标签: 网络安全

受国家支持的黑客组织开展间谍活动

根据一项新的研究,自2012年以来,以网络间谍活动而闻名的国家性质的黑客,正在使用挖矿技术来躲避检测,并在受害者系统上建立持久性。 微软的365 Defender威胁情报团队称,今年7月至8月期间,该组织部署了Monero硬币矿工,对法国和越南的私营部门和政府机构进行攻击。 研究人员在昨天发表的一份分析报告中表示:“这些硬币矿工的背后或许隐藏着更邪恶的活动。” 此次攻击的主要受害者是越南的国有企业以及与越南政府机构有关联的实体。 微软把Bismuth比作“OceanLotus”(或APT32),将其与间谍软件攻击联系在一起,这些间谍软件使用定制和开源工具集攻击大型跨国公司、政府、金融服务、教育机构、人权和民权组织等。 此前,OceanLotus利用了macOS的一个新后门,攻击者能够窥探并窃取受感染机器的机密信息和敏感商业文件。 使用硬币矿工进行混入 尽管该组织的渗透策略和间谍活动基本上没有什么变化,但“硬币矿工”为他们提供了一种新的盈利方式。 这个想法是为了争取时间进行横向移动,感染像服务器这样的高价值目标,以便进一步传播。 为了实现这一点,攻击者针对受害者使用了特制的越南语编写的鱼叉式网络钓鱼邮件。在某些情况下,攻击者甚至与目标建立通信,以增加打开电子邮件中嵌入的恶意文档并触发感染链的机会。 另一种技术涉及使用DLL侧加载,其中合法库被恶意变体替换,利用过期版本的合法软件(如Microsoft Defender Antivirus、Sysinternals DebugView和Microsoft Word 2007)加载恶意DLL文件,并在受损设备和网络上建立一个持久的命令和控制(C2)通道。 新建立的通道随后被用来丢弃一些下一阶段的有效负载,包括用于网络扫描、凭证盗窃、Monero硬币挖掘和执行侦察的工具,其结果以“.csv”文件的形式传回服务器。 躲避策略 微软表示:“攻击者通过与正常的网络活动或预期会得到低关注的常见威胁混合在一起来躲避检测。” 建议企业通过加强电子邮件过滤和防火墙设置,加强凭证保护,启用多因素身份验证来限制用于获得初始访问权限的攻击面。       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Check Point:今年 11 月包裹投递钓鱼诈骗案上升 400%

Check Point的研究人员发现,利用DHL、亚马逊和联邦快递的品牌,试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前,Check Point的研究人员记录了针对网上购物者的 “特别优惠”的恶意网络钓鱼活动增加了80%,最新的峰值出现在使用 “跟踪您的货物”和 “交付问题”等主题词。 DHL是全球被模仿最多的品牌,占到与运输相关的钓鱼邮件总量的56%,其次是亚马逊的37%和联邦快递的7%。 虽然美国和欧洲的增幅最大,但其他地区的增幅也很大。在欧洲,运费钓鱼邮件增加了401%,其中77%是假冒的DHL。美国的航运钓鱼邮件增加了427%,其中亚马逊是被冒充最多的品牌,65%是假冒的亚马逊送货邮件。在亚太地区,送货钓鱼邮件增加了185%,其中65%是与DHL品牌有关。 “黑客正在追寻整个在线购物体验,在人们购物之前和之后,”Check Point的数据情报经理Omer Dembinsky说。“首先,黑客会从他们最喜欢的品牌向人们的收件箱发送’特别优惠’。然后,黑客会发送一封关于交付购买的电子邮件,即使你是从一个值得信赖的来源购买的。” “现在 “黑色星期五 “和 “网络星期一 “已经结束,我们正在转向等式的另一边,也就是送货。当你在这个假日季节打开任何购买后的电子邮件时,请三思。这封邮件可能来自黑客。仔细查看任何声称自己来自亚马逊、DHL或联邦快递的电子邮件。我们很清楚,黑客在网上购物体验的每一步都在瞄准网上购物者,在你购物前后,危险是非常真实的。” 诈骗范例:     (消息及封面来源:cnBeta)

