当前节点:hackernews.cc
时间节点
2021-07-23 16:38:48hackernews.cc
据外媒报道,间谍软件制造商NSO Group日前表示,指责其公司就像“在酒后驾车撞车后批评汽车制造商”一样。据称,该软件曾被用来侵入无辜者的手机。记者们获得的一份被指为间谍软件潜在目标的名单显示,活动人士、政界人士和记者等群体都是被入侵的目标。 现在,对于这份包含有5万个电话号码的名单的调查工作已经在进行中。 据悉,NSO Group开发的PegASUS会感染iPhone和Android设备,操作人员可以提取信息、照片和电子邮件、记录通话并秘密激活麦克风和摄像头。 这家以色列公司表示,它的软件是用来对付罪犯和恐怖分子的,只提供给来自人权记录良好的国家的军事、执法和情报机构。 但以法国媒体机构Forbidden Stories为首的一个新闻机构联盟已经根据这份名单发表了数十篇报道,据悉,名单不乏政界人士,其中包括法国总统埃马克龙,这意味着其可能已经成为目标。 对此,NSO Group表示,他们被告知这份名单是从其位于塞浦路斯的服务器被黑的。但这家公司发言人告诉BBC News:“首先,我们在塞浦路斯没有服务器。其次,我们没有客户的任何数据。更重要的是,客户之间没有联系,因为每位客户都是独立的。所以任何地方都不应该有这样的名单。” 潜在目标的数量并没有反映出Pegasus的工作方式。 “这是一个疯狂的数字,”这位发言人继续说道,“我们的客户平均每年有100个目标。自公司成立以来,我们总共并没有5万个目标。” 安全服务 近年来,这家公司多次被指控允许专制政府对无辜民众进行黑客攻击,包括那些跟被谋杀的《华盛顿邮报》专栏作家贾马尔·哈苏吉关系密切的人。但它否认了这一指控和其他所有指控。 该公司表示,它并不会定期调查谁是目标,但它有审查其销售出去的安全服务的系统。 本月早些时候,NSO Group发布了其透明度报告。报告写道:“我们必须以更高的标准要求自己进行管理和透明度行事……从而确保公共安全、关注人权和隐私。” 但在周三,这位发言人表示:“如果我是汽车制造商,现在你醉酒驾车撞了人,你应该找的是司机而不是汽车制造商。我们把系统发送给了政府,我们得到了所有正确的认证并且都是合法的。你知道,如果一个客户决定滥用这个系统,他就不再是客户了。所有的指控和指责都应该指向客户。” “一个巧合” 在名单上的人中,有67人同意将手机交给Forbidden Stories进行法医分析。 据报道,这项由大赦国际安全实验室(Amnesty In
2021-07-22 21:27:17hackernews.cc
周三披露的一项新法案,将要求某些企业在遭遇黑客攻击后,及时向政府进行通报。同时为了鼓励此类事件的披露,《网络事件通知法案》还将给予当事企业有限的豁免权。显然,这项亡羊补牢之举,是针对近期曝光的 SolarWinds 和 Colonial Pipeline 攻击的一个及时回应。 CNBC 指出,SolarWinds 攻击事件让政府机构也受到了波及,而 Colonial Pipeline 攻击事件更是破坏了该国大部分地区的燃料供应。 随着勒索软件攻击的激增,人们已日渐意识到攻击事件信息披露的重要性。然而此前的问题是,联邦法律并未提出硬性要求。 基于此,遭遇网络攻击的相关企业普遍倾向于将事情藏着掖着,直至事态发展到已无法再隐瞒,但付出的代价也相当高昂。 以软件巨头微软为例,公司总裁布拉德·施密特在参议院听证会上表示,公众之所以知晓微软也受到 SolarWinds 攻击事件的波及,只因 FireEye 在去年 12 月率先披露了此事。 FireEye 首席执行官 Kevin Mandia 在听证会期间接受 CNBC 的 Eamon Javers 采访时称,信息披露是一个该死且复杂的问题。 为化解这一尴尬的局面,拟议的新法案将引入一项新的披露要求 —— 包括联邦机构、承包商、关键基础设施公司在内,都必须在发现其系统遭到破坏时,向国土安全部进行通报。 与此同时,法案还赋予了这些企业在报告违规行为时可获得的有限豁免 —— 比如股票投资者无法拿到披露信息、并将之用于诉讼的证据,此外国土安全部需要对个人身份信息进行匿名化处理。 基于此,企业能够更加高效地通报相关攻击事件,并允许政府在需要时采取及时有效的行动。   (消息及封面来源:cnBeta)
2021-07-20 22:04:22hackernews.cc
据英国《卫报》报道,爱德华·斯诺登在NSO集团的客户被揭露后警告说,各国政府必须在全球范围内暂停国际间谍软件贸易,否则将面临一个没有手机可以免遭国家支持的黑客攻击的世界。斯诺登在2013年揭发了美国国家安全局的秘密大规模监控项目,他将营利性恶意软件开发商描述为 “一个不应该存在的行业”。 他是在PegASUS项目首次披露后接受《卫报》采访时发表上述言论的,Pegasus项目是一个由国际媒体组织组成的联盟对NSO集团及其客户进行的新闻调查。 NSO集团制造并向政府出售先进的间谍软件,品牌为Pegasus,可以秘密地感染手机并获取其信息。电子邮件、短信、通讯录、位置数据、照片和视频都可以被提取,而且手机的麦克风和摄像头可以被激活,以秘密记录用户的信息。 该联盟分析了一个由50000个电话号码组成的泄漏数据集,据信这些号码属于NSO的客户感兴趣的人。对这些手机样本的分析发现了几十个成功和试图感染Pegasus的案例。 NSO集团表示,它认真对待道德方面的考虑,受以色列、塞浦路斯和保加利亚的出口管制制度监管,只向经过审查的政府客户出售。但它的客户包括压制性政权,包括沙特阿拉伯、阿联酋和阿塞拜疆。 斯诺登在接受《卫报》采访时说,该集团的发现说明了商业恶意软件是如何使专制政权有可能将更多人置于最具侵略性的监控之下的。 他说,对于传统的警察行动来说,要安装窃听器或窃听嫌疑人的电话,执法部门需要 “闯入某人的房子,或去他们的汽车,或去他们的办公室,而且我们认为他们可能会得到授权”。 但是商业间谍软件使得对更多的人进行有针对性的监视具有成本效益。他说:“如果他们可以从远处做同样的事情,而且成本不高,没有风险,他们就会开始一直这样做,针对每一个人,哪怕是稍有兴趣的人。” 他说:“如果你不做任何事情来阻止这种技术的销售,这不仅仅是5万个目标。它将成为5000万个目标,而且它将比我们任何人预期的要快得多。” 他说,问题的部分原因是,不同人的手机在功能上是相同的。“当我们谈论像iPhone这样的东西时,它们在世界各地都运行相同的软件。因此,如果他们找到了入侵一部iPhone的方法,他们就找到了入侵所有iPhone的方法。” 他把将广泛使用的手机型号中的漏洞商业化的公司比作一个故意开发新的疾病菌株的 “感染者”行业。 他说:“这就像一个行业,他们所做的唯一事情就是创造Covid的定制变体来躲避疫苗。他们唯一的产品是感
2021-07-20 21:43:50hackernews.cc
据外媒BleepingComputer报道,网络攻击者窃取了属于沙特阿拉伯国家石油公司(Saudi Aramco)1TB的专有数据并在暗网上出售。据悉,沙特阿拉伯石油公司是全球最大的公共石油和天然气公司之一。这家石油巨头拥有超过66000名员工,年收入近2300亿美元。 黑客500万美元的可议价对外出售来自这家石油公司的数据。 Saudi Aramco将这一数据事件归咎于第三方承包商并告诉BleepingComputer,该事件对沙特阿美的运营没有影响。 “零日漏洞”被用来攻破网络 本月,一个名为ZeroX的威胁组织向外出售1TB属于沙特阿拉伯国家石油公司的专有数据。 ZeroX声称,这些数据是在2020年某个时候通过入侵该公司的网络和服务器盗来的。 据该组织称,就其本身而言,被盗文件最近的来自2020年,其中一些则可以追溯到1993年。 当BleepingComputer问及使用了什么方法进入系统时,该组织没有明确说明漏洞而是称之为“零日漏洞”。 为了吸引潜在买家,今年6月,一小组Aramco蓝图和专有文件与修订的PII的样本首次被发布在数据泄露市场论坛上: 然而,在最初发布消息时,.onion将倒计时时间设置为662小时(约28天),在这之后出售和谈判将开始。 ZeroX告诉BleepingComputer,“662小时”的选择是有意的,是Saudi Aramco要解决的“难题”,但这一选择背后的确切原因尚不清楚: 该组织表示,1TB数据包括Saudi Aramco位于多个沙特城市的炼油厂的相关文件,包括延布、吉赞、吉达、拉斯坦努拉、利雅得和达兰。 这些数据包括: 14254名员工的全部信息:姓名、照片、护照复印件、电子邮件、电话、居留许可号、职称、身份证号、家庭信息等; 涉及/包括电力、建筑、工程、土木、施工管理、环境、机械、船舶、电信等系统的项目规范; 内部分析报告、协议、信件、价目表等; 规划IP地址、Scada点、Wi-Fi接入点、IP摄像头、IoT设备的网络布局; 位置地图和精确坐标; Aramco的客户名单及发票和合同。 ZeroX在泄露网站上发布的样本经过了个人身份信息(PII)的编辑,单是一个1GB的样本就需要花费2000美元,以Monero进行支付。 不过,黑客有向BleepingComputer分享了一些最近未编辑的文件以供确认。 整个1TB的数据价格定在500万美元,不过攻击者表示,最终
2021-07-16 20:55:55hackernews.cc
新浪科技讯 北京时间7月16日早间消息,微软周四表示,一个以色列组织出售可以黑入Windows的工具。该组织名叫Candiru,它开发并销售软件,软件利用漏洞渗透到Windows平台。 黑客工具向全球扩散,提供给大量不知名客户,他们利用软件瞄准各种公民社会组织,比如沙特异见团体、左倾印尼新闻媒体等。微软称工具被用来攻击一些国家的用户,比如伊朗、黎巴、西班牙、英国。 微软还说,Candiru工具也可以利用谷歌Chrome浏览器等常见软件发起攻击。 周三谷歌在博文中披露两个Chrome软件漏洞,微软发现它们与Candiru有关,不过谷歌并没有提到Candiru的名字,只是说它们被一家商业监控公司利用。 计算机安全专家称,Candiru等“网络军火商”一般会将多个软件漏洞连在一起从而变成有效漏洞,在目标不知情的情况下,攻击者可以利用漏洞远程入侵计算机。熟悉“网络军火”产业的知情者称,这样的秘密系统往往要价很高,达到几百万美元,而且经常以付费订阅的形式出售,也就是说客户如果想持续使用需要不断付费。   (消息及封面来源:cnBeta)
2021-07-16 20:55:55hackernews.cc
据报道,美国政府今日悬赏1000万美元,征集可以识别或定位恶意网络行为者的信息和线索。这些恶意网络行为者在外国政府的支持下,以美国的关键基础设施为攻击目标。美国国务院在一份声明中称:“针对美国关键基础设施的某些恶意网络行为,可能违反《计算机欺诈和滥用法案》(CFAA)。” 美国国务院还表示,已建立了一个“暗网”举报渠道,以保护潜在消息来源的安全。” 事实上,在去年的美国大选前夕,美国曾出台类似的奖励方案,以缉拿干预美国大选的黑客。 美国国务院当时宣布,如果有任何信息导致查明任何与外国政府合作或为外国政府工作的人,通过 “非法网络活动 “干扰美国选举,将给予最高1000万美元的奖励。这包括对美国选举官员、美国选举基础设施、投票机器的攻击,也包括对候选人及其工作人员的攻击。   (消息及封面来源:cnBeta)
2021-07-16 20:55:55hackernews.cc
应对勒索软件的威胁,美国政府今天成立推出了一家新网站–StopRansomware.gov。在官方发布的新闻稿中,该网站由美国司法部、国土安全部和联邦合作伙伴共同推进,旨在“帮助私人和公共组织减轻他们的勒索软件风险”。 该网站汇集了来自多个联邦机构的资源。个人和组织以前必须访问多个政府网站才能找到勒索软件指南、警报和更新。美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 在新闻稿中表示:“随着勒索软件攻击在全球范围内持续上升,企业和其他组织必须优先考虑他们的网络安全。网络犯罪分子将关键基础设施、小企业、医院、警察部门、学校等作为目标。这些攻击直接影响了美国人的日常生活和我们国家的安全”。 该公告是在美国发生几起著名的勒索软件攻击之后发布的。上个月,该国最大的肉类生产商之一 JBS 向攻击该公司服务器的网络犯罪分子支付了 1100 万美元的比特币。几周前,Colonial Pipeline 运营着美国最大的天然气管道之一,向黑客支付了 500 万美元,他们迫使一条主要石油管道关闭。   (消息及封面来源:cnBeta)
