证远程用户身份并提供会话安全性的协议。 Kerberos 是另一种身份验证协议，它已取代 NTLM，现在是 Windows 2000 以上所有 Windows 版本上域连接设备的当前默认身份验证协议。虽然 NTLM 是旧 Windows 版本中使用的默认协议，但如今仍在使用，并且如果出于任何原因 Kerberos 失败，将改用 NTLM。 黑客在NTLM 中继攻击中广泛利用 NTLM ，迫使易受攻击的网络设备（包括域控制器）对攻击者控制下的服务器进行身份验证，从而提升权限以获得对 Windows 域的完全控制。 尽管如此，NTLM 仍然在 Windows 服务器上使用，允许攻击者利用ShadowCoerce、DFSCoerce、PetitPotam和RemotePotato0等漏洞，这些漏洞旨在绕过 NTLM 中继攻击缓解措施。 NTLM 还成为哈希传递攻击的目标，网络犯罪分子利用系统漏洞或部署恶意软件从目标系统获取 NTLM 哈希（代表哈希密码）。一旦拥有哈希值，攻击者就可以利用它来验证受感染用户的身份，从而获得对敏感数据的访问权限并在网络上横向传播。 微软表示，自 2010 年以来，开发人员不应再在其应用程序中使用 NTLM ，并一直建议 Windows 管理员禁用 NTLM 或配置其服务器以使用 Active Directory 证书服务 (AD CS) 阻止 NTLM 中继攻击。 不过，微软现在正在开发两个新的 Kerberos 功能：IAKerb（使用 Kerberos 进行初始和传递身份验证）和本地 KDC（本地密钥分发中心）。 “Kerberos 的本地 KDC 构建在本地计算机的安全帐户管理器之上，因此可以使用 Kerberos 完成本地用户帐户的远程身份验证，”微软的 Matthew Palko 解释道。 “这利用 IAKerb 允许 Windows 在远程本地计算机之间传递 Kerberos 消息，而无需添加对其他企业服务（如 DNS、netlogon 或 DCLocator）的支持。IAKerb 也不需要我们在远程计算机上打开新端口来接受 Kerberos 消息”。 Microsoft 打算在 Windows 11 中引入两项新的 Kerberos 功能，以扩大其用途并解决导致 Kerberos 回退到 NTLM 的两个重大挑战。 第一个功能 IAKerb 使客户端能够在更广泛的网络拓扑中使用 Kerberos 进行身份验证。第二个功能涉及 Kerberos 的本地密钥分发中心 (KDC)，它将 Kerberos 支持扩展到本地帐户。 Redmond 还计划扩展 NTLM 管理控制，为管理员提供更大的灵活性来监控和限制其环境中的 NTLM 使用。 “所有这些更改都将默认启用，并且在大多数情况下不需要配置。NTLM 将继续作为维持现有兼容性的后备方案，”Palko 说。 “减少 NTLM 的使用最终将导致它在 Windows 11 中被禁用。我们正在采用数据驱动的方法并监控 NTLM 使用的减少情况，以确定何时可以安全地禁用它。 “与此同时，您可以使用我们提供的增强控件来抢占先机。默认情况下禁用后，客户还可以出于兼容性原因使用这些控件重新启用 NTLM。”   转自安全客，原文链接：https://www.anquanke.com/post/id/290783 封面来源于网络，如有侵权请联系删除

为应对最近爆发的恶意更新，著名游戏平台Steam出品方Valve近日发布公告称，将为Steam 上发布游戏的开发者实施额外的安全措施，包括基于短信的确认码。 游戏及软件开发商在 Steam 平台上分发其产品需要用到Steamworks，它支持DRM（数字版权管理）、多人游戏、视频流、配对、成就系统、游戏内语音和聊天、微交易、统计、云保存和社区制作内容共享（Steam Workshop）。但从今年8月下旬开始，有关 Steamworks 帐户遭到入侵以及攻击者上传恶意版本、利用恶意软件感染玩家的报告数量不断增加。 为了遏制该问题，Valve 将从 2023 年 10 月 24 日开始强制实施基于短信的安全检查，游戏开发人员必须通过该检查才能在默认发行分支（非测试版本）上推送更新。 对于将新用户添加到 Steamworks 合作伙伴组（该组已受到基于电子邮件的确认保护）时，将强制执行相同的要求。从 10 月 24 日开始，群组管理员必须使用短信代码验证操作。对于那些使用 SetAppBuildLive API 的用户，Steam 已将其更新为需要 steamID 进行确认，特别是对于已发布应用程序默认分支的更改。 Valve 表示，如果开发者没有电话号码，将无法新发布或者更新应用。 并不完美的解决方案 虽然引入基于短信的验证是为Steam实现了更好的供应链安全，但该系统仍存在一些问题。