ISHACK AI BOT

目前，来自俄罗斯、土耳其、乌克兰和欧亚地区其他国家的超过 28,000 人正受到大规模加密货币窃取恶意软件活动的影响。 该恶意软件活动将自己伪装成通过 YouTube 视频和欺诈性 GitHub 存储库推广的合法软件，受害者在其中下载受密码保护的档案，从而引发感染。 据网络安全公司 Dr. Web 称，该活动使用盗版办公相关软件、游戏作弊和黑客行为，甚至自动交易机器人来欺骗用户下载恶意文件。 据悉，这次恶意软件活动总共影响了 28,000 多人，其中绝大多数是俄罗斯居民。另外。白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其也发现了大量感染病例。 宣传 Microsoft Excel 本地化（俄语）下载的恶意网站 感染链 感染首先打开一个自解压存档，该存档在下载时会逃避防病毒扫描，因为它受密码保护。受害者输入提供的密码后，存档会释放各种混淆的脚本、DLL 文件和用于启动主有效负载的数字签名加载程序的 AutoIT 解释器。 该恶意软件会检查调试工具是否存在，以查看它是否在分析人员的环境中运行，如果发现任何工具，则会终止。 接下来，它提取攻击后续阶段所需的文件，然后使用图像文件执行选项 (IFEO) 技术修改 Windows 注册表以实现持久性。 简而言之，它利用恶意服务劫持合法的 Windows 系统服务以及 Chrome 和 Edge 的更新进程，因此恶意软件文件会在这些进程启动时执行。 Windows 恢复服务被禁用，并且恶意软件文件和文件夹的“删除”和“修改”权限被撤销，以防止尝试清理。 从那时起，Ncat 网络实用程序用于与命令和控制 (C2) 服务器建立通信。该恶意软件还可以收集系统信息，包括运行的安全进程，并通过 Telegram 机器人窃取这些信息。 完整的攻击链 财务影响 该活动将两个关键有效负载传送到受害者的机器上。第一个是“Deviceld.dll”，这是一个经过修改的 .NET 库，用于执行 SilentCryptoMiner，它使用受害者的计算资源来挖掘加密货币。 第二个有效负载是“7zxa.dll”，这是一个经过修改的 7-Zip 库，充当剪辑器，监视 Windows 剪贴板中复制的钱包地址，并将其替换为攻击者控制下的地址。 Dr. Web 没有在报告中具体说明 28,000 台受感染机器的潜在挖矿利润，但发现仅 Clipper 就劫持了价值 6,000 美元的交易，并将金额转移到攻击者的地址上。 为避免意外的经济损失，请用户仅从该项目的官方网站下载软件，并阻止或跳过 Google 搜索上的推广结果。此外，请小心 YouTube 或 GitHub 上的共享链接，因为这些平台的合法性并不能保证下载目的地的安全。

TrickMo Android 银行木马的 40 个新变种已在野外被发现，与 16 个植入程序和 22 个不同的命令和控制 (C2) 基础设施相关，具有旨在窃取 Android PIN 的新功能。 Zimperium 是在 Cleafy 之前发布的一份报告调查了当前流通的一些（但不是所有）变种之后报告了这一情况。 TrickMo 于 2020 年首次由 IBM X-Force 记录，但据悉其至少从 2019 年 9 月起就被用于针对 Android 用户的攻击。 假锁屏窃取 Android PIN TrickMo 新版本的主要功能包括一次性密码 (OTP) 拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限，并根据需要自动点击提示。 作为一种银行木马，它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖，以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。 攻击中使用的银行覆盖层 Zimperium 分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕，模仿真正的 Android 解锁提示，旨在窃取用户的解锁图案或 PIN。 欺骗性用户界面是托管在外部网站上的 HTML 页面，并在设备上以全屏模式显示，使其看起来像合法屏幕。 当用户输入解锁图案或 PIN 码时，页面会将捕获的 PIN 码或图案详细信息以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 显示的假 Android 锁屏 窃取 PIN 允许攻击者通常在深夜在设备未受到主动监控时解锁设备，以实施设备欺诈。 受害者分布图 由于 C2 基础设施安全不当，Zimperium 确定至少有 13,000 名受害者受到该恶意软件的影响，其中大多数位于加拿大，在阿拉伯联合酋长国、土耳其和德国也发现了大量受害者。 TrickMo 受害者分布图 根据 Zimperium 的说法，这个数字相当于“几台 C2 服务器”，因此 TrickMo 受害者的总数可能更高。 据安全研究员分析表明，每当恶意软件成功窃取凭据时，IP 列表文件就会定期更新，在这些文件中已经发现了数百万条记录，表明威胁者访问了大量受感染的设备和大量敏感数据。 Cleafy 此前曾向公众隐瞒了妥协的迹象，因为配置错误的 C2 基础设施可能会将受害者数据暴露给更广泛的网络犯罪社区，但 Zimperium 现在选择将所有内容发布到这个 GitHub 存储库上。 然而，TrickMo 的目标范围十分广泛，涵盖银行以外的应用程序类型（和帐户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。 TrickMo 目前通过网络钓鱼进行传播，因此为了最大限度地降低感染的可能性，人们应避免不认识的人通过短信或直接消息发送的 URL 下载 APK。 Google Play Protect 可识别并阻止 TrickMo 的已知变体，因此确保其在设备上处于活动状态对于防御恶意软件至关重要。

Microsoft 已在未来版本的 Windows Server 中正式弃用点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP)，并建议管理员切换到提供更高安全性的不同协议。 20 多年来，该企业一直使用 PPTP 和 L2TP VPN 协议来提供对企业网络和 Windows 服务器的远程访问。 然而，随着网络安全攻击和资源变得更加复杂和强大，协议变得越来越不安全。例如，PPTP 很容易受到捕获的身份验证哈希值的离线强力攻击，而 L2TP 不提供加密，除非与其他协议（如 IPsec）结合使用。 但是，如果 L2TP/IPsec 配置不正确，可能会引入使其容易受到攻击的弱点。 因此，Microsoft 建议用户转向更新的安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2) 协议，这些协议可提供更好的性能和安全性。 微软表示：“此举是微软战略的一部分，旨在通过将用户过渡到安全套接字隧道协议（SSTP）和互联网密钥交换版本 2（IKEv2）等更强大的协议来增强安全性和性能。” 这些更新协议能提供相对来说的更加安全的加密、更快的连接速度和更好的可靠性，使它们更适合当今日益复杂的网络环境。 Microsoft 还分享了每个协议的以下优点： SSTP 的优点 ·强加密：SSTP使用SSL/TLS加密，提供安全的通信通道。 ·防火墙穿越：SSTP可以轻松穿过大多数防火墙和代理服务器，确保无缝连接。 ·易于使用：凭借 Windows 的本机支持，SSTP 的配置和部署非常简单。 IKEv2的优点 ·安全性高：IKEv2支持强大的加密算法和稳健的认证方法。 ·移动性和多宿主：IKEv2 对于移动用户特别有效，可在网络变化期间保持 VPN 连接。 ·性能卓越：与传统协议相比，IKEv2 能够更快地建立隧道并降低延迟，提供卓越的性能。 微软强调，当一项功能被弃用时，并不意味着它被删除。相反，它只是不再处于积极开发状态，并且可能会从未来版本的 Windows 中删除。此弃用期可能会持续数月至数年，让管理员有时间迁移到建议的 VPN 协议。 作为此弃用的一部分，Windows RRAS Server（VPN 服务器）的未来版本将不再接受使用 PPTP 和 L2TP 协议的传入连接。但是，用户仍然可以进行传出 PPTP 和 L2TP 连接。 为了帮助管理员迁移到 SSTP 和 IKEv2，Microsoft 在 6 月份发布了支持公告，其中包含了有关如何配置这些协议的步骤。

