当前节点:hackernews.cc
时间节点
2022年8月19日 16:30hackernews.cc
Hackernews 编译,转载请注明出处: 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用,来破坏目标网络,进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说: “Bumblebee操作员进行密集的侦察活动,并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光,当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动,该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付,此后,这种操作方式得到了调整,避开使用带有宏的文档,转而使用ISO和LNK文件,主要是为了响应微软默认阻止宏的决定。 研究人员说:“恶意软件的传播是通过钓鱼电子邮件来完成的,该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行,最终用户必须提取存档,挂载ISO映像文件,并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言,包含启动Bumblebee加载程序的命令,然后将其用作下一阶段操作(如持久性、权限升级、侦察和凭据盗窃)的管道。 攻击期间还使用了Cobalt Strike对手模拟框架,该框架在受感染端点上提升权限后,使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中,一名高权限用户的被盗凭据随后被用来控制Active Directory,更不用说创建一个本地用户帐户来进行数据泄露。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月19日 14:10hackernews.cc
Hackernews 编译,转载请注明出处: 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击,该攻击达到每秒4600万次请求(RPS)。 攻击发生在6月1日9:45,它以每秒10000多次请求(rps)开始,目标是客户的HTTP/S负载均衡器。八分钟后,攻击速度增至每秒100000次请求,两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出,每秒请求量至少比之前的记录高出76%,该记录在6月被Cloudflare阻止,达到2600万RPS。 谷歌表示:“这是迄今为止报告的最大的第7层DDoS攻击,比之前报告的记录至少大76%。此次攻击的规模就像在10秒内接受维基百科(世界上十大流量网站之一)的所有日常请求一样。” 专家报告称,该攻击来自132个国家的5256个源IP,前4个国家贡献了总攻击流量的约31%。 大约22%(1169)的源IP对应于Tor出口节点,但专家指出,来自这些节点的请求量仅占攻击流量的3%。 “虽然我们认为由于易受攻击的服务的性质,Tor参与攻击是偶然的,但即使在峰值的3%(超过130万rps),我们的分析表明,Tor出口节点可以向web应用程序和服务发送大量不受欢迎的流量。”报告继续说道。 此次攻击涉及的不安全服务的地理分布和类型表明,它是由Mēris僵尸网络发起的。 “攻击在谷歌网络的边缘被阻止,恶意请求从客户的应用程序上游被阻止。在攻击开始之前,客户已经在其相关的Cloud Armor安全策略中配置了Adaptive Protection,以了解并为其服务建立正常流量模式的基线模型。”专家总结道。“因此,Adaptive Protection能够在其生命周期的早期检测到DDoS攻击,分析其传入流量,并使用推荐的保护规则生成警报——所有这些都在攻击升级之前完成。客户通过部署推荐的规则,利用Cloud Armor最近推出的速率限制功能来限制攻击流量,从而对警报采取行动。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月19日 11:30hackernews.cc
安全内参8月18日消息,微软官方宣布,在过去12个月中(2021.7-2022.6),他们通过漏洞奖励计划支付了1370万美元(约9299万元)奖金。 作为全球知名科技巨头,微软公司目前拥有17个漏洞奖励计划,广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产,甚至还专门为ElectionGuard开源软件开发工具包(SDK)设置了相应项目。 如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务(DoS)之类的严重漏洞,参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。 事实上,微软在2021年7月1日到2022年6月30日期间,发出的最大单笔奖金达到20万美元,奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。 在这12个月中,共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金,平均每个漏洞的奖金超过12000美元(约8.5万元)。 图:参与微软漏洞奖励计划的研究人员地理分布 微软公司表示,他们正根据研究人员的反馈改进现有漏洞奖励计划。今年,该公司还打算进一步引入新的研究挑战和高影响攻击场景。 新增及更新内容将包括Azure SSRF挑战赛,Edge奖励计划纳入Android与iOS平台版本,将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划,并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。 微软公司总结道,“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划,将帮助我们把研究重点集中在影响最大的云漏洞上,具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。” 转自 安全内参,原文链接:https://www.secrss.com/articles/45997 封面来源于网络,如有侵权请联系删除
2022年8月19日 11:30hackernews.cc
通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出,这些骗局仍相当活跃,即使在今天也是如此。在日前的一篇报道中,Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。 据悉,该驱动器被包装在一个Office 2021 Professional Plus的盒子内,这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。 假Office 2021照片 当目标将U盘插入他们的电脑之后,一条假的警告信息就会弹出,告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。 微软发言人就这一案件向Sky News发表了以下声明:“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。” 这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1305999.htm 封面来源于网络,如有侵权请联系删除
2022年8月19日 11:10hackernews.cc
有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件,冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵,而在近期的恶意活动中,该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。 这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后,就会显示上图这样的诱饵 PDF 文件,然后就会调用恶意 DLL,最终允许威胁攻击者向受影响的设备发送命令。 ESET 的网络安全专家表示黑客已经做好攻击 macOS 系统的准备了。专家表示 Intel 和 Apple Silicon 的 Mac 均会受到影响,意味着无论新旧设备都可以成为黑客的攻击目标。 在 Twitter 上的一份帖子中,该恶意文件会释放 3 个文件 ● 捆绑的 FinderFontsUpdater.app ● 下载器 safarifontagent ● 一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。 ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来,后者也被认为是 Lazarus 的手笔,以类似的方式攻击知名航空航天和军事组织。 查看 macOS 恶意软件,研究人员注意到它是在 7 月 21 日签署的(根据时间戳值),并在 2 月份向开发人员颁发了证书,该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。 8 月 12 日,该证书尚未被 Apple 吊销。但是,该恶意应用程序并未经过公证,这是Apple 用于检查软件是否存在恶意组件的自动过程。 与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比,ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器,该服务器在分析时不再响应。长期以来,朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1305963.htm 封面来源于网络,如有侵权请联系删除
2022年8月19日 11:10hackernews.cc
研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU,并且不依赖于启用的超线程。 英特尔发布的公告:“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” “某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。 与Meltdown 和 Spectre不同,ÆPIC Leak 是一个架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。 研究人员说:“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此,大多数系统都不会受到 ÆPIC 泄漏的影响。然而,依靠 SGX 保护数据免受特权攻击者的系统将面临风险,因此必须进行修补。” CVE-2022-21233问题存在于高级可编程中断控制器 ( APIC ) 中,负责接受、确定优先级并将中断分派给处理器。 “基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示,本地高级可编程中断控制器 (APIC) 的内存映射寄存器未正确初始化。因此,从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间,ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁,但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机,从而消除了基于云的场景中的威胁。” 专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题,并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒 (n = 100,σ =
2022年8月18日 17:05hackernews.cc
Hackernews 编译,转载请注明出处: 网络安全公司卡巴斯基的最新发现显示,超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。 该公司表示:“从2020年1月到2022年6月,超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击,约占所有用户中受恶意和不需要的附加组件影响的70%。” 根据卡巴斯基的遥测数据,2022年上半年,多达1311557名用户属于这一类别。相比之下,这类用户的数量在2020年达到峰值3660236名,其次是2021年的1823263个独立用户。 最普遍的威胁是一系列称为WebSearch的广告软件,它伪装成PDF查看器和其他实用程序,并具有收集和分析搜索查询,以及将用户重定向到附属链接的功能。 WebSearch还因修改浏览器的起始页而闻名,该页面包含搜索引擎和许多指向第三方来源的链接,如AliExpress,当受害者点击这些链接时,会帮助扩展开发人员通过附属链接赚钱。 卡巴斯基指出:“此外,该扩展将浏览器的默认搜索引擎修改为search.myway[.]com,它可以捕获用户查询,收集并分析它们。根据用户搜索的内容,大多数相关的合作伙伴网站将在搜索结果中积极推广。” 第二组扩展涉及一种名为AddScript的威胁,该威胁以视频下载程序的名义隐藏其恶意功能。虽然附加组件确实提供了广告功能,但它们也旨在联系远程服务器以检索和执行任意JavaScript代码。 此外,还发现了FB Stealer等窃取信息的恶意软件,其目的是窃取登录用户的Facebook登录凭据和会话cookie。FB Stealer在2022年上半年造成了3077起独特的感染尝试。 该恶意软件主要针对搜索引擎上寻找破解软件的用户,FB Stealer通过名为NullMixer的特洛伊木马交付,该木马通过非官方破解软件安装程序传播,如SolarWinds Broadband Engineers Edition。 研究人员说:“FB Stealer是由恶意软件而不是由用户安装的,一旦添加到浏览器中,它就会模仿无害且外观标准的Chrome扩展程序Google Translate。” 这些攻击也是出于经济动机。恶意软件操作人员在获得身份验证cookie后,登录到目标的Facebook帐户,并通过更改密码来劫持该帐户,从而有效地锁定了受害者。然后,攻击者可以滥用访问权限向受害者的朋友要钱。 一个多月前,Zim
2022年8月18日 14:45hackernews.cc
Bleeping Computer 网站披露,勒索软件 BlackByte 带着 2.0 版本回归了。新版本做了大量升级,主要包括利用从 LockBit 借来的新勒索技术,创建了一个新的数据泄露网站。 在短暂消失之后, BlackByte 勒索软件带着新版本重新出现在大众视野,目前正在黑客论坛上通过其控制的 Twitter 账户,积极宣传一个新数据泄露网站。 宣传新 BlackByte 数据泄露网站的推文 虽然尚不清楚该勒索软件的加密器是否发生了变化,但该团伙已经推出了一个全新的Tor 数据泄漏网站。 目前,数据泄露网站有了新勒索策略,允许受害者付费将其数据发布时间延长 24 小时(5000 美元),下载数据(200000 美元),或销毁所有数据(300000 美元),这些价格可能会根据受害者的规模/收入发生改变。 新的BlackByte 数据勒索方案(来源:BleepingComputer) 值得一提的是,网络安全情报公司 KELA 指出,BlackByte 的新数据泄露网站没有正确嵌入“客户 ”可以用来购买或删除数据的比特币和 Monero 地址,使得新的勒索方案看起来已经失效。 众所周知,新勒索技术出现的主要目的是让受害者支付费用以删除其数据,或者是让其他攻击者自愿购买这些数据。在 LockBit 发布其 3.0 版本时也引入了这些勒索手段,但是被当作了一种噱头,而不是可行的勒索手段。 BlackByte 是何方神圣? 2021 年夏天,BlackByte 勒索软件开始活跃,当时其所属的黑客开始入侵企业网络,窃取数据并加密设备。BlackByte 以往的攻击事件中,最引人注目的当属针对美国国家橄榄球联盟 49 人队的网络攻击。 除此之外,这些攻击者利用漏洞入侵网络,并且过去曾利用 ProxyShell 攻击链入侵微软 Exchange 服务器。联邦调查局和特勤局的联合发布公告表示,该团伙还攻击包括政府设施、金融、食品和农业等在内的关键基础设施部门 2021 年,BlackByte 勒索软件中出现了一个可以创建免费 BlackByte 解密器的漏洞。不幸的是,漏洞被报告后,该团伙立即修复了漏洞。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342285.html 封面来源于网络,如有侵权请联系删除
