9月7日，美国最大的博彩娱乐集团——凯撒娱乐遭遇了一次网络攻击，黑客入侵了其数据库，据悉该数据库存储了众多客户的驾照号码和社会安全号码。为避免这些客户数据在网上泄露，该公司近日表示已经支付了赎金。 周四（9月14日），凯撒公司向美国证券交易委员会提交了一份8-K表，其中写道：我们仍在调查未经授权的行为者获取的文件中，究竟包含了多少敏感信息。 凯撒方面表示，迄今为止并没有证据表明任何会员密码/PIN、银行账户信息或支付卡信息（PCI）被未经授权的行为者获取。 但据《华尔街日报》的报道称，该公司为了防止被盗数据在网上泄露，已经支付了大约 1500 万美元的赎金，这是最初黑客索要的3000万美元赎金的一半。 不过，凯撒方面还明确表示，目前仍然存在黑客出售或泄露客户被盗信息的可能性，凯撒方面无法提供任何保证。但他们已对此采取措施确保未经授权的行为者删除被盗数据。凯撒方面正在对网络进行监控，没有发现任何证据表明这些数据被进一步共享、公布或以其他方式滥用。 虽然凯撒没有将这次攻击与特定的网络犯罪团伙或威胁行为者联系起来，但彭博社周三（9月14日）发表的一篇报道称，这次攻击是由一个名为 “Scattered Spider “的黑客组织实施的。该威胁组织被追踪为 UNC3944 和 0ktapus，最早自2022年5月起就开始有所行动。它结合使用社交工程、多因素身份验证（MFA）疲劳和短信凭证钓鱼攻击来窃取用户凭证并入侵目标网络。 数据泄露仅影响忠诚计划会员 据 Caesars 称，未加入 Caesars 忠诚度计划的客户不会受到数据泄露的影响。公司将在未来几周内通知所有受影响的个人。 该公司在一份单独的数据泄露通知中提供了更多细节，并表示已向执法部门报告了这一事件。 这次攻击没有影响其面向客户的运营，包括在线/移动博彩应用程序和实体物业，因为它们的运营没有中断。 凯撒是近期受到网络攻击影响的第二家连锁赌场，周一（9月11日），美高梅国际酒店集团称该公司的网站、预订系统和赌场服务（即 ATM、老虎机和信用卡刷卡机）遭遇网络攻击，IT 系统被迫下线。 2020 年，美高梅国际酒店集团还披露了 2019 年的一次网络攻击事件，该事件导致其云服务遭到破坏，黑客窃取了超过 1000 万条客户记录。   转自Freebuf，原文链接：https://www.freebuf.com/news/378174.html 封面来源于网络，如有侵权请联系删除

欧洲跨国航空航天公司空中客车公司表示，正在调查一起网络安全事件，此前有报道称，一名黑客将该公司3200家供应商的信息发布到暗网上。 一名绰号“USDoD”的黑客周一发帖称，他们在泄露了一名土耳其航空公司员工的账户后，获得了对空客门户网站的访问权限。黑客声称掌握了数千家空客供应商的详细信息，包括姓名、地址、电话号码和电子邮件。  “USDoD”曝光了3,200家敏感空客供应商信息的同时声称洛克希德·马丁公司和雷神公司可能是下一个目标。考虑到所涉及的公司类型，此次泄密事件高度敏感。 威胁行为者通常不会透露他们的入侵技术，但在这次极其罕见的泄露中，“USDoD”透露，他们通过利用“土耳其航空公司的员工访问权限”获得了空客的数据。利用这些信息，研究人员成功追踪了上述员工的访问情况——一台于2023年8月感染了信息窃取恶意软件的土耳其计算机。从信息窃取者感染中获得的凭据已成为近年来主要的初始攻击媒介，为威胁行为者提供了进入公司的简单入口点，从而促进了数据泄露和勒索软件攻击。 在Hudson Rock的数据库中发现的受感染员工的凭据 来自受感染计算机的技术信息 空中客车公司发言人Philippe Gmerek证实，黑客入侵了一个“与空中客车客户相关的IT账户”。该账户用于从空客门户网站下载客户的专用商业文件。该公司正在调查该事件，安全团队也立即采取了补救和后续措施，以防止系统被破坏。 据《哈德逊岩报》报道，这名黑客似乎与2022年12月FBI InfraGard系统遭到破坏有关，他在没有提出任何要求的情况下公开发布了泄露的信息。关于攻击者的动机，目前知之甚少。但攻击者表示自己是相对较新的勒索软件组织“Ransomed”的成员。 “Ransomed”正在迅速获得关注，并自豪地在Twitter上声称在2023年9月期间针对大多数公司发起了勒索软件攻击。 取自 ransomwatch.telemetry.ltd 航空航天公司经常因其持有的敏感数据和技术而成为黑客攻击的目标。上周，美国联邦调查局、美国网络司令部和网络安全与基础设施安全局警告称，今年有多个民族国家的黑客利用漏洞瞄准了一家未具名的航空航天公司。 转自E安全，原文链接：https://mp.weixin.qq.com/s/LOp-pJWr_K-0FOX5QbiVow 封面来源于网络，如有侵权请联系删除