今年4月15日、7月8日，中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告，揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。 10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。 美研发嫁祸他国隐身“工具包”代号“大理石” 报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。 国家计算机病毒应急处理中心高级工程师杜振华介绍，“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。 技术团队调查发现，根据“大理石”工具框架源代码及其注释显示，它被确定为一个机密级（且不可向国外透露）的武器研发计划，起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法，它能将源代码文件中可读的变量名、字符串等替换为不可读（不可识别）内容，并且可以插入特定的干扰字符串。 杜振华说：“我们可以看到，这里边有阿拉伯语、中文、俄语、朝鲜语、波斯语，那么他在缓冲区做好混淆的数据之后，会把缓冲区的数据写入到指定的位置，或者是相应程序的文件当中，实现对这种网络武器痕迹的故意植入。” 安天科技集团技术委员会副主任李柏松介绍：“这是一种在网络攻击中比较常见的手段，比如说a组织把自己伪装成了b组织，而这种伪装可以在好多个不同的环节出现。比如他在架设命令控制服务器的过程中，或是在他窃密的木马开发过程中，好多个阶段都可以用这样的一些手法。而这就使得他的攻击变得很难去溯源。” 通过这些栽赃、虚构的手段，美国网络战部队和情报机构的黑客就能任意变换身份、变更形象，通过冒充其他国家的身份在全球实施网络攻击窃密活动，然后将这些行为栽赃给被冒充的非美国 “盟友”的国家。 技术团队通过掌握的证据发现，“伏特台风”行动就是一个典型的、精心设计的、符合美国资本集团利益的虚假信息行动，也就是所谓的“假旗”行动，其技战术与美国和“五眼联盟”国家情报机构所采用技战术完全吻合。 美对全球互联网用户实施无差别监听 我国网络安全机构发布的报告显示，美国政府机构之所以虚构出所谓中国背景的“伏特台风”网络攻击组织，目的就是为了继续把持《涉外情报监视法案》第“702条款”所赋予的“无证”监视权，以维持其庞大的“无差别”“无底线”监听计划。而正是有了“702条款”的相关权限，美国政府机构才能持续对全球互联网用户实施无差别监听，甚至直接从美国各大互联网企业的服务器上获取用户数据，是名副其实的网络空间“窥探者”。 技术团队调查发现，据美国国家安全局的内部绝密级资料显示，美国依托其在互联网布局建设中先天掌握的技术优势和地理位置优势，牢牢把持全球最重要的大西洋海底光缆和太平洋海底光缆等互联网“关键节点”，先后建立了7个国家级的全流量监听站。美国政府机构与英国国家网络安全中心紧密合作，对光缆中传输的数据进行解析和数据窃取，实现对全球互联网用户的无差别监听。 杜振华说：“通过对这些光缆中的数字信号进行提取、汇聚、还原、解码、解密，就可以得到光缆通信数据当中的语音信息、文字信息、视频信息，甚至是‘用户名密码’。这些情报的受益方很多，主要是两个方面，一方面是美国自己，当然包括美国的军方情报机构，另一方面是美国的情报合作伙伴，特别是像‘五眼联盟’国家。”报告显示，为了将窃取的数据实时转化成可阅读、可检索的情报信息，美国国家安全局实施了两个重点工程项目，分别是“上游”（UpStream）项目和“棱镜”（Prism）项目，这两个项目分别承担数据存储和数据还原分析的功能。 杜振华介绍：“‘上游’项目顾名思义，就是从海底光缆中把原始数据提取出来，汇聚形成一个巨大的数据水库，供后续进行深度分析。‘棱镜’计划就是在‘上游’项目的基础上，对数据水库当中的流量进行深度的分析分类，这两者实际上互为补充，都是美国网络监听项目的重要组成部分。” 据网络安全专家介绍，为了解决“上游”项目中加密数据破解和网络通信流量路径覆盖不全等突出问题，美国政府还会通过“棱镜”项目直接从微软、雅虎、谷歌、脸书、苹果等美国各大互联网企业的服务器上获取用户数据。 而“上游”和“棱镜”两个项目正是在《涉外情报监视法案》第“702条款”的授权下建设实施的，因此第“702条款”成为美国情报机构代表美国联邦政府合法、公开、持续窃取全球互联网链路数据的官方依据，也成为美国“窃密帝国”的扎实证据。 中国主要城市几乎都在美国网络秘密入侵范围内 报告显示，为了满足情报需要，针对监听系统“盲区”的特定目标，美国国家安全局下属的“特定入侵行动办公室”会发动网络秘密入侵行动，受害目标主要集中在亚洲、东欧、非洲、中东和南美等地区，据技术团队掌握的证据显示，特定目标已经被植入的间谍程序超过5万个。 技术团队调查发现，在美国国家安全局的内部文件中显示，中国境内的主要城市几乎都在其网络秘密入侵行动范围内，大量的互联网资产已经遭到入侵，其中包括西北工业大学和武汉市地震监测中心所在地区。 李柏松表示：“美方对间谍软件的控制有很多种不同的方式，比较易于理解的是网络远程控制。另外他们有一个代号为‘水蝮蛇’的装备，看起来就像是个USB的接头一样，然后可以伪装成类似于键盘、鼠标的接口，他把这个装备接入到物理隔离网络的设备上去，然后把窃取的数据通过信号的方式发送出来，甚至实现对它的一个控制。” 专家介绍，除了直接实施网络入侵行动窃取数据之外，针对一些防范等级高且入侵难度大的高价值目标，特别入侵行动办公室还会采取“供应链”攻击的方式，也就是在美国大型互联网企业或设备供应商的配合下，从物流环节拦截攻击目标，另外还会对攻击目标所采购的美国网络设备进行拆解并植入后门，然后重新打包发货给攻击目标。 李柏松介绍：“这种被做了手脚的设备得到使用之后，就会成为攻击者的一个突破口。攻击者可以利用它的漏洞、后门，在我们不知道的情况下进入到我们的内网。” 杜振华介绍：“它主要是针对这种防御能力比较强、攻击难度比较大的目标，特别是一些保密等级很高的目标，包括单位、个人和群体。它的隐蔽性非常强，所以能够实现长期潜伏的窃密活动。因为它有可能造成网络瘫痪，所以它的危害无论是从泄密度，还是安全隐患的角度，都是非常严重的。” 美方不断将网络攻击溯源政治化 通过“702条款”的授权，美国情报机构建立了规模庞大的全球化互联网监听网络，向美国政府机构提供了大量高价值情报，使美国政府屡屡在外交、军事、经济、科技等领域占得先机，“702条款”以及与之相配套的互联网监听系统成为现阶段美国维持其霸权地位的“秘密武器”。 报告显示，在拥有强大的先发技术优势条件下，任何目标都有可能被美国联邦政府及其情报机构列入“重点监控名单”，其中包括一些美国的“盟友”国家法国、德国、日本，甚至普通美国公民。 杜振华介绍：“这样无差别、无底线的监听，其实来源于美国的对外情报监视法案第‘702条款’，又被称为‘无证监视法案’。它的权力是非常大的，而且很少受到制约，所以实际上是美国对外肆无忌惮开展这种网络监听活动的一个根源。” 专家介绍，为了维持庞大的监听计划，美国政府机构每年所需的经费预算也是相当惊人，而这正是美国联邦政府及其情报机构合谋策划、推动“伏特台风”计划的主要动力。 杜振华介绍：“‘伏特台风’这种虚假叙事，实际上就是为了骗取国会为这些竞争项目投入更多的资金。同时，美国还必须通过这种虚假事实去保住‘702条款’这样一个无证监视的权利，还可以达到抹黑和诋毁中国的目的。” 报告指出，多年来，美国政府机构出于自身一己私利，不断将网络攻击溯源问题政治化，而微软等公司则为了迎合美国政客、政府机构和情报机构，出于提高自身商业利益考虑，打着“中国网络威胁论”的旗号，为“702条款”源源不断地输送情报。 中国一向反对政治操弄网络安全事件的技术调查，反对将网络攻击溯源归因问题政治化。报告再次呼吁，网络安全需要广泛的国际协作，广大网络安全企业和研究机构也应该专注于对网络安全威胁对抗技术的研究以及如何为用户提供更高质量的产品和服务。 文章来源：央视新闻客户端

往期回顾： 2024.9.23—2024.9.29安全动态周回顾 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾

