包括 Volt Typhoon 在内的多个黑客组织针对 IT 巨头 Ivanti 的三个漏洞进行网络犯罪活动。 美国网络安全和基础设施安全局 (CISA) 和多家世界领先的网络安全机构已发布有关这些漏洞的警告（标记为 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893），因为这些漏洞存在于世界各地的政府网络。 在周四发布的一份报告中，谷歌旗下的安全公司 Mandiant 表示，它正在跟踪利用这些漏洞的“多个活动集群”，这些漏洞影响了 Ivanti Connect Secure 和 Ivanti Policy Secure 网关。 研究人员表示，二月份，他们开始追踪一个被认为是 Volt Typhoon 的组织，该组织与 TAG-87 和 BRONZE SILHOUETTE 重叠，目标是美国的能源和国防部门。另外四个黑客组织自Ivanti 于 1 月 10 日公开披露以来也被发现利用这些漏洞。 “Mandiant 发现利用 CVE-2023-46805 和 CVE-2024-21887 进行经济动机的攻击者，这些攻击者可能会进行加密货币挖矿等操作。”谷歌旗下的安全公司Mandiant在报告中表示：发现五个不同的黑客组织利用这些漏洞的网络犯罪活动。 SPAWN 恶意软件家族图 该报告重点关注“五个黑客集群”，但只有一个（他们称之为 UNC5221）在 Ivanti 披露之前利用了 CVE-2023-46805 和 CVE-2024-21887。 UNC5330攻击路径图 Mandiant 表示，尚未发现任何 Volt Typhoon 成功入侵 Ivanti Connect Secure 的实例。 “该集群的活动于 2023 年 12 月开始，重点关注 Citrix Netscaler ADC，然后在2024年 1 月中旬公布详细信息后转向关注 Ivanti Connect Secure 设备。”他们说。“我们对学术、能源、国防和卫生部门进行了调查，这与 Volt Typhoon 过去对关键基础设施的兴趣是一致的。” 其他组织如果成功入侵一个组织，就会使用各种恶意软件，包括名为 TERRIBLETEA、PHANTOMNET、TONERJAM、SPAWNSNAIL、SPAWNMOLE 等的 Mandiant 恶意软件家族。 在事件调查过程中，Mandiant 发现了四个不同的恶意软件系列，它认为这些恶意软件系列被一起使用来创建“隐秘且持久”的后门，从而实现长期访问和避免检测。 黑客利用入侵来深入受害者网络，通常会继续攻击 Microsoft 和 VMware 的工具。 目前所有三个漏洞的补丁均已推出。Mandiant 报告发布前一天，Ivanti 首席执行官承诺对公司运营进行一系列变革，此前数月发生了影响世界各国政府的引人注目的事件。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/khSEh7IJTdkZuvovMmTPkg 封面来源于网络，如有侵权请联系删除

亚太地区 (APAC) 以及中东和北非 (MENA) 的金融组织正成为名为JSOutProx的新恶意软件“不断演变的威胁”的目标。 “JSOutProx 是一个利用 JavaScript 和 .NET 的复杂攻击框架。”Resecurity在本周发布的一份技术报告中表示。 “它利用 .NET（反）序列化功能与受害者计算机上运行的核心 JavaScript 模块进行交互。一旦执行，恶意软件就会使框架加载各种插件，从而在目标上执行其他恶意活动。” Yoroi 于 2019 年 12 月首次发现 JsOutProx 活动， JSOutProx 的早期攻击被归因于名为Solar Spider 的黑客组织。 2021 年底，Quick Heal 安全实验室详细介绍了 JSOutProx 利用远程访问木马 (RAT) 针对印度小型金融银行员工的攻击活动。 攻击链利用带有恶意 JavaScript 附件的鱼叉式网络钓鱼电子邮件，这些附件伪装成包含恶意 HTA 文件的 PDF 和 ZIP 档案，以部署经过严重混淆的植入程序。 Quick Heal当时在报告中指出：“该恶意软件具有各种插件来执行各种操作，例如数据泄露、执行文件系统操作。” 