HACK1949
领袖
-
注册日期
-
上次访问
HACK1949 发布的所有帖子
-
Welcome to Pages! Pages extends your site with custom content management designed especially for communities. Create brand new sections of your community using features like blocks, databases and articles, pulling in data from other areas of your community. Create custom pages in your community using our drag'n'drop, WYSIWYG editor. Build blocks that pull in all kinds of data from throughout your community to create dynamic pages, or use one of the ready-made widgets we include with the Invision Community. View our Pages documentation -
通过和 JSOF Research 合作,网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞–NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈(FreeBSD,Nucleus NET,IPnet 和 NetX)的 9 个漏洞组合,对域名系统(DNS)实现有关,会导致拒绝服务(DoS)或远程代码执行(RCE),允许攻击者控制或者宕机目标设备。 这些漏洞影响的TCP/IP堆栈包括但不限于: FreeBSD(影响版本:12.1)-BSD系列中最流行的操作系统之一。 IPnet(影响版本:VxWorks 6.6)-最初由Interpeak开发,现在由WindRiver维护,并由VxWorks实时操作系统(RTOS)使用。 NetX(影响版本:6.0.1)-ThreadX RTOS的一部分,现在是Microsoft维护的一个开源项目,名称为Azure RTOS NetX。 Nucleus NET(影响版本:4.3)-由西门子业务MentorGraphics维护的Nucleus RTOS的一部分,用于医疗、工业、消费类、航空航天和物联网设备。 http://hackernews.cc/wp-content/uploads/2021/04/19fa6da1ca89fb7.jpg 攻击者可以利用NAME:WRECK漏洞窃取敏感数据、修改或使设备脱机以对制造行业中的政府或企业服务器、医疗机构、零售商或公司造成重大安全事故。攻击者还可以利用这些漏洞篡改住宅或商业场所的智能设备,以控制供暖和通风、禁用安全系统或篡改自动照明系统。 http://hackernews.cc/wp-content/uploads/2021/04/4ebcd074e0d023d.jpg 这些漏洞的细节将会在今年 5 月第 1 周召开的信息安全会议 Black Hat Asia 2021 上介绍。根据 Forescout 的研究人员的说法,医疗保健和政府组织是最容易受到所有三个 TCP/IP 堆栈的影响。不祥的是,Forescout 的粗略估计显示,多达 1 亿台或更多的设备可能受到 NAME:WRECK 的影响。 要完全防止这些易受攻击的TCP/IP堆栈版本,需要对设备打补丁,而在报告认为这并不太可能实现,有时甚至是困难的。这是因为所需的努力可能会发生 “巨大的变化”,这取决于有关设备是标准的 IT 服务器还是物联网设备。 http://hackernews.cc/wp-content/uploads/2021/04/ea133e4052f9af1.png (消息及封面来源:cnBeta)
-
外媒 TechCrunch 报道,在线杂货配送初创公司 Mercato 在今年 1 月发生了用户数据泄露事件,导致数万用户的个人隐私被窃取。导致泄漏的原因是公司托管在亚马逊云端的一个云存储桶被攻击,且没有受到保护。在事件发生之后该公司只是修复了这些数据,但没有向用户发出提醒。 http://hackernews.cc/wp-content/uploads/2021/04/c19fa6fcfddef22.jpg Mercato 成立于 2015 年,主要帮助超过 1000 家小型杂货店和专业食品店提供取餐和配送服务,用户不需要注册 Instacart 或亚马逊 Fresh 等送货服务。Mercato 在波士顿、芝加哥、洛杉矶和纽约开展业务,并在这些地区设有办公场所。 根据外媒 TechCrunch 获得的一份数据副本,该副本中包含了 7 万份订单,时间是在 2015 年 9 月至 2019 年 11 月的,包括了客户姓名和电子邮件地址、家庭地址和订单详情。每条记录还有用户用于下单的设备的 IP 地址。该数据集还包括公司高管的个人资料和订单细节。 目前还不清楚安全漏洞是如何发生的,因为亚马逊云上的存储桶默认是私有的,也不清楚公司是什么时候得知这一曝光事件的。公司需要向州检察长披露数据泄露或安全漏洞,但在法律要求的地方,比如加州,还没有发布通知。该数据集在加州有超过 1800 名用户,是该州数据泄露通知法规定的触发强制披露所需人数的三倍多。 (消息及封面来源:cnBeta)
-