游戏开发者伯努瓦·弗雷斯隆 (Benoît Freslon)称，他的账户感染了一种信息窃取恶意软件，该恶意软件被用来窃取他的凭证，发布了《NanoWar：细胞 VS 病毒》游戏的恶意更新，而Valve 基于短信的双重验证安全措施无助于阻止攻击，因为信息窃取恶意软件抢走了他账户的所有权限。 此外，基于短信的双重验证本质上容易受到 SIM 交换攻击，攻击者可以将游戏开发者的号码转移到新的 SIM 上并绕过安全措施。   转自Freebuf，原文链接：https://www.freebuf.com/news/380767.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某新型恶意软件冒充合法缓存插件来攻击 WordPress 网站，允许威胁攻击者创建管理员账户控制网站的活动。 据悉，该恶意软件具有多种功能，不仅能够管理插件，在被攻击网站上隐藏自身的活动插件，还可以替换内容或将某些用户重定向到其它恶意链接上。 “假冒”插件具体详情 7 月份，WordPress 的 Wordfence 安全插件制造商 Defiant 公司安全分析师，在清理一个网站时发现了这个新恶意软件。经研究人员仔细观察分析，发现该恶意软件 “带有专业的开头注释”，以伪装成缓存工具（缓存工具通常有助于减少服务器压力和提高页面加载时间）。 值得一提的是，恶意软件可能是在故意模仿缓存工具，以确保在人工检查时不会被发现。此外，恶意插件还被设置为将自己排除在 “活动插件 “列表之外，以此逃避检查。 恶意软件具有以下功能： 创建用户：创建一个名为 “superadmin “的用户，该用户拥有硬编码密码和管理员级权限，第二个功能是删除该用户以清除感染痕迹。 在网站上创建恶意管理员用户（Wordfence） 机器人检测：当访客被识别为机器人（如搜索引擎爬虫）时，恶意软件会向它们提供不同的内容，如垃圾邮件，导致它们索引被入侵网站的恶意内容。因此，管理员可能会看到流量突然增加，或用户报告抱怨被重定向到恶意位置。 内容替换：恶意软件可以更改帖子和页面内容，插入垃圾链接或按钮。网站管理员会收到未修改的内容，以延迟网络攻击者入侵的现象。 插件控制：恶意软件操作员可以远程激活或停用被入侵网站上的任意 WordPress 插件。不仅如此，恶意软件还会清除网站数据库中的痕迹。 控制插件的激活/停用（Wordfence） 远程调用：恶意软件能够检查特定用户的代理字符串，允许网络攻击者远程激活各种恶意功能。 研究人员在一份报告中表示，在以牺牲网站自身的搜索引擎优化排名和用户隐私为代价前提下，上述功能为网络攻击者提供了远程控制受害网站并使其货币化所需的一切条件。 目前，Defiant 没有提供任何有关被新恶意软件入侵网站数量的详细信息，其研究人员也尚未确定最初的访问载体，但已为 Wordfence 免费版用户发布了检测签名，并添加了防火墙规则，以保护高级版、关怀版和响应版用户免受后门攻击。 入侵网站的典型方法包括窃取凭证、暴力破解密码或利用现有插件或主题中的漏洞。因此，网站所有者应为管理员账户使用强大的登陆凭据，保持插件更新并删除不使用的附加组件和用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/380395.html 封面来源于网络，如有侵权请联系删除

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2023年9月，全球新增的活跃勒索软件家族有ThreeAM、Knight、CiphBit、LostTrust等家族。 以下是本月值的关注的部分热点： Cisco警告称其VPN的0day漏洞被勒索软件团伙利用 凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金 黑客积极利用Openfire漏洞来加密服务器 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Phobos家族占比24.59%居首位，第二的是占比13.11%的Makop，TellYouThePass家族以15.38%位居第三。 其中位居第三的TellYouThePass持续通过web漏洞利用发动攻击。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。 2023年9月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型占比基本相当，偶有NAS平台感染。 勒索软件热点事件 Cisco警告称其VPN的0day漏洞被勒索软件团伙利用 思科警告称，思科自适应安全设备(ASA)和思科Firepower威胁防御系统(FTD)中存在编号为CVE-2023-20269的0day漏洞，而勒索软件组织会利用该漏洞来获取对企业网络的访问权限。