近日，浙江温州平阳县公安网安部门破获一起案件，抓获涉案犯罪嫌疑人30名，退赔退赃118万元。 案情回顾 今年4月，平阳县公安局网安大队接辖区内某公司财务人员小陈报警，称其电脑被他人非法控制，嫌疑人利用其微信指令出纳小张往不同的银行卡转账，造成经济损失298.2万元。 案件深挖 原来，境外诈骗团伙先是通过网络招募境内黑客技术员，制作了木马程序。随后他们将伪装成“***政策计划”的木马程序邮件群发至国内企业邮箱，企业工作人员打开程序，便感染了木马病毒，黑客远程控制其电脑，伪装身份，伺机作案。案发当天，出纳小张就是接收到微信上的”财务小陈“指示，从而进行了三次大额转账。微信上的”小陈“说话语气和断句习惯与平时发邮件时一模一样。 不仅如此，该木马程序可自主呈“几何式扩散” 利用企业邮箱传播达到远程控制目的后，黑客利用被控制电脑登录企业员工聊天工具，再进行二次传播，并重复上述作案过程，致使该病毒达到量级传播。危害程度可想而知，案件侦破迫在眉睫。 线索浮出 结合受害方财务室内监控和涉案电脑勘验结果，民警排除了公司内部人员作案的嫌疑。随后，民警通过对远控软件的层层追踪，彻底弄清楚其流程。犯罪团伙利用微信、邮箱传播，致使受害企业财务人员的计算机被控制，企业财务秘密“一览无遗”。在时机成熟之际，黑客就会模仿财务人员的口吻向出纳发出转账指令，让企业蒙受巨额损失。 收网行动 对案情抽丝剥茧后，专案民警分别在浙江、广西、河南、江西等地组织开展收网行动，一举捣毁了一个以廖某为首的黑客工作室和以葛某为首的洗钱团伙，抓获涉案犯罪嫌疑人30名。经审讯，犯罪嫌疑人对其违法犯罪的行为供认不讳。民警结合案件病毒以及远控端数据源分析，发现辖区内另有预警风险企业23家。平阳公安已实地走访排查13家，并做好对企业财务人员转账规范的提醒工作。 案件特点 1.作案目标明确，迷惑性强。 该类犯罪主要针对企业财务人员。犯罪团伙制作木马程序后，伪装成国家相关政策文件木马程序，并发送至企业邮箱，从而降低了企业员工的防范意识，达到植入木马的目的。 2.木马呈几何式扩散，溯源较难。 该木马程序利用企业邮箱传播达到远程控制目的后，犯罪嫌疑人利用被控制电脑登录企业员工聊天工具进行二次传播，并重复上述作案过程，致使该病毒达到量级传播。 3.木马伪装性强，不易被发现。 犯罪团伙对木马实时更新，普通杀毒软件无法查杀该木马程序。企业电脑中毒后，犯罪嫌疑人将使用远程控制端窥视该电脑使用情况，进一步判断电脑使用人员的身份、作息规律、聊天语气等，并伺机作案。 提示 1.普及安全防范意识教育 企业需加大对重点岗位工作人员的信息安全知识普及教育，不随意点击下载陌生人发布的链接、文件。 2.加强信息安全技术支持 企业电脑需配置防火墙、入侵检测等防护技术，定期更新软件、查杀木马，一旦发现电脑出现不明文件或异常操作，要立刻切断网络，并向公安机关报案。 3.健全完善内部管理制度 企业需进一步完善信息安全管理制度，明确内部职责和管理流程，如设置多道审批确认程序，加强财务审批、出纳确认等关键环节的日常防范管理，确保企业财产安全。 转自安全圈，原文链接：https://mp.weixin.qq.com/s/5_-zruPDitNSN1UGP5k_Ag?from=industrynews&version=4.1.9.6012&platform=win 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，安全研究人员发现一个名为 AtlasCross 的网络攻击组织利用红十字会主题的网络钓鱼诱饵，传播两个名为 DangerAds 和 AtlasAgent 的新型后门程序。 NSFOCUS 安全实验室表示此次网络钓鱼攻击活动是网络攻击者对特定目标实施定向攻击的一部分，也是其实现域内渗透的主要手段，并指出发动此次活动的攻击者具有较高的技术水平和谨慎的攻击态度。 本次网络钓鱼攻击活动的攻击链始于一个带有宏的微软文档，该文档自称是关于美国红十字会的献血驱动程序，一旦受害目标点击启动后，便会运行恶意宏设置持久性，将系统元数据外泄到一个远程服务器（data.vectorse[.]com）。（该服务器是美国一家结构和工程公司合法网站的子域） 启动程序还会提取一个代号为 DangerAds 的  KB4495667.pkg ，该文件充当加载程序以启动外壳代码，部署一个C++恶意软件 AtlasAgent。