近日，多个冒充沙特政府服务门户网站Absher的钓鱼网站被建立起来，向公民提供虚假服务并窃取他们的凭证。这一发现来自CloudSEK的网络安全研究人员，他们在周四发布了一份关于该威胁的咨询。 安全专家写道：”威胁者通过发送短信，以及一个链接，敦促人们在Absher门户网站上更新他们的信息，来锁定个人。该钓鱼网站向用户展示了一个假的登录门户，损害了登录凭证”。 据CloudSEK称，在假的 “登录 “操作之后，网站上出现一个弹出窗口，提示向注册的手机号码发送一个四位数的一次性密码（OTP），可能是用来绕过合法的Absher门户网站的多因素认证（MFA）。任何四位数的数字都被接受为OTP，无需验证，受害者就能成功登录到假的门户网站。 一旦假的登录过程完成，用户就会被要求填写一个 “注册 “表格，泄露敏感的个人身份信息（PII），并被重定向到一个新的页面，提示他们选择一家银行。随后，将被引导到一个假的银行登录门户，旨在窃取他们的凭证。 安全研究人员指出，在提交网银登录信息后，弹出一个加载图标，页面被卡住，而用户的银行凭证已经被泄露。 据CloudSEK称，沙特地区的政府服务最近已成为网络犯罪分子的主要目标，他们破坏了用户的凭证，并利用它们进行进一步的网络攻击。”已经注册了多个网络钓鱼域名，以获取沙特阿拉伯个人的PII。 为了减轻这些攻击的影响，CloudSEK呼吁政府组织监测针对公民的网络钓鱼活动，并告知和教育他们这些危险，例如，告诉他们不要点击可疑的链接。在CloudSEK发现针对沙特阿拉伯的肯德基和麦当劳客户的单独的网络钓鱼活动的几周后，发布了这一警告。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/xfd7IaClhEJaO388bSDsZA 封面来源于网络，如有侵权请联系删除

现阶段，越来越多网络犯罪分子将勒索攻击目标转向医疗卫生部门。本文梳理了一些网络安全保障措施，希望能够为医疗行业网络安全建设带来一些帮助。 加强电子邮件安全 医疗卫生机构应该为各种电子邮件传播设置多个防御层，一个好的电子邮件安全解决方案应该在第一道防线就能够检测到多个恶意信号（恶意 IP、可疑 URL、隐藏的恶意软件文件等）。 此外，培训员工识别恶意电子邮件很有必要，但要明确一下，真正发现明显攻击迹象时，员工不应首当其冲地承担责任。此外，培训应侧重于适当政策的重要性，例如通过电子邮件以外的第二个渠道确认付款和转账。 设置复杂的登录密码和凭据 目前，大多数网络攻击的目标是获取登录凭据，许多网络攻击者专门向他人出售用户信息。Trustwave SpiderLabs 团队调查发现，大量的登录凭证和浏览器记录被盗，从而可以访问暗网市场上宣传的医疗设施。 因此员工应该使用复杂的登录密码，医疗机构在后台存储密码时，也必须确保使用相对安全的密码哈希算法，在整个组织内优先实施双因素身份验证。 提高网络安全意识 发现并阻止网络攻击的责任不应该由普通医疗人员来承担，但一支训练有素的员工队伍可以有效的避免网络安全危险。 当前的安全培训往往局限于一些硬性规定的研讨会，但这对提高意识没有什么作用。相反，医疗机构应考虑更深入的演习，复盘勒索软件攻击等严重安全事件，这样才有助于决策者在巨大压力下做出快速正确的决定。 为勒索软件攻击做准备 众所周知，勒索软件对任何行业都是一种巨大威胁，其中医疗保健行业更是及其容易受到其破坏性影响。一个“瘫痪”的 IT 网络不仅仅意味着医疗机构数据或生产力出现问题，如果数据和设备一旦被长时间锁定，患者的生命可能会受到威胁。 基于此，“黑心”的网络犯罪分子期望医疗机构为尽快回复系统而屈服并立刻付款。另外，网络攻击者还会窃取大量的医疗数据，出售给暗网买家，获得额外利润。一个强大的电子邮件安全系统可能会阻止大多数恶意电子邮件，医疗组织应该对此做好详尽准备。一只具有管理检测和响应（MDR）能力的网络威胁搜索团队将有助于快速识别和阻止勒索软件，以减少其影响。 保护好扩展的物联网网络 支持物联网（IoT）的设备在帮助医疗服务提供商实现远程工作自动化和便利化方面发挥了巨大的作用。但是如果没有适当的监控和修补，这些连接的设备也可以为威胁行为体提供一条简单的攻击路径。 医院可能会在其设施中部署数百台设备，因此保持所有设备的更新和修补可能是一项非常耗费资源的任务。