当前节点:hackernews.cc
时间节点
2022年7月1日 15:50hackernews.cc
近期,一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,它能快速发动攻击,并直接从电子邮件附件中删除其有效负载。这种方法是很少见的,因为所有典型的电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的几率。 根据一直跟踪AstraLocker的ReversingLabs的说法,攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反,他们追求以最大的力量发起对目标的攻击,来换取快速回报。 勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。 另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,以及停止一系列备份和反病毒服务。 根据 ReversingLabs 的代码分析,AstraLocker 是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021 年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker 2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/337881.html 封面来源于网络,如有侵权请联系删除
2022年7月1日 14:30hackernews.cc
为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,近日,国家网信办公布《个人信息出境标准合同规定(征求意见稿)》(以下简称《征求意见稿》)。《征求意见稿》共计13条,文末附件为《个人信息出境标准合同》。 《征求意见稿》指出,个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 《征求意见稿》明确,个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: 非关键信息基础设施运营者; 处理个人信息不满100万人的; 自上年1月1日起累计向境外提供未达到10万人个人信息的; 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 《征求意见稿》要求,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; 出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; 个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; 其他可能影响个人信息出境安全的事项。 《征求意见稿》明确,标准合同包括以下主要内容: 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; 个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; 境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; 个人信息主体的权利,以及保障个人信息主体权利的途径和方式; 救济、合同解除、违约责任、争议解决等。 附:《个人信息出境标准合
2022年7月1日 12:30hackernews.cc
安全内参6月30日消息,微软修复了旗下应用程序托管平台Service Fabric(SF)的容器逃逸漏洞“FabricScape”。利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SF Linux集群。 微软公布的数据显示,Service Fabric是一套关键业务应用程序托管平台,目前托管的应用总数已超百万。 该平台还支持多种微软产品,包括但不限于Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business Cortana、Microsoft Power BI及其他多项核心Azure服务。 这个漏洞编号为CVE-2022-30137,由Palo Alto Networks公司的Unit 42团伙发现,并于今年1月30日报告给微软的。 该漏洞之所以出现,是因为Fabric的数据收集代理(DCA)服务组件(以root权限运行)包含竞争条件下的随意写入机制,导致恶意黑客可通过创建符号链接的方式,利用恶意内容覆盖节点文件系统中的文件,获取代码执行权限。 Unit 42的报告详细介绍了CVE-2022-30137执行代码漏洞的利用方法,以及接管SF Linux集群的更多细节。 微软公司表示,“微软建议客户持续审查一切有权访问其主机集群的容器化工作负载(包括Linux与Windows)。” “默认情况下,SF集群是单租户环境,各应用程序之间不存在隔离。但您可以在其中创建隔离,关于如何托管不受信代码的更多指南,请参阅Azure Service Fabric安全最佳实践页面。” 图:FabricScape恶意利用流程(Unit 42) 漏洞修复花了五个月 根据Unit 42的报告,微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update,最终解决了这个漏洞(微软则表示,相关修复程序已在5月26日发布)。 微软为该漏洞发布安全公告后,从6月14日开始,已将修复程序推送至Linux集群的自动更新通道。 在Linux集群上启用自动更新的客户,无需采取任何额外处理措施。 对于没有为Azure Service Fabric开启自动更新的用户,建议大家尽快将Linux集群升
2022年7月1日 11:30hackernews.cc
MITRE组织分享了2022年最常见和最危险的25个弱点名单,该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击。” “软件弱点往往都很容易被针对,并最终会导致可利用漏洞的产品,从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。 据悉,MITRE综合过去NIST、NVD数据,结合CVE与NVD的数据库中的危害性评分,统计了名单列表。 以下是2022年CWE前25个最危险的软件弱点名单: 排名 ID 名称 得分 发现漏洞数 与2021年的排名变化 1 CWE-787 越界写入 64.2 62 0 2 CWE-79 网页生成过程中不正确地中和输入 (”跨站脚本”) 45.97 2 0 3 CWE-89 在SQL命令中使用的 特殊元素的不当中和(”SQL注入”) 22.11 7 +3 4 CWE-20 不当的输入验证 20.63 20 0 5 CWE-125 界外读取 17.67 1 -2 6 CWE-78 操作系统命令中使用的特殊元素的不当中和(”操作系统命令注入”) 17.53 32 -1 7 CWE-416 内存破坏漏洞 15.50 28 0 8 CWE-22 对受限目录路径名的不适当限制 (”路径穿越”) 14.08 19 0 9 CWE-352 跨站请求伪造(CSRF) 11.53 1 0 10 CWE-434 不受限上传危险类型的文件 9.56 6 0 11 CWE-476 空指针间接引用 7.15 0 +4 12 CWE-502 不可信数据的反序列化 6.68 7 +1 13 CWE-190 整数溢出或绕行 6.53 2 -1 14 CWE-287 危险认证 6.35 4 0 15 CWE-798 使用硬编码的凭证 5.66 0 +1 16 CWE-862 缺少授权 5.53 1 +2 17 CWE-77 “命令注入” 5.42 5 +8 18 CWE-306 关键功能的认证机制缺失 5.15 6 -7 19 CWE-119 对内存缓冲区范围内的操作限制不当 4.85 6 -2 20 CWE-276 默认权限不正确 4.84 0 -1 21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3 2
2022年7月1日 10:50hackernews.cc
近期,半导体巨头AMD表示,他们正在调查一起网络攻击事件,去年,RansomHouse团伙声称从该公司窃取了450gb的数据。RansomHouse是一个数据勒索组织,他们侵入公司网络,窃取数据,然后要求支付赎金,或出售给其他威胁行为者。过去一周,RansomHouse在Telegram上调侃称,他们将出售一家以字母a开头、由三个字母组成的知名公司的数据。然后就在昨天,该勒索团伙将AMD加入了他们的数据泄露网站,并声称他们窃取了高达450gb的数据。 据BleepingComputer了解,该组织的“伙伴”大约一年前就侵入了AMD的网络。虽然该网站称数据是在2022年1月5日被盗的,但威胁行为者表示,其实这时候黑客已经无法访问AMD网络了。虽然RansomHouse此前曾有过勒索操作,但他们表示,他们不会对设备进行加密,而且对AMD也没有使用勒索软件。威胁参与者表示,他们没有联系AMD索要赎金,因为把数据卖给其他实体或威胁参与者更有价值。RansomHouse的一名代表说,他们没有联系AMD,因为期间会牵扯各种交涉,比起这个,将数据出售给第三方更省时省力。 被盗数据包括一些研究数据和财务信息,RansomHouse表示正在对这些数据进行分析,以确定其价值。除了据称从AMD的Windows域收集的一些包含信息的文件外,威胁行为者没有提供任何证据来证明这些被盗数据。这些数据包括一份泄露的CSV文件,其中包含7万多台设备,似乎属于AMD的内部网络,以及一份所谓的AMD公司用户凭据清单,其中包括弱密码,如“password”,“P@ssw0rd”,“AMD !”23日”和“Welcome1。”AMD方也表示他们已经意识到这一事件,并正在调查这一事件。 RansomHouse于2021年12月开始运营,它的第一个目标是萨斯喀彻温省酒类和博彩管理局(SLGA)。虽然该勒索组织声称在他们的攻击中不使用勒索软件,但一份有关白兔勒索软件的说明清楚地表明他们与勒索软件组织有关。 自去年12月以来,RansomHouse的数据泄露网站又增加了五名受害者,其中就有AMD公司,并且非洲最大的连锁超市Shoprite Holdings就是受害者之一,该公司于6月10日证实了一次网络攻击。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/337630.html 封面来源于网络,如有侵权请
2022年7月1日 10:30hackernews.cc
据外媒报道,伊朗最大的钢铁生产商Khouzestan Steel Company (KSC) 已承认遭遇严重网络攻击而被迫停产,这也是近年来针对该国战略工业部门的最大规模此类攻击之一。 KSC对此表示,由于在“网络攻击”后“存在技术问题”,该工厂必须停工直至接到进一步的通知。6月27日,该公司网站也因此关闭。不过,KSC公司CEO称,已经有效挫败了这一次网络攻击,生产线并未受到结构性损害,也不会影响供应链和客户。 网络攻击并未奏效 KSC公司隶属于政府下辖的伊朗矿业发展和改革组织(IMIDRO),是伊朗三大钢铁巨头公司之一,大量出口钢铁加工产品。在遭遇网络攻击之后,KSC网站无法访问,公司随即停止运营。 针对这一事件,KSC首席执行官 Amin Ebrahimi 表示,公司已经有效阻止了这一次网络攻击,并能够避免对制造部门造成内部损害,从而防止供应链中断。Ebrahimi还强调“足够高的意识和较短的应急响应时间”,使得这次攻击被挫败。 Ebrahimi称公司网站将很快恢复并重新上线。至于公司停止运营的原因,据伊朗当地新闻频道报道,是网络攻击发生时,工厂刚好停电而无法继续生产。 Khouzestan Steel Company 承认了网络攻击 目前,尚未有网络攻击组织对该攻击负责,KSC也没有指出任何可疑的袭击组织。在美国对伊朗实施制裁后,该公司被迫减少对进口零部件的依赖,从而影响了其业务。 这已经不是针对伊朗关键基础设施的第一次袭击。2021年,伊朗燃料分配系统成为网络攻击的目标,扰乱了伊朗各地加油站的运营,引发了巨大的公众愤慨;其火车站也因网络攻击收到虚假的延误信息;大量分布在不同区域的摄像头也曾被网络攻击。在之前的多次袭击中,伊朗政府指责以色列和美国将其基础设施作为目标。 2021 年 8 月,一个网名为“Edaalate Ali”的组织声称对伊朗的监狱计算机系统和安全摄像头负责。该组织还泄露了闭路电视录像,显示德黑兰北部监狱设施的恶劣条件和严重侵犯人权行为。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/337571.html 封面来源于网络,如有侵权请联系删除
2022年7月1日 10:10hackernews.cc
新浪科技讯 北京时间6月29日消息,2016年Uber曾遭遇黑客攻击,当时5700万乘客和司机的个人信息被黑客窃取,事发后Uber前安全主管约瑟夫·沙利文(Joseph Sullivan)试图隐瞒。美国联帮法官周二表示,沙利文必须面对电信诈骗指控。 沙利文付钱给两名黑客让他们保持沉默,同时他还欺骗乘客、司机、FTC。沙利文反驳称,检察官指控他隐瞒黑客事件,说他这样做的目的是想阻止司机逃离,让司机继续支付服务费,但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克(William Orrick)显然不同意这种说法。 不只如此,沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问,不是司机,关于这点法官也不认同。奥瑞克说,虽然沙利文的虚假陈述并非直面司机,但这只是更大欺骗计划的一部分,欺骗对象正是司机。 检方声称沙利文向黑客支付比特币作为封口费,价值约10万美元。他还让黑客签署保密协议,说他们没有窃取数据。 了解到数据泄露事件后,Uber现任CEO达拉·科斯罗萨西(Dara Khosrowshahi)解雇了沙利文。 2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼,原告认为Uber披露信息过慢。   转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/2022-06-29/doc-imizmscu9235363.shtml 封面来源于网络,如有侵权请联系删除
2022年6月30日 16:51hackernews.cc
作为当前市面上最大的 NFT 市场,OpenSea 刚刚通报了一起客户电子邮件数据泄露事件。据称是负责管理该平台邮件通讯的外部承包商(Customer.io)管控不善,导致一名员工复制了客户电子邮件列表、并泄露给了第三方。事件发生后,官方已提醒广大用户小心提防近期的网络钓鱼类攻击。 长期以来,电子邮件通讯管理平台和客户关系管理(CRM)类软件,一直是加密 / 区块链企业的一个薄弱环节,此前我们已经见到过相当多起的数据泄露事件。 今年 3 月,与 Customer.io 类似的 Hubspot 遭遇了黑客攻击,并最终波及 BlockFi、Swan Bitcoin、NYDIG 和 Circle 等平台上的客户(姓名、电话号码、E-mail 地址等信息被泄露到了外界)。 OpenSea 表示,恶意行为者或尝试通过类似 OpenSea.io 的域名(比如 OpenSea.org 或 OpenSea.xyz)来引诱疏忽大意的受害者上钩。 现在,Twitter 等社交媒体上也充斥着大量抱怨,许多 OpenSea 客户都表示遇到了较以往更多的邮件、电话和短信等垃圾信息的轰炸。     转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1287047.htm 封面来源于网络,如有侵权请联系删除    
