当前节点:hackernews.cc
时间节点
2022年5月16日 14:10hackernews.cc
近日,一个名为“Killnet”的亲俄黑客团伙对多个意大利机构网站发动了攻击,其中包括参议院、国家卫生研究院,国家汽车协会,即国家驾驶员协会。国防部的网站也无法访问,但官员们却表示,无法访问是“由于该网站正在进行一项计划已久的维护活动”。此后,意大利当局证实,这些攻击并未造成数据泄露或其他损害。 “Killnet”团伙自俄乌战争以来就宣布支持俄罗斯,并对包括罗马尼亚政府机构和美国布拉德利机场在内的西方国家发动过袭击。值得一提的是,在本次攻击浪潮席卷意大利的时候,总理马里奥·德拉吉(Mario Draghi)正在华盛顿进行国事访问。 意大利警方已对袭击事件开展调查,而国家计算机安全事件响应小组(CSIRT)证实了这些网站遭到DDoS攻击。CSIRT警告称,黑客发起的是慢速POST DDoS攻击,这种攻击非比寻常,因此很难被发现。 Killnet在其Telegram频道上发布了一条消息,提示了进一步攻击的可能: “亲爱的意大利和西班牙媒体。 Killnet实际上并没有像攻击罗马尼亚那样攻击你们的国家。如果这种情况发生,那么1945年 4月29日,也就是你们投降的那一天,将会很快重演。我们的军队在你们国家进行军事网络演习,以提高他们的技能。一切都与你们的行为如此相似——意大利人和西班牙人正在学习如何在乌克兰杀人,而我们的军地正在学习如何杀死你们的服务器!你应该明白这只是训练,所以请不要大喊救命。我们已经对有关袭击参议院的新闻感到厌倦,我向你保证,我们的网络军队将很快在你们的领土上完成训练,我们将继续进攻。这会非常突然且迅速地发生。” 被攻击的网站名单被分享在亲俄黑客组织“The Legion”的Telegram频道上,该组织主要攻击西方组织和政府,包括北约国家和乌克兰。此外,“The Legion”还对今年在意大利都灵举行的欧洲歌唱大赛发动过攻击。 目前,还不清楚“The Legion”和“Killnet”两个团伙之前的确切关系。 其实,自俄罗斯入侵乌克兰开始以来,考虑到两国之间的网络争端可能会蔓延,意大利网络安全机构ACN已将警戒级别提高。 除了上述的机构网站之外,意大利的基础设施也在最近频繁遭受重大网络攻击,包括医院和意大利国有铁路公司(Ferrovie dello Stato Italiane)。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333230.html 封
2022年5月16日 12:10hackernews.cc
近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OlhWd2G
2022年5月16日 11:30hackernews.cc
微软安全情报团队5月13日在推特上表示,Sysrv 僵尸网络的新变种——Sysrv-K,正在利用 Spring Framework 和 WordPress 中的漏洞,在易受攻击的 Windows 和 Linux 服务器上和部署加密恶意软件。 作为新变种,Sysrv-K,具有更加强大的功能,能够扫描互联网以查找具有各种漏洞的 Web 服务器并自动进行安装,比如,它会扫描 WordPress 配置文件及其备份以检索数据库凭证,从而获得对 Web 服务器的控制权。与旧版本一样,Sysrv-K 扫描 SSH 密钥、IP 地址和主机名,然后尝试通过 SSH 连接到网络中的其他系统以部署自身的副本,这可能会导致网络的其他部分面临成为 Sysrv-K 僵尸网络一部分的风险。 此外,微软专家还观察到Sysrv-K支持新的通信功能,包括能够使用 Telegram 机器人。 目前这些能够被利用的漏洞已通过安全更新进行了修复,包括 WordPress 插件中的旧漏洞,以及 CVE-2022-22947 等较新的漏洞。CVE-2022-22947 是 Spring Cloud Gateway 库中的一个代码注入漏洞,可被滥用在未打补丁的主机上执行远程代码。 Sysrv僵尸网络从2020年12月起开始活跃,并被阿里云首次发现。随后Sysrv活动的激增也引起起了 Lacework Labs 和Juniper Threat Labs网络威胁实验室安全研究人员的注意。为了侵入这些 Web 服务器,Sysrv利用了 Web 应用程序和数据库中的缺陷,例如 PHPUnit、Apache Solar、Confluence、Laravel、JBoss、Jira、Sonatype、Oracle WebLogic 和 Apache Struts。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333201.html 封面来源于网络,如有侵权请联系删除
2022年5月16日 10:10hackernews.cc
导语:威胁攻击者在最近的一个攻击活动中针对Office 365和Google Workspace账号进行攻击,同时使用了一个与莫斯科的一个道路安全中心有关的合法域名来发送诈骗信息。 研究人员发现,恶意攻击者在钓鱼活动中伪造了来自WhatsApp的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。 云电子邮件安全公司Armorblox的研究人员发现了攻击者针对Office 365和Google Workspace账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。 研究人员说,到目前为止,攻击者发送的邮件数量已经达到了27,660个,该攻击活动通知受害者有一个来自WhatsApp聊天应用程序的 “新的私人语音邮件”,并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。 Armorblox研究人员在帖子中写道,这种攻击采用了一系列的技术,并且成功避开了传统的电子邮件安全软件,成功打消了用户的所有顾虑。 攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击;通过伪造WhatsApp合法品牌,利用合法的域名来发送电子邮件。 它是如何运作的 在此次攻击活动中,受害者会收到一封标题为 “新来的语音信息” 的电子邮件,其中的电子邮件正文标题也和该标题一样。邮件正文还伪造了一条来自WhatsApp的安全信息,并告诉受害者他或她收到了一个新的私人语音邮件,其中还包括了一个 “播放” 按钮,据称他们可以收听该信息。 他们说,电子邮件发件人的域名是”mailman.cbddmo.ru”,Amorblox的研究人员将其链接到了莫斯科地区道路安全中心的网页上,这是一个合法的网站,这样可以使得电子邮件能够通过微软和谷歌的认证检查。然而,他们也承认,攻击者也有可能利用了这个组织的废弃的或旧的域名来发送恶意邮件。 根据该帖子,如果收件人点击了电子邮件的 “播放 “链接,他或她就会被重定向到一个试图安装JS/Kryptik木马的页面,该HTML页面中嵌入了恶意的经过混淆的JavaScript代
2022年5月13日 16:30hackernews.cc
加拿大、德国军方的独家战机培训供应商Top Aces透露,已遭到LockBit勒索软件攻击; LockBit团伙的官方网站已经放出要求,如不支付赎金将公布窃取的44GB内部数据; 安全专家称,针对国防相关企业的攻击令人担忧,因为“无从得知被盗数据最终会落入哪里”,很可能流入对手国家; LockBit是目前最流行的勒索软件即服务平台之一,据统计今年已攻击了至少650个目标组织。 专门为空军提供战斗机培训服务的的加拿大公司Top Aces(顶级王牌)表示,已经遭到勒索软件攻击。 该公司在周三(5月11日)的一份声明中证实,正在对攻击事件开展调查。 Top Aces公司总部位于蒙特利尔,是“加拿大与德国武装部队的独家空中对抗演习供应商”,而它的名字已经出现在LockBit勒索软件团伙的泄密网站上。 图:LockBit受害者页面截屏。 Top Aces由一群前战斗机飞行员于2000年创立,号称拥有“全球规模最大的私营作战战斗机群”。 除了与加拿大、德国、以色列等国合作之外,该公司还在2019年同美国空军签署了一份利润丰厚的合同。合同中明确提到,Top Aces负责提供用于防御俄罗斯武器的训练工具。 安全厂商Emsisoft的威胁分析师Brett Callow指出,针对国防相关企业的攻击令人担忧,因为“无从得知被盗数据最终会落入哪里”。 Callow表示,“即使当前攻击背后只是一群以营利为目的的恶意黑客,他们仍有可能将数据以出售或其他形式提供给第三方,包括对手国家政府。” “近年来,国防工业基础领域的企业已先后遭遇多次攻击,政府必须找出一种可行的供应链安全增强方法。” Callow还提到,此前洛克希德马丁公司的零部件供应商Visser Precision,为美国民兵III洲际导弹等核威慑武器提供支持的军事承包商Westtech International,都遭遇过网络攻击。 LockBit勒索软件团伙给出的最后期限为5月15日,如果届时Top Aces仍未支付赎金,则泄露据称总计44 GB的失窃数据。 LockBit已成为最活跃勒索软件之一 LockBit是目前最为活跃的勒索软件团伙之一,仅在过去一年就发动了数百次攻击,并且愈发猖獗。据Recorded Future统计数据,2022年他们已经攻击了至少650个组织。 该团伙最近又犯下了两起轰动一时的大案,分别是一家流行的德国图书馆服务、巴西里约热内卢财政系统。 2021年
2022年5月13日 16:10hackernews.cc
美国东部时间 5月11日晚上7点11分,全球最大的游戏开发商和发行商动视暴雪在推特上表示,其战网服务正遭受DDoS攻击,“可能会导致某些玩家出现高延迟和连接中断的情况”。8:29分,在推文发出一个多小时后,该公司宣布恶意攻击已经结束。 根据Downdetector的用户报告,玩家在《守望先锋》《魔兽世界》《使命召唤》和《暗黑破坏神III》等游戏中都遇到了问题。目前已有24,971份报告,其中报告最多的问题是服务器连接(63%),其次是登录(34%)和更新(3%)问题。 此类事件时常发生,开发商很难为任何潜在的攻击做好充分的准备。动视暴雪所能做的就是尽快控制局势。 去年11月遭受的DDoS攻击 2021年11月,动视暴雪也遭到了来自外部的DDoS攻击,导致其服务器运行缓慢,玩家难以进入到游戏之中。期间尝试登录的玩家,也能够PC战网客户端上看到“突发新闻”相关条目。 攻击发生后,在服务器检测网站DownDetector上,动视暴雪的许多服务和产品都发布了服务中断公告。有数千位玩家报告称排不上队,也有数百位玩家报告部分暴雪游戏掉线。 经过调查发现,黑客选择了该公司旗下经过验证的客服推特账号作为突破口,发起持续大约一个小时的DDoS攻击。 据悉,2021年11月的攻击事件是一个名为Poodle Corp的黑客组织所为,该组织在2021年8月也曾对战网发起过DDoS攻击。Poodle Corp通过Twitter表示,在暴雪刚发布《魔兽世界》的最新资料片时,就盯上了暴雪的服务器,将在转推数量超过2000之后停止对战网的攻击。 Poodle Corp是LizardSquad黑客组织的分支,后者曾多次攻击过微软的Xbox平台、索尼的PS平台以及暴雪的战网(Battle.net)平台。Poodle Corp主要针对游戏服务器发起攻击,因为游戏是受到DDoS攻击影响最大的行业。相关数据显示,在2021年,有近一半的DDoS攻击是针对游戏行业发起的,即使是微软、索尼、暴雪等巨头公司,也无法避免遭到此类攻击。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/tuq3YrnhLxmJm9UQSiB8dw 封面来源于网络,如有侵权请联系删除
2022年5月13日 15:50hackernews.cc
研究人员发现,这个对美国公用事业进行网络间谍攻击的威胁集团实际上是由三个子集团组成的,他们都有自己的工具集和攻击目标,自2018年以来就一直在全球运作。 TA410是一个伞式网络间谍组织,根据安全公司ESET的研究人员本周发表的一份报告,该组织不仅针对美国的公共事业部门进行攻击,而且还会针对中东和非洲的外交组织进行攻击。 虽然它从2018年以来就一直很活跃,但TA410直到2019年才首次被研究人员发现。当时研究员发现了一个针对公用事业部门进行攻击的网络钓鱼活动,该活动使用了一种当时被称为LookBack的新型恶意软件。 大约一年后,该威胁组织再次出现,对美国公共事业部门的Windows目标部署了一个被称为FlowCloud的RAT,其被认为是Lookback的进化版,它可以访问已安装的应用程序并控制受感染计算机的键盘、鼠标、屏幕、文件、服务和进程等。该工具还可以将敏感信息渗透到命令和控制(C2)服务器内。 现在,ESET的研究人员发现,TA410并不是只有一个人,实际上是由三个威胁行为者组成的。他们是FlowingFrog、LookingFrog和JollyFrog。每个小组都使用了非常相似的战术、技术和程序(TTPs),但工具集不同,攻击源来自三个不同地区的IP。 研究人员说:”他们都针对TTPs和网络基础设施进行攻击,他们还会用各种方式破坏全球的目标,主要包括政府或教育组织等,这表明攻击者是有针对性的,并且攻击者会选择使用最好的方式进入到系统内部进行渗透。” 研究人员发现,这些攻击方式包括利用新版本的FlowCloud以及使用最近已知的微软Exchange远程代码执行漏洞、ProxyLogon和ProxyShell,包括其他定制的和通用的网络武器。 FlowingFrog 研究人员分析了每个子集团的活动,包括他们使用的工具和他们所针对的受害者的类型。他们还发现了这些攻击者在工作中的重叠部分。 Flowing Frog与JollyFrog共享网络基础设施,特别是ffca.caibi379[.com]域名。研究人员说,它还与LookingFrog一起开展了研究员在2019年发现的网络钓鱼活动。 研究人员发现,该子集团有自己特定的攻击模式,并专门针对特定的目标群体–即大学、南亚国家驻中国的外交使团和印度的一家矿业公司,进行攻击活动。 FlowingFrog会使用第一阶段的攻击武器,ESET
2022年5月13日 15:50hackernews.cc
