当前节点:hackernews.cc
时间节点
2022年4月25日 16:30hackernews.cc
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 : Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18 Oracle GraalVM 企业版:20.3.5、21.3.1、22.0.0.2 该漏洞被称为 Psychic Signatures,与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关,这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误,能够允许呈现一个易受攻击的完全空白的签名,攻击者可以此利用伪造签名并绕过身份验证措施。 Nassar 证明,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 握手的其余部分继续进行。 据悉,漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现,并于当天就通报给了甲骨文(Oracle),Madden表示,这个漏洞的严重性再怎么强调都不为过。 目前,甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞,但由于PoC代码的公布,建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/330953.html 封面来源于网络,如有侵权请联系删除
2022年4月25日 16:10hackernews.cc
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如:8.13.18之前的Atlassian Jira Server、Data Center版本、8.14.0到8.20.6之间的版本、8.21.0到8.22.0之间的版本。该漏洞还影响 4.13.18 之前的Atlassian Jira Service Management Server和Data Center版本、4.14.0到4.20.6之间的版本、4.21.0到4.22.0之间的版本。 根据公司发布的相关公告,Jira和Jira Service Management容易受到其Web身份验证框架中的身份验证绕过的攻击。尽管该漏洞位于Jira的核心,但它会影响在webwork1操作命名空间需要特定角色的第一方和第三方应用程序。对于被影响的特定操作,该操作还不需要执行任何其他身份验证或授权检查。远程、未经身份验证的攻击者可以通过发送特制的HTTP请求来利用这一点,以使用受影响的配置绕过WebWork操作中的身份验证和授权要求。 该公司为那些无法安装固定版本的Jira或Jira Service Management并使用任何受影响的应用程序的用户提供了缓解措施。它建议用户将任何受影响的应用程序更新到不受影响的版本。使用“确定受影响的应用程序”部分中列出的任何应用程序以及受影响的所有应用程序版本的客户可以通过禁用该应用程序来降低安全风险,直到他们能够安装Jira或Jira Service Management的固定版本。 该漏洞由Viettel Cyber Security的Khoadha报告。9月,趋势科技研究人员在Windows和Linux 的Atlassian Confluence部署中发现了正在积极利用另一个关键远程代码执行漏洞的加密挖掘活动,该漏洞编号为CVE-2021-26084 。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/330970.html 封面来源于网络,如有侵权请联系删除
2022年4月25日 16:10hackernews.cc
据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。 据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度,每个漏洞最多可获得5,000美元的奖励。 “在‘Hack DHS’的第一阶段,安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”,国土安全部首席信息官(CIO)Eric Hysen对媒体表示道,“随着‘Hack DHS’项目的进展,我们期待进一步加强我们与研究人员群体的联系与合作。” “Hack DHS”项目的建立借鉴了美国联邦政府和私营部门类似成果的经验,比如“黑掉五角大楼”(Hack the Pentagon)项目。 事实上,国土安全部第一次推出漏洞赏金试点项目是在2019年,这比“Hack DHS”还要早两年。当时,《安全技术法案》(SECURE Technology Act)正式签署成为法律,要求政府组织建立安全漏洞披露政策和赏金项目。 旨在为其他政府组织树立榜样 “Hack DHS” 漏洞赏金项目成立于2021年12月。项目要求黑客们披露自己发现的漏洞以及漏洞相关的详细信息。例如,如何利用该漏洞,以及如何利用该漏洞访问国土安全部系统的数据。 所有报告的安全漏洞将在48小时内由国土安全部安全专家进行验证,并在15天内(有时需要更长时间)完成内修复,具体时间取决于漏洞的复杂性。 在“Hack DHS”项目启动一周后,国土安全部扩大了赏金的范围,允许研究人员追踪受 Log4j 相关漏洞影响的国土安全部系统。此前,美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,要求联邦民事行政部门在12月23日前为自身的系统打补丁,以应对严重的Log4Shell漏洞。 对此,国土安全部部长Alejandro N. Mayorkas表示:“包括国土安全部等联邦机构在内的各规模各部门的组织都应该保持警惕并采取措施加强其网络安全。而‘Hack DHS’项目正是兑现了我们部门以身作则,保护国家网络和基础设施免受威胁的承诺。”   转自 FreeBuf,原文链接:https://www.freebuf.com/news/331076.html 封面来源于
2022年4月24日 11:51hackernews.cc
Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。 在网上购买了员工的凭证后,这些成员可以使用公司的内部工具–如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话,将其号码转移到攻击者拥有的设备上。从那里,攻击者可以获得该人的手机号码所收到的短信或电话,包括为多因素认证而发送的任何信息。 Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点,因为需要额外的验证措施。 “几周前,我们的监控工具检测到一个有害行为者使用偷来的凭证进入内部系统,并在这些系统里操作工具软件,我们的系统和程序按照设计工作,入侵被迅速关闭和封闭,所使用的受损凭证也被淘汰了。”T-Mobile事后这样回复。 多年来,T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据,但过去的事件却影响过客户的数据。2021年8月,一个漏洞暴露了属于4700多万客户的个人信息,而就在几个月后发生的另一次攻击暴露了”少量”的客户账户信息。 Lapsus$作为一个主要针对微软、三星和NVIDIA等大型科技公司源代码的黑客组织,已经声名鹊起。据报道,该组织由一名十几岁的主谋领导,还针对育碧公司、苹果健康合作伙伴Globant和认证公司Okta。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261769.htm 封面来源于网络,如有侵权请联系删除
2022年4月24日 11:31hackernews.cc
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下过佳绩。 本次挑战期间,俩人将目标瞄向了名为“OPC UA”的工业控制软件。其采用的开源通信协议,被广泛应用于连接全球电网和其它关键基础设施等工业系统。 尽管攻破 OPC UA 已经让外人感到相当不安,Keuper 和 Alkemade 仍声称这是他们能够搞定的“最简单”的系统。 Keuper 在接受 MIT 科技评论采访时称:“在工业控制系统中,仍有许多隐患可被轻松利用,该领域的安防已经严重落后于现实世界”。 Alkemade 补充道,在工控环境中的操作相当容易得逞。事实上,俩人还攻击了其它几套基础设施系统,但仅耗时两天就攻破了 OPC UA 。 Daan Keuper 和 Thijs Alkemade 收到了 Master of Pwn 奖杯与夹克 Keuper 指出:“OPC UA 被用于连接世界各地的基础设施,作为典型的工业网络核心组件,我们可绕过通常需要读取或修改任何内容的身份验证”。 正因如此,他们才花了几天时间就找到了突破口,并最终成功入侵了被世人认为相当重要的工控系统。 联想到俄乌冲突期间发生的针对能源、水利、以及核基础设施系统的网络攻击,相关行业显然需要打起十二分精神去巩固安全措施。 最后,虽然报道未提及开发者是否已经修补了 OPC UA 漏洞,但考虑到 Pwn2Own 赛事主办方 Zero Day Initiative 的“私下披露奖励政策”,目前暂可推定它是安全的。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261601.htm 封面来源于网络,如有侵权请联系删除
2022年4月24日 11:31hackernews.cc
截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。 当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。 据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。   转自 央视网  封面来源于网络,如有侵权请联系删除
2022年4月24日 11:11hackernews.cc
宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。 他们发现,在COVID-19大流行的早期,在美国某些州,表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员说,这些发现有可能被用来开发一个低成本的早期预警系统,以确定哪里最需要食品安全干预措施。 研究人员表示,COVID-19大流行病的发生及其相关的供应链中断引发了全世界对食物获取和供应的担忧,许多人在社交媒体上表达了这些担忧。研究人员想看看实时推文是否可以用来确定面临粮食供应或不安全问题的特定州或地区。研究人员不是只看与食物不足有关的推文数量,而是想知道人们对他们的食物状况的实际感受。利用人工智能,他们确定了与推文相关的情绪和情感,这使他们能够将表达对食品供应的担忧的推文与表达救济或满足的推文分开。 在分析的推文中,最常表达的情绪是喜悦,研究人员将其解释为反映了广泛的宽慰,即尽管早期对食物短缺的担忧,美国的食物供应在大流行期间仍然相对稳定。表达愤怒、厌恶和恐惧等负面情绪的推文与某些州的实际食物不足问题密切相关。为了开展这项上周在线发表在《应用经济视角与政策》杂志上的研究,研究人员使用了一个被称为GeoCoV19的数据集,其中包含来自世界各地的数亿条与COVID-19有关的多语言推文。他们只选择了源自美国并在2020年2月1日至8月31日期间发布的英语推文。他们进一步缩小了所得推文的范围,只包括那些含有与粮食不安全有关的语言的推文。 他们使用的人工智能语言模型可以检测出这些推文中负面、中性和正面的情绪;以及愤怒、厌恶、恐惧、喜悦、悲伤、惊讶或中性的情绪。研究人员还绘制了美国各州的推文,以便将他们的发现与美国人口普查家庭脉搏调查(HPS)的实际食物不足数据进行比较,该调查是每周在网上对随机选择的美国家庭代表样本进行的全国性调查,询问参与者在前一周和大流行病开始之前是否有时或经常没有足够的食物。 当对所有州的六个月期间进行平均时,表达愤怒、厌恶和恐惧情绪的推文与HPS中报告的实际州级食物不足率明显相关。在州一级,表达恐惧的推文与加利福尼亚州、伊利诺伊州、纽约州、德克萨斯州和威斯康星州的实际食物不足率的相关性最强。表达愤怒或厌恶的推文与加利福尼亚州、伊利诺伊州、纽约州、德克萨斯州和威斯康星州的食物短缺率呈正相关。   
2022年4月24日 11:11hackernews.cc
美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可图的目标,由于它们在农业生产中扮演着时间敏感的角色,他们愿意付费,”BlackFog首席执行官兼联合创始人Darren Williams博士说。”去年,我们看到最大的肉类加工公司之一JBS食品公司、价值数十亿美元的乳制品公司Schreiber、位于明尼苏达州的农场供应和谷物营销合作社Crystal Valley以及位于爱荷华州的农场服务提供商NEW Cooperative等受到攻击后,食品供应中断了。 Williams补充说:”不幸的是,勒索软件攻击正在以无与伦比的速度增加,许多组织仍然依赖过时的技术来防御它们,因此,针对我们的食品供应的破坏性攻击的机会比以往任何时候都高。” 俄罗斯与乌克兰之间近期爆发的战争也凸显了粮食安全问题,这可能会看到许多国家认真对待这一威胁,英国也已经发布了类似的指导意见。 Comparitech公司的安全专家Brian Higgins说:”农民和食品生产已经被网络犯罪分子盯上一段时间了。英国国家网络安全中心(NCSC)在2020年12月发布了指南,美国当局也在跟进,这并不奇怪。犯罪分子总是会在最脆弱的地方攻击他们的目标,以最大限度地施加压力来满足他们的要求。这就是为什么种植和收获季节是农业界特别感兴趣的原因。再加上COVID-19大流行带来的持续的供应链困难,你就会明白为什么这个行业需要提高它的游戏规则并认真对待这些威胁。农民的利润率传统上是非常微薄的,所以一次成功的攻击可能对个别企业或集体造成难以置信的伤害。如果网络犯罪分子来敲门,基本的网络保护必须到位。” Armis公司的首席信息官Curtis Simpson警告说,”许多食品和农业供应链也是由小型企业促成的。其中一些业务已经受到大流行病的影响,任何此类攻击都可能使他们永远失去业务。再一次,当这种情况发生时,从食品服务提供者到餐馆到医院和消费者的下游业务都会遭遇产品采购问题。”   转自 cnBeta ,原文链接:http
