目前，PDF 已然成为了数字通信中不可或缺的一部分，在 PDF 阅读器领域，Adobe Acrobat Reader 占据了最大的市场份额，但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进，在 200 多个国家拥有超过 7 亿用户。 然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用 Foxit PDF Reader 设计中存在安全缺陷 研究人员表示，安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉，警告消息中提供了一个”有害“的默认选项，一旦有粗心的用户使用默认选项，安全漏洞就会自动触发，从远程服务器下载并执行恶意有效负载。 安全研究人员已经证实安全漏洞已经被多个黑客用于电子犯罪和间谍活动。其中，名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为”著名“。黑客通过部署特定恶意软件、获得受害者的数据信息。此外，黑客能够开展针对 Windows 和 Android 设备的混合攻击活动，从而绕过双因素身份验证 （2FA） 。 VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞，以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动，发现了一条攻击链。 在另一场攻击活动中，Check Point Research 确认了黑客为@silentkillertv，主要利用两个链接的PDF 文件执行活动，其中一个文件托管在合法网站 trello.com 上。黑客还销售恶意工具，并于 4 月 27 日宣传了这一漏洞。 研究过程中，Check Point 获得了多个攻击者拥有的构建器，这些构建器利用此漏洞创建恶意 PDF 文件，大多数收集的 PDF 正在执行 PowerShell 命令，该命令从远程服务器下载有效负载，然后立刻执行。 最后，安全人员指出，随着社会工程策略的日益复杂，用户必须时刻保持警惕，随时了解自身网络安全状况，谨慎行事，并实施包括多因素身份验证和安全意识培训等在内的安全措施，以最大程度上降低成为此类攻击受害者的风险。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401073.html 封面来源于网络，如有侵权请联系删除

微软推出最新的安全更新，解决了各种软件产品中的大约 60 个漏洞，并呼吁紧急关注多个外部威胁追踪团队报告的一个被积极利用的0day漏洞。 本月修复的安全漏洞分类如下： 17个特权提升漏洞 2个安全功能绕过漏洞 27个远程代码执行漏洞 7个信息泄露漏洞 3个拒绝服务漏洞 4个欺骗漏洞 标记为CVE-2024-30051的0day漏洞被记录为 Windows 桌面窗口管理器 (DWM) 核心库中基于堆的缓冲区溢出，该漏洞已在需要提升系统权限的恶意软件攻击中被利用。 该漏洞的 CVSS 严重性评分为 7.8/10，并且被 Redmond 评为“重要”。 桌面窗口管理器是 Windows Vista 中引入的一项 Windows 服务，允许操作系统在渲染玻璃窗框架和 3D 过渡动画等图形用户界面元素时使用硬件加速。 卡巴斯基安全研究人员在调查另一个 Windows DWM 核心库权限提升漏洞（编号为CVE-2023-36033）时发现了该漏洞，该漏洞也被用作攻击中的0day漏洞。 在梳理与最近的漏洞和相关攻击相关的数据时，他们偶然发现了一个于 2024 年 4 月 1 日上传到 VirusTotal 的有趣文件。该文件的名称暗示它包含有关 Windows 漏洞的详细信息。 正如他们所发现的，该文件提供了有关 Windows 桌面窗口管理器 (DWM) 漏洞的信息（以蹩脚的英文），该漏洞可被利用来将权限升级到 SYSTEM，其中概述的利用过程完美地反映了 CVE-2023-36033 攻击中使用的过程，尽管它描述了一个明显的漏洞。 