近日，eSentire威胁响应小组（TRU）发现网络犯罪分子正利用生成式人工智能（GenAI）平台的普及，通过在暗网市场销售被盗账户凭证来牟利。 据eSentire介绍，每天大约有400个GenAI账户凭证在暗网平台上交易，包括GPT、Quillbot、Notion、HuggingFace和Replit等平台的凭证。这些凭证通常从感染了信息窃取恶意软件的企业用户计算机中获取，该软件会收集用户在互联网浏览器中输入的所有数据。 一个名为LLM Paradise的地下市场专门销售被盗的GPT-4和Claude API密钥。该市场已于最近关闭，但它的存在突显了问题的严重性，被盗密钥的广告价格低至15美元。 LLM Paradise的关闭并没有遏制这一趋势，网络犯罪分子仍在利用盗取的GenAI凭证来开展网络钓鱼活动、开发恶意软件和生成恶意聊天机器人。 eSentire警告，这一现象对企业数据的潜在影响极为严重。被盗的GenAI凭证可能使攻击者获得公司敏感信息的访问权，包括客户数据、财务记录、知识产权和员工的个人可识别信息（PII）。 此外，针对GenAI平台提供商的攻击者能够从企业用户那里获取大量数据，这加剧了整体的威胁态势。 eSentire在其的报告中还指出了与GenAI相关的几个关键威胁，包括LLM劫持、滥用被盗凭证进行网络犯罪以及通过即时注入攻击绕过平台防护措施。 报告还提到了激进的数据收集行为和供应链风险，比如OpenAI在2023年遭遇的数据泄露事件，凸显了这些平台的脆弱性。OpenAI的凭证成为最常被盗和出售的，平均每天有200个账户在暗网上挂牌。 为了降低这些风险，公司必须实施强有力的安全措施，如使用监控、先进的多因素认证（MFA）方法和暗网监控服务。   转自Freebuf，原文链接：https://www.freebuf.com/articles/407427.html 封面来源于网络，如有侵权请联系删除

一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。 根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过 32,000 次，但未被任何安全工具检测到。 Google Play 中的 Mandrake 应用 Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的，但在此之前已在野外活跃了至少四年。当时，研究人员估计四年期间的受害者人数达“数十万”。 今年 4 月初，卡巴斯基公司的研究人员发现了一个“可疑样本”，他们声称这是 Mandrake 的新版本，它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中，包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后，于 2024 年 3 月底被下架。 Mandrake 分几个阶段收集设备信息。首先，它收集设备数据，包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。 卡巴斯基表示，如果基于这些信息，攻击者发现受害者很有趣，他们就会运行恶意软件的主要组件，其中包含高级功能，例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。 恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如，据 Bitdefender 称，在之前的活动中，Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。 目前尚不清楚黑客如何使用他们在攻击过程中获得的信息，也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定，但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。 