2022年4月22日 14:50hackernews.cc
由周四发布的“网络垃圾”(Webspam)报告可知,谷歌搜索在 2021 年过滤的垃圾网站数量、竟是 2020 年的六倍。据悉,作为 Alphabet 旗下子公司,Google 有一套名为 SpamBrian 的人工智能垃圾过滤系统,并且可在超过 99% 情况下实现“不受垃圾所困扰”(spam-free)的搜索体验。 (来自:Google Search Central Blog) 此前,SpamBrain 已被这家搜索巨头用于防止用户点击那些可能被注入了恶意软件的有害网站、或旨在诱骗人们泄露个人信息 / 汇款的诈骗站点。 Google 表示,鉴于垃圾信息散播者在持续不断地找到绕过过滤机制的方法,基于人工智能的筛查系统也是相当必要的。 需要指出的是,搜索是 Google 的重要收入来源之一。而高质量和安全的网站搜索结果,也对该公司来说至关重要。 经过多年摸索,垃圾网站制作方早已精通搜索引擎优化(SEO)技术,来人为地提升其搜索排名。 作为应对,Google 也迫切需要排除掉那些利用欺诈算法的垃圾网站。 截至目前,Google 已借助 SpamBrain 将垃圾站点砍掉 70%,其中包括被黑客入侵并植入有害代码的感染站点。若被其得逞,受害者将被窃取登录凭据等机密信息。 其它类型的垃圾站点,还涉及将恶意软件注入受害者的计算机、或诱导重定向至恶意站点。庆幸的是,Google 声称 SpamBrain 能够将这类害群之马排除在搜索结果之外。 Google 政策沟通经理 Ned Adriance 在一封电子邮件中提到: 欺诈者经常拙劣地模仿其它网站,常见套路是填充替换关键词、假借品牌徽标、并附上想要引诱受害者拨打的电话号码。 而 Google 的 SpamBrain 算法方案,能够基本上确保此类欺诈型站点出现在相关搜索结果页面中,且过滤了 75% 的乱码垃圾站点。 这些垃圾站点往往在一堆无意义的文本中填充大量关键词,以试图提升其搜索排名。有时甚至会砸钱挂上垃圾链接,来诱骗搜索引擎的爬虫和抬升 PageRank 品质评分。 对于用户来说,时间总是相当宝贵的。而 Google 的各种解决方案,就希望为用户带来更好的内容检索体验。 【背景资料】 Google 于 2018 年推出的 SpamBrain 系统,且与近 20 年前刚开始治理恶意网站时相比,去年搜索过滤的垃圾站点数量已暴增 200 倍。 即便如此,这场“道高一尺魔高一丈
2022年4月22日 14:30hackernews.cc
近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-of-Bounds”安全漏洞,容易被黑客控制。 该漏洞存在于 ALAC 中,它通常被称为苹果无损音频编解码器。ALAC 是苹果公司早在 2004 年就推出的一种音频格式。顾名思义,该编解码器承诺在互联网上提供无损音频。 虽然苹果公司设计了自己的 ALAC 专利版本,但存在一个开源版本,高通公司和联发科在Android智能手机中依赖该版本。值得注意的是,这两家芯片组制造商都在使用一个自 2011 年以来没有更新过的版本。 在一篇试图解释安全漏洞的博客文章中,Check Point写道: 我们的研究人员发现的 ALAC 问题可以被攻击者用来通过畸形的音频文件对移动设备进行远程代码执行攻击(RCE)。RCE 攻击允许攻击者在计算机上远程执行恶意代码。RCE 漏洞的影响范围很广,从恶意软件的执行到攻击者获得对用户多媒体数据的控制,包括从被攻击机器的摄像头中获得流媒体。 高通公司一直在用 CVE 识别标签 CVE-2021-30351 追踪该漏洞,而联发科则使用 CVE ID CVE-2021-0674 和 CVE-2021-0675。撇开技术术语不谈,开源版苹果无损检测中的漏洞可被无特权的Android应用利用,将其系统权限升级到媒体数据和设备麦克风。这基本上意味着应用程序不仅可以窃听电话交谈,还可以窃听附近的谈话和其他环境声音。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261179.htm 封面来源于网络,如有侵权请联系删除
2022年4月22日 11:10hackernews.cc
虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。 在攻击获得系统权限之后,该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike,并创建了一个名为“user”的新系统管理员账户。 然后,攻击者使用 Mimikatz(一款功能强大的轻量级调试神器)来窃取域管理员的 NTLM 哈希值,并获得对该账户的控制。在成功入侵后,Hive 进行了一些发现,它部署了网络扫描仪来存储 IP 地址,扫描文件名中含有”密码”的文件,并尝试RDP进入备份服务器以访问敏感资产。 最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷,用于窃取并加密文件,删除影子副本,清除事件日志,并禁用安全机制。随后,会显示一个勒索软件的说明,要求该组织与Hive的”销售部门”取得联系,该部门设在一个可通过 Tor 网络访问的.onion 地址。 被攻击的组织还被提供了以下指示: ● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。 ● 不要修改或重命名加密的文件。你会失去它们。 ● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。 ● 不要雇用恢复公司。没有密钥,他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者,但事实并非如此。他们通常会失败。所以要为自己说话。 ● 不要拒绝(sic)购买。渗出的文件将被公开披露。 如果不向Hive付款,他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时,以迫使受害者付款。 该安全团队指出,在一个例子中,它看到攻击者在最初入侵的72小时内设法加密环境。因此,它建议企业立即给Exchange服务器打补丁,定期轮换复杂的密码,阻止 SMBv1,尽可能限制访问,并在网络安全领域培训员工。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261193.htm 封面来源于网络,如有侵权请联系删除
2022年4月22日 10:50hackernews.cc
一名安全研究人员发现了Cue Health公司家用COVID-19检测试剂盒的一个漏洞,可能会让用户伪造结果。Cue Health的COVID-19检测试剂盒是一种蓝牙操作的分子测试,可以在20分钟内检测出阳性标本。该系统使用鼻拭子测试冠状病毒,鼻拭子被插入一个一次性盒中,由电池供电的Cue阅读器进行分析,然后通过蓝牙将结果传送到接受测试者手机上的Cue Health应用程序。 2021年3月,Cue的系统成为第一个获得美国食品和药物管理局紧急授权用于家庭和非处方药的COVID-19分子测试套件。 虽然FDA当时对Cue Health的COVID-19测试的创新方法表示赞赏,但F-Secure公司的企业安全业务WithSecure的安全顾问Ken Gannon发现了测试套件的一个缺陷,可能会使测试结果被修改。这是第二次在连接的COVID-19测试中发现安全漏洞,该研究人员最近在Ellume的COVID-19家庭测试中暴露了类似的漏洞,使人们对在联邦政府的紧急批准权下匆忙上市的测试套件完整性产生了怀疑。 该漏洞(现已修复)是在Cue Reader与Cue Health应用程序通过蓝牙使用Protobuf协议进行通信的过程中发现的,该协议以易于阅读的数据块呈现测试数据。阅读器生成的数据块以”10 02″结尾,表示COVID-19测试结果为阳性,或以”10 03″结尾,表示阴性。Gannon开发了一个脚本,使他能够通过操纵这些数字拦截和修改数据。通过改变结果中的一个数字,或”比特翻转”,可以将阴性结果改为阳性结果,并获得一份验证结果有效的证书。 将阳性结果改为阴性结果的过程基本相同,这可能会造成问题。阴性的COVID-19测试已经成为许多活动的要求,包括进入美国旅行。就目前而言,翻转这些位子所需的技能水平有点高,一个人需要有像样的知识进入黑客移动应用程序,并在Cue的应用程序中运行自定义代码。 然而Ken Gannon一直担心Android应用的黑客定制攻击能力,以便普通消费者可以做同样的黑客攻击。正因为如此,Ken Gannon特意披露了只有逆向工程师才能理解和使用的技术细节和定制代码。Gannon与Cue Health分享了他的研究,Cue Health表示,除了WithSecure报告的结果外,它没有发现任何伪造的测试结果,但表示它已经增加了
2022年4月22日 10:30hackernews.cc
欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。 据四位知情人士透露,《数字服务法》(DSA)将禁止根据用户的宗教信仰、性别或性取向对用户进行分类和内容定位。DSA是一个立法方案,首次为大型科技公司如何保证用户的网络安全制定了规则。它是在欧盟通过《数字市场法》一个月后出台的,因为欧盟正在推进20多年来对管理世界上最大技术公司的法律进行最大改革。 根据《数字市场法》,导致人们不情愿地点击互联网上的内容的操纵性技术,即所谓的黑暗模式,也将面临禁止。欧盟负责数字政策的执行副主席玛格丽特-维斯塔格说,她希望在周五取得突破。她补充说,DSA将使监管机构能够采取行动,使用户能够”安全上网,购买产品和表达自我”。 作为成员国、欧盟委员会和欧洲议会在布鲁塞尔达成的协议的一部分,儿童将受到新的保障措施的约束,这意味着YouTube或TikTok等在线平台将需要以未成年人能够理解的方式解释其条款和条件。根据新规则,Facebook母公司Meta等公司将不能以未成年人为目标进行广告宣传。 DSA表明,网络平台不能为所欲为,它们不能单方面设定用户可以或不能看到的条款。监管机构还将包括一个紧急机制,迫使平台披露他们在Covid-19和乌克兰战争中采取了哪些措施来处理错误信息或宣传。 中型平台可能会有一个宽限期,直到它们能够完全遵守新规则,而Google和亚马逊等大型平台将在规则颁布后必须遵守。大型平台的定义是在集团内至少有4500万用户,每年将支付2000万至3000万欧元的监督费用。那些违反规则的公司将面临高达6%全球营业额的罚金。 搜索引擎也将受到新规则的约束,这意味着当涉及到用户在其搜索平台上传播虚假信息时,Google等公司将不得不评估和减少风险。虽然监管机构预计将在周五达成协议,但一些人警告说,最终协议可能在最后一刻发生变化。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1261067.htm 封面来源于网络,如有侵权请联系删除
2022年4月22日 10:10hackernews.cc
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。   (来自:CISA) 周三的联合公告,建立在 FBI、CISA 和 NSA 于今年 1 月发布过的类似公告的基础之上,揭示了针对美国关键基础设施部门的俄罗斯黑客攻击威胁有所加剧。 CISA 主任 Jen Easterly 补充道:近期情报表明俄政府正探索针对美国关键基础设施的潜在网络攻击选项。 而与跨机构国际合作伙伴共同发布的此公告,旨在强调受俄政府支持和结盟的网络攻击组织的威胁和能力。 在官方给出的建议中,包括了对组织里的关键基础设施加强防御,以保护其信息技术(IT)和运营技术(OT)网络不受各种网络威胁的影响 —— 包括勒索软件、破坏性恶意软件、DDoS 攻击、以及网络间谍活动等。 CISA 建议优先修补那些已在野外被积极利用的漏洞、落实多因素身份验证,并为远程桌面协议(RDP)套上一道安全门。 同时对于终端用户来说,也应开展有针对性的培训,以提升其对于网络安全的忧患意识。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260917.htm 封面来源于网络,如有侵权请联系删除
2022年4月21日 16:31hackernews.cc