据悉该恶意软件能够收集系统信息、外壳代码操作和运行命令以获得反向外壳，并将代码注入指定进程中的线程。 值得一提的是，网络攻击者在 AtlasAgent 和 DangerAds 上都加入了规避功能，最大程度上降低了被安全工具发现的可能性。 NSFOCUS 指出 AtlasCross 组织涉嫌利用已知的安全漏洞入侵公共网络主机，并将其变成命令和控制（C2）服务器，安全人员在美国发现了 12 台被入侵的服务器。 至于 AtlasCross 及其支持者的真实身份目前仍是一个谜。不过，可以判断这些网络攻击者采用的攻击流程非常强大和成熟。 最后，NSFOCUS 公司强调在现阶段 AtlasCross 的活动范围相对有限，主要集中在对网络域内的特定主机进行有针对性的攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/379537.html 封面来源于网络，如有侵权请联系删除

ThreatFabric的研究人员发现了一项向美国和世界各地的安卓用户传播Xenomorph恶意软件的新活动。2022年2月，ThreatFabric的研究人员首次发现了Xenomorph恶意软件，该恶意软件通过官方 Google Play商店分发，安装量超过50000次。 专家们注意到，Xenomorph在2022年期间不断改进，并在小型活动中分发。运营商首先通过GymDropper操作分发安卓恶意软件，后来恶意代码也通过Zombinder操作分发。 3月，专家警告称，一种新的变种被追踪为Xenomorph.C，该变种已得到显著改善。新变种支持新的自动转账系统（ATS）框架，可针对400多家银行和金融机构，主要来自西班牙、土耳其、波兰、美国、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 这个新版本的恶意软件为已经功能丰富的Android Banker添加了许多新功能，最引人注目的是引入了一个由辅助功能服务提供支持的非常广泛的运行时引擎，实现了一个完整的ATS框架。有了这些新功能，Xenomorph现在能够完全自动化完成从感染到资金流出的整个欺诈链，使其成为流通中最先进、最危险的安卓恶意软件特洛伊木马之一。 此外，ThreatFabric识别的样本包括由400多家银行和金融机构组成的目标列表的配置，其中包括几个加密货币钱包，与之前的变体相比增加了6倍多，包括来自各大洲的金融机构。 ATS框架允许运营商自动过滤凭据、检查账户余额、进行交易和从目标应用程序中窃取资金，而无需运营商进行人工交互。 2023年8月，ThreatFabric发现了通过网络钓鱼网页分发的新样本，这些网页旨在诱骗收件人安装恶意APK。目标列表比以前的版本大。该列表为来自美国、葡萄牙和多个加密钱包的机构添加了数十个新的覆盖层。还针对西班牙、葡萄牙、意大利、加拿大和比利时的用户。 这场最新的活动还增加了大量来自美国的金融机构，以及多个加密钱包应用程序，每个样本总共有100多个不同的目标，每个目标都使用特制的覆盖层从受害者受感染的设备中窃取宝贵的PII。恶意软件是通过冒充Chrome更新的网络钓鱼页面发布的。 在调查该活动时，研究人员注意到，威胁行为者犯了一个重要错误，即无限制地暴露了包含分发恶意软件所需文件的服务器文件夹。这使得研究人员能够监控服务器，识别出多个文件。其中一个名为count.txt的文件包含一个条目列表（IP、用户代理和日期），这些条目是试图下载网络钓鱼页面有效负载的目标系统的列表。大部分下载来自西班牙。 Xenomorph的新样本没有对之前的迭代进行重大修改。这些示例支持防睡眠功能和“模拟”功能。后一个功能为恶意软件提供了充当任何其他应用程序的选项，并删除了通常与恶意软件相关的行为。 最新示例中的另一个新功能是“ClickOnPoint”，它允许恶意软件模拟特定屏幕坐标下的点击。 报告总结道：“经过数月的中断，Xenomorph又回来了，这一次的分销活动针对的是他们感兴趣的一些地区，如西班牙或加拿大，并增加了一大批来自美国的目标，以及多个新的加密钱包。Xenomorph保持着极其危险的安卓银行恶意软件的地位，其特点是具有非常通用和强大的ATS引擎，已经创建了多个模块，并支持多个制造商的设备。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/Qsx4ew3I2OxwHQZEc8u25g 封面来源于网络，如有侵权请联系删除

