当前节点:hackernews.cc
时间节点
2021-01-27 12:29:34hackernews.cc
谷歌的威胁分析小组报告说,政府支持的黑客以朝鲜为基地,通过包括 “新型社会工程方法”在内的多种手段针对个人安全研究人员的设备。据报道,该活动已经持续了几个月,令人担忧的是,它似乎利用了未打补丁的Windows 10和Chrome漏洞。 虽然谷歌没有说明黑客攻击活动的具体目的是什么,但它指出,目标正在进行 “漏洞研究和开发”。这表明攻击者可能试图了解更多关于非公开漏洞的信息,以便在未来的国家支持的攻击中使用。黑客建立了一个网络安全博客和一系列Twitter账户,显然是想在与潜在目标互动的同时,建立和扩大其信任度。 博客的重点是写出已经公开的漏洞。同时,Twitter账户发布了该博客的链接,以及其他所谓的漏洞。据谷歌称,至少有一个所谓的漏洞是伪造的。这家搜索巨头列举了几个研究人员的机器仅仅通过访问黑客的博客就被感染的案例,即使运行最新版本的Windows 10和Chrome浏览器。 这种社会工程学攻击方法会在社交网络上主动联系安全研究人员,并要求他们合作开展工作。然而,一旦他们同意,黑客就会发送一个包含恶意软件的Visual Studio项目,该项目会感染目标电脑并开始联系攻击者的服务器。攻击者使用了一系列不同的平台来寻找目标–包括Telegram、LinkedIn和Discord与潜在目标进行沟通。谷歌在其博客文章中列出了具体的黑客账户,任何与这些账户互动的人都应该扫描他们的系统,看看是否有任何迹象表明他们已经被入侵,并将他们的研究活动与其他日常使用的电脑分开。 这次活动是安全研究人员被黑客盯上的最新事件。去年12月,美国一家大型网络安全公司FireEye披露,它已被国家支持的攻击者入侵。在FireEye的案例中,被黑客攻击的目标是其用于检查客户系统漏洞的内部工具。           (消息来源:cnBeta;封面源自网络)
2021-01-27 12:09:34hackernews.cc
据外媒报道,当地时间周二上午,PSafe的网络安全实验室dfndr报告称,巴西的一个数据库发生了一起重大泄密事件,数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿。 泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF–包括当局。在一份新闻稿中,dfndr实验室主任Emilio Simoni指出,最大的风险是这些数据会被用于网络钓鱼诈骗,其将会诱使人们在一个虚假页面上提供更多的个人信息。 据了解,超1.04亿辆汽车的信息会曝光重要的细节如汽车的底盘号、牌照、所在城市、颜色、品牌、型号、生产年份、发动机容量乃至使用的燃料类型。在公司方面,,泄露的信息则包括了CNPJ、企业名称、商号名称、成立日期。 另外,Simoni指出,由于这些信息对市场来说是宝贵的信息,所以它们被认为会被在某些暗网络论坛进行非法交易。此外他还表示,网络犯罪分子会出售最深入的数据如电子邮件、电话、购买力数据和受影响人群的职业等。 在这份声明中,PSafe既没有说明涉案公司的名称也没有说明信息是如何泄露的。根据该国的新《数据保护安全法》规定,对此类违规行为可以处以最高可达5000巴西雷亚尔的罚款处罚。         (消息及封面来源:cnBeta)
2021-01-27 12:09:34hackernews.cc
根据Motherboard的报道,有人掌握了一个包含大量Facebook用户手机号码的数据库,现在正利用Telegram机器人出售这些数据。发现这个漏洞的安全研究人员Alon Gal表示,运行这个机器人的人声称掌握了5.33亿用户的信息,这些信息来自于Facebook的一个漏洞,该漏洞在2019年被修复。 对于很多数据库来说,要找到任何有用的数据都需要一定的技术能力。而且拥有数据库的人和想要从数据库中获取信息的人之间往往要有互动,因为数据库的 “主人 “不会随便把那些有价值的数据交给别人。然而,制作一个Telegram机器人,就解决了这两个问题。 这个机器人可以让别人做两件事:如果他们有一个人的Facebook用户ID,就可以找到这个人的手机号码;如果他们有一个人的手机号码,就可以找到他们的Facebook用户ID。当然,虽然真正获得人们要找的信息是要花钱的–解锁一个信息,比如手机号码或Facebook ID,需要一个信用点,机器人背后的人以20美元的价格出售。根据Motherboard的报告,还有批量定价,1万个信用点的售价为5000美元。 根据Gal发布的截图,这个机器人至少从2021年1月12日开始运行,但它提供的数据是2019年的。尽管数据是以前的,但人们不会那么频繁地更换手机号码。这对Facebook来说尤其尴尬,因为它历史上收集了包括开启双因素认证的用户在内的人的手机号码。 目前不知道Motherboard或安全研究人员是否已经就此事联系了Telegram。         (消息及封面来源:cnBeta)  
2021-01-25 10:28:19hackernews.cc
2021 年 1 月 20 日,微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告,并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中,SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染,导致包括微软在内的数以万计的客户,在部署更新后受到了不同程度的影响。 在这篇报告中,微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先,在每台机器上的 Cobalt Strike 动态链接库(DLL)植入都是唯一的,以避免恶意软件自身被筛查到任何重复的痕迹。 其次,攻击者重用了文件、文件夹、导出功能的名称,辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化,同样出现在了不可执行的部分,比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查,显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段,在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋,还显得相当具有耐心。比如为了避免被检测到,它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表,以禁用特定安全服务进程的自动启动。在切实的攻击发起之前,恶意软件会非常耐心地等待计算机重新启动。 最后,微软指出了 Solorigate 攻击者的其它聪明之处,比如仅在工作时间段内对系统发起攻击,因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作,安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解,辅以历史数据和强大的分析工具,才能尽早地对异常状况展开调查。           (消息来源:cnBeta;封面源自网络)
2021-01-22 13:06:20hackernews.cc
一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞(CVE-2020-14882),修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险,对系统以下条目进行排查: 文件: Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程: network01 sysrv   定时任务: 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com
2021-01-21 17:05:47hackernews.cc
据外媒报道,当地时间周二,白宫方面表示,即将卸任的特朗普总统签署了一项行政命令,旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则,从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露,美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击,但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职,而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此,拜登的过渡团队方面没有立即回应置评请求。           (消息及封面来源:cnBeta)
2021-01-21 13:25:38hackernews.cc
欧洲药品管理局周五表示,黑客不仅从该机构的服务器上窃取了 COVID-19 疫苗文件,还对泄漏到网络上的文档进行了“篡改”。据悉,作为疫苗审批程度的一部分,该机构不仅负责着欧盟 27 个成员国的药品监管工作,还拥有大量与 COVID-19 有关的机密数据。 然而一项正在进行中的调查显示,黑客从 11 月开始就收到了与实验性冠状病毒疫苗评估相关的电子邮件和文件。总部位于荷兰的欧洲药品管理局写道: 某些函件已在黑客向外界公布前被篡改,从而破坏了人们对于疫苗的信任。我们已经注意到,某些通信并非以完整 / 原始的形式发布,而是被黑客篡改或添油加醋。 虽然 EMA 没有明确提及哪些信息,但网络安全专家指出,这种做法具有假冒政府发起虚假宣传活动的典型特征。 意大利网络安全公司 Yarix 表示,早在 2020 年 12 月 30 日,他们就已经在某个‘众所周知’的地下论坛看到了所谓的爆料。 发布者还拟了个相当耸人听闻的标题 ——《令人惊讶的欺诈!邪恶的片子!假疫苗!》—— 然后此事开始在暗网和其它网站上流传。 网络犯罪分子的意图很是明确,即通过刻意编造的泄露事件,对欧洲药品管理局和辉瑞等疫苗研发企业的声誉造成重大损害。 此外网络安全顾问 Lukasz Olejnik 表示,黑客背后或许还有更多不可告人的秘密: 我担心此类‘爆料’会引发整个欧洲的人们对 EMA 药物审查和疫苗接种流程的极大不信任,虽然尚不清楚谁是幕后主使,但明显有人决定为此事投入大量资源。 这种针对药物审核材料的抹黑攻击操作可谓是前所未见,如果被幕后黑手得逞,最终可能导致对欧洲人的健康产生广泛而负面的影响。 去年 12 月,总部位于阿姆斯特丹的 EMA 还曾遭到德国等欧盟成员国的严厉批评,埋怨其未能更快的批准新冠疫苗的上市。 至于针对最新的黑客攻击事件的调查进展,EMA 表示执法部门正在针对本次黑客攻击事件采取必要的行动。         (消息及封面来源:cnBeta)