在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbury 写道,公司内部安全专家已携手一家全球公认的网络安全企业开展了彻底调查,现能够得出如下结论 —— 该事件的影响,远低于 3 月 22 日披露的预估范围。 【事件回顾】2022 年 1 月 21 日,Lapsus$ 黑客远程访问了属于 Sitel 员工的机器,进而入侵了 Okta 的系统,因为该公司分包负责了 Okta 的部分客户服务。 两个月后,一名 Lapsus$ 成员在电报群里分享了 Okta 内部系统的屏幕截图,让该公司内部安全团队的颜面尽失。 由于 Okta 扮演着管理诸多其它技术平台访问权限的身份验证中心的角色,本次攻击也引发了相当大的恐慌情绪。 对于使用 Salesforce、Google Workspace 或 Microsoft Office 365 等企业软件的公司客户来说,Okta 提供了单点安全访问,允许管理员控制用户的登录方式、时间和地点。 在最坏的设想下,黑客甚至能够通过渗透 Okta、将某个公司的整个软件堆栈“一锅端”。庆幸的是,在上月的简报会上,Okta 声称措施得当的安全协议,成功阻挡了黑客对内部系统的访问。 随着正式调查报告的公布,Bradbury 的表述也得到了验证。尽管早期报告预估未经授权的访问时长不超过 5 天,但进一步分析表明安全违例仅持续了 25 分钟。 之前评估的受影响客户数量多达 366 个,但新报告也精确到了只有 2 个 Okta 客户的身份验证系统被 Lapsus$ 摸到过。 欣慰的是,在短暂的访问期限内,黑客未能直接对任何客户的账户实施身份验证、或更改其配置,后续 Okta 将更加努力地挽回客户的信任。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260827.htm 封面来源于网络,如有侵权请联系删除
2022年4月21日 11:31hackernews.cc
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goopdate.dll”这个动态链接库文件签名,Microsoft Defender 也突然变得严格了起来。 在运行 Google Chrome 更新时,Kevin Gary 留意到了 Microsoft Defender 安全防护软件的异常。 从他分享的日志截图来看,Defender 直接将谷歌更新标记成了恶意软件。 然后微软最有价值专家 Ota Hirufumi 解释称,官方已确认该问题属于误报,并且已经实施了修复。 据悉,家庭版(Microsoft Defender for Home)在最近的 AV-Comparatives 和 AV-TEST 横评中的总体表现相当不错。 尴尬的是,企业版(Microsoft 365 Defender)却总是将切实无害的文件和服务标记为恶意。 此外去年 2 月,Defender for Endpoint 就已经误报过一次 Chrome 更新,最近甚至将自家的 Office 更新也打上了恶意软件的标记。 即使该公司在那次事后发布了一份指南,以减少此类误报。但从实际表现来看,相关措施并未起到实质性的帮助作用。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260783.htm 封面来源于网络,如有侵权请联系删除
2022年4月21日 11:11hackernews.cc
虽然这家俄罗斯安全公司近几个月来已经失宠,但卡巴斯基宣布它已经成功破解了Yanluowang勒索软件(没错,它真的叫阎罗王,字面上Yanluowang。)这一充满了东方文化气息的恶意软件是去年由赛门铁克公司首次发现的,现在,卡巴斯基已经发现了它使用的加密算法中的一个漏洞。这使得该公司能够开发一个免费的解密工具,赎金软件的受害者可以用它来取回他们的数据,而不需要支付一分钱。 据了解,Yanluowang已经在包括美国、巴西和土耳其在内的多个国家发动袭击。已经开发的解密器显然将受到受害者的欢迎,但卡巴斯基提示说,至少需要一个被加密的原始文件才能发挥作用。 卡巴斯基在关于发布该免费工具的帖子中说: 卡巴斯基专家对该勒索软件进行了分析,发现了一个漏洞,可以通过已知文本攻击解密受影响用户的文件。这所需的一切都被添加到Rannoh解密工具中。 要解密一个文件,你应该至少有一个原始文件。如前所述,阎罗王勒索软件将文件沿着3千兆字节的阈值分为大文件和小文件。这就产生了一些必须满足的条件,以便解密某些文件。 – 要解密小文件(小于或等于3GB),你需要一对大小为1024字节以上的文件。这足以解密所有其他小文件。 – 要解密大文件(超过3GB),你需要一对大小不低于3GB的文件(加密的和原始的)。这将足以解密大文件和小文件。 根据以上几点,如果原始文件大于3GB,就有可能解密受感染系统上的所有文件,包括大文件和小文件。但如果有一个小于3GB的原始文件,那么只有小文件可以被解密。 更多信息请见卡巴斯基的《如何恢复被阎罗王加密的文件》一文: https://securelist.com/how-to-recover-files-encrypted-by-yanlouwang/106332/   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260543.htm 封面来源于网络,如有侵权请联系删除
2022年4月21日 10:31hackernews.cc
Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复或“打补丁”。如果不被发现,这种缺陷可能导致数据泄露和勒索软件攻击。去年,微软警告用户 Windows 10 和其他软件的零日漏洞,包括 Microsoft Exchange和Microsoft Office,然后及时为100多个潜在风险发布了安全更新补丁。 自 2014 年成立以来,Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年,共有 28 个,不到2021年检测的一半。同比之下,反差更大,2020年仅有20个零日漏洞被检测和披露。 这一峰值可能表明网络攻击的增长趋势,在正在进行的COVID-19大流行和加密货币的日益普及期间,网络攻击已经上升,但Project Zero表示,可能的罪魁祸首是检测和报告零日发生的改进。 该报告指出,绝大多数零日漏洞的使用”与以前的[和]公开的漏洞类似”,只有两个事件因其”技术复杂性”或逻辑而脱颖而出。因此,尽管检测到的零日漏洞有所增加,你的在线安全似乎并不比前几年更危险,至少在涉及零日漏洞时是这样。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260329.htm 封面来源于网络,如有侵权请联系删除
2022年4月21日 10:31hackernews.cc
Bleeping Computer 报道称,已有黑客在利用伪造的 Windows 11 升级安装包,来引诱毫无戒心的受害者上钩。为了将戏演得更真一些,当前正在活跃的恶意软件活动甚至会利用中毒后的搜索结果,来推送一个模仿微软 Windows 11 促销页面的网站。若不幸入套,或被恶意软件窃取浏览器数据和加密货币钱包中的资产。 假冒 Windows 11 升级网页 在推广 Windows 11 操作系统的同时,微软也为新平台制定了更加严格的安全标准。 如果你用过兼容性检查工具,就会知道最容易被拦在门外的因素是缺乏 TPM 2.0 可信平台模块,几乎将四年前的老设备都拦在了门外。 然而并不是所有人都知晓这一硬性要求,且黑客也很快盯上了这部分想要升级至 Windows 11 的普通用户。 攻击部署流程(图自:CloudSEK) 截止 Bleeping Computer 发稿时,上文提到的假冒 Windows 11 升级网站仍未被有关部门拿下,可知其精心模仿了微软官方徽标、网站图标、以及诱人的“立即下载”按钮。 粗心的访问者可以通过恶意链接获得一个 ISO 文件,但该文件格式只是为可执行的恶意文件提供了庇护 —— 攻击者相当奸诈地利用了 Inno Setup Windows Windows 安装器。 CloudSEK 安全研究人员将之命名为 Inno Stealer,可知这款新型恶意软件与目前流通的其它信息窃取程序没有任何代码上的相似之处,且 CloudSEC 未找到它有被上传到 Virus Total 扫描平台的证据。 Inno Stealer 感染链 基于 Delphi 的加载程序文件,是 ISO 中包含的“Windows 11 setup”可执行文件。它会在启动时转储一个名为 is-PN131.tmp 的临时文件、并创建另一个 .TMP 文件。 加载程序会在其中写入 3078KB 的数据,然后利用 CreateProcess Windows API 生成一个新的进程,实现持久驻留并植入四个恶意文件。 具体说来是,攻击者选择了通过在 Startup 目录中添加一个 .LNK(快捷方式)文件,并将 icacls.exe 设置隐藏属性以实现长期隐蔽。 被 Inno Stealer 盯上的浏览器列表 四个被删除的文件中,有两个是 Windows 命令脚本 —— 分别用于禁用注册表安全防护、添加 Defender 排除项、卸载
2022年4月20日 10:31hackernews.cc
根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-2021-3971和CVE-2021-3972是为了在联想消费者笔记本的制造过程中使用。然而,在制作BIOS镜像时,它们被错误地留在其中,而没有首先停用。攻击者可以获得对这些设备的访问,他们将能够在操作系统运行期间从特权用户模式进程中禁用SPI闪存保护或UEFI安全启动功能。 联想昨天针对这些漏洞发布了安全补丁,如下所示: CVE-2021-3970-由于某些联想笔记本型号的验证工作不完善,LenovoVariable SMI Handler存在潜在漏洞,可能允许具有本地访问权限和高权限的攻击者执行任意代码。 CVE-2021-3971 – 一些消费型联想笔记本电脑设备上的旧制造工艺中使用的驱动程序存在潜在漏洞,该驱动程序被错误地包含在BIOS镜像中,可能允许具有高权限的攻击者通过修改NVRAM变量修改固件保护区域。 CVE-2021-3972 – 在一些消费类联想笔记本电脑设备的制造过程中使用的驱动程序存在潜在漏洞,该驱动程序被误认为没有被停用,可能允许具有高权限的攻击者通过修改NVRAM变量来修改安全启动设置。 利用这些安全补丁很重要,以避免在未来受到损害。这些威胁是在操作系统获得控制权之前,也就是PC启动过程的早期启动的。因此,攻击者将能够对抗任何基于操作系统内的安全措施。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260147.htm 封面来源于网络,如有侵权请联系删除
2022年4月20日 10:11hackernews.cc
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT)的公司,以及参与其中的个人。 CryptAIS 网站截图 几天前,美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织,与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链,它有被用于盈利类游戏 Axie Infinity 。然而攻击者们正在通过各种通信平台和社会工程手段,将黑手伸向了加密货币企业的员工。 公告提醒道:攻击者会发送具有高度针对性的欺诈(钓鱼)邮件,声称提供高薪工作机会、以试图引诱受害者下载被植入木马的加密货币应用程序。 UpdateCheckSync() 与 DAFOM 捆绑功能描述 美政府机构将这类操作称作“叛变交易”(TraderTraitor),似乎是所谓的“梦想工作”(Dream Job)攻击事件的一个延续。 后者在 2020 年被首次观察到,可知黑客将目光瞄向了国防、航空航天和化工行业的工作者,此类恶意应用程序会在受害者网络环境中传播。 而为了开展欺诈性区块链交易等后续活动,黑客不仅会试图窃取私钥、还会积极利用其它安全漏洞。 Esilet 中的 UpdateCheckSync() 函数截图 CISA 披露的部分 TraderTraitor 恶意应用程序,包括了 Dafom、CryptAIS、AlticGO、Esilet 和 CreAI deck,声称提供各种投资组合、以及实时的加密货币预测等服务。 此外该公告还详细描述了攻击指标(IOC)和应对策略、技术与程序(TTP)细节,以敦促区块链和加密货币行业组织加强防御措施。 最后,美方去年还通报过被注入了 AppleJeus 恶意软件的加密货币交易应用程序,可知 Lazarus 利用此类手段从全球企业和个人手中劫掠了不少加密资产。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260241.htm 封面来源于网络,如有侵权请联系删除
2022年4月19日 16:50hackernews.cc
区块链分析公司 Peck Shield 于周日上午发布警告称,一名攻击者设法从 Beanstalk Farms 中提取了价值约 1.82 亿美元的加密货币。据悉,作为一个旨在平衡不同加密货币资产供需的去中心化金融(DeFi)项目,攻击者利用了 Beanstalk 的“多数投票治理系统”,这也是诸多 DeFi 协议的核心功能。 扣去执行攻击所需注入的一些资金,预计黑客的“净利润”在 8000 万美元左右。不久后,Beanstalk 在一条推文中证实了这轮攻击,并声称会在调查后尽快向社区发布公告。 Beanstalk 自诩为“就与分布式信用的稳定币协议”、且运行着一套协议。参与者通过向中央资金池(筒仓 / silo)注入资金而获得奖励,而该资金池会借助 bean 代币实现币值的平衡(约 1:1 美元)。 与许多其他 DeFi 项目一样,Beanstalk 的创建者(Publius 开发团队)引入了一套治理机制,以允许参与者对代码更改进行集体投票。 然后他们将获得与其持有的代币价值成比例的投票权,但这也产生了一个明显易被别有用心的攻击者所滥用的漏洞。 截图(来自:Etherscan) 接着攻击者结合了另一款名为“闪贷”(flash loan)的 DeFi 产品,向 Beanstalk 平台发起了可在极短时间内(几分钟、甚至数秒)借入大量加密货币的行动。 原本 flash loan 旨在提供利用流动性的价格套利机会,但最新攻击已经无情地表明它也可被用于更邪恶的黑客攻击目的。 DAO 项目被阴霾深深笼罩(via Kraken) 区块链安全公司 CertiK 分析指出,Beanstalk 攻击者利用了名为 Aave 的 DeFi 协议、以借入近 10 亿美元的加密货币资产。然后将其转换为足够的 bean,以获得该项目 67% 的投票权。 凭借这一绝对多数的投票权,他们得以批准执行将资产转移到自己钱包的代码、同时立即偿还闪贷,最终获得 8000 万美元的净利润、而整个攻击过程甚至不到 13 秒。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259947.htm 封面来源于网络,如有侵权请联系删除
