HackerNews 编译，转载请注明出处： Proofpoint 网络安全公司获悉，一名疑似俄罗斯黑客正在通过电子邮件模仿求职者，从潜在雇主那里窃取有价值的数据。 该组织的新策略被分析师标记为 TA4557，标志着与之前观察到的在招聘公告板上上传虚假申请的策略背道而驰。 Proofpoint自2018年以来一直在跟踪这个团队，Proofpoint表示，“在最近观察到的活动中，TA4557不仅使用了直接通过电子邮件联系招聘人员的新方法，还使用了在公共招聘公告板上发布职位的旧技巧来启动攻击链”。 上当受骗的企业和其他组织最终会将他们的计算机系统暴露给跟踪其机器的恶意软件，并可能为进一步利用漏洞窃取有价值的数据铺平道路。 Proofpoint最近观察到的活动似乎是俄罗斯附属组织针对雇主的持续运动中的最新一次。2021年，在FBI发布警告称黑客正在利用在线招聘市场作为攻击途径后，Proofpoint在2021年发布了关于TA4557活动的类似警告。 个性化风格 新版本的攻击似乎应用了更个性化的风格，通过精心模仿求职信电子邮件和求职者简介，引诱粗心的雇主激活恶意软件，窃取数据并密切关注他们的机器。 Proofpoint表示：“在使用新的直接电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会观察到黑客使用链接到黑客控制的网站的URL，假冒作为求职者简历”。 Proofpoint 发现的 TA4557 使用的另一种方法是回复另一封包含 PDF 或 Word 附件的电子邮件，其中包含指示目标访问假简历网站的指令。 Proofpoint在上个月观察到的一种活动策略，涉及在初始电子邮件中引导目标“通过我的电子邮件地址的域名来访问我的个人作品集”，而不是在后续回复中直接发送简历网站的URL。 Proofpoint分析认为，这种专门针对网上公布的真实职位空缺并通过电子邮件实施的策略，其目的是在欺诈者与目标对象之间建立更深层次的联系，以便更有说服力地欺骗他们。 Proofpoint表示：“电子邮件的语气和内容让收件人觉得黑客是一个合法的候选人，因为黑客专门针对招聘和雇佣工作的人员，这些电子邮件并不立即显得可疑。” 它补充说，为了保持灵活性并领先于调查人员一步，TA4557经常更改发送者电子邮件、假简历域名和其他支持基础设施。 恶意代码 在基本机制方面，网络攻击通过一系列操作进行。 Proofpoint说：“候选人网站使用了一个验证码，如果完成，将启动一个包含快捷方式文件（LNK）的zip文件的下载。” 然后，LNK“滥用合法软件功能”下载并执行安装后门的特殊代码，这是一种非法访问目标系统的方法，称为“More_Eggs”，“可用于建立持久性、分析机器并删除额外的有效载荷。” 工作完成后，代码会自行删除，进一步帮助掩盖黑客的踪迹。 Proofpoint 敦促未来的雇主更加警惕，并指示员工在招聘更多员工时要谨慎行事。 报告称：“使用第三方招聘网站的组织应该了解该黑客的策略、技术和程序，并对员工，特别是负责招聘和聘用职能的员工进行有关这一威胁的教育。”   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

谷歌最近宣布了针对今年早些时候在一次黑客竞赛中被利用的几个高和中严重程度的 Chromecast 漏洞的补丁。 谷歌上周宣布了12月份的Android 安全更新，并向客户通报了 Chromecast 缺陷的修复方案。 这家科技巨头告诉用户，其流媒体设备的最新更新总共解决了影响 AMLogic 芯片的三个漏洞，特别是 U-Boot 子组件、KeyChain 中的一个问题，特别是系统组件中的一个问题。 这些漏洞于7 月在HardPwn USA 2023硬件黑客竞赛中亮相，该竞赛与加利福尼亚州的 Hardwear.io 会议同时举行。谷歌、Meta 和 Parrot 产品都是这次活动的目标。 研究人员在这次活动中通过 Chromecast 的开发获得了数百美元到数万美元的收入。 