安全研究人员发布了针对 Wyze Cam v3 设备的概念验证 (PoC) 漏洞，该漏洞可打开反向 shell 并允许接管易受攻击的设备。 Wyze Cam v3 是一款最畅销、价格低廉的室内/室外安全摄像头，支持彩色夜视、SD 卡存储、用于智能手机控制的云连接、IP65 防风雨等。 安全研究员 Peter Geissler（又名bl4sty）最近在最新的 Wyze Cam v3 固件中发现了两个缺陷，这些缺陷可以链接在一起以便在易受攻击的设备上远程执行代码。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 DTLS 身份验证绕过 Wyze 有一个守护进程 (iCamera)，它监听 UDP 端口 32761，讲一些TUTK 协议的衍生协议。协议的外层由使用有趣常数的加扰/异或帧组成。在此自定义帧格式内，您可以与相机建立 DTLS 会话。唯一受支持的密码套件是ECDHE-PSK-CHACHA20-POLY1305，典型的攻击者无权访问（设备唯一的）PSK。然而，有一种后备方法，您可以在 TLS 握手期间指定以“AUTHTKN_”开头的 PSK 身份，以便能够选择任意选择的 PSK。 JSON 解包中的堆栈缓冲区溢出 在与摄像机建立经过身份验证的 DTLS 会话后不久，客户端会发送一个数据包，其中包含 JSON 对象 blob，其属性名为cameraInfo. 在这个对象内部有一个包含数字的数组，称为audioEncoderList。负责解析此 JSON 对象的 iCamera 代码将循环遍历所有audioEncoderList条目并将它们复制到堆栈上固定大小的整数数组。 当然，既然现在是 2023 年，而且这是物联网的废话，我们不应该指望他们用堆栈金丝雀编译二进制文件，甚至作为位置无关的可执行文件。 因此，不需要任何额外的信息泄漏来绕过 ASLR 值，就可以 ROP 取得胜利！ 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行，Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。 补丁争议  在一次私下讨论中，Geissler 向 BleepingComputer 解释说，他在大多数 Wyze 用户应用补丁之前就向公众公开了他的漏洞，以表达他对 Wyze 补丁策略的不满。 第一个是“iCamera”守护进程中的 DTLS（数据报传输层安全）身份验证绕过问题，允许攻击者在 TLS 握手期间使用任意 PSK（预共享密钥）来绕过安全措施。 第二个缺陷在客户端发送 JSON 对象时建立 DTLS 身份验证会话后出现。 由于特定数组处理不当，解析该对象的 iCamera 代码可能会被利用，从而导致堆栈缓冲区溢出，其中数据被写入内存的非预期部分。 攻击者可以利用第二个漏洞覆盖堆栈内存，并且鉴于 iCamera 代码中缺乏堆栈金丝雀和位置无关执行等安全功能，攻击者可以在相机上执行他们自己的代码。 Geissler 在 GitHub 上发布的漏洞利用这两个缺陷，为攻击者提供了交互式 Linux root shell，将易受攻击的 Wyze v3 摄像头转变为持久后门，并允许攻击者转向网络中的其他设备。 该漏洞经过测试并确认可在固件版本 4.36.10.4054、4.36.11.4679 和 4.36.11.5859 上运行。 Wyze 于 2023 年 10 月 22 日发布了 固件更新版本 4.36.11.7071，解决了已发现的问题，因此建议用户尽快应用安全更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/291113 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，一名安全研究人员近日声称，他发现有人试图利用托管在德国Hetzner和Linode（Akamai的子公司）的服务器，秘密拦截来自基于XMPP的即时消息服务jabber[.]ru（又名xmpp[.]ru）的流量。 