Progressive Leasing是一家价值数十亿美元的公司，允许人们租赁消费品，上周宣布了一次网络攻击，敏感信息在这次网络攻击中被盗。该公司表示，尚未发现这次攻击对其服务的运营造成“重大”影响，但事件的具体情况仍在调查当中。 一位公司发言人表示：“Progressive Leasing最近发生了一次网络安全事件，影响了Progressive Leasing的某些系统。在发现该事件后，我们立即聘请了优秀的第三方网络安全专家，并展开了调查。我们的团队正在与网络安全专家和执法部门一起努力调查和应对这一事件……对事件的调查，包括所涉及数据的识别等，仍在进行中。” 这家总部位于盐湖城的公司与百思买、三星、Cricket、Lowe’s、Zales、Overstock、戴尔等主要零售商建立了数十家合作伙伴关系。它们是运营中最大的先租后买公司之一，隶属于一家更大的公司——PROG Holdings——提供“先买后付”的服务。 该公司向美国证券交易委员会的监管机构报告了此次网络攻击，称所涉及的相关数据包含大量个人身份信息，包括Progressive Leasing客户和其他个人的社会安全号码。 Progressive Leasing将根据适用法律向事件中涉及身份信息的个人以及监管机构发出通知，并且继续承担应对、补救和调查此事的重大费用。该事件的全部费用和相关影响，包括公司的网络安全保险将在多大程度上抵消这些费用，尚未确定。 该公司首席财务官补充说，他们预计此次攻击不会因运营有限而带来财务后果，这与清洁巨头Clorox不同，后者上周向美国证券交易委员会报告称，在网络攻击后面临生产问题。 网络安全专家Dominic Alvieri表示，AlphV/Black Cat勒索软件团伙声称对攻击事件负责，已将该公司添加到其泄密网站，并声称窃取了超过 4000万客户的个人信息。上周，该勒索软件团伙对米高梅度假村的袭击登上了国际头条新闻，这一事件仍在拉斯维加斯造成广泛影响。   转自E安全，原文链接：https://mp.weixin.qq.com/s/UxlSKaaHAMLYD6UaYlY41g 封面来源于网络，如有侵权请联系删除

最近，TikTok 上充斥着大量虚假的名人裸照泄露视频。这些视频是有人专门制作好以用来为 Temu 在线大卖场推送推荐奖励。 Temu 是一个在线购物网站，站内向人们提供数百万种价格极其低廉的产品。 自 2022 年 9 月推出以来，关于该网店的争议一直不断，有人认为这是一个骗局，但也有不少人觉得他们收到的廉价商品还不错。 为了推广网站，Temu 还允许顾客创建专属的推荐号码和链接，可在社交媒体平台上与家人、朋友分享，以赚取商店积分、免费礼品或积分奖励系统。 该奖励系统让人们可以通过玩小游戏赚取更多商店积分，这些积分可以用来兑换现金奖励或购买产品。 这个系统让很多人拿到了免费商品，同时，Temu 也利用这些人们发布到社交媒体上的推荐链接，获得了一次次免费的营销。 Temu推荐链接出现低俗内容 最近，TikTok 上的 Temu 推荐链接中出现了低俗的内容。有骗子制作一些虚假视频称某名人的敏感照片和视频已经泄露，并提示观众下载 Temu 应用程序并输入他们的推荐号码来查看泄露的内容。 最近，TikTok 上充斥着大量虚假的名人裸照泄露视频，这些视频被用来为 Temu 在线大卖场推送推荐奖励。 Temu 是一个在线购物网站，站内向人们提供数百万种价格极其低廉的产品。 自 2022 年 9 月推出以来，关于该网店的争议一直不断，有人认为这是一个骗局，但也有不少人觉得他们收到的廉价商品还不错。 为了推广网站，Temu 还允许顾客创建专属的推荐号码和链接，可在社交媒体平台上与家人、朋友分享，以赚取商店积分、免费礼品或积分奖励系统。该奖励系统让人们可以通过玩小游戏赚取更多商店积分，这些积分可以用来兑换现金奖励或购买产品。 Temu奖励制度范例 这个系统让很多人拿到了免费商品，同时，Temu 也利用这些人们发布到社交媒体上的推荐链接，获得了一次次免费的营销。 Temu推荐链接出现低俗内容 最近，TikTok 上的 Temu 推荐链接中出现了低俗的内容。