Tor是一种流行的隐私工具和暗网浏览器，通过将用户的互联网流量在全球多个计算机节点（即”中继”）之间反复转发，使得外界难以追踪到流量的来源。 十年前得益于斯诺登的大力推荐，Tor迅速成为活动人士、记者等职业人士青睐的隐私工具。然而，正是这种匿名性也让Tor成为网络犯罪分子青睐的平台，他们通过Tor进行（暗网）非法市场交易并逃避执法部门的追踪。 近日，德国执法部门成功锁定Tor网络用户身份的报道引发了广泛的关注和讨论。 德国执法部门通过时序分析攻击破获“Boystown”案件 根据德国媒体《Panorama》联合混沌计算机俱乐部（Chaos Computer Club，简称CCC）的调查报告披露，德国执法部门通过运行大量Tor节点并运用时序分析攻击技术，成功破获了儿童色情平台“Boystown”的案件。根据法院文件，执法部门多年来通过控制Tor节点，利用流量进入和离开网络的时间差异来确定目标用户的身份，从而成功进行逮捕。 时序攻击，又称计时攻击，是一种通过分析加密算法或敏感操作执行时间差异来推导出机密信息的攻击方式。在密码学中，这种攻击方式尤为有效，因为每个逻辑运算在计算机上执行都需要时间，而根据输入的不同，执行时间也会有所差异。攻击者正是利用这一特点，通过精确测量执行时间来反推出密码或其他敏感数据。 时间分析攻击最大优点是并不依赖软件漏洞，而是通过观察数据流动的时间点来实现去匿名化。如果攻击者控制了部分Tor节点或监视了进入和退出网络的节点，就可以通过比较数据流动的时间来跟踪回某个特定的用户。 Tor的回应与改进措施 面对这一报道，Tor项目团队表示，他们并未获得相关法院文件，无法进一步分析这些安全假设，但仍根据已有的信息向用户发布声明。Tor团队指出，这些攻击发生在2019年至2021年之间，自那时以来，Tor网络规模大幅扩大，时序分析攻击的难度也随之增加。此外，Tor团队还提到，过去几年他们对不良中继进行了广泛清理，进一步减少了网络集中化的问题。 关于报告中提到的匿名即时通讯应用Ricochet，Tor团队指出，攻击所针对的用户使用的是一个已于2022年6月停用的旧版本。新的Ricochet-Refresh版本则增加了针对时间分析和入口节点发现攻击的保护措施。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/km2RPBKiv0HX5BAGndO8cQ 封面来源于网络，如有侵权请联系删除

据 The Cyber Express消息，臭名昭著勒索软件组织 LockBit 于9 月 18 日将美国在线报税服务 eFile.com 添加至受害者名单，要求在14天内支付赎金。eFile美国国税局（IRS）官方授权的税务申报平台。 人工智能驱动的威胁情报平台 Cyble 的研究人员表示，这次攻击LockBit 没有发布任何文件，通常勒索软件都会释放一些所窃取数据的样例来印证其真实性。 目前，除了14天的赎金支付期限，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。此外， eFile.com 官方网站仍然功能齐全。为了确认攻击的真实性，The Cyber Express 已经联系了 eFile 官员，目前尚未收到任何回复。 对于数百万依赖 eFile.com 报税的美国人来说，该服务一旦遭受攻击恐将面临潜在的严重。如果 LockBit 的攻击被证明属实，纳税人的个人和财务数据可能落入犯罪分子手中。这些数据可用于各种恶意活动，包括身份盗窃、税务欺诈和帐户接管。 据悉，早在两年前eFile就已经成为LockBit的目标。 2022 年 1 月 19 日，Lockbit 声称入侵了eFile.com，且该日期正好处了税务申报截点，表明网络犯罪分子有意针对流量高峰期，以最大限度地发挥破坏力。 而在2023年， eFile.com网站曾出现一个漏洞，让攻击者在其中植入了恶意 JavaScript，将用户重定向到恶意软件下载界面。 2023 年 eFile.com网站上的恶意软件下载诱导界面 该恶意软件被研究人员命名为“efail”，利用了报税平台中的漏洞，让攻击者可以访问敏感数据，包括纳税人的社会安全号码、家庭住址、收入信息和其他详细 个人信息。eFile在接到反馈的几天后删除了该恶意软件，但这一事件再次引发了人们对关键金融服务提供商网络安全措施水平的担忧。   转自Freebuf，原文链接：https://www.freebuf.com/news/411364.html 封面来源于网络，如有侵权请联系删除