此外，许多医疗机构还需要努力适应更新重要设备所需的停机时间，自动化设备更新过程将更容易保护设备的安全。 医疗机构在购买医疗设备时应该审查，以确保它们具有关键的安全功能，并可用于维护和更新。 供应链风险 医疗卫生机构处于极其庞大复杂供应网络的中心，需要承接上下游的医疗材料、硬件和设施维护的供应商等。 这些供应商往往有很大程度的网络连接或数据访问，使其成为威胁攻击者黑进医疗机构网络的主要目标。如果一个被信任的托管或管理其数据的公司受到攻击，医疗机构也可能成为二次伤害者。 医疗机构可以通过审查所有第三方连接的安全级别，尽量减少供应链风险，通过公开的信息实现，如 DNS 服务器配置和向互联网开放的不安全端口（如MS-TERM-SERV、SMB等），而不需要侵入性网络扫描。 定期攻防演练 网络安全从来都不是一件简单的事情。即使有了正确的解决方案，员工也经过了良好的培训，流程也无懈可击，但最重要的是要不断测试防御并寻找改进方法。 定期漏洞扫描对于跟上不断变化的IT和网络威胁形势至关重要。应用程序和网络渗透测试将进一步利用经验丰富的安全人员的聪明才智，寻找可以发现和利用的漏洞。 大型医疗服务提供商（如医院）也可能考虑进行物理渗透测试，以确定其设施的IT基础设施是否容易受到入侵者的攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347376.html 封面来源于网络，如有侵权请联系删除

美国网络司令部于10月3日至14日实施了一项新的防御性网络空间行动。全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御战役活动，以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标，支持联合部队在全球的后勤和力量投送能力。 此项行动在美国防部各种网络执行，并与参与伙伴在全球范围内同时执行；以内部为重点，旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体，并改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调；旨在突出和增强与合作伙伴的互操作性，加强与合作伙伴共享信息和见解，从而提高美国国家网络、系统和行动的安全性和稳定性；旨在加强美国防部信息网络和其他支持系统的弹性，通过维护可靠和防御性网络来支持和改善联合部队以及盟友和合作伙伴的任务保证，确保美国网络司令部和合作伙伴在网络空间中保持持久优势。 奇安网情局编译有关情况，供读者参考。 美国网络司令部10月17日发布消息称，美国网络司令部于10月3日至14日实施了新的防御性网络空间行动。 美国网络司令部表示，“该行动旨在突出和增强网络司令部与合作伙伴的互操作性。通过提高与统一行动合作伙伴共享信息和见解的一致性，我们在应对恶意网络活动时提高了我们国家网络、系统和行动的安全性和稳定性。” 此项为期10天的行动以内部为重点，旨在搜索、识别和缓解可能影响网络安全的众所周知的恶意软件及相关变体。从众所周知的恶意软件或其变体开始，操作人员可以改进与作战司令部、跨机构、国际、行业和学术合作伙伴的流程和协调。如果发现威胁，操作人员将与所有合作伙伴共享见解。 美国网络司令部J-3行动副主管马修·帕拉迪斯表示，“在此框架下，该行动是一项旨在加强国防部信息网络（DODIN）和其他支持系统的弹性的持续活动。防御性网络空间行动通过维护可靠和防御性网络，从而支持和改善联合部队以及我们的盟友和合作伙伴的任务保证，帮助网络司令部履行其任务职责。” 该防御性行动在美国防部各种网络执行，并与参与伙伴在全球范围内同时执行。通过与合作伙伴共享信息和见解，美国网络司令部增强了防御能力。此举确保了美国网络司令部和合作伙伴在网络空间中保持持久优势。 全球网络防御行动是美国网络司令部领导的与合作伙伴的持久防御性战役活动，以寻找和识别恶意网络空间行为者通常在指定网络上使用的危害指标，支持联合部队在全球的后勤和力量投送能力。 