Okta近两年来屡次成为网络攻击焦点，不仅旗下产品被利用成为攻击客户的初始点，还因为自身网络被黑导致客户遭入侵，该公司已成为行业内的典型反例。 安全内参10月25日消息，自Okta上周五（10月20日）披露其支持系统遭黑客攻击以来，公司市值已经减少超过20亿美元。 这一备受瞩目的事件是一系列与Okta或其产品相关安全事件的最新一起。这些事件影响广泛，包括近期多个国际赌场遭到侵入。 Okta上周五披露，一个不明身份的黑客组织能够通过支持系统访问客户文件。该公司股价应声下跌，跌幅超过11%。该公司只披露了一组技术检测指标，没有提供更多细节。本周一开盘后，该公司股价继续下跌，收盘时跌幅达8.1%。 Okta公司的品牌知名度不高，但在国际大型企业的网络安全系统中扮演了重要角色。Okta是一家身份管理公司，拥有超过18000名客户。这些客户使用Okta产品为具体公司使用多个不同平台提供单一登录点。例如，Zoom使用Okta实现“无缝”访问，通过单一登录可以访问公司的Google Workspace、ServiceNow、VMware和Workday等平台。 Okta表示，已经在上周五的公告中与所有受影响的客户进行了沟通。其中至少一家客户表示，数周前就已经提醒Okta可能发生了入侵。 身份管理公司BeyondTrust在上周五发帖表示，他们已经在10月2日向Okta的安全团队报告了BeyondTrust使用的Okta系统中存在可疑活动。尽管BeyondTrust表示担忧“Okta支持系统内很可能已被入侵，而且我们或许不是唯一受影响的客户”，但是Okta一开始并未承认这起事件是一次入侵。 云安全公司Cloudflare、密码管理软件1Password也发表声明，表示发现了与内部Okta系统相关的恶意活动。 Okta承认支持系统入侵后近三天的股价下跌情况 身份供应商成为攻击焦点 Okta曾经多次成为其他备受关注的事件的焦点。 今年早些时候，赌场巨头凯撒娱乐和美高梅都受到黑客攻击。消息人士表示，凯撒娱乐被迫向黑客组织支付数百万美元的赎金。美高梅在SEC文件中承认，不得不关闭对公司利润产生实质性影响的关键系统。 这些事件造成的直接和间接损失总额超过1亿美元。这两起攻击都以复杂的社交工程方式瞄准了美高梅和凯撒娱乐的Okta系统。Okta一名高管对路透社表示，在同一时期，黑客组织还针对其他三家公司进行了攻击。 Okta自身此前也曾多次遭受网络攻击 2022年3月，一家自称Lapsus$的黑客组织曾试图入侵多个Okta系统。根据美国网络安全与基础设施安全局的报告，Lapsus$还曾参与对优步、《侠盗猎车手》制造商Rockstar Games的黑客攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/60015 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，加拿大多伦多举行的 Pwn2Own 2023 黑客大赛的第一天，网络安全研究人员就成功两次攻破三星 Galaxy S23。 大会现场，研究人员还“演示”了针对小米 13 Pro 智能手机、打印机、智能扬声器、网络附加存储 (NAS) 设备以及 Western Digital、QNAP、Synology、Canon、Lexmark 和 Sonos 的监控摄像头等设备零日漏洞利用和漏洞链。 Pentest Limited 团队率先利用三星旗舰设备 Galaxy S23存在的零日漏洞成功执行了不正确的输入验证攻击，从而获得了 50000 美元和 5 个 “Pwn 大师 “积分。STAR Labs SG 团队则利用允许输入的列表入侵了三星 Galaxy S23，获得 2.5 万美元奖金（第二轮针对同一设备的奖金减半）和 5 个 Pwn 大师积分。 赛事规则方面，组织方表示虽然只有在一个类别中第一个演示的参赛者才能获得全额现金奖励，但每个成功演示的参赛者都能获得全部的’Pwn大师’积分。此外，鉴于参赛人员的“演示顺序”随机抽签决定，因此获得较晚名额的参赛者仍然可以获得’Pwn大师’称号（获得现金报酬会较低些）。 