随着掌管数字生活入口的万亿美元俱乐部企业——苹果公司跳入人工智能（AI）赛道，AI技术民主化的大幕正式拉开，同时也将AI安全问题推向舆论的风口浪尖。根据瑞银本周一的智能手机调查报告，在中国以外的智能手机用户中，只有27%的人对提供生成式AI功能的设备感兴趣，价格和隐私才是用户最关心的问题。显然，用户最关心的不是AI带来的效率和体验，而是隐私和AI安全的新威胁。 AI面临的头号威胁：投毒攻击 近日，美国国家标准与技术研究院（NIST）发出警告称，随着人工智能技术的快速普及，越来越多的黑客将发起“投毒攻击”，AI应用的安全性将面临严峻考验。投毒攻击是针对人工智能（AI）系统的一种恶意行为，黑客通过操纵输入数据或直接修改模型来影响AI系统的输出。 过去，业界针对AI系统的“投毒攻击”并不重视，软件公司Splunk曾在《2024年安全状态报告》指出：“AI中毒仍然是一种可能性，但尚未普及。” 但是安全专家们警告CISO加强戒备，因为有迹象表明黑客正越来越多地瞄准AI系统，尤其是通过破坏数据或模型来进行投毒攻击，各种规模和类型的企业都可能成为攻击目标。 咨询公司Protiviti透露，该公司的一家客户企业近日遭遇了投毒攻击：黑客试图通过投喂恶意输入数据来操纵该公司AI系统的输出结果。 Protiviti指出：“所有企业，无论是内部开发的AI模型还是使用第三方AI工具，都面临投毒攻击风险。” 四种主要的投毒攻击 NIST在2024年1月的一份报告中强调了投毒攻击的危险性：“中毒攻击非常强大，可导致AI系统的可用性或完整性受到破坏。” NIST将投毒攻击划分为以下四大类型： 可用性投毒：无差别地影响整个机器学习模型，相当于针对AI系统的拒绝服务攻击。 目标投毒：黑客在少数目标样本上诱导机器学习模型产生错误的预测结果。 后门投毒：通过在训练时在一部分图像中添加小的触发补丁并更改其标签，可以影响图像分类器，以在实际使用时激活错误行为。 模型投毒：直接修改训练后的机器学习模型以注入恶意功能，使其在特定情况下表现异常。 NIST和安全专家指出，除了中毒攻击，AI系统还面临隐私泄露以及直接和间接提示注入等多种攻击。 NIST研究团队主管ApostolVassilev表示：“企业部署AI会引入全新的攻击面，我们已经看到了学术界和其他研究人员展示的漏洞利用。随着AI技术的普及，黑客攻击的价值也随之增加，这也是为什么我们会看到更严重的漏洞利用，我们已经看到相关案例的增加。” AI投毒攻击可来自内部或外部 安全专家表示，中毒攻击既可能由内部人员发起，也可能由外部黑客发起，这与传统的网络攻击类似。FTIConsulting管理董事DavidYoussef表示，国家级黑客可能是最大的风险之一，因为他们有能力和资源投资于这类攻击。 专家指出，黑客发起AI投毒攻击的动机与传统网络攻击类似，例如为了造成破坏或损失，以及获取机密数据或勒索金钱。 主要目标：AI厂商 虽然任何使用AI的企业和机构都可能成为受害者，但IEEE高级成员和Hyperproof的CISOKayneMcGladrey表示，黑客更有可能瞄准制造和训练AI系统的科技公司。最近的一个案例暴露了AI技术供应链上游的潜在巨大风险。科技公司JFrog的研究人员发现，约有100个恶意机器学习模型被上传到公开的AI模型库HuggingFace。 研究人员指出，这些恶意模型可能允许攻击者在加载模型时向用户机器注入恶意代码，可能会迅速破坏大量用户环境。 CISO应该怎么做？ 根据ISC2今年2月份的调查，很多CISO并未做好应对AI风险的准备。报告发现，超过1100名受访者中，75％表示中度至极度担心人工智能会被用于网络攻击或其他恶意活动，其中深度伪造、虚假信息和社会工程是网络专业人士最担心的三大问题。尽管人们对此高度担忧，但只有60%的人表示，他们有信心带领组织安全采用AI。此外，41%的人表示，他们在保护AI和ML技术方面几乎没有或根本没有专业知识。与此同时，只有27%的人表示，他们的组织制定了有关AI安全和道德使用的正式政策。 ISC2首席信息安全官JonFrance表示：“一般的CISO并不擅长AI开发，也没有将AI技能作为核心竞争力。” 安全专家建议，防御投毒攻击需要采用多层防御策略，包括强大的访问和身份管理程序、安全信息和事件管理（SIEM）系统以及异常检测工具。