一封由Facebook意外泄露给记者的内部邮件显示,该公司有意将最近发生的一起数据泄露事件定为 “正常化 “和 “广泛的行业问题”。脸书最近一直处于数据泄露争议的中心。本月早些时候,Hudson Rock的研究人员透露,属于大约5.33亿Facebook用户的信息被发布到网上,包括电话号码、Facebook ID、全名和出生日期。 这家社交媒体巨头证实了这些 “旧 “数据的泄露,这些数据是在2019年收集的。该平台存在一个功能问题,现在已经修复。 数据泄露和随后在网上发布的用户数据引起了广泛的批评,4月14日,爱尔兰数据保护委员会(DPC)表示,它计划发起一项调查,以确定GDPR法规和/或2018年数据保护法是否被Facebook侵犯。现在,一封泄露给媒体的内部邮件有可能揭示了Facebook希望如何处理这种打击。本月,《数据新闻》编辑Pieterjan Van Leemputten向Facebook发出了若干询问,要求提供关于数据搜刮事件的最新情况,并进一步澄清有关违规时间线。然而,Facebook不小心将该记者纳入了一个内部电子邮件讨论线程中。 在ZDNet看到的4月8日发给欧洲、中东和非洲地区公关人员的原始电子邮件中,Facebook的团队概述了处理数据窃取事件报道的总体 “长期战略”。Facebook表示,假设新闻量继续下降,我们不打算就这个问题发表额外的声明,但从长远来看,我们预计会有更多的数据泄露事件发生,并认为重要的是将其作为一个广泛的行业问题,并将这种经常发生的事实正常化。为了做到这一点,Facebook团队建议在未来几周内发布一个后续帖子,更广泛地讨论Facebook反数据泄露工作,并提供更多关于我们在这一领域所做工作的透明度,”虽然这可能反映了大量的数据泄露活动,但Facebook希望这将有助于使这种活动正在进行的事实正常化,并避免批评Facebook对特定事件的不透明。 该线程还包括围绕该事件的现有全球报道清单,如ZDNet、CNET、Graham Cluley、路透社、《卫报》和《华尔街日报》等,以及被认为是 “值得注意 “的推文,以及Twitter上的提及次数的统计。 (消息及封面来源:cnBeta)
-
在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。 http://hackernews.cc/wp-content/uploads/2021/04/096959acbe92bbe.jpg 但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题。 这些修复措施被列为本月周二发布的补丁的一部分,一同到来的KB5001330和KB5001337更新主要负责卸载Windows 10中的微软Edge的传统版本。但这些Windows 10的更新,一如既往地是一把双刃剑。 不幸的是,虽然这些更新解决了不可否认的破坏性NTFS问题,但它们也给人们带来了其他问题,包括性能下降和访问共享文件夹时出现问题。在安装了Windows 10的相关更新后,试图访问有问题的路径时,会出现与Insiders构建版21322测试期间相同的消息,即” 该目录名称无效”。 有关该漏洞的更多细节,可在微软安全响应中心找到: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28312 (消息及封面来源:cnBeta)
-
美国联邦调查人员正在探查总部位于旧金山的软件审计公司Codecov的黑客入侵事件,该公司表示,该事件影响了其2.9万名客户中数量不详的客户,这可能引发大量公司发生连锁数据泄密事件。 Codecov在一份声明中说,黑客在1月31日开始篡改其软件,该软件在整个科技行业被用来帮助测试代码的错误和漏洞。 http://hackernews.cc/wp-content/uploads/2021/04/afd906035b92ac0.png 然而,Codecov表示,直到本月早些时候,一位精明的客户发现该工具有些不对劲,才发现了这一入侵事件。虽然事件的后果尚不清楚,但这次入侵事件与最近德克萨斯州软件公司SolarWinds被俄罗斯黑客入侵事件相提并论,一是因为这次入侵事件可能对许多使用Codecov的机构产生后续影响,二是因为被篡改的软件在流通中的时间太长。 该公司在其网站上表示,它有2.9万家客户,包括消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC。 宝洁、GoDaddy和《华盛顿邮报》没有立即回复寻求评论的信息。Atlassian表示,它知道这一情况,正在进行调查,并且还没有发现任何证据表明其受到了影响。 以色列源代码保护公司Cycode的Dor Atias表示,Codecov使用场景广泛,”大企业、小公司和开源工具都在使用”。入侵Codecov意味着 “你可以从很多大公司获得大量数据,”他说。”这是很大件事。” Codecov表示,联邦政府正在对此事进行调查期间拒绝对其事进行详细说明。联邦调查局和国土安全部的网络安全部门周五均没有立即回复置评要求。 (消息及封面来源:cnBeta)
-
Bleeping Computer 报道称,近期通过假冒微软商店、Spotify 和在线文档转换等网站的恶意软件活动有大幅增长的趋势。ESET 威胁检测实验室负责人 Jiri Kropac 在接受采访时称:这些站点旨在向受害者分发恶意软件,以窃取保存在 Web 浏览器中的信用卡和密码等隐私信息。ESET 已经留意到了相关情况、并且正在对此展开持续监测,同时在 Twitter 上发出了相关警告。 http://hackernews.cc/wp-content/uploads/2021/04/dc1fd6996699f34.png Jiri Kropac 指出,此类攻击多通过恶意广告的形式传播,以将之伪装成看似合法的应用程序。比如在某个案例中,攻击者就伪造了微软的国际象棋 App 下载页面。 但当用户点击广告时,其实会被带到精心编造的页面,然后欺骗受害者下载货不对板的“xChess 3”游戏。 http://hackernews.cc/wp-content/uploads/2021/04/b57a1ab2b87b711.png 该程序会自动从亚马逊 AWS 服务器下载名为“xChess_v.709.zip”的压缩包,但本质上是重新封包的“Ficker”(或 FickerStealer)恶意软件。 作为一款被 ESET 定义为 [VirusTotal] 的恶意软件,其目标是窃取用户的机密信息(详见 Bleeping Computer 分享的 Any.Run 演示)。 