卡巴斯基表示，新发现表明，Mandrake 正在“不断进化，改进伪装方法，并绕过新的防御机制”。 研究人员表示，该恶意软件在 Google Play 上多年来一直未被发现，“表明攻击者的资质很高，而且在应用程序发布到市场之前对其进行的限制和检查越来越严格，这导致更复杂的威胁能够渗透到官方应用商店，使它们更难被发现”。 谷歌发言人表示，公司已经意识到这些应用程序的存在，并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击，该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Google Play 之外。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w 封面来源于网络，如有侵权请联系删除

从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。 全球大规模系统崩溃的灾难性事件尚未完全平息，CrowdStrike近日再爆大雷。 知名黑客USDoD近日宣称窃取了CrowdStrike全部攻击指标（IoC）数据，共约2.5亿条，并在Breach Forums上发布了其中10万条IoC数据作为样本，该事件立即引发了安全业界广泛关注。 研究者发现，这些IoC指标样本含详细的威胁情报信息，其中包括Mispadu恶意软件和SAMBASPIDER威胁行为者的关键细节。 具体泄漏了哪些信息？ USDoD，曾因入侵FBI的InfraGard安全平台而闻名，宣称此次在Breach Forums上发布的只是他掌握的CrowdStrike IoC数据的冰山一角。首批泄漏数据为一个大小为53MB的CSV文件，包含了10.3万行IoC指标信息。Hackread研究团队分析泄漏样本后发现，其中包含与Mispadu恶意软件相关的多个IoC指标的详细信息。这些指标包括多种哈希值（如MD5、SHA-1和SHA-256），用于识别特定的恶意文件。所有数据均与SAMBASPIDER威胁行为者相关，涉及网络攻击的“投放”和“安装”阶段，具体如下： 哈希和恶意软件信息：CSV文件包含各种哈希类型，例如MD5、SHA-1和SHA-256，用于识别与Mispadu恶意软件相关的特定恶意文件。 威胁行为者：泄露的样本数据中的所有条目似乎都与威胁行为者SAMBASPIDER有关。 杀伤链阶段：数据突出显示了网络杀伤链的“交付”和“安装”阶段，提供了对恶意软件在目标系统上交付和安装的阶段的深入了解。 置信度级别：每个条目都标有高置信度级别，表明威胁情报的可靠性。 威胁类型：威胁分为多种类型，包括银行威胁、犯罪威胁和模块化威胁，突显了Mispadu 恶意软件的多面性。 MITRE ATT＆CK技术：泄漏的IoC指标映射到几种MITRE ATT＆CK技术，例如： 执行/用户执行 发现/系统检查 凭证访问/输入捕获 凭证访问/凭证转储 命令与控制/数据混淆 防御规避/混淆的文件或信息 研究者发现，每个IoC指标都标记为高置信度，表明这些威胁情报的可靠性。威胁类型包括银行、犯罪和模块化等多种类别，展示了Mispadu恶意软件的多面性。 针对USDoD的泄漏声明，CrowdStrike采取了谨慎的回应态度，并未完全否认黑客的说法。该公司分析了部分泄漏数据样本，根据其中“LastActive”日期大致判断数据泄漏可能发生在2024年7月。CrowdStrike认为，USDoD有夸大其词的历史，建议公众对其声明保持怀疑态度。 IoC指标泄漏的五大危害 此次大规模IoC数据泄漏可能对CrowdStrike的用户造成严重而深远的不利影响。GoUpSec分析师FunnyG表示，IoC指标信息可能被攻击者利用以规避检测，改进攻击工具和方法，暴露客户安全防御弱点等，具体如下： 1 攻击者规避检测 泄漏的IoC数据包含了CrowdStrike用于检测恶意活动的具体指标，如恶意文件的哈希值、恶意IP地址等。