当前节点:hackernews.cc
时间节点
2022年6月14日 15:40hackernews.cc
据BleepingComputer网站6月13日消息,网络攻击者正通过BlackCat 勒索软件攻击存在漏洞的Microsoft Exchange 服务器。 在微软安全专家观察到的案例中,攻击者使用未修补的 Exchange 服务器作为入口向量的初始攻击,两周后,再通过 PsExec在网络上部署了BlackCat 勒索软件有效负载。 “虽然这些威胁参与者的常见入口向量包括远程桌面应用程序和受损凭据,但我们还看到威胁参与者利用 Exchange 服务器漏洞获取目标网络访问权限。”Microsoft 365 Defender 威胁情报团队表示。尽管没有提及用于初始访问的 Exchange 漏洞,但根据微软 2021 年 3 月的安全公告,其中包含了有关调查和缓解ProxyLogon漏洞攻击的指导性说明。 此外,虽然微软没有在本案例研究中明确部署 BlackCat 勒索软件的网络犯罪组织,但通过对FIN12、DEV-0504等组织的追踪,发现他们都曾在攻击行为中部署过BlackCat的有效载荷。 今年4月,FBI就曾发出过警告称,在 2021 年 11 月至 2022 年 3 月间,BlackCat 勒索软件已对全球至少 60 个组织的网络进行加密。根据调查,BlackCat/ALPHV 的许多开发人员和都与 Darkside/Blackmatter 有关联,这表明他们拥有广泛的网络和勒索软件操作经验。 为了防御 BlackCat 勒索软件攻击,微软建议企业组织审查自身系统中的用户身份状况,监控对其网络的外部访问,并尽快更新其环境中所有易受攻击的 Exchange 服务器。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/336125.html 封面来源于网络,如有侵权请联系删除
2022年6月13日 17:50hackernews.cc
美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。 美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。 出售被盗社会安全号码的网站 根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。 此外,SSNDOB的管理员使用了各种技术来保持匿名并防止对其活动的任何窥探。根据美国执法部门的说法,这包括“使用与其真实身份不同的在线名称,在不同国家战略性地维护服务器,并要求买家使用数字支付方式如比特币”。 美司法部的公告继续说道:“拆除和扣押这一基础设施的国际行动是与塞浦路斯和拉脱维亚的执法当局密切合作的结果。2022年6月7日,针对SSNDOB市场的域名执行了扣押令……有效地停止了该网站的运作。” 防止身份被盗 像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供): 这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息; 一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉; 此外,应该每年审查一次自己的信用报告。特别是要检查以确保它们不包括你没有开过的账户。你可以从Annualcreditreport.com免费订购你的报告; 最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。 美国检察官Roger Handberg在SSNDOB公告中说道:“我赞赏我们的国内和国际执法伙伴为制止这一全球计划所做的大量工作和合作。盗窃和滥用个人信息不仅是犯罪行为,而且会在未来几年对个人产生灾难性的影响。” Handberg跟国税局刑事调查华盛顿特区外地办事处的主管特别探员Darrell Waldon和联邦调查局坦帕分部的主管特别探员David Walker一起宣布关闭这些网站。   转自 cnBe
2022年6月13日 17:50hackernews.cc
DragonFlyBSD 6.2最早在2022年一月份推出,包括AMDGPU Linux内核驱动移植,HAMMER2改进,NVMM管理程序移植,以及其他改进。本周末发布的是DragonFlyBSD 6.2.2,在稳定代码库的基础上进行了各种错误修复。 6.2系列对带有NVMM的type-2管理程序的硬件支持,加入AMDgpu驱动,远程安装HAMMER2卷的试验性能力,以及其他许多变化。 DragonFlyBSD 6.2.2主要是对BSD操作系统默认使用的HAMMER2原始文件系统进行了修复。HAMMER2的修复范围包括解决可能出现的死机问题,被删除的文件在文件系统中卸载前依然迟滞的错误。 DragonFlyBSD 6.2.2还解决了TMPFS中可能出现的readdir()竞争问题,并有多种不同的内核修复。另外还有更新的时区数据作为维护性更新。 有关DragonFlyBSD的相关介绍: DragonFly与其他BSD派生的系统和Linux属于同一类操作系统,它与其他BSD操作系统共享祖先代码。DragonFly为BSD基础提供了另一种可能,使其向完全不同于FreeBSD、NetBSD和OpenBSD系列的方向发展。 DragonFly包含了许多有用的功能,使其区别于其他同类的操作系统。 最突出的是HAMMER,一种现代高性能文件系统,内置镜像和历史访问功能。 虚拟内核提供了将一个完整的内核作为用户进程运行的能力,以达到管理资源或加速内核开发和调试的目的。 DragonFlyBSD内核为SMP使用了几种同步和锁定机制。自从项目开始以来,大部分的工作都是在这个领域进行的。它故意简化某些锁的类别,使更多的子系统不容易出现死锁,以及使用专门为SMP设计的算法重写几乎所有的原始代码库,这些都带来了一个非常稳定的,高性能的内核,能够有效地使用所有的CPU,内存和I/O资源的投入。 DragonFlyBSD在内核中几乎没有瓶颈或锁的争夺。几乎所有的操作都能在任何数量的cpu上并发运行。多年来,VFS支持基础设施(namecache,vnode cache),用户支持基础设施(uid,gid,进程组,会话),进程和线程基础设施,存储子系统,网络,用户和内核内存分配和管理,进程fork,exec和exit/teardown,时间保持,以及内核设计的所有其他方面都是以极端SMP性能为目标重写的。 DragonFly利用交换空间来缓存文
2022年6月13日 17:10hackernews.cc
据Security Affairs消息,LenelS2 HID Mercury Access Controller存在严重的安全漏洞,攻击者可利用这些漏洞远程解锁访问控制系统。 网络安全公司Trellix的安全研究人员共在LenelS2发现了8个零日漏洞,远程攻击者可以利用这些漏洞执行任意代码、执行命令注入、信息欺骗、写入任意文件和触发拒绝服务 ( DoS) 条件。 Trellix 安全研究人员Steve Povolny 和 Sam Quinn 在报告中指出,这些漏洞可以让攻击者远程解锁门禁系统,破坏警报装置,日志和通知系统的能力。 资料显示,LenelS2 是 HVAC 巨头 Carrier 旗下的高级物理安全解决方案(即访问控制、视频监控和移动认证)提供商,被广泛用于医疗保健、教育、交通和政府设施,一旦漏洞被攻击者利用,那么很有可能造成严重的影响。 简而言之,这些问题可能会被攻击者武器化,以获得完整的系统控制权,包括操纵门锁的能力。其中一个零日漏洞 (CVE-2022-31481) 中还包括一个未经身份验证的远程执行漏洞,该漏洞在 CVSS 评分系统中的严重程度为 10 分(满分 10 分)。 其他缺点可能导致命令注入(CVE-2022-31479、CVE-2022-31486)、拒绝服务(CVE-2022-31480、CVE-2022-31482)、用户修改(CVE-2022-31484)、和信息欺骗(CVE-2022-31485)以及实现任意文件写入(CVE-2022-31483)。 研究人员对固件和系统二进制文件进行了逆向工程,并进行了实时调试,八个漏洞中的六个未经身份验证,两个经过身份验证的漏洞可通过网络远程利用。 研究人员表示,通过将两个漏洞链接在一起,我们能够利用访问控制板并远程获得设备的根级别权限。有了这种访问级别,我们创建了一个程序,可以与合法软件一起运行并控制门。这使我们能够解锁任何门并颠覆任何系统监控。 随后,安全人员发布了这些漏洞的PoC测试视频,直观展示了可能出现的攻击。目前,Carrier 已发布了产品安全公告 ,警告客户相关漏洞并敦促他们安装固件更新。 受影响的 LenelS2 部件号包括: LNL-X2210 S2-LP-1501 LNL-X2220 S2-LP-1502 LNL-X3300 S2-LP-2500 LNL-X4420 S2-LP-4502 LNL-4420 美国网
2022年6月13日 16:50hackernews.cc
近期,勒索软件团伙瞄准了一个远程代码执行 (RCE) 漏洞,该漏洞影响会Atlassian Confluence服务器和数据中心。如果成功利用此OGNL注入漏洞 (CVE-2022-26134),未经身份验证的攻击者可以通过创建新管理员帐户和执行任意代码远程接管未修复补丁的服务器。虽然该漏洞被暴露后Atlassian也及时做出响应,但因其概念验证漏洞也一并被泄露到了网上,这就导致很多黑客都可以利用该漏洞,目前多个僵尸网络和威胁参与者在野外积极利用它来部署加密恶意软件。 瑞士网络威胁情报公司Prodaft的研究人员发现AvosLocker勒索软件分支机构已经加入了这一行列。他们瞄准并入侵暴露在互联网上的未打补丁的Confluence服务器“以大规模系统地感染多个受害者。AvosLocker的命令和控制服务器的截图表明了威胁行为者已经对Confluence下手了。 在采访中,Prodaft 表示通过在各种网络上执行大规模扫描,AvosLocker 威胁参与者正搜索用于运行Atlassian Confluence系统的易受攻击的机器。且AvosLocker 已经成功感染了来自全球不同地区的多个企业,包括但不限于美国、欧洲和澳大利亚。 还被很多受害者表示,Cerber2021勒索软件(也称为CerberImposter)也在积极利用Confluence CVE-2022-26134漏洞。ID-Ransomware的创建者Michael Gillespie说,被识别为CerberImposter的提交文件包括加密的Confluence配置文件,这表明Confluence实例正在被加密。且CVE-2022-26134 POC漏洞的发布与Cerber勒索软件攻击成功次数的增加同时发生。 微软周五晚上还证实,他们已经看到Confluence服务器被利用来安装Cerber2021勒索软件。Cerber此前曾于2021年12月使用CVE-2021-26084漏洞攻击全球范围内的Confluence 服务器,该漏洞允许未经身份验证的攻击者在易受攻击的系统上远程执行代码。网络安全公司Volexity上周将CVE-2022-26134归为一个被积极利用的零日漏洞,CISA还命令联邦机构通过阻止其网络上Confluence服务器的所有互联网流量来缓解该漏洞。在漏洞信息发布一天后,Atlassian发布了安全更新并敦促其客户及时更新补丁以阻止
2022年6月13日 10:30hackernews.cc
北京时间6月11日凌晨消息,苹果公司首席执行官蒂姆库克今天致信美国参议院,商业、科学运输委员会主席Maria Cantwell(D-WA)和美国众议院委员会主席Frank Pallone(D-NJ)。库克主张在联邦层面制定强有力的隐私立法。这封信似乎是对一项名为“美国数据隐私和保护法”的拟议两党法案的回应,该法案有关公司可以从个人那里收集的数据类型以及他们如何使用这些数据。 库克在信中表示,苹果将继续支持联邦层面的努力,为消费者建立强有力的隐私保护。库克重申了苹果的信念,即隐私是一项基本人权。库克表示,虽然苹果努力保护用户隐私,但“只有国会才能为所有美国人提供强有力的隐私保护。” 库克信函全文如下: 尊敬的Cantwell和Pallone主席以及Wicker和Mc Morris Rodgers的高级成员: 感谢您在隐私立法方面的持续工作。苹果继续支持联邦层面的努力,为消费者建立强有力的隐私保护,我们对你们办公室提出的提案草案感到鼓舞。 我们认识到有待解决的悬而未决的问题,但协议的领域似乎远大于分歧。您的草稿将为消费者提供实质性保护,我们写信是为了为实现这一共同目标提供强有力的支持。通过您的工作,再加上拜登总统呼吁更好地保护儿童隐私,美国人似乎比以往任何时候都更接近于获得有意义的隐私保护。 在苹果,我们相信隐私是一项基本人权。这就是为什么我们一直倡导全面的隐私立法,并尽可能为这一过程做出贡献。这也是我们始终构建默认情况下保护用户及其信息的产品和功能的原因。为此,我们通过最小化收集的数据、在用户设备上处理尽可能多的数据、让用户了解收集的数据和控制其使用方式的透明度以及构建强大的系统来保护我们所有的用户数据来做到这一点。产品与服务。 尽管苹果将继续创新和开发保护用户数据的新方法,但只有国会才能为所有美国人提供强有力的隐私保护。不幸的是,这项重要立法的持续缺失将使隐私权的拼凑方法永久存在,这使得太多人没有我们希望通过您的努力看到的严格标准。 我们强烈敦促您尽快推进全面的隐私立法,我们随时准备在未来几天协助这一进程。   转自 新浪科技,原文链接:https://finance.sina.com.cn/tech/2022-06-11/doc-imizirau7723380.shtml 封面来源于网络,如有侵权请联系删除
2022年6月10日 16:50hackernews.cc
日前,有研究显示,臭名昭著的Emotet恶意软件正在积极部署一个新模块,意欲窃取存储在Google Chrome浏览器中的信用卡信息。 根据网络安全公司Proofpoint近日来的观察,这个专门针对Google Chrome浏览器的信用卡窃取程序拥有将收集到的信息转移到不同远程命令和控制 (C2) 服务器上的能力。 2021年1月,在多国联合执法行动的努力下,恶意软件Emotet的基础设施被关闭。此后的10个月,Emotet的活动显著减少,曾一度销声匿迹。然而,在2021年底,Emotet又卷土重来了,并持续高度活跃状态。 Emotet是一种先进的、能够自我传播的模块化木马,通常是通过电子邮件活动或其他有效负载,如勒索软件进行传播。对于Emotet,外界普遍认为其背后是一个名为TA542(又名Mummy Spider或Gold Crestwood)的黑客组织。 直到2022年4月,Emotet依然是最广为流行的恶意软件,在全球范围内,对6%的组织机构产生了影响,紧随其后的是恶意软件Formbook 和 Agent Tesla。根据软件技术公司Check Point的研究,这些恶意软件都是通过OneDrive URL和lnk附件中的PowerShell测试新的交付方法,从而绕过微软的宏限制。 作为大规模垃圾邮件攻击的一部分,针对各国组织机构的钓鱼邮件数量(这些钓鱼邮件通常会劫持现有通信)从2022年2月的3000封暴增到3月的约3万封,这一事实更进一步证实了Emotet恶意软件的相关威胁正在稳步增长。 知名安全软件公司ESET的研究人员表示,Emotet在2022年2月到4月期间发动的攻击活动“转向了更高的档位”, 2022年的前4个月的检测数量与上一个季度(2021年9月至12月)相比,增幅为11000%,足足增加了100倍有余。 这家斯洛伐克安全公司指出,自这个僵尸网络复活以来,日本、意大利和墨西哥一直是其经常攻击的目标。其中最大规模的一次发生2022年3月16日。 “Emotet最近利用lnk和XLL文件发动的攻击的规模明显小于3月在它通过受损的DOC文件发动的攻击”,高级检测工程师Dušan Lacika 表示道,“这表明攻击者在测试新的向量分布时仅仅运用了僵尸网络的一小部分潜力,而这可以取代现在默认禁用的VBA宏。” 此外,身份安全管理领导者CyberArk的研究人员也向我们展示了一种新技术,可以直接从c
