近日，网络安全公司 Censys 发现超过 38 万台主机仍在引用 polyfill.io 恶意域。 在接到多起恶意活动报告后，polyfill.io 域名被暂停。Polyfill.io 域曾用于托管 JavaScript 代码，为不支持某些网络标准的旧版浏览器添加现代功能。 根据报告，该域名被用于将嵌入 polyfill.io 代码的网站的访问者重定向到博彩和成人网站。专家估计，超过 10 万个网站受到影响。 截至 2024 年 7 月 2 日，Censys 检测到 384773 台主机在其 HTTP 响应中包含对 “https://cdn.polyfill[.]io “或 “https://cdn.polyfill[.]com “的引用。其中约 237700 台主机主要集中在德国的 Hetzner 网络 (AS24940)。Hetzner 是一种流行的虚拟主机服务，许多网站开发人员都会利用它。 这些主机包括与 Hulu、梅赛德斯-奔驰（Mercedes-Benz）和 WarnerBros 等主要平台相关的网站。专家敦促网站所有者从其代码库中删除对 polyfill.io 及其相关域的任何引用，以防万一。 另外，Censys 还注意到，有 182 台受影响的主机是使用 polyfill.io 脚本的政府网站（”.gov”）。专家们强调，这次供应链攻击产生了广泛的影响。 对此，Cloudflare 和 Fastly 为用户创建了替代的安全 polyfill 端点以减轻威胁，同时防止网站被攻破。Censys 观察到 216504 台主机引用了其中一个替代 polyfill 端点： “polyfill-fastly.io “或 “cdnjs.cloudflare.com/polyfill”，较 6 月 28 日观察到的 80312 台主机有所增加。 Censys 还在一个论坛上发现了一名开发者发布的帖子，该帖子警告说，cdn.bootcss.com 上有一个与 polyfill.io 类似的恶意 JavaScript 文件，会根据地理位置对用户进行重定向。专家们发现有 160 万台面向公众的主机引用了这些域名，其中 bootcss.com 涉及恶意活动。 报告总结道，他们在 Censys Search 中挖掘任何引用其他可疑域名的暴露主机时，观察到总共有 1637160 个面向公众的主机链接到了其中一个域。”到目前为止，这个域名（bootcss.com）是唯一一个显示出潜在恶意迹象的域名，其他相关端点的性质尚不清楚。不过，考虑到对 polyfill.io 攻击负责的同一恶意行为者将来可能利用这些其他域名进行类似活动的可能性，也并非完全不合理。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405435.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，一家未具名的韩国企业资源规划（ERP）供应商服务器被发现遭到入侵，从而传播了一个名为Xctdoor的基于Go的后门程序。 AhnLab安全情报中心（ASEC）于2024年5月发现了这一攻击，指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式，利用ERP解决方案传播HotCroissant等恶意软件。 在ASEC最近分析的事件中，攻击者通过可执行文件被篡改，使用regsvr32.exe进程从特定路径执行一个DLL文件，该文件能够窃取系统信息，包括击键、屏幕截图和剪贴板内容，并执行攻击者发出的命令。 ASEC 表示，Xctdoor 使用 HTTP 协议与命令与控制服务器通信，而数据包加密则采用MT19937算法和 Base64 算法。 攻击中还使用了一个名为 XcLoader 的恶意软件，这是一个注入器恶意软件，负责将 Xctdoor 注入合法进程（如 “explorer.exe”）。 ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门，该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件，文件包含一个混淆的JavaScript或dropper，通过regsvr32.exe执行DLL文件，执行时会创建并运行HappyDoor和一个诱饵文件。 