2021-07-16 20:55:55hackernews.cc
鉴于许多黑客已经瞄上了 WhatsApp、Viber 和 Telegram 等即时通讯服务来开展网络钓鱼攻击和诈骗,卡巴斯基安全研究人员也特地对此类 Android 客户端的风险等级展开了一番评估。其指出,全球平均每天发生 480 次网络钓鱼和类似事件,前三地区为印度(7%)、巴西(17%)、以及俄罗斯(46%)。 作为最受智能机用户欢迎的即时通讯(IM)服务之一,涉及 WhatsApp 的网络犯罪活动也相当活跃(占 89.6% 左右)。 紧随其后的是 Telegram(5.6%)和 Viber(4.7%),而 Google Hangouts 用户最不可能成为网络钓鱼攻击的受害者(不到 1%)。 为降低 IM 用户遭遇网络钓鱼诈骗和危险链接的风险,卡巴斯基安全团队给出了如下建议: ● 检查链接中是否存在拼写错误或其它异常; ● 请勿向亲友分享任何可疑的邀请链接; ● 警惕来自其他人的不明邀请链接,在被要求输入凭据时务必提高警惕; ● 好友账户或被黑客入侵,收到熟人发来的链接和附件也需多加提防; ● 使用可靠的安全解决方案,以及时收到警告提醒。     (消息及封面来源:cnBeta)
2021-07-15 21:46:05hackernews.cc
谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。周三的这份报告,披露本次攻击还利用了通过领英(LinkedIn)向政府官员发送的信息。若受害者在 iPhone 上访问了特定的链接,就会被重定向至带有初始恶意负载的域名。 在满足多项“验证检查”后,SolarWinds 黑客会利用 CVE-2021-1879 漏洞来下载最终的有效载荷,并将之用于绕过某些安全防护措施。 比如关闭同源防护策略(Same-Origin-Policy)、或其它能够防止恶意脚本在本地网络上搜集数据的安全功能。 如此一来,攻击者便能够利用收集自谷歌、微软、领英、脸书、雅虎等网站手机的身份验证信息,并将之发送到受黑客控制的 IP 地址。 不过 Maddie Stone 和 Clement Lecigne 写道:“受害者需要通过 Safari 访问精心制作的网站,才会被黑客成功渗透其 cookie ”。 庆幸的是,苹果已于今年 3 月修复了该漏洞。如果你运行受影响的 iOS 12.4 – 13.7 版本,还请及时为设备打上补丁。 此外通过使用支持站点隔离功能的浏览器(比如 Chrome 或 Firefox),亦可避免此类“同源策略”攻击。 最后,尽管谷歌没有披露幕后黑手的真实身份,但 ArsTechnica 已将攻击者确定为 Nobelium(与 2019 年 SolarWinds 黑客攻击事件背后是同一团队)。   (消息及封面来源:cnBeta)
2021-07-14 21:42:53hackernews.cc
据外媒报道,美国总统拜登将在本周默克尔访问美国期间与她就一系列问题进行交谈。CNBC报道称,双方将讨论网络攻击、COVID-19大流行、阿富汗日益恶化的安全局势以及“北溪二号”(Nord Stream 2)天然气项目等问题。 德国的全国大选将在默克尔7月15日与拜登总统会晤的约三个月后举行。她已经说过,她打算在9月的选举后退休。 尽管如此,一位不愿透露姓名的德国政府官员表示,从他们的角度来看,默克尔的华盛顿之行将是一次工作访问。他补充说:”显然,在过去的几年中,我们的双边关系有一些配合和开始。整个重点是在我们有分歧的问题上”。 网络安全焦点 Kaseya上周宣布的最新勒索软件攻击,成功入侵了北美和6个欧洲国家的数千家公司的网络,形成了“多米诺骨牌效应”。REvil网络犯罪团伙声称对Kaseya攻击事件负责。 拜登和默克尔将讨论大规模网络攻击的严重增加,这些攻击可以轻易地影响到全球多个行业和政府机构。 5月,针对Colonial Pipeline的DarkSide网络攻击迫使其关闭了东海岸长达5500英里的运输管道这一安全事件导致了空中交通的中断和东海岸一半燃料供应的短缺。虽然俄罗斯黑客成功地从该组织提取了近500万美元的赎金,但幸运的是,美国的执法官员能够收回其中近一半的钱,即价值230万美元的比特币。 在美国政府表示将以应对军事攻击的方式应对网络攻击后,据称俄罗斯黑客团伙DarkSide停止了行动。然而,另一个被称为REvil的俄罗斯黑客团伙表示,他们不仅将继续他们的黑客活动,而且他们还将针对位于美国的其他目标。   (消息及封面来源:cnBeta)
2021-07-14 21:23:02hackernews.cc
本月早些时候,安全研究人员意外地发布了一个零日漏洞和概念验证代码,证明了Windows 10 Print Spool中的一个漏洞可用于远程代码执行攻击。微软迅速地发布了一个带外修复程序,现在网络安全和基础设施安全局(CISA)已经命令政府机构紧急对联邦计算机应用这个补丁。 CISA说:”已经验证了各种概念证明的有效性,并担心如果不加以缓解,利用这一漏洞可能导致机构网络的全面系统受损。这一判断是基于目前威胁者在外部对这一漏洞的利用,进一步利用这一漏洞的可能性,受影响的软件在联邦企业中的普遍性,以及机构信息系统被破坏的高可能性。” 紧急指令21-04主要内容,并附有最后期限: 在2021年7月14日(星期三)美国东部时间晚上11:59之前,停止并禁用所有微软活动目录(AD)域控制器(DC)上的打印线轴服务。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,将2021年7月的累积更新应用于所有Windows服务器和工作站。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,对所有运行微软Windows操作系统的主机(行动1下的域控制器除外)完成指令中详述的选项1、2或3。 验证上述选项1、2和3的注册表和/或组策略设置是否正确部署。 在美国东部时间2021年7月20日(星期二)晚上11:59之前,确保技术和/或管理控制措施到位,以确保新配置的或以前断开连接的服务器和工作站得到更新,并在连接到机构网络之前拥有上述定义的设置。 在2021年7月21日(星期三)美国东部时间下午12:00之前,使用所提供的模板提交一份完成报告。 CISA还建议机构在所有不用于打印的系统上禁用Windows 10 Print Spool,普通Windows 10用户则可以通过安装刚刚发布的2021年7月累积更新来保护自己。     (消息及封面来源:cnBeta)
2021-07-14 21:23:02hackernews.cc
据Techtwiddle报道,在2月发生勒索软件攻击后,流行的时尚和零售商Guess让客户了解到网络攻击后发生的数据泄露事件。2021年6月3日,Guess完成了对存储在被黑系统中的文件的全面分析,并能够确定所有受影响者的地址。从6月9日开始,Guess开始向受影响的客户发送通知信,为他们提供免费的身份入侵安全解决方案,并由Experian提供一年的免费信用监控。 据悉,该公司客户的护照号码、金融账户号码、驾驶执照号码,甚至社会安全号码都被盗。据该公司称,大约有200GB的数据受到影响。考虑到Guess在美国、加拿大、欧洲、中东和亚洲经营着超过1250个公司拥有的和独立的零售点,这并不令人惊讶。 据称DarkSide是这次勒索软件攻击的幕后黑手 Guess从未披露过勒索软件攻击背后的威胁行为者的身份。DataBreaches.Net在三个月前的一篇文章中透露,网络犯罪组织DarkSide在其网站上发布了被盗信息。在过去的一年里,DarkSide对商业网络发起了一系列攻击,要求用赎金来换取解密和恢复受害者服务器中被删除的数据。 这个网络犯罪集团在5月入侵了Colonial Pipeline公司的网络,由于这次攻击的影响,他们受到了美国政府不受欢迎的关注。东海岸出现石油短缺的事实,促使美国政府立即采取更严格的措施加强网络防御。他们甚至说,他们将把勒索软件攻击的调查提升到与恐怖主义类似的优先级。 在国家施加大规模压力后,DarkSide说他们没有想到会造成这么大的损失,他们随后宣布解散他们的黑客组织。   (消息及封面来源:cnBeta)
2021-07-14 21:23:02hackernews.cc
昨晚,REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi,利用多个明网和暗网运作,用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。从昨晚开始,REvil 勒索软件组织所使用的网站和基础设施已经神秘地关闭了。 在接受外媒 BleepingComputer 采访的时候,Tor 项目的 Al Smith 表示:“简单来说,显示的这个错误通常意味着该 Onion 网站已经离线或者被禁用。如果你想要确认的话,你需要联系 Onion 网站的管理员”。虽然 REvil 网站在一段时间内失去连接并非闻所未闻,但所有网站同时关闭的情况并不常见。 此外,decoder[.]re 明网不再能被 DNS 查询解析,可能表明该域名的 DNS 记录已被撤销,或后端 DNS 基础设施已被关闭。Recorded Future 的 Alan Liska 说,REvil 网站在美国东部时间今天上午 1 点左右下线了。 今天下午,LockBit 勒索软件的代表在 XSS 俄语黑客论坛上发帖说,据传 REvil 团伙在得知政府的传票后删除了他们的服务器。 Advanced Intel 的 Vitali Kremez 将这段话翻译出来就是:“根据未经证实的信息,REvil 服务器基础设施收到了政府的法律要求,迫使 REvil 完全擦除服务器基础设施并消失。然而,这并没有得到证实”。Kremez 解释说:“根据经验,顶级论坛的管理部门在怀疑其用户被警方控制时,会对其进行禁言”。 不久之后,XSS 管理员禁止 REvil 的 “Unknown”账户,即勒索软件团伙面向公众的代表,离开论坛。     (消息及封面来源:cnBeta)
2021-07-13 22:21:58hackernews.cc
为打压某个国际黑客组织,微软正积极在拉美地区展开行动,比如主动为受 Trick博通 感染的巴西用户更换路由器。Daily Beast 在一篇报道中披露了详情,可知该组织位于俄罗斯、白罗斯、乌克兰和苏里南等地,且很早前就已被美国网络司令部和微软等信息安全公司给盯上。 Trickbot 会将受感染的计算机组成一个大型僵尸网络,以开展勒索软件攻击和其它非法活动。 微软指出,Trickbot 会劫持受害者的路由器和物联网设备。这些设备不仅很容易被感染,且受害者也难以察觉。 对于普通人来说,要从路由器中清除恶意软件,显然并不是一件轻松的事情,因而上门更换就成了一项最佳福利。 据说最近,微软正在与执法机构展开联合打击行动,并已取得一些进展。比如上月,司法部指控了一名据说协助 Trickbot 恶意软件开发的女性。 此外早在 2020 年,微软就宣称斩断了该组织 94% 的服务器基础设施,以阻止针对美国大选的任何攻击。 然而微软旗下致力于打击数字犯罪的部门总经理 Amy Hogan-Burney 在接受 The Daily Beast 采访时称,打击 Trickbot 仍是一场旷日持久的巨大挑战。 消息称,Trickbot 会对医院、学校和政府机构发起攻击,窃取登录凭据和锁定计算机系统以勒索赎金。 为此,与当地互联网服务提供商展开深入合作,为受感染的基层用户提供免费的路由器更换,即可发挥更进一步的效用。   (消息及封面来源:cnBeta)