2022年6月10日 16:50hackernews.cc
图:安全内参访问ipstress[.]in网站的截图 美国司法部近日查封了一个涉网犯罪域名ipstress[.]in,据悉此前曾为乌克兰IT军服务; 目前尚不清楚,ipstress[.]in的网络攻击活动,是否与乌克兰IT军有关,美国查封行动是否对乌克兰政府提前通气; 这类攻击活动目前在乌克兰合法,但在全球其他地方应该都非法,该如何定性和定责还属于灰色地带。 安全内参6月10日消息,美国司法部在5月31日宣布,在一次国际网络犯罪执法行动中查封了三个涉案域名。 美国哥伦比亚特区检察官Matthew Graves在声明中表示,此次查封的ovh-booter[.]com、weleakinfo[.]to及ipstress[.]in三个域名已经引发了“两起令人痛心的威胁”,涉及贩卖被盗个人信息、攻击并破坏合法互联网服务网站。 被查封的网络攻击设施曾与乌克兰IT军合作 没过多久,有人注意到被查封的IPStress域名近期曾隶属于乌克兰IT军队。这支“网络部队”是乌克兰政府批准的民间志愿者组织,旨在鼓励对俄罗斯目标持续开展网络攻击,立足在网络空间帮助乌克兰抵御俄罗斯的军事攻击。 截至本周二(6月7日),乌克兰IT军队的英文网站上仍有指向IPStress网站及对应Telegram账号的链接。在美媒CyberScoop询问此事后,链接被删除。现在访问此域名,用户会收到警告,显示“域名已经被没收”(见上图)。 此前,该网站曾自称是“可以拿下任何游戏服务器”的“最强IP压力测试器”,并表示“可以利用我们极速的方法绕过一切保护措施,比如CloudFlare。现在购买,享受我们强大的僵尸网络之力吧。” 乌克兰IT军的目标是“针对敌国的信息资源和服务,开展自动化系统攻击”。IT军的官方网站提供乌克兰语和英语两个版本,其中列出大量可供下载的工具和说明,以便对各类目标发起分布式拒绝服务攻击(DDoS)。在这类攻击之下,目标计算机和网络流量将不堪重负,导致服务无法正常访问。 一位不愿透露姓名的知情人士表示,乌克兰IT军曾在今年5月与IPStress合作过几周,但“由于后者执行不力……而宣布终止”。 该人士解释道,IPStress本该负责“提供服务器状态服务并在我们的网站上获取参考信息。”合作解除后,IPStress网站链接已经从IT军的乌克兰语版本网站中删除。但“由于一个技术问题”,英文版本的链接没有删除。 “当然,在得知IPStress正面临F
2022年6月10日 15:50hackernews.cc
近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF(柏克莱封包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。 BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁,他们在一份详细的技术报告中揭示了该新恶意软件的详细信息。据他们介绍,Symbiote 自去年以来一直被积极开发中。 与典型的可执行文件形式不同,Symbiote是一个共享对象(SO)库,它使用LD_PRELOAD指令加载到正在运行的进程中,以获得相对于其他SOs的优先级。通过第一个加载,Symbiote可以挂钩“libc”和“libpcap”函数,并执行各种操作来隐藏它的存在,比如隐藏寄生进程、隐藏部署了恶意软件的文件等等。 安全研究人员在近期发布的一份报告中透露: “当恶意软件将自己注入程序中时,它可以选择显示哪些结果。如果管理员在受感染的机器上启动数据包捕获,以调查一些可疑的网络流量,Symbiote就会把自己注入到检查软件的过程中,并使用BPF挂钩过滤掉可能暴露其活动的结果。”为了隐藏其在受损机器上的恶意网络活动,Symbiote会清除它想要隐藏的连接条目,通过BPF进行包过滤,并移除其域名列表中的UDP traffic。 这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书。在针对高价值网络中的Linux服务器时,这是一项至关重要的任务,因为窃取管理员帐户凭据为畅通无阻的横向移动和无限制地访问整个系统开辟了道路。Symbiote还通过PAM服务为其背后的威胁参与者提供对机器的远程SHH访问,同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法。该恶意软件的目标主要是拉丁美洲从事金融行业的实体,他们会冒充巴西银行、该国联邦警察等。研究人员表示由于恶意软件作为用户级 rootkit 运行,因此在检测是否感染时就很困难。 “网络遥测技术可以用来检测异常的DNS请求,安全工具,如AVs和edr应该静态链接,以确保它们不被用户的rootkits‘感染’,”专家表示,随着大型和有价值的公司网络广泛使用这种架构,这种用于攻
2022年6月10日 14:50hackernews.cc
  6 月 8 日,趋势科技发布了一篇研究报告,称观察到古巴勒索软件的复兴,该勒索软件团伙使用与以往不同的感染技术推出了一种新的恶意软件变种。 古巴勒索软件是一个自 2020 年 2 月首次观察到的恶意软件家族,主要针对位于北美的组织。根据美国联邦调查局的官方通知,它于 2021 年 11 月重新浮出水面。据报道,它攻击了五个关键基础设施部门的 49 个组织,从而收获了至少 4390 万美元的赎金。 趋势科技观察到古巴勒索软件在今年三月和四月卷土重来。在该勒索软件 Tor 网站上列出了四月份的三名受害者和五月份的一名受害者。与其他勒索软件相比,这个数字看起来并不突出,但古巴勒索软件通常更具选择性,仅打击大型组织。 4 月下旬,趋势科技发现古巴勒索软件对二进制文件进行了一些增添与修改,使其对目标实体更具威胁。据趋势科技对新变种的分析,该勒索软件添加了一些进程和服务来终止以下内容: 该恶意软件现在在加密之前终止了更多进程,包括 Outlook、MS Exchange 和 MySQL。勒索软件加密程序终止服务,是为了防止这些应用程序锁定文件以阻止它们被加密。 其次,排除列表也进行了扩展,在加密过程中要跳过的目录和文件类型变得更多。这有助于在攻击后维护工作系统,并防止出现无法恢复的文件损坏,使受害者没有动力为解密器付费。 第三,该勒索软件增加了 quTox,一种为勒索软件受害者提供技术支持以促进赎金支付谈判的手段。 最后趋势科技表示,他们在五月份检测到的新样本表明,古巴勒索软件的攻击将在未来几个月内持续存在,并且可能会对恶意软件进行更多更新。   原文作者:看雪学苑 转自链接:https://www.wangan.com/p/7fy7fx44fa7daaaf 封面来源于网络,如有侵权请联系删除
2022年6月10日 14:30hackernews.cc
据悉,俄罗斯和乌克兰将顿巴斯视为决定性的战场。网络攻击是俄罗斯的“力量倍增器”。美国官员警告说,来自俄罗斯的网络威胁仍然在持续加码。 美国网络安全官员Jen Easterly 在旧金山举行的 RSA 会议上发表讲话,“我认为我们目前还没有摆脱威胁。我们知道使用恶意网络活动是俄罗斯活动的一部分,无论是通过国家支持的实体,还是通过犯罪集团,俄罗斯针对乌克兰进行了大量网络活动。” NSA 的网络安全主管 Rob Joyce 对此表示赞同:“我能说的是,从情报来看,威胁过去和现在都是真实的。我们需要谨慎对待。”据悉,Easterly和国家网络安全总监Chris Inglis本周在CyberScoop 上发表的文章也强调了俄罗斯网络行动的持续威胁。 就俄罗斯而言,网络空间的侵略在很大程度上是一种美国现象。《华盛顿邮报》的一项分析总结了莫斯科最近的声明,警告美国如果继续克里姆林宫所说的针对俄罗斯的网络行动,就必须面对后果。“我们不建议美国挑起俄罗斯采取报复措施。“国家之间的直接网络冲突中不会有赢家。 美国国家安全部助理总检察长 Matt Olsen 在 RSAC 上说:“我们知道他们非常专注于能够建立对美国关键基础设施的持久访问,并且他们拥有一组非常成熟的参与者在他们的外国情报部门中,他们在打击犯罪集团的方式上也有一个力量倍增器。” 西方科技公司,尤其是 Palantir、谷歌、微软和 SpaceX,在当前战争的网络阶段为乌克兰提供支持方面发挥了重要作用。他们的角色是公开的。 此外,Forescout 的威胁防御副总裁 Sean Taylor 在 2022 年 RSA 会议期间提供了对近期网络威胁活动的见解。他强调了俄罗斯国家支持的袭击者在入侵之前对乌克兰进行的袭击。在2021年底和2022年1月,主要包括在乌克兰政府网站,到2月中旬,事件主要包括对乌克兰银行和政府网站的 DDoS 攻击。最后,在2月23日,入侵前夕,针对乌克兰政府和关键基础设施组织发起了多个Wiper 恶意软件活动。其中包括WhisperGate和 Hermetic Wiper。 Taylor 还强调了黑客活动和网络犯罪集团活动与俄罗斯-乌克兰冲突的关系。这包括 Conti 勒索软件团伙,他们迅速与俄罗斯结盟并威胁任何支持乌克兰的国家。同样,支持俄罗斯的黑客活动团伙 Killnet 一直针对支持乌克兰的欧洲国家。   转自 E安全,原文链接:ht
2022年6月10日 10:30hackernews.cc
2022年时间6月6日,RSA Conference 2022在旧金山召开。本届RSAC的主题为“Transform(转型)”,被认为是RSAC 2021年主题“弹性”的进一步延伸和拓展。转型在当下,是很多企业不得不面对的问题,像云计算、物联网、移动办公等新技术与业务的加速融合,让传统网络边界逐渐变得模糊,小至企业之弹性,大至行业之转型,网络安全产业正处于变革之中,传统边界防护手段已不足以有效应对新时代的威胁与挑战。 在此背景下,以“从不信任、始终验证”为核心原则的零信任概念应运而生,并迅速成为热门话题。很多企业高管将考虑开展零信任安全策略,因为他们希望零信任安全策略的实施可以让企业的安全建设取得明显进展。根据云安全联盟(CSA)的一项新调查,对80%的CxO技术领导者来说,零信任是企业的重要事项,77%的高管表示他们将增加对零信任安全建设的支出。 增加对零信任的投入对很多企业来说具有重大意义,超过五分之二的高管称企业在零信任安全建设方面的预算增加了至少26%。 根据对来自对全球800多名IT和安全专业人士的调研,以及包括200多名C级高管的回答,随着数字化转型的推进、疫情期间劳动力的转移以及美国网络安全行政命令的宣布,零信任已成为保护企业的一道盾牌。该研究表明,对于大多数企业来说,零信任策略仍然是一个相对较新的网络安全路线图,53% 的企业表示他们开始实施零信任策略的时间还不到两年。他们用来指导战略规划的标准五花八门,比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的领跑者要数CISA标准,有33%的企业报告说他们使用的正是CISA的标注作为他们的零信任战略指导。 零信任是一种不断发展的安全模型,它将许多长期运行的安全概念(最小特权、基于风险因素的有条件访问和隔离)联系在一起——不仅在网络级别,而且在应用程序和工作负载级别。其核心概念是消除IT长期以来在用户和设备使用密码登录后对网络的无条件信任。 实施零信任的目的是用一种更具适应性和持续评估的授予访问权限的模式来代替它,该模式提供有限的访问权限,并且不仅基于身份,还基于操作和威胁环境。执行此操作需要很多部分,包括强大的身份和访问管理 (IAM)、有效的网络策略执行、强大的数据安全性和有效的安全分析。很多企业在过去的安全建设中其实已经有过对这些部分投入,而零信任策略只是重新整合和利用这些已经投入过的资源。 因此,尽管许多企业表示他们开
2022年6月9日 15:32hackernews.cc
随着微软在5月30日揭露修补Windows漏洞CVE-2022-30190后,网安从业者Proofpoint已发现多起企图开采该漏洞的网钓攻击行动,目标对象为欧洲各国及美国政府组织。 微软是在5月30日揭露此一位于Microsoft Support Diagnostic Tool(MSDT)的Windows漏洞CVE-2022-30190,该漏洞允许黑客取得用来呼叫MSDT的程式权限,以执行任意程式。当时微软已收到针对该漏洞的攻击报告,同时网安从业者也公布了锁定该漏洞的不同攻击行动。 目前微软仅建议使用者关闭MSDT的URL协定作为暂时性补救措施,尚未给出修补程式。 Proofpoint说明,此一攻击行动看似由特定政府支持,锁定欧洲及美国政府组织进行网钓攻击,在电子邮件中诓称要帮员工加薪,并附上一个跨平台的RTF档案格式,档案中则藏匿了恶意的Powershell脚本程式。 最终的恶意Powershell脚本程式会检查系统的虚拟化状态,并自浏览器、邮件客户端及文件服务中窃取资讯,还会在机器上进行侦察,再将所有盗来的资讯压缩并传送至黑客服器。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/HO2NK1tCNv8Ybya-h4R0IA 封面来源于网络,如有侵权请联系删除
2022年6月9日 15:12hackernews.cc
Cloudflare 近日宣布了名为 Private Access Tokens 的新技术,允许站长以私人的方式验证访客是否真实。操作系统将增加对这项新技术的支持,包括即将推出的 macOS 和 iOS 版本,并将消除完成恼人的 CAPTCHAs 验证。这应该会使移动浏览变得更加愉快。 Cloudflare 概述了 PATs 的几个好处,对用户来说,它使访问网站不那么麻烦,对网络和应用程序开发人员来说,它让你知道用户是在一个真实的设备和签名的应用程序上,对 Cloudflare 客户来说, PATs 不需要设置,非常易用。 苹果是首批宣布在 iOS 16、iPadOS 16 和 macOS 13 中支持 Private Access Tokens 的主要厂商之一。而其他厂商也有望在不久的将来宣布支持,因此更多的人在未来能够避免 CAPTCHAs。 在 Cloudflare 这边,PAT 已经被纳入其管理挑战平台,所以使用这一功能的客户已经在他们的网站上支持 PAT。Cloudflare 表示,其 65% 的客户已经使用托管挑战而不是传统的验证码作为其防火墙规则中的一个响应选项。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1278791.htm 封面来源于网络,如有侵权请联系删除
2022年6月9日 15:12hackernews.cc
美国执法部门宣布捣毁SSNDOB,这是一个臭名昭著的网络黑市,用于交易数百万美国人的个人信息–包括社会安全号码即美国人最熟悉的SSN。这次行动由联邦调查局、美国国税局(IRS)和司法部(DOJ)在塞浦路斯警方的帮助下进行,查封了托管SSNDOB市场的四个域名–ssndob.ws、ssndob.vip、ssndob.club和blackjob.biz。 据司法部称,SSNDOB列出了美国约2400万人的个人信息,包括姓名、出生日期、SSN和信用卡号码,并借此产生了超过1900万美元的收入。区块链分析公司Chainalysis另外报告说,自2015年4月以来,该市场在超过10万笔交易中收到了价值近2200万美元的比特币,尽管据信该市场至少从2013年就开始活跃。 据Chainalysis称,这些数字表明,一些用户正在从该服务中大量购买个人身份信息,他们还发现了SSNDOB和Joker’s Stash之间的联系,后者是一个专注于被盗信用卡信息的大型暗网市场,在2021年1月被关闭。 司法部说,据说SSDOB的经营者采用了各种技术来保护他们的匿名性,并阻挠对其活动的检测,包括使用与其真实身份不同的在线名称,并在不同国家战略性地切换和维护服务器。 “身份盗窃可能对受害者的长期情感和财务健康产生破坏性影响。”负责华盛顿特区国税局刑事调查领域办公室的特工达雷尔-沃顿(Darrell Waldon)说:”关闭SSNDOB网站扰乱了身份盗窃犯罪分子,并帮助了数百万个人信息被泄露的美国人。” 查封SSNDOB的基础设施标志着美国执法部门继续加强努力,破坏恶意的网络活动。上周,欧洲刑警组织宣布关闭FluBot,这是一个窃取网上银行信息的Android木马,美国司法部近期也披露他们查封了三个网络犯罪分子用来交易被盗个人信息和促进分布式拒绝服务(DDoS)攻击的域名。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1278615.htm 封面来源于网络,如有侵权请联系删除