转自 安全内参，原文链接：https://www.secrss.com/articles/48075 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙，该团伙利用一种欺诈性软件，在不使用物理钥匙的情况下盗窃车辆。 此次行动共逮捕包括软件开发者、转售商、汽车盗贼在内的31名犯罪嫌疑人。 据悉，该犯罪团伙以使用无钥匙进入和启动系统的汽车为目标，利用其无钥匙技术在不使用遥控钥匙的情况下打开车门，启动发动机，将汽车偷走。 法国国家宪兵队（FNG）网络空间指挥部查获了用于入侵汽车无钥匙技术的欺诈性软件域名。值得一提的是，在欧洲刑警组织发布的新闻稿中并未提及该网站的 URL 或其所在域名，也没有提供有关嫌疑人如何入侵无钥匙车辆的任何细节。 此次调查是由法国宪兵队网络犯罪中心(C3N)发起。自 2022 年 3 月以来，欧洲刑警组织一直在大力支持这一案件、期间不仅进行了大量情报信息分析并向所有受此犯罪影响的国家分享情报，还积极协调法国、拉脱维亚和西班牙国家当局之间的跨境抓捕。 此外，在抓捕行动当天，欧洲刑警组织还将一个流动办公室派往法国以协助法国当局采取调查措施。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347226.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 新的研究揭示了Microsoft 365中所谓的安全漏洞，由于使用了损坏的加密算法，该漏洞可能被利用来推断邮件内容。 芬兰网络安全公司WithSecure在上周发布的一份报告中表示：“[Office 365消息加密]消息是在不安全的电子密码本（ECB）操作模式下加密的。” Office 365邮件加密（OME）是一种安全机制，用于在组织内外的用户之间发送和接收加密的电子邮件，而不会透露任何有关通信本身的信息。 新披露的问题的影响是，获得加密电子邮件访问权限的流氓第三方可能能够破译这些消息，从而有效地破坏了机密性保护。 电子密码本是最简单的加密模式之一，其中每个消息块由密钥单独编码，这意味着相同的明文块将被转换为相同的密文块，因此不适合作为加密协议。 事实上，美国国家标准与技术研究院（NIST）今年早些时候指出，“欧洲央行模式独立加密明文块，无需随机化；因此，检查任何两个密文块可以揭示相应的明文块是否相等。” 也就是说，WithSecure发现的缺陷与单个消息本身的解密无关，而是依靠分析加密被盗邮件的的泄漏模式，然后对内容进行解码。 该公司表示：“拥有大型消息数据库的攻击者可以通过分析截获消息重复部分的相对位置来推断其内容（或部分内容）。” 这些发现加剧了人们的担忧，即以前泄露的加密信息可能会被解密并在未来用于攻击，这种威胁被称为“现在入侵，稍后解密”，这促使人们需要切换到抗量子算法。 就微软而言，OME是一个遗留系统，该公司建议客户使用名为Purview的数据管理平台，通过加密和访问控制来保护电子邮件和文档。 Redmond在其文档中指出:“尽管两个版本可以共存，但我们强烈建议您编辑使用规则操作的旧邮件流规则，应用上一个版本的OME以使用Microsoft权限消息加密。” WithSecure说：“由于微软没有修复此漏洞的计划，唯一的缓解措施是避免使用微软Office 365邮件加密。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

2022 年 7 月，sentinelone报道了8220 Gang，这是众多低技能犯罪软件团伙之一，通过已知漏洞和远程访问暴力强迫感染媒介感染云主机。报告表示8220 Gang已将其云服务僵尸网络扩展到全球约的30000台主机。最近几周，该组织轮换了其攻击基础设施，继续将受感染的主机纳入其僵尸网络中，并分发加密货币挖掘恶意软件。 8220 Gang的攻击速度与之前报告的一致。大多数活动受害者仍在操作过时或配置错误的Docker、Apache、WebLogic版本以及各种Log4J易受攻击的服务版本。 报告发现8220 Gang使用PureCrypter恶意软件即服务。目前，8220 Gang正在尝试新的装载机和矿工，同时尝试对公开服务进行传统开采。围绕8220 Gang活动的脚本、矿工和基础设施源于对已知工具的普遍重用，对工具和脆弱性的高层分析揭示了更广泛的非法活动。 