2022年8月18日 14:45hackernews.cc
根据身份盗用资源中心 (ITRC) 的数据,谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。这家非营利组织表示,在2021年它收到了 14,947 份来自消费者的报告,比 2020 年增加了 26%,这也是有史以来处理的最多的。在这些报告中,其中一半 (50%) 是诈骗案中的受害者:也就是说,他们与攻击者共享个人身份信息 (PII)。该组中超过一半 (53%) 包含 谷歌语音诈骗,使其成为今年最流行的欺诈类型。 欺诈者通常会寻找在网上销售商品的受害者。他们会向目标发送一个谷歌验证码并要求受害者分享该代码——表面上是为了验证他们是一个“真正的”卖家。实际上,如果受害者这样做,他们的电话号码将与一个新创建的欺诈性 Google Voice 帐户相关联,然后欺诈者就会利用该账户继续诈骗下一个目标。 在其他地方,ITRC记录的“身份滥用”事件增加了8%,共计4168起。其中五分之二(40%)与滥用金融账户有关,其中大多数与新账户欺诈(64%)有关,其余与接管账户(36%)有关。超过一半(55%)的身份滥用案例被记录为试图打开、访问或接管政府账户或申请福利,这无疑是受到美国COVID救济款项的流行的刺激。 这家非盈利机构还说,他们中的许多人都是社交媒体上有影响力的人,被诱骗参与了比特币投资骗局,又或者说他们可以增加自己的账户被Instagram验证的几率。在这两个案例中,他们都被要求提供细节,结果被锁定在他们的账户之外。所以ITRC首席执行官Eva Velasquez 将 2021年称为身份诈骗创纪录的一年,“由于身份欺诈的风险很高,所以采取保护措施很重要,比如冻结你的信用卡,在所有账户上使用12+字符的独特密码,以及忽略可疑信息等。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342245.html 封面来源于网络,如有侵权请联系删除
2022年8月18日 14:45hackernews.cc
据The Hacker News报道,攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马,该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出,这种恶意软件试图使用一种从未见过的新技术来感染设备,以传播极其危险的Xenomorph银行木马,允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop,是一种dropper应用程序,其设计目的十分明确,就是为了应对Android系统更新引入的新功能:使恶意软件难以向受害者请求辅助功能服务权限。 ThreatFabric认为BugDrop恶意软件的始作俑者是臭名昭著的“Hadoken Security”网络犯罪组织,该组织也是Xenomorph /Gymdrop 等Android等系列恶意软件的幕后黑手。 从以往滴管木马的表现来看,这类银行木马通常会利用无害的滴管应用程序部署在Android系统上,滴管程序则会伪装成具有生产力或比较实用的应用程序,用户一旦安装,就会诱骗用户授予侵入性权限。 例如可读取手机屏幕内容,并代表用户执行操作的Accessibility API已经被攻击者广泛滥用,攻击者可以借此捕获账户密码、财务信息等较为敏感的用户数据。具体实现方式为,当受害者打开所需的应用程序(例如加密货币钱包)时,木马会注入从远程服务器检索到的假冒登录表单。 鉴于大多数这些恶意应用程序都是侧载,只有在用户允许从未知来源安装时才有可能发生这种情况,因此谷歌在 Android 13 中采取了阻止辅助功能 API 访问,从应用程序商店外部安装应用程序的步骤。 但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop,它可以伪装成 QR 码阅读器应用程序。安全人员亲自进行测试,可通过基于会话的安装过程部署恶意有效负载。安全人员进一步强调,“攻击者正在使用这类恶意软件,能够在受感染的设备上安装新的APK,以测试基于会话的安装方法,并将其整合到更精细的 dropper 中,这在未来是很有可能会发生的事情。” 如果上述变化成为现实,可能会使银行木马更具威胁性,甚至能够绕过安全防护体系,给用户造成严重损失。 ThreatFabric公司也表示,“随着BugDrop逐步完善当前存在的各种缺陷,攻击者在与安全团队、银行
2022年8月18日 11:05hackernews.cc
Hackernews 编译,转载请注明出处: 谷歌周二推出了适用于桌面的Chrome浏览器补丁,来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856,该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样,在更新大多数用户之前,这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。 最新更新进一步解决了其他10个安全漏洞,其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关,同时还修复了下载中的堆缓冲区溢出漏洞。 这是谷歌自年初以来修复的第五个Chrome零日漏洞: CVE-2022-0609 – 动画中的Use-after-free CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 建议用户更新到适用于macOS和Linux的104.0.5112.101版本,以及适用于Windows的104.O.5112.102/101版本,以缓解潜在威胁。基于Chromium浏览器(如Microsoft Edge、Brave、Opera和Vivaldi)的用户也建议应用修复程序。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月18日 10:25hackernews.cc
《CS:GO》(反恐精英:全球攻势)是近来最热门的多人第一人称射击游戏之一,由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性,这就促使了使用Steamworks API的交易网站的创建,以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一,拥有53种武器的1696种独特皮肤,总资产价值为1650万美元。而该平台最近不幸被黑客盯上,在第一波攻击中大约600万美元的皮肤失窃,资产直接缩水了1/3以上。 在8月13日察觉到攻击后至今,CS.MONEY网站处于关闭状态,并且暂时无法给出恢复服务的预计时间。CS.MONEY正在采取各种方式挽回损失。据其在Twitter上发布的推文,其他交易平台已同意阻止20000件被盗物品的交易,以防止黑客脱手赃物。 对于本次攻击事件,CS.MONEY的公关主管Timofey Sobolevky撰文详细说明了来龙去脉: CS.MONEY在收到可疑交易的消息后,最初的想法是CS.MONEY本身被黑客入侵,他们禁用了所有外部设备和服务的授权,怀疑问题可能出在cookie文件被盗。但工作人员登陆交易数据库后,发现CS.MONEY service在其日志中未记录任何交易,这说明发送可疑交易的机器人不是受CS.MONEY控制,而是由攻击者直接控制。这也解释为什么即使他们重置了所有授权并关闭了服务仍未能停止可疑交易。 CS.MONEY随后确认,事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限,使得黑客能够直接控制托管皮肤的机器人。 该黑客为混淆视听,除将皮肤发送给自己外,还随机将其分发给普通玩家、知名交易者、博主等,以转移调查人员的注意力、隐藏自身的踪迹。在攻击的第一天,黑客共操纵约100个帐户完成了约1000笔交易。 CS.MONEY团队现在正在尝试重置其密码和MA文件,而所有被转移的皮肤现在都处于交易锁定状态。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。 转自 安全内参,原文链接:https://www.secrss.com/articles/45939 封面来源于网络,如有侵权请联系删除
2022年8月18日 10:25hackernews.cc
South Staffordshire Water 是一家平均每天为 消费者提供 3.3 亿升饮用水的公司,该公司发表了一份声明,确认网络攻击导致 IT 中断。 正如公告所解释的那样,安全和配水系统仍在运行,因此 IT 系统的中断不会影响向其客户或其子公司 Cambridge Water 和 South Staffs Water 的客户供应安全水。 “这一事件并未影响我们提供安全用水的能力,我们可以确认我们仍在为所有 Cambridge Water 和 South Staffs Water 客户提供安全用水。” 宣读公司发表的声明。“这要归功于我们一直以来对供水和质量的强大系统和控制,以及我们团队为应对这一事件并实施我们为预防而采取的额外措施的快速工作。基础。” 此外,南斯塔福德郡水务公司向其客户保证,所有服务团队都照常运营,因此不存在因网络攻击而导致长时间停电的风险。 Clop 勒索软件团伙声称对这次攻击负责,并将该实用程序的名称添加到其 Tor 泄漏站点。 勒索软件团伙声称能够影响供水的运营和安全。该团伙还声称从该公司窃取了 5TB 的数据。 该勒索软件组织已经发布了一份被盗数据样本,其中包括护照、身份证和 SCADA 系统的图像。声称已经访问了他们可以操纵的 SCADA 系统,从而对 1500 万客户造成伤害。 Thames Water 是英国最大的水供应商和废水处理供应商,服务于大伦敦地区和泰晤士河周边地区。 然而,在赎金支付谈判破裂后,攻击者发布了第一个被盗数据样本,其中包括护照、水处理 SCADA 系统的屏幕截图、驾驶执照等。Thames Water 今天通过一份声明正式对这些说法提出异议,称有关 Clop 入侵其网络的报道是“网络骗局”,其运营已满负荷运转。 该案的一个关键细节是,在公开的证据中,Clop 提供了一个包含用户名和密码的电子表格,其中包含 South Staff Water 和 South Staffordshire 的电子邮件地址。 此外,BleepingComputer 观察到,其中一份发送给目标公司的泄露文件被明确发送给 South Staffordshire PLC。因此,很可能 Clop 错误地识别了他们的受害者,或者他们试图使用虚假证据敲诈一家更大的公司。 这次袭击发生在英国消费者面临严重干旱时期,该国八个地区实施了配水政策和软管禁令。 网络犯罪分子不会随意选择目标,因为在
2022年8月17日 17:24hackernews.cc
据The Verge报道,根据Mozilla研究人员的最新分析,大多数流行的月经和孕期跟踪应用程序没有强大的隐私保护功能。健康应用程序的隐私政策泄露一直是个问题,但现在堕胎在美国许多地方都是非法的,属于这一特定类别的问题尤其令人担忧。 经期和孕期跟踪应用程序收集的数据,理论上可以用来起诉在非法地方堕胎的人。来自经期跟踪应用程序的数据并不是目前用于将人们与堕胎联系起来的最大东西–最常见的是,这些案件中使用的数字数据来自短信、Google搜索或Facebook信息。但它们仍然是潜在的风险。 “收集个人和敏感健康信息的公司在涉及到他们收集的个人信息的隐私和安全时需要格外勤奋,特别是现在在我们美国的罗诉韦德案之后的世界里,不幸的是,太多的公司没有这样做,”Mozilla *Privacy Not Included指南负责人Jen Caltrider在一份声明中说。 这项分析研究了25个最流行的应用程序和可穿戴设备,它们具有经期和孕期跟踪功能。报告发现,大多数人没有说他们是否以及何时会与执法部门分享信息。在这25个应用程序中,有18个从Mozilla获得了关于其隐私做法的警告标签,包括Clue Period & Cycle Tracker和Eve,这两个应用程序在苹果应用商店的周期跟踪应用程序推荐中位居前列。该标签指出,Mozilla对这些应用的隐私政策以及围绕它们如何收集、分享和保护用户数据表示担忧。 不过,分析中包括的五个可穿戴设备并没有得到警告标签。Garmin、Fitbit、Apple Watch、Oura Ring和Whoop Strap包括经期跟踪功能,并符合Mozilla的隐私标准。 Mozilla在今年5月围绕心理健康应用程序发布了一份类似的报告,也发现这些产品在保护用户隐私方面做得很差。你可以在这里看到完整的*Privacy Not Included指南。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1305529.htm 封面来源于网络,如有侵权请联系删除
2022年8月17日 17:24hackernews.cc
在上周于拉斯维加斯举办的 Black Hat USA 2022 大会上,来自佛罗里达与新罕布什尔大学的研究人员,演示了如何通过“隐形手指”来远程操控目标设备的触控屏。尽管人们早就知晓电磁场(EMF)可对电子设备产生一些奇怪的影响,但最新实验还揭示了一套更加复杂的技术 —— 通过机械臂和多个天线阵列,远程模拟手指对多个电容式触控屏设备的操作。 该方法涉及使用一副隐藏的天线阵列来精确定位目标设备的位置,并使用另一个来生成具有精确频率的电磁场。以将电压信号馈送至触屏传感器。后者可处理这些信号,并解释为特定类型的触摸操作。 在实验室环境中,研究团队已在包括 iPad、OnePlus、Google Pixel、Nexus 和 Surface 等品牌在内的多种设备上,成功模拟了任意方向的点击、长按和滑动操作。 理论上,黑客也可利用这项‘隐形手指’技术技术,来远程执行任何预期的触屏操作。佛罗里达大学博士生兼会议首席演讲人 Haoqi Shan 表示: 它能够像你的手指一样工作,我们甚至可在 iPad 和 Surface 上模拟全方位的滑动操作,并且完全可用它来触发基于手势的解锁动作。 Invisible Finger End-to-End Attack Demonstration – Inside Out(via) 测试期间,他们使用该技术在 Android 手机上安装了恶意软件、以及往指定 PayPal 账户汇款。 但是这项方案也并非万能,比如任何需要响应 Android“是 / 否”对话框的操作,就因按钮靠得太近而难以精确模拟。 最后,在这项技术的成本变得足够低廉之前,大家还是无需担心遇到类似的攻击。毕竟光是用于精确定位的电磁天线 + 机械臂,动辄就要耗费数千美元的资金。 此外攻击者必须深入了解触摸屏的工作原理,以及摸清触发相关手势所需的精确电压。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1305427.htm 封面来源于网络,如有侵权请联系删除
2022年8月17日 17:04hackernews.cc
据安全厂商Agari称,从2022年第一季度到第二季度,因威胁行为者试图通过新方式来规避传统的安全防御,被称为“混合网络钓鱼”的多阶段网络钓鱼攻击的检测率增长了600%以上。本次Agari季度威胁趋势和情报报告是与 PhishLabs 合作制作的,是基于对数十万次针对企业、员工和品牌的网络钓鱼和社交媒体攻击的分析。 报告解释说:“混合网络钓鱼威胁是多阶段攻击,与传统网络钓鱼不同,它首先通过电子邮件与受害者进行交互。攻击者在电子邮件正文中包含一个手机号码作为诱饵,旨在诱骗受害者致电并提交敏感信息。” 网络钓鱼或基于电话的网络钓鱼攻击占报告中“基于响应”的骗局的四分之一 (25%)。此类别中的其他类型是 419 诈骗 (54%)、商业电子邮件泄露 (16%) 和工作诈骗 (5%)。这些基于响应的攻击目前占电子邮件传播威胁的五分之二 (41%),比上一季度增长3.5%,是自2020年以来的最高份额。凭证盗窃 (55%) 和恶意软件传递 (5%)完善其他类型的公司电子邮件威胁。 有趣的是,第二季度近四分之三 (73%) 的 BEC攻击是使用免费网络邮件服务发起的,比第一季度的数据增加了3%。相比之下,那些使用欺骗或劫持域的人仅占攻击量的四分之一 (27%)。Gmail (72%) 是被滥用最多的电子邮件服务。这似乎表明更简单的策略仍然有效,尽管BEC的用户意识比一年前要高得多。 这与卡巴斯基 2 月份的数据有些吻合,该数据显示利用免费电子邮件帐户和使用模糊支付请求的商品“BEC即服务”活动的检测激增。不过对企业来说,社会工程学仍旧是他们最大的安全风险之一,所以企业在安全意识和技术防范方面还需要不断提高。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342151.html 封面来源于网络,如有侵权请联系删除