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。 此调查始于2020 年 12 月，联邦贸易委员会于2020 年 12 月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了 6(b) 命令。 这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。 联邦贸易委员会（FTC）主席 Lina M. Khan 今日强调了这些调查结果的严重性，她指出报告揭露了这些公司如何将大量美国民众的个人资料转化为巨额利润，每年赚取数十亿美元。 她表示，尽管这些监控行为为公司带来了丰厚的利润，但它们可能侵犯个人隐私，威胁个人自由，并使人们面临从身份盗窃到跟踪等一系列风险。这些公司都未能妥善保护儿童和青少年的网络安全，这是非常令人担忧的。 FTC指出，这些平台收集了大量数据，并且大部分数据被无限期保留。一些公司在数据共享方面过于宽泛，往往缺乏必要的监管，即使用户要求删除数据，这些公司也未能完全遵守。此外，这些公司的商业模式鼓励他们大量收集用户数据，以推动针对性广告的投放，这为他们带来了大部分收入。报告指出，这种做法直接侵犯了用户隐私，并增加了个人信息被滥用的风险。 社交媒体公司收集的用户数据 此报告还突出强调了社交媒体和视频流平台如何将用户及非用户数据输入算法和人工智能系统，并且往往不提供用户退出的选项，这增加了对透明度、监管和潜在消费者伤害的担忧。 报告最显著的发现之一是这些平台上缺乏对儿童和青少年的保护措施，许多公司声称他们的服务不是针对儿童的，以此试图规避遵守《儿童在线隐私保护法》（COPPA）。 但是联邦贸易委员会的报告中指出，青少年在这些平台上通常与成人受到相同的对待，很少或根本没有额外的保护措施。 联邦贸易委员会的报告呼吁政策制定者采取行动，要求国会通过全面的联邦隐私法案，包括限制数据收集、实施更严格的数据最小化和保留政策，以及制定更透明、更有利于消费者理解的隐私政策。 报告还要求公司增强其平台上对青少年和儿童的保护措施，将COPPA作为最低标准，并提供额外的安全和隐私保护措施。 Khan 补充称，此报告的发现非常及时，尤其是在州和联邦政策制定者考虑通过立法来保护人们免受滥用数据行为影响的时候。   转自Freebuf，原文链接：https://www.freebuf.com/news/411354.html 封面来源于网络，如有侵权请联系删除

欧洲刑警组织和九个国家的执法部门成功捣毁了代号“Ghost”的加密通讯平台，该平台被用来作为开展各种犯罪活动的工具，包括大规模贩毒、洗钱、极端暴力事件和其他形式的严重有组织犯罪。 Ghost 应用程序具有先进的安全和匿名化功能，允许使用加密货币购买订阅，具有三层加密功能以及可从发送者和收件人的设备中删除证据的消息自毁系统。 全球有数千人每天使用 Ghost 平台交换大约 1,000 条消息，同时广泛的全球经销商网络向潜在客户推广该平台。 Ghost 应用程序通过广泛的经销商网络在犯罪生态系统中推广。经过修改的智能手机售价约为 2,350 美元，其中包括六个月的加密网络订阅和技术支持。 对该平台的调查由欧洲刑警组织行动工作组 (OTF) 牵头，于 2022 年 3 月开始，参与调查的特工来自美国、加拿大、法国、意大利、爱尔兰、澳大利亚、瑞典和荷兰。 此次行动导致发现了 Ghost 位于法国和冰岛的服务器、位于澳大利亚的平台所有者以及与该平台相关的位于美国的资产。 通过审查证据，当局能够在不同国家组织协同突袭，总共逮捕 51人，其中澳大利亚 38 人、爱尔兰 11 人、加拿大 1 人、意大利 1 人。 参与此次行动的澳大利亚警方在四个州的突袭行动中逮捕了 38 名嫌疑人，加拿大、瑞典、爱尔兰和意大利也逮捕了多名嫌疑人。 这些嫌疑人包括各种有组织犯罪集团的成员，他们涉嫌使用 Ghost 应用程序进行贩毒和杀人等犯罪活动。自 3 月以来，警方干预了 50 起潜在暴力案件，监控了 12.5 万条信息和 120 通视频通话。 澳大利亚联邦警察透露，警方能够破坏该应用程序使用的更新机制，并推出受污染的更新来危害客户的设备。 “管理员定期发布软件更新，就像普通手机所需的更新一样。但澳大利亚联邦警察能够修改这些更新，从而感染设备，使澳大利亚联邦警察能够访问澳大利亚设备上的内容。”澳大利亚联邦警察发布的新闻稿写道。 大多数使用 Ghost 的犯罪嫌疑人都在新南威尔士州，不过维多利亚州、西澳大利亚州、南澳大利亚州和澳大利亚首都领地也有 Ghost 用户。 