2021-01-20 17:45:09hackernews.cc
美国网络安全企业 Malwarebytes 今日表示,该公司于去年遭受了针对 SolarWinds 的同一黑客组织(UNC2452 / Dark Halo)的入侵。虽然本次入侵无关于 SolarWinds 被恶意软件感染的 IT 管理工具,但黑客还是利用 Azure 活动目录漏洞和恶意的 Office 365 应用程序,对 Malwarebytes 的内部系统造成了破坏。 Malwarebytes 表示,在 2020 年 12 月 15 日接到了微软安全响应中心(MSRC)的通报后,该公司才获悉自家网络被入侵。 当时微软正对其 Office 365 / Azure 基础架构展开搜查,以查找由 SolarWinds 黑客(UNC2452 / Dark Halo)创建的恶意应用程序的蛛丝马迹。 Malwarebytes 联合创始人兼首席执行官 Marcin Kleczynski 表示,在得知此事的第一时间,他们就立即对该漏洞展开了内部调查,以确定被黑客染指了哪些内容。 此前由于 SolarWinds 的应用程序封包服务器被 Sunburst 恶意软件感染,导致 SolarWinds 的数万客户都被感染后的 Orion IT 管理软件所影响。 经过广泛调查,其确定攻击者仅访问了公司内部电子邮件的一部分。此外在对所有产品及源码展开彻底审查后,Malwarebytes 确定旗下产品并未受到影响。 Kleczynski 补充道:“没有任何证据表明我司内部系统有遭受任何本地或生产环境的未经授权访问或损害,Malwarebytes 的软件仍可被安全使用”。 据悉,在 Malwarebytes 之前,FireEye、微软和 CrowdStrike 也都表示遭到了 SolarWinds 入侵事件幕后黑手的网络攻击。             (消息及封面来源:cnBeta)
2021-01-20 17:45:09hackernews.cc
在今日发布的一份报告中,网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时,FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具,以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前,FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时,FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络,并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst(或 Solorigate)的恶意软件,被用于收集受害企业的内部信息。遗憾的是,部署 Orion 应用程序的 1.8 万个 SolarWinds 客户,其中大多数人都忽略了木马的存在。 在初步得逞后,攻击者部署了第二款名叫 Teardrop 的恶意软件,然后利用多种技术手段,将黑手延伸到了企业内网和云端(尤其是 Microsoft 365 基础设施)。 在今日长达 35 页的报告中,FireEye 更详细、深入地介绍了这些后期攻击手段,以及企业能够实施的检测、修复和增强策略。 (1)窃取活跃目录的 AD FS 签名证书,使用该令牌伪造任意用户(Golden SAML),使得攻击者无需密码或多因素身份认证(MFA),即可染指 Microsoft 365 等资源。 (2)在 Azure AD 中修改或添加受信任的域,使得攻击者控制的新身份(IdP),进而伪造任意用户的令牌(又称 Azure AD 后门)。 (3)染指高特权用户账户(比如全局或应用程序管理员的 Microsoft 365 资源),接着同步本地用户账户的登录凭据。 (4)通过添加恶意凭证来劫持现有 Microsoft 365 应用程序,以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出,尽管 SolarWinds 黑客(又称 UNC2452)采取了各种复杂的手段来掩饰自己,但相关技术仍可被检测和阻挡在外。 事实上,FireEye 也在自己的内网中检测到了相关技术,然后分析了其它企
2021-01-20 17:45:09hackernews.cc
根据一份新的报告,五分之一的老板在员工不知情情况下监控着员工浪费时间的行为。在Metro一份报告中,工会警告说,雇主正在利用新冠疫情限制来秘密监控远程工人。每五家公司中就有一家承认窥探员工或计划在未来这样做。 这份报告表示,许多雇主正在投资于科技,对雇员进行微观管理,并自动决定雇佣谁解雇谁。在工作中使用监控时必须适当地征求员工的意见,并保护他们免受算法的不公平管理。目前的监控方法包括检查员工阅读和回复信息所需的时间。最令人担忧的说法是,一些老板通过网络摄像头偷偷观察员工。除了显而易见的隐私问题外,雇员还可能面临不公平的纪律处分。 YouGov/Skillcast对2009家公司的调查显示,12%的公司表示他们已经引入了远程监控。在大型公司情况下,这一数字跃升至16%,8%的公司考虑采取这一行动。根据TUC的研究,七分之一的员工自从开始在家工作以来,他们被监控的次数就增加了。在英国如果怀疑员工违法,公司可以在员工不知情的情况下对其进行监控。许多科技巨头都从远程工作浪潮中受益,我们已经看到它们挑战隐私界限的例子。例如,微软在外界对侵犯性表示反感后,改变了其生产力评分工具。         (消息来源:cnBeta;封面源自网络)
2021-01-19 10:44:21hackernews.cc
在12月底突然停止运营后,俄罗斯加密货币交易所Livecoin宣布关闭。据Livecoin主页显示,由于2020年底其服务器遭到攻击,造成财务和技术损失,该交易所无法继续运营。Livecoin于1月16日在Twitter上宣布关闭,其新域名liveco.newsLivecoin和旧域名Livecoin. net已不可用。 Livecoin表示,公司正在努力“将剩余资金”支付给客户,用户需通过电子邮件与该交易所联系,以完成核实工作,必须在平台上发送他们的用户名和注册日期。交易所承诺将在回件中提供详细指示,2021年3月17日之前均有效。但没有具体说明何时偿还客户资金。 Livecoin还警告用户注意非官方的Livecoin聊天群组可能传播虚假信息,并试图欺骗用户。Livecoin 写道: “参加此类群聊的风险很高,因为我们没有任何官方组织。” Livecoin声称其网站是官方信息的唯一来源。该公司还表示,正在进行调查。 Livecoin在12月24日停止了运营,声称交易所遭受了“精心策划的攻击” ,导致其失去了对所有服务器的控制。黑客们设法接管了Livecoin的基础设施,并将交易所的价格调整到异常高的水平。据报道,Livecoin 的比特币交易价格超过30万美元,而当时的市场价格约为2.4万美元。一些用户随后暗示 Livecoin 的“黑客”可能是一个退出骗局。 一些报道称用户猜测Livecoin的最新声明可能是由黑客发布的,而其他用户正向当地执法部门投诉。一些用户出于隐私考虑拒绝向Livecoin发送个人数据。一位据称是平台用户的人提供了Livecoin报销程序所需的数据清单,包括护照扫描、居住信息、高分辨率自拍、关于交易所第一笔交易的数据等等。           (消息及封面来源:cnBeta)
2021-01-19 10:24:18hackernews.cc
这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows 10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。 BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中,微软表示。”微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新”。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。           (消息及封面来源:cnBeta)
2021-01-19 10:24:18hackernews.cc
据外媒CyberScoop报道,虽然俄罗斯网络犯罪黑社会的大部分是一个谜团,但有一种技术却充当了贯穿整个谜团的关键共同链接,它就是Jabber。根据安全公司Flashpoint的最新研究,在一个尖端技术、创意和犯罪的领域,这个已有18年历史的即时通讯工具是讲俄语的网络罪犯最流行的交流工具。 虽然Jabber已经在俄罗斯社区占据了主导地位,但与此同时,它在世界各地的网络罪犯中也变得越来越受欢迎。 这不仅是对技术质量的证明也是对俄罗斯黑客趋势的影响的证明。 “在网络犯罪经济中,Jabber被视为沟通的黄金标准,”安全公司Flashpoint高级研究员Leroy Terrelonge III告诉CyberScoop。 Jabber(同时也被叫XMPP或Extensible Messaging and Presence Protocol)是一个开源的联合即时通讯工具,拥有数千个独立服务器和遍布全球的1000多万名用户。该技术运行在HipChat、索尼PS视频聊天应用和Electronic Arts的Origin等主流产品的幕后。而拥有超10亿用户的WhatsApp使用的则是XMPP的一个变体。记者和隐私保护积极分子在该平台上通常都会有属于自己的账号。 Terrelonge说指出,有俄罗斯人作为先锋,“Jabber在网络犯罪社区有着光明的未来。” Jabber对企业来说有用的诸多因素也是使其成为犯罪分子的理想选择的原因之一。该技术支持强大的加密和一系列高安全特性,再加上其开放性从而提高了它在后斯诺登时代的吸引力。 Jabber创建于1999年,经过十多年的发展拥有了数百万名用户。然而从2013年开始,随着世界越来越强烈地意识到网络上的大规模黑客攻击和监视活动,采用这种技术的人越来越多。在俄罗斯,用户最终开始放弃20世纪60年代的即时通讯工具ICQ转而使用Jabber提供的高级安全功能。据悉,ICQ主导了俄罗斯的在线交流近20年时间。在那里,下载并安全地使用带有非公开加密的信息并不是什么大问题。 对于不太成熟的网络罪犯,微软的通讯应用Skype通常就足够了。但即使是在Skype占主导地位的网络犯罪社区,Jabber也已经取得了进展,更老练的黑客则将其整合到Skype中。 Jabber的联盟意味着任何人都可以打开服务器并按照自己认为合适的方式运行。这对那些担心公司跟政府密切合作的罪犯来说极具吸引力,尤其在美国。一些Jabber
2021-01-18 10:23:39hackernews.cc
