据BleepingComputer消息，朝鲜黑客正使用 Flutter 创建的木马记事本应用程序和扫雷游戏来攻击苹果 macOS 系统，这些应用程序具有合法的苹果开发人员 ID 签名和公证。 这些暂时经过了苹果安全检查的应用涉及窃取加密货币，与朝鲜黑客长期在金融盗窃方面的兴趣一致。根据发现该活动的 Jamf Threat Labs 的说法，该活动看起来更像是一场绕过 macOS 安全的实验，而不是一场成熟且高度针对性的操作。 从 2024 年 11 月开始，Jamf 在 VirusTotal 上发现了多个应用程序，这些应用程序对所有 AV 扫描似乎完全无害，但展示了“第一阶段”功能，连接到与朝鲜行为者相关的服务器。 这些应用程序均使用谷歌的 Flutter 框架为 macOS 构建，该框架使开发人员能够使用以 Dart 编程语言编写的单个代码库为不同的操作系统创建本地编译的应用程序。 Jamf研究人员表示，攻击者在基于 Flutter 的应用程序中嵌入恶意软件并非闻所未闻，但却是第一次看到攻击者使用它来攻击 macOS 设备。 由于嵌入在动态库 （dylib） 中，该库由动态库 （dylib） 在运行时加载，使用这种方法不仅为恶意软件开发者提供了更多功能，而且还使恶意代码更难检测。 Flutter 应用程序布局 在进一步分析其中一款名为 New Updates in Crypto Exchange （2024-08-28）的应用程序时，Jamf 发现 dylib 中的混淆代码支持 AppleScript 执行，使其能够执行从命令和控制 （C2） 服务器发送的脚本。该应用程序打开了一个适用于 macOS 的扫雷游戏，其代码可在 GitHub 上免费获得。 Jamf 发现的 6 个恶意应用程序中有 5 个具有用合法的开发人员 ID 签名，并且恶意软件已通过公证，这意味着这些应用程序被苹果的自动化系统扫描并被认为安全。 经过安全签名、带有木马的扫雷游戏 Jamf 还发现了两款基于 Golang 和 Python 变体的应用，两者都向一个已知的与朝鲜有关联的域 “mbupdate.linkpc[.]net “发出网络请求，并具有脚本执行功能。 目前苹果已经撤销了 Jamf 发现的应用程序签名，因此这些应用如果加载到最新的 macOS 系统上将无法绕过 Gatekeeper 防御。 然而，目前尚不清楚这些应用程序是否曾经用于实际操作，或者仅用于“在野”测试中，以评估绕过安全软件的技术。     转自Freebuf，原文链接：https://www.freebuf.com/news/415171.html 封面来源于网络，如有侵权请联系删除

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

由于早前的黑客攻击并泄露了数亿人的数据，美国最大的背景调查公司之一——美国国家公共数据公司（National Public Data，NPD）近日出于多方诉讼压力申请破产。 图片来源：FreeBuf 据悉，NPD 母公司 Jerico Pictures 已于 10 月 2 日向佛罗里达州南区法院申请了破产，该公司在破产申明中表示，2023年12月有黑客入侵了系统，相关数据于今年4月首次出现在Breached黑客犯罪市场中，并点名一位叫USDoD的黑客窃取了这些数据，称其在入侵其他机构（包括 FBI、空客等）方面也取得了巨大成功。 今年6月，以 USDoD 为名的黑客试图以 350 万美元的价格出售被盗数据，声称其中包含 29 亿条美国公民记录。一个多月后，名为Fenice 的黑客在非法市场 BreachForums 上免费发布了一个包含 27 亿条记录的数据库。 这些泄露的数据包括姓名、社会安全号码、电话号码、地址和出生日期。包括数据泄露专家 Troy Hunt 在内的几位网络安全专家已经证实，虽然数据库包含重复项，但大部分信息都是准确的。Hunt 估计，该数据库包括大约 8.99 亿个唯一的 SSN，可能包括部分已经去世的人的信息。 事发后，NPD表示已与执法部门和政府调查人员合作调查该事件，但此后一直没有提供最新情况，该公司也没有向受害者提供身份盗窃保护服务。 