Underground 勒索软件团伙声称对上周针对日本科技巨头卡西欧的攻击负责，此次攻击导致系统中断并影响了该公司的部分服务。近日，卡西欧在其网站上披露了此次攻击，但未透露有关该事件的详细信息，称已聘请外部 IT 专家来调查个人数据或其他机密信息是否在攻击中被盗。 目前，Underground 勒索软件组织已将卡西欧添加到其暗网勒索门户网站上，泄露了据称从这家日本公司窃取的大量数据。 泄露的数据包括： 社外秘、法律文件、员工个人资料、保密保密协议、员工工资信息、专利信息 公司财务文件、项目信息、事件报告。 如果上述情况属实，则此次攻击已经损害了卡西欧的员工和知识产权，这可能对其业务产生负面影响。 卡西欧数据在 Underground 勒索软件门户网站上泄露 有媒体再次联系卡西欧，询问对威胁者的说法和数据泄露发表评论，但尚未收到任何回应。 Underground 勒索软件概述 根据 Fortinet 2024 年 8 月下旬的报告，Underground 是自 2023 年 7 月以来针对 Windows 系统的规模相对较小的勒索软件操作。 该病毒与俄罗斯网络犯罪组织“RomCom”(Storm-0978) 有关，该组织此前曾在被破坏的系统上向古巴传播勒索软件。 Fortinet 报告称，今年夏天，Underground 勒索软件运营商开始利用 CVE-2023-36884，这是 Microsoft Office 中的一个远程代码执行缺陷，很可能被用作感染媒介。一旦系统遭到破坏，攻击者就会修改注册表，以在用户断开连接后使远程桌面会话保持活动状态 14 天，从而为他们提供一个舒适的窗口来保持对系统的访问。 Underground 不会向加密文件附加任何文件扩展名，并且它被配置为跳过 Windows 操作必需的文件类型，以避免导致系统无法使用。此外，它还会停止 MS SQL Server 服务，以释放数据以供盗窃和加密，从而最大限度地扩大攻击的影响。 与大多数 Windows 勒索软件的情况一样，Underground 会删除卷影副本，从而使数据无法轻松恢复。 Underground 的勒索信 Underground 勒索策略的一个独特特征是，它还会泄露 Mega 上被盗的数据，通过其 Telegram 频道推广指向那里托管的档案的链接，从而最大限度地提高数据的曝光度和可用性。 Underground 勒索软件的勒索门户目前列出了 17 名受害者，其中大多数位于美国。 卡西欧的攻击是否会成为威胁组织进入主流的突破口，进而带来更高的攻击量节奏，还有待观察。

Mallox 勒索软件行动的附属机构（也称为 TargetCompany）被发现使用稍微修改过的 Kryptina 勒索软件版本攻击 Linux 系统。 SentinelLabs 表示，此版本与其他针对 Linux 的 Mallox 变体不同，例如 Trend Micro 研究人员去年 6 月描述的变体，这突显了勒索软件生态系统的策略转变。此外，这再次表明，之前只针对 Windows 的恶意软件 Mallox 正在将 Linux 和 VMWare ESXi 系统纳入其攻击范围，标志着该行动的重大演变。 从 Kryptina 到 Mallox Kryptina 于 2023 年底作为针对 Linux 系统的低成本（500-800 美元）勒索软件即服务 (RaaS) 平台推出，但未能在网络犯罪社区引起关注。 2024 年 2 月，其所谓的管理员使用别名“Corlys”在黑客论坛上免费泄露了 Kryptina 的源代码，据推测这些源代码被有意获得可运行的 Linux 变体的随机勒索软件参与者获取。 威胁者泄露源代码 在 Mallox 的一家附属公司遭遇操作失误并暴露其工具后，SentinelLabs 发现 Kryptina 已被该项目采用，其源代码被用于构建重新命名的 Mallox 有效载荷。 暴露服务器上的 Kryptina 源代码 重新命名的加密器名为“Mallox Linux 1.0”，使用 Kryptina 的核心源代码、相同的 AES-256-CBC 加密机制和解密例程，以及相同的命令行构建器和配置参数。 这表明 Mallox 附属公司仅修改了外观和名称，删除了赎金记录、脚本和文件上对 Kryptina 的引用，并将现有文档转置为“精简”形式，其余部分保持不变。 Mallox Linux 1.0 勒索信 除了 Mallox Linux 1.0 之外，SentinelLabs 还在威胁者的服务器上发现了各种其他工具，包括： ·合法的卡巴斯基密码重置工具 (KLAPR.BAT) ·CVE-2024-21338 漏洞利用，Windows 10 和 11 上的权限提升漏洞 ·权限提升 PowerShell 脚本 ·基于 Java 的 Mallox 有效载荷投放器 ·包含 Mallox 有效载荷的磁盘映像文件 ·14 个潜在受害者的数据文件夹 目前，尚不确定 Mallox Linux 1.0 变体是由单个附属机构、多个附属机构还是所有 Mallox 勒索软件运营商与 Linux 变体一起使用。

从上月开始，俄罗斯网络安全公司卡巴斯基从美国各地客户的计算机中删除了其反恶意软件，并自动用 UltraAV 的防病毒解决方案取而代之。 此前，卡巴斯基决定关闭其美国业务并裁掉美国员工，以回应美国政府于 6 月将卡巴斯基列入实体名单，该名单列出了“被视为国家安全问题的外国个人、公司和组织”。6 月 20 日，拜登政府还宣布，由于存在潜在的国家安全风险，将从 2024 年 9 月 29 日起禁止在美国销售和更新卡巴斯基杀毒软件。 7 月，卡巴斯基表示，由于销售和分销禁令，该公司将于 7 月 20 日开始关闭业务并裁员。9 月初，卡巴斯基还向客户发送电子邮件，保证在卡巴斯基停止向美国客户销售软件和更新后，他们将继续从 UltraAV（Pango Group 旗下）获得“可靠的网络安全保护”。 然而，这些电子邮件没有告知用户，卡巴斯基的产品将突然从他们的计算机中删除，并由 UltraAV 替换，且不会发出任何提示。 卡巴斯基关于 UltraAV 过渡的电子邮件 UltraAV 被强制安装在卡巴斯基用户的电脑上 许多在线客户表示，UltraAV 的软件在未经任何事先通知的情况下就安装在他们的计算机上，因此许多人担心他们的设备已感染恶意软件。 虽然有些用户可以使用该软件的卸载程序卸载 UltraAV，但那些尝试使用卸载应用程序删除它的用户发现它会在重启后重新安装，这进一步引发了用户对潜在恶意软件感染的担忧。有些人还发现安装了 UltraVPN，可能是因为他们订阅了卡巴斯基 VPN。 除了隶属于 Pango Group之外，人们对 UltraAV 知之甚少。 UltraAV 在其官方网站上专门介绍卡巴斯基软件强制转换的页面上表示：“如果您是卡巴斯基的付费客户，转换完成后，UltraAV 保护将在您的设备上激活，您将能够利用所有额外的高级功能。2024 年 9 月 30 日，卡巴斯基将不再能够为您的服务提供支持或产品更新。这会使您面临巨大的网络犯罪风险。” 强制切换到 UltraAV 背后的“软件更新” 卡巴斯基的一名员工也在公司官方论坛上分享了有关强制切换到 UltraAV 的官方声明，称其“与防病毒提供商 UltraAV 合作，以确保继续为无法再获得卡巴斯基保护的美国客户提供保护”。 卡巴斯基将与 UltraAV 合作，使向其产品的过渡尽可能无缝，这就是为什么 9 月 19 日，美国卡巴斯基反病毒软件客户收到了促进向 UltraAV 过渡的软件更新。 该公司表示“此次更新确保用户在卡巴斯基退出市场后不会遇到保护漏洞。” UltraAV 具有与其产品类似的功能集，并要求客户查看 UltraAV 网站上的常见问题解答页面或联系其支持团队以获取更多信息。早些时候，有媒体联系卡巴斯基发言人时暂未得到回应。