此外，还需要良好的数据治理实践以及对AI工具的监控和监督。 NIST在《对抗性机器学习》报告中也提供了详细的缓解策略和关于投毒攻击的详细信息。 最后，一些安全领导者强烈建议CISO在团队中增加接受过AI安全培训的专业人才（普通SOC团队无法评估训练数据集和AI模型），并与其他高管合作，识别和理解与AI工具相关的风险（包括中毒攻击），制定风险缓解策略。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/sFHZwhoflRVy6zw5M1Vhkw 封面来源于网络，如有侵权请联系删除

根据 WthSecure 的最新报告，边缘服务和基础设施设备中的漏洞正越来越多地被网络威胁者利用。 边缘服务是安装在网络边缘的软件，可以从互联网和内部网络访问，对黑客很有吸引力，因为它们是进入网络的完美初始接入点。 最近，针对易受攻击的边缘软件的攻击呈爆炸性增长，包括MOVEit、CitrixBleed、Cisco XE、Fortiguard的FortiOS、Ivanti ConnectSecure、Palo Alto的PAN-OS、Juniper的Junos和ConnectWise ScreenConnect等安全事件。 传统上，这些被利用的边缘服务安装在基础设施设备（也称为设备）上。这些设备由供应商提供，没有额外的安全工具，软件和硬件完全由供应商定义。最常见的基础设施设备包括防火墙、VPN 网关和电子邮件网关。 边缘安全漏洞持续增加 在报告的介绍中 WithSecure 提醒读者，最近的许多报告显示，大规模利用可能已经取代僵尸网络成为勒索软件事件的主要载体，而且由于大规模利用易受攻击软件引发的安全事件也在迅速增加。 基于这一假设，这家总部位于芬兰的公司想要确定边缘服务漏洞利用在这一趋势中发挥了多大程度的关键作用。 WithSecure 分析了边缘服务和基础设施漏洞不同于已知漏洞（KEV）目录中其他漏洞的一些趋势，KEV 是由美国网络安全和基础设施安全局（CISA）维护的已知被利用的关键漏洞列表。 该公司发现，在过去几个月中，KEV 列表中新增的边缘服务和基础设施漏洞比常规漏洞要多。 例如，与2023年相比，2024年每月加入KEV列表的常见漏洞和暴露（CVE）数量有所下降（-56%），但同期每月加入的边缘服务和基础设施CVE增加了22%。 在过去三年中，每月被利用漏洞的总体趋势并不一致，相比之下，每月被利用的边缘漏洞自 2022 年以来持续上升。 此外，添加到 CISA KEV 列表中的边缘服务和基础设施漏洞往往比其他类型的 CVE 影响更大，在过去两年的 KEV 数据中，这些特定 CVE 的严重性评分高出 11%。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403455.html 封面来源于网络，如有侵权请联系删除

全球知名的半导体公司 Arm 和 Nvidia 正在敦促客户修补其产品中一系列新的漏洞。总部位于英国的Arm周五警告称，其 Mali GPU 内核驱动程序（一种帮助操作系统与 Mali 图形处理器进行通信的软件）中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610，可能导致“不当的 GPU 内存处理操作”，从而引发崩溃、数据损坏或未经授权访问敏感信息等安全问题。 Arm 表示，它已经注意到有关该漏洞被广泛利用的报告，并已修复该漏洞。如果用户受到此问题的影响，该公司建议他们升级 Bifrost 和 Valhall GPU 内核驱动程序。 这并不是研究人员第一次发现 Arm 的 Mali GPU 内核驱动程序中存在问题。去年 10 月，该公司表示，一个被追踪为CVE-2023-4211的安全问题可能允许黑客访问使用 Mali GPU 的设备上存储的数据。 去年，GitHub 上一位名为 Man Yue Mo 的研究人员发现了Mali GPU 内核驱动程序中的一个安全漏洞，该漏洞可能使黑客能够控制 Google Pixel 6 的操作系统。该问题已于 2022 年 6 月修复。 