根据 Pwn2Own 多伦多 2023 竞赛规则，所有目标设备都必须运行最新的操作系统版本，并安装所有安全更新。在比赛的第一天， 网络零日计划（ZDI） 为 23 个成功演示零日漏洞的参赛人员颁发了 438750 美元的奖金。 超百万美元的赛事奖金   趋势科技零日计划（ZDI）组织的 Pwn2Own 多伦多 2023 黑客大赛期间，参赛者可以针对移动设备和物联网设备进行网络攻击，其中可被攻击的设备清单包括手机（即苹果 iPhone 14、谷歌 Pixel 7、三星 Galaxy S23 和小米 13 Pro）、打印机、无线路由器、网络附加存储 (NAS) 设备、家庭自动化集线器、监控系统、智能扬声器以及谷歌的 Pixel Watch 和 Chromecast 设备，所有以上设备都处于默认配置并运行最新的安全更新。 奖励最高的是手机类的零日漏洞，参赛人员成功攻击 iPhone 14 最高可获得 30 万美元现金奖励，攻击 Pixel 7 最高可获得 25 万美元现金奖励，如果利用有效载荷以内核级权限执行，成功利用谷歌和苹果设备还将获得50000美元的奖金，针对苹果 iPhone 14 的具有内核级访问权限的完整利用链，单项挑战赛的最高奖金可达 35 万美元。粗略计算，若是所有”演示“都取得不错效果，参赛人员最高可获得百万美元。 值得注意的是，早在 2023 年 3 月温哥华 Pwn2Own 大赛中，研究人员因成功利用 27 个零日（以及几次错误碰撞）获得了 1035000 美元和一辆特斯拉 Model 3 汽车。   转自Freebuf，原文链接：https://www.freebuf.com/news/381712.html 封面来源于网络，如有侵权请联系删除

俄罗斯政府和工业部门机构已成为 卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件，在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。 这次攻击从 2023 年 6 月开始，一直持续到 8 月中旬。攻击者模仿监管机构的官方信息发送信件，其中包含 PDF 格式的虚假文档和恶意存档。如果受害者打开存档，[NSIS].nsi 脚本就会在他们的设备上启动，该脚本会在隐藏窗口中安装后门。同时，下载恶意软件的网站名称模仿了官方部门的网站。 启动后，恶意软件会检查互联网访问并尝试连接到合法的网络资源（外国媒体）。然后，它会检查受感染设备是否有可以检测其存在的软件和工具，例如沙箱或虚拟环境。如果至少有一个，后门就会停止活动。当所有检查都通过后，恶意软件会连接到攻击者的服务器并加载模块，使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档（例如 doc、.docx、.pdf、. xls、.xlsx）。所有数据均传输至控制服务器。 8月中旬，攻击者更新了他们的后门，添加了一个用于从浏览器窃取密码的新模块，并增加了对环境的检查次数。感染链保持不变。其中的差异在于，攻击者通过访问合法的网络资源取消了对互联网访问的检查：现在恶意程序立即连接到控制服务器。该恶意软件还添加了一个模块，允许其从浏览器窃取密码。此外，对环境中是否存在可检测恶意活动的工具的检查次数也有所增加。   转自安全客，原文链接：https://www.anquanke.com/post/id/290980 封面来源于网络，如有侵权请联系删除

谷歌暂时禁止 其地图和位智应用程序查看以色列和有争议的加沙地带的实时交通状况。 这是应以色列军队的要求，鉴于最近与巴勒斯坦的公开对抗而做出的。 谷歌发言人表示：“正如我们在之前的冲突中所做的那样，为了应对该地区不断变化的局势，出于对当地社区安全的担忧，我们暂时禁用了查看实时交通状况和交通信息的能力。 ” 据知情人士透露，做出这一决定是因为实时交通数据可以揭示以色列军队的动向。去年，谷歌已经针对另一场众所周知的冲突采取了类似的措施。 虽然实时交通显示被禁用，但使用导航系统的驾驶员仍会收到基于当前情况的预计到达时间，但带有路线彩色部分的交通可视化将不可用。 以色列科技网站GeekTime最先报道了这一进展，称苹果的地图应用程序也遵守了以色列军队的要求。苹果和以色列国防军的代表尚未对此事发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/290978 封面来源于网络，如有侵权请联系删除