联邦调查局日前发出警告声称,在2016年6月到2021年12月期间,商业电子邮件妥协(BEC)攻击案件所涉的金额为430亿美元。根据联邦调查局的报告,该机构的互联网犯罪中心(IC3)一共收到了241,206起投诉。 BEC或电子邮件帐户妥协(EAC)是一种先进的诈骗技术,不仅针对企业员工,也针对他们为之工作的企业。而诈骗的手段则包括社交工程,作为破坏合法企业或个人电子邮件帐户或进行未经授权的资金转移的手段。联邦调查局还警告说,该骗局的另一个流行变体包括收集个人身份信息(PII),以实施额外的欺诈行为,比如与税收有关的诈骗和违反加密货币钱包。 BEC/EAC诈骗统计 据IC3称,美国所有50个州和177个国家都报告了存在BEC的诈骗受害者。此外,140个国家收到了欺诈性转账信息。IC3显示,位于泰国和香港的银行是欺诈资金的主要目的地,其次就是中国、墨西哥和新加坡。 在IC3的公共服务公告中,与非美国受害者相比,美国受害者的损失就要大得多。在2013年10月至2021年12月期间,共有116401名美国受害者报告总损失1480亿美元,而同期,5260名非美国公民报告损失为12.7亿美元。 联邦调查局认为,2019年7月至2021年12月期间,BEC诈骗激增65%的原因部分可能归因为疫情造成的。因为疫情对于正常的商业线下活动施加了限制,使得大部分的商业活动都转向了虚拟模式。 据IC3报告称:在2019年7月至2021年12月期间,已确定的全球暴露损失增加了65%,而美元损失意味着上述损失包括以美元计算的实际和未遂损失。IC3补充说:“这一增长部分归因于新冠肺炎大流行期间对正常商业行为的限制,这导致更多的工作场所和个人以虚拟方式开展日常业务。” 与加密货币相关的BEC欺诈 IC3在公共服务公告中提到,他们收到了越来越多的BEC涉及加密货币的投诉。 加密货币是一种使用加密算法保护金融交易的虚拟资产,现已在2021年11月具有了3万亿美元的市值。因此对与加密货币相关的匿名客户进行攻击在非法威胁行为者中很受欢迎,并致使他们积极地进行与加密相关的欺诈。 IC3报告了涉及加密货币的BEC骗局的两种不同变体。第一个是直接转移到加密货币交易所(CE),这与传统的BEC欺诈类似。另一个涉及加密货币交易所的所谓“第二跳”。在第二跳传输中,受害者受到欺诈,向威胁行为者提供许可证或护照等识别信息,攻击者使用这些信息以受害者的名义打开加密货币钱
2022年5月13日 15:50hackernews.cc
你是否拥有一台惠普笔记本电脑、台式机或PoS PC?那么你可能需要确保其BIOS是最新的。该公司刚刚为200多个设备型号发布了更新,修复了UEFI固件中的两个高严重级别漏洞。据Bleeping Computer报道,惠普已经就潜在的安全漏洞发出警告,这些漏洞可能允许以内核权限执行任意代码,这将使黑客能够进入设备的BIOS并植入恶意软件,而这些恶意软件无法通过传统的杀毒软件或重新安装操作系统来清除。 这两个漏洞–CVE-2021-3808和CVE-2021-3809–的CVSS 3.1基本得分都是8.8分的高严重程度。 惠普公司没有透露关于这些漏洞的任何技术细节。这一点留给了安全研究员尼古拉斯-斯塔克,他发现了这些漏洞。 斯塔克写道:”这个漏洞可能允许攻击者以内核级权限(CPL==0)执行,将权限提升到系统管理模式(SMM)。在SMM模式下执行操作,攻击者就可以获得对主机的全部权限,从而进一步实施攻击。” Starke补充说,在一些惠普机型中,有一些缓解措施需要被绕过才能使漏洞发挥作用,包括惠普的Sure Start系统,该系统可以检测到固件运行时间被篡改的情况。 受该漏洞影响的设备相当广泛,包括商务笔记本电脑,如Elite Dragonfly、EliteBooks和ProBooks;商务台式电脑,包括EliteDesk和EliteOne;零售点专用电脑,如Engage;台式工作站电脑(Z1、Z2系列);还有四个瘦客户端电脑。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268631.htm 封面来源于网络,如有侵权请联系删除
2022年5月13日 15:10hackernews.cc
Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如: ./wp-includes/js/jquery/jquery.min.js ./wp-includes/js/jquery/jquery-migrate.min.js “ 根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ” 在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。 据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。” 对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/333044.html 封面来源于网络,如有侵权请联系删除
2022年5月13日 14:50hackernews.cc
hackread 资讯网站消息,两台配置错误的 ElasticSearch 服务器共暴露了约 3.59(35 9019902)亿条记录,这些记录在 SnowPlow Analytics 开发的数据分析软件帮助下收集而来。 Website Planet 的 IT 安全研究人员发现了两台暴露的 ElasticSearch 服务器,经过研究,确定服务器使用的是软件供应商SnowPlow Analytics开发的开源数据分析软件,尚不清楚属于那个组织。 数据分析软件允许公司在其网站访问者不知情的情况下跟踪和存储信息。值得注意的是,网络分析工具可以收集多种数据指标,然后使用这些数据为网站访问者创建一个广泛、详细的个人资料库。 配置错误的 ElasticSearch 服务器案例 据研究人员称,这两个 ElasticSearch 服务器没有任何加密或用户验证措施,意味着任何人都可以在不需要密码的情况下访问这些数据。 这两个不安全的、配置错误的服务器最终暴露了大约 579.4GB 的用户记录数据(359019902条)。暴露的服务器包含网络用户流量的详细日志,主要包括以下内容。 推荐人页面 时间戳IP 地理定位数据 访问的网页 网站访问者的用户代理数据 被曝光数据的细节 从 Website Planet 发表的文章来看,两台服务器暴露的用户数据都集中在 2021 年两个月份里。 第一个服务器主要包含了 2021 年 9 月的数据,共 24728328 条记录,约 389.7GB(2021 年 9 月 2 日和 10 月 1 日之间收集的数据)。 第二台服务器主要包含了 2021 年 12 月的数据,共 116291574 条记录,约 189.7GB(2021 年 12 月 1 日和 2021 年 12 月 27 日之间收集的数据)。 1500 万用户可能受到影响 经过进一步分析,研究小组指出,大约 4 到 100 条用户记录出现在两台服务器上,并且鉴于每个用户有多个日志,这种暴露可能会影响至少 1500 万人。 值得注意的是,攻击者能够利用暴露的用户配置文件服务器日志定位人员,并通过用户的 IP 地址过滤用户。这意味着所披露的信息允许攻击者获得有关用户的数字轨迹信息,例如网页浏览偏好和其他活动。 另外,研究人员表示,这些服务器在被发现时依旧处于活动状态,并一直在积极更新信息。错误配置服务器背后的运营公司应该对数据暴露事件负责,E
2022年5月13日 14:50hackernews.cc
据Bleeping Computer网站5月12日消息,目前,在网络上出现了一个名为“Eternity “(永恒不朽)的恶意软件即服务项目,威胁参与者可以购买恶意软件工具包,并根据所进行的攻击使用不同的模块进行定制。 这个模块化的工具包包括了信息窃取器、挖矿器、剪切板、勒索软件程序、蠕虫传播器以及即将上线的 DDoS攻击机器人,其中的每一个模块都单独购买。目前,该工具包正在一个 拥有 500 多名成员的专用 Telegram 频道上进行推广,发布者在该频道上会发布更新说明、使用说明并讨论相关的使用建议。对于那些购买了恶意软件工具包的人,可以在选择他们想要激活的功能并使用加密支付后,利用 Telegram Bot 自动构建二进制文件。 Eternity提供的主要模块 工具概览 以包年为时间单位,这些不同模块价格差异也往往较大: 挖矿器:90美元/年,具有隐藏任务管理器、进程被杀死时自动重启和启动持久性的功能; 剪切板:110 美元/年,是一种实用程序,可监视剪贴板中的加密货币钱包地址,以将其替换为攻击者自身的钱包; 信息窃取器:260 美元/年,能窃取存储在 20 多个网络浏览器中的密码、信用卡、书签、令牌和cookie 等数据; 蠕虫传播器: 390 美元/年,使恶意软件能够通过 USB 驱动程序、本地网络共享、本地文件、云驱动器、Python 项目(通过解释器)、Discord 帐户和 Telegram 帐户自行传播; 勒索软件程序:490 美元/年,能够针对文档、照片和数据库使用 AES 和 RSA 组合的离线加密。开发者声称它是 FUD(完全无法检测到),并且能够设置一个倒计时器,使文件在到期时完全无法恢复,以给受害者带来额外的压力,迫使他们迅速支付赎金。 勒索软件倒计时器 发现Eternity 项目的Cyble 分析师认为,虽然他们还没有机会检查所有模块,但他们已经看到恶意软件的样本在野外传播和使用,并且在Telegram上已经搜集到了一些真实的威胁反馈。 通过查看窃取器模块,Cyble 分析师发现与 Jester Stealer 有几个相似之处,两者都可能源自一个名为DynamicStealer的 GitHub 项目。因此,Eternity很可能是该代码的副本,通过进行修改和更名后在Telegram 上出售。 由于这些模块支持自动化构建,并对如何使用进行了详细说明,使其能够成为“新手”黑客手
2022年5月13日 14:30hackernews.cc
Bleeping Computer 网站披露,网络安全研究人员发现一个名为 Nerbian RAT 的新型恶意软件,它具有逃避研究人员检测和分析的能力。 Proofpoint 的安全研究人员首先发现该新型恶意软件,并发布了一份关于新型 Nerbian RAT 恶意软件的报告。 据悉,新型恶意软件变体采用 Go 语言编写,使其成为跨平台的64位威胁。目前,该恶意软件通过使用宏文档附件的小规模电子邮件分发活动进行传播。 冒充世界卫生组织 恶意软件背后的操纵者冒充世界卫生组织(WHO),分发 Nerbian RAT 恶意软件,据称该组织正在向目标发送COVID-19信息。 最新活动中看到的钓鱼邮件(Proofpoint) RAR  附件中包含带有恶意宏代码的 Word 文档,如果在 Microsoft Office 上打开,并将内容设置为 “启用”的话,一个 bat 文件会执行 PowerShell 步骤,下载一个 64 位的 dropper。 这个名为 UpdateUAV.exe 的 dropper 也采用  Golang  编写,为了保证其大小可控,被打包在 UPX 中。 在部署 Nerbian RAT 之前,UpdateUAV 重用来自各种 GitHub 项目的代码,以整合一组丰富的反分析和检测规避机制。除此以外,该投放器还通过创建一个预定任务,每小时启动该 RAT 来建立持久性。 Proofpoint 将反分析工具列表总结如下: 检查进程列表中是否存在反向工程或调试程序 检查可疑的 MAC 地址 检查 WMI 字符串,看磁盘名称是否合法 检查硬盘大小是否低于 100GB,这是虚拟机的典型特征 检查进程列表中是否存在任何内存分析或篡改检测程序 检查执行后的时间量,并与设定的阈值进行比较 使用 IsDebuggerPresent API 来确定可执行文件是否正在被调试。 所有上述这些检查使 RAT 实际上不可能在沙盒、虚拟化环境中运行,从而确保恶意软件运营商的长期隐蔽性。 Nerbian RAT 的功能特点 Nerbian RAT 恶意软件以 “MoUsoCore.exe “形式下载,之后保存到 “C:\ProgramData\USOShared\”中,支持多种功能,背后操作者可以任意选择配置其中的一些功能。 值得注意的是,它具有两个显著功能,
2022年5月12日 17:51hackernews.cc
近日,五眼情报联盟成员对管理服务提供商(MSPs)及其客户发出了警告,提醒他们可能正越来越多地成为供应链攻击的目标。对此,来自五眼国家的多个网络安全和执法机构(包括NCSC-UK、ACSC、CCCS、NCSC-NZ、CISA、NSA和FBI)共享了对MSPs的安全指南,以保护网络和敏感数据免受日益增长的网络威胁。 “英国、澳大利亚、加拿大、新西兰和美国的网络安全当局预计,各种恶意网络攻击者,包括由国家支持的APT组织,将加大对MSPs的攻击力度,以利用供应商与客户的网络信任关系”,五眼联盟的联合公告中这样写道,“成功入侵 MSPs的攻击者可能会针对整个MSPs的客户群发起后续攻击,例如勒索软件和网络间谍攻击。” 其实,在过去几年中,五眼联盟的网络安全主管部门一直不定期地向MSPs及其客户提供一般指导建议,只是如今除了指导建议更进一步提出了具体措施。 MSPs及其客户可采取的关键的战术行动可概括为如下3点: 识别和禁用不再使用的帐户。 对访问客户环境的MSP帐户强制执行MFA(失灵警报信号),并对无法解释的身份验证失败进行监视。 保证MSP客户合同透明地确认信息和通信技术(ICT)安全角色和职责所有权。 美国网络安全与基础设施网络安全局(CISA)主任Jen Easterly在接受采访时表示:“我们知道,易受攻击的MSPs会显著增加其支持的企业和组织的下游风险。因此,确保MSPs的安全对我们的集体网络防御至关重要,CISA以及我们的跨机构和国际合作伙伴正致力于加强其安全性并提高我们全球供应链的弹性。” 值得一提的是,在一年前,英国政府就防范软件供应链攻击和加强全国IT管理服务提供商网络安全防御的议题公开征求过建议。而就在不久前,美国总统拜登也发布了一项行政命令,以实现美国防御网络攻击的现代化。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332915.html 封面来源于网络,如有侵权请联系删除
2022年5月12日 17:51hackernews.cc
