世界黑客新闻动态
在这里,您可以找到最新的国际威胁情报、黑客趋势和维基解密信息。
1,249个主题在此版块
-
- 0 篇回复
- 670 次查看
NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布,报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告,在2021年上半年,网络犯罪分子发动了大约540万次DDoS攻击,比2020年上半年增加了11%。此外,NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出,2021年将是另一个创纪录的一年,全球DDoS攻击将超过1100万次。 ASERT预计,攻击者层出不穷的攻击手段的长尾效应将持续下去,日益加剧网络安全危机,并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后,DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此,各国政府正在引入新的项目和政策来防范攻击,而警备机构正以前所未有的合作努力来应对危机。 2021年上半年,网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体,使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长,针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略,网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御,攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害,他们在重要的互联网组件…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 674 次查看
IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 677 次查看
网络安全公司Proofpoint/Cloudmark最近发现了一种新的威胁,可以通过短信控制受害者的手机。美国和加拿大也发现了这种威胁,根据报告,Android用户是这种恶意软件的主要目标。 这种安全威胁被命名为Tangle Bot,因为它能够接管一些设备的功能,包括联系人列表、电话记录、摄像头和麦克风以及互联网接入。 这种恶意软件的工作原理与至今存在于英国和欧洲的流感机器人威胁一样。就像名字Tangle一样,这个恶意软件可以误导目标通过伪造的Covid-19警报,安装篡改过的软件。该警报包括关于Covid-19疫苗可用的加强剂的信息以及新的监管政策。 在疫情已经造成恐慌的情况下,这类信息极具煽动性,很可能欺骗目标,因为信息附加一些链接,而目标很可能相信该链接里宣称提供更多疫情期间帮助的信息。 http://hackernews.cc/wp-content/uploads/2021/09/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20210927111626-600x454.jpg 在点击链接之后,跳转网页将显示“Adobe Flash Player需要更新”,如果用户同意更新并点击了更新安装按钮, TangleBot将植入手机,开始接管包括控制电话簿,记录屏幕等功能,攻击者也可以随时打开设备摄像头和麦克风。根据Proofpoint的说法,TangleBot甚至可以通过覆盖屏幕的方法访问在线金融应用程序。随后,受害者的设备还会被用来转发伪造的的Covid-19警报。 如果目标发现设备被恶意软件入…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 681 次查看
英国最大的警察部队将在今年年底前大幅扩大其面部识别能力。新技术将使伦敦大都会警察局能够处理来自闭路电视、社交媒体和其他来源的历史图像,以追踪嫌疑人。但批评者警告说,这项技术有令人瞠目结舌的滥用可能性,并可能巩固歧视性的警务工作。 在8月底做出一个鲜为人知的决定中,伦敦市长办公室批准了一项允许伦敦警察局提高其监控技术的提案。该提案称,在未来几个月内,伦敦警察局将开始使用追溯性面部识别(RFR),作为与日本科技公司NEC公司达成的300万英镑、为期四年协议的一部分。该系统先检查警方获得的人脸图像,然后与警方的内部图像数据库进行比较,试图找到一个匹配的人。 http://hackernews.cc/wp-content/uploads/2021/09/75e42b7ca833975-600x384.jpeg 欧洲数字权利组织的政策顾问Ella Jakubowska表示:”部署该系统的人实际上可以让时间倒流许多个月甚至几年,看到你是谁,你去了哪里,你做了什么,和谁在一起。这种技术可以压制人们的自由表达、集会和无忧无虑的生活能力”。 批评者认为,RFR的使用侵犯了人们的隐私,不可靠,并可能加剧种族歧视。在美国,我们已经看到有人因为RFR而被错误地监禁。在考虑这种极端技术之前,更广泛的公众对话和严格的保障措施至关重要。 伦敦市长的一位发言人为这项技术的使用辩护,说它将缩短识别嫌疑人的时间,并帮助减少首都的犯罪。同时,伦敦市长办公室设立了警务道德小组,其任务是对伦敦警察局使用RFR的情况进行审查并提出建议。在英国,对使用面部识别的政治支持仍然…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 621 次查看