Medusalocker 勒索团伙破解 RemoteUtilities 商业远控软件实施窃密勒索

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fYZJikSlifHmqikVB4FSyQ   一、概述 Medusalocker勒索团伙于2019年10月开始活跃,国内外均有大量受害者。早期该团伙通过对入侵机器内的数据文件进行加密勒索1比特币(BTC)。随着文件加密+数据窃取的勒索模式流行,该团伙会在勒索信中威胁称:“已收集了高度机密的资料,不付赎金就公之于众”。 腾讯安全威胁情报中心在进行例行高危风险样本排查过程中,发现Medusalocker勒索团伙使用的样本托管资产(IP:45.141.84.182(ZoomEye搜索结果)),对该资产其进行分析后发现,Medusalocker勒索团伙除使用加密模块对文件进行加密外,其武器库中还包括一系列渗透过程中使用的相关工具和窃密木马。 分析发现,Medusalocker勒索团伙除使用CobaltStrike窃密木马外。还对商业远程控制软件RemoteUtilities(类Teamviwer软件)进行了破解重打包(系对官方版本的窗口、托盘、模块完整校验位置进行Patch)。 由于RemoteUtilities属于正规商业远程控制软件,如果被用于窃密监听,会更加隐蔽,安全软件通常并不将此类商业远控软件报告为病毒。同时,由于破解修改版本与官方版本程序代码仅存在少量差异,也将比一般窃密木马具备更好的免杀效果。 近年来,勒索病毒从广撒网模式到针对性特定企业的精准打击,从单纯的数据加密演变为数据窃取加勒索。攻击者入侵企业内一台资产后,通常并不立刻进行加密操作。而是通过长时间的扫描探测,窃取机密信息后,再大面积对企业实施加密勒索。若企业使用备份数据进行还原,勒索团伙则威胁公开受害企业的机密数据继续敲诈,这对企业带来经济和社会声誉的双重损失。因此,我们提醒各政企机构高度警惕勒索病毒的攻击。 Medusalocker勒索病毒攻击者留下的勒索信 受害者在安全论坛发布的求助帖   腾讯电脑管家、腾讯安全T-Sec终端安全管理系统(御点)均可查杀拦截Medusalocker勒索病毒,腾讯安全针对Medusalocker勒索病毒的完整响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Medusalocker勒索团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Medusalocker勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Medusalocker勒索网络相关联的IOCs已支持识别检测; 2)支持检测拦截Medusalocker团伙发起的爆破攻击行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Medusalocker相关联的利用模块,勒索模块; 2)已支持检测拦截Medusalocker发起的爆破攻击行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)已集成无损检测POC,企业可以对自身资产进行远程检测。   关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Medusalocker团伙相关联的IOCs已支持识别检测; 2)Medusalocker团伙发起的爆破攻击行为已支持检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀Medusalocker团伙相关联的利用模块,勒索模块; 2)企业终端管理系统已支持检测拦截恶意爆破攻击行为。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 1、魔改RemoteUtilities远程控制软件 RemoteUtilities是一款可免费,可商用,能够自建中继服务器的远程控制软件(类似于Teamviewer、向日葵等工具),该软件支持Windows、Mac、Linux、IOS、Android等多个平台版本。该软件服务端(Agent)运行后会弹出明显的服务端窗口信息,托盘展示信息等,一般用于管理员对多台设备进行统一的操作和管理。 Medusalocker勒索病毒团伙通过对RemoteUtilities进行破解重打包后,将其作为窃密木马使用,达到植入目标系统持久化控制的目的,其修改流程主要有下文中分析中的多个步骤。 RemoteUtilities远控软件官网介绍 正常RemoteUtilities被控端(Agent)运行后的界面 2、RemoteUtilities精简破解重打包 RemoteUtilities正常被控端安装后后会存在大量模块文件,修改版本安装后后仅使用3个模块(移除非远程控制必须组件以外的其他模块),精简破解后重打包的版本安装完成后,会添加计划任务启动,进而实现持久化的远程控制。 下图上为完整版RemoteUtilities被控端安装文件,下为病毒修改版安装文件: 计划任务将自动启动病毒远控。   3、RemoteUtilities-Patch-1 通过对官方版本被控端的ShowWindow函数调用进行nop处理,导致官方版本被控端启动时的所有窗口界面消失,从而实现无交互界面被远程控制,系统托盘、消息界面全部被隐藏: 官方版本完整代码: 修改后病毒版本代码:   4、RemoteUtilities-Patch-2 通过对官方版本被控端的Terminateprocess函数调用进行nop处理,导致官方被控端相关快捷退出方式失效,从而让攻击者稳定持久的远程控制,持续进行窃密活动。   官方版本完整代码: 修改后病毒版本代码:   5、RemoteUtilities-Patch-3 官方版本远程控制软件在运行后首先会对其安装目录下的所有模块完整性校验,当发现安装模块缺失后则直接会退出。