安全快讯Top News

医疗设备巨头遭到网络攻击,100 万人敏感信息被泄露

近日,医疗设备制造商ZOLL表示,1月份的一次网络攻击暴露了超过100万人的敏感信息。 在提供给缅因州总检察长的文件中,ZOLL表示事件始于1月28日,当时他们在其内部网络上“检测到异常活动”。该公司补充到,信息是在2月2日被访问的,对该事件的调查正在进行中。 “可能已披露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者,“我们咨询了第三方网络安全专家,以协助我们对事件做出响应和补救,并根据法律要求通知了执法部门以及联邦和州监管机构。” ZOLL为受害者提供为期两年的 Experian 身份盗窃保护服务。Databreaches.net是第一个报告这些通知的人。该公司于周五开始发送违规通知函。 ZOLL总部位于马萨诸塞州,在加利福尼亚州、科罗拉多州、明尼苏达州、新泽西州、宾夕法尼亚州、罗德岛州和威斯康星州开发产品,产品销往140多个国家/地区。 其主要生产一系列设备,包括除颤和监测工具,以及用于循环和心肺复苏反馈、数据管理、治疗温度管理和通气的设备。这些产品通常销往诊所、医院、紧急医疗服务、军队和消防站。 此前,ZOLL曾在2018年、2019年两次宣布数据泄露。 2018年,ZOLL声称供应商负责在服务器迁移过程中暴露电子邮件服务器,服务器被暴露了七周,在此期间黑客访问了它并查看了数据。该漏洞影响了近300,000人,并泄露了医疗信息和社会安全号码,最终导致他们在一年后起诉IT供应商梭子鱼网络。 2019年,ZOLL由第三方存档的电子邮件在供应商的服务器迁移过程中暴露。该公司发布了一份详细说明数据曝光的新闻稿,暴露的信息包括患者姓名、地址、出生日期和部分医疗信息,一些患者的身份证信息也被暴露。发现泄露事件后,ZOLL立即启动了内部审查,277,319名患者受到此事件影响。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/sw56mj-DyehQtiiKIuBgrg 封面来源于网络,如有侵权请联系删除

在微软的 3 月安全更新中,这几个安全漏洞值得注意

近日,安全专家建议IT团队应优先修补两个零日漏洞,一个是微软Outlook的认证机制,另一个是web标记的绕过。这两个漏洞是微软在其3月补丁星期二安全更新中披露的74个安全漏洞的一部分。 在一篇博文中,Automox的研究人员建议企业在24小时内修补这两个漏洞,因为攻击者正在野外利用它们。此外,3月更新中的几个关键漏洞能够实现远程代码执行(RCE),因此它们也是需要高度优先修补的。 特权升级零日 其中一个零日是微软Outlook中的一个关键的权限升级漏洞,被追踪为CVE-2023-23397,它允许攻击者访问受害者的Net-NTLMv2挑战-回应认证哈希,然后冒充用户。 该漏洞的危险之处在于,攻击者只需发送一封特制的电子邮件,在用户在预览窗口中查看该邮件之前,Outlook就会检索并处理该邮件。 Tenable公司的高级研究工程师评论说:这是因为该漏洞是在电子邮件服务器端触发的,这意味着在受害者查看恶意邮件之前就会被利用。攻击者可以使用受害者的Net-NLMv2哈希值进行攻击,利用NTLM挑战-响应机制,让对手以用户身份进行认证。 ZDI研究员在博文中补充说,这使得该漏洞更像是一个认证绕过漏洞,而不是一个权限升级问题。而且,禁用预览窗口选项并不能减轻威胁,因为该漏洞甚至在这之前就已经被触发了。 安全绕过零日 微软将第二个零日漏洞确定为CVE-2023-248,这是一个Windows SmartScreen安全功能绕过问题,攻击者可以利用它绕过微软用来识别用户可能从互联网上下载的文件的Mark of the Web指定。 CVE-2023-248 影响到所有运行Windows 10及以上版本的桌面系统和运行Windows Server 2016、2019和2022的系统。 Goettl在一份声明中说:CVSSv3.1的得分虽然只有5.4,这可能不会引起太多企业的注意。确实,就其本身而言,CVE可能没有那么大的威胁,但它很可能被用在一个有其他漏洞的攻击链中。 其他安全漏洞 需要特别注意的一个RCE漏洞是CVE-2023-23415,它存在于网络设备用来诊断通信问题的互联网控制消息协议(ICMP)中。 微软表示:攻击者可以通过使用一个低级别的协议错误来远程利用这个漏洞,该错误在其标题中包含一个碎片化的IP数据包,被发送到目标机器上。该漏洞影响到多个微软产品,包括Windows 10、Windows 11、Windows Server 2008、2012、2016、2019和2022。 Automox还建议企业在72小时内解决CVE-2023-23416,即Windows加密服务协议中的一个RCE漏洞。这是因为,除其他外,它影响到所有版本的台式机Windows 10及以上,以及从Server 2012开始的所有Windows服务器版本。 除了新漏洞的补丁,微软还在3月的补丁周期中发布了四个之前漏洞的更新,全部来自2022年。Ivanti说,这次更新扩大了受漏洞影响的微软软件和应用程序的数量,并为它们提供了补丁。该安全厂商将这四个更新补丁列为CVE-2022-43552,CVE-2022-23257,CVE-2022-23825,以及CVE-2022-23816。     转自 Freebuf,原文链接:https://www.freebuf.com/news/360485.html 封面来源于网络,如有侵权请联系删除  

