当前节点:hackernews.cc
时间节点
2022年3月31日 10:10hackernews.cc
据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。 据彭博社报道,一个名为“Recursion Team”的网络犯罪组织与2021年发送给多家公司的一些伪造的法律请求有关。一些黑客被认为是美国和英国的未成年人,并且至少其中一名未成年人还参与了攻击微软、三星和英伟达。 据上述知情人士透露,通常情况下,此类请求会获得一份搜查令或由法官签署的传票,但紧急请求不需要法院命令。Snap也收到了来自同一群黑客的伪造法律请求,但不知道它是否提供了用户数据。 苹果表示需参照公司的法律指引,Meta发言人表示将阻止已知的被盗账户发出请求,并与执法部门合作对涉及可疑欺诈性请求的事件作出回应。   转自 新浪科技 ,原文链接:https://t.cj.sina.com.cn/articles/view/6192937794/17120bb4202001splu 封面来源于网络,如有侵权请联系删除
2022年3月31日 09:50hackernews.cc
就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。 在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道上发布了一个 70G 的种子文件,其中包括据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。 Globant 向 TechCrunch 证实,它已经“检测到我们公司代码库的一个有限部分受到了未经授权的访问”,并正在进行调查。 黑客们还公布了一份用于访问其源代码共享平台的公司凭证清单,包括 GitHub、Jira、Crucible 和 Confluence。恶意软件研究小组 VX-Underground 在Twitter上发布了黑客 Telegram 帖子的编辑截图,其中显示该小组发布了他们声称是Globant的密码,如果得到证实,攻击者很容易猜到这些密码。 在发布种子文件之前,Lapsus$ 还分享了一个文件目录的截图,其中包含据信是 Globant 客户的几个公司的名字,包括Facebook、花旗银行和C-Span。 Globant公司还在其网站上列出了一些高知名度的客户,包括英国大都会警察局、软件公司Autodesk和游戏巨头Electronic Arts。至少Lapsus$的一名成员参与了去年电子艺界的数据泄露事件,但目前还不清楚这两起事件是否有关联。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1253099.htm 封面来源于网络,如有侵权请联系删除
2022年3月30日 16:11hackernews.cc
在俄乌冲突爆发后的一个月时间里,许多组织机构纷纷颁布了针对俄罗斯的制裁。但是对于开源社区来说,将制裁的范围无限扩大,显然并不是声援乌克兰的最佳途径。开放源码倡议(Open Source Initiative)组织指出:尽管大多数软件开发者只是在运行时显示反战或亲乌克兰的信息,但还是有个别项目的维护者们没有控制住自己的愤怒情绪。 网页截图(来自:OSI 官网) 显然,OSI 鼓励非暴力的、创造性的抗议形式,而不是向开源存储库中引入更大的破坏。 举个例子,node-ipc 包中的 Peacenowar 模块,就被引入了恶意软件性质、可被地理位置(俄罗斯 / 白罗斯)所触发的数据擦除代码。 Snyk 的 Liran Tal 在 3 月 16 日的一篇博客文章中表示:“这一安全事件涉及一名维护人员损害磁盘上文件的破坏性行为,及其试图以不同形式隐匿并强调这种蓄意的破坏性”。 与此同时,Gerald Benischke 也在一篇博客文章中抨击了在“不分青红皂白”的情况下、将开源项目“武器化”的恶劣做法。因其造成的附带损害,也波及到了在俄境内工作、或被运营商分配了特定 IP 地址的人们。 这种行为不出意外地引发了众怒,尽管 OSI 尊重言论自由,但开放性与包容性仍是开源文化的基石,且开源社区是面向全球访问和参与而设计的。 换言之,开源文化和配套工具 —— 包括问题追踪、消息传递系统、以及存储库 —— 提供了一个独特的渠道,让广大开发者能够绕过蛮横的审查、而将代码权利掌握在自己的手中。 与之相对的是,在开源项目中植入恶意代码的做法,已经严重背离了开源社区的核心理念。 node-ipc 中的区域触发恶意代码 总而言之,OSI 鼓励社区成员以创新和明智的方式来使用开源代码和工具的自由,同时希望俄乌双方能够直面冲突爆发造成的现实伤害、并将积极为乌克兰的人道主义和救济工作予以支持。 从长远来看,将开源项目“武器化”所带来的弊端,将远远超出其可能带来的任何益处,甚至最终反弹伤害至项目的贡献者和维护者。正因如此,我们才需要让大家更加明智地使用这一力量。   转自 新浪科技 ,原文链接:https://www.cnbeta.com/articles/tech/1252437.htm 封面来源于网络,如有侵权请联系删除
2022年3月30日 14:51hackernews.cc
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,这个问题被描述为SonicOS的 web 管理界面中基于堆栈的缓冲区溢出,可以通过发送特制的 HTTP 请求触发,导致远程代码执行或 DoS。 该漏洞影响了31个不同的 SonicWall 防火墙设备,这些设备运行的版本分别是7.0.1-5050和更早版本,7.0.1-r579和更早版本,以及6.5.4.4-44v-21-1452和更早版本。Hatlab 的ZiTong Wang报道了这一事件。 这家网络安全公司表示,目前还没有发现任何利用该漏洞进行主动攻击的实例,而且迄今为止也没有公开报道过PoC或恶意使用该漏洞的情况。 尽管如此,建议受影响的用户尽快应用补丁,以减少潜在的威胁。在修复程序到位之前,SonicWall 还建议客户限制SonicOS对可信源 IP 地址的管理访问。 网络安全公司 Sophos 警告说,其防火墙产品中的一个关键认证绕过漏洞(CVE-2022-1040,CVSS 得分: 9.8),已被用于对南亚一些组织的攻击。 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年3月30日 11:31hackernews.cc
  视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照Ronin的说法,3月23日不明身份的黑客进入系统,窃取173600枚Ether币和2550万枚USD Coin币。按照当前汇率,被窃取的加密货币价值6.15亿美元,被黑时约值5.4亿美元。 Ronin在博文中表示,黑客利用被盗私人密钥(获取加密货币资金的密码)窃取资金。周二时Ronin发现系统被黑,它正在与相关政府机构合作,以确保将罪犯绳之以法,它还与Axie Infinity讨论如何保证用户的资金安全。 Ronin平台的用户已经无法存取资金,它还与区块链追踪商Chainalysis合作追踪被盗资金,目前大多被盗资金还在黑客的数字钱包内。 你也许不知道Ronin,它是新加坡游戏工作室Sky Mavis开发的,该公司也是Axie Infinity的所有者。   转自 新浪科技 ,原文链接:https://finance.sina.com.cn/tech/2022-03-30/doc-imcwipii1329672.shtml 封面来源于网络,如有侵权请联系删除
2022年3月30日 11:11hackernews.cc
Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性,以及他们的核心目标是建立长期间谍渠道。” 上个月,该APT组织扩展了它的恶意软件工具集,用一个名为 CapraRAT的后门侵入了安卓设备,这个后门与 CrimsonRAT 有很高的“重合度”。 Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载,有效负载包含一个基于 python 的存储器,用于安装基于 .NET的侦察工具和RAT,以及一个原装的基于 .NET的植入,在受感染的系统上运行任意代码。 除了不断改进他们的部署策略和恶意功能,透明部落黑客依赖于各种各样的分发方法,例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序,以攻击印度实体和个人。 其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序,Kavach是一个印度政府授权的双因素身份验证解决方案,用于访问电子邮件服务。 另外还有 covid-19主题的诱饵图像和 VHD格式文件,这些文件被用作从远程命令和控制服务器(比如CrimsonRAT)检索额外有效载荷的发射台,CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。 研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件,以适应各种紧急操作,这表明该组织具有攻击性、持久性、灵活性,并不断改进他们的策略,以感染目标。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年3月30日 10:31hackernews.cc
Windows 10/11 系统中的 Windows 安全中心现在变得更令人安心了。正如微软操作系统安全和企业副总裁 David Weston 所宣布的那样,内置的免费 Windows 杀毒软件现在提供了一个新的选项,可以防止脆弱的驱动程序。只不过目前还没有在 Windows 11 系统中看到这个选项。 这个 Windows Security 的新选项叫做“Microsoft Vulnerable Driver Blocklist”(微软易受攻击的驱动程序阻止列表)。这听起来很简单,但它已经成为一个常见的问题。据微软称,恶意行为者正在利用合法的、经过签名的内核驱动程序中的漏洞,在 Windows 内核中运行恶意软件。 以下是该功能是如何帮助防止这种情况的:“微软与我们的 IHV 和安全社区密切合作,确保为我们的客户提供最高水平的驱动程序安全,当驱动程序出现漏洞时,它们会被迅速修补并推广到整个生态系统。然后,微软将有漏洞的驱动程序版本添加到我们的生态系统阻止策略中”。 这项功能应该会也登陆那些 Hypervisor-protected code integrity(HVCI)的设备或启动 S Mode 设备的 Windows 10 上。当你的系统准备好时,它应该显示在 Windows Security 的设备安全部分下。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252111.htm 封面来源于网络,如有侵权请联系删除
2022年3月30日 10:31hackernews.cc
不少 WordPress 网站正在遭受黑客们的攻击,通过注入的恶意脚本,利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天,MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本,针对十个网站进行分布式拒绝服务(DDoS)攻击。 这些网站包括乌克兰政府机构、智囊团、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰的网站。 目标网站的完整清单如下。 https://stop-russian-desinformation.near.page https://gfsis.org/ http://93.79.82.132/ http://195.66.140.252/ https://kordon.io/ https://war.ukraine.ua/ https://www.fightforua.org/ https://bank.gov.ua/ https://liqpay.ua https://edmo.eu 当加载时,JavaScript 脚本将迫使访问者的浏览器对列出的每个网站执行 HTTP GET 请求,每次不超过 1000 个并发连接。DDoS攻击将在后台发生,而用户不知道它正在发生,只是他们的浏览器会变慢。这使得脚本能够在访问者不知道他们的浏览器已被用于攻击的情况下进行 DDoS 攻击。 对目标网站的每个请求都将利用一个随机查询字符串,这样请求就不会通过 Cloudflare 或 Akamai 等缓存服务提供,而是直接由被攻击的服务器接收。例如,DDoS 脚本将在网站服务器的访问日志中产生类似以下的请求。 “get /?17.650025158868488 http/1.1” “get /?932.8529889504794 http/1.1” “get /?71.59119445542395 http/1.1” BleepingComputer 只找到了几个感染了这种 DDoS 脚本的网站。然而,开发者 Andrii Savchenko 表示,有数百个 WordPress 网站被破坏,以进行这些攻击。Savchenko 在Twitter上说:“实际上大约有上百个这样的网站。都是通过WP漏洞。不幸的是,许多供应商/业主没有反应”。 在研究该脚本以寻找其他受感染的网站时,BleepingComp
