HackerNews 编译，转载请注明出处： 据最新报告显示，一个鲜为人知的黑客组织已成为俄罗斯国家机构和关键行业的重大威胁，其攻击旨在制造最大程度的破坏并谋取经济利益。 俄罗斯网络安全公司卡巴斯基的研究人员表示，Black Owl（亦称黑猫头鹰）组织自2024年初开始活跃，似乎独立运作且拥有专属工具库和攻击策略。该组织最具破坏性的行动之一是上月的网络攻击，据称摧毁了俄罗斯约三分之一的国家电子法院档案系统。乌克兰军事情报局（HUR）此前声明曾与BO组织合作开展多项行动，包括入侵俄罗斯联邦数字签名机构及其下属科研中心。 该组织通常通过携带高迷惑性恶意附件的钓鱼邮件获取受害者系统的初始访问权限。入侵成功后，BO组织可能潜伏数周甚至数月才行动——这种延迟在通常追求快速破坏或窃取数据的黑客行动主义者中极为罕见。其持续升级的工具包包含DarkGate、BrockenDoor和Remcos等后门程序。 研究人员指出，攻陷网络后，该组织会使用微软SDelete等工具删除备份及虚拟基础设施，并在部分案例中部署Babuk勒索软件加密数据索要赎金。黑客常将恶意软件伪装成合法的Windows程序。 BO组织专门针对俄罗斯实体，包括国有企业和科技、电信及制造业机构。他们频繁在Telegram上宣扬攻击成果，既为恐吓受害者，也为吸引媒体关注。 卡巴斯基强调：“BO组织因非常规的网络攻击手段，对俄罗斯机构构成严重威胁。” 研究人员补充称，与其他亲乌克兰黑客组织不同，该组织几乎未表现出协作、合作或工具共享迹象——这在俄罗斯当前的黑客行动生态中尤为特殊。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   卡巴斯基最新研究发现，俄罗斯企业正成为传播PureRAT恶意软件的钓鱼活动目标。该网络安全公司表示：“针对俄罗斯企业的攻击活动始于2023年3月，但2025年前三个月的攻击数量较2024年同期激增四倍。” 尚未归因于任何特定威胁行为体的攻击链始于包含RAR文件附件或存档链接的钓鱼邮件，攻击者通过使用双扩展名（如“doc_054_[已编辑].pdf.rar”）将文件伪装成微软Word或PDF文档。存档文件内包含可执行程序，当启动时会将自身复制到受感染Windows设备的“%AppData%”目录下并重命名为“task.exe”，同时在启动VBS文件夹中创建名为“Task.vbs”的Visual Basic脚本。 随后该可执行程序开始解压另一个名为“ckcfb.exe”的可执行文件，运行系统工具“InstallUtil.exe”，并向其中注入解密后的模块。“ckcfb.exe”则会提取并解密包含PureRAT恶意软件主载荷的DLL文件“Spydgozoi.dll”。PureRAT通过与命令控制（C2）服务器建立SSL连接传输系统信息，包括已安装的杀毒软件详情、计算机名称和系统启动后的运行时间。作为响应，C2服务器会发送多种执行恶意操作的辅助模块： PluginPcOption：可执行自删除命令、重启可执行文件以及关闭或重启计算机。 PluginWindowNotify：检查活动窗口名称是否包含“密码”、“银行”、“WhatsApp”等关键词，并执行未经授权的资金转移等后续操作。 PluginClipper：作为剪切板劫持恶意软件，将系统剪贴板中的加密货币钱包地址替换为攻击者控制的地址。 卡巴斯基指出：“该木马包含下载和运行任意文件的模块，可完全访问文件系统、注册表、进程、摄像头和麦克风，实现键盘记录功能，并允许攻击者通过远程桌面原理秘密控制计算机。” 启动“ckcfb.exe”的原始可执行文件还会同时提取第二个名为“StilKrip.exe”的二进制文件，这是被称为PureCrypter的商业化下载器，自2022年以来被用于投递各种有效载荷。“StilKrip.exe”被设计用于下载“Bghwwhmlr.wav”文件，该文件通过上述攻击流程运行“InstallUtil.exe”，最终启动名为“Ttcxxewxtly.exe”的可执行程序，该程序会解压并运行名为PureLogs的DLL载荷（“Bftvbho.dll”）。 