2022年4月19日 15:50hackernews.cc
加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某些特定的案件中,在适当的情况下,在保持独立性的同时,公民实验室决定通过官方渠道通知这些政府,特别是如果他们认为他们的行动可以减少伤害时。 公民实验室确认,在2020年和2021年,他们观察到并通知了英国政府在英国官方网络中出现的多起疑似“飞马”(PegASUS)间谍软件攻击事件。其中包括: 英国首相府(唐宁街10号) 英国外交和联邦事务部(FCO)(现为英国外交、联邦及发展事务部, FCDO) 公民实验室称,与FCO有关的疑似攻击事件与阿联酋、印度、塞浦路斯和约旦的Pegasus运营商有关。英国首相办公室的疑似攻击事件被认为与阿联酋的一个Pegasus运营商有关。 由于英国外交和联邦事务部及其继任办公室–外交、联邦及发展事务部(FCDO)在许多国家都有人员,公民实验室观察到的疑似FCO攻击事件可能与位于国外并使用外国SIM卡的FCO设备有关,类似于2021年美国国务院雇员在乌干达使用的外国电话号码被黑客秘密窃听。 英国目前正在进行几项立法和司法工作,涉及围绕网络政策的监管问题,以及对间谍软件受害者的补救措施。 公民实验室认为,允许这些努力在不受间谍软件不当影响的情况下展开是至关重要的。鉴于一名参与对NSO集团诉讼的英国律师的设备在2019年被Pegasus软件攻击,研究人员认为有必要确保英国政府意识到持续的间谍软件威胁,并采取适当的行动来减轻这种威胁。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259993.htm 封面来源于网络,如有侵权请联系删除
2022年4月19日 15:30hackernews.cc
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序,它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。 恶意网站的URL是“windows11-upgrade11[.com]”,看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验,该活动使用同样的伎俩来欺骗潜在的受害者。 CloudSEK说,在下载受感染的ISO后,多个进程在后台运行,以中和受感染用户的系统。它创建了Windows命令脚本,以禁用注册表安全,添加 Defender 例外,卸载安全产品,并删除阴影卷。 最后,一个.SCR文件被创建,这是一个实际传递恶意有效载荷的文件,在这种情况下,新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是”Windows11InstallationAssistant.scr”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259879.htm 封面来源于网络,如有侵权请联系删除
2022年4月19日 15:10hackernews.cc
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-29072,影响到运行 21.07 版本的 Windows 用户–截至目前的最新版本。 正如下面的视频所显示的,对系统有有限访问权的攻击者可以通过打开 7-Zip 的“帮助”窗口,在“帮助->内容”下,将一个扩展名为 .7z 的文件拖入该窗口来激活该漏洞。任何具有该扩展名的文件都可以使用。它不一定是一个真正的7z档案。 视频:https://static.cnbetacdn.com/article/2022/0419/915e7f7866997c6.webp https://static.cnbetacdn.com/article/2022/0419/e9172e618c6502a.webp 通过在7zFM.exe进程下运行一个子进程,该漏洞可以提升攻击者的权限,让他们在目标系统上运行命令。恰帕尔将此归咎于7z.dll文件的错误配置和堆溢出。 Windows的HTML帮助文件也可能负有一定的责任,因为其他程序可以通过它允许执行命令。Çapar 提到了一个类似的漏洞,该漏洞通过 Windows HTML 帮助文件和 WinRAR 起作用。 删除 7-Zip 根文件夹中的“7-zip.chm”文件可以缓解这个问题,直到开发人员打上补丁。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259869.htm 封面来源于网络,如有侵权请联系删除
2022年4月19日 14:30hackernews.cc
NSO集团用于入侵iPhone的间谍软件Pegasus陷入了另一桩间谍丑闻,该监视工具被用来对付西班牙加泰罗尼亚地区的民间社会和政治人物的设备。继2020年2020年的一份报告称加泰罗尼亚高级政治家Roger Torrent和支持独立的人通过WhatsApp成为“政府级间谍软件”的目标后,Citizen Lab对针对该地区官员和相关人员的更广泛的间谍软件使用情况展开了调查。 当地时间周一,调查显示有证据表明使用了另一种工具:PegASUS。 报告称,至少有63人成为Pegasus的目标或被感染,另有4人成为Candiru间谍软件的目标,还有2人成为两种工具的目标。受害者名单包括加泰罗尼亚自治区主席、立法者、民间社会组织成员、欧洲议会成员和家庭成员。 虽然Citizen Lab没有直接归咎于这些攻击,但它称有大量间接证据指向西班牙政府的方向。 作为西班牙最富有的自治区之一,加泰罗尼亚地区长期以来一直试图扩大其自治权,通常受到西班牙政府的反对。这一点在2017年被西班牙宪法法院视为非法的独立公投期间尤为明显,据称警察将选民拒之门外并据称过度使用武力。 在加泰罗尼亚议会批准投票后不久,西班牙政府解散了该议会并安排了新的选举。此后,参加公投的人被送进监狱,西班牙则继续与独立运动作斗争。 调查确定,在63个目标中,有51个被发现有法医证实的感染。然而由于西班牙的Android系统比iOS系统的普及率高且调查人员使用的取证工具对iOS系统更加发达,报告认为它严重低估了可能因为拥有Android设备而成为目标并感染Pegasus的人数。 几个“非中心”目标的例子即家庭成员、工作人员的亲近成员和其他跟相关人员有关的个人被发现遭到了感染,这能在不一定保持连接的情况下就能收集有关主体的数据。 所有支持独立的加泰罗尼亚欧洲议会议员都沦为目标,无论是直接的还是非中心的,其中包括对欧洲议会议员的三次直接感染和两次非中心攻击。 其他已确定的目标包括支持政治独立的民间团体,如Assemblea Nacional Catalana、Omnium Cultural及代表加泰罗尼亚知名人士的律师们。 “Homage”和证据 就Pegasus的工作方式而言,零点击iMessage漏洞在2017年至2020年期间被实施过,这是一种相当普遍的技术。然而在2019年年底发现的一个零点击漏洞叫Homage。 据了解,Homage涉及一个iMessage零点击
2022年4月19日 14:30hackernews.cc
眼下,勒索软件已经成为互联网上的一种趋势,它的目标包括企业、政府机构、医院和学校。这是一个几十年前就存在的问题,但在过去几年中变得非常普遍。最初,黑客以个人为目标,要求提供几百美元的比特币,但现在他们追求更大的目标,他们可以勒索更大的金额,并且被勒索放在没有电脑和服务器的情况下无法继续正常使用 密苏里州的阿弗顿高中只是去年被勒索软件入侵的大约1000所美国学校之一。2021年2月24日,该学校的所有系统都受到了勒索软件攻击的影响。 那一天,学校所在地区的技术总监Adam Jasinski被一位老师发来的电子邮件惊醒,其中有一张带有赎金字条的截图。 “我很快就知道出事了,因为我可以看到我在桌面上使用的屏幕,它变蓝屏了,”学校的一名教师Brain Esselman曼告诉媒体Motherboard,”它当然说了一些非常粗鲁的话,我马上意识到这是一个问题。” Jasinski称,当他开车赶去上班的路上一直非常恐慌。到学校之后,他检查了机房,校长则叫停了学校的工作。 “你们任何类型的设备上的每个字节都被加密了。不要试图使用备份,因为它也被加密了。要找回你所有的数据。联系我们,”勒索信写道。 Jasinski表示,他很快得出结论,黑客从学区的人力资源部门窃取了数据,其中包含社会安全号码和约1000人的其他个人数据。幸运的是,学校的备份没有受到影响。因此,Jasinski甚至根本不需要跟黑客联系或接触。 当赎金支付发生时,像Chainalysis这样的公司可以通过区块链追踪比特币来识别黑客的钱包,并跟执法部门合作从而试图收回资金或识别黑客本身。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259627.htm 封面来源于网络,如有侵权请联系删除
2022年4月18日 10:31hackernews.cc
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364 的“类型混淆”漏洞。The Register 写道,Google Threat Analysis Group 的一名成员于 4 月 13 日报告了该漏洞,Google 迅速为其提供了修复。 据估计,该漏洞是一个高严重度的零日漏洞,已经有相关证据表明被黑客利用。一旦执行,它可以导致浏览器崩溃或触发错误,这有可能允许任意代码被执行。 Google表示,它知道 CVE-202201364 的漏洞已经被黑客利用,这也是促成快速创建修复程序的一个因素。Google 没有提供该漏洞的明确细节,而是说它正在限制对该信息的访问,直到“大多数用户被更新”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259387.htm 封面来源于网络,如有侵权请联系删除
2022年4月18日 10:31hackernews.cc
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。 “这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身,”GitHub的首席安全官(CSO)Mike Hanley今天透露。”我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于渗透其他基础设施的秘密。” 根据Hanley的说法,受影响的OAuth应用程序的列表包括: Heroku Dashboard(ID:145909) Heroku Dashboard (ID: 628778) Heroku Dashboard – Preview (ID: 313468) Heroku Dashboard – Classic (ID: 363831) Travis CI (ID: 9216) GitHub安全部门在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。 “在4月13日晚上发现非GitHub或npm存储的第三方OAuth令牌被更广泛地窃取后,我们立即采取行动,通过撤销与GitHub和npm内部使用这些受损应用程序有关的令牌来保护GitHub和npm,”Hanley补充说。对npm组织的影响包括未经授权访问GitHub.com的私有存储库和”潜在访问”AWS S3存储上的npm包。 GitHub的私人存储库未受影响 虽然攻击者能够从被攻击的存储库中窃取数据,但GitHub认为,在这次事件中,没有一个软件包被修改,也没有用户账户数据或凭证被访问。 Hanley说:”npm使用与GitHub.com完全不同的基础设施;GitHub在这次原始攻击中没有受到影响
2022年4月15日 14:31hackernews.cc
微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发 Zloader 用来分发勒索软件的犯罪分子。他是生活在 Crimean Peninsula Simferopol 的丹尼斯·马利科夫(Denis Malikov)。这一身份在微软的调查中被披露,该公司认为公开披露这一身份将向其他犯罪分子发出一个明确的信息,即他们不能躲在数字匿名的面具后面。 微软还争取到了一项法院命令,以控制犯罪团伙用来发展其僵尸网络的65个域名。该僵尸网络通常由属于全球医院、学校、家庭和企业的受感染电脑组成。 这些域名现在被引导到微软的一个天坑,在那里它们不能再被僵尸网络的犯罪操作者使用。Zloader包含一个嵌入在恶意软件中的域名生成算法(DGA),它创建了额外的域名作为僵尸网络的后备或备用通信渠道。除了硬编码的域名外,法院命令允许我们控制另外319个目前注册的DGA域名。我们还在努力阻止DGA域名的未来注册。 微软数字犯罪部门(DCU)总经理艾米-霍根-伯尼说,ZLoader的最初目标是金融和凭证盗窃。然而,现在它还出售恶意软件即服务,以分发Ryuk等勒索软件,该软件针对医疗机构。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258209.htm 封面来源于网络,如有侵权请联系删除
2022年4月15日 11:11hackernews.cc