2022年3月30日 10:11hackernews.cc
据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,传播关于俄乌冲突的歪曲新闻和宣传。其最终目的是破坏不同地区的社会政治局势的稳定,同时在乌克兰人民中灌输恐慌情绪。 在不同的机器人农场查获的设备中,有超过100个GSM网关设备、近10000张SIM卡、笔记本电脑和其他含有非法行动证据的计算机设备。SBU的一些照片显示,他们还收集了电话、USB驱动器、武器和弹药。 SBU写道,经营这些农场的特工是在俄罗斯特勤部门的指示下进行的。该机构说,它已根据《乌克兰刑法》第110条(侵犯乌克兰的领土完整和不可侵犯性)提起刑事诉讼。尽管乌克兰当局称正在采取全面措施将涉案人员绳之以法,但声明中没有提到任何逮捕行动。 长期以来,俄罗斯被一些国家认为是在线威胁和错误信息活动的源头,自俄乌冲突爆发以来,这些活动猛增。在众多网络钓鱼事件和网络攻击中,长期以来被认为与俄罗斯政府有联系的卡巴斯基被列入美国国家安全黑名单。此外,美国总统拜登还警告美国公司加强其在线防御。另一方面,俄罗斯法院也裁定Facebook 和 Instagram等平台犯有极端主义活动罪。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252607.htm 封面来源于网络,如有侵权请联系删除
2022年3月30日 09:51hackernews.cc
据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说,他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于一种叫做紧急数据请求(EDR)的政府调查。通常情况下,技术公司只有在有法院命令的情况下才会交出用户数据或发出传票。然而当局可以在涉及迫在眉睫的伤害或死亡威胁的情况下提出EDR–绕过法院批准的文件或官方审查的需要。 据Krebs称,恶意黑客已经发现,技术公司和社交媒体公司没有简单的方法来验证EDR是否合法。“通过利用对警方电子邮件系统的非法访问,黑客将发送一个假的EDR,同时证明,如果不立即提供所要求的数据无辜的人将可能遭受巨大的痛苦或死亡。” 记者发现,网络犯罪分子会向潜在买家出售“搜查令/传票服务”的证据,这些人宣称可以从苹果、Google和Snapchat等服务中获取执法数据。 然而对于这样的情况,没有简单的方法来缓解这个问题。技术公司在面对EDR时不得不做出令人不安的选择,即遵从一个可能是假的请求或拒绝一个合法的请求–可能会使某人的生命受到威胁。 来自加州大学伯克利分校的安全专家Nicholas Weaver认为,清理这一漏洞的唯一方法是由FBI这样的机构充当所有州和地方执法机构的唯一身份提供者。 不过Weaver认为,即使是这样也不一定有效,因为FBI如何实时审查一些请求是否真的来自某个偏远的警察部门还是一个问题。 “如果你被抓到,风险很大,但这样做不是一个技巧问题。而是一个意志的问题。如果不在全美范围内彻底重做我们对互联网身份的思考,这是一个根本无法解决的问题,”Weaver说道。 2021年7月,美国立法者提出了一项可能有帮助的法案。该立法将要求向州和部落法院提供资金以便它们能够采用数字签名技术来打击伪造的法院命令。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252595.htm 封面来源于网络,如有侵权请联系删除
2022年3月29日 18:11hackernews.cc
据报道,日前,微软网络安全负责人呼吁,元宇宙平台们需要“武装”起来,在这个新技术刚开始发展时,就阻止黑客和犯罪集团破坏。 微软新上任的安全负责人查理·贝尔(Charlie Bell)表示,元宇宙领域将会有许多的创新,当然面对一些问题(如安全问题),行业也需寻找应对办法。 元宇宙是Meta等科技公司最近力挺的新概念。根据定义,元宇宙是一个完全虚拟的数字世界,每一个用户可以在其中生活、工作和玩耍。不过正如同现实的互联网世界,对于科技企业和网络安全公司来说,元宇宙也会带来一种独特、甚至更加严峻的安全挑战。 贝尔介绍说,比如在传统的电子邮件中,黑客会冒充某个用户的好友进行钓鱼欺诈,而在元宇宙中,黑客也可以盗用虚拟头像,冒充用户好友。 另外在元宇宙中,由于对于用户活动和内容缺乏中央化监管,这给“居民”的保护带来了更大的挑战。 在微软,贝尔的正式职务是负责安全、合规事务、身份管理的副总裁。本周一在微软官方网站发表的一篇博文中,贝尔表示,在元宇宙中,也会出现利用虚假头像的钓鱼攻击,比如黑客可能伪造一封来自银行的电子邮件,对方使用了银行柜员的虚拟头像,准备骗取用户机密信息。另外,黑客也有可能冒充用户所在公司的首席执行官,邀请他前往某个事先准备好的视频会议房间,从而实施犯罪活动。 微软、Meta等进入元宇宙领域的科技公司必须在产品开发阶段就倍加重视安全性,而不是在后期问题出现后再去修补。 贝尔介绍说,在元宇宙内,将需运行各种软件,包括游戏、娱乐或者企业视频会议。而所有软件的开发者或者使用者,都需提前考虑如何维护元宇宙的治安,杜绝黑客、滥用、骚扰和其它违规内容出现。另外,软件开发商也需要相互协作,实现用户账号的互联互通(这样用户可以使用同一个账号跨越多个元宇宙),并推出各种安全工具。 贝尔强调称,如果在安全性上不能未雨绸缪,则元宇宙只会遭到失败。 据报道,贝尔2021年加盟微软,在此之前,他在亚马逊云计算部门(当时的负责人是今天的亚马逊首席执行官贾西)效力多年,经验丰富。 贝尔在博文中表示,在元宇宙时代开启的时候,行业有一个机会,来建立明确的规范、核心安全原则,以便促进元宇宙居民之间的互信,保证元宇宙的使用体验。如果行业错失了现在的机会,则元宇宙概念的推广将会遭到阻碍,人类社会无法享受到元宇宙带来的联络、协作和商业开发机会。 未来将会出现多个元宇宙平台,以及建立在平台上的各种应用软件,科技公司需要展开协作,填补不同平台之间的缝隙。科
2022年3月29日 17:11hackernews.cc
Hackernews 编译,转载请注明出处: 一个名为“RED-LILI”的攻击者发布了近800个恶意模块,与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。 以色列安全公司 Checkmarx 说: “通常,攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次,攻击者似乎已经完全自动化了 NPM 帐户的创建过程,并且开设了专用帐户,每个包一个账户,这使得他的新恶意软件包更难被发现。” 这些发现建立在 JFrog 和  Sonatype 近期的报告的基础上,这两份报告详细介绍了数百个 NPM 软件包,这些软件包利用依赖项混淆和类型定位等技术来针对 Azure、 Uber 和 Airbnb 的开发者。 根据对 RED-LILI 作案手法的详细分析,异常行为的最早痕迹发生在2022年2月23日,在一周的时间里,大量恶意软件包呈爆发式分发。 具体来说,将rogue库上传到 NPM (Checkmarx 称之为“工厂”)的自动化过程包括同时使用自定义 Python 代码和 Selenium 等 web 测试工具,以模拟所需的用户操作,好在注册表中复制用户创建过程。 为了通过 NPM 设置的一次性密码验证屏障,攻击者利用一个名为Interactsh 的开放源码工具将 NPM 服务器发送的 OTP 提取到注册过程中提供的电子邮件地址,高效地使帐户创建请求成功。 有了这个全新的 NPM 用户帐号,攻击者接着以自动的方式创建和发布一个恶意软件包,每个帐号只有一个,但不是在创建访问令牌之前,以便在不需要电子邮件 OTP 验证的情况下发布软件包。 研究人员说: “随着供应链攻击者提高他们的技能,防御者的工作会更加艰难,这次攻击标志着他们技术取得了极大进步。”“通过将软件包分发在多个用户名之间,攻击者使防御者更难将它们联系起来,并一举解决它们。而且,通过这种方式,设备会更容易被感染。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年3月29日 14:31hackernews.cc
SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞,其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁,但 SentinelLabs 敦促 Azure Defender for IoT 用户必须立即采取行动。 SentinelLabs 的安全研究人员发现的这些缺陷可以让攻击者远程控制受微软物联网 Azure Defender 保护的设备。基于这些漏洞的攻击利用了 Azure 的密码恢复机制的某些弱点。 SentinelLabs 声称它在 2021 年 6 月主动向微软报告了这些安全漏洞。这些漏洞被追踪为 CVE-2021-42310, CVE-2021-42312, CVE-2021-37222, CVE-2021-42313 和  CVE-2021-42311,并被标记为关键,有些漏洞的 CVSS 评分为10.0,这是最高的。安全研究人员声称他们还没有发现被黑客滥用的证据。换句话说,尽管微软 Azure Defender for IoT 的安全缺陷已经超过 8 个月,但还没有记录到基于这些漏洞的攻击。 动图链接:https://static.cnbetacdn.com/article/2022/0329/4b0618f0405e7e8.webp Microsoft Defender for IoT是一个无代理的网络层安全,用于持续的IoT(物联网)或OT(运营技术)资产发现、漏洞管理和威胁检测。微软保证该保护层不需要改变现有环境。它是一个灵活的安全平台,这意味着用户可以选择在企业内部或与Azure连接的环境中部署同样的安全平台。 微软早在2020年就已经收购了CyberX。Azure Defender for IoT是一个主要基于CyberX的产品。看来至少有一个攻击载体是在一个安装脚本和一个包含系统加密文件的柏油档案里面发现的。这两个文件都存在于”CyberX”用户的主目录中。该脚本对存档文件进行了解密。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252243.htm 封面来源于网络,如有侵权请联系删除
2022年3月29日 11:51hackernews.cc
3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人的用户群)创造可与小型平台互操作的产品。 对于信息应用来说,这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起–安全专家担心这将破坏在信息加密领域来之不易的成果。 DMA的主要关注点是一类被称为“守门人”(gatekeepers)的大型科技公司,这类公司的定义是其受众或收入的规模,并延伸到他们能够对较小的竞争对手行使的结构性权力。通过新的法规,政府希望“开放”这些公司提供的一些服务,以允许小型企业参与竞争。这可能意味着让用户在 App Store 之外安装第三方应用程序,让外部卖家在亚马逊搜索中排名更靠前,或者要求消息应用程序在多个协议中发送文本。 但这可能会给承诺端到端加密的服务带来真正的问题:密码学家的共识是,如果不是不可能,也很难在应用程序之间保持加密,这可能会对用户产生巨大影响。Signal 受到影响很小,不会受到 DMA 条款的影响,但 WhatsApp–使用 Signal 协议并由 Meta 拥有–肯定会受到影响。其结果可能是,WhatsApp 的部分(如果不是全部)端到端信息加密被削弱或取消,使 10 亿用户失去了私人信息的保护。 鉴于需要精确地执行加密标准,专家们说,没有一个简单的解决方案可以调和加密信息服务的安全性和互操作性。知名互联网安全研究员、哥伦比亚大学计算机科学教授史蒂文-贝罗文(Steven Bellovin)说,实际上,没有办法将具有不同设计特点的应用程序的不同加密形式融合在一起。 Bellovin 说:“试图调和两种不同的加密架构根本不可能做到;一方或另一方将不得不做出重大改变。一个只有在双方都在线的情况下才能工作的设计与一个在存储信息的情况下工作的设计看起来会非常不同….。你如何使这两个系统互通有无?” Bellovin说,使不同的信息服务兼容可能会导致最低共同标准的设计方法,其中使某些应用程序对用户有价值的独特功能被剥离,直到达到一个共同的兼容性水平。例如,如果一个应用程序支持加密的多方通信,而另
2022年3月29日 10:31hackernews.cc
对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windows服务器上的近10万个文件,在同行当中处于“领先地位”。 由Splunk进行的勒索软件加密速度测试涉及10个勒索软件家族的10个样本,它们在4个不同的模拟计算机”受害者”配置上运行。在总共400次测试中,在Windows Server 2019机器上运行的LockBit样本成为最快的勒索软件,仅用4分9秒就加密了所有53GB的测试数据。 该测试数据由98561个文件组成,包括pdf、excel和word文档。同时,在一台Windows 10和Windows Server 2019机器上测试了这些勒索软件,包括来自REvil、Darkside、Babuk、Maze、LockBit和其他几个样本。LockBit不仅有最快的样本,而且在中位持续时间方面也排在总体第一位。 有趣的”Babuk”勒索软件在总体上排名第二,尽管它的名声因其最慢的单个样本(文件加密时间超过三个半小时)而受到一些打击。 Splunk还分享了一份白皮书(需要商业电子邮件才能下载),提供了对这项研究的全面看法。至于在发生勒索软件攻击时应采取的策略,该公司建议使用多因素认证、网络分段、集中记录和保持系统补丁。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252033.htm 封面来源于网络,如有侵权请联系删除