NPD破产申明中称公司已无法产生足够的收入来解决广泛的潜在负债，以及承担诉讼辩护和支持调查的费用。该公司表示，他们业务的很大一部分是为医疗机构服务，但这些机构禁止“有背景问题”的企业提供服务。 该公司还承认正面临多起集体诉讼，这些诉讼是由那些认为自己的信息在网络攻击期间被泄露的公民提起。 此外，来自 20 多个州的总检察长要求 NPD 支付违规行为的民事罚款，美国联邦贸易委员会也在审查这一事件。 参考来源： National Public Data files for bankruptcy, citing fallout from cyberattack After breach of billions of records, National Public Data files for bankruptcy     转自FreeBuf，原文链接：https://www.freebuf.com/news/412671.html 封面来源于网络，如有侵权请联系删除

据OpenAI本月最新发布的报告《Influence and cyber operations: an update》，伊朗黑客组织CyberAv3ngers利用人工智能模型ChatGPT策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。 该组织与伊斯兰革命卫队（IRGC）有关，利用AI工具进行侦察、编码和漏洞研究，攻击以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。美国国务院已确定六名参与攻击美国水务公司的伊朗黑客，并提供奖励。 CyberAv3ngers利用AI寻找默认密码和漏洞，编写bash和Python脚本，增强攻击能力。这表明网络战正转向利用AI制定全面网络攻击战略，对传统安全措施构成挑战，需采取新的防御措施。 OPENAI的结论认为，AI为防御者提供了强大的能力，以识别和分析可疑行为，缩短了分析步骤的时间。威胁行为者通常在活动中期使用AI模型，如在获取基本工具后和部署最终产品前。尽管威胁行为者不断尝试，但没有证据表明他们能通过AI创造新的恶意软件或建立病毒式受众。 事件缘起 伊朗与政府有关联的黑客迅速成为精通技术的工程师。起初只是协助侦察，但很快就升级为更为险恶的行为。伊朗伊斯兰革命卫队(IRGC)关联组织“CyberAv3ngers”一直在使用ChatGPT等人工智能模型，对工业控制系统(ICS)和可编程逻辑控制器(PLC)发起新一轮网络攻击。OpenAI的最新发现表明，随着这些攻击者不断突破网络战的界限，他们的活动反映出人工智能和民族国家黑客攻击日益融合的现象。 据OpenAI称，CyberAv3ngers使用人工智能工具来协助侦察、编码和漏洞研究。人工智能模型不仅仅是被动的信息来源。相反，该组织积极寻求有关调试脚本和收集已知ICS漏洞情报的指导。OPenAI的最新报告中列出了该组织向Chatgpt提问的类型，大致有如下17种情形。 目标明确：针对关键基础设施 据悉，CyberAv3ngers最近的行动集中在以色列、美国和爱尔兰的高价值目标上，利用开源工具来攻击水系统、电网和制造设施中的弱点。 2023年末，他们破坏了爱尔兰梅奥郡的供水服务，并入侵了宾夕法尼亚州阿利奎帕市供水局。美国国务院还确定了与该威胁组织有关的六名伊朗黑客，他们参与了针对美国水务公司的一系列网络攻击。该部门为任何提供有关这些黑客的信息的人提供了丰厚的奖励。 这些事件表明，威胁组织能够利用默认口令和PLC中的已知漏洞来利用安全性较差的工业网络。 CyberAv3ngers专门破坏关键基础设施，瞄准工业控制系统中的薄弱环节，工业控制系统通常管理水利、能源和制造业的关键业务。他们的行动对国家安全构成直接威胁，利用人工智能洞察力和传统攻击方法相结合。 使用LLM：用AI助力侦察和编写脚本 黑客对大型语言模型(LLM)的依赖反映了网络攻击者越来越倾向于自动化部分攻击生命周期。通过ChatGPT等 AI工具，CyberAv3ngers寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。每个请求都代表着精心策划的努力，以增强他们执行ICS特定攻击的工具包。 