Google 已将发现 CVE-2023-6181和 CVE-2023-48425的功劳归功于 DirectDefense 的 Nolen Johnson、Jan Altensen 和 Ray Volpe；Lennert Wouters、rqu 和 Thomas Roth（stacksmashing）的 CVE-2023-48424；以及 Rocco Calvi (TecR0c) 和 CVE-2023-48417的SickCodes。 DirectDefense 上周发表了一篇博客文章，详细介绍了Johnson、Altensen 和 Volpe 开发的完整安全启动漏洞利用链，他们决定不透露确切的漏洞赏金金额。他们的漏洞不能直接用于远程代码执行，但它可以帮助攻击者在受害者不知情的情况下获得持久的代码执行。 “最大的担忧是 eBay 和其他第三方零售商等平台上的供应链拦截，”约翰逊告诉《安全周刊》。“事实证明，通过这些渠道销售的各种 Android TV 流媒体盒都可能被注入恶意软件。” 研究人员描述了三种攻击媒介，包括 eMMC 故障注入（允许访问 U-Boot shell，但需要高级硬件黑客攻击）、Android 验证启动绕过以及引导加载程序控制块 (BCB) 持久性方法（可永久绕过安全启动。 “在我看来，[BCB 持久性方法]是真正的亮点，因为它允许任何具有 root 访问权限的用户在下次和后续启动时在 u-boot shell 中持久运行代码。这意味着一旦执行一次 eMMC 故障注入，设备就可以在用户不知情的情况下持续被黑客攻击。因此，人们担心供应链受到攻击。”约翰逊解释道。 “此外，这意味着如果任何人曾经有能力通过操作系统级别的漏洞（例如恶意应用程序或其他东西）获得本地根访问权限，他们就可以编写 BCB 并有效地破解设备。” TecR0c 和 Sick Codes 告诉SecurityWeek，他们的 KeyChain 漏洞仅给他们带来了500美元，但指出他们的研究还揭示了一些 Android 漏洞，目前 Google 正在审查这些漏洞。 “安装在同一设备上且能够发送意图的任何应用程序都可能利用此漏洞。攻击者首先需要创建恶意应用程序并说服用户安装它。一旦安装了恶意应用程序，它就可以将精心设计的意图发送到 KeyChainActivity，”研究人员说。 他们补充说：“攻击者将能够操纵 KeyChainActivity 的行为，从而导致执行未经授权的操作。” “根据 KeyChainActivity 如何使用这些 Intent extra，攻击者可能会获得对加密密钥或证书数据等敏感信息的访问权限，或者导致 KeyChainActivity 以对攻击者有利的方式操纵此类数据。这可能允许攻击者执行诸如冒充用户、解密敏感信息或导致拒绝服务等操作。” Wouters、rqu 和 Roth 表示，他们的 Chromecast 漏洞总共为他们赢得了超过68,000美元。 “我们的攻击涉及对设备的临时物理访问，因此它主要用于‘邪恶女仆’、供应链攻击以及从丢失/被盗/废弃设备中恢复数据。执行起来并不是特别困难，但需要拆开设备，”研究人员告诉《安全周刊》。“使用我们的攻击，可以通过安装恶意固件来永久破坏 Chromecast，并从 Chromecast 转储现有的敏感信息（例如 WiFi 凭据等）。此后用户看不到攻击，并且设备仍保持完整功能。” 他们还分享了其他技术细节，“通过在启动过程中的特定时间破坏集成闪存存储 (eMMC) 的信号，我们能够访问集成引导加载程序(U-Boot)的交互式控制台。从那里我们能够修改提供给 Linux 内核的一些引导参数，这使我们能够在 Linux 引导过程的早期访问 root shell。使用它，我们能够覆盖内核模块，这使我们能够以最大权限执行代码，同时继续常规启动过程。”   转自安全客，原文链接https://www.anquanke.com/post/id/291814 封面来源于网络，如有侵权请联系删除