据Vice的报道,美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉,该网络是支持Axie Infinity游戏的区块链。当地时间周四,财政部更新了制裁措施,其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于该事件的更新帖子中披露称,美财政部和联邦调查局已经将攻击归咎于Lazarus。帖子写道:“在重新部署Ronin Bridge之前,我们仍在增加额外的安全措施以减轻未来的风险。我们预计将在本月底前提供一份完整的事后报告,其中将详细说明所采取的安全措施和下一步措施。”Ronin指出,它将在本月底使其桥梁重新上线。该桥允许用户在其他区块链和Axie Infinity之间转移资金,它在攻击发生后被封锁。 Vice指出,被标记的钱包地址目前包含超4.45亿美元(14.8万以太坊)并在不到一天前向另一个地址发送了近1000万美元(3302.6以太坊)。加密货币交易追踪器Etherscan将该地址标记为“据说参与了针对Ronin bridge的黑客攻击”。 当地时间3月29日,黑客在迄今为止最大的加密货币抢劫案之一中盗走了价值6.25亿美元的以太坊。据加密货币调查组织Chainanalysis称,Lazarus组织跟朝鲜情报机构存在联系并对去年的七次攻击负责。该组织因在2014年入侵索尼影业,泄露由塞斯·罗根执导的以朝鲜为背景的喜剧《Interview》而声名鹊起。后来,它在2018年使用木马恶意软件从亚洲和非洲各地的自动取款机中窃取了数百万美元并跟WannaCry勒索软件存在关联。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258433.htm 封面来源于网络,如有侵权请联系删除
2022年4月15日 09:51hackernews.cc
一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和被盗数据,据悉,其中就包括最近在2021年公开的T-Mobile数据泄漏。 该网站上的一个横幅现在显示,它已被“FBI、美特勤局和司法部查封”。该横幅还宣称有一组其他机构参与了此次查封,包括美国税收署(IRS)和来自德国、葡萄牙、罗马尼亚、瑞典和英国的执法组织。与此同时,21岁的RaidForums所有者和管理员Diogo Santos Coelho于今年早些时候在英国被捕,目前被当局羁押,对他的引渡程序尚未完成。 全球领先黑客组织使用的RaidForums RaidForums创立于2015年,最初通常由原始黑客通过从全球低级安全漏洞中获得的用户名和密码交换数据库。安全研究员Brian Krebs指出,该网站是一个通过定向突袭和扫荡等活动组织“电子骚扰”的地方。Krebs还指出,随着需求的增加,RaidForums成为“讲英语的黑客兜售他们商品的首选之地”。Vice则报道称,随着其根基的加深,该网站还被主要的黑客组织使用,其中包括LAPSUS$。据了解,该组织从包括EA、微软、英伟达、三星和沃达丰等知名平台窃取数据。 据报道,以管理员身份“Omnipotent”而闻名的Coelho主要通过出售不同等级的论坛会员资格–包括MVP和God–来换取加密货币而获益。据报道,他还会提供收费服务以在出售和购买被破解数据的各方之间进行联络。 美司法部在公告中称,RaidForums拥有超100亿条居住在美国境内和境外的人的记录。与此同时,欧洲刑警组织在另一份声明中指出,该网站拥有50多万用户。 网站管理员被指控犯有欺诈和阴谋罪 根据对Coelho提出的正式起诉书,调查是由一名卧底探员主导,其利用RaidForums的信用系统试图从该网站购买数据。指控书还写道,除了向该官员提供被盗数据的信息,Coelho还在交易中充当了中间人。这位21岁的黑客被指控犯有严重的身份盗窃、国际欺诈和阴谋罪。 根据Krebs的说法,Coelho于2018年6月在乔治亚州亚特兰大的哈兹菲尔德-杰克逊国际机场首次
2022年4月15日 09:51hackernews.cc
Surfshark的一项研究显示,自3月开始入侵乌克兰以来,俄罗斯账户被攻破的次数比2月多136%。反过来,乌克兰在黑客攻击中充当受害者的场景比战争前的那个季度少67%。这些数字很可能是由于黑客组织Anonymous在冲突开始时宣布它将特意针对俄罗斯的事实。 sandr Valentij说。”泄露的电子邮件、密码、电话号码,甚至更多的敏感数据经常在暗网上出售,以后用于网络钓鱼攻击、勒索软件,甚至身份盗窃。从我们的最新数据可以看出,在过去几个月里,一些国家比其他国家更容易发生这种情况”。 美国连续第二个季度显示出数据泄露的积极下降趋势,2022年受影响的用户比上一季度减少了近50%,约250万用户被泄露。 波兰由于今年的网络安全攻击事件激增514%跃居全球第三位。该国媒体报道了今年年初的一波电话钓鱼攻击,试图引诱出受害者的信用卡信息。 前20个被入侵最多的国家的详细统计数字: Rank Country 2022 Q1 2021 Q4 Difference Change, % 1 Russia 3.55 M 3.19 M 360.89 K 11% 2 U.S. 2.49 M 4.68 M -2.19 M -47% 3 Poland 961.03 K 156.55 K 804.48 K 514% 4 France 721.17 K 607.16 K 114.01 K 19% 5 India 674.85 K 1.77 M -1.09 M -62% 6 Turkey 486.60 K 366.13 K 120.48 K 33% 7 Australia 430.30 K 230.28 K 200.03 K 87% 8 Indonesia 429.86 K 539.85 K -109.99 K -20% 9 Hong Kong 310.81 K 29.73 K 281.09 K 946% 10 Germany 305.97 K 388.40 K -82.43 K -21% 11 U.K. 295.66 K 420.03 K -124.37 K -30% 12 Brazil 285.06 K 1.45 M -1.16 M -80% 13 China 284.06 K 411.14 K -127.07 K -31% 14 Philippines 244.78 K 386.34 K -141.56 K -3
2022年4月14日 14:31hackernews.cc
本周三,包括美国能源部(DOE)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在内的多个机构,向关键基础设施运营商发出了严重的潜在攻击警报。近年来,某些持续威胁(APT)参与者创建了许多定制工具,并在针对工业控制系统(ICS)、监控和数据采集设备(SCADA)等关键基础设施的攻击事件中发挥了相当大的威力。 (来自:CISA) 具体说来是,此类攻击多针对施耐德电气的 PLC(通用控制器)、欧姆龙 Sysmac N PLC 和开放平台统一通信架构(OPC UA)服务器而发起。 鉴于上述产品亦在美国诸多重要的工业设施中得到了广泛的使用,美国多个联邦部门在警报中发出了严厉的提醒: 一旦被攻击者获得对相关运营技术(OT)的最终访问权限,特定工具将能够对内网进行扫描、破坏和建立远程控制能力。 此外针对工控主板驱动漏洞的利用,也潜在于基于 Windows 操作系统的工程信息技术(IT)或 OT 环境的工作站中。 通过制定和维护对 ICS / SCADA 设备的访问权限,APT 参与者可顺利提权、在 OT 环境中四处游荡,进而破坏关键设备或系统功能。 正因如此,有关部门才不厌其烦地在每一份馆建设施实施警报中给出相关检测和缓解建议。 本轮攻击波及施耐德电气的 MODICON 和 MODICON Nano PLC,影响 TM251、TM241、M258、M23、LMC058 和 LMC078 等型号。 欧姆龙 Sysmac NJ NX8 PLC 亦有在列,受影响的产品涵盖了 NEX NX1P2、NX-SL3300、NX-ECC203、NJ501- 1300、S8VK 和 R88D-1SN10F-ECT 等型号。 ICS 网络安全软件公司 aDolus Technology 首席技术官 Eric Byres 在接受 The Record 采访时指出:基于通用的“共同合作协议”,OPC UA 的大多数供应商系统都允许配合多方的产品使用。 安全公司 Dragos 首席执行官 Robert Lee 补充道,他们一直在追踪此类针对 ICS 的恶意软件。可知其最初以施耐德电气和欧姆龙等厂家的产品为目标,且会利用本机功能来逃避安全检测。 庆幸的是,大部分此类恶意软件尚未在目标网络中被激活,意味着广大基础设施运营商仍有机会在灾难发生前迅速落实防御措施。 据悉,此类恶意软件最初似乎特别针对液化天然气和电力等能源基础设施。但从本质上来剖析
2022年4月14日 14:31hackernews.cc
SSLPing 是一款相当实用的工具,在注册并添加了你的服务器后,它就会帮助检查证书、协议、密码和已知漏洞。从 SSL v3 到 TLS 1.2,对于一些大型服务提供商来说,如果未能在证书到期前妥善处理,后续的影响还是相当难以规避的。然而近日,这款免费工具的创作者正在发出寻求帮助的讯号。 (来自:SSLPing 官网) 据悉,作为一项没有广告支撑的免费服务,其有为超过 500 名注册用户提供对 12500 台 TLS 服务器的监测。 作为一个顺兴而为的项目,Chris Hartwig 认为 SSLPing 还是相当成功的。这是一次极佳的体验,他很高兴能够为所有人提供一项实用的服务。 然而由于 Patreon 赞助仅能覆盖 1/4 左右的成本,他已对此感到难以为继。更糟糕的是,SSLPing 在五天前遇到了问题。 Docker 容器在系统更新破坏了大量事务后拒绝运行(涉及 upstart / system / FS 驱动等),且他暂不清楚如何让它起死回生。 显然,SSLPing 的消亡,归咎于自 2016 年 3 月以来的一系列问题的叠加。 ● 首先,SSLPing 使用了较旧的操作系统,且 Chris Hartwig 尝试更新无果。由于从 OpenSSL 中删除了一些旧内容,导致 SSLPing 的功能发生了改变。 ● 其次,SSLPing 使用了较旧的 nodejs 版本,结果升级会剔除 SSL v3 检测。 ● 第三,SSLPing 使用了现已失宠的 Docker Swarm 容器(最终的赢家是 Kubernetes),且物理服务器(其中 3 台)也年事已高 —— 上周挂掉了一台,另外两台已正常运行 1400 多天。 ● 第四,SSLPing 依赖于现已弃用的 UI 库。 ● ……(以及其它拖欠已久的技术债) 好消息是,如果 Chris Hartwig 能够顺利发布 sslbot.io(旨在取代老旧的 SSLPing 服务),他也将在第一时间向外界公布。 对于在此期间引发的麻烦(但愿不会太严重),他还是深表歉意。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257845.htm 封面来源于网络,如有侵权请联系删除
2022年4月13日 17:30hackernews.cc
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafnium集团正在利用Tarrask这种”防御规避恶意软件”来规避Windows的防御,并确保被破坏的环境保持脆弱。 随着微软继续追踪高优先级的国家支持的威胁行为者HAFNIUM,我们发现了新的活动,利用未修补的零日漏洞作为初始载体。进一步的调查显示了使用Impacket工具执行取证,并发现了一个名为Tarrask的防御规避恶意软件,它创建了”隐藏”的计划任务,并随后采取行动删除任务属性,以掩盖计划任务的传统识别手段。 微软正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统内的新的漏洞。该组织显然是利用了一个以前未知的Windows漏洞,将恶意软件隐藏在”schtasks /query”和任务调度程序中。 该恶意软件通过删除相关的安全描述符注册表值成功地逃避了检测。简单地说,一个尚未打补丁的Windows任务调度程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残余尽可能地不显示出相关性,展示出潜伏能力与迷惑性。其结果是,该组织似乎正在使用”隐藏的”计划任务,即使在多次重启后也能保留对被入侵设备的访问。与任何恶意软件一样,即使是Tarrask也会重新建立与指挥和控制(C2)基础设施的中断连接。 微软的DART不仅发出了警告,而且还建议在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中启用”TaskOperational”的日志。这有助于管理员从关键的资产中寻找可疑的出站连接。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257621.htm 封面来源于网络,如有侵权请联系删除
2022年4月13日 17:10hackernews.cc