XMPP是一种以XML为基础的开放式即时通信协议，具有超强的可扩展性。经过扩展后的XMPP可以通过发送扩展的信息来处理用户需求，以及在XMPP的顶端建立如内容发布系统和基于地址的服务等应用程序。 这位化名为 ValdikSS 的安全研究人员表示：攻击者使用 Let’s Encrypt 服务发布了几个新的 TLS 证书，这些证书被用于使用透明中间人攻击（MITM）代理，劫持 5222 端口上的加密 STARTTLS 连接。这次攻击是由于其中一个 MiTM 证书过期而被发现的，该证书尚未重新认证。 目前收集到的证据表明，流量重定向是在上述托管服务提供商网络上配置，排除了如服务器漏洞或诱骗攻击等其他可能性。研究人员已经证实的窃听活动至少从 2023 年 7 月 21 日开始，一直持续到 2023 年 10 月 19 日。但攻击者的首次窃听活动可能从 2023 年 4 月 18 日就已开始。 而攻击者的行迹首次暴露于 2023 年 10 月 16 日，当时一名 UNIX 管理员在连接该服务时收到了一条 “证书已过期 “的消息。据了解，在 2023 年 10 月 18 日开始调查这起MITM攻击事件后，攻击者停止了活动。目前还不清楚谁是这次攻击的幕后黑手。有专家认为，这起攻击是对 Hetzner 和 Linode 内部网络的入侵，特别是针对 jabber[.]ru。 研究人员说表示，鉴于拦截的性质，攻击者能够在不知道账户密码的情况下执行任何操作，这意味着攻击者可以下载账户名册、未加密的服务器端消息历史记录、发送新消息或实时更改消息。 The Hacker News建议该服务的用户检查他们账户中的 PEP 存储是否有新的未经授权的 OMEMO 和 PGP 密钥，并更改密码。 公民实验室（The Citizen Lab）详细介绍了移动网络运营商用于国际漫游的信令协议中存在的安全漏洞，监控人员、执法人员和有组织犯罪团伙可以利用这些漏洞对设备进行地理定位。 更有甚者，解析 ASN.1 消息的漏洞（CVE-2022-43677，CVSS 得分：5.5）可能被用作攻击载体，从用户平面跨越到控制平面，甚至破坏依赖于 5G 技术的关键基础设施。趋势科技研究员 Salim S.I. 在本月发布的一份报告中表示，CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 实现，通过用户流量触发控制平面拒绝服务（DoS）。 对核心数据包的DoS 攻击会破坏整个网络的连接。在国防、警务、采矿和交通管制等关键领域，连接中断可能导致可怕的后果。   转自Freebuf，原文链接：https://www.freebuf.com/news/382227.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Pwn2Own 多伦多 2023 黑客大赛落下帷幕，参赛团队在为期 3 天的比赛时间里，针对消费类产品进行了 58 次0day漏洞利用（以及多次漏洞碰撞），共获得了 103.85 万美元的奖金。 Pwn2Own 多伦多 2023 黑客大赛期间，各参赛团队以移动和物联网设备为攻击目标，主要包括手机（苹果 iPhone 14、谷歌 Pixel 7、三星 Galaxy S23 和小米 13 Pro）、打印机、无线路由器、网络附加存储（NAS）设备、家庭自动化集线器、监控系统、智能扬声器以及谷歌的 Pixel Watch 和 Chromecast 设备，以上所有设备都处于默认配置并运行最新的安全更新。参赛队伍成功“演示”了针对小米、西部数据、群晖、佳能、利盟、Sonos、TP-Link、QNAP、Wyze、利盟和惠普等多家厂商设备中 58 个0day漏洞的利用。 