最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

来自伊朗的迷人小猫会抓取电子邮件收件箱,法国可能会再次罚款谷歌

网络安全 快米云 来源:快米云 79浏览

简而言之对网络安全决策者的一项调查发现,77% 的人认为世界现在处于永久的网络战状态。

此外,82% 的受访者认为地缘政治和网络安全“存在内在联系”,三分之二的受访组织报告称,为应对俄罗斯入侵乌克兰而改变了安全态势。

在被问及的人中,64% 的人认为他们可能已经成为民族国家主导的网络攻击的目标。不幸的是,63% 的接受调查的安全领导者还认为,他们甚至永远不会知道是否是国家一级的行为者控制了他们。

调查由安全商店 Venafi 组织,询问了 1,100 名安全领导者。安全战略和威胁情报副总裁 Kevin Bocek 表示,结果表明网络战已经到来,这与许多人想象的完全不同。“任何企业都可能受到民族国家的损害,”他补充说。

根据 Bocek 的说法,一段时间以来,众所周知,政府支持的高级持续威胁 (APT) 团队正被用于推进在线地缘政治目标。博切克说,与常规战争不同,每个人都是目标,没有任何军事或政府方法可以保护每个人。 

也不会有太多的财务补救措施。本周早些时候,伦敦劳合社宣布将不再为某些民族国家攻击的投保人提供补偿。

周五晚些时候,Facebook原则上同意解决一项美国诉讼,要求赔偿包括剑桥分析在内的第三方访问用户的私人数据。和解条款尚未敲定。

谷歌员工发现了迷人的电子邮件抓取工具

谷歌威胁分析小组 (TAG) 的研究人员详细了解了据信来自伊朗 APT Charming Kitten 的电子邮件窃取恶意软件。

该工具被 TAG 称为Hyperscrape,旨在从 Gmail、Yahoo 和 Outlook 帐户。Hyperscrape 在受感染的 Windows 机器上本地运行,并且能够遍历目标收件箱的内容并单独下载邮件。为了隐藏其踪迹,除其他外,它还可以删除提醒用户注意可能入侵的电子邮件。

TAG 表示,不要与Rocket Kitten混淆,这是另一个据信由伊朗支持的 APT,Charming Kitten 多年来一直在劫持账户、部署恶意软件并使用“符合伊朗政府利益的新型技术进行间谍活动”。 

在 Hyperscrape 的案例中,该工具要么很少使用,要么仍在开发中,正如谷歌所说,它只看到了不到两打软件讨厌的实例,都位于伊朗境内。 

该恶意软件的操作能力也受到限制:它必须本地安装在受害者的机器上,并且如果从其文件夹中移出这些依赖项,则会破坏其功能。此外,Hyperscrape“要求受害者的帐户凭据使用攻击者劫持的有效、经过身份验证的用户会话或攻击者已经获得的凭据运行,”谷歌表示。

虽然它的使用可能很少见,而且它的设计有些限制,但 Hyperscrape 仍然是一种危险的恶意软件,谷歌表示它已经写了它以提高认识。谷歌安全工程师 Ajax Bash 写道:“我们希望这样做能够提高对战术和技术的理解,从而增强威胁追踪能力并为整个行业带来更强大的保护。” 

安全专家可以在 Google 的报告中找到 Hyperscrape 的泄露数据指标。

法国机构可能会再次调查谷歌

欧洲数字权利中心 ( NOYB ) 向一家法国政府机构通报了另一种潜在的不良做法:将广告打扮成普通电子邮件信息。

根据 NOYB的说法,谷歌在 Gmail 用户的收件箱中展示了看似普通电子邮件的广告,这将直接违反欧盟的ePrivacy 指令,因为人们在技术上可能没有注册或同意查看这些内容。

“当商业电子邮件直接发送给用户时,它们构成直接营销电子邮件,并受到 ePrivacy 指令的监管,”NOYB 说。 

因为谷歌“成功地在一个单独的垃圾邮件文件夹中过滤了大多数外部垃圾邮件”,NOYB 声称,当未经请求的邮件最终进入用户的收件箱时,它给人的印象是他们实际注册的东西,而事实并非如此。