乌克兰计算机应急响应小组(CERT-UA)在周二的一份安全公告中称,他们刚刚破坏了 Sandworm 想要攻陷一家该国能源供应商的企图。据说 Sandworm 是一个与俄罗斯军事情报部门有关联的黑客组织,期间试图利用臭名昭著的新版 Industroyer 恶意软件,来切断未具名的某能源供应商的变电站。 (来自:CERT-UA) 外媒指出:2016 年,Sandworm APT 组织曾利用 Industroyer,导致乌克兰数十万客户在圣诞节前两天遭遇了大停电。 与 CERT-UA 合作分析并修复攻击的网络安全公司 ESET 的研究人员表示,他们十分肯定针对工业控制系统(ICS)的恶意软件,是基于早前的源代码而构建的。 2016 年的时候,Industroyer 被视作自震网(Stuxnet)面世以来的最大威胁。而近期出现的 Industroyer2 新变种,又试图对高压变电站造成破坏。 据说它与 CaddyWiper(3 月首次发现针对乌克兰银行的破坏性擦除恶意软件)打了个配合,被植入了运行 Windows 操作系统的平台上,以不留下攻击的痕迹。 此外攻击者还是用了被称作 Orcshred、Soloshred 和 Awfulshred 的擦除恶意软件变种,来攻击组织机构的 Linux 服务器。 安全公告补充道:攻击者最晚在 2 月 22 日攻破了这家能源供应商的网络,并企图于 4 月 8 日切断乌克兰地区的电力供应。庆幸的是,CERT-UA 声称其已阻断 Sandworm 的恶意软件部署工作。 不过 ESET 安全研究人员指出,他们尚不清楚攻击者是如何侵入受害者网络、以及如何从 IT 网络染指工业控制系统(ICS)的。其在技术分析中写道: 乌克兰关键基础设施(KRITIS)再次成为了网络攻击的主要目标,本次 Industroyer 新变种攻击瞄向了该国的诸多部门。我们将持续监测威胁形势,以保护组织机构免受此类攻击的破坏。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257619.htm 封面来源于网络,如有侵权请联系删除
2022年4月13日 16:10hackernews.cc
Intel Labs在去年宣布了ControlFlag项目,以利用人工智能寻找代码中的漏洞。ControlFlag是一个开源的、利用机器学习来发现任意代码库中的错误的项目,起初它专注于发现C/C++代码中的错误,但随着其新的V1.1版本的发布,开始支持发现PHP代码当中的错误。 ControlFlag利用机器学习来挖掘开源项目的C/C++代码库中的模式,进而检测用户提供的代码中的异常模式。英特尔使用成千上万的GitHub项目提供了C/C++训练数据。 11月,英特尔发布了Control-Flag 1.0,今天宣布更新到ControlFlag 1.1。ControlFlag 1.1的新功能是除了C/C++之外还完全支持PHP编程语言。这包括从GitHub资源库中获得的预训练数据集,同时还为想要自己训练典型编程模式的用户提供了代码。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257545.htm 封面来源于网络,如有侵权请联系删除
2022年4月13日 16:10hackernews.cc
由安全专家、研究人员和网络工程师们组成的 Zscaler ThreatLabz 团队,刚刚曝光了一款名为 Win32.PWS.FFDroider 的新型恶意软件。据悉,这款基于 Windows 平台的恶意软件,能够创建一个名为 FFDroider 的注册表项,并将窃取到的凭据和 cookie 发送到被攻击者把持的命令与控制(C&C)服务器。 (图自:Zscaler ThreatLabz) 研究团队发现,FFDroider 恶意软件会将自己伪装成热门消息应用“电报”(Telegram)。 命名与控制服务器记录(初始请求包括了受感染主机的文件名和 IP 地址) 在受害者访问设备时,FFDroider 会开始通过各大浏览器(包括 Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge)窃取 cookie 和凭据。 显示被盗 Instagram 账户信息的加密请求 FFDroider 不仅会利用盗取来的 cookie 登录受害者使用的社交媒体平台以提取更多个人敏感信息,还会通过展示虚假广告来诱骗受害者输入他们的敏感信息,结果导致进一步的攻击。 包含来自受感染的 Facebook Cookie 的被盗信息的解密请求 深入分析发现,FFDroider 广泛针对 Facebook / Instagram / Twitter 等社交平台、以及亚马逊 / eBay / Etsy 等电商网站的用户发起了攻击。 从 Instagram 窃取的敏感数据的解密请求 为避免造成更大的损失,Zscaler 团队呼吁大家不要通过来路不明的渠道下载 Telegram 应用程序、并设置必要的安全防护措施 —— 包括保持计算机软件更新至最新状态、以及对社交媒体账户设置双因素身份验证。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257739.htm 封面来源于网络,如有侵权请联系删除
2022年4月13日 15:30hackernews.cc
在 ESET 和微软研究人员的帮助下,乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中,它们发现了 Industroyer 的新变种,它是一个臭名昭著的恶意软件,在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。 乌克兰政府计算机应急小组(CERT-UA)表示,该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击,包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。 CERT-UA 解释说:“受害组织遭受了两波攻击。最初的妥协发生在 2022 年 2 月之前。变电站的断电和公司基础设施的退役被安排在2022年4月8日星期五晚上进行。同时,到目前为止,恶意计划的实施已经被阻止了”。 ESET在关于这一情况的解释中说,它还看到攻击者使用了其他几个破坏性的恶意软件家族,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。 ESET说,它不确定攻击者是如何入侵最初的受害者的,也不确定他们如何设法从IT网络转移到工业控制系统(ICS)网络。但CERT-UA说,攻击者能够”通过创建SSH隧道链”在不同网段之间横向移动。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257667.htm 封面来源于网络,如有侵权请联系删除
2022年4月13日 10:10hackernews.cc
十年前,安全研究员巴纳比-杰克(Barnaby Jack)在舞台上当着数百人的面无线入侵了医院的胰岛素泵,以证明它是多么容易被入侵以提供致命剂量的药物。在过去的几年里,医疗设备的安全性已经得到了改善,尽管偶尔会有一些引人注目的小插曲。但是,研究人员现在发现较新的医院技术存在漏洞,而这些漏洞在十年前还不那么普遍。 进入医院的机器人,可以在医院园区内运送药物、床单、食物、药品和实验室标本。这些机器人配备了运输关键货物的空间,可以进入医院限制区域和乘坐电梯的安全通道,同时削减了劳动力成本。 但是,专注于保护医院和医疗系统安全的网络安全初创公司Cynerio的研究人员在Aethon机器人中发现了一组五个从未见过的漏洞,他们说这些漏洞允许恶意黑客远程劫持和控制这些自动行驶的机器人,而且在某些情况下是通过互联网进行控制。 这五个漏洞,Cynerio统称为JekyllBot:5,并不在机器人本身,而是在用于与医院和酒店走廊上的机器人通信和控制的基础服务器。这些漏洞包括允许黑客创建具有高级权限的新用户,然后登录并远程控制机器人和进入限制区域,使用机器人内置的摄像头窥探病人或客人,或以其他方式造成混乱。 基础服务器有一个网络界面,可以从医院的网络内部访问,允许”客人”用户查看实时的机器人摄像机画面以及他们即将到来的日程安排和当天的任务,而不需要密码。但是,尽管机器人的功能受到”管理员”账户的保护,研究人员说,网络界面漏洞可能允许黑客与机器人互动,而不需要管理员密码来登录。 研究人员说,这五个漏洞中的一个暴露了机器人使用网络界面中的操纵杆式控制器进行远程控制,而利用另一个漏洞可以与门锁互动,呼叫和乘坐电梯,以及打开和关闭药物抽屉。在大多数情况下,如果对机器人基础服务器的访问被限制在本地网络内,只限制登录的员工访问,那么潜在的风险是有限的。 研究人员说,对于医院、酒店或任何其他使用这些机器人的地方来说,风险要大得多,这些机器人的基础服务器连接到互联网,因为这些漏洞可以从互联网的任何地方触发。Cynerio表示,他们在医院以及为退伍军人提供护理的设施中发现了暴露于互联网的机器人的证据。Aethon公司在全球数百家医院兜售其机器人,其中许多在美国,大约有数千台机器人。 在Cynerio提醒Aethon公司注意这些问题后,Aethon公司发布的一批软件和固件更新中修复了这些漏洞。据称,Aeth
2022年4月12日 14:12hackernews.cc
路由器是网络中必不可少的网络设备,但也往往被我们所忽略。只要路由器能够满足我们的上网需求,即便是停止支持我们也会继续使用。但我们也忽略了这些路由器存在的安全隐患,网络安全和基础设施机构(CISA)正在提醒 D-Link 的客户:近期又有 5 个 D-Link 型号被添加到该机构的脆弱设备名单 当路由器达到其使用寿命时(如受此漏洞影响的设备),漏洞变得更加严重。制造商有责任用新的补丁来解决这些问题,但他们一般不会为报废设备推送更新(只有少数罕见的例外)。 CISA 报告称 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L 和 DIR-836L 这 5 款型号的路由器存在“远程代码执行”漏洞。据 Malwarebytes 实验室称,攻击者可以利用“诊断钩子”(diagnostic hooks),在没有适当认证的情况下进行动态 DNS 调用,使他们能够控制受影响的路由器。 值得注意的是,Github 用户 doudoudedi表示针对这一漏洞的概念证明黑客已经存在于野外。因此,D-Link 建议尽快更换你可能拥有的任何受影响的路由器。产生更多的电子垃圾总是令人遗憾的,但在这种情况下,它是两害相权取其轻。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1257167.htm 封面来源于网络,如有侵权请联系删除
2022年4月11日 12:11hackernews.cc
一个黑客组织利用Conti恶意软件集团泄露的勒索软件源代码创建了他们自己的勒索软件,然后用于对俄罗斯组织进行网络攻击。虽然经常听到勒索软件攻击公司并加密数据,但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。这种缺乏攻击的情况是由于俄罗斯黑客普遍认为,如果他们不影响俄罗斯的利益,那么该国的执法部门将对攻击其他国家的行为视而不见。 然而,现在情况发生了变化,一个被称为NB65的黑客组织现在专门以俄罗斯组织为目标进行勒索软件攻击。 过去一个月,一个名为NB65的黑客组织一直在入侵俄罗斯实体,窃取他们的数据,并将其泄露到网上,并警告说这些攻击是由于俄罗斯入侵乌克兰。 据称被该黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor,俄罗斯航天局,以及国有的俄罗斯电视和广播公司VGTRK。 对VGTRK的攻击尤其重要,它导致了据称786.2GB的数据被盗,其中包括90万封电子邮件和4000个文件,这些数据被公布在DDoS Secrets网站上。 最近,NB65黑客转向了一种新的战术–自3月底以来以俄罗斯组织为目标进行勒索软件攻击。 更有趣的是,该黑客组织使用泄露的Conti勒索软件操作的源代码创建了他们定制版本的勒索软件,这些来自俄罗斯的网络安全威胁行为始作俑者通常禁止其成员攻击俄罗斯的实体。 Conti的源代码是在他们在攻击乌克兰的问题上与俄罗斯站在一起之后泄露的,一位安全研究员泄露了17万条内部聊天信息和他们行动的源代码。 BleepingComputer首先通过威胁分析师Tom Malka了解到NB65的攻击,但我们找不到勒索软件的样本,而且该黑客组织也不愿意分享它。 然而,这种情况在昨天发生了变化,NB65修改过的Conti勒索软件可执行文件的样本被上传到VirusTotal,让我们得以一窥它的运作方式。 几乎所有的杀毒软件供应商都将VirusTotal上的这个样本检测为Conti,Intezer Analyze还确定它使用的代码与通常的Conti勒索软件样本有66%相同。 BleepingComputer给NB65的勒索软件做了一个测试,当加密文件时,它会在被加密文件的名称后加上.NB65的扩展名。 该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的勒索信文本,威胁者将网络攻击归咎于总统弗拉基米尔·普京入侵乌克兰。 “我们正在密切关注。 你们的总统不应该犯下战争罪。”
2022年4月8日 11:51hackernews.cc
微软宣布旗下的 BUG 悬赏项目新增覆盖 3 个产品,分别为 Exchange, SharePoint 和 Skype for Business。和 BUG 悬赏项目中的其他产品一样,针对这 3 个产品的 BUG 悬赏金额从 500 美元起步,根据 BUG 的危险等级最高上限为 3 万美元。 微软解释道:“Microsoft 365 和 Microsoft Office Servers 是我们工作和生活中的生产力解决方案,旨在通过创新的 Office 应用程序、智能云服务和世界级的安全来帮助您实现更多目标。Microsoft Applications 和 On-Premises Servers Bounty Program 邀请全球研究人员识别特定微软应用程序和企业内部服务器中的漏洞,并与我们的团队分享这些漏洞。符合条件的提交者有资格获得 500 美元至 30,000 美元的赏金奖励”。 当然,微软为远程代码执行缺陷提供最大的奖励。如果它们被评为关键缺陷,并与高质量的报告一起被送到微软,它们可能价值 20,000 美元。另一方面,如果你遇到的是特权提升,也被评为关键性缺陷,当高质量的报告也被发送时,赏金就会降到 8000 美元。然而,微软表示,它也可以提供更高的奖励,这取决于你的发现。 微软表示:“赏金奖励范围从 500 美元到 30,000 美元。根据漏洞的严重性和影响以及提交的质量,微软有可能提供更高的奖励,由微软全权决定。如果研究人员提交的材料不符合赏金奖励的条件,但如果他们提交的材料修复了漏洞,他们仍有资格获得公开承认,并在我们的研究人员表彰计划中获得积分”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255865.htm 封面来源于网络,如有侵权请联系删除