值得注意的是，没有参赛队队伍入侵苹果 iPhone 14 和谷歌 Pixel 7 智能手机，但有参赛选手四次入侵了打满补丁的三星 Galaxy S23。 各团队积极“打榜” Pentest Limited 团队率先演示了三星 Galaxy S23 的0day漏洞，利用输入验证不当的缺陷获得了代码执行权，赢得了 5 万美元和 5 个 “Pwn 大师 “积分。 紧随其后，STAR Labs SG 团队也在第一天成功利用了允许输入的列表入侵了三星的旗舰产品，获得了 2.5 万美元（第二轮针对同一设备的一半奖金）和 5 个 Pwn 大师积分。 Interrupt Labs 和 ToChim 团队的安全研究人员在比赛第二天利用允许输入的列表和另一个不恰当的输入验证缺陷入侵了 Galaxy S22。   Pwn2Own 多伦多 2023 最终排行榜（ZDI） 最终，Viettel 团队赢得了比赛，共获得 18 万美元现金奖励和 30 个 Pwn 大师积分。紧随其后的是 Sea Security 的 Orca 团队，获得 116250 美元以及 17.25 分，DEVCORE Intern 和 Interrupt Labs 各获得 50000 美元和 10 分。 根据大赛规则，一旦参赛人员在 Pwn2Own 大赛上发现可被利用的0day漏洞，供应商在 ZDI 公开披露之前有 120 天时间用于发布新补丁。 在今年 3 月 Pwn2Own Vancouver 2023 比赛期间，参赛者利用 27 个0day漏洞（和几个漏洞碰撞）赢得了 1035000 美元和一辆特斯拉 Model 3 汽车。     转自Freebuf，原文链接：https://www.freebuf.com/news/382191.html 封面来源于网络，如有侵权请联系删除

知名网络安全公司HackerOne近日宣布，自2012年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。 HackerOne提供了一个漏洞赏金平台，将企业与白帽的安全专业知识、资产发现、持续评估和流程增强相结合，以发现和弥补数字攻击面中的漏洞。这些白帽可凭借发现的漏洞和弱点换取奖励。 根据HackerOne发布的《2023 年黑客力量安全报告》，有30名优秀的白帽每人获得了超 100 万美元的奖励，而其中最厉害的白帽奖励超过了400万美元。 该公司强调，在高额奖励支付承诺的推动下，加密货币和区块链实体继续受到白帽的广泛关注。今年，加密货币公司支付的最大赏金为10.05万美元。 今年该平台上漏洞平均奖金为 500 美元，有10%的漏洞奖金超过了 3000 美元。对于高危和高严重性缺陷，所有行业的平均奖金额为 3700 美元，有10%的奖金超过了1.2万美元。 参与 HackerOne 计划的白帽中有61%表示会利用生成式人工智能工具，以更便捷地编写报告、代码并减少语言障碍。 但同时，AI本身也开始成为挖掘的对象，55% 的白帽表示预计 AI 工具将成为未来几年的重要目标。 道德黑客重点关注的领域 (图源：HackerOne) 此外，公司也调研了白帽提交漏洞的动机，以及会有哪些原因导致他们不再使用HackerOne。无疑，能够获得赏金奖励是最大动机，占比73%，而响应时间慢成为最主要的负面因素，占比60%。   转自freebuf，原文链接：https://www.freebuf.com/news/382199.html 封面来源于网络，如有侵权请联系删除

