Pcmag 网站披露，一名黑客利用人工智能深度伪造了一名员工声音，成功入侵 IT 公司 Retool，致使 27  名云客户被卷入网络安全事件当中。 黑客一开始向 Retool 多名员工发送钓鱼短信，声称自己是 Retool IT 团队工作人员并表示能够解决员工无法获得医疗保险的薪资问题。收到钓鱼短信后，大多数 Retool 员工没有进行回应，但有一名员工是个例外，从而引发了此次网络攻击事件。 根据 Retool 分享的消息来看，这名毫无戒心的员工点击了短信中一个 URL，该 URL 将其转到一个虚假的互联网门户网站，在登录包括多因素身份验证表格的门户后，网络攻击者使用人工智能驱动的深度伪造技术扮成了一名 Retool 员工真实声音给员工打了电话，这个”声音“的主人很熟悉办公室的平面图、同事和公司的内部流程。 值得一提的是，整个对话过程中，虽然受害员工多次对电话表示了怀疑，但不幸的是，最后还是向攻击者提供了一个额外的多因素身份验证（MFA）代码。 可以看出，网络攻击者在打电话给受害员工之前，可能已经在一定程度上渗透到了 Retool 中。一旦放弃多因素代码，网络攻击者就会将自己的设备添加到该员工的账户中，并转向访问其 GSuite 账户。 Retool 表示，由于谷歌 Authenticator 应用程序最近引入了云同步功能，该功能虽然便于用户在手机丢失或被盗时可以访问多因素验证码，但 Retool 指出如果用户谷歌账户被泄露，那么其 MFA 代码也会被泄露”。 Retool进一步指出，进入谷歌账户就能立即访问该账户中的所有 MFA 令牌，这是网络攻击者能够进入内部系统的主要原因。社会工程学是一种非常真实可信的网络攻击媒介，任何组织和个人都会成为其攻击目标，如果实体组织规模足够大，就会有员工在不知情的情况下点击链接并被钓鱼。 最后，虽然目前 Retool 已经禁止了网络攻击者的访问权限，但为了警告其它公司免受类似攻击，还是决定公布这起安全事件。   转自Freebuf，原文链接：https://www.freebuf.com/news/378413.html 封面来源于网络，如有侵权请联系删除

最新研究显示，作为间谍活动的一部分，与伊朗政府有联系的黑客瞄准了卫星、国防和制药行业的数千个组织。此次攻击背后的黑客组织被微软追踪为Peach Sandstorm，这一组织成功入侵了一些目标组织并窃取了他们的数据。微软没有透露哪些国家是目标。 最近与伊朗有关的袭击主要集中在以色列、美国、巴西和阿拉伯联合酋长国。微软表示，在2月至7月进行的新活动中，Peach Sandstorm使用公开可用和自定义工具的组合来破坏其目标并收集“支持伊朗国家利益”的情报。 为了闯入受害者的帐户，Peach Sandstorm使用了一种称为“口令喷射”的技术，他们尝试使用单个口令或常用口令列表来获得对目标设备的未经授权的访问。虽然听起来很简单，但这种技术可以让攻击者增加成功的机会，并降低触发自动帐户锁定的风险。Peach Sandstorm（之前被追踪为Holmium）在之前的攻击中也使用了口令喷射，其中包括针对航空航天、国防、化学品和采矿等行业。 当该组织设法攻击目标时，其攻击就会变得更加复杂。例如，微软注意到黑客们使用该公司的AzureHound和Roadtools工具从受害者的系统中收集信息，访问目标云环境中的数据，并将感兴趣的特定数据传输到单个数据库。 黑客组织在一个受损的设备上安装了Azure Arc客户端，并将其链接到他们自己的Azure订阅，使他们能够控制黑客云基础设施中的目标设备。他们还试图利用众所周知的漏洞，例如用于IT服务管理的Zoho ManageEngine中的漏洞，以及团队协作工具Confluence。另外，还使用了商业远程监控和管理工具AnyDesk来保持对目标的访问。 研究人员还发现了一种新的后门工具，疑似伊朗黑客使用该工具攻击巴西、以色列和阿联酋的目标。据网络安全公司ESET称，这个名为“弹道山猫”或“魅力小猫”的黑客组织在2021年3月至2022年6月期间部署了该工具，目标是至少34名受害者，其中大部分在以色列。 微软最近的一份报告称，伊朗国家支持的黑客越来越多地利用影响力行动来扩大传统网络攻击的影响，并在以色列和美国推动德黑兰的政治议程。 随着Peach Sandstorm越来越多地开发和使用新功能，相关组织必须开发相应的防御措施，以加强其攻击面并提高这些攻击的成本。   转自E安全，原文链接：https://mp.weixin.qq.com/s/bkcjRAUV1VtfFqXlh2tg_A 封面来源于网络，如有侵权请联系删除