这些插件使其能够从受感染的主机获取大量信息、控制代理设置、捕获剪贴板内容、访问 Microsoft Outlook 帐户详细信息以及从 Symantec VIP 收集一次性密码。该恶意软件的一个独特功能是使用 Cookie 标头字段进行命令和控制 (C2) 通信。 JSOutProx 还代表了这样一个事实：它是一个用 JavaScript 实现的功能齐全的 RAT(远程访问木马)。 Fortinet FortiGuard 实验室在 2020 年 12 月发布的一份报告中表示， “JavaScript 根本无法提供与 PE 文件一样多的灵活性”，该报告描述了一项针对亚洲政府货币和金融部门的活动。 鱼叉式网络钓鱼电子邮件 “然而，由于许多网站都使用 JavaScript，它对大多数用户来说似乎是良性的，因为具有基本安全知识的个人被教导避免打开以 .exe 结尾的附件。此外，由于 JavaScript 代码可能会被混淆，因此它很容易绕过防病毒软件检测，使其能够在未被检测到的情况下过滤。” Resecurity 记录的最新一组攻击需要使用虚假的 SWIFT 或 MoneyGram 付款通知来诱骗电子邮件收件人执行恶意代码。据说该活动从 2024 年 2 月 8 日开始出现激增。 这些工件已被观察到托管在 GitHub 和 GitLab 存储库上，后来已被封锁并删除。 该网络安全公司表示：“一旦恶意代码成功交付，攻击者就会删除存储库并创建一个新的存储库。” “这种策略可能与攻击者用来管理多个恶意负载和区分目标的方式有关。” Resecurity 认为，该恶意软件背后的电子犯罪团伙的确切起源目前尚不清楚。 这一进展发生之际，网络犯罪分子正在暗网上推广名为 GEOBOX 的新软件，该软件重新利用Raspberry Pi 设备进行欺诈和匿名化。 该工具每月仅需 80 美元（或终身许可证 700 美元），允许运营商欺骗 GPS 位置、模拟特定网络和软件设置、模仿已知 Wi-Fi 接入点的设置以及绕过反欺诈过滤器。 此类工具可能会产生严重的安全隐患，它们为各种犯罪行为打开了大门，例如国家支持的攻击、企业间谍活动、暗网市场操作、金融欺诈、匿名分发恶意软件，甚至访问地理围栏内容。 Resecurity表示：“GEOBOX 的访问便捷性引起了网络安全界对其在各种网络攻击组织中广泛采用的潜力严重担忧。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/VQPqyumVxIZE8f4MH4r5Tw 封面来源于网络，如有侵权请联系删除

根据瑞士IT安全评估公司Pentagrid的报告，德国以及其他欧洲国家的宜必思快捷酒店存在一个自助登记亭漏洞，可能导致键盘代码被暴露，从而使得入住房间的安全受到影响。 该漏洞首次于2023年底被Pentagrid的黑客团队在德国一家宜必思快捷酒店的自助入住终端中发现，但他们认为这一漏洞可能存在于其他宜必思快捷酒店中。 宜必思快捷品牌隶属于法国酒店业巨头雅高集团。据该公司网站称，宜必思快捷酒店在 20 个国家/地区拥有 600 家酒店。 根据Accor的通知，他们已经向受影响的设备推出了补丁，并在一个月内通知了Pentagrid。 受影响的自助服务终端允许宜必思快捷酒店的顾客自助登记入驻。原本只需输入预订ID就能拿到房间号和密码，但Pentagrid发现，输入一串特殊符号后，系统会列出所有预订，并显示房间号和密码。这些密码在客人入住期间都有效，所以攻击者有可能利用这个漏洞进入客人的房间。 安全公司的研究人员认为，这个问题可能是因为供应商忘记了关闭一个功能或者测试过程中出现了问题，而不是特意设计的。他们在谷歌上搜索了宜必思快捷酒店登记入住亭的图片，找到了德国和法国等地的数十个酒店的照片。但目前还不清楚哪个公司生产的信息亭存在问题。 攻击者要利用这个漏洞，需要亲自到达目标终端，并且在夜间设置设备以允许自助服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/295295 封面来源于网络，如有侵权请联系删除