一个名为 StripedFly 的跨平台恶意软件在网络安全研究人员的眼皮底下潜伏了 5 年，期间感染了 100 多万台 Windows 和 Linux 系统。 卡巴斯基去年发现了这个恶意框架，并找到了它从2017年开始活动的证据。 分析师表示，StripedFly拥有复杂的基于 TOR 的流量隐藏机制、来自可信平台的自动更新、蠕虫式传播能力，以及在公开披露漏洞之前创建的自定义 EternalBlue SMBv1 漏洞利用程序。 虽然目前还不清楚这个恶意软件框架是用于创收还是网络间谍活动，但卡巴斯基表示，它的复杂性表明这是一个 APT（高级持续威胁）恶意软件。 根据该恶意软件的编译器时间戳，StripedFly最早的已知版本是2016年4月，其中包含一个EternalBlue漏洞，而Shadow Brokers组织的公开泄露发生在2016年8月。 StripedFly感染超 100 万个系统 卡巴斯基首次发现StripedFly恶意软件框架是在WININIT.EXE进程中注入了该平台的shellcode之后，WININIT.EXE进程是一个合法的Windows操作系统进程，负责处理各种子系统的初始化。 在对注入的代码进行调查后，他们确定该代码会从 Bitbucket、GitHub 和 GitLab 等合法托管服务下载并执行 PowerShell 脚本等其他文件。 进一步调查显示，受感染的设备很可能是首先使用定制的 EternalBlue SMBv1 漏洞利用程序入侵的，该漏洞针对的是暴露在互联网上的计算机。 StripedFly的最终有效载荷（system.img）采用了定制的轻量级TOR网络客户端，以保护其网络通信不被拦截，能够禁用SMBv1协议，并使用SSH和EternalBlue传播到网络上的其他Windows和Linux设备。 该恶意软件的命令和控制（C2）服务器位于 TOR 网络上，与它的通信需要频繁发送包含受害者唯一 ID 的信标信息。 StripedFly的感染链 为了在 Windows 系统上持久运行，StripedFly 会根据其运行的权限级别和 PowerShell 的存在调整其行为。 如果没有 PowerShell，它会在 %APPDATA% 目录中生成一个隐藏文件。在有 PowerShell 的情况下，它会执行用于创建计划任务或修改 Windows 注册表键值的脚本。 在 Linux 上，恶意软件的名称为 “sd-pam”。它使用 systemd 服务、自动启动 .desktop 文件或修改各种配置文件和启动文件来实现持久性。 在 Windows 系统上提供最后阶段有效载荷的 Bitbucket 存储库显示，从 2023 年 4 月到 2023 年 9 月，已经有近 60000 次系统感染。 据估计，自 2022 年 2 月以来，StripedFly 已感染了至少 22 万个 Windows 系统，但该日期之前的统计数据无法查明，而且该存储库创建于 2018 年。 不过，卡巴斯基估计有超过 100 万台设备感染了 StripedFly 框架。 恶意软件模块 该恶意软件以单体二进制可执行文件的形式运行，并带有可插拔模块，这使其具备了通常与 APT 行动相关的多功能操作性。 以下是卡巴斯基报告中对 StripedFly 模块的总结： 配置存储： 存储加密的恶意软件配置。 升级/卸载： 根据 C2 服务器命令管理更新或删除。 反向代理： 允许在受害者网络上进行远程操作。 杂项命令处理程序： 执行各种命令，如截图捕获和 shellcode 执行。 凭证收集器： 扫描并收集密码和用户名等敏感用户数据。 可重复任务： 在特定条件下执行特定任务，如麦克风录音。 侦察模块： 向 C2 服务器发送详细的系统信息。 SSH 感染器： 使用获取的 SSH 凭据渗透其他系统。 SMBv1 感染者： 使用定制的 EternalBlue 漏洞利用程序入侵其他 Windows 系统。 Monero 挖矿模块： 在伪装成 “chrome.exe “进程的同时挖掘 Monero。 卡巴斯基在报告中写道：恶意软件的有效载荷包含多个模块，使行为者能够以 APT、加密货币矿工甚至勒索软件群组的身份执行任务。 值得注意的是，该模块开采的Monero加密货币在2018年1月9日达到峰值542.33美元，而2017年的价值约为10美元。截至2023年，其价值一直维持在150美元左右。 卡巴斯基专家强调，挖矿模块是该恶意软件能够长期逃避检测的主要因素。   转自Freebuf，原文链接：https://www.freebuf.com/news/382025.html 封面来源于网络，如有侵权请联系删除