PureLogs是一款现成的信息窃取程序，可从网络浏览器、电子邮件客户端、VPN服务、即时通讯应用、钱包浏览器扩展、密码管理器、加密货币钱包应用以及FileZilla和WinSCP等其他程序中窃取数据。卡巴斯基强调：“PureRAT后门和PureLogs窃取程序具有广泛功能，可使攻击者无限访问受感染系统和机密组织数据。带有恶意附件或链接的电子邮件始终是企业遭受攻击的主要途径。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。 安全研究人员Ryu Sojun和Vasily Berdnikov表示：“此次行动采用了水坑攻击策略与韩国本土软件漏洞利用的复杂组合。攻击者还利用Innorix Agent的一个一日漏洞进行横向移动。” 观察到的攻击为多个已知Lazarus工具变种铺平了道路，包括ThreatNeedle、AGAMEMNON、wAgent、SIGNBT和COPPERHEDGE。这些入侵之所以特别有效，很可能是因为攻击者利用了韩国广泛使用的合法软件Cross EX的安全漏洞。该软件用于在线银行和政府网站支持防键盘记录和基于证书的数字签名。 俄罗斯网络安全厂商表示：“Lazarus Group展现出对这些技术细节的深刻理解，并采用针对韩国的组合策略——将该类软件漏洞与水坑攻击相结合。” 值得注意的是，攻击者利用Innorix Agent的安全漏洞进行横向移动，因为Lazarus Group的Andariel子集群过去曾采用类似手法传播Volgmer和Andardoor等恶意软件。 最新攻击浪潮的起点是水坑攻击，当目标访问多个韩国在线媒体网站后即激活ThreatNeedle的部署。在将访问者重定向到攻击者控制的域名之前，会使用服务器端脚本对访问者进行筛选。 研究人员表示：“我们以中等可信度评估，被重定向的网站可能执行了恶意脚本，针对目标PC上安装的Cross EX的潜在漏洞发起攻击并启动恶意软件。该脚本最终执行了合法的SyncHost.exe，并向该进程注入加载ThreatNeedle变种的shellcode。” 观察到的感染链分为两个阶段：早期使用ThreatNeedle和wAgent，随后通过SIGNBT和COPPERHEDGE建立持久性、进行侦察活动，并在受感染主机上部署凭证转储工具。 攻击中还部署了用于受害者画像和有效载荷投递的LPEClient恶意软件家族，以及名为Agamemnon的下载器——该工具可从命令与控制（C2）服务器下载并执行额外有效载荷，同时采用“地狱之门（Hell’s Gate）”技术在执行期间绕过安全解决方案。 Agamemnon下载的有效载荷之一是通过利用Innorix Agent文件传输工具安全漏洞实现横向移动的专用工具。卡巴斯基称其调查发现了Innorix Agent中另一个未公开的任意文件下载零日漏洞，目前该漏洞已被开发者修复。 卡巴斯基警告称：”预计拉Lazarus Group针对韩国供应链的专业化攻击未来将持续存在。攻击者正通过开发新恶意软件或增强现有恶意软件来尽量减少被检测风险，特别是在改进与C2的通信方式、命令结构及数据收发模式方面投入大量精力。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