9 亿条印度警方业务机密数据疑似在暗网销售

一位数据泄露论坛的用户声称,可以访问一个包含超9亿条印度法律记录和文件的数据库,其中包括印度警方记录、报告、法庭案件,以及被告与被捕人员的详细信息。 该用户正在兜售这批数据,据称数据内容为JSON格式,附有指向原始PDF文件的链接。文件总大小约为600 GB,泄露数据的庞大规模可见一斑。 不过,这些数据的来源尚未确定,这也引发了人们对于数据合法性和泄露原因的担忧。 此外,出售此类敏感信息可能造成严重后果,包括个人信息滥用、胁迫、剥削甚至是设施等等。 9亿条印度警方记录和案件数据疑似被出售 图:暗网上出售的印度警方记录 据暗网上的卖家Tailmon介绍,这批失窃数据包含印度法律文件、印度警方记录(含指控文件)、法庭案件文件以及其他文件和文件夹。 Tailmon在3月13日发布的帖子中表示,“我所出售的是超过9亿份(600 GB)印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式,随附有原始PDF文件链接。” 近年来,多起数据泄露和网络攻击事件凸显出数据安全和隐私的重要性。失窃数据被公开出售,也进一步强调了采取严格措施保护敏感信息的必要性。 印度政府应采取措施应对 印度政府必须立即开展调查,采取必要措施以防止此类敏感信息的公开出售。 当局还应执行更严格的法规,确保处理个人信息的企业和个人遵守数据保护法。 此外,这次事件也提醒个人和组织应采取适当措施保护其数据,包括投资建设安全网络、对员工进行数据安全最佳实践培训,并定期更新安全协议以抵御潜在威胁。 总之,包含印度公民敏感法律文件的数据库被公开兜售令人担忧,防止个人信息滥用已经刻不容缓。 这起事件给印度政府、企业及个人敲响了警钟。数据安全和隐私保护应得到高度重视,并采取必要措施防范数据泄露和网络攻击。     转自 安全内参,原文链接:https://www.secrss.com/articles/52784 封面来源于网络,如有侵权请联系删除  