在最新的暗网新闻中，一个威胁行为者宣布推出 qBit Ransomware-as-a-Service (RaaS)，这是一种用 Go 编程语言编写的创新型、高适应性恶意软件。 qBit 勒索软件的设计目标是 Windows（从 Win 7 到 Win 11）和各种 Linux 发行版，目前正在开发 ESXi 变种。 它的功能包括通过混合逻辑、多种加密模式、快速执行和几种独特的安全功能进行闪电般快速加密。 qBit 勒索软件的诞生： 网络犯罪分子的资产 qBit 勒索软件以 Go 语言为基础，拥有卓越的并发功能。这可以加快运行速度，降低检测率，增强多功能性。 它已在一系列操作系统上进行了严格测试，包括从 Win 7 到 Win 11 的 Windows 变体（X32 和 X64），以及 CentOS、Ubuntu、Linux Mint、Endeavour OS 和 Fedora 等流行 Linux 发行版（均为 X64）。 此外，ESXi 变种目前正处于早期开发阶段，有望在不久的将来提供更广泛的攻击面，这可能会动摇各种大型组织的基础设施。 qBit RaaS： 增强犯罪活动的能力 自勒索软件诞生以来，”勒索软件即服务”（RaaS）模式在这些恶意攻击的扩散过程中发挥了重要作用。 qBit 勒索软件的显著特征如下： 混合逻辑快速加密： 利用 Salsa20 和 RSA 2046 算法，qBit 可确保快速加密过程。 灵活的加密模式： 该勒索软件提供三种模式–完全加密、部分加密和智能加密–允许采用量身定制的方法进行数据加密。 及时执行：qBit 勒索软件可迅速执行，确保在加密过程中将干扰降到最低。 增强的安全措施： 该勒索软件采用模糊二进制文件，大大增加了安全分析人员分析和检测工作的难度。 反分析技术：qBit 采用了反分析措施，以挫败反向工程尝试。 直接系统调用和多线程： 这些功能可提高勒索软件的运行效率，确保最佳性能。 解密工具： 贴心地加入了解密工具，为受害者恢复加密文件提供了潜在的生命线。 qBit勒索软件的定制开发 据 PCrisk 称，qBit RaaS 已在黑客论坛上得到推广。它对 EDR 解决方案的规避使检测和缓解具有挑战性，往往会让受害者直到造成实质性伤害时才意识到。 对于寻求额外定制的买家，qBit勒索软件销售背后的暗网用户提供执行前的shell代码注入、文件外渗和个性化目标信息报告，所有这些都不收取额外费用。 虽然 qBit RaaS 通过”-log “参数启用了一个可选的用户界面，但值得注意的是，威胁行为者可以利用它来渗透组织的防御，同时完全隐藏在威胁检测系统之外。   转自Freebuf，原文链接：https://www.freebuf.com/news/381725.html 封面来源于网络，如有侵权请联系删除

目前，谷歌正为Chrome浏览器测试一项新的“IP保护”功能。因为该公司认为用户IP地址一旦被黑客滥用或秘密跟踪，都可能导致用户隐私信息泄露。 而这项功能可通过代理服务器屏蔽用户的IP地址，以增强用户的隐私性，这样就可以尽量在确保用户的隐私和网络的基本功能之间取得平衡。 IP 地址允许网站和在线服务跟踪跨网站的活动，从而便于创建持久的用户档案。与第三方 cookie 不同的是，用户目前没有直接的方法来躲避这种隐蔽的跟踪，这就造成了严重的隐私问题。 谷歌提出的 IP 保护功能是什么？ 虽然 IP 地址是潜在的跟踪载体，但它们也是路由流量、防止欺诈和其他重要网络任务等关键网络功能不可或缺的部分。 