据悉，针对 Twilio 和 Cloudflare 员工的攻击与大规模网络钓鱼活动有关，该活动导致 130 多个组织的 9,931 个帐户遭到入侵。 研究人员表示，这些活动与针对身份和访问管理公司 Okta 的攻击有关，该公司为威胁者取了 0ktapus 的绰号。 Group-IB 研究人员在最近的一份报告中写道：“威胁者的主要目标是从目标组织的用户那里获取 Okta 身份凭证和多因素身份验证 (MFA) 代码。”这些用户收到的短信包含模仿其组织的 Okta 身份验证页面的钓鱼网站链接。 受影响的有 114 家美国公司，另有其他 68 个国家也受到了影响。Group-IB 高级威胁情报分析师表示，攻击范围仍不得而知。 0ktapus 黑客想要什么 根据 Group-IB 分析的受损数据分析，0ktapus 攻击者的攻击目标是电信公司。虽然不确定威胁者如何获得用于 MFA 相关攻击的电话号码列表，但研究人员认为，0ktapus 攻击者的攻击目标大概率是电信公司。 接下来，攻击者通过短信向目标发送钓鱼链接。这些链接指向模仿目标雇主使用的 Okta 身份验证页面的网页。然后，受害者被要求提交 Okta 身份凭证以及员工用于保护其登录信息的多因素身份验证 (MFA) 代码。 在附带的技术博客中，Group-IB 的研究人员解释说，最初主要针对软件即服务公司的攻击只是多管齐下的攻击的第一阶段。0ktapus 的最终目标是访问公司邮件列表或面向客户的系统，以期促进供应链攻击。 在 Group-IB 发布报告的几个小时内，DoorDash 公司透露，它遭受了一次具有 0ktapus 式攻击所有特征的攻击。 爆炸半径：MFA 攻击 DoorDash 在博客文章中透露：“未经授权的一方利用窃取的供应商员工凭证访问了我们的一些内部工具。”根据该帖子，攻击者继续窃取客户和送货员的个人信息，包括姓名、电话号码、电子邮件和送货地址。 Group-IB 报告称，攻击者在攻击过程中破解了 5,441 个 MFA 代码。虽然 MFA 等安全措施看起来很安全，但很明显，攻击者可以用相对简单的工具攻破它们。 为了缓解 0ktapus 的活动，研究人员建议人们应注意 URL 和密码的安全，并使用符合 FIDO2 的安全密钥进行 MFA。无论使用哪种 MFA，都应该向用户传授针对其 MFA 形式实施的常见攻击类型、如何识别这些攻击以及如何应对。

往期回顾： 2024.9.16—2024.9.22安全动态周回顾 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾 2024.8.5—2024.8.11安全动态周回顾

在一起针对用户的电子邮件活动中，研究人员发现了恶意代码，分析后发现是在生成人工智能服务的帮助下创建的，用于传播 AsyncRAT 恶意软件。 尽管供应商实施了保护措施和限制，但人工智能工具依然可能被滥用来创建恶意软件。安全研究人员在真实的攻击中发现了人工智能创建的恶意软件的可疑案例。 今年早些时候，网络安全公司 Proofpoint 发现了一个恶意 PowerShell 脚本，该脚本可能是使用人工智能系统创建的。 随着技术含量较低的恶意分子越来越依赖人工智能来开发恶意软件，惠普安全研究人员在 6 月初就发现了一次恶意活动，该活动使用的代码评论方式与生成式人工智能系统创建的方式相同。 该活动利用 HTML 走私来提供受密码保护的 ZIP 存档，研究人员通过暴力破解来解锁该存档。 HP Wolf Security 报告称，技术技能较低的网络犯罪分子越来越多地使用生成式 AI 来开发恶意软件，2024 年第二季度的“威胁洞察”报告中提供了一个例子。 6 月初，惠普发现了一项针对法国用户的网络钓鱼活动，采用 HTML 走私提供包含 VBScript 和 JavaScript 代码的受密码保护的 ZIP 存档。 JavaScript 中的 AES 加密实现 在暴力破解密码后，研究人员分析了代码，发现“攻击者对整个代码进行了巧妙的注释”，这在人类开发的代码中很少发生，因为威胁分子通常希望隐藏恶意软件的工作原理。 据HP Wolf Security 的报告显示：“这些注释准确地描述了代码的作用，就像生成式人工智能服务可以创建带有解释的示例代码一样” 。 VBScript 在受感染的计算机上建立了持久性，创建计划任务并在 Windows 注册表中写入新密钥。研究人员指出，指向人工智能生成的恶意代码的一些指标包括脚本的结构、解释每行的注释、选择函数名称和变量的本地语言。 VBScript 代码中的注释 在后期阶段，攻击会下载并执行 AsyncRAT，这是一种开源且免费提供的恶意软件，可以记录受害者计算机上的击键并提供加密连接以进行远程监视和控制。该恶意软件还可以提供额外的有效负载。 完整的感染链 HP Wolf Security 报告还强调，根据其可见性，归档是今年上半年最流行的交付方式。生成式人工智能可以帮助较低级别的威胁参与者在几分钟内编写恶意软件，并针对针对不同区域和平台（Linux、macOS）的攻击进行定制。 即使他们没有使用人工智能来构建功能齐全的恶意软件，黑客在创建更高级的威胁时也会依靠这项技术来加快他们的工作速度。

互联网情报公司 GreyNoise 报告称，自 2020 年 1 月以来，它一直在追踪包含伪造互联网流量的大量“噪音风暴”。 然而，尽管进行了广泛的分析，仍未得出其来源和目的的结论。这些噪音风暴被怀疑是秘密通信、DDoS 攻击协调信号、恶意软件操作的秘密指挥和控制 (C2) 通道，或配置错误的结果。 一个奇怪的方面是生成的 ICMP 数据包中存在“LOVE”ASCII 字符串，这进一步增加了对其目的的猜测，并使案件更加有趣。 GreyNoise 发布此信息，希望网络安全研究人员社区能够帮助解开这个谜团，并揭示出造成这些奇怪噪音风暴的原因。 噪音风暴的特征 GreyNoise 观察到大量伪造的互联网流量，这些流量来自 QQ、微信和 WePay 等各种来源的数百万个伪造 IP 地址。 这些“风暴”会向 Cogent、Lumen 和 Hurricane Electric 等特定互联网服务提供商发起大量流量，但会避开其他服务提供商，尤其是亚马逊网络服务 (AWS)。 流量主要集中于 TCP 连接，特别是针对端口 443，但也有大量 ICMP 数据包，最近其中包括嵌入的 ASCII 字符串“LOVE”，如下所示。 包含“Love”字符串的 ICMP 数据包 TCP 流量还会调整窗口大小等参数来模拟不同的操作系统，使活动保持隐秘，难以被精确定位。生存时间 (TTL) 值决定了数据包在被丢弃之前在网络上停留的时间，该值设置在 120 到 200 之间，以模拟真实的网络跳数。 总而言之，这些“噪音风暴”的形式和特征表明，是参与者的蓄意所为，而不是错误配置的大规模产物。 GreyNoise 呼吁共同解决 这种奇怪的流量模仿合法的数据流，虽然尚不清楚它是否是恶意的，但其真正目的仍然是个谜。GreyNoise 在 GitHub 上发布了最近两次噪音风暴事件的数据包捕获 (PCAP)，邀请网络安全研究人员加入调查，集思广益建言献策，以帮助解开这个谜团。 GreyNoise 强调：“噪声风暴提醒我们，威胁可能以不同寻常和怪异的方式出现，这恰恰凸显了超越传统安全措施的适应性策略和工具的必要性。”