微软正努力修复存在于 Windows 10 系统中的关键 NTFS 漏洞。当用户打开 HTML 文件、Windows 快捷方式或者解压缩包含单行命令的 Zip 文件时候,这个漏洞可能会损坏用户的磁盘。在该漏洞被触发的时候,用户就会看到一个弹出窗口,表示他们需要重启电脑来修复硬盘错误,以便于重启时启动 Windows 检查磁盘实用程序来修复损坏的磁盘。 这个漏洞事实上是在两年前,由前 CERT 协调中心的安全研究员 Will Dorman 发现的。他表示 Windows 10 Version 1803 及此前版本并不受该漏洞影响,但是 Windows XP 也存在这个问题。这个漏洞相当严重,因为它可以隐藏在一个随机的文件中,并瞬间破坏你的硬盘驱动器。 更糟糕的是,Bleeping Computer发现,当Windows文件资源管理器简单地显示一个损坏的快捷方式,将恶意命令隐藏在文件夹中时,它也可以被触发。报告解释说:“为了做到这一点,Windows资源管理器会试图在后台访问文件内的手工图标路径,从而在这个过程中破坏NTFS硬盘驱动器”。 微软终于在给The Verge的一份声明中承认了这一关键漏洞,并承诺在未来的更新中进行修复。微软发言人说:“我们知道这个问题,并将在未来的版本中提供更新。这种技术的使用依赖于社交工程,我们一如既往地鼓励我们的客户在网上养成良好的计算习惯,包括在打开未知文件、或接受文件传输时谨慎行事”。         (消息来源:cnBeta;封面源自网络)
2021-01-18 10:03:39hackernews.cc
欧洲药品管理局(EMA)警告称,与COVID-19相关的药品和疫苗的信息已于去年12月在一次网络攻击中被盗,并于本周早些时候在网上泄露,其中包含在发布前已被篡改的信函,“以破坏公众对疫苗的信任”。目前还不清楚这些信息–包括药物结构示意图和与COVID-19疫苗的评估过程有关的信件–究竟是如何被篡改的。 安全研究人员Lukasz Olejnik通过Twitter提出了对此次泄密事件的担忧,他表示,这些被篡改的数据将是 “播种不信任的最佳选择”,因为泄密信件中涉及的生物技术语言不会被广泛获取。同样,正确解析数据所需的高专业门槛似乎也有可能通过限制其病毒式的吸引力来限制被操纵版本的破坏程度。           (消息来源:cnBeta;封面源自网络)
2021-01-15 12:06:21hackernews.cc
一、背景 云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊,网络环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。 与此同时,各类数字加密货币价格迎来暴涨,2020年初至今,比特币价格一度超过了4万美元/BTC,是2019年底的10倍之多,达到了历史最高点,比特币一度摘取2020年度最佳持有资产的头衔。受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。 根据腾讯安全威胁情报中心态势感知系统提供的数据,近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。 二、威胁情报数据 腾讯安全态势感知数据显示,近期与挖矿相关的恶意样本检出、IP、Domain广度热度,探测到的挖矿威胁数量均有不同程度的上升。 1、腾讯安全智能AI引擎检测到的挖矿木马样本量呈明显上涨 2、腾讯安全态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势 3、腾讯安全智能分析系统部署的探针检测到云上挖矿威胁也有较大幅度上涨 三、近期典型挖矿事件 1、挖矿事件应急处置 腾讯安全工程师会对捕获到的有一定影响力的安全事件进行应急处置,对腾讯安全全系列产品进行安全策略升级,以覆盖最新的威胁防御、威胁检测和威胁清理能力;其中影响范围较大的病毒变种或新病毒家族会对外发布详细的病毒分析报告,给出具体的防御和清理建议,向广大用户和安全同行进行通告和预警。 根据腾讯安全威胁情报中心运营数据,从2020/12/9至2021/1/9间的一个月时间内,上述需要人工参与应急处置的挖矿相关事件从平均每日2例增长到了每日5例,有较明显增长。 2、老挖矿木马家族更加活跃 在处置安全事件过程中我们发现,老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃,并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码: 2020年12月22日,H2Miner挖矿木马家族利用Post
2021-01-15 11:26:15hackernews.cc
谷歌今天发布了由六份博文组成的系列安全报告,详细介绍了在 2020 年初检测到的一个复杂黑客活动,攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击(watering hole attacks)发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出:“其中一台服务专门针对 Windows 用户,而另一台则针对 Android 用户”。谷歌表示,这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入,攻击者就会部署操作系统级别的漏洞,以获得受害者设备的更多控制权。该漏洞链使用了多个 Zero-Day 和 N-Day 漏洞,Zero-Day 漏洞指的是软件制造商不知道的漏洞,N-Day 漏洞指的是已经打过补丁但仍在野外被利用的漏洞。 谷歌表示,虽然他们没有发现任何安卓零日漏洞托管在漏洞服务器上的证据,但其安全研究人员认为,威胁行为人很可能也能获得安卓零日漏洞,但很可能在其研究人员发现时,并没有将其托管在服务器上。 总的来说,谷歌将这些利用链描述为“通过其模块化设计来提高效率与灵活性”。谷歌表示:“它们是精心设计的复杂代码,具有各种新颖的利用方法,成熟的日志记录,复杂和计算的后利用技术,以及大量的反分析和目标检查”。 CVE-2020-6418 – Chrome Vulnerability in TurboFan (fixed February 2020) CVE-2020-0938 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1020 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1027 – Windows CSRSS Vulnerability (fixed April 2020)         (消息来源:cnBeta;封面源自网络)
2021-01-15 11:26:15hackernews.cc
据一组独立安全研究人员称,联合国环境规划署(简称“环境署”)所属GitHub库的一个漏洞暴露了超过10万条员工记录,包括个人身份信息、联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一个新的道德黑客组织Sakura Samurai在其报告中指出,这些漏洞源于一个暴露GitHub存储库凭证的终端。 “这些凭证让我们有能力下载GitHub库,识别出大量的用户凭证和个人身份信息。我们总共识别了超过10万条私人员工记录。”该小组的安全研究人员之一John Jackson说。 分析还显示,在联合国拥有的名为ilo.org的网络服务器上有多个.Git目录。Jackson在报告中写道:“这些.Git内容就可以用各种工具(如’git-dumper’)进行外泄。” 据Sakura Samurai报道,在研究人员将他们的发现通知给联合国后,该国际组织修复了该漏洞,GitHub库已无法访问。目前无法立即联系到联合国发言人发表评论。研究人员还指出,虽然没有证据表明有威胁行为者访问了这些数据,但这样做相对容易。 研究人员首先接管了属于联合国国际劳工组织的一个MySQL数据库和一个调查管理平台,开始了他们的行动。然后,该小组分析了MySQL数据库中的域,找到了UNEP的子域,这让他们找到了GitHub的凭证。 “最终,一旦我们发现了GitHub凭证,我们就能够下载很多受密码保护的私人GitHub项目,在这些项目中,我们发现了UNEP生产环境的多套数据库和应用凭证,”Jackson指出。 暴露的数据包括超过102000条联合国员工的记录,包括员工的身份证号码、姓名和其他敏感数据。报告称,还可以访问7000多条员工国籍记录、1000多条普通员工记录、项目和资金数据以及环境署项目的评估记录。 研究人员还指出,他们能够找到更多U.N.GitHub库的凭证,这可能导致更多未经授权的访问多个U.N.数据库。“我们决定停止并报告这个漏洞,一旦我们能够访问通过数据库备份暴露的私人项目中的(个人身份信息),”Jackson写道。 GitHub存储库中暴露的员工数据可能会给联合国带来重大的网络威胁。“对员工数据泄露的主要担忧是,在对员工本身以及与他们互动的任何商业伙伴进行高度针对性的后续社会工程攻击时有用,”安全公司Cerberus Sentinel的解决方案架构副总裁Chris Clements说。 “所披露的管理凭证很可能已
2021-01-15 11:26:15hackernews.cc
据杭州市人民政府新闻办公室消息,1月13日,杭州市通报近期查处两起涉疫网络违法案件,其中一起通报案件为41岁的男子擅自研发“健康码演示”APP并上传至应用市场,扰乱社会秩序,已被警方采取刑事强制措施。 据杭州市人民政府新闻办公室通报,经杭州市公安机关查明,安某某(男,40岁)于2021年1月4日未经核实将一个有关“因疫情原因,浙江杭州将于今日18时关闭11个高速路口”的虚假视频信息在微信和抖音上进行转发散布,严重扰乱了社会秩序。目前,安某某已被江干区公安分局处以行政拘留7天的处罚。 在另一起通报的案件中,解某某(男,41岁)于2020年4、5月份擅自研发“健康码演示”APP并上传至应用市场,严重扰乱了社会秩序。目前解某某已被西湖区公安分局采取刑事强制措施,案件在进一步侦办。           (消息来源:cnBeta;封面源自网络)
2021-01-15 11:26:15hackernews.cc
欧洲药品管理局(EMA)周二宣布,黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示,一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露,”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示,EMA已经通知这些公司,一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹,是欧盟的一个主管卫生健康的机构,负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗,并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查,并通知任何其他实体和个人,他们的文件和个人数据可能已经受到未经授权的访问,”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作,与COVID-19药品和疫苗的评估和批准相关的时间表不受影响,”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者,同时美国和世界各地的医院也成为勒索软件攻击的受害者,在某些情况下对服务产生了负面影响。         (消息及封面来源:cnBeta)