有骗子制作一些虚假视频称某名人的敏感照片和视频已经泄露，并提示观众下载 Temu 应用程序并输入他们的推荐号码来查看泄露的内容。 Temu虚假内容称Hailie Deegan照片外泄   几乎所有视频的标题都是 “我以为她是无辜的 “或”XXX名人照片泄露”这种带有暗示性文字的照片或标题，诱导用户下载 Temu 并输入列出的推荐号码。 Temu 的这类虚假内容推荐中包含音乐家、演员和其他名人泄密的，包括 Olivia Rodrigo、Jenna Ortega、SSSniperWolf、Brooke Monk、Hailie Deegan 等。 在过去的几周时间，TikTok 上充斥着大量的 Temu 骗局，有很多 TikTok 用户已经注意到这些骗局，有不少人甚至自己拍了视频来质疑这件事。 长期以来，虚假内容泄漏一直被用于诈骗和恶意活动，包括传播恶意软件等等。但这一次值得庆幸的是，这些内容只是被用来为骗子生成商店积分而已。但也不能肯定地说 TikTok 上将来不会出现使用类似的手段来达到恶意目的的事件。因此，如果您看到这样的视频，请不要安装可疑软件，因为您永远不知道您的电脑会感染什么病毒。 转自Freebuf，原文链接：https://www.freebuf.com/news/379093.html 封面来源于网络，如有侵权请联系删除

今年8月下旬，P2PInfect 僵尸网络蠕虫病毒活动量数据开始上升，到今年9月仍在持续上升。 P2PInfect最早发现于2023年7月，它是一种点对点的恶意软件，利用远程代码执行漏洞入侵互联网上的 Windows 和 Linux 系统中的 Redis 实例。 Cado Security 的研究人员自2023年7月下旬以来一直在跟踪该僵尸软件。他们报道称，如今看到的僵尸网络活动遍及全球，影响了包括美国、德国、新加坡、香港、英国和日本等多个国家的系统。 此外，Cado 还表示，最新的 P2PInfect 样本又新增了不少功能并改进了之前的问题功能，这使得其传播力更强。 活动急剧增加 近日，Cado发现了P2PInfect僵尸软件的新活动，这表明该恶意软件已进入代码稳定的新时期。 据研究人员报告称，他们观察到P2PInfect对其蜜罐进行的初始访问尝试次数稳步上升，截至今年8月24日，仅单个传感器的事件数已经达到4064 次。 到今年9月3日，初始访问事件增加了两倍，但仍然相对较少。 然而，在今年9月12日至19日的一周内，P2PInfect 活动激增，仅在此期间，Cado就记录了3619次访问尝试，增长了600倍。 Cado 解释说：P2Pinfect 流量的增加与野生变种数量的增加相吻合，这表明恶意软件开发者的开发速度极快。 记录的尝试访问事件（Cado Security） P2PInfect 的新功能 在活动增加的同时，Cado 还发现了一些新的样本，这些样本使 P2PInfect 成为一个更隐蔽、更可怕的威胁。 首先，恶意软件的作者添加了一种基于 cron 的持续机制，取代了以前的 “bash_logout “方法，每 30 分钟触发一次主要有效载荷。 由 P2PInfect（Cado Security）编写的 Cron 作业 此外，P2Pinfect 现在使用（二级）bash 有效载荷通过本地服务器套接字与主有效载荷通信，如果主进程停止或被删除，它会从对等程序中获取副本并重新启动。 恶意软件现在还使用 SSH 密钥覆盖被入侵端点上的任何 SSH authorized_keys，以防止合法用户通过 SSH 登录。 覆盖现有 SSH 密钥（Cado Security） 如果恶意软件拥有 root 访问权限，它就会使用自动生成的 10 个字符的密码对系统中的其他用户执行密码更改，将其锁定。 最后，P2PInfect 现在为其客户端使用 C 结构配置，该配置在内存中动态更新，而以前它没有配置文件。 目标不明确 Cado 报告称最近观察到的 P2PInfect 变体在试图获取有效载荷，但在被入侵设备上并未看到实际的加密活动。因此，目前还不清楚恶意软件的开发者是否仍在尝试攻击的最后一步，P2PInfect僵尸软件的操纵者可能正在增强其组件或寻找订阅 P2PInfect 的买家。 