信息安全简介据Microsoft称，伊朗网络间谍正在通过一个名为FalseFont的新后门瞄准国防工业基地组织。 在周四发布的一系列Xeets中，雷德蒙德的威胁情报团队表示，它发现了一个名为Peach Sandstrom的民族国家支持的团伙，该团伙试图向国防部门员工提供（可能是Windows）恶意软件。 “FalseFont是一个自定义后门，具有广泛的功能，允许操作员远程访问受感染的系统，启动其他文件，并将信息发送到其C2服务器，”Microsoft说。“它于 2023 年 11 月初首次被观察到用于对付目标。” Mandiant以APT33的身份追踪伊朗支持的机组人员，该公司表示，它针对美国，沙特阿拉伯和韩国的组织进行“战略网络间谍活动”，对商业和军用航空公司以及与石化生产有关的能源部门的公司特别感兴趣。 威胁猎人在10月份更新的警报中表示：“我们发现了与伊朗角色相关的APT33恶意软件，该角色可能受雇于伊朗政府对其对手进行网络威胁活动。 在一个月前发表的研究中，Microsoft表示，他们已经看到机组人员试图对“数千个组织”进行密码喷洒。 我们被告知，当这些暴力攻击成功后，Peach Sandstorm 随后使用公开可用和自定义工具的组合来窥探网络，保持持久性并在受害者的 IT 系统中横向移动。 “在少数入侵中，”雷德蒙德补充道，“观察到桃沙尘暴从受感染的环境中泄露数据。 数以百计的电子商务网站被窃卡者入侵 据欧洲刑警组织称，网络骗子入侵了 443 家在线商店，使用 JavaScript 嗅探器窃取这些电子商家客户的信用卡或支付信息。 打击数字略读攻击的协调努力包括来自17个国家的警察，欧盟网络安全局（ENISA）以及私营部门安全商店Group-IB和Sansec。 在两个月的时间里，执法机构通知在线零售商，作为骗子在线欺诈计划的一部分，他们客户的付款详细信息已被盗。 在这些攻击中，窃贼在在线结账过程中使用 JavaScript 代码片段拦截客户的卡数据，而零售商或客户却没有意识到他们已经受到威胁。他们通常会在很长一段时间内不被发现 - 当他们被发现时，骗子已经在疯狂购物，或者将财务信息放在非法市场上出售。 参与希腊牵头努力的国家包括阿尔巴尼亚、比利时、波斯尼亚和黑塞哥维那、哥伦比亚、克罗地亚、芬兰、德国、格鲁吉亚、匈牙利、摩尔多瓦、荷兰、波兰、罗马尼亚、西班牙、英国和美国。 我们被告知，在行动中，Group-IB 的威胁情报团队确定了 23 个 JS 嗅探器家族，包括 ATMZOW、health_check、FirstKiss、FakeGA、AngryBeaver、Inter 和 R3nin。这家安全公司表示，截至 2023 年底，有 132 个已知的 JS 嗅探器系列已被用于破坏全球网站。 本周关键漏洞 我们有一些年终的关键漏洞，包括至少一个已经在野外被发现和利用的漏洞。因此，在你结束假期之前，先打补丁。并为圣诞节奇迹祈祷：2023 年不再有零日线。 被利用的 Chrome 漏洞 — CVE-2023-7024：此漏洞尚未达到 CVSS 等级，但 Google 将其归类为高严重性，并警告说 WebRTC 中针对此堆缓冲区溢出漏洞的漏洞正在四处走动。谷歌威胁分析小组的 Clément Lecigne 和 Vlad Stolyarov 于 2023-12-19 报道 Apple 安全性更新 — CVE-2023-42940 及更多：Apple 发布了安全性更新以应对 Safari、iOS、iPadOS 及 macOS Sonoma 中的漏洞，但只公布了其中一个漏洞的详细信息和 CVE。这是 macOS Sonoma 中的会话呈现问题，可被利用来窃取敏感信息。 CVSS 9.8 — 多个 CVE：Ivanti 的 Avalanche 企业移动设备管理产品包含 12 个内存损坏漏洞，可通过向移动设备服务器发送特制数据包来利用这些漏洞，从而导致拒绝服务或远程代码执行。 CVSS 9.8 — 多个 CVE：EuroTel ETL3100 无线电发射器版本 v01c01 和 v01x37 容易受到三个漏洞的影响，这些漏洞可能允许攻击者获得对系统的完全访问权限并泄露敏感信息。或访问隐藏的资源。 CVSS 9.6 — 多个 CVE：EFACEC BCU 500 控制和自动化设备容易受到不受控制的资源消耗和跨站点请求伪造缺陷的影响，这些缺陷可能允许拒绝服务情况或危及 Web 应用程序。 俄罗斯信息安全工作者将被引渡到莫斯科 据报道，哈萨克斯坦将把一名网络安全专家引渡到莫斯科，尽管美国政府要求将他送往华盛顿。 根据其雇主的一份声明，应美国的要求，东欧集团国家于 6 月 22 日拘留了俄罗斯信息安全商店 FACCT 的雇员尼基塔·基斯利钦，美国指控他犯有网络犯罪。 “根据我们掌握的信息，对基斯利钦的指控与他在FACCT的工作无关，而是与十多年前尼基塔担任记者和独立研究员的案件有关，”声明说，大概是指他作为黑客杂志前编辑的工作。 美国的引渡请求似乎与早些时候对基斯利钦的指控有关，基斯利钦被指控在2012年闯入社交网络服务Formspring。 2014年的一份起诉书[PDF]称，在闯入后，Kislitsin窃取了用户名、电子邮件地址和密码，然后试图以每人5000欧元的价格出售被盗的数据库。 在联邦调查局要求将基斯利钦引渡到美国后不久，莫斯科提出了自己的引渡请求，这似乎赢得了这场战斗——至少根据俄罗斯联邦总检察长办公室的说法。 周四，该政府机构表示，基斯利钦将被送回俄罗斯，在那里他将面临与黑客有关的刑事指控。 总检察长的声明说：“根据调查，2022年10月，基斯利钦和他的同伙非法访问了其中一个商业组织的服务器数据。“在这之后，他们被复制了。” 在涉嫌窃取该组织的数据后，Kislitsin 随后试图以 550,000 卢布的加密货币勒索该公司。®