2022年3月28日 15:30hackernews.cc
尽管未能赢得 AV-TEST 的最高防病毒(AV-Comparatives)等级评价,但 Microsoft Defender 仍是市面上最合适的产品之一。尴尬的是,在 Windows 11 Build 22581 编译版本中,许多人发现遇到了媒体播放问题。由 Reddit 网友的讨论可知,问题与系统自带的 Defender SmartScreen 功能冲突有关。 事实上,Microsoft Defender 反病毒软件仍不够完美,比如此前 Defender for Endpoint 有误将自家的 Office 更新标记为恶意软件。 现在,Defender SmartScreen 又为 Windows 11 最新 Beta 测试版本带来了视频播放 Bug 。 在 Windows 11 的 Reddit 子版块上,许多网友吐槽在使用 Build 22581 编译版本时遇到了视频播放问题。 除了已知的 MKV 格式,其它容器格式也可能受到“延迟执行”问题的影响,意味着微软在发布前的测试阶段出现了重大疏漏。 庆幸的是,Reddit 网友 kristijan1001 想出了一个行之有效的缓解方案 —— 只需禁用 SmartScrren 设置下的“检查应用程序和文件”,即可正常播放视频。 不过在实施这项修改之前,还请确保相关文件是从可信赖的来源下载的、或者借助其它靠谱的第三方病毒防护软件。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1251795.htm 封面来源于网络,如有侵权请联系删除
2022年3月28日 10:30hackernews.cc
Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌面频道中向全球推出,整个用户群完成更新可能需要一个星期。进入Chrome菜单>帮助>关于Google浏览器检查新的更新时,这个更新立即可用。该网络浏览器还将自动检查新的更新,并在下次启动后自动安装。 今天修复的零日漏洞(被追踪为CVE-2022-1096)是一个匿名安全研究员报告的Chrome V8 JavaScript引擎中的高严重性类型混淆缺陷。 虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃,通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。 即使Google说它在外部检测到利用这一零日的攻击,该公司也没有分享有关这些事件的技术细节或其他信息。 “对错误细节和链接的访问可能会保持限制,直到大多数用户得到修复的更新,”Google说。”如果该错误存在于其他项目同样依赖的第三方库中,但尚未修复,我们也将保留信息披露的限制。” 在浏览器供应商发布更多信息之前,Google浏览器用户应该有足够的时间来升级Chrome浏览器并防止恶意攻击者利用它的企图。 通过这次更新,Google解决了自2022年开始的第二个Chrome零日漏洞,另一个(追踪号为CVE-2022-0609)在上个月打了补丁。 Google威胁分析小组(TAG)透露,朝鲜政府支持的黑客在2月补丁公布前几周就利用了CVE-2022-0609零日,最早的主动利用迹象是在2022年1月4日发现的。 由朝鲜政府支持的两个独立的威胁集团在通过钓鱼邮件推送恶意软件的活动中利用了这个零日漏洞,这些钓鱼邮件使用虚假的工作诱饵和被破坏的网站托管隐藏的iframe来提供一个利用工具包。 研究人员解释说:”这些电子邮件包含欺骗合法求职网站的链接,如Indeed和ZipRecruiter。在其他情况下,我们已经观察到假网站–它被设置为分发木马化的加密货币应用程序–托管iframes并将其访问者指向漏洞工具包。”   转
2022年3月25日 17:50hackernews.cc
网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在已经不常见,但总是会有人希望寻求“帮助”,这个恶意的Vidar CHM恶意软件以ISO格式通过电子邮件散播,该ISO被伪装成一个”require.doc”文件。 在这个 request.doc ISO文件中包含几个恶意文件,一个被称为”pss10r.chm”的微软帮助文件(CHM)和一个被称为”app.exe”的可执行文件。一旦用户被骗提取这些文件,用户的系统就会被破坏。前者即”pss10r.chm”实际上是一个一般的合法文件,但附带的exe文件却是臭名昭著的Vidar,Vidar是偷窃者恶意软件,从浏览器等地方窃取信息和数据。该活动类似于我们在2月份了解到的RedLine恶意软件活动。 下面是一个合法的”pss10r.chm”与这个Vitar活动中使用的恶意文件的对比图片。 恶意CHM的目的是运行另一个文件,即包含Vidar恶意软件的app.exe,以成功传递恶意软件载荷。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1251141.htm 封面来源于网络,如有侵权请联系删除
2022年3月25日 17:50hackernews.cc
据熟悉此事的人士透露,以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件,因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后,这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解–并跟美国的优先事项相矛盾。 自俄罗斯于2月24日对乌克兰采取军事行动以来,乌克兰总统沃洛基米尔·泽伦斯基一直在批评以色列的立场。他在最近对以色列议会议员的讲话中称,以色列必须“给出答案”来说明其没有向乌克兰提供武器或对俄罗斯人实施制裁的原因。 据直接了解此事的人透露,这至少可以追溯到2019年,当时,乌克兰官员游说以色列以试图说服以色列许可乌克兰使用间谍软件工具。但这些努力遭到拒绝,受以色列国防部监管的NSO集团从未被允许向乌克兰推销或出售该公司的间谍软件。 据了解,当飞马被成功地部署在一个目标上时,它可以被用来入侵任何移动电话、拦截电话对话、阅读文本信息或查看用户的照片。另外它还可以被用作远程监听设备,因为间谍软件的政府用户可以用它来远程开启和关闭移动电话录音机。 最近的新闻报道都集中在NSO的政府客户如何使用间谍软件–包括飞马–来攻击世界各地的记者和人权维护者。该联盟的报告还表明,从匈牙利到沙特阿拉伯,飞马的销售跟以色列的外交政策相一致。 从西班牙到法国再到乌干达,该间谍软件还被用来对付高级政府和外交官员,这些案例被认为是一些国家试图利用该工具进行国内或国际间谍活动。 NSO表示,其间谍软件是为了让政府客户用来对付严重的罪犯和恐怖分子。另外它还表示,它对滥用的严重指控有展开调查。 知情人士透露,在大多数常规情况下,以色列国防部首先是允许NSO向政府客户销售飞马软件的,然后进行审查以确定究竟是允许还是阻止交易的进一步发展。 一位乌克兰高级情报官员指出,以色列的决定让乌克兰官员感到“困惑”。这名官员表示,他并不完全了解乌克兰为什么被拒绝使用这一强大的间谍工具,但他补充称,他相信美国政府支持乌克兰的努力。 接近此事的消息人士表示,以色列的决定反映了它不愿意激怒俄罗斯,而俄罗斯跟以色列有着密切的情报关系。消息人士称,以色列担心授予乌克兰通过飞马瞄准俄罗斯手机号码的能力会被视为对俄罗斯情报部门的一种侵略行为。 这并不是唯一一次俄罗斯的主要地区敌人之一被拒绝进入飞马的一些权限。熟悉此事的人说,爱沙尼亚作为北约成员国,在2019年获得了飞马的使用权,
2022年3月25日 15:10hackernews.cc
Hackernews 编译,转载请注明出处: 一名23岁的俄罗斯人在美国被起诉,并被列入美国联邦调查局网络通缉名单,因为他被指控是一家网络犯罪论坛 Marketplace A的管理员,该论坛出售被盗的登录凭证、个人信息和信用卡数据。 伊戈尔 · 德赫蒂亚克(Igor Dekhtyarchuk)于2013年首次以“floraby”的化名出现在黑客论坛上,他被指控犯有电信欺诈、访问设备欺诈和严重的身份盗窃罪,这一系列罪行可能导致最高20年的联邦监禁。 根据美国联邦调查局的通缉令,Dekhtyarchuk 曾在叶卡捷琳堡的乌拉尔国立大学学习,曾居住在 Kamensk-Uralsky城。 美国司法部在一份声明中说: “Marketplace A 专门销售非法获取的接入设备,用于被入侵的在线支付平台、零售商和信用卡账户,还可以提供与这些账户相关的数据,如受害者的姓名、家庭地址、登录凭证和受害者的支付卡数据。” 据称,自2018年5月推上线以来,超过48,000个电子邮件账户和39,000多个网上账户在市场上进行交易,平均每天约有5000名访问者。 此外,据说该信用卡论坛向潜在客户提供了以不同价格购买同一受害者的在线和信用卡账户信息的服务,并租用了一个软件程序,使其客户能够使用盗取的信息访问一家不知名公司的账户。 FBI 表示,在2021年3月至7月期间,他们通过一名“在线秘密雇员”购买了多达13件物品,在完成交易后,这些凭证或登录 cookie 通过链接或 Telegram 消息服务发货,使调查人员能够访问131个不同的账户。 美国联邦调查局休斯顿特工负责人 Jim Smith 说: “ Dekhtyarchuk 运营的网络犯罪市场使出售受到攻击的证书、个人身份信息和其他敏感的金融信息更加便利了。” Smith补充说: “这些市场背后的网络犯罪分子竭尽全力模糊他们的真实身份,并经常利用其他复杂的方法进一步藏匿他们的活动。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
2022年3月25日 11:10hackernews.cc
援引 BBC News 报道,伦敦警方已经逮捕了 7 名青年,怀疑他们和近期非常猖獗的黑客组织 Lapsus$ 有关。在一份提交给 The Verge 的声明中,伦敦市警方的探长迈克尔·奥沙利文表示:“伦敦市警方一直在与合作伙伴一起对一个黑客组织的成员进行调查。在调查中有 7 名年龄在 16-21 岁的人被捕,在调查结束后已经全部释放。我们的调查仍在进行中”。 日前,Lapsus$ 对多家科技公司发起了攻击,包括 NVIDIA、三星、育碧、Okta和微软。周三,有报告显示,一名位于牛津的青少年是该组织的主谋。伦敦市警察局没有说这名少年是否在被捕者之列。 网络安全专家布莱恩-克雷布斯(Brian Krebs)周三在一篇关于该组织的广泛文章中称,Lapsus$的至少一名成员显然也参与了EA的数据泄露事件。周四,Vice在自己的文章中证实了该组织参与了该漏洞,并指出这是“Lapsus$后续大规模黑客攻击的象征”。 BBC News 称,它采访了这名少年的父亲,他显然没有意识到自己孩子与该团体的关系。这位父亲说:“直到最近,我才听说这些事。他从来没有说过任何黑客行为,但是他对电脑很在行,而且花了很多时间在电脑上。我一直以为他在玩游戏。我们要努力阻止他上电脑”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1250909.htm 封面来源于网络,如有侵权请联系删除
2022年3月24日 09:51hackernews.cc
据报道,日前,微软、英伟达等科技公司遭到一系列黑客攻击,而网络安全人员在调查中,把目标锁定在了英国英格兰牛津一位16岁少年。四名网络安全专家目前正代表微软等被攻击公司展开调查,对名为“Lapsus$”的黑客组织进行调查,专家们判断,上述16岁少年是这个黑客组织的主谋。 这个黑客组织过去进行了多次高调攻击,引发了安全专家的关注。目前这些攻击事件的具体动机尚不祥,但是专家猜测可能是出于谋取金钱或是提高“行业”知名度。 研究人员确信,这名英国少年和上述黑客组织的多次攻击事件有关,不过目前还不能证明他参与了Lapsus$的每一次攻击行为。据悉,网络安全专家使用了攻击事件留下的痕迹,再加上和公开信息进行比对,锁定了他的身份。 这名黑客还是未成年,因此媒体没有公开他的姓名,在网络上,这位少年的代号是“White”或是“Breachbase”。迄今为止,英国司法部门尚未对他提出公开的指控。 据报道,Lapsus$还有另外一位成员,也是个未成年人,居住在巴西。一位参与黑客事件调查的人士透露,调查人员目前一共锁定了和该组织有关的七个独立账号,这也表明该黑客组织可能还有其他成员。 另一知情人士表示,该未成年人在实施攻击方面非常娴熟,以至于在最初,调查者认为一些观察到的攻击活动来自机器人软件。 过去,Lapsus$组织对于一些受害者公司进行了公开嘲讽,在网上公开源代码或是内部文件。比如之前,该组织宣布已经攻破了Okta公司(一家身份识别和访问权限管理企业)的系统,导致该公司陷入一场公关危机。 在多个官方博文中,Okta公司透露一家第三方供应商的一名工程师,其系统被攻破,导致公司2.5%的客户受到了影响。 令人不可思议的是,Lapsus$组织甚至入侵了一些公司的Zoom视频会议。三名调查人员透露,黑客在视频会议上嘲讽了受害企业员工,以及帮助解决黑客攻击事件的外部IT咨询公司。 微软之前也遭到Lapsus$攻击。该公司在官方博文中透露,该组织针对多家机构进行了大规模的“社会工程学攻击”和勒索。 微软介绍说,这家黑客组织的动机就是攻击企业,盗取数据,然后获取赎金。在微软的监控系统中,这家黑客组织的代号是“DEV-0537”。据悉,为辅助攻击行动,他们有时还会在目标公司内部招募眼线。 研究人员表示,这家黑客组织在运作安全方面表现糟糕,使得网络安全公司可以了解到这名英国未成年黑客的详细情况。 微软在一篇博文中介绍说,许多黑客组织保持低调,但是E