5月9日,Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示,臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后再度开始活动。 研究人员对新发现的样本进行分析,发现在短时间内已经出现多个修改过的新版本,表明 REvil 再次处于积极的开发过程中。 4月20日,REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机,这是一个明显的复苏信号,网络安全公司 Avast 在一周后披露,他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。 根据对另一个时间戳为3月11日的样本源代码进行检查,发现与2021年10月的样本相比已经有了明显的更改,包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新,并修订了赎金记录中显示的 Tor 域,与上个月发现的新 Tor 域相匹配: REvil 泄露站点:blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion REvil 赎金支付网站:landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion 2022 年 3 月样本中的字符串解密逻辑更改(资料来源:Secureworks) 作为一种勒索软件即服务 (RaaS),REvil是最早采用双重勒索计划的组织之一,即以泄露窃取的数据为由威胁受害者支付赎金。该勒索软件组织自 2019 年开始运作,在2021年7月针对 Kaseya 云端系统供应链攻击中曾开出7000万美元的赎金要求,创勒索软件最高赎金记录。但在2021年10月份的多国联合执法行动中,REvil的服务器被查,今年1月初,俄罗斯联邦安全局 (FSB) 在该国多地进行突袭后,逮捕了多名组织成员。 REvil的复出被认为与俄乌战争有关,就在上个月,美国单方面退出了与俄罗斯为保护关键基础设施进行合作的计划。此外这也表明,勒索软件即使被打压或解散后,也能够很容易的死灰复燃,当下要彻底根除网络犯罪组织可谓困难重重。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332892.html 封面来源于网络,如有侵权请联系删除
2022年5月12日 15:11hackernews.cc
据悉,一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司,试图用恶意软件窃取密码感染其系统,包括德国汽车制造商和汽车经销商,通过克隆该领域各个组织的合法网站,注册了多个相似的域,以便在攻击过程中使用。 这些网站用于发送用德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。 此活动中使用的各种相似域 网络安全解决方案供应商Check Point的研究人员发现了这一活动,并发布了相关的技术报告。报告显示,该网络钓鱼活动于2021年7月左右开始,目前仍在进行中。 瞄准德国汽车行业 感染链始于发送给特定目标的电子邮件,其中包含能够绕过互联网安全控制的ISO映像文件。 例如,下图的网络钓鱼电子邮件假装包含汽车转账收据,发送给目标经销商。 Check Point发现的恶意电子邮件之一 其中还包含一个HTA文件,该文件中有通过HTML走私运行的JavaScript或VBScript代码。 通用感染链 从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客,所有级别的黑客都能使用这种常用技术。 当受害者看到从HTA文件打开的诱饵文档时,恶意代码就会在后台运行,以获取并启动恶意软件有效负载。 诱饵文件 我们发现了这些脚本的多个版本,有些会触发PowerShell代码,有些是纯文本版本。它们都会下载并执行各种MaaS(恶意软件即服务)信息窃取程序。 ——Check Point 此活动中使用的MaaS信息窃取程序各不相同,包括Raccoon Stealer、AZORult 和 BitRAT,这三个程序都可以在网络犯罪市场和暗网论坛上购买到。 HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具,使得威胁行为者无需诱骗接收者启用宏,并且能够提高有效负载丢弃率。 恶意修改Windows注册表 幕后主使和攻击目标 Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击,但是报告中没有提到具体的公司名称。 信息窃取有效载荷被托管在伊朗人注册的网站(“bornagroup[.]ir”)上,而同样的电子邮件被用于钓鱼网站的子域名,例如“groupschumecher[.]com”。 威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接,支持该活动的网站被托管在伊朗的ISP上。 威胁行为者的基础设施 这场活动很有可能是伊朗的威胁行为
2022年5月12日 14:11hackernews.cc
Google今天宣布,其Chrome浏览器现在将为用户提供在网络上的在线支付表格中使用虚拟信用卡号码的功能。这些虚拟卡号允许用户在网上购买东西时保持你的”真实”信用卡号码的安全,因为如果商家的系统被黑客攻击,它们可以很容易被撤销。此前一些信用卡发卡机构已经提供了这些虚拟信用卡号码,但它们可能远没有成为主流。 Google表示,这些虚拟卡将于今年夏天晚些时候在美国推出。Google既与Capital One这样的发卡机构合作,后者是这项功能的启动伙伴,也与Visa和美国运通这样的主要卡组织合作,这些网络将在启动时得到支持,今年晚些时候将对万事达卡的支持将被引入。获得卡组织网络的支持绝对是一件事倍功半的事情,因为试图让每个发卡机构都加入进来将是一项艰巨的任务。 这项新功能将首先在桌面上的Chrome浏览器和Android系统上推出,iOS系统的支持将随后推出。 Google副总裁兼支付部总经理阿诺德-戈德堡说:”这是将虚拟卡的安全性带给尽可能多的消费者的里程碑式的一步。在桌面和Android系统上使用Chrome浏览器的购物者在网上购物时可以享受快速的结账体验,同时可以安心地知道他们的支付信息受到保护。” 从用户的角度来看,这个新的自动填写选项将简单地为你输入虚拟卡的详细信息,包括实体卡的CVV,然后你可以在pay.google.com上管理虚拟卡并看到你的交易纪录。 虽然这些虚拟卡通常用于一次性购买,但一样也能够使用这些卡进行订阅。 由于这是Google这样的公司在提供这种服务,一些用户显然会担心该公司会使用这些关于购买习惯的额外数据,但Google表示,它不会将这些信息用于广告定位目的。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1268241.htm 封面来源于网络,如有侵权请联系删除
2022年5月12日 10:31hackernews.cc
5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。 JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。” DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。 目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。 “维护者”bertelsmannnpm 一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。 供应链攻击 上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。 Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。” Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。 该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。” JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。 后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。 研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。 在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。 转自 F
2022年5月12日 10:11hackernews.cc
近日,英国国家网络安全中心(National Cyber Security Centre,简称NCSC)发布了一份报告,为先前注册早期预警服务(the Early Warning service)的组织机构发送了3300多万条警报。 根据该报告统计,政府机构在2021年内共计化解了270多万起网络诈骗案件,这一数字创造了新的记录。而正是因为主动网络防御(Active Cyber Defense)项目在2021年的重大升级,使得组织机构可以从容应对新出现的威胁,使得成功狙击诈骗活动成为可能。 NCSC重点关注的攻击行为包括虚假名人代言的加密货币赠品、与COVID-19相关的活动、假冒NCSC或其他国家执法机构的虚假勒索电子邮件,以及虚假包裹递送通知。 创纪录之年 NCSC表示,扩大防御范围是致使成功识别与化解网络诈骗的数量创造新纪录的最主要原因。对此,在报告中是这样解释的:“这一增长反映了NCSC服务范围的扩大,化解了更多的恶意网络内容,比如虚假名人代言骗局,总体网络骗局的数量也得到控制。” 此外,NCSC也在报告中补充道,“公众对可疑电子邮件、短信和网站的报告使得这项工作得到补充,更多的骗局因此得到成功化解。” 报告同时提到一些具体的案例,比如NCSC在2021年内发现并化解了1400多起针对英国国家医疗服务体系(NHS)的钓鱼攻击,这一数字比2020年的整整高出11倍。 另一个值得注意的大规模攻击案例是针对Android设备的恶意软件Flubot,它通过显示状态为“未送达”短信发送给智能手机用户。NCSC成功阻止了它的扩散,并封锁了120多万个与它相关的域名。 就2021年全年被化解的诈骗案件数量而言,270万是2020年这一数字的4倍。 早期预警服务 NCSC在2021年最重要的工作可能是早期预警服务的增长,预计到2022年年底,这项服务的客户数量会达到4600。 平均而言,这项服务每天标记90,410个事件,表明在客户的系统上检测到潜在的恶意内容。 早期预警服务在以下三种情况下会发送警报: 系统已被恶意软件主动破坏。 存在潜在滥用迹象,例如激进的网络扫描。 存在暴露在互联网上的易受攻击的服务和开放端口。 关于更多关于早期预警服务的详情,可以浏览此网页。 转自 FreeBuf,原文链接:https://www.freebuf.com/articles/332815.html 封面来源于网络,如有侵权请联系删除
2022年5月12日 10:11hackernews.cc
据Security affairs网站5月10日消息,网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务,以网络钓鱼即服务(PHaaS)的形式,使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面,这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。 这项服务最早于2021年 3 月22 日左右出现在暗网上,之后有过重大升级,最后一次更新是在 2022 年 5 月 1 日。除了暗网,Frappo也积极利用Telegram 进行宣传,拥有一个将近2000名活跃成员的群组,网络犯罪分子们在这就各种成功的攻击经验展开交流。 Frappo赋予网络犯罪分子以匿名和加密格式处理被盗数据的能力,具备匿名计费、技术支持、凭证搜集和追踪等功能。Frappo根据他们选择的订阅期限为网络犯罪分子提供了几种付款计划,就像为合法企业提供基于 SaaS 服务的平台一样,Frappo允许网络犯罪分子最大限度地降低开发网络钓鱼工具包的成本,并在更大范围内得到运用。 值得注意的是,网络钓鱼页面的部署过程完全自动化,Frappo利用一个预先配置的 Docker 容器和一个安全通道,通过 API 收集受损的凭证。 正确配置Frappo后,将会对搜集到的数据可视化——例如有多少受害者打开了网络钓鱼页面、授权或输入凭据、正常运行时间和服务器状态。日志部分将显示这些凭证,其中包含有关每个受害者的详细信息,例如 IP 地址、用户名、密码等。 根据Resecurity的观察,这些网络钓鱼页面的逼真度很高,其中包含诱骗受害者输入授权凭证的交互式场景。Frappo的出现表明,网络犯罪分子一直在利用先进的工具和技术来发动攻击,数字身份信息的保护已成为在线网络安全的关键。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332796.html 封面来源于网络,如有侵权请联系删除
2022年5月11日 14:51hackernews.cc
微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Wind
2022年5月11日 14:51hackernews.cc
Security Affairs 网站披露,俄罗斯胜利日期间,境内部分电视台遭受网络攻击,黑客成功获取权限后,发布反战信息。 据 BBC 报道,这次协同网络攻击影响了包括第一频道、Rossiya-1、MTS、Rostelecom 和 NTV-Plus  等在内俄罗斯的主要媒体。 胜利日期间,在俄罗斯总统普京发表讲话时,黑客组织破坏了俄罗斯在线电视时间表页面,发布反战信息。除此之外,还试图通过智能电视访问电视节目表,向俄罗斯公民展示指责克里姆林宫的宣传信息。 黑客在入侵俄罗斯电视节目表页面后,将每个节目的名称更改为 “你们的手上沾满了成千上万乌克兰人和他们数百名被害儿童的血,电视节目和当局都在撒谎,反对战争”。 匿名者黑客组织第一时间公开了此次网络攻击的消息,但目前尚不清楚哪个组织攻击了俄罗斯媒体。 值得一提的是,此次网络攻击还导致俄罗斯视频流媒体平台 RuTube 下线,部分亲乌克兰黑客认为该平台是俄罗斯宣传的重要组成部分。 遭受攻击后,媒体平台 RuTube 表示,攻击者没有访问其内部档案,正在努力恢复平台。另一方面,网上黑客组织声称,Rutube 的代码已经从平台上完全删除,并计划尽快泄露。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332781.html 封面来源于网络,如有侵权请联系删除
2022年5月11日 14:31hackernews.cc
据悉,美国林肯学院定于周五关闭,这使其成为该国第一所部分因勒索软件攻击而关闭的高等教育机构。发布在该学校网站上的一封信件写道,虽然这所学校经历了两次世界大战、西班牙流感和大萧条,但却无法处理新冠大流和发生于去年12月的勒索软件攻击的组合。 学校在公告中写道:“林肯学院是2021年12月网络攻击的受害者,它挫败了招生活动、阻碍了对所有机构数据的访问并造成2022年秋季招生预测的情况不明确。招聘、维持和筹款工作所需的所有系统都无法运行。幸运的是,没有个人身份信息被暴露。在2022年3月完全恢复后,预测会显示出巨大的招生缺口,需要一个变革性的捐赠或合作来维持林肯学院在本学期之后的发展。” 这所伊利诺伊州的学校以亚伯拉罕·林肯总统的名字命名,该校在林肯总统于1865年的生日那天破土动工,是美国教育部认定的仅有的几所以黑人乡村的农村学院之一。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267645.htm 封面来源于网络,如有侵权请联系删除
