当前节点:hackernews.cc
时间节点
2022年5月27日 15:52hackernews.cc
安全内参5月27日消息,对于希望在部门内部署5G无线通信项目的联邦官员,这份最新发布的安全指南将帮助他们考量最重要的“运营授权”流程。 《5G安全评估》(5G Security Evaluation)指南由美国国土安全部(DHS)网络安全与基础设施安全局、国土安全部科技司、国防部(DoD)研究与工程司共同牵头,指派研究小组负责具体制定。 文件指出,“重要的是,政府应采用灵活、自适应且可重复的方法对任何5G网络部署的安全性和弹性做出评估。此外,具体评估可能需要在现行联邦网络安全政策、法规和最佳实践之外更进一步,以解决已知攻击向量、尚未发现的威胁和特定实施中存在的漏洞。” 整理评估方案的官员强调,这份指南并非新的安全要求或框架。相反,它只是为各级机关的5G系统评估工作,特别是评估其安全水平是否符合生产要求,制定出一个五步走流程。整个流程与美国国家标准、技术风险管理框架等现有评估机制挂钩。 网络与基础设施安全局网络质量服务管理办公室主管Vincent Sritapan在采访中表示,“我们经常面对各种各样的应用场景:用于训练的AR/VR,提供数据存储与分析功能的智能湖仓等。但关键在于,必须找到一种通行的方式来看待问题并理解政策。我们并不是要重新构建评估机制,而是立足于现有成果,比如风险管理框架。” 图:5G子系统面临的威胁 各级机关都希望能在未来几年内将5G系统部署落地,因此安全评估工作就成了通信升级的关键。作为联邦首席信息安全委员会授权负责发现常见无线与移动问题、开发解决方案并分享最佳实践的专项团队,联邦移动工作组(Federal Mobility Group)曾在2020年发表论文,确定了政府内60多项与5G技术相关的举措,其中包括数十项研发计划。 与其他新兴技术一样,在将5G引入生产环境之前,各团队必须首先获得运营授权(ATO)。此次发布的评估指南,就是以专项测试与传统运营授权流程为基础,面向5G技术提供评估调查指引。 Sritapan表示,“很多人单纯关注功能本身。他们可能会想,「太棒了,我想在技术新鲜出炉后立马用上。」但在摸清风险之前,大家不宜轻举妄动。换句话说,在把5G用例纳入业务的同时,我们又增添了哪些风险?” 5G安全评估的五个阶段 这个五步走评估流程的第一步是定义5G用例,包括5G系统、子系统及属性等关键参数。 美国国防部5G to NextG倡议的运营部分负责人Dan Massey在采访中指出,这个流
2022年5月27日 15:32hackernews.cc
2022年6月6-9日,RSA Conference 2022将在美国旧金山召开。作为全球网络安全行业一年一度的盛宴,RSAC大会被誉为安全界的“奥林匹克”,是网络安全的重要风向标之一。 自1991年举办首届大会以来,RSAC大会即将迈入第31个年头,会议规模也从一个小型的密码学论坛,发展成如今的全球安全顶级信息安全大会,吸引着全球网安企业、大咖、极客和优秀创业者共聚一堂。 其中最吸引眼球的莫过于RSAC创新沙盒大赛,被誉为是网络安全行业技术创新的代表方向,也是资本投资的重点关注对象,吸引着全球网安产业的目光。 此前RSAC官方已经公布了创新沙盒10强名单,它们分别是Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq,涉及云原生安全、接入安全、软件供应链安全、数据治理、API安全和安全运营多个赛道。 纵观历届RSAC大会,创新沙盒大赛的胜出者基本都得到了资本的追捧,被誉为网络安全行业的“未来之星”。 RSA Conference副总裁Linda Gray Martin也曾公开表示,RSA创新沙盒大赛被普遍认为是初创公司的跳板。自2005年以来,大赛的10强公司已总共完成69次收购,获得98亿美元投资。在过去两年中,已有两家10强公司,SentinelOne (2015年) 和 SumoLogic(2012年)完成IPO。 而在本次公布的10强名单中,Cado Security、Cycode、Dasera、Talon Cyber Security等多家企业在2021年就已经初现峥嵘,是年度炙手可热的网络安全初创企业。 2022年6月6日,这10家初创公司将向全球观众展示他们在网络安全行业上的技术创新。那么,哪家企业能够成为最后赢家,哪条赛道又将迎来新一轮的火热? 欢迎各位读者讨论、预测,看谁能押中最后的王者。 创新沙盒10强初步介绍 为了让读者更好地了解RSAC 2022创新沙盒10强公司,FreeBuf特对该10强企业进行简要梳理和分析,仅供大家参考,如下图所示: (数据来源:奇安投资) Araali Networks Araali Networks成立于2018年,是一家为云原生环境提供威胁管理解决方案的公司,2020年获得了种子轮投资,
2022年5月27日 15:32hackernews.cc
两家俄罗斯互联网服务提供商(ISP)收到Google的通知,称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点,用于更快地向互联网用户提供谷歌内容,并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的,isp可以将这些内容存储在服务器上,并更快地加载,给他们的订阅者更好的连接体验。 俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响,并证实Radiosvyaz(Focus Life)和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化,而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。 确认受影响的两家ISP已5月 19日关闭其缓存服务器,随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知,该通知确认了报告的有效性和所提供的理由。在通知中,谷歌表示关闭缓存服务器的原因是法律实践的变化,并指出公司和关键人物被列入制裁名单。 虽然此项制裁会对这两家俄罗斯ISP产生较大的影响,但好在这两家公司在俄罗斯国内的市场份额相对较小,所以也就不会对俄罗斯网民产生多大的影响。但是,如果谷歌将禁令扩大到所有俄罗斯互联网提供商,那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量,这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本,这可能会渗入订阅用户的每月账单里。 除此之外,关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器,例如 Google CAPTCHA。如果isp被禁用了这项服务,区分人类和机器人的系统可能无法在俄罗斯的网站上运行。 值得注意的是,俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。 由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔,且该公司被处以1亿美元巨额,所以该公司表示无法继续在俄罗斯开展业务。此外,莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产,以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而,谷歌的当地子公司并没有参与在
2022年5月27日 15:12hackernews.cc
近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。 Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。 近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。 Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。 为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。 Industrial Spy加入勒索软件大军 上周,安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本,然而这次看起来更像是勒索信,而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。 “非常不幸,我们不得不通知您,您的公司正面临着威胁,所有的文件都被加密,而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复,很可能会导致这些数据完全丢失”,勒索信中这样写道,“此外,我们研究了您整个公司的网络,并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复,我们将在Industrial Spy网站上公布您的数据。” 经研究人员测试显示,Industrial Spy确实对文件进行加密,但不同于大多数其他勒索软件家族,它不会在加密文件的名称上附加新的扩展
2022年5月27日 14:52hackernews.cc
Bleeping Computer 网站消息,威胁分析专家披露开放自动化软件(OAS)平台存在安全漏洞,漏洞可导致设备访问、拒绝服务和远程代码执行受到严重影响。 众所周知,OAS 平台是一个广泛使用的数据连接解决方案,它将工业设备(PLC、OPC、Modbus)、SCADA 系统、物联网、网络点、自定义应用程序、自定义 API 和数据库结合在一个整体系统下。 另外,OAS 平台还是一个灵活的多功能硬件和软件连接解决方案,能够促使来自不同供应商的专有设备和应用程序之间数据传输,并将数据连接到公司特定的产品、定制软件等。 目前,包括米其林、沃尔沃、英特尔、JBT AeroTech、美国海军、Dart Oil and Gas、General Dynamics、AES Wind Generation等在内的一些高知名度工业实体,都在使用 OAS。 鉴于 OAS 用户众多,平台中的漏洞可能会使关键工业部门面临中断和机密信息泄露的风险。 严重漏洞 根据思科 Talos 的一份报告显示,OAS 平台 16.00.0112 及以下版本容易受到一系列高危漏洞的影响,可能会带来破坏性的网络攻击。 其中最危险的 CVE-2022-26833 漏洞,严重性等级为 9.4(满分 10 分),主要涉及 OAS 中未经授权的访问和使用 REST API功能。 思科表示,REST API 旨在为“默认”用户提供对配置更改和数据查看的编程访问权限,但 Talos 研究人员能够通过发送一个带有空白用户名和密码的请求来进行身份验证。 未使用任何凭据进行身份验证 攻击者可以通过向易受攻击的端点,发送一系列特制的 HTTP 请求来利用该漏洞。 另外一个关键漏洞追踪为 CVE-2022-26082,评级为 9.1(满分 10 分),是 OAS 引擎 SecureTransferFiles 模块的一个文件写入漏洞。 据思科称,向有漏洞的端点发送一系列特制的网络请求可能导致任意远程代码执行。思科 Talos 表示,通过向 OAS 平台发送格式正确的配置消息,有可能将任意文件上传到底层用户允许的任何位置。 默认情况下,这些消息可以被发送到 TCP/58727,一旦成功,将由具有正常用户权限的用户 oasuser 处理。这种情况使得远程攻击者能够将新的 authorized_keys 文件上传到 oasuser 的 .ssh 目录中,从而可以通过 ssh 命令访问
2022年5月27日 14:12hackernews.cc
据Bleeping Computer网站5月26日消息,VMware 已在近期发布了安全更新,以解决影响 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。该漏洞属于多个 VMware 产品中的一个关键身份验证绕过漏洞,能允许攻击者获得管理员权限。 随着漏洞被修补,Horizon3 安全研究人员在26日发布了针对该漏洞的概念验证 (PoC) 漏洞利用和技术分析。 研究人员表示,CVE-2022-22972是一个相对简单的主机标头漏洞,攻击者可以较为容易的开发针对此漏洞的利用。虽然Shodan 搜索引擎仅显示了有限数量的 VMware 设备受到针对此漏洞的攻击,但仍有一些医疗保健、教育行业和政府组织成为攻击目标的风险正在增加。 具有严重后果的安全漏洞 VMware曾警告:“此漏洞的后果很严重。鉴于漏洞的严重性,我们强烈建议立即采取行动。”美国网络安全和基础设施安全局 (CISA)也曾发布新的紧急指令进一步强调了此安全漏洞的严重程度,该指令命令联邦民事执行局 (FCEB) 机构紧急更新或从其网络中删除 VMware 产品。 今年4 月,VMware 修复了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另外两个严重漏洞:一个远程代码执行错误 (CVE-2022-22954) 和一个root权限提升漏洞(CVE-2022-229600)。尽管 CVE-2022-22972 VMware auth bypass 尚未在野外被利用,但攻击者已能够在这两个漏洞披露的 48 小时内部署了系统后门和植入了挖矿木马。 网络安全机构表示,CISA 预计攻击者能够迅速开发出针对这些新发布的漏洞,在相同受影响的 VMware 产品中进行利用的能力。 延伸消息:博通宣布将以610亿美元收购VMware 当地时间5月26日,无线通信巨头博通公司(Broadcom)宣布,已经就收购VMware达成了协议,收购金额达到了610亿美元,并承担VMware 80亿美元的债务。一旦收购完成,博通软件部门将更名为VMware继续运营,并将现有的基础设施和安全软件解决方案与VMware产品进行整合。CNBC称,这是仅次于微软收购动视暴雪,戴尔收购EMC之
2022年5月27日 11:31hackernews.cc
图:研究团队主要成员、布朗大学工程学教授Daniel Mittleman 研究人员发现,利用办公纸、喷墨打印机、金属箔转印机和层压机等设备,可在短短五分钟内制造出足以窃听某些6G无线信号的工具; 这项研究打破了无线通信行业中普遍存在的一种误解,即高频信号天然安全。 安全内参消息,由美国计算机协会组织的无线与移动安全/隐私年度会议,ACM WiSec 2022大会即将于本周在圣安东尼奥举行。美国莱斯大学及布朗大学的工程研究人员将在大会上展示,首次发现的针对6G网络的安全漏洞和攻击手法。 研究共同作者、莱斯大学电气与计算机工程系教授Edward Knightly表示,“意识到未来威胁的存在,是应付这种威胁的第一步。虽然易受攻击影响的频段尚未实际使用,但使用之期已经不远,我们必须做好准备。” “中间超颖表面”攻击 在研究当中,Knightly和布朗大学工程学教授Daniel Mittleman及其同事发现,恶意黑客可以轻松制作出一张覆盖有2D箔符号的办公纸(相当于一种超颖表面),并借此重新定向在两个用户之间传输的一部分150 GHz“笔形波束”。 他们将这种攻击方法称为“中间超颖表面”(Metasurface-in-the-Middle),既描述了工具本身的性质,也体现出其使用方法。 “超颖表面”器材是一种具有特定图案设计的薄膜材料,能够操纵光波或电磁波的传输方向。 “中间”则代表计算机安全行业做出的攻击分类,指恶意黑客秘密介入到通信双方之间。 150 GHz频率高于当前5G蜂窝或Wi-Fi网络中使用的频率。但Knightly表示,无线电信运营商计划在未来十年内推出采用150 GHz或类似频率的新服务,并称其为太赫兹波或毫米波技术。 Knightly解释道,“下一代无线通信将使用高频段与笔形波束来支持虚拟现实、自动驾驶汽车等宽频带应用。”在ACM WiSec大会上,Knightly将与共同作者、实验室研究生Zhambyl Shaikhanov一起介绍这项成果。 具体攻击过程 在此次实验中,研究人员用Alice和Bob来指代被黑客入侵的通信两方,这个窃听者则被称为Eve。 为了实施攻击,Eve首先设计了一个超颖表面,借此将部分窄波束信号衍射到自己的所在位置。在演示中,研究人员设计了一种带有数百行开环的图案。这些开环形似字母C,但彼此间又有所差异,其开口方向和大小各自不同。 Shaikhanov介绍称,“这些开口和方向,就
2022年5月27日 10:51hackernews.cc