根据网络安全公司Censinet赞助的一份新报告,在过去两年中遭受勒索软件攻击的医疗机构中,几乎有四分之一的机构表示,在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据,表明网络攻击不仅造成财务或后勤问题–它们也可能是重大的健康风险。 http://hackernews.cc/wp-content/uploads/2021/09/8958a956ac0743f-600x363.jpeg Censinet首席执行官兼创始人Ed Gaudet说:“勒索软件对病人护理的影响已经足够大,这是不可否认的。我们不应该害怕看这些数据,并继续推动这个问题的解决。” 由一家名为Ponemon研究所的研究机构进行的分析,收集了全美近600家医疗机构的调查回复,范围从区域医疗系统到医疗设备制造商。超过40%的机构说,他们在过去两年中受到了勒索软件的攻击–网络攻击锁定了计算机系统,并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示,这些破坏导致病人住院时间延长,并延误了检测或手术。此外,36%的机构说他们看到了更多医疗手术的并发症,22%的机构说他们的死亡率增加了。 这些数字有一些重要的注意事项:它们来自一个相对较小的医疗机构子集,而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论–例如,他们没有说他们如何衡量死亡率的变化。Gaudet说,如果没有关于这些方法的更多细节,谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 616 次查看
一个名为“ Safepal Wallet”的恶意Firefox插件,欺骗用户,窃取钱包余额,并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭,BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表,我正在搜索 Safepal 钱包扩展,以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后,Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录,发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件,”他在Mozilla的论坛中说道。 http://hackernews.cc/wp-content/uploads/2021/09/Firefox%E5%95%86%E5%BA%97%E4%B8%AD%E7%9A%84%E5%81%87%E5%86%92%E2%80%9CSafepal%E9%92%B1%E5%8C%85%E2%80%9D%E6%8F%92%E4%BB%B6--600x384.png BleepingComputer 从“ Safepal 钱包”的附加页面发现,该插件至少从2021年2月16日起就开始使用了。 页面上,这个235kb的插件吹嘘自己是一个 Safepal 应用程序,可以安全地“在本地保存私钥”,还有令人信服的产品图片和营…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 631 次查看
网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 624 次查看
Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险。22%的受访医疗机构在网络攻击后看到病人死亡率上升。该报告称,第三方风险对病人护理产生的不利影是响其中最大的痛点。 网络攻击导致更多病人出现住院时间延长,医疗程序和测试的延误,导致医疗结果不佳。在Censinet赞助的报告中,Ponemon研究人员调查了597名来自医疗服务机构(HDO)IT安全专业人士,以评估COVID-19和勒索软件等网络攻击增加对病人护理和病人数据安全的影响。 http://hackernews.cc/wp-content/uploads/2021/09/84526a896565b54-600x315.png 行业利益相关者长期以来一直警告说,网络攻击和相关停机时间,对患者安全构成了迫在眉睫的风险。但在2019年的报告之外,关于具体死亡事件的数据仍然稀少,促使人们需要分享威胁和第一手资料,以更好地获得网络攻击对增加病人伤害风险的具体情况。 通过Ponemon的报告,医疗IT领导者通过供应商的经验证实了网络攻击和病人护理之间的直接联系。在过去两年中,43%的受访医疗机构经历了一次勒索软件攻击,其中33%的机构成为两次或更多攻击的受害者。在这些医疗机构中,71%的人报告说住院时间延长,70%的人看到医疗程序和测试的延误,导致护理效果不佳。另有65%的受访者发现,由于攻击的直接原因,转院或转到当地医疗机构的病人增加,36%的受访者报告医疗程序的并发症增加。 研究结果表明,越来越多的网络攻击,特别是勒索软件,对病人护理产生了负面影响,而COVID对医…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 628 次查看