有消息称，英国国家网络安全中心（NCSC）与英国信息专员办公室（ICO）在9月12日达成一项新协议。 协议规定，发生数据泄露事件的英国企业，只要不隐瞒事件，而是主动向NCSC报告，与NCSC合作处理事件，就有可能享受罚款减免政策。 国家网络安全中心是英国的网络安全监管机构，承担编制安全指南、事件响应、能力培养、保护公私部门等职能，隶属于情报机构政府通信总部。信息专员办公室则是英国的数据保护监管机构。 双方签署的谅解备忘录中显示，信息专员办公室承诺，将研究“如何透明地落实‘只要与NCSC进行有意义的合作，就有可能减少监管处罚’这一决定。” 谅解备忘录规定了两家机构将如何合作，以提高全国网络安全标准、防止数据泄露，并要求二者必须对收到的报告内容保密。 谅解备忘录强调，两家机构收取报告，不代表它们可以分享有关事件信息。国家网络安全中心指出，这样做会违反1994年出台的《情报机构法》。 推动英国网络安全态势透明化 谅解备忘录还明确了两家机构将分享信息的领域，例如对影响关键数字服务提供商的网络威胁进行的评估。有消息称，英国今年经历了大量破坏性网络攻击。 尽管两家机构都不会向对方披露网络事件受害者，但谅解备忘录规定了信息专员办公室应如何与国家网络安全中心分享信息，“以匿名和汇总的方式，在事件对国家具有重要影响的情况下，提供特定事件的详细信息。” 两家机构都希望避免，让向他们报告的组织产生不信任感。如果事件上报受到阻碍，两家机构就不能很好地了解英国遭受的网络攻击的真实规模。 今年早些时候，两家机构共同发布了一篇博客文章，称他们“越来越担心”勒索软件受害者会对执法部门和监管机构隐瞒事件。 除了相互分享信息的工作之外，信息专员办公室已同意宣传国家网络安全中心的网络安全指南，帮助组织避免由网络威胁活动引发的数据泄露。 国家网络安全中心首席执行官Lindy Cameron表示，谅解备忘录将为两家机构提供“一个平台和机制，在尊重彼此职责范围的前提下，全面提高网络安全标准。” 信息专员John Edwards表示：“我们已经与国家网络安全中心密切合作，向企业和组织提供正确的工具、建议和支持，帮助他们改善并保持网络安全。谅解备忘录再次明确，我们承诺改善英国网络弹性，确保人们的在线信息免受网络攻击的威胁。”   转自安全内参，原文链接：https://www.secrss.com/articles/58832 封面来源于网络，如有侵权请联系删除

微软周二对59个漏洞进行了安全更新，其中包括两个被积极利用的0day 漏洞。虽然修复了24个RCE漏洞，但微软只将其中5个评为“关键”——4个远程代码执行缺陷和Azure Kubernetes服务权限提升漏洞。 每个漏洞类别中的错误数量如下所示： 3个安全功能绕过漏洞  24个远程代码执行漏洞 9个信息披露漏洞 3个拒绝服务漏洞 5个欺骗漏洞 5个边缘-铬漏洞 59个缺陷的总数不包括五个Microsoft Edge（Chromium）漏洞——Electron和Autodesk中的两个非Microsoft缺陷。 两个被积极利用的0day漏洞 本次修复了两个零日漏洞，这两个漏洞都在攻击中被利用，其中一个被公开披露。如果漏洞被公开披露或在没有官方修复程序的情况下被积极利用，微软将其归类为 0day 漏洞。两个被积极利用的 0day 漏洞是： 1.CVE-2023-36802-Microsoft流媒体服务代理权限提升漏洞 该漏洞使攻击者能够获得SYSTEM权限，是由DBAPPSecurity WeBin实验室、Microsoft Threat Intelligence和Microsoft安全响应中心发现的。 