在一名威胁者声称正在出售一个包含 8700 万条客户信息记录的被盗数据库后，Temu 否认遭到黑客攻击或遭遇数据泄露。该威胁者本周在 BreachForums 黑客论坛上出售了所谓的数据，并附带了一个小样本作为被盗数据的证据。Temu 表示，它已经检查并交叉核对了数据样本与其数据库，但没有发现任何匹配项。 黑客声称已攻破 Temu Temu 是一个快速发展的电子商务平台，以具有竞争力的价格提供各种产品，专注于低价服装、家居用品、电子产品和配饰，业务遍布全球，包括欧洲和美国，其大幅折扣和促销策略在这些国家广受欢迎。尽管 Temu 因数据隐私、产品质量和运输时间问题而受到审查，但到目前为止，它还没有成为重大数据泄露事件的中心。 近期，一名绰号为“smokinthashit”的威胁分子声称从 Temu 窃取了一个包含 8700 万条记录的数据库，并试图将其出售给其他网络犯罪分子。 威胁分子公布了涉嫌窃取的数据样本，其中包含用户名和 ID、IP 地址、全名、出生日期、性别、送货地址、电话号码和散列密码。 威胁分子在 BreachForums 上的帖子 Temu 称其并未受到侵犯 得到消息后，Temu 断然否认发布的数据是他们的，并表示将对传播这些错误信息的人提出指控。随后，Temu 团队发出声明表示“我们严肃对待任何损害我们声誉或伤害我们用户的行为，并保留对传播虚假信息和试图从此类恶意活动中获利的人采取法律行动的权利。” 该电子商务平台还强调，它遵循行业领先的数据保护和网络安全实践，并指出该应用程序的 MASA 认证、独立验证、其 HackerOne 漏洞赏金计划以及对 PCI DSS 支付安全标准的遵守。 威胁者称此次入侵是真实存在的 有媒体就此次入侵事件联系了威胁者，他们坚持称已经入侵了 Temu。威胁者表示现在仍然可以访问该公司的电子邮件和内部面板，并且他们的代码存在漏洞。 其实，无论数据泄露指控是否有效，它们仍然会损害公司的声誉并在客户中播下不信任的种子。 出于谨慎考虑，如果您是 Temu 用户，最好在您的帐户上启用双因素身份验证，将密码更改为新的和独特的密码，并对潜在的网络钓鱼尝试保持警惕。外媒再次就这些进一步的指控联系了 Temu，但没有立即得到回复。

新员工入职对任何企业来说都是一个重要的时刻——毕竟，这是让新团队成员融入公司及其文化的机会。但是，入职时间框架也会带来一系列独特的安全风险，因为企业要与新加入企业的人分享敏感信息。 本文探讨了为什么入职流程和新员工对网络犯罪分子来说具有吸引力，确定入职期间风险最高的领域，并了解减轻这些风险的最佳做法。 为什么新员工是黑客的理想目标 新员工加入公司后，会面临完全陌生的环境，对公司流程、沟通方式或安全协议知之甚少甚至一无所知。这种知识的缺乏使他们成为社会工程攻击的主要目标。 一般来说，黑客会冒充公司内的同事或权威人物，从而专注于诱骗新加入者泄露敏感信息或授予其安全系统的访问权限。 此外，新员工往往非常渴望给同事留下良好、积极的印象。他们希望自己看起来积极参与、积极响应、乐于合作，这种热情可能会导致他们在没有彻底验证其合法性的情况下快速点击链接或附件。 黑客利用这种热情，精心策划有针对性的网络钓鱼活动，这些活动更有可能在新员工身上取得成功。 黑客如何识别新员工？可以通过 LinkedIn 或其他专业社交平台了解同事或前任老板是否有新工作，方法是一样的。黑客通过 LinkedIn 识别新员工及其在组织内的新职位，然后利用这些信息创建高度个性化的网络钓鱼电子邮件或社交工程尝试，这些尝试最有可能欺骗新员工。 入职过程中哪些地方会产生风险 入职过程中存在许多风险。最大的风险之一是共享敏感信息，尤其是密码。许多企业仍然依赖不安全的方法与新员工共享密码，包括通过纯文本短信或电子邮件发送密码。这些方法容易受到中间人攻击，黑客会拦截通信并获取密码。 一些公司试图通过让经理口头向新员工传达密码来降低这种风险。但尽管这种方法似乎更安全，但现实是它在保管链中引入了另一个潜在的妥协点。本质上，它使经理成为另一个黑客目标，增加了密码被泄露的可能性。 研究还发现了密码泄露的另一个令人担忧的趋势：员工通常不会更改 IT 团队为其首次登录提供的“临时”登录密码。当新员工在入职期间获得临时密码时，他们可能不会优先将其更改为强大的独特密码。这种疏忽使企业更容易受到攻击，因为这些临时密码有可能更弱或很容易被猜到。 如何降低新员工入职风险 为了最大限度地降低新员工入职的风险，企业应遵循以下最佳实践： ·遵循最小权限原则：设置新用户帐户时，仅授予员工执行工作职能所需的权限。限制对敏感信息和系统的访问可以减少帐户被盗用时的潜在损害。 ·制定明确的网络安全政策：企业网络安全的强度取决于其最薄弱的领域。考虑到这一点，请确保制定全面的安全政策，涵盖组织数字环境的所有方面。这些政策应在入职期间明确传达给新员工，确保他们了解他们在维护安全工作环境方面的角色和职责。 ·定期进行安全意识培训：为所有员工尤其是新员工提供持续培训，对于让他们了解最新的安全威胁和最佳做法非常重要。培训应涵盖识别网络钓鱼企图、创建强密码和安全处理敏感信息等主题。 ·实施安全的密码分发：不要以纯文本或口头方式分享员工的第一个密码，而要考虑使用安全的解决方案，例如可以允许新员工通过安全的自助服务门户设置自己的密码，无需纯文本传输或口头交流。必须确保新员工创建符合企业安全策略的强大而独特的密码。 保护数字资产 入职流程为企业带来了独特的安全挑战。为了保护企业的数字资产，必须了解为什么新员工会成为如此有吸引力的黑客目标，并确定入职过程中引入风险的领域。 实施最佳实践（包括遵循最小特权原则和进行持续的安全意识培训）能够降低数据泄露的可能性。为了获得更大的保护，可考虑采用安全的密码分发解决方案。

BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。 Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一个命令行工具，可以促进与 Azure 存储之间的大规模数据传输。在网络安全公司 modePUSH 观察到的攻击中，被盗数据随后被存储在云中的 Azure Blob 容器中，威胁分子随后可以将其传输到他们自己的存储中。 Azure 存储资源管理器界面 然而，研究人员指出，攻击者必须进行额外操作才能使 Azure 存储资源管理器正常工作，包括安装依赖项和将 .NET 升级到版本 8。此举也表明勒索软件操作越来越关注数据盗窃，这是威胁分子在随后的勒索阶段的主要手段。 为什么选择 Azure 虽然每个勒索软件团伙都有自己的一套泄露工具，但勒索软件团伙通常使用 Rclone 与各种云提供商同步文件，并使用 MEGAsync 与 MEGA 云同步。 Azure 是企业经常使用的受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。因此，通过它进行的数据传输尝试更有可能顺利通过且不被发现。 此外，Azure 的可扩展性和性能使其能够处理大量非结构化数据，当攻击者试图在最短的时间内窃取大量文件时，这一点非常有益。 modePUSH 表示，它观察到勒索软件参与者使用多个 Azure 存储资源管理器实例将文件上传到 blob 容器，从而尽可能加快这一过程。 检测勒索软件泄露 研究人员发现，威胁分子在使用存储资源管理器和 AzCopy 时启用了默认的“信息”级别日志记录，这会在 %USERPROFILE%\.azcopy 处创建一个日志文件。 该日志文件对于事件响应人员特别有价值，因为它包含有关文件操作的信息，使调查人员能够快速确定哪些数据被盗（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效载荷（DOWNLOADSUCCESSFUL）。 数据传输成功日志 防御措施包括监控 AzCopy 执行情况、到“.blob.core.windows.net”或 Azure IP 范围的 Azure Blob 存储端点的出站网络流量，以及对关键服务器上的文件复制或访问中的异常模式设置警报。 如果企业已经使用 Azure，建议选中“退出时注销”选项以在退出应用程序时自动注销，防止攻击者使用活动会话进行文件窃取。

往期回顾： 2024.9.9—2024.9.15安全动态周回顾 2024.9.2—2024.9.8安全动态周回顾 2024.8.26—2024.9.1安全动态周回顾 2024.8.19—2024.8.25安全动态周回顾 2024.8.12—2024.8.18安全动态周回顾 2024.8.5—2024.8.11安全动态周回顾 2024.7.29—2024.8.4安全动态周回顾