http://hackernews.cc/wp-content/uploads/2021/04/2fc725d2ce701d9.png 本轮恶意软件攻击的第二个冤大头是 Spofity,该恶意软件会将自己伪装成流媒体音乐播放器(或在线文档转换器)。 在用户误点击了所谓“登录页面”的广告之后,它会自动下载包含 Ficker 的 .zip 恶意软件压缩包。 若用户粗心地选择了解压、并启动了可执行文件,Ficker 恶意软件就会被唤醒、并开始窃取存储在计算机上的相关数据。 http://hackernews.cc/wp-content/uploads/2021/04/bf70452deb63a56.png 据悉,Ficker 是一款信息窃取木马,最初于今年 1 月在俄语黑客论坛上公布,当时开发者开始向其它威胁参与者叫卖该恶意软件。 由原贴描述可知,恶意软件开发者详细介绍了 Ficker 的相关功能,并允许他人进行长短期的租赁(短则一周、多则半年)。 http://hackernews.cc/wp-content/uploads/2021/04/a59c96403d39d74.png 通过该恶意软件,攻击者可在 Web 浏览器、桌面消息传递服务(Pidgin / Steam / Discord)和 FTP 客户端中窃取保存的凭据。 此外恶意软件开发者西环城 Ficker 能够窃取 15 款以上加密货币的钱包,以及受害者计算机上运动的活动应用程序截图和相关文档。 最后,收集到的相关信息会被编译成一个 .zip 压缩文件并回传,以便攻击者能够提出数据并用于其它恶意活动。 综上所述,考虑到 Ficker 恶意软件的广泛功能,ESET 建议受害者们应立即更改其线上服务的密码、检查防火墙以揪出可疑的端口转发规则、并对计算机进行彻底的反病毒扫描,以检查系统中是否存在其它恶意软件。 (消息及封面来源:cnBeta)
-
据外媒The Record报道,REvil勒索软件的运营商要求苹果公司支付赎金,以避免其机密信息在暗网中遭泄露。REvil团队声称,他们是在对广达电脑公司进行网络攻击后掌握了苹果产品的数据,广达电脑公司是全球第一大笔记型电脑研发设计制造公司,也是根据预先提供的产品设计和原理图组装苹果官方产品的公司之一。REvil团伙在一个暗网门户网站上发布的信息中说,广达公司拒绝付款以取回其被盗的数据,因此,REvil运营商现在决定转而对付该公司的主要客户。 http://hackernews.cc/wp-content/uploads/2021/04/74b5fb3b3f38fe1.png REvil团伙发布了21张描述MacBook原理图的截图,并威胁说每天都会发布新的数据,直到苹果或广达支付赎金要求。 此外,该勒索软件团伙还暗示,其他公司的数据也可能被泄露到网上。“我们的团队正在与几个大品牌协商出售大量的机密图纸和数千兆字节的个人数据,”REvil运营商写道。“我们建议苹果公司在5月1日前买回可用数据。” http://hackernews.cc/wp-content/uploads/2021/04/5e9b1c07c276259.jpg 广达电脑公司的已知客户包括一些世界上最大的笔记本电脑供应商,如惠普、戴尔、微软、东芝、LG、联想和许多其他公司。 一位熟悉广达谈判的消息人士说,REvil团伙要求的赎金为5000万美元,与他们上个月向笔记本电脑制造商宏基要求的金额相似。目前还不清楚REvil团伙现在期望从苹果公司得到多少钱。 这次勒索企图的时间安排与苹果公司宣布新产品和软件更新的Spring Loaded活动相吻合,以获得最大的知名度。 Dmitry Smilyanets是Recorded Future的威胁情报分析师,他告诉The Record,REvil的公共发言人,一个绰号为UNKN的人,在周日的论坛帖子中暗示了周一的公告,称今天的泄密是 “有史以来最引人关注的攻击”。 http://hackernews.cc/wp-content/uploads/2021/04/8d53f984a89bfb2.png Smilyanets告诉The Record,这也是赎金软件团伙在被攻击的公司拒绝支付赎金费用后,公开向受害者的客户提出赎金要求的第一个重大事件。这是双重勒索中的一种新方法,即威胁者在与主要受害者谈判赎金未果后,与受影响的第三方进行接触。 苹果公司表示,它正在调查这一事件,目前没有什么消息可以分享。The Record无法联系到广达电脑公司的发言人进行评论,一位接听电话的人要求第二天再打电话。 两家公司仍极有可能淡化这一事件,并将被盗数据归类为非敏感信息。 周二泄露的文件显示了Macbook笔记本电脑的原理图,其中没有一个是特别敏感的,似乎也不包括组装信息和技术细节以外的内容。其中一个文件的日期是2021年3月9日,但不清楚所描述的产品是新产品还是只是更新的技术规格。 虽然广达被认为是世界上最大的笔记本电脑制造商,但第二家,同为中国台湾公司的仁宝在2020年11月遭遇了自己的勒索软件事件,当时它的一些文件被DoppelPaymer勒索软件团伙盗取,内部网络被加密。 (消息及封面来源:cnBeta)
-
本月早些时候,有人在黑客论坛上放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏,但表示不会通知在该漏洞中受到影响的用户。 虽然 Facebook 表示已经修复了之前允许黑客从该社交平台上刮取数据的漏洞,不过一名安全研究人员发现了另一个漏洞。该漏洞允许黑客从 Facebook 上刮取电子邮件地址。 在与 Motherboard 分享的一段视频中,该人士指出 如果用户将其隐私设置为“Only Me”以外的其他选项,那么用于利用该漏洞的工具就可以刮取电子邮件地址。此外,该人士还指出,该漏洞已经被报告给了 Facebook,但他们并没有修复。 http://hackernews.cc/wp-content/uploads/2021/04/915cef967583b27.jpg 作为回应,Facebook 试图将其定位为小事件,也承认该漏洞尚未得到修复: 看来,我们在将该漏洞赏金报告转给相关团队之前,错误地关闭了该报告。我们感谢研究人员分享信息,并正在采取初步行动来缓解这个问题,同时我们也在跟进以更好地了解他们的发现。 安全研究员和网络安全情报公司Hudson Rock的首席技术官Alon Gal分享了有关该漏洞的更多信息,包括一个概念验证视频,显示如何从 Facebook 上提取用户的电子邮件地址。 (消息及封面来源:cnBeta)