2.CVE-2023-36761-Microsoft Word信息泄露漏洞  该漏洞可用于在打开文档时（包括在预览窗格中）窃取NTLM哈希。这些NTLM哈希可以被破解，也可以在NTLM中继攻击中使用，以获得对帐户的访问权限此缺陷是由Microsoft威胁情报组在内部发现的。 其他公司的安全更新 苹果修复了一个名为BLASTPASS的新的零日漏洞链，该链用于安装飞马间谍软件的攻击。 Atlas VPN修复了Linux客户端中的零日漏洞，该漏洞可以暴露用户的实际IP地址。 华硕修复了SUS RT-AX55、RT-AX56U_V2和RT-AC86U路由器中的三个关键远程代码执行错误。 思科发布了各种产品的安全更新，并警告称思科ASA设备将迎来零日。 谷歌发布了Android和Chrome更新，以修复积极利用的漏洞。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/Ak7FkOeLlPOdwLlT2uxffQ 封面来源于网络，如有侵权请联系删除

Mozilla 今天发布了紧急安全更新，以修复一个已经在外部被利用的重要零日漏洞，该漏洞影响了 Firefox 网页浏览器和 Thunderbird 电子邮件客户端。该安全漏洞被追踪为 CVE-2023-4863，是由 WebP 代码库（libwebp）中的堆缓冲区溢出引起的，其影响范围从崩溃到任意代码执行。 Mozilla 在本周二发布的一份公告中说：”我们发现这个问题在其他产品中被广泛利用。打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出。” Mozilla 在 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 中解决了这个零日漏洞。 尽管有关 WebP 漏洞在攻击中被利用的具体细节仍未披露，但这一关键漏洞已在实际场景中被滥用。因此，强烈建议用户安装更新版本的 Firefox 和 Thunderbird，以保护系统免受潜在攻击。 正如 Mozilla 在今天的安全公告中透露的那样，CVE-2023-4863 零日漏洞还影响到使用易受攻击的 WebP 代码库版本的其他软件。 其中之一就是Google Chrome 浏览器，该浏览器已于周一针对这一漏洞打了补丁，当时Google警告说”意识到 CVE-2023-4863 的漏洞存在于外部”。 Chrome 浏览器的安全更新正在向稳定版和扩展稳定版渠道的用户推出，预计将在未来几天或几周内覆盖整个用户群。 苹果公司的安全工程与架构（SEAR）团队和多伦多大学蒙克学院（University of Toronto’s Munk School）的公民实验室（The Citizen Lab）于 9 月 6 日报告了这一漏洞。 Citizen Lab 的安全研究人员还曾发现并披露过零日漏洞，这些漏洞经常被政府附属威胁机构领导的有针对性的间谍活动所利用。这些间谍活动通常针对面临重大攻击风险的个人，包括记者、反对派政治家和持不同政见者。 本周四，苹果公司还修补了 Citizen Lab 标记的两个零点漏洞，这两个零点漏洞被称为 BLASTPASS 漏洞利用链的一部分，可将 NSO Group 的 PegASUS雇佣军间谍软件部署到已打补丁的iPhone上。 今天，BLASTPASS 补丁还被回传至旧版 iPhone 机型，包括 iPhone 6s 机型、iPhone 7 和第一代 iPhone SE。   转自cnBeta，原文链接：https://www.toutiao.com/article/7278357476410556968/?log_from=dc4869e42f546_1694672379955 封面来源于网络，如有侵权请联系删除