该漏洞允许未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户，攻击者可以在受攻击的网络中建立无客户端的SSL VPN会话，而根据受害者的具体网络配置差异这一攻击也会产生不同级别的威胁。 在今年8月，就有报道称Akira勒索软件团伙利用Cisco VPN设备的未知漏洞入侵企业网络。在这次攻击发生的一周后，Rapid7报告称除了Akira之外，Lockbit勒索软件也利用了Cisco VPN设备的安全漏洞。9月初，思科确认了这些勒索软件团伙利用的0day漏洞的存在，并在临时安全公告中提供了解决方法。但目前尚未发布受漏洞影响的产品的安全更新。 香港数码港遭勒索攻击致400GB数据泄露 安全内参9月8日消息，香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称，已从数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元）才能归还。 周四，一位IT专家查阅了暗网相关材料，发现包括银行账户信息和身份证复印件在内的被窃数据正在竞价售卖，起价定为30万美元。 香港网络安全公司VX Research的安全专家Anthony Lai Cheuk-tung分析称，“假设一个人的信息是1GB，那就至少有400名受害者。” 数码港商业园区有140名员工，是1900家初创企业和科技公司的运营基地。警方表示，已将此案移交网络安全及科技罪案调查科进行调查，目前尚未有人被捕。 数码港在周三发布声明，谴责未经授权的第三方攻击者入侵其部分计算机系统，并表示他们在发现入侵后迅速采取了行动。但是，声明并未点出谁是可能的肇事者。 凯撒娱乐确认因客户数据被盗而向勒索软件支付赎金 美国最大的赌场连锁品牌凯撒娱乐表示：为避免近期的一次网络攻击中遭窃取的客户数据在网上泄露，该公司已向黑客支付了赎金。 凯撒娱乐于9月7日发现有攻击者窃取了其“忠诚度计划”数据库，该数据库中存储了许多客户的驾照号码和社会安全号码。在凯撒娱乐向美国证券交易委员会提交的一份8-K表格中显示：“我们仍在调查攻击者获得的文件中包含的敏感信息的范围。”……“到目前为止，没有证据表明任何会员的密码/PIN码、银行账户信息或支付卡信息（PCI）已被攻击者获取。” 此外，表格内容中还暗示向攻击者支付赎金是为了防止被盗数据在网上泄露。据媒体透露，该娱乐公司支付了大约1500万美元的赎金，这一金额大约是攻击者最初索要的3000万美元的一半。尽管如此，凯撒明确表示，它无法就“应对事件负责的攻击者”的潜在行动提供任何保证，包括他们仍可能出售或泄露客户被盗信息的可能性。 黑客积极利用Openfire漏洞来加密服务器 黑客正在积极利用Openfire的消息传递服务器中的一个高严重性漏洞传播勒索软件用以加密服务器并部署加密挖矿程序。 Openfire是一种被广泛使用的基于Java的开源聊天服务器，此次被利用的漏洞编号为CVE-2023-32315，是一种影响Openfire管理控制台的身份验证绕过方式，该漏洞允许未经身份验证的攻击者在易受攻击的服务器上创建新的管理员帐户。攻击者通常使用这些帐户安装恶意Java插件。 该漏洞影响几乎所有当前主流的Openfire版本，从3.10.0到4.6.7，以及4.7.x中的4.7.0到4.7.4版本。尽管Openfire在5月发布的版本4.6.8、4.7.5以及最新的4.8.0中修复了该问题，根据统计：到8月中旬，仍有超过3000台Openfire服务器仍运行着易受攻击的版本。 黑客信息披露 以下是本月收集到的黑客邮箱信息：   表格1. 黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。 以下是本月被双重勒索软件家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。 本月总共有449个组织/企业遭遇勒索攻击，其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有19个组织/企业未被标明，因此不再以下表格中。   表格2. 受害组织/企业 系统安全防护数据分析 360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows Server 2012。 对2023年9月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。 通过观察2023年9月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。 