微软在 ncurses（new curses 的缩写）编程库中发现了一组内存损坏漏洞，威胁者可利用这些漏洞在易受攻击的 Linux 和 macOS 系统上运行恶意代码。 微软威胁情报研究人员 Jonathan Bar Or、Emanuele Cozzi 和 Michael Pearse 在今天发布的一份技术报告中说：利用环境变量中毒，攻击者可以利用这些漏洞提升权限，在目标程序的上下文中运行代码或执行其他恶意操作。 这些漏洞被统一标记为 CVE-2023-29491（CVSS 得分为 7.8），截至 2023 年 4 月已得到修复。微软表示，它还与苹果公司合作修复了与这些漏洞相关的macOS特定问题。 环境变量是用户定义的值，可被系统中的多个程序使用，并可影响它们在系统中的行为方式。操纵这些变量会导致应用程序执行未经授权的操作。 微软的代码审计和模糊测试发现，ncurses 库会搜索包括 TERMINFO 在内的多个环境变量，这些变量可能会被病毒化，并与已发现的漏洞相结合，从而实现权限升级。Terminfo 是一个数据库，可使程序以独立于设备的方式使用显示终端。 这些漏洞包括堆栈信息泄漏、参数化字符串类型混淆、逐一错误、在 Terminfo 数据库文件解析过程中出现堆越界，以及使用取消的字符串拒绝服务。 研究人员表示，攻击者可以利用发现的漏洞提升权限，并在目标程序的上下文中运行代码。即使如此，攻击者通过利用内存损坏漏洞获得程序的控制权也需要多阶段攻击。 攻击者可能需要将这些漏洞串联起来才能提升权限，例如利用堆栈信息泄漏获得任意读取原语，同时利用堆溢出获得写入原语。   转自Freebuf，原文链接：https://www.freebuf.com/news/378176.html 封面来源于网络，如有侵权请联系删除

9月7日，美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击，黑客入侵了其数据库，据悉该数据库存储了众多客户的驾照号码和社会安全号码。为避免这些客户数据在网上泄露，该公司近日表示已经支付了赎金。 周四（9月14日），凯撒公司向美国证券交易委员会提交了一份8-K表，其中写道：我们仍在调查未经授权的行为者获取的文件中，究竟包含了多少敏感信息。 凯撒方面表示，迄今为止并没有证据表明任何会员密码/PIN、银行账户信息或支付卡信息（PCI）被未经授权的行为者获取。 但据《华尔街日报》的报道称，该公司为了防止被盗数据在网上泄露，已经支付了大约 1500 万美元的赎金，这是最初黑客索要的3000万美元赎金的一半。 不过，凯撒方面还明确表示，目前仍然存在黑客出售或泄露客户被盗信息的可能性，凯撒方面无法提供任何保证。但他们已对此采取措施确保未经授权的行为者删除被盗数据。凯撒方面正在对网络进行监控，没有发现任何证据表明这些数据被进一步共享、公布或以其他方式滥用。 虽然凯撒没有将这次攻击与特定的网络犯罪团伙或威胁行为者联系起来，但彭博社周三（9月14日）发表的一篇报道称，这次攻击是由一个名为 “Scattered Spider “的黑客组织实施的。该威胁组织被追踪为 UNC3944 和 0ktapus，最早自2022年5月起就开始有所行动。它结合使用社交工程、多因素身份验证（MFA）疲劳和短信凭证钓鱼攻击来窃取用户凭证并入侵目标网络。 数据泄露仅影响忠诚计划会员 据 Caesars 称，未加入 Caesars 忠诚度计划的客户不会受到数据泄露的影响。公司将在未来几周内通知所有受影响的个人。 该公司在一份单独的数据泄露通知中提供了更多细节，并表示已向执法部门报告了这一事件。 这次攻击没有影响其面向客户的运营，包括在线/移动博彩应用程序和实体物业，因为它们的运营没有中断。 凯撒是近期受到网络攻击影响的第二家连锁赌场，周一（9月11日），美高梅国际酒店集团称该公司的网站、预订系统和赌场服务（即 ATM、老虎机和信用卡刷卡机）遭遇网络攻击，IT 系统被迫下线。 2020 年，美高梅国际酒店集团还披露了 2019 年的一次网络攻击事件，该事件导致其云服务遭到破坏，黑客窃取了超过 1000 万条客户记录。   转自Freebuf，原文链接：https://www.freebuf.com/news/378174.html 封面来源于网络，如有侵权请联系删除