尽管该文档质量不佳，并且在如何利用该漏洞方面存在一些遗漏，但卡巴斯基确认 Windows DWM 核心库中存在新的0day特权升级漏洞。Microsoft 分配了 CVE-2024-30051 CVE 编号并在本月的补丁日修补了该漏洞。 卡巴斯基表示：“在将我们的发现发送给微软后，我们开始密切监控我们的统计数据，以寻找利用这个0day漏洞的攻击，在四月中旬我们发现了野外利用。” “我们看到它与 QakBot 和其他恶意软件一起使用，并相信多个攻击者组织可以访问它。” 谷歌威胁分析小组、DBAPPSecurity WeBin 实验室和谷歌 Mandiant 的安全研究人员也向微软报告了该0day漏洞，指出该漏洞可能在恶意软件攻击中被广泛利用。 QakBot（也称为Qbot）始于 2008 年，最初是一种银行木马，用于窃取银行凭证、网站 cookie 和信用卡以实施金融欺诈。随着时间的推移，QakBot 演变成一种恶意软件交付服务，与其他黑客组织合作，为勒索软件攻击、间谍活动或数据盗窃等攻击活动提供对企业和家庭网络的初始访问。 执法部门将 QakBot 与至少 40 起针对全球公司、医疗保健提供商和政府机构的勒索软件攻击联系起来，据保守估计，这些攻击造成了数亿美元的损失。 多年来，Qakbot 一直是各种勒索软件团伙及其附属机构的初始感染媒介，包括 Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex 以及最近的Black Basta。 其他需要重点关注的漏洞 微软还将CVE-2024-30040标记为已被利用的类别，警告攻击者正在绕过 Microsoft 365 和 Office 中的安全功能。该漏洞的 CVSS 评分为 8.8，如果用户欺骗加载恶意文件，攻击者就可以执行任意代码。 “此漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施，这些缓解措施可保护用户免受易受攻击的 COM/OLE 控件的侵害。成功利用此漏洞的未经身份验证的攻击者可以通过说服用户打开恶意文档来获得代码执行权限，此时攻击者可以在用户的上下文中执行任意代码。”微软表示。 微软还敦促 Windows 管理员关注CVE-2024-30044，这是 Microsoft Sharepoint 中的一个严重级别的远程代码执行漏洞。 微软安全响应中心警告说：“具有站点所有者权限的经过身份验证的攻击者可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。” “具有站点所有者或更高权限、经过身份验证的攻击者可以将特制文件上传到目标 Sharepoint Server，并制作专门的 API 请求来触发文件参数的反序列化。这将使攻击者能够在 Sharepoint Server 的上下文中执行远程代码。”微软补充道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除

美国用于追踪安全漏洞的联邦数据库几乎陷入停顿。对新披露的漏洞和风险的分析几乎已经不存在，专家警告说，巨大的积压和持续的问题可能导致关键部门的供应链风险。 简单地说：国家漏洞数据库出了问题，而且没有一个有效的解决办法。 为了解决NVD的问题，就必须解决另外一个关键问题，Cyber Threat Alliance总裁兼首席执行官，国家安全委员会前网络安全协调员的Michael Daniel表示：谁应该负责向数据库填充信息，以提供全面和可操作的风险信息？关于这个数据库目前由国家标准技术研究院管理是否应该迁移到网络安全和基础设施安全局，甚至迁移到处理大部分漏洞管理流程的私营部门，还存在很大的争议。 “这些不同的方法各有利弊，安全和漏洞管理社区的相关利益相关者应该聚在一起达成共识，看哪种方法会产生最好的结果。一旦我们回答了这个问题，我们应该确保该功能得到充分资金支持和支持。” 根据NIST的数据，目前至少有9762个CVE尚未被NVD分析。这个数字可能还会继续增加。截至5月13日，NIST仅分析了5月份收到的近2000个新CVE中的两个。NIST在4月下旬承认了NVD的积压问题，当时该机构发布了一份通知，将问题归咎于“多种因素”，包括“软件的增加，导致漏洞增加，以及跨机构支持的变化。” NIST没有提供关于跨机构支持中断的更多详情，并且没有回应关于持续积压的评论请求。