2022年8月17日 17:04hackernews.cc
Bleeping Computer 网站披露,Realtek 爆出严重漏洞,该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片(SoC)的网络设备。 该漏洞被追踪为 CVE-2022-27255,远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。 无需身份验证 据悉,CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现,并在 DEFCON 黑客大会上披露了详细的技术细节。 CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞,其严重程度为 9.8 分(满分10分),远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码,这个过程完全无需身份验证。此外,攻击者还可以通过 WAN 接口利用漏洞。 早在 3 月份,Realtek 已经解决这一漏洞问题,并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。 来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证(PoC)利用代码,该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频,展示了即使远程管理功能被关闭,远程攻击者也可能破坏设备。 视频链接:https://vimeo.com/740134624?embedded=true&source=video_title&owner=52361365 最后,研究人员指出攻击者利只需有漏洞设备的外部 IP 地址,就可以 利用CVE-2022-27255 漏洞,意味着不需要与用户交互, 注:发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。 存在几道防线 SANS 研究部主任 Johannes Ullrich 表示,远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作: 导致设备崩溃 执行任意代码 建立持久性的后门 改变网络流量的路线 拦截网络流量 另外,尽管 Realtek 在3 月已经发布了一个补丁,但 Ullrich 强调该漏洞
2022年8月17日 09:44hackernews.cc
近日,德国计划强制要求在政府网络中使用安全、现代的网络浏览器,并公布了最低标准提案的意见征求稿。 德国联邦信息安全办公室(BSI)曾在7月发布了一个最低标准草案,希望这些标准能够增强政府的网络弹性并更好地保护敏感数据。先进的浏览器包含多种功能,可阻止或减轻各种常见的基于Web的攻击。 提议的标准涵盖桌面和移动浏览器,而之前的安全指南仅适用于政府PC和工作站上的桌面浏览器。 意见征询后,BSI预计将在政府系统中强制执行最低标准。此举将禁止联邦雇员在政府业务中使用不合规的浏览器,例如现已弃用的Internet Explorer。 BSI规定的大多数安全和隐私技术目前大多数现代浏览器都能提供。其中包括支持X.509标准的证书、加密与服务器的连接以及支持HSTS(HTTP严格传输安全)。 浏览器还需要支持自动更新机制,只有在完整性检查成功时才会执行更新。此外还必须实施同源策略(SOP),以便文档和脚本无法访问其他网站的资源,例如文本和图形。 事实上,所有现代浏览器都已经非常安全(忽略隐私),它们中的大多数共享完全相同的引擎(编者:例如开源的Chromium),因此共享相同的安全功能和加密功能。浏览器公司Vivaldi的开发人员和安全专家Tarquin Wilton Jones指出:“总的来说,浏览器一直处于建立安全连接和实施沙盒等安全功能的最前沿。” 他补充说,此举的目的更多是为了提高政府IT的安全性,而不是改变浏览器的设计方式。但是,他警告说,某些浏览器不允许用户关闭遥测或供应商跟踪数据的方式可能会导致合规问题。 转自 安全内参 ,原文链接:https://www.secrss.com/articles/45880 封面来源于网络,如有侵权请联系删除
2022年8月17日 09:24hackernews.cc
在2021年的局部试验之后,英国政府已经确认,在9月的政府宣传活动之后,自动通知智能手机用户的紧急警报系统将于10月开始推广。该系统将提醒用户高度本地化的事件,如洪水、火灾、极端天气和公共卫生突发事件、恐怖袭击等有可能被添加到可能触发信息的场景列表中。 当收到警报时,设备会发出类似警笛的响声,即使设置为无声或振动,也会在10秒内发出警报。 这是一个类似于美国引入的AMBER警报的功能,最初将在英格兰、苏格兰和威尔士使用,尚未确认北爱尔兰何时将被该系统覆盖。 英国政府已经建立了一个网站,详细介绍了该系统的工作原理,以及警报是如何直接从基站广播的,范围内的每个兼容手机和平板电脑都会收到警报。这绕过了用户提供电话号码以建立联系的需要。该网站还列出了所有当前和过去的警报,以便在你不小心忽略了某个通知或错过了它时可以参考。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1305115.htm 封面来源于网络,如有侵权请联系删除
2022年8月17日 09:24hackernews.cc
阿根廷科尔多瓦司法机构在遭受勒索软件攻击后关闭了其 IT 系统,据报道是在新的“Play”勒索软件操作手中。 攻击发生在 8 月 13 日星期六,导致司法机构关闭 IT 系统及其在线门户。停电还迫使使用笔和纸来提交官方文件。在 Cadena 3 分享的“网络攻击应急计划”中,司法机构证实它受到了勒索软件的攻击,并与微软、思科、趋势科技和当地专家合作调查此次攻击。 2022 年 8 月 13 日星期六,科尔多瓦法院的技术基础设施遭受了网络攻击,勒索软件损害了其 IT 服务的可用性。 Clarín 报道称 ,消息人士称,这次攻击影响了司法机构的 IT 系统及其数据库,使其成为“历史上对公共机构最严重的攻击”。 与 Play 勒索软件相关的攻击 虽然司法机构尚未披露此次攻击的细节,但记者 Luis Ernest Zegarra 在 推特上表示,他们受到了将“.Play”扩展名附加到加密文件的勒索软件的攻击。 此扩展与 2022 年 6 月启动的新“Play”勒索软件操作有关,当时受害者开始在 BleepingComputer 论坛上描述他们的攻击。 像所有勒索软件操作一样,威胁参与者将破坏网络并加密设备。加密文件时,勒索软件将附加 .PLAY 扩展名,如下所示: 然而,与大多数勒索软件操作会留下冗长的赎金票据以向受害者发出可怕的威胁不同,Play 赎金票据异常简单。 Play 的ReadMe.txt赎金记录不是在每个文件夹中创建,而是  仅在硬盘驱动器的根目录 (C:\) 中创建,并且仅包含单词“PLAY”和联系电子邮件地址。 BleepingComputer 知道攻击中使用了不同的电子邮件地址,因此上述电子邮件地址可能与对科尔多瓦司法机构的攻击无关。 尚不清楚 Play 是如何入侵司法机构网络的,但作为3 月份 Lapsus$ 入侵 Globant 的一部分,员工电子邮件地址列表被泄露,这可能允许威胁参与者进行网络钓鱼攻击以窃取凭据。 没有与勒索软件团伙相关的数据泄漏或任何数据在攻击期间被盗的迹象。 这不是阿根廷政府机构第一次遭受勒索软件攻击。2020 年 9 月,Netwalker 勒索软件团伙袭击了 Dirección Nacional de Migraciones并索要 400 万美元的赎金。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/n-_jigTxvCv4edxPXiX
2022年8月17日 00:24hackernews.cc
Hackernews 编译,转载请注明出处: 俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体,这被怀疑是间谍行动的一部分。 Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客,也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组(CERT-UA)证实了这些发现。 该黑客自2013年以来一直活跃,因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来,攻击事件不断升级。 据说,最新的一系列攻击已于2022年7月15日开始,一直持续到8月8日,感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件,最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。 同时,还向受损机器交付了两个后门,分别名为Giddome和Pterodo,这两个后门都是典型的Shuckworm工具,攻击者不断重新开发,旨在领先检测标准。 Pterodo的核心是一种Visual Basic Script(VBS)dropper恶意软件,具有执行PowerShell脚本、使用计划任务(shtasks.exe)来保持持久性,以及从命令和控制服务器下载其他代码的功能。 另一方面,Giddome植入物具有多种功能,包括录制音频、捕获屏幕截图、记录击键,以及在受感染主机上检索和执行任意可执行文件。 这些入侵行为通过从受感染账户分发的电子邮件发生,进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。 这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关,使攻击者能够窃取存储在Web浏览器中的文件和凭据。 调查结果是在CERT-UA发出警报后公布的,该警报警告称,“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月17日 00:24hackernews.cc
Hackernews 编译,转载请注明出处: 微软威胁情报中心(MSTIC)破坏了SEABORGIUM(又名ColdRiver,TA446)的活动,SEABORGIUM是一家与俄罗斯有关的黑客组织,他发起了针对北约国家人员和组织的持续黑客攻击活动。 SEABORGIUM自2017年以来一直很活跃,其活动涉及持续的网络钓鱼和凭证盗窃活动,导致入侵和数据盗窃。APT主要针对北约国家,但专家们还观察到针对波罗的海、北欧和东欧地区(包括乌克兰)的行动。 SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员,俄罗斯事务专家和海外俄罗斯公民。 SEABORGIUM的活动始于目标个人的侦察活动,重点是识别他们在社交网络或势力范围内的联系人。 微软发布的帖子写道:“根据观察到的一些模拟和目标,我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报(OSINT)来完善他们的侦察工作。MSTIC与LinkedIn合作,发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。” 黑客使用虚假身份与目标个人联系,并开始与他们对话,以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。 网络钓鱼邮件使用PDF附件,在某些情况下,还包括指向文件、文档托管服务的链接,或托管PDF文档的OneDrive帐户的链接。 打开PDF文件后,会显示一条消息,说明无法查看该文档,他们需要单击按钮重试。 单击该按钮,受害者将被重定向到运行网络钓鱼框架(如EvilGinx)的登录页面,该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后,受害者会被重定向到网站或文档,以避免引起怀疑。 一旦攻击者获得了对目标电子邮件帐户的访问权限,他们就会泄露情报数据(电子邮件和附件),或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。 微软证实,它已采取行动,通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs,其中包括APT在其网络钓鱼活动中使用的60多个域的列表。 可以在Microsoft的公告中找到完整的域列表,以及网络防御者可以用来防止类似攻击的安全措施。 防御措施包括禁用Microsoft 365中的电子邮件自动转发,使用IOC调查潜在的危害,要求对所有帐户进行MFA,以及使用FIDO安全密钥来提高安
2022年8月17日 00:24hackernews.cc
援引国外科技媒体 MacRumors 报道,Zoom 已经发布了新版补丁,修复了存在于 macOS 端应用中的漏洞,允许黑客入侵接管用户的操作系统。在安全公告中,Zoom 承认存在 CVE-2022-28756 这个问题,并表示在最新的 5.11.5 版本中已经提供了修复,用户应该理解下载安装。 Objective-See Foundation 的联合创始人兼安全专家帕特里克·沃德尔(Patrick Wardle)率先发现了这个漏洞,并在上周召开的 Def Con 黑客大会上公开演示。该漏洞存在于 Zoom 的 macOS 安装包内,需要特别的用户权限来执行。 通过利用该工具,沃德尔利用 Zoom 安装包的加密签名来安装恶意程序。接下来,攻击者可以接管用户的系统,允许修改、删除和添加文件。 在引用 Zoom 的更新之后,沃德尔表示:“感谢 Zoom 能够如此快地修复这个问题。反转补丁,Zoom 安装程序现在调用 lchown 来更新更新 .pkg 的权限,从而防止恶意使用”。 您可以通过首先在 Mac 上打开应用程序并从屏幕顶部的菜单栏中点击 zoom.us(这可能因您所在的国家/地区而异)来在 Zoom 上安装 5.11.5 更新。然后,选择检查更新,如果可用,Zoom 将显示一个窗口,其中包含最新的应用程序版本,以及有关更改内容的详细信息。从这里,选择更新开始下载。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304807.htm 封面来源于网络,如有侵权请联系删除
2022年8月17日 00:24hackernews.cc
世界各地的农民已经转向拖拉机黑客,以便他们能够绕过制造商强加给他们车辆的数字锁。就像胰岛素泵的 “循环 “和iPhone的越狱一样,这使得农民可以修改和修理对他们工作至关重要的昂贵设备。 周六在拉斯维加斯举行的DefCon安全会议上,被称为Sick Codes的黑客展示了针对约翰迪尔公司拖拉机的新越狱方法,他可以通过触摸屏控制多种型号的拖拉机。这一发现凸显了维修权运动的安全影响。Sick Codes发现的拖拉机漏洞并不是一个远程攻击,但所涉及的漏洞代表了设备中的基本不安全因素,可能会被恶意行为者利用或可能与其他漏洞串联。 正如2021年JBS肉类公司的勒索软件攻击等事件所显示的那样,确保农业产业和食品供应链的安全至关重要。但与此同时,像Sick Codes发现的那些漏洞有助于农民用自己的设备做他们需要做的事情。居住在亚洲的澳大利亚人Sick Codes在2021年 DefCon上发表了关于拖拉机应用编程接口和操作系统错误的演讲。在他公开了他的研究后,包括约翰迪尔在内的拖拉机公司开始修复一些缺陷。 Sick Codes表示,虽然他主要关注的是世界粮食安全和脆弱的农用设备带来的风险,但他也认为让农民完全控制自己的设备具有重要价值。在美国,关于一个人购买的设备的”维修权”的争论持续了多年之后,这一运动似乎已经达到了一个转折点。白宫去年发布了一项行政命令,指示联邦贸易委员会加大执法力度,处理因外部维修而使保修失效等做法。这一点,再加上纽约州通过了自己的维修权法和创造性的活动家压力,为这一运动带来了前所未有的动力。 面对越来越大的压力,约翰迪尔公司在3月份宣布,它将向设备所有者提供更多的维修软件。该公司当时还表示,它将在明年发布一个”增强型客户解决方案”,这样客户和机械师就可以自己下载和应用迪尔设备的官方软件更新,而不是由约翰迪尔单方面远程应用补丁或强迫农民将产品送到授权经销商处。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304725.htm 封面来源于网络,如有侵权请联系删除