-
据外媒报道,美国第二大汽车保险公司Geico最近遭遇了数据泄露事故。Geico在提交给美加州总检察长办公室的一份通知中披露,今年1月21日至3月1日期间公司内部发生了一起安全事故。不幸的是,这个持续了一个多月的漏洞似乎暴露了一些Geico客户的驾照号码,但数量不详。 考虑加州法律的规定,即任何个人或企业如果因一次违规行为而被要求向500多名加州居民发出安全违规通知时必须向州检察长办公室提交一份通知,这就意味着Geico的这一安全事故至少有波及到500多名客户。 http://hackernews.cc/wp-content/uploads/2021/04/85b489dcef6e5ac.png Geico怀疑客户的驾照号码可能会被用于特定目的。该公司告诉客户,它“有理由相信这些信息可能会被人以你的名义欺骗性地申请失业福利。”不过目前还不清楚潜在的犯罪分子可能能走多远,因为美国许多州要求在申请失业救济金时还需要出示政府身份证,而不只是一串数字即可。“在GEICO一意识到这个问题,我们就对受影响的网站进行了保护并努力查明事件的根本原因,”GEICO在跟客户就这一事件的沟通中补充说道,“虽然常规情况下我们已经保持了高度的安全和隐私标准,但我们还实施了–并将继续实施–额外的安全增强措施以帮助防止我们网站上未来的欺诈和非法活动。” (消息及封面来源:cnBeta)
-
援引《华尔街日报》本周三报道,美国司法部已经成立了一个新的工作组,专门针对美国日益增长的勒索软件威胁。在报道中指出,新成立的工作组将会和诸多私营企业、国际合作伙伴进行合作,破坏勒索软件的分销链。 在报道中分享了本周发布的一份内部备忘录,代理副司法部长约翰·卡林正寻求使用多管齐下的方法来破坏勒索软件的勒索计划。美国司法部也能努力捣毁那些支持攻击的数字商店、勒索软件活动背后的托管服务,以及黑客可以找到出售勒索软件的在线论坛。 监督该工作组的 Carlin 向《华尔街日报》透露:“无论从哪个角度来看,2020 年都是有史以来最糟糕的一年,尤其是涉及到勒索软件和相关勒索事件。如果我们不采取行动,这个原本就很糟糕的问题将会变得更加糟糕”。 (消息及封面来源:cnBeta)
-
援引《华盛顿邮报》报道,为了帮助寻找网络漏洞美国国防部已将大约 1.75 亿个 IP 地址池交给佛罗里达州的一家小公司控制。美国五角大楼发言人向《邮报》透露,作为试点工作的一部分已经于 1 月 20 日将这些 IP 地址交由 Global Resource Systems 公司管理,目的是“识别潜在的漏洞”和“防止未经授权使用国防部 IP 地址空间”。 这些 IP 地址依然归属于美国国防部。根据《邮报》报道,Global Resource Systems 公司成立于去年 9 月,暂时没有找到关于该公司任何其他联邦合同或任何面向公众的网站。这一举措显然是由五角大楼内一个名为 Defense Digital Service 的小组负责的,该小组为军队解决问题并进行技术实验。该小组直接向国防部长报告。 Global Resource Systems 公司到底负责为国防部做什么还不得而知,但《邮报》发现它向国防部的 IP 地址发送了 “互联网流量的消防水管(fire hose)”。一位安全专家推测,这可能会给国防部提供有关攻击者如何在线操作的信息,以及任何需要修复的可能的错误配置。 (消息及封面来源:cnBeta)
-
一个针对全球QNAP设备的大规模勒索软件活动正在进行中,用户发现他们的文件现在存储在有密码保护的7zip档案中。 该勒索软件被称为Qlocker,于2021年4月19日开始针对QNAP设备。根据BleepingComputer Qlocker支持专题中受害者的报告,攻击者使用7-zip将QNAP设备上的文件转移到有密码保护的档案中。当文件被锁定时,QNAP资源监控器会显示许多 “7z “进程,这是7zip的命令行可执行程序。 当勒索软件完成后,QNAP设备的文件将被存储在有密码保护的7-zip档案中,以.7z为扩展名。要提取这些档案,受害者将需要输入一个只有攻击者知道的密码。QNAP设备被加密后,用户会收到一个txt赎金说明,其中包括一个独特的客户密钥,受害者需要输入该密钥来登录赎金软件的Tor支付网站。 从BleepingComputer看到的Qlocker赎金说明来看,所有受害者都被告知要支付0.01比特币,约合557.74美元,以获得存档文件的密码。在支付赎金并输入有效的比特币交易ID后,Tor支付网站将显示受害者的7Zip档案的密码。今天凌晨,安全研究员Jack Cable联系了BleepingComputer,说他在Qlocker Tor网站发现了一个漏洞,允许用户免费恢复他们的7zip密码。 利用这个漏洞,受害者可以从一个已经付款的人那里获得一个比特币交易ID,并稍作修改。当他们向Qlocker Tor网站提交修改后的交易ID时,该网站接受它作为付款并显示受害者的7zip密码。昨晚,Jack Cable一直在私下里帮助人们恢复他们的密码,并且正在与EMSIsoft安排建立一个帮助系统,以更好地利用这一弱点。 可悲的是,在安全人员了解到这个漏洞的一个小时后,勒索软件运营者抓住了这个漏洞并进行了修复。因此现在如果没有密码,就没有办法恢复文件,而密码已经无法免费取回了。 (消息及封面来源:cnBeta)
-