8220 Gang仍在继续他们的僵尸网络扩散工作，转向新的基础设施。该小组继续使用相同的采矿代理服务器，防御者应调查到该目的地的任何持续流量。此外，随着对PureCrypter MaaS的实验，该组织显然试图改进其攻击手段。由于云基础设施和常见的公共可访问服务仍然易受到攻击，该报告预计8220 Gang将在未来继续发展。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1986/ 消息来源：sentinelone，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Hackernews 编译，转载请注明出处： 国际刑事警察组织，也被称为国际刑警组织，宣布逮捕75人，这是针对有组织网络犯罪集团“Black Axe”的全球协调行动的一部分。 该机构表示：“‘Black Axe和其他西非有组织犯罪集团已经发展了跨国网络，诈骗数百万受害者，同时将获得的利润用于奢侈的生活方式和其他犯罪活动中，从贩毒到性剥削。” 代号为“豺狼行动”的执法行动有阿根廷、澳大利亚、科特迪瓦、法国、德国、爱尔兰、意大利、马来西亚、尼日利亚、西班牙、南非、阿联酋、英国和美国的参与。 其中两名被指控的网络诈骗犯上个月底在南非被捕，据信他们策划了一系列欺诈计划，从受害者那里净赚了180万美元。 调查进一步导致49起财产搜查，查封了12000张SIM卡和其他奢侈品资产，包括住宅、三辆汽车和数万现金。它还截获了嫌疑人银行账户中的120万欧元。 国际刑警组织的Stephen Kavanagh说：“非法金融资金是跨国有组织犯罪的生命线，我们目睹了像Black Axe这样的组织如何将从网上金融诈骗中获得的资金转移到其他犯罪领域，如毒品和人口贩运。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，波多黎各大学（UPR）一学生 Iván Santell-Velázquez 因入侵多个女同学电子邮件和 Snapchat 账户盗取信息，被判 13 个月监禁。 7 月 13 日，Iván Santell-Velázquez承认了对 100 多名学生进行过网络犯罪。美国检察官穆尔德罗表示，该名学生主要采用网络钓鱼和欺骗计划窃取受害者信息，之后用”偷来“的”果体“照片骚扰了许多妇女，甚至还公布了一些照片。 值得一提的是，Iván Santell-Velázquez 除了针对几十个学生的电子邮件账户，还成功入侵了多个大学的电子邮件账户，并使用欺骗和网络钓鱼攻击等方式收集个人信息。 2019 年至 2021 年期间，Santell-Velázquez 入侵了几个女学生的 Snapchat 账户，并窃取了大量”果体“照片，随后将这些照片在与他人分享并上传到网上。 此外，他利用从一名受害者 Snapchat 账户中窃取的”果体“图片，对其她进行骚扰，甚至还在 Twitter 和 Facebook 上分享了受害者”果体“照片。 受害者名单中包括 15 名 UPR 女学生 Iván Santell-Velázquez 的认罪文件上显示，受害者名单包括了 15 名波多黎各大学的女学生。联邦调查局主管特工 Joseph González 强调，网络跟踪可能会对受害者产生及其重大的负面影响，受害者可能会产生自杀意念、恐惧、愤怒、抑郁，以及创伤后应激障碍等负面情绪。 最终，美国地区法院法官 Silvia Carreño Coll 以网络跟踪罪判处 Iván Santell-Velázquez 13 个月监禁。 其它类似案件 今年 6 月，一名加州男子入侵数千个苹果 iCloud 账户，最终因计算机欺诈罪被判监禁 8 年。在被抓获之前，该男子未经授权访问了数百个美国受害者的iCloud账户，并在云端和物理存储中窃取了 500 多名受害者信息，其中包含部分”果体“照片和视频。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/346999.html 封面来源于网络，如有侵权请联系删除