2022年6月9日 15:12hackernews.cc
据 Bleeping Computer 网站披露,研究人员发现了一项大规模网络钓鱼活动。攻击者滥用 Facebook 和 Messenger 引诱数百万用户访问网络钓鱼页面,诱骗用户输入帐户凭据。 经研究人员分析,钓鱼活动背后的操作者可以利用这些被盗账户,向用户的朋友进一步发送钓鱼信息,通过在线广告佣金获得了大量收入。 根据一家专注于人工智能的网络安全公司 PIXM 称,钓鱼活动至少从 2021年 9 月就开始活跃,在 2022 年 4 月至 5 月达到顶峰。 PIXM 通过追踪威胁攻击者,绘制了钓鱼活动地图,发现其中一个被识别出的钓鱼网页承载了一个流量监控应用程序(whos.amung.us)的链接,该应用程序无需认证即可公开访问。 大规模的滥用 目前,尚不清楚钓鱼活动最初是如何开始的,但 PIXM 表示,受害者是通过一系列源自 Facebook 、Messenger 的重定向到达钓鱼登陆页面的,在更多的 Facebook 账户被盗后,威胁攻击者使用自动化工具向被盗账户好友进一步发送钓鱼链接,造成了被盗账户大规模增长。 另外,虽然 Facebook 有自身保护措施,可以阻止钓鱼网站 URL 的传播,但威胁攻击者使用某个技巧,绕过了这些保护措施。 再加上,钓鱼信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服务,当合法的应用程序使用这些服务时,阻止这些服务成为了一个很难解决的问题。 网络钓鱼活动中使用的一些 URL(PIXM) 值得注意的是,研究人员未经身份验证,成功访问了网络钓鱼活动统计页面,经过对数据信息分析后发现,在 2021 年,有 270 万用户访问了其中一个网络钓鱼门户,这个数字在 2022 年上升到 850 万,侧面反映了钓鱼活动在大规模增长。 通过深入研究,研究人员确定了 405 个用作钓鱼活动标识符的独特用户名,每个用户名都有一个单独的 Facebook 网络钓鱼页面,这些钓鱼网页的页面浏览量从只有 4000 次到数百万次不等,其中一个页面浏览量更是高达 600 万次。研究人员认为,这 405 个用户名仅仅占钓鱼活动所用账户的一小部分。 已识别的传播用户样本 (PIXM) 另外,研究人员披露,当受害者在钓鱼网站的登陆页面上输入凭证后,新一轮重定向就会开始,立刻将用户带到广告页面、调查表等。 一个向钓鱼用户展示的广
2022年6月9日 14:32hackernews.cc
据Bleeping Computer网站6月8日消息,一种被称为“FakeCrack”的恶意软件,正通过感染流行系统清理程序 CCleaner进行传播。 据Avast的分析师们发现,这款恶意软件是一个强大的信息窃取程序,可以收集个人数据和加密货币资产,并通过数据窃取代理路由互联网流量。他们报告称,每天从其客户遥测数据中检测到平均 10000 次感染尝试,这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。 攻击者遵循黑帽SEO技术,在谷歌搜索结果中将其恶意软件下载网站排名靠前,比如以破解版的CCleaner Professional 为例,以吸引更多受害者。一旦受害者点击这些”中毒“的搜索结果,会引导至一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上,例如 filesend.jp 或 mediafire.com。ZIP 使用“1234”之类的弱 PIN 进行密码保护,仅用于保护有效负载免受反病毒检测。存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”,其中包含了恶意软件的可执行文件,Avast已经观察到8种不同的可执行文件版本。 含有恶意软件的 CCleaner Pro搜索结果 恶意软件会企图窃取存储在网络浏览器中的信息,例如帐户密码、保存的信用卡和加密货币钱包凭证,并会监控剪贴板中复制的钱包地址,将其替换为受恶意软件控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址,包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。 恶意软件监控剪贴板 该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据,这种攻击对于受害者来说很难检测或意识到。 Avast在报告中指出,攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC),通过在系统中设置这个 IP 地址,每次受害者访问任何列出的域时,流量都会被重定向到攻击者控制下的代理服务器。 由于该活动已经很普遍,并且感染率很高,因此尽量避免下载使用破解软件,即使下载站点在搜索引擎中的排名很高。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335665.html 封面来源于网络,如有侵权请联系删除
2022年6月9日 11:32hackernews.cc
任天堂将今年早些时候对黑客加里鲍泽的宣判描述为一个 “独特的机会”,向所有玩家发出关于视频游戏盗版的信息。加里鲍泽是加拿大人,去年因其作为Xecuter团队的高级成员而对美国政府的网络犯罪指控认罪。 该组织出售规避版权保护的技术,使任天堂Switch和其他系统能够播放盗版游戏。当局估计,在近十年的时间里,盗版给任天堂带来了高达6500万美元的损失,甚至迫使该公司花费资源发布了更安全的Switch型号。 任天堂表示,是购买视频游戏支撑着任天堂和任天堂的生态系统,是游戏让人们微笑,正是由于这个原因,我们尽一切努力防止任天堂系统上的游戏被盗。任天堂因Xecuter团队的盗版行为而遭受的损失,并对那些作品也被盗版的小型非任天堂游戏制造商表示同情。 任天堂还对作弊行为进行了抱怨,它表示,Team Xecuter的黑客行为使作弊成为可能。作弊可能会吓跑诚实的玩家。在听证会上,美国地区法官罗伯特-拉斯尼克指出:“电视和电影将黑客美化为坚持到底的人,暗示大公司正在收获巨大的利润,小人物有这样的机会是好事。我们还能做什么来说服人们,这种黑客/盗版并不光荣?”任天堂律师回答表示:”对公众的进一步教育会有很大好处。 黑客加里鲍泽则对法官表示说,更长的监禁时间不会吓跑黑客,从盗版中可以赚到的钱太多了,以至于无足轻重。加里鲍泽被判处40个月的刑期,而加里鲍泽律师要求的刑期是19个月,他说黑客在等待审判时已经服了大部分的刑期。由于COVID-19和其他健康问题,其中近6个月是加里鲍泽独自在牢房中度过的,每天23小时。当天晚些时候,任天堂发布了一份新闻稿,感谢当局对加里鲍泽的起诉。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1278559.htm 封面来源于网络,如有侵权请联系删除
2022年6月9日 11:32hackernews.cc
随着组织机构在高度互联的数字生态系统中不断深入,如何应对来自四面八方的网络攻击是每一个首席信息安全官们不得不面对的难题。或许,孤立的单点安全产品仍是许多人的第一选择,但这些产品只能起到减速带的作用,它们已脱离时代的潮流。与此同时,安全团队也正变得日益捉襟见肘、筋疲力尽。 当然,也完全没必要过分悲观,一个得力的帮手可能正在路上。在RSAC 2022大会上,新的安全框架和先进的、以云为中心的安全技术已成为人们关注的焦点。本次大会的核心主题之一就是帮助首席信息官们清晰地了解所有网络资产,并对风险进行科学的分类,从而能够迅速地对不可避免的违规行为做出补救。 就这个问题,趋势科技(Trend Micro)产品营销总监 Lori Smith在其社交平台上分享了一些自己的心得体会。 脱离单点产品 就在短短几年前,自带设备办公(BYOD)和影子IT(Shadow IT)曝光还是RSAC的热门话题。员工们用他们自己的智能手机上传酷炫的新应用程序,这对安全团队来说就是一场噩梦。 然而到了今天,企业正在朝着一个规模巨大、相互联系日益紧密的数字生态系统前进。公司网络的攻击面呈指数级扩大,新的安全漏洞无处不在。 更重要的是,自新冠疫情爆发以来,远程劳动力的迅速崛起到了加速云迁移的作用,并扩大了随之而来的网络风险。不受管理的智能手机和笔记本电脑、错误配置的软件即服务 (SaaS) 应用程序、不安全的互联网接入等,比以往任何时候都会给企业带来更多风险。 “这些网络资产数量的增加意味着有更多的网络资产可能受到攻击”,Smith说,“这打开了一个更大、更有利可图的攻击面,网络犯罪分子对此觊觎已久。” Smith表示,在这种高度动态的环境中,一个本已备受困扰的首席信息官还需要将风险在一个高水准中可视化——就好像它在慢动作一样——然后再做出明智的战略决策。目前没有单一的安全解决方案可以做到这一点,灵丹妙药还没有出现。常用的安全工具集合——防火墙、端点检测、入侵检测、SIEM 等——通常被安排为孤立的层来保护本地网络。 检测、评估、缓释 在生活中,面对任何复杂的挑战往往需要回归其根本。在网络安全方面,企业可以采取几种可行的方式来开始实现这一点。趋势科技主张通过确保三种基本能力来实现更全面的安全态势。 首先是能洞察一切的能力。Smith说,企业需要对本地、私有云和公共云IT基础设施的每个组件都有一个清晰的认识。这不是一个简单的大致印象,这更像是一个不断发
2022年6月9日 10:11hackernews.cc
2022年6月6-9日,被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开。作为全球顶级的网络安全大会,RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂,探讨当下热门网络安全技术理念,共同寻求抵御安全风险的新解法。 近年来,网络攻击事件频频发生,其中黑客“炫技”已经越来越少,取而代之的是作战思维更加明确,趋利性更加明显的专业化网络攻击组织,包括各种勒索软件团伙,合作链条紧密的地下黑产等等。 在这样的情况下,以攻击者视角对企业数字资产攻击面进行检测发现和持续监控的网络资产攻击面管理(CAASM)已经受到越来越多人的认可。 而如何通过CAASM帮助企业全面盘点网络资产,不断提高资产可见性和云配置,减少安全漏洞风险成为RSAC2022的焦点之一。为了更好地了解CAASM是如何减少攻击面,会后,security boulevard记者邀请JupiterOne 创始人兼首席执行官Erkang Zheng进行分享。 协调已经成为新的难题 众所周知,漏洞修复工作需要多部门共同协调完成,然而企业内部负责特定网络资产的技术和团队倾向于各自为政,漏洞管理人员的职责不明确,直接导致协调组织中的人员、策略和基础设施已经成为一项无法及时完成的工作,也让安全漏洞管理沦为纸上谈兵。 随着企业数字化转型、加速上云和IoT、5G、云原生等技术的应用,更多的业务转至线上,一方面使得内部数字资产结构和复杂性迅速增加,另一方面也让暴露在互联网上的攻击面呈指数级拓展,安全漏洞数量成倍增加,最终让本就艰难的安全漏洞修复朝着更加糟糕的方向发展。 倘若无法有效解决这一问题,那么企业数字化转型将面临停滞不前的风险。此时,CAASM应运而生。 作为是一种新兴技术,CAASM倾向于以智能化的手段更高效的识别组织内部的资产和漏洞。2021年7月,Gartner发布《2021 安全运营技术成熟度曲线》,首次提出CAASM概念,并指出“它使组织能够通过API与现有工具的集成、对合并后的数据进行查询、识别安全控制中的漏洞和差距的范围,以及修复问题,来查看所有资产的风险。” 换句话说,CAASM通过利用API可以让安全团队全面、快速了解IT基础架构的所有组件,无论它们是在本地还是在私有云、公共云或混合云中。在此基础上,安全团队可以大规模实施细粒度策略,全面提升各个组织的安全性,且不会对敏捷性有任何影响。 Erkang Zheng表示,这在大规
2022年6月9日 09:51hackernews.cc
人工智能(AI)自出现以来,基础理论、技术手段日趋成熟,应用领域也逐渐扩张,甚至可以假想未来社会,人工智能将成为主角之一,但在评判其发展带来的社会价值时,盲目乐观绝不可取。 回顾 RSA Conference 2021 大会,哈佛大学肯尼迪分校安全技术专家、研究员兼讲师布鲁斯·施奈尔就曾表示,人工智能时代下的黑客攻击会以一种系统设计者无法预料甚至难以想象的方式袭来,破坏整体系统或者冲击其中的一组特定规则。 受疫情影响,网络界“奥斯卡”之称的 RSAC 2022 一直延迟到六月才得举办。今年,施奈尔对于人工智能黑客攻击又有什么新的观点? AI 发展带来的利与害 在 RSA Conference 2021 大会上,施奈尔曾表示,如火如荼发展的人工智能技术在给全社会带来巨大收益同时,也有可能引发新一轮的安全冲击。 施奈尔在会上表示,未来的黑客攻击很可能会由某种形式的 AI 主动发起,一旦 AI 系统获得了执行黑客攻击的能力,其运行速度与运行规模都将远超人类的想象,这将极大提高风险检测的难度,即使安全人员能够及时发现,也很难理解 AI 黑客是怎样展开攻势的。 今年的大会上,施奈尔同样着重的讲述了人工智能发展、应用带来的安全风险。 AI 黑客或成现实 在 2022 RSAC 大会的主题演讲中,施奈尔“想象”了人工智能黑客的未来。他表示人工智能将以前所未有的方式入侵人类,给人类带来不可估量的附带损害。 施奈尔强调,人工智能正在成为黑客,虽然目前它们的发展还没有那么好,但是正在变得更好,最终人工智能将超过人类。 至于 AI 怎样进行黑客行为,施奈尔也提出了两个观点。一是人工智能可能被指示入侵一个系统,二是人工智能可能会自然而然地、不经意地入侵一个系统。 众所周知,在人类的语言和思维中,目标和欲望总是不完全明确的,这种情况会导致在我们给指令时不够完全,但是我们了解上下文,能够自行脑补。 对于人工智能来说,施奈尔争辩称,在不给出完整地指定目标时,不能期望人工智能理解上下文,人工智能会跳出框框思考,因为它没有任何框框的概念。 他进一步解释说,人工智能解决问题的方式和人类并不一样,比人类考虑更多可能的解决方案。另外,人工智能不会从价值、规范、影响或背景方面进行思考,走的是我们根本不考虑的道路。 AI 应用广泛,同样带来问题 施奈尔在大会上强调,一直以来,需要知识,运气,手段的黑客攻击都是专属于人类的活动,然而,当人工智能开始黑客攻击时
2022年6月9日 09:51hackernews.cc
美国国家情报局局长表示,网络空间对手和商业间谍软件公司的创新,是令美国情报界越来越难以有效管理数字安全的关键因素之一。 6月6日,在RSAC 2022上,美国国家情报局局长Avril Haines发表主题演讲时表示:“我认为网络安全越来越难了。” 这一悲观评估是在因俄乌战争而激增的在线攻击以及国家恶意行为者的数字盗版或攻击的持续威胁的背景下,美国联邦政府和私营部门需要保持高度警惕的情况下做出的。 Haines承认,美国 “还没有想出如何防止应对复杂网络入侵……我认为这是一个挑战,我们将与之共存,从情报界的角度来看,现实就是如此。” 她特别提到复杂攻击性工具的商业化程度增加,”使我们更难管理,也使其他行为者更容易获得工具,允许他们以各种方式进行非常复杂的攻击。” 除了朝鲜和伊朗等长期敌对国家构成的威胁外,美国情报界还观察到跨国犯罪组织扩大其行动,特别是勒索软件攻击。 Haines说,网络安全的另一个方面被证明更具挑战性,那就是情报收集与在线隐私、公民自由之间的关系越来越紧张。 新冠疫情大流行是一个“通过接触者追踪和其他医学发展获得更多日常生活数据的完美例子”,这些信息随后可以被数据经纪人使用。 这位间谍大师还说,情报界还没有掌握从莫斯科入侵乌克兰的网络安全方面获得的所谓 “经验教训”。 她告诉听众:“我们还不知道冲突是否还在继续。关于冲突是如何发展的,还有更多的章节需要揭示。” Haines表示,一个潜在的收获是,去年年底在现在长达数月时间里,信息共享得到了加强。 “她说:”起初我们在人们中间遇到了相当多的怀疑。 因此,拜登总统敦促情报官员,”走出去,尽可能多地分享,确保人们看到你们所看到的东西。” Haines说:”我们在这个领域与合作伙伴和盟友进行了大量共享。在这个过程中,我们从他们那里学到了很多。   转自 安全内参,原文链接:https://www.secrss.com/articles/43275 封面来源于网络,如有侵权请联系删除
