分类: 网络攻击

针对 DNA 供应链的攻击可导致病毒生成

周一,内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候,本·古里安的研究小组表示,黑客不再需要物理接触“危险”物质即可生产“病毒”。相反,黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性:合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言,合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。 向合成基因者下达DNA命令时,美国卫生与公众服务部(HHS)指南要求制定筛选方案以扫描潜在有害DNA。 但是,该黑客团队有可能通过混淆来规避这些方案,在50个混淆的DNA样本中,有16个未针对“最佳匹配” DNA筛选被检测到。 用于设计和管理合成DNA项目的软件也可能会受到浏览器内人为攻击的攻击,该攻击可用于将任意DNA字符串注入基因顺序,从而简化了团队所谓的“端到端网络生物学攻击”。这些系统提供的合成基因工程管道可以在基于浏览器的攻击中被篡改。黑客可能使用恶意浏览器插件,例如“将混淆的病原体DNA注入合成基因的在线顺序中”。 在证明这种攻击可能性的案例中,研究小组引用了残留的Cas9蛋白,并使用恶意软件将该序列转化为活性病原体。研究小组说,“当使用CRISPR协议时,Cas9蛋白可以被用来‘模糊化宿主细胞内的恶意DNA’。”对于不知情的科学家来说,这可能会导致意外产生了危险物质,包括合成病毒或有毒物质。 BGU复杂网络分析实验室负责人Rami Puzis表示:“为了管制有意和无意的危险物质生成,大多数合成基因提供者会筛选DNA指令,这是目前抵御此类攻击的最有效方法。” “不幸的是,筛查指南尚未适应反映合成生物学和网络战的最新发展。” 潜在攻击链概述如下: Puzis补充说:“这种攻击情景强调了必须通过防御网络生物学威胁来强化合成DNA供应链。” 为了解决这些威胁,我们提出了一种改进的筛选算法,该算法考虑了体内基因编辑。       消息及封面来源:zdnet;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Apache 服务器背后的 Stantinko 代理

黑客通常会开发自己的Linux恶意软件,BlackTech的新型恶意软件ELF_PLEAD 和Winnti的PWNLNX 工具就是最近的例子。结合这种趋势,我们发现了与Stantinko group相关的新版本Linux代理木马。在本文发布之时,只检测到一个在VirusTotal中的恶意软件。 Stantinko黑客组织以Windows操作系统为目标而闻名,其活动可以追溯到2012年。恶意软件主要包括硬币矿工和广告软件僵尸网络。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1410/           消息及封面来源:intezer,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Egregor 勒索软件使用 Cobalt Strike 和 Rclone 进行持续性攻击

Egregor勒索软件是Sekhmet恶意软件家族的一个分支,该家族自2020年9月中旬以来一直处于活跃状态。勒索软件以危害组织,窃取敏感用户数据,加密数据,并要求勒索交换加密文件的方式运作。Egregor是一种勒索软件,它与针对GEFCO、Barnes&Noble、Ubisoft和其他许多公司的网络攻击有关。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1409/           消息及封面来源:SentinelLABS,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在 Web 托管软件 cPanel 中发现 2FA 旁路

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证(2FA)并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布,其 漏洞研究团队(VRT) 发现了一个未披露的漏洞,该漏洞影响了cPanel&WebHost Manager(WHM)网络托管平台。” “ c_Panel&WHM版本11.90.0.5(90.0 Build 5)具有两因素身份验证绕过漏洞,易受到攻击,从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响,因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在,将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说,攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题: 11.92.0.2(ZoomEyes搜索结果) 11.90.0.17(ZoomEyes搜索结果) 11.86.0.32(ZoomEyes搜索结果) 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

澳大利亚情报机构被发现利用 COVID-19 接触者追踪应用收集民众数据

澳大利亚的一个政府监察机构发现,澳大利亚的情报机构在该国的COVIDSafe接触者追踪应用推出的前六个月,“偶然 ”收集了数据。澳大利亚政府负责监督政府间谍和窃听机构的情报界监察长周一公布的报告称,该应用数据是在 “合法收集其他数据的过程中 ”被收集的。 但该监督机构表示,“没有证据”表明任何机构“解密、访问或使用任何COVID应用数据”。澳大利亚政府发言人告诉最先报道这一消息的一家媒体,偶然的收集也可能是 “执行手令 “的结果。报道没有说附带收集何时停止,但指出各机构正在 “采取积极措施确保遵守”法律,并将 “在切实可行的情况下尽快删除”这些数据,但没有确定日期。 对一些人来说,担心政府间谍机构能够获取COVID-19联系追踪数据是最坏的结果。 自COVID-19大流行开始以来,各国纷纷建立了接触者追踪应用程序,以帮助防止病毒的传播。但这些应用程序在功能和隐私方面差异很大。大多数都采用了对隐私更友好的方法,即使用蓝牙来追踪人们可能接触过的带有病毒的人。许多人选择实施苹果-谷歌系统,数百名学者支持该系统。但其他国家,比如以色列和巴基斯坦,则采用了更多侵犯隐私的技术,比如追踪位置数据,政府也可以利用这些数据来监控一个人的行踪。在以色列的案例中,这种追踪引起了很大的争议,以至于法院关闭了它。 澳大利亚的情报监督机构没有具体说明间谍机构收集了哪些数据。该应用使用蓝牙而非位置数据,但该应用要求用户上传一些个人信息–如姓名、年龄、邮政编码和电话号码–让政府卫生部门联系那些可能接触过感染者的人。 自疫情开始以来,澳大利亚已经出现了超过27800例新冠确诊病例,900多人死亡。       (消息来源:cnBeta;封面来自网络)

