根据SpyCloud的最新报告，大多数企业安全主管对利用恶意软件窃取身份验证数据的攻击表示担忧。有53%的受访者表示极度担忧，只有不到1%的人表示根本不担心。 虽然企业普遍关注SSO和云应用程序的被盗身份数据的可见性，但调查显示人员行为仍然困扰着IT安全团队。最容易被忽视的恶意软件人员入口点包括： 57%的企业允许员工在个人和公司设备之间同步浏览器数据，从而使攻击者能够通过受感染的个人设备窃取员工凭证和其他用户身份验证数据，同时保持不被发现。 54%的企业正与影子IT（员工未经批准使用应用程序和系统）作斗争，这不仅在可见性方面造成了差距，而且在基本安全控制和公司政策方面也造成了差距。 36%的企业允许不受管理的个人或共享设备访问业务应用程序和系统，这为缺乏严格安全措施的设备访问敏感数据和资源打开了大门，并极大削弱了安全团队的“可见性”。 上述看似无害的行为可能会无意中使企业遭受恶意软件和后续攻击，包括勒索软件攻击。根据研究，企业每次感染平均会暴露26个业务应用程序的访问权限。 快速检测漏洞并采取行动对于阻止和减少攻击损失至关重要。然而，调查显示，许多企业应对恶意软件感染的常规响应并不充分：27%的企业不会定期检查其应用程序日志是否有泄露迹象，36%的企业不会为可能暴露的应用程序重置密码，39%的企业在发现暴露迹象时没有终止会话cookie。 研究表明，攻击驻留时间一直在增长，攻击者有着更加充足的时间来操作恶意软件窃取数据。而安全团队的可见性有限会影响其平均发现时间(MTTD)和平均修复时间(MTTR)，从而增加业务风险并耗尽资源。 研究人员发现，2023年上半年，在所有恶意软件日志中，有20%成功执行的恶意软件突破了防病毒程序。这些防病毒解决方案不仅不能阻止攻击，而且还缺乏自动化能力来防御被盗数据的滥用。 报告最后指出：在这场可见性和全面响应的斗争中，安全团队需要实施更强大、以身份为中心的感染后补救方法，以阻止犯罪分子利用恶意软件渗透的数据进一步损害业务。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DIXttt6Rj_cdqoKqjAGmzg 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，Adobe 公司警告客户 ColdFusion 中存在一个严重的预身份验证远程代码执行漏洞，该漏洞被追踪为 CVE-2023-29300（CVSS 评分 9.8），目前可能正在被网络威胁攻击者大肆利用。 Adobe 公司在其向客户发送的一份声明中表示，CVE-2023-29300 漏洞问题由 CrowdStrike 的安全研究员 Nicolas Zilio发现的不可信数据的反序列化， Adobe 已经发现 CVE-2023-29300 在针对 Adobe ColdFusion 的非常有限攻击中被攻击者野外利用。 未经认证的访问者可以利用该漏洞在易受攻击的Coldfusion 2018、2021 和 2023 服务器上远程执行命令。 目前，Adobe 没有透露关于 CVE-2023-29300 更多的技术细节，也没有透露威胁攻击者在野外利用它的方式。 值得一提的是，Adobe 在 ColdFusion 中总共解决了三个漏洞，以下是已修复问题的完整列表： 2023 年 3 月，美国网络安全和基础设施安全局（CISA）将 Adobe ColdFusion中关键漏洞 CVE-2023-26360（CVSS评分：8.6）添加到其已知被利用漏洞目录中。 CVE-2023-26360 漏洞属于不当访问控制，可允许远程攻击者执行任意代码，该漏洞还可能导致任意文件系统读取和内存泄漏。     转自Freebuf，原文链接：https://www.freebuf.com/news/372341.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，疑似具有俄罗斯背景的黑客组织 APT29（又名 Nobelium，Cloaked Ursa）正在使用二手宝马汽车广告等非常规性”诱饵“，引诱西方驻乌克兰外交官点击带有恶意软件的链接。 过去两年，APT29 组织针对北约、欧盟和乌克兰等地的高价值目标，使用带有外交政策主题的网络钓鱼电子邮件或虚假网站，通过秘密后门感染目标受害者。