美国及其盟友已将发动全球关键基础设施攻击的幕后黑手确定为俄罗斯黑客组织（被追踪为Cadet Blizzard和Ember Bear），其幕后黑手是俄罗斯武装部队总参谋部第 29155 部队（又称 GRU）。 在今天发布的联合咨询报告中，俄罗斯 GRU 军事情报黑客被描述为 GRU 第 161 专科训练中心的“初级现役 GRU 军官”，由经验丰富的29155部队领导层协调，他们因于 2022 年 1 月在乌克兰部署 WhisperGate 数据擦除恶意软件而闻名。 该组织自 2020 年以来一直在策划针对整个欧洲的破坏和暗杀行动以及针对北约成员国以及北美、欧洲、拉丁美洲和中亚国家关键基础设施部门的网络攻击，并从 2022 年初开始转而破坏对乌克兰的援助努力。 今年 4 月，《内部人》与《60 分钟》和《明镜周刊》联合发表了 一项调查报告，报告将 GRU 的 29155 部队与哈瓦那综合症事件联系起来。 “自 2020 年以来，29155 部队扩大了他们的间谍技术，包括攻击性网络行动。29155 部队网络行动者的目标似乎包括为间谍目的收集信息、因窃取和泄露敏感信息造成的声誉损害、以及因销毁数据造成的系统性破坏。”今天发布的联合咨询报告称，“这些人似乎通过进行网络行动和入侵获得了网络经验并提高了他们的技术技能。此外，FBI 评估称，29155 部队的网络参与者依赖非 GRU 参与者，包括已知的网络犯罪分子和推动者来开展他们的行动。” 美国联邦调查局称，它检测到了超过 14,000 次针对至少 26 个北约成员国和几个欧盟 (EU) 国家的域名扫描实例。与俄罗斯 29155 部队有关的黑客破坏了网站并使用公共域名泄露被盗数据。 美国国务院宣布通过“正义奖励”计划悬赏高达 1000 万美元，奖励提供有关弗拉基米尔·博罗夫科夫、丹尼斯·伊戈列维奇·丹尼先科、尤里·丹尼索夫、德米特里·尤里耶维奇·戈洛舒博夫和尼古拉·亚历山德罗维奇·柯察金的信息，这五名俄罗斯军事情报官员据信是 GRU 29155 部队的成员。 美国国务院表示：“这些人是俄罗斯总参谋部情报总局（GRU）第 29155 部队的成员，该部队针对美国关键基础设施，特别是能源、政府和航空航天领域进行了恶意网络活动。这些 29155 部队 GRU 军官负责袭击乌克兰和数十个西方盟国的关键基础设施。” 五名 GRU 军官和平民阿明·蒂莫维奇（Amin Timovich，因 WhisperGate 攻击于 6 月被起诉）今天还因参与俄罗斯 2022 年 2 月入侵之前针对乌克兰和 26 个北约成员国的网络攻击而被指控。 美国政府敦促关键基础设施组织立即采取行动，包括优先进行系统更新和修补已知漏洞，以防御这些与 GRU 相关的网络攻击。 其他建议包括网络分段以遏制恶意活动，并对所有外部服务（特别是网络邮件、虚拟专用网络（VPN）和有权访问关键系统的帐户）实施防网络钓鱼的多因素身份验证（MFA）。 2022 年 2 月，在使用WhisperGate 擦除恶意软件、HermeticWiper 恶意软件和勒索软件诱饵对乌克兰进行攻击后，CISA 和 FBI 警告称，破坏性的恶意软件网络攻击可能会蔓延到其他国家的目标。 本周三，美国政府查封了与俄罗斯有关的 Doppelgänger 影响力行动使用的 32 个网络域名，这些域名用于针对美国公众传播虚假信息和亲俄宣传。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8cdbsI4EQexbQD7ulMkpjg 封面来源于网络，如有侵权请联系删除。

据BleepingComputer消息，一款最初被设计为红队演练之用的工具MacroPack近来正被攻击者滥用并部署恶意负载 Havoc、Brute Ratel 和 PhatomCore ，所发现的恶意文档已涉及多个国家和地区。 MacroPack 是由法国开发人员 Emeric Nasi （dba BallisKit） 创建的专注于红队演习演练和对手模拟的专有工具，提供反恶意软件绕过、反逆技术、使用代码混淆构建各种文档有效负载、嵌入无法检测的 VB 脚本等多项高级功能。 Cisco Talos 的安全研究人员研究了来自美国、俄罗斯和巴基斯坦等国家和地区在 VirusTotal 上提交的恶意文档，这些文件的诱饵、复杂程度和感染载体各不相同，表明 MacroPack 正被多个攻击者滥用，已成为一种潜在的威胁趋势。 