2022年8月15日 16:31hackernews.cc
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)已发布联合公告,警告Zeppelin勒索软件攻击。Zeppelin 勒索软件于2019 年11月首次出现在威胁领域,当时来自 BlackBerry Cylance 的专家发现了一种名为Zeppelin的Vega RaaS 的新变体。该勒索软件涉及针对欧洲、美国和加拿大的技术和医疗保健、国防承包商、教育机构、制造商、公司的攻击。Zeppelin 被发现时是通过水坑攻击分发的,其中 PowerShell 有效负载托管在 Pastebin 网站上。 在部署Zeppelin勒索软件之前,攻击者会花费几周时间映射受害者网络,以确定他们感兴趣的数据存储在哪里。勒索软件可以部署为 .dll 或 .exe 文件,也可以包含在 PowerShell 加载程序中。 Zeppelin威胁行为者要求受害者以比特币支付赎金,金额从几千美元到超过一百万美元不等。该组织使用多种攻击媒介来访问受害者网络,包括 RDP 攻击、SonicWall 防火墙漏洞利用和网络钓鱼攻击。威胁行为者还实施双重勒索模型,威胁要泄露被盗文件,以防受害者拒绝支付赎金。 Zeppelin通常部署为 PowerShell 加载程序中的 .dll 或 .exe 文件。对于每个加密文件,它会附加一个随机的 9 位十六进制数字作为扩展名。在受感染的系统上(通常在桌面上)放置了赎金记录。FBI 观察到Zeppelin 攻击者在受害者网络中多次执行恶意软件的情况,导致每次攻击都创建不同的 ID 或文件扩展名;这导致受害者需要唯一的解密密钥。 对此,美国机构建议不要支付赎金,因为无法保证加密文件能够恢复,支付勒索软件会鼓励非法勒索行为。FBI还鼓励组织报告与 Zeppelin 运营商的任何互动,包括日志、比特币钱包信息、加密文件样本和解密文件。 为了降低勒索软件攻击的风险,建议组织定义恢复计划,实施多因素身份验证,使所有操作系统、软件和固件保持最新,实施强密码策略,分段网络,禁用未使用的端口和服务,审核用户帐户和域控制器,实施最低权限访问策略,查看域控制器、服务器、工作站和活动目录,维护数据的脱机备份,并识别、检测和调查异常活动和指示的勒索软件的潜在遍历带有网络监控工具。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341907.html 封面来源于网络,如有侵权请联系删除
2022年8月15日 16:11hackernews.cc
前段时间,宝马宣布将为今后的新车推出远程付费升级服务,包括座椅加热、自适应巡航等功能,客户可以在需要的时候,暂时或者永久付费开通某些功能。韩国和英国等市场,已经上线了部分服务,英国车主每月花15英镑(约合人民币120元)激活加热座椅等设备,或每月花35英镑(42美元)激活主动巡航控制设备。 而这也引起了不少消费者的不满,他们觉得自己花钱买的车,凭什么关闭功能而要额外支付费用才允许使用,有些功能我不想用的话,也就不想让它出现在自己车上。 据报道,近日,国外一些改装厂和黑客就向宝马订阅制提出宣战,黑客表示他们将攻克宝马的付费订阅系统,让用户免费使用该功能。 黑客表示:“我们一直在倾听客户的意见,并想方设法提供。只要有客户付费使用过,宝马激活该功能,我们就能攻破它;相反的,如果宝马没有激活该功能,我们可以用第三方应用或硬件来改造它,实现该功能。” 此外,在美国市场,宝马对于黑客或者改装厂破解的固件还必须保修,要不然会触犯FTC消费者保护法,因为这些功能都是已经存在了,用户只是启动它而已。 中国市场暂时只有模拟声浪和远程温控两个订阅,但这意味着宝马已经在中国市场尝试订阅制,未来,国内黑客是否会对宝马的订阅制“动手”,还需拭目以待。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304555.htm 封面来源于网络,如有侵权请联系删除
2022年8月15日 15:51hackernews.cc
Hackernews 编译,转载请注明出处: 现已删除的流氓软件包被推送到Python的官方第三方软件存储库,该软件包可以在Linux系统上部署加密矿工。 该模块名为“secretslib”,在删除前下载了93次,于2022年8月6日发布到Python包索引(PyPI),并被描述为“简化了秘密匹配和验证”。 Sonatype研究人员Ax Sharma上周在一份报告中透露:“经过仔细检查,该软件包在内存中的Linux机器上秘密运行加密矿工(直接从RAM中),这种技术主要被无文件恶意软件和加密器使用。” 它通过在安装后执行从远程服务器检索的Linux可执行文件来实现这一点,其主要任务是将ELF文件(“memfd”)直接放入内存中,该文件充当Monero加密矿工的作用,然后被“secretslib”包删除。 该软件包背后的黑客滥用了阿贡国家实验室(美国能源部资助的实验室)一名合法软件工程师的身份和联系信息,来提高该恶意软件的可信度。 简而言之,这个想法就是在用户不知情或不同意的情况下,将这些被感染的库分配给受信任、受欢迎的维护人员,从而欺骗用户下载它们——这种供应链威胁被称为“package planting”。 PyPi采取措施清除了10个恶意软件包,这些软件包经过精心编排以获取密码和API令牌等关键数据点。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月15日 11:31hackernews.cc
荷兰有关当局宣布,在美国宣布制裁去中心化的加密货币混合服务几天后,在阿姆斯特丹逮捕了一名据称为Tornado Cash加密货币混合器工作的软件开发人员。 荷兰财政信息和调查局(FIOD)在一份声明中说,该29岁男子涉嫌通过该服务参与隐瞒犯罪资金流和促进洗钱。 尽管FIOD没有透露该Tornado Cash公司工程师的名字,但The Block援引嫌疑人妻子的确认消息,认定该工程师的名字是Alexey Pertsev,其妻子坚称她的丈夫没有做任何违法的事情。 FIOD声称Tornado Cash被用来掩盖大规模的犯罪资金流动,包括来自在线盗窃加密货币(即所谓的加密货币黑客和骗局)”。FIOD在2022年6月启动了对Tornado Cash的调查,暗示其可能会进行更多的逮捕行动。FIOD还声称,Tornado Cash组织背后的人通过促进这些非法交易获得了大规模的利润。 本周早些时候,Tornado Cash成为继Blender.io之后,第二个被美国政府制裁的加密货币混合组织,因为该组织在帮助犯罪团伙清洗勒索软件和加密货币黑客等犯罪所得方面发挥了核心作用。 Tornado Cash平台的工作原理是汇集和扰乱来自数千个地址的各种数字资产,包括潜在的非法获得的资金和合法获得的资金,以掩盖回到资产原始来源的线索,使非法行为人有机会掩盖赃款的来源。 近期的相关事态发展表明了对加密货币混合服务审查将会逐渐增多的趋势,因为该项服务被认为是一种兑现不正当的加密货币的机制。据报道,朝鲜政权依靠对加密货币领域的网络攻击来掠夺虚拟资金,并在此过程中逃避对该国实施的经济和贸易制裁。 因此,封锁Tornado Cash的举动也被认为是美国政府试图对朝鲜利用网络战争对付加密货币交易所和服务以资助其战略目标的行为作出回应。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341895.html 封面来源于网络,如有侵权请联系删除
2022年8月15日 11:31hackernews.cc
近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。 澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。 ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。 ACCC 主席 Gina Cass-Gottlieb表示,谷歌是世界上最大的公司之一,它能够保留通过“网络和应用活动”设置收集的位置数据,谷歌可以使用保留的数据将广告定位到某些消费者,即使这些消费者“位置记录”设置已关闭。 个人位置数据对一些消费者来说既敏感又重要,如果谷歌没有做出误导性的陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。 澳大利亚联邦法院做出处罚决定 ACCC早在2019年10月就对谷歌提起诉讼。2021年4月,澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示,被误导的用户不会想到,如果允许“网络和应用程序活动”的跟踪,就意味着允许谷歌使用自己的位置数据。 当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制,并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项,让用户控制数据变得更加容易。” 此番联邦法院确认,2017年1月至2018年12月期间,谷歌通过安卓手机收集和使用其个人位置数据时,对用户做出误导性陈述,违反了消费者法。不仅如此,谷歌还被发现另外两项误导用户的违法行为。 在8月12日联邦法院的听证会上,双方同意处以6000万澳元的“公平合理”罚款,并且已向Thomas Thawley大法官提交一份联合意见书。此外,联邦法院下令谷歌调整其政策,以确保对合规的承诺,并为员工提供有关消费者法的培训。 ACCC 主席 Gina Cass-Gottlieb认为,“个人位置数据对某些消费者来说是敏感和重要的,如果不是谷歌做出误导性陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不
2022年8月15日 10:11hackernews.cc
一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。本周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。 虽然 Zoom 已经修复了演示中的部分 BUG,但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵,虽然在首次添加到 macOS 的时候需要用户输入系统密码,不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。 在 Zoom 发布修复更新之后,在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷,任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试,因此攻击者可以伪装任意恶意程序,并通过提权来掌控系统、 其结果是一种权限提升攻击方式,需要攻击者已经获得了对目标系统的初始访问权限,然后利用漏洞来获得更高级别的访问权限。 在这种情况下,攻击者从受限用户帐户开始,但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。 沃德尔在去年 12 月向 Zoom 报告了这个问题。虽然 Zoom 随后发布了一个修复补丁,但是令他沮丧的这个修复补丁包含另一个错误,这意味着该漏洞仍然可以以稍微更迂回的方式利用,因此他向 Zoom 披露了第二个错误,并等待了八个月才发布研究。 沃德尔表示:“对我来说,我不仅向 Zoom 报告了错误,还报告了错误以及如何修复代码,所以等了六、七、八个月,知道所有 Mac 版本的 Zoom 都在用户的计算机上仍然易受攻击,真是令人沮丧”。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1304009.htm 封面来源于网络,如有侵权请联系删除
2022年8月15日 10:11hackernews.cc
莫斯科时报》报道称,亲俄黑客组织Killnet声称对最近袭击航空航天和国防巨头洛克希德马丁公司的 DDoS 攻击负责。Killnet 组织还声称从洛克希德马丁公司的一名员工那里窃取了数据,并威胁要分享这些数据。 该组织自 3 月以来一直活跃,它对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的政府发起 DDoS 攻击。这家公司是“海马斯”(HIMARS)火箭炮的生产商。 该组织在 Telegram 上分享的一段视频中,该组织声称窃取了洛克希德马丁公司员工的个人信息,包括姓名、电子邮件地址、电话号码和图片。 该小组还分享了两个包含俄语消息的电子表格: “如果你无事可做,你可以给洛克希德马丁恐怖分子发电子邮件——他们制造武器后果的照片和视频!让他们意识到他们创造了什么以及他们做出了什么贡献。” 目前无法确定这些数据的真实来源。洛克希德马丁公司知道 Killnet 的说法,但没有对此发表评论。 Killnet组织还表示,他们在8月9日攻击了直播美国参议院举行的新一揽子对乌援助会议的网络资源。“Duma TV”电视台网站发布的黑客声明称:“通过这一揽子对乌援助会延长西方对俄罗斯发动的战争。我们通过此次攻击向大家展示,他们是多么的脆弱和可怜。” 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/ldgXWnD6Xq51c2ZnzXthhQ 封面来源于网络,如有侵权请联系删除
2022年8月12日 16:12hackernews.cc
Hackernews 编译,转载请注明出处: 周四,美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞,称有证据表明这些漏洞被积极利用。 这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关,这两个漏洞都可以链接在受影响的电子邮件服务器上,实现未经身份验证的远程代码执行。 CVE-2022-27925(CVSS评分:7.2) – 认证用户通过mboximport远程代码执行(RCE)(在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复) CVE-2022-37042 – MailboxImportServlet中的身份验证绕过(在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复) “如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26,你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。 CISA没有透露任何有关利用这些漏洞进行攻击的信息,但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。 简而言之,这些攻击涉及利用上述身份验证绕过漏洞,通过上传任意文件在底层服务器上获得远程代码执行。 Volexity表示:“在访问CVE-2022-27925使用的同一端点(mboximport)时,有可能绕过身份验证,并且该漏洞可以在没有有效管理凭据的情况下被利用,从而大大提高了该漏洞的严重性。” 它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例,其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。 这些攻击发生在2022年6月底,还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。 Volexity说:“CVE-2022-27925最初被列为需要身份验证的RCE漏洞,然而,当与一个单独的漏洞结合使用时,它变成了一个未经验证的RCE漏洞,从而使远程利用攻击变得微不足道。” 一周前,CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924,如果被利用,攻击者可能会从目标实例的用户那里窃取明文凭据。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.
