尊敬的客户：

感谢您使用阿根廷云产品的服务。

告诉您以下26日阿根廷数据中心将进行维护通知：
开始时间： 2022年5月26日, 06:30
结束时间： 2022年5月26日, 07:30
任务：基础的网络维护任务
影响：网络可能的会临时中断，在维护期间，请不要登录等您的服务器的操作.

感谢您的支持！

快米云提供德国原生IP云服务器
订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=50

快米云提供捷克原生IP云服务器
订购地址：https://www.zzqidc.com/business/haiwaiyun/jkyys.html?label_id=47

快米云提供中国台湾原生IP云服务器
订购地址：https://www.zzqidc.com/business/haiwaiyun.html?label_id=35

英国监管机构因非法收集英国居民照片而对 Clearview AI 处以 755 万英镑（合 950 万美元）的罚款。此外，她将不得不停止在社交网络和一般互联网上收集有关该国居民的信息，并删除以前收集的数据。

据英国当局代表称，该公司不仅提供了使用其软件的人的身份证明，还监测了他们的习惯信息，并提供了相关数据进行销售。

英国信息专员办公室（ICO）于 2020 年与澳大利亚当局对Clearview AI发起联合调查，并在过去开出相当于 2140 万美元的“临时”罚款。该机构当时表示，Clearview AI 数据库似乎包含来自大量英国居民的数据，其中许多数据是在他们不知情或未经同意的情况下从包括社交媒体平台在内的公共平台收集的。

在最终裁决中，ICO 指出，该公司在全球范围内为其数据库非法收集了超过 200 亿张面部图像。尽管它不再为英国组织提供服务，但它在其他国家有客户，因此该公司仍然使用有关英国居民的信息。特别是，Clearview AI 销售一款应用程序，允许您上传某人的照片，以便随后根据数据库进行验证。该公司的服务被世界各地的众多执法机构使用，尽管从法律的角度来看，该技术至少处于“灰色”区域。

Twitter、谷歌和 YouTube 已经联系了该公司，称其违反了服务使用条款。此外，Facebook *要求停止收集信息。该公司已经收到欧洲人权组织的投诉，并在意大利被罚款 2000 万欧元。

在美国，美国公民自由联盟正在起诉 Clearview AI 违反伊利诺伊州法律，该法律最近达成了一项限制其在该州使用其基地的协议。同时，该公司将继续向其他州的联邦执法机构和当局提供所有可用信息。

* 被法院根据 2002 年 7 月 25 日第 114-FZ 号联邦法律“关于打击极端主义活动”的规定最终决定清算或禁止活动的公共协会和宗教组织名单中”。

俄罗斯联邦数字发展部正在制定一套新规则，规范国有企业根据自身需求独立开发软件。据推测，这将迫使他们从国内 IT 公司购买软件，并导致相互重复的程序减少。ICT 领域进口替代能力中心负责人 Ilya Massukh表示，该中心负责批准国有企业的数字化转型战略。

根据现有数据，数字发展部的提案包括一些严重的限制，包括大幅减少软件开发支出在组织整体数字预算中的份额。“经验表明，通常情况下，国有企业对他们自己设计的 30% 的行业特定软件感到满意，70% 的系统范围内的软件是从第三方开发商处购买的，”消息人士引述先生的话称。 .马苏赫。

值得注意的是，该规则尚未在任何地方详细说明，但自去年年底以来已经实施。根据 Ilya Massukh 的说法，如果公司超过 30% 的限制，其数字化转型计划将不会获得批准。同时，值得注意的是，在俄罗斯有一些国有公司，其中自己开发的软件份额为 50%。

数字发展部的上述举措可能会导致国有企业必须向 IT 行业的公司申请软件，这些公司的代表积极评估可能的创新。据“国内软”软件开发商协会执行董事 Renat Lashin 称，目前 ICT 领域的进口替代能力中心“有义务将数字化转型计划提供的资金的 70% 用于现有解决方案的收购进入国产软件统一登记册”。