HappyDoor可通过Http与远程服务器通信，便于窃取信息、下载/上传文件，以及更新和终止自身活动。 安全研究员伊丹-塔拉布（Idan Tarab）表示，这也是继Konni网络间谍组织（又名Opal Sleet、Osmium或TA406）之后又一起针对韩国策划的 “大规模 “恶意软件传播活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405396.html 封面来源于网络，如有侵权请联系删除

南非国家卫生实验室服务局（NHLS）是由政府运营的医疗检测实验室网络，该机构在从勒索软件攻击中恢复的过程中继续奋战，勒索软件攻击破坏了系统并删除了备份。 6 月 22 日，勒索软件曾针对 NHLS 信息基础设施中的特定薄弱环节发动攻击，有效阻断了实验室信息系统与其他医疗数据库之间的通信，导致各公共卫生机构的实验室检测工作出现延误。 该机构在此前发表的一份声明中提到，所有实验室 “目前已完全正常运转，正在接收和处理临床样本”，但全国各地的医生已无法通过在线门户网站获取检测结果。 市场情报公司 IDC 中东和非洲部 IT 安全与软件高级研究分析师 Yotasha Thaver 称，由于 5 月份爆发了天花疫情，南非医疗系统的压力正经历前所未有的难关。 Yotasha Thaver 表示，事实上在此之前，公立医院和诊所就已经不堪重负，人手不足。此次遭遇勒索软件攻击格外糟糕，这使得实验室的检测工作将面临更大的压力。可能导致公共卫生机构实验室检测的处理时间有所延迟。 根据网络安全公司 Group-IB 的数据显示，针对医疗行业的勒索软件攻击已在全球范围内兴起，仅一年时间就翻了一番多。据统计，2023 年有 358 家机构遭受攻击。Group-IB 中东和非洲威胁情报主管 Ivan Pisarev 表示，2023 年非洲勒索软件攻击年增长率为 62%。 他说：勒索软件是目前最普遍的威胁之一，也肯定是所有组织和国家面临的最大威胁之一，只有极少数例外。 勒索软件攻击可能间接导致死亡率增加 如今，网络犯罪分子格外关注医疗机构，经常将其作为攻击目标，这无疑给全国的病人护理带来了巨大风险。 根据美国网络安全和基础设施安全局（CISA）进行的冠状病毒大流行后分析，勒索软件会导致运行中断，从而增加受影响医疗系统的压力，并可能导致原本可以康复的患者死亡。 论文指出：受影响系统的医院有可能在攻击发生后的很长一段时间内出现应激反应。这支持了对网络攻击对医院能力下降的长期影响的评估，意味着以超额死亡人数衡量的健康结果恶化。 2023 年针对医疗机构的勒索软件攻击呈上升趋势 来源：美国国家情报总监办公室 美国国家情报总监办公室 IDC 的 Thaver 说，由于南非的医疗保健系统已经不堪重负，该国可能会受到更大的影响。攻击导致病人和医生获得检测结果所需的时间增加，这可能会导致感染病例进一步增加。由于南非是一个贫困率很高的发展中国家，很多人买不起医疗保险，只能依靠公共卫生服务。 勒索软件在南非被列为五大威胁之一 泛非管理服务提供商 Liquid C2 负责网络安全的常务董事 Ignus De Villiers 说，攻击者通常利用的漏洞包括未打补丁的系统、被盗的凭证和网络钓鱼攻击，因此需要多层次的防御方法。 在当今日益数字化的环境中，企业必须做好准备，确保制定有效且经过测试的事件响应计划，并得到第三方专家的协助。攻击有时有针对性，有时没有针对性，但它们广泛传播，对大、中、小型企业同样具有破坏性，而且对网络犯罪分子来说，它们总是具有金钱价值。 Thaver 称，勒索软件在南非被列为五大威胁之一，政府应尽早介入，并通过要求严格合规和明确定义网络安全路线图来帮助公司、教育机构和小型机构。   转自FreeBuf，原文链接：https://www.freebuf.com/news/405387.html 封面来源于网络，如有侵权请联系删除