OpenAI表示：“虽然之前关于该威胁行为者的公开报道主要集中在他们对ICS和PLC的目标上，但从这些提示中，我们能够识别出他们可能试图利用的其他技术和软件。” 例如，该组织利用人工智能协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。通过利用这些功能，CyberAv3ngers增强了逃避检测的能力，并进一步扩大了针对工业网络的武器库。 AI驱动攻击：有限但危险 虽然CyberAv3ngers利用LLM来协助他们的侦察活动，但他们获取的信息并不具有开创性。他们获取的大部分知识都可以通过搜索引擎或公开的网络安全资源等传统方法找到。在这种情况下，人工智能的作用是渐进式的，帮助他们自动执行繁琐的任务，而不是提供全新的漏洞利用。 尽管如此，他们对人工智能的依赖也凸显了利用机器学习支持国家黑客攻击的潜在危险。即使是有限的增量收益，在针对关键基础设施部署时也会产生重大影响。 AI将为谁所用？ 使用人工智能工具入侵工业控制系统揭示了网络战的下一步，现在网络战似乎正在从信息战转向制定全面网络攻击的战略。像CyberAv3ngers这样的民族国家行为者正在利用人工智能来加快攻击准备，以以前无法想象的效率和规模探测工业系统。这一新兴趋势对传统安全措施提出了挑战，并要求安全专业人员（尤其是能源和水利等行业的安全专业人员）采取新的防御措施来抵御人工智能辅助攻击。 与攻击者主动积极利用AI/LLM相反的是，在工业领域AI的应用尚处于初级阶段。10月8日SANS发布的《2024 ICS/OT网络安全调查报告》显示，关键基础设施安全方面较2019年已取得很大起步，但仍存在重大差距。报告的关键发现中有一条，即有限的人工智能应用：人工智能在很大程度上仍处于实验阶段，由于缺乏用例和安全性/可靠性问题，很少有组织将其应用于ICS/OT。 随着人工智能模型变得越来越复杂，风险也随之增加。现在至关重要的是组织如何预测和缓解这些人工智能驱动的威胁。采取主动措施，例如加强密码、修复众所周知的漏洞以及持续监控 ICS 网络，可以帮助组织领先于攻击者。 在网络攻击可能破坏整个城市的供水或对电网造成严重破坏的时代，风险从未如此之高。安全专业人员需要将人工智能视为防御者的工具和攻击者的武器。 CyberAv3ngers最近的活动证明，人工智能虽然是一种强大的创新工具，但也为试图破坏关键基础设施的恶意行为者打开了新的大门。网络安全社区现在应该尽快关闭这些大门，以免为时已晚。 随着AI能力的全球进步，AI公司将继续与内部团队合作，预测恶意行为者如何使用高级模型，并规划相应的执法步骤，与行业同行和研究社区合作，以保持领先风险并加强集体安全。 参考资源： https://thecyberexpress.com/cyberav3ngers-use-chatgpt-to-plan-ics-attacks/ https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf3 https://www.sans.org/press/announcements/2024-ics-ot-cybersecurity-survey-reveals-significant-progress-while-highlighting-that-major-gaps-remain-in-securing-critical-infrastructure/     转自FreeBuf，原文链接：https://www.freebuf.com/news/412521.html 封面来源于网络，如有侵权请联系删除