泄露 21GB 数据!知名安全公司遭黑客攻击

近日,一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是,在其官网上 ,Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生,主动保护数据、系统和应用程序。” 从网络上公开披露的信息获悉,网络安全公司 Acronis 主要提供集成了备份、恢复以及下一代基于人工智能的防恶意软件和保护管理整体解决方案,覆盖预防、检测、响应、恢复和取证的五个网络安全关键阶段。 黑客异常嚣张 3 月 9 日, FalconFeedsio 突然在推特上爆出安全公司 Acronis 遭遇网络攻击,包括证书文件、命令日志、系统配置和文件系统存档,Maria.db 数据库的 Python 脚本、备份配置内容以及备份操作的屏幕截图在内的大量数据被盗(超过 21GB)。 此外,FalconFeedsio 还提到网络犯罪分子嚣张的在黑客论坛上宣称“我泄露了一家名为 Acronis 的网络安全公司的并附上了一个微笑的表情符号。 数据被盗事件不断发酵后,Acronis 官方账号在 FalconFeedsio 的爆料推文下面回复称,只有一个客户上传诊断数据到 Acronis 文件服务器的凭据受到损害,其它的 Acronis 产品并未受到影响,公司的内部客户服务团队正在与该客户合作处理,会根据需要进行更新。 Acronis 作为一家拥有 2000 名员工的老牌网络安全公司,年收入数以亿计,正常逻辑下,如此规模的安全企业,内部势必有专业的安全团队,完善的安全运营体系以及强大的网络安全技术,才能获得市场认可,对外输出安全产品。 然而,这样的背景下,黑客仍能够轻松突破防御体系并盗取数据,侧面反映出当下网络攻击手段的高超以及网络环境的危险。 被鹰啄的“冤大头”不止 Acronis一家 数字化转型浪潮下,数据泄漏、勒索软件、黑客攻击层出不穷,数据泄露、勒索软件、DDoS 攻击、APT 攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变,滋养了一大批的黑客组织,对企业发展造成了严重威胁。 黑客组织经过不断优化网络攻击技术,已不能仅仅满足攻击普通的企业组织带来的成就感,开始向外部展现“实力”,首选目标无疑便是网络安全企业。当然,Acronis 也并非是首家遭受黑客攻击的安全企业,其它安全巨头同样深陷网络危机中。 网络安全公司 FireEye 遭受国家级网络攻击 网络安全公司 FireEye 在应对国家级网络威胁方面有着丰富经验,但仍难逃黑客组织的攻击。2020 年 8月, FireEye 公司首席执行官 Kevin Mandia 向外界证实其内部遭受网络袭击,并表示黑客访问了 FireEye 的内部系统,但没有证据表明任何数据或元数据被盗。 这看似是一起普通的网路攻击事件,但鉴于FireEye 有几个政府客户,恰巧黑客主要搜寻目标也是某些与 FireEye 政府客户有关的信息,再加上发动此次攻击的黑客组织拥有严格的纪律、顶尖的安全运营和技术。因此,不能排除攻击是某个“拥有一流网络攻击能力的国家”所发起的。 攻击事件发生后,FireEye 联合联邦调查局以及其它主要合作伙伴(微软)一起展开调查。随着调查的深入,安全人员发现这伙黑客明显经过高强度的安全作战训练,严格执行纪律,使用了非常罕见的技术组合来窃取 FireEye 的资料,并为 FireEye 定制了一套极具针对性的攻击方案。 FBI 网络司助理局长 Matt Gorham 更是直接指出,初步攻击迹象表明,攻击者的攻击水平与技术成熟度可以与国家级技术比肩。 FireEye 之所以成为攻击目标,可能是由于拥有专业的网络攻击武器库,并掌握一些行业内尚未发现的漏洞,这些漏洞具有较高的价值。值得一提的是,这并非 FireEye 公司首次遭到黑客攻击。2017年,FireEye 旗下的 Mandiant 公司的内网也曾被黑客入侵,导致大量内部资料泄露。 FireEye 作为全球最大的网络安全公司之一,仍没有逃脱被网络攻击的厄运。由此可见“没有黑不了的系统”,就算再专业的安全公司也不能保证百分百安全。 数字安全巨头 Entrust 遭遇勒索攻击 FireEye 遭受的网络攻击幕后黑手可能有国家背景,并不能呈现出现阶段黑客组织的恐怖(毕竟是国家力量),但接下来这家安全公司的遭遇,可见当下的安全环境是多么危险。 2022 年 7 月,安全资讯网站 Bleeping Computer 突然爆出消息,数字安全巨头 Entrust 承认自身遭遇了网络攻击,并表示攻击者大肆破坏了其内部网络以及窃取大规模敏感数据。 Entrust 作为是一家专注于在线信任、身份管理、支付和数据安全的信息安全巨头,提供广泛的安全服务,包括加密通信、安全数字支付、身份验证和数据保护解决方案,由此推断本次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。 此外,Entrust 的客户不仅仅是企业机构,包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等在内的许多美国政府机构都是其忠实客户,因此此次事件带来的威胁无疑是巨大的。 经过安全专家验证,Entrust 可能早在 6 月 18 日就被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据,攻击者确实从 Entrust 的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,最糟糕的情况是,三者都被窃取了。 Entrust 是一家全球性的数字安全巨头,相较于普通企业拥有大量优秀的安全人员以及完善的安全防护体系,仍旧成为了黑客组织的“刀下亡魂”,对于普通企业,特别是小微企业,在没有安全预算,资源投入的背景下,暴露在互联网世界,安全何以保障? 写在最后 全球数字化转型浪潮下,企业机构纷纷“重注”数据变革,产生海量数据资源,滋养了大批网络犯罪团体,网络安全事件频频发生,攻击手段不断迭代升级,类似 Entrust ,FireEye 等大型网络安全公司尚且难逃黑客的“毒手”,其它企业组织更难抵御。 坦白讲,现阶段的互联网环境,漏洞频出、勒索软件蔓延、攻击面广泛、黑客攻击手段不断升级,网络威胁层出不穷,黑客组织炫耀“武力”的方式也越来越残暴,数据安全公司遭受网络攻击也侧面证目前网络环境日渐危险,毕竟保护企业信息安全的”警卫员”都被黑客组织打穿了。 最后,虽然企业机构想要彻底从源头解决安全问题并不现实,但仍旧不能坐以待毙,应该尝试做好充足的防范措施,以期最大程度降低安全事件带来的影响。       转自 Freebuf,原文链接:https://www.freebuf.com/articles/neopoints/360353.html 封面来源于网络,如有侵权请联系删除