欧洲跨国航空航天公司空中客车公司表示，正在调查一起网络安全事件，此前有报道称，一名黑客将该公司3200家供应商的信息发布到暗网上。 一名绰号“USDoD”的黑客周一发帖称，他们在泄露了一名土耳其航空公司员工的账户后，获得了对空客门户网站的访问权限。黑客声称掌握了数千家空客供应商的详细信息，包括姓名、地址、电话号码和电子邮件。  “USDoD”曝光了3,200家敏感空客供应商信息的同时声称洛克希德·马丁公司和雷神公司可能是下一个目标。考虑到所涉及的公司类型，此次泄密事件高度敏感。 威胁行为者通常不会透露他们的入侵技术，但在这次极其罕见的泄露中，“USDoD”透露，他们通过利用“土耳其航空公司的员工访问权限”获得了空客的数据。利用这些信息，研究人员成功追踪了上述员工的访问情况——一台于2023年8月感染了信息窃取恶意软件的土耳其计算机。从信息窃取者感染中获得的凭据已成为近年来主要的初始攻击媒介，为威胁行为者提供了进入公司的简单入口点，从而促进了数据泄露和勒索软件攻击。 在Hudson Rock的数据库中发现的受感染员工的凭据 来自受感染计算机的技术信息 空中客车公司发言人Philippe Gmerek证实，黑客入侵了一个“与空中客车客户相关的IT账户”。该账户用于从空客门户网站下载客户的专用商业文件。该公司正在调查该事件，安全团队也立即采取了补救和后续措施，以防止系统被破坏。 据《哈德逊岩报》报道，这名黑客似乎与2022年12月FBI InfraGard系统遭到破坏有关，他在没有提出任何要求的情况下公开发布了泄露的信息。关于攻击者的动机，目前知之甚少。但攻击者表示自己是相对较新的勒索软件组织“Ransomed”的成员。 “Ransomed”正在迅速获得关注，并自豪地在Twitter上声称在2023年9月期间针对大多数公司发起了勒索软件攻击。 取自 ransomwatch.telemetry.ltd 航空航天公司经常因其持有的敏感数据和技术而成为黑客攻击的目标。上周，美国联邦调查局、美国网络司令部和网络安全与基础设施安全局警告称，今年有多个民族国家的黑客利用漏洞瞄准了一家未具名的航空航天公司。 转自E安全，原文链接：https://mp.weixin.qq.com/s/LOp-pJWr_K-0FOX5QbiVow 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。 MetaStealer是一种基于Go语言编写的恶意软件，能够逃避 Apple 内置防病毒技术，主要目标针对商业用户。网络安全公司SentinelOne在 VirusTotal 上发现了一个恶意软件样本，其中有一条评论称利用MetaStealer的攻击者正在冒充企业客户来传播恶意软件。 根据SentinelOne的报告， MetaStealer 能够伪装成Adobe软件，如如“AdobeOfficialBriefDescription.dmg”和“Adobe Photoshop 2023（带 AI）installer.dmg”。在进行安装时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为 PDF 文件，以诱骗受害者点击打开。 该恶意软件的应用程序包包含最基本的内容，即 Info.plist 文件、带有图标图像的 Resources 文件夹以及带有恶意 Mach-O 可执行文件的 macOS 文件夹。SentinelOne 检查的样本均未经过签名，尽管某些版本具有 Apple 开发者 ID。 MetaStealer 试图窃取被入侵系统钥匙串所保存的各类账号密码以及系统中保存的文件，并通过 3000 端口上的 TCP 外渗。 目前，MetaStealer 仅在 Intel x86_64 架构上运行，意味着它无法危害在 Apple Silicon 处理器（M1、M2）上运行的 macOS 系统，除非受害者使用 Rosetta 运行恶意软件。 然而，MetaStealer 可能会发布一个新版本，增加对 Apple Silicon 的本机支持。因此，MetaStealer是一个需要警惕的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378037.html 封面来源于网络，如有侵权请联系删除