2022年6月8日 18:11hackernews.cc
美国国家情报局局长表示,网络空间对手和商业间谍软件公司的创新,是令美国情报界越来越难以有效管理数字安全的关键因素之一。 6月6日,在RSAC 2022上,美国国家情报局局长Avril Haines发表主题演讲时表示:“我认为网络安全越来越难了。” 这一悲观评估是在因俄乌战争而激增的在线攻击以及国家恶意行为者的数字盗版或攻击的持续威胁的背景下,美国联邦政府和私营部门需要保持高度警惕的情况下做出的。 Haines承认,美国 “还没有想出如何防止应对复杂网络入侵……我认为这是一个挑战,我们将与之共存,从情报界的角度来看,现实就是如此。” 她特别提到复杂攻击性工具的商业化程度增加,”使我们更难管理,也使其他行为者更容易获得工具,允许他们以各种方式进行非常复杂的攻击。” 除了朝鲜和伊朗等长期敌对国家构成的威胁外,美国情报界还观察到跨国犯罪组织扩大其行动,特别是勒索软件攻击。 Haines说,网络安全的另一个方面被证明更具挑战性,那就是情报收集与在线隐私、公民自由之间的关系越来越紧张。 新冠疫情大流行是一个“通过接触者追踪和其他医学发展获得更多日常生活数据的完美例子”,这些信息随后可以被数据经纪人使用。 这位间谍大师还说,情报界还没有掌握从莫斯科入侵乌克兰的网络安全方面获得的所谓 “经验教训”。 她告诉听众:“我们还不知道冲突是否还在继续。关于冲突是如何发展的,还有更多的章节需要揭示。” Haines表示,一个潜在的收获是,去年年底在现在长达数月时间里,信息共享得到了加强。 “她说:”起初我们在人们中间遇到了相当多的怀疑。 因此,拜登总统敦促情报官员,”走出去,尽可能多地分享,确保人们看到你们所看到的东西。” Haines说:”我们在这个领域与合作伙伴和盟友进行了大量共享。在这个过程中,我们从他们那里学到了很多。   转自 安全内参,原文链接:https://www.secrss.com/articles/43275 封面来源于网络,如有侵权请联系删除
2022年6月8日 17:51hackernews.cc
作为全球网络安全行业一年一度的盛宴,RSA Conference 2022于6月6-9日正在美国旧金山召开,RSAC大会不仅被誉为安全界的“奥林匹克”,更是网络安全的重要风向标之一。自1991年举办首届大会以来,RSAC大会就吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。思科作为全球领先的网络解决方案供应商也出席了此次会议。 安全领导者需重新考虑企业安全策略 在今年RSAC开幕主题演讲里,思科执行副总裁兼安全与协作总经理 Jeetu Patel发表了关于安全战略的讲话,在会议上,patel表示企业安全负责人可能需要重新考虑他们的安全策略,包括内部以及与客户、供应商、合作伙伴甚至竞争对手的关系。 Patel表示随着攻击者在不断利用新的漏洞,我们需要做的是确保采取一种更加基于风险的方法来管理漏洞。安全团队必须学会解决漏洞,不是基于它们发生的时间,而是基于它们构成的风险的大小。这种风险应该从所有类型的业务关系的角度进行评估,因为当出现问题时,它们都会受到影响。 安全策略应考虑整个业务生态系统 Patel说:“企业是作为一个整体的生态系统在竞争,而不是作为单独的组织在竞争。这意味着,根据生态系统中其他成员的情况,你自己的生产线、供应链和需求周期的运作方式可能会受到重大影响。而业务关系的相互联系现在要求更加关注访问和身份管理。你不再只有员工了。你有员工和承包商,但你有供应商、客户和合作伙伴。可以影响您的安全态势的人数越来越多。” 破坏性恶意软件的使用正变得异常普遍 除了业务生态系统带来的安全威胁,破坏性恶意软件的使用也变得越来越普遍,这种现象在未来一段时间里可能会变为常态。这是思科的外联负责人Nick Biasini和事件响应高级经理 Pierre Cadieux在会议中发表的观点,他们详细介绍了当前的威胁形势,并为企业自卫提供了可行的步骤。其中的关键要点包括保护凭证的重要性以及供应链威胁、破坏性攻击和零日漏洞利用的增加。 随着漏洞武器化的市场也越来越普遍,很少有企业能够及时的修复漏洞,这就导致通过部署破坏性恶意软件实时破坏性攻击的黑客数量在逐步增加,对此,Cadieux也表示出了担忧。 并且通过购买某些黑客软件,任何人无须挖掘某些系统漏洞就可以发动非常复杂的网络攻击,Biasini说,对手的广度在增加,这也导致了软件供应链风险也在增加。他说技术供应链更像是一个网络,正成为一个越来越大的问题,对手可以利用包括开源库和
2022年6月8日 17:31hackernews.cc
图片来源:美国海军Flickr账号/CC BY 2.0 医疗设备基础设施复杂性和对传统技术的严重依赖,使得设备安全状态不断变化,很难找到解决方案; 高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备; 美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用。 业界正普遍达成共识,设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性,但系统性挑战阻碍了这一进程。 在RSAC 2022现场,安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心(Health-ISAC)首席安全官Errol Weiss,共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。 Edwards表示,总体来看,医疗设备安全的延伸与教育工作仍有发展和改进的空间,但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。 制造业社区的安全文化愈发向好。以往,研究人员在发现安全漏洞后,往往只能跟制造商的法律部门联系。Edwards提到,“过去制造商很少在官网上提供安全联络信息,只能通过法律部门回应相关漏洞披露。但现在,大多数制造商已经越来越成熟,开始朝着正确的方向靠拢。” 许多企业增设了首席产品安全官,专门负责管理产品安全问题。他补充道,虽然也有一些制造商做得还很不够,但“总体趋势正朝着积极的方向发展”。 Patel表示,“对于复杂的医疗设备或者物联网装置,我们部署的安全控制机制可能还不够全面……但至少过去五年来,行业已经取得了比以往多得多的进步。” 尽管在新设备保护方面表现积极,包括引入改进的身份验证机制等措施,但医疗设备基础设施的复杂性和对于传统技术的严重依赖,仍使得设备安全状态不断变化,很难找到解决方案。 医疗保健行业面临的最大安全问题:遗留技术 在Patel看来,真正的问题集中在遗留技术身上。例如,磁共振成像(MRI)设备和超声波设备的单台成本超过100万美元,高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。 新设备当然更加安全,但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络,甚至认为“这有什么关系?哪来那么多人对医疗设备有想法?” Weiss称,“在医疗保健行业中,我们发现有大量磁共振成像
2022年6月8日 14:31hackernews.cc
据Cybernews网站消息,美国伊利诺伊州居民对谷歌发起了一项集体诉讼,指控这家科技巨头未经其同意的情况下收集和存储个人生物特征,此举违反了伊利诺伊州的生物识别信息隐私法 (BIPA)。最终谷歌以同意支付1亿美元赔偿与诉讼达成和解。 根据原告们的说法,谷歌相册在未经充分的事先通知和同意的情况下,将照片中出现的相似人脸进行分组归类,谷歌认为,该功能主要是为了帮助用户组织归纳同一个人的照片,方便就某个人照片进行查阅。谷歌声称该功能仅用户个人可见,且可以轻松地关闭。 代表集体诉讼的网站声称,任何伊利诺伊州居民,只要在 2015 年 5 月 1 日至 2022 年 4 月 25 日期间内有任何面部影像出现在Google 照片中,都有资格申请获得赔付,申请赔付的截至日期为9月24日,最终的听证会将于9月28日举行。根据预估的申请赔付人数,每人将可获得200-400美元赔偿。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335570.html 封面来源于网络,如有侵权请联系删除
2022年6月8日 10:11hackernews.cc
微软已获得法院命令,以扣押这家Windows巨头所使用的 41 个域名,该组织称这是一个伊朗网络犯罪组织,该组织针对美国、中东和印度的组织开展鱼叉式网络钓鱼活动。 微软数字犯罪部门表示,该团伙被称为Bohrium,对那些在技术、交通、政府和教育部门工作的人特别感兴趣:其成员会假装是招聘人员,以引诱标记在他们的 PC 上运行恶意软件。 “Bohrium 演员创建虚假的社交媒体资料,经常冒充招聘人员,”微软数字犯罪部门总经理 Amy Hogan-Burney 说。“一旦从受害者那里获得个人信息,Bohrium就会发送带有链接的恶意电子邮件,这些链接最终会用恶意软件感染目标的计算机。” 5月底,弗吉尼亚州东部的一家联邦地方法院向微软下达了紧急临时限制令;这使得该公司能够通过要求美国域名注册机构(例如 Verisign 和 Donuts)将域名转移到微软的控制之下来拆除Bohrium的基础设施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond转移到MarkMonitor,因此似乎扣押已经完成。 根据上周晚些时候公布的法庭文件 [ PDF ] Hogan-Burney ,微软声称不法分子利用网络域进行计算机欺诈、窃取帐户用户的凭据并侵犯微软的商标: Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF — Amy Hogan-Burney (@CyberAmyHB) June 2, 2022 微软说指出Bohrium不仅在其网络钓鱼活动中滥用这家 IT 巨头的商标来欺骗人们交出他们的凭据,而且还试图破坏微软客户运行的计算机系统。工作人员还使用这些域来设置命令和控制服务器,以管理安装在这些计算机上的恶意软件。 此外,根据法庭文件,Bohrium 还破坏了“受害者计算机和微软服务器上的微软应用程序,从而利用它们来监控用户的活动并从他们那里窃取信息”。 
2022年6月7日 16:30hackernews.cc
知名的勒索软件团伙LockBit 2.0当地时间6月6日声称它拥有来自谷歌子公司Mandiant的数据,该公司是威胁情报和事件响应领域的明星企业。 据多家新闻网站报道,LockBit团伙的数据泄露网站现在将Mandiant.com列为受害者之一,并附有“所有可用数据将被公布”的通知。该勒索软件组织当天早些时候在其数据泄露网站上发布了一个新页面,称他们据称从Mandiant 窃取的356,841个文件将在网上泄露。 该团伙的暗网泄密网站在计时器显示距离倒计时结束仅剩不到三个小时的时间。 由于泄漏页面上的文件列表为空,LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件。但是,该页面显示一个名为“mandiantyellowpress.com.7z”的 0 字节文件,该文件似乎与 mandiantyellowpress[.]com 域(6日当天注册)有关。访问此页面会重定向到 ninjaflex[.]com 站点。BleepingComputer 联系LockBit索赔的更多细节时,这家威胁情报公司表示尚未找到违规的证据。 Mandiant通过发表声明迅速回应了记者的置评请求:“Mandiant 知道这些与LockBit相关的声明。在这一点上,我们没有任何证据支持他们的说法。我们将继续关注事态的发展。”Mandiant 营销传播高级经理Mark Karayan向 BleepingComputer做了如上表态。 巧合的是,LockBit声明发布之际,全球最大的网络安全会议之一 RSA会议在旧金山开幕。 这也是在Mandiant表示有证据表明它命名为UNC2165的威胁组织已经不再使用Hades勒索软件而转而支持LockBit之后的四天。报告认为,这是因为美国已经制裁了名为Evil Corp的团伙。Mandiant说,UNC2165似乎是Evil Corp的附属机构,因此勒索软件压力的转变可能是试图将该团伙与受制裁实体拉开距离, Mandiant最初是一家独立公司,2013年12月被FireEye以10亿美元收购。2021年6月FireEye被 Symphony Technology Group以12亿美元收购后,谷歌以 54亿美元收购Mandiant,目标是将其整合到它的谷歌云部门。 Emsisoft的威胁分析师Brett Callow警告不要从表面上接受LockBit的说法。“LockBit过去曾做出
2022年6月7日 16:10hackernews.cc
Atlassian Confluence 协作软件的用户昨天被警告要么限制对该软件的互联网访问,要么由于一个严重的漏洞而禁用它。 Atlassian于6月2日发布的一份公告称,已检测到“当前活跃的利用”。该公告现已更新,以反映该公司已发布版本 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 和 7.18.1,其中包含对此的修复问题。建议用户更新到这些版本。 美国网络安全和基础设施局 (CISA) “强烈建议组织查看Confluence 安全公告 2022-06-02以获取更多信息。CISA 敦促使用受影响的 Atlassian 的 Confluence 服务器和数据中心产品的组织阻止所有进出这些设备的互联网流量,直到更新可用并成功应用。” 如果没有来自公司防火墙外部的 VPN 访问,阻止访问将使协作变得不可能。在有如此多的远程工作的时候,这可能会带来极大的不便,或者可能会使远程工作人员无法使用该软件。鉴于 Atlassian 的网站声称 Confluence 在全球拥有超过 60,000 名用户,这可能会对大量公司造成非常严重的影响。 安全公司 Volexity 检测到该漏洞并将其报告给 Atlassian。Volexity 在其网站的博客中发布了他们的分析。 根据 Volexity 的说法,“攻击者使用了一个零日漏洞,现在分配了 CVE-2022-26134,它允许在服务器上执行未经身份验证的远程代码。” 分析继续警告说“这些类型的漏洞是危险的,因为只要可以向 Confluence Server 系统发出 Web 请求,攻击者就可以在没有凭据的情况下执行命令并完全控制易受攻击的系统。” 攻击者部署了BEHINDER植入程序的内存副本。Veloxity 指出,“这是一个广受欢迎的网络服务器植入程序,源代码可在 GitHub上找到。”BEHINDER 允许攻击者使用仅内存的 webshell,内置支持与Meterpreter和Cobalt Strike的交互。 在内存中植入BEHINDER特别危险,因为它允许攻击者执行指令而无需将文件写入磁盘。由于它没有持久性,因此重新启动或服务重新启动会将其清除。然而,在此之前,攻击者可以访问服务器并执行命令,而无需将后门文件写入磁盘。 Atlassian最初的建议表明所有受支持的Confluence Server和Data Center版本都