Polyfill供应链攻击事件曝光已经过去一周，但仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站，其中不乏财富500强和政府网站。 2024年6月25日，Sansec安全研究团队披露了一起严重的网络安全事件：知名的Polyfill开源库的CDN分发站点polyfill.io（以及GitHub账户）自今年2月卖给了一家中国企业之后，开始嵌入恶意程序，以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站。Sansec估计，超过10万个网站受到了这次攻击的影响，包括很多知名上市公司。Polyfill函数库的功能是在旧版浏览器中补充或模拟现代浏览器所支持的功能，当旧版浏览器用户所访问的网站具备现代化浏览器所支持的新功能时，网站即可导入该函数库来实现相同的功能。 Sansec的报告发布两天后，业界纷纷采取措施缓解Polyfill.io的风险：域名注册商 Namecheap暂停了域名（Polyfill.io），此举有效地阻止了恶意代码在访客设备上运行。随后，Cloudflare等CDN服务商也开始自动将polyfill.io的链接替换为安全镜像站点的域名。谷歌则屏蔽了嵌入Polyfill.io域名的网站广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。Polyfill.io的原始创建者 Andrew Betts也敦促网站所有者立即删除指向该库的链接。 Sansec建议不再需要Polyfill函数库的网站应该立刻移除polyfill.io，或是改用由Fastly或Cloudflare所提供的Polyfill方案。 虽然业界集体行动暂时缓解了polyfill供应链攻击威胁，但是，据安全公司Censys的最新报告，截至本周二，仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关，包括： 华纳兄弟（www.warnerbros.com） Hulu（www.hulu.com） 梅赛德斯-奔驰（shop.mercedes-benz.com） 培生（digital-library-qa.pearson.com、digital-library-stg.pearson.com） ns-static-assets.s3.amazonaws.com amazonaws.com是仍链接到polyfill站点的网站中最常用的域名，这表明亚马逊S3静态网站托管的用户广泛使用polyfill恶意域名。 Censys还发现182个以.gov结尾的域名，可能属于政府实体。其中一个域名 feedthefuture[.]gov隶属于美国联邦政府。 上述调查结果再次证明了软件供应链攻击的巨大杀伤半径，同时也意味着危险并未真正解除，因为polyfill恶意网站域名一旦“复活”或者被跳转到其他恶意站点，这个定时炸弹随时有可能再次被引爆。 值得警惕的是，Censys扫描互联网还发现，有超过160万个网站链接到一个或多个由拥有polyfill.io的同一公司实体注册的域名。至少有一个网站bootcss[.]com在2023年6月被发现执行了与polyfill类似的恶意操作。该域名以及其他三个域名（bootcdn[.]net、staticfile[.]net和staticfile[.]org）还被发现泄露了用户用于访问Cloudflare提供的编程接口的身份验证密钥。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/aqOw6LtpiCsDxAoAJbcaKg 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对以色列各实体的攻击活动，该攻击使用了 Donut 和 Sliver 等公开可用的框架。 HarfangLab 在上周的一份报告中表示，此次攻击活动被认为具有高度针对性，“利用针对特定目标的基础设施和定制的 WordPress 网站作为有效载荷传送机制，但影响到不相关垂直领域的各种实体，并依赖于知名的开源恶意软件”。 这家法国公司正在以 Supposed Grasshopper 为名跟踪该活动。