2022年5月11日 14:31hackernews.cc
据悉,加密货币骗局通过在YouTube上重播埃隆·马斯克(Elon Musk)、杰克·多尔西(Jack Dorsey)和方舟投资(Ark Invest)的旧视频,窃取了数百万美元。 这是一种老式的投资翻倍骗局,承诺将返还受害者支付的加密货币金额的两倍。 诈骗者在Ark Invest的“The ₿ Word”会议上重新播放了经过剪辑的埃隆·马斯克、杰克·多尔西和凯瑟琳·伍德关于加密货币的讨论视频,赚取130多万美元。 过去,诈骗者也曾利用与埃隆·马斯克有关的其他视频,如SpaceX发射和特斯拉视频,成功宣传虚假赠品,并在此过程中窃取了数百万美元。 操作简单 有近10个YouTube频道发布了相关视频,视频中还包括欺诈性加密赠品网站链接在内的其他内容。这只是整个计划的一部分。有报道称,该骗局可以追溯到一月份,诈骗者在短短七个小时内就收获了40万美元。 全球最大的专业安全技术公司迈克菲的安全研究人员也一直在监控这场骗局,并于周四发布了一份报告,报告中指出已经识别到11个诈骗网站。 迈克菲在报告发布后的第二天更新帖子,表示这些网站的数量在24小时内增加到了26个。 YouTube的流媒体广告宣传了几个主题相似的网站,他们声称返还的加密货币价值是他们收到的两倍。例如,如果你发送1BTC,你将收到2BTC的回报。 ——迈克菲 然而,这些网站每天都在出现,诈骗者会生成新的钱包,从容易受骗的加密货币用户那里获取资金。以下是一些研究人员发现的网站: 上图中的一些站点仍在运行。这个名单不够完整,因为诈骗者在继续建立新的网站,在新的流媒体上播放剪辑后的加密货币相关对话。 研究人员表示,视频中宣传的网站诱使访问者认为其他人一直在发送加密货币,并获得了两倍的资金。此外,该网站还展示了一张最近交易的表格作为依据。 为了创建假表格,骗子使用JavaScript代码生成一个随机加密货币钱包和支付金额的列表。 被盗资金 以下是诈骗者利用Ark Invest加密货币骗局窃取的以太坊和比特币钱包地址和金额列表: 获取的金额可能看起来不多,但考虑到整个骗局只需要很少的努力和技能,这已经是一笔不少的资产。一旦视频被编辑好,网站开始运行,诈骗者就只需要等待受害者转移数字货币。 迈克菲表示,已发现的恶意网站上列出的钱包记录了各种各样的交易,5月5日加密货币交易额达到28万美元。第二天,总价值飙升至130万美元。最大的钱包从13笔交易中获得了超过9万美元的比特
2022年5月11日 14:11hackernews.cc
上周,F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误,黑客可借此以 root 权限运行系统命令。据悉,iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。 ArsTechnica 指出:BIG-IP 涵盖了超过 16000 个可在线发现的设备实例,且官方宣称有被财富 50 强中的 48 家所采用。 然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是: 由于身份验证的设施方法存在缺陷,该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份,之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。 鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能,它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。 过去一整天,Twitter 上流传的大量图片,揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞,来访问名为 bash 的 F5 应用程序端点的。 其功能是提供一个接口,用于将用户提供的输入,作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是,虽然不少概念验证(PoC)用到了密码,但也有一些案例甚至可在不提供密码的情况下运作。 对于如此重要的设备命令竟然被这样松散地处置,许多业内人士都感到大为不解,此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制(即便修补后也是如此)。 在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。 当然,这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到,这种情况与两年前的 CVE-2020-5902 实在太过相似。 不过随着大家对于 CVE-2022-1388(RCE)漏洞的易得性、强大功能、以及广泛性有了更深入的了解,相关风险也正笼罩到更多人的头上。 如果你所在的组织机构正在使用 F5 的 BIG-
2022年5月11日 10:11hackernews.cc
美国、英国和欧盟正式指责俄罗斯政府在2月份对卫星通信供应商Viasat进行的网络攻击,该攻击在俄罗斯发动对乌克兰的入侵前几个小时曾引发了整个中欧和东欧地区的故障。欧盟在联合声明中说:”欧盟及其成员国与国际伙伴一起,强烈谴责俄罗斯联邦对乌克兰进行的恶意网络活动,该活动以Viasat公司运营的KA-SAT卫星网络为目标。” 欧盟将这次攻击归咎于俄罗斯。虽然攻击的主要目标被认为是严重依赖卫星通信的乌克兰军方,但2月24日的攻击也影响了乌克兰成千上万的Viasat客户和欧洲各地成千上万的客户的互联网服务。攻击还切断了德国各地约5800台风力发电机的远程访问,它们主要依靠Viasat路由器进行远程监测和控制。 几个月后,对Viasat网络的攻击仍未完全解决。Viasat说,网络攻击还损坏了数万个无法修复的终端,并在其对该事件的最新分析中说,到目前为止,服务商已经向客户提供近3万台路由器,以努力使它们重新上线。 欧盟继续说:”这一不可接受的网络攻击是俄罗斯在网络空间持续不负责任的行为模式的又一个例子,这也构成了其非法和无理入侵乌克兰的一个组成部分,”欧盟补充说,该集团正在”考虑采取进一步措施,防止、阻止、遏制和应对这种恶意行为。” 英国国家网络安全中心在声明中说,军事情报显示”几乎可以肯定”俄罗斯是1月份乌克兰政府网站被破坏以及在入侵前部署Whispergate破坏性恶意软件的幕后黑手。 在正式确定Viasat网络攻击来源之前几周,SentinelOne研究人员表示,该事件很可能是俄罗斯一种名为”AcidRain”的新型刷写式恶意软件的结果,该软件旨在远程擦除易受攻击的调制解调器。Viasat证实,这些发现与它自己对攻击的分析”一致”。 SentinelLabs注意到AcidRain和VPNFilter恶意软件之间的相似之处,联邦调查局在2018年将其归于俄罗斯军事情报部门,被称为”Fancy Bear”- 或APT28 – 黑客组织。最近,美国国家安全局和CISA将该活动与Sandworm联系起来,Sandworm被指控在五年内进行了一系列攻击,包括针对全球数百家公司和医院的破坏性NotPetya网络攻击。APT28和Sandworm都与俄罗斯的
2022年5月10日 16:30hackernews.cc
在多个政府机构遭到Conti勒索组织的网络攻击后,哥斯达黎加总统罗德里戈·查韦斯(Rodrigo Chaves)宣布全国进入紧急状态。该国上一次宣布进入紧急状态,还是在2020年应对新冠肺炎肆虐的时候。 据国外媒体报道,Conti勒索组织已经发布了所窃取的672 GB数据中的绝大部分内容,其中有很多都来自于哥斯达黎加各个政府机构。基于勒索攻击带来的严重影响,2022年5月8日,哥斯达黎加查韦斯签署了该命令,也正是这一天,查韦斯刚刚当选为第49任总统。 查韦斯表示,“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击,被迫宣布国家紧急状态。我们正在签署这项法令,宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。” 哥斯达黎加社会保障基金 (CCSS) 发言人此前也表示,正在加大力度对Conti勒索软件的进行边界安全审查,防止CSS机构因此遭受勒索攻击。 截至5月9日,Conti勒索组织已经在其网站上泄露了97%的数据,其中有大量从哥斯达黎加政府机构窃取的数据: 在本次勒索攻击中,最先遭受Conti勒索组织攻击的机构是财政部,截止到目前尚未完整评估出此次事件的影响范围,以及纳税人信息、支付信息和海关系统的影响程度。早些时候,Conti勒索组织曾向哥斯达黎加索要1000万美元赎金,但是被政府拒绝了。 受到Conti勒索组织攻击影响的部门包括: 财政部 科学、创新、技术与电信部 劳动与社会保障部 社会发展与家庭津贴基金 国家气象研究所 哥斯达黎加社会保障基金 阿拉胡埃拉市各大学主校 目前有安全专家已经对一小部分泄露数据进行初步分析,结果显示源代码和SQL数据库确实来自政府网站。Conti攻击者“UNC1756”及其附属机构并未将此网络攻击归咎于民族国家黑客,而是单独声称对此负责并威胁要在未来进行“更严重的”攻击。 事实上,自4月18日以来,哥斯达黎加的政府程序、签名和邮票系统就已经被破坏,财政部的数字服务一直无法使用,这影响了整个“生产部门”。 查韦斯总统补充说:“我们签署了该法令,以便更好地保护自己,免受勒索组织攻击带来的伤害,这也是以此对国土的攻击。” 很难想象,一个国家会因为一个勒索组织的攻击就宣布进入紧急状态,同时也从侧面反映出Conti勒索组织是多么的丧心病狂,竟然敢公然挑衅政府部门,并对整个国家都造成了严重的影响。 目前,勒索攻击已经成为全球的威胁,无数国家和经济都有可能因此遭受巨
2022年5月10日 16:30hackernews.cc
近期,乌克兰计算机应急响应小组(CERT-UA)检测到某恶意垃圾邮件活动,该活动旨在传播名为Jester Stealer的信息窃取程序。 据调查,乌克兰CERT发现的该恶意邮件主题为“化学攻击”,邮件中包含一个带有恶意链接的Microsoft Excel文件。当用户打开该Office文档并激活嵌入的宏后,整个感染过程就开始了。经过政府专家的调查,发现该恶意可执行文件是从受感染的网络资源中下载的。 对此,乌克兰计算机应急响应小组及时发布了相应的公告,公告中称:政府应对乌克兰计算机紧急情况的团队CERT-UA披露了有关“化学攻击”主题的大量电子邮件以及指向带有宏的 XLS文档的链接的恶意活动。如果你打开文档并激活宏,下载并运行该EXE文件,这将激活恶意程序JesterStealer并对您的计算机造成一定伤害。 据研究,JesterStealer能够从Internet浏览器、MAIL/FTP/VPN 客户端、加密货币钱包、密码管理器、邮件、游戏程序等窃取凭据和身份验证令牌。 该信息窃取恶意软件实现了反分析功能(反虚拟机/调试/沙盒),但它没有实现任何持久性机制。威胁参与者使用静态配置的代理地址通过 Telegram 泄露数据。从发布的公告中得知,通过静态定义的代理地址(包括在 TOR 网络中)窃取的数据在 Telegram 中传输给攻击者。 转自 Freebuf,原文链接:https://www.freebuf.com/news/332628.html 封面来源于网络,如有侵权请联系删除
2022年5月10日 10:30hackernews.cc
Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。 (来自:Red Canary 官网) 除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。 攻击流程图 当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播。 利用 ROT13.lnk 文件来修改注册表 该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件。 Raspberry Robin 的 cmd.exe 命令 接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。 引用设备名称的混合大小写命令 Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态。 Raspberry Robin 的恶意 msiexec.exe 命令 然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL 。 恶意 rundll32.exe 命令 不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267401.htm 封面来源于网络,如有侵权请联系删除
2022年5月9日 15:55hackernews.cc
Bleeping Computer 网站披露,谷歌将禁止俄罗斯用户和开发者从 Google Play 商店下载或更新付费应用程序。 Google 在其网站更新中声明:作为“合规”的一部分,2022 年 5 月 5 日起,Google Play 禁止俄罗斯用户或开发者下载付费应用程序和更新付费应用程序。 据悉,俄罗斯用户和开发者目前仍然可以发布和更新免费应用程序,但所有付费应用程序的更新已经被自动阻止。鉴于不能继续订阅付费应用程序,谷歌建议用户可以授予订阅计费宽限期和免费试用期,这一做法将适用于“订阅计费宽限期和任何免费试用期”。 另外,用户也可以将续订延期长达一年,此举允许用户在延期期间能够继续免费访问内容。如果用户愿意,同样可以选择免费提供应用程序,或者暂时删除付费订阅。 战争爆发后,俄罗斯禁止多款应用在境内运行 俄乌战争爆发后,谷歌开始制裁俄罗斯,3 月 10 日,首次暂停了其在俄罗斯的 Google Play 计费系统,以阻止俄罗斯用户购买应用程序和游戏,支付订阅或购买任何应用。 3 月 23 日,俄罗斯以谷歌提供有关乌克兰持续战争不可靠信息为由,禁止了 Alphabet 的新闻聚合服务 Google News 在该国运行,并阻止境内对 news.google.com 的访问。 除此之外,俄罗斯电信监管机构 Roskomnadzor 还要求 Google 停止在YouTube 视频中,传播有关俄罗斯与乌克兰战争“错误信息”的广告活动。作为回应,Google 封锁了俄罗斯国营媒体今日俄罗斯(RT)和卫星通讯社面向欧洲的 YouTube 频道。 值得一提的是,3 月初,根据总检察长办公室的要求,俄罗斯封锁了 Facebook 和 Twitter 社交网络,一周后,又禁止了Instagram。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332518.html 封面来源于网络,如有侵权请联系删除