俄罗斯 Sputnik 疫苗 “机密 “信息遭遇泄露

Cyber News 网站披露,黑客组织 KelvinSecurity 在网上共享了数百份文件,其中包含俄罗斯 Sputnik V 新冠肺炎疫苗开发的相关信息,其中一些文件甚至囊括了临床试验中已故参与者的姓名信息。 Cybernews 通过推特与 KelvinSecurity 组织联系后获悉,该组织发动此次网络攻击的目的是想“看到”并证明 Sputnik 疫苗的治病效率并不高,高效治愈率仅仅是俄罗斯政府的宣传手段。 据悉,新冠疫情爆发后,俄罗斯方面推出 Sputnik V 接种疫苗,并一直宣称其为“世界上第一个注册的新冠肺炎疫苗”,尽管如此卖力宣传,由于缺乏临床试验数据和担心授权仓促,即使在俄罗斯,其推行接种也举步维艰。 许多敏感实验信息泄露 提及数据来源时,KelvinSecurity 组织表示主要来自对疫苗开发公司邮箱的“审查”,由此可见总部位于莫斯科的 Gamaleya 流行病学和微生物学研究所存在安全漏洞(该研究所是 Sputnik V(也称为Gam COVID Vac)和 SputnikLight 疫苗的研发机构)。 披露的文件中包含了疫苗开发阶段、财务成本和技术细节相关的文件等机密信息。其中一个文件描述了一名疫苗实验者在去年 2 月 17 日接种疫苗一个月后经历了“自然流产”。该文件没有进一步说明疫苗接种和怀孕流产是否直接相关。其它文件包括发票和研究论文的费用,其中一份标价为 700 万卢布(9.3万美元)。 值得一提的是,文件中还包括生产疫苗的不同实验室及其产量水平的信息, 除了内部电子邮件外,该漏洞还包含外部通信。例如,一家瑞士公司的电子邮件称,该公司“对你所在研究所选择的研究道路充满热情”,询问该公司是否可以向瑞士进口Sputnik V疫苗。(注:包括瑞士在内的大部分欧洲国家从未批准过这种疫苗)。   转自 Freebuf,原文链接:https://www.freebuf.com/news/360404.html 封面来源于网络,如有侵权请联系删除

