俄罗斯自来水公司遭到黑客攻击，以报复 Kyivstar 遭受袭击。 莫斯科的 Rosvodokanal 水管理公司遭到与乌克兰结盟的 Blackjack 组织洗劫，有报道称该公司的 IT 基础设施被“摧毁”。 据报道，在与乌克兰结盟的“Blackjack”组织发起网络攻击后，总部位于莫斯科的自来水公用事业和管理公司 Rosvodokanal 的运营已停止。 据《乌克兰真理报》报道，黑客在乌克兰安全局网络专家的帮助下“摧毁”了罗斯沃多卡纳尔的 IT 基础设施。执法部门消息人士告诉媒体，网络攻击者删除了超过 50TB 的数据，其中包括内部文档管理、公司电子邮件、备份，甚至网络安全保护。 报告补充说，乌克兰安全部门目前正在审查从自来水公司泄露的 1.5TB 数据。 据报道，针对 Rosvodokanal 的网络攻击是为了报复 12 月 12 日对乌克兰最大的移动电信服务提供商 Kyivstar 发起的破坏性网络攻击。此次攻击导致乌克兰各地的通信中断，是自俄罗斯入侵乌克兰以来对该国关键基础设施造成的最具破坏性的攻击。 12 月 20 日的报道称，Rosvodokanal 公用设施仍无法运行。 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

近日，微软称伊朗网络间谍组织 APT33 正在利用 FalseFont 后门恶意软件攻击全球国防工业基地。 据观察，伊朗民族国家黑客 Peach Sandstorm 曾试图向国防工业基地（DIB）部门的组织员工发送名为 FalseFont 的开发后门。此类攻击针对的目标包括 10 万多家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。 该黑客组织又名 Peach Sandstorm\HOLMIUM \Refined Kitten，自 2013 年起就频繁活动。他们的攻击目标横跨美国、沙特阿拉伯和韩国的多个行业领域，还包括政府、国防、研究、金融和工程等垂直行业。 此次微软公布的 FalseFont 是该组织最新行动中部署的自定义后门，它为操作员提供了远程访问被入侵系统、执行文件和向其指挥控制（C2）服务器传输文件的功能。 微软方面表示，这个后门是在今年 11 月初初次被在野发现。 Redmond 表示：FalseFont 的相关威胁行动与微软在过去一年中观察到的 Peach Sandstorm 活动一致，这表明 Peach Sandstorm 的技术在持续精进。他建议各组织机构重置密码、撤销会话 cookie，并使用多因素身份验证（MFA）确保账户和 RDP 或 Windows 虚拟桌面端点的安全，从而减少 APT33 黑客的攻击面。 遭受攻击的国防承包商 今年 9 月，微软曾发布警告声明称自 2 月以来，黑客组织APT33针对全球数以千计的组织（包括国防部门）发起了大范围的密码喷射攻击。 据微软威胁情报团队称：2023 年 2 月至 7 月间，Peach Sandstorm 发起了一波密码喷射攻击，试图对数千个环境进行身份验证。 在2023年一整年，Peach Sandstorm 一直展现出对美国和其他国家的卫星、国防部门组织以及制药部门的兴趣。一旦发起攻击，黑客极易导致国防、卫星和制药领域的数据泄露。 微软威胁情报中心（MSTIC）的研究人员还发现了另一个与伊朗有关的黑客组织，名为DEV-0343。微软2012年10月的一份报告显示，该组织两年前也曾攻击过美国和以色列的国防科技公司。 转自Freebuf，原文链接：https://www.freebuf.com/news/387399.html 封面来源于网络，如有侵权请联系删除