美国白宫负责应对大规模 SolarWinds 黑客事件的最高官员表示,拜登政府针对俄罗斯的全面措施本身不太可能阻止莫斯科针对美国的恶意网络活动,而且没有否认发起大规模漏洞的黑客仍然潜伏在美国网络中的可能。 在接受 CNN 采访的时候,副国家安全顾问安妮·纽伯格(Anne Neuberger)表示将俄罗斯黑客驱逐出美国政府网络并对他们的恶意行为进行全面评估,需要时间、更全面的对话以及对美国网络安全的根本变化。 在拜登政府首次指责俄罗斯的外国情报机构对美国政府网络进行了有史以来最严重的破坏后一周,Neuberger 没有否认这些黑客仍然在美国网络中活跃,并明确表示她还没有看到俄罗斯在网络空间的恶意行为有重大改变。 两位熟悉SolarWinds漏洞内部调查的消息人士告诉CNN,尽管政府努力修补被利用的漏洞,但来自俄罗斯 SVR 情报机构的黑客可能仍然保持对美国网络的访问。其中一个消息源表示:“我不相信他们已经离开了,他们仍在哪里,可能正在筹划和进行着各种活动”。 在被问及情况是否真的如此时候,Neuberger 表示需要对 SVR 进行全面的“评估”。她表示:“想要真正塑造一个国家对网络的掌控力,你必须要摸清他们对价值和成本的计算。SVR 是一个复杂、持久的行为者。他们作为俄罗斯情报收集的一部分,作为其恶性影响任务的一部分,发挥着作用。而我们知道,要塑造这种计算方式,不会只是一个行动”。 曾在特朗普政府时期担任国家安全局网络安全负责人的 Neuberger 说:“SolarWinds 的漏洞促使拜登政府进行了为期两个月的审查,发现整个联邦政府的网络安全存在‘重大漏洞’,这是一个‘令人不快’的惊喜”。Neuberger 说:”显然,我们之前的战略没有发挥作用,因为我们看到[俄罗斯]网络活动的增长。 (消息及封面来源:cnBeta)
-
一个旨在窃取密码、银行资料和其他敏感信息的恶意软件正在 Android 平台上快速传播。这款恶意软件名为 FluBot,通过声称来自某家快递公司的短信进行安装,要求用户点击一个链接来追踪某个包裹。这个钓鱼链接要求用户安装一个应用程序来跟踪假的快递,但实际上会窃取用户的敏感数据。 一旦安装,FluBot 还可以访问受害者的通讯录,允许它将受感染的短信发送给他们所有的联系人,进一步传播恶意软件。英国国家网络安全中心(NCSC)已经发布了关于如何识别和删除FluBot恶意软件的安全指南,而包括Three和Vodafone在内的网络供应商也已经就短信攻击向用户发出警告。 最常见的就是来自 DHL 的信息,此外包括亚马逊、Asda、Argos 也有用到。如果安卓用户点击该链接,他们会被带到一个网站,该网站将把用户带到一个第三方网站,下载一个恶意的APK文件(安卓软件包文件)。这些文件通常在默认情况下被阻止,以帮助保护安卓用户免受攻击,但假网站提供了如何绕过这些保护措施并允许 FluBot 被安装的信息。 一旦安装,FluBot 获得所有必要的权限,以访问和窃取敏感信息,包括密码、网上银行细节和其他个人信息,以及将自己传播给他人的能力。正是这种利用联系信息的机制使 FluBot 的传播如此迅速。 NCSC 警告收到诈骗短信的用户不要点击短信中的链接,如果有提示也不要安装任何应用程序。相反,他们被敦促将该信息转发到7726,一个由电话运营商提供的免费垃圾邮件报告服务–然后删除该信息。 (消息及封面来源:cnBeta)
-
据外媒报道,恶意软件的所有者似乎找到了一种新方法来欺骗用户安装他们的软件,并且不幸的是,Google还在其中帮了忙。日前,安全研究员Oliver Hough发现黑客创建了一个伪造的DirectX 12下载网站,它看起来完全拥有安全证书、隐私政策、免责声明、DMCA政策等让人们相信它是真的内容,但它却会推送恶意软件扫描用户的电脑以获取私人信息。 这些信息包括桌面截图、个人电脑详细信息、缓存,重要的是还可能包含用户拥有的任何加密货币钱包。据悉,恶意软件会搜索Ledger Live和Waves.Exchange、Coinomi、Electrum、Electron Cash、BTCP Electrum、Jaxx、Exodus、MultiBit HD、Aomtic和Monero。 这些信息随后被会保存在一个临时目录中并上传到黑客的网络上。 据悉,黑客们一直在使用被他们攻击的网站然后将其链接到他们的虚假网页,这显然能帮助提高该网页在Google上的搜索排名,而这会诱骗更多的用户点击他们的虚假下载链接。 因此,越来越重要的是,用户在搜索要下载的软件时要更加警惕,如在Google中输入Spotify下载,那么在下载前一定要仔细检查页面的凭证和URL,而不是假定页面第一个跳出的链接就是合法的。 外媒指出,理想情况下,用户应该坚持使用内置在个人电脑中的官方应用商店。 (消息及封面来源:cnBeta)
-
一个上周从苹果供应商广达电脑公司盗取原理图并威胁要公布文件库的勒索软件集团已神秘地从其暗网博客上删除了所有与勒索企图有关的内容。被称为REvil的勒索软件集团上周二声称,它已经进入了广达公司的内部电脑,并设法获得了一些未发布的苹果产品的图像和原理图。 http://hackernews.cc/wp-content/uploads/2021/04/74b5fb3b3f38fe1-1.png http://hackernews.cc/wp-content/uploads/2021/04/5e9b1c07c276259-1.jpg 该组织最初要求广达支付5000万美元以恢复这些文件。然而,根据该黑客组织网站4月20日发布的声明,广达公司拒绝支付赎金,这导致犯罪分子转而向苹果公司要钱。 为了证明自己入侵了广达公司的服务器,也为了加大对苹果公司的压力,黑客们公开发布了一些描述未发布产品原理图的图片,包括苹果公司未发布的下一代MacBook的细节。 该组织威胁要在5月1日前每天发布新的数据,除非苹果支付5000万美元的赎金以换取删除文件。 http://hackernews.cc/wp-content/uploads/2021/04/f0edfd65e79b960.png 这次勒索企图的时间点与苹果公司4月20日的 “Spring Loaded”线上发布会活动相吻合,当时苹果公司宣布了AirTag物品追踪器、新iPad Pro型号和新iMacs。然而,尽管有这样的威胁,自从最初的要求被公开以来,没有更多的被盗文件被泄露到网上。 从历史上看,REvil并不以虚张声势著称,如果受害者不付钱,它通常会真的发布被盗的文件,所以不清楚为什么该组织这次没有跟进,而且苹果至今没有对这一漏洞发表评论。促使该组织删除所有与勒索企图有关的内容的原因仍然不明,但如果我们了解到更多信息将带来更多报道。 (消息及封面来源:cnBeta)
