HackerNews

HackerNews 编译，转载请注明出处： 针对中东地区政府机构与互联网服务提供商（ISP）的新型Eagerbee恶意软件框架变种正在被部署。 据卡巴斯基研究人员的新报告指出，基于代码相似性和IP地址重叠，该恶意软件可能与名为“CoughingDown”的威胁组织存在潜在关联。 “由于在同一天通过相同的Webshell创建服务以执行Eagerbee后门和CoughingDown核心模块，且Eagerbee后门与CoughingDown核心模块的C2域名存在重叠，我们较为确信地认为Eagerbee后门与CoughingDown威胁组织有关”，卡巴斯基解释道。 Eagerbee恶意软件框架 卡巴斯基无法确定中东地区攻击中的初始访问途径，但报告指出，在之前的案例中，两家东亚组织曾通过利用Microsoft Exchange ProxyLogon漏洞（CVE-2021-26855）遭到入侵。 攻击涉及在系统32目录中部署一个注入器（tsvipsrv.dll），以加载有效载荷文件（ntusers0.dat）。 系统启动时，Windows会执行注入器，然后滥用“Themes”服务以及SessionEnv、IKEEXT和MSDTC，利用DLL劫持技术在内存中写入后门有效载荷。 后门加载流程 后门可被配置为在特定时间执行，但卡巴斯基表示，在观察到的攻击中，后门被设置为全天候运行。 在受感染系统上，Eagerbee以“dllloader1x64.dll”的形式出现，并立即开始收集操作系统详情和网络地址等基本信息。 初始化后，它会与命令与控制（C2）服务器建立TCP/SSL通道，从而接收扩展其功能的附加插件。 插件由插件编排器（ssss.dll）注入内存，并管理其执行。 卡巴斯基记录的五个插件如下： 文件管理器插件：处理文件系统操作，包括列出、重命名、移动、复制和删除文件或目录。它可以调整文件权限、将附加有效载荷注入内存、执行命令行，并检索详细的文件和文件夹结构，同时管理卷标和时间戳。 进程管理器插件：通过列出正在运行的进程、启动新进程和终止现有进程来管理系统进程。它可以在特定用户账户的安全上下文中执行命令行或模块。 远程访问管理器插件：通过启用RDP会话、维护并发RDP连接和提供命令外壳访问来促进远程访问。它还可以从指定URL下载文件，并将命令外壳注入合法进程以实现隐身。 服务管理器插件：通过创建、启动、停止、删除或枚举系统服务来控制服务。它可以管理独立和共享服务进程，同时收集服务状态详细信息。 网络管理器插件：监控和列出活动网络连接，收集IPv4和IPv6协议的状态、本地/远程地址和端口以及关联进程ID等详细信息。 总体而言，Eagerbee是一种隐蔽且持久的威胁，在被入侵的系统上具有广泛能力。 同样的后门加载链也在日本被发现，表明这些攻击具有全球性。 各组织应为所有Exchange服务器修补ProxyLogon漏洞，并使用卡巴斯基报告中列出的入侵指标来尽早捕捉威胁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 工业网络与通信供应商Moxa警告称，其蜂窝路由器、安全路由器和网络安全设备的多种型号存在高危及严重漏洞。 这两个安全问题使得远程攻击者能够在易受攻击的设备上获得root权限并执行任意命令，进而可能导致任意代码执行。 Moxa路由器风险 Moxa设备被广泛应用于交通运输、公用事业、能源和电信等行业的工业自动化和控制系统环境中。周五，该供应商针对以下两个漏洞发布了紧急警告： CVE-2024-9138（严重程度8.6，高危）：硬编码凭据使认证用户能够提升权限至root CVE-2024-9140（严重程度9.3，严重）：由于不当输入限制被利用导致的操作系统命令注入漏洞，可导致任意代码执行 第二个漏洞尤为危险，因为它可被远程攻击者利用。 Moxa已发布固件更新以解决这些漏洞，并指出“强烈建议立即采取行动，以防止潜在利用并缓解这些风险。” 以下设备同时受到CVE-2024-9140和CVE-2024-9138的影响： EDR-8010系列（固件3.13.1及更早版本） EDR-G9004系列（固件3.13.1及更早版本） EDR-G9010系列（固件3.13.1及更早版本） EDF-G1002-BP系列（固件3.13.1及更早版本） NAT-102系列（固件1.0.5及更早版本） OnCell G4302-LTE4系列（固件3.13及更早版本） TN-4900系列（固件3.13及更早版本） 此外，EDR-810系列（固件5.12.37及更早版本）、EDR-G902系列（固件5.7.25及更早版本）以及TN-4900系列（固件3.13及更早版本）仅易受CVE-2024-9138的影响。 EDR-8010系列、EDR-G9004系列、EDR-G9010系列和EDF-G1002-BP系列的用户应升级至2024年12月31日发布的固件版本3.14以解决此问题。 建议通过Moxa公告中提供的每个设备型号的下载链接获取官方固件镜像。 建议OnCell G4302-LTE4系列和TN-4900系列的管理员联系Moxa支持以获取补丁指导。 对于NAT-102系列，目前尚无补丁可用，建议管理员采取缓解措施。 Moxa建议限制设备的网络暴露和SSH访问，并使用防火墙、入侵检测系统（IDS）或入侵防御系统（IPS）来监控和阻止利用尝试。 公告明确指出，MRC-1002系列、TN-5900系列和OnCell 3120-LTE-1系列设备不受这两个漏洞的影响。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为FireScam的安卓信息窃取恶意软件被发现伪装成Telegram消息应用的高级版，以窃取数据并对受感染的设备实施持续的远程控制。 “这款恶意软件伪装成假冒的‘Telegram高级版’应用，通过一个假冒俄罗斯联邦知名应用商店RuStore的GitHub.io托管钓鱼网站进行分发。”网络安全公司Cyfirma表示，这是一款“复杂且多面的威胁”。 “恶意软件采用多阶段感染过程，从投放器APK文件开始，一旦安装，便执行广泛的监控活动。” 该钓鱼网站（rustore-apk.github[.]io）模仿俄罗斯科技巨头VK在该国推出的应用商店RuStore，并设计用于交付投放器APK文件（“GetAppsRu.apk”）。一旦安装，投放器便成为主要有效载荷的传输工具，负责将包括通知、消息和其他应用数据在内的敏感数据外泄到Firebase实时数据库端点。 投放器应用请求多项权限，包括在Android 8及更高版本的受感染安卓设备上写入外部存储以及安装、更新或删除任意应用的能力。 “ENFORCE_UPDATE_OWNERSHIP权限将应用更新限制为应用的指定所有者。应用的初始安装程序可以声明自己是‘更新所有者’，从而控制应用的更新。”Cyfirma指出。 “此机制确保其他安装程序在尝试更新前需要用户批准。通过将自己指定为更新所有者，恶意应用可以防止来自其他来源的合法更新，从而在设备上保持其持久性。” FireScam采用多种混淆和防分析技术来逃避检测。它还监控传入的通知、屏幕状态变化、电子商务交易、剪贴板内容和用户活动，以收集感兴趣的信息。另一个值得注意的功能是其能够从指定URL下载和处理图像数据。 当这个假冒的Telegram高级版应用启动时，它会进一步请求用户访问联系人列表、通话记录和短信消息的权限，然后通过WebView显示Telegram官方网站的登录页面以窃取凭据。无论受害者是否登录，数据收集过程都会启动。 最后，它注册一个服务以接收Firebase云消息（FCM）通知，从而能够接收远程命令并保持隐蔽访问——这是恶意软件广泛监控能力的一个迹象。同时，恶意软件还与其命令和控制（C2）服务器建立WebSocket连接，用于数据外泄和后续活动。 Cyfirma表示，该钓鱼域名还托管了另一个名为CDEK的恶意程序，这可能是指一家俄罗斯包裹和递送跟踪服务。然而，网络安全公司表示，在分析时未能获得该程序。 目前尚不清楚操作者是谁，用户是如何被引导到这些链接的，以及是否涉及短信钓鱼或恶意广告技术。 “通过模仿合法平台（如RuStore应用商店），这些恶意网站利用用户信任欺骗个人下载并安装假冒应用。”Cyfirma表示。 “FireScam执行其恶意活动，包括数据外泄和监控，进一步证明了基于钓鱼的分发方法在感染设备和逃避检测方面的有效性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度政府已公布《数字个人数据保护（DPDP）规则》草案，供公众咨询。印度新闻信息局（PIB）周日发布的声明称：“数据受托方必须提供清晰易懂的个人信息处理说明，以便获取知情同意。” “公民有权要求删除数据、指定数字代理人，并使用用户友好的机制管理自己的数据。” 