近日，蚂蚁安全正式对外开放新一代软件供应链安全技术——源蜥，2024年源蜥将开放200名免邀请试用名额（https://cybersec.antgroup.com/），推动行业软件供应链安全技术升级。 与传统软件组成成份分析技术（Software Composition Analysis，SCA）相比，源蜥“新”在哪里？能解决用户的哪些痛点？ 1、传统SCA用户面临的问题 传统SCA的用户，经常会遇到SCA扫描动辄报出数万个漏洞，即使只关注高危以上的漏洞，也有数千个。面对这数以千计的高危漏洞： 一方面，漏洞修复的成本很高，全部修复会严重拖累业务的快速发展，在企业内部难以落地； 另一方面，如果不修复这些漏洞，对企业有严重安全威胁的漏洞也会淹没在其中，使企业面临着较大的安全风险。 2、原因分析 传统SCA检测漏洞主要包括三个环节，如图1所示： （1）对应用程序做软件物料清单(Software Bill of Materials，简称SBOM）分析得到依赖的组件清单 （2）采集和分析得到漏洞情报 （3）通过组件清单关联漏洞情报得到漏洞 图1 传统SCA漏洞检测原理 传统SCA之所以会动辄报出数万个漏洞，主要原因有两点： （1）传统SCA做SBOM分析的粒度都是组件级，只要应用程序依赖了含漏洞的组件，不管应用程序是否调用了漏洞的触发点，都会被认为存在漏洞，导致了大量的误报 （2）业界公开的漏洞情报非常多，传统SCA只关注了漏洞自身的危害等级，而没关注漏洞实际在业界被利用的风险，从而将大量不存在利用风险的漏洞也推给用户去修复。 例如，仅2023年披露的CVE漏洞就超过2.6万个，但即使是其中一些危害等级很高的漏洞，很可能也没有公开的POC或被在野利用尝试，利用风险很低，也无需用户重点关注。 3、源蜥技术“新”在哪 【源蜥】针对以上用户痛点，依托蚂蚁安全团队在【程序分析】和【威胁情报】领域业界领先的技术优势，创新的提出并实现了【“函数级”SBOM】和【漏洞利用风险分析】两项技术，让用户聚焦应用程序实际会触发、且业界实际存在较大利用风险的漏洞，大幅降低用户的软件供应链漏洞运营成本，如图2。 图2 源蜥漏洞检测原理 3.1 函数级SBOM技术 由于绝大多数漏洞的触发都是有一个或多个触发函数，只有应用程序及其依赖的二三方组件实际调用了一个漏洞触发点的函数，漏洞才有可能被实际触发，才是需要用户重点关注的漏洞。 函数级SBOM就是在组件级SBOM分析的基础上，利用蚂蚁安全海量的源码分析、存储和查询技术，对应用及其依赖的二三方组件进一步“画像”，“绘制”出应用程序依赖的所有函数的清单。 源蜥通过将应用的SBOM分析能力从【组件级】提升到【函数级】，帮助用户精准过滤了大量误报“漏洞”，提效60%以上。 图3 源蜥函数级SBOM分析技术 3.2 漏洞利用风险分析 源蜥通过多维度的漏洞情报信息，只对用户透出经过分析存在被实际利用风险的漏洞，如POC已公开的漏洞/已被在野尝试利用的漏洞，减少无利用风险的漏洞情报80%以上。 在筛选出高利用风险漏洞情报的基础上，源蜥还会分析出该漏洞的触发点函数，从而结合函数级SBOM精准分析出实际有影响的漏洞。 图4 源蜥漏洞利用风险分析技术 4、小结 软件供应链漏洞一般影响面较广，容易被外部攻击者利用，对企业的安全性有较大威胁，也是每年HW Top类型的风险，是企业高优先级要关注和处置的安全风险。 但传统SCA工具由于SBOM粒度较粗、漏洞情报不区分实际被利用的风险，导致动辄扫描出上万漏洞，在企业难以落地。 针对这一用户痛点，蚂蚁安全在业界率先提出了新一代软件供应链安全技术——源蜥，源蜥利用蚂蚁安全团队在程序分析和威胁情报领域业界领先的技术优势，创新的提出并实现了【“函数级”SBOM】和【漏洞利用风险分析】两项技术，让用户聚焦应用程序实际会触发、且业界实际存在较大利用风险的漏洞，不再苦于动辄扫描出的数万漏洞而束手无策，大幅提升了安全团队的运营效率。 源蜥新一代软件供应链安全技术与传统SCA核心能力对比 技术体验 https://cybersec.antgroup.com/ 2024年对外开放200名免邀请试用名额，有任何技术相关的问题或建议，欢迎扫码加入钉钉群沟通

超过 1,000 个配置错误的 ServiceNow 企业实例被发现将包含敏感公司信息的知识库 (KB) 文章暴露给外部用户和潜在威胁者。暴露的信息包括个人身份信息 、内部系统详细信息、用户凭据、实时生产系统的访问令牌以及取决于知识库主题的其他重要信息。 尽管 ServiceNow 在 2023 年的更新明确旨在改进访问控制列表 (ACL)，但这仍然是一个重大问题。 公开的知识库文章 ServiceNow 是一个基于云的软件平台，企业使用它来管理跨不同部门和流程的数字工作流。它是一个完整的解决方案，包含 IT 服务和 IT 运营管理、人力资源任务、客户服务管理、安全工具集成和知识库。 知识库功能充当文章存储库，用户可以在其中共享操作指南、常见问题解答和其他内部程序，供有权查看这些内容的用户使用。但是，由于许多此类文章并非公开发布，因此它们可能包含有关组织的敏感信息。 在 2023 年发布有关 ServiceNow 数据泄露的报告后，该公司推出了一项安全更新，引入了新的 ACL，以防止未经身份验证访问客户数据。然而，AppOmni 表示，大多数 ServiceNow 知识库使用的是用户标准权限系统而不是 ACL，这使得更新的用处不大。 此外，一些面向公众的、暴露客户信息的小部件没有收到 2023 ACL 更新，并继续允许未经身份验证的访问。因此，Costello 表示，面向公众的 ServiceNow 小部件上配置错误的访问控制仍可用于查询知识库中的数据，而无需任何身份验证。 AppOmni 在发布的新报告中表示：“受影响的企业认为这些实例本质上是敏感的，例如 PII、内部系统详细信息以及实时生产系统的有效凭证/令牌。”使用 Burp Suite 等工具，恶意分子可以向易受攻击的端点发送大量 HTTP 请求，以暴力破解知识库文章编号。 研究人员解释说，知识库文章 ID 以 KBXXXXXXX 格式递增，因此威胁者可以通过从 KB0000001 开始递增 KB 编号来暴力破解 ServiceNow 实例，直到找到一个无意中暴露的实例。 AppOmni 开发了一个概念验证攻击，以说明外部如何在没有身份验证的情况下访问 ServiceNow 实例、捕获用于 HTTP 请求的令牌、查询公共小部件以检索 KB 文章，以及暴力破解所有托管文章的 ID。 示例请求（左）和令牌拦截（右） 阻止未经授权的访问 AppOmni 建议 SecureNow 管理员通过设置适当的“用户标准”（可以读取/不能读取）来保护 KB 文章，阻止所有未经授权的用户。 “任何用户”或“访客用户”等标准会导致配置无法保护文章免受任意外部访问。如果没有明确需要公开访问知识库，管理员应将其关闭，以防止文章在互联网上被访问。 研究人员还强调了特定的安全属性，即使在配置错误的情况下，也可以保护数据免遭未经授权的访问。这些是： ·glide.knowman.block_access_with_no_user_criteria（True）：确保如果未为 KB 文章设置用户标准，则自动拒绝经过身份验证和未经身份验证的用户访问。 ·glide.knowman.apply_article_read_criteria（True）：要求用户对单个文章具有明确的“可以阅读”访问权限，即使他们对整个 KB 具有“可以贡献”访问权限。 ·glide.knowman.show_unpublished（False）：阻止用户查看草稿或未发布的文章，其中可能包含敏感的未审核信息。 ·glide.knowman.section.view_roles.draft（管理员）：定义可以查看草稿状态的知识库文章的角色列表。 ·glide.knowman.section.view_roles.review（管理员）：定义可以查看审核状态的知识库文章的角色列表。 ·glide.knowman.section.view_roles.stagesAndRoles（管理员）：定义可以查看自定义状态的知识库文章的角色列表。 最后，建议激活 ServiceNow 预先构建的开箱即用 (OOB) 规则，该规则会自动将来宾用户添加到新创建的知识库的“无法读取”列表中，要求管理员在需要时专门授予他们访问权限。