2021-01-13 11:32:15hackernews.cc
一、概述 受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。腾讯安全专家建议政企机构安全运维人员及时修补漏洞,排查弱口令,避免服务器沦为黑产控制的肉鸡。 在本例中,部分政企机构使用Redis时,由于没有对redis进行良好的配置,如使用空口令或者弱口令等,导致攻击者可以直接访问redis服务器,并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 自查处置建议 腾讯安全专家推荐的修复建议: 1.针对未配置redis密码访问的,需要对其进行配置添加用户和密码访问。针对弱口令则需要使用强密码。 2.如非必须,不对外开放redis端口,如需要对外开放服务则正确配置好ACL策略。 清理利用漏洞入侵的挖矿木马 1.清除计划任务中的python3.8m.sh相关条目; 2.在确认JavaUpdate和mysqlserver进程异常后,将其kill掉; 3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc 文件夹。 腾讯安全响应清单 针对supermanminer系列挖矿木马的活动,腾讯安全各产品均已响应拦截。 详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)SupermanMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)SupermanMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/a
2021-01-13 10:32:15hackernews.cc
在对 SolarWinds 事件的深入调查中,微软发现部分内部帐号被黑客获取,并访问了公司的部分源代码。而现在,有一名黑客以 60 万美元的价格出售 Windows 10 源代码,但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息,他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听,并非真正有这些源代码访问。 微软证实,黑客能够查看,但不能改变部分产品的源代码,并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示,查看源代码并不会增加风险,因为该公司并不依赖源代码的保密性来保证产品的安全。         (消息来源:cnBeta;封面来自网络)
2021-01-13 10:32:15hackernews.cc
一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)
2021-01-13 10:32:15hackernews.cc
微软发布了新版本的Windows 10 Sysinternals工具Sysmon,该工具可以用来检测黑客将恶意代码注入合法的Windows进程中,以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动,可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。 进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么。 进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时,它将看到一个无害的文件,而恶意代码却大摇大摆地在内存中运行而不被发现。 该技术被已知的恶意软件使用,包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。 要启用进程篡改检测,管理员需要在配置文件中添加’ProcessTampering’配置选项。你可以在这里阅读Sysinternals网站上的文档。 您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。       (消息来源:cnBeta;封面源自网络)
2021-01-13 10:32:15hackernews.cc
据外媒报道,在美国国会大厦遭特朗普总统支持者暴力袭击之后,一位独立研究员开始对Parler上的用户帖子进行编录。Parler一开始是为保守用户提供发表“自由言论”的避风港的平台,然而最终却沦为了极右阴谋论、无节制种族主义和针对杰出政客死亡威胁的温床。 这名要求用Twitter账号@donk_enby来介绍她的研究员一开始的目标是将1月6日国会大厦暴乱那天起的所有帖子存档,这被她称之为是一组显示有罪的证据。而根据大西洋理事会的数字法医研究实验室和其他消息来源,Parler是叛乱分子用来协调他们破坏国会大厦的几个应用之一,他们计划推翻2020年的选举结果从而让唐纳德·特朗普继续掌权。 @donk_enby希望创建一个持久的公共记录以供未来的研究人员筛选,于是她从暴乱发生当天开始将帖子存档起来。 在睡眠很少的情况下,@donk_enby开始存档Parler的所有帖子并最终获取了约99%的内容。周日早些时候,@donk_enby在Twitter上发文称,她正在爬取110万个Parler视频url。“这些是上传到Parler的原始、未处理的原始文件以及所有相关的元数据,”她写道。@donk_enby确认原始视频文件包含GPS元数据,其提供了拍摄视频的确切位置,现在该数据容量已经超过了56TB。 @donk_enby随后分享了一个截图,其显示了特定视频的GPS位置以及经纬度坐标。 这对隐私的影响是显而易见的,但大量的数据也可能成为执法部门的肥沃狩猎场。据悉,美国联邦政府和地方政府最近几天已经逮捕了数十名被控参与国会大厦暴乱的嫌疑人。在国会大厦骚乱中,一位名叫Brian Sicknick的警官头部因被灭火器击中而身受致命伤。 @donk_enby称自己是黑客,用欧洲最大的黑客协会Chaos Computer Club的定义来解释,她是一个对技术有创造性但又持怀疑态度的人。“我希望这是对那些说黑客行为不应该带有政治色彩的人的一大竖中指。”@donk_enby说道。实际上,@donk_enby的工作确实帮助到其他研究人员,包括纽约大学网络安全中心的一名研究人员。 @donk_enby的工作记录被储存在ArchiveTeam.org网站上,据其介绍,说这些数据最终将由互联网档案馆托管。 @donk_enby告诉Gizmodo,在Parler否认了黑客活动人士Kirtner发现的邮件泄露事件后,她开始调这家公司。Kirtner被认为是
2021-01-12 16:51:44hackernews.cc
在 WhatsApp 近日更新的隐私政策条款中,用户被告知他们的数据将会和 Facebook 以及其他公司共享。虽然用户现在可以选择退出,但在 2 月 8 日之后将会变成强制性要求。现在,微软的社交媒体团队也调侃了本次事件,并建议用户迁移到 Skype。 在 Skype 官方发布的推文中写道:“Skype 尊重你的隐私,我们我们致力于保护你的个人数据隐私,不会向第三方出售”。此外,该网址还指向微软的隐私政策声明,其中概述了该公司从用户那里收集什么样的数据以及如何使用这些数据。这是一个冗长的页面,大多数人都会忽略,但如果你确实因为隐私问题而考虑从WhatsApp迁移,建议你去看一看。     (消息来源:cnBeta;封面来自网络)
2021-01-12 16:51:44hackernews.cc
彭博社报道,土耳其目前已经就更新的隐私政策对Facebook和WhatsApp展开了反垄断调查。WhatsApp在新年伊始更新了其隐私政策,用户在打开应用时通过弹出消息通知,他们的数据现在将在2月8日开始与Facebook和其他公司共享。 土耳其反垄断委员会对Facebook和WhatsApp进行了调查,因为新的使用条款引发了人们对隐私的关注,监管机构周一表示,它还表示正在停止执行这些条款,根据声明,新条款将导致 “更多数据被Facebook收集、处理和使用”。 然而,怀疑论者担心,这项调查是否是政府遏制异见的又一举措。土耳其总统塔伊普·埃尔多安过去几年一直以 “消除不道德”为幌子,加强政府对社交媒体的控制。 去年7月,他对他的正义与发展党成员说:”你们明白我们为什么反对YouTube、Twitter和Netflix等社交媒体吗?为了杜绝这种不道德的行为”。这是否是对WhatsApp更新政策的真正批评,还有待观察。不过,一旦调查在未来几个月内开始运作,事情应该会变得更加清晰。       (消息及封面来源:cnBeta)
2021-01-12 10:11:32hackernews.cc
据外媒报道,Ubiquiti是最大的网络设备销售商之一,其销售产品包括路由器、网络摄像头和网状网络。近日,这家公司提醒客户注意数据泄露问题。这家科技公司在周一发给客户的一封简短电子邮件中表示,它意识到第三方云供应商托管的系统遭到了未经授权的访问。 Ubiquiti没有透露这家云计算公司的名字也没有说明何时发生了泄露和导致这次安全事件发生的原因。但这家公司证实,它不能确定客户数据没有被泄露。 邮件中写道:“这些数据可能包括您的姓名、电子邮件地址和单向加密密码。如果您向我们提供了您的地址和电话号码,这些数据也可能包括您的地址和电话号码。” 虽然邮件说密码被打乱了,但该公司表示,用户还是应该更新自己的密码并启用双重身份验证,这样黑客就更难获取密码并利用它们入侵账号。 据悉,Ubiquiti账号用户可以通过web远程访问和管理自己的路由器和设备。 这家网络公司在发出这封邮件后很快在其社区页面上发帖确认客户收到的邮件是真实的,而在此前有几位客户抱怨这封邮件中出现了一些拼写错误。       (消息来源:cnBeta;封面源自网络)
2021-01-11 10:31:03hackernews.cc