数字化发展部提出的限制性措施仅适用于国有企业和部门，但已经有人呼吁将其扩展到私营企业。燃料和能源综合体的软件和信息技术开发者联盟提出了这样一个想法。该组织相信当局应该禁止俄罗斯燃料和能源综合体的公司开发软件产品。该组织于今年3月向能源部发出了相应的提案。

大量运行 Kubernetes API 的服务器暴露在互联网上，这并不是很好：它们可能容易受到滥用。

非营利性安全组织 Shadowserver Foundation 最近扫描了 454,729 个托管用于管理和编排容器的流行开源平台的系统，发现超过 381,645 个（约 84%）可以通过互联网不同程度地访问，从而为进入企业提供了破门。网络。

“虽然这并不意味着这些实例完全开放或容易受到攻击，但这种访问级别很可能不是故意的，这些实例是不必要的暴露攻击面，”Shadowserver 的团队在一篇文章中强调。“它们还允许有关版本和构建的信息泄漏。”

尽管如此，数据安全公司 Comforte AG 的市场主管 Erfan Shadabi 表示，企业不应低估这种暴露的 Kubernetes API 服务器所带来的风险。

“Kubernetes 的增长势不可挡，虽然它为企业提供了敏捷应用程序交付的巨大好处，但有一些特征使其成为理想的攻击目标，”Shadabi 告诉The Register。“例如，由于拥有许多容器，Kubernetes 有一个很大的攻击面，如果不采取先发制人的保护措施，就可以利用这些攻击面，因此 Shadowserver 基金会的扫描发现了如此多的漏洞也就不足为奇了。”

最令人担忧的是，Kubernetes 内置的数据安全功能符合最低标准，可以保护静态数据和动态数据，但“没有对数据本身进行持久保护，例如，使用行业认可的技术，如字段级标记化”沙达比说。

“如果一个生态系统受到损害，它处理的敏感数据屈服于更隐蔽的攻击只是时间问题。在生产环境中使用容器和 Kubernetes 的组织必须非常重视 Kubernetes 的安全性。”

Kubernetes 大约十年前由 Google 开发，现在是用于在本地和公共云中管理容器的最流行工具，Red Hat (OpenShift)、VMware (Tanzu) 和 SUSE (Rancher) 等供应商都在销售商业版本。根据市场研究公司 Statista的数据，截至 2021 年，全球近 50% 的组织已经以某种形式采用了 Kubernetes 。

Shadowserver 扫描了响应为 的可访问 Kubernetes API 实例，200 OK在其报告中列出了近两打返回该响应的实例。该组织还披露了五个最容易访问的平台。

研究人员还指出，近 53% 的可访问实例（201,348 个 Kubernetes API 服务器）位于美国。

开源系统是威胁参与者越来越受欢迎的目标。在云计算时代，围绕 Linux 的攻击面只是在扩大。

网络安全供应商趋势科技在去年的一份报告中指出，在其 Cloud One 产品保护的云工作负载中，61% 是 Linux 系统，39% 运行 Windows。网络威胁的范围从勒索软件和木马到硬币矿工和网络外壳。

“鉴于 Linux 深深植根于日常生活，尤其是作为云基础设施和物联网 (IoT) 不可或缺的一部分，Linux 和 Linux 工作负载的安全性必须与 Windows 和其他操作系统同等对待，”趋势科技研究人员写道。

去年年底，当无处不在的Apache Log4j日志工具中的漏洞浮出水面时，开源系统的威胁就被凸显出来了。这些漏洞很容易被利用，而且 Log4j 的使用如此广泛，以至于许多企业很难找到其 IT 环境中的所有实例来修补它们。网络犯罪分子迅速采取行动，利用这些被称为 Log4Shell 的缺陷，并继续将它们用作系统的访问点。