2022年3月23日 15:31hackernews.cc
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。 据称这些数据来自微软的Azure DevOps服务器,该组织周日发布的Telegram频道截图被BleepingComputer看到。这些项目中的源代码涵盖了一系列高知名度和内部项目,包括与必应搜索、必应地图和Cortana语音助手有关的代码。 安全研究人员表示,未经压缩的37G字节的集合包括微软源代码,一些项目还包括旨在供微软工程师发布应用程序的电子邮件和文件记录。 然而,这些代码似乎并不适用于Windows或微软Office等本地运行的桌面软件,它主要由基础设施、网站和移动应用代码组成。 微软对此表示,它已经明白该组织的主张,并正在积极调查所谓的入侵和泄漏事件。 这次大规模的数据泄露是Lapsus$的最新事件,该组织通过获取和泄露大型科技公司的大量数据在短时间内“声名鹊起”。此类事件包括3月初从三星泄露的190GB的数据,以及其他针对Mercado Libre、NVIDIA、Ubisoft和Vodafone的攻击。 由于攻击主要获取的是源代码,一种理论认为黑客是通过内部渠道获得的。该组织此前曾试图招募员工,这样他们就可以有效地购买进入企业网络的权限。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249857.htm 封面来源于网络,如有侵权请联系删除
2022年3月23日 15:31hackernews.cc
美国总统拜登警告美国企业主管立即加强其公司的网络防御,准备应对潜在的来自俄罗斯的网络攻击,以报复使该国经济陷入瘫痪的制裁。拜登在一份白宫声明中写道,”根据不断变化的情报,政府正在重申以前的警告,即俄罗斯可能对美国进行恶意的网络攻击。” “我的政府将继续使用一切工具来阻止、破坏,并在必要时回应针对关键基础设施的网络攻击。但联邦政府不能单独抵御这种威胁,”拜登写道。”我敦促我们的私营部门伙伴立即加强你们的网络防御”。 拜登在华盛顿举行的商业圆桌会议季度会议上重复了这些警告。他说:”俄罗斯的网络能力的规模是相当大的,它正在到来。问题是,他(普京)有这个能力。他还没有使用它,但这是他’游戏手册’的一部分。” 政府已经为美国组织发布了一份指导性概况介绍,应该有助于减轻对俄罗斯网络攻击的影响。其中一些建议包括对系统实施多因素授权,保持最新的补丁,进行应急演练,并在任何网络事件发生前与当地联邦调查局或CISA办公室建立关系。 早在俄军入侵乌克兰之前,拜登政府就一直在应对来自俄罗斯的网络攻击。去年7月,美国总统告诉普京要对在该县运作的勒索软件集团采取行动,甚至暗示如果网络威胁不被阻止,美国准备作出回应。他后来警告说,此类事件可能导致”真正的交火”。但一位美国官员说,自从俄罗斯入侵其邻国以来,这种威胁”在政府眼中有了额外的意义”。 美国政府目前正在调查发生在2月24日俄罗斯入侵乌克兰当天的对美国电信运营Viasat的网络攻击,它认为这是一次国家支持的攻击。该事件导致数千名欧洲客户(包括许多在乌克兰的客户)提供互联网服务的卫星调制解调器通信被切断。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249865.htm 封面来源于网络,如有侵权请联系删除
2022年3月23日 11:31hackernews.cc
近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上,它正以 20 美元的买断价,向网络犯罪分子们兜售。 叫卖帖(图 via Bleeping Computer) 在买来恶意软件后,每位攻击者都会在 BitRAT 基础上进行打包分发,包括但不限于网络钓鱼、水坑、木马等。 AhnLab 安全研究人员最近发现,威胁参与者正在将 BitRAT 伪装成 Windows 10 专业版的激活工具,并在网盘上分享传播。 据悉,Webhards 是一项在韩国相当流行的在线存储服务,其通过社交媒体平台 / Discord 发布的直接下载链接,而吸引了大量的访问者。 但是对于粗心的网络用户来说,还是很容易被各类威胁参与者所利用的。 伪装成激活工具的恶意软件下载器 按照正规流程,用户需要通过合法渠道向微软购买许可证以激活 Windows 10 操作系统。不过也有一些迂回方法,比如利用 Windows 7 → Windows 10 的免费升级政策。 胆子更大的一些盗版用户,会冒险搜索网络上散布的非官方激活工具,但其中混入了许多恶意软件 —— 比如上图所示的“W10DigitalActiviation.exe”。 其带有一个简洁的图形化用户界面(GUI),配上对小白“相对友好”的一键激活按键。然而点击之后,它并不会在主机系统上激活 Windows 许可证。 代码分析发现,威胁参与者会利用硬编码,从命令与控制服务器上下载名为“Software_Reporter_Tool.exe”的恶意软件(本质上是 BitRAT 恶意软件)。 恶意代码分析(实际会下载 BitRAT 恶意软件) 恶意文件的会被安装到 %TEMP% 路径,并添加到 Startup 文件夹中。为了避免被系统自带的安全软件给清除,它甚至还会将自身纳入 Windows Defender 的排除项。 在榨干了所谓“激活工具”的利用价值后,“W10DigitalActiviation.exe”会被卸磨杀驴(从系统中删除),从而只在受害者计算机上留下被夺舍的 BitRAT 恶意软件。 对于网络犯罪分子们来说,BitRAT 的功能可谓是‘便宜又大碗’,能够从主机上窃取大量有价值的信息、执行 DDoS
2022年3月23日 10:51hackernews.cc
根据FBI的年度互联网犯罪报告,2021年人们因互联网犯罪而损失了超69亿美元,这比2020年猛增了20多亿美元。该报告于周二发布,包含了向美联邦执法机构的互联网犯罪投诉中心报告的最普遍的互联网诈骗信息 资料图 据FBI介绍称,2021年共有847,376起互联网犯罪投诉,虽然比2020年只增加了7%,但与2019年相比却猛增了81%。去年报告的前三大网络犯罪是网络钓鱼诈骗、不付款/不发货和个人数据泄露。 也许并不奇怪,过去两年中网络犯罪的激增大部分可归因于COVID-19大流行,正如联邦调查局在其报告中指出的那样,这导致了在家工作和虚拟会议的增加。2020年,FBI收到了28,500多份专门跟COVID-19有关的互联网犯罪活动的投诉,不过在2021年的报告中似乎没有对跟COVID-19有关的互联网犯罪进行详细统计。 虽然全美大部分地区对COVID-19的限制和授权正在放宽,但互联网上的犯罪活动尤其是以网络钓鱼和数据泄露的形式–在2021年达到历史最高水平–可能会继续上升。在加密货币世界中,诈骗和支持欺诈形式的犯罪可能会变得更加普遍,2021年约有32,400起投诉。其他需要警惕的常见互联网犯罪则包括网恋骗局、技术支持欺诈和勒索软件。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249955.htm 封面来源于网络,如有侵权请联系删除
2022年3月23日 10:31hackernews.cc
位于乌克兰的Setapp开发商MacPaw已经创建了一个Mac应用程序,供用户了解他们的数据是否被保存在俄罗斯服务器上,依照该国法律可以被当局读取。总部位于乌克兰基辅的MacPaw已经告诉用户,尽管俄罗斯入侵该国,但这家乌克兰公司开发的软件作品Setapp、CleanMyMac X等将继续提供支持。 现在,该公司还发布了自己的一个内部安全工具,这是在入侵期间专门为了应对俄国的威胁开发的。 SpyBuster是一个免费的应用程序,用户可以用它来扫描他们的Mac。它确定是否有任何应用程序是俄罗斯的或来自白俄罗斯的,也确定是否有任何数据被发送到这些地区的服务器。 MacPaw指出,这些数据很重要,因为根据俄罗斯法律,当局可以命令当地服务商交出过去六个月的任何语音通话、数据、图像和文本信息。同样的法律要求这些信息的元数据,例如时间和地点,如果保存在俄罗斯的服务器上,则需要三年的时间才可以消除。 除了识别俄罗斯或白俄罗斯的软件,SpyBuster还让用户阻止任何发送到这两个地方的服务器的数据。 该应用程序的扫描结果被处理并存储在用户的设备上,而不是与MacPaw共享,然后由用户决定是否采取措施防止数据被存储在俄罗斯服务器上。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249907.htm 封面来源于网络,如有侵权请联系删除
2022年3月23日 10:31hackernews.cc
网络安全公司F-Secure正在对其企业安全业务进行品牌重塑,新名称为WithSecure,并设计了时髦的新标志。WithSecure以前被称为F-Secure Business,它将专注于企业安全产品和解决方案,而消费者安全产品和服务仍以现有的F-Secure名称提供。 据路透社报道,被全球数千家企业使用的认证技术方案公司Okta表示,它正在调查一个潜在的漏洞消息。披露这一消息时,黑客组织Lapsus$在其Telegram频道上发布了自称是Okta内部系统的截图,其中一张似乎显示了Okta的Slack频道,另一张是Cloudflare界面。 对Okta的任何黑客攻击都可能对依赖Okta来验证用户访问内部系统的公司、大学和政府机构产生重大影响。 Lapsus$在其Telegram频道中写道,他声称已经进入Okta的系统两个月了,但他说其重点是”只针对Okta客户”。《华尔街日报》指出,在最近的一份文件中,Okta说它在全球有超过15000个客户。它的网站上列出了Peloton、Sonos、T-Mobile和FCC等客户。 Okta发言人Chris Hollis在一份声明中试图淡化这一事件,并表示Okta没有发现持续攻击的证据。”2022年1月下旬,Okta检测到有人试图破坏为我们一个子处理器工作的第三方客户支持工程师的账户。该子处理器对此事进行了调查和控制”。霍利斯说。”我们相信网上分享的截图与这个一月的事件有关。” “根据我们迄今为止的调查,没有证据表明在1月份检测到的活动之外还有持续的恶意活动,”然而,Lapsus$在他们的Telegram频道中写道,它在过去几个月都拥有访问Okta的权限。 Lapsus$是一个黑客组织,它声称对影响NVIDIA、三星、微软和育碧的一些高调黑客入侵事件负责,在某些情况下甚至窃取了数百GB的机密数据。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249831.htm 封面来源于网络,如有侵权请联系删除
2022年3月22日 17:30hackernews.cc
一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次,而且该应用目前仍可下载(发稿时已下架)。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用,允许用户上传图片并将其转换为卡通渲染。 过去 1 周,安全研究人员和移动安全公司 Pradeo 发现,该 Android 应用包括一个名为“FaceStealer”的木马,它显示一个 Facebook 登录屏幕,要求用户在使用该应用前登录。 据 Jamf 安全研究员 Michal Rajčan 称,当用户输入他们的凭证时,该应用程序将把它们发送到 zutuu[.]info [VirusTotal]的命令和控制服务器,然后攻击者可以收集这些信息。 除了 C2 服务器,恶意的 Android 应用程序将连接到 www.dozenorms[.]club URL [VirusTotal],在那里发送进一步的数据,而且过去曾被用来推广其他恶意的 FaceStealer Android 应用程序。 正如Pradeo在其报告中所解释的那样,这些应用程序的作者和分销商似乎已经将重新包装的过程自动化,并将一小段恶意代码注入到一个其他合法的应用程序中。然而,一旦他们登录,该应用程序将提供有限的功能,将指定的图片上传到在线编辑器http://color.photofuneditor.com/,该编辑器将对图片应用图形滤镜。 由于特定的应用程序仍在Play Store上,人们可能会自动认为该Android应用程序是值得信赖的。但不幸的是,恶意的Android应用有时会潜入Google应用商店,并一直保留到从差评中发现或被安全公司发现。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249651.htm 封面来源于网络,如有侵权请联系删除
2022年3月22日 16:50hackernews.cc