Meta* 宣布发布 一套用于保护和评估生成人工智能 (AI) 模型的工具。该工具包名为 Purple Llama，旨在帮助开发人员安全地使用生成式 AI 工具，包括Meta 的开源模型Llama-2。 Meta公司博客提到，Purple Llama这个名字来自于红队（Red Team）和蓝队（Blue Team）的组合： 红队涉及开发人员或测试人员攻击人工智能模型以识别错误和不良结果。这使您可以创建策略来抵御恶意攻击并保护模型免受功能故障的影响。 蓝队通过为生产和客户服务中使用的模型确定必要的缓解策略来响应红队攻击。 Meta 认为，为了最大限度地减少与生成人工智能相关的问题，有必要同时采取进攻和防御措施。紫色团队以协作方式结合了这两种角色，以评估和减轻潜在风险。 紫骆驼实施方案 作为新版本的一部分，Meta 声称这是“业界第一套针对大型语言模型 (LLM) 的网络安全评估”。该综合体包括： 量化法学硕士网络安全的指标； 用于评估不安全代码提案频率的工具； 使生成恶意代码或协助网络攻击变得困难的工具。 主要目标是将系统集成到模型工作流程中，以减少不需要的结果和不安全代码的输出，同时降低模型漏洞对网络犯罪分子的有用性。 Meta 表示，随着 Purple Llama 的发布，该公司的目标是提供有助于解决白宫承诺中描述的风险的工具。   转自安全客，原文链接https://www.anquanke.com/post/id/291785 封面来源于网络，如有侵权请联系删除

美国司法部起诉了两名与俄罗斯联邦安全局（FSB）有关联的黑客，指控他们针对政府官员开展了长达数年的网络间谍活动。司法部周四指控联邦安全局情报部门官员鲁斯兰-亚历山大罗维奇-佩列季亚特科（Ruslan Aleksandrovich Peretyatko）和信息技术工作者安德烈-斯坦尼斯拉沃维奇-科里涅茨（Andrey Stanislavovich Korinets）在2016年10月至2022年10月期间试图入侵多个美国政府机构（包括国防部和能源部）雇员的电脑。 起诉书还称，公开名称为”Callisto Group”的共谋者针对英国和其他地方的军方和政府官员、智库研究人员和工作人员以及记者，使用了复杂的鱼叉式网络钓鱼电子邮件，这些电子邮件声称来自电子邮件提供商，暗示用户违反了服务条款。 根据司法部的起诉书，这些电子邮件包含 Callisto 集团为获取受害者的凭证而创建的恶意域，使共谋者能够在未经授权的情况下访问受害者的账户并获取“有价值的情报”，其中包括与美国国防、外交和安全政策有关的情报。 据司法部称，作为黑客和泄密造谣活动的一部分，“从其中某些目标账户”获取的信息还在2019年英国大选前被泄露给了俄罗斯和英国的媒体。 周四早些时候，英国政府宣布，它也发现了联邦安全局干预英国政治进程的“持续不成功企图”，并制裁了 Peretyatko 和 Korinets 的鱼叉式网络钓鱼活动和相关活动，这些活动“导致未经授权的访问和敏感数据外流，其目的是破坏英国组织，更广泛地说，是破坏英国政府”。 英国国家网络安全中心（隶属于 GCHQ）称，这些黑客“几乎肯定隶属于”俄罗斯联邦安全局，并有选择地泄露了他们获得的信息，“符合俄罗斯的对抗目标，包括破坏英国和类似国家对政治的信任”。 美国财政部也宣布了对佩列季亚特科和科里涅茨的制裁，美国国务院还悬赏1000 万美元征集线索，以查明这两人的身份和下落。 Callisto集团被微软追踪为”Star Blizzard”，被Google威胁分析小组追踪为”Cold Driver”，因长期针对北约国家，特别是美国和英国开展间谍活动而闻名。2022年5月，Google研究人员将一次黑客泄密行动归咎于该组织，该组织窃取并泄露了大量支持英国脱欧的高层人士的电子邮件和文件，其中包括英国外国情报机构军情六处（MI6）前负责人理查德-迪尔洛夫爵士（Sir Richard Dearlove）。   转自今日头条，原文链接https://www.toutiao.com/article/7309922472684454426/?log_from=28daf104df523_1702024201260&wid=1702024267135 封面来源于网络，如有侵权请联系删除

