Willis Lease Finance Corp 披露网络攻击

飞机零部件经销商 Willis Lease Finance Corporation (WLFC) 已通知美国证券交易委员会，其成为网络攻击的受害者。

根据 SEC 的文件，该事件于 1 月 31 日被标记，当时在其部分系统上检测到未经授权的活动。

该公司在一份表格中表示：“在领先的第三方网络安全专家的协助下，对事件的性质和范围展开了调查，公司采取了措施来遏制、评估和补救这一活动，包括使某些系统离线。” 8-K 归档。

据 WLFC 称，该事件到 2 月 2 日已得到完全控制，此后未发现任何未经授权的活动。WLFC 还指出，其调查尚未确定“哪些数据已被泄露或受到其他影响”或攻击的“完整性质、范围和影响”。

WLFC 在全球范围内提供飞机和发动机服务，向航空公司、制造商以及维护、修理和大修提供商出租飞机、飞机发动机和辅助动力装置。该公司表示，它是第一家向商业运营商租赁喷气发动机的公司。

虽然 WLFC 没有透露其遭受了何种类型的网络攻击，但 Black Basta 勒索软件团伙已声称对此次事件负责，并将该公司添加到其基于 Tor 的泄露网站中。

该网络团伙声称已从 WLFC 窃取了超过 900 GB 的数据，包括敏感的公司数据、员工和客户信息、共享文件夹、机密文档等，并威胁要在六天内将其全部公开。

Black Basta至少从 2022 年 4 月开始活跃，迄今为止已造成 300 多起感染，截至 2023 年 11 月，赎金要求估计在1 亿美元左右。

ExpressVPN 用户数据因漏洞而暴露

ExpressVPN 上周在其 Windows 客户端上禁用了分割隧道，以防止 DNS 请求未正确定向到其服务器的问题。

VPN 解决方案提供商宣布，该问题于 2022 年 5 月在 ExpressVPN 12.23.1 版本中引入，导致 DNS 请求在某些情况下仍然不受保护。

通常，当用户连接到 ExpressVPN 时，他们的 DNS 请求会发送到公司的服务器。 

由于该错误，请求被发送到第三方，通常是互联网服务提供商 (ISP)，除非另有配置，否则可以确定用户访问的域，但不能确定单个页面和其他行为。

“用户流量的所有内容均由 VPN 加密，ISP 或任何其他第三方都无法查看，” ExpressVPN 解释道。

如果使用了分割隧道功能并启用了“仅允许选定的应用程序使用 VPN”模式，则该错误会影响 ExpressVPN for Windows 12.23.1 至 12.72.0 版本。

分割隧道功能旨在允许用户限制可通过 VPN 解决方案发送流量的应用程序。

据 ExpressVPN 称，该错误影响了不到 1% 的 Windows 用户，因为如果不激活分割隧道或在“不允许选定的应用程序使用 VPN”模式下使用分割隧道，则无法重现该问题。

ExpressVPN 解释说：“加密等其他 VPN 保护措施没有受到影响。”

ExpressVPN for Windows 版本 12.73.0 于上周推出，完全禁用分割隧道，建议用户尽快升级安装。在识别并解决根本问题之前，该功能将保持禁用状态。

迫切需要分割隧道的用户可以降级到 Windows 版 ExpressVPN 版本 10，该功能将按预期运行。

CISA 针对 Roundcube Webmail 漏洞被利用发出警告

美国安全机构 CISA 已将另一个 Roundcube 缺陷添加到其已知的可利用漏洞 (KEV) 目录中，敦促政府机构和其他实体尽快解决该问题。 

该安全漏洞被追踪为 CVE-2023-43770，由开源网络邮件解决方案的开发人员于 2023 年 9 月修复。该问题被描述为持久性跨站点脚本 (XSS) 问题，可被利用用于任意代码在受害者浏览器的上下文中执行。 

可以通过向尚未安装补丁的 Roundcube 用户发送特制电子邮件来利用该漏洞。该漏洞的概念验证 (PoC) 漏洞和技术描述已公开数月。 

理论上，攻击者可以利用该漏洞窃取用户凭据和其他数据、劫持会话并进行网络钓鱼攻击。 

似乎没有任何关于利用 CVE-2023-43770 的攻击的公开信息，但 CISA 在 KEV 目录中的条目表明它并未参与勒索软件攻击。 

入侵 Roundcube 电子邮件服务器对于网络间谍活动非常有用。 

去年，CISA 在其KEV 目录中添加了四个 Roundcube 漏洞，据信所有这些漏洞都已被俄罗斯威胁行为者利用，包括APT28和Winter Vivern漏洞。