病毒对其代码进行patch,使官方远控软件被控端校验流程被强行跳过。 官网软件模块完整性校验流程 官方版本完整代码: 修改破解后病毒版本代码: 6、RemoteUtilities-Patch-4 官方程序每次接受命令或启动时会监测程序安装路径下rfuslient.exe模块,并将其执行起来,如果该文件不存在,则弹出一个系统错误对话框,随后服务端直接退出。病毒对其相关路径参数进行patch(破解),导致该处校验流程失效。 被绕过的模块完整性校验提示窗口,正常流程下服务端执行到此处代码将提示错误直接退出。 官方版本完整代码: 破解修改后病毒版本代码: 下图为控制端界面,攻击者向攻击目标植入RemoteUtilities破解修改版本后可完全控制受控机器,可执行远程Shell、屏幕监控操作、语音监控操作、远程文件操作、RDP登录等等。 7、加壳的CobaltStrike Medusalocker勒索病毒团伙同时还使用了加壳的CobaltStrike窃密木马,该版本窃密木马运行后首先以挂起方式启动系统白进程mstsc.exe,随后将Beacon恶意payload注入到mstsc.exe进程内,进而实现系统进程内执行远程控制恶意功能。 其C2信息使用0x2E异或方式简单加密,解密后得到C2地址如下: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space 解密后的CobaltStrike配置信息 8、勒索辅助工具包 在该地址内,也发现了Medusalocker勒索团伙以往常用的工具包。包括本地系统口令窃取工具、浏览器密码窃取工具、局域网端口扫描工具、网络共享资源扫描工具、PsExec命令执行工具、Ark内核对抗工具、两个bat脚本文件等,这些工具在后期渗透局域网其他主机过程中使用。 Bat脚本主要功能有以下部分: EnableLUA,避免系统提示以管理员权限执行等问题; 对系统内粘滞键、放大镜、系统帮助、Windows辅助工具管理器等程序进行映像劫持,侧面印证该团伙可能对系统内该系列工具位置进行后门劫持利用; 开启3389端口并允许远程控制,关闭RDP相关的远程登录安全策略项; 删除系统卷影,删除系统备份等。 9、Medusalocker勒索病毒 Medusalocker勒索病毒出现于2019年10月,2019年11月腾讯安全检测到该病毒开始在国内活跃,该病毒主要通过弱口令爆破方式进行传播,由于该勒索病毒加密使用RSA+AES的方式对文件进行加密,目前尚无有效的解密工具,被加密后的文件末尾组成部分如下。 使用硬编码RSA公钥加密后的AES文件密钥数据; 使用硬编码RSA公钥加密后的后缀信息数据; 被加密文件原始明文长度0x0000000000000018; 文件后缀明文长度0x00000014; AES密钥原始长度0x0000002C; 1、2部分密文长度0x00000200; 0x0000001标记。 具体分析可参考:《警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币》   本次发现的变种版本Medusalocker加密完成后添加.ReadInstructions扩展名后缀,留下名为Recovery_Instructions.html的勒索文件,攻击者使用的勒索邮箱为asaphelper@protonmail.com,asaphelper@firemail.cc 三、安全建议 腾讯安全专家建议企业用户参考以下操作,以提升系统安全性: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、建议终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点、https://s.tencent.com/product/yd/index.html)。腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。   IOCs MD5: 81f327ba23b03e261a0bcb3b4be3ffb4 860cdd118f68793a680ad4d22c43619a dbffcc741c54ae7632fb2807c888bdfe 40e85653abe687ddfd95b67a5f5dd452 bb62cb286e2386da92837a37d0ec3445 39c2a273de3f1eee2dd6e567a00f1137 URL: hxxp://45.141.84.182/Build.exe(魔改RemoteUtilities) hxxp://45.141.84.182/Build1.exe/ hxxp://45.141.84.182/beacon.exe(加壳的CobaltStrike) hxxp://45.141.84.182/64x.exe hxxp://45.141.84.182/run.exe hxxp://45.141.84.182/cb.exe hxxp://45.141.84.182/1.zip(勒索工具包) hxxp://45.141.84.182/AN_UPD.exe(Medusalocker勒索病毒) C2: oow8Phokeing6kai5haH.glowtrow.online ooLiey0phuoghei2cei7.cleans.online eiphaem9aifuR1udaizu.badedsho.space IP: 45.141.84.182(ZoomEye搜索结果) 勒索邮箱: asaphelper@protonmail.com asaphelper@firemail.cc 勒索平台暗网地址: hxxp://gvlay6u4g53rxdi5.onion/18-oWREq832SIH6V6yoKU1Z3fMRYR5wmpR0-cvxencen8tpja5kxwsd12had3lurjur7    