Fortinet 是全球最大的网络安全公司之一，销售防火墙、路由器和 VPN 设备等安全网络产品。该公司还提供 SIEM、网络管理和 EDR/XDR 解决方案以及咨询服务。本周，一名威胁者在黑客论坛上发帖称，他们从 Fortinet 的 Azure Sharepoint 实例中窃取了 440GB 的数据。随后，该威胁者将凭证共享到一个所谓的 S3 存储桶中，被盗数据就存储在该存储桶中，供其他威胁者下载。 随后，网络安全巨头 Fortinet 证实，其公司遭遇数据泄露。 被称为“Fortibitch”的威胁者声称曾试图勒索 Fortinet 支付赎金阻止数据发布，但该公司拒绝支付。在回答关于事件的问题时，Fortinet 证实客户数据是从“第三方基于云的共享文件驱动器”中窃取的。 该公司表示：“有人未经授权访问了 Fortinet 存储在第三方云共享文件驱动器上的有限数量文件，其中包括与少数 Fortinet 客户相关的有限数据。” 目前，Fortinet 并未透露有多少客户受到影响或哪些数据遭到泄露，但表示已根据需要直接与客户沟通。Fortinet 网站随后发布的更新消息称，该事件影响了不到 0.3％ 的客户群，并且并未导致任何针对客户的恶意活动。 该网络安全公司还证实，该事件不涉及任何数据加密、勒索软件或对 Fortinet 公司网络的访问。有媒体联系 Fortinet 询问有关此次入侵的其他问题，但目前尚未收到回复。 据悉，早在 2023 年 5 月，就有威胁分子声称入侵了 Panopta 公司的 GitHub 存储库，该公司于 2020 年被 Fortinet 收购，并在一个俄语黑客论坛上泄露了被盗数据。

Android 开源项目 (AOSP) 是由 Google 领导的开源操作系统，可用于移动、流媒体和物联网设备。日前，安全研究人员发现威胁者已经用一种新的 Vo1d 后门恶意软件感染了超过 130 万个运行 Android 的电视流媒体盒，从而使攻击者能够完全控制这些设备。 Dr.Web 在一份新报告中表示，研究人员发现，超过 200 个国家/地区有 130 万台设备感染了 Vo1d 恶意软件，其中巴西、摩洛哥、巴基斯坦、沙特阿拉伯、俄罗斯、阿根廷、厄瓜多尔、突尼斯、马来西亚、阿尔及利亚和印度尼西亚等国感染数量最多。 受 Vo1d 感染的电视盒的地理分布 此次恶意软件活动所针对的 Android 固件包括： ·Android 7.1.2； ·R4 构建/NHG47K Android 12.1； ·电视盒构建/NHG47K Android 10.1； ·KJ-SMART4KVIP 构建/NHG47K。 根据安装的 Vo1d 恶意软件的版本，该活动将修改 install-recovery.sh、daemonsu，或替换 debuggerd 操作系统文件，这些都是 Android 中常见的启动脚本。 修改 install-recovery.sh 文件 恶意软件活动使用这些脚本来保持持久性并在启动时启动 Vo1d 恶意软件。 Vo1d 恶意软件本身位于 wd 和 vo1d 文件中，该恶意软件以这两个文件命名。Android.Vo1d 的主要功能隐藏在其 vo1d（Android.Vo1d.1）和 wd（Android.Vo1d.3）组件中，这两个组件协同运行。 Android.Vo1d.1 模块负责 Android.Vo1d.3 的启动并控制其活动，必要时重新启动其进程。此外，它还可以在 C&C 服务器发出命令时下载并运行可执行文件。反过来，Android.Vo1d.3 模块会安装并启动加密并存储在其主体中的 Android.Vo1d.5 守护进程。该模块还可以下载并运行可执行文件。此外，它还会监视指定目录并安装在其中找到的 APK 文件。 虽然 Dr.Web 不知道 Android 流媒体设备是如何受到攻击的，但研究人员认为它们之所以成为攻击目标，是因为它们通常运行会存在漏洞的过时软件。 Dr.Web 总结道：“一种可能的感染媒介可能是利用操作系统漏洞获取 root 权限的中间恶意软件的攻击。另一种可能的媒介可能是使用内置 root 访问权限的非官方固件版本。” 为了防止感染此恶意软件，建议 Android 用户在有新固件更新时检查并安装。此外，请务必从互联网上删除这些盒子，以防它们通过暴露的服务被远程利用。同样重要的是，避免在 Android 上安装来自第三方网站的 Android 应用程序作为 APK，因为它们是恶意软件的常见来源。 9月12号最新公告表示，受感染的设备并未运行 Android TV，而是使用 Android 开放源代码项目 (AOSP)。 Google 发言人表示：“这些被发现感染的杂牌设备不是经过 Play Protect 认证的 Android 设备。如果设备未通过 Play Protect 认证，Google 就没有安全性和兼容性测试结果记录。” 目前经过 Play Protect 认证的 Android 设备已经经过测试，可确保质量和用户安全。为了用户确认设备是否采用 Android TV 操作系统和经过 Play Protect 认证， Android TV 网站提供了最新的合作伙伴列表，用户可以按照相应步骤检查设备是否经过 Play Protect 认证。

一种名为“PIXHELL”的新型声学攻击可以通过连接到的 LCD 显示器，无需扬声器而泄露物理隔离和音频隔离系统中的机密。 在 PIXHELL 攻击中，恶意软件会调制 LCD 屏幕上的像素模式，以在 0-22 kHz 的频率范围内产生噪声，并在这些声波中携带编码信号，这些信号可以被附近的设备（例如智能手机）捕获。 PIXHELL 攻击设置 研究人员的测试表明，数据泄露的最大距离为 2 米，数据速率达到 20 比特每秒。 虽然这对于实现大文件传输来说太慢，但实时键盘记录和窃取可能包含密码或其他信息的小文本文件仍然是可能的。 隐蔽音频通道 PIXHELL 由 Mordechai Guri 博士开发，他因对从隔离环境中泄露数据的方法进行广泛研究而闻名。就在上周，这位研究人员发表了另一篇关于一种新型侧信道攻击的论文，这种攻击被称为“RAMBO”，用于攻击的隔离内存总线辐射，它可以通过从设备的 RAM 组件产生电子辐射来窃取隔离环境中的数据。 PIXHELL 攻击方法利用了 LCD 屏幕因线圈噪音、电容器噪声或设备无法物理消除的固有振动而产生的意外声发射。 使用特制的恶意软件，攻击者可以使用以下调制方案将加密密钥或击键等敏感数据编码为声音信号： ·开关键控 (OOK)：通过打开和关闭声音对数据进行编码。 ·频移键控 (FSK)：通过在不同频率之间切换对数据进行编码。 ·幅移键控 (ASK)：通过改变声音的幅度（音量）对数据进行编码。 调制不同频率的声音信号 接下来，通过改变液晶屏上的像素图案，调制后的数据会通过液晶屏传输，从而改变设备组件发出的声音。 笔记本电脑或智能手机等恶意或受感染设备附近的麦克风可以拾取声音信号，随后可能将其传输给攻击者进行解调。 附近麦克风接收到的声学信号的频谱图 值得注意的是，PIXHELL 可以在涉及多个信号源和单个接收者的环境中执行，因此如果这些系统被恶意软件感染，则可以同时从多个隔离系统中捕获秘密。 PIXHELL 恶意软件发出的声音频率通常在 0 - 22 kHz 频率范围内，人类几乎听不到。相比之下，人类通常能听到 20Hz 至 20kHz 频率范围内的声音，而普通成年人的上限通常在 15-17kHz 左右。 同时，攻击中使用的像素图案对用户来说是低亮度的或不可见的，这使得攻击特别隐蔽。 应对策略 可以实施多种防御措施来抵御 PIXHELL 和其他类型的声学侧信道攻击。在高度关键的环境中，出于谨慎考虑，应完全禁止在某些区域使用携带麦克风的设备。干扰或噪声生成也是一种解决方案，即引入背景噪声来干扰声学信号并增加信噪比 (SNR)，使攻击变得不可行。 安全研究人员还建议使用摄像头监控屏幕缓冲区，以检测与系统正常运行不匹配的异常像素模式。