随着HTTPS采用率的提高和网络浏览器提供原生控制,电子前沿基金会(EFF)已决定在2022年将其流行的浏览器扩展HTTPS Everywhere转为维护模式。该公司表示,早在10年前就推出的扩展的目的就是为了像今天这样使其成为多余的。 http://hackernews.cc/wp-content/uploads/2021/09/287c1e28a0b7b7d-600x359.jpeg HTTPS Everywhere是一个可用于Firefox、Chrome、Microsoft Edge、Opera和Vivaldi等网络浏览器的扩展,安装该扩展后,会尽可能通过HTTPS加载HTTP网站。当该扩展最初可用时,大多数网站都不支持HTTPS。 自从Mozilla、Google、微软联手提高HTTPS在网络上的采用率后,HTTPS强制扩展就变成了不必要的。近年来,不仅有很多网站从HTTP转移到HTTPS,而且网络浏览器提供了一个设置,如果可能的话,通过安全连接加载网页,只用HTTPS模式或HTTPS优先模式。Firefox浏览器提供了这个功能,微软的Edge和Chrome也有。 因此,启用纯HTTPS模式设置是用户今后在网络浏览器中需要做的所有事情,他们现在可以删除HTTPS everywhere扩展。 “HTTPS everywhere的目标始终是成为多余的。这将意味着我们实现了更大的目标:一个HTTPS广泛可用的世界,用户不再需要一个额外的浏览器扩展来获得它。现在,这个世界比以往任何时候都更接近主流浏览器提供了对纯HTTPS模式…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 618 次查看
在卡巴斯基研究人员进行了8个月的调查后,FinSpy监控工具终于被发现。自2018年以来,针对间谍软件木马的检测已经减少,但事实证明,它并没有消失——它只是隐藏在各种初级植入程序后面,帮助掩盖其活动。与此同时,它还在继续提高自己的能力。 FinSpy(又名FinFisher或Wingbird)是一款适用于Windows、macOS和Linux的多平台软件,被当作执法工具存在于市面上。然而,就像NSO集团的Pegasus一样,它经常被用于恶意的目的。于2011年它首次被发现,是一款提供全方位服务的间谍软件,能够窃取信息和证书,并密切监测用户活动。例如,它收集文件列表和已删除的文件,以及各种文档;可以通过网络摄像头和麦克风直播或记录数据;可以窥探消息聊天;它使用浏览器中的开发人员模式来拦截使用HTTPS协议保护的流量。 2019年中期,在TeamViewer、VLC Media Player和WinRAR等合法应用程序中,研究人员发现了的几个可疑安装程序包含恶意代码。然而,据卡巴斯基说,它们似乎与任何已知的恶意软件都没有关联。但有一天,研究人员偶然发现了一个缅甸语网站,上面既有木马程序安装程序,也有用于Android的FinSpy样本。 周二,卡巴斯基研究人员Igor Kuznetsov和Georgy Kucherin在以复古为主题的虚拟安全分析师峰会(SAS )上表示:“我们新发现一些合法应用的可疑安装程序,通过一个相对较小的、模糊的下载程序进入程序后门。”“在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入程序,在真正的…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 103 次查看
据一份最新报告显示,攻击者正在通过新的恶意软件访问玩家的Steam、GOG、Epic Games和EA Origin账户并窃取他们的信息。 网络安全公司卡巴斯基将这种恶意软件命名为“BloodyStealer”,并警告玩家,这种恶意软件能够从上述网站的会话数据和密码中获取信息。 据报道,该木马正在暗网和暗网论坛上做广告和出售,价格为每月10美元或“终身许可证”40美元。卡巴斯基公司于今年3月首次发现了“BloodyStealer”。 除了会话数据和密码,卡巴斯基的研究人员认为,BloodyStealer还可以抓取设备数据、桌面文件、银行信息、内存日志、BT种子文件和屏幕截图等信息。恶意软件收集的数据会被转移到远程服务器上,在那里它们最有可能通过Telegram频道或暗网平台变现。 