俄罗斯 APT28 军事黑客利用 Microsoft Outlook 0day漏洞攻击多个欧洲北约成员国，其中包括北约快速部署部队。 Palo Alto Networks Unit 42 的研究人员观察到，APT28 军事黑客在大约 20 个月的时间里，针对 14 个国家的至少 30 个组织开展了三场活动，利用了 CVE-2023-23397 漏洞，这些组织被认为对俄罗斯军方和政府可能具有战略情报意义。 俄罗斯黑客还被追踪为“Fighting Ursa”、“Fancy Bear”和“Sofacy”，他们之前曾与俄罗斯主要情报局（GRU）（该国的军事情报机构）有联系。 2022 年 3 月，即俄罗斯入侵乌克兰三周后，他们开始利用 Outlook 安全漏洞作为0day漏洞武器，以乌克兰国家移民局为目标。 2022 年4 月中旬至 12 月期间，他们侵入了欧洲约 15 个政府、军事、能源和交通组织的网络，窃取了可能包含支持俄罗斯入侵乌克兰的军事情报的电子邮件。 尽管微软在一年后（即 2023 年 3 月）修补了该0day漏洞，但 APT28 运营商仍在继续利用 CVE-2023-23397 漏洞窃取凭证，从而允许他们在受感染的网络中横向移动。 5 月份，当影响所有 Outlook Windows 版本的绕过(CVE-2023-29324) 出现时，攻击面进一步增加。 APT28恶意Outlook任务请求 目标是北约快速部署部队 今天，Unit 42 表示，在受到攻击的欧洲国家中，所有已确定的国家都是目前的北大西洋公约组织 (NATO) 成员国，但不包括乌克兰。 至少一支北约快速部署军（能够快速部署指挥北约部队的高度戒备部队总部）成为目标。 此外，除了欧洲国防、外交和内政机构之外，APT28 的重点还扩展到涉及能源生产和分配、管道基础设施运营以及材料处理、人员和航空运输的关键基础设施组织。 “对目标使用0day漏洞表明它具有重要价值。这也表明当时该目标的现有访问权限和情报不足。”Unit 42 表示。 在第二次和第三次行动中，Fighting Ursa 继续使用已经被归咎于他们的众所周知的漏洞，而没有改变他们的技术。这表明这些行动所产生的访问和情报超过了公开活动和发现的后果。 “出于这些原因，所有三项活动中针对的组织很可能比俄罗斯情报部门的正常优先级更高。” 10月，法国网络安全机构（ANSSI）披露，俄罗斯黑客利用Outlook安全漏洞攻击法国各地的政府机构、企业、教育机构、研究中心和智库。 本周，英国和五眼情报联盟的盟友还将一个被追踪为 Callisto Group、Seaborgium 和 Star Blizzard 的俄罗斯威胁组织与俄罗斯联邦安全局 (FSB) 的“Centre 18”部门联系起来。 微软的威胁分析师通过禁用攻击者用于监视和收集电子邮件的 Microsoft 帐户，挫败了针对多个欧洲北约国家的 Callisto 攻击。 美国政府现在悬赏 1000 万美元，征集有关 Callisto Group 成员及其活动的信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/pmzdPzxnIWEM4anpJ65Abw 封面来源于网络，如有侵权请联系删除