2022年5月9日 14:15hackernews.cc
作为美国最重要的农业机械制造商之一,近期AGCO宣布其公司遭受勒索软件攻击并影响了其部分生产设施,该公司被迫关闭部分IT系统以应对勒索攻击。不过AGCO并未提供有关此次攻击的任何细节,该公司仍在调查安全漏洞的严重程度。该事件将影响公司业务运营数天,甚至可能更长时间才能完全恢复所有服务。 随后AGCO就此次攻击事件也及时发表了相关公告:AGCO是一家全球农业设备制造商和分销商,我们于今年年5月5日受到勒索软件攻击,所以部分生产设施受到影响。不过我们会查清此事件,包括此次勒索攻击的影响,预计部分业务运营在未来几天将受到不利影响,甚至可能更长时间才能完全恢复所有服务,具体取决于公司修复系统的速度。如有最新进展,我们也会第一时间公布。 近期,针对美国农业部门的勒索攻击愈发频繁,因此美国当局也及时给出警示,提醒相关部分注意勒索攻击。根据联邦调查局(FBI)发布的PIN 警报,其正在通知粮食和农业(FA)部门合作伙伴,勒索软件攻击者可能在关键的种植和收获季节攻击农业合作社,扰乱运营,造成经济损失,并对粮食供应产生负面影响链。FBI指出,在这些季节,勒索软件在2021 年秋季收获期间对六家谷物合作社进行了攻击,并在2022年初进行了两次攻击,勒索攻击会通过中断种子和化肥的供应来影响种植季节。由于合作社在农业生产中的时间敏感性,网络参与者可能将合作社视为有利可图的目标,并愿意支付费用。 转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332504.html 封面来源于网络,如有侵权请联系删除
2022年5月9日 11:54hackernews.cc
近日,美国国家标准与技术研究所(NIST)再次更新了《网络安全供应链风险管理》(C-SCRM)指南,提供了与供应链攻击相关的趋势和最佳实践,指导企业有效管理软件供应链风险,以及在遭受供应链攻击时该如何进行应急响应。 网络供应链风险管理(C-SCRM)是识别、评估和减轻ICT产品和服务供应链分配和互联性相关风险的过程。C-SCRM覆盖了ICT的整个生命周期:包括硬件、软件和信息保障,以及传统的供应链管理和供应链安全实践。 目前,NIST发布了“系统和组织网络安全供应链风险管理实践”,以此响应“改善国家网络安全”的美国第14028号行政命令。 系统和组织网络安全供应链风险管理实践明确指出,本刊物的目的是为企业提供有关如何识别、评估、选择和实施风险管理流程以及减轻企业控制措施的指导,以帮助管理整个供应链的网络安全风险。” 修订后的指南主要针对产品、软件和服务的收购方和最终用户,并为不同的受众提供建议:网络安全专家、负责企业风险管理人员、采购人员、信息安全/网络安全/隐私、系统开发/工程/实施的领导和人员等。 NIST 的Jon Boyens表示,管理供应链的网络安全是一项一直存在的需求,当供应链遭到勒索软件攻击时,制造商可能因缺乏重要组件而停摆,连锁商店也可能只是因为维护其空调系统的公司得以访问其共享资料而爆发资料外泄事件,该指南的主要读者群将是产品、软件及服务的采购商与终端用户,倘若政府机关或组织尚未着手管理供应链的风险问题,那么这就是一个从零到有的完整工具。 NIST的专家们进一步强调了现代产品和服务供应链安全的重要性。毕竟,一种设备可能是在一个国家/地区设计的,但是它的组件可能在全球多个国家/地区制造,只要生产这些组件的公司其中一个出现安全事件,那么就有可能会对整个供应链的产品和服务产生重大影响,大大增加了全球组织的攻击面和受影响的连锁性。 例如制造商可能会因为其中一个供应商受到勒索软件攻击,而导致关键制造组件的供应中断,或者零售连锁店可能会因为维护其空调系统的公司可以访问商店的数据共享网站而遭遇数据泄露事件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332505.html 封面来源于网络,如有侵权请联系删除
2022年5月9日 11:34hackernews.cc
据外媒报道,英国国家卫生系统(NHS)139名员工的电子邮件遭到盗用,已沦为大型网络钓鱼活动的受害者。 截至今年4月,在近半年的时间里,英国NHS的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动。据电子邮件安全研究人员称,检测发现攻击者已经从英格兰和苏格兰员工的NHS电子邮件帐户中发送出1157封欺诈性网络钓鱼邮件。 这些网络钓鱼邮件带有虚假链接,根据邮件提示需要点击链接才能执行下一步操作,而虚假链接则会跳转到伪造的虚假网站,要求用户填写microsoft凭据,目的是为了窃取用户的微软凭证。 攻击者为了获取受害者信任,钓鱼邮件还特意添加了公司徽标来冒充Adobe和Microsoft等品牌。除了窃取凭证,攻击者还利用获取巨款的方式诱导用户填写个人详细信息。 NHS员工邮箱被恶意利用,这说明该机构100多名员工的邮箱凭证被窃,或机构邮件系统被入侵所导致。 当前,远程工作增加了对电子邮件作为重要通信机制的依赖。因此就增加了员工成为网络钓鱼或垃圾邮件攻击目标的风险,从而也增加勒索软件和其他恶意软件感染的风险。 商务密邮建议,敏感行业人员应执行以下操作: 不要轻信来源不明的电子邮件或下载软件; 不要点击来自未知发件人的电子邮件中的链接或附件; 不要通过电子邮件向任何人提供密码、个人或财务信息,敏感信息; 备份重要文件,对邮件数据进行加密传存; 使用防邮件泄露、反垃圾邮件和邮件安全归档等保护设备; 如遇可疑电子邮件需立即向相应的安全机构或IT安全人员报告,减少和避免损失。 商务密邮作为专业的邮件安全服务提供商,采用高强度国密算法,对邮件数据进行先加密后发送,密文储存的形式,源头上堵住邮件数据在传输过程中,各环节可能存在的泄露,已解密的邮件还可进行二次复锁,即使服务器数据被窃取、账号、密码被盗,设备丢失,不法分子和黑客组织也无权看到真实数据,更无法篡改邮件,全方位杜绝因邮箱账号密码被盗,设备漏洞、系统漏洞、服务器被攻击等引发的邮件数据泄露。 商务密邮针对邮箱进行管控,企业可部署邮件防泄漏系统(DLP),可针对邮件正文、附加文件、文档、文本进行扫描,未经授权有任何涉密内容发出,将立刻进行阻断,并上报进行审批,避免员工失误或恶意泄露行为。同时邮件水印、邮件溯源跟踪、邮件加密审计归档等管理策略,保障企业数据传输及通信安全。 转自 新浪科技 ,原文链接:https://t.cj.sina.com.cn/articles/vie
2022年5月9日 11:14hackernews.cc
据Bleeping Computer网站5月7日消息,为了能帮助识别和定位臭名昭著的勒索软件团伙 Conti 的主要核心人员及同谋,美国国务院开出了1500 万美元的高额赏金。 根据国务院发言人内德·普莱斯(Ned Price)发表的一份声明,截至 2022 年 1 月, Conti 已经攻击了 1000 多名受害者,所支付的赎金超过 1.5 亿美元,Conti及其相关组织已成为有史以来“最昂贵”的勒索软件 。 这次悬赏由美国国务院跨国有组织犯罪奖励计划 (TOCRP)提供,该计划自 1986 年以来已支付了超1.35亿美元的悬赏额。此次针对 Conti 的1500万美元,其中1000 万美元用于悬赏提供有关 Conti 领导层人员身份和位置的信息,另外500万美元则针对参与 Conti 犯罪活动的同谋人员。 Conti团伙以RaaS(勒索软件即服务)的形式运营,在过去一年中就已对多家企业和机构“下毒手”。 2021年5月,Conti攻击爱尔兰卫生服务执行局并窃取了700GB的敏感文件,开出的赎金达2000万美元;9月,攻击了日本跨国电子产品供应商JVCKenwood,窃取了1.5TB的数据并要求支付700万美元的赎金;10月,攻击了英国的高端珠宝商Graff,窃取了大量名人、政治家和国家元首的数据文件。而就在刚刚过去的2022年4月,Conti攻击了哥斯达黎加的政府系统,包括海关、财政、人力资源等多部门业务受到严重影响,并从中窃取了850GB的数据。 据多家网络安全公司的分析师称,Conti 现在正在通过各种关联组织经营各种副业,以维持其勒索软件的运营费用。但由于内部分赃不均,2021年8月,其中一个关联组织泄露了 Conti 的内部培训材料,包括部署各种恶意工具的手册,以及据称提供给该团伙关联组织的大量帮助文件。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332492.html 封面来源于网络,如有侵权请联系删除
2022年5月9日 10:34hackernews.cc
美国农业机械巨头爱科遭到勒索软件攻击,部分生产设施运营受影响,可能持续多天; 有经销商表示,这导致拖拉机销售在美国最重要的种植季节停滞不前; 近一年来多家农业供应链企业遭到攻击,农业逐渐成为勒索攻击重点目标,FBI已接连发布两次行业预警。 美国知名农业机械生产商爱科(AGCO)宣布遭受勒索软件攻击,部分生产设施受到影响。 爱科经销商表示,拖拉机销售在美国最重要的种植季节停滞不前。 地区经销商B&G Equipment Inc总裁Tim Brannon表示,从周四(5月5日)起,他一直无法访问爱科网站来订购和查找零件。他表示,“我们正进入一年中最繁忙的时期,这将对我们的业务和客户造成了非常大的伤害。” 爱科部分生产设施运营受影响,可能持续多天 爱科公司没有提供任何关于业务中断的细节信息,但该公司可能会关闭部分IT系统,以阻断攻势蔓延。 “爱科仍在调查此次攻击的严重程度,预计未来几天内业务运营将受到负面影响,甚至可能需要更长时间才能完全恢复全部服务。恢复周期取决于公司的系统修复速度,我们将随情况进展发布更新。” ——爱科 从官方新闻稿来看,调查工作仍在进行中,预计此次攻击的影响将持续较长时间。 爱科是农业机械制造行业的巨头之一,年收入超过90亿美元,拥有21000名员工,旗下有Fendt、Massey Ferguson、Challenger、Gleaner及Valtra等品牌。 因此,勒索软件攻击造成的任何生产中断,都可能给爱科的设备生产与交付造成重大的供应链影响。 勒索软件攻击发生时,美国农业机械制造还面临着持续的供应链中断和罢工,导致难以满足农民的设备需求。 外媒就此事与爱科联络,希望了解关于此次攻击的更多信息。但一位发言人表示,目前尚无更多消息可以披露。 爱科公司股价在周五收盘时下跌5.76%,为123.3美元。 农业逐渐成为勒索攻击重点目标 FBI在最近(2022年4月)再次警告称,勒索软件攻击正逐渐将矛头指向美国农业部门,并重点提及了2022年的两起重大案例。 此前在2021年9月,FBI首次发布类似警告。那次后不久,NEW Cooperative与Crystal Valley两家大型农业合作社就遭遇到重大勒索软件攻击。 目前,所有与美国粮食生产和供应直接相关的实体,均被视为关键基础设施。恶意黑客希望通过胁迫受害者就范获取巨额利润。 受到紧张国际政治局势的影响,部分网络攻击也可能具有报复性动机,旨在
2022年5月7日 14:30hackernews.cc
近日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》(以下简称《实践指南》)。 《实践指南》从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求,为认证机构实施个人信息跨境处理活动认证提供认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。 《实践指南》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求,适用于以下情形: 1、 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动; 2、《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动。按照法律、行政法规、部门规章有关规定,需要通过国家网信部门组织的安全评估的个人信息跨境处理活动,应当向国家网信部门申报安全评估。 《实践指南》指出,涉及跨境个人信息处理应遵循以下基本原则: 1、合法、正当、必要和诚信原则。个人信息直接关系到信息主体的人格尊严,跨境个人信息处理应当满足法律法规的规定,严格按照法定目的并采取对个人信息权益影响最小的方式处理个人信息,严守合同、协议等具有法律效力文件的约定和承诺,不随意违背约定、承诺损害个人信息主体的合法权益。 2、公开、透明原则。跨境处理个人信息应当满足处理规则公开、处理过程透明要求,及时向个人信息主体告知个人信息跨境提供的目的、范围和处理方式,确保个人信息主体了解自己的个人信息的处理全过程。 3、信息质量原则。参与跨境处理个人信息活动的相关方应当保证跨境个人信息的准确性、完整性,避免个人信息处理活动出现偏差,对个人信息主体权益造成不利影响。 4、同等保护原则。参与个人信息跨境处理活动的相关方应当采取必要措施,确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。 5、责任明确原则。参与个人信息跨境处理活动的相关方应当采取必要措施,保护所处理个人信息的安全,保障个人信息主体权益,并指定境内一方、多方或者境外相关方在境内设置的机构承担法律责任。 6、自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自愿性认证,鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证,充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率的作用。 附:《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》 转自 F
2022年5月7日 14:30hackernews.cc