http://hackernews.cc/wp-content/uploads/2021/09/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20210929153444-600x400.jpg 卡巴斯基进一步透露,自从该恶意软件被发现以来,已经检测到它被用于攻击拉丁美洲、欧洲和亚太地区用户。 “与其他现存的恶意软件工具相比,BloodyStealer在市场上仍然是一个全新的工具;然而,通过分析现有的遥测数据,我们在欧洲、拉丁美洲和亚太地区发现了BloodyStealer,”卡巴斯基在一篇博客文章中指出。“在调查期间,我们发现BloodyStealer主要攻击家庭用户。” http://hackernews.cc/wp-…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 117 次查看
手机恶意软件Blackrock背后的威胁分子又回来了,他们携带了一种名为ERMAC的更恶毒的Android银行木马。据网络安全专家称,该恶意软件从银行和钱包应用程序中窃取金融数据。 荷兰网络安全公司ThreatFabric最先发现该Android恶意软件,据该公司报道,在8月底,恶意软件ERMAC伪装成谷歌Chrome开始了它的第一次主要活动。 自那以后,ERMAC攻击的范围扩大,包括银行应用程序、快递服务、政府应用程序、媒体播放器,甚至像McAfee这样的杀毒解决方案。 http://hackernews.cc/wp-content/uploads/2021/09/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20210929173831-600x384.jpg 专家认为,黑客已经盯上了波兰。 “在写这篇博客的时候,我们发现ERMAC以波兰为目标,打着配送服务和政府应用的幌子分发,”ThreatFabric的首席执行官Cengiz Han Sahin在一篇博客文章中写道。 ERMAC几乎完全基于臭名昭著的银行业木马Cerberus。与它的原始恶意软件和其他银行恶意软件一样,ERMAC的开发目的是窃取联系信息和短信。 它还可以打开任意应用程序,并对大量金融应用程序执行叠加攻击,以获得登录凭证。这种银行恶意软件还具有一些功能,可以清除某个应用程序的缓存,并窃取存储在设备上的账户信息。 http://hackernews.cc/wp-content/uploads/2021/09/%E5%BE%AE…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 102 次查看
安全研究机构Zimperium发现了新的安卓恶意软件GriftHorse,它可以欺骗用户并且订阅高级短信服务。据信,GriftHorse恶意软件已经感染了70多个国家超过1000多万台安卓设备。 据信,操作该恶意软件的团伙每月收入在150万至400万美元之间。安全研究人员发现从2020年11月开始,GriftHorse恶意软件已经感染了70多个国家1000多万部Android设备,并为其运营商每月赚取数百万美元。 http://hackernews.cc/wp-content/uploads/2021/09/8a7180f51b6430e-600x288.png 移动安全公司Zimperium发现,GriftHorse恶意软件通过在官方Google Play商店和第三方Android应用商店上看起来很良性的应用程序进行传播。GriftHorse恶意软件让用户订阅高级短信服务。如果用户安装了这些恶意应用程序,GriftHorse开始向用户发送弹出窗口和通知,提供各种奖品和特别优惠。 http://hackernews.cc/wp-content/uploads/2021/09/fc55c8e010b8f86-600x327.png 点击这些通知的用户会被重定向到一个在线页面,在那里他们被要求确认他们的电话号码,以便获得优惠。但实际上,用户是在为自己订阅每月收费超过30欧元(35美元)的高级短信服务,这些钱然后被转到GriftHorse运营者的口袋里。 http://hackernews.cc/wp-content/uploads…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 104 次查看
据报道,整个Twitch的源代码、用户评论历史和详细的财务记录已被一名匿名黑客发布到网上。Twitch是亚马逊旗下的视频和游戏服务。现在,其服务的全部源代码,其移动、桌面和客户端应用程序,以及一个未发布的Steam商店竞争项目都被泄露了。 据VGC报道,这些文件是由一个匿名黑客泄露给4chan的。这个人说,这次泄漏是为了”促进在线视频流媒体领域的更多破坏和竞争,[因为Twitch的]社区是一个令人作呕的有毒污水池”。VGC已经证实,黑客的文件在4chan上是公开的。Twitch内部的一位匿名人士进一步证实,这些文件是真的。 