内容转载

= ̄ω ̄= 内容转载

英国与 COVID-19 有关的网络犯罪数量大幅上升

报告显示,英国与COVID-19有关的网络犯罪数量在上升,与前三年的总和相比,去年被英国网络安全机构破获的骗局更多,而冠状病毒大流行正在助长这种趋势。根据国家网络安全中心(NCSC)的数据,专家们看到,与前一年相比,2020年处理的相关欺诈活动增加了15倍。 这份报告是在为期两天的CyberUK活动前发布的人们的个人信息通过电子邮件和短信,利用官方的COVID-19疫苗推广活动被欺诈性地获取。结果是以英国健保系统NHS品牌为特征的网络钓鱼攻击增加,以欺骗受害者。 此外,43个假的NHS COVID-19应用程序被通报下架,这些应用程序通常在手机官方应用程序商店之外托管。 NCSC的技术总监Ian Levy博士告诉记者,与COVID-19有关的骗局、假疫苗销售、假防疫设备网店的大量增加表明,犯罪分子对他们滥用什么以及他们所引起的恐惧没有任何敬畏之心,只想伤害和欺诈人们。然而,在超过4000个促销活动中,英国税务与海关总署(HMRC)仍然是欺诈者使用最多的复制品牌,其次是政府的gov.uk网站和电视牌照。 根据NCSC的第四次主动网络防御报告,超过700500个欺诈活动被查,其中涉及1448214个欺骗性URL。   (消息及封面来源:cnBeta)

刷好评服务器出现数据泄露 20 多万亚马逊账号恐将清洗

近日,一个开放的数据库揭示了 20 多万人的个人数据,而他们似乎都参加了亚马逊的虚假产品评论计划(刷好评)。虽然亚马逊采取了各种手段遏制刷好评现象,但是各种商家依然会通过各种途径进行刷好评,以便于在和同类产品竞争的时候获得优势。   这其中就包括付钱给个人要求留下好评,或者通过免费物品来换取正面评价。本周四,Safety Detectives 的研究人员在一台开放的 ElasticSearch 服务器上发现了一个 7GB 容量数据的 dump,其中包含了 1300 万条刷评记录。目前尚不清楚这台服务器的主人是谁。 该数据库包含涉及大约 20 万至 25 万用户和亚马逊市场供应商的记录,包括用户名、电子邮件地址、PayPal地址、亚马逊个人资料链接、WhatsApp 和 Telegram 号码,以及乐意提供虚假评论的客户和愿意补偿他们的商人之间的直接信息记录。 根据该团队的说法,这次泄漏可能牵涉到 “20多万人的不道德活动”。该数据库和其中包含的信息揭示了可疑卖家使用的策略。一种方法是,卖家向客户发送一个他们希望得到五星评价的物品或产品的链接,然后客户就会进行购买。几天后,顾客会留下好评,并给卖家发信息,通过 PayPal 付款–可能是 “退款”,或者是物品免费保留。 开放的ElasticSearch服务器在3月1日被发现,但一直无法确定其所有者。然而,泄漏事件被注意到,该服务器在3月6日被保护起来。研究人员表示:“该服务器可能是由代表供应商接触潜在审查者的第三方所拥有[或者]该服务器也可能是由一个拥有多个子公司的大公司所拥有,这可以解释多个供应商的存在。显而易见的是,无论谁拥有服务器,都可能受到消费者保护法的惩罚,无论谁为这些虚假评论付费,都可能因违反亚马逊的服务条款而面临制裁”。     (消息及封面来源:cnBeta)

勒索软件团伙已在暗网上泄露了 2103 家公司数据

自 2019 年以来,勒索软件团伙已经从暗网泄露了 2103 家公司的数据。现代化勒索软件行动始于 2013 年,攻击者的方式主要是对企业数据进行加密,然后要求支付赎金来获得解密。不过自 2020 年年初以来,勒索软件行动开始进行一种新的战术,称为双重勒索(double-extortion)。 双重勒索是指勒索软件在加密网络值钱窃取未加密的文件。然后攻击者会威胁说,如果企业不支付赎金,那么就会在暗网上公开被盗的文件。由于无法恢复加密文件以及数据可能被泄露、政府罚款和诉讼的额外担忧,威胁者寄希望于这将迫使受害者更容易地支付赎金。 一位被称为 DarkTracer 的暗网安全研究员一直在追踪 34 个勒索软件团伙的数据泄露网站,并告诉 BleepingComputer,他们现在已经泄露了 2103 个组织的数据。 DarkTracer 跟踪的 34 个勒索软件团伙是 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、Pysa、AKO、Sodinokibi(REvil)、Ragnar_Locker、Suncrypt、DarkSide。CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname 和 XING LOCKER。 在这 34 个团伙中,最活跃的前 5 名团伙是Conti(338次泄密)、Sodinokibi/REvil(222次泄密)、DoppelPaymer(200次泄密)、Avaddon(123次泄密)和Pysa(103次泄密)。 3 个不再活跃的团体,比前五名中的一些团体有更多的泄漏,它们是 Maze(266次泄漏)和 Egregor(206次泄漏)。 所列的一些勒索软件团伙已不再运作,如NetWalker、Sekhmet、Egregor、Maze、Team Snatch,或改名为新名称,如NEMTY和AKO。数据勒索行业已经成为勒索软件团伙的一个重要盈利点,他们告诉BleepingComputer,受害者更担心他们的数据被泄露,而不是加密文件的丢失。   (消息及封面来源:cnBeta)