2022年6月30日 16:11hackernews.cc
近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。 从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。 根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。 研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。 此外,Checkmarx说,他们在研究中只分析了整个亚马逊生态系统里的一小部分API,这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。 在发现这组漏洞后,Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大,并且在实际攻击场景中成功的可能性很高,亚马逊认为这是一个严重程度很高的问题,并在报告后不久就发布了修复程序。”   转自 Freebuf,原文链接:https://www.freebuf.com/news/337760.html 封面来源于网络,如有侵权请联系删除
2022年6月30日 16:11hackernews.cc
早在5月,印度宣布了一套新的严格规定,其要求VPN和云服务供应商记录其客户的数据并跟政府分享。虽然修改后的规定本应于6月27日生效,但现在已经推迟了三个月。   这些有争议的规定强制要求VPN供应商收集以下信息: 姓名、电子邮件地址和电话号码 客户使用VPN服务的目的 分配给客户的IP地址和客户用来注册服务的IP地址 客户的“所有权模式” 包括日期在内的租用期限 该条例影响到数据中心、VPN、虚拟私人服务器(VPS)和云服务供应商,那些拒绝遵守的人可能面临一年以下的监禁。印度计算机应急小组(CERT)的这一指令面临来自消费者和受影响供应商的许多批评。事实上,ExpressVPN拒绝遵守规则,其已经将其服务器从该国撤出。 据了解,该规定推迟三个月的原因是为了使受影响的公司能够适应新的指导方针,甚至考虑完全放弃在该国的业务的选择。 在给CERT的一封联名信中,当地网络安全专家对新法规的危险性发出警告: 目前的指示将产生削弱网络安全及其关键组成部分–在线隐私的意外后果。我们认识到需要一个框架来管理网络事件的报告,但《Directions》中规定的报告时限和过度的数据保留任务,将在实践中产生负面影响并阻碍有效性,与此同时还会危及在线隐私和安全。 印度政府方面拒绝在其立场上做出让步,立法者表示他们不会屈服于外部压力也不会就此事进行公开咨询。在推迟之后,新规则将从2022年9月25日开始生效。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1286157.htm 封面来源于网络,如有侵权请联系删除  
2022年6月28日 15:30hackernews.cc
伊朗一家主要钢铁公司周一表示,因遭遇网络攻击被迫停产。此次攻击还波及到另外两家工厂,成为近期针对伊朗战略工业部门的最大攻击活动之一。 伊朗政府尚未就此次胡齐斯坦国有钢铁公司及其他两家钢铁生产商遭受的破坏情况或攻击团伙做出回应。作为近几个月来破坏伊朗国内设施的最新案例,该地区的紧张局势将进一步加剧。 黑客曝光工厂故障监控画面,但公司CEO否认停产 一个匿名黑客团伙在社交媒体上宣称对此次攻击事件负责,表示攻击伊朗三大钢铁公司,是为了回应“伊朗的侵略行为。” 该团伙自称“Gonieshke Darande”,他们发布了据称拍摄自胡齐斯坦钢铁厂车间的闭路电视镜头。画面显示,钢坯生产线上的一台重型机械出现故障并引发了大火。 该团伙称,这些公司与伊朗准军事组织“伊斯兰革命卫队”有关,“这些公司受到国际制裁,却在限制下继续维持运营。” 伊朗中部城镇穆巴拉克(Mobarakeh)的一家钢铁厂表示,他们的系统同样遭受攻击。而国营媒体IRAN报道称,伊朗南部港口阿巴斯港的另一家工厂也是网络攻击的受害者。但两家工厂均未承认因为攻击而造成损失或停工。 胡齐斯坦钢铁公司则表示,由于“网络攻击”后引发的“技术问题”,工厂不得不停工,何时恢复将另行通知。该公司网站在周一也关闭了。 然而,该公司CEO Amin Ebrahimi却声称,胡齐斯坦钢厂已成功阻止网络攻击,生产、供应链和客户并未受到影响。对于黑客团伙公布的设施故障起火画面,他只字未提。 半官方媒体梅尔通讯社援引Ebrahimi的发言:“很幸运,我们把握时间、意识敏锐,这次攻击活动没有得逞。”他还补充称,预计公司网站将在周一之内上线,一切都将恢复“正常”。 当地新闻频道Jamaran报道称,攻击失败是因为当时工厂碰巧发生了停电,不在正常运营状态。 针对伊朗的网络攻势升级? 近年来,伊朗遭受的网络攻击越来越多。作为长期受到西方世界制裁的国家,伊朗的网络更新速度一直不够理想,因此难以招架犯罪分子及国家支持黑客发起的勒索软件与入侵攻击。 在去年的一起重大事件中,伊朗燃油分配系统遭遇网络攻击,导致全国各地加油站瘫痪,愤怒的司机们排起了长队。而当时站出来宣布对攻击负责的,同样是这个Gonjeshke Darande黑客团队。 伊朗火车站曾遭遇过伪造延误信息攻击。该国的监控摄像头被黑客入侵,国营网站遭到破坏,臭名昭著的埃文监狱虐待视频也被泄露在网上。 安全厂商SentinelOne的首席威胁研究员
2022年6月28日 09:50hackernews.cc
安全研究人员揭露甲骨文在今年1月及4月,所分别修补2项影响Fusion Middleware的重大漏洞细节,并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞,分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行(pre-auth RCE)漏洞,以及影响Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞。 研究人员当月已向甲骨文揭露2漏洞,但甲骨文今年才修补,因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497,甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445,但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事,也超出了一般标准的90天,他们认为这家软体巨人的动作太迟缓。 ADF Faces框架包括超过150个支援Ajax的JavaServer Faces(JSF)元件及开发框架,可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI(Oracle Business Intelligence)的前远端程序码执行(pre-auth RCE)漏洞,该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采,最严重可接管JDeveloper。这项漏洞风险值达9.8。 但研究人员最后发现,该漏洞还影响多个甲骨文产品,包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外,而且任何以ADF Faces framework开发的网站也会受影响,包括许多甲骨文线上系统及Oracle Cloud Infrastructure。 Fusion Middleware的Oracle Access Manager(OAM)的伺服器端请求伪造(Server Side Request Forgery,SSRF)漏洞则是Jang找到。OAM是单一签入(SSO)元件。这漏洞可和CVE-20
2022年6月27日 16:11hackernews.cc
Bleeping  Computer 网站披露,俄罗斯电信监管机构 Roskomnadzor 已对谷歌处以 6800 万卢布(约合120 万美元)的罚款,原因是谷歌传播关于俄乌战争的“不可靠”信息,以及未能从其平台上删除这些信息。 俄罗斯电信监管机构表示,谷歌 YouTube 在线视频共享平台“有目的地帮助”传播俄乌战争相关的不准确信息,从而诽谤俄罗斯军队。 据 Roskomnadzor 统计,YouTube 平台上目前有 7000 多份材料,这些材料中包括部分宣传极端主义观点、漠视未成年人的生命和健康以及呼吁抗议的内容,是 Roskomnadzor 认定的非法内容。 值得一提的是,由于一再未能限制对俄罗斯禁止信息材料的访问,谷歌还面临高达其在俄罗斯年营业额 10% 收入的罚款。 根据莫斯科塔甘斯基法院 2021 年 12 月 24 日发布的命令,因谷歌一再拒绝删除俄罗斯想要禁止的内容,5月份,俄罗斯法警从谷歌账户中预先扣押了 72.2 亿卢布(约 1.33 亿美元)。 部分谷歌服务将继续可用 谷歌方面透漏,虽然公司在俄罗斯运营已经变得越来越不可能,但其免费服务(包括谷歌搜索、YouTube、Gmail、地图和 Google Play)在俄罗斯仍可使用。 早在今年 3 月,Roskomnadzor 已经禁止了 Alphabet 的新闻聚合服务 Google News,并阻止访问其 news.google.com 域名,原因是它提供了关于俄乌战争的“不可靠的信息”。 据悉,这一决定是在俄罗斯总统普京签署新法案后做出的,该法律规定传播有关俄乌战争的 “故意假新闻 ”是非法的,并规定最高可判处 15 年的监禁。 同月,电信监管机构要求谷歌停止在 YouTube 视频上散布有关俄乌战争错误信息的广告活动。作为回应,谷歌应欧盟要求,封锁了今日俄罗斯 (RT) 和 Sputnik 在欧洲的 YouTube 频道。 随后,Roskomnadzor 对 YouTube 的决定提出抗议,要求立即取消对俄罗斯媒体(包括 Sputnik 和 RT)在欧洲官方账户的所有限制。 转自 Freebuf,原文链接:https://www.freebuf.com/news/337370.html 封面来源于网络,如有侵权请联系删除
2022年6月27日 15:51hackernews.cc
近期,德克萨斯州一家液化天然气厂爆炸,经调查,事件起因可能是由网络攻击引起的,而俄罗斯威胁行为者或将是事件幕后黑手。爆炸发生在德克萨斯州昆塔纳岛的自由港液化天然气(Freeport LNG)液化厂,此次事故将对自由港液化天然气的运营产生持久的影响。 经初步调查表明,该事件是由于LNG输送管道的一段超压和破裂,导致液化天然气快速闪蒸和天然气蒸汽云释放和点燃。目前尚不清楚为什么该企业的安全机制不能阻止爆炸发生,不过据专家推测网络攻击可能已经关闭了天然气设施的工业安全控制。专家表示像TRITON这样的ICS恶意软件,类似俄罗斯相关的APT组织XENOTIME是具有关闭工业安全控制、并对工业设施造成巨大破坏的能力。 据美国军事新闻网站报道,今年3月24日,美国司法部对四名涉嫌在2012年至2018年期间代表俄罗斯政府在网络攻击中使用TRITON恶意软件的俄罗斯国民提出指控。同一天,联邦调查局发布了一项咨询警告,称TRITON恶意软件工具仍然会对世界各地的工业系统构成重大威胁。华盛顿时报国家安全作家Rogan证实,德克萨斯州的液化天然气设施爆炸与 XENOTIME等APT组织进行的黑客活动一致。随后Rogan补充说,该公司确实拥有运营技术/工业控制系统网络检测系统。不过Freeport LNG却否认了将网络攻击视为事件发生的根本原因。“除非Freeport LNG适当部署了OT/ICS网络检测系统并完成了取证调查,否则不能排除网络攻击,”罗根反驳说。 另外两位与罗根交谈的消息人士称,在俄罗斯发动对乌克兰的入侵期间,俄罗斯GRU军事情报部门的一个网络部门对Freeport LNG进行了目标侦察行动。   转自 Freebuf,原文链接:https://www.freebuf.com/news/337361.html 封面来源于网络,如有侵权请联系删除
2022年6月27日 15:51hackernews.cc
2022年6月23日星期四,一名黑客成功地进行了一次恶意攻击,从Harmony的Horizon区块链桥上窃取了1亿美元,并通过11笔交易提取了存储在桥上的代币(HZ),但Harmony的比特币桥在这次攻击中仍然没有受到影响。 区块链桥的设计如Harmony的Horizon主要使用户能够在不同的区块链之间移动资产,包括代币、稳定币和NFT。 攻击发生后,Harmony立即停止了Horizon桥,以防止进一步的交易。然后,它联系了联邦调查局和多个网络安全和交易所合作伙伴,以调查、跟踪和协助检索被盗资产。在这些联系建立之后,Harmony才通过Twitter和其博客文章宣布了黑客攻击事件。 黑客的身份似乎已经确定,因为调查小组已经尝试用交易中的嵌入式信息与他们的地址进行沟通,并正在等待回应。 在一篇博文中,该公司说: “本次事件是一次谦卑和不幸的提醒,我们的工作对这个空间的未来是多么重要,我们还有很多工作要做。… 我们正在夜以继日地工作,以确保以最有效的方式完成调查和追回被盗资金”。 仅在今年,区块链世界就发生了三起针对区块链桥的黑客事件,被盗的资金超过10亿美元。     转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1285061.htm 封面来源于网络,如有侵权请联系删除
2022年6月27日 11:51hackernews.cc
根据Google威胁分析小组(TAG)公布的研究,一个复杂的间谍软件活动正在得到互联网服务提供商(ISP)内部人士的暗中帮助以欺骗用户下载恶意的应用程序。这证实了安全研究组织Lookout早些时候的发现,该组织将这种被称为Hermit的间谍软件与意大利间谍软件供应商RCS实验室联系起来。 一个被攻击和篡改的网站案例 Lookout称,RCS实验室与NSO集团 – 也就是PegASUS间谍软件背后臭名昭著的监控雇佣公司是同一家公司,他们向各国各级政府机构兜售商业间谍软件。Lookout的研究人员认为Hermit已经被哈萨克斯坦政府和意大利当局部署。根据这些发现,Google已经确定了这两个国家的受害者,并表示它将通知受影响的用户。 正如Lookout的报告中所描述的,Hermit是一个模块化的威胁,可以从一个指挥和控制(C2)服务器上下载额外的功能。这使得间谍软件能够访问受害者设备上的通话记录、位置、照片和短信。Hermit还能录制音频,拨打和拦截电话,以及root到Android设备,这使它能够完全控制其核心操作系统。 “含有Hermit的应用程序从未通过Google Play或苹果应用商店提供” 这种间谍软件可以通过将自己伪装成合法来源来感染Android和苹果iPhone手机,通常以移动运营商或消息应用程序的形式出现。Google的网络安全研究人员发现,一些攻击者实际上与互联网服务提供商合作,关闭受害者的移动数据,以推进其计划。然后,不良行为者会通过短信冒充受害者的移动运营商,欺骗用户相信下载一个恶意的应用程序将恢复他们的互联网连接。如果攻击者无法与互联网服务供应商合作,Google说他们会冒充看似真实的消息应用程序,欺骗用户下载。 Lookout和TAG的研究人员说,含有Hermit的应用程序从始至终从未通过Google Play或苹果应用商店提供。然而,攻击者却能够通过注册苹果公司的开发者企业计划,在iOS上分发受感染的应用程序。这使得不怀好意者可以绕过App Store的标准审查程序,获得”满足任何iOS设备上所有iOS代码签名要求”的证书。 苹果公司表示,他们已经注意到并撤销了与该威胁有关的任何账户或证书。除了通知受影响的用户,Google还向所有用户推送了Google Play Protect更新。 阅读安全报告全文: https://bl