近期，思科公司表示，全球仅有 3% 的组织达到抵御网络安全风险所需的 “成熟 “准备水平。值得一提的是，这一比例与一年前相比大幅下降，当时有 15% 的公司被评为 “成熟”。 组织网络安全风险准备水平较低 如今，从网络钓鱼、勒索软件到供应链攻击和社交工程攻击，各种威胁技术持续将全球组织作为攻击目标。虽然一些组织正在针对这些攻击建立起了防御措施，但由于自身的安全态势过于复杂，且以多点解决方案为主，因此在防御攻击方面仍然举步维艰。 虽然 80% 的组织对其现有基础设施抵御网络攻击的能力非常乐观，但信心与准备程度之间有着很明显的差距。从现有状况来看，组织不仅对其”驾驭“安全威胁的能力存在认知不足，也可能没有正确评估所面临挑战的真正规模。 思科执行副总裁兼安全与协作部总经理 Jeetu Patel 指出，组织不能低估自身面对的安全威胁，需要持续优先投资于集成防御平台，并且不断智能化运营倾斜，以便最终实现自动化防御，使”天平“始终向有利于防御者的方向倾斜。 值得一提的是，73% 的受访组织表示，其预计在未来 12 到 24 个月内，网络安全事件将扰乱业务经营。如果组织内部毫无准备，可能要付出很大的代价。此外，54% 的受访者表示，在过去 12 个月中经历过网络安全事件，52% 的受访者表示至少损失了 30 万美元。 人才短缺影响组织构建安全防御机制 80% 的受访者承认，组织采用多点解决方案会降低其团队检测、响应和从网络安全事件中恢复的能力，没有带来显著的结果 。（67% 的组织表示，内部安全团队在安全堆栈中部署了10个或更多的点解决方案，25% 的企业表示部署了30个或更多的点解决方案。） 85% 的组织表示，内部员工通过非托管设备访问公司各个网络平台，其中 43% 的员工花费 20% 的时间通过非托管设备登录公司网络系统。此外，29% 的公司表示，其员工一周内至少在六个网络之间”跳来跳去“。 87% 的受访者指出，关键网络安全人才的短缺进一步阻碍了网络安全防御工作的开展。事实上，46% 的组织表示，他们的组织中有超过 10 个与网络安全相关的职位空缺。值得注意的是，52% 的组织计划在未来 12-24 个月内大幅升级其 IT 基础设施，这一数字比去年计划升级的 33% 有了明显增加。 最突出的是，企业计划升级现有解决方案（66%）、部署新解决方案（57%）和投资人工智能驱动技术（55%）。此外，97% 的公司计划在未来 12 个月内增加网络安全预算，86% 的受访者表示他们的预算将增加 10% 或更多。 最后，安全研究人员强调，组织必须加快在安全方面的资源投入，包括但不限于采用创新的安全措施和安全平台方法，加强网络弹性，更多的使用生成式人工智能产品，并加大安全人才招聘力度，从而构建起组织的网络安全防御体系。   转自Freebuf，原文链接：https://www.freebuf.com/news/396871.html 封面来源于网络，如有侵权请联系删除

苏黎世联邦理工学院的网络安全研究人员开发了 RowHammer DRAM（动态随机存取存储器）攻击的新变体，尽管采取了目标行刷新 (TRR) 等缓解措施，但该攻击首次成功针对 AMD Zen 2 和 Zen 3 系统。 研究人员表示：“这一结果证明 AMD 系统与 Intel 系统一样容易受到 Rowhammer 的攻击，考虑到目前 AMD 在 x86 桌面 CPU 上的市场份额约为 36%，这大大增加了攻击面。 ” 该技术的代号为ZenHammer，它还首次可以在 DDR5 设备上触发 RowHammer 位翻转。 RowHammer于 2014 年首次公开披露，是一种众所周知的攻击，它利用 DRAM 的存储单元架构，通过重复访问特定行（又称锤击）来更改数据，从而导致单元的电荷泄漏到相邻单元。 这可能会导致相邻内存行中的随机位翻转（从 0 到 1，或反之亦然），从而改变内存内容并可能促进权限升级，从而损害系统的机密性、完整性和可用性。 这些攻击利用了内存阵列中这些单元的物理接近性，随着 DRAM 技术扩展和存储密度的增加，这个问题可能会变得更加严重。 苏黎世联邦理工学院的研究人员在 2022 年 11 月发表的一篇论文中指出： “随着 DRAM 的不断扩展，RowHammer 位翻转可能会在较小的激活计数下发生，因此良性工作负载的 DRAM 行激活率可能会接近甚至超过 RowHammer 阈值。” “因此，即使没有恶意方在系统中执行 RowHammer 攻击，系统也可能会经历位翻转或频繁触发 RowHammer 防御机制，从而导致数据损坏或性能显着下降。” DRAM 制造商针对 RowHammer 实施的关键缓解措施之一是TRR，它是一个总称术语，用于刷新确定要频繁访问的目标行的机制。 