美国 GPU 设计者和制造商 Nvidia 周四还披露了其 GPU 显示驱动程序和 vGPU 软件产品中 10 个新的高危和中危漏洞。 该公司表示，该漏洞编号为CVE-2024-0090，是在 Nvidia 的 Windows 和 Linux GPU 驱动程序中发现的，可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 Nvidia 的 Windows 版 GPU 显示驱动程序也包含一个漏洞 – CVE-2024-0089 – “可能会泄露来自以前的客户端或其他进程的信息”。 另一个漏洞 ( CVE-2024-0099 ) 是在 Nvidia 的虚拟 GPU (vGPU)（允许多个虚拟机共享单个物理 GPU 的软件）中发现的，它可能导致信息泄露、数据篡改、权限升级和拒绝服务。 Nvidia 并未透露这两个漏洞是否已被利用。该公司建议用户下载并安装软件更新，以保护其系统免受黑客攻击。   转自e安全，原文链接：https://mp.weixin.qq.com/s/-QkvoW5PfMEYrH6UF2n2jg 封面来源于网络，如有侵权请联系删除

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。 生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。 黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。 卡巴斯基的研究人员发现中国制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。如果使用这种易受攻击的设备，全球高安全性设施都将面临风险。 参考卡巴斯基官方链接，这些漏洞是在卡巴斯基安全评估专家对 ZKTeco 白标设备软件和硬件进行研究的过程中发现的。所有发现都在公开披露之前主动与制造商分享。 有问题的生物识别读取器广泛用于各个领域——从核电站或化工厂到办公室和医院。这些设备支持人脸识别和二维码身份验证，并能够存储数千个面部模板。然而，新发现的漏洞使它们面临各种攻击。卡巴斯基根据所需补丁对漏洞进行了分组，并将它们注册到特定的 CVE（通用漏洞和暴露）下。 利用 ZKTeco 终端进行攻击可能看起来像任何其他网络攻击，或者可能涉及相当有创意的物理攻击。 通过伪造的二维码进行物理绕过 CVE-2023-3938 漏洞允许网络犯罪分子执行一种称为 SQL 注入的网络攻击，该攻击涉及将恶意代码插入发送到终端数据库的字符串中。攻击者可以将特定数据注入用于访问限制区域的二维码中。因此，他们可以未经授权访问终端并物理访问限制区域。 当终端处理包含此类恶意二维码的请求时，数据库会错误地将其识别为来自最近授权的合法用户。如果假二维码包含过多的恶意数据，设备将重新启动，而不是授予访问权限。 卡巴斯基高级应用安全专家 Georgy Kiguradze 表示：“在用于向设备传输控制命令的二进制协议中发现大量 SQL 注入漏洞，这令人十分震惊。此外，在设备摄像头内嵌入的二维码读取器中也发现了类似的漏洞——人们通常不会想到会在这个位置发现此类漏洞，因为它通常与远程攻击有关。” “除了替换二维码，还有另一种有趣的物理攻击媒介。如果心怀恶意的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印出来，并用它来欺骗设备的摄像头，从而获得对安全区域的访问权限。当然，这种方法有一定的局限性。它需要打印的照片，并且必须关闭温度检测。然而，它仍然构成了重大的潜在威胁。”卡巴斯基高级应用安全专家 Georgy Kiguradze 说。 生物特征数据盗窃、后门部署和其他风险 CVE-2023-3940 是软件组件中的漏洞，允许任意文件读取。利用这些漏洞，潜在攻击者可以访问系统上的任何文件并提取文件。这包括敏感的生物识别用户数据和密码哈希，以进一步窃取公司凭证。 CVE-2023-3942 提供了另一种从生物识别设备数据库中检索敏感用户和系统信息的方法——通过 SQL 注入攻击。 攻击者不仅可以访问和窃取，还可以通过利用 CVE-2023-3941 远程更改生物识别读取器的数据库。