黑客正在利用已存在 6 年的微软 Office 远程代码执行（RCE）漏洞，通过恶意 Excel 附件在电子邮件中传播间谍软件。 该漏洞虽然披露于2017年，但最早的恶意利用可追溯至2014年，黑客的最终目标是通过加载Agent Tesla这一种远程访问木马（RAT）和高级键盘记录器，将最终窃取的数据发送到由黑客控制的Telegram机器人。 尽管已有10年的历史，Agent Tesla 仍然是黑客使用的常见武器，利用它能实现包括剪贴板记录、屏幕键盘记录、屏幕捕获以及从不同的Web浏览器提取存储的密码等功能。 攻击方式 黑客利用社会工程学原理，发送含有恶意 Excel 附件的电子邮件，并在邮件主题中使用 “订单 “和 “发票 “等字眼，要求收件人立即回复，从而增加了紧迫感。 研究人员发现，一旦用户上钩，攻击方法就会变得非常规。使用易受攻击版本的电子表格应用程序打开恶意 Excel 附件，就会启动与黑客意目标的通信，该黑客意目标会推送附加文件，其中第一个文件是一个严重混淆的 VBS 文件，使用的变量名长达 100 个字符，以增加分析和解混淆的复杂性。 接着，该文件依次开始下载恶意 JPG 文件，之后 VBS 文件执行 PowerShell 可执行文件，该可执行文件会从图片文件中检索 Base64 编码的 DLL，并从解码后的 DLL 中加载恶意程序。 恶意通信和附加文件下载 PowerShell 加载后，还有另一种新颖的策略——执行 RegAsm.exe 文件，该文件的主要功能通常与注册表读写操作相关，目的是在真实操作的幌子下进行恶意活动。在此，DLL 获取 Agent Tesla 负载并将线程注入 RegAsm 进程。 一旦部署成功，间谍软件就会从大量浏览器、邮件客户端和 FTP 应用程序中窃取数据，并还尝试部署键盘和剪贴板挂钩来监视所有击键并捕获用户复制的数据。 目前这种攻击方式的独特之处在于，它将长期存在的漏洞与新的复杂规避策略结合在一起，展示了黑客在感染方法方面较强的适应性。 为此，Zscaler 高级工程师安全研究员 Kaivalya Khursale 指出：“组织必须及时了解不断变化的网络威胁，以保护其数字环境。 转自Freebuf，原文链接：https://www.freebuf.com/news/387416.html 封面来源于网络，如有侵权请联系删除

印度 IT 公司 HCL Technologies 向当地监管机构通报了 12 月 20 日发生的网络攻击。该公司在向印度国家证券交易所提交的文件中通知其一个云项目已被勒索软件渗透。 公司秘书 Manish Anand 表示，整个 HCLTech 网络没有受到影响，网络安全和数据保护是公司的首要任务。 目前正在相关利益相关者的参与下对该事件进行详细调查，以确定根本原因和必要的纠正措施。 总部位于诺伊达的 HCL Technologies 是全球最大的科技公司之一，在 52 个国家拥有超过 22.5 万名员工，2023 财年收入达 130 亿美元。网络攻击发生后，该公司股价下跌 3.24%。 印度大型企业今年已经面临勒索软件攻击。因此，今年 3 月，印度最大的药品制造商太阳制药公司证实遭受了一次攻击，公司数据和员工个人信息被盗。 2022 年 10 月，塔塔电力报告了一次网络攻击，影响了其价值数十亿美元的能源业务。当时，塔塔并未将此事件称为勒索软件攻击，但表示需要恢复系统并隔离受影响的网络，以保护业务的其他部分。 4 月，印度计算机应急响应小组 (CERT-In) 表示，2022 年该国组织遭受勒索软件攻击的报告增加了 53%。值得注意的是，受影响最大的是信息技术和金融部门以及制造业。勒索软件越来越多地针对关键基础设施组织，破坏关键服务以获取压力和赎金。 转自安全客，原文链接：https://www.anquanke.com/post/id/292101 封面来源于网络，如有侵权请联系删除