IP 保护 “解决方案通过代理服务器路由来自特定域的第三方流量，使这些域看不到用户的 IP 地址，从而解决了这一双重问题。随着生态系统的发展，”IP 保护 “也将不断调整，以继续保护用户免受跨站跟踪，并在代理流量中添加更多域。 关于 IP 保护功能的描述中曾提到：Chrome 浏览器正在重新引入一项建议，以保护用户免受通过 IP 地址进行的跨站跟踪。该建议是一种隐私代理，可对符合上述条件的流量进行 IP 地址匿名化处理。 前期IP 保护将作为一项可选择功能，确保用户可以控制自己的隐私，谷歌将会同时监控用户的行为趋势。这个功能的实施将分阶段进行，以适应地区性考虑并确保学习曲线。 第一阶段被称为 “第 0 阶段”，谷歌将使用专有代理将请求代理到自己的域名。这将有助于谷歌测试系统的基础设施，并为微调域名列表争取更多时间。 初期只有登录谷歌 Chrome 浏览器且 IP 位于美国的用户才能访问这些代理服务器。然后经过选择的一组客户端将自动纳入此次初步测试，但随着测试的深入，架构和设计也将随之调整。为了避免潜在的IP滥用，谷歌运营的认证服务器将向代理分发访问令牌，并为每个用户设定配额。 在下一阶段，谷歌计划采用两跳代理系统，以进一步提高隐私性。第二个代理将由外部 CDN 运行，而谷歌运行第一跳。这样可以确保两个代理都看不到客户端的 IP 地址和目的地。 由于许多在线服务利用 GeoIP 来确定用户的位置以提供服务，谷歌计划为代理连接分配代表用户 “粗略 “位置而非其具体位置的 IP 地址，如下图所示。 料来源：谷歌 谷歌打算测试该功能的域包括其自己的平台，如 Gmail 和 AdServices。同时，谷歌计划在 Chrome 119 和 Chrome 225 之间测试这一功能。 潜在的安全问题 谷歌方面解释称：新的 IP 保护功能存在一些网络安全问题。由于流量将通过谷歌服务器代理，这可能会使安全和欺诈保护服务难以阻止 DDoS 攻击或检测无效流量。 此外，如果谷歌的某个代理服务器被入侵，威胁者就可以看到并操纵通过该服务器的流量。 为了缓解这一问题，谷歌正在考虑要求使用该功能的用户对代理服务器进行身份验证，防止代理服务器将网络请求链接到特定账户，并引入速率限制以防止 DDoS 攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/381609.html 封面来源于网络，如有侵权请联系删除

网络安全和基础设施安全局 (CISA) 正在与行业利益相关者和政府机构合作制定新版本的国家网络事件响应计划(NCIRP)，该框架概述了国家对重大网络事件的响应。 更新后的计划在2023 年国家网络安全战略中得到授权，CISA 目前正在与国家网络主任办公室 (ONCD) 合作，协调监管机构、关键基础设施组织等的意见。 CISA 网络安全执行助理总监埃里克·戈尔茨坦 (Eric Goldstein) 在周五的一份声明中表示，自七年前首次发布该计划以来，需要制定新版本的计划。 他说：“我们更新 NCIRP 的方法将以透明度和协作为基础，认识到私营部门往往是许多网络事件的第一响应者，而且对手的活动越来越超越国界。” “我们的目标是……提供一个敏捷、可操作的框架，每个参与网络事件响应的组织都可以积极使用该框架，以确保协调一致，与我们的对手的步伐相匹配。”戈尔茨坦补充说，新计划旨在“以减少对每个可能受害者的伤害的方式，更有效地应对网络事件并从中恢复。” 该计划首次发布时，CISA 和 ONCD 都不存在，这些机构指出，网络安全形势已经发生了巨大变化，各种私营部门组织在威胁形势下使用了更成熟的事件响应计划，现在包括毁灭性的勒索软件攻击。 联邦首席信息安全官兼国家网络副主任克里斯托弗·德鲁沙 (Christopher DeRusha) 解释说，该计划对于政府变得更加“协作、敏捷和对不断变化的威胁形势做出响应”的工作至关重要。 CISA 于 9 月开始与利益相关者会面，并将在 11 月继续举行听证会。12 月，他们将开始撰写该文件，然后向公众开放以征求意见。 根据该机构分享的情况说明书，他们预计更新后的计划将在 2024 年底之前获得批准和发布。 