据Cyber Security News消息，美国卡巴斯基用户反馈，他们的安全软件以悄无声息的方式自动替换为了另一款产品UltraAV。 9月19日，美国卡巴斯基用户的一次软件更新显示，这次更新自动将用户计算机上的卡巴斯基的防病毒软件替换为了UltraAV，这一变更被指此前美国商务部以涉嫌国家安全风险为由，禁止卡巴斯基在美国销售或更新某些防病毒产品。 卡巴斯基在官方支持论坛发布的公告显示，卡巴斯基与 UltraAV 合作，致力于确保客户保持他们所期望的高标准安全和隐私。UltraAV 提供类似的功能，包括行业领先的防病毒保护、高级 VPN、密码管理器和身份盗窃保护。 但不少美国用户对这一变更并不满意，许多用户对这一突然的变化表示惊讶和担忧，一些用户报告说他们没有事先收到过渡的通知。“醒来时发现卡巴斯基完全从我的系统中消失了，我新安装了 Ultra AV 和 Ultra VPN（不是我安装的，只是在我睡觉时自动安装的），”Reddit 上的一位用户写道。 尽管卡巴斯基已为UltraAV 背书，并保证在无缝过渡后UltraAV 将在用户现有的订阅下提供可靠的防病毒保护，但一些用户对 UltraAV 缺乏透明度和既定声誉表示担忧。“UltraAV？从来没有听说过，“一位用户在网上写道。“我不愿使用没有评论或行业经验的产品。为什么我要信任它来处理我的数据？” 据悉， UltraAV 属网络安全公司Pango的产品，拥有一系列消费者网络安全解决方案，然而，在独立杀毒软件评测网站上，有关 UltraAV 的性能和可靠性的信息非常有限。 据统计，此次变更影响到约 100 万美国卡巴斯基用户，卡巴斯基向用户保证，他们不会遇到保护空挡，并将继续获得 UltraAV 提供的可靠杀毒软件保护。     转自Freebuf，原文链接：https://www.freebuf.com/news/411582.html 封面来源于网络，如有侵权请联系删除

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

卡巴斯基实验室在本周宣布关闭其在美国的业务，并裁减了约50 名美国员工。 卡巴斯基在一份声明中提到：自7月20日起，卡巴斯基将逐步结束美国业务，并裁撤美国本土的职位。这一决定和进程是在美国商务部做出禁止在美国销售和分销卡巴斯基产品的最终裁定之后做出的。 不过卡巴斯基表示，他们已在美国经营了近 20 年，想要完成退出手续仍需时日，这将是一个漫长的过程，可能需要一年多的时间。 在上个月的禁令之后，公司仔细研究和评估了美国法律要求的影响，才做出了这个艰难的决定，因为在美国的商业机会已不再可行。据卡巴斯基透露，此举是继上月美国商务部禁止卡巴斯基软件销售和美国财政部以国家安全为由制裁其高级管理人员之后的又一举措。 财政部外国资产控制办公室（OFAC）专门针对卡巴斯基实验室的关键人物，包括首席运营官、首席法务官、人力资源主管、首席业务开发和技术官等。 美国国土安全部（DHS）此前曾于 2017 年禁止卡巴斯基进入政府系统，随后又于 2018 年禁止卡巴斯基在美国军队中使用。然而，2024 年 6 月商务部的禁令致使卡巴斯基在美国的商业业务一度瘫痪。 美国政府从未提供卡巴斯基或俄罗斯政府将其软件用于间谍活动的具体证据。卡巴斯基坚称自己是无辜的，声称禁令是基于 “地缘政治气候和理论上的担忧”，而不是对其产品的实际评估。 悬而未决的问题和潜在的安全风险 尽管缺乏具体证据，美国政府仍对俄罗斯可能迫使卡巴斯基配合监控活动表示担忧。美国商务部长Gina Raimondo上个月表示：俄罗斯一次又一次地表明，他们有能力也有意图利用卡巴斯基实验室这样的俄罗斯公司来收集美国的敏感信息并将其武器化，我们将继续利用我们所掌握的一切工具来保护美国国家安全和美国人民的安全。 卡巴斯基软件对系统文件的深度访问是杀毒功能的必要条件，这在美国官员看来引发了潜在的安全风险。 最近的禁令不仅阻止卡巴斯基销售新软件，还阻止其在 9 月 29 日之后向现有用户提供安全更新。这将使数百万个端点受到攻击，因为该软件在应对不断变化的威胁时变得越来越无能为力。 现有用户前途未卜 虽然美国政府不会对继续使用卡巴斯基软件的用户进行处罚，但他们强烈建议用户改用其他解决方案。管理使用卡巴斯基软件的潜在易受攻击系统的安全专业人员面临着一个关键的决定：是完全替换卡巴斯基，还是在新的解决方案实施之前寻找替代的缓解策略。 美国禁令对卡巴斯基是一个重大打击。虽然美国市场的销售额只占卡巴斯基全球营收的10%左右，但是在美国政府6月禁售之前，只有约3%的杀毒软件用户在美国使用卡巴斯基软件。