这些被捕获的野外样本都有在 MacroPack 上创建的痕迹，包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符（这些字符可将静态分析检测率降到最低）以及字符串编码。 当受害者打开这些恶意Office 文档时会触发第一级 VBA 代码，该代码会加载恶意 DLL，并连接到攻击者的命令和控制 (C2) 服务器。 攻击链 Cisco Talos 的报告了一些与MacroPack 滥用相关的重要恶意活动集群： 美国：2023 年 3 月上传的一份文件伪装成加密的 NMLS 更新表格，并使用马尔可夫链生成的函数名来逃避检测。 该文档包含多级 VBA 代码，在尝试通过 mshta.exe 下载未知有效载荷之前会检查沙盒环境。 装成加密的 NMLS 更新表格 俄罗斯：2024 年 7 月，一个俄罗斯 IP 上传的空白 Excel 工作簿提供了 PhantomCore，这是一个基于 Golang 的用于间谍活动的后门 。 该文件运行多级 VBA 代码，试图从远程 URL 下载后门。 巴基斯坦：从巴基斯坦各地上传了以巴基斯坦军事为主题的文件。 其中一份文件伪装成巴基斯坦空军的通知，另一份伪装成就业确认书，部署了 Brute Ratel 獾。 这些文件通过 HTTPS DNS 和亚马逊 CloudFront 进行通信，其中一个文档嵌入了 base64 编码的 blob 以用于 Adobe Experience Cloud 跟踪。   转自FreeBuf，原文链接：https://www.freebuf.com/news/410268.html 封面来源于网络，如有侵权请联系删除。

为加固互联网路由安全的薄弱环节，美国国家网络安全办公室（ONCD）近日发布了一个提升互联网路由安全的路线图，主要针对边界网关协议（BGP）相关漏洞进行改进。BGP作为全球互联网的基础协议，负责全球超过7万个独立网络间的流量管理，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。 推动RPKI成为全球标准 ONCD路线图中提出了广泛采用资源公钥基础设施（RPKI）的建议。RPKI是由IETF制定的标准框架，能够通过防止路由劫持、路由泄漏和IP资源劫持等手段来提升安全性。通过实施RPKI，互联网服务提供商（ISP）和运营自己的路由网络的企业可以确保BGP公告和路由更新的合法性和安全性，避免数据传输中断或被恶意篡改。国家网络安全办公室呼吁所有网络类型的运营商，包括ISP、企业网络和拥有自己IP资源的组织，尽快采用RPKI标准。特别是对于关键基础设施的运营商、州和地方政府，以及依赖互联网进行“高价值”任务的组织，BGP的安全尤为重要。 白宫国家网络安全主任Harry Coker Jr.在发布报告时表示：“互联网安全事关重大，联邦政府将率先推动BGP安全措施的快速普及。” 除了发布报告，ONCD还设立了公私合作的利益相关者工作组，并共同主持了互联网路由安全工作组。该工作组将制定框架，帮助网络运营商评估风险，优先处理关键的IP地址资源和路由源。 BGP漏洞的安全风险 BGP作为全球互联网的基础协议，广泛应用于ISP、云服务提供商、政府机构、大学和能源供应商等。然而，ONCD指出，BGP的设计缺乏现代互联网所需的安全措施，这使得网络流量可能被意外或恶意重定向，导致关键基础设施面临风险，并可能为间谍活动、数据盗窃和安全漏洞提供掩护。互联网基础设施提供商Cloudflare指出，全球只有约一半的网络采用了RPKI。过去几年，曾发生过多起重大BGP安全事件，例如： 2021年4月：全球性BGP泄漏事件。这次BGP路由泄漏导致全球数千个网络受到影响。事件的起因是一个错误的BGP路由配置，导致原本不应该被广告的路由被传播到全球，影响了多个国家的互联网连接(。 2022年8月：加密货币服务Celer Bridge的BGP劫持。黑客通过伪造的BGP公告成功劫持了Celer Bridge的加密货币交易，重定向资金到攻击者的账户。此次事件通过更改AltDB数据库的内容欺骗了传输提供商，使攻击者得以冒充亚马逊网络服务（AWS）来进行劫持。 2008年：YouTube被封锁事件。巴基斯坦电信公司（PTCL）通过BGP劫持全球范围内的YouTube流量，试图在国内封锁该服务。虽然该举动本应仅影响巴基斯坦境内的访问，但错误的路由公告传播到了全球，导致YouTube在全世界范围内下线。 这些事件凸显了BGP的脆弱性，无论是有意的攻击还是无意的配置错误，都会导致全球互联网服务中断和安全隐患。 专家们认为，全球互联网路由依赖信任而非安全是不可持续的。 Team8风投集团的首席技术官Eidan Siniver指出：“企业经常在全球站点之间传输敏感数据，而被劫持的路由将带来重大安全风险。网络运营商应当广泛采用RPKI等框架，优先考虑安全而非信任，建立可靠的标准。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/E1rEsgB3GJkByIb5fARVKw 封面来源于网络，如有侵权请联系删除。