根据米高梅度假村（MGM Resorts）在美国东部时间中午前在 X（原 Twitter）上发布的一份声明，由于”网络安全问题”，这家著名的酒店和赌场公司被迫关闭了许多系统。 米高梅在其主页上发布了一条消息，对网站的中断表示歉意，并提供了多个地点的礼宾服务电话号码，如 Aria、The Cosmopolitan、Mandalay Bay、Bellagio、New York-New York 和 Vdara。 这个问题并不局限于米高梅在拉斯维加斯的分店。据费城 NBC 10 News 报道，米高梅在大西洋城的 Borgata 酒店也同样受到了攻击的影响，但酒店代表没有透露具体情况。据 Play Michigan 报道，底特律米高梅大赌场（MGM Grand Detroit Casino）也受到了影响，一名 X 用户发帖称该赌场”所有游戏都在运行”，但数字密钥和米高梅的奖励计划都已关闭。 拉斯维加斯 ABC 13 News 证实，FBI 目前正在进行调查，并从周日起一直与米高梅保持联系。该媒体报道称，酒店客人无法使用自动取款机、购买食物或使用数字房卡。 今天早上，X 上的一个帖子显示拉斯维加斯 Aria 度假村和赌场的老虎机失灵。X 帐户 Las Vegas Locally 在帖子中援引”内部人士”的话称，米高梅度假村（MGM Resorts）是勒索软件攻击的受害者，但这一说法尚未得到证实。另一个名叫墨菲（Murphy）的 X 用户发布了一张照片，称照片来自米高梅大酒店（MGM Grand），那里的老虎机显然也已停止服务。 转自cnBeta，原文链接：https://www.toutiao.com/article/7277759726866514467/?log_from=2ca6b21693d6c_1694514458394 封面来源于网络，如有侵权请联系删除

使用“停服”软件、遭遇勒索软件攻击、缺失数据备份计划，多种因素叠加，导致斯里兰卡政府云系统丢失了近4个月的数据。 9月12日有消息称，斯里兰卡政府云系统“兰卡政府云”（LGC）遭受一次大规模勒索软件攻击。该国已经启动调查程序。 这次调查由斯里兰卡计算机网络应急技术处理协调中心（CERT|CC）负责。斯里兰卡信息与通信技术局（ICTA）于9月11日向多家本地新闻媒体确认了这次攻击。 这次攻击很可能从8月26日开始，当时，一个gov.lk域名用户表示他们在过去几周里收到了可疑的链接，有人可能点击了其中一条链接。 “兰卡政府云”的服务和备份系统迅速被加密。斯里兰卡信息与通信技术局首席执行官Mahesh Perera估计，所有使用“gov.lk”电子邮件域名的电子邮件地址（5000个），包括内阁办公室使用的地址，都受到了影响。 系统和备份在遭受攻击后12小时内得以恢复。然而，由于系统在5月17日至8月26日之间的数据没有可用备份，所有受影响的账户在这段时间内的数据都已永久丢失。 使用过时软件因缺乏预算未能升级 Mahesh Perera告诉媒体，“兰卡政府云”于2007年引入，最初使用Microsoft Exchange 2003版，在2014年升级为Microsoft Exchange 2013版。 “兰卡政府云”使用OpenStack/KVM底层架构 他说：“这个版本一直在使用，但现在已经过时，不再维护，容易受到各种类型的攻击。” 尽管斯里兰卡信息与通信技术局计划从2021年开始升级“兰卡政府云”到最新版本（目前是Exchange Server 2019 CU11 Oct21SU），但由于“资金限制和某些以前的董事会决定”，决策一直受到拖延。 在遭受攻击后，斯里兰卡信息与通信技术局已经开始采取措施增强“兰卡政府云”安全性。具体措施包括启动每日离线备份例程，升级相关电子邮件应用程序到最新版本。 斯里兰卡计算机网络应急技术处理协调中心在帮助信息与通信技术局检索丢失的数据。 此前，斯里兰卡政府曾因未能有效促进公共行政部门和私营部门落实严格的网络安全措施而受到批评。 根据基于爱沙尼亚电子政务学院基金的“国家网络安全指数”，斯里兰卡在175个国家中排名第83位。2023年6月，斯里兰卡政府公布了拖延已久的网络安全法案。根据法案规定，该国将首次设立国家网络安全管理机构。   转自安全内参，原文链接：https://www.secrss.com/articles/58734 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，某黑客组织通过一个伪造和受损的 Facebook 账户网络，发送数百万条 Messenger 钓鱼信息，利用密码窃取恶意软件攻击 Facebook 企业账户。 据悉，网络攻击者通过诱骗目标用户下载一个 RAR/ZIP 压缩包，压缩包中包含一个基于 Python 的可规避窃取程序下载器，该窃取程序能够抓取受害目标浏览器中存储的 cookie 和密码。根据  Guardio 实验室一份新报告显示，大约每七十个目标账户中就有一个账户最终被成功入侵，从而导致巨大经济损失。 