近日，美国国家安全局（NSA）、联邦调查局（FBI）、网络安全和基础设施安全局（CISA）联合发布了一份网络安全信息表（CSI），以应对深度伪造所带来的新威胁。 CSI的标题为“将Deepfake威胁情境化到组织”，旨在帮助组织识别，防御和应对deepfake威胁。它建议组织实施实时验证功能、被动检测技术以及针对高级人员及其通信的保护措施等技术，以检测和缓解深度伪造。 深度伪造是指使用人工智能 （AI） 和机器学习技术合成创建或操纵的多媒体内容。包括各种形式的人工生成或操纵的媒体，包括浅/廉价的伪造，生成AI和计算机生成的图像（CGI）。网络行为者现在可以使用这些技术的便利性和规模对国家安全构成了独特的挑战。 与许多技术一样，深度伪造既可用于积极目的，也可用于恶意目的。虽然有迹象表明，有恶意行为者大量使用这种合成技术，但能力较差的恶意网络行为者可获得的合成媒体技术的可用性和效率不断提高，表明这些类型的技术可能会增加频率和复杂性。 深度伪造可能带来的不良后果诸多，比如一旦有人通过冒充领导者和财务人员或使用欺诈性通信来访问网络和敏感信息，就可用来破坏组织的品牌和财务。此外，深度伪造还有可能通过传播有关政治、社会、军事或经济问题的虚假信息来引起公众骚乱。 如今，像GitHub这样的开源存储库已经提供了现成的基于深度学习的算法，使这些技术的应用可供技术技能和设备最少的个人使用。 深度伪造和生成式人工智能的新兴趋势 报告中提到，与深度伪造的创造相关的技术发展动态趋势将继续降低将该技术用于恶意目的的成本和技术壁垒。到2030年，生成式人工智能市场预计将超过 1000 亿美元，以每年超过 35%的平均速度增长。尽管恶意行为者可用的能力将大幅增加，但寻求识别和减轻深度伪造的防御者可用的技术和技巧也将大幅提高。 为了应对这些不断变化的威胁，国家安全局、联邦调查局和中央情报局敦促安全专业人员实施CSI中提到了几点建议： 选择并实施检测深度伪造和展示媒体来源的技术：包括实时验证能力和程序、反向图像搜索、视觉/音频检查、元数据检查等； 保护高优先级个人的公共数据：为了保护个人信息不被用于或重新用于虚假信息，人们应该开始考虑使用主动认证技术，如水印或CAI标准。 组织应优先考虑信息共享，计划和演练对剥削企图的响应，并提供人员培训以最大程度地减少深度伪造的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/378043.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一种名为“MetaStealer”的新型信息窃取恶意软件可以从基于 Intel 芯片的 macOS 系统电脑中窃取各种敏感信息。 MetaStealer是一种基于Go语言编写的恶意软件，能够逃避 Apple 内置防病毒技术，主要目标针对商业用户。网络安全公司SentinelOne在 VirusTotal 上发现了一个恶意软件样本，其中有一条评论称利用MetaStealer的攻击者正在冒充企业客户来传播恶意软件。 根据SentinelOne的报告， MetaStealer 能够伪装成Adobe软件，如如“AdobeOfficialBriefDescription.dmg”和“Adobe Photoshop 2023（带 AI）installer.dmg”。在进行安装时，这些文件包含具有欺骗性名称的可执行文件，这些可执行文件显示为 PDF 文件，以诱骗受害者点击打开。 该恶意软件的应用程序包包含最基本的内容，即 Info.plist 文件、带有图标图像的 Resources 文件夹以及带有恶意 Mach-O 可执行文件的 macOS 文件夹。SentinelOne 检查的样本均未经过签名，尽管某些版本具有 Apple 开发者 ID。 MetaStealer 试图窃取被入侵系统钥匙串所保存的各类账号密码以及系统中保存的文件，并通过 3000 端口上的 TCP 外渗。 目前，MetaStealer 仅在 Intel x86_64 架构上运行，意味着它无法危害在 Apple Silicon 处理器（M1、M2）上运行的 macOS 系统，除非受害者使用 Rosetta 运行恶意软件。 然而，MetaStealer 可能会发布一个新版本，增加对 Apple Silicon 的本机支持。因此，MetaStealer是一个需要警惕的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378037.html 封面来源于网络，如有侵权请联系删除