这组漏洞源于对多个系统组件的用户输入验证不当。利用它，攻击者可以上传自己的数据（例如照片），从而将未经授权的个人添加到数据库中。这可能使他们能够偷偷绕过旋转门或门。此漏洞的另一个关键特性使犯罪者能够替换可执行文件，从而可能创建后门。 成功利用另外两组新漏洞（CVE-2023-3939 和 CVE-2023-3943）可执行设备上的任意命令或代码，从而授予攻击者以最高权限完全控制权。这允许攻击者操纵设备，利用它来对其他网络节点发起攻击，并将攻击范围扩大到更广泛的公司基础设施。 “发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”Georgy Kiguradze 详细阐述道。 确保生物识别系统的安全 生物识别技术通常被认为比典型的身份验证机制更进一步——对于最敏感的设备和最严重的环境来说，这种额外的詹姆斯邦德级别的安全性是必不可少的。 例如，ZKTeco 终端部署在全球各地的核电站、化工厂、医院等场所。它们保护服务器机房、行政套房和敏感设备。上述漏洞可能不适合以经济为目的的网络犯罪分子，但对于意图窃取数据甚至操纵安全关键流程的内部人员或高级国家威胁行为者来说却非常有用。 这些系统部署的环境非常关键，因此各组织必须竭尽全力确保其完整性。而这项工作不仅仅是修补新发现的漏洞。 Kiguradze 建议：“首先，将生物识别读取器隔离在单独的网络段上，以限制潜在的攻击媒介。然后，实施强大的管理员密码并替换所有默认凭据。一般来说，建议对设备的安全设置进行彻底审核并更改所有默认配置，因为它们通常更容易在网络攻击中被利用。” 不确定生物识别技术的组织可以专注于尽可能减少生物识别技术的使用，或确保它们不是唯一的保护措施。关键在于确保这些额外的保护措施对用户不可见。 出路 安全团队面临的根本问题是：如果数据最终以相同的方式存储和保护，生物识别技术是否比其他形式的身份验证更安全？ 嗯，是的，大多数情况下，专家都是这么说的。 iProov 创始人兼首席执行官安德鲁·巴德 (Andrew Bud) 表示：“我想澄清一个常见的误解，即生物特征识别就像密码一样，因此，如果被盗或被破解，它就会变得毫无价值。这是一个根本性的概念错误，因为生物特征识别（如面部）并不是秘密。” 他解释道：“密码很好用，因为它是秘密的。但在现代社会，脸部并不是秘密。只要在 LinkedIn 或 Facebook 上看一眼，就能抓取到人们的脸部信息。脸部或任何其他生物特征之所以如此有价值，并不是因为它是机密的，而是因为它是独一无二的。” 实际上，泄露的照片、指纹或生物识别扫描仪的虹膜扫描结果并非世界末日。 人们可能会本能地害怕黑客会持有他们的照片，但真实照片的复制品不应该欺骗当今最先进的识别技术。例如，ZKTeco 终端具有温度检测机制，可以验证身份，防止入侵者使用打印的照片等欺骗面部识别终端。 巴德说，“当你检查一个人的脸时，你可以在场景中引入一些不可预测的东西，这会导致脸部做出与深度伪造或复制品相比独特的反应。” 他补充道：“我们的做法是利用用户设备的屏幕闪现出一系列不可预测的独特色彩，照亮用户的脸部，然后将脸部的视频传输回我们的服务器。光线在人脸上反射的方式，以及反射与环境光相互作用的方式……这是一个非常非常奇特、不寻常且不可预测的挑战，极难伪造。” 他解释说，如果面部识别机制能够抵御复制，“原则上，你就不必依赖收集数据的设备的安全性。事实上，我们从一开始就假设该设备完全不可信。” 不幸的是，有一个警告。与面部、眼睛和指纹等身体特征不同，“检测深度伪造的声音非常困难，甚至不可能， ”巴德说。“声纹中的信息太少了，很难发现假冒信号”——因此，生物识别技术的高级版本才是出路。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ntst01VxfhEeP2J5SKeBrQ 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现，Netgear WNR614 N300 路由器存在六七个严重程度不一的安全漏洞。 Netgear WNR614 N300 路由器目前已经达到生命周期结束 （EoL），不再受 Netgear 支持，但由于其可靠性、易用性和极佳性能，仍然有许多用户。 