它指的是攻击者控制的服务器（“auth.economy-gov-il[.]com/SUPPOSED_GRASSHOPPER.bin”），第一阶段下载程序会连接到该服务器。 这个用 Nim 编写的下载器很初级，其任务是从暂存服务器下载第二阶段恶意软件。它通过虚拟硬盘 (VHD) 文件进行传输，该文件被怀疑是通过自定义 WordPress 网站传播的，属于驱动下载计划的一部分。 从服务器检索的第二阶段有效载荷是Donut ，一个 shellcode 生成框架，它作为部署名为Sliver的开源Cobalt Strike替代品的管道。 研究人员表示：“运营商还付出了巨大努力，获取专用基础设施并部署真实的 WordPress 网站来投递有效载荷。总的来说，这次活动感觉像是一支小团队的杰作。” 该活动的最终目标目前尚不清楚，但 HarfangLab 推测它也可能与合法的渗透测试操作有关，这种可能性引发了一系列有关透明度和冒充以色列政府机构的必要性的问题。此次披露之际，SonicWall Capture Labs 威胁研究团队详细介绍了一条感染链，该链使用设有陷阱的 Excel 电子表格作为起点，投放一种名为 Orcinius 的木马。 该公司表示：“这是一个多阶段木马，它使用 Dropbox 和 Google Docs 下载第二阶段的有效载荷并保持更新。它包含一个模糊的 VBA 宏，可以挂接到 Windows 中以监视正在运行的窗口和击键，并使用注册表项创建持久性。”   转自e安全，原文链接：https://mp.weixin.qq.com/s/VcX4C1TZ2vGijCMIWP-TbQ 封面来源于网络，如有侵权请联系删除

波兰政府正在调查俄罗斯与该国国家通讯社波兰新闻社（PAP）网络攻击之间的关联。 “波兰新闻社 (PAP) 遭受了网络攻击；目前，有关这一重大事件的所有相关信息正在提供给相关部门。”波兰新闻社清算人马雷克·布隆斯基 (Marek Blonski) 和波兰新闻社主编沃伊切赫·图米达尔斯基 (Wojciech Tumidalski)在一份联合声明中写道。“我们正在努力加强我们所有系统和服务的安全性。”布隆斯基和图米达尔斯基补充道。 针对波兰新闻社（PAP）的袭击发生于五月，目的是传播虚假信息并破坏该国稳定。 当局认为，波兰国家通讯社发布的虚假新闻报道很可能是由俄罗斯黑客所为，该报道声称波兰总理唐纳德·图斯克将从 7 月 1 日起动员 20 万人，此次攻击似乎是企图干涉即将举行的欧洲议会选举。 “一切都表明，我们正面临俄罗斯方面的网络攻击。”负责数字事务的副总理克日什托夫·加夫科夫斯基 (Krzysztof Gawkowski) 表示。“其目的是在（欧洲议会）选举前散布虚假信息，并造成社会瘫痪。” 周五下午，波兰人民行动党 (PAP) 发布了两篇关于 2024 年 7 月 1 日开始波兰部分动员的虚假报道。人民行动党澄清说，他们不是这些报道的来源，并迅速宣布作废并撤回了这些报道。 波兰当局怀疑此次袭击是俄罗斯所为。 人民行动党首席执行官马雷克·布隆斯基谴责此次袭击。 布隆斯基表示：“我们致力于与相关国家部门合作澄清这一问题。” 包括波兰广播电台在内的波兰媒体报道称，波兰公司频繁遭到俄罗斯黑客攻击，每周遭受超过 1,400 次攻击。 俄罗斯驻华沙大使馆对路透社表示，对此事并不知情，并拒绝进一步置评。 5 月份，CERT Polska 和 CSIRT MON 团队发出警告，称针对波兰政府机构的大规模恶意软件活动据称是由与俄罗斯有关的 APT28 组织策划的。 将这些攻击归咎于俄罗斯 APT 是基于其与 APT28 在攻击乌克兰实体时所采用的 TTP 有相似之处。 “CERT Polska（CSIRT NASK）和 CSIRT MON 团队观察到针对波兰政府机构的大规模恶意软件活动。” 警报写道。“根据技术指标和与过去描述的攻击 （例如针对乌克兰实体的攻击）的相似性，该活动可能与 APT28 活动集有关，该活动与俄罗斯联邦武装部队总参谋部（GRU）有关。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/E_UkK7c7SLkXSFjw52BSZw 封面来源于网络，如有侵权请联系删除