近日,据Reddit上的帖子和Cyber Kendra上的一份报告显示,LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户,该组织此前入侵了NVIDIA和三星。 下面的截图由Lapsus发布,但很快被删除,由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps资源。 据报道,该帖子在发布几分钟后删除,并补了一条消息“暂时删除,稍后再发布”。 从图中可以看到部分有关Bing和Cortana项目源代码的DevOps资源。 虽然对NVIDIA和三星电子的攻击让LAPSUS$有了知名度,但它其实早已臭名昭著。 去年12月,LAPSUS$攻击了巴西卫生部的网站,窃取了50TB的数据,导致数百万人无法获得疫苗数据。 元旦期间LAPSUS$攻击了葡萄牙最大的传媒集团Impresa,集团网站、SIC TV频道和Expresso网站被迫下线,电信网络运营商沃达丰此前也遭受了该黑客组织的攻击。 随着全球信息化的普及,黑客攻击的数量正在急剧增加,个人PC、企业官网、公共服务数据库等都已成为黑客攻击的目标,日益泛滥的黑客入侵已成为全球信息安全的重要挑战。   转自快科技 ,原文链接:https://news.mydrivers.com/1/821/821589.htm 封面来源于网络,如有侵权请联系删除
2022年3月22日 11:50hackernews.cc
受俄乌冲突影响,俄罗斯 Sber 银行建议其客户暂时停止安装任何应用程序的软件更新,因为担心这些软件可能包含专门针对俄罗斯用户的恶意代码,被一些人称为“抗议软件”(protestware)。 Sber 的公告写道:“目前,挑衅性媒体内容被引入免费分发的软件的情况已经变得更加频繁。此外,各种内容和恶意代码可以被嵌入到用于软件开发的免费分发的库中。使用此类软件可能导致个人和企业计算机以及IT基础设施感染恶意软件”。 在迫切需要使用该软件的情况下,Sber建议客户用杀毒软件扫描文件或对源代码进行人工审查–这个建议对大多数用户来说可能不切实际,甚至不可能。虽然公告的内容很笼统,但很可能是指 3 月早些时候发生的事件,当时一个广泛使用的 JavaScript 库的开发者添加了一个更新,覆盖了位于俄罗斯或白俄罗斯机器上的文件。据称,该更新是为了抗议战争而实施的,它引起了开源社区许多人的警觉,担心它会破坏对开源软件整体安全性的信心。 该更新是在一个名为node-ipc的JavaScript模块中进行的,根据NPM软件包管理器的数据,该模块每周被下载约100万次,并被流行的前端开发框架Vue.js用作依赖。 据The Register报道,3月7日和3月8日对node-ipc的更新增加了一些代码,检查主机的IP地址是否位于俄罗斯或白俄罗斯,如果是,就用一个心形符号尽可能多地覆盖文件。该模块的后期版本取消了覆盖功能,而是在用户的桌面上投放了一个文本文件,其中包含一条信息:”战争不是答案,不管它有多糟糕”,并附有Matisyahu的一首歌的链接。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1249547.htm 封面来源于网络,如有侵权请联系删除
2022年3月21日 16:53hackernews.cc
Hackernews 编译,转载请注明出处: 一个广泛应用于 Windows、 Linux 和 Mac 环境的开源模块的维护者最近破坏了它的功能,以抗议乌克兰的战争,大众再次将注意力集中在与软件代码依赖相关的潜在的严重安全问题上。 Node-ipc 是一个用于进程间通信的 JavaScript 模块,数百万开发者在开发软件时使用这个模块。最近,该模块的作者 Brandon Nozaki Miller 在软件中插入了代码,用于删除定位于俄罗斯和白俄罗斯的开发者系统的所有文件。 后来,他迅速从 npm JavaScript 注册表中删除了包含雨刷代码的模块版本,但随后又发布了另一个名为“ peacenotwar”的模块,并使其成为 node-ipc 的依赖项。因此,下载了 node-ipc 的开发人员最终在桌面目录中放置了一个与乌克兰战争相关的消息传递文件。所有版本统计起来,node-ipc 模块平均每周的下载量超过一百万次。 应用程序安全供应商Snyk 本周调查了这起事件,并将其描述为破坏全球开源社区的行为的一个例子。“这起安全事件涉及一名维护人员破坏磁盘文件的破坏性行为,以及他们试图隐藏和重申以花式蓄意破坏的企图,”Snyk的开发商宣传总监 Liran Tal 在博客中说。“虽然这是一种出于抗议动机的攻击,但它突显了软件供应链面临的一个更大的问题: 代码关联的依赖关系可能会对您的安全产生巨大影响。” Node-ipc 事件是近几个月来第二起说明企业使用开放源码和第三方组件构建软件之后面临的严重风险的事件。 今年1月,Marak Squires——两个广泛使用的开源库—— colors.js 和 faker.js 的维护者——故意在模块中引入代码,导致依赖它们的应用程序多次打印输出“ liberty”一词,后面还跟着胡言乱语。Sonatype负责维护 Maven 中央 Java 包存储库并调查 Squires 事件,据称,‘ colors’有超过33亿次的下载量,在超过19000个项目中使用,而‘faker’则有超过2.72亿次的下载量和大约2500个依赖项目。因此,成千上万的应用程序受到了 Squires 的行动的影响,Sonatype 推测这可能是 Squires 对他认为的大公司和商业项目免费从他的工作中获益的一种抗议形式。 危险的干预 Snyk 对最新 node-ipc 事件的分析表明,Miller,使用了
2022年3月21日 14:53hackernews.cc
因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或对其客户造成难以预知的风险。 截图(来自:CISA) 虽然安全公告中没有列出受威胁的具体部门,但鉴于卫星通讯在美国各地的普遍性,各大卫星通讯服务提供商仍不可掉以轻心。据估计,全美约有 800 万人在依靠 SATCOM 网络访问互联网。 专门从事卫星通信系统的网络安全专家 Ruben Santamarta 指出,卫星网络被广泛应用于航空、政府、媒体、军事,以及位于偏远地区的天然气设施、以及电力服务站等行业。 对于美国军方来说,尤其应该对此类攻击提高警惕。Santamarta 指出,2 月针对 Viasat 的网络攻击,已导致数以万计的客户离线,表明这类手段足以造成相当大的损害。 此外乌克兰军方的一名代表承认,该国正在使用这种卫星终端,攻击对其造成了通讯方面的巨大损失,且军方也是当前受到影响的最重要部门之一。 最后,海运等行业同样面临着此类安全威胁,而且事情不仅仅与网络安全有关。由于传播使用卫星通讯来开展安全操作,若未能顺利通过无线电频率或卫星通讯频道发送遇险呼叫信息,后果也将不堪设想。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248783.htm 封面来源于网络,如有侵权请联系删除
2022年3月21日 14:33hackernews.cc
黑莓威胁情报(BlackBerry Threat Intelligence)团队刚刚发出警报 —— 一款自 2021 年 8 月存续至今的 LokiLocker 勒索软件,正在互联网上传播肆虐。据悉,该恶意软件采用了 AES + RSA 的加密方案,若用户拒绝在指定期限内支付赎金,它就会擦除其 PC 上的所有文件 —— 包括删除所有非系统文件、以及覆盖硬盘上的主引导记录(MBR)。 (图自:BlackBerry Threat Intelligence) 目前尚不清楚 LokiLocker 勒索软件的起源,但代码分析发现它是用英语编写的,这点让安全研究人员感到很是疑惑。 图 1 – KoiVM 混淆器版本号 至于 LokiLocker 的受害者,世界各地都有分散,但主要分布在东欧和亚洲地区。 图 2 – Koi、NETGuard 与混淆类名 不过黑莓威胁情报团队认为,用于开发 LokiLocker 的工具,是由名为 AccountCrack 的伊朗破解团队开发的。 图 3 – Loki 函数为空或无法反编译 当然,仅凭这一点,还无法最终认定 LokiLocker 勒索软件的起源。 图 4 – WinAPI 包装器 对于普通用户来说,还请始终对各种不明链接保持警惕、确保开启 Windows 安全中心、并在启用受控文件夹访问策略。 图 5 – Loki 配置 最后,为了在不幸中招后有机会恢复文件,平日里也可通过 OneDrive 等网盘服务进行定期同步备份。 图 6 – KoiVM 虚拟化功能 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248751.htm 封面来源于网络,如有侵权请联系删除
2022年3月21日 10:33hackernews.cc
Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,该组织的一些战术、技术和程序共享与另一个名为UNC1945的组织有相似之处。 Mandiant 公司的研究人员在本周发布的一份新报告中称,这名演员进行的入侵涉及“高度的 OPSEC,利用公共和私人恶意软件、公用程序和脚本来移除证据,阻碍应急行动。” 更令人担忧的是,在某些案例中,这些攻击持续了几年,在整个过程中,黑客利用一个名为 CAKETAP 的 rootkit ,且仍未被发现,这个 rootkit 被设计用来隐藏网络连接、进程和文件。 Mandiant 公司能够从受害的 ATM 交换服务器中恢复内存检测数据,该公司指出,内核 rootkit 的一种变体具有专门功能,使其能够拦截卡和 PIN 验证信息,并使用被盗数据从 ATM 终端进行欺诈性的现金提款。 同时使用的还有两个后门,即 SLAPSTICK 和 TINYSHELL,它们都属于 UNC1945,用于获得对任务关键系统的持久远程访问,以及通过 rlogin、 telnet 或 SSH 进行 shell 执行和文件传输。 研究人员指出: “由于该组织熟悉基于 Unix 和 Linux 的系统,unc2891经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被检测人员忽略,比如 systemd (SYSTEMD)、名称服务缓存守护进程(NCSD)和 Linux at 守护进程(ATD)。” 此外,攻击链使用了各种恶意软件和公开可用的实用程序,包括- STEELHOUND —— STEELCORGI 内存植入的变体,用于解密嵌入式有效载荷和加密新的二进制文件 WINGHOOK-一个基于 Linux 和 Unix 操作系统的键盘记录程序,以编码格式捕获数据 WINGCRACK-一个实用程序,用于解析由 WINGHOOK 生成的编码内容 Wiperiight ——一个 ELF 实用程序,用于删除基于 Linux 和 Unix 系统上属于特定用户的日志条目 MIGLOGCLEANER ——一个在基于 Linux 和 Unix 的系统上清除日志
2022年3月21日 10:33hackernews.cc
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。 据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。 2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。 网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。 此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。 糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何可疑的东西。 供应链攻击 此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。 无论如何,如果用户的网站托管在GoDaddy的WordPress管理平台上,请务必尽快扫描wp-config.php文件,查找潜在的后门注入。 值得注意的是,2021 年 11 月,GoDaddy 披露一起数据泄露事件,影响范围涵盖 120 万客户和多个WordPress 管理服务经销商,包含上文提到的六个。 Bleeping Computer 已经联系了 GoDaddy,期望获取更多关于攻击活动的信息,但没有收到回复。 参考文章: https://www.bleepingcomputer.com/news/security/hundreds-of-godaddy-hosted-sites-backdoored-in-a-single-day/   转自 FreebuF ,原文链接:https://www.freebuf.com/news/325232.html 封面来源于网络,如有侵权请联系删除
2022年3月18日 16:57hackernews.cc
俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。 本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接,这些电子邮件来自 Transneft 的研发部门 Omega 公司。 Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被阻止接受来自美国市场的投资。 它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统,具有讽刺意味的是,这些系统主要用于泄漏检测。 泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。 不寻常的是,根据分布式拒绝秘密组织随同电子邮件上传的一份说明,消息来源将泄漏的数据献给希拉里·克林顿。在 2 月份接受 MSNBC 采访时,克林顿采取了非常规的措施,鼓励 Anonymous 对俄罗斯发动网络攻击。克林顿说:“热爱自由的人,了解我们的生活方式取决于支持那些也相信自由的人,可以参与对俄罗斯街头的人进行网络支持”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248347.htm 封面来源于网络,如有侵权请联系删除
2022年3月18日 14:37hackernews.cc
尽管苹果一直在警告侧载应用程序的危险性,并坚持对上架 App Store 的应用展开严格的审查。但由于 TestFlight 和 WebClips 这两项功能的存在,越来越多的恶意软件开发者正在积极利用这两大“官方漏洞”。比如欺诈者可忽悠 iPhone / iPad 用户侧带有恶意软件的应用程序,进而窃取加密货币、账户凭证等敏感信息,或开展其它不为人知的恶意活动。   通过严格的审查,这家库比蒂诺科技巨头很好地保证了 App Store 的软件质量和用户体验。 但若某恶意应用可在未通过安全审查的情况下轻松潜入 iPhone 或 iPad,后果就不堪设想了。 安全公司 Sophos 在一篇帖子中指出,通过推送虚假的加密货币 App,近期冒头的 CryptoRom 活动,正在将魔爪伸向毫无戒备的 iOS 和 Android 用户。 长期以来,Android 系统一直有开放“侧载”的选项。在提供极大自由度的同时,此举也让小白用户面临着相当大的恶意软件风险。 Sophos 指出,CryptoRom 恶意软件活动严重依赖于 TestFlight 功能来传播,该渠道允许 iOS 用户下载并安装尚未通过 App Store 审核的应用程序。 在道高一尺魔高一丈的网络安全攻防战中,诈骗者们绝对不会轻易放过各种漏洞。 除了伪装加密货币交易所,他们还丧心病狂地通过 TestFlight 测试通道来忽悠 iOS 用户去安装恶意软件。一旦在受害者的设备上被顺利安装,推送带有恶意软件的应用程序,也就轻而易举了。 此外 CryptoRom 的幕后黑手,还有更加可怕的第二种手段 —— 利用苹果提供的 WebClips 功能。通过将网页链接直接添加到 iPhone 主屏,诈骗者可轻易将链接伪装成来自合法服务或平台的普通 App 。 Sophos 指出,目前 CryptoRom 活动正在社交网络、约会网站 / App 上大肆兜售,表明幕后组织者正在积极部署社工策略。作为预防措施,还请 iPhone / iPad 用户千万不要在官方 App Store 渠道之外获取应用程序。     转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248183.htm 封面来源于网络,如有侵权请联系删除
2022年3月18日 14:37hackernews.cc
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还是指出,本次攻击是面向 Katzenberg 本人参与投资的身份盗窃保护公司 Aura 的一次技术演示。 据悉,Tobac 利用了现已得到修复的漏洞、并且结合了社会工程技能,以欺骗 Katzenberg 点击钓鱼网站上的恶意链接。 在得逞之后,攻击者便可窃取受害者 Mac 上的照片、电子邮件和联系人等隐私信息。 更让人感到惊悚的是,黑客甚至能够在不触发 macOS 内置麦克风指示器的情况下,悄然开启 Mic 并监听受害者的谈话内容。 Tobac 的丈夫 Evan(也是一名黑客兼安全研究人员),在另一条推文中介绍了本次 macOS 漏洞利用的更多细节。 可知攻击方案基于 Ryan Pickren 的安全研究而构建,当初他因发现 Safari 的跨站脚本漏洞而获得了 10.05 万美元的奖励。更确切地说,黑客可通过 iCloud 链接和 Safari 的共享偏好来开展底层漏洞利用攻击。 不过对于普通 macOS 用户来说,还请不要连续漏过多次版本更新、并养成良好的使用习惯(不轻易点击可疑的邮件连接),不然就会像 Katzenberg 的 Mac 一样易被侵入。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1248021.htm 封面来源于网络,如有侵权请联系删除
2022年3月18日 14:37hackernews.cc
Microsoft Defender for Endpoint 今天出现了非常严重的误报事件,竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候,系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程序误报。随后微软承认确实存在这个问题。    在 Reddit 社区上,安全与合规首席技术专家 Steve Scholz 在那里的一个帖子中解释了这个问题。他写道: 请注意: 这是一个误报,现在已经被纠正了。 从3月16日上午开始,客户可能经历了一系列的假阳性检测,这归因于文件系统中的勒索软件行为检测。微软已经调查了这一检测高峰,并确定它们是假阳性结果。微软已经更新了云逻辑,以抑制误报结果。 说明 – 客户可能遇到了一系列误报检测,这些检测可归因于文件系统中的勒索软件行为检测。 – 微软已经更新了云计算逻辑,以防止今后产生警报,并清除以前的误报。 在同一主题的另一个回应中,Scholz解释说,这个问题是由一个代码问题引起的,后来已经被修复。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247989.htm 封面来源于网络,如有侵权请联系删除
2022年3月17日 10:11hackernews.cc
在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。 据俄罗斯新闻媒体《生意人报》(Kommersant)声称有消息来源证实了这一提议,各方估计在可用存储空间耗尽之前,他们大约还有两个月的时间。由于受到制裁,在西方云存储服务切断与该国的业务联系后,所有俄罗斯公司被迫转向国内云存储服务提供商。 例如,俄罗斯移动运营商MegaFon对本地存储容量的需求增加了五倍,MTS增加了十倍,而VK在短短一周内不得不寻求增加20%的存储资源。这造成了一个无法克服的实际问题,因为俄罗斯没有足够的数据中心来满足当地运营商的需求;因此,需要一个全国性的解决方案来解决俄罗斯的存储危机。 Kommersant进一步解释说,这种情况正好与俄罗斯公共机构的存储需求成倍增长相吻合,因为”智慧城市”项目涉及广泛的视频监控和面部识别系统。上周,数字发展部修改了Yarovaya法(2016年),暂停要求电信运营商每年为反恐监控目的增加15%的存储容量分配。 另一个可以释放空间的举措是要求互联网服务供应商放弃媒体流媒体服务和其他在线娱乐平台,这些服务会吞噬宝贵的资源。第三,可以选择买断国内数据处理中心的所有可用存储。然而,这很可能会给需要额外存储来增加服务和内容的娱乐供应商带来更多问题。 俄罗斯还在考虑收缴从俄罗斯撤出的公司留下的IT服务器和存储,并将其纳入公共基础设施。据当地媒体报道,该部目前正在分析,如果政府颁布此类政策,将有多少资源可以利用。如果这些资源足以支持关键的国家行动,那么将制定一个快速通道程序。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247837.htm 封面来源于网络,如有侵权请联系删除
2022年3月17日 10:11hackernews.cc
新的研究表明,黑客经常使用相同的常用密码,通常是默认密码获得服务器的访问权。来自Bulletproof的数据还显示,在黑客使用的顶级默认凭证列表中,默认的Raspberry Pi用户名和登录信息占据了突出位置。 在整个2021年,利用蜜罐进行的研究表明,目前总网络活动的70%是机器人流量。随着黑客越来越多地部署自动化攻击方法,默认凭证是这些不良行为者最常使用的密码,实际上充当了犯罪访问的’骨架钥匙’。  “名单上有默认的Raspberry Pi凭证(un:pi/pwd:raspberry)。互联网上有超过20万台机器在运行标准的树莓派操作系统,这使得它成为不法分子的合理目标。我们还可以看到看起来像是在Linux机器上使用的凭证(un:nproc/pwd:nproc)。”Bulletproof公司首席技术官Brian Wagner说:”这突出了一个关键问题–默认凭证仍然没有被改变。使用默认凭证为攻击者提供了一个最容易的切入点,充当了多个黑客的’骨架钥匙’。使用合法的凭证可以让黑客避免被发现,并使调查和监测攻击变得更加困难。” 今天仍在被攻击者使用的密码中,有四分之一源自2009年12月的RockYou数据库泄漏。这些密码仍然是可行的,Bulletproof公司的渗透测试人员在测试中也尝试使用这些密码,因为它们仍然有很高的成功率。 “在一个服务器被放到互联网上的几毫秒内,它就已经被各种实体扫描了。僵尸网络将以它为目标,然后大量的恶意流量被驱动到服务器,”瓦格纳补充说。”尽管我们的一些数据显示合法的研究公司正在扫描互联网,但我们遇到的进入我们蜜罐的流量的最大比例来自威胁行为者和被破坏的主机。” 完整的Bulletproof年度网络安全行业威胁报告来自该公司的网站。下面有一个正在使用的顶级默认凭证列表。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247725.htm 封面来源于网络,如有侵权请联系删除
2022年3月17日 09:51hackernews.cc
在俄罗斯对乌克兰采取军事行动的几个月前,一队美国人在乌克兰各地寻找一种非常特殊的威胁。据悉,其中一些小组成员是美国陆军网络司令部的士兵,其他人则是民用承包商和一些美国公司的雇员,他们帮助保护关键基础设施免受俄罗斯机构对乌克兰采取的网络攻击。 自2015年乌克兰电网遭遇网络攻击进而导致基辅部分地区停电数小时以来,美国多年来一直在帮助乌克兰加强其网络防御。 但10月和11月的这次美国人员激增是不同的:它是为了准备即将到来的战争。熟悉该行动的人描述了寻找隐藏恶意软件的紧迫性,俄罗斯可能已经种植了这种恶意软件,然后让其处于休眠状态,另外还准备在更常规的地面入侵的同时发动毁灭性的网络攻击。 专家们警告称,俄罗斯可能还会对乌克兰的基础设施发动毁灭性的网络攻击,而这正是西方官员长期以来所预期的。但多年的工作加上过去两个月的有针对性的支持可能解释了乌克兰网络至今仍在坚持的原因。 乌克兰和美国的官员谨慎地将“网络任务小组”的工作描述为是防御性的。 乌克兰政府高级官员Victor Zhora称,俄罗斯的攻击已经被削弱,因为“乌克兰政府已经采取了适当的措施来反击和保护我们的网络”。 在乌克兰铁路(Ukrainian Railways),由美国士兵和平民组成的小组发现并清理了一种特别有害的恶意软件,网络安全专家称之为“擦除软件(wiperware)”–只需按命令删除关键文件就能使整个计算机网络瘫痪。 在俄罗斯入侵的头10天里,近100万乌克兰平民通过铁路网络逃到了安全地带。一位熟悉该问题的乌克兰官员称,如果该恶意软件没有被发现并被触发,那么它可能是灾难性的。 据熟悉此事的人说,类似的恶意软件在边境警察内部没有被发现,上周,当数十万乌克兰妇女和儿童试图离开该国时,通往罗马尼亚的过境点的计算机被禁用,这加剧了混乱。 由于预算少得多–约6000万美元–这些团队还必须跟私人团体打好基础。 在2月的最后一个周末,乌克兰国家警察和其他乌克兰政府机构正面临着分布式拒绝服务攻击(DDoS)的大规模冲击,这是一种相对不复杂的攻击,需要通过从大量计算机中涌入少量数据的要求来破坏网络。 在几个小时内,美国人联系了Fortinet,这是一家加利福尼亚的网络安全集团,销售一种旨在应对这种攻击的“虚拟机”。 资金在几小时内得到批准,美国商务部在15分钟内提供了许可。一位熟悉快速行动的人士说,在提出要求的8个小时内,一个工程师小组
2022年3月16日 17:10hackernews.cc