俄乌战争爆发以来,匿名者组织就盯上了俄罗斯,一直对其实体组织进行大规模网络攻击。近日,Security Affairs 网站披露,匿名者黑客组织伙同乌克兰 IT 军继续对俄罗斯实体发起网络攻击。 俄乌战争爆发以来,匿名者黑客组织一直站在乌克兰阵营上,破坏了大量俄罗斯政府和企业实体的网络系统。本周,该组织声称“干掉”了多家俄罗斯实体,并通过 DDoSecrets 平台泄露窃取的数据。 遭受入侵的企业名单包括: CorpMSP:一家为中小型企业提供支持的联邦机构,背后控股股东是俄罗斯联邦。根据黑客组织 NB65  的说法,CorpMSP 是一家从事数字间谍的空壳公司,长期支持俄罗斯国防部的行动。另外,NB65 组织表示,与匿名者组织有关的团体泄露了一个 482.5GB 的档案,其中包括 75000个 CorpMSP 的文件、电子邮件和磁盘图像。 LLC Capital:一家与 SAFMAR 集团合作的会计师事务所。匿名者黑客组织泄露一个20.4GB 档案,其中包含 LLC Capital 的 31990 封电子邮件。 网络攻击一直在持续 值得一提的是,匿名者黑客组织不仅对俄罗斯实体发起网络攻击,还向俄罗斯民众发送了超过 1 亿条信息,以瓦解莫斯科的宣传。 本周,乌克兰 IT 军对俄罗斯自动化酒精核算信息系统(EGAIS)门户网站,进行了一系列大规模 DDoS 攻击。EGAIS 系统对俄罗斯的酒精分销至关重要, 此次攻击严重影响了其正常运行。 受到此次网络攻击的影响,工厂暂时无法接受装有酒精的罐子,客户(包括商店和经销商)也无法收到已经交付的成品,许多工厂完全停止向仓库发货,并削减了生产速度。 另外,Crowdstrike 研究人员表示,亲乌黑客组织正在使用 Docker 图像对俄罗斯政府、军队和媒体机构在内的十几个网站发动分布式拒绝服务(DDoS)攻击。 值得注意的是,DDoS 攻击还针对了立陶宛三个媒体网站,攻击者试图通过暴露的 API,利用配置错误的 Docker 安装,滥用其计算机资源。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332348.html 封面来源于网络,如有侵权请联系删除
2022年5月7日 14:30hackernews.cc
近期,QNAP发布了几项安全公告,其中一项针对严重的安全问题,该问题允许在易受攻击的QVR系统上远程执行任意命令,该公司的视频监控解决方案托管在NAS设备上。QVR IP视频监控系统支持多重频道和跨平台视频解码,专为监控家庭和办公环境而设计。该漏洞编号为CVE-2022-27588,严重程度得分为9.8。它会影响早于5.1.6 build 20220401的QVR版本。 根据QNAP发布的公告,该漏洞会影响运行QVR的QNAP VS系列NVR。如果被利用,此漏洞允许远程攻击者运行任意命令。这种类型的安全漏洞允许攻击者在目标上执行命令以更改设置、访问敏感信息或控制设备。它甚至还可以被当成深入目标网络的踏板。正如我们过去所见,当漏洞利用公开可用时,QNAP系统中的关键漏洞几乎立即在网络攻击中被利用。 目前BleepingComputer表示已与QNAP联系,要求提供有关 CVE-2022-27588是否被积极利用的信息,并将根据公司的回应做出及时报道。 除了QVR 中的严重问题外,QNAP还解决了其他产品中的8个漏洞,严重程度介于中到高之间。 以下是修复的完整列表: CVE-2022-27588:QNAP QVR 中的严重RCE CVE-2021-38693:thttpd中的中等严重性路径遍历漏洞,影响 QTS、QuTS hero 和 QuTScloud。 CVE-2021-44055:中等严重性缺陷,允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44056:中等严重性缺陷,允许远程访问某些 Video Station 版本中的数据。 CVE-2021-44057:运行 Photo Station 的 QNAP NAS 中的高危漏洞。 CVE-2021-44051:高严重性命令注入漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中执行任意远程命令。 CVE-2021-44052:高严重性链接解析漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中执行恶意文件操作。 CVE-2021-44053:高严重性跨站点脚本 (XSS) 漏洞,允许在 QTS、QuTS hero 和 QuTScloud 中进行远程代码注入。 CVE-2021-44054:高严重性开放重定向漏洞,允许用户重定向到 QTS、QuTS hero 和 QuTScloud 中带有恶意软件的
2022年5月7日 12:30hackernews.cc
美国证券交易委员会 (SEC) 5月6日发布声明,称对芯片制造商英伟达的指控,双方已达成一致,英伟达承认未能充分披露挖矿对其游戏业务的影响,同意支付550万美元的罚款。 此前,SEC认为,从 2017 年开始,已有越来越多的用户使用英伟达生产的游戏显卡(GPU) 来挖掘加密货币,但在2018财年的连续几个季度中,该公司未能披露大量的挖矿是其促成游戏GPU销售增长的重要因素。 相反,英伟达公布了加密货币需求对其它业务增长的推动,对游戏相关业务的影响则被一笔带过,仿佛游戏业务未受到加密货币的影响,但根据SEC的数据,英伟达的游戏业务收入在 2018 年第二财季同比增长了 52%,在 2018 年第三财季同比增长了 25%。尽管分析师和投资者有兴趣了解该公司的游戏收入受加密货币挖矿的影响有多大,但英伟达并未在 2018 年第二和第三财季提交的季度报告中披露其巨大影响。 SEC 加密资产和网络部门负责人 Kristina Littman表示: “英伟达这一做法使投资者无法获得关键信息,无法评估公司在关键市场的业务 。” 由于英伟达此举违反了美国《证券法》和《交易法》中的若干条款,这家科技巨头将不得不向SEC支付 550万美元的民事罚款。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332333.html 封面来源于网络,如有侵权请联系删除
2022年5月7日 11:30hackernews.cc
当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员,因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说,它被告知一些顾客的个人信息泄露风险出现在”2022年3月1日至3月3日期间,宜家加拿大公司的一名同事进行的普通搜索”的结果中。 “该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认,没有财务或银行信息被获取,”宜家加拿大公司在一份电子邮件声明中说,并补充说,”我们已经采取行动补救这种情况,包括采取措施防止数据被使用、储存或与任何第三方共享。” 该公司表示,它已经向加拿大隐私专员办公室通报了这一漏洞,并已采取措施通知受影响的客户。 宜家加拿大公司还表示,它已经审查了内部程序,试图防止今后发生类似事件。顾客不必采取行动,但对个人信息保持警惕并注意可疑活动始终是有必要的。 该公司说:”重要的是要知道,宜家永远不会主动向你索要信用卡信息,我们建议向当地政府报告任何可疑的活动。顾客如有疑问或属于该漏洞的一部分,可致电1-800-661-9807或privacy@ikeaservice.ca,联系宜家加拿大公司。” 转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1266321.htm 封面来源于网络,如有侵权请联系删除
2022年5月6日 16:11hackernews.cc
为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News & World Report 赋予 A 级评价)开发商 Bitwarden 首席执行官 Michael CranDELL 表示: 最重要的一点,是用户个人必须要有安全方面的意识。与此同时,他们可通过触手可得且免费的密码管理器等工具来更好地保护自己,以减轻跨多个站点的账号服务的强密码记忆负担。 该公司的第二次年度调查发现: ● 超八成(85%)美国人会在多个网站上使用重复的密码、且超半数受访者都纯靠记忆力来管理密码。 ● 此外约六成(60%)美国人使用了长度 9~15 个字符的密码,不过出于安全方面的考量,Bitwarden 还是建议 14 位起步。 ● 还有近 1/3(31%)受访者在过去 18 个月中经历过数据泄露,相比之下,全球平均仅为 1/4 左右(23%)。 作为参考,一些简单的预防措施,就在密码保护工作上起到很好的作用,尤其是避免使用名字、或生日等特征信息,来为多个账户重复设置相同的密码。 微软指出,15% 用户的密码灵感来自于他们的宠物。而且俗话说得好 —— 密码就像内衣,不该轻易与他人(其它服务)分享。 此外我们建议大家定期(比如每隔 60 天)修改一次密码,以降低数据泄露的风险。如果觉得这方面的工作太过劳心劳力,一款功能强大且值得信赖的密码管理器,就是一个不错的选择。 以 Bitwarden 为例,这项服务就使用了银行级的 AES-256 加密,来妥善保管用户的所有账密,且其受到单个长主密码的保护。 错误示例“宾果卡”(图自:Microsoft) 有趣的是,一些网络安全专家认为“密钥”(passphrase)比“密码”(password)更实在且易于记住。 前者可以是一串词汇,也能够包含数字与符号 —— 比如“Barking up the wrong tree”就可演变为“Bark1ngupthewr0ngtree!”。 不过在微软看来,最安全的密码,不如直接弃用密码 —— 而该公司的免密登录方案,就允许用户爽快地删除 Microsoft 账户的密码。 作为替代,该微软提供了 Microsoft A
2022年5月6日 15:51hackernews.cc
近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ,并引入了一个修复程序,该修复程序也及时同步给Linux供应商,然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。 4月,CISA披露该漏洞正在被积极利用,并将其添加到其“已知被利用漏洞目录”中。在5月的Android安全公告中,谷歌确认该编号为CVE-2021-22600的漏洞可能被有针对性的利用。目前尚不清楚该漏洞是如何被用于攻击的,但它很可能被用于执行特权命令并通过企业网络中的Linux系统横向传播。 最近的Android版本(10、11、12)包含了越来越严格的权限,使得恶意软件很难获得高级功能所需的权限。因此,在感染后利用漏洞来获得更高的特权并非不可能。此漏洞的第二个潜在用途是用户安装并激活后,可以在设备上获得root权限的设备root工具。 以下是本月修复的内容摘要: Android框架中的四个提权 (EoP) 和一个信息泄露 (ID) 漏洞 Android系统中的三个EoP、两个ID 和两个拒绝服务(DoS) 漏洞 内核组件中的三个EoP 和一个 ID 缺陷 联发科组件中的三个高危漏洞 高通组件中的15个高严重性和1个严重严重性缺陷 需要注意的是,针对CVE-2021-22600和所有来自第三方供应商的修复程序都在2022-05-05 安全补丁程序级别上可用,而不是在2022年5月1日发布的第一个安全补丁程序级别上可用。无论如何,所有这些修复仍然包含在下个月的第一个安全补丁级别中,该补丁将于 2022 年6月1日发布。 同时,该安全补丁并不适用于Android 9或更早版本,建议用户出于安全原因,应该升级到更新的Android操作系统版本。使用Google Pixel设备的用户本月收到了额外的修复,其中一个仅影响使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的两个是漏洞是CVE-2022-20120和CVE-2022-20117,一个是影响引导加载程序的严重远程执行漏洞,一个是Titan-M上的严重信息泄露漏洞。 转自 FreeBuf 
2022年5月6日 14:31hackernews.cc
5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中,该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入,其问题的根源来自内核驱动程序中的套接字连接处理程序,可允许攻击者提升权限并禁用防病毒软件,甚至还会造成系统蓝屏、死机。 由于这些漏洞的性质,它们可以从沙箱中触发,并且可能在除本地权限提升之外的上下文中被利用。例如,这些漏洞可能被用作第二阶段浏览器攻击的一部分,或执行沙盒逃逸。 SentinelOne 于 2021 年 12 月 20 日报告了这些漏洞,Avast 在 2022 年 2 月 8 日发布的防病毒版本 22.1 中已对其进行了修复,目前为止还没有迹象表明这些漏洞已被广泛利用。但不可否认,由于这两个漏洞已“潜伏”了近10年之久,受影响的用户数量可能已达数百万。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332215.html 封面来源于网络,如有侵权请联系删除
2022年5月6日 11:11hackernews.cc
近日,欧洲刑警组织发布了其首份深度伪造研究报告–《面对现实?执法和深度伪造的挑战》(Facing reality? Law enforcement and the challenge of deepfakes),这是欧洲刑警组织创新实验室就新兴技术的风险、威胁和机遇等方面技术发展研究形成的报告。该报告详细概述了deepfake技术的犯罪用途,包括其在CEO欺诈、证据篡改和制作未经同意的色情制品等严重犯罪中的潜在用途。它还详细阐述了执法部门在检测和防止恶意使用deepfakes方面面临的挑战。它表明执法部门、在线服务提供商和其他组织需要制定政策并投资于错误信息的检测和预防解决方案,政策制定者也需要适应不断变化的技术现实。特别是,研究者确定了与数字化转型、新技术的采用和部署、犯罪分子滥用新兴技术、适应新的工作方式和在虚假信息增加的情况下保持信任相关的风险。报告的调查结果基于广泛的案头研究和通过战略前瞻性活动与执法专家进行的深入探讨磋商。这些战略远见和情景方法是欧洲刑警组织创新实验室研究和准备新技术对执法的潜在影响的一种手段。Deepfake已经是一个问题,但在未来几年内可能会成为一个更大的问题。 Deepfake技术使用人工智能技术来改变现有的或创建新的音频或视听内容。它有一些非恶意目的——例如讽刺和游戏——但越来越多地被不良行为者用于不良目的。然而,在2019年, iProove的研究表明,72% 的人仍然没有意识到 deepfakes。 Deepfake被用来创建一个明显来自可信来源的虚假叙述。两个主要威胁是针对公民社会(传播虚假信息以操纵舆论以达到预期效果,例如特定的选举结果);并针对个人或公司获得财务回报。对公民社会的威胁是,如果不加以制止,整个人群的观点和意见可能会受到深度伪造传播的虚假信息活动的影响,这些活动歪曲了事件的真相。人们将不再能够辨别真假。 对公司的网络安全威胁是,深度伪造可能会提高网络钓鱼和 BEC 攻击的有效性,使身份欺诈更容易,并操纵公司声誉导致股票价值不合理地崩盘。 Deepfake技术 Deepfake是通过使用神经网络来检查和发现生成令人信服的图片所必需的模式,并以此开发机器学习算法来开发的。与所有机器学习一样,可用于训练的数据量至关重要——数据集越大,算法越准确。大型训练数据集已经在互联网上免费提供。 目前的两项发展改善并增加了深度伪造的质量和威胁。首先是生成式对抗网络