本周早些时候，The Register 报道了今夏了一起无人机袭击事件。然而受害的私人投资公司却对此保持沉默，仅同意根据保密协议与安全人员展开探讨。据说当时网络管理员发现公司的 Confluence 页面在局域网内表现出了奇怪的行为，而 Confluence 则是 Atlassian 开发的基于 Web 的远程写作软件。 报道称，安保人员在大楼顶层发现了两架无人机 —— 其一是经过改装的 DJI Matrice 600，其二是经过改装的 DJI Phantom —— 前者炸机但仍在运行，而后者实现了安全着陆。 后续调查发现，Matrice 600 无人机被加装了渗透套件，包含一台树莓派、GPD 迷你笔记本电脑、4G 调制解调器、Wi-Fi 设备、以及几块电池。 此外 Phantom 无人机则打包了 Hak5 开发的一套名为 Wi-Fi Pineapple 的网络渗透测试设备。 与该公司 IT 团队沟通的安全研究员 Greg Linares 表示，攻击者在数日前使用 Phantom 无人机 + Wi-Fi 渗透装置拦截了员工的凭据。 接着攻击者将窃取的信息编码到了 Matrice 无人机携带的穿透设备中，利用员工 MAC 地址和访问凭据、从屋顶侵入了公司的 Cnnfluence 页面。 可知其浏览了 Confluence 日志，试图窃取更多登录信息、以连接到公司内网的其它设备。庆幸的是，攻击者仅取得了有限的进展。 当管理员注意到受感染员工设备的 MAC 地址在本地和数英里外的远程地点登录时，立即意识到公司网络遭受了攻击。 在对 Wi-Fi 信号实施隔离后，安全团队带着福禄克测试仪追踪并定位了屋顶上的渗透设备。 Greg Linares 表示，这是他在近两年里看到的第三次基于无人机的网络攻击。 不过大家也无需惊慌，毕竟新案例得逞的前提，是受害企业启用了一套未妥善部署安全措施的临时网络。 而且就算是这套本就脆弱的网络，攻击者也蛰伏了数周时间来实施‘内部侦查’。 综上所述，该威胁行为者距离目标地点的物理距离肯定不太远，手头有足够预算、且知悉受害企业的物理安全限制。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327417.htm 封面来源于网络，如有侵权请联系删除

都什么年代了，还在用传统密码？10 月 12 日，谷歌宣布在 Android 和 Chrome 中正式推行密钥登录 “PassKey”，以逐步替代长期使用的密码登录 “PassWord”。 推出的密钥登录可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。 创建完毕后，这个密钥凭据可用于解锁所有在线帐户 —— 既可以解锁 Android 手机上的帐户，也可以解锁附近所有设备的帐户。是的，这个 FIDO 密匙登录功能由微软 / 苹果 / 谷歌联合出品，属于行业标准。因此它是跨平台的，包括 Windows、macOS 和 iOS 以及 ChromeOS。换而言之，你可以用 Android 手机的密钥凭据解锁上述所有系统的帐户和网站。 在谷歌的眼中，密码登录这种老旧的身份验证方法很容易被钓鱼或者盗号等方法影响，安全性不高。而密钥登录则大为不同，它不能重复使用，也不会泄露服务器漏洞，还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰，即使丢失了手机， FIDO 密钥也可以从云备份安全地同步到新手机。 不过，现在这个密钥登录功能还不完善，只是一个重要的里程碑，实现了两个关键功能： 用户可以在 Android 设备上创建和使用密钥，密钥通过 Google 密码管理器进行同步。 开发人员可以通过 WebAuthn API、Android 和其他支持的平台，使用 Chrome 在网站上为用户构建密钥支持。 如果要在网站上添加密钥登录功能，开发者需要注册 Google Play Services 测试版 ，并使用 Chrome Canary 版本。 密钥登录功能的下一个里程碑是原生的 Android 应用 API，原生 API 将为应用程序提供多种登录方式，用户可以选择密钥登录，或是使用已保存的密码登录。 转自 安全内参，原文链接：https://www.secrss.com/articles/47984 封面来源于网络，如有侵权请联系删除