该规则旨在实施《2023年数字个人数据保护法》，同时赋予公民对其数据的更大控制权，让他们可以选择是否同意处理其信息，并有权要求数字平台删除数据及解决投诉。 在印度运营的公司还需实施加密、访问控制和数据备份等安全措施，以保护个人数据，并确保其保密性、完整性和可用性。DPDP法案中数据受托方需遵守的其他重要规定如下： 实施检测和应对违规行为及日志维护的机制 在数据泄露事件发生后72小时（如获允许可延长）内向数据保护委员会（DPB）提供导致事件的详细事件顺序、为减轻威胁所采取的行动以及已知涉事人员身份 在三年期限后删除不再需要的个人数据，并在删除此类信息前48小时通知个人 在其网站/应用程序上清晰显示负责处理用户个人数据相关问题的指定数据保护官（DPO）的联系方式 在处理18岁以下儿童或残疾人的个人数据前，需获得其父母或法定监护人的可验证同意（豁免情况包括医疗专业人员、教育机构及儿童保育提供者，但仅限于健康服务、教育活动、安全监测和交通追踪等特定活动） 每年进行一次数据保护影响评估（DPIA）和全面审计，并将结果报告给DPB（仅限于被视为“重要”的数据受托方） 在跨境数据传输方面遵守联邦政府的要求（必须留在印度境内的个人数据具体类别将由专门委员会确定） 草案还提出，当联邦和州政府机构处理公民数据时，需为公民提供一定保障，要求此类处理合法、透明且“符合法律和政策标准”。 滥用或未能保护个人数字数据或未向DPB报告安全漏洞的组织将面临最高2.5亿卢比（近3000万美元）的罚款。 电子和信息技术部（MeitY）正就草案规定征求公众意见，截止日期为2025年2月18日，并表示提交的意见不会向任何第三方披露。 《2023年数字个人数据保护法》于2023年8月正式通过，自2018年以来已多次修订。该数据保护法规是在印度最高法院2017年裁定重申隐私权为印度宪法基本权利后出台的。 此前一个多月，电信部根据《2023年电信法》发布了《2024年电信（电信网络安全）规则》，以保障通信网络的安全，并实施严格的数据泄露披露准则。 根据新规则，电信实体必须在发现影响其网络或服务的安全事件后六小时内向联邦政府报告，受影响公司还须在24小时内提供其他相关信息。 此外，电信公司还需任命一名首席电信安全官（CTSO），该官员必须是印度公民及印度居民，并以指定格式与联邦政府共享流量数据（不包括消息内容），以“保护和确保电信网络安全”。 然而，互联网自由基金会（IFF）表示，“措辞过于宽泛”且从草案中删除了“流量数据”的定义，可能会为滥用行为大开方便之门。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本最大的移动运营商Docomo透露，上周四的一次 DDoS 攻击导致部分服务中断近 12 小时。 NTT Docomo 在东亚国家拥有约 9000 万用户，其下载速度是当地主要供应商中最快的。 根据该公司网站上发布的通知，该公司遭遇了“因 DDoS 攻击而导致的网络拥塞”，导致一些关键服务难以使用。 受到 DDoS 影响的服务包括“goo”门户网站、Lemino 视频流服务、dpay 计费服务和“Golf me”高尔夫球服务。 该提供商表示：“访问困难等服务影响已得到解决，但由于恢复措施的影响，一些内容更新受到了影响。” 据当地报道，12 月下旬，多家日本公司遭受 DDoS 攻击，其中包括日本航空、三菱日联银行、瑞穗银行和 Resona 银行。 这并不是 NTT Docomo 第一次成为威胁组织的目标。 2023 年 9 月，Ransomed.vc 组织向该公司索要超过 100 万美元的赎金，但尚不清楚威胁组织是否真的从该运营商那里窃取了数据。由于电信公司对服务中断的容忍度较低，因此它们特别容易受到 DDoS 和勒索软件等服务中断攻击。不过，移动电话服务并未受到此次最新事件的影响。 目前尚无迹象表明谁对最新的 DDoS 攻击负责。 Stormwall在 2024 年 9 月发布的一份报告称，今年上半年全球 DDoS 攻击与 2023 年同期相比增长了 102%。 诺基亚 10 月份发布的另一份报告显示，针对全球电信网络的攻击从 2023 年 6 月的每天一两次增加到一年后的某些网络“每天超过 100 次”。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/49w30lHttzPpc3s1MHhvfw 封面来源于网络，如有侵权请联系删除

网络安全公司 ESET 敦促 Windows 10 用户升级到 Windows 11 或 Linux，以避免出现“安全灾难”，因为这款已有 10 年历史的操作系统将于 2025 年 10 月停止支持。 ESET 安全专家 Thorsten Urbanski 解释道：“现在距离 2025 年的安全灾难只有五分钟的差距了。” “强烈建议所有用户不要等到 10 月，而是立即切换到 Windows 11，或者如果他们的设备无法更新到最新的 Windows 操作系统，则选择其他操作系统。否则，用户将面临相当大的安全风险，并容易受到危险的网络攻击和数据丢失。” 2025 年 10 月 14 日，除非用户购买扩展安全更新，否则 Windows 10 将不再获得操作系统的免费安全更新。意味着 Windows 10 用户将面临任何新发现的漏洞风险，这可能会导致严重漏洞利用和恶意软件传播。 据 ESET 称，德国约有 3200 万台计算机运行 Windows 10，约占家庭所有设备的 65%。相比之下，只有 33% 的德国设备运行 Windows 11，即约 1650 万台设备。 StatCounter 支持这些数据，截至 2024 年 12 月，全球几乎 63% 的 Windows 用户都在使用 Windows 10，而使用 Windows 11 用户约 34%。 Steam硬件和软件调查为 Windows 11 游戏玩家描绘了一幅更好的图景，截至 2024 年底，54.96% 的游戏玩家使用 Windows 11，而只有 42.39% 的游戏玩家使用 Windows 10。 游戏玩家往往站在硬件的最前沿，经常升级他们的组件和设备，以便以良好的性能玩最新的游戏。 企业和其他消费者往往落后，因为他们的旧电脑仍然运行良好，而且还没有真正的升级需要。 这次 Windows 版本过渡比用户从 Windows 7 迁移时的情况更糟，因为在 Windows 7 终止支持之前，几乎 70% 的用户都在使用 Windows 10。 “现在的情况比 2020 年初结束对 Windows 7 的支持时更加危险。” Urbanski 解释道：“ 2019 年底，只有大约 20％ 的用户仍在使用 Windows 7，超过 70％ 的用户已经在使用新版 Windows 10。当前的情况极其危险。网络犯罪分子非常了解这些数字，只是在等待支持结束的那一天。” 许多 Windows 10 用户一直犹豫是否升级到 Windows 11，因为新操作系统缺少流行功能、性能问题以及 TPM（可信平台模块）TPM 硬件要求，这阻碍了某些旧设备升级。 问题变得更加严重的是，许多旧设备运行 Windows 10 和 Windows 11 都没有问题，但由于缺少 TPM 而无法使用。 微软表示，Windows 11 TPM 要求是“不可协商的”，因为它支持许多安全功能，例如操作系统如何存储加密密钥和保护凭据，并与安全启动和 Windows Hello for Business 集成。 对于无法将设备升级到 Windows 10 的用户，微软向企业和消费者提供了扩展安全更新 (ESU)。不过，这些更新并不便宜。 希望获得延长安全更新的企业可以享受三年的优惠，第一年收费 61 美元，第二年收费 122 美元，第三年收费 244 美元。三年内 Windows 10 设备上的 ESU 总价为 427 美元。 微软还为消费者提供为期一年的 ESU 计划，每台设备售价 30 美元。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/FH_aPEmcpKM8-AEhZFaTGw 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 针对以太坊开发者的Hardhat开发环境，已有二十个恶意包伪装上线，企图窃取私钥及其他敏感数据。据研究人员称，这些恶意包累计下载量已超过一千次。 Hardhat是由Nomic基金会维护的、广受以太坊开发者欢迎的开发环境，用于在以太坊区块链上开发、测试和部署智能合约及去中心化应用（dApps）。该环境通常被区块链软件开发者、金融科技公司和初创企业以及教育机构所使用。 