不久前，研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞，这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。 这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，CVSS 评分为 8.8，影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后，这些漏洞的修复程序于 2023 年 8 月 23 日发布。 Akamai 安全研究员 Tomer Peled表示：该漏洞允许在 Kubernetes 集群内的所有 Windows 端点上以 SYSTEM 权限远程执行代码。要利用这个漏洞，攻击者需要在集群上应用恶意YAML文件。 亚马逊网络服务（AWS）、谷歌云（Google Cloud）和微软Azure都发布了针对这些漏洞的公告，这些漏洞影响到以下版本的Kubelet kubelet < v1.28.1 kubelet < v1.27.5 kubelet < v1.26.8 kubelet < v1.25.13，以及 kubelet < v1.24.17 简而言之，CVE-2023-3676 允许拥有 “应用 “权限（可与 Kubernetes API 交互）的攻击者注入任意代码，这些代码将在具有 SYSTEM 权限的远程 Windows 机器上执行。 Peled 还指出，CVE-2023-3676要求的权限很低，因此为攻击者设置的门槛也很低。他们需要的只是访问节点和应用权限。 该漏洞与 CVE-2023-3955 一样，都是由于缺乏输入清理而导致的，从而使特制的路径字符串被解析为 PowerShell 命令的参数，从而有效地执行命令。 另一方面，CVE-2023-3893 与容器存储接口（CSI）代理中的权限升级案例有关，它允许恶意行为者获得节点上的管理员访问权限。 具体来说，在处理 Pod 定义时，软件未能充分验证或清理用户输入。这一疏忽使得恶意用户能够制作带有环境变量和主机路径的 pod，这些环境变量和主机路径在处理时会导致权限升级等后果。   转自Freebuf，原文链接：https://www.freebuf.com/news/378035.html 封面来源于网络，如有侵权请联系删除

有消息称，英国《信息自由法》披露的数据显示，2023年上半年，英国运营关键信息技术基础设施服务的组织，向政府报告网络攻击严重干扰其运营的事件数量，已经超过了以往任何一年的报告总数。 尽管攻击总数似乎较低，只有13起影响到运营关键技术服务的组织（如国家互联网节点或回程运营商）的攻击，但这个数字较2022年和2021年分别记录的4次有显著增加。 NIS指令规定了事件报告要求 从发电厂到运输和医疗领域以及信息技术基础设施公司，英国各地的重要服务提供商都根据英国《网络和信息系统指令》（NIS指令）要求，向各行业主管机构报告干扰性网络事件。相关规定还为这些重要服务提供商的计算机网络设立了最低安全标准。 只有网络攻击造成的干扰满足某些门槛才会被报告。以配电网络的网络和信息系统事件为例，报告门槛是导致至少50000个客户发生计划外供电中断，且持续时间超过三分钟。以影响国家重要DNS解析器的事件为例，报告门槛是导致服务带宽在15分钟或更长时间内缩减超过25%。 事件报告数量增多不代表威胁形势更严峻 据了解，两个特定行业管理机构在今年上半年收到的报告比以往任何一年都要多。它们分别是从数字基础设施提供商那里接收报告的英国通信管理局（Ofcom），和监管云计算服务等数字服务提供商的英国信息专员办公室（ICO）。 经联系，其他管理机构没有提供自从2018年《网络和信息系统指令》生效以来的年度报告细分数据。因此，尚不清楚2023年上半年创记录数量的网络攻击事件是否涉及通信、数字服务领域之外的行业。 有私营部门专家表示，报告数量增加的原因更可能是服务提供商更清晰地意识到了他们的报告职责，加大了对检测能力的投资，而不是复杂威胁行为者发起了更多敌对活动。 