Palo Alto Network Unit 42 团队在发布的一份报告中指出 APT29 组织“进化”了其网络钓鱼策略，目前已经开始使用对网络钓鱼电子邮件收件人更具吸引力的诱饵。 据悉，2023 年 4 月， 一名准备离开乌克兰的波兰外交官发布了合法汽车出售广告，网络威胁攻击者拦截和模仿了该广告，并在广告中嵌入了恶意软件，之后将其发送给在基辅工作的其他数十名外国外交官， APT29 发送的恶意传单（Unit 42 团队） 一旦收件人点击恶意文档中嵌入的“获取更高质量的照片”链接时，便会被重定向到一个 HTML 页面，该页面通过 HTML 传递恶意 ISO 文件有效载荷。  （HTML 走私是一种用于网络钓鱼活动的技术，使用 HTML5 和 JavaScript 将恶意有效载荷隐藏在 HTML 附件或网页的编码字符串中。） 当用户打开附件或点击链接时，浏览器会对这些字符串进行解码，这时候恶意代码会被混淆，并且只有在浏览器中呈现时才会被解码，网络攻击者使用该技术有助于规避安全软件。 据悉，ISO 文件主要包含九张 PNG 图像，但实际上是 LNK 文件，它们可触发下图所示的感染链。 Unit 42 团队观察到的感染链 当受害目标打开任何伪装成 PNG 图像的 LNK 文件时，就会启动一个合法的可执行文件，该文件使用 DLL侧载将 shellcode 注入内存中的当前进程。 ISO 档案中包含的伪造PNG文件（Unit 42 团队） Unit 42 团队指出此次网络攻击活动主要针对基辅 80 多个外国使团中至少有22个使团，其中主要包括美国、加拿大、土耳其、西班牙、荷兰、希腊、爱沙尼亚和丹麦的使团。目前，受害目标的感染率尚不清楚。 值得一提的是，大约 80% 收到恶意传单的电子邮件地址是公开在互联网上的，由此可以看出，APT29 黑客组织一定是通过破坏目标外交官账户和情报收集获得另外 20% 的电子邮件地址。 以乌克兰大使馆为目标（Unit 42 团队） APT29 组织最近发动的另一个网络钓鱼的例子是 2023 年初发送给土耳其外交部的一份 PDF，该 PDF 指导为 2 月袭击土耳其南部的地震提供人道主义援助。Unit 42 团队表示由于攻击利用了绝佳的时机，该恶意 PDF 文件很可能在外交部员工之间共享，并被转发给土耳其其他组织。 最后，Unit 42 团队指出随着俄罗斯和乌克兰双方冲突的持续以及北约内部不断变化的事态有可能改变地缘政治格局，预计俄罗斯网络间谍组织将继续甚至加强针对外交使团的攻击。     转自Freebuf，原文链接:https://www.freebuf.com/news/371931.html 封面来源于网络，如有侵权请联系删除

根据DDoS防护公司StormWall发布的2023年二季度报告，全球分布式拒绝服务（DDoS）攻击大幅激增，与上一年相比增长了68%，令人震惊。该报告揭示了网络威胁格局演变的几个关键趋势： 多向量攻击增加了136%，这表明网络犯罪分子正在采用更复杂的策略来攻击目标。此外，StormWall发现虚拟专用服务器(VPS)僵尸网络的使用有所增加，这增加了缓解这些攻击的复杂性。 最令人担忧的是：DDoS攻击目标开始转向关键基础服务，包括医疗、金融机构和政府机构。报告显示，仅针对金融行业的出于政治动机的攻击就同比增长了110%，达到惊人的水平，占所有攻击的26%。这一令人震惊的趋势凸显了网络威胁对关键金融基础设施稳定性的潜在影响。 电信行业在2023年第二季度也面临重大攻击，成为第二大目标行业，攻击数量同比增长83%。这表明通信网络的脆弱性日益增加，以及重要连接服务的潜在中断风险。这与诺基亚的最新报告一致，即针对电信行业的DDoS攻击有所增加，恶意活动的激增，这种趋势最初是在俄乌冲突期间观察到的，但现在已蔓延到全球各个地区。 针对各国政府服务的攻击激增168%，是所有行业中增幅最高的。StormWall的报告显示，大多数此类事件都是出于政治动机的威胁行为者精心策划的，近几个月的攻击规模创下历史新高。 交通运输和医疗行业DDoS攻击分别同比增长了137%和126%。这表明关键基础设施面临的威胁日益严重。 娱乐行业也出现了显著的增长，攻击次数同比增长了72%。流行的视频流平台和游戏服务器是主要目标，导致《暗黑破坏神 4》等备受期待的游戏发布期间出现中断。 