Omnisec 成第二家涉嫌出售加密间谍设备的瑞士公司

瑞士公共电视台SRF发现,除了Crypto AG之外,还有第二家公司参与制造涉嫌被外国情报部门用于间谍活动的操纵设备。据SRF消息人士称,瑞士公司Omnisec AG与美国情报部门有联系。此前,SRF、德国ZDF电视台和《华盛顿邮报》在2月份披露,总部位于楚格的Crypto AG公司是由美国中央情报局(CIA)领导的大规模国际间谍行动的核心,其次是德国BND间谍机构。Omnisec是Crypto AG的最大竞争对手之一。 瑞士密码学家、教授Ueli Maurer曾为Omnisec担任顾问多年,他告诉SRF,1989年美国情报部门(国家安全局)通过他与Omnisec联系。值得关注的是OC-500系列设备。这些设备被卖给了几个瑞士联邦机构。然而,瑞士当局在2000年代中期才注意到这些设备不安全。 一些瑞士公司也收到了来自Omnisec的操纵设备,包括瑞士最大的银行UBS。目前还不清楚当局是否在2000年代中期就将这些薄弱设备告知了瑞银。瑞银集团告诉SRF,它不对安全问题发表评论,但当时没有迹象表明敏感数据被暴露。 Omnisec公司成立于1987年,生产语音、传真和数据加密设备。它在几年前解散了。该公司最近的负责人Clemens Kammer告诉SRF,Omnisec的客户“已经并将继续高度重视商业关系中的安全性、保密性、谨慎性和可靠性””。 一些政治家呼吁进一步调查这些最新的指控,这些指控可能会揭示联邦政府中可能有人知道Omnisec与外国情报部门的商业事务。 密码事件 本月早些时候,瑞士议会审计委员会(GPDel)进行了为期九个月的调查,发现瑞士情报部门早在1993年就知道美国中央情报局是瑞士Crypto AG的幕后黑手。报告称,瑞士情报部门后来与他们合作,从国外收集信息。 有100多个国家从这家总部设在楚格的公司购买了加密设备,该公司打着瑞士中立的幌子开展业务。实际上,该公司属于美国中央情报局和德国情报部门,他们可以自由读取其加密的内容。在Crypto公司设备的帮助下截获的信息改变了事件的进程,包括1979年的伊朗人质危机。       (稿源:cnBeta;封面来自网络)