最近发现黑客找到了一种使用第三方键盘绕过 iPhone 安全性的方法。根据 Certo Software 的 Russell Kent-Payne 的一份报告，攻击者正在使用这些键盘记录私人消息、浏览器历史记录，甚至 iPhone 用户密码。 在许多有关网络跟踪的报道之后，开始对此威胁进行研究。在调查过程中，发现所有受影响的设备都安装了恶意键盘。 左侧为默认的 iOS 键盘，右侧为用作键盘记录器的自定义键盘 这种攻击的特殊之处在于，黑客不需要破解设备或获取 iCloud 的访问权限。相反，他们使用苹果的 TestFlight 平台来分发键盘，因为该平台上的应用程序不会像 App Store 上的应用程序那样经过严格的安全审查。 通过设备设置安装恶意键盘后，黑客将标准的iPhone键盘替换为自己的键盘，与原来的键盘没有区别。这样的键盘可以记录用户输入的所有内容并将数据发送到黑客的服务器。 如何检查和保护 要检查 iPhone 是否安装了恶意键盘，先打开“设置”，转到“键盘”，然后检查已安装键盘的列表。如果发现启用了完全控制权限的陌生键盘，建议删除可疑键盘。 还值得考虑使用 Mac 防病毒软件，它可以扫描的 iPhone 或 iPad 是否存在恶意软件，但需要通过 USB 连接到Mac。目前，苹果尚未对这种攻击方法发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291678 封面来源于网络，如有侵权请联系删除

自巴以冲突爆发以来，齐夫医疗中心已遭受三次袭击。 一个据信与伊朗有关的黑客组织声称从以色列齐夫医疗中心医院窃取了数千份医疗记录。据他们称，被盗数据包括以色列军事人员的记录。 位于叙利亚和黎巴嫩边境附近萨法德市的医院遭到袭击，导致去年的 500 GB 数据遭到未经授权的访问。这些数据包括约 70 万份文档，其中包含患者的个人和医疗信息，例如疾病类型和处方药物。 在他们的Telegram频道中，一个自称 Malek Team 并声称对此次袭击负责的组织开始发布文件，其中包括来自以色列武装部队 ( IDF ) 的据称数据。 医院遭到袭击的日期没有具体说明，但以色列国家网络安全局上周 警告称 ，齐夫医疗中心计算机系统受到影响。 声明称，事件很快被发现并得到遏制，没有影响医疗中心的工作。作为预防措施，医院暂时关闭了电子服务器和部分计算机系统。 安全团队已展开调查，以确定黑客所说的信息泄露事件是否真的发生过。不过，这项调查的结果尚未公布。 据 以色列报纸《耶路撒冷邮报》报道，这是过去四个月内对 Ziv 医疗中心的第三次网络攻击。据当地媒体报道，医院和以色列数据保护机构承认，医院系统存在信息泄露的迹象。 以色列当局禁止使用、转移或传播任何被盗信息，并宣布打算对参与这一事件的所有人提出指控。 Malek Team 黑客还声称对以色列其他目标的网络攻击负责，其中包括小野学院以及一些以色列技术和媒体公司。 黑客公布了大量被盗数据的证据，包括大学课程和候选人采访的视频，以及受害者护照和文件的扫描件。这些数据的真实性尚未得到独立评估。 在以色列和巴勒斯坦军事组织哈马斯之间的冲突中，网络攻击的数量呈指数级增长。在这方面，以色列的医院和其他医疗机构应更好地保护其网络安全，以保护患者的机密信息免受恶意者的侵害。   转自安全客，原文链接：https://www.anquanke.com/post/id/291680 封面来源于网络，如有侵权请联系删除

间谍软件已在该设施的网络中隐藏了 8 年。 英国塞拉菲尔德核设施的IT系统遭到黑客攻击。 《卫报》的一项调查 发现，该工厂的高级员工经常隐瞒有关袭击的信息。目前尚不清楚这些系统何时首次遭到破坏，但第一次违规行为是在 2015 年发现的。在塞拉菲尔德网络中发现了休眠的恶意软件，该恶意软件至今仍可用于间谍活动。 黑客可能已经获得了该设施中最敏感的材料。由于塞拉菲尔德未能及时向监管机构发出警报，丢失的数据和持续存在的系统风险的全部范围仍然未知。 调查还发现该设施长期存在网络安全缺陷。2013年，发现对Sellafield服务器的外部访问，引起了严重关注。据消息人士透露，塞拉菲尔德不符合高网络安全标准，目前正受到更严格的监管审查。 塞拉菲尔德是世界上最危险的核设施之一，占地6平方米。位于坎布里亚郡海岸数千公里处，拥有地球上最大的钚储量，以及武器计划和数十年核能生产产生的大量核废料堆。 该设施由武装警察把守，并存放着发生外国袭击或灾难时的应急计划文件。