印度第二大航司香料航空遭勒索软件攻击,内部系统受影响离线,导致多个航班延误数小时,大量乘客滞留在机场; 这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的众多乘客,数小时的延误将转化为巨大的经济损失; 这是近期又一起网络攻击影响航班运转事件,此前4月,加拿大老牌航空公司阳翼航空遭网络攻击,致使航班严重延误近一周时间,大量乘客在机场滞留多天。 安全内参5月26日消息,印度香料航空公司(SpiceJet)表示,由于系统在周二(5月24日)受“勒索软件攻击”影响,已有多次航班延误,大量乘客滞留机场。 目前香料航空官网只有主页能够正常访问,大部分底层系统和网页均无法加载。 但航班状态表仍然正常显示,可以看到其中有大量航班发生了延误,时间从两小时到五小时不等。 官方声称已解决问题,但仍有大量乘客被困机场 5月25日,数个航班仍然延误,乘客们也因服务不到位而牢骚满腹。 大量乘客在推特发布照片和视频,抱怨登机后已经枯等几个小时,但香料航空方面未做任何回应。 香料航空后来在一份声明中指出,问题已经得到解决。 该公司在推文中写道,“我们的IT团队控制并解决了当前问题,现在航班运行已恢复正常。” 但就在推文发布之后,不少乘客在社交媒体上表示自己仍被困在各地机场,已经在饥渴难耐下等待了好几个小时,而期间地勤人员几乎未做任何沟通。 其中一名乘客Mudit Shejwar在推特上提到,他飞往达兰萨拉镇的航班已经延误了三个多小时。 “我们已经登机80分钟了,还是没有起飞。机组人员传达的唯一消息就是有服务器宕机,另外跟燃油相关的文书手续存在问题。真是这样吗?” 有其他乘客在推文中@香料航空,向他们询问航班状态信息。也有人抱怨“登机口那边的地勤人员不知道哪去了”。 还有人提到运营并未恢复,而且工作人员自己也不了解情况。 一位乘客在推文中写道,“我们这边有老人、有孩子,大家被困在没吃没喝的地方。舱门那边没人,也得不到任何新消息。”另有乘客抱怨打不通航空公司的客服热线。 东部西孟加拉邦机场的一名乘客还发出他妻子脚部骨折的照片,同样提到他们的航班延误达数小时。 香料航空经营出现问题,遇到严重的财务困境 根据公开数据,香料航空是印度第二大航空公司,运营着总计102架飞机组成的机队,航班覆盖60多个目的地。香料航空员工超过14000名,在印度国内拥有约15%的市场份额。 因此,这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的
2022年5月26日 17:31hackernews.cc
经过了为期一年代号为“黛利拉行动”(Operation Delilah)的调查,尼日利亚警方于近日在拉各斯的穆尔塔拉•穆罕默德国际机场逮捕了一名37岁男子,该男子是网络犯罪团伙SilverTerrier(又名TMT)的疑似头目。本次抓捕行动得到了几家全球大型网络安全公司(包括Group-IB, Palo Alto Networks Unit 42和Trend Micro)的支持。 SilverTerrier是一个拥有数百人成员规模的团伙,自2014年进入公众视野以来它就一直相当活跃,该团伙十分注重于商业电子邮件犯罪(BEC)。2020年5月,这个团伙曾发动过一次引发广泛关注的攻击。当时,Palo Alto Networks的研究人员观察到,团伙以COVID-19为诱饵对全球医疗机构和政府组织发动了攻击。 在此之前,2020年11月,国际刑警组织领导了打击SilverTerrier团伙的“猎鹰行动”(Operation Falcon)。此后,在“猎鹰二号行动”中,国际刑警组织逮捕了SilverTerrier团伙的15名成员。 “尼日利亚逮捕了这名著名的网络罪犯,这证明了我们的国际执法联盟和国际刑警组织的私营部门伙伴在打击网络犯罪方面长期不懈的努力收到了成果”,尼日利亚警察部门助理总督察、国际刑警组织尼日利亚国家中央局局长、国际刑警组织执行委员会非洲事务副主席Garba Baba Umar这样对媒体说道。 这名助理总督察还补充说道:“我希望这次‘黛利拉行动’能震慑全世界的网络罪犯,执法部门将继续追捕他们,这次逮捕行动也将为相关受害者带来慰藉。” 对此,国际刑警组织负责网络犯罪行动的助理主任Bernardo Pillot也表达了自己观点,“这起案件让我们看到了网络犯罪的全球化属性,以及通过全球到区域打击网络犯罪的行动方法的重要性。网络犯罪不是我们195个成员国中的任何一个可以单独面对的威胁,只有国家执法机构、私营部门合作伙伴和国际刑警组织共同坚持不懈地努力,才可以取得良好的结果。” 转自 Freebuf,原文链接:https://www.freebuf.com/news/334370.html 封面来源于网络,如有侵权请联系删除
2022年5月26日 17:11hackernews.cc
根据美国参议院委员会的一份新报告,美国政府缺乏关于勒索软件攻击的全面数据,而且现有的报告比较分散。美国国土安全部和公共事务委员会近日发布了一份 51 页的报告,呼吁政府迅速实施新的授权,要求联邦机构和关键基础设施组织在遭遇勒索软件之后必须上报,以及需要支付的赎金。 为了撰写这份报告,委员会进行了为期 10 个月的调查,并重点关注加密货币在勒索软件支付中的作用。结果发现有关攻击的报告是“零散且不完整”的,部分原因是 FBI 和 CISA 都声称拥有“一站式服务” 报告攻击的网站——分别是 IC3.gov 和 StopRansomware.gov。 新法律要求关键基础设施组织在 72 小时内向 CISA 报告网络攻击,并在 24 小时内向 CISA 报告勒索软件的赎金。CISA 在 3 月份表示将立即与 FBI 分享事件报告,但调查发现这种安排存在缺陷。 报告指出:“虽然这些机构声明他们彼此共享数据,但在与委员会工作人员的讨论中,勒索软件事件响应公司质疑此类通信渠道对协助攻击受害者的影响的有效性”。 除了 FBI 和 CISA 的双重报告职能之外,财政部的 FinCEN、运输安全管理局和证券交易委员会还有针对特定部门的报告制度,以及通过 FBI 外地办事处和一些州政府的报告。报告指出:“这些机构没有统一捕获、分类或公开共享信息。” 它指出,专家认为 FBI 关于勒索软件的 IC3 数据是数据的“子集”。 FBI 在其年度 IC3 报告中承认其勒索软件数据“人为地低”,因为受害者只是自愿向 FBI 报告事件。与此同时,收集勒索软件受害者报告的 FBI 外地办事处在后续调查期间与约 25% 的受害者失去了联系。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1273865.htm 封面来源于网络,如有侵权请联系删除
2022年5月26日 15:31hackernews.cc
Kubernetes 是一个开源容器编排系统,用于自动化软件部署、扩展和管理。Shadowserver 基金会开始扫描可访问的 Kubernetes API 实例,这些实例以 200 OK HTTP 响应对探测器进行响应。 “在我们能够识别的超过45万个API中,我们每天发现超过38万个允许某种形式的访问的 Kubernetes API。这些数据每天都会在我们的可访问Kubernetes API 服务器报告中共享。”, 扫描结果并不意味着这些服务器完全开放或容易受到攻击,它表明服务器具有“不必要地暴露攻击面”的情况。 它们扫描端口6443和443上的所有IPv4空间,并且仅包括响应200 OK(附带 JSON 响应)的Kubernetes服务器,因此在其响应中披露版本信息。2022-05-16的扫描结果发现 381,645 个唯一IP响应了探测的 200 OK HTTP 响应。 “这是我们看到的 454,729 个 Kubernetes API 实例中的一个。因此,“开放”API 实例构成了我们可以在 IPv4 互联网上扫描的所有实例的近 84%。” 数据安全公司 Comforte AG 的网络安全专家 Erfan Shadabi 表示,Shadowserver基金会扫描发现如此多的 Kubernetes 服务器暴露在公共互联网上,他并不感到惊讶。“White Kubernetes] 为企业提供了敏捷应用交付的巨大好处,有一些特点使其成为理想的攻击目标。例如,由于拥有许多容器,Kubernetes 有一个很大的攻击面,如果不预先保护,可能会被利用,”他说。 保护 Kubernetes Shadowserver基金会建议,如果管理员发现他们环境中的 Kubernetes 实例可以访问互联网,他们应该考虑实施“访问授权”,或者在防火墙级别进行阻止以减少暴露的攻击面。 Erfan Shadabi建议在其生产环境中使用容器和 Kubernetes 的组织应像对待 IT 基础设施的各个方面一样认真对待 Kubernetes。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/WVM4giXIQmz4PxhSQlHTIQ 封面来源于网络,如有侵权请联系删除
2022年5月26日 15:31hackernews.cc
微软发现,被称为XorDdos的Linux木马的网络犯罪活动正在增加,该报告发现,在过去六个月中,针对 Linux 端点使用该恶意软件的恶意活动增加了 254%,主要针对云、物联网。 该木马由安全研究组织 MalwareMustDie 于2014年首次发现,以其使用基于XOR的加密以及聚集僵尸网络执行分布式拒绝服务攻击的事实而得名。“XorDdos 描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势,这些操作系统通常部署在云基础设施和物联网 (IoT) 设备上,”Redmond警告说。 为了说明这一趋势,Redmond 指出,在XorDdos恶意软件长达8年的恐怖统治过程中,它已经达到了惊人的水平,感染了无法估量设备。博客没有说。它也没有为 254% 的增长提供任何基线,微软表示要到下周中旬才会拥有它们。 Microsoft 365 Defender 研究团队写道:“由于多种原因,DDoS 攻击本身可能存在很大问题,但此类攻击也可以用作隐藏进一步恶意活动的掩护,例如部署恶意软件和渗透目标系统。” 与Linux僵尸网络同样危险的Windows 僵尸网络 以 Windows 设备为目标的 Purple Fox 恶意软件为例,该恶意软件也在 2018 年被发现。 Guardicore 安全研究人员最近写了一篇关于这个僵尸网络的恶意活动如何自 2020 年 5 月以来跃升 600%,仅在过去一年就感染了 90,000 多台设备的文章。但微软并没有在博客中提到这一点。 本周微软的安全情报团队确实警告过针对Linux和Windows系统的Sysrv moreno-mining僵尸网络的新变种。 XorDdos 如何逃避检测 微软指出该恶意软件使用安全外壳 (SSH) 暴力攻击来控制目标设备。一旦成功找到正确的根凭证组合,它就会使用两种方法之一进行初始访问,这两种方法都会导致运行恶意 ELF 文件——XorDdos 恶意软件。 据研究团队称,该二进制文件是用 C/C++ 编写的,其代码是模块化的。它使用特定的功能来逃避检测。 如上所述,其中之一是基于 XOR 的加密来混淆数据。此外,XorDdos 使用守护进程(这些是在后台运行的进程)来破坏基于进程树的分析。该恶意软件还使用其内核 rootkit 组件隐藏其进程和端口,从而帮助其逃避基于规则的检测。 此外,隐形恶意软件使用多种持久性机制来支持不同的 Linux 发行版
2022年5月26日 14:51hackernews.cc
据调查,相较年初以来的稳定,ChromeLoader恶意软件的数量在本月有所上升,这将导致浏览器劫持成为一种普遍的威胁。ChromeLoader是一种浏览器劫持程序,它可以修改受害者的网络浏览器设置,以宣传不需要的软件、虚假广告,甚至会在搜索页面展示成人游戏和约会网站。威胁行为者将用户流量重定向到广告网站,通过营销联盟系统获得经济收益。虽然这类劫持者并不少见,但ChromeLoader因其持久性、数量和感染途径而脱颖而出,其中包括对滥用PowerShell。 今年2月以来,Red Canary 研究人员一直保持对ChromeLoader的追踪,据他说,劫持者使用恶意ISO存档文件来感染他们的受害者。ISO文件会被伪装成游戏或商业软件的破解可执行文件,所以受害者在不知情的情况下会从torrent或恶意网站下载它。研究人员还注意到,Twitter上有帖子推广破解的Android游戏,并提供二维码,这也会导致用户进入恶意软件托管网站。 当在Windows 10及以上版本操作系统双击ISO文件时,会将ISO文件挂载为虚拟光驱。这个ISO文件包含一个可执行文件,它使用“CS_Installer.exe”这样的名称,假装是一个游戏破解程序或keygen。 最后,ChromeLoader执行并解码PowerShell命令,从远程资源获取存档并加载为谷歌Chrome扩展。完成此操作后,PowerShell 将删除计划任务,使Chrome感染一个静默注入的扩展程序,该扩展程序劫持浏览器并操纵搜索引擎结果。 ChromeLoader恶意软件同时也针对macOS系统,意在同时操纵Chrome和Apple的Safari 网络浏览器。macOS上的感染链也类似,但威胁参与者使用DMG(Apple 磁盘映像)文件代替ISO,这是该操作系统上更常见的格式。不过macOS变体使用安装程序bash脚本下载并解压ChromeLoader扩展到“private/var/tmp”目录,而不是安装程序可执行文件。 为了保持持久性,macOS版本的ChromeLoader会在‘/Library/LaunchAgents’目录下追加一个首选项(‘ plist ‘)文件,这确保了每次用户登录到一个图形会话,且ChromeLoader的Bash脚本可以持续运行。 转自 Freebuf,原文链接:https://www.freebuf.co
2022年5月26日 14:31hackernews.cc
Bleeping Computer 网站披露,美国联邦贸易委员会(FTC)将对推特处以 1.5 亿美元巨额罚款,原因是该公司将收集到的电话号码和电子邮件地址,用于定向广告投放。 根据法庭披露出的信息来看,自 2013 以来,Twitter 以保护用户账户为理由,开始要求超过了 1.4 亿用户提供个人信息,但并没有告知用户这些信息也将允许广告商向其投放定向广告。 推特此举违反了联邦贸易委员会法案和 2011 年委员会行政命令,这些法案明确禁止了该公司歪曲隐私和安全做法,并从欺骗性的收集数据中获利。 据悉,早在 2009 年 1 月至 5 月期间,在黑客获得推特的管理控制权后,该公司未能保护用户的个人信息,行政命令随之颁布。 推特遭受巨额罚款 FTC 主席 Lina M. Khan 表示,Twitter 以进行安全保护为由,从用户处获得数据,但最后也利用这些数据向用户投放广告,这种做法虽然提高了 Twitter 的收入来源,但也影响了超过 1.4 亿 Twitter 用户,1.5 亿美元的罚款侧面反映了 Twitter 这一做法的严重性。 美国检察官 Stephanie M. Hinds 强调,为防止威胁用户隐私,今后将实施大量新的合规措施,联邦贸易委员会拟议命令的其他条款包括以下几条: 1. 禁止 Twitter 从欺骗性收集的数据中获利; 2. 允许用户使用其他多因素身份验证方法,比如不需要用户提供电话号码的移动身份验证应用程序或安全密钥; 3. 通知用户 ,twitter 滥用了为帐户安全而收集的电话号码和电子邮件地址,以并提供有关  Twitter  隐私和安全控制的信息; 4. 实施和维护全面的隐私和信息安全计划,要求公司检查和解决新产品的潜在隐私和安全风险; 5. 限制员工访问用户的个人数据; 6. 如果公司遇到数据泄露,需立刻通知 FTC。 目前,推特已同意与联邦贸易委员会达成和解,支付 1.5 亿美元的民事罚款,并对使用用户信息进行广告盈利事件道歉。 除此之外,在联邦法院批准和解后,推特也将实施新的合规措施以改善其数据隐私做法。 类似案件 2018 年也发生了非常相似的事情,当时 Facebook 为其所有用户构建了复杂的广告配置文件,从用户的 2FA 电话号码到从其朋友个人资料中收集的信息,应有尽有。 后来,Facebook 使用用户的 2FA 电话号码作为附加载体,投放有针对性的广告。 转自 Fr
2022年5月26日 12:11hackernews.cc