数百万台 OpenSSH 服务器可能受到新披露的安全漏洞影响，该漏洞可被利用进行未经身份验证的远程代码执行。 该漏洞编号为 CVE-2024-6387，名为regreSSHion，是由网络安全公司 Qualys 的威胁研究部门发现的。它被描述为与2021 年的Log4Shell漏洞一样严重，并且非常严重。 尽管 Qualys 的研究人员尚未对该 CVE 进行评分，但他们将其描述为“关键”，存在重大安全风险。 该公司的研究人员发现，OpenSSH 服务器进程“sshd”受到信号处理程序竞争条件的影响，允许在基于 glibc 的 Linux 系统上以 root 权限执行未经身份验证的远程代码。目前尚不清楚是否可以在 Windows 和 macOS 系统上利用该漏洞。 Qualys威胁研究部门高级主管Bharat Jogi在报告中表示：“该漏洞一旦被利用，可能导致整个系统被入侵，攻击者可以以最高权限执行任意代码，从而完全接管系统、安装恶意软件、操纵数据以及创建后门以实现持续访问。” OpenSSH 旨在在客户端-服务器架构中通过不安全的网络提供安全通道，被企业广泛用于远程服务器管理和安全数据通信。OpenSSH 是一个基于安全外壳协议的网络安全功能集合，支持多种加密技术，可确保通信、自动化流程和文件传输的安全。 据 Qualys 称，使用 Shodan 和 Censys 服务进行的搜索显示，有超过 1400 万个可能存在漏洞的 OpenSSH 实例可直接从互联网访问。Qualys 自己的客户数据显示，大约有 70 万个暴露在互联网上的系统似乎存在漏洞。 该安全公司表示，CVE-2024-6387 是之前已修补的漏洞 CVE-2006-5051 的回归。具体来说，该漏洞于 2020 年 10 月随着 OpenSSH 8.5p1 的发布而再次出现。 Qualys 指出，由于 2001 年引入的机制，OpenBSD 系统不会受到影响。 该漏洞可能存在于 macOS 和 Windows 中，但研究人员尚未确认这些系统上的可利用性，需要进行单独分析以确定这些操作系统是否存在漏洞。 该漏洞最近在 9.8p1 版本发布时被意外消除。无法立即升级的组织可以应用供应商即将发布的补丁。 为了解决或缓解 OpenSSH 中的 regreSSHion 漏洞，建议采取以下措施： 应用 OpenSSH 服务器的最新可用更新（版本 9.8p1），该更新修复了该漏洞。 使用基于网络的控制（例如防火墙）限制 SSH 访问，并实施网络分段以防止横向移动。 如果 OpenSSH 服务器无法立即更新，请在 sshd 配置文件中将“LoginGraceTime”设置为 0，但请注意，这可能会使服务器遭受拒绝服务攻击。 Jogi 在报告中表示，CVE-2024-6387 漏洞“可能促进网络传播，使攻击者能够利用受感染的系统作为立足点，遍历和利用组织内的其他易受攻击的系统。”“此外，获得 root 访问权限将使攻击者能够绕过防火墙、入侵检测系统和日志记录机制等关键安全机制，从而进一步掩盖他们的活动。” Qualys 已分享了regreSSHion 的技术细节，但并未分享概念验证 (PoC) 代码以防止恶意攻击。该公司提供了一些攻击指标 (IoC) 来帮助组织检测潜在攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/lLRF00XZJ-RA6Pr41vze4Q 封面来源于网络，如有侵权请联系删除