一位政府发言人表示：“随着监管机构和受监管机构对报告要求有更清晰的理解，我们预计报告事件将继续增加。没有证据表明目前的增加与敌对活动增多有任何关联，任何这样的看法都毫无依据。” NIS事件报告暂无法准确量化行业威胁分析 但数据还显示，大量受监管组织提交的报告最终没有记录为NIS事件报告，这是因为指令对于网络攻击是否需要报告设置的门槛尚待优化。 这些门槛主要基于网络安全事件对基本服务提供的影响程度。比如，网络攻击是否干扰了发电厂的能源生产，是否阻止了铁路公司开行一定数量的列车。 然而，这些门槛没有衡量攻击者对计算机网络的访问深度，也没有衡量威胁行为者是否有能力干扰任何基本服务。所以，政府管理机构无法清晰地看出他们负责的行业面临的网络攻击风险有多大。 交通、数字服务、通信等行业事件报告数量居前 2020年，NIS指令修订后，ICO开始接收数字服务提供商的报告。该部门表示，截至目前已收到了10份有关服务干扰的报告（2020年1份，2021年2份，2022年2份，2023年5份），以及9份未达到门槛的报告（2020年1份，2021年1份，2022年1份，2023年1份）。 Ofcom在2022年记录了一起NIS事件，但该机构累积接收了7份未达到门槛的报告（2020年3份，2021年1份，2023年3份）。 卫生与社会保健部表示，自2018年以来，已收到2份网络和信息系统事件的报告，而交通部则透露，自法规生效以来，已收到关于25起事件的报告。但这两个部门没有说明这些报告的具体提交年份。 交通部表示，没有收到任何未达到门槛的报告。这与2021年天空新闻所报道的内容相矛盾，当时该部门表示已收到9份未达到门槛的报告。外媒The Record询问为何二者不一致，该部门未能提供解释。 能源安全与零排放部表示，自2018年法规生效以来，未收到网络和信息系统事件的报告，但已收到3份未达到报告门槛的报告。 政府发言人表示：“我们致力于保护英国关键服务免受网络威胁，强化事件报告是《网络和信息系统法规》的关键要素。去年，作为对公众咨询的回应，我们规划了扩大报告事件范围的详细计划，不再局限于影响基本或数字服务交付的事件。” 去年11月，英国政府发表题为“更新网络法律以增强英国对在线攻击的抵御力”的新闻稿，承诺将在“议会时间允许的情况下”更新法规。然而，政府尚未宣布任何新的法律。政府预计，2024年11月7日大选之前，标志议会开幕的国王演讲中将概述最终的立法议程。   转自安全内参，原文链接：https://www.secrss.com/articles/58791 封面来源于网络，如有侵权请联系删除

Akamai近日透露，已经挫败了针对一家美国银行的大规模DDoS（分布式拒绝服务）攻击，攻击峰值高达每秒5510万个数据包。这也是Akamai挫败的第三大规模的DDoS攻击。 根据Akamai的公告，该攻击发生在9月5日，洪水般的流量攻击了“美国最大、最有影响力的金融机构之一，虽然攻击只持续了不到两分钟，但由于犯罪分子使用ACK、PUSH、RESET和SYN洪水攻击向量，攻击流量达到了每秒633.7GB。” 攻击者的主要目标是该银行的网页登陆页面，试图扰乱其网上银行业务，但“没有造成附带损害或服务质量下降”。 Akamai声称，这次攻击是迄今为止针对美国金融公司的最大规模攻击。（2023年2月，Cloudflare声称阻止了有记录以来最大规模的单一DDoS事件，峰值每秒超过7100万个请求。） Akamai的研究人员指出，近年来试图破坏银行网站和业务的DDoS攻击流量正在增加。 从历史上看，科技公司、游戏公司、媒体/娱乐和互联网/电信提供商是DDoS攻击的主要目标，只有10%到15%的DDoS攻击针对银行客户。然而，自2021年以来，针对金融机构的DDoS攻击数量明显激增。“事实上，在过去的四个季度中，超过30%的DDoS攻击都是针对金融服务公司的。”Akamai研究人员透露。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/wBRA9V1_QLk9w1iKKy7fNQ 封面来源于网络，如有侵权请联系删除