网络攻击导致美国一主要燃料管线停运

美国最大的燃料管线之一在遭受网络攻击后被其运营商关闭了。据《纽约时报》报道,为美国东部地区输送45%燃料供应的Colonial管道公司周五晚些时候在一份声明中说,它 “关闭了某些系统以控制威胁,这暂时停止了所有管道的运作,并影响了我们的一些IT系统。” 该管道长5500英里,从墨西哥湾沿岸向纽约输送飞机引擎燃料和精炼汽油,每天运输约250万桶。 目前还不清楚这次攻击是否针对Colonial的工业控制系统,或者是否涉及勒索软件或恶意软件。总部位于乔治亚州阿尔法雷塔的科隆公司表示,它已经聘请了一家 “领先的第三方网络安全公司来调查该事件的性质和范围,并已与执法部门联系。 Colonial Pipeline正在采取措施了解和解决这个问题。目前,我们的首要重点是安全和有效地恢复我们的服务,并努力恢复正常运营。这个过程已经在进行中,我们正在努力解决这个问题,并尽量减少对我们的客户和那些依赖管道的人的影响。 关闭管道不太可能对最终消费者造成直接影响,因为大部分燃料都进入了储油罐,而且美国由于大流行病的影响,能源使用已经减少。但是仍不清楚输油管线可能持续关闭多长时间。   (消息及封面来源:cnBeta)

Linux 技术咨询委员会已完成对 UMN 内核漏洞植入事件的调查

此前为了一个处心积虑的 Linux 安全研究项目,两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后,其立即遭到了 Linux 及安全社区的炮轰。最新消息是,由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会,刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。 作为一名受人尊敬的 Linux 稳定版内核维护贡献者,Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查,且临时禁止了任何与 UMN 有关的提交。 不过随着调查结果的公布,我们通过 Linux 内核邮件公告列表(LKML)知悉,Linux 基金会技术咨询委员会(TAB)领导的高级志愿 Linux 内核维护和开发人员团队,已经正式完成了相关代码的审查。 据悉,与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题,但仍有 39 项被认为需要进一步的修复。 其中 25 项已通过后续提交修复,另有 12 项不再重要。此外 9 项提交早于争议事件发生,还有 1 项已应提交人的要求而被删除。 最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改,这些更改源于两个伪造的提交者身份。 然而此举与公认的 Linux 内核代码贡献准侧背道而驰,且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。 尽管没有曝出新发现的攻击,但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。 正如 Kroah-Hartman 所述,就算影响再小,他们都不允许故意在 Linux 内核中植入后门漏洞。 庆幸的是,针对 Linux 基金会技术咨询委员会提出的大多数请求,UMN 方面都给予了积极的回应,且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。 最后,虽然此事造成了双方信任度的崩塌,但展望未来,只要 UMN 能够切实有效地提供帮助,Linux 社区还是希望再次与该校及其研究人员恢复合作的。   (消息及封面来源:cnBeta)