Fortinet:新的零日漏洞攻击政府网络,窃取数据

近日,根据 Fortinet 最新报告:不明来源的的攻击者利用零日漏洞针对政府和大型组织,导致操作系统和文件损坏以及数据丢失。 Fortinet于2023年3月7日发布了安全更新,以解决这个高危安全漏洞(CVE-2022-41328),该漏洞可以让攻击者执行未经授权的代码或命令。 该公司在公告中说:FortiOS中的路径名对受限目录漏洞的不当限制(路径穿越)[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。 受影响的产品包括FortiOS 6.4.0至6.4.11版本,FortiOS 7.0.0至7.0.9版本,FortiOS 7.2.0至7.2.3版本,以及FortiOS 6.0和6.2的所有版本。 虽然该漏洞的公告没有提到该漏洞被人在野外利用,但Fortinet上周发布的一份报告显示,CVE-2022-41328漏洞已被用来入侵并攻陷客户的多个FortiGate防火墙设备。 数据窃取恶意软件 该事件是在被攻击的Fortigate设备中断后发现的,由于FIPS错误,系统进入错误模式并无法重新启动。 Fortinet说,发生这种情况是因为其支持FIPS的设备验证了系统组件的完整性,而且它们被设置为自动关闭并停止启动,以便在检测到破坏时阻止网络入侵。 这些Fortigate防火墙是通过受害者网络上的FortiManager设备被破坏的,因为它们同时停止,并且FortiGate路径遍历漏洞与通过FortiManager执行的脚本同时启动。 随后的调查显示,攻击者修改了设备固件镜像(/sbin/init),在启动过程开始前启动一个有效载荷(/bin/fgfm)。 这种恶意软件在收到含有”;7(Zu9YTsA7qQ#vm “字符串的ICMP数据包时,可以进行数据渗透,下载和写入文件,或打开远程外壳。 用来攻击政府网络的零日 Fortinet认为,这些攻击具有很强的针对性,主要针对政府网络。攻击者还具有很强的攻击手段及能力,包括反向设计FortiGate设备的部分操作系统。因为该漏洞需要对FortiOS和底层硬件有深入的了解。 今年1月,Fortinet披露了一系列非常类似的事件,2022年12月打了补丁并被追踪为CVE-2022-42475的FortiOS SSL-VPN漏洞也被用作针对政府组织和政府相关实体的零日漏洞。 最后,该公司建议Fortinet的用户立即升级到FortiOS的补丁版本,以阻止潜在的攻击。     转自 Freebuf,原文链接:https://www.freebuf.com/news/360360.html 封面来源于网络,如有侵权请联系删除

ChatGPT 浏览器扩展劫持 Facebook 商业账户

Dark Reading 网站披露, 3 月 3 日- 3 月 9 日,每天至少有 2000 人从 Google Play 应用商店下载”快速访问 ChatGPT“ 的 Chrome 恶意扩展。据悉,一名威胁攻击者可能利用该恶意扩展泄露包括商业账户在内的数千个 Facebook 账户。 从 Guardio 的分析结果来看,恶意 “快速访问 Chat GPT “的扩展程序承诺用户可以快速与近期大火的人工智能聊天机器人 Chat GPT 进行互动。然而事实上,该扩展程序偷偷地从浏览器中窃取所有授权活动会话的 cookies,并安装了一个后门,使恶意软件运营者能够轻松获得用户 Facebook 账户的超级管理员权限。 值得注意的是,”快速访问 Chat GPT “扩展程序仅仅是威胁攻击者利用 ChatGPT 大火来分发恶意软件和渗透系统的众多方式之一。 近几个月,随着 ChatGPT 持续火爆,以其主题的钓鱼电子邮件急剧增加,越来越多的攻击者使用假冒的 ChatGPT 应用程序传播 Windows 和 Android 恶意软件。 以 Facebook 商业账户为目标的 “僵尸军团” “快速访问 Chat GPT “的扩展程序实际上是通过连接聊天机器人的 API 实现了对 ChatGPT 的快速访问,但在访问过程中,该扩展还收集了用户浏览器中存储的包括谷歌、Twitter 和 YouTube 以及任何其它活动在内的所有 cookie 列表。 如果某个用户在 Facebook 上有一个活动、经过验证的会话,则恶意扩展插件为开发人员访问 Meta 的 Graph API。API 访问使扩展能够获取与用户 Facebook 帐户相关的所有数据,甚至可以代表用户采取各种行动。 更不幸的是,恶意扩展代码中的一个组件允许劫持用户的 Facebook 帐户,其方法是在用户帐户上注册一个恶意应用程序,并获得 Facebook 的批准。对此 Guardio 表示,Facebook 生态系统下的应用程序通常是一个 SaaS 服务,它被批准使用其特殊的 API。因此,通过在用户帐户中注册应用程序,威胁攻击者可以在受害者的 Facebook 帐户上获得完全管理模式,而无需获取密码或尝试绕过 Facebook 的双重身份验证。 如果恶意扩展遇到了一个 商业 Facebook 帐户,它会快速获取与该帐户相关的所有信息,包括当前活动的促销活动、信用余额、货币、最低计费阈值等。 一个有经济动机的网络罪犯 在 Facebook 通过其 Meta Graph API 授予访问权之前,首先必须确认该请求是来自一个经过认证的可信用户,为了规避这一预防措施,威胁者在恶意的浏览器扩展中加入了代码,确保从受害者的浏览器向Facebook 网站发出的所有请求都被修改了标题,以便它们看起来也是可信的,这使得该扩展能够使用受感染的浏览器自由地浏览任何 Facebook 页面(包括进行 API 调用和操作),而不留下任何痕迹。 最后,Guardio 评估后表示,威胁行为者可能会将其从活动中收获的信息卖给出价最高的人,该公司还预计攻击者有可能创建一个被劫持的 Facebook商业账户的机器人大军,利用受害者账户的钱来发布恶意广告。     转自 Freebuf,原文链接:https://www.freebuf.com/news/360243.html 封面来源于网络,如有侵权请联系删除  