最高法院将审理的案件或导致美国《计算机欺诈和滥用法》的全面变化

据外媒报道,美国最高法院将在当地时间周一听取一起案件的辩论,可能会导致美国有争议的计算机黑客法的全面变化–并影响数百万人如何使用他们的计算机和访问在线服务。美国《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,CFAA)于1986年签署成为联邦法律,但至今仍在规范什么构成黑客行为–或 “未经授权 “访问计算机或网络。 这部有争议的法律旨在起诉黑客,但被批评者称为技术法律书籍中 “最糟糕的法律”,他们说,它的过时和模糊的语言无法保护善意的黑客发现和披露安全漏洞。 本案的核心是佐治亚州的前警察警长Nathan Van Buren。Van Buren利用他对警用车牌数据库的访问权限,搜索一个熟人以换取现金。Van Buren被抓,并以两项罪名被起诉:因访问警方数据库而接受回扣,以及违反CFAA。第一项罪名被推翻,但违反CFAA的罪名被维持。 Van Buren可能是通过警察工作的方式被允许访问数据库,但他是否超越了他的访问权限仍然是关键的法律问题。 加州大学伯克利分校的法学教授Orin Kerr说,Van Buren对美国案是最高法院受理的 “理想案件”。他在4月份的一篇博客文章中认为,”这个问题的提出再干净不过了”。最高法院将试图通过决定法律上所说的 “未经授权 “的访问是什么意思,来澄清这几十年来的法律。但这本身就不是一个简单的答案。 斯坦福大学法学院监控和网络安全副主任Riana Pfefferkorn说:“最高法院在本案中的意见可能会决定数百万普通美国人是否每当他们从事计算机活动时就会犯下联邦罪行,这些活动虽然常见,但不符合在线服务或雇主的使用条款。”(Pfefferkorn的同事Jeff Fisher在最高法院代表Van Buren)。 目前尚不清楚最高法院将如何确定 “未经授权 “的含义。法院可能会将未经授权的访问定义在任何地方,从违反网站的服务条款到登录一个没有用户账户的系统。 Pfefferkorn说,对CFAA的广义解读可能会将任何行为定为犯罪,包括在约会资料上撒谎、分享流媒体服务的密码,或者违反雇主的政策将工作电脑用于个人用途。 但最高法院的最终裁决也可能对善意的黑客和安全研究人员产生广泛的影响,这些人有目的地破坏系统,以使其更加安全。几十年来,黑客和安全研究人员一直在法律的灰色地带活动,因为成文的法律会让他们的工作受到起诉,即使目标是改善网络安全。 科技公司多年来一直鼓励黑客私下联系安全漏洞。作为回报,公司会修复他们的系统,并向黑客支付工作报酬。Mozilla、Dropbox和特斯拉是少数几家承诺不根据CFAA起诉善意的黑客的公司之一。并非所有的公司都欢迎这种审查,并逆势而上,威胁要就他们的研究结果起诉研究人员,在某些情况下还积极发起法律行动,以防止出现不光彩的头条新闻。 安全研究人员对法律威胁并不陌生,但如果最高法院作出不利于Van Buren的裁决,可能会对他们的工作产生寒蝉效应,并将漏洞披露推向地下。 “如果违反计算机系统的使用政策会有潜在的刑事(和民事)后果,那将使这些系统的所有者有权禁止善意的安全研究,并使研究人员噤若寒蝉,不敢披露他们在这些系统中发现的任何漏洞。”Pfefferkorn说。“即使是无意中在一套漏洞赏金规则的界限之外着色,也会使研究人员面临责任。” “法院现在有机会解决法律范围上的歧义,并通过对CFAA的狭义解释,让安全研究人员更安全地开展他们急需的工作。”Pfefferkorn说。“我们不能承受吓跑那些想要改善网络安全的人。” 最高法院可能会在今年晚些时候或明年初对此案作出裁决。       (消息及封面来源:cnBeta)