RedFox Security 公司的研究人员在 Netgear WNR614 N300 路由器上发现了六个安全漏洞，涉及身份验证绕过漏洞、弱密码策略漏洞、以及会引发纯文本存储密码和 Wi-Fi 保护设置 (WPS) PIN 暴露的安全漏洞。 首先是被追踪为 CVE-2024-36787 的安全漏洞，允许黑客绕过身份验证，并通过未知媒介访问受害者网络系统的管理界面。不仅如此，该安全漏洞还允许未经授权访问路由器的设置，对网络安全和敏感用户数据构成严重安全威胁。 人员发现，Netgear WNR614 N300 路由器存在六七个严重程度不一的安全漏洞。 破损的访问控制 安全漏洞 CVE-2024-36788 ，源于路由器对 Cookie 的 HTTPOnly 标志设置不当。威胁攻击者可利用该安全漏洞拦截和访问路由器与连接到路由器设备之间的敏感通信。 安全漏洞 CVE-2024-36789，允许威胁攻击者创建不符合适当安全标准的密码，甚至接受单字符作为管理员帐户的密码，可能导致未经授权的访问、网络操纵和潜在的数据暴露。 安全漏洞 CVE-2024-36790，路由器以纯文本方式存储凭证，这使得威胁攻击者很容易就可以获得未经授权的访问、操纵路由器并暴露敏感数据。 明文数据曝光 安全漏洞 CVE-2024-36792，黑客可以利用该漏洞访问路由器的 PIN 码，使得路由器存在未经授权的安全风险（非法访问和非法操纵）。 WPS PIN 码暴露 安全漏洞 CVE-2024-36795，允许黑客访问路由器固件中嵌入的 URL 和目录，增加了未经授权访问和控制网络的安全风险。 值得一提的是，鉴于 Netgear WNR614 N300 路由器已达到 EoL，Netgear 预计不会针对这些安全漏洞发布安全更新。如果暂时无法更换设备，安全研究人员强烈建议用户采用以下有助于其防止网络攻击的缓解措施： 1、关闭远程管理功能，降低未经授权访问的风险； 2、使用复杂的长密码并定期更改； 3、将路由器与网络中的关键系统分开，以限制任何潜在漏洞的影响； 4、确保路由器使用 HTTPS，并使用强制执行 HTTPS 的浏览器设置，以确保所有通信安全并防止拦截； 5、关闭 WPS，防止攻击者利用此功能获得未经授权的访问； 6、切换到 WPA3，以增强安全性； 7、限制对路由器管理界面的访问。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403304.html 封面来源于网络，如有侵权请联系删除

网络安全公司Malwarebytes将Recall称为“预装键盘记录器”，而软件工程师和Web3批评者Molly White则称其为“间谍软件”。 在遭到大批网络安全专家的抨击和“破解”后，微软终于决定“隐藏”其刚发布数周的Windows回忆功能。 微软发布“间谍软件” 5月20日微软隆重发布Windows回忆功能（Recall）时，万万没想到会招来消费者和安全行业人士铺天盖地的恶评。网络安全公司Malwarebytes将其称为“预装键盘记录器”，而软件工程师和Web3批评者Molly White则称其为“间谍软件”。 进一步加剧用户担忧的是，微软表示，Recall不会在截图中对敏感信息进行遮挡，例如密码或财务信息。这意味着存储在用户计算机上的Recall截图数据库可能会成为黑客的金矿，汇集了大量敏感数据，并且可以通过AI驱动的搜索功能轻松搜索。 微软坚称，由于所有Recall数据都存储在本地并通过设备加密或BitLocker加密，用户的隐私受到保护。该功能将在Copilot+PC上默认启用，但用户可以禁用它，并配置为不记录特定网站和应用程序。 然而，自Recall宣布以来的几周内，多位安全专家对预览版进行了渗透测试，发现了多种访问和利用Recall数据库大规模窃取敏感数据的方法。 例如，SIX Group的网络控制主管兼HackerOne技术咨询委员会成员Alex Hagenah开发了一个“非常简单”的概念验证工具，名为“TotalRecall”，它可以复制、搜索和提取Recall数据库文件中的信息。 