美国政府 2024 财年预算提案:CISA 获 31 亿美元 再创新高

美国总统拜登发布2024财年预算提案,计划为网络安全和基础设施安全局(CISA)增加预算,同时提高联邦调查局(FBI)的网络调查能力。新的预算案还呼吁加强联邦政府的IT现代化工作,围绕性别相关网络犯罪推进网络安全工作,帮助乌克兰在数字战线上增强自我保卫能力。 “本预算案将继续投资网络安全计划,强调网络安全对于美国经济的基本运作、美国关键基础设施的正常运营、美国民主及民主制度的力量、美国数据和通信隐私及美国国家安全至关重要。”白宫在预算案的随附概述中表示,“日前签署的美国国家网络安全战略已经详细介绍一种全面方法,旨在更好地保护网络空间,确保美国处于最有利的地位,把握住数字未来所蕴含的一切收益和潜力。” 控制众议院的共和党已经对预算案内容表达了明确反对,这份预算规划恐怕不太可能直接通过。不过,预算法案中的网络安全条款一般会得到两党共同支持,因此相较于众议院领导层更为反感的债务上限和社会问题,网络安全条款得到保留和通过的可能性应该更高。 1、主要网络安全预算梳理 下面来看预算案中涉及网络安全的主要条款: CISA预算资金首次突破30亿美元 白宫表示,在新一年中将CISA的预算再增加1.45亿美元,总额达到31亿美元,以确保网络空间更具弹性和灵活性。这一前所未有的预算额度,也意味着CISA这个成立于2018年11月的年轻机构,掌握的资金首超30亿美元大关。 CISA的预算包括:9800万美元用于实施2021年《关键基础设施网络事件报告法》;4.25亿美元用于提高CISA内部的网络安全与分析能力,这也是其新的网络分析数据系统中的组成部分。国土安全部表示,该系统“是一个强大且可扩展的分析环境,能够为CISA的网络操作人员提供高级分析功能。” 能源部获得2.45亿美元,用于加强清洁能源安全和能源供应链安全 拜登政府提供2.45亿美元预算,用于加强清洁能源技术和能源供应链安全。预算还将增加对各州、地方、部落及领地政府的应急计划与准备援助,包括应对气候变化所造成的相关事件。 财政部新增1.15亿美元,用于改善“企业安全” 根据拟议预算,财政部将分得2.15亿美元,用于保护和捍卫敏感机构的系统和信息,其中包括被指定为高价值资产的各类系统和信息。这一数字比2023年的预算水平增加了1.15亿美元,增幅达51%。 此外,预算还上调了集中资金,用以加强财政部的整体网络安全工作,并继续实施零信任架构以保护财政部系统免受未来攻击影响。 司法部获得额外6300万美元,用于追查网络威胁 新的预算旨在扩大对司法部网络威胁调查能力的投资,其中6300万美元将用于扩充人员规模、增强响应能力并加强情报收集和分析能力。政府在预算案中指出,“这些投资符合国家网络安全战略,战略中强调应采取全国性方法来应对持续存在的网络威胁。” 技术现代化基金获得2亿美元预算 为了支持IT现代化改造,预算中还包含2亿美元的技术现代化基金(TMF),设立依据源自2017年的《政府技术现代化法案》。预算案称,“技术现代化基金占据着有利位置,能够寻求跨机构运用技术方案的机会,并投资于IT现代化、网络安全和面向用户的服务,借此显著推动联邦政府提供卓越、公平和安全的服务/客户体验的能力。” 近4亿美元用于加强全球网络和数字发展 预算案要求,投入超3.95亿美元用于推进全球网络和数字发展计划,包括国务院网络空间和数字政策局、美国国际开发署(USAID)的数字战略、全球基础设施和投资伙伴关系(PGII)数字连接工作,以及非洲数字化转型等区域性举措。 预算案还提到,政府计划增加国防部对印太地区的安全合作投资,将重点建设包括领域意识、后勤、网络安全以及指挥与控制等多个方面的能力。 投资解决涉及性别的网络犯罪活动:在总额达10亿美元的终止性别暴力预算提案中,将有1400万美元用于资助更新之后的《反暴力侵害妇女法》(VAWA,最初颁布于1994年)以解决技术滥用问题,应对指向个人的网络犯罪。 援助乌克兰专项资金 预算案还要求向乌克兰提供7.53亿美元,用以继续对抗俄罗斯的恶意影响,并满足关于安全、能源、网络安全、虚假信息、宏观经济稳定和公民社会恢复的新需求。 2、还需接受国会审查 在美国总统拜登向国会提交预算提案后,各联邦机构将向相关拨款委员会和小组委员会提交预算申请理由。这些提交的文件将启动新一轮涉及预算流程的国会监督行动。众议院也有责任对预算分配提案表达质疑。由于两党间的对立情绪高涨,今年的争论恐怕将趋于白热化。 拜登在宾夕法尼亚州的预算演讲中,对下一步行动做出部署。在谈到与众议院议长凯文·麦卡锡的对话时,拜登说他告诉麦卡锡,“我将在3月9日公布预算案,你也公布你的。我们一起坐下来逐条讨论、一一沟通。我们看看各自同意哪些内容、不同意哪些内容,之后再到国会里确定个结果来。”     转自 安全内参,原文链接:https://mp.weixin.qq.com/s/iPjZahHaZqOOER7lGhhL2Q 封面来源于网络,如有侵权请联系删除  