该机构在其4月的通知中表示，它正在“寻找更长期的解决方案”，包括可能建立一个由行业、政府和利益相关者组织合作的联盟，以改进NVD的现状。 据风险基础的漏洞管理平台Nucleus Security的联合创始人Scott Kuffer所说，NVD的积压可能会影响主要的网络安全供应商，如CrowdStrike、微软Defender for Endpoint，甚至一些领先的云安全姿态管理工具——例如Orca和Wiz。 “如果他们的主要扫描引擎是基于NVD的，那么他们检测漏洞的能力将受到严重影响。事实上大多数网络安全产品的扫描引擎都是这样的。那么接下来最大的问题是，你的环境中会有你看不见或不知道的漏洞。” 一些威胁分析师认为，私营部门应该承担更多的责任来检测和报告漏洞，因为行业已经具备实时检测的能力。私营部门实体已经负责将漏洞指定为CVE，他们的专业知识和敏捷性可以提高漏洞管理工作的整体效果。 对此持反对观点的分析师认为，数据库应该保留在联邦手中，以更好地促进公私部门在漏洞管理方面的合作，并确保一致的标准和监督。政府集中管理也可以有效减轻私营部门潜在的利益冲突，并确保跨部门风险管理机构解决关键漏洞，进一步保护国家安全和关键基础设施。 NVD计划不执行漏洞测试，因为它依赖于第三方安全研究人员、供应商和漏洞协调员来分配风险属性和额外信息给CVE。NVD工作人员负责从CVE描述中聚合数据点，并编译任何可以在公开在线找到的额外数据。 IT服务管理公司Chainguard的营销副总裁Kaylin Trychon在4月份给国会和商务部的一封信上签名，与其他近50名安全专业人士一起表达了恢复和增强NVD运营的需求。敦促国会对围绕数据库的挑战展开调查，并帮助恢复漏洞强化过程。 信中建议国会将 NVD 视为关键基础设施和基本服务，这样就有可能为数据库及其浓缩业务提供更多资金和国家资源。Trychon 认为，将 NVD 的责任交给私营部门将导致灾难。 “将会有更多的力量试图介入或取代NVD，这将在这个已经复杂的领域引起更多的混乱。这也将成为整个网安行业不可承受之重，导致一个更加严重的安全事故。” 安全专家指出，在放缓之前NIST分析师所做的一部分工作可以自动化，从而提供更高质量、更及时、更一致的NVD数据。但即便如此，面对资源日益匮乏的情况，NVD依旧必须要决定，以怎样的顺序来修补漏洞。 Trychon表示，“NVD数据有助于企业做出这些优先级决策，如果NVD数据不一致或不及时，企业就无法做出正确的优先排序决策，那么整个生态系统就会变得不那么安全。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员披露 Cinterion 蜂窝调制解调器中存在多个安全漏洞，黑客可能会利用这些漏洞访问受害者敏感信息，并执行任意代码。 Cinterion 蜂窝调制解调器最初由 Gemalto 开发，2022 年 7 月，Telit 从泰雷兹收购了该项业务。 卡巴斯基方面表示，这些安全漏洞允许黑客实现远程代码执行以及未经授权的权限升级，对工业、医疗保健、汽车、金融和电信行业的整体基础通信网络和物联网设备构成重大风险，完整安全漏洞列表如下： CVE-2023-47610（CVSS 评分：8.1）：一个缓冲区溢出漏洞，可允许未经身份验证的远程攻击者通过发送特制的 SMS 消息在目标系统上执行任意代码； CVE-2023-47611（CVSS 评分：7.8）：一个不正确的权限管理漏洞，可允许本地低权限攻击者将目标系统上的权限提升到制造商级别； CVE-2023-47612（CVSS 评分：6.8）：一种可供外部各方访问的文件或目录漏洞，该漏洞可能允许对目标系统具有物理访问权限的攻击者获取对目标系统上任何文件和目录（包括隐藏文件和目录）的读/写访问权限； CVE-2023-47613（CVSS 评分：4.4）： 一个相对路径遍历漏洞，可允许本地低权限攻击者从虚拟目录中逃脱，并获取对目标系统上受保护文件的读/写访问权限； CVE-2023-47614（CVSS 评分：3.3） ：暴露敏感信息漏洞，可允许本地低特权攻击者泄露目标系统上隐藏的虚拟路径和文件名； CVE-2023-47615（CVSS 评分：3.3）：通过环境变量暴露敏感信息的漏洞，可能允许本地低权限攻击者获得对目标系统的未经授权的访问； CVE-2023-47616（CVSS 评分：2.4） ：暴露的敏感信息漏洞，可能允许对目标系统具有物理访问权限的攻击者访问目标系统上的敏感数据。 