这些数据一旦被攻击者获取，他们可以修改或规避这些已知的特征，以逃避安全检测。例如，攻击者可以改变恶意软件的哈希值或使用不同的IP地址，从而避开安全系统的侦测和拦截。 2 增加客户的安全风险 客户依赖于CrowdStrike提供的威胁情报来保护其网络安全。泄漏的IoC数据可能包含尚未公开的威胁信息，这些信息对保护客户系统至关重要。如果这些数据被广泛传播，攻击者可能更容易找到和利用客户系统的漏洞，导致潜在的安全事件增加。对于使用这些威胁情报保护网络的企业，可能需要重新评估其安全策略并更新防御措施。 3 信息误用和安全情报滥用 IoC指标数据通常包含与恶意软件和威胁行为者相关的详细信息，这些信息对于安全研究人员和企业至关重要。然而，一旦这些数据泄漏，恶意行为者也可以使用这些信息来研究和改进其攻击手段。特别是涉及Mispadu恶意软件和SAMBASPIDER威胁行为者的详细情报，可能帮助攻击者更好地理解安全系统的检测机制，从而进一步精细化其攻击策略。 4 信任危机和声誉损害 此次泄漏事件可能导致客户对CrowdStrike的信任危机。客户依赖于CrowdStrike提供安全保护，而此次事件显示了其在数据安全管理方面的不足。长远来看，这可能影响客户对CrowdStrike服务的信任度，进而影响公司的市场声誉和客户保留率。 5 法律和合规风险 如果泄漏的IoC数据中包含敏感的客户信息或违反了数据保护法规，CrowdStrike可能面临法律和合规风险。公司可能需要面对监管调查和潜在的法律诉讼，这不仅会导致财务损失，还可能影响公司在行业中的地位。  CrowdStrike经历了公司历史上最黑暗的七 值得注意的是，这些泄漏的IoC指标对于（其他厂商的）网络安全研究人员和专家也可以利用这些数据，加强对抗Mispadu恶意软件和SAMBASPIDER的安全机制。 CrowdStrike的黑色七月 月。IoC指标大规模泄漏之际，CrowdStrike正忙于响应不久前导致全球系统崩溃的灾难性事件。后者不仅导致大量Windows设备崩溃，还引发了假冒补丁的恶意软件传播，进一步感染了更多设备。这一连串的安全问题，无疑给CrowdStrike带来了巨大压力。 从事件性质来看，此次IoC指标大规模泄漏暴露了CrowdStrike自身的管理问题，其对品牌和客户信任的伤害可能还要远大于导致全球系统大规模崩溃的“意外”事件。因为IoC指标的泄漏不仅增加了CrowdStrike客户面临的直接安全威胁，还可能导致更广泛的安全情报滥用、信任危机以及法律和合规风险。 当前，CrowdStrike尚未对最新的泄漏事件发布新的声明，业界正在密切关注此事件的发展及其对网络安全领域的潜在影响。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6D8YauVU3_8JEzEsUvCX2A 封面来源于网络，如有侵权请联系删除

美国医疗保健公司HealthEquity 430 万人的个人信息及健康信息遭到泄露。 该公司在提交给美国缅因州总检察长办公室的监管文件中表示，泄露事件于3月25日被发现，需要进行“广泛的技术调查”。 在技术调查中，HealthEquity表示：“我们发现针对存储在我们核心系统之外的非结构化数据存储库中，一些受保护的健康信息和个人身份信息存在未经授权的访问和潜在泄露的风险。” 据该公司称，攻击者入侵了有权访问在线存储库的供应商用户帐户并获取了存储在那里的信息，随后数据遭到泄露。泄露的数据主要包括其管理的账户和福利的注册信息，以及用户的个人信息，包括姓名、地址、电话号码、员工 ID、雇主、受抚养人信息和支付卡信息等。 在发现数据泄露事件后，该公司立即采取了行动，包括禁用所有可能受到损害的供应商账户并终止所有活动会话、阻止与威胁行为者活动相关的所有 IP 地址、为受影响的供应商实施全局密码重置。 对于此次数据泄露事件，虽然该公司没有透露受影响供应商的名称，但表示将从8月9日起向大约430万人邮寄通知信。 