虽然电商行业的增幅相对较低，为68%，但StormWall的报告强调，旨在扰乱竞争对手是这些攻击背后的主要驱动力。 制造业虽然只占攻击的2%，但同比增长了18%。这表明威胁行为者正在将其关注范围扩展到传统目标行业之外。物流和教育行业分别占DDoS攻击事件的7%和3%。 从地域上看，美国、印度和中国是DDoS攻击的重灾区。值得注意的是，法国已成为该名单中引人注目的新成员，其遭受的攻击大幅增加，成为受攻击第四多的国家。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/4T-ngytKScMbhwolAr9OxQ 封面来源于网络，如有侵权请联系删除

全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞，远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec（康泰克）公司生产的SolarView太阳能发电监控系统，可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示，全球大约3万个发电站已经引进了这些设备，根据运营规模和使用的设备类型不同，SolarView设备提供不同的封装形式。 Solar View此次共曝出两个漏洞（CVE-2022-29303和CVE-2023-293333），严重性评分高达9.8，其中CVE-2022-29303是一个未经身份验证的远程命令注入漏洞，影响Contec SolarView系列。该漏洞源于未能消除用户输入中包含的恶意内容，攻击者可执行恶意命令发动远程攻击。 CVE-2022-29303影响Web服务器的conf_mail.php端点，但版本6.20（曝出漏洞的6.00版本之后的版本）并未修复该问题。不仅6.00版本受到影响，6.20也受到影响。研究人员发现至少从4.00版本conf_mail.php开始就存在非常直接的命令注入漏洞。 安全公司VulnCheck研究人员在Shodan上搜索发现，目前可通过开放互联网访问其中600多个光伏发电站（上图）。研究人员指出，目前超过三分之二的使用Contec设备的光伏电站尚未安装漏洞CVE-2022-29303的补丁更新。 安全公司Palo Alto Networks上个月曾透露，该漏洞正被Mirai的运营商积极利用，Mirai是一个由大量路由器和其他物联网设备组成的开源僵尸网络。Contec设备的漏洞可能会导致使用它们的光伏电站设施失去对运营的可见性，可能会导致严重后果，具体取决于易受攻击的设备的部署位置。 VulnCheck研究员Jacob·Baines指出：“事实上，光伏电站的许多类似系统都是面向互联网的，而且漏洞利用公开的时间已经足够长，足以被纳入Mirai变体中，这并不是一个好消息。光伏发电企业应注意哪些系统出现在公共IP空间中，并密切跟踪其这些系统的公开漏洞。” Baines表示，许多Solar View类似设备也容易受到漏洞CVE-2022-29303影响，后者是一种较新的命令注入漏洞，严重性评分高达9.8。自今年2月份以来，该漏洞的利用代码已公开发布。 Baines指出，由于漏洞CVE-2022-29303和CVE-2023-293333的CVE描述有误，导致很多光伏发电企业的漏洞修补失败。这两个漏洞的描述中声称SolarView 8.00和8.10版本都已修复漏洞，但事实上只有8.10版本针对上述两个漏洞进行了修补。 Palo Alto Networks表示，对漏洞CVE-2022-29303的利用只是更大规模的攻击活动的一部分。该活动利用了一系列物联网设备中的22个漏洞，试图传播Marai变种。这些攻击始于今年3月份，攻击者试图利用这些漏洞安装shell接口远程控制设备。一旦被利用，设备就会下载并执行为各种Linux架构编写的bot客户端。 有迹象表明漏洞CVE-2022-29303可能更早之前就已成为攻击目标，其漏洞利用代码自2022年5月起就已出现。当时有黑客在youtube上公布了用Shodan搜索并攻击SolarView系统的视频（下图）。 对于第二个漏洞CVE-2023-23333，虽然没有迹象表明攻击者正在积极利用，但GitHub上已经发布了该漏洞的多个利用代码。 截止发稿，Contec的官方网站上尚没有关于这两个漏洞的安全咨文，任何使用受影响设备的企业都应尽快更新（到Solar View 8.10版本）。光伏电站还应检查存在漏洞的设备是否暴露在互联网上，如果是，则需要更改其配置确保仅能从内网访问这些设备。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/ZF2evkQrVxZRhwajtOAXOQ 封面来源于网络，如有侵权请联系删除