据观察，一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击。 卡巴斯基在周五的分析中表示：与要求赎金解密数据不同，该组织更倾向于加密受害者的数据，然后使用擦除器破坏他们的基础设施，以防止恢复。 这表明，他们希望对目标组织造成最大程度的损害，而不是直接获得经济利益。 据悉，该黑客组织是在2023年4月俄乌战争爆发后成立的，曾发起过多次网络攻击事件、窃取敏感信息，然后通过其Telegram频道分享这些信息。 卡巴斯基称，Twelve 与一个名为 DARKSTAR（又名 COMET 或 Shadow）的勒索软件组织在基础架构和战术上有重合之处，因此这两个黑客组织很可能相互关联，或者是同一活动集群的一部分。 俄罗斯网络安全厂商说：Twelve 的行动明显具有黑客活动的性质，而 DARKSTAR 则坚持典型的双重勒索模式。集团内部目标的这种变化凸显了现代网络威胁的复杂性和多样性。 攻击链首先通过滥用有效的本地或域账户获得初始访问权限，然后使用远程桌面协议（RDP）进行横向移动。其中一些攻击还通过受害者的承包商实施。 卡巴斯基指出：为此，他们获得了承包商基础设施的访问权限，然后使用其证书连接到客户的 VPN。在获得访问权限后，对手可以通过远程桌面协议（RDP）连接到客户的系统，然后侵入客户的基础设施。 Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于窃取凭证、发现、网络映射和权限升级。与系统的恶意 RDP 连接通过 ngrok 传输。 此外，还部署了具有执行任意命令、移动文件或发送电子邮件功能的 PHP web shell。这些程序（如 WSO web shell）在 GitHub 上随时可用。 在此前的一起事件中，卡巴斯基称威胁分子利用了VMware vCenter中的已知安全漏洞（如CVE-2021-21972和CVE-2021-22005），提供了一个web shell，然后利用这个web shell投放了一个名为FaceFish的后门。 攻击者使用 PowerShell 添加域用户和组，并修改 Active Directory 对象的 ACL（访问控制列表）。而为了避免被发现，攻击者将恶意软件和任务伪装成现有产品或服务的名称。攻击者通过使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名称伪装成英特尔、微软和 Yandex 的程序来逃避检测。 这些攻击的另一个特点是使用 PowerShell 脚本（“Sophos_kill_local.ps1”）来终止受攻击主机上与 Sophos 安全软件相关的进程。 最后阶段需要使用 Windows 任务调度程序来启动勒索软件和清除器有效载荷，但在此之前要通过名为 DropMeFiles 的文件共享服务以 ZIP 压缩文件的形式收集和渗出受害者的敏感信息。 卡巴斯基研究人员说：攻击者使用了一个流行的 LockBit 3.0 勒索软件版本，该版本由公开源代码编译而成，用于加密数据。在开始工作之前，勒索软件会终止可能干扰单个文件加密的进程。 与Shamoon恶意软件相同的擦除器会重写所连接驱动器上的主引导记录（MBR），并用随机生成的字节覆盖所有文件内容，从而有效防止系统恢复。 卡巴斯基研究人员指出：该组织坚持使用公开的、人们熟悉的恶意软件工具，这也表明它没有自制的工具，那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。     转自Freebuf，原文链接：https://www.freebuf.com/news/411472.html 封面来源于网络，如有侵权请联系删除

俄罗斯反恶意软件公司 Doctor Web（Dr.Web 网络安全产品的开发商）周二表示，该公司最近遭遇了一次网络攻击。 该安全公司在其网站上发布的英文声明中表示，其检测到 9 月 14 日针对其资源的针对性攻击。 该公司表示：“对我们基础设施的破坏企图被及时阻止，受 Dr.Web 保护的用户系统没有受到影响。” 此次事件促使该公司切断了其网络中的所有资源，以检查是否存在被入侵的迹象。其 Dr.Web 病毒数据库也已暂时中止。 一篇用俄语写的帖子透露，该公司在发现入侵事件后一直密切关注攻击者的动向。在同一篇帖子中，该公司表示病毒数据库已恢复在线。 Doctor Web 尚未透露此次攻击背后的任何信息。网络安全公司可能成为任何类型的攻击者的目标，包括国家支持的团体、黑客活动分子和以营利为目的的网络犯罪分子。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/TZdVxQeDNUn3fwIe6KH5wA 封面来源于网络，如有侵权请联系删除