这样做的想法是生成更多的内存刷新操作，以便受害行要么在位翻转之前被刷新，要么在由于 RowHammer 攻击而位翻转之后得到纠正。 ZenHammer 与TRRespass和SMASH一样，通过对 AMD 系统中的秘密 DRAM 地址函数进行逆向工程，并采用改进的刷新同步以及刷新和防护指令的调度来绕过 TRR 护栏，以在 10 个样本 Zen 2 设备中的 7 个和 6 个样本上触发位翻转。 10 个 Zen 3 设备。 该研究还得出了最佳的锤击指令序列，以提高行激活率，从而促进更有效的锤击。 研究人员表示：“我们的结果表明，使用 CLFLUSHOPT 定期加载 (MOV) 从缓存中清除攻击者，在访问攻击者（‘分散’风格）后立即发出，是最佳选择。” ZenHammer 的独特之处在于，它是第一个可以在 AMD Zen 4 微架构平台上配备 DDR5 芯片的系统上触发位翻转的方法。也就是说，它仅适用于 10 台测试设备中的一台（Ryzen 7 7700X）。 值得注意的是，DDR5 DRAM 模块之前被认为不会受到 RowHammer 攻击，因为它们用一种称为刷新管理的新型保护取代了 TRR。 研究人员表示：“DDR5 的变化，例如改进的 RowHammer 缓解措施、片上纠错码 (ECC) 和更高的刷新率 (32 毫秒)，使得触发位翻转变得更加困难。” “鉴于 10 个 DDR5 设备中的 9 个缺乏位翻转，需要做更多的工作来更好地了解潜在的新 RowHammer 缓解措施及其安全保证。” AMD 在一份安全公告中表示，它正在评估 DDR5 设备上的 RowHammer 位翻转，并将在完成后提供更新。 “AMD 微处理器产品包括专为满足行业标准 DDR 规范而设计的内存控制器，”它补充道。 “对 RowHammer 攻击的敏感性因 DRAM 设备、供应商、技术和系统设置而异。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/d0fkL0ij7BHKAeCQzioXZw 封面来源于网络，如有侵权请联系删除

近日，全球知名的网络安全组织OWASP基金会承认发生数据泄露事件，影响范围可能涉及2006年至2014年间加入OWASP并提交过简历的老成员。 OWASP（全球应用程序安全项目）基金会是全球最知名的网络安全组织之一，免费提供物联网、系统软件和Web应用程序安全领域的文章、方法、文档、工具和技术。OWASP Top10威胁榜单更是被网络安全行业主流标准、工具、和安全运营团队广泛采用。 此次数据泄露事件源于OWASP的旧Wiki服务器配置错误，导致部分老成员简历信息被公开访问。泄露的简历信息可能包含姓名、电子邮件地址、电话号码、物理地址和其他个人识别信息。由于该漏洞影响的简历提交时间距今至少十年，部分信息可能已经过期。 OWASP基金会表示，他们已经采取了以下措施： 禁用目录浏览功能，并审查了网络服务器和MediaWiki配置，排查其他安全漏洞。 从Wiki网站上彻底删除了所有简历信息。 清除CloudFlare缓存，防止进一步访问泄露信息。 要求网络档案(Web Archive)删除相关信息。 由于泄露信息年代久远，部分受影响人员可能已经不在OWASP担任职务，且联系方式可能失效，OWASP基金会将通过官网公告的方式告知公众此次事件。同时，OWASP基金会也将尝试联系在调查过程中发现的电子邮件地址。 OWASP基金会承认此次数据泄露事件的严重性，并对受影响人员表示歉意。他们承诺将吸取教训，加强数据保留政策审查和实施额外的安全措施，以防止此类事件再次发生。 OWASP基金会建议受影响人员采取以下措施: 如果您的简历中包含的手机号码等信息仍然有效，请在接到陌生电子邮件、信件或电话时保持警惕。 可以考虑使用信用监控服务来保护您的个人信息。 如果您发现自己的个人信息被盗用，请立即向相关机构报告。 最后，OWASP基金会表示已经采取了双因素认证、最小访问权限和系统弹性等现代云安全最佳实践来保护现有成员数据。此外，OWASP基金会仅收集维持会员资格所需的必要信息，以降低未来潜在的数据泄露风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/nhThbjnXjQhwKp8YMGrx7A 封面来源于网络，如有侵权请联系删除