勒索软件关键词 以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。  devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 360：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为360而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒，本月新增通过数据库弱口令攻击进行传播。 locked: 属于TellYouThePass勒索软件家族，由于被加密文件后缀会被修改为locked而成为关键词。该家族主要通过各种软件漏洞、系统漏洞进行传播。 halo：同360。 malloxx：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播。此外360安全大脑监控到该家族本曾通过匿影僵尸网络进行传播。 wis：属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 faust：同devos。 mkp：同wis。 mallox：同malloxx。 eking：同devos。 解密大师 从解密大师本月解密数据看，解密量最大的是Loki，其次是Sodinokibi。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。 转自安全客，原文链接：https://www.anquanke.com/post/id/290700 封面来源于网络，如有侵权请联系删除

哈马斯袭击以色列后，双方及其支持者之间也开始了网络战争。黑客活动分子已经将 以色列和巴勒斯坦的SCADA 和 ICS 系统作为目标 ，其他暴露的系统是他们的下一个潜在目标。  Cybernews 研究团队在以色列发现了至少 165 个暴露的联网 RTSP 摄像头，在巴勒斯坦发现了 29 个暴露的 RTSP 摄像头，这些摄像头对任何人都是开放的。更多的人可能会受到影响。 RTSP 代表实时流协议。虽然这种通信系统对于传输实时数据很有用，但它既不提供加密也不提供针对密码猜测的锁定机制。 “不良行为者只需要基本技能就可以找到摄像头并暴力破解登录凭据，因为众所周知的软件工具和基本教程早已存在。研究人员警告说，暴露的 RTSP 摄像头可能会在网络战争场景中带来多种风险和危险。 特拉维夫至少有 37 个暴露的 RTSP 摄像机，Potah Tiqva 有 16 个，里雄莱锡安有 13 个。 在巴勒斯坦，曝光的摄像头大部分位于约旦河西岸，这可能与以色列对加沙地带的电力封锁有关。 武装分子可能会观察并利用易受攻击的摄像头 暴露的 IP 摄像机的第一个也是最重要的风险是黑客获取访问权限。这将使他们能够查看实时直播并记录镜头，这些镜头可用于监视、侦察或收集敏感信息。 “如果暴露的摄像头位于私人或敏感区域，它们可能会侵犯人们的隐私。个人信息、日常生活或机密对话可能会被记录和滥用。这些信息可用于情报收集、间谍活动或勒索，”研究人员写道。 虽然个人面临风险，但网络对手主要感兴趣的是组织甚至政府设施。对其 RTSP 摄像头的访问可能为攻击者渗透摄像头所连接的网络提供了立足点。一旦进入网络，他们就可以横向移动以危害其他系统或窃取数据。 “攻击者可能会操纵摄像头反馈来显示误导性信息，造成混乱或恐慌。例如，改变安全摄像头的镜头来隐藏闯入事件，或者让事情看起来好像发生了，但实际上并没有发生，”研究人员警告说。 此外，与任何其他智能设备一样，暴露的摄像头可能会被网络犯罪分子利用构建僵尸网络进行拒绝服务 (DDoS) 攻击或任何其他恶意活动。 因此，暴露设备的所有者不仅要承担自身安全的责任，还要承担保护社区的责任。 使用加密协议和强大的凭据隐藏摄像头 分离和加密以及可靠的凭据是 Cybernews 研究人员推荐的保护 RTSP 摄像机的策略。 在最好的情况下，所有安全或其他 IP 摄像机都应连接到具有端到端加密或 WPA2（Wi-Fi 保护访问 2）（如果网络是无线）的单独受保护子网。 使用加密机制来保护摄像机和查看客户端之间的通信。用于远程访问的虚拟专用网络 (VPN) 是首选。 确保 RTSP 摄像机需要可靠且唯一的密码才能访问。使用默认密码或弱密码是一个常见错误，很容易导致未经授权的访问。 保持相机固件最新，以解决安全漏洞并提高整体系统安全性。 实施访问控制以限制谁可以查看摄像机源。这可能涉及使用 IP 白名单或 VPN 进行远程访问。 考虑转向提供加密的协议，例如 HTTPS   转自安全客，原文链接：https://www.anquanke.com/post/id/290688 封面来源于网络，如有侵权请联系删除