东南亚地区遭勒索攻击频率显著增多 根据趋势科技的遥测数据，东南亚的公司和政府机构，尤其是泰国、日本、韩国、新加坡和印度尼西亚，遭遇了显著增加的攻击频率，这一增速已超过欧洲国家。例如，今年6月，一个名为Brain Cipher的团伙对印度尼西亚的160多家政府机构发动了勒索软件攻击。随着该地区经济的发展，类似的重大事件可能会进一步增加。 趋势科技威胁研究高级经理Ryan Flores表示，亚洲的许多公司和组织在急于实现基础设施数字化的过程中，往往以牺牲安全为代价。 他说：“该地区正在积极推进多项数字化计划，政府也在支持和鼓励在线服务与支付的普及。由于这些基础设施和服务的快速推进，安全往往被降级为次要任务，主要目标是尽快将服务或平台推向市场。” 亚太地区的公司和组织已遭受严重的网络攻击，这也印证了威胁团体已将目光聚焦于该地区。今年3月，越南一家主要的经纪公司遭遇了勒索软件攻击，关键数据被加密，被迫关闭证券交易长达8天。同月，日本官员指责朝鲜黑客在Python包索引（PyPI）服务中植入了恶意代码，该代码可以在受害者的计算机上安装勒索软件。 虽然超过四分之三的勒索软件攻击仍然针对北美和欧洲的组织，但其他地区，特别是亚洲受到成功网络攻击的比例已经迅速上升。根据网络安全咨询服务公司Comparitech的数据，2023年，亚洲公开报道的勒索软件攻击数量增长了85%。 其他威胁追踪者也证实了这一趋势。根据终端安全公司Sophos发布的《2024年勒索软件状况》报告，印度和新加坡都位列受攻击最多的六个国家之中。 亚太地区成为勒索软件的温床 勒索软件团伙正在瞄准亚太地区最关键且最脆弱的工业部门。根据Comparitech从公开报告中整理的数据，针对制造业的攻击显著增加。2023年，已确认的针对制造业的勒索软件事件有21起，其次是政府部门的16起和医疗保健部门的11起。 造成这一局面的主要原因之一是，许多国家没有实施数据泄露通知法，这导致大量泄露事件未被报告，也使得亚洲对网络安全的关注度不足。Comparitech的数据研究负责人Rebecca Moody指出，加密货币在许多亚洲国家的流行也使得公司更容易支付赎金。 她说：“在许多情况下，确认发生攻击的唯一方式是系统中断或网站瘫痪……如果设法让系统在无人察觉的情况下重新上线……那么这些攻击就可以轻松掩盖过去。” 勒索软件与网络犯罪欺诈在亚太地区十分猖獗。朝鲜团伙利用勒索软件、加密劫持攻击等手段，从全球经济中榨取资金，并进行间谍活动。一些亚洲国家的犯罪集团在柬埔寨、老挝和缅甸运营大型欺诈中心——这些实际上是强迫劳动营地——进行大规模、批量化的网恋骗局和“杀猪盘”诈骗，每年非法获利数百亿美元。 低成本，高回报 归根结底，勒索软件攻击的增加可能与犯罪团伙专注于某类受害者无关，而更多地与潜在受害者的增加有关。这是因为公司在进行数字化转型时，未能同步更新安全措施。趋势科技的Flores表示，该地区的网络安全生态系统相对不成熟，再加上地区紧张局势日益加剧，这更可能是攻击增加的原因，而非犯罪团伙专注于某类受害者。 他说：“勒索软件团伙和一般的网络犯罪分子都是机会主义者，所以我认为他们不会真正专注于某个地区。他们关注的是如何以最小的成本获取最大的回报。因此，如果有脆弱、开放或配置错误的基础设施，无论位于亚洲、欧洲还是非洲，都将成为他们的攻击目标。” 亚太地区各国政府已经开始更新法规以提高安全性。今年5月，新加坡更新了《网络安全法》，以应对关键基础设施部门对使用云服务的第三方的依赖，而马来西亚在4月通过了一项法律，要求网络安全服务提供商必须获得许可才能在该国开展业务，尽管法律细节尚未敲定。 NCC集团全球战略威胁情报负责人Matt Hull表示，亚太地区的公司应重点做好基础防护工作，实施基本的防御措施。 他说：“各组织必须优先进行定期的补丁管理，以关闭已知漏洞，实施强密码策略，以防止轻易被利用，并实施多因素认证（MFA），在密码之外增加额外的安全层。此外，建立强大的检测和监控系统，以便迅速识别和应对潜在威胁，也是至关重要的。”   转自安全内参，原文链接：https://mp.weixin.qq.com/s/qUkATZpIayAqggqTs8qV9A 封面来源于网络，如有侵权请联系删除。