2022年6月24日 14:52hackernews.cc
Conti堪称史上最能卷的网络勒索组织之一,并且其内部组织性非常强,管理制度严格,这也是他能卷到飞起的原因之一。该组织最辉煌的成绩是,在一个月左右的时间里,疯狂地攻击了40多家企业。 网络安全公司 Group-IB研究人员将这一行动命名为“ARMattack”,并表示这是Conti发起的最有成效和效率的勒索活动。 卷上天的ARMattack行动 近日,网络安全公司 Group-IB 发布了一份关于“Conti勒索组织”的报告,报告披露了该组织卷上天的ARMattack行动发生在去年,具体时间是2021年11月17日至12月20日。Group-IB研究人员在事件应急响应活动中发现,该组织在上述时间内发动了疯狂的网络攻击。研究人员基于该组织已经暴露的基础设施域名,将这一行动命名为ARMattack。 ARMattack行动共攻击了40多家不同领域的企业,这些企业分布在不同地理区域广泛开展业务(如下图所示)。他们有一个共同点——大多都是位于美国,Conti勒索组织的针对性十分明显。 ARMattack行动目标企业地理分布图 Group-IB公司的发言人表示,ARMattack行动的速度令人惊讶,这在网络攻击史上也属于少数。尽管 Conti 泄密网站随即就发布了这40多家企业被窃取的数据,但是目前尚不清楚这些企业是否都已经按照要求支付了赎金。 根据 Group-IB报告公布的数据,Conti最短的一个勒索攻击仅仅只用了三天,就完成了从最初的访问到加密企业的系统。 Group-IB报告指出,Conti勒索组织在获得公司基础设施的访问权后,攻击者会将会泄露特定的文件(通常是为了勒索组织)并寻找包含密码(明文和加密)的文件。最后,在获得所有必要的权限以及有价值设备的访问权限后,攻击者就会将勒索软件部署到所有设备并运行。 每天工作长达14个小时 事实上,Group-IB试图通过从公共渠道收集的数据,包括Conti勒索组织泄露的内部聊天记录,来分析其内部成员工的工作时间。据Group-IB研究人员称,Conti 成员每天活动大约 14 小时,除新年外,他们几乎一直在活动,堪称是勒索界最能卷的勒索组织了,这也是他们能够发动ARMattack行动的原因。 连勒索组织都已经这么卷了,安全行业的压力有多大可想而知,只能被迫跟着卷起来,难怪此前有报告称45%的高管和高级安全从业人员因压力大而考虑退出该行业。 该勒索组织一般在中午(莫斯科时间
2022年6月24日 11:11hackernews.cc
身份不明的窥探者一直在利用健身追踪应用Strava监视以色列军方人员,跟踪他们在全国各处秘密基地的行踪,甚至在他们因公出差或前往世界各地度假时仍然持续窥探。 通过在军事基地内设置伪造的跑步“路段”,此次监视行动(目前尚未明确归因)能够密切关注在基地内锻炼的个人,即使账户设置了最高级别隐私选项也无法回避。 据英国媒体《卫报》了解,一位被认为与以色列核计划相关、在绝密基地的用户,被追踪到在其他军事基地和某个外国。 此次监视活动由以色列开源情报机构FakeReporter发现。该机构执行董事Achiya Schatz表示,“我们发现这一安全问题后,立即联系了以色列安全部队。在获得安全部队批准后,FakeReporter联系了Strava,对方组建了一支高级团队以解决这个问题。” Strava的跟踪工具允许任意用户自由划定跑步或骑行“路段”,并针对特定路段开展竞速,例如在热门骑行路线组织长距离上坡赛或园区单圈赛。用户可以向Strava应用上传并定义自己的路段,也可以直接导入来自其他产品或服务的GPS记录。 但Strava无法追踪这些GPS上传是否合法,因此没法识别哪些上传为真人实地划定,而哪些路段上传者自己根本没去过。事实上,部分上传路段记录显然是人为伪造,其中高达数百公里的平均时速、不自然的行进直线和瞬间垂直跃上悬崖等线索都是最好的证据。 这些伪造路段可被用于竞速作弊,但至少危害不大。而其中一些似乎别有邪恶目的,某个位置显示为“马萨诸塞州波士顿”的匿名用户,在以色列的众多军事机构内设置了一系列伪造路段,包括该国情报机构的前哨,以及被认为与核计划有关的绝密基地设施。 Schatz认为,“借助这种上传设计文件的功能,敌对分子开始利用流行应用程序,窥探全球各地用户的个人信息,这也标志着损害公民及国家安全的恶意手段再次迈出惊人的一步。” 这种伪造路段的行为还绕过了Strava的隐私设置。用户可以将自己的个人资料设置为只对“关注者”可见,借此防止自己的路线被他人窥探。但除非主动对每一次跑步都单独设置,否则用户的头像、名字和首字母仍将显示在相应的路段上。于是乎,当地图上散布了足够多的路段后,该用户的行动轨迹仍将暴露:例如,可以看到某用户曾在一次公开路段竞速中胜出,随后又在各安全军事设施内跑步。 健身服务公司Strava在一份声明中表示,“我们非常重视隐私问题。以色列机构FakeReporter已经告知我们关于特定用户账户的安全问题
2022年6月24日 10:11hackernews.cc
Bleeping Computer 网站披露,MEGA 发布了一个安全更新,以解决一系列可能会暴露用户数据的严重漏洞。据悉,即使用户数据以加密形式存储,仍存在安全风险。 MEGA 总部位于新西兰,主要提供云存储和文件托管服务,拥有来自 200 多个国家的超过 2.5 亿注册用户。根据统计,用户总共上传了约 1200 亿个不同的文件,大小达到了 1000 PB。 最近,瑞士苏黎世联邦理工学院的研究人员发现 MEGA 加密方案中存在安全漏洞,该漏洞允许他们访问用户的加密数据。2022 年 3 月 24 日,研究人员本着负责的态度向该公司报告了漏洞。 在研究漏洞的过程中,研究人员发现了五种可能针对用户数据的攻击,这些攻击主要依赖于同等数量的漏洞,但它们有一个共同点,都依赖于窃取和破译一个RSA密钥。 研究人员发现的五种攻击(苏黎世联邦理工学院) 目前,MEGA 还没有发现因为漏洞导致用户账户或数据泄露的事件,但漏洞的出现对MEGA服务的数据安全承诺造成了巨大冲击。 解密MEGA MEGA 主要是使用一个用户控制的端对端加密(UCE)系统来保护用户数据,该系统的基础是根据用户的常规登录密码生成的加密密钥。 之后,通过随机过程生成主密钥,并用于后续加密密钥子集,其中主要包括 RSA 密钥对、用于聊天功能的 Curve 密钥、Ed 签名密钥和节点密钥等,每个用户的 RSA 密钥都存储在 MEGA 的服务器上,并没有完整性的保护。 苏黎世联邦理工学院的团队发现了一种新方法,可以进行中间人攻击,从而恢复目标 MEGA 账户的 RSA 密钥。研究人员还发布了以下概念验证视频(文中为视频部分片段截图,原视频请点击文末链接观看)。 通过安全人员研究发现,这种攻击依赖于通过比较进行的主要因素猜测,并且需要至少 512 次登录尝试才能起作用。此外,攻击者必须进入 MEGA 的服务器才能实施攻击。这样的话,对于外部攻击者来说,显然是非常困难,但对于不道德的 MEGA 员工来说,就没有那么大挑战了。 研究人员表示,一旦目标账户的 RSA 密钥泄露了用户的密文,攻击者就可以反向恢复主密钥的 AES-ECB 明文,然后解密整个密钥子集。最终,攻击者可以解密存储在 MEGA 云上的用户数据,以明文形式访问聊天记录,甚至向账户的存储库上传新内容。 漏洞产生的影响和补救措施 目前,MEGA 已经修复了可导致所有客户端上用户数据解密的两个漏洞(RSA 密
2022年6月24日 09:51hackernews.cc
微软表示,俄罗斯情报机构已加强对乌克兰联盟国家政府的网络攻击。据微软威胁情报中心 (MSTIC) 分析师称,自战争开始以来,与多个俄罗斯情报机构(包括 GRU、SVR 和 FSB)相关的威胁行为者试图破坏全球数十个国家的实体,而政府则是攻击重点目标。 微软总裁布拉德史密斯说:“MSTIC已经检测到俄罗斯对乌克兰以外42个国家/地区的128 个目标的网络入侵活动。这些代表了一系列战略间谍目标,它们可能直接或间接地参与了对乌克兰防务的支持,其中49%是政府机构。” 和预期的一样,这些攻击的主要目标是为了从一些国家的政府机构获取机密信息,这些国家目前在北约和西方应对俄罗斯战争的行动中发挥着关键作用。非政府组织 (NGO) 也成为另外12%的攻击目标,这可能是因为它们作为人道主义团体参与支持乌克兰难民和平民,或者他们是专注于外交政策的智囊团。其余的攻击主要针对关键经济或国防工业部门的组织,以及能源或IT公司。 “虽然这些目标遍布全球,但所观察到的活动中有63%涉及北约成员国,”史密斯补充说,“根据MSTIC的观察,俄罗斯的网络间谍活动比其他任何国家都更关注美国,美国占乌克兰以外全球总数的 12%。” 根据微软的进一步调研,自俄罗斯入侵乌克兰以来,发现在俄罗斯支持的行为威胁者的攻击里,有29%已经成功入侵,其中的四分之一还泄露了入侵后获取的数据。 微软还在4月份发布了另一份报告,该报告重点关注自入侵以来俄罗斯针对乌克兰的网络攻击。正如该公司当时透露的那样,俄罗斯支持的国家黑客是数百次针对该国基础设施的幕后黑手。他们的攻击还传播了破坏性恶意软件,旨在摧毁关键系统并破坏公民对可靠信息和关键服务的访问。在针对乌克兰机构的数十次破坏性攻击中,32%直接针对政府机构,而超过40%旨在破坏关键基础设施。微软同时还观察到军事行动和网络攻击之间的直接联系,黑客攻击的时间与俄罗斯的围攻和导弹袭击的时间非常接近。 今年3月下旬时,谷歌威胁分析小组 (TAG)曾观察到由COLDRIVER俄罗斯威胁小组组织的针对北约和欧洲军事实体发起的网络钓鱼攻击。3月初发布的一份Google TAG报告中包含与俄乌战争有关的恶意活动的详细信息。史密斯说:“俄罗斯的入侵在一定程度上依赖于一种网络战略,其中包括在乌克兰境内的破坏性网络攻击、乌克兰境外的网络渗透和间谍活动,以及针对世界各地人民的网络影响行动。“这场战争让俄罗斯这个网络强国要对抗一个国家联盟,毕竟乌克
2022年6月24日 09:31hackernews.cc
最近,对俄罗斯铁路货物的禁令导致暗网上的黑客活动再次激增,俄罗斯铁路货物禁令后,Cyber Spetsnaz 瞄准立陶宛的政府资源和关键基础设施。近日,该组织宣布了多个协同 DDoS 攻击的目标——要攻击的资源分布在所谓的“单位”之间,这些“单位”的成员和志愿者加入了以前和当前的活动。 升级是由于维尔纽斯拒绝让钢铁和铁矿石穿过俄罗斯飞地加里宁格勒。据英国广播公司和其他新闻机构报道——在此次活动之前,俄罗斯警告立陶宛铁路封锁的后果,但没有具体说明将如何进行。 据目前正在保护财富 500 强公司的洛杉矶网络安全公司Resecurity的专家称,考虑到战争冲突并遵循当今的地缘政治议程,预计观察到的活动。安全事务部采访的多个消息来源一致认为,Cyber Spetsnaz 开始获得更多关注,并涉及多个具有 DDoS 能力的可信参与者。 该组织正在利用相对具有成本效益的 DDoS 手段和方法,通过这样做,他们通过攻击属于同意加入该活动的其他独立参与者的受损 WEB 资源、网站、物联网设备和僵尸网络来产生强大的 DDoS 能力。这种活动的真正影响可能与实践中声称的不同——主要目标是产生短期中断或资源暂时不可用以产生某些媒体叙述。 几位来自立陶宛的网络安全专家接受了独家采访——他们了解这个群体,并准备保护国家资源。 值得注意的是,目标清单代表了立陶宛关键基础设施资源的综合清单。   当前的攻击目标包括: 物流公司(Adrem、Talga) 交通基础设施(Transimeksa、Kelprojektas) 立陶宛主要金融机构(中央银行、证券交易所、瑞典银行、SEB等) ISP(Tele2、Telia、Penki、Mezon、Cgates、Fastlink) 机场(维尔纽斯机场、考纳斯机场、帕兰加机场、希奥利艾机场) 能源公司(Ignitis Grupe、能源部、Aedilis) 主要媒体(Delfi、Nedelia、ZW) 政府 WEB 资源(总统、外交部、司法部、警察)   据悉在6月20日Cyber Spetnaz 的一个名为“Zarya”的单位宣布对 www.mna.gov.lv 进行攻击,这是新活动的第一个目标之一。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/anXGZ_YDqrUoSw5PY2OmyA 封面来源于网络,如有侵权请联系删除
2022年6月23日 15:31hackernews.cc
白宫新闻稿称,美国现任总统乔·拜登于本周二签署了三项新法案,且其中有两项都侧重于加强政府网络安全。首先是标题为《2021 联邦网络职员轮岗计划》的 S.1097 法案。CIO 委员会指出,该法案旨在机构内部建立管理、设计、防御、分析、管理、以及运维能力,且涵盖了保障联邦政府系统网络数据的多元化从业者群体。 S. 1097法案规定,某些联邦雇员有望在其它机构轮换网络管理职位时得到详细的说明,并授权机构确定哪些雇员有机会参与该计划。 其次是 S. 2520 号《2021 州与地方政府网络安全法案》,其旨在要求国土安全部门加强各州和地区政府实体,与企业、协会和公众在网络安全方面的合作。 该法案还要求国家网络安全与通信集成中心为相关人员提供培训和开展沿袭,并于所有较低层级的政府机构中促进网络安全意识教育。 为尽量减少美国政府机构面临的网络安全威胁,民主党、共和党议员和相关代表共同发起了这两项法案。 早些时候,拜登政府还监督了一个网络安全局和网络安全审查委员会的成立、并签署了一项行政命令,以期在能源公司 Colonial Pipeline 于去年遭遇黑客攻击后增强相关网络的安全性。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1283629.htm 封面来源于网络,如有侵权请联系删除
2022年6月23日 15:11hackernews.cc
微软在周三分享的一篇网络战争早期研究报告中自出,自 2 月俄乌冲突爆发以来,俄罗斯已在 42 个国家或地区开展了数十次网络间谍行动。微软总裁 Brad Smith 在报告中指出,这些渗透遍布六大洲实体,尤其针对北约盟国和支持乌克兰的团体。此前这家总部位于雷德蒙德的科技巨头,还披露了俄罗斯在 4 月的网络行动细节。 微软在报告中提到:在乌克兰以外的 42 个地区观察到的涉俄活动中,有高达 63% 针对北约成员国。 其中美国一直是俄罗斯的头号目标,此外与乌克兰接壤的波罗的海国家(比如提供大量军事与人道主义援助的波兰)也有观察到大量的网络活动。 微软继续强调,最近申请加入被北约的芬兰和瑞典等国家、以及提出反对意见的土耳其,都有观察到网络攻击目标的增长。 这些网络攻击活动中有近一半瞄准了政府目标,另有 12% 的活动集中在向乌克兰提供外交政策建议、或提供人道主义援助的非政府组织。 至于针对 IT 企业、能源机构、以及国防实体发起的攻击,通常会被较为严格的防御系统给挡住。 微软给出的数据是,网络攻击的成功率仅在 29% 左右、但 1/4 的事件导致了数据泄露,因此建议加大网络防御工事的全方位投资。 此外报告提到了俄罗斯是如何开展网络传播行动的,比如将俄乌冲突定义为“特殊军事行动”。结果自开展以来,俄在乌网络传播率大涨 216%、在美也有增加 82% 。 不过对于此事,俄罗斯驻华盛顿大使馆并没有立即回应外媒的置评请求。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1284095.htm 封面来源于网络,如有侵权请联系删除
2022年6月23日 10:11hackernews.cc