鉴于当前该僵尸软件的规模、传播、自我更新功能以及本月激增的活动量，可见P2PInfect 是一个值得关注的重大威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378723.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。 MetaStealer是一种基于Go语言编写的恶意软件，能够逃避 Apple 内置防病毒技术，主要目标针对商业用户。网络安全公司SentinelOne在 VirusTotal 上发现了一个恶意软件样本，其中有一条评论称利用MetaStealer的攻击者正在冒充企业客户来传播恶意软件。 根据SentinelOne的报告， MetaStealer 能够伪装成Adobe软件，如如“AdobeOfficialBriefDescription.dmg”和“Adobe Photoshop 2023（带 AI）installer.dmg”。在进行安装时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为 PDF 文件，以诱骗受害者点击打开。 该恶意软件的应用程序包包含最基本的内容，即 Info.plist 文件、带有图标图像的 Resources 文件夹以及带有恶意 Mach-O 可执行文件的 macOS 文件夹。SentinelOne 检查的样本均未经过签名，尽管某些版本具有 Apple 开发者 ID。 MetaStealer 试图窃取被入侵系统钥匙串所保存的各类账号密码以及系统中保存的文件，并通过 3000 端口上的 TCP 外渗。 目前，MetaStealer 仅在 Intel x86_64 架构上运行，意味着它无法危害在 Apple Silicon 处理器（M1、M2）上运行的 macOS 系统，除非受害者使用 Rosetta 运行恶意软件。 然而，MetaStealer 可能会发布一个新版本，增加对 Apple Silicon 的本机支持。因此，MetaStealer是一个需要警惕的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378037.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某黑客组织通过一个伪造和受损的 Facebook 账户网络，发送数百万条 Messenger 钓鱼信息，利用密码窃取恶意软件攻击 Facebook 企业账户。 据悉，网络攻击者通过诱骗目标用户下载一个 RAR/ZIP 压缩包，压缩包中包含一个基于 Python 的可规避窃取程序下载器，该窃取程序能够抓取受害目标浏览器中存储的 cookie 和密码。根据  Guardio 实验室一份新报告显示，大约每七十个目标账户中就有一个账户最终被成功入侵，从而导致巨大经济损失。 Facebook Messenger 网络钓鱼 首先，黑客向 Facebook 企业账户发送 Messenger 钓鱼信息，假装侵犯版权或要求其提供更多产品信息。 Messenger 上的钓鱼信息（Guardio Labs） 此外，压缩包中还包含一个批处理文件，如果受害目标执行该文件，就会从 GitHub 存储库中获取一个恶意软件下载器，以逃避拦截列表并尽量减少明显的痕迹。 除有效载荷（project.py）外，批脚本还获取信息窃取恶意软件所需的独立 Python 环境，并通过设置窃取程序二进制文件在系统启动时执行来增加持久性。（project.py  文件有五层混淆，因此是使得使反病毒引擎难以捕获该威胁） 有效载荷的部分代码（Guardio Labs） 该恶意软件会将受害者网络浏览器上存储的所有 cookie 和登录数据收集到一个名为 “Document.zip “的 ZIP 压缩包中，然后通过 Telegram 或 Discord 僵尸 API 将窃取的数据信息发送给网络攻击者。 随后，网络攻击者会清除受害者设备上的所有 Cookie 以注销其账户，这样做的话攻击者就有足够的时间通过更改密码来劫持新入侵的账户。（鉴于社交媒体公司可能需要一段时间才能回复有关账户被劫持的电子邮件，这就给威胁攻击者利用被黑账户进行欺诈活动，预留了一部分时间。） 