核监管办公室 (ONR) 证实塞拉菲尔德不符合网络安全标准，但拒绝就数据泄露或掩盖指控发表评论。   转自安全客，原文链接：https://www.anquanke.com/post/id/291692 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。 23andMe 正在通知受影响的客户，并通过要求用户重置密码和设置双重身份验证方法来加强账户安全。 该公司表示，10月初，他们发现数据窃贼已经进入了由从其他网站回收的登录信息保护的账户。这位发言人表示：“没有任何迹象表明我们的系统出现了漏洞或数据安全事件，也没有迹象表明 23andMe 是这些攻击中使用的账户凭证的来源。” 据 23andMe 称，在被黑的 690 万个账户中，有 550 万个包含基因匹配信息，如果用户提供的话，可能还包括出生日期和地点。另外 140 万个被黑客入侵的账户被限制访问一些 DNA 档案信息，作为“家谱”功能的一部分。 23andMe 公司成立于2006年，总部位于加州山景城，谷歌的总部也在这里。     Hackernews 编译，转载请注明出处 消息来源：securityweek，译者：Serene

美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。 该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作0day漏洞。 当时，CISA 发布了有关黑客组织利用该缺陷的通知，并敦促联邦组织和国家服务机构应用安全更新。 在今天的警报中，美国网络安全与基础设施安全局警告称，CVE-2023-26360 仍在攻击中被利用，并展示了 6 月份影响两个联邦机构系统的事件。 “在这两起事件中，Microsoft Defender for Endpoint (MDE) 都警告称，该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” – CISA 该机构指出，“两台服务器都运行过时的软件版本，这些软件容易受到各种 CVE 的攻击。” CISA 表示，黑客组织利用该漏洞，使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。 第一起事件发生在 6 月 26 日，利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。 攻击者进行进程枚举和网络检查，并安装了一个 Web shell ( config.jsp )，允许他们将代码插入 ColdFusion 配置文件并提取凭据。 他们的活动包括删除攻击中使用的文件以隐藏其存在，以及在 C:\IBM 目录中创建文件以避免恶意操作不被发现。 攻击者在第一次攻击中使用的工具 （CISA） 第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。 在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。 接下来，他们试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问 SYSVOL，这是域中每个域控制器上都存在的特殊目录。 在这两起事件中，安全人员都在入侵者能够窃取数据或横向移动之前检测到并阻止了攻击，并在 24 小时内将受感染的资产从关键网络中删除。 CISA 的分析将这些攻击归类为侦察活动。然而，尚不清楚这两次入侵是否是同一攻击者所为。 为了降低风险，CISA 建议将 ColdFusion 升级到最新可用版本，应用网络分段，设置防火墙或 WAF，并强制执行签名的软件执行策略。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9nd08sOf8ZKd5lZTb67NqQ 封面来源于网络，如有侵权请联系删除