2022年8月12日 14:52hackernews.cc
在拉斯维加斯举办的黑帽大会上,调查记者 Kim Zetter 表示:自 2010 年发现“震网”(Stuxnet)蠕虫病毒以来,针对全球石油 / 天然气管道、电力 / 水厂、以及其它基础设施计算机系统的攻击有急剧增加。但若人们能够积极落实必要的预防措施,去年针对 Colonial Pipeline 的勒索软件攻击,也本该是能够避免的。 Black Hat USA 2022(图自:Cnet / Bree Fowler 摄) 多年来,Kim Zetter 为《连线》等出版物撰写了多篇重大安全事件的报道,并且有在一本著作中详细介绍了针对伊朗铀浓缩设施的震网攻击。 由一位白罗斯安全研究人员率先发现的 Stuxnet 攻击,起初普遍被认为是美国与以色列在幕后主导,但后来也被 Symantec 等网络安全公司给深入挖掘。 Kim Zetter 表示,震网引发了国家之间的“网络军备竞赛”、并预示着“网络空间正向着军事化”去发展。 Stuxnet 展示了通过网络攻击解决地缘政治冲突的可行性,突然间,每个人都想加入这场游戏。 虽然此前只有少数国家持有攻击性的黑客程序,但震网还是促使其它国家迅速迎头赶上。 在事件全面曝光后,以电力为代表的需要高度监管的领域,已对其关键基础设施增强了防护。 然而在没有全面提升安全性的情况下,大多数领域的安全防护形势也正变得更加复杂。 Kim Zetter 以 Colonial Pipeline 遭遇的黑客攻击举例称: 在计算机系统被勒索软件挟持后,Colonial 迅速支付了数百万美元的赎金。 但是这笔灰色交易,也让那些认为石油和天然气管道运营商‘会有充分的数据备份’的观察人士大跌眼镜。 当时 Colonial Pipeline 官员向议员透露,该公司的安全响应计划,并未将勒索软件攻击考虑在内 —— 即便针对关键基础设施的攻击已经蔓延数年。 Kim Zetter 指出,坦普尔大学的研究人员,早在前一年就记录了针对关键基础设施的数百次攻击,此外各大网络安全公司也通报了此类攻击的增长。 2020 年,美国网络安全和基础设施安全局(CISA)还特地发布了一份报告,以提醒相关行业警惕针对能源管网的勒索软件攻击。 后续调查发现,攻击者利用了在另一个网络上使用、且不受多因素身份验证保护的员工密码,而渗透进了 Colonial 的虚拟专用网络。 在被勒索软件击倒后,该公司被迫停运近一周。当时相关报道还引发了民众的恐
2022年8月12日 14:52hackernews.cc
美国国务院今天宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息,包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划,会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息,现在已经扩大到为网络罪犯的信息提供奖励,如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 美国政府首次披露Conti成员的外貌 今天,国务院首次披露了被称为 “Target “的Conti勒索软件操作者的外貌,为他和其他四名被称为 “Tramp”、”Dandis”、”Professor “和 “Reshaev “的成员的信息提供了高达1000万美元的奖励。 正义奖赏计划悬赏1000万美元寻找Conti成员的信息 Conti勒索软件是一个臭名昭著的勒索软件组织,据统计,该勒索组织对全球超过1000次攻击负责,并收到超过1.5亿美元的赎金。在2020年夏天从Ryuk改名为Conti之后,这个勒索软件组织迅速崛起,出手攻击了高知名度的受害者,包括塔尔萨市、布劳沃德县公立学校以及爱尔兰卫生服务执行局(HSE)和美国卫生部(DoH)。 Conti选择与俄罗斯站在一起 然而,在俄乌战争中,Conti选择与俄罗斯站在一起后,一名乌克兰安全研究员开始泄露Conti勒索软件团伙成员之间的17万多条内部聊天对话以及Conti勒索软件加密器的源代码。这一数据泄露事件统称为“Conti泄露事件”。 此次发生的Conti数据泄露事件不仅导致Conti勒索软件的最终关闭,而且流出的内部谈话也使网络安全研究人员和执法部门能够迅速确定谁在负责该行动以及他们的职权划分。 一些Conti的成员在各个攻击行动中起到了重要的核心作用,因此现在已经成为正义奖赏计划的目标。 AdvIntel首席执行官Vitali Kremez向外界宣布的计划目标成员在Conti行动中具有以下作用: Tramp是BlackBasta勒索软件行动的所有者/领导者,之前是Conti勒索软件行动的领导者之一。他也是Qbot恶意软件指挥和控制基础设施业务的所有者和管理者。 Dandis是技术经理和领导,负责管理勒索软件行动的技术经理和领导者。 Professor是Ryuk的领导人之一,负责从战术层面进行勒索
2022年8月12日 14:32hackernews.cc
据The Record网站消息,一些黑客和加密货币盗窃者正在转向所谓的跨链平台洗钱,并试图避免执法部门追踪和冻结他们的非法收益。 根据区块链分析公司 Elliptic 本周发布的研究报告,在过去3年中,名为 RenBridge 的平台已被用于洗钱至少 5.4 亿美元的加密货币,该平台允许在不同的区块链网络之间无缝移动资产,例如将比特币转换为以太坊区块链。 目前。一些跨链桥被合法地用于帮助较新的加密货币与更通用的数字资产竞争,但这些平台也越来越受到网络犯罪分子的青睐,相比那些受监管的加密货币交易所,这些新型平台往往不会要求对客户进行过多的身份识别并向执法部门提供信息。 根据研究,一些最臭名昭著的网络犯罪集团已经使用了这些服务,比如攻击了哥斯达黎加政府而出名的Conti,通过 RenBridge 洗钱超过 5300 万美元;而 Ryuk 洗钱超过 9200 万美元,目前转账仍在进行中。 Elliptic 表示,在过去两年中,RenBridge还被用来清洗从交易所和去中心化金融服务中窃取的至少 2.67 亿美元加密货币资产,其中包括从日本加密货币交易所 Liquid 盗窃的 3380 万美元,该公司在去年 8 月与朝鲜有关的一次攻击中总共损失了 9700 万美元。 据 Chainalysis 的数据, 网络犯罪分子长期以来一直滥用加密货币的去中心化和不受监管的性质,使他们在去年洗钱86 亿美元。尽管加密货币为网络犯罪分子提供了一些匿名性,但它们并非无法追踪。网络犯罪分子不得不利用各种工具来隐藏被盗数字资产的来源。 Elliptic 的研究强调了跨链网络所带来的威胁:通过在区块链网络中轻松转移资金来隐藏被盗资金的来源。 Elliptic 研究人员写道:“RenBridge 等区块链桥对监管机构构成了挑战,因为没有中央服务提供商可以促进这些跨链交易。” “金融行动特别工作组 (FATF) 最近在其关于虚拟资产风险的最新报告中指出了通过‘链式跳跃’进行的洗钱活动,但如何监管此类活动仍有待观察。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341744.html 封面来源于网络,如有侵权请联系删除
2022年8月12日 14:32hackernews.cc
据infosecurity消息,肆虐Android平台的银行木马 SOVA 卷土重来,和之前相比增加了更多的新功能,甚至还有可能进行勒索攻击。8月11日,安全公司 Cleafy 对SOVA木马进行细致调查,并以报告的形式分享了调查结果。 报告指出,2021年9月,SOVA首次被安全人员发现,当时其开发人员在暗网上发布了未来更新的路线图,并声称正在进入市场。在接下来的几个月里,Cleafy 公司还发现了SOVA的各种迭代版本,实现了更新路线图中提到的某些功能。其中包括双因素身份验证 (2FA) 拦截、cookie 窃取和针对新目标和国家(例如多家菲律宾银行)的注入。 根据报告,SOVA将分布式拒绝服务(DDoS)、中间人(MiTM)和 RANSOMSORT 功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。SOVA还可以模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。 2022年7月,Cleafy公司发现了SOVA (V4)版本,并在其最新的公告中进行详细说明,针对的目标应用APP也从2021年的90个增加至200个,包括银行应用程序和加密货币交易所/钱包。 Cleafy 公司在报告中表示,“SOVA最有趣的部分与虚拟网络计算功能有关,自 2021 年 9 月以来,此功能一直在 SOVA 路线图中,这是攻击者不断更新恶意软件新功能的一个有力证据。” 此外,SOVA的最新版本还可以从受感染的设备中获取屏幕截图、记录和执行手势以及管理多个命令。在 SOVA V4版本,cookie 窃取机制被进一步重构和改进,以指定目标 Google 服务的综合列表以及其他应用程序列表。而更新后的恶意软件可以通过拦截那些卸载应用程序的操作来保护自己。 值得注意的是,Cleafy声称发现了 SOVA 的新版本(V5),对于代码进行了重构,添加了一些新功能,与命令/控制 (C2) 服务器之间通信的一些小变化。虽然SOVA V5 缺少 VNC 模块,但它具有勒索软件功能,这在移动端中较为罕见。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341757.html 封面来源于网络,如有侵权请联系删除
2022年8月12日 11:12hackernews.cc
Hackernews 编译,转载请注明出处: 网络安全研究人员披露了资产管理平台Device42的多个严重安全漏洞,如果成功利用这些漏洞,黑客可以控制受影响的系统。 Bitdefender在周三的一份报告中说:“通过利用这些漏洞,攻击者可以冒充其他用户,获得应用程序中的管理员级别访问权限(通过泄露与LFI的会话),或者获得对设备文件和数据库的完全访问权限(通过远程代码执行)。” 更令人担忧的是,在主机网络中具有任何级别访问权限的攻击者可以用菊花链连接其中三个漏洞,以绕过身份验证保护,并以最高权限实现远程代码执行。 漏洞如下: CVE-2022-1399 – 计划任务组件中的远程执行代码 CVE-2022-1400 – Exago WebReportsApi中的硬编码加密密钥IV.dll CVE 2022-1401 – Exago中提供的路径验证不足 CVE-2022-1410 – ApplianceManager控制台中的远程代码执行 其中最关键的漏洞是CVE-2022-1399,它通过命令注入和root权限执行bash指令,授予攻击者对底层设备的完全控制权。 虽然远程代码执行本身无法实现,但它可以与CVE 2022-1401和CVE-2022-1400串联在一起,通过利用Exago报告组件中发现的本地文件包含漏洞,来提取已认证用户的有效会话标识符。 罗马尼亚网络安全公司于2月18日披露之后,Device42在2022年7月7日发布的18.01.00版本中解决了这些漏洞。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月12日 10:11hackernews.cc
内布拉斯加州一名妇女和她17岁的女儿面临重罪和轻罪指控,她们涉嫌在20周后进行堕胎,这在该州长期以来是非法的,并隐藏了尸体。林肯日报明星报》和Motherboard的报道显示,本周执法部门为这些指控收集证据,部分是通过向Meta公司索取数据,命令该公司交出17岁女孩的Messenger聊天记录。 虽然Meta公司遵守了合法的法庭命令,但如果参与者使用了端对端加密,该公司就无法提供这些聊天记录,而Meta公司早就承诺为所有用户默认开启这一功能。同时,在一个Meta公司说完全不相关的举动中,这家社交媒体巨头今天上午宣布,它正在测试Messenger上的端到端加密信息的扩展。 自2016年以来,该公司一直承诺全面默认部署该隐私功能。首席执行官马克扎克伯格甚至在2019年承诺在其所有聊天应用程序中实施端到端加密。但是,该公司面临着技术和政治上的挑战,年复一年地推迟了全面推广,迫使Meta公司转而采取渐进、渐进的步骤。这家社交巨头目前表示,它正朝着2023年在全球范围内推出默认的个人信息和通话端对端加密的方向发展。 不过,就目前而言,该公司今天继续缓慢前进,说它正在测试一组与加密有关的新功能和举措。本周,Meta公司将扩大某些人之间自动开启端到端加密的聊天记录的数量。这意味着这些用户将不必选择启用保护。同样,该公司表示,它将很快扩大可以在Instagram Direct Messenger上选择端到端加密的用户数量。 从本周开始,Meta还在测试端到端加密聊天的”安全存储”功能,因此用户可以备份他们的信息,以防他们丢失设备或得到一个新的设备并想恢复他们的聊天记录。该公司表示,这种安全备份功能将成为Messenger上端对端加密聊天的默认功能,并可选择用PIN码或生成的代码锁定备份。用户也可以选择不使用备份,并关闭该功能。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1303401.htm 封面来源于网络,如有侵权请联系删除
2022年8月12日 09:51hackernews.cc
8月11日晚间,@美的集团 官微就“美的受黑客攻击并勒索千万美元”的传闻进行回应。美的集团表示,网传美的遭受病毒勒索系谣言,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。 此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美金到指定账户。 聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要使用美信、邮箱发送文件等,并且会安排安保进行强制关机。 据了解,2021年美的集团实现营业总收入3434亿元,同比增长20.2%;实现净利润290亿元,同比增长5.5%。 2022年第一季度,美的集团实现营业总收入909亿元,同比增长9.5%;实现净利润72亿元,同比增长10%。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1303447.htm 封面来源于网络,如有侵权请联系删除