9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。 贯彻落实《全球人工智能治理倡议》，网安标委研究制定了《人工智能安全治理框架》（以下简称《框架》）。 《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。 网安标委秘书处主要负责人表示，《框架》1.0版的发布，对推动社会各方积极参与、协同推进人工智能安全治理具有重要促进作用，为培育安全、可靠、公平、透明的人工智能技术研发和应用生态，促进人工智能的健康发展和规范应用，提供了基础性、框架性技术指南。同时，也有助于在全球范围推动人工智能安全治理国际合作，推动形成具有广泛共识的全球人工智能治理体系，确保人工智能技术造福于人类。 点击阅读原文即可查看《人工智能安全治理框架》 文章来源：网信中国

近期，安全研究人员发现威胁者开始使用渐进式 Web 应用程序冒充银行应用程序并窃取 Android 和 iOS 用户的凭据。 渐进式 Web 应用程序 (PWA) 是跨平台应用程序，可以直接从浏览器安装，并通过推送通知、访问设备硬件和后台数据同步等功能提供类似原生的体验。 在网络钓鱼活动中使用此类应用程序可以逃避检测，绕过应用程序安装限制，并获得设备上危险权限的访问权限，而无需向用户提供可能引起怀疑的标准提示。 该技术于 2023 年 7 月在波兰首次被发现，而同年 11 月发起的后续活动则针对捷克用户。 网络安全公司 ESET 报告称，它目前正在追踪两个依赖这种技术的不同活动，一个针对匈牙利金融机构 OTP Bank，另一个针对格鲁吉亚的 TBC Bank。 然而，这两起攻击活动似乎是由不同的威胁分子发起的。其中一个组织使用不同的命令和控制 (C2) 基础设施来接收被盗凭证，而另一个组织则通过 Telegram 记录被盗数据。 感染链 ESET 表示，这些活动依靠多种方法来接触目标受众，包括自动呼叫、短信（短信网络钓鱼）以及 Facebook 广告活动中精心制作的恶意广告。 在前两种情况下，网络犯罪分子会用虚假消息诱骗用户，称他们的银行应用程序已过时，出于安全原因需要安装最新版本，并提供下载钓鱼 PWA 的 URL。 PWA 活动感染流程 在社交媒体上发布恶意广告的情况下，威胁分子使用冒充的银行官方吉祥物来诱导合法感，并宣传限时优惠，例如安装所谓关键应用更新即可获得金钱奖励。 网络钓鱼活动中使用的恶意广告之一 根据设备（通过 User-Agent HTTP 标头验证），点击广告会将受害者带到虚假的 Google Play 或 App Store 页面。 虚假的 Google Play 安装提示（左）和进度（右） 点击“安装”按钮会提示用户安装一个伪装成银行应用程序的恶意 PWA。在某些情况下，在 Android 上，恶意应用程序以 WebAPK（由 Chrome 浏览器生成的原生 APK）的形式安装。 网络钓鱼应用程序使用官方银行应用程序的标识符（例如，看似合法的登录屏幕徽标），甚至将 Google Play Store 声明为该应用程序的软件来源。 恶意 WebAPK（左）和钓鱼登录页面（右） 在移动设备上使用 PWA 的吸引力 PWAs 旨在跨多个平台运行，因此攻击者可以通过单一网络钓鱼活动和有效载荷瞄准更广泛的受众。 不过，其主要好处在于可以绕过谷歌和苹果对官方应用商店之外的应用安装限制，以及可能提醒受害者注意潜在风险的“从未知来源安装”警告提示。 PWAs 可以紧密模仿原生应用的外观和感觉，尤其是在 WebAPK 的情况下，图标上的浏览器徽标和应用内的浏览器界面都是隐藏的，因此几乎不可能将其与合法应用程序区分开来。 PWA（左）和合法应用程序（右） WebAPK 难以区分，因为它们的图标中没有 Chrome 徽标。这些 Web 应用可以通过浏览器 API 访问各种设备系统，例如地理位置、摄像头和麦克风，而无需从移动操作系统的权限屏幕请求这些权限。 最终，攻击者可以在无需用户交互的情况下更新或修改 PWA，从而允许动态调整网络钓鱼活动以获得更大的成功。 滥用 PWAs 进行网络钓鱼是一种危险的新兴趋势，随着越来越多的网络犯罪分子意识到其潜力和优势，这种趋势可能会发展到新的程度。

国家网络安全宣传周 网络安全知识手册 2024年国家网络安全宣传周将于9月9日至15日在全国范围举行。 网络安全知识手册，正式发布！ 请将手机旋转90度、锁定屏幕， 开启网络安全知识学习之旅吧~ 文章来源自：网络安全宣传周

强密码是保护用户帐户的关键——即使是已经忘记的帐户。黑客也会寻找任何方法来访问用户的环境或窃取数据，甚至利用早已被遗忘的陈旧或不活跃的帐户。 旧账户很容易被忽视，但它们仍然可以为黑客提供初始访问路线，并为他们提供扩大活动的平台。每个有权访问用户基础设施的账户都很重要。 保护测试账户 测试环境（例如在创建新软件或网站功能时生成的环境）是黑客的首要目标。犯罪分子可以利用这些帐户轻松访问数据：例如，用于开发测试环境的真实客户信息。他们甚至可以利用这些环境作为跳板，访问其他更具特权的帐户。黑客可以利用管理员或特权帐户造成更大的破坏。 当熟练的攻击者获得具有登录凭据的任何用户帐户的访问权限（即使是具有非常低访问权限的旧测试帐户）时，他们可以将其用作扩展访问权限和提升权限的平台。 例如，他们可以在具有相似权限级别的帐户之间水平移动，或者垂直跳转到具有更多权限的帐户，例如 IT 团队帐户或管理员帐户。 微软漏洞利用测试账户 今年 1 月，微软表示其公司网络遭到俄罗斯黑客的攻击。名为 Midnight Blizzard 的攻击者窃取了电子邮件和附加文件。 微软表示，只有“极小一部分”公司电子邮件账户遭到入侵，但其中确实包括高层领导以及网络安全和法律团队的员工。 攻击者使用“密码喷洒攻击”入侵，这是一种暴力破解技术，涉及对多个账户尝试相同的密码。这次攻击没有利用微软系统或产品的漏洞。 相反，这就像猜测未使用的测试帐户上的弱密码或已知被破解的密码一样简单。用该软件巨头的话来说，攻击者“使用密码喷洒攻击来破坏传统的非生产测试租户帐户并获得立足点”。 这就强调了确保所有帐户（而不仅仅是管理员或特权帐户）获得最高级别保护的重要性。 至关重要的是，企业应避免在测试账户上使用弱凭据或默认凭据；在 PoC 之后，应停用测试账户/环境；并且应正确隔离测试账户和类似环境。 如何使用强密码确保所有账户安全 那么用户可以采取什么措施来保护自己的所有帐户——即使是在非活动环境中时。 ·Active Directory 审计：保持对未使用和不活跃帐户以及其他与密码相关的漏洞的可见性至关重要。 ·多因素身份验证：MFA 是抵御黑客的重要防御措施，即使密码被泄露，也能为您提供额外的防御层。 防御措施越多越好，可以从双因素身份验证开始。例如，输入密码后通过一次性密码确认。然而，最强大的 MFA 不止两个步骤，可能还包括生物识别方法，例如面部扫描或指纹。 如果用户在账户（甚至是测试账户）中建立了 MFA，安全性将大大提高。但是，请注意 MFA 仍然可以被规避，密码泄露仍然是最常见的起点。 ·加强密码策略：有效的密码是抵御黑客的重要第一道防线。用户·的密码策略应阻止最终用户创建包含常见基本术语或键盘行列（如“qwerty”或“123456”）的弱密码。 最好的方法是强制使用长而独特的密码或密码短语，同时使用自定义词典来阻止与特定组织和行业相关的任何术语。 升级所有帐户的密码安全性 毫无疑问，人们面对的是一群非常老练的网络犯罪分子，他们会利用任何弱点来破坏用户的系统、窃取用户的数据、造成经济损失甚至毁掉声誉。这些犯罪分子往往采用新技术来实施密码喷洒攻击和其他暴力破解方法。 然而，尽管这些技术为黑客提供了新的攻击途径，但它也是建立防御的关键。借助密码策略和密码审计器等工具，用户可以检测帐户中的漏洞，甚至是不知道的漏洞。所以，建议所有人都应该勤加利用相关安全工具以保护自己的账户。