微软发布了一个以英语为母语的威胁行为者的详细资料，该威胁行为者具有先进的社会工程能力，被追踪为 Octo Tempest，该威胁行为者的目标是进行数据勒索和勒索软件攻击的公司。 自 2022 年初以来，Octo Tempest 的攻击稳步发展，将攻击目标扩大到提供有线电信、电子邮件和技术服务的组织，并与 ALPHV/BlackCat 勒索软件组织合作。 从帐户盗窃到勒索软件 最初观察到威胁行为者出售 SIM 卡交换并窃取拥有加密货币资产的知名人士的账户。 黑客通常通过高级社会工程获得初始访问权限，该社会工程以具有足够权限的技术管理员（例如支持和服务台人员）的帐户为目标，以进一步实施攻击。 他们对公司进行研究，以确定可以模仿的目标，达到模仿电话中个人的语音模式的程度。 通过这样做，他们诱骗技术管理员执行密码重置并重置多重身份验证 (MFA) 方法。 初始访问的其他方法包括： 诱骗目标安装远程监控和管理软件 通过网络钓鱼网站窃取登录信息 从其他网络犯罪分子那里购买凭证或会话令牌 短信网络钓鱼员工带有可捕获凭据的虚假登录门户的链接 SIM 卡交换或呼叫转移 直接暴力威胁 一旦获得足够的访问权限，Octo Tempest 黑客就会通过枚举主机和服务并收集允许滥用合法通道进行入侵的信息来开始攻击的侦察阶段。 “用户、组和设备信息的初始批量导出之后，紧随其后的是在虚拟桌面基础架构或企业托管资源中枚举可供用户配置文件随时使用的数据和资源”- Microsoft 然后，Octo Tempest 继续探索基础设施，枚举跨云环境、代码存储库、服务器和备份管理系统的访问和资源。 为了提升权限，威胁行为者再次求助于社会工程、SIM 交换或呼叫转接，并启动目标帐户的自助密码重置。 在此步骤中，黑客通过使用受损帐户并表现出对公司程序的了解来与受害者建立信任。如果他们拥有经理帐户，他们会自行批准增加权限的请求。 只要他们有访问权限，Octo Tempest 就会继续寻找其他凭证来扩大他们的影响力。他们使用 Jercretz 和 TruffleHog 等工具来自动搜索代码存储库中的明文密钥、机密和密码。 为了隐藏自己的踪迹，黑客还针对安全人员的帐户，这使他们能够禁用安全产品和功能。 “利用受感染的帐户，威胁行为者利用 EDR 和设备管理技术来允许恶意工具、部署 RMM 软件、删除或损害安全产品、窃取敏感文件的数据（例如带有凭据的文件、信号消息数据库等），并部署恶意负载”——微软 据微软称，Octo Tempest 试图通过抑制更改警报并修改邮箱规则来删除可能引起受害者怀疑存在违规行为的电子邮件来隐藏其在网络上的存在。 研究人员提供了 Octo Tempest 在攻击中使用的以下附加工具和技术： 开源工具：  ScreenConnect、  FleetDeck、  AnyDesk、  RustDesk、  Splashtop、  Pulseway、  TightVNC、LummaC2、Level.io、Mesh、  TacticalRMM、  Tailscale、  Ngrok、  WsTunnel、  Rsocx和 Socat 部署 Azure 虚拟机以通过 RMM 安装实现远程访问或通过 Azure 串行控制台修改现有资源 向现有用户添加 MFA 方法 使用隧道工具 Twingate，该工具利用 Azure 容器实例作为专用连接器（不暴露公共网络） 黑客还使用一种独特的技术将窃取的数据转移到他们的服务器，其中涉及 Azure 数据工厂和自动化管道，以融入典型的大数据操作。 