对于在此次数据泄露事件中受到影响的个人，HealthEquity表示将为他们提供两年的免费信用身份监控、保险和恢复服务，并鼓励他们监控他们的账户是否有可疑活动。 该公司表示：“迄今为止，我们尚未发现因该事件而导致的任何信息被实际滥用或试图被滥用的情况。” HealthEquity是一家美国医疗保健公司，专注于管理健康储蓄账户（HSA）及相关的消费导向型健康福利解决方案。公司主要业务是与雇主、保险公司和个人合作，提供管理健康福利和储蓄计划的工具和资源。   消息来源：securityweek，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称2024年黎巴嫩卫生部数据遭到泄露，该威胁行为者声称拥有55GB的内部数据文件，并将该数据定价为5000美元。 知道创宇暗网雷达监测截图 该威胁行为者声称拥有55GB的内部数据文件，特别提到了SQL文件。根据论坛帖子中包含的样本数据显示，所谓的机密信息似乎是医疗记录和个人身份信息。泄露数据包括：姓名、家庭成员姓名、性别、出生日期、婚姻状况、地址信息等。 黑客于暗网发布的帖子截图 黎巴嫩卫生部是负责管理和监督黎巴嫩公共卫生事务的政府机构，也是政府主管医疗服务部门的最高机构。 黎巴嫩卫生医疗服务系统以私营医院、诊所、药房为主体（90%），国家医疗单位为补充。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

攻击者可以绕过来自多个供应商的数百万个基于英特尔和 ARM CPU的计算机安全启动过程，因为它们都共享设备启动过程中使用的先前泄露的加密密钥。 美国 Megatrends International (AMI) 公司的平台密钥 (PK) 在PC安全启动过程中充当信任根，并验证设备固件和启动软件的真实性和完整性。 不幸的是，固件安全供应商 Binarly 的研究人员发现，该密钥早在 2018 年的一次数据泄露中就已被公开曝光。Binarly在本周关于该问题的帖子中表示：“该密钥很可能包含在 [AMI] 的参考实现中，预计它会被供应链中的下游实体用另一个安全生成的密钥替换。” PKFail 安全启动问题 事情似乎是这样的，一家原始设备制造商 (OEM) 将 AMI 测试密钥用于其为不同的英特尔和 ARM 设备制造商生产的固件。 Binarly 首席执行官兼创始人 Alex Matrosov 表示，结果就是全球可能有数百万台消费者和企业设备在安全启动过程中使用相同的受感染 AMI PK。受影响的供应商包括联想、惠普、华硕和 SuperMicro。 Matrosov 称：“能够访问 PK 私有部分的攻击者可以通过操纵密钥交换密钥数据库、签名数据库和禁用签名数据库轻松绕过安全启动。”他将此问题称为“PKFail”。 此问题使攻击者能够更轻松地部署统一可扩展固件接口 (UEFI) 启动套件（例如去年的 BlackLotus），这些启动套件可提供持久的内核访问和特权。 Matrosov 说：“修复方法很简单：需要更换被盗用的密钥，设备供应商需要发布固件更新。”他指出，已经有几家公司这样做了。然而，在许多情况下——例如数据中心服务器或关键应用程序中使用的系统——固件更新可能需要一些时间才能部署。 “如果设备受到影响，利用此漏洞很容易。”他指出，Binarly 为 PKFail 开发了一个概念验证漏洞 (PoC)。Matrosov 建议各组织将带有泄露的 AMI PK 的设备从关键网络断开，直到他们能够部署固件升级。 一把万能钥匙 PKfail 问题十分严重，因为它让黑客能够轻松绕过安全启动，这就像是一把万能钥匙，可以打开很多房子，荷兰 Hadrian 公司首席执行官 Rogier Fischer 在一封电子邮件中表示：“由于不同的设备使用相同的密钥，一次入侵就可能影响多个系统，使问题蔓延。” Matrosov 表示，PKFail 只是十多年来一直存在问题的最新表现，即 OEM 和设备制造商倾向于在生产固件和设备中使用非生产和测试加密密钥。