-
近日,Babuk Locker 勒索软件团伙在网站上曝光了哥伦比亚大都会警察局的内部服务器文件,威胁如何不支付赎金,就释出警方调查和线人的相关信息。华盛顿特区警察局公共发言人 Sean Hickman 在致外媒 The Record 的一封电子邮件中称,其已知晓内部文件服务器上发生了未经授权的访问。 http://hackernews.cc/wp-content/uploads/2021/04/91aafe1b657af6e.png 截图表明勒索软件团伙已取得警方调查报告、警员纪律、本地帮派、面容照片、以及管理文件的访问权限,Babuk Locker 宣称其从特区警察局服务器上拖走 250GB 以上的数据。 现该组织给警局提供了三天时间,以回应它们的赎金要求。如若不然,Babuk Locker 将与当地帮派联系并曝光警方线人。 http://hackernews.cc/wp-content/uploads/2021/04/c542cfb05023149.png 特区警官向 The Record 表示,他们正在调查本次数据泄露事件,并且邀请了联邦调查局来协助,以确定影响的严重程度。 至于 Babuk Locker,该团伙似乎是当下最活跃的勒索软件组织之一。 http://hackernews.cc/wp-content/uploads/2021/04/59fe66fb9a54fbe.png 据悉,Babuk Locker 于 2021 年 1 月开始冒头,并且已经对某些大型企业造成了打击,比如西班牙连锁手机零售商 Phone House、以及 NBA 休斯顿火箭队。 其特点是能够对 VMware eSXI 共享虚拟磁盘驱动器上的文件进行加密,目前只有 Darkside 和 RansonExx 和该组织一样能够达成。 http://hackernews.cc/wp-content/uploads/2021/04/057ee6f7456eca1.png 安全公司 EMSIsoft 上周警告称,这项功能经常遇到问题,且可能导致勒索软件对受害者的文件造成永久性的破坏。 几天后,Babuk Locker 团队在某个黑客论坛的一篇帖子上作出了回应,宣称它们已经修复了该 bug 。 (消息及封面来源:cnBeta)
-
由多家技术公司和执法部门组成的全球联盟正呼吁加强勒索软件打击力度,对其采取“积极而紧迫”的行动。包括微软、亚马逊在内的科技巨头,包括联邦调查局和英国国家犯罪局在内的执法部门加入了Ransomware Task Force (RTF),向政府提供了将近 50 条建议。 http://hackernews.cc/wp-content/uploads/2021/05/9fc82c2b72163a1.jpg RTF 已经将建议相关报告提交给拜登政府。在报告中写道:“这不仅仅严重危金钱,勒索软件在短短几年时间内已经成为威胁国家安全、公共健康的严重安全问题”。 RTF 联合主席、来自网络安全公司 Rapid 7 的 Jen Ellis 表示:“公民每天都受到这一影响。它对经济和普通民众访问关键服务的能力产生了巨大影响。不仅如此,而且非常令人不安的是,来自有偿赎金的资金用于其他形式的有组织犯罪,例如人口贩运和对儿童的剥削”。 伦敦哈克尼区信息与通信技术总监罗布·米勒(Rob Miller)说:“去年10月的一个星期天早晨,我接到电话询问我们的IT系统问题。很快就意识到这是一次严重的网络攻击”。 他表示:“我们不得不将所有东西下线,并关闭所有系统。而我们的希望为超过 30 万公民提供 24/7 全天候服务,这实在令人感到非常担忧。我们知道摆在我们面前的是巨大的挑战,整个理事会必须团结所有部门的力量,以尽快恢复和运行关键服务”。 他继续说道:“造成的损失确实很大,房屋维修,福利金支付和土地登记都受到了影响。距离我们完全康复还需要几个月的时间,而我不明白这背后的罪犯动机”。 (消息及封面来源:cnBeta)
-
隐私分析公司AppCensus周二披露,谷歌和苹果的COVID-19暴露通知应用程序的Android版本有一个隐私缺陷,让其他预装应用程序有可能看到敏感数据,包括某人是否曾与COVID-19检测呈阳性的人接触过。谷歌接到消息后回应称正在准备对该漏洞的修复。 这个漏洞违背了谷歌首席执行官桑达尔-皮查伊、苹果首席执行官蒂姆·库克和许多公共卫生官员的多次承诺,即暴露通知程序收集的数据不能在个人设备之外共享。 据The Markup报道,AppCensus在2月份首次向谷歌报告了这个漏洞,但该公司未能解决这个问题。AppCensus的联合创始人兼取证负责人Joel Reardon告诉The Markup,修复这个问题就像删除几行非必要的代码一样简单。”Reardon说:”明明有很简单的修复方法,我很惊讶他们没有这么做。” 谷歌发言人José Castañeda在给The Markup的一份电子邮件声明中说:”我们被告知一个问题,即蓝牙标识符暂时可以被特定的系统级应用程序用于调试目的,我们立即开始推出一个解决方案来解决这个问题。” 曝光通知系统的工作原理是在用户的手机和其他激活了该系统的手机之间ping出匿名的蓝牙信号。然后,如果有人使用该应用程序对COVID-19检测呈阳性,他们可以与卫生部门合作,向任何有相应信号记录在手机内存中的手机发送警报。 http://hackernews.cc/wp-content/uploads/2021/04/b6843416d7210d3.pnghttp://hackernews.cc/wp-content/uploads/2021/04/be72f7198cf848f.png http://hackernews.cc/wp-content/uploads/2021/04/36a4c9734114038.png 在Android手机上,追踪数据被记录在特权系统内存中,手机上运行的大多数软件都无法访问。但是,制造商预装的应用程序有特殊的系统权限,可以让它们访问这些日志,从而使敏感的联系人追踪数据处于危险之中。但是,目前没有迹象表明任何应用程序实际收集了这些数据。 预装的应用程序以前曾利用过它们的特殊权限,有调查显示,它们有时会收集地理位置信息和手机联系人等数据,但该分析报告没有发现iPhone上的曝光通知系统有任何类似的问题。 AppCensus的首席技术官Serge Egelman在Twitter上发表的一份声明中说,这个问题是一个实施上的问题,而不是曝光通知框架所固有的bug,但它不应该削弱对公共卫生技术的信任。我们希望带来的教训是,正确处理隐私问题真的很难,系统中的漏洞总是会被发现,但共同努力补救这些问题符合所有人的利益。” (消息及封面来源:cnBeta)