安全研究人员观察到 Red Hat 和 Ubuntu 系统受到 Linux 版本的 DinodasRAT（也称为 XDealer）的攻击，该版本可能自 2022 年以来一直在运行。 该恶意软件的第一个版本已追踪至 2021 年，但 Linux 变体尚未公开披露过。 网络安全公司 ESET 此前曾发现 DinodasRAT 在一项名为“Operation Jacana（水雉行动）”的针对政府实体的间谍活动中损害了 Windows 系统。 本月早些时候，趋势科技报道了他们追踪的一个名为“Earth Krahang”的 APT 组织，该组织使用 XDealer 破坏了全球多国政府的 Windows 和 Linux 系统。 DinodasRAT 详细信息 在本周早些时候的一份报告中，卡巴斯基的研究人员表示，DinodasRAT 的 Linux 变体在执行时会在其二进制文件所在的目录中创建一个隐藏文件，该文件充当互斥体，以防止多个实例在受感染的设备上运行。 接下来，恶意软件使用 SystemV 或 SystemD 启动脚本在计算机上设置持久性。为了使检测变得复杂，恶意软件会在父进程等待时再次执行。 恶意软件的执行逻辑 （卡巴斯基） 使用感染、硬件和系统详细信息对受感染的计算机进行标记，并将报告发送到命令和控制 (C2) 服务器以管理受害主机。 为受害者创建唯一 ID （卡巴斯基） 与 C2 服务器的通信通过 TCP 或 UDP 进行，而恶意软件在 CBC 模式下利用微型加密算法 (TEA)，确保安全的数据交换。 Dinodas网络数据包结构 （卡巴斯基） DinodasRAT 具有旨在监视、控制和从受感染系统中窃取数据的功能。其主要特点包括： 监视和收集有关用户活动、系统配置和运行流程的数据。 接收来自 C2 的执行命令，包括文件和目录操作、shell 命令执行以及更新 C2 地址。 枚举、启动、停止和管理受感染系统上的进程和服务。 为攻击者提供远程shell，以便在单独的威胁中直接执行命令或文件。 通过远程服务器代理 C2 通信。 下载可能包含改进和附加功能的恶意软件的新版本。 自行卸载并从系统中擦除其先前活动的所有痕迹。 研究人员表示，DinodasRAT 使攻击者能够完全控制受感染的系统。他们指出，攻击者主要使用恶意软件来通过 Linux 服务器获取和维护对攻击目标的访问。 卡巴斯基表示：“后门功能齐全，使操作员能够完全控制受感染的机器，从而实现数据泄露和间谍活动。” 卡巴斯基没有提供有关初始感染方法的详细信息，但指出自 2023 年 10 月以来，该恶意软件影响多国受害者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pmf5FbBtJ4ri0SJDMI-JIg 封面来源于网络，如有侵权请联系删除

德国联邦信息安全办公室 (BSI) 发布警报，称该国至少 17,000 台 Microsoft Exchange 服务器容易受到一个或多个严重漏洞的影响。 BSI 还补充说，有大量规模相当的 Exchange 服务器存在潜在漏洞，但数量未报告。 BSI 敦促运行易受攻击实例的运营商安装可用的安全更新并安全地配置它们。 网络犯罪分子和APT组织利用众多漏洞进行恶意活动，包括恶意软件活动和网络间谍活动。 大多数受影响的组织是学校和大学等教育机构、诊所和医生诊所等医疗机构、护理服务机构、法律和税务咨询公司、地方政府和众多中型企业。 列出的服务器中有 12% 正在运行不再受支持的 Exchange Server 版本，所有服务器中约有 25% 使用缺乏安全补丁的 Exchange 2016 和 2019。 “目前，德国大约 45,000 台 Microsoft Exchange 服务器可以不受限制地通过 Internet 访问。根据 BSI 目前的调查结果，其中大约 12% 已经过时，微软已不再为其提供安全更新。大约 25% 的服务器运行 Exchange 2016 和 2019，补丁版本已过时。