2022年8月11日 17:31hackernews.cc
Hackernews 编译,转载请注明出处: 思科修复了一个严重漏洞,跟踪为CVE-2022-20866,影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理,未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥,攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时,存在逻辑错误,从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞,成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出,在受影响的设备上可能会观察到以下情况: 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥;并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效,但它具有特定的特征,容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用,并且TLS客户端连接到运行思科ASA软件或FTD软件的设备,如果使用格式错误的RSA密钥,将导致TLS签名失败,这意味着易受攻击的软件版本创建了无效的RSA签名,无法通过验证。如果攻击者获取RSA私钥,他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备,或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA(9.16.1及更高版本)或思科FTD(7.0.0及更高版本)软件的产品,这些软件执行基于硬件的加密功能: ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Fir
2022年8月11日 15:51hackernews.cc
研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 据ExtraHop最新发布的报告,全球大多数组织都在向公共互联网公开暴露敏感和不安全的协议,这可能会使攻击面扩大。 报告分析了一系列企业IT环境,基于开放端口和敏感协议暴露情况对网络安全状况进行基准测试。 研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 该研究还显示,超过三分之一(36%)的组织通过不安全的文件传输协议(FTP)暴露了至少一个设备,该协议以纯文本形式发送文件,这意味着它们很容易被拦截。 超过五分之二(41%)的受访企业至少拥有一台暴露LDAP的设备,该设备可被用于在Active Directory中查找用户名。这些协议以纯文本形式传输查询,可能会使凭据面临风险。 令人惊讶的是,报告还发现,尽管远程连接协议(Telnet)自2002年以来已被弃用,但仍有12%的组织至少有一台设备将Telnet暴露在公共互联网上。 SMB协议是WannaCry和其他攻击的热门目标,是企业的另一个常见安全风险。超过一半(51%)的医疗组织和45%的SLED组织拥有多个暴露SMB协议的设备。 ExtraHop首席信息安全官Jeff Costlow将这些端口和协议称为“门和走廊”,攻击者使用这些端口和协议来探索网络和发动攻击。 “知道哪些协议在你的网络上运行以及哪些漏洞与它们相关极为重要,”他补充道:“这使防御者能够基于其风险承受能力做出明智的决定并采取行动——例如在环境中保持软件和硬件的持续资产报告,快速、持续地修补软件,以及投资用于实时洞察和分析的工具。” 转自 安全内参,原文链接:https://www.secrss.com/articles/45646 封面来源于网络,如有侵权请联系删除
2022年8月11日 15:51hackernews.cc
本月早些时候,Akamai Technologies(阿卡迈技术公司,下称阿卡迈)平息了欧洲史上最大型分布式拒绝服务(DDoS)攻击,将一家东欧公司从30多天的持续重创中解救出来。 作为网络安全和云服务供应商,阿卡迈表示,攻击高潮出现在7月21日,14个小时内达到峰值每秒6.596亿数据包(Mpps)和每秒853.7千兆比特每秒(Gbps)。 在一篇博客文章中,阿卡迈云安全业务部门产品经理Craig Sparling写道:“该攻击针对大量客户IP地址,是阿卡迈Prolexic平台上历来挫败的最大型全球横向攻击。” Sparling没有透露遭攻击公司的名称,但表示这家公司是阿卡迈在东欧的客户。在30天的时间里,该客户遭到通过多种途径发起的75次攻击。用户数据报协议(UDP)是这场DDoS攻击中最常用的途径,创纪录的峰值中就有UDP攻击的身影。 其他攻击方法还包括:UDP分片、ICMP洪水、RESET洪水、SYN洪水、TCP异常、TCP分片、PSH ACK洪水、FIN洪水和PUSH洪水。数据清洗系统能够清除大部分危险流量。 DDoS攻击的流量表明,网络犯罪团伙“利用由被黑设备构成的复杂全球性僵尸网络来策划这场攻击活动。”Sparling写道。“整场攻击中没有哪个数据清洗中心处理了超过100Gbps的攻击。” Prolexic平台囊括全球20个大容量数据清洗中心,分布在世界各地,便于就近处理DDoS攻击和保护受害者。在攻击中,流量经阿卡迈Anycast网络流经最近的清理中心,阿卡迈安全运营指挥中心在此应用各种缓解控制措施来阻止攻击。 DDoS攻击的目的是用流量洪水冲击目标企业,使其无法再开展线上业务。应用层攻击可利用僵尸网络发起流量洪水,淹没Web服务器等联网软件,使其无法处理合法请求。网络层攻击通常针对系统处理入站网络数据包的能力。 “分布式拒绝服务攻击(DDoS)的风险从未像现在这样大。”Sparling写道,“过去几年里,企业遭遇了大量的DDoS勒索、新型威胁、国家支持的激进黑客行动,还有威胁领域前所未有的创新招数。而且攻击者毫无放缓迹象。” 今年4月,卡巴斯基发布报告称,一季度DDoS攻击创下历史新高,环比暴增46%,针对性攻击的数量甚至增加了81%。这家网络安全公司认为,俄乌冲突或许是DDoS威胁范围不断扩大的原因之一。 Cloudflare在4月挫败了创纪录的HTTPS DDoS攻击,仅仅两个月后又战胜了更
2022年8月11日 15:51hackernews.cc
Sophos X-Ops在报告中称某汽车供应商的系统在5月的两周内被三个不同的勒索软件团伙入侵,文件遭多重加密,其中两次攻击发生的间隔甚至是在两小时内。 在这些攻击之前,2021年12月,一个可能的初始访问代理(IAB)对该公司的系统进行了初步入侵,攻击者利用防火墙的错误配置,使用远程桌面协议(RDP)连接入侵域控制器服务器。 Sophos X-Ops在本周三发布的报告称虽然双重勒索软件攻击越来越常见,但这是他们看到的第一起三个独立的勒索软件攻击者使用同一个入口点来攻击一个组织的事件。 两个月内三次被攻破 在最初的入侵之后,LockBit、Hive和ALPHV/BlackCat的附属攻击组织也分别在4月20日、5月1日和5月15日进入了受害者的网络。 5月1日,LockBit和Hive勒索软件的有效载荷在两小时内利用合法的PsExec和PDQ Deploy工具在整个网络中分发,在每次攻击中加密了十多个系统,与LockBit关联的攻击组织还窃取了数据并将其外流到Mega云存储服务。 Sophos X-Ops 在报告中对事件细节进行了补充,其表示由于Hive攻击是在Lockbit之后2小时开始的,Lockbit勒索软件仍在运行,因此这两个小组不断发现没有标志着它们被加密的扩展名的文件。 两周后,5月15日,当这家汽车供应商的IT团队仍在恢复系统时,一个BlackCat攻击者也连接到了被LockBit和Hive入侵的同一管理服务器。在安装了合法的Atera Agent远程访问解决方案后,攻击者获得了网络上的持久性,并渗出了被盗数据。 在半小时内,BlackCat的附属攻击机构在网络上使用PsExec交付了自己的勒索软件有效载荷,在使用被攻击的凭证在网络上横向移动后,加密了六台机器。 攻击时间线 通过删除影子副本和清除被攻击系统上的Windows事件日志,这个最后的攻击者也使恢复尝试和Sophos团队的事件响应工作变得复杂。 BlackCat删除了Sophos可以用来追溯这三个勒索软件团伙在受害者网络中活动的证据。 Sophos的事件响应人员在5月中旬协助受害者进行攻击调查时,发现文件被Lockbit、Hive和BlackCat勒索软件加密了三次,并在被加密的系统上发现了三种不同的赎金笔记。 “事实上,正如下面的截图所示,一些文件甚至被加密了五次,”Sophos团队向外界透露称。“因为Hive攻击是在Lockbit之后2
2022年8月11日 15:31hackernews.cc
据彭博社报道,因窃取 Twitter 用户有关的私人信息,并将数据交给沙特阿拉伯政府,美国公民艾哈迈德·阿布阿莫(Ahmad Abouammo)将最高面临 20 年的监禁。 据悉,该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉(Ali Alzabarah),此人目前已逃离美国,正在被当局通缉,阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前,阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里(Ahmed Aljbreen)三人被美国法院指控是沙特阿拉伯的“非法代理人 ”,遭到了起诉。根据旧金山联邦法院的判决可知,前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看,2013 年,阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募,在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限,在未经授权的情况下,非法获取了有关批评阿拉伯政权用户的非公开信息(主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息)。 随后,2 人将这些信息告诉了一名与沙特政府有关联的沙特官员,作为回报,阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是,据说为了阻碍调查,阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局(FBI)探员时撒了谎,称收到的这块手表是 “垃圾”,仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调,阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下,以持不同政见者的批评者为目标,以期获取他们的私人数据信息,这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341604.html 封面来源于网络,如有侵权请联系删除
2022年8月11日 15:31hackernews.cc
Hackernews 编译,转载请注明出处: 云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。 该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。” 本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月11日 11:51hackernews.cc
2022年8月10日,思科证实,Yanluowang勒索软件集团在今年5月下旬入侵了公司网络,攻击者试图以泄露被盗数据威胁索要赎金。 对此,思科发言人表示,攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据,声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日,攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统,并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户(包含从其浏览器同步的凭据)后,使用员工被盗的凭据获得了对思科网络的访问权限。随后,攻击者多因素身份验证 (MFA) 推送说服员工接受该通知,并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终,攻击者者诱骗受害者接受其中一个 MFA 通知,并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟,Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后,他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息,并将一系列有效负载安装到受感染的系统上,其中就包括后门。 在获得初始访问权限后,攻击者进行了各种活动来维护访问权限,最大限度地减少取证,并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境,但在未来的几周内,Yanluowang依旧尝试重新获得访问权限,均未成功。 黑客声称从思科窃取数据 虽然思科一再强调,Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出,“我们没有在这次攻击中观察到勒索软件的部署,但使用的 TTP 与“勒索软件前活动”一致,这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中,我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据,大约有3100个文件,其中很多文件涉及保