据外媒报道,新西兰央行周日表示,该行的一个数据系统已被一名身份不明的黑客入侵,该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说,新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示,漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示:“我们正在与国内和国际网络安全专家和其他相关部门密切合作,作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中,但可能包括一些商业和个人敏感信息,”Orr补充道。 在银行完成初步调查之前,该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间,我们正在与信息可能被访问的系统用户合作,”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间,也不清楚是否有任何迹象表明谁是责任人,以及文件共享服务是在哪个国家。 在过去的一年里,新西兰的几个主要机构都成为了网络干扰的目标,其中包括新西兰证券交易所,该交易所的服务器在8月份遭网络黑客攻击,连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台,银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的,政府机构是不会支付你的赎金或其他什么的,所以你更感兴趣的可能是从政府对政府的层面来的,”Parry说。           (消息来源:cnBeta;封面来自网络)
2021-01-08 14:32:40hackernews.cc
Solarwinds 大规模黑客攻击要比预想的要糟糕,近日美国司法部承认由 Microsoft 365 提供的电子邮件服务被入侵。在一份声明中,美国司法部承认有 3% 的邮箱被黑客入侵。不过本周三,司法部发言人 Marc Raimondi 表示:“目前我们没有迹象表明任何机密系统受到影响”。 根据目前的统计数据,已经有超过 1.8 万家企业因 Solarwinds 而被黑客入侵,美国联邦调查局和美国国家安全局都将此次攻击归咎于高级持续性威胁(APT)行为者,很可能是俄罗斯。司法部已根据《联邦信息安全现代化法案》宣布此次黑客攻击为重大事件,并表示将根据联邦机构,国会和公众的需要继续公开相关内容。         (消息来源:cnBeta;封面来自网络)
2021-01-08 14:32:40hackernews.cc
外媒The Verge援引《华尔街日报》报道称,发现自己受到SolarWinds黑客攻击影响的美国公司和机构名单还在不断增加,他们正在努力应对黑客入侵的一个巨大未知数:攻击程度有多严重。联邦司法系统现在很可能是其中之一,它不会冒任何风险。该机构对此十分担心,尽管目前疫情严重,但法院工作人员现在必须亲自送达敏感文件。 “根据今天宣布的新程序,向联邦法院提交的高度敏感的法院文件(HSDs)将以纸质形式或通过安全的电子设备被接受,并存储在一个安全的独立计算机系统中。这些密封的HSDs将不会上传到CM/ECF。” 这里的信息很清楚:在弄清楚黑客对系统做了什么之前,司法机构不希望其最敏感的文件出现在系统上,并且愿意在提交文件的过程中增加不少摩擦。他们不能再仅仅通过互联网发送,他们必须亲手递送实际的纸张或U盘。 “我们完全理解采取这些措施的实际影响,以及这些措施将给法院带来的行政负担,但是,任何这种负担都比保护有可能被泄露的密封文件的机密性的需要更重要。” 有关文件不一定是日常法庭诉讼的常规密封记录。《华尔街日报》的文章指出,HSDs可能包含调查人员如何处理案件的详细解释,以及目前可能被监视的人的信息。了解这些信息可以帮助某人避免被发现或调查,这就是为什么要保证这些信息的安全。 虽然这些措施表明,司法机构认为不能信任其现有的网络,但公众对法庭记录的访问不会改变。任何本来可以公开的记录仍然会被上传到案件管理和电子案卷系统中。         (消息来源:cnBeta;封面来自网络)
2021-01-08 11:12:36hackernews.cc
Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。 电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始,它们均会检索使用Allatori Java混淆器加扰的JAR文件(“ Spec#0034.jar”)。 第一阶段下载程序将Node.Js平台设置到系统上,下载并执行称为“ wizard.js”的第二阶段下载程序,该程序负责持久获取并运行Qnode RAT(“ qnode-win32-ia32。 js”)。 QRAT是典型的远程访问木马,具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报,该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着,一旦用户单击“确定”按钮,该样本的恶意行为就会开始显现。 此外,JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序,更新的恶意软件链可立即获取QRAT有效负载(现称为“ boot.js”)。 就其本身而言,RAT除了通过VBS脚本负责保持在目标系统上的持久性外,还使用了base64编码对代码进行了加密。 Topera总结说:“自我们首次检查以来,该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 Hack
2021-01-08 11:12:36hackernews.cc
捷克软件开发公司JetBrains今天声明,否认 《纽约时报》和《华尔街日报》 刊登的JetBrains涉嫌参与SolarWinds黑客攻击事件的报道。 调查人员认为,黑客将JetBrains的产品命名为TeamCity,该产品是用于将组件组装到软件应用程序中的CI / CD(持续集成/持续开发)服务器。 JetBrains首席执行官马克西姆·沙菲罗夫(Maxim Shafirov)发表博客表示: “ SolarWinds是我们TeamCity的用户,这是用作构建软件的持续集成和部署系统 。” 他补充说:“ SolarWinds或政府机构尚未与我们联系,提供有关违规的任何详细信息。我们会给予充分的合作。” 但俄罗斯JetBrains首席执行官并没有完全排除其产品被SolarWinds黑客滥用的可能性。 这位高管说:“要强调TeamCity是需要适当配置的产品。如果TeamCity被滥用,那很可能是由于配置错误,而不是特定的漏洞。” 我们仍不清楚所谓的JetBrains违规行为。 正如ETH安全研究中心研究员Stefan Soesanto早些时候在Twitter表示的那样:在对JetBrains承担责任之前,我们需要澄清更多细节。       消息及封面来源:ZDnet,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c
2021-01-07 15:12:04hackernews.cc
尽管经常上网的人们已经熟知各个线上服务对于密码强度的规则要求,但卡内基梅隆大学(CMU)的 CyLab 安全隐私实验室主任 Lorrie Cranor 认为,网站和用户其实都可以做到更好。据悉,为了增强被黑客攻破的难度,许多情况下,线上服务都会要求用户输入至少 8 个(或 10~12 个)字符的密码,并混用大小写字母、数字、以及特殊符号。 举个例子,如果要求在密码中混入数字,很多人可能旨在末位加个“1”。如果要求标点的话,可能只会多个感叹号“!”。如果需要大写的话,那可能首字母就是个大写。 然而 CMU 研究人员指出,这并不能让你的密码变得“更强”。为此,该研究团队提出了一套新方案 —— 在输入了最低字符数后,安全检查仪表板可给出更科学的建议。 通过持续数年的研究,这些技巧可让密码强度计和其它评估系统更好地工作(通常用颜色来区分密码强弱),比如使用斜杠或随机字母来分隔常用单词,以便用户跳过常见的密码设置陷阱。 在一项实验中,用户被要求创建至少包含 10 个字符的密码,然后研究人员借助密码强度计对其展开评估。 结果表明,尽管许多人在设置密码时符合了安全检查的所有要求,但还是很容易被猜破,因为大多数人都遵循着相同的思维模式。 在 11 月的 ACM 计算机和通信安全会议上,Lorrie Cranor 与研究合著者 Joshua Tan、Lujo Bauer、Nicolas Christin 介绍了他们的最新发现,并希望有关方面能够采纳他们的建议。 不过就算最佳的线上服务密码设置方案,可能还不如用一款靠谱的密码管理器,来创建和记住分别针对每一个网站的随机、超长、高强度密码来得管用。         (消息来源:cnBeta;封面来自网络)
2021-01-06 16:21:39hackernews.cc
援引外媒 ZDNet 报道,印度支付处理公司 Juspay 超过 1 亿用户的借记卡、信用卡信息在暗网上销售。Juspay 主要为亚马逊、Swiggy、MakeMyTrip 等公司处理支付业务。 本次泄漏的数据是以数据转储(data dump)的形式,从一个被入侵的 Juspay 服务器中泄漏的。Juspay 已经在其官方博客中确认了此次数据泄露事件,并概述了此次泄露事件的细节。 在官方博客中写道:“我们很痛心地通知您,2020 年 8 月 18 日确实发生了一起数据泄露事件。我们部分用户的非敏感掩码卡信息、手机号码和电子邮件 ID 被泄露”。 网络安全研究人员 Rajshekhar Rajaharia 发现了数据泄露。他发现,数据转储可以在暗网上出售。Rajaharia 对 Business Insider 表示,如果黑客弄清楚用于散列卡号的加密算法,这次数据泄露可能会更严重。 按照 Juspay 的说法,泄露的信息包括非敏感的掩码卡信息、手机号和部分用户的邮箱ID。该公司表示,泄露的信息不包括完整的卡号、订单信息、卡的PIN码或密码。Rajaharia 指出,如果用于哈希卡号的算法被泄露,或者黑客自己弄清楚,可能会给用户带来重大风险。 除了上述风险外,Rajaharia还指出,诈骗者可能会利用这次数据泄露来欺骗持卡人。由于泄露的数据包括手机号码,他们可以打电话给毫无戒备的持卡人,骗取他们透露完整的卡号、PIN、CVV以及一次性密码。         (消息及封面来源:cnBeta)
2021-01-06 14:01:37hackernews.cc
12 月 28 日,沃达丰(Vodafone)旗下意大利运营商 Ho Mobile 被曝发生了用户数据泄露事件。当时一名安全分析师指出,其在某个暗网论坛上发现了有人在兜售电信公司的数据库。虽然一开始打算冷处理,但本周一的时候,Ho Mobile 最终还是证实了本次大规模个人数据泄露。据说受影响的用户数量大约为 250 万,目前 Ho Mobile 正督促用户尽快更换 SIM 卡。 本周一,Ho Mobile 在官网上发布了一则公告,同时以短信形式向所有受影响客户发送了消息。 早些时候,@Bank_Security 猜测黑客攻破了这家运营商的服务器,并且盗走了详尽的用户数据,包括全名、手机号码、社保号码、电子邮件地址、出生日期、国籍、以及家庭住址。 虽然 Ho Mobile 表示本次入侵不涉及任何财务数据或通话详情,但还是承认黑客已掌握用户 SIM 卡相关的详情。 为避免欺诈或 SIM 卡伪造攻击,Ho Mobile 敦促所有受影响的客户(如有必要)及时更换 SIM 卡,且运营商承诺不收取任何费用。 Ho Mobile 写道:“你可携带有效身份证件,前往任何一处授权门店,并要求免费更换 SIM 卡”。后续该运营商还将与当地执法机构一道,对本次黑客攻击事件的幕后展开进一步的调查。       (消息及封面来源:cnBeta)