近日，美国联邦政府发布了一份报告，称用户需密切注意ChatGPT存在的网络安全风险，尤其是在网络钓鱼和恶意软件开发领域。 在其发布的咨询意见报告中，政府部门警告，尽管微软支持的人工智能工具ChatGPT获得了前所未有的成功，吸引了大量头部企业和资本疯狂涌入AI赛道，一时间AI成为当下最为火热的赛道之一。 但是，AI 也带来了安全方面的风险，尤其是在网络钓鱼邮件制作和恶意软件生成等方面，以ChatGPT为代表的AI工具存在重大安全风险。该报告指出，为了防止这类AI工具带来的威胁，企业必须积极主动地采取极其谨慎、尽职尽责和密切注意的态度，避免出现更糟糕的情况。 攻击者正在利用ChatGPT放大作恶能力 该报告列举了恶意攻击者使用ChatGPT的部分方法清单，具体如下所示： 1.恶意软件生成: 利用ChatGPT生成恶意软件不再只是一种可能存在的理论，恶意攻击者对它的利用已经越来越熟练，并且在暗网上开始了各种各样的讨论和尝试。 2.制作网络钓鱼电子邮件:和恶意软件生成不同的事，在钓鱼邮件方面ChatGPT已经向用户展现出其强大的能力。恶意攻击者可以利用它来生成网络钓鱼和鱼叉式网络钓鱼电子邮件，并且这些电子邮件有可能通过电子邮件提供商的垃圾邮件过滤器。 3.诈骗网站: 通过降低代码生成门槛，ChatGPT 可以帮助技能较低的威胁行为者轻松构建恶意网站，例如伪装和网络钓鱼登陆页面。例如，零技能或很少技能的恶意行为者可以使用 ChatGPT 克隆现有网站，然后对其进行修改、构建虚假电子商务网站或运行带有恐吓软件诈骗的网站等。 4.发布虚假信息: 通过 ChatGPT，用户可以使用能够撰写极具说服力的散文、在短时间内生成数千条虚假新闻报道和社交媒体帖子的软件。 企业&用户安全防范指南/预防措施 1、提高对钓鱼邮件的防范 千万不要打开未知、意外或可疑的电子邮件、链接和附件； 在下载附件之前，使用电子邮件服务提供商提供的防病毒软件对其进行扫描，即便是可信任的附件。如果电子邮件服务不提供病毒扫描功能，则所有下载的文件在打开前都可以用本地的杀毒软件扫描； 对所有计算机设备，包括个人台式电脑、笔记本电脑、手机、可穿戴设备等操作系统和软件应用程序进行更新； 在所有的计算机设备中使用著名的、可信的防病毒软件； 不要在官方设备上使用个人帐户； 尽可能使用多因素身份验证(MFA)； 绝不与未经授权/可疑的用户、网站、应用程序等共享个人信息和证书； 始终在浏览器中键入URL，而不是直接点击链接. 始终用https开放网站打开链接，不访问http网站。 2.识别恶意软件伪装指南 (1)管理员 通过在操作系统、BIOS和应用程序级别上实现强化系统，尽可能地限制传入的流量和用户权限； 通过系统强化来阻止未经授权的存储介质（例如 USB）； 经常格式化可移动媒体，尽量避免恶意软件在系统内横向传播； 通过文件哈希、文件位置、登录和失败的登录尝试来监控网络活动； 使用知名的、可信的反恶意软件、防病毒、防火墙、IP、IDS、SIEM解决方案； 对离线 LAN 和在线网络使用单独的服务器/路由； 根据需要允许特定用户访问互联网并限制数据使用/应用程序权限； 下载之前通过数字代码签名技术验证软件和文档； 在邮件系统管理员控制和其他关键系统中实施 MFA（多重身份验证）； 始终定期维护关键数据的备份； 定期更改管理员级别的密码； 定期修补和更新所有操作系统、应用程序和其他技术设备； 为了减少恶意代码执行的攻击面；建议用户始终使用具有标准用户权限的帐户登录。 (2) 终端用户 下载之前，请务必重新验证通过辅助方式（电话、短信、口头）发送电子邮件/附件的受信任用户； 立即向管理员报告任何可疑活动； 切勿将关键数据存储在在线系统上，而应将其存储在独立系统上。 (3)ChatGPT用户安全准则 使用 ChatGPT 时，请注意共享的信息。避免共享敏感或机密信息，例如密码、财务信息或个人详细信息。 谨慎对待链接和附件。ChatGPT 可能会提供链接或附件作为其答案的一部分，但在单击它们之前请务必小心谨慎。请务必验证链接或附件的来源，并谨防可疑/未知来源。 政府机构工作人员手机不得用于 ChatGPT。 (4) 如果在使用ChatGPT时遇到安全问题，请立即向Open AI报告。     转自Freebuf，原文链接:https://www.freebuf.com/news/371556.html 封面来源于网络，如有侵权请联系删除

今年6月，文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞，能让远程攻击者访问其数据库并执行任意代码。最近，MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934，其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞有关。 SQL 注入漏洞能让攻击者利用它操纵数据库并运行他们想要的任何代码。攻击者可以将专门设计的有效负载发送到受影响应用程序的某些端点，从而更改或暴露数据库中的敏感数据。 这其中最为严重的漏洞为CVE-2023-36934，能够无需登录即被利用，意味着即使没有有效凭证的攻击者也有可能利用该漏洞，但到目前为止，还没有关于攻击者积极利用此漏洞的报告。 而CVE-2023-36932能让登录的攻击者利用该漏洞来获得对 MOVEit Transfer 数据库的未经授权的访问；CVE-2023-36933 则是一个允许攻击者意外关闭 MOVEit Transfer 程序的漏洞。 MOVEit于今年6月披露的漏洞显示它们已经被Clop 勒索软件组织利用，数千家使用该服务的企业组织受到影响。一直在跟踪局势的 Emsisoft 威胁分析师布雷特·卡洛 (Brett Callow) 表示，至少有 20 所美国学校和超过 1750 万人的信息受到影响。 其他企业，石油巨头壳牌曾在6月15日证实自己受到了MOVEit漏洞的影响，英国广播公司BBC 和英国航空公司 (BA) 、南非零售巨头Clicks等企业也表示自己是受害者。 此次新批露的漏洞影响多个 MOVEit Transfer 版本，但目前均已被MOVEit Transfer修复。Progress Software 已为所有主要 MOVEit Transfer 版本提供了必要的更新，强烈建议用户更新到 MOVEit Transfer 的最新版本，以降低这些漏洞带来的风险。     转自Freebuf，原文链接：https://www.freebuf.com/news/371525.html 封面来源于网络，如有侵权请联系删除

勒索软件攻击是各地组织的一个主要问题，而且这一问题的严重性还在持续加剧。最近，微软的事件响应团队调查了BlackByte 2.0勒索软件攻击，并揭露了这些网络攻击的可怕速度和破坏性。 调查结果表明，黑客可以在短短五天内完成整个攻击过程，从获得初始访问权到造成重大损失。他们不遗余力地渗透系统，加密重要数据，并要求赎金来释放数据。 这一缩短的时间线给试图保护自己免受这些有害行动影响的组织带来了重大挑战。BlackByte勒索软件用于攻击的最后阶段，使用一个8位数的数字密钥来加密数据。 为了实施这些攻击，黑客们使用了强大的工具和技术组合。调查显示，他们利用了未打补丁的微软Exchange服务器，这种方法已被证明非常成功。通过利用这一漏洞，他们获得了对目标网络的初始访问权，并为其恶意活动创造了条件。 该勒索软件进一步采用了进程空洞化和反病毒规避策略，以保证成功加密并规避检测。 此外，网络外壳为他们提供了远程访问和控制，使他们能够在被破坏的系统中保持存在。该报告还强调了Cobalt Strike信标的部署，它有助于指挥和控制行动。这些复杂的工具使攻击者拥有广泛的技能，使组织更难抵御他们。 勒索软件修改了受感染机器上的卷影副本，以防止通过系统还原点恢复数据。攻击者还部署了特别制作的后门，确保攻击者即使在最初被入侵后也能继续访问。 勒索软件攻击持续激增，需要全世界的组织立即采取行动。针对这些发现，微软已经提供了一些实用的建议。主要是敦促企业实施强大的补丁管理程序，确保他们及时应用关键的安全更新。启用篡改保护是另一个重要步骤，加强安全解决方案，以防止勒索软件恶意禁用或绕过它们。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Vn8_fsQcHgX6jvlzQ_2mOw 封面来源于网络，如有侵权请联系删除