2022年8月11日 11:11hackernews.cc
网络安全和基础设施安全局与澳大利亚网络安全中心合作,于周四发布了网络安全咨询, 详细介绍了去年观察到的主要恶意软件。根据该公告,2021 年最常见的恶意软件包括远程访问木马、银行木马、信息窃取程序和勒索软件。 具体来说,2021年的顶级恶意软件是:Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot 和 GootLoader。 例如,Qakbot 和 TrickBot 被用来创建用于勒索软件攻击的僵尸网络。同时,Formbook、Agent Tesla 和 Remcos 被用来进行大规模网络钓鱼活动,这些活动使用 COVID-19 主题来窃取个人信息和企业或个人凭据。该公告指出,“开发人员会创建恶意软件,恶意软件分发者通常会通过这些恶意软件将恶意软件分发给恶意软件最终用户。” 一些恶意软件也作为合法软件销售。 CISA 和 ACSC 表示,这些顶级菌株中的大多数已经使用了 5 年以上——有些已经使用了 10 多年——它们各自的代码库演变成几个变体。这些机构指出,恶意代码得到支持、改进、更新和重用,这有助于延长恶意软件及其不同版本的寿命。 政府机构敦促组织使用联合咨询中的建议,并补充说,不良行为者使用这些毒株“为组织提供了更好地准备、识别和减轻来自这些已知恶意软件的攻击的机会。” 建议包括及时向系统应用补丁和更新软件、实施用户培训、保护远程桌面协议、为已知漏洞修补系统和进行离线数据备份,以及利用多因素身份验证和实施网络分段。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/KRCgtZSeHhzdxuD4qukgCA 封面来源于网络,如有侵权请联系删除
2022年8月11日 11:11hackernews.cc
印度储备银行公布了它打算对数字贷款公司实施的指导方针,建议给客户更多的透明度和控制权,因为这个南亚国家的中央银行正在采取进一步措施,打击粗制滥造的做法和债权人。 周三发布的指导方针规定了谁可以向印度的借款人贷款,他们可以从借款人那里收集哪些数据,并授权扩大披露要求,此举可能会使世界第二大互联网市场的许多金融科技初创企业感到不安。 贷款人将不被允许在未获得客户同意的情况下增加客户的信用额度,并被要求以明确的条款披露年度贷款利率。数字贷款应用程序也将被要求在收集任何数据之前事先征得客户的明确同意。 根据指导方针,在任何情况下,数字贷款公司应停止访问手机资源,如文件和媒体、联系人名单、通话记录、电话功能等。只有在借款人明确同意的情况下,才可以对摄像头、麦克风、位置或任何其他必要的设施进行一次性访问。 近年来,在印度出现了许多草率的借贷应用程序和非银行金融机构向客户收取高额费用的情况下,这些指导方针在去年首次提出,其中一些已获得原则性批准。简略做法的盛行促使Google去年从印度的Play Store中撤出了一些个人贷款应用程序,并实施了更有力的措施来防止滥用。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1302983.htm 封面来源于网络,如有侵权请联系删除
2022年8月10日 17:30hackernews.cc
近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间,并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713,非正式地称为DogWalk,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的,但他的报告被错误地归类为未描述安全风险,因此被驳回。今年,安全研究员j00sean再次引起了公众的关注,他总结了攻击者可以通过利用它实现的目标,并提供了视频证明。 该漏洞的成功利用需要用户交互,这是一个很容易通过社会工程克服的障碍,尤其是在电子邮件和基于Web的攻击中,微软在今天的一份咨询中表示: 在电子邮件攻击场景中,攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。在基于 Web 的攻击情形中,攻击者可能拥有一个网站(或利用接受或托管用户提供的内容的受感染网站),其中包含旨在利用该漏洞的特制文件。 自6月初以来,0patch微补丁服务已为大多数受影响的Windows 版本(Windows 7/10/11 和 Server 2008 至 2022)提供了一个非官方补丁。作为2022年8月Windows安全更新的一部分,微软今天解决了CVE-2022-34713 。该公司指出,该问题已在攻击中被利用。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333,它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置,从而在目标系统上植入恶意文件。 瑞士公司SonarSource于 6 月下旬在一份报告中披露了该安全问题,该报告描述了如何将其用于远程执行代码,从而在未经身份验证的情况下破坏 Zimbra 电子邮件服务器。本月早些时候,被利用的代码已添加到Metasploit渗透测试软件中。对于这两个漏洞,美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341495.html 封面来源于网络,如
2022年8月10日 17:10hackernews.cc
Hackernews 编译,转载请注明出处: VMware警告其客户,在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码,该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞,并且今天发布了针对该漏洞的概念验证(PoC)漏洞利用代码,并提供了有关该漏洞的技术细节。 上周,这家虚拟化巨头解决了CVE-2022-31656漏洞,该漏洞影响了多个产品的本地域用户,未经身份验证的攻击者可以利用此漏洞获取管理员权限。 虚拟化巨头发布的公告称:“具有用户界面网络访问权限的攻击者,可能无需进行身份验证即可获得管理访问权限。” 该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品,被评为严重漏洞,CVSS v3评分为9.8。 今天,VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。 已更新的咨询信息表明,VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。 好消息是,供应商没有意识到这些攻击利用了野外攻击中的漏洞。 该公司发布的一份公告称:“在发布本文时,VMware并未意识到这些漏洞被利用了。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年8月10日 14:50hackernews.cc
Check Point的安全研究人员在Python软件包索引(PyPI)上发现了10个恶意软件包,这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text,这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包,因此复制了整个项目描述,而非过去常见的部分复制描述。一旦下载了Ascii2text,其将会通过下载一个脚本,收集存储在谷歌浏览器、微软Edge、Brave、Opera和Yandex浏览器等网络浏览器中的密码。 Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包,其共同目标是窃取用户的AWS凭证。 Test-async和Zlibsrc库也出现在报告中。据Check Point称,这两个包在安装过程中会下载并执行潜在的恶意代码。 Check Point还提到了另外三组恶意软件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit,它们都能够窃取用户凭证和环境变量。 最后,Check Point的公告提到了Browserdiv,这是一个恶意软件包,其目的是通过收集和发送证书到预定义的Discord网络钩子来窃取安装者的证书。Check Point在公告中写道虽然根据其命名组成,Browserdiv似乎是针对网页设计相关的编程(浏览器,div),但根据其描述,该包的动机是为了在Discord内部使用自我机器人。 据Check Point的公告称,一旦安全研究人员发现这些恶意用户和软件包,他们就通过PyPI的官方网站发出警报,在Check Point披露了这些恶意软件包之后,PyPI很快就删除了这些软件包。 不幸的是,这不是第一次在PyPI仓库上发现恶意的开源包了。2021年11月,JFrog安全研究团队透露,它从PyPI发现了11个新的恶意软件包,下载量超过40,000。为了减少恶意软件包在PyPI上的出现,PyPI资源库的团队在7月开始对被归类为 “关键 “的项目执行双因素认证(2FA)政策。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341509.html 封面来源于网络,如有侵权请联系删除
2022年8月10日 14:50hackernews.cc
继昨日FreeBuf报道了《员工被钓鱼,云通讯巨头Twilio客户数据遭泄露》后,8月9日,知名云服务提供商Cloudflare 也表示,一些公司员工的系统账户凭证也在一次网络钓鱼短信攻击中被盗,手法和上周 Twilio批露的遭遇如出一辙。 根据Cloudflare在官方博客发布的说明,大约在 Twilio 遭到攻击的同时, Cloudflare 的员工也遭到了具有非常相似特征的攻击 ,有至少 76 名员工的个人或工作手机号码收到了钓鱼短信,一些短信也发送给了员工的家人。虽还无法确定攻击者是以何种方式收集到了员工手机号码,但得益于Cloudflare采用了符合 FIDO2 标准的安全密钥,即使攻击者拿到了员工账户,在尝试登陆时均被成功阻止。 Cloudflare也透露,钓鱼短信提供了一个域名为cloudflare-okta.com的克隆登录页面,在该页面上输入凭证后,AnyDesk 远程访问软件会自动下载到计算机上,从而允许攻击者远程控制其设备。该域名是通过 Porkbun注册,和 Twilio攻击中出现的钓鱼登录页面的域名系同一家注册商。 发送给 Cloudflare 员工的网络钓鱼短信 (Cloudflare) 在这起攻击事件中,Cloudflare采用了多种手段进行防御: 使用 Cloudflare Gateway 阻止钓鱼页面 识别所有受影响的 Cloudflare 员工账户并重置受损凭证 识别并拆除攻击者部署的基础设施 更新检测以识别任何后续攻击尝试 审核服务访问日志以获取任何其他的攻击迹象 可见,Cloudflare凭借有效的防御手段成功抵御了这次钓鱼攻击,Twilio 则未能幸免,尽管事后 Twilio 通过联系运营商和服务提供商对关闭了攻击者的URL,但攻击者也能通过更换运营商和服务提供商的方式继续他们的攻击。所以俗话说的好,打铁还需自身硬。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341481.html 封面来源于网络,如有侵权请联系删除
2022年8月10日 12:10hackernews.cc
Hackernews 编译,转载请注明出处: 卡巴斯基的网络安全研究人员将Maui勒索软件与朝鲜支持的Andariel APT组织联系起来,后者被认为是Lazarus APT集团的一个部门。 朝鲜民族国家黑客使用Maui勒索软件对提供医疗服务的服务器进行加密,包括电子健康记录服务、诊断服务、成像服务和内联网服务。 卡巴斯基专家注意到,在将Maui勒索软件部署到初始目标系统前约10小时,黑客在3个月前向目标部署了一种著名的DTrack恶意软件变体。这两种恶意代码都被认为是Andariel武器库的一部分。并且,用于攻击日本、俄罗斯、印度和越南公司的DTrack变体与Andariel APT网络间谍活动中使用的样本代码相似度为84%。 Andariel APT(又名Stonefly)自2015年来一直很活跃,它参与了几次朝鲜政府发起的攻击事件。 根据这次攻击的操作方式,我们得出结论,Maui勒索软件事件背后的黑客TTP与过去Andariel/Stonefly/Silent Chollima的活动非常相似: 在初始感染后使用合法的代理和隧道工具或部署它们以保持访问,并使用Powershell脚本和Bitsadmin下载其他恶意软件; 利用漏洞来攻击已知但未修补的脆弱公共服务,如WebLogic和HFS; 专门部署DTrack,也称为Preft; 在活动之前,目标网络内的停留时间可以持续数月; 在全球范围内部署勒索软件,显示持续的经济动机和利益规模。 2020年4月,美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见,警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时,美国政府还向任何能够提供“与朝鲜有关的APT组织所开展活动的信息”的人提供高达500万美元的奖金,当局还将为过去黑客活动的信息付费。 今年7月,美国国务院将奖励增加到1000万美元。 掌握与朝鲜相关的APT团体(如Andariel、APT38、Bluenoroff、Guardians of Peace,Kimsuky或Lazarus集团)相关的任何个人信息,以及违反计算机欺诈和滥用法并参与针对美国关键基础设施的人,可以获得奖励。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNew
2022年8月10日 11:10hackernews.cc