上周的一份报告说明了这一点，该报告发现与俄罗斯有关的 Wizard Spider（Conti 和 Ryuk 等勒索软件背后的威胁组织）在其一些活动中利用了 Log4Shell。

Shadowserver 建议使用可访问的 Kubernetes API 服务器的企业实施访问授权或在防火墙处阻止访问，以减少攻击面。

creencastify 是一种流行的用于从网站捕获和共享视频的 Chrome 扩展程序，最近发现它容易受到跨站点脚本 (XSS) 漏洞的攻击，该漏洞允许任意网站欺骗人们在不知情的情况下激活他们的网络摄像头。

然后，利用此漏洞的不法分子可以从受害者的 Google Drive 帐户下载生成的视频。

ad amelioration biz Eyeo 的联合创始人、软件开发人员 Wladimir Palant 周一发表了一篇关于他的发现的博客文章。他说他在 2 月份报告了 XSS 漏洞，Screencastify 的开发人员在一天内修复了它。

但 Palant 认为，浏览器扩展继续构成风险，因为代码信任多个合作伙伴子域，并且其中任何一个站点上的 XSS 漏洞都可能被滥用来攻击 Screencastify 用户。

Chrome Web Store 上的Screencastify 页面显示，该浏览器扩展拥有超过 1000 万用户，这是商店指标列出的最大值。正如 Palant 指出的那样，扩展是针对教育市场的，带来了一些不愉快的可能性。

“该扩展授予 screencastify.com 足够的权限，可以通过用户的网络摄像头录制视频并获得结果，”他在帖子中解释道。“不需要用户交互，只有极少的视觉指标来表明正在发生的事情。甚至可以掩盖你的踪迹：从 Google Drive 中删除视频并使用另一条消息关闭录制后打开的扩展选项卡。”

令人担忧的是，扩展代码为其他几个域提供了相同的权限：不仅通过app.screencastify.com域的 Screencastify，而且还通过 Screencastify 子域的 Webflow、Teachable、Atlassian、Netlify、Marketo、ZenDesk 和 Pendo。

而且，Palant 说，Screencastify 域或委托给合作伙伴的子域都没有有意义的内容安全策略保护——一种减轻 XSS 风险的方法。

Palant 的概念验证利用涉及在 Screencastify 代码中查找 XSS 错误，这并不是一项特别困难的任务，因为它们很常见。NIST 数据库列出了从 2001 年至今的近 20,000 个。根据OWASP的说法，“XSS 是 OWASP Top 10 中第二普遍的问题，大约三分之二的应用程序都存在 XSS。”

Palant 在一个错误页面上发现了一个 XSS 错误，当用户在为作业提交视频后尝试提交视频时，该错误页面会出现。该页面包含一个“查看课堂”按钮，该按钮使用以下代码将用户发送到 Google 课堂：

window.open(this.courseworkLink);
“这是一个查询字符串参数，”帕兰特在他的帖子中解释道。“中间是否有一些链接验证？没有。所以，如果查询字符串参数类似于javascript:alert(document.domain)，单击此按钮会在screencastify.com域的上下文中运行 JavaScript 代码吗？肯定会！”

要做到这一点，攻击者仍然需要诱骗受害者点击这个按钮。但正如 Palant 所观察到的，该页面没有针对框架的保护，这意味着它容易受到点击劫持。所以他的概念验证攻击就是这样做的，将易受攻击的页面加载到一个不可见的框架中，并将其定位在鼠标光标下，这样任何点击都会传递到隐藏的按钮。

此后，该页面可以向 Screencastify 发送消息以获取受害者的 Google 访问令牌并要求 Google 提供用户的身份。它还可以列出 Google Drive 内容或开始录制会话。

Palant 说他在 2022 年 2 月 14 日报告了这个问题，他的消息在同一天得到了确认。一天后，错误页面的 XSS 修复。他收到的消息还提到了实施内容安全策略保护的长期计划，但根据 Palant 的说法，截至 5 月 23 日，除了添加框架保护之外，这还app.screencastify.com没有发生。www.screencastify.com