此外，谷歌Project Zero的安全研究员James Forshaw发表了一篇关于绕过访问控制列表的博客文章，揭示了通过Windows AIXHost.exe进程的令牌或简单地重写自由访问控制列表，用户无需管理员权限即可访问Recall数据库，因为数据库被视为用户拥有。 回忆功能被“隐藏” 针对“客户反馈”，微软在周五的一篇博客文章中宣布，Recall将不再默认激活，用户需要手动启用才能使用该功能。此外，用户需要完成Windows Hello生物识别注册过程才能启用Recall功能，这进一步降低了黑客在用户选择关闭Recall后启用它的可能性。 微软表示，查看Recall时间线和使用AI驱动搜索工具的必要条件之一是通过Windows Hello验证用户在场，用户通过Windows Hello增强登录安全进行身份验证后才能解密截图。 “我们希望重申企业和操作系统安全副总裁David Weston之前分享的内容，即Copilot+PC设计为默认安全。”微软在博客文章中写道。 自Recall宣布以来一直对其持批评态度的安全研究员、前微软高级威胁情报分析师KevinBeaumont对这一更新表示欢迎。“事实证明，（安全业界的）发声是有效的，”Beaumont在X平台上写道。 “（Recall功能的）细节中显然还会有一些潜在的大问题，但也有一些积极变化。微软需要承诺不在未来偷偷让用户启用该功能，并且在企业的组策略和Intune中默认关闭它。”Beaumont补充道。   转自安全内参，原文链接：https://www.secrss.com/articles/66956 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，属于《纽约时报》的内部源代码和其他数据于6月6日被一匿名用户泄露至 4chan论坛，文档大小为270GB。 这名匿名用户发帖称，”大约有 5000 个存储库（我认为其中不到 30 个是额外加密的），总共 360 万个文件，未压缩的 tar。“ 虽然BleepingComputer没有下载存档，但匿名者共享的文本文件包含了从该公司的 GitHub 存储库中窃取的 6223 个文件夹的完整列表。文件夹名称显示，被盗信息种类繁多，包括 IT 文档、基础架构工具和源代码，据称还包括病毒 Wordle 游戏。 匿名用户发布的《纽约时报》数据泄露帖子 《纽约时报》在给 BleepingComputer 的一份声明中表示，这些数据泄露的原因源自2024年1月的一个漏洞，导致基于云的第三方代码平台的凭证被曝光。后续的一封电子邮件确认了这个代码平台是 GitHub。该公司表示，其GitHub帐户的泄露并未影响其内部公司系统，也对其运营没有影响。 存档中的“自述文件”指出，攻击者就是使用了暴露的 GitHub 令牌访问公司的存储库并窃取数据。 就在同一周，在4chan上还发生了另外两起数据泄露事件，分别涉及《泰晤士报》和迪士尼。 消息人士独家告诉 BleepingComputer，《企鹅俱乐部》游戏的狂热玩家入侵了迪士尼的Confluence服务器，窃取了 2.5 GB 的内部数据。 目前尚不清楚是否是同一个人进行了《纽约时报》和迪士尼的违规行为。   转自Freebuf，原文链接：https://www.freebuf.com/news/403176.html 封面来源于网络，如有侵权请联系删除

研究人员发现，一个名为“蓝宝石狼人”的黑客组织在过去三个月内利用紫水晶信息窃取程序攻击了 300 多家俄罗斯公司。 该组织的目标包括俄罗斯的教育、制造业、科技、国防和航空航天工程行业。目前尚不清楚该组织背后的组织者是谁，以及该组织是否受到政府支持或出于经济动机。 俄罗斯网络公司 BI.ZONE自 3 月以来一直在跟踪Sapphire Werewolf 的活动。研究人员称，该组织的 Amethyst 工具是开源 SapphireStealer 的一个分支。 一旦进入系统，Amethyst 可以收集 Telegram 配置文件、密码和 cookie 数据库、浏览器和热门网站历史记录、从浏览器保存的页面和配置以及 PowerShell 日志。 黑客通过伪装成官方命令的网络钓鱼电子邮件将恶意软件传送到受害者的设备，这些命令包括来自中央选举委员会甚至俄罗斯总统弗拉基米尔·普京的命令。 