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。 (来自:Google Security Blog) 从 2019 到 2021 年,Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年,Chrome 却没有记录到零日漏洞。 Chrome Security 团队解释称,虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用,但由于缺乏完整的归纳试图,可用数据或存在抽样偏差。 那为何大家还是感觉漏洞变多了呢?Chrome Security 将之归结于四个可能的原因 ——(1)供应商透明度、(2)攻击者焦点的演变、(3)站点隔离项目的完工、以及(4)软件错误的复杂性。 ● 首先,许多浏览器厂商都在一改往日的做法,主动通过各自的渠道来披露此类漏洞利用的详情。 ● 其次,攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎,攻击者也自然地盯上了更广泛的受众群体。 ● 第三,错误的增加,或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现,不至于对全局造成过大的伤害。 ● 第四,基于软件存在 bug 这一简单事实,我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂,更多的错误也是难以避免。 零日漏洞趋势 综上所述,漏洞数量已不再和安全风险直接画等号。即便如此,Chrome 团队仍保证他们会在发布前,努力检测并修复错误。 在利用已知漏洞的 n-day 攻击方面,其“补丁空窗期”已显著减少(Chrome 为 35 天 / 平均 76~18 天)。此外为了防患于未然,Chrome 团队还在努力让攻击变得更加复杂和代价高昂。 在具体正在实施的改进中,包括了不断增强的站点隔离,尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件,以及被野外利用后的缓解措施等。 最后,对于普通用户来说,最
2022年3月16日 16:50hackernews.cc
Vice 报道称,在最近一次行动中,乌克兰安全局(SBU)声称抓获了一名在乌境内为俄军提供通信服务的黑客。在当天上午 10 点发布的推文和电报消息中,SBU 分享了本次行动的诸多细节。尽管尚未得到另一独立消息源的证实,但我们已经看到了面部打码的黑客、以及所谓的通信系统照片。 电报帖子指出,黑客有协助将俄罗斯境内的电话、路由到乌克兰境内的俄军手机,同时向乌克兰安全官员和公务员发送劝降短信。 SBU 方面公布了被逮捕的黑客、以及他所使用的软硬件的照片,似乎为常见的语音 / 短信的中继系统。 Adaptive Mobile Security 首席技术官 Cathal Mc Daid,在推文中解释了相关设备及其用途。 可知其中包括了一个 SIM 卡盒服务器,能够在 128 张不同的号码之间切换。 在与 GSM 网关配对之后,这套系统可将语音呼叫和短信链接到本地移动网络,辅以用于处理消息传递和呼叫转移的未知软件。 不过由于此类系统的可靠性欠佳,Cathal Mc Daid 认为它并不适用于军事通信,所以 SBU 公告的可信度还是有所欠缺。 在俄乌冲突爆发后,有大量报道称乌克兰安全部队拦截了俄罗斯军队之间发送的信息,让人怀疑俄方是否严重依赖于缺乏通信加密的民用网络技术。 此外有报道称俄军在行动初期大量摧毁了当地 3G / 4G 移动网络基站,甚至在某些情况下使用未加密的手持无线电系统开展战场通信,即便俄罗斯国防部曾暗示已向大多数不对发放了加密战术无线电设备。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247533.htm 封面来源于网络,如有侵权请联系删除
2022年3月16日 11:50hackernews.cc
Facebook母公司Meta被欧盟罚款1700万欧元(约合1900万美元),原因是它未能阻止Facebook平台在2018年发生的一系列数据泄露事件,违反了欧盟的隐私规则。 Meta在欧盟的主要隐私监管机构爱尔兰数据保护委员会表示,他们发现Facebook“未能采取适当的技术和组织措施”。 2018年,Facebook成为欧盟《通用数据保护条例》颁布后的首个重大考验。当时,爱尔兰监管机构宣布对一起影响多达5000万个账户的漏洞事件展开调查。与周二处罚相关的调查是在当年12月开始的,调查的对象是Facebook发出的12条漏洞通知,其中一些是由一个软件漏洞引起的,导致外部开发者获得了数百万用户的照片。   转自 凤凰网科技 ,原文链接:https://tech.ifeng.com/c/8EQ0Ts7nbTO 封面来源于网络,如有侵权请联系删除
2022年3月16日 10:10hackernews.cc
在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 HackerOne 支持代表发给安全研究员 Vladimir Metnew 的一封电子邮件可知:“如果你身处乌克兰、俄罗斯、或白罗斯,那当前所有的通信和交易都将被暂缓”。 让人无语的是,尽管Metnew 是一位正在欧盟地区的乌克兰人,他的账户还是被该漏洞赏金平台给冻结了 ——“我们推测他们阻止了所有注册地为乌克兰的研究人员的提款”。 据悉,HackerOne 旨在构建一座桥梁,让发现和上报安全漏洞的黑客与安全研究人员,能够与寻求修复其产品和服务的公司实现更好的沟通。 参考 2020 年的数据,HackerOne 共向研究人员支付了超过 1.07 亿美元的漏洞赏金。随着安全社区的日渐成熟,不少人也将这项工作当做了主要收入来源。 仍然身处乌克兰的许多其他研究人员,也汇报了类似的情况 —— 要么账户被冻结,要么就是无法顺利提取资金。 其中 Bob Diachenko 会定期向外媒分享调查结果,然而从 2 月到现在,他账户中的 3000 美元收入一直无法到手。 在缺乏官方沟通渠道的情况下,HackerOne 此举已经引发了众怒。但更让大家感到困惑的是,该平台到底遵循着怎样的出口管制条款? 乌克兰黑客 @kazan71p 在一条推文中指出,尽管自己不来自受制裁的克里米亚或顿巴斯地区,但他的账号还是被无理由地一刀切制裁了。 庆幸的是,在引发了舆论争议之后,HackerOne 首席技术官 Alex Rice 终于出面接受了外媒的采访,并声称将很快恢复赏金支付。 我们积极支持乌克兰为自由而战,且无意限制乌克兰研究人员的赏金支付。对于因此造成的压力,我们深感抱歉、并致力于尽快让一些恢复正常。 当拜登政府宣布针对乌克兰的两个被占领地区实施金融制裁时,我们立即开始努力确保不会向那里不当地发放赏金,这导致一些研究人员的付款处理出现了延迟。 目前 HackerOne 团队正在积极解决这一问题,如果一切顺利的话,平台有望在一周内恢复所有提款处理。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/te
2022年3月16日 10:10hackernews.cc
研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件(以破坏关键文件和数据为目的),这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了细节。 据研究人员称,该恶意软件会从连接到被攻击机器的任何驱动器中删除用户数据和分区信息。在 Twitter 上分享的样本代码表明,该恶意软件通过用空字节字符覆盖它们来破坏机器上的文件,使它们无法恢复。 ESET 威胁研究主管 Jean-Ian Boutin 告诉 The Verge:“我们知道,如果擦除起作用,它将有效地使系统失去作用。然而,目前还不清楚这种攻击的整体影响是什么”。 Boutin 说,到目前为止,被攻击的案件数量似乎不多,ESET 的研究已经观察到一个组织被 CaddyWiper 作为目标。 ESET 的研究先前发现了另外 2 款针对乌克兰电脑的擦除恶意软件。第一个毒株被研究人员称为 HermeticWiper,是在2月23日发现的,即俄罗斯开始军事入侵乌克兰的前一天。另一个被称为 IsaacWiper 的狙击手于2月24日在乌克兰部署。然而,ESET分享的时间线表明,IsaacWiper和HermeticWiper在发布前几个月都在开发中。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1247013.htm 封面来源于网络,如有侵权请联系删除
2022年3月16日 10:10hackernews.cc
以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政府还没有正式确定可能的肇事者,但它指出这些网站是拒绝服务攻击的受害者,该攻击使它们的流量泛滥。消息称,网络攻击的目标是拥有gov.il域名的网站,另外还怀疑是一个国家行为者或一个“大型组织”所为。另外获悉,一个跟伊朗有联系的黑客组织据称对这些攻击负责,而且这可能是对以色列针对伊朗核设施的行动的报复。不过,这两件事都没有得到证实。 据该国的一位国防人士透露,目前还不清楚这是否是迄今为止针对以色列的最大的网络攻击。然而,据报道,国家武装部队和国防官员的担忧足以宣布进入紧急状态并审查可能的损害,其中包括任何可能危及其他关键网站和关键基础设施的情况。 据了解,这些拒绝服务攻击不太可能造成很大的损害。它们只是让网站更难访问,但没有证据表明肇事者破坏了网站或泄露了数据。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1246989.htm 封面来源于网络,如有侵权请联系删除
2022年3月14日 17:51hackernews.cc
丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物产安全咨询的吉川孝志说,13日,在操纵勒索软件的新兴网络犯罪集团“Pandora(潘多拉)”的主页上刊登了“盗取并公开电装的机密数据”的声明。 数据为1.4TB,文件超过15万7千份,内容为设计图、订购书扫描件、邮件和打印机的印刷数据等。电装并未明确表示有无被索要赎金,只称“详细情况正在确认中”。另一方面,公司未确认对其全球所有生产基地的影响,表示将继续正常运行。 近段时间黑客勒索事件猖獗,从英伟达到三星、环球晶等跨国公司,都受到了来自黑客组织的威胁。近期英伟达与黑客组织Lapsus$的攻防战让很多人开了眼界,尽管最终英伟达并未能挽回数据,但也让各行各业意识到了构建自身网络安全的重要性。   转自 新浪财经 ,原文链接:https://t.cj.sina.com.cn/articles/view/7725047728/1cc72dfb0001010f3z 封面来源于网络,如有侵权请联系删除
2022年3月14日 17:31hackernews.cc
Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 SonarSource 的研究员 Paul Gerste 说: “这意味着攻击不能远程直接针对开发人员的机器,并且需要欺骗开发人员来加载格式不正确的文件。”“但你是否总是足够了解并信任来自互联网或公司内部仓库的所有软件包的提供者呢?” 包管理器指的是用于自动安装、升级和配置开发应用程序所需的第三方依赖项的系统或一组工具。 虽然流氓库将存储库打包存在自带的安全风险——需要对依赖关系进行适当的审查,以防止出现类型定义错误和依赖混淆攻击——但“管理依赖关系的行为通常不被视为具有潜在风险的操作” 但是,在各种软件包管理器中新发现的问题表明,攻击者可以将这些软件包武器化,诱骗受害者执行恶意代码。这些漏洞已经在以下软件包管理器中被识别出来: Composer 1.x < 1.10.23 and 2.x < 2.1.9 Bundler < 2.2.33 Bower < 1.8.13 Poetry < 1.1.9 Yarn < 1.22.13 pnpm < 6.15.1 Pip (no fix), and Pipenv (no fix) 其中最主要的漏洞是 Composer 的 browse 命令中的命令注入漏洞,这个漏洞被滥用,通过向已发布的恶意程序包插入 URL 来实现任意代码执行。 如果包利用类型定位或依赖关系混淆技术,它可能会导致这样一种情况,即运行库的浏览命令可能导致检索下一阶段的有效负载,然后该有效负载用来发动进一步的攻击。 在 Bundler、 Poetry、 Yarn、 Composer、 Pip 和 Pipenv 中发现的附加参数注入和不可信搜索路径漏洞意味着,黑客可以通过添加恶意软件的 git 可执行文件或攻击者控制的文件(如用于指定 Ruby 程序依赖项的 Gemfile)获得代码执行。 在2021年9月9日的披露之后,针对 Composer,Bundler,Bower,Poetry,Yarn 和 Pnpm 中的问题已经发布了修复程序。但是 Composer、 Pip 和 Pip
2022年3月14日 17:31hackernews.cc
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服务均已恢复正常运行。 截图(来自:Ubisoft) 育碧补充道,公司内部 IT 团队正在与业内领先的网络安全专家合作调查这起事件。只是为了安全起见,才决定对所有密码进行重置 —— 除了育碧员工,甚至其潜在合作伙伴,都必须执行密码更新操作。 尽管可能没有太大的必要,但如果你是育碧旗下某款游戏服务的玩家,也可酌情选择修改密码、并在条件允许的情况下启用双因素(2FA)身份验证,以显著降低账户被盗用的风险。 此外育碧强调,上周发生的网络安全事件并未触及玩家的个人信息。鉴于尚未有黑客组织声称对此事负责,我们推测攻击者只是触发了育碧安全系统的警报,但未能顺利提取或破坏任何敏感信息。 转自 cnBeta ,原文链接:https://hot.cnbeta.com/articles/game/1246087.htm 封面来源于网络,如有侵权请联系删除
2022年3月14日 13:51hackernews.cc
Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创建新账户都是很容易的。 ASEC发现的这一活动针对的是Valorant游戏社区,这是一款免费的Windows第一人称射击游戏,在视频描述中提供了一个自动瞄准机器人的下载链接。 假自动瞄准机器人(ASEC)宣传视频 据称,这些骗术是安装在游戏中的外挂,以帮助玩家快速精准瞄准敌人,不用任何技巧就能爆头。 自动瞄准机器人在 Valorant 等热门多人游戏中非常受欢迎,因为它们可以自动瞄准,玩家轻松排名进步。 植入 Redline 试图下载视频描述中的文件的玩家将被带到anonfiles页面,在那里他们会获取一个RAR存档,其中包含一个名为“Cheat installer.exe”的可执行文件。 实际上,这个文件是RedLine 信息窃取程序的副本,RedLine stealer 是最广泛使用的窃取密码的恶意软件感染之一,它从受感染的系统窃取以下数据: 基本信息:计算机名、用户名、IP地址、Windows版本、系统信息(CPU、GPU、RAM等)、进程列表 Web浏览器:密码、信用卡号码、自动填充表单、书签和Chrome、Firefox中的cookie 加密货币钱包:Armory、AtomicWallet、bitcoinore、byteccoin、DashCore、Electrum、Ethereum、LitecoinCore、Monero、Exodus、Zcash和Jaxx VPN客户端:ProtonVPN、OpenVPN、NordVPN 其他:FileZilla(主机地址、端口号、用户名和密码),Minecraft(帐户凭据,级别,排名),Steam(客户端会话),Discord(令牌信息) 在收集了这些信息之后,RedLine巧妙地将其打包到一个名为“().zip”的ZIP压缩包中,并通过WebHook API POST请求将其导出文件到一个Discord服务器。 不要相信YouTube视频中的链接 除此之外,电子游戏中的作弊行为会破坏游戏的乐趣,另外,它总归是一个潜在的严重的安全风险。 这些作弊工具都不是由可信的实体编写
2022年3月14日 10:11hackernews.cc
在英国,购买比特币最简单、最匿名的方式之一是前往选定的商店,使用比特币自动取款机,你只需存入现金,然后将比特币发送到你的比特币钱包。英国金融行为监管局(FCA)现在正命令经营这些自动取款机的公司关闭它们,因为它们没有实施旨在防止洗钱的KYC措施。 要在英国运营,加密货币自动取款机应在FCA注册,并遵守英国洗钱条例(MLR)。据FCA称,在其注册的加密资产公司中,没有一家获准经营ATM机,所以那些正在经营的公司是非法的,FCA表示,客户不应该使用它们。 其中一家公司Gidiplus最近对FCA的决定提出上诉,法官对此表示,缺乏证据表明Gidiplus以合规方式开展业务。这一决定为FCA对这些自动取款机的起诉增加了砝码,给它们带来了更大的关闭压力。FCA将与运营商联系,指示他们停止运营ATM机,任何拒绝的运营商将面临进一步的行动。 那些想在英国购买加密货币的人可以通过许多在线平台进行购买,其中大部分平台会要求你证明你的身份,以便你不会通过这些服务来洗钱。虽然FCA允许这些类型的服务,但它警告说,这些服务是不受监管的,而且是高风险的,所以如果出了问题,你不可能得到保护,因此,你投资的任何钱,都应该是你准备损失的钱。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245991.htm 封面来源于网络,如有侵权请联系删除
2022年3月14日 10:11hackernews.cc
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说,该委员会将调查监管监控方面现有国家法律,以及PegASUS间谍软件是否被用于政治目的,例如针对记者、政治家和律师。 Pegasus是以色列公司NSO集团开发的一种强大的移动间谍软件,可以近乎完全访问目标设备上的数据。NSO是更广泛的监控领域中更多产和知名的间谍软件制造商之一,允许政府和执法部门通过利用设备软件的安全缺陷和弱点来获取设备数据。研究人员一直发现,民间社会成员,记者、活动家和人权捍卫者已经成为政府使用飞马间谍软件的目标,尽管政府保证只针对严重的罪犯和恐怖分子。 在该委员会成立前不到一个月,欧洲数据保护监督员呼吁在整个集团范围内禁止使用Pegasus和其他移动间谍软件,担心会出现”前所未有的侵扰程度”,并引用了有关间谍软件在两个欧盟成员国匈牙利和波兰部署的报告。 1月,公民实验室的研究人员发现有证据表明,波兰执政党的批评者,包括反对派立法者Krzysztof Brejza,成为间谍软件的目标。从Krzysztof Brejza手机中窃取的短信随后被泄露、篡改并在国家控制的电视台上播出,之后他以微弱的劣势在选举中败北。此后,Krzysztof Brejza指责波兰政府干扰了选举。研究人员还报告了法国、德国和西班牙的Pegasus使用情况。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245991.htm 封面来源于网络,如有侵权请联系删除
2022年3月14日 10:11hackernews.cc
我们已经习惯了来自俄罗斯的大量网络攻击,但在乌克兰被入侵后出现了一个有趣的转变,3月份70%的网络攻击反过来都是针对俄罗斯的。Atlas VPN的研究显示,还有19%的攻击是针对乌克兰的。美国是第三大目标,但国际局势让针对该国的攻击只占总数的5%。 3月5日,随着匿名黑客宣布对俄罗斯进行全面的网络战争,共有50亿次攻击涌向俄罗斯。他们泄露了政府雇员的数据,并入侵了俄罗斯国家电视频道。 在其他发现中,全球90%的攻击使用DDoS来造成服务中断。银行和其他支付处理公司遭受了全球72%的网络攻击。商业部门是21%的攻击目标,计算机和IT部门遭受了全球2%的网络攻击,所有其他行业占5%的攻击。 你可以在Atlas VPN博客上阅读更多细节: https://atlasvpn.com/blog/nearly-90-of-cyberattacks-worldwide-are-targeting-russia-or-ukraine 以下是图形形式展现的统计数据:   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245459.htm 封面来源于网络,如有侵权请联系删除
2022年3月14日 10:11hackernews.cc
在攻破 NVIDIA 之后,嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖,通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票将于 3 月 13 日结束。 援引 CNBC 报道称,Vodafone 表示对数据泄漏事件知情,并已着手调查黑客是如何获得这些数据的。在撰写本报告时,该投票已收到 12,700 张投票,CNBC 称 以 56% 的比例领先。在回复 CNBC 的声明中,Vodafone 表示 我们正在与执法部门一起调查这一说法,目前我们无法评论这一说法的可信度。然而,我们可以说的是,一般来说,索赔中提到的存储库类型包含专有源代码,不包含客户数据。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1245685.htm 封面来源于网络,如有侵权请联系删除
2022年3月14日 10:11hackernews.cc
2018年,英特尔、AMD、ARM曝出CPU安全事件,引起广泛关注,舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔,还涉及AMD/ARM等厂商,且CPU 漏洞补丁基本不会给普通用户造成任何影响,但这次bug依旧被定为成行业大事件。 时隔几年,CPU又再次曝出一个大bug,有意思的是,英特尔、AMD、ARM一个也没拉下,全部都受到影响。 据外媒报道,安全人员发现了一种新方法,可以绕过现有的基于硬件的防御措施,在英特尔、AMD和ARM的计算机处理器中进行推测执行,可允许攻击者泄露敏感信息。 随后,英特尔、AMD和ARM发布公告了相关事件公告,并附上了缓解措施和更新建议,以此解决出现的CPU问题。 所谓“推测执行”,是指通过预测程序流来调整指令的执行,并分析程序的数据流来选择指令执行的最佳顺序。2018年,安全研究人员发现了一种从主动计算中获取信息的方法,并将漏洞命名为Meltdown 和 Spectre。 而后,CPU厂商纷纷发布了基于软件的缓解措施,将间接分支与推测执行隔离开来,并通过硬件修复进一步解决此类问题,例如英特尔的eIBRS和Arm的CSV2等。如今,CPU安全事件再次爆发,值得厂商们提高警惕。 绕过现有的缓解措施 近日,VUSec安全研究人员发布了技术报告,披露了一个新的Spectre类投机执行漏洞,详细介绍了一种新的攻击方法,即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。 报告强调,虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目,但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录,以迫使操作系统内核错误预测可能泄漏敏感数据。 为了进一步证明漏洞可用性,安全研究人员还发布了概念证明(PoC)测试,展示了任意内核内存泄漏,成功披露了易受攻击的系统的哈希密码。 该漏洞影响到自Haswell以来推出的任何英特尔CPU,包括Ice Lake-SP和Alder Lake。受影响的ARM CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。ARM的漏洞编号是CVE-2022-23960,Intel的漏洞编号CVE-2022-0001和CVE-2022-0002。 接下来,VUsec 准备了一篇关于新 BH
2022年3月14日 10:11hackernews.cc
近期,网络安全公司Binarly研究人员发现16个影响惠普企业设备的统一可扩展固件接口高危漏洞。攻击者可以利用这些漏洞植入固件,使其能够在操作系统更新后继续存在并绕过 UEFI安全启动、Intel Boot Guard和基于虚拟化的安全性。受影响的设备包括多个惠普企业设备,如笔记本电脑、台式机、销售点系统和边缘计算节点。 根据Binarly的分析,通过这些泄露的漏洞,攻击者可以在运行的系统中利用它们在固件中执行特权代码,这些代码不但在操作系统重新安装后仍然存在,且允许绕过端点安全解决方案 (EDR/AV) 、安全启动和基于虚拟化的安全隔离。” 以下是研究人员发现的漏洞列表: Binarly研究人员认为,本根原因在于缺乏利用固件的常识才是导致此次影响行业的漏洞事件的根本原因,Binarly创始人兼首席执行官Alex Matrosov说:“研究人员也表示正在努力通过提供全面的技术细节来填补这一缺陷。毕竟这对开发有效的设备安全缓解措施和防御技术至关重要。” 研究人员发现的最严重的漏洞是通过损害内存达到影响固件的系统管理模式,攻击者可以触发他们以获取最高权限执行任意代码。日前惠普已经通过2月份发布的HP UEFI固件2022年2月安全更新解决了这些缺陷。 参考来源:https://securityaffairs.co/wordpress/128838/hacking/hp-uefi-firmware-flaws.html     (封面及消息来源:FreeBuf.COM)
2022年3月14日 10:11hackernews.cc
BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞,它攻击分支全局历史而不是分支目标预测。不幸的是,这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁,尽管AMD处理器大多是免疫的。消息传出后,供应商应该很快就会发布安全补丁,而最新得Linux内核已经打了补丁。 VUSec安全研究小组和英特尔周二联合披露了一个新的Spectre类投机执行漏洞,称为分支历史注入(BHI)或Spectre-HBB。 BHI是对Spectre V2(或Spectre-BTI)类型攻击的概念重新实现的证明。它影响到任何同样易受Spectre V2攻击的CPU,即使Spectre V2的缓解措施已经实施;它可以绕过英特尔的eIBRS和Arm的CSV2缓解措施。这些缓解措施可以保护分支目标注入,而新的漏洞允许攻击者在全局分支历史中注入预测器条目。BHI可以用来泄露任意的内核内存,这意味着像密码这样的敏感信息可以被泄露。 VUSec对此的解释如下:”BHI本质上是Spectre v2的扩展,我们利用全局历史来重新引入跨权限BTI的利用。因此,攻击者的基本原理仍然是Spectre v2,但通过跨权限边界注入历史(BHI),我们可以利用部署新的硬件内缓解措施的系统(即英特尔eIBRS和Arm CSV2)。” 该漏洞影响到自Haswell以来推出的任何英特尔CPU,包括Ice Lake-SP和Alder Lake。受影响的Arm CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。 Arm的CVE ID是CVE-2022-23960,Intel使用的是CVE-2022-0001和CVE-2022-0002的ID。两家公司都发布了有关其受影响CPU的更多细节: https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html https://developer.arm.com/support/arm-security-updates/specu