其中最严重的漏洞是 CVE-2023-47610，远程黑客可通过发送特制的 SMS 消息在目标系统上执行任意代码。此外，攻击者还可以利用该访问权限来操纵 RAM 和闪存，从而在无需验证或物理访问的情况下对调制解调器实施更多控制。 其余安全漏洞源于处理 MIDlet 时的安全漏洞（MIDlet 是指在调制解调器中运行的基于 Java 的应用程序），黑客可以滥用这些安全漏洞，绕过数字签名检查，允许未经授权的”访问者“以更高权限执行代码。 卡巴斯基 ICS CERT 在 2023 年 11 月 8 日发布的一系列公告中正式披露了上述安全漏洞，安全研究人员谢尔盖·阿努弗里延科（Sergey Anufrienko）和亚历山大·科兹洛夫（Alexander Kozlov）因发现和报告这些安全漏洞，受到广泛赞誉。 卡巴斯基 ICS CERT 负责人 Evgeny Goncharov 表示，由于调制解调器通常以”俄罗斯套娃“的方式集成到其他解决方案中，一个供应商的产品堆叠在另一个供应商的产品之上，因此编制出受上述安全漏洞影响的最终产品清单非常具有挑战性。 最后，安全研究人员强调，为缓解潜在的安全风险，建议相关组织禁用非必要的 SMS 消息传递功能，使用专用接入点名称 （APN），控制对设备的物理访问，并定期进行安全审核和更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

近日，黑客利用域名系统（DNS）隧道技术跟踪受害者，追踪其何时打开网络钓鱼电子邮件和点击恶意链接，并扫描网络是否存在潜在漏洞。 DNS 隧道技术是对通过 DNS 查询发送和检索的数据或命令进行编码，实质上是将 DNS 这一基本网络通信组件变成一个隐蔽的通信渠道。 黑客以 Base16 或 Base64 或自定义文本编码算法等各种方式对数据进行编码，以便在查询 TXT、MX、CNAME 和地址记录等 DNS 记录时返回这些数据。 黑客通常使用 DNS 隧道绕过网络防火墙和过滤器，利用这种技术进行指挥和控制（C2）以及虚拟专用网络（VPN）操作。DNS 隧道技术也有合法的应用，如绕过审查。 Palo Alto Networks 的 Unit 42 安全研究团队最近在涉及受害者跟踪和网络扫描的恶意活动中发现了更多使用 DNS 隧道的情况。 TrkCdn 活动 第一个活动被追踪为 “TrkCdn”，重点是追踪受害者与钓鱼电子邮件内容的关联。 攻击者在电子邮件中嵌入内容，打开后会对攻击者控制的子域执行 DNS 查询，这些子域的 FQDN 包含编码内容。例如，4e09ef9806fb9af448a5efcd60395815.trk.simitor[.]com。 其中 4e09ef9806fb9af448a5efcd60395815 是 unit42@not-a-real-domain[.]com 的 md5 哈希值，它解析为主要权威名称服务器的 CNAME。 研究人员解释说：尽管不同目标的 FQDN 各不相同，但它们都被转发到 cdn.simitor[.]com 使用的相同 IP 地址。随后该权威名称服务器会返回一个 DNS 结果，该结果会指向一个由攻击者控制的服务器，该服务器会发送由攻击者控制的内容。这些内容可能包括广告、垃圾邮件或网络钓鱼内容。 通过这种方法，攻击者可以评估他们的策略，改进策略，并确认向受害者发送恶意有效载荷。 Unit 42 的报告还强调了一个类似的活动，该活动利用 DNS 隧道跟踪垃圾邮件的发送，被称为SpamTracker。 SecShow 活动 分析人员发现的第二个活动代号为 “SecShow”，利用 DNS 隧道扫描网络基础设施。攻击者会在 DNS 查询中嵌入 IP 地址和时间戳，以绘制网络布局图，发现潜在的配置漏洞，并利用这些漏洞进行渗透、数据窃取或拒绝服务。 