近日,一份关于一组56个漏洞的安全报告已发布,这些漏洞统称为 Icefall,会影响各种关键基础设施环境中使用的运营技术 (OT) 设备。 据悉,Icefall是由Forescout的Vedere实验室的安全研究人员发现,它影响了十家供应商的设备。包括安全漏洞类型允许远程代码执行、破坏凭证、固件和配置更改、身份验证绕过和逻辑操作。受影响的供应商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他们已在 Phoenix Contact、CERT VDE和美国网络安全和基础设施安全局 ( CISA ) 协调的负责任披露中得到通知。 在过去的几年里,受 Icefall 影响的系统类型已成为专门恶意软件 Industroyer 2 和 CaddyWiper 的更频繁目标,这两种恶意软件都是不久前由俄罗斯黑客针对乌克兰发电厂部署的。   漏 洞 概 述 Vedere Labs 发现的缺陷主要涉及凭证安全、固件操纵和远程代码执行,同时操纵配置和创建拒绝服务 (DoS) 状态帐户的数量较少。 Icefall漏洞的类型 (Forescout)  Forescout在其报告中指出,“许多漏洞是由于 OT 的设计不安全”,还补充说“许多身份验证方案被破坏”,这表明实施阶段的安全控制不足。 例如,研究人员指出,许多设备使用明文凭据、弱密码或损坏密码、硬编码密钥和客户端身份验证。 这些身份验证漏洞为威胁行为者实现远程代码执行 (RCE) 和 DoS 条件或安装恶意固件映像铺平了道路。通过在目标设备或其后面的设备上发出命令来直接操作操作是研究人员强调的另一个风险。   潜 在 后 果 Icefall 影响了众多工业部门使用的各种设备,使其极具吸引力,尤其是对国家支持的对手而言。Forescout 表示,一些可能来自利用 Icefall 的威胁参与者的场景包括创建误报、更改流量设定点、中断 SCADA 操作或禁用紧急关闭和消防安全系统。 为了证明他们的发现和潜在风险,研究人员使用了风力发电和天然气运输系统,显示了各种 Icefall 缺陷的位置以及如何将它们链接起来以实现更深层次的妥协。 (图注风力发电厂的冰瀑缺陷 (Forescout)) (天然气运输系统 
2022年6月22日 16:30hackernews.cc
美国东部时间6月21日,网络基础设施服务提供商Cloudflare发生了一起故障,导致数百个网站大面积中断。受到网站中断影响的企业涉及非常广泛,其中包括Discord、Medium、Coinbase、NordVPN和Feedly等科技巨头。 早上2点57分,Cloudflare在其状态页面上写道:“我们正在调查Cloudflare服务和/或网络中普遍存在的问题”。此后不久,公司又在Twitter上发布了一系列帖子,告知公众其团队正在积极采取措施以尽快解决问题。 这次服务器中断大约持续了一个小时,在Cloudflare发表了一篇博客文章中,我们可以了解到服务中断事件的更多信息,“今天,2022年6月21日,Cloudflare遭遇了一次中断,影响了我们19个数据中心的流量。这是由一项长期项目中的某个变更引起的,这个项目原本旨在增加我们最繁忙的存储器单元的弹性。” 公司方面排除了恶意攻击的可能性,并宣布对本次事件全权负责,“我们对这次中断感到非常抱歉。这是我们自己的错误,不是恶意攻击的结果”。此外,公司还表示,他们非常重视可用性并且已经确定了几个需要改进的领域,并将继续努力发现任何可能导致这类事件再次发生的其他缺陷。其中需要改进的领域包括用于变更程序和自动化操作的特定Multi-Colo PoP (MCP) 测试和部署程序,重新设计公司的路由通告和各种其他自动化改进。 “对于所有在网络中断期间无法访问互联网的用户,我们深感抱歉”,博客文章的结尾写道,我们已经着手进行上述改革,并将努力确保这种情况不会再次发生。”   转自 Freebuf,原文链接:https://www.freebuf.com/news/336917.html 封面来源于网络,如有侵权请联系删除
2022年6月22日 16:10hackernews.cc
在欧洲刑警组织协调的执法行动后,造成数百万欧元损失的网络钓鱼团伙成员被逮捕。本周二,欧洲刑警组织对外宣布:“在欧洲刑警的支持下,比利时警察(联邦警察)和荷兰警察(警察)参与了一次跨境行动,粉碎了一个涉及网络钓鱼、诈骗、诈骗和洗钱的有组织犯罪集团。” 最终警方在荷兰搜查了24个场所,并缴获枪支弹药、珠宝首饰、电子设备、现金和加密货币若干,同时还逮捕了9名嫌疑人。据调查,该组织的成员利用银行凭证窃取了数百万欧元,这些凭证是大规模的钓鱼邮件、钓鱼短信中的一部分,“这些团伙成员会编辑发送钓鱼短信、钓鱼邮件等,其中包含指向虚假银行网站的网络钓鱼链接。受害者在无法分辨钓鱼网站的情况下,就会向这些钓鱼团伙提供他们的银行凭证。” 在这些网络犯罪分子中,有些还被发现与毒品和枪支走私有联系,他们使用钱骡来清空受害者银行账户上的所有资金,并将通过欺诈获得的资金套现。据欧洲刑警说,本次行动,三名专家被派往荷兰,为调查人员提供实时分析支持,以及取证和技术专业知识。而在月初时,欧洲刑警组织还取缔了FluBot,这是现存最大的Android恶意软件活动之一。和去年不同的是,在一些组织的关键成员被捕后,执法部门紧接着就控制了FluBot的基础设施,使其无法再用于针对Android用户。4月,欧洲刑警组织还协调开展了TOURNIQUET 行动,该行动导致RaidForums 黑客论坛于1月31日在英国被捕,其管理员和创始人Diogo Santos Coelho也一并被捕。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336905.html 封面来源于网络,如有侵权请联系删除
2022年6月22日 10:30hackernews.cc
近日,旗星银行(Flagstar Bank)向其150多万名客户发送了一则通知,告知他们在去年2021年12月的一次网络攻击中,他们的个人数据遭到了黑客的访问。 旗星银行是美国最大的银行之一,其总部位于密歇根州,总资产超过300亿美元。 2021年12月,旗星银行发生了一起安全事件,攻击者入侵了银行的内部网络。此后,银行方面着手对这起事件开展了调查,并于近日发现,攻击者当时访问了许多客户的敏感信息,包括姓名和社会保障号码等。 “在攻击事件发生后,我们立即启动了安全事件响应计划,聘请了在处理此类事件方面经验丰富的外部网络安全专家,并向联邦执法部门报告了此事” ,旗星银行的负责人解释说,“截至目前,我们还没有看到证据表明客户的信息被滥用。然而,出于谨慎的考虑,我们觉得还是有必要让客户知道这件事。” 根据提交给缅因州总检察长办公室(Office of the Maine Attorney General)的信息显示,这次数据泄露事件共对1,547,169名美国人造成了影响。 至于媒体的进一步追问,包括哪些类型的数据可能被暴露,以及为什么花了这么长时间才发现这起事件,旗星银行方面还没有给予正面回应。 先前的安全问题 这是一年内旗星银行发生的第二起重大安全事件。 2021年1月,勒索软件团伙Clop利用Accellion FTA服务器中的一个零日漏洞入侵了银行的服务器。 这一事件使得众多与科技公司Accellion Inc有业务往来的实体都受到了影响,包括庞巴迪(Bombardier)、新加坡电信(Singtel)、新西兰储备银行(New Zealand Reserve Bank)和华盛顿州审计署(Washington’s State Auditor office)。 这次泄漏事件导致旗星银行被Clop团伙勒索,其客户的数据暴露给网络犯罪分子。随后,银行就终止了与Accellion平台的合作。 在那次的攻击事件中,被窃取的数据样本包括客户的姓名、社会保险号码(SSN)、家庭地址、税务记录和电话号码等。最终,这些数据全都在Clop的数据泄露网站上向外界公布了。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/336805.html 封面来源于网络,如有侵权请联系删除
2022年6月21日 15:51hackernews.cc
研究人员创建了一个网站,该网站通过 Google Chrome 扩展程序来生成其设备的指纹,并进行跟踪。特征包括GPU性能、Windows应用程序、设备的屏幕分辨率、硬件配置,安装的字体,并可以使用相同的指纹识别方法跨站点跟踪设备。 已安装 Chrome 扩展程序的指纹 近日,网络开发者“z0ccc”分享了一个名为“Extension Fingerprints”的新指纹站点,该站点可以根据浏览器安装的 Google Chrome 扩展程序生成其设备指纹。在创建 Chrome 浏览器扩展时,可以将某些资产声明为网页或其他扩展可以访问的“网络可访问资源”。 这些资源通常是图像文件,它们是使用web_accessible_resources浏览器扩展清单文件中的属性声明的。 Web 可访问资源的示例声明如下所示:   早在2019年披露中,可以使用 Web 可访问资源来检查已安装的扩展程序,并根据找到的扩展程序的组合生成访问者浏览器的指纹。 为了防止检测,z0ccc表示某些扩展使用访问 Web 资源所需的秘密令牌。然而,研究人员发现了一种“资源时序比较”方法,该方法仍可用于检测是否安装了扩展。“与未安装的扩展资源相比,获取受保护扩展的资源需要更长的时间。通过比较时间差异,您可以准确地确定是否安装了受保护的扩展,”z0ccc 在项目的GitHub 页面上解释道。 为了说明这种指纹识别方法,z0ccc 创建了一个 Extension Fingerprints 网站 ,该网站将检查访问者的浏览器是否存在 Google Chrome Web Store 上可用的 1,170 个流行扩展中的 Web 可访问资源。 该网站将识别的一些扩展是 uBlock、LastPass、Adobe Acrobat、Honey、Grammarly、Rakuten 和 ColorZilla。根据已安装扩展的组合,网站将生成一个跟踪指纹,可用于跟踪该特定浏览器,如下所示。 一些流行的扩展,例如 MetaMask,不暴露任何资源,但 z0ccc 仍然可以通过检查“typeof window.ethereum 是否等于未定义”来识别它们是否已安装。 虽然那些没有安装扩展程序的人将具有相同的指纹并且对跟踪的用处较小,但那些具有许多扩展程序的人将有一个不太常见的指纹,可用于在网络上跟踪它们。 “这对于指纹识别用户来说绝对是一个可行的选择,”z0ccc 在给 
2022年6月21日 15:31hackernews.cc
近期Microsoft发布了一个带外(OOB)Windows更新,以解决安装6月补丁更新后出现的导致ARM设备上Azure Active Directory和 Microsoft 365登录问题。OOB更新将通过Windows更新自动安装,用户也可以通过Microsoft更新目录手动下载和安装(适用于Windows 10的KB5016139和适用于Windows 11的KB5016138)。对此,微软在公告中表示,该问题仅影响基于Windows ARM的设备,并可能阻止用户使用 Azure Active Directory (AAD) 登录,使用AAD登录的应用程序和服务也可能会受到影响,例如 VPN 连接、Microsoft Teams 和 Microsoft Outlook。 受此问题影响的Windows版本包括多个客户端平台:Windows 11 21H2、Windows 10 21H2、Windows 10 21H1 和 Windows 10 20H2。根据向Microsoft 365发布的服务警示,一些受影响的场景包括但不限于以下内容: 使用 Azure Active Directory (Azure AD) 登录的应用和服务 VPN 连接 微软团队桌面 企业版 OneDrive Outlook 桌面客户端 “这次OOB更新是累积的。如果您使用的是2022年6月14日前发布的更新,我们建议您安装本次OOB更新,而不是2022年6月14日的安全更新,” Redmond说,“如果您安装了较早的更新,则只会下载此软件包中包含的新更新并将其安装在您的设备上。” 该公司在首次发现问题时就给出了解决方案,如果一些无法立即安装更新的用户可以考虑应用该方案。根据微软的说法,想要使用受影响的应用程序的客户应该转向该产品的网页版本。 2022年6月的Windows更新还受到其他问题的困扰,例如用户在最新的客户端和服务器系统上使用Wi-Fi热点时遇到连接问题,以及路由和远程访问服务(RRAS)启用的服务器上的VPN和RDP连接问题。本月的更新还可能导致Windows Server系统出现备份问题,由于解决特权升级安全漏洞的安全强制措施(CVE-2022-30154),应用程序无法使用卷影复制服务(VSS)备份数据。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336
2022年6月21日 15:31hackernews.cc
Security Affairs 网站披露,德国检察官对名为 Nikolaj Kozachek 的俄罗斯黑客发出了逮捕令,该名黑客被指控对位于德国的北约智库联合空中力量能力中心进行了网络间谍攻击。 据悉,网络攻击事件发生在 2017 年 4 月,Kozachek 在成功入侵北约智库的计算机系统后,安装了一个键盘记录器以监视该组织。 德国调查人员认为,Kozachek 是与俄罗斯有关的 APT 28 黑客组织(又名 Fancy Bear)的成员,该组织曾在 2015 年网络入侵了德国联邦议院。 据 Spiegel 称,联邦检察官已从联邦法院获得了对 Kozachek 的逮捕令。 APT 28 组织已成功袭击 1000 个目标 从德国调查人员发布的信息来看,2017 年春天,Kozachek 成功渗透了位于 Kalkar 的北约智库的 IT 系统。据 Tagesschau 网站透漏,Kozachek 在智库中安装了具有所谓 “键盘记录器 “功能的恶意软件,即记录每一次击键,还秘密创建和发送计算机屏幕的截图。 值得一提的是,网络攻击者至少入侵了两个系统,并获得了部分北约的内部信息,但目前尚不清楚此次网络攻击的危害程度。 调查人员认为,作为网络间谍活动的一部分,这个与俄罗斯有关的 APT 28 组织已经袭击了大约 1000 个目标,其中涉及使用了 “X-Agent “植入物。 德国调查人员掌握了该组织部分成员的电子邮件账户内容,这使调查人员能够访问各种私人文件和照片,其中据说包含了俄罗斯军事情报部门 GRU 的奖项和制服的照片。 目前,德国警方正在积极寻找 Kozachek 和另一名俄罗斯黑客 Dimitri Badin,据说后者曾发动了对德国联邦议院的黑客攻击。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336745.html 封面来源于网络,如有侵权请联系删除  
2022年6月20日 17:31hackernews.cc