为了导出 SharePoint 文档库并更快地传输文件，攻击者经常注册合法的 Microsoft 365 备份解决方案，例如 Veeam、AFI Backup 和 CommVault。 微软指出，由于使用了社会工程、靠地生活技术和多样化的工具，在环境中检测或追捕这种威胁行为者并不是一件容易的事。 不过，研究人员提供了一组通用指南，可以帮助检测恶意活动，首先是监视和审查与身份相关的进程、Azure 环境和端点。 Octo Tempest 出于经济动机，通过窃取加密货币、窃取数据勒索或加密系统并索要赎金来实现其目标。   转自安全客，原文链接：https://www.anquanke.com/post/id/291047 封面来源于网络，如有侵权请联系删除

继美国国家网络主任办公室(ONCD)7月采取行动，呼吁提供信息以协调各司法管辖区的网络安全标准和法规后，世界经济论坛(WEF)周三（25日）发布了一份白皮书，列出了世界经济论坛系统的回应网络弹性：电力(SCRE)社区。 它的重点是解决网络安全要求中的冲突、确定优先部门和地区、评估国际对话、审查正在进行的全球举措以及探索监管互惠。 去年9月，WEF SCRE社区“已将全球监管互操作性确定为其重点关注领域之一，并成立了全球监管工作组，以促进电力行业全球网络监管的互操作性”，该机构在其最新文件中指出。“该工作组应对复杂、行业和部门不可知、分散、不一致、有时甚至相互冲突的法规的挑战。 这些孤立的法规缺乏并阻碍了互操作性，导致成本增加和效率低下，因为有限的资源被转移到解决合规性挑战，而不是直接解决部门和组织的网络安全状况。”白皮书补充说，工作组正在努力在其成员之间建立共同的社区立场，以帮助监管机构和充当监管机构的政府机构更好地了解该行业的需求。 SCRE社区欢迎并支持ONCD的监管协调工作。其对ONCD的建议包括： 继续ONCD不断努力提高全球监管互操作性、提高安全性和降低成本； 采用基于风险的方法，将安全性置于合规性之上； 从政策和监管流程的最初阶段就让私人、公共和民间社会利益相关者参与进来。 它还利用国际标准化组织（ISO）和国际电工委员会（IEC）等非政府机构制定的现有国际技术标准，并参与有关网络安全的国际对话和国际倡议。   转自安全客，原文链接：https://www.anquanke.com/post/id/291039 封面来源于网络，如有侵权请联系删除

哈马斯对以色列发动致命袭击大约 11 天后， Telegram 频道一黑客组织发布消息声称，以色列内瓦蒂姆空军基地的计算机系统遭到破坏，该组织已收集了有关该设施飞行员、其他人员及其家人的信息。该消息包括据称从基地附近的安全摄像头拍摄的屏幕截图和视频。其中一张图片上的标题写道：“你不会安全。” 内瓦蒂姆位于以色列南部，是该国最大的空军基地之一，定期驻扎美国军事资产，并接收了多批美国军事援助物资。 以色列驻华盛顿大使馆周二没有回应置评请求，目前尚不清楚该组织的说法是否准确。对于与哈马斯结盟的黑客来说，对内瓦蒂姆系统的破坏将构成一次重大的公关政变。 这些类型的潜在爆炸性但难以验证的主张已成为寻求影响冲突的黑客活动组织的惯用手段。 周末，一个亲伊朗组织声称，为了报复美国对以色列的支持，它已经获取了数千名美国军方、执法和情报人员的数据，并以大约 2,000 美元的比特币价格出售。该组织发布的样本似乎包括数十名美国军人的身份证和相关文件。 美国军方发言人没有回复置评请求，执法官员周二也拒绝置评。 在以色列和哈马斯之间持续两周多的战斗之后，随着黑客活动组织加大行动力度，诸如此类未经证实的说法变得越来越普遍。针对 内瓦蒂姆空军基地的攻击是否真的发生尚不清楚，但专家警告说，随着冲突的持续，一系列微不足道的攻击 – 以及声称更为严重的攻击 – 可能预示着更重要的网络行动。 SentinelLabs 首席威胁研究员汤姆·黑格尔 (Tom Hegel) 告诉 CyberScoop：“我们可以预见，人们会越来越依赖旨在影响全球对冲突看法的信息行动，特别是在该地区复杂的地缘政治背景下。