Mandiant 称，被追踪为 UNC2970 的朝鲜黑客组织一直使用以工作为主题的诱饵，试图向在关键基础设施部门工作的个人传播新的恶意软件。 Mandiant 首次详细描述UNC2970 的活动及其与朝鲜的联系是在 2023 年 3 月，当时有人发现该网络间谍组织试图向安全研究人员发送恶意软件。 该组织至少自 2022 年 6 月就已存在，最初被发现以招聘工作为主题的电子邮件为目标，针对美国和欧洲的媒体和技术组织。 Mandiant 在周三发布的一篇博客文章中报告称，在美国、英国、荷兰、塞浦路斯、德国、瑞典、新加坡、香港和澳大利亚均发现了 UNC2970 目标。 Mandiant 公司称，近期的攻击主要针对美国航空航天和能源行业的个人。黑客继续利用以工作为主题的信息向受害者发送恶意软件。 UNC2970 一直通过电子邮件和 WhatsApp 与潜在受害者接触，自称是大型公司的招聘人员。 受害者会收到一个受密码保护的存档文件，其中似乎包含一份带有职位描述的 PDF 文档。然而，该 PDF 已加密，只能使用 Sumatra PDF 免费开源文档查看器的木马版本打开，该查看器也随文档一起提供。 Mandiant 指出，此次攻击并未利用任何 Sumatra PDF 漏洞，应用程序也未受到攻击。黑客只是修改了应用程序的开源代码，使其在执行时运行 Mandiant 追踪的 BurnBook 植入程序。 BurnBook 反过来部署了一个被跟踪为 TearPage 的加载程序，该加载程序部署了一个名为 MistPen 的新后门。这是一个轻量级后门，旨在在受感染的系统上下载和执行 PE 文件。 至于用作诱饵的职位描述，朝鲜网络间谍获取了真实的招聘信息文本，并对其进行了修改，以使其更符合受害者的个人资料。 Mandiant 表示：“所选职位描述针对的是高级/经理级员工。这表明攻击者旨在获取通常仅限于高级员工的敏感和机密信息。” Mandiant 尚未透露被冒充的公司的名称，但一份虚假职位描述的截图显示，BAE Systems 的招聘启事被用来针对航空航天业。另一份虚假职位描述是一家未具名的跨国能源公司。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/a8mYTcU6TLvUfLiOD_UkWg 封面来源于网络，如有侵权请联系删除  

根据网络安全公司 Check Point 对恶意软件和基础设施的分析，据信代表伊朗政府行动的黑客已经将目标对准了伊拉克政府网络。 关于伊朗针对伊拉克目标发动网络攻击的报道很少。 伊朗与伊拉克拥有近1000英里的边界线，经过一段较长的边界争端，两国关系在过去20年里有所改善。伊朗已成为伊拉克最大的贸易伙伴，也是伊拉克对抗伊斯兰国的亲密盟友。 然而，据 Check Point 称，伊朗一直在针对伊拉克各实体（包括该国政府）进行网络间谍活动。 过去几个月，这家以色列安全公司一直在密切监视一项攻击活动。这些攻击涉及为特定目标设置的定制恶意软件和基础设施，其中发现与此前伊朗情报和安全部 (MOIS) 有关的已知黑客组织有关联。 Check Point 追踪到针对伊拉克组织的攻击中使用的恶意软件为 Veaty 和 Spearal，它们被描述为后门，可让其操作员执行命令以及从受感染系统下载和上传文件。 Veaty 和 Spearal 与已知由伊朗背景的黑客组织APT34（又名 Cobalt Gypsy、OilRig 和 Helix Kitten） 使用的恶意软件相似。 据该安全公司称，针对伊拉克的攻击中使用的恶意软件利用了被动 IIS 后门、DNS 隧道以及通过目标组织的受感染电子邮件账户进行的命令和控制 (C&C) 通信。 Check Point 指出，这些电子邮件账户的使用表明攻击者已成功渗透到目标网络。 该恶意软件很可能通过某种社会工程技术进行传播，其目的是让目标打开伪装成无害文档的恶意文件。 该恶意软件于 3 月至 5 月期间从伊拉克上传至 VirusTotal，这表明伊拉克已意识到这些袭击。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HLy0553nNSk3RiGPGJaA-A 封面来源于网络，如有侵权请联系删除