2022年6月7日 15:10hackernews.cc
近期,意大利南部巴勒莫市遭受网络攻击,这给城市的运营、市民以及游客带来了巨大影响。 这座拥有约130万人口的城市是意大利人口第五大城市,该地区每年还有约230万游客到访,所以此次网络攻击对整个城市的冲击可想而知。 在网络攻击发生之后,当地所有的服务、公共网站和在线门户都处于离线状态,尽管当地的专家也一直在试图恢复系统。据当地多家媒体报道,受此次网络攻击影响的系统包括公共视频监控管理、市警察行动中心以及市政府的所有服务。在当时,所有依靠网络系统进行的服务都一度陷入瘫痪,以至于公民必须使用过时的传真机来传递信息。对游客来说,他们也无法在线预订博物馆和剧院(马西莫剧院)的门票。而且限行地区的证件也没办法办理,因此没有进行监管,也没有对相关违规行为进行罚款。不幸的是,历史悠久的市中心需要这些通行证才能进入,因此游客和当地居民受到了严重影响。 鉴于意大利最近收到了来自Killnet组织的威胁,因此有人猜测此次针对巴勒莫市的网络攻击有可能是黑客组织Killnet,但人们发现这次攻击更偏向于勒索攻击,而非DDoS攻击,Killnet的一个特点就是擅长发动DDoS攻击,该组织是一个亲俄罗斯的黑客活动家,也曾对支持乌克兰的国家发起过DDoS攻击。 巴勒莫市创新议员 Paolo Petralia Camassa表示,为应对此次攻击,目前所有系统都已关闭并与网络隔离,且中断可能会持续一段时间。不过这种措施也是常见的应对勒索软件攻击的做法,网络被脱机是为防止恶意软件传播到更多计算机并加密文件。目前还无法确定此次网络攻击的类型,如果这种网络攻击被证明是勒索软件,那么该黑客团伙很可能已经窃取了大量数据,并有可能对该市进行勒索。如果这种假设成立,那巴勒莫可能面临双重打击,一是泄露大量公民个人数据,二是违反欧盟的GDPR。   转自 Freebuf,原文链接:https://www.freebuf.com/news/335462.html 封面来源于网络,如有侵权请联系删除  
2022年6月6日 17:32hackernews.cc
在安全研究人员于 Twitter 上曝出漏洞 11 小时后,“无聊猿”NFT 背后的 Yuga Labs 公司终于证实,其 Discord 服务器于周六遭到了黑客攻击、并导致价值 200 ETH(约 36 万美元)的 NFT 被盗。CoinDesk 指出,事件源于社区经理 Boris Vagner 的 Discord 账户被盗,之后攻击者利用该账户在官方 BAYC 及元宇宙项目中发布了钓鱼链接。 Twitter 网友 @NFTherder 率先曝光了此事,同时他预估有 145 ETH(约 26 万美元)随 NFT 一同被盗,后续追查表明被盗资金被转入了四个单独的钱包地址。 Yuga Labs 官方后来也在一条推文中证实了该漏洞的存在,并称自正在积极调查本次黑客攻击事件 —— 尽管此时距离 NFTherder 推文发布已过去整整 11 个小时。 攻击者在 Boris Vagner 与 Richard Vagner 共同创立的一个名为 Spoiled Banana Society(简称 SPS)的 NFT 梦幻足球俱乐部 Discord 频道中发布了一则钓鱼文本,但该消息与链接已在事发后被清理掉。 钓鱼链接 UTC 时间 09:00,Richard Vagner 宣称账户在一个小时前被黑客入侵,但愿没有任何人点击钓鱼链接。 不幸中的万幸是,在重新拿回 Boris 账户的控制权后,他们发现收割了一波的黑客并没有删除整个 Discord 服务器。 尽管 Richard 已要求大家主动披露,但目前尚不清楚有多少 SBS 频道成员受到本次钓鱼攻击事件的影响。 接下来几天,他们还将努力恢复被搞乱的所有标签,以及深入分析是否还有其它潜在的问题。 据悉,Vagners 还经营一家名为 Metaverse Records 的唱片公司。在同一条 SBS Discord 消息中,Richard 证实 BAYC 和 Otherside Discords 也被“黑客入侵”,并希望大家能够引以为戒。 事实上,这已经是我们最近第三次听闻类似的事件。早在 4 月 1 号,Mutant Ape Yacht Club #8662 就因为 Discord 频道里发布的钓鱼链接而被盗。 4 月 25 号的时候,BAYC 的 Instagram / Discord 账户又被黑客利用来发布指向 Otherside 铸币的虚假链接。然后上周,演员 Seth G
2022年6月6日 15:12hackernews.cc
安全研究人员发现了一个新的Windows Search零日漏洞,攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含受感染系统上远程托管的恶意可执行文件。 由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索,因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。 不仅如此,威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中,犯罪者可以配置远程Windows共享托管恶意软件,伪装成补丁或安全更新,然后将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中。然而,让目标打开这样的链接对攻击者来说可能具有挑战性。尝试打开URL会在系统上触发警告,提醒用户某个站点正在尝试访问Windows资源管理器。 在这种情况下,用户需要通过单击附加按钮来确认他们的操作。然而,正如安全研究员 Matthew Hickey 所证明的那样,将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。要使漏洞利用,用户需要打开诱饵 Word 文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新,诱骗用户在他们的系统上启动它。更糟糕的是,Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口,而无需打开文档。 安全研究人员建议对新发现的漏洞采取以下缓解措施: 1、以管理员身份运行命令提示符 2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。   转自 FreeBuf,原文链接:https://www.freebuf.
2022年6月6日 15:12hackernews.cc
近日,美国联邦贸易委员会(FTC)表示,在2021年1月至2022年3月期间,共有超46,000名美国人报告受到加密货币诈骗,造成的损失不低于10亿美元。与上一年FTC发布的报告相比,过去一年这一数字的增长非常显著,当时的报告案例数量仅为7000左右,而损失的金额约为8000万美元。 这份报告的统计数据与前些时候FBI发布的《2021年度网络犯罪报告》是相一致的。对此,美国多个执法机构表示,数以万计的报告正在不约而同地指出,过去一年因诈骗而造成的加密货币总损失或已超过16亿美元。 “2021年,联邦调查局互联网犯罪投诉中心(IC3) 收到了34,202起涉及使用某种类型加密货币的投诉,通常是比特币(Bitcoin)、以太坊(Ethereum)、莱特币(Litecoin)或瑞波币(Ripple)”,联邦调查局官员对媒体透漏道,“虽然这一数字显示比2020年的受害者人数(35,229)有所减少,然而,IC3投诉中报告的损失金额却增加了将近七倍,从2020年报告的2亿4600万美元增加到2021年报告的超过16亿美元。” 此外,FTC在其报告中补充道,过去一年中支付给诈骗者的转账中有四分之一是通过使用加密货币支付的。几乎一半的消费者表示,他们是通过社交媒体平台上的广告、帖子或消息落入诈骗者陷阱的。 对此,美国执法机构对消费者给出了若干识别此类骗局的建议: 警惕任何声称可以通过投资加密货币来保证利润或可观回报的人; 警惕任何要求您购买或支付加密货币的人; 警惕任何向您展示如何投资加密货币或他们加密货币爱好的人。 自2021年1月以来,加密货币投资骗局在美国消费者报告的损失金额排行中位居榜首,总计达5.75亿美元。 FTC表示:“在这些骗局中,诈骗者会向潜在投资者承诺,他们可以通过投资加密货币计划获得巨额回报,但事实上,他们‘投资’的所有钱都是一去不复返的。” 其实,早在2021年7月,FBI就曾对加密货币所有者发出过警告,诈骗者正积极瞄准虚拟资产,他们会通过在线技术冒充加密货币交易所或支付平台支持人员向受害者致电或发送邮件。 同时,FBI也给出了三项建议:加密货币所有者可以对所有加密货币账户启用多因素认证(MFA),拒绝任何下载和使用远程访问应用程序的请求,并始终使用官方电子邮件地址和电话号码联系交易所和支付公司。 关于更对关于加密货币骗局及其报告信息,可登陆FTC官方网站进一步阅读。   转自 FreeBuf
2022年6月6日 14:52hackernews.cc
Bleeping Computer 网站披露,2021 年,苹果 App Store 应用审核团队封杀了超过 34.3 万个违反隐私规定的 iOS应用程序,另外还有 15.7 万个应用程序因试图误导或向 iOS 用户发送垃圾邮件而被拒绝。 值得一提的是,苹果公司表示,有 34500 个应用程序因使用了未记录或隐藏功能,从而禁止在 App Store上获得索引。不仅如此,苹果还删除了 15.5 万个采用诱导性策略的应用程序。 整个 2021 年,应用程序审查团队“下架了”超过 160 多万个有风险或有漏洞的应用程序。 苹果公司在一份欺诈预防分析报告中宣称,前年,App Review 团队拒绝或删除了近 100 万个有问题的新应用程序和近 100 万个应用更新。 苹果公司表示,公司的目标是致力于使 App Store 成为值得用户信赖的地方,其保护客户免受欺诈的努力需要多个团队的监测和警惕,这些团队集中在应用审查,发现欺诈等几个领域。 去年,Avast 的研究人员发现,被称为 fleeceware 的欺诈性应用程序仍然是 iOS 应用商店的一个大问题。这类应用程序往往以免费试用为借口,引诱客户,之后就会要求用户每年支付数千美元的订阅费用。 Avast 表示,在苹果和谷歌的应用商店中,大约有 200 个这样的软件应用程序,预计产生了超过 4 亿美元的利益。 一年前,Sophos 的研究人员同样发现了几十个 fleeceware 应用程序, iOS 用户大约下载了 368 万次,使其成功跻身 App Store 最畅销应用程序之列。 阻止了 15 亿美元的潜在欺诈性交易 苹果公司表示,整个 2021 年,它保护其客户免受约 15 亿美元的潜在欺诈性交易。另外,还阻止了 330 多万张被盗卡在苹果在线商店平台上的使用,并禁止了近 60 万个账户在其平台上进行交易。 苹果公司强调,没有什么数据比用户的财务信息更敏感,这就是为什么 Apple 投入巨资,创建类似 Apple Pay 和 StoreKit 等更安全的支付技术。 据统计,超过 905000 个应用程序使用了这些技术在 App Store 上销售商品和服务。使用 Apple Pay,用户的信用卡号码永远不会与商家共享,这很好的消除了支付交易过程中产生的风险因素。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/
2022年6月6日 14:32hackernews.cc
据快科技报道,紫光展锐芯片组基带处理器被曝存在一个高危漏洞。由于该漏洞出现在芯片层,且直接负责网络连接的网络解调器,因此,攻击者通过该漏洞向用户发送损坏的数据包,可中断或禁止目标设备的网络连接。 网络安全公司Check Point Research在对摩托罗拉Moto G20手机内的紫光展锐T700芯片上的LTE协议栈的逆向工程中,发现了该漏洞。2022年5月,该公司已经向紫光展锐提交了该漏洞的信息,紫光展锐官方也已经确定漏洞的存在,并将其划分为9.4级的严重漏洞。 同时紫光展锐也已经表示,将会立即对该漏洞进行修复;谷歌也确认了这一漏洞,并表示将会在下一个Android安全补丁中修复该漏洞。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335294.html 封面来源于网络,如有侵权请联系删除
2022年6月6日 14:32hackernews.cc
据Bleeping Computer网站6月3日消息,GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新,以解决8个漏洞问题,其中一个为账户接管的高危漏洞。 这个帐户接管漏洞被追踪为 CVE-2022-1680,评分高达 9.9,影响 GitLab 11.10 至 14.9.4、14.10 至 14.10.3 和 15.0版本。控制 GitLab 帐户会带来严重后果,黑客可以访问开发人员的项目并窃取源代码。 根据公司公告,在具有特定配置的实例上可以利用该漏洞,当组SAML SSO被配置时,SCIM 功能(仅适用于 Premium+ 订阅)可能允许 Premium 组的任何所有者通过其用户名和电子邮件邀请任意用户,然后通过 SCIM 将这些用户的电子邮件地址更改为攻击者控制的电子邮件地址,因此,在没有 2FA 的情况下,攻击者能接管这些帐户,还可以更改目标帐户的显示名称和用户名。但若目标帐户上存在双因素身份验证 (2FA) ,则可以减少其滥用的概率。 安全更新的其他7个漏洞包含对另外两个高严重性缺陷的修复,一个是 Jira 集成组件中的跨站点脚本 (XSS) 问题,被跟踪为 CVE-2022-1940;评分为为 7.7;另一个是缺少输入验证漏洞,允许在联系人列表详细信息中注入 HTML 并启用 XSS 攻击,被跟踪为 CVE-2022-1948,评分为 8.7。 其余5个漏洞分别是IP白名单绕过问题、Web端授权不当、群组成员访问不当和锁绕过问题。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335291.html 封面来源于网络,如有侵权请联系删除
2022年6月2日 16:11hackernews.cc
苹果公司表示,其App Store安全机制阻止了近15亿美元的潜在欺诈交易,并使160万个”问题应用程序”远离客户。周三发布的这份报告是该公司在2021年发布的前一次预防欺诈分析报告的后续报告。根据这两份报告,苹果在2020年和2021年阻止了相同数额的欺诈交易–15亿美元。 与此同时,苹果还成功地打击了各类有问题的应用程序,它在2020年和2021年分别阻止了100万和160万个。 在整个2021年,苹果公司说它发现并阻止了超过9400万条虚假评论和1.7亿个评级,因为”没有达到审核标准”。它还删除了另外61万条通过客户报告或人工评估发现的无效评论。 苹果还因欺诈活动终止了80.2万个开发者账户,因类似理由拒绝了15.3万个账户。它还阻止了63500个涉嫌盗版侵权的非法应用程序。 “苹果公司为防止和减少App Store上的欺诈行为所做的努力需要多个团队的持续监测和警惕,”苹果公司写道。”从应用审查到发现欺诈,苹果公司不断致力于保护用户免受欺诈性应用活动的影响,这再次证明了为什么独立的、受人尊敬的安全专家说App Store是寻找和下载应用最安全的地方。” 除了最新的数字,报告还再次强调了苹果用来保护App Store客户的那种保护措施。这包括应用商店审查、支付和信用卡保护以及反账户欺诈机制。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276213.htm 封面来源于网络,如有侵权请联系删除
2022年6月2日 16:11hackernews.cc