调查发现 55% 的美国成年人担心政府机构通过手机追踪他们的行踪

据《华尔街日报》报道,一项新的调查发现,美国人普遍担心政府通过他们的数字设备追踪他们的行踪,绝大多数人认为应该需要有搜查令才能获得这些数据。哈里斯民调的一项新调查显示,55%的美国成年人担心政府机构通过手机和其他数字设备产生的位置数据来追踪他们。该民调还发现,77%的美国人认为,政府应该获得授权令,才能购买数据经纪人经常在商业市场上买卖的那种详细的位置信息。 《华尔街日报》曾报道,美国一些执法机构在没有任何法院监督的情况下,从经纪人那里购买地理定位数据,用于刑事执法和边境安全目的。联邦机构的结论是,他们不需要搜查令,因为这些位置数据可以在公开市场上购买。美国最高法院在2018年裁定,强制手机运营商将位置数据交给执法部门需要搜查令,但它没有解决消费者是否对应用程序而不是运营商产生的数据有任何隐私或正当程序的期望。 现代手机应用程序,如天气预报、地图、游戏和社交网络,通常会要求消费者允许记录手机的位置。然后,这些数据会被经纪人打包并转售。电脑、平板电脑、汽车、可穿戴健身技术和许多其他互联网设备也有可能产生被公司收集的位置信息。 从现代技术中提取的位置数据的买卖已经成为一项价值数十亿美元的业务–经常被企业用于定向广告、个性化营销和行为特征分析。华尔街公司、房地产开发商和许多其他公司使用这些信息来指导投资、开发和规划的决策。 执法部门、情报机构、国内税务局和美国军方也开始从同一个数据池中购买用于间谍、情报、刑事执法和边境安全。《华尔街日报》今年早些时候报道,国土安全部的几个机构正在通过专门的经纪人购买美国人的手机位置数据。 美国市场研究和全球咨询公司哈里斯的调查发现,一些美国人表示,他们会采取措施避免这种追踪。40%的受访者表示,他们会用软件屏蔽手机上的此类追踪,26%的受访者表示,他们会改变自己的习惯和日常工作,减少可预测性。另有23%的人表示他们会把手机更多地留在家里,而32%的人表示他们不会做任何不同的事情。 该调查还询问了人们对位置隐私的总体看法。大多数受访者不同意这样的说法:“只有那些关心保持自己位置数据隐私的人,才会有所隐瞒。”民调发现,60%的美国人有点或强烈不同意这一说法,39%的人强烈或有点同意。 与年轻人相比,年长的美国人对政府监控的关注度较低。在18至34岁的受访者中,65%的人表示担心政府的位置追踪。对于65岁及以上的受访者,只有39%的人表示担心。 非白人美国人比白人美国人更担心政府机构的位置数据监控。民调发现,65%的黑人受访者、65%的西班牙裔受访者和54%的受访亚裔美国人表示他们有些或非常担心,而白人受访者的比例为51%。 这项民调是哈里斯在11月19日至11月21日期间在线进行的,调查了2000名美国成年人。哈里斯没有提供误差范围,这种样本量的民调通常带有大约正负3%的误差。       (消息及封面来源:cnBeta)

黑客再发威 《生化危机8》少量剧情概要遭泄露

卡普空最近是屋漏又逢连夜雨,几乎每天都会有不同的消息泄露出来,而他们依然在与黑客苦战。匿名黑客团体Team Ragnar手持大量卡普空数据作为要挟,今天他们再次表达了自己的决心和实力,放出了一批19G大小的数据,其中大多数都是关于《生化危机》系列以及《生化危机8》的。 上周泄露的信息表明《生化危机8》将于2021年4月下旬发售,而这次泄露的数据中心包含了许多完成品过场动画。而过场动画里自然包含了许多关键剧透,所以想要亲自通过游戏体验剧情的玩家务必就此打住。 剧透警告 下列是本次泄露出来的过场动画标题,标题本身就已经概括了事件。 与Mia的回忆_次要 撞车,Elena和二楼_次要 前往Elena和阁楼_次要 Chris版本开场_次要 巨人Kadu炸弹安装_次要 巨人Kadu炸弹安装_导演检验 营救Mia_次要 所以《生化危机8》一共泄露了8个过场动画,基本上泄露了游戏剧情中的重要事件。类似的事也曾发生在《最后的生还者2》身上。虽然被剧透以后依然会存在一些悬念,但多多少少会减弱剧情发生时的冲击力,这对于剧情向单机游戏来说非常致命。         (消息来源:cnBeta;封面来源于网络)