完整的攻击链（Guardio Labs） 活动规模 目前，尽管攻击链并不“新奇”，但 Guardio 实验室观察到此次网络攻击的活动规模着实令人震惊，研究人员报告称每周大约有 10 万条网络钓鱼信息，其中大部分发送到了北美、欧洲、澳大利亚、日本和东南亚的 Facebook 用户上。 受害者热图（Guardio Labs） Guardio Labs 表示此次网络攻击活动规模庞大，Facebook 所有企业账户中约有 7% 已成为了攻击目标，其中 0.4% 下载了恶意存档。再加上感染该恶意软件后，用户仍需执行批处理文件，因此被劫持账户的数量尚不清楚，但可能数量相当可观。 攻击活动或与越南黑客有关 值得一提的是，鉴于恶意软件中有某些字符串，并使用“Coc-Coc”网络浏览器（该浏览器在越南非常流行），Guardio 将本次网络攻击活动归因于越南黑客,。 Guardio 进一步解释道，消息”Thu Spam lầ第 n 个 ứ 它被发送到 Telegram 机器人程序，并附上执行时间的计数器，从越南语翻译为“收集 X 时间的垃圾邮件”。 越南威胁攻击组织今年以脸书为目标开展了多次大规模活动，主要通过 Telegram 或暗网市场转售被盗账户来获利。其中在 2023 年 5 月Facebook 曾宣布其阻止了一场源自越南的网络攻击活动，该活动部署了一种名为“NodeStealer”的新型信息窃取恶意软件。2023 年 4 月，Guardio Labs 也曾披露一名越南威胁攻击者滥用 Facebook 广告服务，用窃取信息恶意软件感染了大约 50 万用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/377769.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，思科自适应安全设备（Cisco Adaptive Security Appliance，ASA）和思科威胁防御系统（Cisco Firepower Threat Defense，FTD）中存在一个漏洞（CVE-2023-20269 ），勒索软件组织正在利用该漏洞对部分企业内部网络进行初始化访问。 CVE-2023-20269 漏洞主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程网络攻击者对用户现有账户进行暴力攻击，网络攻击者通过访问帐户，可以在被破坏公司的网络中建立无客户端 SSL VPN 会话。 值得一提的是，上个月，Bleeping Computer 曾报道称 Akira 勒索软件组织已开始通过思科 VPN 设备入侵某些企业的内部网络。当时，网络安全公司 SentinelOne 推测网络攻击者可能利用了一个未知安全漏洞。 一周后，Rapid7 表示除 Akira 外，Lockbit 勒索软件组织也在利用思科 VPN 设备中一个未记录的安全漏洞，但没有透露该安全漏洞的更多其它细节。事后不久，思科就发布了一份咨询警告，称上述违规行为是网络攻击者通过在未配置 MFA 的设备上强行使用凭据，才成功入侵部分公司的内部网络。 本周，思科证实存在一个被勒索软件团伙利用的零日漏洞，并在临时安全公告中提供了解决方法。不过，受影响产品的安全更新尚未发布。 漏洞详情 CVE-2023-20269 漏洞位于 Cisco ASA 和 Cisco FTD 设备的 web 服务接口内，由于未正确分离 AAA 功能和其他软件功能造成。（具有处理身份验证、授权和计费（AAA）功能的功能）。 这就导致攻击者可以向 web 服务接口发送身份验证请求以影响或破坏授权组件的情况，由于这些请求没有限制，网络攻击者能够使用无数的用户名和密码组合来强制使用凭据，从而避免受到速率限制或被阻止滥用。 要使暴力攻击奏效，Cisco 设备必须满足以下条件： 至少有一个用户在 LOCAL 数据库中配置了密码，或者 HTTPS 管理身份验证指向有效的 AAA 服务器； 至少在一个接口上启用了 SSL VPN，或者至少在一一个接口中启用了 IKEv2 VPN。 如果目标设备运行 Cisco ASA 软件 9.16 版或更早版本，在无需额外授权情况下，网络攻击者可以在成功身份验证后建立无客户端SSL VPN 会话。 