问题到底出在哪里？ 当个人信息被用于颜值打分时，信息裸奔时代的人们再一次愤怒了。 近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在网站上进行颜值打分。目前，北京海淀警方已经依法刑事拘留马某某，案件正在进一步调查中。 当事件曝光时，中国人民大学在校生小琳的第一反应是惊讶：“他是通过什么方式获取这些数据的？从哪里获得的”，随之而来的是愤怒以及被冒犯的厌恶。 澎湃新闻梳理了近三年 52 份学生个人信息泄露的相关裁判文书，试图探究到底是谁在泄露学生信息，哪些环节出了纰漏，又是谁应当为此负责？ 廉价的个人信息： 1 元能买 200 名学生的信息 这 52 份判决书透露着与学生个人信息泄露相关的“罪与罚”。 有 39 份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型，包括姓名、性别、出生年月、院校、专业、班级等。此外，不法分子还获取了身份证、贷款信息等更敏感的个人信息。 除了学生相关个人信息外，学生群体的信息泄露往往还伴随家长个人信息的“裸奔”。据不完全统计，有 53% 的学生信息泄露案件涉及家长个人信息泄露。 而这些个人信息的单价极其低廉，《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费 1 千元就买到 18 万条学生信息，约等于只花 1 元就可以买到 200 个人的信息。 不同类型的个人信息在泄露、组合后，成为不法分子进一步实施侵害的“原料”。而这些侵害又往往以电信诈骗的形式出现。 江苏省无锡市惠山区人民法院于 2020 年审理的案件中，被告人王宜恒利用事先在网上购买的学生家长个人信息和 QQ 号码，使用伪造的培训通知书，冒充子女身份，以需缴纳培训费为由，多次骗得被害人钱财共计人民币 76120 元。判决书显示，被告人王宜恒犯诈骗罪、侵犯公民个人信息罪等，数罪并罚被判处有期徒刑四年三个月，罚金 5000 元。其中，犯侵犯公民个人信息罪的部分，判处有期徒刑三个月、罚金 3000 元。 通过梳理多份判决书的量刑标准可以看到，在侵犯公民个人信息罪的刑罚上，会考量信息泄露体量、犯罪手段、犯罪目的等多方面因素。 对比《蔡滔侵犯公民个人信息一审刑事判决书》（下称蔡滔案）及《张晓东侵犯公民个人信息罪一审刑事判决书》（下称张晓东案）两份判决书可以看到，被告人均被判处 4 年 9 个月的有期徒刑，但涉案的个人信息体量却差异显著。 蔡滔案涉及侵犯公民个人信息 1603 万条，非法获利 3.8 万元；张晓东案涉及侵犯公民个人信息 27.9 万条，非法获利 238 美元（约 1723 元）。法院指出，由于张晓东案在非法获取公民个人信息中，使用了侵入、控制他人计算机等手段，情节特别严重，量刑上要重于其他类似公民个人信息泄露体量、获利的案件。 专家：企业等单位应设定 并实施数据合规制度 关于马某某获取学校内网数据的途径，目前尚不清楚。而在以往案例中，不少犯罪分子是借着“职务之便”，获取大量学生个人信息。52 份裁判文书中，至少有 1/3 都是此类情况。 一则曾被多家媒体报道的案例是，成都多所高校学生突然发现他们“被就业”，有企业盗用了他们的身份信息，用于逃税。而信息泄露的源头是，某保险公司员工泄露了其在职时获得的学生信息名单。 上述案例都告诉我们，学生信息泄露的漏洞往往在于接触到数据的员工。 而学生个人信息泄露的责任通常归咎于个体，不会落到公司头上。在 52 份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他 50 例都是由个体来承担责任。 一份判定公司违法的文书提到，某教育咨询公司法定代表人从网上购买了 27 万余条学生信息，并雇佣他人使用这些信息，以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以 14 万元的罚金。 