昨天，谷歌发布了 Chrome 网络浏览器的安全更新，以解决据报道已被攻击者利用的高级零日漏洞。 该漏洞被指定为 CVE-2023-7024，被描述为 WebRTC 框架内基于堆的缓冲区溢出错误。该漏洞可能导致程序崩溃或任意代码执行。 有关安全漏洞的其他详细信息目前尚未披露，以防止进一步滥用。Google 确认 CVE-2023-7024 的漏洞已经存在，并在实际攻击中被积极使用。 这一发现的错误成为自今年年初以来 Chrome 中第八个被积极利用的零日漏洞。之前的包括： CVE-2023-2033（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-2136（CVSS 分数：9.6）——Skia 中的整数溢出； CVE-2023-3079（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-4762（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-4863（CVSS 评分：8.8）- WebP 中的缓冲区溢出； CVE-2023-5217（CVSS 分数：8.8）- libvpx 中 vp8 编码中的缓冲区溢出； CVE-2023-6345（CVSS 评分：9.6）是 Skia 中的整数溢出。 据专家介绍，2023 年最常见的漏洞类型是：远程代码执行、安全机制绕过、缓冲区操纵、权限提升以及输入验证和处理错误。 建议任何桌面平台上的所有 Chrome 用户检查其浏览器版本并更新（如果有可用更新）。目前版本 120.0.6099.129 及更高版本被认为是安全的。 基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera、Vivaldi 和 Yandex Browser）的用户也应该在修复程序可用后立即应用它们。 转自安全客，原文链接：https://www.anquanke.com/post/id/292099 封面来源于网络，如有侵权请联系删除

波鸿鲁尔大学的一组研究人员开发了一种名为“Terrapin”的新攻击向量，它基于握手过程中对数字序列的操纵。 使用流行的加密模式时，Terrapin攻击可能会损害SSH通道的完整性。使用这种方法，黑客可以删除或修改通道中的消息，这会降低用户身份验证中涉及的公钥算法的安全性，并禁用针对基于击键的攻击的保护，这对OpenSSH 9.5构成威胁。 大学专家指出，Terrapin攻击利用了SSH协议中的漏洞以及十多年前OpenSSH中引入的加密算法和加密模式。 上述与新攻击向量相关的漏洞被确定为CVE-2023-48795、CVE-2023-46445和CVE-2023-46446。 要进行Terrapin攻击，攻击者必须处于中间人(MiTM)位置，并且必须通过ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC来保护连接。   许多制造商已经采取措施降低与操作 Terrapin 相关的风险。使用严格的密钥交换可以防止连接建立期间的数据包注入，是应对这种威胁的一种方法。专家强调，为了实现最大程度的保护，必须在客户端和服务器端都采取措施，这将需要额外的时间。 研究人员开发了一种名为 Terrapin 的专用漏洞扫描程序（可在GitHub上获取），帮助确定SSH客户端或服务器是否容易受到给定漏洞的攻击。鲁尔大学专家编写的技术报告中详细描述了此次攻击，并提出了防范建议。 转自安全客，原文链接：https://www.anquanke.com/post/id/292059 封面来源于网络，如有侵权请联系删除

Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新，以解决 20 个漏洞，其中包括多个内存安全问题。 Firefox 121 发布了 18 个漏洞的补丁，其中 5 个漏洞的危险程度程度为 “高”。 排在首位的是 CVE-2023-6856，这是 WebGL 中的堆缓冲区溢出错误，WebGL 是用于在浏览器中渲染交互式图形的 JavaScript API。 “在具有 Mesa VM 驱动程序的系统上使用时，WebGL DrawElementsInstanced 方法容易受到堆缓冲区溢出的影响。这个问题可能允许黑客执行远程代码执行和沙箱逃逸，”Mozilla 在其公告中解释道。 接下来是 CVE-2023-6135，该问题使得网络安全服务 (NSS) NIST 曲线容易受到 Minerva 侧通道攻击，这可能允许对手恢复长期私钥。 Mozilla 还解决了 CVE-2023-6865，该错误可能会暴露 EncryptingOutputStream 中未初始化的数据，该错误可被利用将数据写入本地磁盘，从而可能影响隐私浏览模式。 最新的 Firefox 迭代还解决了多个内存安全问题，这些问题统称为 CVE-2023-6873 和 CVE-2023-6864。后者还会影响 Firefox ESR 和 Thunderbird。 Firefox 121 还解决了八个中等危险漏洞，包括堆缓冲区溢出、释放后使用和沙箱逃逸问题。其余五个错误的危险程度程度被评为 “低”。 周二，Mozilla 宣布发布 Thunderbird 115.6，其中包含 11 个漏洞的补丁，其中 9 个漏洞也已在 Firefox 中得到解决。 其中两个都是高危漏洞，可能允许黑客欺骗电子邮件消息 (CVE-2023-50762)，或欺骗消息发送时间 (CVE-2023-50761)。 Firefox ESR 115.6 也在周二发布，其中包含 Firefox 121 解决的 11 个安全缺陷的补丁。 Mozilla 没有提及任何这些漏洞在攻击中被利用。更多信息可以在 Mozilla 的安全公告页面上找到。 转自安全客，原文链接：https://www.anquanke.com/post/id/292079 封面来源于网络，如有侵权请联系删除