邮件披露 1.28 亿 iOS 用户受到了 2015 年的 XcodeGhost 恶意软件影响

由 Epic 与苹果在法庭上展开交锋期间披露的电子邮件信息可知,2015 年的时候,共有 1.28 亿 iOS 用户下载了被 XcodeGhost 恶意软件感染的应用程序。当时逃过官方检测的 XcodeGhost,旨在通过挖掘用户数据来牟利。尽管苹果很快采取了行动,但有关 XcodeGhost 攻击影响的完整细节,仍不被外界所知晓。 在本周的 Epic Games 诉苹果 App Store 案件审理期间,我们终于对 XcodeGhost 黑客攻击事件的影响范围有了更清晰的了解。 率先曝光这一系列邮件的 Motherboard 指出:期间共有 1.28 亿用户下载了含有恶意代码的 2500 多款应用程序,且其中约 1800 万用户均位于美国地区。 邮件中还详细说明了苹果是如何努力确定攻击的严重程度,并向受害者发出通知的。 App Store 副总裁 Matt Fischer 说到:由于大量潜在的客户受到了影响,我们是否有必要向所有客户发送电子邮件通知? 请注意,这在电子邮件的语言本地化方面也带来了一些挑战,因为 App 下载发生在全球各个区域的 App Store 市场。 对于此事,时任 iTunes 客户体验经理 Dale Bagwell 表示同意,理由是大规模的通知将极具挑战性。 我们有一款能够发送批量请求的工具,但目前仍处于测试阶段,以确保我们能够正确地向每个用户通报确切的应用程序名称。 不过 Bagwell 也提到了该工具的一些局限性,比如向 1.28 亿人发送大量电子邮件的话,可能需要耗费一周的时间。 最后需要指出的是,尽管 XcodeGhost 恶意软件在 App Store 上非常普遍,但事情并不特别复杂或危险。 当时苹果表示,没有任何信息表明它被用于任何恶意的事情、或收集可识别的个人身份信息。     (消息及封面来源:cnBeta)

明年开始欧盟的微软客户将能够在当地存储他们的所有数据

微软宣布了一项名为 “微软云的欧盟数据边界”的新举措,通过这一做法,微软旨在使欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于该公司的所有核心云服务,即Microsoft 365、Dynamics 365和Azure,这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。 微软将继续与这些组织以及监管机构合作,确保在2022年底前完成实施这一变化的工程工作。 现在,微软大部分在线服务允许用户选择数据存储的地理位置,但在未来几个月,它将进一步加强这些服务,以减少欧盟以外的数据传输,然而,客户仍将有能力利用增强的服务,利用位于欧盟以外的资源。 微软强调,新的欧盟客户不需要等待,其使用到的云服务就已经遵循欧盟执行的准则,使客户能够遵守GDPR,即使没有这个额外的承诺,在欧盟边界内存储和处理数据时,微软也在Schrems II决定后实施了补充措施,以进一步支持数据传输的合规性,这些措施满足并超越了Schrems II决定的要求。与此同时,微软正在进行这些额外的投资,以便在2022年底前在欧盟处理和存储数据。这表明其对欧洲客户的持续承诺,并通过最大限度地减少欧盟边界以外的数据传输来简化后Schrems II的合规性。 欧盟标准合同条款(SCC)用于服务提供商(如微软)和他们的客户之间的协议,以确保任何离开欧洲经济区(EEA)的个人数据将按照欧盟数据保护法进行转移,并满足欧盟数据保护指令95/46/EC的要求。 微软将执行欧盟委员会修订的SCC,并继续为客户提供围绕微软服务范围内个人数据转移的具体保证。这确保了微软的客户可以通过微软云将数据从欧洲经济区自由转移到世界其他地区。如果客户对自家部署的SCC的适用性有具体疑问,应该咨询他们的法律顾问。 该公司已明确表示,它不会让美国政府或任何其他政府访问欧洲数据,并将把所有此类请求转给客户。在可能的情况下,它将把此事送进法庭,并通知客户,除非法律禁止它这样做。同样,如果任何客户数据的披露违反了GDPR,该公司将对受影响的客户进行经济赔偿。 尽管微软从其角度评估了实施这些变化所需的工程和技术努力,但公司表示,它将继续与客户和监管机构协商在特殊情况下可能需要的潜在调整。   (消息及封面来源:cnBeta)

苹果于 2016 年收购了恶意软件检测公司 SourceDNA

Apple Insider 报道称:早在 2016 年,苹果就已经收购了恶意软件检测初创企业 SourceDNA 。但直到其被扯进 Epic Games 诉苹果 App Store 案件,外界才正式获知了这一消息。作为一家初创企业,SourceDNA 打造了一款用于检查应用程序是否存在恶意软件或恶意代码的自动化系统。而在近日的案件审理期间披露的电子邮件表明,苹果于 2015 年产生了收购 SourceDNA 的意向。 苹果应用审查流程高级主管 Trystan Kosmynka 表示,XcodeGhost 引发的问题,让他们提起了收购 SourceDNA 的浓厚兴趣。 作为一款臭名昭著的恶意软件,XcodeGhost 在 2015 年污染了苹果 App Store 上的诸多应用程序。2015 年的时候,SourceDNA 还揭示了第三方开发人员工具的一些违规行为,比如秘密地记录了某些信息。 此外由披露的电子邮件信息可知,这起收购将世界顶尖的工程师兼安全专家创始人 Nate Lawson、及其获得专利的二进制分析和定制的逆向编译器等技术,也纳入了苹果麾下。 最后,在周四的证词中,Trystan Kosmynka 扩展讲述了苹果在 App Store 在应用审核过程中用于捕获恶意软件的相关工具。 在收购了 SourceDNA 之后,他们利用这家初创企业的相关技术,重新打造了一款较新的工具。   (消息及封面来源:cnBeta)