-
据外媒报道,网络安全公司卡巴斯基今日表示,它发现了一个疑似由美国中央情报局(CIA)开发的新恶意软件。卡巴斯基表示,该公司的分析师和其他安全公司在2019年2月收到的“恶意软件样本”中发现了这个恶意软件。 虽然最初的分析没有发现跟任何已知恶意软件样本有任何共享代码,但卡巴斯基最近重新分析了这些文件,结果表示发现这些样本具有在Lambert家族中发现的编码模式、风格和技术的交集。据悉,Lamberts是卡巴斯基用来追踪CIA黑客行动的内部代号。 四年前,维基解密在一系列名为Vault7的泄密中向公众披露了CIA的黑客能力,美国安全公司赛门铁克(Symantec)公开将Vault7黑客工具跟CIA和Longhorn APT(Lamberts另一个行业称呼)联系在一起。 http://hackernews.cc/wp-content/uploads/2021/04/d241ec486fa2311.png 由于这些新发现的样本跟CIA过去的恶意软件有着相似之处,卡巴斯基指出,他们现在正在追踪这个名为Purple Lambert的新恶意软件集群。 根据Purple Lambert元数据,恶意软件样本似乎是在七年前也就是2014年编译的。 卡巴斯基表示,虽然它没有在野外看到任何这些样本,但他们认为Purple Lambert样本很可能早在2014年就已经部署,最晚时间是2015年。 至于这种恶意软件的作用,卡巴斯基对其的描述似乎表明,这种恶意软件是一种后门木马,用来监听网络流量、获取特定的数据包以便在受感染的主机上激活它。 (消息及封面来源:cnBeta)
-
本周,趋势科技(Trend Micro)安全研究人员分享了有关“Panda Stealer”恶意软件的详情。可知除了垃圾邮件、攻击者还选择了将它放入 Excel 文档并通过 Discord 渠道进行传播,以窃取用户的加密货币。由目前上传至 VirusTotal 的样本和调查分析可知,该恶意软件以波及美国、澳大利亚、日本和德国等地,且感染链条通常可追溯到一封网络钓鱼邮件。 http://hackernews.cc/wp-content/uploads/2021/05/d805b7552fb45a8.png 安全研究人员指出,Panda Stealer 会在钓鱼邮件中将自身伪装成企业询价。在欺骗受害者打开了 .XLSM 后缀的文件并启用宏操作后,恶意软件就会尝试下载并执行主窃取程序。 此外 Panda Stealer 还有另一种感染途径,通过在 .XLS 格式的附件中插入一个隐藏了 PowerShell 命令 Excel 公式,恶意软件会在触发后尝试访问 paste.ee 这个网址,以将 PowerShell 脚本引入受害者的系统。 http://hackernews.cc/wp-content/uploads/2021/05/026edbd8f8bb552.png Trend Micro 表示,Visual Basic 中的 CallByName 导出功能,被攻击者用于从 paste.ee 网址调用内存中的 .NET 程序集。 通过 Agile.NET 混淆器加载的程序集,将把合法的 MSBuild.exe 进程掏空,然后用攻击者的有效负载替换(来自另一个 paste.ee 网址的十六进制编码的 Panda Stealer 二进制文件)。 http://hackernews.cc/wp-content/uploads/2021/05/66a93c2cdd611a1.png 下载完成后,Panda Stealer 将检测与以太坊(ETH)、莱特币(LTC)、字节币(BCN)、达世币(DASH)等加密货币有关的钱包密钥和地址。 此外该恶意软件能够屏幕截图、泄露系统数据、以及窃取信息,包括浏览器 Cookie、NordVPN、Telegram、Discord、以及 Steam 账户的凭据。 http://hackernews.cc/wp-content/uploads/2021/05/9e1f3b25148454e.png 通过对攻击链条和恶意软件分发方式的分析,Trend Micro 认为 Panda Stealer 与 Phobos 勒索软件(以及 4 月份报告中提到的 LockBit)存在许多相似之处。 尽管未将该活动归因于特定的网络攻击者,但 Trend Micro 还是顺着命令与控制服务器,反向找到了幕后黑手的 IP 地址、以及从 Shock Hosting 租用的 VPS 服务器(后者已处于被挂起的状态)。 (消息及封面来源:cnBeta)
-
居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知,但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密,且没有任何好友,Pelonton 应用程序接口(API)的这个安全漏洞,还是允许任何人获取用户的私人账户数据。 http://hackernews.cc/wp-content/uploads/2021/05/025b8b5f52aa2f8.jpeg Peloton 的客户群里有许多名人,甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上,该公司还提供了丰富的订阅选项,其中包括了各种各样的课程。 然而 Pen Test Partners 安全研究员 Jan Masters 发现,他竟然能够在未经身份验证的情况下,向 Peloton 的官方 API 提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。 这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。 遗憾的是,尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞,但该公司还是未能在 90 条的标准期限内完成 bug 修复。 除了最初收到的一封确认函,该公司后续的态度也相当消极,只将 API 访问权限设置为仅会员可用。对于攻击者来说,依然能够通过注册月度会员的形式,访问到其他人的各种私密信息。 庆幸的是,在漏洞曝光的压力下,Peloton 终于在近日完成了该漏洞的修复,同时回应称很难向安全人员介绍详细的补救措施。 展望未来,该公司将更积极地与安全研究社区合作,以在收到漏洞报告时作出更快的响应。 (消息及封面来源:cnBeta)