CISA在 9 月份因拒绝针对重大网络攻击制定具体的经济连续性 (COTE) 计划而遭到两党的强烈反对。该计划已写入 2021 财年《国防授权法案》，将概述联邦政府在发生严重损害美国经济的网络攻击时将采取的措施。 国会命令白宫在 2021 年制定该计划，并最终于 8 月得到回应。CISA 这份长达 29 页的报告认为，考虑到已经制定了多项计划来帮助该国应对对美国经济造成重大破坏的网络攻击并从中恢复，因此没有必要制定新的COTE 计划。 一些行业利益相关者警告联邦政府，如果发生影响美国经济或政府关键部分的大规模网络攻击，需要制定详细的协调计划。   转自安全客，原文链接：https://www.anquanke.com/post/id/290927 封面来源于网络，如有侵权请联系删除

趋势科技 研究人员发现了 下一代应用协议 (NGAP) 实施中的漏洞，该协议用于在基站（gNodeB 或 gNB）和 5G 核心之间传输控制消息。协议中的消息解码问题可能会导致网络功能失败，进而中断网络通信。 特别值得关注的是DoS漏洞 CVE-2022-43677 （CVSS：5.5），该漏洞允许黑客通过用户设备在控制平面造成拒绝服务。该问题于 2023 年 5 月得到部分解决，但趋势科技发现了与用户消息路由相关的其他问题。 对核心的成功 DoS 攻击会严重破坏整个网络的连接，这可能会给国防、警察、采矿和交通控制等关键部门带来灾难性后果。 由于网络的控制平面和用户平面（Control and User Planes）分离不充分，攻击是通过用户设备进行的。专家表示，ASN.1接口不够健壮，用于解析控制平面消息的控制协议容易受到格式错误的消息的影响。 该漏洞是在最流行的开源 5G 核心实现之一（称为 free5GC）中发现的，该实现被主要 5G 核心供应商用于商业解决方案。利用现有漏洞可能会导致运营严重中断、财务和声誉损失，甚至使使用 5G 技术的行业的重要基础设施瘫痪。 为确保5G网络的安全，研究人员建议： 严格SIM卡注册和使用规范管理。 确保控制平面和用户平面之间的明确分离。 定期更新关键基础设施节点，采用融合IT和通信安全技术的多层安全解决方案，防止专网被非法使用，确保产业生态系统的连续性和可靠性。   转自安全客，原文链接：https://www.anquanke.com/post/id/290924 封面来源于网络，如有侵权请联系删除

最新研究称，如果发生针对支付系统的大规模网络攻击，全球经济可能遭受3.5万亿美元（约合人民币25.6万亿元）的损失；发生概率大约为3.3％，相当于30年一遇。 有消息称：英国保险巨头劳埃德保险社（Lloyd”s of London）警告称，如果发生针对支付系统的大规模网络攻击，全球经济可能遭受3.5万亿美元（约合人民币25.6万亿元）的损失。 针对上述假想情景，劳埃德保险社与剑桥大学风险研究中心共同建模，认为其发生概率较低。研究人员提出，发生概率大约为3.3％，相当于30年一遇。 模拟预测金融系统遭网攻后果 此前，英国政府也研究了金融系统遭网络攻击的概率，发现灾难性事件发生概率较低。英国内阁在国家风险登记报告中，对金融市场基础设施遭受攻击的最坏情况建模，认为这种情况在有限的预测期内发生“几率很小”。 按照英国政府模拟的情景，网络攻击将对金融系统产生重大影响，比如对金融交易处理造成影响。这可能导致人们对金融数据和整个金融系统的可用性和完整性失去信心。 与之不同，按照劳埃德保险社模拟的情景，假设同时发生了数次相互独立、规模空前的网络攻击，影响到各种组织监管的金融市场基础设施的多个独立系统。 谈及研究情景，劳埃德保险社表示：“攻击者在金融服务业用于确认交易和验证支付的关键软件中植入恶意代码。随着常规软件更新，这些代码会发送到成千上万的合作伙伴和客户网络，渗透进入这些网络。” 随后，攻击者可以创建“后门，允许黑客发动大规模入侵。这意味着客户无法为产品和服务付款，银行无法结算支付，银行间贷款也只得暂停。” 