2022年5月6日 09:51hackernews.cc
美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼或网络入侵破坏高级管理人员或供应商的官方电子邮件账户。一旦犯罪分子获得访问权,他们就会给公司的账户部门发信息,要求进行大笔资金转移。由于这些电子邮件来自官方来源,这些请求往往不会引起怀疑。 黑客们的目标不仅仅是资金转移。员工有时会被要求交出他们的个人身份信息、银行账户号码、工资/税单或加密货币钱包,然后被用于从盗窃到身份欺诈的各种用途。联邦调查局警告说,BEC诈骗正在增长和演变,目标是小型地方企业到大型企业和个人交易。过去几年事件的上升被归因于新冠疫情大流行和更多人在家工作,导致更多公司远程开展业务。这些攻击在2016年至2021年期间产生了430亿美元损失,而去年与加密货币相关的BEC损失达到了创纪录的4000万美元。 美国所有50个州和全球170个国家都有关于BEC骗局的报道。大多数被盗资金被转移到泰国和香港的银行,中国、墨西哥和新加坡是第二大热门地点。联邦调查局建议人们为他们的电子邮件账户开启双因素认证,以防止BEC攻击。它还说,要警惕电子邮件可能是网络钓鱼骗局的迹象(网站地址拼写错误等),不要通过电子邮件提供登录凭证,并定期监测金融账户的任何违规行为。 转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1265861.htm 封面来源于网络,如有侵权请联系删除
2022年5月5日 17:11hackernews.cc
网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。 获取权限后,立刻窃取数据 Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。 另外,UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上,部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发),以保持长期攻击。 在一些攻击中,UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳(注:该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联),以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。 UNC3524 隧道 UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件,大大延长了初始访问与受害者检测到其恶意活动,并切断访问之间的时间间隔。 值得一提的是,Mandiant 表示,即使延长了时间,UNC3524 组织也没有浪费时间,一直使用各种机制重新破坏环境,立即重新启动其数据盗窃活动。 QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。 在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。 值得注意的是,UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件,而不是挑选感兴趣的电子邮件。   转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332061.ht
2022年5月5日 16:51hackernews.cc
据调查,在近半年的时间里,英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后,这些攻击者于去年10月开始使用它们,并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的研究人员称,已经从英格兰和苏格兰员工的NHS电子邮件帐户发送出1000多条网络钓鱼邮件。 研究人员跟踪了来自NHS的两个IP地址的欺诈性消息,这些IP地址来自139名NHS员工的电子邮件帐户。INKY在其客户中检测到来自这两个地址的1,157封欺诈性电子邮件。随后NHS也确认这两个地址是用于管理大量账户的邮件系统。 在大多数情况下,网络钓鱼邮件带有虚假链接,根据邮件提示需要点击链接才能执行下一步操作,而虚假链接则会跳转到要求填写Microsoft凭据的钓鱼网站上面。为了使电子邮件更加可信,攻击者在邮件底部添加了NHS保密免责声明。 在INKY研究人员收集的其他样本中,网络钓鱼邮件通过添加公司徽标来冒充Adobe和Microsoft等品牌。并且钓鱼活动的范围很广泛,除了试图窃取凭证之外,还有一些预付费用的情况,比如攻击者告知接受者有200万美元的巨额捐款。当然,接收资金需要潜在受害者以个人详细信息(例如全名和地址、手机号码)的形式支付费用。 甚至还有人使用了Shyann Huels 的名字并假装自己是“杰夫·贝索斯先生的国际事务特别秘书”。 上图中的相同名称和消息已在4月初的诈骗中出现,该操作背后的个人拥有一个加密货币钱包地址,该地址收到了大约4.5个比特币,目前价值约 171,000 美元。 自从发现网络钓鱼活动以来,INKY一直与NHS保持联系。这家英国机构在4月中旬之后通过从本地 Microsoft Exchange 部署切换到云服务来解决风险。这一举措确实起到了不错的效果,虽然INKY客户继续收到欺诈信息,但数量要少得多。这是由于NHS为该国数以万计依赖各种技术解决方案的组织(例如医院、诊所、供应商、医生办公室)提供了基础设施。INKY的安全战略副总裁Roger Kay强调说,这些活动不是入侵 NHS电子邮件服务器的结果,而是单独劫持了帐户。   转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332063.html 封面来源于网络,如有侵权请联系删除
2022年5月5日 16:51hackernews.cc
近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。 通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。 目前,uClibc库被广泛应用于各大厂商,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。 Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为0x2值,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。 研究人员分析了可执行文件,发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。 Nozomi报告中写到,研究人员通过源代码审查发现,uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性,攻击者想要利用该漏洞,就需要制作包含正确源端口的DNS响应,并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。 如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应,暴力破解16位源端口值,同时赢得与合法响应的竞争。 最后,Nozomi报告总结道,截止该报告发布时,该漏洞仍未修复。开发者似乎无法修复该漏洞,自2022年1月以来,CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。   转自 FreeBuf ,原文
2022年5月5日 16:51hackernews.cc
近日,应用交付领域(ADN)全球领导者F5公司发布了一项安全警告,其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388,CVSS 3.0评分为9.8,危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令,执行文件操作,并禁用BIG-IP上的服务。 根据F5的安全研究显示,这个漏洞存在于iControl REST组件中,并允许攻击者发送未公开的请求以绕过BIG-IP中的iControl REST认证。 由于该漏洞的严重性以及BIG-IP产品的广泛应用,CISA(美国网络安全和基础设施安全局)也对此发出了警告。 受影响产品的完整名单如下: BIG-IP versions 16.1.0 to 16.1.2 BIG-IP versions 15.1.0 to 15.1.5 BIG-IP versions 14.1.0 to 14.1.4 BIG-IP versions 13.1.0 to 13.1.4 BIG-IP versions 12.1.0 to 12.1.6 BIG-IP versions 11.6.1 to 11.6.5 F5公司方面表示,目前已在版本v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4.6 和 v13.1.5 中引入了修复补丁。而版本12.x和11.x 可能将不会受到修复。 此外,在安全报告中,研究人员特别指出了BIG-IQ集中管理(Centralized Management),F5OS-A, F5OS-C,和Traffic SDC不会受到CVE-2022-1388的影响。 对于那些暂时不能进行安全更新的人,F5提供了以下3个有效的缓解措施:通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问;通过管理界面将访问限制为仅受信任的用户和设备;修改 BIG-IP httpd 配置。 在F5发布的安全报告中,我们可以看到关于如何完成上述操作的所有细节。但有些方法,如完全阻止访问可能对服务产生影响,包括破坏高可用性(HA)配置。因此,如果可以的话,安全更新仍然是最佳的途径。 由于F5 BIG-IP设备被企业广泛应用,这个漏洞就导致了攻击者获得对企业网络的初始访问权限的重大风险。对此,F5发布了一项通用性更高的安全报告,涵盖了在BIG-IP中发现和修复的另外17个高危漏洞。 更糟糕的是,自2020
2022年5月5日 16:51hackernews.cc
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分享了阻止勒索软件加密受害者文件的方法。 视频截图(来自:malvuln / YouTube) 据悉,许多勒索软件都会被 DLL 劫持所影响。通常攻击者会利用这种动态链接库来诱骗程序加载,以运行他们预期中的恶意代码。 但转念一想,你也大可合理利用该技术来“反劫持”并阻止某些类型的勒索软件。 视频链接:https://tv.sohu.com/v/dXMvODIyMjQwNTMvMzQ2MTE1MDg2LnNodG1s.html John Page 在网站上分享了针对 REvil、Wannacry、Conti 等最新版恶意软件的漏洞和自定义 DLL 的详情。 可知要顺利解套,DLL 需在攻击者可能放置恶意软件的潜在目录中守株待兔。 截图(来自:Malvuln 网站) John Page 还建议采用分层策略,比如将之放在包含重要数据的网络共享上。 由于动态链接库不会在勒索软件访问它们之前被调用,因而此举可无视绕过反病毒软件防护的勒索软件活动。 遗憾的是,DLL 反劫持套路只适用于微软 Windows 操作系统,而无法轻松照搬到 Mac、Linux 或 Android 平台上。 此外它只能尝试避免被勒索软件加密文件,而不能阻止被攻击者访问系统和泄露数据。   转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1265609.htm 封面来源于网络,如有侵权请联系删除
2022年5月5日 16:31hackernews.cc
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为寻求堕胎者提供联邦保护的先例,在此背景下,数据销售显然更为重要。如果该草案真的成为一项正式决定,它将立即在至少13个州完全或部分禁止堕胎权。 数据收集如何与堕胎权相交,或缺乏堕胎权,可能会在该草案之后聚集更多关注。该国还可能出现针对寻求或提供堕胎者的私刑活动或监视和骚扰形式的增加。由于任何人都可以在公开市场上获得这些汇总的位置数据,客户也可能包括反堕胎的人。反堕胎团体已经相当善于利用新技术来实现其目标。2016年,一位与反堕胎和基督教团体合作的广告CEO向坐在计划生育诊所的女性发送了有针对性的广告,试图改变她们堕胎的决定。位置数据的出售引起了人们的疑问,为什么公司要专门出售基于堕胎诊所的数据,以及他们是否应该在购买这些信息时引入更多的保障措施,如果要出售的话。 密切跟踪数据销售市场的网络安全研究员Zach Edwards在审查数据后,在一次在线聊天中告诉Motherboard:“拥有堕胎诊所,然后让人购买人口普查追踪人们从哪里来访问该堕胎诊所,这太危险了。这就是你如何对跨越州界进行堕胎的人进行泄密–你如何对提供这种服务的诊所进行泄密。” 例如,在得克萨斯州几乎全面禁止堕胎之后,得克萨斯州寻求堕胎的人越来越多地不得不前往其他州,那里的堕胎服务更容易获得他们需要的护理。随着罗伊案的失败,那些居住在保守州并有能力的人可能会开始旅行去做堕胎。位置数据可能会影响到是否以及如何识别这种旅行,这使得监管机构和立法者更迫切需要考虑如何收集、使用和出售位置数据。 据悉,出售这些数据的公司是SafeGraph。SafeGraph最终从安装在人们手机上的普通应用程序中获取位置数据。通常情况下,应用程序开发人员在他们的应用程序中安装代码,称为软件开发工具包(SDK),将用户的位置数据发送给公司,以换取开发人员的付款。有时,应用程序用户并不知道他们的手机正在收集和发送位置数据给第三方,更不用说Motherboard报道的一些更危险的使用情况,包括将数据传输给美国军事承包商。计划生育协会不是进行数据收集的组织,也没有从中获得经济利益。
2022年5月5日 11:51hackernews.cc