这些用户往往从npm（Node Package Manager，节点包管理器）中获取项目组件，npm是JavaScript生态系统中广受欢迎的工具，有助于开发者管理依赖项、库和模块。 在npm上，三个恶意账户上传了20个信息窃取包，这些包通过拼写错误伪装成合法包，诱骗用户安装。Socket分享了其中16个恶意包的名称，它们分别是： nomicsfoundations @nomisfoundation/hardhat-configure installedpackagepublish @nomisfoundation/hardhat-config @monicfoundation/hardhat-config @nomicsfoundation/sdk-test @nomicsfoundation/hardhat-config @nomicsfoundation/web3-sdk @nomicsfoundation/sdk-test1 @nomicfoundations/hardhat-config crypto-nodes-validator solana-validator node-validators hardhat-deploy-others hardhat-gas-optimizer solidity-comments-extractors 这些包一旦安装，其代码就会试图收集Hardhat私钥、配置文件和助记词，使用硬编码的AES密钥进行加密，然后将它们外泄给攻击者。 Socket解释道：“这些包利用Hardhat运行环境的功能，如hreInit()和hreConfig()，来收集私钥、助记词和配置文件等敏感信息。” “收集到的数据通过硬编码的密钥和以太坊地址传输到攻击者控制的端点，从而实现简化的数据外泄。” 私钥和助记词用于访问以太坊钱包，因此此次攻击的第一个潜在后果是通过发起未经授权的交易导致资金损失。 此外，由于许多受攻击的系统属于开发者，攻击者可能获得对生产系统的未经授权访问权限，并破坏智能合约或部署现有dApps的恶意克隆版本，为更具影响力、更大规模的攻击奠定基础。 Hardhat配置文件可能包含第三方服务的API密钥以及开发网络和端点的信息，这些信息可被利用来准备网络钓鱼攻击。 软件开发者应保持警惕，验证包的真实性，注意拼写错误伪装，并在安装前检查源代码。通常建议，私钥不应硬编码，而应存储在安全的保险库中。为最大限度地降低此类风险，请使用锁定文件，为依赖项定义特定版本，并尽可能减少依赖项的使用。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国科技巨头阿托斯（Atos）为该国军事和情报部门提供通信安全保障，近日否认了勒索软件团伙“太空熊”（Space Bears）关于其攻破阿托斯数据库的说法。 阿托斯拥有约8.2万名员工，年收入约100亿欧元，自称是欧洲领先的网络安全、云计算和高性能计算公司。 该公司在泛欧证券交易所巴黎分部上市，拥有来自70个国家的超过1200家客户。今年11月，法国政府提出以5亿欧元的企业价值（包括收益后最高可达6.25亿欧元）收购其高性能计算部门。 “太空熊”网络犯罪团伙于12月28日声称，其攻破了阿托斯网络并窃取了一家公司数据库，将于下周三在其暗网泄露网站上公布。 “太空熊”是一个于2024年4月出现的新兴组织。该团伙采用双重勒索战术，从受害者处窃取敏感数据以迫使其支付赎金，若受害者拒绝支付，则威胁将窃取的信息泄露到网上。 自4月5日以来，他们已在泄露博客上添加了来自世界各地及各行各业（包括医疗保健、科技、汽车、电信、航空航天）的45名受害者，以胁迫其支付赎金。 阿托斯在“太空熊”泄露博客上的条目（BleepingComputer截图） 12月29日，阿托斯表示，初步分析显示“没有任何证据表明任何阿托斯/埃维登（Eviden）系统在任何国家受到攻击或勒索软件的影响”，且公司未收到任何赎金要求。 当BleepingComputer询问有关“太空熊”说法的更多细节时，阿托斯发言人表示，将在阿托斯新闻室发布更新信息。今日，该发言人告诉BleepingComputer，“太空熊”勒索软件团伙关于“攻破阿托斯组织”的说法毫无根据。 阿托斯在周五发布的一份新声明中补充说，“阿托斯管理的任何基础设施均未遭到破坏，未访问任何源代码，也未泄露任何阿托斯知识产权或专有数据。” 阿托斯表示，“太空熊”团伙实际上攻破了与阿托斯无关的“外部第三方基础设施”，尽管其中存储的数据提到了阿托斯公司的名称，但该基础设施并非由阿托斯管理或保障安全。 阿托斯今日还补充说：“阿托斯拥有由6500多名专业专家和17个新一代安全运营中心（SOC）组成的全球网络，全天候运作，确保集团及其客户的安全。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 去年，针对超过30万个钱包地址的加密货币钱包窃取攻击中，诈骗者盗走了价值4.94亿美元的加密货币。 与2023年相比，这一数字增长了67%，尽管受害者数量仅上升了3.7%，这表明受害者平均持有的加密货币金额更大。 这些数据来自Web3反诈骗平台“Scam Sniffer”，该平台一直在追踪钱包窃取活动，此前曾报告过影响多达10万人的攻击浪潮。钱包窃取器是专门设计用于从用户钱包中窃取加密货币或其他数字资产的钓鱼工具，通常部署在假冒或受攻击的网站上。 2024年，Scam Sniffer观察到30起大规模（超过100万美元）通过钱包窃取器进行的盗窃事件，其中单笔最大盗窃案涉案金额高达5540万美元。 这一事件发生在年初，当时比特币价格上涨推动了钓鱼活动的增加。第一季度，通过钱包窃取攻击共盗走1.87亿美元。 每月损失金额和受影响钱包数量（来源：Scam Sniffer） 今年第二季度，一个名为“Pink Drainer”的知名窃取服务宣布退出，该服务此前曾伪装成记者在钓鱼攻击中攻击Discord和Twitter账户，以进行加密货币窃取。 尽管这导致钓鱼活动有所减少，但诈骗者在第三季度逐渐恢复了势头，其中Inferno服务在8月和9月共造成1.1亿美元损失，位居榜首。 最后，在第四季度，活动有所平息，仅占2024年总损失的10.3%左右。当时，Acedrainer也成为主要参与者之一，占据了窃取器市场的20%，ScamSniffer表示。 窃取器每月活动情况（来源：Scam Sniffer） 大部分损失（85.3%）发生在以太坊上，金额高达1.52亿美元，其中质押（40.9%）和稳定币（33.5%）是目标最集中的领域。 关于2024年观察到的趋势，Scam Sniffer强调了使用假冒的CAPTCHA和Cloudflare页面以及IPFS来逃避检测的做法，以及签名类型的转变，这有助于实施资金盗窃。 具体而言，大多数盗窃案依赖于“Permit”签名（56.7%）或“setOwner”（31.9%）来窃取资金。前者根据EIP-2612标准批准代币支出，后者更新智能合约所有权或管理权限。 另一个值得注意的趋势是，Google Ads和Twitter广告作为钓鱼网站流量的来源的使用增加，攻击者利用被攻破的账户、机器人和假冒代币空投来实现其目标。 X上推动加密货币窃取器的假冒账户数量（来源：Scam Sniffer） 为防止Web3攻击，建议仅与受信任和已验证的网站进行交互，与官方项目网站核对URL，在签名前阅读交易批准提示和权限请求，并在执行前模拟交易。 许多钱包还提供针对钓鱼或恶意交易的内置警告，因此请确保启用这些功能。最后，使用代币撤销工具确保没有激活可疑权限。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出一种名为PLAYFULGHOST的新型恶意软件，该软件具备广泛的信息收集功能，如键盘记录、屏幕截图、音频录制、远程shell以及文件传输/执行等。 据谷歌的托管防御团队称，该后门程序与一种名为Gh0st RAT的已知远程管理工具在功能上有所重叠，而Gh0st RAT的源代码早在2008年就已公开泄露。 PLAYFULGHOST的初始入侵途径包括使用含有行为规范相关诱饵的钓鱼邮件或搜索引擎优化（SEO）投毒技术来分发诸如LetsVPN等合法VPN应用的特洛伊木马版本。 “在一起钓鱼攻击事件中，感染始于诱骗受害者打开伪装成图像文件并使用.jpg扩展名的恶意RAR压缩包，”该公司表示，“当受害者解压并执行该压缩包时，它会释放一个恶意的Windows可执行文件，该文件最终会从远程服务器下载并执行PLAYFULGHOST。” 另一方面，采用SEO投毒的攻击链则试图欺骗不明真相的用户下载含有恶意软件的LetsVPN安装程序，该程序在启动时会释放一个负责检索后门组件的中间有效载荷。 