新版 Prometei 僵尸网络感染全球超过 1 万个系统

自2022年11月以来,新版本的Prometei的僵尸网络已经感染了全球超过10000个系统。这些感染没有地域的限制,大多数受害网络在巴西、印度尼西亚和土耳其。 Prometei在2016年首次被发现,是一个模块化的僵尸网络,具有大量的组件和几种扩散方法,其中一些还包括利用ProxyLogon微软Exchange服务器的缺陷。 这个跨平台僵尸网络的目标是金融领域,主要是利用其受感染的主机池来挖掘加密货币和收获凭证。 在《黑客新闻》的报告中说,Prometei的最新变体(称为v3)在其现有功能的基础上进行了改进,以进行取证分析,并进一步在受害者机器上钻取访问。 其攻击序列如下:在成功站稳脚跟后,执行PowerShell命令,从远程服务器下载僵尸网络恶意软件。然后,Prometei的主要模块被用来检索实际的加密采矿有效载荷和系统中的其他辅助组件。 其中一些辅助模块作为传播者,旨在通过远程桌面协议(RDP)、安全外壳(SSH)和服务器信息块(SMB)传播恶意软件。 Prometei v3还值得注意的是,它使用域生成算法(DGA)来建立其命令和控制(C2)基础设施。它还包括一个自我更新机制和一个扩展的命令集,以获取敏感数据并控制主机。 最后,该恶意软件还部署了一个Apache网络服务器,它捆绑了一个基于PHP的网络外壳,能够执行Base64编码的命令并进行文件上传。     转自 Freebuf,原文链接:https://www.freebuf.com/news/360219.html 封面来源于网络,如有侵权请联系删除