法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。” 法新社报道截图 去年7月,这款可用来监视各界人士行踪的以色列间谍软件也被多家媒体曝光,在国际社会引起轩然大波。据英国广播公司(BBC)报道,以色列软件监控公司NSO向一些国家售卖了一款名为“飞马”的手机间谍软件,用以监控记者、律师、人权活动人士甚至各国的相关政要。 报道称,“飞马”软件可以轻而易举地入侵苹果和Android系统,并轻松截取手机里的各类讯息、图片、视频、电邮内容、通话记录,甚至可以秘密开启麦克风进行实时录音。报道还说,NSO公司的“飞马”软件“可能是目前最强大的间谍软件”。虽然遭多方调查,但这家公司对此予以否认。   转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1264749.htm 封面来源于网络,如有侵权请联系删除
2022年5月5日 11:31hackernews.cc
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。 援引科技媒体 BleepingComputer 报道,目前已经有多例感染报道,似乎覆盖全球各地。这款恶意程序伪装为 Windows Update 更新,并连接了以下虚假的 knowledge base (KB) ID。 这些恶意更新是通过warez和盗版网站传播的。一旦恶意文件被安装,它们会继续删除加密驱动器的备份卷影副本,并创建一个包含赎金说明的”README”HTML文件(如右侧图片所示)。 在勒索软件的付款网站上,威胁者要求受害者支付大约2600美元或0.068比特币(BTC),如果五天不付款,赎金就会翻倍。   转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1264377.htm 封面来源于网络,如有侵权请联系删除
2022年5月5日 10:31hackernews.cc
电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规划和建设全国各地的电动汽车充电站的广泛网络,这是确保全面采用该技术的关键任务。 目前的加油站网络花了几十年时间从美国的一端延伸到另一端,现在电动汽车充电站也在进行类似的工作。如此规模的基础设施项目毕竟需要全面的规划和大量的投资。 在电动车的使用和保持电池满载的计划中,一个对许多发展中的技术而言非常熟悉的挑战浮出水面:电动车充电站网络的安全。 今年早些时候,一名19岁的技术安全专家利用第三方软件应用,入侵了世界各国的25辆特斯拉汽车。这是第一起报道的第三方应用程序被用来入侵并获得对车辆数据和控制的完全访问的事件。对特斯拉来说,网络安全是一个致命的严重问题,但黑客仍然找到了破坏其系统的方法。随着电动汽车的不断发展和占领道路,全国各地数以千计的可能没有保护的电动汽车充电站成为网络攻击者的诱人目标。如果不大力强调网络安全,这些充电站可能成为黑客的超级高速公路。 如果电动车充电站没有配备灵活、彻底的网络安全措施,就很容易受到黑客攻击。从本质上讲,电动汽车充电基础设施是一个等待另一个设备连接并开始通信的设备,没有第三方防火墙或其他网络安全设备作为保护,所以网络安全技术必须直接建立在充电站本身。第三方往往是必要的安全技术,因为它往往缺乏适当的网络保护。电动汽车充电站的快速采用也助长了其脆弱性,因为某些安全措施可能被忽视。正因为如此,电动汽车充电站在黑客面前显得非常脆弱。 保护充电站不被入侵的最佳策略是持续监测网络攻击,包括已知和未知的攻击。例如,在开发的后期阶段利用技术解决方案,是确保联网车辆和智能移动生态系统安全的一个重要方面,使公司能够实时监控他们的整个基础设施和车辆,利用汽车专用的分析方法来检测威胁。 电动汽车充电基础设施与其他任何连接设备一样容易受到网络威胁。然而,技术的复杂性和匆忙的演变使它特别容易受到威胁。我们很容易忘记,它们需要同样的保护,以确保它们不会为网络犯罪分子敞开大门。随着电动车车队的不断扩大,我们必须专注于先进的网络安全措施,以保证每个人在路上的安全,并确保我们的车辆所包含的关键数据的安全。   转
2022年4月29日 13:51hackernews.cc
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询问它应该针对哪家公司,而可口可乐公司获得了最多的选票。据 CISO Advisor 报道,被盗文件中包括金融数据、密码和商业账户。 Stormous 是黑客世界中的一个相对新成员,但在今年年初获得了关注。他们说他们从Epic Games 窃取了 200GB 的数据,后来当它宣布支持俄罗斯入侵乌克兰时成为头条。目前仍不清楚该组织的总部在哪里,The Record 报道说它的大部分信息都是用阿拉伯语。   转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263867.htm 封面来源于网络,如有侵权请联系删除
2022年4月29日 13:31hackernews.cc
隐私和安全成为了 Play Store 的更高优选项。Google 近期封杀第三方通话录音应用之外,还引入了“data safety”(数据安全)部分,要求开发人员提供更多关于他们收集的任何用户数据及其背后目的的信息。现在,Google 公开了 2021 年关于 Play Store 安全的统计数据。 Google强调,仅在 2021 年,它就禁止了 19 万个恶意和垃圾邮件的开发者账户。作为对比,这一数字在 2020 年为 11.9 万。同样,120 万个违反 Google Play 政策的应用程序被删除,该公司表示,这意味着它防止了数十亿次潜在的有害安装。超过 50 万个不活跃和被放弃的开发者账户也被关闭。 Google还回顾了其最近在使 Play Store 成为消费者更安全的空间方面的努力。它提到了“data safety”部分的推出,为开发者提供了一个中央应用政策管理界面,并努力让数十亿消费者更加安全。 该公司指出,迁移到 Android 11 的 98% 的应用程序减少了对敏感 API 的访问。这包括 Accessibility API,它现在只允许用于其预期的用途,而不是呼叫记录。   转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263525.htm 封面来源于网络,如有侵权请联系删除
2022年4月29日 13:31hackernews.cc
Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去年撰写的,该团队的任务是“在人与企业之间建立有意义的联系”,根据最近一份Facebook工作清单上对该团队的描述,该团队“处于Facebook货币化战略的中心,是推动公司发展的引擎”。 这个团队的任务是建立和维护Facebook庞大的广告系统,这是该公司业务的核心。在这份文件中,该团队发出了警告,并呼吁改变Facebook处理用户数据的方式,以防止该公司与欧洲、美国、印度和其他国家的监管机构发生冲突,这些国家正在推动对社交媒体公司实施更严格的隐私限制。 文件中写道:“我们无法完全掌控系统如何使用这些用户数据,因此我们无法自信地对外界做出‘不会将X数据用于Y用途’这样坚定的承诺。然而,这正是监管机构希望我们做到的事情,这增加了我们出错和误报的风险。”。 换句话说,在这份文件中,连Facebook自己的工程师也承认,一旦用户数据进入Facebook的系统,他们也很难弄清楚数据的去向。Facebook内部将这个问题称为“数据沿袭” 近年来,世界各地的监管机构都试图限制Facebook等平台对用户数据的使用。其中最著名、最重要的法规之一是欧盟的《通用数据保护条例》(GDPR),该条例于2018年5月生效。其中第5条规定,个人数据必须“为特定、明确和合法的目的收集,不得使用与这些目的不符的方式对数据进行处理。” 这意味着,Facebook获取的每一条数据,例如用户的位置或宗教取向,都只能被收集并用于特定目的,而不能再用于其他目的。 Facebook发言人否认这份泄露的文件显示公司违反了隐私规定。 “考虑到本文件没有描述我们在遵守隐私法规过程中的大量流程和控制措施,因此将这份文件作为我们违反隐私法规的证据是不严谨的。全球各地的新隐私法规引入了不同的要求,本文件反映了我们正在构建的技术解决方案,以扩展我们现有的数据管理和履行法律义务的措施。”这位发言人在通过电子邮件发送的声明中说。 一些隐私专家表示,他们认为该文件承认Facebook无法遵守法规。这些专家此前一直在与Facebook进行抗争,希望Facebook对私人数据的使用受到限制。
2022年4月29日 10:51hackernews.cc
据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻名。 Sandworm可能因2017年的NotPetya勒索软件攻击而闻名,该攻击主要打击了乌克兰的计算机系统,破坏了该国的电网,导致数十万居民在深冬时节无电可用。2020年,美国检察官起诉了同样的六名 Sandworm黑客(据信他们仍在俄罗斯),罪名是NotPetya攻击,以及针对2018年韩国平昌冬奥会的其他几起攻击,以及为诋毁法国当时的总统竞选人马克龙而进行的黑客和泄密行动。 美国国务院在本周的一份声明中说,NotPetya攻击波及到乌克兰以外的更广泛的互联网,给美国私营部门,包括医疗设施和医院,造成了近10亿美元的损失。 赏金的时机正值美国官员警告称,包括 Sandworm 在内的俄罗斯支持的黑客可能正在准备针对俄罗斯入侵乌克兰后针对美国企业和组织的破坏性网络攻击。 自2月入侵开始以来,安全研究人员已经将几起网络攻击归咎于 Sandworm,包括使用“wiper”恶意软件削弱乌克兰军队严重依赖的Viasat卫星网络。乌克兰政府本月早些时候表示,它已经挫败了另一个Sandworm企图,即利用它在2016年对乌克兰发动的网络攻击中重新使用的恶意软件,将一家乌克兰能源供应商作为攻击目标。 美国联邦调查局本月还表示,它开展了一项行动,通过锁定 Sandworm黑客约一半的僵尸网络指挥和控制服务器,瓦解了一个感染了数千台受损路由器的大规模僵尸网络,其中包括许多位于美国的僵尸网络。 根据微软的新研究, Sandworm还被指责与乌克兰的其他几起破坏性网络攻击有关,作为该组织通过削弱乌克兰的经济来支持俄罗斯军事目标的努力的一部分。 微软表示,作为其命名网络对手的金属主题公约的一部分,它称之为“Iridium”的 Sandworm 还对乌克兰西部的一家运输和物流提供商的网络发起了破坏性攻击,该公司称这可能是为了阻碍乌克兰向该国东部冲突地区提供进入该国的大部分军事装备和人道主义援助的努力。 这家技术巨头还警告说, Sandworm–以及另一个被称为Fancy Bear的GRU黑客组织–继续攻击
2022年4月29日 10:31hackernews.cc
Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchpad(TCL)公司,该客户使用的是 Cloudflare 的 Professional 计划,在攻击发生的不到 15 秒内,Cloudflare 为其提供了防御。其他 Cloudflare 客户也自动受到保护,不受这个僵尸网络的影响,不需要采取任何行动。 The Crypto Launchpad 是为所有新的加密货币项目提供的一站式解决方案。它协助其客户从开发代币到上市和营销。CL是一个领先的机构,帮助其客户以低于官方的价格在世界顶级交易所上市其硬币/代币。 据报道,Cloudflare 有史以来遇到的最大攻击是在去年 8 月,当时一个僵尸网络进行了 1720 万 rps 的 DDoS 攻击,但这是用 HTTP 流量进行的,而在最新攻击中使用了 HTTPS 流量。Cloudflare 表示,使用 HTTPS 使攻击者和试图缓解攻击的受害者付出更多代价。 Cloudflare 指出,这次攻击主要来自数据中心,它注意到更多的攻击来自云计算 ISP,而不是住宅网络 ISP。这个僵尸网络涉及 6000 个独特的僵尸,来自世界各地的 112 个国家。托管机器人最多的国家包括印度尼西亚、俄罗斯、巴西、印度、哥伦比亚和美国。攻击来自 1300 多个网络,其中最主要的网络包括 Hetzner Online GmbH, Azteca Comunicaciones Colombia 和 OVH。     转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263411.htm 封面来源于网络,如有侵权请联系删除
2022年4月29日 10:31hackernews.cc
近日名为 Nimbuspwn 的漏洞组合被曝光,可以让本地攻击者在 Linux 系统上提升权限,部署从后门到勒索软件等恶意软件。微软的安全研究人员在今天的一份报告中披露了这些问题,并指出它们可以被串联起来,在一个脆弱的系统上获得 root 权限。 Nimbuspwn 存在于 networkd-dispatcher 组件,该组件用于在 Linux 设备上发送连接状态变化,目前已经以 CVE-2022-29799 和 CVE-2022-29800 进行追踪。 发现这些漏洞是从“监听系统总线上的消息”开始的,这促使研究人员审查 networkd-dispatcher 的代码流。微软研究员Jonathan Bar Or在报告中解释说,Nimbuspwn 的安全缺陷是指目录穿越、符号链接竞赛和检查时间-使用时间(TOCTOU)竞赛条件问题。 一个引起兴趣的观察结果是,networkd-dispatcher守护进程在启动时以系统的根权限运行。研究人员注意到,该守护进程使用了一种名为”_run_hooks_for_state”的方法,根据检测到的网络状态发现并运行脚本。 它使用名为 subprocess.Popen 的进程运行上述位置的每个脚本,同时提供自定义环境变量。微软的报告解释说,”_run_hooks_for_state”有多个安全问题。 ● 目录遍历(CVE-2022-29799):流程中没有一个函数对OperationalState或AdministrativeState进行消毒。这些状态被用来建立脚本路径,因此一个状态可能包含目录遍历模式(例如”…/…/”),以逃离”/etc/networkd-dispatcher”基本目录。 ● 符号链接竞赛:脚本发现和subprocess.Popen都遵循符号链接。 ● 检查时间-使用时间(TOCTOU)竞赛条件(CVE-2022-29800):脚本被发现和它们被运行之间有一定时间。攻击者可以滥用这个漏洞,将networkd-dispatcher认为由root拥有的脚本替换成不属于root的脚本。     转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1263423.htm 封面来