主要经营者面临五项指控和可能的处罚，最高可判处 26 年监禁。 欧洲刑警组织执行主任凯瑟琳·德博勒评论道：“今天我们已经明确表示，无论犯罪网络认为自己有多么隐蔽，他们都无法逃脱我们的共同努力。” “9 个国家的执法部门与欧洲刑警组织携手，捣毁了一条严重有组织犯罪的生命线。” 除了逮捕之外，当局还捣毁了一个毒品实验室并缴获了武器、非法物质以及超过 100 万欧元（110 万美元）的现金。 查获的Ghost 手机 欧洲刑警组织表示，由于调查的复杂性，不得不在冰岛、爱尔兰和澳大利亚部署网络专家执行高度专业化的技术任务。 该机构还强调，诸如拆除 Ghost 以及之前的Sky ECC、EncroChat和Exlu等行动导致加密通信领域出现碎片化，这使得调查和犯罪追踪变得更具挑战性。 欧洲刑警组织在新闻稿中解释道：“作为回应，犯罪分子现在转向各种不太成熟或定制的通信工具，这些工具提供不同程度的安全性和匿名性。” “这一策略有助于这些行为者避免在单一平台上暴露他们的整个犯罪行动和网络，从而降低被拦截的风险。” 欧洲刑警组织最近呼吁对加密采取平衡的方法，主张采取措施确保隐私，同时不损害刑事调查中合法获取的数据。 该机构借此机会提醒私营公司，当刑事调查需要时，有责任提供合法的数据访问权。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ls4lZa8niqVFyqNA6CPxjA 封面来源于网络，如有侵权请联系删除

伊朗情报和安全部（MOIS）下属的网络行动已成为该国黑客的复杂初始访问代理，为中东各地电信和政府组织的系统提供持续入口。 谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称，与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门，这些工具和后门将继续协助伊朗的其他黑客行动。 Mandiant 解释说：“据报道，这些组织为针对以色列的破坏性和破坏性行动提供了初步途径，这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列，于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。” Mandiant 指出，虽然他们无法独立确认 UNC1860 是否参与了这两次行动，但他们发现了“可能旨在促进交接操作”的工具。 Mandiant 表示，UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施，以支持该组织的初始访问和横向移动目标。” 这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问，以用于各种目的。 Mandiant 称 UNC1860 是一个“强大的APT组织”，可能支持“从间谍活动到网络攻击行动等各种目标”。 该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据，例如APT34——一个著名的伊朗威胁组织，负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周，研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。 Mandiant 表示，该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件，这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。 该公司补充说，2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。 Mandiant 表示：“在取得初步立足点后，该组织通常会部署额外的实用程序和一套选择性的被动植入物，这些植入物的设计比普通的后门更为隐蔽。” 其他公司过去也曾重点关注 UNC1860 的工具，其中包括思科、Check Point和Fortinet。 随着伊朗黑客组织网络行动变得越来越明目张胆，其受到安全研究人员和政府机构的越来越大的关注。 Mandiant 表示：“随着中东紧张局势持续起伏，我们认为，该攻击者在获取目标环境初始访问权方面的娴熟技能，对伊朗网络生态系统而言是一笔宝贵的资产，可随着需求的变化而用于应对不断变化的目标。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/IQKFQhb3RDBENKYQI62Qmw 封面来源于网络，如有侵权请联系删除