黑客正在利用影响所有 D-Link DIR-859 WiFi 路由器的严重漏洞来从设备收集帐户信息，包括密码。 该安全问题于一月份披露，目前编号为CVE-2024-0769  （严重程度评分为 9.8），这是一个导致信息泄露的路径遍历漏洞。 尽管 D-Link DIR-859 WiFi路由器型号已到达使用寿命（EoL）并且不再接收任何更新，但该供应商仍然发布了安全公告 ，解释称该漏洞存在于设备的“fatlady.php”文件中，影响所有固件版本，并允许攻击者泄露会话数据，实现权限提升，并通过管理面板获得完全控制权。 D-Link 预计不会发布针对 CVE-2024-0769 的修复补丁，因此该设备的所有者应尽快切换到受支持的设备。 检测到的利用活动 威胁监控平台 GreyNoise 观察到，在依赖于公开漏洞的细微变种的攻击中，CVE-2024-0769 遭到积极利用。 研究人员解释说，黑客的目标是“DEVICE.ACCOUNT.xml”文件，以转储设备上的所有帐户名、密码、用户组和用户描述。 检索到的配置文件内容，来源：GreyNoise 该攻击利用对“/hedwig.cgi”的恶意 POST 请求，利用 CVE-2024-0769 通过“fatlady.php”文件访问敏感配置文件（“getcfg”），该文件可能包含用户凭据。 恶意 POST 请求，来源：GreyNoise GreyNoise 尚未确定攻击者的动机，但针对用户密码的攻击表明其意图进行设备接管，从而使攻击者完全控制设备。 研究人员解释说：“目前尚不清楚这些披露信息的预期用途是什么，需要注意的是，这些设备永远不会收到补丁。只要设备一直面向互联网，从设备中泄露的任何信息在设备的整个生命周期内都将对攻击者有价值。” GreyNoise 指出，当前攻击所依赖的公开概念验证漏洞针对的是“DHCPS6.BRIDGE-1.xml”文件，而不是“DEVICE.ACCOUNT.xml”，因此它可以用于攻击其他配置文件，包括： ACL.xml.php ROUTE.STATIC.xml.php INET.WAN-1.xml.php WIFI.WLAN-1.xml.php 这些文件可能会暴露访问控制列表 (ACL)、NAT、防火墙设置、设备帐户和诊断的配置，因此防御者应该意识到它们是潜在的利用目标。 GreyNoise 提供了可在利用 CVE-2024-0769 的攻击中调用的文件的更大列表。如果发生其他变体，这应该可以为防御者提供帮助。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/p-urHN8ueAHAZ4wpcvWyLg 封面来源于网络，如有侵权请联系删除

在德国举办的欧洲足联锦标赛（欧洲杯2024）吸引了超过2000万球迷的关注，全球范围内也有数千万球迷观赛。然而，这场盛事不仅吸引了观众的注意，还引来了网络犯罪分子的关注，他们利用球迷的观赛热情和警惕性下降发动多种攻击，获取不义之财。 网络安全公司Cyberint的一份最新报告显示，针对欧洲杯的网络攻击激增。其暗网监控发现犯罪分子正积极分享有关欧洲足联、（假）球票、免费/廉价流媒体服务以及被盗客户凭证的销售等信息。 账户劫持与欺诈 据hackread报道，犯罪分子正在利用被盗的欧洲足联客户凭证进行欺诈活动，例如账户劫持和购票。他们还可以窃取敏感的个人信息，冒充账户所有者，并获取资金或支付卡的访问权。 自2024年以来，Cyberint已检测到超过1.5万份暴露的欧洲足联客户凭证，在暗网市场上发现了超过2000份欧洲足联客户凭证的销售信息。这些凭证通常通过凭证窃取恶意软件泄露，该恶意软件会感染受害者的机器并将用户输入日志发送给命令控制服务器运营商。 由于欧洲足联已将比赛的流媒体转播权出售给媒体网络，这为网络犯罪分子提供了创建非法内容网站的机会，后者承诺免费直播和实时比分，以此来吸引没有有线电视或流媒体订阅的球迷。点击这些恶意网站上的链接可能会导致数据泄露或病毒感染。这些网站还可能会勒索受害者的计算机和网络，或者控制系统进行欺诈或间谍活动。访问该网站还可能遭遇“路过式下载”恶意软件攻击。 假冒官方APP泛滥 研究人员指出，冒充欧洲足联官方应用程序的移动应用程序在第三方应用商店中泛滥，并且经常包含恶意代码。这些第三方应用商店监管较少，任何人都可以上传未经授权的应用程序而无需监督。 犯罪分子大量上传冒用欧足联品牌和logo的恶意应用程序，给球迷、欧足联客户和志愿者带来数据泄露风险。 第三方售票网站诈骗 由于欧洲杯2024年的球迷越来越多地依赖第三方售票网站，这也为诈骗者提供了可乘之机。一些卖家利用球迷的热情兜售虚假或不存在的球票，他们通过社交媒体联系球迷或创建精巧的钓鱼网站来模仿合法的票务销售商。 另一个欺诈手段是票务抽奖，提供球迷赢得免费球票的机会。