在这两种情况下，服务器都容易受到几个严重漏洞的影响。” BSI 发布的警报警告说：“这意味着至少有 37% 的可通过 Internet 公开访问的 Microsoft Exchange 服务器容易受到攻击。” 德国机构还对其余 48% 的 Exchange 服务器发出警告，目前尚不清楚它们是否已针对最近披露的CVE-2024-21410漏洞进行了修补。 编号CVE-2024-21410的漏洞是一个安全功能绕过漏洞，攻击者可利用该漏洞绕过 SmartScreen 检测并注入代码以获得潜在的代码执行权限，这可能会导致部分数据泄露、系统可用性不足或两者兼而有之。 “攻击者可以利用 NTLM 凭据泄露类型漏洞瞄准 NTLM 客户端（例如 Outlook）。然后，泄露的凭据可以针对 Exchange 服务器进行中继，以获得受害者客户端的权限，并代表受害者在 Exchange 服务器上执行操作。 有关 Exchange Server 对身份验证扩展保护 (EPA) 支持的详细信息，请参阅 在 Exchange Server 中配置 Windows 扩展保护。”微软发布的公告指出。 微软通过发布 2024 年 2 月的补丁安全更新解决了这个问题。 2024 年 2 月，美国网络安全和基础设施安全局 (CISA) 将此漏洞添加到其已知可利用漏洞 (KEV) 目录中。微软还更新了其公告，将该漏洞标记为在野外被积极利用。 2024 年 2 月 17 日，Shadowserver 研究人员发现了大约 97K 个易受攻击或可能易受攻击的版本（有漏洞的版本，但可能已应用缓解措施）。 在 97,000 台服务器中，有 28,500 台已被验证容易受到 CVE-2024-21410 的攻击。这些服务器大部分位于德国，其次是美国。 德国目前托管着大多数易受攻击的服务器（19,746 台），其次是美国（17,241 台）。 “德国有数以万计的此类相关软件存在漏洞，这一事实绝不能发生。公司、组织和当局不必要地危及他们的 IT 系统，从而危及他们的附加值、他们的服务或他们自己和第三方的数据，这些数据可能是高度敏感的。网络安全最终必须提上议程。迫切需要采取行动！” BSI 主席克劳迪娅·普拉特纳 (Claudia Plattner) 说道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vzRp1_urC4xG9R3L0AFn1Q 封面来源于网络，如有侵权请联系删除

知名科技杂志Wired近日披露的一份调查报告引发轩然大波。据报道，一家名为NearIntelligence的数据经纪公司收集了大量曾到访杰弗里·爱泼斯坦位于美属维京群岛的“小圣詹姆斯”岛屿（以下简称萝莉岛）的访客手机位置信息。 这份报告显示，在爱泼斯坦2019年因性侵未成年人被捕之前十年间，曾有成百台移动设备到访过该岛屿，这些设备留下的位置信息数据指向了访客在美国各地的住所和办公室。 手机成移动追踪器 令人震惊的是，Near Intelligence收集并泄露到网络上的坐标可以精确到厘米，不仅追踪了访客抵达萝莉岛的路线，还追踪了他们在岛上活动的轨迹，包括臭名昭著的海滨神庙、原始海滩、游泳池和小屋等地。这些数据可以追溯到早在2016年7月，一直持续到爱泼斯坦被捕当天（2019年7月6日）。 更令人不安的是，这份泄露的访客数据显示，在爱泼斯坦被定罪为性犯罪者将近十年后的这段时间里，仍有大量访客涌向其岛屿。不仅如此，Near Intelligence还推测出访客在美国境内多达166个可能的居住和工作地点，遍布26个州的80个城市（包括佛罗里达州、马萨诸塞州、德克萨斯州、密歇根州和纽约州）例如，追踪到的设备来源遍及佛罗里达州的封闭社区豪宅、马萨诸塞州的玛莎葡萄园岛和南塔克特岛的房屋，甚至还有迈阿密的夜总会和纽约市特朗普大厦附近的街道。 广告大数据的隐私问题引发担忧 Near Intelligence利用松散的美国隐私法规，从广告交易所获取位置数据，实现了对爱泼斯坦岛屿访客的精准监控。这些广告交易所会在用户浏览网络和全球移动时与其设备悄然互动，从而收集到大量位置信息。 此次泄露的萝莉岛访客数据不仅暴露了访客的出行轨迹，还可能使他们面临骚扰、跟踪甚至人身伤害的风险，尤其是一些性侵受害者。 