近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥，容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中，一项涉及设备制造行业安全启动（Secure Boot）保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的要广泛得多，受影响的设备涵盖了ATM机、POS机、甚至投票机等多个领域。 这一问题源自于过去十年间，数百种设备型号中使用了非生产环境的测试平台密钥，这些密钥在其根证书中标注了“DO NOT TRUST”（请勿信任）等警示语，此类密钥原本应仅用于测试环境，但设备制造商却将其应用于生产系统。 平台密钥作为加密的“信任根”锚定了硬件设备与其运行的固件之间的信任关系，确保安全启动机制正常运行。然而，由于大量用于测试安全启动主密钥的私钥被泄漏，极大地削弱了这一安全机制的有效性。研究发现，2022年甚至有人将一部分私钥在GitHub上公开发布。这些信息为攻击者提供了必要条件，能够通过植入“根工具包”（Rootkits）等恶意软件，破坏设备的UEFI（统一可扩展固件接口）安全启动保护。 500多种设备存在隐患 此次供应链安全事件被Binarly命名为“PKfail”（CVE-2024-8105），意指平台密钥（Platform Key）失效。此次失败展示了供应链复杂性已超出用户当前的风险管理能力，特别是在涉及第三方供应商时。不过，研究人员指出，这一风险完全可以通过“安全设计理念”进行规避和缓解。 根据Binarly的最新报告，受此问题影响的设备型号远超此前的认知。Binarly的研究工具在过去几个月中收集到了10095个固件样本，其中791个（约占8%）包含了非生产密钥。 受PKfail影响的固件数量 最初，Binarly识别出了大约513种设备型号使用了测试密钥，目前一数字已增长至972种。此外，最早报告的215个受影响型号中，有490个型号使用了在GitHub上公开的密钥。研究人员还发现了四个新的测试密钥，使得总数达到了约20个。 此前发现的密钥均来自AMI，这是一家为设备制造商提供UEFI固件开发工具包的主要供应商之一。自7月以来，Binarly还发现了AMI的其他两大竞争对手Insyde和Phoenix的密钥同样存在问题。 更多的受影响设备还包括： Hardkernel的odroid-h2、odroid-h3和odroid-h4 Beelink Mini 12 Pro Minisforum HX99G Binarly进一步指出，受影响的设备不仅限于桌面电脑和笔记本电脑，还包括大量医疗设备、游戏机、企业级服务器、ATM机、销售终端设备，甚至包括投票机！由于目前尚无修复方案，研究人员基于保密协议未披露具体的设备型号。Binarly发布了“PKfail扫描仪”，供应商可以自行上传固件映像查看是否使用了测试密钥。 此次事件表明，安全启动作为一种设备预启动阶段的加密保护机制，尽管被广泛应用于政府承包商和企业环境中，但其安全性依然存在隐患，其供应链管理中存在重大漏洞。   转自安全内参，原文链接：https://www.secrss.com/articles/70379 封面来源于网络，如有侵权请联系删除

近日，Discord 推出了 DAVE 协议，这是一个定制的端到端加密 (E2EE) 协议，旨在保护平台上的音频和视频通话免遭未经授权的拦截。 DAVE 是在 Trail of Bits 网络安全专家的帮助下创建的，该专家还对 E2EE 系统的代码和实施进行了审核。 新系统将涵盖用户在私人频道中的一对一音频和视频通话、小型群组聊天中的音频和视频通话、用于大型群组对话的基于服务器的语音频道以及实时流媒体。 Discord 在公告中写道： 他们将开始将 DM、群组 DM、语音频道和 Go Live 流中的语音和视频迁移至使用 E2EE。用户将能够确认通话何时进行了端到端加密，并对这些通话中的其他成员进行验证。 Discord 最初是为游戏玩家在游戏过程中进行交流而建立的，现在已发展成为世界上最流行的交流平台之一，满足了具有共同兴趣爱好的群体、创作者、企业和各种社区的需求。 DAVE 的推出是该平台加强数据安全和隐私保护的重要举措，该平台的使用人数已超过 2 亿。 最重要的是，Discord 决定将协议及其支持库开源，以便安全研究人员进行审查。