从地缘紧张局势中识别黑客活动

网络威胁情报(CTI)专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似,查看冲突区域可以揭示相关网络功能。 上述理论得到了地缘政治紧张局势相关事件的验证: 俄罗斯黑客入侵导致的2015年和2016年的乌克兰电力事件、2017年的NotPetya事件以及至今的持续攻击活动。 阿拉伯/波斯湾地区的恶意软件和2017年的“封面”海卫/ TRISIS事件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1408/         消息来源:domaintools,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 BigBlueBox 宣布成功 Dump 了两款 PS5 游戏镜像

每当新游戏主机上市,除了玩家迫不及待入手游玩自己期待的游戏之外,摩拳擦掌的还有全球各地的技术大牛和黑客们,能够在第一时间攻破新主机的防线,完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天,已经有团队取得了PS5破解的初步胜利。 近日,知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像,这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠:迈尔斯·莫拉莱斯》,这款游戏Dump出的镜像文件达到49.78GB,另一款游戏是《过山车之星主机版》,容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump,不过就目前PS5的破解工作开展进度来说,游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox,距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是,在被Dump出的PS5游戏镜像的nfo文件中,BigBlueBox还写下了两行以Mariko开头的密钥,疑似与续航版Switch和Lite的破解工作新进展有关。       (消息及封面来源:cnBeta)

GitHub 终于修复了 Google Project Zero 报告的高危安全漏洞

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷,并在公开披露前给他们90天的时间来修复。根据情况的严重程度,这一期限可能会根据该集团的标准准则被延长或拉近。 11月初,谷歌公开披露了GitHub中的一个 “高”严重性安全问题,此前后者无法在104天内修复–超过了标准时限。不过,GitHub用户现在会很高兴地知道,这个安全漏洞终于被填补了。 该安全漏洞源自GitHub Actions中的工作流命令,它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞,他表示工作流命令的实现方式 “从根本上来说是不安全的”。短期的解决方案是废止命令语法,而长期的修复方法是将工作流命令转移到一些外链通道,但这也很棘手,因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后,谷歌于11月2日公开披露了该问题。 显然,这给该公司带来了一定的压力,目前该漏洞已经被修复。补丁说明显示,该修复方法与Wilhelm提出的短期解决方案一致。 停用add-path和set-env runner命令(#779) 更新了dotnet安装脚本(#779) 几天前,GitHub已经修复了这个问题,但现在已经被谷歌Project Zero团队验证,并在问题库中标记。这样一来,安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关,但这一 “中等”严重性缺陷的状态自2016年9月以来一直处于开放状态。         (消息及封面来源:cnBeta)

工业控制系统存在可导致远程代码攻击的严重漏洞

实时自动化(RTA)499ES EtherNet/IP(ENIP)堆栈中存在一个严重漏洞,该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一,被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局(CISA)在一份咨询报告中表示:“成功利用此漏洞可能造成拒绝服务,缓冲区溢出可能允许远程代码执行。” 到目前为止,尚未发现针对此漏洞的已知公开攻击。然而,“根据互联网连接设备的公共搜索引擎,目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159,CVSS评分为9.8(满分10分),影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码,但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本,并将其集成到自己的固件,从而使多台设备处于危险之中。 研究人员表示:“在六家供应商的产品中,有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议(CIP)中使用的路径解析机制的不正确检查(CIP是一种用于组织和共享工业设备中的数据的通信协议),使得攻击者能够打开具有较大连接路径大小(大于32)的CIP请求,并导致解析器写入内存地址超出固定长度缓冲区,从而可能会导致任意代码执行。 RTA在披露中表示:“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM,攻击者有可能试图使缓冲区溢出,并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块,其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出:“与先前的披露类似(例如Ripple20或Urgent / 11),这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本,以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露,确保不能从网络访问这些设备。 CISA表示: “将控制系统网络和远程设备放在防火墙后面,并将它们与业务网络隔离开。当需要远程访问时,使用安全方法,例如虚拟专用网(VPN)。但是VPN可能存在漏洞,应将其更新为可用的最新版本。”         消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

未受保护的数据库暴露了 10 万多个Facebook帐户

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库,其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件,链接到伪造的比特币交易平台,该平台曾欺诈至少250欧元的“存款”。 研究人员说:“通过提供虚假新闻网站的链接,黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接,那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具,诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息(PII)数据,专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB,在今年6月至9月间保持打开状态。据专家称,至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击,该公开数据库属于第三方,使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络,并确认该数据库的真实性。 发现数据库的第二天,它很可能受到Meow攻击的攻击擦除了其数据,使数据库脱机。自7月以来,专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开,它们被黑客莫名其妙地擦除。 “Facebook用户受害者,请立即更改您的登录凭据。”  “此外,如果您在其他任何帐户上重复使用了Facebook密码,请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码,并定期进行更改。”       消息来源:securityaffairs,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。