尽管只论证了银行会无法结算支付，劳埃德保险社警告称：“基于现在掌握的数据，黑客可以通过扰乱数据，将资金转移至他们控制的帐户网络。他们可以潜伏数月之久。修复损害并发现后续侵入则需要更多时间。” 这家保险巨头还描述道，应急响应团队将疲于追踪攻击者，没有精力处理其他工作。由于人们对金融机构信心下降、新规定的出台，业务也会受到影响。 研究探讨了“假设（但有可能发生）”的情景。研究发现，平均而言，这种全球性攻击可能导致全球GDP在五年内下降3.5万亿美元（24.5万亿人民币）。受影响最严重的将是美国，其次是中国和日本。 劳埃德保险社承认，研究所描述的影响来自“高度复杂、从未出现过的新型攻击。” 警惕网络攻击引发金融系统风险 劳埃德保险社主席Bruce Carnegie-Brown表示：“我们致力于围绕系统性风险建立弹性。企业和社会正面临潜在网络威胁。今天发布的风险情景说明，保险在支持和保护客户免受此类威胁方面发挥了重要作用。” “网络具有全球互联性，意味着网络威胁风险不容忽视，不可能由一个行业单独应对。因此，我们必须继续在政府、行业和保险市场之间分享知识、专业技能和创新思想，确保社会建立对大规模潜在风险的弹性。” 2017年，NotPetya勒索软件攻击席卷乌克兰，重创网络保险市场。当时，很多市场开始担心保险政策中的战争除外条款是否适用。 由于上述攻击事件造成损失，亿滋国际食品公司向苏黎士美国保险公司提出1亿美元索赔。两家公司打了多年的法律战。2022年，双方终于达成和解。类似的索赔仍在发生。 在这一背景下，劳埃德保险社牵头进行了一项颇具争议的工作，希望修订这些除外责任条款，找到既满足客户需求又满足保险市场需求的解决方案。今年3月，劳埃德保险社警告称，更新除外责任条款后可能会影响公司利润。   转自安全内参，原文链接：https://www.secrss.com/articles/59821 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，一名网络攻击者在 BreachForums 黑客论坛上泄露了 410 万份被盗的 23andMe 基因数据资料，这些数据主要来自英国和德国。 值得一提的是，这并非  23andMe 首次出现数据泄漏事件，本月早些时候，一名网络攻击者泄露了 100 万阿什肯纳兹犹太人的被盗数据资料，据称这些人使用了 23andMe 服务查找其祖先信息和遗传倾向。从 23andMe 向 Bleeping Computer 透露的信息来看，网络攻击者通过使用弱密码或其它数据泄露中暴露的凭据，对受害帐户进行凭据填充攻击，最终盗取数据信息。 本月初 23andMe 数据首次泄露 对于客户资料被盗一事，23andMe 指出只有少数选择了 “DNA Relatives “功能的账户被入侵了。 410 万个数据包遭到泄露 一个名为 “Golem “的网络攻击者先后在 BreachForums 黑客论坛上泄露了 410 万份英国和德国人的数据资料，泄露的数据包括居住在英国 23andMe 用户的 4011607 行数据和生活在德国的 139172 人的数据信息。 网络攻击者声称被盗数据包括皇室、罗斯柴尔德家族和洛克菲勒家族的基因信息，虽然 Bleeping Computer 无法证实该说法是否准确，但据 TechCrunch 报道，英国新泄露的部分数据已被证实与用户公开的基因信息相匹配。 此外，TechCrunch 还报道称 2023 年 8 月，一些被泄露的 23andMe 数据在 Hydra 黑客论坛上出售（该论坛现已关闭），并且威胁攻击者声称窃取了 300 TB 的数据资料。目前，网络攻击者正试图寻找对被盗数据感兴趣的买家。 最后，虽然 23andMe 表示只有少量客户账户被盗，但 DNA Relatives 功能使这次数据泄露的规模大大增加。鉴于 23andMe  公司没有充分保护客户的数据，泄密事件已经引发大量针对 23andMe 的诉讼。   转自Freebuf，原文链接：https://www.freebuf.com/news/381144.html 封面来源于网络，如有侵权请联系删除