Palant 说，他观察到，该 API 似乎没有受到限制，并且仍会生成可用于访问受害者的 Google Drive 的 Google OAuth 令牌。让网站开始视频录制的 onConnectExternal 处理程序也是如此。

The Register询问 Google 是否愿意对 Palant 的意见发表评论，即 Google Drive 访问范围过于广泛，但我们尚未收到回复。

“因此，此时是否继续使用 Screencastify 的问题归结为您是否信任 Screencastify、Pendo、Webflow、Teachable、Atlassian、Netlify、Marketo 和 ZenDesk 可以访问您的网络摄像头和您的 Google Drive 数据，”他总结道。“以及你是否信任所有这些各方来保证他们的网络资产不受 XSS 漏洞的影响。如果不信任，你应该尽快卸载 Screencastify。”

Screencastify 没有立即回复寻求评论的电话和电子邮件。

在一次新的侦察活动中，观察到俄罗斯国家支持的黑客组织 Turla 瞄准了奥地利经济商会、北约平台和波罗的海国防学院。

这一发现来自网络安全公司 Sekoia，该公司建立在谷歌 TAG 之前的调查结果之上，该公司今年一直在密切关注俄罗斯黑客。

谷歌在2022 年 3 月下旬警告了俄罗斯威胁组织的协调活动 ，而在 5 月，他们发现 了正在进行的活动中使用的两个 Turla 域。

Sekoia利用这些信息进一步调查，发现Turla针对的是奥地利的联邦组织和波罗的海地区的军事学院。

图拉是谁
Turla 是一个讲俄语的网络间谍威胁组织，据信与俄罗斯联邦的 FSB 服务有密切联系。它至少从 2014 年开始运作，影响了多个国家的广泛组织。

他们此前曾针对全球 Microsoft Exchange 服务器部署后门，劫持其他 APT 的基础设施在中东进行间谍活动，并对亚美尼亚目标进行水坑攻击。

最近，有人看到 Turla 使用各种后门和远程访问木马来 攻击欧盟政府和大使馆 以及重要的研究机构。

欧洲目标
根据 Sekoia 的说法，谷歌 TAG 共享的 IP 指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”，它们分别是“baltdefcol.org”和“wko.at”。 ”

第一个目标是 BALTDEFCOL，是位于爱沙尼亚的一所军事学院，由爱沙尼亚、拉脱维亚和立陶宛运营，作为波罗的海战略和运营研究中心。

该学院还组织北约和欧洲各国高级官员参加的会议，因此在乌克兰持续冲突和俄罗斯边境紧张局势中对俄罗斯具有特殊意义。

WKO (Wirtschaftskammer Österreich) 是奥地利联邦经济商会，担任立法和经济制裁方面的国际顾问。

奥地利在制裁俄罗斯问题上保持中立立场。然而，Turla 希望成为第一批了解这方面是否有任何变化的人。

Sekoia 还注意到第三个拼写错误域名“jadlactnato.webredirect[.]org”，它试图作为北约联合高级分布式学习平台的电子学习门户。

执行侦察
仿冒域名用于托管名为“War Bulletin 19.00 CET 27.04.docx”的恶意 Word 文档，该文档可在这些站点的各个目录中找到。

此文件包含一个嵌入的 PNG (logo.png)，在加载文档时会检索该 PNG。Word 文件不包含任何恶意宏或行为，使 Sekoia 认为 PNG 用于执行侦察。

“由于文档向其自己控制的服务器发出 HTTP 请求，攻击者可以获得受害者使用的 Word 应用程序的版本和类型——这可能是发送针对特定 Microsoft Word 版本的定制漏洞利用的有趣信息，” Sekoia 的报告解释道

此外，Turla 还可以访问受害者的 IP 地址，这将有助于后续的攻击阶段。

为了使防御者能够检测到此活动，Sekoia 提供了以下 Yara 规则：