“欧盟法律已经非常明确:出于直接营销的目的使用电子邮件需要用户同意,”NOYB 说,他引用了 2021 年的欧盟法院新闻稿[PDF],其中概述了有关收件箱广告的规则。

“这很简单。垃圾邮件是未经同意发送的商业电子邮件。它是非法的。垃圾邮件不会仅仅因为它是由电子邮件提供商生成的而成为合法的,”NOYB 律师罗曼罗伯特说。

法国数据保护局 (CNIL) 此前曾裁定反对谷歌过去的行为。2 月,谷歌被发现向美国传输数据违反了 GDPR 规定。谷歌还因在使用其内容时未向法国出版商付费而被法国竞争管理局罚款。

NOYB 在其对 CNIL 的投诉 [ PDF ] 中表示,由于它指控谷歌违反了 ePrivacy 指令而不是 GDPR,因此监管机构无需配合或等待其他国家数据隐私当局的行动来决定罚款或以其他方式惩罚美国网络巨头。 

Nobelium 带着新的妥协后工具回来了

微软安全研究人员描述了 Nobelium(又名 Cozy Bear 又名SolarWinds 攻击的肇事者)使用的定制软件来维持对受损 Windows 网络的访问。

这个恶意的 Windows DLL 被 Redmond 称为 MagicWeb,一旦由高权限入侵者安装在 Active Directory 联合服务 (ADFS) 服务器上,可用于确保任何尝试登录的用户都被接受和验证。如果攻击者不知何故失去了初始访问权限,这将有助于攻击者重新进入网络。

微软指出,MagicWeb 类似于 2021 年部署的FoggyWeb恶意软件,并补充说“MagicWeb 通过直接促进隐蔽访问,超越了 FoggyWeb 的收集能力。” 

这也不是理论上的恶意软件样本:微软表示,它在事件响应调查期间发现了一个真实的 MagicWeb 示例。据微软称,攻击者拥有对 ADFS 系统的管理员访问权限,并将合法的 DLL 替换为 MagicWeb DLL,“导致 ADFS 加载恶意软件而不是合法的二进制文件”。

MagicWeb 是一种攻击后恶意软件,它要求攻击者已经拥有对其目标 Windows 系统的特权访问权限。Microsoft 建议将 ADFS 服务器视为顶级资产,并像保护域控制器一样保护它们。 

此外,Microsoft 建议域管理员在 PKI 环境中启用库存证书颁发策略,使用详细事件日志记录,并注意指示 MagicWeb 感染的事件 ID 501。 

Redmond 表示,组织还可以通过留意位于全局程序集缓存 (GAC) 或未由 Microsoft 签名的 ADFS 目录中的可执行文件,并将 AD FS 和 GAC 目录添加到审计扫描中来避免 MagicWeb 感染。 

反作弊软件被劫持杀AV

事实证明,角色扮演游戏 Genshin Impact 的反作弊软件可以并且正在被不法分子用来杀死受害者 Windows 计算机上的防病毒软件,然后再通过网络大规模部署勒索软件。

TrendMicro表示,它发现了 Genshin 使用的内核模式反作弊驱动程序 mhyprot2.sys,被入侵者用来关闭机器上的端点保护有点像 rootkit。该软件旨在杀死不需要的进程,例如作弊程序。

您不必将游戏安装在您的 PC 上也有风险,因为勒索软件攻击者可以将驱动程序的副本放在受害者的计算机上并从那里使用它。

我们被告知,它拥有勒索者所需的特权、代码签名和功能,可以让他们推出勒索软件变得轻而易举。TrendMicro 建议留意 mhyprot2 驱动程序的意外安装,该驱动程序应显示在 Windows 事件日志中,以及上面链接中详述的其他步骤。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 来自伊朗的迷人小猫会抓取电子邮件收件箱,法国可能会再次罚款谷歌