犯罪分子可以利用提供的详细信息将受害者作为诈骗目标，或将信息出售给最高出价者。 上图展示了网络罪犯出售欧洲足联客户账户以及模仿欧足联官方应用的恶意应用程序（来源：Cyberint） 欧足联官网存在安全漏洞 最后，研究人员发现欧洲足联的官网也存在安全漏洞。 研究人员指出：“欧洲足联官方网站uefa.com存在配置错误。此类漏洞会带来切实的风险，可能成为犯罪分子发起攻击的入口。” 安全建议： Cyberint建议球迷对未经请求的通信保持谨慎，核实网站的真实性，并使用安全的支付方式。为了避免票务欺诈，球迷应仅从授权来源购买球票，使用安全的支付平台（例如PayPal），优先选择信用卡支付，并避免直接银行或电汇转账。   转自goupsec，原文链接：https://www.goupsec.com/news/16748.html 封面来源于网络，如有侵权请联系删除

全球知名远程访问软件开发商 TeamViewer 警告称，其公司环境昨天遭到网络攻击，一家网络安全公司声称这是由 APT 黑客组织发起的。 TeamViewer 在其信任中心的一篇帖子中表示：“2024 年 6 月 26 日星期三，我们的安全团队检测到 TeamViewer 内部公司 IT 环境存在异常。” “我们立即启动了响应团队和程序，与全球知名的网络安全专家团队一起展开调查，并实施了必要的补救措施。” “TeamViewer 的内部企业 IT 环境完全独立于产品环境。没有证据表明产品环境或客户数据受到影响。调查仍在进行中，我们的主要重点仍然是确保系统的完整性。” 该公司表示，它计划对此次泄密事件保持透明，并将在获得更多信息后不断更新调查状态。 TeamViewer 是一款非常流行的远程访问软件，它允许用户远程控制计算机并像坐在设备前一样使用它。该公司表示，其产品目前在全球拥有超过 640,000 名客户，自公司推出以来已安装在超过 25 亿台设备上。 尽管 TeamViewer 表示没有证据表明其产品环境或客户数据遭到泄露，但其在消费者和企业环境中的大量使用使得任何泄露都成为一个重大问题，因为它将提供对内部网络的完全访问权限。 据称攻击背后存在 APT 组织 IT 安全专家 Jeffrey最先在 Mastodon 上报告了此次泄密事件，他分享了荷兰数字信任中心发布的一份警报的部分内容，该中心是政府、安全专家和荷兰公司用来分享网络安全威胁信息的门户网站。 IT 安全公司 NCC Group 在一份警报中警告称：“NCC Group 全球威胁情报团队已获悉 APT 组织对 TeamViewer 远程访问和支持平台进行了严重入侵。” “由于该软件的广泛使用，我们正安全地向客户发布以下警告。” 医疗专业人士共享威胁情报的社区 Health-ISAC 今天也发出警报，称 TeamViewer 服务据称正受到俄罗斯黑客组织 APT29（又名 Cozy Bear、NOBELIUM 和 Midnight Blizzard）的积极攻击。 Jeffrey 分享的 Health-ISAC 警报写道：“2024 年 6 月 27 日，Health-ISAC 从可信情报合作伙伴处收到信息，表明 APT29 正在积极利用 Teamviewer。” “Health-ISAC 建议检查日志以查找任何异常的远程桌面流量。据观察，攻击者正在利用远程访问工具。据观察，与 APT29 相关的黑客组织正在利用 Teamviewer。” APT29 是俄罗斯的一个高级持续性威胁组织，与俄罗斯对外情报局 (SVR) 有关联。该黑客组织以其网络间谍能力而闻名，多年来与多起攻击有关，包括对西方外交官的攻击以及最近对微软公司电子邮件环境的入侵。 虽然两家公司今天都发布了警报，就像 TeamViewer 披露该事件一样，但目前尚不清楚它们是否有关联，因为 TeamViewer 和 NCC 的警报解决了公司入侵行为，而 Health-ISAC 警报则更侧重于针对 TeamViewer 连接。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/2kuT-8ndazOF2O8kB5WjYA 封面来源于网络，如有侵权请联系删除