该活动中使用的 DNS 查询会定期重复，以实现实时数据收集、检测状态变化，并测试不同网络部分对主动 DNS 请求的响应。 威胁行为者选择 DNS 隧道而不是跟踪像素和常规网络扫描工具等更传统的方法有几个原因，包括能够绕过安全工具、避免检测和保持操作的多功能性。 Unit 42 建议企业实施 DNS 监控和分析工具，以监控和分析日志中的异常流量模式和异常情况，如非典型或高流量请求。 此外，最好限制网络中的 DNS 解析器，只处理必要的查询，减少 DNS 隧道滥用的可能性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除

为常见漏洞和披露(CVE)记录添加重要信息，帮助组织改善漏洞管理流程。 美国网络安全与基础设施安全局(CISA)本周发布了一个名为“Vulnrichment”的漏洞信息富化项目，为常见漏洞和披露(CVE)记录添加重要信息，帮助组织改善漏洞管理流程。 Vulnrichment项目将为公共CVE记录添加常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、常见弱点枚举(CWE)和已知可利用漏洞(KEV)数据。CISA表示，他们已经完成了1300个CVE记录的富化工作，尤其针对新近出现的漏洞，并呼吁所有CVE编号机构(CNA)在向CVE.org提交漏洞信息时提供完整的数据。 CISA表示，他们最初会采用利益相关者特定漏洞分类(SSVC)评分流程评估每个CVE记录。SSVC评分方法是由CISA与卡内基梅隆大学软件工程研究所合作开发，能够综合考虑漏洞的可利用状态、安全影响以及受影响产品的普及度等因素进行漏洞分析。 对于影响重大、可自动化利用、拥有概念验证漏洞利用代码或已被用于攻击的漏洞，CISA会在后续阶段进行进一步的分析。 CISA指出，Vulnrichment项目添加的信息可以帮助组织优先开展漏洞修复工作、理解漏洞趋势，并敦促厂商修复漏洞类别问题。Vulnrichment项目托管于GitHub平台，每个富化后的CVE条目均采用JSON格式提供，方便组织轻松将更新内容整合到漏洞管理流程中。 CISA是业界最早发布可利用漏洞的公共警告机构之一。其包含超过1100个已利用漏洞条目的KEV目录已成为漏洞管理的重要资源。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16324.html 封面来源于网络，如有侵权请联系删除

据供应链网络安全公司Eclypsium 5月8日发布的一份报告，研究人员在 F5 的 Next Central Manager 中发现了重大安全漏洞，可使攻击者长期且隐蔽地存在于任何F5资产相关的组织网络基础设施中。 这些漏洞被追踪为CVE-2024-21793 和 CVE-2024-26026，可能允许攻击者执行危及网络安全的未经身份验证的攻击。F5 在 4 月份发布了针对这些缺陷的补丁，但Eclypsium的研究人员称披露給F5的漏洞一共有5个，尚未确认另外3个漏洞是否已经修复。 F5 的 Next Central Manager 是 BIG-IP Next 机群所有生命周期任务的集中控制点，该工具为企业提供了一个统一的管理用户界面，用于管理应用程序可用性、访问控制和安全解决方案。Eclypsium研究人员表示，攻击者可以利用这些漏洞在该公司的Central Manager系统管理的任何BIG-IP Next资产上开设不可见的板载帐户，即使在管理员密码被重置和系统打补丁后，黑客仍能通过这种规避方法留在网络中。 Eclypsium敦促F5客户尽快升级到最新的20.2.0软件版本，并已向该公司问询另外3个漏洞的修复情况，目前还未得到回复。 网络边缘设备通常具有不完善的端点保护和专有软件，使漏洞检测变得复杂，日益成为了国家支持的黑客和全球网络犯罪分子的攻击目标。 Mandiant 在 4 月份发布了一份报告，警告攻击者正在将重点转向规避策略，同时利用离地攻击、零日漏洞等技术或方式瞄准边缘设备。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400364.html 封面来源于网络，如有侵权请联系删除