2021-07-13 22:21:58hackernews.cc
SolarWinds 公司敦促客户尽快安装补丁,以修复 Serv-U 远程代码执行漏洞。目前已经有相关证据表明该漏洞被“单一威胁行为者”利用,并且已经对少部分客户发起了攻击。 在本周五发布的公告中,SolarWinds 公司表示:“微软提供的相关证据表明已经有少量、针对性的客户受到影响。 尽管目前 SolarWinds 还无法预估有多少客户可能直接受到该漏洞的影响。据现有的证据,没有其他 SolarWinds 产品受到此漏洞的影响。SolarWinds 目前无法直到可能受影响客户的身份”。 该漏洞被追踪为 CVE-2021-35211,主要影响 SolarWinds 旗下的 Serv-U Managed File Transfer 和 Serv-U Secure FTP 两款产品,被远程攻击者利用之后可以指定任意代码。SolarWinds 表示:“如果环境中没有启用SSH,那么该漏洞就不存在”、 微软威胁情报中心(MSTIC)和微软进攻性安全研究团队在今年 5 月发布的 Serv-U 15.2.3 HF1 中发现的这个漏洞,并确认影响到之前发布的所有版本。 SolarWinds 已通过发布 Serv-U 15.2.3 版热修复(HF)2 解决了微软报告的安全漏洞。该公司补充道,SolarWinds 旗下的其他产品和 N-able 产品(包括 Orion Platform 和 Orion Platform 模组)均不受 CVE-2021-35211 的影响。 这家位于美国的软件公司警告说:“SolarWinds在2021年7月9日星期五发布了一个热修复程序,我们建议所有使用Serv-U的客户立即安装这个修复程序,以保护您的环境”。SolarWinds提供了更多信息,说明如何查找您的环境在微软报告的攻击中是否受到损害。   (消息及封面来源:cnBeta)
2021-07-13 22:21:58hackernews.cc
Mozilla 很高兴地宣布,Firefox 90 版本将支持基于“元数据请求标头”的获取功能,使得 Web 应用程序能够保护自身和用户免受各种跨源威胁。据悉,此类威胁涵盖了跨站点请求伪造(CSRF)、跨站点泄露(XS-Leaks)、以及投机性跨站点执行侧信道(Spectre)攻击。 跨站攻击的背后,其实涉及 Web 的基本安全问题。出于开放的特性,其难以允许 Web 服务器端严格区分自身应用程序(浏览器选项卡)的请求、或源自可能以不同方式打开的恶意(跨站点)应用程序的请求。 如上图所示,假设用户登录了托管于 https://banking.com 的银行网站,并开展了网银相关的某些活动。 与此同时,被恶意攻击者控制的网站、也可在不同的浏览器标签页中打开并执行来自 https://attacker.com 的一些恶意操作。 于是在用户正常交互的过程中,网银 Web 服务器端可能收到某些例外操作,但却几乎无法分辨到底由用户本人、还是另一标签页中的恶意攻击代码发起的操作。 最终导致网银或常见的 Web 应用程序服务器刻板地接收任意操作,并允许发起相关攻击。 好消息是,从 Firefox 90 开始,Mozilla 将允许 Web 浏览器通过 HTTP 请求头来获取元数据(Sec-Fetch-*),从而让 Web 服务器更好地区分同源 / 跨站攻击请求。 借助 Sec-Fetch-* 系列请求标头中提供的附加上下文(支持 Dest、Mode、Site、以及 User 这四种请求标头),Web 服务器将能够火眼金睛地拒绝或忽略恶意请求。 Fetch Metadate 请求标头的启用,可为各种 Web 应用服务带来深度防御机制。此外 Firefox 将很快推出新的站点隔离安全架构,以进一步解决上述某些问题。   (消息及封面来源:cnBeta)
2021-07-12 18:41:01hackernews.cc
白宫发布声明称,美国总统乔·拜登周五与俄罗斯总统弗拉基米尔·普京通电话,敦促普京采取行动打击该国的黑客。美国认为,世界各地公司最近遭到的勒索攻击是俄罗斯黑客所为。声明说,“拜登强调俄罗斯需要采取行动打击在俄罗斯运作的勒索软件组织,并强调他致力于继续应对勒索软件构成的更广泛威胁。” 声明称,拜登强调,面对这种持续的挑战,美国将采取任何必要行动保卫其人民和关键基础设施。白宫发言人Jen Psaki说,通话持续了大约1个小时。 Psaki告诉记者,美国和俄罗斯的网络官员将于下周举行会谈。   (消息及封面来源:新浪财经综合)
2021-07-09 21:41:54hackernews.cc
几天前微软紧急发布了一个带外(OOB)更新 KB5004945, 以修复“PrintNightmare”高危零日漏洞。但随后安全专家发现只需要修改注册表中的一个值就能绕过这个补丁,依然能利用该漏洞执行远程操作。 不过微软官方对本次更新予以肯定,表示在注册表安全设置下新更新能够保护用户,但修改注册表的行为是不安全的,在常规状态下不太会发生。微软官方回应道 我们已经收到了这方面的信息,并已着手进行调查,但目前我们并没有发现任何绕过该更新的情况。我们观察到可以绕过更新的方法,但这需要管理员将默认注册表设置更改为不安全的配置。参见 CVE-2021-34527 指南,以了解保护系统所需的设置的更多信息。   (消息及封面来源:cnBeta)
2021-07-09 16:02:29hackernews.cc
援引 KBS World 报道,韩国原子能研究所(KAERI)近日遭到了长达 12 天的网络攻击,并基本确认攻击方来自朝鲜。在 8 日举行的国会情报委员会会议上,韩国国会情报委员会(NIS)两名干事金炳基和河泰庆表示今年上半年因黑客攻击造成的损失环比增加 9%,其中 KAERI 疑似遭到了朝鲜黑客组织的攻击。 河泰庆表示,在 6 月 1 日接到 KAERI 的报告之后就着手展开调查,整个攻击时长超过 12 天,所幸的是核心技术资料并没有被窃取。NIS 认为本次黑客攻击的幕后主使可能就是朝鲜。 据河泰庆公开的资料,5 月 14 日未经批准的 13 个外部 IP 地址入侵韩国原子能研究院内网。通过朝鲜网络攻击专门研究组织“IssueMakersLab”追查这些 IP 来源后发现,部分 IP 地址与疑似有朝鲜军队侦察总局背景的黑客组织“Kimsuky”服务器相连。 河泰庆表示,部分 IP 地址还盗用前韩国总统统一外交安全事务特别助理文正仁的电子邮件用户名。这是朝鲜与 2018 年文正仁电子邮件遭黑客攻击有关的间接证据,是证明该案系朝鲜黑客组织所为的决定性证据。河泰庆表示,如果国家核心技术被朝鲜外泄,其严重性可能不亚于2016年国防部内网被黑客攻破事件。   (消息及封面来源:cnBeta)
2021-07-09 16:02:29hackernews.cc
《以色列早报》称,研究人员利亚德-莫德科维茨和奥菲尔·哈帕兹发现了一个针对多个组织的网络攻击,并破坏了服务器以挖掘加密货币或获取数据。大约有2000家公司受到攻击,并以其服务器为发射平台,对更多组织进行攻击,由于攻击是分散的,这使得他们更难追踪。 网络攻击的主要目标主要是印度、越南和美国的媒体、旅游、卫生和教育行业的商业和机构服务器。这些针对Windows服务器的网络攻击最终目的是挖掘数字货币,或者是用恶意软件或木马程序感染它们,并窃取存储的敏感信息。有趣的是,黑客删除了其他恶意代理的恶意软件,并采用更复杂的方法来确保他们对机器的独家访问。此外,他们还在拿到权限后,删除了自己的木马和恶意软件作为预防措施。 这些服务器是通过攻击微软开发的SMB协议而被入侵的。这些入侵使网络犯罪分子能够反复访问网络,随后在暗网上出售窃取的凭证。每台被入侵的Windows服务器估计价值约为300美元,因此将这一数字乘以2000个组织,就能获得60万美元的利润,这是一笔非常可观的收益。 来自Guardicore的研究人员发布了一个工具,可以让网络安全负责人确定其组织的系统是否容易受到网络攻击,以及他们应该采取什么行动来保护其系统免受类似的网络攻击。 阅读报告全文: https://www.guardicore.com/labs/smb-worm-indexsinas/   (消息及封面来源:cnBeta)
2021-07-07 20:14:21hackernews.cc
微软今天推出了一个紧急 Windows 修复补丁,以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。该漏洞被称之为“PrintNightmare”,在安全研究人员无意中公布了概念验证(PoC)的利用代码后,于上周被曝光。 微软已经发布了带外安全更新以解决该漏洞,并将其评为关键漏洞,因为攻击者可以在受影响机器上以系统级权限远程执行代码。由于 Windows Print Spooler 服务在Windows上默认运行,微软不得不为 Windows Server 2019、Windows Server 2012 R2、Windows Server 2008、Windows 8.1、Windows RT 8.1 以及 Windows 10 的各种支持版本发布补丁。 微软甚至采取了不寻常的措施,为去年正式停止支持的 Windows 7 发布了补丁。不过,微软还没有为 Windows Server 2012、Windows Server 2016 和 Windows 10 Version 1607 发布补丁。微软表示,”这些版本的Windows的安全更新将很快发布”。 PrintNightmare,在漏洞代号CVE-2021-34527下被追踪,现在已被授予通用漏洞评分系统(CVSS)基本评级为8.8。值得注意的是,CVSS v3.0规范文件将其定义为 “高严重性”漏洞,但它非常接近从9.0开始的”危急”评级。目前的时间紧迫性得分是8.2,时间分是根据一些因素来衡量一个漏洞的当前可利用性。 基础分被定为8.8分是因为微软已经确定该攻击载体是在网络层面,需要较低的攻击复杂性和权限,不涉及用户互动,并可能导致组织资源的保密性、完整性和可用性 “完全丧失”。同时,时间分是8.2分是因为功能上的漏洞代码在互联网上很容易获得,并且适用于所有版本的Windows,存在关于它的详细报告,并且有一些官方的补救方法被建议。   (消息及封面来源:cnBeta)
2021-07-07 19:34:23hackernews.cc
据外媒报道,隶属于Cozy Bear组织的俄罗斯国家黑客是上周针对Synnex的网络攻击的幕后策划者。Synnex是一家为美共和党全国委员会(RNC)提供IT服务的承包商。这次攻击可能泄露了该组织的信息。RNC一位发言人在接受彭博社采访时虽然否认了该组织的系统遭到黑客攻击,但证实其IT供应商之一Synnex已遭到曝光。 RNC就这次攻击发表了以下声明:“上周末,我们被告知第三方供应商Synnex遭到了网络攻击。为此我们立即屏蔽了Synnex帐号对我们云环境的所有访问。我们的团队跟微软合作以对我们的系统进行审查,经过彻底的调查没有RNC数据被访问。我们将继续跟微软及联邦执法官员就此事进行合作。” Synnex则在7月6日发布的一份声明中进一步证实它知道一些外部参与者试图通过Synnex访问微软云环境中的客户应用程序的实例。该公司声称正在跟微软和一家第三方安全公司一起评估这次攻击。据了解,这种操纵跟微软云交互的企业软件而不是直接追踪Azure或Office产品跟SolarWinds在2020年遭遇的黑客攻击有一些相似之处。 这种联系是有道理的:跟俄罗斯对外情报局SVR合作的Cozy Bear成员很大程度上被怀疑为非法目的操纵SolarWinds软件的幕后主使。SolarWinds的入侵可能会暴露100多家公司和政府机构的信息,甚至危及网络安全公司的工具,而这些工具旨在防止此类攻击。 美RNC遭黑客攻击跟民主党全国委员会(DNC)和希拉里·克林顿在2016年总统竞选期间遭遇的黑客攻击之间也存在着相似之处。那次入侵以及维基解密上数千封电子邮件的泄露最终导致俄罗斯军事情报机构GRU的12名成员被起诉。GRU跟另一个受熊类启发的俄罗斯黑客组织Fancy Bear存有关联。 彭博社表示,Cozy Bear的攻击可能是利用了这些勒索软件黑客作为一种掩护,即使他们没有这样做,攻击政治目标仍是一个持续存在的问题并且还不总是以戏剧性的泄露告终。   (消息及封面来源:cnBeta)