国家支持的威胁行为者通过各种手段加强其信息行动，包括操纵社交媒体平台、创建虚构的黑客组织以及实施旨在影响全球媒体的战略活动。” 驻英国的伊朗反对派活动家兼独立网络间谍研究员纳里曼·加里布 (Nariman Gharib) 告诉 CyberScoop，伊朗黑客组织“不断针对西方和以色列”。例如，与伊朗有关的人物已经表现出愿意通过窃取和发布有关性取向和艾滋病毒状况等敏感问题的个人数据来恐吓普通民众。 中东是黑客组织的沃土，而最近的网络行动历史是专家们如此担心随着以色列和哈马斯之间的战争拖延而对数字系统的攻击可能升级的原因之一。 被认为与哈马斯、真主党和伊朗有联系的组织多年来一直很活跃，开展的活动包括网络间谍、数据盗窃、黑客攻击和泄密活动，以及以工业控制设施为目标。 SentinelLabs 的高级威胁研究员在周二发布的区域参与者概要中写道。 与以色列有关的网络行动以伊朗政府资产为目标，发起令人尴尬的攻击，导致燃料分配系统关闭并损坏工业设施。 展望未来，黑格尔和米伦科斯基警告说，国家支持的黑客组织可能会利用黑客活动组织作为幌子来掩盖其攻击的起源，而伊朗黑客组织构成了特殊的威胁。 研究人员写道：“伊朗网络威胁行为者的多样性和适应性使他们成为未来全球威胁格局的重要且多方面的组成部分。” “必须将伊朗作为直接网络攻击行动和哈马斯和真主党等与伊朗有联系的组织支持的代理行动的潜在来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291017 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局的一位高级官员周三表示，在一系列不断升级的全球冲突中，美国政府机构和私营部门组织应对针对关键基础设施和关键部门的破坏性网络攻击“保持高度警惕”。 CISA 执行助理主任埃里克·戈尔茨坦 (Eric Goldstein) 表示，美国已经面临重大国际危机——俄罗斯乌克兰以及以色列与哈马斯之间的战争——这对政府机构、关键基础设施运营商和私营部门构成了“网络安全方面的巨大挑战”。 戈德斯坦在智库 R Street Institute 主办的一次活动中表示：“俄罗斯网络攻击者的能力仍然很强。” 围绕乌克兰战争的俄罗斯网络活动的未来轨迹存在“巨大的不确定性”。 戈尔茨坦补充道：“我们必须对如何看待俄罗斯未来针对美国及其盟友的网络活动的可能性保持高度警惕。” CISA 主任 Jen Easterly 在 8 月份的一篇博客文章中表示，在2022 年 2 月之前，乌克兰私营部门与国际网络安全合作伙伴进行了合作，这一努力在增强该国的网络弹性方面发挥了重要作用。 去年俄乌冲突爆发后，CISA 的旗舰公私部门倡议——联合网络防御合作组织开始记录有关俄罗斯威胁行为者的信息，这是防止和减少针对乌克兰和美国本土的破坏性网络活动的一部分。 戈尔茨坦表示，JCDC 拥有 150 多个跨领域的组织，最近几周一直围绕以色列和哈马斯之间的战争“进行持续的合作”。 戈尔茨坦表示，CISA 还一直与以色列国家网络管理局的合作伙伴“并肩”合作。从外部来看，这场冲突中的网络安全攻击似乎仅限于寻求关注的黑客行动拒绝服务事件。密切观察人士表示，在冲突最初几天爆发后，这些攻击的速度已经放缓（参见：以色列-哈马斯战争：寻求公众关注的黑客活动分子选边站队）。 戈尔茨坦表示，为了成功防止未来与新出现的国际冲突有关的网络事件，政府需要继续“推动对公私部门网络安全举措的投资”，同时与私营部门合作伙伴共享互惠的有价值信息。 他补充道：“我们能做的越多，以确保我们能够顺畅地共享、共享互惠价值，这将使我们能够领先于威胁并在伤害发生之前降低风险。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291015 封面来源于网络，如有侵权请联系删除