2021-01-06 10:21:33hackernews.cc
Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时,反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉,为安全起见,反病毒软件通常会临时锁定系统上新生成的文件,直到对其完成了反病毒扫描、并排除了恶意活动的可能。 谷歌工程师 Bruce Dawson 解释称:“反病毒程序和其它扫描软件可能会暂时锁定新创建的文件,但这可能引发频繁的问题,比如在保存新建的浏览器书签、或其它基于 ImportantFileWriter 执行的操作时”。 好消息是,正如 Windows Latest 在本周早些时候首次报道的那样,即便启用了防病毒工具,Chromium 团队已经引入了一项增强功能,以便 Chrome 浏览器能够在 Windows 10 上平稳运行。 由提交的 Chromium 代码可知,修复程序通过多次重试 ReplaceFile 的方法来规避相关问题。在避免争抢文件访问权限的同时,防病毒程序可控制(并锁定)被 Chrome 同时访问的文件。 庆幸的是,这个 Important_file_writer.cc 的 Bug 仅影响 Windows 操作系统平台(修复如上图第 45 行所示)。 此外本次改进还引入了机器学习方面的新体验,意味着随着使用时间的增长,Chromium 将自动学会如何通过一些细微的操作来避开这种竞争条件(所需的失败尝试次数)。 自 2020 年 12 月 30 日起,该修复程序已合并到 Chromium 的项目代码存储库中,预计可在下一版本的 Google Chrome 浏览器中得到全面修复。 有需要的用户,还请及时留意 Google Chrome 浏览器的后续版本更新。           (消息来源:cnBeta;封面源自网络)
2021-01-06 10:21:33hackernews.cc
据外媒报道,美FBI、NSA、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)于当地时间周二发表联合声明称,SolarWinds的黑客行为“可能来自俄罗斯”。这是这四家机构首次将网络攻击归咎于俄罗斯。 声明称:“这项研究表明,一个高级持续性威胁(APT)行为者可能来自俄罗斯,其对最近发现的大部分或全部政府和非政府网络正在进行的网络攻击负有责任。目前,我们认为,这是一项情报收集工作,而且将继续如此。” 美国务卿迈克·蓬佩奥上月曾在接受新闻采访时表示,SolarWinds袭击很可能来自俄罗斯,但直到现在都还没有做出正式声明。 最新的这份联合声明则补充称,在1.8万家受影响的公司和机构中迄今发现只有10家美国政府机构受到系统后续活动的影响。 由FBI、NSA、CISA、ODNI组成的网络统一协调小组仍在继续调查这起始于2020年的黑客入侵事件,当时黑客侵入了总部位于德克萨斯州奥斯汀的SolarWinds的IT管理软件。 据报道,此次入侵包括美国财政部高层使用的电子邮件系统。       (消息及封面来源:cnBeta)
2021-01-05 11:37:03hackernews.cc
一、概述 腾讯主机安全(云镜)检测到挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算,约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top,腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击,成功后执行命令下载恶意shell脚本,并将启动脚本写入crontab定时任务进行持久化,shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后,还会下载SSH爆破程序sshd,扫描到网络中开放22端口的Linux系统机器后,通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释:”宽带充足基本可以12个小时扫描全球”,气焰可谓十分嚣张。 分析过程中,我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全(云镜)支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警,通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险,具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查,清理以下相关项: 文件和进程: /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务: /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           
2021-01-05 10:17:01hackernews.cc
据《纽约时报》报道,美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说,反对俄罗斯干预总统竞选的战斗已经取得了重大成功,并暴露了对方的在线武器、工具和谍报技术。他对记者说:“我们拓宽了行动范围,感觉我们现在的情况非常好。”八周后, 中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗:现在被认为影响到多达250个联邦机构和企业的黑客攻击,俄罗斯的目标不是选举系统,而是美国政府的其他部门和许多美国大公司。 入侵事件曝光三周后,美国官员仍在试图了解俄罗斯人的所作所为,究竟是简单的在美国官僚系统内部进行间谍活动,还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。 《纽约时报》认为,至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报,并提出了美国国家网络防御系统为何失败的问题。 鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局(均由中曾根将军掌管)以及国土安全部–发现的,而是由一家私营网络安全公司FireEye发现的,因此这些问题显得尤为紧迫。 “这看起来比我最初担心的要糟糕得多,”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显,美国政府错过了它。”“而如果FireEye没有站出来,”他补充说,“我不确定我们到今天还能不能完全意识到这一点。” 对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点: 漏洞的范围比最初认为的要大得多。最初的估计是,俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击,他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码,从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据,现在看来,俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。 黑客从美国境内的服务器进行管理入侵,利用国家安全局从事国内监控的法律禁令,躲过了国土安全部部署的网络防御措施。 美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器,用于侦测酝酿的攻击,显然是失败的。目前也还没有迹象表明,有任何人类情报机构向美国发出了黑客攻击的警报。 美国政府对选举防御的重视虽然在2020年至关重要,但可能转移了资源和注意力,使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部
2021-01-04 15:17:43hackernews.cc
过去一周,美国政府对无人机法案实施了一次相当大规模的修改,并且可能对个人用户的隐私造成巨大影响。新法案规定,美国领空中的几乎每一架无人机及其操控者,都必须广播自身的位置,以应对与领空安全、国家安全和执法等相关的问题。 现在看来,谷歌母公司 Alphabet 旗下的无人机交付企业 Wing,已经对新规表达了相当不满意的态度。 在一篇标题为《广播识别无人机或对消费者造成意想不到的后果》的文章中,Project Wing 团队认为:“新规或让观察者追踪消费者的位置、动作和去向意图,以及居住地、包裹交付时间和地点等隐私。社区不会接受给他们送货的地面车辆或出租载具受到此种监视,这种情况放到空中也是同理” 当然,Wing 不是完全反馈广播送货无人机的定位信息,只是不希望通过本地广播的形式来发送,反而更希望通过互联网来发送。 有趣的是,在 2019 年 12 月最初提出远程 ID 规则的时候,美国联邦航空管理局(FAA)本是打算启用基于互联网的无人机追踪的。 可由于后来收到了来自评论员的意见,其中谈到了基于互联网的追踪可能面临哪些问题,最终还是选择了放弃。 • 比如首先需要为无人机配备蜂窝移动网络的通讯模块; • 人们需要为每架无人机交付数据流量的月租费用; • 全美缺乏完整、可靠的蜂窝移动网络覆盖; • 需要向第三方代理缴纳追踪和存储数据的成本; • 第三方管理不善导致的数据泄露风险; • 以及数据代理网络和无人机可能遭受 DDoS 攻击等可能。       (消息及封面来源:cnBeta)
2021-01-04 10:17:34hackernews.cc