但此次失去美国市场会削弱卡巴斯基的品牌声誉，并有可能影响其他国家效仿。 卡巴斯基的未来仍不明朗，尤其是他们正在努力应对美国业务的关闭和来自世界各国政府的持续审查。卡巴斯基也曾表示过他们的目标是成为全球最大的网络安全公司。 卡巴斯基的业务依然保持弹性，第一要务仍是保护各国客户免受网络威胁。作为一家全球网络安全厂商，公司将继续投资于战略市场，并继续致力于为客户和合作伙伴提供服务，确保对他们的保护。 卡巴斯基告诉 TCE：作为一家在 200 多个地区和国家开展业务的全球性公司，卡巴斯基将能够调整其销售渠道，并通过专注于其认为最具业务发展潜力的市场来保持其全球影响力。 安全专业人员和网络工程师应密切关注这一不断变化的形势，并考虑采用其他防病毒解决方案来确保网络安全。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406067.html 封面来源于网络，如有侵权请联系删除

根据俄罗斯安全供应商卡巴斯基的最新报告，一种新的高级持续性威胁组织(APT) 被发现针对俄罗斯政府实体进行网络间谍活动。 卡巴斯基表示，这个被称为CloudSorcerer的APT组织使用 Dropbox、Microsoft Graph 和 Yandex Cloud 窃取数据，同时依赖公共云服务作为命令和控制 (C&C) 基础设施。 根据该公司的文档，APT 会在受感染的机器上手动执行 CloudSorcerer 恶意软件。根据其运行的进程，恶意软件可以充当后门、启动 C&C 通信模块或尝试将 shellcode 注入 explorer.exe、msiexec.exe 或 mspaint.exe。 后门模块收集受害者计算机的各种信息，包括机器名称、用户名、Windows 信息和系统正常运行时间。这些数据被存储在专门创建的结构中，并写入连接到通信模块的命名管道。 卡巴斯基表示：“值得注意的是，所有数据交换都是使用具有不同目的的明确定义的结构来组织的，例如后门命令结构和信息收集结构。” 根据通过相同命名管道接收的命令，恶意软件可以收集其他信息，执行 shell 命令，篡改文件并将 shellcode 注入进程。 接收到特定命令 ID 后即可使用其他功能，例如创建进程、清除 DNS 缓存、篡改 Windows 任务、服务、广告注册表、创建/删除用户、断开网络资源、篡改文件以及收集网络信息。 我们发现 C&C 通信模块正在启动与包含三个公共项目分支的 GitHub 页面或俄罗斯云端照片托管服务器 my.mail[.]ru 的初始连接。两个页面均包含相同的编码字符串。 据卡巴斯基介绍，C＆C 模块“通过读取数据、接收编码命令、使用字符代码表对其进行解码以及通过命名管道将其发送到后门模块来与云服务进行交互”。 卡巴斯基表示，利用公共云基础设施进行 C＆C 是 CloudWizard APT（去年披露的另一个高级威胁组织）的作案手法，但 CloudSorcerer 的活动似乎有所不同。 卡巴斯基研究人员补充道：“将 CloudSorcerer 归因于同一攻击者的可能性很低，因为恶意软件的代码和整体功能都不同。因此，我们目前假设 CloudSorcerer 是一个采用了与公共云服务交互技术的新攻击者。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/dDSWoj9bV8Dv_izl42NV4A 封面来源于网络，如有侵权请联系删除