2021-07-05 18:09:03hackernews.cc
上周五,美国软件开发商 Kaseya Ltd. 遭遇勒索软件攻击,攻击主要集中在 Kaseya VSA 软件上。据悉很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新,并向电脑网络上的系统发布软件更新。援引外媒 The Record 报道,REvil 勒索软件团伙索要7000 万美元的赎金,以发布一个通用的的解码器。 REvil 是一个臭名昭着的勒索软件团伙。勒索软件会锁住受害者的电脑,直到受害者支付数字赎金,通常以比特币形式支付。此次网络攻击似乎是 REvil 有史以来发起的规模最大的一次。据网络安全专家称,此次攻击事件可能已导致全球多达 4 万台电脑被感染。 在暗网博客上发布的一条信息中,REvil 勒索软件团伙声称锁定了超过 100 万个系统: 上周五(02.07.2021)我们对 MSP 供应商发起了一次攻击。超过 100 万的系统被感染。如果有人想就通用解密器进行谈判–我们的价格是 70000000 美元(BTC),我们将公开发布解密器,解密所有受害者的文件,所以每个人都将能够在不到一个小时内从攻击中恢复。如果你对这样的交易感兴趣,请按照受害者的 “readme”文件说明与我们联系。 如果兑现,该要求将成为有史以来最高的勒索软件赎金。Kaseya 发言人没有在现场评论该公司是否会考虑支付 REvil 团伙的赎金要求。在撰写本报告时,Kaseya 勒索软件事件据信已影响到全球数以千计的公司。   (消息及封面来源:cnBeta)
2021-07-02 21:38:49hackernews.cc
虽然每月的补丁星期二活动微软都会发布一系列安全更新,但依然存在“漏网之鱼”。日前,国内安全公司深信服(Sangfor)发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局(CISA)的关注,微软正在积极开展调查。 CISA 将 PrintNightmare 漏洞描述为“关键漏洞”(Critical),因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪,并解释说,问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问,这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。 作为参考,这个有问题的函数通常用于安装打印机驱动程序。然而,由于远程访问是不受限制的,这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序,使受感染的机器以SYSTEM权限执行任意代码。 值得注意的是,微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题,但最新的进展并不在修复范围内。该公司表示,它正在积极调查这个问题,并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务,但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印,但本地打印仍将正常工作。 微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示,有问题的代码存在于所有版本的Windows中,但它仍在调查它是否也可以在所有版本中被利用。也就是说,由于该问题正在积极调查中,微软还没有给它一个漏洞评分,但也将其标记为 “关键”。   (消息及封面来源:cnBeta)
2021-07-02 21:38:49hackernews.cc
Nord Locker 安全分析师发现,在 2018-2020 年间黑客利用一个木马化恶意程序,感染了超过 300 多万台电脑,并从中攫取了 1.2T 以上的敏感信息。这款尚未命名的恶意软件从超过 325 万台 Windows PC 中收集信息,收集的数据包括 20 亿个 cookies 和 110 万个电子邮件相关的约 2600 万个凭证。 这种病毒是由不良分子通过破解的应用程序分发的,包括破解的游戏、破解 Windows 操作系统许可证的工具,甚至还有 Adobe Photoshop 2018。另一种分发病毒的方法是将其嵌入电子邮件,然后通过垃圾邮件活动分发。 该病毒非常有效,因为它很低调,可以不被发现,同时从用户的电脑中窃取数据,而消费者并不知道发生了什么。也许这个病毒最令人不安的地方是,它在感染电脑后通过电脑的摄像头拍下照片。 在这个被盗数据集合中有超过 65 万份 PDF 和 Word 文档,22.4 万张 JPG 图片,以及超过 69.6 万个 PNG 文件。虽然超过一半的被盗文件是文本文件和软件日志,但危险来自于一些用户有在文本文件中存储个人信息、密码和其他类型的私人信息的坏习惯。正如你可能暗示的那样,这些文件也落入了黑客的手中。 该木马程序成功地从超过一百万个网站中窃取了大约 2600 万个登录凭证。被盗的凭证属于各类网站的用户,包括在线游戏、在线市场、求职网站、社交媒体、生产力工具、流媒体服务和电子邮件服务。 在被盗的 20 亿个 cookie 中,约有 22% 在发现时仍然有效。Cookies 可以让黑客进入用户的在线账户,并可以协助他们了解目标的兴趣和习惯。按被盗 cookie 数量比例排名前五的网站是:eBay,超过190万;沃尔玛,26.2万;Gearbest,211万;AliExpress,48.1万;以及亚马逊,350万。   (消息及封面来源:cnBeta)
2021-07-01 19:01:34hackernews.cc
中国安全公司深信服(Sangfor)近日发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力,该公司还发布了概念证明代码。 在 6 月补丁星期二活动日中,微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备,PrintNightmare 漏洞依然有效,并允许攻击者远程执行代码。 根据概念证明代码显示,黑客只需要一些(甚至是低权限)的网络凭证就可以利用该漏洞进行远程执行,而且这些凭证在暗网上只需要 3 美元就能买到。这意味着企业网络又极易受到(尤其是勒索软件)的攻击,安全研究人员建议企业禁用其 Windows Print Spoolers。 影响版本 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows
2021-06-30 21:12:17hackernews.cc
上周,MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞,或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称,该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码,进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。 此外 Eclypsium 指出,受影响的设备数量超过了 3000 万台,并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。 至于问题的根源,其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助(SupportAssistant)服务的一部分,该公司在大多数 Windows 设备上都预装了它。 然而在客户机到服务器端的连接过程中,BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞,使得攻击者能够将特定的软件传送到用户设备上。 其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响,而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的,最终都可能导致 BIOS 中的任意代码执行。 研究人员建议所有受影响的设备用户手动执行 BIOS 更新,且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。 庆幸的是,目前戴尔已经承认了相关问题,并于今日发布了修补程序。该公司在支持页面上写道: DSA-2021-106:这是一项针对戴尔客户端平台的安全更新,旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。 下载地址: https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature   (消息及封面来源:cnBeta)
2021-06-29 22:31:56hackernews.cc
在遭到一系列远程攻击之后,西部数据(WD)敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)设备可能通过出厂重置被远程擦除,使用户面临失去所有存储数据的风险。 在公告中写道:“西部数据已经确定,一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下,攻击者已经触发了出厂重置,似乎是要删除设备上的所有数据”。被利用的漏洞目前编号为 CVE-2018-18472,这是一个根远程命令执行(RCE)漏洞,在 CVSS 严重性评级为 9.8。 攻击者能够以 root 身份进行远程操作,他们可以触发重置并擦除这些便携式存储设备上的所有内容,这些设备在 2010 年首次亮相,在 2015 年获得了最后的固件更新。当产品进入报废期时,它们通常无权获得新的安全更新。 正如Bleeping Computer首次报道的那样,论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失的情况。一位论坛用户认为,由于他们的信息被删除,自己 “完全完蛋了”。 另一位用户评论道:“我愿意拿出我的毕生积蓄来获取我的博士论文数据、我孩子和死去的亲戚的新生照片、我写的但从未发表的旅行博客以及我过去7个月的所有合同工作。我甚至不敢想这对我的职业生涯会有什么影响,因为我失去了所有的项目数据和文件…”。 在撰写本文时,论坛用户正在交易潜在的恢复方法和想法,并有不同程度的成功。西部数据说:“我们正在审查我们从受影响的客户那里收到的日志文件,以进一步确定攻击和访问机制的特征”。 到目前为止,这些日志文件显示,My Book Live设备是通过直接在线连接或端口转发在全球范围内被攻击的。WizCase之前已经公布了该漏洞的概念验证(PoC)代码。在某些情况下,攻击者还安装了一个木马程序,其样本已被上传到VirusTotal。 My Book Live设备被认为是参与这次广泛攻击的唯一产品。西部数据的云服务、固件更新系统和客户信息被认为没有被泄露。西部数据正在敦促客户尽快将他们的设备从互联网上撤出。 西部数据说:”我们知道我们客户的数据非常重要。”我们还不明白为什么攻击者触发了出厂重置;但是,我们
2021-06-28 21:23:00hackernews.cc