据Bleeping Computer网站5月25日消息,一种名为“Cheers”的新型勒索软件出现在网络犯罪领域,目标是针对易受攻击的 VMware ESXi 服务器。 VMware ESXi 是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组,包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现,并将新变种称为“Cheerscrypt”。 当Cheers攻击VMware ESXi 服务器时,会启动加密器,它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭: esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’) 在加密文件时,Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名,但文件重命名发生在加密之前,所以如果重命名文件的访问权限被拒绝,加密会失败,但文件仍然会被重命名。 加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。 Cheers 加密例程 在扫描文件夹以查找要加密的文件时,勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点,但数据泄露站点 Onion URL 是静态的。 根据 Bleeping Computer 的研究,Cheers似乎于 2022 年 3 月开始运作,虽然迄今为止只发现了 Linux 勒索软件版本,但不排除也存在针对Windows系统的变体。 Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站,该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露,并将
2022年5月26日 10:51hackernews.cc
2019年底,澳大利亚新南威尔士州(NSW)政府推出了数字驾照。新执照允许人们在路边警察检查时或在酒吧、商店、酒店和其他场所使用他们的iPhone或Android设备来展示身份和年龄证明。这个被政府称为ServiceNSW的服务承诺–跟公民使用了几十年的塑料驾驶执照相比,数字版将提供额外的安全和保护进而防止身份欺诈的发生。 现在,在经过30个月时间的检阅之后,安全研究人员指出,几乎任何人都可以利用数字驾照(DDL)伪造假身份。该技术允许未到饮酒年龄的人改变他们的出生日期并允许欺诈者伪造假身份。这个过程只需不到一个小时且无需任何特殊的硬件或昂贵的软件,另外还能生成通过警察和参与场所使用的电子验证系统检查的假身份证。 发现这些缺陷的研究员Noah Farmer在上周发表的一篇文章中写道:“明确地说,我们确实相信,如果数字驾照通过实施更安全的设计而得到改进那么代表ServiceNSW所作的上述声明确实是真实的,而且我们会同意,跟塑料驾照相比,数字驾照将提供额外的安全水平以防欺诈。” 他继续写道:“当毫无戒心的受害者扫描欺诈者的二维码时,一切都会检查出来,受害者不会知道欺诈者将他们自己的身份照片跟某人被盗的驾驶执照细节相结合。然而就过去30个月的情况来看,DDL使‘恶意用户有可能以最小的努力在已越狱和未越狱的设备上生成(一个)欺诈性的数字驾照,而无需修改或重新包装移动应用本身。” 据悉,DDL需要一个iOS或Android应用以显示每个人的凭证。同样的应用允许警察和场所验证凭证是否真实。应用中旨在确认ID是真实的和当前的功能包括: 模拟的NSW政府logo; 显示最后刷新的日期和时间; 一个过期和重新加载的QR码; 一个在手机倾斜时移动的全息图; 一个跟执照照片相匹配的水印; 无需滚动的地址地址。 而克服这些保障措施的技术居然出奇得简单,关键就是能暴力破解加密数据的PIN码。由于它只有四位数,只有一万种可能的组合。使用公开的脚本和一台商品电脑有人就可以在几分钟内学会正确的组合。 一旦欺诈者获得了某人的加密DDL许可证数据–无论是通过许可还是通过窃取存储在iPhone备份中的副本或通过远程妥协–蛮力使他们有能力读取和修改存储在文件中的任何数据。 以下为在iPhone上的精确操作步骤: 使用iTunes备份,复制存储有欺诈者想要修改的凭证的iPhone内容; 从存储在电脑上的备份中提取加密
2022年5月26日 10:31hackernews.cc
在很多人的印象中,一旦设备感染勒索软件都需要支付高昂的赎金才能取回自己的数据。不过现在出现了一种新型的赎回方式,那就是做善事。CloudSEK 的威胁情报研究团队最近发现了一个名为“GoodWill”的勒索软件,受害者如果想要获得密钥,就必须做一些善事:给不幸的人提供食物、毛毯,或者向病人捐钱。总的来说,受害者必须参与三项活动才能恢复数据。 如下所示,第一个活动要求您为路边有需要的人提供衣服和毯子,并制作自己这样做的视频。该视频还必须发布到社交媒体上以鼓励他人。然后必须将此信息通过电子邮件发送给攻击者作为完成的证据。 第二个活动要求您从快餐连锁店喂养五个孩子,并在这样做的同时善待他们。受害者还必须与他们自拍,并再次在社交媒体上发布这些照片和视频。然后必须将餐厅账单的图像以及指向社交媒体帖子的链接发送给攻击者。 第三个活动迫使您去医院并为需要经济援助的人支付医疗费用。这些人也必须自拍,并且必须记录音频对话作为证据。然后,必须在社交媒体上发布一篇关于援助的“漂亮文章”,并且您必须向人们解释如何成为 GoodWill 的勒索软件基本上是发生在您身上的最好的事情。 一旦攻击者验证了所有信息,他们将发送一个解密工具,以便您可以恢复您的文件。 CloudSEK 能够将 IP 地址和电子邮件地址追溯到印度一家据称管理端到端安全性的 IT 公司。 GoodWill 与 HiddenTear 勒索软件有相似之处,但 CloudSEK 也能够在用 Hinglish 编写的代码中找到字符串,例如“error hai bhaiya”,翻译为“有一个错误,兄弟”。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1273523.htm 封面来源于网络,如有侵权请联系删除
2022年5月25日 17:50hackernews.cc
近日,关于“搜狐员工遭遇了史诗级电子邮件诈骗,大量员工工资卡被清零”在互联网上传的沸沸扬扬。 消息称大部分员工几乎都落入了骗子的圈套之中,搜狐员工打开附件提交了相关身份、金融信息后,其工资卡直接就被犯罪分子清零,有的员工甚至因此损失了十几万。由于涉案金额巨大,目前警方已经介入处理。 2022年5月25日,搜狐公司董事局主席兼CEO张朝阳终于对外回应此事,称事实并非网上传的那么严重。搜狐一个员工的内部邮箱密码被盗,骗子冒充财务部给员工发钓鱼邮件;技术部分已经紧急处理,资金总损失少于5万元;不涉及对公共服务的个人邮箱。 这给众人吃了一颗定心丸。当下,网络钓鱼邮件诈骗似乎越来越频繁,类似中招的企业也不再少数。问题的原因不仅仅是员工意识淡薄,还有企业IT系统在安全方面的薄弱和不足。此前,哔哩哔哩就被曝出遭遇钓鱼邮件诈骗,不同的是对方打着的是“2022年财政补贴”的旗号诱导B站员工扫描二维码;相同的是,被骗员工的工资卡余额也被转走了。 有网友表示,最近打工人太惨了,不仅要担心裁员,自己辛辛苦苦积攒的银行卡余额还被清空了。5月25日,搜狐员工被钓鱼邮件诈骗事件也登上微博热搜榜,引起了广泛网友的关注和讨论。 银行卡里的钱是怎么被转走的? 有意思的是,当我和身边的朋友分享这个大瓜时,很多人对此有点无法理解,认为钱好好呆在银行卡里,怎么会因为一封邮件就被人转走了呢?甚至还有人提问,如果是四大行安全性会不会高一些? 事实上,这和钱在哪个银行没有任何关系,因为受害人是根据骗子的诱导,自己一步步把钱转给了对方。为了让大家更好地的理解钓鱼邮件诈骗,我们不妨代入一个假设的场景中,看看自己是否被骗。 在一个和平常没有任何区别的周三,你打开电脑准备上班,发现收到一封来自公司财务的邮件,里面的内容赫然是“XX公司5月员工工资补贴通知”。你的内心瞬间狂喜,在疫情肆虐的2022年,不少公司都发了令人羡慕的补贴,今天自家的公司终于也成为了人们眼中羡慕的对象。 此时,你还保留着一点戒备心理,于是你再次看了一下邮件域名,确实是公司的官方邮箱,于是,最后那一丝戒备也消失了。 按捺住心中的喜悦之情,你没有任何迟疑地打开了被命名为“工资补贴通知”的附件,发现让你填写银行卡的具体信息,包括银行卡号、身份信息和电话号码。由于平常公司报销就需要填写卡号等信息,于是你没有多想就直接把信息填进去了。 接下来,你发现还有最后一步,扫描附件中的二维码后即可领取补贴。当你扫描确
2022年5月25日 14:30hackernews.cc
根据Microsoft 365 Defender 研究团队5月23日发表的研究文章,安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺(Web skimming)攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。 网页掠夺攻击 网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台,这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。 掠夺攻击示意图 攻击者通过在 PHP 中编码来混淆略读脚本(skimming script),然后将其嵌入到图像文件中,通过这种方式,代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。 在某个场景下,当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时,攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者,然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。 隐蔽的攻击手法 微软的分析师报告称,目前三种十分隐蔽的攻击手法的使用正有所增加,分别是:在图像中注入脚本、字符串连接混淆和脚本欺骗。 图像注入脚本:内含base64 编码 JavaScript 的恶意 PHP 脚本,以图像文件的形式伪装成网站图标上传到目标服务器,能在识别出结账页面的情况下运行。 字符串连接混淆:获取托管在攻击者控制的域上的浏览脚本,以加载虚假的结帐表单,该域是 base64 编码并由多个字符串连接而成。 脚本欺骗:将浏览器伪装成 Google Analytics 或 Meta Pixel ,将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中,诱使管理员跳过检查,认为这是网站标准代码的一部分。 防范网页掠夺 微软提醒,鉴于攻击者在攻击活动中采用越来越多的规避策略,企业组织应确保其电商平台、CMS 和已安装的插件是最新版本,并且只下载和使用来自受信任来源的第三方插件和服务。此外,还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。 对于用户而言,应当开启防病毒程序,在结账过程中,注意付款细节,对弹出的可疑窗口提高警惕。 转自 Freebuf,原文链接:https://www.
2022年5月25日 11:30hackernews.cc
据外媒报道,美国芝加哥公立学校发生了一起大规模的数据泄露事件,近 50 万名学生和 6 万名员工的数据遭泄露,这一切源于其供应商 Battelle for Kids 遭受了勒索软件攻击。 Battelle for Kids 是一家总部位于俄亥俄州的非营利性教育机构,主要负责分析公立学校系统共享的学生数据,以设计教学模型并评估教师的表现。据 Battelle for Kid 称,他们已与 267 个学校系统达成合作,覆盖超过 280 万学生。 5 月 20 日,芝加哥公立学校(CPS)学区披露,去年 12 月 1 日对 Battelle for Kids 的勒索软件攻击暴露了其学校系统中 495448 名学生和 56138 名员工的存储数据,时间范围为 2015 学年至 2019 学年。 “具体而言,未经授权的一方可以访问您孩子的姓名、出生日期、性别、年级、学校、芝加哥公立学校学生 ID、州学生 ID、学生所学课程信息,以及 2015 至 2019 学年期间用于教师评估的学生表现分数。”CPS 在学生数据泄露通知中详细说明道。 对于员工,遭泄露的则是其姓名、学校、员工 ID、CPS 电子邮件地址和 Battelle for Kids 用户名。 CPS 表示,该攻击事件中没有泄露任何社会安全号码、家庭住址、健康数据或财务信息。 作为补偿,CPS 为受影响的任何学生或教职员工提供免费的信用监控和身份盗窃保护。 CPS 称,尽管他们与 Battelle for Kids 的合同要求立即通知数据泄露,但他们是在事件发生后过去四个多月的 2022 年 4 月 26 日才首次被告知,并且直到 5 月 11 日,他们才知道具体是哪些学生或教职员工的数据泄露了。 “我们的供应商 Battelle for Kids 告诉我们,之所以延迟通知 CPS,是因为他们通过独立的取证分析验证违规行为的真实性以及执法机构调查此事花费了不少时间。”CPS 在其数据泄露页面上解释道。 目前尚不清楚此攻击背后的勒索软件团伙具体是哪一个。该勒索软件团伙没有公开披露 Battle for Kids 的遭窃数据,这表明 Battelle for Kids 有可能向其支付了赎金。 转自 网安,原文链接:https://www.wangan.com/p/7fy7f64308964da2 封面来源于网络,如有侵权请联系删除
2022年5月25日 11:10hackernews.cc
国家网络武器终将在暗网扩散,这一进程难以逆转。 图:国际刑警组织秘书长Jurgen Stock 国际刑警组织秘书长Jurgen Stock警告,由国家开发的网络武器会在“几年”后出现在暗网上; 他呼吁商界领袖加强与政府及执法部门的合作,上报网络安全事件,明晰威胁态势。 国际刑警组织高级官员警告称,军方在网络战中使用的数字工具,最终有可能落入恶意黑客手中。 国际刑警组织秘书长Jurgen Stock表示,他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网,是指互联网上的一个隐藏部分,无法通过谷歌等搜索引擎直接访问。 周一(5月23日),在瑞士达沃斯举行的世界经济论坛上,Stock提出,“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。” 他还补充道,“数字武器也不例外。也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。” 网络武器分为多种形式,其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件,已经成为关键。长期以来,网络战一直是全球政府关注的焦点,并在此次俄乌战争中再次吸引整个世界的目光。 俄罗斯多次被归因指责,在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时,乌克兰得到了世界各地志愿黑客的支援,协助其应对俄罗斯的攻击。 Stock呼吁商界领袖加强与政府及执法部门的合作,确保更行之有效地监管网络犯罪。 他表示,“一方面,我们需要把握当前态势;而另一方面,我们需要私营部门数据的支持。” “我们需要企业的网络泄露报告。没有这些报告,我们将无法看到威胁形势。” Stock说,目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛,更是我们需要弥合的现实差距。” 根据世界经济论坛《全球网络安全展望》报告,2021年全球网络攻击数量增加了一倍以上。报告称,勒索软件仍是当下最流行的攻击类型,各受访组织每年平均被攻击270次。 参与讨论的企业高管和政府官员表示,网络安全事件正在令关键能源基础设施和供应链面临风险。 工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景,例如2015年由俄罗斯支持的对乌电网攻击,而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。 Lee总结道,“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我
2022年5月25日 10:10hackernews.cc
在刚刚过去的 2021 年,勒索软件依然是网络攻击的主角。相比较窃取数据,攻击者更愿意通过锁定数据收取赎金来牟利。根据 Verizon 的 2022 年数据泄露调查报告,勒索软件攻击(涉及恶意代码扰乱受害者计算机上的数据)今年增加了 13%,相当于过去五年的总和。 这是 Verizon 的第 15 次年度报告。研究人员分析了来自 5212 起勒索事件和 23896 起安全事件的数据。相比之下,Verizon 在 2008 年的第一份报告着眼于三年期间的 500 起事件。 在接受 CNET 采访的时候,该研究的主要作者之一亚历克斯·平托(Alex Pinto)表示:“这是一段非常疯狂的旅程”。他补充说,在 2008 年,没有人真正想过要量化和衡量网络攻击。 由于 Colonial Pipeline 和 JBS USA 等公司被攻击,勒索软件在 2021 年成为头条新闻。管道运营商和肉类加工商都支付了相当于数百万美元的费用来解锁他们的数据,但他们的业务关闭导致了恐慌性购买以及天然气和肉类价格的飙升。 Pinto 表示在 15 年前,勒索软件还是非常小众。这种攻击方式直到 2008 年才开始崛起,到 2013 年已经受到了各界关注。 Pinto 表示如今,许多网络犯罪分子发现,他们可以通过锁定公司数据而不是窃取数据进行财务欺诈或身份盗窃,从而以更少的工作赚更多的钱。他说,尽管数据盗窃案件仍然存在,但出售窃取的信息会增加网络攻击者的时间和风险。 无论是勒索软件攻击还是数据泄露,人类仍然是攻击的薄弱环节。在过去的 15 年中,涉及网络犯罪分子说服人们下载恶意软件或交出凭据的社会工程的使用已从违规总数的 10% 上升到 25%。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1273281.htm 封面来源于网络,如有侵权请联系删除