由于外包供应商遭受网络攻击,导致英国111医疗急救热线发生重大持续性中断,官方建议民众使用111网站来访问急救服务。 安全内参消息,由于受到网络攻击影响,英国国家医疗服务体系(NHS)的111急救热线(注:类似我国的120热线)发生重大持续性中断。 这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示,111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。 威尔士救护车服务中心表示,“当地用于将111急救热线患者转诊给急诊全科医师的计算机系统,近期出现了重大故障。” “该系统主要帮助当地卫生局为患者提供协调服务。持续中断已经造成严重冲击与深远影响,覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。” 英国卫生部部长Steve Barclay表示,正定期听取关于NHS 111服务事件的简报,目前已在受影响地区制定应急计划,将影响降到最低。 NHS官方建议,民众暂时使用在线网站访问111急救呼叫服务,直到事件得到解决。 Advanced公司高管证实网络攻击 目前,Advanced网站状态页面会弹出仅供客户及员工登录的表单,外部无法公开访问。但该公司首席运营官Simon Short已经证实,这次事件源自上周四(8月4日)早上检测到的网络攻击。 Short向英媒BBC公布的一份声明中表示,“我们发现了一个安全问题,已经引发服务中断。” “可以确定该事件与网络攻击有关。作为预防措施,我们立即隔离了所有医疗与护理IT环境。” “我们的事件响应团队及早介入,将问题控制在了少数服务器中,受影响设备只占整体医疗保健基础设施的2%。” 虽然并未提供关于网络攻击性质的细节信息,但根据Short的描述,这很可能是一起勒索软件或者数据勒索攻击。 Advanced公司为各行各业的22000多家全球客户提供商业软件,场景涵盖医疗保健、教育以及非营利组织等。 这家服务提供商的客户包括英国医疗卫生服务体系(NHS)、英国工作和养老金部(DWP)以及伦敦城市机场等。 外媒BleepingComputer曾联系到Advanced公司一位发言人,希望了解更多事件细节,但对方并未立即回应置评请求。 转自 安全内参 ,原文链接:https://www.secrss.com/articles/4
2022年8月10日 09:50hackernews.cc
近日,FortiGuard实验室的研究人员发现了一种新型物联网(IoT)僵尸网络“RapperBot”,自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码,但与其他IoT恶意软件家族不同,它实现了一种内置功能来暴力破解凭据并获得对SSH服务器(而非在Mirai中实现的Telnet)的访问权限。 专家们还注意到,最新的样本包括保持持久性的代码,这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能,它旨在针对ARM、MIPS、SPARC和x86架构。 根据FortiGuard实验室发布的分析结果指出, “与大多数Mirai变体(使用默认或弱密码暴力破解Telnet服务器)不同,RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。其大部分恶意软件代码包含一个SSH 2.0客户端的实现,可以连接和暴力破解任何支持Diffie-Hellmann密钥交换的768位或2048位密钥以及使用AES128-CTR数据加密的SSH服务器。RapperBot暴力破解实现的一个显著特征是在SSH协议交换阶段使用‘SSH-2.0-HELLOWORLD’向目标SSH服务器标识自己。”   该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中,但从7月开始,新的样本开始从C2服务器检索该列表。 自7月中旬以来,RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令,将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。 一旦将公钥存储在 ~/.ssh/authorized_keys中,任何拥有相应私钥的人都可以在不提供密码的情况下验证SSH服务器。 RapperBot还能通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”上,来保持其在任何设备上的立足点。这允许该恶意软件通过SSH保持对这些受感染设备的访问权限,即便是设备重启或从设备中删除RapperBot也无济于事。 该报告补充道, “在最新的RapperBot样本中,该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备,进一步允许攻击者
2022年8月10日 09:50hackernews.cc
近日,美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务,据悉,自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元,这是有史以来最大的已知加密货币抢劫案。据悉,这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来,攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 (其中 1 亿美元被盗),以及至少 780 万美元来自 8 月 Nomad Heist  (被盗 1.5 亿美元)。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后,这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天,财政部正在制裁 Tornado Cash,这是一种虚拟货币混合器,可以清洗网络犯罪的收益,包括针对美国受害者的犯罪,”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证,但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施,并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前,美国财政部官员今年发起了一波制裁,以防止加密货币被用于逃避制裁和洗钱。今年4月,在首次制裁虚拟货币混币器之前不久,美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG,因为它在俄罗斯科技领域运营。同样在那个月,美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务,并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款,罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露,使用 Helix 不倒翁洗钱的最大数量的加密货币来自
2022年8月9日 16:52hackernews.cc
Hackernews 编译,转载请注明出处: LogoKit:黑客利用在线服务和应用中流行的开放重定向漏洞,来绕过网络钓鱼活动中的垃圾邮件过滤器。 Resecurity, Inc.(美国)是一家总部位于洛杉矶的网络安全公司,为财富500强企业提供托管威胁检测和响应,识别黑客,它利用在线服务和应用中流行的开放式重定向漏洞来绕过垃圾邮件过滤器,最终提供网络钓鱼内容。 他们使用高度可信的服务域,如Snapchat和其他在线服务,创建特殊的URL,从而通过网络钓鱼工具获得恶意资源。所识别的工具包名为LogoKit,曾用于攻击Office 365、美国银行、GoDaddy、Virgin Fly以及国际上其他主要金融机构和在线服务的客户。 LogoKit的峰值是在8月初左右发现的,当时已经注册了多个冒充流行服务的新域名,并与开放重定向一起使用。虽然LogoKit在地下就为人所知,但自2015年以来,其背后的网络犯罪集团一直在利用新策略。 LogoKit以其使用JavaScript的动态内容生成而闻名——它能够实时更改登录页面上的徽标(模拟服务)和文本,以适应动态变化,这样,目标受害者更有可能与恶意资源进行交互。2021年11月左右,在利用LogoKit的活动中使用了700多个已识别的域名,其数量还在不断增长。 值得注意的是,参与者更喜欢在滥用管理流程相对较差的异域管辖区使用域名——.gq、.ml、.tk、ga、.cf,或未经授权访问合法网络资源,然后将其用作主机来进行进一步的网络钓鱼分发。 LogoKit依靠向用户发送包含其电子邮件地址的钓鱼链接。一旦受害者导航到URL,LogoKit就会从第三方服务(如Clearbit或谷歌的favicon数据库)获取公司徽标。然后,受害者的电子邮件会自动填写电子邮件或用户名字段,从而使他们感觉自己以前登录过。如果受害者随后输入密码,LogoKit将执行AJAX请求,将目标的电子邮件和密码发送到外部源,最终将受害者重定向到他们的“合法”公司网站。 这些策略允许网络犯罪分子在合法服务的通知背后伪装其活动以逃避检测,从而诱使受害者访问恶意资源。 不幸的是,开放重定向漏洞的使用极大促进了LogoKit的分发,因为许多(甚至流行的)在线服务并不将此类漏洞视为关键问题,在某些情况下,甚至不进行修补,为这种滥用留下了机会。 Resecurity发布的分析报告中提供了更多细节。   消息来源:
2022年8月9日 15:12hackernews.cc
据Bleeping Computer消息,因遭受了网络攻击,丹麦7-11门店的支付和结账系统全面故障,故而选择闭店。8月8日,7-11公司在Facebook 上发帖称,他们很可能遭受了“网络攻击”。 发布到 Facebook 的声明 同时,7-11公司表示,目前正在和第三方安全公司共同调查这起攻击事件,门店暂时关系直至系统恢复,并强调这个过程“不会很久”。 “不幸的是,我们怀疑今天(2022年8月8日,星期一)受到了黑客攻击。这意味着我们无法使用结账和/或接收付款。因此,我们将关闭商店,直到我们知道此次网络攻击的具体信息和公司受损程度。我们自然希望我们可以很快再次开店。” 一位丹麦7-11的工作人员在Reddit上发帖(目前已删除)称,他们确实遭遇了网络攻击,所有的结账系统全部停止工作而被迫闭店。 “在7-11工作,我们的结账系统不起作用,全国所有的7-11都使用相同的系统,所以丹麦的所有7-11现在都关闭了”。 目前,还没有关于这次攻击的进一步细节,包括是否涉及勒索软件,这已成为导致大规模中断最常见的网络攻击。 此前也曾遭遇网络攻击 这不是7-11第一次遭遇网络攻击。早在2009年,7-11就因为网络攻击泄露了大约1.3亿张信用卡数据,引起轩然大波。 2019年日本连锁便利店“7.11”还发生一件令人哭笑不得的事情。其系统刚上线不久的线上支付就被两名黑客攻破防线,盗走5500万日元。 到7月4日,推测涉及金额5500万日元,涉案人员多达900人。7-11官网当即发布通知,暂停7pay的充值服务。7-11企业负责人也紧急召开记者会,对此深表歉意,并表示7-11将会承担所有的盗刷损失。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341358.html 封面来源于网络,如有侵权请联系删除
2022年8月9日 14:52hackernews.cc
据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341361.html 封面来源于网络,如有侵权请联系删除
2022年8月9日 14:52hackernews.cc
Facebook母公司Meta披露,它对南亚的两个攻击组织采取了反制行动,这两个组织都是利用其社交媒体平台向潜在目标分发恶意软件。 Bitter APT 第一组组织的行动在Meta的描述中是呈现持续和资源丰富的特征,是由一个以Bitter APT(又名APT-C-08或T-APT-17)为名追踪的黑客组织进行,目标是新西兰、印度、巴基斯坦和英国的个人。 Meta公司在其《季度对抗性威胁报告》中称Bitter使用各种恶意战术在网上攻击人们,用恶意软件感染他们的设备。该组织混合使用链接缩短服务、恶意域名、被破坏的网站和第三方托管提供商等诸多方式来分发他们的恶意软件。 这些攻击者会在平台上创建虚构的角色,伪装成有吸引力的年轻女性,以期与目标建立信任,引诱目标点击带有恶意软件的假链接,攻击者说服受害者通过苹果TestFlight下载一个iOS聊天应用程序,TestFlight是一个合法的在线服务,可用于测试应用程序并向应用程序开发人员提供反馈。 研究人员表示该行为意味着黑客不需要依靠漏洞来向目标提供定制的恶意软件,只要攻击者说服人们下载苹果Testflight并欺骗他们安装他们的聊天应用程序,就可以利用苹果的官方服务来分发该恶意应用程序,使得该欺诈行为变得合法化。 虽然该应用程序的功能尚不明确,但它被怀疑是作为一种社会工程上的欺诈手段,通过专门为此目的策划的聊天媒介对活动的受害者进行监控。 此外,Bitter APT运营商使用了一个全新的安卓恶意软件,称为Dracarys,它滥用操作系统的可访问性权限,安装任意应用程序,录制音频,捕捉照片,并从受感染的手机中获取敏感数据,如通话记录、联系人、文件、文本信息、地理位置和设备信息。 Dracarys是通过冒充YouTube、Signal、Telegram和WhatsApp的木马程序传递的,延续了攻击者倾向于部署伪装成合法软件的恶意软件来侵入移动设备的趋势。 此外,作为对抗性适应的一个标志,Meta注意到该组织通过在聊天线程中发布破碎的链接或恶意链接的图片来反击其检测和阻止工作,要求接收者在他们的浏览器中输入链接。 Bitter的起源是一个谜,其行为特征难将其与任何一个特定的国家联系起来,该组织被认为是在南亚运作的,最近扩大了重点,打击孟加拉国的军事实体。 Transparent Tribe 第二个被Meta反制的集体是Transparent Tribe(又名APT36),这是