美国国家安全局（NSA）在其最新的年度网络安全回顾报告中宣布，其域安全服务成功阻止了100亿次用户与已知的恶意或可疑域的连接。 发布于周二的2023年网络安全年度回顾报告（PDF）详细介绍了NSA在网络安全领域所做的努力，以及与政府合作伙伴、外国合作伙伴和国防工业基地（DIB）实体的合作，以提高国家安全水平。 NSA的网络安全工作主要集中在保护国家安全系统（NSS），该系统包含了机密信息，对美国军事、情报、国防部（DoD）服务以及机构网络和DIB组织（DoD承包商）至关重要。 该机构强调：“国家安全局致力于保护国家最敏感系统的同时，也为广大用户提供了网络安全的支持。NSA通过公共指导将这些解决方案传递给用户，并与关键技术提供商合作，共同提升产品和服务的安全性。” NSA还指出，向国防部承包商提供的免费网络安全服务的采用率今年已经达到400%，注册组织数量超过600个，其中小型企业占据了整个组织的70%以上。 2023年，美国国家安全局发布了六款安全产品，以对抗通信、DIB和信息技术领域的威胁。这些产品覆盖了供应链、5G网络安全以及身份和访问管理等方面。 在今年，NSA对漏洞扫描程序进行了改进，标记了130万个安全缺陷，对参与的DIB实体的30万多个可通过互联网访问的资产进行了盘点，并发布了500多个合作伙伴漏洞通知。 该机构与网络安全行业一起，正在追踪大约 70 个已知的国家资助活动的独特集群，并发现了多个专门针对 DIB 的民族国家活动，其中包括一些针对零日漏洞的黑客行为。 此外，美国国家安全局通过新成立的人工智能安全中心促进人工智能（AI）的安全开发、采用和集成，该中心将重点研究对手如何使用和瞄准人工智能。 今年，该机构持续向公众提供网络安全咨询，发布与观察到的恶意活动相关的妥协指标（IoC），执行美国政府将易受攻击的加密系统迁移到抗量子加密的战略，并研究并增强其网络战能力。 保罗·中曾根（Paul Nakasone），美国国家安全局和美国网络司令部负责人表示：“NSA的原则和价值观，以及我们的合规文化以及对隐私和公民自由的保护，已成为本报告中详述的网络安全成功的基石，并将在未来继续成为NSA的基石。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292081 封面来源于网络，如有侵权请联系删除