例如，AMI PK 显然被视为完全不受信任的，但它最终出现在多家供应商的设备中。 Binarly 的报告指出了 2016 年发生的一起事件，编号为CVE-2016-5247，安全研究人员发现多台联想设备共享同一个 AMI 测试密钥。当时，国家漏洞数据库将该问题描述为允许“本地用户或物理上接近的攻击者利用 AMI 测试密钥绕过安全启动保护机制”。 Binarly 在报告中表示，从根本上来说，PKFail 是设备供应链中加密密钥管理实践不佳的表现。 “这是一个大问题。”Matrosov 说。“想象一下，一个公寓大楼里所有门锁的钥匙都是一样的。如果一把钥匙丢失，就会给所有人带来麻烦。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g 封面来源于网络，如有侵权请联系删除

安全研究人员在 Python 软件包存储库 (PyPI) 中发现了一个恶意软件，该恶意软件针对 Apple macOS 系统，目的是从少数受害者那里窃取用户的 Google Cloud 凭据。 这个名为“lr-utils-lib”的软件包在被删除之前总共吸引了59 次下载。它于 2024 年 6 月初上传。 Checkmarx 研究员 Yehuda Gelb 在周五的一份报告中表示：“该恶意软件使用预定义哈希列表来针对特定的 macOS 机器，并试图获取 Google Cloud 身份验证数据。获取的凭据会被发送到远程服务器。” 该软件包的一个重要方面是，它首先检查它是否已安装在 macOS 系统上，然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希值的硬编码列表进行比较。 如果受感染的机器属于预定义集合中指定的机器之一，它会尝试访问位于 ~/.config/gcloud 目录中的两个文件，即 application_default_credentials.json 和 credentials.db，其中包含 Google Cloud 身份验证数据。 捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]cloudfunctions[.]net”。 Checkmarx 表示，它还在 LinkedIn 上发现了一个名为“Lucid Zenith”的虚假个人资料，与该包裹的所有者相匹配，并谎称自己是 Apex Companies 的首席执行官，这表明此次攻击可能存在社会工程学因素。 目前尚不清楚此次攻击活动的幕后黑手究竟是谁。两个多月前，网络安全公司 Phylum披露了另一起供应链攻击的细节，该攻击涉及一个名为“requests-darwin-lite”的 Python 包，该包在检查 macOS 主机的 UUID 后也被发现会释放恶意行为。 这些活动表明攻击者事先了解他们想要渗透的 macOS 系统，并竭尽全力确保恶意软件只分发到那些特定的机器上。 它还谈到了恶意攻击者用来分发类似软件包的策略，目的是欺骗开发人员将它们合并到他们的应用程序中。 “虽然尚不清楚这次攻击是针对个人还是企业，但这类攻击可能会对企业造成重大影响。”Gelb 说。“虽然最初的攻击通常发生在个人开发人员的机器上，但对企业的影响可能是巨大的。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g 封面来源于网络，如有侵权请联系删除