2022年4月8日 11:31hackernews.cc
微软透露,它已经控制了由一个与俄罗斯有联系的黑客实体(称为Strontium)控制的七个互联网域名。据该公司称,这些域名被用于对乌克兰机构的网络攻击,如新闻媒体组织以及美国和欧盟涉及外交政策的政府机构和智囊。 在微软于4月6日获得法院命令后,这些域名被查封。微软长期以来一直在对付Strontium,并且已经有了一个框架可以迅速获得法院命令对该组织的黑客活动采取行动。在控制了这些域名之后,微软已经将这些域名重新定向到它所运行的一个停靠站,以保证用户的安全并通知攻击的受害者。 微软客户安全与信任部企业副总裁汤姆-伯特说: “这次协助执法是2016年开始的一项持续的长期投资的一部分,目的是采取法律和技术行动,查封被Strontium使用的基础设施。我们已经建立了一个法律程序,使我们能够迅速获得法院对这项工作的裁决。在本周之前,我们已经通过这一程序采取了15次行动,获得了100多个Strontium控制的域的控制权。” 虽然微软能够解决Strontium的最新攻击是件好事,但该公司承认,这只是应对乌克兰网络战的一小部分。尽管如此,微软继续与该国的组织合作,以解决自俄罗斯入侵开始以来不断升级的网络攻击。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255821.htm 封面来源于网络,如有侵权请联系删除
2022年4月8日 11:31hackernews.cc
考虑到有那么多受恶意软件感染的程序溜进Play Store,人们开始觉得Google在警告人们侧载应用程序的危险时是在浪费口水。在发现一些伪装成杀毒应用的窃取登录凭证恶意软件后,它们中间的六个被发现并删除。 Check Point安全研究人员说,Google从其商店中删除这六个应用程序之前,它们已经被下载超过15000次。讽刺的是,当用户以为他们在下载杀毒软件时,他们实际上是在安装Sharkbot Android资料窃取恶意软件。 Sharkbot的工作方式是说服受害者在模仿输入表格的窗口中输入他们的凭证,通常是在它检测到银行应用程序被打开时。它还可以通过键盘记录、拦截短信和获得完全远程访问来窃取信息。 一旦受害者输入了他们的用户名和密码,这些细节就会被发送到一个恶意的服务器,并被用来访问银行、社交媒体、电子邮件等账户。 大多数受害者来自英国和意大利。有趣的是,该恶意软件使用地理围栏来专门识别和忽略中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。 ZDNet写道,这些应用程序能够避开Play Store的保护措施,因为它们的恶意行为直到有人下载后才被激活,并且与服务器进行通信。受Sharkbot感染的应用程序已于3月从Google Play商店中删除,尽管它们可能仍可在其他商店中找到。 就在两周前,法国移动安全公司Pradeo的研究人员透露,一个名为Craftsart Cartoon Photo Tools的应用程序包含一个名为Facestealer的Android木马恶意软件版本。它能够窃取移动用户的Facebook登录凭证,在Google将其删除之前,已经被下载了超过10万次。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255757.htm 封面来源于网络,如有侵权请联系删除
2022年4月8日 11:11hackernews.cc
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。 Meta公司在2月份的安全更新中标出了Ghostwriter行动的活动,但自那次更新以来,该公司表示,该组织还试图入侵”几十个”账户,尽管它只在少数情况下成功。 在成功的情况下,Ghostwriter背后的黑客还通过视频形式发送误导内容,但Meta公司表示,它已经阻止了这些视频的进一步分享。传播虚假的投降信息已经成为黑客的一种策略,他们入侵了乌克兰的电视网络,并在直播新闻中植入了乌克兰投降的虚假报道。尽管这类声明可以很快被推翻,但专家们认为其目的是为了削弱乌克兰人对媒体的整体信任。 该组织还试图破坏”几十个”账户” 最新的Ghostwriter黑客攻击的细节发表在Meta的季度对抗性威胁报告的第一部分,这建立在2021年12月的类似报告之上,该报告详细介绍了该年全年面临的威胁。虽然Meta公司之前已经发布了关于平台上协调的不真实行为的定期报告,但新的威胁报告的范围更广,包括间谍行动和其他新兴威胁,如大规模虚假内容散播活动。 除了针对军事人员的黑客攻击,最新报告还详细介绍了亲俄罗斯的威胁行为者进行的一系列其他行动,包括针对各种乌克兰目标的秘密影响活动。在报告中的一个案例中,Meta公司称,一个与白俄罗斯克格勃有关的团体试图在华沙组织一个反对波兰政府的抗议活动,尽管该活动和创建该活动的账户很快被下线。 “虽然近年来公众的大部分注意力都集中在外国干涉上,但在全球范围内,国内威胁也在增加。” 虽然像这样的外国影响行动构成了报告中一些最引人注目的细节,但Meta公司表示,它也看到了专制政府在国内针对本国公民开展的影响活动的上升趋势。在周三与记者的电话会议上,Facebook负责全球事务的总裁尼克-克莱格说,对互联网自由的攻击已经急剧加强了。 克莱格说:”虽然近年来公众的大部分注意力都集中在外国干涉上,但在全球范围内,国内威胁也在增加。就像2021年一样,今年前三个月我们破坏的
2022年4月8日 10:31hackernews.cc
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了在 3 月份成功开展的这一专项行动。不过对于设备所有者们来说,DOJ 还是警告其应该参考 2 月 23 日给出的最初建议,以防受损的设备被再次感染。 自 2 月份曝出与 Cyclops Blink 威胁有关的威胁以来,已有数千台设备得到了处理。不过“大多数”受感染的设备,还是拖到了 3 月中旬甚至更晚。 安全专家将 Cyclops Blink 视作 VPNFilter 的继任者,后者也是一个僵尸网络,于 2018 年被首次曝光,后续一直成为美国政府的一个主要行动目标,以破坏其指挥和控制服务器。 据说 Cyclops Blink 和 VPNFilter 恶意威胁的幕后黑手都是 Sandworm,推测该黑客组织与俄罗斯军事情报部门 GRU 有千丝万缕的联系。 最后,尽管美国当局没有明确指出 Cyclops Blink 的攻击目标,但安全研究人员有指出,该僵尸网络能够收集信息并开展间谍活动、发起用峰值流量瘫痪网络和服务器的 DDoS 攻击,并且具有让设备瘫痪、导致系统与网络中断的攻击能力。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255669.htm 封面来源于网络,如有侵权请联系删除
2022年4月8日 10:11hackernews.cc
Atlas VPN的新研究显示,全球76%的公司在过去一年中遭遇过服务停机。原因包括系统崩溃、人为错误和网络攻击是造成停机的主要原因。此外,许多IT经理对越来越多的政治驱动的网络攻击感到担忧。 系统崩溃被认为是公司停机的首要原因,52%的人不得不处理这个问题。42.3%的IT经理认为人为错误是导致公司停机的原因。网络攻击,它们是36%的IT经理的公司停机原因,而内部攻击占过去一年遭受停机的公司的20.2%。 Atlas VPN的网络安全作家Vilius Kardelis说:”一次成功的攻击可能对公司产生毁灭性的影响。在2021年令人震惊的大规模网络攻击之后,各组织必须积极主动地应对日益增加的风险。许多国家已经增加了网络安全预算,以应对网络威胁,企业也应该这样做。” IT经理们对政治驱动的网络攻击越来越担心,45%的人表示这是他们主要担心的部分,41%的人对这些攻击表示适度担忧,然而,约14%的IT经理表示,他们对政治驱动的网络攻击的增加不是很担心或根本不担心。 你可以在Atlas博客上阅读更多内容: https://atlasvpn.com/blog/76-of-companies-globally-suffered-service-downtime-in-the-past-year 下面有一张描述总结最主要停机原因的图表:   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255705.htm 封面来源于网络,如有侵权请联系删除
2022年4月7日 15:30hackernews.cc
适用于桌面 PC 和笔记本的 Chrome 稳定版将新增“Privacy Guide”功能,它将帮助该网络浏览器的用户理解和实施隐私、安全和在线安全设置。虽然 Chrome 浏览器一直有大部分的这些设置,但现在 Google 声称隐私和安全控制应该更容易理解。 图片链接:https://static.cnbetacdn.com/article/2022/04/dba1b2944eed048.webp Privacy Guide 是对 Chrome 浏览器现有隐私和安全控制的简化,以及技巧指导。Google安全工程中心(GSEC)开发了这个新指南。Google在宣布这项功能的博文中解释说,这种新的安全和隐私设置的引导方式背后的主要意图是帮助用户理解每项设置背后的“为什么”。 Privacy Guide 中的每项设置将试图提供其背后的原因,以及激活或停用这些设置将如何影响浏览体验。目前,Privacy Guide 提供了对 cookies、历史记录同步、安全浏览以及使搜索和浏览更好的控制。Google已经保证,它将根据用户的反馈增加更多的设置和解释。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255413.htm 封面来源于网络,如有侵权请联系删除
2022年4月7日 10:30hackernews.cc
尽管发布了一个更新来解决macOS Monterey中的两个零日漏洞,但苹果还没有将其应用于最后两个macOS版本,这可能会让多达40%正在使用的Mac计算机处于危险之中。 苹果在2022年3月31日对macOS Monterey的更新中解决了这些关键的漏洞。然而,到目前为止,它还没有更新macOS Big Sur和macOS Catalina。但苹果公司传统上会支持当前和之前两个版本的macOS的安全更新。 两个被积极利用的漏洞中,有一个仍然专门针对Big Sur,那就是漏洞CVE-2022-22675,涉及AppleAVD,用于音频和视频解码的框架。 第二个漏洞CVE-2022-22674是在英特尔图形驱动程序中出现的,迄今为止仍然能够影响到Big Sur和Catalina。安全人员预计,这两个漏洞同时存在于老版本的macOS,意味着35%到40%的活跃的Mac电脑都有漏洞。 安全警报的的发布者Intego说,它有”高度的信心,CVE-2022-22674可能影响到macOS Big Sur和macOS Catalina”。它的部分依据是,它说,”英特尔图形驱动程序中的几乎所有漏洞”都影响了所有版本的macOS。 苹果公司还没有发表评论。不过,它已经发布了iOS和iPadOS的更新,据说对iPhone和iPad的AppleAVD漏洞进行了修补。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255271.htm 封面来源于网络,如有侵权请联系删除
2022年4月7日 10:10hackernews.cc
据德国媒体报道,德国执法机构在最近的执法行动中扣押俄罗斯暗网市场Hydra的服务器,同时收缴价值2500万美元的比特币。不知道这个黑市的创始人是不是漫威的粉丝,所以才会起九头蛇这个名字。 目前访问该市场会弹出德国执法机构挂出的提示,而收缴的2500万美元比特币只是很小的一部分,具体来说是4月5日的一系列交易中扣押的,有88笔交易金额为543.3比特币。 和大多数暗网黑市一样,Hydra需要使用Tor Broswer俗称洋葱浏览器才能访问,该暗网黑市出售各类非法物品,包括但不限于黑客工具、毒品、伪造的数字文档以及其他数字服务。德国执法机构是顺着非法毒品交易找到这个暗网黑市的,其基础设施应该是位于欧盟境内才会被执法机构扣押。 根据执法机构发布的新闻稿,从去年8月开始德国就在追踪这个暗网黑市,调查发现该黑市自2015年上线,注册卖家超过19000名,仅在2020年的营业额就超过13.4亿美元。 为什么说扣押的2500万美元比特币只是一小部分呢?因为这些平台充当中间商,买家先将比特币存到平台,卖家发货后再由平台放款,所以本质上扣押的只是当时尚未完成的交易的预付款。 美国方面则是将俄罗斯加密货币交易所Garantex添加到制裁名单,调查显示该交易所帮助暗网黑市进行洗钱,包括将比特币兑换成法币或者将法币兑换成比特币等。 值得注意的是在新闻稿中德国执法机构并未提到抓获相关犯罪嫌疑人,不过德国检查官已经指控其运营者和管理人员涉嫌商业洗钱、运营犯罪交易平台、未经授权出售麻醉品等罪名,也就是说如果其运营者和管理人员被逮捕那就会被立即起诉。   转自 蓝点网 ,原文链接:https://www.landian.vip/archives/93314.html 封面来源于网络,如有侵权请联系删除
2022年4月6日 14:31hackernews.cc