据参与会谈的官员说,美国和欧盟计划联合资助发展中国家的安全数字基础设施。 这标志着欧盟和美国将首次合作,资助并帮助保护其他国家的关键基础设施免受网络攻击。一位欧盟官员表示,通过网络安全方面的合作,欧盟和美国希望帮助那些原本可能急于接受中国资金的国家。 官员们指出,初步计划可能会在今年年底前,在非洲或拉丁美洲进行。他们提到,俄乌战争的爆发证明,为易受民族国家网络攻击的国家的电信网络和其他硬件提供支持很有必要。 这位欧盟官员表示,中国技术可能会引发数据安全风险。来自欧盟国家和美国的官员称,华为技术有限公司的产品含有内置安全缺陷,可用于政府间谍活动。华为公司表示不会与中国政府共享用户数据。 “这在很大程度上是一个捍卫民主与人权的问题。”这位欧盟官员补充道。 美欧对话论坛上多次推进,或以帕劳海底光缆项目为模版 关于资助外国数字基础设施的讨论始于美欧贸易和技术委员会(TTC)。这是一个去年成立的美国-欧盟对话论坛,旨在解决两大司法管辖区在多个政策领域上的争议。 该委员会在2021年9月在匹兹堡举行了第一次会议。俄乌战争的爆发加速了会议进程,促使官员们加紧对抗俄罗斯及其他威权政府施加的影响。与会者们表示,面对俄罗斯向乌克兰开战,该论坛在协调美欧两大经济体联手制裁俄罗斯方面发挥了重要作用。 在今年5月举行的委员会第二次会议中,欧盟委员会执行副主席玛格丽特·维斯塔格(Margrethe Vestager)表示,“俄乌战争的爆发,进一步强调了我们(欧盟)与美国在经济和技术问题上开展合作的重要意义。” 美国国务院一名官员表示,美国-欧盟网络计划的可行模式之一,是2020年美澳日联合援助帕劳。当时美国、澳大利亚和日本共同出资3000万美元,在太平洋帕劳岛附近建造了世界上最长的海底光缆,旨在为帕劳提供安全的通信网络。 美欧拟制定“排华”援助标准,专家建议长期合作发展安全能力 官员们表示,预计具体资助方式将遵循得到美国和欧盟认同一致的政策,如尽量避免使用政府网络安全专家警告过的技术供应商。 美国一直在极力阻止各国在国内电信网络中使用华为产品。2020年,27个欧盟国家同意采取评估措施,核查技术供应商是否会引入间谍及网络安全威胁。欧盟本身无权要求各成员国禁用技术供应商,但包括瑞典在内的几个国家已经将华为排除在其5G网络建设之外。 电信公司高管、美国及欧盟国家官员则坦言,华为提供的中国设备往往要比竞争对手爱立信和诺基亚的同等设备更便宜。 美国
2022年6月20日 16:11hackernews.cc
网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息,其中一些可能被攻击者混合使用,以在受影响的系统上实现远程代码执行。 工业安全公司 Claroty在一份新报告中表示:“这些漏洞如果被利用,会给网络上的西门子设备带来许多风险,包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。” 值得庆幸的是,2021年10月12日,西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞(从 CVE-2021-33722 到 CVE-2021-33736)。西门子在一份报告中写到,最严重的漏洞可能允许经过身份验证的远程攻击者,在某些条件下以系统特权在系统上执行任意代码。 威胁最大的漏洞编号是CVE-2021-33723(CVSS 评分:8.8),它允许攻击者将权限升级至管理员账号,病号可以与路径遍历漏洞 CVE-2021-33722(CVSS 评分:7.2)想结合,最终实现远程任意代码执行。 此外,还有一个需要注意的是 SQL 注入漏洞,漏洞编号(CVE-2021-33729,CVSS 分数:8.8),通过该漏洞,经过身份验证的攻击者可以在本地数据库中执行任意命令。 Claroty 的 Noam Moshe认为,SINEC在网络拓扑中处于至关重要的中心位置,因为它需要访问凭据、加密密钥和其他授予它的管理员访问权限,以便管理网络中的设备。 从攻击者的角度来看,这种攻击是利用合法凭证和网络工具进行恶意活访问、活动和控制,而SINEC将攻击者置于以下主要位置:侦察、横向移动和特权升级。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336659.html 封面来源于网络,如有侵权请联系删除
2022年6月20日 15:31hackernews.cc
Bleeping Computer 网站披露,美国司法部已经成功破坏了俄罗斯 RSocks 恶意软件僵尸网络。该僵尸网络在受害者不知情的状况下,入侵和劫持全球数百万台计算机、智能手机和物联网设备,用作代理服务器。 此次执法活动由 FBI 联合德国、英国和荷兰等国的警察部队共同发起,该僵尸网络在这些国家维持着部分基础设施。 僵尸网络是一个设备群,攻击者可以远程控制其进行包括 DDoS 攻击、加密货币挖掘和部署额外的恶意软件在内的各种行为。 在 RSocks 的案例中,攻击者利用僵尸网络将住宅电脑转换为代理服务器,允许僵尸网络的客户使用它们进行恶意活动。 这些服务的典型使用场景主要包括网络钓鱼操作、凭证填充、账户接管尝试等。此外,攻击者在使用代理服务时,执法部门很难追踪到。 秘密调查 FBI 特工一直在秘密调查 RSocks,也在秘密行动中绘制了 RSocks 基础设施的地图,并在 2017 年购买了大量代理。 根据美国司法部的说法,“客户”每天访问 2000 台代理计算机的费用为 30 美元,访问 90000 台代理的费用为每天 200 美元。 经过分析,调查人员确定了 325000 台被入侵的设备,其中许多位于美国。据称,RSocks 通过暴力破解这些设备的密码,并在被入侵的计算机上安装软件,将其变成代理服务器。 美国司法部指出,RSocks 僵尸网络的受害者主要是一些大型公共和私人实体,其中主要包括大学、酒店、电视演播室和电子制造商,以及家庭企业和个人。 值得一提的是,在三个受害地点,调查人员在征得同意的情况下,用政府控制的计算机(即蜜罐)替换了受感染的设备,随后这三个地方都被  RSocks 破坏了。 值得一提的是,虽然此次国际执法行动严重破坏了 RSocks ,但没有逮捕任何人。 僵尸网络威胁 众所周知,僵尸网络对路由器和其他连接互联网的“智能”物联网设备等安全性较差的设备构成持续且不断变化的威胁,这些设备经常被忽视并在长时间无人监督的情况下运行。 为了保护物联网设备,所有者应始终将默认管理员密码设置为更强大且难以暴力破解的密码,应用最新的可用固件更新,并为与关键设备隔离的物联网设置单独的网络。     转自 Freebuf,原文链接:https://www.freebuf.com/news/336661.html 封面来源于网络,如有侵权请联系删除
2022年6月20日 11:31hackernews.cc
据BleepingComputer网站6月17日消息,网络附加存储 (NAS) 供应商威联通(QNAP) 于当日再次向客户发出提醒,要求他们采取措施保护好设备,以免受 DeadBolt 勒索软件新型攻击活动的影响。 QNAP表示,它们于近期检测到新的 DeadBolt 勒索软件活动,根据目前受害者的报告,该攻击活动似乎针对运行 QTS 4.x 系统版本的 QNAP NAS 设备。为此,QNAP强烈建议所有用户立即将其 NAS 设备上的 QTS 或 QuTS hero 操作系统更新到最新版本,确保勒索软件不会通过 Internet 进行远程访问。 根据QNAP披露,受感染的设备升级系统固件后,能让内置的 Malware Remover 应用程序自动隔离已知劫持登录页面的 DeadBolt 赎金记录。若在升级固件输入DeadBolt解密密钥后无法找到赎金记录,可向QNAP支持部门寻求帮助。 如同在今年1月DeadBolt 发动的攻击一样,它会在所劫持设备的登录页面上留下“您的文件已被 DeadBolt 锁定”的警告,受感染设备一旦启动,DeadBolt 就会使用 AES128 加密文件,并在其名称后附加 .deadbolt 的扩展名。为了方便受害者能看到赎金记录,它还替换了 /home/httpd/index.html 文件。在受害者支付了0.03比特币的赎金后,攻击者会向同一比特币地址创建一个比特币交易,其中包含OP_RETURN输出下的解密密钥。 勒索软件专家Michael Gillespie创建了一个免费的Windows解密器,可以帮助解密文件而不使用DeadBolt提供的可执行程序。然而,受DeadBolt勒索软件攻击的QNAP用户仍需要支付赎金,以获得有效的解密密钥来恢复数据。   转自 Freebuf,原文链接:https://www.freebuf.com/news/336646.html 封面来源于网络,如有侵权请联系删除
2022年6月20日 11:11hackernews.cc
一名前亚马逊网络服务(AWS)工程师因入侵客户的云存储系统并窃取跟2019年Capital One大规模违规事件有关的数据而被认定有罪。美国西雅图地区法院周五判定Paige Thompson犯有七项计算机和电信欺诈罪,这将使其最高可被判处20年的监禁。 Thompson在网上的名字是Erratic,他因在2019年7月实施Capital One黑客攻击而被捕。该漏洞是有史以来最大的漏洞之一,其曝光了美国和加拿大超过1亿人的姓名、出生日期、社保号码、电子邮件地址和电话号码。此后,Capital One因涉嫌未能确保用户数据安全而被罚款8000万美元并跟受影响的客户达成了1.9亿美元的和解。 美国司法部的一份新闻稿指出,汤普森开发了一种工具,其可扫描AWS的错误配置账户,然后利用这些账户进入Capital One和其他几十个AWS客户的系统。检察官还称,Thompson“劫持”了公司的服务器一安装加密货币挖掘软件,然后将任何收入转移到她的个人加密货币钱包。后来,她还在网上论坛和信息中“吹嘘”她的不当行为。 当时,由于Thompson在网上对她在Capital One攻击事件中的角色表现出不同寻常的坦诚,所以人们对Thompson是道德黑客还是安全研究员存在一些争议–她将客户的敏感数据发布在一个公开的GitHub页面上并在Twitter和Slack上分享漏洞的细节。今年早些时候,美司法部明确表示,它不会根据《计算机欺诈和滥用法》起诉安全研究人员。但美国检察官显然不相信Thompson的行为属于这一例外。 美国检察官Nick Brown在一份声明中说道:“她远不是一个试图帮助公司解决计算机安全问题的有道德的黑客,而是利用错误来窃取有价值的数据并试图使自己致富。”据悉,Thompson的判刑听证会将于2022年9月15日举行。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1282357.htm 封面来源于网络,如有侵权请联系删除
2022年6月17日 17:00hackernews.cc
联邦政府官员表示,乌俄冲突后后,对俄罗斯实施的制裁可能对美国的网络安全产生积极影响。 美国国家安全局 (NSA) 和联邦调查局的领导人都表示,俄罗斯的制裁正在减缓由国家支持的行为者和网络犯罪分子实施的勒索软件攻击和网络攻击。今年早些时候,白宫对该国实施了广泛的经济制裁。此外,联邦机构已经对俄罗斯政府以及私人实体(包括加密货币交易所和混合器)实施了网络安全制裁,原因是勒索软件活动和来自该地区的国家支持的攻击。 NSA 网络安全主管 Rob Joyce 上个月在威尔士举行的 CyberUK 活动中表示,从他的角度来看,勒索软件在过去两个月中已经下降。他认为,对俄罗斯的制裁是可能影响勒索软件数量的几个因素之一。 “与俄罗斯及其乌克兰问题有关的制裁已经影响了勒索软件的实施者,”乔NSA网络安全主管在题为“黑客状况:NSA 的观点”的会议上说。“他们发现很难从生态系统中提取资金、转换资金以及使用可接受的付款来购买他们运营所需的基础设施。”并表示,网络安全制裁导致的攻击减少可能会导致俄罗斯政府转向勒索软件即服务 (RaaS)提供商,以获取对其目标的访问权限。随着威胁行为者暴露潜在漏洞的速度越来越快,这种威胁将越来越大。 FBI 网络部门负责人 Mike Herrington上个月在商会的一次讲话中指出,尽管Conti等俄罗斯勒索软件团伙仍然发起了攻击,但直接来自政府机构的攻击已经放缓。“很多都集中在网络犯罪分子身上,而不是俄罗斯情报部门。这教会了我们很多关于他们如何将 [网络攻击] 视为对美国迄今采取的行动(包括制裁)的回应手段,在乌克兰的支持以及他们如何警惕将我们进一步卷入这场冲突。” 赫灵顿还表示,通过研究俄罗斯使用的策略,美国可以更好地为未来的潜在攻击做好准备。他说,虽然对乌克兰关键基础设施的破坏性攻击是最具新闻价值的,但对个人财务和金融机构的攻击也很常见。 虽然由于缺乏受害者的报告,联邦政府关于勒索软件攻击和其他网络威胁的数据不完整,但私营部门的研究支持勒索软件方面的一些调查结果。 威胁情报供应商 Recorded Future 的勒索软件研究员 Allan Liska 跟踪了 2022 年前五个月的全球勒索软件攻击,并将这些数字与 2021 年的相同范围进行了比较。 据 Liska 称,勒索软件攻击在全球范围内同比增长18.5%。Liska 还发现,虽然美国在 2021 年占所有受害者的 54%,但到 2022 年
2022年6月17日 16:40hackernews.cc
安全研究人员警告称,威胁行为者可能会劫持Office 365账户,对存储在SharePoint和OneDrive服务中的文件进行加密,以获得赎金,很多企业正在使用SharePoint和OneDrive服务进行云协作、文档管理和存储,如果数据没有备份,那针对这些文件的勒索软件攻击可能会产生严重后果,导致所有者和工作组无法访问重要数据。 近期,网络安全公司Proofpoint的研究人员在一份报告中指出,勒索攻击的成功主因在于滥用“自动保存”功能,该功能会在用户进行编辑时创建旧文件版本的云备份。威胁行为者要加密SharePoint和OneDrive文件的前提条件是破坏Office 365 帐户,这很容易通过网络钓鱼或恶意OAuth应用程序完成。劫持帐户后,攻击者可以使用Microsoft API和PowerShell脚本自动对大型文档列表执行恶意操作。要更快地完成文件锁定并使恢复变得更困难,威胁行为者会通过减少版本编号限制并加密所有超过该限制的文件。此任务不需要管理权限,可以从任何被劫持的帐户完成。研究人员举例说,对手可以将文件版本数减少到“1”,并对数据进行两次加密。由于文件版本限制设置为“1”,当攻击者对文件进行两次加密或编辑时,原始文档将无法通过OneDrive获得,也无法恢复。 另一种方法是使用自动脚本编辑文件501次,这超过了OneDrive存储文件版本的最大500次限制。虽然这种方法更张扬,可能会触发一些警报,但它仍然是一种有效的方法。文档加密完成后,攻击者就可以向受害者索取赎金,以换取解锁文件。在加密之前先窃取原始文件,从而在泄露数据的威胁下给受害者更大的压力,这也是可行的,而且可能被证明是有效的,特别是在有备份的情况下。 虽然Proofpoint提醒微软版本编号设置可能会被滥用,但微软坚称这种配置能力是其预期的功能。微软说,如发生类似上述攻击场景的意外数据丢失情况下,微软的support agent可以在事故发生14天后帮助恢复数据。但根据Proofpoint的报告,他们尝试使用support agent恢复文件,但失败了。 对于可能成为这些云攻击目标的企业,最佳安全实践包括: 使用多因素身份验证 保持定期备份 寻找恶意OAuth应用程序并撤销令牌,以及在事件响应列表中添加“立即增加可恢复版本”。   转自 Freebuf,原文链接:https://www.freebuf.com/news/3
2022年6月17日 15:20hackernews.cc