安全内参7月24日消息，今年1月中旬，正值隆冬时节，乌克兰利沃夫市的部分居民被迫在没有集中供暖的情况下生活了两天。安全研究人员和乌克兰当局后来得出结论，原因是一家市政能源公司遭受了网络攻击。 美国工控安全公司Dragos昨天发布报告，详细介绍了一种名为FrostyGoop的新型恶意软件。Dragos表示，该软件旨在攻击工业控制系统。在上述案例中，该软件被用来针对一种供暖系统控制器。 新型恶意软件致使超600栋公寓停暖 Dragos的研究人员在报告中写道，他们在今年4月首次检测到这种恶意软件。当时，除了恶意软件样本外，Dragos没有更多关于FrostyGoop的信息，认为它仅用于测试。然而，后来乌克兰当局向Dragos发出预警称，有证据表明在1月22日晚间至1月23日，这种恶意软件被用于对利沃夫发起网络攻击。 在报告发布前的一次记者电话会议中，Dragos的研究人员Mark Graham（代号“喜鹊”）说道：“攻击导致超过600栋公寓楼在近48小时内失去了供暖。” 乌克兰国家安全委员会的一位发言人通过电子邮件告诉外媒TechCrunch，在攻击发生后，他们“参与制定了应对措施”。 发言人在电子邮件中写道：“因此，网络攻击的影响很快被消除，服务得以恢复。” 发言人证实攻击发生在2024年1月，影响了“利沃夫市超过600户家庭。”发言人还表示，黑客的目标是“LvivTeploEnergo的信息和通信基础设施”，这是一家大型暖气和热水供应商。 Dragos的研究人员Graham、Kyle O’Meara和Carolyn Ahlers在报告中写道：“事件的修复花了近两天时间。在此期间，民众不得不忍受低于零度的气温。” 工控恶意软件正成为重大威胁 这是近年来乌克兰人遭遇的第三起与网络攻击相关的市政服务停运事件。研究人员表示，虽然这种恶意软件不太可能引起大范围停运，但它表明恶意黑客正在加大对关键基础设施（如能源电网）的攻击力度。 FrostyGoop恶意软件旨在通过Modbus协议与工业控制设备（ICS）交互。Modbus是一种在全球范围内广泛使用的旧协议，用于控制工业环境中的设备。根据Dragos的说法，这意味着FrostyGoop可以用于攻击其他公司和设施。 Graham告诉记者：“目前，至少有4.6万个暴露在互联网上的ICS设备允许使用Modbus。” Dragos表示，FrostyGoop是该公司多年来遇到的第九个专门针对ICS的恶意软件。其中最著名的是Industroyer（也称为CrashOverride）。与俄罗斯政府有关的臭名昭著的黑客组织Sandworm先后利用Industroyer切断基辅的电力、断开乌克兰的电力变电站。 除了针对乌克兰的这些网络攻击，Dragos还发现名为Triton的恶意软件，它先后被部署在沙特一家石化工厂和另一座未知设施。另外，去年Mandiant公司还发现名为CosmicEnergy的恶意软件。 攻击者通过路由器进入网络，国产控制器遭劫持 Dragos的研究人员写道，他们认为控制FrostyGoop恶意软件的黑客首先通过利用暴露在互联网的MikroTik路由器的漏洞访问了目标市政能源公司的网络。研究人员表示，该路由器与其他服务器和控制器没有“充分隔离”。其中一款控制器的制造商是中国公司ENCO。 Graham在电话会议中表示，他们在立陶宛、乌克兰和罗马尼亚发现了处于暴露状态的ENCO控制器。他再次强调，虽然这次FrostyGoop用于利沃夫的定向攻击，但控制该恶意软件的黑客完全有可能会在其他地方发起攻击。 ENCO及其员工未立即回应TechCrunch的置评请求。 研究人员写道：“对手没有尝试破坏控制器。相反，对手让控制器报告不准确的测量结果，导致系统运行错误，无法向客户供暖。” 在调查期间，研究人员表示，他们得出结论认为黑客“可能在2023年4月”首次访问了目标网络，这差不多是他们部署恶意软件并切断供暖之前一年。报告称，在接下来的几个月中，黑客不断访问网络，并在2024年1月22日通过位于莫斯科的IP地址连接到网络。 Graham表示，尽管攻击者IP地址位于俄罗斯，Dragos并未指出哪一家已知黑客组织或政府应对此次网络攻击导致的服务中断负责，因为他们找不到与之前活动或工具的联系，也因为Dragos长期以来并不对网络攻击进行溯源。 不过，Graham指出，他和他的同事们认为这次破坏行动是通过互联网进行的——而不是向设施发射导弹——可能是为了破坏当地乌克兰人的士气。 Graham说：“我认为，这次攻击在很大程度上是一种心理攻击，通过网络手段进行。这种情况下，物理攻击可能并非最佳选项。” 最后，Dragos的首席技术官Phil Tonkin表示，虽然我们不能低估FrostyGoop带来的危害，但同样重要的是不要过分炒作它。他在与媒体的电话会议中说道：“我们必须认识到，这是一个被积极使用的工具。同样重要的是，我们不要认为这个工具能够立即摧毁一个国家的电网。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/pjZbGxwrxS-FvAffOMUM5Q 封面来源于网络，如有侵权请联系删除