Wired报道称，几家广告交易所已经终止与Near Intelligence的合作，因为Near Intelligence的数据使用方式违反了交易所的服务条款。 广告大数据流向美国军方和政府情报机构 更令人担忧的是，Near Intelligence过去曾通过一系列营销公司、中间人和国防承包商向美国军方提供数据。根据WIRED审查的破产记录，Near Intelligence在2023年4月与国防承包商Sierra Nevada的子公司nContext签署了一份为期一年的合同。据悉，nContext曾为国家安全局和国防反情报和安全局提供数据支持。 专家指出，为数字广告开发的无处不在的“用户画像”监控手段现在正被用于与营销完全无关的其他用途，包括政府大规模监控，这足以引起各国政府警觉。 广告大数据滥用威胁公民隐私和国家安全 爱泼斯坦岛屿访客数据泄露事件再次凸显了数据隐私保护的重要性。该事件也暴露了一些提供广告大数据的数据经纪公司在缺乏监管的情况下所拥有的巨大权力。为了保护公民隐私安全和国家安全，各国需要加强数据隐私立法，并对数据经纪公司进行更严格的监管。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/sZuYbomUDoO-iM3kgKj0vA 封面来源于网络，如有侵权请联系删除

俄罗斯安全研究人员表示，他们发现了一个与乌克兰有联系的新网络间谍组织，该组织至少从今年一月起就开始运作。 他们将该组织命名为PhantomCore，并将攻击者之前未描述的远程访问恶意软件标记为 PhantomRAT。 总部位于莫斯科的网络安全公司 FACCT 表示，在对未具名俄罗斯公司的攻击中，黑客利用了WinRAR 中的一个已知漏洞（CVE-2023-38831）。 据 FACCT 称，PhantomCore 使用的策略与之前利用此漏洞的攻击不同。例如，研究人员表示，黑客通过利用特制的 RAR 存档而不是之前观察到的 ZIP 文件来执行恶意代码。 为了将 PhantomRAT 传送到受害者的系统中，黑客使用了网络钓鱼电子邮件，其中包含伪装成合同的 PDF 文件，以及附加的 RAR 存档，该存档受电子邮件中发送的密码保护。PDF 文件是网络间谍活动中的常见诱惑。 网络钓鱼电子邮件 恶意PDF附件 仅当用户使用低于 6.23 的 WinRAR 版本打开 PDF 文件时，才会启动存档中的可执行文件。 研究人员表示，在攻击的最后阶段，易受攻击的系统感染了 PhantomRAT，该系统能够从命令和控制 (C2) 服务器下载文件，并将文件从受感染的主机上传到黑客控制的服务器。 PhantomCore 组织的杀伤链 黑客在攻击活动中可以获得的信息包括主机名、用户名、本地IP地址和操作系统版本。通常，这些信息可以帮助黑客进行进一步的攻击。 在分析过程中，研究人员还发现了三个 PhantomRAT 测试样本，根据 FACCT 的说法，这些样本是从乌克兰上传的。 研究人员表示：“我们可以有一定把握地说，实施这些攻击的攻击者可能位于乌克兰境内。” 鉴于大多数西方网络公司在俄罗斯入侵乌克兰时离开了俄罗斯，因此它们在俄罗斯网络中的知名度有限。Recorded Future News 要求几家公司审查 FACCT 的研究。 Check Point 的研究人员表示，他们调查了该报告和相关漏洞，并确认该恶意软件确实按照描述运行。 Check Point 表示，所有运行 WinRAR 6.23 之前版本的系统都容易受到攻击。研究人员指出，存档中的特定示例仅针对 64 位系统设计——较新的 Windows 机器通常具有处理能力。Check Point 表示，在其他攻击中，有效负载可能会有所不同，如果攻击者需要的话，可能会同时影响 32 位和 64 位系统。 微软威胁情报战略总监 Sherrod DeGrippo 表示，该公司此前并未观察到 FACCT 归因于该组织的具体活动。Microsoft 和其他公司熟悉 CVE-2023-38831 的广泛利用，包括网络犯罪分子和国家支持的行为者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BsSkIhQYI57MovPzyJ3sUA 封面来源于网络，如有侵权请联系删除