2022年5月24日 17:55hackernews.cc
导  读 作为朝鲜最著名的黑客组织之一,Lazarus 利用称为“NukeSped”的 Log4J RCE 漏洞在 VMware Horizon 服务器上注入后门,以检索信息窃取有效载荷。CVE-2021-44228 (log4Shell) 是已被跟踪并识别此漏洞的 CVE ID,它影响了包括 VMware Horizon 在内的多种产品。 自今年1月份以来,多个威胁参与者都在利用此漏洞,1 月份 VMware 敦促客户修补关键的 Log4j 安全漏洞,这些漏洞会影响以持续攻击为目标的暴露于Internet的VMware Horizon 服务器 。 Ahnlab的 ASEC 的网络安全分析师声称,自 2022 年 4 月以来,Lazarus 组织背后的威胁行为者一直通过 Log4Shell 攻击易受攻击的 VMware 产品。   VMware Horizon 服务器是目标 通过运行这个 PowerShell 命令,很可能会安装服务器上的 NukeSped 后门。 NukeSped 等后门恶意软件能够从 C&C 服务器接收命令并代表攻击者执行这些命令。2018 年夏天,NukeSped 与隶属于朝鲜的黑客有关联,然后与 Lazarus 发起的 2020 年活动有关。 在最新的变体中,C++ 语言是首选语言,并且使用 RC4 加密确保与 C2 的安全通信。在之前的版本中,使用了 XOR 加密。   运营 在妥协的条件下,NukeSped 执行各种间谍活动,我们在下面提到: 截图 记录按键操作 访问文件 支持命令行命令 目前,有两个模块是当前 NukeSped 变体的一部分,一个用于从 USB 设备转储内容,另一个允许您访问网络摄像头。   数据目标 有几种类型的数据可以被恶意软件窃取,下面将提到它们:   账户凭证 浏览记录 电子邮件帐户信息 MS Office 中最近使用的文件的名称 在某些攻击中,通过 Log4Shell 可以看到 Lazarus 使用 Jin Miner 而不是 NukeSped。   最近的 Lazarus 事件是第二个已知的恶意软件活动示例,该恶意软件活动在针对 Windows 的活动中使用 LoLBins。另一个是在 macOS 和 Windows 计算机上使用加密挖掘恶意软件。 为了突出黑客组织用于攻击的各种策略,除此之外还有对
2022年5月24日 17:35hackernews.cc
近日,网络安全公司Sekoia有一项新发现:由俄罗斯政府支持的黑客组织“图拉”(Turla)正在对奥地利经济商会、北约平台、波罗的海国防学院(Baltic Defense College)发动一系列攻击。这是Sekoia公司基于Google Tag先前工作的基础上发现的,该公司自2022年以来一直密切关注着俄罗斯黑客的动向。 2022年3月,Google就俄罗斯相关的攻击活动向公众发布了一次预警,后来在5月,他们发现在这些攻击活动中有两起使用的是“图拉”组织的域。Sekoia公司就这些信息开展了进步一的调查研究,他们发现“图拉”的目标是奥地利的联邦组织机构和波罗的海地区的军事学院。 关于“图拉”组织 “图拉”是一个使用俄语的网络间谍威胁组织,外界普通推测其与俄罗斯联邦安全局(FSB)有密切联系。该组织至少从2014年就开始运作,曾对多个国家的众多组织机构都产生过威胁。 他们曾针对全球Microsoft Exchange服务器部署后门,劫持其他APT组织的基础设施在中东进行间谍活动,还对亚美尼亚的目标进行水坑攻击。 最近,“图拉”又被发现利用多种后门和远程访问木马攻击欧盟各国的政府、大使馆和重要机构。 目标锁定欧洲 根据Sekoi的说法,Google Tag共享的IP指向域“baltdefcol.webredirect[.]org”和“wkoinfo.webredirect[.]org”,分别误植“baltdefcol.org”和“wko.at”。 第一个目标,BALTDEFCOL,是位于爱沙尼亚的一所军事学院,由爱沙尼亚、拉脱维亚和立陶宛共同运营,该学院是波罗的海战略和业务研究中心,是北约和欧洲各国高级官员组织会议的地点,在俄乌日趋紧张的局势中其重要意义不言而喻。 另一个目标WKO (Wirtschaftskammer Österreich)是奥地利联邦经济商会,在立法和经济制裁方面担任国际顾问的角色。 值得一提的是,奥地利在制裁俄罗斯问题上一直保持中立立场。然而,“图拉”迫切希望了解这一立场是否已经发生变化。 此外,Sekoia 还注意到另一个误植域名“jadlactnato.webredirect[.]org”,这是北约联合高级分布式学习平台的电子学习门户网站。 执行侦察任务 这些误植域名被用于托管一个名为“War Bulletin 19.00 CET 27.04.docx”的恶意word文档,该文档存在于在
2022年5月24日 17:35hackernews.cc
近日,中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》(以下简称《意见》)。 《意见》明确,到“十四五”时期末,基本建成文化数字化基础设施和服务平台,形成线上线下融合互动、立体覆盖的文化服务供给体系。到2035年,建成物理分布、逻辑关联、快速链接、高效搜索、全面共享、重点集成的国家文化大数据体系,中华文化全景呈现,中华文化数字化成果全民共享。 《意见》提出了8项重点任务,分别是:1、关联形成中华文化数据库;2、夯实文化数字化基础设施;3、搭建文化数据服务平台;4、促进文化机构数字化转型升级;5、发展数字化文化消费新场景;6、提升公共文化服务数字化水平;7、加快文化产业数字化布局;构建文化数字化治理体系。 同时,《意见》还提出八大保障措施,前两条重点强调要加强文化数据安全保障和加强文化数字化全链条监管,具体如下: 1、加强文化数据安全保障 依照国家有关数据安全的法律法规,在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准。建立健全全流程文化数据安全管理制度,确定重要文化数据目录,明确重要文化数据出境安全管理举措,切实加强文化数据安全保护。 2、加强文化数字化全链条监管 强化中华文化数据库数据入库标准,构建完善的文化数据安全监管体系,发挥好国家文化专网网关物理隔离作用,对数据共享、关联、重构等主体实行准入管理。完善文化资源数据和文化数字内容的产权保护措施。加强文化消费新场景一体化监管,确保进入传播或消费渠道的内容可管可控。 《意见》要求,各地要把推进实施国家文化数字化战略列入重要议事日程,根据本意见因地制宜制定具体实施方案,相关部门要细化政策措施,确保各项任务落到实处。实施方案和重大举措要按规定程序报批。 各地区各有关部门要加强对本意见实施情况的跟踪分析和协调指导,注重效果评估。推进实施国家文化数字化战略工作领导小组适时对工作进展及任务落实情况进行督查。严格工作纪律要求,重大问题要及时请示报告,积极稳妥推进文化数字化建设各项工作。 附:《关于推进实施国家文化数字化战略的意见》全文 转自 Freebuf,原文链接:https://www.freebuf.com/news/334081.html 封面来源于网络,如有侵权请联系删除
2022年5月24日 14:54hackernews.cc
近期,通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动,经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡,针对此次事件,通用汽车也及时给受影响的客服发邮件并告知客户。为了弥补客户所受损失,通用汽车表示,他们将为所有受此事件影响的客户恢复奖励积分。但根据调查,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。 撞库是指黑客通过收集网上已泄露的用户和密码信息,生成对应的字典表,并尝试批量登陆其他网站后,得到一系列可以登录的用户。经后续的调查,通用汽车表示目前没有证据表明登录信息是从通用汽车本身获得的,“未经授权的用户获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限,然后在客户的通用汽车账户上重复使用这些凭证。”对此通用汽车要求受影响的用户  在再次登录他们的帐户之前重置他们的密码。 个人信息暴露 当黑客成功入侵用户的通用汽车帐户后,他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息: 名字和姓氏, 个人电子邮件地址, 个人地址, 与帐户绑定的注册家庭成员的用户名和电话号码, 最后已知和保存的最喜欢的位置信息, 当前订阅的 OnStar 套餐(如果适用), 家庭成员的头像和照片(如果已上传), 个人资料图片, 搜索和目的地信息。 黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置(包括密码)等。但帐户里不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息,因此这些信息没有被泄露。 除了重置密码外,通用汽车还建议受影响的用户向银行索取信用报告,如有必要还可进行账户安全冻结。不幸的是,通用汽车的在线站点不支持双重身份验证,所以其网站无法阻止撞库攻击。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量,通用汽车只向加州总检察长办公室提交了一份通知样本,因此我们只知道该州受影响的客户数量,也就是略低于5,000家。 转自 Freebuf,原文链接:https://www.freebuf.com/news/334080.html 封面来源于网络,如有侵权请联系删除
2022年5月24日 14:34hackernews.cc
据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。 所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素(如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。 而在PayPal的漏洞中,这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。 2021年10月,h4x0r_dz向PayPal报告了这一漏洞,证明攻击者可以通过利用 Clickjacking 窃取用户的资金。 h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。他表示,“按照逻辑,这个端点应只接受 billingAgreementToken,但在深入测试后发现并非如此,我们可以通过另一种令牌类型完成,这让攻击者有机会从受害者的 PayPal 账户中窃取资金。” 这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,此时已经登录Web浏览器的受害者点击页面的任何地方,就会自动向攻击者所控制的PayPal 帐户付款。 更令人担忧的是,这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果,从而使攻击者能够从用户的PayPal账户中扣除任意金额。 h4x0r_dz在社交平台上发布的帖子写到,“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中,我可以使用相同的漏洞并强迫用户向我的帐户充值,或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。” 目前,有安全专家表示,该漏洞尚未完成修复工作,用户应保持足够的警惕。 转自 Freebuf,原文链接:https://www.freebuf.com/news/334074.html 封面来源于网络,如有侵权请联系删除
2022年5月24日 14:14hackernews.cc
臭名昭著的Conti勒索软件团伙已经正式关闭了他们的运营,基础设施已经下线,团队领导人被告知该品牌已经不复存在。这个消息来自Advanced Intel的Yelisey Boguslavskiy,他今天下午在推特上说该团伙的内部基础设施已经关闭。 虽然面向公众的Conti新闻数据泄漏和赎金谈判网站仍然在线,但Boguslavskiy告诉BleepingComputer,成员用于执行谈判和在其数据泄漏网站上发布”新闻”的Tor管理面板现在已经关闭。此外,BleepingComputer还被告知,其他内部服务,如他们的火箭聊天服务器,正在退役。 虽然 Conti 在与哥斯达黎加的信息战中关闭可能看起来很奇怪,但 Boguslavskiy 告诉我们,Conti 进行了这次非常公开的攻击以创建一个实时操作的假象,而 Conti 成员慢慢迁移到其他更小的勒索软件操作。 然而,Advanced Intel独特的对抗性可见度和情报发现导致了事实上相反的结论。Advanced Inte明天发布的一份报告解释说,Conti想通过这次最后的攻击达到的唯一目的是利用这个平台作为宣传的工具,以最合理的方式演绎他们自己的死亡和随后的重生。 Conti领导层内部宣布对哥斯达黎加进行攻击是为了宣传而不是赎金。该组织成员之间的内部沟通表明,要求的赎金远远低于100万美元。虽然Conti勒索软件品牌已经不复存在,但该网络犯罪集团将在未来很长一段时间内继续在勒索软件行业发挥重要作用。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271855.htm 封面来源于网络,如有侵权请联系删除
2022年5月23日 18:34hackernews.cc
Mozilla刚刚发布了一个新的Firefox浏览器版本,这次的小改版在安全方面却并不小。新的更新使浏览器达到了100.0.2版本,包括两个关键的安全修复。Mozilla已经将这两个安全修复标记为严重等级,它们是由趋势科技的零日计划的研究员Manfred Paul报告的,建议大家尽快安装。 下载地址: http://ftp.mozilla.org/pub/firefox/releases/100.0.2/ 第一个漏洞涉及顶级审计实施中的一个原型污染。 Mozilla说:”如果攻击者能够通过原型污染破坏JavaScript中Array对象的方法,他们就可以实现在特权环境下执行攻击者控制的JavaScript代码。” 第二个漏洞被记录在CVE-2022-1529中,是一个用于Javascript对象索引的不可信任的输入,Mozilla说它也导致了原型污染。 “该公司说:”攻击者可能向父进程发送一条消息,其中的内容被用来对一个JavaScript对象进行双重索引,导致原型污染,最终在有特权的父进程中执行攻击者控制的JavaScript。” 如前所述,建议所有用户尽快更新到最新的Firefox版本,特别是考虑到安全问题。 第三方统计数据显示,Google Chrome浏览器是市场上的头号选择,市场份额接近70%,亚军目前是由微软Edge拥有,而Firefox浏览器是市场上唯一的具有较大影响力的非Chromium浏览器。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1272291.htm 封面来源于网络,如有侵权请联系删除
2022年5月23日 18:14hackernews.cc