据外媒报道,美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称,它最近发现一些客户的账号信息遭到了未经授权的访问,包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI),包括通话记录,如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示,黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码(或pin码)。 通知没有说明T-Mobile何时发现了漏洞,只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求,但他告诉一家新闻网站,此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年,T-Mobile表示多达200万用户的个人信息可能被窃取。一年后,该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前,T-Mobile承认其电子邮件系统遭到入侵,黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           (消息及封面来源:cnBeta)
2021-01-04 10:17:33hackernews.cc
援引《纽约时报》报道,SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息,大约有超过 250 家美国联邦机构和企业受到影响。 微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,从而让他们能够冒充该组织现有的任意用户和帐号,包括拥有高级别权限的账户。纽约时报报道称,疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出,美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外,报道中还指出在今年总统大选期间,政府还利用了 SolarWinds 的资源和技术来进行检测,从而让黑客躲过了美国国土安全部门的检测。 本周早些时候,微软发现多个系统被渗透,其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”,但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是,微软发现“没有证据表明生产服务或客户数据被访问”,“没有迹象表明我们的系统被用来攻击他人”。         (消息及封面来源:cnBeta)
2021-01-04 10:17:33hackernews.cc
超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死(hardcoded)的管理员后门帐号,能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的,被认为是最糟糕的漏洞,建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说,从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙,任何人都可以滥用这个后门账户来访问脆弱的设备,并转入内部网络进行额外的攻击。 据悉,Zyxel 大部分主打产品均存在这个漏洞,受影响的产品型号包括:“Advanced Threat Protection (ATP) 系列:主要用于防火墙 Unified Security Gateway (USG) 系列:主要用于混合防火墙或者 VPN 网关 USG FLEX 系列:主要用于混合防火墙或者 VPN 网关 VPN 系列:主要用于 VPN 网关 NXC 系列:主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用,一旦被入侵,攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询,NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后,Eye Control 表示可以删除后门帐号–用户名为“zyfwp”,密码为“PrOw!aN_fXp”。 研究人员表示,该账户拥有设备的root权限,因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           (消息及封面来源:cnBeta)  
2021-01-04 10:17:33hackernews.cc
自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本(取决于目标平台),一个基于Golang的二进制蠕虫,以及部署的XMRig矿工,以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币(门罗币)。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器,就会部署加载器脚本(Linux的ld.sh和Windows的ld.ps1),该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口,它将自动杀死自己。如果该端口未被使用,蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击,网络管理员应该限制登录条件,并在所有暴露在互联网上的服务上使用难以猜测的密码,以及尽可能使用双因素认证。       (消息来源:cnBeta;封面来自网络)  
2020-12-31 15:14:47hackernews.cc
据外媒TechCrunch报道,研究人员得出结论,间谍软件制造商NSO集团在向政府和记者展示其新型COVID-19接触者追踪系统时使用了数千名不知情的人的真实手机定位数据。NSO是一家私营情报公司,以开发并向各国政府出售其Pegasus间谍软件而出名。 今年早些时候,该公司继续展开攻势推销其名为Fleming的联系人追踪系统,旨在帮助各国政府追踪COVID-19的传播。Fleming的设计目的是让政府能从手机公司获取位置数据进而可视化和跟踪病毒的传播。NSO分别向几家新闻媒体展示了Fleming,NSO表示,它可以帮助政府在不损害个人隐私的情况下做出公共卫生决策。 然而在5月的时候,一位安全研究员告诉TechCrunch,他发现了一个暴露的数据库,其存储着数千个NSO用来演示Fleming如何工作的位置数据点—。 为此TechCrunch向NSO报告了这一明显的安全漏洞,该公司虽然对该数据库采取了保护措施,但表示这些数据并非是基于真实的数据。 NSO声称这些位置数据是假的,这跟以色列媒体的报道有所出入。以色列媒体报道称,NSO使用了从广告平台获得的手机位置数据来“训练”该系统。学术和隐私专家Tehilla schwartz Altshuler也参加了Fleming的演示,她披露NSO告诉她,这些数据是从数据中间商那里获得的。据悉,这些中间商出售从数百万部手机上安装的应用中收集的大量综合位置数据。 针对这一情况,TechCrunch邀请了伦敦大学金史密斯学院研究和调查侵犯人权行为的学术机构Forensic Architecture的研究人员展开调查。研究人员于周三公布了他们的研究结果,他们得出的结论是,这些暴露的数据可能是基于真实的手机定位数据。研究人员指出,如果这些数据是真实的,那么NSO相当于侵犯了NSO间谍软件客户–卢旺达、以色列、巴林、沙特阿拉伯和阿拉伯联合酋长国的32,000个个人的隐私。 研究人员分析了一个暴露的手机位置数据样本,通过寻找他们期望在真实的人的位置数据中看到的模式,比如人们在大城市的集中程度以及测量个人从一个地方到另一个地方的旅行时间。研究人员还发现,跟真实数据相关的空间不规则性如当跟卫星的视线被高楼挡住时手机会试图精确定位其位置,此时就会产生类星星的模式。 研究人员指出:“我们样本中的空间‘不规则’–真实移动位置轨迹的常见特征–进一步支持了我们的评估,
2020-12-31 14:54:48hackernews.cc
美国财政部的金融犯罪执行网络(FinCEN)发布了通知,警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示:“发布此通知,旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件,要求金融机构保持警惕。”  美国食品和药物管理局(FDA)还发布了两项 紧急使用COVID-19疫苗授权,提供了有关与COVID-19疫苗及其分发的可疑活动的报告(SAR)归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕,金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告,包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告:“网络罪犯已经迅作出反应,新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c
2020-12-31 14:54:48hackernews.cc
美国网络安全和基础设施安全局(CISA)已官方发布声明,督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示,所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本,以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞,跟踪该漏洞为CVE-2020-10148,这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此,CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本,以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下: Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  
2020-12-31 14:34:46hackernews.cc
美国财政部的金融犯罪执行网络(FinCEN)发布了通知,警告金融机构针对COVID-19疫苗研究组织的勒索软件攻击。 FinCEN通知表示:“发布此通知,旨在提醒金融机构有关与COVID-19疫苗研究组织的勒索软件攻击等网络犯罪活动。 FinCEN发现了针对疫苗研究的勒索软件,要求金融机构保持警惕。”  美国食品和药物管理局(FDA)还发布了两项 紧急使用COVID-19疫苗授权,提供了有关与COVID-19疫苗及其分发的可疑活动的报告(SAR)归档说明。 FinCEN敦促金融机构对针对COVID-19疫苗交付操作以及供应链开发疫苗的勒索软件攻击保持警惕,金融机构及其客户也应警惕有关COVID-19疫苗的网络钓鱼活动。FinCEN已于10月发布了有关勒索软件的咨询报告,包含相关洗钱活动的趋势、类型和潜在指标。 欧洲刑警组织 等国际机构也发出了类似的警告:“网络罪犯已经迅作出反应,新型勒索软件已成为COVID-19大流行期间最突出的犯罪活动。”           消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c