2024 年 6 月，领先的网络安全公司卡巴斯基进行了一项突破性研究，在从暗网获取的 1.93 亿个密码中，有 45% 在一分钟内被破解。这一令人震惊的结果凸显了加强密码安全的迫切性。 在一分钟内破解密码？这是真的吗？ 正如网络安全报告预期的那样，研究结果非常令人担忧。在分析的 1.93 亿个密码中，卡巴斯基发现： 45%（8700 万个）的密码可以在一分钟内被破解 14%（2700 万个）的密码需要 1 分钟到 1 小时 8%（1500 万个）需要一天时间 6%（1200 万个）需要一个月 4%（800 万人）需要一个月到一年的时间 这些百分比约占所研究密码的 77%。其余 23%（4400 万个）的密码被卡巴斯基归类为 “抗性 “密码，这意味着使用暴力或智能猜测算法需要一年多的时间才能破解。 不要使用字典单词 卡巴斯基的研究还显示，57% 的密码包含字典单词，大大削弱了密码的强度。使用常用词会使密码更容易预测，也更容易被破解。 以下是研究中发现的一些最著名的序列： 姓名： 常见姓名，如 “Ahmed”、”Nguyen”、”Kumar”、”Kevin “和 “Daniel” 名言：如 “永远”、”爱”、”谷歌”、”黑客 “和 “游戏玩家” 标准密码：”password”、”qwerty12345″、”admin “和 “team “等常见选项 卡巴斯基注意到，只有 19% 的密码具有非字典单词、小写和大写字母、数字和符号的 “强组合”。不过，即使在这些密码中，也有 39% 的密码可以在一小时内通过算法破解。 运行密码猜测算法的门槛相对较低。卡巴斯基报告称，攻击者可以掌握深厚的技术知识并使用昂贵的设备。一个拥有强大笔记本电脑处理器的黑客只需 7 分钟就能猜出包含 8 个字符（小写字母或数字）的密码。此外，智能猜测算法可以处理常见的替换，如用”@”替换 “a “或用感叹号替换 “1”。 如何强化密码？ 要加强网络安全，遵循卡巴斯基和其他网络安全专家的建议至关重要。通过采取以下措施，可以更好地掌控数字安全： 使用密码管理器： 这有助于减少记忆多个密码的需要。阅读密码管理器指南，找到最适合自己的密码管理器 为每项服务设置唯一密码： 避免在多个账户中使用相同的密码，以最大限度地降低账户被泄露的风险 用短语代替密码： 创建长而独特的短语，自己能记住，别人却很难猜到 测试密码强度： 使用安全且经过验证的密码检查器来确保密码的强度 避免使用个人信息： 不要在密码中使用生日、宠物名或家庭成员的名字 启用双因素身份验证（2FA）： 这增加了一个额外的安全层，需要在输入密码后进行另一个验证步骤（在有 2FA 的地方使用它）   转自FreeBuf，原文链接：https://www.freebuf.com/news/404091.html 封面来源于网络，如有侵权请联系删除

拜登政府宣布禁用卡巴斯基杀毒软件，美国公司和消费者 2024 年 9 月 29 日前需要找到替代软件。 美国商务部工业与安全局（BIS）宣布了一项政令，禁止俄罗斯反病毒软件和网络安全公司卡巴斯基直接或间接向美国人提供反病毒软件和网络安全产品服务。 禁令主要涉及了卡巴斯基产品的销售，阻止该公司向客户提供杀毒软件和安全更新，客户必须在 9 月底之前找到替代软件。值得一提的是，禁令划定的范围非常广泛，不仅涉及卡巴斯基母公司，其它附属公司、子公司等都处于禁令范围内。 美国商务部长吉娜-雷蒙多（Gina Raimondo）表示，拜登-哈里斯政府一直以来致力于美国国家安全保障体系建设，俄罗斯种种行为一次又一次地表明，其有能力也有意图利用卡巴斯基实验室等俄罗斯公司，收集美国公民的敏感信息并将其武器化。美国政府会继续利用所掌握的一切工具，保护美国的国家安全和美国人民。 卡巴斯基方面否认与俄罗斯政府存在某种关系，但美国政府指出，由于俄罗斯政府的网络攻击技术高超以及能够影响卡巴斯基的运营，如果不全面禁止该公司在美国的服务，就无法降低网络安全风险，可能会在美国境内引发新的网络安全危机。 从禁令内容来看，美国方面的担忧很大程度上源于卡巴斯基获得了与 Equation Group 有关的秘密安全工具和安全漏洞，Equation Group 又被认为是美国国家安全局的网络行动部门。当时，卡巴斯基表示，他们的杀毒软件在检测到此前未曾出现的恶意文件后，会自动检索 NSA 的文件。 美国政府认为，俄罗斯 FSB 特工或其他卡巴斯基内部人员可能会利用卡巴斯基杀毒软件作为交互式搜索引擎，扫描全球计算机，查找感兴趣的文件。因此，美国政府就开始慢慢禁止在联邦机构内使用卡巴斯基产品。