此外，还发布了一份包含完整技术信息的白皮书，以确保对社区的透明度。 DAVE 技术概述 DAVE 使用 WebRTC 编码转换 API，允许在媒体帧（音频和视频）编码后和打包传输前对其进行加密。接收端对帧进行解密，然后解码。 只有特殊的编解码器元数据（如标题和保留序列）未加密。 DAVE 的运行概况 在密钥管理方面，信息层安全（MLS）协议用于安全和可扩展的群组密钥交换，每个参与者都有一个按发送者计算的对称媒体加密密钥。椭圆曲线数字签名算法（ECDSA）则用于生成身份密钥对。 当一个群组的组成发生变化时，比如一个成员离开或一个新成员加入，这时候群组的加密状态会通过生成新密钥，这个过程应该在不会对参与者造成明显干扰的情况下完成。 Discord 表示，MLS 会增加密钥交换的延迟，但 DAVE 的设计能将延迟控制在几百毫秒以内，即使在大型群组通话中也是如此。 最后，在用户验证方面，有一些带外方法，如比较从群组的 MLS 时序状态得出的验证码（称为 “语音隐私码”）。 由于每次通话都会为用户分配一个新的密钥，因此通过使用短暂的身份密钥可以防止持续跟踪。 语音隐私代码屏幕 分阶段推出 Discord 现已开始将所有符合条件的频道迁移到 DAVE，用户可以通过查看界面上的相应指示器来确认他们的通话是否经过端到端加密。 预计还需要一段时间，所有用户才能在所有设备和频道上完全访问新的 E2EE 系统。 用户除了升级到最新的客户端应用程序外无需做任何其他操作，老版本的客户端将仅限于传输加密。最初推出的版本将涵盖 Discord 的桌面和移动应用程序，网络客户端后续也将面世。   转自Freebuf，原文链接：https://www.freebuf.com/news/411234.html 封面来源于网络，如有侵权请联系删除

继9月17日黎巴嫩发生针对真主党的寻呼机爆炸事件后，首都贝鲁特等地于当地时间9月18日傍晚又发生了无线电对讲机爆炸。 以色列新闻媒体称，贝鲁特的一家移动维修店和葬礼游行现场发生了爆炸。据黎巴嫩官方通讯社报道，贝鲁特和该国南部多个地区的房屋中还发生了太阳能系统爆炸，造成至少一名女孩受伤。 据CNN报道，黎巴嫩卫生部称，此次对讲机爆炸目前已造成至少20人死亡，其中包括一名16岁男孩，另有450多人受伤。 黎巴嫩通信部称，发生爆炸的ICOM V82型对讲机由日本公司ICOM生产，且该产品不是由公认的代理商提供，没有官方许可，也没有经过安全部门的审查。对此，ICOM表示目前正在调查有关此事的事实。该公司网站称 IC-V82 已停产，目前流通的几乎所有型号都是假冒的。   爆炸的对讲机型号 根据《纽约时报》对现有视觉证据的分析，此次爆炸的对讲机比前一天在全国各地爆炸的寻呼机更大、更重，虽然爆炸发生地没有之前那么广泛，但在某些情况下还会引发更大的火灾，表明其中可能包含更多的爆炸物。 关于寻呼机、对讲机如何被引爆，目前说法不一。据央视新闻报道，有说法认为爆炸部件在制造或供应过程中被植入设备，也有人称操控者通过网络攻击导致设备电池过热爆炸。 英国南安普敦大学安全电子学副教授巴塞尔·豪拉克表示，约几厘米的小型爆炸雷管理论上可以放置于寻呼机等无线通信设备之中。 据悉，黎巴嫩真主党所使用的寻呼机和对讲机采购于海外企业。黎巴嫩安全部门官员表示，以色列有关部门在这批寻呼机的“生产层面”实施改装，其中植入的炸药用扫描仪或其他设备“非常难以探测”。另一名消息人士称，新购寻呼机内藏炸药至多3克，真主党人员几个月来毫无察觉。 曾在以军从事情报工作的以色列分析人士表示，黎巴嫩的寻呼机爆炸事件严重阻碍了黎巴嫩真主党武装的通讯，并可能破坏其在黎巴嫩南部针对以色列的行动。 联合国安理会将在当地时间20日就近期黎巴嫩多地发生的通信设备爆炸事件举行紧急会议，此前，联合国秘书长古特雷斯发表声明，对9月18日黎巴嫩多地发生的大量通信设备爆炸事件深感震惊，呼吁各方保持最大克制，以避免事态进一步升级。   转自Freebuf，原文链接：https://www.freebuf.com/news/411247.html 封面来源于网络，如有侵权请联系删除