在 4 月 5 日的活动中,微软宣布了适用于 Windows 11 系统的新安全功能,从而在操作系统层面提供网络钓鱼保护。通过 Microsoft Defender SmartScreen,微软提供网络钓鱼的检测和保护,保护 Windows 11 设备免受恶意程序侵害。 在更新日志中,微软表示: Windows 11 正引入两项强大的新功能,以打击最常见的网络攻击技术:网络钓鱼和目标恶意软件。Windows 11的新功能是通过Microsoft Defender SmartScreen将增强的网络钓鱼检测和保护整合到 Windows 中。 这项新功能将有助于保护用户免受网络钓鱼攻击,当用户将他们的微软凭证输入到恶意应用程序或黑客网站时,会识别并提醒用户。 Smart App Control 使用代码签名和微软强大的人工智能模型,确保只有受信任的应用程序被运行,默认情况下阻止 Windows 上最大的攻击载体之一。我们还期待着通过灵活、可更新的微软 Pluton 安全处理器将云的力量带入硬件。我们对迄今为止的生态系统进展感到兴奋。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255057.htm 封面来源于网络,如有侵权请联系删除
2022年4月6日 14:31hackernews.cc
4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采取一系列行动,包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景,甚至恢复出厂设置。 由于预装的手机应用程序具有“不安全组件”,该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行,这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。 Kryptowire于2021年11月首次发现该漏洞并通知了三星。该公司于2022年2月发布了修复程序,鼓励所有三星用户立即更新以确保他们的手机安全。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1254955.htm 封面来源于网络,如有侵权请联系删除
2022年4月6日 10:51hackernews.cc
据The Verge报道,根据Bellingcat的调查结果,俄罗斯外卖平台Yandex Food的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示。 Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归咎于其一名员工的“不诚实行为”,并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布(约合人民币7652元)的罚款,路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问–试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。 Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归咎于其一名员工的“不诚实行为”,并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布(约合人民币7652元)的罚款,路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问–试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。 Bellingcat的研究人员获得了进入信息库的机会,在其中筛选出任何感兴趣的人的线索,例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒事件有关的个人。通过搜索数据库中作为先前调查的一部分而收集的电话号码,Bellingcat发现了与俄罗斯联邦安全局(FSB)联系以策划纳瓦尔尼中毒事件的人的名字。Bellingcat说,这个人还用他的工作电子邮件地址在Yandex Food公司注册,使研究人员能够进一步确定他的身份。 研究人员还检查了泄露的信息中属于与俄罗斯军事情报局(GRU)或该国外国军事情报机构有关的个人的电话号码。他们发现了其中一个特工的名字, Yevgeny,并能够将他与俄罗斯外交部联系起来,找到他的车辆登记信息。 Bellingcat通过搜索数据库中的具体地址也发现了一些有价值的信息。当研究人员寻找莫斯科的GRU总部时,他们发现只有四个结果–这是一个潜在的迹象,表明工作人员不使用外卖应用程序,或选择从步行距离内的餐馆订购。然而,当Bellingcat搜索FSB在莫斯科郊区
2022年4月6日 10:11hackernews.cc
美国参议院议员开始注意到关于黑客伪造”紧急数据请求”以获取苹果等科技公司数据的报道,其中一位开始调查隐私问题。3月29日,一份报告显示,黑客正在利用其所俘获的政府和警察电子邮件账户,使他们能够假装成执法官员。通过使用电子邮件账户和连接服务,黑客能够在某些情况下向科技公司索取数据。 具体来说,黑客们滥用了”紧急数据请求”(EDRs),声称存在迫在眉睫的伤害或死亡威胁而要求提供数据。EDRs可以向执法部门紧急提供数据,而不需要法院的搜查令或传票。 然而,由于不可能迅速验证EDR的合法性,黑客们看到了这种技术的成功。 在最初的报告和彭博社3月30日的后续确认中,确认苹果公司遵守了一些要求,这个问题已经引起了立法者的注意。 参议员Ron Wyden在周四给KrebsOnSecurity的一份声明中说,这个问题是”对美国人的安全和国家安全的一个巨大威胁”。威登还对一些EDR”可能来自被破坏的外国执法机构,然后被用来针对脆弱的个人”的前景表示担忧。 威登说,他正在要求科技公司和联邦机构提供信息,以了解更多关于这个问题的情况。参议员说:”没有人希望科技公司在某人的安全受到威胁时拒绝合法的紧急请求,但目前的系统有明显的弱点,需要加以解决。” 这并不是Wyden第一次研究法庭命令时的认证问题。2021年7月,Wyden和其他参议员提出了《法院命令数字认证法案》,该法案要求向各州和部落法院提供一笔资金,以帮助他们采用数字签名技术,从而有可能减少伪造的法院命令。 由于目前的EDR是通过被破坏的合法电子邮件账户发送的,没有真正的方法来确认身份,因此,执法部门采用类似的数字签名系统来达到类似的效果现在看是有必要的。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1254137.htm 封面来源于网络,如有侵权请联系删除
2022年4月2日 16:51hackernews.cc
针对黑客组织 Lapsus$ 的专项打击活动仍在继续,就在一周前逮捕 7 名青少年之后,英国警方指控 2 名青少年犯有多项网络罪行。目前这 2 人仍处于拘留中,并将于本周五晚些时候在海布里角地方法院出庭。 在周五的一份声明中,伦敦市警察局探长迈克尔·奥沙利文表示这两名年龄分别为 16 岁和 17 岁的青少年被指控犯有三项罪行:包括未经授权访问计算机并意图损害数据可靠性、通过虚假陈述进行欺诈以及未经授权访问计算机并意图阻碍数据访问。这名 16 岁的少年还被指控犯有一项导致计算机执行一项功能以确保未经授权访问程序的罪行。 科技媒体 TechCrunch 尝试进行联系,伦敦市警方不愿确认这些青少年的身份,他们的名字没有被公布,因为他们受到英国关于识别非成年人的报告限制。然而,彭博社最近的一份报告显示,一名位于英国牛津的青少年被怀疑是 Lapsus$ 黑客组织的主谋。在对手的黑客在网上公布了他的个人信息后,记者追踪到了这个使用”White”或”Breachbase”这一网络名称的 16 岁少年。 这份报告发表前几个小时,伦敦市警察局宣布他们逮捕了7名年龄在16至21岁之间的人,因为他们涉嫌与Lapsus$黑客组织有联系。在逮捕消息出现的第二天,Lapsus$在Telegram上告诉其5万多名粉丝,其部分成员正在”度假”。该组织后来否认其任何成员在3月被捕。 Lapsus$黑客组织于2021年12月首次浮出水面,本周又出现了一个新的数据泄露受害者。总部位于卢森堡的软件开发咨询公司Globant。该组织在其 Telegram 频道上发布了一个 70GB 的种子文件,其中包含据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1253887.htm 封面来源于网络,如有侵权请联系删除
2022年4月2日 11:11hackernews.cc
Krebs On Security 周二警告称:黑客正越来越多地利用受感染的政府和警察部门的电子邮件账户,以从移动运营商、互联网服务提供商(ISP)和社交媒体公司榨取敏感的客户信息。周四,美国参议院内精通技术的议员之一表示,其对这份报告感到很是不安,并且已向科技企业和联邦机构发去询问,以了解此类活动到底有多活跃。 叫卖政府与警方电子邮件账户访问权限的帖子截图 引发争议的“紧急数据请求”(EDR),通常由经常或政府机构的电子邮件账户发出,特点是能够绕过法院传票或收查令,让科技企业交出客户或用户数据。 鉴于任何管辖区的警局都可基于 EDR 请求而立即访问数据(前提是执法机构提供了数据请求的紧迫性证明),黑客显然也盯上了这个薄弱环节。 正如周二报道的那样,对于一个搜到 EDR 请求的企业来说,经手人员并无快速简便的方法来知悉该请求是否合法。 毕竟仅在美国境内,就有大约 1.8 万个不同的警察组织,更别提还有遍布全球的数千个政府和警察机构。 利用这种模糊性,网络犯罪分子便积极寻求攻破相关组织的电子邮件账户,然后就可以向受害企业发去以假乱真的紧急数据请求邮件。 本周的系列报道,证实了社交媒体平台 Discord 已经躺枪。此外彭博社周三指出,近期已有黑客成功地骗到了苹果和 Meta(Facebook)头上。 黑客兜售伪造 EDR 传票 / 搜查令的服务 KrebsOnSecurity 援引俄勒冈州参议员 Ron Wyden 的话称: 近期的新闻报道,揭示了针对美国民众和国家安全的巨大威胁。我特别担心这种伪造的紧急数据请求命令,可能被别有用心的境外组织利用于针对广大弱势群体。 我正在向科技企业和多个联邦机构索取信息,以了解黑客对 EDR 请求的确切滥用情况。没人希望科技企业在个人安全受威胁时拒绝合法的紧急请求,但现有机制有着亟需修补的明确缺口。 假冒政府请求的欺诈行为已构成一个重大的问题,这也是我为何呼吁推动《法院命令数字真实性法案》的立法、以彻底杜绝伪造的法院传票或搜查令的主要原因。 此外周二报道表明,以欺诈手段获得的紧急数据请求,利用了臭名昭著的 LAPSUS$ 黑客组织的工具。 早些时候,该组织侵入了微软、英伟达、Okta 和三星等企业,但其中一名英国青少年黑客已因频繁发送虚假 EDR 而被多次逮捕。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech
2022年4月1日 15:10hackernews.cc
早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(AcidRain)的新型擦除(wiper)恶意软件头上。 Surfbeam2 调制解调器攻击前后的并排比较(via SentinelLabs) 鉴于此事与俄乌冲突爆发的时间点接近,早期调查认为俄罗斯方面有很大的嫌疑。此外这轮攻击还断开了德国约 5800 台风力发电机的远程访问,起初还以为它们遭到了分布式拒绝服务(DDoS)攻击。 不过参考 SentinelLabs 最新发布的安全研究报告,作为一款新冒出的擦除恶意软件,AcidRain 旨在远程清除易受攻击的调制解调器和路由器。 设备擦除代码:写入 ox40000(左)或使用 MEM*IOCTLS(右) 可知 3 月 15 日那天,研究人员从意大利用户 ukrop 上传到 VirusTotal 的样本中发现了端倪,并推测该用户名为“乌克兰行动”(Ukraine operation)的缩写。 至于这款擦除器的功能,研究人员称其相当“通用”。因为在尝试破坏数据之前,它会对文件系统和各种已知存储设备上的文件进行深度抹除,然后让设备重启变砖。 尝试重启设备的代码 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 表示: AcidRain 的功能相对简单,并且会进行暴力尝试。意味着攻击者要么不熟悉目标固件的细节,要么希望该工具保持通用性和可重复使用。 部分标题字符串对比 尽管攻击者的确切身份仍是个谜,但 SentinelLabs 观察到了 AcidRain 和 VPNFilter 恶意软件之间的相似之处 —— 后者感染了全球数千个家庭和小型企业的路由器等网络设备。 2018 年,FBI 将 VPNFilter 操作归咎于有俄罗斯背景的“Fancy Bear”(又名 APT28)黑客组织。 左为 AcidRain,右为 VPNFilter 。 最后,研究人员推测 AcidRain 是自俄乌冲突爆发以来的第七款擦除类恶意软件,但仍需进一步调查背后的关系。由周三发表的有关 2 月份网络攻击的第一份事件响应报
2022年4月1日 10:30hackernews.cc
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复发,最终工程师才发现是排序有问题,并于3月11日修复。 内部文档显示,该技术问题最早可追溯到2019年,但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本(Joe Osborne)说:“我们追踪根本原因,最终发现是软件有漏洞,然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。” 多年来,Facebook一直鼓吹公司开发的降序系统,认为它可以提高动态消息的质量,随着自动系统的优化未来能处理更多种类的内容。很明显,Facebook系统仍然不完美。   转自 新浪科技 ,原文链接:https://finance.sina.com.cn/tech/2022-04-01/doc-imcwipii1733635.shtml 封面来源于网络,如有侵权请联系删除