AI 安全公司 HiddenLayer 警告称，当加载和引用恶意 RDS 文件时，R 编程语言实现中的漏洞可被利用来执行任意代码，并且可能被用作供应链攻击的一部分。 该漏洞编号为CVE-2024-27322（CVSS 评分为 8.8），是在 R 的序列化和反序列化过程中发现的，该过程用于创建和加载 RDS（R 数据序列化）文件。 R 是一种开源编程语言，支持数据可视化、机器学习和统计计算，广泛用于金融、政府和医疗保健等行业的统计分析，在人工智能和机器学习应用中也很受欢迎。 R 有自己的序列化格式，在保存和加载包时使用。编译包时，将创建一个包含要序列化对象的 .rdb 文件和一个包含与这些对象及其偏移量关联元数据的 .rdx 文件。 “加载包时，.rdx 文件中以 RDS 格式存储的元数据用于定位 .rdb 文件中的对象。然后这些对象被解压缩和反序列化，本质上是将它们加载为 RDS 文件。” HiddenLayer 解释道。 因为 R 支持创建 Promise 对象的指令（该对象具有符号（变量）和附加的表达式，表达式仅在访问符号后运行）和惰性求值（仅在需要时才求值符号的策略）。 攻击者可以使用将变量设置为未绑定值的指令和包含任意代码的表达式来创建 Promise 对象。由于惰性求值，仅当访问与 RDF 文件关联的符号时才求值并运行表达式，并且当用户引用该符号时将执行代码。 “一旦 R 创建并加载恶意文件，无论如何引用变量，漏洞都会运行。”HiddenLayer 继续说道。 漏洞可用于软件供应链攻击 该安全公司还警告说，由于 RDS 包允许用户与其他人共享编译后的 R 代码，并且由于有大量专用于 R 的 GitHub 存储库，攻击者可能会在针对 R 用户的供应链攻击中滥用此漏洞。 readRDS 是可用于利用该漏洞的 R 函数之一，在超过 135,000 个 R 源文件中被引用，而CRAN的存储库声称拥有超过 20,000 个包并允许任何人上传代码，但不会检查新包这个漏洞。 “通过查看存储库，我们发现大量使用是在不受信任的用户提供的数据上，这可能会导致运行该程序的系统完全受到损害。一些包含潜在易受攻击代码的源文件包括来自 R Studio、Facebook、Google、Microsoft、AWS 和其他主要软件供应商的项目。”HiddenLayer 解释道。 要接管 R 包，攻击者只需用恶意文件覆盖 .rdx 文件，确保包加载后立即自动执行代码。通过修改可能的系统包，例如编译器，恶意代码将在R初始化时执行。 CVE-2024-27322 的补丁包含在 R Core 版本 4.4.0 中，该版本于 4 月 24 日作为源代码发布，随后很快发布了 Windows 和 Mac 二进制文件。更新后的版本也将包含在各种 Linux 发行版中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MfPWbg3-fbEUJXsUbzPUXw 封面来源于网络，如有侵权请联系删除

与朝鲜政府有联系的黑客正在利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息，使他们能够冒充记者或学者。 包括联邦调查局 (FBI)、国家安全局 (NSA) 和国务院在内的多个联邦机构本周发布了一份公告，警告Kimsuky 行动中的黑客正在瞄准配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略。 DMARC 已有十多年的历史，是一种安全工具，电子邮件平台使用它来验证邮件并使其流行的域无法被欺骗。成功的 DMARC 实施可以阻止试图伪装成来自经过验证的组织的恶意电子邮件。根据配置，未通过合法性测试的电子邮件可能会被标记为垃圾邮件或被阻止。 据这些机构称，朝鲜黑客的目标是配置不当的 DMARC 设置，使他们的电子邮件看起来像是来自合法域的电子邮件，从而使他们能够伪装成与朝鲜政策圈有可靠联系的专家或学者。这些机构跟踪的活动从 2023 年底到 2024 年初。 在咨询报告的一个示例中，攻击者向受害者提供演讲费，作为让他们打开电子邮件的一种方式。