GitLab 发布了安全更新，以解决影响 GitLab 社区版 (CE) 和企业版 (EE) 的自主管理安装的严重 SAML 身份验证绕过漏洞。 安全断言标记语言 (SAML) 是一种单点登录 (SSO) 身份验证协议，允许用户使用相同的凭据登录不同的服务。 该漏洞编号为 CVE-2024-45409，源自 OmniAuth-SAML 和 Ruby-SAML 库中的一个问题，GitLab 使用这两个库来处理基于 SAML 的身份验证。 当身份提供者 (IdP) 向 GitLab 发送的 SAML 响应包含错误配置或被操纵时，就会出现此漏洞。 具体来说，该缺陷涉及对 SAML 断言中关键元素的验证不足，例如用于在不同系统间唯一标识用户的 extern_uid（外部用户 ID）。 攻击者可以制作恶意 SAML 响应，诱骗 GitLab 将其识别为经过身份验证的用户，绕过 SAML 身份验证并获得对 GitLab 实例的访问权限。 CVE-2024-45409 漏洞影响 GitLab 17.3.3、17.2.7、17.1.8、17.0.8、16.11.10 以及这些分支的所有先前版本。 该漏洞已在 GitLab 版本 17.3.3、17.2.7、17.1.8、17.0.8 和 16.11.10 中得到解决，其中 OmniAuth SAML 已升级到版本 2.2.1，Ruby-SAML 已升级到版本 1.17.0。 GitLab 在公告中警告称：“强烈建议所有运行受上述问题影响的安装尽快升级到最新版本。” GitLab.com 上的 GitLab Dedicated 实例用户无需采取任何行动，因为该问题仅影响自管理安装。 对于那些无法立即升级到安全版本的用户，GitLab 建议为所有帐户启用双因素身份验证 (2FA)，并将 SAML 2FA 绕过选项设置为“不允许”。 恶意利用迹象 GitLab 在公告中提供了尝试或成功利用的迹象，这表明恶意攻击者可能已经在利用该漏洞进行攻击。 尝试或成功利用漏洞的迹象如下： 与 RubySaml::ValidationError 相关的错误（尝试失败）。 身份验证日志中出现新的或不寻常的     extern_uid 值（成功尝试）。 SAML 响应中缺少信息或信息不正确。 单个用户的多个 extern_uid  值（表示潜在的帐户泄露）。 与用户通常的访问模式相比，来自陌生或可疑 IP 地址的 SAML 身份验证。 成功利用的示例日志 转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TZdVxQeDNUn3fwIe6KH5wA 封面来源于网络，如有侵权请联系删除

Mandiant 称，被追踪为 UNC2970 的朝鲜黑客组织一直使用以工作为主题的诱饵，试图向在关键基础设施部门工作的个人传播新的恶意软件。 Mandiant 首次详细描述UNC2970 的活动及其与朝鲜的联系是在 2023 年 3 月，当时有人发现该网络间谍组织试图向安全研究人员发送恶意软件。 该组织至少自 2022 年 6 月就已存在，最初被发现以招聘工作为主题的电子邮件为目标，针对美国和欧洲的媒体和技术组织。 Mandiant 在周三发布的一篇博客文章中报告称，在美国、英国、荷兰、塞浦路斯、德国、瑞典、新加坡、香港和澳大利亚均发现了 UNC2970 目标。 Mandiant 公司称，近期的攻击主要针对美国航空航天和能源行业的个人。黑客继续利用以工作为主题的信息向受害者发送恶意软件。 UNC2970 一直通过电子邮件和 WhatsApp 与潜在受害者接触，自称是大型公司的招聘人员。 受害者会收到一个受密码保护的存档文件，其中似乎包含一份带有职位描述的 PDF 文档。然而，该 PDF 已加密，只能使用 Sumatra PDF 免费开源文档查看器的木马版本打开，该查看器也随文档一起提供。 Mandiant 指出，此次攻击并未利用任何 Sumatra PDF 漏洞，应用程序也未受到攻击。黑客只是修改了应用程序的开源代码，使其在执行时运行 Mandiant 追踪的 BurnBook 植入程序。 BurnBook 反过来部署了一个被跟踪为 TearPage 的加载程序，该加载程序部署了一个名为 MistPen 的新后门。这是一个轻量级后门，旨在在受感染的系统上下载和执行 PE 文件。 至于用作诱饵的职位描述，朝鲜网络间谍获取了真实的招聘信息文本，并对其进行了修改，以使其更符合受害者的个人资料。 Mandiant 表示：“所选职位描述针对的是高级/经理级员工。这表明攻击者旨在获取通常仅限于高级员工的敏感和机密信息。” Mandiant 尚未透露被冒充的公司的名称，但一份虚假职位描述的截图显示，BAE Systems 的招聘启事被用来针对航空航天业。另一份虚假职位描述是一家未具名的跨国能源公司。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a8mYTcU6TLvUfLiOD_UkWg 封面来源于网络，如有侵权请联系删除