据《连线》报道,IOActive安全研究员Josep Rodriquez警告说,许多现代ATM和POS系统中使用的NFC读卡器使它们容易受到攻击。这些缺陷使它们容易受到一系列问题的影响,包括被附近的NFC设备对撞攻击、作为勒索软件攻击的一部分而被锁定、甚至被黑客提取某些信用卡数据。 Rodriquez警告说,这些漏洞可能被用作所谓的”中奖”攻击的一部分,欺骗机器吐出现金。然而,这样的攻击只有在与其他漏洞的利用配对时才有可能,《连线》说,由于IOActive与受影响的ATM机供应商有保密协议,他们无法公布这种攻击的视频。 依靠机器的NFC读卡器的漏洞,黑客攻击相对容易执行。虽然以前的一些攻击依赖于使用医疗内窥镜等设备来探测机器,但Rodriquez只需在机器的NFC读卡器前挥动运行其软件的Android手机,就可以利用机器可能存在的任何漏洞。 在与《连线》分享的一段视频中,Rodriquez仅仅通过在NFC读卡器上挥动他的智能手机,就使马德里的一台ATM机显示出错误信息,然后,该机器对举到读卡器上的真实信用卡反而变得没有反应。 这项研究强调了这些系统的几个大问题。首先是许多NFC读卡器容易受到相对简单的攻击,例如,在某些情况下,读卡器没有验证它们接收到多少数据,这意味着攻击者能够用过多的数据淹没系统并破坏其内存,作为 “缓冲区溢出”攻击的一部分。 第二个问题是,即使发现了问题,ATM的厂家对世界各地使用的数十万台机器应用补丁的速度也会很慢。通常情况下,需要对机器进行物理上的实际访问才能应用更新,而且许多机器并没有定期收到安全补丁。例如,一家公司表示,虽然已经在2018年给指定型号的机器打了补丁,但研究人员依然能够验证该攻击在2020年的一家餐厅中起到作用,这证明安全更新推送实际上并没有很有效执行。 Rodriquez计划在未来几周的网络研讨会上介绍他的发现,以强调他所说的嵌入式设备的安全措施到底有多欠缺。   (消息及封面来源:cnBeta)
2021-06-28 21:03:00hackernews.cc
据外媒报道,上周,约28万名以色列学生的个人信息在针对AcadeME公司的网络攻击中被泄露。据Jerusalem Post报道,Think Safe Cyber Facebook组织的May Brooks-Kempler估计,约有28万名在校或在校学生的个人信息被盗。 AcadeME是以色列一个全国性的服务提供商,为在11000个不同的行业中寻找工作的学生提供支持。6月20日,它成为了亲巴勒斯坦的马来西亚黑客组织DragonForce的受害者。 虽然AcadeME否认了这一指控,但所附的代码截图、服务器地址和包含电子邮件地址和姓名的表格却表示并非如此。基本上,证据表明学生的电话号码、地址、全名、电子邮件和密码都遭到了泄露。 这些黑客在Telegram上写道:“这是对全世界所有黑客、人权组织和活动人士的紧急呼吁,让他们再次团结起来并发起针对以色列的运动、分享那里的真实情况、向世界揭露他们的恐怖活动……我们永远不会对以色列的战争活动保持沉默。” 去年,针对以色列企业和组织的网络攻击频率有所增加,Amital软件、Ami Insurance和Israel Aerospace Industries等公司受到了影响。事实上,周五早些时候,该组织对以色列的机构进行了DDoS攻击,包括以色列银行(Bank of Israel)、Leumi银行和Mizrahi Tefahot。这些网络罪犯还声称在同一天释放了大量以色列护照。 今年年初,以色列国家网络局(INCD)局长Yigal Unna表示担心,如果不采取适当措施,黑客有能力破坏以色列的学术机构。委员会主任表示担心,学术机构和其他机构和组织之间的广泛联系可能会对其他机构和组织构成威胁进而导致它们承担法律责任。   (消息及封面来源:cnBeta)
2021-06-28 21:03:00hackernews.cc
卡巴斯基研究人员称,一款 IcedID 网银木马的新变种正在迅速传播,检测峰值甚至达到了每日 100 个。截止 2021 年 3 月,其在德国(8.58%)、意大利(10.73%)、印度(11.59%)和美国(10.73%)等地区的传播力最为显著。与旧版木马相比,新变种利用了修改过的英文下载器,其中包含了经过压缩的 ZIP 格式恶意软件。 至于 IcedID 的感染过程,主要分成下载器和本体两个部分。前者将用户信息发送到服务器端,以供恶意软件本体使用。在将自身映射到内存后,后者会将恶意软件进一步渗透到受害者的系统中。 此外该木马还可启动其它恶意操作,比如允许威胁行为者绕过双因素身份验证(2FA)或运行恶意动态链接库(DLL)的 Web 注入。这两种方法,都允许下载和执行渗透到系统身处的其它恶意模块。 IcedID 攻击的地理位置分布 包括下载电子邮件收集器、Web 注入模块、密码抓取器、以及 hVNC 远程控制模块等组件,以执行 Web 注入、流量拦截、系统接管、以及密码窃取。 至于 QBot 和 IcedID 的区别,主要是新变种变得能够利用 x86-64 CPU 架构、从服务器端移除了假配置、且核心也略有改动,因为作者决定不将 shellcode 交换为包含一些加载程序数据的常规 PE 文件。   QBot 攻击的地理位置分布 最后,网络攻击涉及的一些 IP / 域名,涵盖了Karantino[.]xyz、uqtgo16datx03ejjz[.]xyz、188.127.254[.]114、以及 Apoxiolazio55[.]space 。   (消息及封面来源:cnBeta)
2021-06-25 15:49:21hackernews.cc
据外媒报道,纽约州政府IT部门使用的一个代码库被暴露在互联网上,允许任何人访问里面的项目,其中一些项目包含与州政府系统相关的秘密密钥和密码。暴露的GitLab服务器于周六被总部位于迪拜的SpiderSilk发现,这家网络安全公司因发现三星、Clearview AI和MoviePass的数据泄漏而受到赞誉。 企业使用GitLab协作开发并将其源代码–以及项目运作所需的秘密密钥、令牌和密码–存储在他们控制的服务器上。但SpiderSilk的首席安全官Mossab Hussein告诉TechCrunch,被暴露的服务器可以从互联网上访问,并被配置为该组织以外的任何人都可以创建一个用户账户并不受阻碍地登录。 当TechCrunch访问GitLab服务器时,登录页面显示它正在接受新的用户账户。目前还不知道GitLab服务器以这种方式被访问的确切时间,但来自Shodan的历史记录显示,GitLab于3月18日首次在互联网上被发现。 SpiderSilk分享的几张截图显示,GitLab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改,这家初创公司请求帮助,向州政府披露这一安全漏洞。 在服务器被发现后不久,TechCrunch就向纽约州长办公室通报了这一曝光。向州长办公室发送的几封关于暴露的GitLab服务器细节的电子邮件被打开,但没有得到回应。该服务器于周一下午下线。 纽约州信息技术服务办公室的发言人Scot Reif说,该服务器是“一个由供应商建立的测试箱,没有任何数据,而且它已经被ITS退役了”。(Reif宣称他的答复是 “背景性的”,可归因于一位州政府官员,这需要双方事先同意这些条款。) 当被问及时,Reif不愿透露供应商是谁,也不愿透露服务器上的密码是否被更改。服务器上的几个项目被标记为 “prod”,也就是 “production “的常用缩写,一个指正在积极使用的服务器的术语。Reif也不愿透露该事件是否被报告给州司法部长办公室。在记者采访时,司法部长的发言人没有发表评论。 据TechCrunch了解,供应商是Indotronix-Avani,这是一家总部设在纽约的公司,在印度设有办事处,由风险投资公司Nigama Ventures拥有。几张截图显示一
2021-06-25 10:29:08hackernews.cc
据赛门铁克威胁猎手团队称,网络犯罪分子正在通过虚拟机运行越来越多的恶意载荷。Help Net Security调查了一次尝试性的勒索软件攻击,该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与记录的RagnarLocker攻击使用Windows XP的虚拟机不同,新的威胁似乎是运行Windows 7。 此外,根据赛门铁克威胁猎手团队的Dick O’Brien的说法,该虚拟机是通过一个恶意的可执行程序部署的,该程序在行动的侦察和横向移动阶段就已经被预先安装。 到目前为止,研究人员无法确定虚拟机中的恶意软件载荷是Mount Locker还是Conti勒索软件。后者在Endpoint安全软件被检测到,需要一个用户名和密码组合,这是以前Conti勒索软件活动的特征。 假设该恶意软件驻留在虚拟机的硬盘上,一旦操作系统被完全启动,恶意程序就可以跟随自动启动。可执行文件会检查主机是否是活动目录控制器,而在其他情况下,它采用俄罗斯键盘布局来识别,如果是的话就终止操作。 赛门铁克威胁猎手团队解释说:”一种可能的解释是,攻击者是一个同时拥有Conti和Mount Locker控制权限的恶意软件联盟团伙。他们可能试图在虚拟机上运行一个有效载荷(无论是Conti还是Mount Locker),当它判断无法工作时,选择在主机上保底运行Mount Locker。” 我们知道,大多数攻击者和勒索软件运营者喜欢使用合法的、非目的性的工具来加强他们的活动,同时尽可能长时间地保持不被发现。   (消息及封面来源:cnBeta)
2021-06-24 18:48:45hackernews.cc
专注于软件供应链安全管理的研究公司 Sonatype,刚刚在官方的 Python 软件存储库(PyPI)上发现了六个包含不同恶意软件的 Python 包。这些恶意内容被藏于 setup.py 的安装说明文件中,继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。 Nexus 防火墙组件的分析过程(图自:Sonatype) 过去数月,这几款恶意软件包被下载量将近 5000 次,且发布者使用了 nedog123 的用户名。 learninglib 中包含的 maratlib 依赖项 以下是对应的六款恶意软件的名称与下载数: ● maratlib:2371 ● maratlib1:379 ● matplatlib-plus:913 ● mllearnlib:305 ● mplatlib:318 ● learninglib:626   LKEK 也指向了 maratlib 依赖项 其中一些明显利用了错误的单词拼接方法,并且故意碰瓷 PyPI 上热门的机器学习包文件(比如用李鬼 mplatlib 来假冒官方的 matplotlib)。 maratlib 代码中包含了严重的混淆 尽管此类攻击似乎只是为了窃取部分系统资源,但供应链安全攻击还是让 Sonatype 感到十分紧张。 0.6 代码中高亮显示的 GitHub 网址 即便代码被严重加花、并从 GitHub 上调用了其它包,但 Sonatype 还是详细解释了他们是如何检测到加密货币挖矿类恶意软件的。 aza2.sh 中的 Bash 脚本,也被发现了某些版本的 maratlib 。 最后,Sonatype 指出,此类恶意软件不大可能影响大多数运行高级反病毒防护软件的普通用户,而是更加针对那些拥有高性能 Linux 机器的机器学习研究人员们。   (消息及封面来源:cnBeta)
2021-06-24 18:48:45hackernews.cc