俄罗斯网络安全发生了结构性转变。 Sberbank安全负责人表示,俄罗斯网络安全发生了结构性转变,过去3个月来企业遭受的网络攻击呈现爆炸性增长,实力大幅提升; 普京称俄罗斯正在遭受“信息空间战争”,他提出了三项关键任务,以确保俄关键信息基础设施安全。 安全内参消息,5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。 次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。 Sberbank遭最严重DDoS攻击 此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。 Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等。 Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。 这类行动策略和亲俄黑客组织攻击乌克兰主要网站的手法相类似。一旦有人访问这些受感染网站,用户的网络浏览器就会被注入恶意脚本的特制代码,进而发出大量指向被攻击URL的请求。具体到此次攻击,指向的自然是Sberbank域名下的各URL。 Lebed表示,“当前,Sberbank仍在遭受全天候网络攻击。我们的安全运营中心也在24/7随时分析网络威胁,并迅速做出反应。” Lebed警告称,“一旦攻势蔓延到其他行业企业时,由于他们大多从未经历过这类网络冲击,所以很可能会遭受损失。” 普京称正经历“信息空间战争”,提出三项关键保障任务 俄罗斯总统普京表示,俄乌冲突期间,俄罗斯遭遇了西方世界发动的一系列网络攻击,但均已被成功化解。 5月20日(上周五),普京对俄罗斯安全委员会成员发表讲话时指出,“这一领域的挑战正变得愈发紧迫、严重且广泛。” 他指责,“俄罗斯正经历一场彻底侵略,一场爆发于信息领域的战争。” 普京补充道,“针对我们的这场网络攻击,就如同针对俄罗斯的种种制裁一样,都失败了。” 他要求各级官员“完善和加强直接关系到俄国国防能力及
2022年5月23日 16:14hackernews.cc
为解决开源软件安全这项特殊的挑战,近期,科技大厂、开源社群与美政府持续商讨,如今已有具体行动,在两次峰会举办之后,《开源软件安全动员计划白皮书》正式发布,首年投入经费将达6,840万美元,次年为7,950万美元。 面对开源软件安全的议题,全球都在关注,如今美国政府与科技巨头正积极采取行动,希望能改善相关风险。今年1月,美国白宫曾举行开源软件安全峰会,邀请多家科技巨头,商讨这个独特的安全挑战,近期,5月中旬二度举办开源软件安全峰会,这场会议,由Linux基金会与开源安全基金会(OpenSSF)召开,集结37家科技巨头的高层主管,以及美国白宫等多个联邦机关官员,共90人参会,这次会议不仅达成很多的共识,并具体指出将解决开源软件的十大挑战,同时这些科技巨头也承诺,在未来两年内,将投入1.5亿元经费解决相关问题。 值得一提的是,这次会议的召开时间可以说是别具意义,去年同一时间,美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中,就包括了提高开源软件供应链的安全。 参与这次会议的成员,来自多个重量级行业从业者,包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等,同时也有多个美国政府机关的官员出席,包括来自美国白宫、美国国家安全委员会(NSC)、美国网路安全及基础设施安全局(CISA)、美国国家标准暨技术研究院(NIST)、白宫网路主任办公室(ONCD)、能源部(DOE)与美国行销管理和预算局(OMB)的官员。这样的组合,其实也显现出开源社群、科技巨头,以及美国联邦政府之间加强合作的态势与重要性。 面对开源软件安全议题,聚焦解决10大问题 该如何改善开源软件安全?Linux基金会与开源安全基金会在收集多方意见后,现已发布首个广泛解决开源软件安全的计划项目,名为”开源软件安全动员计划”(The Open Source Software Security Mobilization Plan),当中最受关注的焦点就是,不仅详细说明解决开源软件的3大议题与10大问题,也公布解决各项问题将投入的经费。 基本上,在首次开源软件安全峰会上,当时讨论了3个主要目标,包括:首先,确保开源软件生产的安全,重点放在防止程式码与开放原始码套件(Open Source package)的缺陷与漏洞;其次,改善漏洞发现与修补;最后,缩短整个生态体系的修补应变时间。 如今,随着第二次开源软件安全峰
2022年5月23日 15:34hackernews.cc
谷歌的威胁分析小组(TAG) 表示,国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商Cytrox开发的Predator间谍软件。部分攻击活动开始于2021年8月至2021年10月之间,攻击者利用针对Chrome和Android 操作系统的零日漏洞在最新的Android设备上植入Predator 间谍软件。 Google TAG成员Clement Lecigne和Christian Resell说:“这些漏洞是由一家商业监控公司 Cytrox 打包并出售给不同的政府支持的参与者,这些参与者至少在三个活动中使用了这些漏洞。”根据谷歌的分析,购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这些发现与CitizenLab于2021年12月发布的关于Cytrox雇佣间谍软件的报告一致,当时其研究人员在逃亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。Nour的手机也感染了NSO Group的Pegasus间谍软件,根据 CitizenLab 的评估,这两种工具由两个不同的政府客户操作。 这些活动中使用的五个以前未知的0-day漏洞包括: Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003 Android中的 CVE-2021-1048 威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击: 活动 #1 -从Chrome 重定向到 SBrowser (CVE-2021-38000) 活动 #2 – Chrome 沙盒逃逸(CVE-2021-37973、CVE-2021-37976) 活动 #3 – 完整的 Android 0day漏洞利用链(CVE-2021-38003、CVE-2021-1048) 谷歌TAG分析师表示,“这三个活动都通过电子邮件向目标Android用户提供了模仿 URL 缩短服务的一次性链接。但它们是有限制的,根据我们的评估,活动目标数量每次都是几十个用户。当目标用户单击后,该链接会将目标重定向到攻击者拥有的域,该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接失效,则用户被直接重定向到合法网站。”这种攻击技术也被用于记者和其他一些被警告说是政府支持的攻击目
2022年5月23日 15:34hackernews.cc
近日,有观察发现,诈骗者正在深度伪造埃隆·马斯克(Elon Musk)和其他知名加密货币倡导者的视频以推广BitVex交易平台并窃取存储货币。 这个虚假的BitVex加密货币交易平台声称由埃隆·马斯克创建,每个投资者都能从他们的加密存款中获得高达30%的回报。 这场骗局始于五月初,攻击者创建新的或盗取已有的YouTube账户,发布深度伪造的埃隆·马斯克、凯西·伍德(Cathie Wood)、布拉德·加林豪斯(Brad Garlinghouse)、迈克尔·塞勒(Michael Saylor)和查尔斯·霍斯金森(Charles Hoskinson)等人的视频。这些视频是在这些人先前受采访的视频基础上采用后期技术进行伪造的,视频中的声音几乎同他们本人一致。 然而,如果仔细观察的话,可以发现这些伪造的视频中的人物谈话竟与攻击者的脚本如此同步,这是非常愚蠢可笑的。另外,还有许多其他线索也表明这是一个骗局。 最近一段时间,许多YouTube频道都遭到黑客攻击,而这些频道又不约而同地出现了推广BitVex交易平台的视频。其实,一旦进入BitVex交易平台的网站,也会很容易发现这是一个骗局。 该平台声称埃隆·马斯克是其首席执行官,并有方舟投资(Ark Invest) CEO凯西•伍德和币安网(Binance) CEO赵长鹏的背书。 要使用BitVex平台,用户必须在bitvex[.]org或bitvex[.]net注册帐户。而一旦登录,网站将显示一个仪表板,在那里可以存入各种加密货币,选择投资计划,或提取你的收益。如同其他所有加密货币诈骗一样,仪表板显示各种加密货币的最近取款,使该网站看起来合法,如下图所示。 然而,这些提款是通过JavaScript创建的,随机选择五种不同的加密货币(Cardano、以太坊、比特币、Ripple币或币安币)之一,并随机生成提款金额。这些假提款会在每次页面刷新时随机更改。 值得庆幸的是,这个骗局看起来并不太成功,直到目前,只观察到1700美元存款进入这个加密货币地址。然而,这些地址很可能是会轮换的,因而被骗的金额可能会更多一些。 以下列出了一些用于这个骗局的加密货币地址: Bitcoin – 16Ge7LhzpxHTSQLptSe4sptseVwDYU6gpN (已赚取1,280.82美元) Bitcoin Cash – qpkrguy6ralp0pux390fr7pz2u
2022年5月23日 15:14hackernews.cc
Security Affairs 网站披露,思科解决了一个影响 iOS XR 软件的中等严重性漏洞,该漏洞在野外被积极利用。 近日,思科发布安全更新,解决影响 iOS XR 软件的一个中等严重程度漏洞,该漏洞被追踪为 CVE-2022-20821 (CVSS评分:6.5),分析结果显示,威胁攻击者在野外攻击中积极利用了这一漏洞。 据悉,该漏洞存在于思科 iOS XR 软件的健康检查 RPM 中,远程攻击者可以利用该漏洞,在未经认证的情况下,访问在 NOSi 容器中运行的 Redis 实例。 从思科发布的安全公告来看,漏洞之所以存在,主要是因为健康检查 RPM 在激活时默认打开 TCP 6379 端口,这时候,攻击者可以通过连接到开放端口的 Redis 实例来利用这一漏洞。 当攻击者成功利用这一漏洞后,就可以任意写内容到 Redis 内存数据库里,写任意文件到容器文件系统中,并检索有关 Redis 数据库的信息。但是,鉴于 Redis 实例运行配置的沙盒容器,远程攻击者将无法执行远程代码或滥用思科 iOS XR 软件主机系统的完整性。 漏洞其他详情 经研究发现,该漏洞主要影响安装了健康检查 RPM,并处于活动状态的思科 8000 系列路由器。至于怎样确定设备是否存在安全漏洞,用户可以发出  run docker ps CLI  命令,如果输出返回了名称为  NOSi  的 docker 容器,则该设备存在漏洞。 漏洞解决方法如下: 选项1:禁用健康检查并明确禁用用例。 选项2:使用基础设施访问控制列表(iACLs),阻止 6379 端口。 值得一提的是,思科 PSIRT 已经意识到,部分攻击者企图在野外利用这个漏洞,强烈建议客户应用合适的解决方法,或者升级到固定的软件版本,迅速补救这个漏洞,以免造成严重后果。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333973.html 封面来源于网络,如有侵权请联系删除
2022年5月23日 14:54hackernews.cc
在 2022 年 Pwn2Own 温哥华黑客大赛的第三天,也就是最后一天,参赛者使用零日漏洞再次将Windows 11 操作系统连续黑了3次。 由于 Double Dragon 团队无法在规定的时间内演示他们的漏洞利用,当天针对 Microsoft Teams 的第一次尝试失败,但第二次是来自 Viettel Cyber Security 的 nghiadt12,利用了 Windows 11 零日权限升级(通过整数溢出)漏洞;第三、第四次是来自 REverse Tactics 和 vinhthp1712 的Bruno Pujos ,分别使用 Use-After-Free 和 Improper Access Control 漏洞提升了 Windows 11 的权限。 在 Pwn2Own 的第一天, 参赛者成功利用 16 个零日漏洞入侵多个产品,包括微软的 Windows 11 操作系统和 Teams 通信平台、Ubuntu Desktop、Apple Safari、Oracle Virtualbox 和 Mozilla Firefox,总共赢得了80 万美元奖金。 在比赛的第二天,参赛者也对车企特斯拉展开了攻势,来自Synacktiv 的 David BERARD 和 Vincent DEHORS ,展示了位于Model 3 信息娱乐系统中的两个独特漏洞 (Double-Free & OOBW),并以此获得了75000美元奖金。 据悉,本届Pwn2Own被针对的产品类别包括 Web 浏览器、虚拟化、本地权限升级、服务器、企业通信和汽车,在为期三天的比赛中,参赛者们可以累计获得超过 100万美元的现金和奖品。同时,这些在大赛期间利用和报告的漏洞,在直到主办方趋势科技公开披露前,厂商们可以有90天的时间对这些漏洞进行修复。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333967.html 封面来源于网络,如有侵权请联系删除
2022年5月23日 14:34hackernews.cc
据Bleeping Computer消息,安全研究人员发现了一种新型的恶意软件传播活动,攻击者通过使用PDF附件夹带恶意的Word文档,从而使用户感染恶意软件。 类似的恶意软件传播方式在以往可不多见。在大多数人的印象中,电子邮件是夹带加载了恶意软件宏代码的DOCX或XLS附件的绝佳渠道,这也是钓鱼邮件泛滥的原因所在。随着人们对电子钓鱼邮件的警惕性越来越高,以此对打开恶意Microsoft Office附件的了解越来越多,攻击者开始转向其他的方法来部署恶意软件并逃避检测。 其中,使用PDF来传播恶意软件就是攻击者选择的方向之一。在HP Wolf Security最新发布的报告中,详细说明了PDF是如何被用作带有恶意宏的文档的传输工具,这些宏在受害者的机器上下载和安装信息窃取恶意软件。 在 PDF 中嵌入 Word 在HP Wolf Security发布的报告中,攻击者向受害人发送电子邮件,附件则是被命名为“汇款发票”的PDF文件,而电子邮件的正文则是向收件人付款的模糊话术。 当用户打开PDF文件时,Adobe Reader会提示用户打开其中包含的DOCX文件。显然,这样的操作很不寻常,让人感到迷之疑惑。因此攻击者巧妙地将嵌入的Word文档命名为“已验证”,那么弹出的“打开文件”提示声明就会变成文件是“已验证的”。 此时,出于对Adobe Reader或其他PDF阅读器的信任,很多用户就会被诱导下载并打开该恶意文件,恶意软件也就进入了受害者的电脑中。 请求操作批准的对话框 (HP) 虽然专业的网络安全研究人员或恶意软件分析师可以使用解析器和脚本检查PDF中的嵌入文件,但是对于普通用户来说,收到此类PDF文件却很难解决其中的问题,往往是在不知情的情况下中招。 因此,许多人可能会在Microsoft Word中打开DOCX文件,如果启用了宏,将从远程资源下载RTF(富文本格式)文件并打开它。 获取 RTF 文件 (HP)的 GET 请求 值得一提的是,攻击者通过编辑好的命令让RTF自动下载,嵌入在 Word 文件中以及硬编码的URL“vtaurl[.]com/IHytw”,这是托管有效负载的位置。 利用旧的漏洞 RTF文档名为“f_document_shp.doc”,包含格式错误的OLE对象,很可能会逃避系统的检测分析。经过一些有针对性的重建后,HP的安全研究人员发现它试图利用旧的Microsoft Equation E
2022年5月23日 14:14hackernews.cc
一年一度的 Pwn2Own 黑客大会正在温哥华举办,通过让参赛者与网络安全专家们汇聚一堂,他们可以充分展示相关零日漏洞利用和其它软件破解大法,并获得相应的奖励和技术认可。而在 Pwn2Own 2022 的首日战报中,可知微软 Windows 11 操作系统和 Teams 团队协作服务已被白帽参赛者们在首日双双攻破。 Pwn2Own 2022 也是该系列黑客大会的第 15 周年(图自:ZDI 官网) 不过次日,Pwn2Own 参赛团队还是遇到了一些变化。在针对 Windows 11 的两次攻击尝试中,仅一次演示顺利达成(成功率 50%)。 美国西北大学 TUTELARY 团队的 Yueqi Chen,ZDI 分析师 Tony Fuller 和 Bobby Gould 。 利用不恰当的配置,该团队得以访问 Windows 11 并实现特权提升(EoP),并拿到 40000 美元奖金 + 4 点 Pwn 大师积分。 Viettel Cyber Security 团队利用了 Windows 11 上的整数溢出 EOP 漏洞 遗憾的是,一同参赛的 namnp 未能在规定时间内完成演示。至于详细的漏洞利用报告,各方尚未披露。 最后,REverse Tactics 团队的 Bruno PUJOS 利用了 Windows 11 上的“用后释放”(Use-After-Free)漏洞实现了特权提升。 感兴趣的朋友,还请关注官方的后续战报。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271947.htm 封面来源于网络,如有侵权请联系删除