随着禁令发布，卡巴斯基产品在美国全境范围内都将被禁止使用。 禁令中明确指出，自美国东部时间 2024 年 7 月 20 日午夜起，卡巴斯基被禁止与美国企业签订任何新协议（包括该公司的任何软件或白标签产品）。美国东部时间 2024 年 9 月 29 日午夜，禁止卡巴斯基或其任何代理商向客户分发软件和杀毒软件更新，并禁止在美国或任何美国人的系统上运行卡巴斯基安全网络 (KSN)。 虽然此次禁令不会对在上述期限后继续使用卡巴斯基软件的美国个人采取法律行动，但这些用户需要自行承担使用该软件的安全风险。 据悉，除禁令外，BIS 还将三个与卡巴斯基有关联的实体，OO 卡巴斯基实验室、OOO 卡巴斯基集团（俄罗斯）和卡巴斯基实验室有限公司（英国）列入实体名单，理由是这些实体涉嫌与俄罗斯政府开展了非法合作。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404079.html 封面来源于网络，如有侵权请联系删除

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。 生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。 黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。 卡巴斯基的研究人员发现中国制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。如果使用这种易受攻击的设备，全球高安全性设施都将面临风险。 参考卡巴斯基官方链接，这些漏洞是在卡巴斯基安全评估专家对 ZKTeco 白标设备软件和硬件进行研究的过程中发现的。所有发现都在公开披露之前主动与制造商分享。 有问题的生物识别读取器广泛用于各个领域——从核电站或化工厂到办公室和医院。这些设备支持人脸识别和二维码身份验证，并能够存储数千个面部模板。然而，新发现的漏洞使它们面临各种攻击。卡巴斯基根据所需补丁对漏洞进行了分组，并将它们注册到特定的 CVE（通用漏洞和暴露）下。 利用 ZKTeco 终端进行攻击可能看起来像任何其他网络攻击，或者可能涉及相当有创意的物理攻击。 通过伪造的二维码进行物理绕过 CVE-2023-3938 漏洞允许网络犯罪分子执行一种称为 SQL 注入的网络攻击，该攻击涉及将恶意代码插入发送到终端数据库的字符串中。攻击者可以将特定数据注入用于访问限制区域的二维码中。因此，他们可以未经授权访问终端并物理访问限制区域。 当终端处理包含此类恶意二维码的请求时，数据库会错误地将其识别为来自最近授权的合法用户。如果假二维码包含过多的恶意数据，设备将重新启动，而不是授予访问权限。 卡巴斯基高级应用安全专家 Georgy Kiguradze 表示：“在用于向设备传输控制命令的二进制协议中发现大量 SQL 注入漏洞，这令人十分震惊。此外，在设备摄像头内嵌入的二维码读取器中也发现了类似的漏洞——人们通常不会想到会在这个位置发现此类漏洞，因为它通常与远程攻击有关。” “除了替换二维码，还有另一种有趣的物理攻击媒介。如果心怀恶意的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印出来，并用它来欺骗设备的摄像头，从而获得对安全区域的访问权限。当然，这种方法有一定的局限性。它需要打印的照片，并且必须关闭温度检测。然而，它仍然构成了重大的潜在威胁。”卡巴斯基高级应用安全专家 Georgy Kiguradze 说。 生物特征数据盗窃、后门部署和其他风险 CVE-2023-3940 是软件组件中的漏洞，允许任意文件读取。利用这些漏洞，潜在攻击者可以访问系统上的任何文件并提取文件。这包括敏感的生物识别用户数据和密码哈希，以进一步窃取公司凭证。 CVE-2023-3942 提供了另一种从生物识别设备数据库中检索敏感用户和系统信息的方法——通过 SQL 注入攻击。 