据外媒报道,就在几天前,乌克兰警方逮捕了Clop勒索软件背后组织的6名成员。上周,乌克兰国家警察(National Police of Ukraine)跟韩国和美国的官员一起进行了一次执法行动,他们逮捕了多名据信跟Clop勒索软件团伙有关的嫌疑人。这被认为是国家执法机构首次大规模逮捕涉及勒索软件的团伙。 乌克兰警方还称,他们已成功关闭了该团伙使用的服务器基础设施。但行动似乎并不完全成功。 尽管Clop行动在被捕后保持沉默,但该团伙本周在其暗网站上公布了一批新的机密数据,声称这些数据是从两位新受害者–一家农用设备零售商和一家建筑事务所–那里窃取的。 尽管上周遭到了史无前例的执法打击,但被逮捕的嫌疑人可能只包括那些在Clop行动中扮演次要角色的人。网络安全公司Intel 471表示,它认为上周的逮捕行动针对的是洗钱活动,该团伙的核心成员并没有被捕。 这家安全公司表示:“我们认为,Clop背后的任何核心人物都没有被捕。对Clop的总体影响预计不大,尽管执法部门的关注可能会导致Clop品牌被放弃,就像我们最近看到的其他勒索软件组织如DarkSide和Babuk。” Clop似乎仍在运营,但该集团能运营多久还有待观察。今年,执法部门不仅多次打击了勒索软件集团,而且俄罗斯本周也证实将开始跟美国合作定位网络罪犯。 截止到目前,俄罗斯在对付黑客方面一直采取不干涉的态度。路透社周三报道称,俄罗斯联邦安全局(FSB)局长Alexander Bortnikov表示,FSB将在未来的网络安全行动中跟美国当局合作。 Intel 471此前表示,它不认为Clop的主要成员在上周的行动中被捕,因为“他们可能住在俄罗斯”,而俄罗斯长期以来一直拒绝采取行动,这为网络罪犯提供安全港。 Clop勒索软件团伙于2019年初首次被发现,此后该组织跟多起备受瞩目的攻击事件被发现存在关联。这些事件包括美国制药巨头ExecuPharm在2020年4月的数据泄露事件、Accellion最近的数据泄露事件。   (消息及封面来源:cnBeta)
2021-06-23 22:08:23hackernews.cc
安全公司Sophos发表了一份新的研究报告–《“义务劳动”式恶意软件在阻止海盗湾的同时赶走软件盗版者》,其中详细介绍了一个网络攻击活动,该活动以盗版软件的用户为目标,恶意软件旨在阻止对托管盗版软件的网站的访问。 恶意软件被伪装成流行游戏的破解版,如《Minecraft》和《Among Us》,以及微软Office、安全软件等生产力应用程序。这种恶意软件并不寻求窃取密码或向计算机所有者勒索赎金,而是阻止受害者访问一长串网站,包括许多分发盗版软件的网站。从本质上讲,这是一个自带干粮义务劳动的恶意软件,它只针对软件盗版者。 伪装后的恶意软件通过BitTorrent协议从ThePirateBay(领先的数字文件共享网站)上的一个账户分发。这些链接和恶意软件文件也被托管在Discord上。 “从表面上看,对手的目标和工具表明这可能是某种粗制滥造的反盗版义务劳动。然而,攻击者庞大的潜在目标受众–从游戏玩家到商业专业人士–再加上过时的和新的工具、技术和程序(TTP)的奇怪组合,以及被恶意软件封锁的奇怪的网站列表,都使这次行动的最终目的有点模糊不清。” – 安德鲁-勃兰特,索福斯公司首席威胁研究员 修改HOSTS文件是一种粗略的方法,可以防止计算机能够到达一个网站地址。它很有效,是的,但任何人都可以从HOSTS文件中删除条目来解决问题。 恶意文件是面向64位Windows 10编译的,然后用假的数字证书签名。在现代Windows电脑上,该恶意软件必须以管理员权限用户的身份运行,因此,更有意识和谨慎的用户将能够轻松避免攻击。该恶意软件在运行时还会触发一个假的错误信息,要求人们重新安装软件。Sophos研究人员认为这可能是为了打消怀疑。   (消息及封面来源:cnBeta)
2021-06-23 22:08:23hackernews.cc
Ragnar Locker背后的黑客成功地从台湾威刚公司窃取了超过1.5TB的数据,并在网上公布了其中超过700GB的数据。安全事务部表示,这些数据是以13个受密码保护的档案形式上传的。 这个网络犯罪团伙说,这1.5TB的被盗数据包含敏感信息,如保密协议、财务文件、合同和其他文件。该芯片制造商拒绝支付黑客要求的赎金。因此,Ragnar Locker背后的黑客决定公开这些数据。为了证明拥有,他们的发布了几张截图。 这是在网上公布的第二批据称是从威刚盗取的档案。最初,Ragnar Locker在存储平台上发布了档案,但MEGA关闭了该组织的账户并禁止访问该组织的共享文件。本月早些时候,四个7-Zip格式的小档案被发布在泄密网站上。黑客们试图向受害者施压,要求他们支付赎金。 之前美国联邦调查局为了提高私营部门对Ragnar Locker勒索软件的认识,在该年11月发布了一个警告,编号为MU-000140- MW。其中的一些要点包括对重要数据进行离线备份;确保将重要数据复制到无法访问网络的外部硬盘或存储设备上;保护备份,确保数据在存储的系统中不能被修改;在所有主机上安装并保持最新的反病毒或反恶意软件;只使用安全的网络,避免使用公共Wi-Fi网络;考虑建立VPN;结合使用多因素认证和安全密码;保持系统、设备和应用程序安装了最新补丁。   (消息及封面来源:cnBeta)
2021-06-22 19:19:37hackernews.cc
北约目前使用SOA & IdM平台来处理北极星(Polaris)计划中的几个基本功能,并且该机构将其列为关键设施并定义为机密级别,作为北约IT现代化计划的一部分,它被创建为提供集中的安全、整合和托管信息管理方案。 黑客声称,他们设法利用后门复制了这个平台上的数据,并试图敲诈安全解决方案商Everis。他们更进一步,半开玩笑说要把偷来的数据发给俄罗斯情报部门。 北极星项目官员保罗·豪兰解释了这个项目的好处。”这个项目有可能成为改变北约未来如何发展和部署其作战服务的游戏规则。它将推动创新和降低成本。通过确保对已部署的能力有更大的重复利用来实现操作”。 攻击背后的黑客说,他们最初并不知道他们可以利用北约平台上的漏洞。之前他们只关注Everis在拉丁美洲的企业数据,直到北约说它准备在发生网络威胁时采取行动。令他们惊讶的是,北约的一个安全平台就在Everis的子公司的掌管之中。 黑客们在分析了Everis公司并发现与无人机和军事防御系统有关的文件后,开始从该公司的网络中窃取更多数据。他们为破坏北极星计划的发展的活动辩护,说这一计划并不是”为了地球和网络世界的和平”。 黑客向Everis索要14500门罗币的赎金,这样他们就不会将其身份与LATAM航空公司的数据黑客联系起来。他们还要求用这笔赎金来换取不泄露北约的任何数据的保证。   (消息及封面来源:cnBeta)
2021-06-22 19:19:37hackernews.cc
韩国当局透露,Kimsuky在2021年5月成功入侵了国家核智库韩国原子能研究所(KAERI),KAERI被揭露此事的韩国新闻机构指控掩盖事实。恶意软件分析公司IssueMakersLab在5月14日发现了对KAERI的攻击。有13个不同的互联网地址参与了这次网络攻击,其中一个与Kimsuky有关。 据美国网络安全和基础设施安全局(CISA)称,后者据说是一个朝鲜的全球情报收集行动。该组织也被称为Thallium、Black Banshee和Velvet Chollima,涉嫌进行多种恶意软件攻击。事实上,据称它在过去曾攻击过韩国的COVID-19疫苗研究人员和核反应堆。 为了进入受害者的系统,该团伙经常采用网络钓鱼技术,冒充Telegram、Gmail、Outlook等网站和其他流行品牌网站。这不是该机构的第一次攻击。韩联社报道,早在2018年,KAERI就通过文在寅总统的顾问文忠仁获得的电子邮件账户被黑,这次网络攻击可以归因于Kimsuky。 根据韩国科学和信息通信技术部(MSIT)的说法,网络被入侵是由于服务器VPN的漏洞。攻击是在5月31日被发现的,当局已经采取了紧急措施来禁止IP地址和应用安全修复。 虽然损失的程度尚不清楚,但人们担心核技术信息的泄露可能会危及国家安全。SISA杂志率先报道了这一攻击事件,指责KAERI在发现一名研究人员就这一话题发表了三种不同的声明后淡化了这一漏洞。 KAERI发表了以下声明(翻译),以回应掩盖事件的指控。 “‘没有黑客事件’的说法是工作层面的工作人员的反应错误,这是在调查期间因涉嫌侵权而未确认损失的情况下发生的”。   (消息及封面来源:cnBeta)
2021-06-18 21:54:42hackernews.cc
针对韩国多种行业的恶意软件活动被认为是一个名为Andariel的朝鲜国家黑客组织所为。据《黑客新闻》报道,这一进展表明,Lazarus黑客攻击者正在紧跟潮流,扩大他们的武器库。卡巴斯基实验室在一份详细的报告中指出:”这次活动中使用Windows命令及其选项的方式与以前的Andariel活动几乎相同”。这次攻击影响了制造业、家庭网络服务、媒体和建筑业。 Andariel是Lazarus黑客组织的成员之一,因对韩国的组织和企业发动攻击而臭名昭著。该组织与Lazarus和Bluenoroff一起,于2019年9月被美国财政部制裁,原因是对重要基础设施进行敌对网络活动。朝鲜据认为是这些黑客活动幕后推手,它试图渗透到韩国和世界各地的金融机构电脑中。同时,它还策划了加密货币盗窃案,试图逃避为阻止其核武器计划发展而实施的经济制裁束缚。 卡巴斯基的发现建立在2021年4月Malwarebytes的一份早期报告之上。基于这些发现,这家网络安全公司记录了一个新的感染链,它分发钓鱼邮件,并在目标系统上投放一个远程访问木马(RAT)。根据最新的调查,新的恶意软件以类似的方式工作。除了安装一个后门外,威胁者还可以将文件加密的赎金软件传送给其中一个受害者,这表明有经济动机。应该指出的是,Andariel过去曾试图通过入侵自动取款机来窃取银行卡数据获取现金或在黑市上出售客户数据。 该勒索软件旨在加密所有文件,但那些带有系统关键扩展名”.exe”、”.dll”、”.sys”、”.MSIins”和”.drv”的文件除外。正如预期的那样,它要求支付比特币以获得一个解密软件和一个独特的密钥来解锁加密的数据。   (消息及封面来源:cnBeta)
2021-06-17 19:13:59hackernews.cc
在遭遇勒索软件攻击之后,不少企业因为无法等待数据恢复、想要尽快恢复业务,选择向黑客支付赎金,那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗?一份最新报告显示,几乎一半的受害者会再次成为同一黑客的目标。 根据市场调查机构 Censuswide 公布的最新数据,大约 80% 选择支付赎金的组织会遭到第二次攻击,其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司,在交出加密货币后的两周内,又被同一黑客攻击了。 即使受害者支付了赎金以重新获得其加密文件的访问权,也经常出现问题。46%的支付者发现一些数据被破坏;51%的人重新获得了访问权,但没有数据损失;3% 的人根本没有拿回他们的数据。 由于越来越多的受害者拒绝支付,赎金软件的平均支付额正在下降。影响这些公司底线的不仅仅是巨额的加密货币支付。被报道的勒索软件攻击会对公众对公司的看法产生负面影响,一些人对公司的安全行为提出质疑。53%的调查参与者表示,他们的品牌在勒索软件披露后受到了不利影响,66%的人表示他们因攻击而损失了收入。   (消息及封面来源:cnBeta)
2021-06-16 21:53:24hackernews.cc
微软安全情报团队刚刚通过 Twitter 平台发出了一则警告,提醒广大软件用户注意提防一款利用了古老且狡猾的手段来传播的新型恶意软件。据悉,疑似 SolarMarker 幕后的恶意软件操纵者,正在通过所谓的“搜索引擎优化中毒”(SEO Poisoning)手段,来将恶意代码植入受害者的计算机。 具体说来是,微软指出这涉及利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档。 然后这些链接会启动一系列的重定向,最终将毫无戒心的用户引导至托管有恶意软件的地址。 微软安全情报团队在一系列推文中解释称:攻击者试图通过对搜索结果进行排名的 PDF 文档来实施传播。 为达成这一目的,攻击者在这些文档中填充了超过 10 页的关键词、且涵盖的主题也十分宽泛,从‘保单’到‘合同’、乃至‘SQL 数据库中的 join in 查询指令用法’和‘数学答案’。 接着,微软提到了 eSentire 的一篇博客文章,指出攻击者此前曾利用谷歌网站来托管这些受感染的文档。 而在近期的活动中,微软研究人员又注意到攻击者已转向亚马逊云服务(AWS)和 Strikingly 。 最近几周,不少商业专业人士被黑客所操控、且托管于 Google Sites 上的网站所引诱,并在不经意间安装了一种已知但新兴的远程访问木马(简称 RAT)。 eSentire 指出,攻击始于潜在受害者对商业表单的搜索,比如发票、问卷和收据。但在利用谷歌搜索重定向来层层设陷的情况下,一旦受害者计算机上的 RAT 被激活,攻击者即可向目标计算机发送指令、并将其它恶意软件(比如勒索软件),上传到受感染的系统上。 此外上文中提到的 SolarMarker 也是一款后门型的恶意软件,能够从浏览器窃取数据和相关凭据。 考虑到“SEO 中毒”型的恶意软件攻击防不胜防,微软建议广大计算机用户升级到带有最新安全措施的操作系统和相关配套软件。 与此同时,该公司的 Microsoft Defender 反病毒软件仍会持续开展检测、以阻止在诸多环境中的数以千计的此类 PDF 文档。 最后,eSentire 威胁情报经理 Spence Hutchinson 曾于 4 月接受 ThreatPost 采访时称,安全领导者与他们的团队,必须知晓 SolarMarker 幕后团队在商业危害上的斑斑劣迹。     (消息及封面来源:cnBeta)