在英特尔和微软今天发布的公告中,表示多款英特尔酷睿处理器存在一系列 CPU 漏洞。这些安全漏洞与 CPU 的内存映射 I/O(MMIO)有关,因此被统称为“MMIO陈旧数据漏洞”(MMIO Stale Data Vulnerabilities)。威胁者在成功利用一个有漏洞的系统后,可以读取被攻击系统上的特权信息。 在其安全公告 ADV220002 中,微软描述了潜在的攻击场景: 成功利用这些漏洞的攻击者可能会跨越信任边界读取特权数据。在共享资源环境中(如存在于一些云服务配置中),这些漏洞可能允许一个虚拟机不正当地访问另一个虚拟机的信息。在独立系统的非浏览场景中,攻击者需要事先访问系统,或者能够在目标系统上运行特制的应用程序来利用这些漏洞。 这些漏洞被称为: ● CVE-2022-21123 – 共享缓冲区数据读取(SBDR) ● CVE-2022-21125 – 共享缓冲区数据采样(SBDS) ● CVE-2022-21127 – 特殊寄存器缓冲区数据采样更新(SRBDS更新) ● CVE-2022-21166 – 设备寄存器部分写入(DRPW) MMIO 使用处理器的物理内存地址空间来访问像内存组件一样响应的 I/O 设备。英特尔在其安全公告 INTEL-SA-00615 中,更详细地描述了如何利用 CPU 非核心缓冲区数据来利用该漏洞。 处理器 MMIO 陈旧数据漏洞是一类内存映射的 I/O(MMIO)漏洞,可以暴露数据。当一个处理器内核读取或写入MMIO时,交易通常是通过不可缓存或写入组合的内存类型完成的,并通过非内核进行路由,非内核是CPU中的一段逻辑,由物理处理器内核共享,并提供一些通用服务。恶意行为者可能利用非核心缓冲区和映射寄存器来泄露同一物理核心内或跨核心的不同硬件线程的信息。 [……]这些漏洞涉及的操作导致陈旧的数据被直接读入架构、软件可见的状态或从缓冲区或寄存器采样。在一些攻击场景中,陈旧的数据可能已经存在于微架构的缓冲器中。在其他攻击场景中,恶意行为者或混乱的副代码可能从微架构位置(如填充缓冲区)传播数据。 据微软称,以下Windows版本受到影响。 ● Windows 11 ● Windows 10 ● Windows 8.1 ● Windows Server 2022 ● Windows Server 2019 ● 
2022年6月16日 17:19hackernews.cc
多名安全专家近期指责微软,称其在回应威胁其客户的漏洞报告时缺乏透明度和足够的速度。在本周二发布的博文中就阐述了微软在这方面的失败,内容称微软在修复 Azure 中的一个关键漏洞用了 5 个月的时间,而且先后发布了 3 个补丁。 Orca Security 在 1 月初首次向微软通报了该漏洞,该漏洞位于云服务的 Synapse Analytics 组件中,并且还影响了 Azure 数据工厂。它使任何拥有 Azure 帐户的人都能够访问其他客户的资源。 https://static.cnbetacdn.com/article/2022/0616/0b1026799301e68.gif Orca Security 研究员 Tzah Pahima 表示,攻击者可以实现 ● 在充当 Synapse 工作区的同时在其他客户帐户中获得授权。根据配置,我们可以访问客户帐户中的更多资源。 ● 泄露存储在 Synapse 工作区中的客户凭据。 ● 与其他客户的集成运行时进行通信。可以利用它在任何客户的集成运行时上运行远程代码 (RCE)。 ● 控制管理所有共享集成运行时的 Azure 批处理池。可以在每个实例上运行代码。 Pahima 说,尽管该漏洞很紧迫,但微软的响应者却迟迟没有意识到它的严重性。微软在前两个补丁中搞砸了,直到周二,微软才发布了完全修复该漏洞的更新。 Pahima 提供的时间表显示了他的公司花费了多少时间和工作来引导微软完成整治过程: ● 1 月 4 日 – Orca 安全研究团队向 Microsoft 安全响应中心 (MSRC) 披露了该漏洞,以及我们能够提取的密钥和证书。 ● 2 月 19 日和 3 月 4 日——MSRC 要求提供更多细节以帮助其调查。每次,我们都会在第二天回复。 ● 3 月下旬 – MSRC 部署了初始补丁。 ● 3 月 30 日 – Orca 能够绕过补丁。突触仍然脆弱。 ● 3 月 31 日 – Azure 奖励我们 60,000 美元用于我们的发现。 ● 4 月 4 日(披露后 90 天)– Orca Security 通知 Microsoft 密钥和证书仍然有效。 Orca 仍然可以访问 Synapse 管理服务器。 ● 4 月 7 日 – Orca 与 MSRC 会面,以阐明该漏洞的影响以及全面修复该漏洞所需的步骤。 ● 4 月 10 日 – MSRC 修补
2022年6月16日 16:59hackernews.cc
微软周二宣布,它将收购一家名为Miburo的纽约网络威胁分析和研究公司以加强其网络安全服务。以未透露的收购价格达成的交易,微软将迎来该公司专门从事外国信息行动的检测和应对的人才。根据Miburo的LinkedIn简介,它还涵盖了社交媒体调查职能和反击恶性影响的行动。 “随着对Miburo的收购,我们将继续履行我们的使命,采取行动,并与公共和私营部门的其他人合作,找到长期的解决方案,阻止外国对手威胁公共和私营部门的客户,事实上也威胁到我们民主的基础,”公司客户安全和信任副总裁汤姆-伯特在宣布即将进行的收购的博客文章中写道。 据伯特说,一旦收购完成,Miburo将成为其客户安全与信任组织的一部分,在那里,其现有的分析师将与微软威胁情报中心、威胁背景分析团队、数据科学家和其他专家携手合作。 微软预计,Miburo专业人员的到来将扩大其威胁检测和分析能力,从而对新的网络攻击作出更周到、更有效的反应。此外,伯特说,这将帮助该公司更好地了解”外国行为者利用信息操作与其他网络攻击相结合的方式来实现其目标”。 微软认为Miburo是”识别外国信息行动的领先专家”。这家咨询和分析公司可以通过16种语言检测并确定恶意和极端主义影响活动的属性。此外,Miburo创始人兼首席执行官克林特·沃茨曾在美国陆军和联邦调查局的联合反恐工作队任职,这使该团队在处理其在微软的新职责方面拥有更多资格。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1281155.htm 封面来源于网络,如有侵权请联系删除
2022年6月16日 16:59hackernews.cc
安全内参6月15日消息,乌克兰政府官员已经开始将敏感数据存储到国外上,希望保护其免受俄罗斯网络与物理攻击的影响。乌克兰还在与多个欧洲国家进行协商,旨在为后续更多数据库外迁做准备。 已有超百个数据库正在迁移,战争严重威胁国家数据安全 乌克兰数字化转型部副部长George Dubinskiy表示,自俄乌战争爆发以来,已有不同政府部门和办公室的约150个登记数据库或备份副本,正在商议或已被迁往国外。 Dubinskiy称,之前政府的大部分信息记录都保存在国内的数据中心,需要先迁移至云端,然后才能传输备份副本。为此,政府决定优先考虑将重要的数据库从旧的遗留数据存储系统中迁出,为其创建副本,以便存储到国外的云设施当中。 他解释道,“为了安全起见,我们希望把备份数据放在国外。” 他认为,将数据库迁移至云端将增加新的保护层,这样即使乌克兰的某个数据中心被俄罗斯武器摧毁,政府官员仍然可以访问数据内容。他还说,政府制定了法律和安全规定,将协助保护这些数据库免受网络和其他威胁的侵扰。 在俄乌战争初期,某个政府数据中心就曾遭俄罗斯导弹破坏。但由于备份副本的存在,没有造成数据丢失。 Dubinskiy表示,“这在我们看来绝对是个危险的信号,我们必须以某种方式保存和保护自己的关键数据存储。” 战争爆发后,这种威胁已经非常明显。2月24日开战首日,俄罗斯袭击了基辅郊外的一处军事基地,此后又多次袭击了乌克兰政府大楼。5月,美国、英国、欧盟及其他多国指责,俄罗斯在开战首日对一家卫星通信公司实施网络攻击,导致数千名乌克兰与欧洲民众的互联网服务中断,一家德国风力发电场的远程控制系统陷入瘫痪。 俄罗斯则一直否认曾发动网络攻击。但压力之下,乌克兰政府很快意识到必须着手保护数据资产。乌克兰国家特殊通信与信息保护局副局长Victor Zhora上个月说:“在紧急情况下,我们需要保证IT系统能够继续运行。” 部分数据成功迁移至波兰,迁移是一项昂贵的长期工程 Dubinskiy指出,乌克兰已经将部分政府数据存储在波兰,放在专门设计的私有云设施内。他拒绝透露更多技术细节,但表示这些服务器仅负责托管乌克兰信息,而且经过了乌克兰和波兰两国官员的共同测试。目前,他正与爱沙尼亚、法国等其他国家接洽,希望推进类似的数据外迁计划。 Dubinskiy团队决定优先转移“VIP”数据库,即支持乌克兰经济所必需的数据库。他认为,即使在战争期间,数字身份等公民服务也仍需要稳定运行,
2022年6月16日 16:39hackernews.cc
近日,有消息显示,一项代号为“2022第一缕光”(First Light 2022)的国际执法行动在全球范围内共查获了5000万美元赃款,数千名参与社会工程诈骗的人遭到逮捕。这项行动由国际刑警组织(Interpol)领导,并得到76个国家警方的协助,其主要目的是打击社会工程犯罪,包括电话诈骗、婚恋诈骗、商业电邮诈骗及相关的洗钱活动。 这里的“社会工程”是业内一个通用术语,指的是攻击者通过与他人的合法交流,来使其心理受到影响,从而执行某些行为或泄露敏感信息。通常情况下,攻击者会事先设想好一个令人信服的、逼真的理由作为诱饵,然后通过电话或电子邮件联系受害者并操纵他们。 一般而言,社会工程攻击者通常会以一个理由直接要求受害者付款。当然,有时他们也会将窃取的信息出售给其他骗子,从而获得访问网络/系统的权限,实施勒索。 关于“First Light 2022”行动 国际刑警组织发起的“First Light 2022”行动主要打击的对象是电话诈骗、婚恋诈骗和商业电邮诈骗,这些都与金融犯罪密切相关。 这一行动自2022年3月到5月,持续了两个月,取得了一系列的成果: 突击检查了全球范围内的1,770个犯罪网点; 对约3000名嫌疑人进行了身份确认; 逮捕了约2,000名经营者、诈骗犯与洗钱者; 冻结了约4000个银行账户; 截获了价值约5000万美元的非法资金。 国际刑警组织强调的一点是,冒充电子商务机构的庞氏骗局与电子商店骗局似乎正在不断增加。 “作为‘First Light 2022’行动的一部分,新加坡警方逮捕了八名与一起庞氏骗局有关的嫌疑人。诈骗者会通过社交媒体或消息系统对外宣传提供高薪的在线销售工作岗位,起初受害者确实会有一些微薄的收入,但随后他们会被要求招募更多成员以赚取佣金”,国际刑警组织的一份报告中这样写道。 此外,国际刑警组织的分析师还发现了2022年的另一个趋势,那就是犯罪者会冒充国际刑警组织的官员,然后随机向人们发送威胁信息,要求他们向这些假官员付款以停止对他们的调查行动。 这些社会工程骗局不仅会造成巨大的经济损失,有时甚至会造成危及生命的严重后果。国际刑警组织表示,当前社交媒体平台上的人口贩卖活动正在明显增加,人们往往被高薪工作诱惑,然后被迫参加劳动、被奴役或囚禁在赌场或渔船上。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336400.ht
2022年6月16日 16:39hackernews.cc
据Bleeping Computer报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。 该漏洞编号为CVE-2022-27924,目前已经被收录至CNNVD,编号为CNNVD-202204-3913,受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起,Zimbra 版本ZCS 9.0.0 的补丁24.1,以及ZCS 8.8.15的补丁31.1 中都发布了一个修复程序。 资料显示,Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。其产品遍布全球,在各国/地区的政府、组织、金融和教育部门广泛使用。 悄无声息窃取登录凭证 SonarSource公司的研究人员报告了该漏洞,并对其进行描述,“未经身份验证的攻击者可以将任意 memcache 命令注入目标实例”。因此,攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。 Memcached是一个免费开源的、高性能的、具有分布式内存对象的缓存系统,通过减轻数据库负载加速动态Web应用。因此它可以存储电子邮件帐户的键/值对,通过减少对查找服务的 HTTP 请求数量来提高 Zimbra 的性能。但是,Memcache使用的是比较简单的基于文本的协议进行设置和检索。 Zimbra 的请求路由图 (SonarSource) 研究人员进一步解释,攻击者可以通过对易受攻击的Zimbra实例的特制HTTP请求,来覆盖已知用户名的IMAP路由条目。而当真实用户登录时,Zimbra中的Nginx代理会将所有 IMAP 流量转发给攻击者,包括纯文本凭据。 HTTP 请求(上)和发送到服务器的消息(下)(SonarSource) 邮件客户端(如Thunderbird、Microsoft Outlook、macOS等邮件应用程序和智能手机邮件应用程序)通常会将用户连接到其IMAP服务器的凭据存储在磁盘上,因此该漏洞在利用时不需要任何用户交互。但是,当邮件客户端重新启动或需要重新连接时,就需要重新对目标 Zimbra 实例进行身份验证。 事实上,在日常生活中,想要
2022年6月16日 16:19hackernews.cc
思科于本周通知其用户修补一个严重漏洞,该漏洞可能允许攻击者绕过身份验证并登录到思科电子邮件网关设备的Web管理界面。该安全漏洞(编号为CVE-2022-20798)是在思科电子邮件安全设备(ESA)以及思科安全电子邮件和Web管理器设备的外部身份验证功能中发现的。该编号为CVE-2022-20798的漏洞是由于受影响设备使用LDAP (Lightweight Directory Access Protocol)进行外部认证时,认证检查不正确导致的。 对此,思科在回应中并表示,攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞,成功的利用可能允许攻击者未经授权访问受影响设备的管理界面。该漏洞是在解决 Cisco TAC(技术援助中心)支持案例期间发现的,思科的产品安全事件响应团队 (PSIRT) 表示,目前还没有利用此安全漏洞的消息,且此漏洞仅影响配置为使用外部身份验证和LDAP作为身份验证协议的设备。不过据思科称,默认情况下外部身份验证功能是禁用的,这意味着只有具有非默认配置的设备才会受到影响。如需检查设备上是否启用了外部身份验证,请登录基于Web的管理界面,转至系统管理 > 用户,然后在“启用外部身份验证”旁边查找绿色复选框。思科还表示,此漏洞不会影响其他安全网络设备产品,比如思科网络安全设备 (WSA)。无法立即安装CVE-2022-20798安全更新的管理员也可以禁用外部经过身份验证服务器上的匿名绑定来解决此问题。 今年2月份,思科还修复了另一个安全电子邮件网关漏洞 ,该漏洞可能允许远程攻击者使用恶意制作的电子邮件使未修补的设备崩溃。同时,思科也表示不会修复影响RV110W、RV130、RV130W和RV215W SMB等即将停产的路由器关键零日漏洞,该漏洞允许攻击者以根级权限执行任意命令。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336376.html 封面来源于网络,如有侵权请联系删除
2022年6月16日 16:19hackernews.cc
据BleepingComputer网站6月15日消息,一个被称为“Blue Mockingbird”的攻击者利用 Telerik UI 漏洞来破坏服务器,安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。 攻击者利用的漏洞是 CVE-2019-18935,这是一个严重的反序列化漏洞,CVSS v3.1评分高达 9.8,可导致在 Telerik UI 库中远程执行 ASP.NET AJAX 的代码。 在2020年5月,Blue Mockingbird就曾使用同样的手法攻击Microsoft IIS 服务器,而此时距供应商提供安全更新已经过去了一年 ,可见该漏洞已被该攻击者反复利用,屡试不爽。 要利用 CVE-2019-18935漏洞,攻击者必须获得保护目标上Telerik UI序列化的加密密钥,这可通过利用目标 Web 应用程序中的另一个漏洞或使用 CVE-2017-11317 和 CVE-2017-11357 来实现。一旦获得密钥,攻击者就可以编译一个恶意 DLL,其中包含要在反序列化期间执行的代码,并在“w3wp.exe”进程的上下文中运行。 Blue Mockingbird 最近的攻击链 在由网络安全公司Sophos最近发现的这起攻击事件中,Blue Mockingbird采用了一个现成的概念验证(PoC)漏洞,能够处理加密逻辑并自动进行DLL编译,其使用的有效载荷是 Cobalt Strike 信标,这是一种隐蔽的、合法的渗透测试工具, Blue Mockingbird 以此滥用来执行编码的 PowerShell 命令。 Cobalt Strike 信标配置 为了实现持久性,攻击者通过 Active Directory 组策略对象 (GPO) 建立,它创建计划任务,该计划任务写入包含 base64 编码的 PowerShell 的新注册表项中。 该脚本使用常见的 AMSI 绕过技术来规避 Windows Defender 检测,以将 Cobalt Strike DLL 下载并加载到内存中。 第二阶段的可执行文件(’crby26td.exe’)是一个 XMRig Miner,一个标准的开源加密货币矿工,用于挖掘 Monero,这是最难追踪的加密货币之一。 Cobalt Strike 的部署为在受感染的网络内轻松横向移动、进行数据泄露、帐户接管以及部署更强大