-
随着互联网的普及和不断发展,躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来,我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道,且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁,都使用了欺骗性的电子邮件作为攻击媒介,以诱使受害人在设备上安装恶意软件。 http://hackernews.cc/wp-content/uploads/2021/05/fade575be480946.jpg 今天,软件巨头微软再次发布了面向组织机构的反诈宣传文案,并且强调了已经泛滥成灾的礼品卡骗局。 文中指出,攻击者正在利用企业电子邮件泄露(BEC)。作为一种网络钓鱼技术,其旨在访问企业信息或窃取金钱。 在本例中,攻击者利用了域名抢注,来诱骗受信任误以为发件人是老朋友,且涵盖了房地产、消费品、农业等各个领域。 http://hackernews.cc/wp-content/uploads/2021/05/6bf8d829a1b3b16.png 在一个典型案例中,行政助理收到了一封伪装成其老板的电子邮件,称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作,因而交代行政人员立即采购一批礼品卡,并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后,最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单,但微软还是指出了 BEC 攻击的不同寻常之处。有些时候,攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后,冒名者通常会立即访问特定的站点,以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中,大部分都是在攻击发生数日前抢注的,意味着背后的组织协调性可能也极高。 http://hackernews.cc/wp-content/uploads/2021/05/76590c74e571abe.png 微软补充道:我们注意到这些域名并未启用隐私保护,更谈不上欧盟《通用数据保护条例》(GDPR)的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址(首选 Gmail 等免费邮件服务),且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样,微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击,它还能够鉴别用户和域名、以及增强员工之间的辨识度等。 (消息及封面来源:cnBeta)
-
戴尔固件更新驱动中发现了重大漏洞,能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险,但它仍然是一个重大问题,最近 10 年内推出的数百万台戴尔设备均受到影响。 http://hackernews.cc/wp-content/uploads/2021/05/bf3e9ead03bfc2f.jpg 去年 12 月,研究公司 SentinelLabs 就向戴尔报告了这个漏洞,并发布了包含所有信息的详细博客。此外,来自 Crowdstike 的 Alex Ionescu 说,“3 家独立的公司花了 2 年时间”,才将修复措施落实到位。 该研究公司指出,戴尔分配的一个CVE中存在五个缺陷,其中包括两个内存损坏问题,两个缺乏输入验证的问题,以及一个可能导致DDoS(拒绝服务)攻击的代码逻辑问题。问题存在于 “dbutil_2_3.sys “驱动程序中,该驱动程序用于戴尔和 Alienware系统的多个固件更新工具,包括用于BIOS更新。这些问题在CVE-2021-21551下被追踪。 戴尔已经针对该漏洞发布了安全公告(DSA-2021-088),并为Windows提供了更新包,可以从这里手动下载。另外,固件驱动程序也将通过各种戴尔通知系统提供,这些系统将从 5 月 10 日开始在 Windows 10 设备上提供自动更新。然而,运行 Windows 7 和 8.1 尚处于支持状态的 PC 将在 7 月 31 日才收到它们。 该公司已建议客户和企业采取一些步骤,以减轻缺陷带来的风险。这包括从电脑中删除 “dbutil_2_3.sys “驱动程序,并手动更新驱动程序,或等待自动下载带有更新驱动程序的更新工具。要删除有问题的驱动程序,该公司推荐这两个选项中的一个。 方案 1(推荐)。下载并运行戴尔安全咨询更新 – DSA-2021-088工具。 方案 2:手动删除有漏洞的dbutil_2_3.sys驱动程序。 步骤A:检查以下位置的dbutil_2_3.sys驱动文件 C:\Users\AppData\Local\Temp C:\Windows\Temp 步骤B:选择dbutil_2_3.sys文件,并按住SHIFT键,同时按DELETE键永久删除。 (消息及封面来源:cnBeta)