美国网络司令部负责人告诉Sky News,美军黑客已经开展了支持乌克兰的进攻性行动。在一次独家采访中,Paul Nakasone将军还介绍了单独的hunt forward行动是如何让美国在外国黑客被用来对付美国之前搜索出他们的工具。 这位同时也是美国安局(NSA)局长的将军在爱沙尼亚塔林发表讲话时告诉Sky News,他“每天”都在关注针对美国的俄罗斯网络攻击的风险,并表示 hunt forward是保护美国和盟友的有效方式。 Nakasone将军首次证实,美国正在进行进攻性黑客行动以对乌克兰应对俄罗斯的军事行动表示支持。 他表示:“我们已经进行了一系列全方位的行动;进攻性、防御性、(和)信息行动。” 这位四星将军没有详细说明这些活动,但解释了这些活动是如何合法的及如何在完全由文职人员监督军队并通过国防部决定的政策进行的。 “我的工作是向国防部长和总统提供一系列选择,所以这就是我所做的,”Nakasone说道,但他拒绝描述这些选择。 不过他指出,跟以谎言开始进行信息行动的俄罗斯相比,美国的目的是在战略上讲真话。 另外,Nakasone将军表示不同意那些认为俄罗斯对乌克兰的攻击的网络方面被夸大了的评论观点,并且赞扬了基辅政府和保卫者的复原力。“如果你问乌克兰人,他们不会说这是被夸大了。如果你看一下他们遇到的破坏性攻击和分裂性攻击–你写的是对(卫星公司)Viasat的攻击–这是一直在进行的事情。” 这位将军继续说道:“而我们已经看到了这一点,对他们的卫星系统的攻击、一直在进行的雨刷攻击以及对他们的政府程序的破坏性攻击。这是一种我认为有时被公众所忽视的部分。他们并不是没有很忙,他们一直非常忙。而且我认为,你知道,他们的复原力也许是最吸引我们所有人的故事。” 当被问及俄罗斯针对美国的攻击的风险有多高时,Nakasone将军说道:“我们每天都保持警觉。每一天都是如此。我一直在想这个问题。” 另外,他还补充称:“这就是为什么我们正在跟一系列伙伴合作以确保我们防止这种情况,这不仅针对美国而且也针对我们的盟友。” Hunt forward–在Nakasone将军的领导下开发的一项活动–是美网络司令部伙伴关系的一个关键方面。 Nakasone将军表示,网络司令部的专家已经被部署到国外的16个国家,他们可以从盟国的计算机网络中寻求情报–通常都在协商一致和邀请的基础上。而网络
2022年6月2日 15:31hackernews.cc
据报道,因为Elasticsearch数据库安全防护薄弱的缘故,导致其被黑客盯上,并被黑客用勒索信替换了其数据库的450个索引,如需恢复则需要支付赎金620美元,而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限,并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬,他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接,链接到他们的数据库转储,据称这将有助于快速恢复数据结构的原始形式。 该活动是由 Secureworks 的威胁分析师发现的,他们确定了450多个单独的赎金支付请求。根据Secureworks的说法,威胁行为者使用一种自动脚本来解析未受保护的数据库,擦除数据,并添加赎金,所以在这次行动中似乎没有任何人工干预。 而这种勒索活动并不是什么新鲜事,其实之前已经发生过多起类似的网络攻击,而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况,因为攻击者其实无法存储这么多数据库的数据。 相反,威胁者只是简单地删除不受保护的数据库中的内容,并给受害者留下一张勒索信。到目前为止,在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是,对于数据所有者来说,如果他们不进行定期备份,那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务,不过总有业务中断的风险,其成本可能远远高于骗子要求的小额金额。此外,机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。 不幸的是,还是有很多数据库在无任何保护的前提下暴露在公众视野前,只要这种情况继续存在,那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示,2021年网络上暴露的 Elasticsearch 实例超过10万个,约占2021年暴露数据库总数的30%。根据同一份报告,数据库管理员平均需要170天才能意识到他们犯了配置错误,但这种失误已经给黑客留下了足够的攻击时间。 据报道,因为Elasticsearch数据库安全防护薄弱的缘故,导致其被黑客盯上,并被黑客用勒索信替换了其数据库的450个索引,如需恢复则需要支付赎金620美元,而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限,并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬,他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接,链接到他们的数据库转储,据称这将
2022年6月2日 15:11hackernews.cc
据Bleeping Computer报道,至少有360万台MySQL服务器已经暴露在互联网上,这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。 在这些暴露、可访问的MySQL服务器中,近230万台是通过IPv4连接,剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作,但是这些设备应该要进行锁定,保证只有经过授权的设备才能连接并查询。 此外,公开的服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。 360万个暴露的MySQL服务器 网络安全研究组织 Shadowserver Foundation在上周的扫描中发现了360万台暴露的 MySQL 服务器,它们全部都使用默认的端口——TCP 3306。 对于这一发现,Shadow Server在报告进行了解释:“虽然我们不检查可能的访问级别或特定数据库的暴露程度,但这种暴露是一个潜在的攻击面,应该引起企业的警惕并关闭。” 这些暴露的MySQL 服务器广泛分布于全球,其中分布最多的是在美国,数量超过120万台,其余则大多分布在中国、德国、新加坡、荷兰、波兰等多个国家。如下图所示,热力图标注了通过IPv4连接的MySQL 服务器的分布情况。 IPv4 中暴露的 MySQL 服务器的热图 (Shadow Server) 具体来说,IPv4上的总暴露数量是3957457,IPv6上的总暴露数量是1421010,IPv4上的服务器响应总数为2279908,IPv6上的服务器响应总数为1343993,所有MySQL服务中有 67% 可从 Internet 访问。 同时,Shadow Server 在报告中还表示,了解如何安全地部署 MySQL 服务器并消除可能潜伏在系统中的安全漏洞,可以阅读5.7 版指南或8.0版指南。 事实上,数据库保护不当是数据被盗最主要的原因之一,因此数据库管理员应始终锁定数据库,严格禁止未经授权的非法的远程访问。 例如上文已经暴露的MySQL数据库服务器就处于巨大的安全威胁之中,可能导致灾难性的数据泄露、破坏性攻击、勒索攻击、远程访问木马(RAT) 感染,甚至 Cobalt Strike 攻击,这些都将给企业业务和运营带来十分严重的影响。 因此,企业数据库管理员应进一步做好安全建设,并尽可能
2022年6月2日 14:51hackernews.cc
这项联合执法行动的参与者分别有澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士、荷兰和美国,今年5月,荷兰警方成功破坏了FluBot的基础设施,切断了1万名受害者与 FluBot的网络链接,并阻止超过 650 万条恶意短信发送给其他受害者。 2021 年 3 月,西班牙警方也曾逮捕了4名FluBot的关键成员,但并未对其构成致命打击,但这一次,欧洲刑警组织强调FluBot 基础设施已处于执法部门的控制之下,不可能死灰复燃。 由于目前尚未发布有关任何逮捕FluBot成员的公告,因此Bleeping Computer认为该行动的重点目前仍是对其基础设施进行打击。 FluBot是现存规模最大、增长最快的 Android 恶意软件之一,通过在受害者打开合法应用程序的界面上覆盖网络钓鱼页面来窃取银行和加密货币帐户凭证,并可访问和监控短信,因此可以即时获取双因素身份验证和 OTP 代码。此外,通过利用受感染设备的联系人列表向所有联系人发送短信,FluBot以极快的速度进行传播,受害者几乎遍布全球。 欧洲刑警组织建议,如果用户设备不幸中招,应立即执行恢复出厂设置,以擦除分区中可能托管恶意软件的所有数据。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/335065.html 封面来源于网络,如有侵权请联系删除
2022年6月2日 14:31hackernews.cc
在发送给美国各州选举官员的一份通知中,美国网络安全和基础设施局(CISA)表示至少有 16 个州目前在使用、来自一家主要供应商的电子投票机存在软件漏洞,如果不加以解决,很容易受到黑客攻击。 Jack Hanrahan/Erie Times-News CISA 表示,目前并没有证据表明有黑客利用 Dominion Voting Systems 公司的设备漏洞来篡改选举结果。该咨询是基于一位知名计算机科学家和长期诉讼案专家证人的测试,该诉讼案与前总统唐纳德·特朗普在 2020 年大选失利后推动的盗窃选举的虚假指控无关。 根据美联社获取的这份报告,其中详细介绍了 9 个漏洞,并建议采取保护措施,以防止或检测其利用。在有关选举的错误信息和虚假信息的漩涡中,CISA 似乎行走在不惊动公众和强调选举官员采取行动的边界线上。 在一份声明中,CISA 执行董事布兰登·威尔士(Brandon Wales)表示:“各州的标准选举安全程序将检测出对这些漏洞的利用,在许多情况下将完全防止这些企图。然而,该建议似乎表明各州做得还不够。它敦促迅速采取缓解措施,包括继续和加强防御性措施,以减少利用这些漏洞的风险。公告说,这些措施需要在每次选举前实施,而很明显,所有使用这些机器的州都没有这样做”。 密歇根大学计算机科学家亚历克斯-霍尔德曼(J. Alex Halderman)撰写了这份咨询报告,他长期以来一直认为,使用数字技术来记录选票是危险的,因为计算机本身容易受到黑客攻击,因此需要采取多种保障措施,但这些措施并没有得到统一的遵守。他和其他许多选举安全专家都坚持认为,使用手写纸质选票是最安全的投票方法,也是唯一可以进行有意义的选举后审计的选择。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276043.htm 封面来源于网络,如有侵权请联系删除
2022年6月2日 14:31hackernews.cc
英国通讯管理局今天公布了对全国网络习惯的新研究,称其发现英国女性网民对其网络安全的信心低于男性,而且受到歧视性、仇恨性和嘲弄性内容的影响更大。 这项研究涉及监管机构对约6000名英国人进行调查,以了解他们的在线经验和习惯,研究还表明,与男性同行相比,女性觉得在网络上的发言权和分享意见的能力较差,但是研究也发现,女性往往是互联网和主要社交媒体服务的更热心用户。 监管机构正在敦促科技公司听取其调查结果,并立即采取行动,使其平台对妇女和女孩更加友好和安全。虽然监管机构还没有正式的权力来迫使平台改变他们的运作方式,但根据目前提交给议会的在线安全法案,该法案将引入平台的注意义务,以保护用户免受一系列非法和其他类型的伤害,它将能够对违反规则者处以最高达其全球年营业额10%的罚款。 因此,通信管理局的言论可以被视为对Facebook和Instagram所有者Meta等社交媒体巨头的警告,一旦法律通过并生效,它们将面临监管机构的密切运营审查。英国通讯管理局敦促科技公司认真对待女性的在线安全问题,并将人们的安全置于其服务的核心。这包括在设计服务和提供内容的算法时,听取用户的反馈。 这项研究表明,在每一个方面,女性对上网的感觉不如男性积极。她们只是觉得不太安全,而且她们受仇恨言论和嘲弄的影响更深。因此,老实说,有一种寒蝉效应,让女性觉得不太能够在网上分享她们的意见,不太能够让人听到她们的声音。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276187.htm 封面来源于网络,如有侵权请联系删除
2022年6月2日 14:11hackernews.cc
哥斯达黎加的公共卫生服务机构–哥斯达黎加社会保障基金(CCSS)近期遭受 Hive 勒索软件攻击,导致相关系统被迫下线。CCSS 在其官方Twitter帐号上表示,本次攻击始于本周二清晨,目前正在进行调查。 CCSS 表示,包括统一数字医疗系统和集中收税系统在内的几个工资和养老金数据库没有受到攻击的影响。在接受当地媒体采访中,该机构补充说,在 1500 台政府服务器中,至少有 30 台感染了 Hive 勒索软件,对恢复时间的估计仍是未知数。 CCSS 的几名员工说,在他们所有的打印机开始吐出难以理解的文件后,他们被告知要关闭他们的电脑。另一名员工说,由于这次攻击,目前无法报告 COVID-19 的结果。 这次攻击发生在哥斯达黎加总统罗德里戈·查韦斯宣布该国进入紧急状态以应对 Conti 勒索软件集团的网络攻击的几周之后。哥斯达黎加财政部是第一个被这个与俄罗斯有关的黑客组织攻击的政府机构,在5月16日的一份声明中,查韦斯说受影响的机构数量后来增加到 27 个。 在当时发布在其暗网泄密博客上的一条信息中,康蒂敦促哥斯达黎加公民向他们的政府施压以支付赎金,该组织将赎金从最初的 1000 万美元增加到 2000 万美元。在一份单独的声明中,该组织警告说。”我们决心通过网络攻击的方式推翻政府,我们已经向你们展示了所有的力量和实力”。 网络安全专家认为,这次最新的 Hive 勒索软件攻击背后的网络犯罪分子可能与 Conti 团伙合作,帮助该团伙重塑品牌,逃避针对向在俄罗斯活动的网络犯罪分子支付勒索款项的国际制裁。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1276261.htm 封面来源于网络,如有侵权请联系删除
2022年6月1日 15:10hackernews.cc
据 Bleeping Computer 网站披露,FBI(美国联邦调查局)发现网络诈骗分子冒充合法的乌克兰人道主义援助组织,以帮助乌克兰难民和战争受害者为由,大肆收集捐款。 本周,美国执法机构在一份公共服务公告中揭示,部分犯罪分子正在利用乌克兰危机,冒充需要人道主义援助的乌克兰实体或个人,开展货币和加密货币捐款的筹款活动。FBI 警告民众,应时刻留意与乌克兰危机有关的捐款活动,以免遭受网络诈骗。 据悉,俄乌战争爆发后,网络安全供应商和部分民众就已经在网上发现了类似的骗局,并且发出了大量警报。 利用战争局势,实施诈骗 早在 3 月份,Bleeping Computer 就披露俄乌战争爆发后,“帮助乌克兰”和 “向乌克兰捐款”的骗局爆炸式增长。诈骗分子一直宣称自身是合法的慈善机构,试图说服“受害者”援助乌克兰。 随着战争深入,骗局也逐渐升级,骗子们开始冒充乌克兰政府、乌克兰危机救济基金、联合国儿童基金会等实体机构。 值得注意的是,俄乌冲突后,乌克兰政府也一直在积极寻求各种捐款,此举可能无意中为欺诈性捐助骗局提供了可信度。一些希望向乌克兰捐款的人可能忽略了可疑捐款电子邮件、社交媒体帖子和潜在的诈骗捐款网站。 如何避免遭受诈骗 对于一些想要向乌克兰慈善机构捐款的民众,FBI 强调,一定要仔细检查其通过在线通信方式收到的信息,此外,捐助者还应该检查慈善机构是否合法注册。FBI 建议民众采取以下步骤,避免成为受害者。 1. 对声称是受乌克兰冲突影响并寻求立即财政援助的在线通信,保持怀疑、警惕态度。 2. 虽然乌克兰政府和其他私人组织一直保持着官方的捐赠机制,但是民众一定要要谨慎核实声称为乌克兰危机寻求援助的实体信息。如果某个实体要求向特定的加密货币地址捐款,一定要保持要谨慎,立刻仔细检查地址是否合法,并将地址的字母数字字符与已知的官方地址进行比较。 3. 不要与未知身份的人员交流,更不要打开其短信、电子邮件、附件或链接。 4. 不要向要求提供财政援助的未知个人或组织汇款。 5. 一定要核实慈善机构是否合法。最佳做法包括但不限于:在网上研究该慈善机构,看是否有新闻、评论或帖子将该慈善机构与欺诈联系起来;检查该慈善机构是否合法注册。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334937.html 封面来源于网络,如有侵权请联系删除