http://hackernews.cc/wp-content/uploads/2021/10/111-503x600.png http://hackernews.cc/wp-content/uploads/2021/10/222.png 根据黑客和已经开始检查文件的Twitter用户的说法,泄露的数据至少包括: 所有Twitch的源代码 “可以追溯到其早期的开始”的评论历史 财务细节,包括2019年以来创作者的报酬 包括Apple TV在内的Twitch应用程序的源代码 一个尚未发布的Steam竞争者项目 内部安全工具 专有的SDK,内部的亚马逊网络服务工具 Steam的竞争对手被称为Vapor,由亚马逊游戏工作室制作。据报道,还有一个相关的Vapeworld,可能是一个旨在与Vapor整合的聊天服务。 一些用户声称,加密的密码也包括在黑客公布的内容中。假设它是准确的,泄露的数据揭示了Cri…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 114 次查看
据外媒报道,网络安全分析师最近发现了一种被他们称为“TangleBot”的Android恶意软件。这种恶意软件非常复杂,能够劫持手机的大部分功能。一旦被感染,手机就会成为终极间谍/跟踪设备。 Proofpoint研究人员指出,TangleBot通过向美国和加拿大的Android设备发送短信来锁定用户。这些短信被伪装成Covid-19法规和助推器的信息以及跟潜在停电有关的消息,另外还会鼓励受害者点击一个显示需要Adobe Flash更新的网站链接。 如果选择对话框,恶意网站将把恶意软件安装到智能手机上。攻击者依赖于用户无视Adobe在2020年12月停止对Flash的支持以及自2012年以来移动设备不支持Flash的事实。 如果欺骗成功,TangleBot就可以完全渗透到整个手机中。该恶意软件可以控制来自麦克风和摄像头的音频和视频、查看访问的网站、访问输入的密码集合、从短信活动和设备上的任何存储内容中提取数据。TangleBot还可以授予自己修改设备配置设置的权限并允许攻击者查看GPS定位数据。 http://hackernews.cc/wp-content/uploads/2021/10/d5c92caed1b3e88-600x143.png 黑客获得的功能基本上提供了全面监视和数据收集能力。TangleBot提供了一些关键的区别性功能使其特别具有威胁性,其中包括高级行为、传输能力和用于混淆的字符串解密程序。 除了间谍软件和键盘记录能力外,该恶意软件还可以阻止和拨打电话,不可避免地导致拨打高级服务的可能性。与此同时,语音生物识…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 96 次查看
它的攻击目标主要是一些国外大型企业与机构,从这些大型企业获得高额的赎金,平均收入为60亿美元。 它能在2.5天内部署勒索软件,这速度比大多数组织都要快。 医疗保健组织是其主要目标之一。 这个活动频繁的勒索软件团伙是FIN12,因使用RYUK勒索恶意软件而为人所知,网络安全公司Mandiant称该组织与去年调查的约20% 的勒索软件攻击有关。 与一些勒索软件攻击组织不同,FIN12迄今为止似乎都是为了赚大钱——而且是很快的。“他们速度太快了。这就是他们的不同之处,”Mandiant 情报分析副总裁John Hultquist如此说道。 Mandiant 表示,FIN12似乎是一个讲俄语的组织,至少自2018年10月以来一直在活动。 FIN12专门从事勒索软件攻击。它与Trickbot团伙关系密切,自2020年2月以来,它在攻击中使用了 Cobalt Strike Beacon 工具,以及Trickbot和Empire工具。 Mandiant 在发布的关于FIN12一份报告中说,FIN12的大多数受害者通常都在北美,但它也向欧洲和亚太地区的组织投放勒索软件。大约20% 的 FIN12受害者是医疗保健组织。 美国政府官员最近一直在制定新的政策举措,以遏制勒索软件网络犯罪。就在本周,美国司法部(DoJ)成立了国家加密货币执法小组(National Cryptocurrency Enforcement Team) ,以打击非法使用加密货币的行为,因为加密货币是勒索软件运营商选择的匿名支付渠道。美国司法部还宣布了“民事网络欺诈倡议”(C…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 112 次查看
在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞,攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8),涉及操作作为工具输入提供的架构文件,以绕过保护并实现代码执行。值得关注的是,问题存在于模式解析函数中,该函数允许对传入的任何输入进行求值和执行,从而导致一种情况,即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包,它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。 JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机,他们输入架构文件来执行Python代码注入,从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理,最好是用任务所需的更具体的API替换eval() call。” 