在此次人大学生信息泄露事件中，浙江垦丁律师事务所创始合伙人麻策认为，马某某可能构成侵犯公民个人信息罪，而学校和学生间因为没有“犯罪合意”，学校一般不构成侵犯公民个人信息罪。 “一般来说，需要综合考虑犯罪行为是否为单位利益而实施、是否以单位名义实施、是否经单位决策、违法所得是否归单位所有、单位是否明知应知等因素来考虑企业等单位是否构罪。”麻策告诉澎湃新闻，但如果学校违反信息网络安全管理义务，经监管部门责令采取改正措施后拒不改正，致使用户的公民个人信息泄露，则可能以拒不履行信息网络安全管理义务罪来定罪处罚。 不过，数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组织和安全权限措施，比如设置信息安全部门，指定个人信息保护负责人。此外，企业等单位也应当培养员工的数据合规意识，明确违规红线，以此来隔绝或减少员工的犯罪牵连概率。 在大规模信息泄露事件中，麻策建议用户直接报警，尤其是当个人信息仍持续面临扩大化泄露风险的情况下，而企业等单位也有义务通知用户，“目前鲜有企业会实施通告，这无疑会影响用户采取保护措施的时机”。     转自安全内参，原文链接：https://www.secrss.com/articles/56401 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关，这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。 Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链，该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会，TA453 就会移植其恶意软件，并试图启动一个名为 NokNok 的苹果风格的感染链。此外，研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。 关于 TA453 TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一个与伊朗伊斯兰革命卫队（IRGC）有关的网络威胁组织，至少自 2011 年以来一直活跃。 近期，网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 发现的某次网络攻击活动中，黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL。 值得一提的是，文件中有一个 LNK 滴管，它启动了一个多阶段的过程，最终部署 GorjolEcho，然后显示一个诱饵 PDF 文档，同时秘密等待来自远程服务器的下一阶段有效载荷。一旦意识到受害目标使用的是苹果电脑后，TA453 就会调整其整个操作方式，发送第二封电子邮件，邮件中包含一个 ZIP 档案，嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件，但实际上是一个 AppleScript，它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。 就 NokNok 而言，它能够获取多达四个模块，这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据，并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外，NokNok 还共享了一些源代码，这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。 TA453 攻击者还使用了一个虚假的文件共享网站，该网站可能会对访问者进行指纹识别，并作为追踪成功受害者的机制。 最后，研究人员表示 TA453 能够不断调整其恶意软件库，部署新的文件类型，并针对新的操作系统。     转自Freebuf，原文链接：https://www.freebuf.com/news/371343.html 封面来源于网络，如有侵权请联系删除