目前尚不清楚 Sapphire Werewolf 的活动效果如何，也不清楚他们如何使用所获得的数据。研究人员注意到，该组织的恶意软件已经进化。就在三个月前，窃取者还“没有任何机制可以在受感染的系统中实现持久性”，而且只收集了“一组有限的数据”。 由于西方公司在俄罗斯的知名度有限，有关俄罗斯境内网络攻击的报道很少，而且通常由当地网络公司独家发布。 本周早些时候，另一家俄罗斯公司 Positive Technologies（因向俄罗斯情报部门提供技术而受到美国制裁）发布了一份报告，报告称一个名为 HellHounds 的受国家支持的组织使用 Decoy Dog 恶意软件攻击俄罗斯电力公司、科技企业、政府机构、航天工业和电信提供商。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Wu5Y1-M1OhooFEQPX3nWMg 封面来源于网络，如有侵权请联系删除

一组以色列研究人员探索了 Visual Studio Code 市场的安全性，并通过对流行的“Dracula Official”主题的副本进行木马病毒感染，以包含危险代码，成功“感染”了 100 多个组织。对 VSCode 市场的进一步研究发现了数千个扩展程序，安装量达数百万次。 Visual Studio Code（VSCode）是微软发布的一款源代码编辑器，被全球众多专业软件开发人员使用。 微软还运营一个 IDE 的扩展市场，称为 Visual Studio Code Marketplace，它提供可扩展程序功能并提供更多自定义选项的附加组件。 先前的报告强调了 VSCode 的安全性漏洞，允许扩展程序发布者冒充以及窃取开发人员身份验证令牌的扩展，还有一些在野外发现的扩展被证实是恶意目的。 对 Dracula 主题进行域名抢注 在最近的实验中，研究人员Amit Assaraf、Itay Kruk 和 Idan Dardikman创建了一个扩展，对“ Dracula Official ”主题进行了域名抢注，该主题是各种应用程序的流行配色方案，在 VSCode 市场上安装量超过 700 万次。 Darcula 因其视觉上吸引人的暗黑模式和高对比度的调色板而被大量开发人员使用，这对眼睛很友好，有助于减少长时间编码期间的眼睛疲劳。 研究中使用的虚假扩展名为“Darcula”，研究人员甚至在“darculatheme.com”注册了一个匹配的域名。该域名被用来成为 VSCode 市场上经过验证的发布者，从而增加了虚假扩展的可信度。 VSCode 市场上的 Darcula 扩展 他们的扩展使用了合法 Darcula 主题的实际代码，但还包括一个附加脚本，用于收集系统信息，包括主机名、已安装的扩展数量、设备的域名和操作系统平台，并通过 HTTPS POST 请求将其发送到远程服务器。 研究人员指出，恶意代码不会被端点检测和响应 (EDR) 工具标记，因为 VSCode 作为开发和测试系统的性质而受到宽大处理。 该扩展程序迅速获得关注，被多个高价值目标错误地安装，其中包括一家市值 4830 亿美元的上市公司、大型安全公司和一个国家司法法院网络。 研究人员选择不透露受影响公司的名称。 由于该实验没有恶意，分析师仅收集了识别信息，并在扩展的自述文件、许可证和代码中包含了披露。 Darcula 在 VSC Marketplace 上发布帖子 24 小时后受害者的位置 VSCode 市场现状 实验成功后，研究人员决定深入研究 VSCode 市场的威胁状况，使用他们开发的名为“ExtensionTotal”的自定义工具来查找高风险扩展、解包并仔细检查可疑的代码片段。 通过这一过程，他们发现： 1,283 个含有已知恶意代码（2.29 亿次安装）。 8,161 个使用硬编码 IP 地址进行通信。 1,452 个正在运行未知的可执行文件。 2,304 个正在使用其他发布者的 Github repo，表明他们是模仿者。 下面是在恶意 Visual Studio Code Marketplace 扩展中发现的代码示例，该扩展会打开网络犯罪分子服务器的反向 shell。 