2022年5月20日 17:11hackernews.cc
在Pwn2Own一年一度的计算机黑客大赛活动中,参赛者和网络安全专家展示他们利用漏洞、零日漏洞和其他问题合法破解各种软件的技能,并获得奖励和认可。今年,在2022年温哥华Pwn2Own活动期间,参赛者在第一天就成功破解了微软Teams和Windows 11。 Hector”p3rro”Peralta是第一个黑掉Microsoft Teams的人。他展示了针对微软企业信使的不当配置,并因其发现而获得15万美元。后来,当Masato Kinugawa执行了一个由感染、错误配置和沙盒逃逸组成的3个漏洞链时,这一次Teams再次成为受害者。Daniel Lim Wee Soong、Poh Jia Hao、Li Jiantao和Ngo Wei Lin展示了对两个漏洞的零点击利用,并且更多针对Teams应用的漏洞发掘依然在继续。 Windows 11也未能幸免于黑客攻击。尽管微软在其最新的操作系统中大力强调安全,但马辛·维昂佐夫斯基还是在Windows 11中执行了一次越界写入的权限升级。为此,马辛获得了40000美元和微软的高度赞扬。 在2022年温哥华Pwn2Own比赛的第一天,微软的产品并不是黑客们唯一破解的软件。参赛者通过破解甲骨文Virtualbox、Mozilla Firefox、Ubuntu Desktop和苹果Safari,成功赚取积分和金钱。这样的活动有助于微软和其他公司提高其产品的安全性,并激励熟练的黑客保持在网络法律的正确一边。 在第一天,黑客们通过利用多个产品中的16个零日漏洞,总共获得了80万美元的收入。在第二和第三天,参赛者可以通过入侵其他软件、小工具和汽车(特斯拉Model 3和Model S)赚取超过100万美元的奖励。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271383.htm 封面来源于网络,如有侵权请联系删除
2022年5月20日 17:11hackernews.cc
美国司法部(DOJ)于当地时间周四修订了有关美国最重要的反黑客法–《计算机欺诈和滥用法(Computer Fraud and Abuse Act,以下简称CFAA)》的政策。该部门指示检察官不要用CFAA来起诉网络安全研究人员–有时被称为“白帽黑客”,他们有改善技术的良好意愿。 CFAA是于1986年颁布的一项联邦法规,其禁止未经授权或超出授权的情况下访问计算机。长期以来,该法律一直被批评使用了过于宽泛和模糊的语言,即什么是对受保护的计算机的授权访问或什么是超过授权的意思。 直到去年最高法院的一个案件缩小了该法律的范围,人们担心该法可能允许对看似无害的活动进行起诉,如分享Netflix密码或使用工作的Zoom账号拨打私人电话。 随着DOJ对政策的修订,事情变得更加细化,并为那些试图改善技术的网络安全研究人员减轻了压力。 副司法部长Lisa Monaca在一份新闻稿中说道:“计算机安全研究是改善网络安全的一个关键驱动力。该部门从未对将善意的计算机安全研究作为犯罪进行起诉感兴趣。另外,今天的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展,这些人为共同的利益铲除漏洞。”   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271439.htm 封面来源于网络,如有侵权请联系删除
2022年5月20日 10:11hackernews.cc
近日,由于德州保险部门(TDI)的一个编程问题,德克萨斯近200万人的个人信息被暴露了近三年。 据TDI透露,在此前发布的一份州审计报告中,从2019年3月到2022年1月,180万提出赔偿要求的工人的详细信息在网上公开。其中包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。 在2022年3月24日的公告中,TDI表示,它于2022年1月4日首次发现管理工人薪酬信息的TDI Web 应用程序存在安全问题。此问题使公众能够访问受保护的在线部分应用。 TDI是负责监督德克萨斯州保险业并执行州法规的州机构,在发现了这一问题后,它立即下线了该应用程序,解决了信息泄露的问题,并开始与一家取证公司一起调查该起泄露事件的性质和范围。 接下来,TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函,告知他们可能存在信息泄露的风险。根据最新的统计数据显示,此次数据泄露共影响了德克萨斯州180万人。 5月17日,TDI在新闻稿中写到,自2022年1月开始,TDI开始调查调查以确定问题的严重性质和范围,并与一家知名网络安全公司合作,试图找到除TDI工作人员以外的人查看这些用户的个人信息。结果显示,暂时没有任何证据表明已经泄露了的员工个人信息被滥用。 TDI进一步表示,它将免费为可能受到影响的用户提供 12 个月的信用监控和身份保护服务。对此,Egnyte网络安全宣传总监Neil Jones表示,最近发生的TDI数据泄露事件令人担忧,因为工人的薪酬数据包括PII(个人身份信息)和PHI(受保护的健康信息),它们是网络攻击者的最喜欢的数据资源。尽管目前没有证据表明泄露的信息已经被恶意使用,但攻击者往往会选择一个更合适的时间,将窃取的数据在暗网上出售,这样的例子并不少见。 同时,该数据泄露事件也给我们敲响了警钟。随着数字化的到来,政府机构数字化的趋势已经十分明朗,然而在这个过程中很多机构的网络安全防护体系并未建设完善,以至于屡屡出现相类似的安全事件,给公民信息安全带来了严重的影响。 从TDI数据泄露事件中可以发现,很多低级的网络安全错误并不少见。一个配置失误就让近两百万人的数据被曝光了整整三年,其中包含了大量的有价值的个人隐私信息。在这三年的时间里,该机构从未发现这一隐患,以至于发生了如此灾难性事件。 换句话说,在互联网化的道路上很多机构一味求快,早已存在的诸多安全风险,此时我们更应该回过头反思安全性,而
2022年5月20日 10:11hackernews.cc
近日,勒索软件团伙Conti向哥斯达黎加政府发出威胁要“推翻”该国政府。而就在一个月前,Conti团伙袭击了哥斯达黎加政府基础设施。 这次攻击事件影响了从财政部到劳工部的多个政府部门,根据美联社的报道显示,“最初的攻击迫使财政部门将负责支付该国大部分公职人员的系统关闭了数小时,这个系统还负责处理政府养老金支付。而由于受到攻击,国家不得不批准延期纳税。” 攻击事件发生后,哥斯达黎加政府方面拒绝支付赎金,“哥斯达黎加不会向这些网络犯罪分子支付任何费用”,时任总统Carlos Alvarado公开表示道。 作为回应,Conti团伙在其泄密网站上发表的一份声明中写道:“我们决心通过网络攻击推翻政府,我们已经展示了我们的力量。在你们的政府中我们安插了内部人员,因此建议你们联系我们的附属组织UNC1756。现在距离我们销毁你们的密钥只有不到一周的时间,我们也正在努力获得对你们其他系统的访问权,除了支付赎金你们别无选择。我们知道你们已经聘请了数据恢复专家,不要试图寻找变通办法,这个行业的每个人都与我们有联系。在此我们再次呼吁哥斯达黎加居民上街要求政府付款。如果再看到你们试图通过其他服务解决问题,那我们将删除密钥作为惩罚。” 如今,Conti团伙要求的数据金额达到2000万美元,这个数字起初为1000万美元。 除了哥斯达黎加,此前Conti团伙将秘鲁国家情报局MOF-Dirección General de Inteligencia (DIGIMIN)添加到了其 Tor 泄漏站点的受害者名单中。该机构负责国家、军事和警察情报以及反情报工作。Conti团伙声称窃取了其9.41 GB的数据。 据FBI(美国联邦调查局)统计,Conti团伙在过去两年中入侵了数百个组织,并从1,000多名受害者那里获得了1.5亿美元的赎金。 对此,美国当局提供了高达1000万美元的悬赏,以奖励能够识别或定位在Conti团伙中担任关键领导职务的任何个人的信息,此外还有500万美元的额外悬赏,用于获取那些参与Conti勒索阴谋的个人或国家的信息。该奖励由国务院的跨国有组织犯罪奖励计划(Transnational Organized Crime Rewards Program)提供。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333601.html 封面来源于网络,如有侵权请联系删除  
2022年5月20日 10:11hackernews.cc
据Techspot报道,一个自称为“Obfuscated Dreams of Scheherazade”的黑客组织创建了一个机器人,在多个政府实体之间建立了一个电话会议,使每个实体认为是另一个实体打的电话。其目的是为了浪费政府的时间并占用电话线。自动垃圾电话在俄罗斯的工作时间内不停地进行着。 周三,该黑客组织建立了一个网站,任何人都可以发起并监听这些电话之一。该网站名为“ Waste Russian Time Today”。访问该网站的用户可以向下滚动到电话图标,在随机的俄罗斯机构之间开始通话,并在他们试图弄清谁在给谁打电话以及为什么打电话时倾听混乱的情况。 显然,了解俄语可能有助于理解所说的内容。不过,参与者可能会变得很激烈,因为官员们可能整天都在接听无意义的电话–愤怒和沮丧在任何语言中听起来都一样。无论是否有人使用该网站,机器人仍然在没有人类干预的情况下拨打电话,以确保它尽可能多地浪费机构的时间。 “如果你在打电话,你就不能投掷炸弹或协调士兵,”该组织说。“(不会说俄语?)封锁线路!你总能从声音中猜到些什么。杜马员工被激怒的程度越高越好。” 自周三上线以来,到目前为止,已经有5186个电话从该网站打出。目前,该组织利用数千名政府雇员的电话号码进行运作,包括普京的记者团、杜马雇员、军情局和俄罗斯联邦安全局(FSB)。这些号码包括从中级行政人员到高级政治家。但该组织想要更多。 “Obfuscated Dreams of Scheherazade”正在寻找增加其数据库的方法。黑客们将接受任何可能有更多电话号码的人的电子邮件。他们还鼓励那些愿意更多参与的人进行独立研究,以建立一个更广泛的收集。 从网站上发起呼叫的用户是完全匿名的,他们的声音无法被听到。Obfuscated Dreams of Scheherazade告诉《Wired》,让第三方用户“静音”可以确保他们不能向线路上的其他人透露任何身份信息。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271077.htm 封面来源于网络,如有侵权请联系删除
2022年5月19日 17:30hackernews.cc
据Bleeping Computer网站5月18日消息,微软正对使用Microsoft SQL Server (MSSQL) 数据库服务器的用户发出安全警告,警惕攻击者利用弱密码对暴露在网络上的 MSSQL发动暴力攻击。 这已经不是MSSQL服务器第一次成为此类攻击的目标,但微软安全情报团队透露,最近观察到的这次活动背后的攻击者正在使用合法的sqlps.exe工具作为LOLBin(离地攻击,living-off-the-land binary的缩写)二进制文件来运行侦察命令,并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。 攻击者还使用 sqlps.exe 创建新帐户,并将其添加到 sysadmin 角色中,使他们能够完全控制 SQL 服务器,获得执行其他操作的权限,包括部署像挖矿木马这样的有效负载。 由于sqlps是Microsoft SQL Server 附带的一个实用程序,它允许将 SQL Server cmdlet 作为 LOLBin 加载,使攻击者能够执行 PowerShell 命令,而不必担心防御系统检测到他们的恶意行为。sqlps还会让这些攻击不留下任何痕迹,因为使用 sqlps 是绕过脚本块日志记录的有效方法,这是一种 PowerShell 功能,否则会将 cmdlet 操作记录到 Windows 事件日志中。 多年来,MSSQL 服务器一直是大规模攻击活动的主要目标之一,攻击者每天都会试图劫持数千台易受攻击的服务器。在近两年的攻击事件中,攻击者通过暴力破解,在2000多台暴露于网络上的服务器中安装了挖矿软件和远程访问木马。在今年3月的攻击报告中,攻击者针对 MSSQL 服务器部署了Gh0stCringe(又名 CirenegRAT)远程访问木马 。 为了保护 MSSQL 服务器免受此类攻击,微软建议对服务器使用不容易被破解的强密码,并确保服务器始终处在防火墙的保护之下,不要被暴露至公开的互联网络环境中。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333579.html 封面来源于网络,如有侵权请联系删除
2022年5月19日 17:30hackernews.cc
Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。 据悉,该漏洞被追踪为 CVE-2022-22972,最早由 Innotec Security 的 Bruno López 发现并报告,恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。 漏洞主要影响了 Workspace ONE Access、VMware Identity Manager(vIDM)和 vRealize Automation,目前尚不清楚是否在野被利用。 敦促管理员立即打补丁 漏洞披露不久后,VMware 发布公告表示,鉴于该漏洞的严重性,强烈建议用户应立刻采取行动,根据 VMSA-2021-0014 中的指示,迅速修补这一关键漏洞。 VMware 还修补了另外一个严重本地权限升级安全漏洞(CVE-2022-22973),攻击者可以利用该漏洞在未打补丁的设备上,将权限提升到 “root”。 受安全漏洞影响的 VMware 产品列表如下: VMware Workspace ONE Access (Access) VMware身份管理器(vIDM) VMware vRealize Automation (vRA) VMware云计算基础 vRealize Suite Lifecycle Manager 通常情况下,VMware 会在大多数安全公告中加入关于主动利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明。 其他临时解决方案 VMware 还为不能立即给设备打补丁的管理员提供了临时解决方法。具体步骤是,要求管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务。临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁。 因此 VMware 不建议应用临时方法,想要彻底解决 CVE-2022-22972 漏洞,唯一方法是应用 VMSA-2021-0014 中提供的更新补丁。 值得一提的是,4月份,VMware 还修补了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)。
2022年5月19日 10:10hackernews.cc
日前,美国总统拜登签署了《国家网络安全防范联盟法案》。 该法案将使国土安全部能够与非营利实体合作,开发、更新和主办网络安全培训,以支持防御和应对网络安全风险。 参议员约翰·科尔尼和帕特里克·莱希在周四发表的一份声明中说,新法律的目的是确保关键基础设施免受网络攻击,网络准备就绪。 国土安全部和由德克萨斯大学圣安东尼奥分校、德克萨斯农工大学工程推广服务中心、阿肯色大学、孟菲斯大学、诺维奇大学和其他大学培训组织组成的国家网络安全防范联盟(NCPC)将合作,对州及地方政府的响应责任人(first responders)和官员进行网络安全培训,支持创建信息共享计划,并帮助扩大州和地方应急计划的网络安全风险和事件预防及响应。 除州和地方政府外,他们还将为私营企业和关键基础设施所有者和经营者提供技术援助并举办模拟演习。 “有了这项新的法律,国土安全部和NCPC将能够通过多年的工作,来提高他们所帮助的人的网络技能,”莱希参议员说。   转自 安全内参,原文链接:https://www.secrss.com/articles/42542 封面来源于网络,如有侵权请联系删除
2022年5月19日 10:10hackernews.cc