针对 Windows 内核中一个关键的0day特权提升漏洞的概念验证 (PoC) 代码已公开发布。该漏洞编号为CVE-2024-38106 ，是Microsoft 在 2024 年 8 月补丁日更新中修补的几个0day漏洞之一。 CVE-2024-38106 是 Windows 内核中的一个竞争条件漏洞，可能允许本地攻击者获得系统权限。该问题的 CVSS 评分为 7.0，微软的可利用性评估将其标记为“更有可能被利用”。 一位匿名研究人员向微软报告了该漏洞，其细节一直保密，直到周末在 GitHub 上公开发布了 PoC 漏洞利用程序。 PoC 演示了如何触发竞争条件来破坏内核内存并以提升的权限实现任意代码执行。 PixiePoint Security 研究人员对微软 CVE-2024-38106 补丁进行了分析，揭示了根本原因。此漏洞是由于对函数VslpEnterIumSecureMode()中的调用进行了不正确的锁定而造成的。 微软的修复通过使用VslpLockPagesForTransfer()和实现了正确的锁定VslpUnlockPagesForTransfer()来防止竞争条件。 由于 PoC 漏洞已公开可用，因此组织必须尽快应用安全更新。 唯一完整的缓解措施是安装包含CVE-2024-38106修复程序的安全更新。微软在 2024 年 8 月补丁更新中解决了该漏洞，并敦促所有客户立即应用补丁。 Windows 11 和 Windows Server 2022 以及一些仍受支持的旧版 Windows 均受到影响。目前尚无关于野外主动利用漏洞的报告，但公开的 PoC 大大增加了这种变化的可能性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/u0aj6_e80WIqdRpZr1gCcw 封面来源于网络，如有侵权请联系删除。

软件供应链安全公司 JFrog 将攻击代号命名为 Revival Hijack，该公司表示，这种攻击方法可用于劫持 22,000 个现有的 PyPI 软件包，并导致“数十万”次恶意软件包下载。 这些易受攻击的软件包下载量超过 100,000 次，或已活跃超过六个月。 JFrog 安全研究人员 Andrey Polkovnychenko 和 Brian Moussalli 在一份报告中表示：“这种攻击技术涉及劫持 PyPI 软件包，通过操纵在原始所有者从 PyPI 索引中删除它们后重新注册的选项。” 这次攻击的本质是，PyPI 存储库中发布的几个 Python 包被删除，使得任何其他用户都可以重新注册它们。 JFrog 分享的统计数据显示，平均每月有大约 309 个软件包被删除。这种情况可能出于多种原因：缺乏维护（即废弃软件）、软件包以不同的名称重新发布，或者将相同的功能引入官方库或内置 API。 这也构成了一个比域名抢注更有效的有利可图的攻击面，攻击者可以利用自己的帐户发布同名且更高版本的恶意软件包，以感染开发者环境。 研究人员表示：“该技术并不依赖于受害者在安装软件包时犯的错误。”他们指出，从对手的角度来看，Revival Hijack 可以产生更好的效果。“许多用户认为将‘曾经安全’的软件包更新到最新版本是一种安全的操作。” 虽然 PyPI 确实有针对作者冒充和域名抢注的安全措施，但 JFrog 的分析发现，运行“ pip list –outdated ”命令会将假冒软件包列为原始软件包的新版本，其中前者对应于完全不同作者的不同软件包。 更令人担忧的是，运行“ pip install –upgrade ”命令会将实际软件包替换为虚假软件包，并且不会发出软件包作者已更改的警告，这可能会使不知情的开发人员面临巨大的软件供应链风险。 JFrog 表示，它已采取措施创建一个名为“ security_holding ” 的新 PyPI 用户帐户，用于安全地劫持易受攻击的软件包并将其替换为空的占位符，以防止恶意攻击者利用被删除的软件包。 此外，每个软件包都被分配了版本号 0.0.0.1 – 与依赖混淆攻击场景相反- 以避免在运行 pip 升级命令时被开发人员拉取。 