2022年6月16日 15:59hackernews.cc
在 2017 年被影响现代 Intel、AMD 和 ARM 处理器的“幽灵”(Spectre)和“熔毁”(Meltdown)侧信道攻击漏洞给震惊之后,现又有安全研究人员曝光了利用 CPU 提频(Boost Frequencies)来窃取加密密钥的更高级漏洞 —— 它就是 Hertzbleed 。 (来自:Hertzbleed 网站) 该攻击通过监视任何加密工作负载的功率签名(power signature)侧信道漏洞而实现,与 CPU 中的其它因素一样,处理器功率会因工作负载的变化而有所调整。 但在观察到此功率信息之后,Hertzbleed 攻击者可将之转换为计时数据(timing data),进而窃取用户进程的加密密钥。 ● 目前 Intel 和 AMD 均已公布易受 Heartzbleed 漏洞攻击影响的系统,可知其影响 Intel 全系和 AMD Zen 2 / Zen 3 处理器。 ● 前者被分配了 Intel-SA-00698 和 CVE-2022-24436 这两个漏洞 ID,后者则是 CVE-2022-23823 。 原理示意(图自:Intel 网站) 更糟糕的是,攻击者无需物理访问设备、即可远程利用 Hertzbleed 漏洞。 之后两家芯片公司将提供基于微码的修补缓解措施,以防止此类漏洞被攻击者继续利用。 略为庆幸的是,英特尔声称此类攻击在实验室研究之外并不那么实用,因为据说窃取加密密钥需耗费数小时到数天。 至于漏洞补丁可能造成的 CPU 性能损失,还是取决于具体的应用场景。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1281091.htm 封面来源于网络,如有侵权请联系删除
2022年6月16日 15:39hackernews.cc
一项新研究表明在 BUG 悬赏计划中,苹果所支付的赏金是三星的 5 倍多。尽管如此,苹果仍然面临着研究人员的投诉,一些人说苹果没有为报告的零日漏洞记功。 Atlas VPN 进行的研究显示,苹果公司向在其服务中发现漏洞的研究人员支付 10 万至 100 万美元,而三星的漏洞赏金计划对合格的漏洞奖励研究人员 200 至 20 万美元。另一方面,华为为其设备中发现的漏洞提供 200 至 22.4 万美元的报酬。 Atlas VPN说,这些数据是基于公开的信息,即最重要的手机和其他电子产品制造公司为其设备中发现的漏洞支付多少钱。虽然苹果公司支付的费用比三星或上面显示的这些其他公司要好,但其漏洞赏金计划并不是没有争议的。2017 年,研究人员抱怨发现的问题报酬过低。2021 年,苹果公司聘请了一位新的领导人来改革其漏洞赏金计划,因为安全研究人员对它感到”厌烦”。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1281367.htm 封面来源于网络,如有侵权请联系删除
2022年6月16日 15:39hackernews.cc
微软终于发布了对”Follina”的修复,这是Windows中被黑客积极利用的零日漏洞。作为微软每月发布的安全补丁的一部分,即所谓的”补丁星期二”已经发布了对这个高危漏洞的修复,这一漏洞被追踪为CVE-2022-30190。但正如网络安全公司Sophos所指出的,该修复程序并不在此次发布的补丁列表中–尽管它已经确认Follina现在已经被缓解。 “微软强烈建议客户安装这些更新,以充分保护自己免受该漏洞的影响,”微软在6月14日对其原始公告的更新中说。 Follina漏洞已被攻击者利用,在打开或预览恶意的Office文档时,通过微软诊断工具(MSDT)执行恶意的PowerShell命令,即使宏被禁用。该漏洞影响到所有仍在接受安全更新的Windows版本,包括Windows 11,并使威胁者能够查看或删除数据,安装程序,并在被攻击的系统上创建新账户。 网络安全研究人员在4月首次观察到黑客利用该漏洞攻击俄罗斯和白俄罗斯用户,企业安全公司Proofpoint上个月表示,Follina现在也被黑客组织滥用于正在进行的网络钓鱼活动中,使受害者感染Qbot银行木马,以及针对美国和欧洲政府机构的网络钓鱼攻击中。 Follina零日病毒最初于4月12日被标记给微软。然而,一位名叫Crazyman的安全研究人员在Twitter上说,微软最初将该漏洞标记为非”安全相关问题”,他被认为是首次报告该漏洞。 网络安全公司Tenable的高级研究工程师Claire Tills表示,”鉴于微软最初对该漏洞的否定以及该漏洞在公开披露后的几周内被广泛利用,在补丁星期二之前,人们对微软是否会发布补丁进行了大量猜测。”他还指出这正成为一种”令人担忧的趋势”。 “Tenable在微软的Azure Synapse Analytics中发现并披露了两个漏洞,其中一个已经打了补丁,另一个没有,”她补充说。”这两个漏洞都没有分配CVE编号,也没有记录在微软6月份的安全更新指南中”。 除了解决Follina漏洞之外,微软还修复了三个”关键的”远程代码执行(RCE)缺陷。然而,这些都还没有被积极利用。   转自 cnBeta,原文链
2022年6月15日 17:41hackernews.cc
在 2022 年 6 月补丁星期二活动中,Internet Explorer 浏览器正式退出历史舞台。微软表示现有 IE 浏览器今后将不再获得任何错误或者漏洞修复,鼓励用户切换到的 Microsoft Edge 浏览器。 讨论 IE 浏览器的遗产没有什么意义,但是曾经有一段时间,它是世界第一大浏览器。然而,第三方浏览器以非常快的速度发展,更丰富的扩展应用以及流畅的上网体验让 IE 用户大量流失。现在微软完全致力于基于 Chromium 的 Microsoft Edge 浏览器开发,并提供了一个专门的 IE 模式,用户可以在该兼容模式下加载某些网站。 微软在之前的公告中表示:“如果你是在家里使用IE浏览器的消费者,我们建议你在2022年6月15日之前过渡到Microsoft Edge,以开始享受更快、更安全和更现代的浏览体验”。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1280843.htm 封面来源于网络,如有侵权请联系删除
2022年6月15日 16:21hackernews.cc
ASEC 分析团队最近发现,许多下载器类型的恶意软件 Bumblebee 正在传播。Bumblebee 下载器正在通过网络钓鱼电子邮件作为 ISO 文件分发,该 ISO 文件包含一个快捷方式文件和一个恶意 dll 文件。此外,还确认了通过电子邮件劫持向国内用户分发的案例。 以下是分发 Bumblebee 下载器的网络钓鱼电子邮件。这封电子邮件会截获一封正常的电子邮件,并在回复用户时附上恶意文件。在收到电子邮件的用户的情况下,判断为正常回复,可以毫无疑问地执行附件,因此需要注意。额外确认的网络钓鱼电子邮件也正在使用电子邮件劫持方法进行分发。除了通过附件进行传播之外,还有一种传播方法是通过在电子邮件正文中包含恶意 URL 来诱导下载。在通过恶意 URL 进行分发的方法中使用 Google Drive 有一个特点。 在钓鱼邮件附件的压缩文件中设置了密码,密码显示在邮件正文中。该文件伪装成发票或请求相关文件名,可见压缩文件内部存在ISO文件。 执行 ISO 文件时,会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项,则只出现lnk文件,因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。 lnk 命令 %windir%\system32\rundll32.exeneval.dll,jpHgEctOOP 通过lnk文件执行的恶意dll是打包形式的,解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下,它是一个代码,检查用于恶意代码分析的程序是否正在运行,虚拟环境中使用的文件是否存在,以及是否通过mac地址与特定制造商匹配。除了相应的检查外,还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。 如果上述所有过程都通过,则执行了实际的恶意操作。首先,对编码数据进行解码,得到如下的多个C2信息。之后,它通过收集用户PC信息来尝试连接和传输C2。 解码 C2 73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 :443、101.88.16[.]100:443、19.7
2022年6月15日 15:41hackernews.cc
据《卫报》报道,美国国防承包商L3Harris正在就收购NSO集团进行谈判,这项可能的交易将使一家美国公司控制世界上最复杂和最有争议的黑客工具之一。多个消息来源证实,讨论的中心是出售这家以色列公司的核心技术,以及可能将NSO的人员转移到L3Harris。但任何协议仍然面临重大障碍,包括需要美国和以色列政府的支持,而美国和以色列政府尚未对交易开绿灯。 白宫一位高级官员在一份声明中说:“这样的交易如果发生,会给美国政府带来严重的反间谍和安全问题。” 这个故事是由《卫报》、《华盛顿邮报》和以色列《国土报》联合报道的。 如果达成协议,这笔交易将标志着NSO的惊人转变,在拜登政府将该公司列入美国黑名单并指责其行为“违反美国的外交政策和国家安全利益”后不到一年。 据了解,NSO的政府客户使用监视技术来针对记者、人权活动家、与美国结盟的国家的高级政府官员和世界各地的律师。 《卫报》和其他媒体还详细报道了NSO的监控技术PegASUS是如何被该公司的政府客户用来针对美国公民,包括卢旺达持不同政见者 Paul Rusesabagina 的女儿 Carine Kanimba,以及在国外工作的记者、活动人士和美国国务院官员。 当被问及对会谈的评论时,L3Harris的一位发言人说:“我们知道这种能力,我们不断评估我们客户的国家安全需求。在这一点上,除此之外的任何事情都是猜测。” L3和NSO之间的会谈首先由 Intelligence Online 报道。 白宫表示,它没有以“任何方式参与这项报道的潜在交易”。白宫高级官员还表示,美国政府 “反对外国公司规避美国出口管制措施或制裁的努力,包括将恶意网络活动列入美国商务部的实体名单”。 这位官员说,任何美国公司–特别是通过审核的美国国防承包商–应该意识到,与黑名单上的公司进行的交易“不会自动将指定实体从实体名单上删除,而是会刺激密集的审查,以检查该交易是否对美国政府及其系统和信息构成反间谍威胁,美国与国防承包商的其他股权是否可能面临风险,外国实体或政府在多大程度上保留了一定的访问或控制,以及更广泛的人权影响”。 一位熟悉谈判的人士说,如果达成协议,它可能涉及将NSO的能力出售给一个大幅缩减的客户群,其中包括美国政府、英国、澳大利亚、新西兰和加拿大–它们组成了“五眼”情报联盟,以及一些北约盟国。 该人士还表示,该交易面临几个未解决的问题,包括技术将被安置在
2022年6月15日 15:41hackernews.cc
Cloudflare透露,它发现并成功阻击了有记录以来最大的HTTPS DDoS攻击,本次攻击峰值每秒发出2600万个请求,而目标仅仅是Cloudflare的一个免套餐划的客户。在宣布这一消息的两个月前,Cloudflare称它阻止了针对其另一客户的另一场大型HTTPS DDoS攻击。 与4月份的攻击类似,这次的攻击主要来自云服务提供商,而不是住宅互联网服务提供商。这意味着数据中心里的虚拟机和服务器被劫持来实施攻击,而不是此前惯用的物联网(IoT)设备。 进行这次攻击的僵尸网络由5067台设备组成,在攻击的高峰期,每个节点每秒发出5200个请求。 Cloudflare指出,这次攻击是通过HTTPS进行的,这意味着不仅要花费更多的钱来发动攻击,要设法应对攻击也是如此。该僵尸网络的攻击来自121个国家,其中印度尼西亚、美国、巴西和俄罗斯的请求最多,来自他们国家,甚至有3%的攻击也是通过Tor连接进行的。 Cloudflare表示,其免费和专业CDN套餐的所有客户都受到保护以免受类似的攻击而导致停机事故,不仅如此,这种的保护是不计费和无限制的,所以无论攻击的规模或持续时间有多大多长,客户都不会被收取更多的服务费。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1280833.htm 封面来源于网络,如有侵权请联系删除
2022年6月15日 15:21hackernews.cc
网络安全研究人员上个月在Google Play商店中发现了广告软件和窃取信息恶意软件,并且至少还有五个在谷歌商店里继续保持上架状态,而它们的下载量已经突破200万次。其中在感染广告软件之后用户设备会显示不必要的广告,这会降低用户体验、耗尽设备电量,甚至产生未经授权的费用。这种软件通常会伪装成设备上的其他应用来隐藏自己,并通过强迫受害者查看或点击附属广告来为远程操作者牟利。但窃取信息的恶意软件更加危险,它会窃取您经常访问的其他网站的登录凭据,包括您的社交媒体和网上银行账户。 Dr. Web antivirus的分析师说,广告软件应用程序和数据窃取木马是今年5月最突出的 Android 威胁之一。在设法渗入Google Play商店的众多威胁中,以下五个仍然可用: PIP Pic Camera Photo Editor – 100 万次下载,恶意软件伪装成图像编辑软件,会窃取用户的Facebook帐户凭据。 Wild & Exotic Animal Wallpaper – 50万次下载,一种广告软件木马,将其图标和名称替换为“SIM Tool Kit”,并将自身添加到省电例外列表中。 ZodiHoroscope – Fortune Finder – 50万次下载,恶意软件通过诱骗用户输入来窃取 Facebook 帐户凭据,据说可以禁用应用内广告。 PIP Camera 2022 – 5万次下载,相机效果应用程序也是Facebook 帐户劫持者。 放大镜手电筒– 1万次下载,提供视频和静态横幅广告的广告软件应用程序。 不过Bleeping Computer表示已与Google联系,告知他们上述应用程序,并表示会验证现有版本是否已被清理并重新提交,或者是否仍然像 Dr. Web 的报告中描述的那样危险。但是,从最近的用户评论来看,这些应用程序仍在展示恶意功能,并且没有兑现其功能承诺。 Dr. Web的防病毒团队5月份还在谷歌商店发现的其他应用程序,包括赛车游戏、已删除的图像恢复工具、针对俄罗斯用户的虚假国家补偿应用程序,以及Only Fans 平台的“免费访问”应用程序,不过这些应用程序目前已从谷歌商店中删除。 Cyble 的研究人员还在 Google Play 商店中发现了Hydra银行木马,最近观察到该木马针对的是欧洲的银行客户。该恶意软件伪装成PDF文档管理器,具有文本到PDF和QR码扫描功能,该恶意软件下