2021-06-16 20:53:33hackernews.cc
据外媒Neowin报道,在今天这个围绕着互联网的世界里,对我们私人数据的在线保护始终是一个热门话题。大型科技公司由于收集和管理的数据量大,经常面临监管机构等的冲击。在与此相关的最新进展中,来自爱尔兰公民自由委员会(ICCL)的高级研究员Johnny Ryan博士决定对IAB技术实验室提起诉讼。该诉讼被提交到汉堡地方法院,针对ICCL认为的“全球最大数据泄露事件”。 IAB技术实验室是一个由一些最大的科技公司组成的联盟,如Google、Facebook、亚马逊等,它负责提供在线数字广告空间运作所依据的技术标准。 在数字广告市场上,广告被放置在各个网站上,使用一种叫做实时竞价(RTB)的方法。RTB是数字广告库存实时购买和销售的过程。ICCL在其诉讼中指出,RTB的使用极大地侵犯了数百万用户的隐私,因为如此多的个人数据被共享到庞大的网络中。 以下是Johnny Ryan博士对此事的看法: 通过挑战在线广告行业的标准,我们的诉讼瞄准了Google、Facebook、亚马逊、Twitter、Verizon、AT&T以及整个在线广告和监控行业。这个行业跟踪我们,并建立了关于我们最亲密的秘密的隐秘档案。从今天开始,我们要改变这种状况。 ICCL提供了一份播放RTB数量最多的九个大公司的名单。它包含了一些常见的公司的名字。   关于此事的更多细节,你可以访问ICCL的官方网页。 这并不是第一次与RTB有关的诉讼,因为Google最近被法国的一个调查机构处以2.2亿欧元(约2.68亿美元)的罚款,该公司同意与之和解。     (消息及封面来源:cnBeta)
2021-06-15 18:32:38hackernews.cc
据外媒报道,一名为伊朗工作的网络罪犯攻击了一名前以色列国防军(IDF)参谋长的电脑并获得了他整台电脑数据库的访问权限。Channel 10确认该名黑客是Yaser Balgahi。据报道,他事后吹嘘自己的黑客攻击行为,然而他在不知情的情况下留下了自己身份的痕迹。 这一情况使得伊朗关闭了针对全球1800人的网络行动,其中包括以色列军方将领、波斯湾人权捍卫者和学者。 《以色列时报》在以色列网络安全公司Check Point披露了伊朗这一黑客行动两周后首次对外做了报道。Channel 10则在周二做了报道。Check Point Software Technologies CEO Gil Shwed在1月底告诉以色列电台,攻击开始于两个月前,另外目标收到了意在在他们的电脑上安装恶意软件的电子邮件。 据悉,超1/4的收件人打开了邮件,无意中下载了间谍软件,这让黑客得以从他们的硬盘中窃取数据。 而在过去两年的时间里,以色列遭到了数次网络攻击。据官员称,一些渗透行动是由跟真主党和伊朗政府有关的黑客实施的。 1月底,以色列能源部长Yuval Steinitz表示,以色列电力管理局是一次严重的网络攻击的目标。不过他没有具体说明袭击的来源。 今年6月,以色列网络安全公司ClearSky宣布,它探测到一波来自伊朗的针对以色列和中东目标的持续网络攻击,以色列将军们也在攻击对象之列。据这家公司披露称,其目的是间谍活动或其他民族国家利益。 根据ClearSky的说法,黑客使用了定向钓鱼等技术,他们利用看似合法和可信的虚假网站来获取用户身份数据。他们成功渗透了以色列境内的40个目标和国际上的500个目标。在以色列,攻击目标包括退休将军、安全咨询公司雇员和学术学者。 Shwed警告称,网络攻击的频率超过了网络安全投资的频率。 Jerusalem Venture Partners的执行合伙人Gadi Tirosh是以色列在网络安全技术领域仅次于美国的最活跃投资者之一。 目前,以色列有173家大到足以吸引风险资本和其他主要投资者的公司。根据以色列风险资本(IVC)研究中心本月早些时候发布的一份报告,以色列目前有430家网络公司,自2000年以来,平均每年有52家新的网络创业公司成立。   (消息及封面来源:cnBeta)
2021-06-15 18:32:38hackernews.cc
最近,勒索软件困扰着美国和世界上的许多大公司。不久前,美国的一次攻击关闭了一条输油管,导致一些地区出现燃料短缺,拥有该输油管的公司支付了数百万美元来解密其文件。另一个备受瞩目的勒索软件攻击看到一家美国食品公司向黑客支付了数百万美元,以解密他们的系统并防止文件被泄露。 虽然勒索软件攻击非常有效,并且可以成为攻击者的大笔财富,但Avaddon背后的组织正在关闭,并且已经为所有受害者发布了解密密钥。 报告指出,一封假装来自联邦调查局的电子邮件已经发出,其中包含一个密码和一个受密码保护的压缩文件的链接。该文件声称是Avaddon勒索软件的解密密钥。该文件被发送给来自EMSIsoft的名为Fabian Wosar的安全研究员和来自Coverware的Michael Gillespie。 这两名研究人员调查了电子邮件所附的软件,并确定它是无害的,并且包含了为成为Avaddon勒索软件受害者的用户提供的解密密钥。Emsisoft与BleepingComputer分享了一个测试解密器,实验证明可以解密一个用Avaddon最近的样本加密的虚拟机。 勒索软件背后的一个或多个黑客发布了2934个解密密钥,每个密钥对应于该组织的一个受害者。Emsisoft发布了一个免费的解密程序,任何该软件的受害者都可以用它来免费恢复他们的文件,该解密程序文件可以在这里访问到: https://www.emsisoft.com/ransomware-decryption-tools/avaddon 当勒索软件被关闭时,软件背后的黑客发布解密密钥作为一种善意的姿态,这并不是完全不常见。然而,这有可能表明该软件的一个新版本即将到来。在这个例子中,与Avaddon有关的暗网网站已经被关闭,表明该行动可能已经结束。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
Threat Post报道,英特尔已经发布了29个安全警告,解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC,以及有讽刺意义的英特尔自家安全库中的关键漏洞。评级较高的警告集中在CPU特权升级固件漏洞上:这对于修补和利用而言都很困难,但影响广泛,因此对聪明的攻击者很有吸引力。 英特尔的高级通信主管杰里·布莱恩特(Jerry Bryant)在周三的一篇博文中说,该公司基本上在内部挖掘出了95%的安全问题,其中一些部分来自其漏洞赏金计划和内部研究。 尽管漏洞赏金计划只占本月安全漏洞的一小部分,但到目前为止,这比2021年的正常情况要多。Chipzilla的内部安全团队发现了所处理的132个潜在漏洞中的75%,其中70%在公开披露之前就已修复。 本月的补丁集包含对各种问题的修复,其中几个被评为高严重性–包括产品的固件CPU中的4个本地权限升级漏洞;英特尔定向I/O虚拟化技术(VT-d)中的另一个本地权限升级漏洞;以及英特尔安全库中的一个可网络利用的权限升级漏洞。 英特尔的公告中还包括一个针对BlueZ的中等严重性漏洞的补丁,BlueZ是一个蓝牙软件堆栈,允许对所谓的安全蓝牙和蓝牙低能量(BLE)连接进行中间人式攻击。另一个影响英特尔CPU的中等严重性漏洞允许通过可观察到的浮点响应差异进行本地可利用的信息泄露。 对于系统管理员而言应修补系统的主板管理控制器(BMC)中的一组高威胁漏洞,它允许在2019年底发布的英特尔服务器主板M10JNP2SB系统中进行权限升级和拒绝服务攻击。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
据外媒Techcrunch报道,美国网络安全和基础设施安全局(CISA)启动了一项漏洞披露计划,其允许有道德的黑客向联邦机构报告安全漏洞。据悉,该平台在网络安全公司Bugcrowd和Endyna的帮助下推出,它将允许民间联邦机构接收、分类和修复来自更广泛的安全社区的安全漏洞。 CISA在推出该平台不到一年前曾指示其监管的民用联邦机构制定并发布自己的漏洞披露政策。这些政策旨在通过概述哪些以及如何在线系统可以测试、哪些不能测试为安全研究人员设定战斗规则。 私人公司运行VDP项目让黑客报告漏洞并不少见,通常还会提供漏洞赏金以奖励黑客的工作。虽然美国国防部多年来一直对黑客感兴趣,但民间联邦政府却迟迟没有采取行动。 去年,Bugcrowd在D轮融资中筹集了3000万美元,该公司表示,该平台将让政府机构能获得商业技术、世界一流的专业知识以及目前用于识别企业业务安全漏洞的有帮助的道德黑客全球社区。Bugcrowd创始人Casey Ellis告诉TechCrunch,该指令是黑客扮演互联网免疫系统角色的又一个分水岭。Bugcrowd团队非常自豪能跟CISA/DHS合作以跟美国政府一起推进这项计划。 该平台还将帮助CISA在其他机构之间分享有关安全漏洞的信息。 在该平台发布前,美国政府的网络安全经历了数月坎坷,其中包括俄罗斯领导的针对至少九个美国联邦政府机构的间谍活动等。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
当勒索软件黑客上个月攻击Colonial Pipeline并关闭了美国东海岸大部分地区的天然气输送时,世界意识到石化管道行业被黑客破坏的危险。现在看来,另一家以管道为重点的企业也在同一时间受到勒索软件的攻击,但它却对自己的漏洞却保持沉默,即使黑客已经在暗网上公布了70GB的内部文件。 一个自称为Xing Team的组织上个月在其暗网上发布了从LineStar Integrity Services公司窃取的文件集,该公司位于休斯顿,向管道客户销售审计、合规、维护和技术服务。这些数据首先由维基解密式的透明组织 “分布式拒绝秘密”(DDoSecrets)在网上发现,其中包括73500封电子邮件、会计文件、合同和其他商业文件,约19GB的软件代码和数据,以及10GB的人力资源文件,包括员工的驾驶执照和社会保障卡的扫描件。 虽然这次泄露似乎没有像Colonial Pipeline事件那样对基础设施造成任何破坏,但安全研究人员警告说,泄漏的数据可能为黑客提供了一个针对更多管道服务进行攻击的路线图。DDoSecrets公司以搜索勒索软件集团泄露的数据作为其任务的一部分,揭露它认为值得公众监督的数据,周一在其泄露网站上公布了该公司37G的数据。该组织称,它小心翼翼地编辑了潜在的敏感软件数据和代码。DDoSecrets称这些数据和代码可能使后续黑客找到管道相关软件的漏洞并且加以利用。 但未经编辑的文件,仍然可以在网上找到。安全公司Gigamon的威胁情报研究员Joe Slowik认为,这些文件可能包括能够对其他管道进行后续攻击的信息,目前还不清楚70GB的泄漏信息中可能包括哪些敏感信息,但他担心它可能包括LineStar客户使用的软件架构或物理设备的信息,因为LineStar向管道客户提供信息技术和工业控制系统软件。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