该感染值得注意的一点是，它利用诸如DLL搜索顺序劫持和旁加载等方法来启动一个恶意DLL，然后使用该DLL来解密并将PLAYFULGHOST加载到内存中。 Mandiant表示，它还观察到了一个“更复杂的执行场景”，其中Windows快捷方式（“QQLaunch.lnk”）文件将名为“h”和“t”的两个其他文件的内容组合起来，以构建恶意DLL，并使用重命名的“curl.exe”版本进行旁加载。 PLAYFULGHOST能够使用四种不同的方法在主机上设置持久性：运行注册表项、计划任务、Windows启动文件夹和Windows服务。它拥有一套广泛的功能，能够收集大量数据，包括键盘输入、屏幕截图、音频、QQ账户信息、安装的安全产品、剪贴板内容以及系统元数据等。 此外，它还具备释放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和谷歌Chrome等浏览器相关的缓存和配置文件，以及擦除Skype、Telegram和QQ等消息传递应用程序的配置文件和本地存储的能力。 通过PLAYFULGHOST部署的其他一些工具包括Mimikatz和一个能够隐藏威胁行为者指定的注册表、文件和进程的rootkit。在下载PLAYFULGHOST组件时，还会同时释放一个名为Terminator的开源实用程序，该程序可以通过自带易受攻击的驱动程序（BYOVD）攻击来终止安全进程。 “有一次，Mandiant观察到PLAYFULGHOST有效载荷被嵌入到BOOSTWAVE中，”这家科技巨头表示，“BOOSTWAVE是一种shellcode，它作为附加的可移植可执行（PE）有效载荷的内存释放器。” 针对搜狗、QQ和360安全等应用以及使用LetsVPN诱饵的情况表明，这些感染可能针对的是使用中文的Windows用户。2024年7月，加拿大网络安全供应商eSentire披露了一起类似活动，该活动利用虚假的谷歌Chrome安装程序来传播Gh0st RAT，并使用了一个名为Gh0stGambit的释放器。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，网络安全研究人员揭示了一种新型越狱技术，该技术可能被用于绕过大型语言模型（LLM）的安全防护，产生潜在有害或恶意的回应，Palo Alto Networks Unit 42研究团队将这一多轮（又称多示例）攻击策略命名为“Bad Likert Judge”。 Unit 42团队表示：“该技术要求目标LLM充当裁判，使用李克特量表（一种衡量受访者对陈述同意或不同意程度的评级量表）对给定回应的有害程度进行评分。” “然后，它要求LLM生成包含与量表相匹配的示例的回应。其中，李克特量表得分最高的示例可能包含有害内容。” 近年来，人工智能的普及度急剧上升，同时也催生了一类新的安全漏洞利用方式——提示注入，其专门设计用于通过传递特制的指令（即提示）来使机器学习模型忽略其预期行为。 提示注入的一种特定类型是被称为多轮越狱的攻击方法，该方法利用LLM的长上下文窗口和注意力机制来构造一系列提示，逐步诱导LLM产生恶意回应，而不会触发其内部保护机制。此类技术的示例包括Crescendo和Deceptive Delight。 Unit 42展示的最新方法涉及利用LLM作为裁判，使用李克特心理量表评估给定回应的有害程度，然后要求模型提供与不同得分相对应的不同回应。 在对来自亚马逊网络服务、谷歌、Meta、微软、OpenAI和NVIDIA的六个最先进的文本生成LLM进行的广泛类别测试中显示，与普通的攻击提示相比，该技术平均可将攻击成功率（ASR）提高60%以上。 这些类别包括仇恨言论、骚扰、自残、色情内容、无差别武器、非法活动、恶意软件生成和系统提示泄露。 研究人员表示：“通过利用LLM对有害内容的理解及其评估回应的能力，该技术可以显著提高成功绕过模型安全防护的机会。” “结果表明，内容过滤器可以在所有测试模型中平均将ASR降低89.2个百分点。这表明，在实施LLM的现实世界应用时，将全面的内容过滤作为最佳实践至关重要。” 此前不久，《卫报》的一份报告揭示，通过要求OpenAI的ChatGPT搜索工具总结包含隐藏内容的网页，可以欺骗其生成完全误导性的摘要。 这家英国报纸表示：“这些技术可能被恶意使用，例如，尽管同一页面上存在负面评论，但导致ChatGPT对某个产品给出正面评价。” “第三方仅简单包含隐藏文本（无指令）也可以确保给出正面评价，其中一项测试包括极具正面评价的虚假评论，这些评论影响了ChatGPT返回的摘要。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对一个已修复、影响Windows轻量级目录访问协议（LDAP）的安全漏洞，现已发布了一个概念验证（PoC）攻击代码，该漏洞可能触发拒绝服务（DoS）状况。 该越界读取漏洞被追踪为CVE-2024-49113（CVSS评分：7.5）。微软已在2024年12月的“补丁星期二”更新中修复了该漏洞，同时修复的还包括CVE-2024-49112（CVSS评分：9.8），后者是该组件中的一个关键整数溢出漏洞，可能导致远程代码执行。 独立安全研究员Yuki Chen（@guhe120）发现并报告了这两个漏洞。 SafeBreach Labs设计的CVE-2024-49113概念验证攻击代码，代号为LDAPNightmare，旨在使任何未打补丁的Windows服务器崩溃，“除受害者域控制器的DNS服务器具有互联网连接外，无需任何前提条件”。 具体而言，该攻击涉及向受害服务器发送DCE/RPC请求，最终当发送一个“lm_referral”字段为非零值的特制CLDAP引用响应包时，会导致本地安全机构子系统服务（LSASS）崩溃并强制重启。 更糟糕的是，这家位于加利福尼亚州的网络安全公司发现，通过修改CLDAP数据包，还可以利用相同的攻击链实现远程代码执行（CVE-2024-49112）。 微软关于CVE-2024-49113的公告在技术细节上较为简略，但该公司已透露，CVE-2024-49112可通过从不受信任的网络发送RPC请求来利用，从而在LDAP服务的上下文中执行任意代码。 微软表示：“在针对LDAP服务器的域控制器进行攻击的情况下，为了成功，攻击者必须向目标发送特制的RPC调用，以触发对攻击者域的查找。在针对LDAP客户端应用程序进行攻击的情况下，为了成功，攻击者必须说服或诱骗受害者执行对攻击者域的域控制器查找，或连接到恶意的LDAP服务器。然而，未经身份验证的RPC调用将不会成功。” 此外，该公司指出，攻击者还可以使用到域控制器的RPC连接来触发针对攻击者域的域控制器查找操作。 为减轻这些漏洞带来的风险，组织必须应用微软发布的2024年12月补丁。在无法立即打补丁的情况下，建议“实施检测以监控可疑的CLDAP引用响应（具有特定的恶意值集）、可疑的DsrGetDcNameEx2调用和可疑的DNS SRV查询”。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： ProjectDiscovery的Nuclei——一款广泛使用的开源漏洞扫描器，近日曝出一个高危安全漏洞。若该漏洞被成功利用，攻击者将能够绕过签名检查，并可能执行恶意代码。 该漏洞被追踪为CVE-2024-43405，其CVSS评分为7.4（满分为10.0），影响Nuclei 3.0.0版本之后的所有版本。 据漏洞描述，“该漏洞源于签名验证过程和YAML解析器在处理换行符时的差异，以及处理多个签名的方式。” “这使得攻击者能够在保持模板良性部分有效签名的同时，向模板中注入恶意内容。” Nuclei是一款旨在探测现代应用程序、基础设施、云平台和网络的漏洞扫描器。其扫描引擎利用YAML文件（即模板）发送特定请求，以确定是否存在漏洞。 此外，它还能够使用代码协议在主机操作系统上执行外部代码，从而为研究人员在安全测试工作流程中提供更多灵活性。 发现CVE-2024-43405的云安全公司Wiz表示，该漏洞源于模板签名验证过程，该过程用于确保官方模板存储库中提供的模板的完整性。 成功利用该漏洞将绕过这一关键验证步骤，使攻击者能够创建能够执行任意代码并访问主机敏感数据的恶意模板。 Wiz研究员Guy Goldenberg在周五的分析中表示：“由于目前签名验证是验证Nuclei模板的唯一方法，因此它可能成为潜在的单一故障点。” 问题的核心在于使用正则表达式（regex）进行签名验证，以及由于同时使用regex和YAML解析器而产生的解析冲突，从而为攻击者打开了引入“\r”字符的大门，该字符可以绕过基于regex的签名验证，并被YAML解析器解释为换行符。 