5月15日至16日,美国-欧盟贸易和技术委员会(TTC)在巴黎举行了第二次会议,欧盟和美国政府代表联合宣布了一系列新举措,涉及中小企业和供应链安全、应对虚假信息、逃避制裁以及开发可信赖的人工智能和隐私增强技术等领域。 欧美双方在TTC中寻求基于公平竞争和可竞争数字市场的开放全球市场来造福其公民、工人、企业和消费者。“我们相信,以个人为中心的、跨大西洋共享的、民主的、尊重权利的方式,是应对数字化转型和绿色转型带来的挑战和机遇的最佳途径。” 由于当前俄乌之间的冲突,许多声明都变得格外紧迫。其中有一个新的合作框架,内容涉及危机中的信息完整性,特别是关于克里姆林宫试图“操纵和审查”信息的问题。 双方将在关键技术出口方面进行更密切的信息交流,其最初的重点是“俄罗斯和其他逃避制裁的国家”。 此外,TTC同意为中小企业制定网络安全最佳实践指南,鉴于俄乌冲突凸显了安全、可信赖和有弹性的信息通信技术对国家安全和主权的重要性,欧美重申2021年G7数字和技术议部长级宣言,承诺“促进安全、有弹性、多样化、有竞争力、透明和可持续的数字、电信和ICTS基础设施供应链”。 关于新兴技术,欧盟和美国同意成立人工智能(“AI”)小组,制定联合路线图,以评估“可信赖的人工智能和风险管理”工具,以及一个关于隐私增强技术的项目。 或许是因为中国在国际标准界的地位不断提高,TTC还宣布建立“美国-欧盟战略标准化信息(SSI)机制”,以实现与欧美技术和经济利益相关的国际标准制定信息共享。美国和欧盟旨在为合作中寻找机会,并在关键和新兴技术的国际标准活动中促进和捍卫其共同利益。 网络安全咨询公司Coalfire的副总裁约翰·迪克森(John Dickson)称该协议意义重大。“与美国同行相比,俄罗斯和乌克兰供应商的供应链中断肯定会影响欧洲制造商。这也将推动美国与欧盟在网络安全等各个方面进行更深入的合作。如果俄罗斯试图将网络安全领域的冲突扩大到乌克兰以外,欧美就需要在这方面进行更加密切的合作。”   联合声明部分内容 欧美伙伴关系是我们共同力量、繁荣以及对自由、民主和尊重人权的承诺的基石。在过去的一年里,我们加强、深化和提升了我们的关系。正如最近发生的事件所证明的那样,在贸易、技术和安全相关问题上的强大跨大西洋纽带和合作比以往任何时候都更加重要。 我们拥护《互联网未来宣言》中阐明的愿景,并打算将其原则付诸实践,包括有关普遍接入、人权、开放和公平竞争的
2022年5月19日 09:50hackernews.cc
NVIDIA发布了针对各种显卡型号的安全更新,解决了其GPU驱动程序中的四个高危漏洞和六个中危漏洞。该安全更新修复了可能导致拒绝服务、信息泄露、特权提升、代码执行等的漏洞。这些更新已适用于Tesla、RTX/Quadro、NVS、Studio 和 GeForce 软件产品,涵盖驱动R450、R470 和 R510等类型。有趣的是,除了积极支持的当前和最近的产品线,NVIDIA的更新还涵盖了GTX 600和 GTX 700 Kepler系列显卡,这类产品在2021年10月就停产了。NVIDIA此前承诺将继续为这些产品提供关键安全更新,直至2024年9月,而此次驱动程序更新兑现了这一承诺。 本月修复的四个高严重性缺陷是: CVE-2022-28181(CVSS v3 得分:8.5) – 由通过网络发送的特制Shader导致的内核模式层越界写入,可能导致代码执行、拒绝服务、权限升级、信息泄露和数据篡改。 CVE-2022-28182(CVSS v3 得分:8.5)——DirectX11 用户模式驱动程序存在缺陷,允许未经授权的攻击者通过网络发送特制的共享并导致拒绝服务、权限升级、信息泄露和数据篡改。 CVE-2022-28183(CVSS v3 分数:7.7)- 内核模式层中的漏洞,非特权普通用户可能导致越界读取,这可能导致拒绝服务和信息泄露。 CVE-2022-28184(CVSS v3 得分:7.1) – DxgkDdiEscape 的内核模式层 (nvlddmkm.sys) 处理程序中的漏洞,普通非特权用户可以访问管理员特权寄存器,这可能导致拒绝服务、信息泄露,以及数据篡改。 这些漏洞对权限要求低且无需用户交互,因此它们可以被整合到恶意软件中,从而允许攻击者执行具有更高权限的命令。前两个可以通过网络利用,而另外两个可以通过本地访问来利用,这对于感染低权限系统的恶意软件仍然很有帮助。 发现CVE-2022-28181和CVE-2022-28182的Cisco Talos今天还发布了一篇文章,详细介绍了他们如何通过提供格式错误的Compute Shader来触发内存损坏漏洞,威胁行为者可以通过WebAssembly和WebGL在浏览器中使用恶意Shader。 对于CVE-2022-28181,Talos说“特制的可执行/ shader文件可能导致内存损坏。这个漏洞可能由运行虚拟化环境(即 VM
2022年5月18日 17:32hackernews.cc
自4月17日Conti勒索软件攻击爆发以来,已至少影响了哥斯达黎加27个政府机构,其中9个受到严重影响,如征税工作受阻碍、公务员工资发放金额错乱等; 哥国新任总统日前表示,有证据显示,国内有内鬼配合勒索软件团队敲诈政府,这场危机是政府多年未投资网络安全的苦果; 安全专家称,这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。   5月16日(周一),哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示,国内有合谋者协助Conti勒索软件团伙敲诈政府,这坐实了Conti团伙日前在网站上发布的声明内容。 据阿根廷老牌媒体《国家报》报道称,哥国总统没有公布合谋的内鬼是谁,也未提及他们究竟如何与Conti团伙串通。 总统称,“毫不夸张地说,我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知,国内有人正与Conti合谋。”但他并未透露更多细节。 “这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。” BRETT CALLOW, EMSISOFT公司威胁分析师 上周末,安全厂商Emsisoft威胁分析师Brett Callow发现,Conti网站上发布内容,试图诱导哥国人民以“组织集会”的方式施压,迫使政府支付赎金,还声称“我们决心通过网络攻击推翻政府。” 由于哥国政府“拒不配合”支付赎金,Conti团伙开出的赎金价码已经上涨一倍,目前为2000万美元,同时威胁将在一周内删除解密密钥。 5月8号,哥国总统Chaves刚宣誓就任,就宣布国家进入紧急状态。再往前两天(5月6日),美国国务院悬赏1000万美元,全球征集Conti团队“关键领导者”的个人信息。 Chaves在新闻发布会上表示,哥国政府已经从各部门抽调人手,组建了一支“特警小组”,负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构,其中9家“受到了严重影响”,全面评估排查仍在进行当中。 Chaves指出,勒索软件攻击阻碍了政府的征税工作,并导致不少公职人员工资被多发或少发了。 他指责前任政府没能对网络安全进行充分投资,并向哥国人民强调“此次勒索名为安全事件,实际上是一场国家危机。” 尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据,但威胁分析师Callow表示,内部威胁是个由来已久且影响深远的问题。例如,一家托管服务商(为其他企业提供IT服务,并可访问客户网络的公
2022年5月18日 14:32hackernews.cc
Bleeping Computer 网站披露, WordPress 插件 Tatsu Builder 中存在远程代码执行漏洞 CVE-2021-25094,黑客正在利用其进行大规模网络攻击。(该插件安装在大约 10 万个网站上。) 据悉,大规模攻击浪潮于 2022 年 5 月 10 日开始,四天之后达到历史高峰,目前仍在进行中。尽管四月初,运营商已经发布了一个更新补丁,但是现阶段约50000个网站仍在运行该插件的易受攻击版本。 Tatsu Builder 中存在漏洞 Tatsu Builder 是一个流行的 WordPress 插件,主要提供强大的模板编辑功能,能够直接集成到网络浏览器中。 2022 年 3 月 28 日,研究人员 Vincent Michel 发现插件中存在安全漏洞( 追踪为CVE-2021-25094),随后公之于众,并披露了概念验证(PoC)利用代码。 在未使用 Tatsu Builder 插件更新版本的服务器中,攻击者能够利用该漏洞执行任意代码( 3.3.12 版本之前)。 漏洞披露不久后,供应商在 3.3.13 版本中发布了一个安全补丁,并于 2022年 4 月 7 日通过电子邮件提醒用户,敦促他们应用安全更新。 受到攻击的网站数量 Wordfence 是一家专门为 WordPress 插件提供安全解决方案的公司,一直在持续监测当前的攻击活动。据研究人员估计,有 20000 至 50000 个网站运行存在漏洞的Tatsu Builder版本。 攻击细节 从 Wordfence 发布的报告来看,针对 WordPress 网站的攻击达到了数百万次,2022 年 5 月 14 日阻止了高达 590 万次的攻击尝试,随后几天,攻击数量开始有所下降,但仍处在高位水平。 Wordfence 检测和阻止的攻击 经过对攻击事件分析,研究人员发现攻击者一直试图在 “wp-content/uploads/typehub/custom/” 目录的一个子文件夹中注入一个恶意软件dropper(下载器),并使其成为一个隐藏文件。该下载器名为 “.sp3ctra_XO.php”,其 MD5 哈希值为3708363c5b7bf582f8477b1c82c8cbf8。 扩展的文件检查功能跳过隐藏文件 另外,Wordfence 在报告中强调,超过一百万次的攻击仅来自以下三个
2022年5月18日 14:11hackernews.cc
近日,研究人员观察到有超过200个Android应用程序正在传播一款名为Facestealer的间谍软件以窃取用户凭据和其他有价值的信息,如与受害者帐户相关的Facebook cookie和个人身份信息。据统计,在这些应用程序中,42个伪装为VPN服务,20个为相机程序,13个照片编辑程序。 “与另一款移动恶意软件Joker类似,Facestealer经常会更改自身代码,从而产生许多变体,”趋势科技(Trend Micro)的分析师Cifer Fang、Ford Quin和Zhengyu Dong在一份新报告中这样写道,“自从被发现以来,这款间谍软件一直困扰着Google Play。” 资料显示,2021年7月,Facestealer首次被Doctor Web公司发现并记录,定性为一组入侵 Android官方应用市场的欺诈性应用,其目的是窃取Facebook登录证书等敏感数据。 除此之外,趋势科技还透露,它发现了40多个流氓加密货币矿工应用程序,这些应用程序瞄准了对虚拟货币感兴趣的用户,旨在诱骗用户观看广告和支付订阅服务。有些应用程序甚至会更进一步,试图窃取用于恢复加密货币钱包访问的私钥和助记短语(种子短语),例如Cryptomining Farm Your own Coin。 为避免成为此类诈骗应用的受害者,研究人员向用户提供了若干建议,包括:查看差评,验证开发者合法性,避免从第三方应用商店下载应用等。 新研究分析了在野外安装的恶意 Android 应用程序 基于2019年至2020年期间在1170万多台设备上安装的880万应用程序,来自NortonLifeLock和波士顿大学的研究人员发表了他们所谓的“最大的设备上的潜在有害应用程序(PHA)研究”。 该研究指出,“PHA在谷歌Play上的平均停留时间为77天,在第三方市场上为34天”。研究还指出,由于在PHA被发现和被移除之间存在时滞,因此有3553款应用在被移除后出现了跨市场迁移。 最重要的是,研究表明,当用户切换设备并在从备份恢复时自动安装应用程序的时候,PHA 的平均停留时间要长得多。 据悉,通过使用三星Smart Switch移动应用程序,已有多达1.4万个PHA转移到了 3.5万台新的三星设备上,这些应用程序在手机上的存在时间约为93天。 学者表示:“Android 安全模型严重限制了移动安全产品在检测到恶意应用程序时可执行的操作,从而使 PHA在
2022年5月18日 14:11hackernews.cc
当地时间5月16日,美国司法部指控了一名来自委内瑞拉的 55 岁医生是Thanos勒索软件的幕后策划者,并通过销售该勒索软件从中获取了大量利润。 这位“幕后黑手”——现居委内瑞拉、拥有委内瑞拉和法国双重国籍的心脏病专家Moises Luis Zagala Gonzalez至少在两年前就创建了Thanos勒索软件。作为一项勒索软件即服务 (RaaS),根据Recorded Future 在 2020 年 6 月的一项分析显示,Thanos具有 43 种不同的配置功能,并称其为第一个利用RIPlace技术绕过 Windows 10 中内置的勒索保护功能的勒索软件。 从本质上讲,Thanos 是由私人研发,但Zagala的运营策略,允许购买者定制勒索软件,然后他们可以使用或将其出租给其他参与者,从而有效地扩大了攻击的范围。据信 ,Zagala 在暗网网络犯罪论坛上以每月 500 美元的“基本功能”或 800 美元的“完整功能”的价格销售该软件。 同时Zagala 还为自己 RaaS 计划招兵买马,允许购买者支付“许可费”以在一段时间内使用恶意软件或加入“附属计划”,以换取勒索软件攻击的赎金分成。Zagala 接受法定货币和加密货币的付款。 Zagala还和其他参与者创建了Jigsaw勒索软件 ,其中包括最臭名昭著的“世界末日”计数器功能,用于计算受害者试图消除勒索软件的操作次数。在他看来,如果用户试图消除勒索软件的次数过多,很明显是不会付钱的,所以最好的办法是擦除设备中的所有数据。 今年5月左右,FBI曾短暂卧底Zagala的“附属计划”,虽被告知目前名额已满,但Zagala依然将勒索软件进行了授权,并提供了有关如何使用该软件和建立附属团队的教程。5月3日,FBI锁定了Zagala一个居住在美国佛罗里达州的亲戚的 PayPal 账户,该账户曾用于获得非法收益。同时此人也证实了Zagala的一些个人信息,包括他现居委内瑞拉,以自学的方式掌握了计算机编程。 如果罪名成立,Zagala 将因企图入侵计算机而面临最高五年的监禁,并因共谋入侵计算机而面临五年监禁。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333454.html 封面来源于网络,如有侵权请联系删除
2022年5月18日 10:11hackernews.cc
近日,苹果发布了安全更新以解决一项新的零日漏洞,黑客可以利用该漏洞对Mac和Apple Watch设备发起攻击。 5月16日发布的安全报告中,苹果方面透露,公司已经意识到这个安全漏洞“可能正被积极利用”。 该漏洞是一项AppleAVD(音频和视频解码的内核扩展)中的越界写入问题,追踪代码为CVE-2022-22675,它允许应用程序以内核权限执行任意代码。该漏洞由匿名研究人员报告,随后苹果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系统中对其修复并改进了边界检查。 受该漏洞影响的设备包括Apple Watch Series 3及更新的机型、运行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K(第2代)和Apple TV HD等。 虽然苹果公司披露了一些关于网络攻击的报告,但并没有发布任何关于这些攻击的额外信息。 外界推测,苹果公司很可能是希望通过隐瞒信息进而在攻击者发现零日漏洞的细节并将它利用于其他攻击之前,让安全更新覆盖尽可能多的Macs和Apple Watch设备。 虽然这个零日漏洞很可能只能被运用于针对性进攻,但苹果公司仍然强烈建议尽快安装macOS和watchOS的安全更新以阻止攻击企图。 2022零日漏洞一览 今年1月,苹果对另外两个被在野利用的零日漏洞进行了修补,一个漏洞使攻击者能够利用内核权限执行人任意代码(追踪编号为CVE-2022-22587),另一个漏洞使攻击者能够跟踪网页浏览活动和用户身份(追踪编号为CVE-2022-22594)。 一个月后,苹果发布了一项新的安全更新,以修补另一个零日漏洞,漏洞的追踪编号为CVE-2022-22620,被用来攻击iPhone、iPad和Macs设备,导致操作系统崩溃,并在受损的苹果设备上远程执行代码。 今年3月,英特尔图形驱动程序和AppleAVD解码器中也发现了两个活跃的零日漏洞,追踪编码分别为CVE-2022-22674和CVE-2022-22675,后者如今依旧活跃在旧版本macOS、watchOS 8.6和tvOS 15.5系统中。 这5个零日漏洞会影响iPhone(iPhone 6s及以上)、运行macOS Monterey的Mac和多种iPad型号的设备。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333384.html 封