2022年6月1日 14:50hackernews.cc
有消息显示,Google已于近日悄悄禁止了其在 Colaboratory(Colab)服务上的深度伪造(Deepfake)项目,这代表以Deepfake为目的大规模利用平台资源的时代或已画上句号。 众所周知,Colab是一个在线计算资源平台,允许研究人员直接通过浏览器运行Python代码,同时使用包括GPU在内的免费计算资源来支持自己的项目。正由于GPU的多核特性,Colab是类似Deepfake模型机器学习项目或执行数据分析理想选择。 经过一定训练,人们将Deepfake技术用于在视频片段中交换面孔,并添加真实的面部表情,几乎能够以假乱真。然而,这项技术时常被用于传播假新闻,制作复仇色情片,抑或用于娱乐目的。在实际运用中缺乏伦理限制一直是这项技术存在争议的根源。 Deepfake遭禁 根据互联网资料馆网站archive.org的历史数据,这项禁令出台于本月的早些时候,Google Research部门悄悄将Deepfake列入了禁止项目的名单中。 正如DFL软件开发者“chervonij”在Discord社区平台上所指出的那样,那些现在仍尝试在 Colab平台上训练deepfake的用户会收到这样一条错误报告: “您可能正在执行不被允许的代码,这可能会限制你未来使用Colab的权限。关于更多禁止行为的信息,请留意我们的常见问题解答(FAQ)文档。” 分析人士预计,这一项新限制措施将在Deepfake世界中产生非常深远的影响,因为目前有许多用户都在运用Colab的预训练模型来启动他们的高分辨率项目。即使对于那些没有编码背景的人来说,Colab也可以让项目过程变得很平滑,这也就是为何那么多教程都建议用户运用Google的“免费资源”平台来启动自己的Deepfake项目。 资源的滥用 目前尚不清楚Google执行这项禁令是出于道德考虑还是由于项目所使用的免费计算资源被滥用。 Colab成立的初衷是对那些为了实现科学目标需要成千上万资源的研究人员提供帮助,这在当下这个GPU短缺的年代是尤为重要的。 然而却事与愿违,有报道显示,一些用户正在利用平台的免费资源大规模创建Deepfake模型,这在很长一段时间内都占用了Colab的大量可用资源。 以下是不被允许项目的完整列表: 与Colab交互式计算无关的文件托管、媒体服务或其他Web服务产品 下载种子或进行点对点文件共享 使用远程桌面或 SSH服务 连接到远程代理 加密货币
2022年6月1日 14:50hackernews.cc
近日,网络安全研究人员发现了一个新的 Microsoft Office 零日漏洞,编号 CVE-2022-30190。只需打开 Word 文档即可通过 Microsoft 诊断工具 (MSDT) 执行恶意 PowerShell 命令,也可以运行任意代码。这也就意味着,攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。 所幸,微软方面很快有了应对措施。5月30日,微软发布了相关的缓解措施,可阻止攻击者利用该零日漏洞发起远程攻击,具体如下: 其余缓解措施 由于攻击者使用MSDT URL协议来启动故障排除程序并在易受攻击的系统上执行代码,因此管理员和用户也可以通过禁用该协议来规避CVE-2022-30190零日漏洞带来的威胁。 具体操作方式如下: 1、以管理员身份运行命令提示符; 2、备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg” 3、执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f” 在微软发布CVE-2022-30190漏洞补丁后,用户也可以通过启动提升的命令提示符并执行 reg import ms-msdt.reg 命令来撤消解决方法(文件名是禁用协议时创建的注册表备份的名称)。 虽然微软表示 Microsoft Office 的受保护视图和应用程序防护将阻止CVE-2022-30190攻击,但 CERT/CC 漏洞分析师 Will Dormann发现,如果目标预览恶意文档还有可能是Windows资源管理器,因此还建议禁用 Windows 资源管理器中的“预览”窗格以删除此攻击媒介。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334919.html 封面来源于网络,如有侵权请联系删除
2022年6月1日 14:30hackernews.cc
近日,网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档(文件名为” 05-2022-0438.doc “)。这个文档使用远程模板特性获取HTML,然后使用“ms-msdt”方案执行PowerShell代码。 随后,知名网络安全专家Kevin Beaumont发表了对该漏洞的分析。“该文档使用 Word远程模板功能从远程网络服务器检索HTML文件,该服务器又使用ms-msdt MSProtocol URI方案加载一些代码并执行一些 PowerShell”,在他的分析中这样写道,“这里发生的一些事情比较复杂,而首当其冲的问题是即使禁用了宏,Microsoft Word 也会通过msdt(一种支持工具)执行代码。受保护的视图确实起了作用,可尽管如果您将文档更改为RTF形式,它甚至无需打开文档,仅通过资源管理器中的预览选项卡即可运行,更不用说受保护的视图了。” 据了解,该零日漏洞会影响多个Microsoft Office版本,包括Office、Office2016和Office 2021。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334861.html 封面来源于网络,如有侵权请联系删除
2022年5月31日 17:30hackernews.cc
上周,一名 Terra 社区成员意外发现了某个被疏忽七个月的 DeFi 漏洞,并且得到了 BlockSec 安全分析师的证实。2021 年 10 月,DeFi 应用程序 Mirror Protocol 在旧 Terra Mirror Protocol 建立在 Terra 区块链之上,然而在 TerraUSD(UST)稳定币失去与美元的锚定之后,其姊妹代币 Luna 在本月早些时候也被拖累到几乎一文不值。 在经历了混乱的几周后,社区投票通过了硬分叉的 Terra 2.0 以消弭影响,而原始链则倍改名为 Terra Classic 。 区块链上遭受了 9000 万美元的攻击损失,但社区直到上周才意识到它的存在。据悉,Mirror Protocol 允许用户使用合成资产,对科技股进行做多或做空。 本文提到的漏洞,由 Terra 社区成员兼分析师“FatMan”曝光。这对最新推出的 Terra 2.0 区块链,他也是最直言不讳的反对者之一。 同时安全公司 BlockSec 通过分析特定的漏洞利用交易,证实了 FatMan 的这一发现。 可知每当有人想要在 Mirror 上做空时,其必须将包括UST、LUNA Classic(LUNC)和 mAssets 在内的抵押品锁定至少 14 天。 交易结束后,用户可解锁抵押品、并将资产释放回钱包,且所有相关操作都是在智能合约生成的 ID 号的帮助下完成的。 然而由于代码上的 Bug,报道称 Mirror 的锁定合约、未能检查何时有人多次使用同一个 ID 来提取资金。 于是 2021 年 10 月,某个不知名的实体发现了这一漏洞,并借此利用重复 ID 列表来反复解锁数以百倍的抵押品 —— 基本上意味着肇事者能够在没有任何授权的情况下提取资金。 后续的区块链记录表明,该实体总共撬走了约 9000 万美元的资金。然而更让人感到无语的是,这一漏洞直到七个月后才被人曝光。 通常情况下,为透明起见,项目放都会尽快向公众通报安全事件 —— 即便类似 Mirror Protocol 漏洞的事件相当罕见。 BlockSec 指出:与 ETH 和兼容区块链相比,在 Terra 上扫描相关问题的人较少,因而该漏洞才迟迟未被公众所知晓。 此外 Mirror 网站上没有可以查看协议中抵押品总量的界面,这使得在不筛选大量区块链数据的情况下,更难发现相关漏洞。 本月早些时候,大约在 UST 稳定币开始崩溃的同时
2022年5月31日 16:50hackernews.cc
安全内参消息,据南非媒体《星期日泰晤士报》报道,黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。 多位政要信贷数据泄露 SpiderLog$称,这批数据来自另一个名为N4ugtysecTU的黑客团伙,而后者曾于今年早些时候入侵信用报告机构TransUnion,窃取了5400万消费者征信数据,几乎覆盖该国所有公民。 泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。 TransUnion则澄清称,此次泄露的民政事务数据并非直接出自他们的服务器,而是黑客在之前的攻击中窃取获得。 Ramaphose并非唯一在TransUnion数据泄露事件中受影响的知名人士。 当时,N4ughtySecTU曾威胁要泄露总统Cyril Ramaphosa和南非在野党左翼经济自由斗士领导人Julius Malema的个人数据。 南非已沦为黑客“乐园”,国防/国安/情报等系统均存漏洞 SpiderLog$通过Ramaphosa的数据唤起了大众的警觉,让人们关注南非安全系统,特别是政府部门(包括国防和国家安全部门)所使用安全系统中的显著漏洞。SpiderLog$团伙在采访中表示,“南非已经成为黑客们的乐园,任何人都能轻松绘制出南非的数字基础设施分布。” 据报道,SpiderLog$还向媒体提供了截图,证明自己已经能够访问敏感的军事和情报数据。 多家网络安全厂商发出警告,称黑客团伙发现的漏洞可能致使敏感军事和情报信息遭到拦截。 在其中一张截图中,SpiderLog$展示了其成功侵入的国防与国家安全部门网络邮件界面。 网络安全厂商WolfPack Information Risk与Umboko Sec也证实了SpiderLog$团伙的说法。 WolfPack Information Risk公司顾问Johan Brider表示,他们认为截图中体现的最大隐患,在于可以运行程序来获取国防部邮件访问凭证。 SpiderLog$团伙还能够识别出政府服务器、各域及互联网服务商的私有IP地址。 网络安全服务商Scarybyte公司战略主管也提到,目前企业的主流实践是使用代理服务器来隐藏IP地址,确保非必要时绝不暴露内部IP地址。 Umboko Sec公司主管Bongo Sijora则发布研究结论,认为南非政府在保护国家关键设施及部门免受网络威胁方面,至少存在18
2022年5月31日 15:50hackernews.cc
近日,在2022年世界经济论坛(WEF)年会上, 沙特国有石油巨头沙特阿美公司等18家石油和天然气公司共同做出网络弹性承诺,联合采取措施以应对网络攻击。 为了应对过去两年突显关键基础设施脆弱性的重大安全漏洞,领先的石油和天然气利益相关者呼吁整个行业应该团结起来,以阻止有害的网络攻击。 沙特阿美公司首席执行官Amin H Nasser表示:“随着世界数字化的发展,网络威胁也变得越来越复杂。如果一家公司单枪匹马地应对网络威胁,实际上就像锁上了前门,而后门却敞开着。” 如果想要真正保护全球数十亿人所依赖的关键能源基础设施,各公司必须共同努力。 世界经济论坛网络安全中心负责人Alexander Klimburg说:“网络弹性承诺首先得到了石油和天然气价值链中主要CEO的支持,这是具有里程碑意义的,因为它标志着人们意识到建立网络弹性行业生态系统的复杂性,并承诺要采取集体行动来实现这一目标。世界经济论坛网络安全中心很荣幸能够与合作伙伴一起领导这项工作,我们期待在未来将承诺扩大到其他行业。” 在世界经济论坛石油和天然气网络弹性倡议组织的支持下,该承诺旨在授权各组织采取具体措施,以提高整个行业的网络弹性。 美国知名工业网络安全公司Dragos的首席执行官兼联合创始人Robert M. Lee表示:“随着世界变得更加数字化,我们必须确保基础设施安全可靠地运行,尤其是对于工业和运营技术而言。” 哥伦比亚国有石油公司Ecopetrol的首席执行官Felipe Bayón说:“石油和天然气行业正在经历一场数字革命,这已经成为能源转型和可持续发展的催化剂。网络弹性是这场革命的关键,因为领先于漏洞是我们业务的基础。该承诺通过集体的努力,在整个能源行业嵌入网络弹性和网络风险意识文化。” 已作出承诺的组织有:挪威控股公司Aker ASA、挪威石油和天然气勘探和生产公司Aker BP、沙特阿美石油公司Aramco、以色列安全厂商Check Point、 以色列工业网络安全公司Claroty、美国工业软件创新公司Cognite、美国知名工业网络安全公司Dragos、哥伦比亚国家石油公司Ecopetrol、意大利国有能源公司Eni、英国油气公司EnQuest、葡萄牙油气公司Galp、全球弹性联盟Global Resilience Federation、意大利国际工业集团领导者Maire Tecnimont、美国西方石油公司、OT信息共享与分析中心、马
2022年5月31日 15:10hackernews.cc
近日,CloudSEK 创始人 Rahul Sasi警告称,一个新的WhatsApp OTP 骗局正在被广泛利用,攻击者可以通过电话劫持用户的账户。 整个攻击过程极为简单,攻击者打电话给用户,诱导他们拨打以405或67开头的电话号码。一旦接通后,只需要几分钟用户就对账户失去了控制权,攻击者将会接管他们的账户。听起来这似乎有点不明所以,而Sasi也在Twitter 上解释了整个攻击场景,如下图所示: 攻击具体如何实现? 根据 Sasi 的说法,攻击者诱导用户拨打的电话号码是Jio 和 Airtel 在移动用户忙时进行呼叫转移的服务请求。因此当用户拨打了号码之后,实际上会转移到攻击者控制的号码,并迅速启动 WhatsApp 注册过程以获取受害者号码,要求通过电话发送OPT。 由于电话正忙,电话被定向到攻击者的电话,从而使他能够控制受害者的 WhatsApp 帐户。这就是攻击者在注销时获得对受害者 WhatsApp 帐户的控制权的方式。 尽管该骗局目前针对的是印度的 WhatsApp 用户,但 Sasi 解释说,如果黑客可以物理访问手机并使用此技巧拨打电话,攻击者可以破解任何人的 WhatsApp 帐户。 由于每个国家和服务提供商使用的服务请求编号都有些相似,因此这个技巧可能会产生全球影响。保护自己的唯一方法是避免接听来自未知号码的电话,并且不要相信他们拨打陌生号码。 WhatsApp多次遭攻击 同样是在2022年,安全研究人员发现,恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。 云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。 研究人员说,到目前为止,攻击者发送的邮件数量已经达到了 27660 个,该攻击活动通知受害者有一个来自 WhatsApp 聊天应用程序的 ” 新的私人语音邮件 “,并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。 攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信