换言之，这些解析不一致性可以被串联起来，创建一个使用“\r”的Nuclei模板，该模板包含第二个“# digest:”行，以绕过签名验证过程，但被YAML解释器解析和执行。 Goldenberg解释道：“Go的基于regex的签名验证将‘\r’视为同一行的一部分，而YAML解析器则将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由YAML解析器执行的内容。” “验证逻辑仅验证第一个‘# digest:’行。在验证过程中会忽略额外的‘# digest:’行，但它们仍保留在要由YAML解析和执行的内容中。” 此外，验证过程包括一个从模板内容中排除签名行的步骤，但仅验证第一行，从而使后续行未经验证但可执行。 在负责任披露后，ProjectDiscovery于2024年9月4日通过3.3.2版本解决了该问题。目前，Nuclei的版本为3.3.7。 Goldenberg说：“攻击者可以制作包含操纵过的‘# digest’行或精心放置的‘\r’换行符的恶意模板，以绕过Nuclei的签名验证。” “当组织在没有适当验证或隔离的情况下运行不受信任的或社区贡献的模板时，就会出现针对此漏洞的攻击向量。攻击者可以利用此功能注入恶意模板，导致任意命令执行、数据泄露或系统妥协。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

随着2024年的落幕，全球网络安全领域经历了一系列深刻变化和挑战。这一年，我们见证了网络攻击的规模和复杂性达到了前所未有的水平，从勒索软件的全球肆虐到数据泄露事件的惊人规模，网络安全事件的频发不仅考验了各国的安全防御能力，也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显，一方面，它被用作增强网络防御的利器，另一方面，它也成为网络犯罪分子的新武器。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2024年备受关注的网络安全热点事件，排名不分先后。它们不仅定义了这一年的网络安全态势，也预示着未来的趋势和挑战。 1、Ivanti的零日漏洞被大规模利用 2024年1月，Ivanti公司披露了两个影响其Ivanti Connect Secure VPN（前称Pulse Secure）和Ivanti Policy Secure设备的零日漏洞。这两个漏洞允许攻击者绕过身份验证并执行命令注入，进而可能导致未授权的远程代码执行（RCE）和内部网络的横向移动。 CVE-2023-46805：这是一个认证绕过漏洞，攻击者可以通过路径遍历来绕过访问控制检查。 CVE-2024-21887：这是一个命令注入漏洞，允许具有管理员权限的认证用户发送特殊构造的请求并在设备上执行任意命令。 攻击者，被称为UNC5221或UTA0178，利用这些漏洞在野外进行攻击。他们使用多个自定义恶意软件家族，在某些情况下，通过在设备内对合法文件进行木马化来植入恶意代码。这些漏洞的影响非常广泛，因为Ivanti Connect Secure作为SSL-VPN解决方案，对于潜在攻击者来说是一个极具吸引力的目标，它们寻求进入企业内部网络的入口点。如果被破坏，可能会给恶意行为者提供进入敏感组织系统和数据存储库的立足点。因此，了解和加强围绕Ivanti Connect Secure的安全措施对于保护潜在网络威胁和入侵至关重要。 在漏洞被披露后，美国网络安全和基础设施安全局（CISA）发布了紧急指令，要求所有联邦机构在2024年2月2日之前断开受影响的Ivanti产品与网络的连接，并在已经受到威胁的情况下执行额外的取证分析和清理步骤。Ivanti也发布了补丁，以解决所有受影响产品的安全问题。 这次事件显示了攻击者对新发现漏洞的迅速利用能力，增加了各行业面临的安全风险，特别是对于那些依赖于VPN解决方案来保护网络访问的组织。这也强调了及时应用安全补丁和维护强大的网络安全措施的重要性。 相关阅读： https://hackernews.cc/archives/49790 2、超大规模数据泄露事件曝光 2024年1月，网络安全领域遭遇了一次前所未有的挑战，研究人员揭露了一起涉及260亿条记录的超大规模数据泄露事件。这次泄露的数据不仅数量惊人，而且来源多样，包括了多家国际知名企业和机构，如Twitter、Adobe、LinkedIn等。泄露的数据种类繁多，涵盖了大量个人身份信息、账户凭证、电子邮件地址和电话号码等敏感信息，对全球网络安全构成了严重威胁。 这一事件由网络安全专家Bob Diachenko及其团队发现。初步调查显示，泄露的数据来源复杂多样，既有多个先前已泄露的数据库和历史数据，也包括通过非法渠道收集的信息。泄露数据的存储方式和数量表明，这些数据可能由网络犯罪分子或数据经纪人收集，并与跨境数据交换及恶意组织的合作有着密切联系。这一事件不仅暴露了个人隐私和敏感信息的安全风险，也凸显了全球数据保护和网络安全管理的紧迫性和重要性。 相关阅读： https://hackernews.cc/archives/49414 3、勒索团伙LockBit遭执法机构重锤 2024年2月，一个名为“克洛诺斯行动”（Operation Cronos）的联合执法行动在全球范围内对臭名昭著的勒索软件组织LockBit发起了毁灭性的打击。这次行动由11个国家的执法机构共同参与，包括美国、法国、英国等，取得了显著的成果。 在这次行动中，两名LockBit的运营者在波兰和乌克兰被捕，执法部门扣押了超过200个可能包含受害者支付的勒索金的加密钱包。此外，执法部门从查获的LockBit服务器中获取了超过1,000个解密密钥，并基于这些密钥开发了一个免费的解密工具，供受害者恢复加密文件。LockBit的服务器和基础设施被查获，其数据泄露站点也被接管，用于发布解密工具和悬赏通知。 法国和美国司法当局针对其他LockBit威胁行为者发出了三份国际逮捕令和五项起诉书。此次全球行动由英国国家犯罪局(NCA)领导，并在欧洲由欧洲刑警组织和欧洲司法局协调。欧洲刑警组织表示，为期数月的行动最终成功捣毁了LockBit组织犯罪活动所依赖的主要平台和其他关键基础设施。 这次行动的成功不仅展示了国际合作在打击网络犯罪方面的力量，也为全球网络安全领域树立了一个重要的里程碑。通过这次行动，执法机构不仅重创了LockBit的基础设施，还获取了大量情报，包括与其合作过的组织信息以及利用LockBit服务危害全球网络安全的信息。这些成果对于预防未来的网络犯罪活动和保护全球网络安全具有重要意义。 相关阅读： https://hackernews.cc/archives/50030 https://hackernews.cc/archives/50057 4、联合健康集团子公司Change Healthcare遭到勒索软件攻击 2024年2月，美国医疗支付服务提供商Change Healthcare遭受了一起严重的勒索软件攻击事件，导致约1亿人的个人信息受到影响。这次攻击由臭名昭著的勒索软件组织ALPHV/BlackCat声称负责。攻击者通过从缺乏多因素认证的Citrix门户获取的被盗凭证访问了Change Healthcare的系统，并在网络中潜伏了大约九天，未被发现，随后部署了勒索软件。 此次攻击干扰了超过100个Change Healthcare应用程序，包括牙科、药房、医疗记录、临床服务、注册、收入和付款等多个应用程序服务中断，影响了全国范围内的计费、保险索赔处理、处方药交付等关键功能。由于系统被加密，许多医院和药房无法正常处理索赔和接收付款，导致医疗服务中断。此外，攻击还导致了大量敏感数据被盗，包括个人身份信息、医疗记录、账单记录和保险数据等。 与此次攻击相关的总成本预计超过24.5亿美元，包括赎金支付、恢复工作和法律责任。据报道，Change Healthcare支付了2200万美元的赎金，尽管这一支付并未阻止另一个名为RansomHub的组织进行进一步的敲诈。这次攻击不仅对Change Healthcare造成了巨大的经济损失，也对美国医疗保健系统的正常运作造成了严重影响。 相关阅读： https://hackernews.cc/archives/50120 https://hackernews.cc/archives/51728 https://hackernews.cc/archives/56184 5、Snowflake被黑导致165家企业数据泄露 Snowflake数据泄露事件是2024年春季发生的一系列针对使用Snowflake云存储服务的组织的大规模数据泄露。根据谷歌Mandiant的报告，至少有165家组织受到了影响，包括Ticketmaster、Advance Auto Parts、Santander等知名企业。