令人不安的是，Revival Hijack 已经在野外遭到利用，一个名为 Jinnis 的未知攻击者于 2024 年 3 月 30 日引入了一个名为“ pingdomv3 ”的软件包的良性版本，同一天，原始所有者 (cheneyyan) 从 PyPI 中删除了该软件包。 据称，2024 年 4 月 12 日，新开发人员发布了一个更新，其中包含一个 Base64 编码的有效负载，该有效负载检查“ JENKINS_URL ”环境变量是否存在，如果存在，则执行从远程服务器检索的未知的下一阶段模块。 JFrog 表示：“这表明攻击者要么延迟了攻击的发起，要么将其设计得更具针对性，可能将其限制在特定的 IP 范围内。” 此次新攻击表明，攻击者正着眼于更大范围的供应链攻击，目标是已删除的 PyPI 软件包，以扩大攻击范围。建议组织和开发人员检查其 DevOps 管道，以确保他们没有安装已从存储库中删除的软件包。 JFrog 安全研究团队负责人 Moussalli 表示：“处理已删除软件包时使用易受攻击的行为允许攻击者劫持现有软件包，从而可以在不改变用户工作流程的情况下将其安装到目标系统中。PyPI 软件包的攻击面不断扩大。尽管采取了主动干预措施，但用户仍应始终保持警惕并采取必要的预防措施，以保护自己和 PyPI 社区免受这种劫持技术的侵害。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TL8lRRm4dYtBlATpySYsCQ 封面来源于网络，如有侵权请联系删除。

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞，该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261，CVSS v3 得分为 9.8，是一个输入验证故障，由用户提供的数据处理不当引起，允许远程攻击者在主机操作系统上执行任意命令。 Zyxel 警告称某些 AP 和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。 受 CVE-2024-7261 影响的 Zyxel 接入点 (AP) 如下： NWA 系列： NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX、NWA220AX-6E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ABYW.2) 及更高版本、NWA1123-AC PRO | 6.28 之前的所有版本易受攻击，请升级至 6.28(ABHD.3) 及更高版本、NWA1123ACv3、WAC500、WAC500H | 6.70 之前的所有版本易受攻击，请升级至 6.70(ABVT.5) 及更高版本。 WAC 系列： WAC6103D-I、WAC6502D-S、WAC6503D-S、WAC6552D-S、WAC6553D-E | 6.28 之前的所有版本易受攻击，请升级至 6.28(AAXH.3) 及更高版本。 WAX 系列： WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S、WAX655E | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACHF.2) 及更高版本。 WBE 系列： WBE530、WBE660S | 7.00 之前的所有版本都存在漏洞，请升级至 7.00(ACLE.2) 及更高版本。 Zyxel 表示，运行 V2.00(ACIP.2)的安全路由器 USG LITE 60AX 也受影响，但该型号已通过云自动更新到 V2.00(ACIP.3)，其中实施了 CVE-2024-7261 的修补程序。 更多 Zyxel 修复 Zyxel 还针对 APT 和 USG FLEX 防火墙中的多个高严重性缺陷发布了安全更新。摘要如下： CVE-2024-6343：CGI 程序中的缓冲区溢出可能导致通过身份验证的管理员发送伪造的 HTTP 请求，从而导致 DoS。 CVE-2024-7203：验证后命令注入允许通过伪造的 CLI 命令执行操作系统命令。 CVE-2024-42057：在 IPSec VPN 中的指令注入，允許未認證的攻擊者在「使用者為本-PSK」模式下，利用偽造的長使用者名稱執行作業系統指令。 