攻击者不仅可以访问和窃取，还可以通过利用 CVE-2023-3941 远程更改生物识别读取器的数据库。这组漏洞源于对多个系统组件的用户输入验证不当。利用它，攻击者可以上传自己的数据（例如照片），从而将未经授权的个人添加到数据库中。这可能使他们能够偷偷绕过旋转门或门。此漏洞的另一个关键特性使犯罪者能够替换可执行文件，从而可能创建后门。 成功利用另外两组新漏洞（CVE-2023-3939 和 CVE-2023-3943）可执行设备上的任意命令或代码，从而授予攻击者以最高权限完全控制权。这允许攻击者操纵设备，利用它来对其他网络节点发起攻击，并将攻击范围扩大到更广泛的公司基础设施。 “发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”Georgy Kiguradze 详细阐述道。 确保生物识别系统的安全 生物识别技术通常被认为比典型的身份验证机制更进一步——对于最敏感的设备和最严重的环境来说，这种额外的詹姆斯邦德级别的安全性是必不可少的。 例如，ZKTeco 终端部署在全球各地的核电站、化工厂、医院等场所。它们保护服务器机房、行政套房和敏感设备。上述漏洞可能不适合以经济为目的的网络犯罪分子，但对于意图窃取数据甚至操纵安全关键流程的内部人员或高级国家威胁行为者来说却非常有用。 这些系统部署的环境非常关键，因此各组织必须竭尽全力确保其完整性。而这项工作不仅仅是修补新发现的漏洞。 Kiguradze 建议：“首先，将生物识别读取器隔离在单独的网络段上，以限制潜在的攻击媒介。然后，实施强大的管理员密码并替换所有默认凭据。一般来说，建议对设备的安全设置进行彻底审核并更改所有默认配置，因为它们通常更容易在网络攻击中被利用。” 不确定生物识别技术的组织可以专注于尽可能减少生物识别技术的使用，或确保它们不是唯一的保护措施。关键在于确保这些额外的保护措施对用户不可见。 出路 安全团队面临的根本问题是：如果数据最终以相同的方式存储和保护，生物识别技术是否比其他形式的身份验证更安全？ 嗯，是的，大多数情况下，专家都是这么说的。 iProov 创始人兼首席执行官安德鲁·巴德 (Andrew Bud) 表示：“我想澄清一个常见的误解，即生物特征识别就像密码一样，因此，如果被盗或被破解，它就会变得毫无价值。这是一个根本性的概念错误，因为生物特征识别（如面部）并不是秘密。” 他解释道：“密码很好用，因为它是秘密的。但在现代社会，脸部并不是秘密。只要在 LinkedIn 或 Facebook 上看一眼，就能抓取到人们的脸部信息。脸部或任何其他生物特征之所以如此有价值，并不是因为它是机密的，而是因为它是独一无二的。” 实际上，泄露的照片、指纹或生物识别扫描仪的虹膜扫描结果并非世界末日。 人们可能会本能地害怕黑客会持有他们的照片，但真实照片的复制品不应该欺骗当今最先进的识别技术。例如，ZKTeco 终端具有温度检测机制，可以验证身份，防止入侵者使用打印的照片等欺骗面部识别终端。 巴德说，“当你检查一个人的脸时，你可以在场景中引入一些不可预测的东西，这会导致脸部做出与深度伪造或复制品相比独特的反应。” 他补充道：“我们的做法是利用用户设备的屏幕闪现出一系列不可预测的独特色彩，照亮用户的脸部，然后将脸部的视频传输回我们的服务器。光线在人脸上反射的方式，以及反射与环境光相互作用的方式……这是一个非常非常奇特、不寻常且不可预测的挑战，极难伪造。” 他解释说，如果面部识别机制能够抵御复制，“原则上，你就不必依赖收集数据的设备的安全性。事实上，我们从一开始就假设该设备完全不可信。” 不幸的是，有一个警告。与面部、眼睛和指纹等身体特征不同，“检测深度伪造的声音非常困难，甚至不可能， ”巴德说。“声纹中的信息太少了，很难发现假冒信号”——因此，生物识别技术的高级版本才是出路。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ntst01VxfhEeP2J5SKeBrQ 封面来源于网络，如有侵权请联系删除