据BBC新闻报道,联邦调查局与澳大利亚政府合作,在全球范围内逮捕了800多名涉及毒品走私、洗钱、谋杀阴谋等的犯罪分子,这要归功于联邦调查局秘密运行的加密信息应用ANoM。 ANoM App是联邦调查局创建的ANoM公司的一部分。装有ANoM的设备通过高级人物在整个犯罪网络中分发,这让其他犯罪分子有信心使用该应用程序进行日常活动。在行动过程中,约有12000台ANoM设备被犯罪分子使用。这些设备被用于100多个国家的约300个犯罪集团。 在评论联邦调查局和澳大利亚的联合行动时,澳大利亚联邦警察局长里斯-克肖说。 “他们谈论的都是毒品、暴力、互相打击、无辜的人将被谋杀等等一系列的事情。打掉他们的通讯是我们瓦解有组织犯罪的一个关键部分”。 在这次行动中查获的物品中包括毒品、武器、豪华车辆和现金。具体而言,包含多达8吨可卡因,250支枪,以及4800万美元的各种货币和加密货币。据报道,该行动仍在其他几个国家进行。 根据警方的声明,澳大利亚逃犯和涉嫌贩毒的哈坎-阿伊克(Hakan Ayik)对行动的成功起到了重要作用,他最初使用了一个装有ANoM应用程序的卧底警察手机,然后将其推荐给其他犯罪分子。警方已敦促阿伊克为了自己的安全而自首。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
Cyber News 报道称,疑似迄今为止最大的一个泄露密码数据集,已经在某个知名的黑客论坛上被泄露。一位用户在该轮胎上发布了一个巨大的 100GB TXT 文件,其中包含了 84 亿个密码条目,而它很可能是整理了历史上多起密码泄露事件后合并而成的。 发帖人表示,泄露密码字段的长度均在 6~20 个字符之间,已清理费 ASCII 字符和空格,并且声称合集中包含了 820 亿组密码。不过 Cyber News 在验证后发现,实际数量竟然是 8459060239 个唯一条目。 据悉,该汇编泄露密码数据集的代号为“RockYou2021”,大概是参考了 2009 年发生的臭名昭著的 RockYou 数据泄露事件。当时黑客入侵了社交网站非服务器,并掌握了超过 3200 万用户的明文密码。 与 12 年前发生的那次事件相比,RockYou 2021 的数据量是它的 262 倍,几乎与有史以来最大的数据泄露(COMB)相当。 不过考虑到全球只有大约 47 亿人上网这个事实,而发布者披露的信息量几乎是它的两倍,那每位网民都可能不幸受到影响。 如有疑问,还请立即通过靠谱的检索渠道去验证自己的密码是否已被泄露,比如 Cyber News 的“个人数据泄露检查器”或“Leaked Password Checker”。 最后,我们仍建议广大用户在使用线上服务时至少启用双因素(2FA)身份验证,并且不要随意点击不请自来的垃圾钓鱼邮件和文本请求。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
据外媒The Verge报道,FBI正在试图获取一份IP地址、电话号码和其他信息的清单,据悉,这些信息来自于USA Today上一篇关于FBI两名探员死亡的文章。据了解,USA Today收到的传票称,这跟一项刑事调查工作有关,并要求提供有关在特定的35分钟内访问了这篇文章的读者的信息,但尚不清楚FBI试图追查的是谁或什么人。 USA Today则交出这些信息以进行反击并称这一要求违宪。“收到这张传票我们很惊讶,尤其是拜登总统最近发表声明支持新闻自由,”USA Today出版商Maribel Perez在发给The Verge的一份声明中说道。 据悉,上面提到的这篇文章发表于2021年2月2日,是关于FBI探员试图执行儿童色情案件的搜查令时发生的枪战,当时这一举动导致两名FBI探员和嫌疑人死亡。这张传票由一名FBI探员填写、要求提供从美国东部时间晚上7:03到晚上7:38访问这篇文章的设备的大量信息。 目前还不清楚为什么会提出这一要求,因为文章中描述的嫌疑人在文章发表时据报道已经死亡。USA Today在提交给法院的文件中称,不管FBI想要的是什么,这一要求违反了《美国宪法第一修正案》,另外它还援引了此前政府被禁止访问类似记录案件的多项裁决。 Perez Wadsworth在声明中指出,USA Today的律师试图在法庭上对抗传票之前联系FBI。她说道:“尽管我们做出了这些努力,但我们从未收到任何实质性答复也没有收到任何有关发出传票的依据的有意义的解释。我们打算抵制传票提出的获取看了USA TODAY新闻报道的个人信息的要求。被强制告知政府网站上的内容显然违反了宪法第一修正案。” 此外,她还表示,USA Today已经要求法院撤销传票以保护USA Today读者跟该家媒体记者之间的重要关系和信任。。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
据外媒报道,美国司法部(DOJ)在一份新闻发布会上称,一名拉脱维亚妇女因涉嫌开发Trickbot恶意软件而受到指控,该恶意软件使数百万台电脑受到感染,目标是学校、医院、公共设施和政府部门。DOJ称,Alla Witte是一个名为Trickbot集团的犯罪组织的一部分,该组织在俄罗斯、白俄罗斯、乌克兰和苏里南活动。 据称,她帮助开发了用于勒索软件要求和支付的恶意软件。该部门表示,受害者将收到一份通知,通知会告知他们的电脑已被加密并被指示通过一个跟Trickbot Group相关的比特币地址购买特殊软件以破解他们的文件。 据美DOJ介绍称,恶意软件Trickbot的目的是捕获网上银行的登录凭证以获取其他个人信息–包括信用卡号、电子邮件、密码、社会安全号码和地址。DOJ称,该团伙涉嫌利用窃取的个人信息“进入网上银行账户、进行未经授权的电子资金转账并通过美国和外国的受益人账户洗钱”。 去年10月,FBI曾向医院和医疗保健供应商发出过警告,攻击者会利用Trickbot来部署Ryuk和Conti等勒索软件以构成可信的勒索软件威胁。 Witte于2月6日在迈阿密被捕。她被控19项罪名,其中包括合谋实施计算机欺诈和严重身份盗窃、合谋实施影响金融机构的电信和银行欺诈、严重身份盗窃和合谋洗钱。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
日本跨国集团富士胶片(Fujifilm)遭遇勒索软件攻击,被迫关闭了部分全球网络。该公司在其网站上发布的一份声明中写道:“富士胶片公司目前正对可能来自公司外部的非法访问进行调查。在调查进行中,部分网络被关闭并与外部通信断开”。 声明中继续写道 2021 年 6 月 1 日深夜,我们察觉到有可能受到勒索软件的攻击。为此,我们采取措施,对有可能受到影响的服务器及电脑停止运行,并断开网络连接。 我们目前正在确认其影响程度和规模。对由此带来的不便,我们向所有的客户和业务伙伴深表歉意。 由于部分网络关闭,富士胶片美国公司在其网站上增加了一个通知,称其目前遇到了影响所有形式的通信的问题,包括电子邮件和来电。在早些时候的一份声明中,富士胶片证实,网络攻击也使公司无法接受和处理订单。   (消息及封面来源:cnBeta)  
2021-06-11 12:38:42hackernews.cc
微软今天宣布,它正在收购ReFirm实验室,以提高其在各设备上的固件分析和安全能力。ReFirm实验室将为微软带来固件安全和Centrifuge固件平台方面的专业知识。这将提高微软通过Azure Defender for IoT帮助保护物联网和OT设备的能力。 ReFirm Labs是开源软件Binwalk的开发方,该软件已被用于分析数以千计的设备类型的固件安全问题,包括发现未修补的常见漏洞和暴露(CVE),安全隐患,以及插件物联网设备和嵌入式固件中的许多其他安全问题。 现代计算设备可以被认为是分立的微处理器的集合,每个微处理器都有专门的功能,如高速网络、图形、磁盘I/O、人工智能,以及两者之间的一切。智能边缘的出现加速了这些与云连接的设备的数量,这些设备包含多个专门的子处理器,每个都有自己的固件层,通常还有一个自定义操作系统。许多漏洞分析和终端检测与响应(EDR)工具发现,在固件层面上监控和保护设备具有挑战性,攻击者会利用了有吸引力的安全漏洞。 针对固件的攻击数量在增长,在这些固件中,敏感信息如证书和加密密钥被存储在内存中。最近,微软委托对1000名安全决策者进行的一项调查发现,83%的人经历过某种程度的固件安全事件,但只有29%的人正在分配资源来保护这一关键层。 确保这些设备安全的挑战始于确保供应链的安全。设备制造商通常在他们的解决方案中集成第三方软件和组件,但他们缺乏分析他们所使用的组件的工具和专业知识,因此可能在不知情的情况下运送存在安全漏洞的设备。 这就是ReFirm实验室的作用。微软认为,固件不是未来的威胁,而是随着更多的设备涌入市场并扩大可用的攻击面,现在就必须确保安全。 ReFirm实验室将加入微软,以丰富其固件分析和安全能力,这些设备构成了智能边缘,从服务器到物联网。ReFirm实验室加入微软后,将带来固件安全方面的专业知识和Centrifuge固件平台,以增强分析和帮助保护固件的能力,并以微软的云计算能力和速度为支撑。   (消息及封面来源:cnBeta)
2021-06-11 12:38:42hackernews.cc
美国联邦调查局(FBI)本周三证实,对全球最大肉类包装公司 JBS 发起持续勒索软件攻击的幕后黑手,就是臭名昭著的网络犯罪集团 REvil(又称Sodinokibi)。在事件曝光当天晚些时候发布的一份声明中,FBI 表示:“我们已经认定 JBS 攻击方为 REvil 和 Sodinokibi,正努力将攻击者绳之以法。现阶段我们的工作重点依然是处理攻击影响,并追究负责的网络行为者的责任”。 近年来,该组织因其大胆的攻击而引起网络安全生态系统内外的关注,这些攻击突破了勒索软件即服务行业的界限。在其他事件中,该组织去年试图敲诈时任总统唐纳德·特朗普,并发布或威胁出售与包括 Lady Gaga 在内的名人有关的文件。 REvil的一名代表在3月发表的一篇采访中说,该组织说它的目标是网络保险供应商,称它们是 “最美味的小菜之一”。该代表称:“尤其是先入侵保险公司,以获得他们的客户群,并在此基础上有针对性地开展工作。在你浏览完名单后,再攻击保险公司本身”。   (消息及封面来源:cnBeta)
2021-06-10 17:38:09hackernews.cc
Threat Post报道,英特尔已经发布了29个安全警告,解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC,以及有讽刺意义的英特尔自家安全库中的关键漏洞。评级较高的警告集中在CPU特权升级固件漏洞上:这对于修补和利用而言都很困难,但影响广泛,因此对聪明的攻击者很有吸引力。 英特尔的高级通信主管杰里·布莱恩特(Jerry Bryant)在周三的一篇博文中说,该公司基本上在内部挖掘出了95%的安全问题,其中一些部分来自其漏洞赏金计划和内部研究。 尽管漏洞赏金计划只占本月安全漏洞的一小部分,但到目前为止,这比2021年的正常情况要多。Chipzilla的内部安全团队发现了所处理的132个潜在漏洞中的75%,其中70%在公开披露之前就已修复。 本月的补丁集包含对各种问题的修复,其中几个被评为高严重性–包括产品的固件CPU中的4个本地权限升级漏洞;英特尔定向I/O虚拟化技术(VT-d)中的另一个本地权限升级漏洞;以及英特尔安全库中的一个可网络利用的权限升级漏洞。 英特尔的公告中还包括一个针对BlueZ的中等严重性漏洞的补丁,BlueZ是一个蓝牙软件堆栈,允许对所谓的安全蓝牙和蓝牙低能量(BLE)连接进行中间人式攻击。另一个影响英特尔CPU的中等严重性漏洞允许通过可观察到的浮点响应差异进行本地可利用的信息泄露。 对于系统管理员而言应修补系统的主板管理控制器(BMC)中的一组高威胁漏洞,它允许在2019年底发布的英特尔服务器主板M10JNP2SB系统中进行权限升级和拒绝服务攻击。   (消息及封面来源:cnBeta)