Facebook Messenger 网络钓鱼 首先，黑客向 Facebook 企业账户发送 Messenger 钓鱼信息，假装侵犯版权或要求其提供更多产品信息。 Messenger 上的钓鱼信息（Guardio Labs） 此外，压缩包中还包含一个批处理文件，如果受害目标执行该文件，就会从 GitHub 存储库中获取一个恶意软件下载器，以逃避拦截列表并尽量减少明显的痕迹。 除有效载荷（project.py）外，批脚本还获取信息窃取恶意软件所需的独立 Python 环境，并通过设置窃取程序二进制文件在系统启动时执行来增加持久性。（project.py  文件有五层混淆，因此是使得使反病毒引擎难以捕获该威胁） 有效载荷的部分代码（Guardio Labs） 该恶意软件会将受害者网络浏览器上存储的所有 cookie 和登录数据收集到一个名为 “Document.zip “的 ZIP 压缩包中，然后通过 Telegram 或 Discord 僵尸 API 将窃取的数据信息发送给网络攻击者。 随后，网络攻击者会清除受害者设备上的所有 Cookie 以注销其账户，这样做的话攻击者就有足够的时间通过更改密码来劫持新入侵的账户。（鉴于社交媒体公司可能需要一段时间才能回复有关账户被劫持的电子邮件，这就给威胁攻击者利用被黑账户进行欺诈活动，预留了一部分时间。） 完整的攻击链（Guardio Labs） 活动规模 目前，尽管攻击链并不“新奇”，但 Guardio 实验室观察到此次网络攻击的活动规模着实令人震惊，研究人员报告称每周大约有 10 万条网络钓鱼信息，其中大部分发送到了北美、欧洲、澳大利亚、日本和东南亚的 Facebook 用户上。 受害者热图（Guardio Labs） Guardio Labs 表示此次网络攻击活动规模庞大，Facebook 所有企业账户中约有 7% 已成为了攻击目标，其中 0.4% 下载了恶意存档。再加上感染该恶意软件后，用户仍需执行批处理文件，因此被劫持账户的数量尚不清楚，但可能数量相当可观。 攻击活动或与越南黑客有关 值得一提的是，鉴于恶意软件中有某些字符串，并使用“Coc-Coc”网络浏览器（该浏览器在越南非常流行），Guardio 将本次网络攻击活动归因于越南黑客,。 Guardio 进一步解释道，消息”Thu Spam lầ第 n 个 ứ 它被发送到 Telegram 机器人程序，并附上执行时间的计数器，从越南语翻译为“收集 X 时间的垃圾邮件”。 越南威胁攻击组织今年以脸书为目标开展了多次大规模活动，主要通过 Telegram 或暗网市场转售被盗账户来获利。其中在 2023 年 5 月Facebook 曾宣布其阻止了一场源自越南的网络攻击活动，该活动部署了一种名为“NodeStealer”的新型信息窃取恶意软件。2023 年 4 月，Guardio Labs 也曾披露一名越南威胁攻击者滥用 Facebook 广告服务，用窃取信息恶意软件感染了大约 50 万用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/377769.html 封面来源于网络，如有侵权请联系删除

根据Traceable近日发布的《2023年API安全状况报告》，过去两年74%的企业都遭遇了至少三次API攻击相关的数据泄露事件。 该报告与PonemonInstitute合作，调查了美国、英国和欧盟1629名网络安全专家，对全球API安全状况提供了全面视角。 调查结果显示，近年来与API相关的数据泄露事件剧增。在过去两年中，60%的受访组织报告了至少一次数据泄露事件，其中74%的组织经历了三起或更多事件。DDoS是主要API攻击方式，占所有攻击的38%。58%的受访者表示，攻击者将DDoS与其他攻击媒介相结合，显著扩大了企业的潜在攻击面。 该研究还凸显了人们对API安全性缺乏理解和信心。只有38%的专家认为有能力辨别API活动、用户行为和数据流的细微差别。包括Web应用程序防火墙(WAF)在内的传统安全解决方案受到质疑，57%的受访者怀疑此类产品区分真实API活动和欺诈性API活动的有效性。 展望未来，61%的受访者预计未来两年API相关风险将不断升级。组织正面临API蔓延(48%)和API准确库存管理(39%)等严峻挑战。平均而言，每家受访组织维护着127个第三方API连接，但只有33%的组织表示有信心保护这些外部威胁。   转自GoUpSec ，原文链接：https://mp.weixin.qq.com/s/wk7kzDxNm4JQOaBmMlgLOw 封面来源于网络，如有侵权请联系删除