这些泄露事件并非由于Snowflake自身的环境问题，而是由于客户凭证被泄露，且许多受影响账户没有启用多因素身份验证（MFA）。 攻击者，被Mandiant归因于UNC5537，是一个以经济动机为驱动的威胁行为者，涉嫌从Snowflake客户环境中窃取大量记录。他们通过窃取的客户凭证入侵Snowflake客户实例，并在网络犯罪论坛上发布出售受害者数据的广告，试图敲诈受害者。UNC5537主要位于北美，另有一名成员在土耳其。 这次事件不仅对Snowflake造成了财务损失和声誉损害，还引发了多起针对Snowflake及其他受影响公司如AT&T、Santander Bank、Ticketmaster、Lending Tree和Advanced Auto Parts的集体诉讼。此外，受影响组织的员工数据，如用户名、密码和独特的网络地址也受到了影响。泄露的数据包括个人身份信息，如姓名、地址、信用卡信息和用户名。 Snowflake在识别出导致泄露的原因后，通知了其客户，并建议他们实施MFA以防止未经授权访问其数据库。这一事件强调了多因素身份验证在强大网络安全策略中的重要性。如果所有第三方承包商都实施了MFA，黑客就不会获得访问Snowflake系统的机会。 相关阅读： https://hackernews.cc/archives/53057 6、戴尔公司数据安全事件 2024年5月，戴尔科技集团（Dell Technologies）遭受了一起重大的数据泄露事件，影响了约4900万用户。一名自称为Menelik的黑客在网络犯罪论坛上声称拥有包含4900万条戴尔客户记录的数据库，并试图出售这些数据。这些记录涉及自2017年至2024年间购买戴尔产品的客户。 泄露的数据包括客户的姓名、实际家庭住址、选购的戴尔产品和订单详情以及服务标签、商品描述、订购日期和相关的保修信息等。戴尔公司强调，被盗信息中不包含任何财务或付款信息、电子邮件地址或电话号码。数百万客户面临潜在的身份盗窃和钓鱼攻击风险。此次泄露还削弱了客户对戴尔保护客户数据能力的信任。戴尔因泄露事件面临巨大的财务损失，包括调查、补救、法律费用和潜在的监管罚款。公司股价在披露后也出现了下跌。 戴尔数据泄露事件强调了组织必须持续投资于强大的网络安全措施以保护敏感数据免受不断演变的威胁，实施主动监控系统以实时检测和响应潜在泄露，以及在危机期间与客户和利益相关者进行开放和诚实的沟通对于维护信任和最小化损害至关重要。 相关阅读： https://hackernews.cc/archives/52293 7、《纽约时报》重大数据泄露事故 2024年6月，《纽约时报》揭露了一起严重的数据泄露事件，其严重性在于泄露的数据规模和敏感性。一名匿名黑客在4chan论坛上公开了大约270GB的数据，这些数据包含了约360万个文件。泄露的数据不仅包括《纽约时报》网站和移动应用程序的源代码，还涵盖了内部工具的敏感信息，这些信息对于保护新闻机构的网络安全至关重要。 这次数据泄露事件对《纽约时报》来说是一个重大打击，因为它不仅暴露了其技术基础设施的脆弱性，还可能危及到其记者和员工的安全。源代码的泄露可能会导致未来的网络攻击更加针对性和有效，因为攻击者可以利用这些信息来发现和利用系统的安全漏洞。 此外，这一事件也凸显了即使是全球知名的新闻机构也可能成为网络犯罪的目标，这进一步强调了加强网络安全措施的重要性，以及对内部数据进行更好的保护和管理的必要性。《纽约时报》和其他组织必须从这次事件中吸取教训，加强其网络安全防御，以防止未来发生类似的数据泄露。 相关阅读： https://hackernews.cc/archives/53066 8、微软蓝屏故障横扫全球 2024年7月，全球范围内发生了一起严重的IT系统故障事件，主角是美国网络安全企业CrowdStrike的一次错误更新。这次更新导致全球超过850万台Windows设备出现“蓝屏”死机现象，影响范围极广，包括航空公司、铁路运输、金融机构、广播电台、医疗机构、支付系统等关键基础设施。具体来说，CrowdStrike Falcon Sensor的一个关键更新导致了Windows系统出现大面积BSOD（蓝屏死机）错误，这不仅影响了个人用户，还对企业运营造成了严重影响。 此次事件中，包括美国航空、达美航空和联合航空在内的主要航空公司报告了严重的中断，航班停飞，值机系统无法运行，许多乘客被困或面临严重延误。此外，全球有4.1万个航班被推迟，逾4600个航班被取消，经济损失以十亿美元计算。CrowdStrike的美股盘前跌超13%，微软跌2%，CrowdStrike市值一夜蒸发近百亿美元，创2022年以来最差单日表现。 中国企业在这次蓝屏风波中相对“独善其身”，背后原因是众多关系国计民生的行业普遍使用国产终端安全防护软件，国产网络安全防护产品以更加可靠、稳定和智能的本土特色广泛服务于广大政企客户。这次事件不仅给全球IT基础设施的韧性与安全性带来了深刻检验，也凸显了全球对少数供应商软件依赖所构成的严重风险，一旦出现问题，后果可能比不运作的后果更严重。 相关阅读： https://hackernews.cc/archives/54253 9、AT&T客户敏感信息泄露 2024年7月，美国电信巨头AT&T遭遇了一起重大的数据泄露事件，影响了约1.09亿名客户的敏感信息。这次泄露的数据主要托管在Snowflake云服务公司，包括了客户手机和固定电话的号码、通话和短信记录，以及通话时的位置信息。值得注意的是，虽然泄露的数据不包括通话或短信的内容、社会保障号码、出生日期或其他个人身份信息，但这些元数据仍然可能被用来追踪用户的行为和联系。 AT&T在4月19日得知了这次数据泄露事件，并发现其与3月的一起安全事件无关。被盗的数据涉及2022年5月1日至2022年10月31日六个月期间的记录，以及2023年1月2日以来少数客户的记录。这次泄露事件被追溯到Snowflake平台上的AT&T工作区，并未影响AT&T的网络。目前，尚不清楚AT&T出于何种原因将客户数据存储在Snowflake中。 面对这一严峻的形势，AT&T迅速启动了内部及外部调查，并与执法部门紧密合作。目前至少有一名涉案人员被捕。同时，公司正在采取措施关闭非法接入点，以努力遏制数据泄露的进一步扩散。此次事件再次将美国电信行业的客户数据保护问题推向风口浪尖，引发了公众对个人信息安全的深切忧虑。 相关阅读： https://hackernews.cc/archives/53763 https://hackernews.cc/archives/53815 10、黎巴嫩传呼机、对讲机两轮爆炸 2024年9月，黎巴嫩经历了一场前所未有的安全危机，一系列与对讲机和传呼机相关的爆炸事件震惊了全球。这些爆炸主要针对黎巴嫩真主党成员，造成了数十人死亡和数千人受伤。爆炸事件分为两个阶段：第一阶段为寻呼机爆炸，第二阶段为对讲机爆炸。在寻呼机爆炸发生后的24小时内，对讲机也发生了爆炸，许多爆炸发生在因寻呼机爆炸事件而聚集的人群中，包括葬礼和医院。 据报道，以色列情报机构摩萨德涉嫌在黎巴嫩真主党订购的寻呼机内安放了爆炸物，这些寻呼机的电路板经过特殊设计，难以被检测到异常。当这些寻呼机接收到特定代码时，就会被引爆。这种将日常通讯工具转变为致命武器的行为，不仅展示了技术“双刃剑”的特性，也暴露了全球供应链安全的重大漏洞。 这一事件引起了国际社会的广泛关注和强烈反响。各国政府对遇难者表示哀悼，并对黎巴嫩政府表示支持，同时呼吁彻查事件真相，严惩幕后黑手。联合国等国际组织也表达了对地区紧张局势加剧的担忧，并呼吁各方保持克制，共同维护中东地区的和平与稳定。黎巴嫩传呼机、对讲机两轮爆炸事件不仅是一次针对特定组织的攻击，更是对全球供应链安全和平民生活安全的一次警示。 相关阅读： https://hackernews.cc/archives/55523 https://hackernews.cc/archives/55544 11、美国国家公共数据公司（NPD）敏感信息泄露事件 美国国家公共数据公司（NPD）遭遇的敏感信息泄露事件是2024年最严重的数据安全事件之一。NPD是一家背景调查公司，主要从非公开来源收集个人身份信息（PII）。今年4月，NPD遭受了网络攻击，导致29亿条个人记录被泄露，这被认为是历史上第二大数据泄露事件。泄露的信息包括社会安全号码、姓名和地址等敏感数据。黑客USDoD在地下论坛上出售这些数据，声称拥有与29亿人相关的个人数据。 这次泄露的数据量巨大，涵盖了2019年至2024年间的信息，总计达到277.1GB。这些数据的泄露不仅对个人隐私构成了严重威胁，也可能被用于身份盗窃和金融欺诈等犯罪活动。由于无法产生足够的收入来解决潜在的负债及相关费用，加之医疗机构等客户禁止有背景问题的企业提供服务，NPD最终由其母公司Jerico Pictures于10月2日向佛罗里达州南区法院申请破产。 