Shodan 和 Censys 搜索引擎显示了数以万计的暴露在互联网上的 Roundcube 服务器，但尚不清楚其中有多少服务器仍受到 CVE-2023-43770 的影响。

联合国专家正在调查 58 起疑似朝鲜网络攻击，价值约 30 亿美元

联合国专家表示，他们正在调查 2017 年至 2023 年间朝鲜发生的 58 起疑似网络攻击事件，价值约 30 亿美元，据报道，这些资金被用来帮助资助其开发大规模杀伤性武器。

专家小组在周五向联合国安理会提交的一份新报告的执行摘要中表示，据报道，向朝鲜主要外国情报机构侦察总局报告的朝鲜黑客组织的大量网络攻击仍在继续。美联社报道。

这份涵盖 2023 年 7 月至 2024 年 1 月期间的报告反映了身份不明的联合国成员国和其他来源的贡献，该报告被发送给由 15 名成员组成的理事会，因为朝鲜领导人金正恩加剧了该地区的紧张局势。他威胁称，如果受到挑衅，他将消灭韩国，并升级武器示威。对此，美国、韩国和日本加强了联合军事演习。

[阅读：新的“SpectralBlur”macOS 后门与朝鲜有关 ]

在朝鲜半岛军事和政治紧张局势加剧的情况下，专家们表示，朝鲜“继续无视（联合国）制裁”，进一步发展核武器，并生产核裂变材料——武器的关键成分。

专家们表示，朝鲜宁边主要核设施的一座轻水反应堆“似乎已投入运行”。韩国国防部长去年 12 月底表示，由于怀疑朝鲜可能将其用作核武器裂变材料的新来源，该反应堆可能会在今年夏天正式投入运行。

朝鲜长期以来一直通过宁边广为人知的 5 兆瓦反应堆生产武器级钚。轻水反应堆将成为炸弹燃料的额外来源，观察家表示，其更大的容量可以使其生产更多的钚。宁边也有铀浓缩设施。

该小组表示，朝鲜丰溪里核试验场的活动“仍在继续”。美国和韩国官员表示，朝鲜可能准备在该地点进行第七次核试验，这将是 2017 年以来的首次。

外界对朝鲜核武库规模的估计各不相同，从20-60枚到100多枚不等。专家称，朝鲜每年可以增加6至18枚核弹。自2019年与美国的外交破裂以来，金正恩一再发誓要制造更多核武器并引进高科技武器，以应对他所说的美国日益加剧的敌意。

该小组表示，在截至 1 月份的六个月期间，朝鲜民主主义人民共和国或朝鲜（朝鲜的官方名称）发射了至少七枚弹道导弹，其中一枚是三级洲际弹道导弹，一枚可能是中程导弹导弹和五枚短程弹道导弹。

专家表示，在两次失败的尝试后，朝鲜成功将一颗军事观测卫星送入轨道。一艘柴油潜艇被改装为“战术核攻击潜艇”，并加入朝鲜的军事武库。

该委员会负责监督联合国对朝鲜的制裁，称朝鲜继续违反安理会决议进口精炼石油产品，并使用“混淆方法组合”来逃避海上制裁。

专家表示，朝鲜2023年的贸易额记录超过了2022年的总额，其中包括多种消费品，“其中一些可被归类为奢侈品”，这些商品被联合国制裁所禁止。

该小组表示，还在调查成员国关于朝鲜违反联合国制裁供应武器和弹药的报告。

美国、乌克兰和六个盟国上个月指责俄罗斯违反联合国制裁，使用朝鲜弹道导弹和发射器对乌克兰进行了一系列毁灭性空袭。

韩国军方去年 11 月表示，怀疑朝鲜除了步枪、火箭发射器、迫击炮和炮弹之外，还向俄罗斯发射了数量不详的短程弹道导弹、反坦克导弹和便携式防空导弹，违反了《韩国军事安全法》。联合国制裁。

专家们表示，在这六个月期间，“趋势包括朝鲜将国防公司和供应链作为目标，并越来越多地共享基础设施和工具。”

该小组表示，还调查了许多朝鲜国民在海外工作的报告，包括在信息技术、餐馆和建筑业，以及违反联合国制裁赚取收入的情况。

他们表示，在另一起违反制裁的行为中，“朝鲜继续进入国际金融体系并从事非法金融业务。”

联合国制裁不应伤害普通朝鲜民众，但该小组表示，“毫无疑问，联合国制裁及其实施无意中影响了人道主义局势和援助行动的某些方面。”但它表示，“它们的相对作用仍然无法与许多其他因素分开。”

原文始发于微信公众号（河南等级保护测评）：Willis Lease Finance Corp 遭网络攻击、ExpressVPN 用户数据暴露