在代码美化扩展 (CWL Beautifer) 中发现的反向 shell 微软对 VSCode 市场缺乏严格的控制和代码审查机制，这使得攻击者可以肆意滥用该平台，而且随着平台使用的增多，情况会变得越来越糟。 研究人员警告说：“从数字可以看出，Visual Studio Code 市场上有大量的扩展对组织构成风险。” “VSCode 扩展是一种被滥用和暴露的攻击垂直领域，具有零可见性、高影响和高风险。这个问题对组织构成了直接威胁，值得安全社区的关注。” 研究人员检测到的所有恶意扩展都已负责任地报告给 Microsoft 以进行删除。然而，截至撰写本文时，绝大多数扩展仍可通过 VSCode Marketplace 下载。 研究人员计划下周发布他们的“ExtensionTotal”工具以及有关其操作能力的详细信息，并将其作为免费工具发布，以帮助开发人员扫描他们的环境以发现潜在威胁。 研究人员发表的系列技术博客文章： 我们如何使用假的 VSCode 扩展在 30 分钟内入侵价值数十亿美元的公司 揭露恶意扩展：来自 VS Code 市场的令人震惊的统计数据 致微软的一封信：揭露 Visual Studio Code 扩展的设计缺陷   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/xDDh_N7o26Em_9Ni3Ddyyw 封面来源于网络，如有侵权请联系删除

近日，ConnectWise 发布的研究数据显示，94% 的中小企业至少经历过一次网络攻击，比 2019 年的 64% 大幅上升。 中小企业遭受网络攻击的概率不断上升 近些年，网络安全威胁不断增加导致很多中小企业对其自身网络防御能力缺乏信心。在一项关于中小企业网络安全防御能力的调查中，78% 的中小企业担心内部人员很难阻挡威胁攻击者的“脚步”，一旦发生网络安全事件，公司的正常运营就会立刻中断。 好消息是，这一“担忧”正在推动中小企业逐步认识到迫切需要采取积极措施来保护其数据安全、并重新评估和加强其网络安全战略。ConnectWise 产品管理高级副总裁 Raffael Martin 表示，随着中小企业面临的安全风险不断升级，在网络安全方面，这些企业已经不再满足于“足够好”，而是追求网络安全建设方面的“更好”、“更安全”。 通过案例分析，中小企业在构建网络安全防御体系时，信心、信任、安全感，以及与 MSP 良好的合作关系都至关重要。对于 MSP 来说，不仅需要提供顶级安全技术，还要培养”牢固“的人际关系，以满足中小企业对自身网络安全态势的期许。 56% 的中小企业在 2024 年至少遭受了一次网络攻击，89% 的中小企业担心在未来六个月内会成为黑客的潜在目标。 99.5% 的组织经历过网络安全事件，其中 38% 的组织认为在处理网络安全事件时，会耗费其大量的时间成本、资源成本，非常浪费“精力”。 值得一提的是，与 MSP 合作的中小型企业在公司声誉受损、应对攻击的金钱成本和负面宣传方面的影响，要略低于不使用 MSP 的中小型企业。由此可见，虽然与 MSP 合作可能不会降低自身遭遇网络攻击的概率，但可能会大大降低攻击带来影响，从而多出一个初始“防御层“。 随着企业采用日益复杂的技术堆栈，安全威胁也在不断增加，越来越多的中小企业开始依赖 MSP。从2022 年的 89% 上升到现在的 94%，超过一半的中小企业将其大部分 IT 基础设施、服务和网络安全需求外包给了 MSP。 中小企业逐步认识到网络安全的重要性 目前，90% 的中小企业已经认识到了网络安全的重要性，网络安全目前已经成为了企业未来两年的三大优先事项之一。为此，许多企业正在加大网络安全投资，83% 的企业计划在未来 12 个月内将网络安全预算平均增加 19%。 人工智能、GenAI 等技术的快速发展得到很多企业的重点关注。其中，32% 的企业声称未来将会把这些技术引用到自身网络安全体系中，以提高其运营效率，保持核心竞争力。在寻找合适的网络安全合作伙伴方面，62% 的企业表示会考虑更换供应商以获得更好的解决方案，并愿意为合适的网络安全服务平均多支付 47% 的费用。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402964.html 封面来源于网络，如有侵权请联系删除