CVE-2024-42058：取消引用空指针可通过未认证攻击者发送的伪造数据包导致 DoS。 CVE-2024-42059：身份验证后命令注入允许身份验证的管理员通过 FTP 上传伪造的压缩语言文件执行操作系统命令。 CVE-2024-42060： 認證後指令注入漏洞，令已認證的管理員可透過上載精心製作的內部使用者協議檔案，執行作業系統指令。 CVE-2024-42061：dynamic_script.cgi “中的反射 XSS 允许攻击者诱骗用户访问伪造的 URL，从而可能泄漏基于浏览器的信息。 上述漏洞中 CVE-2024-42057 值得特别关注 ，它是 IPSec VPN 功能中的命令注入漏洞，无需验证即可被远程利用。 利用漏洞所需的特定配置要求会降低其严重性，包括在基于用户的 PSK 身份验证模式下配置设备，以及用户的用户用户名长度超过 28 个字符。 有关其他受影响的防火墙更多详细信息，可具体查看 Zyxel 公告。   转自Freebuf，原文链接：https://www.freebuf.com/news/410154.html 封面来源于网络，如有侵权请联系删除。

据Cyber News消息，荷兰数据保护局 （Dutch DPA）  已向美国人工智能公司Clearview AI 开出 3050 万欧元（3370 万美元）巨额罚款，并对其服务下达了使用禁令。 Clearview AI 是一家总部位于美国纽约的面部识别公司，为执法部门、政府机构和其他组织提供面部识别服务，能够根据视觉输入查找特定人员的身份。 当局认为，该公司建立了一个非法数据库，其中包含300亿张面部照片，包括许多荷兰人的照片。因此，Clearview AI会自动从互联网上抓取这些照片，然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不不知道这一点，也未对这一行为进行授权。 荷兰数据保护局主席亚历德-沃尔夫森（Aleid Wolfsen） 称，Clearview AI 为欧盟以外的实体提供服务，而人脸识别等侵入性技术的使用应受到明确监管。例如警方必须在严格的条件下、在荷兰 DPA 和其他监管机构的监督下自行管理软件和数据库。 当局也向 Clearview AI的客户发出警告，由于该公司违反了法律，使用其服务也会成为非法行为，若继续使用将面临被罚款的风险。 根据荷兰数据保护局解释的法律规则，Clearview AI 根本就不应该建立包含照片、唯一生物识别代码和其他相关信息的数据库，与指纹一样，这些都是生物识别数据，收集和使用这些数据是被禁止的行为。虽然这项禁令有一些法定的例外情况，但 Clearview 不符合依赖这些例外情况。 沃尔夫森表示，Clearview AI 拒绝配合披露其 “非法 “数据库中包括哪些类型的个人数据，这样一家公司不能继续侵犯欧洲人的权利，也不能逍遥法外。 我们现在要调查是否可以追究公司管理层的个人责任，并对他们的违规行为处以罚款。 如果董事会知道有人违反了 GDPR，他们就有权阻止这种行为，否则，如果有意识地接受了这些违法行为，那么董事会就将承担相应责任。 多年来，Clearview AI已在欧洲面临了多次违法纠纷，法国、奥地利、意大利、希腊和英国的监管机构指控该公司使用“自动数据爬虫”。2022 年 10 月，法国对 Clearview 处以 2000 万欧元的罚款。2023年11月，Clearview AI 赢得了针对英国隐私监管机构的诉讼，并推翻了对该公司的另一项巨额罚款。   转自Freebuf，原文链接：https://www.freebuf.com/news/410169.html 封面来源于网络，如有侵权请联系删除。

德国空中交通管制机构确认遭受网络攻击 负责国家空中交通管制的德国国有公司德国航空安全公司 (Deutsche Flugsicherung) 已确认遭受网络攻击。 此次攻击的性质尚不清楚。一名新闻官周一告诉 Recorded Future News，此次事件影响了公司的管理 IT 基础设施。 该发言人表示：“是否可以访问、以及可以访问哪些数据仍在调查中”，并补充说该国安全部门已获悉此事。 他们强调，德国的飞行安全“有充分的保障”，空中交通管制作业未受到影响。 德国联邦信息安全局（BSI）正在处理该事件。 据巴伐利亚广播公司报道，该事件怀疑是由俄罗斯军事情报机构 GRU 旗下的威胁行为者 APT28 引发的。 