2020-12-31 13:54:45hackernews.cc
美国网络安全和基础设施安全局(CISA)已官方发布声明,督促美国联邦机构在年底之前更新SolarWinds Orion。 CISA发布的《紧急指令21-01补充指南》表示,所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本,以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞,跟踪该漏洞为CVE-2020-10148,这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此,CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本,以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下: Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  
2020-12-31 11:54:44hackernews.cc
黑客正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的攻击活动的一部分。 美国和加拿大银行用户是黑客的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications(VBA)AutoOpen宏的带有恶意软件的Excel文件,该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务,而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示:“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露,特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器(比如Google Chrome、Opera、Microsoft Edge等)的凭证窃取程序。一旦安装,窃取程序会尝试在受感染的机器上下载SQLite模块(“sqlite3.dll”),使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后,窃取程序从浏览器收集并解密凭证,并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 恶意软件组件“在代码级别上组织得很好”,其中包含的使用说明(用俄语编写)可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结:“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言,加载恶意组件并频繁更改C&C服务器,黑客就能隐藏其恶意意图。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   
2020-12-31 11:54:44hackernews.cc
FBI在近日发布的公共服务公告中表示:”黑客正在劫持安全性较弱的智能设备,通过家庭监控设备进行swatting攻击。” 黑客使用了之前在网上泄露用户名和密码,向执法部门举报,谎称受害者正在进行犯罪活动。 当执法部门到达住所时,黑客通过摄像头和扬声器监视警察,黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加,更有甚者因警察误射毙命。 已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于,最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动,通过Discord机器人和暗网的服务拨打匿名电话报警。 FBI表示,为了应对数量激增的相关案件,他们现在正与设备供应商合作,并建议用户设置高强度密码。此外,FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码,并尽可能使用双重认证。             (消息来源:cnBeta;封面来源于网络)
2020-12-31 10:54:41hackernews.cc
攻击者正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的一次攻击活动的一部分。 美国和加拿大金融机构的客户是本次凭据窃取的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank等。被瞄准的名单中还包括印度银行公司ICICI Bank。 AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。 多阶段感染链始于一个嵌入了Visual Basic for Applications(VBA)AutoOpen宏的带有恶意软件的Excel文件,该宏随后用于通过合法AHK脚本编译器可执行文件“adb.exe”删除并执行下载程序客户端脚本“adb.ahk”。 下载客户端脚本还负责实现持久性、分析受害者信息、以及从位于美国、荷兰和瑞典的C&C服务器下载并运行其他AHK脚本。 该恶意软件下载并执行AHK脚本以完成不同的任务,而不是直接从C&C服务器接收命令。 Trend Micro的研究人员表示:“攻击者可以决定上传特定的脚本来为每个用户或用户组实现自定义任务。这也阻止了主要程序被公开披露,特别是向其他研究人员或沙盒披露。” 其中最主要的是针对各种浏览器(比如Google Chrome、Opera、Microsoft Edge等)的凭证窃取程序。一旦安装,窃取程序会尝试在受感染的机器上下载SQLite模块(“sqlite3.dll”),使用它对浏览器应用程序文件夹中的SQLite数据库执行SQL查询。 最后,窃取程序从浏览器收集并解密凭证,并通过HTTP POST请求以明文形式将信息导出到C&C服务器。 研究人员指出,恶意软件组件“在代码级别上组织得很好”,其中包含的使用说明(用俄语编写)可能意味着攻击链的背后存在一个“雇佣黑客”组织。 研究人员总结说:“通过在受害者的操作系统中使用缺乏内置编译器的脚本语言、分别加载恶意组件以及频繁更改C&C服务器,攻击者能够在沙盒中隐藏他们的意图。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理
2020-12-31 10:34:39hackernews.cc
FBI在近日发布的公共服务公告中表示:”黑客正在劫持安全性较弱的智能设备,通过家庭监控设备进行swatting攻击。” 黑客使用了之前在网上泄露用户名和密码,向执法部门举报,谎称受害者正在进行犯罪活动。 当执法部门到达住所时,黑客通过摄像头和扬声器监视警察,黑客有时还在共享在线社区平台上直播事件。这类 “swatting “事件的数量近年来在美国各地有所增加,更有甚者因警察误射毙命。 已知最早的“swatting”事件可追溯到2010年中期。如今的案件和起初的案件的区别在于,最初的设备并没有被黑客攻击。黑客会找出在网上直播婚礼、教会等活动,通过Discord机器人和暗网的服务拨打匿名电话报警。 FBI表示,为了应对数量激增的相关案件,他们现在正与设备供应商合作,并建议用户设置高强度密码。此外,FBI还提醒相关执法部门的快速响应。每个账户应使用高强度密码,并尽可能使用双重认证。             (消息来源:cnBeta;封面来源于网络)
2020-12-31 10:14:40hackernews.cc
得益于 Chromium 近日的更新,包括 Chrome 和 Edge 在内基于 Chromium 的浏览器都能在防病毒工具激活的设备上流畅运行。谷歌工程师 Bruce Dawson 表示,当 Windows 10 防病毒软件或者扫描被配置为锁定新文件的时候,某些浏览器功能可能无法正常运行。 当你的浏览器安装在系统磁盘中,而且杀毒软件被配置为扫描第三方程序(例如 Chrome)创建的新文件时,这个问题可能会更加明显。在保存 Chrome 书签或者其他文件的时候就会出现问题。 为了解决这个问题,现在基于 Chromium 的浏览器将尝试几次 ReplaceFile 步骤,从而让浏览器创建一个原始文件的备份副本。截至12月30日,该代码提交已经合并到Chromium中,它应该包含在浏览器的下次更新中。 在微软近日提交的 Commit 中,微软确认将会 Chromium 的更多页面提供深色模式,包括视频和音频弹出菜单。谷歌还在更新滚动条,使其遵循系统的明/暗主题。在新的提交中,谷歌确认,即将到来的Chrome更新将为更多的浏览器页面、菜单背景、文本颜色和按钮颜色引入黑暗模式支持。         (消息及封面来源:cnBeta)
2020-12-31 10:14:40hackernews.cc
美国联邦调查局表示,恶作剧者正在劫持安全性较弱的智能设备,以直播所谓swatting事件。FBI在今天发布的一则公共服务公告中表示:”最近,犯罪分子一直在利用受害者的智能设备,包括具有视频和音频功能的家庭监控设备,进行swatting攻击。” 官员们说,恶作剧者正在接管设备,设备主人在这些设备上创建了账户,但重新使用了之前在网上泄露的凭证,即相同的用户名和密码。然后,恶作剧者向执法部门拨打电话,并向执法者谎称受害者住所正在进行犯罪活动。 当执法部门到达住所作出反应时,罪犯观看直播镜头,并通过摄像头和扬声器与响应的警察接触。在某些情况下,罪犯还在共享的在线社区平台上直播事件。这类被称为 “swatting “的事件近年来在美国各地有所增加,甚至有人因警察误射而死亡。 最早已知的swatting事件可以追溯到2010年代中期。FBI现在报告的情况和那些最初的事件的区别在于,设备并没有被黑客攻击。恶作剧者会找出正在网上直播的社交活动,比如婚礼、教堂会议等,然后通过提供匿名通话功能的在线服务,如Discord机器人和暗网服务拨打匿名电话报警。 为了应对这种新的不断上升的黑客和swatting案件,FBI官员表示,他们现在正在与设备供应商合作,并且建议客户为他们的设备选择更好的密码。此外,FBI表示,它还在努力提醒执法部门的快速响应执法者注意这种新的swatting事件,以便他们可以做出相应的反应。至于设备所有者,FBI之前的建议依然有效,即为每个在线账户使用复杂和独特的密码,在可用的情况下使用双因素认证。       (消息来源:cnBeta;封面来源于网络)