2022年5月17日 16:11hackernews.cc
据The Hacker News消息,安全研究人员在对iOS Find My功能进行安全分析时,首次发现了一种全新的攻击面,攻击者可篡改固件并将恶意软件加载到蓝牙芯片上,使该芯片在 iPhone “关闭”时执行。 这是一种全新的恶意软件潜在的运行方式,其原理是利用了iOS在“电源储备”低功耗模式 (LPM) 时关机,但蓝牙、近场通信(NFC)和超宽带(UWB)相关的无线芯片依旧继续运行的机制。 达姆施塔特工业大学的Secure Mobile Networking实验室 (SEEMOO) 的研究人员在一篇文章中写到,苹果这样做是为了启用Find My等功能并促进Express Card交易,但也让三种无线芯片都可以直接访问所有安全元件。 研究人员表示,蓝牙和UWB芯片被数据线连接到NFC芯片中的安全元素(SE)上,存储那些应该可以在LPM中使用的机密数据。 “由于LPM支持是在硬件中实现的,因此无法通过更改软件组件来删除它。现有的iPhone关机后无法关闭无线芯片,这构成了一种新的威胁模型。” 具体的调查结果将会在本周举办的ACM无线和移动网络安全隐私会议 (WiSec 2022) 上公布。 LPM 功能是苹果在2021年iOS 15中新推出的,即使电池电量耗尽或已关闭,也可以使用“查找我的网络”跟踪丢失的设备。当前支持超宽带的设备包括iPhone 11、iPhone 12和iPhone 13。 关闭iPhone 时显示的消息如下:“iPhone 关机后仍可找到。Find My可帮助您在iPhone丢失或被盗时找到它,即使它处于省电模式或关机时也是如此。” 研究人员将当前的 LPM 实现称为“不透明”,同时他们发现,在断电期间初始化Find My广告时有机会观察到失败,这与上述消息实际上相矛盾,他们还发现蓝牙固件既没有签名,也没有加密。 通过利用这个漏洞,具有特权访问权限的攻击者可以创建在iPhone蓝牙芯片上执行的恶意软件,那么即使它关机了也可以执行。但是,要发生这种固件泄露,攻击者必须要通过操作系统、固件通信以及修改固件映像。 换句话说,这个想法是改变LPM应用程序线程以嵌入恶意软件,例如那些可以提醒恶意行为者受害者的Find My Bluetooth 广播,使攻击者能够远程监视目标。 SEEMOO 研究人员指出:“除了更改现有功能外,他们还可以添加全新的功能。”此前他们已经向苹果披露了所有问题,但这家科技巨头
2022年5月17日 15:51hackernews.cc
Security Affairs 网站披露,因盗取大量服务器登录凭据,并在暗网出售, 28 岁的乌克兰人 Glib Oleksandr Ivanov-Tolpintsev 被判处 4 年监禁。 该男子于 2020 年 10 月在波兰被捕,被指控犯有共谋罪,贩卖未经授权的访问设备,以及贩卖计算机密码,次年 2 月初表示认罪,于 2021 年 9 月被引渡到美国。 据悉, Ivanov-Tolpintsev 控制了一个僵尸网络,通过暴力攻击破解计算机登录凭证,每周至少能够收集到 2000 台服务器的登录凭证。 2017 年至 2019 年期间,该男子在一个不知名的暗网市场上频繁出售被盗登录凭据,截止到落网,一共销售了超过 70 万台被破坏的服务器,共获得了 82648 美元的回报。 何为暗网市场? 根据法律文件的解释,暗网市场指从事非法网络信息交易的暗网网站,非法出售位于世界各地的服务器的登录凭证(用户名和密码)和其他非法数据信息。 一旦成功购买非法登陆凭证,网络犯罪分子就会利用这些服务器从事包括勒索软件攻击和税务欺诈在内的一系列非法活动。 美国司法部发布的新闻稿中表示:对于乌克兰公民的网络犯罪事件,经过调查分析发现,暗网市场上总共有 70 多万台被破坏的服务器出售,其中至少有 15 万台在美国,至少有 8000 台在佛罗里达。 此次事件的受害者涉及领域广泛,政府机构、医院、紧急服务、呼叫中心、大都会交通当局、律师事务所、养老基金和大学等都受到一定程度的影响。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333377.html 封面来源于网络,如有侵权请联系删除
2022年5月17日 11:51hackernews.cc
据悉,一个假冒的Pixelmon NFT网站正用免费代币和收藏品吸引粉丝,并用窃取加密货币钱包的恶意软件对其进行感染。 Pixelmon是一个热门的NFT项目,它的目标包括创建一个元宇宙游戏,用户可以在其中使用Pixelmon宠物进行收集、训练以及与其他玩家战斗。该项目在Twitter上有近20万名粉丝和超过2.5万名Discord成员,引起了广泛的关注。 冒充Pixelmon项目 为了利用这种兴趣,威胁参与者复制了合法的pixelmon.club网站,并在pixelmon[.]pw上创建了一个虚假版本来分发恶意软件。 该恶意站点几乎是合法站点的复制品,它提供在设备上安装密码窃取恶意软件的可执行文件,而不是该项目的游戏演示。 假的Pixelmon网站 该网站提供了一个名为Installer.zip的文件,其中包含一个看似已损坏且不会以任何恶意软件感染用户的可执行文件。 然而,首先发现这个恶意站点的MalwareHunterTeam还发现了该站点分发的其他恶意文件。 此恶意站点分发的文件之一是setup.zip,其中包含setup.lnk文件。Setup.lnk是一个Windows快捷方式,它将执行PowerShell命令以从pixelmon[.]pw下载system32.hta文件。 Setup.lnk内容 在测试这些恶意有效载荷时,System32.hta文件下载了Vidar,这是一种密码窃取恶意软件,不像过去那样常用。安全研究员Fumik0_证实了这一点 ,他之前曾分析过这个恶意软件家族。 在执行时,威胁参与者的Vidar样本将连接到Telegram频道并检索恶意软件命令和控制服务器的IP地址。 包含C2 IP地址的Telegram频道 恶意软件从C2中检索配置命令,并下载更多模块,用于从受感染设备中窃取数据。 Vidar恶意软件可以从浏览器和应用程序中窃取密码,并在计算机中搜索与特定名称匹配的文件,然后将这些文件上传给威胁参与者。 从下面的恶意软件配置中可以看出,C2指示恶意软件搜索和窃取各种文件,包括文本文件、加密货币钱包、备份、代码、密码文件和身份验证文件。 从C2服务器检索的配置命令 这是一个NFT网站,预计访问者将在其计算机上安装加密货币钱包,因此,威胁参与者强调搜索和窃取与加密货币相关的文件。 虽然该站点目前没有分发有效的有效载荷,但已有证据表明威胁参与者在过去几天继续修改该站点,因为两天前可用的
2022年5月17日 11:11hackernews.cc
意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时; 意大利CERT发布预警称,此次攻击使用了“慢速HTTP”的新型DDoS手法,传统防御措施较难抵御,需要针对性处置; 亲俄黑客团伙Killnet声称对本次攻击负责。 意大利计算机安全事件响应小组(CSIRT,类似于国家CERT)警告称,近期已出现多起针对意大利重要政府网站的DDoS攻击。 DDoS(分布式拒绝服务)是一种常见的网络攻击,旨在耗尽服务器上的可用资源,致使其无法响应正常用户请求,所托管的网站也无法正常访问。 意大利多个重要政府网站瘫痪 意大利安莎通讯社报道称,当地时间5月11日,意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时,受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。 亲俄黑客团伙Killnet声称对本次攻击负责。此前,他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。 作为对意大利DDoS攻击新闻报道的回应,Killnet团伙在Telegram频道上发布消息称,未来可能将出现进一步攻击。 一名Killnet代表成员在Telegram上宣称,“我们的‘军团’正在你国开展军事网络演习,旨在训练提升攻击技能。这与你国的行为类似——意大利人和西班牙人也在乌克兰境内学习作战。我们的‘军团’正在消灭你们的服务器!” “请注意,当前阶段还只是训练。别再大呼小叫,发布什么参议院遭到攻击的消息了。我可以保证,我们的网络部队很快就会在意大利领土之内完成训练,并继续发动进攻。这一切会来得很猛,来得很快。” 当前防御措施难以抵御慢速HTTP手法 CSIRT在公告中解释称,恶意黑客针对该国政府、各部委、议会乃至军队网站的攻击活动,使用到了所谓的“慢速HTTP”技术。 该技术每次向Web服务器发送一条HTTP请求,但会为请求设置极慢的传输速率或故意发送不完整请求,导致服务器等待下一条请求。 服务器首先检测传入的通信,再分配专用于等待剩余数据的资源。当这类请求过多时,服务器就会不堪重负,无法再接收任何其他连接,最终导致站点无法访问。 CSIRT表示,“这种攻击手法在使用POST请求时更加有效,因为这些请求会同时向Web服务器发送大量数据。” CSIRT称“慢速HTTP”是一种比较少见的DDoS攻击类型,并警告如果系统管理员不做出针对性处置,那么现有防御措施恐怕将
2022年5月17日 10:51hackernews.cc
黑客已开始利用最近修补的关键漏洞,漏洞编号为CVE-2022-30525,该漏洞会影响企业的 Zyxel防火墙和VPN设备。如成功利用则允许远程攻击者在没有身份验证的情况下远程注入任意命令,从而可以设置反向shell。该漏洞是由Rapid7的首席安全研究员Jacob Baines发现的,他在一份简短的技术报告中解释了如何在攻击中利用该漏洞。Jacob Baines说,“命令以nobody用户身份执行。此漏洞通过利用/ztp/cgi-bin/handler UR,这会导致未经验证的攻击者在lib_wan_settings.py中输入os.system。”研究人员指出,攻击者可以使用普通的bash GTFOBin建立反向shell 。 Zyxel于5月12日发布了针对CVE-2022-30525(严重严重性评分为 9.8)的安全公告,宣布 已针对受影响的型号发布了修复程序,并敦促管理员安装最新更新。 安全问题的严重性及其可能导致的损害足以让NSA网络安全主管Rob Joyce警告用户注意漏洞,并鼓励他们在设备固件版本易受攻击时更新设备固件版本。 从13日开始,非营利组织Shadowserver Foundation的安全专家称看到了针对 CVE-2022-30525的利用尝试。目前还不清楚这些尝试是否是恶意的,还是仅仅是研究人员在绘制目前受到攻击的Zyxel设备的地图。 Rapid7在互联网上扫描了易受攻击的 Zyxel产品,并使用Shodan搜索平台找到了15,000多个连接到互联网的硬件。Shadowserver运行了自己的扫描,并在开放网络上发现了至少 20,800 个可能受该漏洞影响的Zyxel防火墙模型。该组织通过唯一 IP 地址对硬件进行计数,发现其中超过15,000个是USG20-VPN和USG20W-VPN型号,而这些硬件专为“跨分支机构和连锁店的VPN连接”而设计。设备最易受攻击的地区是欧盟,法国和意大利的数量最多。 鉴于漏洞的严重性和设备的流行,安全研究人员已经发布了代码,可以帮助管理员检测安全漏洞和利用尝试。作为西班牙电信公司Telefónica的redteam的一部分,z3r00t 创建并发布了用于检测 CVE-2022-30525 的 Nuclei 漏洞扫描解决方案的模板。模板可从作者的 GitHub 获取。另一位研究员 BlueNinja也创建了一个脚本来检测Zyxel防火墙和VPN产品中
2022年5月16日 14:30hackernews.cc
Bleeping Computer 资讯网站披露,房地产经纪巨头链家的前数据库管理员韩冰,因登录公司系统并删除公司数据,被判处 7 年有期徒刑。 2018 年 6 月,韩冰利用其管理权限和 “root “账户进入公司财务系统,删除了两台数据库服务器和两台应用服务器上的所有存储数据。此举导致链家大部分业务立即瘫痪,直接影响公司人员的工资发放等,给整个公司运行造成恶劣影响。事件不久后,链家花费 18 万元人民币恢复数据及重新构建该系统。 值得一提是,业务中断所造成的间接损失要大得多。据悉,链家经营着数千个办事处,雇用了超过 12 万名经纪人,拥有 51 个子公司,其市场价值估计为 60 亿美元。 事件调查 根据北京市海淀区人民检察院法院公布的文件显示,事件发生不久后,调查人员将韩冰列为数据删除事件五个主要嫌疑人之一。 案件调查期间,韩冰拒绝向调查人员提供其笔记本电脑密码,并声称电脑里存有私人数据,密码只能提供给公共机构,或者只接受自己输入密码,这一举动引起了人们的怀疑。 最终,技术人员从服务器上调取了访问日志,并将活动追踪到特定的内部 IP 和 MAC 地址。检查人员甚至检索了 WiFi 连接日志和时间戳,并最终通过与监控视频证实韩冰有作案嫌疑。 经技术专家最终鉴定后发现,韩冰使用了 “shred “和 “rm “命令来擦除数据库,rm 命令删除了文件的符号链接,shred 则用多种模式将数据覆盖了三次,导致数据不可恢复。 员工心怀不满? 令人惊讶的是,韩冰曾多次向公司主管反映财务系统存在安全漏洞,甚至向其他管理员发送了警示电子邮件,提出安全漏洞的担忧。然而,这些行为没有引起重视,所在部门的领导也从未批准他提出的安全项目。 值得一提的是,链家一高管告诉法庭,韩冰觉得自己的建议不受重视,经常与上司争论。 类似案件 2020 年 2 月, SaaS 服务商微盟遭遇员工“删库跑路”,服务器出现大面积故障。公司一调查发现,犯罪嫌疑人是微盟研发中心运维部的核心运维人员贺某,于 2 月 23 日晚 18 点 56 分通过个人 VPN 登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。 2021 年 3 月,王某入职上海某知名互联网公司从事计算机系统研发工作,负责公司网购平台部分规则代码研发。3 个月后王某因试用期未合格被公司劝退,并
2022年5月16日 14:10hackernews.cc
近日,一个名为“Killnet”的亲俄黑客团伙对多个意大利机构网站发动了攻击,其中包括参议院、国家卫生研究院,国家汽车协会,即国家驾驶员协会。国防部的网站也无法访问,但官员们却表示,无法访问是“由于该网站正在进行一项计划已久的维护活动”。此后,意大利当局证实,这些攻击并未造成数据泄露或其他损害。 “Killnet”团伙自俄乌战争以来就宣布支持俄罗斯,并对包括罗马尼亚政府机构和美国布拉德利机场在内的西方国家发动过袭击。值得一提的是,在本次攻击浪潮席卷意大利的时候,总理马里奥·德拉吉(Mario Draghi)正在华盛顿进行国事访问。 意大利警方已对袭击事件开展调查,而国家计算机安全事件响应小组(CSIRT)证实了这些网站遭到DDoS攻击。CSIRT警告称,黑客发起的是慢速POST DDoS攻击,这种攻击非比寻常,因此很难被发现。 Killnet在其Telegram频道上发布了一条消息,提示了进一步攻击的可能: “亲爱的意大利和西班牙媒体。 Killnet实际上并没有像攻击罗马尼亚那样攻击你们的国家。如果这种情况发生,那么1945年 4月29日,也就是你们投降的那一天,将会很快重演。我们的军队在你们国家进行军事网络演习,以提高他们的技能。一切都与你们的行为如此相似——意大利人和西班牙人正在学习如何在乌克兰杀人,而我们的军地正在学习如何杀死你们的服务器!你应该明白这只是训练,所以请不要大喊救命。我们已经对有关袭击参议院的新闻感到厌倦,我向你保证,我们的网络军队将很快在你们的领土上完成训练,我们将继续进攻。这会非常突然且迅速地发生。” 被攻击的网站名单被分享在亲俄黑客组织“The Legion”的Telegram频道上,该组织主要攻击西方组织和政府,包括北约国家和乌克兰。此外,“The Legion”还对今年在意大利都灵举行的欧洲歌唱大赛发动过攻击。 目前,还不清楚“The Legion”和“Killnet”两个团伙之前的确切关系。 其实,自俄罗斯入侵乌克兰开始以来,考虑到两国之间的网络争端可能会蔓延,意大利网络安全机构ACN已将警戒级别提高。 除了上述的机构网站之外,意大利的基础设施也在最近频繁遭受重大网络攻击,包括医院和意大利国有铁路公司(Ferrovie dello Stato Italiane)。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333230.html 封
2022年5月16日 12:10hackernews.cc
近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OlhWd2G