BSI 的一位发言人表示，该机构正在为受影响的人提供支持，并正在与其他部门密切对话。他们拒绝就事件的更多细节发表评论。 英国伦敦交通局披露正在发生的“网络安全事件” 伦敦交通局 (TfL) 是该市的交通管理部门，目前正在调查一起正在进行的网络攻击，但尚未影响其服务。 该机构表示，目前没有证据表明客户信息在该事件中遭到泄露。 伦敦交通局的客户信息团队早些时候通过电子邮件和今天在网上发布的声明中警告客户：“我们目前正在处理一起正在发生的网络安全事件。目前，没有证据表明任何客户数据遭到泄露，并且这对交通局的服务也没有影响。” 伦敦交通局还向相关政府机构（包括国家犯罪局和国家网络安全中心）报告了此次攻击，并与他们密切合作，以应对并控制事件的影响。 该机构补充道：“我们的系统和客户数据的安全对我们来说非常重要，我们已立即采取行动，防止任何人进一步访问我们的系统。” 伦敦交通局首席技术官沙希·维尔马 (Shashi Verma) 在给 BBC 的一份声明中表示：“我们已经对内部系统采取了一系列措施，以应对正在发生的网络安全事件。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/7x05ZPJhFlbWEHmI2RxHcA 封面来源于网络，如有侵权请联系删除

一个名为Head Mare 的黑客组织涉嫌发动网络攻击，攻击对象主要是俄罗斯和白俄罗斯目标。 卡巴斯基在周一对该组织的策略和工具的分析中表示：“Head Mare 使用更为先进的方法来获取初始访问权限。例如，攻击者利用了 WinRAR 中相对较新的CVE-2023-38831漏洞，该漏洞允许攻击者通过特制的存档在系统上执行任意代码。这种方法使该组织能够更有效地传递和伪装恶意负载。” Head Mare 自 2023 年起活跃，是一年前开始的俄乌冲突背景下攻击俄罗斯组织的黑客组织之一。 它还在 X 上存在，并在那里泄露受害者的敏感信息和内部文件。该组织的攻击目标包括政府、交通、能源、制造业和环境部门。 与其他可能以对两国公司造成“最大程度损害”为目标的黑客活动分子不同，Head Mare 还使用 LockBit （Windows版本）和 Babuk （Linux版本）加密受害者的设备，并索要解密赎金。 其工具包还包括PhantomDL 和 PhantomCore，前者是一个基于 Go 的后门，能够提供额外的有效载荷并将感兴趣的文件上传到命令和控制 (C2) 服务器。 PhantomCore（又名 PhantomRAT）是 PhantomDL 的前身，是一种具有类似功能的远程访问木马，允许从 C2 服务器下载文件、将文件从受感染主机上传到 C2 服务器，以及在 cmd.exe 命令行解释器中执行命令。 “攻击者创建名为 MicrosoftUpdateCore 和 MicrosoftUpdateCoree 的计划任务和注册表值，将其活动伪装成与微软软件相关的任务。”卡巴斯基表示，“我们还发现该组织使用的某些 LockBit 样本具有以下名称：OneDrive.exe [和] VLC.exe。这些样本位于 C:\ProgramData 目录中，伪装成合法的 OneDrive 和 VLC 应用程序。” 我们发现，这两种文件都是通过网络钓鱼活动以具有双扩展名的商业文档的形式进行分发的（例如，решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe 或 тз на разработку.pdf.exe）。 其攻击武器库的另一个关键组成部分是Sliver，这是一个开源 C2 框架，以及各种公开可用的工具的集合，例如 rsockstun、ngrok 和 Mimikatz，用于促进发现、横向移动和凭证收集。 入侵最终会根据目标环境部署 LockBit 或 Babuk，然后留下一封勒索信，要求用户付款以换取解密器来解锁文件。 这家俄罗斯网络安全供应商表示：“Head Mare 组织所使用的策略、方法、程序和工具与俄乌冲突背景下针对俄罗斯和白俄罗斯目标进行攻击的其他组织类似。该组织的特点是使用 PhantomDL 和 PhantomCore 等定制恶意软件，以及利用相对较新的漏洞 CVE-2023-38831，在网络钓鱼活动中渗透到受害者的基础设施中。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_8z5DsDXY8XnKHJfxf7fCw 封面来源于网络，如有侵权请联系删除