乌克兰安全局（SBU）拘留了一名当地公民，他涉嫌在关键基础设施附近安装监控摄像头，据称允许俄罗斯情报部门监视这些地点。 乌克兰安全局周一在一份声明中表示，据报道，这名嫌疑人居住在乌克兰东北部城市哈尔科夫，俄罗斯军事情报局 (GRU) 通过社交消息应用程序 Telegram 招募了他，并承诺给他“轻松”的钱。 乌克兰执法部门在基辅逮捕了这名涉嫌俄罗斯间谍的人，他在基辅租了几套可以俯瞰当地能源设施的高层建筑中的公寓。 据乌克兰安全局称，嫌疑人利用这些公寓安装了带有远程访问软件的摄像头，据称可以让俄罗斯人实时监控关键基础设施。 俄罗斯可能利用这些录像来评估其最近对基辅地区空袭的影响，并确定乌克兰防空系统的位置。 乌克兰安全局称，嫌疑人在基辅设立这些“观察站”后，以探望父母为幌子返回哈尔科夫，但实际上是为了纵火焚烧战略铁路线上的继电器柜。 安全部门表示，他们记录了他的一举一动，并最终将他拘留在基辅的一间出租公寓中。被捕时，嫌疑人正在安装一台新的闭路电视 (CCTV) 摄像机，以记录对该市的空袭。 在搜查过程中，执法人员缴获了他的手机和摄像机，其中包含俄罗斯“情报和颠覆活动”的证据。 嫌疑人目前已被拘留。乌克兰安全局表示，他将面临终身监禁和没收财产。 流行的间谍工具 俄罗斯和乌克兰都广泛使用监控摄像头进行间谍活动。它们通常安装在关键基础设施附近，或用于识别部队、防空系统或军事装备的位置。 今年8月，俄罗斯当局警告乌克兰攻击风险地区的居民停止使用监控摄像头，担心它们可能被用于情报收集。 根据俄罗斯内务部（MVD）的声明，乌克兰军队正在远程连接不受保护的闭路电视摄像机，“监视从私人庭院到具有战略意义的道路和高速公路的一切”。 今年 1 月，乌克兰安全官员称，他们关闭了两台在线监控摄像头，据称这些摄像头遭到俄罗斯黑客攻击，用于监视基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的居民楼上，最初供居民监控周边地区和停车场。据称，俄罗斯情报部门在入侵这些摄像头后，获得了远程访问权限，改变了摄像头的视角，并将其连接到 YouTube 以播放敏感视频。 这些画面可能帮助俄罗斯在对乌克兰进行大规模导弹袭击期间向基辅发射无人机和导弹。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/sRU6TCWNfy9m0WwFKG25AA 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞，该漏洞能允许攻击者多次查看用户发送的“阅后即焚”（View once）内容。 WhatsApp的“阅后即焚”于3年前推出，允许用户发送只能浏览一次的照片、视频和语音消息，且接收者无法转发、分享、复制或截取消息。 但这其中有一个Bug，Zengo X 研究团队发现，“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息，包括桌面端，即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同，但包含一个指向 WhatsApp 网络服务器（”blob store”）托管的加密数据 URL 以及解密密钥。 研究人员称，这些消息在下载后不会立即从 WhatsApp 的服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。 此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，攻击者仅需将“true”改为“false”，就可绕过此隐私功能 ，下载、转发和共享这些“阅后即焚 ”消息。 Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息。 目前Meta已表示对漏洞进行了修复，但这背后所反映出的更深层次问题也引发了人们的忧虑，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“，其本质上仍然漏洞百出。   转自Freebuf，原文链接：https://www.freebuf.com/news/410675.html 封面来源于网络，如有侵权请联系删除