数百万 PC 受影响 戴尔正修复固件更新驱动中的重大漏洞

戴尔固件更新驱动中发现了重大漏洞,能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险,但它仍然是一个重大问题,最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月,研究公司 SentinelLabs 就向戴尔报告了这个漏洞,并发布了包含所有信息的详细博客。此外,来自 Crowdstike 的 Alex Ionescu 说,“3 家独立的公司花了 2 年时间”,才将修复措施落实到位。 该研究公司指出,戴尔分配的一个CVE中存在五个缺陷,其中包括两个内存损坏问题,两个缺乏输入验证的问题,以及一个可能导致DDoS(拒绝服务)攻击的代码逻辑问题。问题存在于 “dbutil_2_3.sys “驱动程序中,该驱动程序用于戴尔和 Alienware系统的多个固件更新工具,包括用于BIOS更新。这些问题在CVE-2021-21551下被追踪。 戴尔已经针对该漏洞发布了安全公告(DSA-2021-088),并为Windows提供了更新包,可以从这里手动下载。另外,固件驱动程序也将通过各种戴尔通知系统提供,这些系统将从 5 月 10 日开始在 Windows 10 设备上提供自动更新。然而,运行 Windows 7 和 8.1 尚处于支持状态的 PC 将在 7 月 31 日才收到它们。 该公司已建议客户和企业采取一些步骤,以减轻缺陷带来的风险。这包括从电脑中删除 “dbutil_2_3.sys “驱动程序,并手动更新驱动程序,或等待自动下载带有更新驱动程序的更新工具。要删除有问题的驱动程序,该公司推荐这两个选项中的一个。 方案 1(推荐)。下载并运行戴尔安全咨询更新 – DSA-2021-088工具。 方案 2:手动删除有漏洞的dbutil_2_3.sys驱动程序。 步骤A:检查以下位置的dbutil_2_3.sys驱动文件 C:\Users\AppData\Local\Temp C:\Windows\Temp 步骤B:选择dbutil_2_3.sys文件,并按住SHIFT键,同时按DELETE键永久删除。     (消息及封面来源:cnBeta)

微软提醒组织机构警惕泛滥成灾的礼品卡骗局

随着互联网的普及和不断发展,躲在灰色角落的各种网络安全威胁也愈演愈烈。近年来,我们已经听到大量有关加密劫持、网络钓鱼、以及勒索类恶意软件的报道,且企业组织正在被更多攻击者给盯上。其中许多网络安全威胁,都使用了欺骗性的电子邮件作为攻击媒介,以诱使受害人在设备上安装恶意软件。 今天,软件巨头微软再次发布了面向组织机构的反诈宣传文案,并且强调了已经泛滥成灾的礼品卡骗局。 文中指出,攻击者正在利用企业电子邮件泄露(BEC)。作为一种网络钓鱼技术,其旨在访问企业信息或窃取金钱。 在本例中,攻击者利用了域名抢注,来诱骗受信任误以为发件人是老朋友,且涵盖了房地产、消费品、农业等各个领域。 在一个典型案例中,行政助理收到了一封伪装成其老板的电子邮件,称其想要鼓励员工在 COVID-19 大流行期间的艰苦工作,因而交代行政人员立即采购一批礼品卡,并通过电子邮件的形式来发放兑换码。 结果粗心的助理在这么做之后,最终发现上司从未发过这封电子邮件。尽管这套流程似乎很简单,但微软还是指出了 BEC 攻击的不同寻常之处。有些时候,攻击者甚至会扮演团队中的多个角色来忽悠受骗者。 在得逞之后,冒名者通常会立即访问特定的站点,以将礼品卡兑换成加密货币或其它形式的资产。在被微软观察到的 120 个冒名顶替域名中,大部分都是在攻击发生数日前抢注的,意味着背后的组织协调性可能也极高。 微软补充道:我们注意到这些域名并未启用隐私保护,更谈不上欧盟《通用数据保护条例》(GDPR)的合规性。 攻击者为每个冒名顶替域名留下了不同的登记邮件地址(首选 Gmail 等免费邮件服务),且注册人信息似乎也只是自动随机声称的名字和姓氏。 与往常一样,微软再次推荐了自家的 Microsoft Defender for Office 365 服务。除了帮助企业抵御潜在的攻击,它还能够鉴别用户和域名、以及增强员工之间的辨识度等。     (消息及封面来源:cnBeta)