一些电子邮件显示，有证据表明朝鲜黑客能够访问大学的合法电子邮件客户端来发送电子邮件。 大多数其他电子邮件都欺骗了合法记者的姓名和真实的电子邮件域，由于组织没有任何 DMARC 政策，因此仍然能够进入收件箱。 这些机构表示：“朝鲜利用这些鱼叉式网络钓鱼活动来收集有关地缘政治事件、对手外交政策战略的情报，以及通过非法获取目标私人文件、研究和通信来影响朝鲜利益的任何信息。” Kimsuky 是一个黑客组织，执法机构认为该组织由朝鲜侦察总局 (RGB) 内的第 63 研究中心运营。该组织的目标是“通过损害政策分析师和其他专家的利益，向朝鲜政权提供被盗数据和宝贵的地缘政治见解。” 黑客花时间研究受害者并定制鱼叉式网络钓鱼电子邮件，以“显得更加真实，对目标更有吸引力”。据美国机构称，他们经常使用以前被入侵的电子邮件帐户的邮件内容来增强其欺骗性电子邮件的真实性。 “除了令人信服的电子邮件信息外，Kimsuky 黑客组织还被发现创建虚假用户名并使用合法域名冒充受信任组织（包括智囊团和高等教育机构）的个人，以获取信任并与电子邮件收件人建立融洽关系。”该咨询报告说。 如果有人对一封电子邮件产生怀疑并检查了“回复”部分，它仍然看起来来自合法域。 在美国或韩国从事朝鲜、亚洲、中国和/或东南亚事务的任何人都应该留意这些电子邮件，尤其是政府官员和军人。 该建议警告人们警惕那些最初通信无害、随后来自不同电子邮件地址的奇怪链接或附加文档的电子邮件。 长期以来，朝鲜黑客一直被指控冒充记者和研究人员，试图闯入组织系统。SentinelLabs 表示， SentinelLabs一月份发布了一份报告，重点介绍了一项针对韩国学术界朝鲜事务专家以及一家专注于朝鲜问题的新闻机构的攻击活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/M87Aby-1TykR1z97N0ig4Q 封面来源于网络，如有侵权请联系删除

研究人员发现 20 个安全漏洞与部署的谷歌 Android 操作系统有关。小米公司一周内修复了这些漏洞，用户应尽快更新手机系统。 网络安全研究人员表示，小米智能手机存在的安全缺陷，可能会让黑客窃取密码并危及社交媒体帐户。 发现这些漏洞的移动安全初创公司 Oversecured 的创始人谢尔盖·托辛 (Sergey Toshin) 表示，这些缺陷影响了小米设备上运行的多种软件，从设置应用程序到蓝牙软件。 Toshin 告诉《福布斯》，最危险的缺陷可能会被滥用来授予攻击者“系统权限”，从而窃取用户密码并访问私人用户文件，Toshin 并不认为这些漏洞已被恶意黑客利用。 “小米需要在设备安全方面投入更多资源。”谢尔盖·托申 (Sergey Toshin) Oversecured 创始人表示。 如果黑客想要利用最严重的弱点，他们可能会尝试通过网络钓鱼或在 Google Play 等市场上推送恶意应用程序，在小米手机上安装恶意应用程序。 Toshin 表示，黑客可以使用该应用程序来利用其中一个弱点，并执行诸如拦截受害者的社交网络消息、获取用户联系人以及收集有关其连接的蓝牙设备的信息等操作。 Oversecured 上周在小米 13 Ultra 上测试后向小米披露了这些缺陷。“我们相信每个设备都容易受到攻击，因为缺陷是固件的一部分。”Toshin 说。他表示，这家中国公司在一周内修复了这些漏洞。 他表示，如果小米作为其在 HackerOne 平台上运行的漏洞赏金计划的一部分，向黑客提供更大的奖励，也许能够避免重大问题。 根据 HackerOne 的数据，其平均支出在 80 至 100 美元之间，在过去 90 天内奖励黑客 2,600 美元。相比之下，谷歌在 2023 年向 Android 安全研究人员支付了340 万美元。 小米表示，该公司拥有“业界领先的安全团队”，并正在与谷歌和 Hackerone 合作“构建安全的 Android 系统”。Toshin 表示，小米目前的支出“明显低于谷歌”，并且“小米需要在其设备的安全性上投入更多资源。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5KAWzpedfc3IkEXGKwP7yA 封面来源于网络，如有侵权请联系删除