在巴黎奥运会前夕，卡巴斯基专家检查了巴黎近 25,000 个可免费访问的 Wi-Fi 网络。该分析发现，25% 的网络加密程度较弱或根本没有加密，导致用户的个人和银行数据容易被盗。只有 6% 的网络使用较新的安全协议 WPA3。 预计将有数千名游客参加巴黎奥运会，这是自取消健康限制以来首次亲自举办的奥运会。作为活动的一部分，卡巴斯基 GReAT（全球研究与分析团队）的研究人员绘制并评估了可供游客使用的公共 Wi-Fi 网络的安全性。 研究人员分析了最受欢迎的旅游景点和奥运场馆*附近发出的 47,891 个 Wi-Fi 信号，从中识别出 24,891 个独特的 Wi-Fi 接入点。这些网络中有四分之一（25%）在网络安全方面存在许多弱点，特别是加密级别太弱，使用户数据面临拦截、解密甚至黑客攻击的风险。 此外，近20%的网络配置了WPS协议，这是一种过时且易被攻击的算法，尤其使这些网络面临WPS攻击，可能导致数据丢失。在所分析的网络中，只有 6% 使用最新的安全协议 WPA3。 “运动员并不是唯一为奥运会做准备的人：网络犯罪分子还准备在酒店、球迷区甚至测试现场设置虚假接入点，迎接今年夏天预计将抵达巴黎的数百万人。 或危害合法网络以拦截和传输数据。配置不良的开放式 Wi-Fi 网络特别受网络犯罪分子欢迎，因为它们使他们更容易窃取密码、信用卡凭证和其他敏感数据。”卡巴斯基 GReAT META 研究中心负责人 Amin Hasbini 评论道。 使用虚拟专用网络 (VPN) 为公共 Wi-Fi 网络的用户提供了额外的安全屏障。 VPN 对互联网连接进行加密，在设备和互联网之间创建安全隧道。这种加密可以防止网络犯罪分子拦截数据，即使在不安全的网络上也是如此。通过隐藏 IP 地址并对所有传输的数据进行加密，VPN 可确保在使用公共 Wi-Fi 时个人和财务信息仍然受到保护。 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5pcJxbTE-ahI1ZAijPHjig 封面来源于网络，如有侵权请联系删除

近日，Cybernews 研究小组发现有黑客恶意克隆了 Z-Library网站 ，并有近 1000 万用户因访问了该网页而导致数据遭遇泄露。 Z-Library 是一个著名的盗版书籍和学术论文在线平台，这1000 万人都以为自己访问的是该网站。但不知道自己访问的其实是虚假平台，骗子借此收集了他们的个人信息、密码、加密地址，以及付款信息。更糟糕的是，他们泄露了用户的所有信息，病将用户暴露给其他网络犯罪分子和当局。 迄今为止，最大的数字盗版事件发生在 2007 年，当时有黑客攻击了海盗湾，泄露了 150 万用户的电子邮件和密码。 此次泄露的数据均为真实用户填写 据悉，此次泄露的数据库备份属于 Z-lib，它是 Z-Library 的恶意克隆，在谷歌搜索结果中名列前茅。 威胁者意外泄露了 976万用户的用户名、电子邮件地址、密码、比特币和 Monero 钱包地址、国家代码、图书请求、时间戳、评论、发票等信息。 研究人员验证了数据的有效性，并确认注册用户收到了恶意链接垃圾邮件。 研究人员得出结论，这些数据是真实的，是用户自己填写的。许多人并不MaryIsHereToReadDirtyBooks 那么机智，他们提供了自己的真实姓名和其他敏感的个人信息。 这次泄密事件令人极为不安，因为它使数百万个加密货币钱包失去了匿名性，并将相关交易与试图访问盗版内容的个人联系起来。