2022年6月15日 15:01hackernews.cc
据BleepingComputer网站6月14日消息,为了提高勒索效率,勒索软件团伙BlackCat创建了一个专属网站,允许受害者检查他们的数据是否在攻击中被盗,这一做法的目的是为了迫使受害者付费。 在过去勒索软件团伙通过数据泄露站点刻意泄露少量被盗数据,并向受害者发送邮件,警告他们信息已被盗取。 然而,这些勒索手段并不总是奏效,即便公司的员工、客户数据被盗,公司也有权决定不付款。 出于这个原因,勒索软件团伙不断发展他们的策略,以对受害者施加额外的压力。 最近,在BlackCat针对美国俄勒冈州一家酒店和水疗中心的勒索攻击行动中,声称窃取了 1500 名员工的 112GB 数据。但这一次,勒索软件团伙并没有仅仅在他们的 Tor 数据泄露网站上泄露数据,而是更进一步,创建了一个专门的网站,允许个人员工和顾客检查他们的数据是否在酒店攻击期间被盗。虽然顾客数据仅包含姓名、到达日期和住宿费用,但员工数据包含极其敏感的信息,例如姓名、社会安全号码、出生日期、电话号码和电子邮件地址。 允许个人员工和顾客检查数据是否被盗的网站 勒索软件团伙甚至为每位受害员工创建“数据包”,其中包含个人在酒店的工作相关的文件。由于该站点托管在公共互联网上,因此可以被搜索引擎抓取,并且暴露的信息可能会被添加到搜索结果中,从而进一步扩大了被窃信息的泄露面。 可见,在折起事件中,网站的目的很明确,就是迫使酒店员工和顾客请求删除他们的个人数据,而这只能通过支付赎金来完成。 Emisosft 安全分析师 Brett Callow表示,这是一个具有创新性的策略,如果公司知道与顾客和员工有关的信息将以这种方式被盗,会更倾向于支付赎金避免数据泄露,并避免可能受到的集体诉讼。但现在判断这一策略是否真正有效还为时过早,毕竟建立每一个个人的数据包对于勒索软件团伙来说绝对是一项耗时的工程。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336265.html 封面来源于网络,如有侵权请联系删除
2022年6月15日 14:41hackernews.cc
6月14日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》(以下简称新《规定》)。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,修订发布新《规定》旨在进一步依法监管移动互联网应用程序,促进应用程序信息服务健康有序发展。 新《规定》共27条,包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。 新《规定》提出,应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,自觉遵守公序良俗,积极履行社会责任,维护清朗网络空间。 新《规定》要求,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。 这里需要注意,新《规定》所指的应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。 新《规定》所指的应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。 新《规定》提出,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。 针对应用程序提供者,新《规定》提出应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。应用程序提供者还应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。 应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息
2022年6月14日 16:40hackernews.cc
专家发现 HID Mercury Access Controller 中的漏洞可被攻击者利用来远程解锁门。 安全公司 Trellix 的研究人员在 HID Mercury Access Controller 中发现了一些严重漏洞,攻击者可以利用这些漏洞远程解锁门。 这些缺陷影响了 LenelS2 制造的产品,LenelS2 是 HVAC 巨头 Carrier 旗下的高级物理安全解决方案(即访问控制、视频监控和移动认证)提供商。 Trellix 威胁实验室的研究人员在Hardwear.io 安全培训和会议期间披露了这些漏洞, 他们分析了用于授予对特权设施的物理访问权限的工业控制系统 (ICS)。专家们专注于由 HID Mercury 制造的 Carrier LenelS2 门禁控制面板。 “分析从最低级别的硬件开始。通过使用制造商的内置端口,我们能够操纵板载组件并与设备交互。结合已知和新技术,我们能够实现对设备操作系统的 root 访问并拉取其固件以进行仿真和漏洞发现。” 阅读Trellix 发布的帖子。 Trellix 发现了8 个漏洞,其中 7 个被评为“严重”,远程攻击者可以利用这些漏洞执行任意代码、执行命令注入、信息欺骗、写入任意文件和触发拒绝服务 ( DoS) 条件。以下是研究人员发现的缺陷列表: 大多数这些漏洞可以在没有身份验证的情况下被利用,但利用需要直接连接到目标系统。 研究人员对固件和系统二进制文件进行了逆向工程,并进行了实时调试,发现了八个问题,其中六个未经身份验证,两个经过身份验证的漏洞可通过网络远程利用。 “通过将两个漏洞链接在一起,我们能够利用访问控制板并远程获得设备的根级别权限。有了这种访问级别,我们创建了一个程序,可以与合法软件一起运行并控制门。” 继续发帖。“这使我们能够解锁任何门并颠覆任何系统监控。” 专家们还开发了一个概念验证(PoC)漏洞来解锁任何门和黑客监控系统。在研究人员发布的视频 PoC 下方: Carrier 已发布产品安全 公告 ,以警告客户有关漏洞并敦促他们安装固件更新。 “通过使用我们负责任的披露程序对 HID Mercury™ 进行独立渗透测试,据报道,LenelS2 销售的访问面板包含网络安全漏洞。” 阅读咨询。“这些漏洞可能会导致正常的面板操作中断。受影响的 LenelS2 部件号包括: LNL-X2210 S2-LP-1501 LNL-X2220 S2-L
2022年6月14日 16:40hackernews.cc
Thunderbird 已经有将近 20 年的历史了,Mozilla 似乎将更多的资源重新注入这个项目中,不仅各项开发进度加速进行,而且项目背后的团队也在扩大。Mozilla 现在确认 Thunderbird 将会被移植到 Android 平台。 但想要让 Thunderbird 登陆 Android 平台,并实现所有现有功能,可能需要至少数年的开发和版本更迭。于是,Thunderbird 团队正在采取不同的方法:采用 K-9 Mail for Android。K-9 也是一个开源项目(以《神秘博士》中的机器狗命名),它可能是 Android 上功能最丰富的电子邮件应用,不需要外部服务器或专有服务。 K-9 的维护者 Christian Ketterer(也被称为”cketti”)已经加入了 Thunderbird 的团队。Mozilla 在其公告中说:“Thunderbird 将把财政和开发资源用于改进 K-9 邮件,增加新的功能,以及用户界面的改进”。目标是,一旦取得足够的进展,K-9 邮件将被重新命名为 Android 版 Thunderbird。 Mozilla 目前为 K-9 制定的路线图包括改进文件夹管理,与桌面版 Thunderbird 相同的账户自动配置,消息过滤器,以及使用 Firefox Sync在桌面和移动之间进行某种程度的同步。Thunderbird 的非电子邮件功能(日历、任务、馈送等)不会出现在移动应用中,至少在初期是这样–该团队”仍在讨论如何最好地实现这一点”。 由于 K-9 邮件将在未来几个月内慢慢成为 Android 版 Thunderbird,从技术上讲,你现在就可以通过安装 K-9 获得它。然而,Mozilla 警告人们,随着开发的进展,界面”可能会改变几次”。 Thunderbird 还计划为 iPhone 和 iPad 提供一个应用程序,但目前仍没有(公开)计划。K-9 邮件不能用于 iPhone 和 iPad,所以 Mozilla 将不得不从头开始为 iOS/iPadOS 平台搭建,或者收购/分担另一个移动应用来重塑品牌。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1280529.htm 封面来源于网络,如有侵权
2022年6月14日 16:20hackernews.cc
近期,乌克兰计算机应急响应小组 (CERT) 警告说,俄罗斯黑客组织Sandworm可能正在利用名为Follina的漏洞,这是Microsoft Windows 支持诊断工具 (MSDT) 中的一个远程代码执行漏洞,编号为CVE-2022-30190,它可以通过打开或选择特制文档来触发其中的安全漏洞,威胁行为者至少自2022年4月以来一直在攻击中利用它。值得注意的是,乌克兰情报机构以中等可信度评估,认为这场恶意活动的背后是“Sandworm”黑客组织。 CERT-UA表示,俄罗斯黑客利用Follina针对乌克兰各种媒体组织的500多名收件人发起了一项新的恶意电子邮件活动,其中攻击目标包括广播电台和报纸。这些电子邮件的主题是“交互式地图链接列表”,其中还带有一个同名的 .DOCX 附件。当目标打开文件时,JavaScript 代码会执行以获取名为“2.txt”的有效负载,CERT-UA也因此将其归类为“恶意 CrescentImp”。 不过CERT-UA提供了一组简短的入侵指标,以帮助防御者检测CrescentImp感染。但是,目前还尚不清楚CrescentImp究竟属于哪种类型的恶意软件。 Sandworm在过去几年中一直以乌克兰为目标,尤其在俄罗斯入侵乌克兰后,其攻击频率明显增加。今年4月,人们发现Sandworm试图通过使用Industroyer恶意软件的新变种来攻击一家大型乌克兰能源供应商的变电站。安全研究人员还发现Sandworm是负责创建和运营Cyclops Blink 僵尸网络的组织,这是一种依赖固件操作的高度持久性恶意软件。为了找到该黑客组织中的六名成员的踪迹,美国还曾悬赏高达1千万美元的奖励。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336151.html 封面来源于网络,如有侵权请联系删除
2022年6月14日 16:00hackernews.cc
Help Net Security 网站披露了 Deep Instinct 发布的第三版年度 SecOps 报告,报告重点关注了 1000 名高管和高级网络安全专业人员日益增长的压力。 研究发现,45% 的受访者因压力过大,从而考虑退出该行业,压力主要来自勒索软件的无情威胁和需要随时待命。 该研究强调,是否支付赎金依然是一个备受争议的话题。 38% 的受访者承认支付了赎金,44% 的人表示支付赎金后也无法恢复所有数据。 从业者压力巨大 根据报告的结果来看,网络安全从业者每天面临的安全问题日益增多,46% 的受访者认为自身承受的压力在过去 12 个月中显著增加,对于一些在关键基础设施中工作的人来说,这种情况更为严重。 这些不断增加的压力导致网络安全专业人士考虑彻底离开这个行业,加入“大辞职”浪潮中,部分人表示不会在寻找其他网络安全相关工作。 受访者中,45% 的从业者承认至少考虑了一两次是否退出该行业, 46% 的人表示在过去一年,认识的朋友中至少有一个因压力过大,彻底离开了网络安全行业。 谁在承受压力,压力从何而来? 从报告来看,不仅仅是 SOC 团队和前线的网络安全工作人员能够切身感受到压力,高管团队也会承担巨大压力 。 压力产生的罪魁祸首:勒索软件 45% 的受访者表示,勒索软件是公司高管最大的担忧。调查发现,38% 的受访者承认为获得加密密钥而付费。 在许多情况下,支付赎金不能保证网络攻击问题得以解决。在支付赎金的人群中,46% 的人声称他们的数据仍然被黑客曝光,44% 的人无法恢复所有的数据,只有16% 的人声称到目前为止没有其他问题。 关于之后遇到勒索软件是否支付赎金的问题,73% 的受访者声称以后将不会支付赎金,但是也有部分受访者因为各种原因选择继续支付赎金。 选择支付赎金的理由包括以下几点: 54% 的人担心犯罪分子仍会将数据外流的情况公之于众; 52% 的人担心攻击者会安装一个后门并返回。 Deep Instinct 首席执行官 Guy Caspi 表示,随着社会向前发展,不断出现的网络攻击浪潮可能会变得更加普遍和隐蔽,因此确保那些将自己的职业和生命奉献给保卫企业和国家的人不会过度紧张至关重要。 人工智能是新的 “压力球 “吗? 越来越多的人承认,支持人工智能(AI)的工具在打击诸如勒索软件等复杂攻击方面非常有效。 许多人认为人工智能具有减少关键生产力挑战的潜力,例如减少误
2022年6月14日 16:00hackernews.cc
德国汉堡大学的研究人员进行了一项现场实验,捕获了数十万路人的WiFi连接探测请求,以此探究哪些隐私信息是在用户无法察觉的情况下泄露出去的。 众所周知,WiFi探测是智能手机和调制解调器/路由器之间建立连接所需的双边通信的一部分。在日常生活中,智能手机会一直搜索可用的WiFi网络并自动连接那些可连接的信号。 目前,许多商场和商店都在使用WiFi探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名 MAC 地址,因此被认为符合GDPR隐私保护政策。 研究人员决定分析这些探测器以查看它们可能包含的其他内容,结果显示,23.2%的AP广播了这些设备过去连接过的网络SSID。 实验结果 2021年11月,研究人员在德国市中心一个繁华的步行街开展了这个实验,在三个小时内所有共捕获了252242个探测请求,其中 46.4% 在 2.4GHz 频谱中,53.6% 在 5GHz 频谱中。 随后,研究人员从中获得了 58489 个 SSID,其中包含 16 位或更多位的数字字符串,这些字符串可能是来自 FritzBox 或 Telekom 的德国家用路由器的“初始密码”。 在捕获的 SSID 的其他子集中,研究人员还发现了与106个不同名称的商超WiFi网络、三个电子邮件地址和 92 个以前添加为可信赖网络的度假酒店的字符串。 在三个小时内,还有不少用户反复进行探测,其中一些敏感的字符串被广播了数十次、数百次,在某些情况下甚至达到数千次。 来自同一设备的三个探针(汉堡大学) 隐私泄露和跟踪 每台设备的MAC地址是固定且不变的,通过在后台的大数据数据库进行比对,从用户的MAC地址可以顺藤摸瓜显示用户的手机号、最近消费记录、年龄、兴趣爱好、常用app等,形成一个用户画像。商家通过用户画像,对不同用户推送不同的广告促销信息,从而达到所谓的精准营销目的。 除此之外,WiFi探测还可以实现持续跟踪。尽管 Android 和 iOS系统都已经让MAC 地址随机变化,这让隐私泄露和跟踪变的更加困难。虽然不能完全杜绝隐私泄露,但这已经是一个非常明显的进步。 实验结果表明,较新的操作系统版本在探测请求中具有更多的随机性和更少的信息,但是当与信号强度、序列号、网络能力等数据集参数结合使用时,仍然可以对单个设备进行指纹识别。 下面概述了每个操作系统版本的隐私功能。 每个操作系统版本上与 WiFi 探测相关的隐私功能(汉堡大学) 很明显,操作系统版本越