威胁全球 400 多家银行的金融木马

近日,针对安卓系统的银行木马Xenomorph发布第三个版本,攻击力大增,其全新的自动转账系统(ATS)框架可以窃取全球400多家银行的用户账户。更可怕的是,该木马可以绕过包括身份验证器在内的多因素认证方法。 最先进、最危险的木马之一 2022年2月,ThreatFabric首次在Google Play应用商店中发现了Xenomorph的第一个版本,累计下载量超过了5万次。 Xenomorph的第一个版本使用注入方法对56家欧洲银行进行覆盖攻击,并滥用可访问性服务权限来执行通知拦截,以窃取一次性口令。 整个2022年,Xenomorph的作者“Hadoken Security”都在持续开发,但新版本的分发量很少。 虽然2022年6月份发布的第二版Xenomorph v2经历了大幅度的代码重构,更加模块化和灵活,但是“雷声大雨点小”,在野外只有短暂的测试活动。 但不久前发布的Xenomorph第三个版本引起了网络安全业界的警惕,该版本比以前的版本更加强大和成熟,能够自动窃取数据,包括凭据、账户余额、执行银行交易和完成资金转账。 “有了这些新功能,Xenomorph现在能够完成从感染到资金泄露的整个欺诈链的自动化,这使其成为在野外流通的最先进和最危险的Android恶意软件木马之一。”ThreatFabric警告说。 通过MaaS模式挣钱 ThreatFabric报告称,Hadoken很可能计划通过MaaS(恶意软件即服务)平台向网络犯罪组织出售Xenomorph,并且还推出一个推广新版恶意软件的网站(下图)。   目前,Xenomorph v3版本正通过Google Play商店的“Zombinder”平台进行分发,冒充货币转换器,并在用户安装恶意负载后切换到Play Protect图标。 威胁全球400多家银行 最新版本的Xenomorph针对全球400家金融机构,主要分布在美国、西班牙、土耳其、波兰、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度。 目标银行的国家分布 数据来源:ThreatFabric Xenomorph的目标包括大通、花旗银行、美国运通、ING、汇丰银行、德意志银行、富国银行、美国运通、法国巴黎银行、联合信贷、加拿大国家银行、西班牙广播银行、桑坦德银行和凯克萨银行。 ThreatFabric在其报告(链接在文末)的附录中列出了所有400家目标银行。 此外,Xenomorph还可攻击多达13个加密货币钱包,包括币安、BitPay、KuCoin、Gemini和Coinbase。 自动绕过多因素认证 新版Xenomorph最引人注目的新功能是ATS框架,能为网络犯罪分子自动提取受害者账户凭据,检查账户余额,进行交易以及从目标应用程序中窃取资金,而无需执行远程操作。操作员只需发送JSON脚本,Xenomorph将其转换为操作列表,并在受感染的设备上自主执行操作。 “Xenomorph的ATS执行引擎在竞争中脱颖而出,这主要是因为ATS脚本支持添加大量可编程操作,此外还提供一个允许条件执行和操作优先级的系统。”ThreatFabrics研究人员解释说。 Xenomorph的ATS框架最危险也令人印象深刻的功能是:能够记录第三方身份验证应用程序的验证码,从而绕过MFA(多因素身份验证)保护。 Xenomorph恶意软件能够提取谷歌身份验证器中的动态验证码  来源:ThreatFabric 如今,全球越来越多的银行开始放弃不安全的短信多因素认证,转而建议客户使用身份验证器程序,但Xenomorph的新版本使得(同一部安卓手机安装的)身份验证器也变得不安全了。 Cookies窃取器 除此之外,新版Xenomorph还包含一个cookie窃取器,可以从安卓系统负责存储用户会话cookie的CookieManager中抓取cookie。 窃取器会启动一个浏览器窗口,其中包含启用了JavaScript界面的合法服务的URL,诱骗受害者输入登录详细信息。 通过窃取用户的cookie,攻击者可以劫持受害者的网络会话并接管他们的账户。 安全建议 虽然进入网络犯罪领域仅一年,但Xenomorph已经成为最危险的新恶意软件之一。 随着第三个版本的发布,Xenomorph对全球安卓手机用户的威胁大增。 除了需要降低对Google Play商店的信任外,安卓用户还需要意识到,基于身份验证器的多因素认证也未必靠谱,在安卓手机上已经可以被恶意软件绕过(建议将身份验证器程序和银行客户端程序安装在不同的设备上)。 最后,建议用户采用“最少可用原则”,手机上运行的应用程序数量尽可能少,并且仅安装值得信赖的供应商的应用程序。     转自 GoUpSec,原文链接:https://mp.weixin.qq.com/s/-atuaDQ7_ueOn6ZgAb2m6Q 封面来源于网络,如有侵权请联系删除