经过该次披露,该漏洞已在Yamale 3.0.8版本中得到纠正。 这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月,Vdoo在PyPi存储库中披露了typosquatted包,发现这些包下载并执行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影响的系统上采集以太坊和Ubiq。 随后,JFrog安全团队发现了另外8个恶意的Python库,这些库被下载了不少于3万次,可以…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 176 次查看
美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。 http://hackernews.cc/wp-content/uploads/2021/10/90bb42cd3cbb121-481x600.png 新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。 据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。 通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。 Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。 通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。 我们深知…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 102 次查看
网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升级新功能。上传到VirusTotal的样本表明,可能最早在2020年5月,利用该威胁的入侵就发生了。 Avast和Lacework实验室正在追踪同样的恶意软件,其代号是HCRootkit。 ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强,再加上先进的设计和较低的攻击次数,都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击,这个恶意软件家族使用修改过的合法二进制文件,这些二进制文件被用以加载进一步的组件。事实上,为了隐藏它的存在,FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用,而且持续时间按比较长。” FontOnLake的工具集包括三个组件,包括木马版本的合法Linux实用程序,该程序用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统,在网络上秘密执行命令,并窃取帐户凭证。 http://hackernews.cc/wp-content/uploads/2021/10/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20211009103…
CHT丨情报收集的最后回复, -
- 0 篇回复
- 111 次查看
http://hackernews.cc/wp-content/uploads/2021/10/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20211009111555-600x338.jpg 美国媒体集团考克斯媒体集团(CMG)证实,该公司在2021年6月受到了勒索软件攻击,导致电视直播和广播流中断。 该公司昨天向800多名受影响的用户发送了数据泄露通知邮件,并在邮件中承认了这次攻击,据信这些用户的个人信息在这次攻击中可能被泄露。7月30日,该组织首先通过电子邮件通知了可能受影响的用户。 CMG表示:“在2021年6月3日,CMG经历了一次勒索软件事件,其中,一小部分服务器被恶意威胁者加密。” “CMG在同一天发现了这一事件,当时CMG发现某些文件被加密了,无法访问。” CMG在发现攻击后立即关闭了系统,并在外部网络安全专家的帮助下开始调查,并向联邦调查局报告了该事件。 自6月份的勒索软件攻击以来,CMG没有发现任何证据表明该事件导致了账户盗窃、欺诈或经济损失。 在攻击期间暴露的个人信息包括姓名、地址、社会安全号码、财务账号、健康保险信息、健康保险单号码、医疗状况信息、医疗诊断信息和在线用户凭证。 “CMG没有支付赎金或提供任何资金给此次事件的威胁行动者。”CMG称“自2021年6月3日以来,CMG的平台中没有发现任何恶意活动。” 事故发生后,该公司还采取了一些措施来提高系统的安全性,以检测和阻止进一步的入侵企图。 CMG解释说:“这些步骤包括多因素认证协议、执行全企业密码重置、部署额外…
CHT丨情报收集的最后回复,