黑客正在出售数百名 C-level 高管的电子邮件账户和密码

目前,一个威胁行为者正在出售全球数百家公司的C-level高管的电子邮件账户密码。ZDNet本周获悉,这些数据正在一个名为Exploit.in的俄语黑客封闭式地下论坛上出售。 威胁行为者正在出售Office 365和微软账户的电子邮件和密码组合,他声称这些数据由占据职能的高级管理人员拥有,如: CEO–首席执行官 COO – 首席运营官 CFO – 首席财务官或首席财务总监 CMO – 首席营销官 CTO – 首席技术官 主席 副总裁 行政助理 财务经理 会计师 理事 财务总监 财务主任 付账人员 访问这些账户的价格从100美元到1500美元不等,这取决于公司规模和用户的角色。 一位同意与卖家联系以获取样本的网络安全界人士证实了数据的有效性,并获得了两个账户的有效凭证,这两个账户分别是一家美国中型软件公司的CEO和一家欧盟连锁零售店的CFO。 该消息人士要求ZDNet不要使用其名字,正在通知这两家公司,同时也在通知另外两家公司,卖家公布了这两家公司的账户密码,作为他们拥有有效数据的公开证明。 这些是英国一家企业管理咨询机构高管的登录信息,以及美国一家服装和配件制造商总裁的登录信息。 卖家拒绝分享他是如何获得登录凭证的,但表示他还有数百个登录凭证可以出售。 根据威胁情报公司KELA提供的数据,同一威胁行为者此前曾表示有兴趣购买 “Azor日志”,这个术语指的是从感染AzorUlt信息窃取者木马的计算机上收集的数据。信息窃取者日志几乎总是包含木马从安装在受感染主机上的浏览器中提取的用户名和密码。 这些数据往往是由信息窃取者运营商收集的,他们会对这些数据进行过滤和整理,然后在Genesis等专门市场、黑客论坛上出售,或者他们将这些数据卖给其他网络犯罪团伙。 “被篡改的企业电子邮件凭证对网络犯罪分子来说很有价值,因为它们可以以许多不同的方式被货币化,”KELA产品经理Raveed Laeb告诉ZDNet。 “攻击者可以将它们用于内部通信,作为‘CEO骗局’的一部分–犯罪分子操纵员工向他们汇入大笔资金;它们可以被用来访问敏感信息,作为敲诈计划的一部分;或者,这些凭证也可以被利用,以便访问需要基于电子邮件的2FA的其他内部系统,以便在组织中横向移动并进行网络入侵,”Laeb补充道。 但是,最有可能的是,这些被泄露的电子邮件将被购买和滥用,用于CEO诈骗或商业电子邮件攻击(BEC)诈骗。根据FBI今年的一份报告,到目前为止,BEC诈骗是2019年最流行的网络犯罪形式,已占去年报告的网络犯罪损失的一半。 防止黑客将任何类型的窃取凭证货币化的最简单方法是为您的在线账户使用两步验证(2SV)或双因素认证(2FA)解决方案。即使黑客设法窃取登录信息,如果没有适当的2SV/2FA附加验证器,这些信息也将毫无用处。         (消息来源:cnBeta;封面来源于网络)

cPanel 和 WHM 软件中存在双因素身份验证绕过漏洞

cPanel是管理web托管的流行管理工具的提供商,它修补了一个安全漏洞,该漏洞可能允许远程攻击者访问有效凭据,绕过帐户的两因素身份验证(2FA)保护。 该问题被称为“seco -575”,由Digital Defense研究人员发现,该公司在软件的11.92.0.2、11.90.0.17和11.86.0.32版本中对其进行了修复。 cPanel和WHM(Web主机管理器)提供了一个基于Linux的控制面板,供用户处理网站和服务器管理,包括添加子域、执行系统和控制面板维护等任务。到目前为止,使用cPanel的软件套件在服务器上启动了超过7000万个域。 该问题源于在登录期间2FA缺乏速率限制,从而使得攻击者能够使用暴力方法反复提交2FA代码并绕过身份验证检查。 Digital Defense研究人员表示,这种攻击可以在几分钟内完成。 “双因素身份验证cPanel安全策略没有阻止攻击者重复提交双因素身份验证代码,”cPanel表示,“这使得攻击者能够使用暴力技术绕过双因素身份验证检查。” 为了解决这个问题,该公司在cPHulk蛮力保护服务中加入了速率限制检查,如果2FA代码验证失败,就会被视为登录失败。 这已经不是第一次因为没有限制速率而引发严重的安全问题了。 早在今年7月,视频会议应用Zoom修复了一个安全漏洞,该漏洞可能使潜在攻击者破解用于在平台上保护私人会议的数字密码,并监听参会者。 我们建议cPanel的用户使用补丁来降低与该漏洞相关的风险。           消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在 Web 托管软件 cPanel 中发现 2FA 旁路

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证(2FA)并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布,其 漏洞研究团队(VRT) 发现了一个未披露的漏洞,该漏洞影响了cPanel&WebHost Manager(WHM)网络托管平台。” “ c_Panel&WHM版本11.90.0.5(90.0 Build 5)具有两因素身份验证绕过漏洞,易受到攻击,从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响,因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在,将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说,攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题: 11.92.0.2(ZoomEyes搜索结果) 11.90.0.17(ZoomEyes搜索结果) 11.86.0.32(ZoomEyes搜索结果) 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”