网络安全软件提供商 Qualys Inc.今天发布的一份新报告发现，到 2023 年，只有不到 1% 的漏洞会导致最高风险被广泛利用。 2023 年威胁形势回顾报告详细介绍了漏洞威胁形势、主要漏洞类型和其他相关数据的关键见解，包括平均利用时间、MITRE ATT&CK 策略和技术，以及 2023 年最活跃的勒索软件和黑客。 报告发现，有 97 个可能被利用的高风险漏洞并未列在网络安全和基础设施安全局的已知被利用漏洞目录中。四分之一的高风险漏洞在发布当天就被利用，三分之一的高风险漏洞影响网络设备和 Web 应用程序。 2023 年发现的漏洞数量为 26,447 个，比 2022 年披露的漏洞数量多出 1,500 多个，是有史以来披露的最高数量。 在已披露的漏洞中，超过 7,000 个漏洞具有概念验证漏洞利用代码，可能会导致成功利用漏洞。但漏洞利用代码的质量通常较低，这可能会降低攻击成功的可能性。 大约 206 个漏洞具有可用的武器化利用代码，这意味着如果使用它们，它们很可能会危害目标系统。有 115 个漏洞经常被黑客、恶意软件和勒索软件组织（例如 Clop）利用。 超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。 2023 年高危漏洞的平均利用时间约为公开披露后 44 天。报告指出，在许多情况下，利用几乎是在瞬间发生的，有些漏洞在公布当天就被利用了。 据说，利用已知的漏洞代表了攻击者作案方式的转变，突显了黑客效率的不断提高和防御者响应窗口的不断缩小。25% 的高风险常见漏洞和暴露在发布当天就被发现已被利用。 全年被利用的主要漏洞包括针对 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。许多漏洞可以远程利用，无需物理访问目标系统。 2023 年按产品类型划分的被利用漏洞 2023 年使用的顶级 MITRE ATT&CK 技术和方法包括编号为 T1210 和 T0866 的远程服务漏洞利用，这种情况在企业中发生了 72 次，在工业控制系统中发生了 24 次，凸显了保护远程服务协议安全的重要性。 接下来是面向公众的应用程序的利用，称为 T1190 和 T0819，在企业中观察到 53 次，在 ICS 中观察到 19 次，而特权升级利用（称为 T1068）以 20 次记录的实例位居第三。 MITRE ATT&CK 策略和技术的出现情况 2023 年最活跃的攻击者团伙是Clop勒索软件，有时称为 TA505 或 CL0P。该组织是备受瞩目的网络攻击的幕后黑手，这些攻击利用了GoAnywhere MFT、PaperCut、MOVEit 和SysAid等平台上的0Day漏洞。在勒索软件方面，Clop 和LockBit是领先的威胁组织。 该报告提出了许多安全建议，并指出“很明显，漏洞武器化的快速发展和威胁行为者的多样性给全球组织带来了重大挑战。” 建议包括，企业应采用多层方法，通过使用各种传感器来清查面向公众的应用程序和远程服务的漏洞。还建议根据 CISA KEV 列表中的内容、高利用概率分数以及武器化利用代码的可用性等因素确定修复工作的优先顺序。 最常被利用的漏洞列表 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ykDuq9BjUNqgua06WKP6Og 封面来源于网络，如有侵权请联系删除

联合行动期间，破获7类诈骗案，涉案金额达3亿美元。 国际刑警组织表示 ，“HAECHI IV 行动”是一项打击网络金融犯罪的国际执法行动，已在 34 个国家逮捕了近 3,500 人，并扣押了 3 亿美元的资产。为期六个月的行动涉及亚洲、非洲、欧洲、北美洲和大洋洲的国家。 该行动的目的是打击七种类型的网络欺诈： 语音网络钓鱼（vishing）； 浪漫骗局； 勒索； 投资欺诈； 与非法在线赌博相关的洗钱活动； 商业电子邮件泄露 (BEC) 欺诈； 电子商务欺诈。 结果，82,112 个可疑银行账户被封锁，1.99 亿美元现金和 1.01 亿美元虚拟资产被没收。投资欺诈、BEC 欺诈和电子商务诈骗占“HAECHI IV 行动”下所有调查的 75%。 国际刑警组织指出，没收价值3亿美元的资产数额巨大，清楚地表明了跨国有组织犯罪快速增长的诱因。这些都是受害者的积蓄和血汗钱。这种非法财富的积累对全球安全构成严重威胁，并破坏世界各国的经济稳定。 国际刑警组织与各虚拟资产服务提供商 (VASP) 合作，帮助特工识别了与跨国有组织犯罪有关的 367 个虚拟资产账户。参与国执法机构已成功冻结资产，调查仍在继续。 作为此次行动的一部分，菲律宾和韩国当局之间的合作还导致一名被韩国警方通缉两年的高级网络游戏罪犯在马尼拉被捕。 官员们已就新出现的数字投资欺诈行为向各国发出警告。韩国发现了一种涉及销售 NFT（不可替代代币）并承诺获得巨额利润的新计划，结果证明这是“地毯拉力” ——加密行业中常见的骗局，开发商突然放弃该项目投资者会赔钱。 国际刑警组织还强调要警惕使用人工智能技术和制造深度伪造品来增加可信度的行为，这能让犯罪分子隐藏自己的身份并冒充受害者的家人、朋友或爱人。 转自安全客，原文链接：https://www.anquanke.com/post/id/292023 封面来源于网络，如有侵权请联系删除