2022年5月31日 14:50hackernews.cc
近期,匿名者黑客组织Spid3r声称攻击了白俄罗斯政府网站,以报复白俄罗斯支持俄罗斯入侵乌克兰。该组织在推特上宣布了这一消息,并发布了与白俄罗斯国家有关的各种网站的截图,包括交通部、司法部和经济部。此外,教育部、国家法律信息中心、内政部、国家海关委员会、国家委员会网站也出现了宕机。 该组织在推文中写道:“因白俄罗斯政府参与乌克兰入侵,所以匿名者对其进行了大规模攻击,他们所有最大的政府网站都是离线的。”匿名者黑客组织一直以来都表示要对俄罗斯发动“网络战争”,据报道,该组织曾于2月入侵了俄罗斯国家电视频道,以播放来自乌克兰前线的直播。匿名者于周日宣布攻击白俄罗斯网站,不过截至目前很多被攻击的网站似乎已经重新上线了。 作为背景,白俄罗斯的Ghostwriter Group被怀疑在2月针对欧洲各国政府进行了一次网络钓鱼活动,当时欧洲各国政府正试图管理涌入的乌克兰难民。虽然Ghostwriter Group 与白俄罗斯政府之间的关系从未得到证实,但 Anonymous表示还有其他考量的因素。据报道,该国允许俄罗斯军队在攻击基辅(并被击退)之前在其边境集结,并在攻击期间为俄罗斯军队提供医疗支持。然而,匿名者并不是第一个对白俄罗斯采取措施的组织。早在 3 月,总部位于捷克的跨国网络安全软件公司Avast 就暂停了其产品在俄罗斯和白俄罗斯的销售和营销。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334838.html 封面来源于网络,如有侵权请联系删除
2022年5月30日 16:32hackernews.cc
近日网络安全专家发现了一个新型恶意网络病毒,通过在浏览器中添加恶意扩展程序让受害者点击在线广告,从而为不法分子带来收入。据网络安全商店 Red Canary 的安全专家分析,该病毒称之为 ChromeLoader,设备一旦感染就很难发现和删除。 在 Windows 平台上,该恶意病毒会使用 PowerShell 向受害者的 Chrome 浏览器添加恶意扩展;在 macOS 平台上,它使用 Bash 向 Safari 发起相同的攻击。Red Canary 的检测工程师 Aedan Russell 在博文中详细介绍了该恶意程序。 ChromeLoader 注入的恶意扩展程序一旦添加到受害者的浏览器中,就会通过在线广告重定向用户,从而为不法分子带来收入。 Russell 告诉 The Register,Windows ChromeLoader 使用 PowerShell 插入更多恶意 Chrome 扩展程序的情况并不常见。 Russell 表示: ChromeLoader 的开发人员已经找到了一种通过使用 Chrome 的合法开发人员命令行参数来收集广告收入的有效方法。 通过 PowerShell 加载 Web 浏览器扩展程序(并且默默地这样做)显示出高于标准的隐蔽性,因为其他恶意浏览器扩展程序通常是通过诱骗用户公开安装它们来引入的,通常伪装成合法的浏览器扩展程序。 ChromeLoader 通过以 ISO 文件的形式分发,该文件看起来像种子文件或破解的视频游戏,从而获得了对系统的初始访问权限。据 Red Canary 称,它通过按安装付费的网站和 Twitter 等社交媒体网络传播。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1275143.htm 封面来源于网络,如有侵权请联系删除
2022年5月30日 16:12hackernews.cc
消费者监察公司 Which? 近日表示,Chrome 浏览器无法识别绝大多数的钓鱼网站。而对于这项研究的有效性和使用方法,Google 提出了质疑。 根据 Which? 公司对新近发现的前 800 个钓鱼网站进行的研究,Windows 端 Chrome 浏览器只阻止了其中的 28%,而 macOS 端只阻止了 25%。这些数字与表现最好的浏览器 Firefox 形成鲜明对比,Firefox 在 Windows 中能将用户从这些网站中的 85% 重定向,在 Mac 上为 78%。   在发送给英国新闻媒体 The Independent 的声明中,Google 对 Which? 的调查结果持怀疑态度: 这项研究的方法和结果需要仔细审查。10 多年来,Google 一直帮助其他浏览器制定反钓鱼标准–并免费提供基础技术。Google 和 Mozilla 经常合作以提高网络的安全性,Firefox 浏览器主要依靠 Google 的 Safe Browsing API 来阻止网络钓鱼–但研究人员表示,Firefox 浏览器提供的网络钓鱼保护明显多于Chrome。使用相同技术检测网络钓鱼的浏览器在其提供的保护水平上存在有意义的差异是非常不可能的,因此我们对这份报告的发现仍然持怀疑态度。 网络钓鱼骗局几乎和互联网一样久远。它们通常采取电子邮件或短信的形式,其中有伪装成任何数量的合法公司的官方登录页面的欺诈性网站链接。Chrome、Firefox和其他浏览器试图过滤掉这些可疑的网站。 网络钓鱼骗局在用户层面最容易得到缓解。消费者应该对要求提供信息或要求他们登录某个网站的未经请求的电子邮件持怀疑态度,无论该电子邮件或网站看起来多么正式。糟糕的语法或拼写以及不寻常的URL是其他明显的迹象,表明电子邮件并非真正来自银行或其他用户经常访问的网站。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1274521.htm 封面来源于网络,如有侵权请联系删除
2022年5月30日 15:32hackernews.cc
EnemyBot是一个基于多个恶意软件代码的僵尸网络,它通过迅速增加对最近披露的网络服务器、内容管理系统、物联网和Android设备的关键漏洞的利用来扩大其影响范围。该僵尸网络于3月由 Securonix 的研究人员首次发现,在4份对Fortinet的新样本进行分析时,发现EnemyBot已经集成了十几种处理器架构的漏洞。它的主要目的是发起分布式拒绝服务 (DDoS) 攻击,同时还具有扫描新目标设备并感染它们的模块。 AT&T Alien Labs的一份新报告指出,EnemyBot的最新变体包含24个漏洞利用。其中大多数都很关键,有几个甚至没有CVE编号,这使得防御者更难以实施保护。4月份的多数漏洞与路由器和物联网设备有关,其中 CVE-2022-27226 (iRZ) 和 CVE-2022-25075 (TOTOLINK) 是最新的漏洞,而Log4Shell是最引人注目的。然而,AT&T Alien Labs 分析的一个新变种包括针对以下安全问题的漏洞利用: CVE-2022-22954:影响VMware Workspace ONE Access和VMware Identity Manager的严重 (CVSS: 9.8) 远程代码执行漏洞。PoC漏洞利用于2022年4月提供。 CVE-2022-22947:Spring中的远程代码执行漏洞,在 2022年3月修复为零日漏洞,并在 2022 年4月成为大规模攻击目标。 CVE-2022-1388 :影响F5 BIG-IP的严重 (CVSS: 9.8) 远程代码执行漏洞,通过设备接管威胁易受攻击的端点。第一个PoC于2022年5月在野外出现,并且几乎立即就开始被积极利用。 通过查看较新版本的恶意软件支持的命令列表,RSHELL脱颖而出,它被用于在受感染的系统上创建反向shell,这允许威胁参与者绕过防火墙限制并访问受感染的机器。而以前版本中看到的所有命令仍然存在,且提供了有关 DDoS 攻击的丰富选项列表。 EnemyBot背后的组织Keksec正在积极开发该恶意软件,并拥有其他恶意项目:Tsunami、Gafgyt、DarkHTTP、DarkIRC 和 Necro。这似乎是一位经验丰富的恶意软件作者,他对最新项目表现出特别的关注,一旦出现新的漏洞利用,通常会在系统管理员有机会应用修复之前添加。更糟糕的是,AT&T 报告称,可能与 Keks
2022年5月30日 15:12hackernews.cc
5月30日,亲俄黑客组织KillNet于5月30日再次对意大利政府发出威胁,称将对其发动史无前例的大规模攻击。 KillNet组织于2022年2月25日开始运作,自俄乌战争爆发以来它一直相当活跃,先后同知名黑名组织“匿名者”(anonymous)与西方国家宣战。这个组织拥有自己的Telegram频道,并拥有数万名成员。 安全组织Cyberknow的研究人员公布了一份KillNet组织实施攻击的时间表: 据CyberKnown推测,该组织拥有一个半正式的结构化组织——KillNet Order of Battle (ORBAT)。“我们在组织内部观察到不同级别的任务优先级和命令行,这就表明,不管他们的复杂程度如何,他们都有一个健全的指挥和控制结构”,CyberKnown在发表的分析报告中这样写道。 意大利一直是KillNet组织的主要目标之一,组织不断呼吁其成员采取行动向他们提供一份意大利的目标名单,包括银行、媒体、能源公司等。只是在此之前,攻击还没有给意大利实体造成任何大麻烦,仅在一次攻击后造成三个政府网站无法访问。 而如今,KillNet组织宣布将对意大利发动大规模攻击,计划的攻击时间在5月30日,5点。Killnet在其Telegram上发布消息:“5月30日- 5点,会合点是意大利!” 此外,该组织还写道,“我们一直对一个问题很感兴趣:俄罗斯政府真的总体上支持我们的活动吗?既然我们和“匿名者”的战争将对意大利造成不可挽回的打击。我们是否至少会让故土上人们记住我们呢?” 对此,意大利网络安全事件应变小组 (CSIRT)已发布警告,针对国家机构组织的网络攻击的潜在风险已被确认。 关于本次攻击的后续,Freebuf将持续追踪报道,敬请期待……   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334713.html 封面来源于网络,如有侵权请联系删除
2022年5月30日 14:52hackernews.cc
据Bleeping Computer消息,来自纽约的37岁的男子John Telusma因在跨国网络犯罪组织运营的Infraud卡片门户上出售、使用被盗和受损信用卡、个人信息、财务信息而被判处四年有期徒刑。此外,该网络犯罪组织还有35人也因为相同的罪名被抓捕、判刑。 资料显示,Infraud Organization是一家基于互联网的网络犯罪企业,主要从事大规模收购、售卖和散播已被盗取的身份信息,被盗取密码的借记卡、信用卡、个人信息、财务和银行信息,计算机恶意软件等非法买卖。 2018年2月7日,法院提交的刑事起诉书详细解释了四年前每一位被告的具体信息。 根据法庭发布的文件,Telusma于2011年8月加入Infraud Organization,并一直参与该组织的网络犯罪行为,直至2017年上半年。他是 Infraud 门户网站中最多产、最活跃的供应商之一,曾大规模收购、售卖信用卡,并未其他成员提供“删除”和“兑现”服务。 其余部分在美国被判刑的欺诈成员如下: Infraud 联合创始人Sergey Medvedev——被判处 10 年监禁; 恶意软件开发者Valerian Chiochiu——被判处 10 年监禁; 核心成员 Arnaldo Sanchez Torteya — 被判 8 年监禁; 核心成员埃德加·罗哈斯——被判处八年徒刑; ATM撇渣器 Jose Gamboa — 被判 8 年监禁; 核心成员 Pius Wilson — 被判处7年徒刑。 大肆出售被盗的身份信息和财务信息 根据诉书中的内容,Infraud团体于2010年建立。在“我们信任诈骗”口号的宣扬之下,该集团指挥其成员中的贸易买手和潜在买家到各个自动售卖点去,为盗取身份信息、财务和银行信息、恶意软件和其他非法物品提供在线渠道。 在拉斯维加斯大陪审团恢复该团伙敲诈勒索阴谋罪和其他罪名的起诉后,联邦、内华达州、拉斯维加斯当地和全国各地执法部门的官员在全美和包括澳大利亚、英国、法国等在内的六个国家将13名嫌犯抓捕归案。 司法部代理助理检察长克罗南说:“今天的起诉和逮捕行动是司法部处理过的最严重的网络诈骗案件之一。” 据Infraud团伙的成员交代,该诈骗集团已导致用户、商家、金融机构等发生高达5.3亿美元的实际损失,他们计划要达到的诈骗金额甚至超过了22亿美元。 而犯罪分子想要加入Infraud Organization组织,都必须要得到I
2022年5月30日 14:12hackernews.cc
5月27日,微软365 Defender 研究团队披露了在 mce Systems 提供的 Android Apps 移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。 研究人员发现的漏洞被追踪为CVE-2021-42598、  CVE-2021-42599、  CVE-2021-42600和 CVE-2021-42601, CVSS评分在 7.0分-8.9分之间, 能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。 研究人员发现该框架有一个“BROWSABLE”服务活动,可以远程调用以利用多个漏洞,攻击者可以利用这些漏洞来植入持久性后门或对设备进行实质性控制。 这些带有漏洞的应用程序嵌入在设备的系统映像中,表明它们是这些运营商提供的预装软件。如同现在大多数 Android 设备附带的许多预装或默认应用程序一样,如果没有获得设备的 root 访问权限,一些受影响的应用程序就无法完全卸载或禁用。 在微软公开披露这些漏洞之前,mce Systems 已修复问题并向受影响的提供商提供框架更新,但研究人员发现一些运营商仍在使用之前存在漏洞的框架版本,如果用户安装了包名为 com.mce.mceiotraceagent的应用,其设备也可能会受到试图滥用这些漏洞的攻击,建议用户及时清除这些应用,并更新至最新的系统版本。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334690.html 封面来源于网络,如有侵权请联系删除
2022年5月30日 12:12hackernews.cc
根据路透社报道,与俄罗斯有关的网络威胁攻击者支持一个名为 Very English Coop d’Etat 的新网站,该网站发布了英国脱欧支持者泄露的电子邮件。 据谷歌网络安全员和英国前外国情报部门负责人称,“Very English Coop d’Etat”网站的设立是为了发布英国脱欧支持者的私人电子邮件。其中比较知名的包括前英国军情六处负责人理查德·迪尔洛夫、英国脱欧活动领袖吉塞拉·斯图尔特、和历史学家罗伯特·汤姆斯等。 路透社强调,目前已经有泄密受害者证实了这些信息的真实性,并透露泄密活动与俄罗斯黑客有关。 泄密网站与俄罗斯黑客组织有关 谷歌威胁分析小组(TAG)负责人谢恩-亨特利(Shane Huntley)告诉路透社,该网站与俄罗斯一个名为 Cold River(又名 Coldriver 或 Callisto)的黑客组织有关。 路透社指出,目前尚不清楚该网站是如何获得这些敏感邮件,经过专家分析发现,大多数被盗邮件是使用 ProtonMail 发送的。 值得一提的是,”English Coop “网站中提出了各种奇奇怪怪的指控,其中一项指控称,迪尔洛夫是英国强硬脱欧派的中心人物,围绕他的这些人想要推翻在 2019 年初与欧盟谈判达成脱欧协议的英国前首相特雷莎-梅,以立场更强硬的约翰逊取代她。 据路透社透漏,迪尔洛夫表示应该“谨慎”处理这些电子邮件,他认为这些电子邮件涉及的都是合法的“游说活动”,但是以目前这种对立的视角来看,已经受到了扭曲。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334676.html 封面来源于网络,如有侵权请联系删除