Cybernews 的研究人员说：这不仅损害了隐私，也损害了财务和人身安全。 以盗版者为目标的骗子 研究人员发现，数据库备份曝光的网站 “Z-lib[.]is ”是一个类似于电子图书数据库 Z-Library 的钓鱼网站。该网站不允许用户免费非法下载书籍，而是收集登录凭证并要求付款。 Z-lib 网站是在 2022 年 11 月 Z-library 原始域名被执法部门查封几天后创建的。创始人 Anton Napolsky 和 Valeriia Ermakova 在阿根廷被捕。 骗子们假装继续网站的活动，Z-lib 所有者的身份不明。假冒网站的运营者冒充 Z-Library 项目，并声称自己是唯一 “合法 ”的 Z-Library 网站。 这次泄漏事件中被入侵账户的数量之多几乎是前所未有的。这种恶意活动运行时间如此之长、如此成功、吸引如此多的受害者，实属罕见。研究人员说：目前已确认的 1000 万个账户很可能超过了 Z-Library 原始网站被关闭前的账户数量。 根据 SimilarWeb 的数据，其中一个Z-Lib 域名的月访问量为 1070 万，另一个域名的月访问量为 760 万。这些域名不应与最初的 Z-library 服务相混淆，尽管有许多法律挑战、域名查封和封锁尝试，Z-lib 仍然在线。 研究人员解释说：我们发现有一台网络服务器启用了目录列表功能。这意味着任何用户都可以看到服务器上存储的所有文件和目录列表。在其他托管文件中，还有一个数据库备份，其中存储了数百万用户的个人信息。 数据库备份生成于 2024 年 6 月 20 日。它包含用户数据和其他用于操作的信息，如收到的《数字千年版权法案》（DMCA）移除请求和访问网站资源的付款。 研究人员解释说：一个简单的错误配置暴露了数百万用户的电子邮件、用户名和密码，以及他们的比特币和门罗币加密钱包地址。 密码是使用中等复杂度的算法散列的，特别是 bcrypt 算法，成本系数为 10，相当于 1024 次迭代。因此，网络犯罪分子需要先破解密码，然后才能尝试访问其他账户。 用户注册后收到带有恶意链接的垃圾邮件 Cybernews 研究团队联系到了一位在泄密事件中被曝光的 Z-lib 用户，并验证了与其账户相关的泄密数据。 Cybernews 的研究人员还发现了其他多个附有加密钱包地址的账户，并确认这些钱包存在于比特币和莫奈罗区块链上。 研究人员表示：这个人在这个虚假页面上创建了一个账户，可以在泄露的数据库中识别出他们的信息。在他们的允许下，我们能够扫描收件箱中的电子邮件，并确认 Z-library 山寨机正在发送带有恶意链接的垃圾邮件。 用户应该怎么做？ Z-Lib 用户应该意识到，暴露的数据可能会被当局、网络安全研究人员、网络犯罪分子以及任何可能从中获益的人使用。这些数据还没有广泛传播，但采取行动保护其他账户至关重要。执法部门和版权持有者可能会利用泄露的数据对网站用户采取法律行动。 Cybernews 研究人员建议采取以下措施： 确保恶意网站上使用的任何密码不被其他账户重复使用 在电子邮件客户端或服务器中阻止任何恶意 Z-lib 电子邮件地址和域。 在电子邮件客户端中阻止任何恶意电子邮件或将其标记为垃圾邮件。 停止使用与 Z-library 账户绑定的加密钱包，并创建新的钱包。请记住，向另一个钱包转账也是可追踪的。 停止使用在您所在辖区被视为非法的服务。 如果用户受到垃圾邮件的影响，请改用有严格安全措施的电子邮件提供商。 大多数比特币和 Monero 用户并不了解这些加密货币的复杂性，也不知道如何正确匿名交易。网络犯罪分子可能会利用这一漏洞来跟踪交易，并发起网络钓鱼活动，目的是窃取加密货币，甚至敲诈你。如果遇到此类情况，请立即保护您的剩余资产，确保您的钱包受到保护。 这次泄露还可能有助于执法部门对加密货币钱包进行去匿名化处理，追踪可疑交易，并对犯罪分子采取法律行动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406949.html 封面来源于网络，如有侵权请联系删除