NPD的数据安全管理漏洞暴露了其在保护敏感信息方面的不足，包括未及时修补的软件缺陷和不严密的访问控制机制。这一事件凸显了处理个人敏感数据的组织在全球范围内面临的数据安全挑战，以及加强数据保护措施的紧迫性。 相关阅读： https://hackernews.cc/archives/55839 12、网络安全迎来 AI 新挑战 2024年，随着人工智能领域的不断进步，AI和深伪技术被黑客利用发起更大规模、更复杂且难以检测的攻击，黑客进行身份伪造、欺诈活动等行为变得更加容易和高效。比如通过深伪技术生成的虚假视频或音频可以欺骗用户，使其相信是真实可信的信息来源，从而实施诈骗。此外，AI算法还可以自动分析大量数据，寻找目标人群的弱点，并定制个性化的钓鱼邮件或社交媒体消息，提高攻击的精准度和成功率。这种新型的诈骗方式不仅对个人用户构成威胁，也给企业和政府机构带来了巨大的安全挑战。例如，2024年3月，在一起针对德国数十家机构网络钓鱼活动中，研究人员发现攻击者使用的 PowerShell 脚本很有可能由AI辅助创建。 AI的崛起无疑为网络安全领域带来了前所未有的挑战，仿佛打开了潘多拉的魔盒。在不远的未来，我们预期将会见证更多借助于AI技术进行的攻击事件，这些攻击将更加复杂、难以预测和防御。同时，这也迫切要求防御领域采取积极的改进措施，以应对这一新兴威胁。 相关阅读： https://hackernews.cc/archives/51536 https://hackernews.cc/archives/55750 https://hackernews.cc/archives/56188       数据来源 https://hackernews.cc/，转载请注明出处

施耐德电气的一份报告考虑了四种可能的情况，并提出了一些指导原则以防止其失控，报告指出政策制定者需要谨慎引导人工智能数据中心未来的电力消耗。 能源基础设施企业施耐德电气在上个月召开的国际能源署全球能源与人工智能大会之后发布了这项研究报告。该研究题为《人工智能与电力：系统动力学方法》，研究了与人工智能相关的新兴思想流派及其对电力消费的影响。 关于人工智能（尤其是生成式人工智能）的兴起已经有很多报道，这导致人们在高性能和高功耗的基础设施上进行巨额投资，以开发和训练模型。 报告指出，现有的数据中心基础设施需要大量能源才能运行，并且需要额外的资源来支持预期的人工智能应用增长。这已经引发了人们对电网潜在压力和环境影响的担忧，如果人工智能的能源需求继续以目前的速度增长。 施耐德模拟了四种不同的情景，并将它们分别称为：可持续人工智能、增长极限、无边界富足和能源危机。这四种情景都预测 2025 年至 2030 年期间能源消耗将呈总体上升趋势，但此后根据每种情景所依据的假设，会出现明显分歧。 可持续人工智能着眼于在能源消耗稳步增长的同时优先考虑效率的潜在结果，而“增长的极限”则概述了人工智能发展受到自然或人类相关限制的受限路径。“无边界的富足”考虑了不受控制的增长的潜在风险，而“能源危机”情景则研究了能源需求和生产不匹配如何可能导致大面积短缺。 施耐德表示，可持续人工智能代表了一种有前景的方法，根据其模型，能源消耗将由预计的 2025 年 100 太瓦时 (TWh) 上升至 2035 年的 785 TWh。 在此情景下，到 2027-2028 年，GenAI 推理将成为人工智能领域电力消耗的主要驱动力，但也将转向更高效、能耗更低的模型。报告指出，其“特点是人工智能基础设施与需求之间的共生关系，效率和资源节约相互促进。” 《增长的极限》报告指出，GenAI 推理的持续应用容易受到电力和基础设施的限制。报告预计，到 2030 年，AI 的总能耗将从 2025 年的 100 TWh 基线增长到 510 TWh，但关键数据中心枢纽的电网电力供应、专用 AI 芯片的制造瓶颈以及大型语言模型的数据稀缺等挑战都将对其造成影响。 “无边界富足”情景表明，人工智能系统的快速和不受约束的发展有可能导致军备竞赛持续，基础设施规模越来越大、越来越强大，超出了可持续资源利用的能力。 施耐德预测，人工智能的总能耗将从 2025 年的 100 TWh 大幅上升至 2030 年的 880 TWh，并继续呈上升趋势，到 2035 年将达到惊人的 1,370 TWh。 这种情景体现了杰文斯悖论，即人工智能效率的提高反而导致整体能源消耗增加。它预测人工智能和数据中心将毫无障碍地扩张，因为技术乐观主义者推动人工智能在各个领域的快速部署，相信人工智能的进步将解决任何资源限制。 最后，能源危机模型预测人工智能的快速增长将导致其能源需求与经济的其他关键部门发生冲突。这将引发各种负面结果，包括经济衰退和依赖人工智能的行业面临的严峻运营挑战。 其中，人工智能能源消耗预计在2029年左右达到峰值，约670TWh，随后到2032年降至约380TWh，2035年进一步降至190TWh。报告称，不协调的人工智能治理将导致政策碎片化，从而造成全球或局部能源短缺。 施耐德列出了一系列可持续人工智能的建议，分为三个主要领域：人工智能基础设施；人工智能发展；以及治理、标准和教育。 第一条建议是，下一代数据中心应采用最新的冷却技术、高密度计算和现代节能 AI 硬件（如 GPU 和 TPU）进行优化。运营商应定期评估和升级基础设施，同时致力于提高数据中心的能源使用效率 (PUE)。 它还建议加快部署现场可再生能源发电，并结合先进的储能解决方案，以确保稳定的电力供应，并投资固态电池或储氢等技术。 公用事业公司还应为人工智能日益增长的能源需求做好规划，这将涉及与能源供应商、政策制定者和人工智能公司的合作，制定全面的战略。 报告指出，在人工智能发展方面，建议通过模型修剪、量化和轻量级架构等技术提高模型效率，同时开发测量的人工智能硬件功率配置文件。 人工智能公司应该为人工智能项目设立明确的关键绩效指标（KPI），包括能源效率和环境影响以及业务成果，同时应将循环经济原则应用于人工智能硬件和软件，以最大限度地减少负面影响。 至于治理、标准和教育，施耐德表示，政策制定者应该制定并实施可持续人工智能实践的认证计划，并为能源效率和环境影响制定明确、可衡量的标准。 此外，强大的人工智能治理框架应指导负责任的人工智能开发和部署，解决能源消耗、数据隐私和道德问题。 该报告还提倡人工智能教育项目，强调可持续做法对于培养一支能够应对未来挑战的劳动力队伍至关重要。例如，企业应该与教育机构建立合作伙伴关系，创建将人工智能技术技能与环保意识相结合的培训项目。 报告的很大一部分内容是附录，讨论了施耐德研究人员在制定和传达他们的情景时采用的方法，供有兴趣的人参考。这涉及创建系统动力学未来模型，以尝试回答有关可能结果的“假设”问题，以及影响这些结果的各种因素和权重。 作者还补充了免责声明，称他们知道在试图预测未来情景时会涉及妥协。报告称，虽然这项研究提供了对潜在人工智能电力消耗情景的洞察，但它强调了需要进一步研究的领域。 这些措施包括通过全面的生命周期评估（涵盖制造、数据中心建设和报废处理）更好地了解人工智能的环境足迹。报告指出，未来的研究还应改进本研究中使用的系统动力学模型，以更有效地捕捉不同行业和应用领域对人工智能需求的动态性质。 施耐德电气可持续发展研究所所长雷米·帕库 (Rémi Paccou) 在前言中表示，这项研究的目的并非是规范性的，而是通过探索这些潜在的未来，希望能够让利益相关者做好准备，应对未来的挑战和机遇。 “我们希望它能成为明智讨论和决策的起点。我们在提出研究成果时认识到，人工智能是一个快速发展的领域，我们的知识也在不断增长。”他说。 总体信息是，政府和行业领导者需要制定战略计划，以平衡人工智能发展与环境和经济可持续性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/zTBtmtieXvnAcDVhSmK-rA 封面来源于网络，如有侵权请联系删除