最新研究表明，据信总部位于哈萨克斯坦的黑客正在针对独立国家联合体的其他成员开展广泛的间谍活动。 思科的 Talos 小组花了数月时间跟踪 YoroTrooper，这是一个于 2022 年 6 月首次出现的专注于间谍活动的黑客组织。研究人员表示，该组织的目标、使用哈萨克斯坦货币以及流利的哈萨克语和俄语是导致他们相信黑客的部分原因。总部设在哈萨克斯坦。 YoroTrooper 似乎采取了防御行动来保护哈萨克斯坦国有电子邮件服务，并且只攻击过哈萨克斯坦政府的反腐败机构。 思科 Talos 威胁研究员 Asheer Malhotra 告诉 Recorded Future News，该组织积极试图掩盖其行动，使攻击看起来像是来自阿塞拜疆，试图“生成虚假标记并误导归因”。 “就他们的作案手法而言，他们的战术和工具并不是很复杂，但是，由于他们的侵略性尝试，过去两年来，YoroTrooper 仍然在独联体国家的目标上取得了巨大的成功。以他们的受害者为目标。此外，尽管 Cisco Talos 在今年早些时候首次披露了 YoroTrooper 的活动细节，但威胁行为者并没有表现出放缓的迹象。”Malhotra 说。 Cisco Talos追踪了涉及阿塞拜疆、塔吉克斯坦、吉尔吉斯斯坦、乌兹别克斯坦的机构和官员的攻击，这些攻击使用 VPN 服务使其看起来像是来自阿塞拜疆的黑客攻击。 2023 年 5 月至 2023 年 8 月期间，黑客入侵了多个国有网站和属于政府官员的账户。 大多数攻击都是从网络钓鱼电子邮件开始，并部署定制的恶意软件，使该组织能够窃取数据和凭据。 受到 YoroTrooper 袭击的国家 研究人员发现，黑客在尝试调试工具时使用俄语，同时还访问了许多用哈萨克语编写的网站。六月，黑客开始在他们的代码中使用乌兹别克语，这是哈萨克斯坦广泛使用的另一种语言。 黑客使用加密货币来支付域名和服务器等运营基础设施的费用，同时还在谷歌上检查“哈萨克斯坦坚戈（KZT）、哈萨克斯坦官方货币和比特币（BTC）之间的货币兑换率”。 该组织还对哈萨克斯坦国有电子邮件服务 mail[.]kz 进行安全扫描，并监控该平台是否存在潜在的安全漏洞。虽然大部分活动都是通过阿塞拜疆进行的，但思科 Talos 发现的证据表明，黑客不会说阿塞拜疆语言——他们定期访问翻译网站并检查从阿塞拜疆语到俄语的翻译。 思科 Talos 指出，自2023 年 3 月发布有关 YoroTrooper 的报告（详细介绍了该组织对欧盟医疗机构、世界知识产权组织和几个独联体国家的攻击）以来，他们已经大大扩展了自己的工具和策略。 该组织使用新的定制植入程序，并放弃了之前使用的其他恶意软件菌株。 研究人员表示：“YoroTrooper 针对这些国家的政府实体可能表明运营商是出于哈萨克斯坦国家利益的动机或在哈萨克斯坦政府的指导下工作。” 该组织使用漏洞扫描程序和来自 Shodan 等搜索引擎的开源数据来查找目标基础设施中的漏洞。今年夏天，他们使用这些工具入侵了塔吉克和吉尔吉斯斯坦的三个国有网站，并在其上托管了恶意软件负载，截至 2023 年 9 月，一些恶意软件仍在托管。 妥协的对象包括塔吉克斯坦商会、该国毒品管制局和吉尔吉斯斯坦国有煤炭企业的网站。吉尔吉斯斯坦交通和道路部的一名官员以及乌兹别克斯坦能源部的其他政府工作人员也成为攻击目标。 思科 Talos 还发现该组织根据 3 月份关于黑客活动的报告调整了策略，这些活动使他们能够窃取凭据、浏览器历史记录、系统信息和屏幕截图。 马尔霍特拉表示，虽然独联体国家相互攻击的情况并不常见，但网络安全研究人员发现该地区的网络攻击最近有所增加。 “考虑到独联体国家靠近欧洲、中亚、俄罗斯和中国，独联体国家似乎很自然地发展由网络空间行动驱动的情报能力，以支持其政治、经济和军事进步，”马尔霍特拉解释道。   转自安全客，原文链接：https://www.anquanke.com/post/id/291007 封面来源于网络，如有侵权请联系删除