要建立此无客户端 SSL VPN 会话，目标设备需要满足以下条件： 攻击者在 LOCAL 数据库或用于 HTTPS 管理身份验证的 AAA 服务器中拥有用户的有效凭据，这些证书可以使用暴力攻击技术获得； 设备正在运行 Cisco ASA 软件 9.16 版或更早版本； 至少在一个接口上启用了 SSL VPN； DfltGrpPolicy 中允许使用无客户端 SSL VPN 协议。 如何缓解漏洞？ 据悉，思科将发布安全更新以解决 CVE-2023-20269 安全漏洞问题，但在修复更新可用之前，建议系统管理员采取以下措施： 使用 DAP（动态访问策略）停止具有 DefaultADMINGroup 或 DefaultL2LGroup 的 VPN 隧道； 通过将 DfltGrpPolicy的vpn 同时登录调整为零，并确保所有 vpn 会话配置文件都指向自定义策略，拒绝使用默认组策略进行访问； 通过使用“组锁定”选项将特定用户锁定到单个配置文件来实现 LOCAL 用户数据库限制，并通过将“VPN 同时登录”设置为零来阻止 VPN 设置。 Cisco 还建议通过将所有非默认配置文件指向 AAA 服务器（虚拟 LDAP 服务器）来保护默认远程访问 VPN 配置文件，并启用日志记录以尽早发现潜在网络攻击事件。 最后，需要注意的是，多因素身份验证（MFA）可以有效降低网络安全风险，原因是即使网络攻击者成功强制使用帐户凭据，也不足以劫持 MFA 安全帐户并使用它们建立 VPN 连接。   转自freebuf，原文链接：https://www.freebuf.com/news/377627.html 封面来源于网络，如有侵权请联系删除

近日，谷歌应用商店中出现了伪装成Telegram修订版的间谍软件，该软件可入侵安卓设备并获取敏感信息。 卡巴斯基安全研究员Igor Golovin表示，这种恶意软件不仅可以窃取用户的姓名、ID、联系人、电话号码和聊天信息，还能将这些信息传输至恶意行为者的服务器上。 俄罗斯网络安全公司将这种活动命名为 Evil Telegram。 这些软件在被谷歌商店下架前，已经被下载了数百万次。详细信息如下： 電報,紙飛機-TG繁體中文版 or 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – 10 million+ downloads TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – 50,000+ downloads 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – 50,000+ downloads 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – 10,000+ downloads ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – 100+ downloads 值得注意的是，与 Play Store 版 Telegram 相关的软件包名称是 “org.telegram.messenger”，而直接从 Telegram 网站下载的 APK 文件的软件包名称是 “org.telegram.messenger.web”。 恶意软件包名称中使用的”wab”、”wcb “和 “wob “更加表明了威胁行为者是通过这样的错别字抢注技术来冒充真正的Telegram应用程序，以达到掩人耳目的目的。 乍一看，这些应用程序似乎是带有完整的本地化界面的Telegram克隆版。这个克隆版软件从外观界面、甚至操作运行起来都与真品几乎一样。仅有一个非常小的区别，就是受感染的版本包含一个额外的模块，因此没有引起 Google Play 管理员的注意。 ESET 在几天前披露了针对官方应用程序市场的BadBazaar恶意软件活动，该活动利用恶意版 Telegram 收集聊天备份。 斯洛伐克网络安全公司在2023年3月也曾发现过类似的山寨 Telegram 和 WhatsApp 应用程序，这些应用程序带有剪切功能，可以拦截和修改聊天信息中的钱包地址，并将加密货币转账重定向到攻击者的钱包。 转自freebuf，原文链接：https://www.freebuf.com/news/377615.html 封面来源于网络，如有侵权请联系删除