上周，在混沌通信大会（CCC）上出现的一个新发现动摇了 Windows 可信赖的 BitLocker 加密技术的基础。安全研究员托马斯-兰伯茨（Thomas Lambertz）在其题为 “Windows BitLocker：没有螺丝刀也能拧紧 ”的演讲中暴露了一个明显的漏洞，该漏洞允许攻击者绕过 BitLocker 加密并访问敏感数据，即使是在据称已针对该漏洞打了补丁的系统上也是如此。 这个被称为 “bitpixie”（CVE-2023-21563）的漏洞最初于 2022 年 11 月被微软解决。然而，Lambertz 演示了攻击者如何利用过时的 Windows 引导加载器通过安全启动来提取加密密钥。这种攻击只需要对设备进行瞬间物理访问和网络连接，无需使用螺丝刀或硬件黑客。 其根本原因在于 UEFI 中的证书存储空间有限，而 UEFI 是启动过程中的一个关键组件。新的安全启动证书预计在 2026 年前无法获得。作为临时措施，Lambertz 建议用户为 BitLocker 设置自定义 PIN 或通过 BIOS 禁用网络访问。不过，即使是基本的联网 USB 设备也有可能为攻击提供便利。 虽然普通用户可能不是主要攻击目标，但对企业、政府和其他高安全环境的影响却很大。只需短暂的物理访问就能完全解密设备，这引起了人们对数据保护的严重关注。 对于那些希望进一步探讨这一话题的人，CCC 媒体中心网站上有兰伯特 56 分钟演讲的完整录音。它深入探讨了错综复杂的技术问题，并解释了为什么解决这一漏洞会带来如此艰巨的挑战。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303246 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 苹果公司已同意支付9500万美元，以和解一项指控其利用虚拟助手Siri偷听iPhone及其他时尚设备用户隐私的诉讼。 周二，加利福尼亚州奥克兰联邦法院提交的和解方案，旨在解决这起长达5年的诉讼。该诉讼指控苹果公司在十多年间，秘密激活Siri，通过iPhone及其他配备该虚拟助手的设备记录用户对话。 据称，这些录音甚至在用户没有使用触发词“嘿，Siri”激活虚拟助手时也发生了。诉讼还声称，部分录音被分享给广告商，以便向更可能对产品感兴趣的消费者推销商品和服务。 关于Siri偷听的指控，与苹果公司长期以来保护客户隐私的承诺相悖。苹果公司首席执行官蒂姆·库克经常将此承诺描述为捍卫“一项基本人权”的斗争。 在这项和解中，苹果公司并未承认有任何不当行为，该和解仍需得到美国地区法官杰弗里·怀特的批准。案件律师已提议于2月14日在奥克兰举行法庭听证会，以审查和解条款。 如果和解获得批准，自2014年9月17日至去年年底拥有iPhone及其他苹果设备的数千万消费者可提出索赔。每位消费者可获得最多20美元的赔偿，针对和解覆盖的每台配备Siri的设备，但具体赔偿金额可能会根据索赔数量而增减。据法庭文件估计，预计只有3%至5%的符合条件的消费者会提出索赔。 符合条件的消费者最多只能就五台设备寻求赔偿。 对于苹果公司自2014年9月以来获得的7050亿美元利润而言，这笔和解金额只是九牛一毛。同时，这也远低于消费者代表律师在诉讼中估计的，如果苹果被判违反窃听及其他隐私法律，可能需要支付的约15亿美元罚款的一小部分。 根据法庭文件，提起诉讼的律师可从和解基金中寻求最多2960万美元，以支付其费用和其他开支。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本最大移动运营商NTT Docomo发布报告称，该公司正努力恢复服务，此前一次网络攻击于周四暂时中断了其运营。 总部位于东京的NTT Docomo在声明中透露，其系统遭受了分布式拒绝服务（DDoS）攻击，这种攻击通过多个源头向网络发送大量垃圾流量，导致部分服务无法正常使用。 从周四清晨至傍晚，当地用户无法访问NTT Docomo的新闻网站、视频流平台、移动支付、网络邮件服务以及一个高尔夫爱好者网站。目前，大多数服务已恢复访问，但部分内容的更新可能会延迟。 NTT Docomo未指明此次攻击的具体威胁行为体。值得注意的是，该公司在2023年曾遭受勒索软件团伙Ransomed.vc的攻击。该团伙声称，在据称逮捕六名附属人员后，计划停止活动。 NTT Docomo是最近几个月遭受网络攻击的众多日本公司之一。12月初，日本航空（JAL）因系统“流量激增”导致部分国内外航班延误，疑似遭遇DDoS攻击。 上月，日本大型非寿险公司三井住友保险公司报告称，其一家第三方供应商遭到未具名勒索软件组织的攻击，可能导致数千名投保人信息泄露。 去年早些时候，知名媒体公司角川据称在一次数据泄露后，向与俄罗斯有联系的黑客组织BlackSuit支付了近300万美元。 此外，日本钟表制造商卡西欧在10月也遭受勒索软件攻击，导致交货延迟，该事件由“地下”勒索软件团伙所为。 其他近期遭遇网络攻击的日本公司还包括电机制造商日本电产、汽车零部件制造商Yorozu和研发机构Monohakobi。 据当地媒体报道，三菱日联银行、Resona银行和瑞穗银行等日本主要金融机构的网上银行服务也因网络攻击而中断。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对PlugX蠕虫的开创性恶意软件消毒行动在国际机构的协作下已圆满执行。 此次行动由Sekoia威胁检测与研究团队牵头，成功为多个国家的受感染系统进行了消毒。 PlugX蠕虫常与“野马熊猫”（Mustang Panda）相关联，可通过受感染的闪存盘传播，极具普遍性。2023年，Sekoia研究人员查尔斯·梅斯莱（Charles Meslay）和费利克斯·艾梅（Félix Aimé）在控制了一个关键的指挥与控制（C2）服务器后，对该恶意软件进行了分析，并提出了两种潜在的消毒方法。 这包括一个自我删除命令和一种更先进的代码执行方法，以清理系统和连接的驱动器。此次行动主要采用了更简单、侵入性更低的方法来降低风险。 响应公开求助，34个国家请求获取蜜罐日志以识别受感染的网络，而22个国家表示对主动消毒感兴趣。 最终，在巴黎检察院和法国国家宪兵队网络部门的监督下，10个国家开展了消毒行动。 为简化操作，Sekoia仅用一周时间就开发了一个专用的消毒门户。该平台允许参与国家登录，访问受感染资产的详细统计信息，并通过选择特定网络或IP范围来启动消毒行动。 该过程确保了最小程度的干扰。如果IP地址符合预定标准，蜜罐将发送一个小型消毒有效载荷并记录操作。 在整个行动期间，共向5539个IP地址发送了59475个有效载荷。 尽管技术上相对简单，但此次行动凸显了法律层面的复杂性。执法机构和司法部门的积极参与对于遵守国际法律至关重要。 此次合作也为未来的消毒行动树立了先例，展示了主权网络安全合作的潜力。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据报道，一名涉嫌泄露总统通话记录的美陆军士兵卡梅伦·约翰·瓦格纽斯（Cameron John Wagenius），于12月20日在德克萨斯州胡德堡被捕，他面临两项非法转移机密电话记录的指控。 瓦格纽斯现年20岁，被怀疑为一名网络罪犯，其网名“Kiberphant0m”，涉嫌提供并泄露从电信提供商AT&T和Verizon窃取的通话记录。 此次逮捕大约发生在调查记者布莱恩·克雷布斯（Brian Krebs）揭露一名美军士兵可能参与影响包括安海斯-布希（Anheuser-Busch）、好事达（Allstate）、美国前进汽车零件公司（Advance Auto Parts）、三菱（Mitsubishi）、尼曼马库斯（Neiman Marcus）、前进保险（Progressive）、桑坦德银行（Santander Bank）、州立农业保险（State Farm）和Ticketmaster在内的数百家组织的“雪花”黑客攻击行动的一个月后。 克雷布斯在一份新报告中透露，瓦格纽斯曾驻韩，是一名通信专家，很可能就是“Kiberphant0m”，且与10月底因“雪花”账户黑客攻击案被捕的加拿大公民康纳·莱利·穆卡（Connor Riley Moucka，网名Judische）有关联。 穆卡被捕后不久，“Kiberphant0m”为勒索AT&T，在网络犯罪门户BreachForums上发布了疑似被盗的特朗普总统和哈里斯副总统的通话记录。 他还提供了据称来自美国国家安全局的“数据架构”、据称从美国政府机构和Verizon应急响应人员处窃取的通话记录，以及针对Verizon一键通（PTT）客户的SIM卡交换服务。 “Kiberphant0m”还在Telegram上吹嘘自己黑进了包括AT&T和Verizon在内的15家电信提供商，并维护了一个分布式拒绝服务（DDoS）僵尸网络。 12月20日的起诉书（PDF）指控瓦格纽斯于11月初参与了机密电话记录信息的销售和传输，但未提供有关嫌疑人身份或其与“雪花”攻击关联的更多细节。 然而，据克雷布斯称，瓦格纽斯的母亲已确认他参与了网络犯罪活动，而穆卡此前也透露，他将从“雪花”客户处窃取的数据销售外包给了“Kiberphant0m”。 迄今为止，已有三人因“雪花”攻击案被捕。除穆卡和瓦格纽斯外，当局还逮捕了约翰·艾琳·宾斯（John Erin Binns），此人曾因2021年黑进T-Mobile而自居功劳，目前被关押在土耳其监狱。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文